網(wǎng)絡管理教案講課教案

1、網(wǎng)絡管理教案精品文檔第9章網(wǎng)絡管理與網(wǎng)絡安全本章主要內(nèi)容? 網(wǎng)絡系統(tǒng)管理的概念和基本功能，簡單網(wǎng)絡管理協(xié)議SNMP的組成及應用,實用網(wǎng)絡管理系統(tǒng)；網(wǎng)絡安全的基本概念，影響網(wǎng)絡安全的因素和網(wǎng)絡安全 對策，數(shù)據(jù)加密的基本概念、常用的加密算法和鑒別技術(shù)的應用，網(wǎng)絡防火 墻的概念、技術(shù)分類和應用。本章要求：? 了解簡單網(wǎng)絡管理協(xié)議的組成及應用? 了解影響網(wǎng)絡安全的因素和網(wǎng)絡安全對策? 了解數(shù)據(jù)加密的基本概念、常用的加密方法和鑒別技術(shù)的應用? 了解網(wǎng)絡防火墻的概念、技術(shù)和應用? 掌握網(wǎng)絡管理的基本功能、網(wǎng)絡安全的基本概念和內(nèi)涵本章分為六小節(jié)：9. 1網(wǎng)絡管理概述9. 2簡單網(wǎng)絡管理協(xié)議9. 3常用網(wǎng)絡管

2、理系統(tǒng)9. 4網(wǎng)絡安全9. 5數(shù)據(jù)加密技術(shù)9. 6防火墻1網(wǎng)絡管理概述.網(wǎng)絡管理的概念：? 為保證網(wǎng)絡系統(tǒng)穩(wěn)定、高效和可靠運行，對網(wǎng)絡的各種軟硬件設施和人員進 行的綜合管理。網(wǎng)絡管理主要是要保障網(wǎng)絡設備的正常運行、監(jiān)控網(wǎng)絡的各 項功能、優(yōu)化網(wǎng)絡的拓撲結(jié)構(gòu)等。.網(wǎng)絡管理的要求：? 網(wǎng)絡管理離不開：?現(xiàn)代網(wǎng)絡管理方法和技術(shù)；?網(wǎng)絡管理工具(網(wǎng)管軟件)；?網(wǎng)絡管理協(xié)議。.網(wǎng)絡管理的內(nèi)容：? 網(wǎng)絡管理的基本內(nèi)容包括：(1)數(shù)據(jù)通信網(wǎng)中的流量控制(2)路由選擇策略管理(3)網(wǎng)絡安全保護(4)網(wǎng)絡的故障診斷與修復收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔.網(wǎng)絡管理系統(tǒng)組成：? 網(wǎng)絡管理系統(tǒng)是用于實現(xiàn)對網(wǎng)

3、絡全面、有效管理和實現(xiàn)網(wǎng)絡管理目標的系 統(tǒng)。? 一個網(wǎng)管系統(tǒng)從邏輯上包括管理進程、管理代理、管理信息庫和管理協(xié)議四部分。? 管理對象：是指網(wǎng)絡客戶機和網(wǎng)絡設備等，如服務器、工作站、集線器、路 由器、交換機、網(wǎng)卡等。這些網(wǎng)絡設備對應的具體可以操作的數(shù)據(jù)等也是網(wǎng) 絡管理的對象，如網(wǎng)絡設備的工作狀態(tài)和工作參數(shù)等數(shù)據(jù)。? 管理進程manager ：用于對網(wǎng)絡設備和設施進行全面管理和控制的軟件。它 駐留在網(wǎng)絡管理站上。? 管理代理agent ：駐留在網(wǎng)絡管理對象上、配合管理進程進行網(wǎng)絡管理的軟 件。? 管理信息庫MIB :用于記錄網(wǎng)絡中被管理對象的相關(guān)信息。? 管理協(xié)議：負責在管理系統(tǒng)和管理對象之間傳輸

4、操作命令和解釋管理操作命 令。? 一個管理進程(manager)可以與多個管理代理 (agent)進行信息交互，同時一個 管理代理也可以接受來自多個管理進程的管理操作。.網(wǎng)絡管理功能：? 在OSI 7498-4文件定義的網(wǎng)絡管理標準中，將網(wǎng)絡管理功的能分為配置管理、性能管理、故障管理、安全管理和計費管理五個功能域。? 網(wǎng)絡管理是為網(wǎng)絡管理員進行監(jiān)視、控制和維護網(wǎng)絡而設計的。(1)配置管理? 為適應和支持網(wǎng)絡中用戶、設備、系統(tǒng)的變化，調(diào)整軟硬件運行參數(shù)，以保 證網(wǎng)絡正常運行，要進行網(wǎng)絡的配置管理。網(wǎng)絡配置是指網(wǎng)中每個設備的功 能、點的連接關(guān)系和工作參數(shù)等，反映的是網(wǎng)絡狀態(tài)。? 配置管理主要包括網(wǎng)

