网络安全与网络管理

网络安全：计算机网络环境下的信息安全。大部分网络安全问题都与TCP/IP有关。与网络安全有关的新名词逐渐为大众所知，例如黑客（hacker）、破解者（cracker）等。凡此种种，都传递出一个信息——网络是不安全的。为网络安全担忧的人大致可分为两类，一类是使用网络资源的一般用户，另一类是提供网络资源的服务提供者。

造成网络不安全的主要原因：

自身缺陷（TCP/IP）＋开放性（网络）＋黑客攻击（外在原因）

7.1网络安全隐患现在是1页\一共有49页\编辑于星期三1先天性安全漏洞

Internet的前身是ARPANET，而ARPANET最初是为军事机构服务的，对网络安全的关注较少。在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。但是TCP/IP在传递数据包时，并未对其加密。换言之，在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息，则任何人都可轻易解读。7.1网络安全隐患现在是2页\一共有49页\编辑于星期三2计算机网络犯罪及特点据伦敦英国银行协会统计，全球每年因计算机犯罪造成的损失大约为80亿美元，而实际损失金额应在100亿美元以上。网络犯罪的特点是，罪犯不必亲临现场、所遗留的证据很少且有效性低。并且，与此类犯罪有关的法律还有待于进一步完善。遏制计算机犯罪的有效手段是从软、硬件建设做起，可购置防火墙（firewall）、对员工进行网络安全培训，增强其防范意识等。7.1网络安全隐患现在是3页\一共有49页\编辑于星期三3网络攻击

网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。

7.1网络安全隐患现在是4页\一共有49页\编辑于星期三47.2计算机网络面临的安全威胁安全威胁分类：主动攻击被动攻击中断：在网络上的用户在通信时，破坏者中断他们之间的通信，如拒绝服务攻击（DenialofService，DoS）。篡改：当网络用户甲向乙发送包文时，包文在转发过程中被破坏者更改。伪造：破坏者非法获取用户乙的权限并乙的名义与甲进行通信。如伪造电子邮件。截获：当网络用户甲与乙通信时，被破坏者偷看到他们之间得到通信内容。如木马截取技术。现在是5页\一共有49页\编辑于星期三57.2计算机网络面临的安全威胁响应式安全防护模型：基于特定威胁的特征，目前绝大多数安全产品均基于这种模型。（通过名字识别攻击；根据需要进行响应；减轻损失；事后恢复。如防火墙）主动式安全防护模型：以识别和阻挡未知威胁为主导思想。（早期预警技术；有效的补丁管理；主动识别和阻挡技术。）两种安全防护模型现在是6页\一共有49页\编辑于星期三67.2计算机网络面临的安全威胁08年全国信息网络安全状况调查分析报告（公安部、国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心）网络安全事件情况

62.7%的被调查单位发生过网络安全事件，32%的单位多次发生安全事件。感染计算机病毒、蠕虫和木马程序的情况依然十分突出，占72%，其次是网络攻击和端口扫描(27%)、网页篡改(23%)和垃圾邮件(22%)。网络安全管理情况采取的安全防范措施主要为存储备份(64.7%)、口令加密和访问控制(64.4%)；使用的安全服务主要是系统维护(70%)、安全检测(51.5%)和容灾备份与恢复(30%)。防火墙和计算机病毒防治产品仍是最普及的网络安全产品，占75%，其次是入侵监测和漏洞扫描产品(33%)。现在是7页\一共有49页\编辑于星期三77.3盗窃数据或侵入网络的方法1.窃听(Eavesdropping)

最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器,它们是数据包的集散地。窃听程序的基本功能是收集、分析数据包，高级的窃听程序还提供生成假数据包、解码等功能，甚至可锁定某源服务器（或目标服务器）的特定端口，自动处理与这些端口有关的数据包。现在是8页\一共有49页\编辑于星期三8假设数据由网络λ传送至网络μ，可被窃听的位置至少包括：7.3盗窃数据或侵入网络的方法网络λ中的计算机数据包在Internet上途经的每一路由器。网络μ中的计算机。现在是9页\一共有49页\编辑于星期三92.窃取(Spoofing)这种入侵方式一般出现在使用支持信任机制网络中。在这种机制下，通常用户只需拥有合法帐号即可通过认证，因此入侵者可以利用信任关系，冒充一方与另一方连网，以窃取信息。假设某入侵者欲利用主机A入侵某公司的的内部网络主机B，则其步骤大致如下：

1.确定要入侵的主机B。

2.确定主机B所信任的主机A。

7.3盗窃数据或侵入网络的方法现在是10页\一共有49页\编辑于星期三103.利用主机X在短时间内发送大量的数据包给A，使之穷于应付。4.利用主机X向B发送源地址为A的数据包。7.3盗窃数据或侵入网络的方法现在是11页\一共有49页\编辑于星期三113.会话窃夺(Spoofing)入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息。会话窃夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径，可用防火墙切断，但对于内、外部网络之间的会话，除了采用数据加密手段外，没有其他方法可保绝对安全。7.3盗窃数据或侵入网络的方法现在是12页\一共有49页\编辑于星期三12例如，当主机A正与主机B进行会话时，X切入会话，并假冒B的名义发送数据包给A，通知其中断会话，然后X顶替A继续与B进行会话。7.3盗窃数据或侵入网络的方法现在是13页\一共有49页\编辑于星期三134.利用操作系统漏洞操作系统的漏洞大致可分为两部分：另一部分则是由于使用不得法所致。这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当。微软的操作系统RPC漏洞–冲击波病毒Outlook的邮件预览漏洞-“求职信”病毒一部分是由设计或实现缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。7.3盗窃数据或侵入网络的方法现在是14页\一共有49页\编辑于星期三145.盗用密码盗用密码是最简单的技巧。通常有下列方式：密码被盗用，通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。猜密码的方式有多种，最常见的是在登录系统时尝试不同的密码，系统允许用户登录就意味着密码被猜中了。-字典攻击

另一种比较常见的方法是先从服务器中获得被加密的密码表，再利用公开的算法进行计算，直到求出密码为止，这种技巧最常用于Unix系统。

木马窃取密码。7.3盗窃数据或侵入网络的方法现在是15页\一共有49页\编辑于星期三15计算机技术中的木马，是一种与计算机病毒类似的指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是，前者不进行自我复制，即不感染其他程序。完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”：安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了木马种类：键盘记录木马、程序杀手木马等。7.3盗窃数据或侵入网络的方法6.木马、暗门、病毒和逻辑炸弹现在是16页\一共有49页\编辑于星期三16暗门（trapdoor）又称后门（backdoor）、陷门，指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。最早的后门是KenThompson在其早期发展的Unixlogin程序中隐藏「暗门」，当输入特定名称时，可取得超权限授权。7.3盗窃数据或侵入网络的方法病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作，破坏系统或干扰系统运行的“坏”程序。病毒程序可从事破坏活动，间谍活动等，如将服务器内的数据传往某个主机等，宏病毒，网络病毒Melissa，LoveLetter，HappyTime。免受木马、病毒和暗门威胁的最有效的方法是不要运行来历不明的程序。现在是17页\一共有49页\编辑于星期三17数据保密（dataconfidentiality）身份认证（authentication）数据完整（dataintegrity）防抵赖（non-repudiation）访问控制（accesscontrol）7.4安全机制现在是18页\一共有49页\编辑于星期三187.5数据加解密

加密指改变数据的表现形式。加密的目的是只让特定的人能解读密文，对一般人而言，其即使获得了密文，也不解其义。加密旨在对第三者保密，如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。Internet是一个开放的系统，穿梭于其中的数据可能被任何人随意拦截，因此，将数据加密后再传送是进行秘密通信的最有效的方法。

