第10章计算机网络安全_教案.ppt

计算机网络安全 第十章计算机网络安全 主要内容 计算机网络安全的概念 计算机网络对安全性的要求 访问控制技术和设备安全 防火墙技术 网络安全攻击及解决方法 计算机网络安全的基本解决方案 2 计算机网络安全概述 背景介绍对计算机网络安全性问题的研究总是围绕着信息系统进行 其主要目标就是要保护计算资源 免受毁坏 替换 盗窃和丢失 而计算资源包括了计算机及网络设备 存储介质 软硬件 信息数据等 3 计算机网络安全的解决策略 访问控制选择性访问控制病毒和计算机破坏程序加密系统计划和管理物理安全通信安全 4 计算机网络安全包括的内容 保护系统和网络的资源免遭自然或人为的破坏 明确网络系统的脆弱性和最容易受到影响或破坏的地方 对计算机系统和网络的各种威胁有充分的估计 要开发并实施有效的安全策略 尽可能减少可能面临的各种风险 准备适当的应急计划 使网络系统在遭到破坏或攻击后能够尽快恢复正常工作 定期检查各种安全管理措施的实施情况与有效性 5 计算机网络安全的要求 安全性 内部安全对用户进行识别和认证 防止非授权用户访问系统 确保系统的可靠性 以避免软件的缺陷 Bug 成为系统的入侵点 对用户实施访问控制 拒绝其访问超出访问权限的资源 加密传输和存储的数据 防止重要信息被非法用户理解或修改 对用户的行为进行实时监控和审计 检查其是否对系统有攻击行为 并对入侵的用户进行跟踪 外部安全加强系统的物理安全 防止其他用户直接访问系统 保证人事安全 加强安全教育 防止用户 特别是内部用户 泄密 6 计算机网络安全的要求 完整性 解决问题 如何保护计算机系统内软件和数据不被非法删改 软件完整性数据完整性 7 计算机网络安全的要求 保密性 解决问题 如何防止用户非法获取关键的敏感信息 避免机密信息的泄露 加密是保护数据的一种重要方法 也是保护存储在系统中的数据的一种有效手段 人们通常采用加密来保证数据的保密性 8 计算机网络安全的要求 可用性 可用性是指无论何时 只要用户需要 系统和网络资源必须是可用的 尤其是当计算机及网络系统遭到非法攻击时 它必须仍然能够为用户提供正常的系统功能或服务 为了保证系统和网络的可用性 必须解决网络和系统中存在的各种破坏可用性的问题 9 计算机网络的保护策略 创建安全的网络环境数据加密调制解调器的安全灾难和意外计划系统计划和管理使用防火墙技术 10 网络安全的脆弱点 网络安全脆弱点的几个方面通信设备网络传输介质网络连接网络操作系统病毒攻击物理安全 11 常用的安全工具 防火墙防火墙是在内部网与外部网之间实施安全防范的系统 用于确定哪些内部资源允许外部访问 以及允许哪些内部网用户访问哪些外部资源及服务 防火墙的基本类型有 包过滤型代理服务器型堡垒主机 12 常用的安全工具 鉴别报文鉴别身份认证数字签名 13 常用的安全工具 其他工具访问控制加 解密技术审计和入侵检测安全扫描 14 访问控制技术 作用 对访问系统及其数据的人进行识别 并检验其身份 用户是谁 该用户的身份是否真实 基于口令的访问控制技术选用口令应遵循的原则增强口令安全性措施其他方法选择性访问控制技术 15 设备安全 调制解调器安全通信介质的安全计算机与网络设备的物理安全 16 防火墙技术 使用防火墙可用于 安全隔离 其实质就是限制什么数据可以 通过 防火墙进入到另一个网络防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部到外部 其中包括的信息有电子邮件消息 文件传输 登录到系统以及类似的操作等 17 防火墙的优缺点 防火墙的优点允许网络管理员在网络中定义一个控制点 将内部网络与外部网络隔开 审查和记录Internet使用情况的最佳点 设置网络地址翻译器 NAT 的最佳位置 作为向客户或其他外部伙伴发送信息的中心联系点 防火墙的局限性不能防范不经过防火墙产生的攻击 不能防范由于内部用户不注意所造成的威胁 不能防止受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击 18 19 防火墙设计 防火墙的基本准则 拒绝一切未被允许的东西 允许一切未被特别拒绝的东西 机构的安全策略必须以安全分析 风险评估和商业需要分析为基础 防火墙的费用取决于它的复杂程度以及要保护的系统规模 20 防火墙的种类 包过滤路由器可以决定对它所收到的每个数据包的取舍 逐一审查每份数据包以及它是否与某个包过滤规则相匹配 过滤规则以IP数据包中的信息为基础 IP源地址 IP目的地址 封装协议 TCP UDP ICMP等 TCP UDP源端口 TCP UDP目的端口 ICMP报文类型 包输入接口和包输出接口等 如果找到一个匹配 且规则允许该数据包通过 则该数据包根据路由表中的信息向前转发 如果找到一个匹配 且规则拒绝此数据包 则该数据包将被舍弃 21 22 防火墙的种类 代理服务器代理服务器上安装有特殊用途的特别应用程序 被称为代理服务或代理服务器程序 使用代理服务后 各种服务不再直接通过防火墙转发 对应用数据的转发取决于代理服务器的配置 只支持一个应用程序的特定功能 同时拒绝所有其他功能 支持所有的功能 比如同时支持WWW FTP Telnet SMTP和DNS等 23 24 防火墙的种类 包过滤路由器允许信息包在外部系统与内部系统之间的直接流动 代理服务器允许信息在系统之间流动 但不允许直接交换信息包 堡垒主机是Internet上的主机能够连接到的 唯一的内部网络上的系统 它对外而言 屏蔽了内部网络的主机系统 所以任何外部的系统试图访问内部的系统或服务时 都必须连接到堡垒主机上 堡垒主机的特点 堡垒主机的硬件平台上运行的是一个比较 安全 的操作系统 以防止操作系统受损 同时也确保了防火墙的完整性 只有必要的服务才安装在堡垒主机内 如Telnet DNS FTP SMTP和用户认证等 25 26 常见的网络攻击 特洛伊木马 拒绝服务 DoS 邮件炸