計(jì)算機(jī)網(wǎng)絡(luò)安全與管理

網(wǎng)絡(luò)工程專業(yè)課件計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)喬杰第8章計(jì)算機(jī)網(wǎng)絡(luò)安全與管理

引入計(jì)算機(jī)網(wǎng)絡(luò)安全在目前是一個(gè)很重要的課題學(xué)習(xí)目標(biāo)本章主要內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)、網(wǎng)絡(luò)攻擊的主要手段和網(wǎng)絡(luò)安全控制技術(shù)。系統(tǒng)升級(jí)和漏洞修補(bǔ)、Windows防火墻、

網(wǎng)絡(luò)管理的概念、網(wǎng)絡(luò)故障診斷與排除。課程內(nèi)容

計(jì)算機(jī)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全立法黑客攻擊的主要手段和網(wǎng)絡(luò)安全控制技術(shù)Windows2003安全配置技術(shù)網(wǎng)絡(luò)管理技術(shù)8.1.1網(wǎng)絡(luò)安全基本概念隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全已成為網(wǎng)絡(luò)發(fā)展中的一個(gè)重要課題。由于網(wǎng)絡(luò)傳播信息快捷，隱蔽性強(qiáng)，在網(wǎng)絡(luò)上難以識(shí)別用戶的真實(shí)身份，網(wǎng)絡(luò)犯罪、黑客攻擊、有害信息傳播等方面的問題日趨嚴(yán)重。計(jì)算機(jī)網(wǎng)絡(luò)安全,從廣義上講指存在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)資源處于一種受保護(hù)的狀態(tài)，不會(huì)因?yàn)橐馔馐鹿驶驉阂饽康亩黄茐摹⒋鄹暮托孤?。從狹義的角度講，計(jì)算機(jī)網(wǎng)絡(luò)的核心就是網(wǎng)絡(luò)數(shù)據(jù)的安全，即使用各種網(wǎng)絡(luò)安全技術(shù)，保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存貯的信息的機(jī)密性、完整性和真實(shí)性，并具有對(duì)網(wǎng)絡(luò)上數(shù)據(jù)的控制能力。8.1網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)從概念上來看，網(wǎng)絡(luò)和安全是根本矛盾的。網(wǎng)絡(luò)的設(shè)計(jì)目的是盡可能地實(shí)現(xiàn)一臺(tái)計(jì)算機(jī)的開放性，而安全則要盡可能地實(shí)現(xiàn)一臺(tái)計(jì)算機(jī)的封閉性。因此，在現(xiàn)實(shí)中，計(jì)算機(jī)網(wǎng)絡(luò)的安全性，實(shí)際上是在二者中尋找到一個(gè)平衡點(diǎn)，一個(gè)可以讓所有用戶都可能接受的平衡點(diǎn)。從這個(gè)意義上講，網(wǎng)絡(luò)安全是一個(gè)無窮無盡的主題。在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，沒有終極的安全方案。網(wǎng)絡(luò)安全包括五個(gè)基本要素：保密性、完整性、可用性、可控性與可審查性。(1)保密性，確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。(2)完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。(3)可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。(4)可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。(5)可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

8.1.2網(wǎng)絡(luò)安全的五個(gè)要素8.1.3網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)中比較流行的是美國(guó)國(guó)防部1995年制定的可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則，各國(guó)根據(jù)自己的國(guó)情也制定了相關(guān)標(biāo)準(zhǔn)。

（1）我國(guó)評(píng)價(jià)標(biāo)準(zhǔn) 1999年10月經(jīng)過國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》將計(jì)算機(jī)安全保護(hù)劃分為以下5個(gè)級(jí)別?！?/p>

第l級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。●第2級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)?！竦?級(jí)為安安全標(biāo)標(biāo)記保保護(hù)級(jí)級(jí)：除除繼承承前一一個(gè)級(jí)級(jí)別的的安全全功能能外，，還要要求以以訪問問對(duì)象象標(biāo)記記的安安全級(jí)級(jí)別限限制訪訪問者者的訪訪問權(quán)權(quán)限，，實(shí)現(xiàn)現(xiàn)對(duì)訪訪問對(duì)對(duì)象的的強(qiáng)制制保護(hù)護(hù)?！竦?級(jí)為結(jié)結(jié)構(gòu)化化保護(hù)護(hù)級(jí)：：在繼繼承前前面安安全級(jí)級(jí)別安安全功功能的的墓礎(chǔ)礎(chǔ)上，，將安安全保保護(hù)機(jī)機(jī)制劃劃分為為關(guān)鍵鍵部分分和非非關(guān)鍵鍵部分分，對(duì)對(duì)關(guān)鍵鍵部分分直接接控制制訪問問者對(duì)對(duì)訪問問對(duì)象象的存存取，，從而而加強(qiáng)強(qiáng)系統(tǒng)統(tǒng)的抗抗?jié)B透透能力力?！竦诘?級(jí)級(jí)為訪訪問驗(yàn)驗(yàn)證保保護(hù)級(jí)級(jí)：這這一個(gè)個(gè)級(jí)別別特別別增設(shè)設(shè)了訪訪問驗(yàn)驗(yàn)證功功能，，負(fù)責(zé)責(zé)仲裁裁訪問問者對(duì)對(duì)訪問問對(duì)象象的所所有訪訪問活活動(dòng)。。我國(guó)是是國(guó)際際標(biāo)準(zhǔn)準(zhǔn)化組組織的的成員員國(guó)，，信息息安全全標(biāo)準(zhǔn)準(zhǔn)化工工作在在各方方面的的努力力下正正在積積極開開展之之中。。從20世世紀(jì)80年年代中中期開開始，，自主主制定定和采采用了了一批批相應(yīng)應(yīng)的信信息安安全標(biāo)標(biāo)準(zhǔn)。。但是是，應(yīng)應(yīng)該承承認(rèn)，，標(biāo)準(zhǔn)準(zhǔn)的制制定需需要較較為廣廣泛的的應(yīng)用用經(jīng)驗(yàn)驗(yàn)和較較為深深入的的研究究背景景。這這兩方方面的的差距距，使使我國(guó)國(guó)的信信息安安全標(biāo)標(biāo)準(zhǔn)化化工作作與國(guó)國(guó)際已已有的的工作作相比比，覆覆蓋的的范圍圍還不不夠大大，宏宏觀和和微觀觀的指指導(dǎo)作作用也也有待待進(jìn)一一步提提高。。(2)國(guó)際際評(píng)價(jià)價(jià)標(biāo)準(zhǔn)準(zhǔn)根據(jù)美美國(guó)國(guó)國(guó)防部部和國(guó)國(guó)家標(biāo)標(biāo)準(zhǔn)局局的《《可信信計(jì)算算機(jī)系系統(tǒng)評(píng)評(píng)測(cè)標(biāo)標(biāo)準(zhǔn)》》可將將系統(tǒng)統(tǒng)分成成4類共7級(jí)：D級(jí)：級(jí)級(jí)別最最低，，保護(hù)護(hù)措施施少，，沒有有安全全功能能：屬屬于這這個(gè)級(jí)級(jí)別的的操作作系統(tǒng)統(tǒng)有DOS和Windows9x等。