第7章計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版_第1頁
第7章計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版_第2頁
第7章計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版_第3頁
第7章計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版_第4頁
第7章計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版_第5頁
已閱讀5頁,還剩100頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理主要內(nèi)容網(wǎng)絡(luò)安全與管理問題的產(chǎn)生1網(wǎng)絡(luò)安全技術(shù)2網(wǎng)絡(luò)管理技術(shù)37.1網(wǎng)絡(luò)安全與管理及相關(guān)的法律法規(guī)實例回顧計算機網(wǎng)絡(luò)主要特征計算機網(wǎng)絡(luò)的各項技術(shù)都是全開放的計算機網(wǎng)絡(luò)是自由的,網(wǎng)絡(luò)對用戶的使用不存在技術(shù)上的約束,用戶可以自由的上網(wǎng),發(fā)布和獲取各類信息對于校園網(wǎng)而言,訪問網(wǎng)絡(luò)的不只是學(xué)校內(nèi)部的成員,還包括外部網(wǎng)的其他身份不明確的匿名用戶。隨著接入網(wǎng)絡(luò)的終端的增加,網(wǎng)絡(luò)規(guī)模逐漸增大,用戶進行數(shù)據(jù)訪問傳輸?shù)炔僮餍枰褂玫耐ㄐ沛溌芬沧冮L。7.1.2網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理的概念與內(nèi)容網(wǎng)絡(luò)管理:網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進行集中化管理的操作。網(wǎng)絡(luò)管理包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào),以便對網(wǎng)絡(luò)資源進行監(jiān)視、測試、配置、分析、評價和控制,這樣就能以合理的價格滿足網(wǎng)絡(luò)的一些需求,如實時運行性能,服務(wù)質(zhì)量等7.1.2網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理主要是針對:(1)對網(wǎng)路的管理,即針對交換機、路由器等主干網(wǎng)絡(luò)進行管理;(2)對接入設(shè)備的管理,即對內(nèi)部PC、服務(wù)器、交換機等進行管理;(3)對行為的管理。即針對用戶的使用進行管理;對資產(chǎn)的管理,即統(tǒng)計IT軟硬件的信息等7.1.1網(wǎng)絡(luò)安全的內(nèi)容外部環(huán)境安全:地震、水災(zāi)、火災(zāi)、電源故障、設(shè)備被盜被毀、電磁干擾等。網(wǎng)絡(luò)連接安全:網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)路由狀況等。操作系統(tǒng)安全:利用操作系統(tǒng)加強對用戶登錄的認證等。應(yīng)用系統(tǒng)安全:采用多層次的訪問控制與權(quán)限控制手段、加密技術(shù)等。管理制度安全:加強內(nèi)部管理,建立審計和跟蹤體系等。人為因素影響:黑客攻擊、惡意代碼、不滿的內(nèi)部員工等。

網(wǎng)絡(luò)管理

所謂網(wǎng)絡(luò)管理,是指用軟件手段對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進行有效的監(jiān)視、控制、診斷和測試所采用的技術(shù)和方法。網(wǎng)絡(luò)網(wǎng)絡(luò)涉及三個方面:網(wǎng)絡(luò)服務(wù)提供、網(wǎng)絡(luò)維護、網(wǎng)絡(luò)處理。一個網(wǎng)絡(luò)管理系統(tǒng)下從邏輯上可以分為:管理對象、管理進程、管理協(xié)議。被管理的網(wǎng)絡(luò)設(shè)備包括交換機、網(wǎng)關(guān)、路由器、網(wǎng)橋、通信線路、網(wǎng)卡、服務(wù)器以及工作站等。7.1.2網(wǎng)絡(luò)管理的功能OSI管理功能域

