網絡安全與網絡管理簡化

網絡安全與網絡管理簡化第一頁，共五十六頁，2022年，8月28日本章學習要求：了解：網絡安全的重要性掌握：網絡防火墻的基本概念了解：網絡防病毒的基本方法掌握：網絡管理的基本概念第二頁，共五十六頁，2022年，8月28日7.1網絡安全的重要性計算機犯罪始于二十世紀80年代。隨著網絡應用范圍的逐步擴大，其犯罪技巧日見“高明”，犯罪目的也向越來越邪惡的方向發(fā)展。與網絡安全有關的新名詞逐漸為大眾所知，例如黑客（hacker）、破解者（cracker）等。凡此種種，都傳遞出一個信息——網絡是不安全的。據(jù)倫敦英國銀行協(xié)會統(tǒng)計，全球每年因計算機犯罪造成的損失大約為80億美元。而計算機安全專家則指出，實際損失金額應在100億美元以上。第三頁，共五十六頁，2022年，8月28日威脅網絡安全的人員故意危害Internet安全的主在有三種人：故意破壞者又稱黑客（Hackers）、不遵守規(guī)則者(Vandals)和刺探秘密者(Crackers)。故意破壞者企圖通過各種手段去破壞網絡資源與信息，例如涂抹別人的主頁、修改系統(tǒng)配置、造成系統(tǒng)癱瘓不遵守規(guī)則者企圖訪問不允許訪問的系統(tǒng)，這種人可能僅僅是到網中看看、找些資料，也可能想盜用別人的計算機資源（如CPU時間）；刺探秘密者的企圖是通過非法手段侵入他人系統(tǒng)，以竊取重要秘密和個人資料。第四頁，共五十六頁，2022年，8月28日網絡存在的安全威脅

網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲第五頁，共五十六頁，2022年，8月28日網絡安全的重要性網絡安全問題已經成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網絡安全產業(yè)，才能構筑本國的網絡與信息安全防范體系。第六頁，共五十六頁，2022年，8月28日7.2網絡安全的概念計算機網絡安全：是指通過采取各種技術的和管理的措施，確保網絡數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經過網絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄漏等。網絡安全的目標：數(shù)據(jù)完整性資源可用性數(shù)據(jù)保密性用戶身份認證不可否認性第七頁，共五十六頁，2022年，8月28日網絡安全的目標數(shù)據(jù)完整性:完整性指維護信息的一致性，防止非法用戶對系統(tǒng)數(shù)據(jù)的篡改。實現(xiàn)方法：采用數(shù)據(jù)加密和校驗技術。資源可用性:保證合法用戶在任何時候都能使用、訪問資源，阻止非法用戶使用系統(tǒng)資源。實現(xiàn)方法：訪問控制、防火墻、入侵檢測等。

數(shù)據(jù)保密性:數(shù)據(jù)只能為合法用戶所使用，讓非法用戶無法接觸或讀懂數(shù)據(jù)。實現(xiàn)方法：授權和訪問控制、數(shù)據(jù)加密技術。用戶身份認證:保證通信對方的身份是真實的。實現(xiàn)方法：帳號-口令，電子證書等。不可否認性

:參與網絡通訊過程的各方（用戶、實體或者進程）無法否認其過去的參與活動；實現(xiàn)方法：數(shù)字簽名等。第八頁，共五十六頁，2022年，8月28日7.3網絡安全技術研究的基本問題網絡防攻擊問題網絡安全漏洞問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數(shù)據(jù)備份與恢復、災難恢復問題第九頁，共五十六頁，2022年，8月28日7.3.1網絡防攻擊問題網絡防攻擊主要問題需要研究的幾個問題網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安全策略與網絡安全防護體系？第十頁，共五十六頁，2022年，8月28日攻擊類型與手段電子郵件炸彈特洛伊木馬服務攻擊:服務攻擊:

對網絡提供某種服務的服務器發(fā)起攻擊，造成該網絡的“拒絕服務”，使網絡工作不正常。非服務攻擊:

不針對某項具體應用服務，而是基于網絡層等低層協(xié)議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。IP欺騙攻擊病毒掃描器，網絡分析器口令攻擊第十一頁，共五十六頁，2022年，8月28日木馬計算機技術中的木馬，是一種與計算機病毒類似的指令集合，它寄生在普通程序中，并在暗中進行某些破壞性操作或進行盜竊數(shù)據(jù)。木馬與計算機病毒的區(qū)別是，前者不進行自我復制，即不感染其他程序。第十二頁，共五十六頁，2022年，8月28日7.3.2網絡安全漏洞網絡信息系統(tǒng)的運行涉及到：計算機硬件與操作系統(tǒng)網絡硬件與網絡軟件數(shù)據(jù)庫管理系統(tǒng)應用軟件網絡通信協(xié)議

網絡安全漏洞也會表現(xiàn)在以上幾個方面。

暗門（trapdoor）又稱后門（backdoor），指隱藏在程序中的秘密功能，通常是程序設計者為了能在日后隨意進入系統(tǒng)而設置的。第十三頁，共五十六頁，2022年，8月28日7.3.3網絡中的信息安全保密信息存儲安全與信息傳輸安全信息存儲安全如何保證靜態(tài)存儲在連網計算機中的信息不會被未授權的網絡用戶非法使用；信息傳輸安全

如何保證信息在網絡傳輸?shù)倪^程中不被泄露與不被攻擊；第十四頁，共五十六頁，2022年，8月28日網絡中的信息安全保密問題數(shù)據(jù)加密與解密第十五頁，共五十六頁，2022年，8月28日加密技術采用密碼技術保護網絡中存儲和傳輸?shù)臄?shù)據(jù)，是一種非常實用、經濟、有效的方法。EncryptionDecryption將明文變換成密文的過程稱為加密；將密文經過逆變換恢復成明文的過程稱為解密。第十六頁，共五十六頁，2022年，8月28日密碼體制對稱密碼體制（傳統(tǒng)密碼體制） 加密和解密采用相同或相近的密鑰。常見加密標準為DES、IDEA和三重DES等。該密鑰不公開，稱為秘密密鑰，其效率高。非對稱密碼體制 加密和解密使用不同的密鑰<Kpub,Kpriv>。Kpub公開，Kpriv由密鑰持有人保密。加密密鑰公開，而解密密鑰保密。非對稱加密算法有RSA算法等,加密強度很高。第十七頁，共五十六頁，2022年，8月28日對稱密碼體制

秘密鑰匙加密其特點是加密明文和解讀密文時使用的是同一把鑰匙，如圖所示。缺點：由于至少有兩個人持有鑰匙，所以任何一方都不能完全確定對方手中的鑰匙是否已經透露給第三者。第十八頁，共五十六頁，2022年，8月28日非對稱密碼體制公用鑰匙加密公用鑰匙加密法又稱非對稱式（asymmetric）加密。公用鑰匙加密法的特色是完成一次加、解密操作時，需要使用一對鑰匙。假定這兩個鑰匙分別為A和B，則用A加密明文后形成的密文，必須用B方可解回明文，反之，用B加密后形成的密文必須用A解密。將其中的一個鑰匙稱為私有鑰匙（privatekey），由個人妥善收藏，與之成對的另一把鑰匙稱為公用鑰匙，公用鑰匙可以像電話號碼一樣被公之于眾。第十九頁，共五十六頁，2022年，8月28日假如X需要傳送數(shù)據(jù)給A，X可將數(shù)據(jù)用A的公用鑰匙加密后再傳給A，A收到后再用私有鑰匙解密。如圖所示。缺點：利用公用鑰匙加密雖然可避免鑰匙共享而帶來的問題，但其使用時，需要的計算量較大。

第二十頁，共五十六頁，2022年，8月28日7.3.4網絡內部安全防范問題網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為；對網絡與信息安全有害的行為包括：有意或無意地泄露網絡用戶或網絡管理員口令；違反網絡安全規(guī)定，繞過防火墻，私自和外部網絡連接，造成系統(tǒng)安全漏洞；違反網絡使用規(guī)定，越權查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)；違反網絡使用規(guī)定，越權修改網絡系統(tǒng)配置，造成網絡工作不正常；解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手。第二十一頁，共五十六頁，2022年，8月28日7.3.5網絡防病毒問題

