網(wǎng)絡(luò)安全管理

計算機(jī)網(wǎng)絡(luò)概論第八章網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理單元學(xué)習(xí)目的

了解網(wǎng)絡(luò)安全概念及網(wǎng)絡(luò)安全面臨主要威脅；了解系統(tǒng)漏洞、掃描、系統(tǒng)補(bǔ)??；了解黑客與計算機(jī)病毒，計算機(jī)病毒的分類及防治措施；了解防火墻與入侵檢測系統(tǒng)；了解加密與認(rèn)證，加密軟件PGP的使用；了解網(wǎng)絡(luò)管理的概念及功能，常見網(wǎng)絡(luò)管理軟件。單元主要內(nèi)容

網(wǎng)絡(luò)安全概述漏洞與掃描系統(tǒng)補(bǔ)丁黑客與計算機(jī)病毒防火墻入侵檢測系統(tǒng)加密與認(rèn)證網(wǎng)絡(luò)管理8.1網(wǎng)絡(luò)安全概述

隨著全球信息化進(jìn)程的不斷推進(jìn)，Internet的應(yīng)用不斷地普及和發(fā)展，Internet在人們生活中的地位越來越重要。Internet是一個開放式互聯(lián)系統(tǒng)，其目的是方便通過網(wǎng)絡(luò)進(jìn)行信息交換，但其安全性很不完善。病毒通過Internet傳播，其危害性到了空前的程度，黑客通過Internet，可以在世界任何一個角落，對Internet上的主機(jī)發(fā)動攻擊。每年世界上成千上萬的電腦因病毒感染或黑客攻擊而引起系統(tǒng)崩潰、數(shù)據(jù)丟失，造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全問題已發(fā)展成為一個社會問題，它對社會經(jīng)濟(jì)秩序、甚至國家安全構(gòu)成威脅，許多國家除了加強(qiáng)技術(shù)的研究外，還制定有關(guān)的法律法規(guī)，開展國際合作，打擊制作病毒和黑客攻擊行為，提高網(wǎng)絡(luò)系統(tǒng)的安全性。

網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，通過采取相應(yīng)的安全措施，保護(hù)網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)不遭到破壞、泄露和篡改，從而提供正常網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)安全主要防止利用竊聽、冒充、篡改和抵賴手段，對用戶的信息安全造成影響，避免非法訪問、黑客攻擊、病毒入侵。

網(wǎng)絡(luò)安全要實現(xiàn)的目標(biāo)可靠性—抗毀性/生存性/有效性可用性—身份識別與確認(rèn)/訪問控制/業(yè)務(wù)流控制/審計跟蹤保密性—防偵收/防輻射/信息加密/物理保密完整性—協(xié)議/糾錯編碼方法/密碼校驗和方法/數(shù)字簽名不可抵賴性—真實性/不可否認(rèn)可控性—控制能力來保證網(wǎng)絡(luò)安全面臨的威脅

系統(tǒng)的漏洞

黑客攻擊

①拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指通過制造無用的網(wǎng)絡(luò)數(shù)據(jù)，造成網(wǎng)絡(luò)擁堵，大量占用系統(tǒng)資源等方法，使目標(biāo)主機(jī)或網(wǎng)絡(luò)失去及時響應(yīng)訪問請求的能力。分布式拒絕服務(wù)攻擊的危害性更大，黑客首先進(jìn)入一些易于攻擊的系統(tǒng)，然后利用這些被控制的系統(tǒng)向目標(biāo)系統(tǒng)發(fā)動大規(guī)模的協(xié)同攻擊，其威力比拒絕服務(wù)攻擊大很多。

網(wǎng)絡(luò)安全面臨的威脅黑客攻擊②口令破解

網(wǎng)絡(luò)中的身份鑒別方法中很重要的一種是用戶名/口令，它實現(xiàn)起來簡單，被廣泛地使用。黑客利用黑客程序記錄用戶登錄過程或用口令破解器來獲取口令，進(jìn)而在網(wǎng)絡(luò)上進(jìn)行身份冒充，從而對網(wǎng)絡(luò)安全造成威脅。

③電子郵件炸彈

④Web攻擊

網(wǎng)絡(luò)安全面臨的威脅病毒入侵

網(wǎng)絡(luò)已成為病毒傳播的主要途經(jīng)，病毒通過網(wǎng)絡(luò)入侵，具有更大的傳播速度和更大傳播范圍，其破壞性也不言而喻，有些惡性的病毒會造成系統(tǒng)癱瘓、數(shù)據(jù)破壞或丟失，嚴(yán)重地危害到網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)配置管理不當(dāng)

網(wǎng)絡(luò)管理員在配置網(wǎng)絡(luò)時，往往因為用戶權(quán)限設(shè)置過大、開放不必要的服務(wù)器端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權(quán)訪問，給網(wǎng)絡(luò)安全造成危害，有時甚至是致命的。

8.2漏洞與掃描

對于一個層次復(fù)雜的系統(tǒng)或一項網(wǎng)絡(luò)安全規(guī)劃來說，漏洞掃描是一項重要的工作。漏洞掃描能夠?qū)ο到y(tǒng)設(shè)置進(jìn)行攻擊測試，幫助管理員找出網(wǎng)絡(luò)中存在的漏洞。通過這些方法，可以評估網(wǎng)絡(luò)的安全級別，并生成評估報告，提供相應(yīng)的整改措施，從而降低網(wǎng)絡(luò)的安全風(fēng)險。

漏洞概述

漏洞是指在硬件、軟件、協(xié)議集成時或系統(tǒng)安全設(shè)置上存在的錯誤或缺陷。絕對安全的系統(tǒng)是不存在的，每個系統(tǒng)都有漏洞，不論你在系統(tǒng)安全性上投入多少財力，不論你的系統(tǒng)安全級別多高，攻擊者仍然可以發(fā)現(xiàn)一些可利用的漏洞和配置缺陷。廣義上講漏洞大體上分為兩大類：技術(shù)漏洞和管理漏洞;技術(shù)漏洞常見有:(1)軟件編寫錯誤造成的漏洞；(2)軟件配置不當(dāng)造成的漏洞。

