【教学课件】第09章网络安全与网络管理技术.ppt-得力文库

资源描述

《【教学课件】第09章网络安全与网络管理技术.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第09章网络安全与网络管理技术.ppt（65页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1第9章网络安全和网络管理技术College of automation第9章网络安全与网络管理技术2第9章网络安全和网络管理技术College of automation学习内容:网络安全的重要性及其研究的主要问题。网络安全的重要性及其研究的主要问题。密码体制的基本概念及应用。密码体制的基本概念及应用。防火墙的基本概念。防火墙的基本概念。网络入侵检测与防攻击的基本概念与方法。网络入侵检测与防攻击的基本概念与方法。网络文件备份与恢复的基本方法。网络文件备份与恢复的基本方法。网络病毒防治的基本方法。网络病毒防治的基本方法。网络管理的基本概念与方法。网络管理的基本概念与方法。3第9章网络安

2、全和网络管理技术College of automation9.1 网络安全研究的主要问题网络安全的重要性非法获取重要信息，信息欺诈，破坏与网络攻击，法律非法获取重要信息，信息欺诈，破坏与网络攻击，法律与道德问题；与道德问题；网络安全涉及到技术、管理与法制环境等多个方面；网络安全涉及到技术、管理与法制环境等多个方面；网络安全问题已经成为信息化社会的一个焦点问题；网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能培养自己的专门人才，发展自己的网络安全产业，才能

3、构筑本国的网络与信息安全防范体系。构筑本国的网络与信息安全防范体系。4第9章网络安全和网络管理技术College of automation网络安全技术研究的主要问题目的：确保信息在网络环境中存储、处理和传输安全；目的：确保信息在网络环境中存储、处理和传输安全；网络防攻击问题；网络防攻击问题；网络安全漏洞与对策问题；网络安全漏洞与对策问题；网络中的信息安全保密问题；网络中的信息安全保密问题；防抵赖问题；防抵赖问题；网络内部安全防范问题；网络内部安全防范问题；网络防病毒问题；网络防病毒问题；网络数据备份与恢复、灾难恢复问题。网络数据备份与恢复、灾难恢复问题。5第9章网络安全和网络管理技术C

4、ollege of automation1.网络防攻击技术服务攻击服务攻击（application dependent attack）:对网络提供某种服务的对网络提供某种服务的服务器服务器发起攻击，造成该网络的发起攻击，造成该网络的“拒绝服务拒绝服务”，使网络工作不正常，使网络工作不正常;非服务攻击非服务攻击（application independent attack）:不针对某项具体应用服务，而是基于网络层等低层协议而不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得进行的，使得网络通信设备网络通信设备工作严重阻塞或瘫痪。工作严重阻塞或瘫痪。6第9章网络安全和网络管理技术Co

5、llege of automation网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击？网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？如何采取相应的网络安全策略与网络安全防护体系？解决：加强对网络系统的管理解决：加强对网络系统的管理7第9章网络安全和网络管理技术College of automation2.网络安全漏洞与对策的研究网络信息系统的运行涉及：网络信息系统的运行涉及：计算机硬件与操作系统；计算机硬件与操作系统；网络硬件与网络软件；网络

6、硬件与网络软件；数据库管理系统；数据库管理系统；应用软件；应用软件；网络通信协议网络通信协议。网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。解决：主动检测网络安全漏洞。解决：主动检测网络安全漏洞。8第9章网络安全和网络管理技术College of automation3.网络中的信息安全问题信息存储安全信息存储安全如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；被未授权的网络用户非法使用；信息传输安全信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻如何保证信息在网络传输的过程中不被泄露与不被

7、攻击；击；9第9章网络安全和网络管理技术College of automation信息传输安全问题的四种基本类型信息传输安全问题的四种基本类型10第9章网络安全和网络管理技术College of automation解决网络中的信息安全问题的方法加密与解密加密与解密加密过程明文密文信息源结点解密过程密文明文信息目的结点数据加密与解密过程数据加密与解密过程11第9章网络安全和网络管理技术College of automation4.防抵赖问题防抵赖是防止信息源结点用户对他发送的信息事后不承防抵赖是防止信息源结点用户对他发送的信息事后不承认认;或者是信息目的结点用户接收到信息之后不认账；或者

