計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)-第9章-計(jì)算機(jī)網(wǎng)絡(luò)安全

1、第9章 計(jì)算機(jī)網(wǎng)絡(luò)安全 問題原由計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用，促進(jìn)了社會(huì)的進(jìn)步和繁榮,并為人類社會(huì)創(chuàng)造了巨大財(cái)富。但由于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的脆弱性以及人為的攻擊破壞，也給社會(huì)帶來了損失。因此，網(wǎng)絡(luò)安全已成為重要研究課題。本章重點(diǎn)討論網(wǎng)絡(luò)安全技術(shù)措施：計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)，以及網(wǎng)絡(luò)管理技術(shù)。教學(xué)重點(diǎn)能力要求掌握：網(wǎng)絡(luò)安全與管理的概念；網(wǎng)絡(luò)安全與管理技 術(shù)的應(yīng)用。熟悉：計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng) 技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)。 9.1 網(wǎng)絡(luò)安全問題概述 9.5 網(wǎng)絡(luò)管理 9.3 網(wǎng)絡(luò)安全的攻擊與防衛(wèi) 9.4 防火墻的安裝調(diào)試與設(shè)置 9.2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 本

2、章內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)知識(shí)結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻的安裝調(diào)試與設(shè)置 網(wǎng)絡(luò)安全的層次模型 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全問題概述 瑞星殺毒軟件和個(gè)人防火墻的防治天網(wǎng)防火墻 防火墻技術(shù) 數(shù)字簽名加密技術(shù)網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理工具網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)安全的攻擊與防衛(wèi)病毒信息竊取郵件炸彈特洛伊木馬網(wǎng)絡(luò)所面臨的安全威脅 網(wǎng)絡(luò)安全的內(nèi)容 訪問控制技術(shù)實(shí)時(shí)監(jiān)視技術(shù)自動(dòng)解壓縮技9.1 網(wǎng)絡(luò)安全問題概述 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性成為各層用戶所共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行，不受外來入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運(yùn)行的

3、前提和保障。Internet防火墻學(xué)生區(qū)Info GateIIS服務(wù)Web服務(wù)DMZ區(qū)教工區(qū)安全 垃圾郵 內(nèi)容審計(jì) 件網(wǎng)關(guān) 過濾數(shù)據(jù)庫服務(wù)器群應(yīng)用服務(wù)器群9.1.1網(wǎng)絡(luò)所面臨的安全威脅 1、網(wǎng)絡(luò)安全要求 網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不會(huì)中斷。身份認(rèn)證完整性保密性授權(quán)和訪問控制可用性不可抵賴性 2、網(wǎng)絡(luò)安全威脅 一般認(rèn)為，黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊等3個(gè)方面是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。黑客攻擊計(jì)算機(jī)病毒拒絕服務(wù)攻擊黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò),并非

4、法使用網(wǎng)絡(luò)資源。 計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。 攻擊者在短時(shí)間內(nèi)發(fā)送大量的訪問請(qǐng)求，而導(dǎo)致目標(biāo)服務(wù)器資源枯竭，不能提供正常的服務(wù)。9.1.1網(wǎng)絡(luò)所面臨的安全威脅 3、網(wǎng)路安全漏洞 網(wǎng)絡(luò)安全漏洞實(shí)際上是給不法分子以可乘之機(jī)的“通道”,大致可分為以下3個(gè)方面。網(wǎng)絡(luò)的漏洞 服務(wù)器的漏洞操作系統(tǒng)的漏洞包括網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時(shí)對(duì)IP和DNS的信任。利用服務(wù)進(jìn)程的bug和配置錯(cuò)誤,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。這些漏洞常被用來獲取對(duì)系統(tǒng)的訪問權(quán)。Windows和UNIX操作系統(tǒng)都存在

5、許多安全漏洞,如Internet蠕蟲事件就是由UNIX的安全漏洞引發(fā)的。9.1.1網(wǎng)絡(luò)所面臨的安全威脅 4、網(wǎng)絡(luò)安全攻擊 要保證運(yùn)行在網(wǎng)絡(luò)環(huán)境中的信息安全,首先要解決的問題是如何防止網(wǎng)絡(luò)被攻擊。根據(jù)Steve Kent提出的方法,網(wǎng)絡(luò)安全攻擊可分為被動(dòng)攻擊和主動(dòng)攻擊兩大類，如下圖所示。 網(wǎng)絡(luò)安全攻擊分類被動(dòng)攻擊 截獲(秘密)分析信息內(nèi)容 通信量分析主動(dòng)攻擊 拒絕 篡改 偽造 重放(可用性) (完整性) (真實(shí)性) (時(shí)效性) 被動(dòng)攻擊不修改信息內(nèi)容，所以非常難以檢測(cè)，因此防護(hù)方法重點(diǎn)是加密。主動(dòng)攻擊是對(duì)數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個(gè)虛假的數(shù)據(jù)流。9.1.1網(wǎng)絡(luò)所面臨的安全威脅 1中斷（Inte

