第9章：網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)

1、計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)1計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)2本章學(xué)習(xí)要求本章學(xué)習(xí)要求: : 了解了解：網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全的重要性。 掌握：密碼體制的基本概念及應(yīng)用。掌握：密碼體制的基本概念及應(yīng)用。 掌握：防火墻的基本概念。掌握：防火墻的基本概念。 掌握：網(wǎng)絡(luò)入侵檢測(cè)與防攻擊的基本概念與方法。掌握：網(wǎng)絡(luò)入侵檢測(cè)與防攻擊的基本概念與方法。 掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。 了解：網(wǎng)絡(luò)病毒防治的基本方法。了解：網(wǎng)絡(luò)病毒防治的基本方法。 了解：網(wǎng)絡(luò)管理

2、的基本概念與方法。了解：網(wǎng)絡(luò)管理的基本概念與方法。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)39.1 網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全研究的主要問(wèn)題9.1.1 網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性 網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題；網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題； 每個(gè)國(guó)家只能立足于本國(guó)，研究自己的網(wǎng)絡(luò)安全技每個(gè)國(guó)家只能立足于本國(guó)，研究自己的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的專門(mén)人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)術(shù)，培養(yǎng)自己的專門(mén)人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系。業(yè)，才能構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系。 計(jì)算機(jī)網(wǎng)絡(luò)第

3、計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)49.1.2 網(wǎng)絡(luò)安全技術(shù)研究的主要問(wèn)題網(wǎng)絡(luò)安全技術(shù)研究的主要問(wèn)題 網(wǎng)絡(luò)防攻擊問(wèn)題；網(wǎng)絡(luò)防攻擊問(wèn)題； 網(wǎng)絡(luò)安全漏洞與對(duì)策問(wèn)題；網(wǎng)絡(luò)安全漏洞與對(duì)策問(wèn)題； 網(wǎng)絡(luò)中的信息安全保密問(wèn)題；網(wǎng)絡(luò)中的信息安全保密問(wèn)題； 防抵賴問(wèn)題；防抵賴問(wèn)題； 網(wǎng)絡(luò)內(nèi)部安全防范問(wèn)題；網(wǎng)絡(luò)內(nèi)部安全防范問(wèn)題； 網(wǎng)絡(luò)防病毒問(wèn)題；網(wǎng)絡(luò)防病毒問(wèn)題； 網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題。網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)51.網(wǎng)絡(luò)防攻擊技術(shù)網(wǎng)絡(luò)防攻擊技術(shù) 服務(wù)攻擊服務(wù)攻擊（applicati

4、on dependent attack） : : 對(duì)網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的對(duì)網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的“拒絕服務(wù)拒絕服務(wù)”，使網(wǎng)絡(luò)工作不正常，使網(wǎng)絡(luò)工作不正常; ; 非服務(wù)攻擊非服務(wù)攻擊（application independent attack） : : 不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。進(jìn)行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)6網(wǎng)絡(luò)防攻擊主要問(wèn)題需要研究

5、的幾個(gè)問(wèn)題網(wǎng)絡(luò)防攻擊主要問(wèn)題需要研究的幾個(gè)問(wèn)題 網(wǎng)絡(luò)可能遭到哪些人的攻擊？網(wǎng)絡(luò)可能遭到哪些人的攻擊？ 攻擊類型與手段可能有哪些？攻擊類型與手段可能有哪些？ 如何及時(shí)檢測(cè)并報(bào)告網(wǎng)絡(luò)被攻擊？如何及時(shí)檢測(cè)并報(bào)告網(wǎng)絡(luò)被攻擊？ 如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系？如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系？計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)72.網(wǎng)絡(luò)安全漏洞與對(duì)策的研究網(wǎng)絡(luò)安全漏洞與對(duì)策的研究網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行涉及：網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行涉及： 計(jì)算機(jī)硬件與操作系統(tǒng)；計(jì)算機(jī)硬件與操作系統(tǒng)； 網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件；網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件； 數(shù)據(jù)庫(kù)管理系統(tǒng)；數(shù)

