第九章网络安全与网络管理

*,*,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,9,章 网络安全与网络管理,本章主要介绍的内容有：,网络安全基础,数据加密与防火墙,防范计算机病毒,网络管理,9.1,网络安全基础,9.1.1,网络安全的基本概念,网络安全是指通过采取各种技术和管理措施，使网络系统的硬件、软件及其系统中的数据资源受到保护，不因一些不利因素影响而使这些资源遭到破坏、更改、泄露，保证网络系统连续、可靠、正常地运行。,9.1,网络安全基础,1994,年末，俄罗斯人弗拉基米尔,利文与其伙伴从,CITYBANK,银行在纽约的计算机主机里窃取,1100,万美元。,1997,年,4,月,23,日，中国互联网络信息中心（,CNNIC,）,站点遭到黑客攻击，,CNNIC,的主页被换成骷髅头像。,2005,年,3,月,18,日，韩国外交通商部网站的首页遭到黑客攻击被迫关闭数小时。,9.1,网络安全基础,9.1.2,网络的安全威胁,对计算机网络的安全威胁可以分为两大类，即主动攻击和被动攻击。主动攻击分中断、篡改和伪造三种，被动攻击只有一种形式，即截获。,还有一种特殊的主动攻击就是恶意程序攻击：,（,1,）计算机病毒。,（,2,）计算机蠕虫。,（,3,）特洛伊木马。,（,4,）逻辑炸弹。,9.1,网络安全基础,9.1.3,网络安全策略,如右图所示，常用的网络安全策略包括,Protection,、,Detection,、,Response,和,Recovery,四个部分。,9.1,网络安全基础,9.1.4,网络安全机制与手段,1,网络安全机制,安全机制可以分为两类，一类与安全服务有关，它们用来实现安全服务；另一类与管理功能有关，它们用来加强对安全系统的管理。,ISO7498-2,建议的安全机制有：（,1,）加密机制 、（,2,）数字签名机制 、（,3,）访问控制机制 、（,4,）数据完整机制 、（,5,）认证交换机制 、（,6,）防业务流分析机制 、（,7,）路由控制机制 、（,8,）公证机制 。,9.1,网络安全基础,2,网络安全手段,一般采用以下几种安全手段来保证计算机网络的安全。,安全立法,安全管理,网络实体安全保护,系统访问控制,数据加密保护,9.2,数据加密,信息进行加密保护可以防止攻击者窃取网络机密信息，也可以检测出他们对数据的插入、删除、修改及滥用有效数据的各种行为。,9.3,防火墙,为了因此内部网不受外来者的入侵，在互联网被保护部分的入口处放置了一个设备，这个设备叫做互联网防火墙。,构筑防火墙是目前保护网络安全的最主要手段。防火墙是企业内部网与,Internet,间的一道屏障，可以保护企业网不受来自外部的非法用户的入侵，也可以控制企业内部网与,Internet,间的数据流量。,9.3,防火墙,9.3.1,防火墙的基本概念,防火墙（,Firewall,）,包括硬件和软件。防火墙安装的位置一定是在内部网络与外部网络之间，其结构如下图所示。,9.3,防火墙,9.3.2,防火墙的基本类型,按功能及工作方式可以将防火墙分为两种：包过滤防火墙和应用网关。,1,包过滤防火墙,9.3,防火墙,下图给出了包过滤路由器结构示意图。,9.3,防火墙,2,应用网关,应用网关的模型,9.3,防火墙,应用代理基本工作原理,9.3,防火墙,9.3.3,典型的,Internet,防火墙,9.4,防范计算机病毒,对待网络病毒的态度应该是：高度重视，但不要惊慌失措；采取严格的防病毒技术与严格的防范措施，将病毒的影响减小到最低程度。,计算机病毒问题的解决，只能从采用先进的防病毒技术与制定严格的用户使用网络的管理制度两方面入手。,计算机病毒，是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,9.4,防范计算机病毒,9.4.1,计算机病毒分类,计算机病毒常见的分类方式有如下,3,种 ：,1,按病毒寄生方式分类,2,按连接的方式分类,3,按感染型态分类,9.4,防范计算机病毒,9.4.2,防范网络病毒,网络防病毒可以从以下两方面入手：一是工作站，二是服务器。,为了防止病毒从网络侵入，可以采取以下措施：无盘工作站、带防病毒芯片的网卡、单机防病毒卡或网络防病毒软件。,目前，工作站防病毒主要有以下几种方法 ：,（,1,）采用无盘工作站,（,2,）使用单机防病毒卡,（,3,）使用网络防病毒卡,9.4,防范计算机病毒,9.4.3,应对黑客攻击,黑客主要是通过网络对计算机系统和网络系统进行攻击和破坏。下表所示的为黑客和计算机病毒入侵计算机的比较。,9.4,防范计算机病毒,9.4,防范计算机病毒,1,常见的黑客攻击方式,（,1,）口令破解 、（,2,）连接盗用 、（,3,）服务拒绝、（,4,）网络窃听、（,5,）数据篡改 、（,6,）地址欺骗 、（,7,）社会工程 、（,8,）恶意扫描 、（,9,）数据驱动攻击,2,黑客攻击的步骤,（,1,）信息收集 、（,2,）获得对系统的访问权限 、（,3,）破坏系统或盗取信息 、（,4,）消除入侵痕迹,9.4,防范计算机病毒,防止计算机黑客的入侵方式，最熟悉的就是在网络上设置防火墙（,Firewall,），,这是一套专门放在,Internet,大门口 （,Gateway,，,网关）的身份认证系统，其目的是用来隔离,Internet,外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。,9.5,网络管理,网络管理，简单地说就是为了保证网络系统能够持续、稳定、高效和可靠地运行，对组成网络的各种软硬件设施和人员进行的综合管理。,网络管理的主要目标包括：使网络更容易使用；减少运行费用，提高效率；减少停机时间，改进响应时间，提高设备利用率；减少或消除网络瓶颈；保证网络安全。,在,OSI,网络管理标准中提出了网络管理的如下五个功能域 ：故障管理 、性能管理 、计费管理 、安全管理 和配置管理,9.5,网络管理,网络管理系统从逻辑上可以分为以下三个部分,:,管理对象,管理进程,管理协议,9.5,网络管理,OSI,网络管理规范，是一个建立在,OSI,七层参考模型上的网络管理体系，定义了四种不同的模型，即功能模型、组织模型、信息模型和通信模型。,组织模型如下图所示,9.5,网络管理,简单网络管理协议,SNMP,20,世纪,80,年代初期,ISO,制定了,OSI,网络管理规范,CMIS/CMIP,。,SNMP,是在,SGMP,即简单网关监控协议基础上发展的，,SNMP,是,SGMP,向,ISO,的网络管理规范靠拢结果，它于,1990,年成为正式的网络管理协议。,