OSI網(wǎng)絡(luò)管理標準將開放系統(tǒng)的網(wǎng)絡(luò)管理功能劃分成五個功能域:配置管理、故障管理、性能管理、安全管理、記賬管理,這個功能域分別用來完成不同的網(wǎng)絡(luò)管理功能。7.1.2網(wǎng)絡(luò)管理的功能從技術(shù)角度來說,網(wǎng)絡(luò)安全的目標可歸納為4個方面:可用性:網(wǎng)絡(luò)中的信息或者信息系統(tǒng)只能夠被合法用戶訪問,并能夠迅速地按其要求運行的特性機密性:系統(tǒng)把對敏感數(shù)據(jù)的訪問權(quán)限制在那些經(jīng)授權(quán)的個人或?qū)嶓w,只有他們才能查看和使用數(shù)據(jù)7.1.2網(wǎng)絡(luò)管理的功能完整性:防止系統(tǒng)中的信息或程序未經(jīng)授權(quán)或意外改動,包括數(shù)據(jù)插入、刪除和修改等指保證系統(tǒng)在未受損的方式下執(zhí)行預(yù)期的功能,避免對系統(tǒng)進行有意或無意的非授權(quán)操作不可抵賴性:也叫不可否認性,即防止個人否認先前已執(zhí)行的動作,其目標是確保數(shù)據(jù)的接收方能夠確信發(fā)送方的身份7.1.2網(wǎng)絡(luò)管理的功能2000年12月28日第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了《維護互聯(lián)網(wǎng)安全的決定》,它是我國第一部經(jīng)全國人民代表大會常務(wù)委員會審議通過的有關(guān)網(wǎng)絡(luò)安全的法律性文件。信息產(chǎn)業(yè)部2000年11月7日發(fā)布實施的《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》信息產(chǎn)業(yè)部1999年9月7日發(fā)布實施的《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》教育部2000年6月29日發(fā)布實施的《教育網(wǎng)站和網(wǎng)校暫行管理辦法》7.1.2與網(wǎng)絡(luò)安全與管理相關(guān)的法律法規(guī)7.1.2與網(wǎng)絡(luò)安全與管理相關(guān)的法律法規(guī)7.2網(wǎng)絡(luò)資源管理的方法網(wǎng)絡(luò)資源的表示網(wǎng)絡(luò)環(huán)境下資源的表示是網(wǎng)絡(luò)管理的一個關(guān)鍵問題。在網(wǎng)絡(luò)管理協(xié)議中采用面向?qū)ο蟮母拍顏砻枋霰还芫W(wǎng)絡(luò)元素的屬性。網(wǎng)絡(luò)資源主要包括:硬件、軟件、數(shù)據(jù)、用戶、支持設(shè)備。網(wǎng)絡(luò)管理的目的和方法

網(wǎng)絡(luò)管理可以分為廣義和狹義兩個層面。廣義的管理內(nèi)容涉及網(wǎng)絡(luò)安全的方方面面;狹義的網(wǎng)絡(luò)管理是指從技術(shù)角度出發(fā),了解網(wǎng)絡(luò)系統(tǒng)的運行狀況并加以監(jiān)控、優(yōu)化。1、網(wǎng)絡(luò)管理的目的

用戶設(shè)計并實施檢測方案,提供資源優(yōu)化和系統(tǒng)規(guī)劃的建議。2、網(wǎng)絡(luò)管理的使命發(fā)現(xiàn)問題、解決問題、常規(guī)監(jiān)視。7.2網(wǎng)絡(luò)資源管理的方法網(wǎng)絡(luò)管理協(xié)議是道理和網(wǎng)絡(luò)管理軟件交換信息的方式,它定義使用使命傳輸機制,代理上存在何種信息以及信息格式的編排方式。1、SNMP協(xié)議

SNMP是“簡單網(wǎng)絡(luò)管理協(xié)議”,是TCP/IP協(xié)議簇的一個應(yīng)用層協(xié)議。SNMP作為一種算了管理協(xié)議,它使網(wǎng)絡(luò)設(shè)備彼此之間可以交換管理信息,使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)的性能,定位和解決網(wǎng)絡(luò)故障,進行網(wǎng)絡(luò)規(guī)劃。SNMP的網(wǎng)絡(luò)管理模型有三個關(guān)鍵元素組成:不給力的設(shè)備(網(wǎng)元)、代理、網(wǎng)絡(luò)管理系統(tǒng)(NMS)。MIB是管理信息庫7.3網(wǎng)絡(luò)管理協(xié)議RMON

