版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
內(nèi)容提要本章介紹網(wǎng)絡(luò)安全研究的體系研究網(wǎng)絡(luò)安全的必要性、研究網(wǎng)絡(luò)安全社會意義以及目前計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)法規(guī)。介紹了如何評價(jià)一個(gè)系統(tǒng)或者應(yīng)用軟件的安全等級。為了能順利的完成本書介紹的各種實(shí)驗(yàn),本章最后比較詳細(xì)的介紹了實(shí)驗(yàn)環(huán)境的配置。內(nèi)容提要本章介紹網(wǎng)絡(luò)安全研究的體系1網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全(NetworkSecurity)是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全(NetworkSecur2網(wǎng)絡(luò)安全的攻防體系網(wǎng)絡(luò)安全的攻防體系3攻擊技術(shù)如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗(yàn)的,攻擊技術(shù)主要包括五個(gè)方面:1、網(wǎng)絡(luò)監(jiān)聽:自己不主動去攻擊別人,在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描:利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等,目的是發(fā)現(xiàn)漏洞,為入侵該計(jì)算機(jī)做準(zhǔn)備。3、網(wǎng)絡(luò)入侵:當(dāng)探測發(fā)現(xiàn)對方存在漏洞以后,入侵到目標(biāo)計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門:成功入侵目標(biāo)計(jì)算機(jī)后,為了對“戰(zhàn)利品”的長期控制,在目標(biāo)計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身:入侵完畢退出目標(biāo)計(jì)算機(jī)后,將自己入侵的痕跡清除,從而防止被對方管理員發(fā)現(xiàn)。攻擊技術(shù)如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗(yàn)的,攻擊4防御技術(shù)防御技術(shù)包括四大方面:1、操作系統(tǒng)的安全配置:操作系統(tǒng)的安全是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù):為了防止被監(jiān)聽和盜取數(shù)據(jù),將所有的數(shù)據(jù)進(jìn)行加密。3、防火墻技術(shù):利用防火墻,對傳輸?shù)臄?shù)據(jù)進(jìn)行限制,從而防止被入侵。4、入侵檢測:如果網(wǎng)絡(luò)防線最終被攻破了,需要及時(shí)發(fā)出被入侵的警報(bào)。防御技術(shù)防御技術(shù)包括四大方面:5網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全,在軟件方面可以有兩種選擇,一種是使用已經(jīng)成熟的工具,比如抓數(shù)據(jù)包軟件Sniffer,網(wǎng)絡(luò)掃描工具X-Scan等等,另一種是自己編制程序,目前網(wǎng)絡(luò)安全編程常用的計(jì)算機(jī)語言為C、C++或者Perl語言。為了使用工具和編制程序,必須熟悉兩方面的知識一方面是兩大主流的操作系統(tǒng):UNIX家族和Window系列操作系統(tǒng),另一方面是網(wǎng)絡(luò)協(xié)議,常見的網(wǎng)絡(luò)協(xié)議包括:TCP(TransmissionControlProtocol,傳輸控制協(xié)議)IP(InternetProtocol,網(wǎng)絡(luò)協(xié)議)UDP(UserDatagramProtocol,用戶數(shù)據(jù)報(bào)協(xié)議)SMTP(SimpleMailTransferProtocol,簡單郵件傳輸協(xié)議)POP(PostOfficeProtocol,郵局協(xié)議)FTP(FileTransferProtocol,文件傳輸協(xié)議)等等。網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全,在軟件方面可以有兩種選6網(wǎng)絡(luò)安全的層次體系從層次體系上,可以將網(wǎng)絡(luò)安全分成四個(gè)層次上的安全:1、物理安全;2、邏輯安全;3、操作系統(tǒng)安全;4、聯(lián)網(wǎng)安全。網(wǎng)絡(luò)安全的層次體系從層次體系上,可以將網(wǎng)絡(luò)安全分成四個(gè)層次上7物理安全物理安全主要包括五個(gè)方面:1、防盜;2、防火;3、防靜電;4、防雷擊;5、防電磁泄漏。1、防盜:像其他的物體一樣,計(jì)算機(jī)也是偷竊者的目標(biāo),例如盜走軟盤、主板等。計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值,因此必須采取嚴(yán)格的防范措施,以確保計(jì)算機(jī)設(shè)備不會丟失。物理安全物理安全主要包括五個(gè)方面:8物理安全2、防火:計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故或外部火災(zāi)蔓延引起的。電氣設(shè)備和線路因?yàn)槎搪贰⑦^載、接觸不良、絕緣層破壞或靜電等原因引起電打火而導(dǎo)致火災(zāi)。人為事故是指由于操作人員不慎,吸煙、亂扔煙頭等,使存在易燃物質(zhì)(如紙片、磁帶、膠片等)的機(jī)房起火,當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓延是因外部房間或其他建筑物起火而蔓延到機(jī)房而引起火災(zāi)。物理安全2、防火:計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為9物理安全3、防靜電:靜電是由物體間的相互摩擦、接觸而產(chǎn)生的,計(jì)算機(jī)顯示器也會產(chǎn)生很強(qiáng)的靜電。靜電產(chǎn)生后,由于未能釋放而保留在物體內(nèi),會有很高的電位(能量不大),從而產(chǎn)生靜電放電火花,造成火災(zāi)。還可能使大規(guī)模集成電器損壞,這種損壞可能是不知不覺造成的。物理安全3、防靜電:10物理安全利用引雷機(jī)理的傳統(tǒng)避雷針防雷,不但增加雷擊概率,而且產(chǎn)生感應(yīng)雷,而感應(yīng)雷是電子信息設(shè)備被損壞的主要?dú)⑹郑彩且兹家妆繁灰计鸨闹饕?。雷擊防范的主要措施是,根?jù)電氣、微電子設(shè)備的不同功能及不同受保護(hù)程序和所屬保護(hù)層確定防護(hù)要點(diǎn)作分類保護(hù);根據(jù)雷電和操作瞬間過電壓危害的可能通道從電源線到數(shù)據(jù)通信線路都應(yīng)做多層保護(hù)。物理安全利用引雷機(jī)理的傳統(tǒng)避雷針防雷,不但增加雷擊概率,而且11物理安全5、防電磁泄漏電子計(jì)算機(jī)和其他電子設(shè)備一樣,工作時(shí)要產(chǎn)生電磁發(fā)射。電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原,造成計(jì)算機(jī)的信息泄露。屏蔽是防電磁泄漏的有效措施,屏蔽主要有電屏蔽、磁屏蔽和電磁屏蔽三種類型。物理安全5、防電磁泄漏12邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)??梢韵拗频卿浀拇螖?shù)或?qū)υ囂讲僮骷由蠒r(shí)間限制;可以用軟件來保護(hù)存儲在計(jì)算機(jī)文件中的信息;限制存取的另一種方式是通過硬件完成,在接收到存取要求后,先詢問并校核口令,然后訪問列于目錄中的授權(quán)用戶標(biāo)志號。此外,有一些安全軟件包也可以跟蹤可疑的、未授權(quán)的存取企圖,例如,多次登錄或請求別人的文件。邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)。13操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計(jì)算機(jī)系統(tǒng)可提供給許多人使用,操作系統(tǒng)必須能區(qū)分用戶,以便于防止相互干擾。一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶。通常,一個(gè)用戶一個(gè)賬戶。操作系統(tǒng)不允許一個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。14聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達(dá)到:1、訪問控制服務(wù):用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù):用來認(rèn)證數(shù)據(jù)機(jī)要性與完整性,以及各通信的可信賴性。聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達(dá)到:15研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系,受到許多方面的威脅物理威脅系統(tǒng)漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序等方面威脅。研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系,受到許多方面的威脅16物理威脅物理威脅包括四個(gè)方面:偷竊、廢物搜尋、間諜行為和身份識別錯(cuò)誤。1、偷竊網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷竊信息和偷竊服務(wù)等內(nèi)容。如果他們想偷的信息在計(jì)算機(jī)里,那他們一方面可以將整臺計(jì)算機(jī)偷走,另一方面通過監(jiān)視器讀取計(jì)算機(jī)中的信息。2、廢物搜尋就是在廢物(如一些打印出來的材料或廢棄的軟盤)中搜尋所需要的信息。在微機(jī)上,廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得有用資料。