计算机网络系统安全维护 - 浙江省中小企业信息化网络培训平台.ppt

1、计算机网络系统安全维护,中小企业信息化基础类课程,主要内容,一、计算机网络系统安全概述 二、影响计算机网络系统安全的因素 三、计算机网络系统安全维护策略 四、常见问题的原因及解决办法 五、计算机系统安全保护常识,中小企业信息化基础类课程,一、计算机网络系统安全概述,计算机网络系统安全主要包括三个方面的内容：安全性、保密性、完整性。从系统安全的内容出发，计算机网络系统中安全机制基本的任务是访问控制：即授权、确定访问权限、计算机网络审计跟踪。,中小企业信息化基础类课程,1.计算机网络系统的安全性。 主要是指内部与外部安全。 内部安全是在系统的软件、硬件及周围的设施中实现的。 外部安全主要是人事安全

2、，是对某人参与计算机网络系统工作和这位工作人员接触到的敏感信息是否值得信赖的一种审查过程。,中小企业信息化基础类课程,2.计算机网络系统保密性。 加密是对传输过程中的数据进行保护的重要方法，又是对存储在各种媒体上的数据加以保护的一种有效的手段。系统安全是我们的最终目标，而加密是实现这一目标的有效手段。,中小企业信息化基础类课程,3.计算机网络系统的完整性。 完整性技术是保护计算机网络系统内软件（程序）与数据不被非法删改的一种技术手段，它可分为数据完整性和软件完整性。 4.计算机网络安全访问控制 （1）授权：决定哪个主体有资格访问哪个客体 （2）确定访问权限：决定是否有权读、写、运行、删除以及附

3、着。 （3）实施访问权限：在一个计算机网络系统中，访问控制权指本系统内主体对客体的访问控制，不涉及访问本系统。,中小企业信息化基础类课程,5.计算机网络审计跟踪。 在一个计算机网络系统中，审计跟踪对使用何种系统资源、使用时间、如何使用以及由哪个用户使用等问题提供了一个完备的记录，以备非法时间发生后能有效追查。它是在用户进入系统进行各种操作时自动进行的。,中小企业信息化基础类课程,二、影响计算机网络系统安全的因素,1.自然因素： 1.1软件漏洞 针对固有的安全漏洞进行攻击，主要在以下几个方面： 1.1.1协议漏洞。 例如，IMAP和POP3协议一定要在Unix根目录下运行，攻击者利用这一漏洞攻击

4、IMAP破坏系统的根目录，从而获得超级用户的特权。 1.1.2缓冲区溢出。 很多系统在不检查程序与缓冲区之间变化的情况下，就接受任何长度的数据输入，把溢出部分放在堆栈内，系统仍照常执行命令。攻击者就利用这一漏洞发出超出缓冲区所能处理的长度的指令，来造成系统的不稳定状态。 1.1.3口令攻击。 例如，Unix系统软件通常把加密的口令保存在一个文件中，而该文件可通过拷贝或口令破译方法受到入侵。因此，任何不及时更新的系统，都是容易被攻击的。,中小企业信息化基础类课程,1.2病毒攻击 企业网络同样也是连接在互联网上的一个网络，所以它不可避免的要遭到这样或那样的病毒的攻击。这些病毒有些是普通没有太大破坏

5、的，而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器，造成机器“罢工”并成为感染源，另一方面会大量占用网络带宽，阻塞正常流量，形成拒绝服务攻击。,中小企业信息化基础类课程,2.人为因素： 2.1 操作失误 操作员安全设置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见，随着网络管理制度的建立和对使用人员的培训，此种情况逐渐减少，对网络安全已不构成主要威胁。 2.2恶意攻击 这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：

6、一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性； 另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。,中小企业信息化基础类课程,三、计算机网络系统安全维护策略,一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性等特点。计算机网络安全保护的重点应在以下两个方面:一是计算机病毒，二是黑客的入侵。 1.杀毒软件和防火墙的区别 在计算机的安全防护中，经常要用到杀毒软件和防火墙，而这两者在计算机安全防护中所起到的作用也是不同的。 （1）防火墙是位于计算机和它所连接的网络之间的软件，安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。

7、使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。 （2）因为杀毒软件和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。 （3）杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。,中小企业信息化基础类课程,（4）病毒为可执行代码，黑客攻击为数据包形式。 （5）病毒通常自动执行，黑客攻击是被动的。 （6）病毒主要利用系统功能，黑客更注重系统漏洞。 （7）当遇到黑客攻击时反病毒软件无法对系统进行保护。 （8）对于初级用户，可以选择使用防火墙软件配置好的安全级别。 （9）防火墙软件需要对具体应用进

