《計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)教程》 課件 單元8 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

單元8網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全8.1計算機網(wǎng)絡(luò)安全概述

學(xué)習(xí)目標了解網(wǎng)絡(luò)安全的概念及分類；能夠說出網(wǎng)絡(luò)安全的特征；能夠熟練運用常用的網(wǎng)絡(luò)診斷命令對網(wǎng)絡(luò)故障進行診斷；了解網(wǎng)絡(luò)管理的概念及目標；掌握網(wǎng)絡(luò)安全的應(yīng)對機制。8.1.1計算機網(wǎng)絡(luò)安全事例網(wǎng)絡(luò)安全問題日趨嚴峻，各地發(fā)生多起重大網(wǎng)絡(luò)安全事件，既有公民信息遭泄露，也發(fā)生多起因為遭遇勒索軟件攻擊而被迫停工停產(chǎn)事件，一起來盤點近年來發(fā)生的幾起信息網(wǎng)絡(luò)安全事例。1.數(shù)據(jù)泄露事件（1）疑似超2億國內(nèi)個人信息在國外暗網(wǎng)論壇兜售；（2）全國首例適用民法典的個人信息保護案宣判；（3）鎮(zhèn)江丹陽30人販賣6億條個人信息獲利800余萬（4）央視曝App偷聽隱私語音發(fā)出后錄音還在繼續(xù)；2.網(wǎng)絡(luò)攻擊事件（1）多個行業(yè)感染incaseformat病毒；（2）針對農(nóng)信社和城商行的短信釣魚攻擊；（3）澳門衛(wèi)生局電腦系統(tǒng)遭惡意攻擊；（4）西安市首例破壞醫(yī)院計算機信息系統(tǒng)案；8.1.2計算機網(wǎng)絡(luò)面臨的安全威脅1.網(wǎng)絡(luò)安全的概念及分類

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到應(yīng)有的保護，不會因為偶然或惡意攻擊而遭到破壞、更改和泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

由于不同的環(huán)境和應(yīng)用，網(wǎng)絡(luò)安全產(chǎn)生了不同的類型。主要有以下幾種：（1）系統(tǒng)安全（2）網(wǎng)絡(luò)的安全（3）信息傳播安全（4）信息內(nèi)容安全8.1.2計算機網(wǎng)絡(luò)面臨的安全威脅2.網(wǎng)絡(luò)安全的特征

網(wǎng)絡(luò)安全要求提供信息數(shù)據(jù)的保密性、真實性、認證和數(shù)據(jù)完整性，其具有以下四個方面的特征：（1）保密性：指信息不泄露給非法授權(quán)用戶、實體或過程，或供其利用的特性。（2）完整性：指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。（3）可用性：指保證信息確實能為授權(quán)使用者所用，即保證合法用戶在需要時可以使用所需信息。（4）可控性：指信息和信息系統(tǒng)時刻處于合法所有者或使用者的有效掌握與控制之下。（5）可審查性：指是在出現(xiàn)安全問題時可提供依據(jù)與手段。8.1.2計算機網(wǎng)絡(luò)面臨的安全威脅3.網(wǎng)絡(luò)安全威脅的種類

