網絡信息安全基礎知識

網絡安全技術網絡安全概述退出

網絡信息安

全基礎知識

網絡信息安全的內涵

在網絡出現以前，信息安全指對信息的機密性、完整性和可獲性的保護，即面向數據的安全?；ヂ摼W出現以后，信息安全除了上述概念以外，其內涵又擴展到面向用戶的安全。網絡安全從其本質上講就是網絡上信息的安全，指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。網絡信息安全的內涵

信息安全涉及的問題：1.法律政策問題2.管理問題3.技術問題4.其他因素網絡信息安全的內涵

安全威脅：

內部威脅外部威脅網絡信息安全的內涵

信息安全威脅的類型：計算機系統(tǒng)的脆弱性；操作系統(tǒng)的脆弱性；協議安全的脆弱性；數據庫管理系統(tǒng)安全的脆弱性；人為的因素。操作系統(tǒng)的原因操作系統(tǒng)不安全是計算機網絡不安全的根本原因，目前流行的許多操作系統(tǒng)均存在網絡安全漏洞。操作系統(tǒng)不安全主要表現為以下七個方面。(1)操作系統(tǒng)結構體制本身的缺陷。操作系統(tǒng)的程序是可以動態(tài)連接的。I/O的驅動程序與系統(tǒng)服務都可以用打補丁的方式進行動態(tài)連接，有些操作系統(tǒng)的版本升級采用打補丁的方式進行。操作系統(tǒng)的原因雖然這些操作需要被授予特權，但這種方法廠商可用，黑客也可用。操作系統(tǒng)支持程序動態(tài)連接與數據動態(tài)交換是現代系統(tǒng)集成和系統(tǒng)擴展的需要，這顯然與安全有矛盾。(2)創(chuàng)建進程也存在著不安全因素。進程可以在網絡的節(jié)點上被遠程創(chuàng)建和激活，更為重要的是被創(chuàng)建的進程還可繼承創(chuàng)建進程的權利。這樣可以在網絡上傳輸可執(zhí)行程序，再加上遠程調用的功能，就可以在遠端服務器上安裝“間諜”軟件。另外，還可以把這種間諜軟件以打補丁的方式加在一個合法用戶上，尤其是一個特權用戶上，以便使系統(tǒng)進程與作業(yè)監(jiān)視程序都看不到間諜軟件的存在。操作系統(tǒng)的原因(3)操作系統(tǒng)中，通常都有一些守護進程，這種軟件實際上是一些系統(tǒng)進程，它們總是在等待一些條件的出現，一旦這些條件出現，程序便繼續(xù)運行下去，這些軟件常常被黑客利用。這些守護進程在UNIX、Windows2000操作系統(tǒng)中具有與其他操作系統(tǒng)核心層軟件同等的權限。(4)操作系統(tǒng)提供的一些功能也會帶來一些不安全因素。例如，支持在網絡上傳輸文件、在網絡上加載與安裝程序，包括可以執(zhí)行文件的功能；操作系統(tǒng)的debug和wizard功能。許多精通于patch和debug工具的黑客利用這些工具幾乎可以做成想做的所有事情。操作系統(tǒng)的原因

(5)操作系統(tǒng)自身提供的網絡服務不安全。如操作系統(tǒng)都提供遠程過程調用(RemoteProcessorCal—RPC)服務，而提供的安全驗證功能卻很有限；操作系統(tǒng)提供網絡文件系統(tǒng)(NetworkFilesSystem—NFS)服務，NFS系統(tǒng)是一個基于RPC的網絡文件系統(tǒng)，如果NFS設置存在重大問題，則幾乎等于將系統(tǒng)管理權拱手交出。(6)操作系統(tǒng)安排的無口令入口，是為系統(tǒng)開發(fā)人員提供的便捷入口，但這些入口也可能被黑客利用。(7)操作系統(tǒng)還有隱蔽的信道，存在著潛在的危險。

盡管操作系統(tǒng)的缺陷可以通過版本的不斷升級來克服，但系統(tǒng)的某一個安全漏洞就會使系統(tǒng)的所有安全控制毫無價值。網絡協議的的原因隨著Internet/Intranet的發(fā)發(fā)展，TCP/IP協議被廣廣泛地應用用到各種網網絡中，但但采用的TCP/IP協議族族軟件本身身缺乏安全全性，使用用TCP/IP協議議的網絡所所提供的FTP、E-mail、RPC和NFS都包含含許多不安安全的因素素，存在著著許多漏洞洞。網絡的普及及使信息共共享達到了了一個新的的層次，信信息被暴露露的機會大大大增多。。特別是Internet網網絡是一個個開放的系系統(tǒng)，通過過未受保護護的外部環(huán)環(huán)境和線路路可能訪問問系統(tǒng)內部部，發(fā)生隨隨時搭線竊竊聽、遠程程監(jiān)控和攻攻擊破壞等等事件。網絡協議的的原因另外，數據據處理的可可訪問性和和資源共享享的目的性性之間是矛矛盾的，它它造成了計計算機系統(tǒng)統(tǒng)保密性難難，拷貝數數據信息很很容易且不不留任何痕痕跡。如一一臺遠程終終端上的用用戶可以通通過Internet連接其其他任何一一個站點，，在一定條條件下可以以隨意進行行拷貝、刪刪改乃至破破壞該站點點的資源。。數據庫管理理系統(tǒng)的原原因大量的信息息存儲在各各種各樣的的數據庫中中，然而，，有些數據據庫系統(tǒng)在在安全方面面考慮很少少。數據庫庫管理系統(tǒng)統(tǒng)的安全必必須與操作作系統(tǒng)的安安全相配套套。例如，，數據庫管管理系統(tǒng)的的安全級別別是B2級級，那么操操作系統(tǒng)的的安全級別別也應該是是B2級，，但實踐中中往往不是是這樣做的的。防火墻的局局限性利用防火墻墻可以保護護計算機網網絡免受外外部黑客的的攻擊，但但它只是能能夠提高網網絡的安全全性，不可可能保證網網絡絕對安安全。事實實上仍然存存在著一些些防火墻不不能防范的的安全威脅脅，甚至防防火墻產品品自身是否否安全，設設置是否正正確，都需需要經過檢檢驗。如防防火墻不能能防范不經經過防火墻墻的攻擊，，很難防范范來自于網網絡內部的的攻擊以及及病毒的威威脅等。