[精选]网络安全与网络管理课程32707.pptx
-
资源ID:87202303
资源大小:2.02MB
全文页数:48页
- 资源格式: PPTX
下载积分:20金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
[精选]网络安全与网络管理课程32707.pptx
第7章 网络安全与网络管理袁津生袁津生 主编主编主要内容7.1 网网络络安全研究的主要安全研究的主要问题问题7.2 数据加密技数据加密技术术7.3 身份身份认证认证技技术术7.4 防火防火墙墙技技术术7.5 网网络络管理管理主要内容网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理。本章主要介绍数据加密技术、身份鉴别技术、防火墙技术以及网络管理技术。7.1 网络安全研究的主要问题网络安全研究的主要问题网络安全的概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续正常地运行,网络服务不中断。网络安全的特征网络安全的特征(1)保密性。信息不泄露给非授权用户、实体或过程,或供其利用的特性。(2)完整性。数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可用性。可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。(4)可控性。对信息的传播及内容具有控制能力。(5)可审查性。出现安全问题时提供依据与手段。网络安全研究的主要问题 1网络防攻击问题网络防攻击问题2网络安全漏洞与对策问题网络安全漏洞与对策问题3网络中的信息安全保密问题网络中的信息安全保密问题4防抵赖问题防抵赖问题5网络内部安全防范问题网络内部安全防范问题6网络防病毒问题网络防病毒问题7垃圾邮件与灰色软件问题垃圾邮件与灰色软件问题8网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题7.2 7.2 数据加密技术数据加密技术数据加密的概念所谓数据加密技术是指将一个信息经过加密密钥及加密函数转换,变成没有任何规律的密文,而接收方则将此密文经过解密函数、解密密钥还原成明文。密码学是包含两个分支:密码编码学和密码分析学。密码编码学是对信息进行编码,实现隐蔽信息;密码分析学是研究一门分析和破译密码的学问。在网络信息传输过程中,当需要对消息进行保密操作时,就需要密码编码学对信息进行保密处理。密码体制 密码体制也叫密码系统,是指能完整地解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不可抵赖性等问题的。一个密码体制由明文、密文、密钥、加密和解密运算这四个基本要素构成。对称加密技术 对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。大多数古典算法属于对称密码体制,例如凯撒加密机制、维吉尼亚算法、简单替换、多表替换算法等。现代对称密码算法有DES(数据加密标准)、3DES、AES(高级加密标准)、IDEA等。对称加密技术在对称加密系统中,加密和解密采用相同的密钥。非对称加密技术 非对称密码体制也叫公钥加密技术。在公钥加密系统中,加密和解密使用两个不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,因此称为公钥密码体制。非对称加密的工作过程公钥加密系统的主要功能:机密性、确认、数据完整性、不可抵赖性。公钥密钥的密钥管理比较简单,可方便的实现数字签名和验证。但算法复杂,加密数据的速率较低。密文Y E 运算加密算法D 运算解密算法加密解密明文 X明文 X ABB 的私钥 SKB密文Y 因特网B 的公钥 PKB7.3 7.3 身份认证技术身份认证技术身份认证技术身份认证是指计算机及网络系统确认用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。只有实现了有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。身份认证概述 在真实世界中,验证一个用户的身份主要通过以下三种方式:所知。、所有、本身特征。在计算机网络安全领域,将认证(Authentication)、授权(Authorization)与审计(Accounting)统称为AAA或3A。基于密码的身份认证 密码通常由一组字符串来组成,为便于用户记忆,一般用户使用的密码都有长度的限制。但出于安全考虑,在使用密码时需要注意以下几点:(1)不使用默认密码;(2)设置足够长的密码;(3)不要使用结构简单的词或数字组合;(4)增加密码的组合复杂度;(5)使用加密;(6)避免共享密码;(7)定期更换密码。1.一次性密码技术一次性密码技术 使用一次性密码技术可以防止重放攻击的发生,这相当于用户随身携带一个密码本,按照与目标主机约定好的次序使用这些密码。用户每一次登录系统所用的密码都是不一样的,攻击者通过窃听得到的密码无法用于下一次认证。当密码全部用完后再向系统管理员申请新的密码本。一次性密码技术有其安全的地方,但实际使用过程中很不方便。