第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置

第1講網(wǎng)絡(luò)安全概述與

實(shí)驗(yàn)環(huán)境配置本講主要內(nèi)容網(wǎng)絡(luò)安全研究的體系研究網(wǎng)絡(luò)安全的必要性及意義網(wǎng)絡(luò)安全的相關(guān)法規(guī)網(wǎng)絡(luò)安全的評(píng)估標(biāo)準(zhǔn)實(shí)驗(yàn)環(huán)境的配置網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全（NetworkSecurity）是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。網(wǎng)絡(luò)(信息)安全：是指確保網(wǎng)絡(luò)上的信息和資源不被非授權(quán)用戶使用。網(wǎng)絡(luò)安全的攻防體系攻擊技術(shù)1、網(wǎng)絡(luò)監(jiān)聽：自己不主動(dòng)去攻擊別人，在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。3、網(wǎng)絡(luò)入侵：當(dāng)探測(cè)發(fā)現(xiàn)對(duì)方存在漏洞以后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了長(zhǎng)期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對(duì)方管理員發(fā)現(xiàn)。防御技術(shù)1、操作系統(tǒng)的安全配置：操作系統(tǒng)的安全是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將所有的數(shù)據(jù)進(jìn)行加密。3、防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。4、入侵檢測(cè)：如果網(wǎng)絡(luò)防線最終被攻破了，需要及時(shí)發(fā)出被入侵的警報(bào)。網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全，在軟件使用有兩種選擇：1、使用已經(jīng)成熟的工具如抓數(shù)據(jù)包軟件Sniffer網(wǎng)絡(luò)掃描工具X-Scan2、是自己編制程序目前網(wǎng)絡(luò)安全編程常用的有C、C++、Perl等。 注：我們常在VC＋＋下編程！必須熟悉兩方面的知識(shí)一是:兩大主流的操作系統(tǒng)UNIX家族和Window系列操作系統(tǒng)二是:網(wǎng)絡(luò)協(xié)議

常見的網(wǎng)絡(luò)協(xié)議包括：TCP（TransmissionControlProtocol，傳輸控制協(xié)議）IP（InternetProtocol，網(wǎng)絡(luò)協(xié)議）UDP（UserDatagramProtocol，用戶數(shù)據(jù)報(bào)協(xié)議）SMTP（SimpleMailTransferProtocol，簡(jiǎn)單郵件傳輸協(xié)議）POP（PostOfficeProtocol，郵局協(xié)議）FTP（FileTransferProtocol，文件傳輸協(xié)議）等等。網(wǎng)絡(luò)安全的層次體系1、物理安全；2、邏輯安全；3、操作系統(tǒng)安全；4、聯(lián)網(wǎng)安全。物理安全保護(hù)物理安全保護(hù)包括:物理訪問控制

:只有授權(quán)的用戶可以訪問?？赏ㄟ^指紋、口令、身份證等來識(shí)別。安全放置設(shè)備:即設(shè)備要遠(yuǎn)離水、火、電磁輻射等；物理安全保護(hù)：對(duì)存放或處理數(shù)據(jù)的物理設(shè)備進(jìn)行保護(hù)。物理安全物理安全主要包括五個(gè)方面：1、防盜；2、防火；3、防靜電；4、防雷擊；5、防電磁泄漏。邏輯安全計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)?？梢韵拗频卿浀拇螖?shù)或?qū)υ囂讲僮骷由蠒r(shí)間限制；可以用軟件來保護(hù)存儲(chǔ)在計(jì)算機(jī)文件中的信息；限制存取的另一種方式是通過硬件完成，在接收到存取要求后，先詢問并校核口令，然后訪問列于目錄中的授權(quán)用戶標(biāo)志號(hào)。此外，有一些安全軟件包也可以跟蹤可疑的、未授權(quán)的存取企圖，例如多次登錄或請(qǐng)求別人的文件。操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計(jì)算機(jī)系統(tǒng)可提供給許多人使用，操作系統(tǒng)必須能區(qū)分用戶，以便于防止相互干擾。一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶。通常，一個(gè)用戶一個(gè)賬戶。操作系統(tǒng)不允許一個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達(dá)到：1、訪問控制服務(wù)：用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴性。信息安全基本要素完整性機(jī)密性可審查性可用性可控性網(wǎng)絡(luò)安全是信息安全的重要內(nèi)容之一！信息安全基本要素機(jī)密性確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程完整性只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改可用性得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作可控性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式可審查性對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段

