第9章：網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)

1、計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 1 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 2 本章學習要求本章學習要求: : 了解了解：網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全的重要性。 掌握：密碼體制的基本概念及應(yīng)用。掌握：密碼體制的基本概念及應(yīng)用。 掌握：防火墻的基本概念。掌握：防火墻的基本概念。 掌握：網(wǎng)絡(luò)入侵檢測與防攻擊的基本概念與方法。掌握：網(wǎng)絡(luò)入侵檢測與防攻擊的基本概念與方法。 掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。 了解：網(wǎng)絡(luò)病毒防治的基本方法。了解：網(wǎng)絡(luò)病毒防治的基本方法。 了解：

2、網(wǎng)絡(luò)管理的基本概念與方法。了解：網(wǎng)絡(luò)管理的基本概念與方法。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 3 9.1 網(wǎng)絡(luò)安全研究的主要問題網(wǎng)絡(luò)安全研究的主要問題 9.1.1 網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性 網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題；網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題； 每個國家只能立足于本國，研究自己的網(wǎng)絡(luò)安全技每個國家只能立足于本國，研究自己的網(wǎng)絡(luò)安全技 術(shù)，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)術(shù)，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn) 業(yè)，才能構(gòu)筑本國的網(wǎng)絡(luò)與信息安全防范體系。業(yè)，才能構(gòu)筑本國的網(wǎng)絡(luò)與信息安全防范體

3、系。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 4 9.1.2 網(wǎng)絡(luò)安全技術(shù)研究的主要問題網(wǎng)絡(luò)安全技術(shù)研究的主要問題 網(wǎng)絡(luò)防攻擊問題；網(wǎng)絡(luò)防攻擊問題； 網(wǎng)絡(luò)安全漏洞與對策問題；網(wǎng)絡(luò)安全漏洞與對策問題； 網(wǎng)絡(luò)中的信息安全保密問題；網(wǎng)絡(luò)中的信息安全保密問題； 防抵賴問題；防抵賴問題； 網(wǎng)絡(luò)內(nèi)部安全防范問題；網(wǎng)絡(luò)內(nèi)部安全防范問題； 網(wǎng)絡(luò)防病毒問題；網(wǎng)絡(luò)防病毒問題； 網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題。網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 5 1.網(wǎng)絡(luò)防攻擊技術(shù)網(wǎng)絡(luò)防攻擊技術(shù) 服務(wù)攻擊

4、服務(wù)攻擊（application dependent attack） : : 對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的 “拒絕服務(wù)拒絕服務(wù)”，使網(wǎng)絡(luò)工作不正常，使網(wǎng)絡(luò)工作不正常; ; 非服務(wù)攻擊非服務(wù)攻擊（application independent attack） : : 不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而 進行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴重阻塞或癱瘓。進行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴重阻塞或癱瘓。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管

5、理技術(shù) 6 網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題 網(wǎng)絡(luò)可能遭到哪些人的攻擊？網(wǎng)絡(luò)可能遭到哪些人的攻擊？ 攻擊類型與手段可能有哪些？攻擊類型與手段可能有哪些？ 如何及時檢測并報告網(wǎng)絡(luò)被攻擊？如何及時檢測并報告網(wǎng)絡(luò)被攻擊？ 如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護體系？如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護體系？ 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 7 2.網(wǎng)絡(luò)安全漏洞與對策的研究網(wǎng)絡(luò)安全漏洞與對策的研究 網(wǎng)絡(luò)信息系統(tǒng)的運行涉及：網(wǎng)絡(luò)信息系統(tǒng)的運行涉及： 計算機硬件與操作系統(tǒng)；計算機硬件與操作系統(tǒng)； 網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)

6、軟件；網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件； 數(shù)據(jù)庫管理系統(tǒng)；數(shù)據(jù)庫管理系統(tǒng)； 應(yīng)用軟件；應(yīng)用軟件； 網(wǎng)絡(luò)通信協(xié)議。網(wǎng)絡(luò)通信協(xié)議。 網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面。網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 8 3.網(wǎng)絡(luò)中的信息安全問題網(wǎng)絡(luò)中的信息安全問題 信息存儲安全與信息傳輸安全信息存儲安全與信息傳輸安全 信息存儲安全信息存儲安全 如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會 被未授權(quán)的網(wǎng)絡(luò)用戶非法使用；被未授權(quán)的網(wǎng)絡(luò)用戶非法使用； 信息傳輸安全信息傳輸安全 如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被

