《计算机应用技术导论-第6部分网络与呢信息安全技术.ppt》由会员分享,可在线阅读,更多相关《计算机应用技术导论-第6部分网络与呢信息安全技术.ppt(85页珍藏版)》请在三一文库上搜索。
1、计算机应用技术导论,第6部分:网络与信息安全技术,聂明 张永,2014 年 3 月 1 日,主要内容,网络技术基础,1,一、网络技术基础-概述,1.计算机网络概述: 计算机网络是计算机技术与通信技术相结合的产物,它的诞生使计算机的体系结构发生了巨大变化。在当今社会发展中,计算机网络起着非常重要的作用,对人类社会的进步做出了巨大贡献。 现在,计算机网络的应用遍布全世界及各个领域,并已成为人们社会生活中不可缺少的重要组成部分。从某种意义上讲,计算机网络的发展水平不仅反映了一个国家的计算机科学和通信技术的水平,也是衡量其国力及现代化程度的重要标志之一。,一、网络技术基础-概述,一、网络技术基础-概述
2、,一、网络技术基础-概述,计算机网络的主要功能,一、网络技术基础-概述,计算机网络特点: 可靠性 高效性 独立性 扩充性 廉价性 分布性 易操作性,目前,计算机网络的应用主要体现在以下几个方面:,一、网络技术基础-概述,一个完整的计算机网络系统是由网络硬件和网络软件所组成的。,一、网络技术基础-概述,一、网络技术基础-概述,网络软件的组成,一、网络技术基础-概述,计算机网络中的通信线路和结点相互连接的几何排列方法和模式称之为网络的拓扑结构,主要有总线型、星型、树型、环型、网状等。,总线型拓扑结构,一、网络技术基础-概述,优点:单点故障不影响全网,结构简单。增删节点及维护管理容 易;故障隔离和检
3、测容易,延迟时间较短。 缺点:成本较高,资源利用率低;网络性能过于依赖中心节点。,一、网络技术基础-概述,局域网较多采用此结构,树型拓扑结构,工作站,工作站,打印机,服务器,集线器,集线器,集线器,集线器,一、网络技术基础-概述,优点:具有较高的可靠 性。某一线路或 节点有故障时, 不会影响整个网 络的工作。 缺点:结构复杂,需要 路由选择和流控 制功能,网络控 制软件复杂,硬 件成本较高,不 易管理和维护。,一、网络技术基础-概述,广域网较多采用此结构,一、网络技术基础-概述,计算机网络的分类: 1.按覆盖范围分类:局域网、城域网、广域网 2.按传播方式分类:广播网络、点-点网络 3.按传输
4、介质分类:有线网、无线网 有线网主要有:双绞线、光纤。 无线网主要有:微波通信网、卫星通信网。,网络技术的发展趋势,一、网络技术基础-概述,一、网络技术基础-数据通信,2.数据通信基础: 计算机网络的基础是数据通信,数据通信是指发送方将需要发送的数据转换成信号并通过物理信道传输到接收方的过程。 现代数据通信都是数字信号类型。 数据通信的主要技术指标包括:数据传输速率、信道容量、带宽、误码率、时延。 传输介质是通信网络中发送方和接收方之间的物理通路,主要就是前述的有线和无线类型,如光纤、双绞线、微波等。,一、网络技术基础-数据通信,网络中两台计算机的通信过程,一、网络技术基础-数据通信,网络通信
5、系统设计中要解决的基本问题有: 数据传输类型 频带传输、基带传输 数据通信方式 串行通信、并行通信 单工通信、半双工或全双工通信 数据传输的同步方式 同步通信、异步通信,一、网络技术基础-数据通信,多路复用技术: 通信工程中用于通信线路铺设的费用相当高,而且通信介质的传输能力都超过单一信道所需带宽,故此广泛采用多路复用技术。 常见的多路复用类型包括:频分多路复用(FDM)时分多路复用(TDM)、波分多路复用(WDM)。 数字电信号传输普遍采用时分复用技术。 光信号传输采用波分复用技术。 CDMA(CodeDivisionMultipleAccess)码分多址、WCDMA (宽带码分多址)和TD
6、-SCDMA(时分同步码分多址)都是复用技术的代表。,一、网络技术基础-数据通信,异步时分复用示意图,一、网络技术基础-体系结构与协议,体系结构与协议: 网络体系结构是为了完成计算机间的协同工作,把计算机间互连的功能划分成具有明确定义的层次,规定了同层次进程通信的协议及相邻层之间的接口服务。网络体系结构是网络各层及其协议的集合。 协议是指两个实体间完成通信或服务所必须遵循的规则和约定。,计算机之间相互通信涉及到许多复杂的技术问题,而解决这一复杂问题十分有效的方法是分层解决。为此,人们把网络通信的复杂过程抽象成一种层次结构模型。,一、网络技术基础-体系结构与协议,计算机网络系统采用层次化网络体系