8、是信息目的结点用户接收到信息之后不认账；通过通过身份认证、数字签名、数字信封、第三方确认身份认证、数字签名、数字信封、第三方确认等方等方法，来确保网络信息传输的合法性问题，防止法，来确保网络信息传输的合法性问题，防止“抵赖抵赖”现象出现。现象出现。12第9章网络安全和网络管理技术College of automation5.网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意或无意地网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括对网络与信息安全有害的行为包括：有意或无意地泄露网

9、络用户或网络管理员口令；有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；正常；解决来自网络内部的不安全因素必须从解决来自网络内部的不安全因素必须从技术技术与与管理管理两个方面入手。两个方面入手。13第9章网络安全和网络管理技术

10、College of automation6.网络防病毒引导型病毒引导型病毒可执行文件病毒可执行文件病毒宏病毒宏病毒混合病毒混合病毒特洛伊木马型病毒特洛伊木马型病毒InternetInternet语言病毒语言病毒 14第9章网络安全和网络管理技术College of automation病毒监控病毒监控:网上传播的大量文件都携带有病毒。网上传播的大量文件都携带有病毒。上网同时最好实时运行病毒检测程序。上网同时最好实时运行病毒检测程序。下载的软件在运行之前要先杀一次毒。下载的软件在运行之前要先杀一次毒。新病毒不断出现，病毒库要经常更新。新病毒不断出现，病毒库要经常更新。不要打开来历不明带附件

11、的电子邮件。不要打开来历不明带附件的电子邮件。15第9章网络安全和网络管理技术College of automation建议建议:只装一个只装一个TCP/IPTCP/IP协议，协议，IPX/SPXIPX/SPX和和NetBEUINetBEUI协议能不装协议能不装就不装。就不装。硬盘共享不要设成完全访问，或共享完后立即停止。硬盘共享不要设成完全访问，或共享完后立即停止。收发收发E-mailE-mail时尽量采用文本形式，避免时尽量采用文本形式，避免.docdoc，.exe.exe附附件。件。不要从不要从ftpftp站点下载运行不明用途的软件。站点下载运行不明用途的软件。不运行端口扫描程序，端口

12、扫描会严重影响其它网络不运行端口扫描程序，端口扫描会严重影响其它网络用户的使用。用户的使用。16第9章网络安全和网络管理技术College of automation网络安全服务与安全标准网络安全服务应该提供以下基本的服务功能：数据保密（数据保密（data confidentiality）认证（认证（authentication）数据完整（数据完整（data integrity）防抵赖（防抵赖（non-repudiation）访问控制（访问控制（access control）17第9章网络安全和网络管理技术College of automation网络安全标准国内：国内：电子计算机系统安

13、全规范，电子计算机系统安全规范，1987年年10月月计算机软件保护条例，计算机软件保护条例，1991年年5月月计算机软件著作权登记办法，计算机软件著作权登记办法，1992年年4月月中华人民共和国计算机信息与系统安全保护条例，中华人民共和国计算机信息与系统安全保护条例，1994年年2月月计算机信息系统保密管理暂行规定，计算机信息系统保密管理暂行规定，1998年年2月月关于维护互联网安全决定，全国人民代表大会常务关于维护互联网安全决定，全国人民代表大会常务委员会通过，委员会通过，2000年年12月月18第9章网络安全和网络管理技术College of automation国外：国外：可信计算机

14、系统评估准则可信计算机系统评估准则TC-SEC-NCSC是是1983年公布年公布的，的，1985年公布了可信网络说明（年公布了可信网络说明（TNI）；）；可信计算机系统评估准则将计算机系统安全等级分为可信计算机系统评估准则将计算机系统安全等级分为4类类7个等级，即个等级，即D、C1、C2、B1、B2、B3与与A1；D级系统的安全要求最低，级系统的安全要求最低，A1级系统的安全要求最高。级系统的安全要求最高。19第9章网络安全和网络管理技术College of automation9.2 加密与认证技术密码算法与密码体制的基本概念密码体制是指一个系统所采用的基本工作方式以及它密码体制是指一

15、个系统所采用的基本工作方式以及它的两个基本构成要素，即加密的两个基本构成要素，即加密/解密算法和密钥；解密算法和密钥；传统密码体制所用的加密密钥和解密密钥相同，也称传统密码体制所用的加密密钥和解密密钥相同，也称为为对称密码对称密码体制；体制；如果加密密钥和解密密钥不相同，则称为如果加密密钥和解密密钥不相同，则称为非对称密码非对称密码体制；体制；20第9章网络安全和网络管理技术College of automation密钥可以看作是密码算法中的可变参数。从数学的角密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文度来看，改变了密钥，实际上也就改变了明文

