三級網絡筆記第六章網絡安全技術

1、三級網絡筆記第六章網絡安全技術第六章網絡安全技術網絡管理包括五個功能： 配置管理，故障管理，性能管理，計費管理和安全管理。 代理位于被管理的設備內部， 它把來自管理者的命令或信息請求轉換為本設備特有的指令， 完成管理者的指示， 或返回它所在設備的信息。管理者和代理之間的信息交換可以分為兩種： 從管理者到代理的管理操作；從代理到管理者的事件通知。 配置管理的目標是掌握和控制網絡和系統的配置信息以及網絡各設備的狀態(tài)和連接管理。 現代網絡設備由硬件和設備驅動組成。 配置管理最主要的作用是可以增強網絡管理者對網絡配置的控制， 它是通過對設備的配置數據提供快速的訪問來實現的。 故障就是出現大量或嚴重錯誤

2、需要修復的異常情況。故障管理是對計算機網絡中的問題或故障進行定位的過程。 故障管理最主要的作用是通過提供網絡管理者快速的檢查問題并啟動恢復過程的工具， 使網絡的可靠性得到增強。 故障標簽就是一個監(jiān)視網絡問題的前端進程。 性能管理的目標是衡量和呈現網絡特性的各個方面， 使網絡的性能維持在一個可以接受的水平上。性能管理包括監(jiān)視和調整兩大功能。 記費管理的目標是跟蹤個人和團體用戶對網絡資源的使用情況， 對其收取合理的費用。 記費管理的主要作用是網絡管理者能測量和報告基于個人或團體用戶的記費信息， 分配資源并計算用戶通過網絡傳輸數據的費用， 然后給用戶開出帳單。 安全管理的目標是按照一定的方法控制對網

3、絡的訪問， 以保證網絡不被侵害， 并保證重要的信息不被未授權用戶訪問。安全管理是對網絡資源以及重要信息訪問進行約束和控制。 在網絡管理模型中，網絡管理者和代理之間需要交換大量的管理信息， 這一過程必須遵循統一的通信規(guī)范，我們把這個通信規(guī)范稱為網絡管理協議。 網絡管理協議是高層網絡應用協議，它建立在具體物理網絡及其基礎通信協議基礎上， 為網絡管理平臺服務。目前使用的標準網絡管理協議包括：簡單網絡管理協議SNMP，公共管理信息服務 / 協議 CMIS/CMIP，和局域網個人管理協議 LMMP等。 SNMP采用輪循監(jiān)控方式。代理 / 管理站模式。管理節(jié)點一般是面向工程應用的工作站級計算機，擁有很強的

4、處理能力。代理節(jié)點可以是網絡上任何類型的節(jié)點。 SNMP是一個應用層協議，在 TCP/IP 網絡中，它應用傳輸層和網絡層的服務向其對等層傳輸信息。 CMIP的優(yōu)點是安全性高，功能強大，不僅可用于傳輸管理數據， 還可以執(zhí)行一定的任務。信息安全包括 5 個基本要素：機密性，完整性，可用性，可控性與可審查性。 3D1 級。D1 級計算機系統標準規(guī)定對用戶沒有驗證。 例如 DOS。WINDOS3。X 及 WINDOW95 （不在工作組方式中） 。Apple 的 System7。 X。4C1 級提供自主式安全保護，它通過將用戶和數據分離，滿足自主需求。 C1 級又稱為選擇安全保護系統，它描述了一種典型的

5、用在 Unix 系統上的安全級別。 C1級要求硬件有一定的安全級別，用戶在使用前必須登陸到系統。 C1 級的防護的不足之處在與用戶直接訪問操作系統的根。 9C2 級提供比 C1 級系統更細微的自主式訪問控制。為處理敏感信息所需要的最底安全級別。 C2 級別還包含有受控訪問環(huán)境，該環(huán)境具有進一步限制用戶執(zhí)行一些命令或訪問某些文件的權限， 而且還加入了身份驗證級別。 例如UNIX系統。 XENIX。 Novell3 。0 或更高版本。 WINDOWSNT。10B1級稱為標記安全防護， B1 級支持多級安全。標記是指網上的一個對象在安全保護計劃中是可識別且受保護的。 B1 級是第一種需要大量訪問控制

6、支持的級別。安全級別存在保密，級別。 11B2 又稱為結構化保護，他要求計算機系統中的所有對象都要加上標簽，而且給設備分配安全級別。 B2 級系統的關鍵安全硬件 / 軟件部件必須建立在一個形式的安全方法模式上。 12B3 級又叫安全域，要求用戶工作站或終端通過可信任途徑連接到網絡系統。而且這一級采用硬件來保護安全系統的存儲區(qū)。B3 級系統的關鍵安全部件必須理解所有客體到主體的訪問，必須是防竄擾的，而且必須足夠小以便分析與測試。 30A1 安全級別，表明系統提供了面的安全，又叫做驗證設計。 所有來自構成系統的部件來源必須有安全保證， 以此保證系統的完善和安全， 安全措施還必須擔保在銷售過程中，

