網(wǎng)絡(luò)安全防護(hù)技術(shù)

網(wǎng)絡(luò)安全防護(hù)技術(shù)第一頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.防火墻的定義防火墻的最初得名是古時(shí)候?yàn)榉乐够馂?zāi)蔓延在房屋之間砌起的一道墻，而網(wǎng)絡(luò)系統(tǒng)中的防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離系統(tǒng)，用來(lái)阻擋外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅與入侵。防火墻由計(jì)算機(jī)軟件和硬件組成，主要負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的安全通信，可以限制外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，以及可以限制內(nèi)部用戶訪問外部網(wǎng)絡(luò)的行為和權(quán)限。防火墻的實(shí)質(zhì)是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防御系統(tǒng)，主要具有以下屬性：·進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)必須經(jīng)過防火墻，防火墻設(shè)置在需要安全防護(hù)的網(wǎng)絡(luò)間和安全域間?！し戏阑饓Π踩雷o(hù)規(guī)則的數(shù)據(jù)才能通過防火墻?！し阑饓ο到y(tǒng)具有抵抗各種網(wǎng)絡(luò)攻擊的能力。·防火墻位于兩個(gè)或多個(gè)網(wǎng)絡(luò)或安全域之間，是實(shí)施訪問控制策略的一組軟件和硬件集合。

4.1防火墻技術(shù)

4.1.1防火墻概述第二頁(yè)，共四十二頁(yè)，編輯于2023年，星期一2.防火墻的位置4.1防火墻技術(shù)