遠程監(jiān)控(RMON)是關(guān)于通信量管理的標準化規(guī)定,RMON的目的就是要測定、收集網(wǎng)絡(luò)的性能,為網(wǎng)絡(luò)管理員提供復(fù)雜的網(wǎng)絡(luò)錯誤診斷和性能調(diào)整信息。有RMON構(gòu)成的通信量觀測和SNMP一樣,也是有管理程序和代理程序構(gòu)成。RMON是觀測網(wǎng)絡(luò)的關(guān)鍵點的,具有報警功能。7.3網(wǎng)絡(luò)管理協(xié)議7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻1、網(wǎng)絡(luò)與病毒網(wǎng)絡(luò)化帶來了病毒傳染的高效率,從而加重了病毒的威脅。例如:“紅色代碼”、“尼姆達”2、網(wǎng)絡(luò)病毒的防范基于網(wǎng)絡(luò)的多層次的病毒防護策略是保障信息安全、保證網(wǎng)絡(luò)安全運行的重要手段。從網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)來看,多層防御的網(wǎng)絡(luò)防毒體系應(yīng)該有用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)和防火墻組成。桌面系統(tǒng)和遠程PC是主要的病毒感染源。群件和電子郵件是網(wǎng)絡(luò)中重要的通信聯(lián)絡(luò)線。先進的多層病毒防護策略具有三個特點:層次性、集成性、自動化。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻黑客,常常在未經(jīng)許可的情況下通過技術(shù)手段登錄到他人的網(wǎng)絡(luò)服務(wù)器甚至是連接在網(wǎng)絡(luò)上的單機,并對網(wǎng)絡(luò)進行一些未經(jīng)授權(quán)的操作。攻擊手段:非授權(quán)訪問、信息泄露或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒。防范手段:法律手段、技術(shù)手段、管理手段7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻能有效地防止外來的入侵,它在網(wǎng)絡(luò)系統(tǒng)中的作用是:(1)控制進出網(wǎng)絡(luò)的信息流向和信息包(2)提供使用和流量的日志和審計。(3)隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié)。(4)提供VPN功能。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻的技術(shù)防火墻總體上分為:包過濾、應(yīng)用級網(wǎng)關(guān)(安裝在專用工作站系統(tǒng))和代理服務(wù)器等設(shè)置防火墻的要素:網(wǎng)絡(luò)策略服務(wù)訪問策略防火墻設(shè)計策略增強的認證7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻的分類基于具體實現(xiàn)防范分類,可以分為三種類型:軟件防火墻、硬件防火墻、專用防火墻。根據(jù)防火墻采用的核心技術(shù):可分為包過濾型和應(yīng)用代理型兩大類。根據(jù)防火墻的結(jié)構(gòu),可分為單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。按防火墻的應(yīng)用部署位置分為邊界防火墻、個人防火墻和混合防火墻三大類。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻網(wǎng)絡(luò)故障的診斷:重現(xiàn)故障——分析故障現(xiàn)象——定位故障范圍——隔離故障——排除故障網(wǎng)絡(luò)常用測試命令

