通信网络安全.ppt

通信网络安全 第1页，共25页。 第 5 章 网络安全技术 第2页，共25页。 5.1 网络系统安全技术概述 5.1.1 网络系统面临的安全问题 从系统和应用出发，网络的安全因素可以划分为五个安全层，即物理层、系统层、应用层、网络层和安全管理层。应该在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 1.物理层的安全风险 2. 网络层安全风险 3. 系统层的安全风险 第3页，共25页。 4. 应用层安全风险 （1）身份认证漏洞 （2）DNS服务威胁 （3）WWW服务漏洞 （4）电子邮件系统漏洞 5. 管理层安全风险 5.1.2 网络安全产品 信息安全和网络安全产品有以下几类： （1）防火墙。 （2）安全路由器。 （3）虚拟专用网(VPN)。 （4）安全服务器。 第4页，共25页。 （5）认证中心和公钥机制。 （6）用户认证产品。 （7）安全管理中心。 （8）数据恢复与容灾系统。 （9）入侵检测系统（IDS）。 （10）安全数据库。 （11）安全操作系统。 5.2 信息防护技术 5.2.1 访问控制策略 1. 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。 第5页，共25页。 2. 文件和网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。 （1）特殊用户（即系统管理员）； （2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限； （3）审计用户，负责网络的安全控制与资源使用情况的审计。 文件系统的安全主要是通过设置文件的权限来实现的。 （1）文件许可权 文件属性决定了文件的被访问权限，即什么人能存取或执行该文件。 （2）目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。 第6页，共25页。 （3）属性安全控制 属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。 （4）网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。 5.2.2 加密和认证 1. 加密 网络系统自身的安全涉及很多技术，这些技术在网络攻守较量中又不断发展、完善。网络的一种安全问题是数据的安全，数据安全包括传输保密和存储保密，保密最核心的是密码算法，密码算法包括加密算法、密钥管理算法及验证算法。 第7页，共25页。 2. 认证 传统的用户认证系统有三个功能，即对用户进行认证(Authentication)、授权(Authorization)和计费数据采集(Accounting)。? （1）认证(Authentication) 认证就是指用户必须提供他是谁的证明。 （2）授权(Authorization) 授权主要是用户管理，即针对普通操作员。 （3）计费数据采集(Accounting) ① 计费管理 ② 计费策略定制 ③ 系统管理功能 第8页，共25页。 5.2.3 安装Radius认证访问服务器 远程认证拨号用户服务(Remote Authentication Dial In User Service，RADIUS)是在网络访问服务器(Network Access Server，NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。 1. RADIUS的工作原理 RADIUS以Client/Server方式工作，实现了对远程电话拨号用户的身份认证、授权和计费功能。 RADIUS的工作流程是：（1）用户拨入NAS; （2）NAS向RADIUS服务器发送一系列加密的“属性/值”; （3）RADIUS服务器检查用户是否存在、属性/值是否匹配；（4）RADIUS服务器发送回“接受“或“拒绝“给NAS。 第9页，共25页。 用户认证、管理和计费系统的结构如图5.1所示： 第10页，共25页。 5.2.4 网络防病毒技术 网络病毒是在网络上传播的病毒。网络病毒的来源主要有两种： 一种威胁是来自文件下载。 另一种主要威胁来自于电子邮件。 1. 病毒防治软件安装位置 网络病毒防治必须考虑安装病毒防治软件。 2. 防病毒软件的部署和管理 部署一种防病毒软件的实际操作一般包括以下步骤： （1）调查和制定计划 （2）测试 （3）系统安装 （4）维护 3. 常用防病毒软件 第11页，共25页。 5.3 防火墙技术 防火墙是指设置在不同网络或网络安全域之间执行访问控制策略的一个或一组控制系统。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网