一、计算机网络安全
计算机网络安全是指通过采取各种技术和管理措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
1.1 网络系统安全介绍
(1)什么是计算机安全 国际标准化组织(ISO)对计算机安全作了如下定义:计算机安全是指为保护数据处理系统而采取各种技术和管理措施,保护计算机硬件、软件和数据不会因偶然或人为的原因而道到破坏、更改和泄密。
(2)计算机安全的主要内容 计算机硬件的安全性,如计算机硬件设备、安装和配置的安全性;确保计算机安全的环境条件,包括机房、电源等。 软件安全性,如保护计算机系统软件、应用软件和开发工具,使它们不被非法修改、复制和感染病毒。 数据安全性,如保护数据不被非法访问、保护数据的完整性、数据保密性等。 计算机运行安全性,如计算机运行遇到突发事件的安全处理等。
(3)计算机安全遭受破坏的方式 窃取计算机用户密码、上机或通过网络非法访问数据、复制、删改软件和数据。通过磁盘、网络等传播计算机病毒。通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。偷窃存储有重要数据的存储介质,如光盘、磁带、硬盘、U盘等。“黑客”通过网络非法侵入计算机系统。
(4)保护计算机安全的措施 物理措施包括机房安全,严格的安全制度,采取防窃听、防辐射措施等。 数据加密,对磁盘上的数据或通过网络传输的数据进行加密。 防止计算机病毒,计算机病毒会对计算机系统的资源产生很大的危害,甚至造成重大损失。 采取安全访问措施,如使用身份认证和密码,设置数据或文件的访问权限。 采取其他安全措施,包括确保数据的完整性、计算机容错、数据备份和加强审计等。 最重要的是要加强安全教育,培养安全意识。
网络安全的传统提法一般是指:保密性、完整性、可靠性、实用性、真实性、占有性。
造成网络安全保密问题日益突出的原因:网络的共享性、系统的复杂性、边界不确定性、路径不确定性。
计算机网络安全被攻击的主要途径包括:通过计算机辐射、接线头、传输线路截获信息;绕过防火墙和用户密码而进入网络,获取信息或修改数据;数据被破译、截获或窃听;计算机网络被注入“病毒”,造成网络瘫痪。
网络安全控制措施要从3方面考虑:物理安全、访问控制、传输安全。 (1)物理安全 :一是人为对网络的损害,二是网络对使用者的危害; (2)访问控制: ①密码。网络安全系统的最外层防线就是网络用户的登录。 ②网络资源的属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、网络通信设备等网路用户都可以使用的资源。资源的属主体现了不同用户对资源的从属关系。资源的属性表示了资源本身的存取特性。访问权限主要体现在用户对网络资源的可用程度上。 ③网络安全监视 :网络监视通称为“网管”,它的作用主要是对整个网络的运行情况进行动态地监视并及时处理各种事件 ④审计和跟踪 :包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。审计和跟踪一般由两部分组成,一是记录事件,即将各类事件全部记录到文件中;二是对记录进行分析和统计,从而找出问题。 (3)传输安全 : ①加密和数字签名。网络加密分为三层,第一层为数据链路层加密(对数据在线路传输前后分别进行加密和解密,但会使网络运行和传输 的速度变慢);第二层传输层的加密(数据在网络传输期间保持加密状态);第三层是应用层上的加密(网络应用程序对数据进行加密和解密)。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法。主要是通过加密算法和证实协议而实现。 ②SSL协议:位于TCP/IP协议之上的安全协议。目标是提供两个应用软件之间通信的保密性和可靠性,独立于应用协议。 ③电子邮件安全。 -保证电子邮件的安全用到PGP好和S/MIME两种端到端的安全技术。它们的主要功能是身份的认证和传输数据的加密。 -PSA是基于RSA加密技术的邮件加密系统,主要用于防止非授权者对邮件的阅读与修改,同事还能为邮件提供数字签名以保证邮件的真实性。 -S/MIME利用担心散列算法和公钥与私钥的加密体系。 ④防火墙
1.2 信息安全技术
PKI技术就是利用公钥理论和技术简历的提供信息安全服务的基础设施,是CA认证、数字认证、数字签名以及相关安全应用组件模块的集合。
一个标准的PKI域必须具备的内容:认证机构、证书和证书库、密钥备份及恢复、密钥和证书的更新、证书历史档案、客户端软件、交叉认证。
