1 / 97

第六章 网络信息安全基础

第六章 网络信息安全基础. 6.1网络管理. 网络管理的概念. 网络管理 ,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及 可操作性 。. 网络管理的概念. 随着网络的迅猛发展,伴随而来的是对网络的有效控制越来越重要,而网络控制的主要方面表现在以下 3 个方面:  ①网络设备的复杂化和多样化是网络管理变的更加复杂化。  ②网络的经济效益越来越依存于网络的有效管理。  ③可靠先进的网络管理也就是网络本身发展的必然结果。.

colorado-whitley
Download Presentation

第六章 网络信息安全基础

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第六章 网络信息安全基础 6.1网络管理

  2. 网络管理的概念 • 网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。

  3. 网络管理的概念 • 随着网络的迅猛发展,伴随而来的是对网络的有效控制越来越重要,而网络控制的主要方面表现在以下3个方面: • ①网络设备的复杂化和多样化是网络管理变的更加复杂化。 • ②网络的经济效益越来越依存于网络的有效管理。 • ③可靠先进的网络管理也就是网络本身发展的必然结果。

  4. 网络管理的概念 • SNMP管理技术 • SNMP是英文“Simple Network Management Protocol”的缩写,中文意思是“简单网络管理协议”。 • SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范,它们提供了一种从网络上的设备中收集网络管理信息的方法。

  5. 网络管理的概念 • RMON管理技术 • 为支持新的分布式结构,更高性能的应用和更多的用户而逐步发展的网络对网络管理解决方案的有效性产生巨大的影响,它还要求网络标准必须与联网技术的发展保持同步。目前有一种有效的低成本的网络管理解决方案正得到广泛的接受,那就是远程监控(RMON)标准。

  6. 网络管理的概念 • 基于WEB的网络管理 • 通过Web浏览器访问和显示信息已经成为受人喜爱的方法。轻松容易地组织和链接相关信息源的方式驱使Web浏览器进入几乎每一个被连接上的网络站点,也正是这些站点驱动着网络Web的管理技术。

  7. 网络管理的功能 • 故障管理 • 故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。

  8. 网络管理的功能 • 故障管理 • 应包括以下典型功能: • (1)故障监测 • (2)故障报警 • (3)故障信息管理

  9. 网络管理的功能 • 计费管理 • 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。

  10. 网络管理的功能 • 计费管理 • 应包括以下典型功能: • (1)计费数据采集 • (2)数据管理与数据维护 • (3)计费政策制定 • (4)政策比较与决策支持 • (5)数据分析与费用计算 • (6)数据查询

  11. 网络管理的功能 • 配置管理 • 配置管理是通过操作员对网络设备:交换机、路由器、防火墙等进行配置是网络按照组网图进行连通可以通讯,以及各种访问控制,部分病毒防御。提供VPN等各种网络服务。

  12. 网络管理的功能 • 配置管理 • 应包括以下典型功能: • (1)配置信息的自动获取 • (2)自动配置、自动备份及相关技术 • (3)配置一致性检查

  13. 网络管理的功能 • 性能管理 • 性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。

  14. 网络管理的功能 • 安全管理 • 安全管理(security management)。安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题: • ①网络数据的私有性(保护网络数据不被侵 入者非法获取), • ②授权(authentication)(防止侵入者在网络上发送错误信息), • ③访问控制(控制访问控制(控制对网络资源的访问)。

  15. 网络管理协议 • 随着网络的不断发展,规模增大,复杂性增加,简单的网络管理技术(SNMP)已不能适应网络迅速发展的要求。以往的网络管理系统往往是厂商在自己的网络系统中开发的专用系统,很难对其他厂商的网络系统、通信设备软件等进行管理,这种状况很不适应网络异构互联的发展趋势。20世纪80年代初期Internet的出现和发展使人们进一步意识到了这一点。研究开发者们迅速展开了对网络管理的研究,并提出了多种网络管理方案,包括HEMS、SGMP、CMIS/CMIP等。

