網(wǎng)絡(luò)安全教育培訓(xùn)-網(wǎng)絡(luò)-課件

網(wǎng)絡(luò)安全教育培訓(xùn)-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。網(wǎng)絡(luò)安全教育培訓(xùn)-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的11、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)上的通信面臨的安全性威脅 1.截獲:攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容 2.中斷:攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信 3.篡改:攻擊者故意篡改網(wǎng)絡(luò)上傳輸?shù)膱笪?4.偽造:攻擊者偽造信息在網(wǎng)絡(luò)上傳送上述的4種威脅可以分為兩類：即被動攻擊和主動攻擊。其中截獲信息被稱為被動攻擊，攻擊者只是被動地觀察和分析信息，而不干擾信息流，一般用于對網(wǎng)絡(luò)上傳輸?shù)男畔?nèi)容進行了解。中斷、篡改和偽造信息被稱為主動攻擊，主動攻擊對信息進行各種處理，如有選擇地更改、刪除或偽造等。被動攻擊是不容易被檢測出來的，一般可以采取加密的方法，使得攻擊者不能識別網(wǎng)絡(luò)中所傳輸?shù)男畔?nèi)容。對于主動攻擊除了進行信息加密以外，還應(yīng)該采取鑒別等措施。攻擊者主要是指黑客，除此之外還包括計算機病毒、蠕蟲、特洛伊木馬及邏輯炸彈等。1、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)上的通信面臨的安全性威脅21、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)通信安全的五個目標(biāo) 1.防止析出報文內(nèi)容 2.防止流量分析 3.檢測更改報文流 4.檢測拒絕報文服務(wù) 5.檢測偽造初始化連接還有一種特殊的主動攻擊，即惡意程序的攻擊 1.計算機病毒 2.計算機蠕蟲 3.特洛伊木馬1、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)通信安全的五個目標(biāo)32、一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點可靠性可用性保密性完整性不可抵賴性2、一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點可靠性41．可靠性可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，可靠性主要是指網(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能。提高可靠性的具體措施包括：提高設(shè)備質(zhì)量，配備必要的冗余和備份，采取糾錯、自愈和容錯等措施，強化災(zāi)害恢復(fù)機制，合理分配負荷等。1．可靠性可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，可靠性主要是指網(wǎng)52．可用性可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。這里包含兩個含義：一個是當(dāng)授權(quán)用戶訪問網(wǎng)絡(luò)時不致被拒絕；一個是授權(quán)用戶訪問網(wǎng)絡(luò)時要進行身份識別與確認，并且對用戶的訪問權(quán)限加以規(guī)定的限制。2．可用性可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信63．保密性保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容。常用的保密措施包括：防監(jiān)聽、防輻射、信息加密和物理保密（限制、隔離、隱蔽、控制）等。3．保密性保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性74．完整性完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保持信息的原樣。影響網(wǎng)絡(luò)信息完整性的主要因素包括：設(shè)備故障、誤碼、人為攻擊以及計算機病毒等。4．完整性完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)83、網(wǎng)絡(luò)安全分析物理安全分析網(wǎng)絡(luò)結(jié)構(gòu)的安全分析系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全分析管理的安全風(fēng)險分析3、網(wǎng)絡(luò)安全分析物理安全分析9網(wǎng)絡(luò)安全分析-物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷。總體來說物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設(shè)計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。

