計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)習(xí)單元6-Windows網(wǎng)絡(luò)服務(wù)器假設(shè)-任務(wù)6-1課件

學(xué)習(xí)單元6網(wǎng)絡(luò)安全防護(hù)任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)學(xué)習(xí)單元6網(wǎng)絡(luò)安全防護(hù)任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)1引例描述龍華校園網(wǎng)通信網(wǎng)絡(luò)和資源平臺(tái)搭建已經(jīng)進(jìn)入尾聲，部分測(cè)試工作也已經(jīng)開展，小張以為項(xiàng)目沒有什么工作了，徐工卻提醒他，還有一塊很重要的工作——網(wǎng)絡(luò)安全防護(hù)，需要完成。此時(shí)小張的實(shí)習(xí)任務(wù)已經(jīng)可以完成了，項(xiàng)目組劉經(jīng)理也沒有要求徐工對(duì)小張的工作做進(jìn)一步安排。但小張?jiān)缇吐犝f過網(wǎng)絡(luò)黑客的傳奇事跡，很是好奇，請(qǐng)求徐工再帶一帶他。徐工給小張介紹了網(wǎng)絡(luò)安全中的加密解密、公鑰體系、數(shù)字簽名、數(shù)字證書等方面的知識(shí)，以及系統(tǒng)漏洞掃描、防火墻配置等技能，并告訴他黑客行為是不可取的，掌握網(wǎng)絡(luò)安全技術(shù)是為了更好的維護(hù)網(wǎng)絡(luò)，而不是去做非法或違背道德的事情。征得劉經(jīng)理同意之后，徐工安排小張參與了網(wǎng)站安全防護(hù)和防火墻安全配置的任務(wù)。如圖6-1所示。引例描述龍華校園網(wǎng)通信網(wǎng)絡(luò)和資源平臺(tái)搭建已經(jīng)進(jìn)入尾聲，部分測(cè)26.1網(wǎng)絡(luò)安全定義從定義上講，信息安全一般指防止對(duì)知識(shí)、事實(shí)、數(shù)據(jù)或能力非授權(quán)的使用、誤用、篡改或拒絕使用所采取的措施。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，實(shí)施網(wǎng)絡(luò)安全保護(hù)，需要弄清楚幾個(gè)問題：哪些對(duì)象需要保護(hù)；哪些因素會(huì)威脅對(duì)象；威脅會(huì)從哪里產(chǎn)生；威脅的實(shí)施過程；威脅發(fā)生時(shí)如何降低損失。6.1網(wǎng)絡(luò)安全定義從定義上講，信息安全一般指防止對(duì)知識(shí)、事實(shí)36.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)1.網(wǎng)絡(luò)安全保護(hù)對(duì)象一般說來，下列各項(xiàng)可以要求保護(hù)：（1）信息與數(shù)據(jù)（包括軟件，以及與安全措施有關(guān)的被動(dòng)數(shù)據(jù)，例如口令）；（2）通信和數(shù)據(jù)處理服務(wù)；（3）設(shè)備與設(shè)施。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)1.網(wǎng)絡(luò)安全保護(hù)對(duì)象46.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)2.網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全主要目的是實(shí)現(xiàn)保護(hù)對(duì)象的機(jī)密性、完整性、可用性。（1）機(jī)密性機(jī)密性是指保證信息與網(wǎng)絡(luò)系統(tǒng)不被非授權(quán)者所訪問和獲取。（2）完整性完整性是指信息是真實(shí)可信的，來源沒有被偽造、內(nèi)容沒有被篡改。（3）可用性可用性是指保證信息與網(wǎng)絡(luò)系統(tǒng)可被授權(quán)人正常使用。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)2.網(wǎng)絡(luò)安全目標(biāo)56.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅包括：對(duì)通信或其他資源的破壞；對(duì)信息的濫用、訛用或篡改；信息或其他資源的被竊，刪除或丟失；信息的泄露；系統(tǒng)服務(wù)的中斷和禁止。威脅分為偶發(fā)性威脅與故意性威脅，也可以分為主動(dòng)威脅或被動(dòng)威脅。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅包括：66.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅產(chǎn)生的原因可能來自于很多方面，有因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的技術(shù)問題，如系統(tǒng)平臺(tái)漏洞、應(yīng)用平臺(tái)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、設(shè)備管理漏洞等；也有內(nèi)部管理方面的漏洞，如員工安全意識(shí)薄弱、操作不當(dāng)、報(bào)復(fù)心理等。這些威脅的產(chǎn)生會(huì)造成一個(gè)企業(yè)或組織在財(cái)富、時(shí)間、信譽(yù)等方面的損失。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅產(chǎn)生的原因可能來自于76.1網(wǎng)絡(luò)安全定義