7、泄露與不被攻如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻 擊；擊； 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 9 信息傳輸安全問題的四種基本類型信息傳輸安全問題的四種基本類型 信息源結(jié)點信息目的結(jié)點 （ d d） 信信 息息 被被 篡篡 改改 非法用戶 篡改 信息源結(jié)點信息目的結(jié)點 （ e e） 信信 息息 被被 偽偽 造造 非法用戶 偽造 信息源結(jié)點信息目的結(jié)點 （b）信息被截獲（b）信息被截獲 非法用戶 截獲 信息源結(jié)點信息目的結(jié)點 （c）信息被竊聽（c）信息被竊聽 非法用戶 竊聽 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全

8、與網(wǎng)絡(luò)管理技術(shù) 10 4.防抵賴問題防抵賴問題 防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不 承認，或者是信息目的結(jié)點用戶接收到信息之后不認承認，或者是信息目的結(jié)點用戶接收到信息之后不認 賬；賬； 通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等 方法，來確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥栴}，防止方法，來確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵抵 賴賴”現(xiàn)象出現(xiàn)。現(xiàn)象出現(xiàn)。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 11 5.網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范 網(wǎng)絡(luò)內(nèi)部安全防

9、范是防止內(nèi)部具有合法身份的用戶有網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有 意或無意地做出對網(wǎng)絡(luò)與信息安全有害的行為；意或無意地做出對網(wǎng)絡(luò)與信息安全有害的行為； 對網(wǎng)絡(luò)與信息安全有害的行為包括對網(wǎng)絡(luò)與信息安全有害的行為包括： 有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令；有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令； 違反網(wǎng)絡(luò)安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡(luò)違反網(wǎng)絡(luò)安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡(luò) 連接，造成系統(tǒng)安全漏洞；連接，造成系統(tǒng)安全漏洞； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文 件、應(yīng)用程序及數(shù)據(jù)；件、應(yīng)用程序及數(shù)據(jù)； 違反網(wǎng)絡(luò)使用

10、規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成 網(wǎng)絡(luò)工作不正常；網(wǎng)絡(luò)工作不正常； 解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩 個方面入手。個方面入手。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 12 6.網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒 引導(dǎo)型病毒引導(dǎo)型病毒 可執(zhí)行文件病毒可執(zhí)行文件病毒 宏病毒宏病毒 混合病毒混合病毒 特洛伊木馬型病毒特洛伊木馬型病毒 InternetInternet語言病毒語言病毒 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 13

11、 7.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題 如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？ 如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購買設(shè)備的資如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購買設(shè)備的資 金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？ 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 14 9.1.3 網(wǎng)絡(luò)安全服務(wù)與安全標準網(wǎng)絡(luò)安全服務(wù)與安全標準 網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能： 數(shù)據(jù)保密（數(shù)據(jù)保密（da

12、ta confidentiality） 認證（認證（authentication） 數(shù)據(jù)完整（數(shù)據(jù)完整（data integrity） 防抵賴（防抵賴（non-repudiation） 訪問控制（訪問控制（access control） 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 15 網(wǎng)絡(luò)安全標準網(wǎng)絡(luò)安全標準 電子計算機系統(tǒng)安全規(guī)范，電子計算機系統(tǒng)安全規(guī)范，1987年年10月月 計算機軟件保護條例，計算機軟件保護條例，1991年年5月月 計算機軟件著作權(quán)登記辦法，計算機軟件著作權(quán)登記辦法，1992年年4月月 中華人民共和國計算機信息與系統(tǒng)安全保護條例，中

13、華人民共和國計算機信息與系統(tǒng)安全保護條例， 1994年年2月月 計算機信息系統(tǒng)保密管理暫行規(guī)定，計算機信息系統(tǒng)保密管理暫行規(guī)定，1998年年2月月 關(guān)于維護互聯(lián)網(wǎng)安全決定，全國人民代表大會常務(wù)關(guān)于維護互聯(lián)網(wǎng)安全決定，全國人民代表大會常務(wù) 委員會通過，委員會通過，2000年年12月月 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 16 可信計算機系統(tǒng)評估準則可信計算機系統(tǒng)評估準則TC-SEC-NCSC是是1983年公年公 布的，布的，1985年公布了可信網(wǎng)絡(luò)說明（年公布了可信網(wǎng)絡(luò)說明（TNI）；）； 可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為可信計算機系統(tǒng)