病毒是一種寄生在普通程序中、且能夠將自身復制到其他程序、并通過執(zhí)行某些操作，破壞系統(tǒng)或干擾系統(tǒng)運行的“壞”程序。目前，70%的病毒發(fā)生在計算機網絡上；聯(lián)網微型機病毒的傳播速度是單機的20倍，網絡服務器消除病毒所花的時間是單機的40倍；電子郵件病毒可以輕易地使用戶的計算機癱瘓，有些網絡病毒甚至會破壞系統(tǒng)硬件。第二十二頁，共五十六頁，2022年，8月28日7.3.6網絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網絡故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復？如果出現(xiàn)網絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復？第二十三頁，共五十六頁，2022年，8月28日7.4網絡安全標準

《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，

1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關于維護互聯(lián)網安全決定》，全國人民代表大會常務委員會通過，2000年12月國外也有相應的法規(guī)第二十四頁，共五十六頁，2022年，8月28日國外安全評估標準的發(fā)展歷程桔皮書（TCSEC）1985英國安全標準1989德國標準法國標準加拿大標準1993聯(lián)邦標準草案1993ITSEC1991通用標準V1.01996V2.01998V2.11999第二十五頁，共五十六頁，2022年，8月28日安全級別的分類

可信計算機系統(tǒng)評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網絡說明（TNI）；可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。D類是最低保護等級，即無保護級C類為自主保護級B類為強制保護級A類為驗證保護級第二十六頁，共五十六頁，2022年，8月28日我國的《計算機信息系統(tǒng)安全保護等級劃分準則》公安部組織制訂了《計算機信息系統(tǒng)安全保護等級劃分準則》國家標準于1999年9月13日由國家質量技術監(jiān)督局審查通過并正式批準發(fā)布于2001年1月1日執(zhí)行《準則》規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，即：第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級第二十七頁，共五十六頁，2022年，8月28日7.5網絡防火墻技術

7.5.1防火墻的基本概念最初含義：當房屋還處于木制結構的時侯，人們將石塊堆砌在房屋周圍用來防止火災的發(fā)生。這種墻被稱之為防火墻。防火墻是在網絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。

第二十八頁，共五十六頁，2022年，8月28日防火墻的位置與作用

第二十九頁，共五十六頁，2022年，8月28日防火墻通過檢查所有進出內部網絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界；在邏輯上，防火墻是分離器，限制器，也是一個分析器，有效地監(jiān)控了內部網和外部網之間的任何活動，保證了內部網絡的安全。在物理上，防火墻通常是一組硬件設備——路由器、主計算機，或者是路由器、計算機和配有軟件的網絡的組合。第三十頁，共五十六頁，2022年，8月28日防火墻的缺點防火墻并非萬能，影響網絡安全的因素很多，對于以下情況它無能為力：（1）不能防范繞過防火墻的攻擊。（2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。（3）不能防止數(shù)據(jù)驅動式攻擊。（4）難以避免來自內部的攻擊。再次指出，防火墻只是網絡安全防范策略的一部分，而不是解決所有網絡安全問題的靈丹妙藥。第三十一頁，共五十六頁，2022年，8月28日7.5.2防火墻的主要類型

目前防火墻按照防護原理可以分為二種類型，每類防火墻保護Intranet的方法各不相同。

包過濾路由器系統(tǒng)是一臺路由器或是一臺主機，其中用于過濾數(shù)據(jù)包的路由器稱為屏蔽路由器。數(shù)據(jù)包過濾一般用屏蔽路由器實現(xiàn)。大多數(shù)數(shù)據(jù)包過濾系統(tǒng)在數(shù)據(jù)本身上不做任何事，即它們不做基于內容的決定。第三十二頁，共五十六頁，2022年，8月28日包過濾規(guī)則一般是基于部分或全部報頭的內容。例如，對于TCP報頭信息可以是：源IP地址、目的IP地址、協(xié)議類型

、IP選項內容

、源TCP端口號

、目的TCP端口號

、TCPACK標識等。缺點：安全性低（IP欺騙等）不能根據(jù)狀態(tài)信息進行控制不能處理網絡層傳輸層以上的信息伸縮性差維護不直觀第三十三頁，共五十六頁，2022年，8月28日包過濾路由器的結構第三十四頁，共五十六頁，2022年，8月28日應用級網關