5、絡節(jié)點地址分配管理、節(jié)點接入和撤消的自動管理、遠 程加載與轉(zhuǎn)儲管理及虛擬網(wǎng)絡節(jié)點的配置等。配置管理就是用來定義、記 錄、控制和檢測網(wǎng)絡中的被管理對象的集合。(2)性能管理? 性能管理主要是通過收集、分析和測試網(wǎng)絡性能參數(shù)，評價網(wǎng)絡運行過程中 的主要性能指標，為管理機構(gòu)提供決策依據(jù)。? 通常影響網(wǎng)絡性能的參數(shù)有：網(wǎng)絡吞吐量、響應時間、線路利用率、費用、 負載等。? 網(wǎng)絡性能管理分為網(wǎng)絡監(jiān)控和網(wǎng)絡控制。? 網(wǎng)絡監(jiān)控是對網(wǎng)絡工作狀態(tài)信息的收集和整理；? 網(wǎng)絡控制是指為改善網(wǎng)絡設備性能而采取的動作和措施。(3)故障管理收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 網(wǎng)絡故障管理 是指對網(wǎng)絡系統(tǒng)故P的預

6、防、檢測（診斷）、恢復或排除等操作進行管理。其目的是保證網(wǎng)絡提供連續(xù)、可靠的服務。? 網(wǎng)絡故障管理的三步曲：預防、檢測（診斷）和排除（恢復、糾正）? 預防：關(guān)鍵數(shù)據(jù)的存儲、備份，硬件的隨時維護和更新等。? 檢測：檢測被管理對象的故障現(xiàn)象，進行系統(tǒng)診斷、測試和分析，以便跟蹤 和識別故障，找出故障原因和故障點。? 排除：隔離故障源，盡快排除故障，恢復系統(tǒng)運行。（4）安全管理? 網(wǎng)絡安全管理是用來保護網(wǎng)絡資源和網(wǎng)絡用戶的安全。安全管理主要是針對 網(wǎng)絡環(huán)境的各種人為因素對網(wǎng)絡造成的威脅。如非法用戶對網(wǎng)絡資源的侵害 （盜用、更改和破壞卜合法用戶對網(wǎng)絡資源的非法訪問等。? 安全管理的策略有安全立法、安全行

7、政人事管理、網(wǎng)絡軟硬件安全保護、系 統(tǒng)訪問控制、數(shù)據(jù)加密保護、采用防火墻技術(shù)和防病毒技術(shù)等。（5）計費管理? 網(wǎng)絡計費管理 就是控制和管理用戶使用的網(wǎng)絡資源，核算用戶費用等。? 計費管理中要核算和計費的網(wǎng)絡資源主要包括：硬件資源，軟件和數(shù)據(jù)資 源，網(wǎng)絡服務和其他網(wǎng)絡設施開銷。? 計費管理的作用有二：? 對網(wǎng)絡資源的使用情況進行統(tǒng)計，以便系統(tǒng)合理地調(diào)度和分配資源， 為用戶提供高效的服務。? 核算資源費用，進行系統(tǒng)收費管理。? 大部分企業(yè)網(wǎng)對內(nèi)部用戶使用的資源不收取費用，主要是達到第一個目的。? 在實際網(wǎng)絡管理過程中網(wǎng)絡管理功能非常廣泛，包括很多方面。除以上五種 基本功能外還有網(wǎng)絡規(guī)劃、數(shù)據(jù)庫管理

8、、操作人員管理等。.2簡單網(wǎng)絡管理協(xié)議? ISO提出了網(wǎng)絡管理協(xié)議標準CMIS （公共管理信息服務）和CMIP （公共管理信息協(xié)議）。CMIS/CMIP 與OSI/RM 一樣，未得到社會的廣泛支持，幾乎無產(chǎn) 品，只有參考價值。而 TCP/IP的SNMP （簡單網(wǎng)絡管理協(xié)議）得到廠商的一致 支持。. SNMP的發(fā)展? SNMP是一個網(wǎng)絡應用層協(xié)議。網(wǎng)絡管理人員使用該協(xié)議可以較容易地管理 網(wǎng)絡，發(fā)現(xiàn)和解決網(wǎng)絡問題。?1987 年 11 月因特網(wǎng)工程任務組 IETF （Internet Engineering Task Force）提出了簡單網(wǎng)關(guān)管理協(xié)議 SGMP,隨后公布的 SNMP v1即是在S

9、GMP基礎上發(fā)展起 來的。? SNMPv1是一個簡單的協(xié)議，在大規(guī)模網(wǎng)絡上也易于實現(xiàn)。收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔?1993年IETF提出的SNMPv2對SNMP v1在數(shù)據(jù)的分布式管理和安全性方面進行了改進。?1999年公布的SNMPv3對SNMPv2在安全和可管理體系結(jié)構(gòu)方面又有了較大的改進。. SNMP網(wǎng)絡管理模型? SNMP網(wǎng)絡管理模型：管理進程 (Manager Station) 管理代理(Agent)和管理信 息庫(MIB )。? 模型如圖示：河格甘町砧廠M生(1)管理進程：? 管理進程(Manager )是網(wǎng)絡管理的核心軟件，一般是安裝在被稱為網(wǎng)絡管理站”的主機上

