計(jì)算機(jī)網(wǎng)絡(luò)安全_第1頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)安全_第2頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)安全_第3頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)安全_第4頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)安全_第5頁(yè)
已閱讀5頁(yè),還剩149頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

教學(xué)內(nèi)容問(wèn)題原由計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,促進(jìn)了社會(huì)的進(jìn)步和繁榮,并為人類(lèi)社會(huì)創(chuàng)造了巨大財(cái)富。但由于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的脆弱性以及人為的攻擊破壞,也給社會(huì)帶來(lái)了損失。因此,網(wǎng)絡(luò)安全已成為重要研究課題。重點(diǎn)討論網(wǎng)絡(luò)安全技術(shù)措施:計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù),以及網(wǎng)絡(luò)管理技術(shù)。教學(xué)重點(diǎn)能力要求掌握:網(wǎng)絡(luò)安全與管理的概念;網(wǎng)絡(luò)安全與管理技術(shù)應(yīng)用。熟悉:計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)。知識(shí)結(jié)構(gòu)防火墻技術(shù)網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)病毒防治技術(shù)破密方法現(xiàn)代加密方法數(shù)字認(rèn)證虛擬專(zhuān)用網(wǎng)數(shù)據(jù)加密與數(shù)字認(rèn)證網(wǎng)絡(luò)病毒的防治網(wǎng)絡(luò)病毒的類(lèi)型網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全的基本概念防火墻的基本結(jié)構(gòu)防火墻的基本類(lèi)型防火墻的基本功能防火墻的基本概念VPN的基本類(lèi)型VPN的安全協(xié)議VPN的實(shí)現(xiàn)技術(shù)VPN的基本概念網(wǎng)絡(luò)管理技術(shù)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議ISO網(wǎng)絡(luò)管理功能域網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)網(wǎng)絡(luò)管理的基本概念數(shù)據(jù)加密概念傳統(tǒng)加密方法防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品常用網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)性能管理與優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)犯罪的概念

違反法律規(guī)定,利用計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)進(jìn)行以網(wǎng)絡(luò)內(nèi)容為對(duì)象,并妨害網(wǎng)絡(luò)正常運(yùn)行秩序,嚴(yán)重危害社會(huì),依法應(yīng)負(fù)刑事責(zé)任的行為。網(wǎng)絡(luò)犯罪與計(jì)算機(jī)犯罪區(qū)別網(wǎng)絡(luò)犯罪是針對(duì)和利用網(wǎng)絡(luò)進(jìn)行的犯罪,網(wǎng)絡(luò)犯罪的本質(zhì)特征是危害網(wǎng)絡(luò)及其信息的安全與秩序。所謂計(jì)算機(jī)犯罪,就是在信息活動(dòng)領(lǐng)域中,利用計(jì)算機(jī)信息系統(tǒng)或計(jì)算機(jī)信息知識(shí)作為手段,或者針對(duì)計(jì)算機(jī)信息系統(tǒng),對(duì)國(guó)家、團(tuán)體或個(gè)人造成危害,依據(jù)法律規(guī)定,應(yīng)當(dāng)予以刑罰處罰的行為。網(wǎng)絡(luò)犯罪的特點(diǎn)

第一,犯罪科技含量高。第二,隱蔽性強(qiáng),偵察取證難度大。第三,犯罪成本低且具有跨國(guó)性。第四,危害廣泛和后果嚴(yán)重。第五,犯罪形式多樣。第六,虛擬的現(xiàn)實(shí)性。犯罪形式

(1)是通過(guò)信息交換和軟件的傳遞過(guò)程,將破壞性病毒附帶在信息中傳播、在部分免費(fèi)輔助軟件中附帶邏輯炸彈定時(shí)引爆、或者在軟件程序中設(shè)置后門(mén)程序的犯罪。(2)是通過(guò)非法手段,針對(duì)網(wǎng)絡(luò)漏洞對(duì)網(wǎng)絡(luò)進(jìn)行技術(shù)入侵,侵入網(wǎng)絡(luò)后,主要以偷窺、竊取、更改或者刪除計(jì)算機(jī)信息為目的的犯罪。(3)是利用公用信息網(wǎng)絡(luò)侵吞公共財(cái)務(wù),以網(wǎng)絡(luò)為傳播媒體在網(wǎng)上傳播反動(dòng)言論或?qū)嵤┰p騙和教唆犯罪。(4)是利用現(xiàn)代網(wǎng)絡(luò)這一載體,實(shí)施侮辱、誹謗、恐嚇與敲詐勒索犯罪。(5)是利用現(xiàn)代網(wǎng)絡(luò)實(shí)施色情影視資料、淫穢物品的傳播犯罪。網(wǎng)絡(luò)犯罪的原因(主觀)

第一,貪圖錢(qián)財(cái)、謀取私利。第二,發(fā)泄不滿(mǎn)、進(jìn)行報(bào)復(fù)。第三,智力挑戰(zhàn)網(wǎng)絡(luò)、游戲人生。第四,政治目的網(wǎng)絡(luò)犯罪的原因(客觀)第一,由于市場(chǎng)經(jīng)濟(jì)的發(fā)展產(chǎn)生的貧富差距越來(lái)越大,而計(jì)算機(jī)時(shí)代計(jì)算機(jī)信息系統(tǒng)儲(chǔ)存、處理、和傳輸?shù)臄?shù)據(jù)中有大量是具有價(jià)值的信息,這些信息能夠帶來(lái)利益第二,網(wǎng)絡(luò)犯罪成本低效益高是犯罪誘發(fā)點(diǎn)。第三,網(wǎng)絡(luò)技術(shù)的發(fā)展和安全技術(shù)防范不同步,使犯罪分子有機(jī)可乘。第四,法律約束剛性不強(qiáng)。第五,網(wǎng)絡(luò)道德約束的綿軟和網(wǎng)絡(luò)道德教育的缺失第六,社會(huì)亞文化對(duì)網(wǎng)絡(luò)犯罪起推波助瀾的作用。預(yù)防網(wǎng)絡(luò)犯罪的對(duì)策

打擊和預(yù)防網(wǎng)絡(luò)犯罪活動(dòng),必須堅(jiān)持“預(yù)防為主,打防結(jié)合”的方針,本著防范與懲處相結(jié)合的原則,應(yīng)著重強(qiáng)化以下幾個(gè)方面:(一)加強(qiáng)技術(shù)管理與網(wǎng)絡(luò)安全管理的工作(二)完善立法(三)凈化網(wǎng)絡(luò)環(huán)境,加強(qiáng)網(wǎng)絡(luò)道德建設(shè)(四)強(qiáng)化國(guó)際合作,加大打擊力度計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法(19971230)第五條任何單位和個(gè)人不得利用國(guó)際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列信息:(一)煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施的;(二)煽動(dòng)顛覆國(guó)家政權(quán),推翻社會(huì)主義制度的;(三)煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一的;(四)煽動(dòng)民族仇恨、民族歧視,破壞民族團(tuán)結(jié)的;(五)捏造或者歪曲事實(shí),散布謠言,擾亂社會(huì)秩序的;(六)宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;(七)公然侮辱他人或者捏造事實(shí)誹謗他人的;(八)損害國(guó)家機(jī)關(guān)信譽(yù)的;(九)其他違反憲法和法律、行政法規(guī)的。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)安全現(xiàn)狀及關(guān)鍵技術(shù)簡(jiǎn)介據(jù)聯(lián)邦調(diào)查局統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道,世界上平均每20秒就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件,三分之一的防火墻被突破。

美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆?塞特爾稱(chēng):給我精選10名“黑客”,組成個(gè)小組,90天內(nèi),我將使美國(guó)趴下。超過(guò)50%的攻擊來(lái)自?xún)?nèi)部,其次是黑客.

網(wǎng)絡(luò)安全事件的有關(guān)報(bào)道11/29/96CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE被黑的WEB頁(yè)面

美國(guó)白宮歷史協(xié)會(huì)

美國(guó)駐華大使館網(wǎng)站被攻擊主服務(wù)器遭到黑客攻擊后癱瘓?jiān)趩⒂脗浞莘?wù)器后,數(shù)據(jù)大部分被刪除有CheckPoint防火墻,但防火墻行同虛設(shè)主機(jī)上沒(méi)有作過(guò)多配置,存在大量的服務(wù)安裝了pcAnywhere遠(yuǎn)程控制軟件案例一:某電子商務(wù)網(wǎng)站被攻擊現(xiàn)象在遭到黑客攻擊后應(yīng)采取的措施關(guān)鍵數(shù)據(jù)的備份主機(jī)日志檢查與備份主機(jī)的服務(wù)端口的關(guān)閉主機(jī)可疑進(jìn)程的檢查主機(jī)帳號(hào)的修改防火墻的策略修改啟用防火墻日志詳細(xì)記錄避免使用的危險(xiǎn)進(jìn)程利用DiskRecovery技術(shù)對(duì)硬盤(pán)數(shù)據(jù)進(jìn)行恢復(fù)案例一的教訓(xùn)遭到黑客DDOS攻擊服務(wù)器被癱瘓,無(wú)法提供正常的服務(wù)來(lái)源地址有3000多個(gè),多數(shù)來(lái)自與國(guó)內(nèi)有一部分攻擊主機(jī)是電信內(nèi)部的IP地址案例二:中國(guó)電信信息港被攻擊加強(qiáng)對(duì)骨干網(wǎng)設(shè)備的監(jiān)控減少骨干網(wǎng)上主機(jī)存在的漏洞在受到攻擊時(shí),迅速確定來(lái)源地址,在路由器和防火墻上作一些屏蔽實(shí)現(xiàn)IDS和防火墻的聯(lián)動(dòng)案例二的教訓(xùn)21信息戰(zhàn)就是通過(guò)破壞或操縱計(jì)算機(jī)網(wǎng)絡(luò)上的信息流的辦法,對(duì)敵人的電話(huà)網(wǎng)、油氣管道、電力網(wǎng)、交通管制系統(tǒng)、國(guó)家資金轉(zhuǎn)移系統(tǒng)、各種銀行轉(zhuǎn)賬系統(tǒng)和衛(wèi)生保建系統(tǒng)等實(shí)施破壞,以達(dá)到戰(zhàn)略目的。戰(zhàn)爭(zhēng)領(lǐng)域應(yīng)用221、低進(jìn)入成本。一個(gè)形象的描述就是:一個(gè)絕頂聰明的14歲的孩子,外加一臺(tái)電腦、一個(gè)調(diào)制解調(diào)器、一條電話(huà)線(xiàn)就可以發(fā)動(dòng)戰(zhàn)略信息戰(zhàn)進(jìn)攻。一個(gè)案例:1997年,一個(gè)16歲的英國(guó)孩子和另外一個(gè)不知名的助手,打進(jìn)了美國(guó)空軍最高指揮和控制研究開(kāi)發(fā)機(jī)構(gòu)羅姆實(shí)驗(yàn)室的計(jì)算機(jī),并以此為跳板,侵入了多臺(tái)國(guó)防承包商的計(jì)算機(jī),乃至韓國(guó)原子能研究所的計(jì)算機(jī)。戰(zhàn)爭(zhēng)領(lǐng)域應(yīng)用所謂觀念操縱,說(shuō)白了就是宣傳工作。利用信息技術(shù)可以偽造文字、聲音、圖像等所有的東西。

