計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課件第1章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述本章要點(diǎn)網(wǎng)絡(luò)安全的基本概念和特征網(wǎng)絡(luò)的脆弱性和威脅網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全級別網(wǎng)絡(luò)系統(tǒng)安全的日常管理及操作

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.1計(jì)算機(jī)網(wǎng)絡(luò)的概念計(jì)算機(jī)網(wǎng)絡(luò)是利用通信線路把多個(gè)計(jì)算機(jī)系統(tǒng)和通信設(shè)備相連，在系統(tǒng)軟件及協(xié)議的支持下而形成的一種復(fù)雜的計(jì)算機(jī)系統(tǒng)。1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.1計(jì)算機(jī)網(wǎng)絡(luò)的概念計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是由現(xiàn)代通信技術(shù)和計(jì)算機(jī)技術(shù)的高速發(fā)展、密切結(jié)合而產(chǎn)生和發(fā)展的。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是20世紀(jì)最偉大的科學(xué)技術(shù)成就之一，而計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展速度又超過了世界上任何一種其他科學(xué)技術(shù)的發(fā)展速度。1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.1計(jì)算機(jī)網(wǎng)絡(luò)的概念從系統(tǒng)組成的角度看，計(jì)算機(jī)網(wǎng)絡(luò)是由硬件和軟件兩大部分組成的。計(jì)算機(jī)網(wǎng)絡(luò)硬件主要包括主機(jī)、終端、用于信息變換和信息交換的通信節(jié)點(diǎn)設(shè)備、通信線路和網(wǎng)絡(luò)互連設(shè)備（如網(wǎng)橋、路由器、交換機(jī)和網(wǎng)關(guān)）等。計(jì)算機(jī)網(wǎng)絡(luò)軟件包括操作系統(tǒng)軟件、協(xié)議軟件、管理軟件、通信軟件和應(yīng)用軟件等。1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全歸根到底就是兩層意思，即確保計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)的安全運(yùn)行和在信息系統(tǒng)中存儲、處理和傳輸?shù)男畔⑹艿桨踩Ｗo(hù)，這就是通常所說的保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性、確保信息的保密性、完整性和可用性。

1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)安全的含義由于現(xiàn)代的數(shù)據(jù)處理系統(tǒng)都是建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的，計(jì)算機(jī)網(wǎng)絡(luò)安全也就是信息系統(tǒng)安全。網(wǎng)絡(luò)安全同樣也包括系統(tǒng)安全運(yùn)行和系統(tǒng)信息安全保護(hù)兩方面，即網(wǎng)絡(luò)安全是對信息系統(tǒng)的安全運(yùn)行和對運(yùn)行在信息系統(tǒng)中的信息進(jìn)行安全保護(hù)(包括信息的保密性、完整性和可用性保護(hù))的統(tǒng)稱。信息系統(tǒng)的安全運(yùn)行是信息系統(tǒng)提供有效服務(wù)(即可用性)的前提，信息的安全保護(hù)主要是確保數(shù)據(jù)信息的保密性和完整性。1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因無意或故意威脅而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常地運(yùn)行。 1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)安全的含義從不同角度談網(wǎng)絡(luò)安全：用戶：網(wǎng)絡(luò)系統(tǒng)可靠運(yùn)行；網(wǎng)絡(luò)中存儲和傳輸?shù)男畔⑼暾?、可用和保密。網(wǎng)絡(luò)運(yùn)行和管理者：網(wǎng)絡(luò)資源安全，有訪問控制措施，無“黑客”和病毒攻擊。安全保密部門：防有害信息出現(xiàn)，防敏感信息泄露。社會教育和意識形態(tài)：控制有害信息的傳播1．1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念1.1.3網(wǎng)絡(luò)安全特征網(wǎng)絡(luò)系統(tǒng)的安全性可包括系統(tǒng)的可靠性、軟件和數(shù)據(jù)的完整性、可用性和保密性等幾個(gè)特征。

