《[精选]网络安全(1)32529.pptx》由会员分享,可在线阅读,更多相关《[精选]网络安全(1)32529.pptx(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机安全技术 网络安全9.1网络安全概述 9.1.1网络安全简介 网 络 是 一 条 数 据 高 速 公 路,它 专 门 用 来 增 加 对 计 算 机系 统 的 访 问,而 安 全 性 却 专 门 用 来 控 制 访 问。提 供 网 络 安全 性 是 在 公 开 访 问 与 控 制 访 问 之 间 的 一 种 权 衡 举 措。在 家里,通 过 锁 门 为 财 产 提 高 安 全 性,而 不 是 封 锁 街 道。同 样,网 络 安 全 性 一 般 是 指 对 单 台 主 机 提 高 合 适 的 安 全 性,而 不是直接在网络上提高安全性。计 算 机 安 全 包 括 物 理 安 全 和 逻 辑
2、 安 全。对 于 前 者 要 加强 计 算 机 机 房 的 管 理;而 对 于 后 者 则 需 要 用 口 令 字、文 件许可或查帐等方法来实现。计 算 机 安 全 的 目 标 是:在 安 全 和 通 信 方 便 之 间 建 立 平衡。计算机安全技术 网络安全9.1网络安全概述 9.1.2网络安全的重要性计 算 机 系 统 经 常 遭 到 进 攻。更 令 人 不 安 的 是 大 多 数 进攻 未 被 察 觉。这 些 进 攻 给 国 家 安 全 带 来 的 影 响 程 度 还 未 确定,但 已 发 现 的 进 攻 多 数 是 针 对 计 算 机 系 统 所 存 放 的 敏 感信 息,其 中 三
3、分 之 二 的 进 攻 是 成 功 的,入 侵 者(黑 客)盗窃、修改或破坏了系统上的数据。被推荐的安全措施有:对 非 法 访 问 的 登 录 进 行 横 幅 警 告。键 盘 级 监控。捕捉。呼叫者ID。电话截取。数据加密。防火墙。防火墙是防止Intranet 被入侵的最好方法。计算机安全技术 网络安全9.1网络安全概述9.1.3信息系统安全的脆弱性 信息系统在安全方面存在的问题。1操作系统安全的脆弱性 2计算机网络安全的脆弱性3数据库管理系统安全的脆弱性4缺少安全管理 计算机安全技术 网络安全9.1网络安全概述9.1.4安全控制的种类可 用 于 保 护 一 个 计 算 机 网 络 的 安 全
4、 控 制 有 两 种,即 内部和外部控制。1内部控制简 单 的 说 内 部 控 制 是 对 计 算 机 系 统 本 身 的 控 制。密 码、防 火 墙 和 数 据 加 密 都 属 于 内 部 控 制。内 部 控 制 只 有 与 某 一级的外部控制相结合时才生效。2外部控制外 部 控 制 指 系 统 本 身 无 法 控 制 的 部 分。外 部 控 制 总 体上有三类:物理控制 人事控制 程序控制计算机安全技术 网络安全9.1网络安全概述9.1.5网络安全的方法基 本 上 说,处 理 网 络 的 安 全 问 题 有 两 种 方 法。用 户 或允 许 某 人 访 问 某 些 资 源,或 者 拒 绝
5、某 人 访 问 这 些 资 源。对于某种装置来说,访问或者拒绝访问的标准是唯一的。1允许访问 指 定 的 用 户 具 有 特 权 才 能 够 进 行 访 问。这 些 标 准 在 某种程度上应该与资源共有的性质相匹配。2拒绝访问拒绝访问是对某一网络资源访问的一个拒绝。3异常处理网络安全中经常同时使用上述两种方法。计算机安全技术 网络安全9.2 网络安全策略 9.2.1 最小特权 或许最根本的安全原则就是最小特权原则。最小特权原则意味着任何对象仅应具有该对象需要完成指定任务的特权,它能尽量避免你遭受侵袭,并减少侵袭造成的损失。9.2.2 纵深防御不要只依靠单一安全机制,尽量建立多层机制。避免某个单
