1、計算機網絡1第9章網絡安全與網絡管理技術2本章學習要求:了解：網絡安全的重要性理解：密碼體制的基本概念及應用掌握：防火墻的基本概念掌握：網絡入侵檢測與防攻擊的基本概念與方法掌握：網絡文件備份與恢復的基本方法了解：網絡病毒防治的基本方法了解：網絡管理的基本概念與方法 39.1 網絡安全研究的主要問題9.1.1 網絡安全的重要性 網絡安全問題已經成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網絡安全技術，培養自己的專門人才，發展自己的網絡安全產業，才能構筑本國的網絡與信息安全防范體系。 49.1.2 網絡安全技術研究的主要問題 網絡防攻擊問題 網絡安全漏洞與對策問題網絡中的信息安

2、全問題防抵賴問題 網絡內部安全防范問題 網絡防病毒問題 垃圾郵件與灰色軟件問題網絡數據備份與恢復、災難恢復問題51. 網絡防攻擊技術服務攻擊（application dependent attack） : 對網絡提供某種服務的服務器發起攻擊，造成該網絡的“拒絕服務”，使網絡工作不正常;非服務攻擊（application independent attack） : 不針對某項具體應用服務，而是基于網絡層等低層協議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。6網絡防攻擊主要問題需要研究的幾個問題網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安

3、全策略與網絡安全防護體系？72. 網絡安全漏洞與對策的研究網絡信息系統的運行涉及：計算機硬件與操作系統網絡硬件與網絡軟件數據庫管理系統應用軟件網絡通信協議網絡安全漏洞也會表現在以上幾個方面。 8網絡安全漏洞的存在是不可避免的； 網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標； 網絡安全研究人員與網絡管理人員也必須主動地了解本系統的計算機硬件與操作系統、網絡硬件與網絡軟件、數據庫管理系統、應用軟件，以及網絡通信協議可能存在的安全問題，利用各種軟件與測試工具主動地檢測網絡可能存在的各種安全漏洞，并及時地提出對策與補救措施。 93. 網絡中的信息安全問題信息存儲安全與信息傳輸安全 信息存儲安全 如

4、何保證靜態存儲在連網計算機中的信息不會 被未授權的網絡用戶非法使用；信息傳輸安全 如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊； 10信息傳輸安全問題的四種基本類型11數據加密與解密的過程 124. 防抵賴問題防抵賴是防止信息源結點用戶對他發送的信息事后不承認，或者是信息目的結點用戶接收到信息之后不認賬；通過身份認證、數字簽名、數字信封、第三方確認等方法，來確保網絡信息傳輸的合法性問題，防止“抵賴”現象出現。 135. 網絡內部安全防范網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為；對網絡與信息安全有害的行為包括： 有意或無意地泄露網絡用戶或網絡管理

5、員口令； 違反網絡安全規定，繞過防火墻，私自和外部網絡連接，造成 系統安全漏洞； 違反網絡使用規定，越權查看、修改和刪除系統文件、應用程 序及數據； 違反網絡使用規定，越權修改網絡系統配置，造成網絡工作不 正常；解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手。146. 網絡防病毒 引導型病毒可執行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒 157. 垃圾郵件與灰色軟件目前網絡垃圾郵件幾乎達到失控的地步；“灰色軟件”包括間諜程序、廣告程序、后門程序、下載程序、植入程序等。 Internet中灰色軟件的危害威脅已呈急劇上升的趨勢； 2005年，垃圾郵件繼續泛濫，由此引

6、起的網絡釣魚攻擊越演越烈； 2006年，流氓軟件成為人們注意的新的焦點。 168. 網絡數據備份與恢復、災難恢復問題如果出現網絡故障造成數據丟失，數據能不能被恢復？如果出現網絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統的數據能不能恢復？一個實用的網絡信息系統的設計中必須有網絡數據備份、恢復手段和災難恢復策略與實現方法的內容，這也是網絡安全研究的一個重要內容。 179.1.3 網絡安全標準 電子計算機系統安全規范，1987年10月計算機軟件保護條例，1991年5月計算機軟件著作權登記辦法，1992年4月中華人民共和國計算機信息與系統安全保護條例， 1994年2月計算機信息系統保密