10、。在該主機上運行網(wǎng)絡管理協(xié)議、網(wǎng)絡管理支持工具和網(wǎng)絡管理 應用軟件。? 每個網(wǎng)絡中至少有一個網(wǎng)絡管理站，它運行管理進程軟件，對其它站進行管 理。? Manager完成各種網(wǎng)絡管理功能。通過各設備中的管理代理對網(wǎng)絡中的各種 資源實施檢測和控制。網(wǎng)管操作人員通過 Manager對全網(wǎng)進行管理。(2)管理代理：? 管理代理Agent是駐留在被管理站上的一套軟件，它負責執(zhí)行Manager的管理操作。Agent直接操作本地信息庫 MIB ,如果Manager需要，它可根據(jù)要 求改變本地 MIB或提取數(shù)據(jù)傳回到 Manager。? Agent可從MIB中讀取各種變量值；也可以在MIB中修改各種變量值；并與

11、Manager進行通信，以響應其管理請求。? 被管理站包括主機、網(wǎng)關(guān)、服務器、路由器、交換機等網(wǎng)絡設備。(3)管理信息庫? 管理信息庫MIB是一個概念上的數(shù)據(jù)庫。管理代理所收集的包括網(wǎng)絡設備的系統(tǒng)信息、資源使用及各網(wǎng)段信息流量等管理信息都存放在MIB中。每個Agent擁有自己的本地 MIB ,各Agent控制的管理對象共同構(gòu)成全網(wǎng)的管理 信息庫。收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? MIB包括報文分組計數(shù)、出錯計數(shù)、用戶訪問計數(shù)、IP路由選擇表等。? Manager通過查看MIB的內(nèi)容實現(xiàn)對網(wǎng)絡的檢測，通過修改 MIB的內(nèi)容完 成對網(wǎng)絡的控制。? SNMP提供的是面向無連接的服務，采

12、用輪詢法進行管理。Manager每隔一段時間向每個Agent發(fā)出詢問，以獲取管理信息。當被管理對象發(fā)生緊急情 況時，Agent主動向Manager匯報。. SNMP的命令：? SNMP定義了一套用于 Manager和Agent之間進行通信的命令，通過這些命 令來實現(xiàn)管理功能。? SNMP的操作主要有四類：存、取、陷阱和通知。? 取（Get）操作： 有 get request get next request get bulk request 和 get response 等命令，主要是從 Agent那里取得指定的 MIB變量值和對這些取請求的響 應。? 寫（Set）操作： 有set reque

13、st和set response命令，用于寫入 Agent指定的MIB 變量值和對寫操作的響應。? 陷阱（Trap）操作：用于當網(wǎng)絡發(fā)生錯誤或出現(xiàn)緊急情況時，Agent立即向網(wǎng)絡管理站報警，不需等待接收方響應。? 通知（Inform ）操作：有Inform request和Inform response命令，用于在不同的 管理進程之間發(fā)送管理信息和陷阱信息，及收到這些信息的響應。SNMPv2? SNMP的優(yōu)點是簡單、便捷，因此得到了廣泛應用。但它還存在著諸如不能 有效地傳輸大塊數(shù)據(jù)，不能將網(wǎng)絡管理功能分散化，安全性能不夠理想等缺 點。?1996年推出的SNMPv2能夠克服上述缺點，但在安全性方面

14、也過于復雜。? SNMPv2采用了較好的分散化管理方法。在一個網(wǎng)絡中可以有多個頂級管理 站，每個管理站管理網(wǎng)絡的一部分代理進程，并指派若干個代理進程使之具 有管理其他代理進程的功能。3常用網(wǎng)絡管理系統(tǒng)常見的作為網(wǎng)絡管理者運行的網(wǎng)絡管理系統(tǒng)軟件有：HP公司的Open View ,IBM 公司的 NetView , SUN 公司的 SunNet Manager , Cabletron 公司的 SPECTRUM 和 Novell 公司的 NetWare Manage Wise 。HP Open View 是第一個綜合的實用的網(wǎng)絡管理系統(tǒng)，SunNet Manager是第一個基于UNIX的網(wǎng)絡管理系統(tǒng)

15、，但它們都不能提供對NetWare、SNA、DECnet、X.25和無線通信交換機及其他非SNMP設備的管理功能。? NetWare Manage Wise 提供對 NetWare操作系統(tǒng)的管理功能。? Cabletron SPECTRUM 是一個可擴展的、智能的網(wǎng)絡管理系統(tǒng)。它支持收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔NetWare操作系統(tǒng)和 Apple TalK、IPX等協(xié)議。. 4網(wǎng)絡安全網(wǎng)絡安全概述（1）網(wǎng)絡安全的概念?網(wǎng)絡安全”可理解為 網(wǎng)絡系統(tǒng)不存在任何威脅狀態(tài)”。為防范諸如病毒的破壞、黑客的入侵、計算機犯罪、人為的主動或被動攻擊等威脅，而采取一些 措施則可保證網(wǎng)絡系統(tǒng)的安全