7、结构具有以下优点。,一、网络技术基础-体系结构与协议,OSI结构示意图,国际标准化组织ISO于1981年制定了开放系统互连参考模型,OSI(Open System Interconnection )。OSI模型将整个网络按照功能划分成7个层次。,一、网络技术基础-体系结构与协议,数据的实际传递过程,发送方,接收方,一、网络技术基础-体系结构与协议,1、TCP/IP协议的起源 美国国防部高级研究计划局(ARPA)从20世纪60年代开始致力于研究不同类型计算机网络之间的相互联接问题,并成功开发出了著名的传输控制协议/网际协议(TCP/IP)协议。 2、TCP/IP协议的特点 开放的协议标准:可以免
8、费使用,并且独立于特定的计算机硬件与操作系统。 独立于特定的网络硬件:可以运行在局域网、广域网,更适用于互联网中。 统一的网络地址分配方案:使得整个TCP/IP设备在网中都具有唯一的IP地址。 标准化的高层协议:可以提供多种可靠的用户服务。,一、网络技术基础-体系结构与协议,TCP/IP协议,TCP/IP参考模型分为四层:应用层、传输层、互联层、网络接口层。TCP/IP的结构与OSI结构的对应关系如下图所示。,TCP/IP模型与OSI模型对照,一、网络技术基础-体系结构与协议,一、网络技术基础-体系结构与协议,一、网络技术基础-体系结构与协议,1969年美国国防部高级研究计划局(ARPA)按照
9、层次结构思想进行计算机网络模块化研究,开发了一组从上到下单向依赖关系的协议栈(Protocol Stack),也叫做协议族。,IP地址 在Internet网上,每台主机、终端、服务器、以及路由器都有自己的IP地址,这个IP地址是全球唯一的,用于标识该机在Internet网中的位置。IP地址与IP地址的分类如下图所示。,一、网络技术基础-体系结构与协议,IP路由交换 同一个网络区域内的主机可以直接相互通信,而不同网络区域内的主机则无法直接相互通信,必须通过IP路由器进行中转。两个使用TCP/IP协议的网络之间的连接通常依靠IP路由器来完成。例如,利用路由器X和路由器Y来连接甲、乙两个网络的实现如
10、下图所示。,利用路由器连接甲、乙两个网络,一、网络技术基础-体系结构与协议,一、网络技术基础-体系结构与协议,1、域名地址 Internet采用了一套和IP地址对应的地址表示方法,称为域名系统(DNS)。DNS使用与主机位置、作用、行业有关的一组字符来表示IP地址,这组字符类似于英文缩写或汉语拼音。 2、域名结构 Internet的域名系统和IP地址一样,采用典型的层次结构,每一层由域或标号组成,其结构如下表所示。,域名系统,域名结构示意图,3、域名分配 域名的层次结构给域名的管理带来了方便,每一部分授权给某个机构管理,授权机构可以将其所管辖的名字空间进一步划分,最后形成树形的层次结构,如下图
11、所示.,一、网络技术基础-体系结构与协议,IPv6协议,IPv4本身存在一些局限性,因而面临着以下问题。 IP地址的消耗引起地址空间不足:IP地址只有32位,可用的地址有限,最多接入的主机数不超过232。 IPv4缺乏对服务质量优先级、安全性的有效支持。 lPv4协议配置复杂, 特别是随着个人移动计算机设备上网、网上娱乐服务的增加、多媒体数据流的加入,以及出于安全性等方面的需求,迫切要求新一代IP协议的出现。 为此,互联网工程任务组IETE开始着手下一代互联网协议的制定工作。IETE于1991年提出了请求说明,1994年9月提出了正式草案,1995年底确定了IPng的协议规范,被称为“IPv6
12、”,1995年12月开始进入Internet标准化进程。,一、网络技术基础-体系结构与协议,IPv6在技术上做了许多改进,它具有以下5个方面的特点。,一、网络技术基础-体系结构与协议,IPv6地址长度为128位 有三种格式,首选格式、压缩格式和内嵌格式。 首选格式如: 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A 压缩格式:将地址中不必要的0去掉,如: 21DA:D3:0:2F3B:2AA:FF:FE28:9C5A 内嵌格式:这是作为过渡机制中的一种方法。IPv6地址的前面部分使用十六进制表示,而后面部分使用IPv4地址,如: 0:0:0:0:0:0:192.