一個(gè)案例:在海灣戰(zhàn)爭(zhēng)期間,美國(guó)陸軍第4心理作戰(zhàn)部隊(duì)的專(zhuān)家們就曾考慮過(guò)用一種叫做CommandoSolo的專(zhuān)用電子心理戰(zhàn)飛機(jī)控制住伊拉克的電視臺(tái),在上面播放薩達(dá)姆·侯賽因喝威士忌、吃火腿(這兩件事都是伊斯蘭教所不允許的)的偽造錄像片。信息戰(zhàn)的經(jīng)典案例觀念操縱24

俄羅斯:“電子戰(zhàn)”車(chē)臣顯神威1996年4月21日晚,車(chē)臣“總統(tǒng)”杜達(dá)耶夫在車(chē)臣西南部的格希丘村村外的田野里用衛(wèi)星移動(dòng)電話(huà)打電話(huà)給“自由”廣播電臺(tái)。該電話(huà)向通信衛(wèi)星發(fā)出的無(wú)線(xiàn)電波被俄方的雷達(dá)截收后,俄方利用先進(jìn)的計(jì)算機(jī)技術(shù)將其鎖定,準(zhǔn)確地確定出通話(huà)者的方位,攜帶空對(duì)地精確制導(dǎo)炸彈的俄軍戰(zhàn)機(jī)直撲目標(biāo)。幾分鐘后,兩枚俄制炸彈在距格希丘村1500米的地方爆炸。杜氏的衛(wèi)星移動(dòng)電話(huà)泄了密,導(dǎo)致了他的死亡。信息戰(zhàn)的經(jīng)典案例25封閉式系統(tǒng)的入侵方式—銀行為例

正在安裝假讀卡機(jī)于讀卡機(jī)上

26假讀卡機(jī)掩蓋真讀卡機(jī)上

27提款機(jī)旁安裝假宣傳單盒

28假宣傳單盒看象附屬提款機(jī)

29假宣傳單盒的內(nèi)部結(jié)構(gòu)

301、信息的收集入侵者攻擊的第一步就是盡一切可能對(duì)攻擊目標(biāo)進(jìn)行信息收集以獲取充足的資料。采取的方法包括:使用whois工具獲取網(wǎng)絡(luò)注冊(cè)信息;使用nslookup或dig工具搜索DNS表以確定機(jī)器名稱(chēng);確定了攻擊目標(biāo)的基本屬性(站點(diǎn)地址、主機(jī)名稱(chēng)),入侵者將對(duì)它們進(jìn)行深入剖析。使用ping工具探尋“活”著的機(jī)器;對(duì)目標(biāo)機(jī)器執(zhí)行TCP掃描以發(fā)現(xiàn)是否有可用服務(wù)。

黑客入侵步驟31312、實(shí)施攻擊列舉兩種攻擊方法:(1)通過(guò)發(fā)送大量數(shù)據(jù)以確定是否存在緩沖區(qū)溢出漏洞。所謂緩沖區(qū)溢出:指入侵者在程序的有關(guān)輸入項(xiàng)目中了輸入了超過(guò)規(guī)定長(zhǎng)度的字符串,超過(guò)的部分通常就是入侵者想要執(zhí)行的攻擊代碼,而程序編寫(xiě)者又沒(méi)有進(jìn)行輸入長(zhǎng)度的檢查,最終導(dǎo)致多出的攻擊代碼占據(jù)了輸入緩沖區(qū)后的內(nèi)存而執(zhí)行。(2)嘗試使用簡(jiǎn)單口令破解登錄障礙。黑客入侵步驟32以下是一個(gè)緩沖區(qū)溢出的程序:Voidfun(char*str)//注意:C語(yǔ)言不檢查數(shù)組邊界{charbuf[16];strcpy(buf,str);}Voidmain(){inti;charbuffer[128];for(i=0;i<127;i++)buffer[i]=‘A’;buffer[127]=0;fun(buffer);//將128字節(jié)的字符拷貝到16字節(jié)的緩沖區(qū)中

printf(“thisisatest\n”);}程序運(yùn)行結(jié)果并未顯示:thisisatest。當(dāng)程序執(zhí)行fun函數(shù)后,由于緩沖區(qū)溢出,程序并未返回printf語(yǔ)句,而是轉(zhuǎn)向了一個(gè)無(wú)法預(yù)料的地址。如果在程序的返回地址處執(zhí)行一段危險(xiǎn)指令,則后果不堪設(shè)想。黑客入侵步驟333、安裝后門(mén),清除日志對(duì)于入侵者而言,一旦成功地入侵了網(wǎng)絡(luò)中的一臺(tái)機(jī)器,入侵者現(xiàn)在要做的就是隱藏入侵痕跡并制造日后再攻的后門(mén),這就需要對(duì)日志文件或其他系統(tǒng)文件進(jìn)行改造,或者安裝上木馬程序、或者替換系統(tǒng)文件為后門(mén)程序。黑客入侵步驟34漏洞分析─Script描述語(yǔ)言ASP程序語(yǔ)言為一種Script描述語(yǔ)言。Script描述語(yǔ)言的特點(diǎn):在程序執(zhí)行以前,所有原先是變數(shù)的地方,都會(huì)被替換成當(dāng)時(shí)輸入的值。SQLInjection攻擊的原理35因此若輸入的帳號(hào)為「a’or‘’=‘’」,輸入的密碼為「a’or‘’=‘’」,則原先的SQL指令就被改成了select*fromAccountswhereId=‘a(chǎn)’or‘’=‘’

and

Password=‘a(chǎn)’or‘’=‘’select*fromAccountswhereId=‘輸入的帳號(hào)’

andPassword=‘輸入的密碼’36服務(wù)器端的程序

select*fromAccountswhereId=‘Id’and

Password=‘Password’惡意使用者輸入范例一

Login:'or''=‘Password:'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''and

Password=''or''=''SQLInjection攻擊的原理373839Internet的攻擊類(lèi)型

1.拒絕服務(wù)攻擊

(1)PING風(fēng)暴(PINGFlooding)PING命令是用來(lái)在網(wǎng)絡(luò)中確認(rèn)特定主機(jī)是否可達(dá),但它也被用作攻擊主機(jī)的手段。2)同步包風(fēng)暴(SYNFlooding),同步風(fēng)暴是應(yīng)用最為廣泛的一種DOS攻擊方式。(3)電子郵件炸彈(E-mailBomb)。電子郵件炸彈的目的是通過(guò)不斷地向目標(biāo)E-MAIL地址發(fā)送垃圾郵件,占滿(mǎn)收信者的郵箱,使其無(wú)法正常使用。(4)Land攻擊,Land攻擊的原理是:向目標(biāo)主機(jī)的某個(gè)開(kāi)放端口發(fā)送一個(gè)TCP包,并偽造TCP/IP地址,使得源IP地址等于目標(biāo)IP地址,源端口等于目標(biāo)端口,這樣,就可以造成包括WINDOWS2000在內(nèi)的很多操作平臺(tái)上的主機(jī)死機(jī)。Internet的攻擊類(lèi)型

2.后門(mén)

“后門(mén)”一般隱藏在操作系統(tǒng)或軟件中,不為使用者知曉為漏洞,而它可使某些人繞過(guò)系統(tǒng)的安全機(jī)制獲取訪問(wèn)權(quán)限。黑客可利用一些“掃描機(jī)(scanners)”的小程序,專(zhuān)門(mén)尋找上網(wǎng)用戶(hù)的系統(tǒng)漏洞,例如NetBIOS及Windows“文件及打印共享”功能所打開(kāi)的系統(tǒng)后門(mén)。一旦掃描程序在網(wǎng)上發(fā)現(xiàn)了系統(tǒng)存在著漏洞,那些惡意攻擊者就會(huì)設(shè)法通過(guò)找到的“后門(mén)”進(jìn)入你的計(jì)算機(jī),并獲取你的信息。所有的這些非法入侵行為,你可能毫無(wú)查覺(jué)。Internet的攻擊類(lèi)型