现在是19页\一共有49页\编辑于星期三19下图示意了加密、解密的过程。其中，“Thisisabook”称为明文（plaintext或cleartext）；“!@#$~%^~&~*()-”称为密文（ciphertext）。将明文转换成密文的过程称为加密（encryption），相反的过程则称为解密（decryption）。7.5数据加解密现在是20页\一共有49页\编辑于星期三20当代加密技术趋向于使用一套公开算法及秘密键值（key，又称钥匙）完成对明文的加密。公开算法的前提是，如果没有用于解密的键值，即使知道算法的所有细节也不能破解密文。由于需要使用键值解密，故遍历所有可能的键值便成为最直接的破解方法。键值的长度决定了破解密文的难易程度，显然键值越长，越复杂，破解就越困难。目前加密数据涉及到的算法有秘密钥匙（secretkey）和公用钥匙（publickey）加密算法，上述算法再加上Hash函数，构成了现代加密技术的基础。7.5数据加解密现在是21页\一共有49页\编辑于星期三211.秘密钥匙加密秘密钥匙加密法又称为对称式加密法或传统加密法。其特点是加密明文和解读密文时使用的是同一把钥匙。缺点：由于至少有两个人持有钥匙，所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。7.5数据加解密现在是22页\一共有49页\编辑于星期三222.公用钥匙加密公用钥匙加密法又称非对称式（asymmetric）加密，是近代密码学新兴的一个领域。公用钥匙加密法的特色是完成一次加、解密操作时，需要使用一对钥匙。假定这两个钥匙分别为A和B，则用A加密明文后形成的密文，必须用B方可解回明文，反之，用B加密后形成的密文必须用A解密。通常，将其中的一个钥匙称为私有钥匙（privatekey），由个人妥善收藏，不外泄于人，与之成对的另一把钥匙称为公用钥匙，公用钥匙可以像电话号码一样被公之于众。7.5数据加解密现在是23页\一共有49页\编辑于星期三23假如X需要传送数据给A，X可将数据用A的公用钥匙加密后再传给A，A收到后再用私有钥匙解密。如图所示。缺点：利用公用钥匙加密虽然可避免钥匙共享而带来的问题，但其使用时，需要的计算量较大。7.5数据加解密现在是24页\一共有49页\编辑于星期三24数字签名技术单向散列函数：MD5、SHA1、。。。加解密：RSA、ECC、。。。7.5数据加解密现在是25页\一共有49页\编辑于星期三25身份认证（authentication）ABB成功认证ABB认证A失败7.5数据加解密现在是26页\一共有49页\编辑于星期三26防火墙是指用来连接两个网络（内部网络和外部网络）并控制两个网络之间相互访问的系统，即在内部网络和外部网络之间实现控制策略的系统，它是一类防范措施的总称，防火墙可以是简单的路由器、主机、子网或应用软件等。从而防止有害信息进入受保护网，为网络提供安全保障。可以在IP层设置屏障，对进出的所有数据进行分析。也可以用应用层软件来阻止外来攻击，对用户进行认证。7.6.1防火墙技术概述现在是27页\一共有49页\编辑于星期三27防火墙的主要功能：过滤不安全服务和非法用户，禁止未授权的用户访问受保护网络。控制对特殊站点的访问，如受保护的Email、FTP、WWW服务器等可允许被外网访问，而其他访问则被主机禁止。提供监视Internet安全和预警的端点。7.6.1防火墙技术概述现在是28页\一共有49页\编辑于星期三28防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力：（1）不能防范绕过防火墙的攻击。（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。（3）不能防止数据驱动式攻击。（4）难以避免来自内部的攻击。7.6.1防火墙技术概述现在是29页\一共有49页\编辑于星期三29包过滤防火墙也称网络级防火墙，通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet上的所有信息都是以IP数据包的形式传输的，两个网络之间的数据传送都要经过防火墙。包过滤路由器对所接收的每个数据包进行审查，以便确定其是否与某一条包过滤规则匹配。包过滤防火墙是一种基于网络层的安全技术，对于应用层上的黑客行为无能为力。这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等。