技術(shù)漏洞主要有以下內(nèi)容

1.身份確認(rèn)和訪問控制管理2.通信協(xié)議—IP地址欺騙/IP碎片襲擊/TCP序號攻擊/UDP欺騙3.應(yīng)用軟件4.網(wǎng)絡(luò)服務(wù)器—Web服務(wù)器的會話/服務(wù)器的軟件結(jié)構(gòu)復(fù)雜存在安全隱患/分析熟悉代碼發(fā)現(xiàn)缺陷

管理漏洞的防范職責(zé)不明,管理制度執(zhí)行不嚴(yán),沒有規(guī)范的操作規(guī)程,沒有事故應(yīng)急措施,沒有對員工進(jìn)行良好的思想品德教育等.1.多人負(fù)責(zé)原則2.任期有限原則3.職責(zé)分離原則系統(tǒng)常見漏洞軟件的缺省安裝

缺省安裝很多情況下會安裝了用戶目前不需要的服務(wù)，從而產(chǎn)生很多安全漏洞。因為一個系統(tǒng)開放的服務(wù)越多，越容易遭到攻擊，并且用戶通常只關(guān)心自己正在使用的服務(wù)的安全漏洞，能比較及時地、有針對性地打上補(bǔ)丁。但對沒有使用的服務(wù)關(guān)心程度不夠，有時可能根本不知道系統(tǒng)上有哪些服務(wù)CGI程序

過多的開放端口

掃描掃描是指對計算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全性檢測，收集和分析被掃描系統(tǒng)或網(wǎng)絡(luò)的信息，從而找出安全隱患或漏洞。我們可以向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報文，根據(jù)返回的結(jié)果來了解目標(biāo)主機(jī)的狀況，如目標(biāo)主機(jī)運(yùn)行何種操作系統(tǒng)、開放了哪些端口和服務(wù)等。網(wǎng)絡(luò)管理員通過掃描可以找出系統(tǒng)的漏洞，從而提高網(wǎng)絡(luò)安全管理水平，而攻擊者可以通過掃描來發(fā)現(xiàn)目標(biāo)主機(jī)的漏洞，來發(fā)動攻擊。

端口掃描技術(shù)

TCPconnect()掃描

TCPSYN掃描

TCPFIN掃描

ICMPecho掃描

TCP反向Ident掃描

掃描工具的性能

報表性能好；易安裝，易使用；能夠檢測出目標(biāo)系統(tǒng)缺少的補(bǔ)??；掃描性能好，具備快速修復(fù)漏洞的能力；對漏洞及漏洞等級檢測的可靠性；可擴(kuò)展性；易升級性；性價比好；

系統(tǒng)補(bǔ)丁

系統(tǒng)存在這樣那樣的漏洞，我們需要進(jìn)行修補(bǔ)，稱為給系統(tǒng)打補(bǔ)丁，一般有兩種方式，一種是下載Hotfix，通常稱為修補(bǔ)程序，另一種是下載SP(補(bǔ)丁包)。

Hotfix修補(bǔ)程序Hotfix是針對某一個具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的程序，通常稱為修補(bǔ)程序。SP補(bǔ)丁包微軟就將Hotfix打包，進(jìn)行發(fā)布，稱為SP補(bǔ)丁包，通常SP補(bǔ)丁包中包含有SP發(fā)布日期前所發(fā)布的所有Hotfix。8.3黑客與計算機(jī)病毒

黑客

黑客（hacker），源于英語動詞hack，意為“劈，砍”。黑客在早期是一個帶有褒義的詞，通常是指具有高級計算機(jī)技術(shù)，并有能力通過創(chuàng)新的方法分析系統(tǒng)的人。黑客能使系統(tǒng)趨于完善和安全，他們以保護(hù)系統(tǒng)為目的，而不正當(dāng)侵入行為只是他們找出系統(tǒng)漏洞的手段。早期的黑客中出現(xiàn)了幾個大名鼎鼎的人物，如GNU項目的發(fā)起人RichardStallman就曾是黑客。黑客最初是一些程序員，他們有高深的編程技術(shù)，能夠用匯編語言，甚至是機(jī)器語言進(jìn)行編程，他們對系統(tǒng)進(jìn)行分析，這些工作對系統(tǒng)的設(shè)計和優(yōu)化起到關(guān)鍵作用。8.3黑客與計算機(jī)病毒黑客與駭客

網(wǎng)絡(luò)入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的,這些群體稱為駭客(Cracker)。駭客通常以獲取利益為目的，他們?nèi)肭窒到y(tǒng)，非法獲取數(shù)據(jù)，為自己謀取經(jīng)濟(jì)利益，如將獲取的商業(yè)機(jī)密出賣、盜取銀行帳號等?，F(xiàn)在，在我們國家，人們已習(xí)慣將黑客和駭客混為一談了，比如某人利用計算機(jī)技術(shù)進(jìn)行犯罪，我們就將他稱為黑客犯罪。

計算機(jī)病毒的概念計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù),影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒有自我復(fù)制能力，通過存儲介質(zhì)或網(wǎng)絡(luò)，計算機(jī)病毒可以很快地蔓延。計算機(jī)病毒將自身附著在各種類型的文件上，當(dāng)滿足一定條件時，會產(chǎn)生一定的破壞性。