  16. 网络设备的维护以及管理 • 随着各企业、单位信息化建设的发展,建设满足企业、单位等各应用业务的局域网网络逐渐增多,规模不断扩大,随着网上业务系统的不断增加,大家对网络的依赖程度也在增强,而综合布线系统作为网络运行的基础和高速数据传输的保障,在建设初始就应当受到高度的重视。同时在各服务器、应用系统正常运行的情况下,如何维护网络线路保障网络传输线路的稳定与正常,就显得尤其重要。

  17. 网络设备的维护以及管理 • 建立综合布线系统链路对应表 • 综合布线作为网络运行的基础和数据传输的保障,其重要性不言而喻。按规定综合布线一般是要在网络建设初始就进行规划设计,随着用户的需求和布线的具体环境不同,设计方案在实施时可能会有各种变化,但任何综合布线方案在设计时都要满足以下几点要求: 实用性、灵活性、扩展性、开放性。

  18. 网络设备的维护以及管理 • 光纤线路故障的查找 • ①任务描述 • ②任务分析 • ③检查光纤收发设备工作情况 • ④检查光纤的连通性 • ⑤分段检查光纤 • ⑥故障分析 • ⑦故障处理

  19. 网络设备的维护以及管理 • 光纤通信基础知识 • 光纤的分类 • 按照制造光纤所用的材料分:石英系光纤、多组分玻璃光纤、塑料包层石英芯光纤、全塑料光纤和氟化物光纤等。 • 按光在光纤中的传输模式分:单模光纤和多模光纤。

  20. 网络设备的维护以及管理 • 光纤通信基础知识 • 光缆类型 • 光缆是为了满足光学、机械或环境的性能规范而制造的,它是利用置于包覆护套中的一根或多根光纤作为传输媒质并可以单独或成组使用的通信线缆组件。光缆的类型有很多, 按敷设方式分有:自承重架空光缆,管道光缆,铠装地埋光缆和海底光缆;按光缆结构分有:束管式光缆,层绞式光缆,紧抱式光缆,带式光缆,非金属光缆和可分支光缆;按用途分有:长途通讯用光缆、短途室外光缆、混合光缆和建筑物内用光缆。

  21. 网络设备的维护以及管理 • 光纤通信基础知识 • 光纤接口 • 光纤的裸纤又细又脆,在连接设备时还必须保证接口完全对准纤心。因此必须有一个能保护光纤并保证光纤位置精度的接头,目前常用的光纤接头有:FC型光纤连接器、SC型光纤连接器、ST型光纤连接器、LC 型光纤连接器。

  22. 网络设备的维护以及管理 • 光纤通信基础知识 • 光纤跳线 • 光纤跳线用于光缆尾纤和交换机(光纤收发器)及交换机与交换机之间的连接,根据接口不同,常用的有LC-FC、FC-FC、FC-SC、SC-LC等,根据光纤传输模式类型可分为多模和单模光纤跳线,多模光纤跳线外皮颜色一般为橙红色,单模光纤跳线外皮颜色一般为黄色。

  23. 网络设备的维护以及管理 • 光纤通信基础知识 • 光纤传输模式 • 光纤跳线用于光缆尾纤和交换机(光纤收发器)及交换机与交换机之间的连接,根据接口不同,常用的有LC-FC、FC-FC、FC-SC、SC-LC等,根据光纤传输模式类型可分为多模和单模光纤跳线,多模光纤跳线外皮颜色一般为橙红色,单模光纤跳线外皮颜色一般为黄色。

  24. 网络设备的维护以及管理 • 节点和机房设备的安放设计 • 严格管理,贯彻始终 • 健全制度,依章行事 • 定期检修,重视完善 • 机房管理涉及多方面的问题,重视学习、加强宣传是提高机房管理效率的重要措施。

  25. 网络设备的维护以及管理 • 网络设备的基础配置管理 • ①交换机:交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。 • ②路由器:路由器(Router)是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。