網(wǎng)絡(luò)安全威脅是指某個人、物、事件或概念對某一資源的機密性、完整性、可用性或合法性所造成的危害。

網(wǎng)絡(luò)安全威脅主要可分為以下兩類：（1）被動攻擊：主要是收集信息而不是進行訪問，攻擊者主要是觀察和分析協(xié)議數(shù)據(jù)，而不干擾信息的傳輸（重點在于不修改數(shù)據(jù)），數(shù)據(jù)的合法用戶對這種活動一點也不會察覺到，被動攻擊不會對網(wǎng)絡(luò)造成實質(zhì)性的破壞。主要包括竊聽攻擊形式。（2）主動攻擊：包含攻擊者訪問所需要信息的故意行為，修改或破壞協(xié)議數(shù)據(jù)，主動攻擊相對于被動攻擊來說，更傾向于修改網(wǎng)絡(luò)數(shù)據(jù)和干擾網(wǎng)絡(luò)正常運行。主要包括篡改和惡意程序等攻擊形式。8.1.2計算機網(wǎng)絡(luò)面臨的安全威脅4.攻擊類型（1）中斷：指系統(tǒng)資源遭到破壞或變得不能使用，這是對可用性的攻擊。例如，對一些硬件進行破壞、切斷通信線路或禁用文件管理系統(tǒng)。（2）截獲：指未授權(quán)的實體得到了資源的訪問權(quán)，這是對保密性的攻擊，未授權(quán)實體可能是一個人、一個程序或一臺計算機。例如，為了捕獲網(wǎng)絡(luò)數(shù)據(jù)的竊聽行為，以及在不授權(quán)的情況下復(fù)制文件或程序的行為。（3）修改：指未授權(quán)的實體不僅得到了訪問權(quán)，而且還篡改了資源，這是對完整性的攻擊。例如，在數(shù)據(jù)文件中改變數(shù)值、改動程序使其按不同的方式運行、修改在網(wǎng)絡(luò)中傳送的消息內(nèi)容等。（4）捏造：指未授權(quán)的實體向系統(tǒng)中插入偽造的對象，這是對真實性的攻擊。例如，向網(wǎng)絡(luò)中插入欺騙性的消息，或者在文件中插入額外的記錄。8.1.2計算機網(wǎng)絡(luò)面臨的安全威脅5.網(wǎng)絡(luò)故障診斷工具TCP/IP體系結(jié)構(gòu)OSI參考模型網(wǎng)絡(luò)故障組件故障診斷工具測試重點應(yīng)用層應(yīng)用層應(yīng)用程序、操作系統(tǒng)瀏覽器、各類網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)性能測試軟件、nslookup命令網(wǎng)絡(luò)性能、計算機系統(tǒng)會話層傳輸層傳輸層各類網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)協(xié)議分析軟件、網(wǎng)絡(luò)協(xié)議分析硬件、網(wǎng)絡(luò)流量監(jiān)控工具服務(wù)器端口設(shè)置、網(wǎng)絡(luò)攻擊與病毒網(wǎng)絡(luò)層網(wǎng)絡(luò)層路由器、計算機網(wǎng)絡(luò)配置路由及協(xié)議設(shè)置、計算機的本地連接、ping命令、route命令、tracert命令、pathping命令、netstat命令計算機IP設(shè)置、路由器設(shè)置網(wǎng)絡(luò)接入層數(shù)據(jù)鏈路層交換機、網(wǎng)卡設(shè)備指示燈、網(wǎng)絡(luò)測試儀、交換機配置命令、arp命令網(wǎng)卡及交換機硬件、交換機設(shè)備、網(wǎng)絡(luò)環(huán)路、廣播風(fēng)暴物理層雙絞線、光纖、無線傳輸、電源電纜測試儀、光纖測試儀、電源指示燈雙絞線、光纖接口及傳輸特性8.1.3網(wǎng)絡(luò)安全應(yīng)對機制1.網(wǎng)絡(luò)管理的概念網(wǎng)絡(luò)管理：是指用軟件手段對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進行有效的監(jiān)視、控制、診斷和測試所采用的技術(shù)和方法。包括以下三個方面的內(nèi)容：

（1）網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能。

（2）網(wǎng)絡(luò)維護：是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復(fù)。

（3）網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路及設(shè)備利用率，數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。8.1.3網(wǎng)絡(luò)安全應(yīng)對機制2.網(wǎng)絡(luò)管理的目標

網(wǎng)絡(luò)管理的目標是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，使其能夠有效、可靠、安全、經(jīng)濟地提供服務(wù)，并在計算機網(wǎng)絡(luò)系統(tǒng)運行出現(xiàn)異常時能及時響應(yīng)并排除故障。廣義：包括技術(shù)、制度、政策、法規(guī)、措施等方面。狹義：從技術(shù)角度出發(fā)，了解網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)并加以監(jiān)控、優(yōu)化。8.1.3網(wǎng)絡(luò)安全應(yīng)對機制3.網(wǎng)絡(luò)管理的應(yīng)對機制