6、rruption）：中斷是對(duì)可利用性的威脅。例如破壞信息存儲(chǔ)硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。2竊?。↖nterception）：入侵者竊取信息資源是對(duì)保密性的威脅。入侵者竊取線路上傳送的數(shù)據(jù)，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對(duì)數(shù)據(jù)完整性的威脅。例如改變文件中的數(shù)據(jù)，改變程序功能，修改網(wǎng)上傳送的報(bào)文等。4假冒（Fabrication）：入侵者在系統(tǒng)中加入偽造的內(nèi)容，如像網(wǎng)絡(luò)用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。 5、網(wǎng)絡(luò)安全破壞 網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的，了解最通常的破壞手段，有利于加強(qiáng)技術(shù)防患。9.1.1網(wǎng)絡(luò)所面臨的安全威脅9.1.2

7、網(wǎng)絡(luò)安全內(nèi)容 國際標(biāo)準(zhǔn)化組織（ISO）對(duì)網(wǎng)絡(luò)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。簡單說，安全的目的是保證網(wǎng)絡(luò)數(shù)據(jù)的三個(gè)特性：可用性、完整性和機(jī)密性。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。9.1.3網(wǎng)絡(luò)安全的層次模型 1、安全體系框架 為了系統(tǒng)的、科學(xué)地分析網(wǎng)絡(luò)安全所涉及的各種問題，我們從安全服務(wù)特性、系統(tǒng)單元、開放系統(tǒng)互連

8、參考模型安全特性三個(gè)方面研究網(wǎng)絡(luò)安全，并提出了一個(gè)三維的安全體系框架，如下圖所示。 三維安全框架體系 9.1.3網(wǎng)絡(luò)安全的層次模型 2、安全服務(wù)特性 （1）身份認(rèn)證 身份認(rèn)證是訪問控制的基礎(chǔ)。身份認(rèn)證必須做到準(zhǔn)確無誤地將對(duì)方辨別出來，同時(shí)還應(yīng)該提供雙向的認(rèn)證，即互相證明自己的身份。 （2）訪問控制 控制不同用戶對(duì)信息資源訪問的權(quán)限，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源。 （3）數(shù)據(jù)加密 保證數(shù)據(jù)安全通信的手段，指在數(shù)據(jù)存儲(chǔ)和傳輸時(shí)進(jìn)行加密，防止數(shù)據(jù)在傳輸過程中被竊聽。 （4）數(shù)據(jù)的完整性 指防止數(shù)據(jù)在傳輸過程中被篡改、刪除、插入替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。 （5）

9、不可否認(rèn)性 防止發(fā)送方企圖否認(rèn)所發(fā)送的信息，同時(shí)也防止接受方企圖否認(rèn)接收到信息。 （6）安全審計(jì) 設(shè)置安全、可靠的審計(jì)記錄措施，便于事后的分析審計(jì)。9.1.3網(wǎng)絡(luò)安全的層次模型 3、系統(tǒng)單元 （1）通信平臺(tái) 信息網(wǎng)絡(luò)的通信設(shè)備、通信網(wǎng)絡(luò)平臺(tái)； （2）網(wǎng)絡(luò)平臺(tái) 信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)； （3）系統(tǒng)平臺(tái) 信息網(wǎng)絡(luò)的操作系統(tǒng)平臺(tái)； （4）應(yīng)用平臺(tái) 信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺(tái)： （5）物理環(huán)境 信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。9.1.3網(wǎng)絡(luò)安全的層次模型 4、層次模型 （1）物理層 在通信線路上采用電磁屏蔽技術(shù)、干擾及跳頻等技術(shù)，來防止電磁輻射造成的信息外泄，保證在線路上不被搭線偷聽，或者輕易的檢

10、測(cè)出信息。但由于網(wǎng)絡(luò)分布廣，物理層的安全很難保證。 （2） 數(shù)據(jù)鏈路層 點(diǎn)對(duì)點(diǎn)的鏈路可以采用數(shù)據(jù)通信保密機(jī)制，對(duì)數(shù)據(jù)采用加密和解密，保證通信的安全。 （3） 網(wǎng)絡(luò)層 采用加密、路由控制、訪問控制、審計(jì)、防火墻技術(shù)和IP加密傳輸信道技術(shù)，保證信息的機(jī)密性。防火墻被用來處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動(dòng)，它可以確定來自哪些地址的信息可以或者禁止訪問哪些目的地址的主機(jī)。IP加密傳輸信道技術(shù)是在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間建立透明的安全加密信道。這種技術(shù)對(duì)應(yīng)用透明，提供主機(jī)對(duì)主機(jī)的安全服務(wù)。適用于在公共通信設(shè)施上建立虛擬的專用網(wǎng)。 （4） 應(yīng)用層 針對(duì)用戶身份進(jìn)行認(rèn)證并建立起安全的通信信道。9.2 數(shù)據(jù)加密與數(shù)字認(rèn)證 數(shù)