7、管理暫行規定，1998年2月關于維護互聯網安全決定，全國人民代表大會常務 委員會通過，2000年12月18可信計算機系統評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網絡說明（TNI）；可信計算機系統評估準則將計算機系統安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統的安全要求最低，A1級系統的安全要求最高。 199.2 加密與認證技術 9.4.1 密碼算法與密碼體制的基本概念 數據加密與解密的例子 20密碼體制是指一個系統所采用的基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰；傳統密碼體制所用的加密密鑰和解密密鑰相同，也稱為對

8、稱密碼體制；如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制；密鑰可以看作是密碼算法中的可變參數。從數學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數學函數關系；密碼算法是相對穩定的。在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量；在設計加密系統時，加密算法是可以公開的，真正需要保密的是密鑰。 21什么是密碼 密碼是含有一個參數k的數學變換，即 C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數k稱為密鑰密文C是明文m 使用密鑰k 經過加密算法計算后的結果；加密算法可以公開，而密鑰只能由通信雙方來掌握。22密鑰長度密鑰長度與密鑰個數

9、密鑰長度（位）組合個數40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038239.2.2 對稱密鑰密碼體系 對稱加密（symmetric cryptography）的特點 249.2.3 非對稱密鑰密碼體系 非對稱密鑰（asymmetric cryptography）密碼體系特點25非對稱加密的標準 RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數字簽名、密鑰管理和認證等方面；El

10、gamal公鑰體制是一種基于離散對數的公鑰密碼體制；目前，許多商業產品采用的公鑰加密算法還有Diffie Hellman密鑰交換、數據簽名標準DSS、橢圓曲線密碼等 。269.2.4 數字信封技術 279.4.6 數字簽名技術 28例子假設生成單向散列函數的辦法是： 對一段英文消息中字母a、e、h、o出現的次數進行計數，生成的消息摘要的值H取字母a、e、h的出現次數相乘，再加上字母o出現的次數的運算結果。那么，對于一段英文消息： the combination to the safe is two，seven，thirty-five.按照生成的消息摘要值的規則： H0=（263）+4 = 40

11、如果有人截獲了這段消息，并把它修改為： You are being followed , use back roads hurry.按照生成的消息摘要值的規則： H=（341）+4 = 16通過檢查消息摘要值的方法可以發現發送的消息是否被人篡改。299.2.6 身份認證技術的發展 身份認證可以通過3種基本途徑之一或它們的組合實現：所知（knowledge）: 個人所掌握的密碼、口令；所有（possesses）: 個人身份證、護照、信用卡、鑰匙；個人特征（characteristics）:人的指紋、聲紋、筆跡、手型、臉型、血型、視網膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統計學

12、是利用個人所特有的生理特征來設計的；目前人們研究的個人特征主要包括：容貌、膚色、發質、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網膜、血型、遺傳因子、筆跡、習慣性簽字、打字韻律，以及在外界刺激下的反應等。 309.3 防火墻技術 9.3.1 防火墻的基本概念防火墻是在網絡之間執行安全控制策略的系統，它包括硬件和軟件；設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。 31防火墻通過檢查所有進出內部網絡的數據包，檢查數據包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界（security perimeter）；構成防火墻

13、系統的兩個基本部件是： 包過濾路由器（packet filtering router） 應用級網關（application gateway）最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統由包過濾路由器和應用級網關組合而成；由于組合方式有多種，因此防火墻系統的結構也有多種形式。329.3.2 包過濾路由器 包過濾路由器的結構 33路由器按照系統內部設置的分組過濾規則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉發；包過濾規則一般是基于部分或全部報頭的內容。例如，對于TCP報頭信息可以是： 源IP地址 目的IP地址 協議類型 IP選項內容 源TCP端口號

14、目的TCP端口號 TCP ACK標識 34包過濾的工作流程35包過濾路由器作為防火墻的結構 36假設網絡安全策略規定：內部網絡的E-mail服務器（IP地址為192.1.6.2，TCP端口號為25）可以接收來自外部網絡用戶的所有電子郵件；允許內部網絡用戶傳送到與外部電子郵件服務器的電子郵件；拒絕所有與外部網絡中名字為TESTHOST主機的連接。 37包過濾規則表 389.3.3 應用級網關的概念 多歸屬主機（multihomed host） 典型的多歸屬主機結構 39應用級網關 40應用代理（application proxy） 419.3.4 防火墻的系統結構 堡壘主機的概念 一個雙歸屬主機

