課程名稱網(wǎng)絡(luò)安全技術(shù)教材網(wǎng)絡(luò)安全技術(shù)項目化教程教師省公開課一等獎全國示范課微課金獎

課程名稱：網(wǎng)絡(luò)安全技術(shù)教材：網(wǎng)絡(luò)安全技術(shù)項目化教程教師：第1頁課程內(nèi)容項目1：認(rèn)識計算機網(wǎng)絡(luò)安全技術(shù)項目2：Windows系統(tǒng)安全加固項目3：網(wǎng)絡(luò)協(xié)議與分析項目4：計算機病毒及防治項目5：密碼技術(shù)項目6：網(wǎng)絡(luò)攻擊與防范第2頁項目7：防火墻技術(shù)項目8：入侵檢測技術(shù)項目9：VPN技術(shù)項目10：Web安全項目11：無線網(wǎng)絡(luò)安全第3頁項目1認(rèn)識計算機網(wǎng)絡(luò)安全技術(shù)項目1雙機互連對等網(wǎng)絡(luò)組建

第4頁1.1項目提出據(jù)國外媒體報道，全球計算機行業(yè)協(xié)會(CompTIA)近日評出了“全球最急需10項IT技術(shù)”，結(jié)果安全和防火墻技術(shù)排名首位。全球最急需10項IT技術(shù):1.安全/防火墻/數(shù)據(jù)隱私類技術(shù)。6．軟件。

2．網(wǎng)絡(luò)/網(wǎng)絡(luò)基礎(chǔ)設(shè)施。7．應(yīng)用層面技術(shù)。

3．操作系統(tǒng)。8．特定編程語言。

4．硬件。9．Web技術(shù)。

5．非特定性服務(wù)器技術(shù)。10．RF移動/無線技術(shù)。由上可見，排名第一，就是安全問題，這說明安全方面問題是全世界都急需處理問題，我們所面臨網(wǎng)絡(luò)安全情況有多尷尬，可想而知。第5頁1.2項目分析在網(wǎng)絡(luò)高速發(fā)展過程中，人們在享受網(wǎng)絡(luò)帶來便利同時，網(wǎng)絡(luò)安全也日益受到威脅。網(wǎng)絡(luò)攻擊行為日趨復(fù)雜，各種方法相互融合，使網(wǎng)絡(luò)安全防御愈加困難。黑客攻擊行為組織性更強，攻擊目標(biāo)從單純追求“榮耀感”向獲取多方面實際利益方向轉(zhuǎn)移，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡(luò)仿冒等出現(xiàn)和日趨泛濫；第6頁1.2項目分析智能手機、平板電腦等無線終端處理能力和功效通用性提升，使其日趨靠近個人計算機，針對這些無線終端網(wǎng)絡(luò)攻擊已經(jīng)開始出現(xiàn)，并將深入發(fā)展?？傊?，網(wǎng)絡(luò)安全問題變得愈加錯綜復(fù)雜，影響將不停擴大，極難在短期內(nèi)得到全方面處理。安全問題已經(jīng)擺在了非常主要位置上，網(wǎng)絡(luò)安全假如不加以防范，會嚴(yán)重地影響到網(wǎng)絡(luò)應(yīng)用。第7頁1.3相關(guān)知識點1.3.1網(wǎng)絡(luò)安全概述1.網(wǎng)絡(luò)安全主要性盡管網(wǎng)絡(luò)主要性已經(jīng)被廣泛認(rèn)同，但對網(wǎng)絡(luò)安全忽略仍很普遍，缺乏網(wǎng)絡(luò)安全意識情況依然十分嚴(yán)峻。不少企事業(yè)單位極為重視網(wǎng)絡(luò)硬件投資，但沒有意識到網(wǎng)絡(luò)安全主要性，對網(wǎng)絡(luò)安全投資較吝嗇。這也使得當(dāng)前不少網(wǎng)絡(luò)信息系統(tǒng)都存在先天性安全漏洞和安全威脅，有些甚至產(chǎn)生了非常嚴(yán)重后果。第8頁1995年，米特尼克闖進(jìn)許多計算機網(wǎng)絡(luò)，偷竊了2萬個信用卡號，他曾闖進(jìn)“北美空中防務(wù)指揮系統(tǒng)”，破譯了美國著名“太平洋電話企業(yè)”在南加利福尼亞州通信網(wǎng)絡(luò)“改戶密碼”，入侵過美國DEC等5家大企業(yè)網(wǎng)絡(luò)，造成8000萬美元損失。1999年，臺灣大學(xué)生陳盈豪制造CIH病毒在4月26日發(fā)作，引發(fā)全球震撼，有6千多萬臺計算機受害。年，黑客用DDos攻擊影響了13個根DNS中8個，作為整個Internet通信路標(biāo)關(guān)鍵系統(tǒng)遭到嚴(yán)重破壞。年，“熊貓燒香”木馬致使我國數(shù)百萬計算機用戶受到感染，并涉及周圍國家。年2月，“熊貓燒香”制作者李俊被捕。年，一個全球性黑客組織，利用ATM欺詐程序在一夜之間從世界49個城市銀行中盜走了900萬美元。第9頁年，韓國遭受有史以來最猛烈一次黑客攻擊。韓國總統(tǒng)府、國會、國情院和國防部等國家機關(guān)，以及金融界、媒體和防火墻企業(yè)網(wǎng)站遭受攻擊，造成網(wǎng)站一度無法訪問。年，“維基解密”網(wǎng)站在《紐約時報》、《衛(wèi)報》和《鏡報》配合下，在網(wǎng)上公開了多達(dá)9.2萬份駐阿美軍秘密文件，引發(fā)軒然大波。年，堪稱中國互聯(lián)網(wǎng)史上最大泄密事件發(fā)生。12月中旬，CSDN網(wǎng)站用戶數(shù)據(jù)庫被黑客在網(wǎng)上公開，大約600余萬個注冊郵箱賬號和與之對應(yīng)明文密碼泄露。年1月12日，CSDN泄密兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客，另一名為外地黑客。第10頁以上僅僅是一些個案，實際上，這么案例不勝枚舉，而且計算機犯罪案件有逐年增加趨勢。據(jù)美國一項研究顯示，全球互聯(lián)網(wǎng)每39秒就發(fā)生了一次黑客事件，其中大部分黑客沒有固定目標(biāo)。所以，網(wǎng)絡(luò)系統(tǒng)必須有足夠強大安全體系，不論是局域網(wǎng)還是廣域網(wǎng)，不論是單位還是個人，網(wǎng)絡(luò)安全目標(biāo)是全方位在防范各種威脅以確保網(wǎng)絡(luò)信息保密性、完整性和可用性。第11頁2.網(wǎng)絡(luò)安全現(xiàn)實狀況(1)網(wǎng)絡(luò)犯罪成為集團(tuán)化、產(chǎn)業(yè)化趨勢。從灰鴿子病毒案例能夠看出，木馬從制作到最終盜取用戶信息甚至財物，漸漸成為了一條產(chǎn)業(yè)鏈。(2)無線網(wǎng)絡(luò)、智能手機成為新攻擊區(qū)域，新攻擊重點。伴隨無線網(wǎng)絡(luò)大力推廣，3G網(wǎng)絡(luò)使用人群增多，使用用戶群體也在不停增加，手機病毒、手機惡意軟件展現(xiàn)快速增加趨勢。(3)垃圾郵件依然比較嚴(yán)重。即使經(jīng)過這么多年垃圾郵件整改，垃圾郵件現(xiàn)象得到顯著改進(jìn)，比如美國有對應(yīng)立法來處理垃圾郵件，不過在利益驅(qū)動下，垃圾郵件依然影響著每個人郵箱使用。第12頁(4)漏洞攻擊暴發(fā)時間變短。從這幾年發(fā)生攻擊來看，不難發(fā)覺漏洞攻擊時間越來越短，系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、軟件漏洞等被攻擊者發(fā)覺并利用時間間隔在不?？s短，很多攻擊者都是經(jīng)過這些漏洞來攻擊網(wǎng)絡(luò)。(5)攻擊方技術(shù)水平要求越來越低?，F(xiàn)在有很多黑客網(wǎng)站無償提供了許多攻擊工具，利用這些工具能夠很輕易地實施網(wǎng)絡(luò)攻擊。(6)DoS(DenyofService)攻擊愈加頻繁。因為DoS攻擊愈加隱蔽，難以追蹤到攻擊者，大多數(shù)攻擊者采取分布式攻擊方式和跳板攻擊方法，這種攻擊更含有威脅性，攻擊愈加難以防范。第13頁(7)針對瀏覽器插件攻擊。插件性能不是由瀏覽器來決定，瀏覽器漏洞升級并不能處理插件可能存在漏洞。(8)網(wǎng)站攻擊，尤其是網(wǎng)頁被掛木馬。大多數(shù)用戶在打開一個熟悉網(wǎng)站，比如自己信任網(wǎng)站，不過這個網(wǎng)站被掛木馬，這在不經(jīng)意之間木馬將會安裝在自己計算機中，這是現(xiàn)在網(wǎng)站攻擊主要模式。(9)內(nèi)部用戶攻擊。現(xiàn)今企事業(yè)單位內(nèi)部網(wǎng)與外部網(wǎng)聯(lián)絡(luò)越來越緊密，來自內(nèi)部用戶威脅也不停地表現(xiàn)出來。來自內(nèi)部攻擊百分比在不停上升，變成內(nèi)部網(wǎng)絡(luò)一個防災(zāi)重點。第14頁依據(jù)我國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)統(tǒng)計，年，CNCERT共處理各類網(wǎng)絡(luò)安全事件3236件，較年1176件增加了175%。CNCERT處理網(wǎng)絡(luò)安全事件類型組成如圖1-1所表示，主要有漏洞、惡意代碼、網(wǎng)頁掛馬等。

