当前位置:文档之家 › 第6章 网络安全基础

第6章 网络安全基础

  • 格式:ppt
  • 大小:76.01 KB
  • 文档页数:36

下载文档原格式

  / 36

合集下载

网络安全基础 第六章——网络入侵与攻击技术

网络安全基础 第六章——网络入侵与攻击技术


实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。
网络安全架构设计

网络安全架构设计


安全培训与意识 普及
在网络安全架构设计实施中,安全培训与意识 普及至关重要。员工安全意识培训、定期安全 演练以及安全意识普及活动可以有效提高整体 安全水平。
持续漏洞管理
漏洞扫描与修复
漏洞管理工具介绍
定期进行漏洞扫描,及时修复发使用专业工具管理漏洞,提
现的漏洞
高效率
安全补丁管理
及时应用安全补丁,确保系 统安全
医疗行业网络安全架构设计案例
医疗行业网络安全挑战
案例研究分享
数据隐私保护
医疗数据安全案例
医疗行业网络安全解决 方案
医疗系统加密
政府机构网络安全架构设计案例
政府机构网络安全要求
01 信息保密性
政府机构网络安全实施
02 网络监控系统
实际案例分析
03 政府数据泄露案例
跨国企业网络安全架构设计案例
跨国企业网络安全挑战
AI技术普及
5G时代的网络安全挑 战
高速传输风险
区块链技术对网络安全 的影响
去中心化特点
结语
引用名言
01 ቤተ መጻሕፍቲ ባይዱ励思考
鼓励话语
02 激励行动
感谢致辞
03 感恩回馈
网络安全架构设计展望
安全性
隐私保护 数据加密
稳定性
容灾备份 系统恢复
可扩展性
系统升级 性能优化
灵活性
策略调整 应急响应
网络安全架构设 计展望
假冒身份
02 伪装成信任的实体获取信息或权限
人肉搜索
03 利用社交网络搜集目标信息进行攻击
恶意软件
病毒 植入文件进行破坏并传播
蠕虫 自我复制传播
木马 偷窃信息或控制系统
● 02
计算机与网络安全基础

计算机与网络安全基础


嘎吱上尉

1943年出生于美国乡村的德拉浦,从小就表现出了极强 的反叛性格,这样的性格决定了日后他那特立独行的骇 客面目。不过尽管他的个性孤辟,但是他却拥有了一个 异常发达的大脑,这使他常常可以比别人更快地获得新 的知识。上世纪60年代初期,德拉浦开始接触到计算机 这个新生的事物,尽管当时的计算机还只是个庞大、繁 杂、呆板的家伙,但是这已经足以令德拉浦迷恋得如痴 如醉了。
15

迷失在网络世界的小男孩

凯文· 米特尼克是第一个在美国联邦调查局通缉海报上 露面的黑客。由于当时的他只有十几岁,因此被称为 是“迷失在网络世界的小男孩”。
16

蠕虫病毒的创始人

罗伯特· 莫里斯,这位美国国家计算机安全中心首席科学 家的儿子,康奈尔大学的高材生,在1988年的第一次工 作过程中戏剧性地散播了有史以来的第一条网络蠕虫病 毒。在这次事故中,成千上万台电脑受到了影响,并导 致了部分电脑崩溃。
13

Linux并不是一件刻意创造的杰作,而完全 是日积月累的结果。它是经验、创意和一 小块一小块代码的合成体,是不断的积累 使其形成了一个有机的整体。Linux初期的 许多编程工作是托瓦兹在Sindair QL机器上 完成的,这台机器花掉了他2000多美元, 对他来说这可是一笔巨额投资。
14

19





漏洞扫描 网络嗅探 计算机病毒 特洛伊木马 DoS和DDoS 密码恢复和破解 网络应用攻击 无线攻击
20
1.3.2 用户必备的防护意识和措施

为了加强网络安全,用户必须具备相应的 防护意识和采用各种可能的措施。下面介 绍一些较为常用的防护方法和措施。
第6章 计算机网络安全

第6章 计算机网络安全


(3)漏洞和后门的区别 漏洞和后门是不同的,漏洞是不可避免的, 无论是硬件还是软件都存在着漏洞;而后门 是完全可以避免的。漏洞是难以预知的,而 后门是人为故意设置的。
2.操作系统的安全
(1)Unix操作系统 ①Unix系统的安全性:控制台安全是Unix系统 安全的一个重要方面,当用户从控制台登录 到系统上时,系统会提示一些系统的有关信 息。提示用户输入用户的使用账号,用户输 入账号的内容显示在终端屏幕上,而后提示 用户输入密码,为了安全起见,此时用户输 入的密码则不会显示在终端屏幕上。如果用 户输入错误口令超过3次后,系统将锁定用户, 禁止其登录,这样可以有效防止外来系统的 侵入。
②Windows 2000的安全漏洞 资源共享漏洞、资源共享密码漏洞、Unicode 漏洞、全拼输入法漏洞、Windows 2000的账 号泄露问题、空登录问题等。这些漏洞除了 空登录问题需要更改文件格式从FAT32到NTFS 外,其余的漏洞在Microsoft最新推出的补丁 中已经得到纠正。
3.Windows XP操作系统
(1)公钥密码体制基本模型 明文:作为算法输入的可读消息或数据。 加密算法:加密算法对明文进行各种各样的 转换。 公共的和私有的密钥:选用的一对密钥,一 个用来加密,一个用来解密。解密算法进行 的实际转换取决于作为输入提供的公钥或私 钥。 密文:作为输出生成的杂乱的消息,它取决 于明文和密钥,对于给定的消息,两种不同 的密钥会生成两种不同的密文。 解密算法:这种算法以密文和对应的私有密 钥为输入,生成原始明文。
(2)加密技术用于网络安全通常有两种形式:
面向网络服务的加密技术通常工作在网络层 或传输层,使用经过加密的数据包传送、认 证网络路由及其他网络协议所需的信息,从 而保证网络的连通性和可用性不受损害。 面向网络应用服务的加密技术,不需要对电 子信息(数据包)所经过的网络的安全性能提 出特殊要求,对电子邮件等数据实现了端到 端的安全保障。
网络安全配置作业指导书