4.1.1防火墻概述防火墻在網(wǎng)絡(luò)中的常見位置第三頁(yè)，共四十二頁(yè)，編輯于2023年，星期一根據(jù)不同的分類標(biāo)準(zhǔn)，防火墻可以分為多種類型，其中主要包括：包過濾防火墻、代理服務(wù)防火墻、混合型防火墻、狀態(tài)檢測(cè)防火墻。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第四頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.包過濾防火墻包過濾是防火墻的核心功能之一，防火墻的包過濾標(biāo)準(zhǔn)依賴于防火墻的安全策略，通常防火墻的安全策略由網(wǎng)絡(luò)管理員預(yù)置在防火墻設(shè)備的ACL（AccessControlList，訪問控制列表）中，防火墻根據(jù)ACL規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行過濾，阻止不符合安全策略的通信。（1）包過濾原理網(wǎng)絡(luò)通信的數(shù)據(jù)包分為報(bào)頭和數(shù)據(jù)兩個(gè)部分。報(bào)頭的內(nèi)容主要包括封裝協(xié)議、IP源地址、IP目標(biāo)地址、ICMP消息類型、TCP和UDP目標(biāo)端口、TCP報(bào)頭中的ACK位等。而數(shù)據(jù)的內(nèi)容是各種網(wǎng)絡(luò)應(yīng)用的通信數(shù)據(jù)。網(wǎng)絡(luò)通信系統(tǒng)中的路由器就是根據(jù)數(shù)據(jù)包的IP目標(biāo)地址選擇合適的路由，將數(shù)據(jù)包發(fā)送給目標(biāo)機(jī)器。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第五頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（2）包過濾防火墻的優(yōu)點(diǎn)包過濾防火墻具有操作簡(jiǎn)單、運(yùn)行高效、易于安裝和使用等特點(diǎn)，通常包過濾防火墻內(nèi)嵌在路由器中對(duì)通信數(shù)據(jù)包實(shí)施過濾。路由器是網(wǎng)絡(luò)互聯(lián)的關(guān)鍵節(jié)點(diǎn)設(shè)備，因此在路由器中內(nèi)嵌包過濾功能幾乎不需要任何額外的費(fèi)用。包過濾防火墻的優(yōu)點(diǎn)主要體現(xiàn)在下面幾個(gè)方面：·包過濾防火墻不會(huì)影響到應(yīng)用程序的正常運(yùn)行?！ぐ^濾防火墻可以保護(hù)整個(gè)內(nèi)網(wǎng)安全。·包過濾防火墻對(duì)于用戶是透明的。·包過濾防火墻具有良好的網(wǎng)絡(luò)性能。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第六頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（3）包過濾防火墻的缺點(diǎn)包過濾防火墻主要缺點(diǎn)是安全性較差、功能相對(duì)單一以及不能防止地址欺騙等。·包過濾防火墻的安全性較差?！ぐ^濾防火墻對(duì)個(gè)別協(xié)議并不支持，例如UDP協(xié)議、RPC協(xié)議，并且包過濾防火墻缺乏審計(jì)和報(bào)警機(jī)制，另外，無(wú)法提供完整的安全策略服務(wù)，例如，數(shù)據(jù)包的報(bào)頭信息只能說(shuō)明數(shù)據(jù)包的來(lái)源主機(jī)，而不能確定用戶、端口或應(yīng)用程序。·包過濾防火墻不能防止地址欺騙。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第七頁(yè)，共四十二頁(yè)，編輯于2023年，星期一2.代理服務(wù)型防火墻（1）代理服務(wù)型防火墻概述代理服務(wù)型防火墻是利用代理服務(wù)器將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，在數(shù)據(jù)通過代理服務(wù)器時(shí)利用防火墻對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行安全檢測(cè)，并阻止各類網(wǎng)絡(luò)攻擊。代理服務(wù)器基于應(yīng)用層實(shí)現(xiàn)代理服務(wù)，訪問外網(wǎng)的用戶首先向代理服務(wù)器發(fā)出連接請(qǐng)求，代理服務(wù)器對(duì)其進(jìn)行驗(yàn)證，然后將驗(yàn)證后的請(qǐng)求轉(zhuǎn)發(fā)給外網(wǎng)服務(wù)器，外網(wǎng)服務(wù)器將應(yīng)答交給代理服務(wù)器，經(jīng)代理服務(wù)器檢測(cè)后發(fā)送給請(qǐng)求用戶。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第八頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（2）應(yīng)用層網(wǎng)關(guān)防火墻應(yīng)用層網(wǎng)關(guān)防火墻是典型的代理服務(wù)型防火墻，運(yùn)行于網(wǎng)絡(luò)協(xié)議的應(yīng)用層，實(shí)現(xiàn)數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)功能。應(yīng)用層網(wǎng)關(guān)防火墻針對(duì)于特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議采用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成檢測(cè)報(bào)告。應(yīng)用層網(wǎng)關(guān)防火墻的核心是代理服務(wù)器，其主要功能是基于網(wǎng)絡(luò)協(xié)議的應(yīng)用層實(shí)現(xiàn)協(xié)議的過濾和轉(zhuǎn)發(fā)。