第15頁3.網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害原因威脅和危害，即是指計算機、網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護(hù)，不因偶然或者惡意原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中止。計算機網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)上信息安全。計算機網(wǎng)絡(luò)安全是一門包括計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等各種學(xué)科綜合性科學(xué)。第16頁從廣義來說，凡是包括到計算機網(wǎng)絡(luò)上信息保密性、完整性、可用性、可控性和不可否定性相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全研究領(lǐng)域。(1)保密性保密性是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶或過程，即信息只為授權(quán)用戶使用。即使非授權(quán)用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。(2)完整性完整性是指維護(hù)信息一致性，即在信息生成、傳輸、存放和使用過程中不發(fā)生人為或非人為非授權(quán)篡改。第17頁(3)可用性可用性是指授權(quán)用戶在需要時能不受其它原因影響，方便地使用所需信息，即當(dāng)需要時能否存取所需信息。比如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和相關(guān)系統(tǒng)正常運行等都屬于對可用性攻擊。(4)可控性可控性是指對網(wǎng)絡(luò)系統(tǒng)中信息傳輸及詳細(xì)內(nèi)容能夠?qū)崿F(xiàn)有效控制，即網(wǎng)絡(luò)系統(tǒng)中任何信息要在一定傳輸范圍和存放空間內(nèi)可控。(5)不可否定性不可否定性是指保障用戶無法在事后否定曾經(jīng)對信息進(jìn)行生成、簽發(fā)、接收等行為，普通經(jīng)過數(shù)字署名來提供不可否定服務(wù)。第18頁網(wǎng)絡(luò)安全問題，應(yīng)該像每家每戶防火防盜問題一樣，做到防范于未然。甚至不會想到自己也會成為目標(biāo)時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，經(jīng)常措手不及，造成極大損失。第19頁4.網(wǎng)絡(luò)安全主要威脅網(wǎng)絡(luò)系統(tǒng)安全威脅主要表現(xiàn)在主機可能會受到非法入侵者攻擊，網(wǎng)絡(luò)中敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送信息可能被他人竊聽篡改等。第20頁第21頁5.影響網(wǎng)絡(luò)安全主要原因(1)開放性網(wǎng)絡(luò)環(huán)境“Internet美妙之處于于你和每個人都能相互連接，Internet可怕之處于于每個人都能和你相互連接?！盜nternet是一個開放性網(wǎng)絡(luò)，是跨越國界，這意味著網(wǎng)絡(luò)攻擊不但僅來自當(dāng)?shù)鼐W(wǎng)絡(luò)用戶，也能夠來自Internet上任何一臺機器。Internet是一個虛擬世界，無法得知聯(lián)機另一端是誰。在這個虛擬世界里，已經(jīng)超越了國界，一些法律也受到了挑戰(zhàn)，所以網(wǎng)絡(luò)安全方面臨是一個國際化挑戰(zhàn)。第22頁(2)操作系統(tǒng)漏洞漏洞是能夠在攻擊過程中利用弱點，它能夠是軟件、硬件、程序缺點、功效設(shè)計或者配置不妥等造成。黑客或入侵者會研究分析這些漏洞，加以利用而取得侵入和破壞機會。網(wǎng)絡(luò)連接離不開網(wǎng)絡(luò)操作系統(tǒng)，操作系統(tǒng)可能存在各種漏洞，有很多網(wǎng)絡(luò)攻擊方法都是從尋找操作系統(tǒng)漏洞開始。第23頁①系統(tǒng)模型本身漏洞。這是系統(tǒng)設(shè)計早期就存在，無法經(jīng)過修改操作系統(tǒng)程序源代碼來修補。②操作系統(tǒng)程序源代碼存在漏洞。操作系統(tǒng)也是一個計算機程序，任何一個程序都可能存在漏洞，操作系統(tǒng)也不例外。比如，沖擊波病毒針正確是Windows操作系統(tǒng)RPC緩沖區(qū)溢出漏洞。③操作系統(tǒng)程序配置不妥。許多操作系統(tǒng)默認(rèn)配置安全性較差，進(jìn)行安全配置比較復(fù)雜而且需要一定安全知識，許多用戶并沒有這方面能力，假如沒有正確配置這些安全功效，會造成一些系統(tǒng)安全缺點。第24頁(3)TCP/IP協(xié)議缺點首先，該協(xié)議數(shù)據(jù)流采取明碼傳輸，且傳輸過程無法控制。這就為他人截取、竊聽信息提供了機會；另首先，該協(xié)議在設(shè)計時采取協(xié)議簇基本體系結(jié)構(gòu)，IP地址作為網(wǎng)絡(luò)節(jié)點唯一標(biāo)識，不是固定且不需要身份認(rèn)證。所以攻擊者就有了可乘之機，他們能夠經(jīng)過修改或冒充他人IP地址進(jìn)行信息攔截、竊取和篡改等。第25頁(4)人為原因在計算機使用過程中，使用者安全意識缺乏、安全管理辦法不到位等，通常是網(wǎng)絡(luò)安全一個重大隱患。比如，隱秘性文件未設(shè)密，操作口令泄露，主要文件丟失等都會給黑客提供攻擊機會。對于系統(tǒng)漏洞不及時修補以及不及時防病毒都可能會給網(wǎng)絡(luò)安全帶來破壞。第26頁1.3.2網(wǎng)絡(luò)安全所包括內(nèi)容網(wǎng)絡(luò)安全是一門交叉學(xué)科，除了包括數(shù)學(xué)、通信、計算機等自然科學(xué)外，還包括法律、心理學(xué)等社會科學(xué)，是一個多領(lǐng)域復(fù)雜系統(tǒng)。普通地，把網(wǎng)絡(luò)安全包括內(nèi)容分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全等五個方面，如圖1-2所表示。第27頁1.物理安全物理安全，也稱實體安全，是指保護(hù)計算機設(shè)備、設(shè)施(網(wǎng)絡(luò)及通信線路)免遭地震、水災(zāi)、火災(zāi)等自然災(zāi)害和環(huán)境事故(如電磁污染等)，以及人為操作失誤及計算機犯罪行為造成破壞。確保計算機信息系統(tǒng)各種設(shè)備物理安全，是整個計算機信息系統(tǒng)安全前提。物理安全主要包含以下3個方面。(1)環(huán)境安全：對系統(tǒng)全部環(huán)境安全保護(hù)，如區(qū)域保護(hù)(電子監(jiān)控)和災(zāi)難保護(hù)(災(zāi)難預(yù)警、應(yīng)急處理、恢復(fù)等)。(2)設(shè)備安全：主要包含設(shè)備防盜、防毀(接地保護(hù))、防電磁信息輻射泄漏、預(yù)防線路截獲、抗電磁干擾及電源保護(hù)等。(3)媒體安全：包含媒體數(shù)據(jù)安全及媒體本身安全。第28頁2.網(wǎng)絡(luò)安全第29頁在網(wǎng)絡(luò)安全中，在內(nèi)部網(wǎng)與外部網(wǎng)之間，能夠設(shè)置防火墻來實現(xiàn)內(nèi)外網(wǎng)隔離和訪問控制，是保護(hù)內(nèi)部網(wǎng)安全最主要辦法，同時也是最有效、最經(jīng)濟(jì)辦法之一。網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評定分析軟件或者硬件，用這類工具能夠檢測出系統(tǒng)漏洞或潛在威脅，以到達(dá)增強網(wǎng)絡(luò)安全性目標(biāo)。