计算机网络教程网络安全与管理

1、计算机网络教程计算机网络教程清华大学出版社清华大学出版社2012年年1月月第第9章章 网络安全与管理网络安全与管理第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.1网络网络安全安全的定义的定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.1网络安全的定义网络安全的定义 网络安全从其本

2、质上来讲就是网络上的信息安全。 从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、可靠性和可控性的相关技术和理论都是网络安全的研究领域。第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.2网络安全威胁的分类网络安全威胁的分类 l网络面临的安全威胁主要有：（1）窃听：攻击者通过监视网络数据获得敏感信息；（2）重传：攻击者事先获得部分或全部信息，再将此信息发送给接收者；（3）伪造：攻击者将伪造的信息发送给接收者；第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.2网络安全威胁的分类网络安全威胁的分类 （4）篡改：攻击者对合法用户之间的通讯信息进行修改

3、、删除、插入，再发送给接收者；（5）拒绝服务攻击：攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务；（6）行为否认：通讯实体否认已经发生的行为；第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.2网络安全威胁的分类网络安全威胁的分类 （7）非授权访问：没有预先经过同意，就使用网络或计算机资源。主要有这几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等；（8）传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。 第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.3网络安全与保密的目标网络

4、安全与保密的目标 网络信息安全与保密的目标主要表现在系统的保密性、完整性（或真实性）、可靠性、可用性、不可抵赖性、可控性等方面：（1）保密性 是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.3网络安全与保密的目标网络安全与保密的目标 （2）完整性 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失

5、的特性。 完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。 第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.3网络安全与保密的目标网络安全与保密的目标 （3）可靠性 是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。 第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.3网络安全与保密的目标网络安全与保密的目标 （4）可用性 是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是

6、网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 第9章 网络安全与管理9.1网络安全问题概述网络安全问题概述 9.1.3网络安全与保密的目标网络安全与保密的目标 （5）不可抵赖性 也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 （6）可控性 是对网络信息的传播及内容具有控制能力的特性。 第9章 网络安全与管理9.2计算机病毒及其防范计算机病毒及其防范 9.2.1计算机病毒的概念和特征计算机病毒的概念和特征 l计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且

7、能够自我复制的一组计算机指令或者程序代码。 l计算机病毒具有以下几个特征： （1）破坏性 （2）隐蔽性（3）传染性 （4）潜伏性 （5）非授权可执行性 第9章 网络安全与管理9.2计算机病毒及其防范计算机病毒及其防范 9.2.2计算机病毒的分类计算机病毒的分类 按病毒存在的媒体分类 可以划分为文件病毒、引导型病毒、网络病毒。 按病毒传染的方法分类 可分为驻留型病毒和非驻留型病毒。 按病毒破坏的能力分类 可分为无害型病毒、无危险型病毒、危险型病毒、非常危险型病毒。 第9章 网络安全与管理9.2计算机病毒及其防范计算机病毒及其防范 9.2.2计算机病毒的分类计算机病毒的分类 按病毒的算法分类 可分

8、为伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习型病毒、诡秘型病毒、变型病毒。 按病毒的链结方式分类 可分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。第9章 网络安全与管理9.2计算机病毒及其防范计算机病毒及其防范 9.2.3计算机病毒的防范技术计算机病毒的防范技术 防范计算机病毒要做到以下几点：（1）及时下载操作系统补丁 ；（2）利用杀毒软件和防火墙；（3）使用系统自带命令 ；（4）检查电脑的注册表 ；（5）检查系统配置文件 ；第9章 网络安全与管理9.2计算机病毒及其防范计算机病毒及其防范 9.2.4特洛伊木马特洛伊木马 特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序

9、，控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。 第9章 网络安全与管理9.3数据恢复数据恢复 9.3.1数据恢复概述数据恢复概述 数据恢复是指通过技术手段，将保存在硬盘、磁带、U盘等设备上丢失的电子数据进行抢救和恢复的技术。 数据恢复的原理：（1）删除、格式化等简单操作后数据仍然存在于硬盘中，在了解数据在硬盘、优盘、软盘等介质上的存储原理后，丢失的数据也可以恢复。（2）只要数据没有被覆盖，数据就有可能恢复回来。 第9章 网络安全与管理9.3数据恢复数据恢复 9.3.2常用的数据恢复工具常用的数据恢复工具 常用的数据恢复软件有：Easy Recover

10、y、R-STUDIO、效率源DATACOMPASS、salvtiondata、PC-3000、Final Data、easy undelete、PTDD、WinHex、DiskGenius、RAID Reconstructor、易我数据恢复向导等 。第9章 网络安全与管理9.4电子邮件安全电子邮件安全 9.4.1PGP的安装的安装 PGP的安装很简单，和平时的软件安装一样，只须按提示一步步点击“Next”完成即可。第9章 网络安全与管理9.4电子邮件安全电子邮件安全 9.4.2PGP的使用的使用 PGP主要有以下功能： （1）加密文件； （2）密钥生成 ； （3）密钥管理； （4）收、发电子邮

