资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络管理及网络安全,四川省国土资源厅信息中心,运维科,2012,年,11,月,网络管理,一、什么是网络管理,通过技术手段收集、监控网络中各种设备和设施的工作参数、工作状态信息,显示给管理员并接受处理,从而控制网络中的设备、设施的工作参数和工作状态,以保证网络安全、可靠、高效地运行。,网络管理,二、,网络管理的范围,1.,从网络系统的角度考虑,(,1,)硬件管理,其中包括:,1,计算机设备:各类服务器、储存设备等。,2,网络互联设备:交换机、路由器、网闸等。,3,安全类设备:防火墙、防病毒网关、入侵检测设备、,UTM,等。,4,机房其他设施:门禁系统、,UPS,系统、新风排风系统(精密空调)、监控系统、防雷防火系统等。,网络管理,(,2,)软件系统,1,系统软件、操作系统,:,windows,、,unix,、,Linux,等。,2,管理软件:网管软件、活动目录(,Active Directory,)等。,3,应用软件:杀毒软件、,Sql,、,Oracle,、业务审批系统等。,网络管理,.,从网络资源的角度考虑,(,1,)被管理节点,(,2,)代理,(,3,)网络管理工作站,(,4,)网络管理协议,.,从网络维护的角度考虑,(,1,)网络建设,(,2,)网络维护,(,3,)网络服务,网络管理,三、网络管理的任务,配置管理(,Configuration anagement,),故障管理(,Fault Management,),性能管理(,Performance Management,),安全管理(,Security Management,),网络管理,1,、配置管理,配置管理的作用:确定设备的地理位置,名称和有关细节,记录并维护设备参数表;用适当的软件设置参数值和配置设备功能。,其中包括:,1,、对网络的划分,2,、对服务器和存储设备的配置,3,、对交换机和路由器的配置,4,、对其他设备的配置,5,、建立硬件设备台帐、,机房进出登记,台帐、机房巡检台帐、操作记录、重大事故记录等。,网络管理,2.,故障管理,:,对发生的故障或事故的情况的要有详细的记录,内容应该包括故障原因及有关问题,故障严重程度,发生故障对象的有关属性,告警对象的备份状态,故障的处理结果,以及建议的应对措施。,网络管理,3.,性能管理:,1,设备的运行状态:包括,CPU,利用率、内存利用率、空间利用率、日志的错误报告等。,2,带宽利用率,吞吐率降低的程度,通信繁忙的程度,网络瓶颈及响应等,对这些参数进行控制和优化的任务。,3,对收集的数据要进行分析和计算,从中提取与性能有关的管理信息,以便发现问题。,网络管理,4.,安全管理,:,包括发现安全漏洞;设计和改进安全策略;根据管理记录产生安全事件报告;维护安全业务等功能。,其中包括三个基本安全机制:,1,访问控制:限制与,关键,系统建立联系;限制对,关键,信息的操作(读写删除等);控制,关键,信息传输;防止未经授权的用户初始化,关键,系统。,2,安全告警:对关键系统或关键数据在出现违反安全规定的情况时,应发出安全警告信息。,3,安全审计试验:有关安全的事件保留在安全审计记录中,供以后进行分析。,网络管理,网络安全,网络安全定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,(,1,)运行系统安全,即保证信息处理和传输系统 的安全。,(,2,)网络上系统信息的安全。,(,3,)网络上信息传播的安全,即信息传播后果的安全。,(,4,)网络上信息内容的安全,即我们讨论的狭义的“信息安全”。,网络安全,网络安全应具备四个特征,保密性,:信息不泄露给非授权的用户、实体或过程,或供其利用的特性;,完整性,:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;,可用性,:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;,可控性,:对信息的传播及内容具有控制能力。,网络安全,网络安全威胁的类型,非授权访问,假冒合法用户,数据完整性受破坏,病毒,通信线路被窃听,干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间,网络安全,网络安全的关键技术,防火墙技术,病毒防治技术,入侵检测技术,安全扫描技术,认证和数宇签名技术,加密技术,安全域技术,网络安全,防火墙技术:,网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备,.,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。,防火墙产品主要有堡垒主机,包过滤路由器,应用层网关,(,代理服务器,),以及电路层网关,屏蔽主机防火墙,双宿主机等类型。,网络安全,病毒防治技术:,病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。,我们将病毒的途径分为:,(1),通过,FTP,,电子邮件传播。,(2),通过软盘、光盘、,U,盘传播。,(3),通过,Web,游览传播,主要是恶意的,Java,控件网 站。,(4),通过群件系统传播。,网络安全,病毒防护的主要技术如下:,(1),阻止病毒的传播。,在防火墙、代理服务器、,SMTP,服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面,PC,安装病毒监控软件。,(2),检查和清除病毒。,使用防病毒软件检查和清除病毒。,(3),病毒数据库的升级。,病毒数据库应不断更新,并下发到桌面系统。,(4),在防火墙、代理服务器及,PC,上安装,Java,及,ActiveX,控制扫描软件,禁止未经许可的控件下载和安装。,网络安全,入侵检测技术:,利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:,(1),入侵者可寻找防火墙背后可能敞开的后门。,(2),入侵者可能就在防火墙内。,(3),由于性能的限制,防火焰通常不能提供实时的入侵检测能力。,网络安全,入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。,实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。,入侵检测系统可分为两类:,基于主机,基于网络,基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如,Web,服务器应用。,网络安全,安全扫描技术:,网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于黑客在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。