第1章 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全技術(shù)2課程考核考核方式：考試課（64實(shí)踐）

出勤+實(shí)訓(xùn)作業(yè)+期末考試3第1章網(wǎng)絡(luò)安全概述1第2章網(wǎng)絡(luò)操作系統(tǒng)安全第3章網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全第4章網(wǎng)絡(luò)硬件設(shè)備安全第5章網(wǎng)絡(luò)軟件安全第6章數(shù)據(jù)加密與認(rèn)證技術(shù)第7章網(wǎng)絡(luò)病毒及其防治第8章網(wǎng)絡(luò)的攻擊與防護(hù)第9章無(wú)線網(wǎng)絡(luò)安全與應(yīng)用第10章Internet安全與應(yīng)用教材4內(nèi)事不決問(wèn)百度,外事不決問(wèn)谷歌教材5為什么開(kāi)設(shè)本課程？

專業(yè)需要！

我們的工作和生活越來(lái)越依賴網(wǎng)絡(luò)和信息！網(wǎng)絡(luò)中的危險(xiǎn)和陷阱太多，但大多數(shù)人卻不具備基本的安全防護(hù)能力！2014年，隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立、首屆國(guó)家網(wǎng)絡(luò)安全宣傳周、首屆世界互聯(lián)網(wǎng)大會(huì)在浙江烏鎮(zhèn)召開(kāi)，信息安全上升到國(guó)家戰(zhàn)略高度。隨著政府把網(wǎng)絡(luò)安全提到國(guó)家安全這一高度，也使得網(wǎng)絡(luò)安全走進(jìn)了大眾的視野。網(wǎng)絡(luò)空間已被視為繼陸、海、空、天之后的“第五空間”，網(wǎng)絡(luò)空間已經(jīng)變?yōu)橹鳈?quán)空間。因此我們要“建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)”，要有自己的技術(shù)，有過(guò)硬的技術(shù)。第1章6我國(guó)網(wǎng)民及網(wǎng)絡(luò)安全狀況據(jù)中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報(bào)告，截止2014年12月，中國(guó)網(wǎng)民規(guī)模突破6.49億，中國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)5.57億；國(guó)內(nèi)域名總數(shù)2060萬(wàn)個(gè)，網(wǎng)站近335萬(wàn)家，全球十大互聯(lián)網(wǎng)企業(yè)中我國(guó)有3家。2014年網(wǎng)絡(luò)購(gòu)物用戶達(dá)到3.61億，全國(guó)信息消費(fèi)整體規(guī)模迅猛增加,電子商務(wù)交易規(guī)模突破10多萬(wàn)億元人民幣。中國(guó)已是名副其實(shí)的“網(wǎng)絡(luò)大國(guó)”。中國(guó)面臨的網(wǎng)絡(luò)安全方面的任務(wù)和挑戰(zhàn)日益復(fù)雜和多元。中國(guó)目前是網(wǎng)絡(luò)攻擊的主要受害國(guó)。境外木馬或僵尸程序控制境內(nèi)服務(wù)器。侵犯?jìng)€(gè)人隱私、損害公民合法權(quán)益等違法行為時(shí)有發(fā)生。6網(wǎng)絡(luò)安全問(wèn)題的現(xiàn)狀2014年，網(wǎng)絡(luò)安全問(wèn)題受到空前的關(guān)注，諸多的網(wǎng)絡(luò)安全事件讓用戶知道網(wǎng)絡(luò)信息所面臨的威脅。棱鏡門事件2014年1月中國(guó)互聯(lián)網(wǎng)出現(xiàn)大面積DNS解析故障微軟WindowsXP停維事件OpenSSL心臟滴血、BadUSB漏洞、Shellshock漏洞eBay數(shù)據(jù)的大泄漏2014年12月12306用戶數(shù)據(jù)泄露（身份證及密碼信息）2014年9月500萬(wàn)谷歌賬戶和密碼的數(shù)據(jù)庫(kù)被泄露第1章網(wǎng)絡(luò)安全問(wèn)題的現(xiàn)狀2014年3月22日，具烏云網(wǎng)平臺(tái)在其官網(wǎng)上公布了報(bào)告，指出攜程網(wǎng)安全支付日志可被遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露（包含持卡人姓名、身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin），且該漏洞消息已經(jīng)過(guò)攜程確認(rèn)。2015年5月28日，攜程官方網(wǎng)站及APP出現(xiàn)了無(wú)法正常使用的情況，這一事故持續(xù)了12個(gè)小時(shí)才被修復(fù)，引發(fā)了外界對(duì)攜程的種種猜測(cè)。最終攜程方面對(duì)外給出的解釋是，由于員工錯(cuò)誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼。2015年5月27日，支付寶出現(xiàn)大規(guī)模癱瘓，國(guó)內(nèi)很多支付寶用戶在PC端和移動(dòng)終端均無(wú)法轉(zhuǎn)賬付款，事故持續(xù)了差不多兩小時(shí)。支付寶方面對(duì)外表示，造成此次事故的原因，是由于市政施工使得杭州市蕭山區(qū)某地光纜被挖斷，進(jìn)而導(dǎo)致支付寶一個(gè)主要機(jī)房受影響。第1章9正確的學(xué)習(xí)態(tài)度防人之心不可無(wú)！害人之心不可有！第1章10我們身邊發(fā)生過(guò)哪些信息安全事件？第1章1111國(guó)家層面棱鏡門”

