課程熟悉信息安全技術(shù)

第一章熟悉信息安全技術(shù)楊國(guó)信第1章熟悉信息安全技術(shù)信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，使信息服務(wù)不中斷。熟悉信息安全技術(shù)，應(yīng)該了解信息安全技術(shù)的網(wǎng)絡(luò)支持環(huán)境、了解信息系統(tǒng)的物理安全、操作系統(tǒng)的系統(tǒng)管理與安全設(shè)置等內(nèi)容。第1章熟悉信息安全技術(shù)1.1信息安全技術(shù)的計(jì)算環(huán)境1.2信息系統(tǒng)的物理安全1.3Windows系統(tǒng)管理與安全設(shè)置1.1信息安全技術(shù)的計(jì)算環(huán)境信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。1.1信息安全技術(shù)的計(jì)算環(huán)境如今，基于網(wǎng)絡(luò)的信息安全技術(shù)也是未來(lái)信息安全技術(shù)發(fā)展的重要方向。由于因特網(wǎng)(Internet)是一個(gè)全開放的信息系統(tǒng)，竊密和反竊密、破壞與反破壞廣泛存在于個(gè)人、集團(tuán)甚至國(guó)家之間，資源共享和信息安全一直作為一對(duì)矛盾體而存在著，網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)以及隨之而來(lái)的信息安全問題也日益突出。1.1.1信息安全的目標(biāo)無(wú)論是在計(jì)算機(jī)上存儲(chǔ)、處理和應(yīng)用，還是在通信網(wǎng)絡(luò)上傳輸，信息都可能被非授權(quán)訪問而導(dǎo)致泄密，被篡改破壞而導(dǎo)致不完整，被冒充替換而導(dǎo)致否認(rèn)，也有可能被阻塞攔截而導(dǎo)致無(wú)法存取。這些破壞可能是有意的，如黑客攻擊、病毒感染；也可能是無(wú)意的，如誤操作、程序錯(cuò)誤等。因此，普遍認(rèn)為，信息安全的目標(biāo)應(yīng)該是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴性(即信息安全的五大特性)。1.1.1信息安全的目標(biāo)1.機(jī)密性機(jī)密性是指保證信息不被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無(wú)法知曉信息的內(nèi)容，因而不能使用。2.完整性完整性是指維護(hù)信息的一致性，即在信息生成、傳輸、存儲(chǔ)和使用過程中不發(fā)生人為或非人為的非授權(quán)篡改。1.1.1信息安全的目標(biāo)3.可用性可用性是指授權(quán)用戶在需要時(shí)能不受其他因素的影響，方便地使用所需信息。這一目標(biāo)是對(duì)信息系統(tǒng)的總體可靠性要求。4.可控性可控性是指信息在整個(gè)生命周期內(nèi)部可由合法擁有者加以安全的控制。1.1.1信息安全的目標(biāo)5.不可抵賴性不可抵賴性是指保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為。1.1.1信息安全的目標(biāo)事實(shí)上，安全是—種意識(shí)，一個(gè)過程，而不僅僅是某種技術(shù)。進(jìn)入21世紀(jì)后，信息安全的理念發(fā)生了巨大的變化，從不惜一切代價(jià)把入侵者阻擋在系統(tǒng)之外的防御思想，開始轉(zhuǎn)變?yōu)轭A(yù)防-檢測(cè)-攻擊響應(yīng)-恢復(fù)相結(jié)合的思想，出現(xiàn)了PDRR(Protect/Detect/React—響應(yīng)/Restore)等網(wǎng)絡(luò)動(dòng)態(tài)防御體系模型(見圖1.1)。圖1.1信息安安全的的PDRR模型信息安全的的目標(biāo)PDRR倡導(dǎo)一種綜綜合的安全全解決方法法，即：針針對(duì)信息的的生存周期期，以“信信息保障””模型作為為信息安全全的目標(biāo)，，以信息的的保護(hù)技術(shù)術(shù)、信息使使用中的檢檢測(cè)技術(shù)、、信息受影影響或攻擊擊時(shí)的響應(yīng)應(yīng)技術(shù)和受受損后的恢恢復(fù)技術(shù)作作為系統(tǒng)模模型的主要要組成元素素，在設(shè)計(jì)計(jì)信息系統(tǒng)統(tǒng)的安全方方案時(shí)，綜綜合使用多多種技術(shù)和和方法，以以取得系統(tǒng)統(tǒng)整體的安安全性。信息安全的的目標(biāo)PDRR模型強(qiáng)調(diào)的的是自動(dòng)故故障恢復(fù)能能力，把信信息的安全全保護(hù)作為為基礎(chǔ)，將將保護(hù)視為為活動(dòng)過程程，用檢測(cè)測(cè)手段來(lái)發(fā)發(fā)現(xiàn)安全漏漏洞，及時(shí)時(shí)更正；同同時(shí)采用應(yīng)應(yīng)急響應(yīng)措措施對(duì)付各各種入侵；；在系統(tǒng)被被入侵后，，采取相應(yīng)應(yīng)的措施將將系統(tǒng)恢復(fù)復(fù)到正常狀狀態(tài)，使信信息的安全全得到全方方位的保障障。信息安全技技術(shù)發(fā)展的的四大趨勢(shì)勢(shì)信息安全技技術(shù)的發(fā)展展，主要呈呈現(xiàn)四大趨趨勢(shì)，即可可信化、網(wǎng)網(wǎng)絡(luò)化、標(biāo)標(biāo)準(zhǔn)化和集集成化。信息安全技技術(shù)發(fā)展的的四大趨勢(shì)勢(shì)1.可信化可信化是指指從傳統(tǒng)計(jì)計(jì)算機(jī)安全全理念過渡渡到以可信信計(jì)算理念念為核心的的計(jì)算機(jī)安安全。面對(duì)對(duì)愈演愈烈烈的計(jì)算機(jī)機(jī)安全問題題，傳統(tǒng)安安全理念很很難有所突突破，而可可信計(jì)算的的主要思想想是在硬件件平臺(tái)上引引入安全芯芯片，從而而將部分或或整個(gè)計(jì)算算平臺(tái)變?yōu)闉椤翱尚拧薄钡挠?jì)算平平臺(tái)。目前前主要研究究和探索的的問題包括括：基于TCP的訪問控制制、基于TCP的安全操作作系統(tǒng)、基基于TCP的安全中間間件、基于于TCP的安全應(yīng)用用等。信息安全技技術(shù)發(fā)展的的四大趨勢(shì)勢(shì)2.網(wǎng)絡(luò)化由網(wǎng)絡(luò)應(yīng)用用和普及引引發(fā)的技術(shù)術(shù)和應(yīng)用模模式的變革革，正在進(jìn)進(jìn)一步推動(dòng)動(dòng)信息安全全關(guān)鍵技術(shù)術(shù)的創(chuàng)新發(fā)發(fā)展，并引引發(fā)新技術(shù)術(shù)和應(yīng)用模模式的出現(xiàn)現(xiàn)。如安全全中間件，，安全管理理與安全監(jiān)監(jiān)控等都是是網(wǎng)絡(luò)化發(fā)發(fā)展所帶來(lái)來(lái)的必然的的發(fā)展方向向。網(wǎng)絡(luò)病病毒、垃圾圾信息防范范、網(wǎng)絡(luò)可可生存性、、網(wǎng)絡(luò)信任任等都是要要繼續(xù)研究究的領(lǐng)域。。信息安全技技術(shù)發(fā)展的的四大趨勢(shì)勢(shì)3.