計算機培訓第九章網(wǎng)絡安全與管理

計算機網(wǎng)絡與應用?—第九章■□■

第9章網(wǎng)絡安全與管理

計算機網(wǎng)絡與應用?—第九章■□■

內(nèi)容概覽

信息安全技術(shù)概述

網(wǎng)絡安全分析與安全策略

安全技術(shù)

計算機病毒防范

網(wǎng)絡管理概述

典型的網(wǎng)絡管理技術(shù)

網(wǎng)絡管理協(xié)議

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.1信息安全技術(shù)概述

?信息安全的基本要素

?計算機系統(tǒng)的安全等級

★☆☆

計算機網(wǎng)絡與應用?—第九章口■

9.1.1信息安全的基本要素

?機密性：確保信息不暴露給未授權(quán)的實體或進程。

?完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別

出數(shù)據(jù)是否已被篡改。

?可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即因為防

止攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

?合法性：每個想獲得訪問的實體都必須經(jīng)過鑒別或身份驗

證。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.1.2計算機系統(tǒng)的安全等級

?美國國防部安全準則：該準則定義了4類7個級

另U,這些級別的安全性從低到高的順序是D1、

C1、C2、B1、B2、B3、A1。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

類

別名稱主要特征

DI

最小的保護保護措施很小，沒有安全功能

Cl

選擇的安全有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護

保護以用戶組為單位

C2

存取控制以用戶為單位，廣泛的審計

受控的訪問

控制

Bl

除了C2級的安全求外，增加安全策略模型，數(shù)據(jù)標

標記安全保

號（安全和屬性），托管訪問控制

護

B2

結(jié)構(gòu)化安全設計系統(tǒng)時必須有一個合理的總體設計方案，面向

保護

安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的抗?jié)B

透能力，訪問控制應對所有的主體和客體進行保護，

對系統(tǒng)進行隱蔽通道分析

安全內(nèi)核，高抗?jié)B透能力

B3

安全域機制

Al

形式畫的最高級描述和驗證，形式畫的隱秘通道分

可驗證安全

析，非形式化的代碼一致性證明

設計

計算機網(wǎng)絡與應用?—第九章■□■

?歐洲準則：

1.E0級：該級別表示不充分的保證。

2.E1級：該級別必須有一個安全目標和一個對產(chǎn)品或系統(tǒng)的體系結(jié)構(gòu)

設計的非形式化描述。

3.E2級：除了E1級的要求外，還必須對詳細的設計有非形式化的描述。

4.E3級：除了E2級的要求外，要評估與安全機制相對應的源代碼和/

或硬件設計圖。

5.E4級：除了E3級的要求外,必須有支持安全目標的安全策略的基本

形式模型。

6.E5級：除了E4級的要求外,在詳細的設計和源代碼或硬件設計圖之

間有緊密的對應關(guān)系。

7.E6級：除了E1級的要求外,必須正式說明安全加強功能和體系結(jié)構(gòu)

使其與安全策略的基本形式模型相一致。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

國際通用準則：

1.EAL1：功能測試級。

2.EAL2：結(jié)構(gòu)測試級。

3.EAL3：系統(tǒng)測試和檢查級。

4.EAL4：系統(tǒng)設計、測試和檢查級。

5.EAL5：半形式化設計和測試級。

6.EAL6：半形式化驗證設計和測試級。

形式化驗證設計和測試級。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.2網(wǎng)絡安全分析與安全策略

?網(wǎng)絡安全的概念和模型

?安全威脅

?安全管理

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.2.1網(wǎng)絡安全的概念和模型

?網(wǎng)絡安全：網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的

數(shù)據(jù)受到保護，不會由于偶然或惡意的原因而遭

到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地

運行，網(wǎng)絡服務不中斷。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■D

網(wǎng)絡安全模型

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社

計算機網(wǎng)絡與應用?—第九章■□■

?安全性的所有機制都包括以下兩部分：

1.對被傳送的信息進行與安全相關(guān)的轉(zhuǎn)換。

2.兩個主題共享不希望對手得知的保密消息。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?設計特定安全服務的4個基本任務：

1.設計加密算法，進行安全性相關(guān)的轉(zhuǎn)換。

2.生成算法使用的保密信息。

3.開發(fā)分發(fā)和共享保密信息的方法。

4.指定兩個主體要使用的協(xié)議，并利用安全算法和

保密信息來實現(xiàn)特定的安全服務。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章口■

9.2.2安全威脅

?網(wǎng)絡內(nèi)部威脅：計算機系統(tǒng)本身和網(wǎng)絡內(nèi)部的因

素

?網(wǎng)絡外部威脅：外界的環(huán)境因素也威脅著計算機

系統(tǒng)和網(wǎng)絡系統(tǒng)。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.2.3安全管理