計算機(jī)病毒的分類

(1)引導(dǎo)型病毒引導(dǎo)型病毒在ROMBIOS系統(tǒng)引導(dǎo)時，即取得對操作系統(tǒng)的控制權(quán)，它常駐內(nèi)存，伺機(jī)傳染和破壞。它可以感染磁盤的引導(dǎo)扇區(qū)，也可以改寫硬盤的分區(qū)表，因此其破壞性極強(qiáng)，有時會造成整個硬盤數(shù)據(jù)的丟失。(2)文件型病毒文件型病毒是較為常見的病毒，它感染的主要是擴(kuò)展名為COM、EXE、OVL的文件，病毒將自身附著在系統(tǒng)的文件中，當(dāng)文件被執(zhí)行時，病毒也同時被裝入內(nèi)存。感染文件型病毒會造成文件的執(zhí)行速度變慢，甚至無法執(zhí)行程序，它還可能會造成感染文件的長度變長。計算機(jī)病毒的分類

(3)混合型病毒混合型病毒綜合了引導(dǎo)型和文件型病毒的特點，它通過感染引導(dǎo)區(qū)和文件，增加了傳染性和殺毒難度，因此其破壞力比前兩者更強(qiáng)。(4)宏病毒宏病毒利用office提供的宏功能，通過．doc文檔及．dot模板進(jìn)行自我復(fù)制及傳播。(5)蠕蟲病毒蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它又有自己的一些特征，如寄生在其它文件中，對網(wǎng)絡(luò)會造成拒絕服務(wù)，蠕蟲病毒的破壞性極強(qiáng)，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在很短的時間內(nèi)蔓延到大范圍網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓，如著名的沖擊波病毒。計算機(jī)病毒的癥狀

計算機(jī)病毒對系統(tǒng)會產(chǎn)生一定的破壞性，有的甚至?xí)斐蔀?zāi)難性的后果，那么，我們?nèi)绾闻袛嘤嬎銠C(jī)感染了病毒，進(jìn)而采取恰當(dāng)?shù)拇胧?，將病毒造成的損失降到最低？病毒的存在并非無影無蹤，我們可以從病毒的癥狀發(fā)現(xiàn)一些端倪。(1)計算機(jī)系統(tǒng)的速度明顯降低由于病毒程序附加或占用引導(dǎo)部分,會使系統(tǒng)引導(dǎo)變慢。另外病毒驅(qū)留內(nèi)存，會執(zhí)行一些操作，消耗系統(tǒng)的資源，有時會造成內(nèi)存嚴(yán)重不足，導(dǎo)致系統(tǒng)運(yùn)行速度變慢。(2)磁盤剩余空間無故減少有些病毒對文件造成感染，會造成文件長度加大，另外，有些病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱藏起來，這樣磁盤壞簇會增多，這些都會導(dǎo)致磁盤剩余空間減少。

計算機(jī)病毒的癥狀(3)數(shù)據(jù)被破壞文件型病毒會對文件進(jìn)行修改，可能會造成文件無法正確讀取，另外一些惡性病毒會刪除硬盤上的數(shù)據(jù)。(4)經(jīng)常死機(jī)由于病毒程序與操作系統(tǒng)可能會發(fā)生沖突，病毒與硬件的兼容性也不一定很好，因此會造成死機(jī)現(xiàn)象，另外，病毒程序會造成內(nèi)存的紊亂，使計算機(jī)無法正常工作或死機(jī)。(5)無故讀寫磁盤由于病毒會執(zhí)行一些磁盤讀寫操作，因此，感染病毒后，即使我們沒有執(zhí)行任何操作，也會出現(xiàn)磁盤讀寫指示燈亮的情況。計算機(jī)病毒的防治策略

(1)減少感染的機(jī)率病毒通常從網(wǎng)絡(luò)傳播，我們不從不可靠的渠道下載軟件，不隨意打開來歷不明的電子郵件，將會減少與病毒接觸的機(jī)會。我們在安裝軟件時，進(jìn)行病毒掃描也是非常重要的。(2)安裝殺毒軟件安裝殺毒軟件是防治病毒的有力措施，我們應(yīng)該選擇經(jīng)過公安部認(rèn)證的病毒防治產(chǎn)品。計算機(jī)病毒更新很快，我們還應(yīng)該及時地對殺毒軟件的病毒庫進(jìn)行升級。(3)安裝最新的系統(tǒng)補(bǔ)丁病毒往往利用操作系統(tǒng)的漏洞進(jìn)行傳染，因此，及時地下載并安裝系統(tǒng)的補(bǔ)丁，將有助于切斷病毒傳播的途經(jīng)。(4)建立備份和恢復(fù)制度任何殺毒軟件都不能確保萬無一失，重要數(shù)據(jù)一旦丟失或破壞，其損失可能是不可估量的。運(yùn)行良好的備份和恢復(fù)計劃有助于將損失降到最低。

幾種常見殺毒軟件

(1)瑞星瑞星殺毒軟件是國內(nèi)較有影響力的殺毒軟件，是北京瑞星科技股份有限公司研發(fā)的產(chǎn)品。瑞星殺毒軟件具有很強(qiáng)的殺毒能力，有很好的穩(wěn)定性和良好的售后服務(wù)，有完善的實時監(jiān)控功能，提供中文、英文、日文多語言版本，有單機(jī)版和網(wǎng)絡(luò)版。(2)金山毒霸金山毒霸是香港金山公司的產(chǎn)品，具有漏洞修復(fù)、郵件防毒、聊天防毒、網(wǎng)頁防毒等功能，支持移動網(wǎng)絡(luò)計算技術(shù)，具備先進(jìn)的病毒防火墻實時反病毒技術(shù)，有單機(jī)版和網(wǎng)絡(luò)版，但穩(wěn)定性和兼容性方面略有欠缺。(3)江民殺毒江民殺毒軟件采用國內(nèi)較早的江民反病毒技術(shù)，江民反病毒技術(shù)已有10余年的歷史，在DOS及Windows版本下均有其產(chǎn)品。對文件型、引導(dǎo)型病毒和宏病毒，江民殺毒軟件有較強(qiáng)的殺毒能力，有單機(jī)版和網(wǎng)絡(luò)版。(4)諾頓諾頓殺毒軟件是一款國外殺毒軟件，其特點是有很強(qiáng)的穩(wěn)定性和兼容性，具有出色的病毒隔離技術(shù)，也可以自動更新病毒庫。

