第9章 网络管理与网络安全.ppt
合集下载
网络安全-公开课示范课件
计算机网络
计算机网络
非对称密钥加密体系(公开密钥)
设计一种新的加密算法,该算法拥有一对不同的加密 密钥E和解密密钥D。使得E和D之间具有如下性质:
1
2
3
对数据M 用E加密后 再用D解密 ,应当 以还原为 M;
E和D都是 易于计算 的
从E难以 推导出D 的结构
计算机网络
计算机网络
RSA算法是公开密钥加密体制的典型算法。该算法由 美国的Rivest、Shamir、Adleman三人于1978年提出。 RSA算法的设计依据:可以较容易地获得两个大的质 数,而将它们的乘积分解并还原则极为困难。 优点:RSA算法使用方便,尤其是公开密钥的特征使得用 户在数据传输之前无需交换密钥,即使和多个用户进行秘 密通信,也无需记忆太多的密钥;原理上,N个用户进行 通信,需要N对密钥,但每个用户只需记忆自己的秘密密 钥,并去公共存储区中获取其他用户的公开密钥。 缺点:加密速度较慢
计算机网络
两种算法的结合
计算机网络
9.4 数字签名
1.数字签名的基本方法
首先计算需要签名信息(报文)的消息摘要
利用公开密钥加密算法,发送方公布解密公钥,发送 方使用秘密的加密密钥对消息摘要签名
接受方使用发送方的解密公钥解密数字签名得到消息 摘要,然后将收到的信息生成消息摘要,进行比较
计算机网络
计算机网络加密技术加密技术加密密钥加密密钥密文密文加密算法加密算法在同一种加密算法下密钥的位数越长安全性越好计算机网络计算机网络加密算法的分类对称密钥对称密钥加密体系加密体系秘密密钥秘密密钥非对称密钥非对称密钥加密体系加密体系公开密钥公开密钥计算机网络对称密钥加密体系秘密密钥对称密钥加密体系秘密密钥充分利用计算机的处理能力将算法内部的变换过程设计的非常复杂并使用较长的密钥使得攻击者对密文的破译变得非常困难
第9章计算机安全课件
⑴ 宏病毒的类型 宏病毒是使用某个应用程序自带的宏编程语言,编写的病毒。目前国际上已发现三类宏病毒:感染WORD系统的WORD宏病毒、感染EXCEL系统的EXCEL宏病毒和感染Lotus Ami Pro的宏病毒。 ⑵ 宏病毒有以下特点: ① 感染数据文件;② 多平台交叉感染;③ 容易编写;④ 容易传播。 另外,宏病毒还可以根据触发条件来分类。若依据触发条件,宏病毒大致可分为公用宏病毒和私用宏病毒两类。 宏病毒的防治相对比较容易,目前大多数防病毒软件都能查杀宏病毒。 2)CIH病毒 CIH病毒,使用面向Windows的VxD技术编制,1998年8月从台湾传入国内,有1.2版、1.3版、1.4版三个版本,发作时间分别是4月26日、6月26日和每月的26日。 CIH病毒是第一个直接攻击和破坏计算机硬件系统的病毒,
5. 存储器保护与通信网络安全 1)存储器保护:指对实存储器划分互斥分区,使不同用户有自己的数据存储区域;对虚存储器设定虚存空间的长度来保护程序或数据不受破坏。 2)通信网络安全:指通信网络中的数据加密、网络的端口保护、网络中的主体验证、网络中的数据完整性保护和网络中的通信流分析控制等。 6. 软件与数据库安全 软件与数据库安全涉及信息存储和处理状态下的保护。因此应采取的措施有:设置保护数据完整的安全机构;进行存取控制;实行推断控制等。
3. 计算机实体安全 计算机实体安全是指对场地环境、设施、设备、载体及人员采取的安全对策和措施。具体内容如下: 1)温度与湿度:机房温度在18 ~24 0C、相对湿度40%~60% 。 2)清洁度与采光照明:机房应采用30万级清洁室、粒度0.5m并有足够的照度。 3)防静电、电磁干扰及噪声:机房设备要接地线、磁场强度 800奥斯特、噪声标准应控制在65dB以下。 4)防火、防水及防震:机房应设在二或三楼、考虑防震、要配备灭火器。 5)电源安全与电压稳定:保证供电连续、电压稳定在220V10% 。 4.计算机的正确使用与维护 1)计算机的正常使用,应注意以下事项: ⑴ 严格开关机顺序,开机时应先开外部设备,后开主机;关机顺序则相反。 ⑵ 在计算机运行时,严禁拔插电源或信号电缆,磁盘读写时
孟庆昌版-Linux教材-第9章-电子课件 全文免费
1 运行,包括网络的计费和通信量管理。 2 管理,包括从收集和分析设备利用率、通信量等数据,直到做出相应
的控制,以优化网络资源的使用效率等各个方面。 3 维护,包括报警、性能监控、测试和故障修复等。 4 提供服务,包括向用户提供新业务和通过增加网络设备、设施来提高
网络性能。 ● 网络管理系统应具备主要功能:
• 对Linux系统的安全设定包括 :
1.取消不必要的服务 2. 密码安全 3. 保持最新的系统核心 4. 检查登录密码 5. 设定用户账号的安全等级 6. 消除黑客犯罪的温床 7. 限制用户对系统网络地址的访问 8. 限制超级用户账号与密码 9. 管理X Window 10.安全检查 11.定期对服务器进行备份
9.1.2 配置网卡
配置网络参数
“网卡配置”对话框
连入一个校园网的网络配置例子
