計算機網絡第章網絡安全與網絡管理技術

本章學習要求:了解：密碼體制的基本概念。了解：防火墻的基本概念。了解：網絡入侵檢測與防攻擊的基本概念與方法。了解：網絡文件備份與恢復的基本方法。了解：網絡安全的重要性。了解：網絡病毒防治的基本方法。了解：網絡管理的基本概念與方法。第9章

網絡安全與網絡管理技術三次合并為一次課07網絡：10年05月19日（星期三）上午3、4節(jié)2023/5/241主講人：楊帆9.1網絡安全研究的主要問題

9.1.1網絡安全的重要性

從網絡的作用和應用廣泛性來理解網絡安全的重要性；網絡已經成為一個國家政治、經濟、文化、科技、軍事與綜合國力的重要標志；網絡應用正在（已經）改變人們的工作方式（社會運行機制）、生活方式和思維方式；網絡安全問題已經成為信息化社會的一個焦點問題；網絡安全不是一個單純的技術問題，還包括管理和法制環(huán)境等諸多方面；每個國家只能立足于本國，研究自己的網絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網絡安全產業(yè)，才能構筑本國的網絡與信息安全防范體系。2023/5/242主講人：楊帆9.1.2網絡安全技術研究的主要問題

網絡防攻擊問題；網絡安全漏洞與對策問題；網絡中的信息安全保密問題；防抵賴問題；

網絡內部安全防范問題；網絡防病毒問題；網絡數(shù)據(jù)備份與恢復、災難恢復問題；網絡安全標準的研究。網絡安全研究的主要問題涉及法律、管理、安全技術等諸多方面。就安全技術而言，主要研究內容至少包括：2023/5/243主講人：楊帆1.網絡防攻擊技術1）攻擊類型服務攻擊（applicationdependentattack）

:對網絡提供某種服務的服務器發(fā)起攻擊，造成該網絡的“拒絕服務”，使網絡工作不正常;非服務攻擊（applicationindependentattack）

:基于網絡層等低層協(xié)議而進行的攻擊（不針對某項具體應用服務），使得網絡通信設備工作嚴重阻塞或癱瘓。2023/5/244主講人：楊帆2）主要研究的問題網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安全策略與網絡安全防護體系？2023/5/245主講人：楊帆2.網絡安全漏洞與對策的研究計算機硬件與操作系統(tǒng)；網絡硬件與網絡軟件；數(shù)據(jù)庫管理系統(tǒng)；應用軟件；網絡通信協(xié)議。從網絡信息系統(tǒng)的諸多因素，分析可能的安全漏洞，并針對性的制定對策（打補?。?023/5/246主講人：楊帆3.網絡中的信息安全問題信息存儲安全如何保證靜態(tài)存儲在連網計算機中的信息不會被未授權的網絡用戶非法使用；信息傳輸安全如何保證信息在網絡傳輸?shù)倪^程中不被泄露與不被攻擊；（下圖給出了信息傳輸過程中可能存在的幾種安全威脅）

主要包括信息存儲安全與信息傳輸安全兩個方面。2023/5/247主講人：楊帆4種可能的網絡安全威脅竊聽截獲篡改偽造竊聽篡改偽造截獲被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站（見教材P374）2023/5/248主講人：楊帆4.防抵賴問題問題：防抵賴是防止信息源結點用戶對他發(fā)送的信息事后不承認，或者是信息目的結點用戶接收到信息之后不認賬；方法：通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等方法，來確保網絡信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。2023/5/249主講人：楊帆5.網絡內部安全防范有意或無意地泄露網絡用戶或網絡管理員口令；違反網絡安全規(guī)定，繞過防火墻，私自和外部網絡連接，造成系統(tǒng)安全漏洞；違反網絡使用規(guī)定，越權查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)；違反網絡使用規(guī)定，越權修改網絡系統(tǒng)配置，造成網絡工作不正常；網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為。主要包括：

