第七章 計算機網絡安全與管理技術

　　7. 1 計算機網絡安全和防火墻技術

　　1. 網絡系統安全基礎

　　一、計算機安全基礎（轉于自考365網 zikao365.com）

　　計算機安全的定義：計算機系統要保護其硬件、數據不被偶然或故意的泄漏、更改和破壞。

　　美國國防部公布了“桔皮書”（可信計算機系統標準評估準則）

　　桔皮書將計算安全由低到高分為四類七級：D1 C1 C2 B1 B2 B3 A1

　　D1 級，計算機安全的更低一級。整個系統是不可信任的，硬件和操作系統很容易被侵襲，任何人都可以使用該計算機系統，主要有：MS-Dos、MS-Windows3.x/Windows95、Apple的System7.x；

　　C1級，自主安全保護級。系統要求硬件有一定的安全機制，用戶在使用前必須登錄到系統，并建立了訪問許可權限機制，但用戶直接訪問操作系統的根，不能控制進入系統的用戶的訪問級別，主要有：早期UNIX、XENIX、Novell3.x；

　　C2 級，受控存取保護級。引進了受控訪環境（用戶權限級別），進一步限制了用戶執行某些系統指令，授權分級使系統管理員能夠分用戶分組，授予他們訪問某些程序的權限或訪問分級目錄。數據訪問為目錄級，還采用了系統審計，跟蹤所有安全事件及系統管理員的工作，主要有：UNIX系統、　　XENIX、Novell3.x以上版本、Windows NT；

　　B1 級，標記安全保護級。對網絡上每一對象都 實施保護，支持多級安全，對象必須在訪問控制下不允許擁有者自己改變所屬資源的權限；

　　B2 級，結構化保護級。要求計算機系統中所有對象加標簽，而且給工作站、終端和磁盤驅動器分配不同的安全級別，按照更小特權原則，任何人都不能享有操縱和管理計算機的全部權利；

　　B3 級，安全域級。要求用戶工作站或終端通過可信任途徑連接網絡系統，必須采用硬件來保護安全系統的存儲區；

　　A1級 ，驗證設計級，這是桔皮書中的更高安全級別。包括了以上各級的所有特性，還附加一個安全系統受監視的設計要求，合格的安全個體必須分析并通過這一設計，保證系統部件來源的安全，還規定了系統安全運送到現場安裝所必須遵循的程序。

　　二、網絡安全控制措施

　　1）物理安全

　　一是人為對網絡的損害

　　二是網絡對使用者的危害

　　2）訪問控制

　　①口令

　　網絡安全的更外層防線就是網絡用戶的登陸

　　②網絡資源屬主、屬性和訪問權限

　　資源的屬主體現了不同用戶對網絡資源的從屬關系

　　資源的屬性表示了資源本身的存取特性

　?、劬W絡安全監視

　　網絡件事同稱為“網管”，他的作用主要是對整個網絡的運行情況進行動態的監視并及時處理各種事件

　　④審計和跟蹤

　　包括對網絡資源的使用、網絡故障、系統記賬等方面的記錄和分析

　　3）傳輸安全

　?、偌用芎蛿底趾灻?/p>

　　網上加密分為三層，第一層位數據鏈路層加密；第二層是傳輸層的加密；第三層是應用層上的加密

　　數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法。主要是通過加密算法和證實協議而實現。目前通常采用的簽名標準是DDS

　?、诜阑饓?/p>

　?、跾SL協議

　　SSL的目標是提供兩個應用軟件之間通信的保密性和可靠性

　?、茑]件安全

　　一般使用加密于數字簽名的技術來保證郵件的安全

　　2. 防火墻

　　一、防火墻的基本概念

　　防火墻是兩個網絡之間執行訪問—控制策略的系統。他在內部網絡與外部網絡之間設置障礙，以阻止外界對內部資源的非法訪問，也可以防止內部對外部的不安全的訪問。

　　二、防火墻技術分類

　　防火墻技術大體分為兩類：網絡層和應用層

　　網絡層技術根據針對網絡層和傳輸層的原則對傳輸的信息進行過濾。

　　應用層技術控制對應用程序的訪問。應用層防火墻也稱為代理服務器，它能夠代替網絡用戶完成特定的TCP\IP功能。

　　網絡層防火墻和應用層防火墻的比較：課本163表7-2

　　三、防火墻應用系統

　　1）單一網絡過濾

　　2）雙宿主網關

　　3）主機過濾

　　4）子網過濾

　　課本164-165圖7-3 7-4 7-5 7-6

　　3. 網絡黑客與網絡病毒

　　一、網絡黑客與入侵者

　　黑客是指對于任何計算機操作系統的奧秘都有強烈興趣的人

　　入侵者是指懷著不良的企圖，闖入甚至破壞遠程機器系統完整性的人

　　兩者動機不同 （轉于自考365網 zikao365.com）

　　二、網絡病毒

　　4. 系統安全設計

　　一、Windows NT 4 Server安全特性

　　Windows NT 4 Server具備C2級安全性

　　二、UNIX系統安全特性

　　在此不再贅述，詳細看書165-168

　　5. 網絡系統可靠性設計

　　網絡可靠性主要指系統的容錯能力，既當網絡系統突然發生故障時，系統能夠繼續工作既迅速恢復的能力

　　一、系統容錯與冗余設計

　　1）軟件容錯

　　容錯系統有兩套設備構成，一臺作為主機，另一臺更為備份機

　　2）硬件容錯

　　3）容錯存儲

　　4）數據備份

　　5）容錯電源

資料來源于網絡，僅供參考！

　　編輯推薦：

　　2012年10月自考備考專題：四大沖關利器 助你考場大捷

　　2012年自考《互聯網及其應用》復習資料下載

　　自考365網校2012年10月自考串講班火爆熱招！

　　歷年試題免費在線測試 每天一小題 前進一大步