3、間諜行為是一種為了省錢或獲取有價(jià)值的機(jī)密、采用不道德的手段獲取信息。4、身份識別錯(cuò)誤非法建立文件或記錄,企圖把他們作為有效的、正式生產(chǎn)的文件或記錄,如對具有身份鑒別特征物品如護(hù)照、執(zhí)照、出生證明或加密的安全卡進(jìn)行偽造,屬于身份識別發(fā)生錯(cuò)誤的范疇。這種行為對網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。物理威脅物理威脅包括四個(gè)方面:偷竊、廢物搜尋、間諜行為和身17系統(tǒng)漏洞威脅系統(tǒng)漏洞造成的威脅包括三個(gè)方面:乘虛而入、不安全服務(wù)和配置和初始化錯(cuò)誤。1、乘虛而入例如,用戶A停止了與某個(gè)系統(tǒng)的通信,但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于激活狀態(tài),這時(shí),用戶B通過這個(gè)端口開始與這個(gè)系統(tǒng)通信,這樣就不必通過任何申請使用端口的安全檢查了。2、不安全服務(wù)有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng),互聯(lián)網(wǎng)蠕蟲就利用了UNIX系統(tǒng)中三個(gè)可繞過的機(jī)制。3、配置和初始化錯(cuò)誤如果不得不關(guān)掉一臺服務(wù)器以維修它的某個(gè)子系統(tǒng),幾天后當(dāng)重啟動服務(wù)器時(shí),可能會招致用戶的抱怨,說他們的文件丟失了或被篡改了,這就有可能是在系統(tǒng)重新初始化時(shí),安全系統(tǒng)沒有正確的初始化,從而留下了安全漏洞讓人利用,類似的問題在木馬程序修改了系統(tǒng)的安全配置文件時(shí)也會發(fā)生。系統(tǒng)漏洞威脅系統(tǒng)漏洞造成的威脅包括三個(gè)方面:乘虛而入、不安全18身份鑒別威脅身份鑒別造成威脅包括四個(gè)面:口令圈套、口令破解、算法考慮不周和編輯口令。1、口令圈套口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì),與冒名頂替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊實(shí)現(xiàn),它運(yùn)行起來和登錄屏幕一模一樣,被插入到正常有登錄過程之前,最終用戶看到的只是先后兩個(gè)登錄屏幕,第一次登錄失敗了,所以用戶被要求再輸入用戶名和口令。實(shí)際上,第一次登錄并沒有失敗,它將登錄數(shù)據(jù),如用戶名和口令寫入到這個(gè)數(shù)據(jù)文件中,留待使用。2、口令破解破解口令就像是猜測自行車密碼鎖的數(shù)字組合一樣,在該領(lǐng)域中已形成許多能提高成功率的技巧。3、算法考慮不周口令輸入過程必須在滿足一定條件下才能正常地工作,這個(gè)過程通過某些算法實(shí)現(xiàn)。在一些攻擊入侵案例中,入侵者采用超長的字符串破壞了口令算法,成功地進(jìn)入了系統(tǒng)。4、編輯口令編輯口令需要依靠操作系統(tǒng)漏洞,如果公司內(nèi)部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含賬戶的口令,這樣,任何知道那個(gè)賬戶的用戶名和口令的人便可以訪問該機(jī)器了。身份鑒別威脅身份鑒別造成威脅包括四個(gè)面:口令圈套、口令破解、19線纜連接威脅線纜連接造成的威脅包括三個(gè)方面:竊聽、撥號進(jìn)入和冒名頂替。1、竊聽對通信過程進(jìn)行竊聽可達(dá)到收集信息的目的,這種電子竊聽不一定需要竊聽設(shè)備一定安裝在電纜上,可以通過檢測從連線上發(fā)射出來的電磁輻射就能拾取所要的信號,為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性,可以使用加密手段來防止信息被解密。2、撥號進(jìn)入擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號碼,每個(gè)人都可以試圖通過遠(yuǎn)程撥號訪問網(wǎng)絡(luò),尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí),就會對網(wǎng)絡(luò)造成很大的威脅。3、冒名頂替通過使用別人的密碼和賬號時(shí),獲得對網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來并不容易,而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。線纜連接威脅線纜連接造成的威脅包括三個(gè)方面:竊聽、撥號進(jìn)入和20有害程序威脅有害程序造成的威脅包括三個(gè)方面:病毒、代碼炸彈和特洛伊木馬。1、病毒病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制,并隨著它所附著的程序在機(jī)器之間傳播。2、代碼炸彈代碼炸彈是一種具有殺傷力的代碼,其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn),或在機(jī)器中發(fā)生了某種操作,代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播,程序員將代碼炸彈寫入軟件中,使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞,一旦該代碼炸彈被觸發(fā)后,這個(gè)程序員便會被請回來修正這個(gè)錯(cuò)誤,并賺一筆錢,這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了,即便他們有疑心也無法證實(shí)自己的猜測。3、特洛伊木馬特洛伊木馬程序一旦被安裝到機(jī)器上,便可按編制者的意圖行事。特洛伊木馬能夠摧毀數(shù)據(jù),有時(shí)偽裝成系統(tǒng)上已有的程序,有時(shí)創(chuàng)建新的用戶名和口令。有害程序威脅有害程序造成的威脅包括三個(gè)方面:病毒、代碼炸彈和21研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的經(jīng)濟(jì)、軍事等領(lǐng)域。研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)22網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來,電子政務(wù)工程已經(jīng)在全國啟動并在北京試點(diǎn)。政府網(wǎng)絡(luò)的安全直接代表了國家的形象。1999年到2001年,一些政府網(wǎng)站,遭受了四次大的黑客攻擊事件。第一次在99年1月份左右,美國黑客組織“美國地下軍團(tuán)”聯(lián)合了波蘭的、英國的黑客組織以及世界上的黑客組織,有組織地對我們國家的政府網(wǎng)站進(jìn)行了攻擊。第二次,99年7月份,當(dāng)臺灣李登輝提出了兩國論的時(shí)候。第三次是在2000年5月8號,美國轟炸我國駐南聯(lián)盟大使館后。第四次是在2001年4月到5月,美機(jī)撞毀王偉戰(zhàn)機(jī)侵入我海南機(jī)場。網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來,電子政務(wù)工程23網(wǎng)絡(luò)安全與經(jīng)濟(jì)一個(gè)國家信息化程度越高,整個(gè)國民經(jīng)濟(jì)和社會運(yùn)行對信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。我國計(jì)算機(jī)犯罪的增長速度超過了傳統(tǒng)的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后來就沒有辦法統(tǒng)計(jì)了。利用計(jì)算機(jī)實(shí)施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項(xiàng)業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起,涉及的金額幾個(gè)億。2000年2月份黑客攻擊的浪潮,是互連網(wǎng)問世以來最為嚴(yán)重的黑客事件。99年4月26日,臺灣人編制的CIH病毒的大爆發(fā),有統(tǒng)計(jì)說我國大陸受其影響的PC機(jī)總量達(dá)36萬臺之多。有人估計(jì)在這次事件中,經(jīng)濟(jì)損失高達(dá)近12億元。1996年4月16日,美國金融時(shí)報(bào)報(bào)道,接入Internet的計(jì)算機(jī),達(dá)到了平均每20秒鐘被黑客成功地入侵一次的新記錄。網(wǎng)絡(luò)安全與經(jīng)濟(jì)一個(gè)國家信息化程度越高,整個(gè)國民經(jīng)濟(jì)和社會運(yùn)行24網(wǎng)絡(luò)安全與社會穩(wěn)定互連網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害,要比現(xiàn)實(shí)社會中一個(gè)造謠要大的多。99年4月,河南商都熱線一個(gè)BBS,一張說交通銀行鄭州支行行長協(xié)巨款外逃的帖子,造成了社會的動蕩,三天十萬人上街排隊(duì),一天提了十多億。2001年2月8日正是春節(jié),新浪網(wǎng)遭受攻擊,電子郵件服務(wù)器癱瘓了18個(gè)小時(shí),造成了幾百萬的用戶無法正常的聯(lián)絡(luò)。網(wǎng)上不良信息腐蝕人們靈魂,色情資訊業(yè)日益猖獗。1997年5月去過色情網(wǎng)站瀏覽過的美國人,占了美國網(wǎng)民的28.2%。河南鄭州剛剛大專畢業(yè)的楊某和何某,在商丘信息港上建立了一個(gè)個(gè)人主頁,用五十多天的時(shí)間建立的主頁存了一萬多幅淫穢照片的網(wǎng)站、100多部小說和小電影。不到54天的時(shí)間,訪問他的人到了30萬。網(wǎng)絡(luò)安全與社會穩(wěn)定互連網(wǎng)上散布一些虛假信息、有害信息對社會管25網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中,美國破譯了日本人的密碼,將山本的艦隊(duì)幾乎全殲,重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭更是信息化戰(zhàn)爭,下面是美國三位知名人士對目前網(wǎng)絡(luò)的描述。美國著名未來學(xué)家阿爾溫托爾勒說過“誰掌握了信息,控制了網(wǎng)絡(luò),誰將擁有整個(gè)世界。