计算机网络安全基础知识 (2)精选文档.ppt

《计算机网络安全基础知识 (2)精选文档.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全基础知识 (2)精选文档.ppt（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络安全基础知识计算机网络安全基础知识本讲稿第一页，共六十三页任务一任务一任务一任务一 Ping攻击与防范攻击与防范 任务分析任务分析任务分析任务分析技能目标技能目标技能目标技能目标知识链接知识链接知识链接知识链接操作步骤操作步骤操作步骤操作步骤本讲稿第二页，共六十三页一一.真实工作任务分析：真实工作任务分析：测试特理网络的命令测试特理网络的命令Ping（因特网（因特网包探索器）是用于测试网络连接量的程包探索器）是用于测试网络连接量的程序。它发送一个序。它发送一个ICMP响应请求消息响应请求消息给目的地，并报告是否收到所希望给目的地，并报告是否收到所希望的的ICMP应答，校验与远程或本地

2、计算应答，校验与远程或本地计算机的连接。机的连接。本讲稿第三页，共六十三页一一.真实工作任务分析：真实工作任务分析：本案例中的攻击只需网中多台电脑同时在本案例中的攻击只需网中多台电脑同时在Ping后加上参数后加上参数-t对目标机进行长时间测试，从对目标机进行长时间测试，从攻击的意义而言就完成了一次攻击的意义而言就完成了一次Ping攻击，大量攻击，大量的数据包将会使目标机运行速度越来越慢，的数据包将会使目标机运行速度越来越慢，甚至瘫痪。在甚至瘫痪。在DOS环境中完成这个命令，命环境中完成这个命令，命令如下：令如下：格式：格式：Ping 目标目标IP地址地址 t例：例：Ping 192.168.0

3、.6 t本讲稿第四页，共六十三页二二.技能目标：技能目标：1.掌握掌握Ping攻攻击与防范方击与防范方法法2.掌握利用工具掌握利用工具软件检测系统漏软件检测系统漏洞的方法洞的方法本讲稿第五页，共六十三页三三.知识链接：知识链接：1计算机网络计算机网络安全定义安全定义23计算机网络计算机网络安全特征安全特征网络面临的威网络面临的威胁胁本讲稿第六页，共六十三页课堂讨论：课堂讨论：你你碰碰到到过过网网络络不不安安全全的的情情况况没没有有?你你碰碰到到的的情情况况有有什么样的症状什么样的症状?你是怎样解决的你是怎样解决的?。本讲稿第七页，共六十三页三三.知识链接：知识链接：随随着着网网络络技技术术的的

4、不不断断发发展展,网网络络在在人人们们的的生生活活中中已已经经占占有有一一席席之之地地,为为人人们们的的生生活活带带来来了了很很大大方方便便。然然而而，网网络络也也不不是是完完美美无无缺缺的的，它它在在给给人人们们带带来来惊惊喜喜的的同同时时，也也带带来来了了威威胁胁。计计算算机机犯犯罪罪、黑黑客客、有有害害程程序序和和后后门门问问题题等等严严重重威威胁胁着着网网络络的的安安全全。目目前前，网网络络安安全全问问题题等等严严重重威威胁胁着网络的安全。着网络的安全。1.网络安全定义网络安全定义本讲稿第八页，共六十三页三三.知识链接：知识链接：网网络络的的安安全全策策略略一一般般分分为为三三类类：逻

5、逻辑辑上上的的，物物理理上上的的和和政政策策上上的的。逻逻辑辑上上的的措措施施，即即研研究究开开发发有有效效的的网网络络安安全全技技术术，例例如如，安安全全协协议议、密密码码技技术术、数数字字签签名名、防防火火墙墙、安安全全管管理、安全审计等。理、安全审计等。本讲稿第九页，共六十三页三三.知识链接：知识链接：计计算算机机网网络络安安全全是是指指保保持持网网络络中中的的硬硬件件、软软件件系系统统正正常常运运行行，使使它它们们不不因因自自然然和和人人为为的的因因素素而而受受到到破破坏坏更更改改和和泄泄露露。网网络络安安全全主主要要包包括括物物理理安安全全、软软件件安安全全、数数据据安安全全和和运运