標(biāo)準(zhǔn)化安全技術(shù)術(shù)要走向向國(guó)際，，也要走走向應(yīng)用用，政府府、產(chǎn)業(yè)業(yè)界和學(xué)學(xué)術(shù)界等等必將更更加高度度重視信信息安全全標(biāo)準(zhǔn)的的研究與與制定，，如密碼碼算法類類標(biāo)準(zhǔn)(例如加密密算法、、簽名算算法、密密碼算法法接口)、安全認(rèn)認(rèn)證與授授權(quán)類標(biāo)標(biāo)準(zhǔn)(例如PKI、PMI、生物認(rèn)認(rèn)證-指紋、視視網(wǎng)膜)、安全評(píng)評(píng)估類標(biāo)標(biāo)準(zhǔn)(例如安全全評(píng)估準(zhǔn)準(zhǔn)則、方方法、規(guī)規(guī)范)、系統(tǒng)與與網(wǎng)絡(luò)類類安全標(biāo)標(biāo)準(zhǔn)(例如安全全體系結(jié)結(jié)構(gòu)、安安全操作作系統(tǒng)、、安全數(shù)數(shù)據(jù)庫(kù)、、安全路路由器、、可信計(jì)計(jì)算平臺(tái)臺(tái))、安全管管理類標(biāo)標(biāo)準(zhǔn)(例如防信信息遺漏漏、質(zhì)量量保證、、機(jī)房設(shè)設(shè)計(jì))等。PKI——PUBLICKEYINFRASTRUCTURE公鑰基礎(chǔ)礎(chǔ)設(shè)施PMI---PROJECTMANAGEMENTINSTITUTE美國(guó)項(xiàng)目目管理協(xié)協(xié)會(huì)（PMI指定了項(xiàng)項(xiàng)目管理理、項(xiàng)目目開發(fā)過過程的安安全策略略）信息安全技術(shù)術(shù)發(fā)展的四大大趨勢(shì)4.集成化集成化即從單單一功能的信信息安全技術(shù)術(shù)與產(chǎn)品，向向多種功能融融于某一個(gè)產(chǎn)產(chǎn)品，或者是是幾個(gè)功能相相結(jié)合的集成成化產(chǎn)品發(fā)展展。安全產(chǎn)品品呈硬件化/芯片化發(fā)展趨趨勢(shì)，這將帶帶來(lái)更高的安安全度與更高高的運(yùn)算速率率，也需要發(fā)發(fā)展更靈活的的安全芯片的的實(shí)現(xiàn)技術(shù)，，特別是密碼碼芯片的物理理防護(hù)機(jī)制。。因特網(wǎng)選擇的的幾種安全模模式目前，在因特特網(wǎng)應(yīng)用中采采取的防衛(wèi)安安全模式歸納納起來(lái)主要有有以下幾種。。1.無(wú)安全防衛(wèi)在因特網(wǎng)應(yīng)用用初期多數(shù)采采取此方式，，安全防衛(wèi)上上不采取任何何措施，只使使用隨機(jī)提供供的簡(jiǎn)單安全全防衛(wèi)措施。。這種方法是是不可取的。。因特網(wǎng)選擇的的幾種安全模模式2.模糊安全防衛(wèi)衛(wèi)采用這種方式式的網(wǎng)站總認(rèn)認(rèn)為自己的站站點(diǎn)規(guī)模小，，對(duì)外無(wú)足輕輕重，沒人知知道；即使知知道，黑客也也不會(huì)對(duì)其實(shí)實(shí)行攻擊。事事實(shí)上，許多多入侵者并不不是瞄準(zhǔn)特定定目標(biāo)，只是是想闖入盡可可能多的機(jī)器器，雖然它們們不會(huì)永遠(yuǎn)駐駐留在你的站站點(diǎn)上，但它們?yōu)榱搜谘谏w闖入你網(wǎng)網(wǎng)站的證據(jù)，，常常會(huì)對(duì)你網(wǎng)網(wǎng)站的有關(guān)內(nèi)內(nèi)容進(jìn)行破壞壞，從而給網(wǎng)網(wǎng)站帶來(lái)重大大損失。因特網(wǎng)選擇的的幾種安全模模式為此，各個(gè)站站點(diǎn)一般要進(jìn)進(jìn)行必要的登登記注冊(cè)。這這樣，一旦有有人使用服務(wù)務(wù)時(shí)，提供服服務(wù)的人知道道它從哪來(lái)，，但是這種站點(diǎn)點(diǎn)防衛(wèi)信息很很容易被發(fā)現(xiàn)現(xiàn)，例如登記記時(shí)會(huì)有站點(diǎn)點(diǎn)的軟、硬件件以及所用操操作系統(tǒng)的信信息，黑客就就能從這發(fā)現(xiàn)現(xiàn)安全漏洞，，同樣在站點(diǎn)點(diǎn)與其他站點(diǎn)點(diǎn)連機(jī)或向別別人發(fā)送信息息時(shí)，也很容容易被入侵者者獲得有關(guān)信信息，因此這這種模糊安全全防衛(wèi)方式也也是不可取的的。因特網(wǎng)選擇的的幾種安全模模式3.主機(jī)安全防衛(wèi)衛(wèi)這可能是最常常用的一種防防衛(wèi)方式，即即每個(gè)用戶對(duì)對(duì)自己的機(jī)器器加強(qiáng)安全防防衛(wèi)，盡可能能地避免那些些已知的可能能影響特定主主機(jī)安全的問問題，這是主主機(jī)安全防衛(wèi)衛(wèi)的本質(zhì)。主機(jī)安全防衛(wèi)衛(wèi)對(duì)小型網(wǎng)站站是很合適的的，但是，由于于環(huán)境的復(fù)雜雜性和多樣性性，例如操作作系統(tǒng)的版本本不同、配置置不同以及不不同的服務(wù)和和不同的子系系統(tǒng)等都會(huì)帶帶來(lái)各種安全全問題。即使使這些安全問問題都解決了了，主機(jī)防衛(wèi)衛(wèi)還要受到軟軟件本身缺陷陷的影響，有有時(shí)也缺少有有合適功能和和安全的軟件件。因特網(wǎng)選擇的的幾種安全模模式4.網(wǎng)絡(luò)安全防衛(wèi)衛(wèi)這是目前因特特網(wǎng)中各網(wǎng)站站所采取的安安全防衛(wèi)方式式，包括建立防防火墻來(lái)保護(hù)護(hù)內(nèi)部系統(tǒng)和和網(wǎng)絡(luò)、運(yùn)用用各種可靠的的認(rèn)證手段(如：一次性密密碼等)，對(duì)敏感數(shù)據(jù)據(jù)在網(wǎng)絡(luò)上傳傳輸時(shí)，采用用密碼保護(hù)的的方式進(jìn)行。。安全防衛(wèi)的技技術(shù)手段在因特網(wǎng)中，，信息安全主主要是通過計(jì)計(jì)算機(jī)安全和和信息傳輸安安全這兩個(gè)技技術(shù)環(huán)節(jié)，來(lái)來(lái)保證網(wǎng)絡(luò)中中各種信息的的安全。安全全防防衛(wèi)衛(wèi)的的技技術(shù)術(shù)手手段段1.計(jì)算算機(jī)機(jī)安安全全技技術(shù)術(shù)(1)健壯壯的的操操作作系系統(tǒng)統(tǒng)。。操操作作系系統(tǒng)統(tǒng)是是計(jì)計(jì)算算機(jī)機(jī)和和網(wǎng)網(wǎng)絡(luò)絡(luò)中中的的工工作作平平臺(tái)臺(tái)，，在選選用用操操作作系系統(tǒng)統(tǒng)時(shí)時(shí)，，應(yīng)應(yīng)注注意意軟軟件件工工具具齊齊全全和和豐豐富富、、縮縮放放性性強(qiáng)強(qiáng)等等因因素素，，如如果果有有很很多多版版本本可可供供選選擇擇，，應(yīng)應(yīng)選選用用戶戶群群最最少少的的那那個(gè)個(gè)版版本本，，這這樣樣使使入入侵侵者者用用各各種種方方法法攻攻擊擊計(jì)計(jì)算算機(jī)機(jī)的的可可能能性性減減少少，，另外外還還要要有有較較高高訪訪問問控控制制和和系系統(tǒng)統(tǒng)設(shè)設(shè)計(jì)計(jì)等等安安全全功功能能。。W2KS比winxp就有有較較高高的的訪訪問問控控制制能能力力!安全全防防衛(wèi)衛(wèi)的的技技術(shù)術(shù)手手段段(2)容錯(cuò)錯(cuò)技技術(shù)術(shù)。。