14、評估準則將計算機系統(tǒng)安全等級分為4 類類7個等級，即個等級，即D、C1、C2、B1、B2、B3與與A1； D級系統(tǒng)的安全要求最低，級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。級系統(tǒng)的安全要求最高。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 17 9.2 加密與認證技術(shù)加密與認證技術(shù) 9.2.1 密碼算法與密碼體制的基本概念密碼算法與密碼體制的基本概念 數(shù)據(jù)加密與解密的過程數(shù)據(jù)加密與解密的過程 加密過程密文明文 信息源結(jié)點 解密過程密文明文 信息目的結(jié)點 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 18 密碼體制是

15、指一個系統(tǒng)所采用的基本工作方式以及它密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它 的兩個基本構(gòu)成要素，即加密的兩個基本構(gòu)成要素，即加密/ /解密算法和密鑰；解密算法和密鑰； 傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱 為對稱密碼體制；為對稱密碼體制； 如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼 體制；體制； 密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角 度來看，改變了密鑰，實際上也就改變了明文與密文度來看，改變了密鑰，實際上也就改變了明文與密文

16、之間等價的數(shù)學函數(shù)關(guān)系；之間等價的數(shù)學函數(shù)關(guān)系； 密碼算法是相對穩(wěn)定的。在這種意義上，可以把密碼密碼算法是相對穩(wěn)定的。在這種意義上，可以把密碼 算法視為常量，而密鑰則是一個變量；算法視為常量，而密鑰則是一個變量； 在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需 要保密的是密鑰。要保密的是密鑰。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 19 什么是密碼什么是密碼 密碼是含有一個參數(shù)密碼是含有一個參數(shù)k的數(shù)學變換，即的數(shù)學變換，即 C = Ek（m） m是未加密的信息（明文）是未加密的信息（明文） C是加密后的

17、信息（密文）是加密后的信息（密文） E是加密算法是加密算法 參數(shù)參數(shù)k稱為密鑰稱為密鑰 密文密文C是明文是明文m 使用密鑰使用密鑰k 經(jīng)過加密算法計算后的結(jié)果；經(jīng)過加密算法計算后的結(jié)果； 加密算法可以公開，而密鑰只能由通信雙方來掌握。加密算法可以公開，而密鑰只能由通信雙方來掌握。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 20 密鑰長度密鑰長度 密鑰長度與密鑰個數(shù)密鑰長度與密鑰個數(shù) 密鑰長度（位）密鑰長度（位）組合個數(shù)組合個數(shù) 40240=1099511627776 56256=7.2057594037931016 64264=1.84467440737

18、11019 1122112=5.1922968585351033 1282128=3.4028236692091038 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 21 9.2.2 對稱密鑰對稱密鑰（symmetric cryptography） 密碼體系密碼體系 對稱加密的特點對稱加密的特點 加密過程解密過程 密鑰 明文密文明文 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 22 9.2.3 非對稱密鑰非對稱密鑰（asymmetric cryptography） 密碼體系密碼體系 非對稱密鑰密碼體系的特點非對稱密鑰密碼

19、體系的特點 加密過程解密過程 公鑰 明文密文明文 私鑰 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 23 非對稱加密的標準非對稱加密的標準 RSA體制被認為是目前為止理論上最為成熟的一種公鑰體制被認為是目前為止理論上最為成熟的一種公鑰 密碼體制。密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證體制多用在數(shù)字簽名、密鑰管理和認證 等方面；等方面； Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制；公鑰體制是一種基于離散對數(shù)的公鑰密碼體制； 目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie Hellman密鑰

20、交換、數(shù)據(jù)簽名標準密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼橢圓曲線密碼 等等 。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 24 9.2.4 數(shù)字信封技術(shù)數(shù)字信封技術(shù) 加密過程 對稱密鑰 明文數(shù)據(jù) 密文 發(fā)送方發(fā)送方 解密過程 接收方 私鑰 接收方接收方 加密過程 接收方 公鑰 被加密 的密鑰 數(shù)據(jù) 密文 解密過程 對稱密鑰 明文 密文密文 對稱 密鑰 被加密 的密鑰 對稱 密鑰 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 25 9.2.5 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 生成摘要 發(fā)送方 私鑰 明文 發(fā)發(fā)送送方方 接接

