网络管理与信息安全.ppt

计算机网络ComputerNetwork 2020年4月14日 2 33 计算机网络 刘桂江 课程目录 第1章概述第2章物理层与数据通信基础第3章数据链路层第4章局域网第5章网络层第6章网络互联技术第7章传输层第8章应用层第9章网络管理与信息安全第10章网络新技术专题 3 33 计算机网络 刘桂江 9 1网络管理基础9 2网络信息安全概述9 3数据加密算法9 4常用网络安全技术举例 第9章网络管理与信息安全 4 33 计算机网络 刘桂江 9 1网络管理基础 9 1 1网络管理的功能9 1 2简单网络管理协议SNMP 5 33 计算机网络 刘桂江 ISO在网络管理的标准中定义了网络管理的五个功能域 1 配置管理 管理所有的网络设备 含各设备参数的配置与设备帐目的管理 2 故障管理 找出故障的位置并进行恢复 9 1 1网络管理的功能 1 2 6 33 计算机网络 刘桂江 3 性能管理 统计网络的使用状况 根据网络的使用情况进行扩充 确定设备的规划 4 安全管理 限制非法用户窃取或修改网络中的重要数据等 5 计费管理 记录用户使用网络资源的数量 调整用户使用网络资源的配额大小和记帐收费 9 1 1网络管理的功能 2 2 7 33 计算机网络 刘桂江 SNMP的设计思想 十分简单 它通过SNMP的PDU 协议数据单元 来与被管理的对象交换信息 这些对象有对象所特有的属性和值 SNMP共有五种PDU其中两个用来读取数据 两个用来设置数据 还有一个用来监视网络上发生的事件 如网络故障报警信息等等 9 1 2简单网络管理协议SNMP 1 7 8 33 计算机网络 刘桂江 优点最大优点是它的简单性 容易设立 容易编程 而且对网络不会造成很大压力当前已经被广泛使用可扩充性缺点安全性 为网络黑客的入侵提供了方便之门 9 1 2简单网络管理协议SNMP 2 7 9 33 计算机网络 刘桂江 SNMP网络管理模型 9 1 2简单网络管理协议SNMP 3 7 10 33 计算机网络 刘桂江 SNMP采用简化的面向对象的方法来实现对网络设施的管理 SNMP管理模型由以下四个部分组成被管对象被管设施可以是一个网桥 路由器 网络打印机 TCP连接 路由端口状态等等网络管理站网络管理站向网络管理员提供了对网络的管理界面 所有网络管理功能都在网络管理站上得到体现 9 1 2简单网络管理协议SNMP 4 7 11 33 计算机网络 刘桂江 网络管理信息代理是被管对象在网络管理环境中的数值体现 被管对象的有关信息保留在代理内部 这些信息就是网络管理信息网络管理协议网络管理站通过SNMP协议与代理通信 这个协议使得网络管理站可以获取代理的信息 9 1 2简单网络管理协议SNMP 5 7 12 33 计算机网络 刘桂江 SNMP协议中的信息用ASN 1来定义 称为SMI StructureofManagementInformation SMI由三部分组成 模块定义 对象定义和通知定义 模块定义用来定义网络管理信息模块 使用MODULE IDENTITY来定义模块的语法和语义对象定义用来定义被管对象 使用OBJECT TYPE来定义对象的语法和语义通知定义用来定义网络设施发出的事件信息 用NOTIFICATION TYPE来定义通知的语法和语义 9 1 2简单网络管理协议SNMP 6 7 13 33 计算机网络 刘桂江 9 1 2简单网络管理协议SNMP 7 7 到目前为止 已经开发了三个版本的SNMP 它们是SNMPv1 SNMPv2和SNMPv3SNMPv1最初的版本 通过RFC1155 RFC1212 RFC1157三个文档进行定义SNMPv2SNMPv2在RFC1902到RFC1907中定义 RFC1908定义了SNMPv1和SNMPv2共存及转换等问题SNMPv3SNMPv3由RFC2271到RFC2275定义 描述了SNMPv2中所缺乏 或者讲不完善 的安全和管理方面的问题 14 33 计算机网络 刘桂江 9 2网络信息安全概述 9 2 1网络安全隐患与对策9 2 2病毒与防范 15 33 计算机网络 刘桂江 9 2 1网络安全隐患与对策 1 2 大多数安全问题都是由于某些恶意的人企图获得某种利益而故意制造的 例如窃取机密的 隐私的信息 攻击系统 使系统不能提供正常的服务 对系统进行破坏性攻击 造成系统崩溃 篡改数据等 网络信息安全主要表现在以下方面 保密性是保证信息只为授权用户使用的特性 防止信息泄露给非授权用户 完整性是防止信息未经授权地擅自被改变的特性 真实可靠性是指系统能够完成规定的功能并确保信息的可靠 不可抵赖性是指建立有效的责任机制 防止用户否认其行为 可控制性是指授权机构对信息的内容以及传播具有控制能力的特性 可以控制授权范围内信息的流向以及方式 16 33 计算机网络 刘桂江 9 2 1网络安全隐患与对策 2 2 计算机网络的安全性主要通过隔离技术 防火墙技术 网络防病毒技术 加密技术 网络管理技术等一系列的手段来实现 网络安全涉及的内容既有技术方面的问题 也有管理方面的问题 技术方面主要侧重于防范外部非法用户的攻击 管理方面则侧重于内部人为因素的管理 17 33 计算机网络 刘桂江 恶意程序 1 系统病毒 此类病毒是传统定义的病毒 直接以破坏系统正常工作为目的 2 计算机蠕虫 通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序 3 特洛伊木马 