盡盡量量使使計(jì)計(jì)算算機(jī)機(jī)具具有有較較強(qiáng)強(qiáng)的的容容錯(cuò)錯(cuò)能能力力，，如如組組件件全全冗冗余余、、沒沒有有單單點(diǎn)點(diǎn)硬硬件件失失效效、、動(dòng)動(dòng)態(tài)態(tài)系系統(tǒng)統(tǒng)域域、、動(dòng)動(dòng)態(tài)態(tài)重重組組、、錯(cuò)錯(cuò)誤誤校校正正互互連連；；通過錯(cuò)錯(cuò)誤校校正碼碼和奇奇偶校校驗(yàn)的的結(jié)合合保護(hù)護(hù)數(shù)據(jù)據(jù)和地地址總總線；；在線增增減域域或更更換系系統(tǒng)組組件，，創(chuàng)建建或刪刪除系系統(tǒng)域域而不不干擾擾系統(tǒng)統(tǒng)應(yīng)用用的進(jìn)進(jìn)行，，也可可以采采取雙機(jī)備備份同步校校驗(yàn)方方式，，保證證網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)在一一個(gè)系系統(tǒng)由由于意意外而而崩潰潰時(shí)，，計(jì)算算機(jī)自自動(dòng)切切換以以確保保正常常運(yùn)轉(zhuǎn)轉(zhuǎn)，保保證各各項(xiàng)數(shù)數(shù)據(jù)信信息的的完整整性和和一致致性。。安全防衛(wèi)的的技術(shù)手段段2.防火墻技術(shù)術(shù)這是一種有有效的網(wǎng)絡(luò)絡(luò)安全機(jī)制制，用于確確定哪些內(nèi)內(nèi)部服務(wù)允允許外部訪訪問，以及及允許哪些些外部服務(wù)務(wù)訪問內(nèi)部部服務(wù)，其其準(zhǔn)則就是：一切切未被允許許的就是禁禁止的；一一切未被禁禁止的就是是允許的，，防火墻有有下列幾種種類型：安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段(1)包過濾技技術(shù)。通通常安裝裝在路由由器上，，對(duì)數(shù)據(jù)據(jù)進(jìn)行選選擇，它它以IP包信息為為基礎(chǔ)，，對(duì)IP源地址，，IP目標(biāo)地址址、封裝裝協(xié)議(如TCP/UDP/ICMP/IPtunnel)、端口號(hào)號(hào)等進(jìn)行行篩選，，在OSI協(xié)議的網(wǎng)網(wǎng)絡(luò)層進(jìn)進(jìn)行。安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段(2)代理服務(wù)務(wù)技術(shù)。。通常由由二部分分構(gòu)成，，服務(wù)端端程序和和客戶端端程序。?？蛻舳顺坛绦蚺c中中間節(jié)點(diǎn)點(diǎn)(ProxyServer)連接，中中間節(jié)點(diǎn)點(diǎn)與要訪訪問的外外部服務(wù)務(wù)器實(shí)際際連接，，與包過過濾防火火墻的不不同之處處在于內(nèi)內(nèi)部網(wǎng)和和外部網(wǎng)網(wǎng)之間不不存在直直接連接接，同時(shí)時(shí)提供審審計(jì)和日日志服務(wù)務(wù)。安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段(3)復(fù)合型技技術(shù)。把把包過濾濾和代理理服務(wù)兩兩種方法法結(jié)合起起來(lái)，可可形成新新的防火火墻，所所用主機(jī)機(jī)稱為堡堡壘主機(jī)機(jī)，負(fù)責(zé)責(zé)提供代代理服務(wù)務(wù)。(4)審計(jì)技術(shù)術(shù)。通過過對(duì)網(wǎng)絡(luò)絡(luò)上發(fā)生生的各種種訪問過過程進(jìn)行行記錄和和產(chǎn)生日日志，并并對(duì)日志志進(jìn)行統(tǒng)統(tǒng)計(jì)分析析，從而而對(duì)資源源使用情情況進(jìn)行行分析，，對(duì)異常?，F(xiàn)象進(jìn)進(jìn)行追蹤蹤監(jiān)視。。安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段(5)路由器加加密技術(shù)術(shù)。加密密路由器器對(duì)通過過路由器器的信息息流進(jìn)行行加密和和壓縮，，然后通通過外部部網(wǎng)絡(luò)傳傳輸?shù)侥磕康亩诉M(jìn)進(jìn)行解壓壓縮和解解密。安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段3.信息確認(rèn)認(rèn)技術(shù)安全系統(tǒng)統(tǒng)的建立立依賴于于系統(tǒng)用用戶之間間存在的的各種信信任關(guān)系系，目前前在安全全解決方方案中，，多采用用兩種確確認(rèn)方式式，一種是第三方方信任，，另一種是直接信信任，以以防止信信息被非非法竊取取或偽造造。安全防衛(wèi)衛(wèi)的技術(shù)術(shù)手段可靠的信信息確認(rèn)認(rèn)技術(shù)應(yīng)應(yīng)具有：：身份合合法的用用戶可以以校驗(yàn)所所接收的的信息是是否真實(shí)實(shí)可靠，，并且十十分清楚楚發(fā)送方方是誰(shuí)；；發(fā)送信信息者必必須是合合法身份份用戶，，任何人人不可能能冒名頂頂替?zhèn)卧煸煨畔?；；出現(xiàn)異異常時(shí)，，可由認(rèn)認(rèn)證系統(tǒng)統(tǒng)進(jìn)行處處理。目前，信息確確認(rèn)技術(shù)已較較成熟，如信信息認(rèn)證，用用戶認(rèn)證和密密鑰認(rèn)證，數(shù)數(shù)字簽名等，，為信息安全全提供了可靠靠保障。安全防衛(wèi)的技技術(shù)手段4.密鑰安全技術(shù)術(shù)網(wǎng)絡(luò)安全中的的加密技術(shù)種種類繁多，它它是保障信息息安全最關(guān)鍵鍵和最基本的的技術(shù)手段和和理論基礎(chǔ)，，常用的加密密技術(shù)分為軟件加密和硬件加密。信息加密的的方法有對(duì)稱密鑰加密密和非對(duì)稱加密，兩種方法各各有所長(zhǎng)。安全防衛(wèi)的技技術(shù)手段(1)對(duì)稱密鑰加密密：在此方法法中，加密和和解密使用同同樣的密鑰，，目前廣泛采采用的密鑰加加密標(biāo)準(zhǔn)是DES(dataencryptionsystem)算法，其優(yōu)勢(shì)在于加密解密密速度快、算算法易實(shí)現(xiàn)、、安全性好.缺點(diǎn)是密鑰長(zhǎng)度短短、密碼空間間小，“窮舉舉”方式進(jìn)攻攻的代價(jià)小，，它的機(jī)制就就是采取初始始置換、密鑰鑰生成、乘積積變換、逆初初始置換等幾幾個(gè)環(huán)節(jié)。安全防衛(wèi)的技技術(shù)手段(2)非對(duì)稱密鑰加加密：在此方方法中加密和和解密使用不不同密鑰，即即公開密鑰和和秘密密鑰，，公開密鑰用用于機(jī)密性信信息的加密；；秘密密鑰用用于對(duì)加密信信息的解密。。一般采用RSA(三個(gè)人名)算法，優(yōu)點(diǎn)在在于易實(shí)現(xiàn)密密鑰管理，便便于數(shù)字簽名名。不足是算算法較復(fù)雜，，加密解密花花費(fèi)時(shí)間長(zhǎng)。。