C級(jí)：自自定義義保護(hù)護(hù)級(jí)。。安全全特點(diǎn)點(diǎn)是系系統(tǒng)的的對(duì)象象可由由系統(tǒng)統(tǒng)的主主題自自定義義訪問問權(quán)。。C1級(jí)：自自主安安全保保護(hù)級(jí)級(jí)，能能夠?qū)崒?shí)現(xiàn)對(duì)對(duì)用戶戶和數(shù)數(shù)據(jù)的的分離離，進(jìn)進(jìn)行自自主存存取控控制數(shù)數(shù)據(jù)保保護(hù)以以用戶戶組為為單位位；C2級(jí)：受受控訪訪問級(jí)級(jí)，實(shí)實(shí)現(xiàn)了了更細(xì)細(xì)粒度度的自自主訪訪問控控制，，通過過登錄錄規(guī)程程安全全性相相關(guān)事事件以以隔離離資源源。能夠達(dá)達(dá)到C2級(jí)別的的常見見操作作系統(tǒng)統(tǒng)有如如下幾幾種：：(1)Unix/Linux系統(tǒng)：：(2)Novell3．X或者更更高版版本；；(3)WindowsNT，Windows2000和Windows2003。B級(jí)：強(qiáng)強(qiáng)制式式保護(hù)護(hù)級(jí)。。其安安全特特點(diǎn)在在于由由系統(tǒng)統(tǒng)強(qiáng)制制的安安全保保護(hù)。。B1級(jí)：標(biāo)標(biāo)記安安全保保護(hù)級(jí)級(jí)。對(duì)對(duì)系統(tǒng)統(tǒng)的數(shù)數(shù)據(jù)進(jìn)進(jìn)行標(biāo)標(biāo)記，，并對(duì)對(duì)標(biāo)記記的主主體和和客體體實(shí)施施強(qiáng)制制存取取控制制；B2級(jí)：結(jié)構(gòu)化化安全保護(hù)護(hù)級(jí)。建立立形式化的的安全策略略模型，并并對(duì)系統(tǒng)內(nèi)內(nèi)的所有主主體和客體體實(shí)施自主主訪問和強(qiáng)強(qiáng)制訪問控控制；B3級(jí)：安全域域。能夠滿滿足訪問監(jiān)監(jiān)控器的要要求，提供供系統(tǒng)恢復(fù)復(fù)過程。A級(jí)：可驗(yàn)證證的保護(hù)。。A1級(jí)：與與B3級(jí)類類似，但擁?yè)碛姓降牡姆治黾皵?shù)數(shù)學(xué)方法。。8.1.4網(wǎng)絡(luò)絡(luò)安全的意意義目前研究網(wǎng)網(wǎng)絡(luò)安全已已經(jīng)不只為為了信息和和數(shù)據(jù)的安安全性,網(wǎng)絡(luò)安全已已經(jīng)滲透到到國(guó)家的經(jīng)經(jīng)濟(jì)，軍事事等領(lǐng)域。。1.網(wǎng)絡(luò)安安全與政治治目前我國(guó)政政府上網(wǎng)已已經(jīng)大規(guī)模模地發(fā)展起起來，電子子政務(wù)工程程已經(jīng)在全全國(guó)啟動(dòng)并并在北京試試點(diǎn),政府府網(wǎng)絡(luò)的安安全直接代代表了國(guó)家家的形象。。1999年到2001年，，我國(guó)一些些政府網(wǎng)站站遭受了4次大的黑黑客攻擊事事件。第1次在1999午1月份左右，，美國(guó)黑客客組織“美美國(guó)地下軍軍團(tuán)”聯(lián)合合了波蘭組組織及其他他的黑客組組織，有組組織地對(duì)我我國(guó)的政府府網(wǎng)站進(jìn)行行了攻擊。。第2次是在1999年7月，臺(tái)灣李李登輝提出出兩國(guó)論的的時(shí)候。第3次是在2000年，月8號(hào)，美國(guó)轟轟炸我國(guó)駐駐南聯(lián)盟大大使館后。。第4次是在在2001年4月到到5月，美美國(guó)戰(zhàn)機(jī)撞撞毀王偉戰(zhàn)戰(zhàn)機(jī)并侵入入我國(guó)海南南機(jī)場(chǎng)后。。2.網(wǎng)絡(luò)安安全與經(jīng)濟(jì)濟(jì)我國(guó)計(jì)算機(jī)機(jī)犯罪的增增長(zhǎng)速度超超過了傳統(tǒng)統(tǒng)的犯罪，，1997年20多多起，1998年142起，，1999年908起，2000年上上半年1420起，，再后來就就沒有辦法法統(tǒng)計(jì)了。。利用計(jì)算算機(jī)實(shí)施金金融犯罪已已經(jīng)津透到到了我國(guó)金金融行業(yè)的的各項(xiàng)業(yè)務(wù)務(wù)．近幾年年已經(jīng)破獲獲和掌握的的犯罪案件件100多多起，涉及及的金額達(dá)達(dá)幾十個(gè)億億。2000年2月黑客攻擊擊的浪潮，，是互聯(lián)網(wǎng)網(wǎng)問世以來來最為嚴(yán)重重的黑客事事件。1999年4月26日，臺(tái)灣人人編制的CIH病毒的大爆爆發(fā)，據(jù)統(tǒng)統(tǒng)計(jì)，我國(guó)國(guó)受其影響響的PC機(jī)總量達(dá)36萬臺(tái)之多。。有人估計(jì)計(jì)在這次事事件中，經(jīng)經(jīng)濟(jì)損失高高達(dá)12億元。1996年4月16日，美國(guó)金金融時(shí)報(bào)報(bào)報(bào)道，接入入Internet的計(jì)算機(jī)，，達(dá)到了平平均每20秒鐘被黑客客成功地入入侵一次的的新記錄。。3.網(wǎng)絡(luò)安安全與社會(huì)會(huì)穩(wěn)定互聯(lián)網(wǎng)上散散布的虛假假信息、有有害信息對(duì)對(duì)社會(huì)管理理秩序造成成的危害，，要比現(xiàn)實(shí)實(shí)社會(huì)中一一個(gè)謠言大大得多。1999年年4月，河河南商都熱熱線的一個(gè)個(gè)BBS上上，一張說說交通銀行行鄭州支行行行長(zhǎng)攜巨巨款外逃的的帖子，造造成了社會(huì)會(huì)的動(dòng)蕩，，三天十萬萬人上街排排隊(duì)，一天天提款十多多億。2001年2月8日正正是春節(jié)期期間，新浪浪網(wǎng)遭受攻攻擊，電子子郵件服務(wù)務(wù)器癱瘓了了18個(gè)小小時(shí)，造成成了幾百萬萬用戶無法法正常聯(lián)絡(luò)絡(luò)。4.網(wǎng)絡(luò)安安全與軍事事在第二次世世界大戰(zhàn)中中，美國(guó)破破譯了日本本人的密碼碼，幾乎全全殲山本五五十六的艦艦隊(duì)，重創(chuàng)創(chuàng)日本海軍軍。目前的的軍事戰(zhàn)爭(zhēng)爭(zhēng)更是信息息化戰(zhàn)爭(zhēng)，，下面是美美國(guó)三位知知名人士對(duì)對(duì)目前網(wǎng)絡(luò)絡(luò)的描述。。美國(guó)著名未未來學(xué)家阿阿爾溫·托托爾勒說過過“掌握了了信息，控控制了網(wǎng)絡(luò)絡(luò)，誰將擁?yè)碛姓麄€(gè)世世界”。美國(guó)前總統(tǒng)統(tǒng)克林頓說說過“今后后的時(shí)代，，控制世界界的國(guó)家將將不是靠軍軍事，而是是靠信息能能力走在前前面的國(guó)家家”。美國(guó)前陸軍軍參謀長(zhǎng)沙沙利文上將將說過“信信息時(shí)代的的出現(xiàn)，將將從根本上上改變戰(zhàn)爭(zhēng)爭(zhēng)的進(jìn)行方方式”。課程內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全概述述網(wǎng)絡(luò)安全立立法黑客攻擊的的主要手段段和網(wǎng)絡(luò)安全控制技技術(shù)Windows2003安安全配置技技術(shù)網(wǎng)絡(luò)管理技技術(shù)8.2網(wǎng)網(wǎng)絡(luò)安安全立法8.2.1網(wǎng)絡(luò)絡(luò)安全立法法概述人們的閱讀讀、交流、、娛樂乃至至商業(yè)活動(dòng)動(dòng)越來越多多地在網(wǎng)上上進(jìn)行，世世界被網(wǎng)絡(luò)絡(luò)緊緊地連連在了一起起。