第1章 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全技術(shù)2課程考核考核方式：考試課（64實踐）

出勤+實訓(xùn)作業(yè)+期末考試3第1章網(wǎng)絡(luò)安全概述1第2章網(wǎng)絡(luò)操作系統(tǒng)安全第3章網(wǎng)絡(luò)數(shù)據(jù)庫安全第4章網(wǎng)絡(luò)硬件設(shè)備安全第5章網(wǎng)絡(luò)軟件安全第6章數(shù)據(jù)加密與認(rèn)證技術(shù)第7章網(wǎng)絡(luò)病毒及其防治第8章網(wǎng)絡(luò)的攻擊與防護(hù)第9章無線網(wǎng)絡(luò)安全與應(yīng)用第10章Internet安全與應(yīng)用教材4內(nèi)事不決問百度,外事不決問谷歌教材5為什么開設(shè)本課程？

專業(yè)需要！

我們的工作和生活越來越依賴網(wǎng)絡(luò)和信息！網(wǎng)絡(luò)中的危險和陷阱太多，但大多數(shù)人卻不具備基本的安全防護(hù)能力！2014年，隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立、首屆國家網(wǎng)絡(luò)安全宣傳周、首屆世界互聯(lián)網(wǎng)大會在浙江烏鎮(zhèn)召開，信息安全上升到國家戰(zhàn)略高度。隨著政府把網(wǎng)絡(luò)安全提到國家安全這一高度，也使得網(wǎng)絡(luò)安全走進(jìn)了大眾的視野。網(wǎng)絡(luò)空間已被視為繼陸、海、空、天之后的“第五空間”，網(wǎng)絡(luò)空間已經(jīng)變?yōu)橹鳈?quán)空間。因此我們要“建設(shè)網(wǎng)絡(luò)強(qiáng)國”，要有自己的技術(shù)，有過硬的技術(shù)。第1章6我國網(wǎng)民及網(wǎng)絡(luò)安全狀況據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報告，截止2014年12月，中國網(wǎng)民規(guī)模突破6.49億，中國手機(jī)網(wǎng)民規(guī)模達(dá)5.57億；國內(nèi)域名總數(shù)2060萬個，網(wǎng)站近335萬家，全球十大互聯(lián)網(wǎng)企業(yè)中我國有3家。2014年網(wǎng)絡(luò)購物用戶達(dá)到3.61億，全國信息消費整體規(guī)模迅猛增加,電子商務(wù)交易規(guī)模突破10多萬億元人民幣。中國已是名副其實的“網(wǎng)絡(luò)大國”。中國面臨的網(wǎng)絡(luò)安全方面的任務(wù)和挑戰(zhàn)日益復(fù)雜和多元。中國目前是網(wǎng)絡(luò)攻擊的主要受害國。境外木馬或僵尸程序控制境內(nèi)服務(wù)器。侵犯個人隱私、損害公民合法權(quán)益等違法行為時有發(fā)生。6網(wǎng)絡(luò)安全問題的現(xiàn)狀2014年，網(wǎng)絡(luò)安全問題受到空前的關(guān)注，諸多的網(wǎng)絡(luò)安全事件讓用戶知道網(wǎng)絡(luò)信息所面臨的威脅。棱鏡門事件2014年1月中國互聯(lián)網(wǎng)出現(xiàn)大面積DNS解析故障微軟WindowsXP停維事件OpenSSL心臟滴血、BadUSB漏洞、Shellshock漏洞eBay數(shù)據(jù)的大泄漏2014年12月12306用戶數(shù)據(jù)泄露（身份證及密碼信息）2014年9月500萬谷歌賬戶和密碼的數(shù)據(jù)庫被泄露第1章網(wǎng)絡(luò)安全問題的現(xiàn)狀2014年3月22日，具烏云網(wǎng)平臺在其官網(wǎng)上公布了報告，指出攜程網(wǎng)安全支付日志可被遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露（包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin），且該漏洞消息已經(jīng)過攜程確認(rèn)。2015年5月28日，攜程官方網(wǎng)站及APP出現(xiàn)了無法正常使用的情況，這一事故持續(xù)了12個小時才被修復(fù)，引發(fā)了外界對攜程的種種猜測。最終攜程方面對外給出的解釋是，由于員工錯誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼。2015年5月27日，支付寶出現(xiàn)大規(guī)模癱瘓，國內(nèi)很多支付寶用戶在PC端和移動終端均無法轉(zhuǎn)賬付款，事故持續(xù)了差不多兩小時。支付寶方面對外表示，造成此次事故的原因，是由于市政施工使得杭州市蕭山區(qū)某地光纜被挖斷，進(jìn)而導(dǎo)致支付寶一個主要機(jī)房受影響。第1章9正確的學(xué)習(xí)態(tài)度防人之心不可無！害人之心不可有！第1章10我們身邊發(fā)生過哪些信息安全事件？第1章1111國家層面棱鏡門”

