第10章-网络管理与网络安全.ppt

第10章网络管理与网络安全技术 计算机网络应用技术教程 第四版 本章学习要求 掌握 网络管理技术掌握 网络安全的基本概念了解 网络安全策略的概念掌握 网络防火墙技术了解 网络防病毒技术 计算机网络应用技术教程 第四版 10 1网络管理技术 网络管理的重要性网络管理的基本概念网络管理的主要功能网管系统的基本概念网络管理的协议标准 计算机网络应用技术教程 第四版 10 1 1网络管理的重要性 随着网络规模的不断扩大 网络结构也变得越来越复杂用户对网络应用的需求不断提高 企业和用户对网络的依赖程度越来越高网络管理是网络设计 实现 运行与维护等环节中的关键问题 计算机网络应用技术教程 第四版 10 1 2网络管理的基本概念 狭义的网络管理是指对网络通信量的管理广义的网络管理是指对网络系统的管理网络管理的定义 用于运营 管理与维护一个网络 以及提供网络服务与信息处理所需的各种活动的总称 计算机网络应用技术教程 第四版 网络管理系统结构 管理对象 managedobject 经过抽象的网络元素 对应于网络中具体可以操作的数据管理进程 managerprocess 负责对网络设备进行管理与控制的软件管理协议 managementprotocol 负责定义在管理系统与被管对象之间传输的操作命令 计算机网络应用技术教程 第四版 管理信息库 管理信息库 managementinformationbase MIB 是管理进程的部分管理信息库用于记录网络中被管对象的状态参数值 计算机网络应用技术教程 第四版 MIB库的处理方式 事件驱动方式网络监控设备在发现被管对象的状态发生变化后 及时向管理进程报告轮询驱动方式管理进程主动轮流查询整个网络中设备的工作状态 参数 计算机网络应用技术教程 第四版 10 1 3网络管理的主要功能 配置管理 configurationmanagement 故障管理 faultmanagement 性能管理 performancemanagement 安全管理 securitymanagement 记账管理 accountingmanagement 计算机网络应用技术教程 第四版 10 1 4网管系统的基本概念 网管系统 networkmanagementsystem NMS 是用来实现网络管理功能的软件或硬件系统从逻辑结构上 网管系统通常包括3个部分 管理对象 管理进程与管理协议 计算机网络应用技术教程 第四版 网管系统的分类 专用网络管理系统 即网元管理系统 elementmanagementsystem EMS 通用网络管理系统 即网络管理系统 networkmanagementsystem NMS 计算机网络应用技术教程 第四版 10 1 5简单网络管理协议 简单网络管理协议 simplenetworkmanagementprotocol SNMP 是一种流行的网络管理协议SNMP管理模型包括 管理进程 管理代理与管理信息库 计算机网络应用技术教程 第四版 SNMP管理模型 计算机网络应用技术教程 第四版 10 2网络安全的基本概念 网络安全的重要性网络安全的基本问题网络安全服务的主要内容网络安全标准 计算机网络应用技术教程 第四版 10 2 1网络安全的重要性 网络应用正在改变人们的工作方式 生活方式与思维方式计算机犯罪正引起社会的关注 网络成为犯罪分子攻击的重点健全网络与信息安全的相关法律 提高网络管理人员的素质 法律意识与技术水平 提高网络用户遵守规则的自觉性 提高网络与信息系统安全水平 计算机网络应用技术教程 第四版 10 2 2网络安全的基本问题 网络防攻击问题网络安全漏洞与对策问题网络的信息安全保密问题网络内部安全防范问题网络防病毒问题网络数据备份与恢复 灾难恢复问题 计算机网络应用技术教程 第四版 网络防攻击问题 服务攻击攻击提供某种服务的网络服务器 造成网络的 拒绝服务 以使网络工作不正常非服务攻击不针对某种具体应用 基于网络层等低层协议进行攻击 使网络设备严重阻塞或瘫痪 计算机网络应用技术教程 第四版 网络防攻击研究的几个问题 网络可能遭到哪些人的攻击 攻击类型与手段可能有哪些 