《计算机网络技术基础教程》 课件 单元8 网络管理与网络安全

单元8网络管理与网络安全8.1计算机网络安全概述

学习目标了解网络安全的概念及分类；能够说出网络安全的特征；能够熟练运用常用的网络诊断命令对网络故障进行诊断；了解网络管理的概念及目标；掌握网络安全的应对机制。8.1.1计算机网络安全事例网络安全问题日趋严峻，各地发生多起重大网络安全事件，既有公民信息遭泄露，也发生多起因为遭遇勒索软件攻击而被迫停工停产事件，一起来盘点近年来发生的几起信息网络安全事例。1.数据泄露事件（1）疑似超2亿国内个人信息在国外暗网论坛兜售；（2）全国首例适用民法典的个人信息保护案宣判；（3）镇江丹阳30人贩卖6亿条个人信息获利800余万（4）央视曝App偷听隐私语音发出后录音还在继续；2.网络攻击事件（1）多个行业感染incaseformat病毒；（2）针对农信社和城商行的短信钓鱼攻击；（3）澳门卫生局电脑系统遭恶意攻击；（4）西安市首例破坏医院计算机信息系统案；8.1.2计算机网络面临的安全威胁1.网络安全的概念及分类

网络安全是指网络系统的硬件、软件以及系统中的数据受到应有的保护，不会因为偶然或恶意攻击而遭到破坏、更改和泄露，系统能连续、可靠、正常地运行，网络服务不中断。

由于不同的环境和应用，网络安全产生了不同的类型。主要有以下几种：（1）系统安全（2）网络的安全（3）信息传播安全（4）信息内容安全8.1.2计算机网络面临的安全威胁2.网络安全的特征

网络安全要求提供信息数据的保密性、真实性、认证和数据完整性，其具有以下四个方面的特征：（1）保密性：指信息不泄露给非法授权用户、实体或过程，或供其利用的特性。（2）完整性：指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。（3）可用性：指保证信息确实能为授权使用者所用，即保证合法用户在需要时可以使用所需信息。（4）可控性：指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下。（5）可审查性：指是在出现安全问题时可提供依据与手段。8.1.2计算机网络面临的安全威胁3.网络安全威胁的种类

网络安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。

网络安全威胁主要可分为以下两类：（1）被动攻击：主要是收集信息而不是进行访问，攻击者主要是观察和分析协议数据，而不干扰信息的传输（重点在于不修改数据），数据的合法用户对这种活动一点也不会察觉到，被动攻击不会对网络造成实质性的破坏。主要包括窃听攻击形式。（2）主动攻击：包含攻击者访问所需要信息的故意行为，修改或破坏协议数据，主动攻击相对于被动攻击来说，更倾向于修改网络数据和干扰网络正常运行。主要包括篡改和恶意程序等攻击形式。8.1.2计算机网络面临的安全威胁4.攻击类型（1）中断：指系统资源遭到破坏或变得不能使用，这是对可用性的攻击。例如，对一些硬件进行破坏、切断通信线路或禁用文件管理系统。（2）截获：指未授权的实体得到了资源的访问权，这是对保密性的攻击，未授权实体可能是一个人、一个程序或一台计算机。例如，为了捕获网络数据的窃听行为，以及在不授权的情况下复制文件或程序的行为。（3）修改：指未授权的实体不仅得到了访问权，而且还篡改了资源，这是对完整性的攻击。例如，在数据文件中改变数值、改动程序使其按不同的方式运行、修改在网络中传送的消息内容等。（4）捏造：指未授权的实体向系统中插入伪造的对象，这是对真实性的攻击。例如，向网络中插入欺骗性的消息，或者在文件中插入额外的记录。8.1.2计算机网络面临的安全威胁5.网络故障诊断工具TCP/IP体系结构OSI参考模型网络故障组件故障诊断工具测试重点应用层应用层应用程序、操作系统浏览器、各类网络软件、网络性能测试软件、nslookup命令网络性能、计算机系统会话层传输层传输层各类网络服务器网络协议分析软件、网络协议分析硬件、网络流量监控工具服务器端口设置、网络攻击与病毒网络层网络层路由器、计算机网络配置路由及协议设置、计算机的本地连接、ping命令、route命令、tracert命令、pathping命令、netstat命令计算机IP设置、路由器设置网络接入层数据链路层交换机、网卡设备指示灯、网络测试仪、交换机配置命令、arp命令网卡及交换机硬件、交换机设备、网络环路、广播风暴物理层双绞线、光纤、无线传输、电源电缆测试仪、光纤测试仪、电源指示灯双绞线、光纤接口及传输特性8.1.3网络安全应对机制1.网络管理的概念网络管理：是指用软件手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。包括以下三个方面的内容：

（1）网络服务提供：是指向用户提供新的服务类型、增加网络设备、提高网络性能。

（2）网络维护：是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。

（3）网络处理：是指网络线路及设备利用率，数据的采集、分析，以及提高网络利用率的各种控制。8.1.3网络安全应对机制2.网络管理的目标

网络管理的目标是确保计算机网络的持续正常运行，使其能够有效、可靠、安全、经济地提供服务，并在计算机网络系统运行出现异常时能及时响应并排除故障。广义：包括技术、制度、政策、法规、措施等方面。狭义：从技术角度出发，了解网络系统的运行状态并加以监控、优化。8.1.3网络安全应对机制3.网络管理的应对机制

