.网络安全与管理 网络安全的概述

1、网络平安与管理网络平安与管理73.1 网络平安根底知识网络平安根底知识4. 网络平安的关键技术主机平安技术。身份认证技术。访问控制技术。密码技术。防火墙技术。平安审计技术。平安管理技术。83.1 网络平安根底知识网络平安根底知识5. 网络平安策略网络用户的平安责任：该策略可以要求用户每隔一段时间改变其口令；使用符合一定准那么的口令；执行某些检查，以了解其账户是否被别人访问过等。重要的是，但凡要求用户做到的，都应明确地定义。系统管理员的平安责任：该策略可以要求在每台主机上使用专门的平安措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序。93.1 网络平安根底知

2、识网络平安根底知识正确利用网络资源：规定谁可以使用网络资源，他们可以做什么，他们不应该做什么等。如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到平安监视，就应该非常明确地告诉用户，这是其政策。检测到平安问题时的对策：当检测到平安问题时应该做什么？应该通知谁？这些都是在紧急的情况下容易无视的事情。103.2 威胁网络平安的因素威胁网络平安的因素 计算机网络平安受到的威胁包括： “黑客的攻击 计算机病毒 拒绝效劳攻击DoS113.2 威胁网络平安的因素威胁网络平安的因素1. 平安威胁的类型 非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用假冒合法用户，主要指利

3、用各种假冒或欺骗的手段非法获得合法用户的使用权，以到达占用合法用户资源的目的数据完整性受破坏干扰系统的正常运行，改变系统正常运行的方向，以及延时系统的响应时间病毒破坏通信线路被窃听等123.2 威胁网络平安的因素威胁网络平安的因素2. 操作系统的脆弱性1操作系统体系结构本身就是不平安的一种因素。 2操作系统可以创立进程，即使在网络的节点上同样也可以进行远程进程的创立与激活，更令人不安的是被创立的进程具有可以继续创立进程的权力。 3网络操作系统提供的远程过程调用效劳以及它所安排的无口令入口也是黑客的通道。133.2 威胁网络平安的因素威胁网络平安的因素3. 计算机系统的脆弱性1来自于操作系统的不

4、平安性，在网络环境下，还来源于通信协议的不平安性。 2存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。 3 计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。 143.2 威胁网络平安的因素威胁网络平安的因素4. 协议平安的脆弱性网络系统都使用的TCP/IP协议、FTP、E-mail、NFS等都包含着许多影响网络平安的因素，存在许多漏洞。黑客通常采用Sock、TCP预测或使用远程访问RPC进行直接扫描等方法对防火墙进行攻击。153.2 威胁网络平安的因素威胁网络平安的因素5. 数据库管理系统平安的脆弱性由于数据管理系统DBMS对数据库的管理是建立在分级管

5、理的概念上的，因此，DBMS的平安也是可想而知。另外，DBMS的平安必须与操作系统的平安配套，这无疑是一个先天的缺乏之处。6. 人为的因素不管是什么样的网络系统都离不开人的管理，但又大多数缺少平安管理员，特别是高素质的网络管理员。此外，缺少网络平安管理的技术标准，缺少定期的平安测试与检查，更缺少平安监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。163.2 威胁网络平安的因素威胁网络平安的因素7. 各种外部威胁1物理威胁指硬件、存储介质和工作程序。2网络威胁 窃听、冒名顶替、入侵网络中。3身份鉴别 判断是否有权使用系统。4编程 病毒程序、下载的程序、附

6、件等。5系统漏洞 173.2 威胁网络平安的因素威胁网络平安的因素8. 防范措施防范措施1用备份和镜像技术提高数据完整性用备份和镜像技术提高数据完整性2防治防毒防治防毒 3安装补丁程序安装补丁程序4提高物理平安提高物理平安5构筑因特网防火墙构筑因特网防火墙6仔细阅读日志仔细阅读日志7加密加密8提防虚假的平安提防虚假的平安183.3 网络平安分类网络平安分类 计算机的平安可分为三类：1实体平安，包括机房、线路、主机等。2网络与信息平安，包括网络的畅通、准确以及网上信息的平安。3应用平安，包括程序开发运行、I/O、数据库等的平安。网络信息平安可分为四类：1根本平安类 2管理与记账3互连设备平安类4

7、连接控制类193.3 网络平安分类网络平安分类1. 根本平安类根本平安类包括访问控制、授权、认证、加密以及内容平安。 2. 管理与记账类管理与记账类平安包括平安的策略的管理、实时监控、报警以及企业范围内的集中管理与记账。203.3 网络平安分类网络平安分类3. 网络互联设备平安类网络互联设备平安类网络互联设备包括路由器、通信效网络互联设备包括路由器、通信效劳器、交换机等，网络互联设备平劳器、交换机等，网络互联设备平安正是针对上述这些互联设备而言安正是针对上述这些互联设备而言的，它包括路由平安管理、远程访的，它包括路由平安管理、远程访问效劳器平安管理、通信效劳器平问效劳器平安管理、通信效劳器平安