网络安全配置作业指导书

网络安全配置作业指导书第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.2 常见网络安全威胁 (4)1.3 网络安全防护策略 (4)第2章操作系统安全配置 (5)2.1 Windows系统安全配置 (5)2.1.1 系统更新与补丁管理 (5)2.1.2 用户账户与权限管理 (5)2.1.3 防火墙配置 (5)2.1.4 安全策略设置 (6)2.2 Linux系统安全配置 (6)2.2.1 系统更新与软件包管理 (6)2.2.2 用户账户与权限管理 (6)2.2.3 防火墙配置 (6)2.2.4 安全加固 (6)2.3 macOS系统安全配置 (6)2.3.1 系统更新与软件管理 (6)2.3.2 用户账户与权限管理 (7)2.3.3 防火墙配置 (7)2.3.4 安全设置与防护 (7)第3章网络设备安全配置 (7)3.1 防火墙安全配置 (7)3.1.1 基本配置 (7)3.1.2 访问控制策略 (7)3.1.3 网络地址转换(NAT) (7)3.1.4 VPN配置 (7)3.2 路由器安全配置 (8)3.2.1 基本配置 (8)3.2.2 访问控制 (8)3.2.3 路由协议安全 (8)3.2.4 网络监控与审计 (8)3.3 交换机安全配置 (8)3.3.1 基本配置 (8)3.3.2 VLAN安全 (8)3.3.3 端口安全 (8)3.3.4 链路聚合与冗余 (8)3.3.5 网络监控与审计 (9)第4章应用层安全配置 (9)4.1 Web服务器安全配置 (9)4.1.1 保证Web服务器版本更新 (9)4.1.2 禁用不必要的服务和模块 (9)4.1.4 限制请求方法 (9)4.1.5 文件权限和目录访问控制 (9)4.1.6 配置SSL/TLS加密 (9)4.2 数据库服务器安全配置 (9)4.2.1 数据库软件更新与补丁应用 (9)4.2.2 数据库用户权限管理 (9)4.2.3 数据库加密 (9)4.2.4 备份与恢复策略 (9)4.2.5 日志审计与监控 (9)4.3 邮件服务器安全配置 (10)4.3.1 邮件传输加密 (10)4.3.2 邮件用户身份验证 (10)4.3.3 防病毒和反垃圾邮件措施 (10)4.3.4 邮件服务器访问控制 (10)4.3.5 日志记录与分析 (10)4.3.6 定期更新和漏洞修复 (10)第5章网络边界安全防护 (10)5.1 入侵检测系统(IDS)配置 (10)5.1.1 IDS概述 (10)5.1.2 配置步骤 (10)5.1.3 注意事项 (10)5.2 入侵防御系统(IPS)配置 (11)5.2.1 IPS概述 (11)5.2.2 配置步骤 (11)5.2.3 注意事项 (11)5.3 虚拟专用网络(VPN)配置 (11)5.3.1 VPN概述 (11)5.3.2 配置步骤 (11)5.3.3 注意事项 (12)第6章无线网络安全配置 (12)6.1 无线网络安全基础 (12)6.1.1 无线网络安全概述 (12)6.1.2 无线网络安全协议 (12)6.1.3 无线网络安全关键技术 (12)6.2 无线接入点(AP)安全配置 (12)6.2.1 无线接入点概述 (12)6.2.2 无线接入点安全配置原则 (12)6.2.3 无线接入点安全配置步骤 (12)6.3 无线网络安全监控与防护 (13)6.3.1 无线网络安全监控 (13)6.3.2 无线网络安全防护措施 (13)第7章端点安全防护 (13)7.1 端点防护概述 (13)7.2.1 选择合适的防病毒软件 (13)7.2.2 防病毒软件安装与配置 (14)7.3 端点检测与响应(EDR)系统配置 (14)7.3.1 EDR系统概述 (14)7.3.2 EDR系统配置 (14)第8章数据安全与加密 (14)8.1 数据加密技术 (14)8.1.1 加密概述 (14)8.1.2 对称加密 (15)8.1.3 非对称加密 (15)8.1.4 混合加密 (15)8.2 数字证书与公钥基础设施(PKI) (15)8.2.1 数字证书 (15)8.2.2 公钥基础设施(PKI) (15)8.2.3 数字签名 (15)8.3 数据备份与恢复策略 (15)8.3.1 数据备份 (15)8.3.2 数据恢复 (15)8.3.3 数据备份与恢复策略制定 (15)第9章安全审计与监控 (16)9.1 安全审计策略 (16)9.1.1 审计策略概述 (16)9.1.2 审计策略制定原则 (16)9.1.3 审计策略内容 (16)9.2 安全事件监控 (16)9.2.1 安全事件监控概述 (16)9.2.2 安全事件监控策略 (16)9.2.3 安全事件监控技术 (17)9.3 安全日志分析 (17)9.3.1 安全日志概述 (17)9.3.2 安全日志类型 (17)9.3.3 安全日志分析策略 (17)第10章网络安全防护体系构建与优化 (17)10.1 网络安全防护体系设计 (17)10.1.1 防护体系概述 (18)10.1.2 防护体系架构设计 (18)10.1.3 安全策略制定 (18)10.2 安全防护策略的实施与评估 (18)10.2.1 安全防护策略实施 (18)10.2.2 安全防护效果评估 (18)10.3 持续安全优化与改进措施 (18)10.3.1 安全优化策略 (18)10.3.2 安全改进措施 (19)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保障国家信息安全、维护社会稳定、保护企业及个人信息资产的关键环节。

