第 10 章网络安全管理

第 10章网络安全管理

上一页上一页下一页下一页返回本章首页返回本章首页

第 10章网络安全管理 10.1 计算机网络安全基础 10.2 防火墙技术 10.3 网络防病毒技术 10.4 网络安全策略

上一章上一章返回目录返回目录



内容提要：计算机网络安全定义、原因、特征计算机网络安全类别、威胁、防范措施 Windows 平台下 IIS 应用安全网络安全的评估标准、保护策略防火墙定义、特点、类型计算机病毒和网络病毒网络安全策略



10.1 计算机网络安全基础 10.1.1 计算机网络安全概述 10.1.2 计算机安全 10.1.3 计算机网络的安全 10.1.4 网络安全的评估标准 10.1.5 网络安全保护策略



10.1.1 计算机网络安全概述 1. 计算机网络安全定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。主要包括以下几个基本内容：（ l ）运行系统安全，即保证信息处理和传输系统的安全（ 2 ）网络上系统信息的安全（ 3 ）网络上信息传播的安全，即信息传播后果的安全（ 4 ）网络上信息内容的安全，即狭义的“信息安全” 2. 引起网络安全的原因（ 1 ）操作系统的脆弱性



10.1.1 计算机网络安全概述 ① 其体系结构本身就是不安全的一种因素。② 另一个原因在于它可以创建进程，即使在网络的节点上同样也可以进行远程进程的创建与激活，更令人不安的是被创建的进程具有可以继续创建过程的权力。 ③ 网络操作系统提供的远程过程调用（ RPC ）服务以及它所安排的无口令入口也是黑客的通道。（ 2 ）计算机系统的脆弱性① 计算机系统的脆弱性主要来自于操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。 ② 存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。



10.1.1 计算机网络安全概述 ③ 计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。（ 3 ）协议安全的脆弱性当前计算机网络系统都使用的 TCP ／ IP 协议以及 FTP 、 E-mail 、 NFS 等都包含着许多影响网络安全的因素，存在许多漏洞。（ 4 ）其他因素①数据库管理系统安全的脆弱性 ②人为的因素



10.1.1 计算机网络安全概述（ 5 ）各种外部威胁① 物理威胁：包括温度、湿度、雷击、静电、水灾、火灾、地震、电磁、辐射、空气污染和设备故障等② 网络威胁 ③ 身份鉴别 ④ 编程 ⑤系统漏洞3. 计算机网络安全的特征（ 1 ）保密性（ security ）：信息不泄露给非授权的用户、实体或过程，并被其利用的特性（ 2 ）完整性（ integrity ）：数据未经授权不能进行改变



10.1.1 计算机网络安全概述的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（ 3 ）可用性（ availability ）：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（ 4 ）实用性（ utility ）：保证信息具有实用的特性。如：信息加密的蜜钥不能丢失。否者，丢失了密钥的信息就丧失了其实用性。（ 5 ）真实性（ authenticity ）：指信息的饿可信度。即保证信息具有完整、准确、在传递和存储过程中不被篡改等特性，还应具有对信息内容的控制权。



10.1.1 计算机网络安全概述（ 6）占有性（ possession ）：指存储信息的主机、磁盘和信息载体等不被盗用，并具有该信息的占有权，即保证不丧失对信息的所有权和控制权。4. 计算机网络安全威胁的发展趋势 ① 是 Windows组件的漏洞增多以及严重信息系统漏洞的不断涌现势必成为企业亟待解决的重要安全问题。 ② 是在 2003年下半年提交的 10大恶意代码中 54% 都为混合式威胁。 ③Blaster 是最“得逞”的蠕虫之一，它针对 Windows系统中核心组件的安全漏洞发动攻击。 ④ 另一种趋势也非常明显。



10.1.1 计算机网络安全概述 ⑤在 2003年下半年，针对隐私与机密信息的恶意威胁增长得最快。 5. 我国网络及安全情况我国网民人数增加很快；另一方面，虽然我国各级政府、企事业单位、网络公司等陆续设立自己的网站，电子商务也正以前所未有的速度迅速发展，但许多应用系统却处于不设防状态，存在着极大的信息安全风险和隐患。



10.1.2 计算机安全 1. 什么是计算机安全计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。计算机部件中经常发生的一些电子和机械故障有：（ 1 ）磁盘故障（ 2 ） I／ O控制器故障（ 3 ）电源故障（ 4 ）存储器故障（ 5 ）介质、设备和其它备份故障（ 6）芯片和主板故障等



