计算机课件网络安全技术设计.pptxVIP

第10章 网络安全技术设计 ;10.1 网络中存在的安全问题 ;　　在广域网中，包括多种机型，任何一个节点受到侵害，都将对整个网络造成危害；在互联网中，体系结构的开放性给系统互连带来了方便，同时由于开放性是透明的，从而给有意攻击网络系统安全的人也增加了更多机会；系统实现共享是网络的一大优点，但共享恰恰与安全保密相对立，非法用户很容易利用共享的特点获得信息，或有意破坏共享资源以及使整个网络遭受损害；等等。总之，计算机网络技术的普及和随之而来的网络安全问题将使???计算机网络安全保护变得越来越重要。 ;　　对计算机网络来说，计算机系统本身的脆弱性和通信设施的脆弱性，共同构成了对计算机网络潜在的威胁，主要有以下几个方面。 　　1) 自然因素 u?? 自然灾害：包括地震、雷电、水灾、风灾等不以人们意志为转移的自然灾害。 u?? 自然环境：温度、湿度、灰尘度和电磁场等。;　　2) 意外事故 　　停电、火灾等不可预见的意外事故。 　　3) 人为的物理破坏 　　u?? 非故意：误操作、失误、失职等人为疏忽而造成的事故。 　　u?? 故意：未经系统授权，非法地对计算机网络系统的资源进行窃取、复制、修改和毁坏。　;　　4) 计算机病毒 　　网络技术的发展，使得计算机病毒可通过国际互联网传播，从而大大加速了电脑病毒的传播速度和扩大了传播范围。计算机病毒不仅会发生在Windows或DOS系统，而且也会发生在UNIX等系统上，震惊整个计算机界的“蠕虫”病毒即发生在UNIX系统上。计算机病毒技术也正朝着智能化、网络化发展。病毒由许多不同功能的组件构成，它不仅可分布在同一台计算机上，也可分布在网络系统的其他计算机上；病毒既可分布在局域网上，也可分布在广域网上。因此，我们要对网络化电脑病毒传播和威胁引起足够的重视。 ;　　5) 网络协议分析软件 　　网络协议分析软件可以用来排除各种网络故障，监视网络系统，防止黑客的侵入，同时它也可以被黑客用来截获并分析网络通信中的所有数据，从而对网络的安全造成极大威胁。好的网络协议分析软件可用于分析OSI网络七层模型的每一层的数据包，它既可用于分析广域网如DDN、帧中继、X.25的数据包，也可用来分析局域网如以太网、令牌环网、FDDI等的数据包；它既可用于分析TCP/IP协议，也可用来分析IBM　SNA、NETBIOS等协议；它既可用于分析FTP、TELNET、RLOGIN等应用层的协议，也可用来分析RIP、OSPF等路由协议。虽然这些网络协议分析软件的功能异常强大，但并不要求使用者对计算机或网络通信协议有深入的了解。即对于普通的电脑用户，也可通过网络协议分析软件来截取网络上的各种数据，这无疑对网络系统的安全问题提出了更高的要求。 ;　　6) 电脑黑客及其攻击 　　现在，黑客在国际互联网上的攻击活动十分频繁，他们利用Internet的内在缺陷和管理上的一些漏洞非法进入网络系统，修改或毁坏网络系统中的重要数据等。网络的开放性决定了它的复杂性和多样性，随着技术的不断进步，各种各样高明的黑客还会不断出现，同时，他们使用的手段也会越来越先进。 ;10.1.2 网络系统安全采用的主要技术 　　1. 网络安全等级 　　各种不安全因素的存在，说明一个绝对安全的计算机和网络是不存在的。1985年底，美国国防部发表的《可信计算机系统评估准则》(TCSEC，即众所周知的桔皮书)中指出：任何人都不能简单地说一台计算机是安全还是不安全的。它依据处理的信息等级和采取相应对策划分每一个安全等级。安全等级分为4类7级，依照各类级安全要求从低到高，依次为D、C1、C2、B1、B2、B3、A1级。字母A到D分别代表了4种不同的安全级别，每一个安全级别中，可用一个数字来进一步细分这一级别。 ;　　D级为安全性最低一级，DOS是一个具有代表性的D1级操作系统，DOS根本没有安全性保证，任何坐在计算机前的人都可以存取系统中的任何文件。DOS无“所有权”和“许可权”的概念，所有的文件都被当前用户所拥有。 　　C1级操作系统比D级具有更多的安全性，并具有一种提供安全性的方法。在标准UNIX中，只有“登录”、“口令”和“文件所有权”这些概念代表C1级别安全。 ;　　C2级别比C1级别安全性略高。许多UNIX系统，如著名的SCO UNIX就允许这些附加的功能，因此完全被授予C2级。DEC公司的VAX/VMS操作系统被确认为C2级，微软的Windows服务器版本的安全级别也是C2级。 　　B级属于强制式保护(Mandatory Protection)。该等级的安全特点在于由系统强制的安全保护，在强制式保护模式中，每个系统对象(如文件、目录等资源)及主题(如系统管理员、用户、应用程序)都有自己的安全标签(Security Label)，系统即依据用户的安全等级