9.1.3 网络互连
1. 局域网互连 2. 局域网与广域网互连 3. 局域网与城域网互连 • 网络互连可以在不同的层次上实现,分为物理层互连(通常采用中继
器,以比特形式传送信息分组)、数据链路层互连(采用桥接器或介 质访问控制桥接器,按帧接收或传送信息)、网络层互连(已在广域 网中广为采用,其中各子网可具有不同的协议机制)和高层互连(传 送服务是一类端对端服务,应用层网关可以提供交互式终端服务和电 子邮件服务)。
9.2.2 配置邮件环境
1. 在字符方式下
1 配置用户mail环境。
• 配置用户mail环境,可以通过编辑用户主目录下的.mailrc文件来完成。
• alias命令用于定义命令别名,其命令格式为:alias <别名> <地址表> • set命令用于设置环境变量。set命令的格式如下:
set <变量名> [=<字符串>] 2 读取邮件 3 发送邮件
的控制,以优化网络资源的使用效率等各个方面。 3 维护,包括报警、性能监控、测试和故障修复等。 4 提供服务,包括向用户提供新业务和通过增加网络设备、设施来提高
网络性能。 ● 网络管理系统应具备主要功能:
• 对Linux系统的安全设定包括 :
1.取消不必要的服务 2. 密码安全 3. 保持最新的系统核心 4. 检查登录密码 5. 设定用户账号的安全等级 6. 消除黑客犯罪的温床 7. 限制用户对系统网络地址的访问 8. 限制超级用户账号与密码 9. 管理X Window 10.安全检查 11.定期对服务器进行备份
9.1.2 配置网卡
配置网络参数
“网卡配置”对话框
连入一个校园网的网络配置例子
9.1.3 网络互连
1. 局域网互连 2. 局域网与广域网互连 3. 局域网与城域网互连 • 网络互连可以在不同的层次上实现,分为物理层互连(通常采用中继
器,以比特形式传送信息分组)、数据链路层互连(采用桥接器或介 质访问控制桥接器,按帧接收或传送信息)、网络层互连(已在广域 网中广为采用,其中各子网可具有不同的协议机制)和高层互连(传 送服务是一类端对端服务,应用层网关可以提供交互式终端服务和电 子邮件服务)。
9.2.2 配置邮件环境
1. 在字符方式下
1 配置用户mail环境。
• 配置用户mail环境,可以通过编辑用户主目录下的.mailrc文件来完成。
• alias命令用于定义命令别名,其命令格式为:alias <别名> <地址表> • set命令用于设置环境变量。set命令的格式如下:
set <变量名> [=<字符串>] 2 读取邮件 3 发送邮件
《计算机网络》第9章 应用层
第9章 应用层
9.1 应用层概述 9.2 DNS域名解析 域名解析 9.3 电子邮件系统 9.4 文件传输协议 文件传输协议FTP 9.5 万维网 万维网WWW 9.6 远程登录 远程登录TELNET 9.7 计算机网络管理 9.8 计算机网络安全技术
9.1 应用层概述
每个应用层协议都是为了解决某一类应用 每个应用层协议都是为了 解决某一类应用 问题, 问题 , 而问题的解决又往往是通过位于不 同主机中的多个应用进程 应用进程之间的通信和协 同主机中的多个 应用进程 之间的通信和协 同工作来完成的。 同工作来完成的 。 应用层的具体内容就是 规定应用进程在通信时所遵循的协议。 规定应用进程在通信时所遵循的协议。 应用层的许多协议都是基于客户服务器 客户服务器方 应用层的许多协议都是基于 客户服务器 方 客户(client)和服务器 和服务器(server)都是指通 式。客户 和服务器 都是指通 信中所涉及的两个应用进程。 信中所涉及的两个应用进程 。 客户服务器 方式所描述的是进程之间服务和被服务的 关系。客户是服务请求方, 关系 。 客户是服务请求方 , 服务器是服务 提供方。 提供方。
图9-6 递归解析与反复解析示意图
4、域名解析的完整过程 、
图9-7 域名解析的完整过程
9.3 电子邮件系统
1、概述 、 与其它通信方式相比,电子邮件具有以下特点: 与其它通信方式相比,电子邮件具有以下特点: (1)电子邮件比人工邮件传递迅速,可达到的 )电子邮件比人工邮件传递迅速, 范围广,而且比较可靠。 范围广,而且比较可靠。 (2)电子邮件与电话系统相比,它不要求通信 )电子邮件与电话系统相比, 双方都在现场,而且不需要知道通信对方在网络 双方都在现场, 中的具体位置。 中的具体位置。 (3)电子邮件可以实现一对多的邮件传送,这 )电子邮件可以实现一对多的邮件传送, 样可以使一位用户向多人发出通知的过程变得很 容易。 容易。 (4)电子邮件可以将文字、图像、语音等多种 )电子邮件可以将文字、图像、 类型的信息集成在一个邮件中传送, 类型的信息集成在一个邮件中传送,因此它是多 媒体信息传送的重要手段。 媒体信息传送的重要手段。
9.1 应用层概述 9.2 DNS域名解析 域名解析 9.3 电子邮件系统 9.4 文件传输协议 文件传输协议FTP 9.5 万维网 万维网WWW 9.6 远程登录 远程登录TELNET 9.7 计算机网络管理 9.8 计算机网络安全技术
