计算机网络信息安全理论与实践教程第章.pptVIP

　　3．网络服务威胁 　　* 假冒内部合法用户身份进行非法登录，窃取网络服务。 　　* 攻击者通过发送大量虚假请求包到网络服务器，造成网络服务器超负荷工作，甚至造成系统瘫痪。例如分布式拒绝服务攻击，简称DDoS。 　　* 威胁者虚构和仿冒知名网站的页面或登录界面，骗取网上用户的敏感信息，如银行帐号、会员号等信息。 　　 第三十一页，共四十九页。 　　4．网络管理威胁 　　网络管理威胁有多种形式，如误用管理权、安全配置不当、泄露敏感用户名及口令等，这些都将对网络安全构成很大的威胁。 第三十二页，共四十九页。 1.4.7 网络脆弱性 　　1．网络通信类脆弱性 　　网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障。然而通信协议及通信设备的安全缺陷往往危及到网络系统的整体安全。例如，由于以太网协议是广播协议，易造成广播风暴或泄露信息，因此，网络的嗅探器(sniffer)大多数就是利用了以太网协议的脆弱性，窃听局部网络的通信信息的。 第三十三页，共四十九页。 　　2．网络操作系统类脆弱性 　　目前的操作系统，无论是Windows、UNIX还是Netware都有安全漏洞，这些漏洞一旦被发现和利用，将对整个网络系统造成不可估量的损失。 　　3．网络服务类脆弱性 　　网络服务的脆弱性与网络通信、网络操作系统等都相关联，其安全程度也会影响到整个网络系统。网络服务的脆弱性一般存在于网络服务软件、网络服务认证机制、网络服务响应方式等方面。例如，在UNIX系统中，Sendmail邮件服务常存在安全漏洞。 第三十四页，共四十九页。 　　4．网络管理类脆弱性 　　网络管理类脆弱性包括安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当、人事管理漏洞等。 第三十五页，共四十九页。 第1章 网络信息安全概论 第1章 网络信息安全概论 1.1 网络安全现状与问题 1.2 网络安全目标与功能 1.3 网络安全技术需求 1.4 网络安全管理内涵 1.5 网络安全管理方法与流程 1.6 本章小结 本章思考与练习 第一页，共四十九页。 1.1 网络安全现状与问题 1.1.1 网络安全现状 根据美国的CERT安全事件统计数据可得安全事件变化趋势图，如图1-1所示。 第二页，共四十九页。 图1-1 CERT网络安全事件变化趋势图 第三页，共四十九页。 1.1.2 典型网络安全问题 　　目前，主要有10个方面的网络安全问题急需解决，分别叙述如下： 　　(1) 信息应用系统与网络的关系日益紧密，人们对网络的依赖性增强，因而网络安全的影响范围日益扩大，建立可信的网络信息环境已成为一个迫切的需求。 　　(2) 网络系统中安全漏洞日益增多，不仅技术上有漏洞，管理上也有漏洞。 　　(3) 恶意代码危害性高。恶意代码通过网络途径广泛扩散，其影响越来越大。 　　(4) 网络攻击技术日趋复杂，而攻击操作容易完成，攻击工具广为流行。 　 第四页，共四十九页。 　　(5) 网络安全建设缺乏规范操作，常常采取“亡羊补牢”的方式进行维护，导致信息安全共享难度递增，并留下安全隐患。 　　(6) 网络系统有着种类繁多的安全认证方式，一方面使得用户应用时不方便，另一方面也增加了安全管理的工作难度。 　　(7) 国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。 　　(8) 网络系统中软硬件产品的单一性，易造成大规模网络安全事件的发生，特别是网络蠕虫安全事件的发生。 第五页，共四十九页。 　　(9) 网络安全建设涉及人员众多，安全和易用性特别难以平衡。 　　(10) 网络安全管理问题依然是一个难题，主要有： 　　* 用户信息安全防范意识不强。例如，选取弱口令，使得攻击者从远程即可直接控制主机。 　　* 网络服务配置不当，开放了过多的网络服务。例如，网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接ping内部网主机，允许建立空连接。 　　* 安装有漏洞的软件包。 第六页，共四十九页。 　　* 缺省配置。例如，网络设备的口令直接用厂家的缺省配置。 　　* 网络系统中软件不打补丁或补丁不全。 　　* 网络安全敏感信息泄露。例如DNS服务信息泄露。 　　* 网络安全防范缺乏体系。 　　* 网络信息资产不明，缺乏分类、分级处理。 　　* 网络安全管理信息单一，缺乏统一分析与管理平台。 　　* 重技术，轻管理。例如，没有明确的安全管理策略、安全组织及安全规范。 第七页，共四十九页。 1.2 网络安全目标与功能 1.2.1 网络安全目标 　　网络安全目标就是五个基本安全属性，即机密性、完整性、可用性、抗抵赖性和可控性。 　　1