《信息安全技術(shù)基礎(chǔ)》課件

第八章信息安全技術(shù)基礎(chǔ)《信息安全技術(shù)基礎(chǔ)》第八章信息安全技術(shù)基礎(chǔ)《信息安全技術(shù)基礎(chǔ)》18.1信息安全概述8.1信息安全問(wèn)題概述8.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)8.2.2防火墻技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)8.2.4文件備份與恢復(fù)技術(shù)8.2.5計(jì)算機(jī)病毒防范技術(shù)8.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.1網(wǎng)絡(luò)道德8.3.2信息安全法規(guī)8.1.1面臨的安全威脅8.1.2信息安全的特征8.1.3信息安全的內(nèi)容8.1.4信息安全的機(jī)制《信息安全技術(shù)基礎(chǔ)》2022/12/1028.1信息安全概述8.1信息安全問(wèn)題概述8.1.1網(wǎng)絡(luò)安全的背景在我們的生活中，經(jīng)?？梢月?tīng)到下面的報(bào)道：XX網(wǎng)站受到黑客攻擊XX計(jì)算機(jī)系統(tǒng)受到攻擊，造成客戶數(shù)據(jù)丟失目前又出現(xiàn)XX計(jì)算機(jī)病毒，已擴(kuò)散到各大洲……計(jì)算機(jī)網(wǎng)絡(luò)在帶給我們便利的同時(shí)已經(jīng)體現(xiàn)出了它的脆弱性……《信息安全技術(shù)基礎(chǔ)》3網(wǎng)絡(luò)安全的背景在我們的生活中，經(jīng)?？梢月?tīng)到下面的報(bào)道：XX網(wǎng)8.1信息安全概述8.1.1面臨的安全威脅現(xiàn)代信息系統(tǒng)及網(wǎng)絡(luò)通信系統(tǒng)面臨的安全威脅截獲中斷篡改偽造截獲篡改偽造中斷被動(dòng)攻擊主動(dòng)攻擊目的站源站源站源站源站目的站目的站目的站對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊《信息安全技術(shù)基礎(chǔ)》2022/12/1048.1信息安全概述8.1.1面臨的安全威脅截獲篡改截獲搭線竊聽(tīng)信息總部下屬機(jī)構(gòu)黑客信息泄密

信息被篡改Internet截獲是指一個(gè)非授權(quán)方介入系統(tǒng)，使得信息在傳輸過(guò)程中泄露或被竊聽(tīng)，它破壞了信息的保密性。非授權(quán)方可以是一個(gè)人，也可以是一個(gè)程序。截獲攻擊主要包括：①利用電磁泄露或搭線竊聽(tīng)等方式可截獲機(jī)密信息，通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推測(cè)出有用信息，如用戶口令、賬號(hào)等。②文件或程序的不正當(dāng)復(fù)制。《信息安全技術(shù)基礎(chǔ)》5截獲搭線竊聽(tīng)信息總部下屬機(jī)構(gòu)黑客信息泄密Internet中斷中斷是使正在使用的信息系統(tǒng)毀壞或不能使用，即破壞了信息的可用性。中斷攻擊主要包括：①使合法用戶不能訪問(wèn)網(wǎng)絡(luò)的資源。②使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。③物理破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備組件使網(wǎng)絡(luò)不可用，或者破壞網(wǎng)絡(luò)結(jié)構(gòu)使之癱瘓等。例如，硬盤(pán)等硬件的破壞、通信線路的切斷、文件管理系統(tǒng)的癱瘓等。

《信息安全技術(shù)基礎(chǔ)》中斷中斷是使正在使用的信息系統(tǒng)毀壞或不能使用，即破壞了信息的6篡改篡改是以非法手段竊得對(duì)信息的管理權(quán)，通過(guò)未授權(quán)的創(chuàng)建、修改、刪除和重放等操作，使信息的完整性受到破壞。篡改攻擊主要包括：①改變數(shù)據(jù)文件，如修改信件內(nèi)容等。②改變程序，使之不能正確運(yùn)行?！缎畔踩夹g(shù)基礎(chǔ)》篡改篡改是以非法手段竊得對(duì)信息的管理權(quán)，通過(guò)未授權(quán)的創(chuàng)建、7偽造非授權(quán)方將偽造的信息插入到信息中，破壞信息的真實(shí)性。例如，在網(wǎng)絡(luò)中插入假信件，或者在文件中追加記錄等。

《信息安全技術(shù)基礎(chǔ)》偽造非授權(quán)方將偽造的信息插入到信息中，破壞信息的真實(shí)性。例8網(wǎng)絡(luò)安全面臨的威脅物理風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)信息風(fēng)險(xiǎn)應(yīng)用風(fēng)險(xiǎn)其它風(fēng)險(xiǎn)網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)

