網(wǎng)絡安全與網(wǎng)絡管理技術(shù).ppt

第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),2,本章學習要求:,了解：網(wǎng)絡安全的重要性。 掌握：密碼體制的基本概念及應用。 掌握：防火墻的基本概念。 掌握：網(wǎng)絡入侵檢測與防攻擊的基本概念與方法。 掌握：網(wǎng)絡文件備份與恢復的基本方法。 了解：網(wǎng)絡病毒防治的基本方法。 了解：網(wǎng)絡管理的基本概念與方法。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),3,9.1 網(wǎng)絡安全研究的主要問題 9.1.1 網(wǎng)絡安全的重要性,網(wǎng)絡安全問題已經(jīng)成為信息化社會的一個焦點問題； 每個國家只能立足于本國，研究自己的網(wǎng)絡安全技術(shù)，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡安全產(chǎn)業(yè)，才能構(gòu)筑本國的網(wǎng)絡與信息安全防范體系。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),4,9.1.2 網(wǎng)絡安全技術(shù)研究的主要問題,網(wǎng)絡防攻擊問題； 網(wǎng)絡安全漏洞與對策問題； 網(wǎng)絡中的信息安全保密問題； 防抵賴問題； 網(wǎng)絡內(nèi)部安全防范問題； 網(wǎng)絡防病毒問題； 網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),5,1.網(wǎng)絡防攻擊技術(shù),服務攻擊（application dependent attack） : 對網(wǎng)絡提供某種服務的服務器發(fā)起攻擊，造成該網(wǎng)絡的“拒絕服務”，使網(wǎng)絡工作不正常; 非服務攻擊（application independent attack） : 不針對某項具體應用服務，而是基于網(wǎng)絡層等低層協(xié)議而進行的，使得網(wǎng)絡通信設備工作嚴重阻塞或癱瘓。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),6,網(wǎng)絡防攻擊主要問題需要研究的幾個問題,網(wǎng)絡可能遭到哪些人的攻擊？ 攻擊類型與手段可能有哪些？ 如何及時檢測并報告網(wǎng)絡被攻擊？ 如何采取相應的網(wǎng)絡安全策略與網(wǎng)絡安全防護體系？,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),7,2.網(wǎng)絡安全漏洞與對策的研究,網(wǎng)絡信息系統(tǒng)的運行涉及： 計算機硬件與操作系統(tǒng)； 網(wǎng)絡硬件與網(wǎng)絡軟件； 數(shù)據(jù)庫管理系統(tǒng)； 應用軟件； 網(wǎng)絡通信協(xié)議。 網(wǎng)絡安全漏洞也會表現(xiàn)在以上幾個方面。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),8,3.網(wǎng)絡中的信息安全問題,信息存儲安全與信息傳輸安全 信息存儲安全 如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會 被未授權(quán)的網(wǎng)絡用戶非法使用； 信息傳輸安全 如何保證信息在網(wǎng)絡傳輸?shù)倪^程中不被泄露與不被攻擊；,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),9,信息傳輸安全問題的四種基本類型,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),10,4.防抵賴問題,防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不承認，或者是信息目的結(jié)點用戶接收到信息之后不認賬； 通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等方法，來確保網(wǎng)絡信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),11,5.網(wǎng)絡內(nèi)部安全防范,網(wǎng)絡內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡與信息安全有害的行為； 對網(wǎng)絡與信息安全有害的行為包括： 有意或無意地泄露網(wǎng)絡用戶或網(wǎng)絡管理員口令； 違反網(wǎng)絡安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡連接，造成系統(tǒng)安全漏洞； 違反網(wǎng)絡使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)； 違反網(wǎng)絡使用規(guī)定，越權(quán)修改網(wǎng)絡系統(tǒng)配置，造成網(wǎng)絡工作不正常； 解決來自網(wǎng)絡內(nèi)部的不安全因素必須從技術(shù)與管理兩個方面入手。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),12,6.網(wǎng)絡防病毒,引導型病毒 可執(zhí)行文件病毒 宏病毒 混合病毒 特洛伊木馬型病毒 Internet語言病毒,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),13,7.網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題,如果出現(xiàn)網(wǎng)絡故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復？ 如果出現(xiàn)網(wǎng)絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復？,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),14,9.1.3 網(wǎng)絡安全服務與安全標準 網(wǎng)絡安全服務應該提供以下基本的服務功能：,數(shù)據(jù)保密（data confidentiality） 認證（authentication） 數(shù)據(jù)完整（data integrity） 防抵賴（non-repudiation） 訪問控制（access control）,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),15,網(wǎng)絡安全標準,電子計算機系統(tǒng)安全規(guī)范，1987年10月 計算機軟件保護條例，1991年5月 計算機軟件著作權(quán)登記辦法，1992年4月 中華人民共和國計算機信息與系統(tǒng)安全保護條例， 1994年2月 計算機信息系統(tǒng)保密管理暫行規(guī)定，1998年2月 關(guān)于維護互聯(lián)網(wǎng)安全決定，全國人民代表大會常務 委員會通過，2000年12月,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),16,可信計算機系統(tǒng)評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網(wǎng)絡說明（TNI）； 可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1； D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),17,9.2 加密與認證技術(shù) 9.2.1 密碼算法與密碼體制的基本概念,數(shù)據(jù)加密與解密的過程,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),18,密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構(gòu)成要素，即加密/解密算法和密鑰； 傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制； 如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制； 密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學函數(shù)關(guān)系； 密碼算法是相對穩(wěn)定的。