8、行规格配置。 （10）防火墙不处理病毒。,中小企业信息化基础类课程,2.计算机病毒的防御 防御计算机病毒应该从两个方面着手，首先应该加强内部网络管理人员以及使用人员的安全意识，使他们能养成正确上网、安全上网的好习惯。再者，应该加强技术上的防范措施，比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下：,中小企业信息化基础类课程,2.1权限设置，口令控制。 网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。在选择口令应往意，必须选择超过6个字符并且由字母和数字共同组成的口令；操作员应定期变一次口令；不得写下口令或在电子邮件

9、中传送口令。通常简单的口令就能取得很好的控制效果，因为系统本身不会把口令泄露出去。但在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很安全的方法。,中小企业信息化基础类课程,2.2 简易安装，集中管理。 在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防

10、御措施。,中小企业信息化基础类课程,2.3 实时杀毒，报警隔离。 当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。 例如:某一终端机如果通过软盘感染了计算机病毒，势必会在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。,

11、中小企业信息化基础类课程,2.4以网为本，多层防御。 网络防毒不同于单机防毒。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统安全的。所以网络防毒一定要以网为本，从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。,中小企业信息化基础类课程,3.对黑客攻击的防御 对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略， 3.1防御方法 防火墙构成了系统对外防御的第一道防线。

12、在这里，防火墙是一个小型的防御系统，用来隔离被保护的内部网络，明确定义网络的边界和服务，同时完成授权、访问控制以及安全审计的功能。基本的防火墙技术有以下几种：,中小企业信息化基础类课程,（1）包过滤路由器 路由器的一个主要功能足转发分组，使之离目的更近。为了转发分组，路由器从IP报头读取目的地址，应用基于表格的路由算法安排分组的出口。过滤路由器在一般路由器的基础上增加了一些新的安全控制功能。绝人多数防火墙系统在它们的体系结构中含了这些路由器，但只足以一种相当随意的方式来允许或禁止通过它的分组，因此它并不能做成一个完整的解决方案。 （2）双宿网关 一个双宿网关足一个具有两个网络界面的主机，每个网

13、络界面与它所对应的网络进行了通信。它具有路由器的作用。 通常情况下，应用层网关或代理双宿网关下，他们传递的信息经常是对一特定服务的请求或者对一特定服务的响应。如果认为消息是安全的，那么代理会将消息转发相应的主机上。用户只能够使用代理服务器支持的服务。,中小企业信息化基础类课程,（3）过滤主机网关 一个过滤主机网关是由一个双宿网关和一个过滤路由器组成的。防火墙的配置包括一个位于内部网络下的堡垒主机和一个位于堡垒主机和INTERNET之间的过滤路由器。这个系统结构的第一个安全设施是过滤路由器，它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。对到来的信息流而言，由于先要经过过滤路由器的过滤，过

14、滤后的信息流被转发到堡垒主机上，然后由堡垒主机下的应用服务代理对这此信息流进行了分析并将合法的信息流转发到内部网络的主机上;外出的信息首先经过堡垒主机下的应用服务代理的检查，然后被转发到过滤路由器，然后有过滤路由器将其转发到外部网络上。,中小企业信息化基础类课程,（4）过滤子网网关 一个安全的过滤子网建立在内部网络与INTERNET之间，这个子网的入口通常是一个堡垒主机，分组过滤器通常位于子网与INTERNET之间以及内部网络与子网之间。 分组过滤器通过出入信息流的过滤起到了子网与内部网络和外部网络的缓冲作用。堡垒主机上的代理提供了对外网络的交互访问。在过滤路由器过滤掉所有不能识别或禁止通过的

15、信息流后，将其他信息流转发到堡垒主机上，由其上的代理仔细进行检查。 所以，可以根据实际情况，单独或者结合使用以上防火墙技术来构筑第一道防线。 但是防火墙并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。,中小企业信息化基础类课程,3.2 防御措施 3.2.1网络安全的防范，需要堵住黑客常用缺口，从禁止端口和禁用服务入手 （1）关闭一般不用的端口，如139端口、3389端口等,中小企业信息化基础类课程,（2）停用一些不必要的Windows服务 Windows XP系统建议禁用服务，例如:Messenger，俗称信使服务，这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，建议用户禁用该服务。,中小企业信息化基础类课程,3.2.2用户应多了解一些电脑信息，做好计算机系统安全工作 （1）及时为操作系统安装最新的系统漏洞补丁程序; （2）安装可升级的杀毒软件和防火墙，将病毒库及时更新，并做个GHOST备份以防日后需要; （3）对系统合理配置,中小企业信息化基础类课程,建立、配置配系统用户的权限 启用Internet连接防火墙 更改VBS文件的打开方式,中小企业信息化基础类课程,四、常见问题的原因及解决办