計算機網(wǎng)絡(luò)安全措施主要包括保護網(wǎng)絡(luò)安全、保護應(yīng)用服務(wù)安全和保護系統(tǒng)安全三個方面，各個方面都要結(jié)合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等。①物理層：防止搭線偷聽等。②數(shù)據(jù)鏈路層：采用通信保密進行加密和解密。③網(wǎng)絡(luò)層：使用防火墻技術(shù)處理信息在內(nèi)、外網(wǎng)絡(luò)間的流動。④傳輸層：進行端到端的加密。⑤應(yīng)用層：對用戶進行身份驗證，建立安全的通信信道，設(shè)計認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。8.1.3網(wǎng)絡(luò)安全應(yīng)對機制4.個人網(wǎng)絡(luò)安全的防范措施

（1）網(wǎng)上注冊內(nèi)容時不要填寫個人私密信息（2）盡量遠離社交平臺涉及的互動類活動（3）定期安裝或者更新病毒防護軟件（4）不要在公眾場所連接未知的WiFi賬號（5）警惕手機詐騙短信及電話（6）妥善處理好涉及到個人信息的單據(jù)感謝聆聽單元8網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全8.2計算機網(wǎng)絡(luò)病毒學(xué)習(xí)目標了解網(wǎng)絡(luò)病毒的概念及分類；能夠說出計算機病毒的傳播方式；能夠準確說出并理解計算機病毒的特征；掌握網(wǎng)絡(luò)防病毒軟件的工作方式；能夠理解殺毒軟件的功能；掌握計算機病毒的防范措施，增強個人網(wǎng)絡(luò)安全意識，樹立“網(wǎng)絡(luò)并非法外之地”的意識。8.2計算機網(wǎng)絡(luò)病毒

計算機病毒（ComputerVirus）是一段人為編制的具有破壞性的特殊程序代碼或指令，通過感染計算機文件進行傳播，以破壞或篡改用戶數(shù)據(jù)，影響信息系統(tǒng)正常運行為主要目的的惡意程序。

良性的病毒只是惡作劇性質(zhì)，破壞不大，但是惡性病毒會使軟件系統(tǒng)崩潰以及硬件損壞，比如木馬病毒會使計算機用戶網(wǎng)上銀行賬號、交易賬號被盜，造成嚴重的經(jīng)濟損失，因此，《計算機軟件保護條例》規(guī)定，制造和傳播計算機病毒屬于違法犯罪行為。8.2.1網(wǎng)絡(luò)病毒的概述1.計算機病毒的特征（1）破壞性：這是計算機病毒的主要特征。（2）潛伏性：病毒埋伏在正常程序周圍或插入合法程序里隱藏起來，等待特定的條件滿足之后病毒就會發(fā)作。（3）隱蔽性：采用特殊技術(shù)，隱藏起來不容易被發(fā)現(xiàn)。（4）可觸發(fā)性：即激發(fā)性，病毒的發(fā)作受一定條件控制，多數(shù)以日期或時間作為條件。（5）傳染性：即傳播性，病毒會不斷自我復(fù)制，通過各種存儲器和網(wǎng)絡(luò)進行傳播。（6）表現(xiàn)性：計算機中病毒以后，具有一定的外在癥狀表現(xiàn)，如“熊貓燒香”病毒發(fā)作后，計算機的文件圖標被換成熊貓圖片。8.2.1網(wǎng)絡(luò)病毒的概述2.網(wǎng)絡(luò)病毒的分類（1）從網(wǎng)絡(luò)病毒功能區(qū)分，可以分為木馬病毒和蠕蟲病毒。（2）從網(wǎng)絡(luò)病毒傳播途徑區(qū)分，可以分為漏洞型病毒、郵件型病毒兩種。8.2.1網(wǎng)絡(luò)病毒的概述3.計算機病毒的傳播方式

計算機網(wǎng)絡(luò)病毒有自己的傳輸模式和傳輸路徑。計算機網(wǎng)絡(luò)最本質(zhì)的功能就是資源共享和數(shù)據(jù)通信，這意味著計算機網(wǎng)絡(luò)病毒的傳播非常容易，通常在數(shù)據(jù)交換的環(huán)境就可以進行病毒傳播。其主要有以下三種傳輸方式：（1）通過移動存儲設(shè)備進行病毒傳播（2）通過網(wǎng)絡(luò)來傳播（3）利用計算機系統(tǒng)和應(yīng)用軟件的弱點傳播8.2.2網(wǎng)絡(luò)防病毒軟件的應(yīng)用1.網(wǎng)絡(luò)防病毒軟件的功能