“棱鏡”竊聽(tīng)計(jì)劃，始于2007年的小布什時(shí)期，美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音視頻、圖片、郵件、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。監(jiān)控的類型有10類：信息電郵，即時(shí)消息，視頻，照片，存儲(chǔ)數(shù)據(jù)，語(yǔ)音聊天，文件傳輸，視頻會(huì)議，登錄時(shí)間，社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個(gè)秘密監(jiān)視項(xiàng)目，一是監(jiān)視、監(jiān)聽(tīng)民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動(dòng)。第1章12國(guó)家層面美國(guó)網(wǎng)軍：監(jiān)控全球互聯(lián)網(wǎng)隨時(shí)讓他國(guó)網(wǎng)絡(luò)癱瘓美國(guó)上將基斯·亞歷山大“震網(wǎng)”的蠕蟲(chóng)病毒，2006年，他們通過(guò)這一病毒發(fā)送特定指令改變伊朗核工廠鈾濃縮離心機(jī)轉(zhuǎn)速，使得數(shù)千臺(tái)鈾濃縮離心機(jī)癱瘓。。第1章13各國(guó)間諜第1章14

黑客攻擊是各國(guó)面臨的共同挑戰(zhàn)越南外交部網(wǎng)站被黑奏響中國(guó)國(guó)歌第1章15行業(yè)層面

第1章16行業(yè)層面

第1章17行業(yè)層面第1章18第1章05二月202319黑客進(jìn)清華官網(wǎng)假冒校長(zhǎng)稱“中國(guó)大學(xué)教育就是往腦子灌屎”20武漢大學(xué)招生錄取結(jié)果查詢網(wǎng)頁(yè)遭到電腦黑客攻擊2007年7月31日，武漢大學(xué)招生錄取結(jié)果查詢網(wǎng)頁(yè)遭到電腦黑客攻擊，不法分子利用電腦黑客技術(shù)，篡改招生錄取查詢網(wǎng)頁(yè)，刪除正式錄取名單中的11人，惡意添加8人，欺騙考生和家長(zhǎng)。據(jù)調(diào)查，其中1個(gè)考生被騙取的金額就達(dá)十幾萬(wàn)元。第1章05二月202321人民郵電出版社??第1章網(wǎng)絡(luò)安全概述第1章05二月202323第1章網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全概論

1.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理

1.3網(wǎng)絡(luò)安全體系

1.4網(wǎng)絡(luò)安全策略與技術(shù)1.6網(wǎng)絡(luò)系統(tǒng)安全的日常管理1.5網(wǎng)絡(luò)安全級(jí)別第1章05二月2023241.1網(wǎng)絡(luò)安全概論1.1.1網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全本質(zhì)上就是網(wǎng)絡(luò)上的信息系統(tǒng)安全。網(wǎng)絡(luò)安全包括系統(tǒng)安全運(yùn)行和系統(tǒng)信息安全保護(hù)兩方面。信息系統(tǒng)的安全運(yùn)行是信息系統(tǒng)提供有效服務(wù)(即可用性)的前提，信息的安全保護(hù)主要是確保數(shù)據(jù)信息的機(jī)密性和完整性。第1章05二月2023251.1網(wǎng)絡(luò)安全概論1.1.1網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因無(wú)意或故意威脅而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常地運(yùn)行。

