办公自动化-计算机网络安全

(108页)

'办公自动化-计算机网络安全'
第9章 计算机网络安全9.1 计算机网络安全概述9.1.1安全基础知识v 计算机网络安全的基本要素 ? 机密性:网络信息不泄露给未授权用户。 ? 完整性:收到的数据与发送的数据应相同,且仅被授权者才能修 改数据。 ? 可用性:被授权者在需要时可以访问相应数据,但不能占用所有 资源阻碍授权者的正常工作。 ? 可控性:可以控制被授权者使用的所有资源。 ? 可审查性:对网络中的用户和其他实体进行审查和监控,当出现 安全问题是可以提供调查依据和手段。? 法律:法律和法规手段是基础? 技术:高技术管理是根本保障? 管理:加强内部管理、建立设计和跟踪体系。v 1.计算机系统安全 v 计算机作为一种信息社会中不可缺少的资源和财产应当给予保护,以防 止由于窃贼、侵入者和其他各种原因造成的损失。如何保护好计算机系 统、设备以及数据的安全是一项长期艰巨的任务。 v 由于计算机和信息产业的快速成长以及对网络和全球通信的日益重视, 计算机安全正变得更为重要。然而,计算机的安全一般来说是较为脆弱 的,不管是一个诡计多端的黑客还是一群聪明的学生,或者是一个不满 的雇员所造成的对计算机安全的损害带来的损失往往是巨大的,影响是 严重的。 v 计算机系统安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和 丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出 材料和数据。 v 2.数据库系统安全 v 数据库安全性是指数据库的任何部分都不允许受到恶意侵害 ,或未经授权的存取与修改。数据库是网络系统的核心部分 ,有价值的数据资源都存放在其中,这些共享的数据资源既 要面对必需的可用性需求,又要面对被篡改、损坏和被窃取 的威胁。 v 通常,数据库的破坏来自下列四个方面:系统故障;并发所 引起的数据不一致;转入或更新数据库的数据有错误,更新 事务时未遵守保持数据库一致的原则;人为的破坏,例如数 据被非法访问,甚至被篡改或破坏。 v 3.计算机病毒的防治 v 计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随 着病毒出现和更新速度越来越快,形势变得愈加严峻。目前,几千种不 同的病毒无时不对计算机和网络的安全构成威胁。因此,了解和控制病 毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全性的讨 论都应考虑到病毒。 v 计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还 能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中, 能够进行自身复制并将其插入其他的程序中,执行恶意的行动。 v 检测的原理主要是基于下列四种方法:将被检测对象与原始备份进行对 照所使用的比较法、利用病毒特征代码串的搜索法、病毒体内特定位置 的特征字识别法以及运用反汇编技术分析被检测对象,确认是否为病毒 的分析法。 v 4.网络站点的安全 v 影响网络站点安全的主要因素包括: v (1)认证环节薄弱性。Internet的许多事故的起源是因为使用了薄弱的 、静态的口令。v (2)系统易被监视性。当用户使用Telnet或文件传输协议(File Transfer Protocol,简称FTP)连接到远程主机上的账户时,在Internet 上传输的口令是没有加密的。v (3)易被欺骗性。主机的IP地址被假定为是可用的,TCP和UDP服务 相信这个地址。问题在于,如果攻击者的主机冒充一个被信任的主机或 客户就危险了。 v (4)有缺陷的局域网服务。一些数据库(例如口令文件)以分布式管理 ,允许系统共享文件和数据。但这些服务带来了不安全因素,可以被有 经验的闯入者利用以获得访问权。v (5)复杂的设备和控制。对主机系统的访问控制配置通常很复杂而且难 以验证其正确性。因此,偶然的配置错误会使闯入者获取访问权。 v (6)主机的安全性无法估计。主机系统的安全性无法很好地估计,随着 每个站点主机数量的增加,确保每台主机的安全性都处于高水平的能力 却在下降。v 计算机网络安全威胁 ? 信息泄漏与丢失 $重要和敏感数据泄漏丢失(泄漏:黑客、网络侦听、卫星和手机等无 线设备传输截留、内嵌芯片窃听和传输;外因造成丢失) ? 非授权访问 $冒用合法身份访问资源、强行非授权访问资源 ? 拒绝服务攻击 $连续不断对服务器干扰,执行无关程序,造成网络瘫痪 ? 破坏数据完整性 $对数据库恶意添加、删除和修改数据 ? 利用网络传播不良信息 $众所周知(近期公安部严打手机传播不良信息)v 计算机安全技术 ? 防火墙 ? 加密 ? 数字签名 ? 审核监督 ? 病毒防治v Cookies ? 网站服务器将少量数据保存到本地机硬盘,它可以记载用户的ID和 密码,较快地登陆网络(跳过ID和PassWord) ? 查看Cookies。C:/document and settings/用户名/Cookies ? Cookies设置 $IE/工具/Internet选项/隐私。调整安全级别即可相应调整Cookies设置 $通过“Internet选项/设置”可以设置和查看Cookies文件1.