单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,9,章 网络安全与管理,【,本章目标,】,实现通信网络的高效运行离不开网络安全和网络管理。本章首先介绍网络安全的概念，然后介绍网络安全应用的加密算法标准、常用网络安全技术，以及网络管理模型。要求掌握网络安全的概念、数据加密算法的特征、防火墙、入侵检测、身份认证、数字签名、,VPN,、,网络管理的功能、网络管理逻辑结构。,【,本章要点,】,1,网络面临的安全问题、网络安全的概念、网络安全的内容,2,数据加密算法：对称加密算法、公开密钥密码体制,3,常用网络安全技术及其应用：防火墙技术、入侵检测技术、身份认证与数字签名、,VPN,技术,4,网络管理的基本概念、网络管理逻辑结构、网络管理的主要功能、网络管理协议,9.1,网络信息安全概述,9.1.1,网络面临的安全问题,9.1.2,网络安全的概念,9.1.3,网络安全的内容,9.1.1,网络面临的安全问题,网络面临的安全问题：网络攻击和网络系统的安全漏洞,1,网络攻击：,一般认为，计算机网络系统的安全性威胁,分为,两类三个方面,。,两类：,（,1,）被动攻击：不修改信息内容，例如偷听、监视、非法查询、非法调用信息等；,（,2,）主动攻击：要破坏数据的完整性，例如删除、窜改、冒充合法数据或制作假的数据进行欺骗，甚至干扰整个系统的正常运行。,三个方面,：,一般认为，黑客攻击、计算机病毒和拒绝服务攻击这三个方面是计算机网络系统受到的主要威胁。,9.1.1,网络面临的安全问题,2,网络系统的安全漏洞,（,1,）网络漏洞；,（,2,）服务器漏洞；,（,3,）操作系统漏洞。,9.1.2,网络安全的概念,1,安全的含义。,在美国国家信息基础设施（,NII,）,的最新文献中，明确给出安全的五个属性，这五个属性定义如下：,（,1,）可用性（,Availability,）：,信息和通信服务在需要时允许授权人或实体使用。,（,2,）可靠性（,Reliability,）：,系统在规定条件下和规定时间内完成规定功能的概率。,（,3,）完整性（,Integrity,）：,信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。,（,4,）保密性（,Confidentiality,）：,防止信息泄漏给非授权个人或实体，信息只为授权用户使用。,（,5,）不可抵赖性（,Non-Repudiation,）：,也称作不可否认性，在一次通信中，参与者的真实同一性。,9.1.2,网络安全的概念,2,网络信息安全的原则,一般对信息系统安全的认知与评判方式，包含五项原则：,（,1,）私密性；,（,2,）完整性；,（,3,）身份鉴别；,（,4,）授权；,（,5,）不可否认性。,这五项原则虽各自独立，在实际维护系统安全时，却又环环相扣缺一不可。,9.1.3,网络安全的内容,1,网络安全框架：给出了网络安全体系的基本构成，主要包括以下三个层次：安全技术层、安全管理层和政策法规层。政策法规层保护安全管理层和安全技术层。,2,网络安全对策：,（,1,）根据安全需求制订安全计划；,（,2,）进行风险分析和评估；,（,3,）根据需要建立安全策略。,9.1.3,网络安全的内容,3,网络安全服务（,5,大服务）：认证、访问控制、信息加密、信息的完整性、不可抵赖。,4,网络安全机制：加密机制、数字签名机制、存取控制机制、信息完整性机制、业务量填充机制、路由控制机制、公证机制。,9.2,数据加密算法,9.2.1,数据加密技术概述,9.2.2,对称加密算法,9.2.3,公开密钥密码体制,9.2.1,数据加密技术概述,密码技术分为加密和解密两部分,:,1.,加密,:,是把需要加密的报文按照以密钥为参数的函数进行转换，产生密码文件。,2.,解密,:,是按照密钥参数进行解密还原成原文件。,利用密码技术，在信源发出与进入通信信道之间进行加密，经过信道传输，到信宿接收时进行解密，以实现网络通信保密。,利用密码技术，在信源发出与进入通信信道之间进行加密，经过信道传输，到信宿接收时进行解密，以实现网络通信保密。一般的数据加密与解密模型如图,9-1,所示,:,9.2.2,对称加密算法,对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。,对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。,9.2.2,对称加密算法,不足之处是，收发双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。因此，对称加密算法在分布式网络系统上使用较为困难。,在计算机网络通信系统中广泛使用的对称加密算法有,DES,、,AES,和,IDEA,等。,9.2.3,公开密钥密码体制,两个密钥，,一个为公钥：用于加密,另一个为私钥：用于解密,给出加密密钥和算法不可能决定解密密钥,任一个密钥能被用于加密，另一个用于解密,9.2.3,公开密钥密码体制,比较著名的公钥密码算法有：,RSA,、,椭圆曲线和,ElGamal,算法等。,最有影响的公钥密码算法是,RSA,。