1、第八章 网络安全管理,在网络的安全性讨论中,人们将对网络构成的威胁分为有意造成的危害和无意造成的危害,而有意危害网络安全的主要有3种人:故意破坏者、不遵守规则者、刺探秘密者。 故意破坏者企图通过各种手段去破坏网络资源与信息,例如涂抹别人的主页、修改系统配置与造成系统瘫痪。 不遵守规则者企图访问不允许他访问的系统,他可能仅仅是到网中看看,找些资料,也可能想盗用别人的计算机资源(如CPU资源)。 刺探秘密者的企图非常明确,它通过非法手段侵入他人计算机系统,以窃取商业秘密与个人资料。,网络管理功能, 配置管理 配置管理是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络的状态。网络是经
2、常需要变化的,需要调整网络配置的原因很多,主要有以下几点: 根据用户需求,增加新的资源与设备,调整网络的规模,以增强网络的服务能力。 在故障排除过程中影响到部分网络的结构。 通信子网中某个节点的故障会造成网络上节点的减少与路由的改变。 配置管理就是用来识别、定义、初始化、控制与监测通信网中的管理对象。配置管理是网络管理中对管理对象的变化进行动态管理的核心。当配置管理软件接到网络管理员或其他管理功能设施的配置变更请求时,配置管理服务首先确定管理对象的当前状态并给出变更合法性的确认,然后对管理对象进行变更操作,最后要验证变更确实已经完成。 故障管理 故障管理是用来维持网络的正常运行的。网络故障管理
3、包括及时发现网络中发生的故障,找出网络故障产生的原因,必要时启动控制功能来排除故障。控制功能包括诊断测试、故障修复或恢复、启动备用设备等。 故障管理是网络管理功能中与检测设备故障、差错设备的诊断、故障设备的恢复或故障排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。 常用的故障管理工具有网络管理系统、协议分析器、电缆测试仪、冗余系统、数据档案和备份设备等。, 性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。性能管理指标通常包括网络响应时间、吞吐量、费用和
4、网络负载。 对于性能管理,通过使用网络性能监视器(硬件和软件),能够给出一定性能指示的直方图。利用这一信息,预测将来对硬件和软件的需求,验明潜在的需要改善的区域,以及潜在的网络故障。 记账管理 记账管理主要对用户使用网络资源的情况进行记录并核算费用。 在企业内部网中,内部用户使用网络资源并不需要交费,但是记账功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用等内容。 通过记账管理,可以了解网络的真实用途,定义它的能力和制定政策,使网络更有效。 安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够快速检测未授权
5、的资源使用,并查出侵入点,对非法活动进行审查与追踪;能够使网络管理人员恢复部分受破坏的文件。 在安全管理中可以通过使用网络监视设备,记录使用情况,报告越权或提供对高危险行为的警报。,加密技术与认证技术,加密技术,(1).按将明文转换成密文的操作类型可分为::置换密码和易位密码。置换密码:将明文的每个元素映射成其它元素。易位密码:对明文的元素进行重新布置。 (2)按明文的处理方法可分为::分组密码和序列密码。 分组密码:一次处理一块输入元素,每个输入块生成一个输出块。 序列密码:对输入元素进行连续处理,每次输出一个输出块。 (3)按密钥的使用个数可分为: 对称密码体制和非对称密码体制。对称密码体
6、制:发送方使用的加密密钥和接受方使用的解密密钥相同。非对称密码体制:发送方使用的加密密钥和接受方使用的解密密钥不相同。,消息认证在计算机网络中,用户A将消息送给用户B,用户B需要确定收到的消息是否来自A,而且还要确定来自A的消息有没有被别人修改过,有时用户A也要知道发送出去的消息是否正确的到达了目的地。消息认证就是消息的接收者能够检验收到的消息是否真实的方法。 身份认证 通信和数据系统的安全性取决于能否正确地验证终端用户的个人身份。如自动取款机,以及各种计算机资源系统的接入都需要对用户的个人身份进行识别认可。身份认证是用来获得对谁或对什么事情信任的一种方法。 身份认证大致可分为三类: (1)个
7、人知道的某种事物,如口令,帐号。 (2)个人持证:如令牌,钥匙,护照。 (3)个人特征:指纹,视网膜,笔迹。,数字签名,消息认证和身份认证解决了通信双方防止第三者伪装和破坏问题。随着计算机通信网络的发展,人们希望通过电子设备实现快速,远距离的交易,数字签名技术应运而生,解决了通信双方抵赖等问题,广泛用于商业通信系统,如电子邮件,电子商务等。 数字签名和手写签名类似,只不过手写签名是模拟的,因人而异,数字签名是0和1的数字串,因消息而异。数字签名和消息认证的区别是:消息认证使收方能验证消息发送者及其所发的消息是否被篡改过。当收发双方有利害冲突时,单纯用消息认证就无法解决了,此时,必须借助于数字签
