计算机网络安全及管理技术.pptVIP

第七章：计算机网络安全及管理技术 ??? 本章将介绍计算机网络安全、防火墙的概念以及网络管理的协议和功能；重点讲述网络防火墙技术和网络管理技术。 7.l 计算机网络安全和防火墙技术 随着计算机网络技术的发展，网络的安全和可靠成为不同使用层次的用户共同关心的问题。人们都在希望自己的网络能够更加可靠地运行，不受外来入侵者的干扰和破坏。 解决好网络的安全和可靠性，是保证网络正常运行的前提和保障。下面分别介绍网络的安全与可靠性。 7.1.l 网络系统安全技术 由于计算机网络具有面向众多用户的性质，自然地引人了各种必须关注的潜在安全问题。 网络系统的安全是每个网络策划者和管理者应首先关注的重点。 本节介绍计算机网络安全的一些要求和措施。 一、计算机安全基础 国际标准化组织曾建议计算机安全的定义为：“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。” 为了帮助计算机用户区分和解决计算机网络安全问题，美国国防部公布了“桔皮书”（orange book，正式名为“可信计算机系统标准评估准则”），对多用户计算机系统安全级别的划分进行了规定。 桔皮书将计算机安全由低到高分为四类七级： D1、C1、C2、B1、B2、B3、A1。 知道这些分类可以了解在一些系统中固有的各种安全风险，并能洞悉如何减少或排除这些风险。 D1级：计算机安全的最低一级。不要求用户进行用户登录和密码保护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵袭。 D1级的计算机系统包括：MS-DOS， MS-Windows3.X/Windows 95，APPLE的SYSTEM7.X。 C1级：自主安全保护级。要求硬件有一定的安全级（如计算机带锁），用户必须通过登录认证方可使用系统，并建立了访问许可权限机制。但C1级不能控制进人系统的用户的访问级别，用户可以直接访问操作系统的根。 常见的C1级的计算机系统包括：早期的UNIX， XENIX，Novell 3.X。 C2级，受控存取保护级。比C1级增加了几个特性：引进了受控访问环境（用户权限级别），进一步限制了用户执行某些系统指令；授权分级使系统管理员给用户分组，授予他们访问某些程序的权限或访问分级目录，数据访问控制为目录级；采用系统审计，跟踪记录所有安全事件及系统管理员的 工作。 C2级的常见计算机系统包括：UNIX， XENIX， Novell 3.X以上版本，Window NT。 B1级，标记安全保护级。对网络上的每一个对象都实施保护；支持多级安全，对网络、应用程序工作站实施不同的安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。 B1级计算机系统的主要拥有者是政府机构和防御承包商。 B2级，结构化保护级。对网络和计算机系统中所有对象都加以定义，给一个固定标签；为工作站、终端、磁盘驱动器等设备分配不同的安全级别；按照最小特权原则取消权力无限大的特权用户，任何一个人都不能享有操纵和管理计算机的全部权力。 B3级，安全域级。要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储区；根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责隔离，将人为因素对计算机安全的威胁减至最小。 A1级，验证设计级，桔皮书中的最高安全级。包括了以上各安全级别的所有措施，并附加了一个安全系统的受监视设计，合格的个体必须经过分析并通过这一设计；所有构成系统的部件的来源都必须有安全保证；还规定了将安全计算机系统运送到现场安装所必须遵守的程序。 小结：D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求， B3和Al属于最高安全等级，其成本增加很多，只有极其重要的应用才需要使用这种安全等级的系统 二、网络安全控制措施 网络规划者应对可能遇到的危险进行评估，在网络设计和运行时考虑相应的安全措施。 网络安全控制措施主要应从物理安全、访问控制、传输安全，三个方面来考虑。 1. 物理安全 物理安全可以分为两个方面，一是人为对网络的损害，另一个是网络对使用者的危害。最常见的是施工人员由于不了解地下电缆的位置，因而弄断网络电缆，这种情况可以通过立牌标明电缆位置的措施加以防范。未采用结构化布线的网络经常会出现使用者对电缆的损坏，如无意中碰断或碰坏电缆，从而造成网络通讯故障，因此，尽量采用结构化布线来安装网络。 另外，人为的偷窃、故意破坏，小动物（鼠类、虫类等）的破坏，自然灾害（洪水、火灾等）的影响，都会对网络造成威胁，在规划一个网络时都要加以考虑。 网络对使用者的危害在于电缆的电击、高频信号的辐射等。所以，网络的绝缘、接地和屏蔽工作都要做好。 2.