第八章网络安全与网络管理ppt.ppt

第八章 网络安全与网络管理 在计算机网络上通信，面临以下的4种威胁。 （1）截获 (interception) （2）中断 (interruption) （3）篡改 (modification) （4）伪造 (fabrication) 上述四种威胁可划分为两大类，即： 被动攻击：截获信息的攻击； 主动攻击：更改信息和拒绝用户使用资源的攻击。 主动攻击又可进一步划分为三种，即： （1）更改报文流 （2）拒绝报文服务 （3）伪造连接初始化 8.1.2 网络安全技术研究的主要问题 网络防攻击问题； 网络安全漏洞与对策问题； 网络中的信息安全保密问题； 防抵赖问题； 网络内部安全防范问题； 网络防病毒问题； 网络数据备份与恢复、灾难恢复问题等。 1. 网络防攻击技术 服务攻击（application dependent attack） : 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常。 例如，攻击者可能针对一个网站的WWW服务，他会设法使该网站的WWW服务器瘫痪，或修改它的主页，使得该网站的WWW服务失效或不能正常工作。 非服务攻击（application independent attack） : 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。 例如，攻击者可能使用各种方法对网络通信设备（如路由器、交换机）发起攻击，使得网络通信设备工作严重阻塞或瘫痪，那么小则一个局域网，大到一个或几个子网不能正常工作或完全不能工作。 网络防攻击技术需要研究的几个问题： 网络可能遭到哪些人的攻击？ 攻击类型与手段可能有哪些？ 如何及时检测并报告网络被攻击？ 如何采取相应的网络安全策略与网络安全防护体系？ 2. 网络安全漏洞与对策的研究 网络信息系统的运行涉及： 计算机硬件与操作系统； 网络硬件与网络软件； 数据库管理系统； 应用软件； 网络通信协议。 网络安全漏洞也会表现在以上几个方面。 3. 网络中的信息安全问题 信息存储安全与信息传输安全 信息存储安全： 如何保证静态存储在连网计算机中的信息不会被非授权网络用户的非法使用； 网络中的非法用户往往通过猜测用户口令或窃取口令的办法，或者是设法绕过网络安全认证系统，冒充合法用户，非法查看、下载、修改、删除未授权访问的信息，使用未授权的网络服务。 信息传输安全： 如何保证信息在网络传输的过程中不被泄露与不被攻击。 信息存储安全一般是由计算机操作系统、数据库管理系统、应用软件与网络操作系统、防火墙来共同完成。通常采用的是用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址过滤等方法。 4. 防抵赖问题 防抵赖是防止信息源结点用户对它发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账； 通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。 5. 网络内部安全防范 6.网络防病毒 引导型病毒； 可执行文件病毒； 宏病毒； 混合病毒； 特洛伊木马型病毒； Internet语言病毒等。 7.网络数据备份与恢复、灾难恢复问题 如果出现网络故障造成数据丢失，数据能不能被恢复？ 如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？ 8.1.3 网络安全服务与安全标准 网络安全服务应该提供以下基本的服务功能： 数据保密（data confidentiality） 防止数据在传输过程中被非授权用户获取。 认证（authentication） 确认进入系统的各用户身份的合法性，是检查用户授权、访问控制、审计的前提条件。 数据完整（data integrity） 保证数据在传输过程中没有被修改、插入或删除。 防抵赖（non-repudiation） 防止出现收发双方对已发信息或已收信息的抵赖行为。 访问控制（access control） 防止非合法用户进入系统，防止授权用户的恶意破坏。（用户口令的加密处理、一次性口令、智能卡、