计算机管理与网络安全技术

第9章计算机管理与网络安全技术网络管理技术网络安全的基本概念网络防火墙本章知识点第9章计算机管理与网络安全技术本章导读计算机网络应用的发展速度越快，人们对网络的依赖程度越高，那么网络管理与网络安全技术就显得尤为重要。本章将系统地讨论网络管理技术、网络安全的基本概念、网络安全策略以及网络防火墙技术。第9章计算机管理与网络安全技术9.1网络管理技术网络管理的重要性网络管理的分类OSI管理功能域典型的网络管理第9章计算机管理与网络安全技术网络管理的重要性随着网络在社会生活中的广泛应用，特别是在金融、商务、政府机关、军事、信息处理等方面的应用，支持各种信息系统的网络的地位变得越来越严重。随着网络规模的不断扩大，网络结构也变得越来越复杂。用户对网络应用的需求不断提高，企业和用户对计算机网络的依赖程度越来越高。在这种情况下，企业的管理者和用户对网络的性能、运行状况以及安全性也越来越重视。因此，网络管理已经成为现代网络技术中最重要的问题之一，也是网络设计、实现、运行与维护等各个环节中的关键问题之一。一个有效而且实用的网络每时每刻都离不开网络管理。第9章计算机管理与网络安全技术网络管理的分类1．网络管理的定义网络管理有广义与狭义之分。广义的网络管理是指对网络应用系统的管理。狭义的网络管理仅指网络通信量等网络参考性能的管理。我们在这里所讨论的网络管理（NetWareManagement）涉及三个方面。（1）网络服务提供（networkserviceprovisioning），是指向用户提供新的服务类型、增加网络设备、提高网络性能。（2）网络维护（networkmaintenance），是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。（3）网络处理（networkadministration），是指网络线路，设备利用率，数据的采集、分析，以及提高网络利用率的各种控制。2．网络管理系统的基本结构一个网络管理系统从逻辑上可以分为以下三个部分：管理对象（managedobject）、管理进程（managerprocess）、管理协议（managementprotocol）。第9章计算机管理与网络安全技术（1）管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据，如记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。（2）管理进程是负责对网络设备进行全面的管理与控制的软件。（3）管理协议则负责在管理系统与被管理对象之间传递操作命令，负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备实际状态、工作参数的一致性。3．管理信息库从概念上说，一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数。网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数。第9章计算机管理与网络安全技术OSI管理功能域OSI管理标准中定义的5个功能域是：配置管理（configurationmanagement）、故障管理（faultmanagement）、性能管理（performancemanagement）、安全管理（securitymanagement）、记账管理（accountingmanagement）。下面我们具体介绍这5个功能域。1．配置功能网络配置是指网络中每个设备的功能、相互间的连接关系与工作参数，它反映了网络的状态。网络是经常需要变化的，需要调整网络配置的原因很多。2．故障管理故障管理是用来维护网络正常运行的。网络故障管理包括及时发现网络中发生的故障，找出网络故障产生的原因，必要时启动控制功能来排除故障。控制活动包括诊断测试活动、故障修复或恢复活动、启动备用设备等。第9章计算机管理与网络安全技术3．性能管理网络性能管理活动是持续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。4．安全管理安全管理是用来保护网络资源的安全。安全管理活动能够利用各个层次的安全防卫机制，使非法入侵事件尽可能少发生；能够快速检测未授权的资源使用，并检查出入侵点，对非法活动进行审查与追踪；能够使网络管理人员恢复部分受保护的文件。5．记账管理对于公用分组交换网与各种网络信息服务系统来说，用户必须为使用网络的服务而交费，网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。第9章计算机管理与网络安全技术典型的网络管理1．Internet网络管理模型在Internet网络中，“网络元素”被用来表示任何一种接受管理的网络资源。“网络元素”与前面所说的“管理对象”的含义是类似的。在Internet的网络管理模型中，每个网络元素上都有一个负责执行管理任务的管理代理（agent），整个网络有多个网络实施集中式管理的管理进程。那么，网络管理标准用来定义网络控制中心与各管理代理之间的通信。Internet的简单网络管理模型如下图所示。被管理的网络实体与它的管理代理一起构成完整的网络元素。网络管理模型网络管理进程（网控中心）管理代理管理代理管理对象管理对象外部代理外部代理管理对象管理对象…………第9章计算机管理与网络安全技术2．简单网络管理协议SNMP除了专门的标准化组织制定了一些标准外，一些网络发展比较早的机构与厂商也制定了一些应用在各自网络上的管理标准。例如，IBM公司、DEC公司与Internet组织都有各自的网络管理标准，有的已经成为事实上的网络管理标准。其中，应用最广泛的是简单网络管理协议（SNMP，simplenetworkmanagementprotocol）。（1）管理进程管理进程是一个或一组软件程序，它一般运行在网络管理站（或网络管理中心）的主机上，可以在SNMP的支持下由管理代理来执行各种管理操作。（2）管理代理管理代理是一种被管理的网络设备中运行的软件，它负责执行管理进程的管理操作。