第6章--IPv6安全机制

第6章--IPv6安全机制


3. SA用到的主要参数
SA用到的主要参数: ⑥隧道目的地; ⑦路径MTU; ⑧AH信息(包括认证算法、密钥、密钥生存期,以及与 AH一起使用的其他参数); ⑨ESP信息(包括加密和认证算法、密钥、密钥生存期 、初始值,以及与ESP一起使用的其他参数)
6.2.4 IPSec操作模式
传输模式保护IP协议包(分组)的有效荷载(数据 部分)
6.2.1 IPSec协议概述
IPSec提供的安全服务是基于IP层的 IPSec是一种基于一组独立的共享密钥机制, 来 实现认证、完整性验证和加密服务的网络安全 协议
6.2.1 IPSec协议概述
IPSec通过设计安全传输协议身份认证首部( AH)、封装安全荷载(ESP), 以及密钥交换 协议(Internet Key Exchange, IKE)来实现网 络安全功能和目标 IPSec提供的网络安全功能
6.6.1 邻居缓存欺骗攻击
6.6.2 邻居不可达检测攻击
但检测主机开始进行邻居不可达检测的时候, 攻击主机可以发送虚假的邻居通告报文, 详细 的邻居通告报文信息
6.6.2 邻居不可达检测攻击
重复地址检测的过程
攻击主机可以通过伪造一个NA告诉受攻击主机申请的IPv6地 址已被占用, 使得受攻击主机不得使用该IPv6地址进行网络通 信, 从而达到欺骗请求主机
6. 过渡机制带来的安全问题 隧道帮助了入侵者避开进入过滤检测 特别是自动隧道机制,容易引入DoS、地址盗用 和服务欺骗
6.2 IPSec协议
6.2.1 IPSec协议概述 6.2.2 IPSec体系结构 6.2.3 IPsec安全关联 6.2.4 IPSec操作模式 6.2.5 IPSec模块对IP分组的处理 6.2.6 IPSec部署 6.2.7 IPSec存在问题分析
网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案加油计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。

第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。

比如des是64比特的明文一次性加密成密文。

密码分析方面有很多不同。

比如流密码中,比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同。

比如流密码通常是在特定硬件设备上实现。

分组密码既可以在硬件实现,也方便在计算机上软件实现。

5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。

三重DES有四种模型。

(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。

它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。

《网络安全法教程》 6+第六章 网络运行安全一般规定

《网络安全法教程》 6+第六章 网络运行安全一般规定


▪ (二)网络安全等级保护工作具体内容和要求 ▪ 1、定级备案 定级备案是整个网络安全等级保护的首要环节,是开展网络建设、整改、测评、监督检查等后续工作 的重要基础。 ▪ 2、自查、测评与整改 自查、测评和整改是公安机关执行网络安全等级保护检查工作的重要内容,至少每年一次的自查与测 评,也是公安机关实现对网络进行监督管理的重要手段,
▪ (三)法律责任及案例分析
《网络安全法》第六十一条规定,网络运营者违反本法第二十四条第一款规定,未要求用户提供真实 身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正 或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业 整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人 员处一万元以上十万元以下罚款。
网络安全法教程
第六章 网络运行安全一般规定
第六章 网络运行安全一般规定
▪ 【内容提要】本章介绍了网络运营者、网络 设备、产品和服务、其他相关行为主体的网 络运行安全要求,网络安全的支持与协作, 以及涉密网络的安全保护要求,力图使读者 了解《网络安全法》中网络运行安全的一般 规定。
第一节 网络运营者的安全要求
第二节 网络设备、产品和服务的安全要求
▪ 一、网络设备和服务的通用安全要求
▪ (一)网络产品和服务的安全基线
▪ 1、不得设置恶意程序
2、安全风险应对要求
▪ 3、安全维护要求
4、用户信息的收集及保护要求
▪ (二)网络产品和服务安全的审查办法
作为《网络产品和服务安全通用要求》(送审稿)的配套法规,《网络产品和服务安全审查办法(试 行)》首次明确了对“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”进行安全审 查的要求,审查内容是产品和服务的“安全性、可控性”,而“安全、可控”的具体标准又由《信息 技术产品安全可控评价指标》(GB/T 36630-2018)进行规定。
网络安全第六章

网络安全第六章


器将所有的数据传送到目标计算机。因为在VPN隧道中通
信,能确保通信通道的专用性,并且传输的数据是经过压 缩、加密的,所以VPN通信同样具有专用网络的通信安全 性。
6.1.2 VPN的工作原理及实现
整个VPN通信过程可以简化为以下4个通用步骤: (1)客户机向VPN服务器发出请求。 (2)VPN服务器响应请求并向客户机发出身份质询,客户机将 加密的用户身份验证响应信息发送到VPN服务器。 (3)VPN服务器根据用户数据库检查该响应,如果账户有效, VPN服务器将检查该用户是否具有远程访问权限;如果该用户 拥有远程访问的权限,VPN服务器接受此连接。
6.1.2 VPN的工作原理及实现
要实现VPN连接,企业内部网络中必须配置一台VPN服务 器,VPN服务器一方面要连接企业Intranet,另一方面 要连接到Internet或其他专用网络。当客户机通过VPN 连接与专用网络中的计算机进行通信时,先由网络服务提 供商将所有的数据传送到VPN服务器,然后再由VPN服务
这样可以使数据穿越公共网络(通常是指Internet)。
隧道使得远程用户成为企业网络的一个虚拟结点,数据包 通过这条隧道传输。从用户的角度来看,信息是在一条专 用网络连接上传输,而不管实际的隧道所在物理网络的结 构。
6.2.1 隧道技术
根据隧道的端点是客户端计算机还是拨号接入服务器,隧道可以分为 两种:自愿隧道和强制隧道。
这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专
业人员,自身维护起来比较困难,可以全权交给NSP来维护。在该模 式中,VPN服务提供商保持了对整个VPN设施的控制,所以这种模式
很受电信公司的欢迎。
6.1.2 VPN的工作原理及实现
通过上述介绍可知,主要有4类用户适合采用VPN进行网络连接: 网络接入位置众多,特别是单个用户和远程办公室站点多, 如多分支机构企业用户、远程教育用户。 用户/站点分布范围广,彼此之间的距离远,遍布全球各地, 需通过长途电信,甚至国际长途进行联系,如一些跨国公司。 带宽和时延要求相对适中,如一些提供IDG服务的ISP。 对线路保密性和可用性有一定要求的用户,如大企业和政府
第6章 网络安全基础