15、作為應用級網關可以起到防火墻作用；處于防火墻關鍵部位、運行應用級網關軟件的計算機系統叫做堡壘主機。 42典型防火墻系統系統結構分析 采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統結構 43包過濾路由器的轉發過程 44S-B1配置的防火墻系統中數據傳輸過程 45采用多級結構的防火墻系統（ S-B1-S-B1配置）結構示意圖469.4 網絡防攻擊與入侵檢測技術 9.4.1 網絡攻擊方法分析 目前黑客攻擊大致可以分為8種基本的類型： 入侵系統類攻擊 緩沖區溢出攻擊 欺騙類攻擊 拒絕服務攻擊 對防火墻的攻擊 利用病毒攻擊 木馬程序攻擊 后門攻擊479.4.2 入侵檢測的基本概念入侵檢測系統I

16、DS是對計算機和網絡資源的惡意使用行為進行識別的系統；它的目的是監測和發現可能存在的攻擊行為，包括來自系統外部的入侵行為和來自內部用戶的非授權行為，并且采取相應的防護手段。48入侵檢測系統IDS的基本功能：監控、分析用戶和系統的行為；檢查系統的配置和漏洞；評估重要的系統和數據文件的完整性；對異常行為的統計分析，識別攻擊類型，并向網絡管理人員報警； 對操作系統進行審計、跟蹤管理，識別違反授權的用戶活動。49入侵檢測系統框架結構 509.4.3 入侵檢測的基本方法 對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能；入侵檢測系統按照所采用的檢測技術可以分為： 異常檢測 誤用檢測

17、 兩種方式的結合51基于主機的入侵檢測系統的基本結構 52基于網絡的入侵檢測系統基本結構 539.5 網絡文件備份與恢復技術9.5.1 網絡文件備份與恢復的重要性 網絡數據可以進行歸檔與備份；歸檔是指在一種特殊介質上進行永久性存儲；網絡數據備份是一項基本的網絡維護工作；備份數據用于網絡系統的恢復。549.5.2 網絡文件備份的基本方法 選擇備份設備 選擇備份程序建立備份制度 在考慮備份方法時需要注意的問題：如果系統遭到破壞需要多長時間才能恢復？ 怎樣備份才可能在恢復系統時數據損失最少？ 559.6 網絡防病毒技術 9.6.1 造成網絡感染病毒的主要原因 70%的病毒發生在網絡上；將用戶家庭微型

18、機軟盤帶到網絡上運行而使網絡感染上病毒的事件約占41%左右；從網絡電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；從統計數據中可以看出，引起網絡病毒感染的主要原因在于網絡用戶自身。 569.6.2 網絡病毒的危害 網絡病毒感染一般是從用戶工作站開始的，而網絡服務器是病毒潛在的攻擊目標，也是網絡病毒潛藏的重要場所；網絡服務器在網絡病毒事件中起著兩種作用：它可能被感染，造成服務器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網絡病毒的傳染與發作過程與單機基本相

19、同，它將本身拷貝覆蓋在宿主程序上；當宿主程序執行時，病毒也被啟動，然后再繼續傳染給其他程序。如果病毒不發作，宿主程序還能照常運行；當符合某種條件時，病毒便會發作，它將破壞程序與數據。 579.6.3 典型網絡防病毒軟件的應用 網絡防病毒可以從以下兩方面入手：一是工作站，二是服務器；網絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發現病毒時，由網絡管理員負責清除病毒； 網絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描 ；一個完整的網絡防病毒系統通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。 589.6.4 網絡工作站防病毒方法 采用無盤工作站使用單機防病毒卡 使用網絡防病毒卡 599.7 網絡管理技術 9.7.1 網絡管理的基本概念 網絡管理涉及以下三個方面：網絡服務提供是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能；網絡維護是指網絡性能監控、故障報警、故障診斷、故障隔離與恢復；網絡處理是指網絡線路、設備利用率數據的采集、分析，以及提高網絡利用率的各種控制。 609.7.2 OSI管理功能域 配