6、行行安全等安全等4个方面。个方面。本讲稿第十页，共六十三页三三.知识链接：知识链接：案例案例1:本讲稿第十一页，共六十三页三三.知识链接：知识链接：案例案例2:本讲稿第十二页，共六十三页三三.知识链接：知识链接：案例案例3:本讲稿第十三页，共六十三页三三.知识链接：知识链接：由由于于网网络络安安全全威威胁胁的的多多样样性性、复复杂杂性性及及网网络络信信息息、数数据据的的重重要要性性，在在设设计计网网络络系系统统的的安安全全时时，应应该该努努力力达达到到安安全全目目标标。一一个个安安全全的的网网络络具具有有下下面面五五个个特特征征：可可靠靠性性、可用性、保密性、完整性和不可低赖性。可用性、保密性

7、、完整性和不可低赖性。2.计算机网络安全的特征计算机网络安全的特征 本讲稿第十四页，共六十三页三三.知识链接：知识链接：（1）可靠性）可靠性可靠性是网络安全最基本的要求之一，是指系统可靠性是网络安全最基本的要求之一，是指系统在规定条件下和规定时间内完成规定功能的概率。在规定条件下和规定时间内完成规定功能的概率。(2)可用性是指信息和通信服务在需要时允许授权人或实体使用。（3）保密性保密性指防止信息泄漏给非授权个人或实体,信息只为授权用户使用.保密性是面向信息的安全要求。2.计算机网络安全的特征计算机网络安全的特征 本讲稿第十五页，共六十三页三三.知识链接：知识链接：（4）完整性）完整性完整性也

8、是面向信息的安全要求。它是指信息不完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。插入等破坏的特性。（5）不可抵赖性）不可抵赖性不可抵赖性也称作不可否认性，是面向通信双方（人、不可抵赖性也称作不可否认性，是面向通信双方（人、实体或进程）信息真实的安全要求。实体或进程）信息真实的安全要求。2.计算机网络安全的特征计算机网络安全的特征 本讲稿第十六页，共六十三页三三.知识链接：知识链接：1计算机系统的脆弱性计算机系统的脆弱性计算机系统的脆弱性主要来自计算机操作系统的不计算机系统的脆弱性主要来自计算机

9、操作系统的不安全性，在网络环境下，还来源于网络通信协议的安全性，在网络环境下，还来源于网络通信协议的不安全性。不安全性。2网络内部的威胁网络内部的威胁对网络内部的威胁主要是来自网络内部的用户，这些用对网络内部的威胁主要是来自网络内部的用户，这些用户试图访问那些不允许使用的资源和服务器。可以分为户试图访问那些不允许使用的资源和服务器。可以分为两种情况：一种是有意的安全破坏，第二种是由于用户两种情况：一种是有意的安全破坏，第二种是由于用户安全意识差造成的无意识的操作失误，使得系统或网络安全意识差造成的无意识的操作失误，使得系统或网络误操作或崩溃。误操作或崩溃。3.网络面临的内部威胁网络面临的内部威

10、胁 本讲稿第十七页，共六十三页三三.知识链接：知识链接：除了受到来自网络内部的安全威胁外，网络还受到来自外界的各种各样的威胁。网络系统的威胁是多样的，因为在网络系统中可能存在许多种类的计算机和操作系统，采用统一的安全措施是不容易的，也是不可能的，而对网络进行集中安全管理则是一种好的方案。安全威胁主要可以归结为物理威胁、网络威胁、身份鉴别、编程、系统漏洞等方面。4.网络面临的外部威胁网络面临的外部威胁 本讲稿第十八页，共六十三页四四.真实工作任务分析：真实工作任务分析：PingPing攻击与防范攻击与防范测试特理网络的命令测试特理网络的命令Ping（因特网（因特网包探索器）是用于测试网络连接量包

11、探索器）是用于测试网络连接量的程序。它发送一个的程序。它发送一个ICMP响应请求响应请求消息给目的地，并报告是否收到所消息给目的地，并报告是否收到所希望的希望的ICMP应答，校验与远程或本地应答，校验与远程或本地计算机的连接。计算机的连接。本讲稿第十九页，共六十三页四四.真实工作任务分析：真实工作任务分析：Ping Ping攻击与防范攻击与防范本案例中的攻击只需网中多台电脑同时在本案例中的攻击只需网中多台电脑同时在Ping后加上参数后加上参数-t对目标机进行长时间测试，从攻对目标机进行长时间测试，从攻击的意义而言就完成了一次击的意义而言就完成了一次Ping攻击，大量的攻击，大量的数据包将会使目

