《第六讲 网络管理与网络安全 技术》由会员分享,可在线阅读,更多相关《第六讲 网络管理与网络安全 技术(84页珍藏版)》请在金锄头文库上搜索。
1、第六讲 网络管理与网络安全技术,6.1网络管理,6.1.1 网络管理概述 1网络管理的定义 为保证网络系统能够持续、稳定、安全、可靠和高效地运行,对网络实施的一系列方法和措施。管理对象有硬件资源和软件资源。 任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,将结果显示给管理员并进行处理,从而控制网络中的设备、设施,工作参数和工作状态,以实现对网络的管理。,2网络管理的目标 减少停机时间,改进响应时间,提高设备利用率; 减少运行费用,提高效率; 减少或消除网络瓶颈; 使网络更容易使用; 增强网络安全。,答案:安全性,网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率
2、,改善网络性能、服务质量和_。,3网络管理员的职责 网络管理过程 包括数据收集、数据处理、数据分析和报告生成,这一过程可以是自动的,也可以是管理员的手工劳动。 网络管理员职责 担负着网络的规划、建设、维护、扩展、优化和故障检修等任务,答案:D,有关网络管理员的职责,下列哪种说法是不正确的? _。 A)网络管理员应该对网络的总体布局进行规划 B)网络管理员应该对网络故障进行检修 C)网络管理员应该对网络设备进行优化配置 D)网络管理员应该负责为用户编写网络应用程序,4.网络管理模型,网络管理者:运行在计算机操作系统之上的一组应用程序,负责从各代理处收集管理信息,进行处理,获取有价值的管理信息,达
3、到管理的目的。 代理:位于被管理的设备内部,是被管对象上的管理程序。 管理者和代理之间的信息交换方式: 从管理者到代理的管理操作 从代理到管理者的事件通知,答案:C,在因特网中,一般采用的网络管理模型是_。 A)浏览器/服务器 B)客户机/服务器 C)管理者/代理 D)服务器/防火墙,6.1.2 网络管理功能,包括5大功能: 配置管理 故障管理 性能管理 计费管理 安全管理,1配置管理,掌握和控制网络的配置信息,从而保证网络管理员可以跟踪、管理网络中各种设备的运行状态 配置管理的内容一般分为: 对设备的管理 对设备连接关系的管理,2故障管理,对网络中的问题或故障进行定位的过程 目标:自动监测网
4、络硬件和软件中的故障并通知用户,以便网络有效地运行 故障报告的形式: 通常采用的故障报告形式有文字、图形和声音信号等。 在图形报告中,一般采用下面的颜色方案: 绿色表示设备无错误运行; 黄色表示设备可能存在一个错误; 红色表示设备处于错误状态; 蓝色表示设备运行,但处于错误状态; 橙色表示设备配置不当; 灰色表示设备无信息; 紫色表示设备正在被查询。,故障管理的步骤: 发现故障 判断故障症状 隔离故障 修复故障 记录故障的检修过程及其结果,答案:B,在网络管理中,通常在图形报告中使用颜色指示网络设备的运行状态,在配色方案中,表示设备处于错误状态使用的颜色为_。 A)绿色 B)红色 C)黄色 D
5、)蓝色,答案:隔离,网络故障管理的一般步骤包括:发现故障、判断故障、_故障、修复故障、记录故障。,3性能管理,网络性能:主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。 性能管理目标:通过监控网络的运行状态调整网络性能参数来改善网络的性能,确保网络平稳运行。 从概念上讲,性能管理包括监视和调整两大功能,具体包括: 性能参数的收集和存储 性能参数的显示和分析 性能阈值的管理 性能调整,4计费管理,主要目的: 记录网络资源的使用,控制和监测网络操作的费用和代价。 主要作用: 能够测量和报告基于个人或团体用户的计费信息,分配资源并计算传输数据的费用,然后给用户开出账单 主要功能: 建立和
6、维护计费数据库; 建立和管理相应的计费策略; 限量控制; 信息查询,5安全管理,目标: 提供信息的隐蔽、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。 主要内容: 对网络资源以及重要信息的访问进行约束和控制 主要功能: 标识重要的网络资源; 确定重要的网络资源和用户集之间的映射关系; 监视对重要网络资源的访问; 记录对重要网络资源的非法访问; 信息加密管理。,答案:C,以下的网络管理功能中,哪一个不属于配置管理?_ A)初始化设备 B)关闭设备 C)记录设备故障 D)启动设备,答案:C,下面哪个网络管理功能使得网络管理人员可以通过改变网络设置来改善网络性能?_ A)配置管理
7、 B)计费管理 C)性能管理 D)故障管理,答案:D,以下有关网络管理功能的描述中,哪个是错误的?_ A)配置管理是掌握和控制网络的配置信息 B)故障管理是对网络中的故障进行定位 C)性能管理监视和调整工作参数,改善网络性能 D)安全管理是使网络性能维持在较好水平,6.1.3 网络管理协议,SNMP 简单网络管理协议,应用最广泛 CMISCMIP 公共管理信息服务/公共管理信息协议 OSI提供的网络管理协议簇 LMMP局域网个人管理协议 IEEE制定的局域网和城域网管理标准,用于管理物理层和数据链路层的OSI设备,它的基础是CMIP。 RMON远程监控协议 主要用于网络监视的,它是对SNMP的
8、补充,它定义了监视局域网通信的信息库,与SNMP协议配合可以提供更有效的管理性能。,1简单网管协议(SNMP),(1)SNMP版本 SNMP v1是事实上的网络管理工业标准,但在安全性和数据组织上存在一些缺陷。 SNMP v2是SNMP v1的增强版,在系统管理接口、协作操作、信息格式、管理体系结构和安全性几个方面有较大的改善。 SNMP v3在SNMP v2基础之上增加、完善了安全和管理机制。,(2)SNMP管理模型,网络管理站:负责管理代理和管理信息库,它以数据报表的形式发出和传送命令,从而达到控制代理的目的。 代理:收集被管理设备的各种信息并响应网络中SNMP服务器的要求,把它们传输到中