網(wǎng)絡(luò)安全分析-物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的10網(wǎng)絡(luò)安全分析-網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時，內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Internet/Intrant的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們在設(shè)計時有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。網(wǎng)絡(luò)安全分析-網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到11網(wǎng)絡(luò)安全分析-系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsfot的Windows或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務(wù)器主機之前的認證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。網(wǎng)絡(luò)安全分析-系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作12網(wǎng)絡(luò)安全分析-應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟、社會影響和政治影響將是很嚴(yán)重的。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。網(wǎng)絡(luò)安全分析-應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用13網(wǎng)絡(luò)安全分析-管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。網(wǎng)絡(luò)安全分析-管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部144、網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因是多方面的，主要包括：①來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。在網(wǎng)絡(luò)上，存在著很多的敏感信息，有許多信息都是一些有關(guān)國家政府、軍事、科學(xué)研究、經(jīng)濟以及金融方面的信息，有些別有用心的人企圖通過網(wǎng)絡(luò)攻擊的手段截獲信息。②來自網(wǎng)絡(luò)系統(tǒng)本身的，如網(wǎng)絡(luò)中存在著硬件、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網(wǎng)絡(luò)攻擊者以可乘之機。這是黑客能夠?qū)嵤┕舻母荆彩且恍┚W(wǎng)絡(luò)愛好者利用網(wǎng)絡(luò)存在的漏洞，編制攻擊程序的練習(xí)場所。③網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實可行的網(wǎng)絡(luò)安全策略和措施。④網(wǎng)絡(luò)安全協(xié)議的原因。在互聯(lián)網(wǎng)上使用的協(xié)議是TCP/IP，其IPv4版在設(shè)計之初沒有考慮網(wǎng)絡(luò)安全問題，從協(xié)議的根本上缺乏安全的機制，這是互聯(lián)網(wǎng)存在安全威脅的主要原因。4、網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因是多方面的，主要包括：155、常見的黑客攻擊方法口令攻擊拒絕服務(wù)的攻擊網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出電子郵件攻擊其他攻擊方法5、常見的黑客攻擊方法口令攻擊16常見的黑客攻擊方法-口令攻擊當(dāng)前，無論是計算機用戶，還是一個銀行的戶頭，都由口令來維護它的安全，通過口令來驗證用戶的身份。發(fā)生在Internet上的入侵，許多都是因為系統(tǒng)沒有口令，或者用戶使用了一個容易猜測的口令，或者口令被破譯。對付口令攻擊的有效手段是加強口令管理，選取特殊的不容易猜測的口令，口令長度不要少于8個字符。常見的黑客攻擊方法-口令攻擊當(dāng)前，無論是計算機用戶，還是一個17常見的黑客攻擊方法-拒絕服務(wù)的攻擊一個拒絕服務(wù)的攻擊是指占據(jù)了大量的系統(tǒng)資源，沒有剩余的資源給其他用戶，系統(tǒng)不能為其他用戶提供正常的服務(wù)。拒絕服務(wù)攻擊降低資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調(diào)制解調(diào)器，甚至是系統(tǒng)管理員的時間，攻擊的結(jié)果是減低或失去服務(wù)。有兩種類型的拒絕服務(wù)的攻擊，第一種攻擊試圖去破壞或者毀壞資源，使得無人可以使用這個資源，例如刪除UNIX系統(tǒng)的某個服務(wù)，這樣也就不會為合法的用戶提供正常服務(wù)。第二種類型是過載一些系統(tǒng)服務(wù)，或者消耗一些資源，這樣阻止其他用戶使用這些服務(wù)。一個最簡單的例子是，填滿一個磁盤分區(qū)，讓用戶和系統(tǒng)程序無法再生成新的文件。對拒絕服務(wù)攻擊，目前還沒有好的解決辦法。限制使用系統(tǒng)資源，可以部分防止拒絕服務(wù)。