如密码更改问题,初始化问题,本次密码全部使用完后,必须向管理员重新申请新的密码。2.动态口令技术动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫做动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。基于地址的身份认证 1地址认证地址认证基于地址的身份认证主要有IP地址认证和MAC地址认证。2智能卡认证智能卡认证智能卡也称IC卡,是由一个或多个集成电路芯片(包括固化在芯片中的软件)组成的设备,可以安全地存储密钥、证书和用户数据等敏感信息,防止硬件级别的窜改。智能卡芯片在很多应用中可以独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务,从而能够提高应用系统抗病毒攻击以及防止敏感信息的泄漏。生物特征身份认证 生物特征认证又称为“生物特征识别”,是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。1指纹认证指纹认证指纹是人的生物特征的一种重要的表现形式,具有“人人不同”和“终身不变”的特征,以及附属于人的身体的便利性和不可伪造的安全性。2虹膜认证虹膜认证虹膜(眼睛中的彩色部分)是眼球中包围瞳孔的部分,上面布满极其复杂的锯齿网络状花纹,而每个人虹膜的花纹都是不同的。虹膜识别技术就是应用计算机对虹膜花纹特征进行量化数据分析,用以确认被识别者的真实身份。数字签名 数字签名(Digital Signature)又称公钥数字签名或电子签章,是以电子形式存储于信息中或逻辑上与之有联系的数据,用于辨识数据签署人的身份,并表明签署人对数据中所包信息的认可。基于公钥密码体制和私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制的数字签名。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名工作原理 数字签名经常采用一种称为摘要的技术,摘要技术主要是采用HASH(哈希)函数。HASH函数提供了一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串(称为HASH值),将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。7.4 7.4 防火墙技术防火墙技术防火墙的概念防火墙的概念防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。防火墙位于外部网络和内部网络之间。外部网络位于防火墙的外面,内部网络位于防火墙的里面。一般都把防火墙里面的网络称为“可信任网络”,而把防火墙外面的网络称为“不可信任的网络”。防火墙的位置与作用 防火墙的功能防火墙的功能(1)防火墙是网络安全的屏障一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。(2)防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。(3)对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙的种类 根据防范方式和侧重点的不同可将防火墙分为:包过滤防火墙、应用级代理防火墙、电路级代理防火墙。包过滤防火墙工作在IP层,根据IP分组的IP头及部分传输层的头部信息,对分组是否满足访问控制规则进行判定,从而对分组做出转发或丢弃的操作。应用级代理防火墙工作在OSI 参考模型的应用层及表示层。应用级代理服务器为各种不同的网络应用提供定制的网络服务。电路级代理是在客户和服务器之间不解释应用协议即建立回路。包过滤防火墙 应用级代理防火墙 防火墙的体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,它能从一个网络接收IP数据包并将之发往另一网络。屏蔽主机体系结构由包过滤路由器和堡垒主机组成。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系周边网络。双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 7.57.5网络管理网络管理网络管理的概念网络管理的概念网络管理是指规划、监督、设计和控制网络资源使用和网络的各种活动,以使网络的性能达到最优。网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制。网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理。通过网络管理可以控制用户的访问、跟踪用户与网络的连接,改变网络登录口令,记录网络访问历史等,从而为网络提供一个安全的环境。网络管理的基本功能 网络管理应包含以下基本功能:故障管理、计费管理、配置管理、性网络管理应包含以下基本功能:故障管理、计费管理、配置管理、性能管理和安全管理。能管理和安全管理。1故障管理故障管理当网络发生故障时,必须尽可能快地找出故障发生的确切位置,将网络其它部分与故障部分隔离,以确保网络其它部分能不受干扰继续运行。