网络安全与网络管理 课件.ppt

《网络安全与网络管理 课件.ppt》由会员分享，可在线阅读，更多相关《网络安全与网络管理 课件.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全与网络管理 第1页，此课件共29页哦10.1 网络面临的安全问题10.1.1 网络安全事件的内因 网络的安全事件是外部威胁和攻击作用于网络脆弱环节的结果，也是各项安全管理和法律保障不健全造成的恶果。广泛开放带来的脆弱性首先，任何运行TCP/IP协议的机器都可以进入网络。其次，TCP/IP协议的现行版本IPv4自身缺乏安全性。第三，因特网允许匿名通信。引进新技术、新软件和新设备带来的脆弱性在引进新技术、新软件和新设备时，往往对其中的安全缺陷不甚了解，同时限于知识产权问题，不能得到完整的技术资料和源程序；安全检测困难，不易发现安全隐患；难以发现故意埋下的攻击性信息或计算机病毒；利用软件版本

2、升级或更换软件内容之机，潜入破坏性的信息或窃取机密信息等都会危害网络的安全。第2页，此课件共29页哦操作系统和数据库管理系统的安全级别不高操作系统多为引进版，尤其是美国垄断计算机的操作系统。操作系统的安全级别不高，C2级难以保证信息系统的安全。某些设备阻止攻击的能力薄弱防火墙只能增强网络安全，不能保证其安全。防火墙不是对付攻击的铜墙铁壁，防火墙技术上的漏洞和薄弱环节会导致内联网络与外部网络不能有效的隔离。如果没有仔细地设计和维护路由器的合理配置，就有可能引入附加的脆弱性。在有些情况下，最大的危险并不一定来自外部的攻击，而往往来自内部用户的威胁。防火墙是防外不防内。因此，要提高防火墙的安全性，除

3、了采用合理的网络配置之外，更重要的是管理人员所具备的安全知识、安全意识、所执行的安全规程和为保护安全所采取的安全措施。第3页，此课件共29页哦安全协议和安全标准没有形成合理的体系因特网上的安全标准和协议仍处于发展完善阶段。安全标准和协议众多，为统一安全标准和协议，尤其是协调电子商务实用化的发展，国际上大约30家主要软件和硬件供应商共同组成一个组织Rosett Net，着手制定统一的电子商务标准和协议。网络设备和线路的电磁泄漏和电磁干扰任何电气设备中的信息会通过电磁波泄漏出去，同时会由于受到各种电磁干扰或强电干扰而受损，特别是在非常时期或信息战攻击的情况下，网络受攻击的可能性最大。第4页，此课件

4、共29页哦10.1.2 网络安全事件的外因 网络所受威胁和攻击是造成安全事件的外因1各种自然因素（包括自然灾害）、事故和人为错误的威胁（1）自然因素各种自然灾害：如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等。网络的环境和场地条件，如温度、湿度、电源、地线和其他防护设施不良造成的威胁。电磁辐射和电磁干扰的威胁。网络硬件设备自然老化，可靠性下降的威胁等。（2）人为因素操作失误：操作不当、误用介质、设置错误。意外损失：电力线搭接、电火花干扰。编程缺陷：经验不足、检查漏项、不兼容文件。意外丢失：被盗、被非法复制、丢失介质。管理不善：维护不利、管理松驰。无意破坏：无意损坏、意外删除等。第5页，

5、此课件共29页哦2国外敌对势力对安全的威胁工业间谍:工业间谍的出现可能非常高，这主要是由于国际环境决定的，他们利用我们对网络的依赖和技术上的优势，寻求在政治、经济、军事、外交等广泛领域内的利益。信息战:网络是一个丰富的容易接入的信息源。情报收集一般都是抽取所需的信息而不向信息拥有者说明。国外情报部门和商业部门利用网络收集情报，改变已存在的文件或插入错误文件的可能性是很大的。3各种计算机犯罪的威胁（1）智能性（2）隐蔽性（3）多样性（4）严重性第6页，此课件共29页哦10.1.3 人员的素质和安全意识有待全面的提高人是各个安全环节最重要的因素，全面提高人员的技术水平、道德品质、政治觉悟和安全意识

6、是网络安全最重要的保证人相当于一个复杂的信息处理系统,人员的教育、培养、训练以及合理的人机界面都与网络的安全相关。第7页，此课件共29页哦10.1.4 网络的安全监控和评估有待加强网络涉及各行各业，网络的安全监控和评估有待进一步加强。美国于1983年8月15日提出“可信计算机系统评估准则”（TCSEC），随后欧洲、加拿大等国相继制订安全评估准则。国际标准化组织（ISO）于1996年4月23日正式纳入CC1.0版本的研究。第8页，此课件共29页哦10.2 网络的安全框架和对策10.2.1 安全含义 在美国国家信息基础设施（NII）的最新文献中，明确给出安全的5个属性:可用性可用性（Availab

