江西蓝天学院 计算机网络技术教程
1
罗少彬 编著
计算机网络技术教程
江西蓝天学院 计算机网络技术教程
2
罗少彬 编著
第 9章 网络安全与网络管理
江西蓝天学院 计算机网络技术教程
3
罗少彬 编著
本章学习要求,
了解, 网络安全的重要性
掌握,网络安全技术研究的基本问题
掌握:网络安全策略制定的方法与基本内容
了解, 网络安全问题的鉴别的基本概念
掌握:网络防火墙的基本概念
了解:网络文件的备份与恢复的基本方法
了解:网络防病毒的基本方法
掌握:网络管理的基本概念
江西蓝天学院 计算机网络技术教程
4
罗少彬 编著
9.1 网络安全的重要性
网络安全问题已经成为信息化社会的一个焦点问题;
每个国家只能立足于本国,研究自己的网络安全技术,
培养自己的专门人才,发展自己的网络安全产业,才
能构筑本国的网络与信息安全防范体系。
江西蓝天学院 计算机网络技术教程
5
罗少彬 编著
9.2 网络安全技术研究的基本问题
9.2.1 构成对网络安全威胁的主要因素与相关技术的研究
网络防攻击问题
网络安全漏洞与对策问题
网络中的信息安全保密问题
网络内部安全防范问题
网络防病毒问题
网络数据备份与恢复、灾难恢复问题
江西蓝天学院 计算机网络技术教程
6
罗少彬 编著
网络防攻击问题
服务攻击,
对网络提供某种服务的服务器发起攻击,造成该网络
的, 拒绝服务,,使网络工作不正常 ;
非服务攻击,
不针对某项具体应用服务,而是基于网络层等低层协
议而进行的,使得网络通信设备工作严重阻塞或瘫痪。
江西蓝天学院 计算机网络技术教程
7
罗少彬 编著
网络防攻击主要问题需要研究的几个问题
网络可能遭到哪些人的攻击?
攻击类型与手段可能有哪些?
如何及时检测并报告网络被攻击?
如何采取相应的网络安全策略与网络安全防护体系?
江西蓝天学院 计算机网络技术教程
8
罗少彬 编著
网络安全漏洞与对策的研究
网络信息系统的运行涉及到,
计算机硬件与操作系统
网络硬件与网络软件
数据库管理系统
应用软件
网络通信协议
网络安全漏洞也会表现在以上几个方面。
江西蓝天学院 计算机网络技术教程
9
罗少彬 编著
网络中的信息安全保密
信息存储安全与信息传输安全
信息存储安全
如何保证静态存储在连网计算机中的信息不会
被未授权的网络用户非法使用;
信息传输安全
如何保证信息在网络传输的过程中不被泄露与不被攻
击;
江西蓝天学院 计算机网络技术教程
10
罗少彬 编著
网络中的信息安全保密问题
信息源结点 信息目的结点
(d )信息被篡改
非法用户
篡改
信息源结点 信息目的结点
(e )信息被伪造
非法用户
伪造
信息源结点 信息目的结点
(b )信息被截获
非法用户
截获
信息源结点 信息目的结点
(c )信息被窃听
非法用户
窃听
江西蓝天学院 计算机网络技术教程
11
罗少彬 编著
数据加密与解密
将明文变换成密文的过程称为加密;
将密文经过逆变换恢复成明文的过程称为解密。
?ó ?ü 1y 3ì ?ü ???÷??
D? ?¢ ?′ ?á μ?
?a ?ü 1y 3ì?ü ?? ?÷??
D? ?¢ ?? μ? ?á μ?
江西蓝天学院 计算机网络技术教程
12
罗少彬 编著
网络内部安全防范问题
网络内部安全防范是防止内部具有合法身份的用户有
意或无意地做出对网络与信息安全有害的行为;
对网络与信息安全有害的行为包括:有意或无意地泄
露网络用户或网络管理员口令;违反网络安全规定,
绕过防火墙,私自和外部网络连接,造成系统安全漏
洞;违反网络使用规定,越权查看、修改和删除系统
文件、应用程序及数据;违反网络使用规定,越权修
改网络系统配臵,造成网络工作不正常;
解决来自网络内部的不安全因素必须从技术与管理两
个方面入手。
江西蓝天学院 计算机网络技术教程
13
罗少彬 编著
网络防病毒问题
目前,70%的病毒发生在计算机网络上;
连网微型机病毒的传播速度是单机的 20倍,网络服
务器消除病毒所花的时间是单机的 40倍;
电子邮件病毒可以轻易地使用户的计算机瘫痪,有
些网络病毒甚至会破坏系统硬件。
江西蓝天学院 计算机网络技术教程
14
罗少彬 编著
网络数据备份与恢复、灾难恢复问题
如果出现网络故障造成数据丢失,数据能不能被恢复?
如果出现网络因某种原因被损坏,重新购买设备的资
金可以提供,但是原有系统的数据能不能恢复?
江西蓝天学院 计算机网络技术教程
15
罗少彬 编著
9.2.2 网络安全服务的主要内容
网络安全服务应该提供的基本服务功能,
数据保密( data confidentiality)
认证( authentication)
数据完整( data integrity)
防抵赖( non-repudiation)
访问控制( access control)
江西蓝天学院 计算机网络技术教程
16
罗少彬 编著
9.2.3 网络安全标准
,电子计算机系统安全规范,, 1987年 10月
,计算机软件保护条例,, 1991年 5月
,计算机软件著作权登记办法,, 1992年 4月
,中华人民共和国计算机信息与系统安全保护条例,,
1994年 2月
,计算机信息系统保密管理暂行规定,, 1998年 2月
,关于维护互联网安全决定,,全国人民代表大会常
务委员会通过,2000年 12月
江西蓝天学院 计算机网络技术教程
17
罗少彬 编著
安全级别的分类
可信计算机系统评估准则 TC-SEC-NCSC是 1983年公
布的,1985年公布了可信网络说明( TNI);
可信计算机系统评估准则将计算机系统安全等级分为 4
类 7个等级,即 D,C1,C2,B1,B2,B3与 A1;
D级系统的安全要求最低,A1级系统的安全要求最高。
江西蓝天学院 计算机网络技术教程
18
罗少彬 编著
9.3 网络安全策略的设计
企业内部网有哪些网络资源与服务需要提供给外部用
户访问?