1、IP測試工具pingping127.0.0.1測試本機TCP/IP安裝是完整,本機的網(wǎng)卡是否正確安裝ping本機的Ip地址測試本地的網(wǎng)卡工作是否正常pingDNS判斷該網(wǎng)是否能夠連通ping網(wǎng)關(guān)測試本機到網(wǎng)關(guān)的線路是否出現(xiàn)故障7.5網(wǎng)絡(luò)故障的診斷與排除7.5網(wǎng)絡(luò)故障的診斷與排除2、測試TCP/IP協(xié)議配置工具ipconfig和winipcfgipconfig若不帶參數(shù),可獲得的信息有IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)。winipcfg的功能與ipconfig基本相同。3、網(wǎng)絡(luò)協(xié)議統(tǒng)計工具netstat和nbstat使用netstat命令可以顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計信息以及當前的連接情況,以得到非常詳細的統(tǒng)計結(jié)果,有助于了解網(wǎng)絡(luò)的整體使用情況。nbtstat是解決NETBIOS名稱解析問題的有用工具。4、跟蹤工具tracert和pathpingtracert命令用來顯示數(shù)據(jù)包到達目標主機所經(jīng)過的路徑,并顯示到達每個節(jié)點的時間。pathping命令是一個路由跟蹤工具,它將ping和tracert命令的功能和這兩個工具所不提供的其他信息結(jié)合起來。7.2.2對稱加密技術(shù)——數(shù)據(jù)加密標準(DES,DataEncryptionStandard)DES對明文進行分組,每組明文長度為64位,然后使用56位長度的密鑰以及附加的8位奇偶校驗位,將分組后的明文組和56位的密鑰按位替代或交換的方法,產(chǎn)生64位長度的密文分組DES的主要特點是:分組比較短、密鑰太短、密碼生命周期短、運算速度較慢攻擊DES的主要形式被稱為蠻力攻擊或徹底密鑰搜索(窮舉攻擊),即重復(fù)嘗試各種密鑰直到有一個符合為止7.2.2數(shù)據(jù)加密標準(DES,DataEncryptionStandard)7.2.2數(shù)據(jù)加密標準(DES,DataEncryptionStandard)三重DES算法其本質(zhì)實際上是重復(fù)基本的DES算法三次,是使用168位的密鑰對資料進行三次加密的一種機制其加解密運算可以表示為:加密:C=Ek3(Dk2(Ek1(M))

