第9章网络安全与网络管理解析.ppt

第9章 网络安全与系统管理 本章讨论了为确保系统安全稳定运转，应该采用切实可行的网络安全策略和保护措施。介绍了简单网络管理协议的基本原理，讨论了简单网络管理协议在处理与软件相关的管理问题时所用到的一些思想，以及网络故障诊断和排除的方法。 9.1 系统的安全策略 9.1.1 网络安全概述 9.1.2 物理安全策略 9.1.3 访问控制策略 9.1.1 网络安全概述 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。网上信息的安全和保密成为一个非常重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。 网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。因此要解决网络安全问题，必须要有综合的解决方案。 9.1.2 物理安全策略 1. 机房物理安全 2. 机房电气安全 3. 抑制和防止电磁泄漏 9.1.3 访问控制策略 虽然各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。Linux网络操作系统提供了用户账号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。因此，网络系统管理员必须小心地设置这些安全机制。 1入网访问控制 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 用户的管理包括对用户的增加和删除以及限制等操作。 （1）建立用户时的考虑 （2）确保用户口令文件的安全 2. 网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。 文件系统的安全主要是通过设置文件的权限来实现的。 （1）文件许可权 文件属性决定了文件的被访问权限，即什么人可以存取或执行该文件。 （2）目录级安全控制 对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。 （3）属性安全控制 当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。 属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。 3 网络服务器安全控制 网络服务器的安全控制应包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。网管主机不得访问Internet。设立专用主机供使用ftp或WWW下载工具和资料。网络配置原则是“用户权限最小化”，例如关闭不必要或者不了解的网络服务， 不用电子邮件寄送密码等。 9.2 攻击防御和安全防范 9.2.1 网络安全防范策略 9.2.2 网络病毒与防治 9.2.3 其它安全技术 9.2.1 网络安全防范策略 对网络的攻击可能来自非法用户，也可能来自合法的用户。因此作为网络系统的管理员，既要时刻警惕来自外部的黑客攻击，又要加强对内部网络用户的管理和教育，具体可以采用以下的安全策略。 1 网络监测和锁定控制 2 定期对网络进行安全检查 3 制定适当的数据备份计划 9.2.2 网络病毒与防治 1. 网络病毒概述 网络病毒是