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等。①物理层：防止搭线偷听等。②数据链路层：采用通信保密进行加密和解密。③网络层：使用防火墙技术处理信息在内、外网络间的流动。④传输层：进行端到端的加密。⑤应用层：对用户进行身份验证，建立安全的通信信道，设计认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。8.1.3网络安全应对机制4.个人网络安全的防范措施

（1）网上注册内容时不要填写个人私密信息（2）尽量远离社交平台涉及的互动类活动（3）定期安装或者更新病毒防护软件（4）不要在公众场所连接未知的WiFi账号（5）警惕手机诈骗短信及电话（6）妥善处理好涉及到个人信息的单据感谢聆听单元8网络管理与网络安全8.2计算机网络病毒学习目标了解网络病毒的概念及分类；能够说出计算机病毒的传播方式；能够准确说出并理解计算机病毒的特征；掌握网络防病毒软件的工作方式；能够理解杀毒软件的功能；掌握计算机病毒的防范措施，增强个人网络安全意识，树立“网络并非法外之地”的意识。8.2计算机网络病毒

计算机病毒（ComputerVirus）是一段人为编制的具有破坏性的特殊程序代码或指令，通过感染计算机文件进行传播，以破坏或篡改用户数据，影响信息系统正常运行为主要目的的恶意程序。

良性的病毒只是恶作剧性质，破坏不大，但是恶性病毒会使软件系统崩溃以及硬件损坏，比如木马病毒会使计算机用户网上银行账号、交易账号被盗，造成严重的经济损失，因此，《计算机软件保护条例》规定，制造和传播计算机病毒属于违法犯罪行为。8.2.1网络病毒的概述1.计算机病毒的特征（1）破坏性：这是计算机病毒的主要特征。（2）潜伏性：病毒埋伏在正常程序周围或插入合法程序里隐藏起来，等待特定的条件满足之后病毒就会发作。（3）隐蔽性：采用特殊技术，隐藏起来不容易被发现。（4）可触发性：即激发性，病毒的发作受一定条件控制，多数以日期或时间作为条件。（5）传染性：即传播性，病毒会不断自我复制，通过各种存储器和网络进行传播。（6）表现性：计算机中病毒以后，具有一定的外在症状表现，如“熊猫烧香”病毒发作后，计算机的文件图标被换成熊猫图片。8.2.1网络病毒的概述2.网络病毒的分类（1）从网络病毒功能区分，可以分为木马病毒和蠕虫病毒。（2）从网络病毒传播途径区分，可以分为漏洞型病毒、邮件型病毒两种。8.2.1网络病毒的概述3.计算机病毒的传播方式

计算机网络病毒有自己的传输模式和传输路径。计算机网络最本质的功能就是资源共享和数据通信，这意味着计算机网络病毒的传播非常容易，通常在数据交换的环境就可以进行病毒传播。其主要有以下三种传输方式：（1）通过移动存储设备进行病毒传播（2）通过网络来传播（3）利用计算机系统和应用软件的弱点传播8.2.2网络防病毒软件的应用1.网络防病毒软件的功能

网络防病毒软件的基本功能是：对文件服务器和工作站进行病毒扫描，发现病毒后立即报警并隔离被病毒感染的文件，由网络管理员负责清除计算机病毒。8.2.2网络防病毒软件的应用2.网络防病毒软件的工作方式网络防病毒软件一般提供以下3种扫描方式：（1）实时扫描。实时扫描是指当对一个文件进行“转入”（checkedin）、“转出”（checkedout）、存储和检索操作时，不间断地对其进行扫描，以检测其中是否存在病毒和其他恶意代码。（2）预置扫描。该扫描方式可以预先选择日期和时间来扫描文件服务器。预置的扫描频率可以是每天一次、每周一次或每月一次，扫描时间最好选择在网络工作不太繁忙的时候。定期、自动地扫描服务器能够有效提高防毒管理的效率，使网络管理员更加灵活地采取防毒策略。（3）人工扫描。人工扫描方式可以要求网络防病毒软件在任何时候扫描文件服务器上指定的驱动器盘符、目录和文件，扫描的时间长短取决于要扫描的文件和硬盘资源的容量大小。8.2.3网络病毒防范的方法

现在计算机病毒无处不在，我们要加强安全防范意识，要有效避免计算机病毒危害。需要注意以下几点：（1）安装杀毒软件并定期升级，开启实时监控功能；（2）要对计算机中重要的数据定期进行备份，不能备份在同一台机器上，需要备份到不同的机器硬盘上；（3）不要轻易打开陌生链接，以防钓鱼类网站；（4）使用外来磁盘之前要先查杀病毒；（5）不要随意登录不文明、不健康的网站，不浏览不安全的陌生网站；不轻易下载安装来历不明的程序，不随意打开陌生邮件，或在打开之前先查杀病感谢聆听单元8网络管理与网络安全8.3计算机网络渗透与防渗透学习目标了解黑客的概念；掌握黑客入侵的攻击手段；能够说出防范黑客攻击的方法；了解数据加密技术的概念；能够准确理解密钥加密算法的过程；了解防火墙的概念及分类；能够准确说出防火墙的功能及局限性。8.3.1认识黑客