第6章 网络安全基础


6.2.4建立网络安全策略
1.网络安全策略的定义
所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、 必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或 非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根 据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安 全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方 面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、安全策略改变的能力以及对安全系统实施审计、管理和漏洞检
查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任 追查和重要数据恢复等保障。
6.2.2 ISO的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括 确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。 国际标准化组织在ISO7498-2中描述的开放系统互连OSI安全体系结 构确立了5种基本安全服务和8种安全机制。
受控的访问控制 存取控制以用户为单位,广泛的审计 选择的安全保护 有选择的存取控制,用户与数据分离,数据的 保护以用户组为单位 保护措施很少,没有安全功能
D
D1
最小保护
美国国防部的标准自问世以来,一直是评估多用户主机和小型操作 系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美 国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。
6.1.3网络安全要素
1.保密性 2.完整性 3.可用性 4.可控性 5.不可否认性
6.1.4网络安全面临的主要威胁
计算机网络基础教程第6章网络安全与维护

计算机网络基础教程第6章网络安全与维护


6.3 病毒防治
(1)病毒
目前,全球的计算机病毒有几万种,对计 算机病毒的分类方法也存在多种,按照 病毒按传染方式可分为系统引导病毒、 文件型病毒、复合型病毒、宏病毒等。
6.3 病毒防治
(2)蠕虫
蠕虫类似于病毒,与病毒不同的是它无需将自身附加到现有的程序中。 蠕虫使用网络将自己的副本发送到任何所连接的主机中。蠕虫可独立 运行并迅速传播,它并不一定需要激活或人类干预才会发作。自我传 播的网络蠕虫所造成的影响可能比单个病毒更为严重,而且可迅速造 成 Internet 大面积感染。
第 6章
网络安全与维护
6.1 Windows XP操作系统的安全加固
6.2 防火墙技术
6.3病毒防治
6.4网络维护
6.1 Windows XP操作系统的安全加固
案例 6.1 Window XP系统的安全加固措施
【操作步骤】
(1)安装最新的系统补丁(Service Pack)与更新程 序(Hotfix) (2) 系统账户的管理 (3) 关闭不必要的服务 (4) 关闭不必要的端口 (5) 使用NTFS格式的分区 (6) 使用“连接防火墙”功能 (7) 打开系统审核策略 (8) 启用帐户策略
(1)下载并安装、启动天网防火墙
①天网防火墙可以到天空软件站下载,网址是。也 可以到“天之网——天网安全阵线”下载,网址是。 ②把下载的压缩文件解压,然后双击天网防火墙的安装程序,系统 将自动将天网防火墙安装到计算机中,并启动天网防火墙。 如果没有自动启动,则需要选择“开始→程序→天网防火墙”菜单 命令来启动天网防火墙。
6.1 Windows XP操作系统的安全加固
案例 6.1 Window XP系统的安全加固措施
(7) 打开系统审核策略

网络安全第6章


图6-1 一般的计算机系统结构
图6-2 操作系统的安全内核
安全内核的设计和实现应当符合完整性、隔离性、可 验证性3条基本原则。
(1)完整性原则
完整性原则要求主体引用客体时必须通过安全内核, 即所有信息的访问都必须经过安全内核。但是操作系统 的实现与完整性原则的明确要求之间通常有很大差别: 操作系统认为系统的信息存在于明显的地方,比如文件、 内存和输入输出缓冲区,并且操作系统有理由控制对这 些客体的访问。完整性原则并不满足于对客体的特别定 义,它认为任何信息存在之处,不管它们大小怎样,用 途如何,都是一个潜在的客体。
括引用验证机制、访问控制机制、授权机制和授权管理 机制等部分。安全内核方法是一种最常用的建立安全操 作系统的方法,可以避免通常设计中固有的安全问题。 安全内核方法以指导设计和开发的一系列严格的原则为 基础,能够极大地提高用户对系统安全控制的信任度。
安全内核的理论依据是:在一个大型操作系统中, 只有其中的一小部分用于安全目的。所以在重新生成操 作系统过程中,可用其中安全相关的软件来构成操作系 统的一个可信内核,称为安全内核。安全内核必须给以 适当的保护,不能篡改。同时,绝不能有任何绕过安全 内核存取控制检查的存取安全操作系统的审计记录一般应包括如下信息:事件 的日期和时间、代表正在进行事件的主体的唯一标识符、 事件的类型、事件的成功与失败等。对于标识与鉴别事 件,审计记录应该记录事件发生的源地点(如终端标识 符)。对于将一个客体引入某个用户地址空间的事件以 及删除客体的事件,审计记录应该包括客体名以及客体 的安全级。
3.状态机模型原理
在现有技术条件下,安全模型大都是以状态机模型作 为模拟系统状态的手段,通过对影响系统安全的各种变 量和规则的描述和限制,来达到确保系统安全状态不变 量的维持(意味着系统安全状态保持)的目的。

计算机网络安全基础(第5版)习题参考答案.doc

计算机网络安全基础(第5版)习题参考答案第1章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。

2.有两个网络,它们都提供可靠的面向连接的服务。

一个提供可靠的字节流,另一个提供可靠的比特流。

请问二者是否相同?为什么?不相同。

在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。

例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。

那么接收方共读了2048字节。

对于报文流,接收方将得到两个报文,、每个报文1024字节。

而对于字节流,报文边界不被识别。

接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。

3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。

OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。

每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。

TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。

与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。

两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。

OSI参考模型在各层次的实现上有所重复。

(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。

第6章 网络安全技术v3.0

一个ACL通常由若干条“deny|permit”语句组成,每条语句就是该ACL的一条规则,每 条语句中的“deny|permit”就是与这条规则相对应的处理动作。处理动作“permit”的含 义是“允许”,处理动作“deny”的含义是“拒绝”。
ACL是一种应用非常广泛的网络安全技术,配置了ACL的网络设备的工作过程可以分为 以下两个步骤。 (1)根据事先设定好的报文匹配规则对经过该设备的报文进行匹配; (2)对匹配的报文执行事先设定好的处理动作。
第25页
三、ACL的典型应用
(4)案例验证 ②在路由器上重新查看ACL 2000的配置信息。
<R1> display acl 2000 Basic ACL 2000,2 rules ACL's step is 5 rule 5 permit source 192.168.4.1 0(1 times matched) rule 10 deny(0 times matched)
<PC> telnet 192.168.4.254 Trying 192.168.4.254 . . . Press CTRL+K to abort Connected to 192.168.4.254 . . . Info:The max number of VTY users is 10, and the number of current VTY users on line is 1 The current login time is 2020-01-22 09: 08: 00
第2页
访问控制列表 网络地址转换NAT
ACL的基本原理 基本ACL和高级ACL
ACL的典型应用
NAT的工作原理 NAT的配置