,网络安全,认证和数宇签名技术:,认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到网络中的以下方面:,(1),路由器认证,路由器和交换机之间的认证。,(2),操作系统认证。操作系统对用户的认证。,(3),网管系统对网管设备之间的认证。,(4)VPN,网关设备之间的认证。,(5),拨号访问服务器与客户间的认证。,(6),应用服务器,(,如,Web Server),与客户的认证。,(7),电子邮件通讯双方的认证。,网络安全,加密技术:,数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。,网络安全,(1),数据传输加密技术,目的是对传输中的数据流加密,常用的方针有线路加密和端,端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入,TCP/IP,数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。,(2),数据存储加密技术,目是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。,网络安全,(3),数据完整性鉴别技术,目的是对介入信息的传送、存取、处理的人的身份和相关数 据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。,(4),密钥管理技术,为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。,网络安全,安全域技术:,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。,根据网络安全分区防护的要求,结合应用系统服务器之间服务层次关系的分析,将应用系统服务器分为,4,个网络安全层次,分别对应由高到低的,4,个安全防护等级,-,核心层、应用层、隔离层、接入层,每个网络安全层次内部包含的服务器具有相似的应用处理功能和相同的安全防护等级。,网络安全,核心层:安全等级为,1,,主要存放核心国土资源基础数据和核心主机应用服务;,应用层:安全等级为,2,,主要存放国土资源主要业务应用服务和局部数据;,隔离层:安全等级为,3,,主要存放国土资源前置设备、,WEB,服务器、应用隔离机等,作为安全访问缓冲区;,接入层:安全等级为,4,:主要存放各种网络接入设备,用于连接被防护单位以外的客户端和隔离,/,应用服务器。,网络安全,对应用系统实施网络分层防护,有效地增加了系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。当外部攻击穿过外层防护机制进入计算中心隔离区后,进一步的侵入受到应用层和核心层防护机制的制约。由于外层防护机制已经检测到入侵,并及时通知了管理中心。当黑客再次试图进入应用区时,管理员可以监控到黑客的行为,收集相关证据,并随时切断黑客的攻击路径。,网络安全,制定安全策略涉及四方面,网络用户的安全责任,系统管理员的安全责任,正确利用网络资源,检测到安全问题时的对策,网络安全,应急处置及容灾备份,应急处置和容灾备份是我们对抗突发性事故的最佳手段,能帮助我们将损失降低到最低。,应急处置:,1,、建立信息安全应急预案,预案应该包括组织结构、机构职责、突发事件报告制度、各类信息安全事件应急流程与方法、事后追责流程以及合作公司或维保公司联系方式等。,2,、应急演练,每年应至少开展一次应急演练,已检验应急预案小股和单位应急能力。,灾难备份:,主要分为同城灾备方式和异地灾备方式两种。按国土资源部最新要求,建议采用异地灾备方式。,对数据的备份方式也分为两种:即时级和数据级,根据国土部门对数据使用情况,一般建议采用数据级。,网络安全,安全检查措施:,1,、网络边界防护是否完成。,2,、安全防护策略:服务器、网络设备、安全设备端口开放情况,应用系统安全功能。,3,、访问控制:对最要设备或者数据有没有做访问控制。,4,、身份认证:对用户是否使用身份认证,防止重要系统非授权访问。,5,、重要数据防护:是否加密、做没做备份。,6,、门户网站安全管理:是否有网页防篡改措施、是否有网站信息发布管理制度。,7,、终端计算机安全管理:是否有统一平台对终端计算机进行集中管理、是否有接入互联网安全控制措施。,8,、存储介质安全管理:主要是移动存储介质管理,是否在涉密计算机(网络)上使用。,网络安全,15,个方法加强计算机网络安全,1,、取消文件夹隐藏共享,在默认状态下,,Windows 2000/XP,会开启所有分区的隐藏共享,从“控制面板,/,管理工具,/,计算机管理”窗口下选择“系统工具,/,共享文件夹,/,共享”,就可以看到硬盘上的每个分区名后面都加了一个“,$”,。网络用户只要键入“,计算机名或者,IPC$”,,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统,Administrator,的密码都为空,入侵者可以轻易看到,C,盘的内容,这就给网络安全带来了极大的隐患。,网络安全,怎么来消除默认共享呢?,方法很简单,打开注册表编辑器,进入“,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,,新建一个名为“,AutoShareWKs”,的双字节值,并将其值设为“,0”,,然后重新启动电脑,这样共享就取消了。,网络安全,2,、拒绝恶意代码,恶意网页成了宽带的最大威胁之一。以前使用,Modem,,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。,一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。,网络安全,解决方法:,运行,IE,浏览器,点击“工具,/Internet,选项,/,安全,/,自定义级别”,将安全级别定义为“安全级,-,高”,对“,ActiveX,控件和插件”中第,2,、,3,项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用,IE,浏览网页时,就能有效避免恶意网页中恶意代码的攻击。,网络安全,3,、删掉不必要的协议,对于服务器和主机来说,一般只安装,TCP/IP,协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中,NETBIOS,是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在,TCP/IP,协议的,NETBIOS,关闭,避免针对,NETBIOS,的攻击。选择“,TCP/IP,协议,/,属性,/,高级”,进入“高级,TCP/IP,设置”对话框,选择“,WINS”,标签,勾选“禁用,TCP/IP,上的,NETBIOS”,一项,关闭,NETBIOS,。