計算機網(wǎng)絡教程-第9章 網(wǎng)絡安全與管理)

1、計算機網(wǎng)絡教程計算機網(wǎng)絡教程清華大學出版社清華大學出版社2012年年1月月第第9章章 網(wǎng)絡安全與管理網(wǎng)絡安全與管理第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.1網(wǎng)絡網(wǎng)絡安全安全的定義的定義 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。 網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.1網(wǎng)絡安全的定義網(wǎng)絡安全的定義 網(wǎng)絡安全從其本

2、質上來講就是網(wǎng)絡上的信息安全。 從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、可靠性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.2網(wǎng)絡安全威脅的分類網(wǎng)絡安全威脅的分類 l網(wǎng)絡面臨的安全威脅主要有：（1）竊聽：攻擊者通過監(jiān)視網(wǎng)絡數(shù)據(jù)獲得敏感信息；（2）重傳：攻擊者事先獲得部分或全部信息，再將此信息發(fā)送給接收者；（3）偽造：攻擊者將偽造的信息發(fā)送給接收者；第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.2網(wǎng)絡安全威脅的分類網(wǎng)絡安全威脅的分類 （4）篡改：攻擊者對合法用戶之間的通訊信息進行修改

3、、刪除、插入，再發(fā)送給接收者；（5）拒絕服務攻擊：攻擊者通過某種方法使系統(tǒng)響應減慢甚至癱瘓，阻止合法用戶獲得服務；（6）行為否認：通訊實體否認已經(jīng)發(fā)生的行為；第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.2網(wǎng)絡安全威脅的分類網(wǎng)絡安全威脅的分類 （7）非授權訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源。主要有這幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等；（8）傳播病毒：通過網(wǎng)絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。 第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.3網(wǎng)絡安全與保密的目標網(wǎng)絡

4、安全與保密的目標 網(wǎng)絡信息安全與保密的目標主要表現(xiàn)在系統(tǒng)的保密性、完整性（或真實性）、可靠性、可用性、不可抵賴性、可控性等方面：（1）保密性 是網(wǎng)絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障網(wǎng)絡信息安全的重要手段。 第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.3網(wǎng)絡安全與保密的目標網(wǎng)絡安全與保密的目標 （2）完整性 完整性是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性。即網(wǎng)絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失

5、的特性。 完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸。 第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.3網(wǎng)絡安全與保密的目標網(wǎng)絡安全與保密的目標 （3）可靠性 是網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。 可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。 第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.3網(wǎng)絡安全與保密的目標網(wǎng)絡安全與保密的目標 （4）可用性 是網(wǎng)絡信息可被授權實體訪問并按需求使用的特性。即網(wǎng)絡信息服務在需要時，允許授權用戶或實體使用的特性，或者是

6、網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。 第9章 網(wǎng)絡安全與管理9.1網(wǎng)絡安全問題概述網(wǎng)絡安全問題概述 9.1.3網(wǎng)絡安全與保密的目標網(wǎng)絡安全與保密的目標 （5）不可抵賴性 也稱作不可否認性，在網(wǎng)絡信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。 （6）可控性 是對網(wǎng)絡信息的傳播及內(nèi)容具有控制能力的特性。 第9章 網(wǎng)絡安全與管理9.2計算機病毒及其防范計算機病毒及其防范 9.2.1計算機病毒的概念和特征計算機病毒的概念和特征 l計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且

7、能夠自我復制的一組計算機指令或者程序代碼。 l計算機病毒具有以下幾個特征： （1）破壞性 （2）隱蔽性（3）傳染性 （4）潛伏性 （5）非授權可執(zhí)行性 第9章 網(wǎng)絡安全與管理9.2計算機病毒及其防范計算機病毒及其防范 9.2.2計算機病毒的分類計算機病毒的分類 按病毒存在的媒體分類 可以劃分為文件病毒、引導型病毒、網(wǎng)絡病毒。 按病毒傳染的方法分類 可分為駐留型病毒和非駐留型病毒。 按病毒破壞的能力分類 可分為無害型病毒、無危險型病毒、危險型病毒、非常危險型病毒。 第9章 網(wǎng)絡安全與管理9.2計算機病毒及其防范計算機病毒及其防范 9.2.2計算機病毒的分類計算機病毒的分類 按病毒的算法分類 可分