16、与密文之间等价的数学函数关系；之间等价的数学函数关系；在设计加密系统时，在设计加密系统时，加密算法是可以公开的，真正需加密算法是可以公开的，真正需要保密的是密钥要保密的是密钥。21第9章网络安全和网络管理技术College of automation什么是密码密码是含有一个参数密码是含有一个参数k的数学变换，即的数学变换，即 C=Ek（m）m是未加密的信息（明文），是未加密的信息（明文），C是加密后的信息（密文），是加密后的信息（密文），E是加密算法，参数是加密算法，参数k称为密钥称为密钥加密算法可以公开，而密钥只能由通信双方来掌握。加密算法可以公开，而密钥只能由通信双方来掌握。22第9章

17、网络安全和网络管理技术College of automation密钥长度密钥长度与密钥个数密钥长度与密钥个数密钥长度（位）密钥长度（位）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038密钥的位数越长，破译的困难也越大，安全性也越好。密钥的位数越长，破译的困难也越大，安全性也越好。23第9章网络安全和网络管理技术College of automation对称密钥密码体系对称加密的特点对称

18、加密的特点密钥在通信中要严格保密，如何安全传递密钥？密钥管理？密钥在通信中要严格保密，如何安全传递密钥？密钥管理？24第9章网络安全和网络管理技术College of automation典型对称加密算法数据加密标准数据加密标准（data encryption standard,DES）是典型的是典型的对称加密算法，由对称加密算法，由IBM公司提出，经过公司提出，经过ISO认证；认证；目前广泛应用育银行业中的电子资金转帐领域；目前广泛应用育银行业中的电子资金转帐领域；64位密钥长度，其中位密钥长度，其中8位用于奇偶校验，用户使用其余的位用于奇偶校验，用户使用其余的56位，不是非常安全；位

19、，不是非常安全；其它一些对称加密算法：其它一些对称加密算法：IDEA算法，算法，RC2算法、算法、RC4算算法与法与Skipjack算法等。算法等。25第9章网络安全和网络管理技术College of automation非对称密钥密码体系非对称密钥密码体系的特点非对称密钥密码体系的特点加密的公钥可以公开，而解密的私钥必须保密，加密的公钥可以公开，而解密的私钥必须保密，26第9章网络安全和网络管理技术College of automation非对称加密的标准公钥和私钥数学相关，成对出现，但是不能通过公钥计算出私钥；公钥和私钥数学相关，成对出现，但是不能通过公钥计算出私钥；可以解决身份认

20、证和防抵赖问题；可以解决身份认证和防抵赖问题；和对称加密算法相比，简化了密钥的数目；和对称加密算法相比，简化了密钥的数目；公钥加密技术的缺点：加密算法法杂，加密和解密的速度慢；公钥加密技术的缺点：加密算法法杂，加密和解密的速度慢；RSA体制体制被认为是目前为止理论上最为成熟的一种公钥密码体制。被认为是目前为止理论上最为成熟的一种公钥密码体制。RSA体制多用在数字签名、密钥管理和认证等方面；体制多用在数字签名、密钥管理和认证等方面；Elgamal公钥体制是一种基于离散对数的公钥密码体制，密文依赖于公钥体制是一种基于离散对数的公钥密码体制，密文依赖于随机数，又称概率加密体制；随机数，又称概率加密体

21、制；目前，许多商业产品采用的公钥加密算法还有目前，许多商业产品采用的公钥加密算法还有DiffieHellman密钥密钥交换、数据签名标准交换、数据签名标准DSS、椭圆曲线密码等椭圆曲线密码等。27第9章网络安全和网络管理技术College of automation数字信封技术数字信封技术的工作原理数字信封技术的工作原理发送数据：发送数据：对称加密算法对称加密算法对称加密的密钥：对称加密的密钥：非对称加密算法非对称加密算法28第9章网络安全和网络管理技术College of automation数字签名技术确定发送人身份，防抵赖确定发送人身份，防抵赖29第9章网络安全和网络管理技术C