解密:M=Dk1(Ek2(Dk3(C))三重DES的主要缺點在于其計算量是DES的三倍,用軟件實現(xiàn)算法速度比較慢7.2.2三重DES算法7.2.2流密碼(streamcipher)技術(shù)流密碼的原理實際上是對輸入的明文串按比特進行連續(xù)變換,加密和解密每次只處理一個比特,進而產(chǎn)生連續(xù)的密文輸出7.2.2公鑰加密技術(shù)公鑰加密算法也稱非對稱密鑰算法,它要求加密過程中密鑰成對出現(xiàn),一個為加密密鑰(e),另一個為解密密鑰(d),兩個密鑰互不相同且不可能從其中一個推導(dǎo)出另一個整個公鑰體制涉及到三個重要的概念:密鑰對數(shù)字證書電子簽證機關(guān)7.2.2公鑰加密技術(shù)公鑰加密體制具有以下優(yōu)點:(1)公鑰算法不需要聯(lián)機密鑰服務(wù)器,密鑰分配協(xié)議簡單,所以極大簡化了密鑰管理;(2)密鑰的保存量少,私鑰和公鑰是分別存儲的;(3)可以完成互不相識的人之間的私人通信的保密性要求,同時可以提供通信雙方的數(shù)字簽名和身份鑒別7.2.2RSA算法①產(chǎn)生密鑰公開密鑰(即加密密鑰)PK=(e,n)秘密密鑰(即解密密鑰)SK=(d,n)②加密對應(yīng)的密文是:ci≡mie(modn)③解密解密時作如下計算:mi≡cid(modn)7.2.2RSA算法RSA算法的缺點主要有:(1)產(chǎn)生密鑰很麻煩,受到素數(shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密(2)分組長度太大,為保證安全性,n至少也要600bits以上,使運算代價很高,尤其是速度較慢7.2.2數(shù)字簽名數(shù)字簽名利用私有密鑰進行加密認證利用公開密鑰進行正確的解密由于公開密鑰無法推算出私有密鑰,所以公開密鑰無需保密,可以公開傳播私有密鑰一定是個人秘密持有的,其他人的公開密鑰不可能正確解密被私有密鑰加密過的信息7.2.2數(shù)字簽名7.2.2身份認證如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者?身份認證:(1)靜態(tài)密碼:在網(wǎng)絡(luò)中使用你知道的信息來證明你的身份(2)智能卡認證:使用你持有的物品,比如電子IC卡、USBKey、動態(tài)口令牌等(3)生物識別技術(shù):使用你自身的不可更改的特征(指紋識別)7.2.2數(shù)據(jù)備份技術(shù)不同的網(wǎng)絡(luò),網(wǎng)絡(luò)中的不同用戶,均需要根據(jù)自己的實際情況來制定不同的備份策略目前被采用最多的備份策略主要有以下三種:(1)完全備份(fullbackup)將用戶指定的數(shù)據(jù)甚至是整個系統(tǒng)的數(shù)據(jù)進行完全的備份(2)增量備份(incrementalbackup)只有那些在上次完全或者增量備份后被修改了的文件才會被備份(3)差分備份(differentialbackup)將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進行備份7.2.3訪問控制技術(shù)訪問控制的主要功能:(1)防止非法的主體進入受保護的網(wǎng)絡(luò)資源(如:學(xué)生進入老師才可以訪問的成績頁面);(2)允許合法用戶訪問受保護的網(wǎng)絡(luò)資源(如:老師經(jīng)許可訪問成績登錄頁面);(3)防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問(如:合法的教師用戶未經(jīng)許可直接訪問了成績登錄頁面)7.2.3訪問控制技術(shù)訪問控制基本元素(1)主體:網(wǎng)絡(luò)中發(fā)出訪問操作、存取要求的發(fā)起者(2)客體:被調(diào)用的程序或欲存取的數(shù)據(jù),即必須進行控制的資源或目標(3)訪問權(quán):實際上是對主體訪問客體的方式進行的描述7.2.3訪問控制技術(shù)訪問控制主要策略(1)自主訪問控制(2)強制訪問控制(3)基于角色的訪問控制7.2.4防火墻與病毒防護防火墻技術(shù)7.2.4防火墻與病毒防護防火墻的組成和特征兩個網(wǎng)絡(luò)之間的所有通信數(shù)據(jù)流都要通過防火墻;防火墻本身不會影響信息的流通,也不會更改流通的信息內(nèi)容;只有被防火墻安全策略(如服務(wù)訪問政策、應(yīng)用網(wǎng)關(guān)、過濾規(guī)則)允許授權(quán)的信息才能夠通過防火墻(其他惡意信息不被允許);防火墻本身是穿不透的7.2.4防火墻與病毒防護防火墻的基本類型網(wǎng)絡(luò)級防火墻7.2.4防火墻與病毒防護應(yīng)用代理防火墻7.2.4防火墻與病毒防護電路級網(wǎng)關(guān)型防火墻7.2.4防火墻與病毒防護規(guī)則檢查防火墻7.2.4防火墻與病毒防護防火墻的體系結(jié)構(gòu)防火墻可以置于網(wǎng)絡(luò)架構(gòu)中的應(yīng)用層、網(wǎng)絡(luò)層或傳輸層,作為一個阻塞點,來監(jiān)視和拋棄對應(yīng)層的網(wǎng)絡(luò)流量雙重/多重宿主主機體系結(jié)構(gòu)有兩個或多個網(wǎng)絡(luò)接口的計算機系統(tǒng),這類系統(tǒng)可以連接多個網(wǎng)絡(luò),實現(xiàn)多個網(wǎng)絡(luò)之間的訪問控制7.2.4防火墻與病毒防護7.2.4防火墻與病毒防護屏蔽主機體系結(jié)構(gòu)使用一個單獨的路由器,該路由器提供來自堡壘主機的服務(wù)7.2.4防火墻與病毒防護屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到屏蔽主機體系結(jié)構(gòu),通過添加周邊網(wǎng)絡(luò)(DMZ)更進一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開7.2.4防火墻與病毒防護防火墻的部署和配置目前網(wǎng)絡(luò)的防火墻部署多采用分布式混合防火墻,這類部署涉及在一個中心管理員控制下協(xié)同工作的獨立防火墻設(shè)備和基于主機的防火墻7.2.4計算機病毒及防護計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”常見定義:利用計算機軟件與硬件的缺陷,由被感染機內(nèi)部發(fā)出的破壞計算機數(shù)據(jù)并影響計算機正常工作的一組指令集或程序代碼7.2.4計算機病毒及防護病毒的組成感染機制:病毒傳播和使病毒能夠自我復(fù)制的方法,通常包括感染標記和感染模塊兩部分觸發(fā)條件:激活或控制病毒感染和破壞活動的事件或條件破壞模塊:主要負責(zé)病毒的破壞工作7.2.4計算機病毒及防護病毒的分類按照感染目標分類:感染引導(dǎo)扇區(qū)病毒感染可執(zhí)行文件病毒一般應(yīng)用型病毒按照寄生方式分類:操作系統(tǒng)型病毒入侵型病毒外殼型病毒7.2.4計算機病毒及防護病毒的防范——IBM公司

