2012年自考“互聯(lián)網(wǎng)及其應(yīng)用”串講筆記（25）

一、計(jì)算機(jī)安全基礎(chǔ)（轉(zhuǎn)于自考365網(wǎng) zikao365.com）

計(jì)算機(jī)安全的定義：計(jì)算機(jī)系統(tǒng)要保護(hù)其硬件、數(shù)據(jù)不被偶然或故意的泄漏、更改和破壞。

美國(guó)國(guó)防部公布了 桔皮書 （可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則）

桔皮書將計(jì)算安全由低到高分為四類七級(jí)：D1 C1 C2 B1 B2 B3 A1

D1 級(jí)，計(jì)算機(jī)安全的最低一級(jí)。整個(gè)系統(tǒng)是不可信任的，硬件和操作系統(tǒng)很容易被侵襲，任何人都可以使用該計(jì)算機(jī)系統(tǒng)，主要有：MS-Dos、MS-Windows3.x/Windows95、Apple的System7.x；

C1級(jí)，自主安全保護(hù)級(jí)。系統(tǒng)要求硬件有一定的安全機(jī)制，用戶在使用前必須登錄到系統(tǒng)，并建立了訪問(wèn)許可權(quán)限機(jī)制，但用戶直接訪問(wèn)操作系統(tǒng)的根，不能控制進(jìn)入系統(tǒng)的用戶的訪問(wèn)級(jí)別，主要有：早期UNIX、XENIX、Novell3.x；

C2 級(jí)，受控存取保護(hù)級(jí)。引進(jìn)了受控訪環(huán)境（用戶權(quán)限級(jí)別），進(jìn)一步限制了用戶執(zhí)行某些系統(tǒng)指令，授權(quán)分級(jí)使系統(tǒng)管理員能夠分用戶分組，授予他們?cè)L問(wèn)某些程序的權(quán)限或訪問(wèn)分級(jí)目錄。數(shù)據(jù)訪問(wèn)為目錄級(jí)，還采用了系統(tǒng)審計(jì)，跟蹤所有安全事件及系統(tǒng)管理員的工作，主要有：UNIX系統(tǒng)、 XENIX、Novell3.x以上版本、Windows NT；

B1 級(jí)，標(biāo)記安全保護(hù)級(jí)。對(duì)網(wǎng)絡(luò)上每一對(duì)象都 實(shí)施保護(hù)，支持多級(jí)安全，對(duì)象必須在訪問(wèn)控制下不允許擁有者自己改變所屬資源的權(quán)限；

B2 級(jí)，結(jié)構(gòu)化保護(hù)級(jí)。要求計(jì)算機(jī)系統(tǒng)中所有對(duì)象加標(biāo)簽，而且給工作站、終端和磁盤驅(qū)動(dòng)器分配不同的安全級(jí)別，按照最小特權(quán)原則，任何人都不能享有操縱和管理計(jì)算機(jī)的全部權(quán)利；

B3 級(jí)，安全域級(jí)。要求用戶工作站或終端通過(guò)可信任途徑連接網(wǎng)絡(luò)系統(tǒng)，必須采用硬件來(lái)保護(hù)安全系統(tǒng)的存儲(chǔ)區(qū)；

A1級(jí) ，驗(yàn)證設(shè)計(jì)級(jí)，這是桔皮書中的最高安全級(jí)別。包括了以上各級(jí)的所有特性，還附加一個(gè)安全系統(tǒng)受監(jiān)視的設(shè)計(jì)要求，合格的安全個(gè)體必須分析并通過(guò)這一設(shè)計(jì)，保證系統(tǒng)部件來(lái)源的安全，還規(guī)定了系統(tǒng)安全運(yùn)送到現(xiàn)場(chǎng)安裝所必須遵循的程序。

二、網(wǎng)絡(luò)安全控制措施

1）物理安全

一是人為對(duì)網(wǎng)絡(luò)的損害

二是網(wǎng)絡(luò)對(duì)使用者的危害

2）訪問(wèn)控制

①口令

網(wǎng)絡(luò)安全的最外層防線就是網(wǎng)絡(luò)用戶的登陸

②網(wǎng)絡(luò)資源屬主、屬性和訪問(wèn)權(quán)限

資源的屬主體現(xiàn)了不同用戶對(duì)網(wǎng)絡(luò)資源的從屬關(guān)系

資源的屬性表示了資源本身的存取特性

③網(wǎng)絡(luò)安全監(jiān)視

網(wǎng)絡(luò)件事同稱為 網(wǎng)管 ，他的作用主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行動(dòng)態(tài)的監(jiān)視并及時(shí)處理各種事件

