另一方面,计算机网络的安全性计算机网络的安全性是指通过采取各种技术和管理措施,确保网络数据的可用性、完整性和机密性,其目的是增加、修改和丢失通过网络传输和交换的数据
1.1网络系统安全介绍(1)什么是计算机安全
国际标准化组织(ISO )对计算机安全定义如下。 计算机安全是指采取各种技术和管理措施保护数据处理系统,保护计算机硬件、软件和数据免受意外或人为原因的破坏、更改和泄露。
)2)计算机安全的主要内容
计算机硬件安全机房、电源等确保计算机安全的环境条件,如计算机硬件设备、安装、配置等。
保护软件安全,包括计算机系统软件、APP应用程序软件和开发工具,免受未经授权的更改、复制和病毒感染。
数据安全,如数据免受未经授权的访问、数据完整性保护和数据机密性。
计算机运行的安全性,如在计算机运行时发生突发事件时的安全处理。
)3)计算机安全受损的方式
窃取计算机的用户密码、乘坐机器、通过网络非法访问数据、复制和删除软件和数据。 通过磁盘或网络等感染计算机病毒。 监听计算机工作时产生的电磁波辐射和通信线路解读计算机数据。 窃取存储有CD、磁带、HDD、USB存储器等重要数据的存储介质。 “黑客”通过互联网非法入侵计算机系统。
)4)保护计算机安全的措施
物理措施包括机房安全、严格安全制度、防窃电、防辐射措施等。
数据加密。 加密磁盘上的数据或通过网络传输的数据。
防范计算机病毒,计算机病毒对计算机系统资源造成巨大危害,造成重大损失。
采取安全的访问措施,例如使用认证和密码设置对数据和文件的访问权限。
采取其他安全措施,如确保数据完整性、计算机容错、数据备份和增强审核。
最重要的是加强安全教育,培养安全意识。
网络安全的传统方法一般是指保密性、完整性、可靠性、实用性、真实性、占有性。
网络安全问题日益突出的原因是网络共享性、系统复杂性、边界不确定性和路径不确定性。
计算机网络安全受到攻击的主要方式是通过计算机辐射、布线头和传输线路拦截信息,绕过防火墙和用户密码进入网络,获取信息和修改数据
网络安全措施必须从物理安全、访问控制和传输安全三个方面加以考虑。
(1)物理安全:一是人为网络损害,二是网络用户损害。
(2)访问控制:
密码。 网络安全系统最外层的防线是网络用户的登录。
网络资源的所有者、属性和访问权限。 网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户可用的资源。 资源所有者表示各种用户对资源的依赖关系。 资源的属性表示资源本身的访问特性。 访问权限主要反映在用户对网络资源的可用性程度上。
网络安全监测(网络监测俗称“网络管理”,主要负责动态监测整个网络的运行情况,及时处理各种事件
审计与跟踪:包括网络资源使用、网络故障、系统计费等相关记录与分析。 审计和跟踪一般由两个部分组成,一个是记录事件,也就是把各类事件都记录在档案里; 二是进行记录分析和统计,找出问题。
)3)传输安全:
加密和数字签名。 网络加密分为三层,第一层是数据链路层加密。 (在线路传输前后分别加密和解密数据,但减慢网络工作和传输速度)。 第2层传输层加密(即使在网络传输期间,数据也保持加密); 第3层是APP应用层上的加密。 网路APP应用程式会加密和解密资料。 数字签名是数据的接收者用于证明数据的发送者确实无误的方法。 主要通过加密算法和实证协议来实现。
SSL协议:位于TCP/IP协议之上的安全协议。 目标是提供两个APP应用程序之间通信的机密性和可靠性,独立于APP应用程序协议。
电子邮件安全性。
使用PGP和S/MIME两种端到端安全技术确保电子邮件安全。 这些主要功能是身份验证和传输数据加密。
-PSA是基于RSA加密技术的邮件加密系统,主要用于防止未经授权的人读取和修改邮件。 此外,同事还可以提供数字签名以保证邮件的真实性。
-S/MIME使用担心散列算法、公钥和私钥的加密体系。
防火墙
1.2信息安全技术PKI技术是利用公钥理论和技术简历提供信息安全服务的基础设施,是CA认证、数字认证、数字签名及相关安全APP应用组件模块的集合。
标准PKI域所需的内容:证书颁发机构、证书和证书存储库、密钥备份和恢复、密钥和证书更新、证书历史记录文件、客户端软件、相互验证。
PKI技术目前的变化包括属性证书、漫游证书、无线KPI(WPKI )
CA认证技术:数字证书、CA认证
一般的加密算法有序列加密方式、组加密方式、公钥方式三种。
