1、第9章與網絡管理技術本章學習要求:了解：掌握：掌握：的重要性。體制的基本概念及應用。的基本概念。掌握：網絡檢測與防的基本概念與方法。掌握：網絡文件備份與恢復的基本方法。了解：網絡防治的基本方法。了解：網絡管理的基本概念與方法。的主要問題的重要性問題已經成為信息化社會的一個焦點問題；每個國家只能立足于本國，自己的技產術，培養自己的專門，發展自己的業，才能構筑本國的網絡與防范體系。39.1.2技術的主要問題網絡防問題；與對策問題；問題；網絡中的防抵賴問題；網絡內部安全防范問題；網絡防問題；網絡數據備份與恢復、恢復問題。41.網絡防技術服務（application dependen

2、對網絡提供某種服務的服務器發起tack） :，造成該網絡的“服務”，使網絡工作不正常;（application independentack） :非服務不針對某項具體應用服務，而是基于網絡層等低層協議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。5網絡防主要問題需要的幾個問題網絡可能遭到哪些人的？類型與可能有哪些？如何及時檢測并絡被？如何采取相應的策略與防護體系？62.與對策的網絡信息系統的運行涉及：計算機硬件與操作系統；網絡硬件與網絡數據庫管理系統；應用；網絡通信協議。也會表現在以上幾個方面。73.網絡中的問題信息安全與信息傳輸安全信息安全如何保證靜態在連網計算機中的信息不會被未的網絡用戶使

3、用；信息傳輸安全如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊；84.防抵賴問題防抵賴是防止信息源結點用戶對他發送的信息事后不承認，或者是信息目的結點用戶接收到信息之后不認賬；通過認證、數字簽名、數字信封、第確認等方法，來確保網絡信息傳輸的賴”現象出現。問題，防止“抵95.網絡內部安全防范網絡內部安全防范是防止內部具有合份的用戶有意或無意地做出對網絡與有害的行為；對網絡與有害的行為包括：有意或無意地泄露網絡用戶或網絡管理員口令；規定，繞過，私自和外部網絡連接，造成系統安全；網絡使用規定，越權查看、修改和刪除系統文件、應用程序及數據；網絡使用規定，越權修改網絡系統配置，造成網絡工作不正常；解決

4、來自網絡內部的不安全個方面入手。必須從技術與管理兩106.網絡防引導型可執行文件宏混合特洛伊木馬型ernet語言117.網絡數據備份與恢復、恢復問題如果出現網絡故障造成數據丟失，數據能不能被恢復？如果出現網絡因某種原因被損壞，重新設備的資金可以提供，但是原有系統的數據能不能恢復？129.1.3服務與安全標準服務應該提供以下基本的服務功能：（donfidentiality）數據認證（authentication）數據完整（dataegrity）防抵賴（non-repudiation）控制（acs control）13標準電子計算機系統安全規范，1987年10月保護條例，1991年5月著作權登記辦

5、法，1992年4月計算機信息與系統安全保護條例，計算機計算機中1994年2月管理暫行規定，1998年2月計算機信息系統關于互聯網安全決定，通過，2000年12月常務14民計算機系統評估準則TC-SEC-NCSC是1983年公布的，1985年公布了網絡說明（TNI）；計算機系統評估準則將計算機系統安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統的安全要求最低，A1級系統的安全要求最高。159.2加密與認證技術9.2.1算法與體制的基本概念數據加密與的過程16明文密文信息源結點密文明文信息目的結點過程加密過程體制是指一個系統所采用的基本工作方式以及它的兩個基本要素，即加

6、密/算法和密鑰；密鑰相同，也稱傳統為對稱體制所用的加密密鑰和體制；如果加密密鑰和體制；密鑰可以看作是密鑰不相同，則稱為非對稱算法中的可變參數。從數學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數學函數關系；算法是相對穩定的。在這種意義上，可以把算法視為常量，而密鑰則是一個變量；在設計加密系統時，加密算法是可以公開的，真正需要的是密鑰。17是含有一個參數k的數學變換，即C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數k稱為密鑰密文C是明文m 使用密鑰k 經過加密算法計算后的結果；18密鑰長度密鑰長度與密鑰個數19密鑰長度（位）組合個數40240=