11、據(jù)加密和數(shù)字簽名是網(wǎng)絡(luò)信息安全的核心技術(shù)。其中，數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法；數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過程中雙方身份的認(rèn)可，以防止各種敵手對(duì)信息進(jìn)行篡改的一種重要技術(shù)。 數(shù)據(jù)加密和數(shù)字簽名的聯(lián)合使用，是確保信息安全的有效措施。Internet加密數(shù)據(jù)流供應(yīng)商采購單位SSL安全論證網(wǎng)關(guān)Web服務(wù)器9.2.1 加密技術(shù)9.2.1加密技術(shù) 1、密碼學(xué)與密碼技術(shù) 計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的新興科學(xué),密碼技術(shù)是密碼學(xué)的具體實(shí)現(xiàn), 它包括4個(gè)方面：保密(機(jī)密)、消息驗(yàn)證、消息完整和不可否認(rèn)性。 1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者

12、和接收者才能理解消息的內(nèi)容。2驗(yàn)證（authentication）：安全通信僅僅靠消息的機(jī)密性是不夠的，必須加以驗(yàn)證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認(rèn)證只是安全通信中的兩個(gè)基本要素，還必須保持消息的完整, 即消息在傳送過程中不發(fā)生改變。4不可否認(rèn)（nonrepudiation）：安全通信的一個(gè)基本要素就是不可否認(rèn)性，防止發(fā)送者抵賴（否定）。 2、加密和解密 密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。加密是把需要加密的報(bào)文按照以密碼鑰匙（簡稱密鑰）為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信

13、之間進(jìn)行加密，經(jīng)過信道傳輸,到信宿接收時(shí)進(jìn)行解密,以實(shí)現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過程如下圖所示。加 密密鑰報(bào) 文解 密原報(bào)文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿9.2.1加密技術(shù) 3、密鑰體系 加密和解密是通過密鑰來實(shí)現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為單鑰密碼（又稱對(duì)稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對(duì)稱密碼或公鑰密碼）體系。 在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對(duì)方），所以密碼體制的安全完全取決于密鑰的安全。 雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan 提

14、出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。9.2.1加密技術(shù) 傳統(tǒng)加密方法 1、代換密碼法 單字母加密方法：是用一個(gè)字母代替另一個(gè)字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。 多字母加密方法：密鑰是簡短且便于記憶的詞組。 2、轉(zhuǎn)換密碼法 保持明文的次序，而把明文字符隱藏起來。轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。 3、變位加密法 把明文中的字母重新排列,字母本身不變，但位置變了。常見的有簡單變位法、列變位法和矩陣變位

15、法。 4、一次性密碼簿加密法 就是用一頁上的代碼來加密一些詞，再用另一頁上的代碼加密另一些詞，直到全部的明文都被加密。 9.2.1加密技術(shù) 現(xiàn)代加密方法 1、DES加密算法 DES加密算法是一種通用的現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在56位密鑰控制下,將每64位為一個(gè)單元的明文變成64位的密碼。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒有。 2、IDEA加密算法 相對(duì)于DES的56位密鑰，它使用128位的密鑰，每次加密一個(gè)64位的塊。這個(gè)算法被加強(qiáng)以防止一種特殊類型的攻擊,稱為微分密碼密鑰。 IDEA的特點(diǎn)是用了混亂和擴(kuò)散等操作,主要有三種運(yùn)算：異或、模加、模乘，并且容易用軟件和硬件來實(shí)

16、現(xiàn)。IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密。9.2.1加密技術(shù) 郵件內(nèi)容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機(jī)加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件 3、RSA公開密鑰算法 RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點(diǎn)在于它可以產(chǎn)生一對(duì)密鑰,一個(gè)人可以用密鑰對(duì)中

17、的一個(gè)加密消息，另一個(gè)人則可以用密鑰對(duì)中的另一個(gè)解密消息。任何人都無法通過公匙確定私匙，只有密鑰對(duì)中的另一把可以解密消息。取得收信人的分開密鑰KRP9.2.1加密技術(shù) 4、HashMD5加密算法 Hash函數(shù)又名信息摘要（Message Digest）函數(shù)，是基于因子分解或離散對(duì)數(shù)問題的函數(shù)，可將任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。這組數(shù)據(jù)能夠反映源信息的特征，因此又可稱為信息指紋（Message Fingerprint)。Hash函數(shù)具有很好的密碼學(xué)性質(zhì),且滿足Hash函數(shù)的單向、無碰撞基本要求。 5、量子加密系統(tǒng) 量子加密系統(tǒng)是加密技術(shù)的新突破。量子加密法的先進(jìn)之處在于這種方法依賴的