第1章05二月2023261.1網(wǎng)絡(luò)安全概論從不同角度談網(wǎng)絡(luò)安全：用戶：網(wǎng)絡(luò)系統(tǒng)可靠運(yùn)行；網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)男畔⑼暾?、可用和保密。避免竊聽(tīng)、冒充、篡改、抵賴。網(wǎng)絡(luò)運(yùn)行和管理者：網(wǎng)絡(luò)資源安全，有訪問(wèn)控制措施，無(wú)“黑客”和病毒攻擊。安全保密部門：防有害信息出現(xiàn)，防敏感信息泄露。避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。社會(huì)教育和意識(shí)形態(tài)：控制有害信息的傳播第1章05二月2023271.1網(wǎng)絡(luò)安全概論信息的價(jià)值通過(guò)什么來(lái)體現(xiàn)？保密性可用性真實(shí)有效性(完整性)不可否認(rèn)性…遼警升本成功四六級(jí)考試試卷黑板上寫(xiě)著的一句話“本周老師出差，不上課！”移動(dòng)硬盤中存放的一份絕密技術(shù)文件清華大學(xué)網(wǎng)站上的新聞與網(wǎng)友的一段QQ聊天記錄第1章05二月2023281.1網(wǎng)絡(luò)安全概論信息的價(jià)值在哪些情況下會(huì)喪失？保密性（泄密…）可用性（被盜、損壞…）完整性（被惡意修改…）不可否認(rèn)性（賴賬…）可控性（黑客入侵、監(jiān)控…）第1章05二月2023291.1網(wǎng)絡(luò)安全概論第1章05二月2023301.1網(wǎng)絡(luò)安全概論1.1.2網(wǎng)絡(luò)安全的需求與目標(biāo)

網(wǎng)絡(luò)安全的目標(biāo)主要表現(xiàn)在：可用性可靠性機(jī)密性完整性不可抵賴性可控性第1章311.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理1.2.1網(wǎng)絡(luò)系統(tǒng)漏洞1．漏洞的概念漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使攻擊者能夠在未經(jīng)系統(tǒng)合法用戶授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。案例—羅伯特·莫里斯