6、據(jù)庫(kù)管理系統(tǒng)； 應(yīng)用軟件；應(yīng)用軟件； 網(wǎng)絡(luò)通信協(xié)議。網(wǎng)絡(luò)通信協(xié)議。網(wǎng)絡(luò)安全漏洞也會(huì)表現(xiàn)在以上幾個(gè)方面。網(wǎng)絡(luò)安全漏洞也會(huì)表現(xiàn)在以上幾個(gè)方面。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)83.網(wǎng)絡(luò)中的信息安全問(wèn)題網(wǎng)絡(luò)中的信息安全問(wèn)題 信息存儲(chǔ)安全與信息傳輸安全信息存儲(chǔ)安全與信息傳輸安全 信息存儲(chǔ)安全信息存儲(chǔ)安全 如何保證靜態(tài)存儲(chǔ)在連網(wǎng)計(jì)算機(jī)中的信息不會(huì)如何保證靜態(tài)存儲(chǔ)在連網(wǎng)計(jì)算機(jī)中的信息不會(huì) 被未授權(quán)的網(wǎng)絡(luò)用戶非法使用；被未授權(quán)的網(wǎng)絡(luò)用戶非法使用； 信息傳輸安全信息傳輸安全 如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與

7、不被攻擊；擊； 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)9信息傳輸安全問(wèn)題的四種基本類型信息傳輸安全問(wèn)題的四種基本類型信息源結(jié)點(diǎn)信息目的結(jié)點(diǎn)（ d d） 信信 息息 被被 篡篡 改改非法用戶篡改信息源結(jié)點(diǎn)信息目的結(jié)點(diǎn)（ e e） 信信 息息 被被 偽偽 造造非法用戶偽造信息源結(jié)點(diǎn)信息目的結(jié)點(diǎn)（b）信息被截獲（b）信息被截獲非法用戶截獲信息源結(jié)點(diǎn)信息目的結(jié)點(diǎn)（c）信息被竊聽(tīng)（c）信息被竊聽(tīng)非法用戶竊聽(tīng)計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)104.防抵賴問(wèn)題防抵賴問(wèn)題 防抵賴是防止信息源結(jié)點(diǎn)用戶對(duì)他發(fā)送的信息事后不防

8、抵賴是防止信息源結(jié)點(diǎn)用戶對(duì)他發(fā)送的信息事后不承認(rèn)，或者是信息目的結(jié)點(diǎn)用戶接收到信息之后不認(rèn)承認(rèn)，或者是信息目的結(jié)點(diǎn)用戶接收到信息之后不認(rèn)賬；賬； 通過(guò)身份認(rèn)證、數(shù)字簽名、數(shù)字信封、第三方確認(rèn)等通過(guò)身份認(rèn)證、數(shù)字簽名、數(shù)字信封、第三方確認(rèn)等方法，來(lái)確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥?wèn)題，防止方法，來(lái)確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥?wèn)題，防止“抵抵賴賴”現(xiàn)象出現(xiàn)?，F(xiàn)象出現(xiàn)。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)115.網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范 網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無(wú)意地做出對(duì)網(wǎng)絡(luò)與信息安全

9、有害的行為；意或無(wú)意地做出對(duì)網(wǎng)絡(luò)與信息安全有害的行為； 對(duì)網(wǎng)絡(luò)與信息安全有害的行為包括對(duì)網(wǎng)絡(luò)與信息安全有害的行為包括： 有意或無(wú)意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令；有意或無(wú)意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令； 違反網(wǎng)絡(luò)安全規(guī)定，繞過(guò)防火墻，私自和外部網(wǎng)絡(luò)違反網(wǎng)絡(luò)安全規(guī)定，繞過(guò)防火墻，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全漏洞；連接，造成系統(tǒng)安全漏洞； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù)；件、應(yīng)用程序及數(shù)據(jù)； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常；網(wǎng)絡(luò)工作不正常； 解決

10、來(lái)自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩解決來(lái)自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)與管理兩個(gè)方面入手。個(gè)方面入手。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)126.網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒 引導(dǎo)型病毒引導(dǎo)型病毒 可執(zhí)行文件病毒可執(zhí)行文件病毒 宏病毒宏病毒 混合病毒混合病毒 特洛伊木馬型病毒特洛伊木馬型病毒 InternetInternet語(yǔ)言病毒語(yǔ)言病毒 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)137.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題 如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)

