1、第第6 6章章 网络安全与管理网络安全与管理v熟练掌握:如何进行网络安全规划和网络管熟练掌握:如何进行网络安全规划和网络管理理v掌握:常见的网络安全标准;常见的网络安掌握:常见的网络安全标准;常见的网络安全产品;网络安全的威胁与攻击的类型和手全产品;网络安全的威胁与攻击的类型和手段;网络攻击的防御措施常见的网络管理工段;网络攻击的防御措施常见的网络管理工具。具。v了解:网络安全的重要性,常见的网络安全了解:网络安全的重要性,常见的网络安全的威胁及网络管理的一些概念的威胁及网络管理的一些概念 6.1 6.1 网络安全概述网络安全概述 狭义上讲,网络安全是指利用网络管理和技术措施,保证一个网络环境
2、内的数据的机密性、完整性及可使用性。要做到这一点,必须保证网络系统软件、应用软件、数据库系统具有一定的安全保护功能,并保证网络硬件(如终端、调制解调器、数据链路)的功能仅仅能被那些被授权的人使用。所以说网络的安全问题实际上包括两方面的内容,一是网络的系统安全,二是网络的信息安全,而保护网络的信息安全是最终目的。1.国外标准 国外在信息网络安全标准上,比较著名的有美国国防部制定的可信任计算机标准评估准则(TCSEC)和欧洲的信息技术安全评估准则(ITSEC)等。可信任计算机标准评估准则又称为桔皮书,于1985年成为美国国防部的标准,它给出了一套标准来定义满足特定安全等级所需的安全功能及其保证的程
3、度。桔皮书把安全等级从低到高共分为D、C、B、A 4个等级,每个等级之内还可以细分,这些等级描述了不同类型的物理安全、用户身份验证、操作系统软件的可信任性和用户应用程序。2.国内标准 比较著名的是1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则。该准则将计算机安全保护划分为以下5个级别:1)用户自主保护级 2)系统审计保护级 3)安全标记保护级 4)结构化保护级 5)访问验证保护级6.1.2 6.1.2 安全产品安全产品 1.杀毒软件 随着计算机病毒的日益泛滥,杀毒软件已经成为计算机和网络系统的必备安全软件。目前国内的安全市场中,国内杀毒软件产品和国外杀毒软件
4、各占据了半壁江山。国外杀毒软件占主导地位的有Kaspersky(卡巴斯基)、赛门铁克的Norton(诺顿)和NAI的McAfee等。国内的产品主要是瑞星、江民、金山毒霸和360杀毒等。2.防火墙 1)NetScreen-1000 2)NetEye防火墙 3)中软HuaTech-2000型防火墙 3.扫描和入侵检测产品 1)安氏公司入侵检测产品 2)东大阿尔派入侵监测系统 4.密码及认证产品 Universal CA系统是东大阿尔派推出的一套基于PKI的安全加密电子邮件系统,可用于企事业单位和非关键性商业领域传送敏感信息(如各种财务报表、研发过程中需要传递的技术文件等)。Universal CA
5、是企业级认证服务器,它可为一个组织的内部成员提供全局范围内的、基于数字证书的身份标识和认证。6.1.3 6.1.3 网络安全规划网络安全规划 1.安全需求分析 安全需求分析主要根据网络的功能需求,评估网络可能面临的各种威胁,需要保护网络中的哪些设备和资源、保护到什么程度、需防备什么、如何更好保护。2.安全规划设计和实施 在分析了网络安全需求后,就要根据网络安全策略设计网络安全的体系结构。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。3.安全管理制度制定 网络安全管理制度是用文字形式对各项安全要求所作的规定,是安全工作的规
6、范和准则。6.2 6.2 网络攻击网络攻击 6.2.1 6.2.1 攻击类型攻击类型 1.主动攻击 主动攻击是更改信息和拒绝用户使用资源的攻击。主动攻击的攻击者是在主动地做一些不利于网络安全的事情。主动攻击的攻击手段主要有伪装、重放、修改消息和拒绝服务。2.被动攻击 被动攻击通过网络窃听,截取数据包并进行分析,从中窃取重要的敏感信息。它的特点是偷听或监视传送。被动攻击的手段包括嗅探、泄露消息内容和信息收集等。6.2.2 6.2.2 攻击手段攻击手段常见的网络攻击手段:1.社会工程2.欺骗3.窃听4.拒绝服务5.信息收集型攻击 6.数据驱动攻击7.对域名和基础设施的破坏8.利用Web破坏数据库
7、6.3 6.3 网络攻击的防御网络攻击的防御 6.3.1 6.3.1 网络攻击防御策略网络攻击防御策略 1.主动防御策略 所谓“主动防御”其实是针对传统的“特征码技术”而言的。主动防御策略一般采用密码技术、身份验证、访问控制和虚拟专用网等技术来实现。2.被动防御策略 被动防御策略主要有防火墙技术、审计跟踪、物理保护及安全管理等。6.3.2 6.3.2 防火墙防火墙 1.防火墙概述 防火墙是一种被动防御性的网络安全工具。从技术上讲,防火墙就是在两个网络之间执行访问控制和安全策略的系统,它可以是软件或硬件,也可以是两者的结合体。防火墙在网络中的位置如图6-1所示。图6-1 防火墙的位置 2.防火墙