安全防衛(wèi)的技技術(shù)手段在安全防范的的實(shí)際應(yīng)用中中，尤其是信信息量較大，，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)復(fù)雜時(shí)，采取取對(duì)稱密鑰加密密技術(shù)，為了防范密密鑰受到各種種形式的黑客客攻擊，如基基于因特網(wǎng)的的“聯(lián)機(jī)運(yùn)算算”，即利用用許多臺(tái)計(jì)算算機(jī)采用“窮窮舉”方式進(jìn)進(jìn)行計(jì)算來(lái)破破譯密碼，密密鑰的長(zhǎng)度越越長(zhǎng)越好。目前一般密鑰鑰的長(zhǎng)度為64位、1024位，實(shí)踐證明明它是安全的的，同時(shí)也滿滿足計(jì)算機(jī)的的速度。2048位的密鑰長(zhǎng)度度，也已開始始在某些軟件件中應(yīng)用。安全防衛(wèi)的技技術(shù)手段5.病毒防范技術(shù)術(shù)計(jì)算機(jī)病毒實(shí)實(shí)際上就是一一種在計(jì)算機(jī)機(jī)系統(tǒng)運(yùn)行過過程中能夠?qū)崒?shí)現(xiàn)傳染和侵侵害計(jì)算機(jī)系系統(tǒng)的功能程序。在系統(tǒng)穿透或或違反授權(quán)攻攻擊成功后，，攻擊者通常常要在系統(tǒng)中中植入一種能能力，為攻擊擊系統(tǒng)、網(wǎng)絡(luò)絡(luò)提供方便。。如向系統(tǒng)中中滲入病毒、、蛀蟲、特洛洛依木馬、邏邏輯炸彈；或或通過竊聽、、冒充等方式式來(lái)破壞系統(tǒng)統(tǒng)正常工作。。從因特網(wǎng)上下下載軟件和使使用盜版軟件件是病毒的主主要來(lái)源。安全防衛(wèi)的技技術(shù)手段針對(duì)病毒的嚴(yán)嚴(yán)重性，我們們應(yīng)提高防范范意識(shí)，做到到：所有軟件必須須經(jīng)過嚴(yán)格審審查，經(jīng)過相相應(yīng)的控制程程序后才能使使用；采用防防病毒軟件，，定時(shí)對(duì)系統(tǒng)統(tǒng)中的所有工工具軟件、應(yīng)應(yīng)用軟件進(jìn)行行檢測(cè)，防止止各種病毒的的入侵。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與與思考”的目目的是：(1)熟悉信息安全全技術(shù)的基本本概念，了解解信息安全技技術(shù)的基本內(nèi)內(nèi)容。(2)通過因特網(wǎng)搜搜索與瀏覽，，了解網(wǎng)絡(luò)環(huán)環(huán)境中主流的的信息安全技技術(shù)網(wǎng)站，掌掌握通過專業(yè)業(yè)網(wǎng)站不斷豐豐富信息安全全技術(shù)最新知知識(shí)的學(xué)習(xí)方方法，嘗試通通過專業(yè)網(wǎng)站站的輔助與支支持來(lái)開展信信息安全技術(shù)術(shù)應(yīng)用實(shí)踐。。P1~p2P1~p2p2窗前明月光，，疑是地上霜霜，舉頭望明月，，低頭思故鄉(xiāng)鄉(xiāng)。密密碼：CHYIJUDI1.2信息系統(tǒng)的物物理安全物理安全也稱稱實(shí)體安全(physicalsecurity)，是指包括環(huán)環(huán)境、設(shè)備和和記錄介質(zhì)在在內(nèi)的所有支支持信息系統(tǒng)統(tǒng)運(yùn)行的硬件件的總體安全全，是信息系系統(tǒng)安全、可可靠、不間斷斷運(yùn)行的基本本保證。物理安全保保護(hù)計(jì)算機(jī)機(jī)設(shè)備、設(shè)設(shè)施(網(wǎng)絡(luò)及通信信線路)免遭地震、、水災(zāi)、火火災(zāi)、有害害氣體和其其他環(huán)境事事故(如電磁污染染等)破壞的措施施和過程，，主要考慮慮的問題是是環(huán)境、場(chǎng)場(chǎng)地和設(shè)備備的安全及及實(shí)體訪問問控制和應(yīng)應(yīng)急處置計(jì)計(jì)劃等。物理安全的的內(nèi)容物理安全主主要包括環(huán)環(huán)境安全、、電源系統(tǒng)統(tǒng)安全、設(shè)設(shè)備安全和和通信線路路安全等。。物理安全的的內(nèi)容1.環(huán)境安全環(huán)境安全是是對(duì)系統(tǒng)所所在環(huán)境的的安全保護(hù)護(hù)，如區(qū)域域保護(hù)和災(zāi)災(zāi)難保護(hù)等等。計(jì)算機(jī)機(jī)網(wǎng)絡(luò)通信信系統(tǒng)的運(yùn)運(yùn)行環(huán)境應(yīng)應(yīng)按照國(guó)家家有關(guān)標(biāo)準(zhǔn)準(zhǔn)設(shè)計(jì)實(shí)施施，應(yīng)具備備消防報(bào)警警、安全照照明、不間間斷供電、、溫濕度控控制系統(tǒng)和和防盜報(bào)警警等，以保保護(hù)系統(tǒng)免免受水、火火、有害氣氣體、地震震、靜電等等的危害。。物理理安安全全的的內(nèi)內(nèi)容容2.電源源系系統(tǒng)統(tǒng)安安全全電源源在在信信息息系系統(tǒng)統(tǒng)中中占占有有重重要要地地位位，，主主要要包包括括電電力力能能源源供供應(yīng)應(yīng)、、輸輸電電線線路路安安全全、、保保持持電電源源的的穩(wěn)穩(wěn)定定性性等等。。3.設(shè)備備安安全全要保保證證硬硬件件設(shè)設(shè)備備隨隨時(shí)時(shí)處處于于良良好好的的工工作作狀狀態(tài)態(tài)，，建建立立健健全全使使用用管管理理規(guī)規(guī)章章制制度度，，建建立立設(shè)設(shè)備備運(yùn)運(yùn)行行日日志志。。物理安全全的內(nèi)容容4.媒體安全全媒體安全全包括媒媒體數(shù)據(jù)據(jù)的安全全及媒體體本身的的安全。。存儲(chǔ)媒媒體本身身的安全全主要是是安全保保管、防防盜、防防毀和防防病毒；；數(shù)據(jù)安安全是指指防止數(shù)數(shù)據(jù)被非非法復(fù)制制和非法法銷毀等等。物理安安全的的內(nèi)容容5.通信線線路安安全通信設(shè)設(shè)備和和通信信線路路的裝裝置安安裝要要穩(wěn)固固牢靠靠，具具有一一定對(duì)對(duì)抗自自然因因素和和人為為因素素破壞壞的能能力，，包括括防止止電磁磁信息息的泄泄漏、、線路路截獲獲，以以及抗抗電磁磁干擾擾等。。物理安全的的內(nèi)容具體來(lái)說(shuō)，，物理安全全包括以下下主要內(nèi)容容：(1)計(jì)算機(jī)機(jī)房房的場(chǎng)地、、環(huán)境及各各種因素對(duì)對(duì)計(jì)算機(jī)設(shè)設(shè)備的影響響。(2)計(jì)算機(jī)機(jī)房房的安全技技術(shù)要求。。(3)計(jì)算機(jī)的實(shí)實(shí)體訪問控控制。(4)計(jì)算機(jī)設(shè)備備及場(chǎng)地的的防火與防防水。(5)計(jì)算機(jī)系統(tǒng)統(tǒng)的靜電防防護(hù)。物理安全的的內(nèi)容(6)計(jì)算機(jī)設(shè)備備及軟件、、數(shù)據(jù)的防防盜、防破破壞措施。。(7)計(jì)算機(jī)中重重要信息的的磁介質(zhì)的的處理、存存儲(chǔ)和處理理手續(xù)的有有關(guān)問題。。物理安全的的內(nèi)容與物理安全全相關(guān)的國(guó)國(guó)家標(biāo)準(zhǔn)主主要有：(1)GB/T2887-2000《電子計(jì)算機(jī)機(jī)場(chǎng)地通用用規(guī)范》。