《计算机网络安全与网络管理》由会员分享,可在线阅读,更多相关《计算机网络安全与网络管理(74页珍藏版)》请在金锄头文库上搜索。
1、1河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全本章学习要求本章学习要求:了解了解:网络安全的重要性网络安全的重要性 掌握掌握:网络安全技术研究的基本问题:网络安全技术研究的基本问题 掌握:网络安全策略制定的方法与基本内容掌握:网络安全策略制定的方法与基本内容 了解了解:网络安全问题的鉴别的基本概念网络安全问题的鉴别的基本概念 掌握:网络防火墙的基本概念掌握:网络防火墙的基本概念 了解:网络文件的备份与恢复的基本方法了解:网络文件的备份与恢复的基本方法 了解:网络防病毒的基本方法了解:网络防病毒的基本方法 掌握:网络管理的基本概念掌握:网络管理的基本概念
2、 第第九九章章 网络安全与网络管理网络安全与网络管理2河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全引言引言-事件事件2010年十大互联网安全事件年十大互联网安全事件2011年十大互联网安全事件年十大互联网安全事件2012年十大安全趋势年十大安全趋势3河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.1 网络安全的重要性网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题;网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,每个国家只能立足于本国,研究自己的网络安
3、全技术,培养自己的专门人才,发展自己的网络安全产业,才培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。能构筑本国的网络与信息安全防范体系。4河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.2 网络安全技术研究的基本问题网络安全技术研究的基本问题 9.2.1 构成对网络安全威胁的主要因素与相关技术的研究构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题网络防攻击问题 网络安全漏洞与对策问题网络安全漏洞与对策问题网络中的信息安全保密问题网络中的信息安全保密问题网络内部安全防范问题网络内部安全防范问题 网络防病毒问题
4、网络防病毒问题 网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题5河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络防攻击问题网络防攻击问题服务攻击服务攻击: : 对网络提供某种服务的服务器发起攻击,造成该网络对网络提供某种服务的服务器发起攻击,造成该网络的的“拒绝服务拒绝服务”,使网络工作不正常,使网络工作不正常; ;非服务攻击非服务攻击: : 不针对某项具体应用服务,而是基于网络层等低层协不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。议而进行的,使得网络通信设备工作严重阻塞或瘫痪。6河北
5、工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络防攻击主要问题需要研究的几个问题网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?攻击类型与手段可能有哪些?如何及时检测并报告网络被攻击?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?如何采取相应的网络安全策略与网络安全防护体系?7河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络安全漏洞与对策的研究网络安全漏洞与对策的研究网络信息系统的运行涉及到:网络信息系统的运行涉及到:计
6、算机硬件与操作系统计算机硬件与操作系统网络硬件与网络软件网络硬件与网络软件数据库管理系统数据库管理系统应用软件应用软件网络通信协议网络通信协议网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。 8河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络中的信息安全保密信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用;信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击; 9河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全数据加密与
7、解密数据加密与解密将明文变换成密文的过程称为加密;将明文变换成密文的过程称为加密;将密文经过逆变换恢复成明文的过程称为解密。将密文经过逆变换恢复成明文的过程称为解密。 10河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络内部安全防范问题网络内部安全防范问题网络内部安全防范是防止内部具有合法身份的用户有网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括:对网络与信息安全有害的行为包括:有意或无意地泄露网络用户或网络管理员口令;有意或无意地泄露网络
8、用户或网络管理员口令;违反网络安全规定,绕过防火墙,私自和外部网络连接,造违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;成系统安全漏洞;违反网络使用规定,越权查看、修改和删除系统文件、应用违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;程序及数据;违反网络使用规定,越权修改网络系统配置,造成网络工作违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;不正常;解决来自网络内部的不安全因素必须从技术与管理两解决来自网络内部的不安全因素必须从技术与管理两个方面入手。个方面入手。11河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通