木马病毒与系统病毒的一个重大区别在于木马病毒通常不能自我复制 木马病毒表面上以正常的程序形式存在 继承了与用户相同的 唯一的优先权和存取权 4 流氓软件或恶意软件 是指在未明确提示用户或未经用户许可的情况下 在用户计算机或其他终端上安装运行 侵犯用户合法权益的软件 9 2 2病毒与防范 1 2 18 33 计算机网络 刘桂江 9 2 2病毒与防范 2 2 病毒的防治1 安装杀毒软件及防火墙 2 严格管理制度 养成个人良好的使用计算机系统的习惯 3 有备无患 备份系统 经常备份数据 把病毒的危害降到最低 19 33 计算机网络 刘桂江 9 3数据加密算法 9 3 1数据加密一般原理9 3 2对称密钥算法9 3 3公开密钥算法 20 33 计算机网络 刘桂江 9 3 1数据加密一般原理 数据加密的基本过程密文只能在输入相应的密钥之后才能显示出本来内容 明文 密文 某种算法 21 33 计算机网络 刘桂江 9 3 2对称密钥算法 对称加密 是一种单钥密码系统 其加密运算 解密运算使用的是同样的密钥 信息的发送者和信息的接收者在进行信息的传输与处理时 必须共同持有该密码 称为对称密码 A B 22 33 计算机网络 刘桂江 9 3 3公开密钥算法 1 4 在公钥密码系统中 加密和解密使用的是不同的密钥 又称为非对称密钥 这两个密钥之间存在着相互依存关系 即用其中任一个密钥加密的信息只能用另一个密钥进行解密 加密密钥和算法是对外公开的 人人都可以通过这个密钥加密文件然后发给收信者 这个加密密钥又称为公钥 收信者收到加密文件后 可以使用他的解密密钥解密 这个密钥是由他自己私人掌管的 并不需要分发 因此又称为私钥 23 33 计算机网络 刘桂江 9 3 3公开密钥算法 2 4 解密密钥不能从加密密钥获得 假设明文为P 加密算法为E 包括密钥 解密算法为D 包括密钥 要求满足以下三个条件 D E P P从E推导D是极其困难的E不能通过部分明文来解破 24 33 计算机网络 刘桂江 RSA算法选择两个大整数p和q 一般要求大于10100计算n p q和z p 1 q 1 选择一个与z互素的整数 记为d计算满足下列条件的e e d modz 1 9 3 3公开密钥算法 3 4 25 33 计算机网络 刘桂江 在进行加密时 首先可以把待加密的明文分割成一定大小的块P 这个P可以看成是一个整数 要求0 P n 我们可以把P的长度设为k 则要求2k n对P加密就是计算C Pemodn 解密则为P Cdmodn 可以证明在指定范围内的P 上述等式成立 为了加密 我们需要e和n 为了解密 我们需要d和n 这样 加密密钥 即公开密钥 为 e n 解密密钥 即秘密密钥 为 d n 9 3 3公开密钥算法 4 4 26 33 计算机网络 刘桂江 9 4常用网络安全技术举例 9 4 1身份鉴别9 4 2数字签名9 4 3数字证书9 4 4防火墙 firewall 9 4 5Web的安全性技术SSL 27 33 计算机网络 刘桂江 9 4 1身份鉴别 身份鉴别的过程就是证明某人身份的过程 身份鉴别系统主要包括用户与服务器间的身份鉴别 服务器与服务器之间的身份鉴别以及用户之间的身份鉴别 其中主要以用户和服务器之间的身份鉴别最为普遍 28 33 计算机网络 刘桂江 9 4 2数字签名 数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名 来代替手工书写签名和印章 它采用了规范化的程序和科学化的方法 用于鉴定签名人的身份以及对一项电子数据内容的认可 它还能验证出文件的原文在传输过程中有无变动 确保传输电子文件的完整性 真实性和不可抵赖性 29 33 计算机网络 刘桂江 9 4 3数字证书 数字证书就是互联网通信中标志通信各方身份信息的一系列数据 提供了一种在Internet上验证身份的方式 它是由一个权威机构 CA CertificateAuthority 证书授权中心 发行的 人们可以在网上用它来识别对方的身份 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件 最简单的证书包含一个公开密钥 名称以及证书授权中心的数字签名 一般情况下证书中还包括密钥的有效时间 发证机关 证书授权中心 的名称 该证书的序列号等信息 30 33 计算机网络 刘桂江 9 4 4防火墙 1 2 防火墙是由软件 硬件构成的系统 用来在两个网络之间实施接入控制策略 接入控制策略由使用防火墙的单位自行制订 防火墙内的网络称为可信赖的网络 而将外部的因特网称为不可信赖的网络 防火墙能够允许或阻止出入网络的信息流 它能够有效的监控可信赖的内部网络和不可信赖的外部网络之间的任何活动 从而保证了内部可信赖网络的安全性 31 33 计算机网络 刘桂江 常见的防火墙一般分为三类 1 包过滤防火墙包过滤 就是在网络中适当的位置 依据系统内设置的过滤规则 对数据包实施有选择的通过 2 代理防火墙代理型防火墙是内部网与外部网的隔离点 起着监视和隔绝应用层通信流的作用 通过对各种应用服务分别设立代理的方法 在应用层对网络攻击进行防范 3 复合型防火墙 9 4 4防火墙 2 2 32 33 计算机网络 刘桂江 9 4 5Web的安全性技术SSL 1 2 SSL又称为安全插口层 SecureSocketLayer 可对万维网客户与服务器之间传送的数据进行加密和鉴别 SSL在双方的联络阶段协商将使用的加密算法和密钥 以及客户与服务器之间