可是，，網(wǎng)絡(luò)世界界也有黑暗暗的一面，，那就是網(wǎng)網(wǎng)絡(luò)犯罪。。面對(duì)日益益增多的網(wǎng)網(wǎng)絡(luò)犯罪，，為了有效效打擊網(wǎng)絡(luò)絡(luò)犯罪，制制定相關(guān)的的法律法規(guī)規(guī)，成為遏遏制網(wǎng)絡(luò)犯犯罪的有力力武器，為為此世界各各國(guó)都制定定了相關(guān)的的法律。8.2.2我國(guó)國(guó)立法情況況目前網(wǎng)絡(luò)安安全方面的的法規(guī)已經(jīng)經(jīng)寫入《中中華人民共共和國(guó)憲法法》。于1982年8月23口寫入《中中華人民共共和國(guó)商標(biāo)標(biāo)法》，于于1984年3月12日寫入《中中華人民共共和國(guó)專利利法》，于于1988年9月5日寫入《中中華人民共共和國(guó)保守守國(guó)家秘密密法》，于于1993年9月2日寫入《中中華人民共共和國(guó)反不不正當(dāng)競(jìng)爭(zhēng)爭(zhēng)法》。網(wǎng)絡(luò)安全方方面的法規(guī)規(guī)，已經(jīng)增增加了相關(guān)關(guān)的條款到到國(guó)家法律律。為了加加強(qiáng)對(duì)計(jì)算算機(jī)犯罪的的打擊力度度，在1997年對(duì)對(duì)刑法進(jìn)行行重新訂訂訂時(shí)，加進(jìn)進(jìn)了以下計(jì)計(jì)算機(jī)犯罪罪的條款。。第二百八十十五條違反反國(guó)家規(guī)定定，侵入國(guó)國(guó)家事務(wù)，，國(guó)防建設(shè)設(shè)、尖端科科學(xué)技術(shù)領(lǐng)領(lǐng)域的計(jì)算算機(jī)信息系系統(tǒng)的，處處三年以下下有期徒刑刑或者拘役役。第二百八十十六條違反反國(guó)家規(guī)定定，對(duì)計(jì)算算機(jī)信息系系統(tǒng)功能進(jìn)進(jìn)行刪除、、修改、增增加、干擾擾，造成計(jì)計(jì)算機(jī)信息息系統(tǒng)不能能正常運(yùn)行行，后果嚴(yán)嚴(yán)重的，處處五年以下下有期徒刑刑或者拘役役，后果特特別嚴(yán)重的的，處五年年以上有期期徒刑。違違反國(guó)家規(guī)規(guī)定，對(duì)計(jì)計(jì)算機(jī)信息息系統(tǒng)中存存儲(chǔ)，處理理或者傳輸輸?shù)臄?shù)據(jù)和和應(yīng)用程序序進(jìn)行刪除除、修改、、增加的操操作，后果果嚴(yán)重的，，依照前款款的規(guī)定處處罰。故意意制作、傳傳播計(jì)算機(jī)機(jī)病毒等破破壞性程序序。影響計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)正常運(yùn)行行，后果嚴(yán)嚴(yán)重的，依依照第一款款的規(guī)定處處罰。第二百八十十七條利用用計(jì)算機(jī)實(shí)實(shí)施金融詐詐騙，盜竊竊、貪污、、挪用公款款、竊取國(guó)國(guó)家秘密或或者其他犯犯罪的，依依照本法有有關(guān)規(guī)定定定罪處罰。。計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全方面面的法規(guī)，，已經(jīng)寫入入國(guó)家條例例和管理辦辦法。于1991年年6月4日日寫入《計(jì)計(jì)算機(jī)軟件件保護(hù)條例例》，于1994年年2月18日寫入《《中華人民民共和國(guó)計(jì)計(jì)算機(jī)信息息系統(tǒng)安全全保護(hù)條例例》，于1999年年10月7日寫入入《商用密密碼管理?xiàng)l條例》，于于2000年9月20日寫入入《互聯(lián)網(wǎng)網(wǎng)信息服務(wù)務(wù)管理辦法法》，于2000年年9月25日寫入《《中華人民民共和國(guó)電電信條例》》，于2000年12月29日寫入《《全國(guó)人大大常委會(huì)關(guān)關(guān)于網(wǎng)絡(luò)安安全和信息息安全的決決定》。8.2.3國(guó)國(guó)際立法情情況美國(guó)和日本本是計(jì)算機(jī)機(jī)網(wǎng)絡(luò)安全全比較完善善的國(guó)家機(jī)機(jī)網(wǎng)絡(luò)安全全方面的法法規(guī)還不夠夠完善。一一些發(fā)展中中國(guó)家和第第三世界國(guó)國(guó)家的計(jì)算算機(jī)網(wǎng)絡(luò)安安全方面的的法規(guī)還不不完善。歐洲共同體體是一個(gè)在在歐洲范圍圍內(nèi)具有較較強(qiáng)影響力力的政府間間組織。為為在共同體體內(nèi)正常地地進(jìn)行信息息市場(chǎng)運(yùn)作作，該組織織在諸多問問題上建立立了一系列列法律，具具體包括：：競(jìng)爭(zhēng)(反反托拉斯)法，產(chǎn)品品責(zé)任、商商標(biāo)和廣告告規(guī)定法，，知識(shí)產(chǎn)權(quán)權(quán)保護(hù)法，，保護(hù)軟件件、數(shù)據(jù)和和多媒體產(chǎn)產(chǎn)品及在線線版權(quán)法，，以及數(shù)據(jù)據(jù)保護(hù)法、、跨境電子子貿(mào)易法、、稅收法、、司法等。。這些法律律若與其成成員國(guó)原有有國(guó)家法律律相矛盾，，則必須以以共同體的的法律為準(zhǔn)準(zhǔn)。返回本章首首頁(yè)課程內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全概述述網(wǎng)絡(luò)安全立立法黑客攻擊的的主要手段段和網(wǎng)絡(luò)安全控制技技術(shù)Windows2003安安全配置技技術(shù)網(wǎng)絡(luò)管理技技術(shù)8.3黑黑客攻攻擊的主要要手段和網(wǎng)網(wǎng)絡(luò)安全控控制技術(shù)8.3.1黑客客攻擊的主主要手段涉及網(wǎng)絡(luò)安安全的問題題很多，但但最主要的的問題還是是人為攻擊擊，黑客就就是最具有有代表性的的一類群體體。黑客在在世界各地地四處出擊擊，尋找機(jī)機(jī)會(huì)襲擊網(wǎng)網(wǎng)絡(luò)，幾乎乎到了無孔孔不入的地地步。有不不少黑客襲襲擊網(wǎng)絡(luò)時(shí)時(shí)并不是懷懷有惡意,他們多數(shù)數(shù)情況下只只是為了表表現(xiàn)和證實(shí)實(shí)自己在計(jì)計(jì)算機(jī)方面面的天分與與才華，但但也有一些些黑客的網(wǎng)網(wǎng)絡(luò)襲擊行行為是有意意地對(duì)網(wǎng)絡(luò)絡(luò)進(jìn)行破壞壞。黑客客(Hacker)指指那那些些利利用用技技術(shù)術(shù)手手段段進(jìn)進(jìn)入入其其權(quán)權(quán)限限以以外外計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)的的人人。。在在虛虛擬擬的的網(wǎng)網(wǎng)絡(luò)絡(luò)世世界界里里，，活活躍躍著著這這批批特特殊殊的的人人，，他他們們是是真真正正的的程程序序員員，，有有過過人人的的才才能能和和樂樂此此不不疲疲的的創(chuàng)創(chuàng)造造欲欲。。技技術(shù)術(shù)的的進(jìn)進(jìn)步步給給了了他他們們充充分分表表現(xiàn)現(xiàn)自自我我的的天天地地，，同同時(shí)時(shí)也也使使計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)世世界界多多了了一一份份災(zāi)災(zāi)難難，，一一般般人人們們把把他他們們稱稱之之為為黑黑客客(Hacker)或或駭駭客客(Cracker)，，前前者者更更多多指指的的是是具具有有反反傳傳統(tǒng)統(tǒng)精精神神的的程程序序員員，，后后者者更更多多指指的的是是利利用用工工具具攻攻擊擊別別人人的的攻攻擊擊者者，，具具有有明明顯顯貶貶義義。。但但無無論論是是黑黑客客還還是是駭駭客客，，都都是是具具備備高高超超的的計(jì)計(jì)算算機(jī)機(jī)知知識(shí)識(shí)的的人人。。1.口令入侵侵所謂口令入侵侵是指使用某某些合法用戶戶的賬號(hào)和口口令登錄到目目的主機(jī)，然然后再實(shí)施攻攻擊。