中南大學(xué)網(wǎng)絡(luò)技術(shù)與應(yīng)用課件第8章 網(wǎng)絡(luò)安全

1、第8章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理8.1 網(wǎng)絡(luò)安全概述 8.1.1 網(wǎng)絡(luò)安全事例8.1.2 網(wǎng)絡(luò)安全的概念與特征網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)由于偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)地、可靠地、正常地運(yùn)行，并提供相應(yīng)的網(wǎng)絡(luò)服務(wù) 網(wǎng)絡(luò)安全的特征（1）可靠性（2）完整性（3）可用性（4）保密性8.1.3 威脅網(wǎng)絡(luò)安全的原因網(wǎng)絡(luò)的共享性網(wǎng)絡(luò)的開放性3. 系統(tǒng)的復(fù)雜性4. 邊界的不確定性5. 路徑的不確定性6. 信息的高度聚集性網(wǎng)絡(luò)安全的目標(biāo)進(jìn)不來拿不走看不懂改不了跑不掉可審計(jì)8.2 網(wǎng)絡(luò)的安全威脅1. 網(wǎng)絡(luò)安全威脅分類網(wǎng)絡(luò)安全威脅被動(dòng)攻擊主動(dòng)攻擊中斷篡改截獲偽造

2、惡意程序攻擊計(jì)算機(jī)病毒計(jì)算機(jī)蠕蟲特洛伊木馬邏輯炸彈 網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部人員威脅拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲社會(huì)工程天災(zāi)系統(tǒng)Bug網(wǎng)絡(luò)系統(tǒng)的脆弱性（1）操作系統(tǒng)的脆弱性（2）計(jì)算機(jī)系統(tǒng)本身的脆弱性（3）電磁泄漏（4）數(shù)據(jù)的可訪問性（5）通信系統(tǒng)和通信協(xié)議的弱點(diǎn)（6）數(shù)據(jù)庫系統(tǒng)的脆弱性（7）網(wǎng)絡(luò)存儲(chǔ)介質(zhì)的脆弱8.3 網(wǎng)絡(luò)安全策略PDRR: 保護(hù)（Protect）、檢測（Detect）、響應(yīng)（React）、恢復(fù)（Restore）防護(hù)防護(hù)是預(yù)先阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無法順利地入侵，防護(hù)可以減少大多數(shù)的入侵事件。缺陷掃描安全缺陷分為兩

3、種，允許遠(yuǎn)程攻擊的缺陷和只允許本地攻擊的缺陷。(2)訪問控制及防火墻訪問控制限制某些用戶對某些資源的操作。防火墻是基于網(wǎng)絡(luò)的訪問控制技術(shù)，工作在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，完成不同粒度的訪問控制。(3)防病毒軟件與個(gè)人防火墻個(gè)人防火墻是防火墻和防病毒的結(jié)合。它運(yùn)行在用戶的系統(tǒng)中，并控制其他機(jī)器對這臺(tái)機(jī)器的訪問。個(gè)人防火墻除了具有訪問控制功能外，還有病毒檢測，甚至有入侵檢測的功能(4)數(shù)據(jù)加密 加密技術(shù)保護(hù)數(shù)據(jù)在存儲(chǔ)和傳輸中的保密性安全。 (5)鑒別技術(shù) 檢測安全策略的第二個(gè)安全屏障是檢測，即如果入侵發(fā)生就檢測出來，這個(gè)工具是入侵檢測系統(tǒng)（IDS）。防護(hù)主要修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，