6、一安全机制失败后你的网络会彻底地垮掉。9.2.3 阻塞点阻塞点强迫侵袭者通过一个你可以监控的窄小通道在因特网安全系统中,位于你的局域网和因特网之间的防火墙(假设它是你的主机和因特网之间的唯一连接)就是这样一个阻塞点。计算机安全技术 网络安全9.2 网络安全策略9.2.4 最薄弱环节安全保护的基本原则是链的强度取决于它的最薄弱环节,就像墙的坚固程度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精力对其进行攻击。你应意识到防御措施中的弱点,以便采取行动消除它们,同时你也可以仔细监测那些无法消除的缺陷。平等对待安全系统的所有情况,以使得此处与彼处的危险性不会有太大的差异。9.2.5 失效保护状
7、态安全保护的另一个基本原则就是在某种程度上做到失效保护,即如果系统运行错误,那么它们会停止服务,拒绝用户访问,这可能会导致合法用户无法访问该系统,但这是可接受的折衷方法。计算机安全技术 网络安全9.2 网络安全策略9.2.6 普遍参与 为了使安全机制更有效,绝大部分安全保护系统要求网络用户的普遍参与。如果某个用户可以轻易地从你的安全保护机制中退出,那么侵袭者很有可能会先侵袭内部人员系统,然后再从内部侵袭你的网络。9.2.7防御多样化正如你可以通过使用大量的系统提供纵深防御一样,你也可以通过使用大量不同类型的系统得到额外的安全保护。如果你的系统都相同,那么只要知道怎样侵入一个系统就会知道怎样侵入
8、所有系统。计算机安全技术 网络安全9.2 网络安全策略9.2.8简单化简 单 化 也 是 一 个 安 全 保 护 战 略,这 有 两 个 原 因:第 一,简 单 的 事 情 易 于 理 解,如 果 你 不 了 解 某 事,你 就 不 能 真 正了 解 它 是 否 安 全;第 二,复 杂 化 会 提 供 隐 藏 的 角 落 和 缝 隙,一间工作室比一拣大厦更容易保证其安全性。复杂程序有更多的小毛病,任何小毛病都可能引发安全问题。计算机安全技术 网络安全9.3防火墙的作用与设计 9.3.1 防火墙的作用Internet 的迅速发展为人们发布和检索信息提供了方便,但它也使污染和破坏信息变得更容易。人
9、们为了保护数据和资源的安全,创建了防火墙。防火墙从本质上来说是一种保护装置,用来保护网络数据、资源和用户的声誉。防火墙服务用于多个目的:限定人们从一个特别的节点进入。防止入侵者接近你的防御设施。限定人们从一个特别的节点离开。有效的阻止破坏者对你的计算机系统进行破坏。计算机安全技术 网络安全9.3防火墙的作用与设计从 逻 辑 上 讲,防 火 墙 是 分 离 器、限 制 器 和 分 析 器;从物 理 角 度 看,各 个 防 火 墙 的 物 理 实 现 方 式 可 以 有 所 不 同,它 通 常 是 一 组 硬 件 设 备(路 由 器、主 机)和 软 件 的 多 种 组合。防火墙的优点:(1)防火墙
10、能强化安全策略(2)防火墙能有效地记录因特网上的活动(3)防火墙可以实现网段控制(4)防火墙是一个安全策略的检查站 防火墙的缺点:(1)防火墙不能防范恶意的知情者(2)防火墙不能防范不通过它的连接计算机安全技术 网络安全9.3防火墙的作用与设计(3)防火墙不能防备全部的威胁(4)防火墙不能防范病毒 防火墙要检测随机数据中的病毒十分困难,它要求:确认数据包是程序的一部分 确定程序的功能 确定病毒引起的改变 9.3.2防火墙的功能防火墙通常具有以下几种功能:数据包过滤 代理服务 计算机安全技术 网络安全9.3防火墙的作用与设计1数据包过滤数据包过滤系统在内部网络与外部主机之间发送数据包,但它们发送