9、讯与信息安全网络防病毒问题网络防病毒问题 目前,目前,70%的病毒发生在计算机网络上;的病毒发生在计算机网络上;连网微型机病毒的传播速度是单机的连网微型机病毒的传播速度是单机的20倍,网络服倍,网络服务器消除病毒所花的时间是单机的务器消除病毒所花的时间是单机的40倍;倍;电子邮件病毒可以轻易地使用户的计算机瘫痪,有电子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。些网络病毒甚至会破坏系统硬件。 12河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据
10、丢失,数据能不能被恢复如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?金可以提供,但是原有系统的数据能不能恢复?13河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁 计算机网络上的通信面临以下的四种威胁:计算机网络上的通信面临以下的四种威胁: (1) 截获截获从网络上窃听他人的通信内容。从网络上窃听他人的通信内容。 (2) 中断中断有意中断他人在网络上的通信。有
11、意中断他人在网络上的通信。 (3) 篡改篡改故意篡改网络上传送的报文。故意篡改网络上传送的报文。 (4) 伪造伪造伪造信息在网络上传送。伪造信息在网络上传送。截获信息的攻击称为截获信息的攻击称为被动攻击被动攻击而更改信息和拒绝用户使用资源的攻击称为而更改信息和拒绝用户使用资源的攻击称为主动攻击主动攻击。14河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全对网络的被动攻击和主动攻击对网络的被动攻击和主动攻击 截获篡改伪造中断被动攻击主 动 攻 击目的站源站源站源站源站目的站目的站目的站15河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网
12、络通讯与信息安全被动攻击和主动攻击被动攻击和主动攻击在在被被动动攻攻击击中中,攻攻击击者者只只是是观观察察和和分分析析某某一一个个协协议议数数据单元据单元 PDU 而不干扰信息流。而不干扰信息流。主主动动攻攻击击是是指指攻攻击击者者对对某某个个连连接接中中通通过过的的 PDU 进进行行各各种处理。种处理。更改报文流 拒绝报文服务 伪造连接初始化 16河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.2.3 网络安全服务的主要内容网络安全服务的主要内容 网络安全服务应该提供的基本服务功能网络安全服务应该提供的基本服务功能:数据保密(数据保密(data co
13、nfidentiality)认证(认证(authentication) 数据完整(数据完整(data integrity) 防抵赖防抵赖(non-repudiation) 访问控制(访问控制(access control)17河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.2.4 网络安全标准网络安全标准 电子计算机系统安全规范电子计算机系统安全规范,1987年年10月月计算机软件保护条例计算机软件保护条例,1991年年5月月计算机软件著作权登记办法计算机软件著作权登记办法,1992年年4月月中华人民共和国计算机信息与系统安全保护条例中华人民共和国计算
14、机信息与系统安全保护条例, 1994年年2月月计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定,1998年年2月月关于维护互联网安全决定关于维护互联网安全决定,全国人民代表大会常,全国人民代表大会常 务委员会通过,务委员会通过,2000年年12月月18河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全安全级别的分类安全级别的分类 可信计算机系统评估准则可信计算机系统评估准则TC-SEC-NCSC是是1983年公布年公布的,的,1985年公布了可信网络说明(年公布了可信网络说明(TNI););可信计算机系统评估准则将计算机系统安全等级分为可信计算机
15、系统评估准则将计算机系统安全等级分为4类类7个等级,即个等级,即D、C1、C2、B1、B2、B3与与A1;D级系统的安全要求最低,级系统的安全要求最低,A1级系统的安全要求最高。级系统的安全要求最高。19河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.3 网络安全策略的设计网络安全策略的设计 企业内部网有哪些网络资源与服务需要提供给外部用企业内部网有哪些网络资源与服务需要提供给外部用户访问?户访问?企业内部用户有哪些需要访问外部网络资源与服务?企业内部用户有哪些需要访问外部网络资源与服务?可能对网络资源与服务安全性构成威胁的因素有哪些可能对网络资源与服
16、务安全性构成威胁的因素有哪些?哪些资源需要重点保护?哪些资源需要重点保护?可以采取什么方法进行保护?可以采取什么方法进行保护?发现网络受到攻击之后如何处理?发现网络受到攻击之后如何处理?20河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.3.1 网络安全策略与网络用户的关系网络安全策略与网络用户的关系 网络安全策略包括技术与制度两个方面。只有将二者网络安全策略包括技术与制度两个方面。只有将二者结合起来,才能有效保护网络资源不受破坏;结合起来,才能有效保护网络资源不受破坏; 在制定网络安全策略时,一定要注意限制的范围;在制定网络安全策略时,一定要注意限制
17、的范围;网络安全策略首先要保证用户能有效地完成各自的任网络安全策略首先要保证用户能有效地完成各自的任务同时,也不要引发用户设法绕过网络安全系统,钻务同时,也不要引发用户设法绕过网络安全系统,钻网络安全系统空子的现象;网络安全系统空子的现象;一个好的网络安全策略应能很好地解决网络使用与网一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾,应该使网络管理员与网络用户都乐于络安全的矛盾,应该使网络管理员与网络用户都乐于接受与执行。接受与执行。 21河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.3.2 制定网络安全策略的两种思想制定网络安全策略的两种