PKI技术的变化提现在:属性证书、漫游证书、无线KPI(WPKI)
CA认证技术:数字证书、CA认证
常用的加密算法有3种:序列密码体制,分组密码体制,公开密钥体制。 (1)序列密码体制:直接对当前字符进行变换,也就是说,以一个字符为单位进行加密变换。容易被破解,难以做到“一次一密”,适用于通信领域。 (2)分组密码体制:明文按固定长度分组,以分组为单位,分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。容易实现同步。 (3)公开密钥体制:常用的是RSA体制。目前公开密钥体制的密码常用语用户认证、数字签名以及密钥传输等,不能适应数据库加密的速度要求。
序列密码体制和分组密码体制属于对称性密码算法,即加密和解密都使用同一密钥。 公开密钥体制非对称密码算法。这种算法每次会生成一对密钥,分别称为公钥和私钥。公钥是可以在网络上公开或被他人知道的,所以称为“公钥”;私钥是只有用户私人持有且无法读出(包括用户自己)的,所以称为“私钥”。加密时用公钥加密,解密时用私钥解密。
公钥和私钥具有的特点: ①这两个密钥完全不相同且不能相互推导 ②用私钥加密的数据只有用对应的公钥才能解开 ③用公钥加密的数据只有用对应的私钥才能解开
数字签名是建立在公开密钥体制基础上的,它是公开密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。 常用的数字签名方法有:RSA签名、DSS签名和hash签名。
hash签名是最主要的数字签名方法,也称为数字摘要法或数字指纹法。
RSA签名是单独的签名,Hash签名是将数字签名与要发送的信息紧密联系在一起,适合于电子商务活动。
1.3 网络攻击与网络病毒
黑客一词原本指程序员,不是那些非法破坏系统安全的人。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统,检查系统完整性和安全性。
入侵者是指怀着不良的企图,闯入甚至破坏远程计算机系统完整性的人。入侵者利用获得的非法访问权破坏重要数据,拒绝合法用户服务请求,或为了自己的目的给他人制造麻烦。
攻击技术:获取密码;电子邮件攻击;特洛伊木马攻击;诱入法;系统漏洞扫描;网络监听;缓冲区溢出;拒绝服务攻击。 -获取密码:一是默认的登录页面攻击法;二是通过网络监听非法得到用户密码;三是在知道用户的账号后利用一些专门软件强行破解用户密码。 -电子邮件攻击:采用电子邮件炸弹,是黑客常用的一种攻击手段。是指是用伪造的IP地址和电子邮件地址向统一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件,也可称为大容量的垃圾邮件。 -特洛伊木马:“特洛伊木马程序”技术是黑客常用的攻击手段 -诱入法:黑客编写一些看起来合法的程序,上传到一些FTP站点或是 提供给某些个人主页,诱导用户下载。 -系统漏洞扫描:----- -网络监听:在一个非交换式局域网中,数据是以广播的形式传送的。要防止被监听,可以改用交换式网络或者对传输的数据进行加密。 -缓冲区溢出:一个非常普遍、非常危险的漏洞。有2种后果:一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起宕机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权。 -拒绝攻击服务(DOS):是指占据了大量的系统资源,没有剩余的资源给其他用户,系统不能为其他用户提供正常的服务。
计算机病毒的特征:传播速度更快;危害性更强;融入了黑客特征。
1.4 网络安全设施
最常用的网络安全措施–防火墙。 防火墙是一种访问控制技术,它用于加强两个或多个网络间的边界防卫功能。是一种被动防卫技术。 防火墙是保障安全的手段,有助于建立一个网络安全协议,并通过网络配置、主机系统、路由器以及身份认证等手段来实现该安全协议。防火墙系统的主要目标是控制出入一个网络的权限,它要求所有的连接都通过防火墙,以便接受检查。
防火墙技术分为两类:网络层防火墙和应用层防火墙。 -网络层防火墙通常以路由器为基础的,采用“数据包过滤”技术。网络层防火墙既可以允许授权的服务程序和主机直接访问内部网络,也可以过滤指定的端口和内部用户的互联网地址的信息,限制内部网络对外部网络的访问。 -应用层防火墙也称为代理服务器,能够代替网络用户完成特定的TCP/IP功能,控制对应用程序的访问。应用层防火墙的工作方式是基于软件的。