網(wǎng)絡(luò)系統(tǒng)的可靠性（Reliability）是指保證網(wǎng)絡(luò)系統(tǒng)不因各種因素的影響而中斷正常工作。軟件及數(shù)據(jù)的完整性（Integrity）是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲和傳輸?shù)能浖ǔ绦颍┘皵?shù)據(jù)不被非法操作，即保證數(shù)據(jù)不被插入、替換和刪除，數(shù)據(jù)分組不丟失、亂序，數(shù)據(jù)庫中的數(shù)據(jù)或系統(tǒng)中的程序不被破壞等。軟件及數(shù)據(jù)的可用性（Availability）是指在保證軟件和數(shù)據(jù)完整性的同時(shí)，還要能使其被正常利用和操作。軟件及數(shù)據(jù)的保密性（Confidentiality）主要是利用密碼技術(shù)對軟件和數(shù)據(jù)進(jìn)行加密處理，保證在系統(tǒng)中存儲和網(wǎng)絡(luò)上傳輸?shù)能浖蛿?shù)據(jù)不被無關(guān)人員識別。1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.1網(wǎng)絡(luò)系統(tǒng)的脆弱性1．操作系統(tǒng)的脆弱性：網(wǎng)絡(luò)操作系統(tǒng)體系結(jié)構(gòu)本身就是不安全的，具體表現(xiàn)為：動(dòng)態(tài)聯(lián)接

創(chuàng)建進(jìn)程

空口令和RPC超級用戶

1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.1網(wǎng)絡(luò)系統(tǒng)的脆弱性2．計(jì)算機(jī)系統(tǒng)本身的脆弱性3．電磁泄漏4．?dāng)?shù)據(jù)的可訪問性5．通信系統(tǒng)和通信協(xié)議的弱點(diǎn)6．?dāng)?shù)據(jù)庫系統(tǒng)的脆弱性7．網(wǎng)絡(luò)存儲介質(zhì)的脆弱1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.2網(wǎng)絡(luò)系統(tǒng)的威脅網(wǎng)絡(luò)系統(tǒng)面臨的威脅主要來自外部的人為影響和自然環(huán)境的影響，它們包括對網(wǎng)絡(luò)設(shè)備的威脅和對網(wǎng)絡(luò)中信息的威脅。這些威脅的主要表現(xiàn)有：非法授權(quán)訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運(yùn)行，修改或刪除數(shù)據(jù)等。這些威脅大致可分為無意威脅和故意威脅兩大類。

1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.2網(wǎng)絡(luò)系統(tǒng)的威脅1．無意威脅無意威脅是在無預(yù)謀的情況下破壞系統(tǒng)的安全性、可靠性或信息的完整性。無意威脅主要是由一些偶然因素引起，如軟、硬件的機(jī)能失常，人為誤操作，電源故障和自然災(zāi)害等。

2．故意威脅故意威脅實(shí)際上就是“人為攻擊”。由于網(wǎng)絡(luò)本身存在脆弱性，因此總有某些人或某些組織想方設(shè)法利用網(wǎng)絡(luò)系統(tǒng)達(dá)到某種目的，如從事工業(yè)、商業(yè)或軍事情報(bào)搜集工作的“間諜”，對相應(yīng)領(lǐng)域的網(wǎng)絡(luò)信息是最感興趣的，他們對網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成了主要威脅。