設(shè)備防盜，防毀鏈路老化人為破壞網(wǎng)絡(luò)設(shè)備自身故障停電導(dǎo)致無(wú)法工作機(jī)房電磁輻射其他

信息存儲(chǔ)安全信息傳輸安全信息訪問(wèn)安全其他身份鑒別訪問(wèn)授權(quán)機(jī)密性完整性不可否認(rèn)性可用性

計(jì)算機(jī)病毒

外部攻擊內(nèi)部破壞其他風(fēng)險(xiǎn)軟件弱點(diǎn)是否存在管理方面的風(fēng)險(xiǎn)需有無(wú)制定相應(yīng)的安全制度安全拓?fù)浒踩酚蒊nternet《信息安全技術(shù)基礎(chǔ)》9網(wǎng)絡(luò)安全面臨的威脅物理風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)信息8.1信息安全概述8.1.2信息安全的特征可用性機(jī)密性真實(shí)性完整性可控性抗可否認(rèn)性可存活性《信息安全技術(shù)基礎(chǔ)》2022/12/10108.1信息安全概述8.1.2信息安全的特征《信息安8.1信息安全概述8.1.3信息安全的內(nèi)容實(shí)體安全運(yùn)行安全數(shù)據(jù)安全管理安全一、實(shí)體安全問(wèn)題①環(huán)境安全：信息設(shè)備大多屬易碎品，不能受重壓或強(qiáng)烈的震動(dòng)，更不能受強(qiáng)力沖擊，各種自然災(zāi)害（如地震、風(fēng)暴等）對(duì)設(shè)備安全構(gòu)成了嚴(yán)重的威脅。②設(shè)備安全：主要包括：設(shè)備的機(jī)能失常、電源故障和電磁泄漏。③媒體安全：主要是搭線竊聽(tīng)和電磁泄漏。實(shí)體安全策略《信息安全技術(shù)基礎(chǔ)》2022/12/10118.1信息安全概述8.1.3信息安全的內(nèi)容《信息安8.1信息安全概述實(shí)體安全策略實(shí)體安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信線路免受自然災(zāi)害、人為破壞和搭線攻擊，抑制和防止電磁泄漏，建立完備的安全管理制度。二、系統(tǒng)運(yùn)行安全問(wèn)題①操作系統(tǒng)安全：?jiǎn)栴}主要有：未進(jìn)行系統(tǒng)相關(guān)安全配置、軟件的漏洞和“后門(mén)”、協(xié)議的安全漏洞。②應(yīng)用系統(tǒng)安全：涉及資源共享、電子郵件系統(tǒng)、病毒侵害等很多方面。《信息安全技術(shù)基礎(chǔ)》2022/12/10128.1信息安全概述實(shí)體安全策略《信息安全技術(shù)基礎(chǔ)》2028.1信息安全概述系統(tǒng)運(yùn)行安全策略運(yùn)行安全策略主要涉及：訪問(wèn)控制策略、防黑客的惡意攻擊、隔離控制策略、入侵檢測(cè)和病毒防護(hù)。三、數(shù)據(jù)安全①數(shù)據(jù)安全需求：就是保證數(shù)據(jù)的真實(shí)性、機(jī)密性、完整性和抗否認(rèn)性。②數(shù)據(jù)安全策略：最主要的數(shù)據(jù)安全策略就是采用數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10138.1信息安全概述系統(tǒng)運(yùn)行安全策略《信息安全技術(shù)基礎(chǔ)》28.1信息安全概述四、管理安全①安全管理問(wèn)題：安全和管理是分不開(kāi)的，即便有好的安全設(shè)備和系統(tǒng)，也應(yīng)該有好的安全管理方法并貫徹實(shí)施。管理的缺陷可能造成系統(tǒng)內(nèi)部人員泄露機(jī)密，也可能造成外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄漏。②安全管理策略：確定安全管理等級(jí)和安全管理范圍，制定有關(guān)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10148.1信息安全概述四、管理安全《信息安全技術(shù)基礎(chǔ)》2028.1信息安全概述8.1.4信息安全的機(jī)制身份確認(rèn)機(jī)制（收發(fā)信息者身份確認(rèn)）訪問(wèn)控制機(jī)制（合法用戶進(jìn)行訪問(wèn)控制管理）數(shù)據(jù)加密機(jī)制（數(shù)據(jù)加密處理）病毒防范機(jī)制（增加防范病毒軟件）信息監(jiān)控機(jī)制（防止泄密）安全網(wǎng)關(guān)機(jī)制（防火墻）安全審計(jì)機(jī)制（定期檢查）《信息安全技術(shù)基礎(chǔ)》2022/12/10158.1信息安全概述8.1.4信息安全的機(jī)制《信息安8.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)對(duì)稱(chēng)密鑰密碼體系非對(duì)稱(chēng)密鑰密碼體系身份認(rèn)證數(shù)字簽名技術(shù)《信息安全技術(shù)基礎(chǔ)》2022/12/10168.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)《信息數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法《信息安全技術(shù)基礎(chǔ)》17數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念

數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學(xué)方法進(jìn)行函數(shù)轉(zhuǎn)換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過(guò)程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過(guò)數(shù)學(xué)算法轉(zhuǎn)換成密文的過(guò)程；解密(Decryption)：將密文還原成明文的過(guò)程?！缎畔踩夹g(shù)基礎(chǔ)》18數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡(luò)信道明文明文密文加密密鑰解密密鑰兩者相等《信息安全技術(shù)基礎(chǔ)》19數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）加密算法解密算法密數(shù)據(jù)加密技術(shù)原理非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰加密）加密算法解密算法公開(kāi)密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導(dǎo)不相等《信息安全技術(shù)基礎(chǔ)》20數(shù)據(jù)加密技術(shù)原理非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰加密）加密算法解密算數(shù)據(jù)加密技術(shù)原理混合加密系統(tǒng)對(duì)稱(chēng)密鑰加密算法對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰網(wǎng)絡(luò)信道明文明文密文

混合加密系統(tǒng)既能夠安全地交換對(duì)稱(chēng)密鑰，又能夠克服非對(duì)稱(chēng)加密算法效率低的缺陷！非對(duì)稱(chēng)密鑰加密算法非對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰公開(kāi)密鑰私有密鑰

混合加密系統(tǒng)是對(duì)稱(chēng)密鑰加密技術(shù)和非對(duì)稱(chēng)密鑰加密技術(shù)的結(jié)合《信息安全技術(shù)基礎(chǔ)》21數(shù)據(jù)加密技術(shù)原理混合加密系統(tǒng)對(duì)稱(chēng)密鑰加密算法對(duì)稱(chēng)密鑰解密算身份鑒別技術(shù)IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術(shù)的提出

在開(kāi)放的網(wǎng)絡(luò)環(huán)境中，服務(wù)提供者需要通過(guò)身份鑒別技術(shù)判斷提出服務(wù)申請(qǐng)的網(wǎng)絡(luò)實(shí)體是否擁有其所聲稱(chēng)的身份?！缎畔踩夹g(shù)基礎(chǔ)》22身份鑒別技術(shù)IsthatAlice?Hi,thisi身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別基于對(duì)稱(chēng)密鑰密碼體制的身份鑒別技術(shù)基于KDC（密鑰分配中心）的身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰密碼體制的身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)《信息安全技術(shù)基礎(chǔ)》23身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別《信身份鑒別技術(shù)Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice”,mypasswordis“byebye”.Pleasesendmedata.Internet基于用戶名和密碼的身份鑒別

《信息安全技術(shù)基礎(chǔ)》24身份鑒別技術(shù)Yes.Ihaveausernamed身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于對(duì)稱(chēng)密鑰體制的身份鑒別A

在這種技術(shù)中，鑒別雙方共享一個(gè)對(duì)稱(chēng)密鑰KAB，該對(duì)稱(chēng)密鑰在鑒別之前已經(jīng)協(xié)商好（不通過(guò)網(wǎng)絡(luò)）。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤《信息安全技術(shù)基礎(chǔ)》25身份鑒別技術(shù)ThisisBob.AreyouAli身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鑒別技術(shù)A,KA(B,KS)

基于KDC（KeyDistributionCenter，密鑰分配中心）的身份鑒別技術(shù)克服了基于對(duì)稱(chēng)密鑰的身份鑒別技術(shù)中的密鑰管理的困難。在這種技術(shù)中，參與鑒別的實(shí)體只與KDC共享一個(gè)對(duì)稱(chēng)密鑰，鑒別通過(guò)KDC來(lái)完成。KB(A,KS)AliceBob①②KDC《信息安全技術(shù)基礎(chǔ)》26身份鑒別技術(shù)ThisisBob.AreyouAli身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰體制的身份鑒別

在這種技術(shù)中，雙方均用對(duì)方的公開(kāi)密鑰進(jìn)行加密和傳輸。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③《信息安全技術(shù)基礎(chǔ)》27身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰體制的身份鑒別在這種身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)

為解決非對(duì)稱(chēng)密鑰身份鑒別技術(shù)中存在的“公開(kāi)密鑰真實(shí)性”的問(wèn)題，可采用證書(shū)對(duì)實(shí)體的公開(kāi)密鑰的真實(shí)性進(jìn)行保證。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②《信息安全技術(shù)基礎(chǔ)》28身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)為解決非對(duì)稱(chēng)數(shù)據(jù)加密技術(shù)原理數(shù)字簽名

數(shù)字簽名（digitalsignature）技術(shù)通過(guò)某種加密算法，在一條地址消息的尾部添加一個(gè)字符串，而收信人可以根據(jù)這個(gè)字符串驗(yàn)明發(fā)信人的身份，并可進(jìn)行數(shù)據(jù)完整性檢查?！缎畔踩夹g(shù)基礎(chǔ)》29數(shù)據(jù)加密技術(shù)原理數(shù)字簽名數(shù)字簽名（數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱(chēng)加密算法非對(duì)稱(chēng)解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開(kāi)密鑰哈希算法標(biāo)記標(biāo)記-2合同哈希算法比較標(biāo)記-1如果兩標(biāo)記相同，則符合上述確認(rèn)要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認(rèn)：合同的確是Alice發(fā)送的合同在傳輸途中未被修改《信息安全技術(shù)基礎(chǔ)》30數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱(chēng)加密算法非對(duì)稱(chēng)解密算數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；對(duì)簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證；發(fā)信人無(wú)法對(duì)信件的內(nèi)容進(jìn)行抵賴(lài)。