21、收收方方 信息 摘要 信息 摘要 加密過程 單向散列函數(shù) 信息 摘要 明文明文 信息 摘要 明文 生成摘要 信息 摘要 單向散列函數(shù) 發(fā)送方 公鑰 解密過程 信息 摘要 比較 身身 份份 認認 證證 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 26 9.2.6 身份認證技術(shù)的發(fā)展身份認證技術(shù)的發(fā)展 身份認證可以通過身份認證可以通過3 3種基本途徑之一或它們的組合實現(xiàn)種基本途徑之一或它們的組合實現(xiàn)： 所知（所知（knowledge）: 個人所掌握的密碼、口令；個人所掌握的密碼、口令； 所有（所有（possesses）: 個人身份證、護照、信用卡、鑰匙；個人身

22、份證、護照、信用卡、鑰匙； 個人特征（個人特征（characteristics）:人的指紋、聲紋、筆跡、手人的指紋、聲紋、筆跡、手 型、臉型、血型、視網(wǎng)膜、虹膜、型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作以及個人動作 方面的特征；方面的特征； 新的、廣義的生物統(tǒng)計學是利用個人所特有的新的、廣義的生物統(tǒng)計學是利用個人所特有的生理特征生理特征 來設(shè)計的；來設(shè)計的； 目前人們研究的個人特征主要包括：目前人們研究的個人特征主要包括：容貌、膚色、發(fā)質(zhì)、容貌、膚色、發(fā)質(zhì)、 身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、 腳步聲、體味、視網(wǎng)膜、血型、

23、遺傳因子、筆跡、習慣腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習慣 性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 27 9.3 防火墻技術(shù)防火墻技術(shù) 9.3.1 防火墻的基本概念防火墻的基本概念 防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包 括硬件和軟件；括硬件和軟件； 設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授 權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。權(quán)用戶使用，防

24、止內(nèi)部受到外部非法用戶的攻擊。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 28 防火墻通過檢查所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)防火墻通過檢查所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù) 據(jù)包的合法性，判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為據(jù)包的合法性，判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為 內(nèi)部網(wǎng)絡(luò)建立安全邊界（內(nèi)部網(wǎng)絡(luò)建立安全邊界（security perimeter）；）； 構(gòu)成防火墻系統(tǒng)的兩個基本部件是包過濾路由器構(gòu)成防火墻系統(tǒng)的兩個基本部件是包過濾路由器 （packet filtering router）和應(yīng)用級網(wǎng)關(guān)（和應(yīng)用級網(wǎng)關(guān)（application gateway

25、）；）； 最簡單的防火墻由一個包過濾路由器組成，而復(fù)雜的最簡單的防火墻由一個包過濾路由器組成，而復(fù)雜的 防火墻系統(tǒng)由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成；防火墻系統(tǒng)由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成； 由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多 種形式。種形式。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 29 9.3.2 包過濾路由器包過濾路由器 包過濾路由器的結(jié)構(gòu)包過濾路由器的結(jié)構(gòu) 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 30 路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則（

26、即訪問控路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則（即訪問控 制表），檢查每個分組的源制表），檢查每個分組的源IP地址、目的地址、目的IP地址，決地址，決 定該分組是否應(yīng)該轉(zhuǎn)發(fā)；定該分組是否應(yīng)該轉(zhuǎn)發(fā)； 包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如， 對于對于TCP報頭信息可以是：報頭信息可以是： 源源IP地址；地址； 目的目的IP地址；地址； 協(xié)議類型；協(xié)議類型； IP選項內(nèi)容；選項內(nèi)容； 源源TCP端口號；端口號； 目的目的TCP端口號；端口號； TCP ACK標識。標識。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管