解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手。2023/5/2410主講人：楊帆6.網絡防病毒

引導型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒2023/5/2411主講人：楊帆7.網絡數(shù)據(jù)備份與恢復、災難恢復問題問題：解決因設備故障、網絡故障、網絡攻擊、病毒感染、人為破壞以及自然災害等諸多因素導致的數(shù)據(jù)損壞問題；方法：設計制定合適的數(shù)據(jù)備份和恢復策略；

建立數(shù)據(jù)被份和恢復系統(tǒng)；

制定嚴格的數(shù)據(jù)備份管理制度；2023/5/2412主講人：楊帆9.1.3網絡安全服務與安全標準

1、網絡安全服務應該提供的基本服務功能：數(shù)據(jù)保密（dataconfidentiality）認證（authentication）數(shù)據(jù)完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）2023/5/2413主講人：楊帆2、網絡安全標準該準則將計算機系統(tǒng)安全分為4類7個等級：

D類，安全要求最低；

C類（C1和C2兩個等級）；

B類（B1、B2、B3三個等級）；

A類（A1級），最高安全級，在安全審計、安全測試、配置管理等方面提出了更高的要求；用于評估計算機、網絡與信息系統(tǒng)安全性的代表性標準是美國國防部的黃皮書（可信計算機系統(tǒng)）評估準則。該標準1983年公布，1985年增加了可信網絡說明（TNI），基本內容如下：2023/5/2414主講人：楊帆3、我國在網絡安全方面的法律法規(guī)

《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關于維護互聯(lián)網安全決定》，全國人民代表大會常務委員會通過，2000年12月2023/5/2415主講人：楊帆9.2加密與認證技術

9.2.1密碼算法與密碼體制的基本概念

數(shù)據(jù)加密與解密的過程

對加密和解密過程的不同實現(xiàn)，形成了不同的密碼體制。加密算法解密算法加密過程解密過程2023/5/2416主講人：楊帆密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰；對稱密碼體制(傳統(tǒng)):所用的加密密鑰和解密密鑰相同；非對稱密碼體制:加密密鑰和解密密鑰不相同；密鑰:是密碼算法中的可變參數(shù),用來描述明文與密文之間等價的數(shù)學函數(shù)關系。從數(shù)學的角度來看，改變了密鑰，也就改變這種等價關系；密碼算法：是密碼體制中的信息變換規(guī)則，是相對穩(wěn)定的。在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量；在設計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。關于密碼體制：2023/5/2417主講人：楊帆什么是密碼

其中：m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數(shù)k稱為密鑰密文C是明文m使用密鑰k經過加密算法計算后的結果；加密算法可以公開，而密鑰只能由通信雙方來掌握。密碼是含有一個參數(shù)k的數(shù)學變換，即

C=Ek(m)2023/5/2418主講人：楊帆密鑰長度（指密鑰的二進制為數(shù)）密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=1656256=7.2×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.4×10382023/5/2419主講人：楊帆9.2.2對稱密鑰密碼體系

（symmetriccryptography）特點：加密和解密使用相同的密鑰；密鑰在傳輸時要嚴格保密。典型的對稱密鑰加密算法是DES算法。（P380-381）2023/5/2420主講人：楊帆9.2.3非對稱密鑰密碼體系

（asymmetriccryptography）特點：加密和解密使用不同的密鑰，加密的密鑰可公開（公鑰），解密的密鑰要保密（私鑰），公鑰和私鑰之間是數(shù)學相關的，并成對出現(xiàn)。但不能通過公鑰計算出私鑰。2023/5/2421主講人：楊帆非對稱加密的標準

（P382-383）RSA體制被認為是目前為止理論上最為成熟的一種非對稱密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面；Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制；目前，許多商業(yè)產品采用的公鑰加密算法還有DiffieHellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等。2023/5/2422主講人：楊帆9.2.4數(shù)字信封技術

（P383-384）

是用對稱加密算法加密數(shù)據(jù)，再用非對稱加密算法加密對稱加密的密鑰，從而實現(xiàn)信息傳輸安全和靈活性并舉的一種技術。（雙重加密）①②③④⑤⑥2023/5/2423主講人：楊帆9.2.5數(shù)字簽名技術

