《网络信息安全》_9755.pptVIP

《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 第3章 局域网安全技术及应用 主要内容： 局域网的特点及安全性分析 VLAN安全技术及应用 VPN安全技术及应用 3.1 局域网安全问题 据FBI和CSI对484家公司调查，发现企业的信息安全最大的隐患在企业内部，而不是黑客攻击等外部手段泄漏企业的机要信息，详细数据见下图 3.1 局域网及其安全特性 1．局域网简介 2．局域网安全特性 1．局域网简介 局域网（Local Area Network, LAN），是处于同一建筑、同一机构或方圆几公里地域内的专用网络。 局部地区范围内的网络，它所覆盖的地区范围较小，所涉及的地理距离上可以是几米至几千米。局域网一般位于一个建筑物或一个单位内，不存在寻径问题，不包括网络层的应用。 局域网在计算机数量配置上没有太多的限制，少的可以只有两台，多的可达几百台。一般来说，在企业局域网中，工作站的数量在几十到几百台之间。 局域网常被用于连接公司办公室或工厂里的个人计算机和工作站，以便共享资源（如打印机）和交换信息。 1．局域网简介 局域网的基本类型 令牌环：环型网络，传输速率为4Mb/s或16Mb/s。最早由IBM推出，网络中拥有“令牌”的设备允许在网络中传输数据。 以太网：总线型网络，连接在总线上的设备通过监查总线上传送的信息来检查发给自己的数据。当两个设备想在同一时间内发送数据时会发生碰撞，采用载波侦听多重访问/碰撞监测(CSMA/CD)协议可以避免碰撞 10Base-T以太网：采用星型物理拓扑结构(逻辑上还是总线型拓扑，CSMA/CD竞争技术)，采用非屏蔽双绞线，传输速率为10Mb/s 1．局域网简介 100Base-T：快速以太网是传统10M以太网技术的扩展，速率为传统以太网的10倍，使用光纤时传输距离可达2Km。 1000Base-T：千兆以太网是IEEE802.3以太网标准的扩展，传输速率为1Gb/s，能把10Mb/s以太网和100Mb/s快速以太网连接起来，往往作为超高速主干网。 ATM(Asynchronous Transfer Mode)：异步传输模式是将信息划分为48个字节的固定长度(称为信元)，再加上控制信息进行发送的信息复用和交换技术 2．局域网安全特性 TCP/IP协议自身缺陷出现了问题 （1）数据容易被窃听和截取 （2）IP地址欺骗（IP Spoofing） （3）缺乏足够的安全策略 （4）局域网配置的复杂性 使用交换机、路由器划分成子网 2．局域网安全特性 来自内部的危害 操作失误：用户不经意获得了不应该拥有的权限，虽然没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。 存心捣乱：在职员工或已辞职员工蓄意破坏，如利用企业内部安全漏洞设立木马以获得访问权，造成破坏；管理者对用户和用户组权限管理不善，导致员工离开后仍能访问公司系统，造成破坏。 用户无知：对高度重视存储空间和工作效率的公司来说，由于员工无知下载大量视频文件使服务器不堪重负，引起安全漏洞。 2．局域网安全特性 要求： 普通用户：不要随便浏览网站、收发邮件、下载软件等；保护好自己的口令；认真进行安全信息处理 系统管理员：对外界访问高度警惕；检查安全漏洞；随时进行病毒检查；建立身份鉴别 网络信息主管：对每个在信息岗位上的员工都要充分信任，但决不能让只有靠某个员工才能完成的工作存在；要有一定的时间去了解你的系统管理员；考虑对信息加密的原则；定期评估对网络信息构成威胁的大小和可能性，以此提出改进建议 组织管理因素 组织建设、制度建设、人员意识 局域网常用安全技术 3.2 访问控制技术 3.3 VLAN安全技术及应用 3.4 VPN安全技术及应用 3.5 备份技术 3.6 归档技术 3.7 容错技术 3.2 访问控制技术 基本概念 访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 主要任务是保护网络资源不被非法使用和访问。 采用最小特权原则，即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给与用户工作范围之外的任何权限。 3.2 访问控制技术 访问控制机制 访问控制涉及的技术主要有：入网访问控制、网络权限控制、目录级控制以及属性控制等 入网访问控制 提供第一层访问控制。 控制哪些用户可以进入网络并获得网络资源； 控制准许用户的入网时间 控制通过哪台工作站进入网络 三个步骤 用户名的识别与验证 用户口令的识别与验证 系统管理员可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数 用户帐号的缺省限制