使用這這種方法的前前提是必須先先得到該主機(jī)機(jī)上的某個(gè)合合法用戶的賬賬號(hào)，然后再再進(jìn)行合法用用戶口令的破破譯。2.放置特洛洛伊木馬程序序在古希臘人同同特洛伊人的的戰(zhàn)爭(zhēng)期間，，古希臘人佯佯裝撤退并留留下一只內(nèi)部部藏有士兵的的巨大木馬，，特洛伊人大大意中計(jì)，將將木馬拖人特特洛伊城。夜夜晚木馬中的的希臘士兵出出來與城外戰(zhàn)戰(zhàn)士里應(yīng)外合合，攻破了特特洛伊城，特特洛伊木馬的的名稱也就由由此而來。在計(jì)算機(jī)領(lǐng)域域里，有一類類特殊的程序序，黑客通過過它來遠(yuǎn)程控控制別人的計(jì)計(jì)算機(jī)，把這這類程序稱為為特洛伊木馬馬程序。從嚴(yán)嚴(yán)格的定義來來講，凡是非非法駐留在目目標(biāo)計(jì)算機(jī)里里，在目標(biāo)計(jì)計(jì)算機(jī)系統(tǒng)啟啟動(dòng)的時(shí)候自自動(dòng)運(yùn)行，并并在目標(biāo)計(jì)算算機(jī)上執(zhí)行一一些事先約定定的操作，比比如竊取口令令等，這類程程序都可以稱稱為特洛伊木木馬程序。特洛伊木馬程程序一般分為為服務(wù)器端(Server)和客戶戶端(Client)服服務(wù)器端是攻攻擊者傳到目目標(biāo)機(jī)器上的的部分，用來來在目標(biāo)機(jī)上上監(jiān)聽等待客客戶端連接過過來?？蛻舳硕耸怯脕砜刂浦颇繕?biāo)機(jī)器的的部分，放在在攻擊者的機(jī)機(jī)器上。特洛伊木馬程程序常被偽裝裝成工具程序序或游戲，一一旦用戶打開開了帶有特洛洛伊木馬程序序的郵件附件件或從網(wǎng)上直直接下載，或或執(zhí)行了這些些程序之后，，當(dāng)用戶連接接到因特網(wǎng)上上時(shí)，這個(gè)程程序就會(huì)把用用戶的IP地址及被預(yù)先先設(shè)定的端口口通知黑客。。黑客在收到到這些資料后后，再利用這這個(gè)潛伏其中中的程序，就就可以恣意修修改用戶的計(jì)計(jì)算機(jī)設(shè)定，，復(fù)制文件，，窺視用戶整整個(gè)硬盤內(nèi)的的資料等，從從而達(dá)到控制制用戶計(jì)算機(jī)機(jī)的目的?，F(xiàn)現(xiàn)在有許多這這樣的程序，，國(guó)外的此類類軟件有BackOriffice、Netbus等，國(guó)內(nèi)的此此類軟件有Netspy、冰河、廣外外女生等等。。3.DoS攻攻擊DoS是DenialofService的簡(jiǎn)稱，即即拒絕服務(wù)，，造成DoS的攻擊行為為被稱為DoS攻擊，其其目的是使計(jì)計(jì)算機(jī)或網(wǎng)絡(luò)絡(luò)無法提供正正常的服務(wù)。。最常見的DoS攻擊有有計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)帶寬攻擊和和連通性攻擊擊。帶寬攻擊擊指以極大的的通信量沖擊擊網(wǎng)絡(luò)，使得得所有可用網(wǎng)網(wǎng)絡(luò)資源都被被消耗殆盡，，最后導(dǎo)致合合法的用戶請(qǐng)請(qǐng)求無法通過過。連通性攻攻擊是指用大大量的連接請(qǐng)請(qǐng)求沖擊計(jì)算算機(jī)，使得所所有可用的操操作系統(tǒng)資源源都被消耗殆殆盡，最終計(jì)計(jì)算機(jī)無法再再處理合法用用戶的請(qǐng)求。。分布式拒絕服服務(wù)(DDoS，DistributedDentalofService)攻擊指借助于于客戶/服務(wù)器技術(shù)，，將多個(gè)計(jì)算算機(jī)聯(lián)合起來來作為攻擊平平臺(tái)，對(duì)一個(gè)個(gè)或多個(gè)目標(biāo)標(biāo)發(fā)動(dòng)DoS攻擊，從而成成倍地提高拒拒絕服務(wù)攻擊擊的威力。通通常，攻擊者者使用一個(gè)偷偷竊賬號(hào)將DDoS主控程序安裝裝在一個(gè)計(jì)算算機(jī)上，在一一個(gè)設(shè)定的時(shí)時(shí)間主控程序序?qū)⑴c大量代代理程序通信信，代理程序序已經(jīng)被安裝裝在因特網(wǎng)上上的許多計(jì)算算機(jī)上。代理理程序收到指指令時(shí)就發(fā)動(dòng)動(dòng)攻擊。利用用客戶/服務(wù)器技術(shù)，，主控程序能能在幾秒鐘內(nèi)內(nèi)激活成百上上千次代理程程序的運(yùn)行。。4.端口掃描描所謂端口掃描描，就是利用用Socket編程與目標(biāo)主主機(jī)的某些端端口建立TCP連接、進(jìn)行傳傳輸協(xié)議的驗(yàn)驗(yàn)證等，從而而偵知目標(biāo)主主機(jī)的掃描端端口是否處于于激活狀態(tài)、、主機(jī)提供了了哪些服務(wù)、、提供的服務(wù)務(wù)中是否含有有某些缺陷等等。常用的掃掃描方式有：：TCPconnect()掃描、TCPSYN掃描、TCPFIN掃描、IP段掃描和FTP返回攻擊等。。掃描器是一種種自動(dòng)撿測(cè)遠(yuǎn)遠(yuǎn)程或本地主主機(jī)安全性弱弱點(diǎn)的程序，，通過使用掃掃描器可以不不留痕跡的發(fā)發(fā)現(xiàn)遠(yuǎn)程服務(wù)務(wù)器的各種TCP端口的的分配及提供供的服務(wù)和它它們的軟件版版本。掃描器器并不是一個(gè)個(gè)直接的攻擊擊網(wǎng)絡(luò)漏洞的的程序，它僅僅能發(fā)現(xiàn)目標(biāo)標(biāo)主機(jī)的某些些內(nèi)在的弱點(diǎn)點(diǎn)。一個(gè)好的掃描描器能對(duì)它得得到的數(shù)據(jù)進(jìn)進(jìn)行分析，幫幫助用戶查找找目標(biāo)主機(jī)的的漏洞。但它它不會(huì)提供進(jìn)進(jìn)入一個(gè)系統(tǒng)統(tǒng)的詳細(xì)步驟驟。掃描器應(yīng)應(yīng)該有3項(xiàng)功功能；發(fā)現(xiàn)一一個(gè)主機(jī)或網(wǎng)網(wǎng)絡(luò)的能力；；一旦發(fā)現(xiàn)一一臺(tái)主機(jī)，有有發(fā)現(xiàn)什么服服務(wù)正運(yùn)行在在這臺(tái)主機(jī)上上的能力；通通過測(cè)試這些些服務(wù)，發(fā)現(xiàn)現(xiàn)漏洞的能力力。5.網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)聽網(wǎng)絡(luò)監(jiān)監(jiān)聽，，在網(wǎng)網(wǎng)絡(luò)安安全上上一直直是一一個(gè)比比較敏敏感的的話題題，作作為一一種發(fā)發(fā)展比比較成成熟的的技術(shù)術(shù)，監(jiān)監(jiān)聽在在協(xié)助助網(wǎng)絡(luò)絡(luò)管理理員監(jiān)監(jiān)測(cè)網(wǎng)網(wǎng)絡(luò)傳傳輸數(shù)數(shù)據(jù)，，排除除網(wǎng)絡(luò)絡(luò)故障障等方方面具具有不不可替替代的的作術(shù)術(shù)，因因而一一直備備受網(wǎng)網(wǎng)絡(luò)管管理員員的青青瞇。。然而而，在在另一一方面面網(wǎng)絡(luò)絡(luò)監(jiān)聽聽也給給以太太網(wǎng)的的安全全帶來來了極極大的的隱患患，許許多的的網(wǎng)絡(luò)絡(luò)入侵侵往往往都伴伴隨著著以太太網(wǎng)內(nèi)內(nèi)的網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)聽行行為，，從而而造成成口令令失竊竊、敏敏感數(shù)數(shù)據(jù)被被截獲獲等連連鎖性性安全全事件件。網(wǎng)絡(luò)監(jiān)監(jiān)聽是是主機(jī)機(jī)的一一種工工作模模式，，在這這種模模式下下，主主機(jī)可可以接接收到到本網(wǎng)網(wǎng)段在在同一一條物物理通通道上上傳輸輸?shù)乃行判畔?，，而不不管這這些信信息的的發(fā)送送方和和接收收方是是誰。。