其他方面的的原因其他方面的的原因包括括：(1)計計算機領域域中一些重重大的技術術進步會對對安全性構構成新的威威脅。這些些新的威脅脅需要新的的技術來消消除，而技技術進步的的速度要比比克服威脅脅的技術進進步的速度度快得多。。(2)安安全性的地地位總是列列在計算機機網絡系統(tǒng)統(tǒng)總體設計計規(guī)劃的最最后面。一一般用戶首首先考慮的的是系統(tǒng)的的功能、價價格、性能能、兼容性性、可靠性性和用戶界界面等，而而忽略了網網絡系統(tǒng)的的安全。(3)環(huán)環(huán)境和災害害的影響，，如溫度、、濕度、供供電、火災災、水災、、靜電、灰灰塵、雷電電、強電磁磁場以及電電磁脈沖等等均會破壞壞數據和影影響系統(tǒng)的的正常工作作。(4)計計算機系統(tǒng)統(tǒng)自身是電電子產品，，它所處理理的對象也也是電子信信息，但目目前的電子子技術基礎礎薄弱，其其抵抗外部部環(huán)境影響響的能力也也比較弱。。(5)不不能避免免剩磁效應應和電磁泄泄漏。(6)計計算機及網網絡系統(tǒng)的的訪問控制制配置復雜雜且難于驗驗證，偶然然的配置錯錯誤會使闖闖入者獲取取訪問權。。(7)無無法估計計主機的安安全性。隨隨著一個站站點的主機機數量的增增加，確保保每臺主機機的安全性性都處在高高水平的能能力卻在下下降。只用用管理一臺臺系統(tǒng)的能能力來管理理如此多的的系統(tǒng)就容容易犯錯誤誤。另一個個因素是系系統(tǒng)管理的的作用經常常變換并行行動遲緩，，這導致一一些系統(tǒng)的的安全性比比另一些要要低，這些些系統(tǒng)將成成為薄弱環(huán)環(huán)節(jié)，最終終將破壞這這個安全鏈鏈?？傊?，計算算機網絡系系統(tǒng)自身的的脆弱和不不足，是造造成計算機機網絡安全全問題的內內部根源。。但計算機機網絡系統(tǒng)統(tǒng)本身的脆脆弱性、社社會對計算算機網絡系系統(tǒng)應用的的依賴性這這一矛盾又又將促進計計算機網絡絡安全技術術的不斷發(fā)發(fā)展和進步步。網絡信息安安全的內涵涵外部威脅：網絡信息安安全問題的的根源計算機網絡絡安全威脅脅的來源影響計算機機網絡安全全的因素很很多，有些些因素可能能是有意的的，也可能能是無意的的；可能是是天災，也也可能是人人為的。計計算機網絡絡安全威脅脅的來源主主要有三個個。(1).天天災天災是指不不可控制的的自然災害害，如雷擊擊、地震等等。天災輕輕則造成正正常的業(yè)務務工作混亂亂，重則造造成系統(tǒng)中中斷和無法法估量的損損失。網絡信息安安全問題的的根源(2).人人為因素素人為因素可可分為有意和無意意兩種類型。。人為的無意意失誤和各各種各樣的的誤操作都都可能造成成嚴重的不不良后果。。如文件的的誤刪除、、輸入錯誤誤的數據、、操作員安安全配置不不當；用戶戶的口令選選擇不慎，，口令保護護得不好；；用戶將自自己的賬號號隨意借給給他人或與與別人共享享等都可能能會對計算算機網絡帶帶來威脅。。有意因素是是指人為的的惡意攻擊擊、違紀、、違法和犯犯罪，它是是計算機網網絡面臨的的最大威脅脅。人為的的惡意攻擊擊又可分為為兩種：一一種是主動攻擊，它以各種種方式有選選擇地破壞壞信息的有有效性和完完整性；另另一種是被動攻擊，它是在不不影響網絡絡正常工作作的情況下下，進行截截獲、竊取取、破譯以以獲得重要要機密信息息。網絡信息安安全問題的的根源這兩種攻擊擊均可對計計算機網絡絡造成極大大的危害，，將導致機機密數據的的泄露。人為的威脅脅往往是由由于系統(tǒng)資資源和管理理中的薄弱弱環(huán)節(jié)被威威脅源(入入侵者或其其入侵程序序)利用而而產生的。。(3).系系統(tǒng)本身身原因1)計算算機硬件系系統(tǒng)及網絡絡設備的故故障由于設計、、生產工藝藝、制造、、設備運行行環(huán)境等原原因，計算算機硬件系系統(tǒng)及網絡絡設備會出出現故障。。如電路短短路、斷路路、接觸不不良、器件件老化和電電壓的波動動干擾等引引起的網絡絡系統(tǒng)不穩(wěn)穩(wěn)定。網絡信息安安全問題的的根源2)軟件件的漏洞軟件不可能能百分之百百的無缺陷陷和漏洞，，軟件系統(tǒng)統(tǒng)越龐大，，出現漏洞洞和缺陷的的可能性也也越大。這這些漏洞和和缺陷就成成了攻擊者者的首選目目標。3)軟件件的“后門門”軟件的“后后門”是軟軟件公司的的程序設計計人員為了了方便而在在開發(fā)時預預留設置的的。這些““后門”一一般不為外外人所知，，但是一旦旦“后門洞洞開”，其其造成的后后果將不堪堪設想。網絡信息安安全問題的的根源威脅的具體體表現形式式威脅具體表表現為物理理威脅、系系統(tǒng)漏洞造造成的威脅脅、鑒別威威脅、線纜纜連接威脅脅、有害程程序威脅和和管理上的的威脅等六六種形式。。(1).物物理威脅脅1)偷竊竊網絡安全中中的偷竊包包括偷竊設設備、偷竊竊信息和偷偷竊服務等等內容。如如果偷竊者者想偷的信信息在計算算機里，那那他們一方方面可以將將整臺計算算機偷走，，另一方面面可以讀取取、復制計計算機中的的信息。網絡信息安安全問題的的根源2)惡劣劣的運行環(huán)環(huán)境惡劣的運行行環(huán)境是指指計算機網網絡系統(tǒng)的的運行環(huán)境境不符合標標準，主要要包括防火火、防水、、防雷擊、、防靜電、、電源保護護、環(huán)境溫溫度、環(huán)境境濕度和抗抗電磁干擾擾等不符合合安全技術術要求。惡惡劣的運行行環(huán)境可能能加速設備備的老化，，造成設備備的損壞、、信息的錯錯誤或丟失失。3)廢物物搜尋廢物搜尋是是指在廢物物(如打印印出來的材材料或廢棄棄的軟盤、、光盤)中中搜尋所需需要的信息息。廢物搜搜尋可能包包括未從安安全角度徹徹底刪除信信息的軟盤盤或硬盤上上獲得有用用資料。