8.4防火墻(Firewall)防火墻是一個或一組系統(tǒng)，包括軟件和硬件，其功能是將內(nèi)部和外部網(wǎng)絡(luò)(如Internet)按照一定的控制策略進(jìn)行隔離。防火墻在內(nèi)外網(wǎng)絡(luò)之間執(zhí)行訪問控制策略，通過制定一些訪問規(guī)則，能夠允許系統(tǒng)“同意”的用戶和數(shù)據(jù)進(jìn)入自己的網(wǎng)絡(luò)，同時也能夠拒絕未經(jīng)允許的訪問者和數(shù)據(jù)，從而最大限度地阻止入侵行為，有效地保護(hù)網(wǎng)絡(luò)信息安全。

防火墻三個方面的基本特性

1．內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)包都必須經(jīng)過防火墻。2．只有符合安全策略的數(shù)據(jù)包才能通過防火墻。3．防火墻本身具有預(yù)防入侵的功能。防火墻的分類

包過濾(Packetfiltering)型

包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號和協(xié)議狀態(tài)等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy)型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。它完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

圖8-4-1應(yīng)用代理型防火墻結(jié)構(gòu)

幾款防火墻圖圖8-4-2紫光防火墻UF3500圖8-4-3青鳥網(wǎng)關(guān)防火墻JB-FW1/100H防火墻的分類狀態(tài)檢測防火墻（StatefulInspection）狀態(tài)檢測防火墻技術(shù)是新一代的防火墻技術(shù)，是由CheckPoint公司引入的。它監(jiān)視第一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

防火墻的分類第四代防火墻到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，防火墻產(chǎn)品進(jìn)入了第四代。具有安全操作系統(tǒng)的防火墻本身就是一個操作系統(tǒng)，因而在安全性上較之以前的防火墻有質(zhì)的提高。。純軟件防火墻隨著計算機(jī)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)安全的需求，許多網(wǎng)絡(luò)安全軟件廠商開發(fā)出了基于純軟件的用于PC機(jī)的防火墻，俗稱“個人防火墻”，它安裝在主機(jī)中，只對一臺主機(jī)進(jìn)行防護(hù)。防火墻的性能指標(biāo)

產(chǎn)品類型從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。LAN接口防火墻所能保護(hù)的網(wǎng)絡(luò)類型：如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù)等協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議防火墻的性能指標(biāo)加密支持

支持的VPN加密標(biāo)準(zhǔn)：VPN中支持的加密算法,例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國內(nèi)專用的加密算法。

認(rèn)證支持

支持的認(rèn)證類型：

是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個或多個認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、

口令方式、數(shù)字證書等。

防火墻的性能指標(biāo)訪問控制

包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一致性檢測機(jī)制，防止沖突。防御功能支持病毒掃描提供內(nèi)容過濾能防御的DoS攻擊類型阻止ActiveX、Java、Cookies、Javascript侵入

防火墻的性能指標(biāo)安全特性

支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議，提供入侵實時警告，提供實時入侵防范，提供實時入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時，防火墻能夠動態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報文，識別/記錄/防止企圖進(jìn)行IP地址欺騙。防火墻的性能指標(biāo)管理功能

通過集成策略集中管理多個防火墻：是否支持集中管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理記錄和報表功能

8.5入侵檢測系統(tǒng)(IDS)

計算機(jī)病毒可以說是防不勝防，2003年8月11日深夜發(fā)作的新型網(wǎng)絡(luò)蠕蟲病毒“沖擊波”，造成大量的網(wǎng)絡(luò)陷于癱瘓，即使安裝了殺毒軟件的企業(yè)和個人用戶也未能幸免，損失慘重。因此，建立網(wǎng)絡(luò)安全預(yù)警機(jī)制，就顯得十分重要。入侵檢測的概念入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)則是對防火墻有效的補(bǔ)充，它通過收集來自計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中若干關(guān)鍵點的信息，并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點與主機(jī)系統(tǒng)之上，可監(jiān)測網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動。當(dāng)發(fā)現(xiàn)可疑活動時，IDS會依據(jù)使用者設(shè)定的策略發(fā)出警示，并調(diào)動其他網(wǎng)絡(luò)設(shè)備阻斷可能產(chǎn)生的攻擊。入侵檢測系統(tǒng)必須可以對得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果，入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，能及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。入侵檢測系統(tǒng)組成Internet工程任務(wù)組（InternetEngineeringTaskForce，簡稱IETF）將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫（Eventdatabases）。事件產(chǎn)生器的目的是從整個網(wǎng)絡(luò)環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件，即信息收集。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果，即信息分析。響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、禁用帳號、重新配置防火墻等動作，也可以只是簡單的報警。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。入侵檢測系統(tǒng)的分類

根據(jù)應(yīng)用環(huán)境根據(jù)應(yīng)用環(huán)境，入侵檢測系統(tǒng)可分為基于主機(jī)和基于網(wǎng)絡(luò)型?；谥鳈C(jī)型入侵檢測系統(tǒng)通過監(jiān)測系統(tǒng)、事件、系統(tǒng)日志、應(yīng)用程序日志，從所在的主機(jī)收集信息，與入侵系統(tǒng)攻擊標(biāo)志比較，如果匹配，則系統(tǒng)發(fā)出報警。主機(jī)型入侵檢測系統(tǒng)一般保護(hù)所在的系統(tǒng)。基于網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，我們通常要將一臺計算機(jī)的網(wǎng)卡設(shè)于混雜模式(promiscuousmode)，來監(jiān)聽并分析網(wǎng)絡(luò)中的數(shù)據(jù)包。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)絡(luò)的任務(wù)。入侵檢測系統(tǒng)的分類根據(jù)入侵系統(tǒng)的工作方式根據(jù)入侵系統(tǒng)的工作方式的不同，將入侵檢測系統(tǒng)分為實時入侵檢測和事后入侵檢測兩種。實時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機(jī)中的知識庫進(jìn)行判斷，發(fā)現(xiàn)入侵跡象后，自動地采取對目標(biāo)系統(tǒng)中的漏洞進(jìn)行修補(bǔ)、立即斷開入侵者與主機(jī)的連接、關(guān)閉目標(biāo)系統(tǒng)上的相應(yīng)服務(wù)等措施。事后入侵檢測的主要工作由網(wǎng)絡(luò)管理員來完成，入侵檢測系統(tǒng)檢測到對目標(biāo)系統(tǒng)的攻擊行為后，向網(wǎng)絡(luò)管理員發(fā)出報警，然后網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)對用戶操作所做的歷史審計記錄來判斷用戶是否存在入侵行為，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期或不定期進(jìn)行的，不具有實時性。入侵檢測系統(tǒng)的功能

