計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)2016新版第11章網(wǎng)絡(luò)管理與安全

1、第十一章第十一章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)網(wǎng)絡(luò)管理與網(wǎng)絡(luò)11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.1.1 網(wǎng)絡(luò)管理體系結(jié)構(gòu)代理進(jìn)程：維護(hù)其所駐留的被管設(shè)備的狀態(tài)，并且通過網(wǎng)絡(luò)管理協(xié)議向NMS提供信息網(wǎng)絡(luò)管理系統(tǒng)收集被管設(shè)備的信息，并相應(yīng)作出反應(yīng)被管代理（proxy）是為其他實(shí)體提供管理信息的實(shí)體 11.1.2 網(wǎng)絡(luò)管理的功能- 性能管理：衡量和呈現(xiàn)網(wǎng)絡(luò)特性的各個(gè)方面，使網(wǎng)絡(luò)性能維持在一個(gè)可以被接受的水平上。 收集網(wǎng)絡(luò)管理者感興趣的那些變量的性能數(shù)據(jù)； 分析這些數(shù)據(jù)，以判斷是否處于正常（基線）水平并產(chǎn)生相應(yīng)的報(bào)告； 為每個(gè)重要的變量確定一個(gè)合適的性能閾值，超過該閾值就意味著出現(xiàn)了應(yīng)該注意的網(wǎng)絡(luò)故障；- 配

2、置管理：監(jiān)視網(wǎng)絡(luò)和系統(tǒng)的配置信息，以便跟蹤和管理不同的軟硬件元素對(duì)網(wǎng)絡(luò)操作的作用。 主要包括：網(wǎng)絡(luò)資源的配置及其活動(dòng)狀態(tài)的監(jiān)視；網(wǎng)絡(luò)資源之間的關(guān)系的監(jiān)視與控制；新資源的加入，舊資源的刪除；定義新的管理對(duì)象；識(shí)別管理對(duì)象，給每個(gè)對(duì)象分配名字；初始化對(duì)象，啟動(dòng)、關(guān)閉對(duì)象；管理各個(gè)對(duì)象之間的關(guān)系；改變管理對(duì)象的參數(shù)。 11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理- 計(jì)費(fèi)管理：測(cè)量網(wǎng)絡(luò)的利用率參數(shù)，以恰當(dāng)?shù)乜刂苽€(gè)人或團(tuán)體用戶對(duì)網(wǎng)絡(luò)的使用，比如網(wǎng)絡(luò)故障降低到最小或者使所有用戶對(duì)網(wǎng)絡(luò)的訪問更加公平。 建立和維護(hù)一個(gè)目標(biāo)機(jī)器地址數(shù)據(jù)庫，能對(duì)該數(shù)據(jù)庫中的任意一臺(tái)機(jī)器（一個(gè)IP地址）進(jìn)行計(jì)費(fèi)； 能夠?qū)χ付↖P地址進(jìn)行流

3、量限制，當(dāng)超過使用限額時(shí)，即可將其封鎖，禁止其使用； 能夠按天、按月、按IP地址或按單位提供網(wǎng)絡(luò)的使用情況，在規(guī)定的時(shí)間到來（比如一個(gè)月）的時(shí)候，根據(jù)本機(jī)數(shù)據(jù)庫中的E-mail地址向有關(guān)單位或個(gè)人發(fā)送帳單； 可以將安裝有網(wǎng)絡(luò)計(jì)費(fèi)軟件的計(jì)算機(jī)配置成Web服務(wù)器，允許使用單位和個(gè)人隨時(shí)進(jìn)行查詢。11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理- 故障管理：檢測(cè)、記錄網(wǎng)絡(luò)故障并通知給用戶，盡可能自動(dòng)修復(fù)網(wǎng)絡(luò)故障以使網(wǎng)絡(luò)能有效地運(yùn)行。 基本步驟-判斷故障癥狀；-隔離該故障；-修復(fù)該故障；-對(duì)所有重要子系統(tǒng)進(jìn)行故障修復(fù)后測(cè)試；-記錄故障的檢測(cè)及其解決結(jié)果。 主要功能：-接收差錯(cuò)報(bào)告并作出反應(yīng)；-建立維護(hù)差錯(cuò)日志，并

4、進(jìn)行分析；-對(duì)差錯(cuò)診斷測(cè)試，追蹤故障，并確定糾正故障的方法措施。11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理- 安全管理：按照本地的方針來控制對(duì)網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被有意或無意地侵害，并保證敏感信息不被那些未授權(quán)的用戶訪問 標(biāo)識(shí)重要的網(wǎng)絡(luò)資源（包括系統(tǒng)、文件和其它實(shí)體）； 確定重要的網(wǎng)絡(luò)資源和用戶集間的映射關(guān)系； 監(jiān)視對(duì)重要網(wǎng)絡(luò)資源的訪問； 記錄對(duì)重要網(wǎng)絡(luò)資源的非法訪問； 11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理技術(shù)的基本要求- 網(wǎng)絡(luò)管理的跨平臺(tái)性 - 網(wǎng)絡(luò)管理的分布性 - 網(wǎng)絡(luò)管理的安全性- Internet/Intranet上各種服務(wù)的性能管理 - 遠(yuǎn)程管理 - 不同廠家網(wǎng)絡(luò)設(shè)備的統(tǒng)一

