计算机网络技术是干什么的(网络安全管理技术

网络安全研究的主要问题包括：网络防攻击技术和入侵检测技术、网络安全漏洞与对策的研究、网络中的信息安全问题、网络防病毒技术和网络数据备份与恢复、灾难恢复问等。

1.网络安全研究的主要问题

影响网络安全的因素有很多，但主要表现在网络自身的脆弱性和来自系统外部有意、无意的威胁。网络安全研究的主要问题包括以下几个方面。· 网络防攻击技术和入侵检测技术

表 网络攻击

定义

某些人或组织以非法窃取信息或破坏信息为目的试图侵入网络、滥用网络、破坏网络或影响网络正常运行的行为。

类型

服务攻击（application dependent attack） 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常。

非服务攻击（application independent attack） 不针对某项具体的应用服务，而是基于网络层等低层协议进行的，使得网络通信设备工作严重阻塞或瘫痪。

防攻击技术的研究内容

研究网络攻击常用的手段和工具；
找出网络系统的安全漏洞；
建立入侵检测系统，使网络安全管理员能及时地处理入侵警报，将网络攻击造成的损失降到最小；
根据网络攻击的特征采取相应的网络安全策略；建立健全的网络安全防护体系。

· 网络安全漏洞与对策的研究

网络信息系统的运行涉及计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件、网络通信协议等各个方面。在这些方面或多或少都存在着一定的安全漏洞，网络安全就是要研究这些存在的安全漏洞风险，采取相应的对策，防患于未然。

· 网络中的信息安全问题

网络中信息安全问题主要包括信息存储安全与信息传输安全。

（1）信息存储安全：如何保证静态存储在计算机网络终端中的信息不会被未授权的网络用户非法使用。

（2）信息传输安全：如何保证信息在网络传输的过程中不被窃取或攻击。信息传输过程中可能会遭受到非法用户不同类型的攻击，这些攻击的基本类型有：中断、窃听、篡改和伪造。

中断（interruption）：网络中未经授权的用户非法获取其他用户的通信内容，且造成信息传输中断，使接收方不能正常收到信息。这是对信息可用性的威胁。

窃听（interception）：网络中未经授权的用户非法获取其他用户的通信内容，且不影响目的用户对信息的掌握。这是对信息保密性的威胁。

篡改（modification）：网络中未经授权的用户非法获取正在传输的信息，并篡改了信息。这是对信息完整性的威胁。

伪造（fabrication）：网络中未经授权的用户非法获得合法用户的权限，并以其身份与其他用户进行欺诈通信。这也是对信息完整性的威胁。

· 防抵赖问题

表 防抵赖

定义

防止信息发送方或接收方否认信息发送或接收的行为。

防抵赖机制

当信息发出时，接收方可以证实信息是从声明的信息源节点发出的，反之，当接收方获取信息时，发送方能证实信息是由声明的信息目标节点接收的。

手段

身份认证、数字签名、数字信封、第三方确认。

· 网络内部安全防范

表 网络内部安全防范

主要解决

网络系统面临的来自网络内部的威胁这个问题。

主要防止

内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为。

主要行为

1.网络系统设置不当留下安全漏洞。
2.有意或无意泄露网络用户或网络管理员的口令。
3.违反网络安全规定，绕过防火墙，私自与外部网络连接，造成系统安全漏洞。
4.违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据。
5.违反网络使用规定，越权修改网络系统配置，造成网络工作不正常。

解决手段

1.靠先进的网络安全技术支持；
2.从管理入手通过安全立法、安全管理等。

· 网络防病毒技术

计算机病毒是网络攻击常用的工具之一。

表 计算机病毒

定义

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

特征

非授权可执行性、隐蔽性、传染性、潜伏性、破坏性、可触发性。

具体表现

利用各种方法对网络资源进行破坏；使网络不能正常工作；造成整个网络的瘫痪等。

常见病毒

引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马型病毒和Internet语言病毒等。

传播途径

网络

计算机病毒对网络系统构成的威胁越来越严重。因此，了解和预防计算机病毒的威胁就显得格外重要。

· 网络数据备份与恢复、灾难恢复问题

计算机网络面临着诸多的威胁，任何不利的因素都有可能造成计算机中数据的丢失，破坏数据的完整性和可用性。因此，就需要制定一个完整的数据备份和灾难恢复方案，一旦出现网络故障造成数据丢失，就能及时有效地恢复数据。

表 数据备份

定义

为防止计算机信息系统数据丢失或被破坏，而将全系统或部分数据集合复制到其他硬盘或磁盘阵列等存储介质上的过程。

类型

单机备份和网络备份

备份策略

确定备份数据的内容（不同的数据内容有完全备份、增量备份、差别备份、按需备份这几种方式）、备份类型、备份周期、备份方式（手工备份或自动备份）、备份介质等。

根据计算机系统自身的特点选择适合的数据备份类型，制定恰当的数据备份策略是必要的。而灾难恢复措施在整个备份中占有相当重要的地位，因为它关系到系统、软件与数据在经历灾难后能否快速、准确地恢复。

