第九章网络安全与网络管理技术

互联网体系结构主讲教师:谭鸣钟第9章网络安全与网络管理技术本章学习要求:了解：网络安全的重要性。掌握：密码体制的基本概念及应用。掌握：防火墙的基本概念。掌握：网络入侵检测与防攻击的基本概念与方法。掌握：网络文件备份与恢复的基本方法。了解：网络病毒防治的基本方法。了解：网络管理的基本概念与方法。9.1网络安全研究的主要问题

9.1.1网络安全的重要性网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。9.1.2网络安全技术研究的主要问题

网络防攻击问题；网络安全漏洞与对策问题；网络中的信息安全保密问题；防抵赖问题；

网络内部安全防范问题；网络防病毒问题；网络数据备份与恢复、灾难恢复问题。1.网络防攻击技术服务攻击（applicationdependentattack）

:

对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击（applicationindependentattack）

:

不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？2.网络安全漏洞与对策的研究网络信息系统的运行涉及：计算机硬件与操作系统；网络硬件与网络软件；数据库管理系统；应用软件；网络通信协议。网络安全漏洞也会表现在以上几个方面。3.网络中的信息安全问题信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；信息传输安全问题的四种基本类型4.防抵赖问题防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。5.网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：

•有意或无意地泄露网络用户或网络管理员口令；

•违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；

•违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；

•违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。6.网络防病毒

引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒Internet语言病毒7.网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？9.1.3网络安全服务与安全标准

网络安全服务应该提供以下基本的服务功能：数据保密（dataconfidentiality）认证（authentication）数据完整（dataintegrity）

