第七章網路管理與網路安全

2021-03-04 09:54:50 字數 4380 閱讀 7050

網路管理是對網路執行狀態進行監測與控制。

物理介質物理層裝置包括網絡卡雙絞線等

硬體資源計算機裝置儲存裝置等其他裝置

網路互連裝置中繼器網橋路由器閘道器等

網路管理物件

作業系統

軟體資源應用軟體

通訊軟體實現通訊協議的軟體

網路管理目標:有效性(qos),可靠性,開放性,綜合性,安全性,經濟性。

iso/iec 7498-4文件規定網路管理的五大功能:配置管理,故障管理,計費管理,效能管理,安全管理。

配置管理最基本的功能,負責網路的建立業務的開展以及配置資料的維護。包括資源清單管理、資源開通、業務開通。

故障管理發現和排除網路故障,保障網路資源無障礙無錯誤的運營,包括障礙管理、故障恢復、和預防保障。包括檢測故障隔離故障、糾正故障

計費管理正確計算收取使用者使用網路服務的費用

效能管理維護網路服務質量和網路運營效率

安全管理採用安全措施保護網路中的系統資料及業務。包括風險分析報告安全服務功能告警功能日誌功能和報告功能和網路管理系統保護功能。其作用在於最大限度的防範以及在侵擾後損失降到最低。

授權機制、訪問控制加密和加密關鍵字管理

核心是一對相互通訊的系統管理實體

用管理程序與乙個遠端系統相互作用來實現對遠端資源的控制。在這種簡單的體系中乙個系統的管理程序相當於管理者角色,另外乙個系統的對等實體擔當**者角色。**負責提供被管物件的訪問。

前者為網路管理者後者為網管**。管理者實際是作業系統上的一組應用程式,**位於被管理者裝置內部。將管理者的命令或資訊請求轉換為本裝置特有的指令,完成管理者的指示或返回裝置的資訊。

管理者與**者之間資訊交換分為從管理者到**的管路操作和從**到管理者的通知

網路管理模式集中式網路管理模式和分布式網路管理模式。在集中式網路管理模式中所有**在管理站的監視和控制下協同工作實現網路的集中管理,至少乙個節點為管理者。其他節點在閘道器**模組(nme)控制下與管理站通訊。

分布式資料採集監視和管理分散開從網路上所有資料來源採集資料不必考慮拓撲結構。管理更加自動、

網路管理中最重要的部分是網路管理協議定義了網路管理者和閘道器**者的通訊方法。

發展簡史:2023年iso對網路通訊進行標準化工作,主要是對於開放系統互聯模型設計的,成果是cmis和cmip。cmis是對於管理程序與**者之間的通訊,cmip提供管理服務傳輸的應用層協議。

兩者規定了osi的網路管理標準。後來inter***工程任務組(ietf)為了管理inter***,把已經有的簡單網管監控協議(sgmp)修改後得到snmp協議(簡單網路管理協議)。也稱snmp v1.

相對於osi的協議,snmp簡單實用,snmp v1最大特點是簡單性,還有可伸縮性、健壯性。由於snmp沒有考慮安全問題,2023年ietf開始製作snmp v2。2023年4月開始snmp v3

snmp協議:提供了從網路裝置上收集網路管理資訊的方法。snmp體系結構有snmp管理者和snmp**者組成,從被管理裝置收集資訊方法有兩種,一種是輪詢(polling)法,另外一種是基於中斷(interrupt-based)方法。

兩者結合就是陷入指導輪詢方法。

cmip協議:iso的公共管理資訊協議(cmip),cmip 通過事件報告進行工作的。cmip所有功能都是必須對映到應用層的相關協議上實現,管理的操作是通過聯絡控制協議(association control protocol,acp)實現的。

操作和事件報告是通過遠端操作協議(remote operation protocol,rop)實現的,cmip支援的是7種cmis協議。

snmp是inter***組織實現網際網路和乙太網的,比較簡單,但是安全性較差。cmip是個更加有效的網路管理協議,一方面cmip採用報告機制比較及時。另外一方面他的更多工作交給管理者使終端使用者壓力較小,此外還有安全管理機制。

由於涉及面廣,實現起來比較昂貴。

資訊保安的目標:真實性(能對偽造**的資訊進行鑑別)、保密性(不被竊聽)、完整性、可用性(合法使用者不被不正當拒絕)、不可抵賴性(電子商務很重要)、可控制性、可審查性。

為保證提供一定級別的安全保護所必須遵守的規則。1先進的資訊保安技術是網路安全的根本保證。2 嚴格的安全管理。3 制定嚴格的法律法規。

美國國防部所屬的國家計算機安全中心(ncsc)在20世紀90年代提出了可信任計算機標準評估準則(trusted ***puter standard evaluation criteria)也稱橘皮書(orange book)網路安全標準將安全性等級劃分為a、b、c、d。a最高,d最低。d1、c1、c2、b1、b2、b3、a1。

在我國計算機資訊系統安全保護等級劃分準則將計算機安全等級劃分為五個等級。第一級自主保護級,第二級知道保護級,第**監督保護級(較大損失),第四級強制保護級(嚴重損失),第五級專控保護級(核心子系統,被破壞後會造成特別被嚴重的後果)

網路安全本質和目的是確保網路上的資訊保安。

傳播、共享、自增值是資訊的固有屬性,同時又要保證傳播是可控的,共享是授權的,增值是確認的。所謂的網路安全保護網路程式資料和裝置使其免受非授權使用或者訪問。包括保護資訊和資源保護客戶機和使用者保護私有性。

對網路系統而言包括資訊的儲存安全和資訊的傳輸安全。

儲存安全通過設定訪問許可權、身份識別、區域性隔離等保護

資訊傳輸安全要防止出現:對資訊的監聽、對身份的假冒、對網路上資訊的篡改、對發出的資訊否認、對資訊重放(惡意攻擊)

安全措施:比較複雜的工程,包括社會的法律法規等、技術方面的措施、審計和管理措施

國際電信聯盟(itu-t)推薦x.800即osi安全框架。osi主要關注三個部分:安全攻擊、安全機制、安全服務。

安全攻擊分為被動攻擊和主動攻擊。被動攻擊是對傳輸進行竊聽和監測目標是獲得傳輸的資訊,資訊內容洩漏和流量分析是兩種,被動攻擊不涉及對資料的修改通過對資料加密可以阻止,重點是預防而不是監測。主動攻擊包括對資料流進行篡改和偽造資料流,偽裝、重放、訊息篡改、拒絕服務(dos,組織或者禁止正常使用通訊裝置可以破壞實體網路)和分布式拒絕服務。

分布式拒絕服務(ddos)是許多分布的主機同時攻擊乙個目標使其癱瘓乙個完整的ddos分為黑客、控制傀儡機、攻擊傀儡機和受害者。主動攻擊難以預防但是可以檢測,所以重點是檢測並從破壞中恢復,檢測主動攻擊有種威懾作用

服務供給和非服務攻擊(從**高層看):服務攻擊是針對特定網路服務的攻擊,如tel***在23埠,http在80視窗。tcp/ip缺乏認證安全措施是重要原因,mail bomb攻擊。

非服務攻擊是對於網路層等底層協議進行的,tcp/ip自身安全不足提供了方便,利用作業系統和協議的漏洞來攻擊,如源路由攻擊、位址欺騙。現在很多軟體可以實施非服務攻擊如***xray。

安全機制用來保護免收監聽組織安全攻擊和恢復系統的機制可以分為特定安全機制(特定的協議層實現)和普通安全機制。x.800區分可逆和不可逆加密不可逆如hash演算法和訊息認證碼。

安全服務認證、訪問控制資料保密性、資料完整性和不可否認性等5類14個特定服務。

任何用來保護安全的方法都包括對傳送資訊的相關安全變換、雙方共享某些秘密資訊。為了實現安全傳輸需要可以信任的第三方,第三方負責將秘密資訊配給通訊雙方。

涉及安全服務涉及1 執行安全傳輸的演算法2 產生演算法使用的秘密資訊3 涉及分配和共享資訊的方法4 知名通訊雙方使用的協議。

原始的訊息是明文,加密後的訊息為密文,從明文到密文叫做加密,從密問到明文叫解密,加密方案叫做密碼或者密碼體制,,研究各種加密方案的科學叫做密碼編碼學,研究破譯密碼獲得訊息的科學叫做密碼分析學。

密碼編碼學有三個特徵:1轉化明文為密文有兩種基本原理:代換和置換。

2所用的金鑰數,如果傳送方和接收方用相同的金鑰這種密碼叫做對稱密碼,單金鑰密碼或者傳統密碼。如果不是就叫做非對稱密碼、雙密碼、或者公鑰密碼。3 處理明文的方法。

加密演算法可以分為分組密碼和流密碼。分組密碼每次輸入乙個分組輸出乙個分組典型分組一般是64位或者128位,流密碼則是連續的輸入輸出乙個元素。分組密碼較多。

密碼分析學攻擊密碼體制兩種方法:密碼分析學(災難性的,會危及以前所有的資訊)和窮舉攻擊(平均而言需要嘗試所有可能金鑰的一半)。根據密碼分析者知道的內容,可以概括集中密碼攻擊內容,唯密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文攻擊、選擇文字攻擊。

一般要經受住已知明文攻擊。

無條件安全和計算上的安全如果無論多少可以使用的密文,都不足以唯一的確定由該體制產生密文所對應的明文,則加密體制是無條件安全的,出了一次一密外其他演算法都不是無條件安全的。加密演算法使用者應滿足:1破譯密碼代價高出密文價值2 破譯時間高出有效生命週期,這個叫做計算上的安全。

代換和置換技術代換是將明文本母換成其他字母、數字或者符號的方法,典型的演算法是caesar密碼(子目表後k個子母代換)、單錶帶換密碼(任意代換)、playfair密碼、hill密碼、多表代換密碼和一次一密等。另外一種是置換而來的排列最簡單的是柵欄技術。按照對角線的順序寫入明文按照行的順序做出密文。

對稱密碼模型可以分為:明文、加密演算法、金鑰、密文、解密演算法。

資料加密標準使用最廣泛的是資料加密體制(des)2023年被美國國家標準局採用為資料處理標準,其前身是資料加密演算法(dea)des採用64位的分組長度和56位的金鑰長度。

第七章安全管理篇

1 學校安全工作制度36 2 學校安全工作檢查制度37 3 學校安全事故報告制度37 4 學校值班制度38 5 值班教師安全責任制度38 6 治理周邊環境工作制度38 7 學校門衛工作制度39 8 校園安全應急預案56 9 安全穩定工作責任追究制度56 10 恰庫爾圖牧業寄宿制學校安全防範制度56 ...

第七章煤氣安全管理

一 單項選擇題 每題只有乙個選項是正確的,不選 多選 錯選均不得分 1 企業所設定的 安全生產管理機構 是指 a 專門負責安全生產管理事務的部門 b 安全生產委員會或安全生產領導小組 c 生產管理或技術管理機構 2 下列不屬於演練的型別 a 桌面演練b 功能演練 c 全面演練d 專項演練 3 演練的...

《網路安全與管理 第二版網路安全試題

網路安全試題三 一 判斷題 每題1分,共25分 1.在網路建設初期可以不考慮自然和人為災害。2.計算機病毒具有破壞性和傳染性。3.確認資料是由合法實體發出的是一種抗抵賴性的形式 4.eds和idea是非對稱金鑰技術 5.在非對稱金鑰密碼體制中,發信方與收信方使用相同的金鑰 6.資料加密只能採用軟體方...