12、标机运行速度越来越慢，甚至数据包将会使目标机运行速度越来越慢，甚至瘫痪。在瘫痪。在DOS环境中完成这个命令，命令如下：环境中完成这个命令，命令如下：格式：格式：Ping 目标目标IP地址地址 t例：例：Ping 192.168.0.6 t本讲稿第二十页，共六十三页系统内置的网络测试工具系统内置的网络测试工具系统内置的网络测试工具系统内置的网络测试工具pingpingpingping本讲稿第二十一页，共六十三页v-t 有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下Control-C。v-a解析主机的NETBIOS主机名，如果你想知道你所ping的要机计算机名则要

13、加上这个参数了，一般是在运用ping命令后的第一行就显示出来。v-n count定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。v-l length定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping发送的数据包大小为32byt，也可以自己定义，但有一个限制，就是最大只能发送65500byt，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据

14、包大小。v-f 在数据包中发送“不要分段”标志，一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。本讲稿第二十二页，共六十三页v-i ttl 指定TTL值在对方的系统里停留的时间，此参数同样是帮助你检查网络运转情况的。v-v tos 将“服务类型”字段设置为“tos”指定的值。v-r count 在“记录路由”字段中记录传出和返回数据包的路由。一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过v此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由。v-s count指定“count”指定的

15、跃点数的时间戳，此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。v-j host-list 利用“computer-list”指定的计算机列表路由数据包。连续计算机可以被中间网关分隔IP 允许的最大数量为 9。v-k host-list 利用“computer-list”指定的计算机列表路由数据包。连续计算机不能被中间网关分隔IP 允许的最大数量为 9。v-w timeout指定超时间隔，单位为毫秒。vdestination-list 是指要测试的主机名或IP地址本讲稿第二十三页，共六十三页vping IP-t连续对IP地址执行Ping命令。vping IP-l

16、 2000指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。vping IP-n执行特定次数的Ping命令。PingPingPingPing命令的常用参数选项命令的常用参数选项命令的常用参数选项命令的常用参数选项本讲稿第二十四页，共六十三页-t-t-t-t参数参数参数参数 有这个参数时，当你有这个参数时，当你有这个参数时，当你有这个参数时，当你pingpingpingping一个主机时系统就不停的一个主机时系统就不停的一个主机时系统就不停的一个主机时系统就不停的运行运行运行运行pingpingpingping这个命令，直到你按下这个命令，直到你按下这个命令，直到你按下这个命令，

17、直到你按下Control-CControl-CControl-CControl-C。C:WINDOWSping 192.168.1.188-t Pinging 192.168.1.188 with 32 bytes of data:Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32

18、time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 timeping-a 192.168.1.100 Pinging 000 192.168.1.100 with 32 bytes of data:Reply from 192.168.1.100:by

19、tes=32 time10ms TTL=128 Reply from 192.168.1.100:bytes=32 time10ms TTL=128 Reply from 192.168.1.100:bytes=32 time10ms TTL=128 Reply from 192.168.1.100:bytes=32 timeping-n 10 192.168.1.188 Pinging 192.168.1.188 with 32 bytes of data:Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168

20、.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168

21、.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 time10ms TTL=64 Reply from 192.168.1.188:bytes=32 timeping-l 65500-t 192.168.1.21Pinging 192.168.1.21 with 65500 bytes of data:Reply from 192.168.1.21:bytes=65500 time10ms TTL=254Reply from 192.168.1.21:bytes=65500 time10ms TTL=254这样它

22、就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪。本讲稿第二十八页，共六十三页操作步骤操作步骤:【操作步骤】第1步：添加IP安全策略。我们首先要做的就是，在控制台中添加IP安全策略单元，添加步骤如下：（1）依次点击【开始】【运行】，然后在【运行】窗口中输入“mmc”并回车，此时将会打开【控制台1】窗口，如图1-1所示。图1-1 控制台窗口本讲稿第二十九页，共六十三页操作步骤操作步骤:（2）在图1-1所示窗口依次点击【文件】【添加/删除管理单元】【添加】，此时将会打开【添加/删除管理单元