該標(biāo)準(zhǔn)由由主題內(nèi)容容與適用范范圍、引用用標(biāo)準(zhǔn)、術(shù)術(shù)語(yǔ)、計(jì)算算機(jī)場(chǎng)地技技術(shù)要求、、測(cè)試方法法等五個(gè)部部分和一個(gè)個(gè)附錄組成成。物理安全的的內(nèi)容(2)GB/T9361-1988《計(jì)算算站站場(chǎng)場(chǎng)地地安安全全要要求求》。該該標(biāo)標(biāo)準(zhǔn)準(zhǔn)由由中中華華人人民民共共和和國(guó)國(guó)電電子子工工業(yè)業(yè)部部批批準(zhǔn)準(zhǔn)并并于于1988年10月1日正正式式實(shí)實(shí)施施。。該該標(biāo)標(biāo)準(zhǔn)準(zhǔn)由由適適用用范范圍圍、、術(shù)術(shù)語(yǔ)語(yǔ)、、計(jì)計(jì)算算機(jī)機(jī)機(jī)機(jī)房房的的安安全全分分類類、、場(chǎng)場(chǎng)地地的的選選擇擇、、結(jié)結(jié)構(gòu)構(gòu)防防火火、、計(jì)計(jì)算算機(jī)機(jī)機(jī)機(jī)房房?jī)?nèi)內(nèi)部部裝裝修修、、計(jì)計(jì)算算機(jī)機(jī)機(jī)機(jī)房房專專用用設(shè)設(shè)備備、、火火災(zāi)災(zāi)報(bào)報(bào)警警及及消消防防設(shè)設(shè)施施、、其其他他防防護(hù)護(hù)和和安安全全管管理理共共9個(gè)部分分組成成。物理安安全的的內(nèi)容容(3)GB/T14715-1993《《信息技技術(shù)設(shè)設(shè)備用用不間間斷電電源通通用技技術(shù)條條件》。該標(biāo)標(biāo)準(zhǔn)主主要針針對(duì)UPS系統(tǒng)提提出相相關(guān)的的技術(shù)術(shù)測(cè)試試要求求，含含輸出出電壓壓、輸輸出頻頻率、、電源源效率率、過過載能能力、、備用用時(shí)間間及切切換時(shí)時(shí)間共共6個(gè)項(xiàng)目目的測(cè)測(cè)試標(biāo)標(biāo)準(zhǔn)及及方法法。物理安安全的的內(nèi)容容(4)GB50174-1993《《電子計(jì)計(jì)算機(jī)機(jī)機(jī)房房設(shè)計(jì)計(jì)規(guī)范范》。該標(biāo)標(biāo)準(zhǔn)由由國(guó)家家技術(shù)術(shù)監(jiān)督督局和和中華華人民民共和和國(guó)建建設(shè)部部聯(lián)合合發(fā)布布并于于1993年9月1日正式式實(shí)施施。標(biāo)標(biāo)準(zhǔn)由由總則則、機(jī)機(jī)房位位置及及設(shè)備備布置置、環(huán)環(huán)境條條件、、建筑筑、空空氣調(diào)調(diào)節(jié)、、電氣氣技術(shù)術(shù)、給給水排排水、、消防防與安安全共共八章章和兩兩個(gè)附附錄組組成。。計(jì)算算機(jī)機(jī)機(jī)機(jī)房房建建設(shè)設(shè)至至少少應(yīng)應(yīng)遵遵循循GB/T2887-2000和GB/T9361-1988，滿滿足足防防火火、、防防磁磁、、防防水水、、防防盜盜、、防防電電擊擊、、防防蟲蟲害害等等要要求求，，并并配配備備相相應(yīng)應(yīng)的的設(shè)設(shè)備備。。環(huán)境境安安全全技技術(shù)術(shù)環(huán)境境安安全全技技術(shù)術(shù)涵涵蓋蓋的的范范圍圍很很廣廣泛泛。。其其中中：：(1)安全全保保衛(wèi)衛(wèi)技技術(shù)術(shù)措措施施包包括括防防盜盜報(bào)報(bào)警警、、實(shí)實(shí)時(shí)時(shí)監(jiān)監(jiān)控控、、安安全全門門禁禁等等。。(2)計(jì)算機(jī)機(jī)機(jī)房的溫溫度、濕濕度等環(huán)環(huán)境條件件保持技技術(shù)可以以通過加加裝通風(fēng)風(fēng)設(shè)備、、排煙設(shè)設(shè)備、專專業(yè)空調(diào)調(diào)設(shè)備來(lái)來(lái)實(shí)現(xiàn)。。環(huán)境安全技技術(shù)(3)計(jì)算機(jī)機(jī)房房的用電安安全技術(shù)主主要包括不不同用途電電源分離技技術(shù)、電源源和設(shè)備有有效接地技技術(shù)、電源源過載保護(hù)護(hù)技術(shù)和防防雷擊技術(shù)術(shù)等。(4)計(jì)算機(jī)機(jī)房房安全管理理技術(shù)是指指制定嚴(yán)格格的計(jì)算機(jī)機(jī)機(jī)房工作作管理制度度、并要求求所有進(jìn)入入機(jī)房的人人員嚴(yán)格遵遵守管理制制度，將制制度落到實(shí)實(shí)處。環(huán)境安全技技術(shù)根據(jù)GB/T9361-1988的規(guī)定，計(jì)計(jì)算機(jī)機(jī)房房環(huán)境的安安全等級(jí)可可分為A、B和C三個(gè)基本類類別。其中中A類機(jī)房對(duì)計(jì)計(jì)算機(jī)機(jī)房房的安全有有嚴(yán)格的要要求，有完完善的計(jì)算算機(jī)機(jī)房安安全措施；；B類機(jī)房對(duì)計(jì)計(jì)算機(jī)機(jī)房房的安全有有較嚴(yán)格的的要求，有有較完善的的計(jì)算機(jī)機(jī)機(jī)房安全措措施；C類機(jī)房對(duì)計(jì)計(jì)算機(jī)機(jī)房房的安全有有基本的要要求，有基基本的計(jì)算算機(jī)機(jī)房安安全措施。。見表1.2所示。電源系統(tǒng)安安全技術(shù)電源系統(tǒng)安安全包括供供電系統(tǒng)安安全、防靜靜電措施和和接地與防防雷要求等等。電源系統(tǒng)安安全技術(shù)1.供電系統(tǒng)安安全電源系統(tǒng)電電壓的波動(dòng)動(dòng)、浪涌電電流和突然然斷電等意意外情況的的發(fā)生，可可能引起計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)存儲(chǔ)信息息的丟失、、存儲(chǔ)設(shè)備備的損壞等等情況的發(fā)發(fā)生。因此此，電源系系統(tǒng)的穩(wěn)定定可靠是計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)物理安全全的一個(gè)重重要組成部部分，是計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)正常運(yùn)行行的先決條條件。電源系統(tǒng)安安全技術(shù)GB/T2887-2000和GB/T936l-1988都對(duì)機(jī)房安安全供電做做出了明確確的要求。。例如，GB/T2887-2000將供電方式式分為三類類：一類供電：：需要建立立不間斷供供電系統(tǒng)。。二類供電：：需要建立立帶備用的的供電系統(tǒng)統(tǒng)。三類供電：：按一般用用戶供電考考慮。電源系統(tǒng)安安全不僅包包括外部供供電線路的的安全，更更重要的是是指室內(nèi)電電源設(shè)備的的安全。電源系統(tǒng)安安全技術(shù)(1)電力能源的的可靠供應(yīng)應(yīng)。為了確確保電力能能源的可靠靠供應(yīng)，以以防外部供供電線路發(fā)發(fā)生意外故故障，必須須有詳細(xì)的的應(yīng)急預(yù)案案和可靠的的應(yīng)急設(shè)備備。應(yīng)急設(shè)設(shè)備主要包包括：備用發(fā)電機(jī)機(jī)、大容量量蓄電池和和UPS等。