18、思想 制定网络安全策略的两种思想:制定网络安全策略的两种思想:一是凡是没有明确表示允许的就要被禁止,二是凡是没有明确表示禁止的就要被允许;在网络安全策略上一般采用第一种方法,明确地限定在网络安全策略上一般采用第一种方法,明确地限定用户在网络中访问的权限与能够使用的服务;用户在网络中访问的权限与能够使用的服务;符合于规定用户在网络访问符合于规定用户在网络访问“最小权限最小权限”的原则,给的原则,给予用户能完成任务所予用户能完成任务所“必要必要”的访问权限与可以使用的访问权限与可以使用的服务类型,又便于网络的管理。的服务类型,又便于网络的管理。 22河北工业大学经济管理学院河北工业大学经济管理学院
19、 网络通讯与信息安全网络通讯与信息安全9.3.3 网络用户组成、网点结构与网络安全策略的关系网络用户组成、网点结构与网络安全策略的关系 要维护网络系统的有序运行,还必须规定网络管理员要维护网络系统的有序运行,还必须规定网络管理员与网络用户各自的责任;与网络用户各自的责任;网络安全问题来自外部、内部两个方面;网络安全问题来自外部、内部两个方面;任何一个网点的内部网络安全策略的变化都会影响到任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用,这就存在多个网点之间另一个相关网点用户的使用,这就存在多个网点之间的网络安全与管理的协调问题;的网络安全与管理的协调问题;多个网点之间要相
20、互访问,因此带来了内部用户与外多个网点之间要相互访问,因此带来了内部用户与外部用户两方面的管理问题。部用户两方面的管理问题。 23河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.3.4 网络安全教育与网络安全策略网络安全教育与网络安全策略 要求网络管理员与网络用户能够严格地遵守网络管理规要求网络管理员与网络用户能够严格地遵守网络管理规定与网络使用方法,正确地使用网络;定与网络使用方法,正确地使用网络;要求从技术上对网络资源进行保护;要求从技术上对网络资源进行保护;如果网络管理员与网络用户不能严格遵守网络管理条例如果网络管理员与网络用户不能严格遵守网络管
21、理条例与使用方法,再严密的防火墙、加密技术也无济于事;与使用方法,再严密的防火墙、加密技术也无济于事;必须正确地解决网络安全教育与网络安全制度之间的关必须正确地解决网络安全教育与网络安全制度之间的关系,切实做好网络管理人员与网络用户的正确管理与使系,切实做好网络管理人员与网络用户的正确管理与使用网络的培训,从正面加强网络安全教育。用网络的培训,从正面加强网络安全教育。 24河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.3.5 网络安全策略的修改、完善与网络安全制度的发布网络安全策略的修改、完善与网络安全制度的发布 Internet网点与网点与Intr
22、anet网点的网络管理中心的网络管网点的网络管理中心的网络管理员,对网点的日常网络管理、网络安全策略与使用理员,对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任;制度的修改和发布负有全部责任;当网点的网络安全策略的修改涉及其他网点时,相关当网点的网络安全策略的修改涉及其他网点时,相关网点的网络管理员之间需要通过协商,协调网络管理、网点的网络管理员之间需要通过协商,协调网络管理、网络安全策略与使用制度的修改问题;网络安全策略与使用制度的修改问题;网络管理中心应该定期或不定期地发布网点的网络安网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度
23、的变化全策略、网络资源、网络服务与网络使用制度的变化情况。情况。 25河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4 网络安全策略制定的方法与基本内容网络安全策略制定的方法与基本内容 设计网络安全策略设计网络安全策略需要回答以下问题需要回答以下问题:打算要保护哪些网络资源?打算要保护哪些网络资源? 哪类网络资源可以被哪些用户使用?哪类网络资源可以被哪些用户使用?什么样的人可能对网络构成威胁?什么样的人可能对网络构成威胁?如何保证能可靠及时地实现对重要资源的保护?如何保证能可靠及时地实现对重要资源的保护?在网络状态变化时,谁来负责调整网络安全策略?在
24、网络状态变化时,谁来负责调整网络安全策略?26河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4.1 网络资源的定义网络资源的定义 分析网络中有哪些资源是重要的,什么人可以使用这分析网络中有哪些资源是重要的,什么人可以使用这些资源,哪些人可能会对资源构成威胁,以及如何保些资源,哪些人可能会对资源构成威胁,以及如何保护这些资源;护这些资源;对可能对网络资源构成威胁的因素下定义,以确定可对可能对网络资源构成威胁的因素下定义,以确定可能造成信息丢失和破坏的潜在因素,确定威胁的类型;能造成信息丢失和破坏的潜在因素,确定威胁的类型;了解对网络资源安全构成威胁的来
25、源与类型,才能针了解对网络资源安全构成威胁的来源与类型,才能针对这些问题提出保护方法。对这些问题提出保护方法。27河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4.2 网络使用与责任的定义网络使用与责任的定义 定义网络使用与责任需要回答以下问题定义网络使用与责任需要回答以下问题: 允许哪些用户使用网络资源;允许哪些用户使用网络资源;允许用户对网络资源进行哪些操作;允许用户对网络资源进行哪些操作;谁来批准用户的访问权限;谁来批准用户的访问权限;谁具有系统用户的访问权限;谁具有系统用户的访问权限;网络用户与网络管理员的权利、责任是什么。网络用户与网络管理
26、员的权利、责任是什么。 28河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4.3 用户责任的定义用户责任的定义 网络攻击者要入侵网络,第一关是要通过网络访问控网络攻击者要入侵网络,第一关是要通过网络访问控制的用户身份认证系统;制的用户身份认证系统;保护用户口令主要需要注意两个问题。一是选择口令,保护用户口令主要需要注意两个问题。一是选择口令,二是保证口令不被泄露,并且不容易被破译;二是保证口令不被泄露,并且不容易被破译;网络用户在选择自己的口令时,应该尽量避免使用自网络用户在选择自己的口令时,应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码