1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.2網(wǎng)絡(luò)系統(tǒng)的威脅對系統(tǒng)的攻擊范圍，可從隨便瀏覽信息到使用特殊技術(shù)對系統(tǒng)進(jìn)行攻擊，以便得到有針對性的、敏感的信息。這些攻擊又可分為被動(dòng)攻擊和主動(dòng)攻擊。1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1.2.2網(wǎng)絡(luò)系統(tǒng)的威脅被動(dòng)攻擊和主動(dòng)攻擊有以下四種具體類型：竊取(Interception)攻擊者未經(jīng)授權(quán)瀏覽了信息資源。這是對信息保密性的威脅，例如通過搭線捕獲線路上傳輸?shù)臄?shù)據(jù)等。中斷(Interruption)攻擊者中斷正常的信息傳輸，使接收方收不到信息，正常的信息變得無用或無法利用，這是對信息可用性的威脅，例如破壞存儲介質(zhì)、切斷通信線路、侵犯文件管理系統(tǒng)等。篡改(Modification)攻擊者未經(jīng)授權(quán)而訪問了信息資源，并篡改了信息。這是對信息完整性的威脅，例如修改文件中的數(shù)據(jù)、改變程序功能、修改傳輸?shù)膱?bào)文內(nèi)容等。1.2.2網(wǎng)絡(luò)系統(tǒng)的威脅偽造(Fabrication)攻擊者在系統(tǒng)中加入了偽造的內(nèi)容。這也是對數(shù)據(jù)完整性的威脅，如向網(wǎng)絡(luò)用戶發(fā)送虛假信息、在文件中插入偽造的記錄等.1．2計(jì)算機(jī)網(wǎng)絡(luò)面臨的不安全因素1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)是網(wǎng)絡(luò)安全層次的抽象描述。在大規(guī)模的網(wǎng)絡(luò)工程建設(shè)、管理及基于網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與開發(fā)過程中，需要從全局的體系結(jié)構(gòu)角度考慮安全問題的整體解決方案，才能保證網(wǎng)絡(luò)安全功能的完備性和一致性，降低安全代價(jià)和管理開銷。這樣一個(gè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)對于網(wǎng)絡(luò)安全的設(shè)計(jì)、實(shí)現(xiàn)與管理都有重要的意義。網(wǎng)絡(luò)安全是一個(gè)范圍較廣的研究領(lǐng)域，人們一般都只是在該領(lǐng)域中的一個(gè)小范圍做自己的研究，開發(fā)能夠解決某種特殊的網(wǎng)絡(luò)安全問題方案。比如，有人專門研究加密和鑒別，有人專門研究入侵和檢測，有人專門研究黑客攻擊等。網(wǎng)絡(luò)安全體系結(jié)構(gòu)就是從系統(tǒng)化的角度去理解這些安全問題的解決方案，對研究、實(shí)現(xiàn)和管理網(wǎng)絡(luò)安全的工作具有全局指導(dǎo)作用。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架網(wǎng)絡(luò)安全模型信息轉(zhuǎn)換報(bào)文秘密信息報(bào)文秘密信息如仲裁者，秘密信息發(fā)布者用戶可信任第三方攻擊者圖1.2網(wǎng)絡(luò)安全模型用戶信息轉(zhuǎn)換1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架眾所周知，通信雙方在網(wǎng)絡(luò)上傳輸信息，需要先在發(fā)收之間建立一條邏輯通道。這就要先確定從發(fā)送端到接收端的路由，再選擇該路由上使用的通信協(xié)議，如TCP/IP。信息轉(zhuǎn)換報(bào)文秘密信息報(bào)文秘密信息如仲裁者，秘密信息發(fā)布者用戶可信任第三方攻擊者圖1.2網(wǎng)絡(luò)安全模型用戶信息轉(zhuǎn)換為了在開放式的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對信息提供安全機(jī)制和安全服務(wù)。信息的安全傳輸包括兩個(gè)基本部分：一是對發(fā)送的信息進(jìn)行安全轉(zhuǎn)換，如信息加密以便達(dá)到信息的保密性，附加一些特征碼以便進(jìn)行發(fā)送者身份驗(yàn)證等；二是發(fā)收雙方共享的某些秘密信息，如加密密鑰，除了對可信任的第三方外，對其他用戶是保密的。1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架為了使信息安全傳輸，通常需要一個(gè)可信任的第三方，其作用是負(fù)責(zé)向通信雙方分發(fā)秘密信息，以及在雙方發(fā)生爭議時(shí)進(jìn)行仲裁。一個(gè)安全的網(wǎng)絡(luò)通信必須考慮以下內(nèi)容：

實(shí)現(xiàn)與安全相關(guān)的信息轉(zhuǎn)換的規(guī)則或算法。

用于信息轉(zhuǎn)換算法的秘密信息（如密鑰）。

秘密信息的分發(fā)和共享。

使用信息轉(zhuǎn)換算法和秘密信息獲取安全服務(wù)所需的協(xié)議。1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架

2．網(wǎng)絡(luò)信息安全框架

網(wǎng)絡(luò)信息安全可看成是多個(gè)安全單元的集合。其中，每個(gè)單元都是一個(gè)整體，包含了多個(gè)特性。一般，人們從三個(gè)主要特性--安全特性、安全層次和系統(tǒng)單元去理解安全單元。該安全單元集合可用一個(gè)三維安全空間描述，如圖1.3所示。該三維安全空間反映了信息系統(tǒng)安全需求和安全結(jié)構(gòu)的共性。系統(tǒng)單元保完可認(rèn)密整用證安全特性物理網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理應(yīng)用級傳輸層網(wǎng)絡(luò)層鏈路層物理層OSI安全層次圖1.3網(wǎng)絡(luò)信息安全框架1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架

2．網(wǎng)絡(luò)信息安全框架

(1)安全特性

安全特性指的是該安全單元可解決什么安全威脅。信息安全特性包括保密性、完整性、可用性和認(rèn)證安全性。 (2)系統(tǒng)單元

系統(tǒng)單元是指該安全單元解決什么系統(tǒng)環(huán)境的安全問題。對于現(xiàn)代網(wǎng)絡(luò)，系統(tǒng)單元涉及以下五個(gè)不同環(huán)境。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.1網(wǎng)絡(luò)安全模型和框架