信息安全模型PMRRD安全模型MP2DRR訪問控制機(jī)制入侵檢測(cè)機(jī)制安全響應(yīng)機(jī)制備份與恢復(fù)機(jī)制管理P安全策略信息安全要素審計(jì)管理加密訪問控制用戶驗(yàn)證安全策略安全威脅信息安全威脅：指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用性等等所造成的危險(xiǎn)。攻擊就是對(duì)安全威脅的具體體現(xiàn)。雖然人為因素和非人為因素都可以對(duì)通信安全構(gòu)成威脅，但是精心設(shè)計(jì)的人為攻擊威脅最大。網(wǎng)絡(luò)安全性威協(xié) （1）截獲(interception)

（2）中斷(interruption)

（3）篡改(modification)

（4）偽造(fabrication)

網(wǎng)絡(luò)安全攻擊的形式網(wǎng)絡(luò)安全攻擊截獲以保密性作為攻擊目標(biāo)，表現(xiàn)為非授權(quán)用戶通過某種手段獲得對(duì)系統(tǒng)資源的訪問，如搭線竊聽、非法拷貝等中斷以可用性作為攻擊目標(biāo)，表現(xiàn)為毀壞系統(tǒng)資源，切斷通信線路等網(wǎng)絡(luò)安全攻擊修改以完整性作為攻擊目標(biāo)，非授權(quán)用戶通過某種手段獲得系統(tǒng)資源后，還對(duì)文件進(jìn)行竄改，然后再把篡改過的文件發(fā)送給用戶。偽造以完整性作為攻擊目標(biāo)，非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正常系統(tǒng)中被動(dòng)攻擊： 目的是竊聽、監(jiān)視、存儲(chǔ)數(shù)據(jù)，但是不修改數(shù)據(jù)。很難被檢測(cè)出來，通常采用預(yù)防手段來防止被動(dòng)攻擊，如數(shù)據(jù)加密。主動(dòng)攻擊：修改數(shù)據(jù)流或創(chuàng)建一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當(dāng)?shù)纳矸蓁b別技術(shù)。主動(dòng)與被動(dòng)攻擊主動(dòng)攻擊又可進(jìn)一步劃分為三種，即：（1）更改報(bào)文流（：篡改）（2）拒絕報(bào)文服務(wù)（：中斷）（3）偽造連接初始化（：偽造）主動(dòng)攻擊安全威脅的后果安全漏洞危害在增大信息對(duì)抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)（1）防止析出報(bào)文內(nèi)容；（2）防止信息量分析；（3）檢測(cè)更改報(bào)文流；（4）檢測(cè)拒絕報(bào)文服務(wù)；（5）檢測(cè)偽造初始化連接。通信安全的目標(biāo)安全威脅分類物理環(huán)境：自然災(zāi)害,電源故障、設(shè)備被盜通信鏈路：安裝竊聽裝置或?qū)νㄐ沛溌愤M(jìn)行干擾網(wǎng)絡(luò)系統(tǒng)：互聯(lián)網(wǎng)的開放性、國(guó)際性操作系統(tǒng)：系統(tǒng)軟件或硬件芯片中的植入威脅應(yīng)用系統(tǒng)：木馬、陷阱門、邏輯炸彈管理系統(tǒng)：管理上杜絕安全漏洞“安全是相對(duì)的，不安全才是絕對(duì)的”常見的安全威脅1．信息泄露：信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。2．破壞完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。3．拒絕服務(wù)：對(duì)信息或其它資源的合法訪問被無條件地阻止。4．非法使用：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。5．竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。常見的安全威脅6．業(yè)務(wù)流分析：通過對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽來分析方法對(duì)通信頻度、信息流向等發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