第1章321.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理1.2.1網(wǎng)絡(luò)系統(tǒng)漏洞2．漏洞類型操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議漏洞數(shù)據(jù)庫(kù)漏洞網(wǎng)絡(luò)服務(wù)漏洞(FTP、DNS、Web)第1章333．典型的網(wǎng)絡(luò)結(jié)構(gòu)及安全漏洞第1章341.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理1.2.2網(wǎng)絡(luò)系統(tǒng)威脅網(wǎng)絡(luò)的安全威脅來(lái)自于網(wǎng)絡(luò)中存在的不安全因素。網(wǎng)絡(luò)安全的主要威脅有以下幾種：物理威脅操作系統(tǒng)缺陷網(wǎng)絡(luò)協(xié)議缺陷體系結(jié)構(gòu)缺陷黑客程序計(jì)算機(jī)病毒第1章351.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理1.2.3網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估(RiskAssessment)是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。風(fēng)險(xiǎn)評(píng)估中保證信息安全的前提條件，是制定安全策略的依據(jù)。1.2.3網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)安全評(píng)估包括：安全策略評(píng)估系統(tǒng)配置的安全性評(píng)估網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全性評(píng)估病毒防護(hù)系統(tǒng)的安全性評(píng)估網(wǎng)絡(luò)防護(hù)能力評(píng)估網(wǎng)絡(luò)物理安全評(píng)估數(shù)據(jù)備份的安全性評(píng)估網(wǎng)絡(luò)服務(wù)的安全性評(píng)估網(wǎng)絡(luò)隔離的安全性評(píng)估第1章371.2網(wǎng)絡(luò)安全的威脅與風(fēng)險(xiǎn)管理1.2.3網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估一般來(lái)說(shuō)，一個(gè)有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估測(cè)試方法可以解決以下問(wèn)題：防火墻配置不當(dāng)?shù)耐獠烤W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。路由器過(guò)濾規(guī)則和設(shè)置不當(dāng)。弱認(rèn)證機(jī)制。配置不當(dāng)或易受攻擊的電子郵件和DNS服務(wù)器。潛在的網(wǎng)絡(luò)層Web服務(wù)器漏洞。配置不當(dāng)?shù)臄?shù)據(jù)庫(kù)服務(wù)器。易受攻擊的FTP服務(wù)器。第1章381.3網(wǎng)絡(luò)安全體系1.3.1OSI安全體系1．OSI參考模型OSI參考模型是國(guó)際標(biāo)準(zhǔn)化組織(ISO)為解決異種機(jī)互連而制定的開(kāi)放式計(jì)算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)模型，它的最大優(yōu)點(diǎn)是將服務(wù)、接口和協(xié)議這三個(gè)概念明確地區(qū)分開(kāi)來(lái)。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩方面的內(nèi)容。網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)與OSI網(wǎng)絡(luò)層次之間形成了一定的邏輯關(guān)系。397654321應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層OSI參考模型安全機(jī)制安全服務(wù)數(shù)據(jù)完整性數(shù)據(jù)保密性抗抵賴訪問(wèn)控制鑒別服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整性數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證第1章401.3網(wǎng)絡(luò)安全體系2．網(wǎng)絡(luò)安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制交換鑒別機(jī)制信息量填充機(jī)制路由控制機(jī)制公證機(jī)制第1章05二月2023411.3網(wǎng)絡(luò)安全體系3．網(wǎng)絡(luò)安全服務(wù)鑒別服務(wù)訪問(wèn)控制服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)保密性服務(wù)非否認(rèn)服務(wù)第1章05二月2023421.3網(wǎng)絡(luò)安全體系1.3.2網(wǎng)絡(luò)安全模型1．P2DR網(wǎng)絡(luò)安全模型P2DR是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。它包含4個(gè)主要部分：Policy(策略)、Protection(防護(hù))、Detection(檢測(cè))和Response(響應(yīng))。其中，防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證網(wǎng)絡(luò)的安全。第1章431.3網(wǎng)絡(luò)安全體系1．P2DR網(wǎng)絡(luò)安全模型P2DR安全模型第1章441.3網(wǎng)絡(luò)安全體系1．P2DR網(wǎng)絡(luò)安全模型P2DR模型的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時(shí)，利用檢測(cè)工具(如漏洞評(píng)估、入侵檢測(cè)等)了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。第1章451.3網(wǎng)絡(luò)安全體系(1)Policy(策略)策略體系的建立包括安全策略的制定、安全策略的評(píng)估和安全策略的執(zhí)行等過(guò)程。網(wǎng)絡(luò)安全策略一般包括兩部分：總體的安全策略和具體的安全規(guī)則?？傮w的安全策略用于闡述本部門網(wǎng)絡(luò)安全的總體思想和指導(dǎo)方針；具體的安全規(guī)則是根據(jù)總體安全策略提出的具體網(wǎng)絡(luò)安全實(shí)施規(guī)則，它用于說(shuō)明網(wǎng)絡(luò)上什么活動(dòng)是被允許的，什么活動(dòng)是被禁止的。第1章461.3網(wǎng)絡(luò)安全體系(2)Protection(防護(hù))防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問(wèn)題采取一些預(yù)防措施，通過(guò)一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來(lái)實(shí)現(xiàn)的。通常采用的主動(dòng)防護(hù)技術(shù)有：數(shù)據(jù)加密、身份驗(yàn)證、訪問(wèn)控制、授權(quán)和虛擬專用網(wǎng)技術(shù)等；被動(dòng)防護(hù)技術(shù)有：防火墻技術(shù)、安全掃描、入侵檢測(cè)、路由過(guò)濾、數(shù)據(jù)備份和歸檔、物理安全、安全管理等。第1章471.3網(wǎng)絡(luò)安全體系(3)Detection(檢測(cè))攻擊者如果穿過(guò)防護(hù)系統(tǒng)，檢測(cè)系統(tǒng)就要將其檢測(cè)出來(lái)。如檢測(cè)入侵者的身份、攻擊源點(diǎn)和系統(tǒng)損失等。防護(hù)系統(tǒng)可以阻止大部分的入侵事件，但不能阻止所有的入侵事件，特別是那些利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。如果入侵事件發(fā)生，就要啟動(dòng)檢測(cè)系統(tǒng)進(jìn)行檢測(cè)。第1章481.3網(wǎng)絡(luò)安全體系(3)Detection(檢測(cè))檢測(cè)與防護(hù)有根本的區(qū)別。防護(hù)主要是修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)缺陷，增加系統(tǒng)安全性能，從而消除攻擊和入侵的條件，避免攻擊的發(fā)生；而檢測(cè)是根據(jù)入侵事件的特征進(jìn)行的。因黑客往往是利用網(wǎng)絡(luò)和系統(tǒng)缺陷進(jìn)行攻擊的，所以入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)。在P2DR模型中，防護(hù)和檢測(cè)有互補(bǔ)關(guān)系。如果防護(hù)系統(tǒng)過(guò)硬，絕大部分入侵事件被阻止，那么檢測(cè)系統(tǒng)的任務(wù)就減少了。第1章491.3網(wǎng)絡(luò)安全體系(4)Response(響應(yīng))系統(tǒng)一旦檢測(cè)出有入侵行為，響應(yīng)系統(tǒng)則開(kāi)始響應(yīng)，進(jìn)行事件處理。P2DR中的響應(yīng)就是在已知入侵事件發(fā)生后進(jìn)行的緊急響應(yīng)(事件處理)。響應(yīng)工作可由一個(gè)特殊部門負(fù)責(zé)，那就是計(jì)算機(jī)安全應(yīng)急響應(yīng)小組。從CERT建立之后，世界各國(guó)以及各機(jī)構(gòu)也紛紛建立自己的計(jì)算機(jī)應(yīng)急響應(yīng)小組。我國(guó)第一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組(CCERT)建立于1999年，主要服務(wù)于CERNET。不同機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)也有相應(yīng)的計(jì)算機(jī)安全應(yīng)急響應(yīng)小組。響應(yīng)可分為緊急響應(yīng)、恢復(fù)處理兩種。第1章501.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR是美國(guó)國(guó)防部提出的安全模型，它包含了網(wǎng)絡(luò)安全的4個(gè)環(huán)節(jié)：Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))和Recovery(恢復(fù))，如圖1.4所示。PDRR模式是一種公認(rèn)的比較完善也比較有效的網(wǎng)絡(luò)信息安全解決方案，可以用于政府、機(jī)關(guān)、企業(yè)等機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)。第1章511.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR安全模型第1章521.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR模型與前述的P2DR模型有很多相似之處。