當(dāng)我們對(duì)簽名人同公開(kāi)密鑰的對(duì)應(yīng)關(guān)系產(chǎn)生疑問(wèn)時(shí)，我們需要第三方頒證機(jī)構(gòu)（CA:CertificateAuthorities）的幫助。《信息安全技術(shù)基礎(chǔ)》31數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；8.2信息安全技術(shù)8.2.2防火墻技術(shù)一、防火墻的主要功能①檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。②檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。③執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過(guò)。④具有防攻擊能力，保證自身的安全性。二、防火墻的基本準(zhǔn)則一切未被允許的就是禁止的一切未被禁止的就是允許的《信息安全技術(shù)基礎(chǔ)》2022/12/10328.2信息安全技術(shù)8.2.2防火墻技術(shù)《信息安全

網(wǎng)絡(luò)防火墻的基本概念

防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是在被保護(hù)網(wǎng)和外網(wǎng)之間執(zhí)行訪問(wèn)控制策略的一種或一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。它是網(wǎng)絡(luò)的第一道防線，也是當(dāng)前防止網(wǎng)絡(luò)系統(tǒng)被人惡意破壞的一個(gè)主要網(wǎng)絡(luò)安全設(shè)備。它本質(zhì)上是一種保護(hù)裝置，在兩個(gè)網(wǎng)之間構(gòu)筑了一個(gè)保護(hù)層。所有進(jìn)出此保護(hù)網(wǎng)的傳播信息都必須經(jīng)過(guò)此保護(hù)層，并在此接受檢查和連接，只有授權(quán)的通信才允許通過(guò)，從而使被保護(hù)網(wǎng)和外部網(wǎng)在一定意義下隔離，防止非法入侵和破壞行為。圖1網(wǎng)絡(luò)拓?fù)鋱D不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問(wèn)的服務(wù)及資源可信任的用戶不可信的用戶DMZ《信息安全技術(shù)基礎(chǔ)》33網(wǎng)絡(luò)防火墻的基本概念防火墻是一種8.2信息安全技術(shù)三、防火墻的位置外部網(wǎng)絡(luò)不可信賴(lài)的網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)可信賴(lài)的網(wǎng)絡(luò)防火墻《信息安全技術(shù)基礎(chǔ)》2022/12/10348.2信息安全技術(shù)三、防火墻的位置外部網(wǎng)絡(luò)不可信賴(lài)內(nèi)防火墻的主要技術(shù)應(yīng)用層代理技術(shù)

(ApplicationProxy)包過(guò)濾技術(shù)

(PacketFiltering)狀態(tài)包過(guò)濾技術(shù)

(StatefulPacketFiltering)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻的主要技術(shù)種類(lèi)《信息安全技術(shù)基礎(chǔ)》35防火墻的主要技術(shù)應(yīng)用層代理技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層包過(guò)濾技術(shù)包過(guò)濾技術(shù)的基本概念包過(guò)濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包有選擇的通過(guò)，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則，只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則從數(shù)據(jù)流中刪除。包過(guò)濾一般由屏蔽路由器來(lái)完成。屏蔽路由器也稱(chēng)過(guò)濾路由器，是一種可以根據(jù)過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器。

《信息安全技術(shù)基礎(chǔ)》36包過(guò)濾技術(shù)包過(guò)濾技術(shù)的基本概念《信息安全技術(shù)基礎(chǔ)》36包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是防火墻最常用的技術(shù)。對(duì)一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò)，這種方法可以阻塞某些主機(jī)或網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對(duì)一些危險(xiǎn)和色情站點(diǎn)的訪問(wèn)。圖4包過(guò)濾技術(shù)概念數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開(kāi)數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略《信息安全技術(shù)基礎(chǔ)》37包過(guò)濾技術(shù)包過(guò)濾技術(shù)是防火墻最常用的狀態(tài)包檢測(cè)技術(shù)

狀態(tài)包檢測(cè)技術(shù)是包過(guò)濾技術(shù)的延伸，常被稱(chēng)為“動(dòng)態(tài)包過(guò)濾”，是一種與包過(guò)濾相類(lèi)似但更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。適合網(wǎng)絡(luò)流量大的環(huán)境。

《信息安全技術(shù)基礎(chǔ)》38狀態(tài)包檢測(cè)技術(shù)狀態(tài)包檢測(cè)技術(shù)是包過(guò)8.2信息安全技術(shù)四、應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)也叫代理服務(wù)器，隔離風(fēng)險(xiǎn)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的直接聯(lián)系，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由代理服務(wù)器“代理”完成。代理服務(wù)器像一堵真正的墻一樣阻擋在內(nèi)部用戶和外界之間，從外面只能看到代理服務(wù)器而看不到內(nèi)部資源，從而有效地保護(hù)內(nèi)部網(wǎng)不受侵害?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10398.2信息安全技術(shù)四、應(yīng)用級(jí)網(wǎng)關(guān)《信息安全技術(shù)基礎(chǔ)》防火墻的功能利用防火墻保護(hù)內(nèi)部網(wǎng)主要有以下幾個(gè)主要功能：控制對(duì)網(wǎng)點(diǎn)的訪問(wèn)和封鎖網(wǎng)點(diǎn)信息的泄露防火墻可看作檢查點(diǎn)，所有進(jìn)出的信息都必須穿過(guò)它，為網(wǎng)絡(luò)安全起把關(guān)作用，有效地阻擋外來(lái)的攻擊，對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行監(jiān)視，只允許授權(quán)的通信通過(guò)；保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)。能限制被保護(hù)子網(wǎng)的泄露為防止影響一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播，防火墻可隔離網(wǎng)絡(luò)的一個(gè)網(wǎng)段和另一個(gè)網(wǎng)段，從而限制了局部網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)網(wǎng)絡(luò)的影響?！缎畔踩夹g(shù)基礎(chǔ)》40防火墻的功能利用防火墻保護(hù)內(nèi)部網(wǎng)主要有以下幾個(gè)主要功能：《信具有審計(jì)作用防火墻能有效地記錄Internet網(wǎng)的活動(dòng)，因?yàn)樗袀鬏數(shù)男畔⒍急仨毚┻^(guò)防火墻，防火墻能幫助記錄有關(guān)內(nèi)部網(wǎng)和外部網(wǎng)的互訪信息和入侵者的任何企圖。能強(qiáng)制安全策略Internt網(wǎng)上的許多服務(wù)是不安全的，防火墻是這些服務(wù)的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅允許“認(rèn)可”和符合規(guī)則的服務(wù)通過(guò)。此外，防火墻還具有其他一些優(yōu)點(diǎn)，如：監(jiān)視網(wǎng)絡(luò)的安全并產(chǎn)生報(bào)警；保密性好，強(qiáng)化私有權(quán)；提供加密和解密及便于網(wǎng)絡(luò)實(shí)施密鑰管理的能力。《信息安全技術(shù)基礎(chǔ)》41具有審計(jì)作用《信息安全技術(shù)基礎(chǔ)》41防火墻的不足

雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安全中起著不可替代的作用，但它不是萬(wàn)能的，有其自身的弱點(diǎn)，主要表現(xiàn)在：防火墻不能防備病毒雖然防火墻掃描所有通過(guò)的信息，但掃描多半是針對(duì)源與目標(biāo)地址以及端口號(hào)，而并非數(shù)據(jù)細(xì)節(jié)，有太多類(lèi)型的病毒和太多種方法可使病毒在數(shù)據(jù)中隱藏，防火墻在病毒的防范上是不適用的。防火墻對(duì)不通過(guò)它的連接無(wú)能為力雖然防火墻能有效的控制所有通過(guò)它的信息，但對(duì)從網(wǎng)絡(luò)后門(mén)及調(diào)制解調(diào)器撥人的訪問(wèn)則無(wú)能為力。《信息安全技術(shù)基礎(chǔ)》42防火墻的不足雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安防火墻不能防備內(nèi)部人員的攻擊目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。所以，如果入侵者來(lái)自防火墻的內(nèi)部，防火墻則無(wú)能為力。限制有用的網(wǎng)絡(luò)服務(wù)防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。由于多數(shù)網(wǎng)絡(luò)服務(wù)在設(shè)計(jì)之初根本沒(méi)有考慮安全性，所以都存在安全問(wèn)題。防火墻限制這些網(wǎng)絡(luò)服務(wù)等于從一個(gè)極端走向了另一個(gè)極端?！缎畔踩夹g(shù)基礎(chǔ)》43防火墻不能防備內(nèi)部人員的攻擊《信息安全技術(shù)基礎(chǔ)》43防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題防火墻是一種被動(dòng)式的防護(hù)手段，只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。隨著網(wǎng)絡(luò)攻擊手段的不斷更新和新的網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，不可能靠一次性的防火墻設(shè)置來(lái)解決永遠(yuǎn)的網(wǎng)絡(luò)安全問(wèn)題?！缎畔踩夹g(shù)基礎(chǔ)》44防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題《信息安全技術(shù)基礎(chǔ)》448.2信息安全技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)入侵檢測(cè)的功能①監(jiān)控、分析用戶和系統(tǒng)的行為。②檢查系統(tǒng)的配置和漏洞。③評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。④對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類(lèi)型，并向網(wǎng)絡(luò)管理人員報(bào)警。⑤對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。入侵檢測(cè)的基本方法：異常檢測(cè)誤用檢測(cè)系統(tǒng)《信息安全技術(shù)基礎(chǔ)》2022/12/10458.2信息安全技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技8.2信息安全技術(shù)8.2.4文件備份與恢復(fù)技術(shù)文件備份與恢復(fù)的重要性數(shù)據(jù)可以進(jìn)行歸檔與備份歸檔是指在一種特殊介質(zhì)上進(jìn)行永久性存儲(chǔ)，歸檔的數(shù)據(jù)可能包括文件服務(wù)器不再需要的數(shù)據(jù)，但是由于某種原因需要保存若干年，一般是將這些數(shù)據(jù)存放在一個(gè)非常安全的地方。數(shù)據(jù)備份是一項(xiàng)基本的系統(tǒng)維護(hù)工作。數(shù)據(jù)備份簡(jiǎn)介《信息安全技術(shù)基礎(chǔ)》2022/12/10468.2信息安全技術(shù)8.2.4文件備份與恢復(fù)技術(shù)《8.2信息安全技術(shù)8.2.5計(jì)算機(jī)病毒防范技術(shù)1.計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是一些人蓄意編制的一種具有寄生性的計(jì)算機(jī)程序，能在計(jì)算機(jī)系統(tǒng)中生存，通過(guò)自我復(fù)制來(lái)傳播，在一定條件下被激活從而給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種有破壞性的程序被人們形象地稱(chēng)為“計(jì)算機(jī)病毒”?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10478.2信息安全技術(shù)8.2.5計(jì)算機(jī)病毒防范技術(shù)《8.2信息安全技術(shù)“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)作用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。(《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》)2.計(jì)算機(jī)病毒的特性破壞性潛伏性傳染性《信息安全技術(shù)基礎(chǔ)》2022/12/10488.2信息安全技術(shù)“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程8.2信息安全技術(shù)3.計(jì)算機(jī)病毒的新特點(diǎn)種類(lèi)、數(shù)量激增傳播途徑更多，傳播速度更快電子郵件成為主要傳播媒介造成的破壞日益嚴(yán)重附:當(dāng)前計(jì)算機(jī)病毒傳播途徑瀏覽小網(wǎng)站郵件下載游戲U盤(pán)盜版光盤(pán)《信息安全技術(shù)基礎(chǔ)》2022/12/10498.2信息安全技術(shù)3.計(jì)算機(jī)病毒的新特點(diǎn)《信息安全8.2信息安全技術(shù)4.計(jì)算機(jī)病毒防范措施計(jì)算機(jī)病毒檢查文件大小和日期突然變化文件莫名其妙丟失系統(tǒng)運(yùn)行速度異常慢有特殊文件自動(dòng)生成用軟件檢查內(nèi)存時(shí)，發(fā)現(xiàn)有不該駐留的程序磁盤(pán)空間自動(dòng)產(chǎn)生壞區(qū)或磁盤(pán)空間減少系統(tǒng)啟動(dòng)速度突然變得很慢或系統(tǒng)異常死機(jī)次數(shù)增多計(jì)算機(jī)屏幕出現(xiàn)異常提示信息、異常滾動(dòng)、異常圖形顯示打印機(jī)等外部設(shè)備不能正常工作《信息安全技術(shù)基礎(chǔ)》2022/12/10508.2信息安全技術(shù)4.計(jì)算機(jī)病毒防范措施《信息安全技術(shù)8.2信息安全技術(shù)4.計(jì)算機(jī)病毒防范措施計(jì)算機(jī)病毒防范計(jì)算機(jī)病毒盡管危害很大，但用戶若能采取良好的防范措施，完全可以使系統(tǒng)避免遭受?chē)?yán)重的破壞。①安裝防病毒軟件，并及時(shí)升級(jí)。②如果移動(dòng)存儲(chǔ)設(shè)備（例如，優(yōu)盤(pán)）在其他計(jì)算機(jī)上使用過(guò)，在自己的計(jì)算機(jī)上使用前先查毒。③不使用盜版光盤(pán)。④從局域網(wǎng)上其他計(jì)算機(jī)復(fù)制到本地計(jì)算機(jī)的文件，從互聯(lián)網(wǎng)下載的文件，先查毒再使用?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10518.2信息安全技術(shù)4.計(jì)算機(jī)病毒防范措施《信息安全技術(shù)8.2信息安全技術(shù)⑤接收到不明來(lái)歷的電子郵件，具有誘惑性標(biāo)題時(shí)，不要打開(kāi)，并刪除郵件。⑥接收到電子郵件的附件，查毒后再使用。⑦經(jīng)常備份重要的文件和數(shù)據(jù)。⑧制作干凈的系統(tǒng)盤(pán)、急救盤(pán)。⑨如果發(fā)現(xiàn)計(jì)算機(jī)感染了病毒，殺毒后應(yīng)立即重新啟動(dòng)計(jì)算機(jī)，并再次查毒。《信息安全技術(shù)基礎(chǔ)》2022/12/10528.2信息安全技術(shù)⑤接收到不明來(lái)歷的電子郵件，具有誘8.2信息安全技術(shù)5.反病毒軟件在選擇網(wǎng)絡(luò)防毒軟件時(shí)，應(yīng)該考慮的要素①防毒軟件廠商的服務(wù)水平。②防毒技術(shù)的先進(jìn)性與穩(wěn)定性。③防病毒軟件應(yīng)有友好與易于使用的用戶界面。④綜合評(píng)估掃描速度、正確識(shí)別率、誤報(bào)率、技術(shù)支持水平、升級(jí)的難易度、可管理性能與警示手段等方面。國(guó)內(nèi)常見(jiàn)的查殺毒軟件有：瑞星、江民、金山毒霸、諾頓（Norton）、麥咖啡（Macfee）、卡巴斯基（Kaspersky）等?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10538.2信息安全技術(shù)5.反病毒軟件《信息安全技術(shù)基礎(chǔ)》28.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.1網(wǎng)絡(luò)道德一些公認(rèn)的違反網(wǎng)絡(luò)道德的事例①?gòu)氖挛：φ畏€(wěn)定、損壞安定團(tuán)結(jié)、破壞公共秩序的活動(dòng)，復(fù)制、傳播有關(guān)這些內(nèi)容的消息和文章。②任意張貼帖子對(duì)他人進(jìn)行人身攻擊，不負(fù)責(zé)任地散布流言蜚語(yǔ)或偏激的語(yǔ)言，對(duì)個(gè)人、單位甚至政府造成損害。③竊取或泄露他人秘密，侵害他人正當(dāng)權(quán)益④利用網(wǎng)絡(luò)賭博或從事有傷風(fēng)化的活動(dòng)。《信息安全技術(shù)基礎(chǔ)》2022/12/10548.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.1網(wǎng)絡(luò)道德《信息8.3網(wǎng)絡(luò)道德及信息安全法規(guī)⑤制造病毒，故意在網(wǎng)上發(fā)布、傳播具有計(jì)算機(jī)病毒的信息，向網(wǎng)絡(luò)故意傳播計(jì)算機(jī)病毒，造成他人計(jì)算機(jī)甚至網(wǎng)絡(luò)系統(tǒng)發(fā)生堵塞、溢出、處理機(jī)忙、死鎖、癱瘓等。⑥冒用他人IP，從事網(wǎng)上活動(dòng)，通過(guò)掃描、偵聽(tīng)、破解口令、安置木馬、遠(yuǎn)程接管、利用系統(tǒng)缺陷等手段進(jìn)入他人計(jì)算機(jī)。⑦明知自己的計(jì)算機(jī)感染了損害網(wǎng)絡(luò)性能的病毒仍然不采取措施，妨礙網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)系統(tǒng)和其他用戶正常使用網(wǎng)絡(luò)。⑧缺乏網(wǎng)絡(luò)文明禮貌，在網(wǎng)絡(luò)中用粗魯語(yǔ)言發(fā)言。《信息安全技術(shù)基礎(chǔ)》2022/12/10558.3網(wǎng)絡(luò)道德及信息安全法規(guī)⑤制造病毒，故意在網(wǎng)上發(fā)布8.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.2信息安全法規(guī)保密法規(guī)防止和制止網(wǎng)絡(luò)犯罪的法規(guī)信息傳播條例信息安全相關(guān)的法律法規(guī)《信息安全技術(shù)基礎(chǔ)》2022/12/10568.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.2信息安全法規(guī)企業(yè)安全防護(hù)體系的構(gòu)成人

