网络和通信安全_第1页
网络和通信安全_第2页
网络和通信安全_第3页
网络和通信安全_第4页
网络和通信安全_第5页
已阅读5页,还剩44页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第2章网络及通信安全本节教学目标教学时数:90分钟教学目的:理解并掌握Internet安全问题。掌握网络通信中的安全协议和IP安全机制。教学重点:Internet安全问题教学难点:IP安全机制第二讲教学内容物理层安全

数据链路层安全

网络层安全传输层安全应用层安全2.1网络通信中的安全协议TCP/IP体系结构模型P6

集线器HUB网桥、Modem、交换机路由器Router网关Gateway地震、火灾、盗窃、故障、损坏在传输线路上窃取数据应用软件、数据库、病毒等安全IP欺骗和ICMP攻击2.2网络通信安全2.2.1、物理层线路安全数据的存取和传输,整个网络的连接是基于物理层的。物理层负责传输比特流。定义了电压大小、电压的变动和代表“1”和“0”的电平定义。

物理层安全的重要性不言而喻。物理层是网络构建的基础。但不幸的是,物理层也是所有组成网络设施的元素中最容易被忽视的。普遍观点:物理层只是一条传输的“通路”,考虑其管理问题完全是多余和奢侈。迄止今天,整个铜缆和光纤基础网络设施中不足1%得到了实时管理。

线路安全措施与方法网络分段是保证安全的一项重要措施。许多都有一定的访问控制能力,可以实现对网络的物理分段。专用的银行网络系统便属于此类。对于重要的机房设备,必须采用防电磁泄露措施。为此,我们建议采用电磁干扰仪。物理层上的安全措施不多,一是在线路上连接报警装置。二是每天下班后断开终端连接。交换机

2.2网络通信安全2.2.2数据链路层安全保证网络上传输数据的安全性,措施之一就是加密。软件加密

硬件加密

密钥的管理复杂容易被袭击加密速度较慢

密钥管理方便对加密设备进行物理加固,攻击者无法进行直接攻击速度快

2.2.2网络通信加密方式

1)链路加密链路加密就是对物理层的每一个比特进行加密。目前,一般的网络安全系统都主要采用这种方式。优点:对用户透明:不受网络其他部分的影响密钥管理简单:仅链路的两点间需要一对密钥流量保密:攻击者得不到任何关于消息结构的信息。缺点网络节点中的数据是明文网络中每个物理链路都必须加密

Ek1Ek2Ek3Dk3Dk2Dk1Node1Node2Node3Node4Link1Link2Link3PP链路加密机

2.2.2网络通信加密方式

2)节点加密

在协议传输层进行加密,在中间节点里加装用于加密、解密的保护装置,由这个装置完成一个密钥向另一个密钥的转变。优点:除了在保护装置里,即使在节点内也不出现明文缺点需要目前的公共网络提供者的配合,修改他们的交换节点,增加保护装置

Ek1Ek2Ek3Dk3Dk2Dk1Node1Node2Node3Node4Link1Link2Link3PP保护装置保护装置保护装置保护装置

2.2.2网络通信加密方式

3)端到端加密在协议表示层上对传输的协议进行加密,加密设备放在网络层和传输层之间,加、解密只在源、目的节点进行。一般由软件实现。优点:对整个网络系统采取保护措施,具有更高的加密级别成本低加密方式灵活缺点密钥管理困难

EkDkNode1Node2Node3Node4Link1Link2Link3PP软件加密

补充:调制解调器的安全

通过Modem和电话线上网是目前普通网民的主要选择。个人:ADSL(非对称数字接入),家庭用户常用的宽带连接。通过电话线转接到internet上,必须配备Modem。公司:许多企业都设置了自己的拨号服务器,为移动用户和远程用户提供接入服务。事实上绝大多数的入侵也是通过拨号网络漏洞实现的。

补充:调制解调器的安全

如果一个黑客通过拨号服务器绕过外网段防火墙,那么他就会象内部网段一样窃听到用户的内部网络通信。方法不要把公司内部拨号号码广泛流传。使用用户名和口令来保护拨号服务器。口令可以是静态,但最好是一次性口令。如雀巢公司就要求所要用户密码至少一个月改一次,公司的进、销、存管理软件用户密码至少要求一个星期改一次。使用安全性好的调制调解器。如回拨调制解调器、安静调制解调器。在网络上加一个用于核实用户身份的服务器,对登录情况进行审计。

