【正文】 息庫，它以數(shù)據(jù)報(bào)表的形式發(fā)出和傳送命令，從而達(dá)到控制代理的目的。 ? RMON ? 主要用于網(wǎng)絡(luò)監(jiān)視的，它是對(duì) SNMP的補(bǔ)充，它定義了監(jiān)視局域網(wǎng)通信的信息庫，與 SNMP協(xié)議配合可以提供更有效的管理性能?，F(xiàn)在注冊(cè)就送 15分鐘免費(fèi)電話（本地、國(guó)內(nèi)、國(guó)際長(zhǎng)途都行），而且每次打電話前 3分鐘免費(fèi)！在線積分可換話費(fèi)！每天可免費(fèi)打 75分鐘 !!!（手機(jī)、固話和小靈通皆可） 免費(fèi)注冊(cè)帳號(hào)： 立即注冊(cè) 免費(fèi)軟件下載： 地址 1 地址 2 (說明：放映幻燈片后即可連接 ) 中國(guó)教育和科研計(jì)算機(jī)網(wǎng) 202218 12 4．計(jì)費(fèi)管理 ? 主要目的： ? 記錄網(wǎng)絡(luò)資源的使用，控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。 ? 故障管理的作用： ? 通過提供網(wǎng)絡(luò)管理者快速地檢查問題并啟動(dòng)恢復(fù)過程的工具，使網(wǎng)絡(luò)的可靠性得到增強(qiáng) ? 故障管理功能： ? 包括：接收差錯(cuò)報(bào)告并做出反映，建立和維護(hù)差錯(cuò)日志并進(jìn)行分析；對(duì)差錯(cuò)地診斷測(cè)試；對(duì)故障進(jìn)行過濾，同時(shí)對(duì)故障通知進(jìn)行優(yōu)先級(jí)判斷；追蹤故障，確定糾正故障的方法措施。 ? 代理：位于被管理的設(shè)備內(nèi)部，是被管對(duì)象上的管理程序。 ? 任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，將結(jié)果顯示給管理員并進(jìn)行處理，從而控制網(wǎng)絡(luò)中的設(shè)備、設(shè)施，工作參數(shù)和工作狀態(tài)，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理。 ? 2．網(wǎng)絡(luò)管理的目標(biāo) ? 減少停機(jī)時(shí)間，改進(jìn)響應(yīng)時(shí)間，提高設(shè)備利用率； ? 減少運(yùn)行費(fèi)用，提高效率； ? 減少或消除網(wǎng)絡(luò)瓶頸； ? 使網(wǎng)絡(luò)更容易使用； ? 安全。 ? 管理者和代理之間的信息交換方式： ? 從管理者到代理的管理操作 ? 從代理到管理者的事件通知 6 網(wǎng)絡(luò)管理功能 ? 包括 5大功能域： ? 配置管理 ? 故障管理 ? 性能管理 ? 計(jì)費(fèi)管理 ? 安全管理 7 1．配置管理 ? 掌握和控制網(wǎng)絡(luò)的配置信息，從而保證網(wǎng)絡(luò)管理員可以跟蹤、管理網(wǎng)絡(luò)中各種設(shè)備的運(yùn)行狀態(tài) ? 配置管理的內(nèi)容一般分為： ? 對(duì)設(shè)備的管理 ? 對(duì)設(shè)備連接關(guān)系的管理 8 2．故障管理 ? 對(duì)網(wǎng)絡(luò)中的問題或故障進(jìn)行定位的過程 ? 目標(biāo)：自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)硬件和軟件中的故障并通知用戶，以便網(wǎng)絡(luò)有效地運(yùn)行 ? 故障報(bào)告的形式： ? 通常采用的故障報(bào)告形式有文字、圖形和聲音信號(hào)等。 10 3．性能管理 ? 網(wǎng)絡(luò)性能：主要包括網(wǎng)絡(luò)吞吐量、響應(yīng)時(shí)間、線路利用率、網(wǎng)絡(luò)可用性等參數(shù)。 ? 主要作用： ? 能夠測(cè)量和報(bào)告基于個(gè)人或團(tuán)體用戶的計(jì)費(fèi)信息，分配資源并計(jì)算傳輸數(shù)據(jù)的費(fèi)用，然后給用戶開出賬單 ? 主要功能 ? 建立和維護(hù)計(jì)費(fèi)數(shù)據(jù)庫； ? 建立和管理相應(yīng)的計(jì)費(fèi)策略； ? 限量控制； ? 信息查詢 13 5．安全管理 ? 