(1)序列加密方式)直接转换当前字符,也就是说,以一个字符为单位进行加密转换。 容易被解读,难以“一次一密”,适合通信领域。
)组密码体制)明文按固定长度分组,以组为单位,分别在密钥控制下转换为等长的输出数字(密文数字)列。 容易实现同步。
)3)公钥体制)常用的是RSA体制。 当前公钥方案的密码
常用语用户认证、数字签名以及密钥传输等,不能适应数据库加密的速度要求。序列密码体制和分组密码体制属于对称性密码算法,即加密和解密都使用同一密钥。
公开密钥体制非对称密码算法。这种算法每次会生成一对密钥,分别称为公钥和私钥。公钥是可以在网络上公开或被他人知道的,所以称为“公钥”;私钥是只有用户私人持有且无法读出(包括用户自己)的,所以称为“私钥”。加密时用公钥加密,解密时用私钥解密。
公钥和私钥具有的特点:
①这两个密钥完全不相同且不能相互推导
②用私钥加密的数据只有用对应的公钥才能解开
③用公钥加密的数据只有用对应的私钥才能解开
数字签名是建立在公开密钥体制基础上的,它是公开密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。
常用的数字签名方法有:RSA签名、DSS签名和hash签名。
hash签名是最主要的数字签名方法,也称为数字摘要法或数字指纹法。
RSA签名是单独的签名,Hash签名是将数字签名与要发送的信息紧密联系在一起,适合于电子商务活动。
1.3 网络攻击与网络病毒黑客一词原本指程序员,不是那些非法破坏系统安全的人。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统,检查系统完整性和安全性。
入侵者是指怀着不良的企图,闯入甚至破坏远程计算机系统完整性的人。入侵者利用获得的非法访问权破坏重要数据,拒绝合法用户服务请求,或为了自己的目的给他人制造麻烦。
攻击技术:获取密码;电子邮件攻击;特洛伊木马攻击;诱入法;系统漏洞扫描;网络监听;缓冲区溢出;拒绝服务攻击。
-获取密码:一是默认的登录页面攻击法;二是通过网络监听非法得到用户密码;三是在知道用户的账号后利用一些专门软件强行破解用户密码。
-电子邮件攻击:采用电子邮件炸弹,是黑客常用的一种攻击手段。是指是用伪造的IP地址和电子邮件地址向统一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件,也可称为大容量的垃圾邮件。
-特洛伊木马:“特洛伊木马程序”技术是黑客常用的攻击手段
-诱入法:黑客编写一些看起来合法的程序,上传到一些FTP站点或是 提供给某些个人主页,诱导用户下载。
-系统漏洞扫描:-----
-网络监听:在一个非交换式局域网中,数据是以广播的形式传送的。要防止被监听,可以改用交换式网络或者对传输的数据进行加密。
-缓冲区溢出:一个非常普遍、非常危险的漏洞。有2种后果:一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起宕机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权。
-拒绝攻击服务(DOS):是指占据了大量的系统资源,没有剩余的资源给其他用户,系统不能为其他用户提供正常的服务。
计算机病毒的特征:传播速度更快;危害性更强;融入了黑客特征。
1.4 网络安全设施最常用的网络安全措施–防火墙。
防火墙是一种访问控制技术,它用于加强两个或多个网络间的边界防卫功能。是一种被动防卫技术。
防火墙是保障安全的手段,有助于建立一个网络安全协议,并通过网络配置、主机系统、路由器以及身份认证等手段来实现该安全协议。防火墙系统的主要目标是控制出入一个网络的权限,它要求所有的连接都通过防火墙,以便接受检查。
防火墙技术分为两类:网络层防火墙和应用层防火墙。
-网络层防火墙通常以路由器为基础的,采用“数据包过滤”技术。网络层防火墙既可以允许授权的服务程序和主机直接访问内部网络,也可以过滤指定的端口和内部用户的互联网地址的信息,限制内部网络对外部网络的访问。
-应用层防火墙也称为代理服务器,能够代替网络用户完成特定的TCP/IP功能,控制对应用程序的访问。应用层防火墙的工作方式是基于软件的。
目前使用的防火墙产品分为软件防火墙和硬件防火墙。
-软件防火墙:如天网防火墙、瑞星防火墙等个人版防火墙,在个人微机上安装这类防火墙可以实现对单机的保护。