美國前總統(tǒng)克林頓說過“今后的時(shí)代,控制世界的國家將不是靠軍事,而是信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時(shí)代的出現(xiàn),將從根本上改變戰(zhàn)爭的進(jìn)行方式”。網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中,美國破譯了日本人的密碼,將26我國立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法。于1982年8月23日寫入中華人民共和國商標(biāo)法于1984年3月12日寫入中華人民共和國專利法于1988年9月5日寫入中華人民共和國保守國家秘密法于1993年9月2日寫入中華人民共和國反不正當(dāng)競爭法。我國立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法27國際立法情況美國和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國家,一些發(fā)展中國家和第三世界國家的計(jì)算機(jī)網(wǎng)絡(luò)安全方面的法規(guī)還不夠完善。歐洲共同體是一個(gè)在歐洲范圍內(nèi)具有較強(qiáng)影響力的政府間組織。為在共同體內(nèi)正常地進(jìn)行信息市場運(yùn)做,該組織在諸多問題上建立了一系列法律,具體包括:競爭(反托拉斯)法;產(chǎn)品責(zé)任、商標(biāo)和廣告規(guī)定;知識產(chǎn)權(quán)保護(hù);保護(hù)軟件、數(shù)據(jù)和多媒體產(chǎn)品及在線版權(quán);數(shù)據(jù)保護(hù);跨境電子貿(mào)易;稅收;司法問題等。這些法律若與其成員國原有國家法律相矛盾,則必須以共同體的法律為準(zhǔn)。國際立法情況美國和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國家,一些發(fā)28我國評價(jià)標(biāo)準(zhǔn)
在我國根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,1999年10月經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級別第一級為用戶自主保護(hù)級:它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力,保護(hù)用戶的信息免受非法的讀寫破壞。第二級為系統(tǒng)審計(jì)保護(hù)級:除具備第一級所有的安全保護(hù)功能外,要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄,使所有的用戶對自己的行為的合法性負(fù)責(zé)。第三級為安全標(biāo)記保護(hù)級:除繼承前一個(gè)級別的安全功能外,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限,實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)。第四級為結(jié)構(gòu)化保護(hù)級:在繼承前面安全級別安全功能的基礎(chǔ)上,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分直接控制訪問者對訪問對象的存取,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級為訪問驗(yàn)證保護(hù)級:這一個(gè)級別特別增設(shè)了訪問驗(yàn)證功能,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。我國評價(jià)標(biāo)準(zhǔn)
在我國根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則29國際評價(jià)標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評價(jià)準(zhǔn)則(TrustedComputerStandardsEvaluationCriteria:TCSEC),也就是網(wǎng)絡(luò)安全橙皮書,一些計(jì)算機(jī)安全級別被用來評價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。自從1985年橙皮書成為美國國防部的標(biāo)準(zhǔn)以來,就一直沒有改變過,多年以來一直是評估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)(如數(shù)據(jù)庫和網(wǎng)絡(luò))也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個(gè)類別:D類、C類、B類和A類,每類又分幾個(gè)級別,國際評價(jià)標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算30安全級別安全級別31安全級別D級是最低的安全級別,擁有這個(gè)級別的操作系統(tǒng)就像一個(gè)門戶大開的房子,任何人都可以自由進(jìn)出,是完全不可信任的。對于硬件來說,是沒有任何保護(hù)措施的,操作系統(tǒng)容易受到損害,沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制,任何人不需任何賬戶都可以進(jìn)入系統(tǒng),不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個(gè)級別的操作系統(tǒng)有:DOS和Windows98等。安全級別D級是最低的安全級別,擁有這個(gè)級別的操作系統(tǒng)就像一個(gè)32安全級別C1是C類的一個(gè)安全子級。C1又稱選擇性安全保護(hù)(DiscretionarySecurityProtection)系統(tǒng),它描述了一個(gè)典型的用在Unix系統(tǒng)上安全級別這種級別的系統(tǒng)對硬件又有某種程度的保護(hù),如用戶擁有注冊賬號和口令,系統(tǒng)通過賬號和口令來識別用戶是否合法,并決定用戶對程序和信息擁有什么樣的訪問權(quán),但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對文件和目標(biāo)的訪問權(quán)。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問權(quán)限。安全級別C1是C類的一個(gè)安全子級。C1又稱選擇性安全保護(hù)(D33安全級別使用附加身份驗(yàn)證就可以讓一個(gè)C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級使系統(tǒng)管理員能夠給用戶分組,授予他們訪問某些程序的權(quán)限或訪問特定的目錄。能夠達(dá)到C2級別的常見操作系統(tǒng)有:(1)、Unix系統(tǒng)(2)、Novell3.X或者更高版本(3)、WindowsNT、Windows2000和Windows2003安全級別使用附加身份驗(yàn)證就可以讓一個(gè)C2級系統(tǒng)用戶在不是超級34安全級別B級中有三個(gè)級別,B1級即標(biāo)志安全保護(hù)(LabeledSecurityProtection),是支持多級安全(例如:秘密和絕密)的第一個(gè)級別,這個(gè)級別說明處于強(qiáng)制性訪問控制之下的對象,系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級別存在保密、絕密級別,這種安全級別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中,比如國防部和國家安全局的計(jì)算機(jī)系統(tǒng)。安全級別B級中有三個(gè)級別,B1級即標(biāo)志安全保護(hù)(Labele35安全級別B2級,又叫結(jié)構(gòu)保護(hù)級別(StructuredProtection),它要求計(jì)算機(jī)系統(tǒng)中所有的對象都要加上標(biāo)簽,而且給設(shè)備(磁盤、磁帶和終端)分配單個(gè)或者多個(gè)安全級別。B3級,又叫做安全域級別(SecurityDomain),使用安裝硬件的方式來加強(qiáng)域的安全,例如,內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。安全級別B2級,又叫結(jié)構(gòu)保護(hù)級別(StructuredPr36安全級別A級,又稱驗(yàn)證設(shè)計(jì)級別(VerifiedDesign),是當(dāng)前橙皮書的最高級別,它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級別包含了較低級別的所有的安全特性設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證,而且必須進(jìn)行秘密通道和可信任分布分析??尚湃畏植迹═rustedDistribution)的含義是:硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù),以防止破壞安全系統(tǒng)。橙皮書也存在不足。TCSEC是針對孤立計(jì)算機(jī)系統(tǒng),特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障,該標(biāo)準(zhǔn)適合政府和軍隊(duì),不適合企業(yè),這個(gè)模型是靜態(tài)的。安全級別A級,又稱驗(yàn)證設(shè)計(jì)級別(VerifiedDesig37環(huán)境配置網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科,包括許多試驗(yàn)。良好的實(shí)驗(yàn)配置是必須的。網(wǎng)絡(luò)安全實(shí)驗(yàn)配置最少應(yīng)該有兩個(gè)獨(dú)立的操作系統(tǒng),而且兩個(gè)操作系統(tǒng)可以通過以太網(wǎng)進(jìn)行通信。環(huán)境配置網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科,包括許多試驗(yàn)。38安裝VMware虛擬機(jī)考慮兩個(gè)方面的因素:1、許多計(jì)算機(jī)不具有聯(lián)網(wǎng)的條件。2、網(wǎng)絡(luò)安全實(shí)驗(yàn)對系統(tǒng)具有破壞性。這里介紹在一臺計(jì)算機(jī)上安裝一套操作系統(tǒng),然后利用工具軟件再虛擬一套操作為網(wǎng)絡(luò)安全的攻擊對象。