27、理技術(shù) 31 包過濾的包過濾的 工作流程工作流程 y N N y 設(shè)置包過濾規(guī)則 分析包參數(shù) 根據(jù)過濾規(guī)則確定 包是否允許轉(zhuǎn)發(fā) 是否是包過濾 的最后一個規(guī)則 應(yīng)用下一個包過濾規(guī)則 轉(zhuǎn)發(fā)該包 丟棄該包 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 32 包過濾路由器作為防火墻的結(jié)構(gòu)包過濾路由器作為防火墻的結(jié)構(gòu) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) 包過濾路由器包過濾路由器 防火墻 內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) E-mail服務(wù)器 （1 ） 工作站 Internet 發(fā)送到外部 網(wǎng)絡(luò)的包 進入內(nèi)部 網(wǎng)絡(luò)的包 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)

28、絡(luò)管理技術(shù) 33 假設(shè)網(wǎng)絡(luò)安全策略規(guī)定假設(shè)網(wǎng)絡(luò)安全策略規(guī)定： 內(nèi)部網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（服務(wù)器（IP地址為地址為，TCP端端 口號為口號為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子郵 件；件； 允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電 子郵件；子郵件； 拒絕所有與外部網(wǎng)絡(luò)中名字為拒絕所有與外部網(wǎng)絡(luò)中名字為TESTHOST主機的連接。主機的連接。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 34 規(guī)則過濾號規(guī)則過濾號方向方向動作動作源主機地

29、址源主機地址 TESTHOST 源端口號源端口號目的主機地址目的主機地址目的端口號目的端口號協(xié)議協(xié)議描述描述 阻塞來自 TESTHOST的 所有數(shù)據(jù)包 阻塞所有到 TESTHOST的 數(shù)據(jù)包 允許外部用戶 傳送到內(nèi)部網(wǎng) 絡(luò)電子郵件服 務(wù)器的數(shù)據(jù)包 允許內(nèi)部郵件 服務(wù)器傳送到 外部網(wǎng)絡(luò)的電 子郵件數(shù)據(jù)包 * * TCP TCP * * 25 1023 * TESTHOST * * * 1023 25 * * 阻塞 阻塞 允許 允許 進入 進入 輸出 輸出 1 2 3 4 包過濾規(guī)則表包過濾規(guī)則表 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)

30、絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 35 9.3.3 應(yīng)用級網(wǎng)關(guān)的概念應(yīng)用級網(wǎng)關(guān)的概念 多歸屬主機多歸屬主機（multihomed host） 典型的多歸屬主機結(jié)構(gòu)典型的多歸屬主機結(jié)構(gòu) 多歸屬主機 網(wǎng)絡(luò)1網(wǎng)絡(luò)2網(wǎng)絡(luò)3 網(wǎng)絡(luò)3網(wǎng)絡(luò)2網(wǎng)絡(luò)1 網(wǎng)卡1網(wǎng)卡2網(wǎng)卡3 多歸屬主機 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 36 應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān) 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 37 應(yīng)用代理應(yīng)用代理（application proxy） 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 38 9

31、.3.4 防火墻的系統(tǒng)結(jié)構(gòu)防火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機的概念堡壘主機的概念 一個雙歸屬主機作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用；一個雙歸屬主機作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用； 處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機 系統(tǒng)叫做堡壘主機。系統(tǒng)叫做堡壘主機。 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) 應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān) 防火墻 內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) E-mail服務(wù)器 （1 ） 工作站 Internet 發(fā)送到外部 網(wǎng)絡(luò)的包 進入內(nèi)部 網(wǎng)絡(luò)的包 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 39 典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析典

32、型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析 采用一個過濾路由器與一個堡壘主機組成的采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻防火墻 系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu) InternetInternet 內(nèi)部網(wǎng)絡(luò) 堡壘主機堡壘主機WWW服務(wù)器 文件服務(wù)器 工作站工作站 包過濾路由器包過濾路由器 FTP服務(wù)器 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 40 包過濾路由器的轉(zhuǎn)發(fā)過程包過濾路由器的轉(zhuǎn)發(fā)過程 InternetInternet 內(nèi)部網(wǎng)絡(luò) 堡壘主機 0 文件服務(wù)器 工作站 過濾路由器過濾路由器路由表 19

33、0 目的I P轉(zhuǎn)發(fā)至I P 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 41 S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 42 采用多級結(jié)構(gòu)的防火墻系統(tǒng)（采用多級結(jié)構(gòu)的防火墻系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖配置）結(jié)構(gòu)示意圖 內(nèi)部網(wǎng)絡(luò) InternetInternet 過濾子網(wǎng) 服務(wù)器 工作站 外部包過濾 路由器 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 內(nèi)部包過濾 路由器 外堡壘主機 內(nèi)堡壘主機 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與