5、管理 11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.1.3 網(wǎng)絡(luò)管理協(xié)議ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)- 公共管理信息服務(wù)CMIS：支持管理進(jìn)程和管理代理之間的通信要求- 公共管理信息協(xié)議CMIP：提供管理信息傳輸服務(wù)的應(yīng)用層協(xié)議IETF的網(wǎng)絡(luò)管理協(xié)議- 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMPv1/v2/v311.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.1.4 CMIP協(xié)議X.710定義了公共管理信息服務(wù)CMIS，目的是通過源語向應(yīng)用進(jìn)程提供交換系統(tǒng)管理的信息和指令的服務(wù)。CMIS提供的服務(wù)可以是有連接的，也可以是無連接的；可以是需要證實(shí)的，也可以是不需要證實(shí)的。 管理信息以對(duì)象方式描述，所有的對(duì)象存放在MIB中。在CMIP中

6、，對(duì)象的變量被定義成非常復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，有許多屬性： 變量屬性：表示變量的特性（如數(shù)據(jù)類型是否可寫等）； 變量動(dòng)作：說明可以啟動(dòng)什么樣的動(dòng)作； 通知：每當(dāng)一個(gè)特殊的事件發(fā)生時(shí)，就會(huì)產(chǎn)生一個(gè)事件報(bào)告。11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理特性：- CMIP不是通過輪詢而是通過事件報(bào)告進(jìn)行工作，由網(wǎng)絡(luò)中的各個(gè)設(shè)備監(jiān)測(cè)設(shè)施在發(fā)現(xiàn)被檢測(cè)設(shè)備的狀態(tài)和參數(shù)發(fā)生變化后及時(shí)向管理進(jìn)程進(jìn)行事件報(bào)告- 管理功能強(qiáng)大，它的參數(shù)不僅可以在管理站和管理節(jié)點(diǎn)之間傳遞網(wǎng)管信息，而且可以要求管理節(jié)點(diǎn)執(zhí)行一些動(dòng)作 - CMIP需要占用比SNMP多很多的資源。 - CMIP的程序非常難編寫，CMIP定義的參數(shù)比較復(fù)雜 11.1 1

7、1.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.1.5 SNMP協(xié)議SNMP是被設(shè)計(jì)成與協(xié)議無關(guān)的，由一系列協(xié)議組和規(guī)范組成，提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法：- 輪詢方法 網(wǎng)絡(luò)設(shè)施中的代理進(jìn)程不斷收集網(wǎng)絡(luò)的通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)，并記錄到管理信息庫MIB中。NMS通過向代理的MIB發(fā)出查詢信號(hào)可以得到這些信息- 基于中斷的方法 異常事件發(fā)生時(shí)代理進(jìn)程通知網(wǎng)絡(luò)管理系統(tǒng)NMS- 面向自陷的輪詢方法：輪詢和中斷結(jié)合 11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理SNMP管理模型管理節(jié)點(diǎn)：被管理的設(shè)備，SNMP代理在其上運(yùn)行，維護(hù)一個(gè)本地?cái)?shù)據(jù)庫，存放其狀態(tài)管理站運(yùn)行一個(gè)或多個(gè)管理進(jìn)程，通過SNMP協(xié)議

8、與代理通信 SNMP極為詳細(xì)地規(guī)定了每種代理應(yīng)該維護(hù)的確切信息以及提供信息的確切格式。即每個(gè)設(shè)備都具有一個(gè)或多個(gè)變量來描述其狀態(tài)，這些變量叫做對(duì)象，所有對(duì)象都存放在一個(gè)叫管理信息庫（MIB）中 11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理SNMP協(xié)議的發(fā)展SNMP v1：設(shè)計(jì)簡(jiǎn)單，易于擴(kuò)展，但安全性較差SNMP v2：- 增加了安全機(jī)制，包括數(shù)據(jù)加密、鑒別和訪問控制- 允許更詳細(xì)的變量描述，使用表數(shù)據(jù)結(jié)構(gòu)以方便數(shù)據(jù)提取SNMP v3：- 體現(xiàn)了模塊化的設(shè)計(jì)思想，適應(yīng)性強(qiáng)，擴(kuò)充性好，安全性好- 包括信息處理和控制模塊、本地處理模塊和用戶安全模塊11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管