此時(shí)時(shí)若兩兩臺(tái)主主機(jī)進(jìn)進(jìn)行通通信的的信息息沒有有加密密，只只要使使用某某些網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)聽工工具就就可輕輕而易易舉地地截取取包括括口令令和賬賬號(hào)在在內(nèi)的的信息息資料料。Sniffer是一一個(gè)著著名的的監(jiān)聽聽工具具，它它可以以監(jiān)聽聽到網(wǎng)網(wǎng)上傳傳輸?shù)牡乃杏行畔⑾ⅰ?.欺欺騙攻攻擊欺騙攻攻擊是是攻擊擊者創(chuàng)創(chuàng)造一一個(gè)易易于誤誤解的的環(huán)境境，以以誘使使受攻攻擊者者進(jìn)入入并且且做出出缺乏乏安全全考慮慮的決決策。。欺騙騙攻擊擊就像像是一一場(chǎng)虛虛擬游游戲：：攻擊擊者在在受攻攻擊者者的周周圍建建立起起一個(gè)個(gè)錯(cuò)誤誤但是是令人人信服服的世世界。。如果果該虛虛擬世世界是是真實(shí)實(shí)的話話，那那么受受攻擊擊者所所做的的一切切都是是無可可厚非非的。。但遺遺憾的的是，，在錯(cuò)錯(cuò)誤的的世界界中似似乎是是合理理的活活動(dòng)可可能會(huì)會(huì)在現(xiàn)現(xiàn)實(shí)的的世界界中導(dǎo)導(dǎo)致災(zāi)災(zāi)難性性的后后果。。常見見的欺欺騙攻攻擊有有：(2)ARP欺欺騙。。通常常源主主機(jī)在在發(fā)送送一個(gè)個(gè)IP包之之前，，它要要到該該轉(zhuǎn)換換表中中尋找找和Ip包包對(duì)應(yīng)應(yīng)的MAC地址址。此此時(shí)，，若入入侵者者強(qiáng)制制目的的主機(jī)機(jī)Down掉(比如如發(fā)洪洪水包包)，，同時(shí)時(shí)把自自己主主機(jī)的的IP地址址改為為合法法目的的主機(jī)機(jī)的IP地地址，，然后后他發(fā)發(fā)一個(gè)個(gè)ping(iempo)給給源主主機(jī)，，要求求更新新主機(jī)機(jī)的ARP轉(zhuǎn)換換表，，主機(jī)機(jī)找到到該IP，，然后后在ARP表中中加入入新的的IP與MAC對(duì)應(yīng)應(yīng)關(guān)系系。合合法的的目的的主機(jī)機(jī)失效效了，，入侵侵主機(jī)機(jī)的MAC地址址變成成了合合法的的MAC地地址。。(3)IP欺騙。。IP欺騙由由若干干步驟驟組成成。首首先，，目標(biāo)標(biāo)主機(jī)機(jī)已經(jīng)經(jīng)選定定。其其次，，信任任模式式已被被發(fā)現(xiàn)現(xiàn)，井井找到到了一一個(gè)被被目標(biāo)標(biāo)主機(jī)機(jī)信任任的主主機(jī)。。黑客客為了了進(jìn)行行IP欺騙，，進(jìn)行行以下下工作作：使得被被信任任的主主機(jī)喪喪失工工作能能力，，同時(shí)時(shí)采樣樣目標(biāo)標(biāo)主機(jī)機(jī)發(fā)出出的TCP序列列號(hào)，，猜測(cè)測(cè)出它它的數(shù)數(shù)據(jù)序序列號(hào)號(hào)。然然后，，偽裝裝成被被信任任的主主機(jī)，，同時(shí)時(shí)建立立起與與目標(biāo)標(biāo)主機(jī)機(jī)基于于地址址驗(yàn)證證的應(yīng)應(yīng)用連連接。。如果果成功功，黑黑客可可以使使用一一種簡(jiǎn)簡(jiǎn)單的的命令令放置置一個(gè)個(gè)系統(tǒng)統(tǒng)后門門，以以進(jìn)行行非授授權(quán)操操作。。7.電子郵郵件攻擊電子郵件攻攻擊主要表表現(xiàn)為向目目標(biāo)信箱發(fā)發(fā)送電子郵郵件炸彈。。所謂的郵郵件炸彈實(shí)實(shí)質(zhì)上就是是發(fā)送地址址不詳且容容量龐大的的郵件垃圾圾。由于郵郵件信箱都都是有限的的，當(dāng)龐大大的郵件垃垃圾到達(dá)信信箱的時(shí)候候，就會(huì)把把信箱擠爆爆。同時(shí)，，由于它占占用了大量量的網(wǎng)絡(luò)資資源，常常常導(dǎo)致網(wǎng)絡(luò)絡(luò)塞車，它它常發(fā)生在在當(dāng)某人或或某公司的的所作所為為引起了某某些黑客的的不滿時(shí)，，黑客就會(huì)會(huì)通過這種種手段來發(fā)發(fā)動(dòng)進(jìn)攻，，以泄私憤憤。8.3.2網(wǎng)絡(luò)絡(luò)安全控制制技術(shù)為了保護(hù)網(wǎng)網(wǎng)絡(luò)信息的的安全可靠靠，除了運(yùn)運(yùn)用法律和和管理手段段外，還需需依靠技術(shù)術(shù)方法來實(shí)實(shí)現(xiàn)。網(wǎng)絡(luò)絡(luò)安全控制制技術(shù)目前前有：防火火墻技術(shù)、、加密技術(shù)術(shù)、用戶識(shí)識(shí)別技術(shù)、、訪問控制制技術(shù)、網(wǎng)網(wǎng)絡(luò)反病毒毒技術(shù)、網(wǎng)網(wǎng)絡(luò)安全漏漏洞掃描技技術(shù)、入侵侵檢測(cè)技術(shù)術(shù)等。1.防火墻墻技術(shù)防火墻技術(shù)術(shù)是近年來來維護(hù)網(wǎng)絡(luò)絡(luò)安全最重重要的手段段。從狹義義上說防火火墻是指安安裝了防火火墻軟件的的主機(jī)或路路由器系統(tǒng)統(tǒng)；從廣義義上說防火火墻還包括括包括整個(gè)個(gè)網(wǎng)絡(luò)的安安全策略和和安全行為為。加強(qiáng)防防火墻的使使用，可以以經(jīng)濟(jì)、有有效地保證證網(wǎng)絡(luò)安全全。一般將將防火墻內(nèi)內(nèi)的網(wǎng)絡(luò)稱稱為“可信信賴的網(wǎng)絡(luò)絡(luò)”，而將將外部的因因特網(wǎng)絡(luò)稱稱為“不可可信賴的網(wǎng)網(wǎng)絡(luò)”。防防火墻可用用來解決內(nèi)內(nèi)聯(lián)網(wǎng)和外外聯(lián)網(wǎng)的安安全問題。。但防火墻墻也不是萬萬能的，簡(jiǎn)簡(jiǎn)單地購(gòu)買買一個(gè)商用用的防火墻墻往往不能能得到所需需要的保護(hù)護(hù)，但正確確地使用防防火墻則可可將安全風(fēng)風(fēng)險(xiǎn)降低到到可接受水水平。換句話說，，防火墻的的作用就好好比一道安安全門，通通過這道““門”可以以控制進(jìn)出出網(wǎng)絡(luò)的所所有數(shù)據(jù)的的流通，另另一方面它它又要允許許網(wǎng)絡(luò)數(shù)據(jù)據(jù)的流通。。正是由于于這種網(wǎng)絡(luò)絡(luò)的管理機(jī)機(jī)制及安全全策略的不不同，才使使防火墻的的規(guī)則制訂訂呈現(xiàn)出不不同的表現(xiàn)現(xiàn)形式。歸歸納起來，，有兩種形形式，第一一種是除了了非允許不不可的都被被禁止，第第二種是除除了非禁止止不可的都都被允許。。其中第一一種形式的的特點(diǎn)是非非常安全但但可用性差差，第二種種形式的特特點(diǎn)是易用用但不夠安安全，所以以目前大多多數(shù)防火墻墻都在兩者者之間采取取折中的方方式制定規(guī)規(guī)則。2.加密技技術(shù)加密技術(shù)是是網(wǎng)絡(luò)信息息安全主動(dòng)動(dòng)的、開放放型的防范范手段，對(duì)對(duì)于敏感數(shù)數(shù)據(jù)應(yīng)采用用加密處理理，并且在在數(shù)據(jù)傳輸輸時(shí)采用加加密傳輸，，目前加密密技術(shù)主要要有兩大類類：一類是是基于對(duì)稱稱密鑰的加加密算法，，也稱私鑰鑰算法；另另一類是基基于非對(duì)稱稱密鑰的加加密算法，，也稱公鑰鑰算法。加密手段，，一般分軟軟件加密和和硬件加密密兩種。軟軟件加密成成本低而且且實(shí)用靈活活，更換也也方便，硬硬件加密效效率高，本本身安全性性高。密鑰鑰管理包括括密鑰產(chǎn)生生、分發(fā)、、更換等，，是數(shù)據(jù)保保密的重要要一環(huán)。何謂“密鑰鑰”？“密鑰”是是指一段用用來加密解解密的字符符串。

對(duì)稱加密密法使用這種方方法，客戶戶端與服務(wù)務(wù)器端所使使用的密鑰鑰是一樣的的，就像我我們用鑰匙匙將房子上上了鎖，需需要用同一一把鑰匙才才能把鎖打打開，這種種方法也稱稱之為私鑰鑰密法。

