文档介绍:第十章网络安全
网络安全威胁
网络安全技术分类
数据加密技术
身份验证技术
防火墙技术
跟踪审计技术
网络隔离技术
生物免疫系统在网络安全方面的应用
网络安全风险评估
网络安全技术新趋势
网络安全威胁
所谓网络安全性,简单来说就是用一组规则约束所有的网络活动,只有被允许的活动才能正常进行,其他的活动都将被禁止。
那么,什么样网络活动是不允许的
什么样的活动会对网络安全造成威胁
一般来讲,对网络安全的威胁有以下几种:
网络安全威胁
网络窃听
完整性破坏
数据修改
重发(重放)攻击
假冒
服务否认(拒绝服务)
网络病毒
网络安全技术分类
既然网络中存在这么多安全威胁,就必须要有相应的网络安全技术来保证网络的安全性。
常见的网络安全技术有以下几种:
数据加密技术
身份验证技术
数据完整性技术
访问控制
防火墙技术
跟踪审计技术
信息伪装技术
加密是通过对信息的重新组合,使得只有收发双方才能解码并还原信息的一种手段。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解密。
目前,随着技术的进步,加密正逐步被集成到系统和网络中,如IETF正在发展的下一代网际协议IPv6。硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。
身份验证包括身份识别和身份认证。
身份识别是用户向系统出示自己的身份证明的过程。
身份认证是系统查核用户的身份证明的过程。
它们是判明和确认通信双方真实身份的两个重要环节,合称为身份验证。
常用的身份验证方法有:
用户名、口令、一次性口令、数字签名、数字证书、PAP认证(Password Authentication Protocol)、CHAP认证(Challenge-Handshake Authentication Protocol)以及集中式安全服务器等。
网络数据完整性技术用于保持网络的物理完整性,维护数据的机密性,提供安全视图,保障安全通信。
与完整性相关的方法有:
访问控制列表(Access Control List,ACL)
work Address Translate,NAT)
防火墙(firewall)
加密技术等。
访问控制是指网络系统对访问它的用户所实施的控制。网络系统对于其中的数据、文件、程序、目录、存储部件、软件系统等可访问对象,赋予用户不同等级的权限,只有拥有权限的用户,才能对网络中的可访问对象进行相应类型的操作。
访问控制包括三个组成元素:
可访问对象、访问用户和访问类型
防火墙是指一个或一组网络设备,用来在两个或多个网络之间加强访问控制,其目的是保护一个网络不受来自其他网络的攻击。
防火墙并非万能,但对于网络安全来说是必不可少的。它是位于两个网络之间的屏障,一边是内部网络(可信赖的网络),另一边是外部网络(不可信赖的网络)。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。
网络活动跟踪审计技术可以
验证网络安全策略是否得当;
确认安全策略是否贯彻执行,并及时报告各种情况;
记录遭到的攻击;
检测是否有配置错误而导致的安全漏洞;
统计是否有滥用网络以及其他异常现象等。
与活动审计相关的方法有记账/日志、网络监控、入侵检测与防止、可疑活动的实时报警等。