1第9章网络安全和网络管理技术Collegeofautomation第9章网络安全与网络管理技术2第9章网络安全和网络管理技术Collegeofautomation学习内容:网络安全的重要性及其研究的主要问题。密码体制的基本概念及应用。防火墙的基本概念。网络入侵检测与防攻击的基本概念与方法。网络文件备份与恢复的基本方法。网络病毒防治的基本方法。网络管理的基本概念与方法。3第9章网络安全和网络管理技术Collegeofautomation9.1网络安全研究的主要问题网络安全的重要性非法获取重要信息,信息欺诈,破坏与网络攻击,法律与道德问题;网络安全涉及到技术、管理与法制环境等多个方面;网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。4第9章网络安全和网络管理技术Collegeofautomation网络安全技术研究的主要问题目的:确保信息在网络环境中存储、处理和传输安全;网络防攻击问题;网络安全漏洞与对策问题;网络中的信息安全保密问题;防抵赖问题;网络内部安全防范问题;网络防病毒问题;网络数据备份与恢复、灾难恢复问题。5第9章网络安全和网络管理技术Collegeofautomation1.网络防攻击技术服务攻击(applicationdependentattack):对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;非服务攻击(applicationindependentattack):不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。6第9章网络安全和网络管理技术Collegeofautomation网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?解决:加强对网络系统的管理7第9章网络安全和网络管理技术Collegeofautomation2.网络安全漏洞与对策的研究网络信息系统的运行涉及:计算机硬件与操作系统;网络硬件与网络软件;数据库管理系统;应用软件;网络通信协议。网络安全漏洞也会表现在以上几个方面。解决:主动检测网络安全漏洞。8第9章网络安全和网络管理技术Collegeofautomation3.网络中的信息安全问题信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用;信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击;9第9章网络安全和网络管理技术Collegeofautomation信息传输安全问题的四种基本类型信息源结点信息目的结点(d)信息被篡改非法用户篡改信息源结点信息目的结点(e)信息被伪造非法用户伪造信息源结点信息目的结点(b)信息被截获非法用户截获信息源结点信息目的结点(c)信息被窃听非法用户窃听10第9章网络安全和网络管理技术Collegeofautomation解决网络中的信息安全问题的方法加密与解密加密过程明文密文信息源结点解密过程密文明文信息目的结点数据加密与解密过程11第9章网络安全和网络管理技术Collegeofautomation4.防抵赖问题防抵赖是防止信息源结点用户对他发送的信息事后不承认;或者是信息目的结点用户接收到信息之后不认账;通过身份认证、数字签名、数字信封、第三方确认等方法,来确保网络信息传输的合法性问题,防止“抵赖”现象出现。12第9章网络安全和网络管理技术Collegeofautomation5.网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括:•有意或无意地泄露网络用户或网络管理员口令;•违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;•违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;•违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;解决来自网络内部的不安全因素必须从技术与管理两个方面入手。13第9章网络安全和网络管理技术Collegeofautomation6.网络防病毒引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒Internet语言病毒14第9章网络安全和网络管理技术Collegeofautomation微软的应对发布对应的清除工具和清除方法发布新的安全工具中下载相应的补丁程序,为避免流量花费,可在“北大天网”搜索国内的FTP下载,如没有出国帐号可上网查免费出国代理地址,速度可能会慢点。15第9章网络安全和网络管理技术Collegeofautomation16第9章网络安全和网络管理技术Collegeofautomation病毒监控:网上传播的大量文件都携带有病毒。上网同时最好实时运行病毒检测程序。下载的软件在运行之前要先杀一次毒。新病毒不断出现,病毒库要经常更新。不要打开来历不明带附件的电子邮件。17第9章网络安全和网络管理技术Collegeofautomation建议:只装一个TCP/IP协议,IPX/SPX和NetBEUI协议能不装就不装。硬盘共享不要设成完全访问,或共享完后立即停止。收发E-mail时尽量采用文本形式,避免.doc,.exe附件。不要从ftp站点下载运行不明用途的软件。不运行端口扫描程序,端口扫描会严重影响其它网络用户的使用。18第9章网络安全和网络管理技术Collegeofautomation“红色代码”病毒的工作原理1.病毒利用IIS的.ida漏洞进入系统并获得SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)1.