4、從而消除攻擊和入侵的條件。檢測并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征去檢測的。入侵檢測系統(tǒng)（IDS）是一個(gè)硬件系統(tǒng)和軟件程序，它的功能是檢測出正在發(fā)生或已經(jīng)發(fā)生的入侵事件。這些入侵已經(jīng)成功地穿過防護(hù)戰(zhàn)線。一個(gè)入侵檢測系統(tǒng)有很多特征，其主要特征為：檢測環(huán)境和檢測算法。響應(yīng)響應(yīng)就是已知一個(gè)攻擊（入侵）事件發(fā)生之后，進(jìn)行處理。入侵事件的報(bào)警可以是入侵檢測系統(tǒng)的報(bào)警，也可以是通過其他方式的匯報(bào)。響應(yīng)的主要工作也可以分為兩種。第一種是緊急響應(yīng)；第二種是其他事件處理。緊急響應(yīng)就是當(dāng)安全事件發(fā)生時(shí)采取應(yīng)對措施，其他事件主要包括咨詢、培訓(xùn)和技術(shù)支持。4. 恢復(fù)恢復(fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀

5、態(tài)，或者比原來更安全的狀態(tài)?；謴?fù)也可以分為兩個(gè)方面：系統(tǒng)恢復(fù)：指修補(bǔ)該事件所利用的系統(tǒng)缺陷，不讓黑客再次利用這樣的缺陷入侵。系統(tǒng)恢復(fù)的另一個(gè)重要工作是除去后門。系統(tǒng)恢復(fù)都是根據(jù)檢測和響應(yīng)環(huán)節(jié)提供有關(guān)事件的資料進(jìn)行的。信息恢復(fù)：包括系統(tǒng)升級、軟件升級和打補(bǔ)丁等。8.4 網(wǎng)絡(luò)安全機(jī)制與措施1. 安全機(jī)制網(wǎng)絡(luò)安全機(jī)制（security mechanisms）可分為兩類：一類與安全服務(wù)有關(guān)，另一類與管理功能有關(guān)。ISO7498-2建議（1）加密機(jī)制（2）數(shù)字簽名機(jī)制（3）訪問控制機(jī)制（4）數(shù)據(jù)完整性機(jī)制（5）認(rèn)證機(jī)制（6）信息流填充機(jī)制（7）路由控制機(jī)制（8）公證機(jī)制2. 網(wǎng)絡(luò)安全措施（1）安全立法（

6、2）安全管理（3）網(wǎng)絡(luò)實(shí)體安全保護(hù)（4）系統(tǒng)訪問控制（5）數(shù)據(jù)加密保護(hù)8.5 數(shù)據(jù)加密與數(shù)字認(rèn)證8.5.1 數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是以研究數(shù)據(jù)保密為目的，對存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取。 被交換的信息被稱為明文（Plaintext），它可以是一段有意義的文字或者數(shù)據(jù)；變換過后的形式被稱為密文（Ciphertext）。從明文到密文的交換過程被稱為加密（Encryption），該變換本身是一個(gè)以加密密鑰k為參數(shù)的函數(shù)，記作Ek（P）。密文經(jīng)過數(shù)據(jù)信道傳輸?shù)竭_(dá)目的地后需要還原成有意義的明文才能被通信接收方理解，將密文C還原為明文P的變換過程稱為解密（Decryption）為

7、什么要進(jìn)行數(shù)據(jù)加密?篡改:重放:竊聽:“我們下午5點(diǎn)老地方見!”“嘿嘿嘿”“我們下午5點(diǎn)老地方見!”“我們下午三點(diǎn)老地方見!”“我們今天下午三點(diǎn)鐘見面!”一天以后:“我們今天下午三點(diǎn)鐘見面!”舉例第 18 /45頁采用數(shù)據(jù)加密技術(shù)以后數(shù)據(jù)加密 將明文轉(zhuǎn)換成一種加密的密文，如果沒有通信雙方共享的密鑰，則無法理解密文。通過對不知道密鑰的人隱藏信息達(dá)到保密的目的?！拔覀兿挛?點(diǎn)老地方見!”“?”“我們下午5點(diǎn)老地方見!”fojfejk;ladfjj093i2j3kj0gjklacnma./1. 對稱密鑰加密技術(shù)美國數(shù)據(jù)加密標(biāo)準(zhǔn)DESAES(高級加密標(biāo)準(zhǔn))歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA。 優(yōu)點(diǎn)： 當(dāng)前加密算

