第7章网络安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全
网络安全指网络系统的硬件、软件及其 系统中的数据受到保护,避免因偶然的 或者恶意的原因而遭到破坏、更改、泄 露,保证系统能连续、可靠正常的运行, 网络服务不中断。
安全策略
指在某个安全区域内,用于所有与安全 活动相关的一套规则。这些规则由安全 区域中所设立的安全权力机构建立,并 由安全控制机构来描述、实施或实现。
当用文件、目录和网络设备时,网络系统管理 员应给文件、目录等指定访问属性。属性安全 控制可以将给定的属性与网络服务器的文件、 目录和网络设备联系起来。用户对网络资源的 访问权限对应一张访问控制表,用以表明用户 对网络资源的访问能力。属性设置可以覆盖已 经指定的任何受托者指派和有效权限。属性能 控制以下权限:向某个文件写数据、拷贝文件、 删除目录或文件、查看目录和文件、执行文件、 隐含文件、共享、系统属性等。
(1)入网访问控制
它为网络访问提供第一层访问控制,控制哪些 用户能够登录到服务器并获取网络资源,控制 用户入网的时间和在哪台工作站入网。用户入 网访问控制有三个步骤:用户名验证、用户口 令验证、用户帐号的缺省限制检查。任何一个 步骤未通过,该用户不能进入网络。
(2)网络的权限控制。
它是针对网络非法操作所提出的一种安全保护措施, 用户和用户组被赋予一定的权限。网络对用户和用户 组可以访问的目录、文件和其他资源加以限制,对用 户能够执行的操作加以规定。实现方式有两种:受托 者指派和继承权限屏蔽。受托者指派控制用户和用户 组如何使用网络服务器的目录、文件和设备。继承权 限屏蔽相当于一个过滤器,可以限制子目录从父目录 那里继承哪些权限。
(5)网络服务器安全控制。
网络允许在服务器控制台上执行一系列 操作。用户使用控制台可以装卸模块、 安装和删除软件等。网络服务器安全控 制包括:设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或 破坏数据、设定源自文库务器登录时间限制、 非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制。
物理安全策略
物理安全策略的目的是保护计算机系统、 网络服务器等硬件设备和通信链路免受破 坏和攻击,验证用户的身份和使用权限、 防止用户越权操作。
抑制和防止电磁泄露即TEMPEST技术,它 是物理安全策略的一个主要措施。
访问控制策略
访问控制策略隶属于系统安全策略,可以在计算机 系统和网络中自动地执行授权,其主要任务是保证 网络资源不被非法使用和访问。从授权角度,访问 控制策略包括:基于身份的策略、基于角色的策略 和多等级策略。
防火墙控制策略
防火墙是一种保护计算机网络安全的技术性 措施,它是内部网与公共网之间的第一道屏 障。防火墙是执行访问控制策略的系统,用 来限制外部非法用户访问内部网络资源和内 部非法向外部传递允许授权的数据信息。在 网络边界上通过建立相应网络通信监控系统 来隔离内部和外部网络,以阻挡外部网络的 入侵,防止恶意攻击。
网络管理员应对网络实施监控,服务器 应记录用户对网络资源的访问,对非法 的网络访问,服务器应以图形、文字或 声音等形式报警,以引起网络管理员注 意。
(7)网络端口和节点的安全控制
端口是虚拟的“门户”,信息通过它进 入和驻留于计算机中,网络中服务器的 端口往往使用自动回呼设备、调制解调 器加以保护,并以加密的形式来识别节 点的身份。自动回呼设备用于防止假冒 合法用户,调制解调器用以防范黑客的 自动拨号程序对计算机进行攻击。
加密策略
信息加密的目的是保护网内的数据、文件和控制信 息,保护网上传输的数据。网络加密常用方法有链 路加密、端点加密和节点加密三种。
➢ 链路加密是保护网络节点之间的链路信息安全; ➢ 端点加密是对源端用户到目的端用户的数据提供保护; ➢ 节点加密是对源节点到目的节点之间的传输链路提供保护。
信息加密过程是由各种加密算法来具体实施。
网络地址翻译
网络地址翻译(NAT,Network Address Translation)最初的设计目的是增加在专用 网络中可使用的IP地址数,但现在则用于屏 蔽内部主机。NAT通过将专用网络中的专用 IP地址转换成在Internet上使用的全球唯一 的公共IP地址,实现对黑客有效地隐藏所有 TCP/IP级的有关内部主机信息的功能,使 外部主机无法探测到它们。
(3)目录级安全控制。
网络应允许控制用户对目录、文件、设备的访问。用 户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定目录下的子目录和文件的权限。 对目录和文件的访问权限一般有八种:系统管理员权 限、读权限、写权限、创建权限、删除权限、修改权 限、文件查找权限、存取控制权限。
(4)属性安全控制。
防火墙示例
防火墙主要技术
防火墙(Firewall)是一道介于开放的、不 安全的公共网与信息、资源汇集的内部网 之间的屏障,由一个或一组系统组成。
➢狭义的防火墙指安装了防火墙软件的主机 或路由器系统
➢广义的防火墙还包括整个网络的安全策略 和安全行为
包过滤技术
包过滤技术(Packet Filtering)是在网络层依据系统的 过滤规则,对数据包进行选择和过滤,这种规则又称为 访问控制表(ACLs)。该技术通过检查数据流中的每个 数据包的源地址、目标地址、源端口、目的端口及协议 状态或它们的组合来确定是否允许该数据包通过。这种 防火墙通常安装在路由器上,如图8.3所示。
8.2防火墙技术
作为内部网与外部网之间的第一道屏障,防火墙是最先受 到人们重视的网络安全产品之一。从理论上看,虽然防火 墙处于网络安全的最底层,负责网络间的安全认证与传输, 但随着网络安全技术的整体发展和网络应用的不断深化, 现代防火墙技术已经逐步走向网络层之外的其他安全层次, 不仅要完成传统防火墙的过滤任务,同时还能为各种网络 应用提供相应的安全服务。
第七章 网络安全
➢ 网络安全概述 ➢ 防火墙技术 ➢ 密码技术 ➢ 反病毒技术
8.1 网络安全概述
计算机网络的安全问题很早就出现了,而且随 着网络技术发展和应用,网络安全问题表现得 更为突出。据统计,全球约每20 秒种就发生 一次计算机入侵事件,Internet 上的网络防火 墙约1/4被突破,约70%以上的网络主管人员 报告因机密信息泄露而受到损失。这些问题突 出表现在黑客攻击、恶性代码的网上扩散。