數(shù)字免疫系統(tǒng)7.2.5入侵檢測入侵檢測技術(shù)(IntrusionDetection)就是通過計算機網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象并作出響應(yīng)的技術(shù)入侵檢測系統(tǒng)(IDS)則可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為(包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為)進行識別和相應(yīng)處理的系統(tǒng)7.2.5入侵檢測入侵檢測系統(tǒng)的組成其檢測過程主要通過執(zhí)行以下任務(wù)來實現(xiàn):(1)監(jiān)視、分析用戶及系統(tǒng)活動;

(2)系統(tǒng)構(gòu)造和弱點的審計;

(3)識別反映已知進攻的活動模式并向相關(guān)人士報警;

(4)異常行為模式的統(tǒng)計分析;

(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;

(6)操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為7.2.5入侵檢測入侵檢測系統(tǒng)主要包括以下三個邏輯組件:(1)傳感器:傳感器主要負責(zé)收集數(shù)據(jù),是提供系統(tǒng)事件記錄的信息源,其輸入可以是包含入侵證據(jù)的系統(tǒng)的任何一部分(2)分析器:分析器主要負責(zé)確定是否發(fā)生了入侵,起輸入來自于一個或多個傳感器或者其他的分析器(3)用戶接口:可以認為是對分析器結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件7.2.5入侵檢測入侵檢測系統(tǒng)的基本工作步驟:7.2.5入侵檢測入侵檢測系統(tǒng)的分類(1)按照輸入數(shù)據(jù)對象劃分基于主機(Host-Based)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測系統(tǒng)混合型入侵檢測系統(tǒng)7.2.5入侵檢測按照技術(shù)劃分:異常檢測模型(AnomalyDetection)異常檢測首先假設(shè)入侵者活動必定異常于正常主體的活動誤用檢測模型(MisuseDetection)這一檢測假設(shè)入侵者活動可以用一種模式來表示,系統(tǒng)的目標是檢測主體活動是否符合這些模式7.2.5入侵檢測——系統(tǒng)代表:蜜罐7.2.6網(wǎng)絡(luò)安全協(xié)議安全套接層協(xié)議SSL安全套接層(SSL,SecureSocketLayer)是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議。它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議,采用公開密鑰技術(shù),是以一組協(xié)議的方式實現(xiàn)的一個通用服務(wù),被廣泛支持各種類型的網(wǎng)絡(luò)7.2.6安全套接層協(xié)議SSLSSL的體系結(jié)構(gòu):二層協(xié)議體系結(jié)構(gòu)7.2.6安全套接層協(xié)議SSLSSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供兩種服務(wù):