網(wǎng)絡(luò)防病毒軟件的基本功能是：對文件服務(wù)器和工作站進行病毒掃描，發(fā)現(xiàn)病毒后立即報警并隔離被病毒感染的文件，由網(wǎng)絡(luò)管理員負責(zé)清除計算機病毒。8.2.2網(wǎng)絡(luò)防病毒軟件的應(yīng)用2.網(wǎng)絡(luò)防病毒軟件的工作方式網(wǎng)絡(luò)防病毒軟件一般提供以下3種掃描方式：（1）實時掃描。實時掃描是指當對一個文件進行“轉(zhuǎn)入”（checkedin）、“轉(zhuǎn)出”（checkedout）、存儲和檢索操作時，不間斷地對其進行掃描，以檢測其中是否存在病毒和其他惡意代碼。（2）預(yù)置掃描。該掃描方式可以預(yù)先選擇日期和時間來掃描文件服務(wù)器。預(yù)置的掃描頻率可以是每天一次、每周一次或每月一次，掃描時間最好選擇在網(wǎng)絡(luò)工作不太繁忙的時候。定期、自動地掃描服務(wù)器能夠有效提高防毒管理的效率，使網(wǎng)絡(luò)管理員更加靈活地采取防毒策略。（3）人工掃描。人工掃描方式可以要求網(wǎng)絡(luò)防病毒軟件在任何時候掃描文件服務(wù)器上指定的驅(qū)動器盤符、目錄和文件，掃描的時間長短取決于要掃描的文件和硬盤資源的容量大小。8.2.3網(wǎng)絡(luò)病毒防范的方法

現(xiàn)在計算機病毒無處不在，我們要加強安全防范意識，要有效避免計算機病毒危害。需要注意以下幾點：（1）安裝殺毒軟件并定期升級，開啟實時監(jiān)控功能；（2）要對計算機中重要的數(shù)據(jù)定期進行備份，不能備份在同一臺機器上，需要備份到不同的機器硬盤上；（3）不要輕易打開陌生鏈接，以防釣魚類網(wǎng)站；（4）使用外來磁盤之前要先查殺病毒；（5）不要隨意登錄不文明、不健康的網(wǎng)站，不瀏覽不安全的陌生網(wǎng)站；不輕易下載安裝來歷不明的程序，不隨意打開陌生郵件，或在打開之前先查殺病感謝聆聽單元8網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全8.3計算機網(wǎng)絡(luò)滲透與防滲透學(xué)習(xí)目標了解黑客的概念；掌握黑客入侵的攻擊手段；能夠說出防范黑客攻擊的方法；了解數(shù)據(jù)加密技術(shù)的概念；能夠準確理解密鑰加密算法的過程；了解防火墻的概念及分類；能夠準確說出防火墻的功能及局限性。8.3.1認識黑客

黑客（Hacker）是指在未經(jīng)許可的情況下通過技術(shù)手段登錄到他人的網(wǎng)絡(luò)服務(wù)器甚至是連接在網(wǎng)絡(luò)上的單機，并對網(wǎng)絡(luò)進行一些未經(jīng)授權(quán)的操作。8.3.1認識黑客

1.黑客入侵的攻擊手段

在Internet中，為了防止黑客入侵自己的計算機，就必須先了解黑客入侵目標計算機常用的攻擊手段，主要有以下幾種：（1）非授權(quán)訪問（2）信息泄露或丟失（3）破壞數(shù)據(jù)完整性（4）拒絕服務(wù)攻擊（5）利用網(wǎng)絡(luò)傳播病毒8.3.1認識黑客2.黑客攻擊的防范

防范黑客入侵手段，不僅僅是技術(shù)問題，關(guān)鍵是要制訂嚴密、完整而又行之有效的安全策略。安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，主要包括以下三個方面的手段：（1）法律手段（2）技術(shù)手段（3）管理手段小課堂——網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)2020年，我國網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)進一步完善，多項網(wǎng)絡(luò)安全法律法規(guī)面向社會公眾發(fā)布，我國網(wǎng)絡(luò)安全法律法規(guī)體系日臻完善。國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合制定和發(fā)布《網(wǎng)絡(luò)安全審查辦法》，以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全。8.3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行加密來保障其安全性，是一種主動的安全防御策略。常用的數(shù)據(jù)加密技術(shù)有私鑰加密和公鑰加密兩種技術(shù)。1.對稱加密2.非對稱加密8.3.3防火墻技術(shù)

