– 网络服务器的安全控制
• 控制在服务器控制台上执行的操作 • 比如设置口令锁定服务器控制台，以防止非法用户修改、删除重
要信息或破坏数据；可以设定服务器登录时间限制、非法访问者 检测和关闭的时间间隔。
– 网络监测和锁定控制：
• 网络管理员应对网络实施监控，服务器应记录用户对网络资源的 访问，对非法的网络访问，服务器应以图形或文字或声音等形式 报警 ，如果非法访问的次数达到设定数值，那么该帐户将被自 动锁定。
–公共管理信息协议CMIP：提供管理信息传输 服务的应用层协议
• IETF的网络管理协议
–简单网络管理协议SNMPv1/v2/v3
前页 后页 退出
ห้องสมุดไป่ตู้
CMIP协议
• X.710定义了公共管理信息服务CMIS，目的是通过源语 向应用进程提供交换系统管理的信息和指令的服务。 CMIS提供的服务可以是有连接的，也可以是无连接的； 可以是需要证实的，也可以是不需要证实的。
– 体系结构：通用的、开放的、可扩展的框架体系 – 核心服务：网络管理软件应具备的基本功能，包括网络搜索、
查错和纠错、支持大量设备、友好操作界面、报告工具、警 报通知和处理、配置管理等 – 应用程序：实现特定的事务处理和结构支持，主要包括高级 警报处理、网络仿真、策略管理和故障标记等
• 典型的网络管理软件包括：HP OpenView/3Com Transcend/Sun NetManager等
– 对辐射的防护
• 采用各种电磁屏蔽措施：如对设备的金属屏蔽和各种接插件的屏 蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；
• 干扰防护措施：即在计算机系统工作的同时，利用干扰装置产生 一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系 统的工作频率和信息特征。
前页 后页 退出
网络安全基础：安全策略
–网络软件的漏洞和“后门” ：黑客进行攻击的首选 目标
前页 后页 退出
网络安全基础：安全策略
• 物理安全策略：保护计算机、网络设备等硬件实体和 通信链路免受自然灾害、人为破坏和搭线攻击，其中 抑制和防止电磁泄漏是物理安全策略的一个主要问题。
– 对传导发射的防护，主要采取对电源线和信号线加装性能良 好的滤波器，减小传输阻抗和导线间的交叉耦合
前页 后页 退出
SNMP协议
• SNMP是被设计成与协议无关的，由一系列协议 组和规范组成，提供了一种从网络上的设备中 收集网络管理信息的方法：
–轮询方法
• 网络设施中的代理进程不断收集网络的通信信息和有关网 络设备的统计数据，并记录到管理信息库MIB中。NMS通过 向代理的MIB发出查询信号可以得到这些信息
前页 后页 退出
网络管理：功能（续）
• 五大功能（续）：
– 安全管理：按照本地的方针来控制对网络资源的访 问，以保证网络不被有意或无意地侵害，并保证敏 感信息不被那些未授权的用户访问
• 标识重要的网络资源（包括系统、文件和其它实体）； • 确定重要的网络资源和用户集间的映射关系； • 监视对重要网络资源的访问； • 记录对重要网络资源的非法访问；
• 信息加密策略：保护网内的数据、文件、口令 和控制信息，保护网上传输的数据。
–包括链路加密、端点加密和节点加密三种方式
前页 后页 退出
网络安全基础：安全策略
• 非技术性安全管理策略
–加强网络的安全管理，制定有关规章制度：
• 确定安全管理等级和安全管理范围 • 所有添加到网络基础设施中的新设备都应该符合特定的安
前页 后页 退出
Windows98安全策略
• 防止非法用户进入
– Regedit打开注册表：
“\HKEY－USER\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce”
在其下创建“字符串值”，名为“非法用户，退出”，字符串为 “Rundll.exe User.exe,Exitwindows”
全需求，每个站点必须指明支持其安全策略需要哪些安全 部件和功能 • 制订有关网络操作使用规程和人员管理制度 • 制定网络系统的维护制度和应急措施 • 对员工进行足够的安全意识培训等。
前页 后页 退出
Windows98安全策略
• 设置用户权限：
– 首先设置为每个用户采用不同的使用权限， 然后逐步增加新用户并进行设置
• 访问控制策略：保证网络资源不被非法使用和非法访 问
– 入网访问控制：
• 控制哪些用户能够登录到服务器并获取网络资源，控制准许用户 入网的时间和准许他们在哪台工作站入网
• 三个步骤：用户名的识别与验证、用户口令的识别与验证、用户 帐号的缺省限制检查
– 网络的权限控制：
• 针对网络非法操作所提出的一种安全保护措施。 • 用户和用户组被赋予一定的权限。网络控制用户和用户组可以访