8、為伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、練習型病毒、詭秘型病毒、變型病毒。 按病毒的鏈結方式分類 可分為源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒。第9章 網(wǎng)絡安全與管理9.2計算機病毒及其防范計算機病毒及其防范 9.2.3計算機病毒的防范技術計算機病毒的防范技術 防范計算機病毒要做到以下幾點：（1）及時下載操作系統(tǒng)補丁 ；（2）利用殺毒軟件和防火墻；（3）使用系統(tǒng)自帶命令 ；（4）檢查電腦的注冊表 ；（5）檢查系統(tǒng)配置文件 ；第9章 網(wǎng)絡安全與管理9.2計算機病毒及其防范計算機病毒及其防范 9.2.4特洛伊木馬特洛伊木馬 特洛伊木馬是一種秘密潛伏的能夠通過遠程網(wǎng)絡進行控制的惡意程序

9、，控制者可以控制被秘密植入木馬的計算機的一切動作和資源，是惡意攻擊者進行竊取信息等的工具。 第9章 網(wǎng)絡安全與管理9.3數(shù)據(jù)恢復數(shù)據(jù)恢復 9.3.1數(shù)據(jù)恢復概述數(shù)據(jù)恢復概述 數(shù)據(jù)恢復是指通過技術手段，將保存在硬盤、磁帶、U盤等設備上丟失的電子數(shù)據(jù)進行搶救和恢復的技術。 數(shù)據(jù)恢復的原理：（1）刪除、格式化等簡單操作后數(shù)據(jù)仍然存在于硬盤中，在了解數(shù)據(jù)在硬盤、優(yōu)盤、軟盤等介質上的存儲原理后，丟失的數(shù)據(jù)也可以恢復。（2）只要數(shù)據(jù)沒有被覆蓋，數(shù)據(jù)就有可能恢復回來。 第9章 網(wǎng)絡安全與管理9.3數(shù)據(jù)恢復數(shù)據(jù)恢復 9.3.2常用的數(shù)據(jù)恢復工具常用的數(shù)據(jù)恢復工具 常用的數(shù)據(jù)恢復軟件有：Easy Recover

10、y、R-STUDIO、效率源DATACOMPASS、salvtiondata、PC-3000、Final Data、easy undelete、PTDD、WinHex、DiskGenius、RAID Reconstructor、易我數(shù)據(jù)恢復向導等 。第9章 網(wǎng)絡安全與管理9.4電子郵件安全電子郵件安全 9.4.1PGP的安裝的安裝 PGP的安裝很簡單，和平時的軟件安裝一樣，只須按提示一步步點擊“Next”完成即可。第9章 網(wǎng)絡安全與管理9.4電子郵件安全電子郵件安全 9.4.2PGP的使用的使用 PGP主要有以下功能： （1）加密文件； （2）密鑰生成 ； （3）密鑰管理； （4）收、發(fā)電子郵

11、件； （5）數(shù)字簽名 ； （6）證明密鑰 ； 此外，PGP還支持一些輔助功能，如數(shù)據(jù)壓縮、簡單瀏覽翻閱、輸出處理文件等。第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.1入侵檢測的定義和分類入侵檢測的定義和分類 入侵檢測技術是主動保護自己免受攻擊的一種網(wǎng)絡安全技術，通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.1入侵檢測的定義和分類入侵檢測的定義和分類 l入侵檢測的分類：（1）按數(shù)據(jù)源分類，可分為主機型和網(wǎng)絡型； （2）按時間分類，可分為

12、實時入侵檢測和事后入侵檢測兩種； （3）按技術分類，可分為兩類：一種基于標志（signature-based），另一種基于異常情況(anomaly-based)。第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.2入侵檢測的步驟入侵檢測的步驟 入侵檢測分為三步：信息收集、信息分析和結果處理。 （1）信息收集 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息。 第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.2入侵檢測的步驟入侵檢測的步驟 （2）信息分析 收集到的有關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用

13、戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。 當檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.2入侵檢測的步驟入侵檢測的步驟 （3）結果處理 控制臺按照告警產(chǎn)生預先定義的響應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。第9章 網(wǎng)絡安全與管理9.5入侵檢測技術入侵檢測技術 9.5.3入侵檢測系統(tǒng)入侵檢測系統(tǒng)Snort l1998年，Martin Roesch先生用C語言開發(fā)了開放源代碼的入侵檢測系統(tǒng)S

14、nort；l目前，Snort已發(fā)展成為一個具有多平臺、實時流量分析、網(wǎng)絡IP數(shù)據(jù)包記錄等特性的強大的網(wǎng)絡入侵檢測/防御系統(tǒng)；l Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。 第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.1電子證據(jù)的概念和特點電子證據(jù)的概念和特點 l電子證據(jù)，是指以電子形式存在的用作證據(jù)的一切材料及其派生物，或者說是借助電子技術或電子設備而形成的一切證據(jù)。 l電子證據(jù)作為新興的證據(jù)類型，與傳統(tǒng)證據(jù)存在著差別，具有高科技性、無形性、多樣性、真實性和易破壞性等特點。 第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.2計算機取證的定義和

