计算机网络安全与网络管理课件

1、计算机网络安全与网络管理计算机网络安全与网络管理第8章 计算机网络安全与网络管理教学目标（1）了解网络安全与网络管理的概念；（2）了解网络不安全的因素 ；（3）了解网络安全的主要技术 ；（4）熟悉Windows server 2003服务器的安全设置 ；（5）了解简单网络管理协议； （6）了解网络管理的技术。 9/10/20222第8章 计算机网络安全与网络管理教学目标9/3/20224第8章 计算机网络安全与网络管理教学内容 8.1 计算机网络安全概述 8.2 计算机网络安全的主要技术 8.3 Windows Server 2003服务器的安全设置 8.4 网络管理技术9/10/20223第

2、8章 计算机网络安全与网络管理教学内容9/3/20225计算机网络安全与网络管理问题的提出 随着计算机网络的广泛应用，在网络给人们带来便利的同时，人们也发现网络中处处潜藏着安全的威胁，使计算机网络面临极大的挑战，这就是计算机网络的安全问题。 如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络管理必须考虑和必须解决的一个重要问题。9/10/20224计算机网络安全与网络管理问题的提出 随着计算机8.1 计算机网络安全概述 计算机网络安全（Computer Network Security）是一门涉及到计算机科学、网络技术、通信技术、信息安全技术、密码学、应用数学、管

3、理学和信息论等多种学科的综合性学科。9/10/202258.1 计算机网络安全概述 计算机网络安全（8.1 计算机网络安全概述8.1.1 计算机网络安全概念 1计算机网络安全的含义 计算机网络安全不是产品，也不是结果，而是一个过程。它由很多部分组成，包括硬件、软件、网络、接口、人以及之间相互关系等。 从广义上说，计算机网络安全包括网络系统硬件资源及网络信息资源的安全性。 9/10/202268.1 计算机网络安全概述8.1.1 计算机网络安全概念9/8.1.1 计算机网络安全概念 2计算机网络安全的定义 国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安

4、全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 由此，可以将计算机网络的安全定义为：通过采用各种技术和管理措施，保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断，从而确保网络数据的可用性、完整性和保密性。9/10/202278.1.1 计算机网络安全概念 2计算机网络安全的定8.1.1 计算机网络安全概念 3计算机网络安全的属性 在美国国家信息基础设施（NII）的文献中，给出了网络安全的六个属性：可用性、保密性、完整性、可靠性、不可抵赖性和可控性。 9/10/202288.1.1 计算机网络安全概念

5、 3计算机网络安全的属8.1.2 计算机网络面临的安全威胁 所谓的网络安全威胁是指某个实体（人、事件、程序等）对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。 计算机网络安全所面临的威胁概括起来有两种：一是对网络中信息、数据的威胁，二是对网络中设备的威胁。 9/10/202298.1.2 计算机网络面临的安全威胁 所谓的网8.1.2 计算机网络面临的安全威胁 1人为的恶意攻击 来自机构内部威胁和来自入侵者的外部攻击，是计算机网络面临的最大威胁。其一，以各种方式有选择地破坏（篡改、伪造）对方信息的有效性和完整性，称为主动攻击；其二，在不影响网络正常工作的情况下，以截获、窃取、破译

6、等手段获得对方重要机密信息，称为被动攻击，如图8-1所示。这两种攻击都会对计算机网络造成极大的危害，并导致机密数据的泄露。9/10/2022108.1.2 计算机网络面临的安全威胁 1人为的恶意攻图8-1 敌手对网络通信过程中的攻击手段9/10/202211图8-1 敌手对网络通信过程中的攻击手段9/3/2022138.1.2 计算机网络面临的安全威胁 2人为的无意失误 如用户安全意识不高，设置口令不慎，容易被人破解；用户把自己的账号随意转借给别人或与他人共享；又如系统管理员对系统安全配置不当形成的安全漏洞等，都会对计算机网络安全造成威胁。9/10/2022128.1.2 计算机网络面临的安全

7、威胁 2人为的无意失8.1.2 计算机网络面临的安全威胁 3系统漏洞和缺陷 目前，不论是软件还是硬件，不论是操作系统还是应用软件，都存在不同程度的漏洞和缺陷，这些都是导致网络不安全的重要因素。 4实体摧毁 实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击三种。 9/10/2022138.1.2 计算机网络面临的安全威胁 3系统漏洞和缺陷98.1.3 构成网络安全威胁的因素 由于网络的各种操作系统和网络通信的基本协议TCP/IP都存在着一定程度的漏洞，所以构成网络安全威胁主要有以下几种因素，如图8-2。 9/10/2022148.1.3 构成网络安全威胁的因素 由