10.1.2 计算机安全 2. 计算机房场地的安全要求机房建筑和结构从安全的角度，还应该考虑：（ 1 ）电梯和楼梯不能直接进入机房。（ 2 ）建筑物周围应有足够亮度的照明设施和防止非法进入的设施。（ 3 ）外部容易接近的进出口，而周边应有物理屏障和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。（ 4 ）机房进出口须设置应急电话。（ 5 ）机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。



10.1.2 计算机安全（ 6）计算机中心周围 100m内不能有危险建筑物。（ 7）进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。（ 8）照明应达到规定标准。3. 设备防盗（ 1 ）早期的防盗，采取增加质量和胶粘的方法，即将设备长久固定或粘接在一个地点。（ 2 ）视频监视系统是一种更为可靠的防护设备，能对系统运行的外围环境、操作环境实施监控（视）。对重要的机房，还应采取特别的防盗措施，如值班守卫，出入口安装金属防护装置保护安全门、窗户。



10.1.2 计算机安全 4.机房的三度要求（ 1 ）温度：温度适宜，应该安装空调来保持恒定的温度。（ 2 ）湿度：湿度适宜，最好有加湿器等附加设备保持一定的湿度。（ 3 ）洁净度：机房的整洁可令上机者精神饱满，提高工作效率。5. 防静电措施（ 1 ）静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。计算机信息系统的各个关键电路，诸如 CPU、 ROM、 RAM等大都采用MOS工艺的大规模集成电路，对静电极为



10.1.2 计算机安全敏感，容易因静电而损坏。这种损坏可能是不知不觉造成的。（ 2 ）机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。6. 电源（ 1 ）电源线干扰有六类电源线干扰：中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。（ 2 ）保护装置电源保护装置有金属氧化物可变电阻（MOV）、硅雪崩二极管（ SAZD）、气体放电管（ GDT）、滤波器、电压调整变压器（ VRT）和不间断电源（ UPS）等。



10.1.2 计算机安全（ 3 ）紧急情况供电重要的计算机房应配置预防电压不足（电源下跌）的设备，这种设备有如下两种：①UPS ② 应急电源（ 4 ）调整电压和紧急开关电源电压波动超过设备安全操作允许的范围时，需要进行电压调整。允许波动的范围通常在±5%的范围内。 7. 接地与防雷（ 1 ）地线种类地线主要包括：保护地、直流地、屏蔽地、静电地、雷击



10.1.2 计算机安全地五种。（ 2 ）接地系统计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。要求：各自独立的接地系统，交、直流分开的接地系统，共地接地系统，直流地、保护地共用地线系统，建筑物内共地系统等。（ 3 ）接地体接地体包括：地桩，水平栅网，金属接地板，建筑物基础钢筋等。（ 4 ）防雷措施机房的外部防雷应使用接闪器、引下线和接地装置，吸引



10.1.2 计算机安全雷电流，并为其泄放提供一条低阻值通道。机器设备应有专用地线，机房本身有避雷设施，设备(包括通信设备和电源设备 )有防雷击的技术设施，机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。8. 计算机场地的防火、防水措施为避免火灾、水灾，应采取如下具体措施：（ 1 ）隔离：当发生火灾、水灾时，能很好隔离事故地段，防止灾情扩大。



10.1.2 计算机安全（ 2 ）火灾报警系统：当发生火灾时，能及时地报警，以便及时的采取有效的措施。（ 3 ）灭火设施：当火灾发生时，有方便的设施能及时地处理火灾。（ 4 ）管理措施：有效的管理才能预防火灾、消灭火灾。



10.1.3 计算机网络的安全1. 计算机网络安全的类别根据国家计算机安全规范，可把计算机的安全大致分为三类。一是实体安全，包括机房、线路，主机等；二是网络与信息安全，包括网络的畅通、准确及其网上的信息安全；三是应用安全，包括程序开发运行、输入输出、数据库等的安全。下面重点探讨第二类网络与信息的安全问题。网络信息安全可以归结为以下几类 : （ 1 ）基本安全类包括访问控制、授权、认证、加密和内容安全等。（ 2 ）管理与记账类包括安全策略管理、企业范围内的集中管理、记账、实时监控，报警等功能。



10.1.3 计算机网络的安全（ 3 ）网络互联设备安全类网络互联设备包括路由器、通信服务器、交换机等，网络互联设备安全正是针对上述这些互联设备而言的，它包括路由安全管理、远程访问服务器安全管理、通信服务器安全管理以及交换机安全管理等。（ 4 ）连接控制类主要为发布企业消息的服务器提供可靠的连接服务，包括负载均衡、高可靠性以及流量管理等。2. 网络安全的威胁（ 1 ）非授权访问（ unauthorized access ）：一个非授权的人的入侵。