8、的分类 按照防火墙实现的技术原理把其分为包过滤防火墙、状态检测防火墙和应用级防火墙。1)包过滤防火墙 包过滤防火墙一般工作在网络层和传输层,又称为网络级防火墙,一般是通过查看所流经的数据包的包头信息(如地址、协议、端口等)来决定是否允许此数据包通过。2)状态检测防火墙 状态检测防火墙是传统包过滤防火墙的扩展,又称动态包过滤防火墙。它通过对其建立的每一个连接进行跟踪,并根据需要动态地在过滤规则中增加或更新条目。3)应用级防火墙 应用级防火墙又称为应用级网关,它是建立在网络应用层以上的协议过滤和转发系统。3.防火墙的配置 默认情况下,所有的防火墙都是基于两种策略配置的:(1)拒绝所有的流量,此时需
9、要在防火墙系统中指定允许进入和出去的流量类型。(2)允许所有的流量,此时需要在防火墙系统中指定要拒绝的流量类型。在防火墙的配置过程中需坚持以下3个基本原则:(1)简单实用。(2)全面深入。(3)兼顾内外。6.3.3 入侵检测入侵检测 1.入侵检测技术概述 防火墙是一种被动防御的网络安全工具,入侵检测技术则主动防御技术。入侵检测系统(intrusion detection system,IDS)通过对计算机网络系统中的若干关键点进行信息收集和分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统是防火墙之后的第二道安全闸门,它能在入侵攻击对系统发生危害前检测到入侵攻击。2.入侵检
10、测的基本方法 (1)统计检测方法通过对事件统计进行异常行为的检测,包括收集一段时间内合法用户行为的相关数据,然后使用统计方法来考察用户行为,以判断这些行为是否符合合法用户的行为特征。(2)基于规则的检测方法通过观察系统中的事件,并且应用一个决定给定活动模式是否可疑的规则集来检测入侵行为。可以分成集中于异常检测或渗透标识两个方面。3.入侵检测系统的分类 根据数据来源的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。6.3.4 6.3.4 安全审计安全审计 1.安全审计的作用 网络安全审计可以作为系统其他安全防范及侵害抵制措施的有力补充,检测并调查那些试图或己突破系统安全
11、屏障的非法事件,为系统安全服务。2.安全审计系统的功能 一个完善的网络安全设计系统一般具有以下功能:(1)采集多种类型的日志数据。(2)日志管理。(3)日志查询。(4)自动生成安全分析报告。(5)网络状态实时监视。(6)事件响应机制。(7)集中管理。3.安全审计系统的组成 网络安全审计系统一般由数据采集、协议分析、数据审 计和日志管理4部分组成。1)数据采集 数据采集模块的主要功能是采集网络中的数据包,采集工作的效率直接影响数据审计的效率和审计结果的准确性。2)协议分析 协议分析的主要工作是将捕获到的数据包,依据其报头的信息,判断出其所属的协议。并根据其所属协议的格式、传输方式、报文内容对用户
12、的操作进行重组、还原,最后将还原后的用户操作提交给数据审计部分。(3)数据审计 数据审计的工作就是对还原后的操作信息规则库中的规则进行匹配,根据匹配的结果做出相应的响应,同时将审计后的数据记录到审计日志文件。(4)日志管理 日志文件是网络管理人员在检查故障、排除网络错误时,查找“病源”的有利工具。日志管理具有日志记录功能,同时,具有日志查询功能,此外,日志管理还应当具有日志备份和删除等功能。4.常见网络安全审计系统 具有代表性的有SNARE审计系统、Haystack和汉邦信息安全审计系统等。6.3.5 6.3.5 病毒防范病毒防范 1.网络病毒的危害 网络时代的网络病毒是指以网络为平台对计算机
13、产生安全威胁的所有程序的总和。1)占用网络系统资源 2)窃取用户隐私及机密信息 3)删除和修改的文件 4)使网络系统瘫痪 2.网络防病毒技术的分类 一般地,网络防病毒技术包括病毒预防、病毒检测和病毒清除等技术。3.网络病毒的防范措施 1)增强防病毒意识 2)严格管理制度 3)加强技术防范 4)养成良好习惯 5)建立和完善防毒系统6.4 6.4 网络管理协议网络管理协议6.4.1 6.4.1 网络管理概述网络管理概述 1.网络管理的定义 网络管理是指通过采用一定的网络管理技术对网络上的通信设备及系统进行有效的监视、控制、诊断和测试,使网络能够正常高效地运行。网络管理系统是一个软硬件结合以软件为主
14、的分布式网络应用系统,其目的是管理网络,使网络高效正常运行。2.网络管理的功能 国际标准化组织ISO把网络管理的功能分为配置管理、性能管理、计费管理、安全管理和故障管理。6.4.2 6.4.2 网络管理协议网络管理协议 1.SNMP简介 SNMP(simplenetworkmanagementprotocol)即简单网络管理协议,是由互联网工程任务组(IETF)定义的一套网络管理协议,它基于简单网关监视协议(simple gateway monitor protocol,GMP)。该协议为网络管理系统提供了底层网络管理的框架,是目前TCP/IP网络中应用最为广泛的网络管理协议。到目前为止,SN