——幾種特定類型的網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊方式有：訪問攻擊、篡改攻擊、拒絕服務(wù)攻擊、否認(rèn)攻擊。常見的攻擊行為如圖6-2所示。6.1網(wǎng)絡(luò)安全定義

——幾種特定類型的網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊86.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參與通信的開放系統(tǒng)的層所提供的服務(wù)，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。本教材列為六類安全服務(wù)：認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、可用性。安全機(jī)制是用來實(shí)現(xiàn)安全服務(wù)的組合。安全機(jī)制既可以是特定的，也可以是普遍的。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參96.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參與通信的開放系統(tǒng)的層所提供的服務(wù)，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。本教材列為六類安全服務(wù)：認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、可用性。安全機(jī)制是用來實(shí)現(xiàn)安全服務(wù)的組合。安全機(jī)制既可以是特定的，也可以是普遍的。為實(shí)現(xiàn)安全服務(wù)與安全機(jī)制的對(duì)照關(guān)系，將主要介紹特定安全機(jī)制。標(biāo)準(zhǔn)定義的特定安全機(jī)制有以下幾種：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證等。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參106.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（1）認(rèn)證認(rèn)證確保某個(gè)實(shí)體身份的可靠性，可分為兩種類型。一種類型是確保其對(duì)等實(shí)體沒有試圖冒充別的實(shí)體，或沒有試圖重新建立將已經(jīng)存在連接，稱為對(duì)等實(shí)體認(rèn)證。另一種認(rèn)證是證明某個(gè)信息是否來自于某個(gè)特定的實(shí)體，這種認(rèn)證叫做數(shù)據(jù)源認(rèn)證。數(shù)據(jù)簽名技術(shù)就是一例。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)116.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（2）訪問控制訪問控制的目標(biāo)是防止對(duì)任何資源的非授權(quán)訪問，確保只有經(jīng)過授權(quán)的實(shí)體才能訪問受保護(hù)的資源。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)126.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（3）數(shù)據(jù)機(jī)密性數(shù)據(jù)機(jī)密性服務(wù)確保只有經(jīng)過授權(quán)的實(shí)體才能理解受保護(hù)的信息、在信息安全中主要區(qū)分兩種機(jī)密性服務(wù)：數(shù)據(jù)機(jī)密性服務(wù)和業(yè)務(wù)流機(jī)密性服務(wù)，數(shù)據(jù)機(jī)密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)136.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（4）數(shù)據(jù)完整性數(shù)據(jù)完整性防止對(duì)數(shù)據(jù)未授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改，是否被攻擊者用假消息換掉。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)146.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（5）抗否認(rèn)不可否認(rèn)服務(wù)是防止對(duì)數(shù)據(jù)源以及數(shù)據(jù)交付的否認(rèn)。對(duì)數(shù)據(jù)源的抗否認(rèn)將使發(fā)送者謊稱未發(fā)送過這些數(shù)據(jù)或否認(rèn)它的內(nèi)容的企圖不能得逞。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)156.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（6）可用性可用性服務(wù)是防止拒絕服務(wù)攻擊、物理破壞等造成的信息與網(wǎng)絡(luò)系統(tǒng)對(duì)合法用戶的不可用問題，可通過提供備份、實(shí)時(shí)恢復(fù)、災(zāi)后恢復(fù)等安全恢復(fù)機(jī)制提供安全保障。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)166.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制176.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（1）加密機(jī)制用于保護(hù)數(shù)據(jù)的機(jī)密性。它依賴于現(xiàn)代密碼學(xué)理論，一般來說加/解密算法是公開的，加密的安全性主要依賴于密鑰的女全性和強(qiáng)度。有兩種加密機(jī)制，一種是對(duì)稱的加密機(jī)制，—種是非對(duì)稱的加密機(jī)制。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)186.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（2）