“棱鏡”竊聽計劃，始于2007年的小布什時期，美國情報機(jī)構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數(shù)據(jù)，語音聊天，文件傳輸，視頻會議，登錄時間，社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個秘密監(jiān)視項目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。第1章12國家層面美國網(wǎng)軍：監(jiān)控全球互聯(lián)網(wǎng)隨時讓他國網(wǎng)絡(luò)癱瘓美國上將基斯·亞歷山大“震網(wǎng)”的蠕蟲病毒，2006年，他們通過這一病毒發(fā)送特定指令改變伊朗核工廠鈾濃縮離心機(jī)轉(zhuǎn)速，使得數(shù)千臺鈾濃縮離心機(jī)癱瘓。。第1章13各國間諜第1章14

黑客攻擊是各國面臨的共同挑戰(zhàn)越南外交部網(wǎng)站被黑奏響中國國歌第1章15行業(yè)層面

第1章16行業(yè)層面

第1章17行業(yè)層面第1章18第1章05二月202319黑客進(jìn)清華官網(wǎng)假冒校長稱“中國大學(xué)教育就是往腦子灌屎”20武漢大學(xué)招生錄取結(jié)果查詢網(wǎng)頁遭到電腦黑客攻擊2007年7月31日，武漢大學(xué)招生錄取結(jié)果查詢網(wǎng)頁遭到電腦黑客攻擊，不法分子利用電腦黑客技術(shù)，篡改招生錄取查詢網(wǎng)頁，刪除正式錄取名單中的11人，惡意添加8人，欺騙考生和家長。據(jù)調(diào)查，其中1個考生被騙取的金額就達(dá)十幾萬元。第1章05二月202321人民郵電出版社??第1章網(wǎng)絡(luò)安全概述第1章05二月202323第1章網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全概論

1.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理

1.3網(wǎng)絡(luò)安全體系

1.4網(wǎng)絡(luò)安全策略與技術(shù)1.6網(wǎng)絡(luò)系統(tǒng)安全的日常管理1.5網(wǎng)絡(luò)安全級別第1章05二月2023241.1網(wǎng)絡(luò)安全概論1.1.1網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全本質(zhì)上就是網(wǎng)絡(luò)上的信息系統(tǒng)安全。網(wǎng)絡(luò)安全包括系統(tǒng)安全運行和系統(tǒng)信息安全保護(hù)兩方面。信息系統(tǒng)的安全運行是信息系統(tǒng)提供有效服務(wù)(即可用性)的前提，信息的安全保護(hù)主要是確保數(shù)據(jù)信息的機(jī)密性和完整性。第1章05二月2023251.1網(wǎng)絡(luò)安全概論1.1.1網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因無意或故意威脅而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常地運行。

