第讲计算机网络安全知识_第1页
第讲计算机网络安全知识_第2页
第讲计算机网络安全知识_第3页
第讲计算机网络安全知识_第4页
第讲计算机网络安全知识_第5页
已阅读5页,还剩24页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第12讲 计算机网络安全知识(zh shi)共二十九页信息安全(nqun)的概念信息安全的一般性定义:信息安全是防止对知识、事实、数据(shj)或能力非授权使用、误用、篡改或拒绝使用所采取的措施(量度)。共二十九页一、 网络安全的属性(shxng)网络安全具有三个基本属性。1. 机密性机密性是指保证(bozhng)信息与信息系统不被非授权者所获取与使用,主要防范措施是密码技术。共二十九页2. 完整性完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改,主要防范措施是校验(xio yn)与认证技术。共二十九页3. 可用性可用性是指保证信息与信息系统可被授权人正常使用(shyn

2、g),主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。共二十九页二、计算机安全(nqun)随着计算机技术及其应用的发展,各个单位的大部分信息资产以电子形式(xngsh)移植到计算机上。计算机的使用愈来愈方便,更多的人用交互会话的方式访问信息。计算机系统上的信息对任何访问系统的人都是可访问的。在20世纪70年代,David Bell和Leonard La Padula开发了一个安全计算机的操作模型。该模型是基于政府概念的各种级别分类信息(一般、秘密、机密、绝密)和各种许可级别。如果主体的许可级别高于文件(客体)的分类级别,则主体能访问客体。如果主体的许可级别低于文件(客体)的分类级别

3、,则主体不能访问客体。共二十九页这个模型的概念进一步发展,于1983年导出了美国国防部标准5200.28可信计算系统评估(pn )准则(the Trusted Computing System Evaluation Criteria, TCSEC),即桔皮书。TCSEC共分为如下4类7级:(1) D级,安全保护欠缺级。(2) C1级,自主安全保护级。(3) C2级,受控存取保护级。(4) B1级,标记安全保护级。(5) B2级,结构化保护级。(6) B3级,安全域保护级。(7) A1级,验证设计级。共二十九页桔皮书对每一级都定义了功能要求和保证要求,也就是说要符合某一安全级要求,必须既满足功能

4、要求,又满足保证要求。为了使计算机系统达到相应(xingyng)的安全要求,计算机厂商要花费很长时间和很多资金。有时当某产品通过级别论证时,该产品已经过时了。计算机技术发展得如此之迅速,当老的系统取得安全认证之前新版的操作系统和硬件已经出现。共二十九页三、网络安全当计算机联成网络以后,新的安全问题出现了,老的安全问题也以不同的形式出现。例如,各种局域网、城域网的安全不同于以往的远距离点到点的通信安全;又如,高速网络以及由很多连接器连到一个公共的通信介质,原有的专用密码机已经完全不能解决问题;再如,有很多用户从不同的系统经过网络访问,而没有单个计算机的集中控制。随着Internet的发展及其普及

5、(pj)应用,如何解决在开放网络环境下的安全问题更成为迫切需要解决的问题。如上面所述的IP安全、DNS安全、拒绝服务与分布拒绝服务攻击等。共二十九页桔皮书并不解决联网计算机的问题,事实上,网络的访问在桔皮书的认证中是无效的。为此,美国国防部于1987年制定了TCSEC的可信网络解释TNI,又称红皮书。除了满足桔皮书的要求外,红皮书还企图解决计算机的联网环境的安全问题。红皮书主要说明联网环境的安全功能要求,较少阐明保证要求。网络安全的主要目的是解决在分布网络环境中对信息载体(zit)及其运行提供的安全保护问题,主要措施是提供完整的信息安全保障体系,包括防护、检测、响应、恢复。共二十九页四、 网络

6、安全综合(zngh)处理显而易见,单一的网络安全技术和网络安全产品无法解决网络安全的全部问题。网络安全需要,从体系结构的角度,用系统工程的方法,根据(gnj)联网环境及其应用的实际需求提出综合处理的安全解决方案。下面简要地分析常见的一些安全技术、安全产品各自解决的问题。共二十九页1. 防病毒软件防病毒软件对好的安全程序是必需的部分。如果恰当地配置和执行,能减少一个组织对恶意程序的暴露。然而,防病毒软件并不能对所有恶意程序的防护都有效。它既不能防止入侵者借用合法程序得到系统(xtng)的访问,也不能防止合法用户企图得到超出其权限的访问。共二十九页2. 访问控制组织内的每一个计算机系统具有基于用户

7、身份的访问权限的控制。假如系统配置正确,文件的访问许可权配置合理,文件访问控制能限制合法用户进行超出其权限的访问。但是文件访问控制不能阻止一些人利用系统的漏洞,得到管理员一样(yyng)的权限来访问系统及读系统的文件。访问控制系统甚至允许跨组织进行系统访问控制的配置,对访问控制系统而言,这样的攻击看起来好像一个合法的管理员试图访问账户允许访问的文件。共二十九页3. 防火墙防火墙是用于网络的访问控制设备,有助于帮助保护组织内部的网络,以防外部(wib)攻击。本质上讲防火墙是边界安全产品,存在于内部网和外部(wib)网的边界。因此,只要配置合理,防火墙是必需的安全设备。然而,防火墙不能防止攻击者使