8、法非常強(qiáng)大，僅憑密文不掌握密鑰幾乎不可能解密。 加密方法的安全性依賴于密鑰的保密性，而不是算法的保密性。 加密解密速度快 標(biāo)準(zhǔn)：美國數(shù)據(jù)加密標(biāo)準(zhǔn)(AES)和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)（IDEA） 缺點(diǎn)： 密鑰的分發(fā)和管理非常復(fù)雜、代價(jià)高昂 如果有n個(gè)用戶的網(wǎng)絡(luò)，需要n(n1)/2個(gè)密鑰，對于用戶數(shù)目很大的大型網(wǎng)絡(luò)，密鑰的分配和保存就成了很大的問題。 聯(lián)邦數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES（Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）是由IBM公司研制的一種加密算法，美國國家標(biāo)準(zhǔn)局于1977年把它作為非機(jī)要部門使用的數(shù)據(jù)加密標(biāo)準(zhǔn)。DES是一個(gè)分組加密算法，它以64位為分組對數(shù)據(jù)加密。同時(shí)DES也

9、是一個(gè)對稱算法，即加密和解密用的是同一個(gè)算法。它的密鑰長度是56位。DES算法DES對64位的明文分組M進(jìn)行操作，M經(jīng)過一個(gè)初始轉(zhuǎn)置被分成左半部分和右半部分M=(L0, R0)，兩部分都是32位長。然后使用函數(shù)f對兩部分進(jìn)行16輪完全相同的迭代運(yùn)算，在運(yùn)算過程中將數(shù)據(jù)與密鑰相結(jié)合。經(jīng)過16輪迭代運(yùn)算后，再將左、右兩部分合在一起經(jīng)過一個(gè)末置換，就產(chǎn)生了密文。2. 公開密鑰（非對稱）加密技術(shù) 特點(diǎn)：公共密鑰加密系統(tǒng)的密鑰分配和管理比較簡單。 對于有n個(gè)用戶的網(wǎng)絡(luò)，就只需要n個(gè)私有密鑰和n個(gè)公共密鑰安全性更高公共密鑰加密系統(tǒng)計(jì)算非常復(fù)雜，它的速度遠(yuǎn)趕不上對稱密鑰加密系統(tǒng)實(shí)際應(yīng)用： 公共密鑰加密系統(tǒng)通

10、常被用來加密關(guān)鍵性的、核心的機(jī)密數(shù)據(jù)，而對稱密鑰加密系統(tǒng)通常被用來加密大量的數(shù)據(jù)RSA簡介RSA公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在MIT（美國麻省理工學(xué)院）開發(fā)的，1978年首次公布。RSA是目前最有影響的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA算法中，每個(gè)通信主體都有兩個(gè)鑰匙，一個(gè)公鑰一個(gè)私鑰。 權(quán)威數(shù)字認(rèn)證機(jī)構(gòu)（CA）給所有通信主體（個(gè)人或組織）頒發(fā)公鑰和私鑰，彼此配對，分別唯一。私鑰好比數(shù)字指紋，同時(shí)具有解密和加密功能。個(gè)人保管，不公開。公鑰好比安全性極高的掛號(hào)信箱地址，公開

11、。 公開密鑰密碼體制，是由Whitfield Diffie 和Martin Hellman 1976年在國際計(jì)算機(jī)會(huì)議上首次提出來的，并進(jìn)一步闡述了非對稱密鑰的思路：加密使用專門的加密密鑰，解密使用專門的解密密鑰；從其中一個(gè)密鑰不可能導(dǎo)出另外一個(gè)密鑰；使用選擇明文攻擊不能破解出加密密鑰。（1）公私鑰生成隨機(jī)選定兩個(gè)大素?cái)?shù)p, q計(jì)算公鑰和私鑰的公共模數(shù) n = pq .計(jì)算模數(shù)n的歐拉函數(shù) (n) .選定一個(gè)正整數(shù)e, 使1 e (n) , 且e與(n)互質(zhì).計(jì)算d, 滿足 de 1 (mod (n) ), (k為某個(gè)正整數(shù)).n與e決定公鑰, n與d決定私鑰.（2）加解密該過程為小張給小李發(fā)

