第9章--网络安全与网络管理.ppt

第9章网络安全与网络管理第9章网络安全与网络管理计算机网络对整个社会带来便利的同时也带来了巨大的安全问题.事实上,资源共享和信息安全是一对矛盾,随着资源共享的加强,网络安全的问题也日益突出,计算机网络对整个社会带来便利的同时也带来了巨大的安全问题,如计算机病毒对网络的侵袭和黑客对网络的攻击,计算机网络安全问题已经引起了全世界范围的重视.第9章网络安全与网络管理网络安全基础；数据加密与防火墙；防范计算机病毒；网络管理。9.1网络安全基础9.1.1网络安全的基本概念网络安全可理解为“网络系统不任何威胁状态”.具体的说:网络安全是指通过采取各种技术和管理措施,使网络系统的硬件,软件及其系统中的数据资源受到保护,不因一些不利因素影响而使这些资源遭到破坏,更改,泄漏,保证网络系统连续,可靠正常的运行.9.1网络安全基础9.1.2网络的安全威胁对计算机网络的安全威胁可以分为两大类:主动攻击和被动攻击.主动攻击分中断,篡改,伪造三种;被动攻击只有一种是:截获.9.1.2网络的安全威胁中断:当网络上的用户在通信时,破坏者可以中断他们之间的通信.篡改:当网络用户A向B发送报文时,报文在转发的过程中被C更改.9.1.2网络的安全威胁伪造:网络用户C非法获取用户B的权限并以B的名义与A进行通信.截获:当网络用户A与B进行通信时,如果不采取任何保密措施,那么其他人就有可能偷看到他们之间的通信内容.9.1.2网络的安全威胁还有一种特殊的主动攻击就是恶意程序的攻击.恶意程序的种类繁多,对网络安全构成较大威胁的有:计算机病毒:一种会“传染”其他程序的程序,传染是通过修改其他程序来将自身或其变种复制进去完成的.9.1.2网络的安全威胁计算机蠕虫:一种执行的功能超出其所声称的功能.如一个编译程序除执行编译任务之外,来还将用户的源程序偷偷地复制下来,这种程序就是一种特洛伊木马.计算机机病毒有时也以特洛伊木马的形式出现.逻辑炸弹:一种当运行环境满足某种特定条件时执行其他特殊功能的程序.如一个编译程序在平时运行得很好,但当系统时间为13日又为星期五时,它删除系统中所有的文件,这种程序就是一种逻辑炸弹.9.1.2网络的安全威胁主动攻击是指攻击者对连接中通过的PDU(协议数据单元)进行各种处理.如有选择的更改,删除,延迟这些PDU.还可以在以后的时间将以前录下的PDU插入这个连接(即重放攻击),甚至还可以将合成的或伪造的PDU送入到一个连接中去.所有主动攻击都是上述各种方法的某种组合,从类型上还可以将主动攻击分为以下三种:更改报文流;拒绝连接初始化;9.1.3网络安全策略9.1.3网络安全策略为应对网络可能带来的安全威胁,需要一定的网络安全策略.常用的网络安全策略包括防护,检测,响应,恢复.如下图所示9.1.3网络安全策略防护:是根据系统已知的可能安全问题采取一些预防措施,如打补丁,访问控制,数据加密等.检测:安全策略的第二关是检测.攻击者如果穿过防护系统,检测系统就会检测出来.如检测入侵者的身份,包括攻击源,系统损失等到.响应:检测关一旦检测出入侵,响应系统则开始响应,进行事件处理.通过紧急响应进行事件处理.9.1.3网络安全策略恢复:指事件发生后,将系统恢复到原来状态或比原来更安全的状态.它可分为系统恢复和信息恢复两个方面.系统恢复是指修补缺陷和消除后门.系统恢复包括系统升级,软件升级,打补丁..通常,黑客第一次入侵后是利用系统缺陷,在入侵成功后,黑客就在系统中留下一些后门,如安装木马程序.尽管缺陷被补丁修复,黑客还可以再通过后门入侵.因此,消除后门是系统恢复的另一种重要工作.信息恢复是指恢复丢失数据.丢失数据可能是由于黑客入侵所致,也可能是由于系统故障,自然灾害等到原因所致.9.1.4网络安全机制与手段为确保计算机网络安全,必须实施一定的安全机制.通过有加密机制,数字签名机制,访问控制机制,数据完整机制,认证交换机制,防业务流分析机制,路由控制机制,公证机制.9.1.4网络安全机制与手段加密机制:它可用来加密存放着的数据或流通中的信息;它即可以单独使用也可以同其他机制结合使用.加密算法通常分为单密钥系统和公开密钥系统.数字签名机制:对信息进行签字的过程和对已经签字的信息进行证实的过程.前者要使用签字者的私有信息(如私有密钥);后都使用公开的信息(如公开密钥),以核实签字是否由签字者的私有信息产生.数字签名机制必须保证签字只能由签字者的私人信息产生.9.1.4网络安全机制与手段访问控制机制:它是根据实体