第8章 局域网安全与管理.pptVIP

局域网组网技术 第8章 局域网安全与管理 8.1网络安全概述 8.2 网络安全技术 8.3 局域网安全隐患及措施 8.4 局域网管理工具 本章小结 8.1网络安全概述 伴随着全球经济高速发展的浪潮，以Internet为代表的全球性信息化也在逐日升温，计算机以及信息网络技术的应用正日益普及和广泛，伴随网络的日益普及，网络安全成为影响网络效能的重要问题。如何使网络信息系统不受黑客和工业间谍等外部威胁的入侵，已成为保障信息化健康发展所要考虑的重要事情之一。 8.1.1 什么是网络安全 网络环境里的安全指的是一种能够识别和消除不安全因素的能力。网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可能正常运行、网络服务不中断。 网络安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 8.1.2 安全威胁 一般认为，目前网络存在的威胁主要表现在： 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 8.1.2 安全威胁 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。 8.1.2 安全威胁 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。 8.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即： 威严的法律 先进的技术 严格的管理 8.1.4 安全工作目的 安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成以下任务： 使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性。 使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性。 8.1.4 安全工作目的 使用加密机制，确保信息不暴露给未授权的实体或进程，即“看不懂”，从而实现信息的必威体育官网网址性。 使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”，从而确保信息的完整性。 使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。 8.2 网络安全技术 8.2.1 防火墙技术 目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关代理服务器以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 8.2.1 防火墙技术 防火墙的技术实现通常是基于所谓“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向、数据包协议以及服务请求的类型等。 除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。 8.2.1 防火墙技术 防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 8.2.2 入侵检测技术 入侵检测技术的研究最早可追溯到James Aderson在1980年的工作，他首先提出了入侵检测的概念。 1987年Dorothy E Denning提出入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比，IDS是全新的计算机安全措施。