8、用合理的连接来攻击系统。例如,一个Web服务器允许来自外部(wib)的访问,攻击者可以利用Web服务器软件的漏洞,这时防火墙将允许这个攻击进入,因为Web服务器应该接收这个Web连接。防火墙对内部用户也没有防备作用,因为内部用户已经在内部网中。共二十九页4. 智能卡对身份进行鉴别可以根据你知道什么(如口令)、你有什么(如智能卡)、你是什么(如指纹)或它们的组合来完成。利用口令来鉴别身份是传统采用的鉴别方法,但这不是最好的方法,因为口令可猜测或留在某个地方(dfng)被他人知道,因此人们开发了另外一些鉴别方法。智能卡是一种较安全的鉴别方法,可减少人们猜测口令的风险。然而如仅仅用它来鉴别身份,如果

9、智能卡被偷,则小偷可伪装成网络和计算机系统的合法用户。对有漏洞的系统,智能卡也不能防止攻击,因为智能卡的正确鉴别依赖于用户确实使用正确的系统进入路径。共二十九页5. 仿生网络安全仿生网络安全是属于你是什么的鉴别机制,也是一种减少口令猜测网络的机制。如同其他的鉴别方法,仿生网络安全的有效(yuxio)也依赖于用户通过正确的进入路径访问系统。如果攻击者能发现绕过仿生网络安全系统的通路,则仿生网络安全系统也将失效。共二十九页6. 入侵检测入侵检测系统曾被宣传成能完全解决网络安全(nqun)问题,有了它就无须再保护我们的文件和系统,它可以检测出何时、何人在入侵,并且阻止它的攻击。事实上,没有一个入侵检

10、测系统是完全安全(nqun)的,它也不能检测合法用户进入超权限的信息访问。共二十九页7. 策略管理安全策略和过程是一个好的安全程序的重要组成部分,它对网络和计算机系统的策略管理也同样重要。策略管理系统会对任何不符合安全策略的系统给出提醒。然而,策略管理并没有考虑系统的漏洞或应用软件的错误配置,从而对它们(t men)的发生起不到管理作用。计算机系统的策略管理也无法保证用户不会留下口令或将口令给非授权用户。共二十九页8. 漏洞扫描对计算机系统进行(jnxng)漏洞扫描可帮助组织发现入侵者潜在的进入点。然而,漏洞扫描本身并不能起到保护计算机系统的作用,并对每个发现的漏洞及时加补丁。漏洞扫描不检测合

11、法用户不合适的访问,也不检测已经在系统中的入侵者。共二十九页9. 密码密码是通信安全最重要的机制,它能保护(boh)传输中的信息。如果将加密后的文件进行存储,则可保护(boh)存储的信息。然而,合法用户必须访问这些文件,如果他们出示同样的密码算法的密钥,而密码系统并不区分合法用户和非法用户。因此,密码本身并不提供安全措施,它们必须由密钥控制以及将系统作为整体来管理。共二十九页10. 物理安全机制有多种物理安全的保护机制可以保护计算机系统及信息。物理安全机制应确保用户方便地访问计算机系统和获得授权范围内的信息。因此,物理安全无法保护利用合法访问的攻击以及通过网络的旁路攻击。上面列举的网络安全技术

12、与产品都在一定条件下解决了相关的安全问题,但没有(mi yu)单一的网络安全技术与产品能解决网络安全的全部问题。后面的章节将阐述综合处理网络安全的解决方案。共二十九页五、 网络安全的重要性计算机网络的广泛应用已经对经济、文化、科学与教育的发展产生了重要的影响,同时也不可避免地带来了一些新的社会、道德、政治与法律问题。随着Internet的应用日益深入,网上的信息资源也越来越丰富,所涉及的领域(ln y)也越来越广泛,其中大到国家高级军事机密、经济情报、企业策划,小到证券投资、个人信用、生活隐私等。由于Internet的开放性及网络操作系统目前还无法杜绝的各种隐患,使一些企图非法窃取他人机密的不

13、法分子有机可乘。利用计算机犯罪日益引起社会的普遍关注,而计算机网络则是被攻击的重点。返回(fnhu)本节共二十九页六、 威胁(wixi)网络安全的因素1. 网络病毒 2. 黑客(hi k)的袭击 3. 网络协议分析软件 共二十九页七、网络(wnglu)病毒网络病毒除具有一般计算机病毒所具有的破坏性、复制性、传播性的特点以外,还具有如下(rxi)一些新特点。(1)扩散面广 (2)针对性 (3)破坏性大 (4)传播性强 返回本节共二十九页八、 网络安全防范措施1增强安全防范意识2控制访问权限(qunxin) 3选用防火墙系统 4设置网络口令 5数据加密技术 返回(fnhu)共二十九页九、 防火墙技

14、术(jsh)简介如前所述,设置Internet /Intranet防火墙(Firewall)实质上就是要在企业内部网与外部网之间检查(jinch)网络服务请求分组是否合法,网络中传输的数据是否会对网络安全构成威胁。防火墙的典型网络结构如图6.38所示。 共二十九页图6.38 典型(dinxng)的带防火墙的网络结构共二十九页十、 网络(wnglu)防病毒技术1典型网络(wnglu)防病毒软件的应用:网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒。 2网络工作站防病毒方法 :(1)采用无盘工作站。 (2)使用单机防病毒卡。 (3)使用网络防病毒卡。 共二十九页内容摘要第12讲 计算机网络安全知识。信息安全的一般性定义:信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施(量度)。如

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论