企业内部用户有哪些需要访问外部网络资源与服务?
可能对网络资源与服务安全性构成威胁的因素有哪些?
哪些资源需要重点保护?
可以采取什么方法进行保护?
发现网络受到攻击之后如何处理?
江西蓝天学院 计算机网络技术教程
19
罗少彬 编著
9.3.1 网络安全策略与网络用户的关系
网络安全策略包括技术与制度两个方面。只有将二者
结合起来,才能有效保护网络资源不受破坏;
在制定网络安全策略时,一定要注意限制的范围;
网络安全策略首先要保证用户能有效地完成各自的任
务同时,也不要引发用户设法绕过网络安全系统,钻
网络安全系统空子的现象;
一个好的网络安全策略应能很好地解决网络使用与网
络安全的矛盾,应该使网络管理员与网络用户都乐于
接受与执行。
江西蓝天学院 计算机网络技术教程
20
罗少彬 编著
9.3.2 制定网络安全策略的两种思想
制定网络安全策略的两种思想:一是凡是没有明确表
示允许的就要被禁止,二是凡是没有明确表示禁止的
就要被允许;
在网络安全策略上一般采用第一种方法,明确地限定
用户在网络中访问的权限与能够使用的服务;
符合于规定用户在网络访问, 最小权限, 的原则,给
予用户能完成任务所, 必要, 的访问权限与可以使用
的服务类型,又便于网络的管理。
江西蓝天学院 计算机网络技术教程
21
罗少彬 编著
9.3.3 网络用户组成、网点结构与网络安全策略的关系
要维护网络系统的有序运行,还必须规定网络管理员
与网络用户各自的责任;
网络安全问题来自外部、内部两个方面;
任何一个网点的内部网络安全策略的变化都会影响到
另一个相关网点用户的使用,这就存在多个网点之间
的网络安全与管理的协调问题;
多个网点之间要相互访问,因此带来了内部用户与外
部用户两方面的管理问题。
江西蓝天学院 计算机网络技术教程
22
罗少彬 编著
9.3.4 网络安全教育与网络安全策略
要求网络管理员与网络用户能够严格地遵守网络管理规
定与网络使用方法,正确地使用网络;
要求从技术上对网络资源进行保护;
如果网络管理员与网络用户不能严格遵守网络管理条例
与使用方法,再严密的防火墙、加密技术也无济于事;
必须正确地解决网络安全教育与网络安全制度之间的关
系,切实做好网络管理人员与网络用户的正确管理与使
用网络的培训,从正面加强网络安全教育。
江西蓝天学院 计算机网络技术教程
23
罗少彬 编著
9.3.5 网络安全策略的修改、完善与网络安全制度的发布
Internet网点与 Intranet网点的网络管理中心的网络管
理员,对网点的日常网络管理、网络安全策略与使用
制度的修改和发布负有全部责任;
当网点的网络安全策略的修改涉及其他网点时,相关
网点的网络管理员之间需要通过协商,协调网络管理、
网络安全策略与使用制度的修改问题;
网络管理中心应该定期或不定期地发布网点的网络安
全策略、网络资源、网络服务与网络使用制度的变化
情况。
江西蓝天学院 计算机网络技术教程
24
罗少彬 编著
9.4 网络安全策略制定的方法与基本内容
设计网络安全策略 需要回答以下问题,
打算要保护哪些网络资源?
哪类网络资源可以被哪些用户使用?
什么样的人可能对网络构成威胁?
如何保证能可靠及时地实现对重要资源的保护?
在网络状态变化时, 谁来负责调整网络安全策略?
江西蓝天学院 计算机网络技术教程
25
罗少彬 编著
9.4.1 网络资源的定义
分析网络中有哪些资源是重要的,什么人可以使用这
些资源,哪些人可能会对资源构成威胁,以及如何保
护这些资源;
对可能对网络资源构成威胁的因素下定义,以确定可
能造成信息丢失和破坏的潜在因素,确定威胁的类型;
了解对网络资源安全构成威胁的来源与类型,才能针
对这些问题提出保护方法。
江西蓝天学院 计算机网络技术教程
26
罗少彬 编著
9.4.2 网络使用与责任的定义
定义网络使用与责任定义需要回答以下问题,
允许哪些用户使用网络资源;
允许用户对网络资源进行哪些操作;
谁来批准用户的访问权限;
谁具有系统用户的访问权限;
网络用户与网络管理员的权利、责任是什么。
江西蓝天学院 计算机网络技术教程
27
罗少彬 编著
9.4.3 用户责任的定义
网络攻击者要入侵网络,第一关是要通过网络访问控
制的用户身份认证系统;
保护用户口令主要需要注意两个问题。一是选择口令,
二是保证口令不被泄露,并且不容易被破译;
网络用户在选择自己的口令时,应该尽量避免使用自
己与亲人的名字、生日、身份证号、电话号码等容易
被攻击者猜测的字符或数字序列。
江西蓝天学院 计算机网络技术教程
28
罗少彬 编著
用户责任主要包括以下基本内容,
用户只使用允许使用的网络资源与服务,不能采用不正当手段使
用不应使用的资源;
用户了解在不经允许让其他用户使用他的账户后可能造成的危害
与他应该承担的责任;
用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造
成的后果以及用户要承担的责任;
用户了解为什么需要定期或不定期地更换账户密码;
明确用户数据是用户自己负责备份,还是由网络管理员统一备份,
凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;
明白泄露信息可能危及网络系统安全,了解个人行为与系统安全
的关系。