8、名。数字签名有两种,一种是经过密码变换的被签消息整体;另一种是附加在被签消息之后的一段签名图样。,防火墙技术,防火墙的概念 目前保护网络安全最主要的手段之一是构筑防火墙,防火墙(firewall)在计算机界是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害,是近年来日趋成熟的保护计算机网络安全的重要措施。防火墙是一种隔离控制技术,它的作用是在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,防火墙也可以被用来阻止保密信息从企业的网络上被非法传出。,防火墙的实现技术,根据防火墙所采用的技术不同,我们可以将它分为3种基本类型:包过滤型、代理型和监测型。
9、1. 包过滤型(网络层防火墙) 包过滤技术是防火墙的一种最基本的实现技术,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/IP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显
10、的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。,2. 代理型(应用层网关防火墙) 代理服务技术是防火墙技术中使用得较多的技术,也是一种安全性能较高的技术,它的安全性要高于包过滤技术,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代
11、理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 3. 监测型(状态检测防火墙) 监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比
12、例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。,防火墙系统的基本组件,1. 屏蔽路由器(Screening Router) 屏蔽路由器,也称包过滤防火墙,是根据安全的需要,对所有要通行的IP包进行过滤和路由的一台路由器。一般屏蔽路由器会允许内部网络的IP包发往Internet,Internet网上发来的IP包,则要仔细检查,根据路由器上的访问控制表(ACL),有选择性地允许或阻止它们的通行。 值得注意的是,屏蔽路由器不具备监控和权限认证功能,最多能做一些简单的流量的记录,所以只能提供简单的、机械的安全防范工作。 2. 壁垒主机(Basti
13、on Host) 壁垒主机也称为双宿网关防火墙。壁垒主机的硬件是一台普通的主机,软件上配置了代理服务程序,从而具备强大、完备的安全功能,它是内部网络与Internet之间的通信桥梁。它中继所有的网络通信服务,并具有授权认证、访问控制、日志记录、审计报告和监控等功能。 壁垒主机应配置尽量大的内存和硬盘,删除任何不必要的账号,移走任何与安全功能无关的文件和可执行程序,增强登录监视和日志记录的能力。 3. 应用网关(Application Gateway) 应用网关是在一台双目主机上的运行应用网关代理服务程序。代理某种Internet网络服务并进行安全检查,每一个应用网关代理服务程序都是为一种网络应
14、用服务而定制的程序,如FTP代理、Telnet代理、SMTP代理等。应用网关是建立在应用层上的具有协议过滤和转发功能的一种防火墙。 系统地针对某一个(或多个)应用服务协议指定数据过滤逻辑,并同时对数据包分析的结构及采取的措施作登录和统计并形成报告。,入侵检测技术,防范网络攻击最常用的方法就是防火墙,但仅仅使用防火墙保障网络安全是远远不够的,就像深宅大院虽有高大的院墙,却不能挡住小老鼠甚至是家贼的偷袭。因为首先入侵者可以寻找防火墙背后可能敞开的后门;其次防火墙完全不能阻止内部袭击,对于企业内部心怀不满的员工来说防火墙形同虚设;第三,由于性能的限制,防火墙通常不能提供实时的入侵检测能力。另外,防火
15、墙对于病毒也是束手无策的。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。,入侵检测系统的分类,1.按分析信息来源分类 (1)基于主机的入侵检测系统 (2)基于网络的入侵检测系统 (3)基于应用的入侵检测系统 2.按分析技术分类 (1)基于异常的入侵检
16、测技术 (2)基于特征的入侵检测技术,目前IDS存在的缺陷,1.误报率高 2.产品适应能力低 3.大型网络的管理问题 4.缺少防御功能 5.评价IDS产品没有统一标准 6.处理速度上的瓶颈,防病毒技术,计算机病毒概述 计算机病毒,是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。与生物病毒一样,电脑病毒具有传染性和破坏性;但是,与之不同的是,它不是天然存在的,而是一段比较精巧严谨的代码,按照严格的程序组织起来,与所在的系统或网络环境相适应并与之配合,是人为特制的具有一定长度的程序。,计算机病毒的种类, 宏病毒 文件型病毒 引导型病毒 混合病毒 多态病毒 隐秘病毒 反制病毒 特洛伊木马程序 蠕虫程序,病毒的传播, 通过共享资源传播 通过网页恶意脚本传播 通过网络文件传输FTP传播 通过电子邮件传播,网络病毒的特点, 破坏性强 传播性强 具有潜伏性和可激发性 针对性强 扩散面广,
