信息安全技術(shù)與實(shí)施培訓(xùn)教材

1、序言序言 隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全已經(jīng)成為國(guó)家安全的重要組成部分。近年來(lái)，在黨中央、國(guó)務(wù)院的領(lǐng)導(dǎo)下，我國(guó)信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國(guó)家安全與社會(huì)穩(wěn)定、保障和促進(jìn)信息化健康發(fā)展發(fā)揮了重要作用。但是，我國(guó)信息安全保障工作仍存在一些亟待解決的問(wèn)題：網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息安全管理和技術(shù)人才缺乏，關(guān)鍵技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競(jìng)爭(zhēng)力；信息安全法律法規(guī)和標(biāo)準(zhǔn)不完善；全社會(huì)的信息安全意

2、識(shí)不強(qiáng)，信息安全管理薄弱等。與此同時(shí)，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)犯罪呈快速上升趨勢(shì)，境內(nèi)外敵對(duì)勢(shì)力針對(duì)廣播電視衛(wèi)星、有線電視和地面網(wǎng)絡(luò)的攻擊破壞活動(dòng)和利用信息網(wǎng)絡(luò)進(jìn)行的反動(dòng)宣傳活動(dòng)日益猖獗，嚴(yán)重危害公眾利益和國(guó)家安全，影響了我國(guó)信息化建設(shè)的健康發(fā)展。隨著我國(guó)信息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全還將面臨更多新的挑戰(zhàn)。信息安全技術(shù)與實(shí)施信息安全技術(shù)與實(shí)施目目 錄錄物理實(shí)體安全與防護(hù)物理實(shí)體安全與防護(hù) 2密碼技術(shù)與應(yīng)用密碼技術(shù)與應(yīng)用4信息安全概述信息安全概述3 1網(wǎng)絡(luò)攻擊與防范網(wǎng)絡(luò)攻擊與防范3 3數(shù)字身份認(rèn)證數(shù)字身份認(rèn)證3 5目目 錄錄

3、入侵檢測(cè)技術(shù)與應(yīng)用入侵檢測(cè)技術(shù)與應(yīng)用 7操作系統(tǒng)安全防范操作系統(tǒng)安全防范9防火墻技術(shù)與應(yīng)用防火墻技術(shù)與應(yīng)用3 6計(jì)算機(jī)病毒與防范計(jì)算機(jī)病毒與防范 3 8無(wú)線網(wǎng)絡(luò)安全與防范無(wú)線網(wǎng)絡(luò)安全與防范 310第第1章章 信息安全概述信息安全概述本章內(nèi)容本章內(nèi)容 信息安全信息安全介紹介紹1. 1. 1 1黑客的概念及黑黑客的概念及黑客文化客文化1. 1. 2 2針對(duì)信息安全的針對(duì)信息安全的攻擊攻擊1. 1. 3 3網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全體系1. 1. 4 4信息安全的三個(gè)信息安全的三個(gè)層次層次1. 1. 5 5引導(dǎo)案例：引導(dǎo)案例： 2009年年1月，法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的月，法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的一臺(tái)計(jì)算

4、機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè)一臺(tái)計(jì)算機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè)網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也因無(wú)法因無(wú)法“下載飛行指令下載飛行指令”而停飛兩天。僅而停飛兩天。僅僅是法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺，僅是法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺，法國(guó)的國(guó)家安全就出現(xiàn)了一個(gè)偌大的黑洞。法國(guó)的國(guó)家安全就出現(xiàn)了一個(gè)偌大的黑洞。設(shè)想，若一個(gè)國(guó)家某一系統(tǒng)或領(lǐng)域的計(jì)算設(shè)想，若一個(gè)國(guó)家某一系統(tǒng)或領(lǐng)域的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題或癱瘓，這種損失和機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝危害將是不可想象的，而類似的事件不勝枚舉。目前，美國(guó)政府掌握著信

