网络信息安全培训教程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络信息安全培训教程
宾阳县信息化工作办公室
2009-7-28
局域网概述
局域网(Local Area Network,LAN)是在小范围内将各种数据通信设备互连起来,进行数据通信和资源共享的计算机网络。局域网的地理范围一般
在.01-20km之间。局域网连网非常灵活,两台计算机就可以连成一个对等局域网。
局域网的安全是内部网络安全的关键,如何保证局域网的安全性成为网络安全研究的一个重点。
网络安全组成
网络安全目标
通俗地说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。
从技术角度来说,网络信息安全的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。
网络安全威胁
1.3.1物理威胁
物理威胁在网络中是最难控制的,它可能来源于外界的有意无意的破坏。物理威胁有时可以造成致命的系统破坏,如系统的硬件措施遭到严重的破坏。
物理威胁的防治虽然很重要,然而在网络中很多物理威胁往往被忽略,如网络设备被盗等。在更换磁盘时,必须经格式化处理,因为反删除软件很容易获取仅从磁盘上删除的文件。
1.3.2 系统漏洞威胁
1.端口威胁
端口威胁是系统漏洞的重要方面,在用户上网的时候,网络病毒和黑客可以通过这些端口连接到用户的计算机上潜在的端口开放相当于给系统开了一个后门,病毒和网络攻击者可以通过开放的端口入侵系统。
为防止端口威胁,用户应该使用端口扫描软件来查看系统已经开启的服务端口,并将不安全的端口关闭。
2.不安全服务
操作系统的部分服务不需要进行安全认证服务就可以登录,这些程序一般都是基于UDP协议的,它的无认证服务导致系统很有可能被病毒和网络攻击者控制。此类服务在作用后应该立即停止,否则将造成系统不可挽回的损失。
3.配置和初始化
有些系统提供认证和匿名两种方式,所以如何区分服务方式和如何进行系统的初始化配置非常关键。
1.3.3 身份鉴别威胁
1.假冒
假冒的身份通常是用一个模仿的程序代替真正的程序登录界面,设置口令圈套,以窃取口令。
2.密码暴力破解
按照密码学的观点,任何密码都可以被破解出来,任何密码都只能在一段时间内保持系统的安全性。
1.3.4 病毒和黑客威胁
病毒是一段可执行的恶意程序,它可以对计算机的软件和硬件资源进行破坏。计算机病毒寄生在系统内部,不易被发现,具有很强的的传染性,一但病毒被激活,就可能对系统造成巨大的危害。由于TCP/IP协议的脆弱性和Internet 的管理问题,目前,互联网成为病毒的最重要的传播途径。计算机病毒已成为计算机与网络安全的重要因素。
黑客威胁是目前网络的又一大威胁,黑客是指非法入侵别人计算机系统的人,他们通常带有某种目的,通过系统漏洞非法入侵。
【实例1-1】简述物理防护在计算机系统安全方面的作用。
解析物理防护主要是针对计算机硬件上的弱点进行防护,防止人为因素或自然因素造成计算机系统的损坏,预防措施如下:
(1)防止计算机设备丢失。
(2)防止非授权人员和破坏者进入计算机的工作环境。
(3)规划对外通信的出口,阻止非法接线。
(4)防止设备或数据损失。
(5)防止电磁辐射。
局域网的安全措施
局域网基于广播技术构建。由于广播原理,局域网的数据截取和窃取成了安全的主要问题,另外,ARP地址欺骗、泛洪等很多问题,还有TCP/IP协议固有的不安全因素,网络操作系统的安全缺陷等,都使得基于局域网的安全防范非常关键。
2.2.1 网络本身的安全设置
1.网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。如:192.168.1.0与192.168.2.0,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
2.组建交换式局域网
对局域网的中心交换机进行网络分段后,由于使用共享式集线器,当用户与主机进行数据通信时,两台计算机之间的数据包会被同一台集线器上的其他用户所侦听。因此,应该以交换式集线器代替共享式集线器,建立交换式局域网,可以使单播包仅在两个节点之间传送,从而防止非法侦听。
3.虚拟局域网
采用交换式局域网技术组建的局域网,可以运用VIAN(虚拟网络)技术来加强内部网络管理。
4.网络访问权限设置
如果不对局域网中的主机访问进行权限和用户身份设置,则可以完全被网络中的其他用户访问,所以在局域网中设置访问权限,实现数据的加密服务非常重要。
权限控制是针对网络非法操作所提出的一种安全保护措施,对用户和用户组赋予一定的权限,可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问,可以限制用户对共享文件、目录和共享设备的操作。
5.网络设备安全控制
局域网中的路由器和三层交换机基本上都内置防火墙功能,且可通过设置IP访问列表与MAC地址绑定等方案对网络中的数据进行过滤,限制出入网络的数据,从而增强网络安全性。
6.防火墙控制
防火墙是目前最为流行也是使用最广泛的一种网络安全技术,防火墙作为一个分离器、限制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网和Internet。之间的任何活动,既可为内部网络提供必要的访问控制,又不会造成网络瓶颈,并通过安全策略控制进出系统的数据,保护网络内部的关键资源。
2.2.2 网络操作系统的安全
1.安全密码控制
操作系统安装完成后,设置一个足够强壮的账号和密码非常关键,并最好将不用的匿名用户都删除。windows XP操作系统是通过用户级别来设置用户的操作权限,所以配置安全策略十分必要。配置安全策略的步骤如下:
(1)在“控制面板”中打开“管理工具”窗口,双击“计算机管理”图标,打开“计算机管理”窗口,依次展开“系统工具”一“本地用户和组”一“用户”,在右边窗口中的空白处右击,弹出一个快捷菜单,如图2—2所示。