2.网络安全标准

网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中，需要参考的网络安全体系结构。其目的是保证网络安全功能的完备性和一致性，降低安全代价和管理开销。网络安全标准对于网络安全解决方案的设计、实现和管理都有重要意义。

· 网络安全模型

网络安全的基本模型如图所示。

图 网络安全模型

表 网络安全模型

传输信息步骤

首先在发送方和接收方之间建立一条逻辑通道，这就要先确定从发送端到接收端的路由，再选择该路由上使用的执行通信协议，如TCP/IP

网络安全模型基本部分

一是对发送信息进行安全转换；
如信息加密，以便实现信息的保密性，或附加一些特征码，以便进行身份验证等；
二是信息源终端和目标终端共享的秘密信息。
如加密密钥，除对可信任的第三方外，对其他用户是保密的。
三是一个可信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争议时进行仲裁。

· ISO/OSI安全体系结构

表 ISO安全体系结构

定位

开放式互连（OSI）参考模型的安全体系结构（以下简称ISO安全体系结构）是一个普遍适用的安全体系结构。

意义

对具体网络环境的安全体系结构具有指导意义。

核心内容

保证异构计算机系统之间远距离交换信息的安全。

理论基础

开放系统面临的威胁和其脆弱性的分析。

增加内容

安全服务（Security Service）、安全机制（Security Mechanism）和安全管理（Security Management），并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。ISO安全体系结构定义了5大类安全服务，提供了8大类安全机制以及相应的开放系统互联的安全管理，并根据具体系统适当配置于OSI模型的7层协议中。

具体内容

(1)提供安全体系结构所配备的安全服务（也称为安全功能）和有关安全机制在体系结构下的一般描述。
(2)确定体系结构内部可以提供相关安全服务的位置。
(3)保证完全准确地配置安全服务，并且一直维持于信息系统安全的生命周期中，安全功能必须满足一定强度的要求。
(4)一种安全服务可以通过某种单独的安全机制提供，也可以通过多种安全机制联合提供。一种安全机制可用于提供一种或多种安全服务。在OSI7层协议中除第5层（会话层）外，每一层均能提供相应的安全服务。

ISO安全体系结构

· ISO安全体系结构的安全服务

全策略。

· ISO安全体系结构的安全机制

安全服务依赖于安全机制的支持，ISO安全体系结构定义的安全机制如下表所示，可以分为两类：一类是在特定的协议层实现，称作特定安全机制，共有8种；一类不属于任何的协议层或安全服务，称作普遍安全机制，共有5种。可将一个或多个安全机制配置在适当的层次上以实现这些安全服务。

表 ISO安全体系结构的安全机制

分类

内容

特定安全机制（可以嵌入合适的协议层以提供一些OSI安全服务）

加密

运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和一个或多个加密密钥。

数字签名机制

附加于数据元之后的数据，它是对数据元的密码变换，可使接收方证明数据的来源和完整性，并防止伪造。

访问控制机制

对资源实施访问控制的各种机制。

数据完整性机制

用于保证数据元或数据流的完整性的各种机制。

认证交换机制

通过信息交换来保证实体身份的各种机制。

流量填充机制

在数据流空隙中插入若干位以阻止流量分析。

路由控制机制

能够为某些数据动态地或预定地选取路由，确保只使用物理上安全的子网络、中继站或链路。

公证机制

利用可信赖的第三方来保证数据交换的某些性质。

普遍安全机制（不局限于任何OSI安全服务或协议层的机制）

可信功能度

根据某些标准（如安全策略所设立的标准）被认为是正确的，就是可信的。

安全标志

资源（可能是数据元）的标志，以指明该资源的属性。

事件检测

检测与安全相关的事件。

安全审计跟踪

收集潜在可用于安全审计的数据，以便对系统的记录和活动进行独立的观察和检查。

安全恢复

处理来自诸如事件处置与管理功能等安全机制的请求，并采取恢复措施。

· 网络安全技术

ISO安全体系结构安全机制的架设是通过网络安全技术来实现的，网络安全技术可分为身份验证技术、数据完整性技术、跟踪审计技术和信息伪装技术4大类。

数据完整性技术：数据完整性技术是为了保持网络的物理完整性、维护数据的机密性、提供安全视图、保障通信安全。涉及数据完整性的相关技术有访问控制列表（ACL，Access Control List）、网络地址转换（NAT，Network Address Translate）、防火墙和加密技术等。

信息伪装技术：信息伪装技术成为密码学领域的一个热点，它涉及文本、音频、视频图像等信息的伪装，主要有数字水印、替声技术、隐身技术和叠像技术等。

跟踪审计技术：网络活动跟踪审计技术可以验证网络安全策略是否合适、确认安全策略是否执行、及时报告各种情况、记录遭受到的攻击、检测是否存在安全漏洞、统计是否有滥用网络及其他异常现象等。常用的跟踪审计技术有记账/日志、网络监控、入侵检测与防止、可疑活动实时报警等。

身份验证技术：身份验证包括身份识别和身份认证两个方面，它是确认通信双方真实身份的重要环节。常用的身份验证方法有用户名/口令、数字签名、数字认证、PAP（Password Authentication Protocol，口令认证协议）认证等。