9、心的SNMP服务器的MIB数据库中。 管理信息库MIB:负责存储设备的信息,是SNMP分布式数据库的分支数据库。 SNMP协议:用于网络管理站与被管设备的网络管理代理之间交互管理信息。 两种信息交换机制: 轮询监控 Trap(陷阱),答案:代理,在一般网络管理模型中,一个管理者可以和多个_进行信息交换,实现对网络的管理。,2 CMIS/CMIP,CMIS/CMIP公共管理信息服务/公共管理信息协议,是OSI提供的网络管理协议簇 CIMS定义了每个网络组成部分提供的网络管理服务 CMIP是实现CIMS服务的协议 CMIS/CMIP采用管理者-代理模型 在电信管理网(TMN)中,管理者和代理之间的
10、所有的管理信息交换都是利用CMIS和CMIP实现的,答案:B,下面哪一种不是网络管理协议?_ A)SNMP B)LAPB C)CMIS/CMIP D)LMMP,答案:CMIP,在电信管理网中,管理者和代理之间的管理信息交换是通过CMIS和_实现的。,6.2 信息安全技术概述,6.2.1 信息安全的组成 1物理安全 在物理媒介层次上对存储和传输的信息加以保护,它是保护计算机网络设备、设施免遭地震、水灾和火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。保证网络信息系统各种设备的物理安全是整个网络信息系统安全的前提。,2安全控制 在操作系统和网络通信设备上对存储和传输信息的操作和
11、进程进行控制和管理,主要是在信息处理层次上对信息进行初步的安全保护。 3安全服务 在应用层对信息的保密性、完整性和来源真实性进行保护和认证,满足用户的安全需求,防止和抵御各种安全威胁和攻击。,6.2.2 信息安全系统的设计原则,木桶原则 信息均衡、全面地进行安全保护,提高整个系统的“安全最低点”的安全性能。 整体原则 有一整套安全防护、监测和应急恢复机制。 有效性与实用性原则 不能影响系统正常运行和合法用户的操作。,安全性评价原则 系统是否安全取决于系统的用户需求和具体的应用环境。 等级性原则 安全层次和安全级别。 动态化原则 整个系统内尽可能引入更多可变因素,并具有良好的扩展性。,答案:A,
12、有一种原则是对信息进行均衡、全面的防护,提高整个系统的“安全最低点”的安全性能,该原则称为_。 A)木桶原则 B)整体原则 C)等级性原则 D)动态化原则,6.2.3 信息技术安全性等级,可信计算机系统评估准则(TCSEC) 由美国国防部和国家标准技术研究所制订的,又称桔皮书。 信息技术安全评估准则(ITSEC) 由欧洲四国于1989年联合提出的,俗称白皮书。 通用安全评估准则(CC) 由美国国家标准技术研究所和国家安全局、欧洲四国(英、法、德、荷兰)以及加拿大等6国7方联合提出的,已成为国际标准ISO/IEC 15408。 美国信息安全联邦准则(FC) 计算机信息系统安全保护等级划分准则 我
13、国国家质量技术监督局也于1999年发布我国的国家标准,1可信计算机系统评估准则TCSEC,答案:D,下面哪些操作系统能够达到 C2 安全级别?_ . Windows 3.x .Apple System 7.x . Windows NT .NetWare 3.x A)和 B)和 C)和 D)和,2信息技术安全评测准则(ITSEC) 7个评估级别 安全性从低到高的顺序是E0、E1、E2、E3、E4、E5、E6 3通用安全评估准则(CC) 7个评估级别 从低到高分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7,4.计算机信息系统安全保护等级划分准则 第一级:用户自主保护级。它
14、的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己行为的合法性负责。 第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。,第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。 第五级:访问验证保护级。这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所
15、有访问活动。,6.3 信息安全分析与安全策略,6.3.1 信息安全的概念和模型 1网络安全的基本因素 保密性: 确保信息不暴露给未授权的实体或进程。 完整性: 只有得到允许的人才能修改数据,并能判别出数据是否已被篡改。 可用性: 得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 合法性: 每个想获得访问的实体都必须经过鉴别或身份验证。,2网络安全的组成 物理安全、人员安全、符合瞬时电磁脉冲辐射标准、数据安全 操作安全、通信安全、计算机安全、工业安全,答案:B,保护计算机网络设备免受环境事故的影响属于信息安全的哪个方面?_ A)人员安全 B)物理安全 C)数据安全
16、 D)操作安全,3网络安全模型,4网络安全的基本任务,(1)设计加密算法,进行安全性相关的转换; (2)生成算法使用的保密信息; (3)开发分发和共享保密信息的方法; (4)指定两个主体要使用的协议,并利用安全算法和保密信息来实现特定的安全服务。,6.3.2 安全威胁,安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。 某种攻击就是某种威胁的具体实现。 安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。 故意威胁又可进一步分为被动和主动两类。,1基本的威胁,信息泄漏或丢失 针对信息机密性的威胁,它指敏感数据在有意或无意中被泄漏出去或丢失 包括:信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或塔线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推