15、MP协议的发展经过了三个版本。SNMP协议的应用范围非常广泛,它具有以下特点:(1)SNMP相对于其他网络管理体系或管理协议而言更易于实现。(2)SNMP是开放的免费产品,并提供了很多详细的文档资料,业界对这个协议也有着较深入的理解,可以作进一步的发展和改进。(3)SNMP是一种无连接协议,这种机制减轻了管理代理的负担,它不必非得支持其他协议及基于连接模式的处理过程。(4)SNMP可用来控制各种设备。2.SNMP管理模型 SNMP采用了管理者/代理者模型,SNMP管理模型如图6-2所示。SNMP消 息SNMP管 理 者网 络 协 议管 理 应 用SNMP代 理网 络 协 议被 管 资 源MIB
16、图 8-2 SNMP管 理 模 型管 理 结 点代 理 结 点图6-2 SNMP管理模型 3.SNMP网络管理框架 1)网络管理者 网络管理者(管理进程)是指实施网络管理的处理实体。网络管理者驻留在管理结点上,它负责发出管理操作的指令,并接收来自网管代理的信息。2)网管代理 网管代理是一个软件模块,它驻留在代理结点上。通常将主机和网络互连设备等所有被管理的网络设备称为被管设备。3)SNMP SNMP主要功能包括:get,管理站读取网管代理者处对象的值;set,管理站设置网管代理者处对象的值;trap,网管代理者向管理站通报重要事件。4)管理信息库MIB 网络资源通常被抽象为对象进行管理,对象的
17、集合被组织为管理信息库MIB。网络管理者通过对MIB的存取访问,来实现性能管理、配置管理、故障管理、安全管理及计费管理。MIB的地位如图6-3所示。图6-3 MIB的地位6.4.3 6.4.3 网络管理工具及应用网络管理工具及应用 1.专门网络管理工具软件 根据网管软件的发展历史,可以将网管软件划分为命令行方式、图形化界面和智能化的网络管理平台3代。智能化的网络管理平台是由一些著名的计算机厂商提供的具有网络管理基本服务的软件,它可以为网络中的各类专用网管程序提供统一的标准应用程序接口,使不同的专用网管应用程序在网管平台的基础上集成为一个更高层次的统一网络管理方案。目前,比较常见的网络管理平台有
18、:HP公司的HP OpenView、Sun公司的Sun NetManager、IBM公司的NetView、Novell公司的ManageWise及华为公司的QuidView等。HP OpenView是HP公司开发的一个网管平台,具有较强的网络性能分析能力,通过图形用户接口进行警告配置,并实施故障警告。在网络管理的机器上安装了HP OpenView管理软件后,执行“开始”“程序”HP OpenViewNetwork Node Manager命令,即可启动网络管理系统,看到主界面上的Internet图标及Alarm Categories窗口,如图6-5所示。启动HP OpenView后,即可通过相
19、应的图标和工具对网络中的设备进行管理。图6-5 HP Openview启动主界面 2.集成的网络管理工具 1)网络监视器 网络监视器主要用来捕获网络数据。借助这些数据可分析网络的工作状况,测试网线的最高传输速率,测试服务器的性能等。2)流量监视工具 Sniffer软件是NAI公司推出的单机协议分析软件。Sniffer的主要功能有捕获网络流量进行详细分析、诊断问题、实时监控网络活动、收集网络信息(如利用率和错误等)。3)路由监视工具 目前,图形化的路由监视工具还不太多。网络管理员大多还是使用命令行工具来监视网络的路由,如netstat、tracert等。(1)netstat。netstat命令的
20、功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在工作。(2)tracert。tracert命令用来显示数据包到达目标主机所经过的路径,并显示到达每个结点的时间。4)性能监视器 性能监视器的主要功能就是对Windows 2000 Server/Server 2003用户或整个网络系统进行跟踪监视,对系统的关键数据进行实时记录,为单机或网络的故障排除和性能优化提供原始数据,以方便用户的管理。它既适用于单机,也适用于Windows 2000 Server/Server 2003网络系统。性能监视器的功能主要表现在以下几个方面:(1)监视CPU的工作状况。(2)监视内存的使用情况。(3)监视磁盘系统的工作情况。(4)监视网络接口的性能。实 训v实训目的 电子政务系统面临着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于电子政务信息系统的安全问题必须考虑技术、管理和法律等因素,全方位地解决网络系统的安全问题。利用所学的网络安全规划知识,分析电子政务的安全需求,选用常用的网络安全产品,设计出电子政务的网络安全方案。v实训设备 根据设计的方案选择网络安全产品。v实训步骤 1电子政务的安全需求分析 2设计网络安全方案 3选用网络安全产品第6章结束谢谢