7．假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8．旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。9．授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其它非授權(quán)的目的，也稱作“內(nèi)部攻擊”。常見的安全威脅10．特洛伊木馬：軟件中含有一個(gè)察覺不出的或者無害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬。11．陷阱門：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。12．抵賴：這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對(duì)方來信等。13．重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。常見的安全威脅14．計(jì)算機(jī)病毒：是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序。15．人員不慎：一個(gè)授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個(gè)非授權(quán)的人。16．媒體廢棄：信息被從廢棄的磁的或打印過的存儲(chǔ)介質(zhì)中獲得。17．物理侵入：侵入者通過繞過物理控制而獲得對(duì)系統(tǒng)的訪問；常見的安全威脅18．竊取：重要的安全物品，如令牌或身份卡被盜；19．業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息?；ヂ?lián)網(wǎng)安全事件全世界傳媒關(guān)注的美國(guó)著名網(wǎng)站被襲事件雅虎、亞馬遜書店、eBay、ZDNet；谷歌被黑在1998年內(nèi)試圖闖入五角大樓計(jì)算機(jī)網(wǎng)絡(luò)的嘗試達(dá)25萬次之多，其中60%的嘗試達(dá)到了目的；每年美國(guó)政府的計(jì)算機(jī)系統(tǒng)遭非法入侵的次數(shù)至少有30萬次之多；微軟公司承認(rèn)，有黑客闖入了該公司的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，并獲取了正在開發(fā)中的軟件藍(lán)圖，這起攻擊對(duì)微軟影響重大。我國(guó)的歷史數(shù)據(jù)1998年9月22日，黑客入侵某銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國(guó)內(nèi)首例利用計(jì)算機(jī)盜竊銀行巨款案件。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對(duì)銀行自動(dòng)提款機(jī)的黑客案件，被盜用戶的信用卡被盜1.799萬元。2000年3月8日：山西日?qǐng)?bào)國(guó)際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機(jī)，這是國(guó)內(nèi)首例黑客攻擊省級(jí)黨報(bào)網(wǎng)站事件我國(guó)的歷史數(shù)據(jù)2000年3月25日：重慶某銀行儲(chǔ)戶的個(gè)人帳戶被非法提走5萬余元。2000年6月7日：ISS安氏(中國(guó))有限公司在國(guó)內(nèi)以及ISP的虛擬主機(jī)上的網(wǎng)站被中國(guó)黑客所攻擊，該公司總裁為克林頓網(wǎng)絡(luò)安全顧問，而ISS為全球最大的網(wǎng)絡(luò)安全公司。2000年6月11、12日：中國(guó)香港特區(qū)政府互聯(lián)網(wǎng)服務(wù)指南主頁(yè)遭到黑客入侵，服務(wù)被迫暫停。大規(guī)模蠕蟲事件2003年我國(guó)網(wǎng)絡(luò)安全事件報(bào)告SQLSLAMMER蠕蟲口令蠕蟲CodeRed.FMSBlast/MSBlast.REMOVESobig網(wǎng)絡(luò)安全成全球化問題2000年2月Yahoo!等被攻擊案件2001年8月紅色代碼事件2001年9月尼姆達(dá)事件2003年1月SQLSLAMMER事件2003年3月口令蠕蟲事件2003年3月紅色代碼F變種事件2003年8月沖擊波蠕蟲事件黑客入侵和破壞的危險(xiǎn)黑客在網(wǎng)上的攻擊活動(dòng)每年以十倍速增長(zhǎng)。修改網(wǎng)頁(yè)進(jìn)行惡作劇、竊取網(wǎng)上信息興風(fēng)作浪。非法進(jìn)入主機(jī)破壞程序、阻塞用戶、竊取密碼。串入銀行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進(jìn)行電子郵件騷擾。