網絡信息安安全問題的的根源4)間諜諜行為間諜行為是是一種以獲獲取有價值值的機密信信息為目的的，采用不不道德的、、不合法的的行為盜取取信息的過過程。5)身份份識別錯誤誤身份識別錯錯誤是指非非法建立文文件或記錄錄，企圖把把它們作為為有效的、、正式生產產的文件或或記錄。如如對具有身身份鑒別特特征物品(如加密的的安全卡、、護照、執(zhí)執(zhí)照等)進進行偽造就就屬于身份份識別發(fā)生生錯誤的范范疇。網絡信息安安全問題的的根源(2).系系統(tǒng)漏洞造造成的威脅脅1)乘乘虛虛而而入入例如如，，用用戶戶A停停止止了了與與某某個個系系統(tǒng)統(tǒng)的的通通信信，，但但由由于于某某種種原原因因仍仍使使該該系系統(tǒng)統(tǒng)上上的的一一個個端端口口處處于于激激活活狀狀態(tài)態(tài)，，這這時時，，用用戶戶B通通過過這這個個端端口口開開始始與與這這個個系系統(tǒng)統(tǒng)通通信信，，這這樣樣就就不不必必通通過過任任何何申申請請使使用用端端口口的的安安全全檢檢查查了了。。2)不不安安全全服服務務操作作系系統(tǒng)統(tǒng)的的一一些些服服務務程程序序有有時時可可以以繞繞過過機機器器的的安安全全系系統(tǒng)統(tǒng)，，成成為為不不安安全全服服務務。。比比如如，，互互聯聯網網蠕蠕蟲蟲就就是是利利用用了了一一些些操操作作系系統(tǒng)統(tǒng)中中的的可可繞繞過過機機器器進進行行攻攻擊擊的的。。網絡絡信信息息安安全全問問題題的的根根源源3)配配置置和和初初始始化化當關關掉掉一一臺臺服服務務器器以以維維修修它它的的某某個個系系統(tǒng)統(tǒng)時時，，在在重重新新啟啟動動服服務務器器后后，，可可能能會會有有些些用用戶戶說說他他們們的的文文件件丟丟失失了了或或被被篡篡改改了了，，這這就就有有可可能能是是在在系系統(tǒng)統(tǒng)重重新新初初始始化化時時，，安安全全系系統(tǒng)統(tǒng)沒沒有有被被正正確確地地初初始始化化，，從從而而留留下下了了安安全全漏漏洞洞讓讓人人利利用用。。（3））口口令令破破解解口令令破破解解這這種種威威脅脅主主要要是是由由于于用用戶戶口口令令設設置置比比較較簡簡單單造造成成的的。。破破解解口口令令就就像像是是猜猜測測密密碼碼鎖鎖的的數數字字組組合合一一樣樣，，在在該該領領域域中中已已形形成成許許多多能能提提高高成成功功率率的的技技巧巧。。比比如如在在計計算算密密碼碼的的程程序序中中使使用用多多線線程程、、密密碼碼字字典典等等。。一一般般比比較較安安全全的的口口令令應應該該在在六六位位以以上上，，包包括括字字母母、、數數字字、、符符號號等等。。網網絡絡上上已已經經出出現現了了針針對對使使用用比比較較簡簡單單口口令令的的操操作作系系統(tǒng)統(tǒng)進進行行口口令令破破解解、、攻攻擊擊的的網網絡絡蠕蠕蟲蟲病病毒毒。。網絡絡信信息息安安全全問問題題的的根根源源1)算算法法考考慮慮不不周周全全一般般來來說說，，口口令令輸輸入入過過程程必必須須在在滿滿足足一一定定條條件件下下才才能能正正常常地地工工作作，，這這個個過過程程通通過過某某些些算算法法來來實實現現。。在在一一些些入入侵侵案案例例中中，，入入侵侵者者采采用用超超長長的的字字符符串串破破壞壞了了口口令令算算法法，，成成功功地地進進入入了了系系統(tǒng)統(tǒng)。。2)編編輯輯口口令令編輯輯口口令令一一般般需需要要依依靠靠內內部部漏漏洞洞，，如如某某單單位位內內部部的的人人建建立立了了一一個個虛虛設設的的賬賬戶戶或或修修改改了了一一個個隱隱含含賬賬戶戶的的口口令令，，這這樣樣，，任任何何知知道道那那個個賬賬戶戶的的用用戶戶名名和和口口令令的的人人便便可可以以訪訪問問該該機機器器了了。。網絡絡信信息息安安全全問問題題的的根根源源(4).線線纜纜連連接接威威脅脅1)竊竊聽聽對通通信信過過程程進進行行竊竊聽聽可可達達到到收收集集信信息息的的目目的的，，這這種種電電子子竊竊聽聽可可以以將將竊竊聽聽設設備備安安裝裝在在通通信信線線纜纜上上，，也也可可以以通通過過檢檢測測從從連連線線上上發(fā)發(fā)射射出出來來的的電電磁磁輻輻射射來來拾拾取取所所要要的的信信號號。。2)撥號進進入擁有一個調制制解調器和一一個電話號碼碼，每個人都都可以通過撥撥號遠程訪問問網絡，但當當別有用心的的人擁有所期期望攻擊的網網絡的用戶賬賬戶時，就會會對網絡造成成很大的威脅脅。網絡信息安全全問題的根源源3)冒名頂頂替冒名頂替是指指通過使用別別人的密碼和和賬號，獲得得對網絡及其其數據、程序序的使用能力力。(5).有有害程序威脅脅1)計算機機病毒計算機病毒是是一種把自己己的拷貝附著著于機器中的的另一程序上上的一段代碼碼。通過這種種方式，病毒毒可以進行自自我復制，并并隨著它所附附著的程序在在機器之間傳傳播。網絡信息安全全問題的根源源2)代碼炸炸彈代碼炸彈是一一種具有殺傷傷力的代碼，，其原理是在在到達設定的的時間，通過過網絡向被攻攻擊者發(fā)送特特定代碼或在在機器中發(fā)生生了某種操作作時，代碼炸炸彈就被觸發(fā)發(fā)并開始產生生破壞性操作作。代碼炸彈彈不像病毒那那樣四處傳播播，一般是程程序員有意或或無意造成的的軟件安全漏漏洞。3)特洛伊伊木馬特洛伊木馬程程序一旦被安安裝到機器上上，便可按編編制者的意圖圖行事。特洛洛伊木馬有的的偽裝成系統(tǒng)統(tǒng)上已有的程程序，有的創(chuàng)創(chuàng)建新的用戶戶名和口令，，有的竊取用用戶信息，甚甚至破壞數據據。網絡信息安全全問題的根源源4)更新或或下載有些網絡系統(tǒng)統(tǒng)允許通過網網絡進行固件件和操作系統(tǒng)統(tǒng)更新，于是是非法闖入者者便可以通過過這種更新方方法，對系統(tǒng)統(tǒng)進行非法更更新。(6).管管理上的威脅脅管理上的威脅脅主要來自單單位的內部，，但對網絡安安全的威脅非非常大，這方方面的威脅單單靠計算機和和網絡技術是是無法解決的的。