數(shù)字簽名機(jī)制保證數(shù)據(jù)完整性及不可否認(rèn)性的一種重要手段。（3）訪問控制機(jī)制與實(shí)體認(rèn)證密切相關(guān)。首先，要訪問某個(gè)資源的實(shí)體應(yīng)成功通過認(rèn)證，然后訪問控制機(jī)制對(duì)該實(shí)體的訪問請(qǐng)求進(jìn)行處理，查看該實(shí)體是否具有訪問所請(qǐng)求資源的權(quán)限，并做出相應(yīng)的處理。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)196.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（4）數(shù)據(jù)完整性機(jī)制用于保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的修改，該機(jī)制可以通過使用一種單向的不可逆函數(shù)——散列函數(shù)來計(jì)算出消息摘要（MessageDigest），并對(duì)消息摘要進(jìn)行數(shù)字簽名來實(shí)現(xiàn)。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)206.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（5）認(rèn)證交換機(jī)制提供對(duì)對(duì)等實(shí)體進(jìn)行鑒別。需要安全通信的雙方可以用這個(gè)機(jī)制確定核實(shí)對(duì)方身份是否合法，如果得到否定的結(jié)果，就會(huì)導(dǎo)致連接的拒絕或終止，也可能產(chǎn)生一個(gè)安全審計(jì)記錄或報(bào)告。（6）流量填充機(jī)制能用來提供各種不同級(jí)別的保護(hù)，抵抗流量分析。這種機(jī)制只有在流量填充受到機(jī)密服務(wù)保護(hù)時(shí)才是有效的。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)216.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（7）路由控制機(jī)制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。這樣就可以選擇物理上安全的一條路徑，這條路徑上的節(jié)點(diǎn)都是可信任的，確保發(fā)送的信息不會(huì)因通過不安全的節(jié)點(diǎn)而受到攻擊。（8）公證機(jī)制有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機(jī)制而得到確保。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)226.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制236.2密碼技術(shù)密碼技術(shù)是信息安全的核心技術(shù)，認(rèn)證、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)性等都需要密碼技術(shù)的支持。6.2密碼技術(shù)密碼技術(shù)是信息安全的核心技術(shù)，認(rèn)證、數(shù)據(jù)機(jī)密246.2密碼技術(shù)

——密碼技術(shù)概念1.加密通常將待加密的信息稱為明文，為了保護(hù)明文，通過一系列步驟將轉(zhuǎn)換成另一種形式。加密可以是不可逆的。2.解密與一個(gè)可逆的加密過程相對(duì)應(yīng)的反過程，就是將密文還原為明文。3.密鑰控制加密與解密操作的序列符號(hào)，是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中要輸入的數(shù)據(jù)。4.數(shù)字簽名附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，防止被人進(jìn)行偽造。6.2密碼技術(shù)

——密碼技術(shù)概念1.加密256.2密碼技術(shù)

——密碼體制1.對(duì)稱密碼體制如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖不相同，但可以由其中一個(gè)推導(dǎo)出另一個(gè)，就被稱為對(duì)稱密碼體制，有時(shí)也被稱為單密鑰密碼體制或私鑰（secretkey）密碼體制。6.2密碼技術(shù)