8、图8-2 构成网络安全威胁的因素9/10/202215图8-2 构成网络安全威胁的因素9/3/2022178.1.3 构成网络安全威胁的因素1操作系统的易被监测性 使用Telnet或FTP连接远程主机上的账户，在网上传输的口令是没有加密的。入侵者就可以通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令通过正常途径登录到系统。 9/10/2022168.1.3 构成网络安全威胁的因素1操作系统的易被监测性98.1.3 构成网络安全威胁的因素2无法估计主机的安全性 主机系统的安全性无法很好地估计。随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理

9、一台主机的能力来管理如此多的系统就容易出错。这些安全性较低的系统将成为薄弱环节，最终将破坏整个安全链。 9/10/2022178.1.3 构成网络安全威胁的因素2无法估计主机的安全性98.1.3 构成网络安全威胁的因素3有缺陷的局域网服务 主机的安全十分困难和繁琐，有些站点为了降低管理要求并加强局域网，往往会使用诸如NIS和NFS类的服务，但却带来了不安全的因素，可以被有经验的入侵者利用而获得访问权。 9/10/2022188.1.3 构成网络安全威胁的因素3有缺陷的局域网服务9/8.1.3 构成网络安全威胁的因素 4复杂的设置和控制 主机系统的访问控制配置复杂且难以验证，偶然的配置错误会使入

10、侵者获取访问权。 5易欺骗性 网络通信协议的TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么入侵者的主机，就可以冒充一个被信任的主机或客户的IP地址取代自己的地址，去对服务器进行攻击。 9/10/2022198.1.3 构成网络安全威胁的因素 4复杂的设置和控8.1.3 构成网络安全威胁的因素 6薄弱的认证环节 网络上的认证通常是使用口令来实现的。由于口令多为静态的，因此其薄弱环节众人皆知，各种各样的口令破解方式层出不穷。 7计算机病毒攻击 计算机病毒是威胁网络安全最重要的因素之一，由于网络系统中的各种设备都是相互连接的，如果某一个设备（如服务器）受到病毒

11、的攻击或系统受到病毒感染，它就可能危及到整个网络。9/10/2022208.1.3 构成网络安全威胁的因素 6薄弱的认证环节9/8.1.3 构成网络安全威胁的因素 8物理安全 网络中包括了各种复杂的硬件、软件和专用的通信设备，以及各种网络传输介质，大多数的网络通信设备和连接都有可能存在安全隐患。即便是其中有任何一个出现问题，都会导致灾难性的后果。9/10/2022218.1.3 构成网络安全威胁的因素 8物理安全9/3/28.1.4 计算机网络安全的目标 计算机网络信息安全与保密的目标主要是为了保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现

12、在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。9/10/2022228.1.4 计算机网络安全的目标 计算机网络8.1.4 计算机网络安全的目标1可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。2可用性 可用性是网络信息可被授权实体访问并按需求使用的特性。3保密性 保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。 9/10/2022238.1.4 计算机网络安全的目标1可靠性 9/3/20228.1.4 计算机网络安全的目标4完整性 完整性是网络信息未经授权不能进行改变的特性。 5不可抵赖性 不可抵赖性也称作不可否认性，

13、在网络信息系统的信息交互过程中，确信参与者的真实同一性。 6可控性 可控性是对网络信息的传播及内容进行控制，保护其完整性和可用性。 9/10/2022248.1.4 计算机网络安全的目标4完整性9/3/202228.2 计算机网络安全的主要技术 随着计算机网络技术的迅速发展和广泛应用，网络威胁呈现多样化。为了遏制各式各样的网络威胁，为网络的发展营造一个更安全的环境，已经出现了许许多多的用于网络安全的技术手段。 9/10/2022258.2 计算机网络安全的主要技术 随着计8.2.1 信息加密技术1对称密码体制 对称密钥体制的特点是无论加密还是解密都共用一把密钥（Ke=Kd），或者虽不相同，但可

14、以由其中一个推导出另一个。其中最有影响的是1977年美国国家标准局颁布的DES算法（数据加密标准算法），加密解密过程如图8-3所示。 9/10/2022268.2.1 信息加密技术1对称密码体制 9/3/2022明码报文 密 码密钥密钥明码正文原文正本解密解密码发送方接收方图8-3 对称加密使用相同的密钥 9/10/202227明码报文 密 码密钥密钥解密解密码发送方接收方图8-38.2.1 信息加密技术2公开密钥密码体制 公开密钥密码体制的特点是加密钥不等于解密钥（KeKd），并且在计算上不能由加密钥推出解密钥。所以将加密钥公开也不会危害解密钥的安全。通常，把加密钥称为公钥，解密钥称为私钥。

