计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 第3章 网络安全概述  		“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。 		随着经济信息化的迅速发展，计算机网络对安全要求越来越高，尤其自Internet／Intranet应用发展以来，网络的安全已经涉及到国家主权等许多重大问题。随着“黑客”工具技术的日益发展，使用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全球范围内“黑客”行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战。		 第3章 网络安全概述 	本章主要讲授： 	１．网络安全的含义 	２．网络安全的特征 	３．威胁网络安全的因素 	４．网络安全的关键技术 	５．网络安全的安全策略 	６．网络安全解决的方案 	７．网络安全的分类 3.1 网络安全基础知识  	3.1.1 网络安全的含义 		网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 		网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。  3.1 网络安全基础知识 		（l）运行系统安全，即保证信息处理和传输系统的安全。  		（2）网络上系统信息的安全。  		（3）网络上信息传播的安全，即信息传播后果的安全。  		（4）网络上信息内容的安全，即我们讨论的狭义的“信息安全”。   3.1 网络安全基础知识 3.1.2 网络安全的特征 （1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性：对信息的传播及内容具有控制能力。  3.1 网络安全基础知识 3.1.3 网络安全的威胁  (1)非授权访问（unauthorized access）：一个非授权的人的入侵。 (2)信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 (3)拒绝服务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。  3.1 网络安全基础知识 3.1.4 网络安全的关键技术 ●主机安全技术。 ●身份认证技术。 ●访问控制技术。 ●密码技术。 ●防火墙技术。 ●安全审计技术。 ●安全管理技术。  3.1 网络安全基础知识 3.1.5 网络安全的安全策略 ●网络用户的安全责任：该策略可以要求用户每隔一段时间改变其口令；使用符合一定准则的口令；执行某些检查，以了解其账户是否被别人访问过等。重要的是，凡是要求用户做到的，都应明确地定义。 ●系统管理员的安全责任：该策略可以要求在每台主机上使用专门的安全措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序。   3.1 网络安全基础知识 ●正确利用网络资源：规定谁可以使用网络资源，他们可以做什么，他们不应该做什么等。如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到安全监视，就应该非常明确地告诉用户，这是其政策。 ●检测到安全问题时的对策：当检测到安全问题时应该做什么？应该通知谁？这些都是在紧急的情况下容易忽视的事情。 3.2 威胁网络安全的因素      计算机网络安全受到的威胁包括：     ●“黑客”的攻击     ●计算机病毒     ●巨绝服务攻击（Denial of Service Attack）  3.2 威胁网络安全的因素 3.2.1 安全威胁的类型  ●非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用 ●假冒合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权，以达到占用合法用户资源的目的 ●数据完整性受破坏 ●干扰系统的正常运行，改变系统正常运行的方向，以及延时系统的响应时间 ●病毒 ●通信线路被窃听等 3.2 威胁网络安全的因素 		 3.2 威胁网络安全的因素 	3.2.3 计算机系统的脆弱性 (1)计算机系统的脆弱性主要来自于操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。  (2)存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。  (3) 计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。  3.2 威胁网络安全的因素 	3.2.4 协议安全的脆弱性 		当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。众所周知的是 Robert Morries在 VAX机上用 C编写的一个GUESS软件，它根据对用户名的搜索猜测机器密码口令的程序自在1988年11月开始在网络上传播以后，几乎每年都给Internet造成上亿美元的损失。 		黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。  3.2 威胁网络安全的因素 	3.2.5 数据库管理系统安全的脆弱性 		由于数据管理系统（DBMS）对数据库的管理是建立在分级管理的概念上的，因此，DBMS的安全也是可想而知。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。 	3.2.6 人为的因素 		不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。 3.2 威胁网络安全的因素 	3.2.7 各种外部威胁 	(1)物理威胁 	(2)网络威胁  	(3)身份鉴别  	(4)编程  	(5)系统漏洞     3.2 威胁网络安全的因素 	3.2.8 防范措施 	（1）用备份和镜像技术提高数据完整性 	（2）防毒  	（3）补丁程序 	（4）提高物理安全 	（5）构筑因特网防火墙 	（6）废品处理守则 	（7）仔细阅读日志 	（8）加密 	（9）提防虚假的安全  3.3 网络安全分类  		根据中国国家计算机安全规范，计算机的安全大致可分为三类： 	（1）实体安全，包括机房、线路、主机等 	（2）网络与信息安全，包括网络的畅通、准确以及网上信息的安全 	（3）应用安全，包括程序开发运行、I／O、数据库等的安全  3.3 网络安全分类 3.3.1 基本安全类     基本安全类包括访问控制、授权、认证、加密以及内容安全。  3.3.2 管理与记账类     管理与记账类安全包括安全的策略的管理、实时监控、报警以及企业范围内的集中管理与记账。 3.3.3 网络互联设备安全类     网络互联设备包括路由器、通信服务器
计算机网络安全基础第3章.ppt