第七章 网络管理和网络安全.docVIP

第七章 网络管理与网络安全 本单元概览 　　一、网络管理。 　　二、信息安全技术概述。 　　三、网络安全问题与安全策略。 　　四、加密技术。 　　五、认证技术。 　　六、安全技术应用。    七、入侵检测与防火墙技术。    八、计算机病毒问题与防护。 一、网络管理 1、网络管理的基本概念 * 网络管理的定义：对网络运行状态进行监测和控制，使其能够有效、可靠、安全、经济地提供服务。 　　包括两个任务：对运行状态监测和运行状态控制。 * 网络管理对象：硬件资源和软件资源。 * 管理目标：网络服务要有质量保证、网络要能够稳定运转、网络能够使用异种设备、网络传输信息的安全、网络建设运营成本要低，网络的业务不能单一化，要向综合业务发展 2、网络管理功能 * 配置管理：资源清单、资源开通以及业务开通等 * 故障管理：发现和排除故障 * 计费管理：记录网络资源的使用 * 性能管理：维护网络网络服务质量和网络运营效率 * 安全管理：保护网络中的系统、数据以及业务 3、网络管理模型 * 网络管理的基本模型：核心是一对相互通信的系统管理实体，是采用一种独特的方式使两个进程之间相互作用，即管理进程与一个远程系统相互作用来实现对远程资源的控制。此种方式管理进程担当管理者角色，而另一个系统中的对等实体担当代理者角色，前者为网络管理者，后者为网管代理。 * 网络管理模式：分为集中式和分布式管理模式。集中式是所有的网管代理在管理站的监视和控制下协同工作而实现集成的网络管理；分布式管理将数据采集、监视以及管理分散开来，可以从网络上的所有数据源采集数据而不必考虑网络的拓扑结构。具体实现是将信息管理和智能判断分散到网络各处，使管理变得更加自动。 4、网络管理协议 　　定义了网络管理者与网管代理间的通信方法。 　　主要协议有SNMP(简单网络管理协议)和CMIP（公共管理信息协议）。 * SNMP：有两部分组成，SNMP管理者和SNMP代理者。网络管理者通过SNMP协议收集代理所记录的信息。收集方法有：轮询和基于中断的方法。 　　所谓轮询：代理软件不断收集统计数据，并把数据记录到一个管理信息库（MIB）中，网管通过代理的MIB发出查询信号得到这些信息。这种方法的缺点在于信息的实时性，忒俄式处理错误的实时性。而基于中断的方法可立即通知网络管理工作站，实时性强。 * CMIP：公共管理协议主要针对OSI模型的传输环境设立的。管理进程事先对事件分类，根据事件发生时对网络服务影响的大小来划分事件的严重等级，再产生相应故障处理方案。 　　CMIP的所有功能都要映射到应用层的相关协议上实现。管理联系的建立、释放和撤销是通过联系控制协议（ACP）实现的。操作和事件报告时通过远程操作协议（ROP）实现的。 二、信息安全技术概述 1、安全信息的概念 　　信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄漏，系统连续、可靠、正常运行，信息服务不中断。 　　主要有以下目标： 真实性：鉴别伪造来源的信息 保密性：信息不被窃听 完整性：数据的一致性防止数据非法篡改 可用性：合法用户的合法使用不被拒绝 不可抵赖性：建立责任机制，防止用户否认其行为 可控制性：信息传播及内容具有控制能力 可审查性：对出现的网络安全问题提供调查的依据和手段 2、信息安全策略 　　主要从三个方面体现： 先进的信息安全技术是网络安全的根本保证 严格的安全管理 指定严格的法律、法规 3、信息安全性等级 美国国防部可信任计算机标准评估准则(TCSEC):又称为橘皮书,将网络安全性等级划分为A、B、C、D共4类,其中A类安全等级最高，D类安全等级最低 我国的信息安全系统安全保护分为5个等级： * 自主保护级：适应于一般的信息和信息系统 * 指导保护级：适应于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，造成一定伤害 * 监督保护级：适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，造成较大伤害 * 强制保护级：适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，造成严重伤害 * 专控保护级：适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息核心子系统，造成特别严重伤害 三、网络安全问题与安全策略 1、网络安全的概念 　　网络安全是指系统部件、程序、数据的安全性，通过网络信息存储、传输、和使用过程体现。也就是保护网络程序、数据或设备，使其避免受非授权使用或访问。内容包括：保护信息和资源、保护客户机和用户、保证私有性。 * 安全的目的： 　　对网络系统而言主要有信息的存储安全和信息的传输安全。 　　信息的存储安全通过设置访问权限、身份识别、局部隔离等措施来保证 　　传输安全则需要预防：网上信息的监