34、網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 43 9.4 網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù)網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù) 9.4.1 網(wǎng)絡(luò)攻擊方法分析網(wǎng)絡(luò)攻擊方法分析 目前黑客攻擊大致可以分為目前黑客攻擊大致可以分為8種基本的類型種基本的類型： 入侵系統(tǒng)類攻擊；入侵系統(tǒng)類攻擊； 緩沖區(qū)溢出攻擊；緩沖區(qū)溢出攻擊； 欺騙類攻擊；欺騙類攻擊； 拒絕服務(wù)攻擊；拒絕服務(wù)攻擊； 對防火墻的攻擊；對防火墻的攻擊； 利用病毒攻擊；利用病毒攻擊； 木馬程序攻擊；木馬程序攻擊； 后門攻擊。后門攻擊。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 44 9.4.2 入侵檢測的基本概念入侵檢測的基本概念

35、 入侵檢測系統(tǒng)入侵檢測系統(tǒng)（intrusion detection system，IDS）是是 對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)；對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)； 它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來 自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為， 并且采取相應(yīng)的防護手段。并且采取相應(yīng)的防護手段。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 45 入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDSIDS的基本功能的基本功能： 監(jiān)控、分析用戶和

36、系統(tǒng)的行為；監(jiān)控、分析用戶和系統(tǒng)的行為； 檢查系統(tǒng)的配置和漏洞；檢查系統(tǒng)的配置和漏洞； 評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性； 對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理 人員報警；人員報警； 對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶 活動。活動。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 46 入侵檢測系統(tǒng)框架結(jié)構(gòu)入侵檢測系統(tǒng)框架結(jié)構(gòu) 事件分析器事件發(fā)生器 響應(yīng)單元 事件數(shù)據(jù)庫 事件 更新規(guī)則 提取規(guī)則 歷史 活動

37、 狀態(tài) 更 新 處理意見 規(guī)則設(shè)計 與修改 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 47 9.4.3 入侵檢測的基本方法入侵檢測的基本方法 對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是 入侵檢測系統(tǒng)的核心功能；入侵檢測系統(tǒng)的核心功能； 入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為：入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為： 異常檢測異常檢測 誤用檢測誤用檢測 兩種方式的結(jié)合兩種方式的結(jié)合 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 48 9.5 網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)

38、網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù) 9.5.1 網(wǎng)絡(luò)文件備份與恢復(fù)的重要性網(wǎng)絡(luò)文件備份與恢復(fù)的重要性 網(wǎng)絡(luò)數(shù)據(jù)可以進行歸檔與備份；網(wǎng)絡(luò)數(shù)據(jù)可以進行歸檔與備份； 歸檔是指在一種特殊介質(zhì)上進行永久性存儲；歸檔是指在一種特殊介質(zhì)上進行永久性存儲； 網(wǎng)絡(luò)數(shù)據(jù)備份是一項基本的網(wǎng)絡(luò)維護工作；網(wǎng)絡(luò)數(shù)據(jù)備份是一項基本的網(wǎng)絡(luò)維護工作； 備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 49 9.5.2 網(wǎng)絡(luò)文件備份的基本方法網(wǎng)絡(luò)文件備份的基本方法 選擇備份設(shè)備選擇備份設(shè)備 選擇備份程序選擇備份程序 建立備份制度建立備份制度 在考慮備份

39、方法時需要注意的問題在考慮備份方法時需要注意的問題： 如果系統(tǒng)遭到破壞需要多長時間才能恢復(fù)？如果系統(tǒng)遭到破壞需要多長時間才能恢復(fù)？ 怎樣備份才可能在恢復(fù)系統(tǒng)時數(shù)據(jù)損失最少？怎樣備份才可能在恢復(fù)系統(tǒng)時數(shù)據(jù)損失最少？ 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 50 9.6 網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)防病毒技術(shù) 9.6.1 造成網(wǎng)絡(luò)感染病毒的主要原因造成網(wǎng)絡(luò)感染病毒的主要原因 70%的病毒發(fā)生在網(wǎng)絡(luò)上；的病毒發(fā)生在網(wǎng)絡(luò)上； 將用戶家庭微型機軟盤帶到網(wǎng)絡(luò)上運行而使網(wǎng)絡(luò)感染將用戶家庭微型機軟盤帶到網(wǎng)絡(luò)上運行而使網(wǎng)絡(luò)感染 上病毒的事件約占上病毒的事件約占41%左右；左右；