12、消息，公鑰為小李的公鑰(n & e), 私鑰為小李的私鑰(n & d).小張欲給小李發(fā)一個(gè)消息M, 他先把M轉(zhuǎn)換為一個(gè)大數(shù)m n, 然后用小李的公鑰(n & e)把m加密為另一個(gè)大數(shù): c = me mod n小李收到小張發(fā)來的大數(shù)c, 著手解密. 通過自己的私鑰(n & d), 得到原來的大數(shù)m: m = cd mod n再把m轉(zhuǎn)換為M, 小李即得到小張的原始消息. 對稱加密，雙方具有共享的密鑰,只有在雙方都知道密鑰的情況下才能使用，通常應(yīng)用于孤立的環(huán)境之中，比如在使用自動(dòng)取款機(jī)（ATM）時(shí)，用戶需要輸入用戶識(shí)別號(hào)碼（PIN），銀行確認(rèn)這個(gè)號(hào)碼后，雙方在獲得密碼的基礎(chǔ)上進(jìn)行交易，如果用戶數(shù)目

13、過多，超過了可以管理的范圍時(shí)，這種機(jī)制并不可靠。 非對稱加密，也稱為公開密鑰加密，密鑰是由公開密鑰和私有密鑰組成的密鑰對，用私有密鑰進(jìn)行加密，利用公開密鑰可以進(jìn)行解密，但是由于公開密鑰無法推算出私有密鑰，所以公開的密鑰并不會(huì)損害私有密鑰的安全，公開密鑰無須保密，可以公開傳播，而私有密鑰必須保密，丟失時(shí)需要報(bào)告鑒定中心及數(shù)據(jù)庫。8.5.2 數(shù)字認(rèn)證技術(shù)1. 一次性口令身份認(rèn)證技術(shù)OTP：在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程的安全性 2. 數(shù)字簽名技術(shù)是公開密鑰加密技術(shù)的一種應(yīng)用,是指用發(fā)送方的私有密鑰加密報(bào)文摘要,然后將其與原始的信息附加在一起,合稱為數(shù)

14、字簽名。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù),防止被人進(jìn)行偽造。 為使數(shù)字簽名能代替?zhèn)鹘y(tǒng)的簽名，必須滿足下面三個(gè)條件： （1）接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名； （2）發(fā)送者事后不能抵賴對其報(bào)文的簽名； （3）接收者無法偽造對報(bào)文的簽名。發(fā)送方通過使用自己的私有密鑰對消息加密，實(shí)現(xiàn)簽名；接收方通過使用發(fā)送方的公共密鑰對消息解密，完成驗(yàn)證消息正文摘要加密器加密器比較解密器hashinghashing簽名解密器摘要A：B：私鑰A公鑰B私鑰B公鑰A數(shù)據(jù)加密和數(shù)字簽名的區(qū)別數(shù)據(jù)加密的作用保證信息的機(jī)密性數(shù)字簽名的作用保證信息的完整性保證信息的真實(shí)性保證信

15、息的不可否認(rèn)性8.6 防火墻8.6.1 防火墻的基本概念防火墻（firewall）是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 8.6.2 防火墻的基本類型防火墻的基本思想不是對每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對系統(tǒng)的訪問通過某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對外界屏蔽保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。過濾掉不安全服務(wù)和非法用戶；控制對特殊站點(diǎn)的訪問；提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。防火墻的技術(shù)已經(jīng)經(jīng)歷了三個(gè)階段 :1.

