第7章网络安全与网络管理技术
本章主要掌握的内容是:计算机病毒的种类和防治,网络管理的相关概念,网络安全与入侵检测技术,网络防病毒技术。
1.计算机网络安全概述
(1)网络安全研究的主要
●网络防攻击技术和入侵检测技术
●网络安全漏洞与对策的研究
●网络中的信息安全问题
●防抵赖问题
●网络内部安全防范
●网络防病毒技术
●网络数据备份与恢复、灾难恢复问题
(2)网络安全标准
网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中,需要参考的网络安全体系结构。主要涉及:
●网络安全模型
●ISO/OSI安全体系结构的安全服务
●ISO安全体系结构的安全服务
●ISO安全体系结构的安全机制
●网络安全技术
2.加密与认证技术
密码技术是安全服务的基础性技术,是保护信息安全的主要手段之一。它不仅具有保证消息机密性的信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。
(1)加密与解密
加密:指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文过程。
解密:接收方将此密文经过解密函数、解密钥匙还原成明文过程。
(2)密码算法
是一个复杂的函数变换,C=F(M,Key),C代表密文,即加密后得到的字符序列,M代表明文,即待加密的字符序列,Key代表密钥,是秘密选定的一个字符序列。加密完成后,可将密文通过不安全渠道送给收信人,但密钥的传递必须通过安全渠道。密码算法分类按加密和解密密钥的类型不同,分为:
●对称密钥密码算法:加密和解密必须使用同一密钥
●非对称密钥密码算法:将加密密钥与解密密钥区分开来,且由加密密钥事实上求不出解密密钥。非对称密钥密码算法的公钥是公开的,私钥则不能公开。
按加密时对明文的处理方式的不同,分为:分组密码算法和序列密码算法。
(3)数字签名技术
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用非对称加密技术(如RSA)。通过对整个明文进行某种变换,得到一个值作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如能正确解密,则签名有效证明对方的身份是真实的。
(4)身份认证技术
身份认证可以定义为:为了使某些授予许可权限的权威机构、组织个人满意,而提供所要求的证明自己身份的过程。包括:用户名/密码方式、智能卡认证、动态口令、USB Key认证和生物识别技术。
3.防火墙技术
防火墙(Firewall)是在网络之间执行安全控制策略的系统,它包括硬件和软件,采用由系统管理员定义的规则,对一个安全网络和一个不安全网络之间的数据流加以控制。
防火墙的作用:网络的安全屏障、强化网络安全策略、对网络存取和访问进行监控、审计防止内部信息的外泄。
防火墙技术与体系结构:技术方面主要有包过滤路由器和应用级网关。体系结构方面主要有屏蔽路由器、双宿主机网关、屏蔽主机网关、屏蔽子网。
4.网络安全的攻击与入侵检测技术
常见的网络攻击方法主要有:口令窃取、木马程序攻击、欺骗攻击、邮件攻击、网络监听、寻找系统漏洞、拒绝服务攻击。
入侵检测是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测的基本方法有:模式匹配、协议分析、专家系统、统计分析、基于技术发展的入侵检测方法。
5.网络防病毒技术
(1)计算机病毒的定义
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
(2)计算机病毒的分类
计算机病毒的分类主要有三种划分方法,即根据病毒存在的媒体划分、根据病毒传染的方法划分、根据病毒破坏的能力划分。
(3)网络工作站防病毒方法
基于工作站的防治方法(防病毒软件、病毒防护芯片、多用途无盘工作站)
基于服务器的防治方法(表现形式是集中式扫毒、它能实现实时扫描,而且软件升级也方便。)
6.网络管理技术
(1)网络管理概念
指网络使用期内为保证用户安全、可靠、正常使用网络服务而从事的全部操作和维护性活动。计算机网络管理分为两类,第一类是计算机网络应用程序、用户账号和存取权限的管理,属于与软件有关的网络管理问题。第二类是对构成计算机网络的硬件的管理,包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。
(2)网络管理涉及的方面
网络管理主要涉及三个方面,即网络服务、网络维护、网络处理。
(3)ISO定义网络管理的五个功能域
五个功能域是:故障管理、计费管理、配置管理、性能管理、安全管理。
(4)简单网络管理协议
网络管理中最重要的部分就是网络管理协议,它定义了网络管理者与代理之间通信要用的标准。目前主要有两大形式的网络管理协议体系:基于TCP/IP网络的简单网络管理协议SNMP、由国际标准化组织ISO制定的公共管理信息协议CMIP。目前使用最为广泛的是简单网络管理协议。
7.网络安全测评
通过网络安全测评,认清网络的脆弱性和潜在威胁,能够快速查出网络上存在的安全隐患、网络系统呷存在的安全漏洞等,是保障网络安全的重要途径。
网络安全测评的前提是:设备安装环境是安全的、设备的质量是可靠的、外部运行环境是不安全的、内部运行环境是相对安全的、系统管理员是可信任的。
网络安全测评标准:美国TCSEC可信计算机标准评价准则、我国计算机信息安全保护等级划分准则。
本章练习题
一、是非题(请在括号内,正确的划√,错误的划×)
1.所谓公钥算法加密体制,就是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。( )
√
2.防火墙技术根据其防范的方式和侧重点的不同可分为两大类:一类基于包过滤,另一类基于代理服务。( )
√
二、选择题
1.对网络提供某种服务的服务器发起攻击,造成该网络的拒绝服务是( )。
A.拒绝服务攻击
B.网络瘫痪
C.网络阻塞
D.非服务攻击
A
2.网络安全技术可分为身份验证技术、数据完整性技术、跟踪审计技术和( )四大类。
A.信息伪装技术
B.密码技术
C.防火墙技术
D.入侵检测技术
B
3.登录名和口令的验证、( )属于连接建立的功能。
A.恢复已中断的通信
B.数据加密的过程
C.确定所请求的服务
D.数据收到的确认
C
4.常见的网络攻击方法有:口令窃取、木马程序攻击、欺骗攻击、邮件攻击、网络监听、寻找系统漏洞和( )。
A.拒绝服务攻击
B.网络入侵攻击
C.服务攻击
D.信息伪装攻击
A
三、填空题
1.所谓__________密码体制,就是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。
非对称
2.RSA是__________密钥算法;而DES是__________密钥算法。
非对称对称