10.1.3 计算机网络的安全（ 2 ）信息泄露（ disclosure of information ）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（ 3 ）拒绝服务（ denial of service ）：使得系统难以或不可能继续执行任务的所有问题。 3. 防范措施（ 1 ）用备份和镜像技术提高数据完整性：预防发生网络故障时能迅速恢复网络服务功能（ 2 ）防毒，捕捉闯入者（ 3 ）补丁程序，修补系统漏洞（ 4 ）提高物理安全



10.1.3 计算机网络的安全（ 5 ）构筑因特网防火墙（ 6）废品处理守则（ 7）仔细阅读日志（ 8）加密（ 9）提防虚假的安全（ 10）执行身份鉴别 4. 网络安全攻击类型网络安全攻击类型主要包括：报文窃听（ Packet Sniffer

s ）， IP欺骗（ IP Spoofing ），服务拒绝（ Denial of Service ），密码攻击（ Password Attacks ），中间人攻击 (Man-in-the-Middle Attacks) ，应用层攻击（ Application Layer Attacks ），



10.1.3 计算机网络的安全（ Trust Exploitation ），端口重定向（ Port Redirection ），未授权访问（ Unauthorized Access ），病毒与特洛伊木马应用（ Virus and Trojan Horse Applications ）等。 5. 确保网络安全的措施由于网络安全的目的是保障用户的重要信息的安全，因此限制直接接触十分重要。 6. Windows平台下 IIS 应用安全 IIS 是微软 Web 服务的集成软件可以提供 WWW、 FTP、

SMTP 等服务。用户可以很方便的建立自己基于 Windows 的 IIS服务器，但其安全性比其它系统弱。（ 1 ） IIS 安全机制 IIS 的安全依赖于 Windows 系统的安全。



10.1.3 计算机网络的安全①IIS的用户也是Windows 的用户②IIS 目录的权限依赖于Windows NTFS系统权限（ 2 ） IIS安全安装① 不要安装在系统目录上 ② 修改 IIS默认安装路径 ③ 安装在 NTFS分区中 ④定制服务（ 3 ） IIS 安全配置①虚拟目录配置



10.1.3 计算机网络的安全②文件目录配置 ③文件目录权限 ④ 应用程序映射 ⑤限制 IIS 服务接受 URL请求的长度 ⑥保护日志安全 6. 影响网络信息安全的因素现今的网络信息安全存在的威胁主要表现在以下几个方面：（ 1 ）非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。（ 2 ）冒充合法用户。主要指利用各种假冒或欺骗的



10.1.3 计算机网络的安全的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。（ 3 ）破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。（ 4 ）干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段。（ 5 ）病毒与恶意攻击。指通过网络传播病毒或恶意 Java 、 XActive 等。（ 6）线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。



10.1.4 网络安全的评估标准 1 、我国评价标准（ 1 ）用户自主保护级（ 2 ）系统审计保护级（ 3 ）安全标记保护级（ 4 ）结构化保护级：（ 5 ）访问验证保护级：2. 国际评价标准其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成 4 个类别： D类、

C类、 B类和 A类，每类又分几个级别，共 7小类。（ 1 ） D 级是最低的安全级别



10.1.4 网络安全的评估标准（ 2 ） C1 是 C类的一个安全子级。（ 3 ） C2又称受控的安全访问控制级。（ 4 ） B 级中有三个级别， B1 级即标志安全保护（ 5 ） B2 级，又叫结构保护级别（ Structured Pr

otection ）（ 6 ） B3 级，又叫做安全域级别（ Security Dom

ain ）（ 7 ） A 级，又称验证设计级别（ Verified Desig

n ）



10.1.5 网络安全保护策略所谓安全保护策略是指一个网络对安全问题所采取的原则，对安全使用网络资源的具体要求，以及保证网络系统安全运行的措施。1. 安全缺口为什么会存在安全缺口呢?有下面四个因素 :（ 1 ）网络设备种类繁多—当前使用的有各种各样的网络设备，从Windows NT和 UNIX 服务器到防火墙、路由器和Web服务器，每种设备均有其独特的安全状况和保密功能；（ 2 ）访问方式的多样化—般来说，网络环境存在多种进出方式，许多过程拔号登录点以及新的 Internet 访问方式可能会使安全策略的设立复杂化；（ 3 ）网络的不断变化—网络不是静态的，一直都处于发展



10.1.5 网络安全保护策略变化中。启用新的硬件设备和操作系统，实施新的应用程序和 Web 服务器时，安全配置也有不尽相同；（ 4 ）用户保安专业知识的缺乏—许多组织所拥有的对网络进行有效保护的保安专业知识十分有限，这实际上是造成安全缺口最为主要的一点。2. 计算机网络的安全策略（ 1 ）物理安全策略（ 2 ）访问控制策略 ① 入网访问控制 ② 网络的权限控制 ③ 目录级安全控制