,网络安全,网络安全,4,、关闭“文件和打印共享”,文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。,网络安全,虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”,主键,在该主键下新建,DWORD,类型的键值,键值名为“,NoFileSharingControl”,,键值设为“,1”,表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“,0”,表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。,网络安全,5,、禁止建立空连接,在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法是修改注册表:打开注册表“,HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”,,将,DWORD,值“,RestrictAnonymous”,的键值改为“,1”,即可。,网络安全,6,、到微软的网站下载补丁,微软经常会针对一些系统漏洞发布补丁程序,到微软的网站上下载这些补丁,可以堵住系统漏洞,防止黑客侵入。,网络安全,7,、隐藏,IP,地址,黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的,IP,地址。,IP,地址在网络安全上是一个很重要的概念,如果攻击者知道了你的,IP,地址,等于为他的攻击准备好了目标,他可以向这个,IP,发动各种进攻,如,DoS(,拒绝服务,),攻击、,Floop,溢出攻击等。隐藏,IP,地址的主要方法是使用代理服务器。,网络安全,与直接连接到,Internet,相比,使用代理服务器能保护上网用户的,IP,地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端,WWW,服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的,IP,地址而不是用户的,IP,地址,这就实现了隐藏用户,IP,地址的目的,保障了用户上网安全。,网络安全,网络安全,8,、关闭不必要的端口,黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如,Netwatch,),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“,Norton Internet Security”,关闭用来提供网页服务的,80,和,443,端口,其他一些不常用的端口也可关闭。,网络安全,9,、更换管理员帐户,Administrator,帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得,Administrator,帐户的密码,所以我们要重新配置,Administrator,帐号。,首先是为,Administrator,帐户设置一个强大复杂的密码,然后我们重命名,Administrator,帐户,再创建一个没有管理员权限的,Administrator,帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。,网络安全,10,、杜绝,Guest,帐户的入侵,Guest,帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,,Guest,也为黑客入侵打开了方便之门。,打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在,Guest,账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将,Administrator,账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。,网络安全,11,、安装必要的安全软件,我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。,网络安全,反病毒软件,网络安全,12,、防范木马程序,木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:,在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。,在“开始”“程序”“启动”或“开始”“程序”“,Startup”,选项里看是否有不明的运行项目,如果有,删除即可。,将注册表下的所有以“,Run”,为前缀的可疑程序全部删除即可。,网络安全,13,、不要随意打开和回复陌生人的邮件,有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。,网络安全,14,、做好,IE,的安全设置,ActiveX,控件和,Applets,有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。,IE,对此提供了多种选择,具体设置步骤是:“工具”“,Internet,选项”“安全”“自定义级别”,建议将,ActiveX,控件与相关选项禁用。,网络安全,网络安全,15,、防火墙,防火墙的作用是防止外部网络随意访问本网络内部的所有设备或资料,网络安全,保密技术防范常识,不得将涉密计算机及网络接入互联网及其他公共信息网络,不得在涉密计算机与非涉密计算机之间交叉使用优盘等移动存储介质,不得在未采取防护措施的情况下将互联网及其他公共信息网络上的数据复制的涉密计算机及网络,不得违规设置涉密计算机的口令,不得擅自在涉密计算机上安装软件或复制他人文件,不得将无线外围设备用于涉密计算机,不得将涉密计算机及移动存储介质通过普通邮寄渠道寄运或违规交由他人使用、保管,不得擅自携带涉密笔记本电脑及移动存储介质外出,不得擅自将处理涉密信息的计算机及移动存储介质、传真机、复印机等办公自动化设备交由外部人员维修,不得将未经专业销密的涉密计算机等办公自动化设备出售、赠送、丢弃,网络安全,保密技术防范常识,不得将处理涉密信息的多功能一体机与普通电话线路连接,不得在涉密场所中连接互联网的计算机上配备和安装视频、音频输入设备,不得将手机带入重要涉密场所,不得在连接互联网及其他公共信息网络的计算机上存储、处理涉密信息,不得在非涉密办公网络上存储、处理涉密信息,不得在政府门户网站上登载涉密信息,不得使用具有无线互联功能的计算机存储、处理涉密信息,不得使用个人计算机及移动存储介质存储、处理涉密信息,不得将未经保密技术检测的办公自动化设备备用于保密要害部门、部位,不得使用普通传真机、电话机和手机传输或谈论涉密信息,网络安全,谢 谢 !,
展开阅读全文