27、等容易己与亲人的名字、生日、身份证号、电话号码等容易被攻击者猜测的字符或数字序列。被攻击者猜测的字符或数字序列。29河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全用户责任主要包括以下基本内容用户责任主要包括以下基本内容:用户只使用允许使用的网络资源与服务,不能采用不正当手段使用户只使用允许使用的网络资源与服务,不能采用不正当手段使用不应使用的资源;用不应使用的资源; 用户了解在不经允许让其他用户使用他的账户后可能造成的危害用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任;与他应该承担的责任; 用户了解告诉他人自己的账户密码或无意
28、泄露账户密码后可能造用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任;成的后果以及用户要承担的责任; 用户了解为什么需要定期或不定期地更换账户密码;用户了解为什么需要定期或不定期地更换账户密码;明确用户数据是用户自己负责备份,还是由网络管理员统一备份,明确用户数据是用户自己负责备份,还是由网络管理员统一备份,凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;明白泄露信息可能危及网络系统安全,了解个人行为与系统安全明白泄露信息可能危及网络系统安全,了解个人行为与系统安全的关系。的关系。 30河北
29、工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4.4 网络管理员责任的定义网络管理员责任的定义 网络管理员对网络系统安全负有重要的责任;网络管理员对网络系统安全负有重要的责任;网络管理员需要对网络结构、网络资源分布、网络用网络管理员需要对网络结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。户类型与权限以及网络安全检测方法有更多知识。31河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络管理员应该注意的几个问题网络管理员应该注意的几个问题:对网络管理员的口令严格保密对网络管理员的口令严格保密 网
30、络管理员在建立网络文件系统、用户系统、管理系统与安全系网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力,网络管理员口令的泄露对网络安全会构成统方面有特殊的权力,网络管理员口令的泄露对网络安全会构成极其严重的威胁。极其严重的威胁。 对网络系统运行状态要随时进行严格的监控对网络系统运行状态要随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备,对网络网络管理员必须利用各种网络运行状态监测软件与设备,对网络系统运行状态进行监视、记录与处理。系统运行状态进行监视、记录与处理。 对网络系统安全状况进行严格的监控对网络系统安全状况进行严格的监控 了解网络系统所使用
31、的系统软件、应用软件,以及硬件中可能存了解网络系统所使用的系统软件、应用软件,以及硬件中可能存在的安全漏洞,了解在其他网络系统中出现的各种新的安全事件,在的安全漏洞,了解在其他网络系统中出现的各种新的安全事件,监视网络关键设备、网络文件系统与各种网络服务的工作状态,监视网络关键设备、网络文件系统与各种网络服务的工作状态,审计状态记录,发现疑点问题与不安全因素立即处理。审计状态记录,发现疑点问题与不安全因素立即处理。32河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.4.5 网络安全受到威胁时的行动方案网络安全受到威胁时的行动方案 保护方式保护方式 当网
32、络管理员发现网络安全遭到破坏时,立即制止非当网络管理员发现网络安全遭到破坏时,立即制止非法入侵者的活动,恢复网络的正常工作状态,并进一法入侵者的活动,恢复网络的正常工作状态,并进一步分析这次安全事故的性质与原因,尽量减少这次安步分析这次安全事故的性质与原因,尽量减少这次安全事故造成的损害;全事故造成的损害;跟踪方式跟踪方式 发现网络存在非法入侵者的活动时,不是立即制止入发现网络存在非法入侵者的活动时,不是立即制止入侵者的活动,而是采取措施跟踪非法入侵者的活动,侵者的活动,而是采取措施跟踪非法入侵者的活动,检测非法入侵者的来源、目的、非法访问的网络资源,检测非法入侵者的来源、目的、非法访问的网络
33、资源,判断非法入侵的危害,确定处理此类非法入侵活动的判断非法入侵的危害,确定处理此类非法入侵活动的方法。方法。33河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.5 网络安全问题的鉴别网络安全问题的鉴别 鉴别网络安全问题可以从鉴别网络安全问题可以从5个方面进行个方面进行:访问点(访问点(access points)系统配置(系统配置(system configuration)软件缺陷(软件缺陷(software bugs)内部威胁(内部威胁(insider threats)物理安全性(物理安全性(physical security) 34河北工业大学经
34、济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络访问点的结构网络访问点的结构 35河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.6 网络防火墙技术网络防火墙技术 8.6.1 防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统,它包防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。权用户使用,防止内部受到外部非法用户的攻击。 36河北工业大学经济