首先準(zhǔn)備一臺計(jì)算機(jī),因?yàn)樾枰b兩套操作系統(tǒng),所以內(nèi)存應(yīng)該比較大。計(jì)算機(jī)的基本配置如表1-2所示。安裝VMware虛擬機(jī)考慮兩個(gè)方面的因素:39實(shí)驗(yàn)設(shè)備實(shí)驗(yàn)設(shè)備40實(shí)驗(yàn)設(shè)備在計(jì)算機(jī)上安裝Windows2000Server,并且打上相關(guān)的布丁,在本書中操作系統(tǒng)是Windows2000Server,IP地址設(shè)置為10,根據(jù)需要可以設(shè)置為其他的IP地址。如圖1-2所示。實(shí)驗(yàn)設(shè)備在計(jì)算機(jī)上安裝Windows2000Server41虛擬機(jī)軟件VMware需要安裝一個(gè)虛擬機(jī)軟件VMware,虛擬機(jī)上的操作系統(tǒng),可以通過網(wǎng)卡和實(shí)際的操作系統(tǒng)進(jìn)行通信。通信的過程和原理,與真實(shí)環(huán)境下的兩臺計(jì)算機(jī)一樣。虛擬機(jī)操作系統(tǒng)的界面如圖1-3所示。虛擬機(jī)軟件VMware需要安裝一個(gè)虛擬機(jī)軟件VMware,虛42配置VMware虛擬機(jī)安裝完虛擬機(jī)以后,就如同組裝了一臺電腦,這臺電腦需要安裝操作系統(tǒng)。需要在虛擬機(jī)中裝操作系統(tǒng),選擇菜單欄“File”下的“New”菜單項(xiàng),再選擇子菜單“NewVirtualMachine”,如圖1-8所示。配置VMware虛擬機(jī)安裝完虛擬機(jī)以后,就如同組裝了一臺電腦43配置VMware虛擬機(jī)出現(xiàn)新建虛擬機(jī)向?qū)?,這里有許多設(shè)置需要說明,不然虛擬機(jī)可能無法和外面系統(tǒng)進(jìn)行通信。點(diǎn)擊向?qū)Ы缑娴陌粹o“下一步”,出現(xiàn)安裝選項(xiàng),如圖1-9所示。
配置VMware虛擬機(jī)出現(xiàn)新建虛擬機(jī)向?qū)В@里有許多設(shè)置需要44配置VMware虛擬機(jī)這里有兩種選擇,選項(xiàng)“Typical”是典型安裝,選項(xiàng)“Custom”是自定義安裝,選擇“Custom”安裝方式。點(diǎn)擊按鈕“下一步”,進(jìn)入選擇操作系統(tǒng)界面,設(shè)置將來要安裝的操作系統(tǒng)類型,如圖1-10所示。配置VMware虛擬機(jī)這里有兩種選擇,選項(xiàng)“Typical”45配置VMware虛擬機(jī)從圖1-10中可以看出幾乎常見的操作系統(tǒng)在列表中都有。選擇“WindowsAdvancedServer”,點(diǎn)擊按鈕“下一步”進(jìn)入安裝目錄選擇界面,如圖1-11所示。配置VMware虛擬機(jī)從圖1-10中可以看出幾乎常見的操作系46配置VMware虛擬機(jī)有兩個(gè)文本框,上面文本框是系統(tǒng)的名字,按照默認(rèn)值就可以,下面的文本框需要選擇虛擬操作系統(tǒng)安裝地址。選擇好地址以后,點(diǎn)擊按鈕“下一步”,出現(xiàn)虛擬機(jī)內(nèi)存大小的界面,如圖1-12所示。配置VMware虛擬機(jī)有兩個(gè)文本框,上面文本框是系統(tǒng)的名字,47配置VMware虛擬機(jī)因?yàn)榘惭b的是Windows2000AdvancedServer,所以內(nèi)存不能小于128M,如果計(jì)算機(jī)內(nèi)存比較大的話可以分配的多一些,但是不能超過真實(shí)內(nèi)存大小,這里設(shè)置為128M,點(diǎn)擊按鈕“下一步”進(jìn)入網(wǎng)絡(luò)連接方式選擇界面,如圖1-13所示。配置VMware虛擬機(jī)因?yàn)榘惭b的是Windows200048配置VMware虛擬機(jī)VMWare的常用的是兩種聯(lián)網(wǎng)方式:(1)UsedBridgednetworking虛擬機(jī)操作系統(tǒng)的IP地址可設(shè)置成與主機(jī)操作系統(tǒng)在同一網(wǎng)段,虛擬機(jī)操作系統(tǒng)相當(dāng)于網(wǎng)絡(luò)內(nèi)的一臺獨(dú)立的機(jī)器,網(wǎng)絡(luò)內(nèi)其他機(jī)器可訪問虛擬機(jī)上的操作系統(tǒng),虛擬機(jī)的操作系統(tǒng)也可訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。(2)Usernetworkaddresstranslation(NAT)實(shí)現(xiàn)主機(jī)的操作系統(tǒng)與虛擬機(jī)上的操作系統(tǒng)的雙向訪問。但網(wǎng)絡(luò)內(nèi)其他機(jī)器不能訪問虛擬機(jī)上的操作系統(tǒng),虛擬機(jī)可通過主機(jī)操作系統(tǒng)的NAT協(xié)議訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。一般來說,Bridged方式最方便好用,因?yàn)檫@種連接方式將使虛擬機(jī)就好像是一臺獨(dú)立的計(jì)算機(jī)一樣。配置VMware虛擬機(jī)VMWare的常用的是兩種聯(lián)網(wǎng)方式:49配置VMware虛擬機(jī)選擇第一種方式:使用網(wǎng)橋方式聯(lián)網(wǎng)。點(diǎn)擊按鈕“下一步”,出現(xiàn)創(chuàng)建磁盤的選擇界面,如圖1-14所示。配置VMware虛擬機(jī)選擇第一種方式:使用網(wǎng)橋方式聯(lián)網(wǎng)。點(diǎn)擊50配置VMware虛擬機(jī)有三種選擇:1、Createanewvirtualdisk虛擬機(jī)將重新建立一個(gè)虛擬磁盤,該磁盤在實(shí)際計(jì)算機(jī)操作系統(tǒng)上就是一個(gè)文件,而且這個(gè)文件還可以隨意的拷貝。2、Useanexistingvirtualdisk使用已經(jīng)建立好的虛擬磁盤。3、Useaphysicaldisk使用實(shí)際的磁盤,這樣虛擬機(jī)可以方便的和主機(jī)進(jìn)行文件交換,但是這樣的話,虛擬機(jī)上的操作系統(tǒng)受到損害的時(shí)候會影響外面的操作系統(tǒng)。配置VMware虛擬機(jī)有三種選擇:51配置VMware虛擬機(jī)因?yàn)檫@里是做網(wǎng)絡(luò)安全方面的實(shí)驗(yàn),盡量的讓虛擬機(jī)和外面系統(tǒng)隔離,所以這里選擇第一項(xiàng)。點(diǎn)擊按鈕“下一步”,進(jìn)入硬盤空間分配界面,如圖1-15所示。配置VMware虛擬機(jī)因?yàn)檫@里是做網(wǎng)絡(luò)安全方面的實(shí)驗(yàn),盡量的52配置VMware虛擬機(jī)建立一個(gè)虛擬的操作系統(tǒng),這里按照默認(rèn)的4G就夠了。點(diǎn)擊按鈕“下一步”進(jìn)入文件存放路徑設(shè)置界面,如圖1-16所示。配置VMware虛擬機(jī)建立一個(gè)虛擬的操作系統(tǒng),這里按照默認(rèn)的53配置VMware虛擬機(jī)整個(gè)虛擬機(jī)上操作系統(tǒng)就包含在這個(gè)文件中,點(diǎn)擊按鈕“完成”,可以在VMware的主界面看到剛才配置的虛擬機(jī),如圖1-17所示。配置VMware虛擬機(jī)整個(gè)虛擬機(jī)上操作系統(tǒng)就包含在這個(gè)文件中54配置VMware虛擬機(jī)點(diǎn)擊綠色的啟動按鈕來開啟虛擬機(jī),如圖1-18所示。配置VMware虛擬機(jī)點(diǎn)擊綠色的啟動按鈕來開啟虛擬機(jī),如圖155配置VMware虛擬機(jī)可以看到VMware的啟動界面,相當(dāng)于是一臺獨(dú)立的計(jì)算機(jī),如圖1-18所示。配置VMware虛擬機(jī)可以看到VMware的啟動界面,相當(dāng)于56配置VMware虛擬機(jī)在圖1-18中可以看到,按下功能鍵“F2”進(jìn)入系統(tǒng)設(shè)置界面,進(jìn)入虛擬機(jī)的BIOS(BasicInputandOutSystem)設(shè)置界面,如圖1-19所示。配置VMware虛擬機(jī)在圖1-18中可以看到,按下功能鍵“F57配置VMware虛擬機(jī)為了使所有的網(wǎng)絡(luò)安全攻擊實(shí)驗(yàn)都可以成功完成,在虛擬上安裝沒有打過任何布丁的WindowsAdvancedServer2000。安裝完畢后,虛擬機(jī)上的操作系統(tǒng)如圖1-20所示。配置VMware虛擬機(jī)為了使所有的網(wǎng)絡(luò)安全攻擊實(shí)驗(yàn)都可以成功58配置VMware虛擬機(jī)這樣兩套操作系統(tǒng)就成功的建成了。啟動成功后,進(jìn)入操作系統(tǒng),配置虛擬機(jī)上操作系統(tǒng)的IP地址,使之和主機(jī)能夠通過網(wǎng)絡(luò)進(jìn)行通信,配置虛擬機(jī)操作系統(tǒng)的IP地址是:09,如圖1-21所示。配置VMware虛擬機(jī)這樣兩套操作系統(tǒng)就成功的建成了。啟動成59配置VMware虛擬機(jī)主機(jī)和虛擬機(jī)在同一網(wǎng)段,并可以通信。利用Ping指令來測試網(wǎng)絡(luò)是否連通。在主機(jī)的DOS窗口中輸入“Ping09”,如圖1-22所示。