16、 包過濾技術(shù)2. 代理技術(shù) 3. 狀態(tài)監(jiān)視技術(shù)包過濾防火墻數(shù)據(jù)包過濾用在內(nèi)部主機(jī)和外部主機(jī)之間， 過濾系統(tǒng)是一臺(tái)路由器或是一臺(tái)主機(jī)。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過。通過屏蔽特定的端口可以禁止特定的服務(wù)。包過濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。應(yīng)用網(wǎng)關(guān)常稱為代理防火墻，過濾OSI參考模型第3、4、5和7層的信息。優(yōu)點(diǎn)安全性比較高。缺點(diǎn)(1)該方法對每一個(gè)請求都必須建立兩個(gè)連接，一個(gè)從客戶端到防火墻系統(tǒng)，另一個(gè)從防火墻系統(tǒng)到服務(wù)器，這會(huì)嚴(yán)重影響性能。(2)防火墻網(wǎng)關(guān)暴露在攻擊者之中。(3)對每

17、一個(gè)代理需要有一個(gè)獨(dú)立的應(yīng)用進(jìn)程或 daemon 來處理， 這樣擴(kuò)展性和支持新應(yīng)用方面存在問題。3.狀態(tài)檢測技術(shù)引入了OSI全七層監(jiān)測能力，同時(shí)對用戶訪問是透明的。防火墻能保護(hù)、限制其他用戶對防火墻網(wǎng)關(guān)本身的訪問。狀態(tài)檢測技術(shù)在網(wǎng)絡(luò)層截獲數(shù)據(jù)包后交給INSPECT Engine,通過 INSPECT Engine 可以從數(shù)據(jù)包中抽取安全決策所需的所有源于應(yīng)用層中的狀態(tài)相關(guān)信息，并在動(dòng)態(tài)狀態(tài)表中 維持這些信息以提供后繼連接的可能性預(yù)測。該方法能提供高安全性、高性能和擴(kuò)展性、高伸縮性的解決方案。8.6.3 典型的Internet防火墻屏蔽路由器：是一個(gè)多端口的IP路由器，它通過對每一個(gè)到來的IP包

18、依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號(hào)、收發(fā)報(bào)文的IP地址和端口號(hào)、連接標(biāo)志以及另外一些IP選項(xiàng)，對IP包進(jìn)行過濾。主要用來防止IP欺騙攻擊。 雙宿主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)屏蔽主網(wǎng)8.7 防范計(jì)算機(jī)病毒8.7.1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是指一段具有自我復(fù)制和傳播功能的計(jì)算機(jī)代碼，這段代碼通常能影響計(jì)算機(jī)的正常運(yùn)行，甚至破壞計(jì)算機(jī)功能和毀壞數(shù)據(jù)。系統(tǒng)病毒蠕蟲病毒 木馬病毒、黑客病毒腳本病毒 宏病毒 后門病毒 破壞性程序病毒 玩笑病毒病毒種植程序病毒Dropper 捆綁機(jī)病毒 蠕蟲病毒 蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏

19、洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個(gè)階段。蠕蟲程序掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，將蠕蟲主體遷移到目標(biāo)主機(jī)。然后，蠕蟲程序進(jìn)入被感染的系統(tǒng)，對目標(biāo)主機(jī)進(jìn)行現(xiàn)場處理?，F(xiàn)場處理部分的工作包括：隱藏、信息搜集等。同時(shí)，蠕蟲程序生成多個(gè)副本，重復(fù)上述流程。大量的進(jìn)程會(huì)耗費(fèi)系統(tǒng)的資源，導(dǎo)致系統(tǒng)的性能下降。大部分蠕蟲會(huì)搜集、擴(kuò)散、暴露系統(tǒng)敏感信息（如用戶信息等），并在系統(tǒng)中留下后門。沖擊波病毒InternetWORM_MSBLAST.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被

20、感染通過Port 135感染利用RPC漏洞進(jìn)行傳播病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對微軟的一個(gè)升級網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。木馬病毒通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。一個(gè)完整的特洛伊木馬套裝程序含了兩部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）