5、息領(lǐng)域的枚舉。目前，美國(guó)政府掌握著信息領(lǐng)域的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換機(jī)的核心技術(shù)基本掌握在美國(guó)企業(yè)的手中。機(jī)的核心技術(shù)基本掌握在美國(guó)企業(yè)的手中。微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚至打印機(jī)軟件中嵌入美國(guó)中央情報(bào)局的后至打印機(jī)軟件中嵌入美國(guó)中央情報(bào)局的后門軟件已經(jīng)不是秘密，美國(guó)在信息技術(shù)研門軟件已經(jīng)不是秘密，美國(guó)在信息技術(shù)研發(fā)和信息產(chǎn)品的制造過(guò)程中就事先做好了發(fā)和信息產(chǎn)品的制造過(guò)程中就事先做好了日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。1.1 信息安全介紹信息安全介紹 隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，

6、越來(lái)越多的人親身體會(huì)到了信息化給人們帶來(lái)的隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來(lái)越多的人親身體會(huì)到了信息化給人們帶來(lái)的實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來(lái)實(shí)惠實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來(lái)實(shí)惠的同時(shí)，也產(chǎn)生了新的威脅。目前的同時(shí)，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)信息戰(zhàn)”已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶，已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶，例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。尤其是美國(guó)例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。尤其是美國(guó)“9.11事件事件”給世界各國(guó)的信息安全給世界各國(guó)的信息安全問(wèn)題再次敲響了警鐘，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還問(wèn)題再次敲響了警鐘

7、，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還有眾多公司的數(shù)據(jù)。有眾多公司的數(shù)據(jù)。 自自2003年元旦以來(lái)，蠕蟲病毒年元旦以來(lái)，蠕蟲病毒“沖擊波沖擊波”對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程度的攻擊，制造了一場(chǎng)規(guī)?？涨暗幕ヂ?lián)網(wǎng)度的攻擊，制造了一場(chǎng)規(guī)?？涨暗幕ヂ?lián)網(wǎng)“網(wǎng)癱網(wǎng)癱”災(zāi)難事件。迄今為止，許多災(zāi)難事件。迄今為止，許多組織、單位、實(shí)體仍然沒(méi)有完全走出組織、單位、實(shí)體仍然沒(méi)有完全走出“沖擊波沖擊波”和和“震蕩波震蕩波”的陰影，而的陰影，而2007年的年的“熊貓燒香熊貓燒香”又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊事件正以每年又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊

8、事件正以每年64%的速度增加。另?yè)?jù)統(tǒng)計(jì)，全球約的速度增加。另?yè)?jù)統(tǒng)計(jì)，全球約20秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生，秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生，Internet上的網(wǎng)絡(luò)防火墻約上的網(wǎng)絡(luò)防火墻約1/4被突破，約有被突破，約有70%以上的網(wǎng)絡(luò)信息主管人員報(bào)告以上的網(wǎng)絡(luò)信息主管人員報(bào)告因機(jī)密信息泄露而受到了損失。因機(jī)密信息泄露而受到了損失。 信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息

9、安全主要表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來(lái)（不加嚴(yán)格區(qū)表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來(lái)（不加嚴(yán)格區(qū)分）。實(shí)際上，叫信息安全比較全面、科學(xué)。分）。實(shí)際上，叫信息安全比較全面、科學(xué)。信息安全問(wèn)題已引起了各國(guó)政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān)信息安全問(wèn)題已引起了各國(guó)政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān)標(biāo)準(zhǔn)與法規(guī)。標(biāo)準(zhǔn)與法規(guī)。1.1.1 信息安全的概念信息安全的概念 信息安全的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來(lái)的。當(dāng)信息安全的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來(lái)的。當(dāng)前對(duì)信息安全的說(shuō)法比較多，計(jì)算機(jī)安全、計(jì)算

10、機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、前對(duì)信息安全的說(shuō)法比較多，計(jì)算機(jī)安全、計(jì)算機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。 ISO對(duì)計(jì)算機(jī)系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的對(duì)計(jì)算機(jī)系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。更改和泄露。計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過(guò)采