備份是為了盡可能快地全方面恢復(fù)運行計算機系統(tǒng)所需要數(shù)據(jù)和系統(tǒng)信息。備份不但在網(wǎng)絡(luò)系統(tǒng)硬件出現(xiàn)故障或人為操作失誤時起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時也是系統(tǒng)災(zāi)難恢復(fù)前提之一。第30頁3.系統(tǒng)安全普通，人們對網(wǎng)絡(luò)和操作系統(tǒng)安全很重視，而對數(shù)據(jù)庫安全不夠重視，其實數(shù)據(jù)庫系統(tǒng)也是一個很主要系統(tǒng)軟件，與其它軟件一樣需要保護(hù)。第31頁4.應(yīng)用安全應(yīng)用安全建立在系統(tǒng)平臺之上，人們普遍會重視系統(tǒng)安全，而忽略應(yīng)用安全。主要原因有：①對應(yīng)用安全缺乏認(rèn)識；②應(yīng)用系統(tǒng)過于靈活，需要掌握較高相關(guān)安全技術(shù)。網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全技術(shù)實現(xiàn)有很多固定規(guī)則，應(yīng)用安全則不一樣，客戶應(yīng)用往往各不相同，必須投入相對更多人力物力，而且沒有現(xiàn)成工具，只能依據(jù)經(jīng)驗來手動完成。第32頁5.管理安全安全是一個整體，完整安全處理方案不但包含物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全等技術(shù)伎倆，還需要以人為關(guān)鍵策略和管理支持。網(wǎng)絡(luò)安全至關(guān)主要往往不是技術(shù)伎倆，而是對人管理。不論采取了多么先進(jìn)技術(shù)設(shè)備，只要安全管理上有漏洞，那么這個系統(tǒng)安全就沒有保障。在網(wǎng)絡(luò)安全管理中，教授們一致認(rèn)為是“30%技術(shù)，70%管理”。同時，網(wǎng)絡(luò)安全不是一個目標(biāo)，而是一個過程，而且是一個動態(tài)過程。這是因為制約安全原因都是動態(tài)改變，必須經(jīng)過一個動態(tài)過程來確保安全。比如，Windows操作系統(tǒng)經(jīng)常公布安全漏洞，在沒有發(fā)覺系統(tǒng)漏洞之前，大家可能認(rèn)為自己系統(tǒng)是安全，實際上系統(tǒng)已經(jīng)處于威脅之中了，所以要及時地更新補丁。第33頁安全是相正確，沒有絕正確安全，需要依據(jù)客戶實際情況，在實用和安全之間找一個平衡點。從總體上來看，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)多個層次和多個方面，同時，也是一個動態(tài)改變過程。網(wǎng)絡(luò)安全實際上是一個系統(tǒng)工程，既包括對外部攻擊有效防范，又包含制訂完善內(nèi)部安全保障制度；既包括防病毒攻擊，又涵蓋實時檢測、防黑客攻擊等內(nèi)容。所以，網(wǎng)絡(luò)安全處理方案不應(yīng)僅僅提供對于某種安全隱患防范能力，還應(yīng)涵蓋對于各種可能造成網(wǎng)絡(luò)安全問題隱患整體防范能力；同時，還應(yīng)該是一個動態(tài)處理方案，能夠伴隨網(wǎng)絡(luò)安全需求增加而不停改進(jìn)和完善。第34頁1.3.3網(wǎng)絡(luò)安全防護(hù)1.PDRR模型安全是一個意識，一個過程，而不但僅是某種技術(shù)。進(jìn)入21世紀(jì)后，網(wǎng)絡(luò)信息安全理念發(fā)生了巨大改變，從不惜一切代價把入侵者阻擋在系統(tǒng)之外防御思想，開始轉(zhuǎn)變?yōu)榉雷o(hù)－檢測－響應(yīng)－恢復(fù)相結(jié)合思想，出現(xiàn)了PDRR(Protect/Detect/React/Restore)等網(wǎng)絡(luò)安全模型。第35頁(1)防護(hù)網(wǎng)絡(luò)安全策略PDRR模型最主要部分就是防護(hù)。防護(hù)是預(yù)先阻止攻擊能夠發(fā)生條件產(chǎn)生，讓攻擊者無法順利地入侵，防護(hù)能夠降低大多數(shù)入侵事件。①缺點掃描。安全缺點分為兩種，允許遠(yuǎn)程攻擊缺點和只允許當(dāng)?shù)毓羧秉c。允許遠(yuǎn)程攻擊缺點就是攻擊者能夠利用該缺點，經(jīng)過網(wǎng)絡(luò)攻擊系統(tǒng)。只允許當(dāng)?shù)毓羧秉c就是攻擊者不能經(jīng)過網(wǎng)絡(luò)利用該缺點攻擊系統(tǒng)。第36頁對于允許遠(yuǎn)程攻擊安全缺點，能夠用網(wǎng)絡(luò)缺點掃描工具去發(fā)覺。網(wǎng)絡(luò)缺點掃描工具普通從系統(tǒng)外邊去觀察。其次，它飾演一個黑客角色，只不過它不會破壞系統(tǒng)。缺點掃描工具首先掃描系統(tǒng)所開放網(wǎng)絡(luò)服務(wù)端口。然后經(jīng)過該端口進(jìn)行連接，試探提供服務(wù)軟件類型和版本號。缺點掃描工含有兩種方法去判斷該端口是否有缺點：第一、依據(jù)版本號，在缺點列表中查出是否存在缺點。第二、依據(jù)已知缺點特征，模擬一次攻擊，假如攻擊表示可能會成功就停頓，并認(rèn)為該缺點存在(要停頓攻擊模擬防止對系統(tǒng)損害)。顯然第二種方法準(zhǔn)確性比第一個要好，不過它掃描速度會很慢。第37頁②訪問控制及防火墻。訪問控制限制一些用戶對一些資源操作。訪問控制經(jīng)過降低用戶對資源訪問，從而降低資源被攻擊概率，到達(dá)防護(hù)系統(tǒng)目標(biāo)。比如，只讓可信用戶訪問資源而不讓其它用戶訪問資源，這么資源受到攻擊概率幾乎很小。防火墻是基于網(wǎng)絡(luò)訪問控制技術(shù)，在互聯(lián)網(wǎng)中已經(jīng)有著廣泛應(yīng)用。防火墻技術(shù)能夠工作在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，完成不一樣力度訪問控制。防火墻能夠阻止大多數(shù)攻擊但不是全部，很多入侵事件經(jīng)過防火墻所允許端口(比如80端口)進(jìn)行攻擊。第38頁③防病毒軟件與個人防火墻。病毒就是計算機一段可執(zhí)行代碼。一旦計算機被感染上病毒，這些可執(zhí)行代碼能夠自動執(zhí)行，破壞計算機系統(tǒng)。安裝并經(jīng)常更新防病毒軟件會對系統(tǒng)安全起防護(hù)作用。防病毒軟件依據(jù)病毒特征，檢驗用戶系統(tǒng)上是否有病毒。這個檢驗過程能夠是定時檢驗，也能夠是實時檢驗。個人防火墻是防火墻和防病毒結(jié)合。它運行在用戶系統(tǒng)中，并控制其它機器對這臺機器訪問。個人防火墻除了含有訪問控制功效外，還有病毒檢測，甚至有入侵檢測功效，是網(wǎng)絡(luò)安全防護(hù)一個主要發(fā)展方向。第39頁④數(shù)據(jù)加密。加密技術(shù)保護(hù)數(shù)據(jù)在存放和傳輸中保密性安全。⑤判別技術(shù)。判別技術(shù)和數(shù)據(jù)加密技術(shù)有很緊密關(guān)系。判別技術(shù)用在安全通信中，對通信雙方相互判別對方身份以及傳輸數(shù)據(jù)。判別技術(shù)保護(hù)數(shù)據(jù)通信兩個方面：通信雙方身份認(rèn)證和傳輸數(shù)據(jù)完整性。第40頁(2)檢測PDRR模型第二個步驟就是檢測。防護(hù)系統(tǒng)能夠阻止大多數(shù)入侵事件發(fā)生，不過它不能阻止全部入侵。尤其是那些利用新系統(tǒng)缺點、新攻擊伎倆入侵。所以安全策略第二個安全屏障就是檢測，即假如入侵發(fā)生就檢測出來，這個工具是入侵檢測系統(tǒng)(IDS)。IDS功效是檢測出正在發(fā)生或已經(jīng)發(fā)生入侵事件。這些入侵已經(jīng)成功地穿過防護(hù)戰(zhàn)線。依據(jù)檢測環(huán)境不一樣，IDS能夠分為基于主機IDS(Host-based)和基于網(wǎng)絡(luò)IDS(Network-based)?