目前使用的防火墙产品分为软件防火墙和硬件防火墙。 -软件防火墙:如天网防火墙、瑞星防火墙等个人版防火墙,在个人微机上安装这类防火墙可以实现对单机的保护。 -硬件防火墙是将防火墙软件与计算机硬件高度集成的专用网络设备。按所采用的架构来分大致分为3类:基于X86构架、基于NP(网络处理器)、基于ASIC芯片。 -从效率上来说,基于ASIC芯片的防火墙是最优的;从软件功能上说,基于X86构架的防火墙最容易实现功能扩展。基于NP的则介于两者之间。
入侵检测(IDS)技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
网络安全设施:IDS、IDP、防火墙
1.5 安全接入技术
远程访问控制的安全包含3个方面的内容:认证、授权和记账,(现称为AAA或3A,是网络安全策略的一个组成部分)。“认证”是确认远端访问用户的身份,判断访问者是否为合法的网络用户,常用的办法是以一个用户标识和与之对应的密码来识别用户。“授权”即对不同用户赋予不同的权限,限制用户可以使用的服务,如限制其访问某些服务器或使用某些应用,它避免了合法用户有意或无意地破坏系统。“记账”记录了用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等信息。
RADIUS和TACACS是远程访问控制的两个开放协议标准。 RADIUS和TACACS都实现了认证、授权和记账功能,它们有很多相似点:结构上都采用客户/服务器、请求/响应模式;都使用公共密钥对网上传输的用户信息进行加密;都提供了进一步认证的手段;都有较好的灵活性和可扩充性。两者的区别:①客户端与服务器端连接所采用的传输协议不同,TACACS+协议中,客户端采用TCP与服务器端连接,RADIUS采用UDP。②对报文的加密程度不同,RADIUS和TACACS都是采用MD5算法对报文进行加密,但TACACS+对整个报文进行加密,RADIUS仅对用户的密码部分加密。③对AAA功能的分离程度不同。④在支持代理方式不同。
局域网的安全接入:①PPPoE(在以太网上建立PPP连接)②802.1X协议
802.1X协议定义了基于端口的网络接入控制协议,它适用于以太网交换机的一个物理端口仅连接一个终端的组网,实现基于物理端口的访问控制,成为解决局域网安全问题的一个有效手段。它的主要目的是为了解决无线局域网用户的接入认证问题。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题。
802.1X协议系统共有3个实体:客户端、认证系统(设备端)、认证服务器
1.6 网络系统可靠性
网络可靠性主要指系统的容错能力,既当网络系统突然发生故障时,系统能够继续工作及迅速恢复的能力。 系统容错与冗余设计:①软件容错②硬件容错,采用冗余技术③容错存储④数据备份⑤容错电源
容错存储(RAID):是将十几个低成本的硬盘用阵列方式组合在一起工作的硬盘管理技术。 UPS主要由电源优化、逆变电路和后备电池组成,分为后备式和在线式两种。
双机容错系统拥有更高的可用性、更方便的可管理性。 双机容错系统的最低要求是:两台服务器通过网络互连;允许每台服务器访问对方的磁盘数据;专用的双机容错软件。 专用软件可以提供包括故障检测、恢复等多种服务。 双机容错系统从工作原理上可以分为共享磁盘阵列柜方式和镜像磁盘方式。 共享磁盘阵列柜方式还可以分为双机互备援模式和双机热备份模式。
=========================================================================================================
二、网络管理
按照OSI管理框架,把网络管理任务分为:用户管理、配置管理、性能管理、故障管理、计费管理、安全管理和其他网络管理功能。
用户管理是网络管理的基本功能,用于管理用户标识、用户账户、用户密码、文件目录、地址和用户个人信息以及工作站信息等。 网络配置管理的目标是监视网络的运行环境和状态、改变和调整 网络设备的配置、确保网络有效可靠的运行。网络配置功能包括识别被管网络的拓扑结构、监视网络设备的运行状态和参数、自动修改指定设备的配置和动态维护网络等。 网络性能主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。网络性能管理是指通过监控网络的运行状态调整网络性能参数来改善网络的性能,确保网络平稳运行。 故障管理包括故障检测、故障诊断和故障恢复。 计费管理是商业化网络的重要网络功能,主要包括:统计用户使用网络资源的情况、根据资费标准计算出使用费用、统计网络通信资源和信息资源的使用情况、分析预测网络业务量。 网络安全管理的目标是防止用户网络资源分非法访问,确保网络资源 的网络用户的安全。
