办公自动化-计算机网络安全相关知识.pptVIP

第9章 计算机网络安全 9.1 计算机网络安全概述 9.1.1安全基础知识 计算机网络安全的基本要素 机密性：网络信息不泄露给未授权用户。 完整性：收到的数据与发送的数据应相同，且仅被授权者才能修改数据。 可用性：被授权者在需要时可以访问相应数据，但不能占用所有资源阻碍授权者的正常工作。 可控性：可以控制被授权者使用的所有资源。 可审查性：对网络中的用户和其他实体进行审查和监控，当出现安全问题是可以提供调查依据和手段。;计算机网络安全策略;主要的网络安全问题 ;;3．计算机病毒的防治 计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒出现和更新速度越来越快，形势变得愈加严峻。目前，几千种不同的病毒无时不对计算机和网络的安全构成威胁。因此，了解和控制病毒威胁的需要显得格外的重要，任何有关网络数据完整性和安全性的讨论都应考虑到病毒。 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能够进行自身复制并将其插入其他的程序中，执行恶意的行动。 检测的原理主要是基于下列四种方法：将被检测对象与原始备份进行对照所使用的比较法、利用病毒特征代码串的搜索法、病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。 ;4．网络站点的安全 影响网络站点安全的主要因素包括： （1）认证环节薄弱性。Internet的许多事故的起源是因为使用了薄弱的、静态的口令。 （2）系统易被监视性。当用户使用Telnet或文件传输协议（File Transfer Protocol，简称FTP）连接到远程主机上的账户时，在Internet上传输的口令是没有加密的。 （3）易被欺骗性。主机的IP地址被假定为是可用的，TCP和UDP服务相信这个地址。问题在于，如果攻击者的主机冒充一个被信任的主机或客户就危险了。 （4）有缺陷的局域网服务。一些数据库（例如口令文件）以分布式管理，允许系统共享文件和数据。但这些服务带来了不安全因素，可以被有经验的闯入者利用以获得访问权。 （5）复杂的设备和控制。对主机系统的访问控制配置通常很复杂而且难以验证其正确性。因此，偶然的配置错误会使闯入者获取访问权。 （6）主机的安全性无法估计。主机系统的安全性无法很好地估计，随着每个站点主机数量的增加，确保每台主机的安全性都处于高水平的能力却在下降。;计算机网络安全威胁 信息泄漏与丢失 重要和敏感数据泄漏丢失（泄漏：黑客、网络侦听、卫星和手机等无线设备传输截留、内嵌芯片窃听和传输；外因造成丢失） 非授权访问 冒用合法身份访问资源、强行非授权访问资源 拒绝服务攻击 连续不断对服务器干扰，执行无关程序，造成网络瘫痪 破坏数据完整性 对数据库恶意添加、删除和修改数据 利用网络传播不良信息 众所周知（近期公安部严打手机传播不良信息）;;;计算机安全技术 防火墙 加密 数字签名 审核监督 病毒防治 Cookies 网站服务器将少量数据保存到本地机硬盘，它可以记载用户的ID和密码，较快地登陆网络（跳过ID和PassWord） 查看Cookies。C:/document and settings/用户名/Cookies Cookies设置 IE/工具/Internet选项/隐私。调整安全级别即可相应调整Cookies设置 通过“Internet选项/设置”可以设置和查看Cookies文件;1．防火墙 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据系统的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。;; 2．防火墙的功能 （1）对出入网络的访问行为进行管理和控制 （2）过滤出入网络的数据，强化安全策略 （3）对网络存取和访问进行监控审计 （4）对不安全的服务进行限制或者拦截，防止内部信息的外泄 ; (1)网络级防火墙 网络级防火墙又称为包过滤防火墙，一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来做出网络包通过与否的判断。 (2)应用级网关 应用级网关就是常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。; 1．包过滤原理 包过滤在IP层实现，由路由器来完成，它根据包(报文)的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及包传递方向等包头信息来判断是否允许包通过，并形成一套包过滤规则。 ;过滤数据包的类型 ;; (1) 应用代理服务器 应用代理服务器在