；谥鳈CIDS檢測基于主機上系統(tǒng)日志、審計數(shù)據(jù)等信息；而基于網(wǎng)絡(luò)IDS檢測則普通側(cè)重于網(wǎng)絡(luò)流量分析。第41頁依據(jù)檢測所使用方法不一樣，IDS能夠分為兩種：誤用檢測(MisuseDetection)和異常檢測(AnomalyDetection)。誤用檢測技術(shù)需要建立一個入侵規(guī)則庫，其中，它對每一個入侵都形成一個規(guī)則描述，只要發(fā)生事件符合于某個規(guī)則就被認(rèn)為是入侵。入侵檢測系統(tǒng)普通和應(yīng)急響應(yīng)及系統(tǒng)恢復(fù)有親密關(guān)系。一旦入侵檢測系統(tǒng)檢測到入侵事件，它就會將入侵事件信息傳給應(yīng)急響應(yīng)系統(tǒng)進(jìn)行處理。第42頁(3)響應(yīng)PDRR模型中第三個步驟就是響應(yīng)。響應(yīng)就是已知一個攻擊(入侵)事件發(fā)生之后，進(jìn)行對應(yīng)處理。在一個大規(guī)模網(wǎng)絡(luò)中，響應(yīng)這個工作都有一個特殊部門來負(fù)責(zé)，那就是計算機響應(yīng)小組。世界上第一個計算機響應(yīng)小組CERT于1989年建立，位于美國CMU大學(xué)軟件研究所(SEI)，是世界上最著名計算機響應(yīng)小組之一。從CERT建立之后，世界各國以及各機構(gòu)也紛紛建立自己計算機響應(yīng)小組。我國第一個計算機緊急響應(yīng)小組CCERT于1999年建立，主要服務(wù)于中國教育和科研網(wǎng)。第43頁入侵事件報警能夠是入侵檢測系統(tǒng)報警，也能夠是經(jīng)過其它方式匯報。響應(yīng)主要工作也能夠分為兩種：一個是緊急響應(yīng)；另一個是其它事件處理。緊急響應(yīng)就是當(dāng)安全事件發(fā)生時及時采取應(yīng)對辦法；其它事件主要包含咨詢、培訓(xùn)和技術(shù)支持。第44頁(4)恢復(fù)恢復(fù)是PDRR模型中最終一個步驟?；謴?fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來狀態(tài)，或者比原來更安全狀態(tài)?；謴?fù)也能夠分為兩個方面：系統(tǒng)恢復(fù)和信息恢復(fù)。①系統(tǒng)恢復(fù)。是指修補該事件所利用系統(tǒng)缺點，不讓黑客再次利用這么缺點入侵。普通系統(tǒng)恢復(fù)包含系統(tǒng)升級、軟件升級和打補丁等。系統(tǒng)恢復(fù)另一個主要工作是除去后門。普通來說，黑客在第一次入侵時候都是利用系統(tǒng)缺點。在第一次入侵成功之后，黑客就在系統(tǒng)中設(shè)置一些后門，如安裝一個特洛伊木馬。所以，盡管系統(tǒng)缺點已經(jīng)打補丁，黑客下一次還能夠經(jīng)過后門進(jìn)入系統(tǒng)。系統(tǒng)恢復(fù)都是依據(jù)檢測和響應(yīng)步驟提供相關(guān)事件資料進(jìn)行。第45頁②信息恢復(fù)。是指恢復(fù)丟失數(shù)據(jù)。數(shù)據(jù)丟失原因可能是因為黑客入侵造成，也可能是因為系統(tǒng)故障、自然災(zāi)害等原因造成。信息恢復(fù)就是把備份和歸檔數(shù)據(jù)恢復(fù)到原來數(shù)據(jù)。信息恢復(fù)過程跟數(shù)據(jù)備份過程有很大關(guān)系。數(shù)據(jù)備份做得是否充分對信息恢復(fù)有很大影響。信息恢復(fù)過程一個特點是有優(yōu)先級別。直接影響日常生活和工作信息必須先恢復(fù)，這么能夠提升信息恢復(fù)效率。第46頁2.安全策略設(shè)計標(biāo)準(zhǔn)網(wǎng)絡(luò)安全策略要求了一系列安全防范辦法，從宏觀和微觀兩方面保障網(wǎng)絡(luò)安全。在全方面了解組織網(wǎng)絡(luò)安全現(xiàn)實狀況以后，網(wǎng)絡(luò)安全策略設(shè)計者應(yīng)遵照一定標(biāo)準(zhǔn)和方法，在理論知識指導(dǎo)下制訂出科學(xué)可靠網(wǎng)絡(luò)安全策略。即使網(wǎng)絡(luò)詳細(xì)應(yīng)用環(huán)境不一樣，但在制訂安全策略時應(yīng)遵照一些總標(biāo)準(zhǔn)。(1)適應(yīng)性標(biāo)準(zhǔn)。安全策略是在一定條件下采取安全辦法，必須是和網(wǎng)絡(luò)實際應(yīng)用環(huán)境相結(jié)合。通常，在一個情況下實施安全策略到另一環(huán)境下就未必適合，所以安全策略制訂應(yīng)充分考慮當(dāng)前環(huán)境實際需求。(2)木桶標(biāo)準(zhǔn)。木桶標(biāo)準(zhǔn)即“木桶最大容積取決于最短那塊木板”，是指對信息進(jìn)行均衡、全方面保護(hù)。充分、全方面、完整地對系統(tǒng)安全漏洞和安全威脅進(jìn)行分析，評定和檢測(包含模擬攻擊)是設(shè)計信息安全系統(tǒng)必要前提條件。安全機制和安全服務(wù)設(shè)計首要目標(biāo)是預(yù)防最慣用攻擊伎倆，根本目標(biāo)是提升整個系統(tǒng)“最低點”安全性能。第47頁(3)動態(tài)性標(biāo)準(zhǔn)。安全策略是在一定時期采取安全辦法。因為網(wǎng)絡(luò)動態(tài)性特點，用戶不停增加，網(wǎng)絡(luò)規(guī)模不停擴大，網(wǎng)絡(luò)技術(shù)本身發(fā)展改變也很快，各種漏洞和隱患不停發(fā)覺，而安全辦法是防范性、連續(xù)不停，所以制訂安全辦法必須能伴隨網(wǎng)絡(luò)性能以及安全需求改變而改變，應(yīng)輕易修改和升級。(4)系統(tǒng)性標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全管理是一個系統(tǒng)化工作，必須考慮到整個網(wǎng)絡(luò)方方面面。也就是在制訂安全策略時，應(yīng)全方面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備、軟件、數(shù)據(jù)以及各種情況，有計劃有準(zhǔn)備地采取對應(yīng)策略。任何一點疏漏都會造成整個網(wǎng)絡(luò)安全性降低。第48頁(5)需求、代價、風(fēng)險平衡分析標(biāo)準(zhǔn)。對任何一個網(wǎng)絡(luò)而言，絕正確安全是不可能到達(dá)，也是無須要。應(yīng)從網(wǎng)絡(luò)實際需求出發(fā)，對網(wǎng)絡(luò)面臨威脅及可能負(fù)擔(dān)風(fēng)險進(jìn)行定性和定量相結(jié)合分析，在需求、代價和風(fēng)險間尋求一個平衡點，在此基礎(chǔ)上制訂規(guī)范和辦法，確定系統(tǒng)安全策略。(6)一致性標(biāo)準(zhǔn)。一致性標(biāo)準(zhǔn)主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)工作周期（或生命周期）同時存在，制訂安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)安全需求相一致，在網(wǎng)絡(luò)系統(tǒng)設(shè)計及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等網(wǎng)絡(luò)生命周期各個階段，都要制訂對應(yīng)安全策略。第49頁(7)最小授權(quán)標(biāo)準(zhǔn)。從網(wǎng)絡(luò)安全角度考慮問題，打開服務(wù)越多，可能出現(xiàn)安全漏洞就會越多?！白钚∈跈?quán)”標(biāo)準(zhǔn)指是網(wǎng)絡(luò)中賬號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運行所需最小程度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義網(wǎng)絡(luò)服務(wù)并將用戶權(quán)限配置為策略定義最小程度、及時刪除無須要賬號等辦法能夠?qū)⑾到y(tǒng)危險性大大降低。