10.1.5 网络安全保护策略④ 属性安全控制 ⑤ 网络服务器安全控制 ⑥ 网络监测和锁定控制 ⑦ 网络端口和节点的安全控制 ⑧ 维护网络时的责任 3. 在制定网络安全策略时应当考虑如下因素：对于内部用户和外部用户分别提供哪些服务程序初始投资额和后续投资额方便程度和服务效率复杂程度和安全等级的平衡网络性能



10.2防火墙技术

10.2.1 防火墙基础 10.2.2 企业防火墙的构建



10.2.1 防火墙基础 1. 防火墙的概念从本质上说，防火墙遵从的是一种允许或阻止业务往来的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。图 10-1简单

地表示了防火墙在网络中的位置。

图 10-1防火墙在网络中的位置



10.2.1 防火墙基础 2. 防火墙的作用（ 1 ）限制人们从一个特别的控制点进入（ 2 ）防止侵入者接近其他防御设施（ 3 ）限定人们从一个特别的点离开（ 4 ）有效的阻止破坏者对计算机系统进行破坏3.防火墙的优缺点（ 1 ）优点①防火墙能强化安全策略 ②防火墙能有效地记录 Internet上的活动 ③防火墙限制暴露用户点 ④ 防火墙是一个安全策略的检查站



10.2.1 防火墙基础（ 2 ）防火墙的不足之处 ① 不能防范恶意的知情者 ② 防火墙不能防范不通过它的连接 ③ 防火墙不能防备全部的威胁 ④ 防火墙不能防范病毒5. 防火墙类型防火墙的类型一般有以下几种：（ 1 ）数据包过滤型



10.2.1 防火墙基础包过滤一直是一种简单而有效的方法。

图 10-2 使用包过滤路由器对数据包进行过滤 ① 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：将包的目的地址作为判据将包的源地址作为判据将包的传送协议作为判据



10.2.1 防火墙基础② 包过滤系统只能可以进行类似以下情况的操作：不让任何用户从外部网用 Telnet 登录允许任何用户使用 SMTP往内部网发电子邮件只允许某台机器通过 NNTP往内部网发新闻 ③ 包过滤优点如果站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，站点就可获得很好的网络安全保护。④ 包过滤的缺点在机器中配置包过滤规则比较困难对系统中的包过滤规则的配置进行测试也较麻烦



10.2.1 防火墙基础许多产品的包过滤功能有这样或那样的局限性，要找一个（ 2 ）代理服务型代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。图 10-3 中形象地表示了代理实现的

过程。

图 10-3 代理实现的过程



10.2.1 防火墙基础应用代理的优点、缺点：在网络连接建立之前可以对用户身份进行认证代理服务允许用户“直接”访问因特网所有通过防火墙的信息流可以被记录下来易于配置支持内部网络的信息隐藏与分组过滤规则相比简单易于控制和管理对每种类型的服务都需要一个代理网络性能不高防火墙对用户不透明



10.2.1 防火墙基础客户应用可能需要修改需要多个防火墙主机代理服务落后于非代理服务代理服务不能保护你不受协议本身缺点的限制代理服务对某些服务来说是不合适的（ 3 ）子网过滤型防火墙最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网（又称为 DMZ ）与内部的网络之间，另一个位于参数网与外部网络之间。



10.2.1 防火墙基础①非军事区（ De-Militarized Zone ， DMZ）：也称为周界网络，是在内外部网之间另加的一层安全保护网络层

图 10-4 子网过滤型防火墙体系结构



10.2.1 防火墙基础②堡垒主机 ③内部路由器 ④外部路由器（ 4 ）防火墙的各种变化和组合使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个参数网络



10.2.1 防火墙基础使用双重宿主主机与子网过滤（ 5）防火墙实现策略 (cont.) 对防火墙系统而言，共有两层网络安全策略： ①网络服务访问策略：是高层策略 ②防火墙设计策略：是低层策略（ 6）对防火墙技术的展望：几点趋势 ① 防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展② 过滤深度不断加强，从目前的地址、服务过滤，发展到 URL（页面）过滤，关键字过滤和对 Active X、 Java等的过滤，并逐渐有病毒扫除功能



10.2.1 防火墙基础 ③ 单向防火墙（又叫网络二极管）将作为一种产品门类而出现 ④ 利用防火墙建立专用网 (VPN)是较长一段时间的用户使用的主流， IP的加密需求越来越强，安全协议的开发是一大热点 ⑤ 对网络攻击的检测和告警将成为防火墙的重要功能 ⑥ 安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分