故障管理的主要功能有告警检测、故障定位、测试、业务恢复以及维修等,同时还要维护故障目标。2计费管理计费管理记费管理是正确的计算和接收用户使用网络服务的费用,进行网络资源使用的统计和网络成本效益的计算。在有偿使用的网络上,计费管理功能统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息;另一方面,计费管理功能还可以统计不同线路和各类资源的利用情况。网络管理的基本功能3配置管理配置管理配置管理是网络管理最基本的功能,负责监测和控制网络的配置状态。就是在网络建立、扩充、改造和运行的过程中,对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。配置管理包括以下功能:(1)定义配置信息(2)设置并修改属性值(3)定义和修改关系(4)初始化和关闭网络(5)软件分发(6)网络规划和资源管理网络管理的基本功能4性能管理性能管理性能管理的具体内容包括:从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能分析的模型,预测网络性能的长期趋势。性能管理的目的是保证网络的有效运营和连续可靠的通信能力。5安全管理安全管理安全管理的目的是确保网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。安全管理提供信息的保密、认证和完整性保护机制,使网络中的服务数据和系统免受侵扰和破坏。安全管理具有风险分析、安全服务、告警、日志和报告功能以及网络管理系统保护等主要功能。网络管理系统组成 网络管理系统一般采用管理者管理代理的模型。通过管理进程与一个远程系统相互作用实现对远程资源的控制。网络管理系统有5个要素:网络管理者、网管代理、被管对象、网络管理协议和管理信息库(MIB)。网络管理者驻留在管理工作站上,一般位于网络系统的主干或接近主干的位置,它负责发出管理操作的指令,并接收来自网络代理的信息。网管代理是一个软件模块,驻留在被管设备上。网管代理的功能是把来自网络管理者的命令或信息的请求转换成设备特有的指令,完成网络管理者的指示或把所在设备的信息返回到网络管理者。网络管理系统组成被管对象可以是被管设备中的某个硬件,也可以是硬件或软件的配置参数的集合。用于网络管理者和管理代理之间传递信息,并完成信息交换安全控制的通信规约就成为网络管理协议。管理站和管理代理者之间通过网络管理协议通信,网络管理者进程通过网络管理协议来完成网络管理。管理信息库MIB(Management Information Base)是一个信息存储库,所有被管理对象的信息都放在MIB上。被管理对象是指能被管理的所有实体(网络、设备、线路、软件等)。网络管理的一般模型 管理站因特网网络管理员 被管设备 管理程序(运行 SNMP 客户程序)代理程序(运行 SNMP 服务器程序)AAAAM 被管设备 被管设备 被管设备MAA 被管设备网管协议SNMP协议 简单网络管理协议SNMP是由因特网工程任务组IETF定义的一套网络管理协议。利用SNMP,一个管理工作站可以远程管理所有支持这种协议的网络设备,包括监视网络状态、修改网络设备配置、接收网络事件警告等。SNMP是管理进程和代理进程之间的通信协议。它规定了在网络环境中对设备进行监视和管理的标准化管理框架、通信的公共语言、相应的安全和访问控制机制。网络管理员使用SNMP功能可以查询设备信息、修改设备的参数值、监控设备状态、自动发现网络故障、生成报告等。SNMP网络架构由三部分组成:管理进程、代理进程和管理信息库。SNMP 的典型配置SNMPUDPIP管理进程网络接口网络管理员MIB管理站路由器SNMPUDPIP代理进程网络接口TCPFTP 等用户进程主机因特网SNMPUDPIP代理进程网络接口TCPFTP 等用户进程主机SNMPUDPIP代理进程网络接口SNMP协议1管理进程管理进程管理进程是网络中的管理者,是一个利用SNMP协议对网络设备进行管理和监视的系统。管理进程可以向代理进程发出请求,查询或修改一个或多个具体的参数值。同时,管理进程可以接收代理进程主动发送的信息,以获知被管理设备当前的状态。2代理进程代理进程代理进程是网络设备中的一个应用模块,用于维护被管理设备的信息数据并响应管理进程的请求,把管理数据汇报给发送请求管理进程。代理进程接收到管理进程的请求信息后,完成查询或修改操作,并把操作结果发送给管理进程,完成响应。3管理信息库管理信息库管理信息库可以看作是管理进程和代理进程之间的一个接口,通过这个接口,管理进程可以对管理代理中的每一个被管理对象进行读/写操作,从而达到管理和监控设备的目的。思考题1简述网络安全具备的5个特征。2简述对称加密技术和非对称加密技术的异同点。3设计一个算法完成对一段文字的加密过程。4简述身份认证的概念及实现的技术。5为什么要在网络系统中建立防火墙,它的主要作用是什么?6防火墙系统的实现技术有哪些,它们有何特点?举例说明。7简述网络管理的5大功能。8简述网络管理系统的组成。9SNMP网络架构由哪几部分组成?每部分的基本功能是什么?10上网查找资料,撰写一篇有关网络安全的文章。演讲完毕,谢谢观看!