外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)時(shí)，應(yīng)用層網(wǎng)關(guān)防火墻首先會(huì)對(duì)數(shù)據(jù)包進(jìn)行過濾，同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，并形成檢查報(bào)告。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第九頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（3）電路級(jí)網(wǎng)關(guān)防火墻電路級(jí)網(wǎng)關(guān)防火墻，也稱TCP通道防火墻。在電路級(jí)網(wǎng)關(guān)防火墻中，數(shù)據(jù)包被提交給用戶的應(yīng)用層進(jìn)行處理，電路級(jí)網(wǎng)關(guān)用來(lái)在兩個(gè)通信終端之間轉(zhuǎn)換數(shù)據(jù)包。電路級(jí)網(wǎng)關(guān)防火墻與包過濾防火墻都是依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過，但是兩者之間存在明顯的區(qū)別，即包過濾防火墻允許內(nèi)、外網(wǎng)之間的計(jì)算機(jī)直接建立連接，而電路級(jí)網(wǎng)關(guān)防火墻則禁止它們直接建立端到端的TCP連接，而是要以防火墻為中轉(zhuǎn)設(shè)備分別建立連接。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（4）代理服務(wù)型防火墻的優(yōu)點(diǎn)·易于配置和管理?！つ苌筛黜?xiàng)記錄?！ぬ峁┢渌踩?wù)。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十一頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（5）代理服務(wù)型防火墻的缺點(diǎn)·速度相對(duì)較低。·需要用戶配置和管理?！o(wú)法控制底層協(xié)議。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十二頁(yè)，共四十二頁(yè)，編輯于2023年，星期一3.復(fù)合型防火墻復(fù)合型防火墻也稱自適應(yīng)代理防火墻，是將包過濾防護(hù)墻的高效率和代理服務(wù)型防火墻的高安全性等優(yōu)點(diǎn)結(jié)合起來(lái)，在保證安全性的前提下，提高了防火墻系統(tǒng)的運(yùn)行效率，主要由自適應(yīng)代理服務(wù)器和包過濾器組成。目前，復(fù)合型防火墻還融合了入侵檢測(cè)技術(shù)、安全認(rèn)證和評(píng)估技術(shù)以及虛擬專網(wǎng)等技術(shù)，使之成為真正復(fù)合型網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。復(fù)合型防火墻的功能如下：·復(fù)合型防火墻以網(wǎng)絡(luò)安全防護(hù)為基本功能，同時(shí)融合入侵檢測(cè)、安全評(píng)估、虛擬專網(wǎng)等網(wǎng)絡(luò)安全通信模塊。·復(fù)合型防火墻采用安全評(píng)估和識(shí)別技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)象檢測(cè)、控制和管理，安全評(píng)估模塊可以自動(dòng)地檢測(cè)內(nèi)部網(wǎng)絡(luò)?！?fù)合型防火墻可以提供系統(tǒng)入侵檢測(cè)功能，通過監(jiān)測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，作為網(wǎng)絡(luò)安全的重要環(huán)節(jié)，入侵檢測(cè)模塊與防火墻模塊可以形成安全防護(hù)聯(lián)動(dòng)系統(tǒng)?！?fù)合型防火墻可以提供虛擬專網(wǎng)功能，利用隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)以及身份認(rèn)證技術(shù)在公共網(wǎng)絡(luò)上建立虛擬專網(wǎng)。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十三頁(yè)，共四十二頁(yè)，編輯于2023年，星期一4.狀態(tài)檢測(cè)型防火墻（1）狀態(tài)檢測(cè)型防火墻的工作原理狀態(tài)檢測(cè)型防火墻是通過檢測(cè)網(wǎng)絡(luò)連接狀態(tài)來(lái)判斷網(wǎng)絡(luò)通信系統(tǒng)的安全性，基本保持了簡(jiǎn)單包過濾防火墻的優(yōu)點(diǎn)，其基本特征是通過網(wǎng)絡(luò)連接的安全狀態(tài)來(lái)識(shí)別和判斷網(wǎng)絡(luò)通信的安全性。狀態(tài)檢測(cè)型防火墻的核心部分是狀態(tài)連接表，將安全連接的通信數(shù)據(jù)作為一個(gè)整體處理，直接放行安全連接的通信數(shù)據(jù)，可以提高數(shù)據(jù)包的檢測(cè)效率。狀態(tài)檢測(cè)型防火墻相對(duì)于包過濾防火墻增加了網(wǎng)絡(luò)通信狀態(tài)的檢測(cè)，主要功能是規(guī)范了網(wǎng)絡(luò)層和傳輸層的通信行為，而應(yīng)用代理型防火墻的主要功能則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十四頁(yè)，共四十二頁(yè)，編輯于2023年，星期一防火墻的配置原則首先要遵循安全、適用和高效的原則。因?yàn)榉阑饓κ莾?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的關(guān)鍵節(jié)點(diǎn)，所以在防火墻的配置過程中必須堅(jiān)持以下三個(gè)基本原則：1.安全適用2.綜合檢測(cè)3.內(nèi)外兼顧4.1防火墻技術(shù)