黑客可能會(huì)試圖攻擊網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)設(shè)備癱瘓他們利用網(wǎng)絡(luò)安全的脆弱性，無孔不入！美國(guó)每年因黑客而造成的經(jīng)濟(jì)損失近百億美元黑客（Hacker）凱文米特尼克凱文米特尼克“頭號(hào)電腦黑客”KevinMitnick1964年出生。3歲父母離異，致性格內(nèi)向、沉默寡言。4歲玩游戲達(dá)到專家水平。13歲喜歡上無線電活動(dòng)，開始與世界各地愛好者聯(lián)絡(luò)。編寫的電腦程序簡(jiǎn)潔實(shí)用、傾倒教師。15歲闖入“北美空中防務(wù)指揮系統(tǒng)”主機(jī)，翻閱了美國(guó)所有的核彈頭資料、令大人不可置信。不久破譯了美國(guó)“太平洋電話公司”某地的客戶密碼，隨意更改用戶的電話號(hào)碼。并與中央聯(lián)邦調(diào)查局的特工惡作劇。被電腦信息跟蹤機(jī)發(fā)現(xiàn)第一次被逮捕凱文米特尼克出獄后，又連續(xù)非法修改多家公司電腦的財(cái)務(wù)帳單。1988年再次入獄，被判一年徒刑。1993年（29歲）逃脫聯(lián)邦調(diào)查局圈套。1994年向圣地亞哥超級(jí)計(jì)算機(jī)中心發(fā)動(dòng)攻擊，該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國(guó)摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數(shù)據(jù)（價(jià)4億美金）。下村勉用“電子隱形化”技術(shù)跟蹤，最后準(zhǔn)確地從無線電話中找到行跡，并抄獲其住處電腦凱文米特尼克1995年2月被送上法庭，“到底還是輸了”。2000年1月出獄，3年內(nèi)被禁止使用電腦、手機(jī)及互聯(lián)網(wǎng)。莫里斯1965年生，父為貝爾實(shí)驗(yàn)室計(jì)算機(jī)安全專家。從小對(duì)電腦興趣，有自己賬號(hào)。初中時(shí)（16歲）發(fā)現(xiàn)UNIX漏洞，獲取實(shí)驗(yàn)室超級(jí)口令并提醒其父。1983年入哈佛大學(xué)，一年級(jí)改VAX機(jī)為單用戶系統(tǒng)?？梢砸贿B幾個(gè)小時(shí)潛心閱讀2000多頁(yè)的UNIX手冊(cè)，是學(xué)校里最精通UNIX的人。學(xué)校為他設(shè)專線。1988年成為康奈爾大學(xué)研究生，獲“孤獨(dú)的才華橫溢的程序?qū)＜摇狈Q號(hào)。莫里斯1988年10月試圖編寫一個(gè)無害病毒，要盡可能感染開。11月2日病毒開始擴(kuò)散，但一臺(tái)臺(tái)機(jī)器陷入癱瘓！10%互聯(lián)網(wǎng)上的主機(jī)受影響，莫里斯受到控告，被判3年緩刑、1萬元罰金和400小時(shí)的社區(qū)服務(wù)，也停頓了康奈爾大學(xué)的學(xué)習(xí)。什么是黑客？黑客（Hacker）是那些檢查（網(wǎng)絡(luò)）系統(tǒng)完整性和安全性的人，他們通常非常精通計(jì)算機(jī)硬件和軟件知識(shí)，并有能力通過創(chuàng)新的方法剖析系統(tǒng)?！昂诳汀蓖ǔ?huì)去尋找網(wǎng)絡(luò)中漏洞，但是往往并不去破壞計(jì)算機(jī)系統(tǒng)。入侵者（Cracker）只不過是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人，他們往往會(huì)通過計(jì)算機(jī)系統(tǒng)漏洞來入侵，他們也具備廣泛的電腦知識(shí)，但與黑客不同的是他們以破壞為目的?，F(xiàn)在Hacker和Cracker已經(jīng)混為一談，通常將入侵計(jì)算機(jī)系統(tǒng)的人統(tǒng)稱為黑客.安全策略安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個(gè)重要組成部分，即威嚴(yán)的法律、先進(jìn)的技術(shù)、嚴(yán)格的管理。安全策略安全策略是建立安全系統(tǒng)的第一道防線確保安全策略不與公司目標(biāo)和實(shí)際活動(dòng)相抵觸給予資源合理的保護(hù)安全工作目的（一）安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，完成以下任務(wù)使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走 的“拿不走”，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資 源及信息的可控性。安全工作目的（二）使用加密機(jī)制，確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂”，從而實(shí)現(xiàn)信息的保密性。