制度技術(shù)安全防護(hù)體系企業(yè)安全防護(hù)體系的主要構(gòu)成因素人制度技術(shù)《信息安全技術(shù)基礎(chǔ)》57企業(yè)安全防護(hù)體系的構(gòu)成人制度技術(shù)安全防護(hù)體系企完善的整體防衛(wèi)技術(shù)架構(gòu)防火墻訪問(wèn)控制防病毒入侵檢測(cè)虛擬專(zhuān)用網(wǎng)漏洞評(píng)估《信息安全技術(shù)基礎(chǔ)》58完善的整體防衛(wèi)技術(shù)架構(gòu)防火墻訪問(wèn)控制防病毒入侵檢測(cè)第八章信息安全技術(shù)基礎(chǔ)《信息安全技術(shù)基礎(chǔ)》第八章信息安全技術(shù)基礎(chǔ)《信息安全技術(shù)基礎(chǔ)》598.1信息安全概述8.1信息安全問(wèn)題概述8.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)8.2.2防火墻技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)8.2.4文件備份與恢復(fù)技術(shù)8.2.5計(jì)算機(jī)病毒防范技術(shù)8.3網(wǎng)絡(luò)道德及信息安全法規(guī)8.3.1網(wǎng)絡(luò)道德8.3.2信息安全法規(guī)8.1.1面臨的安全威脅8.1.2信息安全的特征8.1.3信息安全的內(nèi)容8.1.4信息安全的機(jī)制《信息安全技術(shù)基礎(chǔ)》2022/12/10608.1信息安全概述8.1信息安全問(wèn)題概述8.1.1網(wǎng)絡(luò)安全的背景在我們的生活中，經(jīng)?？梢月?tīng)到下面的報(bào)道：XX網(wǎng)站受到黑客攻擊XX計(jì)算機(jī)系統(tǒng)受到攻擊，造成客戶數(shù)據(jù)丟失目前又出現(xiàn)XX計(jì)算機(jī)病毒，已擴(kuò)散到各大洲……計(jì)算機(jī)網(wǎng)絡(luò)在帶給我們便利的同時(shí)已經(jīng)體現(xiàn)出了它的脆弱性……《信息安全技術(shù)基礎(chǔ)》61網(wǎng)絡(luò)安全的背景在我們的生活中，經(jīng)?？梢月?tīng)到下面的報(bào)道：XX網(wǎng)8.1信息安全概述8.1.1面臨的安全威脅現(xiàn)代信息系統(tǒng)及網(wǎng)絡(luò)通信系統(tǒng)面臨的安全威脅截獲中斷篡改偽造截獲篡改偽造中斷被動(dòng)攻擊主動(dòng)攻擊目的站源站源站源站源站目的站目的站目的站對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊《信息安全技術(shù)基礎(chǔ)》2022/12/10628.1信息安全概述8.1.1面臨的安全威脅截獲篡改截獲搭線竊聽(tīng)信息總部下屬機(jī)構(gòu)黑客信息泄密

信息被篡改Internet截獲是指一個(gè)非授權(quán)方介入系統(tǒng)，使得信息在傳輸過(guò)程中泄露或被竊聽(tīng)，它破壞了信息的保密性。非授權(quán)方可以是一個(gè)人，也可以是一個(gè)程序。截獲攻擊主要包括：①利用電磁泄露或搭線竊聽(tīng)等方式可截獲機(jī)密信息，通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推測(cè)出有用信息，如用戶口令、賬號(hào)等。②文件或程序的不正當(dāng)復(fù)制?！缎畔踩夹g(shù)基礎(chǔ)》63截獲搭線竊聽(tīng)信息總部下屬機(jī)構(gòu)黑客信息泄密Internet中斷中斷是使正在使用的信息系統(tǒng)毀壞或不能使用，即破壞了信息的可用性。中斷攻擊主要包括：①使合法用戶不能訪問(wèn)網(wǎng)絡(luò)的資源。②使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。③物理破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備組件使網(wǎng)絡(luò)不可用，或者破壞網(wǎng)絡(luò)結(jié)構(gòu)使之癱瘓等。例如，硬盤(pán)等硬件的破壞、通信線路的切斷、文件管理系統(tǒng)的癱瘓等。