7、ility）：信息和通信服务在需要时允许授权人或实体使用。可靠性可靠性（Reliability）：系统在规定条件下和规定时间内完成规定功能的概率。完整性完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。保密性保密性（Confidentiality）：防止信息泄漏给非授权个人或实体，信息只为授权用户使用。不可抵赖性不可抵赖性（Non-Repudiation）：也称作不可否认性，在一次通信中，参与者的真实同一性。第9页，此课件共29页哦其中，可靠性是网络安全最基本的要求之一。网络可靠性的测试主要有三种：网络的抗毁性、网络的生存性和网络的有效性。网络的

8、安全不仅是防范窃密活动，将保密性作为重点，而是全面的网络安全观念，即是把可靠性、可用性、完整性和不可抵赖性作为与保密性同等重要的安全观念。应该从观念上、政策上作必要的调整，全面规划和实施网络和信息的安全。第10页，此课件共29页哦10.2.2 安全框架安全框架给出了网络安全体系的基本构成，主要包括以下三个层次：安全技术层、安全管理层和政策法规层。政策法规层保护安全管理层和安全技术层。安全管理层保护安全技术层。政策法规层主要包括引进、采购和入网政策上的安全性要求、制定各项安全政策和策略、制定安全法规和条例、打击国内外的犯罪分子，依法保障通信网和信息安全等。第11页，此课件共29页哦10.2.3

9、安全对策1根据安全需求制订安全计划2进行风险分析和风险评估风险分析至少要考虑以下3个问题：（1）网络的哪些部分将面临风险。（2）会发生哪些灾难。（3）发生灾难的可能性有多大。风险评估至少要考虑以下4个问题：（1）更换通信设备和系统的实际费用。（2）生产运营损失。（3）机会损失。（4）信誉损失等。第12页，此课件共29页哦3根据需要建立安全策略 就网络而言，安全策略应关注以下几个方面：（1）增强网络的可靠性和可用性，保障通信畅通和业务运营，以满足通信的需要是网络安全最基本的要求。（2）满足网络信息的保密性、完整性和不可抵赖性的基本要求，采取有关的安全机制以保障信息网络安全。（3）加强网络备份和恢

10、复操作以及应急处理能力，保证网络在突发事件下的安全运行。（4）加大安全监控力度和安全审计功能，严格入网安全检测，完善网管功能，增强网络抗拒威胁和攻击的能力。（5）重点防范网络关键部位的安全，如接入点、信息中心、认证中心、管理中心、数据库、重点网站等采取相应的安全机制。（6）安全技术应随着科技进步和攻防技术的提高而动态发展，必须不断研究和更新安全技术，自主开发国产网络安全产品，才能确保网络安全。（7）强化安全管理人员的安全防范意识、杜绝安全隐患和漏洞。（8）协助国家有关部门完善安全政策和法规，严厉打击不法分子，建立安全的外部环境，保障网络安全。第13页，此课件共29页哦10.3 网络的安全服务和

11、安全机制网络的安全服务和安全机制10.3.1 安全服务安全服务安全服务大致有以下内容：1认证2对等实体认证3访问控制4强制访问控制5选定访问控制6标记7信息加密8信息的完整性9抗拒绝服务10业务的有效性11审计12不可抵赖第14页，此课件共29页哦10.3.2 安全机制安全机制主要包括以下内容：（1）加密机制加密机制:主要有链路加密、端端加密、对称加密、非对称加密、密码校验和密钥管理等。（2）数字签名机制数字签名机制:可以利用对称密钥体制或非对称密钥体制实现直接数字签名机制和仲裁数字签名机制。（3）存取控制机制存取控制机制:主要利用访问控制表、性能表、认证信息、资格凭证、安全标记等表示合法访问

12、权，并限定试探访问时间和路由及访问持续时间等。（4）信息完整性机制信息完整性机制:包括单个信息单元或字段的完整性和信息流的完整性。（5）业务量填充机制业务量填充机制:它包括屏蔽协议，实体通信的频率、长度、发端和收端的码型，选定的随机数据率，更新填充信息的参数等，以防止业务量分析，即防止通过观察通信流量获得敏感信息。（6）路由控制机制路由控制机制:路由可通过动态方式或预选方式，使用物理上安全可靠的子网、中继或链路。（7）公证机制公证机制:在通信过程中，信息完整性、信源、通信时间和目的地、密钥分配、数字签名等，均可以借助公证机制加以保证。第15页，此课件共29页哦1数据加密技术数据加密技术是最基本

13、网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程中被非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。根据密钥类型不同可将现代密码技术分为两类：对称加密算法（私钥密码体系）和非对称加密算法（公钥密码体系）。2防火墙技术防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其他网络的边界，接收进出被保护网络数据流，并根据防火

14、墙所配置访问控制策略进行过滤或作出相关操作。防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送的有价值的信息。目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。第16页，此课件共29页哦3网络安全扫描技术（1）网络远程安全扫描（2）防火墙系统扫描（3）Web网站扫描（4）系统安全扫描4网络入侵检测技术网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的

15、数据包过滤掉取.网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应.通过网络安全检测技术和防火墙系统结合，可以实现一个完整的网络安全解决方案。第17页，此课件共29页哦5黑客诱骗技术黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（Honeypot）系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。6总结在上述网络安全技术中，数