配置VMware虛擬機(jī)主機(jī)和虛擬機(jī)在同一網(wǎng)段,并可以通信。利60網(wǎng)絡(luò)抓包軟件Sniffer網(wǎng)絡(luò)抓包軟件Sniffer61利用Sniffer抓包進(jìn)入Sniffer主界面,抓包之前必須首先設(shè)置要抓取數(shù)據(jù)包的類型。選擇主菜單Capture下的DefineFilter菜單,如圖1-26所示。利用Sniffer抓包進(jìn)入Sniffer主界面,抓包之前必62利用Sniffer抓包在抓包過濾器窗口中,選擇Address選項(xiàng)卡,如圖1-27所示。窗口中需要修改兩個(gè)地方:在Address下拉列表中,選擇抓包的類型是IP,在Station1下面輸入主機(jī)的IP地址,主機(jī)的IP地址是10;在與之對應(yīng)的Station2下面輸入虛擬機(jī)的IP地址,虛擬機(jī)的IP地址是09。利用Sniffer抓包在抓包過濾器窗口中,選擇Address63利用Sniffer抓包設(shè)置完畢后,點(diǎn)擊該窗口的Advanced選項(xiàng)卡,拖動滾動條找到IP項(xiàng),將IP和ICMP選中(IP和ICMP的具體解釋在第二章,這里只是做相應(yīng)的設(shè)置),如圖1-28所示。利用Sniffer抓包設(shè)置完畢后,點(diǎn)擊該窗口的Advance64利用Sniffer抓包向下拖動滾動條,將TCP和UDP選中,再把TCP下面的FTP和Telnet兩個(gè)選項(xiàng)選中,如圖1-29所示。利用Sniffer抓包向下拖動滾動條,將TCP和UDP選中,65利用Sniffer抓包這樣Sniffer的抓包過濾器就設(shè)置完畢了,后面的實(shí)驗(yàn)也采用這樣的設(shè)置。選擇菜單欄Capture下Start菜單項(xiàng),啟動抓包以后,在主機(jī)的DOS窗口中Ping虛擬機(jī),如圖1-31所示。利用Sniffer抓包這樣Sniffer的抓包過濾器就設(shè)置完66利用Sniffer抓包等Ping指令執(zhí)行完畢后,點(diǎn)擊工具欄上的停止并分析按鈕,如圖1-32所示。利用Sniffer抓包等Ping指令執(zhí)行完畢后,點(diǎn)擊工具欄上67利用Sniffer抓包在出現(xiàn)的窗口選擇Decode選項(xiàng)卡,可以看到數(shù)據(jù)包在兩臺計(jì)算機(jī)間的傳遞過程,如圖1-33所示。利用Sniffer抓包在出現(xiàn)的窗口選擇Decode選項(xiàng)卡,可68主機(jī)配置Sniffer將Ping的數(shù)據(jù)包成功獲取了。實(shí)驗(yàn)中的主機(jī)除此之外還要安裝VC++6.0。主機(jī)軟件推薦配置如表1-3所示。主機(jī)配置Sniffer將Ping的數(shù)據(jù)包成功獲取了。實(shí)驗(yàn)中69虛擬機(jī)配置虛擬機(jī)配置70虛擬機(jī)配置實(shí)驗(yàn)中的很多程序?qū)儆谀抉R和病毒程序,除了做實(shí)驗(yàn)以外,在主機(jī)上和虛擬機(jī)上不要加載任何的防火墻或者防病毒監(jiān)控軟件。虛擬機(jī)配置實(shí)驗(yàn)中的很多程序?qū)儆谀抉R和病毒程序,除了做實(shí)驗(yàn)以外71本章總結(jié)本章介紹了網(wǎng)絡(luò)安全的攻防研究體系、研究網(wǎng)絡(luò)安全的必要性和以及研究網(wǎng)絡(luò)安全的社會意義。概述了網(wǎng)絡(luò)安全國內(nèi)和國際的相關(guān)法規(guī)和安全的評價(jià)標(biāo)準(zhǔn)。最后著重的介紹了本書實(shí)驗(yàn)環(huán)境的配置和測試。本章總結(jié)本章介紹了網(wǎng)絡(luò)安全的攻防研究體系、研究網(wǎng)絡(luò)安全的必要72本章習(xí)題【1】、網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容?【2】、從層次上,網(wǎng)絡(luò)安全可以分成哪幾層,每層有什么特點(diǎn)?【3】、為什么要研究網(wǎng)絡(luò)安全?【4】、請分別舉兩個(gè)例子說明對于網(wǎng)絡(luò)安全與政治、經(jīng)濟(jì)、社會穩(wěn)定和軍事的聯(lián)系?!?】、國內(nèi)和國際對于網(wǎng)絡(luò)安全方面有哪些立法?【6】、網(wǎng)絡(luò)安全橙皮書指的是什么?包括哪些內(nèi)容?【7】、使用Sniffer抓取主機(jī)到虛擬機(jī)或者到其他電腦的數(shù)據(jù)包,并做簡要的分析。(上機(jī)完成)
本章習(xí)題【1】、網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容?73內(nèi)容提要本章介紹網(wǎng)絡(luò)安全研究的體系研究網(wǎng)絡(luò)安全的必要性、研究網(wǎng)絡(luò)安全社會意義以及目前計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)法規(guī)。介紹了如何評價(jià)一個(gè)系統(tǒng)或者應(yīng)用軟件的安全等級。為了能順利的完成本書介紹的各種實(shí)驗(yàn),本章最后比較詳細(xì)的介紹了實(shí)驗(yàn)環(huán)境的配置。內(nèi)容提要本章介紹網(wǎng)絡(luò)安全研究的體系74網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全(NetworkSecurity)是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全(NetworkSecur75網(wǎng)絡(luò)安全的攻防體系網(wǎng)絡(luò)安全的攻防體系76攻擊技術(shù)如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗(yàn)的,攻擊技術(shù)主要包括五個(gè)方面:1、網(wǎng)絡(luò)監(jiān)聽:自己不主動去攻擊別人,在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描:利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等,目的是發(fā)現(xiàn)漏洞,為入侵該計(jì)算機(jī)做準(zhǔn)備。3、網(wǎng)絡(luò)入侵:當(dāng)探測發(fā)現(xiàn)對方存在漏洞以后,入侵到目標(biāo)計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門:成功入侵目標(biāo)計(jì)算機(jī)后,為了對“戰(zhàn)利品”的長期控制,在目標(biāo)計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身:入侵完畢退出目標(biāo)計(jì)算機(jī)后,將自己入侵的痕跡清除,從而防止被對方管理員發(fā)現(xiàn)。攻擊技術(shù)如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗(yàn)的,攻擊77防御技術(shù)防御技術(shù)包括四大方面:1、操作系統(tǒng)的安全配置:操作系統(tǒng)的安全是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù):為了防止被監(jiān)聽和盜取數(shù)據(jù),將所有的數(shù)據(jù)進(jìn)行加密。3、防火墻技術(shù):利用防火墻,對傳輸?shù)臄?shù)據(jù)進(jìn)行限制,從而防止被入侵。4、入侵檢測:如果網(wǎng)絡(luò)防線最終被攻破了,需要及時(shí)發(fā)出被入侵的警報(bào)。防御技術(shù)防御技術(shù)包括四大方面:78網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全,在軟件方面可以有兩種選擇,一種是使用已經(jīng)成熟的工具,比如抓數(shù)據(jù)包軟件Sniffer,網(wǎng)絡(luò)掃描工具X-Scan等等,另一種是自己編制程序,目前網(wǎng)絡(luò)安全編程常用的計(jì)算機(jī)語言為C、C++或者Perl語言。為了使用工具和編制程序,必須熟悉兩方面的知識一方面是兩大主流的操作系統(tǒng):UNIX家族和Window系列操作系統(tǒng),另一方面是網(wǎng)絡(luò)協(xié)議,常見的網(wǎng)絡(luò)協(xié)議包括:TCP(TransmissionControlProtocol,傳輸控制協(xié)議)IP(InternetProtocol,網(wǎng)絡(luò)協(xié)議)UDP(UserDatagramProtocol,用戶數(shù)據(jù)報(bào)協(xié)議)SMTP(SimpleMailTransferProtocol,簡單郵件傳輸協(xié)議)POP(PostOfficeProtocol,郵局協(xié)議)FTP(FileTransferProtocol,文件傳輸協(xié)議)等等。網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全,在軟件方面可以有兩種選79網(wǎng)絡(luò)安全的層次體系從層次體系上,可以將網(wǎng)絡(luò)安全分成四個(gè)層次上的安全:1、物理安全;2、邏輯安全;3、操作系統(tǒng)安全;4、聯(lián)網(wǎng)安全。網(wǎng)絡(luò)安全的層次體系從層次體系上,可以將網(wǎng)絡(luò)安全分成四個(gè)層次上80物理安全物理安全主要包括五個(gè)方面:1、防盜;2、防火;3、防靜電;4、防雷擊;5、防電磁泄漏。1、防盜:像其他的物體一樣,計(jì)算機(jī)也是偷竊者的目標(biāo),例如盜走軟盤、主板等。計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值,因此必須采取嚴(yán)格的防范措施,以確保計(jì)算機(jī)設(shè)備不會丟失。物理安全物理安全主要包括五個(gè)方面:81物理安全2、防火:計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故或外部火災(zāi)蔓延引起的。電氣設(shè)備和線路因?yàn)槎搪?、過載、接觸不良、絕緣層破壞或靜電等原因引起電打火而導(dǎo)致火災(zāi)。人為事故是指由于操作人員不慎,吸煙、亂扔煙頭等,使存在易燃物質(zhì)(如紙片、磁帶、膠片等)的機(jī)房起火,當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓延是因外部房間或其他建筑物起火而蔓延到機(jī)房而引起火災(zāi)。物理安全2、防火:計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為82物理安全3、防靜電:靜電是由物體間的相互摩擦、接觸而產(chǎn)生的,計(jì)算機(jī)顯示器也會產(chǎn)生很強(qiáng)的靜電。靜電產(chǎn)生后,由于未能釋放而保留在物體內(nèi),會有很高的電位(能量不大),從而產(chǎn)生靜電放電火花,造成火災(zāi)。還可能使大規(guī)模集成電器損壞,這種損壞可能是不知不覺造成的。物理安全3、防靜電:83物理安全利用引雷機(jī)理的傳統(tǒng)避雷針防雷,不但增加雷擊概率,而且產(chǎn)生感應(yīng)雷,而感應(yīng)雷是電子信息設(shè)備被損壞的主要?dú)⑹?,也是易燃易爆品被引燃起爆的主要原因。雷擊防范的主要措施是,根?jù)電氣、微電子設(shè)備的不同功能及不同受保護(hù)程序和所屬保護(hù)層確定防護(hù)要點(diǎn)作分類保護(hù);根據(jù)雷電和操作瞬間過電壓危害的可能通道從電源線到數(shù)據(jù)通信線路都應(yīng)做多層保護(hù)。