15、過程計算機取證的定義和過程 l計算機取證就是對計算機犯罪的證據(jù)進行獲取、保存、分析和出示，它實質上是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。 計算機取證的過程分為五個基本步驟：（1）取證準備，準備取證過程中所要使用的工具和設備，對證據(jù)所處的環(huán)境進行分析。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.2計算機取證的定義和過程計算機取證的定義和過程 （2）現(xiàn)場保護，在確定電子證據(jù)可能存在的所有場所之后，要進行現(xiàn)場證據(jù)保護和設備保管，目的是保護物理或邏輯的犯罪現(xiàn)場。（3）證據(jù)收集，在犯罪現(xiàn)場搜索和定位計算機證據(jù)。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.2計算機

16、取證的定義和過程計算機取證的定義和過程 （4）證據(jù)分析，將從現(xiàn)場收集的證據(jù)進行處理和分析，進一步提取出其中對案件偵破有幫助的關鍵性證據(jù)。（5）證據(jù)提交，將最終獲得的所有證據(jù)進行提交、展示，并將分析使用的一部分證據(jù)返還。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 常用的工具軟件有：（1）文件瀏覽器：專門用來查看數(shù)據(jù)文件的閱讀工具，只用于查看而沒有編輯和恢復功能，體積較小并可以防止證據(jù)的破壞。 比較好的軟件是Quik View Plus，它可以識別200種以上文件類型，可以瀏覽各種電子郵件文檔。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算

17、機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 （2）圖片檢查工具：ThumbsPlus是一個功能很全面的進行圖片檢查的工具。（3）反刪除工具：最主要的是諾頓工具。（4）CD-ROM工具：使用CD-R Diagnostics可以看到在一般情況下看不到的數(shù)據(jù)。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 （5）文本搜索工具：dtSearch是一個很好的用于文本搜索的工具，特別是具有搜索Outlook的.pst文件的能力。（6）驅動器映像程序：即逐位拷貝以建立整個驅動器的映像，可以滿足取證分析的磁盤映像軟件包括：SafeBack

18、、SnapBack、Ghost、dd（UNIX中的標準工具）等。 第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 （7）磁盤擦除工具：主要用在使用取證分析機器之前，為了確保分析機器的驅動器中不包含殘余數(shù)據(jù)，只是簡單的格式化肯定不行。 從軟盤啟動后運行NTI公司的DiskScrub程序即可把硬盤上的每一扇區(qū)的數(shù)據(jù)都清除掉。第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 （8）取證程序：取證軟件的功能傾向于同時擁有收集及分析數(shù)據(jù)的功能。 國際上的主流產(chǎn)品有Forensic Toolkit

19、 。 第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.3計算機取證的常用工具計算機取證的常用工具 （9）The Coroners Toolkit（TCT）：主要用來調(diào)查被“黑”的Unix主機。（10）EnCase：一個完全集成的基于Windows界面的取證應用程序。（11）ForensicX：主要運行于Linux環(huán)境，是一個以收集數(shù)據(jù)及分析數(shù)據(jù)為主要目的的工具。 第9章 網(wǎng)絡安全與管理9.6 計算機取證計算機取證 9.6.4網(wǎng)絡取證技術網(wǎng)絡取證技術 l網(wǎng)絡取證主要通過對網(wǎng)絡數(shù)據(jù)流、審計數(shù)據(jù)、主機系統(tǒng)日志等的實時監(jiān)控和分析，發(fā)現(xiàn)對網(wǎng)絡系統(tǒng)的入侵行為，自動記錄犯罪證據(jù)，并阻止對網(wǎng)絡系統(tǒng)的進一步入侵。 網(wǎng)絡取證主要包括以下技術：高效截包技術、會話重建技術、專家系統(tǒng) 、數(shù)據(jù)挖掘技術 。 第9章 網(wǎng)絡安全與管理9.7網(wǎng)絡管理網(wǎng)絡管理 9.7.1網(wǎng)絡管理概述網(wǎng)絡管理概述 網(wǎng)絡管理，是指網(wǎng)絡管理員通過網(wǎng)絡管理程序對網(wǎng)絡上的資源進行集中化管理的操作。 ISO在ISO/IEC 7498-4文檔中定義了網(wǎng)絡管理的五大功能，這五大功能是故障管理、配置管理、性能管理、計費管理、安全管理。第9章 網(wǎng)絡