在沒有明確安全策略網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全管理員經(jīng)過簡單關(guān)閉無須要或者不了解網(wǎng)絡(luò)服務(wù)、刪除主機信任關(guān)系、及時刪除無須要賬號等伎倆也能夠?qū)⑷肭治ｋU降低二分之一以上。第50頁(8)整體性標(biāo)準(zhǔn)。要求在發(fā)生被攻擊、破壞事件情況下，必須盡可能地快速恢復(fù)信息系統(tǒng)服務(wù)，降低損失。所以，信息安全系統(tǒng)應(yīng)該包含安全防護(hù)機制、安全檢測機制和安全恢復(fù)機制。(9)技術(shù)與管理相結(jié)合標(biāo)準(zhǔn)。安全體系是一個復(fù)雜系統(tǒng)工程，包括人、技術(shù)、操作等各方面要素，單靠技術(shù)或管理都不可能實現(xiàn)。所以，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。(10)易操作性標(biāo)準(zhǔn)。首先，安全辦法需要人為地去完成，假如辦法過于復(fù)雜，對人要求過高，本身就降低了安全性。其次，辦法采取不能影響系統(tǒng)正常運行。第51頁3.網(wǎng)絡(luò)安全保障技術(shù)網(wǎng)絡(luò)安全強調(diào)是經(jīng)過采取各種安全技術(shù)和管理上安全辦法，確保網(wǎng)絡(luò)數(shù)據(jù)在公用網(wǎng)絡(luò)系統(tǒng)中傳輸、交換和存放流通保密性、完整性、可用性、可控性和不可否定性。網(wǎng)絡(luò)安全技術(shù)是在網(wǎng)絡(luò)攻擊反抗中不停發(fā)展，它大致經(jīng)歷了從靜態(tài)到動態(tài)、從被動防范至主動防范發(fā)展過程。當(dāng)前采取網(wǎng)絡(luò)信息安全保護(hù)技術(shù)主要有兩類：主動防御保護(hù)技術(shù)和被動防御保護(hù)技術(shù)。第52頁(1)主動防御保護(hù)技術(shù)①數(shù)據(jù)加密。密碼技術(shù)被公認(rèn)為是保護(hù)網(wǎng)絡(luò)信息安全最實用方法，普遍認(rèn)為，對數(shù)據(jù)最有效保護(hù)就是加密。②身份判別。身份判別強調(diào)一致性驗證，通常包含驗證依據(jù)、驗證系統(tǒng)和安全要求。③訪問控制。訪問控制指主體對何種客體含有何種操作權(quán)力。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)主要策略，依據(jù)控制伎倆和詳細(xì)目標(biāo)不一樣，能夠?qū)⒃L問控制技術(shù)分為入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制和屬性安全控制等。訪問控制內(nèi)容包含人員限制、訪問權(quán)限設(shè)置、數(shù)據(jù)標(biāo)識、控制類型和風(fēng)險分析。④虛擬專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)(VPN)是在公網(wǎng)基礎(chǔ)上進(jìn)行邏輯分割而虛擬構(gòu)建一個特殊通信環(huán)境，使用虛擬專用網(wǎng)絡(luò)或虛擬局域網(wǎng)技術(shù)，能確保其含有私有性和隱蔽性。第53頁(2)被動防御保護(hù)技術(shù)①防火墻技術(shù)。防火墻是內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范系統(tǒng)，可被認(rèn)為是一個訪問控制機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及哪些外部服務(wù)允許內(nèi)部訪問。②入侵檢測系統(tǒng)。入侵檢測系統(tǒng)(IDS)是在系統(tǒng)中檢驗位置執(zhí)行入侵檢測功效程序或硬件執(zhí)行體，可對當(dāng)前系統(tǒng)資源和狀態(tài)進(jìn)行監(jiān)控，檢測可能入侵行為。③安全掃描器。安全掃描器是可自動檢測遠(yuǎn)程或當(dāng)?shù)刂鳈C及網(wǎng)絡(luò)系統(tǒng)安全性漏洞專用功效程序，可用于觀察網(wǎng)絡(luò)信息系統(tǒng)運行情況。④口令驗證?？诹铗炞C可有效預(yù)防攻擊者假冒身份登錄系統(tǒng)。⑤審計跟蹤。與安全相關(guān)事件統(tǒng)計在系統(tǒng)日志文件中，事后能夠?qū)W(wǎng)絡(luò)信息系統(tǒng)運行狀態(tài)進(jìn)行詳盡審計，幫助發(fā)覺系統(tǒng)存在安全弱點和入侵點，盡可能降低安全風(fēng)險。⑥物理保護(hù)及安全管理。如實施安全隔離；經(jīng)過制訂標(biāo)準(zhǔn)、管理方法和條例，對物理實體和信息系統(tǒng)加強規(guī)范管理，降低人為原因影響。第54頁1.3.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)1.美國TCSEC可信計算機系統(tǒng)評價準(zhǔn)則(TrustedComputerSystemEvaluationCriteria，TCSEC)，又稱為橘皮書，它將計算機系統(tǒng)安全等級劃分為A、B、C、D共4類7個級別。其中，A類安全等級最高，D類安全等級最低。是計算機系統(tǒng)安全評定第一個正式標(biāo)準(zhǔn)，含有劃時代意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn)，以后擴展至民用領(lǐng)域。第55頁Netware、UNIX、WindowsNT、Windows和WindowsServer屬于C2級別。第56頁2.我國安全標(biāo)準(zhǔn)我國安全標(biāo)準(zhǔn)主要是于年1月1日起實施由公安部主持制訂、國家技術(shù)標(biāo)準(zhǔn)局公布中華人民共和國家標(biāo)準(zhǔn)準(zhǔn)GB17895-99《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》。該準(zhǔn)則將信息系統(tǒng)安全劃分為5個等級，分別是：①自主保護(hù)級②系統(tǒng)審計保護(hù)級③安全標(biāo)識保護(hù)級④結(jié)構(gòu)化保護(hù)級⑤訪問驗證保護(hù)級第57頁1.3.5虛擬機技術(shù)虛擬機(VirtualMachine)指經(jīng)過軟件模擬含有完整硬件系統(tǒng)功效、運行在一個完全隔離環(huán)境中完整計算機系統(tǒng)。經(jīng)過虛擬機軟件，能夠在一臺物理計算機上模擬出一臺或多臺虛擬計算機，這些虛擬機完全就像真正計算機那樣進(jìn)行工作，比如能夠安裝操作系統(tǒng)、安裝應(yīng)用程序、訪問網(wǎng)絡(luò)資源等等。對于用戶而言，它只是運行在用戶物理計算機上一個應(yīng)用程序，不過對于在虛擬機中運行應(yīng)用程序而言，它就是一臺真正計算機。所以，當(dāng)在虛擬機中進(jìn)行軟件評測時，可能系統(tǒng)一樣會瓦解，不過，瓦解只是虛擬機上操作系統(tǒng)，而不是物理計算機上操作系統(tǒng)，而且，使用虛擬機“Undo”(恢復(fù))功效，能夠馬上恢復(fù)虛擬機到安裝軟件之前狀態(tài)。第58頁當(dāng)前流行虛擬機軟件有VMware(VMWareACE)、VirtualBox和VirtualPC，它們都能在Windows系統(tǒng)上虛擬出多個計算機。在本書網(wǎng)絡(luò)安全試驗中，為了方便試驗進(jìn)行，較多地使用了各種虛擬機來搭建網(wǎng)絡(luò)安全虛擬試驗環(huán)境，如WindowsSever虛擬機、WindowsSever虛擬機等。第59頁1.4項目實施1.4.1任務(wù)1：系統(tǒng)安全“傻事清單”