第1章05二月2023261.1網(wǎng)絡(luò)安全概論從不同角度談網(wǎng)絡(luò)安全：用戶：網(wǎng)絡(luò)系統(tǒng)可靠運行；網(wǎng)絡(luò)中存儲和傳輸?shù)男畔⑼暾?、可用和保密。避免竊聽、冒充、篡改、抵賴。網(wǎng)絡(luò)運行和管理者：網(wǎng)絡(luò)資源安全，有訪問控制措施，無“黑客”和病毒攻擊。安全保密部門：防有害信息出現(xiàn)，防敏感信息泄露。避免機(jī)要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。社會教育和意識形態(tài)：控制有害信息的傳播第1章05二月2023271.1網(wǎng)絡(luò)安全概論信息的價值通過什么來體現(xiàn)？保密性可用性真實有效性(完整性)不可否認(rèn)性…遼警升本成功四六級考試試卷黑板上寫著的一句話“本周老師出差，不上課！”移動硬盤中存放的一份絕密技術(shù)文件清華大學(xué)網(wǎng)站上的新聞與網(wǎng)友的一段QQ聊天記錄第1章05二月2023281.1網(wǎng)絡(luò)安全概論信息的價值在哪些情況下會喪失？保密性（泄密…）可用性（被盜、損壞…）完整性（被惡意修改…）不可否認(rèn)性（賴賬…）可控性（黑客入侵、監(jiān)控…）第1章05二月2023291.1網(wǎng)絡(luò)安全概論第1章05二月2023301.1網(wǎng)絡(luò)安全概論1.1.2網(wǎng)絡(luò)安全的需求與目標(biāo)

網(wǎng)絡(luò)安全的目標(biāo)主要表現(xiàn)在：可用性可靠性機(jī)密性完整性不可抵賴性可控性第1章311.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理1.2.1網(wǎng)絡(luò)系統(tǒng)漏洞1．漏洞的概念漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使攻擊者能夠在未經(jīng)系統(tǒng)合法用戶授權(quán)的情況下訪問或破壞系統(tǒng)。案例—羅伯特·莫里斯

