笔试_第七章_网络管理与网络安全

第7章网络管理与网络安全计算机科学学院2/56考点考点1网络管理考点2信息安全技术概述考点3网络安全问题与安全策略考点4加密技术考点5认证技术考点6安全技术应用考点7入侵检测技术与防火墙考点8计算机病毒问题与防护3/56提醒笔试教程中，3、5、7这三章是最重要的。考点较多。考题中，凡是涉及ATM、电子商务、电子政务的考题，请直接跳过。新的考试大纲没有上述内容。4/56考点1网络管理1．网络管理的定义为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措施。任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施，工作参数和工作状态，以实现对网络的管理。2．网络安全的基本目标是实现信息的【机密性、可用性、完整性和合法性】。减少停机时间，改进响应时间，提高设备利用率；减少运行费用，提高效率；减少或消除网络瓶颈；使网络更容易使用；安全。5/56网络管理的功能P98包括5大功能域：配置管理故障管理计费管理性能管理安全管理6/561．配置管理掌握和控制网络的配置信息，从而保证网络管理员可以跟踪、管理网络中各种设备的运行状态配置管理的内容一般分为：对设备的管理对设备连接关系的管理网络配置管理中的设备清单，并不对用户公开。7/562．故障管理对网络中的问题或故障进行定位的过程故障管理的步骤：网络故障管理步骤包括：发现故障，判断故障，【隔离故障】，修复故障，记录故障。故障管理的作用：通过提供网络管理者快速地检查问题并启动恢复过程的工具，使网络的可靠性得到增强8/563．计费管理主要目的：记录网络资源的使用，控制和监测网络操作的费用和代价。主要作用：能够测量和报告基于个人或团体用户的计费信息，分配资源并计算传输数据的费用，然后给用户开出账单主要功能建立和维护计费数据库；建立和管理相应的计费策略；限量控制；信息查询9/564．性能管理网络性能：主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。性能管理目标：通过监控网络的运行状态调整网络性能参数来改善网络的性能，确保网络平稳运行。从概念上讲，性能管理包括监视和调整两大功能，具体包括：性能参数的收集和存储性能参数的显示和分析性能阈值的管理性能调整10/565．安全管理目标：提供信息的隐隐蔽、认证和完整性保护机制，使网络中的服务、数据以及系统免受侵扰和破坏。主要内容：对网络资源以及重要信息的访问进行约束和控制主要功能：标识重要的网络资源；确定重要的网络资源和用户集之间的映射关系；监视对重要网络资源的访问；记录对重要网络资源的非法访问；信息加密管理。11/56网络管理模型P99网络管理者：运行在计算机操作系统之上的一组应用程序，负责从各代理处收集管理信息，进行处理，获取有价值的管理信息，达到管理的目的。代理：位于被管理的设备内部，是被管对象上的管理程序。在网络管理中，一般采用管理者-代理的管理模型，其中代理位于【被管理网络】内部。12/56网络管理协议P99国际标准化组织ISO制定了CMIS和CMIP。后来，Internet工程任务组（IETF）制定了SNMP协议（简单网络管理协议）。电信管理网(TMN)主要使用的协议是【CMIS/CMIP】SNMP简单而实用，管理程序从被管理设备中收集数据有两种方法：一种是轮询方法，一种是基于中断的方法。CMIP不是通过轮询而是通过事件报告的方式工作的。CMIP与SNMP相比，两种管理协议各有所长。13/56网络管理协议(续)SNMP简单网络管理协议，应用最广泛SNMP从被管理设备中搜集数据有两种方法：一是【轮询Polling】，二是【基于中断】CMIS／CMIP公共管理信息服务/公共管理信息协议OSI提供的网络管理协议簇14/56简单网管协议（SNMP）SNMP版本SNMPv1是事实上的网络管理工业标准，但在安全性和数据组织上存在一些缺陷。SNMPv2是SNMPv1的增强版，在系统管理接口、协作操作、信息格式、管理体系结构和安全性几个方面有较大的改善。SNMPv3在SNMPv2基础之上增加、完善了安全和管理机制。Internet网络管理协议包括SNMPv1、SNMPv2、SNMPv3，注意没有SNMPv4。SNMP使用的协议是【UDP】。没有SNMPv415/56考点2信息安全技术概述信息安全主要包括三个方面：物理安全，【安全检测】和【安全服务】。16/56我国计算机信息安全等级自主保护级：受破坏后会产生一定影响指导保护级：受破坏后会造成一定损害监督保护级：受破坏后会造成较大损害强制保护级：受破坏后会造成严重损害专控保护级：受破坏后会造成特别严重损害注意：我国的国家标准，第一级为自主保护级，第五级(最高级）为专控保护级17/56考点3网络安全问题与安全策略网络安全的目标，主要包括两个方面：信息的存储安全和信息的传输安全。为确保网络信息的传输安全，尤其需要防止出现如下状况。（1）对网络上信息的监听（1）对用户身份的假冒（3）对网络上信息的篡改（4）对发出的信息予以否认（5）对信息进行重放18/56OSI安全框架★★★★OSI框架即X.800方案，主要关注3部分：安全攻击、安全机制和安全服务。（1）安全攻击①分为两类：被动攻击和主动攻击。②从网络高层的角度划分，攻击方法又可以分为两大类：服务攻击与非服务攻击。（2）安全机制用来保护系统免受侦听、组织安全攻击及恢复系统的机制称为安全机制。例如加密、数字签名等。（3）安全服务加强数据处理系统和信息传输安全性的一种服务，其目的在于利用一种或多种安全机制阻止安全攻击。例如认证等。19/56被动攻击和主动攻击被动攻击对信息的保密性进行攻击，即通过窃听网络上传输的信息并加以分析从而获得有价值的情报，但它并不修改信息的内容目标是获得正在传送的信息，其特点是偷听或监视信息的传递被动攻击主要手段：•信息内容泄露：信息在通信过程中因被监视窃听而泄露，或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。