10.2.1 防火墙基础（ 7）选择防火墙的原则防火墙产品往往有上千种，如何在其中选择最符合需要的产品；是消费者最关心的事。在选购防火墙软件时，应该考虑以下几点。① 防火墙应该是一个整体网络的保护者② 防火墙必须能弥补其它操作系统的不足③ 防火墙应该为使用者提供不同平台的选择 ④ 防火墙应能向使用者提供完善的售后服务



10.2.2 企业防火墙的构建 1. 企业网络的现状信息化已成为国际性发展趋势，作为国民经济信息化

的基础，企业信息化建设受到国家和企业的广泛重视。2. 企业网络的安全要求网络互联融入到社会的各个方面，网络的安全，包括网上信息数据安全和网络设备服务的运行安全，日益成为与

国家、政府、企业、个人的利益休戚相关的大事。3. 企业网络安全的威胁企业网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。 4. 网络安全元素



10.2.2 企业防火墙的构建物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；验证用户的身份和使用权限，防止用户越权操作；确保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全管理制度；妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。 5. 企业网络安全的实现（ 1 ）网络隔离（ 2 ）防火墙 6. 提高企业内部网安全性的几个步骤：（ 1 ）限制对网关的访问和网关上的账号数，不允许在网络上进行根注册



10.2.2 企业防火墙的构建（ 2 ）不信任任何人，网关不信任任何机器（ 3 ）不要用 NFS 向网关传输或接收来自网关的任何文件系统（ 4 ）不要在网关上使用 NIS（网络信息服务）（ 5）制订和执行一个非网关机器上的安全性方针（ 6）关闭所有多余服务和删除多余程序（ 7）删除网关的所有多余程序（远程登录、 rlogin、FTP等等）（ 8）定期阅读系统记录 7. 企业 Intranet安全解决方案



10.2.2 企业防火墙的构建 8. 网络信息安全产品为了实施上面提出的安全体系，可采用防火墙产品来满足其要求。采用 NetScreen 公司的硬件防火墙解决方案 NetScreen-10 & NetScreen-100 可以满足以下功能。 (1)访问控制 (2)普通授权与认证 (3)内容安全 (4) 加密 (5)网络设备安全管理



10.2.2 企业防火墙的构建 (6) 集中管理实施一个企业一种安全策略，实现集中管理、集中监控等。(7)提供记账、报警功能实施移动方式的报警功能，包括 E-mail 、 SNMP 等。9. 企业防火墙应用方案示例（ 1 ）本方案的目的与要求① 所有内部网络与外部网络之间的信息通新信都通过防火墙② 保证现有运行环境完整，不影响正常工作③ 外部网络应能找到域名解析服务器；邮件能穿过防火墙



10.2.2 企业防火墙的构建到达指定目的地② 根据 IP地址、协议类型、端口等进行数据包过滤③ 能够限定指定的内部主机和网络与外部网络通信④双向NAT功能，保护了内网地址及对外服务器的IP⑤通过 IP与MAC地址绑定防止 IP盗用防止 IP欺骗；防 DoS 攻击；可以对特定网页地址进行过滤（ 2 ）本方案的防火墙安装① 防火墙的广域网端口与路由器连接



10.2.2 企业防火墙的构建 ② 防火墙 DMZ端口接邮件服务器、 DNS服务器、代理服务器， WWW 服务器 ③ 防火墙 Trusted端口接内部主网 ④ 配置 NetScreen防火墙内部网络地址

图 10-5 企业防火墙应用方案示例



10.2.2 企业防火墙的构建（ 3 ）防火墙策略设置①DMZ 区中的邮件服务器对外只开放 SMTP ， POP3端口，只允许内部网络的特定 IP 地址远程控制本机②DMZ 区中的 DNS服务器对外只开放 DNS域名解析服务，只允许内部网络的特定 IP 地址远程控制本机③DMZ 区中的WEB服务器对外只开放 HTTP 的 80服务端口，只允许内部网络的特定 IP 地址远程控制本机④ DMZ区中的 FTP 服务器对外只开放 FTP 的 21 服务端口，只允许内部网络的特定 IP 地址远程控制本机⑤ 对于内部网络主机开放由内部网络发起的网络连接，并且只允许 HTTP 、 FTP 、 DNS、 SMTP 、 POP3 协议通过