18、是量子力學(xué)定律。傳輸?shù)墓饬孔又辉试S有一個(gè)接收者，如果有人竊聽，竊聽動(dòng)作將會(huì)對(duì)通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽，隨即結(jié)束通信，生成新的密鑰。 9.2.1加密技術(shù) 解密方法 1.密鑰窮盡搜索 就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會(huì)有一個(gè)密鑰讓破譯者得到原文。 2. 密碼分析 密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。常見的密碼分析有如下兩種： 已知明文的破譯方法：是當(dāng)密碼分析員掌握了一段明文和對(duì)應(yīng)的密文,目的是發(fā)現(xiàn)加密的密鑰。在實(shí)際應(yīng)用中,獲得某些密文所對(duì)應(yīng)的明文是可能的。 選定明文的破譯方法：密碼分析員設(shè)法讓對(duì)手加密一段分析員選定的明

19、文，并獲得加密后的結(jié)果,以獲得確定加密的密鑰。 9.2.1加密技術(shù) 3、防止密碼破譯的措施 為了防止密碼破譯,可以采取一些相應(yīng)的技術(shù)措施。目前通常采用的技術(shù)措施以下3種。 好的加密算法：一個(gè)好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長就會(huì)比較安全。20世紀(jì)7080年代密鑰長通常為4864位，90年代,由于發(fā)達(dá)國家不準(zhǔn)許出口64位加密產(chǎn)品，所以國內(nèi)大力研制128位產(chǎn)品。 保護(hù)關(guān)鍵密鑰（KCK：KEY CNCRYPTION KEY）。 動(dòng)態(tài)會(huì)話密鑰：每次會(huì)話的密鑰不同。 動(dòng)態(tài)或定期變換會(huì)話密鑰是有好處的，因?yàn)檫@些密鑰是用來加密會(huì)話密鑰的，一旦泄漏，被他人竊取重要信息，將引起災(zāi)難性的

20、后果。 9.2.1加密技術(shù) 9.2.2數(shù)字簽名 對(duì)文件進(jìn)行加密只是解決了傳送信息的保密問題，而防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞、如何確定發(fā)信人的身份還需要采用其他的手段，這一手段就是數(shù)字簽名。一個(gè)完整的數(shù)字簽名應(yīng)該具有不可抵賴性、不可偽造性、不可重用性等。 “數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用的認(rèn)證技術(shù)。在日常工作和生活中，人們對(duì)書信或文件的驗(yàn)收是根據(jù)親筆簽名或蓋章來證實(shí)接收者的真實(shí)身份。在書面文件上簽名有兩個(gè)作用：一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確定了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰讉蚊埃瑥亩_定了文件是真實(shí)的這一事實(shí)。但是，在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決

21、的問題。Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件 在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說明發(fā)送的信息原文在傳送過程中沒有被破壞或篡改, 從而得到準(zhǔn)確的原文。傳送過程如下圖所示。 數(shù)字簽名的驗(yàn)證及文件的傳送過程9.2.2數(shù)字簽名 9.2.3防火墻技術(shù) 防火墻技術(shù)是一種成熟可靠的網(wǎng)絡(luò)安全技術(shù)，應(yīng)用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，是保護(hù)內(nèi)部網(wǎng)絡(luò)不受到侵入的一道屏障。目前，防火墻產(chǎn)品是世界上使用最多的網(wǎng)絡(luò)安全產(chǎn)品之一，其功能也在不斷的增加。 1、防火墻的概念 為了防止病毒和黑客，可在

22、該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道用來阻斷來自外部通過網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個(gè)屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如下頁圖所示。 防火墻的邏輯結(jié)構(gòu)示意圖 外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)9.2.3防火墻技術(shù) 2、防火墻的基本特性 所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻。 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻。 防火墻本身不受各種攻擊的影響。 3、防火墻的基本準(zhǔn)則 過濾不安全服務(wù)：防火墻應(yīng)封鎖所有的信息流,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。 過濾非法

23、用戶和訪問特殊站點(diǎn)： 防火墻允許所有用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。9.2.3防火墻技術(shù)防火墻的基本功能 1、作為網(wǎng)絡(luò)安全的屏障 防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 2、可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。 3、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 所有的外部訪問都經(jīng)過防火墻時(shí)，防火墻就能記錄下這些訪問，為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑信息時(shí)防火墻能發(fā)出報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的

24、詳細(xì)信息。 4、可以防止內(nèi)部信息的外泄 利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻的分類1、網(wǎng)絡(luò)級(jí)防火墻（Network Gateway）網(wǎng)絡(luò)級(jí)防火墻主要用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。包過濾路由器的工作原理示意圖內(nèi)部網(wǎng)絡(luò)物理層分組過濾規(guī)則數(shù)據(jù)鏈跑層Internet外部網(wǎng)絡(luò)網(wǎng)絡(luò)層物理層數(shù)據(jù)鏈跑層網(wǎng)絡(luò)層包過濾路由器防火墻的分類 2、應(yīng)用級(jí)防火墻（Application Gateway） 這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代