3.遠(yuǎn)程緩沖溢出攻擊

緩沖區(qū)溢出漏洞是一種利用了C程序中數(shù)組邊界條件、函數(shù)指針等設(shè)計(jì)不當(dāng)而造成地址空間錯(cuò)誤來(lái)實(shí)現(xiàn)的。大多數(shù)Windows、Linux、Unix、數(shù)據(jù)庫(kù)系統(tǒng)的開(kāi)發(fā)都依賴(lài)于C語(yǔ)言,而C的缺點(diǎn)是缺乏類(lèi)型安全,所以緩沖區(qū)溢出成為操作系統(tǒng)、數(shù)據(jù)庫(kù)等大型應(yīng)用程序最普遍的漏洞。Internet的攻擊類(lèi)型

4.網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊的主要手段表現(xiàn)為端口掃描,端口掃描的目的是找出目標(biāo)系統(tǒng)中所提供的服務(wù),它逐個(gè)嘗試與TCP/UDP端口建立連接,然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系,綜合服務(wù)器端的反應(yīng)來(lái)判斷目標(biāo)系統(tǒng)運(yùn)行了哪些服務(wù)。利用端口掃描,黑客可以判斷目標(biāo)主機(jī)的操作系統(tǒng)類(lèi)型及端口的開(kāi)放情況,然后實(shí)施攻擊。Internet的攻擊類(lèi)型

5.特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用的攻擊手段。它通過(guò)在你的電腦系統(tǒng)隱藏一個(gè)在Windows啟動(dòng)時(shí)悄悄運(yùn)行的程序,采用服務(wù)器/客戶(hù)機(jī)的運(yùn)行方式,從而達(dá)到在你上網(wǎng)時(shí)控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅(qū)動(dòng)器、修改你的文件、注冊(cè)表等。特洛伊木馬不僅可收集信息,它還可能破壞系統(tǒng),特洛伊木馬不能自身復(fù)制,因此,它不屬于計(jì)算機(jī)病毒。Internet的攻擊類(lèi)型

6.網(wǎng)絡(luò)病毒

Internet的開(kāi)放性,為病毒的滋生、變種和傳播提供了一個(gè)無(wú)限廣闊的空間。病毒是將自身依附于其他軟件的一段程序,目的是破壞計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)或硬件,有許多專(zhuān)業(yè)的反病毒軟件公司開(kāi)發(fā)出了很多優(yōu)秀殺毒軟件,反病毒的關(guān)鍵是找出病毒的特征碼,并且定期更新病毒數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)病毒傳播的主要途徑是電子郵件的附件,此外,下載文件、瀏覽網(wǎng)頁(yè)等也都有可能讓病毒有入侵的機(jī)會(huì)。4646網(wǎng)際網(wǎng)絡(luò)否認(rèn)傳送竊聽(tīng)

冒名傳送篡改使用者甲使用者乙(機(jī)密性)(完整性)(身份認(rèn)證)(不可否認(rèn)性)

網(wǎng)絡(luò)安全的目標(biāo)47正常干擾竊取篡改冒充網(wǎng)絡(luò)攻擊類(lèi)型訪問(wèn)攻擊訪問(wèn)攻擊是攻擊者企圖獲得非授權(quán)信息,這種攻擊可能發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下,如圖所示。這類(lèi)攻擊是針對(duì)信息機(jī)密性的攻擊。訪問(wèn)攻擊可能發(fā)生的地方常見(jiàn)的訪問(wèn)攻擊常見(jiàn)的訪問(wèn)攻擊有3種:(1)窺探窺探(snooping)是查信息文件,發(fā)現(xiàn)某些對(duì)攻擊者感興趣的信息。攻擊者試圖打開(kāi)計(jì)算機(jī)系統(tǒng)的文件,直到找到所需信息。(2)竊聽(tīng)竊聽(tīng)(eavesdropping)是偷聽(tīng)他人的對(duì)話(huà),為了得到非授權(quán)的信息訪問(wèn),攻擊者必須將自己放在一個(gè)信息通過(guò)的地方,一般采用電子的竊聽(tīng)方式,如圖2.5所示。竊聽(tīng)常見(jiàn)的訪問(wèn)攻擊(3)截獲截獲(interception)不同于竊聽(tīng),它是一種主動(dòng)攻擊方式。攻擊者截獲信息是通過(guò)將自己插入信息通過(guò)的通路,且在信息到達(dá)目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息,并決定是否將信息送往目的站,如圖所示。常見(jiàn)的訪問(wèn)攻擊常見(jiàn)的訪問(wèn)攻擊截獲對(duì)傳輸中的信息可通過(guò)竊聽(tīng)獲得。在局域網(wǎng)中,攻擊者在聯(lián)到網(wǎng)上的計(jì)算機(jī)系統(tǒng)中安裝一個(gè)信息包探測(cè)程序(sniffer),來(lái)捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。竊聽(tīng)也可能發(fā)生在廣域網(wǎng)(如租用線(xiàn)和電話(huà)線(xiàn))中,然而這類(lèi)竊聽(tīng)需要更多的技術(shù)和設(shè)備。通常在設(shè)施的接線(xiàn)架上采用T形分接頭來(lái)竊聽(tīng)信息。它不僅用于電纜線(xiàn),也可用于光纖傳輸線(xiàn),但需要專(zhuān)門(mén)的設(shè)備。常見(jiàn)的訪問(wèn)攻擊55身份認(rèn)證技術(shù)訪問(wèn)控制技術(shù)密碼技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)安全審計(jì)技術(shù)保障網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)56

在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話(huà)說(shuō),如果不能通過(guò)防火墻,公司內(nèi)部的人就無(wú)法訪問(wèn)Internet,Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。防火墻技術(shù)(Firewall)57

在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻邏輯位置示意圖防火墻

防火墻(FireWall)是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的組件集合。它實(shí)際上是一種隔離技術(shù)。它能允許你“同意”的數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)你的網(wǎng)絡(luò)。INTERNET實(shí)用技術(shù)防火墻功能

(1)過(guò)濾一些不安全的服務(wù)和非法用戶(hù),防止未授權(quán)的用戶(hù)訪問(wèn)安全網(wǎng)絡(luò)(2)控制對(duì)特殊站點(diǎn)或端口的訪問(wèn),防火墻可以根據(jù)安全策略允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)被外部網(wǎng)絡(luò)訪問(wèn),而另一部分主機(jī)則被很好地保護(hù)起來(lái)。(3)作為網(wǎng)絡(luò)安全的集中監(jiān)測(cè)點(diǎn),防火墻可以記錄所有通過(guò)它的訪問(wèn),并提供統(tǒng)計(jì)數(shù)據(jù)、預(yù)警和審計(jì)功能。防火墻的局限性

(1)不能防范惡意的知情者從內(nèi)部攻擊

(2)不能防范不通過(guò)防火墻的聯(lián)接(3)防火墻不能防范病毒61

入侵檢測(cè)的概念(IntrusionDetectionSystem)

通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象。入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充,被認(rèn)為是防火墻之后的第二道安全閘門(mén)。入侵檢測(cè)技術(shù)(IDS)62知識(shí)庫(kù)待檢測(cè)的數(shù)據(jù)包入侵檢測(cè):入侵否?響應(yīng)繼續(xù)監(jiān)聽(tīng),檢測(cè)下一個(gè)數(shù)據(jù)包

入侵檢測(cè)系統(tǒng)原理圖數(shù)據(jù)加密與數(shù)字認(rèn)證

數(shù)據(jù)加密和數(shù)字認(rèn)證是網(wǎng)絡(luò)信息安全的核心技術(shù)。其中,數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法;數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過(guò)程中雙方身份的認(rèn)可,以防止各種敵手對(duì)信息進(jìn)行篡改的一種重要技術(shù)。數(shù)據(jù)加密和數(shù)字認(rèn)證的聯(lián)合使用,是確保信息安全的有效措施。Internet加密數(shù)據(jù)流供應(yīng)商采購(gòu)單位SSL安全論證網(wǎng)關(guān)Web服務(wù)器1、密碼學(xué)與密碼技術(shù)

計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的新興科學(xué),密碼技術(shù)是密碼學(xué)的具體實(shí)現(xiàn),它包括4個(gè)方面:保密(機(jī)密)、消息驗(yàn)證、消息完整和不可否認(rèn)性。

1保密(privacy):在通信中消息發(fā)送方與接收方都希望保密,只有消息的發(fā)送者和接收者才能理解消息的內(nèi)容。2驗(yàn)證(authentication):安全通信僅僅靠消息的機(jī)密性是不夠的,必須加以驗(yàn)證,即接收者需要確定消息發(fā)送者的身份。3完整(integrity):保密與認(rèn)證只是安全通信中的兩個(gè)基本要素,還必須保持消息的完整,即消息在傳送過(guò)程中不發(fā)生改變。4不可否認(rèn)(nonrepudiation):安全通信的一個(gè)基本要素就是不可否認(rèn)性,防止發(fā)送者抵賴(lài)(否定)。2、加密和解密

密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。加密是把需要加密的報(bào)文按照以密碼鑰匙(簡(jiǎn)稱(chēng)密鑰)為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換,產(chǎn)生密碼文件;解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件。數(shù)據(jù)加密和解密過(guò)程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密,經(jīng)過(guò)信道傳輸,到信宿接收時(shí)進(jìn)行解密,以實(shí)現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過(guò)程如圖所示。加密密鑰報(bào)文解密原報(bào)文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿66?傳統(tǒng)密碼學(xué)~1976/77-1949年Shannon的“保密通信的信息理論”?現(xiàn)代密碼學(xué)1976/77~today

-1976:Diffie&Hellman“公鑰密碼學(xué)的新方向”,掀起公鑰密碼研究的序幕。

-1977:美國(guó)國(guó)家標(biāo)準(zhǔn)局公布了美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)DES(DataEncryptionStandard)