1)規(guī)章制制度不健全規(guī)章制度不健健全會造成人人為泄密事故故。如網絡方方面的規(guī)章制制度不嚴，出出現網絡安全全問題不能及及時響應、及及時處理，對對機密文件管管理不善，文文件存放混亂亂和違章操作作等。網絡信息安全全問題的根源源2)網絡管管理員自身問問題網絡管理員自自身問題包括括保密觀念不不強，不懂保保密規(guī)則，不不遵守規(guī)章制制度，隨便泄泄密；業(yè)務不不熟練，不能能及時發(fā)現并并修補網絡上上的安全漏洞洞；操作失誤誤造成信息出出錯、誤發(fā)；；素質不高，，缺乏責任心心，沒有良好好的工作態(tài)度度，明知故犯犯甚至有意破破壞網絡系統(tǒng)統(tǒng)和設備等。。網絡信息安全全的內涵防范措施：用備份和鏡像像技術提高數數據完整性防治病毒安裝補丁程序序提高物理安全全構筑因特網防防火墻仔細閱讀日志志加密提防虛假的安安全網絡信息安全全的內涵安全的概念：：開放式網絡環(huán)環(huán)境中的安全全是指一種能能力，可以做做到兩件事情情：（1）把你的的LAN或者者WAN從其其他網絡中區(qū)區(qū)分開來（2）識別并并消除安全威威脅和缺陷計算機網絡安安全是指網絡絡系統(tǒng)的硬件件、軟件及其其系統(tǒng)中的數數據受到保護護，不因偶然然的或者惡意意的原因而遭遭到破壞、更更改、泄露，，確保系統(tǒng)能能連續(xù)、可靠靠、正常地運運行，使網絡絡服務不中斷斷。網絡安全全從本質上講講就是網絡上上信息的安全全。網絡安全是一一門涉及計算算機科學、網網絡技術、通通信技術、密密碼技術、信信息安全技術術、應用數學學、數論和信信息論等多種種學科的綜合合性學科。網絡信息安全全的內涵計算機信息安安全包括廣泛泛的策略和解解決方案，主主要包括8個個方面：（1）訪訪問控制（2）選選擇性訪問控控制（3）計計算機病毒和和木馬（4）加加密（5）系系統(tǒng)計劃和管管理（6）物物理安全（7）生生物統(tǒng)計學（8）網網絡和通信的的安全保密性：指信息不泄泄漏給非授權權的個人、實實體和過程程，或供其使使用的特性。。完整性：指信息未經經授權不能被被修改、不被被破壞、不被被插入、不延延遲、不亂序序和不丟失的的特性?？捎眯裕褐负戏ㄓ脩魬粼L問并能按按要求順序使使用信息的特特性?？煽匦裕褐甘跈鄼C構構對信息的內內容及傳播具具有控制能力力的特性?？蓪彶樾裕涸谛畔⒔涣髁鬟^程結束后后，通信雙方方不能抵賴曾曾經做出的行行為，也不能能否認曾經接接收到對方的的信息。網絡信息安全全的特征安全技術身份認證技術術訪問控制技術術加密技術防火墻技術安全審計技術術安全管理技術術網絡信息安全全的關鍵技術術網絡信息安全全分類技術分類說明信息安全監(jiān)察安全監(jiān)控查驗發(fā)現違規(guī)確定入侵定位損害監(jiān)控威脅犯罪起訴起訴量刑糾偏建議管理安全技術管理安全多級安全用戶鑒別術的管理多級安全加密術的管理密銅管理術的管理行政管理安全人員管理系統(tǒng)管理應急管理安全應急的措施組織入侵的自衛(wèi)與反擊技術分類說明信息安全技術安全實體安全環(huán)境安全(溫度、濕度、氣壓等)建筑安全(防雷、防水、防鼠等)網絡與設備安全軟件安全軟件的安全開發(fā)與安裝軟件的安全復制與升級軟件加密軟件安全性能溯試數據安全數據加密數據存儲安全數據備份運行安全訪問控制審計跟蹤入侵告警與系統(tǒng)恢復等立法安全有關信息安全的政策、法令、法規(guī)認知安全辦學、辦班獎懲與揚抑信息安全宣傳與普及教育對待計算機網網絡安全問題題的態(tài)度一般對待計算算機網絡安全全問題通常有有兩種不同的的態(tài)度。第一種是保守的態(tài)度。這種態(tài)度認認為將安全問問題隱藏起來來才是最好的的解決辦法。。表面上看，，隱藏就可以以避免網絡安安全問題，但但是不能證明明不會被人發(fā)發(fā)現安全漏洞洞，也不能阻阻止掌握了這這種漏洞的人人去利用這些些網絡安全問問題。目前有有些軟件采用用了這種態(tài)度度，事實上這這些安全性比比較低的軟件件在攻擊者或或網絡安全專專家面前，漏漏洞就很容易易被發(fā)現。對待計算機網網絡安全問題題的態(tài)度第二種是比較積極的態(tài)態(tài)度。這種態(tài)度認認為網絡安全全問題不應該該隱藏，只有有不斷地去發(fā)發(fā)現和解決這這些安全問題題，才能讓計計算機網絡系系統(tǒng)變得更安安全。這種態(tài)態(tài)度可以讓用戶知道哪哪些是安全的的，哪些是存存在問題的。對于存在安安全問題的事事務應該及時時發(fā)現，并及及時進行修補補。如果一個個系統(tǒng)經受住住眾多使用者者的考驗，那那么開發(fā)者和和使用者就不不用擔心嚴重重的安全問題題了。對于計算機網網絡安全問題題，應該采用用比較積極的的態(tài)度，不斷斷地學習與研研究，及時獲獲取網絡安全全的新技術，，修補網絡安安全上的漏洞洞，保障網絡絡的安全。事事實上，很多多網絡安全問問題是因為網網絡管理員沒沒有及時地彌彌補安全漏洞洞而導致的。。網絡信信息安安全問問題的的根源源1．網網絡絡安全全事故故發(fā)生生的幾幾個原原因現有網網絡系系統(tǒng)和和協議議還是是不健健全、、不完完善、、不安安全的的；思想麻麻痹，，沒有有清醒醒地意意識到到黑客客入侵侵所會會導致致的嚴嚴重后后果，，舍不不得投投入必必要的的人力力、財財力和和物力力來加加強網網絡的的安全全性；；沒有采采用正正確的的安全全策略略和安安全機機制；；缺乏先先進的的網絡絡安全全技術術、工工具、、手段段和產產品；；缺乏先先進的的災難難恢復復措施施和備備份意意識。。2．