网络技术第七章 网络管理与网络安全.docx
《网络技术第七章 网络管理与网络安全.docx》由会员分享,可在线阅读,更多相关《网络技术第七章 网络管理与网络安全.docx(14页珍藏版)》请在冰豆网上搜索。
网络技术第七章网络管理与网络安全
网络技术
第七章网络管理与网络安全
考点1 网络管理的基本知识
1.网络管理的基本概念
(1)网络管理
网络管理是指对网络运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。
网络管理包括两个任务:
①对网络的运行状态进行监测,了解网络状态是否正常,是否存在瓶颈和潜在的危机。
②对网络的运行状态进行控制,可以对网络状态进行合理调节,从而提高性能,保证服务。
(2)网络管理的对象
网络管理的对象可分为两大类:
硬件资源和软件资源。
(3)网络管理的目标
网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。
2.网络管理的功能
国际标准化组织(ISO)在ISO/IEC7498-4文档中定义了网络管理的5大功能:
配置管理、故障管理、计费管理、性能管理和安全管理。
(1)配置管理
配置管理负责网络的建立、业务的展开以及配置数据的维护。
配置管理功能包括资源清单管理、资源开通以及业务开通。
(2)故障管理
①故障管理的主要任务是发现和排除网络故障。
②故障管理用于保证网络资源无障碍、无错误地运营,包括障碍管理、故障恢复和预防保障。
③网络故障管理包括检测故障、隔离故障和纠正故障3个方面。
(3)计费管理
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价,它可以估算出用户使用网络资源可能需要的费用和代价。
(4)性能管理
性能管理的目的是维护网络服务质量和网络运营效率。
性能管理包括:
性能监测、性能分析、性能管理控制功能、性能数据库的维护、启动故障管理系统的功能。
(5)安全管理
安全管理采用信息安全措施保护网络中的系统、数据以及业务。
安全管理的目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。
3.网络管理协议
网络管理系统中最重要的部分是网络管理协议,定义了网络管理者与网管代理间的通信方法。
(1)发展简史
国际标准化组织(ISO)最先在1979年对网络管理通信进行标准化工作,其成果是CMIS和CMIP,两者规定了0SI系统的网络管理标准。
CMIS支持管理进程和管理代理之间的通信要求。
CMIP则提供管理信息传输服务的应用层协议。
Internet工程任务组(IETF)修改SGMP(简单网关监控协议)成为著名的SNMP协议(简单网络管理协议),也称为SNMPVl。
SNMPV1的特点:
简单性,容易实现且成本低;可伸缩性,SNMP可管理绝大部分符合Internet标准的设备;扩展性,通过定义新的被管理对象,可以非常方便地扩展管理能力;健壮性,即使在被管理设备发生严重错误时,也不会影响管理者的正常工作。
由于SNMP没有考虑安全问题,IETF在1992年开始了SNMPV2的开发工作,SNMPV2主要在提高安全性和更有效地传递管理信息方面做了改进。
具体包括:
提供验证、加密和时间同步机制。
1997年4月,IETF成立了SNMPV3工作组,SNMPV3的重点是安全、可管理的体系结构和远程配置。
(2)SNMP协议
SNMP是由一系列协议和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。
SNMP的体系结构由SNMP管理者(SNMPManager)和SNMP代理者(SNMPAgent)两部分组成。
从被管理设备中收集数据有两种方法:
轮询(Polling)法和基于中断(Interrupt-based)法。
将两者结合起来的陷入制轮询法(Trap-directedPoHmg)是执行网络管理最有效的方法。
(3)CMIP协议
CMIP即公共管理信息协议,是IS0定义的网络管理协议。
与其他通信协议一样,CMIP定义了一套规则,在CMIP实体之间按照这种规则交换各种协议数据单元(PDU)。
