目录
一、写在前面
·系列内文章:第一章网络基础知识与因特网复习
·所用书籍:计算机网络安全基础 第五版 袁津生 吴砚农 主编
·所用整理思维导图网页:百度脑图
·课后习题答案:人邮教育官方连接
二、思维导图
三、思维导图大纲
(以防图片太小和便于查找)
第二章 网络安全概述
网络安全基本知识
网络安全的定义
运行系统安全
网络上系统信息的安全 口令
网络上信息传播的安全 链路
网络上信息内容的安全
网络安全的特征
保密性 信息不泄露给非授权用户
完整性 信息在存储和传输中未被修改
可用性 网站可以正常使用 拒绝服务 破坏网络 不能正常运行是对可用性攻击
可控性 对信息的传播及内容具有控制能力
网络安全的威胁
非授权访问
信息泄露
拒绝服务
天灾人祸 需提供一个合适的物理安全等级
网络安全思维关键技术
主机安全技术
身份认证技术
访问控制技术
密码技术
防火墙技术
安全审计技术
安全管理技术
网络安全策略
网络用户的安全责任
系统管理员的安全责任
检测到安全问题时的对策
先进的网络安全
严格的安全管理
制定严格的法律、法规
威胁网络安全的因素
威胁网络安全的因素
黑客的攻击 计算机病毒 拒绝服务攻击
黑客 系统化和组织化 利用Unix操作系统提供的Telnet Daemon FTP daemon和REmote Exec Daemon等默认账户进行攻击
采用Unix操作系统提供的命令 Finger Rusers收集的信息不断提高自己的攻击能力
利用Sendmail采用Debug、Wizard 、Pipe、假名及Ident Damon进行攻击
利用FTP 采用无口令访问进行攻击
利用NFS进行攻击
通过Windows NT的135端口进行攻击
通过Rshwith host、Equiv+、Rlogin、Rex Daemon以及X window进行攻击
威胁的类型
非授权访问
假冒合法用户
破坏数据完整性
干扰系统的正常运行 改变系统正常运行的方向以及延时系统的相应时间
病毒破坏
通信线路被窃听
操作系统的脆弱性
操作系统的程序是动态连接的
I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接
黑客也可以通过打补丁来制作计算机病毒
操作系统支持的程序动态连接与数据动态交换是现实系统集成和系统扩展的必备功能
操作系统可以创建进程,被创建的进程也可以有创建进程的权限 间谍软件
Unix与Windows中的Daemon软件是系统进程,具有与操作系统核心层软件同等的权力 被黑客利用
远程过程调用RPC及它所安排的无口令入口被黑客利用
计算机系统的脆弱性
来自操作系统的不安全性
计算机安全级别 D级 DOS Windows98 一般的桌面计算机
C2级别 Unix操作系统和Windows 2003 Server 服务器 有超级用户也是不安全
root Unix
Administrator Windows2003 Server
静态口令 口令也有可能被窃取破解
通信协议的不安全性
硬件故障问题
协议安全的脆弱性
TCP/IP FTP E-mail NFS存在漏洞
Robert Morries在VAX机上用C编写了一个GUESS软件来根据用户名的搜索猜测机器密码口令
黑客采用Sock TCP预测或远程访问RPC进行直接扫描等方法对防护墙进行攻击
各种外部威胁
物理威胁
偷窃
废物搜寻
间谍活动
网络威胁
电子窃听
分布式计算机 广播式
把网卡设置成混合模式
加密来解决
在拨号入网通过调制解调器存在安全漏洞侵入用户网络之中
冒名顶替
身份鉴别
口令圈套窃取口令
用密码字典或其他工具软件来破解口令
编制程序
病毒 自我复制的代码
通过下载的软件、Java Applet程序、Active X程序和电子邮件等进入用户的系统
系统漏洞
陷阱 操作系统开发者有意设置 VMS操作系统中隐藏了一个维护账号和口令 BIOS万能密码
BSD TCP/IP 一些以“r”开头的应用程序 如rlogin、rsh Web服务器的Includes功能也存在漏洞
漏洞多源于代码,人们会用这些代码测试系统的安全性
防范措施
用备份和镜像技术提高数据完整性
防范病毒
安装补丁程序
提高物理安全
构筑因特网防火墙
不能防范内部攻击
不能防止恶意代码:病毒和特洛伊木马
仔细阅读日志
加密
提防虚假安全
网络安全分类
计算机安全
实体安全 机房
网络与信息安全 网络
应用安全 程序
网络信息安全
基本安全类
访问控制
授权
认证
加密
内容安全
管理与记账类
安全策略的管理
实时监控
报警
企业范围内的集中管理与记账
网络互连设备安全类
路由安全管理
远程访问服务器安全管理
通信服务器安全管理
交换机安全管理
连接控制