防火墙 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据系统的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙主要包括五部分:安全操作系统;过滤器;网关;域名服务;E-mail处理(如图所示)。有的防火墙可能在网关两侧设置两个内、外过滤器。外过滤器保护网关不受攻击,网关提供中继服务,辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护。 2.防火墙的功能(1)对出入网络的访问行为进行管理和控制 (2)过滤出入网络的数据,强化安全策略 (3)对网络存取和访问进行监控审计 (4)对不安全的服务进行限制或者拦截,防止内部信息的外泄 (1)网络级防火墙 网络级防火墙又称为包过滤防火墙,一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来做出网络包通过与否的判断。 (2)应用级网关 应用级网关就是常说的“代理服务器”,它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 1.包过滤原理 包过滤在IP层实现,由路由器来完成,它根据包(报文)的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及包传递方向等包头信息来判断是否允许包通过,并形成一套包过滤规则。 包过滤是在网络层中对数据包实施有选择的 通过,依据系统事先设定好的过滤逻辑,检 查数据流中的每个数据包,根据数据包的源 地址、目标地址以及数据包所使用的端口, 确定是否允许该类数据包通过。 在互联网这样的信息包交换网络上,所有往来的信息都被分割成 许许多多一定长度的信息包,包中包括发送者的IP地址和接收者 的IP地址。当这些包被送上互联网时,路由器会读取接收者的IP, 并选择一条物理线路发送出去,信息包可能以不同的路线抵达目 的地,当所有的包抵达后,会在目的地重新组装还原。包过滤式 的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员 所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的 话,从这个地址而来的所有信息都会被防火墙屏蔽掉。 v (1)ICMP消息:网络层的IP控制和状态消息,它的包头包 含了源IP地址、目的IP地址、ICMP协议标识符和ICMP消息 类型。 v (2)UDP消息:UDP是一个无状态不可靠的传输发送协议 。它的包头包含了源IP地址、目的IP地址、UDP协议类型以 及源和目的服务端口号。 v (3)TCP消息:TCP是一种面向连接的可靠的传输发送协 议,它的包头包含了源IP地址、目的IP地址、TCP协议消息 类型、源和目的服务端口、序列号和应答号以及用来产生和 维护可靠连接的控制标志。 v 这类防火墙的缺点是不能对数据内容进行控制;很难准确地 设置包过滤器,缺乏用户级的授权;数据包的源地址、目的 地址以及IP端口号都在数据包的头部,很有可能被冒充或窃 取,而非法访问一旦突破防火墙,即可对主机上的系统和配 置进行攻击;可能还有其他方法绕过防火墙进入网络,例如 拨入连接。但这个并不是防火墙自身的缺点,而是不应该在 网络安全上单纯依赖防火墙的原因。 (1) 应用代理服务器 应用代理服务器在网络应用层提供授权检查及代理服务。(2) 回路级代理服务器回路层代理是建立在传输层上的一种代理方法。通常在建立连接之前,由代理服务器先检查连接会话请求,再建立连接,并一直监控连接状态。当连接打开时,回路层代理会将IP包在用户应用程序和Internet服务之间进行转发。如果符合安全规则,则正常转发;否则,IP包数据不得通过代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理的主要特点是有状态性。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能自理和管理信息。 v (1)代理速度比包过滤防火墙慢v (2)代理对用户不透明。v (3)对于每项服务代理可能要求不同的服务器。v (4)明显的性能下降。v (5)代理不能改进底层协议的安全性1.屏蔽路由器 这是防火墙最基本的构件。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。2.双穴主机网关 用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。3.参数子网 在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部
关 键 词:
办公自动化-计算机网络安全 ppt、pptx格式 免费阅读 下载 天天文库
 天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:办公自动化-计算机网络安全
链接地址: https://www.wenku365.com/p-44790309.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给天天文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 https://www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开