计算机网络安全技术资料整理.docVIP

第一章 计算机网络安全概述 网络自身的设计缺陷：1． 协议本身的不安全性2． 应用中出现的不安全因素3． 网络基础设施发展带来不安全因素 快速发展网络应用带来安全问题：①Internet的商业应用，致使用户数量不断增加、应用不断扩展、新技术不断出现、Internet的规模不断扩大，使Internet几乎深入到社会生活的每一个角落。②由于Internet本身存在的缺陷以及Internet商业化带来的各种利益驱动， Internet上各种攻击和窃取商业信息的现象频繁发生，网络安全问题日益明显。 网络安全动因归纳：①技术缺陷②经济利益驱动③利用Internet炫耀个人才能 网络安全概念 国际标准化组织对计算机系统安全的定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 计算机网络安全可理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等 包括以下5个基本要素：机密性 完整性 网络安全威胁类型 物理威胁: ①物理安全 ②窃取 ③废物搜寻 ④间谍行为 ⑤假冒 系统漏洞威胁：系统在方法、管理或技术中存在的缺点（通常称为bug），而这个缺点可以使系统的安全性降低。 所造成的威胁：①不安全服务 ② 配置和初始化错误 线缆连接威胁:借助网络传输介质（线缆）对系统造成的威胁。包括以下几个方面：①窃听②拨号进入③冒名顶替 有害程序威胁:包括以下几个方面：①病毒②逻辑炸弹③特洛伊木马④间谍软件 安全策略和安全等级 安全策略 制定安全策略是一件非常复杂的事情，要考虑： 1． 物理安全策略：物理安全策略包括以下几个方面：一是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路，以免受自然灾害、人为破坏和搭线攻击；二是验证用户的身份和使用权限，防止用户越权操作；三是确保计算机系统有一个良好的电磁兼容工作环境；四是建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 2． 访问控制策略 访问控制是对要访问系统的用户进行识别，并对访问权限进行必要的控制。 访问控制策略是维护计算机系统安全、保护其资源的重要手段。 访问控制的内容有入网访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。 另外，还有加密策略、防火墙控制策略等。 安全性指标和安全等级 主要安全性的指标。如：数据完整性、数据可用性、数据保密性 将计算机系统的安全划分为4个等级7个级别。①D类安全等级。 D类安全等级只包括D1一个级别。②C类安全等级。该类安全等级能够酌情提供安全保护，并为用户的行动和责任提供审计能力。划分为C1和C2两类。③B类安全等级。B类安全等级可分为B1、B2和B3三类 。④A类安全等级。A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。 常用的网络安全管理技术 1.5.1 物理安全技术 物理安全，是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。 包括环境安全、设备安全和介质安全3个方面。 1.5.2 安全隔离 传统的以太网络，信息发送采用的是广播方式，实际上就给信息“共享”打开了通道，恶意攻击者只要能够进入局域网，就可能监听所有数据通信，窃取机密。 1．安全隔离的概念 目标是在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成不同网络之间信息的安全交换和共享。 安全隔离技术已经过了以下几个发展阶段：①完全隔离。②硬件卡隔离。 ③数据转播隔离。④空气开关隔离。⑤安全通道隔离。 2． 网络分段 其宗旨是根据业务或分类级别的不同，将网络和用户分类隔离。通过设定不同的权限控制，防止越级越权对网络资源的非法访问。 网络分段有物理分段和逻辑分段两种方式。 物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段之间无法进行直接通信。 逻辑分段则是指将整个系统在网络层之上进行分段。 1.5.3访问控制 访问是使信息在不同设备之间流动的一种交互方式。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。 适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。 访问控制的手段包括： 用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计。 1.5.4 加密通道 建立在数据链路层、网络层、传输层、应用层 1． 数据链路层加密 使用专用的链路加密设备，其