08 计算机网络安全与管理

网络工程专业课件计算机网络技术基础乔杰第8章计算机网络安全与管理引入计算机网络安全在目前是一个很重要的课题学习目标本章主要内容：计算机网络安全的基础知识、网络攻击的主要手段和网络安全控制技术。系统升级和漏洞修补、Windows防火墙、网络管理的概念、网络故障诊断与排除。课程内容计算机网络安全概述网络安全立法黑客攻击的主要手段和网络安全控制技术Windows2003安全配置技术网络管理技术8.1.1网络安全基本概念随着计算机网络的迅猛发展，网络安全已成为网络发展中的一个重要课题。由于网络传播信息快捷，隐蔽性强，在网络上难以识别用户的真实身份，网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。计算机网络安全,从广义上讲指存在于计算机网络系统中的硬件、软件及其数据资源处于一种受保护的状态，不会因为意外事故或恶意目的而被破坏、篡改和泄漏。从狭义的角度讲，计算机网络的核心就是网络数据的安全，即使用各种网络安全技术，保护在公用通信网络中传输、交换和存贮的信息的机密性、完整性和真实性，并具有对网络上数据的控制能力。8.1网络安全基础知识从概念上来看，网络和安全是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性，而安全则要尽可能地实现一台计算机的封闭性。因此，在现实中，计算机网络的安全性，实际上是在二者中寻找到一个平衡点，一个可以让所有用户都可能接受的平衡点。从这个意义上讲，网络安全是一个无穷无尽的主题。在计算机网络领域，没有终极的安全方案。网络安全包括五个基本要素：保密性、完整性、可用性、可控性与可审查性。(1)保密性，确保信息不暴露给未授权的实体或进程。(2)完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。(3)可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。(4)可控性：可以控制授权范围内的信息流向及行为方式。(5)可审查性：对出现的网络安全问题提供调查的依据和手段。8.1.2网络安全的五个要素8.1.3网络安全评价标准网络安全评价标准中比较流行的是美国国防部1995年制定的可信任计算机标准评价准则，各国根据自己的国情也制定了相关标准。（1）我国评价标准1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。●第l级为用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。●第2级为系统审计保护级：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。●第3级为安全标记保护级：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。●第4级为结构化保护级：在继承前面安全级别安全功能的墓础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。●第5级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。(2)国际评价标准根据美国国防部和国家标准局的《可信计算机系统评测标准》可将系统分成4类共7级：D级：级别最低，保护措施少，没有安全功能：属于这个级别的操作系统有DOS和Windows9x等。C级：自定义保护级。安全特点是系统的对象可由系统的主题自定义访问权。C1级：自主安全保护级，能够实现对用户和数据的分离，进行自主存取控制数据保护以用户组为单位；C2级：受控访问级，实现了更细粒度的自主访问控制，通过登录规程安全性相关事件以隔离资源。能够达到C2级别的常见操作系统有如下几种：(1)Unix/Linux系统：(2)Novell3．X或者更高版本；(3)WindowsNT，Windows2000和Windows2003。B级：强制式保护级。其安全特点在于由系统强制的安全保护。B1级：标记安全保护级。对系统的数据进行标记，并对标记的主体和客体实施强制存取控制；B2级：结构化安全保护级。建立形式化的安全策略模型，并对系统内的所有主体和客体实施自主访问和强制访问控制；B3级：安全域。能够满足访问监控器的要求，提供系统恢复过程。A级：可验证的保护。A1级：与B3级类似，但拥有正式的分析及数学方法。8.1.4网络安全的意义目前研究网络安全已经不只为了信息和数据的安全性,网络安全已经渗透到国家的经济，军事等领域。1.网络安全与政治目前我国政府上网已经大规模地发展起来，电子政务工程已经在全国启动并在北京试点,政府网络的安全直接代表了国家的形象。1999年到2001年，我国一些政府网站遭受了4次大的黑客攻击事件。第1次在1999午1月份左右，美国黑客组织“美国地下军团”联合了波兰组织及其他的黑客组织，有组织地对我国的政府网站进行了攻击。第2次是在1999年7月，台湾李登辉提出两国论的时候。第3次是在2000年，月8号，美国轰炸我国驻南联盟大使馆后。第4次是在2001年4月到5月，美国战机撞毁王伟战机并侵入我国海南机场后。2.网络安全与经济我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经津透到了我国金融行业的各项业务．近几年已经破获和掌握的犯罪案件100多起，涉及的金额达几十个亿。2000年2月黑客攻击的浪潮，是互联网问世以来最为严重的黑客事件。1999年4月26日，台湾人编制的CIH病毒的大爆发，据统计，我国受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达12亿元。1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录。