22、ollege of automation身份认证技术的发展身份认证可以通过身份认证可以通过3 3种基本途径之一或它们的组合实现种基本途径之一或它们的组合实现：所知所知:个人所掌握的密码、口令；个人所掌握的密码、口令；所有所有:个人身份证、护照、信用卡、钥匙；个人身份证、护照、信用卡、钥匙；个人特征个人特征:人的指纹、声纹、笔迹、手型、脸型、血型、人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、视网膜、虹膜、DNA，以及个人动作方面的特征；以及个人动作方面的特征；新的、广义的生物统计学是利用个人所特有的新的、广义的生物统计学是利用个人所特有的生理特征生理特征来设计的；来设计的；生物统计学

23、与网络安全、身份认证结合起来是目前网络生物统计学与网络安全、身份认证结合起来是目前网络安全研究中的一个重要课题。安全研究中的一个重要课题。30第9章网络安全和网络管理技术College of automation9.3 防火墙技术防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。防止内部受到外部非法用户的攻击。31第9章网络安全和网络管理技术College

24、of automation防火墙通过检查所有进出内部网络的数据包，检查数据防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界网络建立安全边界；构成防火墙系统的两个基本部件是构成防火墙系统的两个基本部件是包过滤路由器包过滤路由器和和应用应用级网关级网关；最简单的防火墙由一个包过滤路由器组成，而复杂的防最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种由于组

25、合方式有多种，因此防火墙系统的结构也有多种形式。形式。32第9章网络安全和网络管理技术College of automation包过滤路由器包过滤路由器的结构包过滤路由器的结构 33第9章网络安全和网络管理技术College of automation路由器按照系统内部设置的分组过滤规则（即访问控制表），检路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源查每个分组的源IP地址、目的地址、目的IP地址，决定该分组是否应该转发；地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头

26、信息可以是：报头信息可以是：源源IP地址；地址；目的目的IP地址；地址；协议类型；协议类型；IP选项内容；选项内容；源源TCP端口号；端口号；目的目的TCP端口号；端口号；TCP ACK标识。标识。34第9章网络安全和网络管理技术College of automation包过滤的工作流程包过滤的工作流程关键：制定包过滤规则关键：制定包过滤规则35第9章网络安全和网络管理技术College of automation包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构 36第9章网络安全和网络管理技术College of automation假设网络安全策略规定假设网络安全策略规定：内

27、部网络的内部网络的E-mail服务器（服务器（IP地址为地址为192.1.6.2，TCP端端口号为口号为25）可以接收来自外部网络用户的所有电子邮）可以接收来自外部网络用户的所有电子邮件；件；允许内部网络用户传送到与外部电子邮件服务器的电允许内部网络用户传送到与外部电子邮件服务器的电子邮件；子邮件；拒绝所有与外部网络中名字为拒绝所有与外部网络中名字为TESTHOST主机的连接。主机的连接。37第9章网络安全和网络管理技术College of automation包过滤规则表包过滤规则表包过滤在网络层、传输层对进出内部网络的数据包进行监控，但是包过滤在网络层、传输层对进出内部网络的数据包进行

28、监控，但是网络用户对网络资源和服务的访问发生在应用层，必须在应用层对网络用户对网络资源和服务的访问发生在应用层，必须在应用层对用户身份认证和访问操作分类检查和过滤，这个功能是由应用级网用户身份认证和访问操作分类检查和过滤，这个功能是由应用级网关完成的。关完成的。38第9章网络安全和网络管理技术College of automation9.3.3 应用级网关的概念多归属主机（网关）：多个网络接口卡多归属主机（网关）：多个网络接口卡典型的多归属主机结构典型的多归属主机结构 39第9章网络安全和网络管理技术College of automation应用级网关应用级网关双归属主机可以用于网络安

29、全与网络服务的代理双归属主机可以用于网络安全与网络服务的代理在应用层过滤进出内部网络特定服务的用户请求与响应在应用层过滤进出内部网络特定服务的用户请求与响应40第9章网络安全和网络管理技术College of automation应用代理应用代理应用级网关：在应用层应用级网关：在应用层“转发转发”合法的应用请求合法的应用请求应用代理：隔离了用户主机与被访问服务器之间的数据包交换通道应用代理：隔离了用户主机与被访问服务器之间的数据包交换通道41第9章网络安全和网络管理技术College of automation防火墙的系统结构堡垒主机的概念堡垒主机的概念一个双归属主机作为应用级网关可以