9.1 应用层概述
每个应用层协议都是为了解决某一类应用 每个应用层协议都是为了 解决某一类应用 问题, 问题 , 而问题的解决又往往是通过位于不 同主机中的多个应用进程 应用进程之间的通信和协 同主机中的多个 应用进程 之间的通信和协 同工作来完成的。 同工作来完成的 。 应用层的具体内容就是 规定应用进程在通信时所遵循的协议。 规定应用进程在通信时所遵循的协议。 应用层的许多协议都是基于客户服务器 客户服务器方 应用层的许多协议都是基于 客户服务器 方 客户(client)和服务器 和服务器(server)都是指通 式。客户 和服务器 都是指通 信中所涉及的两个应用进程。 信中所涉及的两个应用进程 。 客户服务器 方式所描述的是进程之间服务和被服务的 关系。客户是服务请求方, 关系 。 客户是服务请求方 , 服务器是服务 提供方。 提供方。
图9-6 递归解析与反复解析示意图
4、域名解析的完整过程 、
图9-7 域名解析的完整过程
9.3 电子邮件系统
1、概述 、 与其它通信方式相比,电子邮件具有以下特点: 与其它通信方式相比,电子邮件具有以下特点: (1)电子邮件比人工邮件传递迅速,可达到的 )电子邮件比人工邮件传递迅速, 范围广,而且比较可靠。 范围广,而且比较可靠。 (2)电子邮件与电话系统相比,它不要求通信 )电子邮件与电话系统相比, 双方都在现场,而且不需要知道通信对方在网络 双方都在现场, 中的具体位置。 中的具体位置。 (3)电子邮件可以实现一对多的邮件传送,这 )电子邮件可以实现一对多的邮件传送, 样可以使一位用户向多人发出通知的过程变得很 容易。 容易。 (4)电子邮件可以将文字、图像、语音等多种 )电子邮件可以将文字、图像、 类型的信息集成在一个邮件中传送, 类型的信息集成在一个邮件中传送,因此它是多 媒体信息传送的重要手段。 媒体信息传送的重要手段。
第9章 网络管理
8
9.2.1 配置管理
2.配置管理系统的基本功能 配置管理系统的基本功能 为了辨别、定义、控制和监视一个网络对象,配置管理必须具有 下述功能: ① 识别被管网络的拓扑结构; ② 监视网络设备的运行状态和参数; ③ 自动修改指定设备配置; ④ 动态维护网络。
第9章 网络管理
9
9.2.2 性能管理
第9章 网络管理
6
9.2 网络管理功能
在对网络管理和网络管理系统有了比较全面的认识之后,就 需要了解网络管理的主要功能。国际标准化组织(ISO)从较大规模 网络的管理应用实际出发,在ISO/IEC 74984文档中定义了网络 管理的5大功能,这些功能被广泛接受和认可。这5大功能是:故 障管理、记账管理、配置管理、性能管理和安全管理。
第9章 网络管理
20
9.3.2 SNMP网络管理模型 网络管理模型
(3) 管理信息库(MIB) MIB管理信息库记录管理对象的各种信息。它是一个概念上的数据 库,由各个管理对象组成,每个管理代理管理MIB中属于本地的管理对 象,各管理代理控制的管理对象共同构成全网的管理信息库。 (4) 管理协议 用于在管理系统与管理对象之间传递和解释管理操作命令的SNMP协 议。许多网络管理软件要求所管理的设备支持SNMP协议,如果不支 持,则无法使用该软件实现对网络系统设备的自动识别和管理功能。如 HP公司的Open View软件。
第9章 网络管理
10
9.2.2 性能管理
2. 性能管理的基本功能
性能管理包括一系列的管理功能,其基本功能应当包括以下几个方面: ① 收集和统计被管理对象的各种性能参数,例如网络性能数据和历史数据等。 ② 对当前数据进行统计分析,检测性能故障,产生性能报警,并报告与性能有 关的事件。 ③ 在当前数据的统计和分析基础上,与历史模型进行比较后,做出趋势预测。 ④ 形成和改进网络性能评价的规则和模型。以性能管理为目标,进一步改进网 络的操作模式。 总之,性能管理就是通过监控网络的运行状态,调整网络性能的参数来改善 网络性能,确保网络平稳运行。性能管理对系统的运行和通信效率等系统性能进 行评价和分析,其分析结果可能会触发某个诊断和测试过程,进而可能导致网络 的重新配置,以维护这个网络的性能,并维持和分析性能日志。
9.2.1 配置管理
2.配置管理系统的基本功能 配置管理系统的基本功能 为了辨别、定义、控制和监视一个网络对象,配置管理必须具有 下述功能: ① 识别被管网络的拓扑结构; ② 监视网络设备的运行状态和参数; ③ 自动修改指定设备配置; ④ 动态维护网络。
第9章 网络管理
9
9.2.2 性能管理
第9章 网络管理
6
9.2 网络管理功能
在对网络管理和网络管理系统有了比较全面的认识之后,就 需要了解网络管理的主要功能。国际标准化组织(ISO)从较大规模 网络的管理应用实际出发,在ISO/IEC 74984文档中定义了网络 管理的5大功能,这些功能被广泛接受和认可。这5大功能是:故 障管理、记账管理、配置管理、性能管理和安全管理。
