课件《网络与信息安全防护》课件.pptVIP

管理安全技术 常见的安全管理技术有以下组成： 网络安全管理 应用安全管理 建立和维护用户账号。 建立和维护被管资源的连接和目录。 建立和维护访问控制列表。 统计、分析审计记录信息。 配置、维护安全平台。 设置会话密钥生命期等。 扫描和防杀病毒。 根据前期网络安全框架和整体安全方案管理选择管理方案组成要素； 根据前期网络安全方案实施过程文档，制定详细管理方案。 * 难点： 是否使用 AH 或 ESP 保护 IP 通信时，需要考虑的内容： AH 通过计算并包含每个数据包经过加密的哈希算法可提供数据身份验证与完整性服务； 一些允许在传输过程更改的字段被排除在外； 数据包重播保护服务是通过包括每个数据包的序列号提供的； ESP 通过计算并包含每个数据包经过加密的哈希算法可提供数据身份验证与完整性服务； 对于 ESP，哈希计算只包括 ESP 报头、尾部与负载； IP 报头不通过哈希算法保护； ESP 通过使用 DES（数据加密标准）或 3DES（三级 DES）加密算法加密 ESP 负载可提供数据必威体育官网网址性服务； 数据包重播保护服务是通过包括每个数据包的序列号提供的； 与对每个数据包进行加密与解密相比，验证每个数据包的哈希所消耗的 CPU 相对较少。如果性能问题是主要的考虑事项，则可使用 AH 来保护大部分通信。需要必威体育官网网址时，可使用 ESP； 注意： 介绍我们通信中需要保护的通信可以使用 AH 或 ESP； 相关习题： 习题3 参考： 实际应用中：可以使用 AH 保护 Intranet 上的通信，使用 ESP 保护通过 Internet 发送的通信； ESP （ Encapsulating Security Payload）：使用封装安全负载； AH（ Authenticated Header）：使用身份验证报头。 * 重点： 介绍 IPSec 策略概念和隧道模式； 注意： 策略是安全设置或规则： 定义了用户所需的安全等级； 包括安全设置应用的地址、协议 。 * * * * 重点： 不同计算机指派的策略会有所不同，那么这些计算机间如何进行加密，就是本张幻灯片表格的对比； 难点： 不同身份验证方法启用场景必要性； 注意： 可以由学生探讨，何种策略方式能够获得最佳级别安全。 相关习题： 习题6 * * * * * 重点： 介绍外围网络的常见部署方式，在实际应用中我们会根据要求或预算的多少来增加或减少图中相关组件； 相关习题： 习题2 参考： 堡垒主机（Bastion host）：在 Internet 和内部网络之间只有一道防火墙时，堡垒主机充当内部网络中要访问 Internet 的计算机的主要连接 * 重点： 掌握一个证书颁发机构的基本组成架构； 注意： 如果学生对此接触比较少，教师可以通过例子对比来进行讲解，例如现有国家公安局对于身份证的管理流程和幻灯片中的内容进行对比介绍，可能学生印象会深刻一些。 * 重点： 明确证书颁发机构 (CA) 的功能：提供和指派加密密钥、解密密钥和身份验证的功能； 讲解证书的概念； 相关习题： 习题7 课堂提问： 学生有没有向 CA 申请过证书的经验？如果有，请讨论一下过程。 本问题是开放式问题，如果使用过网络银行，应该简单了解相关证书的方面内容。 * 重点： 介绍根 CA 和从属 CA ； 注意： 除了图形界面，还可以使用命令行方式进行配置： certreq –policy。 相关习题： 习题3 * 重点： 介绍 Windows Server 2003 中证书颁发机构的部署模型； 注意： 虽然企业 CA 对象保存在 Active Directory 数据库中，但是该 CA 未必需要安装在域控制器上； 注意： 由于商业性质的证书中心会向证书请求者收费，所以必须掌握如何配置证书服务中心。 * 重点： 介绍如果证书管理程序吊销证书后，CA 会在 CRL 中发布吊销信息，这里介绍相关发布方式； 注意： 频繁发布的 CRL 会因为计算机频繁下载更新 CRL 而增加网络通信量； 发布频率过低的 CRL 能减少网络通信量，但是却会增加计算机得知最近吊销的证书的延迟。 * 重点： 在前一页幻灯片介绍了为什么需要考虑 CRL 发布间隔，这里介绍考察的一些因素； 课堂提问： 通常如何从独立 CA 那里请求证书？ 提示：通过位于 http://localhost/certsrv 的 Web 服务； 企业 CA 和独立 CA 的基本区别是什么？ 提示：企业 CA 可以颁发特定于 Windows 2000 域的证书，包括用于智能卡域登录的证书。 * 重点： 讲解吊销证书的发布点概念和作用，并实际演示操作方法； 难点： 为了宣布某个证书无效，必须发布一个证书吊销