第七章网络安全管理.ppt
《第七章网络安全管理.ppt》由会员分享,可在线阅读,更多相关《第七章网络安全管理.ppt(66页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第七章 网络安全管理,第 七 章 网络安全管理,NEXT,7.1 网络安全概述 7.2 常见的网络黑客攻击技术 7.3 主要的网络安全技术,第 七 章 网络安全管理,7.1.1 网络安全的定义和评估,NEXT,7.1 网络安全概述,7.1.2 网络安全的主要威胁,7.1.3 网络安全保障体系,7.1.4 我国网络安全的主要问题,7.1.5 网络安全策略,7.1 网络安全概述,7.1.1 网络安全的定义和评估,NEXT,1.网络安全的定义 计算机网络安全是指网络系统中硬件、软件和各种数据的安全,有效防止各种资源不被有意或无意地破坏、被非法使用。,7.1.1 网络安全的定义和评估,网络安全管理的目
2、标是保证网络中的信息安全,整个系统应能满足以下要求: 保证数据的完整性 保证系统的保密 保证数据的可获性 信息的不可抵赖性 信息的可信任性,NEXT,7.1.1 网络安全的定义和评估,NEXT,2 网络安全的评估,美国国防部制订了“可信计算机系统标准评估准则”(习惯称为“桔黄皮书”),将多用户计算机系统的安全级别从低到高划分为四类七级,即D1C1C2B1B2B3A1。 我国的计算机信息系统安全保护等级划分准则(GB 17859-1999)中规定了计算机系统安全保护能力的五个等级.,7.1.2 网络安全的主要威胁,1威胁数据完整性的主要因素,(1)人员因素 (2)灾难因素 (3)逻辑问题 (4)
3、硬件故障 (5)网络故障,NEXT,7.1.2 网络安全的主要威胁,2威胁数据保密性的主要因素,(1)直接威胁(2)线缆连接(3)身份鉴别(4)编程(5)系统漏洞,NEXT,7.1.3 网络安全保障体系,安全保障系统由物理安全、网络安全、信息安全几个方面组成。,NEXT,7.1.3 网络安全保障体系,1、物理安全,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面: 环境安全 设备安全 媒体安全,NEXT,7.1.3 网络安全保障体系,2、网络安全,网络安全包括系统(主机、服务器)安全、反病毒
4、、系统安全检测、入侵检测(监控)、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制(防火墙)、网络安全检测等。,NEXT,7.1.3 网络安全保障体系,2、网络安全,内外网隔离及访问控制系统 内部网不同网络安全域的隔离及访问控制网络安全检测审计与监控 网络反病毒网络备份系统,NEXT,7.1.3 网络安全保障体系,3、信息安全,主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。 信息传输安全(动态安全)包括主体鉴别、数据加密、数据完整性鉴别、防抵赖;信息存储安全包括(静态安全) 数据库安全、终端安全;信息内容审计可防止信息泄密。,NEXT,7.1.3
5、 网络安全保障体系,(1)鉴别(2)数据传输安全系统(3)数据存储安全系统(4)信息内容审计系统,NEXT,3、信息安全,7.1.3 网络安全保障体系,(1)安全管理原则网络信息系统的安全管理主要基于三个原则 : 多人负责原则 任期有限原则 职责分离原则,4、安全管理,NEXT,7.1.3 网络安全保障体系,(2)安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。,4、安全管理,NEXT,7.1.3 网络安全保障体系,具体工作是: 根据工作的重要程度,确定该系统的安全等级 。 根据确定的安全等级,确定安全管理的范围。 制订相应的机
6、房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。,4、安全管理,NEXT,7.1.3 网络安全保障体系,中国国家信息安全测评认证中心(CNNS)从七个层次提出了对一个具有高等级安全要求的计算机网络系统提供安全防护保障的安全保障体系,以系统、清晰和循序渐进的手段解决复杂的网络安全工程实施问题。 (1)实体安全 (2)平台安全 (3)数据安全 (4)通信安全 (5)应用安全 (6)运行安全 (7)管理安全,4、安全管理,NEXT,7.1.4 我国网络安全的主要问题,计算机网络近几年在我国的应用已经十分普及,相应地也出现了许多安全问题,成为网络发展的重要障碍,浪费了大
7、量的物力、财力、人力。目前我国网络安全的现状不容乐观 。,NEXT,7.1.5 网络安全策略,对于国内IT 企业、政府、教育、科研部门来说,完善的网络安全策略应从以下几个方面入手: 1、成立网络安全领导小组 2、制订一套完整的安全方案 3、用安全产品和技术处理加固系统 4、制定并贯彻安全管理制度 5、建立完善的安全保障体系 6、选择一个好的安全顾问公司,NEXT,7.2 常见的网络黑客攻击技术,7.2.1 网络攻击的发展趋势 7.2.2 常见的网络攻击方7.2.3 缓冲区溢出攻击 7.2.4 网络监听攻击7.2.5 IP欺骗攻击,NEXT,7.2 常见的网络黑客攻击技术,7.2.6 端口扫7.
