第九章 网络安全与网络管理技术

互联网体系结构主讲教师:谭鸣钟第9章网络安全与网络管理技术本章学习要求:了解：网络安全的重要性。掌握：密码体制的基本概念及应用。掌握：防火墙的基本概念。掌握：网络入侵检测与防攻击的基本概念与方法。掌握：网络文件备份与恢复的基本方法。了解：网络病毒防治的基本方法。了解：网络管理的基本概念与方法。9.1网络安全研究的主要问题

9.1.1网络安全的重要性网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。9.1.2网络安全技术研究的主要问题

网络防攻击问题；网络安全漏洞与对策问题；网络中的信息安全保密问题；防抵赖问题；

网络内部安全防范问题；网络防病毒问题；网络数据备份与恢复、灾难恢复问题。1.网络防攻击技术服务攻击（applicationdependentattack）

:

对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击（applicationindependentattack）

:

不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？2.网络安全漏洞与对策的研究网络信息系统的运行涉及：计算机硬件与操作系统；网络硬件与网络软件；数据库管理系统；应用软件；网络通信协议。网络安全漏洞也会表现在以上几个方面。3.网络中的信息安全问题信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；信息主传输天安全徒问题此的四欢种基绑本类幸型4.防抵渡赖问躁题防抵苹赖是芳防止征信息肯源结须点用慨户对林他发虑送的者信息承事后精不承按认，纷或者乔是信舞息目巨的结泽点用满户接市收到获信息端之后匪不认咱账；通过维身份渔认证耗、数强字签牢名、书数字蜂信封旬、第垦三方猛确认蛾等方伟法，宁来确页保网辨络信定息传退输的向合法慌性问端题，虫防止勾“抵嫌赖”定现象芒出现铜。5.网络转内部各安全歇防范网络走内部喝安全球防范抄是防瓦止内础部具你有合蛙法身诱份的罗用户滚有意社或无感意地古做出美对网启络与划信息备安全分有害暗的行把为；对网陷络与缎信息历安全丛有害版的行混为包遣括：•有意爷或无误意地械泄露超网络货用户慕或网战络管戏理员交口令泳；•违反吸网络丑安全梅规定配，绕陵过防头火墙剩，私迷自和蹄外部驾网络污连接兆，造雄成系伸统安盲全漏笼洞；•违反而网络胖使用慕规定喂，越烦权查应看、潜修改毛和删客除系武统文膊件、冒应用黎程序漠及数笋据；•违反棋网络每使用翼规定凳，越爆权修枕改网销络系劳统配回置，鞠造成勉网络奏工作赛不正应常；解决股来自好网络辟内部严的不铲安全伟因素模必须蓬从技舱术与心管理底两个蔬方面倍入手岛。6.网络育防病僚毒引导灿型病民毒可执参行文现件病助毒宏病来毒混合尼病毒特洛汇伊木熊马型讨病毒In进te鸭rn遭et语言冻病毒7.网络冷数据豪备份保与恢载复、钱灾难钟恢复恩问题如果乞出现状网络颤故障暗造成图数据僵丢失寸，数朋据能觉不能动被恢肿复？如果档出现伞网络荐因某怎种原启因被敌损坏造，重来新购怀买设大备的阿资金轿可以康提供胶，但世是原僚有系浸统的筑数据枕能不遵能恢迫复？9.徒1.雨3网络令安全溜服务逗与安毒全标垮准网络容安全他服务剧应该特提供槐以下废基本慢的服垂务功企能：数据哥保密嚷（da劳ta尺c节on寸fi兵de烘nt症ia培li躬ty）认证饰（au际th吃en庄ti弟ca煌ti但on）数据债完整蔽（da鸦ta溜i壮nt搞eg番ri酒ty）防抵墨赖（no炒n-始re享pu积di战at疤io聪n）访问汽控制封（ac们ce腹ss织c渐on补tr削ol）网络接安全桥标准《电子镇计算信机系共统安跑全规疫范》，19恐87年10月《计算奔机软拾件保脱护条察例》，19勾91年5月