9、理其它網(wǎng)絡(luò)管理方法遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控RMON-收集所在網(wǎng)段的狀態(tài)信息，并存儲(chǔ)歷史信息以獲得網(wǎng)絡(luò)運(yùn)行狀況趨勢(shì)-擴(kuò)展SNMP的MIB-II，使SNMP更有效、積極主動(dòng)地監(jiān)控遠(yuǎn)程設(shè)備基于Web的網(wǎng)絡(luò)管理技術(shù)-允許通過Web瀏覽器進(jìn)行網(wǎng)絡(luò)管理-兩種實(shí)現(xiàn)方式 代理方式：在一個(gè)內(nèi)部工作站上運(yùn)行Web服務(wù)器（代理）。網(wǎng)絡(luò)管理軟件負(fù)責(zé)將收集到的網(wǎng)絡(luò)信息傳送到瀏覽器（Web服務(wù)器代理），并將傳統(tǒng)管理協(xié)議（如SNMP）轉(zhuǎn)換成Web協(xié)議（如HTTP）。 嵌入式：將Web功能嵌入到網(wǎng)絡(luò)設(shè)備中，每個(gè)設(shè)備有自己的Web地址，管理員可通過瀏覽器直接訪問并管理該設(shè)備 網(wǎng)絡(luò)管理軟件網(wǎng)管系統(tǒng)由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺(tái)、網(wǎng)管支撐軟件、

10、網(wǎng)管工作平臺(tái)和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。其中網(wǎng)管軟件平臺(tái)提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能及網(wǎng)絡(luò)用戶分布方面的基本管理，是網(wǎng)管系統(tǒng)的核心：- 體系結(jié)構(gòu)：通用的、開放的、可擴(kuò)展的框架體系 - 核心服務(wù)：網(wǎng)絡(luò)管理軟件應(yīng)具備的基本功能，包括網(wǎng)絡(luò)搜索、查錯(cuò)和糾錯(cuò)、支持大量設(shè)備、友好操作界面、報(bào)告工具、警報(bào)通知和處理、配置管理等 - 應(yīng)用程序：實(shí)現(xiàn)特定的事務(wù)處理和結(jié)構(gòu)支持，主要包括高級(jí)警報(bào)處理、網(wǎng)絡(luò)仿真、策略管理和故障標(biāo)記等 典型的網(wǎng)絡(luò)管理軟件包括：HP OpenView/3Com Transcend/Sun NetManager等11.1 11.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理11.2 數(shù)據(jù)加密數(shù)據(jù)加密數(shù)據(jù)加密：-

11、 加密：將信息變成不同的、不可讀的形式。- 解密：將加密后的信息還原成它原來的形式- 原來的信息叫明文，加密后的信息叫做密文愷撒密碼 - 將明文中的每個(gè)字符替換成另一個(gè)字符。- 容易被破解：因?yàn)樵摼幋a方法未作任何處理以掩蓋經(jīng)常使用的字母或字母組合，這樣可以根據(jù)字母出現(xiàn)的統(tǒng)計(jì)特性破解 Enigma加密系統(tǒng)- 二戰(zhàn)期間德國采用的加密系統(tǒng)- 實(shí)際上是一個(gè)多字密碼，對(duì)消息中的每個(gè)字母用不同的替換集（字母表）來替代。11.2 數(shù)據(jù)加密數(shù)據(jù)加密11.2 數(shù)據(jù)加密：網(wǎng)絡(luò)加密數(shù)據(jù)加密：網(wǎng)絡(luò)加密鏈路加密 - 所有消息在被傳輸之前進(jìn)行加密, 在每一個(gè)節(jié)點(diǎn)對(duì)接收到的消息解密, 然后先使用下一鏈路的密鑰對(duì)消息進(jìn)行加密

12、, 再傳輸。- 可以掩蓋消息的頻率和長(zhǎng)度特性,防止對(duì)通信業(yè)務(wù)進(jìn)行分析 - 要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)行同步, 然后使用一種鏈模式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。 - 鏈路加密僅在通信鏈路上提供安全性, 消息在網(wǎng)絡(luò)節(jié)點(diǎn)中以明文形式存在 - 密鑰分配也是一個(gè)非常復(fù)雜的問題11.2 數(shù)據(jù)加密：網(wǎng)絡(luò)加密數(shù)據(jù)加密：網(wǎng)絡(luò)加密節(jié)點(diǎn)加密- 操作方式上與鏈路加密是類似的: 兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩? 都在中間節(jié)點(diǎn)先對(duì)消息進(jìn)行解密,然后進(jìn)行加密。 - 與鏈路加密不同, 節(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)節(jié)點(diǎn)以明文形式存在,它先把收到的消息進(jìn)行解密, 然后采用另一個(gè)不同的密鑰進(jìn)行加密, 這一過程是在節(jié)點(diǎn)上的一