-2.2.3网络层安全主要进行分组的路由选择。定义了一种高效的、不可靠的、无连接的传输方式。IP是因特网的协议标准,屏蔽了不同子网技术的差异,向上层提供一致的服务。IPSec(Internet协议安全协议):在路由器或者防火墙上执行该标准。2.2.3网络层安全IP地址:路由器通过IP来定位计算机的位置,选择一个IP的路由。数据包就像公路上的车,路由器就像路口的标志,指引车的去向。路由器2.2.4传输层安全主要为两台主机上的应用程序提供端到端的通信。TCP:为两台主机提供高可靠性的面向连接的数据通信,就像电话服务一样。UDP(用户数据报协议):无需连接将数据报分组进行发送,每个数据包都必须为其指定目的地。SSL:安全套接层协议2.2.5应用层安全专门为用户提供应用服务的。P126比如:仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP等总结:网络协议中的安全体系TCP/IP体系结构模型

电磁干扰仪/报警装置链路加密机/保护装置封装了防火墙的路由器SSL协议数据加密和签名本节教学目标教学时数:90分钟教学目的:了解web安全问题。掌握Web服务器、浏览器的安全配置。掌握Email与OE的安全。教学重点:Web服务器、浏览器的安全配置教学难点:Web服务器、浏览器的安全配置第三讲教学内容web安全

web服务器安全

web浏览器安全Email安全2.3web服务器安全P1302.3.1、Web服务器安全的重要性Web服务器是一种专用服务器,是专门针对企业用户的Web商务应用而优化的简易型服务器。服务器是存储电子商务数据的地方,一旦服务器被入侵,受到的损失就无法估计了。3月份以来,RSA被攻击导致SecurID令牌身份信息被盗、索尼公司7700万信息泄露、美国花旗银行被入侵、微软MSN遭大规模盗号等重大安全事件接连发生。在国内,CSDN等多家网站数千万账号密码被黑客公开。此次造成的经济损失可能在10亿美元以上。更是让网站服务器安全问题暴露在大众视野中。

目前国内出现了一群以黑客攻击为手段、敲诈勒索商业网站的不法分子在互联网上频频作案,其手段就是通过攻击用户的服务器达到控制并敲诈的目的。企业网站和内网安全状况不容乐观2.3web服务器安全Web安全威胁及对策

附:Web服务器记录原则

大多数Web服务器记录它们收到的每一次联接和访问。这个记录通常包括IP地址和主机名。如果站点采取任何形式的验证系统,服务器也会记录用户名。如果用户在逗留期间填写任何表格,该表格下所有变量的值都会被记录在案。请求的状态、传递数据的大小、用户E-mail地址等都会被记录下来。

Web服务器记录的如下信息,会对用户构成威胁。(1)IP地址。(2)服务器/宿主名字。(3)用户名。(4)URL要求。(5)以用户在会话期间常用的形式及出现的可变数据。2.3.2Web服务器的安全配置1、选好web服务器设备和相关软件Web服务器的主要性能要求是相应时间和吞吐率。针对不同层次的用户,构架企业网站可以通过不同的方式:虚拟主机:主机租用:主机托管:自建机房:服务器硬件的选择静态Web站点,从高到低是:网络系统、内存、磁盘系统、CPU。动态Web站点,从高到低:内存、CPU、磁盘子系统和网络系统。

IBMSystemx3550(7978B1C)提供了强大的性能,从设计上和价格上都能够完全满足中等规模企业的需要,稳定可靠且易于管理。一些刚起步的小型企业。用于商情发布企业规模的扩大,访问量增加目前中小企业应用最为广泛的一种方案企业发展到较大规模虚拟机就是一台服务器n个网站共用独享主机是万网的独立服务器给你用主机托管是你的服务器放到万网机房局域网的建设2.3.2Web服务器的安全配置路由器、交换机、集线器的区别

路由器:连通内外网,交警+公路,可以安排你走的路线。兼有交换机、防火墙的功能。交换机:只能在同一网段下工作,是公路只提供道路。它没有路由功能。集线器:组建一个局域网,共享带宽,网速平分交换机:各自独占带宽。

路由器端口太少,网吧一般用集线器。

交换机主要用来接网线的。无线路由器+无线网卡:笔记本和台式电脑一块上网。路由器=一个交换机+一个上网服务器无线路由器的设置

2.3.2企业Web服务器的公共安全设置解决SQL注入和XSS漏洞:

在程序中添加安全代码,禁止输入一些危险字符。XSS漏洞同样需要对输入进行过滤。构建一套整体安全运营监控体系,监视控制Web站点出入情况。杀毒软件、防范ARP攻击的软件与防火墙定时更新,定时查看系统日志,遇到可疑日志应该及时处理对应的程序或策略。