网络安全防护基础指南

网络安全防护基础指南第1章网络安全基础概念 (3)1.1 网络安全的重要性 (3)1.2 常见网络安全威胁 (4)1.3 网络安全防护策略 (4)第2章网络硬件安全 (4)2.1 网络设备的选择与部署 (5)2.1.1 设备选型原则 (5)2.1.2 设备部署策略 (5)2.2 网络设备的安全配置 (5)2.2.1 基本安全配置 (5)2.2.2 高级安全配置 (5)2.3 网络设备的管理与维护 (5)2.3.1 设备管理 (6)2.3.2 设备维护 (6)第3章操作系统安全 (6)3.1 操作系统安全基础 (6)3.1.1 操作系统安全概述 (6)3.1.2 操作系统安全风险 (6)3.2 操作系统的安全配置 (7)3.2.1 更新操作系统 (7)3.2.2 关闭不必要的服务 (7)3.2.3 配置防火墙 (7)3.2.4 设置强密码 (7)3.2.5 限制用户权限 (7)3.3 操作系统补丁管理 (7)3.3.1 补丁概述 (7)3.3.2 补丁获取途径 (7)3.3.3 补丁安装策略 (7)第4章应用程序安全 (8)4.1 应用程序漏洞分析 (8)4.1.1 漏洞类型 (8)4.1.2 漏洞成因与影响 (8)4.1.3 漏洞检测与评估 (8)4.2 应用程序安全防护策略 (8)4.2.1 输入验证 (8)4.2.2 访问控制 (8)4.2.3 加密与安全通信 (8)4.2.4 安全编码规范 (8)4.3 应用程序安全开发实践 (9)4.3.1 安全开发原则 (9)4.3.2 安全开发流程 (9)4.3.4 安全培训与意识提升 (9)4.3.5 安全评估与持续改进 (9)第5章数据安全 (9)5.1 数据加密技术 (9)5.1.1 对称加密 (9)5.1.2 非对称加密 (9)5.1.3 混合加密 (10)5.2 数据备份与恢复 (10)5.2.1 数据备份 (10)5.2.2 数据恢复 (10)5.3 数据安全防护策略 (10)5.3.1 访问控制 (10)5.3.2 数据加密 (10)5.3.3 数据脱敏 (11)5.3.4 安全审计 (11)第6章网络边界安全 (11)6.1 防火墙技术 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙的类型 (11)6.1.3 防火墙的部署 (11)6.2 入侵检测与防御系统 (11)6.2.1 入侵检测系统(IDS) (11)6.2.2 入侵防御系统(IPS) (11)6.2.3 入侵检测与防御技术的应用 (12)6.3 虚拟私人网络(VPN) (12)6.3.1 VPN概述 (12)6.3.2 VPN的关键技术 (12)6.3.3 VPN的应用场景 (12)第7章网络入侵检测与防范 (12)7.1 网络入侵手段与检测方法 (12)7.1.1 网络入侵手段 (12)7.1.2 网络入侵检测方法 (13)7.2 入侵防范策略 (13)7.2.1 防范原则 (13)7.2.2 防范措施 (13)7.3 安全事件应急响应 (13)7.3.1 应急响应流程 (13)7.3.2 应急响应措施 (14)第8章网络安全审计与评估 (14)8.1 网络安全审计概述 (14)8.1.1 定义与作用 (14)8.1.2 审计标准与法规 (14)8.2 安全评估方法与工具 (15)8.2.2 安全评估工具 (15)8.3 安全审计与评估的实施 (15)第9章网络安全法律法规与标准 (16)9.1 我国网络安全法律法规体系 (16)9.1.1 法律层面 (16)9.1.2 行政法规与部门规章 (16)9.1.3 地方性法规、规章与政策 (16)9.2 国际网络安全标准与法规 (16)9.2.1 国际组织及标准 (16)9.2.2 欧盟网络安全法规 (16)9.2.3 美国网络安全法规 (16)9.3 网络安全合规性管理 (16)9.3.1 合规性评估 (16)9.3.2 合规性建设 (17)9.3.3 合规性监督与检查 (17)9.3.4 合规性风险管理 (17)第10章网络安全防护实践与案例分析 (17)10.1 网络安全防护体系建设 (17)10.1.1 防护策略制定 (17)10.1.2 防护技术选择 (17)10.1.3 安全设备部署 (17)10.1.4 安全运维与管理 (18)10.2 常见网络安全防护案例分析 (18)10.2.1 DDoS攻击防护案例 (18)10.2.2 数据泄露防护案例 (18)10.2.3 社交工程攻击防护案例 (18)10.2.4 内部威胁防护案例 (18)10.3 企业网络安全防护实践建议 (18)10.3.1 制定完善的安全政策和规章制度 (19)10.3.2 加强安全设备部署与管理 (19)10.3.3 增强数据安全保护 (19)10.3.4 定期进行安全检查与风险评估 (19)10.3.5 建立应急响应机制 (19)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保护计算机网络免受非法侵入和破坏,保证网络数据完整、机密和可用性的重要措施。