目標(biāo)： ? 提供信息的隱隱蔽、認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)、數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。 15 1．簡(jiǎn)單網(wǎng)管協(xié)議（ SNMP） ? （ 1） SNMP版本 ? SNMP v1是事實(shí)上的網(wǎng)絡(luò)管理工業(yè)標(biāo)準(zhǔn)，但在安全性和數(shù)據(jù)組織上存在一些缺陷。 ? 代理：收集被管理設(shè)備的各種信息并響應(yīng)網(wǎng)絡(luò)中 SNMP服務(wù)器的要求，把它們傳輸?shù)街行牡?SNMP服務(wù)器的MIB數(shù)據(jù)庫中。保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的前提。 ? 整體原則 ? 有一整套安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)機(jī)制。 ? 動(dòng)態(tài)化原則 ? 整個(gè)系統(tǒng)內(nèi)盡可能引入更多可變因素，并具有良好的擴(kuò)展性。 ? 美國(guó)信息安全聯(lián)邦準(zhǔn)則（ FC） ? 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ? 我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局也于 1999年發(fā)布我國(guó)的國(guó)家標(biāo)準(zhǔn) 23 1．可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 24 信息技術(shù)安全性等級(jí) ? 2．信息技術(shù)安全評(píng)測(cè)準(zhǔn)則（ ITSEC） ? 7個(gè)評(píng)估級(jí)別 ? 安全性從低到高的順序是 E0、 E E EE E E6 ? 3．通用安全評(píng)估準(zhǔn)則（ CC） ? 7個(gè)評(píng)估級(jí)別 ? 從低到高分為 EAL EAL EAL EALEAL EAL6和 EAL7 信息安全分析與安全策略 26 信息安全的概念和模型 ? 1．網(wǎng)絡(luò)安全的基本因素 ? 保密性： ? 確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。 ? 2．網(wǎng)絡(luò)安全的組成 ? 物理安全、人員安全、符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)、數(shù)據(jù)安全 ? 操作安全、通信安全、計(jì)算機(jī)安全、工業(yè)安全 27 3．網(wǎng)絡(luò)安全模型 與 安 全性 相 關(guān)的 轉(zhuǎn) 換信 息 通 道與 安 全性 相 關(guān)的 轉(zhuǎn) 換消 息秘 密消 息對(duì) 手可 信 任 的 第 三 方( 如 保 密 信 息 的 促 裁 者 、 發(fā) 布 者 )主 體 主 體消 息秘 密消 息28 4．網(wǎng)絡(luò)安全的基本任務(wù) ? （ 1）設(shè)計(jì)加密算法，進(jìn)行安全性相關(guān)的轉(zhuǎn)換； ? （ 2）生成算法使用的保密信息； ? （ 3）開發(fā)分發(fā)和共享保密信息的方法； ? （ 4）指定兩個(gè)主體要使用的協(xié)議，并利用安全算法和保密信息來實(shí)現(xiàn)特定的安全服務(wù)。 ? 故意威脅又可進(jìn)一步分為被動(dòng)和主動(dòng)兩類。 ? 非授權(quán)訪問 ? 沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。利用這些“特征”，攻擊者繞過防線守衛(wèi)者滲入系統(tǒng)內(nèi)部。 33 4．潛在威脅 ? 對(duì)基本威脅或主要的可實(shí)現(xiàn)的威脅進(jìn)行分析，可以發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導(dǎo)致發(fā)生一些更基本的威脅。 ? 檢測(cè)病毒技術(shù) ? 