如何及时检测并报告网络被攻击 如何设计相应的网络安全策略与网络安全防护体系 计算机网络应用技术教程 第四版 网络安全漏洞与对策问题 计算机硬件与操作系统网络硬件与软件数据库管理系统应用软件网络通信协议 计算机网络应用技术教程 第四版 网络的信息安全保密问题 信息存储安全如何保证存储在计算机中的信息不被未授权的网络用户非法使用信息传输安全如何保证信息在网络传输的过程中不被截获 泄露与非法篡改 计算机网络应用技术教程 第四版 数据加密与解密过程 计算机网络应用技术教程 第四版 网络内部安全防范问题 网络内部安全防范是防止内部合法用户有意或无意做出危害网络与信息安全的行为有意或无意泄露网络用户 管理员密码绕过防火墙私自与外部网络连接越权查看 修改与删除系统文件 应用程序与数据越权修改网络配置 造成网络工作不正常 计算机网络应用技术教程 第四版 网络防病毒问题 网络病毒危害巨大网络病毒的传播速度是单机20倍电子邮件病毒可以瘫痪用户计算机 有些病毒甚至会破坏系统硬件 计算机网络应用技术教程 第四版 网络数据备份与恢复 灾难恢复问题 如果由于网络故障造成数据丢失 数据能否被恢复 如果网络由于某种原因损坏 重新购买设备的资金可以提供 但是原有系统的数据能否恢复 计算机网络应用技术教程 第四版 10 2 3网络安全服务主要内容 数据保密 dataconfidentiality 认证 authentication 数据完整 dataintegrity 防抵赖 non repudiation 访问控制 accesscontrol 计算机网络应用技术教程 第四版 10 2 4网络安全标准 电子计算机系统安全规范 1987年10月计算机软件保护条例 1991年5月计算机软件著作权登记办法 1992年4月中华人民共和国计算机信息与系统安全保护条例 1994年2月计算机信息系统保密管理暂行规定 1998年2月关于维护互联网安全决定 全国人民代表大会常务委员会通过 2000年12月 计算机网络应用技术教程 第四版 安全级别的分类 1983年 可信计算机系统评估准则 TC SEC NCSC 1985年 可信网络说明 TNI TC SEC NCSC将计算机系统安全等级分为4类7个等级 D C1 C2 B1 B2 B3与A1其中 D级系统的安全要求最低 A1级系统的安全要求最高 计算机网络应用技术教程 第四版 10 3网络安全策略的概念 网络安全策略的设计网络安全策略的定制定网络安全受到威胁时的行动方案 计算机网络应用技术教程 第四版 10 3 1网络安全策略的设计 哪些企业内部网资源或服务需要提供给外部用户访问 哪些企业内部用户需要访问外部网络资源 哪些因素可能对网络资源与服务构成威胁 哪些资源需要重点保护 哪些方法可以保护这些资源 发现网络受到攻击后如何处理 计算机网络应用技术教程 第四版 网络安全策略与网络用户的关系 网络安全策略包括2方面 技术与制度 只有将二者结合 才能有效保护网络资源网络安全策略要保证用户有效完成工作 不引发用户设法绕过网络安全系统的现象好的网络安全策略应解决网络使用与安全的矛盾 网络管理员与用户都乐于接受 计算机网络应用技术教程 第四版 网络安全策略的设计思想 网络安全策略的2种思想 凡是没有明确允许就要禁止 凡是没有明确禁止就要允许网络安全策略通常采用第一种思想 明确限定用户在网络中的访问权限与服务符合规定用户在网络访问 最小权限 的原则 给用户完成工作 必要 的访问权限与服务 又便于网络管理 计算机网络应用技术教程 第四版 10 3 2网络安全策略的制定 分析网络中哪些资源重要 哪些用户可以使用这些资源 哪些用户可能构成威胁 以及如何保护这些资源定义可能对资源构成威胁的因素 以确定可能造成信息丢失和破坏的因素了解对资源构成威胁的来源与类型 针对这些问题提出保护方法 计算机网络应用技术教程 第四版 网络使用与责任的定义 允许哪些用户使用网络资源 允许用户对网络资源进行哪些操作 谁来批准用户的访问权限 谁具有系统用户的访问权限 网络用户与网络管理员的权利 责任 计算机网络应用技术教程 第四版 制定网络使用制度注意的问题 用户账户是否可能破坏 