《计算机网络与商务网站技术教学课件 刘卫东 第4章 计算机网络安全技术》由会员分享,可在线阅读,更多相关《计算机网络与商务网站技术教学课件 刘卫东 第4章 计算机网络安全技术(31页珍藏版)》请在金锄头文库上搜索。
1、第4章 计算机网络安全技术,4.1 网络安全概述,一、网络安全定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。,二、网络安全的要素,网络安全具备五个要素,分别是保密性、完整性、可用性、不可否认性、可控性。,三、网络面临的安全威胁,网络的互通性导致其必须与外界联系,在网络通讯中其安全受到多方面的威胁,主要的有:物理威胁、系统漏洞威胁、身份鉴别威胁、线缆连接威胁和有害程序等。,四、网络安全评价标准,1985年美国国防部制定的可信任计算机标准评价准则(TCSEC),TCSEC将操作系统的安全
2、等级由低到高分成了D、C1、C2、B1、B2、B3、A 7个等级。,4.2 网络设备安全,一、防雷技术,对于直击雷的防护,可以采用避雷针、避雷带、避雷网、避雷线作为接闪器,把雷电流接下来,用引线引入大地,从而防止直击雷对计算机系统的危害。 对于感应雷的防护,通常采用电源系统实行三级防雷防过压保护、网络设备安装端口的安全防护装置。,二、备份技术,磁盘阵列技术 服务器的硬盘故障将导致数据的丢失,甚至整个网络瘫痪。采用磁盘阵列(RAID)技术可以实现硬盘数据冗余。 服务器整机冗余 服务器集群技术可以避免整个系统的瘫痪,最大限度地保证网络正常运转。 数据备份 对于网络中的关键数据应该按照其重要程度,指
3、定相应的备份策略,及时备份。对于实时数据,可采用相应的实时备份软件,实现在线备份。,三、交换机端口安全,利用交换机端口的安全特性,既可以限制非法MAC地址的设备接入,也可以设定端口上最大的MAC地址数。交换机端口安全相关命令: 1.开启交换机的端口安全功能: switch port-securitiy 2. 设置端口下的MAC条目: switch port-securitiy maximum 数值 3. 设置超过端口定义的最大MAC条目后端口的响应: switch port-securitiy violation protect | shutdown | restrict ,四、 SSH技术,
4、Telne使用明文在网络上传送口令和数据,易受“中间人”方式的攻击。SSH可以把所有传输的数据进行压缩、加密,防止了“中间人”攻击、DNS和IP欺骗。并且传输的速度很快。SSH相关命令: 1.定义域名: ip domain-name 域名 2.启用并生成SSH密钥:crypto key generate rsa 3.定义SSH 超时时间:ip ssh time-out 时间 4.定义重试次数:ip ssh authentication-retries 次数 5.限制登陆:transport input SSH,4.3 网络操作系统安全配置,一、用户账号的安全,1.SID,在windows 20
5、03 serever中,每个用户账号都有唯一的一个安全标识符(SID),SID用来标识一个用户或组,具有唯一性。,2.用户密码的安全,一个安全的用户账号密码应该具备如下特征: 禁止使用弱口令。 密码尽量长,超过八位。 利用数字、大写字母、小写字母、符号随机生成不同的密码。 经常更换密码。 不要保存密码。 不同地方使用不同的密码。,3.管理员账号的安全,将默认的Administrator帐号改名,设置复杂密码,尽量把它伪装成普通用户。 为管理员创建一个普通权限用户处理日常事物,真正的管理员账号只在管理网络时使用。 创建一个陷阱帐号:用户名为“Administrator”的本地帐户,密码复杂、权限
6、最低、并且已经禁用。,4.来宾账号安全,将Guest帐号改名,伪装为普通用户。 为Guest账号设置一个复杂的密码。 停用Guest帐号,需要时再启用。 在Guest用户账号属性中,设置拒绝Guest帐号远程访问。,5.密码安全策略的设置,在本地安全策略中设置账户策略,强制用户必须按照设定规则设置用户账号。,二、共享数据的安全,共享数据的安全可以通过设置共享权限、NTFS权限、删除隐含共享来实现。,三、安全策略配置,关闭不必要的服务和端口 开启审核策略 禁止判断主机类型,四、进程管理,利用“任务管理器”管理进程 利用命令管理进程 利用“性能”工具管理进程,4.4 数据加密技术,一、明文、密文和
7、密钥,消息被称为明文,加了密的消息称为密文,为了有效地控制加密和解密算法的实现而设置的专门信息称为密钥。,二、对称加密技术,在对称加密中,数据发送方和接收方采用相同或者可以相互推导出来的密钥。 对称密钥的管理问题是保证加密成功的一个重要环节,既要将密钥传递给数据交换的双方,又要保证在传递过程中不被第三方截取。 DES加密算法是对称加密技术影响力较大的一种加密方法。DES算法将数据按照64位进行分组,使用64位密钥通过16次迭代完成数据加密。,三、非对称加密,在加密的过程中使用一对密钥,一个用于加密,另一个用来解密,而且不可能从加密密钥推导出解密密钥,反之亦然。这对密钥中用来向外公布的叫做公钥,
8、另一个需要安全保护的是私钥。 非对称加密适应了网络开放性的要求,特别是在互联网上通信。将公钥公开,保护好私钥,可以方便地在网络中实现数据加密、密钥管理、数字签名和身份验证等操作。,四、文件加密,在windows系统中,针对NTFS文件系统提供了文件加密的安全性能,文件加密应用了证书技术,通过公钥对的身份验证,来保证只有合法用户才能打开加密的文件。,五、证书网站的配置,4.5 计算机病毒、木马与防火墙,一、计算机病毒,计算机病毒是人为编制的可以自我复制的计算机程序,其干扰计算机正常运行并造成计算机软硬件故障,破坏计算机数据。,二、计算机木马,木马是驻留在对方系统中的程序,是具有远程控制功能的黑客工具,其由服务器端程序和客户端程序组成。,三、防火墙,防火墙可以防止外部网络上的危险在内部网络上蔓延,它使得内部网络与外部网络之间互相隔离、限制网络互访,只允许合法用户访问网络资源,拒绝了未授权用户的访问,有效地保护内部网络。,
