信息安全基礎(chǔ)全書課件整本書電子教案

《信息安全基礎(chǔ)》第一章信息安全概述【學(xué)習(xí)目標(biāo)】

了解信息安全學(xué)習(xí)領(lǐng)域的內(nèi)容、要求；掌握信息與信息安全的概念；了解信息安全面臨的威脅類型；了解信息安全的現(xiàn)狀和目標(biāo)；熟悉重要的信息安全模型的主要內(nèi)容，了解信息系統(tǒng)安全體系結(jié)構(gòu)；了解重要的信息安全評價標(biāo)準(zhǔn)。1.1信息與信息安全

1.1.1什么是信息1信息的定義信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義。信息本身是無形的，借助于信息媒體以多種形式存在或傳播，可以存儲在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中，也可以記憶在人的大腦里，還可以通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式傳播。通常情況下，可以把信息理解為消息、信號、數(shù)據(jù)、情報(bào)、知識等。1.1信息與信息安全1.1信息與信息安全2信息的安全屬性（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否認(rèn)性1.1信息與信息安全1.1.2什么是信息安全1信息安全的定義信息安全從廣義上講，是指對信息的保密性、可用性和完整性的保持。由于當(dāng)今人類社會活動更多的依賴于網(wǎng)絡(luò)，因此狹義的講，信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。2信息安全研究的基本內(nèi)容（1）研究領(lǐng)域（2）工程技術(shù)領(lǐng)域（3）評估與測評領(lǐng)域（4）網(wǎng)絡(luò)或信息安全管理領(lǐng)域（5）公共安全領(lǐng)域（6）軍事領(lǐng)域1.2信息安全面臨威脅類型1.2.1計(jì)算機(jī)網(wǎng)絡(luò)所面臨的主要威脅計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅主要有對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)中設(shè)備的威脅兩種。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素有很多，其所面臨的威脅也就來自多個方面，主要威脅包括人為的失誤、信息截取、內(nèi)部竊密和破壞、黑客攻擊、技術(shù)缺陷、病毒、自然災(zāi)害等。1.2信息安全面臨威脅類型人為的失誤信息截取內(nèi)部竊密和破壞黑客攻擊技術(shù)缺陷病毒自然災(zāi)害等不可抗力因素1.2信息安全面臨威脅類型竊聽：攻擊者通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息；重傳：攻擊者先獲得部分或全部信息，而以后將此信息發(fā)送給接收者；偽造：攻擊者將偽造的信息發(fā)送給接收者；篡改：攻擊者對合法用戶之間的通信信息進(jìn)行修改、刪除、插入，再發(fā)送給接收者；1.2信息安全面臨威脅類型拒絕服務(wù)攻擊：供給者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻礙合法用戶獲得服務(wù)；行為否認(rèn)：通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為；非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源；傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。1.2信息安全面臨威脅類型1.2.2從五個層次看信息安全威脅信息系統(tǒng)的安全威脅是永遠(yuǎn)存在的，下面從信息安全的五個層次，來介紹信息安全中的信息的安全威脅。物理層安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析操作系統(tǒng)層安全風(fēng)險(xiǎn)分析應(yīng)用層安全風(fēng)險(xiǎn)分析管理層安全風(fēng)險(xiǎn)分析1.3信息安全的現(xiàn)狀與目標(biāo)

1.3.1信息安全的現(xiàn)狀1近年我國信息安全現(xiàn)狀2網(wǎng)絡(luò)信息安全的發(fā)展趨勢1.3信息安全的現(xiàn)狀與目標(biāo)1.3.2信息安全的目標(biāo)總而言之，所有的信息安全技術(shù)都是為了達(dá)到一定的安全目標(biāo)，即通過各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性。1.4信息安全模型與信息系統(tǒng)安全體系結(jié)構(gòu)1.4.1信息安全模型概述本節(jié)介紹比較流行的信息安全模型，它們是：OSI安全體系結(jié)構(gòu)、基于時間的PDR模型、IATF信息保障技術(shù)框架、WPDRRC信息安全模型。1OSI安全體系結(jié)構(gòu)國際標(biāo)準(zhǔn)化組織（ISO）在對開放系統(tǒng)互聯(lián)環(huán)境的安全性進(jìn)行了深入研究后，提出了OSI安全體系結(jié)構(gòu)（OpenSystemInterconnectionReferenceModel），即《信息處理系統(tǒng)——開放系統(tǒng)互連——基本參考模型——第二部分：安全體系結(jié)構(gòu)》（ISO7498-2:1989），該標(biāo)準(zhǔn)被我國等同采用，即GB/T9387.2-1995。該標(biāo)準(zhǔn)是基于OSI參考模型針對通信網(wǎng)絡(luò)提出的安全體系架構(gòu)模型。1OSI安全體系結(jié)構(gòu)

對付典型威脅所采用的安全服OSI協(xié)議層與相關(guān)的安全服務(wù)OSI安全服務(wù)與安全機(jī)制之間的關(guān)系2基于時間的PDR模型隨著信息安全技術(shù)的發(fā)展，又提出了新的安全防護(hù)思想，具有代表性的是ISS公司提出的PDR安全模型，該模型認(rèn)為安全應(yīng)從防護(hù)（protection）、檢測（detection）、響應(yīng)（reaction）三個方面考慮形成安全防護(hù)體系。圖1-3PDR模型3IATF信息保障技術(shù)框架

當(dāng)信息安全發(fā)展到信息保障階段之后，人們越發(fā)認(rèn)為，構(gòu)建信息安全保障體系必須從安全的各個方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）就是在這種背景下誕生的3IATF信息保障技術(shù)框架（1）IATF深度防御戰(zhàn)略的三個層面IATF創(chuàng)造性的地方在于，它首次提出了信息保障依賴于人、技術(shù)和操作來共同實(shí)現(xiàn)組織職能/業(yè)務(wù)運(yùn)作的思想，對技術(shù)/信息基礎(chǔ)設(shè)施的管理也離不開這三個要素。I圖1-4IATF的框架模型3IATF信息保障技術(shù)框架（2）IATF深度防御技術(shù)方案了明確需求，IATF定義了四個主要的技術(shù)焦點(diǎn)領(lǐng)域：保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，保衛(wèi)邊界，保衛(wèi)計(jì)算環(huán)境和為基礎(chǔ)設(shè)施提供支持，這四個領(lǐng)域構(gòu)成了完整的信息保障體系所涉及的范圍。3IATF信息保障技術(shù)框架圖1-5IATF-分層多點(diǎn)深度防御3IATF信息保障技術(shù)框架在深度防御技術(shù)方案中推薦下列原則：（1）多點(diǎn)防御（2）分層防御4WPDRRC信息安全模型

WPDRRC信息安全模型是我國“八六三”信息安全專家組提出的適合中國國情的信息系統(tǒng)安全保障體系建設(shè)模型。WPDRRC模型有6個環(huán)節(jié)和3個要素。6個環(huán)節(jié)包括預(yù)警（W）、保護(hù)（P）、檢測（D）、響應(yīng)（R）、恢復(fù)（R）和反擊（C）3大要素包括人員、策略和技術(shù)，人員是核心，策略是橋梁，技術(shù)是保證，落實(shí)在WPDRRC的6個環(huán)節(jié)的各個方面，將安全策略變?yōu)榘踩F(xiàn)實(shí)。4WPDRRC信息安全模型圖1-6WPDRRC信息安全模型1.4信息安全模型與信息系統(tǒng)安全體系結(jié)構(gòu)1.4.2信息系統(tǒng)安全體系結(jié)構(gòu)1信息系統(tǒng)安全體系框架信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)備安全與公共信息安全的總和。1信息系統(tǒng)安全體系框架

圖1-7信息系統(tǒng)安全體系結(jié)構(gòu)示意圖2技術(shù)體系

（1）技術(shù)體系的內(nèi)容和作用技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。（2）技術(shù)體系由兩大類構(gòu)成技術(shù)體系由物理安全技術(shù)和系統(tǒng)安全技術(shù)兩大類構(gòu)成。（3）技術(shù)體系框架信息系統(tǒng)安全體系中技術(shù)體系框架的設(shè)計(jì)，可將協(xié)議層次、信息系統(tǒng)構(gòu)成單元和安全服務(wù)（安全機(jī)制）作為三維坐標(biāo)體系的三個維來表示。如圖1-8所示。技術(shù)體系框架圖1-8安全技術(shù)體系三維結(jié)構(gòu)3組織機(jī)構(gòu)體系

組織機(jī)構(gòu)體系是信息系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事機(jī)構(gòu)3個模塊構(gòu)成。機(jī)構(gòu)的設(shè)置分為3個層次：決策層、管理層和執(zhí)行層。4管理體系