江西蓝天学院 计算机网络技术教程
29
罗少彬 编著
9.4.4 网络管理员责任的定义
网络管理员对网络系统安全负有重要的责任;
网络管理员需要对网络结构、网络资源分布、网络用
户类型与权限以及网络安全检测方法有更多知识。
江西蓝天学院 计算机网络技术教程
30
罗少彬 编著
网络管理员应该注意的几个问题,
对网络管理员的口令严格保密
网络管理员在建立网络文件系统、用户系统、管理系统与安全
系统方面有特殊的权力,网络管理员口令的泄露对网络安全会构
成极其严重的威胁。
对网络系统运行状态要随时进行严格的监控
网络管理员必须利用各种网络运行状态监测软件与设备,对网
络系统运行状态进行监视、记录与处理。
对网络系统安全状况进行严格的监控
了解网络系统所使用的系统软件、应用软件,以及硬件中可能
存在的安全漏洞,了解在其他网络系统中出现的各种新的安全事
件,监视网络关键设备、网络文件系统与各种网络服务的工作状
态,审计状态记录,发现疑点问题与不安全因素立即处理。
江西蓝天学院 计算机网络技术教程
31
罗少彬 编著
9.4.5 网络安全受到威胁时的行动方案
保护方式
当网络管理员发现网络安全遭到破坏时,立即制止非
法入侵者的活动,恢复网络的正常工作状态,并进一
步分析这次安全事故的性质与原因,尽量减少这次安
全事故造成的损害;
跟踪方式
发现网络存在非法入侵者的活动时,不是立即制止入
侵者的活动,而是采取措施跟踪非法入侵者的活动,
检测非法入侵者的来源、目的、非法访问的网络资源,
判断非法入侵的危害,确定处理此类非法入侵活动的
方法。
江西蓝天学院 计算机网络技术教程
32
罗少彬 编著
9.5 网络安全问题的鉴别
鉴别网络安全问题可以从 5个方面进行,
访问点( access points)
系统配臵( system configuration)
软件缺陷( software bugs)
内部威胁( insider threats)
物理安全性( physical security)
江西蓝天学院 计算机网络技术教程
33
罗少彬 编著
网络访问点的结构
...
?÷?ú 1
1¤×÷??
?? óò í? 1
2| o? ?? ?·
רó? ?? ?·
·? ?ê μ? 2
·? ?ê μ? 3
·? ?ê μ? 1
?·óé ?÷1
?? ?? ·t ?? ?÷
modem
?÷?ú 2
?? óò í? 2
?·óé ?÷2
modem
江西蓝天学院 计算机网络技术教程
34
罗少彬 编著
9.6 网络防火墙技术
9.6.1 防火墙的基本概念
防火墙是在网络之间执行安全控制策略的系统,它包
括硬件和软件;
设臵防火墙的目的是保护内部网络资源不被外部非授
权用户使用,防止内部受到外部非法用户的攻击。
江西蓝天学院 计算机网络技术教程
35
罗少彬 编著
防火墙的位置与作用
·t ?? ?÷
ía 2? í? ??
·à ?e ??
·t ?? ?÷
?ú 2? í? ??
江西蓝天学院 计算机网络技术教程
36
罗少彬 编著
防火墙通过检查所有进出内部网络的数据包,检查数
据包的合法性,判断是否会对网络安全构成威胁,为
内部网络建立安全边界;
构成防火墙系统的两个基本部件是:包过滤路由器
( packet filtering router)和应用级网关( application
gateway);
最简单的防火墙由一个包过滤路由器组成,而复杂的
防火墙系统由包过滤路由器和应用级网关组合而成;
由于组合方式有多种,因此防火墙系统的结构也有多
种形式。
江西蓝天学院 计算机网络技术教程
37
罗少彬 编著
9.6.2 防火墙的主要类型
包过滤路由器
包过滤路由器按照系统内部设臵的包过滤规则(即访
问控制表),检查每个分组的源 IP地址、目的 IP地址,
决定该分组是否应该转发;
包过滤规则一般是基于部分或全部报头的内容。例如,
对于 TCP报头信息可以是:源 IP地址, 目的 IP地址、
协议类型, IP选项内容, 源 TCP端口号, 目的 TCP
端口号, TCP ACK标识等。
江西蓝天学院 计算机网络技术教程
38
罗少彬 编著
包过滤路由器的结构
江西蓝天学院 计算机网络技术教程
39
罗少彬 编著
应用级网关
多归属主机又称为多宿主主机,它具有两个或两个以
上的网络接口,每个网络接口与一个网络连接,具有
在不同网络之间交换数据的路由能力。
如果多归属主机连接了两个网络,它可以叫做双归属
主机。只要能确定应用程序访问控制规则,就可以采
用双归属主机作为应用级网关,在应用层过滤进出内
部网络特定服务的用户请求与响应。
应用代理是应用级网关的另一种形式,它是以存储转
发方式检查和确定网络服务请求的用户身份是否合法,
决定是转发还是丢弃该服务请求。
江西蓝天学院 计算机网络技术教程
40
罗少彬 编著
应用级网关的结构
Internet
?ú 2? í? ??
·t ?? ?÷
1¤×÷??
í? ?? ?ó ?ú
ó| ó? 3ì Dò
·? ?ê ?× ??
ía 2? í? ??
í? ?? ?ó ?ú
ó| ó? ?? í? 1×
·à ?e ??
江西蓝天学院 计算机网络技术教程
41
罗少彬 编著
应用代理的工作原理
ía 2? í? ??
′ú àí ·t ?? ?÷
·à ?e ??
?ú 2? í? ??