11、網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？ 如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購(gòu)買(mǎi)設(shè)備的資如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購(gòu)買(mǎi)設(shè)備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)149.1.3 網(wǎng)絡(luò)安全服務(wù)與安全標(biāo)準(zhǔn)網(wǎng)絡(luò)安全服務(wù)與安全標(biāo)準(zhǔn) 網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能： 數(shù)據(jù)保密（數(shù)據(jù)保密（data confidentiality） 認(rèn)證（認(rèn)證（authentication） 數(shù)據(jù)完整（數(shù)據(jù)完整（data integrity）

12、防抵賴（防抵賴（non-repudiation） 訪問(wèn)控制（訪問(wèn)控制（access control）計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)15網(wǎng)絡(luò)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 電子計(jì)算機(jī)系統(tǒng)安全規(guī)范，電子計(jì)算機(jī)系統(tǒng)安全規(guī)范，1987年年10月月 計(jì)算機(jī)軟件保護(hù)條例，計(jì)算機(jī)軟件保護(hù)條例，1991年年5月月 計(jì)算機(jī)軟件著作權(quán)登記辦法，計(jì)算機(jī)軟件著作權(quán)登記辦法，1992年年4月月 中華人民共和國(guó)計(jì)算機(jī)信息與系統(tǒng)安全保護(hù)條例，中華人民共和國(guó)計(jì)算機(jī)信息與系統(tǒng)安全保護(hù)條例， 1994年年2月月 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定，計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定，1998年年2

13、月月 關(guān)于維護(hù)互聯(lián)網(wǎng)安全決定，全國(guó)人民代表大會(huì)常務(wù)關(guān)于維護(hù)互聯(lián)網(wǎng)安全決定，全國(guó)人民代表大會(huì)常務(wù) 委員會(huì)通過(guò)，委員會(huì)通過(guò)，2000年年12月月計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)16 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TC-SEC-NCSC是是1983年公年公布的，布的，1985年公布了可信網(wǎng)絡(luò)說(shuō)明（年公布了可信網(wǎng)絡(luò)說(shuō)明（TNI）；）； 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為4類類7個(gè)等級(jí)，即個(gè)等級(jí)，即D、C1、C2、B1、B2、B3與與A1； D級(jí)系統(tǒng)的安全要求最低，級(jí)系統(tǒng)的安全要求最低

14、，A1級(jí)系統(tǒng)的安全要求最高。級(jí)系統(tǒng)的安全要求最高。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)179.2 加密與認(rèn)證技術(shù)加密與認(rèn)證技術(shù) 9.2.1 密碼算法與密碼體制的基本概念密碼算法與密碼體制的基本概念 數(shù)據(jù)加密與解密的過(guò)程數(shù)據(jù)加密與解密的過(guò)程 加密過(guò)程密文明文信息源結(jié)點(diǎn)解密過(guò)程密文明文信息目的結(jié)點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)18 密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密的兩個(gè)基本構(gòu)成要素，即加密/ /解密算法和密鑰；解密算法

15、和密鑰； 傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對(duì)稱密碼體制；為對(duì)稱密碼體制； 如果加密密鑰和解密密鑰不相同，則稱為非對(duì)稱密碼如果加密密鑰和解密密鑰不相同，則稱為非對(duì)稱密碼體制；體制； 密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角度來(lái)看，改變了密鑰，實(shí)際上也就改變了明文與密文度來(lái)看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系；之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系； 密碼算法是相對(duì)穩(wěn)定的。在這種意義上，可以把密碼密碼算法是相對(duì)穩(wěn)定的。在這種意義上，可以把密碼算法視為常量，而密鑰則是一個(gè)變量

16、；算法視為常量，而密鑰則是一個(gè)變量； 在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。要保密的是密鑰。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)19什么是密碼什么是密碼 密碼是含有一個(gè)參數(shù)密碼是含有一個(gè)參數(shù)k的數(shù)學(xué)變換，即的數(shù)學(xué)變換，即 C = Ek（m） m是未加密的信息（明文）是未加密的信息（明文） C是加密后的信息（密文）是加密后的信息（密文） E是加密算法是加密算法 參數(shù)參數(shù)k稱為密鑰稱為密鑰 密文密文C是明文是明文m 使用密鑰使用密鑰k 經(jīng)過(guò)加密算法計(jì)算后的結(jié)果；經(jīng)過(guò)加密算法計(jì)算后的結(jié)

17、果； 加密算法可以公開(kāi)，而密鑰只能由通信雙方來(lái)掌握。加密算法可以公開(kāi)，而密鑰只能由通信雙方來(lái)掌握。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)20密鑰長(zhǎng)度密鑰長(zhǎng)度密鑰長(zhǎng)度與密鑰個(gè)數(shù)密鑰長(zhǎng)度與密鑰個(gè)數(shù)密鑰長(zhǎng)度（位）密鑰長(zhǎng)度（位）組合個(gè)數(shù)組合個(gè)數(shù)40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)21

18、9.2.2 對(duì)稱密鑰對(duì)稱密鑰（symmetric cryptography）密碼體系密碼體系 對(duì)稱加密的特點(diǎn)對(duì)稱加密的特點(diǎn) 加密過(guò)程解密過(guò)程密鑰明文密文明文計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)229.2.3 非對(duì)稱密鑰非對(duì)稱密鑰（asymmetric cryptography）密碼體系密碼體系 非對(duì)稱密鑰密碼體系的特點(diǎn)非對(duì)稱密鑰密碼體系的特點(diǎn)加密過(guò)程解密過(guò)程公鑰明文密文明文私鑰計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)23非對(duì)稱加密的標(biāo)準(zhǔn)非對(duì)稱加密的標(biāo)準(zhǔn) RSA體制被認(rèn)為是目前為止理論上最為成熟的一種公鑰體制被認(rèn)

19、為是目前為止理論上最為成熟的一種公鑰密碼體制。密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認(rèn)證體制多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面；等方面； Elgamal公鑰體制是一種基于離散對(duì)數(shù)的公鑰密碼體制；公鑰體制是一種基于離散對(duì)數(shù)的公鑰密碼體制； 目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有DiffieHellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼橢圓曲線密碼等等 。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)249.2.4 數(shù)字信封技術(shù)數(shù)字信封技術(shù) 加密過(guò)程對(duì)稱密鑰明文數(shù)據(jù)密文發(fā)送方發(fā)送方

20、解密過(guò)程接收方私鑰接收方接收方加密過(guò)程接收方公鑰被加密的密鑰數(shù)據(jù)密文解密過(guò)程對(duì)稱密鑰明文密文密文對(duì)稱密鑰被加密的密鑰對(duì)稱密鑰計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)259.2.5 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 生成摘要發(fā)送方私鑰明文發(fā)發(fā)送送方方接接收收方方信息摘要信息摘要加密過(guò)程單向散列函數(shù)信息摘要明文明文信息摘要明文生成摘要信息摘要單向散列函數(shù)發(fā)送方公鑰解密過(guò)程信息摘要比較身身份份認(rèn)認(rèn)證證計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)269.2.6 身份認(rèn)證技術(shù)的發(fā)展身份認(rèn)證技術(shù)的發(fā)展 身份認(rèn)證可以通過(guò)身份認(rèn)證可以通過(guò)3

21、3種基本途徑之一或它們的組合實(shí)現(xiàn)種基本途徑之一或它們的組合實(shí)現(xiàn)： 所知（所知（knowledge）: 個(gè)人所掌握的密碼、口令；個(gè)人所掌握的密碼、口令； 所有（所有（possesses）: 個(gè)人身份證、護(hù)照、信用卡、鑰匙；個(gè)人身份證、護(hù)照、信用卡、鑰匙； 個(gè)人特征（個(gè)人特征（characteristics）:人的指紋、聲紋、筆跡、手人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個(gè)人動(dòng)作以及個(gè)人動(dòng)作方面的特征；方面的特征； 新的、廣義的生物統(tǒng)計(jì)學(xué)是利用個(gè)人所特有的新的、廣義的生物統(tǒng)計(jì)學(xué)是利用個(gè)人所特有的生理特征生理特征來(lái)設(shè)計(jì)的；來(lái)設(shè)計(jì)的； 目前人們

22、研究的個(gè)人特征主要包括：目前人們研究的個(gè)人特征主要包括：容貌、膚色、發(fā)質(zhì)、容貌、膚色、發(fā)質(zhì)、身材、姿勢(shì)、手印、指紋、腳印、唇印、顱相、口音、身材、姿勢(shì)、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習(xí)慣腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習(xí)慣性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)279.3 防火墻技術(shù)防火墻技術(shù) 9.3.1 防火墻的基本概念防火墻的基本概念 防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包防火墻是在網(wǎng)絡(luò)之間執(zhí)