13、個(gè)安全模塊中進(jìn)行。 - 節(jié)點(diǎn)加密要求報(bào)頭和路由信息以明文形式傳輸, 以便中間節(jié)點(diǎn)能得到如何處理消息的信息。因此這種方法對(duì)于防止攻擊者分析通信業(yè)務(wù)是脆弱的 11.2 數(shù)據(jù)加密：網(wǎng)絡(luò)加密數(shù)據(jù)加密：網(wǎng)絡(luò)加密端到端加密- 數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過程中始終以密文形式存在 - 通常不允許對(duì)消息的目的地址進(jìn)行加密, 這是因?yàn)槊恳粋€(gè)消息所經(jīng)過的節(jié)點(diǎn)都要用此地址來確定如何傳輸消息。由于這種加密方法不能掩蓋被傳輸消息的源點(diǎn)與終點(diǎn), 因此它對(duì)于防止攻擊者分析通信業(yè)務(wù)是脆弱的 11.3 數(shù)據(jù)加密算法數(shù)據(jù)加密算法按照收發(fā)雙方密鑰是否相同來分類 - 對(duì)稱密鑰算法 收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同

14、或等價(jià)的。 密鑰管理成為系統(tǒng)安全的重要因素 比較著名的算法是DES等- 公開密鑰算法 收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰 比較著名的公開密鑰算法是 RSA等 算法復(fù)雜，加密數(shù)據(jù)的速率較低 密鑰管理較為簡(jiǎn)單，可方便地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證 - 實(shí)際應(yīng)用中人們通常將私密密鑰算法和公開密鑰算法結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會(huì)話密鑰。11.3 數(shù)據(jù)加密算法數(shù)據(jù)加密算法11.4 網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)針對(duì)網(wǎng)絡(luò)安全的威脅主要有三種 - 人為的無意失誤： 如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶

15、將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享 - 人為的惡意攻擊：所面臨的最大威脅 主動(dòng)攻擊：以各種方式有選擇地破壞信息的有效性和完整性 被動(dòng)攻擊：在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。 - 網(wǎng)絡(luò)軟件的漏洞和“后門” ：黑客進(jìn)行攻擊的首選目標(biāo) 11.4 網(wǎng)絡(luò)安全基礎(chǔ)：安全策略網(wǎng)絡(luò)安全基礎(chǔ)：安全策略物理安全策略：保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，其中抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題。 - 對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合 - 對(duì)輻射的防護(hù) 采用各種電磁屏蔽措

16、施：如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離； 干擾防護(hù)措施：即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。 11.4 網(wǎng)絡(luò)安全基礎(chǔ)：安全策略網(wǎng)絡(luò)安全基礎(chǔ)：安全策略訪問控制策略：保證網(wǎng)絡(luò)資源不被非法使用和非法訪問 - 入網(wǎng)訪問控制： 控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng) 三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查 - 網(wǎng)絡(luò)的權(quán)限控制： 針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。 用戶和

17、用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。- 目錄級(jí)的權(quán)限控制： 網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。 11.4 網(wǎng)絡(luò)安全基礎(chǔ)：安全策略網(wǎng)絡(luò)安全基礎(chǔ)：安全策略訪問控制策略（續(xù)）- 屬性安全控制 將給定的屬性與服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。- 網(wǎng)絡(luò)服務(wù)器的安全控制 控制在服務(wù)器控制臺(tái)上執(zhí)行的操作 比如設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制

18、、非法訪問者檢測(cè)和關(guān)閉的時(shí)間間隔。 - 網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制： 網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，對(duì)非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警 ，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。 11.4 網(wǎng)絡(luò)安全基礎(chǔ)：安全策略網(wǎng)絡(luò)安全基礎(chǔ)：安全策略訪問控制策略（續(xù)）- 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來識(shí)別節(jié)點(diǎn)的身份。- 防火墻控制： 防火墻是確?；A(chǔ)設(shè)施完整性的一種常用方法。它通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，控制進(jìn)/出兩個(gè)方向的通信流。信息

19、加密策略：保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。 - 包括鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種方式 11.4 網(wǎng)絡(luò)安全基礎(chǔ)：安全策略網(wǎng)絡(luò)安全基礎(chǔ)：安全策略非技術(shù)性安全管理策略- 加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度： 確定安全管理等級(jí)和安全管理范圍 所有添加到網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的新設(shè)備都應(yīng)該符合特定的安全需求，每個(gè)站點(diǎn)必須指明支持其安全策略需要哪些安全部件和功能 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員管理制度 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施 對(duì)員工進(jìn)行足夠的安全意識(shí)培訓(xùn)等。 11.5 OS-Windows98安全策略安全策略設(shè)置用戶權(quán)限：- 首先設(shè)置為每個(gè)用戶采用不同的使用權(quán)限，然后逐步