4.1.3防火墻配置的原則第十五頁(yè)，共四十二頁(yè)，編輯于2023年，星期一防火墻的主要功能是保護(hù)內(nèi)部網(wǎng)絡(luò)安全，防止外部的網(wǎng)絡(luò)攻擊和內(nèi)部的網(wǎng)絡(luò)攻擊，限制內(nèi)部網(wǎng)絡(luò)用戶的訪問權(quán)限和行為。防火墻的配置和使用過程中暴露出一些缺陷和局限性：（1）防火墻無(wú)法深度檢測(cè)通信數(shù)據(jù)的具體內(nèi)容。（2）防火墻不能防御利用計(jì)算機(jī)系統(tǒng)漏洞和病毒對(duì)系統(tǒng)實(shí)施的攻擊。4.1防火墻技術(shù)

4.1.4防火墻的局限性第十六頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.VPN的定義VPN是利用信息安全技術(shù)在Internet上建立一個(gè)虛擬的私有網(wǎng)絡(luò)，可以實(shí)現(xiàn)跨地域的網(wǎng)絡(luò)安全通信。VPN是企業(yè)內(nèi)部網(wǎng)最經(jīng)濟(jì)、有效的擴(kuò)展方式，企業(yè)用戶、分支機(jī)構(gòu)及商業(yè)伙伴可以通過Internet與企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，可以利用隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)通信的保密性、身份可認(rèn)證性和數(shù)據(jù)完整性。4.2VPN與網(wǎng)絡(luò)安全

4.2.1VPN概述第十七頁(yè)，共四十二頁(yè)，編輯于2023年，星期一4.2VPN與網(wǎng)絡(luò)安全

4.2.1VPN概述VPN實(shí)現(xiàn)遠(yuǎn)程安全通信的過程第十八頁(yè)，共四十二頁(yè)，編輯于2023年，星期一根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類。1.按接入方式劃分根據(jù)用戶接入Internet的方式不同可以將VPN劃分為專線接入方式和撥號(hào)接入方式。2.按協(xié)議實(shí)現(xiàn)類型劃分按照隧道協(xié)議所在的網(wǎng)絡(luò)層次可以將VPN劃分為第二層隧道協(xié)議VPN和第三層隧道協(xié)議VPN。

·第二層隧道協(xié)議VPN?！さ谌龑铀淼绤f(xié)議VPN。3.按VPN的服務(wù)類型劃分根據(jù)VPN的服務(wù)類型，可以將VPN業(yè)務(wù)大致分為三類：遠(yuǎn)程接入VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN?！みh(yuǎn)程接入VPN。·內(nèi)聯(lián)網(wǎng)VPN。·外聯(lián)網(wǎng)VPN。4.2VPN與網(wǎng)絡(luò)安全

4.2.2VPN的分類第十九頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（1）選擇【開始】—【管理工具】—【路由與遠(yuǎn)程訪問】并打開，選擇主機(jī)并點(diǎn)擊右鍵顯示屬性對(duì)話框，并選擇【配置并啟用路由和遠(yuǎn)程訪問】選項(xiàng)，配置界面如圖所示。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（2）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項(xiàng)【遠(yuǎn)程訪問（撥號(hào)或VPN）】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十一頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（3）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項(xiàng)【VPN】，如圖4-10所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十二頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（4）路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?duì)話框如圖所示，在【網(wǎng)絡(luò)接口】列表中有兩個(gè)網(wǎng)絡(luò)接口，分別用于連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。取消選擇【通過設(shè)置靜態(tài)數(shù)據(jù)包篩選器來(lái)對(duì)選擇的接口進(jìn)行保護(hù)】選項(xiàng)，然后單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十三頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（5）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項(xiàng)【來(lái)自一個(gè)指定的地址范圍】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十四頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（6）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項(xiàng)【新建】，如圖4-13所示，在彈出的新建地址范圍對(duì)話框中輸入合法的IP地址范圍，例如172.16.6.10—172.16.6.28，如圖所示，即允許在地址范圍內(nèi)的遠(yuǎn)程用戶通過VPN服務(wù)器來(lái)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，然后單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十五頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（7）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項(xiàng)【否，使用路由和遠(yuǎn)程訪問來(lái)對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證】，如圖所示，并單擊【下一步】完成設(shè)置。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十六頁(yè)，共四十二頁(yè)，編輯于2023年，星期一（8）建立的VPN服務(wù)器如圖4-16所示，遠(yuǎn)程用戶可以通過VPN服務(wù)器訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十七頁(yè)，共四十二頁(yè)，編輯于2023年，星期一數(shù)據(jù)庫(kù)系統(tǒng)的信息安全性是指數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制和故障恢復(fù)等幾個(gè)方面。下面分別對(duì)其進(jìn)行介紹：1.數(shù)據(jù)獨(dú)立性2．?dāng)?shù)據(jù)安全性3．?dāng)?shù)據(jù)完整性4．并發(fā)控制5．故障恢復(fù)4.3數(shù)據(jù)庫(kù)安全

