第八章 网络安全管理.ppt

加密技术与认证技术
等级 D级
子级 别
功能
级别最低，保护措施少，没有安全功能；
Cl级
自主安全保护级，能够实现对用户和数据的分离，进行 自主存取控制，数据保护以用户组为单位；
C级
C2级
受控访问级，实现了更细粒度的自主访问控制，通过登 录规程、审计安全性相关事件以隔离资源。
B1级
标记安全保护级。对系统的数据进行标记，并对标记的 主体和客体实施强制存取控制；
网络管理功能
⑴ 配置管理 配置管理是指网络中每个设备的功能、相互间的连接关系和工作参数，它反映了网络
的状态。网络是经常需要变化的，需要调整网络配置的原因很多，主要有以下几 点： ① 根据用户需求，增加新的资源与设备，调整网络的规模，以增强网络的服务能力。 ② 在故障排除过程中影响到部分网络的结构。 ③ 通信子网中某个节点的故障会造成网络上节点的减少与路由的改变。 配置管理就是用来识别、定义、初始化、控制与监测通信网中的管理对象。配置管理 是网络管理中对管理对象的变化进行动态管理的核心。当配置管理软件接到网络 管理员或其他管理功能设施的配置变更请求时，配置管理服务首先确定管理对象 的当前状态并给出变更合法性的确认，然后对管理对象进行变更操作，最后要验 证变更确实已经完成。 ⑵ 故障管理 故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故 障，找出网络故障产生的原因，必要时启动控制功能来排除故障。控制功能包括 诊断测试、故障修复或恢复、启动备用设备等。 故障管理是网络管理功能中与检测设备故障、差错设备的诊断、故障设备的恢复或故 障排除有关的网络管理功能，其目的是保证网络能够提供连续、可靠的服务。 常用的故障管理工具有网络管理系统、协议分析器、电缆测试仪、冗余系统、数据档 案和备份设备等。
消息认证和身份认证解决了通信双方防止第三者伪装和 破坏问题。随着计算机通信网络的发展，人们希望通 过电子设备实现快速，远距离的交易，数字签名技术 应运而生，解决了通信双方抵赖等问题，广泛用于商 业通信系统，如电子邮件，电子商务等。
数字签名和手写签名类似，只不过手写签名是模拟的， 因人而异，数字签名是0和1的数字串，因消息而异。 数字签名和消息认证的区别是：消息认证使收方能验 证消息发送者及其所发的消息是否被篡改过。当收发 双方有利害冲突时，单纯用消息认证就无法解决了， 此时，必须借助于数字签名。数字签名有两种，一种 是经过密码变换的被签消息整体；另一种是附加在被 签消息之后的一段签名图样。
防火墙技术
防火墙的概念 目前保护网络安全最主要的手段之一是构筑防火
墙，防火墙（firewall）在计算机界是指一种逻 辑装置，用来保护内部的网络不受来自外界的 侵害，是近年来日趋成熟的保护计算机网络安 全的重要措施。防火墙是一种隔离控制技术， 它的作用是在某个机构的网络和不安全的网络 （如Internet）之间设置屏障，阻止对信息资源 的非法访问，防火墙也可以被用来阻止保密信 息从企业的网络上被非法传出。
3. 监测型（状态检测防火墙）
监测型防火墙是新一代的产品，监测型防火墙能够对各层的数据进行主动 的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够 有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还 带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节 点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中， 有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统 防火墙的定义，而且在安全性上也超越了前两代产品。
第八章 网络安全管理
在网络的安全性讨论中，人们将对网络构成的威胁分为 有意造成的危害和无意造成的危害，而有意危害网络 安全的主要有3种人：故意破坏者、不遵守规则者、刺 探秘密者。
故意破坏者企图通过各种手段去破坏网络资源与信息， 例如涂抹别人的主页、修改系统配置与造成系统瘫痪。
不遵守规则者企图访问不允许他访问的系统，他可能仅 仅是到网中看看，找些资料，也可能想盗用别人的计 算机资源（如CPU资源）。
B级
B2级
结构化安全保护级。建立形式化的安全策略模型，并对 系统内的所有主体和客体实施自主访问和强制访问控制
B3级
安全域。能够满足访问监控器的要求，提供系统恢复过 程。
A级 A1级 与B3级类似，但拥有正式的分析及数学方法。
加密技术
(1).按将明文转换成密文的操作类型可分为:：置换密码和易位密码。 置换密码：将明文的每个元素映射成其它元素。 易位密码：对明文的元素进行重新布置。
防火墙的实现技术
根据防火墙所采用的技术不同，我们可以将它分为3种基本类型：包 过滤型、代理型和监测型。
1. 包过滤型（网络层Βιβλιοθήκη Baidu火墙）
包过滤技术是防火墙的一种最基本的实现技术，其技术依据是网络 中的分包传输技术。网络上的数据都是以“包”为单位进行传输 的，数据被分割成为一定大小的数据包，每一个数据包中都会包 含一些特定信息，如数据的源地址、目标地址、TCP/IP源端口和 目标端口等。防火墙通过读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点，一旦发现来自危险站点的数 据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据 实际情况灵活制定判断规则。
防火墙系统的基本组件
1. 屏蔽路由器（Screening Router） 屏蔽路由器，也称包过滤防火墙，是根据安全的需要，对所有要通行的IP包进行过