20、增加新用戶并進(jìn)行設(shè)置11.5 OS-Windows98安全策略安全策略防止非法用戶進(jìn)入- Regedit打開注冊(cè)表：“HKEYUSERDEFAULTSoftwareMicrosoftWindowsCurrentVersionRunonce” 在其下創(chuàng)建“字符串值”，名為“非法用戶，退出”，字符串為“Rundll.exe User.exe,Exitwindows” - 為防止非法用戶按F8鍵調(diào)出Windows 98的啟動(dòng)菜單以安全方式進(jìn)入系統(tǒng)，編輯MSDOS.sys文件，在該文件的option小節(jié)加入 “BootMulti=0”：設(shè)置系統(tǒng)不能進(jìn)行多重引導(dǎo)；“BootGUI=1”：在啟動(dòng)時(shí)直接進(jìn)入

21、Windows 98圖形用戶界面；“BootDelay”：設(shè)置在啟動(dòng)時(shí)“Starting Windows 98 ”信息停留的時(shí)間為0秒；“BootKeys”：設(shè)置在啟動(dòng)過程中F4、F5、F6、F8功能鍵失效。 11.5 OS- Windows98安全策略安全策略限制用戶級(jí)別-隱藏“開始”菜單的部分內(nèi)容：在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer” 該分支下建立一個(gè)DWORD值“NoSetFolders”，鍵值為“1”。用戶不能使用“控制面板”，且不能使用“開始/設(shè)置”中的“打印機(jī)” 新建

22、一個(gè)DWORD值“NoFind”，鍵值為“1”，則“查找”功能被禁止 新建一個(gè)二進(jìn)制值“NoRun”，鍵值為“0 x00000001”，則“運(yùn)行”菜單項(xiàng)被關(guān)閉 11.5 OS- Windows98安全策略安全策略隱藏桌面上所有圖標(biāo) -在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer”該分支下建立一個(gè)DWORD值“NoDesktop”，鍵值為“1”。禁用注冊(cè)表編輯器 -在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolici

23、es System” 該分支下建立一個(gè)DWORD值“DisableRegistryTools”，鍵值為“1” 11.5 OS- Windows98安全策略安全策略隱藏驅(qū)動(dòng)器 -在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer” 該分支下新建一個(gè)二進(jìn)制值“NoDrive”，其缺省值為“00000000”，表示不隱藏任何驅(qū)動(dòng)器，該值由四個(gè)字節(jié)組成，每個(gè)字節(jié)的第一位對(duì)應(yīng)從A：到Z：的一個(gè)盤，即01為A，02為B，04為C如隱藏D盤，鍵值為“0800000”；隱藏所有驅(qū)動(dòng)器為“ffffffff” 禁用

24、MSDOS方式 -在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindows CurrentVersionPolicies”新建一個(gè)“WinOldApp”主鍵，在其下新建一個(gè)DWORD值“Disable”鍵值為“1”。 11.5 OS- Windows98安全策略安全策略禁止光盤的自動(dòng)運(yùn)行 - 在注冊(cè)表“HKEYCURRENTUSERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”該分支下新建一個(gè)DWORD值“NoDriveTypeAutoRun”，鍵值為“1” 禁止用軟盤或光盤啟動(dòng) - 在CMOS設(shè)

25、置中將啟動(dòng)順序改為“C ONLY”，并為其設(shè)置必要的密碼。 11.5 OS- Windows NT安全策略安全策略用戶帳號(hào)：每個(gè)用戶必須擁有一個(gè)帳號(hào)- NT規(guī)定該帳號(hào)在系統(tǒng)中的權(quán)力和權(quán)限 權(quán)力專指用戶對(duì)整個(gè)系統(tǒng)能夠做的事情，如關(guān)掉系統(tǒng)、往系統(tǒng)中添加設(shè)備、更改系統(tǒng)時(shí)間等。權(quán)力存放在安全帳號(hào)數(shù)據(jù)庫中。 權(quán)限專指用戶對(duì)系統(tǒng)資源所能做的事情，如對(duì)某文件的讀寫控制，對(duì)打印機(jī)隊(duì)列的管理。用戶對(duì)系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。 11.5 OS- Windows NT安全模型安全模型用戶登錄：-按下Ctrl+Alt+Del鍵，NT系統(tǒng)啟動(dòng)登錄進(jìn)程-帳戶及口令有效后形成一個(gè)存取標(biāo)識(shí)（包括用戶名以及S