4.3.2數(shù)據(jù)庫(kù)的安全特性第二十八頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.安全賬號(hào)管理2.數(shù)據(jù)庫(kù)審計(jì)3.數(shù)據(jù)庫(kù)加密4.安全訪問控制4.3數(shù)據(jù)庫(kù)安全

4.3.3數(shù)據(jù)庫(kù)的安全控制措施第二十九頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.常用數(shù)據(jù)庫(kù)加密技術(shù)數(shù)據(jù)庫(kù)加密可以實(shí)現(xiàn)存儲(chǔ)數(shù)據(jù)的保密性、完整性、身份可認(rèn)證性和可用性，可以增強(qiáng)普通關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)的安全性，可以達(dá)到有效地保護(hù)數(shù)據(jù)庫(kù)存儲(chǔ)內(nèi)容的目的。數(shù)據(jù)庫(kù)加密系統(tǒng)的主要功能包括字段加密、密鑰動(dòng)態(tài)管理、日常數(shù)據(jù)處理以及防止非法復(fù)制。4.3數(shù)據(jù)庫(kù)安全

4.3.4數(shù)據(jù)庫(kù)加密技術(shù)第三十頁(yè)，共四十二頁(yè)，編輯于2023年，星期一2.數(shù)據(jù)庫(kù)加密的主要形式數(shù)據(jù)庫(kù)加密的主要形式有系統(tǒng)加密、服務(wù)器端（DBMS內(nèi)核層）加密、客戶端（DBMS外層）加密。系統(tǒng)加密是利用軟件加密系統(tǒng)或硬件加密系統(tǒng)對(duì)明文信息進(jìn)行加密，然后將密文信息存儲(chǔ)到數(shù)據(jù)庫(kù)系統(tǒng)。但是加密系統(tǒng)無(wú)法處理數(shù)據(jù)庫(kù)中數(shù)據(jù)表之間的關(guān)系，只能將數(shù)據(jù)先進(jìn)行加密，然后將密文存儲(chǔ)于數(shù)據(jù)庫(kù)相應(yīng)字段，讀取數(shù)據(jù)時(shí)再逆向進(jìn)行解密。系統(tǒng)加密無(wú)法直接對(duì)數(shù)據(jù)庫(kù)中的密文進(jìn)行插入、更新、查詢和刪除等基本操作，只能將查詢數(shù)據(jù)轉(zhuǎn)換為密文再進(jìn)行相應(yīng)的數(shù)據(jù)庫(kù)查詢和管理，因此效率相對(duì)較低。4.3數(shù)據(jù)庫(kù)安全