7、109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.40282366920910389.2.2對稱密鑰（symmetric cryptography）體系對稱加密的特點密鑰加密過程過程明文密文明文209.2.3非對稱密鑰（asymmetric cryptography）體系非對稱密鑰體系的特點公鑰私鑰加密過程過程明文密文明文21非對稱加密的標準RSA體制被認為是目前為止理論上最為成一種公鑰體制。RSA體制多用在數字簽名、密鑰管理和認證等方面；Elgama

8、l公鑰體制是一種基于離散對數的公鑰體制；目前，許多商業產品采用的公鑰加密算法還有Diffie man密鑰交換、數據簽名標準DSS、橢圓曲線等 。229.2.4數字信封技術接收方接收方私鑰對稱密鑰過程被加密的密鑰對稱密鑰密文密文過程數據密文明文23發送方對稱密鑰加密過程明文數據密文接收方公鑰對稱密鑰加密過程被加密的密鑰9.2.5數字簽名技術24發送方明文發送方私鑰單向散列函數生成摘要加密過程明文信息摘要信息摘要接收方單向散列函數明文明文生成摘要身比較份認過程證發送方公鑰信息摘要信息摘要信息摘要信息摘要9.2.6認證技術的發展認證可以通過3種基本途徑之一或它們的組合實現：所知（knowledge）

9、: 個人所掌握的、口令；sesses）: 個人所有（匙；、護照、鑰個人特征（characteristics）:人的、聲紋、筆跡、手型、臉型、血型、視網膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統計學是利用個人所特有的生理特征來設計的；目前人們身材、的個人特征主要包括：容貌、膚色、發質、手印、腳印、唇印、顱相、口音、腳步聲、體味、視網膜、血型、遺傳因子、筆跡、性簽字、打字韻律，以及在外界刺激下的反應等。2技術的基本概念是在網絡之間執行安全控制策略的系統，它包括硬件和設置；的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部用戶的。26通過檢查所有進出

10、內部網絡的數據包，檢查數據包的，判斷是否會對威脅，為內部網絡建立安全邊界（security perimeter）；系統的兩個基本部件是濾路由器（packet filtering router）和應用級網關（application gateway）；最簡單的系統由由一個濾路由器組成，而復雜的濾路由器和應用級網關組合而成；由于組合方式有多種，因此種形式。系統的結構也有多279.3.2濾路由器濾路由器的結構28路由器按照系統內部設置的分組過濾規則（即控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉發；濾規則一般是基于部分或全部報頭的內容。例如，對于TCP報頭信息可以是：源IP地

11、址；目的IP地址；協議類型； IP選項內容；源TCP端目的TCP端；TCP ACK標識。29濾的工作流程y根據過濾規則確定包是否允許轉發轉發該包Ny是否是濾丟棄該包的最后一個規則N應用下一個濾規則30分析包參數設置濾規則濾路由器作為的結構內部網絡發送到外部網絡的包ernet濾路由器進入內部網絡的包外部網絡工作站31服務器（）假設策略規定：服務器（IP地址為，TCP內部網絡的為25）可以接收來自外部網絡用戶的所有電子端郵件；允許內部網絡用戶傳送到與外部電子郵件服務器的電子郵件；所有與外部網絡中名字為TESTHOST主機的連接。32濾規則表33規則過濾號方向動作源主機地址源端目的端目的主機地址協議

12、描述1進入阻塞TESTHOST*阻塞來自 TESTHOST的所有數據包2輸出阻塞*TESTHOST*阻塞所有到 TESTHOST的數據包3進入允許*102325TCP允許外部用戶傳送到內部網絡電子郵件服務器的數據包4輸出允許25*1023TCP允許內部郵件服務器傳送到外部網絡的電子郵件數據包9.3.3應用級網關的概念多歸屬主機（multihomed host）典型的多歸屬主機結構多歸屬主機多歸屬主機網卡1網卡2網卡3網絡1網絡2網絡3網絡1網絡2網絡334應用級網關35應用（application proxy）369.3.4的系統結構堡壘主機的概念一個雙歸屬主機作為應用級網關可以起到作用；的計

13、算機處于關鍵部位、運行應用級網關系統叫做堡壘主機。內部網絡發送到外部網絡的包ernet進入內部網絡的包應用級網關外部網絡工作站服務器（）37典型系統系統結構分析采用一個過濾路由器與一個堡壘主機組成的S-B1系統結構堡壘主機WWW服務器FTP服務器ernet濾路由器內部網絡工作站工作站文件服務器38濾路由器的轉發過程堡壘主機 0ernet過濾路由器內部網絡工作站文件服務器 39過濾路由器路由表目的IP轉發至IP0S-B1配置的系統中數據傳輸過程40系統（ S-B1-S-B1配置）結構示意圖采用多級結構的ernet外部網絡外部路由器濾過濾子網外堡壘主機內部濾內部網絡路由器內部網絡工作站內堡壘主機服