管理員還可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種類型的攻擊，甚至發(fā)現(xiàn)攻擊的來源。這時候可以通過網(wǎng)絡(luò)管理軟件設(shè)置網(wǎng)絡(luò)設(shè)備來丟棄這種類型的數(shù)據(jù)報。常見的黑客攻擊方法-拒絕服務(wù)的攻擊一個拒絕服務(wù)的攻擊是指占據(jù)18常見的黑客攻擊方法-網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上，路由設(shè)備或交換設(shè)備上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是通過監(jiān)聽截獲用戶的口令。當(dāng)前，網(wǎng)上的數(shù)據(jù)絕大多數(shù)都是以明文的形式傳輸?shù)?。而且，口令通常都很短，容易辨認。當(dāng)口令被截獲，則可以非常容易地登錄到另一臺主機上。對付監(jiān)聽的最有效的辦法是采取加密手段。常見的黑客攻擊方法-網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工19常見的黑客攻擊方法-緩沖區(qū)溢出緩沖區(qū)溢出是一個非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。產(chǎn)生緩沖區(qū)溢出的根本原因在于，將一個超過緩沖區(qū)長度的字串復(fù)制到緩沖區(qū)。溢出帶了兩種后果，一是過長的字串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴(yán)重的可引起宕機、系統(tǒng)重新啟動等后果；二是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，在UNIX系統(tǒng)中，利用SUID程序中存在的這種錯誤，使用一類精心編寫的程序，可以很輕易地取得系統(tǒng)的超級用戶權(quán)限。常見的黑客攻擊方法-緩沖區(qū)溢出緩沖區(qū)溢出是一個非常普遍、非常20常見的黑客攻擊方法-電子郵件攻擊電子郵件系統(tǒng)面臨著巨大的安全風(fēng)險，它不但要遭受前面所述的許多攻擊，如惡意入侵者破壞系統(tǒng)文件，或者對端口25（默認SMTP口）進行SYN-Flood攻擊，它們還容易成為某些專門面向郵件攻擊的目標(biāo)。①竊?。鄹臄?shù)據(jù):通過監(jiān)聽數(shù)據(jù)報或者截取正在傳輸?shù)男畔?，攻擊者能夠讀取，甚至修改數(shù)據(jù)。②偽造郵件：發(fā)送方黑客偽造電子郵件，使它們看起來似乎發(fā)自某人／某地。③拒絕服務(wù)（DenialofServiceAttack）：黑客可以讓你的系統(tǒng)或者網(wǎng)絡(luò)充斥郵件信息（即郵件炸彈攻擊）而癱瘓。這些郵件信息塞滿隊列，占用寶貴的CPU資源和網(wǎng)絡(luò)帶寬，甚至讓郵件服務(wù)器完全癱瘓。④病毒：現(xiàn)代電子郵件可以使得傳輸文件附件更加容易。如果用戶毫不提防地去執(zhí)行文件附件，病毒就會感染他們的系統(tǒng)。常見的黑客攻擊方法-電子郵件攻擊電子郵件系統(tǒng)面臨著巨大的安全21常見的黑客攻擊方法-其他攻擊方法其他的攻擊方法主要是利用一些程序進行攻擊，比如后門、程序中有邏輯炸彈和時間炸彈、病毒、蠕蟲、特洛伊木馬程序等。陷門（Trapdoor）和后門（backdoor）是一段非法的操作系統(tǒng)程序，其目的是為闖入者提供后門。邏輯炸彈和時間炸彈是當(dāng)滿足某個條件或到預(yù)定的時間時發(fā)作，破壞計算機系統(tǒng)。常見的黑客攻擊方法-其他攻擊方法其他的攻擊方法主要是利用一些22黑客攻擊的步驟：1．收集目標(biāo)計算機的信息信息收集的目的是為了進入所要攻擊的目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫。黑客會利用下列的公開協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息。用到的工具是端口掃描器和一些常用的網(wǎng)絡(luò)命令。端口掃描在下一小節(jié)有詳細介紹。常用的網(wǎng)絡(luò)命令有：SNMP協(xié)議、TraceRoute程序、Whois協(xié)議、DNS服務(wù)器、Finger協(xié)議、Ping程序、自動Wardialing軟件等。2．尋求目標(biāo)計算機的漏洞和選擇合適的入侵方法在收集到攻擊目標(biāo)的一批網(wǎng)絡(luò)信息之后，黑客攻擊者會探測網(wǎng)絡(luò)上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點。①通過發(fā)現(xiàn)目標(biāo)計算機的漏洞進入系統(tǒng)或者利用口令猜測進入系統(tǒng)。②利用和發(fā)現(xiàn)目標(biāo)計算機的漏洞，直接順利進入。黑客攻擊的步驟：1．收集目標(biāo)計算機的信息23黑客攻擊的步驟：發(fā)現(xiàn)計算機漏洞的方法用得最多的就是緩沖區(qū)溢出法。發(fā)現(xiàn)系統(tǒng)漏洞的第二個方法是平時參加一些網(wǎng)絡(luò)安全列表。還有一些入侵的方法是采用IP地址欺騙等手段。3．留下“后門”后門一般是一個特洛伊木馬程序，它在系統(tǒng)運行的同時運行，而且能在系統(tǒng)以后的重新啟動時自動運行這個程序。4．