11、用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。建立網(wǎng)絡(luò)安全保護(hù)措施的目的：建立網(wǎng)絡(luò)安全保護(hù)措施的目的： 確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。針對(duì)信息安全，目前沒(méi)有公認(rèn)的定義。美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員針對(duì)信息安全，目前沒(méi)有公認(rèn)的定義。美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)（會(huì)（NSTISSC）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使用、存儲(chǔ)和傳輸信息的硬件的保護(hù)

12、。用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。信息安全涉及個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全、國(guó)家信息安全的總和。1.1.2 信息安全的內(nèi)容信息安全的內(nèi)容 物物理理安安全全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認(rèn)證訪問(wèn)控制加密安全管理邏邏輯輯安安全全操操作作系系統(tǒng)統(tǒng)安安全全3聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全4訪問(wèn)控制服務(wù)通信安全服務(wù)1.物理安全 物理安全是指用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。 物理上的安全威脅主要涉及對(duì)計(jì)算機(jī)或人員的訪問(wèn)。策略和多

13、，如將計(jì)算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置在一個(gè)安全的環(huán)境中，銷毀不再使用的敏感文檔，保持密碼和身份認(rèn)證部件的安全性，鎖住便攜式設(shè)備等。物理安全更多的是依賴于行政的干預(yù)手段并結(jié)合相關(guān)技術(shù)。如果沒(méi)有基礎(chǔ)的物理保護(hù)，物理安全是不可能實(shí)現(xiàn)的。2.網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)的邏輯安全主要通過(guò)用戶身份認(rèn)證、訪問(wèn)控制、加密、安全管理等方法來(lái)實(shí)現(xiàn)。（1）用戶身份認(rèn)證。身份證明是所有安全系統(tǒng)不可或缺的一個(gè)組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為了實(shí)現(xiàn)對(duì)信息資源的保護(hù)，并知道何人試圖獲取網(wǎng)絡(luò)資源的訪問(wèn)權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對(duì)用戶進(jìn)行身份認(rèn)證。（2）訪問(wèn)控制。訪問(wèn)控制是制約擁護(hù)連接特定網(wǎng)絡(luò)、計(jì)算機(jī)與應(yīng)用程序，獲取特定類型數(shù)

14、據(jù)流量的能力。訪問(wèn)控制系統(tǒng)一般針對(duì)網(wǎng)絡(luò)資源進(jìn)行安全控制區(qū)域劃分，實(shí)施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個(gè)許可或拒絕訪問(wèn)的集中控制點(diǎn)。（3）加密。即使訪問(wèn)控制和身份驗(yàn)證系統(tǒng)完全有效，在數(shù)據(jù)信息通過(guò)網(wǎng)絡(luò)傳送時(shí)，企業(yè)仍然可能面臨被竊聽(tīng)的風(fēng)險(xiǎn)。事實(shí)上，低成本和連接的簡(jiǎn)單性已使Internet成為企業(yè)內(nèi)和企業(yè)間通信的一個(gè)極為誘人的媒介。同時(shí)，無(wú)線網(wǎng)絡(luò)的廣泛使用也在進(jìn)一步加大網(wǎng)絡(luò)數(shù)據(jù)被竊聽(tīng)的風(fēng)險(xiǎn)。加密技術(shù)用于針對(duì)竊聽(tīng)提供保護(hù)，它通過(guò)信息只能被具有解密數(shù)據(jù)所需密鑰的人員讀取來(lái)提供信息的安全保護(hù)。它與第三方是否通過(guò)Internet截取數(shù)據(jù)包無(wú)關(guān)，因?yàn)閿?shù)據(jù)即使在網(wǎng)絡(luò)上被第三方截取，它也無(wú)法獲取信息

