网络工程师培训教程-网络安全

本文由875895807贡献

ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。

主题十二

网络安全

国家信息化工程师认证考试管理中心

12.1 主要知识点

12.2 12.3 12.4 12.5 安全计算 VPN 风险管理 典型试题分析

12.2 安全计算

信息安全的基本概念 保密性和完整性 非法入侵和病毒的防护

12.2.1 信息安全的基本概念

机密性：确保信息不暴露给未授权的实体或进程。

完整性：只有得到允许的人才能够修改数据，并且能 够判别出数据是否已被篡改。

信 息

可用性：得到授权的实体再需要时可访问数据，即攻

击着不能占用所有的资源而阻碍授权者的工 作。

可控性：可以控制授权范围内的信息流向以及行为方 式。

可审查性：对出现的网络安全问题提供调查的依据和 手段。

信息和网络安全现状

现在全球普遍存在信息安全意识欠缺的状况，着导致大多数的信

息系统和网络存在着先天性的安全漏洞和安全威胁。

国际上也存在着信息安全管理不规范和标准不统一的问题。

在信息安全的发展过程中，企业和政府的要求有一致性的地方， 也有不一致的地方。

信息和网络安全的技术仍然在发展过程中，“绝对的安全是不可

能的”和“木桶原理”也让一些使用者踌躇不前，市场上“叫好 不叫卖”的现象仍然存在。

同样在国内，信息安全产品的“假、大、空”现象在一定程度的

存在，防火墙变成了“铜墙铁壁”，产生这种情况的原因在于包

括监督不力和信息安知识的普及程度不够。

网络中存在的威胁

非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击 利用网络传播病毒

12.2.2 保密性和完整性

私钥和公钥加密标准（DES、IDEA、RSA） 认证（数字签名、身份认证）

完整性（SHA、MDs） 访问控制（存取权限、口令）

加密方法的分类与识别

手工密码 按应用技术或历史上发展阶段划分 应用技术或历史上发展阶段划分 机械密码

电子机内乱密码 计算机密码 理论上保密的密码 按保密程度划分 保密程度划分

实际上保密的密码 不保密的密码 对称式密码 按密钥方式划分 密钥方式划分 非对称式密码

模拟型密码 数字型密码

私钥和公钥加密标准 （DES、IDEA、RSA） DES、IDEA、RSA）

私钥加密标准是一种对称加密算法，用户使用同一个密钥加密和

解密，包括DES、3DES和IDEA等。公钥加密标准是一种非对称

加密算法，加密和解密使用不同的密钥，RSA是其中的代表，已

经成为公钥加密标准的代名词。

DES（数据加密标准），输入、输出均为64位，密钥为56位（虽 然总共是64

位，但是其中8位是奇偶校验位，实际上密钥只有56

位是有效的）。3DES是对DES算法的三次运行，将替代DES。

3DES需要高级别安全性时使用。3DES 将每个数据块处理三次。 采用112b的密钥。使用密钥 1

加密数据块，使用密钥 2 解密数据 块，使用密钥1 加密数据块

私钥和公钥加密标准 （DES、IDEA、RSA） DES、IDEA、RSA）

IDEA（国际数据加密算法），明文块和密文块都是64位，但密钥

长128位，是目前数据加密中应用得较为广泛的一种密码体制。

RSA（根据三位创立者的名字命名），发送者用接受者公钥对消

息加密，接受者用自己的密钥解密。

DES算法的应用误区 DES算法的应用误区

DES算法具有较高的安全性，到目前为止，除了用穷举搜索法对

DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥

的穷举空间为256，这意味着如果一台计算机的速度是每一秒一百

万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，

这是难以实现的，当然，随着科学技术的发展，当出现超高速计算

机后，可考虑把DES密钥的长度再增长一些，以此来达到更高的保 密程度。

由上述DES算法介绍可以看到：DES算法中只用到64位密钥中的其

中56位，而第8、16、24……64位以外的其余56位的组合变化256