清除入侵記錄清除入侵記錄是把入侵系統(tǒng)時的各種登錄信息都刪除，以防被目標(biāo)系統(tǒng)的管理員發(fā)現(xiàn)。黑客攻擊的步驟：發(fā)現(xiàn)計算機漏洞的方法用得最多的就是緩沖區(qū)溢出246、網(wǎng)絡(luò)的安全防范建議Internet是一個公共網(wǎng)絡(luò)，網(wǎng)絡(luò)中有很多不安全的因素。一般局域網(wǎng)和廣域網(wǎng)應(yīng)該有以下安全措施：①系統(tǒng)要盡量與公網(wǎng)隔離，要有相應(yīng)的安全連接措施。②不同工作范圍的網(wǎng)絡(luò)既要采用防火墻、安全路由器、保密網(wǎng)關(guān)等相互隔離，又要在政策允許時保證互通。③為了提供網(wǎng)絡(luò)安全服務(wù)，各相應(yīng)的環(huán)節(jié)應(yīng)根據(jù)需要配置可單獨評價的加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、業(yè)務(wù)流填充、路由控制、公證、鑒別審計等安全機制，并有相應(yīng)的安全管理。④遠程客戶訪問重要的應(yīng)用服務(wù)要有鑒別服務(wù)器嚴(yán)格執(zhí)行鑒別過程和訪問控制。6、網(wǎng)絡(luò)的安全防范建議Internet是一個公共網(wǎng)絡(luò)，網(wǎng)絡(luò)256、網(wǎng)絡(luò)的安全防范建議-續(xù)⑤網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備要經(jīng)受住相應(yīng)的安全測試。⑥在相應(yīng)的網(wǎng)絡(luò)層次和級別上設(shè)立密鑰管理中心、訪問控制中心、安全鑒別服務(wù)器、授權(quán)服務(wù)器等，負責(zé)訪問控制以及密鑰、證書等安全材料的產(chǎn)生、更換、配置和銷毀等相應(yīng)的安全管理活動。⑦信息傳遞系統(tǒng)要具有抗監(jiān)聽、抗截獲能力，能對抗傳輸信息的纂改、刪除、插入、重放、選取明文密碼破譯等主動攻擊和被動攻擊，保護信息的機密性，保證信息和系統(tǒng)的完整性。⑧涉及保密的信息在傳輸過程中，在保密裝置以外不以明文形式出現(xiàn)。6、網(wǎng)絡(luò)的安全防范建議-續(xù)⑤網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備要經(jīng)受住相應(yīng)的26網(wǎng)絡(luò)安全教育培訓(xùn)-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。網(wǎng)絡(luò)安全教育培訓(xùn)-網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的271、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)上的通信面臨的安全性威脅 1.截獲:攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容 2.中斷:攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信 3.篡改:攻擊者故意篡改網(wǎng)絡(luò)上傳輸?shù)膱笪?4.偽造:攻擊者偽造信息在網(wǎng)絡(luò)上傳送上述的4種威脅可以分為兩類：即被動攻擊和主動攻擊。其中截獲信息被稱為被動攻擊，攻擊者只是被動地觀察和分析信息，而不干擾信息流，一般用于對網(wǎng)絡(luò)上傳輸?shù)男畔?nèi)容進行了解。中斷、篡改和偽造信息被稱為主動攻擊，主動攻擊對信息進行各種處理，如有選擇地更改、刪除或偽造等。被動攻擊是不容易被檢測出來的，一般可以采取加密的方法，使得攻擊者不能識別網(wǎng)絡(luò)中所傳輸?shù)男畔?nèi)容。對于主動攻擊除了進行信息加密以外，還應(yīng)該采取鑒別等措施。攻擊者主要是指黑客，除此之外還包括計算機病毒、蠕蟲、特洛伊木馬及邏輯炸彈等。1、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)上的通信面臨的安全性威脅281、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)通信安全的五個目標(biāo) 1.防止析出報文內(nèi)容 2.防止流量分析 3.檢測更改報文流 4.檢測拒絕報文服務(wù) 5.檢測偽造初始化連接還有一種特殊的主動攻擊，即惡意程序的攻擊 1.計算機病毒 2.計算機蠕蟲 3.特洛伊木馬1、網(wǎng)絡(luò)安全問題概述計算機網(wǎng)絡(luò)通信安全的五個目標(biāo)292、一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點可靠性可用性保密性完整性不可抵賴性2、一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點可靠性301．可靠性可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，可靠性主要是指網(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能。提高可靠性的具體措施包括：提高設(shè)備質(zhì)量，配備必要的冗余和備份，采取糾錯、自愈和容錯等措施，強化災(zāi)害恢復(fù)機制，合理分配負荷等。1．可靠性可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，可靠性主要是指網(wǎng)312．