?? ?y ·t ?? ?÷
Internet
?í ?§
êμ ?ê μ? á? ?ó
Dé ?a μ? á? ?ó
êμ ?ê μ? á? ?ó
江西蓝天学院 计算机网络技术教程
42
罗少彬 编著
9.6.3 主要的防火墙产品
Checkpoint公司的 Firewall-1防火墙
Sonic System公司的 Sonicwall防火墙
NetScreen公司的 NetScreen防火墙
Alkatel公司的 Internet Device防火墙
NAI公司的 Gauntlet防火墙
江西蓝天学院 计算机网络技术教程
43
罗少彬 编著
9.7 网络文件的备份与恢复
9.7.1 网络文件备份与恢复的重要性
网络数据可以进行归档与备份;
归档是指在一种特殊介质上进行永久性存储;
网络数据备份是一项基本的网络维护工作;
备份数据用于网络系统的恢复。
江西蓝天学院 计算机网络技术教程
44
罗少彬 编著
9.7.2 网络文件备份的基本方法
选择备份设备
选择备份程序
建立备份制度
在考虑备份方法时需要注意的问题,
如果系统遭到破坏需要多长时间才能恢复?
怎样备份才可能在恢复系统时数据损失最少?
江西蓝天学院 计算机网络技术教程
45
罗少彬 编著
9.8 网络防病毒技术
9.8.1 造成网络感染病毒的主要原因
70%的病毒发生在网络上;
将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事
件约占 41%左右;
从网络电子广告牌上带来的病毒约占 7%;
从软件商的演示盘中带来的病毒约占 6%;
从系统维护盘中带来的病毒约占 6%;
从公司之间交换的软盘带来的病毒约占 2%;
其他未知因素约占 27%;
从统计数据中可以看出,引起网络病毒感染的主要原因在于网络
用户自身。
江西蓝天学院 计算机网络技术教程
46
罗少彬 编著
9.8.2 网络病毒的危害
网络病毒感染一般是从用户工作站开始的,而网络服
务器是病毒潜在的攻击目标,也是网络病毒潜藏的重
要场所;
网络服务器在网络病毒事件中起着两种作用:它可能
被感染,造成服务器瘫痪;它可以成为病毒传播的代
理人,在工作站之间迅速传播与蔓延病毒;
网络病毒的传染与发作过程与单机基本相同,它将本
身拷贝覆盖在宿主程序上;
当宿主程序执行时,病毒也被启动,然后再继续传染
给其他程序。如果病毒不发作,宿主程序还能照常运
行;当符合某种条件时,病毒便会发作,它将破坏程
序与数据。
江西蓝天学院 计算机网络技术教程
47
罗少彬 编著
9.8.3 典型网络防病毒软件的应用
网络防病毒可以从以下两方面入手:一是工作站,二
是服务器;
网络防病毒软件的基本功能是:对文件服务器和工作
站进行查毒扫描、检查、隔离、报警,当发现病毒时,
由网络管理员负责清除病毒;
网络防病毒软件一般允许用户设臵三种扫描方式:实
时扫描、预臵扫描与人工扫描;
一个完整的网络防病毒系统通常由以下几个部分组成:
客户端防毒软件、服务器端防毒软件、针对群件的防
毒软件、针对黑客的防毒软件。
江西蓝天学院 计算机网络技术教程
48
罗少彬 编著
9.8.4 网络工作站防病毒方法
采用无盘工作站
使用单机防病毒卡
使用网络防病毒卡
江西蓝天学院 计算机网络技术教程
49
罗少彬 编著
9.9 网络管理技术
9.9.1 网络管理的基本概念
网络管理涉及以下三个方面,
网络服务提供是指向用户提供新的服务类型、增加网
络设备、提高网络性能;
网络维护是指网络性能监控、故障报警、故障诊断、
故障隔离与恢复;
网络处理是指网络线路、设备利用率数据的采集、分
析,以及提高网络利用率的各种控制。
江西蓝天学院 计算机网络技术教程
50
罗少彬 编著
网络管理系统的基本结构,
管理对象
管理对象是经过抽象的网络元素,对应于网络中具体
可以操作的数据。
管理进程
管理进程是负责对网络设备进行全面的管理与控制的
软件。
管理协议
管理协议负责在管理系统与被管理对象之间传递与负
责操作命令。
江西蓝天学院 计算机网络技术教程
51
罗少彬 编著
管理信息库
管理信息库( MIB)是管理进程的一部分,用于记录
网络中被管理对象的状态参数值;
一个网络的管理系统只能有一个管理信息库,但管理
信息库可以是集中存储的,也可以由各个网络设备记
录本地工作参数;
网络管理员只要查询有关的管理信息库,就可获得有
关网络设备的工作状态和工作参数;
在网络管理过程中,使网络管理信息库中数据与实际
网络设备的状态、参数保持一致的方法主要有两种:
事件驱动与轮询驱动方法。
江西蓝天学院 计算机网络技术教程
52
罗少彬 编著
9.9.2 OSI管理功能域
配臵管理( configuration management)
故障管理( fault management)
性能管理( performance management)
安全管理( security management)
记账管理( accounting management)
江西蓝天学院 计算机网络技术教程
53
罗少彬 编著
9.9.3 简单网络管理协议 SNMP
Internet网络管理模型
网络管理进程
(网控中心)
管理代理
管理对象
管理代理
管理对象
...
外部代理
管理对象
外部代理
管理对象
...