13、168.1.201 或:192.168.1.201 0:0:0:0:0:ffff:192.168.1.201 或:ffff:192.168.1.201,一、网络技术基础-体系结构与协议,一、网络技术基础-网络综合布线,1.我们都在使用综合布线系统 综合布线系统就是网络系统的传输通道和基础,没有综合布线系统,我们就无法获取各种信息。 2.综合布线系统基本概念 综合布线系统就是用数据和通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,是能支持语音、数据、影像和其他控制信息技术的标准应用系统。 3.综合布线系统是智能建筑、物联网、数字化城市的基础,还是建筑物的基础设施。,一、网络技术基础-
14、网络综合布线,按照GB 50311-2007综合布线系统工程设计规范国家标准规定,综合布线系统工程按照以下七个部分进行分解: 1. 工作区子系统 2. 水平子系统 3. 垂直子系统 4. 建筑群子系统 5. 设备间子系统 6. 进线间子系统 7. 管理间子系统,综合布线示例:,1)总平面图,2)鸟瞰图,3)透视图,一、网络技术基础-网络综合布线,平面走线布局图,一、网络技术基础-网络综合布线,工程施工现场图,一、网络技术基础-网络综合布线,常用器材,一、网络技术基础-网络综合布线,超五类屏蔽电缆,六类电缆,“RJ”45型接口,室内光缆,超五类模块,86型面板,SC连接器,配线机柜,线管线槽,施
15、工常用工具,一、网络技术基础-网络综合布线,常用施工技术,一、网络技术基础-网络综合布线,网线端接,光纤熔接,系统布线,一、网络技术基础-网络设备管理,网络系统中最重要的设备为: 1. 交换机(二层交换机、三层交换机) 2. 路由器 3. 服务器 设备管理技术主要包括相关设备的配置、监控、排错、性能优化等。 网络设备的主要生产厂商有: Cisco(思科) H3C(华三) 锐捷,一、网络技术基础-网络设备管理,交换机配置-命令模式,一、网络技术基础-网络设备管理,WinServer网络服务器系统配置,一、网络技术基础-网络设备管理,Linux网络服务器系统配置,项目的招投标阶段,项目的启动阶段,
16、项目的实施阶段,项目的测试阶段,项目的验收阶段,项目的培训和售后服务阶段,一、网络技术基础-网络工程技术,一、网络技术基础-网络工程技术,网络工程项目实施流程 1.项目规划; 2.项目动员; 3.开局培训; 4.项目启动; 5.试点(样板)开局; 6.项目实施; 各项目组进场实施(综合布线、设备安装)支持调试日报、周报实施完毕用户接口人培训转入试运行 7.工程实施会议; 8.项目验收; 9.工程培训; 10.转入售后;,二、移动网络技术,全球移动互联网用户增长迅速 并逐步超越固定互联网用户规模,国内移动互联网规模日益增加,二、移动网络技术,移动互联网成为当前全球信息产业竞争的焦点,二、移动网络
17、技术,移动互联网成为当前全球信息产业竞争的焦点,二、移动网络技术,移动互联网是互联网的延伸,未来的发展方向,从终端的定义:用户使用手机、上网本、笔记本电脑、平板电脑、智能本等移动终端,通过移动网络获取移动通信网络服务和互联网服务,从技术层面的定义:以宽带IP为技术核心,可以同时提供语音、数据、多媒体等业务的开放式基础电信网络,移动互联网四要素,二、移动网络技术,二、移动网络技术,移动互联网的典型应用:,二、移动网络技术,电子阅读,手机游戏,移动视频,移动搜索,移动社区,移动商务,移动支付,随着计算机网络技术的发展,网络中传输的信息的安全性和可靠性成为用户所共同关心的问题。人们都希望自己的网络能
18、够更加可靠地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全性和可靠性,是保证网络正常运行的前提和保障。,Internet,防火墙,普通用户,网关,安全 垃圾邮 内容 审计 件网关 过滤,数据库服务器群,应用服务器群,三、信息安全技术-概述,网络安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不会中断。,三、信息安全技术-概述,黑客攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。,黑客攻击,计算机病毒,拒绝服务攻击,黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法