21、。植入對方電腦的是服務(wù)端，而黑客正是利用客戶端進(jìn)入運(yùn)行了服務(wù)端的電腦。運(yùn)行了木馬程序的服務(wù)端以后，會(huì)產(chǎn)生一個(gè)有著容易迷惑用戶的名稱的進(jìn)程，暗中打開端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)（如網(wǎng)絡(luò)游戲的密碼，即時(shí)通信軟件密碼和用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開的端口進(jìn)入電腦系統(tǒng)。 計(jì)算機(jī)病毒的特征是一段可執(zhí)行的程序具有廣泛的傳染性具有很強(qiáng)的隱蔽性具有潛伏性具有可觸發(fā)性具有破壞性8.7.2 防治病毒的基本方法病毒防范系統(tǒng)主要包括計(jì)算機(jī)病毒預(yù)警技術(shù)、已知與未知病毒識(shí)別技術(shù)、病毒動(dòng)態(tài)濾殺技術(shù)等。8.7.3 應(yīng)對黑客攻擊黑客：利用系統(tǒng)安全漏洞對網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人?；颐弊悠平庹咂平庖延邢到y(tǒng)發(fā)現(xiàn)問題/漏

22、洞突破極限/禁制展現(xiàn)自我漏洞發(fā)現(xiàn) - Flashsky軟件破解 - 0 Day工具提供 - Glacier白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新MS -Bill GatesGNU -R.StallmanLinux -Linus黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜入侵者-K.米特尼克CIH - 陳盈豪攻擊Yahoo者 -匿名常見的黑客攻擊ARP攻擊內(nèi)網(wǎng)IP欺騙內(nèi)網(wǎng)攻擊外網(wǎng)流量攻擊8.8 網(wǎng)絡(luò)管理概念對網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測和控制，使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服務(wù)。具體來說，網(wǎng)絡(luò)管理就是對網(wǎng)絡(luò)進(jìn)行監(jiān)測和控制。2. 目標(biāo) 3. 網(wǎng)絡(luò)管理的基本內(nèi)容 OSI模型規(guī)定的網(wǎng)絡(luò)

23、管理的主要功能有配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理5大類。4.典型的網(wǎng)絡(luò)管理技術(shù)目前典型的網(wǎng)絡(luò)管理技術(shù)包括：國際標(biāo)準(zhǔn)化組織ISO提出的OSI/CMIP(Common Management Information Protocol )管理技術(shù)國際電信聯(lián)盟ITU-T提出的TMN(Telecommunications Management Network )管理模型互聯(lián)網(wǎng)工程任務(wù)組 IETF(Internet Engineering Task Force Internet )提出的Internet/SNMP(Simple Network Management Protocol )管理技

24、術(shù)(1)故障管理(fault management) 網(wǎng)絡(luò)故障管理包括故障檢測、隔離和糾正三方面,應(yīng)包括以下典型功能:維護(hù)并檢查錯(cuò)誤日志 接受錯(cuò)誤檢測報(bào)告并作出響應(yīng) 跟蹤、辨認(rèn)錯(cuò)誤 執(zhí)行診斷測試 糾正錯(cuò)誤 (1)故障管理(fault management)(2)計(jì)費(fèi)管理(accounting management) 計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用,目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它對一些公共商業(yè)網(wǎng)絡(luò)尤為重要。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià),以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用,從而控制用戶過多占用和使用網(wǎng)絡(luò) 資源。這也從另一方面提高了網(wǎng)絡(luò)的效率。另外,

25、當(dāng)用戶為了一個(gè)通信目的需要使用多個(gè)網(wǎng)絡(luò)中的資源時(shí),計(jì)費(fèi)管理應(yīng)可計(jì)算總計(jì)費(fèi)用。(3)配置管理(configuration management)配置管理包括:設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù) 被管對象和被管對象組名字的管理 初始化或關(guān)閉被管對象 根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息 獲取系統(tǒng)重要變化的信息 更改系統(tǒng)的配置 (4)性能管理(performance management) 性能管理估價(jià)系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制。一些典型的功能包括: 收集統(tǒng)計(jì)信息 維護(hù)并檢查系統(tǒng)狀態(tài)日志確定自然和人工狀況下系統(tǒng)的性能 改變系統(tǒng)操作模式以進(jìn)