——密碼體制1.對(duì)稱密碼體制266.2密碼技術(shù)

——密碼體制2.非對(duì)稱密碼體制非對(duì)稱密碼體制，又稱為公鑰（publickey）密碼體制或雙密鑰密碼體制，是將加密和解密分開，采用一對(duì)不同的密鑰進(jìn)行。非對(duì)稱密碼體制原理如圖6-4所示。6.2密碼技術(shù)

——密碼體制2.非對(duì)稱密碼體制276.2密碼技術(shù)

——散列函數(shù)散列函數(shù)主要用來產(chǎn)生散列值（hashvalue），其關(guān)系如圖6-5所示。6.2密碼技術(shù)

——散列函數(shù)散列函數(shù)主要用來產(chǎn)生散列值（h286.2密碼技術(shù)

——數(shù)字簽名和數(shù)字證書在網(wǎng)絡(luò)應(yīng)用場(chǎng)合上，若用戶想以自己的名義發(fā)表一份文件，就可以在文件末尾附上數(shù)字簽名（digitalsignature），證明這份文件確實(shí)是自己發(fā)出的，并可確保文件內(nèi)容不會(huì)被篡改。6.2密碼技術(shù)

——數(shù)字簽名和數(shù)字證書在網(wǎng)絡(luò)應(yīng)用場(chǎng)合上，若296.3訪問控制訪問控制指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。訪問控制包括三個(gè)要素：主體客體控制策略6.3訪問控制訪問控制指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的306.3訪問控制訪問控制可以建立在使用下列所舉的一種或多種手段之上。1.訪問控制信息庫，在這里保存客體的訪問權(quán)限2.認(rèn)證信息，例如口令3.權(quán)力4.安全標(biāo)記5.試圖訪問的時(shí)間6.試圖訪問的路由7.訪問持續(xù)期6.3訪問控制訪問控制可以建立在使用下列所舉的一種或多種手316.4Web服務(wù)器安全Web服務(wù)器以及Web服務(wù)器所在的網(wǎng)絡(luò)的漏洞。對(duì)網(wǎng)站的安全分析，除了網(wǎng)站本身的軟件問題之外，更多的是分析其所在Web服務(wù)器安全問題6.4Web服務(wù)器安全Web服務(wù)器以及Web服務(wù)器所在的網(wǎng)326.4Web服務(wù)器安全

——Web服務(wù)器安全威脅除了自然災(zāi)害之外，通常將Web服務(wù)器的安全漏洞分為兩大類：一是軟硬件系統(tǒng)平臺(tái)的安全漏洞，其中包括無意的漏洞和有意的漏洞二是人員管理方面的漏洞6.4Web服務(wù)器安全

——Web服務(wù)器安全威脅除了自然災(zāi)336.4Web服務(wù)器安全

——系統(tǒng)平臺(tái)的安全對(duì)于系統(tǒng)平臺(tái)的安全，一般需要考慮以下問題：1．確認(rèn)服務(wù)器、操作系統(tǒng)和其他系統(tǒng)軟件是否有安全漏洞，確認(rèn)是否要更換部件，軟件是否要安裝補(bǔ)丁程序等等。2．采用適當(dāng)?shù)拇胧┍Ｗo(hù)Web服務(wù)器主機(jī)系統(tǒng)不會(huì)受到外網(wǎng)或內(nèi)網(wǎng)的攻擊。3．保護(hù)Web服務(wù)器免于拒絕服務(wù)的攻擊。4．采用一次性登錄方式，減少賬戶管理的復(fù)雜度，簡(jiǎn)潔的賬戶系統(tǒng)更容易實(shí)施安全策略，對(duì)過期不用的賬戶應(yīng)及時(shí)刪除。5．建立一個(gè)可持續(xù)運(yùn)轉(zhuǎn)的安全策略，并確保策略的實(shí)施。6．注意Web服務(wù)器安全日志的記錄與查看。6.4Web服務(wù)器安全

