您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 计算机网络安全与网络管理
第8章计算机网络安全与网络管理第8章计算机网络安全与网络管理教学目标(1)了解网络安全与网络管理的概念;(2)了解网络不安全的因素;(3)了解网络安全的主要技术;(4)熟悉Windowsserver2003服务器的安全设置;(5)了解简单网络管理协议;(6)了解网络管理的技术。第8章计算机网络安全与网络管理教学内容8.1计算机网络安全概述8.2计算机网络安全的主要技术8.3WindowsServer2003服务器的安全设置8.4网络管理技术计算机网络安全与网络管理问题的提出随着计算机网络的广泛应用,在网络给人们带来便利的同时,人们也发现网络中处处潜藏着安全的威胁,使计算机网络面临极大的挑战,这就是计算机网络的安全问题。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络管理必须考虑和必须解决的一个重要问题。8.1计算机网络安全概述计算机网络安全(ComputerNetworkSecurity)是一门涉及到计算机科学、网络技术、通信技术、信息安全技术、密码学、应用数学、管理学和信息论等多种学科的综合性学科。2019/10/268.1计算机网络安全概述8.1.1计算机网络安全概念1.计算机网络安全的含义计算机网络安全不是产品,也不是结果,而是一个过程。它由很多部分组成,包括硬件、软件、网络、接口、人以及之间相互关系等。从广义上说,计算机网络安全包括网络系统硬件资源及网络信息资源的安全性。8.1.1计算机网络安全概念2.计算机网络安全的定义国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此,可以将计算机网络的安全定义为:通过采用各种技术和管理措施,保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断,从而确保网络数据的可用性、完整性和保密性。8.1.1计算机网络安全概念3.计算机网络安全的属性在美国国家信息基础设施(NII)的文献中,给出了网络安全的六个属性:可用性、保密性、完整性、可靠性、不可抵赖性和可控性。8.1.2计算机网络面临的安全威胁所谓的网络安全威胁是指某个实体(人、事件、程序等)对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。计算机网络安全所面临的威胁概括起来有两种:一是对网络中信息、数据的威胁,二是对网络中设备的威胁。8.1.2计算机网络面临的安全威胁1.人为的恶意攻击来自机构内部威胁和来自入侵者的外部攻击,是计算机网络面临的最大威胁。其一,以各种方式有选择地破坏(篡改、伪造)对方信息的有效性和完整性,称为主动攻击;其二,在不影响网络正常工作的情况下,以截获、窃取、破译等手段获得对方重要机密信息,称为被动攻击,如图8-1所示。这两种攻击都会对计算机网络造成极大的危害,并导致机密数据的泄露。被动攻击主动攻击中断篡改伪造截获图8-1敌手对网络通信过程中的攻击手段8.1.2计算机网络面临的安全威胁2.人为的无意失误如用户安全意识不高,设置口令不慎,容易被人破解;用户把自己的账号随意转借给别人或与他人共享;又如系统管理员对系统安全配置不当形成的安全漏洞等,都会对计算机网络安全造成威胁。8.1.2计算机网络面临的安全威胁3.系统漏洞和缺陷目前,不论是软件还是硬件,不论是操作系统还是应用软件,都存在不同程度的漏洞和缺陷,这些都是导致网络不安全的重要因素。4.实体摧毁实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击三种。8.1.3构成网络安全威胁的因素由于网络的各种操作系统和网络通信的基本协议TCP/IP都存在着一定程度的漏洞,所以构成网络安全威胁主要有以下几种因素,如图8-2。图8-2构成网络安全威胁的因素8.1.3构成网络安全威胁的因素1.操作系统的易被监测性使用Telnet或FTP连接远程主机上的账户,在网上传输的口令是没有加密的。入侵者就可以通过监视携带用户名和口令的IP包获取它们,然后使用这些用户名和口令通过正常途径登录到系统。8.1.3构成网络安全威胁的因素2.无法估计主机的安全性主机系统的安全性无法很好地估计。随着一个站点的主机数量的增加,确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台主机的能力来管理如此多的系统就容易出错。这些安全性较低的系统将成为薄弱环节,最终将破坏整个安全链。8.1.3构成网络安全威胁的因素3.有缺陷的局域网服务主机的安全十分困难和繁琐,有些站点为了降低管理要求并加强局域网,往往会使用诸如NIS和NFS类的服务,但却带来了不安全的因素,可以被有经验的入侵者利用而获得访问权。8.1.3构成网络安全威胁的因素4.复杂的设置和控制主机系统的访问控制配置复杂且难以验证,偶然的配置错误会使入侵者获取访问权。5.易欺骗性网络通信协议的TCP或UDP服务相信主机的地址。如果使用“IPSourceRouting”,那么入侵者的主机,就可以冒充一个被信任的主机或客户的IP地址取代自己的地址,去对服务器进行攻击。8.1.3构成网络安全威胁的因素6.薄弱的认证环节网络上的认证通常是使用口令来实现的。由于口令多为静态的,因此其薄弱环节众人皆知,各种各样的口令破解方式层出不穷。7.计算机病毒攻击计算机病毒是威胁网络安全最重要的因素之一,由于网络系统中的各种设备都是相互连接的,如果某一个设备(如服务器)受到病毒的攻击或系统受到病毒感染,它就可能危及到整个网络。8.1.3构成网络安全威胁的因素8.物理安全网络中包括了各种复杂的硬件、软件和专用的通信设备,以及各种网络传输介质,大多数的网络通信设备和连接都有可能存在安全隐患。即便是其中有任何一个出现问题,都会导致灾难性的后果。8.1.4计算机网络安全的目标计算机网络信息安全与保密的目标主要是为了保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。