11、的数据包是有选择的。它们按照自己的安全策略允许或阻止某些类型的数据包通过,这种控制由路由器来完成,所以数据包过滤系统通常也称之为屏蔽路由器。普通路由器只是简单地查看每一个数据包的目标地址,然后选择发往目标地址的最佳路径。处理数据包目标地址的方法一般有两种:如 果 路 由 器 知 道 如 何 将 数 据 包 发 送 到 目 标 地 址,则发送。如 果 路 由 器 不 知 道 如 何 将 数 据 包 发 送 到 目 标 地 址,则返回数据包,经由ICMP 向源地址发送不能到达的消息。计算机安全技术 网络安全9.3防火墙的作用与设计屏蔽路由器有以下特点:屏 蔽 路 由 器 比 普 通 的 路 由 器
12、 担 负 更 大 的 责 任,它 不但要执行转发任务,还要执行确定转发的任务。如 果 屏 蔽 路 由 器 的 安 全 保 护 失 败,内 部 的 网 络 将 被暴露。简单的屏蔽路由器不能修改任务。屏 蔽 路 由 器 能 允 许 或 拒 绝 服 务,但 它 不 能 保 护 服 务之 内 的 单 独 操 作。如 果 一 个 服 务 没 有 提 供 安 全 的 操 作,或者 这 个 服 务 由 不 安 全 的 服 务 器 提 供,那 么 屏 蔽 路 由 器 就 不能保证它的安全。计算机安全技术 网络安全9.3防火墙的作用与设计2代理服务代 理 服 务 是 运 行 在 防 火 墙 主 机 上 的 专
13、门 的 应 用 程 序(服 务 器 程 序)。防 火 墙 主 机 可 以 是 一 个 同 时 拥 有 内 部 网络 接 口 和 外 部 网 络 接 口 的 双 重 宿 主 主 机,也 可 以 是 一 些 内部网络中唯一可以与因特网通信的堡垒主机。代 理 服 务 程 序 接 受 用 户 对 因 特 网 服 务 的 请 求,并 按 照安 全 策 略 转 发 它 们 的 请 求。所 谓 代 理 就 是 一 个 提 供 替 代 连接 并 且 充 当 服 务 的 网 关。由 于 这 个 原 因,代 理 也 称 之 为 应用级网关。代 理 服 务 位 于 内 部 用 户 和 外 部 服 务 之 间,它 在
14、 幕 后 处理 所 有 用 户 和 因 特 网 服 务 之 间 的 通 信,以 代 替 它 们 之 间 的直接交谈。计算机安全技术 网络安全9.3防火墙的作用与设计9.3.3防火墙的体系结构防火墙的体系结构一般有以下几种 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构1双重宿主主机体系结构双 重 宿 主 主 机 体 系 结 构 是 具 有 双 重 宿 主 功 能 的 主 机 而构 筑 的。该 计 算 机 至 少 有 两 个 网 络 接 口,一 个 是 内 部 网 络接口,一个是因特网接口。计算机安全技术 网络安全9.3防火墙的作用与设计2屏蔽主机体系结构双重宿主主机体系结构提供内部网
15、络和外部网络之间的服务(但是路由关闭),屏蔽主机体系结构使用一个单独的路由器来提供内部网络主机之间的服务。在这种体系结构中,主要的安全机制由数据包过滤系统来提供。3屏蔽子网体系结构屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层,它通过添加周边网络把内部网络更进一步地与因特网隔离开。周边网络 堡垒主机 内部路由器 外部路由器 计算机安全技术 网络安全9.3防火墙的作用与设计4防火墙体系结构的不同形式 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 计算
16、机安全技术 网络安全9.3防火墙的作用与设计9.3.4内部防火墙 实验室网络 不安全的网络 特别安全的网络 合作共建防火墙 共享周边网络 堡垒主机可有可无 计算机安全技术 网络安全9.3防火墙的作用与设计9.3.5发展趋势被称为“第三代防火墙”的系统正在成为现实,它综合了数据包过滤与代理系统的特点与功能。目前,人们正在设计新的IP 协议(也被称为IP version 6)。IP 协议的变化将对防火墙的建立与运行产生深刻的影响,大多数网络上的信息流都有可能被泄漏,但新式的网络技术如帧中继、异步传输模式(ATM)可将数据包从源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。计算机安全技术
