计算机网络与商务网站技术电子教案刘卫东 第4章 计算机网络安全技术.pptVIP

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。 网络安全具备五个要素，分别是保密性、完整性、可用性、不可否认性、可控性。 网络的互通性导致其必须与外界联系，在网络通讯中其安全受到多方面的威胁，主要的有：物理威胁、系统漏洞威胁、身份鉴别威胁、线缆连接威胁和有害程序等。 1985年美国国防部制定的可信任计算机标准评价准则（TCSEC），TCSEC将操作系统的安全等级由低到高分成了D、C1、C2、B1、B2、B3、A 7个等级。 对于直击雷的防护，可以采用避雷针、避雷带、避雷网、避雷线作为接闪器，把雷电流接下来，用引线引入大地，从而防止直击雷对计算机系统的危害。 对于感应雷的防护，通常采用电源系统实行三级防雷防过压保护、网络设备安装端口的安全防护装置。 磁盘阵列技术 服务器的硬盘故障将导致数据的丢失，甚至整个网络瘫痪。采用磁盘阵列（RAID）技术可以实现硬盘数据冗余。 服务器整机冗余 服务器集群技术可以避免整个系统的瘫痪，最大限度地保证网络正常运转。 数据备份 对于网络中的关键数据应该按照其重要程度，指定相应的备份策略，及时备份。对于实时数据，可采用相应的实时备份软件，实现在线备份。 利用交换机端口的安全特性，既可以限制非法MAC地址的设备接入，也可以设定端口上最大的MAC地址数。交换机端口安全相关命令： 1.开启交换机的端口安全功能： switch port-securitiy 2. 设置端口下的MAC条目： switch port-securitiy maximum 数值 3. 设置超过端口定义的最大MAC条目后端口的响应： switch port-securitiy violation { protect | shutdown | restrict } Telne使用明文在网络上传送口令和数据，易受“中间人”方式的攻击。SSH可以把所有传输的数据进行压缩、加密，防止了“中间人”攻击、DNS和IP欺骗。并且传输的速度很快。SSH相关命令： 1.定义域名： ip domain-name 域名 2.启用并生成SSH密钥：crypto key generate rsa 3.定义SSH 超时时间：ip ssh time-out 时间 4.定义重试次数：ip ssh authentication-retries 次数 5.限制登陆：transport input SSH 在windows 2003 serever中，每个用户账号都有唯一的一个安全标识符（SID），SID用来标识一个用户或组，具有唯一性。 一个安全的用户账号密码应该具备如下特征： 禁止使用弱口令。 密码尽量长，超过八位。 利用数字、大写字母、小写字母、符号随机生成不同的密码。 经常更换密码。 不要保存密码。 不同地方使用不同的密码。 将默认的Administrator帐号改名，设置复杂密码，尽量把它伪装成普通用户。 为管理员创建一个普通权限用户处理日常事物，真正的管理员账号只在管理网络时使用。 创建一个陷阱帐号：用户名为“Administrator”的本地帐户，密码复杂、权限最低、并且已经禁用。 将Guest帐号改名，伪装为普通用户。 为Guest账号设置一个复杂的密码。 停用Guest帐号，需要时再启用。 在Guest用户账号属性中，设置拒绝Guest帐号远程访问。 在本地安全策略中设置账户策略，强制用户必须按照设定规则设置用户账号。 共享数据的安全可以通过设置共享权限、NTFS权限、删除隐含共享来实现。 关闭不必要的服务和端口 开启审核策略 禁止判断主机类型 利用“任务管理器”管理进程 利用命令管理进程 利用“性能”工具管理进程 消息被称为明文，加了密的消息称为密文，为了有效地控制加密和解密算法的实现而设置的专门信息称为密钥。 在对称加密中，数据发送方和接收方采用相同或者可以相互推导出来的密钥。 对称密钥的管理问题是保证加密成功的一个重要环节，既要将密钥传递给数据交换的双方，又要保证在传递过程中不被第三方截取。 DES加密算法是对称加密技术影响力较大的一种加密方法。DES算法将数据按照64位进行分组，使用64位密钥通过16次迭代完成数据加密。 在加密的过程中使用一对密钥，一个用于加密，另一个用来解密，而且不可能从加密密钥推导出解密密钥，反之亦