數(shù)據(jù)加密技術(shù)——密碼學(xué)的發(fā)展(cryptography)當(dāng)加密密鑰與解密密鑰相同時(shí),這樣的加密體制稱(chēng)為私鑰(單鑰或?qū)ΨQ(chēng))加密體制。當(dāng)加密密鑰與解密密鑰不同時(shí),這樣的加密體制稱(chēng)為公鑰(雙鑰或非對(duì)稱(chēng))加密體制。3、密鑰體系加密和解密是通過(guò)密鑰來(lái)實(shí)現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn),則可將密碼系統(tǒng)分為單鑰密碼(又稱(chēng)對(duì)稱(chēng)密碼或私鑰密碼)體系和雙鑰密碼(又稱(chēng)非對(duì)稱(chēng)密碼或公鑰密碼)體系。在單鑰密碼體制下,加密密鑰和解密密鑰是一樣的。在這種情況下,由于加密和解密使用同一密鑰(密鑰經(jīng)密鑰信道傳給對(duì)方),所以密碼體制的安全完全取決于密鑰的安全。雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來(lái)傳送密鑰,可以公開(kāi)加密密鑰,僅需保密解密密鑰。68ENetworkorStoragePlainTextCipherTextCipherTextDOriginalPlainTextBobSecretKeyAliceSecretKey對(duì)稱(chēng)密碼加密模型70ENetworkPlainTextCipherTextCipherTextDPlainTextAliceBobBob:SecretKey非對(duì)稱(chēng)密碼加密模型傳統(tǒng)加密方法

1、代換密碼法

⑴單字母加密方法:是用一個(gè)字母代替另一個(gè)字母,它把A變成E,B變成F,C變?yōu)镚,D變?yōu)镠。

⑵多字母加密方法:密鑰是簡(jiǎn)短且便于記憶的詞組。

2、轉(zhuǎn)換密碼法保持明文的次序,而把明文字符隱藏起來(lái)。轉(zhuǎn)換密碼法不是隱藏它們,而是靠重新安排字母的次序。

3、變位加密法把明文中的字母重新排列,字母本身不變,但位置變了。常見(jiàn)的有簡(jiǎn)單變位法、列變位法和矩陣變位法。

4、一次性密碼簿加密法就是用一頁(yè)上的代碼來(lái)加密一些詞,再用另一頁(yè)上的代碼加密另一些詞,直到全部的明文都被加密?,F(xiàn)代加密方法

1、DES加密算法

DES加密算法是一種通用的現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在56位密鑰控制下,將每64位為一個(gè)單元的明文變成64位的密碼。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法,使密碼被破譯的可能性幾乎沒(méi)有。

2、IDEA加密算法相對(duì)于DES的56位密鑰,它使用128位的密鑰,每次加密一個(gè)64位的塊。這個(gè)算法被加強(qiáng)以防止一種特殊類(lèi)型的攻擊,稱(chēng)為微分密碼密鑰。

IDEA的特點(diǎn)是用了混亂和擴(kuò)散等操作,主要有三種運(yùn)算:異或、模加、模乘,并且容易用軟件和硬件來(lái)實(shí)現(xiàn)。IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法,該算法可用于加密和解密?,F(xiàn)代加密方法

郵件內(nèi)容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機(jī)加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開(kāi)密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件3、RSA公開(kāi)密鑰算法

RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點(diǎn)在于它可以產(chǎn)生一對(duì)密鑰,一個(gè)人可以用密鑰對(duì)中的一個(gè)加密消息,另一個(gè)人則可以用密鑰對(duì)中的另一個(gè)解密消息。任何人都無(wú)法通過(guò)公匙確定私匙,只有密鑰對(duì)中的另一把可以解密消息。取得收信人的分開(kāi)密鑰KRP現(xiàn)代加密方法

4、Hash-MD5加密算法

Hash函數(shù)又名信息摘要(MessageDigest)函數(shù),是基于因子分解或離散對(duì)數(shù)問(wèn)題的函數(shù),可將任意長(zhǎng)度的信息濃縮為較短的固定長(zhǎng)度的數(shù)據(jù)。這組數(shù)據(jù)能夠反映源信息的特征,因此又可稱(chēng)為信息指紋(MessageFingerprint)。Hash函數(shù)具有很好的密碼學(xué)性質(zhì),且滿(mǎn)足Hash函數(shù)的單向、無(wú)碰撞基本要求。

5、量子加密系統(tǒng)量子加密系統(tǒng)是加密技術(shù)的新突破。量子加密法的先進(jìn)之處在于這種方法依賴(lài)的是量子力學(xué)定律。傳輸?shù)墓饬孔又辉试S有一個(gè)接收者,如果有人竊聽(tīng),竊聽(tīng)動(dòng)作將會(huì)對(duì)通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽(tīng),隨即結(jié)束通信,生成新的密鑰。破密方法

1.密鑰窮盡搜索就是嘗試所有可能的密鑰組合,雖然這種密鑰嘗試通常是失敗的,但最終總會(huì)有一個(gè)密鑰讓破譯者得到原文。

2.密碼分析密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。常見(jiàn)的密碼分析有如下兩種:

⑴已知明文的破譯方法:是當(dāng)密碼分析員掌握了一段明文和對(duì)應(yīng)的密文,目的是發(fā)現(xiàn)加密的密鑰。在實(shí)際應(yīng)用中,獲得某些密文所對(duì)應(yīng)的明文是可能的。

⑵選定明文的破譯方法:密碼分析員設(shè)法讓對(duì)手加密一段分析員選定的明文,并獲得加密后的結(jié)果,以獲得確定加密的密鑰。

破密方法

3、防止密碼破譯的措施為了防止密碼破譯,可以采取一些相應(yīng)的技術(shù)措施。目前通常采用的技術(shù)措施以下3種。

⑴好的加密算法:一個(gè)好的加密算法往往只有用窮舉法才能得到密鑰,所以只要密鑰足夠長(zhǎng)就會(huì)比較安全。20世紀(jì)70~80年代密鑰長(zhǎng)通常為48~64位,90年代,由于發(fā)達(dá)國(guó)家不準(zhǔn)許出口64位加密產(chǎn)品,所以國(guó)內(nèi)大力研制128位產(chǎn)品。

⑵保護(hù)關(guān)鍵密鑰(KCK:KEYCNCRYPTIONKEY)。

⑶動(dòng)態(tài)會(huì)話(huà)密鑰:每次會(huì)話(huà)的密鑰不同。動(dòng)態(tài)或定期變換會(huì)話(huà)密鑰是有好處的,因?yàn)檫@些密鑰是用來(lái)加密會(huì)話(huà)密鑰的,一旦泄漏,被他人竊取重要信息,將引起災(zāi)難性的后果。數(shù)字認(rèn)證技術(shù)

數(shù)字認(rèn)證是一種安全防護(hù)技術(shù),它既可用于對(duì)用戶(hù)身份進(jìn)行確認(rèn)和鑒別,也可對(duì)信息的真實(shí)可靠性進(jìn)行確認(rèn)和鑒別,以防止冒充、抵賴(lài)、偽造、篡改等問(wèn)題。數(shù)字認(rèn)證技術(shù)包括數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書(shū)和認(rèn)證中心等。

1、數(shù)字簽名

“數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用的認(rèn)證技術(shù)。在日常工作和生活中,人們對(duì)書(shū)信或文件的驗(yàn)收是根據(jù)親筆簽名或蓋章來(lái)證實(shí)接收者的真實(shí)身份。在書(shū)面文件上簽名有兩個(gè)作用:一是因?yàn)樽约旱暮灻y以否認(rèn),從而確定了文件已簽署這一事實(shí);二是因?yàn)楹灻灰讉蚊埃瑥亩_定了文件是真實(shí)的這一事實(shí)。但是,在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何簽名蓋章呢,這就是數(shù)字簽名所要解決的問(wèn)題。Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件數(shù)字認(rèn)證

在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致,則說(shuō)明發(fā)送的信息原文在傳送過(guò)程中沒(méi)有被破壞或篡改,從而得到準(zhǔn)確的原文。傳送過(guò)程如下圖所示。

數(shù)字簽名的驗(yàn)證及文件的竄送過(guò)程79隨著信息時(shí)代的來(lái)臨,人們希望通過(guò)數(shù)字通信網(wǎng)絡(luò)迅速傳遞貿(mào)易合同,數(shù)字簽名應(yīng)運(yùn)而生了。數(shù)字簽名必須保證以下三點(diǎn):a、接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名;b、發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名;c、接收者不能偽造對(duì)報(bào)文的簽名。數(shù)字簽名技術(shù)80PublicKeyDirectoryBob:DNetworkPlainTextPlainTextBobSecretKey+CathySignatureAcceptifequalESignature?PublicKey數(shù)字簽名的原理81信息信息數(shù)字簽名數(shù)字簽名信息信息傳送A方——數(shù)字簽名發(fā)送方B方——數(shù)字簽名驗(yàn)證方數(shù)字簽名驗(yàn)證過(guò)程A方私鑰A方公鑰相等?確認(rèn)數(shù)字簽名的原理數(shù)字認(rèn)證

2、數(shù)字時(shí)間戳(DTS)

在電子交易中,同樣需要對(duì)交易文件的日期和時(shí)間信息采取安全措施,數(shù)字時(shí)間戳就是為電子文件發(fā)表的時(shí)間提供安全保護(hù)和證明的。DTS是網(wǎng)上安全服務(wù)項(xiàng)目,由專(zhuān)門(mén)的機(jī)構(gòu)提供。數(shù)字時(shí)間戳是一個(gè)加密后形成的憑證文檔,它包括三個(gè)部分:

◆需要加時(shí)間戳的文件的摘要

◆DTS機(jī)構(gòu)收到文件的日期和時(shí)間

◆DTA機(jī)構(gòu)的數(shù)字簽名數(shù)字時(shí)間戳的產(chǎn)生過(guò)程:用戶(hù)首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要,然后將這個(gè)摘要發(fā)送到DTS機(jī)構(gòu),DTS機(jī)構(gòu)在加入了收到文件摘要的日期和時(shí)間信息后,再對(duì)這個(gè)文件加密(數(shù)字簽名),然后發(fā)送給用戶(hù)。數(shù)字認(rèn)證