局局域域網（（站點點）安安全事事故發(fā)發(fā)生的的幾個個原因因（1））網絡絡系統(tǒng)統(tǒng)的流流量；；（2））網絡絡提供供的和和使用用的服服務；；（3））網絡絡與Internet的的連接接方式式；（4））網絡絡的知知名度度；（5））網絡絡對安安全事事故的的準備備情況況。網絡信信息安安全策策略（1））威嚴嚴的法法律：：安全全的基基石是是社會會法律律、法法規(guī)和和手段段，即即通過過建立立與信信息安安全相相關的的法律律、法法規(guī)，，使非非法分分子懾懾于法法律，，不敢敢輕舉舉妄動動。（2））先進進的技技術：：先進進的技技術是是信息息安全全的根根本保保障，，用戶戶對自自身面面臨的的威脅脅進行行風險險評估估，決決定其其需要要的安安全服服務種種類。。選擇擇相應應的安安全機機制，，然后后集成成先進進的安安全技技術。。（3））嚴格格的管管理：：各網網絡使使用機機構、、企業(yè)業(yè)和單單位應應建立立相應應的信信息安安全管管理辦辦法，，加強強內部部管理理，建建立審審計和和跟蹤蹤體系系，提提高整整體信信息安安全意意識。。物理安安全策策略物理安安全策策略的的目的的是保保護計計算機機系統(tǒng)統(tǒng)、網網絡服服務器器、打打印機機等硬硬件設設備和和通信信鏈路路免受受自然然災害害、人人為破破壞和和搭線線攻擊擊；驗驗證用用戶的的身份份和使使用權權限，，防止止用戶戶越權權操作作；確確保計計算機機系統(tǒng)統(tǒng)有一一個良良好的的電磁磁兼容容工作作環(huán)境境；建建立完完備的的安全全管理理制度度，防防止非非法進進入計計算機機控制制室和和各種種盜劫劫、破破壞活活動的的發(fā)生生。訪問控控制策策略（1））入網網訪問問控制制；（2））網絡絡的權權限控控制；；（3））目錄錄級安安全控控制；；（4））屬性性安全全控制制；（5））網絡絡服務務器安安全控控制；；（6））網絡絡檢測測和鎖鎖定控控制；；（7））網絡絡端口口和結結點的的安全全控制制。防火墻墻控制制它是控控制進進出兩兩個方方向通通信的的門檻檻。在在網絡絡邊界界上通通過建建立起起來的的相應應網絡絡通信信監(jiān)控控系統(tǒng)統(tǒng)來隔隔離內內部和和外部部網絡絡，以以阻擋擋外部部網絡絡的侵侵入。。信息加加密策策略信息加加密的的目的的是保保護網網內的的數據據、文文件、、口令令和控控制信信息，，保護護網上上傳輸輸的數數據。。常用的的方法法有鏈路加加密、、端到到端加加密和和節(jié)點點加密密三種。。鏈路加加密的的目的的是保保護網網絡結結點之之間的的鏈路路信息息安全全；端到端端加密密的目目的是是對源源端用用戶到到目的的端用用戶的的數據據提供供保護護；節(jié)點加加密的的目的的是對對源節(jié)節(jié)點到到目的的節(jié)點點之間間的傳傳輸鏈鏈路提提供保保護。。網絡安安全管管理策策略在網絡絡安全全中，，除了了采用用上述述措施施之外外，加加強網網絡的的安全全管理理，制制定有有關規(guī)規(guī)章制制度，，對于于確保保網絡絡的安安全、、可靠靠地運運行，，將起起到十十分有有效的的作用用。網絡的的安全全管理理策略略包括括：確定安安全管管理的的等級級和安安全管管理的的范圍圍；制定有有關網網絡使使用規(guī)規(guī)程和和人員員出入入機房房管理理制度度；制定網網絡系系統(tǒng)的的維護護制度度和應應急措措施等等。網絡信信息安安全體體系系結構構與模模型ISO/OSI安全全體系系結構構1982年年，開開放系系統(tǒng)互互聯（（OSI））基本本模型型建立立之初初，就就開始始進行行OSI安安全體體系結結構的的研究究。1989年年12月ISO頒布布了計計算機機信息息系統(tǒng)統(tǒng)互聯聯標準準的第第二部部分，，即ISO7498-2標準準，并并首次次確定定了開開放系系統(tǒng)互互聯（（OSI））參考考模型型的安安全體體系結結構。。我國國將其其稱為為GB／T9387-2標準準，并并予以以執(zhí)行行。ISO安全全體系系結構構包括括了三三部分分內容容：安安全服服務、、安全全機制制和安安全管管理。。安全服服務ISO安全全體系系結構構確定定了五五大類類安全全服務務：1、認認證證2、、訪問問控制制3、數數據據保密密性4、數數據據完整整性5、不不可可否認認（抗抗抵賴賴）性性（1）認認證服服務這種安全全服務提提供某個個實體的的身份保保證。該該服務有有兩種類類型：對等實體體認證這種安全全服務由由(N)層提供供時，(N+1)層實實體可確確信對等等實體是是它所需需要的(N+1)層實實體。數據源認認證在通信的的某個環(huán)環(huán)節(jié)中，，需要確確認某個個數據是是由某個個發(fā)送者者發(fā)送的的。當這這種安全全服務由由(N)層提供供時，可可向(N+1)層實體體證實數數據源正正是它所所需要的的對等(N+1)層實實體。（2）訪訪問控制制服務這種安全全服務提提供的保保護，就就是對某某一些確確知身份份限制對對某些資資源（這這些資源源可能是是通過OSI協協議可訪訪問的OSI資資源或非非OSI資源））的訪問問。這種種安全服服務可用用于對某某個資源源的各類類訪問（（如通信信資源的的利用，，信息資資源的閱閱讀、書書寫或刪刪除，處處理資源源的執(zhí)行行等）或或用于對對某些資資源的所所有訪問問。（3）數數據保保密性服服務這種安全全服務能能夠提供供保護，，使得信信息不泄泄漏、不不暴露給給那些未未授權就就想掌握握該信息息的實體體。連接保密密性：這這種安全全服務向向某個(N)連連接的所所有(N)用戶戶數據提提供保密密性。無連接保保密性：：這種安安全服務務向單個個無連接接(N)安全數數據單元元(SDU)中中的所有有(N)用戶數數據提供供保密性性。選擇字段段保密性性：這種種安全服服務向(N)連連接上的的(N)用戶數數據內或或單個無無連接(N)SDU中中的被選選字段提提供保密密性。業(yè)務流保保密性：：這種安安全服務務防止通通過觀察察業(yè)務流流以得到到有用的的保密信信息。