第9章 网络管理
20
9.3.2 SNMP网络管理模型 网络管理模型
(3) 管理信息库(MIB) MIB管理信息库记录管理对象的各种信息。它是一个概念上的数据 库,由各个管理对象组成,每个管理代理管理MIB中属于本地的管理对 象,各管理代理控制的管理对象共同构成全网的管理信息库。 (4) 管理协议 用于在管理系统与管理对象之间传递和解释管理操作命令的SNMP协 议。许多网络管理软件要求所管理的设备支持SNMP协议,如果不支 持,则无法使用该软件实现对网络系统设备的自动识别和管理功能。如 HP公司的Open View软件。
第9章 网络管理
10
9.2.2 性能管理
2. 性能管理的基本功能
性能管理包括一系列的管理功能,其基本功能应当包括以下几个方面: ① 收集和统计被管理对象的各种性能参数,例如网络性能数据和历史数据等。 ② 对当前数据进行统计分析,检测性能故障,产生性能报警,并报告与性能有 关的事件。 ③ 在当前数据的统计和分析基础上,与历史模型进行比较后,做出趋势预测。 ④ 形成和改进网络性能评价的规则和模型。以性能管理为目标,进一步改进网 络的操作模式。 总之,性能管理就是通过监控网络的运行状态,调整网络性能的参数来改善 网络性能,确保网络平稳运行。性能管理对系统的运行和通信效率等系统性能进 行评价和分析,其分析结果可能会触发某个诊断和测试过程,进而可能导致网络 的重新配置,以维护这个网络的性能,并维持和分析性能日志。
网络安全教育课件PPT
黑网吧起火夺人命
半梦半醒的居民目瞪口呆地望着这一幕,一些人立刻冲 回家打电话报警,另一些人则开始想办法营救大火中的 年轻人,但他们发现,网吧惟一的出口——大铁门已 被人从外面锁住。救人者与求救者隔着铁门无计可施。 大火仍在肆虐,2点55分,外面的人已经听不到网吧里 有求救声传出就是这牢笼一般的“黑网吧”,一夜之间 夺去了25条年轻的生命。
四 文明上网 自律自护
文明上网
1.不浏览不良网站
• 自觉抵制不良内容 ,不去浏览一些负面新闻,更不应该去浏览 一些色情暴力的网站。
2.不窥探他人隐私
• 不要因为自己的好奇心去窥探他人的隐私,尊重他人也是尊重 自己。
文明上网
3.不发表不文明言论
在网上与人沟通时,不使用 言语辱骂、攻击对方,要使 用文明用语。
网络安全主题班会
提升网络安全意识,营造网络安全环境
一 网络时代的我们 二 网络生活对青少年的影响 三 青少年网络成瘾问题严重 四 文明上网 自律自护
一 网络时代的我们
电脑和互联网发展使人类进入信息化社会。
信息时代
网络就在身边
网络时代
• 中国互联网络信息中心(CNNIC)在京发布第49次《中国互联网络发展状况统 计报告》显示,截至2023年6月,我国网民规模达10.79亿,较2022年12月 增长1109万,互联网普及率达76.4%。
4.不传播虚假消息
不信谣、不传谣、不造谣, 以免以讹传讹,给自己和他 人造成不良影响。
5.不传播垃圾邮件
当收到垃圾邮件时,不要轻 易打开、传播此邮件,在保 证自己没有损失的同时,也 不要给他人造成损失。
文明上网
6.不参与敏感话题
• 不夸大莫须有的事情去吸引别人的关注,把握话题的 严肃性和政治性,敢于及时揭露错误言行。
第9章 网络安全管理技术
信息资源包括维持网络服务运行的系统软件和应 用软件,以及在网络中存储和传输的用户信息等。
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
Internet技术与应用第九章
9.1 网络安全基础知识
9.1.3 网络安全面临的威胁
网络安全威胁可分为被动威胁和主动威胁两类。被 动威胁只对信息进行监听,而不对其修改和破坏; 主动威胁则对信息进行故意篡改和破坏。
伪装:威胁源假扮另外一个实体,威胁源伪装成功 获得该实体的权利后,滥用该实体的权利。其中威 胁源可以是用户或者是程序,如IP伪装。
7)防火墙控制 在网络边界建立相应的网络通信系统来隔离内 网和外网。
第9章 网络安全
8)信息加密策略 信息加密的目的是保护网内的数据、文件 、口令和控制信息,保护网上传输的数据。 网络加密常用的方法有链路加密、端点加密 和节点加密3种。信息加密技术需加密算法来 支持,为网络加密,不但可以防止非授权用 户的搭线窃听和入网,而且也是对付恶意软 件的有效方法之一。
第9章 网络安全
9.1.4 网络安全的关键技术
防火墙技术:这是近年来维护网络安全最重 要的手段。防火墙技术是实现了在两个网络 间实现数据信息安全传输的一种网络安全技 术。
加密技术:这是一种主动、开放型的安全防 范手段。对于敏感数据应该采用加密技术, 加密技术又分为公钥加密和私钥加密。通过相应的解密技术进行数据解密 存储。
Internet 技术与应用
第9章 网络安全
9.1 网络安全基础知识 9.2 防火墙技术 9.3 天网防火墙 9.4 黑客初识 9.5杀毒软件
9.1 网络安全基础知识
9.1 网络安全基础知识
