5.网络管理与安全_JZ.ppt

网络管理与安全 主要内容 网络管理基础 网络安全基础 黑客攻防实例 网络安全策略 网络管理基础 狭义的网络管理仅仅指对网络的通信量(traffic)的管理。 广义的网络管理指对整个网络系统的管理。 实际上，网络管理的范围还可以扩大到网络中通信活动与资源的规划和组织。 网络管理的要求 要有比较强的协议适应性 要有尽可能大的管理范围和尽可能小的系统开销 要同时具有监视和控制两方面的能力 要具有足够的包容度 网络管理的功能域 故障管理(Fault Management) 配置管理(Configuration Management) 计费管理(Accounting Management) 性能管理(Performance Management) 安全管理(Security Management) 以上五个管理功能缩写为FCAPS，它们基本上覆盖了整个网络管理的范围。 网络安全基础 网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不会因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可连续、可靠、正常地运行，网络服务不中断。 网络安全一般可分为物理安全和信息安全两种。物理安全是计算机信息系统安全的前提。 网络所面临的人为的安全威胁 内部泄密和破坏 窃听 仿造 篡改 非法访问 冒充 重演 抵赖 拒绝服务攻击 其他威胁 网络安全层次 操作系统层的安全 用户层安全 应用层安全 网络层（路由器）安全 数据链路层的安全 网络安全的要求 数据机密性 数据完整性 数据可控性 数据可用性 身份鉴别 防抵赖 审计与监测 网络安全技术 加密技术 鉴别技术 防火墙技术 访问控制技术 监控审计技术 安全评估技术 …… 加密技术和鉴别技术 加密是把称为“明文”的可读信息转换成不可读信息的“密文”的过程。解密则是其的反过程。 加密和解密都使用密码算法来完成。 密码算法是用于隐藏和显露信息的可计算过程。算法越复杂，结果密文就越安全。 在加密技术中，密钥是不可缺少的。密钥是使密码算法按照一种特定的方式运行并产生特定密文的值。密钥越大，结果密文越安全。 加密可以用来保护数据的安全，也可以用来认证。认证包括用户认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性和信息的完整性。 数据加密模型 明文P用加密算法E和加密密钥Ke，得到密文C=EKe(P)，通过不安全的信道，如因特网传送，接受者用解密算法D和解密密钥Kd解出明文为：DKd(C)=P。 密码技术按其密钥(Ke,Kd)管理的方式分为公开密钥密码体制（Ke ≠Kd，也称为非对称密码体制，双钥密码体制）和私密密钥密码体制（Ke ＝Kd，也称为对称密码体制，单钥密码体制）。 密钥的传送一定要通过另一个安全信道。否则，密钥被窃取将导致传输数据的不安全。 私密密钥密码体制 特点是无论加密还是解密都使用同一个密钥，因此密钥必须通过安全可靠的途径传输，如果密钥泄露，则密码系统就被攻破。密钥管理成为影响系统安全的关键性因素。 该体制的优点是具有很高的必威体育官网网址强度，可以经受较高级破译力量的分析和攻击。 常见的私钥密码体制有：美国的数据加密标准（Data Encryption Standard，简称DES）和国际数据加密算法（International Data Encryption Algorithm，简称IDEA）。 公开密钥密码体制 使用不同的加密密钥与解密密钥，是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。不需要安全信道来传送密钥，只需利用本地密钥发生器产生解密密钥即可。因此可以公开加密密钥，而仅需要必威体育官网网址解密密钥。另外，加密算法和解密算法也都是公开的。 另一个优点是可以拥有数字签名等新功能。 目前，最著名的公开密钥密码体制是RSA体制。使用RSA体制时，必须选择足够长的密钥。 鉴别技术 可以验证消息的完整性、有效地对抗冒充、非法访问、重演等威胁。 分为用户身份鉴别和消息内容鉴别。 常用的鉴别方法：数字签名数字证书 防火墙技术 防火墙将内联网络与因特网之间互相隔离，通过访问控制方式来保护内联网络。 简单的防火墙可以只用路由器实现，复杂的防火墙可以用主机甚至一个子网来实现。 功能：阻止未经授权的数据流入及流出内部网络。 局限性：不能防范不经防火墙的攻击；不能防范病毒和非法文件传输；不能防止数据驱动式攻击。 黑客攻防实例 蓝屏炸弹 Windows 2000输入法漏洞入侵与防护 广外女生木马的攻击与防御 IPC$漏洞攻击与防护 QQ常见攻击与防护 …… 蓝屏炸弹 利用Windows的NetBIOS的一个例外处理程序OOB(Out of Band)漏洞发进攻击。 有人以OOB的方式，通过TCP/IP传递一个小小的数据包(ICMP碎片)到某个IP地址的139端口上。当你机器收到后，系统会不停地