（4）數數據完完整性服服務這種安全全服務保保護數據據在存儲儲和傳輸輸中的完完整性。。①帶恢恢復的連連接完整整性：這這種安全全服務向向某個(N)連連接上的的所有(N)用用戶數據據保證其其完整性性。它檢檢測對某某個完整整的SDU序列列內任何何一個數數據遭到到的任何何篡改、、插入、、刪除或或重放，，同時還還可以補補救恢復復。②不帶帶恢復的的連接完完整性：：與帶恢恢復的連連接完整整性服務務相同，，但不能能補救恢恢復。③選擇擇字段連連接完整整性：這這種安全全服務向向在某個個連接中中傳輸的的某個(N)SDU的的(N)用戶數數據內的的被選字字段提供供完整性性保護，，并能確確定這些些字段是是否經過過篡改、、插入、、刪除或或重放。。④無連連接完整整性：這這種安全全服務由由（N））層提供供，向提提出請求求的（N+1））層實體體提供無無連接中中的數據據完整性性保證。。并能確確定收到到的SDU是否否經過篡篡改；另另外，還還可以對對重放情情況進行行一定程程度的檢檢測。⑤選擇擇字段無無連接完完整性：：這種安安全服務務對單個個無連接接SDU中的被被選字段段的保證證其完整整性，并并能確定定被選字字段是否否經過篡篡改、插插入、刪刪除或重重放。（5）不不可否認認服務（（抗抵賴賴）它主要保保護通信信系統(tǒng)不不會遭到到自系統(tǒng)統(tǒng)中其它它合法用用戶的威威脅，而而不是來來自未知知攻擊者者的威脅脅。①數據據源的抗抗抵賴：：向數據據接收者者提供數數據來源源的證據據，以防防止發(fā)送送者否認認發(fā)送該該數據或或其內容容的任何何企圖。。②傳遞遞過程的的抗抵賴賴：向數數據發(fā)送送者提供供數據已已到目的的地的證證據，以以防止收收信者否否認接收收該數據據或其內內容的任任何事后后的企圖圖。安全機制制ISO安安全體系系結構定定義了八八大類安安全機制制，即：：1、加加密2、數數據簽名名機制3、訪訪問控制制機制4、數數據完整整性機制制5、鑒鑒別交換換機制6、業(yè)業(yè)務填充充機制7、路路由控制制機制8、公公證機制制（1）加加密機制制加密可向向數據或或業(yè)務流流信息提提供保密密性，并并能對其其他安全全機制起起作用或或對它們們進行補補充。加加密算法法可以是是可逆或或不可逆逆的，可可逆加密密算法有有以下兩兩大類：：①對稱稱(單鑰鑰)加密密體制：：對于這這種加密密體制，，加密與與解密用用同一個個密鑰；；②非對對稱(公公鑰)加加密體制制：對于于這種加加密體制制，加密密與解密密用不同同的密鑰鑰，這種種加密系系統(tǒng)的兩兩個密鑰鑰有時被被稱為““公鑰””和“私私鑰”。。（2）數數字簽名名機制這種安全全機制由由兩個過過程構成成：對數據單單元簽名名過程這個過程程可以利利用簽名名者私有有的（即即獨有和和保密的的）信息息;驗證簽名的的數據單元元過程這個過程則則要利用公公之于眾的的規(guī)程和信信息，通過過它們并不不能推出簽簽名者的私私有信息。。（3）訪問問控制機制制①這種安安全機制可可以利用某某個實體經經鑒別的身身份或關于于該實體的的信息（比比如，某個個已知實體體集里的一一員），進進行確定并并實施實體體的訪問權權。②實現好好的訪問控控制規(guī)則可可以建立在在下列幾個個方式之上上。（a）訪問問控制信息息庫：它保保存著對等等實體對資資源的訪問問權限。（b）鑒別別信息：對對這種信息息的占有和和出示便證證明正在訪訪問的實體體已被授權權（c）權力力：實體對對權力的占占有和出示示便證明有有權訪問由由權力規(guī)定定的實體或或資源（d）安全全標記：當當與某個實實體相關聯聯時，可用用于同意或或拒絕訪問問，通常根根據安全策策略而定（e）訪問問時間：可可以根據試試圖訪問的的時間建立立規(guī)則（f）訪問問路由：可可以根據試試圖訪問的的路由建立立規(guī)則（g）訪問問持續(xù)期：：還可以規(guī)規(guī)定某次訪訪問不可超超過一定的的持續(xù)時間間。③訪問控控制機制可可用于通信信連接的任任何一端或或用在中間間的任何位位置。（4）數據據完整性機機制①數據完完整性機制制的兩個方方面：單個的數據據單元或字字段的完整整性數據單元串串或字段串串的完整性性②確定單單個數據單單元的完整整性：確定定單個數據據單元的完完整性涉及及到兩個處處理：一個個在發(fā)送實實體中進行行，而另一一個在接收收實體中進進行。③編序形形式：對于于連接方式式的數據傳傳輸，保護護數據單元元序列的完完整性(即即防止擾亂亂、丟失、、重放、插插入或篡改改數據)還還需要某種種明顯的編編序形式，，如序號、、時標式密密碼鏈等。。④保護形形式：對于于無連接的的數據傳輸輸，時標可可用于提供供一種有限限的保護形形式，以防防止單個數數據單元的的重放。（4）數據據完整性機機制對數據完整整性的五個個最常見的的威脅：（4）數據據完整性機機制人本身對數數據完整性性的威脅：：（4）數據據完整性機機制硬件故障對對數據完整整性的威脅脅：（4）數據據完整性機機制網絡故障對對數據完整整性的威脅脅：（4）數據據完整性機機制軟件故障對對數據完整整性的威脅脅：（4）數據據完整性機機制災難對數據據完整性的的威脅：（5）鑒別別交換機制制這種安全機機制是通過過信息交換換以確保實實體身份的的一種機制制。①可用于于鑒別交換換的一些技技術（a）利用用鑒別信息息（如通信信字）（b）密碼碼技術（c）利用用實體的特特征或占有有物。②對等實實體鑒別：：如果在鑒鑒別實體時時得到的是是否定結果果，那么將將會導致拒拒絕連接或或終止連接接，而且還還會在安全全審計線索索中增加一一個記錄，，或向安全全管理中心心進行報告告。③確保安安全：在利利用密碼技技術時，可可以同“握握手”協議議相結合，，以防止重重放(即確確保有效期期)。④應用環(huán)環(huán)境：選擇擇鑒別交換換技術取決決于它們應應用的環(huán)境境。在許多多場合下，，需要同下下列各項結結合起來使使用：（a）時標和和同步時鐘鐘；（b））雙向和三三向握手(分別用于于單方和雙雙方鑒別)；（c））由數字簽簽名或公證證機制實現現的不可否否認服務。。