9.1.1 网络安全的定义 从狭义的保护角度来看,计算机网络安全是 指计算机及其网络系统资源和信息资源不受 自然和人为有害因素的威胁和危害,从广义 来说,凡是涉及到计算机网络上信息的保密 性、完整性、可用性、真实性和可控性的相 关技术和理论都是计算机网络安全的研究领 域。
计算机网络技术基础(微课版)(第6版)-PPT课件第 9 章 网络安全
第九章 网络安全
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
9、网络安全管理
第9章网络安全管理网络管理员必须采用各种安全措施来确保网络安全。
使用组策略,可以保障用户环境的安全以及配置相应的帐户策略。
通过分析安全日志文件可以审核安全漏洞。
使用智能卡技术可以保护登录过程。
另外管理员还需要评估和应用 Service Pack 、修补程序以及反病毒软件以保证网络环境的安全。
学习完本章后,您将能够:z使用组策略中的安全策略保护用户环境z使用组策略配置用户密码和帐户登录策略z通过分析安全日志文件检测安全漏洞z使用智能卡保护登录过程z安装 Service Pack、修补程序和反病毒软件9.1使用组策略保护用户环境组策略中的安全设置通常反映整个企业的安全策略。
利用它能够实现用户系统的安全策略,防止用户未经授权地访问企业中的网络和用户计算机。
使用安全模板可以简化定义和实现一组标准的组策略的过程。
安全模板是一系列安全设置的集合,它可以直接导入到组策略对象中进行分析。
根据组织需要,调整后的模板可以被应用到组策略对象中,这些对象随后会根据设计应用到其他系统。
打开非本地 GPO 的组策略管理单元后,在计算机配置和用户配置目录下都会出现一个“安全设置”项,如图 9-1所示。
图 9-1 GPO中的“安全设置”项第9章网络安全管理在用户配置目录中,“安全设置”项只提供了创建证书信任列表的功能。
应用于普通网络中的大部分策略都列在“计算机配置”目录下。
可应用于计算机的安全策略包括以下 9 种:z帐户策略z本地策略z事件日志z受限制的组z系统服务z注册表z文件系统z公钥策略z IP 安全策略9.2使用组策略配置帐户策略在 Microsoft®Windows®2000 中,配置帐户策略可以防止未经授权的用户登录网络和访问网络资源。
这些策略将加强网络的安全性,比如设置密码策略和用户帐户锁定策略将增加猜测密码的难度;同时也可以限制未经授权的用户猜测密码的次数。
9.2.1帐户策略帐户策略用于用户帐户,它们可以减少未经授权的用户访问网络的可能性。
计算机网络安全技术PPT课件
– 很难从根本上解决全部安全问题
.
5
系统设计带来的安全问题
• 系统设计中的缺陷
– 操作系统、网络协议和应用系统的设计中 都或多或少的存在缺陷
– 早期的系统设计中对安全问题考虑较少、 缺乏足够的安全知识和经验、没有形成严 密的安全体系,随着网络的不断庞大,很 难从根本上完全消除这些缺陷
.
6
系统实现带来的安全问题
.
34
网络安全 第一节 计算机网络安全的概念
㈤ 网络干扰:出于某种目的对计
算机和网络系统运行进行干扰,干扰
方式多种,使系统不可信、操作员和
系统管理员心理压力增加、心理战。
施放各种假的和期骗信息,扰乱社会、
经济、金融等。
㈥ 网络破坏: 系统攻击、删除数据、
毁坏系统。非法窃取、盗用、复制系
统文件、数据、资料、信息,造成泄
密。
.
35
网络安全
第二节 计算机网络实体安全
.
36
网络安全
组成计算机网络的硬件设备有 计算机系统、通信交换设备(交换机、 程控机)、网络互连设备(如收发器、 中继器、集线器、网桥、路由器、网 关等)、存储设备等,在网络系统集 成中,它们的可靠性和安全性必须自 始至终考虑。
1)“黑客”是非法使用计算机系统和网络
系统的人,会给网络安全带来极大影响。
2)“黑客”是一群计算机迷,他们以查找
网络和系统缺陷为荣,有利于网络安全的。
我们认为,基于信息对抗、计算机对抗的基
础,我们必须既要防御非法“黑客”的攻击,
也要研究和利用“黑客”技术来维护网络安全,
不断地发现网络的漏洞,不断地改进安全系统。
.
8
著名的例子:蠕虫病毒
.
5
系统设计带来的安全问题
• 系统设计中的缺陷
– 操作系统、网络协议和应用系统的设计中 都或多或少的存在缺陷
– 早期的系统设计中对安全问题考虑较少、 缺乏足够的安全知识和经验、没有形成严 密的安全体系,随着网络的不断庞大,很 难从根本上完全消除这些缺陷
.
6
系统实现带来的安全问题
.
34
网络安全 第一节 计算机网络安全的概念
㈤ 网络干扰:出于某种目的对计
算机和网络系统运行进行干扰,干扰
方式多种,使系统不可信、操作员和
系统管理员心理压力增加、心理战。
施放各种假的和期骗信息,扰乱社会、
经济、金融等。
㈥ 网络破坏: 系统攻击、删除数据、
毁坏系统。非法窃取、盗用、复制系
统文件、数据、资料、信息,造成泄
密。
.
35
网络安全
第二节 计算机网络实体安全
.
