计算机安全教学课件汇总整本书电子教案全套教学教程.ppt

9.5 防火墙实例 （5）瑞星2005版个人防火墙的新特性 1. 在规则设置界面中，对规则的类别作了进一步细化。现在的规则分为五大类别：未知、应用程序、系统、内容过滤和拒绝服务。通过类别的细化，用户可以更准确的辨别遭受攻击的类型和定制防范的类型，提高防火墙的工作效率，同时又降低了系统的资源占用率。 2. 在规则设置中，按照本地端口/远程端口进行设置，使得规则设置更简单。 3. 新增加的游戏保护功能，能够在用户上网玩游戏的时候，自动阻止其他程序对网络的访问，最大限度的保护用户的游戏账号的安全，使盗窃账号的木马程序无从下手。 第十章 黑客的攻击与防范 *8.2 OSI的安全服务和安全机制 8.2.2 安全机制 安全机制是对信息系统的部件进行检测及防止被动与主动威胁的方法。安全机制可以分为两类，一类与安全服务密切相关，被用来实现各项安全服务；另一类与管理功能相关，被用于加强对安全系统的管理。 OSI的安全机制主要有加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息流填充机制、路由选择控制机制、公证机制等。 8.2.3 安全服务与安全机制的关系 安全服务与安全机制有着密切的关系。一个安全服务可以由一个或几个安全机制实现，一个安全机制也可以用于实现不同的安全服务，安全服务和安全机制并不是一一对应的 。 8.2.4 服务、机制与层的关系 （1）安全分层原则 安全服务是由OSI网络7层协议相应层的安全机制提供的。为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置，用到了安全分层原则 。 *8.2 OSI的安全服务和安全机制 （2）OSI各层的安全防护 物理层的安全防护：在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。 链路层的安全防护：主要是链路加密设备对数据加密保护。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后解密。 网络层的安全防护：网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段，实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护，还可以实施相应的入侵检测。 传输层的安全防护：传输层处于通信子网和资源子网之间，起着承上启下的作用。传输层支持多种安全服务，如对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务等。 会话层和表示层几乎不提供安全服务。 应用层的安全防护：原则上讲所有安全服务都可以在应用层提供。在应用层可以实施强大的基于用户的身份认证，同时应用层也是实施数据加密，访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以是对资源的有效性进行控制，资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的，因此可以实施细粒度的安全控制。 8.3 网络安全体系结构 8.3.1 物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：（1）环境安全（2）设备安全（3）媒体安全 8.3.2 网络安全 网络安全是整个安全解决方案的关键，主要包括以下几个方面：（1）隔离及访问控制系统（2）网络安全检测 （3）审计与监控 （4）网络反病毒 （5）网络备份系统 8.3.3 信息安全 信息安全主要涉及到鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等方面。 鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥等。二是主体携带的物品，如智能卡和令牌卡等。三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。 数据传输加密技术的目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次上实现，即链路加密，节点加密，端到端加密。 8.3 网络安全体系结构 （3）数据存储安全系统 在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全则很重要。 （4）信息内容审计系统