网络管理与网络安全.ppt

第八章网络管理与网络安全 Leiyu 1 网络管理的意义和目标 当前计算机网络的发展特点是规模不断扩大 复杂性不断增加 异构性越来越高 一个网络往往由若干个大大小小的子网组成 集成了多种网络操作系统 NOS 平台 并且包括了不同厂家 公司的网络设备和通信设备等 网络中还有许多网络软件提供各种服务 随着用户对网络性能要求的提高 建立一个高效的管理系统对网络系统进行管理 是保证网络正常运行的必要措施 2 网络管理方案的标准 为了能支持各种网络的互连及其管理 网络管理必须要遵从国际性的标准与协议 国际上有一些组织机构致力于研究 制定 开发网络管理的服务标准 协议和体系结构 其中最重要的有 国际标准化组织 ISO 国际电信联盟电信标准化部 ITU T Internet工程任务组 IETF 这三个组织制定了一系列的网络管理标准 为网络管理的标准化进程做了大量工作 ISO网络管理模式 目前国际化标准化组织ISO制定了大量的有关网络管理的标准 其内容统称为OSI系统管理 最主要的标准有 OSI管理框架 IS7489 4 公共管理信息服务 IS9595 公共管理信息协议 CMIP IS9596 管理信息结构 DIS10165 系统管理概述 DIS10040 系统管理功能域 DIS10164 ISO网络管理模式 OSI模型规定的网络管理的主要功能有配置管理 性能管理 故障管理 安全管理和计费管理5大类 1 故障管理 faultmanagement 网络故障管理包括故障检测 隔离和纠正三方面 应包括以下典型功能 维护并检查错误日志接受错误检测报告并作出响应跟踪 辨认错误执行诊断测试纠正错误 2 计费管理 accountingmanagement 计费管理记录网络资源的使用 目的是控制和监测网络操作的费用和代价 它对一些公共商业网络尤为重要 它可以估算出用户使用网络资源可能需要的费用和代价 以及已经使用的资源 网络管理员还可规定用户可使用的最大费用 从而控制用户过多占用和使用网络资源 这也从另一方面提高了网络的效率 另外 当用户为了一个通信目的需要使用多个网络中的资源时 计费管理应可计算总计费用 3 配置管理 configurationmanagement 配置管理包括 设置开放系统中有关路由操作的参数被管对象和被管对象组名字的管理初始化或关闭被管对象根据要求收集系统当前状态的有关信息 获取系统重要变化的信息 更改系统的配置 4 性能管理 performancemanagement 性能管理估价系统资源的运行状况及通信效率等系统性能 其能力包括监视和分析被管网络及其所提供服务的性能机制 一些典型的功能包括 收集统计信息维护并检查系统状态日志确定自然和人工状况下系统的性能改变系统操作模式以进行系统性能管理的操作 5 安全管理 securitymanagement 安全性一直是网络的薄弱环节之一 而用户对网络安全的要求又相当高 因此网络安全管理非常重要 网络中主要有以下几大安全问题 网络数据的私有性 保护网络数据不被侵入者非法获取 授权 authentication 防止侵入者在网络上发送错误信息 访问控制 控制访问控制 控制对网络资源的访问 相应的 网络安全管理应包括对授权机制 访问控制 加密和加密关键字的管理 另外还要维护和检查安全日志 包括 创建 删除 控制安全服务和机制与安全相关信息的分布与安全相关事件的报告 CMIP协议 国际标准化组织ISO对网络管理的标准化工作主要针对OSI 开放系统互连 七层协议的传输环境而设计 其成果是CMIS 公共管理信息服务 和CMIP 公共管理信息协议 CMIS支持管理进程和管理代理之间的通信要求 CMIP则是提供管理信息传输服务的应用层协议 二者规定了OSI系统的网络管理标准 简单网络管理协议 SNMP IETF开发的SNMP 简单网络管理协议 最大的特点是简单性 容易实现且成本低 很快为众多网络厂商接受和采纳 成为事实上的标准 由于SNMP存在一些不足 提出的改进版本SNMPv2 SNMPv3 在多个方面进行了改进和强化 SNMP参考模型3个主要的组成部分 SMI MIB 协议SNMPv1 v2 v3 SNMP参考模型 简单网络管理协议 SNMP SNMP参考模型由以下4个主要部分构成 互联网络 网络协议 网络管理进程和被管网络实体 其中的核心内容是SNMP管理模型 如右图所示 1 网络安全隐患 网络安全的10大不稳定因素 这种网络小甜饼是一些会自动运行的小程序 网站设计师使用它们来为你提供方便而高效的服务 但同时通过使用这些小程序 商业公司和网络入侵者能够轻易获得你机器上的信息 作为一种技术 到底是否成功 一直备受争议 但至少有一点是肯定的 有无数利用 的漏洞成功入侵为你提供服务的服务器的案例 很难想象没有 技术 网站会是什么样子 可能会很难看 可能使用会不太方便 但我们留在服务器上的隐私会得到更大的保障 1 网络安全隐患 续 电子邮件病毒 超过 的人使用互联网是为了收发电子邮件 没有人统计其中有多少正使用直接打开附件的邮件阅读软件 爱虫 发作时 全世界有数不清的人惶恐地发现 自己存放在电脑上的重要的文件 不重要的文件以及其它所有文件 已经被删得干干净净 认证和授权 每当有窗口弹出 问使用者是不是使用本网站的某某认证时 绝大多数人会毫不犹豫地按下 但如果商店的售货员问 把钱包给我 请相信我会取出合适数量的钱替您付款 您说好吗 你一定会斩钉截铁地回答 这两种情况本质上没有不同 1 网络安全隐患 续 