25、理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢。應(yīng)用級(jí)代理工作原理圖所示。應(yīng)用級(jí)代理工作原理示意圖內(nèi)部網(wǎng)絡(luò)真正服務(wù)器代理服務(wù)器實(shí)際的連接實(shí)際的連接外部網(wǎng)絡(luò)客戶虛擬的連接Internet防火墻防火墻的分類 3、電路級(jí)防火墻（Gateway） 電路級(jí)防火墻也稱電路層網(wǎng)關(guān),是一個(gè)具有特殊功能的防火墻。電路級(jí)網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。與應(yīng)用級(jí)防火墻相似,電路級(jí)防火墻也是代理服務(wù)器,只是它不需要用戶配備專門的代理客戶應(yīng)用程序。另外,電路級(jí)防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。 4、狀態(tài)監(jiān)測(cè)防火墻（Statefu inspection Gatewa

26、y） 狀態(tài)檢測(cè)是比包過濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過。防火墻的基本結(jié)構(gòu) 1、雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻,其中一個(gè)是網(wǎng)卡,與內(nèi)網(wǎng)相連；另一個(gè)可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如下圖所示。雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本

27、結(jié)構(gòu) 2、屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） 單宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的一種簡單形式,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為可以從Internet上訪問的唯一主機(jī)。而Intranet內(nèi)部的客戶機(jī)，可以受控地通過屏蔽主機(jī)和路由器訪問Internet,其工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本結(jié)構(gòu) 雙宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式, 與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)

28、更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本結(jié)構(gòu) 3、屏蔽子網(wǎng)（Screened Subnet Gateway） 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如下圖所示。屏蔽子網(wǎng)防火墻內(nèi)網(wǎng)屏蔽子網(wǎng)Internet9.2.4訪問控制技術(shù) 訪問控制是指可以限制對(duì)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用。它是網(wǎng)絡(luò)安全防范和保護(hù)的

29、主要策略，也是安全機(jī)制的核心內(nèi)容。 訪問控制是保證對(duì)所有的直接存取活動(dòng)進(jìn)行授權(quán)的重要手段，控制著讀出、寫入、修改、刪除、執(zhí)行等操作，可以防止非法用戶進(jìn)人計(jì)算機(jī)系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。實(shí)施訪問控制是維護(hù)系統(tǒng)運(yùn)行安全，保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)。 目前的主流訪問控制技術(shù)有：自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）、基于角色的訪問控制（RBAC）。9.3 網(wǎng)絡(luò)安全的攻擊與防衛(wèi)9.3.1 特洛伊木馬 “特洛伊木馬”（trojan horse）簡稱“木馬”，據(jù)說這個(gè)名稱來源于希臘神話木馬屠城記。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。 完整的木馬程序一般由兩個(gè)部份組成：一個(gè)

30、是服務(wù)器程序，一個(gè)是控制器程序。“中了木馬”就是指安裝了木馬的服務(wù)器程序，如果計(jì)算機(jī)被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制這臺(tái)計(jì)算機(jī)，這時(shí)計(jì)算機(jī)上的各種文件、程序，以及在這臺(tái)計(jì)算機(jī)上使用的帳號(hào)、密碼就無安全可言了。 現(xiàn)在市面上有很多新版殺毒軟件都可以自動(dòng)清除木馬，但它們并不能防范新出現(xiàn)的木馬程序。如果發(fā)現(xiàn)有木馬存在，首先就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)進(jìn)行攻擊。 9.3.2 郵件炸彈 郵件炸彈(E-mail Bomb)是使得攻擊目標(biāo)主機(jī)收到超量的電子郵件,使得主機(jī)無法承受導(dǎo)致郵件系統(tǒng)崩潰，是黑客常用的一種攻擊手段。現(xiàn)在網(wǎng)上的郵件炸彈程序很多，雖然它們的安全性不盡

31、相同，但基本上都能保證攻擊者的不被發(fā)現(xiàn)。 收到郵件炸彈的攻擊后，可以在不影響郵箱內(nèi)的正常郵件的情況下，把這些大量的垃圾郵件刪除掉。此外，還有一些專門的郵件炸彈刪除軟件，它可以幫助我們迅速刪除炸彈郵件。另外，各免費(fèi)郵箱提供商也通過使用郵件過濾器等措施加強(qiáng)了這方面的防護(hù)，通過使用系統(tǒng)提供的郵件過濾器系統(tǒng)來拒絕接收此類郵件。但是，目前對(duì)于解決郵件炸彈的困擾還沒有特別好的方法，還是應(yīng)該以預(yù)防為主。 9.3.3 信息竊取 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，利用網(wǎng)絡(luò)來竊取信息的顯現(xiàn)也越來頻繁。竊取手段越來越多，但歸結(jié)起來本質(zhì)一樣：都是通過程序，尋找或記錄種植（程序）者需要的信息，并將其發(fā)送到他們手中。信息竊取可以分為兩

32、種：一種是所謂偷取智能財(cái)產(chǎn)；而另一種則是所謂產(chǎn)業(yè)諜報(bào)活動(dòng)。 安裝非法入侵的檢測(cè)系統(tǒng)，可以補(bǔ)足防火墻的功能，使兩者達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即的攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作，當(dāng)竊取者入侵時(shí)便可以立刻有效終止。這些相關(guān)防護(hù)措施的應(yīng)用可以完全做到在面臨攻擊、或者是信息遭濫用時(shí)立即做出多樣性適當(dāng)?shù)膱?bào)警。 一般最普通基本的安全管理服務(wù)可包括有防火墻、入侵偵測(cè)及報(bào)警系統(tǒng)、遠(yuǎn)程訪問保全、在網(wǎng)絡(luò)上將使用資料加密等。 9.3.4 病毒網(wǎng)絡(luò)病毒的特點(diǎn)1. 感染方式多2. 感染速度快3. 清除難度大4. 破壞性強(qiáng)5. 激發(fā)形式多樣6. 潛在性特點(diǎn)： 計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。那么，一旦共享資源染上病毒，網(wǎng)絡(luò)

33、各結(jié)點(diǎn)間信息的頻繁傳輸將把病毒感染到共享的所有機(jī)器上，從而形成多種共享資源的交叉感染。在網(wǎng)絡(luò)環(huán)境中的病毒具有以下6個(gè)方面的特點(diǎn)：類型： 1、GPI（Get Password I）病毒 GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。 2、電子郵件病毒 由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。 3、網(wǎng)頁病毒 網(wǎng)頁病毒主要指Java及ActiveX病毒，它們大部分都保存在網(wǎng)頁中，所以網(wǎng)頁也會(huì)感染病毒。 4、網(wǎng)絡(luò)蠕蟲程序 是一種通過間接方式復(fù)制自身的非感染型病毒，它的傳播速度相當(dāng)驚人，給人們帶來難以彌補(bǔ)的損失。9.3.4

34、 病毒防治： 1、病毒的預(yù)防 引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶本身。因此,防范網(wǎng)絡(luò)病毒應(yīng)從兩方面著手。第一，對(duì)內(nèi)部網(wǎng)與外界進(jìn)行的數(shù)據(jù)交換進(jìn)行有效的控制和管理, 同時(shí)堅(jiān)決抵制盜版軟件；第二，以網(wǎng)為本，多層防御，有選擇地加載保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防病毒產(chǎn)品。 2、病毒清除 可靠、有效地清除病毒,并保證數(shù)據(jù)的完整性是一件非常必要和復(fù)雜的工作。優(yōu)秀的防毒軟件應(yīng)該不僅能夠正確識(shí)別已有的病毒變種，同時(shí)也應(yīng)該能夠識(shí)別被病毒感染的文件。 然而，防毒軟件并不是萬能的，對(duì)付計(jì)算機(jī)病毒的最好方法是要積極地做好預(yù)防工作, 而不能寄托于病毒工具軟件。9.3.4 病毒 這個(gè)技術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的反病毒

35、防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計(jì)算機(jī)系統(tǒng)之門外。時(shí)刻監(jiān)視系統(tǒng)當(dāng)中的病毒活動(dòng)，時(shí)刻監(jiān)視系統(tǒng)狀況，時(shí)刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。且優(yōu)秀的反病毒軟件由于采用了與操作系統(tǒng)的底層無縫連接技術(shù)，實(shí)時(shí)監(jiān)視器占用的系統(tǒng)資源極小，用戶一方面完全感覺不到對(duì)機(jī)器性能的影響，一方面根本不用考慮病毒的問題。只要實(shí)時(shí)反病毒軟件實(shí)時(shí)地在系統(tǒng)中工作，病毒就無法侵入我們的計(jì)算機(jī)系統(tǒng)。可以保證反病毒軟件只需一次安裝，今后計(jì)算機(jī)運(yùn)行的每一秒鐘都會(huì)執(zhí)行嚴(yán)格的反病毒檢查，使因特網(wǎng)、光盤、軟盤等途徑進(jìn)入計(jì)算機(jī)的每一個(gè)文件都安全無毒，如有毒則進(jìn)行自動(dòng)殺除。9.3

36、.5 實(shí)時(shí)監(jiān)視技術(shù) 目前網(wǎng)絡(luò)用戶在因特網(wǎng)、光盤以及 WINDOWS中接觸到的大多數(shù)文件都是以壓縮狀態(tài)存放，以便節(jié)省傳輸時(shí)間或節(jié)約存放空間，這就使得各類壓縮文件已成為了計(jì)算機(jī)病毒傳播的溫床。如中國計(jì)算機(jī)報(bào)光盤Info CD染上CIH病毒事件，就是3個(gè)壓縮文件內(nèi)部中含有病毒。 如果用戶從網(wǎng)上下載了一個(gè)帶病毒的壓縮文件包，或從光盤里運(yùn)行一個(gè)壓縮過的帶毒文件，用戶會(huì)放心地使用這個(gè)壓縮文件包，然后自己的系統(tǒng)就會(huì)不知不覺地被壓縮文件包中的病毒感染。而且現(xiàn)在流行的壓縮標(biāo)準(zhǔn)有很多種，相互之間有些還并不兼容，全面覆蓋各種各樣的壓縮格式，就要求了解各種壓縮格式的算法和數(shù)據(jù)模型，這就必須和壓縮軟件的生產(chǎn)廠商有很密切

37、的技術(shù)合作關(guān)系，否則，解壓縮就會(huì)出問題。9.3.6 自動(dòng)解壓縮技術(shù)9.4 防火墻的安裝調(diào)試與設(shè)置 天網(wǎng)防火墻是由廣州眾達(dá)天網(wǎng)技術(shù)有限公司開發(fā)的給個(gè)人計(jì)算機(jī)使用的網(wǎng)絡(luò)安全工具。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則把守網(wǎng)絡(luò)，提供強(qiáng)大的訪問控制、應(yīng)用選通、信息過濾等功能。它可以幫助網(wǎng)絡(luò)用戶抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露，保障用戶機(jī)器的網(wǎng)絡(luò)安全。天網(wǎng)防火墻把網(wǎng)絡(luò)分為本地網(wǎng)和互聯(lián)網(wǎng)，可以針對(duì)來自不同網(wǎng)絡(luò)的信息，設(shè)置不同的安全方案，它適合于任何方式連接上網(wǎng)的個(gè)人用戶。 1、天網(wǎng)防火墻的安裝 2、防火墻的設(shè)置 9.4.1天網(wǎng)防火墻 隨著網(wǎng)絡(luò)的日益普及，越來越多的用戶通過網(wǎng)絡(luò)進(jìn)行即時(shí)通訊和下載文件，而這也越來越成

38、為病毒傳播的主要途徑之一。為此，瑞星殺毒軟件專門提供了嵌入式殺毒工具。瑞星殺毒軟件嵌入式殺毒工具是在用戶使用即時(shí)通訊軟件（如 MSN Messenger）、壓縮工具（如WinZip）和下載工具（如 FlashGet）時(shí)，會(huì)自動(dòng)調(diào)用瑞星殺毒軟件對(duì)接收的文 件進(jìn)行查殺病毒，防止病毒通過外來文件傳播到本地。 在“查殺目標(biāo)”欄中顯示了待查殺病毒的目標(biāo)，默認(rèn)狀態(tài)下，所有本地磁盤、內(nèi)存、引導(dǎo)區(qū)和郵箱都為選中狀態(tài)；2）單擊瑞星殺毒軟件主程序界面上的“殺毒”按鈕，即開始掃描所選目標(biāo)，發(fā)現(xiàn)病毒時(shí)程序會(huì)提示用戶如何處理。掃描過程中可隨時(shí)選擇“暫停”按鈕暫停當(dāng)前操作，按“繼續(xù)”可繼續(xù)當(dāng)前操作，也可以選擇“停止”按鈕

39、 結(jié)束當(dāng)前掃描。對(duì)掃描中發(fā)現(xiàn)的病毒，病毒文件的文件名、所在文件夾、病毒名稱和狀態(tài)都將顯示在病毒列表窗口中。9.4.2 瑞星殺毒軟件和個(gè)人防火墻9.5 網(wǎng)絡(luò)管理 1、網(wǎng)絡(luò)管理的定義 網(wǎng)絡(luò)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程, 它涉及到以下3個(gè)方面。 網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能等。 網(wǎng)絡(luò)維護(hù)：是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)等。 網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路、設(shè)備利用率、數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。 2、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化 在ISO的OSI-RM的基礎(chǔ)上，由AT&T、英國電信等100多著名大公司組成的OSI/NMF(網(wǎng)絡(luò)管理論壇）定義了O

40、SI網(wǎng)絡(luò)管理框架下的5個(gè)管理功能區(qū)域，并形成了多項(xiàng)協(xié)議。9.5.1網(wǎng)絡(luò)管理概述配置管理性能管理計(jì)費(fèi)管理安全管理故障管理系統(tǒng)管理功能：對(duì)象管理狀態(tài)管理關(guān)系屬性日志控制負(fù)荷監(jiān)測(cè)告警報(bào)告事件報(bào)告測(cè)試管理/測(cè)試報(bào)告記賬表安全審查追蹤等OSI網(wǎng)絡(luò)管理功能模塊之間的關(guān)系 為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的所有對(duì)象進(jìn)行管理，OSI定義了網(wǎng)絡(luò)管理統(tǒng)一的國際性標(biāo)準(zhǔn)（5個(gè)基本功能域），基本模塊的相互關(guān)系如下圖所示。9.5.2 網(wǎng)絡(luò)管理功能 1、配置管理（Configuration Management，CM） 配置管理是ISO網(wǎng)絡(luò)管理功能域中的第一個(gè)管理模塊,它具有以下4項(xiàng)基本功能。 1配置信息具有自動(dòng)獲取功能：一個(gè)大型網(wǎng)絡(luò)需要