病毒产生100个新的线程1.99个线程用于感染其它的服务器2.第100个线程用于检查本机,并修改当前首页2.在7/20/01时所有被感染的机器回参与对白宫网站的工作原理•4种不同的传播方式–IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)–IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)–电子邮件附件:(已被使用过无数次的攻击方式)–文件共享:针对所有未做安全限制的共享20第9章网络安全和网络管理技术Collegeofautomation特洛伊木马现在互联网上有许多特洛伊木马程序,像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说,它们属于(Client/Sever)程序,因为它们往往带有一个用于驻留在用户机器上的服务器程序,以及一个用于访问用户机器的客户端程序。所以不要运行来历不明的程序。21第9章网络安全和网络管理技术Collegeofautomation一、人工备份:如右图所示,进行备份操作,系统管理员最重要的工作就是做好备份备份22第9章网络安全和网络管理技术Collegeofautomation二、自动备份:对重要的数据要定期备份,比如WEBMAIL上对E盘网站的数据每星期备份一次23第9章网络安全和网络管理技术CollegeofautomationA、选择不同的备份向导按照屏幕的提示进行操作即可B、还原向导C、紧急修复磁盘举例对E盘的一个文件夹进行备份和恢复24第9章网络安全和网络管理技术Collegeofautomation25第9章网络安全和网络管理技术Collegeofautomation26第9章网络安全和网络管理技术Collegeofautomation7.网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?27第9章网络安全和网络管理技术Collegeofautomation网络安全服务与安全标准网络安全服务应该提供以下基本的服务功能:数据保密(dataconfidentiality)认证(authentication)数据完整(dataintegrity)防抵赖(non-repudiation)访问控制(accesscontrol)28第9章网络安全和网络管理技术Collegeofautomation网络安全标准国内:《电子计算机系统安全规范》,1987年10月《计算机软件保护条例》,1991年5月《计算机软件著作权登记办法》,1992年4月《中华人民共和国计算机信息与系统安全保护条例》,1994年2月《计算机信息系统保密管理暂行规定》,1998年2月《关于维护互联网安全决定》,全国人民代表大会常务委员会通过,2000年12月29第9章网络安全和网络管理技术Collegeofautomation国外:可信计算机系统评估准则TC-SEC-NCSC是1983年公布的,1985年公布了可信网络说明(TNI);可信计算机系统评估准则将计算机系统安全等级分为4类7个等级,即D、C1、C2、B1、B2、B3与A1;D级系统的安全要求最低,A1级系统的安全要求最高。30第9章网络安全和网络管理技术Collegeofautomation9.2加密与认证技术密码算法与密码体制的基本概念密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥;传统密码体制所用的加密密钥和解密密钥相同,也称为对称密码体制;如果加密密钥和解密密钥不相同,则称为非对称密码体制;31第9章网络安全和网络管理技术Collegeofautomation密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系;在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。32第9章网络安全和网络管理技术Collegeofautomation什么是密码密码是含有一个参数k的数学变换,即C=Ek(m)m是未加密的信息(明文),C是加密后的信息(密文),E是加密算法,参数k称为密钥加密算法可以公开,而密钥只能由通信双方来掌握。33第9章网络安全和网络管理技术Collegeofautomation密钥长度密钥长度与密钥个数密钥长度(位)组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038密钥的位数越长,破译的困难也越大,安全性也越好。34第9章网络安全和网络管理技术Collegeofautomation对称密钥密码体系对称加密的特点加密过程解密过程密钥明文密文明文密钥在通信中要严格保密,如何安全传递密钥?密钥管理?35第9章网络安全和网络管理技术Collegeofautomation典型对称加密算法数据加密标准(dataencryptionstandard,DES)是典型的对称加密算法,由IBM公司提出,经过ISO认证;目前广泛应用育银行业中的电子资金转帐领域;64位密钥长度,其中8位用于奇偶校验,用户使用其余的56位,不是非常安全;其它一些对称加密算法:IDEA算法,RC2算法、RC4算法与Skipjack算法等。36第9章网络安全和网络管理技术Collegeofautomation非对称密钥密码体系非对称密钥密码体系的特点加密过程解密过程公钥明文密文明文私钥加密的公钥可以公开,而解密的私钥必须保密,37第9章网络安全和网络管理技术Collegeofautomation非对称加密的标准公钥和私钥数学相关,成对出现,但是不能通过公钥计算出私钥;可以解决身份