3、數(shù)字證書(shū)

數(shù)字認(rèn)證從某個(gè)功能上來(lái)說(shuō)很像是密碼,是用來(lái)證實(shí)你的身份或?qū)W(wǎng)絡(luò)資源訪問(wèn)的權(quán)限等可出示的一個(gè)憑證。數(shù)字證書(shū)包括:

1客戶(hù)證書(shū):以證明他(她)在網(wǎng)上的有效身份。該證書(shū)一般是由金融機(jī)構(gòu)進(jìn)行數(shù)字簽名發(fā)放的,不能被其它第三方所更改。2商家證書(shū):是由收單銀行批準(zhǔn)、由金融機(jī)構(gòu)頒發(fā)、對(duì)商家是否具有信用卡支付交易資格的一個(gè)證明。3網(wǎng)關(guān)證書(shū):通常由收單銀行或其它負(fù)責(zé)進(jìn)行認(rèn)證和收款的機(jī)構(gòu)持有。客戶(hù)對(duì)帳號(hào)等信息加密的密碼由網(wǎng)關(guān)證書(shū)提供。4CA系統(tǒng)證書(shū):是各級(jí)各類(lèi)發(fā)放數(shù)字證書(shū)的機(jī)構(gòu)所持有的數(shù)字證書(shū),即用來(lái)證明他們有權(quán)發(fā)放數(shù)字證書(shū)的證書(shū)。數(shù)字認(rèn)證

持卡人CCA持卡證件商家MCA商家證件支持網(wǎng)關(guān)PCA支付網(wǎng)關(guān)證件根CA品牌CA地方CACA認(rèn)證體系的層次結(jié)構(gòu)

4、認(rèn)證中心(CA)

認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。它的主要任務(wù)是受理數(shù)字憑證的申請(qǐng),簽發(fā)數(shù)字證書(shū)及對(duì)數(shù)字證書(shū)進(jìn)行管理。

CA認(rèn)證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網(wǎng)關(guān)CA等不同層次構(gòu)成,上一級(jí)CA負(fù)責(zé)下一級(jí)CA數(shù)字證書(shū)的申請(qǐng)簽發(fā)及管理工作。851、基于生理特征的身份認(rèn)證指紋、臉型、聲音等進(jìn)行身份認(rèn)證要求使用諸如指紋閱讀器,臉型掃描器,語(yǔ)音閱讀器等價(jià)格昂貴的硬件設(shè)備。由于驗(yàn)證身份的雙方一般都是通過(guò)網(wǎng)絡(luò)而非直接交互,所以該類(lèi)方法并不適合于在諸如Internet或無(wú)線(xiàn)應(yīng)用等分布式的網(wǎng)絡(luò)環(huán)境。身份認(rèn)證技術(shù)862、基于約定的口令進(jìn)行身份認(rèn)證用戶(hù)服務(wù)器中口令對(duì)照表用戶(hù)ID,口令該方案有兩個(gè)弱點(diǎn):容易受到重傳攻擊;傳統(tǒng)方式是將用戶(hù)口令放在服務(wù)器的文件中,那么一旦該文件暴露,則整個(gè)系統(tǒng)將處于不安全的狀態(tài)。身份認(rèn)證技術(shù)873、動(dòng)態(tài)口令(一次口令)身份認(rèn)證1991年貝爾通信研究中心研制出基于一次口令思想的身份認(rèn)證系統(tǒng)S/KEY,該系統(tǒng)使用MD4作為其單向hash函數(shù)目前存在很多動(dòng)態(tài)口令方案,但未存在非常完善的方案基于智能卡的動(dòng)態(tài)口令方案身份認(rèn)證技術(shù)黑客與病毒計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)黑客(Hacker)源于英語(yǔ)動(dòng)詞Hack,意為“劈、砍”,引申為“辟出、開(kāi)辟”,進(jìn)一步的意思是“干了一件非常漂亮的工作”。在20世紀(jì)早期的麻省理工學(xué)院校園口語(yǔ)中,黑客則有“惡作劇”之意,尤其是指手法巧妙、技術(shù)高明的惡作劇。有一部分人認(rèn)為,黑客是“熱愛(ài)并精通計(jì)算機(jī)技術(shù)的網(wǎng)絡(luò)狂熱者”,并賦予他們“網(wǎng)上騎士”桂冠;相反,另一部分人則認(rèn)為黑客是“企圖非法獲取計(jì)算機(jī)系統(tǒng)訪問(wèn)權(quán)的人”,甚至將其描述為“網(wǎng)絡(luò)恐怖主義分子”;大多數(shù)人則認(rèn)為,黑客是“試圖通過(guò)網(wǎng)絡(luò)非法獲取他人計(jì)算機(jī)系統(tǒng)訪問(wèn)權(quán)并濫用計(jì)算機(jī)技術(shù)的人”。黑客概述根據(jù)我國(guó)現(xiàn)行法律的有關(guān)規(guī)定,對(duì)黑客可以給出兩個(gè)定義:廣義的黑客是指利用計(jì)算機(jī)技術(shù),非法侵入或擅自操作他人(包括國(guó)家機(jī)關(guān)、社會(huì)組織及個(gè)人)計(jì)算機(jī)信息系統(tǒng),對(duì)電子信息交流安全具有不同程度的威脅性和危害性的人;狹義的黑客,是指利用計(jì)算機(jī)技術(shù),非法侵入并擅自操作他人計(jì)算機(jī)信息系統(tǒng),對(duì)系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干擾、破壞,或者非法侵入計(jì)算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源,實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的人。黑客定義俠客、駭客和入侵者“黑客”是一個(gè)精通計(jì)算機(jī)技術(shù)的特殊群體??煞譃?類(lèi):“俠客(Hackers)”,他們多是好奇者和愛(ài)出風(fēng)頭者;“駭客(Crackers)”,他們是一些不負(fù)責(zé)的惡作劇者;“入侵者(Intruder),他們是有目的的破壞者。黑客的分類(lèi)灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問(wèn)題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī)為人民服務(wù)漏洞發(fā)現(xiàn)-袁哥等軟件破解-0Day工具提供-Numega白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒(méi)有最好,只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲(chóng)病毒商業(yè)間諜人不為己,天誅地滅入侵者-K.米特尼克CIH-陳英豪攻擊Yahoo者-匿名惡渴求自由安全攻防技術(shù)黑客簡(jiǎn)史19801985199019952000密碼猜測(cè)可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門(mén)會(huì)話(huà)劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測(cè)掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開(kāi)放隱蔽掃描控制臺(tái)入侵檢測(cè)網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的發(fā)展黑客入侵的行為模型計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)安全基礎(chǔ)網(wǎng)絡(luò)安全技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全性和可靠性成為各層用戶(hù)所共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行,不受外來(lái)入侵者的干擾和破壞,所以解決好網(wǎng)絡(luò)的安全性和可靠性,是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。Internet防火墻學(xué)生區(qū)InfoGateIIS服務(wù)Web服務(wù)DMZ區(qū)教工區(qū)安全垃圾郵內(nèi)容審計(jì)件網(wǎng)關(guān)過(guò)濾數(shù)據(jù)庫(kù)服務(wù)器群應(yīng)用服務(wù)器群1、網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然或者惡意的攻擊而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不會(huì)中斷。身份認(rèn)證完整性保密性授權(quán)和訪問(wèn)控制可用性不可抵賴(lài)性2、網(wǎng)絡(luò)安全威脅

一般認(rèn)為,黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊等3個(gè)方面是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。黑客攻擊計(jì)算機(jī)病毒拒絕服務(wù)攻擊黑客使用專(zhuān)用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò),并非法使用網(wǎng)絡(luò)資源。

計(jì)算機(jī)病毒侵入網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。攻擊者在短時(shí)間內(nèi)發(fā)送大量的訪問(wèn)請(qǐng)求,而導(dǎo)致目標(biāo)服務(wù)器資源枯竭,不能提供正常的服務(wù)。3、網(wǎng)路安全漏洞

網(wǎng)絡(luò)安全漏洞實(shí)際上是給不法分子以可乘之機(jī)的“通道”,大致可分為以下3個(gè)方面。網(wǎng)絡(luò)的漏洞

服務(wù)器的漏洞操作系統(tǒng)的漏洞包括網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞,比如IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時(shí)對(duì)IP和DNS的信任。利用服務(wù)進(jìn)程的bug和配置錯(cuò)誤,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。這些漏洞常被用來(lái)獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)。Windows和UNIX操作系統(tǒng)都存在許多安全漏洞,如Internet蠕蟲(chóng)事件就是由UNIX的安全漏洞引發(fā)的。4、網(wǎng)絡(luò)安全攻擊要保證運(yùn)行在網(wǎng)絡(luò)環(huán)境中的信息安全,首先要解決的問(wèn)題是如何防止網(wǎng)絡(luò)被攻擊。根據(jù)SteveKent提出的方法,網(wǎng)絡(luò)安全攻擊可分為被動(dòng)攻擊和主動(dòng)攻擊兩大類(lèi),如圖所示。圖:網(wǎng)絡(luò)安全攻擊分類(lèi)被動(dòng)攻擊

截獲(秘密)分析信息內(nèi)容通信量分析主動(dòng)攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實(shí)性)(時(shí)效性)被動(dòng)攻擊不修改信息內(nèi)容,所以非常難以檢測(cè),因此防護(hù)方法重點(diǎn)是加密。主動(dòng)攻擊是對(duì)數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個(gè)虛假的數(shù)據(jù)流。5、網(wǎng)絡(luò)安全破壞