物理安全利用引雷機(jī)理的傳統(tǒng)避雷針防雷,不但增加雷擊概率,而且84物理安全5、防電磁泄漏電子計(jì)算機(jī)和其他電子設(shè)備一樣,工作時(shí)要產(chǎn)生電磁發(fā)射。電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原,造成計(jì)算機(jī)的信息泄露。屏蔽是防電磁泄漏的有效措施,屏蔽主要有電屏蔽、磁屏蔽和電磁屏蔽三種類型。物理安全5、防電磁泄漏85邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)??梢韵拗频卿浀拇螖?shù)或?qū)υ囂讲僮骷由蠒r(shí)間限制;可以用軟件來保護(hù)存儲在計(jì)算機(jī)文件中的信息;限制存取的另一種方式是通過硬件完成,在接收到存取要求后,先詢問并校核口令,然后訪問列于目錄中的授權(quán)用戶標(biāo)志號。此外,有一些安全軟件包也可以跟蹤可疑的、未授權(quán)的存取企圖,例如,多次登錄或請求別人的文件。邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)。86操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計(jì)算機(jī)系統(tǒng)可提供給許多人使用,操作系統(tǒng)必須能區(qū)分用戶,以便于防止相互干擾。一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶。通常,一個(gè)用戶一個(gè)賬戶。操作系統(tǒng)不允許一個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。87聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達(dá)到:1、訪問控制服務(wù):用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù):用來認(rèn)證數(shù)據(jù)機(jī)要性與完整性,以及各通信的可信賴性。聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達(dá)到:88研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系,受到許多方面的威脅物理威脅系統(tǒng)漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序等方面威脅。研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系,受到許多方面的威脅89物理威脅物理威脅包括四個(gè)方面:偷竊、廢物搜尋、間諜行為和身份識別錯(cuò)誤。1、偷竊網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷竊信息和偷竊服務(wù)等內(nèi)容。如果他們想偷的信息在計(jì)算機(jī)里,那他們一方面可以將整臺計(jì)算機(jī)偷走,另一方面通過監(jiān)視器讀取計(jì)算機(jī)中的信息。2、廢物搜尋就是在廢物(如一些打印出來的材料或廢棄的軟盤)中搜尋所需要的信息。在微機(jī)上,廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得有用資料。3、間諜行為是一種為了省錢或獲取有價(jià)值的機(jī)密、采用不道德的手段獲取信息。4、身份識別錯(cuò)誤非法建立文件或記錄,企圖把他們作為有效的、正式生產(chǎn)的文件或記錄,如對具有身份鑒別特征物品如護(hù)照、執(zhí)照、出生證明或加密的安全卡進(jìn)行偽造,屬于身份識別發(fā)生錯(cuò)誤的范疇。這種行為對網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。物理威脅物理威脅包括四個(gè)方面:偷竊、廢物搜尋、間諜行為和身90系統(tǒng)漏洞威脅系統(tǒng)漏洞造成的威脅包括三個(gè)方面:乘虛而入、不安全服務(wù)和配置和初始化錯(cuò)誤。1、乘虛而入例如,用戶A停止了與某個(gè)系統(tǒng)的通信,但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于激活狀態(tài),這時(shí),用戶B通過這個(gè)端口開始與這個(gè)系統(tǒng)通信,這樣就不必通過任何申請使用端口的安全檢查了。2、不安全服務(wù)有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng),互聯(lián)網(wǎng)蠕蟲就利用了UNIX系統(tǒng)中三個(gè)可繞過的機(jī)制。3、配置和初始化錯(cuò)誤如果不得不關(guān)掉一臺服務(wù)器以維修它的某個(gè)子系統(tǒng),幾天后當(dāng)重啟動服務(wù)器時(shí),可能會招致用戶的抱怨,說他們的文件丟失了或被篡改了,這就有可能是在系統(tǒng)重新初始化時(shí),安全系統(tǒng)沒有正確的初始化,從而留下了安全漏洞讓人利用,類似的問題在木馬程序修改了系統(tǒng)的安全配置文件時(shí)也會發(fā)生。系統(tǒng)漏洞威脅系統(tǒng)漏洞造成的威脅包括三個(gè)方面:乘虛而入、不安全91身份鑒別威脅身份鑒別造成威脅包括四個(gè)面:口令圈套、口令破解、算法考慮不周和編輯口令。1、口令圈套口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì),與冒名頂替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊實(shí)現(xiàn),它運(yùn)行起來和登錄屏幕一模一樣,被插入到正常有登錄過程之前,最終用戶看到的只是先后兩個(gè)登錄屏幕,第一次登錄失敗了,所以用戶被要求再輸入用戶名和口令。實(shí)際上,第一次登錄并沒有失敗,它將登錄數(shù)據(jù),如用戶名和口令寫入到這個(gè)數(shù)據(jù)文件中,留待使用。2、口令破解破解口令就像是猜測自行車密碼鎖的數(shù)字組合一樣,在該領(lǐng)域中已形成許多能提高成功率的技巧。3、算法考慮不周口令輸入過程必須在滿足一定條件下才能正常地工作,這個(gè)過程通過某些算法實(shí)現(xiàn)。在一些攻擊入侵案例中,入侵者采用超長的字符串破壞了口令算法,成功地進(jìn)入了系統(tǒng)。4、編輯口令編輯口令需要依靠操作系統(tǒng)漏洞,如果公司內(nèi)部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含賬戶的口令,這樣,任何知道那個(gè)賬戶的用戶名和口令的人便可以訪問該機(jī)器了。身份鑒別威脅身份鑒別造成威脅包括四個(gè)面:口令圈套、口令破解、92線纜連接威脅線纜連接造成的威脅包括三個(gè)方面:竊聽、撥號進(jìn)入和冒名頂替。1、竊聽對通信過程進(jìn)行竊聽可達(dá)到收集信息的目的,這種電子竊聽不一定需要竊聽設(shè)備一定安裝在電纜上,可以通過檢測從連線上發(fā)射出來的電磁輻射就能拾取所要的信號,為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性,可以使用加密手段來防止信息被解密。2、撥號進(jìn)入擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號碼,每個(gè)人都可以試圖通過遠(yuǎn)程撥號訪問網(wǎng)絡(luò),尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí),就會對網(wǎng)絡(luò)造成很大的威脅。3、冒名頂替通過使用別人的密碼和賬號時(shí),獲得對網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來并不容易,而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。線纜連接威脅線纜連接造成的威脅包括三個(gè)方面:竊聽、撥號進(jìn)入和93有害程序威脅有害程序造成的威脅包括三個(gè)方面:病毒、代碼炸彈和特洛伊木馬。1、病毒病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制,并隨著它所附著的程序在機(jī)器之間傳播。2、代碼炸彈代碼炸彈是一種具有殺傷力的代碼,其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn),或在機(jī)器中發(fā)生了某種操作,代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播,程序員將代碼炸彈寫入軟件中,使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞,一旦該代碼炸彈被觸發(fā)后,這個(gè)程序員便會被請回來修正這個(gè)錯(cuò)誤,并賺一筆錢,這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了,即便他們有疑心也無法證實(shí)自己的猜測。3、特洛伊木馬特洛伊木馬程序一旦被安裝到機(jī)器上,便可按編制者的意圖行事。特洛伊木馬能夠摧毀數(shù)據(jù),有時(shí)偽裝成系統(tǒng)上已有的程序,有時(shí)創(chuàng)建新的用戶名和口令。有害程序威脅有害程序造成的威脅包括三個(gè)方面:病毒、代碼炸彈和94研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的經(jīng)濟(jì)、軍事等領(lǐng)域。研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)95網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來,電子政務(wù)工程已經(jīng)在全國啟動并在北京試點(diǎn)。政府網(wǎng)絡(luò)的安全直接代表了國家的形象。1999年到2001年,一些政府網(wǎng)站,遭受了四次大的黑客攻擊事件。第一次在99年1月份左右,美國黑客組織“美國地下軍團(tuán)”聯(lián)合了波蘭的、英國的黑客組織以及世界上的黑客組織,有組織地對我們國家的政府網(wǎng)站進(jìn)行了攻擊。第二次,99年7月份,當(dāng)臺灣李登輝提出了兩國論的時(shí)候。第三次是在2000年5月8號,美國轟炸我國駐南聯(lián)盟大使館后。第四次是在2001年4月到5月,美機(jī)撞毀王偉戰(zhàn)機(jī)侵入我海南機(jī)場。