8、管理以及交换机平安管理等等。安管理以及交换机平安管理等等。4. 连接控制类连接控制类连接控制类包括负载均衡、可靠性连接控制类包括负载均衡、可靠性以及流量管理等。以及流量管理等。213.4 网络平安解决方案网络平安解决方案1. 网络信息平安模型网络信息平安模型一个完整的网络信息平安系统至少包一个完整的网络信息平安系统至少包括三类措施：括三类措施： 社会的法律政策，企业的规章制度社会的法律政策，企业的规章制度及网络平安教育及网络平安教育技术方面的措施，如防火墙技术、技术方面的措施，如防火墙技术、防病毒。信息加密、身份确认以及授防病毒。信息加密、身份确认以及授权等权等审计与管理措施，包括技术与社会审

9、计与管理措施，包括技术与社会措施措施 223.4 网络平安解决方案网络平安解决方案233.4 网络平安解决方案网络平安解决方案 政策、法律、法规是平安的基石，它是建立平安管理的标准和方法。 第二局部为增强的用户认证，它是平安系统中属于技术措施的首道防线。用户认证的主要目的是提供访问控制。用户认证方法按其层次的不同可以根据以下3种情况提供认证。1用户持有的证件，如大门钥匙、门卡等。2用户知道的信息，如密码。3用户特有的特征，如指纹、声音和视网膜扫描等。243.4 网络平安解决方案网络平安解决方案 授权主要是为特许用户提供适宜的访问权限，并监控用户的活动，使其不越权使用。 加密主要满足如下的需求。

10、1认证。识别用户身份，提供访问许可。2一致性。保证数据不被非法篡改。3隐密性。保证数据不被非法用户查看。4不可抵赖。使信息接收者无法否认曾经收到的信息。 审计与监控，这是系统平安的最后一道防线，它包括数据的备份。当系统一旦出现了问题，审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。253.4 网络平安解决方案网络平安解决方案2. 平安策略设计依据在制定网络平安策略时应当考虑如下因素：对于内部用户和外部用户分别提供哪些效劳程序初始投资额和后续投资额新的硬件、软件及工作人员方便程度和效劳效率复杂程度和平安等级的平衡网络性能263.4 网络平安解决方案网络平安解决方案3. 网络平安解决方

11、案1信息包筛选273.4 网络平安解决方案网络平安解决方案2应用中继器 283.4 网络平安解决方案网络平安解决方案29 公共网络 网络 1 (不可靠网络) 路由器 1 网络 2 扼流点 网络 3 (可靠网络) 网络 5 (任选) 扼流点 (任选） 有非军事区 扼流点用于记录，但仍然需要两个点用于记录可靠网络与 DMZ 的活动 管理的网络多达 5 个 303.4 网络平安解决方案网络平安解决方案3保密与确认“保密可以保证当一个信息被送出后，只有预定的接收者能够阅读和加以解释。它可以防止窃听，并且允许在公用网络上平安地传输机密的或者专用的信息。“确认意味着向信息邮件、数据、文件等的接收者保证发送

12、是该信息的拥有者，并且意味着，数据在传输期间不会被修改。313.4 网络平安解决方案网络平安解决方案4. 网络平安性措施 要实施一个完整的网络平安系统，至少应该包括三类措施：社会的法律、法规以及企业的规章制度和平安教育等外部软件环境技术方面的措施，如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术审计和管理措施，这方面措施同时也包含了技术与社会措施。323.4 网络平安解决方案网络平安解决方案为网络平安系统提供适当平安的常用的方法：修补系统漏洞 病毒检查加密执行身份鉴别防火墙捕捉闯入者直接平安空闲机器守那么废品处理守那么口令守那么333.4 网络平安解决方案网络平安解决方案可以采取的网络

13、平安性措施有：选择性能优良的效劳器。采用效劳器备份。效劳器备份方式分为冷备份与热备份二种，热备份方式由于实时性好，可以保证数据的完整性和连续性，得以广泛采用的一种备份方式对重要网络设备、通信线路备份。通信故障就意味着正常工作无法进行。343.4 网络平安解决方案网络平安解决方案5. 因特网平安管理1应解决的平安问题 2对因特网的平安管理措施平安保密遵循的根本原那么根据所面临的平安问题，决定平安的策略。根据实际需要综合考虑，适时地对现有策略进行适当的修改。构造企业内部网络，在Intranet和 Internet之间设置“防火墙以及相应的平安措施。完善管理功能加大平安技术的开发力度 353.4 网

14、络平安解决方案网络平安解决方案6. 网络平安的评估网络平安的评估 确定单位内部是否已经有了一套有关确定单位内部是否已经有了一套有关网络平安的方案，如果有的话，将所有网络平安的方案，如果有的话，将所有有关的文档汇总；如果没有的话，应当有关的文档汇总；如果没有的话，应当尽快制订尽快制订对已有的网络平安方案进行审查对已有的网络平安方案进行审查确定与网络平安方案有关的人员，并确定与网络平安方案有关的人员，并确定对网络资源可以直接存取的人或单确定对网络资源可以直接存取的人或单位部门位部门确保所需要的技术能使网络平安方案确保所需要的技术能使网络平安方案得到落实得到落实确定内部网络的类型。确定内部网络的类型。363.4 网络平安解决方案网络平安解决方案如果需要接入互联网；那么需要仔细检查联人互联网后可能出现的影响网络平安的事项确定接入互联网的方式，是拔号接入，还是专线确定单位内部能提供互联网访问的用户，并明确互联网接入用户是固定的还是移动的