以下是一些普通計算機用戶經(jīng)常會犯安全性錯誤，請對照并依據(jù)自己實際情況做出選擇(在供選擇答案前面打“√”，注意：單項選擇)。①使用沒有過電壓保護(hù)電源。這個錯誤真能夠毀掉計算機設(shè)備以及上面所保留數(shù)據(jù)。你可能認(rèn)為只在雷暴發(fā)生時，系統(tǒng)才會有危險，但其實任何能夠干擾電路，使電流回流原因都能燒焦你設(shè)備元件。有時甚至一個簡單動作，比如打開與電腦設(shè)備在同一個電路中設(shè)備(如電吹風(fēng)、電加熱器或者空調(diào)等高壓電器)就能造成電涌。假如碰到停電，當(dāng)恢復(fù)電力供給時也會出現(xiàn)電涌。使用電涌保護(hù)器就能夠保護(hù)系統(tǒng)免受電涌危害，不過請記住，大部分價錢廉價電涌保護(hù)器只能抵抗一次電涌，隨即需要進(jìn)行更換。不間斷電源(UPS)更勝于電涌保護(hù)器，UPS電池能使電流趨于平穩(wěn)，即使斷電，也能給你提供時間，從容地關(guān)閉設(shè)備。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為沒必要

C.知道電涌厲害，但不知道UPS

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第60頁②不使用防火墻就上網(wǎng)。許多家庭用戶會毫不猶豫地開啟電腦開始上網(wǎng)，而沒有意識到他們正將自己暴露在病毒和入侵者面前。不論是寬帶調(diào)制解調(diào)器或者路由器中內(nèi)置防火墻，還是調(diào)制解調(diào)器或路由器與電腦之間獨立防火墻設(shè)備，或者是在網(wǎng)絡(luò)邊緣運行防火墻軟件服務(wù)器，或者是電腦上安裝個人防火墻軟件(如WindowsXP中內(nèi)置防火墻，或者類似Kerio等第三方防火墻軟件)，總之，全部與互聯(lián)網(wǎng)相連計算機都應(yīng)該得到防火墻保護(hù)。在筆記本電腦上安裝個人防火墻好處于于，當(dāng)用戶帶著電腦上路或者插入酒店上網(wǎng)端口，或者與無線熱點相連接時，已經(jīng)有了防火墻。擁有防火墻不是全部，你還需要確認(rèn)防火墻是否已經(jīng)開啟，而且配置得當(dāng)，能夠發(fā)揮保護(hù)作用。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為沒必要

C.知道有防火墻但沒有用過

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第61頁③忽略防病毒軟件和防間諜軟件運行和升級。實際上，防病毒程序令人討厭，它總是阻斷一些你想要使用應(yīng)用，而且為了確保效用還需要經(jīng)常升級，在很多情況下升級都是收費。不過，盡管如此，在現(xiàn)在應(yīng)用環(huán)境下，你無法負(fù)擔(dān)不使用防病毒軟件所帶來后果。病毒、木馬、蠕蟲等惡意程序不但會減弱和破壞系統(tǒng)，還能經(jīng)過你電腦向網(wǎng)絡(luò)其它部分散播病毒。在極端情況下，甚至能夠破壞整個網(wǎng)絡(luò)。間諜軟件是另外一個不停增加威脅。這些軟件能夠自行在電腦上進(jìn)行安裝(通常都是在你不知道情況下)，搜集系統(tǒng)中情報，然后發(fā)送給間諜軟件程序作者或銷售商。防病毒程序經(jīng)常無法覺察間諜軟件，所以需要使用專業(yè)間諜軟件探測去除軟件。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為沒必要

C.知道防病毒，但不知道防間諜

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第62頁④安裝和卸載大量程序，尤其是測試版程序。因為用戶對新技術(shù)熱情和好奇，經(jīng)常安裝和嘗試新軟件。無償提供測試版程序甚至盜版軟件能夠使你有機會搶先體驗新功效。另外還有許多能夠從網(wǎng)上下載無償軟件和共享軟件。不過，安裝軟件數(shù)量越多，使用含有惡意代碼軟件，或者使用編寫不合理軟件而可能造成系統(tǒng)工作不正常概率就高。這么風(fēng)險遠(yuǎn)高于使用盜版軟件。另首先，過多安裝和卸載也會弄亂Windows系統(tǒng)注冊表，因為并不是全部卸載步驟都能將程序剩下部分清理潔凈，這么行為會造成系統(tǒng)逐步變慢。你應(yīng)該只安裝自己真正需要使用軟件，只使用正當(dāng)軟件，而且盡可能降低安裝和卸載軟件數(shù)量。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為沒必要

C.有點了解但不知道什么是注冊表

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第63頁⑤磁盤總是滿滿而且非常凌亂。頻繁安裝和卸載程序(或增加和刪除任何類型數(shù)據(jù))都會使磁盤變得零碎。信息在磁盤上保留方式造成了磁盤碎片產(chǎn)生，這么就使得磁盤文件變得零碎或者分裂。然后在訪問文件時，磁頭不會同時找到文件全部部分，而是到磁盤不一樣地址上找回全部文件。這么使得訪問速度變慢。假如文件是程序一部分，程序運行速度就會變慢。能夠使用Windows自帶“磁盤碎片整理”工具(在Windows“開始”>“全部程序”>“附件”菜單中單擊“系統(tǒng)工具”命令)來重新安排文件各個部分，以使文件在磁盤上能夠連續(xù)存放。另外一個常見能夠造成性能問題和應(yīng)用行為不妥原因是磁盤過滿。許多程序都會生成暫時文件，運行時需要磁盤提供額外空間。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為不主要