26、ID 、用戶所屬的組及組SID、用戶對(duì)系統(tǒng)所具有的權(quán)力 ）-NT啟動(dòng)一個(gè)用戶進(jìn)程，將該存取標(biāo)識(shí)與之連在一起，這個(gè)存取標(biāo)識(shí)就成了用戶進(jìn)程在NT系統(tǒng)中的通行證 存取標(biāo)識(shí)緩存的是用戶安全信息，如果管理員對(duì)用戶的權(quán)限進(jìn)行修改，只有在該用戶再次登錄時(shí)才發(fā)生作用如何根據(jù)存取標(biāo)識(shí)控制用戶對(duì)資源的訪問？-給資源分配的權(quán)限作為該資源的一個(gè)屬性，以訪問控制列表ACL的形式與資源一起存放，ACL包含了用戶名以及該用戶的權(quán)限 -用戶訪問該目錄時(shí)，NT安全系統(tǒng)檢查用戶的存取標(biāo)識(shí)，與目錄的ACL對(duì)照，發(fā)現(xiàn)用戶存取標(biāo)識(shí)中的用戶名與ACL中有對(duì)應(yīng)關(guān)系且所要求的權(quán)限合法，則訪問獲得允許 11.5 OS- NT系統(tǒng)的安全管理 加

27、強(qiáng)物理安全管理彌補(bǔ)系統(tǒng)軟件的安全漏洞，經(jīng)常升級(jí)微軟發(fā)布的安全補(bǔ)丁程序掌握并使用微軟提供但未設(shè)置的安全功能：比如禁用Guest帳號(hào)等使用NTFS文件系統(tǒng)：支持ACL控制授權(quán)用戶的訪問：配置NTFS的訪問控制機(jī)制，限制用戶對(duì)目錄、文件等資源的訪問避免給用戶定義特定的訪問控制實(shí)施帳號(hào)及口令策略：如要求用戶不要使用太簡(jiǎn)單的密碼、定期更改密碼等設(shè)置帳號(hào)鎖定：非法嘗試一定次數(shù)后鎖定帳號(hào)控制遠(yuǎn)程訪問服務(wù)：采用加密和認(rèn)證機(jī)制啟用登錄工作站和登錄時(shí)間限制：只允許在特定的環(huán)境下登錄11.5 OS- NT系統(tǒng)的安全管理 啟動(dòng)審計(jì)功能：查看審計(jì)日志，發(fā)現(xiàn)問題確保注冊(cè)表安全應(yīng)用系統(tǒng)的安全：保證各種應(yīng)用系統(tǒng)的安全性，常打

28、補(bǔ)丁不可輕易發(fā)布信息：不要發(fā)布關(guān)于自身系統(tǒng)的信息，防止黑客利用11.5 OS- Windows 2000安全策略安全策略簡(jiǎn)單的身份驗(yàn)證和授權(quán)模型：-身份驗(yàn)證在用戶登錄時(shí)識(shí)別用戶并將網(wǎng)絡(luò)連接到服務(wù)。經(jīng)過識(shí)別后，用戶就會(huì)有權(quán)按照權(quán)限對(duì)一組特定的網(wǎng)絡(luò)資源進(jìn)行訪問。-授權(quán)是通過訪問控制機(jī)制來進(jìn)行的，使用存儲(chǔ)在 Active Directory中的數(shù)據(jù)項(xiàng)以及訪問控制列表 (ACL)，后者定義對(duì)象（包括打印機(jī)、文件、網(wǎng)絡(luò)文件、及打印共享）的權(quán)限。 Windows 2000 分布式安全模型基于信任域控制器身份驗(yàn)證、服務(wù)之間的信任委派以及基于對(duì)象的訪問控制。-域中每臺(tái)客戶機(jī)通過安全地對(duì)域控制器驗(yàn)證身份創(chuàng)建直接

29、信任路徑。-客戶端不可能直接訪問網(wǎng)絡(luò)資源；相反網(wǎng)絡(luò)服務(wù)創(chuàng)建客戶端訪問令牌并使用客戶端的憑據(jù)來執(zhí)行請(qǐng)求的操作以模擬客戶端。-Windows 操作系統(tǒng)核心在訪問令牌中使用安全性標(biāo)識(shí)符來驗(yàn)證用戶是否被授予所需的對(duì)目標(biāo)對(duì)象的訪問權(quán)限。 11.5 OS- Windows 2000安全策略安全策略Active Directory：- 提供一個(gè)中央位置來存儲(chǔ)關(guān)于用戶、硬件、應(yīng)用程序和網(wǎng)絡(luò)上數(shù)據(jù)的信息，同時(shí)保存了必要的授權(quán)及身份驗(yàn)證信息以確保只有適當(dāng)?shù)挠脩舨趴稍L問每一網(wǎng)絡(luò)資源。域間的信任關(guān)系 - 信任關(guān)系在域之間建立，用來支持直接傳遞身份驗(yàn)證，讓用戶和計(jì)算機(jī)可以在目錄林的任何域中接受身份驗(yàn)證。- 用戶或計(jì)算機(jī)

