第9章企业网站的安全管理案例.ppt

9.5.4 网络钓鱼攻击与防范 反网络钓鱼是网络钓鱼的对抗技术，是近年才形成的保 护因特网用户机密信息被非法盗用的新研究领域。 基于邮件端的反欺骗型网络钓鱼策略是利用反垃圾邮件 技术防止假冒邮件到达潜在受害者收件箱，从而保护用 户不被欺骗。 基于客户端的反欺骗型网络钓鱼策略是在客户端浏览器 安装插件，检测用户当前浏览的网页是否是钓鱼网页， 从而提示用户被欺骗的威胁。 9.6 小结 影响网络安全的因素有很多 ，要想建立一个相对的网络 安全系统我们要从两个方面着手，一是非技术方面，二 是技术方面。 安全管理就是要在网络环境里识别和消除那些不安全的因素。 需要指出的是为了安全而与外部网物理隔绝，使自身远 离“尘世”，将会使内部网变成“信息孤岛。 第9章 企业网站的安全管理 第9章 企业网站的安全管理 9.1 网络安全概述 9.2 主要安全问题 9.3 网络安全管理 9.4 维护网站安全对策 9.5 企业网站的潜在威胁 9.6 小结 9.1 网络安全概述 国际标准化组织ISO对计算机系统安全作的定义是：为 数据处理系统建立和采用的技术和管理的安全保护，保 护计算机硬件、软件和数据不因偶然和恶意的原因遭到 破坏、更改和泄露。 网络安全从本质上讲就是系统上的信息安全，它涉及到 计算机科学、网络技术、密码技术、信息安全技术、应 用数学、数论、信息论等多门学科，是一门综合性学科。 网络安全防范的重点主要有两个方面：一是计算机病 毒，二是黑客犯罪。 9.2 主要安全问题 9.2.1 潜在安全威胁 9.2.2 主要安全服务 9.2.3 网络安全策略 9.2.4 计算机软件安全 9.2.5 计算机硬件安全 9.2.1 潜在安全威胁 计算机网络所面临的一是对网络中信息的威胁；二是对 网络中设备的威胁。 网络安全所面临的主要潜在威胁有以下几方面： （1）信息泄密； （2）信息被篡改； （3）传输非法信息流； （4）网络资源的错误使用； （5）非法使用网络资源； （6）计算机病毒。 9.2.2 主要安全服务 互联网的开放性，使得网络更易遭受侵害，针对这种威 胁，国际标准化组织ISO 7408-2制定的OSI安全体系结 构提出了以下几类安全服务： （1）身份认证； （2）访问控制； （3）数据保密； （4）数据完整性； （5）数据可用性； （6）不可否认性； （7）审计管理。 9.2.3 网络安全策略 网络应该有一个足够强的安全措施，不然这样的网络可 能会是一个无用、甚至会危及国家安全的网络。 算机网络的安全策略： （1）物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、 打印机等硬件实体和通信链路免受自然灾害、人为破坏 和搭线攻击；验证用户的身份和使用权限、防止用户越 权操作；确保计算机系统有一个良好的电磁兼容工作环 境；建立完备的安全管理制度，防止非法进入计算机控 制室和各种偷窃、破坏活动的发生。 9.2.3 网络安全策略 抑制和防止电磁泄漏措施： 对传导发射的防护； 对辐射的防护。 （2）访问控制策略 访问控制是网络安全防范和保护的主要策略其主要任务 是保证网络资源不被非法使用和访问。 登录控制 权限控制 目录级安全控制 属性安全控制 服务器安全控制 网络监测和锁定控制 9.2.4 计算机软件安全 计算机软件安全保护的主要内容来看，计算机软件安全 保护可分为五个部分： （1）软件的自身安全； （2）软件的存储安全； （3）软件的通信安全； （4）软件的使用安全； （5）软件的运行安全。 9.2.5 计算机硬件安全 计算机硬件的安全是一个最基本的安全问题，任何电路、 器件的损坏都有可能导致整个系统的崩溃或数据的丧 失，以至于造成不可挽救的损失。计算机硬件的安全防 范主要从以下几个角度考虑： （1）盗险； （2）火险； （3）静电； （4）雷击； （5）电磁泄漏。 9.3 网络安全管理 9.3.1 安全技术评测 9.3.2 防火墙技术 9.3.3 密码技术 9.3.4 数据库系统安全 9.3.1 安全技术评测 国际标准化组织ISO的开放系统互连OS