大学计算机基础8_网络信息系统安全与防护技术.pptVIP

网络安全概述 第8章: 信息系统安全与防护技术 信息系统安全概述 信息系统的安全需求和安全服务 信息系统的安全策略 信息系统安全模型与加密功能的实施方式 防火墙技术 计算机病毒 知识产权保护 信息道德与网络道德 信息系统安全概述 物理安全 系统安全 逻辑安全 网络系统安全 信息系统安全概述 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。 信息系统安全概述 联网的安全性只能通过以下两方面的安全服务来达到： 访问控制服务：用来保护计算机和联网资源不被非授权使用。 通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。 信息系统安全概述 网络信息系统的脆弱性 网络的开放性。 协议公开，协议的体系的缺陷 资源共享，远程访问使各种攻击无需到现场就能得手； 权限识别，容易假冒。(例：假冒IP地址的Homeshare) 信息系统安全概述 网络信息系统的脆弱性 组成网络的通信系统和信息系统的自身缺陷: 在系统设计和开发过程中会产生许多的错误、缺陷和遗漏，成为安全隐患，而且系统越大、越复杂，这种安全隐患越多。 薄弱的认证环节 网络上的认证通常是使用口令来实现的，但口令有公认的薄弱性。网上口令可以通过许多方法破译，其中最常用的两种方法是把加密的口令解密和通过信道窃取口令。 2.系统的易被监视性 用户使用Telnet或FTP连接他在远程主机上的账户，在网上传的口令是没有加密的。入侵者可以通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就变得更容易了。成千上万的系统就是被这种方式侵入的。 3.易欺骗性 TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤： 第一，攻击者要使用那个被信任的客户的IP地址取代自己的地址； 第二，攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点； 第三，攻击者用这条路径向服务器发出客户申请； 第四，服务器接受客户申请，就好象是从可信任客户直接发出的一样，然后给可信任客户返回响应； 第五，可信任客户使用这条路径将包向前传送给攻击者的主机。 4.有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难又费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS和NFS之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。 一些系统（如rlogin）处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么闯入者来说，获取那些信任其他系统的访问权就很简单了。 5.复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。一些主要的Unix经销商仍然把Unix配置成具有最大访问权的系统，这将导致未经许可的访问。 许多网上的安全事故原因是由于入侵者发现的弱点造成。 6.无法估计主机的安全性 主机系统的安全性无法很好的估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓。这导致一些系统的安全性比另一些要低。这些系统将成为薄弱环节，最终将破坏这个安全链。 信息系统安全概述 网络信息系统的脆弱性 黑客(hacker)及病毒等恶意程序的攻击。 黑客是指那些专门闯入计算机系统、网络、电话系统和其他通信系统，具有不同的目的(政治的、商业的、或者仅仅出于恶作剧的目的)，非法地入侵和破坏系统、窃取信息的攻击者， 引导型、文件型、宏病毒、邮件传播等类型的病毒 系统后门、特洛伊木马、 “细菌”程序、蠕虫等有害程序 信息系统安全概述 网络信息系统的主要威胁 物理威胁 系统漏洞造成的威胁 身份鉴别威胁 线缆连接威胁 有害程序 信息系统安全概述