14、務器419.4網絡防與方法分析檢測技術9.4.1 網絡大致可以分為8種基本的類型：目前系統類緩沖區溢出；類服務；對利用木馬程序后門的。429.4.2檢測的基本概念rudetection system，IDS）是使用行為進行識別的系統；檢測系統（對計算機和網絡資源的它的目的是監測和發現可能存在的行為，包括來自系統外部的行為和來自內部用戶的非行為，并且采取相應的防護。43檢測系統IDS的基本功能：、分析用戶和系統的行為；檢查系統的配置和；評估重要的系統和數據文件的完整性；對異常行為的統計分析，識別；類型，并向網絡管理對操作系統進行審計、活動。管理，識別的用戶44檢測系統框架結構規則設計與修改更則處

15、理意見45歷活狀響應單元事件數據庫事件分析器提取規則史動態更新事件發生器事件9.4.3檢測的基本方法對各種事件進行分析，從中發現安全策略的行為是檢測系統的功能；檢測系統按照所采用的檢測技術可以分為：異常檢測誤用檢測兩種方式的結合469.5網絡文件備份與恢復技術9.5.1網絡文件備份與恢復的重要性網絡數據可以進行歸檔與備份；歸檔是指在一種特殊介質上進行性；網絡數據備份是一項基本的網絡工作；備份數據用于網絡系統的恢復。479.5.2網絡文件備份的基本方法選擇備份設備選擇備份程序建立備份制度在考慮備份方法時需要注意的問題：如果系統遭到破壞需要多長時間才能恢復？怎樣備份才可能在恢復系統時數據損失最少？

16、489.6網絡防技術9.6.170%的造成網絡發生在網絡上；的主要原因將用戶家庭微型機軟盤帶到網絡上運行而使網絡的事件約占41%左右；上約占7%；約占6%；約占6%；從網絡電子牌上帶來的從從商的演示盤中帶來的盤中帶來的約占2%；從公司之間交換的軟盤帶來的約占27%；其他未知從統計數據中可以看出，引起網絡因在于網絡用戶自身。的主要原499.6.2網絡的危害網絡 務器是要場所；一般是從用戶工作站開始的，而網絡服潛在的目標，也是網絡潛藏的重網絡服務器在網絡事件中起著兩種作用：它可能被，造成服務器癱瘓；它可以成為的代理人，在工作站之間迅速與蔓延；網絡的傳染與發作過程與單機基本相同，它將本身拷貝覆蓋在宿

17、主程序上；當宿主程序執行時，給其他程序。如果也被啟動，然后再繼續傳染不發作，宿主程序還能照常運行；當符合某種條件時，序與數據。便會發作，它將破壞程509.6.3典型網絡防的應用網絡防可以從以下兩方面入手：一是工作站，二是服務器；網絡防的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、由網絡管理員負責清除、；，當發現時，網絡防一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描；一個完整的網絡防系統通常由以下幾個部分組成：客戶端防毒、服務器端防毒、針對群件的防毒、針對的防毒。519.6.4網絡工作站防方法采用無盤工作站使用單機防卡使用網絡防卡529.7 網絡管理技術9.7.1網絡管理的

18、基本概念網絡管理涉及以下三個方面：網絡服務提供是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能；網絡故障是指網絡性能與恢復；、故障、故障、網絡處理是指網絡線路、設備利用率數據析，以及提高網絡利用率的各種控制。、分539.7.2OSI管理功能域配置管理（configuration management）故障管理（fault management）性能管理（performance management）安全管理（security management）記賬管理（accounting management）549.7.3簡單網絡管理協議SNMPernet網絡管理模型.55管理對象管理對象外部外部管理管理對象管理管理對象網絡管理進程（網控中心）簡單網絡管理協議SNMP56小結要使網絡有序、安全的運行，必須加強網絡使用方法、技術與道德教育，完善網絡管理，研究與開發新的技術與產品；技術基本問題包括：網絡防、網、網絡絡安全與對策、網絡中的內部安全防范、網絡防恢復；、網絡數據備份與服