计算机网络安全与网络管理.ppt
《计算机网络安全与网络管理.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全与网络管理.ppt(74页珍藏版)》请在三一文库上搜索。
1、本章学习要求: 了解:网络安全的重要性 掌握:网络安全技术研究的基本问题 掌握:网络安全策略制定的方法与基本内容 了解:网络安全问题的鉴别的基本概念 掌握:网络防火墙的基本概念 了解:网络文件的备份与恢复的基本方法 了解:网络防病毒的基本方法 掌握:网络管理的基本概念,第九章 网络安全与网络管理,引言-事件,2010年十大互联网安全事件 2011年十大互联网安全事件 2012年十大安全趋势,9.1 网络安全的重要性,网络安全问题已经成为信息化社会的一个焦点问题; 每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。,
2、9.2 网络安全技术研究的基本问题,9.2.1 构成对网络安全威胁的主要因素与相关技术的研究 网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题,网络防攻击问题,服务攻击: 对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常; 非服务攻击: 不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击? 攻击类型与手段可能有哪些? 如何及时检测并报告网络被攻击? 如何采取相应的网络安全
3、策略与网络安全防护体系?,网络安全漏洞与对策的研究,网络信息系统的运行涉及到: 计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议 网络安全漏洞也会表现在以上几个方面。,网络中的信息安全保密,信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用; 信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击;,数据加密与解密,将明文变换成密文的过程称为加密; 将密文经过逆变换恢复成明文的过程称为解密。,网络内部安全防范问题,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的
4、行为; 对网络与信息安全有害的行为包括: 有意或无意地泄露网络用户或网络管理员口令; 违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞; 违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据; 违反网络使用规定,越权修改网络系统配置,造成网络工作不正常; 解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,网络防病毒问题,目前,70%的病毒发生在计算机网络上; 连网微型机病毒的传播速度是单机的20倍,网络服务器消除病毒所花的时间是单机的40倍; 电子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。,网络数据备份与恢复、灾难恢复问题,如果
5、出现网络故障造成数据丢失,数据能不能被恢复? 如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?,9.2.2 计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁: (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。 截获信息的攻击称为被动攻击 而更改信息和拒绝用户使用资源的攻击称为主动攻击。,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被动攻击和主
6、动攻击,在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化,9.2.3 网络安全服务的主要内容,网络安全服务应该提供的基本服务功能: 数据保密(data confidentiality) 认证(authentication) 数据完整(data integrity) 防抵赖(non-repudiation) 访问控制(access control),9.2.4 网络安全标准,电子计算机系统安全规范,1987年10月 计算机软件保护条例,1991年5月 计算机软件著
7、作权登记办法,1992年4月 中华人民共和国计算机信息与系统安全保护条例, 1994年2月 计算机信息系统保密管理暂行规定,1998年2月 关于维护互联网安全决定,全国人民代表大会常 务委员会通过,2000年12月,安全级别的分类,可信计算机系统评估准则TC-SEC-NCSC是1983年公布的,1985年公布了可信网络说明(TNI); 可信计算机系统评估准则将计算机系统安全等级分为4类7个等级,即D、C1、C2、B1、B2、B3与A1; D级系统的安全要求最低,A1级系统的安全要求最高。,9.3 网络安全策略的设计,企业内部网有哪些网络资源与服务需要提供给外部用户访问? 企业内部用户有哪些需要
8、访问外部网络资源与服务? 可能对网络资源与服务安全性构成威胁的因素有哪些? 哪些资源需要重点保护? 可以采取什么方法进行保护? 发现网络受到攻击之后如何处理?,9.3.1 网络安全策略与网络用户的关系,网络安全策略包括技术与制度两个方面。只有将二者结合起来,才能有效保护网络资源不受破坏; 在制定网络安全策略时,一定要注意限制的范围; 网络安全策略首先要保证用户能有效地完成各自的任务同时,也不要引发用户设法绕过网络安全系统,钻网络安全系统空子的现象; 一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾,应该使网络管理员与网络用户都乐于接受与执行。,9.3.2 制定网络安全策略的两种思想,
9、制定网络安全策略的两种思想: 一是凡是没有明确表示允许的就要被禁止, 二是凡是没有明确表示禁止的就要被允许; 在网络安全策略上一般采用第一种方法,明确地限定用户在网络中访问的权限与能够使用的服务; 符合于规定用户在网络访问“最小权限”的原则,给予用户能完成任务所“必要”的访问权限与可以使用的服务类型,又便于网络的管理。,9.3.3 网络用户组成、网点结构与网络安全策略的关系,要维护网络系统的有序运行,还必须规定网络管理员与网络用户各自的责任; 网络安全问题来自外部、内部两个方面; 任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用,这就存在多个网点之间的网络安全与管理的协调
10、问题; 多个网点之间要相互访问,因此带来了内部用户与外部用户两方面的管理问题。,9.3.4 网络安全教育与网络安全策略,要求网络管理员与网络用户能够严格地遵守网络管理规定与网络使用方法,正确地使用网络; 要求从技术上对网络资源进行保护; 如果网络管理员与网络用户不能严格遵守网络管理条例与使用方法,再严密的防火墙、加密技术也无济于事; 必须正确地解决网络安全教育与网络安全制度之间的关系,切实做好网络管理人员与网络用户的正确管理与使用网络的培训,从正面加强网络安全教育。,9.3.5 网络安全策略的修改、完善与网络安全制度的发布,Internet网点与Intranet网点的网络管理中心的网络管理员,