7、系統部件不受傷害。 網絡安全從本質上講就是網絡上的信息安全。凡是涉及到網絡信息的保密性，完整性，可用性，真實性和可控性的相關技術和理論都是網絡安全的研究領域。 安全策約是在一個特定的環(huán)境里， 為保證提供一定級別的安全保護所必須遵守的規(guī)則。 安全策約模型包括了建立安全環(huán)境的三個重要組成部分： 威嚴的法律， 先進的技術和嚴格的管理。網絡安全是網絡系統的硬件，軟件以及系統中的數據受到保護，不會由于偶然或惡意的原因而遭到破壞，更改，泄露，系統能連續(xù)，可靠和正常的運行，網絡服務不中斷。保證安全性的所有機制包括以下兩部分： 1 對被傳送的信息進行與安全相關的轉換。 2 兩個主體共享不希望對手得知的保密信息

8、。安全威脅是某個人，物，事或概念對某個資源的機密性，完整性，可用性或合法性所造成的危害。 某種攻擊就是某種威脅的具體實現。 安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。 中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。 截取是未授權的實體得到了資源的訪問權。 這是對保密性的攻擊。修改是未授權的實體不僅得到了訪問權， 而且還篡改了資源。這是對完整性的攻擊。 捏造是未授權的實體向系統中插入偽造的對象。 這是對真實性的攻擊。被動攻擊的特點是偷聽或監(jiān)視傳送。 其目的是獲得正在傳送的信息。被動攻擊有：泄露信息內容和通信量分析等。 主動攻擊涉及修改數據流或創(chuàng)建錯誤的數據流，

9、它包括假冒，重放，修改信息和拒絕服務等。假冒是一個實體假裝成另一個實體。 假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及后來的重新發(fā)送， 以產生未經授權的效果。 修改消息意味著改變了真實消息的部分內容， 或將消息延遲或重新排序， 導致未授權的操作。 拒絕服務的禁止對通信工具的正常使用或管理。 這種攻擊擁有特定的目標。 另一種拒絕服務的形式是整個網絡的中斷， 這可以通過使網絡失效而實現， 或通過消息過載使網絡性能降低。 防止主動攻擊的做法是對攻擊進行檢測， 并從它引起的中斷或延遲中恢復過來。 從網絡高層協議角度看， 攻擊方法可以概括為： 服務攻擊與非服務攻擊。服務攻擊是針

10、對某種特定網絡服務的攻擊。 非服務攻擊不針對某項具體應用服務，而是基于網絡層等低層協議進行的。 非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的， 是一種更有效的攻擊手段。 網絡安全的基本目標是實現信息的機密性，完整性，可用性和合法性。主要的可實現威脅： 3 滲入威脅：假冒，旁路控制，授權侵犯。 4 植入威脅：特洛伊木馬，陷門。病毒是能夠通過修改其他程序而感染它們的一種程序， 修改后的程序里面包含了病毒程序的一個副本， 這樣它們就能繼續(xù)感染其他程序。 網絡反病毒技術包括預防病毒，檢測病毒和消毒三種技術。 1 預防病毒技術。它通過自身長駐系統內存，優(yōu)先獲得系統的控制權， 監(jiān)視和判斷系

11、統中是或有病毒存在， 進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有：加密可執(zhí)行程序，引導區(qū)保護，系統監(jiān)控與讀寫控制。 2檢測病毒技術。通過對計算機病毒的特征來進行判斷的技術。如自身效驗，關鍵字，文件長度的變化等。 3消毒技術。通過對計算機病毒的分析， 開發(fā)出具有刪除病毒程序并恢復原元件的軟件。 網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和檢測， 在工作站上用防病毒芯片和對網絡目錄以及文件設置訪問權限等。 網絡信息系統安全管理三個原則： 1 多人負責原則。 2 任期有限原則。 3 職責分離原則。保密學是研究密碼系統或通信安全的科學， 它包含兩個分支： 密碼學

12、和密碼分析學。 需要隱藏的消息叫做明文。明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密。加密的逆過程叫組解密。 對明文進行加密所采用的一組規(guī)則稱為加密算法。 對密文解密時采用的一組規(guī)則稱為解密算法。 加密算法和解密算法通常是在一組密鑰控制下進行的， 加密算法所采用的密鑰成為加密密鑰， 解密算法所使用的密鑰叫做解密密鑰。密碼系統通常從 3 個獨立的方面進行分類： 1 按將明文轉化為密文的操作類型分為：置換密碼和易位密碼。所有加密算法都是建立在兩個通用原則之上：置換和易位。 2 按明文的處理方法可分為：分組密碼（塊密碼）和序列密碼（流密碼） 。3 按密鑰的使用個數分為：對稱密碼體制和非對稱

13、密碼體制。 如果發(fā)送方使用的加密密鑰和接受方使用的解密密鑰相同， 或從其中一個密鑰易于的出另一個密鑰， 這樣的系統叫做對稱的，但密鑰或常規(guī)加密系統。 如果發(fā)送放使用的加密密鑰和接受方使用的解密密鑰不相同，從其中一個密鑰難以推出另一個密鑰， 這樣的系統就叫做不對稱的，雙密鑰或公鑰加密系統。 分組密碼的加密方式是首先將明文序列以固定長度進行分組，每一組明文用相同的密鑰和加密函數進行運算。 分組密碼設計的核心上構造既具有可逆性又有很強的線性的算法。序列密碼的加密過程是將報文，話音，圖象，數據等原始信息轉化成明文數據序列， 然后將它同密鑰序列進行異或運算。生成密文序列發(fā)送給接受者。 數據加密技術可以分為 3 類：對稱型加密， 不對稱型加密和不可逆加密。 對稱加密使用單個密鑰對數據進行加密或解密。 不對稱加密算法也稱為公開加密算法， 其特點是有兩個密鑰， 只有兩者搭配使用才能完成加密和解密的全過