计算机培训第九章网络安全与管理

计算机网络与应用•—第九章■□■

第9章网络安全与管理

计算机网络与应用•—第九章■□■

内容概览

信息安全技术概述

网络安全分析与安全策略

安全技术

计算机病毒防范

网络管理概述

典型的网络管理技术

网络管理协议

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.1信息安全技术概述

・信息安全的基本要素

•计算机系统的安全等级

★☆☆

计算机网络与应用•—第九章口■

9.1.1信息安全的基本要素

•机密性：确保信息不暴露给未授权的实体或进程。

•完整性：只有得到允许的人才能修改数据，并且能够判别

出数据是否已被篡改。

•可用性：得到授权的实体在需要时可访问数据，即因为防

止攻击者不能占用所有的资源而阻碍授权者的工作。

•合法性：每个想获得访问的实体都必须经过鉴别或身份验

证。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.1.2计算机系统的安全等级

•美国国防部安全准则：该准则定义了4类7个级

另U,这些级别的安全性从低到高的顺序是D1、

C1、C2、B1、B2、B3、A1。

《计算机网络与应用》冶金工业出版社☆☆☆

类

别名称主要特征

DI

最小的保护保护措施很小，没有安全功能

Cl

选择的安全有选择的存取控制，用户与数据分离，数据的保护

保护以用户组为单位

C2

存取控制以用户为单位，广泛的审计

受控的访问

控制

Bl

除了C2级的安全求外，增加安全策略模型，数据标

标记安全保

号（安全和属性），托管访问控制

护

B2

结构化安全设计系统时必须有一个合理的总体设计方案，面向

保护

安全的体系结构，遵循最小授权原则，较好的抗渗

透能力，访问控制应对所有的主体和客体进行保护，

对系统进行隐蔽通道分析

安全内核，高抗渗透能力

B3

安全域机制

Al

形式画的最高级描述和验证，形式画的隐秘通道分

可验证安全

析，非形式化的代码一致性证明

设计

计算机网络与应用•—第九章■□■

•欧洲准则：

1.E0级：该级别表示不充分的保证。

2.E1级：该级别必须有一个安全目标和一个对产品或系统的体系结构

设计的非形式化描述。

3.E2级：除了E1级的要求外，还必须对详细的设计有非形式化的描述。

4.E3级：除了E2级的要求外，要评估与安全机制相对应的源代码和/

或硬件设计图。

5.E4级：除了E3级的要求外,必须有支持安全目标的安全策略的基本

形式模型。

6.E5级：除了E4级的要求外,在详细的设计和源代码或硬件设计图之

间有紧密的对应关系。

7.E6级：除了E1级的要求外,必须正式说明安全加强功能和体系结构

使其与安全策略的基本形式模型相一致。

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

国际通用准则：

1.EAL1：功能测试级。

2.EAL2：结构测试级。

3.EAL3：系统测试和检查级。

4.EAL4：系统设计、测试和检查级。

5.EAL5：半形式化设计和测试级。

6.EAL6：半形式化验证设计和测试级。

形式化验证设计和测试级。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.2网络安全分析与安全策略

•网络安全的概念和模型

•安全威胁

•安全管理

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.2.1网络安全的概念和模型

•网络安全：网络系统的硬件、软件及其系统中的

数据受到保护，不会由于偶然或恶意的原因而遭

到破坏、更改、泄露，系统连续、可靠、正常地

运行，网络服务不中断。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■D

网络安全模型

《计算机网络与应用》冶金工业出版社

计算机网络与应用•—第九章■□■

•安全性的所有机制都包括以下两部分：

1.对被传送的信息进行与安全相关的转换。

2.两个主题共享不希望对手得知的保密消息。

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

•设计特定安全服务的4个基本任务：

1.设计加密算法，进行安全性相关的转换。

2.生成算法使用的保密信息。

3.开发分发和共享保密信息的方法。

4.指定两个主体要使用的协议，并利用安全算法和

保密信息来实现特定的安全服务。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章口■

9.2.2安全威胁

•网络内部威胁：计算机系统本身和网络内部的因

素

•网络外部威胁：外界的环境因素也威胁着计算机

系统和网络系统。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.2.3安全管理

•安全管理原则

•安全管理的实现

《计算机网络与应用、冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

安全管理原则

1.多人负责原则

2.任期有限原则

3.职责分离原则

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章D■

安全管理的实现

1.根据工作的重要程度，确定该系统的安全等级。

2.根据确定的安全登记，确定安全管理的范围。

3.制订相应的机房出入管理制度。

4.制订严格的操作规程。

5.制订完备的系统维护制度。

6.制订应急措施。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用，—第九章口■

9.3安全技术

•密码技术

•认证技术

•防火墙技术

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章口■

9.3.1密码技术

•明文(Plaintext)：可以是一段有意义的文字或

者数据。

•密文(Ciphertext)：应该是一串杂乱排列的数据,

从字面上没有任何含义。

•加密(Encryption)：从明文到密文的交换过程。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

计算机网络与应用•—第九章■□■

•对称密钥密码系统(SymmetricKey

Cryptography)：加密和解密采用的是同一密钥,

即k=k，并且Dk，(Ek(P))=Po最常见的算法有

DES,IDEA等

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•公开密钥密码系统（PublicKeyCryptography）：

非对称加密，在进行保密通信时通常将加密密钥k

公开（称为公钥PublicKey）而保留解密密钥k'

