Download
1 / 21
210 likes | 287 Views
本章重點. 16-1 網路管理的範圍 16-2 網路管理常用的通訊協定 16-3 帳號與權限管理 16-4 資料加密與解密 16-5 數位簽章 16-6 公開金鑰基礎建設 (PKI) 16-7 防火牆 16-8 加強網路層的安全 - IPsec 16-9 資訊安全管理. 前言. 話說 1980 年代初期 , 網路傳輸技術的發展開始引起世人的注目 , 許多公司發現到使用網路傳輸技術可以降低硬體上的投資成本 , 並帶來更高的生產力 , 便一窩蜂地建置各種網路系統 , 新的網路傳輸技術一問世馬上就有一大堆使用者搶著安裝。. 前言.
E N D
本章重點 • 16-1 網路管理的範圍 • 16-2 網路管理常用的通訊協定 • 16-3 帳號與權限管理 • 16-4 資料加密與解密 • 16-5 數位簽章 • 16-6 公開金鑰基礎建設 (PKI) • 16-7 防火牆 • 16-8 加強網路層的安全 - IPsec • 16-9 資訊安全管理
前言 • 話說 1980 年代初期, 網路傳輸技術的發展開始引起世人的注目, 許多公司發現到使用網路傳輸技術可以降低硬體上的投資成本, 並帶來更高的生產力, 便一窩蜂地建置各種網路系統, 新的網路傳輸技術一問世馬上就有一大堆使用者搶著安裝。
前言 • 直到 1980 年中期許多公司才開始發現到, 網路系統的過度擴張, 使得網路的管理與維護工作變得越來越棘手。 • 持續在網路建置上的投資不但沒有降低硬體上的總投資成本, 繁瑣的網路設定與維護, 反而還耗損了原有的生產力。 • 尤其是內部擁有多種不同網路系統的公司, 不同網路系統的組態設定各不相同, 維護時簡直是惡夢一場。也就是這樣人們才開始意識到, 網路管理 (簡稱網管) 應該有一套共通的準則與作法。
16-1 網路管理的範圍 • 16-1-1 網路管理架構 • 16-1-2 組態管理 (Configuration Management) • 16-1-3 故障管理 (Fault Management) • 16-1-4 效能管理 (Performance Management) • 16-1-5 安全管理 (Security Management) • 16-1-6 會計管理 (Accounting Management)
16-1-1 網路管理架構 • 那麼『網路管理』的範圍又包含那些項目呢?不同的網路設備廠商各有各的說法。 • 制定出 OSI 模型的『國際標準組織』(ISO, International Standards Organization,) 也不斷發表一系列網路管理相關的文件, 其中大家最常引用的則是 1989 年所發表的 ISO 7498-4 號文件, 此文件將網路管理規劃成五個項目, 這五個網路管理項目, 也就成了大家最常探討的網管主題:
16-2 網路管理常用的通訊協定 • 在網路系統運作正常的狀態下, 網路管理人員只要坐在自己的電腦面前, 便可以管理整個網路上各種重要的網路設備, 這得歸功於『網路管理通訊協定』的幫忙。 • 網路管理通訊協定可分為兩類, 第一類是用來修改遠端裝置組態的『遠端組態通訊協定』, 另一類則是用來監視網路運作狀態的『網路監控通訊協定』。
16-2-1 可用於遠端組態的通訊協定―Telnet 與 HTTP • 許多網路設備 (例如:路由器、防火牆、網路伺服器、網路印表機等) 都得完成複雜的組態設定後才能發揮出正常的功用, 但在節省成本的考量下, 這些的網路設備卻都沒有配備螢幕、鍵盤與滑鼠。 • 您得透過另一台電腦連上這些網路設備, 才能進一步修改或查看這些網路設備的組態設定。
16-3 帳號與權限管理 • 『讓必要的人員存取相關的資源, 將不相干的人員排除在外』是確保網路安全的執行方針。為了確保這點, 人們發展出兩種不同的管理方式: • 共享層級 (Share Level) 的管理方式 • 在空無一物的山壁前大喊一聲:『芝麻開門!』, 山壁應聲而開, 整山的寶藏就展現在您眼前。阿里巴巴與四十大盜的故事, 給了網路安全設計師靈感, 設計出這種安全模式。