23、行安全控制策略的系統(tǒng)，它包括硬件和軟件；括硬件和軟件； 設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)28 防火墻通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)防火墻通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（內(nèi)部網(wǎng)絡(luò)建立安全邊界（security perimeter）；）； 構(gòu)

24、成防火墻系統(tǒng)的兩個(gè)基本部件是包過(guò)濾路由器構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是包過(guò)濾路由器（packet filtering router）和應(yīng)用級(jí)網(wǎng)關(guān)（和應(yīng)用級(jí)網(wǎng)關(guān)（application gateway）；）； 最簡(jiǎn)單的防火墻由一個(gè)包過(guò)濾路由器組成，而復(fù)雜的最簡(jiǎn)單的防火墻由一個(gè)包過(guò)濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成；防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成； 由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。種形式。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)299.3.2 包

25、過(guò)濾路由器包過(guò)濾路由器 包過(guò)濾路由器的結(jié)構(gòu)包過(guò)濾路由器的結(jié)構(gòu) 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)30 路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則（即訪問(wèn)控路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查每個(gè)分組的源制表），檢查每個(gè)分組的源IP地址、目的地址、目的IP地址，決地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；定該分組是否應(yīng)該轉(zhuǎn)發(fā)； 包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。例如，包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。例如，對(duì)于對(duì)于TCP報(bào)頭信息可以是：報(bào)頭信息可以是： 源源IP地址；地址； 目的目的IP地址；地址； 協(xié)議類型；協(xié)議類型； IP選項(xiàng)

26、內(nèi)容；選項(xiàng)內(nèi)容； 源源TCP端口號(hào)；端口號(hào)； 目的目的TCP端口號(hào)；端口號(hào)； TCP ACK標(biāo)識(shí)。標(biāo)識(shí)。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)31包過(guò)濾的包過(guò)濾的工作流程工作流程yNNy設(shè)置包過(guò)濾規(guī)則分析包參數(shù)根據(jù)過(guò)濾規(guī)則確定包是否允許轉(zhuǎn)發(fā)是否是包過(guò)濾的最后一個(gè)規(guī)則應(yīng)用下一個(gè)包過(guò)濾規(guī)則轉(zhuǎn)發(fā)該包丟棄該包計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)32包過(guò)濾路由器作為防火墻的結(jié)構(gòu)包過(guò)濾路由器作為防火墻的結(jié)構(gòu) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾路由器包過(guò)濾路由器防火墻內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)E-mail服務(wù)器（1 ）工作站I

27、nternet發(fā)送到外部網(wǎng)絡(luò)的包進(jìn)入內(nèi)部網(wǎng)絡(luò)的包計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)33假設(shè)網(wǎng)絡(luò)安全策略規(guī)定假設(shè)網(wǎng)絡(luò)安全策略規(guī)定： 內(nèi)部網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)的E-mail服務(wù)器（服務(wù)器（IP地址為地址為，TCP端端口號(hào)為口號(hào)為25）可以接收來(lái)自外部網(wǎng)絡(luò)用戶的所有電子郵）可以接收來(lái)自外部網(wǎng)絡(luò)用戶的所有電子郵件；件； 允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電子郵件；子郵件； 拒絕所有與外部網(wǎng)絡(luò)中名字為拒絕所有與外部網(wǎng)絡(luò)中名字為T(mén)ESTHOST主機(jī)的連接。主機(jī)的連接。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第

28、9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)34規(guī)則過(guò)濾號(hào)規(guī)則過(guò)濾號(hào)方向方向動(dòng)作動(dòng)作源主機(jī)地址源主機(jī)地址TESTHOST源端口號(hào)源端口號(hào)目的主機(jī)地址目的主機(jī)地址目的端口號(hào)目的端口號(hào)協(xié)議協(xié)議描述描述阻塞來(lái)自TESTHOST的所有數(shù)據(jù)包阻塞所有到TESTHOST的數(shù)據(jù)包允許外部用戶傳送到內(nèi)部網(wǎng)絡(luò)電子郵件服務(wù)器的數(shù)據(jù)包允許內(nèi)部郵件服務(wù)器傳送到外部網(wǎng)絡(luò)的電子郵件數(shù)據(jù)包*TCPTCP*251023*TESTHOST*102325*阻塞阻塞允許允許進(jìn)入進(jìn)入輸出輸出1234包過(guò)濾規(guī)則表包過(guò)濾規(guī)則表 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)