在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量； 在設計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),19,什么是密碼,密碼是含有一個參數(shù)k的數(shù)學變換，即 C = Ek（m） m是未加密的信息（明文） C是加密后的信息（密文） E是加密算法 參數(shù)k稱為密鑰 密文C是明文m 使用密鑰k 經(jīng)過加密算法計算后的結(jié)果； 加密算法可以公開，而密鑰只能由通信雙方來掌握。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),20,密鑰長度,密鑰長度與密鑰個數(shù),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),21,9.2.2 對稱密鑰（symmetric cryptography）密碼體系,對稱加密的特點,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),22,9.2.3 非對稱密鑰（asymmetric cryptography）密碼體系,非對稱密鑰密碼體系的特點,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),23,非對稱加密的標準,RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面； Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制； 目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有DiffieHellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等 。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),24,9.2.4 數(shù)字信封技術(shù),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),25,9.2.5 數(shù)字簽名技術(shù),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),26,9.2.6 身份認證技術(shù)的發(fā)展,身份認證可以通過3種基本途徑之一或它們的組合實現(xiàn)： 所知（knowledge）: 個人所掌握的密碼、口令； 所有（possesses）: 個人身份證、護照、信用卡、鑰匙； 個人特征（characteristics）:人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征； 新的、廣義的生物統(tǒng)計學是利用個人所特有的生理特征來設計的； 目前人們研究的個人特征主要包括：容貌、膚色、發(fā)質(zhì)、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習慣性簽字、打字韻律，以及在外界刺激下的反應等。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),27,9.3 防火墻技術(shù) 9.3.1 防火墻的基本概念,防火墻是在網(wǎng)絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件； 設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),28,防火墻通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡建立安全邊界（security perimeter）； 構(gòu)成防火墻系統(tǒng)的兩個基本部件是包過濾路由器（packet filtering router）和應用級網(wǎng)關(guān)（application gateway）； 最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網(wǎng)關(guān)組合而成； 由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),29,9.3.2 包過濾路由器,包過濾路由器的結(jié)構(gòu),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),30,路由器按照系統(tǒng)內(nèi)部設置的分組過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉(zhuǎn)發(fā)； 包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是： 源IP地址； 目的IP地址； 協(xié)議類型； IP選項內(nèi)容； 源TCP端口號； 目的TCP端口號； TCP ACK標識。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),31,包過濾的 工作流程,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),32,包過濾路由器作為防火墻的結(jié)構(gòu),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),33,假設網(wǎng)絡安全策略規(guī)定： 內(nèi)部網(wǎng)絡的E-mail服務器（IP地址為192.1.6.2，TCP端口號為25）可以接收來自外部網(wǎng)絡用戶的所有電子郵件； 允許內(nèi)部網(wǎng)絡用戶傳送到與外部電子郵件服務器的電子郵件； 拒絕所有與外部網(wǎng)絡中名字為TESTHOST主機的連接。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),34,包過濾規(guī)則表,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),35,9.3.3 應用級網(wǎng)關(guān)的概念,多歸屬主機（multihomed host） 典型的多歸屬主機結(jié)構(gòu),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),36,應用級網(wǎng)關(guān),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),37,應用代理（application proxy）,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),38,9.3.4 防火墻的系統(tǒng)結(jié)構(gòu),堡壘主機的概念 一個雙歸屬主機作為應用級網(wǎng)關(guān)可以起到防火墻作用； 處于防火墻關(guān)鍵部位、運行應用級網(wǎng)關(guān)軟件的計算機系統(tǒng)叫做堡壘主機。