26、行系統(tǒng)性能管理的操作 (5)安全管理(security management) 安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡(luò)安全的要求又相當(dāng)高,因此網(wǎng)絡(luò)安全管理非常重要。網(wǎng)絡(luò)中主要有以下幾大安全問題:網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取),授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息),訪問控制(控制訪問控制(控制對網(wǎng)絡(luò)資源的訪問)。相應(yīng)的,網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機(jī)制、訪問控制 、加密和加密關(guān)鍵字的管理,另外還要維護(hù)和檢查安全日志。包括: 創(chuàng)建、刪除、控制安全服務(wù)和機(jī)制與安全相關(guān)信息的分布與安全相關(guān)事件的報(bào)告5. 網(wǎng)絡(luò)管理的一般結(jié)構(gòu)被管代理駐留在用戶主機(jī)和

27、網(wǎng)絡(luò)互連設(shè)備等所有被管理的網(wǎng)絡(luò)設(shè)備上，配合網(wǎng)絡(luò)管理的處理實(shí)體。網(wǎng)絡(luò)管理工作站用于駐留實(shí)施管理的處理實(shí)體的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)管理協(xié)議用來規(guī)范管理器和被管代理之間通信的規(guī)則網(wǎng)絡(luò)管理信息庫(MIB)用于保管被管理信息的數(shù)據(jù)庫8.9 網(wǎng)絡(luò)管理模型OSI網(wǎng)絡(luò)管理規(guī)范功能模型 信息模型實(shí)現(xiàn)被管虛擬資源、軟件及物理設(shè)備的邏輯表示。多采用面向?qū)ο蟮姆椒ǘx網(wǎng)絡(luò)管理信息。SNMP中，網(wǎng)絡(luò)管理信息是面向?qū)傩缘?，更注重簡單性和可擴(kuò)展性。采用ISO的抽象語法表示語言(ASN.1)表示。3. 組織模型包括網(wǎng)絡(luò)管理系統(tǒng)中管理進(jìn)程所扮演的角色及其相互關(guān)系。管理信息庫代理管理信息庫代理網(wǎng)絡(luò)管理系統(tǒng)管理者典型網(wǎng)絡(luò)管理體系結(jié)構(gòu)組織模

28、型管理信息庫代理被管設(shè)備通信模型涉及網(wǎng)絡(luò)管理系統(tǒng)中通信實(shí)體之間進(jìn)行信息交換時(shí)所需的功能、協(xié)議和報(bào)文等典型的網(wǎng)絡(luò)管理體系結(jié)構(gòu)8.10 網(wǎng)絡(luò)管理協(xié)議8.10.1 CMIS/CMIP協(xié)議通用管理信息協(xié)議（CMIP：Common Management Information Protocol）通用管理信息服務(wù)（CMIS：Common Management Information Service）。598.10.2 SNMP模型及協(xié)議 1. SNMP模型由以下4個(gè)基本部分構(gòu)成： 網(wǎng)管工作站NMS 網(wǎng)絡(luò)被管設(shè)備 管理信息庫MIB 網(wǎng)絡(luò)管理協(xié)議SNMP管理信息結(jié)構(gòu)（SMI） 管理信息結(jié)構(gòu)是管理信息庫中對象定

29、義和編碼的基礎(chǔ)。SMI是對公共結(jié)構(gòu)和一般類型的描述，和標(biāo)識(shí)方法在一起，在現(xiàn)實(shí)中都要用到。 SMI中最關(guān)鍵的原則是管理對象的形式化定義要用抽象語法記法（ASN.1）來描述。管理對象在現(xiàn)實(shí)中都是作為特定的MIB嚴(yán)格定義的，在SMI稱為為對象類型。管理信息庫（MIB）MIB定義了可以通過網(wǎng)絡(luò)管理協(xié)議進(jìn)行訪問的管理對象的集合。第一組RFC定義的MIB成為MIB-I。接下來的RFC1213中又添加了新的對象，成為了正式的標(biāo)準(zhǔn)，稱為MIB-II。MIB經(jīng)常被當(dāng)作管理對象的虛擬的數(shù)據(jù)庫。MIB可以描述為一棵樹，各個(gè)數(shù)據(jù)項(xiàng)構(gòu)成了樹的葉結(jié)點(diǎn)。每個(gè)MIB對象都有一個(gè)唯一的對象標(biāo)識(shí)符（OID）來標(biāo)識(shí)和命名，這個(gè)標(biāo)識(shí)