除了要求這這些應(yīng)急電電源設(shè)備具具有高可靠靠性外，還還要求它們們具有較高高的自動(dòng)化化程度和良良好的可管管理性，以以便在意外外情況發(fā)生生時(shí)可以保保證電源的的可靠供應(yīng)應(yīng)。電源系統(tǒng)安安全技術(shù)(2)電源對(duì)用電電設(shè)備安全全的潛在威威脅。這種種威脅包括括脈動(dòng)與噪噪聲、電磁磁干擾等。。電磁干擾擾會(huì)產(chǎn)生電電磁兼容性性問題，當(dāng)當(dāng)電源的電電磁干擾比比較強(qiáng)時(shí)，，其產(chǎn)生的的電磁場(chǎng)就就會(huì)影響到到硬盤等磁磁性存儲(chǔ)介介質(zhì)，久而而久之就會(huì)會(huì)使存儲(chǔ)的的數(shù)據(jù)受到到損害。電源系統(tǒng)安安全技術(shù)2.防靜電措施施不同物體間間的相互摩摩擦、接觸觸會(huì)產(chǎn)生能能量不大但但電壓非常常高的靜電電。如果靜靜電不能及及時(shí)釋放，，就可能產(chǎn)產(chǎn)生火花，，容易造成成火災(zāi)或損損壞芯片等等意外事故故。計(jì)算機(jī)系統(tǒng)統(tǒng)的CPU、ROM、RAM等關(guān)鍵部件件大都采用用MOS工藝的大規(guī)規(guī)模集成電電路，對(duì)靜靜電極為敏敏感，容易易因靜電而而損壞。電源系統(tǒng)安安全技術(shù)機(jī)房的內(nèi)裝裝修材料一一般應(yīng)避免免使用掛毯、、地毯等吸吸塵、容易易產(chǎn)生靜電電的材料，，而應(yīng)采用用乙烯材料料。為了防靜靜電，機(jī)房房一般要安安裝防靜電電地板，并并將地板和和設(shè)備接地地，以便將將設(shè)備內(nèi)積積聚的靜電電迅速釋放放到大地：：機(jī)房?jī)?nèi)的的專用工作作臺(tái)或重要要的操作臺(tái)臺(tái)應(yīng)有接地地平板。此此外，工作作人員的服服裝和鞋最最好用低阻阻值的材料料制作，機(jī)機(jī)房?jī)?nèi)應(yīng)保保持一定濕濕度，特別別是在于燥燥季節(jié)應(yīng)適適當(dāng)增加空空氣濕度，，以免因干干燥而產(chǎn)生生靜電。電源系統(tǒng)安安全技術(shù)3.接地與防雷雷要求接地與防雷雷是保護(hù)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)系統(tǒng)和工工作場(chǎng)所安安全的重要要安全措施施。接地可可以為計(jì)算算機(jī)系統(tǒng)的的數(shù)字電路路提供一個(gè)個(gè)穩(wěn)定的0V參考電位，，從而可以以保證設(shè)備備和人身的的安全，同同時(shí)也是防防止電磁信信息泄漏的的有效手段段。電源系統(tǒng)安安全技術(shù)機(jī)器設(shè)備應(yīng)應(yīng)有專用地線，機(jī)房本身身有避雷設(shè)施，包括通信信設(shè)備和電電源設(shè)備有有防雷擊的的技術(shù)設(shè)施施，機(jī)房的的內(nèi)部防雷雷主要采取取屏蔽、等等電位連接接、合理布布線或防閃閃器、過電電壓保護(hù)等等技術(shù)措施施以及攔截截、屏蔽、、均壓、分分流、接地地等方法，，達(dá)到防雷雷的目的。。機(jī)房的設(shè)設(shè)備本身也也應(yīng)有避雷雷裝置和設(shè)設(shè)施。電磁防護(hù)與與設(shè)備安全全技術(shù)電磁防護(hù)與與設(shè)備安全全包括硬件件設(shè)備的維維護(hù)和管理理、電磁兼兼容和電磁磁輻射的防防護(hù)以及信信息存儲(chǔ)媒媒體的安全全管理等內(nèi)內(nèi)容。電磁防護(hù)與與設(shè)備安全全技術(shù)1.硬件設(shè)備的的維護(hù)和管管理計(jì)算機(jī)信息息網(wǎng)絡(luò)系統(tǒng)統(tǒng)的硬件設(shè)設(shè)備一般價(jià)價(jià)格昂貴，，一旦被損損壞又不能能及時(shí)修復(fù)復(fù)，不僅會(huì)會(huì)造成經(jīng)濟(jì)濟(jì)損失，而而且可能導(dǎo)導(dǎo)致整個(gè)系系統(tǒng)癱瘓，，產(chǎn)生嚴(yán)重重的不良影影響。因此此，必須加加強(qiáng)對(duì)計(jì)算算機(jī)信息系系統(tǒng)硬件設(shè)設(shè)備的使用用管理，堅(jiān)持做好硬硬件設(shè)備的的日常維護(hù)護(hù)和保養(yǎng)工工作。電磁防護(hù)與與設(shè)備安全全技術(shù)2.電磁兼容和和電磁輻射射的防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)系統(tǒng)的各各種設(shè)備都都屬于電子子設(shè)備，在在工作時(shí)都都不可避免免地會(huì)向外外輻射電磁磁波，同時(shí)時(shí)也會(huì)受到到其他電子子設(shè)備的電電磁波干擾擾，當(dāng)電磁磁干擾達(dá)到到一定的程程度就會(huì)影影響設(shè)備的的正常工作作。電磁防護(hù)與設(shè)設(shè)備安全技術(shù)術(shù)為保證計(jì)算機(jī)機(jī)網(wǎng)絡(luò)系統(tǒng)的的物理安全，，除在網(wǎng)絡(luò)規(guī)規(guī)劃和場(chǎng)地、、環(huán)境等方面面進(jìn)行防護(hù)之之外，還要防防止數(shù)據(jù)信息息在空間中的的擴(kuò)散。為此此，通常是在在物理上采取取一定的防護(hù)護(hù)措施，以減減少或干擾擴(kuò)擴(kuò)散到空間中中電磁信號(hào)。。政府、軍隊(duì)隊(duì)、金融機(jī)構(gòu)構(gòu)在構(gòu)建信息息中心時(shí)，電磁輻射防擴(kuò)擴(kuò)將成為首先要要解決的問題題。電磁防護(hù)與設(shè)設(shè)備安全技術(shù)術(shù)3.信息存儲(chǔ)媒體體的安全管理理計(jì)算機(jī)網(wǎng)絡(luò)系系統(tǒng)的信息要要存儲(chǔ)在某種種媒體上，常常用的存儲(chǔ)媒媒體有磁盤、、磁帶、打印印紙、光盤等等：對(duì)存儲(chǔ)媒媒體的安全管管理主要包括括以下方面：：(1)存放有業(yè)務(wù)數(shù)數(shù)據(jù)或程序的的磁盤、磁帶帶或光盤，應(yīng)應(yīng)視同文字記記錄妥善保管管。必須注意意防磁、防潮潮、防火、防防盜，必須垂垂直放置。電磁防護(hù)與設(shè)設(shè)備安全技術(shù)術(shù)(2)對(duì)硬盤上的數(shù)數(shù)據(jù)要建立有有效的級(jí)別、、權(quán)限，并嚴(yán)嚴(yán)格管理，必必要時(shí)要對(duì)數(shù)數(shù)據(jù)進(jìn)行加密密，以確保硬硬盤數(shù)據(jù)的安安全。(3)存放業(yè)務(wù)數(shù)據(jù)據(jù)或程序的磁磁盤、磁帶或或光盤，管理必須落實(shí)實(shí)到人，并分類建立立登記簿、記記錄編號(hào)、名名稱、用途、、規(guī)格、制作作日期、有效效期、使用者者、批準(zhǔn)者等等信息。電磁防護(hù)與設(shè)設(shè)備安全技術(shù)術(shù)(4)對(duì)存放有重要要信息的磁盤盤、磁帶、光光盤，要備份份兩份并分兩處保管。(5)打印有業(yè)務(wù)數(shù)數(shù)據(jù)或程序的的打印紙，要要視同檔案進(jìn)進(jìn)行管理。