帳號與權限管理 • 在這種安全模式下, 所有的網路資源都會依據某個密碼來決定要不要提供服務。只要有該網路資源的正確密碼, 就可以順利存取該網路資源。除此之外, 網路資源也可以依據不同的密碼提供使用者不同的存取權限。換句話說, 這是種認密碼不認人的安全機制。 • 因為每個網路資源都得個別設定它的密碼與存取權限, 所以這也是一種分散式的安全機制。Windows 95/98/ME 要分享出網路資源時, 便是採用這種安全機制:
16-4 資料加密與解密 • 16-4-1 資料安全機制的目標 • 16-4-2 不可還原的編碼函數 • 16-4-3 對稱金鑰加解密函數 • 16-4-4 非對稱金鑰加解密函數 • 16-4-5 雜湊函數
16-4-1 資料安全機制的目標 • 隨著網路的普及, 資料透過網路傳遞已是生活的一部份了。然而電子化的資料容易被複製、偽造、修改或破壞, 為了避免別人非法存取我們的資料, 資料安全機制應運而生。資料安全機制的目標有: • 完整無誤 (Integrity) • 確認從網路收到的資料是正確的, 途中沒有被篡改或變造。
16-5 數位簽章 • 在實際的網路應用場合上, 若 A 君想以自己的名義發表一份電子文件, 那他就可以在文件末尾附上『數位簽章』(Digital Signature), 證明這份文件確實是自己發出的, 並可確保文件內容不會被篡改。要解釋數位簽章為何有這樣的功能之前, 我們得先瞭解數位簽章是如何產生的。
16-6 公開金鑰基礎建設 (PKI) • 簡言之, 公開金鑰基礎建設 (PKI, Public Key Infrastructure) 泛指將公鑰加解密相關技術實用化時, 所需的一切規範與建設。 • 或許讀者會疑惑:為何要特別規範呢?因為當人們想把這些技術廣泛應用到日常生活時, 發現面臨了以下問題:
公開金鑰基礎建設 (PKI) • 既然可以將公鑰公布給大眾知道, 那麼應該將公鑰存放在哪部電腦?又該透過什麼管道公布呢?難道得自己架設一部 24 小時不關機的網站, 並在在各大媒體刊登廣告, 通知大家來下載嗎? • 如何防止某乙以自己的公鑰冒充某甲的公鑰?如果多個網站都有某甲的公鑰, 如何辨識哪一把才是正牌的公鑰?
16-7 防火牆 • 近年來由於網際網路的蓬勃發展, 大部分的區域網路都會與其連線, 以利存取豐富的資源。不過, 既然您可以連接到他人的電腦, 相對地, 他人也可以連上您的電腦。換言之, 在享受網際網路便利的同時, 也必須冒著將電腦暴露在外的風險。 • 防火牆的目的便是在內部網路與外部網路之間, 建立一道防衛的機制, 避免有心人士從外部網路侵入。
16-8 加強網路層的安全 - Ipsec • 有鑑於網際網路的資料安全日益重要, 但是各家廠商往往使用專屬的技術來處理, 並無通用的解決方案, 彼此不相容的問題造成使用者的困擾。於是IETF (Internet Engineering Task Force) 組織制定IPsec 協定, 作為保護 IP 封包安全性的通用標準。 • 原始的構想是將 IPsec 應用在 IPv6, 不過事實上, 它也可以應用在 IPv4。一般預料, 在未來網際網路的資料安全議題上, IPsec 將佔有舉足輕重的地位。本節將對 IPsec 做一番觀念性的介紹, 以作為日後深入研究的基礎。
16-8-1 IPsec 的內容 • 從技術面來看, IPsec 協定包含了以下 3 種主要協定: • ISAKMP(Internet Security Association and Key Management Protocol) 協定 • 主要用來決定加密與解密時所使用的密鑰 (Secret Key)。在傳送端和接收端都擁有密鑰之後, 雙方才開始傳輸、接收資料。由於這部分頗為複雜, 因此不在本書說明。有興趣深入瞭解的讀者, 請參考 RFC2408 文件。
16-9 資訊安全管理 • 隨著資訊時代的來臨, 現代化企業也越來越倚重資訊系統 (包括網路系統), 此時, 資訊安全也成了企業組織營運上的關切焦點。 • 對許多公司行號來說, 資訊安全的落實不但是公司內部的重點, 更是對外的金字招牌-- 若您必須將某些重要的資訊交付給某家公司代為處理, 您也會希望該公司有著完善的資訊安全制度, 以確保您的重要資訊不會遭到竊取或濫用。
資訊安全管理 • 以企業管理的角度來看, 為了落實資訊安全, 我們必須建立完善的 ISMS (Information Security Management System, 資訊安全管理系統), 然後依據這套系統來管理資訊安全:
