第6章网络安全技术 【考点一】网络管 (一)网络管理概述 1网络管理的目标网络管理的目标可能各有不同,但主要的目标有以 下几条: (1)减少停机时间,改进响应时间,提高设备利用率 (2)减少运行费用,提高效率。 (3)减少或消除网络瓶颈 (4)适应新技术 (5)使用络更容易使用 (6)安全 2.网络管理员的职责 在实现一个计算机网络的过程中,网络管理员提负的责任和要完成的 任务有:规划、建设、维护、扩展、优化和故障检修 3网络管理模型 在网络管理中,一般采用管理者一代理的管理模型,网络管理为控制、 协调、监视网络资源提供手段,即在管理者与代理之间利用网络实现 管理信息的交换,完成管理功能。管理者从各代理处收集管理信息, 进行处理,获取有价值的管理信息,达到管理的目的 (二)网络管理功能 1配置管理 配置管理的目标是掌握和控制网络和系统的配置信息以及网络内各
第 6 章 网络安全技术 【考点一】网络管 (一)网络管理概述 1.网络管理的目标网络管理的目标可能各有不同,但主要的目标有以 下几条: (1)减少停机时间,改进响应时间,提高设备利用率。 (2)减少运行费用,提高效率。 (3)减少或消除网络瓶颈。 (4)适应新技术。 (5)使用络更容易使用。 (6)安全。 2.网络管理员的职责 在实现一个计算机网络的过程中,网络管理员提负的责任和要完成的 任务有:规划、建设、维护、扩展、优化和故障检修。 3.网络管理模型 在网络管理中,一般采用管理者一代理的管理模型,网络管理为控制、 协调、监视网络资源提供手段,即在管理者与代理之间利用网络实现 管理信息的交换,完成管理功能。管理者从各代理处收集管理信息, 进行处理,获取有价值的管理信息,达到管理的目的。 (二)网络管理功能 1.配置管理 配置管理的目标是掌握和控制网络和系统的配置信息以及网络内各
设备的状态和连接关系。现代网络设备是由硬件和设备驱动程序组成 的,适当配置设备参数可以更好地发挥设备的作用,获得优良的整体 性能。 配置管理的内容主要包括:网络资源的配置及其活动状态的监视;网 络资源之间关系的监视和控制;新资源的加入,旧资源的删除;定义 新的管理对象;识别管理对象;管理各个对象之间的关系;改变管理 对象的参数等 2.故障管理 故障管理的目标是自动监测网络硬件和软件中的故障并通知用户,以 便网络能有效地运行。当网络出现故障时,要进行故障的确认、记录、 定位,并尽可能排除这些故障。 3.性能管理 性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维 持在一个可能接受的水平上。性能管理使网络管理人员能够监视网络 运行的关键参数。如吞吐率、利用率、错误率、响应时间和网络的 般可用度等,此外,性能管理能够指出网络中哪些性能可以改善以及 如何改善。 4.计费管理 计费管理的主要作用是:网络管理者能测量和报告基于个人或团体用 户的计费信息,分配资源并计算用户通过网络传输数据的费用,然后 给用户开出帐单。同时,计费管理增加了网络管理者对用户使用网络 资源情况的认识,这有利于创建一个更有效的网络
设备的状态和连接关系。现代网络设备是由硬件和设备驱动程序组成 的,适当配置设备参数可以更好地发挥设备的作用,获得优良的整体 性能。 配置管理的内容主要包括:网络资源的配置及其活动状态的监视;网 络资源之间关系的监视和控制;新资源的加入,旧资源的删除;定义 新的管理对象;识别管理对象;管理各个对象之间的关系;改变管理 对象的参数等。 2.故障管理 故障管理的目标是自动监测网络硬件和软件中的故障并通知用户,以 便网络能有效地运行。当网络出现故障时,要进行故障的确认、记录、 定位,并尽可能排除这些故障。 3.性能管理 性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维 持在一个可能接受的水平上。性能管理使网络管理人员能够监视网络 运行的关键参数。如吞吐率、利用率、错误率、响应时间和网络的一 般可用度等,此外,性能管理能够指出网络中哪些性能可以改善以及 如何改善。 4.计费管理 计费管理的主要作用是:网络管理者能测量和报告基于个人或团体用 户的计费信息,分配资源并计算用户通过网络传输数据的费用,然后 给用户开出帐单。同时,计费管理增加了网络管理者对用户使用网络 资源情况的认识,这有利于创建一个更有效的网络
网络计费的功能包括:建立和维护计费数据库,能对任意一台机器进 行计费;建立和管理相应的计费策略;能够对指定地址进行限量控制, 当超过使用限额时,将其封锁;并允许使用单位或个人按时间、地址 等信息查询网络的使用情况。 5安全管理 安全管理的目标是按照一定的策略控制对网络资源的访问,以保证网 络不被侵害,并保证重要的信息不被未授权的用户访问 安全管理的功能包括:标识重要的网络资源(包括系统、文件和其他 实体);确定重要的网络资源和用户集之间的映射关系;监视对重要 网络资源的访问;记录对重要网络资源的非法访问;信息加密管理。 (三)网络管理协议 网络管理协议提供了访问任何生产商生产的任何网络设备,并获得一 系列标准值的一致性方式。对网络设备的查询包括:设备的名字、设 备中软件的版本、设备中的接口数、设备中一个接口的每秒包数等 用于设置网络设备的参数包括、设备的名字、网络接口的地址、网络 接口的运行状态、设备的运行状态等 目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公 共管理信息服务协议 CMIS/CMIP)和局域网个人管理协议LMMP) 等。 【考点二】信息安全技术概述 (-)信息安全的基本要素 信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可
网络计费的功能包括:建立和维护计费数据库,能对任意一台机器进 行计费;建立和管理相应的计费策略;能够对指定地址进行限量控制, 当超过使用限额时,将其封锁;并允许使用单位或个人按时间、地址 等信息查询网络的使用情况。 5.安全管理 安全管理的目标是按照一定的策略控制对网络资源的访问,以保证网 络不被侵害,并保证重要的信息不被未授权的用户访问。 安全管理的功能包括:标识重要的网络资源(包括系统、文件和其他 实体);确定重要的网络资源和用户集之间的映射关系;监视对重要 网络资源的访问;记录对重要网络资源的非法访问;信息加密管理。 (三)网络管理协议 网络管理协议提供了访问任何生产商生产的任何网络设备,并获得一 系列标准值的一致性方式。对网络设备的查询包括:设备的名字、设 备中软件的版本、设备中的接口数、设备中一个接口的每秒包数等。 用于设置网络设备的参数包括、设备的名字、网络接口的地址、网络 接口的运行状态、设备的运行状态等。 目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公 共管理信息服务协议(CMIS/CMIP)和局域网个人管理协议(LMMP) 等。 【考点二】信息安全技术概述 (一)信息安全的基本要素 信息安全包括 5 个基本要素:机密性、完整性、可用性、可控性与可
审查性 (1)机密性:确保信息不暴露给未授权的实体或进程。 (2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据 是否已被篡改。 (3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占 用所有的资源而阻碍授权者的工作。 (4)可控性:可以控制授权范围内的信息流向及行为方式。 (5)可审査性:对出现的网络安全问题提供调查的依据和手段。因此 个现代信息系统若不包含有效的信息安全技术措施,就不能认为是 完整的和可信的。 (二)计算机系统的安全等级 为了帮助计算机用户区分和解决计算机网络安全问题,不同的组织各 自制定了一套安全评估准则。一些重要的安全评估准则有: (1)美国国防部DOD)和国家标准局(现更名为NST)的可信计算机系 统评估准则( TCSEC) (2)欧洲共同体的信息技术安全评测准则( ITSEC) (3)SOEC国际标准 (4)美国联邦标准 【考点三】网络安全分析与安全策略 (一)网络安全的概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不 会由于偶然或恶意的原因而遭到破坏、更改、泄露,系统能连续、可
审查性。 (1)机密性:确保信息不暴露给未授权的实体或进程。 (2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据 是否已被篡改。 (3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占 用所有的资源而阻碍授权者的工作。 (4)可控性:可以控制授权范围内的信息流向及行为方式。 (5)可审查性:对出现的网络安全问题提供调查的依据和手段。因此, 一个现代信息系统若不包含有效的信息安全技术措施,就不能认为是 完整的和可信的。 (二)计算机系统的安全等级 为了帮助计算机用户区分和解决计算机网络安全问题,不同的组织各 自制定了一套安全评估准则。一些重要的安全评估准则有: (1)美国国防部(DOD)和国家标准局(现更名为 NIST)的可信计算机系 统评估准则(TCSEC)。 (2)欧洲共同体的信息技术安全评测准则(ITSEC)。 (3)ISO/IEC 国际标准。 (4)美国联邦标准。 【考点三】网络安全分析与安全策略 (一)网络安全的概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不 会由于偶然或恶意的原因而遭到破坏、更改、泄露,系统能连续、可
靠和正常地运行,网络服务不中断。 网络安全应包括以下几个方面:物理安全、人员安全、符合瞬时电磁 脉冲辐射标准( TEMPEST)丶、信息安全、操作安全、通信安全、计算机 安全和工业安全。 (二)安全威胁 1安全攻击 中断是指系统资源遭到破坏或变得不能使用。这是对可用性的攻击。 截取是指未授权的实体得到了资源的访问权。这是对保密性的攻击 未授权实体可能是一个人、一个程序或一台计算机 修改是指未授权的实体不仅得到了访问权,而且还窜改了资源。这是 对完整性的攻击。 捏造是指未授权的实体向系统中插入伪造的对象。这是对真实性的攻 击。这些攻击可分为被动攻击和主动攻击两种。 假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式 的主动攻击 重放涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的 效果。 修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排 序,导致未授权的操作。 拒绝服务是禁止对通信工具的正常使用或管理。 另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服 务攻击与非服务攻击
靠和正常地运行,网络服务不中断。 网络安全应包括以下几个方面:物理安全、人员安全、符合瞬时电磁 脉冲辐射标准(TEMPEST)、信息安全、操作安全、通信安全、计算机 安全和工业安全。 (二)安全威胁 1.安全攻击 中断是指系统资源遭到破坏或变得不能使用。这是对可用性的攻击。 截取是指未授权的实体得到了资源的访问权。这是对保密性的攻击。 未授权实体可能是一个人、一个程序或一台计算机。 修改是指未授权的实体不仅得到了访问权,而且还窜改了资源。这是 对完整性的攻击。 捏造是指未授权的实体向系统中插入伪造的对象。这是对真实性的攻 击。这些攻击可分为被动攻击和主动攻击两种。 假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式 的主动攻击。 重放涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的 效果。 修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排 序,导致未授权的操作。 拒绝服务是禁止对通信工具的正常使用或管理。 另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服 务攻击与非服务攻击