  26. 网络设备的维护以及管理 • 路由访问控制管理 • 路由工作包含两个基本的动作: • ①确定最佳路径 • ②通过网络传输信息,在路由的过程中,后者也称为(数据)交换。交换相对来说比较简单,而选择路径很复杂。 • 路径选择 • 交换算法 • 访问控制列表管理

  27. 冗余 • 网络冗余 网络主要是由全部的节点设备以及设备之间的连接组成的。因此,网络中的故障也主要包括节点设备的故障与连接故障两种。常见的节点设备的故障有硬件故障和软件故障(如操作系统崩溃,内存溢出,路由协议不收敛等)。

  28. 冗余 • 冗余涉及的范围意义 • 网络冗余设备最好部署在不同的位置 • 网络冗余可以改善设备升级时的BUG • 冗余设备性能的考虑 • 在网络冗余的同时实现网络负载均衡

  29. 增值服务的规划和管理 • 增值服务的概念 • 网络增值服务(I VAP-internet Value-added Provision)是一种全新的网络服务方式,是一种全新的网络服务形式,提供这种服务的网络服务商不仅仅为企业在国际互联网上安个家,更将服务的重点放在如何使企业做成生意,获取利润。

  30. 增值服务的规划和管理 • 管理和运营增值项目 • 典型业务分析 •   目前,各类运营商都在NGN框架内积极开拓和试验新的业务。典型增值业务类型可包括: • 实时通信业务 • 交互式通信业务 • 交互式娱乐业务 • 传讯业务 • 内容传递业务

  31. 增值服务的规划和管理 • 增值业务发展趋势 • 展望增值业务的发展趋势,首先必须深入研究符合网络实际的业务商业模型和技术模型。应该说NGN和NGI的思路有所不同,NGI模型着重考虑的是智能终端和应用服务器之间的交互,NGN模型更多考虑的是智能网络和应用服务器之间的交互。我们认为,为了确保网络的收益,在业务层和网络层分离的前提下,仍然应充分利用网络运营商和用户之间可靠的客户关系,业务层应架构在网络控制层或边缘接入层之上,通过网络运营商作为代理建立与用户的商业关系。NGN和NGI提出了众多业务技术,我们认为,有必要遴选出有市场前景的技术,建立合理的业务平台,在采纳计算机网络开放性技术特征的基础上,继承电信网可靠管理和互操作性技术特征。

  32. 第六章 网络信息安全基础 6.2网络信息安全

  33. 信息安全概念 • 信息安全是指网络的硬件、软件和系统中的数据受到保护,不因为恶意或偶然的原因而遭到破坏、泄露、更改,系统可靠、连续、正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、密码技术、通信技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上来说,设计星系的保密性、完整性、真实性、可用性和可控性的行管技术和理论都是信息安全所研究的领域。

  34. 信息安全性等级 • 在20世纪90年代美国国防部所属的国家计算机安全中心(NCSC)提出了网络安全性标准(DoD5200.28_STD),即可信任计算机标准评估准则(Trusted Computer Standard Evaluation Criteria),也被称为“橘皮书”(Orange Book)

  35. 信息安全性等级 • 网络安全性标准(DoD5200.28_STD)

  36. 信息安全性等级 • 在我国以《计算机信息系统安全保护等级划分准则》(GB17859---1999)为指导,根据信息和信息系统在国家安全、社会生活、经济建设中的重要程度,遭到破坏后对国家安全、公共利益、社会秩序以及法人、公民和其他社会组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求以及信息系统必须达到的基本的安全保护水平等因素,将信息和信息系统的安全保护分为了5个等级。

  37. 信息安全性等级 • (1)第一级为自主保护剂,适用于一般的信息和信息系统,其受到破坏后,对法人、公民和其他组织的权益产生了一定影响,但不危害国家安全、经济建设、社会秩序和公共利益。 • (2)第二级为指导保护级,适用于一定程度上涉及国家安全、经济建设、社会秩序和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、经济建设、社会秩序和公共利益造成一定损害。

