网络安全与网络管理

计算机网络技术

第8章网络安全与管理学习内容：网络安全的相关概念威胁网络安全的主要因素加密技术的基本原理网络防病毒的基本方法防火墙的概念、类型和作用网络管理的内容和要求网络故障检测及维护方法8.1网络安全概述网络安全问题成为互联网的焦点；每个人都时刻关注着与自身密不可分的网络系统的安全，从应用和管理的角度建立起一套完整的网络安全体系无论对于单位还是个人都显得尤为重要，提高网络安全意识、掌握网络安全管理工具的使用的重要性日益突出。8.1.1网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全具备五个特征：保密性、完整性、可用性、可控性与可审查性。保密性：信息不泄露给非授权用户、实体或过程，或供其利用。完整性：数据未经授权不能进行改变。即信息在存储或传输过程中保持不被修改、不被破坏和丢失。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。可控性：对信息的传播及内容具有控制能力。可审查性：对出现的网络安全问题提供调查的依据和手段。8.1.2威胁网络安全的因素信息泄露：指敏感数据在有意或无意中被泄露出去或丢失。拒绝服务：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户不能进入计算机网络系统或不能得到相应的服务。信息破坏：自然因素人为因素无意破坏故意破坏网络攻击网络安全威胁是指对网络信息的一种潜在的侵害，威胁的实施称为攻击。攻击是一种故意性威胁，故意性威胁是指对计算机网络的有意图、有目的的威胁。主动攻击：以各种方式有选择地破坏信息的有效性和完整性。被动攻击：在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。8.1.3网络安全机制网络安全机制可分为两类：一类与安全服务有关，另一类与管理功能有关。ISO7498-2建议了以下八种机制。（1）加密机制：加密是确保数据保密性。（2）数字签名机制：数字签名用来确保数据真实性和进行身份验证。（3）访问控制机制：访问控制按照事先确定的规则来决定主体对客体的访问是否合法。（4）数据完整性机制：数据完整性是保证数据不被修改。（5）认证机制：计算机网络中认证机制主要有站点认证、报文认证、用户和进程的认证。（6）信息流填充机制：信息流填充使攻击者不知道哪些是有用信息，哪些是无用信息，从而挫败信息流分析攻击。（7）路由控制机制：路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全。（8）公证机制：主要是在发生纠纷时进行公证仲裁用。8.2加密技术8.2.1加密技术基本概念加密技术又称为数据加密技术。加密就是把用户原始的数据（称为明文）通过某种算法进行处理后变为不可直接识别的数据（称为密文）。把密文转换成为明文叫做解密。加密算法E解密算法DInternet明文数据X发送端密文数据Y密文数据Y接收端明文数据X加密密钥Ke解密密钥Kd信息加密传递过程基本概念明文消息：需要变换的原消息。简称明文。密文消息：明文经过变换成为的一种隐蔽形式。简称密文。加密：完成明文到密文的变换过程。解密：从密文恢复出明文的过程。加密算法：对明文进行加密时所采用的一组规则的集合。解密算法：对密文进行解密时所采用的一组规则的集合。密码算法强度：对给定密码算法的攻击难度。密钥(key)：加解密过程中只有发送者和接收者知道的关键信息。对称密钥加密又称常规密钥加密、传统密钥加密、私钥加密、专用密钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。对称密钥加密及解密8.2.2对称加密技术对称加密优缺点优点：加/解密速度快，适合对大量数据进行加密。缺点：对称加密技术存在着在通信方之间确保密钥安全交换的问题。在公众网络上通信方之间的密钥分配（密钥产生、传送和存储）很麻烦。当某一通信方有n个通信关系，那么他就要维护n个专用密钥（即每把密钥对应一个通信方）。常用的对称密钥加密算法数据加密标准DES（DataEncryptionStandard）：

DES算法是IBM公司于1972年研制成功的，后被美国国家标准局和国家安全局选为数据加密标准，并于1977年颁布使用，ISO也已将DES作为数据加密标准。

DES是一种分组加密算法。RC5：

RC5是RSASecurity公司拥有专利的加密方法，也是一种分组加密算法。8.2.3非对称加密技术非对称密钥加密又称公开密钥加密（PublicKeyEncryption）。它最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥：公钥和私钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。非对称密钥加密及解密非对称加密技术特点加密算法和解密算法都是公开的；不能根据公钥计算出私钥；公钥和私钥均可以作为加密密钥，用其中一把密钥来加密，就只能用另一把密钥来解密，具有对应关系；加密密钥不能用来解密；在计算机上可以容易地产生成对的公钥和私钥常见的非对称加密算法非对称加密体系一般建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性的是RSA公钥密码体制。RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。8.2.4PKIPKI（PublicKeyInfrastructure）即“公钥基础设施”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。8.2.5证书签发机构CA

CA是证书的签发机构，它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。CA制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。8.2.6数字证书数字证书是一种权威性的电子文档,由权威公正的第三方机构，即CA中心签发的证书。数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。8.2.7加密技术的应用电子商务（E-business）虚拟专用网（VirtualPrivateNetwork，VPN）8.3防火墙技术8.3.1防火墙的概念防火墙是一个位于计算机和它所连接的网络之间的软件或硬件。计算机流入流出的所有网络通信均要经过防火墙。防火墙可以最大限度地阻止网络中的黑客来访问你的网络，即保护内部网免受非法用户的侵入。防火墙示意图包过滤防火墙(IPFiltingFirewall)代理服务器(ProxyServer)状态监视器(StatefulInspection)8.3.2防火墙的分类1.包过滤防火墙

