《国三网络笔试 第七章》由会员分享,可在线阅读,更多相关《国三网络笔试 第七章(11页珍藏版)》请在金锄头文库上搜索。
1、7.1.1 基本概念1)网络管理的定义网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解网络状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节,从而提高性能,保证服务。2)网络管理对象计算机网络管理涉及网络中的各种资源,可分为两类:硬件资源和软件资源。硬件资源是指物理介质、计算机设备和网络互联设备。软件资源主要包括操作系统、应用软件和通信软件。3)网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。7.1.2 网络管理的功能五大功能是:配置管理、故障管理、计费管理、性能管理和安全管
2、理 1)配置管理功能包括资源清单管理、资源开通以及业务开通。2)故障管理的主要任务是发现和排除网络故障。网络故障管理包括检测故障、隔离故障和纠正故障 3 个方面。3)计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价,它可以估算出用户使用网络资源可能需要的费用和代价。4)性能管理的目的是维护网络质量和网络运营效率。5)安全管理采用信息安全措施保护网络中的系统、数据以及业务。其目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰。7.1.3 网络管理模型网络管理的基本模型在网络管理中, 一般采用网络管理模型,网络管理模型的核心是一对相互通信的系统管理实体
3、,它采用一种独特的方式使两份个管理进程之间相互作用,即管理进程与一个远程系统相互作用来实现对远程资源的控制。前者被称为网络管理者,后者被称为网管代理。管理者和代理之间的信息交换可以分两种:从管理到代理的管理操作和从代理到管理的事件通知。7.1.4 网络管理协议网络管理系统中最重要的部分就是网络管理协议,它定义了网络管理者与网管代理间的通信方法。1)SNMP 协议SNMP 的体系结构由 SNMP 管理者 和 SNMP 代理者 两部分组成,每一个支持 SNMP 的网络设备中都包含一个代理。代理随时记录网络设备的各种信息。网络管理程序再通过 SNMP 通信协议收集代理所记录的信息。从被管理设备中收集
4、数据有两种方法:一种是轮询方法,另一种是基于中断的方法。2)CMIP 协议7.2.1 信息安全的概念信息安全要实现的目标要有以下几个方面:真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。完整性:保证数据的一致性,防止数据被非法用户篡改。可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。可控制性:对信息的传播及内容具有控制能力。可审查性:对出现的网络安全问题能够提供调查的依据和手段。7.2.2 信息安全策略信息安全策略是指为保证提供一
5、定级别的安全保护必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理、法律约束和安全教育。7.2.3 信息安全性等级这实现对网络安全性的定性评价,美国国防部所属的国家计算机安全中心在 20 世纪 90 年你提出了网络安全性标准,即可信任计算机标准评估准则。为使系统免受攻击,应对不同的安全级别,硬件、软件和存储的信息实施不同的安全保护。网络安全性标准将网络安全性等级划分为 A、B、C、D 共 4 类,其中,A 类安全等级最高 D类安全等级最低D1 最小的保护 保护措施很小,没有安全功能C1 选择的安全保护 有选择的存取控制,用户与数据分离,数据保护以用户组为单位C2 受控的访
6、问控制 存取控制以用户为单位,广泛的审计信息系统的安全保护分为 5 个等级:第一级为自主保护级,适用于的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益产生一定的影响,但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级,适用于涉及国家安全、社会秩
7、序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为声控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。7.3.1 网络安全的基本概念网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或设备,使其免受非授权使用或访问。它的保护内容包括:保护信息和资源;保护客户机和用户;保证私有性。1)信息的存储安全就是指信息在静态存放状态下的安全,一
8、般通过设置访问权限、身份识别、局部隔离等措施来保证。2)一个完整的网络安全系统至少包括 3 类措施社会的法律政策、企业的规章制度及网络安全教育。技术方面的措施,如防火墙技术、防病毒、信息加密、身份认证以及受权等。审计与管理措施,包括技术与社会措施。主要有实时监控、提供安全策略改变的能力以及对安全系统实施漏洞检查等。7.3.2 OSI 安全柜架OSI 框架主要关注 3 部分:安全攻击、安全机制和安全服务。1、安全攻击1)被动攻击被动攻击的特性是对传输进行窃听和监测.攻击者的目标是获得传输的信息.信息内容泄露和流量分析就是两种被动攻击.信息内容泄露攻击很容易理解.第二种被动攻击是流量分析.被动攻击