C.有點知道但不懂“磁盤碎片整理”

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第64頁⑥打開全部附件。收到帶有附件電子郵件就好像收到一份意外禮品，總是想窺視一下是什么內(nèi)容。不過，電子郵件附件可能包含能夠刪除文件或系統(tǒng)文件夾，或者向地址簿中全部聯(lián)絡(luò)人發(fā)送病毒編碼。最輕易被洞察危險附件是可執(zhí)行文件(即擴展名為.exe，.com文件)以及其它很多類型。不能自行運行文件，如Word

.doc和Excel

.xls文件等，其中能夠含有內(nèi)置宏。腳本文件(VisualBasic，JavaScript，F(xiàn)lash等)不能被計算機直接執(zhí)行，不過能夠經(jīng)過程序進(jìn)行運行。過去普通認(rèn)為純文本文件(.txt)或圖片文件(.gif，.jpg，.bmp)是安全，但現(xiàn)在也不是了。文件擴展名也能夠偽裝，入侵者能夠利用Windows默認(rèn)不顯示普通文件擴展名特征設(shè)置，將可執(zhí)行文件名稱設(shè)為類似greatfile.jpg.exe這么。實際擴展名被隱藏起來，只顯示為greatfile.jpg。這么收件人會認(rèn)為它是圖片文件，但實際上卻是惡意程序。你只能在確信附件起源可靠而且知道是什么內(nèi)容情況下才能夠打開附件。即使帶有附件郵件看起來似乎來自你能夠信任人，也有可能是一些人將他們地址偽裝成這么，甚至是發(fā)件人電腦已經(jīng)感染了病毒，在他們不知情情況下發(fā)送了附件。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為并不嚴(yán)重

C.知道附件危險但不太了解擴展名

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第65頁⑦點擊全部鏈接。打開附件不是鼠標(biāo)所能帶給你唯一麻煩。點擊電子郵件或者網(wǎng)頁上超級鏈接能將你帶入植入ActiveX控制或者腳本網(wǎng)頁，利用這些就可能進(jìn)行各種類型惡意行為，如去除硬盤，或者在計算機上安裝后門軟件，這么黑客就能夠潛入并奪取控制權(quán)。點錯鏈接也可能會帶你進(jìn)入含有色情圖片，盜版音樂或軟件等不良內(nèi)容網(wǎng)站。假如你使用是工作電腦就可能會所以麻煩纏身，甚至惹上官司。在點擊鏈接之前請務(wù)必考慮一下。有些鏈接可能被偽裝在網(wǎng)絡(luò)釣魚信息或者那些可能將你帶到別網(wǎng)站網(wǎng)頁里。比如，鏈接地址可能是，但實際上會指向。普通情況下，用鼠標(biāo)在鏈接上滑過而不關(guān)鍵點擊，就能夠看到實際URL地址。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為并不嚴(yán)重

C.以前碰到過但沒有深入考慮

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第66頁⑧共享或類似共享行為。分享是一個良好行為，不過在網(wǎng)絡(luò)上，分享則可能將你暴露在危險之中。假如你允許文件和打印機共享，他人就能夠遠(yuǎn)程與你電腦連接，并訪問你數(shù)據(jù)。即使沒有設(shè)置共享文件夾，在默認(rèn)情況下，Windows系統(tǒng)會隱藏每塊磁盤根目錄上可管理共享。一個黑客高手有可能利用這些共享侵入你電腦。處理方法之一就是，假如你不需要網(wǎng)絡(luò)訪問你電腦上任何文件，就請關(guān)閉文件和打印機共享。假如確實需要共享一些文件夾，請務(wù)必經(jīng)過共享級許可和文件級(NTFS)許可對文件夾進(jìn)行保護(hù)。另外還要確保你賬號和當(dāng)?shù)毓芾碣~號密碼足夠安全。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為并不嚴(yán)重

C.知道共享文件和文件夾有危險，但不知道共享打印機也危險

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第67頁⑨用錯密碼。這也是使得我們暴露在入侵者面前又一個常見錯誤。即使網(wǎng)絡(luò)管理員并沒有強迫你選擇強大密碼并定時更換，你也應(yīng)該自覺這么做。不要選取輕易被猜中密碼，且密碼越長越不輕易被破解。所以，提議你密碼最少為8位。慣用密碼破解方法是采取“字典”破解法，所以，不要使用字典中能查到單詞作為密碼。為安全起見，密碼應(yīng)該由字母、數(shù)字以及符號組合而成。很長無意義字符串密碼極難被破解，不過假如你因為記不住密碼而不得不將密碼寫下來話，就違反了設(shè)置密碼初衷，因為入侵者可能會找到密碼。比如，能夠造一個輕易記住短語，并使用每個單詞第一個字母，以及數(shù)字和符號生成一個密碼。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但以為并不嚴(yán)重

C.知道密碼但不了解密碼

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第68頁⑩忽略對備份和恢復(fù)計劃需要。即使你聽取了全部提議，入侵者依然可能弄垮你系統(tǒng)，你數(shù)據(jù)可能遭到篡改，或因硬件問題而被擦除。所以，備份主要信息，制訂系統(tǒng)故障時恢復(fù)計劃是相當(dāng)必要。大部分計算機用戶都知道應(yīng)該備份，不過許多用戶從來都不進(jìn)行備份，或者最初做過備份不過從來都不定時對備份進(jìn)行升級。應(yīng)該使用內(nèi)置Windows備份程序或者第三方備份程序以及能夠自動進(jìn)行備份定時備份程序。所備份數(shù)據(jù)應(yīng)該保留在網(wǎng)絡(luò)服務(wù)器或者遠(yuǎn)離計算機移動存放器中，以預(yù)防洪水、火災(zāi)等災(zāi)難情況發(fā)生。請切記數(shù)據(jù)是你計算機上最主要東西。操作系統(tǒng)和應(yīng)用程序都能夠重新安裝，但重建原始數(shù)據(jù)則是難度很高甚至根本無法完成任務(wù)。請選擇：

A.我懂并已經(jīng)做到了

B.我知道一點，但災(zāi)難畢竟極少

C.知道備份主要但不會應(yīng)用

D.現(xiàn)在剛知道，我會關(guān)注這一點

E.我以為這個不主要，不知道也無所謂第69頁請匯總并分析：上述10個安全問題，假如A選項為10分，B選項為8分，C選項為6分，D選項為4分，E選項為2分，請匯總，你得分是：______________分。用戶總是會用層出不窮方法給自己惹上麻煩。與你同學(xué)和朋友們分享這個“傻事清單”，將能夠防止他們犯這些原本能夠防止發(fā)生錯誤。你以為呢？請簡述你看法。第70頁1.4.2任務(wù)2：VMware虛擬機安裝與使用1．任務(wù)目標(biāo)

