第一章概论-达州职业技术学院精品课程.ppt

11.2 网络安全体系结构 　　11.2.1 网络安全系统模型 　　11.2.2 ISO的网络安全体系结构标准 　　11.2.3 计算机系统安全等级评价标准 　　11.2.4 建立网络安全策略 11.2.1 网络安全系统模型 　　　网络安全系统实际上是在一定的法律法规、安全标准的规范下，根据具体应用需求和规定的安全策略的指导下，使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合，是一个准许或拒绝网络通信的具有保障网络安全功能的系统。 　　　一个完整的网络信息安全系统至少包括三个层次，并且三者缺一不可，它们共同构成网络信息安全系统的基本模型，如下图所示。 11.3.3 安全漏洞扫描与网络监听 　　1.漏洞扫描的功能 　　2.安全漏洞扫描器分类 　　3.漏洞扫描技术 　　4.端口扫描 　　5.网络监听的概念 　　6.网络监听的原理 　　7.网络监听的检测 　　8.网络监听的防范 　　1.漏洞扫描的功能 　　安全漏洞扫描是网络管理系统的重要组成部分，是对计算机系统或其它网络设备进行相关安全检测，以便发现安全隐患和可被黑客利用的漏洞。漏洞扫描的主要功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞，进而从扫描出的安全漏洞报告里告诉使用者系统上的安全漏洞有多少，如何去修补，到哪里下载补丁程序。 2.安全漏洞扫描器分类 　　根据工作模式的不同，漏洞扫描一般可分为网络型安全漏洞扫描器和主机型安全漏洞扫描器两大类。其中前者基于网络，通过请求／应答方式远程检测目标网络和主机系统的安全漏洞。例如，用于审计的网络安全分析工具和网络安全扫描器等，后者基于主机，通过在主机系统本地运行代理程序来检测系统漏洞，例如，操作系统漏洞扫描器和数据库系统漏洞扫描器。 3.漏洞扫描技术 　　（1）网络远程扫描技术 　　（2）Web网站扫描技术 　　（3）系统安全扫描技术 　　（4）防火墙系统扫描技术 4.端口扫描 　　（1）TCP SYN扫描 　　（2）TCP FIN扫描 　　（3）TCP connect()扫描 　　（4）NULL扫描 　　（5）UDP ICMP端口不能到达扫描 5.网络监听的概念 　　　网络监听是管理员为了进行网络安全管理，利用相应的工具软件监听网络的状态和数据流动情况，以便及时发现网络中的异常情况和不安全因素。 6.网络监听的原理 　　　Ethernet协议的工作方式是：将要发送的数据包发到以太网的所有主机上，在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标物理地址一致的那台主机才能接收到信息包。但是，当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将可以接收到。 7.网络监听的检测 　　　（1）对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的IP stack不再次反向检查的话，就会响应。 　　　（2）向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。 　　　（3）使用反监听工具如antisniffer等进行检测。 8.网络监听的防范 　　（1）从逻辑或物理上对网络分段 　　（2）以交换式集线器代替共享式集线器 　　（3）使用加密技术 　　（4）划分VLAN 1.认证技术概述　　 　　　随着Internet上各类应用的发展，尤其是电子商务的发展，为保证商务、交易及支付活动的真实可靠，需要有一种机制来验证活动中各方的真实身份。 　　　认证技术能够解决通信双方的身份认可及传递信息的真实完整性，是防止主动攻击的重要措施。 　　　认证是基于加密技术的，一般有账户名/口令认证、使用摘要算法的认证、基于PKI（公钥基础设施）的认证。 　　数字签名在ISO7497-2标准中定义为：附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。 　　美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释：利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。 2.消息认证 　　消息认证就是意定的接收者能够检验收到的消息是否真实的方法。消息认证也称为完整性校验，在银行业称为消息认证，在OSI安全模型中称为封装。 3.身份认证 　　身份认证（Identification and Authentication）定义为：为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。身份认证大致分为3种：