10.2.2 企业防火墙的构建对内部网中可以远程控制 DMZ 区的主机进行IP 与MAC 地址绑定，以防止 IP 地址欺骗随着网络攻击手段不断多样化，简单的采用多种孤立的安全手段已不能满足我们的需求。上例虽然可以在一定程度上降低网络攻击对企业网络的风险，但是无法彻底杜绝这种风险。企业网络安全是一个系统的、全局的管理问题 .网络上的任何一个漏洞，都会导致全网的安全问题，我们应该应用系统工程的观点、方法，分析网络的安全及具体措施。



10.3 网络防病毒技术 10.3.1 计算机病毒和网络病毒 10.3.2 网络计算机病毒的防治措施



10.3.1 计算机病毒和网络病毒 1. 计算机病毒和网络病毒计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 2. 计算机病毒的生命周期（ 1 ）开发期（ 2 ）传染期（ 3 ）传染期（ 4 ）发作期（ 5 ）发现期



10.3.1 计算机病毒和网络病毒（ 6）消化期（ 7）消亡期 3. 计算机病毒的特性（ 1 ）计算机病毒的程序性（可执行性）（ 2 ）计算机病毒的传染性（ 3 ）计算机病毒的潜伏性（ 4 ）计算机病毒的可触发性（ 5）计算机病毒的破坏性（ 6）攻击的主动性



10.3.1 计算机病毒和网络病毒（ 7）病毒的针对性（ 8）病毒的非授权性（ 9）病毒的隐蔽性（ 10 ）病毒的衍生性（ 11 ）病毒的寄生性（依附性）（ 12 ）病毒的不可预见性（ 13 ）计算机病毒的欺骗性（ 14 ）计算机病毒的持久性 4. 计算机病毒的分类



10.3.1 计算机病毒和网络病毒（ 1 ）按照计算机病毒攻击的系统分类①攻击DOS系统的病毒。这类病毒出现的最早。②攻击Windows系统的病毒。由于 Windows的图形用户界面（ GUI）和多任务操作系统深受用户的欢迎， Windows正逐渐取代DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的 CIH病毒就是一个 Windows95/98病毒。③攻击UNIX系统的病毒。当前， UNIX系统应用非常广泛，并且许多大型的操作系统均采用 UNIX作为其主要的操作系统，所以 UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。④攻击 OS/2 系统的病毒。世界上已经发现第一个攻击 OS/2 系统的病毒，它虽然简单，但也是一个不祥之兆。



10.3.1 计算机病毒和网络病毒（ 2 ）按照病毒的攻击机型分类①攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。②攻击小型机的计算机病毒。小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机，也可以作为小的计算机网络的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自 1988年 11月份 Internet网络受到 worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。③攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展，所以不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。



10.3.1 计算机病毒和网络病毒（ 3 ）按照计算机病毒的链结方式分类 ①源码型病毒 ②嵌入型病毒 ③ 外壳型病毒 ④ 操作系统型病毒（ 4 ）按照计算机病毒的破坏情况分类 ①良性计算机病毒 ② 恶性计算机病毒（ 5）按照计算机病毒的寄生部位或传染对象分类



10.3.1 计算机病毒和网络病毒 ①磁盘引导区传染的计算机病毒 ② 操作系统传染的计算机病毒 ③ 可执行程序传染的计算机病毒（ 6）按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。（ 7）按照传播媒介分类 ①单机病毒 ② 网络病毒



10.3.1 计算机病毒和网络病毒（ 8）按照寄生方式和传染途径分类 ①文件病毒 ② 引导扇区病毒 ③ 多裂变病毒 ④秘密病毒 ⑤异形病毒 ⑥宏病毒 5. 计算机病毒的传播（ 1 ）计算机病毒的传播途径①通过不可移动的设备进行传播



10.3.1 计算机病毒和网络病毒 ②通过移动存储设备进行传播最广泛的传播途径③通过网络进行传播反病毒所面临的新课题④通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道（ 2 ）计算机病毒的传播媒介①存储介质：磁存储介质、光存储介质、固定、移动存储介质等。② 网络：邮件 (SoBig)、网页 (RedLof)、局域网 (Funlove)、远程攻击 (Blaster)、网络下载等。



10.3.1 计算机病毒和网络病毒 6. 计算机病毒的特点和破坏行为（ 1 ）计算机病毒的特点根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。① 刻意编写人为破坏② 自我复制能力③ 夺取系统控制权④ 隐蔽性潜伏性不可预见性



10.3.1 计算机病毒和网络病毒（ 2 ）计算机病毒的破坏行为 ①攻击系统数据区 ②攻击文件 ③攻击内存 ④干扰系统运行，使运行速度下降 ⑤干扰键盘、喇叭或屏幕 ⑥攻击 CMOS ⑦干扰打印机 ⑧ 网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。