29、安全與網(wǎng)絡(luò)管理技術(shù)359.3.3 應(yīng)用級(jí)網(wǎng)關(guān)的概念應(yīng)用級(jí)網(wǎng)關(guān)的概念 多歸屬主機(jī)多歸屬主機(jī)（multihomed host） 典型的多歸屬主機(jī)結(jié)構(gòu)典型的多歸屬主機(jī)結(jié)構(gòu) 多歸屬主機(jī)網(wǎng)絡(luò)1網(wǎng)絡(luò)2網(wǎng)絡(luò)3網(wǎng)絡(luò)3網(wǎng)絡(luò)2網(wǎng)絡(luò)1網(wǎng)卡1網(wǎng)卡2網(wǎng)卡3多歸屬主機(jī)計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)36應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān) 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)37應(yīng)用代理應(yīng)用代理（application proxy） 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)389.3.4 防火墻的系統(tǒng)結(jié)構(gòu)防

30、火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機(jī)的概念堡壘主機(jī)的概念 一個(gè)雙歸屬主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)可以起到防火墻作用；一個(gè)雙歸屬主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)可以起到防火墻作用； 處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)叫做堡壘主機(jī)。系統(tǒng)叫做堡壘主機(jī)。 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)防火墻內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)E-mail服務(wù)器（1 ）工作站Internet發(fā)送到外部網(wǎng)絡(luò)的包進(jìn)入內(nèi)部網(wǎng)絡(luò)的包計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)39典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析 采用一個(gè)過(guò)濾路由器與一個(gè)堡壘主機(jī)

31、組成的采用一個(gè)過(guò)濾路由器與一個(gè)堡壘主機(jī)組成的S-B1防火墻防火墻系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu) InternetInternet內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)堡壘主機(jī)WWW服務(wù)器文件服務(wù)器工作站工作站包過(guò)濾路由器包過(guò)濾路由器FTP服務(wù)器計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)40包過(guò)濾路由器的轉(zhuǎn)發(fā)過(guò)程包過(guò)濾路由器的轉(zhuǎn)發(fā)過(guò)程 InternetInternet內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)0文件服務(wù)器工作站過(guò)濾路由器過(guò)濾路由器路由表0目的I P轉(zhuǎn)發(fā)至I P計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)

32、管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)41S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過(guò)程配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過(guò)程 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)42采用多級(jí)結(jié)構(gòu)的防火墻系統(tǒng)（采用多級(jí)結(jié)構(gòu)的防火墻系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖配置）結(jié)構(gòu)示意圖內(nèi)部網(wǎng)絡(luò)InternetInternet過(guò)濾子網(wǎng)服務(wù)器工作站外部包過(guò)濾路由器外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)內(nèi)部包過(guò)濾路由器外堡壘主機(jī)內(nèi)堡壘主機(jī)計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)439.4 網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù) 9.4.1 網(wǎng)絡(luò)攻擊方法分析網(wǎng)絡(luò)攻擊方

33、法分析 目前黑客攻擊大致可以分為目前黑客攻擊大致可以分為8種基本的類型種基本的類型： 入侵系統(tǒng)類攻擊；入侵系統(tǒng)類攻擊； 緩沖區(qū)溢出攻擊；緩沖區(qū)溢出攻擊； 欺騙類攻擊；欺騙類攻擊； 拒絕服務(wù)攻擊；拒絕服務(wù)攻擊； 對(duì)防火墻的攻擊；對(duì)防火墻的攻擊； 利用病毒攻擊；利用病毒攻擊； 木馬程序攻擊；木馬程序攻擊； 后門(mén)攻擊。后門(mén)攻擊。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)449.4.2 入侵檢測(cè)的基本概念入侵檢測(cè)的基本概念 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）是是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)；對(duì)

34、計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)； 它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自內(nèi)部用戶的非授權(quán)行為，自系統(tǒng)外部的入侵行為和來(lái)自內(nèi)部用戶的非授權(quán)行為，并且采取相應(yīng)的防護(hù)手段。并且采取相應(yīng)的防護(hù)手段。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)45入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)IDSIDS的基本功能的基本功能： 監(jiān)控、分析用戶和系統(tǒng)的行為；監(jiān)控、分析用戶和系統(tǒng)的行為； 檢查系統(tǒng)的配置和漏洞；檢查系統(tǒng)的配置和漏洞； 評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；