第1章321.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理1.2.1網(wǎng)絡(luò)系統(tǒng)漏洞2．漏洞類型操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議漏洞數(shù)據(jù)庫漏洞網(wǎng)絡(luò)服務(wù)漏洞(FTP、DNS、Web)第1章333．典型的網(wǎng)絡(luò)結(jié)構(gòu)及安全漏洞第1章341.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理1.2.2網(wǎng)絡(luò)系統(tǒng)威脅網(wǎng)絡(luò)的安全威脅來自于網(wǎng)絡(luò)中存在的不安全因素。網(wǎng)絡(luò)安全的主要威脅有以下幾種：物理威脅操作系統(tǒng)缺陷網(wǎng)絡(luò)協(xié)議缺陷體系結(jié)構(gòu)缺陷黑客程序計算機(jī)病毒第1章351.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理1.2.3網(wǎng)絡(luò)安全的風(fēng)險評估風(fēng)險評估(RiskAssessment)是對信息資產(chǎn)面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風(fēng)險的可能性的評估。作為風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。風(fēng)險評估中保證信息安全的前提條件，是制定安全策略的依據(jù)。1.2.3網(wǎng)絡(luò)安全的風(fēng)險評估網(wǎng)絡(luò)安全評估包括：安全策略評估系統(tǒng)配置的安全性評估網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全性評估病毒防護(hù)系統(tǒng)的安全性評估網(wǎng)絡(luò)防護(hù)能力評估網(wǎng)絡(luò)物理安全評估數(shù)據(jù)備份的安全性評估網(wǎng)絡(luò)服務(wù)的安全性評估網(wǎng)絡(luò)隔離的安全性評估第1章371.2網(wǎng)絡(luò)安全的威脅與風(fēng)險管理1.2.3網(wǎng)絡(luò)安全的風(fēng)險評估一般來說，一個有效的網(wǎng)絡(luò)風(fēng)險評估測試方法可以解決以下問題：防火墻配置不當(dāng)?shù)耐獠烤W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。路由器過濾規(guī)則和設(shè)置不當(dāng)。弱認(rèn)證機(jī)制。配置不當(dāng)或易受攻擊的電子郵件和DNS服務(wù)器。潛在的網(wǎng)絡(luò)層Web服務(wù)器漏洞。配置不當(dāng)?shù)臄?shù)據(jù)庫服務(wù)器。易受攻擊的FTP服務(wù)器。第1章381.3網(wǎng)絡(luò)安全體系1.3.1OSI安全體系1．OSI參考模型OSI參考模型是國際標(biāo)準(zhǔn)化組織(ISO)為解決異種機(jī)互連而制定的開放式計算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)模型，它的最大優(yōu)點是將服務(wù)、接口和協(xié)議這三個概念明確地區(qū)分開來。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩方面的內(nèi)容。網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)與OSI網(wǎng)絡(luò)層次之間形成了一定的邏輯關(guān)系。397654321應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層OSI參考模型安全機(jī)制安全服務(wù)數(shù)據(jù)完整性數(shù)據(jù)保密性抗抵賴訪問控制鑒別服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證第1章401.3網(wǎng)絡(luò)安全體系2．網(wǎng)絡(luò)安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制交換鑒別機(jī)制信息量填充機(jī)制路由控制機(jī)制公證機(jī)制第1章05二月2023411.3網(wǎng)絡(luò)安全體系3．網(wǎng)絡(luò)安全服務(wù)鑒別服務(wù)訪問控制服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)保密性服務(wù)非否認(rèn)服務(wù)第1章05二月2023421.3網(wǎng)絡(luò)安全體系1.3.2網(wǎng)絡(luò)安全模型1．P2DR網(wǎng)絡(luò)安全模型P2DR是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。它包含4個主要部分：Policy(策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))。其中，防護(hù)、檢測和響應(yīng)組成了一個完整、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證網(wǎng)絡(luò)的安全。第1章431.3網(wǎng)絡(luò)安全體系1．P2DR網(wǎng)絡(luò)安全模型P2DR安全模型第1章441.3網(wǎng)絡(luò)安全體系1．P2DR網(wǎng)絡(luò)安全模型P2DR模型的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。第1章451.3網(wǎng)絡(luò)安全體系(1)Policy(策略)策略體系的建立包括安全策略的制定、安全策略的評估和安全策略的執(zhí)行等過程。網(wǎng)絡(luò)安全策略一般包括兩部分：總體的安全策略和具體的安全規(guī)則。總體的安全策略用于闡述本部門網(wǎng)絡(luò)安全的總體思想和指導(dǎo)方針；具體的安全規(guī)則是根據(jù)總體安全策略提出的具體網(wǎng)絡(luò)安全實施規(guī)則，它用于說明網(wǎng)絡(luò)上什么活動是被允許的，什么活動是被禁止的。第1章461.3網(wǎng)絡(luò)安全體系(2)Protection(防護(hù))防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題采取一些預(yù)防措施，通過一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的。通常采用的主動防護(hù)技術(shù)有：數(shù)據(jù)加密、身份驗證、訪問控制、授權(quán)和虛擬專用網(wǎng)技術(shù)等；被動防護(hù)技術(shù)有：防火墻技術(shù)、安全掃描、入侵檢測、路由過濾、數(shù)據(jù)備份和歸檔、物理安全、安全管理等。