④審計(jì)和跟蹤

包括對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記賬等方面的記錄和分析

3）傳輸安全

①加密和數(shù)字簽名

網(wǎng)上加密分為三層，第一層位數(shù)據(jù)鏈路層加密；第二層是傳輸層的加密；第三層是應(yīng)用層上的加密

數(shù)字簽名是數(shù)據(jù)的接收者用來(lái)證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無(wú)誤的一種方法。主要是通過(guò)加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。目前通常采用的簽名標(biāo)準(zhǔn)是DDS

②防火墻

③SSL協(xié)議

SSL的目標(biāo)是提供兩個(gè)應(yīng)用軟件之間通信的保密性和可靠性

④郵件安全

一般使用加密于數(shù)字簽名的技術(shù)來(lái)保證郵件的安全

2. 防火墻

一、防火墻的基本概念

防火墻是兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn) 控制策略的系統(tǒng)。他在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置障礙，以阻止外界對(duì)內(nèi)部資源的非法訪問(wèn)，也可以防止內(nèi)部對(duì)外部的不安全的訪問(wèn)。

二、防火墻技術(shù)分類

防火墻技術(shù)大體分為兩類：網(wǎng)絡(luò)層和應(yīng)用層

網(wǎng)絡(luò)層技術(shù)根據(jù)針對(duì)網(wǎng)絡(luò)層和傳輸層的原則對(duì)傳輸?shù)男畔⑦M(jìn)行過(guò)濾。網(wǎng)絡(luò)層技術(shù)的一個(gè)范例就是包過(guò)濾技術(shù)，他在網(wǎng)絡(luò)的出入口隊(duì)通過(guò)的數(shù)據(jù)包進(jìn)行過(guò)濾，只有滿足條件的數(shù)據(jù)報(bào)才能允許通過(guò)，否則被拋棄。這樣可以有效的防治惡意用戶利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)進(jìn)行攻擊。

應(yīng)用層技術(shù)控制對(duì)應(yīng)用程序的訪問(wèn)。應(yīng)用層防火墻也稱為代理服務(wù)器，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP\IP功能。

網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻的比較：課本163表7-2

三、防火墻應(yīng)用系統(tǒng)

1）單一網(wǎng)絡(luò)過(guò)濾

2）雙宿主網(wǎng)關(guān)

3）主機(jī)過(guò)濾

4）子網(wǎng)過(guò)濾

課本164-165圖7-3 7-4 7-5 7-6

3. 網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)病毒

一、網(wǎng)絡(luò)黑客與入侵者

黑客是指對(duì)于任何計(jì)算機(jī)操作系統(tǒng)的奧秘都有強(qiáng)烈興趣的人

入侵者是指懷著不良的企圖，闖入甚至破壞遠(yuǎn)程機(jī)器系統(tǒng)完整性的人

兩者動(dòng)機(jī)不同 （轉(zhuǎn)于自考365網(wǎng) zikao365.com）

二、網(wǎng)絡(luò)病毒

4. 系統(tǒng)安全設(shè)計(jì)

一、Windows NT 4 Server安全特性

Windows NT 4 Server具備C2級(jí)安全性

二、UNIX系統(tǒng)安全特性

在此不再贅述，詳細(xì)看書165-168

5. 網(wǎng)絡(luò)系統(tǒng)可靠性設(shè)計(jì)

網(wǎng)絡(luò)可靠性主要指系統(tǒng)的容錯(cuò)能力，既當(dāng)網(wǎng)絡(luò)系統(tǒng)突然發(fā)生故障時(shí)，系統(tǒng)能夠繼續(xù)工作既迅速恢復(fù)的能力

一、系統(tǒng)容錯(cuò)與冗余設(shè)計(jì)

1）軟件容錯(cuò)

容錯(cuò)系統(tǒng)有兩套設(shè)備構(gòu)成，一臺(tái)作為主機(jī)，另一臺(tái)最為備份機(jī)

2）硬件容錯(cuò)

3）容錯(cuò)存儲(chǔ)

4）數(shù)據(jù)備份

5）容錯(cuò)電源