10.3.1 计算机病毒和网络病毒 7. 病毒的发展趋势在当前网络技术迅速发展和普及的过程中，计算机病毒也具有新的发展趋势，如：（ 1 ）多种技术手段的综合运用：（ 2 ）增强隐蔽性（ 3 ）网络成为传播的主要手段Mail 、 WWW浏览、网络共享……等使用的越来越广泛（ 4 ）反应时间缩短漏洞被发现的时间到病毒出现的时间越来越短（ 5 ）危害越来越大



10.3.2 网络计算机病毒的防治措施 1.网络计算机病毒的特点（ 1）传染方式多样（ 2）传染速度快（ 3）清除难度大（ 4）破坏性强（ 5）网络病毒还具有可激发性 2. 计算机网络病毒的防治措施（ 1 ）建立、健全法律和管理制度：做到有法可依。（ 2 ）加强教育和宣传。（ 3 ）采取更有效的技术措施：技术措施是防治网络病毒的最直接和有效的措施。例如：系统安全；软件过滤；文件



10.3.2 网络计算机病毒的防治措施加密；生产过程控制；后备恢复等。（ 4 ）在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。（ 5）在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。（ 6）对非共享软件，将其执行文件和覆盖文件如 *.COM、 *.EXE、 *.OVL等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。（ 7）接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。



10.3.2 网络计算机病毒的防治措施（ 8）工作站采用防病毒芯片，这样可防止引导型病毒。（ 9）正确设置文件属性，合理规范用户的访问权限。（ 10 ）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。（ 11 ）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如 LAN Protect和 LAN Clear for NetWare 等。（ 12 ）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与 Internet，用户与网络之间进行隔离。



10.4 网络安全策略 10.4.1 Windows 2000 的安全性 10.4.1.1 初级安全篇 10.4.1.2 中级安全篇 10.4.1.3高级安全篇 10.4.2 路由器和交换机安全策略 10.4.3 安全套接字层 10.4.4 数据信息加密



10.4.1 Windows 2000 的安全性 Windows2000是一种相对安全的操作系统，它包含有很多的安全功能和选项，如果合理的配置它们，那么Windows2000将会是一个很安全的操作系统。10.4.1.1 初级安全篇1.物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留 15天以上的摄像记录。 2.停掉Guest 账号 3.限制不必要的用户数量 4.创建 2 个管理员用账号 5.把系统 administrator账号改名



10.4.1 Windows 2000 的安全性 6.创建一个陷阱账号 7.删除“ everyone”组对共享文件的完全控制权限

图 10-6 共享文件夹的权限窗口 8. 使用安全密码 9. 设置屏幕保护密码



10.4.1 Windows 2000 的安全性 10.使用 NTFS格式分区 11.运行防毒软件 12.保障备份盘的安全10.4.1.2 中级安全篇1.利用Win2000的安全配置工具来配置策略2.关闭不必要的服务 3. 关闭不必要的端口

图 10-7 TCP/IP筛选窗口



10.4.1 Windows 2000 的安全性 4.打开审核策略

图 10-8 策略设置窗口图 10-9密码策略窗口 5.开启密码策略 6.开启账户策略在图 10-10的右窗格内进行密码的设置



10.4.1 Windows 2000 的安全性 7. 设定安全记录的访问权限

图 10-10账户锁定策略窗口8.把敏感文件存放在另外的文件服务器中 9. 不让系统显示上次登陆的用户名 10.禁止建立空连接 11. 到微软网站下载最新的补丁程序



10.4.1 Windows 2000 的安全性 10.4.1.3高级安全篇 1.关闭 DirectDraw2.关闭默认共享

3.禁止 dump file 的产生 4. 使用文件加密系统 EFS

图 10-11 共享窗口图 10-12 系统特性窗口图 10-13 启动和故障恢复窗口



10.4.1 Windows 2000 的安全性 5. 加密 temp文件夹 6.锁住注册表 7.关机时清除掉页面文件8.禁止从软盘和 CD Rom启动系统 9.使用智能卡来代替密码 10.使用 IPSec



10.4.2 路由器和交换机安全策略现在 Cisco路由器和 Cisco第三层交换机内置有防火墙功能，并且可通过设置 IP访问列表和与MAC地址绑定等方案对网络中的数据包进行过滤，限制进入或外出网络的数据，从而增强网络的安全性。对路由器和交换机等网络设备而言，还应当采取以下安全策略。 1. 控制会话超时 Router （ config-line ） #exec-timeout minutes seconds 2. 控制虚拟终端访问 Router (config) #access-list access-list-number Permit ip-address