《计算锯机软诵件著祥作权预登记绝办法》，19桌92年4月《中华拍人民蛮共和剪国计膝算机在信息种与系脂统安雨全保虾护条喂例》，19侵94年2月《计算质机信论息系鬼统保冈密管呜理暂蚕行规董定》，19棚98年2月《关于障维护蚀互联舍网安候全决饲定》，全稠国人井民代室表大袄会常盛务委员事会通宫过，20测00年12月可信焦计算而机系滥统评卫估准差则TC舌-S握EC迟-N阵CS种C是19牺83年公苍布的映，19符85年公湿布了骑可信榨网络店说明哥（TN裕I）；可信策计算宏机系隐统评巩估准屋则将奏计算钻机系开统安室全等损级分筝为4类7个等秀级，款即D、C1、C2、B1、B2、B3与A1；D级系挣统的喊安全遵要求剂最低拍，A1级系蓬统的燥安全惊要求家最高揪。9.起2加密惰与认抚证技龄术9.绘2.谢1密码责算法倍与密虏码体弱制的凶基本榆概念数据愈加密年与解追密的贪过程密码呜体制壮是指哭一个撤系统劣所采质用的胀基本拌工作豆方式科以及启它的拉两个寨基本传构成铜要素继，即幅加密/解密龟算法宣和密柄钥；传统斥密码钱体制同所用颠的加零密密跌钥和条解密菠密钥敲相同将，也盗称为葡对称季密码穿体制森；如果战加密嚼密钥粥和解阁密密妄钥不猜相同筛，则探称为启非对宵称密巨码体熊制；密钥治可以名看作睡是密糕码算布法中解的可凶变参谱数。倍从数珠学的暮角度拒来看防，改涨变了叨密钥属，实半际上价也就演改变有了明深文与深密文前之间忌等价庙的数馅学函震数关常系；密码蚕算法长是相抄对稳型定的皱。在朴这种英意义庸上，张可以链把密趴码算锁法视则为常施量，迁而密划钥则贫是一骑个变邀量；在设丹计加终密系买统时架，加荷密算香法是著可以星公开根的，原真正挑需要罩保密就的是辨密钥吊。什么纵是密喝码密码品是含拾有一妖个参亚数k的数饺学变污换，堵即C况=Ek（m）m是未鼻加密己的信银息（如明文惑）C是加屈密后辰的信饰息（洗密文骑）E是加飞密算名法参数k称为挥密钥密文C是明词文m使用咐密钥k经过悬加密榨算法脱计算脖后的烦结果茎；加密缸算法杠可以事公开黄，而批密钥称只能喂由通蛋信双坚方来否掌握墨。密钥白长度密钥按长度呢与密论钥个说数密钥长度（位）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10389.秀2.吗2对称凑密钥（sy割mm牛et绝ri模c帮cr徐yp堂to贝gr吩ap丙hy）密码财体系对称诊加密扩的特魔点9.集2.肉3非对保称密传钥（as抛ym伯me子tr煮ic心c计ry卸pt污og患ra扩ph磁y）密码淡体系非对济称密详钥密栏码体素系的林特点9.册3防火鱼墙技焰术9.甩3.封1防火淘墙的供基本饼概念防火棋墙是潜在网轰络之咐间执缠行安劲全控灵制策伍略的第系统如，它泉包括悔硬件瞒和软缴件；设置鹊防火杂墙的割目的甚是保抄护内喇部网凝络资霸源不封被外再部非停授权允用户秤使用竭，防桥止内眠部受兔到外隶部非蜓法用索户的绕攻击奋。9.伏4网络逗防攻磁击与阶入侵惕检测切技术9.吨4.午1网络相攻击奥方法备分析目前谎黑客火攻击猎大致贝可以胜分为8种基赛本的另类型：入侵集系统困类攻购击；缓冲嘴区溢孤出攻械击；欺骗性类攻霉击；拒绝专服务钳攻击损；对防觉火墙际的攻狠击；利用钢病毒验攻击攀；木马饱程序迁攻击可；后门校攻击创。9.头4.嫩2入侵缩慧检测冰的基裙本概忧念入侵问检测举系统（in垃tr点us帮io报n润de脖te禾ct滥io矛n家sy执st问em，ID跟S）是对肉计算除机和眠网络吧资源禁的恶奸意使秃用行燃为进拦行识践别的乌系统页；它的固目的铅是监杆测和暴发现狡可能绕存在僻的攻窝击行盯为，程包括甲来自毯系统欣外部穴的入期侵行磨为和匆来自至内部猪用户陶的非堂授权添行为无，并酿且采幸取相唤应的绣防护捕手段驻。9.焦4.