网络管理层次结构:网络平台、网络管理协议、网络管理平台、网络管理工具、网络管理应用软件、网络管理员操作界面。
简单网络管理协议(SNMP)是在应用层上进行网络设备的管理,可以进行网络状态监视、网络参数设定、网络流量的统计与分析、发现网络故障等。
SNMP主要用于OSI七层模型中较低层次的管理,采用轮循监控方式。轮循监控的主要优点是对代理资源要求不高、SNMP协议简单,易于实现;缺点是管理通信开销大。
网络管理站(NMS)是系统的核心,负责管理代理和MIB,它以数据报表的形式发出和传送命令,从而达到控制代理的目的。 代理(agent)的作用是手机被管理设备的各种信息并响应网络中的SNMP服务器的要求,把它们传输到中心的SNMP服务器的MIB中。代理包括智能集线器、网桥、路由器、网关及任何合法结点的计算机。 管理信息库(MIB)负责存储设备的信息,它是SNMP分布式数据库的分支数据库。
MIB-I定义了8个管理信息类别,包括: ①AT:地址转换信息(IP-网际协议数据) ②ICMP:网际控制报文协议数据-----(TCP:传输控制协议数据) ③UDP:用户数据报协议数据----(ECP:外部网关协议数据) ④CMOT:公共管理信息与服务协议(目前还未定义)----(Transmission:包含特定介质信息) ⑤SNMP:简单网络管理协议数据
MIB变量的表示:OBJECT IDENTIFER是全局树的整数序列表达。 在MIB中,每个对象都有一个唯一的对象标识。存放MIB值的方式有两种:标量和二维标量数组。
使用get访问需要指定到标量对象的实例标识符,而get-next则需指定到该变量的对象标识符。
SNMP协议定义了两种访问特定对象实例的方法:顺讯访问和随机访问。 SNMP是一个简单的请求/应答协议。SNMP v1中定义5个协议数据单元(PDU),分别是:①Get-Request②Get-Next-Request③Get-Response④Set-Request⑤Trap。SNMP v2新增3个,分别是①Get-Bulk-Request②Inform-Request③Report 在SNMP v3中将SNMP代理和SNMP管理站统称为SNMP实体。SNMP实体由SNMP引擎和SNMP应用程序两部分组成。
RMON的主要特点是在客户机上放置一个探测器。 RMON分为嵌入式和分布式。
=========================================================================================================
三、网络热点技术
今后的网络管理将朝着层次化、集成化和web化的方向发展。(①网络管理层次化②网路管理集成化③网络管理Web化)
典型的目录服务是DNS和whois,此外还有novell的目录服务和windows中的活动目录。
互联网的目录服务是建立智能网的基础。 目录服务采用了客户/服务器的模式,用户通过访问目录服务器可以迅速获得所需的信息。特点是①存储内容(目录服务器的主要功能是提供快速的查询)②存储模式(信息存储的基本单位是条目,每一个条目包括一个或多个属性,所有的条目是通过目录信息树DTT来组织的)③存储方式(目录服务支持数据的分块和冗余存储)④访问方式(主要访问方式是读)
使用目录的原因:①一次登录②设备识别和定位③位置无关④简化管理⑤可靠性
LDAP(轻型目录访问协议)是促使目录流行的关键技术,是目录服务器的互联网标准协议。
常用的负载均衡技术主要有DNS轮循、NAT均衡、协商式处理、流量分发和反向代理等。
NAT是指实现多个私有IP地址对单个公共IP地址的转换。 协商式处理又叫并行过滤。 流量分发的原理是所有的用户请求首先到达集群的管理特点,管理结点可以根据所有服务结点的处理能力和现状来决定这个请求分发给某个服务结点。 反向代理方式是指以代理服务器来接受互联网上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给互联网上请求连接的客户端,此时代理服务器对外就表现为一个服务器。
|