19、使用网络资源。,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。,三、信息安全技术-概述,网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。,网络的漏洞,服务器的漏洞,操作系统的漏洞,包括网络传输时对协议的信任以及网络传输漏洞,比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。,三、信息安全技术-概述,网络安全破坏的技术手段是多种多样的,了解最通常的破坏手段,有利于加强技术防患。,三、信息安全技术-概述,在网络设计和运行中应考虑一些必要的安全措施,以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全和
20、网络安全管理等4个方面进行考虑。 1、物理安全措施 物理安全性包括机房的安全、所有网络的网络设备(包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。 2、访问控制措施 访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下个方面:,三、信息安全技术-概述,三、信息安全技术-概述,6,网络检测和锁定控制:网络管理员对网络实施监控,服务器应记录用户对网络资源的访问,对于非法访问应报警。,7,网络端口和节点的安全控制:网络服务
21、器端口使用自动回呼设 备、静默调制解调器加以保护,并以加密形式识别节点的身份。,8,防火墙控制:防火墙成为是互连网络上的首要安全技术,是设置在网络与外部之间的一道屏障。,3、网络通信安全措施 建立物理安全的传输媒介; 对传输数据进行加密;,三、信息安全技术-概述,4、网络安全管理措施 除了技术措施外,加强网络的安全管理,制定相关配套,检查和 互协,渗透测试,安全设计,设备配置,安全漏洞 分析,安全策略,安全需求,安全结构,安全评估,安全评估,安全评估,的规章制度、确定安全管理等级、明确安全管理范围、采取系统维护方法和应急措施等,对网络安全、可靠地运行,将起到很重要的作用。实际上,网络安全策略是
22、一个综合, 要从可用性、实用性、完整性、可靠性和保密性等方面综合考虑,才能得到有效的安全策略。,三、信息安全技术-概述,数据加密和数字认证是信息安全的核心技术。其中,数据加密是保护数据免遭攻击的一种主要方法;数字认证是解决网络通信过程中双方身份的认可,以防止各种敌手对信息进行篡改的一种重要技术。 数据加密和数字认证的联合使用,是确保信息安全的有效措施。,三、信息安全技术-加密与认证,计算机密码学是研究计算机信息加密、解密及其变换的新兴科学,密码技术是密码学的具体实现, 它包括4个方面:保密(机密)、消息验证、消息完整和不可否认性。,三、信息安全技术-加密与认证,密码技术包括数据加密和解密两部分
23、。加密是把需要加密的报文按照以密码钥匙(简称密钥)为参数的函数进行转换,产生密码文件;解密是按照密钥参数进行解密,还原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密,经过信道传输,到信宿接收时进行解密,以实现数据通信保密。,加 密,密钥,报 文,解 密,原报文,加密解密模型,明文,密文传输,明文,信源,加密单元,解密单元,信宿,三、信息安全技术-加密与认证,数字认证是一种安全防护技术,它既可用于对用户身份进行确认和鉴别,也可对信息的真实可靠性进行确认和鉴别,以防止冒充、抵赖、伪造、篡改等问题。数字认证技术包括数字签名、数字时间戳、数字证书和认证中心等。 1、数字签名 “数字签名
24、”是数字认证技术中其中最常用的认证技术。在日常工作和生活中,在书面文件上签名有两个作用:一是因为自己的签名难以否认,从而确定了文件已签署这一事实;二是因为签名不易伪冒,从而确定了文件是真实的这一事实。但是,在计算机网络中传送的报文又如何签名盖章呢,这就是数字签名所要解决的问题。,三、信息安全技术-加密与认证,在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致,则说明发送的信息原文在传送过程中没有被破坏或篡改, 从而得到准确的原文。,数字签名的验证及文件的窜送过程,三、信息安全技术-加密与认证,2、数字时间戳(DTS) 在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,数字