4.3.4數(shù)據(jù)庫(kù)加密技術(shù)第三十一頁(yè)，共四十二頁(yè)，編輯于2023年，星期一入侵檢測(cè)系統(tǒng)利用檢測(cè)器對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和處理，并對(duì)異常事件進(jìn)行報(bào)警和跟蹤。入侵檢測(cè)系統(tǒng)包括硬件系統(tǒng)和軟件系統(tǒng)。數(shù)據(jù)收集器：主要負(fù)責(zé)從目標(biāo)系統(tǒng)采集特征數(shù)據(jù)，并將特征數(shù)據(jù)發(fā)送到檢測(cè)器進(jìn)行處理，特征數(shù)據(jù)采集對(duì)象主要包括網(wǎng)絡(luò)數(shù)據(jù)包、日志文件等。檢測(cè)器：也稱分析器或檢測(cè)引擎，主要負(fù)責(zé)分析和檢測(cè)系統(tǒng)異常行為，并發(fā)出警報(bào)信號(hào)。知識(shí)庫(kù)：主要提供系統(tǒng)異常行為檢測(cè)規(guī)則和安全策略。控制器：根據(jù)知識(shí)庫(kù)中檢測(cè)規(guī)則處理警報(bào)信息，并對(duì)目標(biāo)系統(tǒng)實(shí)施控制。4.4入侵檢測(cè)系統(tǒng)

4.4.1入侵檢測(cè)概述第三十二頁(yè)，共四十二頁(yè)，編輯于2023年，星期一可將入侵檢測(cè)系統(tǒng)按照檢測(cè)對(duì)象劃分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和混合型入侵檢測(cè)系統(tǒng)。1.基于主機(jī)的入侵檢測(cè)系統(tǒng)2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)4.4入侵檢測(cè)系統(tǒng)

4.4.2入侵檢測(cè)系統(tǒng)的分類第三十三頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.入侵檢測(cè)技術(shù)分類按照入侵檢測(cè)系統(tǒng)所采用的檢測(cè)技術(shù)可以將入侵檢測(cè)分為特征檢測(cè)和異常檢測(cè)兩種。（1）特征檢測(cè)（2）異常檢測(cè)4.4入侵檢測(cè)系統(tǒng)

4.4.3入侵檢測(cè)的主要技術(shù)第三十四頁(yè)，共四十二頁(yè)，編輯于2023年，星期一2.常用檢測(cè)方法入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)。目前入侵檢測(cè)系統(tǒng)絕大多數(shù)使用特征檢測(cè)方法，因?yàn)榻y(tǒng)計(jì)檢測(cè)方法的檢測(cè)準(zhǔn)確率較低，容易出現(xiàn)誤判。（1）特征檢測(cè)方法（2）統(tǒng)計(jì)檢測(cè)方法4.4入侵檢測(cè)系統(tǒng)

4.4.3入侵檢測(cè)的主要技術(shù)第三十五頁(yè)，共四十二頁(yè)，編輯于2023年，星期一訪問控制是通過訪問控制策略對(duì)系統(tǒng)用戶的訪問權(quán)限和范圍進(jìn)行約束的一種方法。通過限制系統(tǒng)用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限來(lái)防止非法用戶的入侵或合法用戶的越權(quán)使用，從而保證網(wǎng)絡(luò)資源在可控和合法的狀態(tài)下使用。系統(tǒng)用戶只能根據(jù)分配的訪問權(quán)限訪問和控制系統(tǒng)資源，無(wú)法越權(quán)訪問。訪問控制的基礎(chǔ)是身份認(rèn)證技術(shù)，系統(tǒng)通過身份認(rèn)證技術(shù)來(lái)識(shí)別系統(tǒng)用戶的真實(shí)身份并賦予相應(yīng)的系統(tǒng)訪問權(quán)限，系統(tǒng)用戶只能依照訪問控制策略執(zhí)行各項(xiàng)操作4.5訪問控制技術(shù)

4.5.1訪問控制概述第三十六頁(yè)，共四十二頁(yè)，編輯于2023年，星期一1.訪問控制策略的實(shí)施原則通常依照主體對(duì)客體的訪問權(quán)限來(lái)制定系統(tǒng)訪問控制策略，具體原則如下：（1）權(quán)力最小化原則。（