第一章网络安全概述.ppt

* * 在Windows下安装Nmap v4.20扫描工具，此工具含OS Detection的功能（使用-O选项）。 打开cmd.exe，输入命令：nmap –O 50，然后[确定] 探测结果如下页图所示，说明操作系统是Windows 2000 SP1、SP2或者SP3 * * 所谓安全策略，是针对那些被允许进入某一组织、试图访问网络技术资源和信息资源的人所规定的、必须遵守的规则。或者说，是指网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素，所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。 制定安全策略的目的就是让所有用户、操作人员和管理员清楚，为了保护技术和信息资源所必须遵守的原则。另一个目的是提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准。只有有了适当的网络安全策略，网络的运行才能做到有章可循，才能保证计算机网络的安全可靠，才能保证系统数据资源的安全性。哪怕仅仅在缺乏一条安全策略的情况下，期望通过安全工具保证整个网络安全都是无意义的。 * * 网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中的安全状况，网络所提供的功能以及网络的易用程度。安全策略应以要实现目标为基础，而不能简单地规定要检验什么和施加什么限制。在确定的安全目标下，应该制定如何有效地利用所有安全工具的策略。网络系统的实际安全目标可能和产品供应商的目标上相差很大，供应商总想使他们的产品的配置和操作尽可能简单，安装容易，这就意味着使得系统其他设备通过他们的系统变向所有人开放。 对于网络的建设者和运行者来说，实现网络安全的第一要务实必须明确本网络的业务定位，所提供的服务类型和提供服务对象。这些数据将直接影响到安全目标的制定和实施过程。对于较大规模的网络，运营者应该有自己的网络安全技术专家，直接参与工程的设计、谈判、运行，对网络的整体拓扑结构和服务具有非常透彻的了解。 * * 安全策略的特点 所有有效的安全策略都是起码应该具有以下特点： 发布。必须通过系统正常管理程序，采用合适的标准出版物或其他适当的方式来发布。 强制执行。在适当的情况下，必须能够通过安全工具来实现其强制实施，并在技术确定不能满足要求的情况下强迫执行。 人员责任规定。必须明确规定用户、系统管理员和公司管理人员等各类人员的职责范围和权限。 1．网络信息安全的木桶原则 　　网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的安全最低点的安全性能。　　2．网络信息安全的整体性原则　　要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。　　3．安全性评价与平衡原则 　　对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。　　4．标准化与一致性原则　　系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 　　5．技术与管理相结合原则 　　安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6．统筹规划，分步实施原则 　　由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能