機密性:握手協(xié)議定義了共享的、可用于對SSL有效載荷進行常規(guī)加密的密鑰。

報文完整性:握手協(xié)議還定義了共享的、可用來形成報文的鑒別碼(MAC)的密鑰7.2.6安全套接層協(xié)議SSL7.2.6安全套接層協(xié)議SSL修改密文規(guī)約協(xié)議用于從一種加密算法轉(zhuǎn)變?yōu)榱硪环N加密算法報警協(xié)議用于將SSL有關(guān)的報警傳送給對方實體握手協(xié)議用于建立會話,它允許客戶端和服務(wù)器之間相互鑒別對方的身份、協(xié)商加密和MAC算法以及用來保護在SSL記錄中發(fā)送數(shù)據(jù)的加密密鑰在傳輸任何應(yīng)用數(shù)據(jù)之前,都必須使用握手協(xié)議。它由一系列在客戶和服務(wù)器之間交換的報文組成7.2.6VPN相關(guān)協(xié)議VPN基于隧道技術(shù)來傳輸數(shù)據(jù)根據(jù)VPN實現(xiàn)的層次,隧道協(xié)議可以分為二層隧道協(xié)議:點對點隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)三層隧道協(xié)議:通用路由封裝協(xié)議(GRE)、IP安全協(xié)議(IPSec)IPSec(IPSecurity)是InternetEngineeringTaskForce(IETF)制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的一組框架協(xié)議的總稱7.2.6VPN相關(guān)協(xié)議VPN基于隧道技術(shù)來傳輸數(shù)據(jù)根據(jù)VPN實現(xiàn)的層次,隧道協(xié)議可以分為二層隧道協(xié)議:點對點隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)三層隧道協(xié)議:通用路由封裝協(xié)議(GRE)、IP安全協(xié)議(IPSec)IPSec(IPSecurity)是InternetEngineeringTaskForce(IETF)制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的一組框架協(xié)議的總稱7.2.6IPSec(1)認證報頭協(xié)議(AH,AuthenticationHeader)7.2.6IPSec(2)封裝安全有效載荷協(xié)議(ESP,EncapsulationSecurityPayload)7.2.6IPSec(3)因特網(wǎng)密鑰交換協(xié)議(IKE,InternetKeyExchange)7.3網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理:網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進行集中化管理的操作,包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào),以便對網(wǎng)絡(luò)資源進行監(jiān)視、測試、配置、分析、評價和控制,這樣就能以合理的價格滿足網(wǎng)絡(luò)的一些需求,如實時運行性能、服務(wù)質(zhì)量等7.3.1網(wǎng)絡(luò)管理功能和模型網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理技術(shù)需要提供如下五大功能:(1)故障管理(FaultManagement)當網(wǎng)絡(luò)中某個組成失效時,網(wǎng)絡(luò)管理器能夠迅速查找到故障并及時排除故障監(jiān)測故障報警故障信息管理排錯支持工具檢索/分析故障信息7.3.1網(wǎng)絡(luò)管理功能和模型(2)計費管理(AccountingManagement)計費管理記錄網(wǎng)絡(luò)資源的使用,目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價計費數(shù)據(jù)采集數(shù)據(jù)管理與數(shù)據(jù)維護計費政策制定政策比較與決策支持數(shù)據(jù)分析與費用計算數(shù)據(jù)查詢7.3.1網(wǎng)絡(luò)管理功能和模型(3)配置管理(ConfigurationManagement)配置管理主要是對網(wǎng)絡(luò)初始化并配置網(wǎng)絡(luò),以使其提供網(wǎng)絡(luò)服務(wù)配置信息的自動獲取自動配置、自動備份及相關(guān)技術(shù)配置一致性檢查用戶操作記錄功能7.3.1網(wǎng)絡(luò)管理功能和模型(4)性能管理(PerformanceManagement)性能管理主要是對網(wǎng)絡(luò)系統(tǒng)中資源的運行狀況及通信效率等系統(tǒng)性能進行估價,其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機制性能監(jiān)控閾值控制性能分析可視化的性能報告實時性能監(jiān)控網(wǎng)絡(luò)對象性能查詢7.3.1網(wǎng)絡(luò)管理功能和模型(5)安全管理(SecurityManagement)越來越多的網(wǎng)絡(luò)安全技術(shù)出現(xiàn)并升級,要管理協(xié)調(diào)并有機地組合這些相關(guān)的安全技術(shù),網(wǎng)絡(luò)安全管理不可獲取性能監(jiān)控網(wǎng)絡(luò)資源的訪問控制告警事件分析主機系統(tǒng)的安全漏洞檢測網(wǎng)絡(luò)管理本身的安全需要由以下機制來保證:管理員身份認證管理信息存儲和傳輸?shù)募用芘c完整性網(wǎng)絡(luò)管理用戶分組管理與訪問控制系統(tǒng)日志分析7.3.2網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào),以便對網(wǎng)絡(luò)資源進行監(jiān)視、測試、配置、分析、評價和控制,這樣就能以合理的價格滿足網(wǎng)絡(luò)的一些需求,如實時運行性能,服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡稱為網(wǎng)管。7.3.2網(wǎng)絡(luò)管理模型管理站因特網(wǎng)網(wǎng)絡(luò)管理員

被管設(shè)備——管理程序(運行SNMP客戶程序)——代理程序(運行SNMP服務(wù)器程序)AAAAM

被管設(shè)備

被管設(shè)備

被管設(shè)備MAA

被管設(shè)備網(wǎng)管協(xié)議7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件管理站也常稱為網(wǎng)絡(luò)運行中心