第1章471.3網(wǎng)絡(luò)安全體系(3)Detection(檢測)攻擊者如果穿過防護(hù)系統(tǒng)，檢測系統(tǒng)就要將其檢測出來。如檢測入侵者的身份、攻擊源點和系統(tǒng)損失等。防護(hù)系統(tǒng)可以阻止大部分的入侵事件，但不能阻止所有的入侵事件，特別是那些利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。如果入侵事件發(fā)生，就要啟動檢測系統(tǒng)進(jìn)行檢測。第1章481.3網(wǎng)絡(luò)安全體系(3)Detection(檢測)檢測與防護(hù)有根本的區(qū)別。防護(hù)主要是修補系統(tǒng)和網(wǎng)絡(luò)缺陷，增加系統(tǒng)安全性能，從而消除攻擊和入侵的條件，避免攻擊的發(fā)生；而檢測是根據(jù)入侵事件的特征進(jìn)行的。因黑客往往是利用網(wǎng)絡(luò)和系統(tǒng)缺陷進(jìn)行攻擊的，所以入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)。在P2DR模型中，防護(hù)和檢測有互補關(guān)系。如果防護(hù)系統(tǒng)過硬，絕大部分入侵事件被阻止，那么檢測系統(tǒng)的任務(wù)就減少了。第1章491.3網(wǎng)絡(luò)安全體系(4)Response(響應(yīng))系統(tǒng)一旦檢測出有入侵行為，響應(yīng)系統(tǒng)則開始響應(yīng)，進(jìn)行事件處理。P2DR中的響應(yīng)就是在已知入侵事件發(fā)生后進(jìn)行的緊急響應(yīng)(事件處理)。響應(yīng)工作可由一個特殊部門負(fù)責(zé)，那就是計算機(jī)安全應(yīng)急響應(yīng)小組。從CERT建立之后，世界各國以及各機(jī)構(gòu)也紛紛建立自己的計算機(jī)應(yīng)急響應(yīng)小組。我國第一個計算機(jī)安全應(yīng)急響應(yīng)小組(CCERT)建立于1999年，主要服務(wù)于CERNET。不同機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)也有相應(yīng)的計算機(jī)安全應(yīng)急響應(yīng)小組。響應(yīng)可分為緊急響應(yīng)、恢復(fù)處理兩種。第1章501.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR是美國國防部提出的安全模型，它包含了網(wǎng)絡(luò)安全的4個環(huán)節(jié)：Protection(防護(hù))、Detection(檢測)、Response(響應(yīng))和Recovery(恢復(fù))，如圖1.4所示。PDRR模式是一種公認(rèn)的比較完善也比較有效的網(wǎng)絡(luò)信息安全解決方案，可以用于政府、機(jī)關(guān)、企業(yè)等機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)。第1章511.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR安全模型第1章521.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型PDRR模型與前述的P2DR模型有很多相似之處。其中Protection(防護(hù))和Detection(檢測)兩個環(huán)節(jié)的基本思想是相同的，P2DR模型中的Response(響應(yīng))環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR模型中Response(響應(yīng))和Recovery(恢復(fù))是分開的，內(nèi)容也有所擴(kuò)展。第1章531.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型響應(yīng)是在已知入侵事件發(fā)生后，對其進(jìn)行處理。在大型網(wǎng)絡(luò)中，響應(yīng)除了對已知的攻擊采取應(yīng)對措施外，還提供咨詢、培訓(xùn)和技術(shù)支持。人們最熟悉的響應(yīng)措施就是采用殺毒軟件對因計算機(jī)病毒造成系統(tǒng)損害的處理。第1章541.3網(wǎng)絡(luò)安全體系2．PDRR網(wǎng)絡(luò)安全模型恢復(fù)是PDRR網(wǎng)絡(luò)信息安全解決方案中的最后環(huán)節(jié)。它是在攻擊或入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)或比原來更安全的狀態(tài)，把丟失的數(shù)據(jù)找回來。恢復(fù)是對入侵最有效的挽救措施。第1章551.3網(wǎng)絡(luò)安全體系1.3.2網(wǎng)絡(luò)安全模型P2DR和PDRR安全模型都存在一定的缺陷。它們都更側(cè)重于技術(shù)，而對諸如管理方面的因素并沒有強(qiáng)調(diào)。模型中一個明顯的不足就是忽略了內(nèi)在的變化因素。實際上，安全問題牽涉面廣，除了涉及防護(hù)、檢測、響應(yīng)和恢復(fù)外，系統(tǒng)本身安全的“免疫力”的增強(qiáng)、系統(tǒng)和整個網(wǎng)絡(luò)的優(yōu)化，以及人員素質(zhì)的提升等，都是網(wǎng)絡(luò)安全中應(yīng)該考慮到的問題。網(wǎng)絡(luò)安全體系應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個可以全面解決安全問題的體系結(jié)構(gòu)，它應(yīng)該具有動態(tài)性、過程性、全面性、層次性和平衡性等特點。56571.4.1網(wǎng)絡(luò)安全策略1．物理安全策略制定物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、交換機(jī)、路由器、服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊；驗證用戶身份和使用權(quán)限，防止用戶越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容環(huán)境；建立完備的機(jī)房安全管理制度，防止非法人員進(jìn)入網(wǎng)絡(luò)中心進(jìn)行偷竊和破壞活動等。1.4網(wǎng)絡(luò)安全策略與技術(shù)2．訪問控制策略訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。通過減少用戶對資源的訪問來降低資源被攻擊的概率，以達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的目的。訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。1.4網(wǎng)絡(luò)安全策略與技術(shù)3．