15、其典型代表是1978年美国麻省理工学院RLRivest等人提出的RSA公开钥密码算法，它已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。其加密解密过程如图8-4所示。 9/10/2022288.2.1 信息加密技术2公开密钥密码体制9/3/2022 明码报文 密 码公钥私钥 明码正文 原文正本解密解密码发送方接收方图8-4 公开密钥码算法 9/10/202229 明码报文 密 码公钥私钥解密解密码发送方接收方图88.2.1 信息加密技术3密钥管理 根据近代密码学的观点，密码系统的安全应该只取决于密钥的安全，而不取决于对算法的保密。这仅仅是在设计密码算法时的要求，而

16、在实际应用中对保密性要求高的系统仍必须对具体使用的算法实行保密。密钥必须经常更换，这是安全保密所要求的。因此无论是采用传统密码还是公钥密码，都存在密钥管理问题。 9/10/2022308.2.1 信息加密技术3密钥管理9/3/2022328.2.2 数字签名技术 人们通常习惯于日常生活中的签名，它对当事人起到认证、核准与生效的作用。传统的书面签名形式有手签、印章、指印等，而在计算机通信中则采用数字签名。在此，签名是证明当事人身份与数据真实性的一种手段。9/10/2022318.2.2 数字签名技术 人们通常习惯于日常生活中8.2.2 数字签名技术1认证技术 认证又称为鉴别或确认，它用来证实被认

17、证对象（人与事）是否名符其实或是否有效的一种过程。2数字签名 尽管数字签名与认证都是用来保证数据的真实性，但二者有着明显的区别，如图8-5。 数字签名必须保证以下3点：（1） 接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对报文的签名；（3）接收者不能伪造对报文的签名。 9/10/2022328.2.2 数字签名技术1认证技术9/3/202234这是一条需要签字的的信息这是一条需要签字的的信息￥这是一条需要签字的的信息这是一条需要的的信息A的私人密钥A的签名A的公开密钥解密图8-5 数字签名9/10/202233这是一条需要签字的的信息这是一条需要签字的的信息8.2.3 防火墙技术

18、 防火墙（Firewall）技术假设被保护网络具有明确定义的边界和服务 。防火墙是连接内部网络和外部网络的桥梁，内部网络和外部网络都可以访问这台主机，但内部网络上的主机不可以直接和外部网络通信。 9/10/2022348.2.3 防火墙技术 防火墙（Firewa8.2.3 防火墙技术1包过滤技术 即在网络的适当位置对数据包实施有选择的通过，可以防止黑客利用不安全的服务对内部网络进行攻击。2应用网关技术 是建立在网络应用层上的协议过滤、转发技术，针对特别的网络应用协议指定数据过滤逻辑，并可以将数据包分析结果和采取措施进行登记和统计，形成报告。3代理服务技术 代理服务是设置在Internet防火墙

19、网关的专用应用级编码。 9/10/2022358.2.3 防火墙技术1包过滤技术9/3/2022378.2.3 防火墙技术4防火墙的缺陷 限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务，如，Telnet、FTP、NFS等。 后门服务的可能性 防火墙不能防备从后门进入Intranet，如不加限制的调制解调器仍然许可对防火墙禁止网点的服务，那么攻击者就可以跳过防火墙。 制约信息传输的速度。 防火墙也不能防备内部人员的攻击。 9/10/2022368.2.3 防火墙技术4防火墙的缺陷9/3/2022388.3 Windows Server 2003服务器的安全设置 要保障计算机

20、网络的安全，首先要保障网络服务器的安全运行。目前，Windows Server 2003是最流行的服务器操作系统之一，要使它能正常地运行还必须进行正确的安全配置。 9/10/2022378.3 Windows Server 2003服务器的安全设8.3.1 定制Windows Server 20031版本的选择 Windows Server 2003有各种语言的版本，对于我们来说，可以选择英文版或简体中文版。 2安装组件的定制 Windows Server 2003系统在默认情况下会安装一些常用的组件，但是用户应该仅仅安装确实需要的服务。根据安全原则：最少的服务最小的权限最大的安全。9/10/

21、2022388.3.1 定制Windows Server 20031版8.3.2 正确安装Windows Server 20031分区和逻辑盘的分配 硬盘进行分区时最少需要分为两个以上的逻辑盘，分区格式全部采用NTFS格式：一个系统分区，一个应用程序分区。 2安装顺序的选择9/10/2022398.3.2 正确安装Windows Server 20031 Windows Server 2003在安装中有几个顺序一定注意： 何时接入网络 系统补丁的更新 安装MSSQL 分析计算机安全配置 备份系统8.3.2 正确安装Windows Server 20038.3.2 正确安装Windows Ser

22、ver 20039/10/202240 Windows Server 2003在安装中有几个顺8.3.3 配置Windows Server 2003账户1系统管理员账户2陷阱帐号3Guest账户4登录次数锁定（如图8-6所示 ）5安全设置（如图8-7所示 ）6创建User账户 9/10/2022418.3.3 配置Windows Server 2003账户1图8-6 登录次数锁定9/10/202242图8-6 登录次数锁定9/3/202244图8-7 安全设置9/10/202243图8-7 安全设置9/3/2022458.3.4 网络服务安全管理1禁止C$、D$、ADMIN$一类的缺省共享2解