3.网络安全与社会稳定互联网上散布的虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个谣言大得多。1999年4月，河南商都热线的一个BBS上，一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提款十多亿。2001年2月8日正是春节期间，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万用户无法正常联络。4.网络安全与军事在第二次世界大战中，美国破译了日本人的密码，几乎全歼山本五十六的舰队，重创日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温·托尔勒说过“掌握了信息，控制了网络，谁将拥有整个世界”。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是靠信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。课程内容计算机网络安全概述网络安全立法黑客攻击的主要手段和网络安全控制技术Windows2003安全配置技术网络管理技术8.2网络安全立法8.2.1网络安全立法概述人们的阅读、交流、娱乐乃至商业活动越来越多地在网上进行，世界被网络紧紧地连在了一起。可是，网络世界也有黑暗的一面，那就是网络犯罪。面对日益增多的网络犯罪，为了有效打击网络犯罪，制定相关的法律法规，成为遏制网络犯罪的有力武器，为此世界各国都制定了相关的法律。8.2.2我国立法情况目前网络安全方面的法规已经写入《中华人民共和国宪法》。于1982年8月23口写入《中华人民共和国商标法》，于1984年3月12日写入《中华人民共和国专利法》，于1988年9月5日写入《中华人民共和国保守国家秘密法》，于1993年9月2日写入《中华人民共和国反不正当竞争法》。网络安全方面的法规，已经增加了相关的条款到国家法律。为了加强对计算机犯罪的打击力度，在1997年对刑法进行重新订订时，加进了以下计算机犯罪的条款。第二百八十五条违反国家规定，侵入国家事务，国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储，处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序。影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗，盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。计算机网络安全方面的法规，已经写入国家条例和管理办法。于1991年6月4日写入《计算机软件保护条例》，于1994年2月18日写入《中华人民共和国计算机信息系统安全保护条例》，于1999年10月7日写入《商用密码管理条例》，于2000年9月20日写入《互联网信息服务管理办法》，于2000年9月25日写入《中华人民共和国电信条例》，于2000年12月29日写入《全国人大常委会关于网络安全和信息安全的决定》。8.2.3国际立法情况美国和日本是计算机网络安全比较完善的国家机网络安全方面的法规还不够完善。一些发展中国家和第三世界国家的计算机网络安全方面的法规还不完善。欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运作，该组织在诸多问题上建立了一系列法律，具体包括：竞争(反托拉斯)法，产品责任、商标和广告规定法，知识产权保护法，保护软件、数据和多媒体产品及在线版权法，以及数据保护法、跨境电子贸易法、税收法、司法等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。返回本章首页课程内容计算机网络安全概述网络安全立法黑客攻击的主要手段和网络安全控制技术Windows2003安全配置技术网络管理技术8.3黑客攻击的主要手段和网络安全控制技术8.3.1黑客攻击的主要手段涉及网络安全的问题很多，但最主要的问题还是人为攻击，黑客就是最具有代表性的一类群体。黑客在世界各地四处出击，寻找机会袭击网络，几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意,他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华，但也有一些黑客的网络袭击行为是有意地对网络进行破坏。黑客(Hacker)指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里，活跃着这批特殊的人，他们是真正的程序员，有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地，同时也使计算机网络世界多了一份灾难，一般人们把他们称之为黑客(Hacker)或骇客(Cracker)，前者更多指的是具有反传统精神的程序员，后者更多指的是利用工具攻击别人的攻击者，具有明显贬义。但无论是黑客还是骇客，都是具备高超的计算机知识的人。1.口令入侵所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。2.放置特洛伊木马程序在古希腊人同特洛伊人的战争期间，古希腊人佯装撤退并留下一只内部藏有士兵的巨大木马，特洛伊人大意中计，将木马拖人特洛伊城。夜晚木马中的希腊士兵出来与城外战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一类特殊的程序，黑客通过它来远程控制别人的计算机，把这类程序称为特洛伊木马程序。从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，