微软的软件 产品越做越大 发现漏洞之后用来堵住漏洞的补丁也越做越大 但是又有多少普通用户真正会去下载它们 比尔 盖茨很多技术高手就是因为看不惯他 专门写病毒让微软程序出问题 攻击使用微软技术的站点 但盖茨没有受到太大影响 遭罪的是普通人 自由软件 有了自由软件 才有互联网今天的繁荣 自由软件要求所有结果必须公开 据说让全世界的程序员一起来查找漏洞 效率会很高 这要求网络管理员有足够的责任心和技术能力根据最新的修补方法消除漏洞 不幸的是 跟薪水和股权相比 责任心和技术能力显得没有那么重要 1 网络安全隐患 续 I 内容服务 我们提供私人信息 让我们注册 并提供免费服务 获得巨大的注意力 以及注意力带来的风险投资 这是标准的注意力经济模式 但并没有太多人去留意有很多经济状况不太好的 把用户的信息卖掉 换钱去了 网络管理员管理员可以得到我们的个人资料 看我们的信 知道我们的信用卡号码 如果做些手脚的话 还能通过网络控制我们的机器 我们只能期望他们技术高超 道德高尚 注 ISP 互联网接入服务ICP 内容服务IDC 数据中心服务ICC 呼叫中心服务 安全缺陷 如果网络信息系统本身没有任何安全缺陷 那么恶意攻击者即使再有天 大的本事也不能对网络信息安全和保密构成威胁 但是 不幸的是现在所有的网络信息系统都不可避免地存在着这样或那样的安全缺陷 有些缺陷是可以通过人为努力加以避免或者改进 但有些安全缺陷则是各种折衷所必须付出的代价 普遍存在的安全缺陷 网络的规模 电磁辐射和电磁泄漏 搭线 串音中国特色的安全缺陷 由技术被动性引起的安全缺陷 人员素质问题引起的安全缺陷 缺乏系统的安全标准所引起的安全缺陷 黑客攻击 黑客一般会利用下列的公开协议或工具 收集你的相关信息 SNMP协议 用来查阅网络系统路由器的路由表 从而了解目标主机所在网络的拓扑结构及其内部细节 TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数 Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数 DNS服务器 该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名 Finger协议 用来获取一个指定主机上的所有用户的详细信息 Ping实用程序 可以用来确定一个指定的主机的位置 自动Wardialing软件 可以向目标站点一次连续拨出大批电话号码 直到遇到某一正确的号码使其MODEM响应为止 黑客攻击 续 在收集了你的N多信息之后 黑客就开始分析你的系统安全弱点了 分析出来的一大堆结果就用于探测系统的安全漏洞或安全弱点 黑客可能使用下列方式自动妇描驻留在网络上的主机 自编程序 当黑客发现这些 补丁 程序的接口后就会自己编写程序 通过这个接口进入你的系统 这时你不幸的系统对于黑客来讲就变得一览无余了 利用公开的工具 像Internet的电子安全扫描程序ISS IntemetSecurityScanner 审计网络用的安全分析工具SATAN SecuriAna1ysisToolforAuditingNetwork 等 计算机病毒 病毒程序大致可以分成四种 分别是外壳 入侵 操作系统和源码 外壳病毒将它们自己包裹在主程序病毒的四周 对原来的程序不做修改 这种是比较低级的病毒 因为很容易编写 也很容易去掉 所以一般 50 左右的病毒都是属于这样的 入侵病毒就是把病毒程序的一部分插入到主程序 这种病毒级别比较高 一般不破坏主文件就去不掉 所以占的比例也比较少 这两种病毒一般都攻击可执行程序文件带有COM或EXE扩充的文件 但并不是说 数据文件就没有被攻击的可能性 操作系统病毒工作时把它们自己的一部分来代替操作系统的部分功能 这种病毒级别属于高级的 数目比较少 但是一旦得手 你就准备重装系统 源码病毒当然就是最高级的了 它们是专门针对某一种编程语言而写的 在这种语言写出来的程序被编译之前将它的代码加入进去 因为这种病毒针对性非常强 所以很少见 计算机病毒 续 中病毒症状一般说来 病毒都是通过邮件传播 但是也不一定 总之 你最好密切关注你的计算机 如果忽然发现下面的这些情况 就可能已经被感染了程序忽然运行缓慢文件莫名其妙的出现和消失程序的长度或目标文件被改变屏幕上出现怪异的代码屏幕上条目混乱可用盘空间忽然无故减少CHKDSK和CSANDISK命令返回错误值文件名字忽然无故被更改硬盘驱动器无法访问 防火墙 防火墙的概念在网络中 所谓 防火墙 是指一种将内部网和公众访问网 如Internet 分开的方法 它实际上是一种隔离技术 防火墙是在两个网络通讯时执行的一种访问控制尺度 它能允许你 同意 的人和数据进入你的网络 同时将你 不同意 的人和数据拒之门外 最大限度地阻止网络中的黑客来访问你的网络 换句话说 如果不通过防火墙 公司内部的人就无法访问Internet Internet上的人也无法和公司内部的人进行通信 防火墙 续 防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄 除了安全作用 防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN 虚拟专用网 防火墙的体系结构及组合形式 1 屏蔽路由器 ScreeningRouter 2 双穴主机网关 DualHomedGateway 3 被屏蔽主机网关 ScreenedHostGate