其中Protection(防護(hù))和Detection(檢測(cè))兩個(gè)環(huán)節(jié)的基本思想是相同的，P2DR模型中的Response(響應(yīng))環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR模型中Response(響應(yīng))和Recovery(恢復(fù))是分開(kāi)的，內(nèi)容也有所擴(kuò)展。第1章531.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型響應(yīng)是在已知入侵事件發(fā)生后，對(duì)其進(jìn)行處理。在大型網(wǎng)絡(luò)中，響應(yīng)除了對(duì)已知的攻擊采取應(yīng)對(duì)措施外，還提供咨詢、培訓(xùn)和技術(shù)支持。人們最熟悉的響應(yīng)措施就是采用殺毒軟件對(duì)因計(jì)算機(jī)病毒造成系統(tǒng)損害的處理。第1章541.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型恢復(fù)是PDRR網(wǎng)絡(luò)信息安全解決方案中的最后環(huán)節(jié)。它是在攻擊或入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)或比原來(lái)更安全的狀態(tài)，把丟失的數(shù)據(jù)找回來(lái)?；謴?fù)是對(duì)入侵最有效的挽救措施。第1章551.3網(wǎng)絡(luò)安全體系1.3.2網(wǎng)絡(luò)安全模型P2DR和PDRR安全模型都存在一定的缺陷。它們都更側(cè)重于技術(shù)，而對(duì)諸如管理方面的因素并沒(méi)有強(qiáng)調(diào)。模型中一個(gè)明顯的不足就是忽略了內(nèi)在的變化因素。實(shí)際上，安全問(wèn)題牽涉面廣，除了涉及防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)外，系統(tǒng)本身安全的“免疫力”的增強(qiáng)、系統(tǒng)和整個(gè)網(wǎng)絡(luò)的優(yōu)化，以及人員素質(zhì)的提升等，都是網(wǎng)絡(luò)安全中應(yīng)該考慮到的問(wèn)題。網(wǎng)絡(luò)安全體系應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個(gè)可以全面解決安全問(wèn)題的體系結(jié)構(gòu)，它應(yīng)該具有動(dòng)態(tài)性、過(guò)程性、全面性、層次性和平衡性等特點(diǎn)。56571.4.1網(wǎng)絡(luò)安全策略1．物理安全策略制定物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、交換機(jī)、路由器、服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)等攻擊；驗(yàn)證用戶身份和使用權(quán)限，防止用戶越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容環(huán)境；建立完備的機(jī)房安全管理制度，防止非法人員進(jìn)入網(wǎng)絡(luò)中心進(jìn)行偷竊和破壞活動(dòng)等。1.4網(wǎng)絡(luò)安全策略與技術(shù)2．訪問(wèn)控制策略訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。通過(guò)減少用戶對(duì)資源的訪問(wèn)來(lái)降低資源被攻擊的概率，以達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的目的。訪問(wèn)控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。1.4網(wǎng)絡(luò)安全策略與技術(shù)3．信息加密策略信息加密的目的是要保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和在通信線路上傳輸?shù)臄?shù)據(jù)安全。網(wǎng)絡(luò)加密可以在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層實(shí)現(xiàn)，用戶可根據(jù)不同的需要，選擇適當(dāng)?shù)募用芊绞?。加密是?shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一。1.4網(wǎng)絡(luò)安全策略與技術(shù)4．安全管理策略在網(wǎng)絡(luò)安全中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行，將起到十分有效的作用。使用計(jì)算機(jī)網(wǎng)絡(luò)的各企事業(yè)單位，應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，提高整體網(wǎng)絡(luò)安全意識(shí)。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。1.4網(wǎng)絡(luò)安全策略與技術(shù)1.4.2網(wǎng)絡(luò)安全使用技術(shù)1．安全漏洞掃描技術(shù)安全漏洞掃描技術(shù)用于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全檢查，尋找和發(fā)現(xiàn)其中可被攻擊者利用的安全漏洞和隱患。安全漏洞掃描技術(shù)通常采用被動(dòng)式和主動(dòng)式兩種策略。1.4網(wǎng)絡(luò)安全策略與技術(shù)2．網(wǎng)絡(luò)嗅探技術(shù)網(wǎng)絡(luò)嗅探技術(shù)是利用計(jì)算機(jī)的網(wǎng)絡(luò)端口截獲網(wǎng)絡(luò)中數(shù)據(jù)報(bào)文的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，可以對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行記錄，從而幫助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)潛在的問(wèn)題。例如，網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文發(fā)送比較慢，而用戶又不知道問(wèn)題出在什么地方，此時(shí)就可以用嗅探器來(lái)作出精確的問(wèn)題判斷。1.4網(wǎng)絡(luò)安全策略與技術(shù)3．?dāng)?shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼，從而達(dá)到隱藏信息內(nèi)容，使非法用戶無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段?，F(xiàn)代加密算法不僅可以實(shí)現(xiàn)信息加密，還可以實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，因此，數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)信息安全的核心技術(shù)。1.4網(wǎng)絡(luò)安全策略與技術(shù)4．?dāng)?shù)字簽名技術(shù)數(shù)字簽名是在電子文件上簽名的技術(shù)，以解決偽造、抵賴、冒充和篡改等安全問(wèn)題。數(shù)字簽名一般采用非對(duì)稱加密技術(shù)，簽名者用自己的私鑰對(duì)明文進(jìn)行加密，將其作為簽名；接收方使用簽名者的公鑰對(duì)簽名進(jìn)行解密，若結(jié)果與明文一致，則證明對(duì)方身份是真實(shí)的。1.4網(wǎng)絡(luò)安全策略與技術(shù)5．鑒別技術(shù)鑒別技術(shù)用在安全通信中，目的是對(duì)通信雙方的身份以及傳輸數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。按照鑒別內(nèi)容的不同，鑒別技術(shù)可以分為用戶身份鑒別和消息內(nèi)容鑒別。利用數(shù)字簽名，可同時(shí)實(shí)現(xiàn)收發(fā)雙方的身份鑒別和消息完整性鑒別。1.4網(wǎng)絡(luò)安全策略與技術(shù)6．訪問(wèn)控制技術(shù)訪問(wèn)控制通常采用設(shè)置口令和入網(wǎng)限制，采取CA認(rèn)證和數(shù)字簽名等技術(shù)對(duì)用戶身份進(jìn)行驗(yàn)證和確認(rèn)，設(shè)置不同軟件及數(shù)據(jù)資源的屬性和訪問(wèn)權(quán)限，進(jìn)行網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)審計(jì)和跟蹤，使用防火墻系統(tǒng)、入侵檢測(cè)和防護(hù)系統(tǒng)等方法實(shí)現(xiàn)。1.4網(wǎng)絡(luò)安全策略與技術(shù)7．安全審計(jì)技術(shù)安全審計(jì)技術(shù)能記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，是提高網(wǎng)絡(luò)安全性的重要工具。它通過(guò)記錄和分析歷史操作，能夠發(fā)現(xiàn)系統(tǒng)漏洞或?qū)赡墚a(chǎn)生破壞性的行為進(jìn)行審計(jì)跟蹤。1.4網(wǎng)絡(luò)安全策略與技術(shù)8．防火墻技術(shù)防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，它包括硬件和軟件。防火墻對(duì)經(jīng)過(guò)的每一個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)，判斷數(shù)據(jù)包是否與事先設(shè)置的過(guò)濾規(guī)則匹配，并按控制機(jī)制做出相應(yīng)的動(dòng)作，從而保護(hù)網(wǎng)絡(luò)的安全。防火墻是企業(yè)網(wǎng)與Internet連接的第一道屏障。1.4網(wǎng)絡(luò)安全策略與技術(shù)9．入侵檢測(cè)技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的攻擊檢測(cè)技術(shù)，能夠在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中發(fā)現(xiàn)入侵者的攻擊行為和蹤跡。一旦發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如報(bào)警、記錄、切斷或攔截等。入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全防線，與防火墻相輔相成，構(gòu)成比較完整的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)。1.4網(wǎng)絡(luò)安全策略與技術(shù)10．病毒防范技術(shù)病毒防范是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的入侵，并采取有效的手段阻止病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)，必須具備強(qiáng)大的病毒防范和查殺能力。1.4網(wǎng)絡(luò)安全策略與技術(shù)1.5網(wǎng)絡(luò)安全級(jí)別