信息加密策略信息加密的目的是要保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲的數(shù)據(jù)和在通信線路上傳輸?shù)臄?shù)據(jù)安全。網(wǎng)絡(luò)加密可以在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層實現(xiàn)，用戶可根據(jù)不同的需要，選擇適當(dāng)?shù)募用芊绞?。加密是實現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一。1.4網(wǎng)絡(luò)安全策略與技術(shù)4．安全管理策略在網(wǎng)絡(luò)安全中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠運行，將起到十分有效的作用。使用計算機(jī)網(wǎng)絡(luò)的各企事業(yè)單位，應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，提高整體網(wǎng)絡(luò)安全意識。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。1.4網(wǎng)絡(luò)安全策略與技術(shù)1.4.2網(wǎng)絡(luò)安全使用技術(shù)1．安全漏洞掃描技術(shù)安全漏洞掃描技術(shù)用于對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全檢查，尋找和發(fā)現(xiàn)其中可被攻擊者利用的安全漏洞和隱患。安全漏洞掃描技術(shù)通常采用被動式和主動式兩種策略。1.4網(wǎng)絡(luò)安全策略與技術(shù)2．網(wǎng)絡(luò)嗅探技術(shù)網(wǎng)絡(luò)嗅探技術(shù)是利用計算機(jī)的網(wǎng)絡(luò)端口截獲網(wǎng)絡(luò)中數(shù)據(jù)報文的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，可以對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行記錄，從而幫助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)潛在的問題。例如，網(wǎng)絡(luò)的某一段運行得不是很好，報文發(fā)送比較慢，而用戶又不知道問題出在什么地方，此時就可以用嗅探器來作出精確的問題判斷。1.4網(wǎng)絡(luò)安全策略與技術(shù)3．?dāng)?shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而達(dá)到隱藏信息內(nèi)容，使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段?，F(xiàn)代加密算法不僅可以實現(xiàn)信息加密，還可以實現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，因此，數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)信息安全的核心技術(shù)。1.4網(wǎng)絡(luò)安全策略與技術(shù)4．?dāng)?shù)字簽名技術(shù)數(shù)字簽名是在電子文件上簽名的技術(shù)，以解決偽造、抵賴、冒充和篡改等安全問題。數(shù)字簽名一般采用非對稱加密技術(shù)，簽名者用自己的私鑰對明文進(jìn)行加密，將其作為簽名；接收方使用簽名者的公鑰對簽名進(jìn)行解密，若結(jié)果與明文一致，則證明對方身份是真實的。1.4網(wǎng)絡(luò)安全策略與技術(shù)5．鑒別技術(shù)鑒別技術(shù)用在安全通信中，目的是對通信雙方的身份以及傳輸數(shù)據(jù)的完整性進(jìn)行驗證。按照鑒別內(nèi)容的不同，鑒別技術(shù)可以分為用戶身份鑒別和消息內(nèi)容鑒別。利用數(shù)字簽名，可同時實現(xiàn)收發(fā)雙方的身份鑒別和消息完整性鑒別。1.4網(wǎng)絡(luò)安全策略與技術(shù)6．訪問控制技術(shù)訪問控制通常采用設(shè)置口令和入網(wǎng)限制，采取CA認(rèn)證和數(shù)字簽名等技術(shù)對用戶身份進(jìn)行驗證和確認(rèn)，設(shè)置不同軟件及數(shù)據(jù)資源的屬性和訪問權(quán)限，進(jìn)行網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)審計和跟蹤，使用防火墻系統(tǒng)、入侵檢測和防護(hù)系統(tǒng)等方法實現(xiàn)。1.4網(wǎng)絡(luò)安全策略與技術(shù)7．安全審計技術(shù)安全審計技術(shù)能記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，是提高網(wǎng)絡(luò)安全性的重要工具。它通過記錄和分析歷史操作，能夠發(fā)現(xiàn)系統(tǒng)漏洞或?qū)赡墚a(chǎn)生破壞性的行為進(jìn)行審計跟蹤。1.4網(wǎng)絡(luò)安全策略與技術(shù)8．防火墻技術(shù)防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，它包括硬件和軟件。防火墻對經(jīng)過的每一個數(shù)據(jù)包進(jìn)行檢測，判斷數(shù)據(jù)包是否與事先設(shè)置的過濾規(guī)則匹配，并按控制機(jī)制做出相應(yīng)的動作，從而保護(hù)網(wǎng)絡(luò)的安全。防火墻是企業(yè)網(wǎng)與Internet連接的第一道屏障。1.4網(wǎng)絡(luò)安全策略與技術(shù)9．入侵檢測技術(shù)網(wǎng)絡(luò)入侵檢測技術(shù)是一種動態(tài)的攻擊檢測技術(shù)，能夠在網(wǎng)絡(luò)系統(tǒng)運行過程中發(fā)現(xiàn)入侵者的攻擊行為和蹤跡。一旦發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊，立刻根據(jù)用戶所定義的動作做出反應(yīng)，如報警、記錄、切斷或攔截等。入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全防線，與防火墻相輔相成，構(gòu)成比較完整的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)。1.4網(wǎng)絡(luò)安全策略與技術(shù)10．病毒防范技術(shù)病毒防范是指通過建立合理的計算機(jī)病毒防范體系和制度，及時發(fā)現(xiàn)計算機(jī)病毒的入侵，并采取有效的手段阻止病毒的傳播和破壞，恢復(fù)受影響的計算機(jī)系統(tǒng)和數(shù)據(jù)。一個安全的網(wǎng)絡(luò)系統(tǒng)，必須具備強(qiáng)大的病毒防范和查殺能力。1.4網(wǎng)絡(luò)安全策略與技術(shù)1.5網(wǎng)絡(luò)安全級別