非對(duì)稱稱加密法法使用這種種方法，，客戶端端與服務(wù)務(wù)器端所所擁有的的密鑰是是不一樣樣的，客客戶端的的密鑰稱稱為公鑰鑰，而服服務(wù)端所所擁有的的則為私私鑰。公公鑰是用用來加密密用，可可放置在在公開場(chǎng)場(chǎng)合，不不限定任任何人領(lǐng)領(lǐng)??；經(jīng)經(jīng)公鑰加加密的資資料，只只能由私私鑰解密密，因此此私鑰通通常由提提供服務(wù)務(wù)的服務(wù)務(wù)商保管管。此方方法被稱稱之為公公鑰加密密法。3.用戶戶識(shí)別技技術(shù)用戶識(shí)別別和驗(yàn)證證也是一一種基本本的安全全技術(shù)。。其核心心是識(shí)別別訪問者者是否屬屬于系統(tǒng)統(tǒng)的合法法用戶，，目的是是防止非非法用戶戶進(jìn)入系系統(tǒng)。目目前一般般采用基基于對(duì)稱稱密鑰加加密或公公開密鑰鑰加密的的方法，，采用高高強(qiáng)度的的密碼技技術(shù)來進(jìn)進(jìn)行身份份認(rèn)證。。比較著著名的有有Kerberos、PGP等方法。。4.訪問問控制技技術(shù)訪問控制制是控制制不同用用戶對(duì)信信息資源源的訪問問權(quán)限。。根據(jù)安安全策略略，對(duì)信信息資源源進(jìn)行集集中管理理，對(duì)資資源的控控制粒度度有粗粒粒度和細(xì)細(xì)粒度兩兩種，可可控制到到文件、、Web的HTML頁(yè)面、圖圖形、CCT、Java應(yīng)用。5.網(wǎng)絡(luò)絡(luò)反病毒毒技術(shù)計(jì)算機(jī)病病毒從1981年首次次被發(fā)現(xiàn)現(xiàn)以來，，在近20多年年的發(fā)展展過程中中，在數(shù)數(shù)目和危危害性上上都在飛飛速發(fā)展展。因此此，計(jì)算算機(jī)病毒毒問題越越來越受受到計(jì)算算機(jī)用戶戶和計(jì)算算機(jī)反病病毒專家家的重視視，并且且開發(fā)出出了許多多防病毒毒的產(chǎn)品品。6.漏洞洞掃描技技術(shù)漏洞檢測(cè)測(cè)和安全全風(fēng)險(xiǎn)評(píng)評(píng)估技術(shù)術(shù)，可預(yù)預(yù)知主體體受攻擊擊的可能能性和具具體地指指證將要要發(fā)生的的行為和和產(chǎn)生的的后果。。該技術(shù)術(shù)的應(yīng)用用可以幫幫助分析析資源被被攻擊的的可能指指數(shù)，了了解支撐撐系統(tǒng)本本身的脆脆弱性，，評(píng)估所所有存在在的安全全風(fēng)險(xiǎn)。。網(wǎng)絡(luò)漏漏洞掃描描技術(shù)，，主要包包括網(wǎng)絡(luò)絡(luò)模擬攻攻擊、漏漏洞檢測(cè)測(cè)、報(bào)告告服務(wù)進(jìn)進(jìn)程、提提取對(duì)象象信息以以及評(píng)測(cè)測(cè)風(fēng)險(xiǎn)、、提供安安全建議議和改進(jìn)進(jìn)措施等等功能，，幫助用用戶控制制可能發(fā)發(fā)生的安安全事件件，最大大可能地地消除安安全隱患患。7.入侵侵檢測(cè)技技術(shù)入侵行為為主要是是指對(duì)系系統(tǒng)資源源的非授授權(quán)使用用。它可可以造成成系統(tǒng)數(shù)數(shù)據(jù)的丟丟失和破破壞，可可以造成成系統(tǒng)拒拒絕合法法用戶的的服務(wù)等等危害。。入侵檢檢測(cè)是一一種增強(qiáng)強(qiáng)系統(tǒng)安安全的有有效技術(shù)術(shù)。其目目的就是是檢測(cè)出出系統(tǒng)中中違背系系統(tǒng)安全全性規(guī)則則或者威威脅到系系統(tǒng)安全全的活動(dòng)動(dòng)。檢測(cè)測(cè)時(shí)，通通過對(duì)系系統(tǒng)中用用戶行為為或系統(tǒng)統(tǒng)行為的的可疑程程度進(jìn)行行評(píng)估，，并根據(jù)據(jù)評(píng)估結(jié)結(jié)果來鑒鑒別系統(tǒng)統(tǒng)中行為為的正常常性，從從而幫助助系統(tǒng)管管理員進(jìn)進(jìn)行安全全管理或或?qū)ο到y(tǒng)統(tǒng)所受到到的攻擊擊采取相相應(yīng)的對(duì)對(duì)策。返回本章章首頁(yè)課程內(nèi)容容計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全全概述網(wǎng)絡(luò)安全全立法黑客攻擊擊的主要要手段和和網(wǎng)絡(luò)安全控制制技術(shù)Windows2003安安全配置置技術(shù)網(wǎng)絡(luò)管理理技術(shù)微軟為了了提高Windows2003的安全進(jìn)進(jìn)行了很很多技術(shù)術(shù)上的創(chuàng)創(chuàng)新，Windows2003在安全方方面比以以前的Windows系統(tǒng)有很很大的提提高，但但Windows2003的安全問問題同樣樣不容忽忽視。8.4Windows2003安全全配置技技術(shù)微軟通常常會(huì)不定定期的推推出針對(duì)對(duì)系統(tǒng)更更新的ServicePack，ServicePack的安裝是系統(tǒng)統(tǒng)安全必不可可少的環(huán)節(jié)，，ServicePack的推出一般周周期較長(zhǎng)，象象Windows2003標(biāo)準(zhǔn)版是2003年發(fā)行的，微微軟直到2005年4月才推出ServicePack1。針對(duì)系統(tǒng)漏漏洞方面的補(bǔ)補(bǔ)丁微軟一般般會(huì)單獨(dú)提供供補(bǔ)丁程序，，如大家熟知知的沖擊波補(bǔ)補(bǔ)丁就是單獨(dú)獨(dú)提供的。8.4.1系系統(tǒng)升級(jí)級(jí)和漏洞修補(bǔ)補(bǔ)1．在線升級(jí)級(jí)WindowsUpdate是我們用來升升級(jí)系統(tǒng)的組組件，通過它它來更新系統(tǒng)統(tǒng)，能夠擴(kuò)展展系統(tǒng)的功能能，讓系統(tǒng)支支持更多的軟軟、硬件，解解決各種兼容容性問題，讓讓系統(tǒng)更安全全、更穩(wěn)定。。在線升級(jí)步驟驟如下：步驟1：保證系統(tǒng)能能接入Internet，單擊“開始始”→“WindowsUpdate”連接到微軟軟的更新站點(diǎn)點(diǎn)。步驟2：在WindowsUpdate頁(yè)面中，出現(xiàn)現(xiàn)“正在搜索索WindowsUpdate軟件的最新版版本”提示，，系統(tǒng)需要一一些的檢測(cè)時(shí)時(shí)間，如果期期間出現(xiàn)安全全警告請(qǐng)按““確定”，單單擊“查看以以尋找更新””，接著還會(huì)會(huì)出現(xiàn)“復(fù)查查并安裝更新新”，單擊““立即安裝””→“確定”，系系統(tǒng)將自動(dòng)下下載程序并安安裝，期間可可能會(huì)提示重重啟，請(qǐng)按系系統(tǒng)提示操作作。3．自動(dòng)升級(jí)級(jí)設(shè)置方法：桌桌面→“我的的電腦”→““右鍵屬性””→“自動(dòng)更更新”如圖8.1所示，，選定“保持持我的計(jì)算機(jī)機(jī)更新”,在在設(shè)置中設(shè)置置自動(dòng)更新方方式，按“確確定”。設(shè)置置完成后，系系統(tǒng)不定期在在后臺(tái)訪問微微軟的更新網(wǎng)網(wǎng)站，如有新新的補(bǔ)丁系統(tǒng)統(tǒng)將自動(dòng)下載載，并通知安安裝。圖8.1Windows自動(dòng)更新Windows2003標(biāo)準(zhǔn)版版本中集成了了Internet連連接防火墻(InternetConnectionFirewall，簡(jiǎn)簡(jiǎn)稱ICF)功能，但功功能顯得較弱弱，微軟在ServicePack1中加加入了功能更更強(qiáng)完善的Windows防火墻代代替ICF。。Windows防火火墻是一個(gè)基基于主機(jī)的狀狀態(tài)防火墻，，它會(huì)斷開未未經(jīng)防火墻許許可的通信。。Windows防火墻墻可以通過組組策略對(duì)防火火墻進(jìn)行各種種設(shè)置。和其其他的防火墻墻不同，Windows防火墻和和系統(tǒng)緊密集集成，可以為為系統(tǒng)提供更更加安全的保保護(hù)。Windows防火墻對(duì)對(duì)話框包括：：常規(guī)、例外外、高級(jí)選項(xiàng)項(xiàng)卡。8.4.2Windows防火墻1．常規(guī)設(shè)置置在“常規(guī)”選選項(xiàng)卡中，您您可以進(jìn)行下下列操作，如如圖8.2所示。