17、网络安全本 节 讨 论 有 关WWW 方 面 的 安 全 性 问 题,包 括 以 下 几方面的内容:*HTTP 协议*SSL 加密和安全HTTP*WWW 服务器及配置问题*JA V A applet 和 JavaScript*CGI 程序*Perl 语言*Plug-in*ActiveX*Cookie计算机安全技术 网络安全9.4.1 Web 与 HTTP 协议 HTTP 是应用级的协议,主要用于分布式、协作的超媒体信息系统。HTTP 协议是通用的、无状态的,其系统建设与传输的数据无关。HTTP 也是面向对象的协议,可用于各种任务,包括(并不局限于)名字服务、分布式对象管理、请求方法的扩展和命令
18、等等。1Web 的访问控制 2HTTP 安全考虑 3安全超文本传输协议 4安全套接层 5缓存的安全性 计算机安全技术 网络安全9.4.2 WWW 服务器的安全漏洞 1NCSA 服务器的安全漏洞 2Apache WWW 月务器的安全问题 3NetscaPe 的WWW 服务器的安全问题 9.4.3 CGI 程序的安全性问题 1CGI 程序的编写应注意的问题 2CGI 脚本的激活方式 3不要依赖于隐藏变量的值 4WWW 客户应注意的问题 5使用Perl 的感染检查 计算机安全技术 网络安全6CGI 的权限问题 7Plug-in 的安全性 9.4.5 SSL 的加密的安全性 SSL 用公共密钥加密,来
19、在客户与服务器之间交换一个进程密钥,这个密钥用来加密HTTP 传输过程(包括请求和响应)。每次传输采用不同的密钥,因而即使某些人能够破译某次传输,并不意味着他们发现了服务器的密码,如果他们想要破译下一次,他们就必须付出像第一次那样的时间和努力。计算机安全技术 网络安全9.4.6 Java 与JavaScript 1Java applet 的安全性问题 2JavaScript 的安全性问题 9.4.7 ActiveX 的安全性 ActiveX 是Microsoft 公司开发的用来在Internet 上分发软件的技术。像Java applet 一样,Active 的控件能结合进Web 页中,典型的
20、表现是一个漂亮的可交互的图形。有许多为 Microsoft Internet ExPlorer(目前唯一支持它们的浏览器)而做的是ActiveX 控件,包括滚动的字幕、背景声发生器和执行Java applet 的ActiveX 控件。不像Java 那样是独立于平台的编程语言,ActiveX 控件是以可执行的二进制码分发的,必须为各种目标机器和操作系统分别编译。计算机安全技术 网络安全9.4.8 Cookies 的安全性 Cookie 是Netscape 公司开发的一种机制,用来改善HTTP 协议的无状态性。通常,每次浏览器从Web 服务器请求网页的URL时,这个请求都被认为是一次全新的交互。这个请求可能是用户有顺序地浏览节点中的最后一个请求,这样的事实被丢失了。尽管这使得Web 更有效率,无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很困难。Cookie 解决了这个问题。Cookie 是一段很小的信息,通常只有一个短短的章节标记那么大。它是在浏览器第一次连接时由HTTP 服务器送到浏览器的。那以后,浏览器每次连接都把这个Cookie 的一个拷贝返回给服务器。一般地服务器用这个Cookie 来记住用户和维护一个跨多个页的过程影像。计算机安全技术 网络安全演讲完毕,谢谢观看!