25、时间戳就是为电子文件发表的时间提供安全保护和证明的。DTS是网上安全服务项目,由专门的机构提供。数字时间戳是一个加密后形成的凭证文档,它包括三个部分: 需要加时间戳的文件的摘要 DTS机构收到文件的日期和时间 DTA机构的数字签名 数字时间戳的产生过程:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将这个摘要发送到DTS机构,DTS机构在加入了收到文件摘要的日期和时间信息后,再对这个文件加密(数字签名),然后发送给用户。,三、信息安全技术-加密与认证,3、数字证书 数字证书从某个功能上来说很像是密码,是用来证实你的身份或对网络资源访问的权限等可出示的一个凭证。数字证书包括:,三、
26、信息安全技术-加密与认证,持卡人CCA,持卡证件,商家MCA,商家证件,支持网关PCA,支付网关证件,根CA,品牌CA,地方CA,CA认证体系的层次结构,4、认证中心(CA) 认证中心是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。它的主要任务是受理数字凭证的申请,签发数字证书及对数字证书进行管理。,CA认证体系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成,上一级CA负责下一级CA数字证书的申请签发及管理工作。,三、信息安全技术-加密与认证,防火墙的逻辑结构示意图,为了防止病毒和黑客,可在该网络和Internet之间插入一个中介系统,
27、竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障,其作用与古代防火砖墙有类似之处,人们把这个屏障就叫做“防火墙” 。,三、信息安全技术-防火墙,1、作为网络安全的屏障 2、可以强化网络安全策略 3、对网络进行监控审计 4、可以防止内部信息的外泄,包过滤防火墙的工作原理示意图,内部网络,Internet,外部网络,包过滤防火墙,三、信息安全技术-防火墙,随着企业网应用的不断扩大,企业网的范围也不断扩大,从一个本地网络发展到一个跨地区跨城市甚至跨国家的网络,为保证区域间流通的企业信息安全,通过租用昂贵的跨地区数字专线方式建立物理上的专用网非常困难。 现在可通过Internet提供的虚
28、拟专用网(Virtual Private Network,VPN)技术,使家庭办公、移动用户或其它用户主机可以很方便地访问企业服务器。用户就像通过专线连接一样,而感觉不到公网的存在,这种网络被称为VPN。,三、信息安全技术-VPN,VPN是通过一个公用网络建立的一个临时、安全的连接方式,是一条穿越混乱的公用网络的安全、稳定的隧道,其目标是在不安全的公用网络上建立一个安全的专用通信网络。 VPN的最大优点是无需租用电信部门的专用线路,而由本地ISP所提供的VPN服务所替代。因此,人们越来越关注基于Internet的VPN技术及其应用。,虚拟专用网示意图,三、信息安全技术-VPN,计算机病毒是由计
29、算机黑客编写的有害程序,具有自我传播和繁殖的能力,破坏计算机的正常工作。 Internet/Intranet的迅速发展和广泛应用给病毒提供了新的传播途径,网络将正逐渐成为病毒的第一传播途径。 Internet/Intranet带来了两种不同的安全威胁:一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒;另一种威胁来自电子邮件。 网络使用的简易性和开放性使得这种威胁越来越严重。正因为如此,网络病毒的防治技术显得越来越重要。因此,网络病毒的传播、再生、发作将造成比单机病毒更大危害。,三、信息安全技术-病毒防治,1. 感染方式多,2. 感染速度快,3. 清除难度大,4. 破坏性
30、强,5. 激发形式多样,6. 潜在性,计算机网络的主要特点是资源共享。那么,一旦共享资源染上病毒,网络各结点间信息的频繁传输将把病毒感染到共享的所有机器上,从而形成多种共享资源的交叉感染。在网络环境中的病毒具有以下6个方面的特点:,三、信息安全技术-病毒防治,1、病毒的预防 引起网络病毒感染的主要原因在于网络用户本身。因此,防范网络病毒应从两方面着手。第一,对内部网与外界进行的数据交换进行有效的控制和管理, 同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。 2、病毒清除 可靠、有效地清除病毒,并保证数据的完整性是一件非常必要和复杂的工作。优秀的防毒软件应该不仅能够正确识别已有的病毒变种,同时也应该能够识别被病毒感染的文件。 然而,防毒软件并不是万能的,对付计算机病毒的最好方法是要积极地做好预防工作, 而不能寄托于病毒工具软件。,三、信息安全技术-病毒防治,四、相关职业岗位能力,本部分知识可为您从事下列职业提供岗位能力支持: 网络工程项目管理工程师 计算机网络技术工程师 网络系统运维管理工程师 网络信息安全管理工程师 综合布线工程师 移动网络应用工程师 ,谢 谢!,