9、由于不涉及对数据的更改,因而很难察觉.然而,通过加密手段阻止这种攻击却是可行的.因此处理被动攻击的重点是预防,而不是检测.2)主动攻击主去攻击包括对数据流行篡改或伪造数据流,可分为 5 类:伪装,重放,消息篡改和公布式拒绝服务.主动攻击与被动攻击相反.被动攻击虽然难以检测,但是可以预防,而主动攻击却难以防止(因为检测做需要保护所有的物理通信设施),但容易检测,所以重点在于检测并从破坏中恢复.3)服务攻击与非服务攻击从网络高层的角度划分,攻击方法可以概括地分为两大类:服务攻击与非服务攻击.服务攻击是针对某种特定网络服务的攻击,如针对 E-mail,FTP,HTTP 等服务的专门攻击.非服务攻击不
10、针对某项具体应用服务,而是基于网络等底层协议进行的.TCP/IP 协议(尤其是IPv4)自身安全机制的不足这攻击提供了方便之门,如源路由攻击和地址欺骗都属于这一类.与服务攻击相比,非服务攻击与特定服务无关,往往利用协议或操作系统的漏洞来达到攻击的目的,更为隐蔽,而且也是常常被忽略的方面,因而被认为是一种更为有效的攻击手段.2、安全机制用来保护系统免受侦听,组织安全攻击及恢复系统的机制称为安全机制.安全机制可分两类:一类是在特定的协议层实现的,而另一类不属于任何的协议层或安全服务.7.3.3 网络安全模型通过定义 Internet 上从源到宿的路由以及通信主体共同使用的通信协议(例如 TCP/I
11、P)来建立逻辑信息通道.7.4 加密技术7.4.1 密码学基本术语原始的消息称为明文,而加密后的消息称为密文.从明文到密文的变换过程称为加密,从密文到明文的变换过程称为解密.2、密码分析学攻击密码体制一般有两种方法.密码分析学:密码分析 学的攻击信赖于算法的性质和明文的一般特征或某些明密文对。穷举攻击:攻击者对一条密文尝试所有可能的密钥,直到把它转化为可读的有意义的明文。有些情况下,攻击甚至不知道加密算法,但通常假设敌手知道。在这情况下,一种可能的攻击是试遍所有可能密钥的穷举攻击。3、代换与置换技术代换和置换是几乎所有的对称加密都要用到的两种基本技巧。代换法是将明文字母替换成其他字母、数字或符
12、号的方法。如果把明文看做是二进制序列,那么代换就是用密文位串来代换明文位串。典型的算法包括 Caesar 密码、单位代换密码、playfair 密码、Hill 密码、多表代换密码以及一次一密等。7.4.2 对称密码1、对称密码的模型对称加密方案有 5 个基本成分。明文:加密算法:密钥:密文:解密算法:2、数据加密标准使用最广泛的加密体制是数据加密标准(DES)。DES 采用了 64 位的分组长度和 56 位的密钥长度,将 64 位的输入进行一系列变换得到 64 位的输出。解密使用了机同的步骤和相同的密钥。3、其他常见的对称加密算法三重 DESDES 在穷举攻击之下相对比较脆弱,因此有人提出了
13、3DSE 算法:使用多个密钥对 DES 进行三次加密。有些基于 Internet 的应用已经采纳了这种三密钥的 3DES,例如,后面讨论的 PGP和 S/MINE。高级加密标准(AES)由于用软件实现 3DES 的速度比较慢,放 NIST 在 1997 年公开征集新的高级加密标准Blowfish 算法Blowfish 算法是由 Bruce Schneier 设计的一种对称分组密码,具有快速、紧凑、简单、安全性可变等特点。RC5RC5 算法是 Ron Rivest 设计的一种对称加密算法。它是参数可变的分组密码算法,3 个可变参数是:分组大小、密钥大小和加密轮数。在此算法中使用了 3 种运算:异
14、或、加和循环。7.4.3 公钥密码1、公钥密码体制公钥算法依赖于一个加密密钥和一个与之相关但不相同的解密密钥。这些算法都具有一个重要特点是:仅根据密码算法和加密密钥来确定解密在计算上是不可行的。另外,对于有些加密算法(如 RSA)而言:两个密钥当中的任何一个都可以用来加密,另一个用来解密。2、公钥密码体制的应用公钥密码体制的应用可分为 3 种加密/解密:发送方用接收的公钥对消息加密。数字签名:发送方用其私钥对消息“签名”。签名可以通过对整条消息加密或者对消息的一个小的数据块加密来产生,其中小的数据块是整条消息的函数。密钥交换:通信双方交换会话密钥。7.4.4 密钥管理1、密钥的分发采用的解决方
15、案是使用双方都信任的密钥分发中心。密钥分发中心(Key Distribution Center,KDC)是一个独立的可信网络实体,是一个服务器,它同每一个注册用户共享不同的秘密对称密钥。2、密钥认证对于公共密钥加密,通信实体必须先交换公共密钥。认证中心(Certification Arthority,CA)验证一个公共密钥是否属于一个特殊实体(一个人或者一个网络实体)。认证中心(CA)负责将公共密钥和特定实体进行绑定,它的工作证明身份的真实性和发放证书。这个证书由认证中心进行数字签名。7.5 认证技术在信息安全领域中,常见的信息保护手段大致可以分为加密和认证两大类。加密是为了防止人获得机密信息
16、;认证是为了防止敌人的主动攻击,包括检验信息的真伪及防止信息在通信过程中被篡改、删除、插入、伪造、延迟和重放等。认证主要包括 3 个方面:消息认证、数字签名和身份认证。消息认证就是验证所收到的消息确实是来自真正的发送方并且是未被修改过的,也可以验证消息的顺序和及时性;数字签名模拟文件中的亲笔签名或印章以保证文件的真实性;身份认证用于鉴别用户的身份是否是合法用户。7.5.1 消息认证1、消息认证的概念消息认证就是使意定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验。消息认证的内容应该包括:证实消息的信源和信宿;消息内容是否曾受到偶然或有意的篡改;消息的序号和时间性是否正确。总之,消息认证使接收者能识别信息源、信息内容的真伪、时间性和意定的信宿。2、消息认证的方法认证信息的来源 认证信息的完整性认证信息的序号和时间3、消息认证的模式:单向验证 双向验证4、认证函数:信息加密函数信息认证码散列函数7.5.2 数字签名1、数字签名的需求消息认证用来保护通信双方免受任何第三
