计算机网络信息安全理论与实践教程 第1章.pptVIP

　　4．网络管理威胁 　　网络管理威胁有多种形式，如误用管理权、安全配置不当、泄露敏感用户名及口令等，这些都将对网络安全构成很大的威胁。 1.4.7 网络脆弱性 　　1．网络通信类脆弱性 　　网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障。然而通信协议及通信设备的安全缺陷往往危及到网络系统的整体安全。例如，由于以太网协议是广播协议，易造成广播风暴或泄露信息，因此，网络的嗅探器(sniffer)大多数就是利用了以太网协议的脆弱性，窃听局部网络的通信信息的。 　　2．网络操作系统类脆弱性 　　目前的操作系统，无论是Windows、UNIX还是Netware都有安全漏洞，这些漏洞一旦被发现和利用，将对整个网络系统造成不可估量的损失。 　　3．网络服务类脆弱性 　　网络服务的脆弱性与网络通信、网络操作系统等都相关联，其安全程度也会影响到整个网络系统。网络服务的脆弱性一般存在于网络服务软件、网络服务认证机制、网络服务响应方式等方面。例如，在UNIX系统中，Sendmail邮件服务常存在安全漏洞。 * 第1章 网络信息安全概论 第1章 网络信息安全概论 1.1 网络安全现状与问题 1.2 网络安全目标与功能 1.3 网络安全技术需求 1.4 网络安全管理内涵 1.5 网络安全管理方法与流程 1.6 本章小结 本章思考与练习 1.1 网络安全现状与问题 1.1.1 网络安全现状 根据美国的CERT安全事件统计数据可得安全事件变化趋势图，如图1-1所示。 图1-1 CERT网络安全事件变化趋势图 1.1.2 典型网络安全问题 　　目前，主要有10个方面的网络安全问题急需解决，分别叙述如下： 　　(1) 信息应用系统与网络的关系日益紧密，人们对网络的依赖性增强，因而网络安全的影响范围日益扩大，建立可信的网络信息环境已成为一个迫切的需求。 　　(2) 网络系统中安全漏洞日益增多，不仅技术上有漏洞，管理上也有漏洞。 　　(3) 恶意代码危害性高。恶意代码通过网络途径广泛扩散，其影响越来越大。 　　(4) 网络攻击技术日趋复杂，而攻击操作容易完成，攻击工具广为流行。 　 　　(5) 网络安全建设缺乏规范操作，常常采取“亡羊补牢”的方式进行维护，导致信息安全共享难度递增，并留下安全隐患。 　　(6) 网络系统有着种类繁多的安全认证方式，一方面使得用户应用时不方便，另一方面也增加了安全管理的工作难度。 　　(7) 国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。 　　(8) 网络系统中软硬件产品的单一性，易造成大规模网络安全事件的发生，特别是网络蠕虫安全事件的发生。 　　(9) 网络安全建设涉及人员众多，安全和易用性特别难以平衡。 　　(10) 网络安全管理问题依然是一个难题，主要有： 　　* 用户信息安全防范意识不强。例如，选取弱口令，使得攻击者从远程即可直接控制主机。 　　* 网络服务配置不当，开放了过多的网络服务。例如，网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接ping内部网主机，允许建立空连接。 　　* 安装有漏洞的软件包。 　　* 缺省配置。例如，网络设备的口令直接用厂家的缺省配置。 　　* 网络系统中软件不打补丁或补丁不全。 　　* 网络安全敏感信息泄露。例如DNS服务信息泄露。 　　* 网络安全防范缺乏体系。 　　* 网络信息资产不明，缺乏分类、分级处理。 　　* 网络安全管理信息单一，缺乏统一分析与管理平台。 　　* 重技术，轻管理。例如，没有明确的安全管理策略、安全组织及安全规范。 1.2 网络安全目标与功能 1.2.1 网络安全目标 　　网络安全目标就是五个基本安全属性，即机密性、完整性、可用性、抗抵赖性和可控性。 　　1．机密性 　　2．完整性 　　3．可用性 　　4．抗抵赖性 　　5．可控性 　 1.2.2 网络安全基本功能 　　要实现网络安全的五个基本目标，网络应具备防御、监测、应急、恢复等基本功能。下面分别简要叙述。 　　1．网络安全防御 　　2．网络安全监测 　　3．网络安全应急 　　4．网络安全恢复 1.3 网络信息安全技术需求 1.3.1 网络物理安全 　　物理安全也称实体安全，是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全，是网络系统安全、可靠、不间断运行的基本保证。物理安全需求主要有： 　　(1) 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护。 　　(2) 设备安全：网络物理实体要能防范各种自然灾害，如要防火、防雷、防水。物理实体要能够抵抗各种物理临近攻击。 　　(3) 媒体安全：包括媒体数据的安全及媒体本身的安全。