41、管理的設(shè)備很多，因此，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取的功能。2具有自動(dòng)配置功能：通過網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)設(shè)置配置信息、自動(dòng)登錄到設(shè)備進(jìn)行配置的信息、修改管理性能配置信息。3配置一次性檢查：在網(wǎng)絡(luò)配置中，對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由器信息配置和檢查。4用戶操作記錄功能：在配置管理中對(duì)用戶操作進(jìn)行記錄并保存,以便管理人員隨時(shí)查看用戶在特定時(shí)間進(jìn)行特定配置操作。9.5.2 網(wǎng)絡(luò)管理功能 2、性能管理（Performance Management，PM） 性能管理的功能是負(fù)責(zé)監(jiān)視整個(gè)網(wǎng)絡(luò)的性能，性能管理的目標(biāo)是收集和統(tǒng)計(jì)數(shù)據(jù)。性能管理主要包括以下內(nèi)容： 1 信息收集：要實(shí)現(xiàn)性能

42、管理，首先必須要從被管對(duì)象中收集與性能有關(guān)的那些數(shù)據(jù)，然后進(jìn)行信息統(tǒng)計(jì)、分析和監(jiān)測(cè)。2信息統(tǒng)計(jì)：統(tǒng)計(jì)被管對(duì)象與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)。3信息分析：分析被管的性能數(shù)據(jù)和網(wǎng)絡(luò)線路質(zhì)量，以判斷是否處于正常水平，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。4信息監(jiān)測(cè)：監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，為每個(gè)重要的變量決定一個(gè)合適的性能閥值，超過該限值時(shí)將報(bào)警發(fā)送到網(wǎng)絡(luò)管理系統(tǒng)。9.5.2 網(wǎng)絡(luò)管理功能 3、故障管理（Fault Management，F(xiàn)M） 故障管理是在系統(tǒng)出現(xiàn)異常情況下的管理操作，找出故障的位置并進(jìn)行恢復(fù)。故障管理包括以下4個(gè)步驟。 1檢測(cè)故障：通過檢測(cè)來判斷故障類型或被動(dòng)接收網(wǎng)絡(luò)上的各種事件信

43、息，對(duì)其中的關(guān)鍵部分保持跟蹤, 并生成網(wǎng)絡(luò)故障記錄。2隔離故障：通過診斷、測(cè)試，識(shí)別故障根源，對(duì)根源故障進(jìn)行隔離。3修復(fù)故障：對(duì)不嚴(yán)重的簡單故障由網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)、診斷和恢復(fù)；對(duì)于嚴(yán)重的故障，報(bào)警提醒管理者進(jìn)行維修和更換。4記錄故障監(jiān)測(cè)結(jié)果：記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯(cuò)行記錄，以反映故障整個(gè)過程的各個(gè)方面。9.5.2 網(wǎng)絡(luò)管理功能 4、安全管理（Security Management，SM） 安全管理模塊的功能分為網(wǎng)絡(luò)管理本身的安全和被管網(wǎng)絡(luò)對(duì)象的安全。安全管理的功能主要包括以下4個(gè)方面： 1授權(quán)管理：分配權(quán)限給所請(qǐng)求的實(shí)體。2訪問控制管理：訪問控制管理：分配口令、進(jìn)入

44、或修改訪問控制表和能力表。3安全管理：安全檢查跟蹤和事件處理。4密鑰管理：進(jìn)行密鑰分配。9.5.2 網(wǎng)絡(luò)管理功能 5、計(jì)費(fèi)管理（Accounting Management，AM） 計(jì)費(fèi)管理模塊的功能是在有償使用的網(wǎng)絡(luò)上統(tǒng)計(jì)有哪些用戶，使用何種信道，傳輸多少數(shù)據(jù)，訪問什么資源信息，即統(tǒng)計(jì)不同線路和各類資源的利用情況。 計(jì)費(fèi)管理的目標(biāo)是提高網(wǎng)絡(luò)資源的利用率，以便使一個(gè)或一組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源。由于網(wǎng)絡(luò)資源可以根據(jù)其能力的大小而合理地分配，這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小限度，也可以使所有用戶對(duì)網(wǎng)絡(luò)的訪問更加公平。為了實(shí)現(xiàn)合理計(jì)費(fèi)，計(jì)費(fèi)管理必須和性能管理相結(jié)合。 計(jì)費(fèi)管理包括：計(jì)費(fèi)數(shù)據(jù)采集、數(shù)據(jù)管理與數(shù)據(jù)維護(hù)、政策比較與決策支持、數(shù)據(jù)分析與費(fèi)用計(jì)算等。9.5.2 網(wǎng)絡(luò)管理功能 9.5.3 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理工具 一、簡單網(wǎng)絡(luò)管理協(xié)議 為了更好地進(jìn)行網(wǎng)絡(luò)管理，許多國際標(biāo)準(zhǔn)化組織都提出了自己的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理方案，網(wǎng)絡(luò)管理協(xié)議主要有CMIP、SNMP和CMOT三種。目前使用最廣泛的網(wǎng)絡(luò)管理協(xié)議是簡單網(wǎng)絡(luò)管理協(xié)議（S