(4)CMIP和SNMP协议比较
CMIP和SNMP相比,各有优势。
①SNMP是Internet组织用来管理互联网和以太网的,实现、理解和排错简单,但安全性较差。
②CMIP是一个更为有效的网络管理协议。
一方面,CMIP采用了报告机制,具有及时性的特定;另一方面,CMIP把更多工作交给管理者去做,减轻了终端用户的工作负担,此外CMIP建立了安全管理机制、提供授权、访问控制、安全日志等功能。
CMIP的缺点是涉及面广,大而全,实施起来比较复杂且花费较高。
考点2 信息安全技术概述
1.信息安全的概念
信息安全要实现的目标主要有以下7个方面:
①真实性。
②保密性。
③完整性。
④可用性。
⑤不可抵赖性。
⑥可控制性。
⑦可审查性。
2.信息安全等级
美国国防部所属的国家计算机安全中心(NCSC)提出了网络安全标准(DoD5200.28STD),即可信任计算机标准评估准则(TCSEC),也称为橘皮书。
美国国防部安全准则(TCSEC)分为4类7个级别,安全性从低到高分别为:
Dl、Cl、C2、Bl、B2、B3、Al级别。
协议TCSEC级别及其安全性见下表。
在我国以《计算机信息系统安全保护等级划分准则》为指导,将信息和信息系统的安全保护分为5个等级。
第一级为自主保护级。
适用于一般的信息及信息系统受到破坏后产生影响,但不会危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级。
适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统。
受到破坏后造成一定损害。
第三级为监督保护级。
适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统。
受到破坏后会造成较大损害。
第四级为强制保护级。
适用于涉用国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统。
受到破坏后成严重损害。
第五级为专控保护级。
适用于涉及国家安全、社会秩序、经济建设和公共利益的核心信息和信息系统。
受到破坏后会造成特别严重的损害。
考点3 OSI安全框架
国际电信联盟(ITU-T)推荐方案X.800,即OSI安全框架。
OSI主要关注3部分:
安全攻击、安全机制、安全服务。
(1)安全攻击
在X.800中,安全攻击分为两类:
被动攻击和主动攻击。
①被动攻击。
被动攻击的特征是对传输进行窃听和监测。
攻击者的目的是获得传输的信息。
信息内容泄漏和流量分析是两种被动攻击。
②主动攻击。
主动攻击包括对数据流进行篡改或伪造数据流,可分为5类:
伪装、重放、消息篡改和分布式拒绝服务。
对于主动攻击,其重点在于检测并从破坏中恢复。
③服务攻击与非服务攻击
从网络高层的角度划分,攻击方法概括的分为:
服务攻击与非服务攻击。
服务攻击针对某种特定的网络服务的攻击。
如MailBomb(邮件炸弹)就可以实施服务攻击。
非服务攻击是基于网络层等底层协议进行的。
如NetXRay就可以实施非服务攻击。
非服务攻击与特定服务无关,主要针对系统漏洞进行攻击,更为隐蔽,常被忽略,因而被认为是一种更为有效的攻击手段。
(2)安全机制
用来保护系统免侦听、组织安全攻击及恢复系统的机制称为安全机制。
在X.800中,安全机制分为两类:
一类是在特定的协议层实现的,另一类是不属于任何的协议层或安全服务。
X.800区分可逆和不可逆加密机制。
可逆加密机制是一种简单的加密算法,使数据可以加密和解密。
不可逆加密机制包括Hash算法和消息认证码,用于数字签名和消息认证应用。
考点4 加密技术
1.密码学基本概念
(1)密码学基本术语
明文:
原始的消息。
密文:
加密后的消息。
加密:
从明文到密文的变换过程。
解密:
从密文到明文的变换过程。
密码编码学:
研究各种加密方案的学科。
密码体制或密码:
加密方案。
密码分析学(破译):
研究破译密码获得消息的学科。
密码学:
密码编码学和密码分析学的统称。
(2)密码编码学
密码编码学具有3个独立的特征。