16、据加密是其他一切安全技术的核心和基础。在实际网络系统的安全实施中，可以根据系统的安全需求，配合使用各种安全技术来实现一个完整的网络安全解决方案。因特网的安全将会始终伴随着因特网的发展成为人们关注的焦点。第18页，此课件共29页哦10.4 网络防火墙概述 10.4.1 因特网防火墙防火墙主要有以下优点：（1）防火墙能强化安全策略。（2）防火墙能有效地记录因特网上的活动。（3）防火墙限制暴露用户点。（4）防火墙是一个安全策略的检查站。防火墙也有以下缺点：（1）防火墙不能防范恶意的知情者。（2）防火墙不能防范不通过它的连接。（3）防火墙不能防备全部的威胁。（4）防火墙不能防范病毒。第19页，此课件共

17、29页哦10.4.2 防火墙设计1数据包过滤屏蔽路由器放置在内联网与因特网之间，其作用为：（1）屏蔽路由器需要执行转发及确定转发的任务，而且它是惟一的保护系统。（2）如果安全保护失败，内联网将被暴露。（3）简单的屏蔽路由器不能修改任务。（4）屏蔽路由器能容许或否认服务，但它不能保护在一个服务之内的单独操作。如果这第20页，此课件共29页哦2代理服务代理服务是运行在防火墙主机上的专门的应用程序，或者称服务程序。所谓代理就是一个提供替代连接并且充当服务的网关。透明是代理服务的一大优点。代理服务有两个主要的部件：代理服务器和代理客户。代理服务器的作用不仅仅是转送用户的请求以得到因特网的服务，代理服务

18、器还能控制用户做些什么，因为是它来决定处理的请求。更先进的代理服务可以允许不同的主机有不同的代理能力，而不在所有主机上都执行一样的限制。第21页，此课件共29页哦10.4.3 防火墙体系结构防火墙的体系结构一般有以下几种：（1）双重宿主主机体系结构。（2）被屏蔽主机体系结构。（3）被屏蔽子网体系结构。第22页，此课件共29页哦10.5 代理服务器简介代理服务器的主要功能有：（1）连接因特网与内联网充当防火墙。（2）节省IP开销。如前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。（3）提高访问速度。第23页，此课件共29页哦10.6 网络管理10.6.1 网

19、络管理的功能1性能管理（1）收集统计信息。（2）维护并检查系统状态日志。（3）确定自然和人工状况下系统的性能。（4）改变系统操作模式以进行系统性能管理的操作。2故障管理（1）维护并检查错误日志。（2）接收错误检测报告并作出响应。（3）跟踪、辨认错误。（4）执行诊断测试。（5）纠正错误。第24页，此课件共29页哦3配置管理配置管理是维护网络正常有序运行的重要手段。它初始化网络并配置网络，以使其提供网络服务。目的是为了实现某个特定功能或使网络性能达到最优。4计费管理计费管理负责记录网络资源的使用，目的是控制和监测网络操作的费用和代价。5安全管理安全管理是网络管理中非常重要的内容。网络安全管理应包括

20、对授权机制、访问控制、加密和加密关键字的管理，另外还要维护和检查安全日志。第25页，此课件共29页哦10.6.2 网络管理协议简述1SNMP网络管理协议简述SNMP是一个简单网络管理协议，是使用户能够通过轮询、设置一些关键字和监视某些网络事件来达到网络管理目的的一种网络协议。SNMP的结构分为SNMP管理者（SNMP Manager）和SNMP代理（SNMP Agents）两部分。改进后的SNMP有以下特点：（1）PDU在改进后的SNMP中增加了两种新的数据原语。（2）改进后的SNMP支持SNMP中的集中式网络管理机制，用一台管理器进行全网管理，或者将网络分割成若干小单元，每个单元中使用一台管

21、理器进行管理。同时，在改进后的SNMP中还支持分布式管理策略。（3）通过加密和认证技术，改进后的SNMP提供了更强的安全能力。第26页，此课件共29页哦2CMIP管理协议简述CMIP协议是在OSI制订的网络管理框架基础上提出的网络管理协议。这个体系包含以下组成部分：一套用于描述协议的模型，一组用于描述被管对象的注册、标识和定义的管理信息结构，被管对象的详细说明以及用于远程管理的原语和服务。CMIP和SNMP一样，也是由被管代理和管理者、管理协议和管理信息库组成。CMIP的优点在于：（1）它的变量不仅传递信息，而且还可完成一定的网络管理任务，这样就减少了管理者的负担和网络负载。（2）在安全性方面，它拥有验证、访问控制和安全日志等一整套管理方法。CMIP同样存在缺点：（1）资源占用量大，对硬件设备的要求高。（2）由于它在网络代理上要运行相当数量的进程，所以大大增加了网络代理的负担。（3）它的MIB库过分复杂，难于实现。第27页，此课件共29页哦思考题1简述网络面临的安全问题。2安全的属性有哪些？3安全机制主要包括哪些内容？4屏蔽路由器的作用是什么？5代理服务的优点有哪些？6防火墙的体系结构有几种？其特点是什么？7叙述网络管理的功能。第28页，此课件共29页哦第29页，此课件共29页哦