防抵赖（non-repudiation）

访问控制（accesscontrol）网络位安全秀标准《电子纺计算好机系浇统安扰全规产范》，19别87年10月《计算认机软卵件保非护条僚例》，19歉91年5月《计算它机软逗件著骑作权治登记塞办法》，19矮92年4月《中华捐人民虎共和划国计开算机获信息立与系程统安约全保己护条妄例》，19稼94年2月《计算佛机信扎息系些统保努密管牵理暂添行规始定》，19手98年2月《关于鹿维护悼互联虫网安环全决荡定》，全炕国人馆民代秩表大站会常秆务委员卸会通萄过，20悬00年12月可信延计算皱机系添统评胳估准次则TC邮-S己EC斤-N保CS桨C是19滴83年公荒布的只，19性85年公虑布了潜可信久网络格说明恰（TN耳I）；可信辩计算杏机系武统评缠估准昌则将帜计算呆机系摊统安蓬全等都级分础为4类7个等梳级，含即D、C1、C2、B1、B2、B3与A1；D级系释统的予安全豆要求马最低汁，A1级系雀统的贡安全蝇要求辨最高镇。9.酸2加密拳与认挎证技均术9.粒2.柱1密码深算法载与密塘码体拾制的去基本谎概念数据坟加密看与解铜密的撑过程密码踏体制阁是指惕一个尖系统叨所采称用的腾基本胖工作恋方式览以及香它的著两个妄基本隙构成余要素万，即群加密/解密缎算法军和密夸钥；传统竖密码涝体制起所用动的加臭密密此钥和难解密拍密钥梁相同样，也尾称为爪对称市密码归体制妄；如果易加密名密钥雹和解胀密密洗钥不驴相同窝，则言称为志非对煎称密嫁码体借制；密钥链可以发看作袍是密仆码算印法中驳的可盲变参宴数。咏从数锁学的割角度歉来看自，改庄变了抬密钥捧，实衰际上边也就宫改变杠了明注文与公密文足之间豆等价底的数诞学函淘数关承系；密码搅算法院是相垒对稳呢定的固。在芒这种祝意义坊上，仍可以超把密枯码算隶法视察为常死量，墓而密秘钥则列是一想个变否量；在设初计加椒密系书统时姐，加出密算斜法是衣可以亦公开嚷的，砖真正怒需要陈保密兵的是下密钥立。什么妥是密不码密码嫌是含菠有一宣个参荐数k的数字学变饿换，钟即C箩=Ek（m）m是未耽加密魂的信泳息（刷明文拢）C是加蜡密后刻的信慕息（凯密文庸）E是加棒密算艳法参数k称为旱密钥密文C是明成文m使用块密钥k经过气加密散算法掠计算蜂后的览结果芹；加密加算法撞可以伤公开糊，而观密钥端只能胞由通宴信双致方来炮掌握龙。密钥断长度密钥栋长度仓与密牙钥个心数密钥长度（位）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10389.托2.折2对称口密钥（sy稠mm任et近ri备c泻cr耗yp纯to今gr闭ap杜hy）密码痒体系对称脚加密诵的特笔点9.贷2.释3非对垃称密通钥（as策ym悟me今tr茶ic姓c忠ry兼pt业og除ra后ph慰y）密码站体系非对宿称密哨钥密坚码体链系的元特点9.座3防火盏墙技诉术9.要3.孩1防火轿墙的克基本猪概念防火桑墙是医在网筝络之译间执究行安格全控辅制策好略的币系统井，它耳包括叨硬件嫩和软票件；设置畜防火领墙的雄目的触是保匹护内据部网惨络资营源不散被外办部非轧授权识用户寻使用碍，防声止内合部受瓜到外倾部非滥法用蹄户的块攻击曾。9.交4网络贸防攻允击与塔入侵灶检测财技术9.苗4.劳1网络会攻击命方法暑分析目前懂黑客叫攻击纵大致杆可以达分为8种基疫本的照类型：入侵隐系统泥类攻我击；缓冲氧区溢尺出攻银击；欺骗握类攻面击；拒绝呆服务工攻击欢；对防站火墙阔的攻陪击；利用辆病毒搁攻击栋；木马租程序稀攻击肤；后门郊攻击央。9.心4.插2入侵绘检测忆的基堡本概激念入侵尊检测丧系统（in攻tr粱us眉io阁n妖de状te秀ct夕io孝n禁sy号st育em，ID编S）是对改计算央机和足网络究资源烈的恶热意使氧用行药为进鸣行识门别的谋系统真；它的健目的跃是监累测和反发现新可能湿存在考的攻艰击行纱为，技包括溉来自弊系统鞋外部电的入占侵行餐为和打来自耀内部苹用户穗的非惊授权存行为朴，并翻且采趴取相缓应的喜防护沉手段没。9.冠4.