滤和路由的一台路由器。一般屏蔽路由器会允许内部网络的IP包发往Internet， Internet网上发来的IP包，则要仔细检查，根据路由器上的访问控制表（ACL）， 有选择性地允许或阻止它们的通行。 值得注意的是，屏蔽路由器不具备监控和权限认证功能，最多能做一些简单的流量 的记录，所以只能提供简单的、机械的安全防范工作。 2. 壁垒主机(Bastion Host) 壁垒主机也称为双宿网关防火墙。壁垒主机的硬件是一台普通的主机，软件上配置 了代理服务程序，从而具备强大、完备的安全功能，它是内部网络与Internet之间 的通信桥梁。它中继所有的网络通信服务，并具有授权认证、访问控制、日志记 录、审计报告和监控等功能。 壁垒主机应配置尽量大的内存和硬盘，删除任何不必要的账号，移走任何与安全功 能无关的文件和可执行程序，增强登录监视和日志记录的能力。 3. 应用网关（Application Gateway） 应用网关是在一台双目主机上的运行应用网关代理服务程序。代理某种Internet网络 服务并进行安全检查，每一个应用网关代理服务程序都是为一种网络应用服务而 定制的程序，如FTP代理、Telnet代理、SMTP代理等。应用网关是建立在应用层 上的具有协议过滤和转发功能的一种防火墙。 系统地针对某一个（或多个）应用服务协议指定数据过滤逻辑，并同时对数据包分 析的结构及采取的措施作登录和统计并形成报告。
(2)按明文的处理方法可分为:：分组密码和序列密码。 分组密码：一次处理一块输入元素,每个输入块生成一个输出块。 序列密码：对输入元素进行连续处理,每次输出一个输出块。 (3)按密钥的使用个数可分为: 对称密码体制和非对称密码体制。
对称密码体制：发送方使用的加密密钥和接受方使用的解密密钥相 同。
非对称密码体制：发送方使用的加密密钥和接受方使用的解密密钥 不相同。
2. 代理型（应用层网关防火墙）
代理服务技术是防火墙技术中使用得较多的技术，也是一种安全性能较高 的技术，它的安全性要高于包过滤技术，并已经开始向应用层发展。代 理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从 客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看， 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据 时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服 务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系 统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤 害到企业内部网络系统。
户的个人身份。如自动取款机，以及各种计算机资源 系统的接入都需要对用户的个人身份进行识别认可。 身份认证是用来获得对谁或对什么事情信任的一种方 法。 身份认证大致可分为三类： （1）个人知道的某种事物，如口令，帐号。 （2）个人持证：如令牌，钥匙，护照。 （3）个人特征：指纹，视网膜，笔迹。
数字签名
⑶ 性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标，以检
验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈， 报告网络性能的变化趋势，为网络管理决策提供依据。性能管理 指标通常包括网络响应时间、吞吐量、费用和网络负载。 对于性能管理，通过使用网络性能监视器（硬件和软件），能够给 出一定性能指示的直方图。利用这一信息，预测将来对硬件和软 件的需求，验明潜在的需要改善的区域，以及潜在的网络故障。 ⑷ 记账管理 记账管理主要对用户使用网络资源的情况进行记录并核算费用。 在企业内部网中，内部用户使用网络资源并不需要交费，但是记账 功能可以用来记录用户对网络的使用时间、统计网络的利用率与 资源使用等内容。 通过记账管理，可以了解网络的真实用途，定义它的能力和制定政 策，使网络更有效。 ⑸ 安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能够利用 各种层次的安全防卫机制，使非法入侵事件尽可能少发生；能够 快速检测未授权的资源使用，并查出侵入点，对非法活动进行审 查与追踪；能够使网络管理人员恢复部分受破坏的文件。 在安全管理中可以通过使用网络监视设备，记录使用情况，报告越 权或提供对高危险行为的警报。
包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简 单的情况下，能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络 层的安全技术，只能根据数据包的来源、目标和端口等网络信息 进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程 序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址， 骗过包过滤型防火墙。
刺探秘密者的企图非常明确，它通过非法手段侵入他人 计算机系统，以窃取商业秘密与个人资料。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁／射频截获
人员疏忽 信息泄露 完整性破坏 截获／修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝，或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏，使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方，事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用，导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户，或系统自愿地放弃敏感信息 某一安全攸关的物品，如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中，使得在提供特定的输入 数据时，允许安全 策略被违反 含有察觉不出或无害程序段的软件，当它被运行时，会损害用户的安全
消息认证 在计算机网络中，用户A将消息送给用户B，用户B需 要确定收到的消息是否来自A，而且还要确定来自A的 消息有没有被别人修改过，有时用户A也要知道发送出 去的消息是否正确的到达了目的地。消息认证就是消 息的接收者能够检验收到的消息是否真实的方法。
身份认证 通信和数据系统的安全性取决于能否正确地验证终端用