啟用（推薦薦）默認(rèn)情況下WindowsFirewall處于關(guān)閉狀狀態(tài)，選擇對(duì)對(duì)“高級(jí)”選選項(xiàng)卡中選定定的所有網(wǎng)絡(luò)絡(luò)連接啟用Windows防火火墻。啟用Windows防火火墻后將只允允許請(qǐng)求的和和例外的傳入入通信。例外外通信在“例例外”選項(xiàng)卡卡中進(jìn)行配置置。圖8.2Windows防火墻界面不允許例外點(diǎn)擊該選項(xiàng)將將只允許請(qǐng)求求的傳入通信信，例外傳入入通信則不被被允許。不管管“高級(jí)”選選項(xiàng)卡中的設(shè)設(shè)置如何，““例外”選項(xiàng)項(xiàng)卡中的設(shè)置置將被忽略，，所有的網(wǎng)絡(luò)絡(luò)連接都將得得到保護(hù)。

關(guān)閉（不推推薦）選擇該選項(xiàng)將將禁用Windows防火墻。。不推薦使用用此選項(xiàng)，尤尤其是對(duì)于可可以直接從Internet進(jìn)進(jìn)行訪問的網(wǎng)網(wǎng)絡(luò)連接，除除非已經(jīng)使用用了第三方的的主機(jī)防火墻墻產(chǎn)品。2．例外設(shè)置置在“例外”選選項(xiàng)卡中，如如圖8.3所示，您可以以啟用或禁用用一個(gè)現(xiàn)有的的程序或服務(wù)務(wù)，或者維護(hù)護(hù)用于定義例例外通信的程程序和服務(wù)列列表。在“常常規(guī)”選項(xiàng)卡卡中選定“不不允許例外””選項(xiàng)后，例例外通信將不不被允許。有有一組預(yù)定義義的程序，其其中包括：文文件和打印共共享、遠(yuǎn)程桌桌面、UPnP框架，這些預(yù)預(yù)定義程序和和服務(wù)是不能能被刪除的。。圖8.3Widnows防火墻例外選選項(xiàng)卡界面3．高級(jí)設(shè)置置在“高級(jí)”選選項(xiàng)卡包括網(wǎng)網(wǎng)絡(luò)連接設(shè)置置、安全日志志、ICMP、默認(rèn)設(shè)設(shè)置設(shè)置項(xiàng)，，如圖8.4所示。圖8.4防火墻高級(jí)選選項(xiàng)卡界面課程內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全概述述網(wǎng)絡(luò)安全立立法黑客攻擊的的主要手段段和網(wǎng)絡(luò)安全控制技技術(shù)Windows2003安安全配置技技術(shù)網(wǎng)絡(luò)管理技技術(shù)8.5網(wǎng)網(wǎng)絡(luò)管理技技術(shù)8.5.1網(wǎng)絡(luò)管管理的概念念網(wǎng)絡(luò)管理是是指調(diào)度和和協(xié)調(diào)資源源，以便在在任何時(shí)候候都能通過過計(jì)劃、管管理、分析析、評(píng)估、、設(shè)計(jì)和擴(kuò)擴(kuò)充網(wǎng)絡(luò)等等工作，從從而能以合合理的成本本和最佳的的能力滿足足用戶的需需求。良好好的網(wǎng)絡(luò)管管理能保證證網(wǎng)絡(luò)運(yùn)行行的高性能能，高性能能又對(duì)應(yīng)著著更高的生生產(chǎn)率，高高生產(chǎn)率意意味著高經(jīng)經(jīng)濟(jì)效益。。這就是我我們必須重重視計(jì)算機(jī)機(jī)網(wǎng)絡(luò)管理理的原因。。8.5.2網(wǎng)絡(luò)故故障診斷與與排除1．網(wǎng)絡(luò)故故障診斷與與排除的基基本概念網(wǎng)絡(luò)故障診診斷是以網(wǎng)網(wǎng)絡(luò)原理、、網(wǎng)絡(luò)配置置和網(wǎng)絡(luò)運(yùn)運(yùn)行的知識(shí)識(shí)為基礎(chǔ)，，從故障現(xiàn)現(xiàn)象出發(fā)，，以網(wǎng)絡(luò)診診斷工具為為手段獲取取診斷信息息、確定網(wǎng)網(wǎng)絡(luò)故障點(diǎn)點(diǎn)、查找問問題的根源源、排除故故障、恢復(fù)復(fù)網(wǎng)絡(luò)正常常運(yùn)行的軟軟件或者硬硬件。網(wǎng)絡(luò)故障通通常有以下下幾種可能能：物理層中物物理設(shè)備相相互連接失失敗或者硬硬件及線路路本身的問問題；數(shù)據(jù)據(jù)鏈路層的的網(wǎng)絡(luò)設(shè)備備的接口配配置問題網(wǎng)網(wǎng)絡(luò)層網(wǎng)絡(luò)絡(luò)協(xié)議配置置或操作錯(cuò)錯(cuò)誤；傳輸輸層的設(shè)備備性能或通通信擁塞問問題；上三三層或網(wǎng)絡(luò)絡(luò)應(yīng)用程序序錯(cuò)誤。網(wǎng)絡(luò)故障的的診斷過程程應(yīng)該沿著著OSI七七層模型從從物理層開開始向上進(jìn)進(jìn)行，首先先檢查物理理然后檢查查數(shù)據(jù)鏈路路層，以此此類推，設(shè)設(shè)法確定通通信失敗的的故障點(diǎn)，，直到系統(tǒng)統(tǒng)通信正常常。網(wǎng)絡(luò)診斷可可以使用包包括局域網(wǎng)網(wǎng)或廣域網(wǎng)網(wǎng)分析儀在在內(nèi)的多種種工具，路路由器診斷斷命令、網(wǎng)網(wǎng)絡(luò)管理工工具和其他他故障診斷斷工具。一一般情況下下查看路由由表是解決決網(wǎng)絡(luò)故障障開始的好好地方。ICMP的的ping、trace命令令和Cisco的show命命令、debug命命令是獲取取故障診斷斷有用信息息的網(wǎng)絡(luò)工工具。通常常使用一個(gè)個(gè)或多個(gè)命命令收集相相應(yīng)的信息息，在給定定情況下，，確定使用用什么命令令獲取所需需要的信息息。網(wǎng)絡(luò)故故障往往以以某種癥狀狀表現(xiàn)出來來，對(duì)每一一個(gè)癥狀使使用特定的的故障診斷斷工具和方方法都能查查找出一個(gè)個(gè)或多個(gè)故故障原因。。2．網(wǎng)絡(luò)故故障的分類類根據(jù)網(wǎng)絡(luò)故故障的性質(zhì)質(zhì)把網(wǎng)絡(luò)故故障分為物物理故障與與邏輯故障障，也可以以根據(jù)網(wǎng)絡(luò)絡(luò)故障的對(duì)對(duì)象把網(wǎng)絡(luò)絡(luò)故障分為為線路故障障、路由故故障和主機(jī)機(jī)故障。首先介紹按按照網(wǎng)絡(luò)故故障不同性性質(zhì)而劃分分的物理故故障與邏輯輯故障。(1)物理故障物理故障指指的是設(shè)備備或線路損損壞、插頭頭松動(dòng)、線線路受到嚴(yán)嚴(yán)重電磁干干擾等情況況。(2)邏輯故障邏輯故障中中最常見的的情況就是是配置錯(cuò)誤誤，就是指指因?yàn)榫W(wǎng)絡(luò)絡(luò)設(shè)備的配配置原因而而導(dǎo)致的網(wǎng)網(wǎng)絡(luò)異?；蚧蚬收稀Ｅ渑渲缅e(cuò)誤可可能是路由由器端口參參數(shù)設(shè)定有有誤，或路路由器路由由配置錯(cuò)誤誤以至于路路由循環(huán)或或找不到遠(yuǎn)遠(yuǎn)端地址，，或者是路路由掩碼設(shè)設(shè)置錯(cuò)誤等等。網(wǎng)絡(luò)故障根根據(jù)故障的的不同對(duì)象象也可以劃劃分為線路路故障、路路由故障和和主機(jī)故障障。(1)線路故障線路故障最最常見的情情況就是線線路不通，，診斷這種種情況首先先檢查該線線路上流量量是否還存存在，然后后用ping檢查線線路遠(yuǎn)端的的路由器端端口能否響響應(yīng)，用traceroute檢查路路由器配置置是否正確確，找出問問題逐個(gè)解解決。(2)路由器故障障線路故障中中很多情況況都涉及到到路由器，，因此也可可以把一些些線路故障障歸結(jié)為路路由器故障障。