江西蓝天学院 计算机网络技术教程
54
罗少彬 编著
SNMP管理模型的结构
江西蓝天学院 计算机网络技术教程
55
罗少彬 编著
9.10 小结
网络安全技术研究的基本问题包括:网络防攻击, 网
络安全漏洞与对策, 网络的信息安全保密, 网络内部
安全防范, 网络防病毒, 网络数据备份与灾难恢复;
网络安全服务应该提供保密性, 认证, 数据完整性,
防抵赖与访问控制服务;
制定网络安全策略就是研究造成信息丢失, 系统损坏
的各种可能, 并提出对网络资源与系统的保护方法;
防火墙是根据一定的安全规定来检查, 过滤网络之间
传送的报文分组, 以便确定这些报文分组的合法性;
网络管理则是指对网络应用系统的管理, 它包括配臵
管理, 故障管理, 性能管理, 安全管理, 记账管理等
部分 。
1
罗少彬 编著
计算机网络技术教程
江西蓝天学院 计算机网络技术教程
2
罗少彬 编著
第 9章 网络安全与网络管理
江西蓝天学院 计算机网络技术教程
3
罗少彬 编著
本章学习要求,
了解, 网络安全的重要性
掌握,网络安全技术研究的基本问题
掌握:网络安全策略制定的方法与基本内容
了解, 网络安全问题的鉴别的基本概念
掌握:网络防火墙的基本概念
了解:网络文件的备份与恢复的基本方法
了解:网络防病毒的基本方法
掌握:网络管理的基本概念
江西蓝天学院 计算机网络技术教程
4
罗少彬 编著
9.1 网络安全的重要性
网络安全问题已经成为信息化社会的一个焦点问题;
每个国家只能立足于本国,研究自己的网络安全技术,
培养自己的专门人才,发展自己的网络安全产业,才
能构筑本国的网络与信息安全防范体系。
江西蓝天学院 计算机网络技术教程
5
罗少彬 编著
9.2 网络安全技术研究的基本问题
9.2.1 构成对网络安全威胁的主要因素与相关技术的研究
网络防攻击问题
网络安全漏洞与对策问题
网络中的信息安全保密问题
网络内部安全防范问题
网络防病毒问题
网络数据备份与恢复、灾难恢复问题
江西蓝天学院 计算机网络技术教程
6
罗少彬 编著
网络防攻击问题
服务攻击,
对网络提供某种服务的服务器发起攻击,造成该网络
的, 拒绝服务,,使网络工作不正常 ;
非服务攻击,
不针对某项具体应用服务,而是基于网络层等低层协
议而进行的,使得网络通信设备工作严重阻塞或瘫痪。
江西蓝天学院 计算机网络技术教程
7
罗少彬 编著
网络防攻击主要问题需要研究的几个问题
网络可能遭到哪些人的攻击?
攻击类型与手段可能有哪些?
如何及时检测并报告网络被攻击?
如何采取相应的网络安全策略与网络安全防护体系?
江西蓝天学院 计算机网络技术教程
8
罗少彬 编著
网络安全漏洞与对策的研究
网络信息系统的运行涉及到,
计算机硬件与操作系统
网络硬件与网络软件
数据库管理系统
应用软件
网络通信协议
网络安全漏洞也会表现在以上几个方面。
江西蓝天学院 计算机网络技术教程
9
罗少彬 编著
网络中的信息安全保密
信息存储安全与信息传输安全
信息存储安全
如何保证静态存储在连网计算机中的信息不会
被未授权的网络用户非法使用;
信息传输安全
如何保证信息在网络传输的过程中不被泄露与不被攻
击;
江西蓝天学院 计算机网络技术教程
10
罗少彬 编著
网络中的信息安全保密问题
信息源结点 信息目的结点
(d )信息被篡改
非法用户
篡改
信息源结点 信息目的结点
(e )信息被伪造
非法用户
伪造
信息源结点 信息目的结点
(b )信息被截获
非法用户
截获
信息源结点 信息目的结点
(c )信息被窃听
非法用户
窃听
江西蓝天学院 计算机网络技术教程
11
罗少彬 编著
数据加密与解密
将明文变换成密文的过程称为加密;
将密文经过逆变换恢复成明文的过程称为解密。
?ó ?ü 1y 3ì ?ü ???÷??
D? ?¢ ?′ ?á μ?
?a ?ü 1y 3ì?ü ?? ?÷??
D? ?¢ ?? μ? ?á μ?
江西蓝天学院 计算机网络技术教程
12
罗少彬 编著
网络内部安全防范问题
网络内部安全防范是防止内部具有合法身份的用户有
意或无意地做出对网络与信息安全有害的行为;
对网络与信息安全有害的行为包括:有意或无意地泄
露网络用户或网络管理员口令;违反网络安全规定,
绕过防火墙,私自和外部网络连接,造成系统安全漏
洞;违反网络使用规定,越权查看、修改和删除系统
文件、应用程序及数据;违反网络使用规定,越权修
改网络系统配臵,造成网络工作不正常;
解决来自网络内部的不安全因素必须从技术与管理两
个方面入手。
江西蓝天学院 计算机网络技术教程
13
罗少彬 编著
网络防病毒问题
目前,70%的病毒发生在计算机网络上;
连网微型机病毒的传播速度是单机的 20倍,网络服
务器消除病毒所花的时间是单机的 40倍;
电子邮件病毒可以轻易地使用户的计算机瘫痪,有
些网络病毒甚至会破坏系统硬件。
江西蓝天学院 计算机网络技术教程
14
罗少彬 编著
网络数据备份与恢复、灾难恢复问题
如果出现网络故障造成数据丢失,数据能不能被恢复?
如果出现网络因某种原因被损坏,重新购买设备的资
金可以提供,但是原有系统的数据能不能恢复?
江西蓝天学院 计算机网络技术教程
15
罗少彬 编著
9.2.2 网络安全服务的主要内容
网络安全服务应该提供的基本服务功能,
数据保密( data confidentiality)
认证( authentication)
数据完整( data integrity)
防抵赖( non-repudiation)
访问控制( access control)
江西蓝天学院 计算机网络技术教程
16
罗少彬 编著
9.2.3 网络安全标准
,电子计算机系统安全规范,, 1987年 10月
,计算机软件保护条例,, 1991年 5月
,计算机软件著作权登记办法,, 1992年 4月
,中华人民共和国计算机信息与系统安全保护条例,,
1994年 2月
,计算机信息系统保密管理暂行规定,, 1998年 2月
,关于维护互联网安全决定,,全国人民代表大会常
务委员会通过,2000年 12月
江西蓝天学院 计算机网络技术教程
17
罗少彬 编著
安全级别的分类
可信计算机系统评估准则 TC-SEC-NCSC是 1983年公
布的,1985年公布了可信网络说明( TNI);
可信计算机系统评估准则将计算机系统安全等级分为 4
类 7个等级,即 D,C1,C2,B1,B2,B3与 A1;
D级系统的安全要求最低,A1级系统的安全要求最高。
江西蓝天学院 计算机网络技术教程
18
罗少彬 编著
9.3 网络安全策略的设计
企业内部网有哪些网络资源与服务需要提供给外部用
户访问?
