第七章：局域网安全与管理.pptVIP

局域网技术与组网工程 第七章 局域网安全与管理 主要内容 7.1 网络安全概述 7.2 网络系统安全技术和网络安全产品 7.3 安全管理 7.4 局域网安全解决方案 7.5 本章小结 7.6 习题与实践 本章学习目标 掌握网络安全的概念、技术特征 了解网络安全防范体系、安全技术评估标准 了解常见网络安全技术和相关产品 了解网络安全管理的概念、实现 了解局域网安全解决方案的设计 网络安全问题日益严峻 7.1 网络安全概述 7.1.1 网络安全的概念 计算机网络安全（Computer Network Security），简称网络安全，泛指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。 网络信息安全的内涵 网络安全的内容 7.1 网络安全概述 7.1.2 网络安全技术特征 网络安全具有五大特征，这些特征反映了网络安全 的基本属性、要素与技术方面的重要特征。 1．保密性（confidentiality） 2．完整性（integrity） 3．可用性（availability） 4．可控性（controllability） 5．不可否认性（Non-repudiation） 7.1 网络安全概述 7.1.3 网络安全防范体系 1．物理层安全（物理环境的安全性） 通信线路的安全 主要体现在通信线路的可靠性（线路备份、网管软件、传输介质） 物理设备的安全 软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等等。 机房的安全 2．系统层安全（操作系统的安全性） 网络内使用的操作系统的安全，主要表现在三方面： 一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等； 二是对操作系统的安全配置问题； 三是病毒对操作系统的威胁。 3．网络层安全（网络的安全性） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。 4．应用层安全（应用的安全性） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生 5．管理层安全（管理的安全性） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等 7.1 网络安全概述 7.1.4 安全技术评估标准 7.1 网络安全概述 7.1.4 安全技术评估标准 网络信息安全等级与标准 1) ?D级 D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。 拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。 属于这个级别的操作系统有DOS、Windows 9x、Apple公司的Macintosh System 7.1。 网络信息安全等级与标准 2) ?C1级 C1级又称有选择地安全保护或称酌情安全保护(Discretionny Security Protection)系统，它要求系统硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)，用户在使用前必须登记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限等。 它描述了一种典型的用在UNIX系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对信息拥有什么样的访问权。 网络信息安全等级与标准 C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。 网络信息安全等级与标准 3) ?C2级 C2级又称访问控制保护，它针对C1级的不足之处增加了几个特性。C2级引进了访问控制环境(用户权限级别)的增加特性，该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计(Audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的