2015年职称计算机考试教材：http://www.110book.com/class2/179.html

2015年职称计算机考试题库(下载)：http://www.110book.com/class3/892.html

第七章 计算机网络安全与管理技术

7. 1 计算机网络安全和防火墙技术

1. 网络系统安全基础

一、计算机安全基础

计算机安全的定义：计算机系统要保护其硬件、数据不被偶然或故意的泄漏、更改和破坏。

美国国防部公布了“桔皮书”(可信计算机系统标准评估准则)

桔皮书将计算安全由低到高分为四类七级：D1 C1 C2 B1 B2 B3 A1

D1 级，计算机安全的最低一级。整个系统是不可信任的，硬件和操作系统很容易被侵袭，任何人都可以使用该计算机系统，主要有：MS-Dos、MS-Windows3.x/Windows95、Apple的System7.x;

C1级，自主安全保护级。系统要求硬件有一定的安全机制，用户在使用前必须登录到系统，并建立了访问许可权限机制，但用户直接访问操作系统的根，不能控制进入系统的用户的访问级别，主要有：早期UNIX、XENIX、Novell3.x;

C2 级，受控存取保护级。引进了受控访环境(用户权限级别)，进一步限制了用户执行某些系统指令，授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录。数据访问为目录级，还采用了系统审计，跟踪所有安全事件及系统管理员的工作，主要有：UNIX系统、　　XENIX、Novell3.x以上版本、Windows NT;

B1 级，标记安全保护级。对网络上每一对象都 实施保护，支持多级安全，对象必须在访问控制下不允许拥有者自己改变所属资源的权限;

B2 级，结构化保护级。要求计算机系统中所有对象加标签，而且给工作站、终端和磁盘驱动器分配不同的安全级别，按照最小特权原则，任何人都不能享有操纵和管理计算机的全部权利;

B3 级，安全域级。要求用户工作站或终端通过可信任途径连接网络系统，必须采用硬件来保护安全系统的存储区;

A1级 ，验证设计级，这是桔皮书中的最高安全级别。包括了以上各级的所有特性，还附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计，保证系统部件来源的安全，还规定了系统安全运送到现场安装所必须遵循的程序。

二、网络安全控制措施

1物理安全

一是人为对网络的损害

二是网络对使用者的危害

2访问控制

①口令

网络安全的最外层防线就是网络用户的登陆

②网络资源属主、属性和访问权限

资源的属主体现了不同用户对网络资源的从属关系

资源的属性表示了资源本身的存取特性

③网络安全监视

网络件事同称为“网管”，他的作用主要是对整个网络的运行情况进行动态的监视并及时处理各种事件

④审计和跟踪

包括对网络资源的使用、网络故障、系统记账等方面的记录和分析

3传输安全

①加密和数字签名

网上加密分为三层，第一层位数据链路层加密;第二层是传输层的加密;第三层是应用层上的加密

数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法。主要是通过加密算法和证实协议而实现。目前通常采用的签名标准是DDS

②防火墙

③SSL协议

SSL的目标是提供两个应用软件之间通信的保密性和可靠性

④邮件安全

一般使用加密于数字签名的技术来保证邮件的安全

2. 防火墙

一、防火墙的基本概念

防火墙是两个网络之间执行访问—控制策略的系统。他在内部网络与外部网络之间设置障碍，以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全的访问。