1章 网络安全管理基础.pptVIP

计算机网络安全管理;总目录;第1章 网络安全管理基础;第1章 网络安全管理基础;§1.1 网络体系结构概述 ;§1.1 网络体系结构概述 ;§1.1 网络体系结构概述 ;§1.2 网络体系结构的参考模型 ;OSI参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，其体系结构如图：;1.2.2 TCP/IP协议结构体系 ;1.3 系统安全结构;5.　应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。 6. 应用系统 应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全如通讯内容安全，通讯双方的认证，审计等手段。;1.4 TCP/IP层次安全;1.5 TCP/IP的服务安全;1.5.3　FTP服务和TFTP服务 这两个服务都是用于传输文件的，但用的场合不同，安全程度也不同。TFTP服务用于局域网，在无盘工作站启动时用于传输系统文件，安全性极差，常被人用来窃取密码文件/etc/passwd，因为它不带有任何安全认证。FTP服务对于局域网和广域网都可以，可以用来下载任何类型的文件。 1.5.4　Finger服务 Finger服务于查询用户的信息，包括网上成员的真实姓名、用户名、最近的登录时间、地点等，也可以用来显示当前登录在机器上的所有用户名，这对于入侵者来说是无价之宝，因为它能告诉他在本机上的有效的登录名，然后入侵就可以注意其活动。 1.5.5　其它的服务 除了上面提到的Finger和TFTP，还有X-Window服务，基于RPC的NFS服务，BSD Unix的以“r”开头的服务，如Rlogin， rsh， rexec。这些服务在设计上安全性很差，一般只在内部网使用。如果有防火墙，应把这些服务限制在内部网中。;关于个人网络的安全是很重要的，如果你的网上免费信箱被炸，上网帐号被偷用那对用户就造成了损失，下面简单介绍一下应该注意的问题。 1. 邮箱中标题不明的邮件不能随便打开。 2. 在聊天室或BBS上不公开自己的IP、邮件地址等各人隐私。 3. 要经常更换自己计算机的密码。另外，不要当外人的面输入密码，密码的长度足够长。 4. 一般不要让计算机记住密码，以免别人使用你的计算机使自己的机密外泄。 5. 不要在自己的计算机上运行不明的程序，这些可能是黑客程序。;1.7 局域网的安全;1.7.2 以交换式集线器代替共享式集线器 对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。 因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。 1.7.3 虚拟专用网 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。;1.8 广域网的安全;1.9 网络安全威胁;1.10 网络系统的安全应具备功能 ;1.11 网络安全的主要攻击形式;4. 权限控制：操作系统、数据库的访问、密码设备管理、应用业务软件操作的权限控制； 5. 通信保密： 　　　a. 中心网络中采用IP加密机进行加密； 　　　b. 远程拨号网络中采用数据密码机进行线路加密； 6. 数据完整性：使用消息完整性编码MIC（Message Integrity Code一种HASH函数来计算信息的摘要）； 7. 实现身份鉴别可利用：a. 数字签名机制；b. 消息鉴别码；c. 校验等；d. 口令字；e. 智能卡; f.身份验证服务：Kerberos和X.509目录身份验证； 8. 安全审计：采用专用、通用设备相结合的方式，从以下几个方面着手 　　　a. 数据库/操作系统的审计； 　　　b. 防火墙的进出数据审计； 　　　c. 应用业务软件/平台（如Lotus等）的审计安全备份； 9. 病毒防范及系统安全备份； 10. 加密方法： 　　公共密钥加密和专用密钥加密，后又出现了椭圆曲线密码学； ;11. 网