網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來,電子政務(wù)工程96網(wǎng)絡(luò)安全與經(jīng)濟(jì)一個(gè)國家信息化程度越高,整個(gè)國民經(jīng)濟(jì)和社會運(yùn)行對信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。我國計(jì)算機(jī)犯罪的增長速度超過了傳統(tǒng)的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后來就沒有辦法統(tǒng)計(jì)了。利用計(jì)算機(jī)實(shí)施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項(xiàng)業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起,涉及的金額幾個(gè)億。2000年2月份黑客攻擊的浪潮,是互連網(wǎng)問世以來最為嚴(yán)重的黑客事件。99年4月26日,臺灣人編制的CIH病毒的大爆發(fā),有統(tǒng)計(jì)說我國大陸受其影響的PC機(jī)總量達(dá)36萬臺之多。有人估計(jì)在這次事件中,經(jīng)濟(jì)損失高達(dá)近12億元。1996年4月16日,美國金融時(shí)報(bào)報(bào)道,接入Internet的計(jì)算機(jī),達(dá)到了平均每20秒鐘被黑客成功地入侵一次的新記錄。網(wǎng)絡(luò)安全與經(jīng)濟(jì)一個(gè)國家信息化程度越高,整個(gè)國民經(jīng)濟(jì)和社會運(yùn)行97網(wǎng)絡(luò)安全與社會穩(wěn)定互連網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害,要比現(xiàn)實(shí)社會中一個(gè)造謠要大的多。99年4月,河南商都熱線一個(gè)BBS,一張說交通銀行鄭州支行行長協(xié)巨款外逃的帖子,造成了社會的動蕩,三天十萬人上街排隊(duì),一天提了十多億。2001年2月8日正是春節(jié),新浪網(wǎng)遭受攻擊,電子郵件服務(wù)器癱瘓了18個(gè)小時(shí),造成了幾百萬的用戶無法正常的聯(lián)絡(luò)。網(wǎng)上不良信息腐蝕人們靈魂,色情資訊業(yè)日益猖獗。1997年5月去過色情網(wǎng)站瀏覽過的美國人,占了美國網(wǎng)民的28.2%。河南鄭州剛剛大專畢業(yè)的楊某和何某,在商丘信息港上建立了一個(gè)個(gè)人主頁,用五十多天的時(shí)間建立的主頁存了一萬多幅淫穢照片的網(wǎng)站、100多部小說和小電影。不到54天的時(shí)間,訪問他的人到了30萬。網(wǎng)絡(luò)安全與社會穩(wěn)定互連網(wǎng)上散布一些虛假信息、有害信息對社會管98網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中,美國破譯了日本人的密碼,將山本的艦隊(duì)幾乎全殲,重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭更是信息化戰(zhàn)爭,下面是美國三位知名人士對目前網(wǎng)絡(luò)的描述。美國著名未來學(xué)家阿爾溫托爾勒說過“誰掌握了信息,控制了網(wǎng)絡(luò),誰將擁有整個(gè)世界。美國前總統(tǒng)克林頓說過“今后的時(shí)代,控制世界的國家將不是靠軍事,而是信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時(shí)代的出現(xiàn),將從根本上改變戰(zhàn)爭的進(jìn)行方式”。網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中,美國破譯了日本人的密碼,將99我國立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法。于1982年8月23日寫入中華人民共和國商標(biāo)法于1984年3月12日寫入中華人民共和國專利法于1988年9月5日寫入中華人民共和國保守國家秘密法于1993年9月2日寫入中華人民共和國反不正當(dāng)競爭法。我國立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法100國際立法情況美國和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國家,一些發(fā)展中國家和第三世界國家的計(jì)算機(jī)網(wǎng)絡(luò)安全方面的法規(guī)還不夠完善。歐洲共同體是一個(gè)在歐洲范圍內(nèi)具有較強(qiáng)影響力的政府間組織。為在共同體內(nèi)正常地進(jìn)行信息市場運(yùn)做,該組織在諸多問題上建立了一系列法律,具體包括:競爭(反托拉斯)法;產(chǎn)品責(zé)任、商標(biāo)和廣告規(guī)定;知識產(chǎn)權(quán)保護(hù);保護(hù)軟件、數(shù)據(jù)和多媒體產(chǎn)品及在線版權(quán);數(shù)據(jù)保護(hù);跨境電子貿(mào)易;稅收;司法問題等。這些法律若與其成員國原有國家法律相矛盾,則必須以共同體的法律為準(zhǔn)。國際立法情況美國和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國家,一些發(fā)101我國評價(jià)標(biāo)準(zhǔn)
在我國根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,1999年10月經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級別第一級為用戶自主保護(hù)級:它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力,保護(hù)用戶的信息免受非法的讀寫破壞。第二級為系統(tǒng)審計(jì)保護(hù)級:除具備第一級所有的安全保護(hù)功能外,要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄,使所有的用戶對自己的行為的合法性負(fù)責(zé)。第三級為安全標(biāo)記保護(hù)級:除繼承前一個(gè)級別的安全功能外,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限,實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)。第四級為結(jié)構(gòu)化保護(hù)級:在繼承前面安全級別安全功能的基礎(chǔ)上,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分直接控制訪問者對訪問對象的存取,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級為訪問驗(yàn)證保護(hù)級:這一個(gè)級別特別增設(shè)了訪問驗(yàn)證功能,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。我國評價(jià)標(biāo)準(zhǔn)
在我國根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則102國際評價(jià)標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評價(jià)準(zhǔn)則(TrustedComputerStandardsEvaluationCriteria:TCSEC),也就是網(wǎng)絡(luò)安全橙皮書,一些計(jì)算機(jī)安全級別被用來評價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。自從1985年橙皮書成為美國國防部的標(biāo)準(zhǔn)以來,就一直沒有改變過,多年以來一直是評估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)(如數(shù)據(jù)庫和網(wǎng)絡(luò))也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個(gè)類別:D類、C類、B類和A類,每類又分幾個(gè)級別,國際評價(jià)標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算103安全級別安全級別104安全級別D級是最低的安全級別,擁有這個(gè)級別的操作系統(tǒng)就像一個(gè)門戶大開的房子,任何人都可以自由進(jìn)出,是完全不可信任的。對于硬件來說,是沒有任何保護(hù)措施的,操作系統(tǒng)容易受到損害,沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制,任何人不需任何賬戶都可以進(jìn)入系統(tǒng),不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個(gè)級別的操作系統(tǒng)有:DOS和Windows98等。安全級別D級是最低的安全級別,擁有這個(gè)級別的操作系統(tǒng)就像一個(gè)105安全級別C1是C類的一個(gè)安全子級。C1又稱選擇性安全保護(hù)(DiscretionarySecurityProtection)系統(tǒng),它描述了一個(gè)典型的用在Unix系統(tǒng)上安全級別這種級別的系統(tǒng)對硬件又有某種程度的保護(hù),如用戶擁有注冊賬號和口令,系統(tǒng)通過賬號和口令來識別用戶是否合法,并決定用戶對程序和信息擁有什么樣的訪問權(quán),但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對文件和目標(biāo)的訪問權(quán)。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問權(quán)限。安全級別C1是C類的一個(gè)安全子級。C1又稱選擇性安全保護(hù)(D106安全級別使用附加身份驗(yàn)證就可以讓一個(gè)C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級使系統(tǒng)管理員能夠給用戶分組,授予他們訪問某些程序的權(quán)限或訪問特定的目錄。