《信息安全技術(shù)基礎(chǔ)》中斷中斷是使正在使用的信息系統(tǒng)毀壞或不能使用，即破壞了信息的64篡改篡改是以非法手段竊得對(duì)信息的管理權(quán)，通過(guò)未授權(quán)的創(chuàng)建、修改、刪除和重放等操作，使信息的完整性受到破壞。篡改攻擊主要包括：①改變數(shù)據(jù)文件，如修改信件內(nèi)容等。②改變程序，使之不能正確運(yùn)行?！缎畔踩夹g(shù)基礎(chǔ)》篡改篡改是以非法手段竊得對(duì)信息的管理權(quán)，通過(guò)未授權(quán)的創(chuàng)建、65偽造非授權(quán)方將偽造的信息插入到信息中，破壞信息的真實(shí)性。例如，在網(wǎng)絡(luò)中插入假信件，或者在文件中追加記錄等。

《信息安全技術(shù)基礎(chǔ)》偽造非授權(quán)方將偽造的信息插入到信息中，破壞信息的真實(shí)性。例66網(wǎng)絡(luò)安全面臨的威脅物理風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)信息風(fēng)險(xiǎn)應(yīng)用風(fēng)險(xiǎn)其它風(fēng)險(xiǎn)網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)

設(shè)備防盜，防毀鏈路老化人為破壞網(wǎng)絡(luò)設(shè)備自身故障停電導(dǎo)致無(wú)法工作機(jī)房電磁輻射其他

信息存儲(chǔ)安全信息傳輸安全信息訪問(wèn)安全其他身份鑒別訪問(wèn)授權(quán)機(jī)密性完整性不可否認(rèn)性可用性

計(jì)算機(jī)病毒

外部攻擊內(nèi)部破壞其他風(fēng)險(xiǎn)軟件弱點(diǎn)是否存在管理方面的風(fēng)險(xiǎn)需有無(wú)制定相應(yīng)的安全制度安全拓?fù)浒踩酚蒊nternet《信息安全技術(shù)基礎(chǔ)》67網(wǎng)絡(luò)安全面臨的威脅物理風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)信息8.1信息安全概述8.1.2信息安全的特征可用性機(jī)密性真實(shí)性完整性可控性抗可否認(rèn)性可存活性《信息安全技術(shù)基礎(chǔ)》2022/12/10688.1信息安全概述8.1.2信息安全的特征《信息安8.1信息安全概述8.1.3信息安全的內(nèi)容實(shí)體安全運(yùn)行安全數(shù)據(jù)安全管理安全一、實(shí)體安全問(wèn)題①環(huán)境安全：信息設(shè)備大多屬易碎品，不能受重壓或強(qiáng)烈的震動(dòng)，更不能受強(qiáng)力沖擊，各種自然災(zāi)害（如地震、風(fēng)暴等）對(duì)設(shè)備安全構(gòu)成了嚴(yán)重的威脅。②設(shè)備安全：主要包括：設(shè)備的機(jī)能失常、電源故障和電磁泄漏。③媒體安全：主要是搭線竊聽(tīng)和電磁泄漏。實(shí)體安全策略《信息安全技術(shù)基礎(chǔ)》2022/12/10698.1信息安全概述8.1.3信息安全的內(nèi)容《信息安8.1信息安全概述實(shí)體安全策略實(shí)體安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信線路免受自然災(zāi)害、人為破壞和搭線攻擊，抑制和防止電磁泄漏，建立完備的安全管理制度。二、系統(tǒng)運(yùn)行安全問(wèn)題①操作系統(tǒng)安全：?jiǎn)栴}主要有：未進(jìn)行系統(tǒng)相關(guān)安全配置、軟件的漏洞和“后門(mén)”、協(xié)議的安全漏洞。②應(yīng)用系統(tǒng)安全：涉及資源共享、電子郵件系統(tǒng)、病毒侵害等很多方面?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10708.1信息安全概述實(shí)體安全策略《信息安全技術(shù)基礎(chǔ)》2028.1信息安全概述系統(tǒng)運(yùn)行安全策略運(yùn)行安全策略主要涉及：訪問(wèn)控制策略、防黑客的惡意攻擊、隔離控制策略、入侵檢測(cè)和病毒防護(hù)。三、數(shù)據(jù)安全①數(shù)據(jù)安全需求：就是保證數(shù)據(jù)的真實(shí)性、機(jī)密性、完整性和抗否認(rèn)性。②數(shù)據(jù)安全策略：最主要的數(shù)據(jù)安全策略就是采用數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10718.1信息安全概述系統(tǒng)運(yùn)行安全策略《信息安全技術(shù)基礎(chǔ)》28.1信息安全概述四、管理安全①安全管理問(wèn)題：安全和管理是分不開(kāi)的，即便有好的安全設(shè)備和系統(tǒng)，也應(yīng)該有好的安全管理方法并貫徹實(shí)施。管理的缺陷可能造成系統(tǒng)內(nèi)部人員泄露機(jī)密，也可能造成外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄漏。②安全管理策略：確定安全管理等級(jí)和安全管理范圍，制定有關(guān)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等?！缎畔踩夹g(shù)基礎(chǔ)》2022/12/10728.1信息安全概述四、管理安全《信息安全技術(shù)基礎(chǔ)》2028.1信息安全概述8.1.4信息安全的機(jī)制身份確認(rèn)機(jī)制（收發(fā)信息者身份確認(rèn)）訪問(wèn)控制機(jī)制（合法用戶進(jìn)行訪問(wèn)控制管理）數(shù)據(jù)加密機(jī)制（數(shù)據(jù)加密處理）病毒防范機(jī)制（增加防范病毒軟件）信息監(jiān)控機(jī)制（防止泄密）安全網(wǎng)關(guān)機(jī)制（防火墻）安全審計(jì)機(jī)制（定期檢查）《信息安全技術(shù)基礎(chǔ)》2022/12/10738.1信息安全概述8.1.4信息安全的機(jī)制《信息安8.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)對(duì)稱(chēng)密鑰密碼體系非對(duì)稱(chēng)密鑰密碼體系身份認(rèn)證數(shù)字簽名技術(shù)《信息安全技術(shù)基礎(chǔ)》2022/12/10748.2信息安全技術(shù)8.2.1加密與認(rèn)證技術(shù)《信息數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法《信息安全技術(shù)基礎(chǔ)》75數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念

數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學(xué)方法進(jìn)行函數(shù)轉(zhuǎn)換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過(guò)程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過(guò)數(shù)學(xué)算法轉(zhuǎn)換成密文的過(guò)程；解密(Decryption)：將密文還原成明文的過(guò)程?！缎畔踩夹g(shù)基礎(chǔ)》76數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡(luò)信道明文明文密文加密密鑰解密密鑰兩者相等《信息安全技術(shù)基礎(chǔ)》77數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）加密算法解密算法密數(shù)據(jù)加密技術(shù)原理非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰加密）加密算法解密算法公開(kāi)密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導(dǎo)不相等《信息安全技術(shù)基礎(chǔ)》78數(shù)據(jù)加密技術(shù)原理非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰加密）加密算法解密算數(shù)據(jù)加密技術(shù)原理混合加密系統(tǒng)對(duì)稱(chēng)密鑰加密算法對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰網(wǎng)絡(luò)信道明文明文密文