1．可信計算機(jī)系統(tǒng)評價準(zhǔn)則計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全評價，通常采用美國國防部計算機(jī)安全中心制定的可信計算機(jī)系統(tǒng)評價準(zhǔn)則(TCSEC)。TCSEC定義了系統(tǒng)的安全策略、系統(tǒng)的可審計機(jī)制、系統(tǒng)安全的可操作性、系統(tǒng)安全的生命期保證以及建立和維護(hù)的系統(tǒng)安全等五要素的相關(guān)文件。TCSEC中根據(jù)計算機(jī)系統(tǒng)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為A、B(B1、B2、B3)、C(C1、C2)和D等四類七個安全級別。1．可信計算機(jī)系統(tǒng)評價準(zhǔn)則(1)D類(最低安全保護(hù)級)：該類未加任何實際的安全措施，系統(tǒng)軟硬件都容易被攻擊。這是安全級別最低的一類，不再分級。該類說明整個系統(tǒng)都是不可信任的。對于硬件來說，沒有任何保護(hù)可用；對于操作系統(tǒng)來說較容易受到損害；對于用戶和他們對存儲在計算機(jī)上信息的訪問權(quán)限沒有身份驗證。1.5網(wǎng)絡(luò)安全級別

(2)C類(被動的自主訪問策略)，該類又分為兩個子類(級)C1級(無條件的安全保護(hù))：這是C類中安全性較低的一級，它提供的安全策略是無條件的訪問控制，對硬件采取簡單的安全措施(如加鎖)，用戶要有登錄認(rèn)證和訪問權(quán)限限制，但不能控制已登錄用戶的訪問級別，因此該級也叫選擇性安全保護(hù)級。早期的SCOUNIX、NetWareV3.0以下系統(tǒng)均屬于該級。C2級(有控制的訪問保護(hù)級)：這是C類中安全性較高的一級，除了提供C1級中的安全策略與控制外，還增加了系統(tǒng)審計、訪問保護(hù)和跟蹤記錄等特性。Unix/Xenix系統(tǒng)、NetWareV3.x系統(tǒng)和WindowsNT/2000系統(tǒng)等均屬于該級1.5網(wǎng)絡(luò)安全級別