1中斷(Interruption):中斷是對(duì)可利用性的威脅。例如破壞信息存儲(chǔ)硬件、切斷通信線(xiàn)路、侵犯文件管理系統(tǒng)等。2竊取(Interception):入侵者竊取信息資源是對(duì)保密性的威脅。入侵者竊取線(xiàn)路上傳送的數(shù)據(jù),或非法拷貝文件和程序等。3篡改(Modification):篡改是對(duì)數(shù)據(jù)完整性的威脅。例如改變文件中的數(shù)據(jù),改變程序功能,修改網(wǎng)上傳送的報(bào)文等。4假冒(Fabrication):入侵者在系統(tǒng)中加入偽造的內(nèi)容,如像網(wǎng)絡(luò)用戶(hù)發(fā)送虛假的消息、在文件中插入偽造的記錄等。網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的,了解最通常的破壞手段,有利于加強(qiáng)技術(shù)防患。網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)的安全等級(jí)由低到高順序:D;C1C2;B1B2B3;A。如圖所示。TCSEC安全體系可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)準(zhǔn)則C2:受控訪問(wèn)保護(hù)C1:自主安全保護(hù)A1:驗(yàn)證設(shè)計(jì)D1:最小保護(hù)B2:結(jié)構(gòu)安全保護(hù)B1:標(biāo)志安全保護(hù)B3:安全域C類(lèi)A類(lèi)D類(lèi)B類(lèi)1、國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)20世紀(jì)90年代開(kāi)始,一些國(guó)家和國(guó)際組織相繼提出了新的安全評(píng)測(cè)準(zhǔn)則。1991年,毆共體發(fā)布了“信息技術(shù)安全評(píng)測(cè)準(zhǔn)則”;1993年,加拿大發(fā)布了“加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)準(zhǔn)則”;1993年6月,上述國(guó)家共同起草了一份通用準(zhǔn)則,并將CC推廣為國(guó)際標(biāo)準(zhǔn)。國(guó)際安全評(píng)測(cè)標(biāo)準(zhǔn)的發(fā)展如圖所示。1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)準(zhǔn)則1991年歐洲信息技術(shù)安全評(píng)測(cè)準(zhǔn)則1991年美國(guó)聯(lián)邦政府評(píng)測(cè)標(biāo)準(zhǔn)1983年美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)測(cè)準(zhǔn)則1996年國(guó)際通用準(zhǔn)則(CC)1999年CC成為國(guó)際標(biāo)準(zhǔn)國(guó)際安全評(píng)測(cè)標(biāo)準(zhǔn)的發(fā)展與聯(lián)系2、我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)分如下五個(gè)級(jí)別

1級(jí)用戶(hù)自主保護(hù)級(jí):它的安全保護(hù)機(jī)制使用戶(hù)具備自主安全保護(hù)的能力,保護(hù)用戶(hù)的信息免受非法的讀寫(xiě)破壞。2級(jí)系統(tǒng)審計(jì)保護(hù)級(jí):除具備第一級(jí)外,要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄,使所有的用戶(hù)對(duì)自己的行為的合法性負(fù)責(zé)。3級(jí)安全標(biāo)記保護(hù)級(jí):除具備上一級(jí)外,要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限,實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。4級(jí)結(jié)構(gòu)化保護(hù)級(jí):在繼承前面功能基礎(chǔ)上,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。5級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí):這一個(gè)級(jí)別特別增設(shè)了訪問(wèn)驗(yàn)證功能,負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)。網(wǎng)絡(luò)安全措施

在網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)行中應(yīng)考慮一些必要的安全措施,以便使網(wǎng)絡(luò)得以正常運(yùn)行。網(wǎng)絡(luò)的安全措施主要從物理安全、訪問(wèn)控制、傳輸安全和網(wǎng)絡(luò)安全管理等4個(gè)方面進(jìn)行考慮。

1、物理安全措施

物理安全性包括機(jī)房的安全、所有網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備(包括服務(wù)器、工作站、通信線(xiàn)路、路由器、網(wǎng)橋、磁盤(pán)、打印機(jī)等)的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計(jì)中需要考慮之外,還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問(wèn)題及相應(yīng)的保護(hù)措施。

2、訪問(wèn)控制措施

訪問(wèn)控制措施的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問(wèn)。其包括以下8?jìng)€(gè)方面:網(wǎng)絡(luò)安全措施

1入網(wǎng)訪問(wèn)控制:控制哪些用戶(hù)能夠登錄并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和入網(wǎng)的范圍。2網(wǎng)絡(luò)的權(quán)限控制:是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施,用戶(hù)和用戶(hù)組被授予一定的權(quán)限。3目錄級(jí)安全控制:系統(tǒng)管理權(quán)限、讀權(quán)限、寫(xiě)權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和存取控制權(quán)限8種。4屬性安全控制:網(wǎng)絡(luò)管理員給文件、目錄等指定訪問(wèn)屬性,將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。5網(wǎng)絡(luò)服務(wù)器安全控制:包括設(shè)置口令鎖定服務(wù)器控制臺(tái),設(shè)定登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔等。網(wǎng)絡(luò)安全措施

6網(wǎng)絡(luò)檢測(cè)和鎖定控制:網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn),對(duì)于非法訪問(wèn)應(yīng)報(bào)警。7

網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制:網(wǎng)絡(luò)服務(wù)器端口使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密形式識(shí)別節(jié)點(diǎn)的身份。8防火墻控制:防火墻成為是互連網(wǎng)絡(luò)上的首要安全技術(shù),是設(shè)置在網(wǎng)絡(luò)與外部之間的一道屏障。

3、網(wǎng)絡(luò)通信安全措施

⑴建立物理安全的傳輸媒介

⑵對(duì)傳輸數(shù)據(jù)進(jìn)行加密:保密數(shù)據(jù)在進(jìn)行數(shù)據(jù)通信時(shí)應(yīng)加密,包括鏈路加密和端到端加密。網(wǎng)絡(luò)安全管理措施除了技術(shù)措施外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定相關(guān)配套檢查和互協(xié)滲透測(cè)試安全設(shè)計(jì)設(shè)備配置安全漏洞分析安全策略安全需求安全結(jié)構(gòu)安全評(píng)估安全評(píng)估安全評(píng)估的規(guī)章制度、確定安全管理等級(jí)、明確安全管理范圍、采取系統(tǒng)維護(hù)方法和應(yīng)急措施等,對(duì)網(wǎng)絡(luò)安全、可靠地運(yùn)行,將起到很重要的作用。實(shí)際上,網(wǎng)絡(luò)安全策略是一個(gè)綜合,要從可用性、實(shí)用性、完整性、可靠性和保密性等方面綜合考慮,才能得到有效的安全策略。防火墻的邏輯結(jié)構(gòu)示意圖

1、什么是防火墻

為了防止病毒和黑客,可在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng),豎起一道用來(lái)阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵的安全屏障,其作用與古代防火磚墻有類(lèi)似之處,人們把這個(gè)屏障就叫做“防火墻”,其邏輯結(jié)構(gòu)如下圖所示。防火墻技術(shù)

外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)防火墻的基本概念2、防火墻的基本特性

①所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻。②只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻。③防火墻本身不受各種攻擊的影響。

3、防火墻的基本準(zhǔn)則

⑴過(guò)濾不安全服務(wù):防火墻應(yīng)封鎖所有的信息流,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開(kāi)放,把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

⑵過(guò)濾非法用戶(hù)和訪問(wèn)特殊站點(diǎn):防火墻允許所有用戶(hù)和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn),然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶(hù)或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。防火墻的基本功能

1、作為網(wǎng)絡(luò)安全的屏障

防火墻作為阻塞點(diǎn)、控制點(diǎn),能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。

2、可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。

3、對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

所有的外部訪問(wèn)都經(jīng)過(guò)防火墻時(shí),防火墻就能記錄下這些訪問(wèn),為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑信息時(shí)防火墻能發(fā)出報(bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

4、可以防止內(nèi)部信息的外泄

利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻的基本類(lèi)型1、網(wǎng)絡(luò)級(jí)防火墻(NetworkGateway)網(wǎng)絡(luò)級(jí)防火墻主要用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。包過(guò)濾路由器的工作原理示意圖內(nèi)部網(wǎng)絡(luò)物理層分組過(guò)濾規(guī)則數(shù)據(jù)鏈跑層Internet外部網(wǎng)絡(luò)網(wǎng)絡(luò)層物理層數(shù)據(jù)鏈跑層網(wǎng)絡(luò)層包過(guò)濾路由器防火墻的基本類(lèi)型

2、應(yīng)用級(jí)防火墻(ApplicationGateway)

這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢。應(yīng)用級(jí)代理工作原理下圖所示。應(yīng)用級(jí)代理工作原理示意圖內(nèi)部網(wǎng)絡(luò)真正服務(wù)器代理服務(wù)器實(shí)際的連接實(shí)際的連接外部網(wǎng)絡(luò)客戶(hù)虛擬的連接Internet防火墻防火墻的基本類(lèi)型

3、電路級(jí)防火墻(Gateway)

電路級(jí)防火墻也稱(chēng)電路層網(wǎng)關(guān),是一個(gè)具有特殊功能的防火墻。電路級(jí)網(wǎng)關(guān)只依賴(lài)于TCP連接,并不進(jìn)行任何附加的包處理或過(guò)濾。與應(yīng)用級(jí)防火墻相似,電路級(jí)防火墻也是代理服務(wù)器,只是它不需要用戶(hù)配備專(zhuān)門(mén)的代理客戶(hù)應(yīng)用程序。另外,電路級(jí)防火墻在客戶(hù)與服務(wù)器間創(chuàng)建了一條電路,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。

4、狀態(tài)監(jiān)測(cè)防火墻(StatefuinspectionGateway)

狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過(guò),并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過(guò)。防火墻的基本結(jié)構(gòu)

1、雙宿主機(jī)網(wǎng)關(guān)(DualHomedGateway)雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻,其中一個(gè)是網(wǎng)卡,與內(nèi)網(wǎng)相連;另一個(gè)可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能,則外網(wǎng)用戶(hù)均可自由訪問(wèn)內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如圖7-13所示。雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本結(jié)構(gòu)

2、屏蔽主機(jī)網(wǎng)關(guān)(ScreenedHostGateway)

⑴單宿堡壘主機(jī):是屏蔽主機(jī)網(wǎng)關(guān)的一種簡(jiǎn)單形式,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡,并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過(guò)濾規(guī)則,并使這個(gè)單宿堡壘主機(jī)成為可以從Internet上訪問(wèn)的唯一主機(jī)。而Intranet內(nèi)部的客戶(hù)機(jī),可以受控地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet,其工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本結(jié)構(gòu)

⑵雙宿堡壘主機(jī):是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式,與單宿堡壘主機(jī)相比,雙宿堡壘主機(jī)有兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)絡(luò),一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)防火墻的基本結(jié)構(gòu)

3、屏蔽子網(wǎng)(ScreenedSubnetGateway)屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng),它們不能直接通信,但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī),為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如圖7-16所示。屏蔽子網(wǎng)防火墻內(nèi)網(wǎng)屏蔽子網(wǎng)Internet防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品

1、防火墻的安全標(biāo)準(zhǔn)

⑴Secure/WAN(S/WAN)標(biāo)準(zhǔn)⑵FWPD(FireWallProductDeveloper)聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)

2、常見(jiàn)的防火墻產(chǎn)品

1、什么是虛擬專(zhuān)用網(wǎng)

防火墻用來(lái)將局域網(wǎng)與Internet分隔開(kāi)來(lái),阻止來(lái)自外部網(wǎng)絡(luò)的損壞。隨著企業(yè)網(wǎng)應(yīng)用的不斷擴(kuò)大,企業(yè)網(wǎng)的范圍也不斷擴(kuò)大,從一個(gè)本地網(wǎng)絡(luò)發(fā)展到一個(gè)跨地區(qū)跨城市甚至跨國(guó)家的網(wǎng)絡(luò),為保證區(qū)域間流通的企業(yè)信息安全,通過(guò)租用昂貴的跨地區(qū)數(shù)字專(zhuān)線(xiàn)方式建立物理上的專(zhuān)用網(wǎng)非常困難。隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展,現(xiàn)在可通過(guò)Internet提供的虛擬專(zhuān)用網(wǎng)(VirtualPrivateNetwork,VPN)技術(shù),使家庭辦公、移動(dòng)用戶(hù)或其它用戶(hù)主機(jī)可以很方便地訪問(wèn)企業(yè)服務(wù)器。用戶(hù)就像通過(guò)專(zhuān)線(xiàn)連接一樣,而感覺(jué)不到公網(wǎng)的存在,這種網(wǎng)絡(luò)被稱(chēng)為VPN的基本結(jié)構(gòu)如圖7-17所示。VPN的基本概念VPN的基本概念

VPN是通過(guò)一個(gè)公用網(wǎng)絡(luò)建立的一個(gè)臨時(shí)、安全的連接方式,是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,其目標(biāo)是在不安全的公用網(wǎng)絡(luò)上建立一個(gè)安全的專(zhuān)用通信網(wǎng)絡(luò)。

VPN的最大優(yōu)點(diǎn)是無(wú)需租用電信部門(mén)的專(zhuān)用線(xiàn)路,而由本地ISP所提供的VPN服務(wù)所替代。因此,人們?cè)絹?lái)越關(guān)注基于Internet的VPN技術(shù)及其應(yīng)用。圖7-17虛擬專(zhuān)用網(wǎng)示意圖VPN服務(wù)器明文共用網(wǎng)絡(luò)密文VPN隧道數(shù)據(jù)分組

VPN連接明文VPN服務(wù)器

2、虛擬專(zhuān)用網(wǎng)的安全性

VPN實(shí)際上是一種服務(wù),是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN中傳輸?shù)氖瞧笫聵I(yè)或公司的內(nèi)部信息,因此數(shù)據(jù)的安全性非常重要。VPN保證數(shù)據(jù)的安全性主要包括以下3個(gè)方面。

⑴數(shù)據(jù)保密性(Confidentiality):通過(guò)數(shù)據(jù)加密來(lái)確保數(shù)據(jù)通過(guò)公網(wǎng)傳輸時(shí)外人無(wú)法看到或截獲,即使被他人看到也不會(huì)泄露。

⑵身份驗(yàn)證(Authentication):對(duì)通信實(shí)體的身份認(rèn)證和信息的完整性檢查,能夠?qū)τ诓煌挠脩?hù)必須授予不同的訪問(wèn)權(quán)限,確保數(shù)據(jù)是從正確的發(fā)送方傳輸來(lái)的。

⑶數(shù)據(jù)完整性(Integrity):確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被非法改動(dòng),保持?jǐn)?shù)據(jù)信息原樣地到達(dá)目的地。VPN的基本概念

3、VPN的特點(diǎn)

VPN最終用戶(hù)提供類(lèi)似于專(zhuān)用網(wǎng)絡(luò)性能的網(wǎng)絡(luò)服務(wù)技術(shù),并具有以下特點(diǎn)。

⑴安全性高:VPN可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴同公司內(nèi)部網(wǎng)之間建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

⑵降低成本:VPN是建立在現(xiàn)有網(wǎng)絡(luò)硬件設(shè)施基礎(chǔ)上,因此可以保護(hù)用戶(hù)現(xiàn)有的網(wǎng)絡(luò)設(shè)施投資;大幅度地減少用戶(hù)在WAN和遠(yuǎn)程連接上的費(fèi)用;降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本。

⑶優(yōu)化管理:采用VPN方案可以簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)和管理,加速連接新的用戶(hù)和網(wǎng)站。同時(shí),能夠極大地提高用戶(hù)網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性。VPN的基本概念

VPN的實(shí)現(xiàn)技術(shù)

1、隧道技術(shù)隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式,是VPN的核心。隧道技術(shù)是在公用網(wǎng)建立一條專(zhuān)用數(shù)據(jù)“通道”,以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的連接,讓來(lái)自不同數(shù)據(jù)源的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的“通道”在相同的網(wǎng)絡(luò)體系結(jié)構(gòu)上傳輸,并且允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)。隧道的組成如圖所示。隧道的組成ISP接入集線(xiàn)器MobilePC隧道終結(jié)器交換機(jī)ISPVPNGateway互聯(lián)網(wǎng)VPN的實(shí)現(xiàn)技術(shù)

2、加解密技術(shù)(Encryption&Decryption)對(duì)通過(guò)公用互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密,確保網(wǎng)絡(luò)其它未授權(quán)的用戶(hù)無(wú)法讀取該信息。

3、密鑰管理技術(shù)(KeyManagement)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?,F(xiàn)行常用密鑰管理技術(shù)可分為SKIP與ISAKMP/Oakley兩種。

4、身份認(rèn)證技術(shù)(Authentication)公用網(wǎng)絡(luò)上有眾多的使用者與設(shè)備,如何正確地辨認(rèn)合法的使用者與設(shè)備,使屬于本單位的人員與設(shè)備能互通,構(gòu)成一個(gè)VPN并讓未授權(quán)者無(wú)法進(jìn)人系統(tǒng),這就是使用者與設(shè)備身份認(rèn)證技術(shù)要解決的問(wèn)題。VPN的實(shí)現(xiàn)技術(shù)

5、VPN的應(yīng)用平臺(tái)

VPN設(shè)備選擇的標(biāo)準(zhǔn)主要取決于應(yīng)用程序運(yùn)行的安全級(jí)別和性能要求,而在技術(shù)方法上VPN是通過(guò)平臺(tái)來(lái)實(shí)現(xiàn)的。目前VPN的應(yīng)用平臺(tái)可分為3種類(lèi)型。

⑴基于軟件的VPN:當(dāng)數(shù)據(jù)連接速度較低,對(duì)性能和安全性要求不高時(shí),利用一些軟件提供的功能便可實(shí)現(xiàn)簡(jiǎn)單的VPN功能。

⑵基于專(zhuān)用硬件平臺(tái)的VPN:當(dāng)企業(yè)和用戶(hù)對(duì)數(shù)據(jù)安全與通信性能要求很高時(shí),可采用專(zhuān)用硬件平臺(tái)實(shí)現(xiàn)VPN功能。

⑶輔助硬件平臺(tái)的VPN:以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ),在添加適當(dāng)?shù)腣PN軟件的情況下實(shí)現(xiàn)VPN功能。網(wǎng)絡(luò)安全性和通信性能介于上述兩者之間。VPN的安全協(xié)議

網(wǎng)絡(luò)隧道協(xié)議有兩種:一種是二層隧道協(xié)議,用于傳輸二層網(wǎng)絡(luò)協(xié)議數(shù)據(jù),以構(gòu)建遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng);另一種是三層隧道協(xié)議,用于傳輸三層網(wǎng)絡(luò)協(xié)議,以構(gòu)建企業(yè)內(nèi)部虛擬專(zhuān)用網(wǎng)和擴(kuò)展的企業(yè)內(nèi)部VPN。

1、二層隧道協(xié)議(PPTP/P2TP)

⑴PPTP:是點(diǎn)對(duì)點(diǎn)隧道協(xié)議,它是由

Microsoft公司提出的、被嵌入到Windows中的、用于路由和遠(yuǎn)程服務(wù)的數(shù)據(jù)鏈路層協(xié)議。PPTP用IP包來(lái)封裝PPP數(shù)據(jù)幀,用簡(jiǎn)單的包過(guò)濾和域控制來(lái)實(shí)現(xiàn)訪問(wèn)控制。

