9计算机培训.ppt

第9章 网络安全与管理 内容概览 信息安全技术概述 网络安全分析与安全策略 安全技术 计算机病毒防范 网络管理概述 典型的网络管理技术 网络管理协议 网络故障排除 9.1 信息安全技术概述 信息安全的基本要素 计算机系统的安全等级 9.1.1 信息安全的基本要素 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性：得到授权的实体在需要时可访问数据，即因为防止攻击者不能占用所有的资源而阻碍授权者的工作。 合法性：每个想获得访问的实体都必须经过鉴别或身份验证。 9.1.2 计算机系统的安全等级 美国国防部安全准则：该准则定义了4类7个级别，这些级别的安全性从低到高的顺序是D1、C1、C2、B1、B2、B3、A1 。 欧洲准则： E0级：该级别表示不充分的保证。 E1级：该级别必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化描述。 E2级：除了E1级的要求外，还必须对详细的设计有非形式化的描述。 E3级：除了E2级的要求外，要评估与安全机制相对应的源代码和/或硬件设计图。 E4级：除了E3级的要求外，必须有支持安全目标的安全策略的基本形式模型。 E5级：除了E4级的要求外，在详细的设计和源代码或硬件设计图之间有紧密的对应关系。 E6级：除了E1级的要求外，必须正式说明安全加强功能和体系结构设计，使其与安全策略的基本形式模型相一致。 国际通用准则： EAL1：功能测试级。 EAL2：结构测试级。 EAL3：系统测试和检查级 。 EAL4：系统设计、测试和检查级。 EAL5：半形式化设计和测试级。 EAL6：半形式化验证设计和测试级。 EAL7：形式化验证设计和测试级。 9.2 网络安全分析与安全策略 网络安全的概念和模型 安全威胁 安全管理 9.2.1 网络安全的概念和模型 网络安全：网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。 网络安全模型 安全性的所有机制都包括以下两部分 ： 对被传送的信息进行与安全相关的转换。 两个主题共享不希望对手得知的保密消息。 设计特定安全服务的4个基本任务： 设计加密算法，进行安全性相关的转换。 生成算法使用的保密信息 。 开发分发和共享保密信息的方法 。 指定两个主体要使用的协议，并利用安全算法和保密信息来实现特定的安全服务。 9.2.2 安全威胁 网络内部威胁：计算机系统本身和网络内部的因素 网络外部威胁：外界的环境因素也威胁着计算机系统和网络系统。 9.2.3 安全管理 安全管理原则 安全管理的实现 安全管理原则 多人负责原则 任期有限原则 职责分离原则 安全管理的实现 根据工作的重要程度，确定该系统的安全等级。 根据确定的安全登记，确定安全管理的范围。 制订相应的机房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 9.3 安全技术 密码技术 认证技术 防火墙技术 9.3.1 密码技术 明文（Plaintext）：可以是一段有意义的文字或者数据。 密文（Ciphertext）：应该是一串杂乱排列的数据，从字面上没有任何含义。 加密（Encryption） ：从明文到密文的交换过程 。 密码学模型 对称密钥密码系统（Symmetric Key Cryptography） ：加密和解密采用的是同一密钥，即k=k’并且Dk’（Ek（P））=P 。最常见的算法有DES，IDEA等 公开密钥密码系统（Public Key Cryptography） ：非对称加密，在进行保密通信时通常将加密密钥k公开（称为公钥Public Key）而保留解密密钥k’（称为私钥Private Key）。 9.3.2 认证技术 认证技术主要解决网络通信过程中通信双方的身份认可。 授权是指把访问权限授予某一个用户、用户组或指定系统的过程。 访问控制是指限制系统资源中的信息只能流到网络中的被授权的个人或系统。 9.3.2 防火墙技术 防火墙技术是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的网络安全技术。 外部防火墙和内部防火墙。 保护脆弱的服务 控制对系统的访问 集中的安全管理 增强的保密性 记录和统计网络利用数据以及非法使用数据 策略执行 防火墙的类型： 包过滤防火墙 代理防火墙 双缩主机防火墙 9.4 计算机病毒防范 病毒的特点 病毒的类型 病毒的传染方式 反病毒技术概述 计算机病毒技术的新动向 9.4.1 病毒的特点 破坏性 程序性 传染性 潜伏性 可激活性 主动性 针对性 非授权性 隐蔽性 衍生性