计算机网络技术2016新版第10章网络管理与安全1介绍.ppt

2002年6月 计算机网络基础 杜煜 第10章 计算机网络安全 杜煜 本章主要内容 计算机网络安全的概念； 计算机网络对安全性的要求； 访问控制技术和设备安全； 防火墙技术； 网络安全攻击及解决方法； 计算机网络安全的基本解决方案。 计算机网络安全概述 背景介绍 对计算机网络安全性问题的研究总是围绕着信息系统进行，其主要目标就是要保护计算资源，免受毁坏、替换、盗窃和丢失，而计算资源包括了计算机及网络设备、存储介质、软硬件、信息数据等。 计算机网络安全的解决策略 访问控制 选择性访问控制 病毒和计算机破坏程序 加密 系统计划和管理 物理安全 通信安全 计算机网络安全包括的内容 保护系统和网络的资源免遭自然或人为的破坏； 明确网络系统的脆弱性和最容易受到影响或破坏的地方； 对计算机系统和网络的各种威胁有充分的估计； 要开发并实施有效的安全策略，尽可能减少可能面临的各种风险； 准备适当的应急计划，使网络系统在遭到破坏或攻击后能够尽快恢复正常工作； 定期检查各种安全管理措施的实施情况与有效性。 计算机网络安全的要求——安全性 内部安全 对用户进行识别和认证，防止非授权用户访问系统； 确保系统的可靠性，以避免软件的缺陷（Bug）成为系统的入侵点； 对用户实施访问控制，拒绝其访问超出访问权限的资源； 加密传输和存储的数据，防止重要信息被非法用户理解或修改； 对用户的行为进行实时监控和审计，检查其是否对系统有攻击行为，并对入侵的用户进行跟踪。 外部安全 加强系统的物理安全，防止其他用户直接访问系统； 保证人事安全，加强安全教育，防止用户（特别是内部用户）泄密。 计算机网络安全的要求——完整性 解决问题：如何保护计算机系统内软件和数据不被非法删改。 软件完整性 数据完整性 计算机网络安全的要求——保密性 解决问题：如何防止用户非法获取关键的敏感信息，避免机密信息的泄露。 加密是保护数据的一种重要方法，也是保护存储在系统中的数据的一种有效手段，人们通常采用加密来保证数据的保密性。 计算机网络安全的要求——可用性 可用性是指无论何时，只要用户需要，系统和网络资源必须是可用的，尤其是当计算机及网络系统遭到非法攻击时，它必须仍然能够为用户提供正常的系统功能或服务。 为了保证系统和网络的可用性，必须解决网络和系统中存在的各种破坏可用性的问题。 计算机网络的保护策略 创建安全的网络环境 数据加密 调制解调器的安全 灾难和意外计划 系统计划和管理 使用防火墙技术 网络安全的脆弱点 网络安全脆弱点的几个方面 通信设备 网络传输介质 网络连接 网络操作系统 病毒攻击 物理安全 常用的安全工具 防火墙 防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务； 防火墙的基本类型有： 包过滤型 代理服务器型 堡垒主机 常用的安全工具 鉴别 报文鉴别 身份认证 数字签名 常用的安全工具 其他工具 访问控制 加/解密技术 审计和入侵检测 安全扫描 访问控制技术 作用：对访问系统及其数据的人进行识别，并检验其身份——用户是谁？该用户的身份是否真实？ 基于口令的访问控制技术 选用口令应遵循的原则 增强口令安全性措施 其他方法 选择性访问控制技术 设备安全 调制解调器安全 通信介质的安全 计算机与网络设备的物理安全 防火墙技术 使用防火墙可用于“安全隔离”，其实质就是限制什么数据可以“通过”防火墙进入到另一个网络 防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部到外部，其中包括的信息有电子邮件消息、文件传输、登录到系统以及类似的操作等。 防火墙的优缺点 防火墙的优点 允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开； 审查和记录Internet使用情况的最佳点； 设置网络地址翻译器（NAT）的最佳位置； 作为向客户或其他外部伙伴发送信息的中心联系点； 防火墙的局限性 不能防范不经过防火墙产生的攻击； 不能防范由于内部用户不注意所造成的威胁； 不能防止受到病毒感染的软件或文件在网络上传输； 很难防止数据驱动式攻击； 防火墙设计 防火墙的基本准则 “拒绝一切未被允许的东西” “允许一切未被特别拒绝的东西” 机构的安全策略 必须以安全分析、风险评估和商业需要分析为基础； 防火墙的费用 取决于它的复杂程度以及要保护的系统规模； 防火墙的种类 包过滤路由器 可以决定对它所收到的每个数据包的取舍。 逐一审查每份数据包以及它是否与某个包过滤规则相匹配。 过滤规则以IP数据包中的信息为基础： IP源地址、IP目的地址、封装协议（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP报文类型