,RSA,算法对数据的加解密的过程如图,9-3,所示。,9.2.3,公开密钥密码体制,RSA,算法的特点：,发展前景好。,方便、安全可靠。,可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便地实现数字签名和验证。,RSA,算法的局限性：算法复杂，加密数据的速率较低。,在实际应用中，人们通常将对称密码和公钥密码结合在一起使用，比如利用,DES,来加密信息，而采用,RSA,来传递会话密钥。,9.3,常用网络安全技术及其应用,9.3.1,防火墙技术,9.3.2,入侵检测技术,9.3.3,身份认证与数字签名,9.3.4 VPN,技术,9.3.5,网络安全技术发展趋势,9.3.1,防火墙技术,防火墙（,Firewall,）,是一种由计算机硬件和软件组成的一个或一组系统，用于增强网络之间的访问控制。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些可访问服务，内部人员可以访问哪些外部服务等。,9.3.1,防火墙技术,2,、防火墙基本类型,数据包过滤器；,应用级防火墙；,线路级防火墙。,9.3.2,入侵检测技术,1,基本概念：入侵检测系统（,Intrusion Detection System,）,是对入侵行为的发觉，是防火墙的合理补充，帮助系统对付网络入侵。,2,入侵检测的主要功能如下,:,监控、分析用户和系统的活动；,核查系统配置和漏洞；,识别入侵的活动模式并向网管人员报警；,对异常活动的统计分析；,操作系统审计跟踪管理，识别违反政策的用户活动；,评估重要系统和数据文件的完整性。,9.3.3,身份认证与数字签名,1,身份认证：指的是用户身份的确认技术，它是网络安全的重要防线。,在计算机系统中，一般采用验证口令的方式来确认用户的合法性，但是用户的口令可能由于各种原因被其他人得到。,身份认证系统最重要的技术指标是：合法用户的身份是否容易被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户和整个系统。,9.3.3,身份认证与数字签名,2,数字签名：是为了防止他人冒名进行信息发送和接收，以及防止当事人事后否认已经进行过的发送和接收活动。图,9-5,描述了数字签名与加密运算的主要过程：,9.3.4 VPN,技术,虚拟专用网（,Virtual Private Network,VPN,）,是一种在公共网络上，通过一系列技术（如隧道技术）建立的逻辑网络，用户可以通过它获得专用的远程访问链路。,VPN,示意如图,9-6,所示。,9.3.4 VPN,技术,1.VPN,的类型：,基于,IPSec,的,VPN,。,基于,L2TP,的,VPN,。,高层,VPN,。,2,VPN,应用,典型,VPN,应用包括以下三种情况：,将分支网络连接到公司内部网。,将第三方网连接到公司的内部网。,将远程访问用户连接到公司的内部网,9.3.5,网络安全技术发展趋势,网络安全应考虑全面：,首先要有安全的操作系统。现在的,Windows NT,和,Unix,都只达到了,C2,级标准。一个安全的操作系统应该达到,B2,级标准。,其次，要有安全的协议（,IPv6,）。,防火墙技术将从目前对子网或内部多管理的方式向远程上网集中管理的方式发展。,对网络攻击的监测和告警及黑客跟踪技术将成为新的热点。,9.4,网络管理基础,9.4.1,网络管理的基本概念,9.4.2,网络管理逻辑结构,9.4.3,网络管理的主要功能,9.4.4,网络管理协议简介,9.4.1,网络管理的基本概念,1.,网络管理的定义：是指对网络的运行状态进行监测和控制，使其能够有效、可靠、安全、经济地提供服务。,随着网络技术的高速发展，网络管理的重要性越来越突出。,9.4.1,网络管理的基本概念,2,网络管理的目标：,有效性；,可靠性；,开放性；,综合性；,安全性；,经济性。,9.4.2,网络管理逻辑结构,1,网络管理系统逻辑模型,由被管对象（,Managed Object,）、,管理进程（,Manager,）,和管理协议（,Management Protocol,）,三部分组成。,9.4.2,网络管理逻辑结构,2,Internet,网络管理模型,9.4.3,网络管理的主要功能,在,OSI,管理标准中，将开放系统的管理功能划分为五个部分：,（,1,）配置管理,（,2,）性能管理,（,3,）故障管理,（,4,）安全管理,（,5,）记账管理,其他一些管理功能，如网络规划、网络操作人员的管理等都不在其中。,9.4.4,网络管理协议简介,简单网络管理协议,SNMP,IETF,制定的,SNMP,是由一系列协议组和规范组成的，它们提供了一种从网络上的设备中收集网络管理信息的方法。,SNMP,的体系结构分为,SNMP,管理者（,SNMP manager,）和,SNMP,代理者（,SNMP agent,），,每一个支持,SNMP,的网络设备中都包含一个网管代理，网管代理随时记录网络设备的各种信息，网络管理程序再通过,SNMP,通信协议收集网管代理所记录的信息。从被管理设备中收集数据有两种方法：一种是轮询（,polling,）,方法，另一种是基于中断（,interrupt-based,）,的方法。,习题,:,1,