2．網(wǎng)絡(luò)信息安全框架

(1)安全特性

安全特性指的是該安全單元可解決什么安全威脅。信息安全特性包括保密性、完整性、可用性和認(rèn)證安全性。 (2)系統(tǒng)單元

系統(tǒng)單元是指該安全單元解決什么系統(tǒng)環(huán)境的安全問題。對于現(xiàn)代網(wǎng)絡(luò)，系統(tǒng)單元涉及以下五個(gè)不同環(huán)境。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.2OSI網(wǎng)絡(luò)安全體系

OSI參考模型是國際標(biāo)準(zhǔn)化組織（ISO）為解決異種機(jī)互連而制定的開放式計(jì)算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)模型。ISO提出OSI（開放系統(tǒng)互連）參考模型的目的，就是要使在各種終端設(shè)備之間、計(jì)算機(jī)之間、網(wǎng)絡(luò)之間、操作系統(tǒng)進(jìn)程之間以及人們之間互相交換信息的過程，能夠逐步實(shí)現(xiàn)標(biāo)準(zhǔn)化。參照這種參考模型進(jìn)行網(wǎng)絡(luò)標(biāo)準(zhǔn)化的結(jié)果，就能使得各個(gè)系統(tǒng)之間都是“開放”的，而不是封閉的。OSI參考模型將計(jì)算機(jī)網(wǎng)絡(luò)劃分為七個(gè)層次，分別稱為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.2OSI網(wǎng)絡(luò)安全體系

ISO于1989年2月公布的ISO7498-2“網(wǎng)絡(luò)安全體系結(jié)構(gòu)”文件，給出了OSI參考模型的安全體系結(jié)構(gòu)。這是一個(gè)普遍適用的安全體系結(jié)構(gòu)，它對具體網(wǎng)絡(luò)的安全體系結(jié)構(gòu)具有指導(dǎo)意義，其核心內(nèi)容是保證異構(gòu)計(jì)算機(jī)系統(tǒng)之間遠(yuǎn)距離交換信息的安全。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩方面的內(nèi)容，并給出了OSI網(wǎng)絡(luò)層次、安全機(jī)制和安全服務(wù)之間的邏輯關(guān)系。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.2OSI網(wǎng)絡(luò)安全體系

1．網(wǎng)絡(luò)安全機(jī)制(1)加密機(jī)制(2)數(shù)字簽名機(jī)制(3)訪問控制機(jī)制(4)數(shù)據(jù)完整性機(jī)制(5)交換鑒別機(jī)制(6)信息量填充機(jī)制(7)路由控制機(jī)制(8)公證機(jī)制1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.2OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.2OSI網(wǎng)絡(luò)安全體系

2．網(wǎng)絡(luò)安全服務(wù)(1)鑒別服務(wù)(2)訪問控制服務(wù)(3)數(shù)據(jù)完整性服務(wù)(4)數(shù)據(jù)保密性服務(wù)(5)非否認(rèn)服務(wù)(6)信息量填充機(jī)制(7)路由控制機(jī)制(8)公證機(jī)制表1.1與網(wǎng)絡(luò)各層相關(guān)的OSI安全服務(wù)安全服務(wù)OSI層次1234567鑒別服務(wù)同等實(shí)體鑒別YYY數(shù)據(jù)源鑒別YYY訪問控制訪問控制服務(wù)YYY數(shù)據(jù)完整性帶恢復(fù)功能的連接完整性YYY不帶恢復(fù)功能的連接完整性YYY選擇字段連接完整性NNY選擇字段無連接完整性YYY無連接完整性Y數(shù)據(jù)保密性連接保密性YYYYYY無連接保密性YYYYY信息流保密性YYY非否認(rèn)服務(wù)發(fā)送非否認(rèn)Y接受非否認(rèn)Y注：“Y”表示提供安全服務(wù)，“空白”表示不提供安全服務(wù)1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)表1.2OSI安全服務(wù)與安全機(jī)制的關(guān)系安全服務(wù)安全機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換信息流填充路由控制公證鑒別服務(wù)同等實(shí)體鑒別YYY數(shù)據(jù)源鑒別Y