-硬件防火墙是将防火墙软件与计算机硬件高度集成的专用网络设备。按所采用的架构来分大致分为3类:基于X86构架、基于NP(网络处理器)、基于ASIC芯片。
-从效率上来说,基于ASIC芯片的防火墙是最优的;从软件功能上说,基于X86构架的防火墙最容易实现功能扩展。基于NP的则介于两者之间。
入侵检测(IDS)技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
网络安全设施:IDS、IDP、防火墙
1.5 安全接入技术远程访问控制的安全包含3个方面的内容:认证、授权和记账,(现称为AAA或3A,是网络安全策略的一个组成部分)。“认证”是确认远端访问用户的身份,判断访问者是否为合法的网络用户,常用的办法是以一个用户标识和与之对应的密码来识别用户。“授权”即对不同用户赋予不同的权限,限制用户可以使用的服务,如限制其访问某些服务器或使用某些应用,它避免了合法用户有意或无意地破坏系统。“记账”记录了用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等信息。
RADIUS和TACACS是远程访问控制的两个开放协议标准。
RADIUS和TACACS都实现了认证、授权和记账功能,它们有很多相似点:结构上都采用客户/服务器、请求/响应模式;都使用公共密钥对网上传输的用户信息进行加密;都提供了进一步认证的手段;都有较好的灵活性和可扩充性。两者的区别:①客户端与服务器端连接所采用的传输协议不同,TACACS+协议中,客户端采用TCP与服务器端连接,RADIUS采用UDP。②对报文的加密程度不同,RADIUS和TACACS都是采用MD5算法对报文进行加密,但TACACS+对整个报文进行加密,RADIUS仅对用户的密码部分加密。③对AAA功能的分离程度不同。④在支持代理方式不同。
局域网的安全接入:①PPPoE(在以太网上建立PPP连接)②802.1X协议
802.1X协议定义了基于端口的网络接入控制协议,它适用于以太网交换机的一个物理端口仅连接一个终端的组网,实现基于物理端口的访问控制,成为解决局域网安全问题的一个有效手段。它的主要目的是为了解决无线局域网用户的接入认证问题。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题。
802.1X协议系统共有3个实体:客户端、认证系统(设备端)、认证服务器
1.6 网络系统可靠性网络可靠性主要指系统的容错能力,既当网络系统突然发生故障时,系统能够继续工作及迅速恢复的能力。
系统容错与冗余设计:①软件容错②硬件容错,采用冗余技术③容错存储④数据备份⑤容错电源
容错存储(RAID):是将十几个低成本的硬盘用阵列方式组合在一起工作的硬盘管理技术。
UPS主要由电源优化、逆变电路和后备电池组成,分为后备式和在线式两种。
双机容错系统拥有更高的可用性、更方便的可管理性。
双机容错系统的最低要求是:两台服务器通过网络互连;允许每台服务器访问对方的磁盘数据;专用的双机容错软件。
专用软件可以提供包括故障检测、恢复等多种服务。
双机容错系统从工作原理上可以分为共享磁盘阵列柜方式和镜像磁盘方式。
共享磁盘阵列柜方式还可以分为双机互备援模式和双机热备份模式。
=========================================================================================================
二、网络管理按照OSI管理框架,把网络管理任务分为:用户管理、配置管理、性能管理、故障管理、计费管理、安全管理和其他网络管理功能。
用户管理是网络管理的基本功能,用于管理用户标识、用户账户、用户密码、文件目录、地址和用户个人信息以及工作站信息等。
网络配置管理的目标是监视网络的运行环境和状态、改变和调整 网络设备的配置、确保网络有效可靠的运行。网络配置功能包括识别被管网络的拓扑结构、监视网络设备的运行状态和参数、自动修改指定设备的配置和动态维护网络等。
网络性能主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。网络性能管理是指通过监控网络的运行状态调整网络性能参数来改善网络的性能,确保网络平稳运行。
故障管理包括故障检测、故障诊断和故障恢复。