1．可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全評(píng)價(jià)，通常采用美國(guó)國(guó)防部計(jì)算機(jī)安全中心制定的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC)。TCSEC定義了系統(tǒng)的安全策略、系統(tǒng)的可審計(jì)機(jī)制、系統(tǒng)安全的可操作性、系統(tǒng)安全的生命期保證以及建立和維護(hù)的系統(tǒng)安全等五要素的相關(guān)文件。TCSEC中根據(jù)計(jì)算機(jī)系統(tǒng)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為A、B(B1、B2、B3)、C(C1、C2)和D等四類七個(gè)安全級(jí)別。1．可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(1)D類(最低安全保護(hù)級(jí))：該類未加任何實(shí)際的安全措施，系統(tǒng)軟硬件都容易被攻擊。這是安全級(jí)別最低的一類，不再分級(jí)。該類說(shuō)明整個(gè)系統(tǒng)都是不可信任的。對(duì)于硬件來(lái)說(shuō)，沒(méi)有任何保護(hù)可用；對(duì)于操作系統(tǒng)來(lái)說(shuō)較容易受到損害；對(duì)于用戶和他們對(duì)存儲(chǔ)在計(jì)算機(jī)上信息的訪問(wèn)權(quán)限沒(méi)有身份驗(yàn)證。1.5網(wǎng)絡(luò)安全級(jí)別