數(shù)字簽名是網絡環(huán)境中，通過模擬日常生活中的親筆簽名來確認文件真實性和發(fā)件人身份的一種方法，是網絡安全方面的一項重要技術。它將信息發(fā)送人的身份與信息相結合，保證信息傳輸?shù)耐暾?，同時提供發(fā)送者的身份認證，防止抵賴行為的發(fā)生。2023/5/2424主講人：楊帆9.2.6身份認證技術的發(fā)展

身份認證可以通過3種基本途徑之一或它們的組合實現(xiàn)：知識（knowledge）:

個人所掌握的密碼、口令；持有物（possesses）:

個人身份證、護照、信用卡、鑰匙；個人特征（characteristics）:人的指紋、聲紋、筆跡、手型、臉型、血型、視網膜、虹膜、DNA，以及個人動作方面的特征。發(fā)展方向：結合生物統(tǒng)計學，利用個人所特有的生理特征來設計身份認證系統(tǒng)。目前人們研究的個人特征主要包括：容貌、膚色、發(fā)質、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網膜、血型、遺傳因子、筆跡、習慣性簽字、打字韻律，以及在外界刺激下的反應等。2023/5/2425主講人：楊帆9.3防火墻技術

9.3.1防火墻的基本概念

防火墻是在網絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。

防火墻不能防病毒！06網絡：09年06月11日（星期四）晚9、10節(jié)2023/5/2426主講人：楊帆防火墻通過檢查所有進出內部網絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界（securityperimeter）；基本的防火墻技術：是包過濾路由器（packetfilteringrouter）和應用網關（applicationgateway）；最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用網關組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結構也有多種形式。2023/5/2427主講人：楊帆9.3.2包過濾路由器

包過濾路由器的結構

2023/5/2428主講人：楊帆路由器按照系統(tǒng)內部設置的分組過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉發(fā)；包過濾規(guī)則一般是基于部分或全部報頭的內容。例如，對于TCP報頭信息可以是：?源IP地址；

?目的IP地址；?協(xié)議類型；

?IP選項內容；

?源TCP端口號；

?目的TCP端口號；

?TCPACK標識。

2023/5/2429主講人：楊帆包過濾的工作流程2023/5/2430主講人：楊帆包過濾路由器作為防火墻的結構

例如：在內外網之間設置一個包過濾防火墻考慮以下3方面問題：1）連接方法2）分析安全需求3）設置過濾規(guī)則2023/5/2431主講人：楊帆假設網絡安全策略規(guī)定：內部網絡的E-mail服務器（IP地址為192.1.6.2，TCP端口號為25）可以接收來自外部網絡用戶的所有電子郵件；允許內部郵件服務器向外部電子郵件服務器發(fā)送電子郵件；拒絕所有與外部網絡中主機名為TESTHOST的連接（雙向拒絕）。

2023/5/2432主講人：楊帆包過濾規(guī)則表

2023/5/2433主講人：楊帆9.3.3應用網關的概念

多歸屬主機（multihomedhost）

典型的多歸屬主機結構

2023/5/2434主講人：楊帆應用網關

（P391）2023/5/2435主講人：楊帆應用代理（applicationproxy）

應用代理使得不具備訪問某些服務的客戶可以通過代理實現(xiàn)對這些服務的訪問。2023/5/2436主講人：楊帆9.3.4防火墻的系統(tǒng)結構

1、單層防火墻

單獨采用應用網關或包過濾路由器組成的防火墻；處于關鍵部位、運行應用網關軟件、起防火墻作用的計算機系統(tǒng)叫做堡壘主機。2023/5/2437主講人：楊帆2、雙層防火墻采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結構（P395）2023/5/2438主講人：楊帆雙層防火墻的工作過程：

