网络安全资料.doc

网络安全相关资料 网络安全的定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断. 全方位的安全体系与其它安全体系（如保安系统）类似，企业应用系统的安全体系应包含： 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。 攻击监控：通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等). 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。 认证：良好的认证体系可防止攻击者假冒合法用户. 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 多层防御,攻击者在突破第一道防线后，延缓或阻断其到达攻击目标. 隐藏内部信息，使攻击者不能了解系统内的基本情况。 设立安全监控中心,为信息系统提供安全体系管理、监控，渠护及紧急情况服务。 主要类型: 网络安全由于不同的环境和应用而产生了不同的类型。主要有以下几种： 系统安全 运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失.避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰. 网络的安全 网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩.计算机病毒防治，数据加密等。 信息传播安全 网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控. 信息内容安全 网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏润进行窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私. 网络安全威胁主要包括两类： 渗入威胁和植入威胁.渗入威胁主要有：假冒、旁路控制、授权侵犯； 植入威胁主要有：特洛伊木马、陷门。 陷门：将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时，允许安全策略被违反. 目前我国网络安全存在几大隐患：影响网络安全性的因素主要有以下几个方面。 一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技 术。 “防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起 一个安全网关，从而保护内部网免受非法用户的侵入。 能够完成“防火墙”工作的可以是简单的隐蔽路由器,这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信，起到一定的过滤作用. 由于隐蔽路由器仅仅是对路由器的参数做些修改，因而也有人不把它归入“防火墙”一级的措施。 真正意义的“防火墙”有两类，一类被称为标准“防火墙”；一类叫双家网关。标准”防火墙”系统包括一个Unix工作站，该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网.标准“防火墙”使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙"的扩充。双家网关又称堡垒主机或应用层网关,它是一个单个的系统，但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然. 安全技术手段 物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。 访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证,对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等等。 数据加密:加密是保护数据安全的重要手段.加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。 网络隔离:网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的. 隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。 主机物理安全 服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。 如果你的服务器只能放在开放式机架的机房，那么你可以这样做： （1)将电源用胶带绑定在插槽上，这样避免别人无意中碰动你的电源； （2)安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后,普通的键盘和鼠标接上去以后不会起作用（USB鼠标键盘除外) 安全隐患 1、 Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。 2、 Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。 3、 Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。 5、电子邮件存在着被拆看、误投和伪造的可能性.使用电子邮件来传输重要机密信息会存在着很大的危险。 6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。 攻击形式 主要有四种方式中断、截获、修改和伪造。 中断是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。 截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问. 修改是以完整性作为攻击目标,非授权用户不仅获得访问而且对数据进行修改。 伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中. 网络安全的解决方案 1.入侵检测系统部署 入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图,并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库,使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件,作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警,使得学校管理员能够及时采取应对措施。 2。漏洞扫描系统 采用最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 3。网络版杀毒产品部署 在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。