23、】窗口，我们在此窗口下的列表中双击“IP安全策略管理”，如图1-2所示。本讲稿第三十页，共六十三页操作步骤操作步骤:（3）这时将会弹出【选择计算机域】窗口，在此我们选中【本地计算机】，然后点击【完成】按钮，最后依次点击【关闭】【确定】，返回【控制台1】主界面，此时我们将会发现在【控制台根节点】下多了【IP安全策略，在本地计算机】（如图1-3所示）项，此时可以说明控制台中已经添加了IP安全策略项。本讲稿第三十一页，共六十三页操作步骤操作步骤:第2步：创建IP安全策略。在我们添加了IP安全策略后，还要创建一个新的IP安全策略，步骤如下：（1）在图1-3中右键点击【IP安全策略，在本地机器】选项，执

24、行【创建IP安全策略】命令，此时将会打开【IP安全策略向导】窗口。（2）单击【下一步】按钮，此时将会出现要求指定IP安全策略名称及描述向导页面，我们可以在【描述】下输入一个策略描述，比如【禁止Ping】，如图1-4所示。本讲稿第三十二页，共六十三页操作步骤操作步骤:（3）点击【下一步】，然后在出现的页面中确保选中了【激活默认相应规则】项，然后单击【下一步】。（4）在出现的【默认响应规则身份验证方法】对话框中选中【此字符串用来保护密钥交换（预共享密钥）】选项，然后在下面的文字框中任意键入一段字符串（如“禁止 Ping”），如图1-5所示。本讲稿第三十三页，共六十三页操作步骤操作步骤:（5）单击【

25、下一步】，此时将会出现完成IP安全策略向导页面窗口，最后单击【完成】按钮即完成了IP安全策略的创建工作。第3步：编辑IP安全策略属性。在以上IP安全策略创建后，在控制台中就会看到刚刚创建好的【新IP安全策略】项，下面还要对其属性进行编辑修改，步骤如下；（1）在控制台中双击创建好的新IP安全策略，此时将会弹出【新IP安全策略属性】窗口，如图1-6所示。本讲稿第三十四页，共六十三页操作步骤操作步骤:（2）单击【添加】按钮，此时将会弹出【安全规则向导】窗口，直接点击【下一步】则进入【隧道终结点】页面，在此点选【此规则不指定隧道】。（3）单击【下一步】此时将会出现【网络类型】页面，在该页面中我们点选【

26、所有网络连接】项，这样就能保证所有的计算机都Ping不通该主机了，如图1-7所示。本讲稿第三十五页，共六十三页操作步骤操作步骤:（4）单击【下一步】，此时将会出现【身份验证方法】页面，我们继续选中【此字符串用来保护密钥交换（预共享密钥）】项，然后在下面的输入框中输入“禁止Ping”的文字，如图1-8所示。本讲稿第三十六页，共六十三页操作步骤操作步骤:（5）单击【下一步】，然后在打开的【IP筛选器列表】页面中单击【添加】按钮，此时将会打开【IP筛选器列表】窗口，如图1-9所示。本讲稿第三十七页，共六十三页操作步骤操作步骤:（6）在【IP筛选器列表】窗口中单击【添加】按钮，此时将会弹出【IP筛选器

27、向导】窗口，我们单击【下一步】，此时将会弹出【IP通信源】页面，在该页面中设置【源地址】为“我的IP地址”，如图1-10所示。本讲稿第三十八页，共六十三页操作步骤操作步骤:（7）单击【下一步】按钮，我们在弹出的页面中设置【目标地址】为【任何IP地址】，任何IP地址的计算机都不能Ping你的机器，如图1-11所示。本讲稿第三十九页，共六十三页操作步骤操作步骤:（8）点击【下一步】，然后在出现的【IP协议类型】页面中设置【选择协议类型】为“ICMP”，如图1-12所示。本讲稿第四十页，共六十三页操作步骤操作步骤:（9）依次单击【下一步】【完成】，此时，你将会在【IP筛选器列表】看到刚创建的筛选器，