23、除NetBios与TCP/IP协议的绑定3关闭不需要的服务4启用防火墙9/10/2022448.3.4 网络服务安全管理1禁止C$、D$、ADMIN$8.3.5 设置审核策略1本地安全策略设置（如下图所示 ）9/10/2022458.3.5 设置审核策略1本地安全策略设置（如下图所示 8.3.6 其它安全相关设置 1隐藏重要文件/目录2防止SYN洪水攻击3. 禁止响应ICMP路由通告报文 4. 防止ICMP重定向报文的攻击 5. 不支持IGMP协议 9/10/2022468.3.6 其它安全相关设置 1隐藏重要文件/目录9/3/8.3.7 使用IPSec Internet 协议安全(Inter

24、net Protocol Security，简称IPSec)，是一种通过使用策略在 Internet 协议网络上实现私密安全通讯的功能。使用 IPsec 可以限制对服务器的远程访问。9/10/2022478.3.7 使用IPSec Intern1添加Web筛选器（如图8-11所示 ）图8-11 添加Web筛选器9/10/2022481添加Web筛选器（如图8-11所示 ）图8-11 添加W8.3.7 使用IPSec2添加所有入站筛选器3添加筛选器阻止4激活数据包筛选器5新IP安全策略操作6使用IPSec9/10/2022498.3.7 使用IPSec2添加所有入站筛选器9/3/28.3.8 使

25、用安全配置向导 安全配置向导 (Security Configuration Wizard，简称 SCW) 是Windows Server 2003的一个组件，利用它能确定服务器的一个或多个角色所需的最少功能，并禁用不必要的功能，从而缩小服务器的受攻击面，提高服务器的安全性。 9/10/2022508.3.8 使用安全配置向导 安全配置向导8.4 网络管理技术 随着Inernet和Intranet应用的普及，网络已经成为现代社会正常运转的支柱之一。由于网络是一个非常复杂的分布式系统，网络的状态总是在不断地变化。如何保证网络安全、可靠、高效地运行，已成为一个重要的课题，而采用什么样的网络管理技术

26、才能对网络进行有效的管理和日常维护则是解决这个问题的关键。9/10/2022518.4 网络管理技术 随着Inerne8.4.1 网络管理技术概念 网络管理技术是计算机网络的关键技术之一，尤其在大型计算机网络中更是如此。网络管理技术就是指监督、组织和控制网络通信服务以及信息处理所必需的各种计算机网络控制技术。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。 9/10/2022528.4.1 网络管理技术概念 网络管理技8.4.1 网络管理技术概念1系统的功能 即一个网络管理系统应具有哪些功能。 2网络资源的表示 网络管理很大一部分是对网络中资源的管理。网

27、络中的资源就是指网络中的硬件、软件以及所提供的服务等。3网络管理信息的表示 网络管理信息应如何表示、怎样传递、传送的协议是什么？这些都是一个网络管理系统必须考虑的问题。 4系统的结构 即网络管理系统的结构是怎样的。9/10/2022538.4.1 网络管理技术概念1系统的功能9/3/202258.4.2 网络管理技术分类及功能 网络管理技术是伴随着计算机、网络和通信技术的发展而发展的，二者相辅相成。 国际标准化组织（ISO）定义网络管理技术有五大功能：故障管理、配置管理、性能管理、安全管理、计费管理。9/10/2022548.4.2 网络管理技术分类及功能 网络8.4.2 网络管理技术分类及功

28、能1网络故障管理 需要有一个故障管理系统，科学地管理网络中发生的所有故障，并记录每个故障的产生及相关信息，最后确定并改正那些故障，保证网络能提供连续可靠的服务。 9/10/2022558.4.2 网络管理技术分类及功能1网络故障管理9/3/28.4.2 网络管理技术分类及功能2网络配置管理 网络系统常常处于动态变化中，如网络系统本身要随着用户的增减、设备的维修或更新来调整网络的配置。因此需要有足够的技术手段来支持这种调整或改变，使网络能更有效地工作。 9/10/2022568.4.2 网络管理技术分类及功能2网络配置管理9/3/28.4.2 网络管理技术分类及功能3网络性能管理 由于网络资源的有限性，在使用最少的网络资源和具有最少通信费用的前提下，网络能提供持续、可靠的通信能力，并使网络资源的使用达到最优化的程度。 4网络计费管理 当计算机网络系统中的信息资源是有偿使用的情况下，需要能够记录和统计哪些用户利用哪条通信线路传输了多少信息，以及做的是什么工作等。 9/10/2022578.4