用户密码是否可能破译 是否允许用户共享账户 如果授权多个用户访问某类资源 用户是否真能获得这种权利 网络服务是否会出现混乱 计算机网络应用技术教程 第四版 10 3 3网络安全受到威胁时的行动方案 由于疏忽而造成的危害由于偶然的操作错误而造成的危害由于对网络安全制度无知而造成的危害由于有人故意破坏而造成的危害 计算机网络应用技术教程 第四版 保护方式 网络管理员发现网络安全遭到破坏时 立即制止非法侵入的活动 恢复网络的正常工作状态 分析事故的性质与原因 尽量减少事故造成的损害适合的情况非法侵入的活动将要造成很大危险跟踪非法侵入活动的代价太大从技术上跟踪非法侵入的活动很难实现 计算机网络应用技术教程 第四版 跟踪方式 网络管理员发现网络安全遭到破坏时 不立即制止非法侵入的活动 采取措施跟踪闯入者的活动 检测非法侵入的来源 目的 访问的资源 判断非法侵入的危害 确定处理此类非法侵入的方法适合的情况被攻击的网络资源目标明确已存在多次对某种资源的非法侵入已找到控制非法侵入的方法非法侵入的短期活动不至于立即造成网络资源与系统遭到重大损失 计算机网络应用技术教程 第四版 10 4网络防火墙技术 防火墙的基本概念防火墙的主要类型防火墙系统的结构 计算机网络应用技术教程 第四版 10 4 1防火墙的基本概念 防火墙 firewall 是在网络之间执行安全控制策略的系统 它通常由硬件和软件组成设置防火墙的目的 保护内部网络资源不被外部非授权用户使用 防止内部受到外部非法用户的攻击 计算机网络应用技术教程 第四版 防火墙的位置 计算机网络应用技术教程 第四版 10 4 2防火墙的主要类型 包过滤路由器应用级网关应用代理 计算机网络应用技术教程 第四版 包过滤路由器 包过滤路由器 packetrouter 按系统内部设置的包过滤规则 访问控制表 检查每个分组的源与目的地址 决定是否转发分组包过滤规则通常基于部分或全部报头内容 TCP报头信息包括 源地址 目的地址 协议类型 IP选项 源端口 目的端口 TCPACK标识等 计算机网络应用技术教程 第四版 包过滤路由器结构 计算机网络应用技术教程 第四版 应用级网关 多归属主机又称多宿主主机 具有两个或两个以上的网络接口 具有在不同网络之间交换数据的能力多归属主机连接两个网络称为双归属主机 只要确定应用程序访问控制规则 可以采用双归属主机作为应用级网关 在应用层过滤内部网络特定服务的请求与响应 计算机网络应用技术教程 第四版 应用级代理 计算机网络应用技术教程 第四版 10 4 3防火墙系统的结构 屏蔽路由器结构堡垒主机结构屏蔽主机网关结构 计算机网络应用技术教程 第四版 10 5网络防病毒技术 计算机病毒的概念网络工作站防病毒方法网络防病毒软件的应用 计算机网络应用技术教程 第四版 10 5 1计算机病毒的概念 计算机病毒 computervirus 是破坏计算机功能或毁坏数据 并能自我复制 影响计算机使用的应用程序在很多情况下 目标文件被修改并将恶意代码拷贝进去 一旦感染病毒 宿主文件就变成病毒再感染其他文件 计算机网络应用技术教程 第四版 典型的网络病毒 木马称为特洛伊木马 Trojanhorse 是一种非自身复制程序 木马会伪装成一种程序 木马不改变或感染其它文件 它通常包含有后门程序 使黑客可访问计算机系统蠕虫 worm 是一种复杂的自身复制代码 它完全依靠自身来传播 蠕虫的典型传播方式是利用广泛使用的网络应用 例如电子邮件 计算机网络应用技术教程 第四版 网络病毒的危害 网络病毒感染通常从用户工作站开始 网络服务器是病毒潜在的攻击目标 也是网络病毒潜藏的重要场所网络服务器可能被感染并造成服务器瘫痪 它可以成为病毒传播的代理人 在工作站之间迅速传播与蔓延病毒 计算机网络应用技术教程 第四版 10 5 2网络工作站防病毒方法 无盘工作站单机防病毒卡网络防病毒卡 计算机网络应用技术教程 第四版 10 5 3网络防病毒软件的应用 网络防病毒软件多数运行在文件服务器中 可检查与清除服务器与工作站中的病毒网络防病毒软件的基本功能 对服务器和工作站进行扫描 检查 隔离与报警 当发现病毒时 由网络管理员负责