四级网络工程师10.pptVIP

第10章 网络安全技术 本章要点： 10.1 基本概念 10.2 数据备份 10.3 加密技术 10.4 防火墙 10.5 防病毒 10.6 入侵检测 10.1 基本概念 10.1.1 信息安全威胁 1．窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包，通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点，其数据并没有丢失。 2．截获 信息在传输过程中被非法截获，并且目的结点并没有收到该信息，即信息在中途丢失了。 3．伪造 没有任何信息从源信息结点发出，但攻击者伪造出信息并冒充源信息结点发出信息，目的结点将收到这个伪造信息。 4．篡改 信息在传输过程中被截获，攻击者修改其截获的特定数据包，从而破坏了数据的数据的完整性，然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来，数据似乎是完整没有丢失的，但其实已经被恶意篡改过。 ※重点提示：网络安全是指利用各种网络监控和管理技术，对网络系统的硬、软件和系统中的数据资源进行保护，从而保证网络系统连续、安全且可靠的运行。网络中存在的信息安全威胁有窃听、截获、伪造和篡改。 图10-1 信息安全威胁 10.1.2 网络攻击 1．服务攻击 服务攻击即指对网络中的某些服务器进行攻击，使其“拒绝服务”而造成网络无法正常工作。 2．非服务攻击 利用协议或操作系统实现协议时的漏洞来达到攻击的目的，它不针对于某具体的应用服务，因此非服务攻击是一种更有效的攻击手段。 10.1.3 网络安全的基本要素 （1）机密性 （2）完整性 （3）可用性 （4）可鉴别性 （5）不可抵赖性 10.1.4 计算机系统安全等级 1．D类 D类的安全级别最低，保护措施最少且没有安全功能。 2．C类 C类是自定义保护级，该级的安全特点是系统的对象可自主定义访问权限。C类分为两个级别：C1级与C2级。 （1）C1级 C1级是自主安全保护级，它能够实现用户与数据的分离。数据的保护是以用户组为单位的，并实现对数据进行自主存取控实现制。 （2）C2级 C2级是受控访问级，该级可以通过登录规程、审计安全性相关事件来隔离资源。 3．B类 B类是强制式安全保护类，它的特点在于由系统强制实现安全保护，因此用户不能分配权限，只能通过管理员对用户进行权限的分配。 （1）B1级 B1级是标记安全保护级。该级对系统数据进行标记，并对标记的主客体实行强制存取控制。 （2）B2级 B2级是结构化安全保护级。该级建立形式化的安全策略模型，同时对系统内的所有主体和客体，都实现强制访问和自主访问控制。 （3）B3级 B3级是安全级，它能够实现访问监控器的要求，访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持安全管理员职能、扩充审计机制、当发生与安全相关的事件时将发出信号、同时可以提供系统恢复过程。 4．A类 A类是可验证的保护级。它只有一个等级即A1级。A1级的功能与B3几乎是相同的，但是A1级的特点在于它的系统拥有正式的分析和数学方法，它可以完全证明一个系统的安全策略和安全规格的完整性与一致性。同时，A1级还规定了将完全计算机系统运送到现场安装所遵守的程序。 10.1.4 网络安全模型 1．基本模型 在网络信息传输中，为了保证信息传输的安全性，一般需要一个值得信任的第三方，负责向源结点和目的结点进行秘密信息分发，同时在双方发生争执时，也要起到仲裁的作用。在基本的安全模型中，通信的双方在进行信息传输前，先建立起一条逻辑通道，并提供安全的机制和服务，来实现在开放网络环境中信息的安全传输。 （1）从源结点发出的信息，使用如信息加密等加密技术对其进行安全的转，从而实现该信息的保密性，同时也可以在该信息中附加一些特征的信息，作为源结点的身份验证。 （2）源结点与目的结点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三方以外，对其他用户都是保密的。 图10-2 网络安全基本模型 2．P2DR模型 （1）安全策略（Policy） 安全策略是模型中的防护、检测和响应等部分实施的依据，一个安全策略体系的建立包括策略的制定、评估与执行。 （2）防护（Protection） 防护技术包括：防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网技术和数据备份等，它对系统可能出现的安全问题采取预防措施。 （3）检测（Detection） 检测功能使用漏洞评估、入侵检测等系统检测技术，当攻击者穿透防护系统时，发挥功