管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理3個部分組成。4管理體系法律管理是根據(jù)相關(guān)的國家法律、法規(guī)對信息系統(tǒng)主體及其與外界關(guān)聯(lián)行為的規(guī)范和約束。制度管理是信息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國家或組織的安全需求制定的一系列內(nèi)部規(guī)章制度，主要內(nèi)容包括安全管理和執(zhí)行機(jī)構(gòu)的行為規(guī)范、崗位設(shè)定及其操作規(guī)范、崗位人員的素質(zhì)要求及行為規(guī)范、內(nèi)部關(guān)系與外部關(guān)系的行為規(guī)范等。培訓(xùn)管理是確保信息系統(tǒng)安全的前提。1.4.3某高校的信息安全體系建設(shè)舉例以某高校的信息安全體系建設(shè)為例，介紹信息安全體系建設(shè)思路。1建設(shè)原則和工作路線學(xué)校信息安全建設(shè)的總體原則是：總體規(guī)劃、適度防護(hù)，分級分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運(yùn)維。圖1-9信息安全體系建設(shè)流程圖1.4.3某高校的信息安全體系建設(shè)舉例2體系框架信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見稿)，并吸納了IATF模型中“深度防護(hù)戰(zhàn)略”理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個核心原則，重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運(yùn)維服務(wù)和ITSM集中運(yùn)維管理(ITServiceManagement[EB/OL]，基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐)，形成了集風(fēng)險(xiǎn)評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)大學(xué)信息安全體系框架圖1-10大學(xué)信息安全體系框架1.5信息安全評價標(biāo)準(zhǔn)

信息安全標(biāo)準(zhǔn)是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測評中解決其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范和技術(shù)依據(jù)。1.5.1信息安全相關(guān)國際標(biāo)準(zhǔn)1信息安全評估標(biāo)準(zhǔn)信息技術(shù)安全評估標(biāo)準(zhǔn)的歷史和發(fā)展概況1999年GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則1993年美國聯(lián)邦準(zhǔn)則（FC1.0）1993年加拿大可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則（CTCEC）1991年歐洲信息技術(shù)安全性評估準(zhǔn)則（ITSEC）國際通用評估準(zhǔn)則1996年，CC1.01998年，CC2.01999年，CC2.11999年國際標(biāo)準(zhǔn)ISO/IEC154082001年GB/T18336信息技術(shù)安全性評估準(zhǔn)則1985年美國國防部可信計(jì)算機(jī)評估準(zhǔn)則（TCSEC）1989年英國可信級別標(biāo)準(zhǔn)（MEMO3DTI）德國評估標(biāo)準(zhǔn)（ZSEIC）法國評估標(biāo)準(zhǔn)（B-W-RBOOK）1993年NIST的MSFR圖1-11信息技術(shù)安全評估標(biāo)準(zhǔn)的歷史和發(fā)展概況1.5信息安全評價標(biāo)準(zhǔn)2信息安全管理標(biāo)準(zhǔn)（1）ISO/IEC信息安全管理標(biāo)準(zhǔn)（2）英國的信息安全管理標(biāo)準(zhǔn)（BS7799和BS15000）（3）美國的信息安全管理標(biāo)準(zhǔn)——NISTSP系列特別出版物（4）信息技術(shù)服務(wù)和信息系統(tǒng)審計(jì)治理領(lǐng)域——COBIT和ITIL1）信息系統(tǒng)審計(jì)領(lǐng)域——COBITCOBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）模型是美國ISACA協(xié)會所提供的一個IT審計(jì)和治理的框架。它為信息系統(tǒng)審計(jì)和治理提供了一整套的控制目標(biāo)、管理措施、審計(jì)指南。圖1-12COBIT模型2）IT服務(wù)管理領(lǐng)域——ITILITIL由英國政府部門CCTA在20世紀(jì)80年代末制定，現(xiàn)由英國商務(wù)部OGC負(fù)責(zé)管理，主要適用于IT服務(wù)管理（ITSM）。圖1-13ITIL框架結(jié)構(gòu)信息安全管理標(biāo)準(zhǔn)歷史和發(fā)展概況脈絡(luò)圖圖1-14信息安全管理標(biāo)準(zhǔn)歷史和發(fā)展概況脈絡(luò)圖(5)目前應(yīng)用最廣泛的國際信息安全管理標(biāo)準(zhǔn)ISO/IEC27000標(biāo)準(zhǔn)族ISO13335標(biāo)準(zhǔn)族1.5信息安全評價標(biāo)準(zhǔn)3.信息安全工程標(biāo)準(zhǔn)——SSE-CMM（1）SSE-CMM簡介

SSE-CMM是系統(tǒng)安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的縮寫，是一種衡量系統(tǒng)安全工程實(shí)施能力的方法。它描述了一個組織安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證。（2）SSE-CMM應(yīng)用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。1.5信息安全評價標(biāo)準(zhǔn)1.5.2信息安全相關(guān)國內(nèi)標(biāo)準(zhǔn)1我國信息技術(shù)安全評估標(biāo)準(zhǔn)我國公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)G817895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級：自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。1.5信息安全評價標(biāo)準(zhǔn)1.5.2信息安全相關(guān)國內(nèi)標(biāo)準(zhǔn)2我國信息安全管理標(biāo)準(zhǔn)（1）GB/T20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》（2）其他重要信息安全管理標(biāo)準(zhǔn)3等級保護(hù)標(biāo)準(zhǔn)1.6項(xiàng)目小實(shí)踐【實(shí)驗(yàn)名稱】網(wǎng)絡(luò)安全整體規(guī)劃與實(shí)現(xiàn)【實(shí)驗(yàn)內(nèi)容】利用如圖1-17所示的網(wǎng)絡(luò)環(huán)境，首先學(xué)習(xí)利用工具對本地主機(jī)運(yùn)行狀態(tài)進(jìn)行安全評估，分析本地主機(jī)安全隱患，并生成相應(yīng)的報(bào)告文件。對系統(tǒng)進(jìn)行綜合評估，發(fā)現(xiàn)主機(jī)應(yīng)用服務(wù)狀態(tài)，對外安全隱患。利用X-Scan掃描系統(tǒng)漏洞并分析，對漏洞進(jìn)行防御。最后，形成一個完整的評估報(bào)告，并對被分析的網(wǎng)絡(luò)系統(tǒng)進(jìn)行改進(jìn)，提升其整體安全性。1.6項(xiàng)目小實(shí)踐【實(shí)驗(yàn)原理】風(fēng)險(xiǎn)評估/安全評估是在防火墻、入侵檢測、VPN等專項(xiàng)安全技術(shù)之上必須考慮的一個問題，因?yàn)榘踩⒉皇屈c(diǎn)的概念，而是整體的立體概念。在各種專項(xiàng)技術(shù)的基礎(chǔ)上，有必要對整個網(wǎng)絡(luò)信息系統(tǒng)的安全性進(jìn)行分析評估，以改進(jìn)系統(tǒng)整體的安全。（1）SecAnalyst運(yùn)行狀態(tài)評估（2）MBSA綜合評估（3）X-scan攻擊掃描評估（4）MSAT安全評估1.6項(xiàng)目小實(shí)踐【實(shí)驗(yàn)環(huán)境】學(xué)生可以2人為一組，網(wǎng)絡(luò)拓?fù)淙鐖D1-17所示；分別對不同網(wǎng)段進(jìn)行掃描評估等操作，評估整個網(wǎng)絡(luò)架構(gòu)的安全性。1.6項(xiàng)目小實(shí)踐【實(shí)驗(yàn)步驟】略.【實(shí)驗(yàn)思考】安全漏洞還存在于MSAT掃描之外的哪些方面？提交針對實(shí)驗(yàn)中的網(wǎng)絡(luò)架構(gòu)的安全評估報(bào)告，并進(jìn)行實(shí)際的安全改進(jìn)。利用相關(guān)的安全評估工具(如報(bào)表軟件)，通過問卷調(diào)查等打分手段來進(jìn)一步分析網(wǎng)絡(luò)架構(gòu)的安全性。1.7習(xí)題

信息的安全屬性是什么？信息安全的定義是什么？信息安全面臨威脅有哪些？信息安全的目標(biāo)是什么？PDR模型的重要內(nèi)容是什么？OSI安全體系結(jié)構(gòu)定義了五大類安全服務(wù)，同時提供這些服務(wù)的八類安全機(jī)制，它們的內(nèi)容是什么？國際上，重要的信息安全評估標(biāo)準(zhǔn)和信息安全管理標(biāo)準(zhǔn)有哪些？我國的情況是怎樣的？《信息安全基礎(chǔ)》第2章：信息安全基本保障技術(shù)【學(xué)習(xí)目標(biāo)】1.掌握密碼學(xué)的基本發(fā)展歷史2.掌握主要加密算法的實(shí)現(xiàn)原理3.掌握信息隱藏技術(shù)的實(shí)現(xiàn)原理及一般方法2.1密碼學(xué)技術(shù)概述2.1.1密碼學(xué)歷史分析1.古典密碼學(xué)移位式替代式KGDEINPKLRIJLFGOKLMNISOJNTVWG