⑵L2TP:是第二層隧道轉(zhuǎn)發(fā)協(xié)議,它是由PPTP和L2F組合而成,可用于基于Internet的遠(yuǎn)程撥號(hào)訪問(wèn)。還可以為使用PPP的客戶(hù)端建立撥號(hào)方式的VPN連接。L2TP可用于傳輸多種協(xié)議,如NetBIOS等。VPN的安全協(xié)議2、三層隧道協(xié)議(IPSec)

IPSec是一組開(kāi)放性協(xié)議的總稱(chēng),它包括認(rèn)證頭(AH)、Internet安全協(xié)會(huì)與密鑰管理協(xié)議(ISAKMP)和安全封裝載荷(ESP)三個(gè)子協(xié)議。IPSec具有以下三個(gè)特性。

⑴保密性:IPSec在數(shù)據(jù)傳輸之前先進(jìn)行加密,以確保的私有性。

⑵可靠性:數(shù)據(jù)到達(dá)目標(biāo)方之后進(jìn)行驗(yàn)證,保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被修改或替換。

⑶真實(shí)性:對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。

IPSec有兩種工作模式,即運(yùn)輸模式和隧道模式。在隧道模式下,IPSec把IP分組封裝在一個(gè)安全的數(shù)據(jù)報(bào)中,確保從一個(gè)防火墻到另一個(gè)防火墻的通信安全性。VPN的基本類(lèi)型圖7-19VPN的三種服務(wù)類(lèi)型公用網(wǎng)絡(luò)AccessVPNExtranetVPNInternetVPN合作伙伴子公司總公司

根據(jù)業(yè)務(wù)類(lèi)型和和組網(wǎng)方式的不同,VPN業(yè)務(wù)大致可分為3類(lèi),如圖7-19所示。VPN的基本類(lèi)型

1、內(nèi)部網(wǎng)VPN(IntranetVPN)內(nèi)部網(wǎng)是指企業(yè)的總部與分支機(jī)構(gòu)間通過(guò)公網(wǎng)構(gòu)筑的虛擬網(wǎng),它通過(guò)公用網(wǎng)絡(luò)將一個(gè)組織的各分支機(jī)構(gòu)的LAN連接而成的網(wǎng)絡(luò),即Intranet,它是公司內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN用于公司遠(yuǎn)程分支機(jī)構(gòu)的LAN之間或公司遠(yuǎn)程分支機(jī)構(gòu)的LAN與公司總部LAN之間進(jìn)行互聯(lián),以便公司內(nèi)部的資源共享、文件傳遞等,可節(jié)省DDN等專(zhuān)線(xiàn)所帶來(lái)的高額費(fèi)用。內(nèi)部網(wǎng)VPN的配置如圖7-20所示。VPNServerInternet外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)RouterRouterVPNServer圖7-20內(nèi)部網(wǎng)VPN的配置VPN的基本類(lèi)型2、遠(yuǎn)程訪問(wèn)VPN(AccessVPN)

遠(yuǎn)程訪問(wèn)也稱(chēng)為撥號(hào)VPN,是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng),用于在遠(yuǎn)程用戶(hù)或移動(dòng)雇員和公司內(nèi)部網(wǎng)之間進(jìn)行互聯(lián)。遠(yuǎn)程訪問(wèn)VPN的優(yōu)點(diǎn)是可以實(shí)現(xiàn)“透明訪問(wèn)策略”,即遠(yuǎn)程用戶(hù)可以與主機(jī)如同在同一個(gè)LAN中一樣自由地訪問(wèn)LAN上的資源。

遠(yuǎn)程網(wǎng)VPN的配置如圖7-21所示。圖7-21遠(yuǎn)程網(wǎng)VPN的配置VPNServerInternet內(nèi)部網(wǎng)絡(luò)FirewallMobilePCDesktopPCVPN的基本類(lèi)型3、外聯(lián)網(wǎng)VPN(ExtranetVPN)外聯(lián)網(wǎng)是指企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間的戰(zhàn)略聯(lián)盟,使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng),用于在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間進(jìn)行互聯(lián)。外聯(lián)網(wǎng)VPN通過(guò)一個(gè)共享基礎(chǔ)設(shè)施將客戶(hù)、供應(yīng)商、合作伙伴等連接到企業(yè)內(nèi)部網(wǎng),既可以向外提供有效的信息服務(wù),又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。外連網(wǎng)VPN的配置如圖7-22所示。圖7-22外聯(lián)網(wǎng)VPN的配置WWWServerInternet內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)VPNServerFirewallVPNServerFirewall網(wǎng)絡(luò)病毒防治技術(shù)

計(jì)算機(jī)病毒是由計(jì)算機(jī)黑客編寫(xiě)的有害程序,具有自我傳播和繁殖的能力,破壞計(jì)算機(jī)的正常工作。

Internet/Intranet的迅速發(fā)展和廣泛應(yīng)用給病毒提供了新的傳播途徑,網(wǎng)絡(luò)將正逐漸成為病毒的第一傳播途徑。

Internet/Intranet帶來(lái)了兩種不同的安全威脅:一種威脅來(lái)自文件下載,這些被瀏覽的或是通過(guò)FTP下載的文件中可能存在病毒;另一種威脅來(lái)自電子郵件。網(wǎng)絡(luò)使用的簡(jiǎn)易性和開(kāi)放性使得這種威脅越來(lái)越嚴(yán)重。正因?yàn)槿绱?,網(wǎng)絡(luò)病毒的防治技術(shù)顯得越來(lái)越重要。因此,網(wǎng)絡(luò)病毒的傳播、再生、發(fā)作將造成比單機(jī)病毒更大危害。網(wǎng)絡(luò)病毒的特點(diǎn)

網(wǎng)絡(luò)病毒的特點(diǎn)1.感染方式多2.感染速度快3.清除難度大4.破壞性強(qiáng)5.激發(fā)形式多樣6.潛在性

計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。那么,一旦共享資源染上病毒,網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸將把病毒感染到共享的所有機(jī)器上,從而形成多種共享資源的交叉感染。在網(wǎng)絡(luò)環(huán)境中的病毒具有以下6個(gè)方面的特點(diǎn):網(wǎng)絡(luò)病毒的類(lèi)型

1、GPI(GetPasswordI)病毒

GPI病毒是由歐美地區(qū)興起的專(zhuān)攻網(wǎng)絡(luò)的一類(lèi)病毒,該病毒的威力在于“自上而下”,可以“逆流而上”的傳播。

2、電子郵件病毒由于電子郵件的廣泛使用,E-mail已成為病毒傳播的主要途徑之一。

3、網(wǎng)頁(yè)病毒網(wǎng)頁(yè)病毒主要指Java及ActiveX病毒,它們大部分都保存在網(wǎng)頁(yè)中,所以網(wǎng)頁(yè)也會(huì)感染病毒。

4、網(wǎng)絡(luò)蠕蟲(chóng)程序是一種通過(guò)間接方式復(fù)制自身的非感染型病毒,它的傳播速度相當(dāng)驚人,給人們帶來(lái)難以彌補(bǔ)的損失。網(wǎng)絡(luò)病毒的防治

1、病毒的預(yù)防引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶(hù)本身。因此,防范網(wǎng)絡(luò)病毒應(yīng)從兩方面著手。第一,對(duì)內(nèi)部網(wǎng)與外界進(jìn)行的數(shù)據(jù)交換進(jìn)行有效的控制和管理,同時(shí)堅(jiān)決抵制盜版軟件;第二,以網(wǎng)為本,多層防御,有選擇地加載保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防病毒產(chǎn)品。

2、病毒清除可靠、有效地清除病毒,并保證數(shù)據(jù)的完整性是一件非常必要和復(fù)雜的工作。優(yōu)秀的防毒軟件應(yīng)該不僅能夠正確識(shí)別已有的病毒變種,同時(shí)也應(yīng)該能夠識(shí)別被病毒感染的文件。然而,防毒軟件并不是萬(wàn)能的,對(duì)付計(jì)算機(jī)病毒的最好方法是要積極地做好預(yù)防工作,而不能寄托于病毒工具軟件。網(wǎng)絡(luò)管理技術(shù)

1、網(wǎng)絡(luò)管理的定義網(wǎng)絡(luò)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,它涉及到以下3個(gè)方面。

⑴網(wǎng)絡(luò)服務(wù)提供:是指向用戶(hù)提供新的服務(wù)類(lèi)型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能等。

⑵網(wǎng)絡(luò)維護(hù):是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)等。

⑶網(wǎng)絡(luò)處理:是指網(wǎng)絡(luò)線(xiàn)路、設(shè)備利用率、數(shù)據(jù)的采集、分析,以及提高網(wǎng)絡(luò)利用率的各種控制。

2、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化

在ISO的OSI-RM的基礎(chǔ)上,由AT&T、英國(guó)電信等100多著名大公司組成的OSI/NMF(網(wǎng)絡(luò)管理論壇)定義了OSI網(wǎng)絡(luò)管理框架下的5個(gè)管理功能區(qū)域,并形成了多項(xiàng)協(xié)議。7.6.1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)

被管系統(tǒng)管理信息庫(kù)進(jìn)程管理代理被管對(duì)象管理系統(tǒng)管理協(xié)議通知執(zhí)行管理操作通知操作圖7-24網(wǎng)絡(luò)管理系統(tǒng)邏輯模型1、網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型

⑴被管對(duì)象:經(jīng)過(guò)抽象的網(wǎng)絡(luò)元素,對(duì)應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)。⑵管理進(jìn)程:負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理與控制的軟件。⑶管理信息庫(kù):可看作為管理進(jìn)程的一部分,用于記錄網(wǎng)絡(luò)中被管理對(duì)象的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論