30、起到防火墙作用；一个双归属主机作为应用级网关可以起到防火墙作用；处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。垒主机。需要注意的问题需要注意的问题可靠的操作系统；可靠的操作系统；删除不必要的服务和应用软件，保留必需的服务；删除不必要的服务和应用软件，保留必需的服务；安装代理软件；安装代理软件；配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能；配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能；设计堡垒主机防攻击方法，以及破坏后的应急方案。设计堡垒主机防攻击方法，以及破坏后的应急方案。42第9章网络安全和网

31、络管理技术College of automation典型防火墙系统系统结构分析采用一个过滤路由器与一个堡垒主机采用一个过滤路由器与一个堡垒主机组成的组成的S-B1防火墙防火墙系统结构系统结构 43第9章网络安全和网络管理技术College of automation包过滤路由器的转发过程包过滤路由器的转发过程 44第9章网络安全和网络管理技术College of automationS-B1配置的防火墙系统中数据传输过程配置的防火墙系统中数据传输过程 45第9章网络安全和网络管理技术College of automation采用多级结构的防火墙系统（采用多级结构的防火墙系统（S-B1-

32、S-B1配置）结构示意图配置）结构示意图安全缓冲区（非军事区）46第9章网络安全和网络管理技术College of automation9.4 网络防攻击与入侵检测技术网络攻击方法分析目前黑客攻击大致可以目前黑客攻击大致可以分为分为8种种基本的类型基本的类型：入侵系统类攻击；入侵系统类攻击；缓冲区溢出攻击；缓冲区溢出攻击；欺骗类攻击；欺骗类攻击；拒绝服务攻击；拒绝服务攻击；对防火墙的攻击；对防火墙的攻击；利用病毒攻击；利用病毒攻击；木马程序攻击；木马程序攻击；后门攻击。后门攻击。47第9章网络安全和网络管理技术College of automation入侵检测的基本概念入侵检测系统是对

33、计算机和网络资源的恶意使用行为进行识别的入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统；系统；它的目的是监测和发现可能存在的攻击行为，包括来自系统外部它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。手段。48第9章网络安全和网络管理技术College of automation入侵检测系统入侵检测系统IDSIDS的基本功能的基本功能：监控、分析用户和系统的行为；监控、分析用户和系统的行为；检查系统的配置和漏洞；检查系统的配置和漏洞；评估重要的系统和数据文

34、件的完整性；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；对操作系统进行审计、跟踪管理，识别违反授权的用户活动。对操作系统进行审计、跟踪管理，识别违反授权的用户活动。49第9章网络安全和网络管理技术College of automation入侵检测系统框架结构入侵检测系统框架结构50第9章网络安全和网络管理技术College of automation入侵检测的基本方法对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统

35、的核心功能；统的核心功能；入侵检测系统按照所采用的检测技术可以分为：入侵检测系统按照所采用的检测技术可以分为：异常检测异常检测误用检测误用检测两种方式的结合两种方式的结合51第9章网络安全和网络管理技术College of automation9.5 网络文件备份与恢复技术网络文件备份与恢复的重要性网络数据可以进行归档与备份；网络数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性存储；归档是指在一种特殊介质上进行永久性存储；网络数据备份是一项基本的网络维护工作；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。备份数据用于网络系统的恢复。52第9章网络安全和网络

36、管理技术College of automation网络文件备份的基本方法选择备份设备选择备份设备选择备份程序选择备份程序建立备份制度建立备份制度在考虑备份方法时需要注意的问题在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？怎样备份才可能在恢复系统时数据损失最少？53第9章网络安全和网络管理技术College of automation9.6 网络防病毒技术造成网络感染病毒的主要原因70%的病毒发生在网络上；的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染将用户家庭微型

37、机软盘带到网络上运行而使网络感染上病毒的事件约占上病毒的事件约占41%左右；左右；从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占从系统维护盘中带来的病毒约占6%；从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%；其他未知因素约占其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原从统计数据中可以看出，引起网络病毒感染的主要原因在于因在于网络用户自身网络用户自身。54第9章网络安全和网络管理技术College of automati

38、on网络病毒的危害网络病毒感染一般是从用户工作站开始的，而网络服网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；要场所；网络服务器在网络病毒事件中起着两种作用：它可能网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；身拷

39、贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。序与数据。55第9章网络安全和网络管理技术College of automation典型网络防病毒软件的应用网络防病毒可以从以下两方面入手：一是工作站，二是网络防病毒可以从以下两方面入手：一是工作站，二是服务器；服务器；网络防病毒软件的基本功能是：对文件服务器和工作站网络防病毒软件的基本功