30、符取決于MIB對象在樹中的位置，而對象的實(shí)例也有標(biāo)識(shí)符，由對象類的對象標(biāo)識(shí)符加上實(shí)例標(biāo)識(shí)符構(gòu)成的。2. SNMP協(xié)議SNMP是為網(wǎng)絡(luò)管理服務(wù)而定義的應(yīng)用協(xié)議。SNMP由一系列協(xié)議組和規(guī)范組成的，它們提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。從被管理設(shè)備中收集數(shù)據(jù)有兩種方法：輪詢（polling-only）方法基于中斷（interrupt-based）的方法SNMPv1管理模型提定義了四種操作： GET：從被管對象處提取特定的網(wǎng)絡(luò)管理信息； GET-NEXT：通過遍歷活動(dòng)來提供更強(qiáng)的管理信息提取能力； SET：對管理信息進(jìn)行修改和控制； Trap：陷阱操作，由被管對象用來向管理者匯報(bào)本地

31、發(fā)生的異?，F(xiàn)象。 網(wǎng)絡(luò)管理應(yīng)用ManagerSNMPUDPIP物理層Agent網(wǎng)絡(luò)管理應(yīng)用SNMPUDPIP物理層MIB被管對象TrapGET,SET網(wǎng)絡(luò)管理工作站TrapGET,SET通信介質(zhì)網(wǎng)絡(luò)元素8.11.1 網(wǎng)絡(luò)管理系統(tǒng) 網(wǎng)絡(luò)管理平臺(tái)指包括網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)管理應(yīng)用程序的網(wǎng)絡(luò)管理系統(tǒng)。 網(wǎng)絡(luò)管理應(yīng)用軟件建立在網(wǎng)絡(luò)管理工具之上，包括計(jì)費(fèi)系統(tǒng)、防火墻等。 常見的能作為管理者運(yùn)行的網(wǎng)絡(luò)管理軟件有：HP的OpenView、IBM的Tivioli TME 10、SUN的SunNet Manager,Cabletron的SPECTRUM等。 常用網(wǎng)絡(luò)管理軟件其他網(wǎng)絡(luò)公司推出的網(wǎng)絡(luò)管理產(chǎn)品基本上都是

32、網(wǎng)絡(luò)管理代理，可以作為SNMP代理接受管理者的管理，這些網(wǎng)絡(luò)管理工具基于具體的網(wǎng)絡(luò)管理平臺(tái)。 例如：3COM公司的網(wǎng)絡(luò)管理工具Transcend，是基于HP公司的OpenView網(wǎng)絡(luò)管理平臺(tái)，用于管理3COM公司的網(wǎng)絡(luò)設(shè)備。 Cisco公司的網(wǎng)絡(luò)管理工具Cisco Works，它可基于三種流行的網(wǎng)絡(luò)管理平臺(tái)：HP的OpenView，Sun的SunNet Manager和IBM的Tivioli TMEl0，用于管理Cisco公司的網(wǎng)絡(luò)設(shè)備。 Bay Networks公司的網(wǎng)絡(luò)管理工具Optivity，是基于HP公司的OpenView網(wǎng)絡(luò)管理平臺(tái)，管理Bay Networks公司的網(wǎng)絡(luò)設(shè)備。 8.12 其他網(wǎng)絡(luò)安全技術(shù)8.12.1 入侵檢測技術(shù)入侵檢測是指“通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖” 防火墻不能阻止入侵，但是可以增加入侵的難度。過程分為三部分：信息收集、信息分析和結(jié)果處理。入侵檢測的分類（1）按照分析方法