（6）業(yè)務務填充機制制這是一種防防止造假的的通信實例例、產生欺欺騙性數據據單元或在在數據單元元中產生假假數據的安安全機制。。該機制可可用于提供供對各種等等級的保護護，以防止止業(yè)務分析析。該機制制只有在業(yè)業(yè)務填充受受到保密性性服務保護護時才有效效。（7）路由由控制機制制①路由選選擇：路由由既可以動動態(tài)選擇，，也可以事事先安排好好，以便只只利用物理理上安全的的子網、中中繼站或鏈鏈路。②路由連連接：當檢檢測到持續(xù)續(xù)操作攻擊擊時，端系系統(tǒng)可望指指示網絡服服務提供者者通過不同同的路由以以建立連接接。③安全策策略：攜帶帶某些安全全標簽的數數據可能被被安全策略略禁止通過過某些子網網、中繼站站或鏈路。。連接的發(fā)發(fā)起者（或或無連接數數據單元的的發(fā)送者））可以指定定路由說明明，以請求求回避特定定的子網的的中繼站或或鏈路。（8）公證證機制關于在兩個個或多個實實體間進行行通信的數數據的性能能，比如它它的完整性性、來源、、時間和目目的地等，，可由公證證機制來保保證。保證證由第三方方公證人提提供，公證證人能夠得得到通信實實體的信任任，而且可可以掌握按按照某種可可證實方式式提供所需需保證的必必要的信息息。每個通通信場合都都可以利用用數字簽名名、加密和和完整性機機制以適應應公證人所所提供的服服務。在用用到這樣一一個公證機機制時，數數據便經由由受保護的的通信場合合和公證人人在通信實實體之間進進行傳送。。安全管理OSI安全全體系結構構的第三個個主要部分分就是安全全管理。它它的主要內內容是實施施一系列的的安全政策策，對系統(tǒng)統(tǒng)和網絡上上的操作進進行管理。。它包括三三部分內容容：系統(tǒng)安全管管理安全服務管管理安全機制管管理OSI安全全管理涉及及到OSI管理系統(tǒng)統(tǒng)本身的安安全，包括括OSI管管理協議的的安全和OSI管理理信息交換換的安全等等。（1）系統(tǒng)統(tǒng)安全管理理涉及整體OSI安全全環(huán)境的管管理。包括括：總體安全策策略的管理理OSI安全全環(huán)境之間間的安全信信息交換安全服務管管理和安全全機制管理理的交互作作用安全事件的的管理安全審計管管理安全恢復管管理（2）安全全服務管理理涉及特定安安全服務的的管理，其其中包括：：對某種安全全服務定義義其安全目目標;指定安全服服務可使用用的安全機機制;通過適當的的安全機制制管理及調調動需要的的安全機制制;系統(tǒng)安全管管理以及安安全機制管管理相互作作用。（3）安全全機制管理理涉及特定的的安全機制制的管理。。其中包括括：密鑰管理加密管理數字簽名管管理訪問控制管管理數據完整性性管理鑒別管理業(yè)務流填充充管理公證管理網絡信息安安全解決方方案動態(tài)的自適適應網絡模模型動態(tài)的自適適應網絡模模型安全=風風險分析＋＋執(zhí)行行策略＋＋系統(tǒng)實實施＋漏漏洞監(jiān)測測＋實實時響應特點（1）安全全管理的持持續(xù)性、安安全策略的的動態(tài)性。。以實時監(jiān)監(jiān)視網絡活活動、發(fā)現現威脅和弱弱點來調整整和填補系系統(tǒng)缺陷。。（2）可測測性（即可可控性）。。通過經常常性對網絡絡系統(tǒng)的評評估把握系系統(tǒng)風險點點，及時弱弱化甚至堵堵塞安全漏漏洞。（3）利用用專家系統(tǒng)統(tǒng)、統(tǒng)計分分析、神經經網絡方法法對現有網網絡行為實實時監(jiān)控報報告和分析析風險。五層網絡安安全模型（1）網絡絡層的安全全性（2）系統(tǒng)統(tǒng)的安全性性（3）用戶戶的安全性性（4）應用用程序的安安全性（5）數據據的安全性性五層網絡安安全模型網絡信息安安全等級與與標準1．TCSEC標準準2．歐洲ITSEC標準3．加拿大大CTCPEC評價價標準4．美國聯聯邦準則FC5．聯合公公共準則CC標準6．BS7799標標準7．我國有有關網絡信信息安全的的相關標準準網絡信息安安全等級與與標準橘皮書(TrustedComputerSystemEvaluationCriteria—TCSEC)是計算算機系統(tǒng)安安全評估的的第一個正正式標準，，具有劃時時代的意義義。它于1970年年由美國國國防科學委委員會提出出，并于1985年年12月由由美國國防防部公布。。TCSEC最初只只是軍用標標準，后來來延至民用用領域。TCSEC將計算機機系統(tǒng)的安安全劃分為為四個等級級、七個安安全級別(從低到高高依次為D、C1、、C2、B1、B2、B3和和A級)。。D級級和和A級級暫暫時時不不分分子子級級。。每每級級包包括括它它下下級級的的所所有有特特性性，，從從最最簡簡單單的的系系統(tǒng)統(tǒng)安安全全特特性性直直到到最最高高級級的的計計算算機機安安全全模模型型技技術術，，不不同同計計算算機機信信息息系系統(tǒng)統(tǒng)可可以以根根據據需需要要和和可可能能選選用用不不同同安安全全保保密密程程度度的的不不同同標標準準。。網絡絡信信息息安安全全等等級級與與標標準準1)D級級D級級是是最最低低的的安安全全形形式式，，整整個個計計算算機機是是不不信信任任的的，，只只為為文文件件和和用用戶戶提提供供安安全全保保護護。。D級級系系統(tǒng)統(tǒng)最最普普通通的的形形式式是是本本地地操操作作系系統(tǒng)統(tǒng)，，或或者者是是一一個個完完全全沒沒有有保保護護的的網網絡絡。。擁擁有有這這個個級級別別的的操操作作系系統(tǒng)統(tǒng)就就像像一一個個門門戶戶大大開開的的房房子子，，任任何何人人可可以以自自由由進進出出，，是是完完全全不不可可信信的的。。