  38. 网络安全的目的 • 确保网络系统的信息安全是网络安全的最终目标,对于网络系统而言,主要包括两个方面:信息的存储安全和信息的传输安全。

  39. 网络安全的目的 • 在网络系统中,无论是调用指令,还是信息反馈,均是通过网络传输实现的,所以网络信息传输上的安全就显得尤为重要特别是要防止以下情况出现: • 对网络上信息的监听 • 对网络上信息的篡改 • 对信息进行重放 • 对发出的信息予以否认 • 对用户身份的假冒

  40. 计算机网络面临的安全威胁 • 计算机在网络上主要面临着四种威胁 • 截断(interception)攻击者从网络上窃听他人的通信内容。 • 中断(interruption)攻击者有意中断他人在网络上的通信。 • 篡改(modification)攻击者故意篡改网络上传输的数据报文。 • 伪造(fabrication)攻击者伪造信息在网络上传送。

  41. 计算机网络面临的安全威胁 • 上述的四种威胁可分为两大类,即主动攻击和被动攻击。 • 两者之间的主要区别在于: • 主动攻击是指攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击可进一步划分成更改报文流、拒接服务和伪造连接初始化三种。

  42. 计算机网络面临的安全威胁 • 还有一种特殊的主动攻击就是恶意程序(rogue program)的攻击。而已程序种类繁多,对网络安全威胁较大的主要有以下几种: • 计算机病毒(computer virus)一种会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 • 逻辑炸弹(logic bomb)一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如若一个编辑程序,平时运行很平稳,但每当系统时间为星期日时,它会主动删除系统内全部文件,这就是一个逻辑炸弹。 • 特洛伊木马(Trojan horse)他执行的功能并非是其所声称的功能而是某种恶意的功能。如一个编译程序除了执行编译程序的原本功能外,还会偷偷把源码复制下来并发送给目标邮箱。并且有些计算机病毒也是以特洛伊木马的形式出现。 • 计算机蠕虫(computer worm)一种通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动运行的程序。

  43. 信息安全策略 • 信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。 • 先进的信息安全技术是网络安全的根本保证。 • 制定严格的法律、法规。 • 严格的审计和安全管理措施。

  44. 信息安全策略 • 信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。 • 先进的信息安全技术是网络安全的根本保证。 • 制定严格的法律、法规。 • 严格的审计和安全管理措施。

  45. 第六章 网络信息安全基础 6.3加密技术

  46. 加密技术基础 • 研究各种加密方案的血河称为密码编译学,而加密方案则称为密码体质或密码。研究破译密码获得消息的学科称为密码分析学,也就是通常所说的“破译”。密码编码学和密码分析学统称为密码学。

  47. 加密技术基础 • 密码编码学 • 密码编码学具有3个独特的特征: • ①转换明文为密文的运算类型。 • ②所用的密钥数。 • ③处理明文的方法。

  48. 加密技术基础 • 密码分析学 • 攻击密码体质常用有两种方法。 • ①穷举攻击 • ②密码分析学

  49. 加密技术基础 • 无条件安全与计算上的安全 • 无论有多少可以使用的密文,都不足以唯一地地确定由该体质所产生的密文对应的明文,则加密体制是无条件安全的。也就是说无论分析者花费多少精力都不能将密文解密。 • 此加密算法的使用者应尽量满足以下标准。 • ①破译密码的时间超出密文信息的有效生命期。 • ②破译密码的代价超出密文信息的价值。

  50. 加密技术基础 • 代换与置换技术 • 代换和置换是几乎所有的对称加密都要用到的两种基本技巧。 • 代换法是将明文字母替换成其他字母、符号或数字的方法。典型的算法包括Caesar密码、单表代换密码、playfair密码、Hill密码、多表代换密码以及一次一米等。

More Related