36
网络安全
组成计算机网络的硬件设备有 计算机系统、通信交换设备(交换机、 程控机)、网络互连设备(如收发器、 中继器、集线器、网桥、路由器、网 关等)、存储设备等,在网络系统集 成中,它们的可靠性和安全性必须自 始至终考虑。
1)“黑客”是非法使用计算机系统和网络
系统的人,会给网络安全带来极大影响。
2)“黑客”是一群计算机迷,他们以查找
网络和系统缺陷为荣,有利于网络安全的。
我们认为,基于信息对抗、计算机对抗的基
础,我们必须既要防御非法“黑客”的攻击,
也要研究和利用“黑客”技术来维护网络安全,
不断地发现网络的漏洞,不断地改进安全系统。
.
8
著名的例子:蠕虫病毒
网络信息安全培训课件(PPT 80张)
服务保持持续和连续性,能够可靠的运行。
3
9.1.1 信息安全的基础知识
1. 信息安全属性
(1) 完整性(Integrity) (2) 保密性(Confidentiality) (3) 可用性(Availability) (4) 不可否认性(Non-repudiation)
(5) 可控性(Controllability)
11
信息安全的技术措施主要有:
(1)信息加密 (2)数字签名 (3)数据完整性 (4)身份鉴别 (5)访问控制 (6)数据备份和灾难恢复 (7)网络控制技术 (8)反病毒技术 (9)安全审计 (10)业务填充 (11)路由控制机制 (12)公证机制
12
9.1.2 信息加密技术
• 加密技术可以有效保证数据信息的安全,可以防止 信息被外界破坏、修改和浏览,是一种主动防范的 信息安全技术。
14
• 对于加密和解密过程中使用到的参数,我
们称之为密钥。
• 密钥加密技术的密码体制分为对称密钥体
制和非对称密钥体制两种。
15
1. 对称加密技术
• 对称加密采用了对称密码编码技术,它的 特点是文件加密和解密使用相同的密钥 (或者由其中的任意一个可以很容易地推 导出另外一个),即加密密钥也可以用作 解密密钥,这种方法在密码学中叫做对称 加密算法。
• 因为加密和解密使用的是两个不同的密钥(加密密 钥和解密密钥不可能相互推导得出),所以这种算 法叫作非对称加密算法。
19
公开密钥加密示意图
20
• 非对称密码体制的主要优点是可以适应开放性 的使用环境,密钥管理问题相对简单,可以方 便、安全地实现数字签名和验证。
• 但公开密钥加密相对低效率
21
计算机网络_自顶向下方法_第9章_网络管理.TopDownV3-9
网络管理 4
网络管理的架构
定义:
管理实体
管理实体 数据
代理
数据
被管设备 代理 数据
网络管理协议
被管设备包含被管对 象,它们的数据被收 集在管理信息库(MIB)
中
被管设备 代理 代理 数据 被管设备 数据
被管设备
网络管理
5
网络管理标准
OSI CMIP 公共管理信息协议 于二是世纪80年代设计: 统一的网络管理标准 标准化过程极为缓慢 SNMP: 简单网络管理协议 来源于因特网(SGMP) 出发点是简单 迅速地被展开、采用 成长:规模,复杂性 当前:SNMP V3 事实上的网络管理标准
网络管理 13
OSI
对象标识 树
核对 www.alvestrand.no/harald/objectid/top.html
网络管理 14
SNMP协议
传递MIB信息、命令的两种方式:
管理实体 管理实体
请求
响应
代理
数据
Trap报文
代理 数据
被管设备
被管设备
请求/响应模式
ห้องสมุดไป่ตู้
trap模式
网络管理 15
SNMP协议:报文类型
OBJECT-TYPE: ipInDelivers ipInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION “The total number of input datagrams successfully delivered to IP userprotocols (including ICMP)” ::= { ip 9} MODULE-IDENTITY: ipMIB
网络管理的架构
定义:
管理实体
管理实体 数据
代理
数据
被管设备 代理 数据
网络管理协议
被管设备包含被管对 象,它们的数据被收 集在管理信息库(MIB)
中
被管设备 代理 代理 数据 被管设备 数据
被管设备
网络管理
5
网络管理标准
OSI CMIP 公共管理信息协议 于二是世纪80年代设计: 统一的网络管理标准 标准化过程极为缓慢 SNMP: 简单网络管理协议 来源于因特网(SGMP) 出发点是简单 迅速地被展开、采用 成长:规模,复杂性 当前:SNMP V3 事实上的网络管理标准
网络管理 13
OSI
对象标识 树
核对 www.alvestrand.no/harald/objectid/top.html
网络管理 14
SNMP协议
传递MIB信息、命令的两种方式:
管理实体 管理实体
请求
响应
代理
数据
Trap报文
代理 数据
被管设备
被管设备
请求/响应模式
ห้องสมุดไป่ตู้
trap模式
网络管理 15
SNMP协议:报文类型
OBJECT-TYPE: ipInDelivers ipInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION “The total number of input datagrams successfully delivered to IP userprotocols (including ICMP)” ::= { ip 9} MODULE-IDENTITY: ipMIB
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其中比较有名的是:CMIP和SNMP。
CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网 络管理领域中事实上的工业标准。
11.11.2020
page 3
网络管理的功能
在ISO网络管理标准(ISO/IEC7498-4)中定义了网络管 理的五大功能,并被广泛接受。这五大功能是:
➢配置管理 ·配置管理是最基本的网络管理功能。
11.11.2020
page 5
➢ 性能管理
性能管理估价系统资源的运行状况及通信效率等系统 指标。它定义了网络的动态评估方法,以便于检验网络所 保持的服务水平,确定实际的和潜在的网络性能瓶颈。根 据网络的各项运行指标的趋势,为制定和规划管理决策产 生报告。
性能管理还包括了为操作控制建立和维护性能数据库和
11.11.2020
page 8
➢ SNMP协议
1)、概述
简单网络管理协议(SNMP)是一种用于在网络设备之间交
换管理信息的应用层协议,目前被广泛地实现在各种网络
设备中,并在 Internet中普遍使用。
SNMP的前身是简单网关管理协议(SGMP),用来对通信线路
进行管理。随后,人们对SGMP进行了很大的修改,特别是
第九章 网络管理与网络安全
本章内容 ●网络管理的基本概念、发展、
功能 ●网络管理协议:CMIP、SNMP ●网络安全的基本概念 ●加密、认证、防火墙
11.11.2020
page 1
9.1 网络管理基础
网络管理基本概念
网络管理是关于规划、监督、设计和控制网络资源的使用 和网络的各种活动。
网络管理的基本目标是将所有的管理子系统集成在一起, 向管理员提供单一的控制方式。
统以非正常方式操作的事件,可分为:
由损坏的部件或软件故障(bug)引起的(内部)故障,常常是可重复的 ;
由环境影响引起的外部故障,通常是突发的,不可重复。
11.11.2020
page 4
·故障管理的主要内容有: 故障检测:维护和检查故障日志,检查事件的发生率看是否已
(或将)成为故障;接收故障报告。 故障诊断:寻找故障发生的原因,可执行诊断测试,以寻找故
·实施网络安全规划,可动态地确保网络安全。
·主要包括维护防火墙和安全日志、安全指示器 的监测、分区隔离、口令管理和提供各种级别的警 告或报警。
11.11.2020
e 7
网络管理协议
➢ CMIP协议
公共管理信息服务/公共管理信息协议(CMIS/CMIP)是 OSI提供的网络管理协议簇,主要是针对OSI七层协议模型 的传输环境而设计的。
RFC2275定义),描述了SNMP2中所缺乏的安全和管理方面
上的问题。
SNMP属于网络管理平台,它为网络管理应用系统和被管的
11.11.2020
page 2
网络管理的发展
计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由 于当时网络规模小,复杂性不高,一个简单的专用网络管理系 统就可满足网络正常工作的需要。但随着网络的发展,使人们 意识到以前的网络管理技术已经不能适应计算机网络的迅速发 展。
一些标准化组织及产业集团,如ISO、ITU、IAB因特网活动委 员会等积极开展研究活动,提出了多种网络管理方案:HEMS (High Level Entity Management )、SGMP(the Simple Gateway Monitoring Protocol)、CMIS/CMIP(the Common Management Information Service/Protocol)、NETVIEW、 SNMP( Simple Network Management Protocol)、 LAN Manager等。
障发生的准确位置。 故障纠正:将故障点从正常系统中隔离出去,并根据故障原因
进行修复。 ·故障管理为操作决策提供依据,以确保网络的可用性。
➢计费管理
·计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和 代价。这些资源有:
网络服务,负责用户数据的传输(例如数据的传输量);
网络应用(例如对服务器的使用)。 对用户行为的了解与控制
加入了符合Internet定义的SMI和MIB体系结构,改进后的
协议就是著名的SNMP。
SNMPv1是 1990年 5月正式公布的(RFC 1155和 RFC 1157
), SNMPv2是前者的改进,于 1993年陆续公布(RFC
1441- RFC 1452),后来又发展为SNMP3(由RFC2271到
这样系统需要一个管理者的角色和被管理对象。要实现对 被管理程序(代理)的管理,管理者需要知道被管理程序 中的信息模型(实际上就是代理包含的被管理对象的信息 模型)。为了这些信息的传送,人们就必须在管理者和被 管理者之间规定一个网络管理协议。
由于网络规模的不断增大,复杂性日益增加,网络管理技 术也在不断发展。
自动操作程序,随机或定时收集由统计数据产生的性能日 志。
这些日志除了性能管理本身使用外,其它管理功能亦可 充分加以利用:
故障管理应用性能日志检测故障; 配置管理根据性能日志决定何时需要改变配置; 计费管理应用性能日志调整计费策略
11.11.2020
page 6
➢ 安全管理
·安全管理用于保证降低运行网络及其网络管理 系统的风险。它是一些功能组合, 通过分析网络 安全漏洞将网络危险最小化。
CMIS定义了每个网络组成部分提供的网络管理服务,CMIP 则是实现CMIS服务的协议。
CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上 的,网络管理应用进程使用ISO参考模型的应用层。
CMIP协议相对于SNMP而言,需要大量资源:包括实现时投 入的资源(人力、物力)以及运行时的计算机和网络资源。 由于此缺陷,注定了CMIP协议生命周期的有限性。
·配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨 论被管对象能力的基础。 ·配置管理的目的是通过定义、收集、管理、和使用配置信息,以及网 络资源配置的控制来最佳地维持网络环境所提供的服务质量。 ·配置管理至少应具有事件报告、状态监测和管理配置信息的功能。
➢故障管理 ·故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系
CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网 络管理领域中事实上的工业标准。
11.11.2020