包过滤防火墙工作在OSI参考模型的网络层,根据数据包包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地点出口端，其余的数据包则从数据流中丢弃。包过滤防火墙的工作原理2.代理服务器应用代理技术又称代理服务器(ProxyService)技术，代理服务器的实质就是代理网络用户去取得网络信息。代理服务器通常也称作应用级防火墙，工作在应用层，它是客户机和真实服务器之间的中介，代理系统完全控制客户机和真实服务器之间的流量，并对流量情况加以记录。代理服务器是介于浏览器和Web服务器之间的另一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。3.状态监视器状态监视器安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎（也称检测模块）。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施检测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全策略的参考。当用户访问到达网关的操作系统前，状态检测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并做下纪录，然后向系统管理员报告网络状态。8.3.3防火墙的体系结构屏蔽路由器结构双宿主主机结构屏蔽主机结构屏蔽子网结构屏蔽路由器结构包过滤路由器双宿主主机结构屏蔽主机结构屏蔽子网结构8.3.4防火墙的功能

网络安全的屏障强化网络安全策略监控审计防止内部信息的外泄8.4安全漏洞及扫描

8.4.1安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围的软硬件设备，包括操作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。8.4.2安全漏洞扫描安全扫描技术主要分为两类：主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令，以及针对其它同安全规则抵触的对象进行检查等。主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。常用的漏洞扫描软件MBSAScanBDX-Scanner在线安全扫描瑞星：http:///天网：http:///main/view.php?cid=68.5网络黑客与网络病毒8.5.1网络黑客的定义黑客：专门研究、发现计算机和网络漏洞的计算机爱好者。黑客不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。骇客：专门利用计算机进行破坏或入侵他人。8.5.2常见的黑客攻击方法Web欺骗技术特洛伊木马口令攻击暴力破解密码控测网络监听登录界面攻击法电子邮件攻击网络监听端口扫描攻击缓冲区溢出8.5.3防范黑客的措施提高安全意识使用防火墙使用反黑客软件尽量不暴露自己的IP安装杀毒软件作好数据的备份8.5.4病毒的概念计算机病毒（ComputerVirus）指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒的特点寄生性传染性潜伏性隐蔽性破坏性可触发性8.5.5病毒的分类按病毒存在的媒体网络病毒文件病毒引导型病毒按病毒传染的方法驻留型病毒非驻留型病毒按病毒破坏的能力无害型无危险型危险型非常危险型按病毒的算法伴随型病毒“蠕虫”型病毒寄生型病毒诡秘型病毒变型病毒（幽灵病毒）8.5.6网络病毒的识别及防治网络病毒的识别：网络病毒具有病毒的一些共性，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。网络病毒大致可以分为两类：一类是面向企业用户和局域网的；另外一类是针对个人用户的。一般病毒网络病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络资源一般病毒与网络病毒的差异8.5.6网络病毒的识别及防治不使用或下载来源不明的软件。

不轻易上一些不正规的网站。提防电子邮件病毒的传播。一些邮件病毒会利用ActiveX控件技术，当以HTML方式打开邮件时，病毒可能就会被激活。

经常关注一些网站、BBS发布的病毒报告，这样可以在未感染病毒时做到预先防范。

及时更新操作系统，为系统漏洞打上补丁。

对于重要文件、数据做到定期备份。8.6网络管理

8.6.1网络管理概述网络管理，简称网管，是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络上的通信设备及传输系统进行监测和控制的方法和措施。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施的工作参数和工作状态，使其可靠运行。OSI管理功能域

故障管理（faultmanagement）计费管理（accountingmanagement）配置管理（configurationmanagement）性能管理（performancemanagement）安全管理（securitymanagement）故障管理 故障管理的功能是迅速发现和纠正故障，动态维护网络的有效性。故障管理主要功能有报警监测、故障定位、故障隔离、故障恢复以及维护故障日志。计费管理 计费管理的功能是正确地计算和收取用户使用网络服务的费用，进行网络资源利用率的统计和网络的成本效益核算。配置管理 配置管理是最基本的网络管理功能，主要用于配置和优化网络。配置管理就是在网络建立、扩充、改造以及业务的开展过程中，对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。性能管理性能管理保证有效地运营网络并提供约定的服务质量。性能管理包括性能检测功能、性能分析功能和性能管理控制功能。安全管理 安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务、数据和系统免受侵扰和破坏。安全管理主要包括：风险分析功能、安全服务功能、告警、日志和报告功能以及网络管理系统保护功能。8.6.2简单网络管理协议SNMPSNMP在应用层上进行网络设备间通信的管理，它可以进行网络状态监视、网络参数设定、网络流量统计与分析以及发现网络故障等。SNMP建立在TCP/IP传输层的UDP协议之上，提供的是不可靠的无连接服务，以保证信息的快速传递和减少对带宽的消耗。SNMP管理模型SNMP协议管理实体网络管理代理管理信息数据库被管设备管理代理管理信息数据库被管设备管理代理管理信息