35、 對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類型，并向網(wǎng)絡(luò)管理對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類型，并向網(wǎng)絡(luò)管理人員報(bào)警；人員報(bào)警； 對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)?；顒?dòng)。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)46入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu)入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu)事件分析器事件發(fā)生器響應(yīng)單元事件數(shù)據(jù)庫(kù)事件更新規(guī)則提取規(guī)則歷史活動(dòng)狀態(tài)更新處理意見(jiàn)規(guī)則設(shè)計(jì)與修改計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)479.4.3 入侵檢測(cè)的基本方法入侵檢測(cè)的基本方法 對(duì)各種事件進(jìn)行分析

36、，從中發(fā)現(xiàn)違反安全策略的行為是對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能；入侵檢測(cè)系統(tǒng)的核心功能； 入侵檢測(cè)系統(tǒng)按照所采用的檢測(cè)技術(shù)可以分為：入侵檢測(cè)系統(tǒng)按照所采用的檢測(cè)技術(shù)可以分為： 異常檢測(cè)異常檢測(cè) 誤用檢測(cè)誤用檢測(cè) 兩種方式的結(jié)合兩種方式的結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)489.5 網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)9.5.1 網(wǎng)絡(luò)文件備份與恢復(fù)的重要性網(wǎng)絡(luò)文件備份與恢復(fù)的重要性 網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份；網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份； 歸檔是指在一種特殊介質(zhì)上進(jìn)行永久性存儲(chǔ)；歸檔是指在一種特殊介質(zhì)

37、上進(jìn)行永久性存儲(chǔ)； 網(wǎng)絡(luò)數(shù)據(jù)備份是一項(xiàng)基本的網(wǎng)絡(luò)維護(hù)工作；網(wǎng)絡(luò)數(shù)據(jù)備份是一項(xiàng)基本的網(wǎng)絡(luò)維護(hù)工作； 備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)499.5.2 網(wǎng)絡(luò)文件備份的基本方法網(wǎng)絡(luò)文件備份的基本方法 選擇備份設(shè)備選擇備份設(shè)備 選擇備份程序選擇備份程序 建立備份制度建立備份制度 在考慮備份方法時(shí)需要注意的問(wèn)題在考慮備份方法時(shí)需要注意的問(wèn)題： 如果系統(tǒng)遭到破壞需要多長(zhǎng)時(shí)間才能恢復(fù)？如果系統(tǒng)遭到破壞需要多長(zhǎng)時(shí)間才能恢復(fù)？ 怎樣備份才可能在恢復(fù)系統(tǒng)時(shí)數(shù)據(jù)損失最少？怎樣備份才可能在恢復(fù)系統(tǒng)時(shí)數(shù)據(jù)損失最少？ 計(jì)

38、算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)509.6 網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)防病毒技術(shù) 9.6.1 造成網(wǎng)絡(luò)感染病毒的主要原因造成網(wǎng)絡(luò)感染病毒的主要原因 70%的病毒發(fā)生在網(wǎng)絡(luò)上；的病毒發(fā)生在網(wǎng)絡(luò)上； 將用戶家庭微型機(jī)軟盤(pán)帶到網(wǎng)絡(luò)上運(yùn)行而使網(wǎng)絡(luò)感染將用戶家庭微型機(jī)軟盤(pán)帶到網(wǎng)絡(luò)上運(yùn)行而使網(wǎng)絡(luò)感染上病毒的事件約占上病毒的事件約占41%左右；左右； 從網(wǎng)絡(luò)電子廣告牌上帶來(lái)的病毒約占從網(wǎng)絡(luò)電子廣告牌上帶來(lái)的病毒約占7%； 從軟件商的演示盤(pán)中帶來(lái)的病毒約占從軟件商的演示盤(pán)中帶來(lái)的病毒約占6%； 從系統(tǒng)維護(hù)盤(pán)中帶來(lái)的病毒約占從系統(tǒng)維護(hù)盤(pán)中帶來(lái)的病毒約占6%； 從公司之間交換