企业内部用户有哪些需要访问外部网络资源与服务?
可能对网络资源与服务安全性构成威胁的因素有哪些?
哪些资源需要重点保护?
可以采取什么方法进行保护?
发现网络受到攻击之后如何处理?
江西蓝天学院 计算机网络技术教程
19
罗少彬 编著
9.3.1 网络安全策略与网络用户的关系
网络安全策略包括技术与制度两个方面。只有将二者
结合起来,才能有效保护网络资源不受破坏;
在制定网络安全策略时,一定要注意限制的范围;
网络安全策略首先要保证用户能有效地完成各自的任
务同时,也不要引发用户设法绕过网络安全系统,钻
网络安全系统空子的现象;
一个好的网络安全策略应能很好地解决网络使用与网
络安全的矛盾,应该使网络管理员与网络用户都乐于
接受与执行。
江西蓝天学院 计算机网络技术教程
20
罗少彬 编著
9.3.2 制定网络安全策略的两种思想
制定网络安全策略的两种思想:一是凡是没有明确表
示允许的就要被禁止,二是凡是没有明确表示禁止的
就要被允许;
在网络安全策略上一般采用第一种方法,明确地限定
用户在网络中访问的权限与能够使用的服务;
符合于规定用户在网络访问, 最小权限, 的原则,给
予用户能完成任务所, 必要, 的访问权限与可以使用
的服务类型,又便于网络的管理。
江西蓝天学院 计算机网络技术教程
21
罗少彬 编著
9.3.3 网络用户组成、网点结构与网络安全策略的关系
要维护网络系统的有序运行,还必须规定网络管理员
与网络用户各自的责任;
网络安全问题来自外部、内部两个方面;
任何一个网点的内部网络安全策略的变化都会影响到
另一个相关网点用户的使用,这就存在多个网点之间
的网络安全与管理的协调问题;
多个网点之间要相互访问,因此带来了内部用户与外
部用户两方面的管理问题。
江西蓝天学院 计算机网络技术教程
22
罗少彬 编著
9.3.4 网络安全教育与网络安全策略
要求网络管理员与网络用户能够严格地遵守网络管理规
定与网络使用方法,正确地使用网络;
要求从技术上对网络资源进行保护;
如果网络管理员与网络用户不能严格遵守网络管理条例
与使用方法,再严密的防火墙、加密技术也无济于事;
必须正确地解决网络安全教育与网络安全制度之间的关
系,切实做好网络管理人员与网络用户的正确管理与使
用网络的培训,从正面加强网络安全教育。
江西蓝天学院 计算机网络技术教程
23
罗少彬 编著
9.3.5 网络安全策略的修改、完善与网络安全制度的发布
Internet网点与 Intranet网点的网络管理中心的网络管
理员,对网点的日常网络管理、网络安全策略与使用
制度的修改和发布负有全部责任;
当网点的网络安全策略的修改涉及其他网点时,相关
网点的网络管理员之间需要通过协商,协调网络管理、
网络安全策略与使用制度的修改问题;
网络管理中心应该定期或不定期地发布网点的网络安
全策略、网络资源、网络服务与网络使用制度的变化
情况。
江西蓝天学院 计算机网络技术教程
24
罗少彬 编著
9.4 网络安全策略制定的方法与基本内容
设计网络安全策略 需要回答以下问题,
打算要保护哪些网络资源?
哪类网络资源可以被哪些用户使用?
什么样的人可能对网络构成威胁?
如何保证能可靠及时地实现对重要资源的保护?
在网络状态变化时, 谁来负责调整网络安全策略?
江西蓝天学院 计算机网络技术教程
25
罗少彬 编著
9.4.1 网络资源的定义
分析网络中有哪些资源是重要的,什么人可以使用这
些资源,哪些人可能会对资源构成威胁,以及如何保
护这些资源;
对可能对网络资源构成威胁的因素下定义,以确定可
能造成信息丢失和破坏的潜在因素,确定威胁的类型;
了解对网络资源安全构成威胁的来源与类型,才能针
对这些问题提出保护方法。
江西蓝天学院 计算机网络技术教程
26
罗少彬 编著
9.4.2 网络使用与责任的定义
定义网络使用与责任定义需要回答以下问题,
允许哪些用户使用网络资源;
允许用户对网络资源进行哪些操作;
谁来批准用户的访问权限;
谁具有系统用户的访问权限;
网络用户与网络管理员的权利、责任是什么。
江西蓝天学院 计算机网络技术教程
27
罗少彬 编著
9.4.3 用户责任的定义
网络攻击者要入侵网络,第一关是要通过网络访问控
制的用户身份认证系统;
保护用户口令主要需要注意两个问题。一是选择口令,
二是保证口令不被泄露,并且不容易被破译;
网络用户在选择自己的口令时,应该尽量避免使用自
己与亲人的名字、生日、身份证号、电话号码等容易
被攻击者猜测的字符或数字序列。
江西蓝天学院 计算机网络技术教程
28
罗少彬 编著
用户责任主要包括以下基本内容,
用户只使用允许使用的网络资源与服务,不能采用不正当手段使
用不应使用的资源;
用户了解在不经允许让其他用户使用他的账户后可能造成的危害
与他应该承担的责任;
用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造
成的后果以及用户要承担的责任;
用户了解为什么需要定期或不定期地更换账户密码;
明确用户数据是用户自己负责备份,还是由网络管理员统一备份,
凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;
明白泄露信息可能危及网络系统安全,了解个人行为与系统安全
的关系。
