第五章网络安全设计.pptVIP

网络工程设计与实施 第五章 网络安全设计 本章要点 网络安全方案的设计原则与流程 网络安全系统的内容 防火墙系统的设计与选购 防病毒系统的设计与选购 5.1 网络安全基础 IT 系统运维面临的问题 导致这些问题的原因是什么？ 病毒泛滥：计算机病毒的感染率比例非常高，高达89.73% 软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天 黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。 移动用户越来越多：网络用户往往跨越多个工作区域 安全的目的 5.1.1 网络安全的定义 网络安全从其本质上来讲就是网络上的信息安全。它涉及到的领域相当广，目前都没有公认的标准定义。一般认为，网络安全是指利用网络管理控制和技术措施，保证在网络环境里信息数据的机密性、完整性及可使用性受到保护。网络安全主要是要确保经网络传送的信息，在到达目的站时没有任何增加、改变、丢失或被非法读取。 网络安全在不同的环境和应用中解释 运行系统安全，即保证信息处理和传输系统的安全。 网络上系统信息的安全，包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 网络上信息内容的安全，即常见的狭义的“信息安全”，它侧重于保护信息的必威体育官网网址性、真实性和完整性。 网络上信息传播的安全，即信息传播后的安全，包括信息过滤等。 5.1.2 影响网络安全的隐患 1.网络窃听（数据包嗅探器） 最普遍的安全威胁来自内部，同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大，很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性，使得其具有很强的隐蔽性，往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析，或者深入了解帧以检查单个的 ip 数据包。嗅探器以混合模式运行，即它们侦听物理线路上的每个数据包。 2.完整性破坏 完整性破坏是指在公共网络上传输的数据存在着被篡改的可能。如在Internet上传输的电子邮件，中间会经过多个邮件转发器（Exchanger），完全可能在某一点被截获后进行分析，Hacker用假信息替换其中所包含的真信息，再发送给接收着。由于邮件传输采用的是无连接的UDP协议，所以Hacker完全可以做得天衣无缝。在电子商务交易中，黑客可以伪造虚假的订单，虚假的支付人信息以及虚假的收货人地址等，会带来更大的危害。 3.IP地址欺骗 ip 欺骗是指对 ip 数据包的源地址进行更改以隐藏发送方的身份。因为 internet 中的路由操作只使用目标地址将数据包发送到它的路径上，而会忽略源地址，所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包，而您不了解它来自何处。欺骗不一定具有破坏性，但是它表明入侵随时会出现。该地址可能位于您的网络之外（来隐藏入侵者的身份），也可能是一个具有特许权限的受信任内部地址。 4.拒绝服务攻击 拒绝服务攻击是最难阻止的攻击，这些攻击与其他类型的攻击不同，因为它们不会对网络产生永久性破坏，而是通过对某个特定的计算机或者网络设备发起攻击，或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度，从而停止网络的运行。拒绝服务攻击利用tcp/ip协议的缺陷，有些dos攻击是消耗带宽，有些是消耗网络设备的cpu和内存。 5.计算机病毒 传统病毒只是要破坏它们感染的设备，但是现代的病毒通常会通过Internet上进行传播,复制并破坏其他计算机。现在的网络病毒具有明显的功利性，不再是显耀技术。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序，特洛伊木马程序可能不会进行任何直接的损坏，但是会将用户的信息从它安装的电脑上通过Internet发送到黑客那里，然后这个黑客了解它正在运行什么软件以及哪些位置易于攻击，就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行帐户信息、股票帐户信息、qq信息、游戏帐户信息、重要商业秘密等，进而进行实际的盗窃活动，造成客户严重的资金损失。 6.系统漏洞（应用程序层攻击） 应用程序层攻击通常是最引人注意的攻击，通常利用应用程序（如 web 服务器和数据库服务器）中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问，这些用户是未知的并且不可信任，尤其对于 web 服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的，因此最好的防护是安装软件生产商提供的必威体育精装版更新。 5.1.3 常用的安全防范技术 1.身份证技术 网络身份认证技术是网络安