15、的本義。這種方法可在整個(gè)企業(yè)網(wǎng)絡(luò)中使用，包括在企業(yè)內(nèi)部（內(nèi)部網(wǎng)）、企業(yè)之間（外部網(wǎng)）或通過(guò)公共Internet在虛擬專用網(wǎng)（VPN）中傳送私人數(shù)據(jù)。加密技術(shù)主要包括對(duì)稱式和非對(duì)稱式兩種，都有許多不同的密鑰算法來(lái)實(shí)現(xiàn)。（4）安全管理。安全系統(tǒng)應(yīng)當(dāng)允許由授權(quán)人進(jìn)行監(jiān)視和控制。使用驗(yàn)證的任何系統(tǒng)都需要某種集中授權(quán)來(lái)驗(yàn)證這些身份，而無(wú)論它是UNIX主機(jī)、Windows NT域控制器還是Novell Directory Serrvices（NDS）服務(wù)器上的/etc/passwd文件。由于能查看歷史記錄，如突破防火墻的多次失敗嘗試，安全系統(tǒng)可以為那些負(fù)責(zé)保護(hù)信息資源的人員提供寶貴的信息。一些更新的安全規(guī)

16、范，如IPSEC，需要包含策略規(guī)則數(shù)據(jù)庫(kù)。要使系統(tǒng)正確運(yùn)行，就必須管理所有這些要素。但是，管理控制臺(tái)本身也是安全系統(tǒng)的另一個(gè)潛在故障點(diǎn)。因此，必須確保這些系統(tǒng)在物理上得到安全保護(hù)，請(qǐng)確保對(duì)管理控制臺(tái)的任何登錄進(jìn)行驗(yàn)證。3.操作系統(tǒng)安全。 計(jì)算機(jī)操作系統(tǒng)擔(dān)負(fù)著龐大的資源管理，頻繁的輸入輸出控制以及不可間斷的用戶與操作系統(tǒng)之間的通信任務(wù)。由于操作系統(tǒng)具有一權(quán)獨(dú)大的特點(diǎn)，所有針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的入侵及非法訪問(wèn)都是以攫取操作系統(tǒng)的最高權(quán)限作為入侵的目的。因此，操作系統(tǒng)安全的內(nèi)容就是采用各種技術(shù)手段和采用合理的安全策略，降低系統(tǒng)的脆弱性。與過(guò)去相比，如今的操作系統(tǒng)性能更先進(jìn)、功能更豐富，因而對(duì)使用者來(lái)說(shuō)更

17、便利，但是也增加了安全漏洞。要減少操作系統(tǒng)的安全漏洞，需要對(duì)操作系統(tǒng)予以合理配置、管理和監(jiān)控。做到這點(diǎn)的秘訣在于集中、自動(dòng)管理機(jī)構(gòu)（企業(yè)）內(nèi)部的操作系統(tǒng)安全，而不是分散、人工管理每臺(tái)計(jì)算機(jī)。實(shí)際上，如果不集中管理操作系統(tǒng)安全，相應(yīng)的成本和風(fēng)險(xiǎn)就會(huì)非常高。目前所知道的安全入侵事件，一半以上緣于操作系統(tǒng)根本沒(méi)有合理配置，或者沒(méi)有經(jīng)常核查及監(jiān)控。操作系統(tǒng)都是以默認(rèn)安全設(shè)置類配置的，因而極容易受到攻擊。 那些人工更改了服務(wù)器安全配置的用戶，把技術(shù)支持部門的資源都過(guò)多地消耗于幫助用戶處理口令查詢上，而不是處理更重要的網(wǎng)絡(luò)問(wèn)題?？紤]到這些弊端，許多管理員任由服務(wù)器操作系統(tǒng)以默認(rèn)狀態(tài)運(yùn)行。這樣一來(lái)，服務(wù)器可

18、以馬上投入運(yùn)行，但卻大大增大了安全風(fēng)險(xiǎn)?，F(xiàn)有技術(shù)可以減輕管理負(fù)擔(dān)。要加強(qiáng)機(jī)構(gòu)（企業(yè)）網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的安全，需要做到以下三方面：首先對(duì)網(wǎng)絡(luò)上的服務(wù)器進(jìn)行配置應(yīng)該在一個(gè)地方進(jìn)行，大多數(shù)用戶大概需要數(shù)十種不同的配置。然后，這些配置文件的一個(gè)鏡像或一組鏡像在軟件的幫助下可以通過(guò)網(wǎng)絡(luò)下載。軟件能夠自動(dòng)管理下載過(guò)程，不需要為每臺(tái)服務(wù)器手工下載。此外，即使有些重要的配置文件，也不應(yīng)該讓本地管理員對(duì)每臺(tái)服務(wù)器分別配置，最好的辦法就是一次性全部設(shè)定。一旦網(wǎng)絡(luò)配置完畢，管理員就要核實(shí)安全策略的執(zhí)行情況，定義用戶訪問(wèn)權(quán)限，確保所有配置正確無(wú)誤。管理員可以在網(wǎng)絡(luò)上運(yùn)行（或遠(yuǎn)程運(yùn)行）代理程序，不斷監(jiān)控每臺(tái)服務(wù)器。代理程