江西蓝天学院 计算机网络技术教程
29
罗少彬 编著
9.4.4 网络管理员责任的定义
网络管理员对网络系统安全负有重要的责任;
网络管理员需要对网络结构、网络资源分布、网络用
户类型与权限以及网络安全检测方法有更多知识。
江西蓝天学院 计算机网络技术教程
30
罗少彬 编著
网络管理员应该注意的几个问题,
对网络管理员的口令严格保密
网络管理员在建立网络文件系统、用户系统、管理系统与安全
系统方面有特殊的权力,网络管理员口令的泄露对网络安全会构
成极其严重的威胁。
对网络系统运行状态要随时进行严格的监控
网络管理员必须利用各种网络运行状态监测软件与设备,对网
络系统运行状态进行监视、记录与处理。
对网络系统安全状况进行严格的监控
了解网络系统所使用的系统软件、应用软件,以及硬件中可能
存在的安全漏洞,了解在其他网络系统中出现的各种新的安全事
件,监视网络关键设备、网络文件系统与各种网络服务的工作状
态,审计状态记录,发现疑点问题与不安全因素立即处理。
江西蓝天学院 计算机网络技术教程
31
罗少彬 编著
9.4.5 网络安全受到威胁时的行动方案
保护方式
当网络管理员发现网络安全遭到破坏时,立即制止非
法入侵者的活动,恢复网络的正常工作状态,并进一
步分析这次安全事故的性质与原因,尽量减少这次安
全事故造成的损害;
跟踪方式
发现网络存在非法入侵者的活动时,不是立即制止入
侵者的活动,而是采取措施跟踪非法入侵者的活动,
检测非法入侵者的来源、目的、非法访问的网络资源,
判断非法入侵的危害,确定处理此类非法入侵活动的
方法。
江西蓝天学院 计算机网络技术教程
32
罗少彬 编著
9.5 网络安全问题的鉴别
鉴别网络安全问题可以从 5个方面进行,
访问点( access points)
系统配臵( system configuration)
软件缺陷( software bugs)
内部威胁( insider threats)
物理安全性( physical security)
江西蓝天学院 计算机网络技术教程
33
罗少彬 编著
网络访问点的结构
...
?÷?ú 1
1¤×÷??
?? óò í? 1
2| o? ?? ?·
רó? ?? ?·
·? ?ê μ? 2
·? ?ê μ? 3
·? ?ê μ? 1
?·óé ?÷1
?? ?? ·t ?? ?÷
modem
?÷?ú 2
?? óò í? 2
?·óé ?÷2
modem
江西蓝天学院 计算机网络技术教程
34
罗少彬 编著
9.6 网络防火墙技术
9.6.1 防火墙的基本概念
防火墙是在网络之间执行安全控制策略的系统,它包
括硬件和软件;
设臵防火墙的目的是保护内部网络资源不被外部非授
权用户使用,防止内部受到外部非法用户的攻击。
江西蓝天学院 计算机网络技术教程
35
罗少彬 编著
防火墙的位置与作用
·t ?? ?÷
ía 2? í? ??
·à ?e ??
·t ?? ?÷
?ú 2? í? ??
江西蓝天学院 计算机网络技术教程
36
罗少彬 编著
防火墙通过检查所有进出内部网络的数据包,检查数
据包的合法性,判断是否会对网络安全构成威胁,为
内部网络建立安全边界;
构成防火墙系统的两个基本部件是:包过滤路由器
( packet filtering router)和应用级网关( application
gateway);
最简单的防火墙由一个包过滤路由器组成,而复杂的
防火墙系统由包过滤路由器和应用级网关组合而成;
由于组合方式有多种,因此防火墙系统的结构也有多
种形式。
江西蓝天学院 计算机网络技术教程
37
罗少彬 编著
9.6.2 防火墙的主要类型
包过滤路由器
包过滤路由器按照系统内部设臵的包过滤规则(即访
问控制表),检查每个分组的源 IP地址、目的 IP地址,
决定该分组是否应该转发;
包过滤规则一般是基于部分或全部报头的内容。例如,
对于 TCP报头信息可以是:源 IP地址, 目的 IP地址、
协议类型, IP选项内容, 源 TCP端口号, 目的 TCP
端口号, TCP ACK标识等。
江西蓝天学院 计算机网络技术教程
38
罗少彬 编著
包过滤路由器的结构
江西蓝天学院 计算机网络技术教程
39
罗少彬 编著
应用级网关
多归属主机又称为多宿主主机,它具有两个或两个以
上的网络接口,每个网络接口与一个网络连接,具有
在不同网络之间交换数据的路由能力。
如果多归属主机连接了两个网络,它可以叫做双归属
主机。只要能确定应用程序访问控制规则,就可以采
用双归属主机作为应用级网关,在应用层过滤进出内
部网络特定服务的用户请求与响应。
应用代理是应用级网关的另一种形式,它是以存储转
发方式检查和确定网络服务请求的用户身份是否合法,
决定是转发还是丢弃该服务请求。
江西蓝天学院 计算机网络技术教程
40
罗少彬 编著
应用级网关的结构
Internet
?ú 2? í? ??
·t ?? ?÷
1¤×÷??
í? ?? ?ó ?ú
ó| ó? 3ì Dò
·? ?ê ?× ??
ía 2? í? ??
í? ?? ?ó ?ú
ó| ó? ?? í? 1×
·à ?e ??
江西蓝天学院 计算机网络技术教程
41
罗少彬 编著
应用代理的工作原理
ía 2? í? ??
′ú àí ·t ?? ?÷
·à ?e ??
?ú 2? í? ??