能夠達(dá)到C2級別的常見操作系統(tǒng)有:(1)、Unix系統(tǒng)(2)、Novell3.X或者更高版本(3)、WindowsNT、Windows2000和Windows2003安全級別使用附加身份驗(yàn)證就可以讓一個(gè)C2級系統(tǒng)用戶在不是超級107安全級別B級中有三個(gè)級別,B1級即標(biāo)志安全保護(hù)(LabeledSecurityProtection),是支持多級安全(例如:秘密和絕密)的第一個(gè)級別,這個(gè)級別說明處于強(qiáng)制性訪問控制之下的對象,系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級別存在保密、絕密級別,這種安全級別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中,比如國防部和國家安全局的計(jì)算機(jī)系統(tǒng)。安全級別B級中有三個(gè)級別,B1級即標(biāo)志安全保護(hù)(Labele108安全級別B2級,又叫結(jié)構(gòu)保護(hù)級別(StructuredProtection),它要求計(jì)算機(jī)系統(tǒng)中所有的對象都要加上標(biāo)簽,而且給設(shè)備(磁盤、磁帶和終端)分配單個(gè)或者多個(gè)安全級別。B3級,又叫做安全域級別(SecurityDomain),使用安裝硬件的方式來加強(qiáng)域的安全,例如,內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。安全級別B2級,又叫結(jié)構(gòu)保護(hù)級別(StructuredPr109安全級別A級,又稱驗(yàn)證設(shè)計(jì)級別(VerifiedDesign),是當(dāng)前橙皮書的最高級別,它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級別包含了較低級別的所有的安全特性設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證,而且必須進(jìn)行秘密通道和可信任分布分析??尚湃畏植迹═rustedDistribution)的含義是:硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù),以防止破壞安全系統(tǒng)。橙皮書也存在不足。TCSEC是針對孤立計(jì)算機(jī)系統(tǒng),特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障,該標(biāo)準(zhǔn)適合政府和軍隊(duì),不適合企業(yè),這個(gè)模型是靜態(tài)的。安全級別A級,又稱驗(yàn)證設(shè)計(jì)級別(VerifiedDesig110環(huán)境配置網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科,包括許多試驗(yàn)。良好的實(shí)驗(yàn)配置是必須的。網(wǎng)絡(luò)安全實(shí)驗(yàn)配置最少應(yīng)該有兩個(gè)獨(dú)立的操作系統(tǒng),而且兩個(gè)操作系統(tǒng)可以通過以太網(wǎng)進(jìn)行通信。環(huán)境配置網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科,包括許多試驗(yàn)。111安裝VMware虛擬機(jī)考慮兩個(gè)方面的因素:1、許多計(jì)算機(jī)不具有聯(lián)網(wǎng)的條件。2、網(wǎng)絡(luò)安全實(shí)驗(yàn)對系統(tǒng)具有破壞性。這里介紹在一臺計(jì)算機(jī)上安裝一套操作系統(tǒng),然后利用工具軟件再虛擬一套操作為網(wǎng)絡(luò)安全的攻擊對象。首先準(zhǔn)備一臺計(jì)算機(jī),因?yàn)樾枰b兩套操作系統(tǒng),所以內(nèi)存應(yīng)該比較大。計(jì)算機(jī)的基本配置如表1-2所示。安裝VMware虛擬機(jī)考慮兩個(gè)方面的因素:112實(shí)驗(yàn)設(shè)備實(shí)驗(yàn)設(shè)備113實(shí)驗(yàn)設(shè)備在計(jì)算機(jī)上安裝Windows2000Server,并且打上相關(guān)的布丁,在本書中操作系統(tǒng)是Windows2000Server,IP地址設(shè)置為10,根據(jù)需要可以設(shè)置為其他的IP地址。如圖1-2所示。實(shí)驗(yàn)設(shè)備在計(jì)算機(jī)上安裝Windows2000Server114虛擬機(jī)軟件VMware需要安裝一個(gè)虛擬機(jī)軟件VMware,虛擬機(jī)上的操作系統(tǒng),可以通過網(wǎng)卡和實(shí)際的操作系統(tǒng)進(jìn)行通信。通信的過程和原理,與真實(shí)環(huán)境下的兩臺計(jì)算機(jī)一樣。虛擬機(jī)操作系統(tǒng)的界面如圖1-3所示。虛擬機(jī)軟件VMware需要安裝一個(gè)虛擬機(jī)軟件VMware,虛115配置VMware虛擬機(jī)安裝完虛擬機(jī)以后,就如同組裝了一臺電腦,這臺電腦需要安裝操作系統(tǒng)。需要在虛擬機(jī)中裝操作系統(tǒng),選擇菜單欄“File”下的“New”菜單項(xiàng),再選擇子菜單“NewVirtualMachine”,如圖1-8所示。配置VMware虛擬機(jī)安裝完虛擬機(jī)以后,就如同組裝了一臺電腦116配置VMware虛擬機(jī)出現(xiàn)新建虛擬機(jī)向?qū)В@里有許多設(shè)置需要說明,不然虛擬機(jī)可能無法和外面系統(tǒng)進(jìn)行通信。點(diǎn)擊向?qū)Ы缑娴陌粹o“下一步”,出現(xiàn)安裝選項(xiàng),如圖1-9所示。
配置VMware虛擬機(jī)出現(xiàn)新建虛擬機(jī)向?qū)?,這里有許多設(shè)置需要117配置VMware虛擬機(jī)這里有兩種選擇,選項(xiàng)“Typical”是典型安裝,選項(xiàng)“Custom”是自定義安裝,選擇“Custom”安裝方式。點(diǎn)擊按鈕“下一步”,進(jìn)入選擇操作系統(tǒng)界面,設(shè)置將來要安裝的操作系統(tǒng)類型,如圖1-10所示。配置VMware虛擬機(jī)這里有兩種選擇,選項(xiàng)“Typical”118配置VMware虛擬機(jī)從圖1-10中可以看出幾乎常見的操作系統(tǒng)在列表中都有。選擇“WindowsAdvancedServer”,點(diǎn)擊按鈕“下一步”進(jìn)入安裝目錄選擇界面,如圖1-11所示。配置VMware虛擬機(jī)從圖1-10中可以看出幾乎常見的操作系119配置VMware虛擬機(jī)有兩個(gè)文本框,上面文本框是系統(tǒng)的名字,按照默認(rèn)值就可以,下面的文本框需要選擇虛擬操作系統(tǒng)安裝地址。選擇好地址以后,點(diǎn)擊按鈕“下一步”,出現(xiàn)虛擬機(jī)內(nèi)存大小的界面,如圖1-12所示。配置VMware虛擬機(jī)有兩個(gè)文本框,上面文本框是系統(tǒng)的名字,120配置VMware虛擬機(jī)因?yàn)榘惭b的是Windows2000AdvancedServer,所以內(nèi)存不能小于128M,如果計(jì)算機(jī)內(nèi)存比較大的話可以分配的多一些,但是不能超過真實(shí)內(nèi)存大小,這里設(shè)置為128M,點(diǎn)擊按鈕“下一步”進(jìn)入網(wǎng)絡(luò)連接方式選擇界面,如圖1-13所示。配置VMware虛擬機(jī)因?yàn)榘惭b的是Windows2000121配置VMware虛擬機(jī)VMWare的常用的是兩種聯(lián)網(wǎng)方式:(1)UsedBridgednetworking虛擬機(jī)操作系統(tǒng)的IP地址可設(shè)置成與主機(jī)操作系統(tǒng)在同一網(wǎng)段,虛擬機(jī)操作系統(tǒng)相當(dāng)于網(wǎng)絡(luò)內(nèi)的一臺獨(dú)立的機(jī)器,網(wǎng)絡(luò)內(nèi)其他機(jī)器可訪問虛擬機(jī)上的操作系統(tǒng),虛擬機(jī)的操作系統(tǒng)也可訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。(2)Usernetworkaddresstranslation(NAT)實(shí)現(xiàn)主機(jī)的操作系統(tǒng)與虛擬機(jī)上的操作系統(tǒng)的雙向訪問。但網(wǎng)絡(luò)內(nèi)其他機(jī)器不能訪問虛擬機(jī)上的操作系統(tǒng),虛擬機(jī)可通過主機(jī)操作系統(tǒng)的NAT協(xié)議訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。一般來說,Bridged方式最方便好用,因?yàn)檫@種連接方式將使虛擬機(jī)就好像是一臺獨(dú)立的計(jì)算機(jī)一樣。配置VMware虛擬機(jī)VMWare的常用的是兩種聯(lián)網(wǎng)方式:122配置VMware虛擬機(jī)選擇第一種方式:使用網(wǎng)橋方式聯(lián)網(wǎng)。點(diǎn)擊按鈕“下一步”,出現(xiàn)創(chuàng)建磁盤的選擇界面,如圖1-14所示。配置VMware虛擬機(jī)選擇第一種方式:使用網(wǎng)橋方式聯(lián)網(wǎng)。點(diǎn)擊123配置VMware虛擬機(jī)有三種選擇:1、Createanewvirtualdisk虛擬機(jī)將重新建立一個(gè)虛
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 自建公寓轉(zhuǎn)讓合同模板
- 蘇寧超市加盟合同模板
- GPS基礎(chǔ)知識培訓(xùn)課件
- 老房子翻新合同模板
- 保價(jià)協(xié)議合同模板
- 吊裝手勢圖片及吊裝現(xiàn)場圖片
- 社團(tuán)演出贊助合同模板
- 定做地坪工程合同模板
- 2024年大學(xué)生憲法知識競賽經(jīng)典題庫及答案(50題)
- 污水處理廠周邊傳動刮泥機(jī)技術(shù)規(guī)格書
- 2024年4月自考12656毛中特試題及答案含解析
- 買車墊付合同協(xié)議書
- 2025牛津上海版初中英語單詞表(六-九年級)中考復(fù)習(xí)必背
- 人教PEP版(2024)三年級上冊英語Unit 1-Unit 6全冊6個(gè)單元整體教學(xué)設(shè)計(jì)(全套)
- 云南省2023年秋季學(xué)期期末普通高中學(xué)業(yè)水平考試信息技術(shù)(含答案解析)
- 2024版情侶婚前購房協(xié)議書
- 2024年新發(fā)傳染病或流行病的防控知識試題及答案
- 2024年黑龍江廣播電視局事業(yè)單位筆試真題
- 法學(xué)專業(yè)本科課程教學(xué)課件
- 桁架吊裝驗(yàn)收要求
評論
0/150
提交評論