19、序不會(huì)干擾正常操作。其次，帳戶需要加以集中管理，以控制對(duì)網(wǎng)絡(luò)的訪問(wèn)，并且確保用戶擁有合理訪問(wèn)機(jī)構(gòu)資源的權(quán)限。策略、規(guī)則和決策應(yīng)在一個(gè)地方進(jìn)行，而不是在每臺(tái)計(jì)算機(jī)上進(jìn)行，然后為用戶系統(tǒng)配置合理的身份和許可權(quán)。身份生命周期管理程序可以自動(dòng)管理這一過(guò)程，減少手工過(guò)程帶來(lái)的麻煩。 最后，操作系統(tǒng)應(yīng)該配置成能夠輕松、高效地監(jiān)控網(wǎng)絡(luò)活動(dòng)，可以顯示誰(shuí)在進(jìn)行連接，誰(shuí)斷開(kāi)了連接，以及發(fā)現(xiàn)來(lái)自操作系統(tǒng)的潛在安全事件。1.1.3 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略安全策略是針對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全需要，做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學(xué)方式來(lái)表達(dá)策略，將其表示為允許（安全的）或不允許（不安全的）的狀態(tài)列表。為達(dá)到這個(gè)

20、目的，可假設(shè)任何給定的策略能對(duì)安全狀態(tài)和非安全狀態(tài)做出公理化描述。實(shí)踐中，策略極少會(huì)如此精確，網(wǎng)絡(luò)使用文本語(yǔ)言描述什么是用戶或系統(tǒng)允許做的事情。這種描述的內(nèi)在歧義性導(dǎo)致某些狀態(tài)既不能歸于“允許”一類，也不能歸于“不允許”一類，因此制定安全策略時(shí)，需要注意此類問(wèn)題。因此安全策略是指在一個(gè)特定的環(huán)境里，為提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。1.物理安全策略目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、認(rèn)為破壞、搭線攻擊，驗(yàn)證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種盜竊、

21、破壞活動(dòng)的發(fā)生。抑止和防止電磁泄露，即Tempest技術(shù)，是物理安全策略的一個(gè)主要問(wèn)題。目前主要防護(hù)措施有兩類：一類是傳導(dǎo)發(fā)射的保護(hù)，主要采取對(duì)電源線和信息線加裝性能良好的濾波器，減少傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對(duì)輻射的防護(hù)。2.訪問(wèn)控制策略訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，可以說(shuō)訪問(wèn)控制是保證網(wǎng)絡(luò)安全的核心策略之一。（1）入網(wǎng)訪問(wèn)控制。為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制，它是用來(lái)控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許在哪

22、個(gè)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為3個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的默認(rèn)限制檢查。只要3道關(guān)卡中有任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。（2）網(wǎng)絡(luò)權(quán)限控制。是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源，指定用戶對(duì)這些文件、目錄、設(shè)備執(zhí)行哪些操作。根據(jù)訪問(wèn)可以將用戶分為特殊用戶（系統(tǒng)管理員）、一般用戶，審計(jì)用戶（負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)）3類。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。1.1.4 信息安全的要素信息安全的要素雖然網(wǎng)絡(luò)安全同單個(gè)計(jì)算機(jī)安全在目標(biāo)上并沒(méi)有