可用性可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。這里包含兩個含義：一個是當(dāng)授權(quán)用戶訪問網(wǎng)絡(luò)時不致被拒絕；一個是授權(quán)用戶訪問網(wǎng)絡(luò)時要進行身份識別與確認，并且對用戶的訪問權(quán)限加以規(guī)定的限制。2．可用性可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信323．保密性保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容。常用的保密措施包括：防監(jiān)聽、防輻射、信息加密和物理保密（限制、隔離、隱蔽、控制）等。3．保密性保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性334．完整性完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保持信息的原樣。影響網(wǎng)絡(luò)信息完整性的主要因素包括：設(shè)備故障、誤碼、人為攻擊以及計算機病毒等。4．完整性完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)343、網(wǎng)絡(luò)安全分析物理安全分析網(wǎng)絡(luò)結(jié)構(gòu)的安全分析系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全分析管理的安全風(fēng)險分析3、網(wǎng)絡(luò)安全分析物理安全分析35網(wǎng)絡(luò)安全分析-物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷?？傮w來說物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設(shè)計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。

網(wǎng)絡(luò)安全分析-物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的36網(wǎng)絡(luò)安全分析-網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時，內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Internet/Intrant的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們在設(shè)計時有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。網(wǎng)絡(luò)安全分析-網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到37網(wǎng)絡(luò)安全分析-系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsfot的Windows或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務(wù)器主機之前的認證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。網(wǎng)絡(luò)安全分析-系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作38網(wǎng)絡(luò)安全分析-應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟、社會影響和政治影響將是很嚴(yán)重的。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。網(wǎng)絡(luò)安全分析-應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用39網(wǎng)絡(luò)安全分析-管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。網(wǎng)絡(luò)安全分析-管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部404、網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因是多方面的，主要包括：①來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。在網(wǎng)絡(luò)上，存在著很多的敏感信息，有許多信息都是一些有關(guān)國家政府、軍事、科學(xué)研究、經(jīng)濟以及金融方面的信息，有些別有用心的人企圖通過網(wǎng)絡(luò)攻擊的手段截獲信息。②來自網(wǎng)絡(luò)系統(tǒng)本身的，如網(wǎng)絡(luò)中存在著硬件、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網(wǎng)絡(luò)攻擊者以可乘之機。這是黑客能夠?qū)嵤┕舻母?，也是一些網(wǎng)絡(luò)愛好者利用網(wǎng)絡(luò)存在的漏洞，編制攻擊程序的練習(xí)場所。