?? ?y ·t ?? ?÷
Internet
?í ?§
êμ ?ê μ? á? ?ó
Dé ?a μ? á? ?ó
êμ ?ê μ? á? ?ó
江西蓝天学院 计算机网络技术教程
42
罗少彬 编著
9.6.3 主要的防火墙产品
Checkpoint公司的 Firewall-1防火墙
Sonic System公司的 Sonicwall防火墙
NetScreen公司的 NetScreen防火墙
Alkatel公司的 Internet Device防火墙
NAI公司的 Gauntlet防火墙
江西蓝天学院 计算机网络技术教程
43
罗少彬 编著
9.7 网络文件的备份与恢复
9.7.1 网络文件备份与恢复的重要性
网络数据可以进行归档与备份;
归档是指在一种特殊介质上进行永久性存储;
网络数据备份是一项基本的网络维护工作;
备份数据用于网络系统的恢复。
江西蓝天学院 计算机网络技术教程
44
罗少彬 编著
9.7.2 网络文件备份的基本方法
选择备份设备
选择备份程序
建立备份制度
在考虑备份方法时需要注意的问题,
如果系统遭到破坏需要多长时间才能恢复?
怎样备份才可能在恢复系统时数据损失最少?
江西蓝天学院 计算机网络技术教程
45
罗少彬 编著
9.8 网络防病毒技术
9.8.1 造成网络感染病毒的主要原因
70%的病毒发生在网络上;
将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事
件约占 41%左右;
从网络电子广告牌上带来的病毒约占 7%;
从软件商的演示盘中带来的病毒约占 6%;
从系统维护盘中带来的病毒约占 6%;
从公司之间交换的软盘带来的病毒约占 2%;
其他未知因素约占 27%;
从统计数据中可以看出,引起网络病毒感染的主要原因在于网络
用户自身。
江西蓝天学院 计算机网络技术教程
46
罗少彬 编著
9.8.2 网络病毒的危害
网络病毒感染一般是从用户工作站开始的,而网络服
务器是病毒潜在的攻击目标,也是网络病毒潜藏的重
要场所;
网络服务器在网络病毒事件中起着两种作用:它可能
被感染,造成服务器瘫痪;它可以成为病毒传播的代
理人,在工作站之间迅速传播与蔓延病毒;
网络病毒的传染与发作过程与单机基本相同,它将本
身拷贝覆盖在宿主程序上;
当宿主程序执行时,病毒也被启动,然后再继续传染
给其他程序。如果病毒不发作,宿主程序还能照常运
行;当符合某种条件时,病毒便会发作,它将破坏程
序与数据。
江西蓝天学院 计算机网络技术教程
47
罗少彬 编著
9.8.3 典型网络防病毒软件的应用
网络防病毒可以从以下两方面入手:一是工作站,二
是服务器;
网络防病毒软件的基本功能是:对文件服务器和工作
站进行查毒扫描、检查、隔离、报警,当发现病毒时,
由网络管理员负责清除病毒;
网络防病毒软件一般允许用户设臵三种扫描方式:实
时扫描、预臵扫描与人工扫描;
一个完整的网络防病毒系统通常由以下几个部分组成:
客户端防毒软件、服务器端防毒软件、针对群件的防
毒软件、针对黑客的防毒软件。
江西蓝天学院 计算机网络技术教程
48
罗少彬 编著
9.8.4 网络工作站防病毒方法
采用无盘工作站
使用单机防病毒卡
使用网络防病毒卡
江西蓝天学院 计算机网络技术教程
49
罗少彬 编著
9.9 网络管理技术
9.9.1 网络管理的基本概念
网络管理涉及以下三个方面,
网络服务提供是指向用户提供新的服务类型、增加网
络设备、提高网络性能;
网络维护是指网络性能监控、故障报警、故障诊断、
故障隔离与恢复;
网络处理是指网络线路、设备利用率数据的采集、分
析,以及提高网络利用率的各种控制。
江西蓝天学院 计算机网络技术教程
50
罗少彬 编著
网络管理系统的基本结构,
管理对象
管理对象是经过抽象的网络元素,对应于网络中具体
可以操作的数据。
管理进程
管理进程是负责对网络设备进行全面的管理与控制的
软件。
管理协议
管理协议负责在管理系统与被管理对象之间传递与负
责操作命令。
江西蓝天学院 计算机网络技术教程
51
罗少彬 编著
管理信息库
管理信息库( MIB)是管理进程的一部分,用于记录
网络中被管理对象的状态参数值;
一个网络的管理系统只能有一个管理信息库,但管理
信息库可以是集中存储的,也可以由各个网络设备记
录本地工作参数;
网络管理员只要查询有关的管理信息库,就可获得有
关网络设备的工作状态和工作参数;
在网络管理过程中,使网络管理信息库中数据与实际
网络设备的状态、参数保持一致的方法主要有两种:
事件驱动与轮询驱动方法。
江西蓝天学院 计算机网络技术教程
52
罗少彬 编著
9.9.2 OSI管理功能域
配臵管理( configuration management)
故障管理( fault management)
性能管理( performance management)
安全管理( security management)
记账管理( accounting management)
江西蓝天学院 计算机网络技术教程
53
罗少彬 编著
9.9.3 简单网络管理协议 SNMP
Internet网络管理模型
网络管理进程
(网控中心)
管理代理
管理对象
管理代理
管理对象
...
外部代理
管理对象
外部代理
管理对象
...
江西蓝天学院 计算机网络技术教程
54
罗少彬 编著
SNMP管理模型的结构
江西蓝天学院 计算机网络技术教程
55
罗少彬 编著
9.10 小结
网络安全技术研究的基本问题包括:网络防攻击, 网
络安全漏洞与对策, 网络的信息安全保密, 网络内部
安全防范, 网络防病毒, 网络数据备份与灾难恢复;
网络安全服务应该提供保密性, 认证, 数据完整性,
防抵赖与访问控制服务;
制定网络安全策略就是研究造成信息丢失, 系统损坏
的各种可能, 并提出对网络资源与系统的保护方法;
防火墙是根据一定的安全规定来检查, 过滤网络之间
传送的报文分组, 以便确定这些报文分组的合法性;
网络管理则是指对网络应用系统的管理, 它包括配臵
管理, 故障管理, 性能管理, 安全管理, 记账管理等
部分 。