混合加密系統(tǒng)既能夠安全地交換對(duì)稱(chēng)密鑰，又能夠克服非對(duì)稱(chēng)加密算法效率低的缺陷！非對(duì)稱(chēng)密鑰加密算法非對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰公開(kāi)密鑰私有密鑰

混合加密系統(tǒng)是對(duì)稱(chēng)密鑰加密技術(shù)和非對(duì)稱(chēng)密鑰加密技術(shù)的結(jié)合《信息安全技術(shù)基礎(chǔ)》79數(shù)據(jù)加密技術(shù)原理混合加密系統(tǒng)對(duì)稱(chēng)密鑰加密算法對(duì)稱(chēng)密鑰解密算身份鑒別技術(shù)IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術(shù)的提出

在開(kāi)放的網(wǎng)絡(luò)環(huán)境中，服務(wù)提供者需要通過(guò)身份鑒別技術(shù)判斷提出服務(wù)申請(qǐng)的網(wǎng)絡(luò)實(shí)體是否擁有其所聲稱(chēng)的身份。《信息安全技術(shù)基礎(chǔ)》80身份鑒別技術(shù)IsthatAlice?Hi,thisi身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別基于對(duì)稱(chēng)密鑰密碼體制的身份鑒別技術(shù)基于KDC（密鑰分配中心）的身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰密碼體制的身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)《信息安全技術(shù)基礎(chǔ)》81身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別《信身份鑒別技術(shù)Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice”,mypasswordis“byebye”.Pleasesendmedata.Internet基于用戶名和密碼的身份鑒別

《信息安全技術(shù)基礎(chǔ)》82身份鑒別技術(shù)Yes.Ihaveausernamed身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于對(duì)稱(chēng)密鑰體制的身份鑒別A

在這種技術(shù)中，鑒別雙方共享一個(gè)對(duì)稱(chēng)密鑰KAB，該對(duì)稱(chēng)密鑰在鑒別之前已經(jīng)協(xié)商好（不通過(guò)網(wǎng)絡(luò)）。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤《信息安全技術(shù)基礎(chǔ)》83身份鑒別技術(shù)ThisisBob.AreyouAli身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鑒別技術(shù)A,KA(B,KS)

基于KDC（KeyDistributionCenter，密鑰分配中心）的身份鑒別技術(shù)克服了基于對(duì)稱(chēng)密鑰的身份鑒別技術(shù)中的密鑰管理的困難。在這種技術(shù)中，參與鑒別的實(shí)體只與KDC共享一個(gè)對(duì)稱(chēng)密鑰，鑒別通過(guò)KDC來(lái)完成。KB(A,KS)AliceBob①②KDC《信息安全技術(shù)基礎(chǔ)》84身份鑒別技術(shù)ThisisBob.AreyouAli身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰體制的身份鑒別

在這種技術(shù)中，雙方均用對(duì)方的公開(kāi)密鑰進(jìn)行加密和傳輸。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③《信息安全技術(shù)基礎(chǔ)》85身份鑒別技術(shù)基于非對(duì)稱(chēng)密鑰體制的身份鑒別在這種身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)

為解決非對(duì)稱(chēng)密鑰身份鑒別技術(shù)中存在的“公開(kāi)密鑰真實(shí)性”的問(wèn)題，可采用證書(shū)對(duì)實(shí)體的公開(kāi)密鑰的真實(shí)性進(jìn)行保證。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②《信息安全技術(shù)基礎(chǔ)》86身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)為解決非對(duì)稱(chēng)數(shù)據(jù)加密技術(shù)原理數(shù)字簽名

數(shù)字簽名（digitalsignature）技術(shù)通過(guò)某種加密算法，在一條地址消息的尾部添加一個(gè)字符串，而收信人可以根據(jù)這個(gè)字符串驗(yàn)明發(fā)信人的身份，并可進(jìn)行數(shù)據(jù)完整性檢查?！缎畔踩夹g(shù)基礎(chǔ)》87數(shù)據(jù)加密技術(shù)原理數(shù)字簽名數(shù)字簽名（數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱(chēng)加密算法非對(duì)稱(chēng)解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開(kāi)密鑰哈希算法標(biāo)記標(biāo)記-2合同哈希算法比較標(biāo)記-1如果兩標(biāo)記相同，則符合上述確認(rèn)要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認(rèn)：合同的確是Alice發(fā)送的合同在傳輸途中未被修改《信息安全技術(shù)基礎(chǔ)》88數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱(chēng)加密算法非對(duì)稱(chēng)解密算數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；對(duì)簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證；發(fā)信人無(wú)法對(duì)信件的內(nèi)容進(jìn)行抵賴(lài)。

當(dāng)我們對(duì)簽名人同公開(kāi)密鑰的對(duì)應(yīng)關(guān)系產(chǎn)生疑問(wèn)時(shí)，我們需要第三方頒證機(jī)構(gòu)（CA:CertificateAuthorities）的幫助。《信息安全技術(shù)基礎(chǔ)》89數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；8.2信息安全技術(shù)8.2.2防火墻技術(shù)一、防火墻的主要功能①檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。②檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。③執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過(guò)。④具有防攻擊能力，保證自身的安全性。二、防火墻的基本準(zhǔn)則一切未被允許的就是禁止的一切未被禁止的就是允許的《信息安全技術(shù)基礎(chǔ)》2022/12/10908.2信息安全技術(shù)8.2.2防火墻技術(shù)《信息安全

網(wǎng)絡(luò)防火墻的基本概念

防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是在被保護(hù)網(wǎng)和外網(wǎng)之間執(zhí)行訪問(wèn)控制策略的一種或一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。它是網(wǎng)絡(luò)的第一道防線，也是當(dāng)前防止網(wǎng)絡(luò)系統(tǒng)被人惡意破壞的一個(gè)主要網(wǎng)絡(luò)安全設(shè)備。它本質(zhì)上是一種保護(hù)裝置，在兩個(gè)網(wǎng)之間構(gòu)筑了一個(gè)保護(hù)層。所有進(jìn)出此保護(hù)網(wǎng)的傳播信息都必須經(jīng)過(guò)此保護(hù)層，并在此接受檢查和連接，只有授權(quán)的通信才允許通過(guò)，從而使被保護(hù)網(wǎng)和外部網(wǎng)在一定意義下隔離，防止非法入侵和破壞行為。圖1網(wǎng)絡(luò)拓?fù)鋱D不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問(wèn)的服務(wù)及資源可信任的用戶不可信的用戶DMZ《信息安全技術(shù)基礎(chǔ)》91網(wǎng)絡(luò)防火墻的基本概念防火墻是一種8.2信息安全技術(shù)三、防火墻的位置外部網(wǎng)絡(luò)不可信賴(lài)的網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)可信賴(lài)的網(wǎng)絡(luò)防火墻《信息安全技術(shù)基礎(chǔ)》2022/12/10928.2信息安全技術(shù)三、防火墻的位置外部網(wǎng)絡(luò)不可信賴(lài)內(nèi)防火墻的主要技術(shù)應(yīng)用層代理技術(shù)

(ApplicationProxy)包過(guò)濾技術(shù)

(PacketFiltering)狀態(tài)包過(guò)濾技術(shù)

(StatefulPacketFiltering)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻的主要技術(shù)種類(lèi)《信息安全技術(shù)基礎(chǔ)》93防火墻的主要技術(shù)應(yīng)用層代理技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層包過(guò)濾技術(shù)包過(guò)濾技術(shù)的基本概念包過(guò)濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包有選擇的通過(guò)，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則，只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則從數(shù)據(jù)流中刪除。包過(guò)濾一般由屏蔽路由器來(lái)完成。屏蔽路由器也稱(chēng)過(guò)濾路由器，是一種可以根據(jù)過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器。

