第六章网络安全.pptVIP

对策－网络安全策略 安全策略是指在某个特定的环境中，为达到一定级别的安全保护需求所必须遵守的诸多规则和条例。安全策略包括3个重要组成部分：安全立法、安全管理、安全技术。 安全策略的实施 第一，重要的商务信息和软件的备份应当存储在受保护、限制访问且距离源地点足够远的地方，这样备份数据就能逃脱本地的灾害。因此需要将关键的生产数据安全地存储在一个非在线的位置。 第二，需要给网络环境中系统软件打上最新的补丁。各公司的联网系统应当具备一套可供全体员工使用的方法以方便地、定期地检查最新的系统软件补丁、bug修复程序和升级版本。当需要时，此方法必须能够为连接Internet和其他公用网络的计算机迅速安装这些新的补丁、bug修复程序和升级版本。 第三，安装入侵检测系统并实施监视。为了让企业能快速响应攻击，所有与Internet连接的、设置多用户的计算机必需运行一套信息安全部门认可的入侵检测系统。 第四，启动最小级别的系统事件日志。计算机系统在处理一些敏感、有价值或关键的信息时必须可靠地记录下重要的、与安全有关的事件。与安全有关的事件包括：企业猜测口令、使用未经授权的权限、修改应用软件以及系统软件。 网络安全标准与政策现状 美国TCSEC（桔皮书） 欧洲ITSEC 加拿大CTCPEC 美国联邦准则（FC ） 联合通用准则（CC） ISO安全体系结构标准 身份认证 访问控制 数据完整性 安全审计 隐蔽信道分析 工作机制 包过滤技术可以允许或禁止某些包在网络上传 递，它依据的是以下的判断规则。 (1) 对包的目的地址作出判断。 (2) 对包的源地址作出判断。 (3) 对包的传送协议(端口号)作出判断。 性能特点 优点 (1) 因为包过滤防火墙工作在IP和TCP层，通常安装在路由器上（故又称屏蔽路由器），配置简便、经济·，处理包的速度要比代理服务型防火墙快； (2) 提供透明的服务，用户不用改变客户端程序。 缺点 (1) 因为只涉及到TCP层，无法识别基于应用层的恶意攻击，所以与代理服务型防火墙相比，它提供的安全级别很低； (2) 不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息，有经验的黑客很容易伪造IP地址，骗过包过滤防火墙进行攻击； (3) 不提供日志功能。 性能特点 优点 (1) 提供的安全级别高于包过滤型防火墙。 (2) 可以强制执行用户认证。 (3) 代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志。 缺点 代理的速度比包过滤慢，不太适用于高速网(如 千兆网、ATM网)之间的应用，然而已有改进。 2．屏蔽主机体系结构 屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，堡垒主机是 Internet 上的主机能连接到的惟一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。 同样内部网也只有堡垒主机可以连接 Internet，堡垒主机实际也就是代理服务器，如图所示。 3．屏蔽子网体系结构 屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到一个处于内网和外网之间的所谓隔离网，也就是停火区或者非军事区(DMZ，Demilitary zone)。一个位于隔离网与内部网络之间，另一个位于隔离网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。堡垒主机安装在这个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，仍然必须通过内部路由器访问内部网络(如图所示)。 密码攻防对策 保持密码安全的要点如下。 (1) 不要将密码写下来。 (2) 不要将密码保存在电脑文件中。 (3) 不要选取显而易见的信息做密码。 (4) 不要让别人知道。 (5) 不要在不同系统中使用同一密码。 (6) 为防止眼捷手快的人窃取密码，在输入密码时 应确认无人在身边。 (7) 定期改变密码，至少6个月改变一次。 DoS攻击 带宽攻击指以极大通信量冲击网络，耗尽网络资源，导致合法用户无法请求服务。 连通性攻击是指用大量连接请求冲击计算机，耗尽OS资源，导致计算机无法处理合法用户请求。 攻击者还借助于C/S技术将多台计算机联合起来作为攻击平台，对