防火墻本義是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻，而是指隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其實原理是一樣的，也就是防止災(zāi)難擴散。防火墻是一個或一組系統(tǒng)，能夠增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，只允許經(jīng)過授權(quán)的數(shù)據(jù)通過，并且本身必須能夠免于滲透。8.3.3防火墻技術(shù)1.防火墻的概念

防火墻（Firewall）是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，是一系列軟件、硬件等部件的組合；在邏輯上，防火墻是一個分離器，一個限制器，一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域（即Internet或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問，所以它一般連接在核心交換機與外網(wǎng)之間。8.3.3防火墻技術(shù)2.防火墻的基本功能

防火墻技術(shù)是通過有機結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計算機網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術(shù)，其基本功能如下表所示。功能說明保護端口信息保護并隱藏用戶計算機在Internet上的端口信息，使得黑客無法掃描到計算機端口，從而無法進入計算機發(fā)起攻擊過濾后門程序過濾掉木馬程序等后門程序保護個人資料保護計算機中的個人資料不被泄露，當有不明程序企圖改動或復(fù)制資料時，防火墻會加以阻止，并提醒計算機用戶提供安全狀況報告提供計算機的安全狀況報告，以便及時調(diào)整安全防范措施8.3.3防火墻技術(shù)3.防火墻的分類（1）軟件防火墻：主要服務(wù)于客戶端計算機，Windows操作系統(tǒng)本身就自帶防火墻，其他的如金山網(wǎng)鏢、瑞星防火墻、360安全衛(wèi)士、天網(wǎng)等都是目前比較流行的防火墻軟件。（2）硬件防火墻：硬件防火墻有多種，其中路由器可以起到防火墻的作用，代理服務(wù)器也同樣具備防火墻的功能。獨立防火墻設(shè)備比較昂貴，較著名的獨立防火墻生產(chǎn)廠商有華為、思科、D-Link、黑盾等。（3）芯片級防火墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防護墻速度更快，處理能力更強，性能更高。8.3.3防火墻技術(shù)4.防火墻的局限性（1）不能防范未經(jīng)過防火墻產(chǎn)生的攻擊；（2）不能防范由于內(nèi)部用戶不注意所造成的威脅；（3）不能防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸；（4）很難防止數(shù)據(jù)驅(qū)動式攻擊。感謝聆聽單元8網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全8.4防釣魚攻擊方法學(xué)習(xí)目標了解網(wǎng)絡(luò)釣魚的含義；能夠說出常見的網(wǎng)絡(luò)攻擊技術(shù)；能夠準確理解網(wǎng)絡(luò)釣魚的防范措施；8.4防釣魚攻擊方法

在傳統(tǒng)的利用系統(tǒng)漏洞和軟件漏洞進行入侵攻擊的可能性越來越小的前提下，網(wǎng)絡(luò)釣魚(Phishing)(passwordharvestingfishing)已經(jīng)逐漸成為黑客們趨之若鶩的攻擊手段，同時無論網(wǎng)絡(luò)相關(guān)的客戶端軟件還是大型的Web網(wǎng)站都開始發(fā)覺網(wǎng)絡(luò)釣魚已經(jīng)成為了一個嚴峻的問題，并積極進行防御。8.4.1網(wǎng)絡(luò)釣魚的含義

網(wǎng)絡(luò)釣魚屬于社會工程學(xué)攻擊方式之一，簡單的描敘就是通過偽造信息獲得受害者的信任并且響應(yīng)，由于網(wǎng)絡(luò)信息是呈爆炸性增長的，人們面對各種各樣的信息往往難以辨認真?zhèn)?，依托網(wǎng)絡(luò)環(huán)境進行釣魚攻擊是一種非常可行的攻擊手段。8.4.2網(wǎng)絡(luò)釣魚的形式網(wǎng)絡(luò)釣魚從攻擊角度上分為以下兩種：（1）通過偽造具有“概率可信度”的信息欺騙受害者，這里提到了“概率可信度”這個名詞，從邏輯上說就是有一定的概率使人信任并且響應(yīng)，從原理上說，攻擊者使用“概