网络安全与远程管理.pptVIP

网络安全与远程管理 网络安全是网络系统中一项不可忽视也十分复杂的内容，本章简要介绍数据加密技术、防病毒技术、防火墙技术、入侵检测技术等，重点介绍了访问控制列表以及操作系统安全等内容，同时对网络设备和服务器的远程管理也进行介绍，目的是足不出户就能管理和配置重要的各种资源。 11.1 网络安全概述 园区网是应用Internet技术建立的企业内部网，它的最大好处是方便了企业内部及企业与外部的信息交流，大大提高了工作效率，对企业运转模式的改变起到了关键作用。 然而，与Internet这样一个世界范围的开放网络连接，在获得利益的同时，不可避免地要付出安全性代价。 1. 安全定义 计算机网络的安全性问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息，因而计算机网络的安全性可以定义为：保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务；后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响。于是，一个安全的计算机网络应该具有以下几个特点： （1）可靠性 可靠性是指网络系统能够在规定条件下和规定的时间内完成规定的功能。可靠性是网络安全的最基本要求之一，是所有网络系统的建设和运行目标。可靠性主要包括4个方面：硬件可靠性、软件可靠性、人员可靠性和环境可靠性。硬件可性主要指物理线路和设备的可靠性。软件可靠性是指在规定的时间内，程序成功运行的概率。人员可靠性在整个网络系统可靠性中最为重要，因为系统失效的大部分原因是人为差错造成的。因此，人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的主要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率 （2）可用性 可用性一般指存放信息的可用性和可操作性。病毒就常常破坏信息的可用性，使系统不能正常运行，数据文件面目全非。 （3）保密性 保密性是指网络上的存储和传输的信息不被泄露给非授权个人或实体，只为授权的用户使用。为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。 （4）完整性 是指网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造等。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。 （5）真实性 真实性指信息的可用度，包括信息的完整性、准确性和发送人的身份证实等方面，它也是信息安全的基本要素。 3. 安全威胁 我们通过两个用户甲和乙在计算机网络上的通信来考察计算机网络面临的威胁。 截获（Interception）：当甲通过网络与乙通信时，如果不采取任何保密措施，那么其他人（如丙），就有可能偷听到他们的通信内容。 中断（Interruption）：当用户正在通信时，有意的破坏者可设法中断他们的通信。 篡改（Modification）：乙给甲发了如下一份报文：“请给丁汇一百元钱，乙”。报文在转发过程中经过丙，丙把“丁”改为“丙”。这就是报文被篡改。 伪造（Fabrication）：当甲与乙用电话进行通信时，甲可通过声音来确认对方。但用计算机通信时，若甲的屏幕上显示出“我是乙”时，甲如何确信这是乙而不是别人呢?又如甲是网络的合法用户。乙想非法获得甲的权限，于是向网络发出伪造信息：“我是合法用户甲”。 上述4种对网络的威胁可归为两大类，即被动攻击和主动攻击（如图11-1所示）。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 在被动攻击中，攻击者只是观察通过某一个协议数据单元的PDU而不干扰信息流。即使这些数据对攻击者来说是不易理解的，他也可通过观察PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的性质。这种被动攻击有时又称为通信量分析。 主动攻击是指攻击者对某个连接中通过的PDU进行各种处理，如有选择地更改、删除、延迟这些PDU。甚至还可将合成的或伪造的PDU送到一个连接中去。 对付被动攻击可采用各种数据加密技术，而对付主动攻击，则需将加密技术与适当的鉴别技术相结合。 4. 保护措施 园区网的安全性主要包括下面两方面的含义： （1）保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问； （2）控制、监督和管理企业内部对外部Internet的访问。 为保证园区网的安全，一般采取以下5方面措施： （1）物理措施。例如，保护网络关键设备（如交换机、大型计算机等），制定严格的网络安全规章制度，采取防辐射、防火等措施