网络管理与安全技术第3讲.pptVIP

 网络管理与安全技术 课件制作：浙江东方职业技术学院工程技术系 计算机应用技术教研室 课件制作：邱清辉 Tel:135 876 90890(610890) 2014、09 教学安排 本次教学安排，先学习网络安全体系及评估标准，后进一步学习虚拟机的配置操作。 再讨论如何构建实体和基础实施的物理安全问题，并进行学习。 任务驱动：（本讲具体解决的问题） 1、如何进行网络安全评估？ 2、如何构建一个安全的机房环境？实现计算机实体安全？ 带着以下几个问题阅读材料： 1、不同的网络环境对安全的需求是怎么样？ 2、有哪些具体的网络安全评估标准？ 3、普通机房的建设和服务器机房建设有哪些不一样？并讨论说明。 5、构建机房应注意哪些问题？ 1、网络安全体系及评估标准 一个网络的整体由网络硬件、网络操作系统和应用程序构成，除保护网络的整体安全，还需对数据的安全性进行考虑。 因此通常，从体系来看，Internet网络安全问题可分：用户层、应用层、操作系统层、数据链路层和网络层来说明问题。 (1)网络安全五层体系 1、用户层安全：主要考虑的是使用系统中的资源和数据的用户是否真正授权的用户。 一般可以对用户进行分组管理，即根据不同安全级别将用户分为若干等级。 其中包括包括合法用户安全权限及限制非法用户的不安全进入途径。。 主要设计对用户的识别、认证和数字签名等问题。 2、应用层安全 主要是指合法的用户对特定数据进行合法的操作。 3、操作系统层安全 主要是用户口令的设置与保护以及同一LAN或VLAN内的共享文件和数据库的访问控制权限的设置等。 为了安全级别的标准化，美国国防部（DOD）技术标准将操作系统的安全等级由低到高分成了D、C1、C2、B1、B2、B3、A1四类七个级别。 主要操作系统都是在C2级别以上。例如系统识别用户必须通过用户注册名和口令；系统可以根据用户注册名决定用户访问资源的权限；系统可以对其发生的每一事件进行审核并记录；可以创建其他具有系统管理权限的用户。 彩虹系列的操作系统标准 4、数据链路层安全 涉及到传输过程中的数据加密及数据完整性问题，以及物理地址盗用的问题。 解决方法： 加强内部管理人员的法律意识； 采用防火墙技术； 交换设备的安全性。 5、网络层安全 核心问题是网络是否能得到控制。 主要设计方面： IP协议本省的安全性； 网络管理协议的安全性； 对数据和IP地址进行加密后传输。 (2)网络安全评估标准 网络安全级别是相对于某种安全标准而言的。采用不同的安全标准所确定的安全级别在内容上和安全要求上都存在较大的差别，侧重点也有所不同。 1983年美国国防部颁发了TCSEC（可信任的计算机系统评估准则）标准是具有一定影响的计算机系统安全标注之一。 我国在1999年也颁发了《计算机信息系统安全保护等级划分准则》。 TCSEC（可信任的计算机系统评估准则）简介 该《准则》于1998年开始停用，但其思想方法值得借鉴和学习。 《准则》的可信任系统是指一个由完整的硬件及软件所组成的系统，在不违反访问权限的情况下，能同时服务于不限定个数的用户，并处理从一般机密到高机密等不同范围的信息。 《准则》将计算机系统的安全性能由高到底分成了A、B、C、D四个等级。 可信计算机系统评估准则及等级 3、安全系统设计原则 1）木桶原则 2）整体性原则 3）有效性与实用性原则 4）安全性评价与平衡原则 5）标准化与一致性原则 6）技术与管理相结合原则 7）统筹规划、分布实施原则 8）等级性原则 9）动态发展原则 10）易操作性原则 11）自主和可控性原则 12）权限分割、互相制约、最小化原则 实训操作：虚拟机VM软件的安装和配置 完成虚拟软件VM软件的安装。 并新建主机，对虚拟主机进行配置。 实体和基础设施的物理安全问题 学习目标： 了解物理安全的定义、目的和内容 了解环境安全的相关措施 了解设备安全的相关措施 了解供电系统安全的相关措施 了解通信线路安全与电磁防护的相关措施 导引 2001年2月9日，跨太平洋的中美海底光缆在上海崇明岛段受损中断，导致国内用户无法访问国外网站。 2001年2月9日，刚刚修复的中美海底电缆在另一处发生断裂，台湾的互联网一时间出现严重拥堵，近４００万互联网用户受到影响。 2007年12月26日，我国台湾海域发生强烈地震，造成附近９条海底通信光缆全部中断，阻断了我国大陆至欧洲、北美、东南亚等方面的国际通话、数据和互联网业务。 2008年12月19日，三条连接欧亚的海底光缆在地中海路段发生断裂，致使欧洲、中东和亚太之间的互联网和国际电话通讯受到严重干扰。 2009年8月31日山西太原解放北路、北肖墙附近七八万户居民家的机顶盒突然没了信号,经查是因光缆断裂所致。 2010年7月23日昆明至广州宽带光缆断裂