30、僅需登錄網(wǎng)絡(luò)一次就可以對(duì)任何他們有適當(dāng)權(quán)限的資源進(jìn)行訪問。組策略設(shè)置- 控制 Active Directory 中對(duì)象的各種行為。通過相同的方式將所有類型的策略應(yīng)用到眾多計(jì)算機(jī)上。本地計(jì)算機(jī)安全性設(shè)置控制您想要授予特定用戶或計(jì)算機(jī)的權(quán)限和特權(quán) 11.5 OS- Windows 2000安全策略安全策略身份驗(yàn)證：確認(rèn)任何試圖登錄到域或訪問網(wǎng)絡(luò)資源的用戶的身份 - 互動(dòng)式登錄，登錄時(shí)向域帳戶或本地計(jì)算機(jī)確認(rèn)用戶的身份- 網(wǎng)絡(luò)身份驗(yàn)證，用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)時(shí)確認(rèn)用戶的身份- 支持多重身份驗(yàn)證機(jī)制，采取單一登錄過程訪問控制：決定對(duì)特定對(duì)象或?qū)傩缘脑L問權(quán)限- 管理員給對(duì)象指派安全性描述符 訪問控制

31、列表 (ACL)，該列表是用來定義哪一用戶（依照個(gè)人或組）有權(quán)限對(duì)該對(duì)象執(zhí)行特定操作 指定該對(duì)象待審核的各種訪問事件 11.5 OS- UNIX系統(tǒng)安全策略系統(tǒng)安全策略Unix系統(tǒng)的安全特征- 訪問控制：通過訪問控制表ACL使得用戶可以自行改變文件的安全級(jí)別和訪問權(quán)限 -rwxr-xr- 1 john test 4月9日17：50 cm- 對(duì)象的可用性：對(duì)象不再使用時(shí)由TCB清除它- 個(gè)人身份標(biāo)識(shí)與認(rèn)證 - 審計(jì)記錄 - 操作的可靠性 11.5 OS- Unix Unix的安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu) 層次名稱含義7Policy安全策略定義、指導(dǎo)6Personnel使用設(shè)備和數(shù)據(jù)的人員5LAN計(jì)

32、算機(jī)設(shè)備和數(shù)據(jù) 4Internal Demark內(nèi)部區(qū)分 3GatewayOSI中第7、6、5、4層的功能2Packet-FilterOSI中第3、2、1層的功能1External Demark外部連接11.5 OS- UNIX系統(tǒng)安全系統(tǒng)安全不安全因素- 特權(quán)軟件的安全漏洞 - 研究源代碼的漏洞 - 特洛伊木馬 - 網(wǎng)絡(luò)監(jiān)聽及數(shù)據(jù)截取 - 軟件之間相互作用和設(shè)置 大型軟件通常由多人協(xié)作完成，很難準(zhǔn)確預(yù)測(cè)系統(tǒng)內(nèi)各個(gè)部分的相互作用安全管理：物理安全和邏輯安全，其中邏輯安全：- 防止未授權(quán)存取 - 防止泄密：加強(qiáng)對(duì)重要文件的訪問控制和管理 - 防止用戶拒絕系統(tǒng)的管理：限制用戶對(duì)資源的使用 11.5

33、 OS- UNIX系統(tǒng)安全系統(tǒng)安全具體的措施- 防止緩沖區(qū)溢出 - 在inetd.conf中關(guān)閉不用的服務(wù) 1）變成root 2）備份inetd的配置文件/etc/inetd.conf cp /etc/inetd.conf /etc/inetd.conf.BACKUP 3）編輯/etc/inetd.conf文件 以“#”符號(hào)注釋掉不需要的服務(wù)，使其處于不激活的狀態(tài)。4）在改變/etc/inetd.conf后，找到inetd進(jìn)程的id號(hào)，用kill向它發(fā)送HUP信號(hào)來刷新它。一定要確保kill了inetd進(jìn)程后，它還在運(yùn)行。- 給系統(tǒng)打補(bǔ)丁 - 重要主機(jī)單獨(dú)設(shè)立網(wǎng)段 - 定期檢查 11.6 身份

34、鑒別身份鑒別身份鑒別是對(duì)網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程，通常有三種方法：-只有該主體了解的秘密，如口令、密鑰。 一次密碼、基于時(shí)間的密碼等-主體攜帶的物品，如智能卡和令牌卡。 -只有該主體具有的獨(dú)一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等。 生物識(shí)別技術(shù)生物識(shí)別技術(shù)虹膜識(shí)別 視網(wǎng)膜識(shí)別面部識(shí)別簽名識(shí)別聲音識(shí)別指紋識(shí)別11.7 數(shù)字簽名數(shù)字簽名數(shù)字簽名必須：- 接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名- 發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名- 接收者不能偽造對(duì)報(bào)文的簽名。散列函數(shù)常用于創(chuàng)建和驗(yàn)證數(shù)字簽名，它是一種創(chuàng)建標(biāo)準(zhǔn)長(zhǎng)度散列值（散列結(jié)果）形式的數(shù)字表示或“指紋”（也稱為“消息摘要”）的算法。 創(chuàng)建數(shù)字簽