(2)C類(被動(dòng)的自主訪問(wèn)策略)，該類又分為兩個(gè)子類(級(jí))C1級(jí)(無(wú)條件的安全保護(hù))：這是C類中安全性較低的一級(jí)，它提供的安全策略是無(wú)條件的訪問(wèn)控制，對(duì)硬件采取簡(jiǎn)單的安全措施(如加鎖)，用戶要有登錄認(rèn)證和訪問(wèn)權(quán)限限制，但不能控制已登錄用戶的訪問(wèn)級(jí)別，因此該級(jí)也叫選擇性安全保護(hù)級(jí)。早期的SCOUNIX、NetWareV3.0以下系統(tǒng)均屬于該級(jí)。C2級(jí)(有控制的訪問(wèn)保護(hù)級(jí))：這是C類中安全性較高的一級(jí)，除了提供C1級(jí)中的安全策略與控制外，還增加了系統(tǒng)審計(jì)、訪問(wèn)保護(hù)和跟蹤記錄等特性。Unix/Xenix系統(tǒng)、NetWareV3.x系統(tǒng)和WindowsNT/2000系統(tǒng)等均屬于該級(jí)1.5網(wǎng)絡(luò)安全級(jí)別

(3)B類(被動(dòng)的強(qiáng)制訪問(wèn)策略類)：該類要求系統(tǒng)在其生成的數(shù)據(jù)結(jié)構(gòu)中帶有標(biāo)記，并要求提供對(duì)數(shù)據(jù)流的監(jiān)視。該類又分為三個(gè)子類(級(jí))。B1級(jí)(標(biāo)記安全保護(hù)級(jí))：它是B類中安全性最低的一級(jí)。除滿足C類要求外，要求提供數(shù)據(jù)標(biāo)記。B1級(jí)的系統(tǒng)安全措施支持多級(jí)(網(wǎng)絡(luò)、應(yīng)用程序和工作站等)安全。B2級(jí)(結(jié)構(gòu)安全保護(hù)級(jí))：該級(jí)是B類中安全性居中一級(jí)，它除滿足B1要求外，還要求計(jì)算機(jī)系統(tǒng)中所有對(duì)象都加標(biāo)記，并給各設(shè)備分配安全級(jí)別。B3級(jí)(安全域保護(hù)級(jí))：該級(jí)是B類中安全性最高的一級(jí)。它使用安裝硬件的辦法來(lái)加強(qiáng)安全域。1.5網(wǎng)絡(luò)安全級(jí)別