(3)B類(被動的強(qiáng)制訪問策略類)：該類要求系統(tǒng)在其生成的數(shù)據(jù)結(jié)構(gòu)中帶有標(biāo)記，并要求提供對數(shù)據(jù)流的監(jiān)視。該類又分為三個子類(級)。B1級(標(biāo)記安全保護(hù)級)：它是B類中安全性最低的一級。除滿足C類要求外，要求提供數(shù)據(jù)標(biāo)記。B1級的系統(tǒng)安全措施支持多級(網(wǎng)絡(luò)、應(yīng)用程序和工作站等)安全。B2級(結(jié)構(gòu)安全保護(hù)級)：該級是B類中安全性居中一級，它除滿足B1要求外，還要求計算機(jī)系統(tǒng)中所有對象都加標(biāo)記，并給各設(shè)備分配安全級別。B3級(安全域保護(hù)級)：該級是B類中安全性最高的一級。它使用安裝硬件的辦法來加強(qiáng)安全域。1.5網(wǎng)絡(luò)安全級別

(4)A類(驗證安全保護(hù)級)：A類是安全級別最高的一級，它包含了較低級別的所有特性。該級包括一個嚴(yán)格的設(shè)計、控制和驗證過程，設(shè)計必須是從數(shù)學(xué)角度經(jīng)過驗證，且必須對秘密通道和可信任的分布進(jìn)行分析。1.5網(wǎng)絡(luò)安全級別

2.計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則當(dāng)前，我國計算機(jī)信息系統(tǒng)的建設(shè)和使用正在逐步由封閉向開放，由靜態(tài)向動態(tài)，由單一系統(tǒng)向系統(tǒng)互聯(lián)等方面轉(zhuǎn)變，從而對信息系統(tǒng)的安全保護(hù)工作提出了強(qiáng)烈要求。為此，國家公安部組織制定了強(qiáng)制性國家標(biāo)準(zhǔn)《計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》，該準(zhǔn)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實施。

1.5網(wǎng)絡(luò)安全級別

2．計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則該準(zhǔn)則劃分的五個安全級別及含義如下：第一級叫用戶自主保護(hù)級。該級使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免被其他用戶非法讀寫和破壞。第二級叫系統(tǒng)審計保護(hù)級。它具備第一級的保護(hù)能力，并創(chuàng)建和維護(hù)訪問審計跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶及事件類型等信息，使所有用戶對自己的行為負(fù)責(zé)。1.5網(wǎng)絡(luò)安全級別

2．計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則第三級叫安全標(biāo)記保護(hù)級。它具備第二級的保護(hù)能力，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強(qiáng)制保護(hù)。第四級叫結(jié)構(gòu)化保護(hù)級。它具備第三級的所有保護(hù)功能，并將安全保