監(jiān)督并分析用戶和系統(tǒng)的活動檢查系統(tǒng)配置和漏洞檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別代表已知攻擊的活動模式對反常行為模式的統(tǒng)計分析對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。入侵檢測的過程入侵檢測系統(tǒng)的入侵檢測過程可以分為收集信息、分析信息和報警與響應(yīng)三個階段，即收集系統(tǒng)和非系統(tǒng)中的信息，然后對收集到的數(shù)據(jù)進(jìn)行分析，并采取相應(yīng)措施。信息收集信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。我們需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機(jī)）收集信息，一方面可以盡可能地擴(kuò)大檢測范圍，另一方面就是對來自不同信息源的信息進(jìn)行特征分析比較后，可以發(fā)現(xiàn)入侵行為。入侵檢測的過程數(shù)據(jù)分析

對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。①模式匹配模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。入侵檢測的過程數(shù)據(jù)分析

②統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。

③完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它對發(fā)現(xiàn)內(nèi)容被更改方面很有效。報警與響應(yīng)

入侵檢測系統(tǒng)檢測出入侵行為后，根據(jù)分析結(jié)果，或者是網(wǎng)絡(luò)管理員，或者自動地按一定的措施來阻止入侵行為，主要包括：記錄安全事件產(chǎn)生報警信息隔離被攻擊對象斷開用戶的連接禁用用戶帳號禁止被攻擊對象的特定端口和服務(wù)警告攻擊者跟蹤攻擊者激活附加入侵檢測工具8.6加密與認(rèn)證

現(xiàn)實社會中，我們可以通過身份證來對個人身份進(jìn)行認(rèn)證，那么在網(wǎng)絡(luò)環(huán)境中，如何確認(rèn)網(wǎng)絡(luò)中的身份呢，這就是數(shù)字認(rèn)證，這點在電子商務(wù)活動中尤為重要。數(shù)字認(rèn)證過程是通過去向證書授權(quán)中心(CA，CertificateAuthority)申請數(shù)字證書，采用數(shù)字簽名的方式來實現(xiàn)的。數(shù)字簽名是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實的。如當(dāng)用戶收到一封電子郵件時，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址信息，但這些信息的偽造非常簡單，而電子郵件上的數(shù)字簽名則可以確認(rèn)發(fā)信人身份的真實性。加密的概念

數(shù)據(jù)加密就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，只能在輸入相應(yīng)的密鑰之后才能顯示出原來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法竊取、閱讀的目的。該過程的逆過程為解密，即將加密的編碼信息轉(zhuǎn)化為原來數(shù)據(jù)的過程。

兩種加密方法

加密技術(shù)通常分為兩大類：對稱式加密和非對稱式加密。對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“SessionKey”。非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有者一個人擁有。密鑰策略

使用單密鑰加密算法，加密的密鑰和解密的密鑰是相同的，只有通信雙方都使用同一個密鑰，才能夠進(jìn)行完整的通信，其缺點主要是在通信之前必須有一個安全的密鑰交換過程以及在有多個通信方時會造成密鑰量呈幾何級數(shù)急劇增加。而公鑰加密算法則不同，它加解密時使用的關(guān)鍵信息是由一個公鑰和一個與公鑰不同的私鑰組成的密鑰對。用公鑰加密的結(jié)果只能用私鑰才能解密；而用私鑰加密的結(jié)果也只能用公鑰解密。同時，用公鑰推導(dǎo)私鑰的代價在現(xiàn)實中是十分高昂的，甚至是不可行的。因此你可以將你的公鑰散發(fā)給其他每個人，而你自己則安全地持有你的私鑰。這樣其他人向你發(fā)送郵件時就可以用你的公鑰進(jìn)行加密，而這封被加密的郵件只有你才能用你的私鑰解密并閱讀，這就是用公鑰加密算法進(jìn)行加密的基本原理。幾種加密算法

DES加密算法

DES算法有三個參數(shù)：Key、Data、Mode。其中Key為8個字節(jié)共64位，是DES算法的密鑰，但有8位作為校驗位，因此實際上只有56位；Data為8個字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，加密或解密。

DES加密算法的主要特點有：◆提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺的修改；◆具有相當(dāng)高的復(fù)雜性，使得破譯比較困難，同時又便于理解和掌握；◆DES密碼體制的安全性不依賴于算法的保密，其安全性是以加密密鑰的保密為基礎(chǔ)；◆實現(xiàn)成本低，運(yùn)行效果好，并且適用于多種完全不同的應(yīng)用。

幾種加密算法IDEA加密算法

IDEA加密算法是在DES算法基礎(chǔ)上發(fā)展起來的，它對DES進(jìn)行了改進(jìn)，其密鑰長度為128位，安全性大為加強(qiáng)，并且其實現(xiàn)速度也比DES快，因此，IDEA算法被認(rèn)為是目前最好的分組密碼算法，著名加密軟件PGP采用了IDEA算法。