前页 后页 退出
网络管理
• 远程网络监控RMON
– 收集所在网段的状态信息，并存储历史信息以获得网络运行 状况趋势
– 扩展SNMP的MIB-II，使SNMP更有效、积极主动地监控远程 设备
• 基于Web的网络管理技术
– 允许通过Web浏览器进行网络管理 – 两种实现方式
• 代理方式：在一个内部工作站上运行Web服务器（代理）。网络 管理软件负责将收集到的网络信息传送到浏览器（Web服务器代 理），并将传统管理协议（如SNMP）转换成Web协议（如HTTP）。
• 特性：
–CMIP不是通过轮询而是通过事件报告进行工作，由 网络中的各个设备监测设施在发现被检测设备的状 态和参数发生变化后及时向管理进程进行事件报告
–管理功能强大，它的参数不仅可以在管理站和管理 节点之间传递网管信息，而且可以要求管理节点执 行一些动作
–CMIP需要占用比SNMP多很多的资源。 –CMIP的程序非常难编写，CMIP定义的参数比较复杂
– 故障管理：检测、记录网络故障并通知给用户，尽可能自动 修复网络故障以使网络能有效地运行。
• 基本步骤
– 判断故障症状； – 隔离该故障； – 修复该故障； – 对所有重要子系统进行故障修复后测试； – 记录故障的检测及其解决结果。
• 主要功能：
– 接收差错报告并作出反应； – 建立维护差错日志，并进行分析； – 对差错诊断测试，追踪故障，并确定纠正故障的方法措施。
• 能够按天、按月、按IP地址或按单位提供网络的使用情况，在规 定的时间到来（比如一个月）的时候，根据本机数据库中的Email地址向有关单位或个人发送帐单；
• 可以将安装有网络计费软件的计算机配置成Web服务器，允许使 用单位和个人随时进行查询。
前页 后页 退出
网络管理：功能（续）
• 五大功能（续）：
• 嵌入式：将Web功能嵌入到网络设备中，每个设备有自己的Web地 址，管理员可通过浏览器直接访问并管理该设备
前页 后页 退出
网络管理软件
• 网管系统由支持网管协议的网管软件平台、网管支撑 软件、网管工作平台和支撑网管协议的网络设备组成。 其中网管软件平台提供网络系统的配置、故障、性能 及网络用户分布方面的基本管理，是网管系统的核心：
前页 后页 退出
Windows98安全策略
• 限制用户级别
前页 后页 退出
网络管理
• 网络管理技术的基本要求
–网络管理的跨平台性 –网络管理的分布性 –网络管理的安全性 – Internet/Intranet上各种服务的性能管理 –远程管理 –不同厂家网络设备的统一管理
前页 后页 退出
网络管理协议
• ISO网络管理标准
–公共管理信息服务CMIS：支持管理进程和管 理代理之间的通信要求
问哪些目录、子目录、文件和其他资源。
– 目录级的权限控制：
• 网络应允许控制用户对目录、文件、设备的访问。用户在目录一 级指定的权限对所有文件和子目录有效，用户还可进一步指定对 目录下的子目录和文件的权限。
前页 后页 退出
网络安全基础：安全策略
• 访问控制策略（续）
– 属性安全控制
• 将给定的属性与服务器的文件、目录和网络设备联系起来。属性 安全在权限安全的基础上提供更进一步的安全性。
网络管理体系结构
• 代理进程：维护其所驻留的被管设备的状态，并且通 过网络管理协议向NMS提供信息
• 网络管理系统收集被管设备的信息，并相应作出反应 • 管理代理是代表其他实体提供管理信息的实体
前页 后页 退出
网络管理：功能
• 五大功能：
– 性能管理：衡量和呈现网络特性的各个方面，使网络性能维 持在一个可以被接受的水平上。
前页 后页 退出
网络安全基础：安全策略
• 访问控制策略（续）
–网络端口和节点的安全控制
• 网络中服务器的端口往往使用自动回呼设备、静默调制解 调器加以保护，并以加密的形式来识别节点的身份。
–防火墙控制：
• 防火墙是确保基础设施完整性的一种常用方法。它通过在 网络边界上建立起来的相应网络通信监控系统来隔离内部 和外部网络，控制进/出两个方向的通信流。
• 管理信息以对象方式描述，所有的对象存放在MIB中。 在CMIP中，对象的变量被定义成非常复杂的数据结构， 有许多属性：
① 变量属性：表示变量的特性（如数据类型是否可写等）； ② 变量动作：说明可以启动什么样的动作； ③ 通知：每当一个特殊的事件发生时，就会产生一个事件报告。
前页 后页 退出
CMIP协议
• 收集网络管理者感兴趣的那些变量的性能数据； • 分析这些数据，以判断是否处于正常（基线）水平并产生相应的
报告； • 为每个重要的变量确定一个合适的性能阈值，超过该阈值就意味
着出现了应该注意的网络故障；
– 配置管理：监视网络和系统的配置信息，以便跟踪和管理不 同的软硬件元素对网络操作的作用。