40、從網(wǎng)絡(luò)電子廣告牌上帶來的病毒約占從網(wǎng)絡(luò)電子廣告牌上帶來的病毒約占7%； 從軟件商的演示盤中帶來的病毒約占從軟件商的演示盤中帶來的病毒約占6%； 從系統(tǒng)維護盤中帶來的病毒約占從系統(tǒng)維護盤中帶來的病毒約占6%； 從公司之間交換的軟盤帶來的病毒約占從公司之間交換的軟盤帶來的病毒約占2%； 其他未知因素約占其他未知因素約占27%； 從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原 因在于網(wǎng)絡(luò)用戶自身。因在于網(wǎng)絡(luò)用戶自身。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 51 9.6.2 網(wǎng)絡(luò)病毒的危害網(wǎng)絡(luò)病毒的危害 網(wǎng)絡(luò)病毒

41、感染一般是從用戶工作站開始的，而網(wǎng)絡(luò)服網(wǎng)絡(luò)病毒感染一般是從用戶工作站開始的，而網(wǎng)絡(luò)服 務(wù)器是病毒潛在的攻擊目標，也是網(wǎng)絡(luò)病毒潛藏的重務(wù)器是病毒潛在的攻擊目標，也是網(wǎng)絡(luò)病毒潛藏的重 要場所；要場所； 網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用：它可能網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用：它可能 被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代 理人，在工作站之間迅速傳播與蔓延病毒；理人，在工作站之間迅速傳播與蔓延病毒； 網(wǎng)絡(luò)病毒的傳染與發(fā)作過程與單機基本相同，它將本網(wǎng)絡(luò)病毒的傳染與發(fā)作過程與單機基本相同，它將本 身拷貝覆蓋在宿主程序上；身拷貝覆蓋在宿主程

42、序上； 當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染 給其他程序。如果病毒不發(fā)作，宿主程序還能照常運給其他程序。如果病毒不發(fā)作，宿主程序還能照常運 行；當符合某種條件時，病毒便會發(fā)作，它將破壞程行；當符合某種條件時，病毒便會發(fā)作，它將破壞程 序與數(shù)據(jù)。序與數(shù)據(jù)。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 52 9.6.3 典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用 網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二 是服務(wù)器；是服務(wù)器； 網(wǎng)絡(luò)防病毒軟件的基本功

43、能是：對文件服務(wù)器和工作網(wǎng)絡(luò)防病毒軟件的基本功能是：對文件服務(wù)器和工作 站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時， 由網(wǎng)絡(luò)管理員負責清除病毒；由網(wǎng)絡(luò)管理員負責清除病毒； 網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實 時掃描、預(yù)置掃描與人工掃描時掃描、預(yù)置掃描與人工掃描 ； 一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成：一個完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個部分組成： 客戶端防毒軟件、服務(wù)器端防毒軟件、針對群件的防客戶端防毒軟件、服務(wù)器端防毒軟件、針對群件的防 毒軟件、針對黑客的防毒軟件。毒軟

44、件、針對黑客的防毒軟件。 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 53 9.6.4 網(wǎng)絡(luò)工作站防病毒方法網(wǎng)絡(luò)工作站防病毒方法 采用無盤工作站采用無盤工作站 使用單機防病毒卡使用單機防病毒卡 使用網(wǎng)絡(luò)防病毒卡使用網(wǎng)絡(luò)防病毒卡 計算機網(wǎng)絡(luò)第計算機網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù) 54 9.7 網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理技術(shù) 9.7.1 網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本概念 網(wǎng)絡(luò)管理涉及以下三個方面網(wǎng)絡(luò)管理涉及以下三個方面： 網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng)網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng) 絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能；絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能； 網(wǎng)絡(luò)維護是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、網(wǎng)絡(luò)維護是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、 故障隔離與恢復(fù)；故障隔離與恢復(fù)； 網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分 析，以及提高網(wǎng)絡(luò)利用率的各種控制。析，以及提高網(wǎng)絡(luò)利用率的各種控制