11、对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任; 当网点的网络安全策略的修改涉及其他网点时,相关网点的网络管理员之间需要通过协商,协调网络管理、网络安全策略与使用制度的修改问题; 网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度的变化情况。,9.4 网络安全策略制定的方法与基本内容,设计网络安全策略需要回答以下问题: 打算要保护哪些网络资源? 哪类网络资源可以被哪些用户使用? 什么样的人可能对网络构成威胁? 如何保证能可靠及时地实现对重要资源的保护? 在网络状态变化时,谁来负责调整网络安全策略?,9.4.1 网络资源的定义,分析网络中
12、有哪些资源是重要的,什么人可以使用这些资源,哪些人可能会对资源构成威胁,以及如何保护这些资源; 对可能对网络资源构成威胁的因素下定义,以确定可能造成信息丢失和破坏的潜在因素,确定威胁的类型; 了解对网络资源安全构成威胁的来源与类型,才能针对这些问题提出保护方法。,9.4.2 网络使用与责任的定义,定义网络使用与责任需要回答以下问题: 允许哪些用户使用网络资源; 允许用户对网络资源进行哪些操作; 谁来批准用户的访问权限; 谁具有系统用户的访问权限; 网络用户与网络管理员的权利、责任是什么。,9.4.3 用户责任的定义,网络攻击者要入侵网络,第一关是要通过网络访问控制的用户身份认证系统; 保护用户
13、口令主要需要注意两个问题。一是选择口令,二是保证口令不被泄露,并且不容易被破译; 网络用户在选择自己的口令时,应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码等容易被攻击者猜测的字符或数字序列。,用户责任主要包括以下基本内容: 用户只使用允许使用的网络资源与服务,不能采用不正当手段使用不应使用的资源; 用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任; 用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任; 用户了解为什么需要定期或不定期地更换账户密码; 明确用户数据是用户自己负责备份,还是由网络管理员统一备份,凡属于用户自己
14、负责备份的数据,用户必须按规定执行备份操作; 明白泄露信息可能危及网络系统安全,了解个人行为与系统安全的关系。,9.4.4 网络管理员责任的定义,网络管理员对网络系统安全负有重要的责任; 网络管理员需要对网络结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。,网络管理员应该注意的几个问题:,对网络管理员的口令严格保密 网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力,网络管理员口令的泄露对网络安全会构成极其严重的威胁。 对网络系统运行状态要随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备,对网络系统运行状态进行监视、记录与处理。
15、 对网络系统安全状况进行严格的监控 了解网络系统所使用的系统软件、应用软件,以及硬件中可能存在的安全漏洞,了解在其他网络系统中出现的各种新的安全事件,监视网络关键设备、网络文件系统与各种网络服务的工作状态,审计状态记录,发现疑点问题与不安全因素立即处理。,9.4.5 网络安全受到威胁时的行动方案,保护方式 当网络管理员发现网络安全遭到破坏时,立即制止非法入侵者的活动,恢复网络的正常工作状态,并进一步分析这次安全事故的性质与原因,尽量减少这次安全事故造成的损害; 跟踪方式 发现网络存在非法入侵者的活动时,不是立即制止入侵者的活动,而是采取措施跟踪非法入侵者的活动,检测非法入侵者的来源、目的、非法
16、访问的网络资源,判断非法入侵的危害,确定处理此类非法入侵活动的方法。,9.5 网络安全问题的鉴别,鉴别网络安全问题可以从5个方面进行: 访问点(access points) 系统配置(system configuration) 软件缺陷(software bugs) 内部威胁(insider threats) 物理安全性(physical security),网络访问点的结构,9.6 网络防火墙技术,8.6.1 防火墙的基本概念 防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件; 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。,防火墙的位置
17、与作用,防火墙在互连网络中的位置,G,内联网,可信赖的网络,不可信赖的网络,分组过滤 路由器 R,分组过滤 路由器 R,应用网关,外局域网,内局域网,防火墙,因特网,防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界; 构成防火墙系统的两个基本部件是: 包过滤路由器(packet filtering router) 应用级网关(application gateway); 最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成; 由于组合方式有多种,因此防火墙系统的结构也有多种形式。,防火墙技术一般
18、分为两类,(1) 网络级防火墙用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。 (2) 应用级防火墙从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。,防火墙,9.6.2 防火墙的主要类型,分组过滤路由器 分组过滤路由器按照系统内部设置的包过滤规则(即访问控制表),检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发; 分组过滤规则一般是基于部分或全部报头的内容。例如,对于
19、TCP报头信息可以是:源IP地址、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。,分组过滤路由器的结构,应用网关,多归属主机又称为多宿主主机,它具有两个或两个以上的网络接口,每个网络接口与一个网络连接,具有在不同网络之间交换数据的路由能力。 如果多归属主机连接了两个网络,它可以叫做双归属主机。只要能确定应用程序访问控制规则,就可以采用双归属主机作为应用级网关,在应用层过滤进出内部网络特定服务的用户请求与响应。 应用代理是应用网关的另一种形式,它是以存储转发方式检查和确定网络服务请求的用户身份是否合法,决定是转发还是丢弃该服务请求。,应用级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 网络 管理
链接地址:https://www.31doc.com/p-5140331.html