捏3入侵黑检测向的基盖本方爱法对各探种事薪件进转行分掠析，播从中创发现得违反屿安全莲策略帅的行质为是击入侵沙检测掀系统房诚的核镜心功漏能；入侵躁检测帽系统掘按照梯所采枪用的配检测田技术怕可以防分为蒜：•异常坝检测•误用归检测•两种孔方式声的结括合9.垫5网络浓文件柿备份万与恢本复技司术9.这5.培1网络基文件安备份鹿与恢镇复的筋重要肺性网络吩数据歇可以锡进行狐归档军与备查份；归档妇是指嫩在一鼓种特蜻殊介酒质上围进行挑永久拘性存萍储；网络松数据键备份岛是一去项基造本的绿网络握维护丹工作馒；备份滨数据锅用于获网络费系统演的恢组复。9.孝5.庙2网络舍文件滔备份浊的基磨本方龄法选择碧备份身设备选择篮备份予程序建立扯备份饥制度在考气虑备白份方津法时是需要责注意蒙的问揭题：如果按系统休遭到脊破坏摸需要爱多长毙时间馆才能态恢复弃？怎样嘱备份亭才可绩能在吊恢复懒系统筹时数翅据损括失最堵少？9.殖6网络谨防病液毒技括术9.赵6.停1造成害网络漫感染金病毒台的主上要原吨因70感%的病滤毒发暮生在后网络鸽上；将用盗户家瓶庭微部型机绢软盘省带到陷网络先上运速行而姨使网邀络感迈染上详病毒丈的事洒件约跳占41易%左右逆；从网斗络电懒子广件告牌庭上带妥来的秒病毒绳约占7%；从软枝件商膛的演沫示盘组中带惰来的脱病毒竞约占6%；从系膊统维牢护盘经中带扯来的独病毒堵约占6%；从公疫司之肠间交茎换的陵软盘蓬带来默的病渣毒约佳占2%；其他稀未知耽因素摧约占27戚%；从统充计数屿据中警可以绘看出乌，引白起网社络病啊毒感俯染的羡主要浆原因伍在于络网络床用户桃自身购。9.稠6.鬼2网络却病毒疫的危吃害网络树病毒麦感染阴一般洞是从煌用户酬工作膏站开盏始的耍，而参网络壮服务坦器是富病毒饶潜在剥的攻罪击目宾标，棚也是冶网络管病毒有潜藏径的重最要场签所；网络纹服务弊器在樱网络绪病毒烈事件晋中起冰着两鼻种作武用：莫它可沟能被意感染卸，造填成服娱务器恰瘫痪胶；它迁可以根成为冬病毒献传播煎的代幕理人朴，在嘉工作鸦站之虏间迅忌速传株播与植蔓延粘病毒浩；网络臭病毒镰的传塘染与壳发作著过程较与单笔机基电本相盐同，糠它将弄本身松拷贝煎覆盖丧在宿怒主程声序上张；当宿锯主程迈序执尽行时察，病识毒也帽被启种动，渡然后贿再继援续传虚染给磁其他毁程序绪。如收果病旧毒不固发作梳，宿桑主程泽序还僚能照沈常运厉行；脏当符历合某粉种条素件时洞，病司毒便脑会发呈作，铸它将千破坏业程序转与数音据。9.枕6.升3网络南工作胀站防畏病毒醋方法采用易无盘精工作湿站使用科单机贞防病烤毒卡使用耀网络补防病妻毒卡9.艳7网络雪管理彩技术9.鸽7.救1网络隆管理乡丰的基懂本概雾念网络影管理戚涉及阻以下甜三个浴方面：网络车服务在提供且是指苹向用孟户提己供新倍的服急务类觉型、丢增加喂网络顶设备袜、提乒高网演络性鸡能；网络在维护树是指蜻网络后性能挣监控酸、故肿障报屯警、呀故障驳诊断贴、故莫障隔饰离与角恢复泊；网络翠处理丝式是指稳网络口线路却、设咱备利动用率妙数据坊的采状集、障分析罗，以哲及提倚高网装络利瞎用率雾的各故种控竟制。9.蛇7.摆2陕O撕SI管理互功能稠域配置录管理够（co讲nf屈ig默ur捕at碑io训n宜ma致na自ge舱me毫nt）故障疲管理汇（fa厨ul如t浙ma眉na炎ge侮me态nt）性能修管理霞（pe档rf侄or柱ma犁nc久e麦ma逢na毁ge捎me么nt）安全任管理墓（se蝴cu财ri谎ty绸m市an膨ag增em骂en既t）记账还管理登（ac歪co惩un愧ti遣ng猴m圾an貌ag绪em肌en伐t）9.沙7.烈3简单健网络另管理存协议SN火MPIn蔬te阵rn乓et网络叫管理冻模型作业要使侧网络磨有序浙、安初全的以运行殿，必争须加钢强网绳络使悔用方酱法、岂网络狸安全继技术爸与道医德教条育，蜡完善沸网络除管理性，研甘究与驴开发昆新的召网络仔安全萍技术补与产习品；网络辟安全统技术先研究立基本队问题利包括欺：网由络防乓攻击煮、网眼络安款全漏值洞与拣对策遭、网妄络中吐的信而息安描全保采密、规网络种内部智安全骆防范慌、网瓦络防盛病毒肃、网辱络数逼据备叙份与僻灾难社恢复控；网络状安全鸭服务纯