内网所有机器定期更新系统补丁,排除站点中的安全漏洞不定时更改管理员密码,八位以上字母、数字、特征字符混合的高强度密码。进行必要的数据备份一套整体安全运营监控体系P131设置访问控制规则,控制哪些用户能够登陆到服务器。通过IP地址、子网域名来控制通过用户名/口令限制控制访问通过公用密钥加密的方法控制网络权限控制,针对非法操作所提出的一种安全保护措施。系统管理员一般用户审计用户目录级安全控制系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限2.3.3IIS服务器的安全IIS服务器不仅仅能够提供常见的WEB应用而且和很多服务器集合使用在企业中已经非常广泛。

视频:IIS服务器的的设置1、安装IIS:控制面板——添加/删除程序——添加/删除Windows组件——IIS2、启动IIS:Windows开始菜单---所有程序---管理工具---IIS管理器3、配置IIS:用鼠标右键单击“默认Web站点”,在弹出的快捷菜单中选择“属性”

4、主目录与启用父路径

5、日志记录属性6、IIS身份认证2.4Web浏览器的安全2.4.1浏览器中的Cookie的安全Cookie是一个储存于浏览器目录中的文本文件,包含了各种信息:如网站名、用户名和口令、访问过的页码、信用卡号等。问题在于:以不为人觉查的偷偷摸摸方式收集或存储信息,且以明文的形式存在客户机上。因此,它的存在更多的是对个人隐私的一种潜在的威胁。第一次登录后,用户名/口令就存在Cookie中,以后就不需要重复输入。链接:易趣的cookie2.4.2ActiveX的安全ActiveX控件封装了由页面设计者放在页面执行特定任务的程序。当浏览器下载了嵌有ActiveX控件的页面时,它就能在客户机上运行了。如Flash就是是用于动画和娱乐控制的ActiveX控件。与Java代码不同,它只在windows操作系统和支持ActiveX的浏览器上运行。缺点:一个有恶意的ActiveX控件可格式化硬盘、发送垃圾邮件、关闭计算机。因此ActiveX不能控制,但可被管理。InternetExplorer是否运行软件,如ActiveX控件和插件?否(N)是(Y)运行ActiveX控件时IE的提示信息最新Flash0day漏洞“通杀”六大平台

AdobeFlash播放器插件漏洞,涉及Windows、Linux、Android、Chrome、Macintosh以及Solaris等六大平台,影响PC、平板电脑、智能手机、服务器/工作站等几乎所有终端用户,是安全行业历史上极为罕见的“通杀”漏洞。Flash是绝大多数网民都会接触到的互联网应用,比如在线视频、网页游戏等。除了各种内嵌Flash的“危险”文档外,该漏洞还可被用于网页挂马,比如大批中小型游戏网站、电影网站、小说站、音乐站自动感染木马。

2.4.3Java的安全

Java是一种真正的面向对象的语言,它与平台无关,可在任何计算机上运行,一次开发多次使用。Java可实现各种各样的客户端应用,如图形文件、浏览器插件和电子邮件附件,这就解放了非常繁忙的服务器。缺点:Java代码一旦下载就可在客户机上运行,就很可能发生破坏。Java漏洞主要影响企业办公电脑,包括财务软件、办公自动化软件等。据估计,Java安装量在国内至少为千万数量级。JAVA漏洞是2011年黑客主要的攻击对象,平均每季度侦测到JAVA漏洞攻击达690万次。2.4.3Java的安全2.4Web浏览器的安全2.4.4浏览器本身的漏洞微软的IE是漏洞最多的一种浏览器,电脑黑客经常利用ie浏览器漏洞进行病毒攻击,使不少用户遭受损失。最好的办法是下载补丁。说微软的ie浏览器处于十面埋伏不为过,有人认为:正是由于IE是与windows捆绑在一起而不是到市场上经受竞争的冲击而日渐失去活力。面对如此多的IE安全隐患,专家建议广大网络爱好者使用Opera,Firefox,Safari等浏览器代替IE。Opera浏览器很可能成为浏览器市场的新宠!。解决办法不能从根本上消除这些漏洞,但它们有助于阻塞已知的攻击媒介。将Internet安全区域和本地Intranet安全区域设置设为“高”。将Web站点限于只是您信任的Web站点安装Outlook电子邮件安全更新

下载补丁傲游浏览器360极速浏览器打造国内最安全的双核浏览器

截至2011年六月底,360浏览器的用户渗透率达到52.21%。仅次于微软的IE浏览器,这意味着全国有半数以上网民使用360浏览器来上网。闪电般的浏览速度、完备的安全特性及海量丰富的实用工具扩展。其无缝切换、内核持续领先、浏览器开放平台、四层防御体系等四大创新,引领了潮流。为360用户拦截了30亿7988万次木马与恶意网页攻击,崩溃率只有万分之八,比IE的稳定性提升12.5倍。

2.5E-mail与OutlookExpress安全1、

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论