16、。? 網(wǎng)絡安全是指采取各種技術(shù)和管理措施防止網(wǎng)絡中各種資源不被有意或無意 地破壞和侵害等。? 網(wǎng)絡系統(tǒng)安全主要涉及系統(tǒng)的可靠性、軟件和數(shù)據(jù)的完整性、可用性和保密 性幾方面的問題。系統(tǒng)的可靠性：保證網(wǎng)絡系統(tǒng)不因各種因素的影響而中斷正常工作；數(shù)據(jù)的完整性：保護網(wǎng)絡系統(tǒng)中存儲和傳輸?shù)能浖ǔ绦颍┡c數(shù)據(jù)不被非法操作，如刪除、添加、更改等；數(shù)據(jù)的可用性：保證數(shù)據(jù)完整的同時還能被正常利用和操作；數(shù)據(jù)的保密性：數(shù)據(jù)的保密性主要是利用密碼技術(shù)對數(shù)據(jù)進行加密處理，保證在系統(tǒng)中存儲和網(wǎng)絡上傳輸?shù)臄?shù)據(jù)不被無關(guān)人員識別。（2）網(wǎng)絡安全級別：? 美國國防部開發(fā)的計算機安全標準可信計算機系統(tǒng)標準評價準則將安全 級別分為四

17、類七級：? D1級（安全的最低級）：該級不設置任何安全保護措施，軟硬件都容易被侵襲。MS-DOS、Windows 95/98等系統(tǒng)為 D1級（缺乏保護）? C1級（選擇性安全保護級）：硬件采取簡單安全措施（加鎖），登錄認證和訪問權(quán)限制不能控制已登錄用戶的訪問級別。早期的Unix/Xenix、NetWare 3.x等屬于該級。? C2級（訪問控制環(huán)境級）：比C1級增加了系統(tǒng)審計、跟蹤記錄、安全事件等 特性。Unix、NetWare 4.x及以上版、Windows NT等屬于該級。是保證敏感 信息安全的最低級。? B1級（標記安全保護級）：B1級系統(tǒng)擁有者為政府機構(gòu)和防御承包商。? B2 級：結(jié)構(gòu)

18、化安全級（Structured Protection）? B3 級：安全域級（Security Domain）收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? A1級：驗證設計級(Verity Design),最高安全級。網(wǎng)絡系統(tǒng)的威脅：? 無意威脅是在無預謀的情況下破壞了系統(tǒng)的安全性、可靠性或資源的完整性 等? 無意威脅主要是由一些偶然因素引起，如軟、硬件的機能失常，不可避免的 人為錯誤，電源故障和自然災害等。? 故意威脅實際上就是 人為攻擊由于網(wǎng)絡本身存在缺陷，因此總有某些人 或某些組織想方設法利用網(wǎng)絡系統(tǒng)達到某種目的，如從事工業(yè)、商業(yè)或軍事 情報的搜集工作的間諜，對相應領域的網(wǎng)絡信息是最感

19、興趣的，他們對網(wǎng)絡 系統(tǒng)的安全構(gòu)成了主要威脅。? 被動攻擊和主動攻擊：對網(wǎng)絡系統(tǒng)的攻擊，可從隨便瀏覽信息到使用特殊技術(shù)對系統(tǒng)進行攻擊以得到有針對性的信息。這些攻擊又可分為被動攻擊和主 動攻擊。? 被動攻擊是指攻擊者只通過觀察網(wǎng)絡線路上的信息，而/、十擾信息的正常流 動，如被動地搭線竊聽或非授權(quán)地閱讀信息；? 主動攻擊 是指攻擊者對傳輸中的信息或存儲的信息進行各種非法處理，如有 選擇地更改、插入、延遲、刪除或復制信息。? 被動攻擊不易被發(fā)現(xiàn)，但較容易處理，如采用加密技術(shù)即可。? 主動攻擊容易被覺察，但不容易防止，可采用加密技術(shù)、簽名技術(shù)和鑒別技 術(shù)解決? 通常，系統(tǒng)的故意威脅有如下四種情況：?

20、中斷：指系統(tǒng)資源遭到破壞或變得無法使用，是對系統(tǒng)可靠性的攻 擊；? 竊?。褐肝幢皇跈?quán)的實體得到了資源的訪問權(quán)，是對數(shù)據(jù)保密性的攻 擊；? 修改：指未被授權(quán)的實體不僅得到了資源的訪問權(quán)，而且還篡改了資 源，是對數(shù)據(jù)完整性的攻擊；? 捏造：指未被授權(quán)的實體向系統(tǒng)中插入偽造的對象，是對數(shù)據(jù)真實性的 攻擊。以上四種情況除竊取屬被動攻擊外，其余都是主動攻擊類型。(4)網(wǎng)絡系統(tǒng)的脆弱性? 系統(tǒng)脆弱性就是指網(wǎng)絡系統(tǒng)中安全防護的弱點。網(wǎng)絡本身存在著一些固有的 弱點(脆弱性)，非法用戶利用這些脆弱性對系統(tǒng)進行非法訪問，將使系統(tǒng) 內(nèi)數(shù)據(jù)的完整性受到威脅，也可能使信息遭到破壞而/、能繼續(xù)使用。? 網(wǎng)絡系統(tǒng)的脆弱性主