NOC(NetworkOperationsCenter),是網(wǎng)絡(luò)管理系統(tǒng)的核心管理站的關(guān)鍵構(gòu)件是管理程序,在運行時就成為管理進程管理站(硬件)或管理程序(軟件)都可稱為管理者(manager)。Manager不是指人而是指機器或軟件。網(wǎng)絡(luò)管理員(administrator)指的是人。大型網(wǎng)絡(luò)往往實行多級管理,因而有多個管理者,而一個管理者一般只管理本地網(wǎng)絡(luò)的設(shè)備。7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件網(wǎng)絡(luò)管理協(xié)議,簡稱為網(wǎng)管協(xié)議。需要注意的是,并不是網(wǎng)管協(xié)議本身來管理網(wǎng)絡(luò)。網(wǎng)管協(xié)議就是管理程序和代理程序之間進行通信的規(guī)則。網(wǎng)絡(luò)管理員利用網(wǎng)管協(xié)議通過管理站對網(wǎng)絡(luò)中的被管設(shè)備進行管理。7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件網(wǎng)絡(luò)管理信息庫:網(wǎng)絡(luò)中被管理對象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。這些信息構(gòu)成的數(shù)據(jù)庫被總稱為管理信息庫MIB(ManagementInformationBase)管理程序使用MIB中這些信息的值對網(wǎng)絡(luò)進行管理(如讀取或重新設(shè)置這些值)7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件被管代理在每一個被管設(shè)備中都要運行一個程序以便和管理站中的管理程序進行通信。這些運行著的程序叫做網(wǎng)絡(luò)管理代理程序,或簡稱為代理代理程序在管理程序的命令和控制下在被管設(shè)備上采取本地的行動。駐留在用戶主機和網(wǎng)絡(luò)互連設(shè)備等所有被管理7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)(1)集中式網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)(2)層次化網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)(3)分布式網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理協(xié)議SNMP簡單網(wǎng)絡(luò)管理協(xié)議(SNMP,SimpleNetWorkManagementProtocol)是最早提出的網(wǎng)絡(luò)管理協(xié)議之一,其前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP),主要用來對通信線路進行管理7.3.2SNMPSNMP的體系結(jié)構(gòu)是圍繞著四個概念和目標進行設(shè)計的:(1)保持管理代理(agent)的軟件成本盡可能低;(2)最大限度保持遠程管理的功能,以便充分利用Internet的網(wǎng)絡(luò)資源;(3)體系結(jié)構(gòu)必須有擴充的余地;(4)保持SNMP的獨立性,不依賴于具體的計算機、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標7.3.2SNMPSNMP協(xié)議的工作機制:主要通過各種不同類型的消息,即PDU(協(xié)議數(shù)據(jù)單位)實現(xiàn)網(wǎng)絡(luò)信息的交換PDU:一種變量對象,其中每一個變量都是由標題和變量值兩部分組成:(1)標題:SNMP對應(yīng)的共同體名,加上發(fā)送方的一些標識信息(附加信息),用以驗證發(fā)送方確實是共同體中的成員,共同體實際上就是用來實現(xiàn)管理應(yīng)用實體之間身份鑒別的;

(2)變量值:即數(shù)據(jù),就是兩個管理應(yīng)用實體之間真正需要交換的信息7.3.2CMIS/CMIPCMIS/CMIP公共管理信息服務(wù)/公共管理信息協(xié)議(CMIS/CMIP,CommonManagementInformationService/Protocol)是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了每個網(wǎng)絡(luò)組成部件提供的網(wǎng)絡(luò)管理服務(wù),CMIP則是實現(xiàn)CIMS服務(wù)的協(xié)議,包括一個接口支持ISO和用戶定義(user-defined)管理協(xié)議7.3.2CMIS/CMIPCMIP治理模型可以用3種模型進行描述:組織模型用于描述治理任務(wù)如何分配;功能模型描述了各種網(wǎng)絡(luò)治理功能和它們之間的關(guān)系;信息模型提供了描述被管對象和相關(guān)治理信息的準則7.3.2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論