幾種加密算法RSA加密算法

RSA算法的名字以發(fā)明者的名字命名，即RonRivest,AdShamir和LeonardAdleman。RSA加密算法是一種基于公鑰加密系統(tǒng)的加密算法，其基本思想是使用兩個不同的密鑰對信息進(jìn)行加密和解密，加密密鑰通常是稱為公鑰的密鑰，解密密鑰則是稱私鑰的密鑰。解密密鑰在理論上可以由加密密鑰推算出來，但這種推導(dǎo)解密密鑰的算法在具體實現(xiàn)時卻是不可行的，RSA算法經(jīng)歷了各種攻擊，至今未被完全攻破，因此RSA算法有很強(qiáng)的安全性。幾種加密算法RSA加密算法RSA算法原理RSA算法安全性是基于大數(shù)運(yùn)算而來的，我們在進(jìn)行兩個很大的素數(shù)相乘時很容易，但要由兩個素數(shù)分解出這兩個大的素數(shù)卻非常困難。下面是RSA算法的密鑰產(chǎn)生過程：a．找出二個大數(shù)p,q,其中p,q是兩個相異的大的素數(shù),一般要求p*q至少大于512二進(jìn)制位；b．計算n=pq和歐拉函數(shù)值ф(n)=(p-1)*(q-1)c．隨機(jī)取一整數(shù)e，要求e與歐拉函數(shù)值ф(n)互質(zhì)d．根據(jù)Euclid算法計算解密密鑰d，有：de≡1modф(n)進(jìn)而求出：d=e-1modф(n)其中，e和n作為公鑰，可以公開，d作為私鑰，幾種加密算法RSA加密算法加密過程是：a．對明文m進(jìn)行分組b．對分組后數(shù)據(jù)進(jìn)行加密，加密算法為：ci=miemodn其中，ci為第I個分組的密文，mie為第I個分組的明文。解密算法過程為：得到密文后，解密算法為：mi＝cidmodn數(shù)字認(rèn)證

隨著電子商務(wù)系統(tǒng)技術(shù)應(yīng)用的普及，很多客戶將通過網(wǎng)絡(luò)獲得商家和企業(yè)的信息，但網(wǎng)絡(luò)安全問題也使得某些敏感或有價值的數(shù)據(jù)有被盜用的風(fēng)險。為了建立顧客、商家和企業(yè)等交易方在網(wǎng)絡(luò)平臺上的信任關(guān)系，電子商務(wù)系統(tǒng)必須提供具有十分可靠的安全保密技術(shù)，從而確保信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。我們可以通過數(shù)字認(rèn)證來解決這個問題。數(shù)字認(rèn)證離不開證書授權(quán)機(jī)構(gòu)、數(shù)字證書、數(shù)字簽名。

數(shù)字證書的內(nèi)容證書的版本信息；證書的序列號，每個證書都有一個唯一的證書序列號；證書所使用的簽名算法，如RSA算法；證書的發(fā)行機(jī)構(gòu)（CA中心）的名稱，命名規(guī)則一般采用X.500格式；證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950年至2049年；證書擁有者的名稱，命名規(guī)則一般采用X.500格式；證書擁有者的公開密鑰；證書發(fā)行機(jī)構(gòu)（CA中心）對證書的數(shù)字簽名。數(shù)字證書的功能

信息傳輸?shù)谋Ｃ苄噪娮诱?wù)和電子商務(wù)應(yīng)用均涉及到機(jī)密或敏感信息，如涉密公文、信用卡帳號和口令、訂貨和付款的信息等。數(shù)字證書采用基于非對稱密鑰加密算法的公開密鑰體制（PKI），包含公鑰和私鑰的信息，可以有效地保護(hù)信息安全。身份的確定性網(wǎng)絡(luò)中身份確定很困難，通過用戶名/口令模式會有安全隱患。數(shù)字證書有CA中心的數(shù)字簽名，所以不可能偽造和篡改，同時包含證書擁有者的身份信息，使用數(shù)字證書可以增加網(wǎng)絡(luò)中的身份的確定性。數(shù)字證書的功能信息的不可否認(rèn)性在日常生活中，人們通過用印章或簽名的方法來實現(xiàn)信息的不可否認(rèn)性問題。使用數(shù)字證書可以實現(xiàn)數(shù)字簽名，從而實現(xiàn)網(wǎng)絡(luò)中信息的不可抵賴性。信息的完整性在網(wǎng)絡(luò)中，信息可能在網(wǎng)絡(luò)傳輸過程中被截獲篡改后再轉(zhuǎn)發(fā)出去，造成信息的完整性受損，如果信息接收方不能識別這些被篡改的信息，可能會造成嚴(yán)重后果。數(shù)字證書中采用完整性校驗算法，信息接收者可以判斷收到的信息是否已被改動，如被改動則認(rèn)為該信息無效，以此保證信息的完整性。數(shù)字簽名概述

對文件進(jìn)行加密只解決了傳送信息的保密問題，而通過數(shù)字簽名可以確定發(fā)信人的身份，防止他人對傳輸?shù)奈募M(jìn)行破壞以保證網(wǎng)絡(luò)上數(shù)據(jù)的完整性、不可否認(rèn)性和網(wǎng)絡(luò)上用戶身份的確定性。數(shù)字簽名技術(shù)在電子商務(wù)安全保密系統(tǒng)中有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。在電子商務(wù)中，完善的數(shù)字簽名應(yīng)具備簽字方不可抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰ΑＤ壳暗臄?shù)字簽名建立在公鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的應(yīng)用。數(shù)字簽名技術(shù)

應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。RSA簽名使用的是RSA技術(shù)。用RSA或其它公開密鑰密碼算法的最大優(yōu)點是妥善解決了密鑰分配管理問題。