Y訪問控制訪問控制服務(wù)Y數(shù)據(jù)完整性帶恢復(fù)功能連接完整性YY不帶恢復(fù)功能的連接完整性YY選擇字段連接完整性YY選擇字段無連接完整性YYY無連接完整性YYY數(shù)據(jù)保密性連接保密性YY無連接保密性YY信息流保密性YYY非否認(rèn)服務(wù)發(fā)送非否認(rèn)YYY接受非否認(rèn)YYY注：“Y”表示提供安全服務(wù)，“空白”表示不提供安全服務(wù)1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.3P2DR模型

一個(gè)常用的網(wǎng)絡(luò)安全模型是P2DR模型包含四個(gè)主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）。防護(hù)、檢測和響應(yīng)組成了一個(gè)所謂的“完整、動(dòng)態(tài)”的安全循環(huán)。

1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.3P2DR模型

1．Policy(安全策略)我們在考慮建立網(wǎng)絡(luò)安全系統(tǒng)時(shí)，在了解了網(wǎng)絡(luò)信息安全系統(tǒng)等級劃分和評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)后，一個(gè)重要的任務(wù)就是要制訂一個(gè)網(wǎng)絡(luò)安全策略。一個(gè)策略體系的建立包括：安全策略的制訂、安全策略的評估、安全策略的執(zhí)行等。網(wǎng)絡(luò)安全策略一般包括兩部分：總體的安全策略和具體的安全規(guī)則。1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.3P2DR模型

2．Protection（防護(hù)）防護(hù)就是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題采取一些預(yù)防措施，是通過一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn)的。通常采用的主動(dòng)防護(hù)技術(shù)有：數(shù)據(jù)加密，身份驗(yàn)證，訪問控制，授權(quán)和虛擬網(wǎng)絡(luò)(VPN)技術(shù)；被動(dòng)防護(hù)技術(shù)有：防火墻技術(shù)，安全掃描，入侵檢測，路由過濾，數(shù)據(jù)備份和歸檔，物理安全，安全管理等。1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.3P2DR模型

3．Detection（檢測）攻擊者如果穿過防護(hù)系統(tǒng)，檢測系統(tǒng)就會將其檢測出來。如檢測入侵者的身份，包括攻擊源、系統(tǒng)損失等。防護(hù)系統(tǒng)可以阻止大多數(shù)的入侵事件，但不能阻止所有的入侵事件，特別是那些利用新的系統(tǒng)缺陷、新攻擊手段的入侵。如果入侵事件發(fā)生，就要啟動(dòng)檢測系統(tǒng)進(jìn)行檢測1．3計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3.3P2DR模型

4．Response（響應(yīng)）系統(tǒng)一旦檢測出入侵，響應(yīng)系統(tǒng)則開始響應(yīng)，進(jìn)行事件處理。P2DR中的響應(yīng)就是在已知入侵事件發(fā)生后，進(jìn)行的緊急響應(yīng)(事件處理)。響應(yīng)工作可由特殊部門----計(jì)算機(jī)緊急響應(yīng)小組負(fù)責(zé)。世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組簡稱CERT(ComputerEmergencyResponseTeam)，我國的第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組是中國教育與科研計(jì)算機(jī)網(wǎng)絡(luò)建立的，簡稱“CCERT”。不同機(jī)構(gòu)也有相應(yīng)的計(jì)算機(jī)緊急響應(yīng)小組。1．4計(jì)算機(jī)網(wǎng)絡(luò)安全措施1.4.1安全立法