(4)A類(驗(yàn)證安全保護(hù)級(jí))：A類是安全級(jí)別最高的一級(jí)，它包含了較低級(jí)別的所有特性。該級(jí)包括一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程，設(shè)計(jì)必須是從數(shù)學(xué)角度經(jīng)過(guò)驗(yàn)證，且必須對(duì)秘密通道和可信任的分布進(jìn)行分析。1.5網(wǎng)絡(luò)安全級(jí)別

2.計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則當(dāng)前，我國(guó)計(jì)算機(jī)信息系統(tǒng)的建設(shè)和使用正在逐步由封閉向開(kāi)放，由靜態(tài)向動(dòng)態(tài)，由單一系統(tǒng)向系統(tǒng)互聯(lián)等方面轉(zhuǎn)變，從而對(duì)信息系統(tǒng)的安全保護(hù)工作提出了強(qiáng)烈要求。為此，國(guó)家公安部組織制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》，該準(zhǔn)則于1999年9月13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實(shí)施。

1.5網(wǎng)絡(luò)安全級(jí)別

2．計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則該準(zhǔn)則劃分的五個(gè)安全級(jí)別及含義如下：第一級(jí)叫用戶自主保護(hù)級(jí)。該級(jí)使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免被其他用戶非法讀寫(xiě)和破壞。第二級(jí)叫系統(tǒng)審計(jì)保護(hù)級(jí)。它具備第一級(jí)的保護(hù)能力，并創(chuàng)建和維護(hù)訪問(wèn)審計(jì)跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶及事件類型等信息，使所有用戶對(duì)自己的行為負(fù)責(zé)。1.5網(wǎng)絡(luò)安全級(jí)別

2．計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則第三級(jí)叫安全標(biāo)記保護(hù)級(jí)。它具備第二級(jí)的保護(hù)能力，并為訪問(wèn)者和訪問(wèn)對(duì)象指定安全標(biāo)記，以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。第四級(jí)叫結(jié)構(gòu)化保護(hù)級(jí)。它具備第三級(jí)的所有保護(hù)功能，并將安全保