黑客（Hacker）是指在未经许可的情况下通过技术手段登录到他人的网络服务器甚至是连接在网络上的单机，并对网络进行一些未经授权的操作。8.3.1认识黑客

1.黑客入侵的攻击手段

在Internet中，为了防止黑客入侵自己的计算机，就必须先了解黑客入侵目标计算机常用的攻击手段，主要有以下几种：（1）非授权访问（2）信息泄露或丢失（3）破坏数据完整性（4）拒绝服务攻击（5）利用网络传播病毒8.3.1认识黑客2.黑客攻击的防范

防范黑客入侵手段，不仅仅是技术问题，关键是要制订严密、完整而又行之有效的安全策略。安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，主要包括以下三个方面的手段：（1）法律手段（2）技术手段（3）管理手段小课堂——网络安全法律法规体系建设2020年，我国网络安全法律法规体系建设进一步完善，多项网络安全法律法规面向社会公众发布，我国网络安全法律法规体系日臻完善。国家互联网信息办公室等12个部门联合制定和发布《网络安全审查办法》，以确保关键信息基础设施供应链安全，维护国家安全。8.3.2数据加密技术

数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行加密来保障其安全性，是一种主动的安全防御策略。常用的数据加密技术有私钥加密和公钥加密两种技术。1.对称加密2.非对称加密8.3.3防火墙技术

防火墙本义是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离本地网络与外界网络之间的一道防御系统，其实原理是一样的，也就是防止灾难扩散。防火墙是一个或一组系统，能够增强机构内部网络的安全性，只允许经过授权的数据通过，并且本身必须能够免于渗透。8.3.3防火墙技术1.防火墙的概念

防火墙（Firewall）是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入，是一系列软件、硬件等部件的组合；在逻辑上，防火墙是一个分离器，一个限制器，一个分析器，它有效地监控了内部网络和Internet之间的任何活动，保证了内部网络的安全。

在互联网上，防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域（即Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍人们对风险区域的访问，所以它一般连接在核心交换机与外网之间。8.3.3防火墙技术2.防火墙的基本功能

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术，其基本功能如下表所示。功能说明保护端口信息保护并隐藏用户计算机在Internet上的端口信息，使得黑客无法扫描到计算机端口，从而无法进入计算机发起攻击过滤后门程序过滤掉木马程序等后门程序保护个人资料保护计算机中的个人资料不被泄露，当有不明程序企图改动或复制资料时，防火墙会加以阻止，并提醒计算机用户提供安全状况报告提供计算机的安全状况报告，以便及时调整安全防范措施8.3.3防火墙技术3.防火墙的分类（1）软件防火墙：主要服务于客户端计算机，Windows操作系统本身就自带防火墙，其他的如金山网镖、瑞星防火墙、360安全卫士、天网等都是目前比较流行的防火墙软件。（2）硬件防火墙：硬件防火墙有多种，其中路由器可以起到防火墙的作用，代理服务器也同样具备防火墙的功能。独立防火墙设备比较昂贵，较著名的独立防火墙生产厂商有华为、思科、D-Link、黑盾等。（3）芯片级防火墙：芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防护墙速度更快，处理能力更强，性能更高。8.3.3防火墙技术4.防火墙的局限性（1）不能防范未经过防火墙产生的攻击；（2）不能防范由于内部用户不注意所造成的威胁；（3）不能防止受到病毒感染的软件或文件在网络上传输；（4）很难防止数据驱动式攻击。感谢聆听单元8网络管理与网络安全8.4防钓鱼攻击方法学习目标了解网络钓鱼的含义；能够说出常见的网络攻击技术；能够准确理解网络钓鱼的防范措施；8.4防钓鱼攻击方法

在传统的利用系统漏洞和软件漏洞进行入侵攻击的可能性越来越小的前提下，网络钓鱼(Phishing)(passwordharvestingfishing)已经逐渐成为黑客们趋之若鹜的攻击手段，同时无论网络相关的客户端软件还是大型的Web网站都开始发觉网络钓鱼已经成为了一个严峻的问题，并积极进行防御。8.4.1网络钓鱼的含义

网络钓鱼属于社会工程学攻击方式之一，简单的描叙就是通过伪造信息获得受害者的信任并且响应，由于网络信息是呈爆炸性增长的，人们面对各种各样的信息往往难以辨认真伪，依托网络环境进行钓鱼攻击是一种非常可行的攻击手段。8.4.2网络钓鱼的形式网络钓鱼从攻击角度上分为以下两种：（1）通过伪造具有“概率可信度”的信息欺骗受害者，这里提到了“概率可信度”这个名词，从逻辑上说就是有一定的概率使人信任并且响应，从原理上说，攻击者使用“概