指揮官拿到后，把它纏在一條木棍上，得到明文“KillKing”。即每4位取一個字母。其他字母是干擾的。2現(xiàn)代密碼學(xué)加密解密密碼協(xié)議2.1.2對稱密碼算法常見的對稱加密算法有DES、3DES、AES、Blowfish、IDEA、RC4、RC5、RC6。DESDES最初出現(xiàn)在1970年代早期。NBS（國家標(biāo)準(zhǔn)局，現(xiàn)在的NIST）先后2次征集用于加密政府內(nèi)非機(jī)密敏感信息的加密標(biāo)準(zhǔn)。DES在1976年被美國聯(lián)邦政府的國家標(biāo)準(zhǔn)局確定為聯(lián)邦資料處理標(biāo)準(zhǔn)（FIPS），隨后在國際上廣泛流傳開來。它基于使用56位密鑰的對稱算法。DES算法的整體結(jié)構(gòu)如圖2-1所示：有16個相同的處理過程，稱為“回次”(round)，并在首尾各有一次置換，稱為IP與FP（或稱IP-1，F(xiàn)P為IP的反函數(shù)（即IP“撤銷”FP的操作，反之亦然）。2.1.3非對稱密碼學(xué)非對稱密鑰，是指一對加密密鑰與解密密鑰，這兩個密鑰是數(shù)學(xué)相關(guān)，用某用戶密鑰加密后所得的信息，只能用該用戶的解密密鑰才能解密。常見的公鑰加密算法有:RSA、ElGamal、背包算法、Rabin（RSA的特例）、迪菲－赫爾曼密鑰交換協(xié)議中的公鑰加密算法、橢圓曲線加密算法（英語：EllipticCurveCryptography,ECC）。2.1.4哈希函數(shù)MD5即Message-DigestAlgorithm5（消息摘要算法第五版）的簡稱，是當(dāng)前計(jì)算機(jī)領(lǐng)域用于確保信息傳輸完整一致而廣泛使用的散列算法之一MD5破解方法黑客破獲這種密碼的方法是一種被稱為"跑字典"的方法。有兩種方法得到字典，一種是日常搜集的用做密碼的字符串表，另一種是用排列組合方法生成的，先用MD5程序計(jì)算出這些字典項(xiàng)的MD5值，然后再用目標(biāo)的MD5值在這個字典中檢索。2.1.5數(shù)字簽名技術(shù)數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實(shí)性的一個有效證明。普通數(shù)字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數(shù)字簽名算法、Des/DSA,橢圓曲線數(shù)字簽名算法和有限自動機(jī)數(shù)字簽名算法等。主要功能保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。簽名過程2.2信息隱藏技術(shù)信息隱藏的方法主要有隱寫術(shù)、數(shù)字水印技術(shù)、可視密碼、潛信道、隱匿協(xié)議隱寫術(shù)隱寫術(shù)就是將秘密信息隱藏到看上去普通的信息(如數(shù)字圖像)中進(jìn)行傳送數(shù)字水印技術(shù)(DigitalWatermark):技術(shù)是將一些標(biāo)識信息(即數(shù)字水印)直接嵌入數(shù)字載體(包括多媒體、文檔、軟件等)當(dāng)中，但不影響原載體的使用價值，也不容易被人的知覺系統(tǒng)(如視覺或聽覺系統(tǒng))覺察或注意到。2.2.1圖像信息隱藏技術(shù)用于進(jìn)行隱蔽通信的圖像信息隱藏算法可以分為兩大類：基于空域的信息隱藏算法基于變換域的信息隱藏算法2.2.2音頻信息隱藏技術(shù)AAC音頻信息隱藏的方法及特點(diǎn)基于非壓縮域的隱藏方法基于時頻域的隱藏方法基于量化過程的隱藏方法基于比特流的隱藏方法。音頻信息隱藏技術(shù)指標(biāo)評價魯棒性（robustness）隱藏容量（capacity）不可感知性（imperceptibility）不可檢測性（undetectability）2.2.3文本信息隱藏技術(shù)文本信息隱藏一般方法行間距編碼字間距編碼特征編碼新的隱藏方法基于字符顏色的信息隱藏基于字符縮放的信息隱藏基于字符下劃線標(biāo)記的信息隱藏項(xiàng)目小實(shí)踐密碼學(xué)——對稱密碼基本加密實(shí)驗(yàn)2.LSB圖像信息隱藏實(shí)驗(yàn)小結(jié)密碼學(xué)的基本定義密碼學(xué)算法加解密實(shí)現(xiàn)過程《信息安全基礎(chǔ)》第3章：病毒認(rèn)識與防御【學(xué)習(xí)目標(biāo)】1.了解什么是計(jì)算機(jī)病毒，以及其特點(diǎn)2.掌握典型病毒的傳播特點(diǎn)及危害3.了解和掌握常見病毒的防御技術(shù)4.掌握病毒防治工具的使用3.1病毒基礎(chǔ)知識3.1.1病毒概述1.病毒定義計(jì)算機(jī)病毒（ComputerVirus）在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。2.感染策略非常駐型病毒常駐型病毒3.傳播途徑和宿主病毒主要通過網(wǎng)絡(luò)瀏覽以及下載，電子郵件以及可移動磁盤等途徑迅速傳播4.躲避偵測的方法隱蔽自修改隨機(jī)加密多態(tài)變形3.1.2病毒實(shí)現(xiàn)的關(guān)鍵技術(shù)1.自啟動技術(shù)2.自我保護(hù)技術(shù)3.1.3典型病毒特點(diǎn)主要特征詳解傳播性隱蔽性感染性潛伏性可激發(fā)性表現(xiàn)性破壞性病毒分類木馬/僵尸網(wǎng)絡(luò)蠕蟲病毒腳本病毒文件型病毒3.2病毒的防御技術(shù)3.2.1基于主機(jī)的病毒防御技術(shù)基于主機(jī)的病毒防治策略主要有：特征碼匹配技術(shù)權(quán)限控制技術(shù)完整性驗(yàn)證技術(shù)3.2.2基于網(wǎng)絡(luò)的病毒防御技術(shù)基于網(wǎng)絡(luò)的病毒檢測技術(shù)主要有異常檢測誤用檢測3.3病毒防治工具簡介1.計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治方法基于工作站的防治技術(shù)軟件防治防病毒卡在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片基于服務(wù)器的防治技術(shù)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理

建立"防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治"的最佳網(wǎng)絡(luò)病毒安全模式2.常見病毒防治工具360安全衛(wèi)士360殺毒項(xiàng)目小實(shí)踐移動存儲型病毒實(shí)驗(yàn)流氓軟件實(shí)驗(yàn)?zāi)抉R攻擊實(shí)驗(yàn)習(xí)題病毒基本概念病毒的特點(diǎn)病毒的防治《信息安全基礎(chǔ)》第4章：網(wǎng)絡(luò)攻擊與防御【學(xué)習(xí)目標(biāo)】1.了解網(wǎng)絡(luò)威脅一般形式2.了解網(wǎng)絡(luò)攻擊的一般方法3.掌握常見網(wǎng)絡(luò)攻擊方式的防御4.掌握網(wǎng)絡(luò)加固的一般方法4.1網(wǎng)絡(luò)攻擊概述4.1.1網(wǎng)絡(luò)攻擊概述黑客（Hacker）（1）“白帽子”是創(chuàng)新者

他們設(shè)計(jì)新系統(tǒng)、打破常規(guī)、精研技術(shù)、勇于創(chuàng)新。他們的口號是：“沒有最好，只有更好”！他們的成就創(chuàng)作：MS-BillGates，GNU-R.Stallman和Linux-Linus。

（2）“灰帽子”是破解者

破解已有系統(tǒng)、發(fā)現(xiàn)問題/漏洞、突破極限/禁制、展現(xiàn)自我。他們的口號是“計(jì)算機(jī)為人民服務(wù)”。他們的成就創(chuàng)作：漏洞發(fā)現(xiàn)-Flashsky，軟件破解-0Day，工具提供–Glacier。