10.4.2 路由器和交换机安全策略 Router (config) #line vty 0 4Router (config-line) #access-class access-class-number in3. 控制HTTP访问 Switch (config)#ip http server 4. 端口安全通过下述命令可设置和校验端口的安全功能：Switch>(enable)set port security mod-num/port-num enable mac-addressSwitch>(enable)show port mod-num/port-num在基于 IOS的交换机启用和校验端口安全，可使用下述命令：



10.4.2 路由器和交换机安全策略 Switch>(config-if)port secure[max-mac-count maxinum-mac-count]Switch>(enable)show mac-address-table security[type module/port] (1)创建访问控制列表 Router (config-if)#access-list access-list-number(deny∣permit) （ 2）MAC地址绑定 Router(config-if)#arp ip-address mac-address arpa



10.4.2 路由器和交换机安全策略 5.虚拟局域网（ Virtual Local Area Network， VLAN）安全 6. 虚拟专用网络（ Virtual Private Network， VPN）安全（ 1 ）隧道技术（ 2 ）加解密技术（ 3 ）密钥管理技术（ 4 ）身份认证技术



10.4.3 安全套接字层 1.SSL历史 2. SSL 如何工作 3. 服务器认证 4.客户机认证 5.使用 SSL （安全套接字层）保护数据在网络中的传输 6. 对 SSL抵御攻击能力的分析（ 1 ）通信量分析（ 2）主动攻击



10.4.3 安全套接字层（ 3）重放攻击光靠使用报文鉴别码（ MAC ）不能防止对方重复发送过时的信息包。 SSL通过在生成 MAC 的数据中加入隐藏的序列号，来防止重放攻击。（ 4 ）密码组回滚攻击（ CipherSuite Rollback attac

k ）它使用一个 master_secret 来对所有的握手协议报文进行鉴别，这样一来，便可在握手结束时检查出敌方的上述行为，如果有必要，还可结束会话。（ 5）中间人攻击（ man_in_the_middle attack ）



10.4.4 数据信息加密在保障信息安全各种功能特性的诸多技术中，密码技术是信息安全的核心和关键技术，通过数据信息加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。 1.数据加密技术 2.数据加密算法（ 1 ） DES加密算法（ 2 ） RSA算法 3. 加密技术的发展（ 1 ）密码专用芯片集成（ 2 ）量子加密技术的研究图 12-7 sendmail 如何使用别名



小结 :量子技术在密码学上的应用分为两类：一是利用量子计算机对传统密码体制的分析；二是利用单光子的测不准原理在光纤一级实现密钥管理和信息加密，即量子密码学。量子计算机是一种传统意义上的超大规模并行计算系统，利用量子计算机可以在几秒钟内分解 RSA129的公钥。根据 internet的发展，全光网络将是今后网络连接的发展方向，利用量子技术可以实现传统的密码体制，在光纤一级完成密钥交换和信息加密，其安全性是建立在 Heisenberg的测不准原理上的，如果攻击者企图接收并检测信息发送方的信息 (偏振 )，则将造成量子状态的改变，这种改变对攻击者而言是不可恢复的，而对收发方则可很容易地检测出信息是否受到攻击。目前量子加密技术仍然处于研究阶段，其量子密钥分配 QKD在光纤上的有效距离还达不到远距离光纤通信的要求。

Questions?



1. 什么是计算机网络安全？其特征是什么？分为那些类型？2. 引起计算机网络安全的原因是什么？3. 计算机网络安全的威胁和防范措施是哪些？4. 计算机安全指的是什么？在网络安全中，计算机安全处于什么位置？5. 对计算机房的安全要求是什么？6. Windows平台下如何实现 IIS的应用安全？7. 计算机网络安全评估标准是什么？有哪些保护策略？8. 什么是防火墙？其特点是什么？分为那些类型？9. 在新时代，防火墙的发展趋势是什么？10 计算机网络病毒的定义是什么？它有哪些特征？11. 计算机网络病毒的传播途径是什么？有哪些发展趋势？



12. 对路由器和交换机安全能够进行哪些安全设置？13. 什么是 SSL？ SSL有哪些抵御能力？14. 计算机网络病毒的定义是什么？它有哪些特征？ 15. 数据加密技术主要分为几种类型？数据传输加密技术分为几种类型？16. 数据加密算法有哪几种类型？加密技术有哪些新发展？17. 实验项目（ 1 ）请以某一企业为原形，设计其防火墙系统。（ 2 ）在 Windows 2000 中实现其初级、中级、高级安全配置。（ 3 ）在某型号的路由器和交换机上实现其安全策略的配置。

Documents

第 10 章 网络安全管理

第 10 章网络安全管理