才得以使用其他的56位作为有效数据位，才能保证DES算法安全可

靠地发挥作用。如果不了解这一点，把密钥K的8、16、24……64位

作为有效数据使用，将不能保证DES加密数据的安全性，对运用

DES来达到保密作用的系统产生数据被破译的危险，这正是DES算

法在应用上的误区，留下了被人攻击、被人破译的极大隐患。

认证（数字签名、身份认证）

在信息技术中，所谓“认证”，是指通过一定的验证技术，确认系统使用

者身份，以及系统硬件（如电脑）的数字化代号真实性的整个过程。其中

对系统使用者的验证技术过程称为“身份认证”。

身份认证一般会涉及到两方面的内容，一个是识别，一个是验证。所谓识

别，就是要明确访问者是谁？即必须对系统中的每个合法（注册）的用户

具有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不

能具有相同的识别符。所谓验证是指访问者声称自己的身份后（比如，向

系统输入特定的标识符），系统还必须对它声称的身份进行验证，以防止

冒名顶替者。识别符可以是非秘密的，而验证信息必须是秘密的。

身份认证的本质是被认证方有一些信息（无论是一些秘密的信息还是一些

个人持有的特殊硬件或个人特有的生物学信息），除被认证方自己外，任

何第三方（在有些需要认证权威的方案

中，认证权威除外）不能伪造，被

认证方能够使认证方相信他确实拥有那些秘密（无论是将那些信息出示给

认证方或者采用零知识证明的方法），则他的身份就得到了认证。

身份认证的理论分类

单因素静态口令认证 分 类 双因素认证 / 认证 认证

实际的认证手段

What you know? What’s you have? Who are you? Where are you?

认证技术的完整性（SHA、MDS） 认证技术的完整性（SHA、MDS）

报文摘要MD4： ： 报文摘要 创建 128 位散列值并由 RSA Data Security, Inc 开发的散列算法。

报文摘要MD5： ： 报文摘要 消息摘要 5 (MD5) 基于 RFC 1321，它是针对 MD4 中发现的薄弱

环节而开发的。MD5 通过数据块（MD4 完成三项传递）完成四项

传递，对每一项传递的消息中的每个字采用一种不同的数字常量。 MD5 计算中使用的 32

位常量的个数等于 64，最终会产生一个用 于完整性校验的 128 位的哈希。但是 MD5

比较消耗资源，它可比 MD4 提供更强的完整性。 安全散列算法SHA： ： 安全散列算法

以任意长度报文作为输入，按512b的分组进行处理。产生160b的 报文摘要输出。

数字签名与身份认证

数字签名是通过一个单向函数对要传送的报文进

行处理得到的用以认证报文来源并核实报文是否 发生变化的一个字母数字串。

数字证书采用公钥体制，利用一对互相匹配的密

钥进行加密解密。在公钥密码体制中，常用的一 种是RSA体制。证书格式遵循ITU

X.509国际标准。 证书由某个可信的证书发放机构CA建立。

访问控制（存取权限、口令）

访问控制管理指的是安全性处理过程，即妨碍或促进用户

或系统间的通信，支持各种网络资源如计算机、Web服务

器、路由器或任何其它系统或设备间的相互作用。 认证过程主要包含两个步骤： ?

认证：登录过程； ? 自主访问控制（Discretionary Access Control）:校验用

户决定他们是否有权访问具有更高安全控制权限的敏感区 域和文件的认证级别。

12.2.3 非法入侵和病毒的防护

防火墙 入侵检测 安全协议（IPSec、SSL、ETS、PGP、S-HTTP、TLS、Kerberos） 可信任系统

硬件安全性 计算机病毒保护 文件的备份和恢复 个人信息控制 匿名 不可跟踪性

网络设备可靠性 应付自然灾害 环境安全性 UPS

防火墙

简介： 简介： 防火墙作为一种放置于Internet和企业内部网Intranet之

间，进行数据包的访问控制的工具，是我们进行网络安全化

建设中必须考虑的要素。如果把Internet比喻成为现实生活中

的大街，Intranet比喻成一所房子，数据比喻成为来往于大街

和房子之间形形色色的人们，那么防火墙则为守护这所房子 忠实的保安。他会从进出房子的