（3）“黑帽子”是破壞者隨意使用資源、惡意破壞、散播蠕蟲病毒、商業(yè)間諜。他們的口號是：“人不為己，天誅地滅”。他們的成就創(chuàng)作：熊貓燒香，ARP病毒、入侵程序。網(wǎng)絡(luò)攻擊概述（1）網(wǎng)絡(luò)攻擊分類：1）主動攻擊：包含攻擊者訪問所需要信息的故意行為。2）被動攻擊。主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對這種活動一點(diǎn)也不會覺察到。被動攻擊包括：竊聽。包括鍵擊記錄、網(wǎng)絡(luò)監(jiān)聽、非法訪問數(shù)據(jù)、獲取密碼文件。欺騙。包括獲取口令、惡意代碼、網(wǎng)絡(luò)欺騙。拒絕服務(wù)。包括導(dǎo)致異常型、資源耗盡型、欺騙型。數(shù)據(jù)驅(qū)動攻擊：包括緩沖區(qū)溢出、格式化字符串攻擊、輸入驗(yàn)證攻擊、同步漏洞攻擊、信任漏洞攻擊。網(wǎng)絡(luò)攻擊一般方法口令入侵特洛伊木馬WWW欺騙網(wǎng)絡(luò)監(jiān)聽黑客軟件安全漏洞（Bugs）端口掃描4.1.2網(wǎng)絡(luò)攻擊基本流程針對系統(tǒng)或者網(wǎng)絡(luò)進(jìn)行的攻擊過程通常包括信息收集、目標(biāo)分析及定位實(shí)施入侵部署后門清除痕跡4.2欺騙攻擊原理4.2.1IP地址欺騙4.2.2ARP欺騙4.2.3DNS欺騙4.3拒絕服務(wù)攻擊4.3.1拒絕服務(wù)攻擊原理最常見的DoS攻擊形式有4種：1）帶寬耗用（bandwidth-consumption）攻擊，2）資源衰竭（resource-starvation）攻擊，3）編程缺陷（programmingflaw）是應(yīng)用程序、操作系統(tǒng)在處理異常條件上的失敗。4）DNS攻擊是基于域名系統(tǒng)的攻擊，4.3.2Flood攻擊4.3.3DDoS攻擊4.4密碼破解4.4.1密碼破解原理攻擊或破譯的方法主要有三種：窮舉法統(tǒng)計(jì)分析攻擊數(shù)學(xué)分析攻擊。密碼破解的常見形式破解網(wǎng)絡(luò)密碼—暴力窮舉破解網(wǎng)絡(luò)密碼—擊鍵記錄破解網(wǎng)絡(luò)密碼—屏幕記錄破解網(wǎng)絡(luò)密碼—網(wǎng)絡(luò)釣魚破解網(wǎng)絡(luò)密碼—Sniffer（嗅探器）破解網(wǎng)絡(luò)密碼—PasswordReminder破解網(wǎng)絡(luò)密碼—遠(yuǎn)程控制破解網(wǎng)絡(luò)密碼—不良習(xí)慣破解網(wǎng)絡(luò)密碼—分析推理破解網(wǎng)絡(luò)密碼—密碼心理學(xué)4.4.2密碼破解常用工具4.5Web常見攻擊介紹4.5.1SQL注入攻擊SQL注入攻擊的總體思路是：發(fā)現(xiàn)SQL注入位置判斷后臺數(shù)據(jù)庫類型確定XP_CMDSHELL可執(zhí)行情況發(fā)現(xiàn)WEB虛擬目錄上傳ASP木馬得到管理員權(quán)限；4.5.2Xss跨站腳本攻擊項(xiàng)目小實(shí)踐ARP地址欺騙攻擊本地系統(tǒng)密碼破解SQL注入小結(jié)網(wǎng)絡(luò)攻擊危害網(wǎng)絡(luò)攻擊常見形式網(wǎng)絡(luò)攻擊實(shí)施一般步驟信息安全基礎(chǔ)第5章網(wǎng)絡(luò)設(shè)備安全技術(shù)【學(xué)習(xí)目標(biāo)】了解防火墻、入侵檢測、虛擬專用網(wǎng)、網(wǎng)絡(luò)隔離和統(tǒng)一威脅管理系統(tǒng)的概念，知道相關(guān)產(chǎn)品的作用；掌握防火墻、入侵檢測、虛擬專用網(wǎng)等的關(guān)鍵技術(shù)；了解相關(guān)網(wǎng)絡(luò)安全的常見產(chǎn)品。5.1防火墻技術(shù)5.1.1防火墻概述1防火墻的基本概念在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻則是指一種協(xié)助確保信息安全的設(shè)施，其會依照特定的規(guī)則，允許或是禁止傳輸?shù)臄?shù)據(jù)通過。防火墻通常位于一個可信任的內(nèi)部網(wǎng)絡(luò)與一個不可信任的外界網(wǎng)絡(luò)之間，用于保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。防火墻的邏輯部署圖5-1防火墻的邏輯部署5.1防火墻技術(shù)2防火墻的功能防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。具體包括以下四個方面。（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄5.1防火墻技術(shù)3防火墻的局限性雖然防火墻在網(wǎng)絡(luò)安全部署中起到非常重要的作用，但它并不是萬能的。下面總結(jié)了它的十個方面的缺陷。（1）防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。（2）防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位因?yàn)椴环奖?，不要求防火墻防?nèi)。（3）防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。（4）防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設(shè)備，但防火墻本身必須存在于一個安全的地方。（5）防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。5.1防火墻技術(shù)（5）防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。（7）防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。（8）防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。（9）防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。（10）防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時卻無法保護(hù)自己，目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護(hù)。5.1防火墻技術(shù)5.1.2防火墻技術(shù)概述1包過濾技術(shù)包過濾技術(shù)是防火墻最基本的實(shí)現(xiàn)技術(shù)，具有包過濾技術(shù)的裝置是用來控制內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)流入和流出，包過濾技術(shù)的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的，對數(shù)據(jù)流的每個包進(jìn)行檢查，根據(jù)數(shù)據(jù)報(bào)的源地址、目的地址、TCP和IP的端口號，以及TCP的其他狀態(tài)來確定是否允許數(shù)據(jù)包通過。包過濾技術(shù)及其工作原理表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層非信任域防火墻信任域應(yīng)用層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層包過濾技術(shù)及其工作原理包過濾技術(shù)包過濾技術(shù)的基礎(chǔ)是ACL（AccessListControl，訪問控制列表），其作用是定義報(bào)文匹配規(guī)則。ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。在實(shí)施ACL的過程中，應(yīng)遵循兩個基本原則：最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限；最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制。5.1防火墻技術(shù)5.1.2防火墻技術(shù)概述2應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)又被稱為代理技術(shù)。它的邏輯位置在OSI七層協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)（ProxyServices）。應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)代理服務(wù)器可以解決諸如IP地址耗盡、網(wǎng)絡(luò)資源爭用和網(wǎng)絡(luò)安全等問題。下面從代理服務(wù)器的功能和代理服務(wù)器的原理兩個方面介紹代理技術(shù)。（1）代理服務(wù)器的功能（2）代理服務(wù)器的原理代理服務(wù)器的原理

訪問控制列表（ACL）緩存CacheInternet代理服務(wù)器圖5-4Web代理的原理代理服務(wù)器代理服務(wù)器是接收和解釋客戶端連接并發(fā)起到服務(wù)器的新連接的網(wǎng)絡(luò)節(jié)點(diǎn)，這意味著代理服務(wù)器必須滿足以下條件：第一：能夠接收和解釋客戶端的請求；第二：能夠創(chuàng)建到服務(wù)器的新連接；第三：能夠接收服務(wù)器發(fā)來的響應(yīng)；第四：能夠發(fā)出或解釋服務(wù)器的響應(yīng)并將該響應(yīng)傳回給客戶端。因此實(shí)現(xiàn)代理服務(wù)器必須同時要實(shí)現(xiàn)服務(wù)器和客戶端兩端的功能。5.1防火墻技術(shù)5.1.2防火墻技術(shù)概述3狀態(tài)檢測技術(shù)狀態(tài)檢測包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。狀態(tài)檢查技術(shù)原理如圖5-5所示。狀態(tài)檢查技術(shù)原理圖5-5狀態(tài)檢查技術(shù)原理5.1防火墻技術(shù)5.1.2防火墻技術(shù)概述3狀態(tài)檢測技術(shù)傳統(tǒng)的包過濾防火墻只是通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。NAT地址轉(zhuǎn)換圖5-5NAT地址轉(zhuǎn)換狀態(tài)檢查技術(shù)原理圖5-5狀態(tài)檢查技術(shù)原理5.1防火墻技術(shù)4.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)（1）NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的定義NAT英文全稱是NetworkAddressTranslation，稱是網(wǎng)絡(luò)地址轉(zhuǎn)換，它是一個IETF標(biāo)準(zhǔn)，允許一個機(jī)構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個IP地址，反之亦然。5.1防火墻技術(shù)4.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)（2）NAT技術(shù)的基本原理和類型1）NAT技術(shù)基本原理NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。5.1防火墻技術(shù)2）NAT技術(shù)的類型（2）NAT技術(shù)的基本原理和類型NAT有三種類型：靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－LevelNAT）。5.1防火墻技術(shù)4.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)（3）NAT的優(yōu)點(diǎn)和缺點(diǎn)NAT的優(yōu)點(diǎn)：1）寬帶共享：2）安全防護(hù)NAT的缺點(diǎn)：NAT的局限性：5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)1.包過濾型防火墻包過濾型防火墻也稱包（分組）過濾型路由器，是最基本、最簡單的一種防火墻，位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過包過濾型路由器，包過濾型路由器審查每個數(shù)據(jù)包，根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)包過濾型防火墻可以在一般的路由器上實(shí)現(xiàn)，也可以在基于主機(jī)的路由器上實(shí)現(xiàn)，其配置如圖5-7所示。圖5-7包過濾型防火墻的配置包過濾型路由器的優(yōu)點(diǎn)（1）一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)。絕大多數(shù)Internet防火墻系統(tǒng)只用一個包過濾路由器；（2）過濾路由器速度快、效率高。執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間，由于過濾路由器只檢查報(bào)頭相應(yīng)的字段，一般不查看數(shù)據(jù)報(bào)的內(nèi)容，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，如果通信負(fù)載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；（3）包過濾路由器對終端用戶和應(yīng)用程序是透明的。包過濾型路由器的缺點(diǎn)