第9章计算机管理与网络安全技术（3）管理信息库管理信息库是一个概念上的数据库，它是由管理对象组成的。每个管理代理管理信息库中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。3．典型的网络管理软件网络管理软件用于监视与控制网络的运行情况，包括设备与线路的破坏、网络流量与拥挤程度等。对于大型的网络系统来说，使用网络管理软件是十分必要的，否则在网络出现故障或性能下降时无从解决。第9章计算机管理与网络安全技术9.2网络安全的基本概念网络的重要性网络安全的基本问题网络安全服务的主要内容网络安全标准主要的网络安全技术第9章计算机管理与网络安全技术计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大影响，同时也不可避免地会带来一些新的社会、道德、政治与法律等问题。现在许多企业在推行电子商务，这些企业往往是通过Internet与合作伙伴和顾客交流沟通，通过Internet发展潜在客户。根据调查Internet上连接了7200多万个主机，我们知道还有许多的计算机通过各种方式与Internet连接。可以这样估计，大概有十亿的人们是你的网络邻居。政府上网工程的实施，使得各级政府与各个部门之间越来越多地利用网络进行信息交互，实现办公自动化。远程教育使得数以万计的学生可以在不同的地方，通过网络进行课堂教学、查阅资料以及传送作业等。所有这一切都说明，网络的应用正在改变人们的工作方式、生活方式与思维方式，对提高人们的生活质量产生了重要影响。网络已成为一个国家政治、经济、文化、科技、军事与综合国力的重要标志。网络的重要性第9章计算机管理与网络安全技术1．网络防攻击问题要保证运行在网络环境中的信息系统的安全，首要问题是保证网络自身能够正常工作。2．网络安全漏洞与对策的研究网络信息系统的运行一定要涉及计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件、各种网络通信协议，以及各种计算机硬件与操作系统、应用软件都会存在一定的安全问题，它们不可能是百分之百无缺陷或无漏洞的。3．网络中的信息安全问题网络安全技术研究的第三个问题就是如何保证网络系统中信息的安全问题，即网络信息的安全保密问题。网络安全的基本问题第9章计算机管理与网络安全技术4．网络内部安全防范问题除了以上列出的几种可能对网络安全构成威胁的因素外，还有一些威胁可能来自网络内部。5．网络防病毒问题网络病毒的危害是人们不可忽视的现实。据国际计算机安全协会（ICSA，InternationalComputerSecurityAssociation）统计的2000年度病毒传播趋势报告：电子邮件成为计算机病毒主要传播媒介，感染率窜升至87％。6．网络数据备份与恢复、灾难恢复问题随着信息技术的不断发展，近年来在世界范围内掀起了兴建网络环境、传播数据信息的热潮。随着计算机存储信息量的不断增长，数据备份和灾难恢复也成为引人关注的话题。第9章计算机管理与网络安全技术网络安全服务的主要内容网络安全服务应该提供以下这些基本的服务功能。（1）保密性（confidentiality）保密性服务是为了防止被攻击而对网络传输的信息进行保护。（2）认证（authentication）认证服务是用来确定网络中信息传送的源节点用户与目的结点用户的身份是真实的，不出现假冒、伪装等现象，保证信息的真实性。（3）数据完整性（dataintegrity）数据完整性服务可以保证信息流、单个信息或信息中指定的字段，保证接收方所接收的信息与发送方发送的信息是一致的。（4）防抵赖（nonrepudiation）防抵赖服务是用来保证收发双方不能对已发送或已接收的信息予以否认。第9章计算机管理与网络安全技术（5）访问控制（accesscontrol）访问控制服务是控制与限定网络用户对主机、应用与网络服务的访问。第9章计算机管理与网络安全技术网络安全标准可信计算机系统TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）。可信计算机系统TC-SEC-NCSC评估准则将计算机系统安全等级分为4类7个等级，依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。D类系统的安全级别最低，属于非安全保护类。它不能用于多用户环境下的重要信息处理。D类只有一个级别。C类系统为用户定义访问控制要求的自主型保护类。它分为两个级别：C1级别系统具有一定的自主型访问控制机制，它只要求用户与数据分离。大部分UNIX系统可以满足C1级标准的要求。C2级别系统则要求用户定义访问控制机制，通过注册认证、对用户启动系统、打开文件的权限检查，防止非法用户与越权访问信息资源的安全保护。UNIX系统通常能满足C2标准的大部分要求，有一些厂商的最新版本可以全部满足C2级别系统要求。B类系统属于强制型安全保护类，即用户没有分配权限，只有网络管理员可以为用户分配权限。B类系统分为三个级别：B1级别系统要求能第9章计算机管理与网络安全技术满足强制型保护类，它要求系统的安全模型符合标准，对保密数据打印需要经过认定，系统管理员的权限要很明确。一些满足C2级的UNIX系统，可能满足某些B1级标准的要求；也有些软件公司的UNIX能够满足B1级标准的要求。B2级系统对安全性的要求很高，它属于结构保护级。B2级除了满足B级系统的要求之外，还需要满足：对所有与信息系统直接或间接连接的计算机与外设均要由系统管理员来分配访问权限；用户及信息系统的通信线路与设备都要可靠，并能够防御外界的电磁干扰；系统管理员与操作员的职能与权限要明确。B3级系统又称为安全域级系统，它要求系统通过硬件的方法去保护某个域的安全，例如通过内存管理的硬件去限制非授权用户对文件系统的访问企图。B3级要求系统在出现故障后能够自动恢复到原来的状态。A1级系统的安全要求最高。A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。A1级系统在系统安全模式设计与软、硬件实现上要通过认证，要求达到更高的安全可信度。第9章计算机