21、要表現(xiàn)有：操作系統(tǒng)的脆弱、數(shù)據(jù)庫系統(tǒng)的脆弱、電磁泄漏、數(shù)據(jù)的可訪問性、通信協(xié)議和通信系統(tǒng)的脆弱、網(wǎng)絡存儲介質(zhì)的脆 弱、介質(zhì)的剩磁效應、保密的困難性和信息的聚生性等。收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 操作系統(tǒng)的脆弱性：網(wǎng)絡操作系統(tǒng)體系結(jié)構(gòu)本身就是不安全的-操作系統(tǒng)程序具有動態(tài)連接性；操作系統(tǒng)可以創(chuàng)建進程，這些進程可在遠程節(jié)點上創(chuàng)建與 激活，被創(chuàng)建的進程可以繼續(xù)創(chuàng)建其他進程；NOS為維護方便而預留的無口令入口也是黑客的通道。? 計算機系統(tǒng)本身的脆弱性：硬件和軟件故障-硬盤故障、電源故障、芯片主板故障、操作系統(tǒng)和應用軟件故障；存在超級用戶，如果入侵者得到了超級用 戶口令，整個系統(tǒng)將完全

22、受控于入侵者。? 通信系統(tǒng)和通信協(xié)議的弱點：通信線路面對各種威脅就顯得非常脆弱，非法用戶可對線路進行物理破壞、搭線竊聽；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潛伏著電子炸彈、病毒等，WWW 中使用的通用網(wǎng)關(guān)接口程序、Java Applet程序等都能成為黑客的工具，黑客采用遠程訪問、直接掃描等攻擊防火墻。? 通信系統(tǒng)和通信協(xié)議的弱點：通信線路面對各種威脅就顯得非常脆弱，非法用戶可對線路進行物理破壞、搭線竊聽；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潛伏著電子炸彈、病毒等，WWW 中使用的通用網(wǎng)關(guān)接口程序、J

23、ava Applet程序等都能成為黑客的工具，黑客采用遠程訪問、直接掃描等攻擊防火墻。? 數(shù)據(jù)庫系統(tǒng)的脆弱性：由于DBMS對數(shù)據(jù)庫的管理是建立在分級管理的概念上，因此，DBMS的安全也是可想而知；DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是一個先天的不足之處；黑客通過探訪工具可強行登錄和越 權(quán)使用數(shù)據(jù)庫數(shù)據(jù)；數(shù)據(jù)加密往往與DBMS的功能發(fā)生沖突或影響數(shù)據(jù)庫的運行效率。? 網(wǎng)絡電磁泄漏：網(wǎng)絡端口、傳輸線路和處理機都有可能因屏蔽不嚴或未屏蔽 而造成電磁信息輻射，從而造成信息泄漏。? 數(shù)據(jù)的可訪問性：數(shù)據(jù)可容易地被拷貝而不留任何痕跡；網(wǎng)絡用戶在一定的條件下，可以訪問系統(tǒng)中的所有數(shù)據(jù)，并可將其拷貝

24、、刪除或破壞掉。(5)計算機病毒? 計算機病毒是一種能破壞計算機系統(tǒng)資源的特殊計算機程序。它可在系統(tǒng)中 生存、繁殖和傳播。計算機病毒具有隱蔽性、傳播性、潛伏性、觸發(fā)性和破 壞性。它一旦發(fā)作，輕者會影響系統(tǒng)的工作效率，占用系統(tǒng)資源，重者會毀 壞系統(tǒng)的重要信息，甚至使整個網(wǎng)絡系統(tǒng)陷于癱瘓。? 計算機病毒侵入網(wǎng)絡系統(tǒng)將會造成巨大的損失。因此，計算機病毒的防護工 作應成為保證網(wǎng)絡系統(tǒng)安全性的一項重要內(nèi)容。對付計算機病毒要以預防為 主，采取消除傳染源、切斷傳染途徑、保護易感染源等措施，增強網(wǎng)絡系統(tǒng) 對計算機病毒的識別和抵抗力。網(wǎng)絡安全策略和措施(1)安全策略模型收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文

25、檔? 一個常用的網(wǎng)絡安全策略模型是 PDRR模型，。PDRR是四個英文單詞的字 頭：Protection （防護）、Detection（檢測）、Response（響應）和 Recovery（恢復）。防護? 安全策略的第一關(guān)就是防護。防護就是根據(jù)系統(tǒng)已知的可能安全問題采取一 些預防措施，如打補丁、訪問控制、數(shù)據(jù)加密等，不讓攻擊者順利入侵。防 護是PDRR模型中最重要的部分。防護可以預防大多數(shù)的入侵事件。防護可 分為三類：系統(tǒng)安全防護、網(wǎng)絡安全防護和信息安全防護。檢測? 安全策略的第二關(guān)是檢測。攻擊者如果穿過防護系統(tǒng)，檢測系統(tǒng)就會檢測出 來。防護系統(tǒng)可以阻止大多數(shù)的入侵事件，但不能阻止所有的入侵事