DSS數(shù)字簽名是由美國國家標(biāo)準(zhǔn)化研究院和國家安全局共同開發(fā)的。主要用于與美國政府做生意的公司，其他公司則較少使用。Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個商務(wù)合同的個體內(nèi)容與簽名結(jié)合在一起，與合同和簽名分開傳遞相比，增強(qiáng)了可信度和安全性。實現(xiàn)數(shù)字簽名的過程

只有加入數(shù)字簽名及驗證后才能真正實現(xiàn)在公用網(wǎng)絡(luò)上的安全傳輸。進(jìn)行數(shù)字簽名和驗證的文件傳輸過程如下：①發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；②發(fā)送方選擇一個秘密密鑰（此秘密密鑰通常按照對稱加密體系生成，主要是對文件的正文部分加密，以提高加密解密的速度）對文件進(jìn)行加密，并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?；③發(fā)送方用接收方的公開密鑰對秘密密鑰進(jìn)行加密，并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；實現(xiàn)數(shù)字簽名的過程④接受方使用自己的私有密鑰對秘密密鑰進(jìn)行解密，得到秘密密鑰的明文；⑤接收方用秘密密鑰對文件進(jìn)行解密，得到經(jīng)過加密的數(shù)字簽名；⑥接收方用發(fā)送方的公開密鑰對數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文；⑦接收方用得到的明文和哈希函數(shù)重新計算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

加密軟件PGP

PGP(PrettyGoodPrivacy)是典型的加密軟件，其創(chuàng)始人是美國的PhilZimmermann。PGP采用了RSA與傳統(tǒng)加密相結(jié)合的加密算法，既可以解決RSA加密速度慢的問題，又可以避免傳統(tǒng)加密算法出現(xiàn)的安全性問題。它被大量地用于電子郵件的加密，一方面可以防止非授權(quán)閱讀，另一方面可以對郵件進(jìn)行數(shù)字簽名。PGP操作方便，功能強(qiáng)大，速度快，而且源代碼公開，因此，PGP成為一種非常流行的公鑰加密軟件包。PGP的數(shù)字簽名是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實的。應(yīng)用最多的還是電子郵件，如當(dāng)用戶收到一封電子郵件時，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會簡單地認(rèn)為發(fā)信人就是信上說明的那個人，但實際上偽造一封電子郵件對于一個平常人來說是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來確認(rèn)發(fā)信人身份的真實性。數(shù)字簽名則是用由私鑰加密的結(jié)果可以用公鑰解密的原理來實現(xiàn)的。

PGP8.1的使用

PGP提供了免費(fèi)版本，在上可以下載。PGP的安裝很簡單，只需按照安裝向?qū)У奶崾具M(jìn)行選擇即可。PGP密鑰

在利用PGP進(jìn)行加密操作之前，我們需要生成一對密鑰，即公鑰和私鑰，公鑰用來分發(fā)給通信的對方，讓他們用公鑰加密文件，私鑰由自己保管，我們用私鑰來解密用自己的公鑰加密的文件。點擊“開始”→“程序”→“PGP”→“PGPkeys”，運(yùn)行PGP，點擊“Key”→“NewKey”或使用工具按鈕，開始生成密鑰對。如圖，我們點“Expert”，在彈出窗口中可以自定義參數(shù)設(shè)置，我們可以選擇加密類型、密鑰的長度、密鑰的有效日期等。當(dāng)然，我們?nèi)绻稽c“Expert”，則PGP采用默認(rèn)的值，加密類型為Deffie-Hellman/DSS、密鑰的長度為2048、密鑰的有效日期是永遠(yuǎn)有效。如圖8-6-1。

PGP8.1的使用PGP密鑰在接下來的密鑰生成向?qū)е?，我們需要輸入用戶名和E-mail地址，用戶名和E-mail地址可以幫助通信對方有效地搜索公鑰和確認(rèn)數(shù)字簽名。接下來，輸入密碼必不可少，這個密碼一方面是我們用私鑰解密時需要確認(rèn)的密碼，另一方面也是生成密鑰的參考數(shù)據(jù)，如圖8-6-2。這樣，PGP就開始生成密鑰對了。

圖8-6-1PGP運(yùn)行界面

圖8-6-2輸入打開加密文件的密碼

PGP8.1的使用加密和解密

對文件加密時，選中要加密的文件，右擊后，選“PGP”中的“Encrypt”，在彈出窗口中選擇要用的密鑰，雙擊使它加入到Recipients框中，如圖8-6-3，這樣就生成了一個擴(kuò)展名為PGP的加密文件。

解密時，雙擊加密文件或右擊加密文件，選擇“PGP”中“Decrypt&Verify”，在密碼框中輸入解密密碼即可。

圖8-6-3選擇加密的密鑰

PGP8.1的使用密鑰管理

我們在生成密鑰對后，對于私鑰，需要妥善保管，丟失私鑰是非常危險的。公私的發(fā)布有兩種方式，一種方式是選中密鑰后點“Keys”→“Export”或點擊工具按鈕，在彈出對話框輸入文件名，即可生成公鑰的文件，然后，我們可以把此文件發(fā)給通信對方。另一種方式，是點擊“Server”→“Sendto”→“DomainServer”或點擊工具按鈕，將公鑰發(fā)送到公鑰根服務(wù)器上，這樣，通信對方可以通過PGP提供的搜索公鑰的功能到公鑰根服務(wù)器上去下載公鑰，如圖8-6-4，此方式便于大范圍地發(fā)布公鑰。

圖8-6-4在公鑰服務(wù)器上搜索密鑰

8.7網(wǎng)絡(luò)管理

隨著網(wǎng)絡(luò)的逐步普及和規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)必將成為我們?nèi)粘Ｉ钪械囊徊糠?，我們越來越依賴于網(wǎng)絡(luò)，對網(wǎng)絡(luò)的安全性和穩(wěn)定性有了更高的要求。如何管理和維護(hù)網(wǎng)絡(luò)，確保網(wǎng)絡(luò)的正常運(yùn)行，更好地滿足用戶的需求，是網(wǎng)絡(luò)管理需要解決的課題。

