计算机网络技术17 网络安全技术.pptVIP

〔2〕可信计算机评估标准

美国国防部公布的?可信计算机系统评估准那么?TCSEC(TrustedComputerSystemEvaluationCriteria)将计算机系统的平安可信度从低到高分为四类七个级别，该标准已成为事实上的国际标准。

·D级(最小保护)：除物理上的平安设施外没有任何平安措施，任何人只要启动系统就可以访问系统的资源和数据。

·C1级(选择的平安保护)：具有自主访问控制机制，用户登录时需要进行身份鉴别。

·C2级(访问控制保护)：具有审计和验证机制，Unix和Windows等系统大多具有此类的平安设施。

·B1级(强制平安保护)：引入强制访问控制机制，能够对主体和客体的平安标记进行管理。

·B2级〔结构化平安保护〕：具有形式化的平安模型，着重强调实际评价的手段，能够对隐通道进行限制。

·B3级〔平安域机制〕：具有硬件支持的平安域别离措施，从而保证平安域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。

·A1级〔可验证的平安设计〕：要求对平安模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。;〔3〕网络平安现状

①计算机病毒泛滥

自1983年美国计算机平安专家考因在实验室中编写出第一个计算机病毒以来，病毒就成为所有计算机用户的一个梦魇，也是当前信息网络平安最直接的威胁。

·病毒数量爆发式增长。根据瑞星公司的报告显示，2005年同期为26927个，2006年同期为119402个，2007年截获病毒样本数高达917839个。

·病毒传播速度加快。20世纪90年代，一个计算机病毒需要三年时间才能传染全球，而借助现今的信息网络那么仅仅需要几分钟。

·病毒危害方式日趋严重。病毒从最初的抢占系统资源，已经开展为不仅破坏软件和数据，甚至可以直接破坏系统硬件。

·造成的损失巨大。2000年5月3日至4日，全球数百万台计算机被“爱虫〞病毒感染，短短两天就造成经济损失20多亿美元，成为有史以来破坏力最强的计算机病毒事件。;〔2〕网络黑客的防范

④网络入侵的防范

网络入侵的目的是非授权获得目标主机的管理员权限，常用的方法有社会工程学、网络侦听、网络扫描、暴力破解等方法。

只要设置一个健壮的密码〔长度够长、满足复杂性要求，与敏感信息无关〕，及时打上系统漏洞补丁即可有效地防范网络入侵。;〔2〕网络黑客的防范

⑤网络后门的防范

网络后门是指通过非正常方式登陆效劳器的途径。

·Windows的RPC允许远程终端通过3389端口使用远程桌面连接工具〔mstsc.exe〕或Web方式登陆效劳器。

只要关闭远程登录效劳即可预防。

·网络木马是一种C/S软件，多数木马都会把自身复制到系统目录下并参加注册表的启动项中，中了木马的效劳器自动开启守护进程监听默认端口的连接请求供攻击者连接，攻击者可以使用客户端远程控制效劳器。

木马通常隐藏在Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组以及注册表等地方，只要仔细查找，不难查杀木马。也可以使用TheCleaner、木马克星、LockDown2000、PestPatrol等工具软件查杀木马。

·克隆帐号是通过windows注册表使用两处保存系统帐号的漏洞，登陆时用的是后者，查询时用前者。

在命令行下使用“netuser〞查看计算机上的用户，然后再使用“netuser用户名〞查看用户的权限，如果发现属于administrators组的普通用户，可以肯定是克隆管理员，使用“netuser用户名/del〞删掉。;〔2〕平台平安防护

①使用NTFS格式对硬盘进行分区；

②XP的“简单文件共享〞的功能包含许多NetBIOS漏洞，必需关闭；

③禁用Guest帐户；

④设置Administrator帐户陷阱；

⑤关闭不用的效劳；

⑥开启平安策略；

⑦修改注册表，关机时去除页面文件，禁止创立转储文件和Dump文件，禁止建立空连接，禁止判断主机类型；

⑧对重要信息进行加密；

⑨随时起用具有健壮密码保护的屏保程序。;〔3〕数据库平安防护

①安装数据库系统后，立