40、能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；网络管理员负责清除病毒；网络防病毒软件一般允许用户设置三种扫描方式：实时网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描扫描、预置扫描与人工扫描；一个完整的网络防病毒系统通常由以下几个部分组成：一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防毒客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。软件、针对黑客的防毒软件。56第9章网络安全和网络管理技术Co

41、llege of automation网络工作站防病毒方法采用无盘工作站采用无盘工作站使用单机防病毒卡使用单机防病毒卡使用网络防病毒卡使用网络防病毒卡 57第9章网络安全和网络管理技术College of automation网络防病毒建议1、关于病毒的十诫2、合理设置杀毒软件3、合理设置电子邮件工具4、合理设置浏览器的安全级别5、慎重对待邮件附件6、不要随便点击不明链接7、不要随意接收文件8、尽量从大型的专业网站下载软件9、设置始终显示文件的扩展名10、及时升级邮件程序和操作系统11、启用网络防火墙58第9章网络安全和网络管理技术College of automation9.7 网络

42、管理技术网络管理的基本概念网络管理涉及以下三个方面网络管理涉及以下三个方面：网络服务提供网络服务提供是指向用户提供新的服务类型、增加网是指向用户提供新的服务类型、增加网络设备、提高网络性能；络设备、提高网络性能；网络维护网络维护是指网络性能监控、故障报警、故障诊断、是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；故障隔离与恢复；网络处理网络处理是指网络线路、设备利用率数据的采集、分是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。析，以及提高网络利用率的各种控制。59第9章网络安全和网络管理技术College of automationOSI管理功能域配置管理

43、（配置管理（configuration management）故障管理（故障管理（fault management）性能管理（性能管理（performance management）安全管理（安全管理（security management）记账管理（记账管理（accounting management）60第9章网络安全和网络管理技术College of automation简单网络管理协议SNMP Internet网络管理模型网络管理模型 61第9章网络安全和网络管理技术College of automation简单网络管理协议简单网络管理协议SNMP 62第9章网络安全和网络管理技

44、术College of automation小结要使网络有序、安全的运行，必须加强网络使用方法、网络安全要使网络有序、安全的运行，必须加强网络使用方法、网络安全技术与道德教育，完善网络管理，研究与开发新的网络安全技术技术与道德教育，完善网络管理，研究与开发新的网络安全技术与产品；与产品；网络安全技术研究基本问题包括：网络防攻击、网络安全漏洞与网络安全技术研究基本问题包括：网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复；网络数据备份与灾难恢复；网络安全服务应该提供保密性、认证、数

45、据完整性、防抵赖与访网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务；密码学包括密码编码学与密码分析学，密码体制由问控制服务；密码学包括密码编码学与密码分析学，密码体制由两个基本构成要素：加密两个基本构成要素：加密/解密算法和密钥，加密技术可以分为解密算法和密钥，加密技术可以分为对称加密与非对称加密，密码体制的关键问题是密钥管理对称加密与非对称加密，密码体制的关键问题是密钥管理.63第9章网络安全和网络管理技术College of automation防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据包，以确定这

46、些报文分组的合法性；包，以确定这些报文分组的合法性；对各种事件进行分析，从中发现违反安全策略的行为是入侵检测对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能系统的核心功能；一个实用的局域网应用系统设计中必须有网络数据备份、恢复手一个实用的局域网应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划；段和灾难恢复计划；对待网络病毒的态度应该是：高度重视，采取严格的防病毒技术对待网络病毒的态度应该是：高度重视，采取严格的防病毒技术与严格的防范措施，将病毒的影响减小到最低程度；与严格的防范措施，将病毒的影响减小到最低程度；一个有效而且实用的网络每时每刻都离不开网络管理。网络管理一个有效而且实用的网络每时每刻都离不开网络管理。网络管理包括配置管理、故障管理、性能管理、安全管理、记账管理。包括配置管理、故障管理、性能管理、安全管理、记账管理。64第9章网络安全和网络管理技术College of automation系统优化：1、桌面整洁系统桌面干净 2、启动程序少启动程序不可以太多，只要必需的就可以了3、文件存放有序文件存放一定要有计划，不可以随意存放，否则麻烦的是自己，推荐使用Google 桌面搜索65第9章网络安全和网络管理技术College of automation4、使用适度使用系统的时候，不可以开很多的窗口，窗口太多，严重的影响系统的速度。

展开阅读全文