层3入侵木检测睁的基牧本方蒙法对各偏种事慈件进旬行分柱析，茧从中辜发现贩违反恶安全扬策略闷的行揉为是绍入侵虎检测唇系统锤的核谱心功超能；入侵坦检测孩系统践按照板所采晃用的牌检测厚技术齐可以岁分为潜：•异常胜检测•误用麻检测•两种鼠方式蛛的结驳合9.导5网络祥文件捡备份吗与恢耐复技及术9.饰5.从1网络杠文件汁备份柳与恢薪复的侨重要烦性网络溉数据衰可以宗进行疏归档救与备慌份；归档讲是指愧在一浊种特呜殊介猴质上异进行王永久刘性存池储；网络系数据午备份艰是一草项基巩本的茄网络愿维护烘工作量；备份睁数据束用于碰网络赔系统寄的恢哈复。9.损5.痰2网络餐文件打备份惕的基晒本方抓法选择径备份笨设备选择半备份府程序建立圈备份薄制度在考穿虑备铲份方姿法时响需要凝注意雷的问您题：如果券系统索遭到有破坏孔需要戏多长护时间旬才能久恢复厉？怎样吹备份易才可仿能在侮恢复阴系统妹时数散据损枣失最阴少？9.忙6网络僚防病近毒技毕术9.使6.反1造成骆网络侄感染非病毒批的主用要原役因70扯%的病欢毒发桨生在缘瑞网络贪上；将用因户家能庭微瓣型机紧软盘漠带到恐网络饿上运烦行而渣使网烦络感错染上河病毒丙的事陪件约汁占41榜%左右碌；从网手络电筐子广狂告牌划上带巩来的竹病毒摊约占7%；从软趁件商距的演淡示盘恩中带敬来的凡病毒抽约占6%；从系缓统维社护盘醋中带维来的防病毒浅约占6%；从公抓司之遇间交喊换的掌软盘表带来最的病欺毒约邀占2%；其他海未知蛮因素描约占27绳%；从统扛计数惩据中府可以亮看出臣，引昨起网狐络病黑毒感短染的蒸主要认原因雨在于痒网络假用户滥自身萍。9.损6.腾2网络浊病毒敢的危适害网络枝病毒俭感染荡一般缘瑞是从里用户讨工作餐站开彻始的巧，而锻网络事服务幅器是野病毒茎潜在抽的攻败击目荷标，骑也是表网络差病毒世潜藏爷的重姓要场践所；网络浩服务山器在架网络弱病毒扑事件沃中起村着两太种作洲用：亩它可杜能被离感染耀，造灶成服陪务器蚀瘫痪值；它那可以佳成为渴病毒核传播辫的代弹理人辉，在麻工作骆站之姓间迅傻速传蓝播与意蔓延光病毒骗；网络踪蝶病毒麻的传喜染与移发作趟过程再与单娱机基找本相价同，倘它将茎本身圆拷贝横覆盖桌在宿阴主程斑序上骑；当宿船主程湿序执贝行时并，病棒毒也慕被启糕动，乐然后芒再继微续传逃染给众其他泄程序嘴。如扩果病号毒不龟发作谢，宿够主程钻序还惧能照扬常运拿行；辟当符基合某改种条晌件时匀，病税毒便轮会发君作，艇它将临破坏鼓程序水与数等据。9.雕6.柱3网络贿工作眨站防干病毒天方法采用郊无盘怜工作煌站使用期单机者防病戴毒卡使用径网络坑防病营毒卡9.记7网络灵管理朝技术9.石7.累1网络决管理恶的基端本概晌念网络姑管理赌涉及祸以下男三个杰方面：网络谷服务刚提供量是指纱向用苦户提嗽供新且的服酸务类谣型、狮增加宿网络散设备充、提昆高网述络性傻能；网络崖维护史是指寻网络疏性能斤监控慎、故辫障报御警、厉故障鹿诊断认、故垂障隔裕离与让恢复搬；网络协处理游是指诸网络肃线路洒、设竭备利镇用率基数据苍的采扫集、私分析扛，以端及提商高网册络利努用率间的各叙种控娱制。9.释7.肾2今O功SI管理毙功能虏域配置棋管理爸（co手nf豪ig侧ur势at救io枝n产ma酱na浸ge客me甘nt）故障源管理达（fa扭ul失t援ma助na权ge画me启nt）性能凝管理分（pe猎rf语or停ma跑nc牛e旬ma阴na滴ge钩me缺nt）安全贷管理蒜（se割cu盲ri烫ty贼m蠢an润ag警em抖en春t）记账喜管理似（ac裙co丈un身ti射ng选m吩an熊ag缩慧em竖en还t）9.疤7.篇3简单非网络特管理性协议SN执MPIn静te去rn卖et网络犬管理狸模型作业要使忘网络权有序棚、安贫全的豆运行浸，必须须加胡强网勉络使派用方锁法、承网络宪安全透技术旗与道说德教暂育，猎完善汇网络秤管理拨，研悠究与蝴开发杰新的馋网络字安全宅技术爆与产敌品；网络婶安全哄技术省研究豆基本技问题追包括横：网宵络防替攻击荣、网剧络安察全漏刺洞与犯对策种、网摄络中饱的信眨息安裙全保气密、纳网络立