多歸屬主機又稱為多宿主主機，它具有兩個或兩個以上的網絡接口，每個網絡接口與一個網絡連接，具有在不同網絡之間交換數(shù)據(jù)的路由能力。如果多歸屬主機連接了兩個網絡，它可以叫做雙歸屬主機。只要能確定應用程序訪問控制規(guī)則，就可以采用雙歸屬主機作為應用級網關，在應用層過濾進出內部網絡特定服務的用戶請求與響應。應用代理是應用級網關的另一種形式，它完全接管了用戶對服務器的訪問，隔離內部和外部網絡。它的功能由代理服務器實現(xiàn)。第三十五頁，共五十六頁，2022年，8月28日應用級網關的結構

第三十六頁，共五十六頁，2022年，8月28日應用代理的工作原理第三十七頁，共五十六頁，2022年，8月28日7.5.3主要的防火墻產品

Checkpoint公司的Firewall-1防火墻SonicSystem公司的Sonicwall防火墻NetScreen公司的NetScreen防火墻Alkatel公司的InternetDevice防火墻NAI公司的Gauntlet防火墻第三十八頁，共五十六頁，2022年，8月28日7.6網絡防病毒技術7.6.1造成網絡感染病毒的主要原因

70%的病毒發(fā)生在網絡上；Internet/Intranet的迅速發(fā)展和廣泛應用給病毒增加了新的傳播途徑，網絡將正逐漸成為病毒的第一傳播途徑。Internet/Intranet帶來了兩種不同的安全威脅：一種威脅來自文件下載，這些被瀏覽的或是通過FTP下載的文件中可能存在病毒；另一種威脅來自電子郵件。第三十九頁，共五十六頁，2022年，8月28日7.6.2網絡病毒的特點網絡環(huán)境中，計算機病毒具有如下特點。傳染方式多。病毒入侵網絡的主要途徑是通過工作站傳播到服務器硬盤，再由服務器的共享目錄傳播到其他工作站。傳染速度快。在單機上，病毒只能通過磁盤、光盤等從一臺計算機傳播到另一臺計算機，而在網絡中病毒則可通過網絡通信機制迅速擴散。清除難度大。尤其在網絡中，只要一臺工作站未消滅病毒就可能使整個網絡全部被病毒重新感染。第四十頁，共五十六頁，2022年，8月28日破壞性強。網絡上的病毒將直接影響網絡的工作狀況，輕則降低速度，影響工作效率，重則造成網絡癱瘓，破壞服務系統(tǒng)的資源，使多年工作成果毀于一旦。激發(fā)形式多樣?？捎糜诩ぐl(fā)網絡病毒的條件較多，可以是內部時鐘，系統(tǒng)的日期和用戶名，也可以是網絡的一次通信等。一個病毒程序可以按照設計者的要求，在某個工作站上激活并發(fā)出攻擊。潛在性。網絡一旦感染了病毒，即使病毒已被清除，其潛在的危險也是巨大的。有研究表明，在病毒被消除后，85%的網絡在30天內會被再次感染第四十一頁，共五十六頁，2022年，8月28日7.6.3常見的網絡病毒

電子郵件病毒。有毒的通常不是郵件本身，而是其附件。Java程序病毒。Java是目前網頁上最流行的程序設計語言，由于它可以跨平臺執(zhí)行，因此不論是Windows9X/NT還是Unix工作站，甚至是CRAY超級電腦，都可被Java病毒感染。ActiveX病毒。當使用者瀏覽含有病毒的網頁時，就可能通過ActiveX控件將病毒下載至本地計算機上。網頁病毒。上面介紹過Java及ActiveX病毒，它們大部分都保存在網頁中，所以網頁當然也能傳染病毒。第四十二頁，共五十六頁，2022年，8月28日7.6.4典型網絡防病毒軟件的應用

網絡防病毒可以從以下兩方面入手：一是工作站，二是服務器；網絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網絡管理員負責清除病毒；網絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描；一個完整的網絡防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。第四十三頁，共五十六頁，2022年，8月28日7.7網絡管理技術7.7.1網絡管理的基本概念