23、本質(zhì)區(qū)別，但是由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，網(wǎng)絡(luò)安全比單個(gè)計(jì)算機(jī)安全要復(fù)雜得多。P5。第一，網(wǎng)絡(luò)資源的共享范圍更加寬泛，難以控制。第二，網(wǎng)絡(luò)支持多種操作系統(tǒng)，安全管理和控制更為困難。第三，網(wǎng)絡(luò)的擴(kuò)大使網(wǎng)絡(luò)的邊界和網(wǎng)絡(luò)用戶群變的不確定，比單機(jī)困難的多。第四，單機(jī)用戶可以從自己的計(jì)算機(jī)中直接獲取敏感數(shù)據(jù)。第五，由于網(wǎng)絡(luò)路由選擇的不固定性，很難確保網(wǎng)絡(luò)信息在一條安全通道上傳輸。 保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，就是要保護(hù)網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過(guò)程中的可用性、機(jī)密性、完整性、可控性和不可抵賴性。 P5P5。是指得到授權(quán)的實(shí)體在需要時(shí)可以得到所需要的網(wǎng)絡(luò)資源和服務(wù)。機(jī)密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實(shí)體（包括用戶和進(jìn)程等）獲

24、取與使用。這些信息不僅指國(guó)家機(jī)密，也包括企業(yè)和社會(huì)團(tuán)體的商業(yè)秘密和工作秘密，還包括個(gè)人的秘密（如銀行賬號(hào)）和個(gè)人隱私（如郵件、瀏覽習(xí)慣）等。網(wǎng)絡(luò)在人們生活中的廣泛使用，使人們對(duì)網(wǎng)絡(luò)機(jī)密性的要求提高。用于保障網(wǎng)絡(luò)機(jī)密性的主要技術(shù)是密碼技術(shù)。在網(wǎng)絡(luò)的不同層次上有不同的機(jī)制來(lái)保障機(jī)密性。在物理層上，主要是采取電磁屏蔽技術(shù)、干擾及跳頻技術(shù)來(lái)防止電磁輻射造成的信息外泄：在網(wǎng)絡(luò)層、傳輸層及應(yīng)用層主要采用加密、路由控制、訪問(wèn)控制、審計(jì)等方法來(lái)保證信息的機(jī)密性。完整性是指網(wǎng)絡(luò)信息的真實(shí)可信性，即網(wǎng)絡(luò)中的信息不會(huì)被偶然或者蓄意地進(jìn)行刪除、修改、偽造、插入等破壞，保證授權(quán)用戶得到的信息是真實(shí)的。只有具有修改權(quán)限的

25、實(shí)體才能修改信息，如果信息被未經(jīng)授權(quán)的實(shí)體修改了或在傳輸過(guò)程中出現(xiàn)了錯(cuò)誤，信息的使用者應(yīng)能夠通過(guò)一定的方式判斷出信息是否真實(shí)可靠。是控制授權(quán)范圍內(nèi)的信息流向和行為方式的特性，如對(duì)信息的訪問(wèn)、傳播及內(nèi)容具有控制能力。首先，系統(tǒng)要能夠控制誰(shuí)能夠訪問(wèn)系統(tǒng)或網(wǎng)絡(luò)上的數(shù)據(jù)，以及如何訪問(wèn)，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。這要通過(guò)采用訪問(wèn)控制等授權(quán)方法來(lái)實(shí)現(xiàn)。其次，即使擁有合法的授權(quán)，系統(tǒng)仍需要對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行驗(yàn)證。通過(guò)握手協(xié)議和口令進(jìn)行身份驗(yàn)證，以確保他確實(shí)是所聲稱的那個(gè)人。最后，系統(tǒng)還要將用戶的所有網(wǎng)絡(luò)活動(dòng)記錄在案，包括網(wǎng)絡(luò)中計(jì)算機(jī)的使用時(shí)間、敏感操作和違法操作等，為系統(tǒng)進(jìn)行事故原因查詢、定位，事

