网络工程设计CH8.pptVIP

恶意软件就是恶意的程序代码，通常是以某种方式悄然安装在计算机系统内的软件。这些程序代码具有一些人们所不希望的功能，影响网络系统的数据安全性和资源可用性 恶意软件大体可以分为5大类 病毒 蠕虫 特洛伊木马 恶意远程程序 追踪Cookie 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 恶意软件 特征 强制安装 难以卸载 浏览器劫持 广告弹出 恶意收集用户信息 恶意卸载 恶意捆绑 流氓软件：常常介于病毒程序和正常程序之间的程序 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 恶意软件的定义(中国互联网协会) 最理想的反病毒的方法是防止即杜绝病毒进入系统 比较常见的反病毒的方法包括以下方面： 检测：一旦发生了感染，确定它的发生并且定位病毒 标志：一旦检测完成了，识别感染程序的特定病毒 清除：一旦标志了特定的病毒，从被感染的程序中清除病毒的所有痕迹，将程序恢复到原来的状态。从所有被感染的系统中清除病毒使得病毒不能进一步传播 删除：一旦收到带有附件的可疑电子邮件，不要打开，立即将其删除 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 恶意软件的防护 防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，禁止另一些数据分组通过 防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的 三种类型 分组过滤防火墙 应用程序级网关 电路级网关 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 防火墙的定义 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 防火墙的一些局限性包括： 不能对绕过防火墙的通信提供保护，例如，防火墙不能对内部网络中的无线网和拨号线路提供保护 不能防范来自内部的威胁，例如来自一个心怀不满的雇员的报复或者一个雇员的误操作 不能对病毒感染的程序或文件的传输提供保护 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 防火墙 网络内部人员滥用职权往往对网络安全危害性很大 入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为 即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报 它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质，起着主动防御的作用 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 入侵检测 通常分为基于主机和基于网络两类 基于主机的IDS 早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入 基于网络的IDS 在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息 入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 入侵检测系统的类型 基本思想：跨越费用低廉的公网来扩展信任关系而不牺牲安全性。理想的VPN应当像一个专网一样，它应当是安全的、高度可用的和具有可预测的性能 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 虚拟专用网VPN 指将资源保护在加锁的门里来限制对网络关键资源的访问 也指保护资源免受诸如洪水、火灾、暴风雪和地震等自然灾害的侵害 它是一个当然的需求，很容易熟视无睹而忘记对它进行设计，非常重要 网络安全性设计要考虑 网络设备放置的问题 网络数据的异地备份问题 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 物理安全性 网络安全设计的步骤 选择网络安全机制 选择数据备份和容错技术 设计网络安全方案 网络工程案例教学 要点 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * “幸运的是那些做了数据备份的悲观主义者” 如果我们通过有效而简单的数据备份，就能具有更强的数据恢复能力，很容易找回失去的数据；而如果有了坚实的容错手段，数据丢失也许就不会发生了 数据备份 备份通常要按日、按周或按月做备份 对最为重要的文件进行更为频繁的备份 第8章 网络安全设计 陈鸣：网络工程设计教程-系统集成方法 * 数据备份和容错设计 容错是指系统在部分出现故障的情况下仍能提供正确功能的能力 RAID技术通过冗余具有可靠性和可用性方面的优势 RAID分为几级，不同的级实现不同的可靠性，但是工作的基本思想是相同的，即用冗余来保证在个别驱动器故障的情况下，仍然维持数