對對于于硬硬件件來來說說，，是是沒沒有有任任何何保保護護措措施施的的，，操操作作系系統(tǒng)統(tǒng)容容易易受受到到損損害害，，沒沒有有系系統(tǒng)統(tǒng)訪訪問問限限制制和和數數據據限限制制，，任任何何人人不不需需要要任任何何賬賬戶戶就就可可以以進進入入系系統(tǒng)統(tǒng)，，不不受受任任何何限限制制就就可可以以訪訪問問他他人人的的數數據據文文件件。。屬于于這這個個級級別別的的操操作作系系統(tǒng)統(tǒng)有有DOS、、Windows9x、、Apple公公司司的的MacintoshSystem7.1。。網絡絡信信息息安安全全等等級級與與標標準準2)C1級級C1級級又又稱稱有有選選擇擇地地安安全全保保護護或或稱稱酌酌情情安安全全保保護護(DiscretionnySecurityProtection)系系統(tǒng)統(tǒng)，，它它要要求求系系統(tǒng)統(tǒng)硬硬件件有有一一定定的的安安全全保保護護(如如硬硬件件有有帶帶鎖鎖裝裝置置，，需需要要鑰鑰匙匙才才能能使使用用計計算算機機)，，用用戶戶在在使使用用前前必必須須登登記記到到系系統(tǒng)統(tǒng)。。另另外外，，作作為為C1級級保保護護的的一一部部分分，，允允許許系系統(tǒng)統(tǒng)管管理理員員為為一一些些程程序序或或數數據據設設立立訪訪問問許許可可權權限限等等。。它描描述述了了一一種種典典型型的的用用在在UNIX系系統(tǒng)統(tǒng)上上的的安安全全級級別別。。這這種種級級別別的的系系統(tǒng)統(tǒng)對對硬硬件件有有某某種種程程度度的的保保護護，，但但硬硬件件受受到到損損害害的的可可能能性性仍仍然然存存在在。。用用戶戶擁擁有有注注冊冊賬賬號號和和口口令令，，系系統(tǒng)統(tǒng)通通過過賬賬號號和和口口令令來來識識別別用用戶戶是是否否合合法法，，并并決決定定用用戶戶對對信信息息擁擁有有什什么么樣樣的的訪訪問問權權。。網絡絡信信息息安安全全等等級級與與標標準準這種種訪訪問問權權是是指指對對文文件件和和目目標標的的訪訪問問權權。。文文件件的的擁擁有有者者和和根根用用戶戶(Root)可可以以改改動動文文件件中中的的訪訪問問屬屬性性，，從從而而對對不不同同的的用用戶戶給給與與不不同同的的訪訪問問權權。。例例如如，，讓讓文文件件擁擁有有者者有有讀讀、、寫寫和和執(zhí)執(zhí)行行的的權權力力；；給給同同組組用用戶戶讀讀和和執(zhí)執(zhí)行行的的權權力力；；而而給給其其他他用用戶戶以以讀讀的的權權力力。。C1級級保保護護的的不不足足之之處處在在于于用用戶戶可可以以直直接接訪訪問問操操縱縱系系統(tǒng)統(tǒng)的的根根目目錄錄。。C1級級不不能能控控制制進進入入系系統(tǒng)統(tǒng)的的用用戶戶的的訪訪問問級級別別，，所所以以用用戶戶可可以以將將系系統(tǒng)統(tǒng)中中的的數數據據任任意意移移走走，，他他們們可可以以控控制制系系統(tǒng)統(tǒng)配配置置，，獲獲取取比比系系統(tǒng)統(tǒng)管管理理員員所所允允許許的的更更高高權權限限，，如如改改變變和和控控制制用用戶戶名名。。網絡絡信信息息安安全全等等級級與與標標準準3)C2級級C2級級又又稱稱訪訪問問控控制制保保護護，，它它針針對對C1級級的的不不足足之之處處增增加加了了幾幾個個特特性性。。C2級級引引進進了了訪訪問問控控制制環(huán)環(huán)境境(用用戶戶權權限限級級別別)的的增增加加特特性性，，該該環(huán)環(huán)境境具具有有進進一一步步限限制制用用戶戶執(zhí)執(zhí)行行某某些些命命令令或或訪訪問問某某些些文文件件的的權權限限，，而而且且還還加加入入了了身身份份驗驗證證級級別別。。另另外外，，系系統(tǒng)統(tǒng)對對發(fā)發(fā)生生的的事事情情加加以以審審計計(Audit)，，并并寫寫入入日日志志當當中中，，如如什什么么時時候候開開機機，，哪哪個個用用戶戶在在什什么么時時候候從從哪哪里里登登錄錄等等，，這這樣樣通通過過查查看看日日志志，，就就可可以以發(fā)發(fā)現現入入侵侵的的痕痕跡跡，，如如多多次次登登錄錄失失敗敗，，也也可可以以大大致致推推測測出出可可能能有有人人想想強強行行闖闖入入系系統(tǒng)統(tǒng)。。審審計計可可以以記記錄錄下下系系統(tǒng)統(tǒng)管管理理員員執(zhí)執(zhí)行行的的活活動動，，審審計計還還加加有有身身份份驗驗證證，，這這樣樣就就可可以以知知道道誰誰在在執(zhí)執(zhí)行行這這些些命命令令。。審審計計的的缺缺點點在在于于它它需需要要額額外外的的處處理理器器時時間間和和磁磁盤盤資資源源。。網絡信信息安安全等等級與與標準準使用附附加身身份認認證就就可以以讓一一個C2系系統(tǒng)用用戶在在不是是根用用戶的的情況況下有有權執(zhí)執(zhí)行系系統(tǒng)管管理任任務。。不要要把這這些身身份認認證和和應用用于程程序的的用戶戶ID許可可(SUID)設置置和同同組用用戶ID許許可(SGID)設設置相相混淆淆，身身份認認證可可以用用來確確定用用戶是是否能能夠執(zhí)執(zhí)行特特定的的命令令或訪訪問某某些核核心表表。例例如，，當用用戶無無權瀏瀏覽進進程表表時，，它若若執(zhí)行行命令令就只只能看看到它它們自自己的的進程程。授權分分級指指系統(tǒng)統(tǒng)管理理員能能夠給給用戶戶分組組，授授予他他們訪訪問某某些程程序的的權限限或訪訪問分分級目目錄的的權限限。網絡信信息安安全等等級與與標準準另一方方面，，用戶戶權限限可以以以個個人為為單位位授權權用戶戶對某某一程程序所所在目目錄進進行訪訪問。。如果果其他他程序序和數數據也也在同同一目目錄下下，那那么用用戶也也將自自動得得到訪訪問這這些信信