35、管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全防火墙的位置与作用防火墙的位置与作用 37河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全防火墙在互连网络中的位置防火墙在互连网络中的位置 G内联网可信赖的网络不可信赖的网络分组过滤路由器 R分组过滤路由器 R应用网关外局域网内局域网防火墙因特网38河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全防火墙通过检查所有进出内部网络的数据包,检查数防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为据包的合法性,判断
36、是否会对网络安全构成威胁,为内部网络建立安全边界内部网络建立安全边界;构成防火墙系统的两个基本部件是:构成防火墙系统的两个基本部件是:包过滤路由器(包过滤路由器(packet filtering router)应用级网关(应用级网关(application gateway);最简单的防火墙由一个包过滤路由器组成,而复杂的最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;防火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多由于组合方式有多种,因此防火墙系统的结构也有多种形式种形式。39河北工业大学经济管理学院河北工
37、业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全防火墙技术一般分为两类防火墙技术一般分为两类 (1) 网络级防火墙网络级防火墙用来防止整个网络出现外来非法的入侵。属于这用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。户的登录是否合法。(2) 应用级防火墙应用级防火墙从应用程序来进行接入控制。通常使用应用网关从应用程序来进行接入控制。通常使用应用网
38、关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止的应用,而阻止 FTP 应用的通过。应用的通过。40河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全防火墙防火墙41河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.6.2 防火墙的主要类型防火墙的主要类型 分组过滤路由器分组过滤路由器 分组过滤路由器按照系统内部设置的包过滤规则(即分组过滤路由器按照系统内部设置的包过滤规则(即访问控制表),检查每个分组的源访问控制表),检查每个分组的源
39、IP地址、目的地址、目的IP地地址,决定该分组是否应该转发;址,决定该分组是否应该转发;分组过滤规则一般是基于部分或全部报头的内容。例分组过滤规则一般是基于部分或全部报头的内容。例如,对于如,对于TCP报头信息可以是:源报头信息可以是:源IP地址地址、目的目的IP地地址、协议类型址、协议类型 、IP选项内容选项内容 、源源TCP端口号端口号 、目的目的TCP端口号端口号 、TCP ACK标识等。标识等。42河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全分组过滤路由器的结构分组过滤路由器的结构43河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与
40、信息安全网络通讯与信息安全应用网关应用网关 多归属主机又称为多宿主主机,它具有两个或两个以多归属主机又称为多宿主主机,它具有两个或两个以上的网络接口,每个网络接口与一个网络连接,具有上的网络接口,每个网络接口与一个网络连接,具有在不同网络之间交换数据的路由能力。在不同网络之间交换数据的路由能力。如果多归属主机连接了两个网络,它可以叫做双归属如果多归属主机连接了两个网络,它可以叫做双归属主机。只要能确定应用程序访问控制规则,就可以采主机。只要能确定应用程序访问控制规则,就可以采用双归属主机作为应用级网关,在应用层过滤进出内用双归属主机作为应用级网关,在应用层过滤进出内部网络特定服务的用户请求与响
41、应。部网络特定服务的用户请求与响应。应用代理应用代理是应用网关的另一种形式,它是以存储转发是应用网关的另一种形式,它是以存储转发方式检查和确定网络服务请求的用户身份是否合法,方式检查和确定网络服务请求的用户身份是否合法,决定是转发还是丢弃该服务请求。决定是转发还是丢弃该服务请求。 44河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全应用级网关的结构应用级网关的结构 45河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全应用代理的工作原理应用代理的工作原理46河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息
42、安全网络通讯与信息安全9.6.3 主要的防火墙产品主要的防火墙产品 Checkpoint公司的公司的Firewall-1防火墙防火墙Sonic System公司的公司的Sonicwall防火墙防火墙NetScreen公司的公司的NetScreen防火墙防火墙Alkatel公司的公司的Internet Device防火墙防火墙NAI公司的公司的Gauntlet防火墙防火墙 47河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不
43、受限制 的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 48河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.7 网络文件的备份与恢复网络文件的备份与恢复 9.7.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性网络数据可以进行归档与备份;网络数据可以进行归档与备份;归档
44、是指在一种特殊介质上进行永久性存储;归档是指在一种特殊介质上进行永久性存储;网络数据备份是一项基本的网络维护工作;网络数据备份是一项基本的网络维护工作;备份数据用于网络系统的恢复。备份数据用于网络系统的恢复。49河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.7.2 网络文件备份的基本方法网络文件备份的基本方法 选择备份设备选择备份设备选择备份程序选择备份程序建立备份制度建立备份制度在考虑备份方法时需要注意的问题在考虑备份方法时需要注意的问题:如果系统遭到破坏需要多长时间才能恢复?如果系统遭到破坏需要多长时间才能恢复? 怎样备份才可能在恢复系统时数据损