③網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實可行的網(wǎng)絡(luò)安全策略和措施。④網(wǎng)絡(luò)安全協(xié)議的原因。在互聯(lián)網(wǎng)上使用的協(xié)議是TCP/IP，其IPv4版在設(shè)計之初沒有考慮網(wǎng)絡(luò)安全問題，從協(xié)議的根本上缺乏安全的機制，這是互聯(lián)網(wǎng)存在安全威脅的主要原因。4、網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因是多方面的，主要包括：415、常見的黑客攻擊方法口令攻擊拒絕服務(wù)的攻擊網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出電子郵件攻擊其他攻擊方法5、常見的黑客攻擊方法口令攻擊42常見的黑客攻擊方法-口令攻擊當(dāng)前，無論是計算機用戶，還是一個銀行的戶頭，都由口令來維護它的安全，通過口令來驗證用戶的身份。發(fā)生在Internet上的入侵，許多都是因為系統(tǒng)沒有口令，或者用戶使用了一個容易猜測的口令，或者口令被破譯。對付口令攻擊的有效手段是加強口令管理，選取特殊的不容易猜測的口令，口令長度不要少于8個字符。常見的黑客攻擊方法-口令攻擊當(dāng)前，無論是計算機用戶，還是一個43常見的黑客攻擊方法-拒絕服務(wù)的攻擊一個拒絕服務(wù)的攻擊是指占據(jù)了大量的系統(tǒng)資源，沒有剩余的資源給其他用戶，系統(tǒng)不能為其他用戶提供正常的服務(wù)。拒絕服務(wù)攻擊降低資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調(diào)制解調(diào)器，甚至是系統(tǒng)管理員的時間，攻擊的結(jié)果是減低或失去服務(wù)。有兩種類型的拒絕服務(wù)的攻擊，第一種攻擊試圖去破壞或者毀壞資源，使得無人可以使用這個資源，例如刪除UNIX系統(tǒng)的某個服務(wù)，這樣也就不會為合法的用戶提供正常服務(wù)。第二種類型是過載一些系統(tǒng)服務(wù)，或者消耗一些資源，這樣阻止其他用戶使用這些服務(wù)。一個最簡單的例子是，填滿一個磁盤分區(qū)，讓用戶和系統(tǒng)程序無法再生成新的文件。對拒絕服務(wù)攻擊，目前還沒有好的解決辦法。限制使用系統(tǒng)資源，可以部分防止拒絕服務(wù)。管理員還可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種類型的攻擊，甚至發(fā)現(xiàn)攻擊的來源。這時候可以通過網(wǎng)絡(luò)管理軟件設(shè)置網(wǎng)絡(luò)設(shè)備來丟棄這種類型的數(shù)據(jù)報。常見的黑客攻擊方法-拒絕服務(wù)的攻擊一個拒絕服務(wù)的攻擊是指占據(jù)44常見的黑客攻擊方法-網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上，路由設(shè)備或交換設(shè)備上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是通過監(jiān)聽截獲用戶的口令。當(dāng)前，網(wǎng)上的數(shù)據(jù)絕大多數(shù)都是以明文的形式傳輸?shù)摹６?，口令通常都很短，容易辨認。當(dāng)口令被截獲，則可以非常容易地登錄到另一臺主機上。對付監(jiān)聽的最有效的辦法是采取加密手段。常見的黑客攻擊方法-網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工45常見的黑客攻擊方法-緩沖區(qū)溢出緩沖區(qū)溢出是一個非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。產(chǎn)生緩沖區(qū)溢出的根本原因在于，將一個超過緩沖區(qū)長度的字串復(fù)制到緩沖區(qū)。溢出帶了兩種后果，一是過長的字串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴(yán)重的可引起宕機、系統(tǒng)重新啟動等后果；二是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，在UNIX系統(tǒng)中，利用SUID程序中存在的這種錯誤，使用一類精心編寫的程序，可以很輕易地取得系統(tǒng)的超級用戶權(quán)限。常見的黑客攻擊方法-緩沖區(qū)溢出緩沖區(qū)溢出是一個非常普遍、非常46常見的黑客攻擊方法-電子郵件攻擊電子郵件系統(tǒng)面臨著巨大的安全風(fēng)險，它不但要遭受前面所述的許多攻擊，如惡意入侵者破壞系統(tǒng)文件，或者對端口25（默認SMTP口）進行SYN-Flood攻擊，它們還容易成為某些專門面向郵件攻擊的目標(biāo)。①竊?。鄹臄?shù)據(jù):通過監(jiān)聽數(shù)據(jù)報或者截取正在傳輸?shù)男畔?，攻擊者能夠讀取，甚至修改數(shù)據(jù)。②偽造郵件：發(fā)送方黑客偽造電子郵件，使它們看起來似乎發(fā)自某人／某地。③拒絕服務(wù)（DenialofServiceAttack）：黑客可以讓你的系統(tǒng)或者網(wǎng)絡(luò)充斥郵件信息（即郵件炸彈攻擊）而癱瘓。這些郵件信息塞滿隊列，占用寶貴的CPU資源和網(wǎng)絡(luò)帶寬，甚至讓郵件服務(wù)器完全癱瘓。④病毒：現(xiàn)代電子郵件可以使得傳輸文件附件更加容易。如果用戶毫不提防地去執(zhí)行文件附件，病毒就會感染他們的系統(tǒng)。常見的黑客攻擊方法-電子郵件攻