23网络安全基础.pptxVIP

模块五：网络管理与安全2007.06主要学习内容5-1网络安全的概念及面临的威胁5-2计算机网络系统的安全等级5-3计算机网络安全的体系结构5-4实训：Win2000系统的安全防范5-5病毒与反病毒5-6实训：杀毒软件和防火墙的安装、使用5-7有关黑客5-8网络安全的其它常用防范技术5-1网络安全的概念及面临的威胁5-1-1网络安全的概念5-1-2网络常见攻击方式5-1-3网络系统存在的脆弱性5-1-4网络系统面临的威胁?5-1-1网络安全的概念网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。5-1-1网络安全的概念网络安全： 是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，确保系统能练习可靠正常地运行，网络服务不中断。?5-1-2网络中常见的攻击方式窃取机密攻击电子欺骗攻击拒绝服务攻击 IP电子欺骗； ARP电子欺骗； DNS电子欺骗社会工程恶意代码攻击?窃取机密攻击: 是指未经授权的攻击者非法访问网络，窃取机密信息的情况。?电子欺骗: 是指攻击者伪造源于一个可信任地址的数据包以使机器信任另一台机器的电子攻击手段。?IP电子欺骗： 是攻击者攻克Internet防火墙系统最常用的方法，也是许多其他攻击方法的基础。它是通过伪造某台主机的IP地址，使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或被其他的主机所信任。?ARP电子欺骗： 一种更改ARP Cache的技术。Cache中含有IP物理地址的映射信息，如果攻击者更改了ARP Cache的IP与物理地址连接，来自目标的数据包就能直接被发送到攻击者的物理地址。?DNS电子欺骗： 是攻击者危害DNS服务器并明确的更改主机名和IP地址映射表。当这些改变被写入DNS服务器上的转换表后，当一个客户机请示查询时，用户只能得到这个伪造的地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器上，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。?拒绝服务攻击(DOS) 主要目的是拒绝服务访问，破坏组织的正常运行，最终使系统的部分Internet连接和网络系统失效。最基本的DOS攻击是利用合理的服务请求来占用过多的服务资源，从而使合法的用户无法得到服务。分布式拒绝服务是一种分布、协作的大规模攻击方式，利用一批受控制的机器向一台机器发起进攻，具有很大的破坏性。?社会工程： 是一种低技术含量的破坏网络安全的方法，被大家认为是黑客群体中最无赖的方法。这种技术是利用说服或欺骗的方式，让网络内部的人来提供必要的信息从而获得对信息系统的访问。?恶意代码攻击： 是对信息最大的威胁，恶意代码包括计算机病毒、蠕虫病毒、特洛伊木马程序、移动代码及间谍软件等。?5-1-3计算机网络系统的脆弱性计算机系统本身的脆弱性通信设施的脆弱性数据库安全的脆弱性计算机系统本身的脆弱性原因：操作系统的程序支持程序与数据的动态连接，包括I/O的驱动程序与系统服务都可以用打“补丁”的方式进行动态连接；操作系统的支持在网络上传输文件的功能也带来不安全因素；操作系统可以创建进程，更重要的是被创建的进程可以继承创建进程的权力，这一点同网络上加载程序结合就可以在远端服务器上安装“间谍”软件；操作系统有 无口令入口；操作系统有隐蔽通道。?5-1-4 计算机网络系统面临的威胁表现方面：非授权访问泄漏信息破坏信息拒绝服务计算机病毒?5-2 网络系统的安全等级?四类七级：D1、C1、C2、B1、B2、B3、AD1：最低保护C级有两个安全子级别：C1和C2级； C1级又称为自选安全保护系统 ， C2级除了包含C1级的特性外，C2级还包含了创建受控访问环境的安全特征 B级包含三个级别 ：B1有标签的安全保护，系统支持多级安全 ；B2级又被称为结构化安全保护 ；B3级：安全域机制 ，该级要求用户工作站或终端必须通过可信任途径连接到网络系统，同时必须采用硬件来保护安全系统的存储区。A级是最高级别，又称验证设计 。 我国也在2001年1月1日实施了《计算机信息系统安全保护等级划分准则》，该准则将信息系统安全分为5个等级：自主保护级——〉C1，它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏；系统审计保护级——〉C2，除具备第一级的安全保护功能外，要求创建和维护访问的审计跟踪纪录，是所有用户对自己的行为的合法性负责；安全标记保护级——〉B1，属强制保护； 访问验证保护级——〉B3~A，增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。 ?5-3 网络安全的基本体系 物理安全网络安全信息安全 鉴别 数据传