第6章__IP网络安全.ppt

本章要求： 了解因特网的发展及有关的标准化组织 熟悉OSI参考模型和TCP/IP模型的组成及各层的主要作用。 掌握因特网地域系统的分类及构建方式。 掌握TCP/IP主要协议的作用和基本工作机制。 IP网络安全 计算机网络的安全性主要包括网络服务的可用性（Availability）、网络信息的保密性（Gonfidontiality）和网络信息的完整性（Integrity）。随着网络应用的深入，网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。数据安全和设备安全是网络安全保护的两个重要内容。 信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法，以实现系统内信息的安全、保密、真实和完整。其中，信息安全的核心是密码技术。随着计算机网络不断渗透到各个领域，密码学的应用也随之扩大。数字签名、身份认证等都是由密码学派生出来的新技术和应用。 网络安全的层次划分 无论是已建立了自己的网络和站点的用户，还是正在考虑筹建网络的用户，都面临着这样一个问题：什么样的网络才是一个安全的网络？怎样才能建立一个真正安全的网络？ 国际著名的网络安全研究公司Hurwitz Group在经过系统和科学的分析之后，得出以下结论：在考虑网络安全问题的过程中，应该主要考虑以下五个方面的问题：网络是否安全？操作系统是否安全？用户是否安全？应用程序是否安全？数据是否安全？ 目前，这五个层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。均已将这一安全体系理论应用在其产品之中。下面我们将就每一层的安全问题做简单的阐述和分析。 网络的安全性 网络的安全性问题核心在于网络是否得到控制，即是不是任何一个IP地址来源的用户都能够进入网络？如果将整个网络比作一幢办公大楼的话，对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者，一旦发现危险的来访者，便会将其拒之门外。 网络的安全性 通过网络通道对网络系统进行访问的时候，每一个用户都会拥有一个独立的IP地址，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断来自这一IP的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址，系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录曾经造成过危害的IP地址，使得它们的数据将无法第二次造成危害。 网络的安全性 用于解决网络层安全性问题的产品主要有防火墙产品和VPN虚拟专用网。防火墙的主要目的在于判断来源IP，将危险或未经授权的IP数据拒之于系统之外，而只让安全的IP数据通过。一般来说，公司的内部网络若要与Imemet相连，则应该在二者之间配置防火墙产品，以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题，如果公司各部在地域上跨度较大，使用专网、专线过于昂贵，则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。 系统的安全性 在系统安全性问题中，主要考虑两个问题：一是病毒对于网络的威胁 二是黑客对于网络的破坏和侵入。 系统的安全性 病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络，多数病毒不仅能够直接感染给网络上的计算机，而且能将自身在网络上进行复制。同时，电子邮件、文件传输 （FTP）以及网络页面中的恶意JavaApplet和ActiveX控件，甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段，使得网络环境中的防病毒工作变得更加复杂，网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。 对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作。手段之二是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令，例如在Unix系统的默认安装过程中，会自动安装大多数系统指令。 用户的安全性 对于用户的安全性问题，所要考虑的问题是：是否只有那些真正被授权的用户才能够使用系统中的资源和数据？ 用户的安全性 首先要做的是应该对用户进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应该根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不会被他人所猜测到。 在大型的应用系统之中，有时会存在多重的登录体系，用户如需进入最高层的应用，往往需要多次输入多个不同的密码，如果管理不严，多重密码的存在也会造成安全问题上