26、件。特 別是那些利用新的系統(tǒng)缺陷、新攻擊手段的入侵。如果入侵事件發(fā)生，就啟 動檢測系統(tǒng)進行檢測。該系統(tǒng)叫IDS（入侵檢測系統(tǒng)）。響應? 一旦檢測出入侵，響應系統(tǒng)則開始響應，進行事件處理。響應工作由特殊部門（計算機緊急響應小組）負責。世界上第一個計算機緊急響應小組叫 “CERT,我國的第一個計算機緊急響應小組叫“CCERT。上海交通大學的計算機緊急響應小組就叫 “ sjtu CERT?；謴? 系統(tǒng)恢復是指事件發(fā)生后，把系統(tǒng)恢復到原來狀態(tài)或比原來更安全的狀態(tài)?；謴鸵卜譃橄到y(tǒng)恢復和信息恢復兩方面內(nèi)容。? 系統(tǒng)恢復是指修補缺陷和消除后門。? 信息恢復是指恢復丟失的數(shù)據(jù)。（2）網(wǎng)絡安全策略? 安全立法：

27、設立各種法律來減少計算機犯罪案? 安全行政人事管理：設立安全管理機構(gòu)，制定人事安全管理、系統(tǒng)安全管理和行政安全管理職責。? 網(wǎng)絡實體安全：網(wǎng)絡中的硬件、軟件和數(shù)據(jù)都是系統(tǒng)資源。網(wǎng)絡實體安全保 護就是指采取一定措施對網(wǎng)絡的硬件系統(tǒng)、數(shù)據(jù)和軟件系統(tǒng)等資源實體進行 保護和對自然與人為災害的防護。? 系統(tǒng)訪問控制：設置一些系統(tǒng)訪問控制措施和技術(shù)，保證對網(wǎng)絡系統(tǒng)的所有 操作是合法的、認可的。如規(guī)定哪些用戶可訪問網(wǎng)絡系統(tǒng)，他們能訪問系統(tǒng) 的哪些資源，他們對于這些資源能使用到什么程度等問題。? 數(shù)據(jù)加密保護：就是采取一定的技術(shù)和措施，對網(wǎng)絡系統(tǒng)中存儲的數(shù)據(jù)和要 在線路上傳輸?shù)臄?shù)據(jù)進行加密變換，使得變換后的數(shù)

28、據(jù)不能被無關(guān)的用戶識 另L保證數(shù)據(jù)的保密性。數(shù)據(jù)加密保護通常是采用密碼技術(shù)進行信息加密、 數(shù)字簽名、用戶驗證和非否認鑒別等措施實現(xiàn)。網(wǎng)絡安全機制和安全服務收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 國際標準化組織ISO于1989年2月公布的ISO7498-2網(wǎng)絡安全體系結(jié)構(gòu)”文 件，主要包括網(wǎng)絡安全機制和網(wǎng)絡安全服務兩方面的內(nèi)容。? 文件中規(guī)定 網(wǎng)絡安全機制 有八項：加密機制、數(shù)字簽名機制、訪問控制機 制、數(shù)據(jù)完整性機制、鑒別交換機制、信息量填充機制、路由控制機制和公 證機制。? 文件中規(guī)定的網(wǎng)絡安全服務有六項：對等實體鑒別服務、訪問控制服務、數(shù) 據(jù)保密性服務、數(shù)據(jù)完整性服務、數(shù)據(jù)源鑒別服

29、務和非否認服務。9. 5數(shù)據(jù)加密技術(shù).密碼學的基本概念? 密碼學(Cryptology)是一門古老的學科。近年來，密碼學研究之所以十分活 躍，主要原因是它與計算機科學的蓬勃發(fā)展密切相連。此外，還有防止日益 廣泛的計算機犯罪的需要。密碼技術(shù)應用于計算機網(wǎng)絡中的實例越來越多。? 密碼學從其發(fā)展來看，可分為兩大階段：傳統(tǒng)密碼學和計算機密碼學。? 第一階段：傳統(tǒng)密碼學。主要是靠人工進行信息加密、傳輸和破譯? 第二階段：計算機密碼學。?1.傳統(tǒng)方式計算機密碼學? 2.現(xiàn)代方式計算機密碼學? 對稱密鑰密碼體制? 公開密鑰密碼體制? 密碼學 包括密碼編碼學和密碼分析學兩部分，這兩部分相互對立，但也相互 促進

30、，相輔相成。? 密碼編碼學研究的是通過編碼技術(shù)來改變被保護信息的形式，使得編 碼后的信息除指定接收者之外的其他人都不可理解? 密碼分析學研究的是如何攻破一個密碼系統(tǒng)，恢復被隱藏起來的信息 的本來面目? 加密在網(wǎng)絡上的作用就是防止有價值的信息在網(wǎng)上被竊取并識別；? 基于加密技術(shù)的鑒別的作用是用來確定用戶身份的真實性和數(shù)據(jù)的真實性。? 加密：把信息從一個可理解的明文形式變換成一個錯亂的、不可理解的密文 形式的過程? 明文(Plain Text):原來的信息(報文)、消息，就是網(wǎng)絡中所說的報文 (Message)? 密文(Cipher Text):經(jīng)過加密后得到的信息? 解密：將密文還原為明文的過程

