1、整 体 概 述THE FIRST PART OF THE OVERALL OVERVIEW,P L E A S E S U M M A R I Z E T H E C O N T E N T第一部分学习内容:网络安全的定义和面临的威胁病毒的定义、分类、特点及防治黑客的概念、攻击目的和防范措施防火墙的概念和功能特点网络管理的基本概念 简单网络管理协议SNMP SNMP 8.1 8.1 网络安全概述 网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。网络安全的概念网络安全是
2、指网络系统的硬件、软件及其系统的数据不受到偶然的或者恶意的因素而遭到破坏、更改和泄露,系统连续可靠的正常地运行,网络服务不中断。网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。机密性:是指网络信息的内容不会被未授权的第三方所知。完整性:指信息在存储或传输时不被篡改、破坏,不出现信息包的丢失、乱序等。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题 网络安全漏洞与对策问题网络中的信
3、息安全保密问题网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题网络防攻击问题服务攻击:对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;非服务攻击:不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?网络安全漏洞与对策的研究网络信息系统的运行涉及到:计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议网络安全漏洞也会表现
4、在以上几个方面。网络中的信息安全保密信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用;信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击;网络中的信息安全保密问题 信息源结点信息目的结点(d d)信信 息息 被被 篡篡 改改非法用户篡改信息源结点信息目的结点(e e)信信 息息 被被 伪伪 造造非法用户伪造信息源结点信息目的结点(b)信息被截获(b)信息被截获非法用户截获信息源结点信息目的结点(c)信息被窃听(c)信息被窃听非法用户窃听数据加密与解密将明文变换成密文的过程称为加密;将密文经过逆变换恢复成明文的过程称为解密
5、。加密过程密文明文信息源结点信息源结点解密过程密文明文信息目的结点信息目的结点网络内部安全防范问题网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括:有意或无意地泄露网络用户或网络管理员口令;违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;解决来自网络内部的不安全因素必须从技术与管理两个方面入手。网络防病毒问题 目前,70%70%的病毒发生在计算机网络上;连网微型机病毒的传播速度是单机
6、的2020倍,网络服务器消除病毒所花的时间是单机的4040倍;电子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?网络安全机制:网络安全机制(security mechanisms)可分为两类:一类与安全服务有关,另一类与管理功能有关。ISO7498-2建议了以下八种机制。(1)加密机制:加密是确保数据保密性。(2)数字签名机制:数字签名用来确保数据真实性和进行身份验证。(3)访问控制机制:访问控制按照事先
7、确定的规则来决定主体对客体 的访问是否合法。(4)数据完整性机制:数据完整性是保证数据不被修改。(5)认证机制:计算机网络中认证机制主要有站点认证、报文认证、用户和进程的认证。(6)信息流填充机制:信息流填充使攻击者不知道哪些是有用信息,哪些是无用信息,从而挫败信息流分析攻击。(7)路由控制机制:路由控制机制可根据信息发送者的申请选择安全 路径,以确保数据安全。(8)公正机制:主要是在发生纠纷时进行公正仲裁用。8.2 8.2 计算机病毒及黑客入侵 1 1、计算机病毒特点灵活性传播性隐蔽性潜伏性破坏性2 2、计算机病毒的类型引导型病毒可执行文件病毒宏病毒混合型病毒3 3、造成网络感染病毒的主要原
8、因 70%70%的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%41%左右;从网络电子广告牌上带来的病毒约占7%7%;从软件商的演示盘中带来的病毒约占6%6%;从系统维护盘中带来的病毒约占6%6%;从公司之间交换的软盘带来的病毒约占2%2%;其他未知因素约占27%27%;从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。4 4、网络病毒的危害 网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,
9、在工作站之间迅速传播与蔓延病毒;网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。5 5、网络病毒的防治措施不使用或下载来源不明的软件。不轻易上一些不正规的网站。提防电子邮件病毒的传播。一些邮件病毒会利用 ActiveX ActiveX 控件技术,当以 HTML HTML 方式打开邮件时,病毒可能就会被激活。经常关注一些网站、BBS BBS 发布的病毒报告,这样可以在未感染病毒时做到预先防范。及时更新操作系统,为系统漏洞打上补丁
10、。对于重要文件、数据做到定期备份。6 6、典型网络防病毒软件的应用 网络防病毒可以从以下两方面入手:一是工作站,二是服务器;网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描;一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。常用杀毒软件 瑞星杀毒软件金山杀毒软件诺顿杀毒软件7 7、黑客的概念及特征黑客群体扩大化黑客的组织化和集团化黑客行为的商业化黑客行为的政治化黑客是指为那些利用计
11、算机某种技术或其他手段,善意或恶意地进入其非授权范围以内的计算机或网络空间的人。8 8、常见的黑客攻击方法WebWeb欺骗技术放置特洛伊木马程序口令攻击(1 1)暴力破解(2 2)密码控测(3 3)网络监听(4 4)登录界面攻击法 电子邮件攻击网络监听端口扫描攻击缓冲区溢出9 9、防范黑客的措施提高安全意识使用防火墙使用反黑客软件尽量不暴露自己的IPIP安装杀毒软件做好数据的备份8.3 8.3 网络防火墙技术 8.3.1 8.3.1 防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻
12、击。防火墙的功能及作用 防火墙实际上是一种保护装置,防止非法入侵,以保护网络数据 ,在互联网服务中可实现多个目的。1)1)限定访问控制点。2)2)防止侵人者侵入。3)3)限定离开控制点。4)4)有效地阻止破坏者对计算机系统进行破坏。总之,防火墙在互联网中是分离器、限制器、分析器。防火墙的位置与作用 服务器外部网络外部网络防火墙服务器内部网络内部网络防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界;构成防火墙系统的两个基本部件是:包过滤路由器和应用级网关;最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级
13、网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多种形式。8.3.2 8.3.2 防火墙的主要类型 包过滤防火墙 包过滤防火墙工作在OSIOSI参考模型的网络层,根据数据包包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地点出口端,其余的数据包则从数据流中丢弃。包过滤防火墙的工作原理代理防火墙 代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择 ,然后将筛选过的数据传送给代理服务器。代理服务器起到
14、外部网络申请访问内部网络的中间转接作用,其功能类似一个数据转发器,它主要控制哪些用户能访问哪些服务类型。应用级网关的结构 Internet内部网络内部网络服务器工作站网络接口应用程序访问控制外部网络外部网络网络接口应用级网关应用级网关防火墙应用代理的工作原理外部网络外部网络代理服务器代理服务器防火墙内部网络内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接双穴主机防火墙 该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双空主机上的服务代理来提供。内部网和外部网的用户可通
15、过双穴主机的共享数据区传递数据,从而保护内部网络不被非法访问。8.3.3 8.3.3 主要的防火墙产品 CheckpointCheckpoint公司的Firewall-1Firewall-1防火墙Sonic SystemSonic System公司的SonicwallSonicwall防火墙NetScreenNetScreen公司的NetScreenNetScreen防火墙AlkatelAlkatel公司的Internet DeviceInternet Device防火墙NAINAI公司的GauntletGauntlet防火墙 中国的“天网”、“网络卫士”、“蓝盾”天网防火墙天网防火墙安全规则
16、设置 这是系统最重要,也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。工具条:点击上面的按钮来导入,增加,修改,删除规则。由于规则判断是由上而下的,可以通过点击调“规则上下移动”按钮调整规则的顺序,当调整好顺序后,可按保存按钮保存修改。当规则增加或修改后,为了让这些规则生效,还要点击”应用新规则“按钮。规则列表 :列出了所有的规则的名称,该规则所对应的数据包的方向,该规则所控制的协议,本机端口,对方
17、地址和对方端口,以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志,标记为钩表示改规则有效,否则表示无效。当改变这些标志后,按保存键。8.4 8.4 网络管理技术 8.4.1 8.4.1 网络管理的基本概念网络管理涉及以下三个方面:网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能;网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复;网络处理是指网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。网络管理系统的基本结构:管理对象 管理对象是经过抽象的网络元素,对应于网络中具体可以操作的数据。管理进程 管理进程是负责对网络设备进行全
18、面的管理与控制的软件。管理协议 管理协议负责在管理系统与被管理对象之间传递与负责操作命令。管理信息库管理信息库(MIBMIB)是管理进程的一部分,用于记录网络中被管理对象的状态参数值;一个网络的管理系统只能有一个管理信息库,但管理信息库可以是集中存储的,也可以由各个网络设备记录本地工作参数;网络管理员只要查询有关的管理信息库,就可获得有关网络设备的工作状态和工作参数;在网络管理过程中,使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种:事件驱动与轮询驱动方法。8.4.2 OSI8.4.2 OSI管理功能域 配置管理(configuration managementconf
19、iguration management)故障管理(fault managementfault management)性能管理(performance managementperformance management)安全管理(security managementsecurity management)记账管理(accounting managementaccounting management)配置管理配置管理是最基本的网络管理功能,主要用于配置和优化网络。配置管理就是在网络建立、扩充、改造以及业务的开展过程中,对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。故障管理故
20、障管理的功能是迅速发展和纠正故障,动态维护网络的有效性。故障管理主要功能有报警监测、故障定位、故障隔离、故障恢复以及维护故障日志。性能管理 性能管理保证有效地运营网络并提供约定的服务质量。性能管理包括性能检测功能、性能分析功能和性能管理控制功能。计费管理计费管理的功能是正确地计算和收取用户使用网络服务的费用,进行网络资源利用率的统计和网络的成本效益核算。安全管理安全管理的作用是提供信息的保密、认证和完整性保护机制,使网络中的服务、数据和系统免受侵扰和破坏。安全管理主要包括:风险分析功能、安全服务功能、告警、日志和报告功能以及网络管理系统保护功能。8.4.3 8.4.3 简单网络管理协议SNMP
21、SNMP SNMPSNMP是目前TCP/IPTCP/IP网络中应用最广泛的协议,其前身是简单网关监控协议(SGMPSGMP),用来对通信线路进行管理。随后对其改进并加入了符合InternetInternet定义的SMISMI和MIBMIB体系结构,改进后的协议就是SNMPSNMP。提问与解答环节Questions and answers结束语 感谢参与本课程,也感激大家对我们工作的支持与积极的参与。课程后会发放课程满意度评估表,如果对我们课程或者工作有什么建议和意见,也请写在上边感谢观看The user can demonstrate on a projector or computer,or print the presentation and make it into a film