使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。研究網(wǎng)絡(luò)安全的社會(huì)意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國(guó)家的政治、經(jīng)濟(jì)、軍事等領(lǐng)域。我國(guó)立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國(guó)憲法。電子認(rèn)證服務(wù)管理辦法（2005年4月1日）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定（2000年1月1日）中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法（2004年12月20日）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（94年2月18日）互聯(lián)網(wǎng)著作權(quán)行政保護(hù)辦法（2005年5月30日）國(guó)際立法情況美國(guó)和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國(guó)家，一些發(fā)展中國(guó)家和第三世界國(guó)家的計(jì)算機(jī)網(wǎng)絡(luò)安全方面的法規(guī)還不夠完善。歐洲共同體是一個(gè)在歐洲范圍內(nèi)具有較強(qiáng)影響力的政府間組織。為在共同體內(nèi)正常地進(jìn)行信息市場(chǎng)運(yùn)做，該組織在諸多問題上建立了一系列法律，如：競(jìng)爭(zhēng)法；知識(shí)產(chǎn)權(quán)保護(hù)、數(shù)據(jù)保護(hù)等；國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)根據(jù)美國(guó)國(guó)防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則（TrustedComputerStandardsEvaluationCriteria：TCSEC），也就是網(wǎng)絡(luò)安全橙皮書，一些計(jì)算機(jī)安全級(jí)別被用來評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。自從1985年橙皮書成為美國(guó)國(guó)防部的標(biāo)準(zhǔn)以來，就一直沒有改變過，多年以來一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書來解釋評(píng)估。橙皮書把安全的級(jí)別從低到高分成4個(gè)類別：D類、C類、B類和A類，每類又分幾個(gè)級(jí)別，安全級(jí)別類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證安全級(jí)別D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門戶大開的房子，任何人都可以自由進(jìn)出，是完全不可信任的。對(duì)于硬件來說，是沒有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個(gè)級(jí)別的操作系統(tǒng)有：DOS和Windows98等。安全級(jí)別C1是C類的一個(gè)安全子級(jí)。C1又稱選擇性安全保護(hù)（DiscretionarySecurityProtection）系統(tǒng)，它描述了一個(gè)典型的用在Unix系統(tǒng)上安全級(jí)別這種級(jí)別的系統(tǒng)對(duì)硬件又有某種程度的保護(hù)，如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過賬號(hào)和口令來識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對(duì)文件和目標(biāo)的訪問權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問屬性，從而對(duì)不同的用戶授予不通的訪問權(quán)限。安全級(jí)別使用附加身份驗(yàn)證就可以讓一個(gè)C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級(jí)使系統(tǒng)管理員能夠給用戶分組，授予他們?cè)L問某些程序的權(quán)限或訪問特定的目錄。能夠達(dá)到C2級(jí)別的常見操作系統(tǒng)有：（1）Unix系統(tǒng)（2）Novell3.X或者更高版本（3）WindowsNT、Win2K和Win2003安全級(jí)別B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（LabeledSecurityProtection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說明處于強(qiáng)制性訪問控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級(jí)別存在保密、絕密級(jí)別，這種安全級(jí)別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中，比如國(guó)防部和國(guó)家安全局的計(jì)算機(jī)系統(tǒng)。安全級(jí)別B2級(jí)即結(jié)構(gòu)保護(hù)級(jí)(StructuredProtection)，它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別。B3級(jí)即安全域級(jí)別(SecurityDomain)，使用安裝硬件的方式來加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或更改其他安全域的對(duì)象。該級(jí)別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。