28、将其选中后单击【下一步】，在出现的【筛选器操作】页面中设置筛选器操作为【需要安全】选项，如图1-13所示。本讲稿第四十一页，共六十三页操作步骤操作步骤:（10）点击【下一步】，然后依次点击【完成】【确定】【关闭】按钮，保存相关的设置返回控制台即可。第4步：指派IP安全策略。安全策略创建完毕后并不能马上生效，我们还需通过【指派】功能令其发挥作用。方法是：在【控制台根节点】中右击【新的IP安全策略】项，然后在弹出的右键菜单中执行【指派】命令，即可启用该策略，如图1-14所示。本讲稿第四十二页，共六十三页操作步骤操作步骤:至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地

29、仍然能够Ping通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行Ping操作，不用担心被Ping威胁了。本讲稿第四十三页，共六十三页v系统安全评估系统安全评估v计算机系统的安全评估是对系统安全性的检计算机系统的安全评估是对系统安全性的检验和监督。系统安全评估包括了构成计算机验和监督。系统安全评估包括了构成计算机系统的物理网络和系统的运行过程、系统提系统的物理网络和系统的运行过程、系统提供的服务以及这种过程与服务中的管理、保供的服务以及这种过程与服务中的管理、保证能力的安全评估，证能力的安全评估，本讲稿第四十四页，共六十三页v计计算算机机系系统统的的安安全全评评

30、估估可可以以确确保保系系统统连连续续正正常常运运行行，确确保保信信息息的的完完整整性性和和可可靠靠性性，及及时时发发现现系系统统存存在在的的薄薄弱弱环环节节，采采取取必必要要的的措措施施，杜杜绝绝不不安安全全因因素素。另另外外，有有了了安安全全评评估估，并并不不意意味味着着可可以以高高枕枕无无忧忧，因因为为要要在在技技术术上上做做到到完完全全的的安安全全保保护护是是不不可可能能的的。所所以以，评评估估的的目目标标应应该该是是，使使攻攻击击所所花花的的代代价价足足够够高高，从而把风险降低到可接受的程度。从而把风险降低到可接受的程度。本讲稿第四十五页，共六十三页v安全评估标准的重要性在于：安全评估

31、标准的重要性在于：v1）用户可依据标准，选用符合自己应用安全级别的、评定了安全）用户可依据标准，选用符合自己应用安全级别的、评定了安全等级的计算机系统，然后，在此基础上再采取安全措施。等级的计算机系统，然后，在此基础上再采取安全措施。v2）一个计算机系统是建立在相应的操作系统之上的，离开了操作系统的）一个计算机系统是建立在相应的操作系统之上的，离开了操作系统的安全，也就无法保证整个计算机系统的安全。所以，软件生产厂商应该满安全，也就无法保证整个计算机系统的安全。所以，软件生产厂商应该满足用户的需求，提供各种安全等级的操作系统。足用户的需求，提供各种安全等级的操作系统。v3）建立系统中其他部件（

32、如数据库系统、应用软件、计算机网络等）建立系统中其他部件（如数据库系统、应用软件、计算机网络等）的安全评估标准，可以使它们配合并适应相应的操作系统，以实现更的安全评估标准，可以使它们配合并适应相应的操作系统，以实现更完善的安全性能。完善的安全性能。本讲稿第四十六页，共六十三页v第一个有关信息技术安全评价的标准诞生于第一个有关信息技术安全评价的标准诞生于20世纪世纪80年年代的美国。代的美国。1983年美国国防部发布了年美国国防部发布了“可信计算机评估可信计算机评估标准标准”，简称桔皮书。，简称桔皮书。1985年对此标准进行了修订后作年对此标准进行了修订后作为了美国国防部的标准，也成为了世界各国

33、的参考标准。为了美国国防部的标准，也成为了世界各国的参考标准。v1994年，国务院发布了年，国务院发布了中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护条例统安全保护条例，其中第九条规定，其中第九条规定“计算机信息系统计算机信息系统安全等级保护。安全等级的划分和安全等级保护的具体安全等级保护。安全等级的划分和安全等级保护的具体办法，由公安部会同有关部门制定办法，由公安部会同有关部门制定”。本讲稿第四十七页，共六十三页v常常见见的的计计算算机机系系统统安安全全等等级级的的划划分分有有两两种种：一一种种是是美美国国国国防防部部1985年年发发表表的的评评估估计计算算机机系系统统安安全