网络安全防护作业指导书

网络安全防护作业指导书第1章网络安全基础 (3)1.1 网络安全概述 (3)1.2 常见网络安全威胁 (4)1.3 安全防护策略 (4)第2章网络设备安全 (5)2.1 防火墙配置与优化 (5)2.1.1 防火墙基本配置 (5)2.1.2 防火墙高级配置 (5)2.1.3 防火墙优化 (5)2.2 路由器安全设置 (5)2.2.1 路由器基础安全设置 (5)2.2.2 路由器访问控制 (5)2.2.3 路由器安全防护 (5)2.3 交换机安全设置 (6)2.3.1 交换机基础安全设置 (6)2.3.2 交换机访问控制 (6)2.3.3 交换机安全防护 (6)第3章操作系统安全 (6)3.1 Windows系统安全 (6)3.1.1 系统更新与漏洞修复 (6)3.1.2 权限管理 (6)3.1.3 防火墙配置 (6)3.1.4 病毒防护 (6)3.1.5 安全配置 (6)3.2 Linux系统安全 (7)3.2.1 系统更新与软件包管理 (7)3.2.2 用户权限与身份验证 (7)3.2.3 防火墙与安全策略 (7)3.2.4 安全审计 (7)3.2.5 安全增强 (7)3.3 macOS系统安全 (7)3.3.1 系统更新与安全补丁 (7)3.3.2 用户权限管理 (7)3.3.3 防火墙配置 (7)3.3.4 病毒防护与恶意软件查杀 (7)3.3.5 系统安全配置 (7)第4章应用程序安全 (8)4.1 Web应用安全 (8)4.1.1 安全风险概述 (8)4.1.2 安全防护措施 (8)4.2 数据库安全 (8)4.2.2 安全防护措施 (8)4.3 移动应用安全 (8)4.3.1 安全风险概述 (8)4.3.2 安全防护措施 (8)第5章网络协议安全 (9)5.1 TCP/IP协议安全 (9)5.1.1 TCP/IP协议概述 (9)5.1.2 TCP/IP协议安全风险 (9)5.1.3 TCP/IP协议安全措施 (9)5.2 VPN技术与应用 (9)5.2.1 VPN概述 (9)5.2.2 VPN技术原理 (9)5.2.3 VPN应用场景 (9)5.2.4 VPN安全措施 (9)5.3 无线网络安全 (10)5.3.1 无线网络概述 (10)5.3.2 无线网络安全风险 (10)5.3.3 无线网络安全措施 (10)第6章信息加密技术 (10)6.1 对称加密算法 (10)6.1.1 常见的对称加密算法 (10)6.1.2 对称加密算法的应用 (10)6.2 非对称加密算法 (11)6.2.1 常见的非对称加密算法 (11)6.2.2 非对称加密算法的应用 (11)6.3 混合加密技术 (11)6.3.1 混合加密技术原理 (11)6.3.2 常见的混合加密技术 (11)6.3.3 混合加密技术的应用 (12)第7章认证与授权 (12)7.1 用户身份认证 (12)7.1.1 用户身份认证概述 (12)7.1.2 用户身份认证方法 (12)7.1.3 用户身份认证技术 (12)7.2 访问控制技术 (12)7.2.1 访问控制概述 (12)7.2.2 访问控制模型 (12)7.2.3 访问控制技术 (13)7.3 单点登录与统一身份认证 (13)7.3.1 单点登录概述 (13)7.3.2 统一身份认证概述 (13)7.3.3 单点登录与统一身份认证技术 (13)第8章入侵检测与防御 (14)8.1.1 概述 (14)8.1.2 原理与分类 (14)8.1.3 部署与配置 (14)8.2 入侵防御系统 (14)8.2.1 概述 (14)8.2.2 原理与分类 (14)8.2.3 部署与配置 (15)8.3 安全审计与日志分析 (15)8.3.1 安全审计 (15)8.3.2 日志分析 (15)8.3.3 审计与日志分析的实施 (15)第9章网络安全应急响应 (15)9.1 安全事件分类与处理 (15)9.1.1 安全事件分类 (15)9.1.2 安全事件处理流程 (16)9.2 应急响应流程与方法 (16)9.2.1 应急响应流程 (16)9.2.2 应急响应方法 (16)9.3 安全事件取证与追踪 (17)9.3.1 安全事件取证 (17)9.3.2 安全事件追踪 (17)第10章网络安全防护策略与实践 (17)10.1 安全防护策略设计 (17)10.1.1 策略制定原则 (17)10.1.2 策略内容 (17)10.2 安全防护体系建设 (18)10.2.1 安全防护技术体系 (18)10.2.2 安全防护管理体系 (18)10.3 安全防护案例分析与实践 (18)10.3.1 案例分析 (18)10.3.2 实践措施 (19)第1章网络安全基础1.1 网络安全概述网络安全是保护计算机网络系统中的硬件、软件及其数据不受到意外或恶意行为的破坏、更改、泄露的科学与技术。

网络安全防范措施指南

网络安全防范措施指南第1章网络安全基础概念 (3)1.1 网络安全的重要性 (3)1.2 常见网络安全威胁 (3)1.3 网络安全防范策略 (4)第3章操作系统安全 (4)3.1 操作系统安全设置 (4)3.1.1 基本安全设置 (4)3.1.2 网络安全设置 (5)3.2 定期更新与漏洞修复 (5)3.2.1 操作系统更新 (5)3.2.2 软件漏洞修复 (5)3.3 系统安全防护软件的配置与使用 (5)3.3.1 防病毒软件配置 (5)3.3.2 入侵检测与防御系统 (5)3.3.3 系统安全审计 (6)第4章网络设备安全 (6)4.1 路由器与交换机安全设置 (6)4.1.1 基本安全配置 (6)4.1.2 加密与认证 (6)4.1.3 虚拟专用网络(VPN)配置 (6)4.2 防火墙的配置与管理 (6)4.2.1 防火墙策略 (7)4.2.2 防火墙配置 (7)4.2.3 防火墙管理 (7)4.3 无线网络安全防护 (7)4.3.1 无线网络安全设置 (7)4.3.2 无线接入控制 (7)802.1X认证:在无线网络中实施802.1X认证,保证合法用户接入。