39、的軟盤(pán)帶來(lái)的病毒約占從公司之間交換的軟盤(pán)帶來(lái)的病毒約占2%； 其他未知因素約占其他未知因素約占27%； 從統(tǒng)計(jì)數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原從統(tǒng)計(jì)數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身。因在于網(wǎng)絡(luò)用戶自身。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)519.6.2 網(wǎng)絡(luò)病毒的危害網(wǎng)絡(luò)病毒的危害 網(wǎng)絡(luò)病毒感染一般是從用戶工作站開(kāi)始的，而網(wǎng)絡(luò)服網(wǎng)絡(luò)病毒感染一般是從用戶工作站開(kāi)始的，而網(wǎng)絡(luò)服務(wù)器是病毒潛在的攻擊目標(biāo)，也是網(wǎng)絡(luò)病毒潛藏的重務(wù)器是病毒潛在的攻擊目標(biāo)，也是網(wǎng)絡(luò)病毒潛藏的重要場(chǎng)所；要場(chǎng)所； 網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種

40、作用：它可能網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用：它可能被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；理人，在工作站之間迅速傳播與蔓延病毒； 網(wǎng)絡(luò)病毒的傳染與發(fā)作過(guò)程與單機(jī)基本相同，它將本網(wǎng)絡(luò)病毒的傳染與發(fā)作過(guò)程與單機(jī)基本相同，它將本身拷貝覆蓋在宿主程序上；身拷貝覆蓋在宿主程序上； 當(dāng)宿主程序執(zhí)行時(shí)，病毒也被啟動(dòng)，然后再繼續(xù)傳染當(dāng)宿主程序執(zhí)行時(shí)，病毒也被啟動(dòng)，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運(yùn)給其他程序。如果病毒不發(fā)作，宿主程序還能照常運(yùn)行；當(dāng)符合某種條件時(shí)，病毒便會(huì)發(fā)作，它將破壞程

41、行；當(dāng)符合某種條件時(shí)，病毒便會(huì)發(fā)作，它將破壞程序與數(shù)據(jù)。序與數(shù)據(jù)。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)529.6.3 典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用 網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二是服務(wù)器；是服務(wù)器； 網(wǎng)絡(luò)防病毒軟件的基本功能是：對(duì)文件服務(wù)器和工作網(wǎng)絡(luò)防病毒軟件的基本功能是：對(duì)文件服務(wù)器和工作站進(jìn)行查毒掃描、檢查、隔離、報(bào)警，當(dāng)發(fā)現(xiàn)病毒時(shí)，站進(jìn)行查毒掃描、檢查、隔離、報(bào)警，當(dāng)發(fā)現(xiàn)病毒時(shí)，由網(wǎng)絡(luò)管理員負(fù)責(zé)清除病毒；由網(wǎng)絡(luò)管理員負(fù)責(zé)清除病毒； 網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置

42、三種掃描方式：實(shí)網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實(shí)時(shí)掃描、預(yù)置掃描與人工掃描時(shí)掃描、預(yù)置掃描與人工掃描 ； 一個(gè)完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個(gè)部分組成：一個(gè)完整的網(wǎng)絡(luò)防病毒系統(tǒng)通常由以下幾個(gè)部分組成：客戶端防毒軟件、服務(wù)器端防毒軟件、針對(duì)群件的防客戶端防毒軟件、服務(wù)器端防毒軟件、針對(duì)群件的防毒軟件、針對(duì)黑客的防毒軟件。毒軟件、針對(duì)黑客的防毒軟件。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)539.6.4 網(wǎng)絡(luò)工作站防病毒方法網(wǎng)絡(luò)工作站防病毒方法 采用無(wú)盤(pán)工作站采用無(wú)盤(pán)工作站 使用單機(jī)防病毒卡使用單機(jī)防病毒卡 使用網(wǎng)絡(luò)防病毒卡使用網(wǎng)絡(luò)防病毒卡

43、 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)算機(jī)網(wǎng)絡(luò)第9 9章章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)549.7 網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理技術(shù) 9.7.1 網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理涉及以下三個(gè)方面網(wǎng)絡(luò)管理涉及以下三個(gè)方面： 網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng)網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能；絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能； 網(wǎng)絡(luò)維護(hù)是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、網(wǎng)絡(luò)維護(hù)是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)；故障隔離與恢復(fù)； 網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。析，以及提高網(wǎng)絡(luò)利用率的各種控制。 計(jì)算機(jī)網(wǎng)絡(luò)第計(jì)