(1)了解虛擬機技術(shù)在網(wǎng)絡(luò)安全實訓(xùn)項目中應(yīng)用。

(2)掌握VMwareWorkstation虛擬機軟件使用方法。2．任務(wù)內(nèi)容

(1)安裝VMwareWorkstation軟件。

(2)安裝WindowsServer操作系統(tǒng)。

(3)VMware虛擬機功效設(shè)置。3．完成任務(wù)所需設(shè)備和軟件

(1)裝有WindowsXP操作系統(tǒng)PC機1臺。

(2)VMwareWorkstation7.1軟件。

(3)WindowsServer安裝光盤或ISO鏡像文件。第71頁4.任務(wù)實施步驟(1)安裝VMwareWorkstation軟件訪問VMware企業(yè)官方網(wǎng)站(/cn/)，下載最新版本VMwareWorkstation軟件，下面使用VMwareWorkstation7.1安裝虛擬機，并在其上安裝WindowsServer操作系統(tǒng)軟件。步驟1：雙擊下載安裝程序包，進(jìn)入程序安裝過程。安裝包裝載完成之后，進(jìn)入安裝向?qū)?，如圖1-4所表示。單擊“Next”按鈕，進(jìn)入安裝類型選擇對話框，如圖1-5所表示。第72頁第73頁步驟2：單擊“Typical”按鈕，進(jìn)入安裝路徑設(shè)置對話框，如圖1-6所表示。假如要更改安裝路徑，可單擊“Change”按鈕進(jìn)行更改，如選擇D:\VM7.1安裝路徑。步驟3：單擊“Next”按鈕，進(jìn)入軟件更新設(shè)置對話框，如圖1-7所表示。選中“Checkforproductsonstartup”復(fù)選框，這么可在程序開啟時候檢驗軟件更新。第74頁步驟4：單擊“Next”按鈕，進(jìn)入用戶信息反饋設(shè)置對話框，如圖1-8所表示。取消選中“HelpimproveVMwareWorkstation”復(fù)選框，這么不會發(fā)送匿名系統(tǒng)數(shù)據(jù)和使用統(tǒng)計信息給VMware企業(yè)。步驟5：單擊“Next”按鈕，進(jìn)入快捷方式設(shè)置對話框，如圖1-9所表示。依據(jù)需要選中對應(yīng)快捷方式復(fù)選框。第75頁步驟6：單擊“Next”按鈕，進(jìn)入準(zhǔn)備正式安裝對話框，如圖1-10所表示。單擊“Continue”按鈕，開始正式安裝。步驟7：安裝完成后，單擊“Next”按鈕，出現(xiàn)要求輸入LicenseKey對話框，如圖1-11所表示。輸入LicenseKey后，單擊“Enter”按鈕。第76頁步驟8：假如輸入LicenseKey正確，則出現(xiàn)安裝向?qū)瓿蓪υ捒?，如圖1-12所表示。單擊“RestartNow”按鈕馬上重新開啟計算機；也能夠單擊“RestartLater”按鈕稍后重新開啟計算機。步驟9：重新開啟計算機后，選擇“開始”→“程序”→“VMware”→“VMwareWorkstation”命令，出現(xiàn)認(rèn)證許可協(xié)議對話框，如圖1-13所表示。第77頁步驟10：選中“yes,Iacceptthetermsinthelicenseagreement”單項選擇按鈕后，單擊“OK”按鈕，進(jìn)入VMwareWorkstation程序主界面。因為VMwareWorkstation程序主界面是英文，不方便用戶使用，用戶可安裝對應(yīng)漢化包軟件，安裝漢化包軟件后程序主界面如圖1-14所表示。第78頁(2)安裝WindowsServer操作系統(tǒng)安裝完虛擬機后，就如同組裝了一臺新計算機，因而需要安裝操作系統(tǒng)。步驟1：單擊圖1-14中“新建虛擬機”按鈕，或選擇“文件”→“新建”→“虛擬機”命令，出現(xiàn)新建虛擬機向?qū)υ捒?，如圖1-15所表示。步驟2：選中“標(biāo)準(zhǔn)(推薦)”單項選擇按鈕后，單擊“下一步”按鈕，出現(xiàn)操作系統(tǒng)安裝起源選擇對話框，如圖1-16所表示。選中“安裝盤鏡像文件(iso)”單項選擇按鈕后，單擊“瀏覽”按鈕，選擇WindowsServer安裝鏡像文件(如D:\windows.iso)。第79頁第80頁步驟3：單擊“下一步”按鈕，出現(xiàn)系統(tǒng)安裝信息對話框，如圖1-17所表示。輸入安裝系統(tǒng)Windows產(chǎn)品密鑰，以及安裝序列號，同時可設(shè)置系統(tǒng)賬戶名稱及密碼。步驟4：單擊“下一步”按鈕，出現(xiàn)設(shè)置虛擬機名稱和位置對話框，如圖1-18所表示。在“虛擬機名稱”文本框中輸入虛擬機名稱(如WindowsServerEnterpriseEdition)，在“位置”文本框中輸入操作系統(tǒng)存放路徑(如D:\WindowsServer)。第81頁步驟5：單擊“下一步”按鈕，出現(xiàn)指定磁盤容量對話框，如圖1-19所表示。設(shè)置最大磁盤空間為40GB。步驟6：單擊“下一步”按鈕，出現(xiàn)準(zhǔn)備創(chuàng)建虛擬機對話框，如圖1-20所表示。第82頁步驟7：單擊“定制硬件”按鈕，打開“硬件”對話框，單擊“網(wǎng)絡(luò)適配器NAT”選項后，在“網(wǎng)絡(luò)連接”區(qū)域中，選中“橋接：直接連接到物理網(wǎng)絡(luò)”單項選擇按鈕，如圖1-21所表示。步驟8：單擊“確定”按鈕，返回準(zhǔn)備創(chuàng)建虛擬機對話框，單擊“完成”按鈕。今后，VMware虛擬機會依據(jù)安裝鏡像文件開始安裝WindowsServer操作系統(tǒng)，按照安裝向?qū)嵝淹瓿蒞indowsServer操作系統(tǒng)安裝。第83頁(3)VMware虛擬機功效設(shè)置①網(wǎng)絡(luò)設(shè)置。因為本項目連網(wǎng)采取是橋接(Bridged)方式，此時，虛擬主機和宿主機真實網(wǎng)卡能夠設(shè)置在同一個網(wǎng)段，二者之間關(guān)系就像是相鄰兩臺計算機一樣。步驟1：設(shè)置宿主機IP地址為1，子網(wǎng)掩碼為。設(shè)置虛擬主機IP地址為11，子網(wǎng)掩碼為。步驟2：在宿主機中，運行ping11命令，測試與虛擬主機連通性，如圖1-22所表示。第84頁第85頁②系統(tǒng)快照設(shè)置快照（Snapshot）指是虛擬磁盤（VMDK）在某一特定時間點副本。經(jīng)過快照能夠在系統(tǒng)發(fā)生問題后恢復(fù)到快照時間點，從而有效保護(hù)磁盤上文件系統(tǒng)和虛擬機內(nèi)存數(shù)據(jù)。在VMware中進(jìn)行試驗，能夠隨時把系統(tǒng)恢復(fù)到某一次快照過去狀態(tài)中，這個過程對于在虛擬機中完成一些對系統(tǒng)有潛在危害試驗非常有用。步驟1：創(chuàng)建快照。在虛擬機中，選擇“虛擬機”→“快照”→“從當(dāng)前狀態(tài)創(chuàng)建快照”命令，打開“創(chuàng)建快照”對話框，如圖1-23所表示，在“名稱”文本框中輸入快照名(如“快照1”)，單擊“確定”按鈕，VMwareWorkstation會對當(dāng)前系統(tǒng)狀態(tài)進(jìn)行保留。第86頁步驟2：利用快照進(jìn)行系統(tǒng)還原。選擇“虛擬機”→“快照”→“1快照1”命令，如圖1-24所表示，出現(xiàn)提醒信息后，單擊“是”按鈕，VMwareWorkstation就會將在該點保留系統(tǒng)狀態(tài)進(jìn)行還原。第87頁③修改虛擬機基本配置創(chuàng)建好虛擬機基本配置，如虛擬機內(nèi)存大小、硬盤數(shù)量、網(wǎng)卡數(shù)量和連接方式、聲卡、USB接口等設(shè)備并不是一成不變，能夠依據(jù)需要進(jìn)行修改。步驟1：在“VMwareWorkstation”

主界面中，選中想要修改配置虛擬機名稱(如“WindowsServerEnterpriseEdition”，再選擇“虛擬機”→“設(shè)置”命令，打開“虛擬機設(shè)置”對話框，如圖1-25所表示。第88頁步驟2：在如圖1-25所表示“虛擬機設(shè)置”對話框中，依據(jù)需要，可調(diào)整虛擬機內(nèi)存大小、添加或者刪除硬件設(shè)備、修改網(wǎng)絡(luò)連接方式、修改虛擬機中CPU數(shù)量、設(shè)置虛擬機名稱、修改虛擬機操作系統(tǒng)及版本等選項