(7)4.3.3 无线网络安全监控 (7)第5章应用程序安全 (7)5.1 应用程序安全风险分析 (7)5.1.1 输入验证不足 (7)5.1.2 认证与授权机制不健全 (8)5.1.3 敏感信息泄露 (8)5.1.4 应用程序漏洞 (8)5.2 安全开发与编码规范 (8)5.2.1 安全编码原则 (8)5.2.2 编码规范 (8)5.2.3 安全测试与审计 (8)5.3 应用程序安全测试与评估 (9)5.3.1 静态代码分析 (9)5.3.3 安全评估与合规性检查 (9)第6章数据安全 (9)6.1 数据加密技术与应用 (9)6.1.1 对称加密技术 (9)6.1.2 非对称加密技术 (9)6.1.3 混合加密技术 (10)6.1.4 应用场景 (10)6.2 数据备份与恢复策略 (10)6.2.1 备份策略 (10)6.2.2 备份介质 (10)6.2.3 恢复策略 (10)6.3 数据泄露防护(DLP)措施 (11)6.3.1 技术措施 (11)6.3.2 管理措施 (11)第7章网络访问控制 (11)7.1 身份认证与授权 (11)7.1.1 身份认证机制 (11)7.1.2 授权机制 (12)7.2 访问控制策略制定与实施 (12)7.2.1 访问控制策略制定 (12)7.2.2 访问控制策略实施 (12)7.3 网络隔离与边界安全 (12)7.3.1 网络隔离 (12)7.3.2 边界安全 (12)第8章网络监控与应急响应 (13)8.1 网络监控技术与方法 (13)8.1.1 网络监控技术 (13)8.1.2 网络监控方法 (13)8.2 安全事件应急响应流程 (13)8.2.1 事件发觉 (13)8.2.2 事件报告 (14)8.2.3 事件确认 (14)8.2.4 事件处置 (14)8.2.5 事件总结 (14)8.3 安全事件调查与取证 (14)8.3.1 调查方法 (14)8.3.2 取证方法 (14)第9章法律法规与合规要求 (15)9.1 我国网络安全法律法规体系 (15)9.1.1 宪法 (15)9.1.2 法律 (15)9.1.3 行政法规 (15)9.1.4 部门规章和规范性文件 (15)9.2.1 基本概念 (15)9.2.2 方法 (16)9.2.3 作用 (16)9.3 网络安全合规性建设 (16)9.3.1 建立合规性组织架构 (16)9.3.2 制定合规性政策和制度 (16)9.3.3 开展合规性培训和宣传 (16)9.3.4 定期进行合规性评估和审计 (16)9.3.5 建立合规性激励机制 (17)第10章网络安全意识培训与教育 (17)10.1 网络安全意识的重要性 (17)10.1.1 网络安全意识与网络安全风险的关系 (17)10.1.2 网络安全意识对员工行为的影响 (17)10.1.3 网络安全意识对企业安全防护能力的提升 (17)10.2 网络安全培训内容与形式 (17)10.2.1 培训内容 (17)10.2.2 培训形式 (18)10.3 建立网络安全文化氛围 (18)10.3.1 企业领导层的重视 (18)10.3.2 制度建设 (18)10.3.3 宣传推广 (18)10.3.4 激励机制 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保障国家、企业及个人信息资产安全的关键环节。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(4)系统性原则 (5)后退性原则
4.网络安全策略包括的内容 (1)物理安全; (2)访问控制; (3)信息加密; (4)网络用户的安全责任; (5)系统管理员的安全责任; (6)安全管理策略; (7)检测到安全问题时的策略。
6.3 网络安全的常见技术措施
6.3.1 访问控制技术 6.3.2 网络入侵检测系统与安全漏洞扫描 6.3.3 病毒防范技术 6.3.4 加密技术 6.3.5 数据备份与恢复技术 6.3.6 建立完善的安全管理制度 6.3.7 加强主机安全
审计 管理 加密 访问控制
用户验证 政策、法律法规、安全策略
网络信息安全模型图
这三个层次是: (1)法律政策,包括规章制度、安全标准、安全策略以及网络安全教育。 它是安全的基石,是建立安全管理的标准和方法; (2)技术方面的措施,如防火墙技术、防病毒、信息加密、身份验证以及 访问控制等; (3)审计与管理措施,包括技术措施与社会措施。实际应用中,主要有实 时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检 查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任 追查和重要数据恢复等保障。
6.3.1访问控制技术
访问控制是网络安全防范和保护的主要方法,它的主要任务是保证 网络资源不被非法使用和访问,而只允许有访问权限的用户获得网络资 源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的 操作。它是保证网络安全最重要的核心策略之一。 1.用于入网访问控制的设备—防火墙 2.通过路由器或交换机访问控制列表的设置实现访问控制功能 3.对远程网络用户接入进行控制的技术—虚拟专用网(VPN)技术 4.基于用户名和口令的访问控制机制
(l)加密机制 (2)数字签名机制 (3)访问控制机制 (4)数据完整性机制 (5)鉴别交换机制 (6)业务流填充机制 (7)路由控制机制 (8)公证机制
6.2.3 计算机系统安全等级评价标准
当前,网络与信息安全问题日益突出,黑客攻击、信息泄密以及病 毒泛滥所带来的危害引起了世界各国尤其是信息发达国家的高度重视。20 世纪70年代后期,特别是进入90年代以来,美国、德国、英国、加拿大、 澳大利亚、法国等西方发达国家为了解决计算机系统及产品的安全评估问 题,纷纷制订并实施了一系列安全标准。如:美国国防部制订的“彩虹” 系列标准,其中最具影响力的是“可信计算机系统标准评估准则”(简称 TCSEC,桔皮书)。
从广义的角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、 可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 所以,广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保 护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机 辐射等。
6.1.2理解网络安全的含义
3.当前,仍有大量网络用户只关注网络系统的功能,而忽视网络的安全, 往往在碰到网络安全事件后,才被动地从发生的现象中注意系统应用的安 全问题。广泛存在着重应用轻安全,安全意识淡薄的普遍现象。因此,加 强网络安全知识的宣传和教育,学习有关网络安全的法律法规和一定的防 范技术,也是保护网络安全的一项重要工作。
6.2 网络信息安全系统
