计算机网络安全 第11章.ppt

网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 1. 网络实体安全 如机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的的安装及配置等。 2. 软件安全 如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改，不受病毒的侵害等。 3. 网络数据安全 如保护网络信息的数据安全不被非法存取，保护其完整一致等。 4. 网络安全管理 如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等。 （1）截获：攻击者从网络上窃听信息。 （2）中断：攻击者有意中断网络上的通信。 （3）篡改：攻击者有意更改网络上的信息。 （4）伪造：攻击者使假的信息在网络上传输。 1.是来自外部的不安全因素，即网络上存在的攻击。 2.是来自网络系统本身的。 3.是网络应用安全管理方面的原因，网络管理者缺乏网络安全的警惕性，忽视网络安全，或对网络安全技术缺乏了解，没有制定切实可行的网络安全策略和措施。 4.是网络安全协议的原因。 1. 在安全监测和评估方面，包括网络、保密性以及操作系统的检测与评估。 2. 在安全体系结构方面制定的OSI网络安全体系结构，包括安全服务和安全机制，主要解决网络信息系统中的安全与保密问题。 对等实体鉴别服务 访问控制服务 数据保密服务 数据完整性服务 数据源鉴别服务 禁止否认服务 （1）不把内部网络和外部网络相连，因此一切都被禁止。 （2）除那些被明确允许之外，一切都被禁止。 （3）除那些被明确禁止之外，一切都被允许。 （4）一切都被允许，当然也包括那些本来被禁止的。 （1）网络用户的安全责任 （2）系统管理员的安全责任 （3）正确利用网络资源 （4）检测到网络安全问题时的对策 网络安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及四个方面： 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击； 验证用户的身份和使用权限、防止用户越权操作； 确保计算机系统有一个良好的电磁兼容工作环境； 建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生； 抑制和防止电磁泄漏是物理安全策略的一个主要问题。 ① 入网访问控制 ② 网络的权限控制 ③ 目录级安全限制 ④ 属性级安全控制 确定安全管理等级和安全管理范围； 制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。 黑客是英文hacker的译音，原意为热衷于电脑程序的设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣的人。 入侵者（攻击者）指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。 黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。 1．收集目标计算机的信息。 2．寻求目标计算机的漏洞和选择合适的入侵方法。 3. 留下“后门”。 4. 清除入侵记录。 扫描是网络攻击的第一步，通过扫描可以直接截获数据包进行信息分析、密码分析或流量分析等。通过扫描查找漏洞如开放端口、注册用户及口令、系统漏洞等。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。 Sniffor程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太同卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 “特洛伊木马”（trojan horse）简称“木马”，是一种计算机程序，它驻留在目标计算机里。在目标计算机系统启动的时候，自然启动，在某一端口进行侦听。 1. 口令攻击 2. 拒绝服务的攻击 3. 网络监听 4. 缓冲区溢出 5. 电子邮件攻击 6. 其它攻击方法 物理层安全防护； 链路层安全保护； 网络层安全防护； 传输层安全防护； 应用层安全防护。 1. 安全使用 以Windows 2000 Server为例，正确地使用操作系统。 2. 消除漏洞 在使用某种操作系统时，应经常进行安全检测及查找漏洞，关注系统漏洞的发布以及补丁程序的发布，并及时下载、安装在系统中。 3. 安全策略配置 防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通