網(wǎng)絡(luò)管理的概念

網(wǎng)絡(luò)管理是對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)控、診斷和測試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)能夠幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)故障進(jìn)行診斷，確定故障發(fā)生的位置和類型，提出重新配置網(wǎng)絡(luò)系統(tǒng)的建議。網(wǎng)絡(luò)管理系統(tǒng)同樣能夠監(jiān)控網(wǎng)絡(luò)的性能，將網(wǎng)絡(luò)負(fù)載情況形成報告，提供給管理員，幫助找出網(wǎng)絡(luò)瓶頸，為合理地修改或擴(kuò)展網(wǎng)絡(luò)提供依據(jù)，從而保證網(wǎng)絡(luò)有更強(qiáng)的可用性和適應(yīng)性。

網(wǎng)絡(luò)管理的發(fā)展歷史

早期的網(wǎng)絡(luò)管理系統(tǒng)兼容性不好，很難對其他廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備和軟件進(jìn)行管理，因此，不能滿足大量異種結(jié)構(gòu)網(wǎng)絡(luò)互聯(lián)的需求，尤其是Internet的出現(xiàn)和發(fā)展，使得網(wǎng)絡(luò)管理系統(tǒng)標(biāo)準(zhǔn)化問題顯得更加突出?；贠SI的公共管理信息協(xié)議(CommonManagementInformationProtocol，CMIP)，它是支持一個完整網(wǎng)絡(luò)管理方案的協(xié)議。CMOT(CommonManagementOverTCP/IP是對CMIP進(jìn)行修改，實現(xiàn)基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理，它是一個過度性方案，因此應(yīng)用很不普及。簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol，SNMP)以其簡單性、可伸縮性、擴(kuò)展性成為目前網(wǎng)絡(luò)管理的協(xié)議。它是在簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SimpleGatewayManagementProtocol，SGMP)的基礎(chǔ)上作了簡單修改，于1998年作為一個臨時的網(wǎng)絡(luò)管理解決方案提出的。它的特點是實現(xiàn)網(wǎng)絡(luò)管理簡單迅速、功能強(qiáng)大，已成為網(wǎng)絡(luò)管理方面事實上的標(biāo)準(zhǔn)SNMP最近幾年對版本進(jìn)行了多次升級，現(xiàn)在較新的版本是SNMPv3，在此協(xié)議基礎(chǔ)上，網(wǎng)絡(luò)管理的安全性、支持多體系結(jié)構(gòu)和遠(yuǎn)程配置等方面得到很好的解決。網(wǎng)絡(luò)管理的發(fā)展方向網(wǎng)絡(luò)的復(fù)雜化和大規(guī)模造成了兩個方面影響，一方面排除網(wǎng)絡(luò)中的故障更加困難，維護(hù)的成本增長很快；另一方面是面對飛速增長的網(wǎng)絡(luò)流量需求，我們不能無節(jié)制地擴(kuò)充網(wǎng)絡(luò)服務(wù)器和設(shè)備的性能，如何充分有效地利用現(xiàn)有網(wǎng)絡(luò)資源，做到負(fù)載均衡，才是更為合理的方案。因此，未來的網(wǎng)絡(luò)管理必須有大的發(fā)展。網(wǎng)絡(luò)管理系統(tǒng)要求支持多種平臺、操作系統(tǒng)、協(xié)議和體系結(jié)構(gòu)，同時，網(wǎng)絡(luò)管理不僅局限于網(wǎng)管領(lǐng)域，而是向系統(tǒng)管理、應(yīng)用管理、業(yè)務(wù)管理的領(lǐng)域延伸，人工智能也將引入網(wǎng)絡(luò)管理技術(shù)，力爭解決網(wǎng)絡(luò)管理功能單一、配置復(fù)雜、缺乏標(biāo)準(zhǔn)、耗資巨大等問題，未來網(wǎng)絡(luò)管理將向綜合化、智能化和標(biāo)準(zhǔn)化等方向發(fā)展。

網(wǎng)絡(luò)管理的功能

ISO在ISO/IEC7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能，并被廣泛接受。這五大功能是：故障管理

故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶對網(wǎng)絡(luò)的可靠性有很高要求，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，網(wǎng)絡(luò)管理員能迅速找到故障并及時排除。(2)計費(fèi)管理計費(fèi)管理用來記錄網(wǎng)絡(luò)資源的使用情況，目的是控制和檢測網(wǎng)絡(luò)操作的成本，它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價，以及已經(jīng)使用的資源的費(fèi)用。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源，這也從另一方面提高了網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)管理的功能配置管理配置管理是網(wǎng)絡(luò)管理的最基本功能，它負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)的配置情況，以使其提供必要的網(wǎng)絡(luò)服務(wù)。配置管理對網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、使用配置等信息進(jìn)行定義、監(jiān)視和修改，從而實現(xiàn)某個特定功能或優(yōu)化網(wǎng)絡(luò)性能。

性能管理性能管理監(jiān)測系統(tǒng)的運(yùn)行情況，在保證有效提供網(wǎng)絡(luò)服務(wù)的基礎(chǔ)上，提高網(wǎng)絡(luò)資源的使用效率。性能管理提供監(jiān)視和分析網(wǎng)絡(luò)及其所提供服務(wù)的性能管理機(jī)制，性能分析的結(jié)果是網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)改建的重要依據(jù)，如果發(fā)現(xiàn)當(dāng)前或即將出現(xiàn)的網(wǎng)絡(luò)資源不足，那么需要重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。

網(wǎng)絡(luò)管理的功能安全管理安全管理是在通過數(shù)據(jù)加密和數(shù)字認(rèn)證、數(shù)據(jù)完整性機(jī)制、訪問控制機(jī)制，來對網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)進(jìn)行保護(hù)。安全管理包括對授權(quán)機(jī)制、訪問控制方式、加密和密鑰的管理，另外還要維護(hù)和檢查安全日志，有