通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的偵測(cè)技術(shù) ? 主要手段：如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等 ? 消除病毒技術(shù) ? 通過對(duì)病毒的分析，殺除病毒并恢復(fù)原文件 ? 網(wǎng)絡(luò)反病毒技術(shù) ? 對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)； ? 在工作站上使用防病毒芯片 ? 對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限 35 安全攻擊 ? 1．安全攻擊的手段 截取 修改 捏造中斷被動(dòng)攻擊 主 動(dòng) 攻 擊目的站源站源站源站源站 目的站目的站目的站36 2．被動(dòng)攻擊和主動(dòng)攻擊 ? 被動(dòng)攻擊 ? 對(duì)信息的保密性進(jìn)行攻擊，即通過竊聽網(wǎng)絡(luò)上傳輸?shù)男畔⒉⒓右苑治鰪亩@得有價(jià)值的情報(bào)，但它并不修改信息的內(nèi)容 ? 目標(biāo)是獲得正在傳送的信息，其特點(diǎn)是偷聽或監(jiān)視信息的傳遞 ? 被動(dòng)攻擊主要手段： ? 信息內(nèi)容泄露：信息在通信過程中因被監(jiān)視竊聽而泄露，或者信息從電子或機(jī)電設(shè)備所發(fā)出的無線電磁波中被提取出來而泄露。 ? 重放：涉及被動(dòng)捕獲數(shù)據(jù)單元及其后來的重新傳送，以產(chǎn)生未經(jīng)授權(quán)的效果。 ? 非服務(wù)攻擊 ? 不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行 ? 原因： TCP/IP協(xié)議（尤其是 IPv4）自身的安全機(jī)制不足 39 安全策略與安全管理 ? 1．安全策略的組成 ? 威嚴(yán)的法律 ? 先進(jìn)的技術(shù) ? 嚴(yán)格的管理 ? 2．安全管理原則 ? 多人負(fù)責(zé)原則 ? 任期有限原則 ? 職責(zé)分離原則 ? 3．安全管理實(shí)現(xiàn) ? 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí) ? 根據(jù)確定的安全等級(jí)，確定安全管理的范圍 ? 制訂相應(yīng)的機(jī)房出入管理制度 ? 制訂嚴(yán)格的操作規(guī)程 ? 制訂完備的系統(tǒng)維護(hù)制度 ? 制訂應(yīng)急措施 加密技術(shù) 41 密碼學(xué)的基本概念 ? 保密學(xué)：研究密碼系統(tǒng)或通信安全的科學(xué) ? 兩個(gè)分支： ? 密碼學(xué)：對(duì)信息進(jìn)行編碼實(shí)現(xiàn)隱蔽信息的一門學(xué)問 。這樣，如果對(duì)明文 attack進(jìn)行加密，密鑰為 4，則加密后形成的密文就是 EXXEGO。 ? 優(yōu)點(diǎn)：處理速度快，實(shí)時(shí)性好；錯(cuò)誤傳播??；不易被破譯；適用于軍事、外交等保密信道。 ? 算法不必是秘密的，而只需要對(duì)密鑰進(jìn)行保密即可。然后對(duì)每個(gè) 64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64位密文數(shù)據(jù) ? 使用的密鑰為 64位，實(shí)際密鑰長(zhǎng)度為 56位，有8位用于奇偶校驗(yàn)。現(xiàn)在注冊(cè)就送 15分鐘免費(fèi)電話（本地、國(guó)內(nèi)、國(guó)際長(zhǎng)途都行），而且每次打電話前 3分鐘免費(fèi)！在線積分可換話費(fèi)！每天可免費(fèi)打 75分鐘 !!!（手機(jī)、固話和小靈通皆可） 免費(fèi)注冊(cè)帳號(hào)： 立即注冊(cè) 免費(fèi)軟件下載： 地址 1 地址 2 (說明：放映幻燈片后即可連接 ) 中國(guó)教育和科研計(jì)算機(jī)網(wǎng) 202218 58 公鑰加密技術(shù) ? 1．公鑰密碼體制的模型 ? 