——系統(tǒng)平臺(tái)的安全對(duì)于系統(tǒng)平臺(tái)的安346.4Web服務(wù)器安全

——攻擊方式口令攻擊是許多攻擊者屢試不爽的方式。對(duì)網(wǎng)站的攻擊一般都是人為的惡意攻擊。一般來說，攻擊者對(duì)目標(biāo)進(jìn)行攻擊要經(jīng)歷3個(gè)步驟：1.目標(biāo)信息搜集2.漏洞掃描3.實(shí)施攻擊6.4Web服務(wù)器安全

——攻擊方式口令攻擊是許多攻擊者屢356.4Web服務(wù)器安全

——安全策略1.物理安全策略2.訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。（1）入網(wǎng)訪問控制（2）網(wǎng)絡(luò)的權(quán)限控制（3）目錄級(jí)安全控制（4）屬性安全控制（5）網(wǎng)絡(luò)服務(wù)器安全控制（6）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制（7）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制6.4Web服務(wù)器安全

——安全策略1.物理安全策略366.4Web服務(wù)器安全

——安全策略3.防火墻控制4.數(shù)據(jù)加密策略比較著名的對(duì)稱密鑰算法有美國的DES及其各種變形，比如TripleDES、GDES、NewDES；歐洲的IDEA；日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。比較著名的公鑰密碼算法有RSA、背包密碼、McEliece密碼、DiffeHelman、Rabin算法等等。5.網(wǎng)絡(luò)安全管理策略6.經(jīng)常自檢6.4Web服務(wù)器安全

——安全策略3.防火墻控制376.4Web服務(wù)器安全

——補(bǔ)丁補(bǔ)丁包含了系統(tǒng)穩(wěn)定性、安全性以及其他方面的更新。微軟補(bǔ)丁通?？梢缘絟ttp：///sp上下載6.4Web服務(wù)器安全

——補(bǔ)丁補(bǔ)丁包含了系統(tǒng)穩(wěn)定性、安全385.5DHCP服務(wù)器

——DHCP的工作原理5.重新登錄。以后DHCP客戶機(jī)每次重新登錄網(wǎng)絡(luò)時(shí)，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)信息了，而是直接發(fā)送包含前一次所分配的IP地址的DHCPrequest請(qǐng)求信息。6.更新租約。DHCP服務(wù)器向DHCP客戶機(jī)出租的IP地址一般都有一個(gè)租借期限，期滿后DHCP服務(wù)器便會(huì)發(fā)送收回出租的IP地址。如果DHCP客戶機(jī)要延長(zhǎng)其IP租約，則必須更新其IP租約。5.5DHCP服務(wù)器