（1）定義包過濾器可能是一項(xiàng)復(fù)雜的工作。（2）路由器信息包的吞吐量隨過濾器數(shù)量的增加而減少。（3）不能徹底防止地址欺騙。（4）一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。（5）正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。（5）一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險(xiǎn)的封包才可能檢測出來。它可以阻止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不會告訴我們究竟都有誰來過，或者誰從內(nèi)部進(jìn)入了外部網(wǎng)絡(luò)。5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)2.雙宿主主機(jī)防火墻這種防火墻系統(tǒng)由一種特殊的主機(jī)來實(shí)現(xiàn)，這臺主機(jī)擁有兩個不同的網(wǎng)絡(luò)接口，一端接外部網(wǎng)絡(luò)，另一端需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，并運(yùn)行代理服務(wù)器軟件，故被稱為雙宿主主機(jī)防火墻，如圖5-8所示。雙宿主主機(jī)防火墻圖5-8雙宿主主機(jī)防火墻雙宿主主機(jī)防火墻雙宿主主機(jī)防火墻的優(yōu)點(diǎn)雙宿主主機(jī)防火墻的缺點(diǎn)5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)3.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻由一臺包過濾型路由器和一臺堡壘主機(jī)組成，如圖5-9所示。圖5-9屏蔽主機(jī)防火墻5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)3.屏蔽主機(jī)防火墻（1）屏蔽主機(jī)網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)（2）屏蔽主機(jī)網(wǎng)關(guān)防火墻的缺點(diǎn)5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻是在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個包過濾型路由器，如圖5-10所示圖5-10屏蔽子網(wǎng)防火墻（DMZ）5.1防火墻技術(shù)5.1.3防火墻的體系結(jié)構(gòu)4.屏蔽子網(wǎng)防火墻(1)屏蔽子網(wǎng)防火墻的優(yōu)點(diǎn)(2)屏蔽子網(wǎng)防火墻的缺點(diǎn)5.1防火墻技術(shù)5.1.4防火墻的常見產(chǎn)品1.NetScreen108防火墻2.CiscoSecurePIX515-E防火墻3.天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻4.東軟NetEye4032防火墻5.2入侵檢測技術(shù)

5.2.1入侵檢測概述入侵檢測是監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中所發(fā)生的事件并分析這些事件以查找可能的事故的過程，這些事故違反或者即將違反計(jì)算機(jī)安全策略、可接受使用策略或標(biāo)準(zhǔn)安全實(shí)踐。入侵檢測系統(tǒng)（InstrusionDetectionSystem,IDS）是自動化入侵檢測過程的軟件和硬件的組合。入侵檢測應(yīng)用入侵檢測應(yīng)用示意圖如圖5-11所示。圖5-11入侵檢測應(yīng)用示意圖5.2入侵檢測技術(shù)5.2.3入侵檢測系統(tǒng)的技術(shù)實(shí)現(xiàn)1.入侵檢測系統(tǒng)的組成入侵檢測系統(tǒng)的組成如圖5-12所示。圖5-12入侵檢測系統(tǒng)的組成5.2入侵檢測技術(shù)5.2.3入侵檢測系統(tǒng)的技術(shù)實(shí)現(xiàn)2.入侵檢測系統(tǒng)的功能一個入侵檢測系統(tǒng)，至少應(yīng)該能夠完成如下功能（1）監(jiān)控、分析用戶和系統(tǒng)的活動（2）發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象（3）記錄、報(bào)警和響應(yīng)5.2入侵檢測技術(shù)5.2.3入侵檢測系統(tǒng)的技術(shù)實(shí)現(xiàn)3.入侵檢測系統(tǒng)的工作原理在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)。如圖5-13所示，入侵檢測系統(tǒng)在網(wǎng)絡(luò)連接過程中通過實(shí)時監(jiān)測網(wǎng)絡(luò)中的各種數(shù)據(jù)，并與自己的入侵規(guī)則庫進(jìn)行匹配判斷，一旦發(fā)生入侵跡象立即響應(yīng)/報(bào)警，從而完成整個實(shí)時監(jiān)測。入侵檢測系統(tǒng)通過安全審計(jì)將歷史事件一一記錄下來，作為證據(jù)和為實(shí)施數(shù)據(jù)恢復(fù)做準(zhǔn)備。實(shí)時監(jiān)控系統(tǒng)圖5-13實(shí)時監(jiān)控系統(tǒng)通用入侵監(jiān)測系統(tǒng)模型（NIDS）圖5-14通用入侵監(jiān)測系統(tǒng)模型（NIDS）通用入侵監(jiān)測系統(tǒng)模型（NIDS）數(shù)據(jù)收集器：主要負(fù)責(zé)收集數(shù)據(jù)。探測器：收集捕獲所有可能的和入侵行為有關(guān)的信息，包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)或應(yīng)用程序的日志和系統(tǒng)調(diào)用記錄等探測器將數(shù)據(jù)收集后，送到檢測器進(jìn)行處理。檢測器：負(fù)責(zé)分析和監(jiān)測入侵行為，并發(fā)出警報(bào)信號。知識庫：提供必要的數(shù)據(jù)信息支持，如用戶的歷史活動檔案、監(jiān)測規(guī)則集等?？刂破鳎焊鶕?jù)報(bào)警信號，人工或自動做出反應(yīng)動作。入侵檢測的工作流程第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（特征即規(guī)則匹配/誤用檢測）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)（異常檢測）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報(bào)警和響應(yīng)）。5.2入侵檢測技術(shù)5.2.3入侵檢測系統(tǒng)的技術(shù)實(shí)現(xiàn)4.入侵檢測系統(tǒng)的分類對于入侵檢測系統(tǒng)，要考慮的因素（分類依據(jù)）主要由：信息源、入侵、事件生成、事件處理、檢測方法等。下面就不同的分類依據(jù)及分類結(jié)果分別加以介紹。（1）按體系結(jié)構(gòu)進(jìn)行分類（2）按檢測原理進(jìn)行分類（3）按所能監(jiān)控的事件以及部署方法進(jìn)行分類誤用檢測模型用戶行為模式匹配入侵特征知識庫發(fā)現(xiàn)入侵！圖5-15誤用檢測模型異常檢測（AnomalyDetection）異常檢測是首先總結(jié)正常操作應(yīng)該具有的特征，在得出正常操作的模型之后，對后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式，即進(jìn)行報(bào)警。因?yàn)樗奶卣鲙炱ヅ涞氖钦２僮餍袨?，所以又存在以下幾個特點(diǎn)：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。5.2入侵檢測技術(shù)5.2.4入侵檢測的局限性與發(fā)展方向1入侵檢測系統(tǒng)的局限性2入侵檢測系統(tǒng)的發(fā)展方向（1）與防火墻聯(lián)動IDS與防火墻的聯(lián)動系統(tǒng)示意圖如圖5-15所示。（2）IPS（入侵防御系統(tǒng)）IPS是一種基于應(yīng)用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡(luò)關(guān)鍵路徑，通過對數(shù)據(jù)報(bào)文的深度檢測，實(shí)時發(fā)現(xiàn)威脅并主動進(jìn)行處理IPS在網(wǎng)絡(luò)中的部署如圖5-17所示。聯(lián)動系統(tǒng)日志，告警日志，告警告警，聯(lián)動日志，告警告警，聯(lián)動IDS防火墻審計(jì)中心受保護(hù)主機(jī)圖5-15聯(lián)動系統(tǒng)示意圖

IPS在網(wǎng)絡(luò)中的部署圖5-17IPS在網(wǎng)絡(luò)中的部署IPS的基本原理IPS的基本原理就是通過對數(shù)據(jù)流進(jìn)行重組后進(jìn)行協(xié)議識別分析和特征模式匹配，將符合特定條件的數(shù)據(jù)進(jìn)行限流、整形，或進(jìn)行阻斷、重定向或隔離，而對正常流量進(jìn)行轉(zhuǎn)發(fā)。IPS的基本原理如圖5-18所示。

IPS的基本原理圖5-18IPS的基本原理

IPS的基本原理數(shù)據(jù)流重組協(xié)議分析特征/模式匹配特征/模式更新主動處理IPS的功能

針對漏洞的主動防御針對攻擊的主動防御基于應(yīng)用的帶寬管理報(bào)警及報(bào)表5.2入侵檢測技術(shù)5.2.5入侵檢測的常見產(chǎn)品目前流行的IDS產(chǎn)品主要有Cisco公司NetRanger，ISS公司的RealSesure，Axent的ITA、ESM，以及NAI的CyberCop等。5.3虛擬專用網(wǎng)技術(shù)