（称为私钥PrivateKey）。

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.3.2认证技术

•认证技术主要解决网络通信过程中通信双方的身

份认可。

•授权是指把访问权限授予某一个用户、用户组或

指定系统的过程。

•访问控制是指限制系统资源中的信息只能流到网

络中的被授权的个人或系统。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.3.2防火墙技术

•防火墙技术是一种允许接入外部网络，但同时又

能够识别和抵抗非授权访问的网络安全技术。

•外部防火墙和内部防火墙。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•保护脆弱的服务

•控制对系统的访问

•集中的安全管理

•增强的保密性

•记录和统计网络利用数据以及非法使用数据

•策略执行

计算机网络与应用•—第九章■□■

•防火墙的类型：

1.包过滤防火墙

2.代理防火墙

3.双缩主机防火墙

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.4计算机病毒防范

•病毒的特点

­病毒的类型

•病毒的传染方式

•反病毒技术概述

•计算机病毒技术的新动向

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.4.1病毒的特点

破坏性非授权性

程序性隐蔽性

传染性衍生性

潜伏性寄生性

可激活性不可预见性

主动性欺骗性

针对性持久性

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.4.2病毒的类型

•按照病毒的攻击机型分类：

(1)攻击微型计算机的病毒

(2)攻击小型机的计算机病毒

(3)攻击工作站的计算机病毒

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•按照计算机病毒攻击的系统分类:

(1)攻击OS/2操作系统的病毒

(2)攻击DOS操作系统的病毒

(3)攻击Windows操作系统的病毒

(4)攻击UNIX操作系统的病毒

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

•按照病毒的侵入途径分类:

(1)源码型病毒

(2)嵌入型病毒

(3)外壳型病毒

(4)操作系统病毒

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•按照计算机病毒的破坏情况分类:

(1)良性计算机病毒

(2)恶性计算机病毒

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•按照病毒的寄生部位分类：

(1)磁盘引导区传染的计算机病毒

(2)操作系统传染的计算机病毒

(3)可执行程序传染的计算机病毒

(4)综合型传染的计算机病毒

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

•按照计算机病毒激活的时间分类:

(1)定时病毒

(2)随机病毒

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章

•按照传播媒介分类:

(1)单机病毒

(2)网络病毒

《计算机网络与应用\》冶金工业出版社

计算机网络与应用•—第九章■□■

•按照寄生方式分类:

(1)引导型病毒

(2)文件型病毒

《计算机网络与应用\》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

•按是否驻留内存分类:

(1)非驻留的病毒

(2)驻留内存的病毒

《计算机网络与应用\》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

•根据特有算法分类:

(1)伴随型病毒

(2)蠕虫型病毒

《计算机网络与应用\》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.4.3病毒的传染方式

•被动传染

•主动传染

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.4.4反病毒技术概述

(1)第一代：简单的扫描程序；

(2)第二代：启发式的扫描程序；

(3)第三代：行为陷阱；

(4)第四代：全方位的保护。

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

计算机网络与应用•—第九章■□■

9.4.5计算机病毒技术的新动向

・病毒的演化

•多变型病毒

•针对杀毒软件

•充分利用网络载体

《计算机网络与应用、冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.5网络管理概述

•传统局域网管理

•网络管理功能

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.5.1传统局域网管理

•了解网络

•网络运行

•网络维护

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

1.了解网络

(1)识别网络对象的硬件情况

(2)了解局域网的拓扑结构

(3)确定网络的互连

(3)确定网络的互连

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章1口■

2.网络运行

•配置网络，即选择网络操作系统。

•选择网络连接协议，并根据选择的网络协议配置

客户机的网络软件。

•做好网络意外预防处理。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

3.网络维护

频率活动频率活动

每日检查各服务器的卷空间每日去除旧用户

每日列出刖一天创建的文件每月检查用户的账号安全性

每日找出可被存档或删除的旧文件每月确保备份的完整性

每日检查备份的执行情况每月更服务器模块

每日检查服务器错误记录文件每月更新客户文件

计算机网络与应用•—第九章■□■

(1)常见网络的故障和恢复

(2)网络检查

(3)网络升级

《计算机网络与应用、冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.5.2网络管理功能

•故障管理(FaultManagement)

•计费管理(AccountingManagement)

•酉己置管理(ConfigurationManagement)

•性能管理(PerformanceManagement)

•安全管理(SecurityManagement)

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章口■

■imiByi的爆髀阿络管

•ISO与OSVCMIP的网络管理技术

•ITU-T与TMN网络管理技术

•IEIF与Internet/SNMP网络管理技术

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

9.7网络管理协议

・网络管理的基础结构

•SNMP的体系结构

•Linux系统中的SNMP酉己置

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.7.1网络管理的基础结构

•网络管理基站

•网站管理代理

•管理信息数据库

•网络管理协议

•代理设备

《计算机网络与应用、冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

9.7.2SNMP的体系结构

•保持管理代理的软件成本尽可能低。

•最大限度地保持远程管理的功能，以便充分利用

Internet的网络资源。

•体系结构必须有扩充的余地。

•保持SNMP的独立性，不依赖于具体的计算机、

网关和网络传输协议。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

（1）SNMP管理控制框架

•SNMP管理模型是典型的客户-服务器体系结构。

•SNMP的设计原则是把所有智能和复杂性放在管

理器（客户端）上，使代理（服务器端）尽可能

简单，以尽量减少对被管设备的影响。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

(2)SNMP的体系结构

SNMP

mib

mibtcp/udp

mibigmp

mibip

mibicmp

mib数据链路层

mibarp

mib物理层

《计算机网络与应用》冶金工业出版社★☆☆

计算机网络与应用•—第九章■□■

(3)SNMP服务器处理过程

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用，—第九章口■

(4)SNMP网络管理模型的核心―

•SNMP管理模型的核心是由代理维护而由管理器

读写的管理信息。

《计算机网络与应用》冶金工业出版社☆☆☆

计算机网络与应用•—第九章■□■

(5)SNMP实