31、? 密鑰(Key)：加密時所使用的一種專門信息(工具)? 密碼算法(Algorithm):加密和解密變換的規(guī)則(數(shù)學函數(shù))，有加密算法和解密 算法收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 如果加密密鑰和解密密鑰相同或相近，由其中一個很容易地得出另一個，這 樣的系統(tǒng)稱為 對稱密鑰系統(tǒng)，加密和解密密鑰都是保密的；如果加密密鑰與 解密密鑰不同，且由其中一個不容易得到另一個，則這種密碼系統(tǒng)是非對稱密鑰系統(tǒng)，往往其中一個密鑰是公開的，另一個是保密的。? 前者也稱為 傳統(tǒng)密鑰密碼體制，后者稱為 公開密鑰密碼體制。.對稱密鑰密碼體制：? 也叫傳統(tǒng)密鑰密碼體制，其基本思想就是加密密鑰和解密密鑰相同或相近

32、”。? 典型的對稱密鑰密碼體制算法是DES算法。DES算法2) 3DES 和 IDEA 算法4. DES和RSA算法的特點和比較DES的特點：可靠性較高；加密/解密速度快；算法容易實現(xiàn)，通用性強；密鑰位數(shù)少，算法具有對稱性，容易被窮盡攻擊； 密鑰管理復雜。RSA算法的特點：密鑰管理簡單(網(wǎng)上每個用戶僅保密一個密鑰，且不需密鑰配送)；便于數(shù)字簽名；可靠性較高(取決于分解大素數(shù)的難易程度 )； 算法復雜，加密/解密速度慢，難于實現(xiàn)。.通信加密方式? 可采用鏈路加密和端-端加密的方式對網(wǎng)絡系統(tǒng)中傳輸?shù)男畔⒓右员Ｗo。(1)鏈路加密? 鏈路加密(Link Encryption)是傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層上

33、進行加密。(2)端一端加密? 端-端加密(End-to-End Encryption)是傳輸數(shù)據(jù)在應用層上完成加密的。? 端-端加密是對兩個用戶之間傳輸?shù)臄?shù)據(jù)提供連續(xù)的安全保護。數(shù)據(jù)在初始節(jié) 點上被加密，直到目的節(jié)點時才能被解密，在中間節(jié)點和鏈路上數(shù)據(jù)均以密 文形式傳輸。.鑒別技術(shù)(1)鑒別技術(shù)概述? 網(wǎng)絡安全系統(tǒng)的一個重要方面是防止非法用戶對系統(tǒng)的主動攻擊，如偽造信 息、篡改信息等。收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 鑒別(Authentication也叫驗證)是防止主動攻擊的重要技術(shù)。鑒別的目的就是 驗證一個用戶身份的合法性和用戶間傳輸信息的完整性與真實性。? 鑒別包括報文鑒別

34、和身份驗證。? 報文鑒別 是為了確保數(shù)據(jù)的完整性和真實性，對報文的來源、時間性 及目的地進行驗證。? 身份驗證是驗證進入網(wǎng)絡系統(tǒng)者是否是合法用戶，以防非法用戶訪問 系統(tǒng)。(2)數(shù)字簽名? 數(shù)字簽名(Digital Signature)可解決手寫簽名中的簽字人否認簽字或其他人偽造 簽字等問題。因此，被廣泛用于銀行的信用卡系統(tǒng)、電子商務系統(tǒng)、電子郵 件以及其他需要驗證、核對信息真?zhèn)蔚南到y(tǒng)中。身份驗證? 身份驗證一般涉及兩個過程，一個是識別，一個是驗證。? 識別是指要明確訪問者是誰，即要對網(wǎng)絡中的每個合法用戶都有識別能力。 要保證識別的有效性，必須保證能代表用戶身份的識別符的惟一性。? 身份驗證的方

35、法有：口令驗證、個人持證驗證和個人特征驗證三類。? 令法最簡單，系統(tǒng)開銷也小，但其安全性也最差；? 持證為個人持有物，如鑰匙、磁卡、智能卡等。它比口令法安全性 好，但驗證系統(tǒng)比較復雜。磁卡常和PIN 一起使用；(4)報文鑒別? 報文鑒別是指在兩個建立通信聯(lián)系的用戶之間，每個用戶對收到的信息驗證 其真?zhèn)?，以保證所收到的信息是真實的。? 報文鑒別又稱完整性校驗，在銀行業(yè)稱為消息認證，在 OSI安全模型中稱為 封裝9.6防火墻.防火墻概述? 防火墻(Firewall)是在兩個網(wǎng)絡之間執(zhí)行訪問控制策略的一個或一組安全系 統(tǒng)。它是一種計算機硬件和軟件系統(tǒng)的集合，是實現(xiàn)網(wǎng)絡安全策略的有效工 具之一，被廣?