35、名- 使用從被簽名的消息及給定的私有密鑰兩者而導(dǎo)出的且唯一于它們的散列結(jié)果。驗(yàn)證簽名：- 通過參照原始消息和給定的公開密鑰來檢查數(shù)字簽名的過程 MessageDigital SignatureSigning FunctionHash FunctionHash ResultMessagePrivate KeyTo VerifierO n l y Pr i v a t e Key H o l d e r Can SignMessageD i g i t a l SignatureHash FunctionVerify FunctionHash ResultPublic KeyFrom Signer

36、Anyone Can VerifyValid Y/N ?11.7 數(shù)字簽名數(shù)字簽名創(chuàng)建和驗(yàn)證數(shù)字簽名的過程實(shí)現(xiàn)了法律上對(duì)簽名的多種要求 - 簽名者的認(rèn)證：數(shù)字簽名不能被偽造，除非簽名者失去對(duì)私有密鑰的控制 - 消息認(rèn)證 ：驗(yàn)證過程能夠通過比較散列結(jié)果發(fā)現(xiàn)任何篡改- 確認(rèn)行為：創(chuàng)建數(shù)字簽名要求簽名者使用自己的私有密鑰 - 效率：實(shí)現(xiàn)完全的自動(dòng)11.8 數(shù)字證書數(shù)字證書網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，它提供了一種在網(wǎng)絡(luò)上驗(yàn)證實(shí)體身份的方式，由一個(gè)證書授權(quán)中心CA發(fā)行- 由一個(gè)獨(dú)立的且受信任的第三方（CA機(jī)構(gòu)）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件 - 證書包含一個(gè)公開密鑰、

37、名稱以及證書授權(quán)中心的數(shù)字簽名。一般還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號(hào)等信息。 11.8 數(shù)字證書數(shù)字證書工作過程：- 想發(fā)送加密消息的實(shí)體向CA機(jī)構(gòu)提交申請(qǐng)，CA就向其發(fā)放一個(gè)包含了申請(qǐng)者公開密鑰和其它身份信息的加密了的數(shù)字證書。- CA將自己的公開密鑰向公眾發(fā)布或可以從因特網(wǎng)上獲取。- 加密消息的接收方使用CA的公開密鑰來解開附接在消息上的數(shù)字證書，并驗(yàn)證證書確實(shí)是由CA發(fā)放的，然后獲得證書中發(fā)送者的公開密鑰和身份信息。 CA機(jī)構(gòu)（發(fā)放數(shù)字證書，提供自己的公開密鑰）實(shí)體從CA獲得數(shù)字證書及私有/公開密鑰對(duì)數(shù)字簽名接收方以CA的公開密鑰認(rèn)證消息來源的真實(shí)性，

38、并以數(shù)字證書中發(fā)送方的公開密鑰解密消息待發(fā)送的信息散列函數(shù)用私有密鑰加密CA的公開密鑰發(fā)送給接收方散列值防火墻位于內(nèi)部網(wǎng)絡(luò)和Internet之間，阻斷來自外部通過網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵， 提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡 - 所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。 - 防火墻是安全策略的一個(gè)部分，需要有全面的安全策略 11.9 防火墻防火墻11.9 防火墻防火墻-一切未被允許的就是禁止的防火墻封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放 -一切未被禁止的就是允許的 防火墻就轉(zhuǎn)發(fā)所有信息流，

39、然后逐項(xiàng)屏蔽可能有害的服務(wù) 11.9 防火墻防火墻- 集中的網(wǎng)絡(luò)安全，可作為中心“扼制點(diǎn)”- 產(chǎn)生安全報(bào)警- 監(jiān)視并記錄Internet的使用- NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的理想位置- WWW和FTP等服務(wù)器的理想位置 ：- 無法防范通過除防火墻以外的其它途徑的攻擊- 不能防止來自內(nèi)部人員和不經(jīng)心的用戶們帶來的威脅- 不能完全防止傳送已感染病毒得軟件或文件 - 無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。11.9 防火墻防火墻-高層策略是網(wǎng)絡(luò)服務(wù)訪問策略，它定義允許或顯式禁止的服務(wù)，服務(wù)的使用方法，以及允許例外時(shí)的條件；-低層策略描述防火墻如何實(shí)際限制訪問和過濾那些在高層中定義的服務(wù)。 11.9 防火墻防火墻 -采用如智能卡、認(rèn)證令牌和基于軟件的機(jī)制等克服傳統(tǒng)口令的缺陷。-產(chǎn)生的口令不能被監(jiān)視一次連接的攻擊者再使用 -過濾可基于源IP地址、目標(biāo)IP地址、TCP/UDP