(6)凡超過數(shù)據(jù)保保存期的磁盤盤、磁帶、光光盤，必須經(jīng)經(jīng)過特殊的數(shù)數(shù)據(jù)清除處理理。電磁防護(hù)與設(shè)設(shè)備安全技術(shù)術(shù)(7)凡不能正常記記錄數(shù)據(jù)的磁磁盤、磁帶、、光盤，必須須經(jīng)過測(cè)試確確認(rèn)后由專人人進(jìn)行銷毀，，并做好登記記工作。(8)對(duì)需要長(zhǎng)期保保存的有效數(shù)數(shù)據(jù)，應(yīng)在磁磁盤、磁帶、、光盤的質(zhì)量量保證期內(nèi)進(jìn)進(jìn)行轉(zhuǎn)儲(chǔ)，轉(zhuǎn)轉(zhuǎn)儲(chǔ)時(shí)應(yīng)確保保內(nèi)容正確。。通信線路安全全技術(shù)盡管從網(wǎng)絡(luò)通通信線路上提提取信息所需需要的技術(shù)比比直接從通信信終端獲取數(shù)數(shù)據(jù)的技術(shù)要要高幾個(gè)數(shù)量量級(jí)，但以目目前的技術(shù)水水平也是完全全有可能實(shí)現(xiàn)現(xiàn)的。通信線路安全全技術(shù)用一種簡(jiǎn)單(但很昂貴)的高技術(shù)加壓壓電纜，可以以獲得通信線線路上的物理理安全。應(yīng)用用這—技術(shù)，通信電電纜被密封在在塑料套管中中，并在線纜的兩兩端充氣加壓壓。線上連接了了帶有報(bào)警器器的監(jiān)視器，，用來(lái)測(cè)量壓壓力。如果壓壓力下降，則則意味電纜可可能被破壞了了，技術(shù)人員員還可以進(jìn)一一步檢測(cè)出破破壞點(diǎn)的位置置，以便及時(shí)時(shí)進(jìn)行修復(fù)。。加壓電纜屏屏蔽在波紋鋁鋁鋼絲網(wǎng)中，，幾乎沒有電電磁輻射，從從而大大增強(qiáng)強(qiáng)了通過通信信線路竊聽的的難度。通信線路安全全技術(shù)光纖通信線被被認(rèn)為是不可可搭線竊聽的的，其斷破處處的傳輸速度度會(huì)變得極其其緩慢而立即即會(huì)被檢測(cè)到到。光纖沒有有電磁輻射，，所以也不能能用電磁感應(yīng)應(yīng)竊密。但是是，光纖通信信對(duì)最大長(zhǎng)度度有限制，目目前網(wǎng)絡(luò)覆蓋蓋范圍半徑約約100km，大于這一長(zhǎng)度度的光纖系統(tǒng)統(tǒng)必須定期地地放大(復(fù)制)信號(hào)。這就需要將將信號(hào)轉(zhuǎn)換成成電脈沖，然然后再恢復(fù)成成光脈沖，繼繼續(xù)通過另一一條線路傳送送。通信線路安全全技術(shù)完成這一操作作的設(shè)備(復(fù)制器)是光纖通信系系統(tǒng)的安全薄薄弱環(huán)節(jié)，因因?yàn)樾盘?hào)可能能在這一環(huán)節(jié)節(jié)被搭線竊聽聽。有兩個(gè)辦辦法可解決這這一問題：距距離大于最大大長(zhǎng)度限制的的系統(tǒng)之間，，不采用光纖纖線通信；或或加強(qiáng)復(fù)制器器的安全，如如采用加壓電纜、警報(bào)系統(tǒng)和和加強(qiáng)警衛(wèi)等等措施。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與與思考”的目目的是：(1)熟悉物理安全全技術(shù)的基本本概念和基本本內(nèi)容。(2)通過因特網(wǎng)搜搜索與瀏覽，，掌握通過專專業(yè)網(wǎng)站不斷斷豐富物理安安全技術(shù)最新新知識(shí)的方法法。1.3Windows系統(tǒng)管理與安安全設(shè)置在Windows“控制面板”(見圖1.2)的“管理工具具”選項(xiàng)中集集成了許多系系統(tǒng)管理工具具，利用這些些工具，用戶戶和管理員可可以很容易地地對(duì)它們操作作和使用，方方便地實(shí)現(xiàn)各各種系統(tǒng)維護(hù)護(hù)和管理功能能。圖1.2WindowsXP的“控制面板板”系統(tǒng)管理默認(rèn)情況下，，只有一些常常用工具(如服務(wù)、計(jì)算算機(jī)管理、事事件查看器、、數(shù)據(jù)源(ODBC)、性能和組件件服務(wù)等)隨Windows系統(tǒng)的安裝而而安裝，見圖圖1.3所示。圖1.3WindowsXP的管理工具系統(tǒng)管理(1)服務(wù)：?jiǎn)?dòng)和和停止由Windows系統(tǒng)提供的各各項(xiàng)服務(wù)。(2)計(jì)算機(jī)管理器器：管理磁盤盤以及使用其其他系統(tǒng)工具具來(lái)管理本地地或遠(yuǎn)程計(jì)算算機(jī)。系統(tǒng)管理(3)事件查看器：：顯示來(lái)自于于Windows和其他程序的的監(jiān)視與排錯(cuò)錯(cuò)信息。例如如，在“系統(tǒng)統(tǒng)日志”中包包含各種系統(tǒng)統(tǒng)組件記錄的的事件，如使使用驅(qū)動(dòng)器失失敗或加載其其他系統(tǒng)組件件；“安全日日志”中包含含有效與無(wú)效效的登錄嘗試試及與資源使使用有關(guān)的事事件，如刪除除文件或修改改設(shè)置等，本本地計(jì)算機(jī)上上的安全日志志只有本機(jī)用用戶才能查看看；“應(yīng)用程程序日志”中中包括由應(yīng)用用程序記錄的的事件等等。。系統(tǒng)管理(4)數(shù)據(jù)源(ODBC)：添加、刪除除以及配置ODBC數(shù)據(jù)源和驅(qū)動(dòng)動(dòng)程序。(5)性能：顯示系系統(tǒng)性能圖表表以及配置數(shù)數(shù)據(jù)日志和警警報(bào)。(6)組件服務(wù)：配配置并管理COM+應(yīng)用程序。COM+---componentobjectmoudel組建對(duì)象模型型,是一種面向?qū)ο蟮木幘幊谭椒?是一種特殊結(jié)結(jié)構(gòu)的對(duì)象,規(guī)范了對(duì)象模塊之間的通通訊方式.系統(tǒng)管理另外一些工具具則隨系統(tǒng)服服務(wù)的安裝而而添加到系統(tǒng)統(tǒng)中，例如：：(1)Telnet服務(wù)器管理：：查看以及修修改Telnet服務(wù)器設(shè)置和和連接。(2)Internet服務(wù)管理器：：管理IIS、因特網(wǎng)(Internet)和內(nèi)部網(wǎng)(Intranet)Web站點(diǎn)的Web服務(wù)器。(3)本地安安全策策略：：查看看和修修改本本地安安全策策略，，諸如如用戶戶權(quán)限限和審審計(jì)策策略。。安全特特性Windows為用戶戶提供供了一一套廣廣泛的的安全全性防防衛(wèi)措措施，，以確確保系系統(tǒng)能能夠阻阻止非非法訪訪問、、故意意破壞壞和錯(cuò)錯(cuò)誤操操作等等的侵侵害。。安全特特性1.安全區(qū)區(qū)域通常所所說(shuō)的的數(shù)據(jù)據(jù)安全全大部部分是是指數(shù)數(shù)據(jù)在在網(wǎng)絡(luò)絡(luò)上的的安全全。在在計(jì)算算機(jī)領(lǐng)領(lǐng)域，，網(wǎng)絡(luò)絡(luò)操作作系統(tǒng)統(tǒng)的安安全性性定義義為用用來(lái)阻阻止未未授權(quán)權(quán)用戶戶的使使用、、訪問問、修修改或或毀壞壞，也也就是是對(duì)客客戶的的信息息進(jìn)行行保密密，以以防止止他人人的窺窺視和和破壞壞。安全特特性如果將將網(wǎng)絡(luò)絡(luò)按區(qū)區(qū)域劃劃分，，可分分為四四大區(qū)區(qū)域。。