45、失最少?怎样备份才可能在恢复系统时数据损失最少? 50河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.8 网络防病毒技术网络防病毒技术 9.8.1 造成网络感染病毒的主要原因造成网络感染病毒的主要原因 70%的病毒发生在网络上;的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占件约占41%左右;左右;从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%;从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%;从系统维护盘中带来的病毒约占
46、从系统维护盘中带来的病毒约占6%;从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%;其他未知因素约占其他未知因素约占27%;从统计数据中可以看出,引起网络病毒感染的主要原因在于网络从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。用户自身。 51河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.8.2 病毒概述病毒概述1. 病毒定义病毒定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。一般地,我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕
47、虫等等。特洛伊木马和病毒,它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在;而细菌和蠕虫是完整的程序,操作系统可以调度和运行它们。而且除特洛伊木马外,其他三种形式的病毒都有能够复制。 52河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全 2. 病毒传染方式病毒传染方式病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活,病毒传染分为静态传染和动态传染。静态传染是指由于用户使用了COPY、DISKCOPY等拷贝命令或类似操作,一个病毒连同其载体文件一起从一处被复制到另
48、一处。而被复制后的病毒不会引起其他文件感染。 动态传染是指一个静态病毒被加载进入内存变为动态病毒后,当其传染模块被激活所发生的传染操作,这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作 。53河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全3. 病毒的分类病毒的分类按病毒感染的途径,病毒分为三类: 引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒完全控制DOS的各类中断,并且拥有更大的能力进行传染与破坏。 文件型病毒。文件型病毒通常寄生在可执行文件中当这些文件被执行时,病
49、毒的程序就跟着被执行。根据病毒依传染方式的不同,它分成非常驻型和常驻型 。复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染 *.COM和*.EXE 文件,也可以传染磁盘的引导区。 54河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全4. 病毒结构病毒结构 计算机病毒是一种特殊的程序,它寄生在正常的、合法的程序中,并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成: 初始化部分。它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部分。 传染
50、部分。它指能使病毒代码连接于宿主程序之上的部分,由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。 破坏部分或表现部分。主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病毒程序的主体,在一定程度上反映了病毒设计者的意图。55河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全5. 病毒感染原理病毒感染原理 1)引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为:开机、执行BIOS、读入BOOT程序执行和加载DOS。 假定某张启动软盘已经了感染病毒,那么该软盘上的BOOT扇区将存放着病毒程序,
51、而不是BOOT 程序。所以,“读入BOOT程序并执行”将变成“读入病毒程序并执行”,等到病毒入侵内存后,等到病毒入侵内存后,再由病毒程序读入原始BOOT程序,既然病毒DOS先一步进入内存中,自然在DOS下的所有读写动作将受到病毒控制。所以,当使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感染这张软盘。 56河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全 若启动盘是硬盘。因硬盘多了一个分区表,分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”,比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但
52、可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。 感染BOOT扇区是在“读入分区表并执行”之后,“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后,“读入分区表并执行”之前“读入BOOT程序并执行”。不管是软盘还是硬盘,引导型病毒一定比DOS早一步进入内存中,并控制读写动作,伺机感染其他未感染病毒的磁盘。 引导型病毒感染原理 57河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全2)文件型病毒感染原理 对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而