8、2.7 口令攻击 7.2.8 计算机病毒 7.2.9 特洛伊木马 7.2.10 电子邮件攻击7.2.11 网页攻击,NEXT,7.2 常见的网络黑客攻击技术,7.2.1 网络攻击的发展趋势 近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的机构面临着前所未有的风险。网络攻击表现出以下发展趋势: 自动化程度和攻击速度提高。 攻击工具越来越复杂。 发现安全漏洞越来越快。 越来越高的防火墙渗透率。 越来越不对称的威胁。 对基础设施将形成越来越大的威胁。,NEXT,7.2 常见的网络黑客攻击技术,7.2.2 常见的网络攻击方式 网络攻击的方式主要分为三类。 第一类是 服
9、务拒绝攻击 第二类是 利用型攻击 第三类是 信息收集型攻击,NEXT,7.2 常见的网络黑客攻击技术,7.2.3 缓冲区溢出攻击 1、缓冲区溢出的原理 缓冲区是内存中存放数据的地方,在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。,NEXT,7.2 常见的网络黑客攻击技术,2、缓冲区溢出漏洞攻击方式 缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是最高权限。 (1) 在程序的地址空间里安排适当的代码 (2) 将控制程序转移到攻击代码的形式 (3) 植入综合代码和流程控制,NEXT,7.2 常见的网络黑客攻击技术,7.2.3 缓冲区溢出攻击
10、3、缓冲区溢出的防范 目前缓冲区溢出漏洞的保护方法有: (1)正确的编写代码。 (2)非执行的缓冲区。 (3)检查数组边界。 (4)程序指针完整性检查。,NEXT,7.2 常见的网络黑客攻击技术,7.2.4 网络监听攻击 由于局域网中采用广播方式,因此,在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息 1、网络监听 在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。,NEXT,7.2 常见的网络黑客攻击技术,7.2.4 网络监听攻击 2、网络监听的发现防范 (1)
11、发现可能存在的网络监听。 用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。 或者向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。,NEXT,7.2 常见的网络黑客攻击技术,7.2.4 网络监听攻击 (2)对网络监听的防范措施 从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 使用加密技术 划分VLAN,NEXT,7.2 常见的网络黑客攻击技术,7.2.5 IP欺骗攻击 这种攻击方式主要应用于用IP协议传送的报文中。IP欺骗就是伪造他人的源IP地址。IP欺骗技术只能实现对某些特定的运行Free TCP/
12、IP协议的计算机进行攻击。一般来说,任何使用Sun RPC调用的配置、利用IP地址认证的网络服务、MIT的X Window系统、R服务等这些服务易受到IP欺骗攻击。,NEXT,7.2 常见的网络黑客攻击技术,7.2.6 端口扫描1、端口扫描 一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。 进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。 扫描大致可分为端口扫描、系统信息扫描、漏洞扫描几种。,NEXT,7.2 常见的网络黑客攻击技术,7.2.6 端口扫描 2、端口扫描的防范 防范端口扫描的方法有两个:
13、 (1)关闭闲置和有潜在危险的端口。 (2)通过防火墙或其他安全系统检查各端口,有端口扫描的症状时,立即屏蔽该端口。,NEXT,7.2 常见的网络黑客攻击技术,7.2.7 口令攻击1、口令攻击的方法 口令供给一般有三种方法: 一是通过网络监听非法得到用户口令 二是在知道用户的账号后(如电子邮件前面的部分) 利用一些专门软件强行破解用户口令。 三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大。,NEXT,7.2.7 口令攻击2、防范口令攻击 以下口令是不建议使用的:口令和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七 网络 安全管理
限制150内