5.3.1虛擬專用網(wǎng)概述1VPN的定義VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)，被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道?！疤摂M”的意思是沒有固定的物理連接，網(wǎng)絡(luò)只有需要時才建立；“專用”是指它利用公共網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng)。如圖5-19所示的虛擬專用網(wǎng)。虛擬專用網(wǎng)圖5-19虛擬專用網(wǎng)5.3虛擬專用網(wǎng)技術(shù)5.3.1虛擬專用網(wǎng)概述2分類根據(jù)VPN的服務(wù)類型，VPN業(yè)務(wù)大致分為三類：接入VPN（AccessVPN）、內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）和外聯(lián)網(wǎng)VPN（ExtranetVPN）。通常情況下內(nèi)聯(lián)網(wǎng)VPN是專線VPN.（1）接入VPN

圖5-20AccessVPN（2）內(nèi)聯(lián)網(wǎng)VPN

內(nèi)聯(lián)網(wǎng)VPN是企業(yè)的總部與分支機(jī)構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以對等的方式連接起來所組成的VPN。內(nèi)聯(lián)網(wǎng)VPN如圖5-21所示。圖5-21內(nèi)聯(lián)網(wǎng)VPN（3）外聯(lián)網(wǎng)VPN

外聯(lián)網(wǎng)VPN是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。圖5-22外聯(lián)網(wǎng)VPN5.3虛擬專用網(wǎng)技術(shù)

5.3.2虛擬專用網(wǎng)的關(guān)鍵技術(shù)1隧道技術(shù)2加密技術(shù)3密鑰管理技術(shù)4用戶認(rèn)證技術(shù)（1）用戶名/密碼方式（2）智能卡認(rèn)證（3）動態(tài)口令（4）USBKey認(rèn)證幾種認(rèn)證方式的比較5.3虛擬專用網(wǎng)技術(shù)5.3.3虛擬專用網(wǎng)常用隧道協(xié)議VPN具體實(shí)現(xiàn)是采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹?建立隧道主要方式建立隧道主要有兩種方式：客戶啟動（Client-Initiated）和客戶透明（Client-Transparent）。（1）.客戶啟動（Client-Initiated）客戶啟動方式要求客戶和隧道服務(wù)器（或網(wǎng)關(guān)）都安裝隧道軟件。（2）.客戶透明（Client-Transparent）2幾種主流VPN協(xié)議（1）.點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）（2）.第二層轉(zhuǎn)發(fā)協(xié)議（L2F）（3）.第二層隧道協(xié)議（L2TP）（4）.第三層隧道協(xié)議-通用路由封裝協(xié)議（GRE）（5）.IP安全協(xié)議（IPSec）（5）高層隧道協(xié)議-SSL協(xié)議（7）多協(xié)議標(biāo)記交換（MPLS）（8）各種VPN的應(yīng)用統(tǒng)撥號接入圖5-23傳統(tǒng)撥號接入L2TP典型組網(wǎng)應(yīng)用圖5-24L2TP典型組網(wǎng)應(yīng)用GRE封裝包格式圖5-25GRE封裝包格式IP安全協(xié)議（IPSec）IPSec（IPSecurity）是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要（Hash）等手段來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性（Confidentiality）、完整性（Dataintegrity）和真實(shí)性（Originauthentication）。IPSec協(xié)議如圖5-25所示。IPSec協(xié)議圖5-25IPSec協(xié)議IPSec的框架結(jié)構(gòu)圖5-27IPSec的框架結(jié)構(gòu)IPSec傳輸模式結(jié)構(gòu)圖圖5-28IPSec傳輸模式結(jié)構(gòu)圖IPSec隧道模式結(jié)構(gòu)圖圖5-29IPSec隧道模式結(jié)構(gòu)圖AH模式無法與NAT一起進(jìn)行圖5-30AH模式無法與NAT一起進(jìn)行ESP模式圖5-31ESP模式示意圖IPSec轉(zhuǎn)換圖5-32IPSec轉(zhuǎn)換示意圖高層隧道協(xié)議-SSL協(xié)議

SSL的英文全稱是“SecureSocketsLayer”，中文名為“安全套接層協(xié)議層”，是網(wǎng)景（Netscape）公司提出的基于Web應(yīng)用的安全協(xié)議。SSL協(xié)議位于TCP/IP與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。目前已被廣泛地應(yīng)用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSLVPN實(shí)現(xiàn)原理圖5-33SSLVPN實(shí)現(xiàn)原理SSLVPN實(shí)現(xiàn)原理遠(yuǎn)程主機(jī)向VPN網(wǎng)關(guān)發(fā)出http請求。SSLVPN網(wǎng)關(guān)改寫http請求中的目的URL，并將報(bào)文轉(zhuǎn)發(fā)給真實(shí)的服務(wù)器。內(nèi)網(wǎng)的服務(wù)器返回響應(yīng)報(bào)文SSLVPN網(wǎng)關(guān)改寫Web頁面中的URL鏈接，并將其返回給遠(yuǎn)程主機(jī)。多協(xié)議標(biāo)記交換（MPLS）MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，由IETF（InternetEngineeringTaskForce，因特網(wǎng)工程任務(wù)組）所提出，由Cisco、ASCEND、3Com等網(wǎng)絡(luò)設(shè)備大廠所主導(dǎo)。MPLS的核心概念是交換，也就是這里最后一個字母S(Switching)的含義；其次的重要概念是標(biāo)記，即這里L(fēng)(Label)字母的含義；最后一層概念是多協(xié)議，即這里的MP(Multi-Protocol)的含義。MPLS的概念圖圖5-34MPLS的概念圖MPLS解決方案圖5-35MPLS解決方案各種VPN的應(yīng)用

5.3虛擬專用網(wǎng)技術(shù)

5.3.4虛擬專用網(wǎng)網(wǎng)絡(luò)安全解決方案圖5-35Internet安全解決方案5.3虛擬專用網(wǎng)技術(shù)5.3.5虛擬專用網(wǎng)的發(fā)展方向虛擬專用網(wǎng)的發(fā)展方向包括以下3個方面：SSLVPN發(fā)展加速服務(wù)質(zhì)量有待加強(qiáng)基礎(chǔ)設(shè)施化趨勢顯現(xiàn)5.4網(wǎng)絡(luò)隔離技術(shù)