53、言,对于.COM型文件,病毒替换它的第一条指令;对于.ExE文件,病毒改变入口指针。而常驻型病毒必须常驻内存,才能达到感染其他文件的目的。在每一个程序文件在执行时,都会调用INT 21H中断命令,所以病毒必须拦截INT 21H的调用,使其先通过病毒的程序,再去执行真正的INT 21H服务程序。这样,每个要被执行的程序文件都要先通过病毒“检查”是否已中毒,若未中毒则病毒感染该文件。 58河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全3)复合型病毒感染原理 就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒便先潜入内存中,伺机感染其他未中毒的磁盘,而当
54、DOS载入内存后,病毒再拦截INT 21H已达到感染文件的目的。59河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全6. 病毒的网络威胁病毒的网络威胁 工作站受到的威胁。病毒对网络工作站的攻击途径主要包括:利用软盘读写进行传播、通过网络共享进行攻击、通过电子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏览进行攻击。 服务器受到的威胁。网络操作系统一般都采用Windows NT/2000 Server和少量 Unix/Linux,而Unix/Linux本身的计算机病毒的流行报告几乎很少。但到目前为止感染Windows NT系统的病毒已有一定数量。We
55、b站点受到的威胁。一般Web站点,用户访问量很大,目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意Java代码和ActiveX。 60河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.8.3 宏病毒宏病毒 1. 1. 宏病毒的传染原理宏病毒的传染原理 每个Word文本对应一个模板,而且对文本进行操作时,如打开、关闭文件等,都执行了相应模板中的宏程序,由此可知: 当打开一个带病毒模板后,该模板可以通过执行其中的宏程序,如AutoOpen、AutoExit等将自身所携带病毒程序拷贝到Word系统中的通用模板上,如Normal.dot中。 若使用带病毒模板
56、对文件进行操作时,如存盘FileSave等,可以将该文本文件重新存盘为带毒模板文件,即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。 上述两步循环就构成了病毒的基本传染原理。61河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全2. 宏病毒的危害宏病毒的危害 Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以防治等特点。具体表现为:对Word的运行破坏。不能正常打印、封闭或改变文件存储路径、将文件改名等。 对系统的破坏。Word Bas
57、ic语言能够调用系统命令,这将造成破坏。 62河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全3. 宏病毒的预防与清除宏病毒的预防与清除为了有效防止Word系统被感染,可将常用的Word模板文件改为只读属性。当文件被感染后,应及时加以清除,以防其进一步扩散和复制。通常可采取以下措施: 手工杀毒。以Word为例,从“工具”菜单选取“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。 使用专业软件杀毒。目前杀毒软件公司都具备清除宏病
58、毒的能力,当然也只能对已知的宏病毒进行检查和清除,对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是采取手工清理。 63河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.8.4 常用反病毒技术常用反病毒技术 1. 1. 反病毒技术分类反病毒技术分类 从研究的角度,反病毒技术主要分类: 预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。 检测病毒技术。它是通过对计算机病毒的特征来进行判断的侦测技术,如自身校验、关键字等。 消除病毒技
59、术。它通过对病毒的分析,杀除病毒并恢复原文件。 64河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全2. 常用反病毒技术常用反病毒技术从具体实现技术的角度,常用的反病毒技术有:病毒代码扫描法。将新发现的病毒加以分析后根据其特征编成病毒代码,加入病毒特征库中。每当执行杀毒程序时,便立刻扫描程序文件,并与病毒代码比对,便能检测到是否有病毒。加总比对法(Check-sum)。根据每个程序的文件名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附在程序后面,或是将所有检查码放在同一个资料库中,再利用Check-sum系统,追踪并记录每个程序的检查码是否遭更
60、改,以判断是否中毒。 65河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全人工智能陷阱。它是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有任何不当的行为,系统就会有所警觉,并告知用户。软件模拟扫描法。它专门用来对付千面人病毒。千面人病毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,在其设计的DOS虚拟机器下模拟执行病毒的变体引擎解码程序,将多型体病毒解开,使其显露原本的面目,再加以扫描。 VICE先知扫描法。由于软件模拟可以