11、件； （5）数字签名 ； （6）证明密钥 ； 此外，PGP还支持一些辅助功能，如数据压缩、简单浏览翻阅、输出处理文件等。第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.1入侵检测的定义和分类入侵检测的定义和分类 入侵检测技术是主动保护自己免受攻击的一种网络安全技术，通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.1入侵检测的定义和分类入侵检测的定义和分类 l入侵检测的分类：（1）按数据源分类，可分为主机型和网络型； （2）按时间分类，可分为

12、实时入侵检测和事后入侵检测两种； （3）按技术分类，可分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.2入侵检测的步骤入侵检测的步骤 入侵检测分为三步：信息收集、信息分析和结果处理。 （1）信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 由放置在不同网段的传感器或不同主机的代理来收集信息。 第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.2入侵检测的步骤入侵检测的步骤 （2）信息分析 收集到的有关系统、网络、数据及用

13、户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。 当检测到某种误用模式时，产生一个告警并发送给控制台。第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.2入侵检测的步骤入侵检测的步骤 （3）结果处理 控制台按照告警产生预先定义的响应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。第9章 网络安全与管理9.5入侵检测技术入侵检测技术 9.5.3入侵检测系统入侵检测系统Snort l1998年，Martin Roesch先生用C语言开发了开放源代码的入侵检测系统S

14、nort；l目前，Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统；l Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。 第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.1电子证据的概念和特点电子证据的概念和特点 l电子证据，是指以电子形式存在的用作证据的一切材料及其派生物，或者说是借助电子技术或电子设备而形成的一切证据。 l电子证据作为新兴的证据类型，与传统证据存在着差别，具有高科技性、无形性、多样性、真实性和易破坏性等特点。 第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.2计算机取证的定义和

15、过程计算机取证的定义和过程 l计算机取证就是对计算机犯罪的证据进行获取、保存、分析和出示，它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。 计算机取证的过程分为五个基本步骤：（1）取证准备，准备取证过程中所要使用的工具和设备，对证据所处的环境进行分析。第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.2计算机取证的定义和过程计算机取证的定义和过程 （2）现场保护，在确定电子证据可能存在的所有场所之后，要进行现场证据保护和设备保管，目的是保护物理或逻辑的犯罪现场。（3）证据收集，在犯罪现场搜索和定位计算机证据。第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.2计算机

16、取证的定义和过程计算机取证的定义和过程 （4）证据分析，将从现场收集的证据进行处理和分析，进一步提取出其中对案件侦破有帮助的关键性证据。（5）证据提交，将最终获得的所有证据进行提交、展示，并将分析使用的一部分证据返还。第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 常用的工具软件有：（1）文件浏览器：专门用来查看数据文件的阅读工具，只用于查看而没有编辑和恢复功能，体积较小并可以防止证据的破坏。 比较好的软件是Quik View Plus，它可以识别200种以上文件类型，可以浏览各种电子邮件文档。第9章 网络安全与管理9.6 计算机取证计算

17、机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 （2）图片检查工具：ThumbsPlus是一个功能很全面的进行图片检查的工具。（3）反删除工具：最主要的是诺顿工具。（4）CD-ROM工具：使用CD-R Diagnostics可以看到在一般情况下看不到的数据。第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 （5）文本搜索工具：dtSearch是一个很好的用于文本搜索的工具，特别是具有搜索Outlook的.pst文件的能力。（6）驱动器映像程序：即逐位拷贝以建立整个驱动器的映像，可以满足取证分析的磁盘映像软件包括：SafeBack

18、、SnapBack、Ghost、dd（UNIX中的标准工具）等。 第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 （7）磁盘擦除工具：主要用在使用取证分析机器之前，为了确保分析机器的驱动器中不包含残余数据，只是简单的格式化肯定不行。 从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 （8）取证程序：取证软件的功能倾向于同时拥有收集及分析数据的功能。 国际上的主流产品有Forensic Toolkit

19、 。 第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.3计算机取证的常用工具计算机取证的常用工具 （9）The Coroners Toolkit（TCT）：主要用来调查被“黑”的Unix主机。（10）EnCase：一个完全集成的基于Windows界面的取证应用程序。（11）ForensicX：主要运行于Linux环境，是一个以收集数据及分析数据为主要目的的工具。 第9章 网络安全与管理9.6 计算机取证计算机取证 9.6.4网络取证技术网络取证技术 l网络取证主要通过对网络数据流、审计数据、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，自动记录犯罪证据，并阻止对网络系统的进一步入侵。 网络取证主要包括以下技术：高效截包技术、会话重建技术、专家系统 、数据挖掘技术 。 第9章 网络安全与管理9.7网络管理网络管理 9.7.1网络管理概述网络管理概述 网络管理，是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。 ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能，这五大功能是故障管理、配置管理、性能管理、计费管理、安全管理。第9章 网络