5.4.1網(wǎng)絡(luò)隔離技術(shù)概述網(wǎng)絡(luò)隔離，英文名為NetworkIsolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全和信息不致外泄。網(wǎng)絡(luò)隔離結(jié)構(gòu)如圖5-37所示。網(wǎng)絡(luò)隔離結(jié)構(gòu)圖圖5-37網(wǎng)絡(luò)隔離結(jié)構(gòu)圖5.4網(wǎng)絡(luò)隔離技術(shù)5.4.2網(wǎng)絡(luò)隔離技術(shù)工作原理及關(guān)鍵技術(shù)1網(wǎng)絡(luò)隔離技術(shù)的特點(diǎn)網(wǎng)絡(luò)隔離技術(shù)的特點(diǎn)包括以下5個方面：要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明5.4網(wǎng)絡(luò)隔離技術(shù)5.4.2網(wǎng)絡(luò)隔離技術(shù)工作原理及關(guān)鍵技術(shù)2網(wǎng)絡(luò)隔離技術(shù)工作原理網(wǎng)絡(luò)隔離技術(shù)的核心是物理隔離，并通過專用硬件和安全協(xié)議來確保兩個鏈路層斷開的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)數(shù)據(jù)信息在可信網(wǎng)絡(luò)環(huán)境中進(jìn)行交互、共享。網(wǎng)絡(luò)隔離系統(tǒng)的組成部分圖5-38網(wǎng)絡(luò)隔離系統(tǒng)的組成部分5.4網(wǎng)絡(luò)隔離技術(shù)5.4.2網(wǎng)絡(luò)隔離技術(shù)工作原理及關(guān)鍵技術(shù)3物理隔離技術(shù)類型主要的隔離技術(shù)有如下幾種類型：（1）雙機(jī)雙網(wǎng)。（2）雙硬盤隔離。（3）單硬盤隔離。（4）集線器級隔離。（5）服務(wù)器端隔離。5.4網(wǎng)絡(luò)隔離技術(shù)5.4.2網(wǎng)絡(luò)隔離技術(shù)工作原理及關(guān)鍵技術(shù)4網(wǎng)絡(luò)隔離環(huán)境下的數(shù)據(jù)交換過程無數(shù)據(jù)交換的網(wǎng)絡(luò)斷開外部主機(jī)與固態(tài)存儲介質(zhì)交換數(shù)據(jù)固態(tài)存儲介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換文件被傳送到內(nèi)網(wǎng)恢復(fù)斷開狀態(tài)無數(shù)據(jù)交換的網(wǎng)絡(luò)斷開圖5-39無數(shù)據(jù)交換的網(wǎng)絡(luò)斷開圖外部主機(jī)與固態(tài)存儲介質(zhì)交換數(shù)據(jù)圖5-40外部主機(jī)與固態(tài)存儲介質(zhì)交換數(shù)據(jù)示意圖固態(tài)存儲介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換圖5-41固態(tài)存儲介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換示意圖文件被傳送到內(nèi)網(wǎng)恢復(fù)斷開狀態(tài)圖5-42文件被傳送到內(nèi)網(wǎng)恢復(fù)斷開狀態(tài)5.4網(wǎng)絡(luò)隔離技術(shù)5.4.2網(wǎng)絡(luò)隔離技術(shù)工作原理及關(guān)鍵技術(shù)5.GAP技術(shù)(1)定義：gap源于英文的"airgap"，gap技術(shù)是一種通過專用硬件使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下，實(shí)現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術(shù)。gap中文名字叫做安全隔離網(wǎng)閘，它采用獨(dú)特的硬件設(shè)計(jì)，能夠顯著地提高內(nèi)部用戶網(wǎng)絡(luò)的安全強(qiáng)度。（2）GAP技術(shù)的基本原理目前主要有3類GAP技術(shù)。實(shí)時開關(guān)(RealTimeSwitch)、單向連接(OneWayLink)和網(wǎng)絡(luò)交換器(NetworkSwitcher)。實(shí)時開關(guān)(RealTimeSwitch)實(shí)時開關(guān)(RealTimeSwitch)指同一時刻內(nèi)外網(wǎng)絡(luò)沒有物理上的數(shù)據(jù)連通．但又快速分時地處理并傳遞數(shù)據(jù)。通常實(shí)時開關(guān)連接一個網(wǎng)絡(luò)去獲得數(shù)據(jù)，然后開關(guān)轉(zhuǎn)向另一個網(wǎng)絡(luò)并把數(shù)據(jù)放在上面兩個網(wǎng)絡(luò)間的數(shù)據(jù)移動以很快的速度進(jìn)行，就象實(shí)時處理一樣。通常采取的方式是：終止網(wǎng)絡(luò)連接并剝?nèi)CP報(bào)頭，然后把“原始”數(shù)據(jù)傳人實(shí)時開關(guān)，這樣就可除去網(wǎng)絡(luò)協(xié)議漏洞帶來的風(fēng)險(xiǎn)。同時，實(shí)時開關(guān)也可執(zhí)行內(nèi)容檢測以防止病毒所造成的損害。單向連接(OneWayLink)單向連接(OneWayLink)指數(shù)據(jù)只能單向地從源網(wǎng)(sourcenetwork)傳輸?shù)侥康木W(wǎng)(destinationnetwork)。單向連接實(shí)際上建立了一個“只讀”網(wǎng)絡(luò)，即不允許數(shù)據(jù)反向傳回到源網(wǎng)。同實(shí)時開關(guān)一樣，單向連接必須用硬件來實(shí)現(xiàn)．以防止數(shù)據(jù)傳錯方向。網(wǎng)絡(luò)交換器(NetworkSwitcher)網(wǎng)絡(luò)交換器(NetworkSwitcher)指一臺計(jì)算機(jī)上有兩個虛擬機(jī)，先把數(shù)據(jù)寫入一個虛擬機(jī)，然后通過開關(guān)把傳輸數(shù)據(jù)到另一個虛擬機(jī)，數(shù)據(jù)傳輸速度比實(shí)時開關(guān)和單向連接都慢，不是實(shí)時工作的。網(wǎng)絡(luò)轉(zhuǎn)換器通常可用帶有雙接口的硬件卡來實(shí)現(xiàn)，每個接口連接一個隔離的網(wǎng)絡(luò)，但同一時刻只有一個是激活的。（3）網(wǎng)閘的應(yīng)用定位安全隔離網(wǎng)閘的優(yōu)勢在于它通過在不可信網(wǎng)絡(luò)犧牲自己來積極有效地應(yīng)對攻擊，以充分保護(hù)可信網(wǎng)絡(luò)避免受到基于操作系統(tǒng)和網(wǎng)絡(luò)的各種攻擊。它的應(yīng)用包括以下幾個方面。1)涉密網(wǎng)與非涉密網(wǎng)之間；2)局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間），有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個常用的辦法。（3）網(wǎng)閘的應(yīng)用定位3)辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間，由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。4)電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間，在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)網(wǎng)與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實(shí)現(xiàn)。（3）網(wǎng)閘的應(yīng)用定位5)業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間，電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實(shí)現(xiàn)物理隔離。5.4.3網(wǎng)絡(luò)隔離常見產(chǎn)品1國外網(wǎng)閘產(chǎn)品介紹美國鯨魚公司的網(wǎng)閘（e-Gap）美國矛頭公司的網(wǎng)閘（NETGAP）2國內(nèi)網(wǎng)閘產(chǎn)品介紹天融信公司網(wǎng)閘（TopRules）中網(wǎng)公司的網(wǎng)閘（X-GAP）國保金泰公司網(wǎng)閘（IGAP）聯(lián)網(wǎng)公司的網(wǎng)閘（SIS）等5.5統(tǒng)一威脅管理系統(tǒng)1UTM的定義UTM（UnifiedThreatManagement），即統(tǒng)一威脅管理，2004年9月，IDC首都提出統(tǒng)一威脅管理的概念，即將防病毒，入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理的新類別，目前UTM常定義為由硬件軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，同時將多種安全特性集成于一個硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻，網(wǎng)絡(luò)入侵檢測，防御和網(wǎng)管防病毒功能。5.5統(tǒng)一威脅管理系統(tǒng)2統(tǒng)一威脅管理系統(tǒng)特點(diǎn)3UTM優(yōu)點(diǎn)（1）將多種安全功能整合在同一產(chǎn)品當(dāng)中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮作用（2）減低信息安全工作強(qiáng)度。（3）降低技術(shù)復(fù)雜度4UTM的缺點(diǎn)（1）過度集成帶來的風(fēng)險(xiǎn)（2）性能和穩(wěn)定性5.5項(xiàng)目小實(shí)驗(yàn)【實(shí)驗(yàn)名稱】站點(diǎn)到站點(diǎn)的IPSECVPN實(shí)現(xiàn)【實(shí)驗(yàn)內(nèi)容】配置VPN系統(tǒng)，實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的可靠信息傳輸。【實(shí)驗(yàn)原理】IPSEC三層隧道實(shí)現(xiàn)安全的數(shù)據(jù)傳輸，詳細(xì)的原理請參考5.3.3小節(jié)。5.5項(xiàng)目小實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Juniper防火墻2臺、PC機(jī)3臺、網(wǎng)線若干。典型的實(shí)驗(yàn)環(huán)境如圖5-43所示。圖5-43典型的實(shí)驗(yàn)環(huán)境5.5項(xiàng)目小實(shí)驗(yàn)【實(shí)驗(yàn)步驟】配置各PC的IP地址、網(wǎng)關(guān)（步驟略）。配置防火墻。以總部防火墻的VPN配置為例：配置網(wǎng)關(guān)名稱、遠(yuǎn)端VPN設(shè)備IP地址設(shè)置共享密鑰配置VPNIKE參數(shù)配置策略配置完成后，再配置分部的VPN系統(tǒng)。最后測試。5.5項(xiàng)目小實(shí)驗(yàn)【實(shí)驗(yàn)思考】添加多個連接，同時開啟，看vpn網(wǎng)關(guān)能否正常工作。5.7習(xí)題