有兩種模型：加密模型、認(rèn)證模型 明文 X接收者發(fā)送者E加密算法E加密算法D解密算法D解密算法公鑰 PK 私鑰 SK密文 Y = EPK( X )密鑰對(duì)產(chǎn)生源密鑰對(duì)產(chǎn)生源明文 X = DSK(EPK( X ) )明文接收者發(fā)送者加密算法加密算法 解密算法解密算法公鑰 私鑰密文密鑰對(duì)產(chǎn)生源密鑰對(duì)產(chǎn)生源明文59 公鑰加密技術(shù) ? 幾點(diǎn)錯(cuò)誤觀點(diǎn)： ? 公鑰加密比常規(guī)加密更具有安全性 ? 公鑰加密是一種通用機(jī)制，常規(guī)加密已經(jīng)過時(shí) 60 2．常用的公鑰體制 ? 公鑰安全基礎(chǔ)：數(shù)學(xué)中的難解問題 ? 兩大類： ? 基于大整數(shù)因子分解問題，如 RSA體制； ? 基于離散對(duì)數(shù)問題，如 Elgamal體制、橢圓曲線密碼體制等。 ? 密鑰的生存周期 ? 密鑰的產(chǎn)生；密鑰分發(fā)；啟用密鑰 /停用密鑰；替換密鑰或更新密鑰；撤銷密鑰；銷毀密鑰。 ? 認(rèn)證、授權(quán)和訪問控制都與網(wǎng)絡(luò)上的實(shí)體有關(guān)： ? 認(rèn)證：驗(yàn)證一個(gè)最終用戶或設(shè)備（例如客戶機(jī)、服務(wù)器、交換機(jī)、路由器、防火墻等）的身份的過程，即建立信息發(fā)送者和 /或接收者的身份。 ? 認(rèn)證技術(shù)主要有： ? 消息認(rèn)證、身份認(rèn)證、數(shù)字簽名 69 消息認(rèn)證 ? 1．消息認(rèn)證的目的 ? 消息認(rèn)證：對(duì)付主動(dòng)攻擊中的篡改和偽造，使得通信的接收方能夠驗(yàn)證所收到的報(bào)文（發(fā)送者和報(bào)文內(nèi)容、發(fā)送時(shí)間、序列等）的真?zhèn)? ? 消息認(rèn)證方法：報(bào)文摘要 ? 2．消息認(rèn)證的工作原理 ? 消息認(rèn)證的基礎(chǔ)是安全單向的散列函數(shù)，以變長(zhǎng)的信息輸入，把其壓縮成一個(gè)定長(zhǎng)的值輸出。這就是說，最后得出的 MD代碼已包含了報(bào)文長(zhǎng)度的信息； ? 在報(bào)文和余數(shù)之間填充 1?512 位，使得填充后的總長(zhǎng)度是 512的整數(shù)倍。 73 1．口令機(jī)制 ? 過程不加密，即口令容易被監(jiān)聽和解密。 75 身份認(rèn)證 ? 2．個(gè)人持證 ? 持證為個(gè)人持有物，如磁卡、智能卡等 ? 磁卡常和個(gè)人標(biāo)識(shí)號(hào) PIN一起使用 ? 智能卡將微處理器芯片嵌在宿卡上來代替無源存儲(chǔ)磁條，存儲(chǔ)信息遠(yuǎn)遠(yuǎn)大于磁條的 250字節(jié)，且具有處理功能，卡上的處理器有 4K字節(jié)的小容量 EPROM ? 3．個(gè)人特征 ? 主要技術(shù)有：指紋識(shí)別、聲音識(shí)別、筆跡識(shí)別、虹膜識(shí)別和手形等。 ? 數(shù)字簽名與數(shù)據(jù)加密的區(qū)別： ? 數(shù)字簽名使用的是公鑰密碼體制中的認(rèn)證模型，發(fā)送者使用自己的私鑰加密消息，接收者使用發(fā)送者的公鑰解密消息。 ? 數(shù)字簽名的驗(yàn)證 ? 接收方首先用發(fā)方公鑰解密數(shù)字簽名，導(dǎo)出數(shù)字摘要，并對(duì)電子文件原文作同樣哈希算法得一個(gè)新的數(shù)字摘要，將兩個(gè)摘要的哈希值進(jìn)行結(jié)果比較，相同簽名得到驗(yàn)證，否則無效。 ? S/MIME在 MIME的基礎(chǔ)上添加了安全性元素。防火墻可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 ? 防火墻自身應(yīng)該能夠防止?jié)B透。 ? 5．防火墻的功能 ? 防火墻定義了惟一的一個(gè)瓶頸，以禁止脆弱的服務(wù)進(jìn)入或離開網(wǎng)絡(luò)； ? 通過防火墻可以監(jiān)視與安全有關(guān)的事件； ? 防火墻可以為幾種與安全無關(guān)的 Inter服務(wù)提供方便的平臺(tái)，例如地址轉(zhuǎn)換（ NAT）、網(wǎng)絡(luò)管理功能部； ? 防火墻可以作為諸如 IPSec的平臺(tái)。 ? 在廣域網(wǎng)系統(tǒng)中，總部局域網(wǎng)與分支機(jī)構(gòu)一般通過公共網(wǎng)（如 DDN、Frame Relay）連接，需要采用防火墻隔離，并利用某些軟件提供的