计算机网络技术实用教程 教学课件 作者 易梁 梁锦锐 第10章 网络管理与网络安全.ppt

第10章 网络管理与网络安全 本章主要内容：计算机网络安全的基础知识、网络安全立法、黑客攻击的主要手段和网络安全控制技术、Windows 2003安全配置技术、网络管理和维护技术。 重点及难点：系统升级和漏洞修补、 Windows防火墙、 安全配置向导、微软基准安全分析器、网络管理的概念、 远程桌面配置和应用、网络故障诊断与排除、TCP/IP诊断命令。 第10章 网络管理与网络安全 10.1 网络安全基础知识 10.2 网络安全立法 10.3 黑客攻击的主要手段和网络安全控制技术 10．4 Windows 2003安全配置技术 10.5网络管理技术 10.1 网络安全基础知识 10.1.1 网络安全基本概念 随着计算机网络的迅猛发展，网络安全已成为网络发展中的一个重要课题。由于网络传播信息快捷，隐蔽性强，在网络上难以识别用户的真实身份，网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。 从概念上来看，网络和安全是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性，而安全则要尽可能地实现一台计算机的封闭性。因此，在现实中，计算机网络的安全性，实际上是在二者中寻找到一个平衡点，一个可以让所有用户都可能接受的平衡点。从这个意义上讲，网络安全是一个无穷无尽的主题。在计算机网络领域，没有终极的安全方案。 网络安全包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。 (1) 机密性，确保信息不暴露给未授权的实体或进程。 (2) 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 (3) 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 (4) 可控性：可以控制授权范围内的信息流向及行为方式。 (5) 可审查性：对出现的网络安全问题提供调查的依据和手段。 10.1.2 网络安全评价标准 网络安全评价标准中比较流行的是美国国防部1995年制定的可信任计算机标准评价准则，各国根据自己的国情也制定了相关标准。 （1）我国评价标准 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 ● 第l级为用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 ● 第2级为系统审计保护级：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。 ● 第3级为安全标记保护级：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 ● 第4级为结构化保护级：在继承前面安全级别安全功能的墓础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。 ● 第5级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。 我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。 (2) 国际评价标准 根据美国国防部和国家标准局的《可信计算机系统评测标准》可将系统分成4类共7级： D级：级别最低，保护措施少，没有安全功能：属于这个级别的操作系统有DOS和Windows 9x等。 C级：自定义保护级。安全特点是系统的对象可由系统的主题自定义访问权。 C1级：自主安全保护级，能够实现对用户和数据的分离，进行自主存取控制数据保护以用户组为单位； C2级：受控访问级，实现了更细粒度的自主访问控制，通过登录规程安全性相关事件以隔离资源。 能够达到C2级别的常见操作系统有如下几种 (1) Unix/Linux系统： (2) Novell 3．X或者更高版本； (3) WindowsNT，Windows2000和Windows2003。 B级：强制式保护级。其安全特点在于由系统强制的安全保护。 B1级：标记安全保护级。对系统的数据进行标记，并对标记的主体和客体实施强制存取控制； B2级：结构化安全保护级。建立形式化的安全策略模型，并对系统内的所有主体和客体实施自主访问和强制访问控制； B3级：安全域。能够满足访问监控器的要求，提供系统恢复过程。 A级：可验证的保护。 A1级：与B3级类似，但拥有正式的分析及数学方法。