什么是防火墻？簡述防火墻的功能、特點(diǎn)。比較包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)的區(qū)別。簡述防火墻常見的體系結(jié)構(gòu)，比較其各自的優(yōu)缺點(diǎn)。什么是入侵檢測系統(tǒng)？簡述入侵檢測系統(tǒng)的功能和工作原理。簡述入侵檢測系統(tǒng)的分類。簡述入侵檢測的發(fā)展方向。5.7習(xí)題什么是VPN？它包含哪兩層含義？根據(jù)VPN的服務(wù)類型，VPN業(yè)務(wù)可分為哪幾類？虛擬專用網(wǎng)的關(guān)鍵技術(shù)有哪些？各種VPN的應(yīng)用場合是什么？簡述網(wǎng)絡(luò)隔離技術(shù)及其原理。簡述什么是統(tǒng)一威脅管理？《信息安全基礎(chǔ)》第6章：無線網(wǎng)絡(luò)安全【學(xué)習(xí)目標(biāo)】【學(xué)習(xí)目標(biāo)】1.了解無線傳輸協(xié)議2.掌握WEP和WPA加密方式3.了解3G移動通信安全問題4.掌握無線網(wǎng)絡(luò)的安全隱患及對策6.1無線網(wǎng)絡(luò)安全概述6.1.1WLAN無線局域網(wǎng)802.11協(xié)議集協(xié)議名稱主要特征802.111997年，原始標(biāo)準(zhǔn)（2Mbit/s工作在2.4GHz）802.11a1999年，物理層補(bǔ)充（54Mbit/s工作在5GHz）802.11b1999年，物理層補(bǔ)充（11Mbit/s工作在2.4GHz）802.11c符合802.1D的媒體接入控制層（MAC）橋接（MACLayerBridging）802.11d根據(jù)各國無線電規(guī)定做的調(diào)整802.11e對服務(wù)等級（QualityofService,QoS）的支持802.11f基站的互連性（Interoperability）802.11g物理層補(bǔ)充（54Mbit/s工作在2.4GHz）802.11h無線覆蓋半徑的調(diào)整，室內(nèi)（indoor）和室外（outdoor）信道（5GHz頻段）802.11i安全和鑒權(quán)（Authentification）方面的補(bǔ)充802.11n導(dǎo)入多重輸入輸出（MIMO）和40Mbit通道寬度（HT40）技術(shù)，基本上是802.11a/g的延伸版6.1.2典型無線網(wǎng)絡(luò)應(yīng)用6.1.3無線局域網(wǎng)存在的安全問題無線局域網(wǎng)的安全隱患信號傳輸SSID加密方式無線局域網(wǎng)的安全威脅無線網(wǎng)絡(luò)被盜用網(wǎng)絡(luò)通信被竊聽遭遇無線釣魚攻擊無線AP遭遇控制6.2802.11安全簡介6.2.1802.11發(fā)展歷程協(xié)議頻率速率802.112.4GHz2Mbps802.11a5GHz54Mbps802.11b2.4GHz11Mbps802.11g2.4GHz54Mbps802.11n2.4或5GHz540Mbps802.11ac5GHz1Gbps6.2.2802.11安全技術(shù)體系WEP機(jī)制6.2.3802.11i標(biāo)準(zhǔn)IEEE802.11i框架結(jié)構(gòu)6.3WEP與WPA簡介6.3.1WEP加密WEP發(fā)展歷史WEP加密特點(diǎn)WEP加密安全隱患6.3.2WPA加密WPA加密目前最佳的無線加密技術(shù)WPA2加密目前最強(qiáng)的無線加密技術(shù)6.4移動通信安全6.4.13G移動通信技術(shù)簡介3G移動通信技術(shù)簡介G移動通信技術(shù)分類對比WCDMA(歐洲版)、CDMA2000(美國版)TD-SCDMA(中國版6.4.23G移動通信安全問題移動終端的安全問題病毒泛濫電信垃圾和騷擾詐騙和扣費(fèi)無線接入網(wǎng)絡(luò)的安全問題網(wǎng)絡(luò)層的安全，3G的加密體制仍受制于人協(xié)議層的安全，無線Ad-Hoc（點(diǎn)對點(diǎn)）應(yīng)用的威脅應(yīng)用層的安全，大量3G時代惡意程序來襲6.4.34G技術(shù)展望第四代移動電話行動通信標(biāo)準(zhǔn)（英語：fourthgenerationofmobilephonemobilecommunicationsstandards，縮寫為4G），指的是第四代移動通信技術(shù)，也是3G之后的延伸。4G的特點(diǎn)4G的特點(diǎn)主要表現(xiàn)在以下方面：①通信速率更高；②網(wǎng)絡(luò)頻譜更寬；③靈活性強(qiáng)；④兼容性好；⑥業(yè)務(wù)多樣性；⑦技術(shù)基礎(chǔ)較好；⑧隨時隨地的移動接入；⑨自治的網(wǎng)絡(luò)結(jié)構(gòu)。4G的關(guān)鍵技術(shù)OFDM技術(shù)智能天線技術(shù)軟件無線電技術(shù)多用戶檢測技術(shù)基于IPv6的核心網(wǎng)項(xiàng)目小實(shí)踐1.WEP密碼破解小結(jié)無線協(xié)議特點(diǎn)無線網(wǎng)絡(luò)威脅無線通信特點(diǎn)《信息安全基礎(chǔ)》第7章：網(wǎng)絡(luò)操作系統(tǒng)安全【學(xué)習(xí)目標(biāo)】1.了解windows操作系統(tǒng)安全基礎(chǔ)2.了解Linux操作系統(tǒng)安全基礎(chǔ)3.掌握windows操作系統(tǒng)的安全技術(shù)特點(diǎn)4.掌握Linux操作系統(tǒng)安全特性5.掌握利用日志及審計(jì)維護(hù)操作系統(tǒng)安全的能力7.1Windows操作系統(tǒng)安全概述7.1.1Windows安全概述windows典型操作系統(tǒng)7.1.2身份認(rèn)證技術(shù)Windows服務(wù)器系統(tǒng)身份認(rèn)證針對所有網(wǎng)絡(luò)資源啟用“單點(diǎn)登錄”（Single

Sign-on，SSO）單點(diǎn)登錄在安全性方面提供了兩個主要優(yōu)點(diǎn)。

對用戶而言，單個密碼或智能卡的使用減少了混亂，提高了工作效率。

對管理員而言，由于管理員只需要為每個用戶管理一個賬戶，因此域用戶所要求的管理支持減少了。單點(diǎn)登錄身份認(rèn)證執(zhí)行方式

交互式登錄網(wǎng)絡(luò)身份認(rèn)證主要的身份認(rèn)證類型身份認(rèn)證協(xié)議類型描述KerberosV5身份認(rèn)證與密碼或智能卡一起使用的用于交互式登錄的協(xié)議。它也適用于服務(wù)的默認(rèn)網(wǎng)絡(luò)身份認(rèn)證方法TLS/SSL身份認(rèn)證用戶嘗試訪問安全的Web服務(wù)器時使用的協(xié)議NTLM身份認(rèn)證客戶端或服務(wù)器使用早期版本的

Windows時使用的協(xié)議摘要式身份認(rèn)證摘要式身份認(rèn)證將憑據(jù)作為MD5哈希或消息摘要在網(wǎng)絡(luò)上傳遞Passport身份認(rèn)證Passport身份認(rèn)證是提供單一登錄服務(wù)的用戶身份認(rèn)證服務(wù)7.1.3文件系統(tǒng)安全Windows文件系統(tǒng)簡介簇FAT32NTFS

RefsNTFS文件系統(tǒng)特點(diǎn)文件許可（Permission）許可的繼承

NTFS文件系統(tǒng)許可的種類

ACL和ACE

NTFS文件加密（EFS）彈性文件系統(tǒng)（ReFS）7.1.4組策略組策略基礎(chǔ)架構(gòu)

本地組策略和域組策略

7.1.5安全審核windows安全審核新特性創(chuàng)建審核策略應(yīng)用審核策略設(shè)置開發(fā)審核策略模型分發(fā)審核策略

windows安全審核新功能在WindowsServer2008R2和Windows

7提供了以下新功能：全局對象訪問審核、“訪問原因”設(shè)置高級審核策略設(shè)置安全審核事件介紹帳戶登錄事件帳戶管理事件詳細(xì)跟蹤的事件DS訪問事件登錄/注銷事件對象訪問事件策略更改事件權(quán)限使用事件系統(tǒng)事件7.2Linux操作系統(tǒng)安全Linux系統(tǒng)架構(gòu)Linux內(nèi)核LinuxShellLinux文件結(jié)構(gòu)

Linux的特點(diǎn)（1）公開源代碼（2）系統(tǒng)穩(wěn)定（3）性能突出（4）安全性強(qiáng)（5）跨平臺（6）完全兼容UNIX（7）強(qiáng)大的網(wǎng)絡(luò)服務(wù)7.2.1用戶和組安全用戶和用戶組的對應(yīng)關(guān)系是：一對一、多對一、一對多或多對多。一對一：某個用戶可以是某個組的唯一成員；

多對一：多個用戶可以是某個唯一的組的成員，不歸屬其它用戶組；比如beinan和linuxsir兩個用戶只歸屬于beinan用戶組；

一對多：某個用戶可以是多個用戶組的成員；比如beinan可以是root組成員，也可以是linuxsir用戶組成員，還可以是adm用戶組成員；

多對多：多個用戶對應(yīng)多個用戶組，并且?guī)讉€用戶可以是歸屬相同的組；7.2.2認(rèn)證與授權(quán)PAM（PluggableAuthenticationModules）是由Sun提出的一種認(rèn)證機(jī)制。PAM支持的四種管理界面：認(rèn)證管理（authenticationmanagement），主要是接受用戶名和密碼，進(jìn)而對該用戶的密碼進(jìn)行認(rèn)證，并負(fù)責(zé)設(shè)置用戶的一些秘密信息。帳號管理（accountmanagement），主要是檢查帳戶是否被允許登錄系統(tǒng)，帳號是否已經(jīng)過期，帳號的登錄是否有時間段的限制等等。會話管理（sessionmanagement），主要是提供對會話的管理和記賬（accounting）?？诹罟芾恚╬asswordmanagement），主要是用來修改用戶的密碼。Kerberos認(rèn)證系統(tǒng)Kerberos認(rèn)證協(xié)議是一種應(yīng)用于開放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認(rèn)證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對遠(yuǎn)程服務(wù)器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。7.2.3文件系統(tǒng)安全文件類型Linux有四種基本文件類型：普通文件、目錄文件、鏈接文件和特殊文件，可用file命令來識別。

普通文件：如文本文件、C語言元代碼、SHELL腳本、二進(jìn)制的可執(zhí)行文件等，可用cat、less、more、vi、emacs來察看內(nèi)容，用mv來改名。

目錄文件：包括文件名、子目錄名及其指針。它是LINUX儲存文件名的