為什么需要網絡管理？人們需要檢測網絡的運行狀況，需要保證網絡安全、可靠、高效地運行，而由于以下因素，網絡復雜程度已超出了人們手工的控制范圍：規(guī)模不斷擴大：節(jié)點數(shù)從幾十到幾千復雜性不斷增加：設備類型增多、功能增強異構性：不同的操作系統(tǒng)、通信協(xié)議（TCP/IP，IPX，X25等）。第四十四頁，共五十六頁，2022年，8月28日網絡管理的基本概念網絡管理的目的：對組成網絡的各種硬軟件設施的綜合管理，以達到充分利用這些資源的目標，并保證網絡向用戶提供可靠的通信服務(當網絡出現(xiàn)故障時，能及時報告和處理)。網絡管理涉及以下三個方面：網絡服務提供是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能；網絡維護是指網絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復；網絡處理是指網絡線路、設備利用率數(shù)據(jù)的采集、分析，以及提高網絡利用率的各種控制。網管的最終效果體現(xiàn)在對網絡服務的質量保證上.第四十五頁，共五十六頁，2022年，8月28日網絡管理系統(tǒng)的基本結構：

管理對象

管理對象是經過抽象的網絡元素，對應于網絡中具體可以操作的數(shù)據(jù)。管理進程

管理進程是負責對網絡設備進行全面的管理與控制的軟件。管理協(xié)議

管理協(xié)議負責在管理系統(tǒng)與被管理對象之間傳遞與負責操作命令。第四十六頁，共五十六頁，2022年，8月28日管理信息庫管理信息庫（MIB）是管理進程的一部分，用于記錄網絡中被管理對象的狀態(tài)參數(shù)值；一個網絡的管理系統(tǒng)只能有一個管理信息庫，但管理信息庫可以是集中存儲的，也可以由各個網絡設備記錄本地工作參數(shù)；網絡管理員只要查詢有關的管理信息庫，就可獲得有關網絡設備的工作狀態(tài)和工作參數(shù)；在網絡管理過程中，使網絡管理信息庫中數(shù)據(jù)與實際網絡設備的狀態(tài)、參數(shù)保持一致的方法主要有兩種：事件驅動與輪詢驅動方法。第四十七頁，共五十六頁，2022年，8月28日7.7.2OSI管理功能域

故障管理（faultmanagement）是網絡管理最基本的功能，指系統(tǒng)出現(xiàn)異常情況下的管理操作，簡單地說，就是找出故障的位置并進行恢復。其目標是自動監(jiān)測、記錄網絡故障并通知用戶，以便網絡有效地運行。在實際運用中，網絡故障管理包括以下幾個步驟：檢測故障、判斷故障癥狀：依賴于對網絡設備的狀態(tài)監(jiān)測；隔離故障：通過診斷、測試辨別故障根源，對根源故障進行隔離；故障修復：不嚴重的簡單故障通常由網絡設備通過本身具有的故障檢測、診斷和恢復措施予以解決；記錄故障的監(jiān)測及其結果第四十八頁，共五十六頁，2022年，8月28日計費管理（accountingmanagement）負責記錄網絡資源的使用情況和使用這些資源的代價，包括:統(tǒng)計已被使用的網絡資源和估算用戶應付的費用；設置網絡資源的使用計費限制，控制用戶占用和使用過多的網絡資源；.對為了實現(xiàn)某個特定通信目的所引用的多個網絡資源進行聯(lián)合收費的能力。計費管理的目標是衡量網絡的利用率，以便一個或一組用戶可以按規(guī)則利用網絡資源，這樣的規(guī)則使網絡故障降低到最小（因為網絡資源可以根據(jù)其能力的大小而合理地分配），也可使所有用戶對網絡的訪問更加公平。為了實現(xiàn)合理的計費，計費管理必須和性能管理相結合。第四十九頁，共五十六頁，2022年，8月28日配置管理（configurationmanagement）定義、收集、監(jiān)測和管理系統(tǒng)的配置參數(shù)，使得網絡性能達到最優(yōu)。配置參數(shù)包括（但不局限于）設備資源、它們的容量和屬性，以及它們之間的關系。配置管理的功能包括:

設置開放系統(tǒng)中有關路由操作的參數(shù)修改被管對象的屬性初始化或關閉被管對象根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關信息更改系統(tǒng)的配置配置管理的目的在于隨時了解系統(tǒng)網絡的拓撲結構以及所交換的信息，包括連接前靜態(tài)設定的和連接后動態(tài)更新的。第五十頁，共五十六頁，2022年，8月28日性能管理（performancemanagement）主要是收集和統(tǒng)計數(shù)據(jù)（如網絡的吞吐量、用戶的響應時間和線路的利用率等），以便評價網絡資源的運行狀況和通信效率等系統(tǒng)