计算机网络的安全和管理.ppt

第六章 计算机网络的安全和管理 6.1 计算机网络安全 网络信息系统按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理，“安全”一词是指使其没有危险、不受威胁、不出事故，即将服务与资源的脆弱性降到最低限度。脆弱性是指系统的任何弱点。系统的安全包括攻与防两个方面，为了有助于提升计算机网络的安全，不仅要发明新的技术来破坏系统的安全性，同时，又发展新的技术来抵御这种进攻。 从技术角度看，计算机网络安全是一个涉及计算机科学、网络技术、通信技术、密码学、数学、信息论等多种学科的边缘性综合学科 1. 黑客 “黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。 黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。 骇客（cracker）：以破坏系统为目标。 “红客”honker：中国的一些黑客自称“红客”honker。 美国警方：把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。 2、安全隐患 a) 硬件的安全隐患； b) 操作系统安全隐患； c) 网络协议的安全隐患； d) 数据库系统安全隐患； e) 计算机病毒； f) 管理疏漏，内部作案。 2、安全隐患 2、安全隐患 2、安全隐患 2、安全隐患 2、安全隐患 2、安全隐患 2、安全隐患 2、安全隐患 3. 网络安全的基本要素 安全的内涵（要素）：机密性confidentiality、完整性integrity、可用性availability、可控性与可审查性。 1、机密性：确保信息不暴露给未授权的实体或进程。加密机制。防泄密 2、完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。防篡改 数据完整，hash； 数据顺序完整，编号连续，时间正确。 3、可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络 。使静态信息可见，动态信息可操作。 防中断 3. 网络安全的基本要素 4、可控性：可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。 5、可审查性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。 3. 网络安全的基本要素 此外信息系统还应提供认证、访问控制、抗抵赖安全服务。 认证：保证信息使用者和信息服务者都是真实可信的，防止冒充和重演的攻击。真实性 访问控制：这种服务保证信息资源不被非授权地使用。（是否有权使用该资源） 抗抵赖：这种服务可取二种形式。 数字签名 1）源发证明：提供给信息接收者以证据，这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞； 2）交付证明：提供给信息发送者以证据，这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。 4.安全保护的内容 计算机系统安全：物理安全、 运行安全和信息安全 物理安全：环境安全，设备安全和媒体安全。 运行安全：风险分析，审计跟踪，备份与恢复，应急。 信息安全：操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。 1、物理安全 （环境、设备、媒体） 防雷电；门禁系统，防盗、防火、防有害气体；防电磁泄漏。 2、运行安全 为保障系统功能安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急）来保护信息处理过程的安全。 4.安全保护的内容 风险分析：了解影响信息系统安全运行的因素和存在的风险，找出克服这些风险的方法。 计算机信息系统常见的风险有：设计者有意建立或因偶然故障而存在的“后门”；操作过程中的人为错误、意外事故、疏漏和权限错误；硬件故障；计算机系统出错引起的拒绝使用；电磁辐射引起的信息泄漏；火灾和自然灾害；非授权处理和恶意攻击；内部人员进行数据偷窃的犯罪行为；伪造文件和记录；假冒别人的防问代码进入系统；不准确的或过时的信息；故意破坏；传输路径错误；搭线窃听和乘机而入；编程错误；对已删除信息的搜寻和复原；计算机病毒等等。 4.安全保护的内容 审计跟踪：利用计算机信息系统所提供的审计跟踪工具，对计算机信息系统的工作过程进行详尽的跟踪记录，同时保存好审计记录和审计日志，并从中发现和及时解决问题，保证计算机信息系统安全可靠地运行。要求系统