8.1.4计算机网络安全的目标1.可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。2.可用性可用性是网络信息可被授权实体访问并按需求使用的特性。3.保密性保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。8.1.4计算机网络安全的目标4.完整性完整性是网络信息未经授权不能进行改变的特性。5.不可抵赖性不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。6.可控性可控性是对网络信息的传播及内容进行控制,保护其完整性和可用性。2019/10/2258.2计算机网络安全的主要技术随着计算机网络技术的迅速发展和广泛应用,网络威胁呈现多样化。为了遏制各式各样的网络威胁,为网络的发展营造一个更安全的环境,已经出现了许许多多的用于网络安全的技术手段。8.2.1信息加密技术1.对称密码体制对称密钥体制的特点是无论加密还是解密都共用一把密钥(Ke=Kd),或者虽不相同,但可以由其中一个推导出另一个。其中最有影响的是1977年美国国家标准局颁布的DES算法(数据加密标准算法),加密解密过程如图8-3所示。明码报文密码密钥密钥明码正文原文正本解密解密码发送方接收方图8-3对称加密使用相同的密钥8.2.1信息加密技术2.公开密钥密码体制公开密钥密码体制的特点是加密钥不等于解密钥(Ke≠Kd),并且在计算上不能由加密钥推出解密钥。所以将加密钥公开也不会危害解密钥的安全。通常,把加密钥称为公钥,解密钥称为私钥。其典型代表是1978年美国麻省理工学院R.L.Rivest等人提出的RSA公开钥密码算法,它已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。其加密解密过程如图8-4所示。明码报文密码公钥私钥明码正文原文正本解密解密码发送方接收方图8-4公开密钥码算法8.2.1信息加密技术3.密钥管理根据近代密码学的观点,密码系统的安全应该只取决于密钥的安全,而不取决于对算法的保密。这仅仅是在设计密码算法时的要求,而在实际应用中对保密性要求高的系统仍必须对具体使用的算法实行保密。密钥必须经常更换,这是安全保密所要求的。。因此无论是采用传统密码还是公钥密码,都存在密钥管理问题。8.2.2数字签名技术人们通常习惯于日常生活中的签名,它对当事人起到认证、核准与生效的作用。传统的书面签名形式有手签、印章、指印等,而在计算机通信中则采用数字签名。在此,签名是证明当事人身份与数据真实性的一种手段。8.2.2数字签名技术1.认证技术认证又称为鉴别或确认,它用来证实被认证对象(人与事)是否名符其实或是否有效的一种过程。2.数字签名尽管数字签名与认证都是用来保证数据的真实性,但二者有着明显的区别,如图8-5。数字签名必须保证以下3点:(1)接收者能够核实发送者对报文的签名;(2)发送者事后不能抵赖对报文的签名;(3)接收者不能伪造对报文的签名。这是一条需要签字的的信息这是一条需要签字的的信息★●&@#※§¥……这是一条需要签字的的信息这是一条需要的的信息A的私人密钥A的签名A的公开密钥解密图8-5数字签名8.2.3防火墙技术防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。防火墙是连接内部网络和外部网络的桥梁,内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。8.2.3防火墙技术1.包过滤技术即在网络的适当位置对数据包实施有选择的通过,可以防止黑客利用不安全的服务对内部网络进行攻击。2.应用网关技术是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。3.代理服务技术代理服务是设置在Internet防火墙网关的专用应用级编码。8.2.3防火墙技术4.防火墙的缺陷⑴限制服务类型和灵活性防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。⑵后门服务的可能性防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者就可以跳过防火墙。⑶制约信息传输的速度。⑷防火墙也不能防备内部人员的攻击。2019/10/2378.3WindowsServer2003服务器的安全设置要保障计算机网络的安全,首先要保障网络服务器的安全运行。目前,WindowsServer2003是最流行的服务器操作系统之一,要使它能正常地运行还必须进行正确的安全配置。8.3.1定制WindowsServer20031.版本的选择WindowsServer2003有各种语言的版本,对于我们来说,可以选择英文版或简体中文版。2.安装组件的定制WindowsServer2003系统在默认情况下会安装一些常用的组件,但是用户应该仅仅安装确实需要的服务。根据安全原则:最少的服务+最小的权限=最大的安全。8.3.2正确安装WindowsServer20031.分区和逻辑盘的分配硬盘进行分区时最少需要分为两个以上的逻辑盘,分区格式全部采用NTFS格式:一个系统分区,一个应用程序分区。2.安装顺序的选择WindowsServer2003在安装中有几个顺序一定注意:⑴何时接入网络⑵系统补丁的更新⑶安装MSSQL⑷分析计算机安全配置⑸备份系统8.3.2正确安装WindowsServer20038.3.2正确安装WindowsServer20038.3.3配置WindowsServer2003账户1.系统管理员账户2.陷阱帐号3.Guest账户4.登录次数锁定(如图8-6所示)5.安全设置(如图8-7所示)6.创建User账户图8-6登录次数锁定图8-7安全设置8.3.4网络服务安全管理1.禁止C$、D$、ADMIN$一类的缺省共享2.解除NetBios与TCP/IP协议的绑定3.关闭不需要的服务4.启用防火墙8.3.5设置审核策略1.本
本文标题:计算机网络安全与网络管理
链接地址:https://www.777doc.com/doc-1269211 .html