26、故發(fā)生前的預(yù)測(cè)、報(bào)警，以及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)或支持。審計(jì)對(duì)用戶的正常操作也有記載，可以實(shí)現(xiàn)統(tǒng)計(jì)、計(jì)費(fèi)等功能，而且有些諸如修改數(shù)據(jù)的“正?！辈僮髑∏∈枪粝到y(tǒng)的非法操作，同樣需要加以警惕。（5）不可抵賴性。）不可抵賴性。也稱為不可否認(rèn)性。是指通信的雙方在通信過(guò)程中，對(duì)于自己所發(fā)送或接收的消息不可抵賴。即發(fā)送者不能抵賴他發(fā)送過(guò)消息和消息內(nèi)容，而接收者也不能抵賴其接收到消息的事實(shí)和內(nèi)容。 1.2 黑客的概念及黑客文化黑客的概念及黑客文化1.2.1 黑客的概念及起源（P6-7）1.黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，熱衷編程，查

27、找漏洞，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開(kāi)他們的發(fā)現(xiàn)，與其他人分享；主觀上沒(méi)有破壞數(shù)據(jù)的企圖?！昂诿弊雍诳汀?，“白帽子黑客”，“灰帽子黑客”?，F(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。2.駭客（cracker）：以破壞系統(tǒng)為目標(biāo)。 是hacker的一個(gè)分支，發(fā)展到現(xiàn)在，也有“黑帽子黑客”3.紅客（honker）：中國(guó)的一些黑客自稱“紅客”honker。例如中國(guó)紅客基地。美國(guó)警方：把所有涉及到利用、借助、通過(guò)或阻撓計(jì)算機(jī)的犯罪行為都定為hacking。4.怎樣才算一名黑客：1.2.2 黑客文化（P8）1.黑客行為（1）不隨便進(jìn)行攻擊行為。（2）公開(kāi)自己的作品。

28、（3）幫助其他黑客。（4）義務(wù)地做一些力所能及的事情。2.黑客精神（1）自由共享精神。（2）探索與創(chuàng)新精神（3）合作精神3.黑客準(zhǔn)則（P8）（1）不惡意破壞任何系統(tǒng)。（2）不修改任何系統(tǒng)文件。（3）不輕易地將要黑的或黑過(guò)的站點(diǎn)告訴別人，不炫耀自己的技術(shù)。（4）不入侵或破壞政府機(jī)關(guān)的主機(jī)等。（5）做真正的黑客，努力鉆研技術(shù)，研究各種漏洞。1.2.3 如何成為一名黑客（P9）1.黑客必備的基本技能（1）精通程序設(shè)計(jì)。（2）熟練掌握各種操作系統(tǒng)。（3）熟悉互聯(lián)網(wǎng)與網(wǎng)絡(luò)編程。2.如何學(xué)習(xí)黑客技術(shù)（1）濃厚的興趣。（2）切忌浮躁，耐的住寂寞（3）多動(dòng)手實(shí)踐（4）嘗試多次失敗1.3 針對(duì)信息安全的攻擊（針對(duì)信息安全的攻擊（P10） 在正常情況下，有一個(gè)信息流從一個(gè)信源(例如一個(gè)文件或主存儲(chǔ)器的一個(gè)區(qū)域)流到一個(gè)目的地（例如另一個(gè)文件或一個(gè)用戶）時(shí)，它的信息流動(dòng)是這樣的：當(dāng)產(chǎn)生攻擊時(shí)，有以下4種情況:上述4種情況又可以按照攻擊的主動(dòng)性來(lái)分為兩類：主動(dòng)攻擊主動(dòng)攻擊和被被動(dòng)攻擊。動(dòng)攻擊。 1.3.1 被動(dòng)攻擊（P10） 本質(zhì)上是在傳輸中的竊聽(tīng)或監(jiān)視，其目的是從傳輸中獲得信息。類被動(dòng)攻擊：析出消息內(nèi)容和通信量分析。1.3.2 主動(dòng)攻擊（P11）攻擊的第二種類型進(jìn)一步劃分為四類：偽裝、重放、篡改消息和拒絕服務(wù)。主動(dòng)攻擊表現(xiàn)了與被動(dòng)攻擊相反的特點(diǎn)。 1.4.1 1.4.1 網(wǎng)絡(luò)安全體系的概念（網(wǎng)絡(luò)