34、全等等级级的的桔桔皮皮书书，将将计计算算机机系系统统的的安安全全划划分分为为4个个等等级级，8个个级级别别，即即A2、A1、B3、B2、B1、C2、C1、D；其其中中，A2级级安安全全级级别别最最高高，D级级安安全全级级别别最最低低。另另一一种种是是依依据据我我国国颁颁布布的的计计算算机机信信息息系系统统安安全全保保护护等等级级划划分分准准则则（GB17859-1999），该该条条例例是是计计算算机机信信息息系系统统安安全全保保护护的的法法律律基基础础。将将计计算算机机安全等级划分为安全等级划分为5级。级。本讲稿第四十八页，共六十三页v1填空题填空题v（1）网络安全策略由）网络安全策略由3个重

35、要的方面组成，它们是个重要的方面组成，它们是 、物理和政策。、物理和政策。v（2）网络安全主要包括）网络安全主要包括_、_、_和运行安全等几个方面。和运行安全等几个方面。v（3）物理安全包括）物理安全包括_的安全。的安全。v（4）软件安全指）软件安全指_的安全。的安全。v（5）信息安全指）信息安全指_安全。安全。v（6）运行安全指）运行安全指_。v（7）保密性指）保密性指_的安全要求。的安全要求。v（8）一个安全的网络具有下面五个特征：）一个安全的网络具有下面五个特征：_、（、（9）系统漏洞是指）系统漏洞是指_。v（10）依据美国国防部发表的评估计算机系统安全等级的桔皮书，将计算机安全等级）依

36、据美国国防部发表的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为划分为 _类类 _级。级。本讲稿第四十九页，共六十三页v2选择题选择题v（1）保护计算机网络设备免受环境事故的影响属于信息）保护计算机网络设备免受环境事故的影响属于信息安全的安全的_。v（A）人员安全）人员安全 （B）物理安全）物理安全 （3）数据安全）数据安全 （D）操）操作安全作安全v（2）有些计算机系统的安全性不高，不对用户进行）有些计算机系统的安全性不高，不对用户进行验证，这类系统安全级别是验证，这类系统安全级别是 。v（A）D1 （B）A1 （C）C1 （D）C2本讲稿第五十页，共六十三页v（3）保证数据的完整性

37、就是）保证数据的完整性就是_。v（A）保证因特网上传送的数据信息不被第三方监视）保证因特网上传送的数据信息不被第三方监视v（B）保证因特网上传送的数据信息不被篡改）保证因特网上传送的数据信息不被篡改v（C）保证电子商务交易各方的真实身份）保证电子商务交易各方的真实身份v（D）保证发送方不抵赖曾经发送过某数据信息）保证发送方不抵赖曾经发送过某数据信息v（4）某种网络安全威胁是是通过非法手段取得对数据的使用权，并对数据进）某种网络安全威胁是是通过非法手段取得对数据的使用权，并对数据进行恶意地添加和修改，这种安全威胁属于行恶意地添加和修改，这种安全威胁属于 。v（A）窃听数据）窃听数据 （B）破坏数

38、据完整性）破坏数据完整性 （C）拒绝服务）拒绝服务 （D）物理安全威）物理安全威胁胁v（5）在网络安全中，捏造是指未授权的实体向系统中插入伪造的对象。）在网络安全中，捏造是指未授权的实体向系统中插入伪造的对象。这是对这是对 。v（A）可用性的攻击）可用性的攻击 （B）保密性的攻击）保密性的攻击 （C）完整性的攻击）完整性的攻击 （D）真实性）真实性的攻击的攻击本讲稿第五十一页，共六十三页v3简答题简答题v（1）什么是网络安全？网络安全包括哪些）什么是网络安全？网络安全包括哪些方面？方面？v（2）网络系统本身存在哪些安全漏洞？）网络系统本身存在哪些安全漏洞？v（3）网络面临的威胁有哪些？）网络面

39、临的威胁有哪些？v（4）系统漏洞产生的原因主要有哪些？）系统漏洞产生的原因主要有哪些？本讲稿第五十二页，共六十三页课堂小结课堂小结:v计算机网络安全指保持网络中的硬件、软件系统计算机网络安全指保持网络中的硬件、软件系统正常运行，使它们不因各种因素受到破坏更改和正常运行，使它们不因各种因素受到破坏更改和泄露。网络受到的威胁来自于网络的内部和外部泄露。网络受到的威胁来自于网络的内部和外部两个方面。两个方面。v计算机系统的安全评估是对系统安全性的检验和计算机系统的安全评估是对系统安全性的检验和监督。在我国，常见的计算机系统安全等级的划监督。在我国，常见的计算机系统安全等级的划分有两种：一种是依据美国