61、建立一个保护模式下的DOS虚拟机器,模拟CPU动作并模拟执行程序以解开变体引擎病毒,应用类似的技术也可以用来分析一般程序检查可疑的病毒代码。因此,VICE将工程师用来判断程序是否有病毒代码存在的方法,分析归纳成专家系统知识库,再利用软件工程的模拟技术假执行新的病毒,就可分析出新病毒代码对付以后的病毒。 66河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全实时的I/O扫描。通过即时地对资料的输入/输出动作做病毒代码比对的动作,希望能够在病毒尚未被执行之前,就能够将其防堵下来。理论上,这样的实时扫描程序会影响到整体的资料传输速率,但是使用实时的I/O扫描,文件
62、传送进来之后,就等于扫过了一次毒。 文件宏病毒陷阱。它结合了病毒代码比对与人工智慧陷阱技术,依病毒行为模式来检测已知及未知的宏病毒。其中,配合对象链接与嵌套技术,可将宏与文件分开,回快扫描,并可有效地将宏病毒彻底清除。 空中抓毒。在资料传输过程中经过的一个节点即一台电脑上设计一套防毒软件,把网络中所有可能带有病毒的信息进行扫描,接收从网络中送来的资料。把我们要扫描的资料在这台电脑中暂时储存起来,然后扫描储存的资料,并根据管理员的设定处理中毒的文件,最后把检查过或处理过的资料传送到它原来要传送的电脑上。 67河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全主
63、动内核技术。它是将已经开发的各种网络防病毒技术从源程序级嵌入到操作系统或网络系统的内核中,实现网络防病毒产品与操作系统的无缝连接。这种技术可以保证网络防病毒模块从系统的底层内核与各种操作系统和应用环境密切协调,确保防毒操作不会伤及到操作系统内核,同时确保杀灭病毒的功效。 68河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.9 网络管理技术网络管理技术 9.9.1 网络管理的基本概念网络管理的基本概念 网络管理涉及以下三个方面网络管理涉及以下三个方面:网络服务提供是指向用户提供新的服务类型、增加网网络服务提供是指向用户提供新的服务类型、增加网络设备、提高
64、网络性能;络设备、提高网络性能;网络维护是指网络性能监控、故障报警、故障诊断、网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复;故障隔离与恢复;网络处理是指网络线路、设备利用率数据的采集、分网络处理是指网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。析,以及提高网络利用率的各种控制。 69河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全网络管理系统的基本结构网络管理系统的基本结构: 管理对象管理对象 管理对象是经过抽象的网络元素,对应于网络中具体管理对象是经过抽象的网络元素,对应于网络中具体可以操作的数据。可以操作的数据。
65、管理进程管理进程 管理进程是负责对网络设备进行全面的管理与控制的管理进程是负责对网络设备进行全面的管理与控制的软件。软件。管理协议管理协议 管理协议负责在管理系统与被管理对象之间传递与负管理协议负责在管理系统与被管理对象之间传递与负责操作命令。责操作命令。 70河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全管理信息库管理信息库管理信息库(管理信息库(MIB)是管理进程的一部分,用于记录是管理进程的一部分,用于记录网络中被管理对象的状态参数值;网络中被管理对象的状态参数值;一个网络的管理系统只能有一个管理信息库,但管理一个网络的管理系统只能有一个管理信息库
66、,但管理信息库可以是集中存储的,也可以由各个网络设备记信息库可以是集中存储的,也可以由各个网络设备记录本地工作参数;录本地工作参数;网络管理员只要查询有关的管理信息库,就可获得有网络管理员只要查询有关的管理信息库,就可获得有关网络设备的工作状态和工作参数;关网络设备的工作状态和工作参数;在网络管理过程中,使网络管理信息库中数据与实际在网络管理过程中,使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种:网络设备的状态、参数保持一致的方法主要有两种:事件驱动与轮询驱动方法。事件驱动与轮询驱动方法。 71河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通
67、讯与信息安全9.9.2 OSI管理功能域管理功能域 配置管理(配置管理(configuration management)故障管理(故障管理(fault management) 性能管理(性能管理(performance management) 安全管理(安全管理(security management) 记账管理(记账管理(accounting management) 72河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.9.3 简单网络管理协议简单网络管理协议SNMP InternetInternet网络管理模型网络管理模型 73河北工业大学经济管理
68、学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全SNMP管理模型的结构管理模型的结构 74河北工业大学经济管理学院河北工业大学经济管理学院 网络通讯与信息安全网络通讯与信息安全9.10 小结小结网网络络安安全全技技术术研研究究的的基基本本问问题题包包括括:网网络络防防攻攻击击、网网络络安安全全漏漏洞洞与与对对策策、网网络络的的信信息息安安全全保保密密、网网络络内内部部安全防范、网络防病毒、网络数据备份与灾难恢复;安全防范、网络防病毒、网络数据备份与灾难恢复; 网网络络安安全全服服务务应应该该提提供供保保密密性性、认认证证、数数据据完完整整性性、防抵赖与访问控制服务;防抵赖与访问控制服务; 制制定定网网络络安安全全策策略略就就是是研研究究造造成成信信息息丢丢失失、系系统统损损坏坏的各种可能,并提出对网络资源与系统的保护方法;的各种可能,并提出对网络资源与系统的保护方法; 防防火火墙墙是是根根据据一一定定的的安安全全规规定定来来检检查查、过过滤滤网网络络之之间间传送的报文分组,以便确定这些报文分组的合法性;传送的报文分组,以便确定这些报文分组的合法性; 网网络络管管理理则则是是指指对对网网络络应应用用系系统统的的管管理理,它它包包括括配配置置管管理理、故故障障管管理理、性性能能管管理理、安安全全管管理理、记记账账管管理理等等部分。部分。