①转换明文为密文的运算类型。
所有的加密算法都基于两个原理:
代换和置换。
②所用的密钥数。
如果发送方和接收方使用相同的密钥,这种密码就是对称密码、单密钥密码或传统密码:
否则就是非对称密码、双钥密码或公钥密码。
③处理明文的方法。
加密算法可以分为分组密码和流密码。
分组密码每次处理一个输入分组,相应输出一个分组。
典型的分组是64位或128位。
而流密码是连续地处理输入元素,每次输出一个元素。
一般而言,分组密码的引用范围要比流密码广泛。
绝大多数基于网络的对称密码应用使用的都是分组密码。
(3)密码分析学
攻击密码体制一般有两种方法:
①密码分析学。
密码分析学的攻击依赖于算法的性质和明文的一般特征或某些明密文对。
②穷举攻击。
攻击者对一条密文尝试所有的可能的密钥,直到解密。
基于加密信息的攻击类型见下表。
一般来说,加密算法起码要能经受得住已知明文攻击。
(4)无条件安全与计算上的安全
如果无论有多少可使用的密文,都不足以惟一地确定由该体制产生密文所对应的明文,则加密体制是无条件安全的。
加密体制满足以下两个条件才是计算上安全的。
①破译密码的代价超出密文信息的价值。
②破译密码的时间超出密文信息的有效生命期。
(5)代换与置换技术
代换与置换技术是几乎所有的对称加密用到的两种技巧。
代换法是将明文字母替换成其他字母、数字或符号的方法。
典型的算法包括:
Caesar密码、单表代换密码、playfak密码、Hill密码、多表代换密码以及一次一密。
已知最早的代换密码是由JuliusCaesar发明的Caesar密码。
置换法是将明文通过置换而形成新的排列。
最简单的例子是栅栏技术,按对角线的顺序写入明文,而按行的顺序读出作为密文。
单纯的置换密码容易被识破,多部置换密码比较安全一些。
考点5 认证技术
在信息安全领域中,常见的消息保护手段大致可分为加密和认证两大类。
加密前面我们已经介绍了,下面将介绍认证。
认证主要包括3方面:
消息认证、数字签名、身份认证。
1.消息认证
(1)消息认证的概念
消息认证就是使意定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验。
消息认证的内容包括:
证实消息的信源和信宿、消息内容是否曾受到偶然或有意的篡改、消息的序号和时间性是否正确。
(2)消息认证的方法
①认证消息的来源。
有两种方法:
其一是双方事先约定消息的加密密钥,接收者只要证实可用此密钥解密即可鉴定发送者,如双方使用同一数据加密密钥,只需要在消息中嵌入发送者的识别符即可。
其二是双方约定发送消息使用的通行字,如果接收的消息中有此通行字即可鉴定发送者。
②认证消息的完整性。
有两种基本途径:
采用消息认证码(MAC)和采用篡改检测码(MDC)。
③认证消息的序号和时间。
常见的方法有:
消息的流水作业号、随机数认证法和时间戳等。
(3)消息认证的模式
消息认证的模式有两类方法:
单向验证和双向验证。
(4)认证函数
可用来认证的函数分为以下3类。
①信息加密数。
②信息认证码(MAC)。
③散列函数,常见的散列函数有MD5和SHA-1。
MD5通过下列4步得到128位消息摘要:
填充——附加——初始化累加器——主循环。
SHA-1(安全哈希算法)产生l60位消息摘要。
2.数字签名
(1)数字签名的要求
消息认证用来保护通信双方免受任何的第三方的攻击,但是它无法防止通信双方的互相攻击。
数字签名可以保证信息传输过程中信息的完整性,并提供信息发送者本身的身份认证,防止抵赖行为的发生。
基于公钥密码体制和私钥密码体制都可以获得数字签名,但目前主流的是基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名。
普通数字签名的算法有:
RSA、ELGamal、Fiat.Shamir、Guillou—Quisquarter、Schnorr、Ong.Schnorr-Shamir数字签名算法、DES/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等。
特殊数字签名算法:
盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等。
数字签名的应用涉及法律问题。
美国政府基于有限域上的离散对数问题制定了自己的数字签名标准(DES)。
(2)数字签名的创建
基于公钥密码体制的数字签名是一个加密的消息摘要,附加在消息的后面。
如果甲要在给乙的消息中创建一个数字签名,其步骤如下:
①甲创建一个公钥/私钥对。
②甲将自己的公钥给乙。
③甲将要发送的消息作为一个单项散列函数的输入,散列函数的输出就是消息摘要。
④甲再用其私钥加密消息摘要,得到数字签名。
(3)数字签名的验证
在接收方,乙需要按以下步骤验证甲的数字签名:
①乙将收到的数据分离成消息和数字签名。
②乙用甲的公钥对数字签名解密,得到消息摘要。
③乙把消息作为甲所使用的相同散列函数的输入,得到一个消息摘要。
④比较这两个消息摘要,若匹配表示验证成功。
3.身份认证
身份认证也称为身份识别,是通信和数据系统中正确识别通信用户或终端身份的重要途径。
(1)身份认证的方法
身份认证的常用方法有3种:
口令认证、持证认证和生物识别。
①口令认证。
口令认证是最常用的认证方式。
防止口令猜测的措施之一就是严格地限制从一个终端进行连续不成功登录的次数。
为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有:
S/Key协议和令牌口令认证方案。
②持证认证。
持证(ToIcen)是一种个人持有物,如磁卡、智能卡等。
这类卡通常和个人识别号(PIN)一起使用。
③生物识别。
生物识别包括:
指纹识别、声音识别、笔迹识别和虹膜识别及手形识别等。
(2)常用的身份认证协议
目前有多种认证协议,主要有几类:
一次一密机制、X.509认证协议、Kerberos认证协议。
①一次一密机制。
采用请求应答机制:
用户登录时,系统随机提示一条信息,用户根据信息产生一个口令,完成一次登录。
②X.509认证协议。
X.509定义了一种通过X.500目录提供认证服务的框架。
该目录可以看作是公钥证书的数据库。
③Kerberos认证协议。
Kerberos基于对称密钥体制,一般使用DES加密算法,广泛应用于校园网环境。
由3个组成部分:
身份认证、计费和审计。
考点6 安全技术应用
面向应用服务的加密技术则是目前较为流行的加密技术的使用方法。
例如,使用Kerberos服务的Telnet、NFS、rlogin等以及用作电子邮件加密的PEM和PGP。
1.安全电子邮件
随着对电子邮件可靠性需求的急剧增长,出现了提供鉴别和机密性服务的要求。
本节主要讨论未来几年将广泛使用的两种技术:
PGP(PrettyGoodPrivacy,相当好的私密性)和S/MIME(Secure/MultipurposeInternetMailExtension,安全/通用Intemet邮件扩充)。
(1)PGP
PGP是一个安全电子邮件加密方案,它已成为事实上的标准。
其实际操作由5种服务组成:
鉴别、机密性、压缩、电子邮件的兼容性和分段。
PGP利用4种类型的密钥:
一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语的常规密钥。
(2)S/MIME
MIME(多用途因特网邮件扩展)是一种因特网邮件标准化的格式,它允许以标准化的格式在电子邮件消息中包含文本、音频、图形和类似的信息。
S/MiME(安全MIME)是基于RSA数据安全技术的Intemet电子邮件格式标准的安全扩充。
2.网络层安全——IPSec
IP安全协议(通常称为IPSec)是在网络层提供安全的一组协议。
在IPSec协议簇中,有两个主要的协议:
身份认证头(AH)协议和封装安全负载(ESP)协议。
①身份认证头(AH)协议。
AH协议提供了源身份认证和数据完整性。
②ESP协议。
ESP协议提供了数据完整性、身份认证和秘密性。
3.Web安全
Web流量安全性方法可以分为如下3种:
①网络级:
使用IPSec安全协议。
②传输级:
在TCP上采用安全套接层(SSL)或运输层安全(TLS)的Intemet标准。
③应用级:
相关的安全服务嵌套到特定的应用程序中。
考点7 入侵检测技术与防火墙
1.入侵检测技术
(1)入侵者
目前,网络两大最广泛的安全性威胁之一是入侵者(另一个是病毒)。
入侵者通常指的是黑客和解密高手。
入侵大致分为3类:
假冒者、非法者、秘密用户。
(2)入侵检测技术
入侵检测是基于入侵者的行为不同于一个合法用户的行为,通过可以量化的方式表现出来的假定。
入侵检测技术分为两种:
①统计异常检测。
包括两方面:
阈值检测和基于轮廓。
②基于规则的检测。
异常检测和渗透识别。
对于合法性的攻击,基于规则的方法可以识别攻击事件和顺序,从而发现入侵。
事实上,很多系统把这两种方法结合起来有限地对付更大范围的攻击。
①审计记录。
入侵检测的一个基础工具是审计记录。
用户活动的记录应作为入侵检测系统的输入。
一般采用两种方法:
原有的审计记录、专门用于检测的审计记录。
②分布式入侵检测系统。
可通过网络合作达到有效保护网内机器的目的。
2.防火墙
3种常见的防火墙分别是包过滤路由器、应用级网关和电路级网关。
①包过滤路由器。
包过滤路由器依据一套规则对收到的IP包进行处理,决定转发还是丢弃。
②应用级网关。
应用级网关也称为代理服务器,在应用级的通信中扮演着一个消息传递者的角色。
③电路级网关。
电路级网关是一个独立系统,或者说它是某项具体的功能,这项功能事实上也可以由应用级网关在某个应用中执行。
堡垒主机。
堡垒主机是防火墙的管理人员所指定的某个系统,它是网络安全的一个临界点。
通常作为应用级网关和电路级网关的服务平台。
考点8 计算机病毒问题与防护
1.计算机病毒
(1)计算机病毒的概念
计算机病毒是一个程序、一段可执行代码。
它对计算机的正常使用进行破坏,使得计算机无法正常使用,甚至整个操作系统或硬盘损坏。
通常人们把这种具有破坏作用的程序称为计算机病毒。
(2)病毒的生存周期
计算机病毒的完整工作过程应包括以下4个环节:
①潜伏阶段。
②繁殖阶段。
③触发阶段。
④执行阶段。
(3)病毒的种类
对于重要的病毒类型有如下分类方法:
①寄生病毒。
传统的且是最常见的病毒形式。
寄生病毒将自己附加在可执行文件中,待感染的文件执行时,通过感染其他可执行文件来重复。
②存储器驻留病毒。
寄宿在主存中,作为驻留程序的一部分。
病毒感染每一个执行的程序。
③引导区病毒。
感染主引导区或引导记录,且当系统从包含病毒的磁盘启动时进行传播。
④隐形病毒。
明确地设计成能够在反病毒软件检测时隐藏自己。
⑤多态病毒。
每次感染时会改变的病毒,因而不可能通过病毒的“签名”来检测该病毒。
(4)几种常见的病毒
①宏病毒。
对于国家计算机安全结构,宏病毒几乎占了所有计算机病毒的2/3。
宏病毒利用了在Word和其他办公软件中发现的特征(宏)。
②电子邮件病毒。
电子邮件病毒是将Word宏嵌入电子邮件中,一旦打开邮件附件,则Word宏就会被激活。
病毒一会向用户电子邮件地址簿中的地址发送被感染的文件,二是病毒会立即发作。
③特洛伊木马。
特洛伊木马没有复制能力,其特点是伪装成一个实用工具或游戏,诱导用户将其主动安装在计算机上。
完整的木马程序由两个部分组成:
一个是服务器程序,另一个是控制器程序。
④计算机蠕虫。
计算机蠕虫是指通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络中断的病毒。
蠕虫一般由两部分组成:
主程序和引导程序。
2.计算机病毒的防治
病毒和反病毒技术的进步是近似同步的。
早期的病毒是相对简单的代码片段,现在的病毒越来越复杂,相应的反病毒技术也日益提高。
反病毒软件可以分为4代。
①第一代:
简单的扫描程序。
②第二代:
启发式的扫描程序。
③第三代:
行为陷阱。
④第四代:
全方位保护。
现在,不断有最新的反病毒技术诞生,其中一种代表之作就是——类属解密。
类属解密(GD)技术使得反病毒程序可以容易地检测出甚至是最复杂的多态病毒,同时保持快速的扫描速度。
当一个包含多态病毒的文件执行时,病毒必须通过解密来自我激活。
为了检测这样的结构,可执行文件通过GD扫描器来运行,扫描器包括:
CPU模拟器、病毒签名扫描器和模拟控制模块。