page 3
网络管理的功能
在ISO网络管理标准(ISO/IEC7498-4)中定义了网络管 理的五大功能,并被广泛接受。这五大功能是:
➢配置管理 ·配置管理是最基本的网络管理功能。
11.11.2020
page 5
➢ 性能管理
性能管理估价系统资源的运行状况及通信效率等系统 指标。它定义了网络的动态评估方法,以便于检验网络所 保持的服务水平,确定实际的和潜在的网络性能瓶颈。根 据网络的各项运行指标的趋势,为制定和规划管理决策产 生报告。
性能管理还包括了为操作控制建立和维护性能数据库和
11.11.2020
page 8
➢ SNMP协议
1)、概述
简单网络管理协议(SNMP)是一种用于在网络设备之间交
换管理信息的应用层协议,目前被广泛地实现在各种网络
设备中,并在 Internet中普遍使用。
SNMP的前身是简单网关管理协议(SGMP),用来对通信线路
进行管理。随后,人们对SGMP进行了很大的修改,特别是
第九章 网络管理与网络安全
本章内容 ●网络管理的基本概念、发展、
功能 ●网络管理协议:CMIP、SNMP ●网络安全的基本概念 ●加密、认证、防火墙
11.11.2020
page 1
9.1 网络管理基础
网络管理基本概念
网络管理是关于规划、监督、设计和控制网络资源的使用 和网络的各种活动。
网络管理的基本目标是将所有的管理子系统集成在一起, 向管理员提供单一的控制方式。
统以非正常方式操作的事件,可分为:
由损坏的部件或软件故障(bug)引起的(内部)故障,常常是可重复的 ;
由环境影响引起的外部故障,通常是突发的,不可重复。
11.11.2020
page 4
·故障管理的主要内容有: 故障检测:维护和检查故障日志,检查事件的发生率看是否已
(或将)成为故障;接收故障报告。 故障诊断:寻找故障发生的原因,可执行诊断测试,以寻找故
·实施网络安全规划,可动态地确保网络安全。
·主要包括维护防火墙和安全日志、安全指示器 的监测、分区隔离、口令管理和提供各种级别的警 告或报警。
11.11.2020
e 7
网络管理协议
➢ CMIP协议
公共管理信息服务/公共管理信息协议(CMIS/CMIP)是 OSI提供的网络管理协议簇,主要是针对OSI七层协议模型 的传输环境而设计的。
RFC2275定义),描述了SNMP2中所缺乏的安全和管理方面
上的问题。
SNMP属于网络管理平台,它为网络管理应用系统和被管的
11.11.2020
page 2
网络管理的发展
计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由 于当时网络规模小,复杂性不高,一个简单的专用网络管理系 统就可满足网络正常工作的需要。但随着网络的发展,使人们 意识到以前的网络管理技术已经不能适应计算机网络的迅速发 展。
一些标准化组织及产业集团,如ISO、ITU、IAB因特网活动委 员会等积极开展研究活动,提出了多种网络管理方案:HEMS (High Level Entity Management )、SGMP(the Simple Gateway Monitoring Protocol)、CMIS/CMIP(the Common Management Information Service/Protocol)、NETVIEW、 SNMP( Simple Network Management Protocol)、 LAN Manager等。
障发生的准确位置。 故障纠正:将故障点从正常系统中隔离出去,并根据故障原因
进行修复。 ·故障管理为操作决策提供依据,以确保网络的可用性。
➢计费管理
·计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和 代价。这些资源有:
网络服务,负责用户数据的传输(例如数据的传输量);
网络应用(例如对服务器的使用)。 对用户行为的了解与控制
加入了符合Internet定义的SMI和MIB体系结构,改进后的
协议就是著名的SNMP。
SNMPv1是 1990年 5月正式公布的(RFC 1155和 RFC 1157
), SNMPv2是前者的改进,于 1993年陆续公布(RFC
1441- RFC 1452),后来又发展为SNMP3(由RFC2271到
这样系统需要一个管理者的角色和被管理对象。要实现对 被管理程序(代理)的管理,管理者需要知道被管理程序 中的信息模型(实际上就是代理包含的被管理对象的信息 模型)。为了这些信息的传送,人们就必须在管理者和被 管理者之间规定一个网络管理协议。
由于网络规模的不断增大,复杂性日益增加,网络管理技 术也在不断发展。
自动操作程序,随机或定时收集由统计数据产生的性能日 志。
这些日志除了性能管理本身使用外,其它管理功能亦可 充分加以利用:
故障管理应用性能日志检测故障; 配置管理根据性能日志决定何时需要改变配置; 计费管理应用性能日志调整计费策略
11.11.2020
page 6
➢ 安全管理
·安全管理用于保证降低运行网络及其网络管理 系统的风险。它是一些功能组合, 通过分析网络 安全漏洞将网络危险最小化。
CMIS定义了每个网络组成部分提供的网络管理服务,CMIP 则是实现CMIS服务的协议。
CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上 的,网络管理应用进程使用ISO参考模型的应用层。
CMIP协议相对于SNMP而言,需要大量资源:包括实现时投 入的资源(人力、物力)以及运行时的计算机和网络资源。 由于此缺陷,注定了CMIP协议生命周期的有限性。
·配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨 论被管对象能力的基础。 ·配置管理的目的是通过定义、收集、管理、和使用配置信息,以及网 络资源配置的控制来最佳地维持网络环境所提供的服务质量。 ·配置管理至少应具有事件报告、状态监测和管理配置信息的功能。
➢故障管理 ·故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系