计算机网络安全技术网络安全技术-重点.docVIP

网络自身的设计缺陷： 1.协议本身的不安全性;2应用中出现的不安全因素;3.网络基础设施发展带来不安全因素 计算机系统安全定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 计算机网络安全可理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等 网络安全包括以下5个基本要素： 1.机密性2.完整性3.可用性 4.可控性5.可审查性。 .物理威胁: 1.物理安全:不允许其他人拿到或看到不属于自己的东西。2.窃取3.废物搜寻4.间谍行为5.假冒 系统漏洞威胁: 系统漏洞：系统在方法、管理或技术中存在的缺点(通常称为bug)，而这个缺点可以使系统的安全性降低。1不安全服务2配置和初始化错误 线缆连接威胁借助网络传输介质(线缆)对系统造成的威胁。1窃听2拨号进入3冒名顶替 有害程序威胁:1.病毒2.逻辑炸弹3.特洛伊木马4.间谍软件 主要的安全性指标:1.数据完整性2.数据可用性3.数据保密性 安全等级: D类安全等级。 D1(只为文件和用户提供安全保护)DOS,WIN95/98 C类安全等级。该类安全等级能够酌情提供安全保护，并为用户的行动和责任提供审计能力。划分为C1和C2两类。(Unix、NetWare3.x、Windows NT属于C2级) B类安全等级。B类安全等级可分为B1、B2和B3三类 。 A类安全等级。A系统的安全级别最高。A1 安全隔离: 目标是在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成不同网络之间信息的安全交换和共享。 安全隔离技术已经过了以下几个发展阶段：完全隔离。硬件卡隔离。数据转播隔离。空气开关隔离。安全通道隔离。 网络分段:1.物理分段.通常是指将网络从物理层和数据链路层上分为若干网段，各网段之间无法进行直接通信。2.逻辑分段.则是指将整个系统在网络层之上进行分段。 加密通道:建立在数据链路层、网络层、传输层、应用层 1.数据链路层加密(VPN)2.网络层加密(网络层VPN)IPSec。3.传输层加密:SSL(安全套接层);TLS(传输层安全);SSL介于应用层协议和TCP/IP之间，为传输层提供安全。4.应用层加密:与具体应用结合紧密，有SHTTP(安全超文本传输协议)、SMIME(电子邮件加密和数字签名技术)等。 安全扫描:基于网络的扫描器:基于主机的扫描器: 蜜罐技术:蜜罐(Honeypot)是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的“陷阱”系统。 蜜罐的分类:(1).牺牲型蜜罐:1.是一台简单的为某种特定攻击设计的计算机。2一般放置在易受攻击的地点，并假扮为攻击的受害者 ，为攻击者提供极好的攻击目标。不足时提取攻击数据比较难，而且本身也会被攻击者利用来攻击其他的主机。(2)外观型蜜罐:1.外观型蜜罐仅仅对网络服务进行仿真，而不会导致主机真正被攻击，从而蜜罐的安全不会受到威胁。(3)测量型蜜罐:1.测量型蜜罐综合了牺牲型蜜罐和外观型蜜罐的特点2.与牺牲型蜜罐类似，为攻击者提供了高度可信的系统3.与外观型蜜罐类似，非常容易访问，但攻击者很难绕过 物理隔离技术:基本思想：如果不存在与网络的物理连接，网络安全威胁便可大大降低。 物理隔离技术的目的：实现内外网信息的隔离。 物理隔离两种类型:网络隔离和数据隔离两种 一个好的备份系统:应该是全方位、多层次的，它应该具有下列特点:1.·集中式管理。2.自动化的备份。3.对大型数据库的备份和恢复。4.具备较强的备份索引功能。5.归档管理。6.系统灾难恢复。7.具有较好的可扩展性。 身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。:1.所知道的2.所拥有的3.本身的特征 3A1.认证(Authentication)是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。 2.授权(Authorization)是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。只有通过认证的用户才允许访问系统资源，在许多情况下当一个用户通过认证后通常不可能赋予访问所有系统资源的权限。 3.审计(Accounting)审计也称为记帐(Accounting)或审核，出于安全考虑，所有用户行为都要留下记录，以便进行核查;所采集的数据应该包括登录和注销的用户名、主机名及时间。 好的密码认证应具备:(1) 不使用默认密码、(2)设置足够长的密码、(3)不要使用结构简单的词或数字组合、(4)增加密码的组合复杂度、(5) 使用加密