40、国防部发表的评估计分有两种：一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书；一种是我国颁布的算机系统安全等级的桔皮书；一种是我国颁布的计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则。本讲稿第五十三页，共六十三页实训项目：实训项目：实训目的实训目的1了解操作系统常见的安全漏洞。了解操作系统常见的安全漏洞。2掌握掌握X-Scan扫描器的使用方法。扫描器的使用方法。3掌握使用扫描工具掌握使用扫描工具X-Scan检测系统漏洞的方法。检测系统漏洞的方法。实训环境搭建实训环境搭建1连上连上Internet 的主机或局域网主机。的主机或局域网主机。2Windows NT/20

41、00/XP系统。系统。3X-Scan3.3扫描器扫描器 实训一实训一 使用扫描工具使用扫描工具X-Scan检测系统漏洞检测系统漏洞本讲稿第五十四页，共六十三页操作步骤操作步骤:第第1步：运行步：运行X-Scan主程序，即可打开其操作窗口，如图主程序，即可打开其操作窗口，如图1-15所示。所示。本讲稿第五十五页，共六十三页操作步骤操作步骤:第2步：选择【设置】【扫描参数】菜单项，即可打开【扫描参数】窗口，在【检测范围】模块的【指定IP范围】文本框中，输入要检测的目标主机的域名或IP地址，也可以对多个IP进行检测（例如输入“192.168.0.1-192.168.0.255”来对处于这个网段的所有

42、主机进行检测），如图1-16所示。本讲稿第五十六页，共六十三页操作步骤操作步骤:第3步：在【全局设置】模块中，可以对要扫描的模块、端口等进行设置，【扫描模块】选项用于检测对方主机的一些服务和端口等情况，可以全部选择或只检测部分服务，如图1-17所示。【并发扫描】选项用于设置检测时的最大并发主机和并发线程的数量。【扫描报告】选项用于设置扫描结束所产生的报告文件名和类型。这里假设选择【HTML】类型，如图1-18所示。本讲稿第五十七页，共六十三页操作步骤操作步骤:本讲稿第五十八页，共六十三页操作步骤操作步骤:在【其他设置】中可设置【跳过没有响应的主机】功能，如果对方禁止了Ping或防火墙设置使其没

43、有响应，则X-Scan将会自动跳过，接着检测下一台主机。如果选择了【无条件扫描】功能，则X-Scan将会对目标主机进行详细检测，得到的结果相对详细准确，如图1-19所示。但扫描时间会延长，对单个主机进行扫描一般会采用这种方式。本讲稿第五十九页，共六十三页操作步骤操作步骤:第4步：在【插件设置】模块中，可以对插件进行一些必要的检测。在【端口相关设置】中可自定义一些需要检测的端口，检测方式分“TCP”或“SYN”两种，TCP方式容易被对方发现，但准确性要高一些；SYN则相反，如图1-20所示。本讲稿第六十页，共六十三页操作步骤操作步骤:【SNMP相关设置】选项主要是针对SNMP信息的一些检测设置。

44、【NETBIOS相关设置】选项是针对Windows系统NETBIOS信息的检测设置，包括的项目有很多，只需要选择使用的内容即可。“漏洞检测脚本设置”、“CGI相关设置”和“字典文件设置”等功能直接采用默认设置就可以了。第5步：在设置好上述模块之后，返回到X-Scan主窗口中单击【开始】按钮，即可出现一个如图1-21所示的进度提示框。本讲稿第六十一页，共六十三页操作步骤操作步骤:第6步：当漏洞脚本加载完毕之后，就可以进行漏洞检测了，具体检测过程如图1-22所示。如果检测到了漏洞，则可以在【漏洞信息】列表框对其进行查看。本讲稿第六十二页，共六十三页操作步骤操作步骤:第7步：在扫描结束之后，将自动弹出检测报告，包括漏洞的风险级别和详细的信息，以便对所扫描的主机进行分析，如图1-23所示。本讲稿第六十三页，共六十三页