•通信量分析：通过确定通信位置和通信主机的身份，观察交换消息的频度和长度，并利用这些信息来猜测正在进行的通信特性。20/56被动攻击和主动攻击主动攻击攻击信息来源的真实性、信息传输的完整性和系统服务的可用性有意对信息进行修改、插入和删除主动攻击主要手段：•假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。•重放：涉及被动捕获数据单元及其后来的重新传送，以产生未经授权的效果。•修改消息：改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。•拒绝服务：禁止通信实体的正常使用或管理。21/56服务攻击和非服务攻击服务攻击针对某种特定网络服务的攻击例如：针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击原因：TCP/IP协议缺乏认证、保密措施。非服务攻击不针对某项具体应用服务，而是基于网络层等低层协议而进行原因：TCP/IP协议（尤其是IPv4）自身的安全机制不足22/56网络安全模型与安全性相关的转换信息通道与安全性相关的转换消息秘密消息对手可信任的第三方(如保密信息的促裁者、发布者)主体主体消息秘密消息23/56考点4加密技术密码编码学系统有3个独立的特征。①转换明文为密文的运算类型基于两个原理：代换和置换。②所用的密钥数。如果发送方和接收方使用相同的密钥，就称为对称密码、单密钥密码或传统密码。如果收发双方使用不同的密钥，就称为非对称密码、双密钥密码或公钥密码。③处理明文的方法。加密算法可以分为分组密码和流密码。24/56密码学的基本概念E加密算法E加密算法D解密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源密钥源安全信道E加密算法E加密算法D解密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源密钥源安全信道25/56置换密码和易位密码置换密码将将明文的每个元素（如比特、字母、比特和字母的组合等）置换成其它元素恺撒密码：对凯撒密码进行破译，最多的尝试次数是【25】次。•原始消息（明文）中的每一个字母都用该字母后的第n个字母来替换，其中n就是密钥。•例如使加密字母向右移4个字母，即，a换成E、b换成F、c换成G、…、z换成D。这样，如果对明文attack进行加密，密钥为4，则加密后形成的密文就是EXXEGO。单字母表替换26/56置换密码和易位密码易位密码易位是将明文的元素进行重新布置。CIPHER145326attackbeginsatfour密钥顺序明文27/56对称加密和非对称加密P106对称加密发送方使用的加密密钥和接受方使用的解密密钥相同，或从其中一个密钥易于得出另一个密钥其特点：计算量小、加密效率高缺点：在分布式系统上使用较为困难，主要是密钥管理困难常用算法：DES、IDEA、TDEA、RC2、RC4、RC5等算法非对称加密发送方使用的加密密钥和接受方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥特点：有两个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程“数字签名”：用于防止通信一方的抵赖行为主要算法：RSA、DSA、Diffie-Hellman、ECC等不可逆加密算法又称为单向散列算法加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据常用的单向散列算法主要有：MD5、SHA等28/56对称密码P105DESDES采用了64位的分组长度和56位的密钥长度。DES的明文经过多轮置换、代换和循环左移得到密文。（2）其他常见的对称加密算法•①三重DES•②高级加密标准AES•③Blowfish算法•④RC5算法对称加密技术的安全性取决于【密钥的保密性】。29/56公钥密码P106算法依赖于一个加密密钥和一个与之相关但不相同的解密密钥（通常也叫公钥和私钥）。这些算法都具有的一个重要特点是:仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的。公钥加密涉及高次幂运算，加密速度一般较慢，占空间大。30/56公钥加密技术公钥密码体制的模型有两种模型：加密模型、认证模型明文X接收者发送者E加密算法E加密算法D解密算法D解密算法公钥PK私钥SK密文Y=EPK(X)密钥对产生源密钥对产生源明文X=DSK(EPK(X))明文X接收者发送者E加密算法E加密算法D解密算法D解密算法公钥PK私钥SK密文Y=EPK(X)密钥对产生源密钥对产生源明文X=DSK(EPK(X))如果甲要发送消息给乙，则甲用乙的公钥对消息加密，乙用自己的私钥进行解密。公钥密码体制中，用于加密的密钥为公钥。不公开的是私钥。31/56常用的公钥体制公钥安全基础：数学中的难解问题两大类：基于大整数因子分解问题，如RSA体制；基于离散对数问题，如Elgamal体制、椭圆曲线密码体制等。RSA基本原原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的RSA算法的安全性建立在难以对大数提取因子的基础上。与DES相比，缺点是加密、解密的速度太慢RSA体制很少用于数据加密，而多用在数字签名、密钥管理和认证等方面32/56常用的公钥体制(续)Elgamal公钥体制基于离散对数的公钥密码体制密文不仅信赖于待加密的明文，而且信赖于用户选择的随机参数，即使加密相同的明文，得到的密文也是不同的。加密算法的非确定性背包公钥体制基本原理：背包问题33/56RSA算法P106RSA算法是第一个既能用于数据加密也能用于数字签名的算法。RSA是一种分组密码，其明文和密文均是0至n-1之间的整数，通常n的大小为1024位二进制数或309位十进