计费管理是商业化网络的重要网络功能,主要包括:统计用户使用网络资源的情况、根据资费标准计算出使用费用、统计网络通信资源和信息资源的使用情况、分析预测网络业务量。
网络安全管理的目标是防止用户网络资源分非法访问,确保网络资源 的网络用户的安全。
网络管理层次结构:网络平台、网络管理协议、网络管理平台、网络管理工具、网络管理应用软件、网络管理员操作界面。
简单网络管理协议(SNMP)是在应用层上进行网络设备的管理,可以进行网络状态监视、网络参数设定、网络流量的统计与分析、发现网络故障等。
SNMP主要用于OSI七层模型中较低层次的管理,采用轮循监控方式。轮循监控的主要优点是对代理资源要求不高、SNMP协议简单,易于实现;缺点是管理通信开销大。
网络管理站(NMS)是系统的核心,负责管理代理和MIB,它以数据报表的形式发出和传送命令,从而达到控制代理的目的。
代理(agent)的作用是手机被管理设备的各种信息并响应网络中的SNMP服务器的要求,把它们传输到中心的SNMP服务器的MIB中。代理包括智能集线器、网桥、路由器、网关及任何合法结点的计算机。
管理信息库(MIB)负责存储设备的信息,它是SNMP分布式数据库的分支数据库。
MIB-I定义了8个管理信息类别,包括:
①AT:地址转换信息(IP-网际协议数据)
②ICMP:网际控制报文协议数据-----(TCP:传输控制协议数据)
③UDP:用户数据报协议数据----(ECP:外部网关协议数据)
④CMOT:公共管理信息与服务协议(目前还未定义)----(Transmission:包含特定介质信息)
⑤SNMP:简单网络管理协议数据
MIB变量的表示:OBJECT IDENTIFER是全局树的整数序列表达。
在MIB中,每个对象都有一个唯一的对象标识。存放MIB值的方式有两种:标量和二维标量数组。
使用get访问需要指定到标量对象的实例标识符,而get-next则需指定到该变量的对象标识符。
SNMP协议定义了两种访问特定对象实例的方法:顺讯访问和随机访问。
SNMP是一个简单的请求/应答协议。SNMP v1中定义5个协议数据单元(PDU),分别是:①Get-Request②Get-Next-Request③Get-Response④Set-Request⑤Trap。SNMP v2新增3个,分别是①Get-Bulk-Request②Inform-Request③Report
在SNMP v3中将SNMP代理和SNMP管理站统称为SNMP实体。SNMP实体由SNMP引擎和SNMP应用程序两部分组成。
RMON的主要特点是在客户机上放置一个探测器。
RMON分为嵌入式和分布式。
=========================================================================================================
三、网络热点技术今后的网络管理将朝着层次化、集成化和web化的方向发展。(①网络管理层次化②网路管理集成化③网络管理Web化)
典型的目录服务是DNS和whois,此外还有novell的目录服务和windows中的活动目录。
互联网的目录服务是建立智能网的基础。
目录服务采用了客户/服务器的模式,用户通过访问目录服务器可以迅速获得所需的信息。特点是①存储内容(目录服务器的主要功能是提供快速的查询)②存储模式(信息存储的基本单位是条目,每一个条目包括一个或多个属性,所有的条目是通过目录信息树DTT来组织的)③存储方式(目录服务支持数据的分块和冗余存储)④访问方式(主要访问方式是读)
使用目录的原因:①一次登录②设备识别和定位③位置无关④简化管理⑤可靠性
LDAP(轻型目录访问协议)是促使目录流行的关键技术,是目录服务器的互联网标准协议。
常用的负载均衡技术主要有DNS轮循、NAT均衡、协商式处理、流量分发和反向代理等。
NAT是指实现多个私有IP地址对单个公共IP地址的转换。
协商式处理又叫并行过滤。
流量分发的原理是所有的用户请求首先到达集群的管理特点,管理结点可以根据所有服务结点的处理能力和现状来决定这个请求分发给某个服务结点。
反向代理方式是指以代理服务器来接受互联网上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给互联网上请求连接的客户端,此时代理服务器对外就表现为一个服务器。