包過濾路由器的轉發(fā)和堡壘主機的判別過程

①②2023/5/2439主講人：楊帆雙層防火墻（S-B1配置）中的數(shù)據(jù)傳輸過程

2023/5/2440主講人：楊帆3、多層防火墻采用多級結構的防火墻系統(tǒng)（S-B1-S-B1配置）結構示意圖2023/5/2441主講人：楊帆9.4網絡防攻擊與入侵檢測技術

9.4.1網絡攻擊方法分析

入侵系統(tǒng)類攻擊：主要途徑有信息收集、獲取口令、發(fā)現(xiàn)漏洞等；緩沖區(qū)溢出攻擊：迫使程序執(zhí)行其他指令；欺騙類攻擊；對防火墻的攻擊；利用病毒攻擊；木馬程序攻擊；后門攻擊；拒絕服務攻擊。目前黑客攻擊大致可以分為8種基本的類型：目的是獲得主機系統(tǒng)的控制權2023/5/2442主講人：楊帆9.4.2入侵檢測的基本概念入侵檢測系統(tǒng)（intrusiondetectionsystem）是對計算機和網絡資源的惡意使用行為進行識別的系統(tǒng)；其目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內部用戶的非授權行為，并采取相應的防護手段。1、入侵檢測系統(tǒng)（IDS）2023/5/2443主講人：楊帆監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析，識別攻擊類型，并向網絡管理人員報警；對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權的用戶活動。2、IDS的基本功能：2023/5/2444主講人：楊帆3、IDS的框架結構2023/5/2445主講人：楊帆9.4.3入侵檢測的基本方法

（P400）對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為（入侵檢測系統(tǒng)的核心功能）；入侵檢測系統(tǒng)按照所采用的檢測方法（技術）：

?異常檢測?誤用檢測

?兩種方式的結合2023/5/2446主講人：楊帆9.5網絡文件備份與恢復技術

9.5.1網絡文件備份與恢復的重要性

應對各種人為誤操作、設備故障、網絡故障、自然災害等突發(fā)事件的發(fā)生，保證網絡服務的正常運行或可恢復運行。2023/5/2447主講人：楊帆9.5.2網絡文件備份的基本方法

規(guī)劃備份方案（提供不同的恢復能力）。需要考慮以下兩個問題：1）如果系統(tǒng)遭到破壞需要多長時間才能恢復？

2）怎樣備份才可能在恢復系統(tǒng)時數(shù)據(jù)損失最少？

選擇備份設備選擇備份程序建立備份制度

2023/5/2448主講人：楊帆9.6網絡防病毒技術

9.6.1造成網絡感染病毒的主要原因

Email、文件下載時的病毒傳播；將用戶家庭微型機軟盤帶到網絡上運行而使網絡感染上病毒的事件約占41%左右；從網絡電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統(tǒng)維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；主要原因：網絡信息來源廣泛，網上的惡意病毒傳播。2023/5/2449主講人：楊帆9.6.2網絡病毒的危害

網絡病毒感染一般是從用戶工作站開始的，而網絡服務器是病毒潛在的攻擊目標，也是網絡病毒潛藏的重要場所；網絡服務器在網絡病毒事件中起著兩種作用：它可能被感染，造成服務器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網絡病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上；當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)。2023/5/2450主講人：楊帆9.6.3典型網絡防病毒軟件的應用

網絡防病毒可以從以下兩方面入手：一是工作站，二是服務器；網絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網絡管理員負責清除病毒；

網絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描；一個完整的網絡防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。

2023/5/2451主講人：楊帆9.6.4網絡工作站防病毒方法

采用無盤工作站使用單機防病毒卡

使用網絡防病毒卡安裝網絡版的殺毒軟件

2023/5/2452主講人：楊帆9.7網絡管理技術

9.7.1網絡管理的基本概念

網絡管理涉及以下三個方面：提供網絡服務：指向用戶提供新的服務類型、增加網絡設備、提高網絡性能；網絡維護：指網絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復；網絡處理：指網絡線路、設備利用率數(shù)據(jù)的采集、分析，以及提高網絡利用率的各種控制。2023/5/2453主講人：楊帆9.7.2網絡管理的基本內容（P