优缺点：1.包过滤防火墙7.6.2防火墙的类型结构简单，便于管理，造价低在单机上实现，是网络中的“单失效点”。不支持有效的用户认证，不提供有用的日志，安全性低。现在是30页\一共有49页\编辑于星期三307.6.2防火墙的类型现在是31页\一共有49页\编辑于星期三31包过滤规则路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址；目的IP地址；协议类型；IP选项内容；源TCP端口号；目的TCP端口号；TCPACK标识。7.6.2防火墙的类型现在是32页\一共有49页\编辑于星期三32包过滤的工作流程7.6.2防火墙的类型现在是33页\一共有49页\编辑于星期三33实例假设网络安全策略规定：7.6.2防火墙的类型内部网络的E-mail服务器（IP地址为，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件；允许内部网络用户传送到与外部电子邮件服务器的电子邮件；拒绝所有与外部网络中名字为TESTHOST主机的连接。规则过滤号方向动作源主机地址TESTHOST源端口号目的主机地址目的端口号协议描述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包**TCPTCP**25>1023*TESTHOST***>102325**阻塞阻塞允许允许进入进入输出输出1234现在是34页\一共有49页\编辑于星期三34

2.应用网关或称应用级防火墙，通常指运行代理（Proxy）服务器软件的一部计算机主机。采用应用级防火墙时，Intranet与Internet间是通过代理服务器连接的，二者不存在直接的物理连接，代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。这种方式的防火墙把Intranet与Internet物理隔开，能够满足高安全性的要求。但由于该软件必须分析网络数据包并作出访问控制决定，从而影响网络的性能。优缺点：7.6.2防火墙的类型系统软件可用于身份认证和维护系统日志。仍是网络的“单失效点”，使访问速度变慢。隔离了一切内部与Internet的直接连接，不灵活。现在是35页\一共有49页\编辑于星期三35现在是36页\一共有49页\编辑于星期三367.7网络病毒及防杀Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。Internet/Intranet带来了两种不同的安全威胁：来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒；电子邮件。现在是37页\一共有49页\编辑于星期三377.7.1网络病毒的特点

传染方式多。病毒入侵网络的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其他工作站。传染速度快。在单机上，病毒只能通过磁盘、光盘等从一台计算机传播到另一台计算机，而在网络中病毒则可通过网络通信机制迅速扩散。清除难度大。尤其在网络中，只要一台工作站未消灭病毒就可能使整个网络全部被病毒重新感染。在网络环境中，计算机病毒具有如下特点：现在是38页\一共有49页\编辑于星期三38破坏性强。网络上的病毒将直接影响网络的工作状况，轻则降低速度，影响工作效率，重则造成网络瘫痪，破坏服务系统的资源，使多年工作成果毁于一旦。激发形式多样。可用于激发网络病毒的条件较多，可以是内部时钟，系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求，在某个工作站上激活并发出攻击。潜在性。网络一旦感染了病毒，即使病毒已被清除，其潜在的危险也是巨大的。有研究表明，在病毒被消除后，85%的网络在30天内会被再次感染。7.7.1网络病毒的特点现在是39页\一共有49页\编辑于星期三397.7.2常见的网络病毒电子邮件病毒。有毒的通常不是邮件本身，而是其附件。Java程序病毒。Java是目前网页上最流行的程序设计语言，由于它可以跨平台执行，因此不论是Windows9X/NT还是Unix工作站，甚至是CRAY超级电脑，都可被Java病毒感染。ActiveX病毒。当使用者浏览含有病毒的网页时，就可能通过ActiveX控件将病毒下载至本地计算机上。网页病毒。上面介绍过Java及ActiveX病毒，它们大部分都保存在网页中，所以网页当然也能传染病毒。现在是40页\一共有49页\编辑于星期三407.7.3网络防病毒软件实时扫描：连续不断地扫描从文件服务器读/写的文件是否带毒。

预置扫描：可以预先的日期和时间扫描服务器。

人工扫描：可以在任何时候要求扫描指定的卷、目录和文件。

对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒。网络防病毒软件一般允许用户设置三种扫描方式：现在是41页\一共有49页\编辑于星期三417.8.1网络管理网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控