1．國外的計(jì)算機(jī)信息安全立法 2．我國的計(jì)算機(jī)信息安全立法1.4.2安全管理 1．安全管理機(jī)構(gòu) 2．安全行政人事管理 3．系統(tǒng)安全管理1.4.3實(shí)體安全技術(shù)1.4.4訪問控制技術(shù)1.4.5數(shù)據(jù)保密技術(shù)1．5計(jì)算機(jī)網(wǎng)絡(luò)的安全級別1.5.1可信計(jì)算機(jī)標(biāo)準(zhǔn)評價(jià)準(zhǔn)則1983年美國國防部發(fā)表的《可信計(jì)算機(jī)標(biāo)準(zhǔn)評價(jià)準(zhǔn)則》（簡稱為TCSEC）把計(jì)算機(jī)安全等級分為4類7級。根據(jù)安全性從低到高的級別，依次為D、C1、C2、B1、B2、B3、A級，每級包括它下級的所有特性，見表。級別名稱特征A驗(yàn)證設(shè)計(jì)安全級形式化的最高級描述和驗(yàn)證，形式化的隱蔽通道分析，非形式化的代碼一致性證明B3安全域級安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護(hù)級面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對所有的主體和客體提供訪問控制保護(hù)，對系統(tǒng)進(jìn)行隱蔽通道分析B1標(biāo)記安全保護(hù)級在C2安全級上增加安全策略模型，數(shù)據(jù)標(biāo)記（安全和屬性），托管訪問控制C2訪問控制環(huán)境保護(hù)級訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì)C1選擇性安全保護(hù)級有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶組為單位進(jìn)行保護(hù)D最低安全保護(hù)級保護(hù)措施很少，沒有安全功能1．5計(jì)算機(jī)網(wǎng)絡(luò)的安全級別1．5計(jì)算機(jī)網(wǎng)絡(luò)的安全級別1.5.2計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則我國于2001年1月1日起實(shí)施的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》將計(jì)算機(jī)安全保護(hù)等級劃分為五個(gè)級別。第一級叫用戶自主保護(hù)級。該級使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免被其他用戶非法讀寫和破壞。第二級叫系統(tǒng)審計(jì)保護(hù)級。它具備第一級的保護(hù)能力，并創(chuàng)建和維護(hù)訪問審計(jì)跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶及事件類型等信息，使所有用戶對自己的行為負(fù)責(zé)。1．5計(jì)算機(jī)網(wǎng)絡(luò)的安全級別1.5.2計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則第三級叫安全標(biāo)記保護(hù)級。它具備第二級的保護(hù)能力，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)。第四級叫結(jié)構(gòu)化保護(hù)級。它具備第三級的保護(hù)功能，并將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分兩層結(jié)構(gòu)，其中的關(guān)鍵部分直接控制訪問者對訪問對象的訪問。該級具有很強(qiáng)的抗?jié)B透能力。第五級叫安全域保護(hù)級。它具備第四級的保護(hù)功能，并增加了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動(dòng)。該級具有極強(qiáng)的抗?jié)B透能力。1．6網(wǎng)絡(luò)系統(tǒng)安全的日常管理及操作1.6.1網(wǎng)絡(luò)系統(tǒng)的日常管理1．口令（密碼）管理2．病毒防護(hù)3．漏洞掃描4．邊界控制5．實(shí)時(shí)監(jiān)控6．日志審核7．應(yīng)急響應(yīng)8．軟件和數(shù)據(jù)文件的保護(hù)1．6網(wǎng)絡(luò)系統(tǒng)安全的日常管理及操作1.6.2網(wǎng)絡(luò)日志管理1．網(wǎng)絡(luò)日志是日常管理的FAQ2．網(wǎng)絡(luò)日志是排除故障的黑匣子3．網(wǎng)絡(luò)日志是網(wǎng)絡(luò)升級的指示儀4．網(wǎng)絡(luò)設(shè)備的日志管理5．網(wǎng)絡(luò)日志便于系統(tǒng)運(yùn)行維護(hù)管理6．日志分析工具及應(yīng)用1．6網(wǎng)絡(luò)系統(tǒng)安全的日常管理及操作1.6.2網(wǎng)絡(luò)日志管理6．日志分析工具及應(yīng)用

AWStats是一個(gè)基于Perl的Web日志分析工具。AWStats是perl語言書寫的程序，所以必須先安裝ActivePerl(forwin32)程序。

(1)安裝ActivePerl(2)測試ActivePerl1．6網(wǎng)絡(luò)系統(tǒng)安全的日常管理及操作1.6.2網(wǎng)絡(luò)日志管理6．日志分析工具及應(yīng)用(3)安裝AWStats(4)使用AWStats1)設(shè)置IIS的日志選項(xiàng)2).conf文件的設(shè)置3)統(tǒng)計(jì)日志4)訪問統(tǒng)計(jì)結(jié)果 圖1.8CGI測試設(shè)置1.7計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

1.7.1數(shù)據(jù)加密與認(rèn)證

加密將防止數(shù)據(jù)被查看或修改，并在不安全的信道上提供安全的通信信道。加密的功能是將明文通過某種算法轉(zhuǎn)換成一段無法識別的密文。數(shù)字認(rèn)證技術(shù)泛指使用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)進(jìn)行的認(rèn)證。數(shù)字認(rèn)證提供了一種機(jī)制使用戶能證明其發(fā)出信息來源的正確性和發(fā)出信息的完整性。數(shù)字認(rèn)證的另一主要作用是操作系統(tǒng)可以通過它來實(shí)現(xiàn)對資源的訪問控制。

1.7.2防火墻

“防火墻”是一種由計(jì)算機(jī)硬件和軟件的組合使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)（securitygateway），從