负载均衡
可靠性
流量管理
网络安全解决方案
网络信息安全模型
政策、法律、法规
增强的用户认证
授权
加密
审计与监控
安全策略设计依据
网络安全解决方案
信息包筛选
常驻于路由器或专用主计算机系统(两个网络之间)
不能检查源端口,效率不高
网络的全部信息必须通过一个通信点(扼流点)
筛选过程可以在很多情况下进行,与数据来自何处无关
防止地址欺骗
可能出现筛选规则相互矛盾
缺点:不能保留有关已通过的信息包的详细信息
应用中继器
安装在最终主机和网卡主机上
堡垒主机 非军事区
不转发内部网络中的IP信息包,全部发出的信息包都有应用中继器的地址,隐藏拓扑结构
没有复杂的规矩集交互作用需要操作
主机上的安全漏洞不会暴露出来
缺点:每一种应用编写软件对于最终用户是不透明的,软件数量up,速度down,越来越复杂
保密和确认
防止窃听
接收者保证发送者是该信息的拥有者
网络安全性措施
内容
健全法律法规
技术方面的措施
审计和管理措施
方法
修补系统漏洞
病毒检查
加密
执行身份鉴别
防火墙
捕抓闯入者
直接安全(人员实现)
空闲机器守则(人员实现)
废品处理守则(人员实现)
口令守则(人员实现)
因特网安全管理
分布式互联网网络系统
因解决的安全问题
对因特网的安全管理措施
因特网安全保密遵循的基本准则
决定安全的策略
用新技术补充相应的安全策略
构建企业内部网络 防护墙 ip地址分配使用双轨制
完善管理功能
加大安全技术的开发力度
网络安全的评估(可以请第三方网络评估的中介机构或有关专家)
网络安全风险管理及评估
网络安全风险管理
确定风险管理的范围和边界
建立安全风险管理方针
建立风险评价准则
实施风险评估
风险分析
风险评价
人为因素
恶意
非恶意
环境因素
自然界不可抗因素
其他物理因素
脆弱性识别
技术
管理
处置方式和优先级
风险处理
网络安全风险评估
网络安全风险评估关键技术
网络漏洞扫描1:扫描网络端口,对比原有安全漏洞数据库推测漏洞
网络漏洞扫描2:采用黑客方式对网络进行攻击,攻击有效下得出漏洞信息
建立网络安全风险评估指标体系
识别网络系统风险评估的流程
识别威胁和判断威胁发生的概率
测量风险
风险分析结果
定量法
定性法
网络安全工程
安全检测和评估
制定安全目标
网络安全实施
传输安全
网络安全
系统安全
防攻击系统
防病毒系统
信息安全
建立CA系统 非对称密钥的加密方式
建立一套主机防护系统
控制访问文件
保护注册表
防止计算机被非法用户访问
建立统一的安全管理系统
人员培训
四、第二章习题参考答案
1.网络安全的含义是什么?
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的原因而遭到破坏、更改和泄漏,系统连续、可靠、正常的运行,网络服务不中断。
2.网络安全有哪些特征?
保密性、完整性、可用性和可控性。
3.什么是网络安全的最大威胁?
网络安全主要面临的安全威胁有:非授权访问、信息泄露、拒绝服务
4.网络安全主要有哪些关键技术?
主机安全技术;身份认证技术;访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术。
5.如何实施网络安全的安全策略?
实施安全策略要注意几个问题:
全局政策不要过于繁琐,不能只是一个决定或者方针;安全政策一定要真正执行;策略的实施不仅仅是管理人员的事,而且也是技术人员的事。
安全策略应包括如下内容:
网络用户的安全责任;系统管理员的安全责任;正确利用网络资源,规定谁可以使用网络资源;检测到安全问题时的对策。
6.如何理解协议安全的脆弱性?
计算机网络系统普遍使用的TCP/IP以及FTP、E-mail,NFS等都包含着许多影响网络安全的因素,存在许多漏洞。
7.数据库管理系统有哪些不安全因素?
主要从物理安全、网络安全、管理安全等方面进行论述。
8.解释网络信息安全模型。
网络信息安全模型中,政策、法律、法规是基石,它是建立安全管理的标准和方法;第二部分是增强的用户认证,主要目的是提供访问控制。用户认证的方法主要有用户持有的证件、用户知道的信息、用户特有的特征。第三部分是授权,主要是为特许用户提供合适的访问权限,并监控用户的活动,时期不越权使用。之后是加密,加密主要满足认证、一致性、隐秘性、不可抵赖的需求。模型的顶部是审计与监控,这是最后一道防线,包括数据的备份。
9.对因特网进行安全管理需要哪些措施?
安全管理的目的是利用各种措施来支持安全政策的实施,需从安全立法、加强管理和发展安全技术着手。
10.简述信息包筛选的工作原理。
略。
扫一扫
4206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