安全級(jí)別A級(jí):驗(yàn)證設(shè)計(jì)級(jí)別（VerifiedDesign），是當(dāng)前橙皮書的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級(jí)別包含了較低級(jí)別的所有的安全特性設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析。橙皮書也存在不足。TCSEC是針對(duì)孤立計(jì)算機(jī)系統(tǒng)，特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊(duì)，不適合企業(yè)，這個(gè)模型是靜態(tài)的。我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)在我國(guó)根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，1999年10月經(jīng)過國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別第一級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)第三級(jí)為安全標(biāo)記保護(hù)級(jí)：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)。第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)：在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)：這一個(gè)級(jí)別特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。實(shí)驗(yàn)環(huán)境配置網(wǎng)絡(luò)安全是一門實(shí)踐性很強(qiáng)的學(xué)科，包括許多試驗(yàn)。良好的實(shí)驗(yàn)配置是必須的。網(wǎng)絡(luò)安全實(shí)驗(yàn)配置最少應(yīng)該有兩個(gè)獨(dú)立的操作系統(tǒng)，而且兩個(gè)操作系統(tǒng)可以通過以太網(wǎng)進(jìn)行通信?？紤]兩個(gè)方面的因素：1、許多計(jì)算機(jī)不具有聯(lián)網(wǎng)的條件。2、網(wǎng)絡(luò)安全實(shí)驗(yàn)對(duì)系統(tǒng)具有破壞性。實(shí)驗(yàn)設(shè)備設(shè)備名稱內(nèi)存建議256M以上CPU1G以上硬盤20G以上網(wǎng)卡10M或者100M網(wǎng)卡操作系統(tǒng)Win2KServerSP2以上編程工具VisualC++6.0英文版實(shí)驗(yàn)設(shè)備在計(jì)算機(jī)上安裝Windows2000Server，并且打上相關(guān)的布丁，IP地址設(shè)置為10，根據(jù)需要可以設(shè)置為其他的IP地址。虛擬機(jī)軟件VMware安裝虛擬機(jī)軟件VMWare7.1綠色漢化版。虛擬機(jī)上的操作系統(tǒng)，可以通過網(wǎng)卡和實(shí)際的操作系統(tǒng)進(jìn)行通信。通信的過程和原理，與真實(shí)環(huán)境下的兩臺(tái)計(jì)算機(jī)一樣。配置VMware虛擬機(jī)選擇菜單欄“File”下的“New”菜單項(xiàng)，再選擇子菜單“NewVirtualMachine”，如圖所示。配置VMware虛擬機(jī)配置VMware虛擬機(jī)設(shè)置將來要安裝的操作系統(tǒng)類型。配置VMware虛擬機(jī)安裝目錄選擇界面。配置VMware虛擬機(jī)配置VMware虛擬機(jī)進(jìn)入網(wǎng)絡(luò)連接方式選擇界面。配置VMware虛擬機(jī)VMWare的常用的是兩種聯(lián)網(wǎng)方式：（1）UsedBridgednetworking虛擬機(jī)操作系統(tǒng)的IP地址可設(shè)置成與主機(jī)操作系統(tǒng)在同一網(wǎng)段，虛擬機(jī)操作系統(tǒng)相當(dāng)于網(wǎng)絡(luò)內(nèi)的一臺(tái)獨(dú)立的機(jī)器，網(wǎng)絡(luò)內(nèi)其他機(jī)器可訪問虛擬機(jī)上的操作系統(tǒng)，虛擬機(jī)的操作系統(tǒng)也可訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。（2）Usernetworkaddresstranslation（NAT）實(shí)現(xiàn)主機(jī)的操作系統(tǒng)與虛擬機(jī)上的操作系統(tǒng)的雙向訪問。但網(wǎng)絡(luò)內(nèi)其他機(jī)器不能訪問虛擬機(jī)上的操作系統(tǒng)，虛擬機(jī)可通過主機(jī)操作系統(tǒng)的NAT協(xié)議訪問網(wǎng)絡(luò)內(nèi)其他機(jī)器。配置VMware虛擬機(jī)配置VMware虛擬機(jī)有三種選擇：1、Createanewvirtualdisk虛擬機(jī)將重新建立一個(gè)虛擬磁盤，該磁盤在實(shí)際計(jì)算機(jī)操作系統(tǒng)上就是一個(gè)文件，而且這個(gè)文件還可以隨意的拷貝。2、Useanexistingvirtualdisk使用已經(jīng)建立好的虛擬磁盤。3、Useaphysicaldisk使用實(shí)際的磁盤，這樣虛擬機(jī)可以方便的和主機(jī)進(jìn)行文件交換，但是這樣的話，虛擬機(jī)上的操作系統(tǒng)受到損害的時(shí)候會(huì)影響外面的操作系統(tǒng)。配置VMware虛擬機(jī)硬盤空間分配界面。配置VMware虛擬機(jī)配置VMware虛擬機(jī)配置VMware虛擬機(jī)配置VMware虛擬機(jī)看到VMware的啟動(dòng)界面，相當(dāng)于一臺(tái)獨(dú)立的計(jì)算機(jī)配置VMware虛擬機(jī)按下功能鍵“F2”進(jìn)入系統(tǒng)設(shè)置界面，進(jìn)入虛擬機(jī)的BIOS（BasicInp