?安全管理原則

?安全管理的實現(xiàn)

《計算機網(wǎng)絡與應用、冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

安全管理原則

1.多人負責原則

2.任期有限原則

3.職責分離原則

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章D■

安全管理的實現(xiàn)

1.根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。

2.根據(jù)確定的安全登記，確定安全管理的范圍。

3.制訂相應的機房出入管理制度。

4.制訂嚴格的操作規(guī)程。

5.制訂完備的系統(tǒng)維護制度。

6.制訂應急措施。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用，—第九章口■

9.3安全技術(shù)

?密碼技術(shù)

?認證技術(shù)

?防火墻技術(shù)

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章口■

9.3.1密碼技術(shù)

?明文(Plaintext)：可以是一段有意義的文字或

者數(shù)據(jù)。

?密文(Ciphertext)：應該是一串雜亂排列的數(shù)據(jù),

從字面上沒有任何含義。

?加密(Encryption)：從明文到密文的交換過程。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

計算機網(wǎng)絡與應用?—第九章■□■

?對稱密鑰密碼系統(tǒng)(SymmetricKey

Cryptography)：加密和解密采用的是同一密鑰,

即k=k，并且Dk，(Ek(P))=Po最常見的算法有

DES,IDEA等

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?公開密鑰密碼系統(tǒng)（PublicKeyCryptography）：

非對稱加密，在進行保密通信時通常將加密密鑰k

公開（稱為公鑰PublicKey）而保留解密密鑰k'

（稱為私鑰PrivateKey）。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.3.2認證技術(shù)

?認證技術(shù)主要解決網(wǎng)絡通信過程中通信雙方的身

份認可。

?授權(quán)是指把訪問權(quán)限授予某一個用戶、用戶組或

指定系統(tǒng)的過程。

?訪問控制是指限制系統(tǒng)資源中的信息只能流到網(wǎng)

絡中的被授權(quán)的個人或系統(tǒng)。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.3.2防火墻技術(shù)

?防火墻技術(shù)是一種允許接入外部網(wǎng)絡，但同時又

能夠識別和抵抗非授權(quán)訪問的網(wǎng)絡安全技術(shù)。

?外部防火墻和內(nèi)部防火墻。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?保護脆弱的服務

?控制對系統(tǒng)的訪問

?集中的安全管理

?增強的保密性

?記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)

?策略執(zhí)行

計算機網(wǎng)絡與應用?—第九章■□■

?防火墻的類型：

1.包過濾防火墻

2.代理防火墻

3.雙縮主機防火墻

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.4計算機病毒防范

?病毒的特點

-病毒的類型

?病毒的傳染方式

?反病毒技術(shù)概述

?計算機病毒技術(shù)的新動向

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.4.1病毒的特點

破壞性非授權(quán)性

程序性隱蔽性

傳染性衍生性

潛伏性寄生性

可激活性不可預見性

主動性欺騙性

針對性持久性

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.4.2病毒的類型

?按照病毒的攻擊機型分類：

(1)攻擊微型計算機的病毒

(2)攻擊小型機的計算機病毒

(3)攻擊工作站的計算機病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按照計算機病毒攻擊的系統(tǒng)分類:

(1)攻擊OS/2操作系統(tǒng)的病毒

(2)攻擊DOS操作系統(tǒng)的病毒

(3)攻擊Windows操作系統(tǒng)的病毒

(4)攻擊UNIX操作系統(tǒng)的病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按照病毒的侵入途徑分類:

(1)源碼型病毒

(2)嵌入型病毒

(3)外殼型病毒

(4)操作系統(tǒng)病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按照計算機病毒的破壞情況分類:

(1)良性計算機病毒

(2)惡性計算機病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按照病毒的寄生部位分類：

(1)磁盤引導區(qū)傳染的計算機病毒

(2)操作系統(tǒng)傳染的計算機病毒

(3)可執(zhí)行程序傳染的計算機病毒

(4)綜合型傳染的計算機病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按照計算機病毒激活的時間分類:

(1)定時病毒

(2)隨機病毒

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章

?按照傳播媒介分類:

(1)單機病毒

(2)網(wǎng)絡病毒

《計算機網(wǎng)絡與應用\》冶金工業(yè)出版社

計算機網(wǎng)絡與應用?—第九章■□■

?按照寄生方式分類:

(1)引導型病毒

(2)文件型病毒

《計算機網(wǎng)絡與應用\》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?按是否駐留內(nèi)存分類:

(1)非駐留的病毒

(2)駐留內(nèi)存的病毒

《計算機網(wǎng)絡與應用\》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

?根據(jù)特有算法分類:

(1)伴隨型病毒

(2)蠕蟲型病毒

《計算機網(wǎng)絡與應用\》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.4.3病毒的傳染方式

?被動傳染

?主動傳染

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.4.4反病毒技術(shù)概述

(1)第一代：簡單的掃描程序；

(2)第二代：啟發(fā)式的掃描程序；

(3)第三代：行為陷阱；

(4)第四代：全方位的保護。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

計算機網(wǎng)絡與應用?—第九章■□■

9.4.5計算機病毒技術(shù)的新動向

?病毒的演化

?多變型病毒

?針對殺毒軟件

?充分利用網(wǎng)絡載體

《計算機網(wǎng)絡與應用、冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.5網(wǎng)絡管理概述

?傳統(tǒng)局域網(wǎng)管理

?網(wǎng)絡管理功能

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.5.1傳統(tǒng)局域網(wǎng)管理

?了解網(wǎng)絡

?網(wǎng)絡運行

?網(wǎng)絡維護

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

1.了解網(wǎng)絡

(1)識別網(wǎng)絡對象的硬件情況

(2)了解局域網(wǎng)的拓撲結(jié)構(gòu)

(3)確定網(wǎng)絡的互連

(3)確定網(wǎng)絡的互連

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章1口■

2.網(wǎng)絡運行

?配置網(wǎng)絡，即選擇網(wǎng)絡操作系統(tǒng)。

?選擇網(wǎng)絡連接協(xié)議，并根據(jù)選擇的網(wǎng)絡協(xié)議配置

客戶機的網(wǎng)絡軟件。

?做好網(wǎng)絡意外預防處理。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

3.網(wǎng)絡維護

頻率活動頻率活動

每日檢查各服務器的卷空間每日去除舊用戶

每日列出刖一天創(chuàng)建的文件每月檢查用戶的賬號安全性

每日找出可被存檔或刪除的舊文件每月確保備份的完整性

每日檢查備份的執(zhí)行情況每月更服務器模塊

每日檢查服務器錯誤記錄文件每月更新客戶文件

計算機網(wǎng)絡與應用?—第九章■□■

(1)常見網(wǎng)絡的故障和恢復

(2)網(wǎng)絡檢查

(3)網(wǎng)絡升級

《計算機網(wǎng)絡與應用、冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.5.2網(wǎng)絡管理功能

?故障管理(FaultManagement)

?計費管理(AccountingManagement)

?酉己置管理(ConfigurationManagement)

?性能管理(PerformanceManagement)

?安全管理(SecurityManagement)

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章口■

■imiByi的爆髀阿絡管

?ISO與OSVCMIP的網(wǎng)絡管理技術(shù)

?ITU-T與TMN網(wǎng)絡管理技術(shù)

?IEIF與Internet/SNMP網(wǎng)絡管理技術(shù)

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.7網(wǎng)絡管理協(xié)議

?網(wǎng)絡管理的基礎(chǔ)結(jié)構(gòu)

?SNMP的體系結(jié)構(gòu)

?Linux系統(tǒng)中的SNMP酉己置

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.7.1網(wǎng)絡管理的基礎(chǔ)結(jié)構(gòu)

?網(wǎng)絡管理基站

?網(wǎng)站管理代理

?管理信息數(shù)據(jù)庫

?網(wǎng)絡管理協(xié)議

?代理設備

《計算機網(wǎng)絡與應用、冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

9.7.2SNMP的體系結(jié)構(gòu)

?保持管理代理的軟件成本盡可能低。

?最大限度地保持遠程管理的功能，以便充分利用

Internet的網(wǎng)絡資源。

?體系結(jié)構(gòu)必須有擴充的余地。

?保持SNMP的獨立性，不依賴于具體的計算機、

網(wǎng)關(guān)和網(wǎng)絡傳輸協(xié)議。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

（1）SNMP管理控制框架

?SNMP管理模型是典型的客戶-服務器體系結(jié)構(gòu)。

?SNMP的設計原則是把所有智能和復雜性放在管

理器（客戶端）上，使代理（服務器端）盡可能

簡單，以盡量減少對被管設備的影響。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

(2)SNMP的體系結(jié)構(gòu)

SNMP

mib

mibtcp/udp

mibigmp

mibip

mibicmp

mib數(shù)據(jù)鏈路層

mibarp

mib物理層

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社★☆☆

計算機網(wǎng)絡與應用?—第九章■□■

(3)SNMP服務器處理過程

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用，—第九章口■

(4)SNMP網(wǎng)絡管理模型的核心―

?SNMP管理模型的核心是由代理維護而由管理器

讀寫的管理信息。

《計算機網(wǎng)絡與應用》冶金工業(yè)出版社☆☆☆

計算機網(wǎng)絡與應用?—第九章■□■

(5)SNMP實