檢測(cè)路路由器故障障，需要利利用MIB變量瀏覽器器，用它收收集路由器器的路由表表、端口流流量數(shù)據(jù)、、計(jì)費(fèi)數(shù)據(jù)據(jù)、路由器器CPU的溫度、負(fù)負(fù)載以及路路由器的內(nèi)內(nèi)存余量等等數(shù)據(jù)，通通常情況下下網(wǎng)絡(luò)管理理系統(tǒng)有專專門的管理理進(jìn)程不斷斷地檢測(cè)路路由器的關(guān)關(guān)鍵數(shù)據(jù)，，并及時(shí)給給出報(bào)警。。(3)主機(jī)故障主機(jī)故障常常見的現(xiàn)象象就是主機(jī)機(jī)的配置不不當(dāng)。3．網(wǎng)絡(luò)故故障的分層層診斷技術(shù)術(shù)(1)物理層及其其診斷：物物理層是OSI分層結(jié)構(gòu)體體系中最基基礎(chǔ)的一層層，它建立立在通信媒媒體的基礎(chǔ)礎(chǔ)上，實(shí)現(xiàn)現(xiàn)系統(tǒng)和通通信媒體的的物理接口口，為數(shù)據(jù)據(jù)鏈路實(shí)體體之間進(jìn)行行透明傳輸輸，為建立立、保持和和拆除計(jì)算算機(jī)和網(wǎng)絡(luò)絡(luò)之間的物物理連接提提供服務(wù)。。物理層的的故障主要要表現(xiàn)在設(shè)設(shè)備的物理理連接方式式是否恰當(dāng)當(dāng)；連接電電纜是否正正確。確定定路由器端端口物理連連接是否完完好的最佳佳方法是使使用showinterface命令，檢查查每個(gè)端口口的狀態(tài)，，解釋屏幕幕輸出信息息，查看端端口狀態(tài)、、協(xié)議建立立狀態(tài)和EIA狀態(tài)。(2)數(shù)數(shù)據(jù)鏈路層層及其診斷斷：數(shù)據(jù)鏈鏈路層的主主要任務(wù)是是使網(wǎng)絡(luò)層層無須了解解物理層的的特征而獲獲得可靠的的傳輸。數(shù)數(shù)據(jù)鏈路層層為通過鏈鏈路層的數(shù)數(shù)據(jù)進(jìn)行封封裝和拆封封裝、差錯(cuò)錯(cuò)檢測(cè)和一一定的校正正能力，并并協(xié)調(diào)共享享介質(zhì)。查查找和排除除數(shù)據(jù)鏈路路層的故障障，需要查查看路由器器的配置。。(3)網(wǎng)絡(luò)層及其其診斷：網(wǎng)網(wǎng)絡(luò)層提供供建立、保保持和釋放放網(wǎng)絡(luò)層連連接的手段段，包括路路由選擇、、流量控制制、傳輸確確認(rèn)、中斷斷、差錯(cuò)及及故障恢復(fù)復(fù)等。排除除網(wǎng)絡(luò)層故故障的基本本方法是沿沿著從源到到目標(biāo)的路路徑，查看看路由器路路由表，同同時(shí)檢查路路由器接口口的IP地址，如果果路由沒有有在路由表表中出現(xiàn)，，應(yīng)該通過過檢查來確確定是否已已經(jīng)輸入適適當(dāng)?shù)撵o態(tài)態(tài)路由、默默認(rèn)路由或或者動(dòng)態(tài)路路由。然后后手工配置置一些丟失失的路由，，或者排除除一些動(dòng)態(tài)態(tài)路由選擇擇過程的故故障。4．．網(wǎng)網(wǎng)絡(luò)絡(luò)故故障障排排除除步步驟驟在網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)境境中中，，網(wǎng)網(wǎng)卡卡是是上上網(wǎng)網(wǎng)操操作作的的第第一一道道關(guān)關(guān)口口，，若若網(wǎng)網(wǎng)卡卡出出現(xiàn)現(xiàn)設(shè)設(shè)置置沖沖突突或或硬硬件件故故障障，，上上網(wǎng)網(wǎng)過過程程中中計(jì)計(jì)算算機(jī)機(jī)會(huì)會(huì)提提示示拒拒絕絕登登錄錄信信息息，，上上網(wǎng)網(wǎng)操操作作只只能能成成為為一一句句空空話話。。通通過過網(wǎng)網(wǎng)絡(luò)絡(luò)訪訪問問遠(yuǎn)遠(yuǎn)程程資資源源遇遇到到問問題題時(shí)時(shí)，，一一般般按按照照以以下下四四個(gè)個(gè)方方面面進(jìn)進(jìn)行行糾糾錯(cuò)錯(cuò)處處理理：：檢檢查查一一下下您您的的計(jì)計(jì)算算機(jī)機(jī)是是否否使使用用了了與與所所連連接接網(wǎng)網(wǎng)絡(luò)絡(luò)相相兼兼容容的的協(xié)協(xié)議議或或幀幀類類型型：：對(duì)對(duì)連連接接的的資資源源，，您您是是否否具具有有足足夠夠的的訪訪問問權(quán)權(quán)限限；；檢檢查查與與網(wǎng)網(wǎng)絡(luò)絡(luò)相相關(guān)關(guān)的的硬硬件件或或軟軟件件的的問問題題(檢檢查查網(wǎng)網(wǎng)線線、、網(wǎng)網(wǎng)卡卡、、交交換換機(jī)機(jī)等等是是否否正正常常連連接接或或安安裝裝)。。(1)協(xié)議議問問題題不同同的的網(wǎng)網(wǎng)絡(luò)絡(luò)使使用用不不同同的的通通信信協(xié)協(xié)議議。。例例如如：：連連接接Internet時(shí)，，要要使使用用TCP/IP協(xié)議議。。在在TCP/IP網(wǎng)絡(luò)絡(luò)上上，，應(yīng)應(yīng)該該檢檢查查計(jì)計(jì)算算機(jī)機(jī)的的IP地址址、、子子網(wǎng)網(wǎng)掩掩碼碼、、網(wǎng)網(wǎng)關(guān)關(guān)、、DNS服務(wù)務(wù)器器、、WINS服務(wù)務(wù)器器的的地地址址設(shè)設(shè)置置的的是是否否正正確確，，上上述述情情況況多多見見于于通通過過局局域域網(wǎng)網(wǎng)連連接接Internet。(2)訪問問權(quán)權(quán)限限問問題題對(duì)等等網(wǎng)網(wǎng)是是常常使使用用的的網(wǎng)網(wǎng)絡(luò)絡(luò)類類型型，，Windows提提供供了了共共享享級(jí)級(jí)安安全全保保護(hù)護(hù)和和用用戶戶級(jí)級(jí)安安全全保保護(hù)護(hù)兩兩種種方方法法來來限限制制對(duì)對(duì)其其系系統(tǒng)統(tǒng)的的共共享享資資源源的的訪訪問問。。共共享享級(jí)級(jí)安安全全保保護(hù)護(hù)和和用用戶戶級(jí)級(jí)安安全全保保護(hù)護(hù)對(duì)對(duì)共共享享資資源源有有不不同同的的訪訪問問配配置置。。如如果果從從共共享享級(jí)級(jí)安安全全保保護(hù)護(hù)切切換換到到用用戶戶級(jí)級(jí)安安全全保保護(hù)護(hù)，，就就必必須須重重新新創(chuàng)創(chuàng)建建所所有有的的共共享享，，反反之之亦亦然然。。否否則則別別人人就就無無法法訪訪問問這這里里的的共共享享資資源源了了。。(3)網(wǎng)絡(luò)連連接問問題當(dāng)使用用了合合適的的網(wǎng)絡(luò)絡(luò)協(xié)議議并且且對(duì)遠(yuǎn)遠(yuǎn)程資資源有有足夠夠的訪訪問權(quán)權(quán)限時(shí)時(shí)，如如果連連接網(wǎng)網(wǎng)絡(luò)時(shí)時(shí)還出出現(xiàn)問問題，，請(qǐng)參參考以以下的的情況況：作作為Windows登錄錄連接接網(wǎng)絡(luò)絡(luò)時(shí)，，特別別是指指定了了登錄錄到Windows2000域，，也要要正確確輸入入用戶戶名和和密碼碼，否否則無無法訪訪問windows2000域的的資源源。(4)檢查網(wǎng)網(wǎng)線、、網(wǎng)卡卡、交換機(jī)機(jī)等是否否正常常連接接或安安裝安裝網(wǎng)網(wǎng)卡必必然要要安裝裝驅(qū)動(dòng)動(dòng)程序序才能能保證證網(wǎng)卡卡的正正常工工作。。一般般在購(gòu)購(gòu)買網(wǎng)網(wǎng)卡時(shí)時(shí)，都都會(huì)隨隨卡附附帶網(wǎng)網(wǎng)卡的的驅(qū)動(dòng)動(dòng)程序序。但但如果果網(wǎng)卡卡驅(qū)動(dòng)動(dòng)程序序找不不到了了，則則要安安裝或或設(shè)置置網(wǎng)卡卡。計(jì)算機(jī)機(jī)網(wǎng)絡(luò)絡(luò)安全全的基基礎(chǔ)知知識(shí)