6.2.1网络信息安全系统模型 6.2.2 ISO的网络安全体系结构标准 6.2.3 计算机系统安全等级评价标准 6.2.4建立网络安全策略
网络安全并不只是简单的网络安全防护设施的叠加,而是一个涉 及到法律法规、安全管理制度和标准、安全策略、安全服务、安全技 术手段以及具体安全防护设备的一个极其复杂的系统,尤其对于越来 越庞大的互联网络来说更是如此。
国际标准化组织(ISO)在ISO 7498-2文献中指出:安全就是最大 程度地减少数据和资源被攻击的可能性。
什么是网络安全?
从狭义的角度来看,计算机网络安全是指计算机及其网络系统资源和 信息资源不受自然和人为有害因素的威胁和危害,确保计算机和计算机网络 系统的硬件、软件及其系统中的数据,不因偶然的或者恶意的原因而遭到破 坏、更改、泄露,保证系统能连续可靠正常的运行,网络服务不中断。计算 机网络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉 及计算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学 等等多种学科的综合性科学。
对于最终用户; 对于信息提供者、系统运营商以及网络管理者; 对于政府管理部门; 对于社会教育和意识形态。
6.1.3网络安全要素
1.保密性 2.完整性 3.可用性威胁
根据各种网络威胁产生的原因,我们把网络威胁归纳为以下4类: 1.软件系统自身的安全缺陷导致的威胁 (1)操作系统和应用软件自身存在着安全漏洞。 (2)网络环境中的网络协议存在安全漏洞。 2.非法进行网络操作带来的威胁 (1)拒绝服务的攻击 (2)非授权访问网络资源 (3)网络病毒 3.网络设施本身和运行环境因素的影响造成的威胁
4.网络规划、运行管理上的不完善带来的威胁
6.1.5黑客对网络的常见攻击手段
黑客对网络的攻击手段可以说多种多样,下面介绍几种常见攻击手段。 1.通过获取口令,进行口令入侵 2.放置特洛伊木马程序进行攻击 3.拒绝服务攻击 4.电子邮件攻击 5.采取欺骗技术进行攻击 6.寻找系统漏洞,入侵系统 7.利用缓冲区溢出攻击系统
6.1.6网络安全的重要性
就目前网络应用和发展情况来看,计算机网络安全的重要性具体表现 在以下几个方面。 1.随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复 杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接 数量的不断增加,软件规模的空前膨胀,任何隐含的缺陷、失误、人为的 破坏都会造成巨大的损失。
近几年来,随着我国信息化建设的迅猛发展,国家对计算机信息系统 安全问题非常关注,为此公安部提出并组织制定了强制性国家标准《计算 机信息安全保护等级划分准则》,该准则于1999年9月13日经国家质量技 术监督局发布。
美国国防部公布的《可信计算机系统标准评估准则》(“桔皮 书”)简介 《可信计算机系统标准评估准则》对多用户计算机系统安全级 别的划分进行了规定。它将计算机安全由低到高分为四类7级: D1、C1、C2、B1、B2、B3、A1。见下表:
同时提供,也可由某一层提供。OSI安全体系结构的5个安全服务项目分别是: (1)鉴别服务 (2)访问控制 (3)机密性服务 (4)数据完整性 (5)抗抵赖服务
2.安全机制
网络安全机制定义了实现网络安全服务所使用的可能方法。一种安全 服务可由一种或数种安全机制支持,一种安全机制也可支持多种安全服务。 按照OSI网络安全体系结构的定义,网络安全服务所需的网络安全机制包 括以下8类:
第6章 网络安全基础
由于网络本身所具有的开放性和网络规模以及应用领域的逐步扩大, 也必然存在着各种网络安全上的隐患。
因此,在网络化、信息化不断普及的今天,如何最大限度地减少、避 免、防止各类对网络造成的威胁,确保网络的安全运行,是摆在我们面前 亟待妥善解决的一项具有重大战略意义的课题。
本章将从网络安全基础知识、网络安全系统、网络安全的常见技术手 段等几个方面出发,介绍网络安全的定义、网络面临哪些主要威胁、网络 安全系统的基本模型、安全系统的评价标准、建立网络安全策略以及目前 所采用的主要网络安全技术等方面进行讲解。
2.利用网络环境处理各类数据信息是信息化时代的发展趋势,这其中包括 个人邮件资料和隐私,一些部门、机构、企业的机密文件和商业信息,甚 至是有关国家发展和安全的政治、经济、军事以及国防的重要数据,这些 数据信息不仅涉及到个人和团体的利益,更主要的是可能关系一个国家的 安全与稳定。而正是这些数据信息是不法分子和敌对势力攻击的目标。为 了确保网络中各类数据信息的安全,显然就离不开一套完善的网络安全防 范体系的支持。
什么是网络安全系统? 网络安全系统实际上是在一定的法律法规、安全标准的规范下,
根据具体应用需求和规定的安全策略的指导下,使用有关安全技术手 段和措施所组成的用以控制网络之间信息流动的部件的集合,是一个 准许或拒绝网络通信的具有保障网络安全功能的系统。
一个完整的网络信息安全系统至少包括三个层次,并且三者缺一不可,它 们共同构成网络信息安全系统的基本模型,如下图所示。
6.2.4建立网络安全策略
1.网络安全策略的定义
所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、 必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或 非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根 据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安 全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方 面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、 人事管理等方面的规定。
类别 安全级别
名称
主要特征
A
A1
可验证的安全设 形式化的最高级描述和验证,形式化的隐秘通

道分析,非形式化的代码一致性证明
B3
安全域机制
安全内核,高抗渗透能力
设计系统时必须有一个合理的总体设计方案,
面向安全的体系结构,遵循最小授权原则,
B
B2
结构化安全保护 较好的抗渗透能力,访问控制应对所有的
主体和客体进行保护,对系统进行隐蔽通
道分析
除了C2级的安全需要外,增加安全策略模型,
B1
标号安全保护
数据标号(安全和属性),托管访问控制
C2
受控的访问控制 存取控制以用户为单位,广泛的审计
C
有选择的存取控制,用户与数据分离,数据的
C1
选择的安全保护
保护以用户组为单位
D
D1
最小保护
保护措施很少,没有安全功能
美国国防部的标准自问世以来,一直是评估多用户主机和小型操作 系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美 国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。