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),39,典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析,采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結(jié)構(gòu),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),40,包過濾路由器的轉(zhuǎn)發(fā)過程,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),41,S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),42,采用多級結(jié)構(gòu)的防火墻系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),43,9.4 網(wǎng)絡防攻擊與入侵檢測技術(shù) 9.4.1 網(wǎng)絡攻擊方法分析,目前黑客攻擊大致可以分為8種基本的類型： 入侵系統(tǒng)類攻擊； 緩沖區(qū)溢出攻擊； 欺騙類攻擊； 拒絕服務攻擊； 對防火墻的攻擊； 利用病毒攻擊； 木馬程序攻擊； 后門攻擊。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),44,9.4.2 入侵檢測的基本概念,入侵檢測系統(tǒng)（intrusion detection system，IDS）是對計算機和網(wǎng)絡資源的惡意使用行為進行識別的系統(tǒng)； 它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并且采取相應的防護手段。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),45,入侵檢測系統(tǒng)IDS的基本功能： 監(jiān)控、分析用戶和系統(tǒng)的行為； 檢查系統(tǒng)的配置和漏洞； 評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性； 對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡管理人員報警； 對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),46,入侵檢測系統(tǒng)框架結(jié)構(gòu),計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),47,9.4.3 入侵檢測的基本方法,對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能； 入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為： 異常檢測 誤用檢測 兩種方式的結(jié)合,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),48,9.5 網(wǎng)絡文件備份與恢復技術(shù) 9.5.1 網(wǎng)絡文件備份與恢復的重要性,網(wǎng)絡數(shù)據(jù)可以進行歸檔與備份； 歸檔是指在一種特殊介質(zhì)上進行永久性存儲； 網(wǎng)絡數(shù)據(jù)備份是一項基本的網(wǎng)絡維護工作； 備份數(shù)據(jù)用于網(wǎng)絡系統(tǒng)的恢復。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),49,9.5.2 網(wǎng)絡文件備份的基本方法,選擇備份設備 選擇備份程序 建立備份制度 在考慮備份方法時需要注意的問題： 如果系統(tǒng)遭到破壞需要多長時間才能恢復？ 怎樣備份才可能在恢復系統(tǒng)時數(shù)據(jù)損失最少？,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),50,9.6 網(wǎng)絡防病毒技術(shù) 9.6.1 造成網(wǎng)絡感染病毒的主要原因,70%的病毒發(fā)生在網(wǎng)絡上； 將用戶家庭微型機軟盤帶到網(wǎng)絡上運行而使網(wǎng)絡感染上病毒的事件約占41%左右； 從網(wǎng)絡電子廣告牌上帶來的病毒約占7%； 從軟件商的演示盤中帶來的病毒約占6%； 從系統(tǒng)維護盤中帶來的病毒約占6%； 從公司之間交換的軟盤帶來的病毒約占2%； 其他未知因素約占27%； 從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡病毒感染的主要原因在于網(wǎng)絡用戶自身。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),51,9.6.2 網(wǎng)絡病毒的危害,網(wǎng)絡病毒感染一般是從用戶工作站開始的，而網(wǎng)絡服務器是病毒潛在的攻擊目標，也是網(wǎng)絡病毒潛藏的重要場所； 網(wǎng)絡服務器在網(wǎng)絡病毒事件中起著兩種作用：它可能被感染，造成服務器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒； 網(wǎng)絡病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上； 當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),52,9.6.3 典型網(wǎng)絡防病毒軟件的應用,網(wǎng)絡防病毒可以從以下兩方面入手：一是工作站，二是服務器； 網(wǎng)絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網(wǎng)絡管理員負責清除病毒； 網(wǎng)絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描 ； 一個完整的網(wǎng)絡防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),53,9.6.4 網(wǎng)絡工作站防病毒方法,采用無盤工作站 使用單機防病毒卡 使用網(wǎng)絡防病毒卡,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),54,9.7 網(wǎng)絡管理技術(shù) 9.7.1 網(wǎng)絡管理的基本概念,網(wǎng)絡管理涉及以下三個方面： 網(wǎng)絡服務提供是指向用戶提供新的服務類型、增加網(wǎng)絡設備、提高網(wǎng)絡性能； 網(wǎng)絡維護是指網(wǎng)絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復； 網(wǎng)絡處理是指網(wǎng)絡線路、設備利用率數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡利用率的各種控制。,計算機網(wǎng)絡第9章 網(wǎng)絡安全與網(wǎng)絡管理技術(shù),55,9.7.2 OSI管理功能域,配置管理（configuration manage