(1)本地企企業(yè)網(wǎng)網(wǎng)：該該區(qū)域域包括括不需需要代代理服服務(wù)器器的地地址，，其中中包含含的地地址由由系統(tǒng)統(tǒng)管理理員用用InternetExplorer管理工工具包包定義義。本本地企企業(yè)網(wǎng)網(wǎng)區(qū)域域的默默認(rèn)安安全級(jí)級(jí)為中中級(jí)。。(2)可信站站點(diǎn)：：該區(qū)區(qū)域包包含可可信的的站點(diǎn)點(diǎn)，即即可以以直接接從該該站點(diǎn)點(diǎn)下載載或運(yùn)運(yùn)行文文件而而不用用擔(dān)心心會(huì)危危害到到用戶戶的計(jì)計(jì)算機(jī)機(jī)或數(shù)數(shù)據(jù)的的安全全，因因此用用戶可可以將將某些些站點(diǎn)點(diǎn)分配配到該該區(qū)域域?？煽尚耪菊军c(diǎn)區(qū)區(qū)域的的默認(rèn)認(rèn)安全全級(jí)為為低級(jí)級(jí)。安全特特性(3)受限站站點(diǎn)：：該區(qū)區(qū)域包包括不不可信信站點(diǎn)點(diǎn)，即即不能能確認(rèn)認(rèn)下載載或運(yùn)運(yùn)行程程序是是否會(huì)會(huì)危害害到用用戶的的計(jì)算算機(jī)或或數(shù)據(jù)據(jù)，用用戶也也可以以將某某些站站點(diǎn)分分配到到該區(qū)區(qū)域。。受限限站點(diǎn)點(diǎn)區(qū)域域的默默認(rèn)安安全級(jí)級(jí)別為為高級(jí)級(jí)。(4)因特網(wǎng)網(wǎng)：在在默認(rèn)認(rèn)情況況下，，該區(qū)區(qū)域包包括用用戶的的計(jì)算算機(jī)或或因特特網(wǎng)上上的全全部站站點(diǎn)，，因特特網(wǎng)區(qū)區(qū)域的的默認(rèn)認(rèn)安全全級(jí)別別為中中級(jí)。。安全特特性另外，，本地地計(jì)算算機(jī)上上所有有文件件都認(rèn)認(rèn)為是是安全全的，，不需需進(jìn)行行安全全設(shè)置置。這這樣，，打開開和運(yùn)運(yùn)行本本機(jī)上上的文文件和和程序序時(shí)不不會(huì)出出現(xiàn)任任何提提示，，而且且用戶戶也無(wú)無(wú)法將將本機(jī)機(jī)上的的文件件夾或或驅(qū)動(dòng)動(dòng)器分分配到到所謂謂安全全區(qū)域域。安全全特特性性2.安全全模模型型Windows安全全模模型型的的主主要要特特性性是是用用戶戶驗(yàn)驗(yàn)證證和和訪訪問問控控制制。。(1)用戶戶驗(yàn)驗(yàn)證證：：它它檢檢查查嘗嘗試試登登錄錄到到域域或或訪訪問問網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源的的所所有有用用戶戶的的身身份份。。安全全特特性性(2)基于于對(duì)對(duì)象象的的訪訪問問控控制制：：允允許許管管理理員員控控制制對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)中中資資源源或或?qū)?duì)象象的的訪訪問問。。管管理理員員通通過過對(duì)對(duì)存存儲(chǔ)儲(chǔ)在在活活動(dòng)動(dòng)目目錄錄中中的的對(duì)對(duì)象象指指定定安全描述符符的方式來(lái)執(zhí)執(zhí)行訪問控控制。安全描述符符將列出獲獲得訪問許許可權(quán)限的的用戶和組組以及指定定給這些用用戶和組的的特殊權(quán)限限。安全描描述符還指指定了針對(duì)對(duì)對(duì)象審核核的各類訪訪問事件，，對(duì)象實(shí)例例包括文件件、打印機(jī)機(jī)和服務(wù)等等。通過管理對(duì)對(duì)象屬性，，管理員可可以設(shè)置權(quán)權(quán)限、指定定所有權(quán)和和監(jiān)視用戶戶訪問。安全全特特性性(3)活動(dòng)動(dòng)目目錄錄和和安安全全性性：：活活動(dòng)動(dòng)目目錄錄(activedirectury)通過過使使用用對(duì)對(duì)象象的的訪訪問問控控制制和和用用戶戶憑憑據(jù)據(jù)提提供供用用戶戶賬賬戶戶和和組組信信息息的的保保護(hù)護(hù)存存儲(chǔ)儲(chǔ)。。由于于活活動(dòng)動(dòng)目目錄錄不不僅僅存存儲(chǔ)儲(chǔ)用用戶戶憑憑據(jù)據(jù)，，還還包包括括訪訪問問控控制制信信息息，，所所以以登登錄錄到到網(wǎng)網(wǎng)絡(luò)絡(luò)的的用用戶戶可可同同時(shí)時(shí)獲獲得得訪訪問問系系統(tǒng)統(tǒng)資資源源的的驗(yàn)驗(yàn)證證和和授授權(quán)權(quán)。。安全特性3.公用密鑰公用密鑰加密密技術(shù)是保證證認(rèn)證和完整整性的安全質(zhì)質(zhì)量最高的加加密方法，用用來(lái)確定某一一特定電子文文檔是否來(lái)自自于某一特定定客戶機(jī)。公公用密鑰基本本系統(tǒng)，是一一個(gè)進(jìn)行數(shù)字字認(rèn)證、證書書授權(quán)和其他他注冊(cè)授權(quán)的的系統(tǒng)。安全特性通過公用系統(tǒng)統(tǒng)密鑰基本體體系，管理員員驗(yàn)證訪問信信息人員的身身份，并在驗(yàn)驗(yàn)證身份的前前提下控制其其訪問信息的的范圍，在組組織中方便安安全地分配和和管理識(shí)別憑憑據(jù)等安全問問題。安全特性4.數(shù)據(jù)保護(hù)數(shù)據(jù)的保密性性和完整性從從網(wǎng)絡(luò)驗(yàn)證開開始，用戶可可以使用正確確的憑據(jù)登錄錄到網(wǎng)絡(luò)，并并在該過程中中獲得訪問存存儲(chǔ)數(shù)據(jù)的權(quán)權(quán)限。安全特性Windows支持兩種數(shù)據(jù)據(jù)保護(hù)類型——存儲(chǔ)數(shù)據(jù)和網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)：(1)存儲(chǔ)數(shù)據(jù)保護(hù)護(hù)：用戶可以以使用加密文文件系統(tǒng)(EFS)和數(shù)字簽名方方法存儲(chǔ)數(shù)據(jù)據(jù)。(2)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)護(hù)：站點(diǎn)內(nèi)的的網(wǎng)絡(luò)數(shù)據(jù)由由驗(yàn)證協(xié)議保保護(hù)。用戶可可以用它來(lái)保保護(hù)傳入和傳傳出站點(diǎn)網(wǎng)絡(luò)絡(luò)數(shù)據(jù)的實(shí)用用工具包括：：IPSecurity、路由和遠(yuǎn)程程訪問、代理理服務(wù)器。賬戶和組的安安全性在Windows計(jì)算機(jī)上建立立安全體系需需要一個(gè)管理理員。管理員員為訪問Windows計(jì)算機(jī)的用戶戶建立賬戶，，否則此用戶戶將無(wú)法對(duì)網(wǎng)網(wǎng)絡(luò)進(jìn)行訪問問。建立了賬賬戶的用戶其其使用權(quán)限和和特權(quán)都由他他所在的組決定。賬戶和組的安安全性在域內(nèi)建立安安全體系需要要域管理員。域管管理員首先需需要為用戶和和計(jì)算機(jī)建立立賬戶，然后后把用戶和計(jì)計(jì)算機(jī)進(jìn)行分分組并放入賬賬戶數(shù)據(jù)庫(kù)中中。域管理員員還可以選擇擇哪一個(gè)組被被包括進(jìn)哪一一個(gè)安全策