《信息安全技術(shù)基礎(chǔ)》94包過(guò)濾技術(shù)包過(guò)濾技術(shù)的基本概念《信息安全技術(shù)基礎(chǔ)》36包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是防火墻最常用的技術(shù)。對(duì)一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò)，這種方法可以阻塞某些主機(jī)或網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對(duì)一些危險(xiǎn)和色情站點(diǎn)的訪問(wèn)。圖4包過(guò)濾技術(shù)概念數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開(kāi)數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略《信息安全技術(shù)基礎(chǔ)》95包過(guò)濾技術(shù)包過(guò)濾技術(shù)是防火墻最常用的狀態(tài)包檢測(cè)技術(shù)

狀態(tài)包檢測(cè)技術(shù)是包過(guò)濾技術(shù)的延伸，常被稱(chēng)為“動(dòng)態(tài)包過(guò)濾”，是一種與包過(guò)濾相類(lèi)似但更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。適合網(wǎng)絡(luò)流量大的環(huán)境。

《信息安全技術(shù)基礎(chǔ)》96狀態(tài)包檢測(cè)技術(shù)狀態(tài)包檢測(cè)技術(shù)是包過(guò)8.2信息安全技術(shù)四、應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)也叫代理服務(wù)器，隔離風(fēng)險(xiǎn)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的直接聯(lián)系，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由代理服務(wù)器“代理”完成。代理服務(wù)器像一堵真正的墻一樣阻擋在內(nèi)部用戶和外界之間，從外面只能看到代理服務(wù)器而看不到內(nèi)部資源，從而有效地保護(hù)內(nèi)部網(wǎng)不受侵害。《信息安全技術(shù)基礎(chǔ)》2022/12/10978.2信息安全技術(shù)四、應(yīng)用級(jí)網(wǎng)關(guān)《信息安全技術(shù)基礎(chǔ)》防火墻的功能利用防火墻保護(hù)內(nèi)部網(wǎng)主要有以下幾個(gè)主要功能：控制對(duì)網(wǎng)點(diǎn)的訪問(wèn)和封鎖網(wǎng)點(diǎn)信息的泄露防火墻可看作檢查點(diǎn)，所有進(jìn)出的信息都必須穿過(guò)它，為網(wǎng)絡(luò)安全起把關(guān)作用，有效地阻擋外來(lái)的攻擊，對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行監(jiān)視，只允許授權(quán)的通信通過(guò)；保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)。能限制被保護(hù)子網(wǎng)的泄露為防止影響一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播，防火墻可隔離網(wǎng)絡(luò)的一個(gè)網(wǎng)段和另一個(gè)網(wǎng)段，從而限制了局部網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)網(wǎng)絡(luò)的影響。《信息安全技術(shù)基礎(chǔ)》98防火墻的功能利用防火墻保護(hù)內(nèi)部網(wǎng)主要有以下幾個(gè)主要功能：《信具有審計(jì)作用防火墻能有效地記錄Internet網(wǎng)的活動(dòng)，因?yàn)樗袀鬏數(shù)男畔⒍急仨毚┻^(guò)防火墻，防火墻能幫助記錄有關(guān)內(nèi)部網(wǎng)和外部網(wǎng)的互訪信息和入侵者的任何企圖。能強(qiáng)制安全策略Internt網(wǎng)上的許多服務(wù)是不安全的，防火墻是這些服務(wù)的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅允許“認(rèn)可”和符合規(guī)則的服務(wù)通過(guò)。此外，防火墻還具有其他一些優(yōu)點(diǎn)，如：監(jiān)視網(wǎng)絡(luò)的安全并產(chǎn)生報(bào)警；保密性好，強(qiáng)化私有權(quán)；提供加密和解密及便于網(wǎng)絡(luò)實(shí)施密鑰管理的能力。《信息安全技術(shù)基礎(chǔ)》99具有審計(jì)作用《信息安全技術(shù)基礎(chǔ)》41防火墻的不足

雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安全中起著不可替代的作用，但它不是萬(wàn)能的，有其自身的弱點(diǎn)，主要表現(xiàn)在：防火墻不能防備病毒雖然防火墻掃描所有通過(guò)的信息，但掃描多半是針對(duì)源與目標(biāo)地址以及端口號(hào)，而并非數(shù)據(jù)細(xì)節(jié)，有太多類(lèi)型的病毒和太多種方法可使病毒在數(shù)據(jù)中隱藏，防火墻在病毒的防范上是不適用的。防火墻對(duì)不通過(guò)它的連接無(wú)能為力雖然防火墻能有效的控制所有通過(guò)它的信息，但對(duì)從網(wǎng)絡(luò)后門(mén)及調(diào)制解調(diào)器撥人的訪問(wèn)則無(wú)能為力。《信息安全技術(shù)基礎(chǔ)》100防火墻的不足雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安防火墻不能防備內(nèi)部人員的攻擊目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。所以，如果入侵者來(lái)自防火墻的內(nèi)部，防火墻則無(wú)能為力。限制有用的網(wǎng)絡(luò)服務(wù)防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。由于多數(shù)網(wǎng)絡(luò)服務(wù)在設(shè)計(jì)之初根本沒(méi)有考慮安全性，所以都存在安全問(wèn)題。防火墻限制這些網(wǎng)絡(luò)服務(wù)等于從一個(gè)極端走向了另一個(gè)極端?！缎畔踩夹g(shù)基礎(chǔ)》101防火墻不能防備內(nèi)部人員的攻擊《信息安全技術(shù)基礎(chǔ)》43防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題防火墻是一種被動(dòng)式的防護(hù)手段，只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。隨著網(wǎng)絡(luò)攻擊手段的不斷更新和新的網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，不可能靠一次性的防火墻設(shè)置來(lái)解決永遠(yuǎn)的網(wǎng)絡(luò)安全問(wèn)題?！缎畔踩夹g(shù)基礎(chǔ)》102防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題《信息安全技術(shù)基礎(chǔ)》448.2信息安全技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)入侵檢測(cè)的功能①監(jiān)控、分析用戶和系統(tǒng)的行為。②檢查系統(tǒng)的配置和漏洞。③評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。④對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類(lèi)型，并向網(wǎng)絡(luò)管理人員報(bào)警。⑤對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。入侵檢測(cè)的基本方法：異常檢測(cè)誤用檢測(cè)系統(tǒng)《信息安全技術(shù)基礎(chǔ)》2022/12/101038.2信息安全技術(shù)8.2.3網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技8.2信息安全技術(shù)8.2.4文件備份與恢復(fù)技術(shù)文件備份與恢復(fù)的重要性數(shù)據(jù)可以進(jìn)行歸檔與備份歸檔是指在一種特殊介質(zhì)上進(jìn)行永久性存儲(chǔ)，歸檔的數(shù)據(jù)可能包括文件服務(wù)器不再需要的數(shù)據(jù)，但是由于某種原因需要保存若干年，一般是將這些數(shù)據(jù)存放在一個(gè)非常安全的地方。數(shù)據(jù)備份是一項(xiàng)基本的系統(tǒng)維護(hù)工作。數(shù)據(jù)備份簡(jiǎn)介《信息安全技術(shù)基礎(chǔ)》2022/12/