36、地應用到Internet與Intranet之間。收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 通常防火墻建立在內(nèi)部網(wǎng)和Internet之間的一個路由器或計算機上，該計算機也叫堡壘主機。它就如同一堵帶有安全門的墻，可以阻止外 界對內(nèi)部網(wǎng)資源的非法訪問和通行合法訪問，也可以防止內(nèi)部對外部 網(wǎng)的不安全訪問和通行安全訪問。? 防火墻是由軟件和硬件組成的，可以說：? 所有進出內(nèi)部網(wǎng)絡的通信流都應該通過防火墻。? 所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)。? 理論上，說防火墻是穿不透的。? 一般，防火墻具有以下功能：? 強化網(wǎng)絡安全策略，集中化的網(wǎng)絡安全管理；? 記錄和統(tǒng)計網(wǎng)絡訪問活動；

37、? 限制暴露用戶點，控制對特殊站點的訪問；? 網(wǎng)絡安全策略檢查。.防火墻技術(shù)及分類? 防火墻技術(shù)大體上分為兩類：網(wǎng)絡層防火墻技術(shù)和應用層防火墻技術(shù)。? 這兩個層次防火墻的具體分別叫包過濾防火墻和代理服務器濾防火墻(1)包過濾防火墻? 包過濾防火墻是最簡單的防火墻，通常它只包括對源IP地址和目的IP地址及端口的檢查。? 包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網(wǎng)絡層，因此包過濾防火墻又叫網(wǎng)絡層防火墻。? 包過濾是在網(wǎng)絡的出口 (如路由器上)對通過的數(shù)據(jù)包進行檢測，只有滿足條件 的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安 全的服務對內(nèi)部網(wǎng)進行攻擊。?

38、網(wǎng)絡上傳輸?shù)拿總€數(shù)據(jù)包都包括兩部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目的地址信息。? 包過濾是一種簡單而有效的方法。通過攔截數(shù)據(jù)包，讀出并拒絕那些不符合收集于網(wǎng)絡，如有侵權(quán)請聯(lián)系管理員刪除精品文檔標準的包頭，過濾掉不應入站的信息(路由器將其丟棄)? 過濾路由器與普通路由器的差別在于：? 普通路由器只簡單地查看每一數(shù)據(jù)包的目的地址，并選擇數(shù)據(jù)包發(fā)往目標地 址的最佳路徑。當路由器知道如何發(fā)送數(shù)據(jù)包到目標地址，則發(fā)送該包；如 果不知道如何發(fā)送數(shù)據(jù)包到目標地址，則返還數(shù)據(jù)包，通知源地址數(shù)據(jù)包不能到達目標地址”。? 過濾路由器將更嚴格地檢查數(shù)據(jù)包，除了決定是否發(fā)送數(shù)據(jù)包到其目標外， 還決定它是否應該發(fā)

39、送。應該”或 不應該”由站點的安全策略決定，并由過濾路由器強制執(zhí)行。? 放置在內(nèi)部網(wǎng)與Internet之間的過濾路由器，不但要執(zhí)行轉(zhuǎn)發(fā)任務，而且它是 唯一的保護系統(tǒng)；如果過濾路由器的安全保護失敗，內(nèi)部網(wǎng)將被暴露；如果 一個服務沒有提供安全的操作要求，或該服務由不安全的服務器提供，包過 濾路由器則不能保護它。? 在對包作出路由決定時，普通路由器只依據(jù)包的目的地址引導包，而包過濾 路由器要依據(jù)路由器中的包過濾規(guī)則作出是否引導該包的決定。? 包過濾路由器以包的目標地址、包的源地址和包的傳輸協(xié)議為依據(jù)，確定允 許或不允許某些包在網(wǎng)上傳輸。? 包過濾方式有許多優(yōu)點，主要優(yōu)點之一就是用一個放置在重要位置上

40、的包過 濾路由器即可保護整個網(wǎng)絡。? 這樣，不管內(nèi)部網(wǎng)的站點規(guī)模多大，只要在路由器上設置合適的包過濾，各 站點均可獲得良好的安全保護。(2)代理服務器防火墻? 代理服務是運行在防火墻主機上的特定的應用程序或服務程序。防火墻主機 可以是有一個內(nèi)部網(wǎng)接口和一個外部網(wǎng)接口的雙穴(Duel Homed)主機，也可以是一些可以訪問Internet并可被內(nèi)部主機訪問的堡壘主機。? 代理服務位于內(nèi)部用戶和外部服務之間。代理程序在幕后處理所有用戶和 Internet服務之間的通信以代替相互間的直接交談。? 對于用戶，代理服務器給用戶一種直接使用真正”服務器的感覺，對于真正的服務器，代理服務器給真正服務器一種在代理主機上直接處理用戶的假 象。? 用戶將對真正”服務器的請求交給代理服務器，代理服務器評價來自客戶的 請求，并作出認可或否認的決定。如果一個請求被認可，代理服務器就代表 客戶將請求轉(zhuǎn)發(fā)給 真正”的服務器，并將服務器的響應返回給代理客戶。.防火墻應用系統(tǒng)? 一般，構(gòu)成防火墻的體系結(jié)構(gòu)有