——DHCP的工作原理5.重新登錄39任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)對(duì)于操作系統(tǒng)，有些系統(tǒng)在誕生時(shí)就因?yàn)楣δ茉O(shè)計(jì)方面的缺陷存在不少漏洞。有些系統(tǒng)設(shè)計(jì)開發(fā)時(shí)為方便更新完善留有“后門”，但在后來被棄用成為“漏洞”。有些系統(tǒng)在發(fā)布時(shí)堪稱完美，但隨著時(shí)間的推移，應(yīng)用環(huán)境的變化，不少漏洞就會(huì)顯現(xiàn)出來。因此經(jīng)常對(duì)重要的服務(wù)器平臺(tái)操作系統(tǒng)進(jìn)行漏洞掃描，是安全防護(hù)的重要工作。請(qǐng)使用MicrosoftBaselineSecurityAnalyzer(MBSA)工具檢查之前所搭建的WindowsServer2008R2服務(wù)器系統(tǒng)，檢查是否有漏洞存在，并及時(shí)打補(bǔ)丁修復(fù)。任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)對(duì)于操作系統(tǒng)，有些系統(tǒng)在誕生時(shí)40任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)參考教材任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)參考教材41任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)無任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)無42學(xué)習(xí)單元6網(wǎng)絡(luò)安全防護(hù)任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)學(xué)習(xí)單元6網(wǎng)絡(luò)安全防護(hù)任務(wù)6-1系統(tǒng)漏洞檢測(cè)與防護(hù)43引例描述龍華校園網(wǎng)通信網(wǎng)絡(luò)和資源平臺(tái)搭建已經(jīng)進(jìn)入尾聲，部分測(cè)試工作也已經(jīng)開展，小張以為項(xiàng)目沒有什么工作了，徐工卻提醒他，還有一塊很重要的工作——網(wǎng)絡(luò)安全防護(hù)，需要完成。此時(shí)小張的實(shí)習(xí)任務(wù)已經(jīng)可以完成了，項(xiàng)目組劉經(jīng)理也沒有要求徐工對(duì)小張的工作做進(jìn)一步安排。但小張?jiān)缇吐犝f過網(wǎng)絡(luò)黑客的傳奇事跡，很是好奇，請(qǐng)求徐工再帶一帶他。徐工給小張介紹了網(wǎng)絡(luò)安全中的加密解密、公鑰體系、數(shù)字簽名、數(shù)字證書等方面的知識(shí)，以及系統(tǒng)漏洞掃描、防火墻配置等技能，并告訴他黑客行為是不可取的，掌握網(wǎng)絡(luò)安全技術(shù)是為了更好的維護(hù)網(wǎng)絡(luò)，而不是去做非法或違背道德的事情。征得劉經(jīng)理同意之后，徐工安排小張參與了網(wǎng)站安全防護(hù)和防火墻安全配置的任務(wù)。如圖6-1所示。引例描述龍華校園網(wǎng)通信網(wǎng)絡(luò)和資源平臺(tái)搭建已經(jīng)進(jìn)入尾聲，部分測(cè)446.1網(wǎng)絡(luò)安全定義從定義上講，信息安全一般指防止對(duì)知識(shí)、事實(shí)、數(shù)據(jù)或能力非授權(quán)的使用、誤用、篡改或拒絕使用所采取的措施。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，實(shí)施網(wǎng)絡(luò)安全保護(hù)，需要弄清楚幾個(gè)問題：哪些對(duì)象需要保護(hù)；哪些因素會(huì)威脅對(duì)象；威脅會(huì)從哪里產(chǎn)生；威脅的實(shí)施過程；威脅發(fā)生時(shí)如何降低損失。6.1網(wǎng)絡(luò)安全定義從定義上講，信息安全一般指防止對(duì)知識(shí)、事實(shí)456.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)1.網(wǎng)絡(luò)安全保護(hù)對(duì)象一般說來，下列各項(xiàng)可以要求保護(hù)：（1）信息與數(shù)據(jù)（包括軟件，以及與安全措施有關(guān)的被動(dòng)數(shù)據(jù)，例如口令）；（2）通信和數(shù)據(jù)處理服務(wù)；（3）設(shè)備與設(shè)施。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)1.網(wǎng)絡(luò)安全保護(hù)對(duì)象466.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)2.網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全主要目的是實(shí)現(xiàn)保護(hù)對(duì)象的機(jī)密性、完整性、可用性。（1）機(jī)密性機(jī)密性是指保證信息與網(wǎng)絡(luò)系統(tǒng)不被非授權(quán)者所訪問和獲取。（2）完整性完整性是指信息是真實(shí)可信的，來源沒有被偽造、內(nèi)容沒有被篡改。（3）可用性可用性是指保證信息與網(wǎng)絡(luò)系統(tǒng)可被授權(quán)人正常使用。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全目標(biāo)2.網(wǎng)絡(luò)安全目標(biāo)476.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅包括：對(duì)通信或其他資源的破壞；對(duì)信息的濫用、訛用或篡改；信息或其他資源的被竊，刪除或丟失；信息的泄露；系統(tǒng)服務(wù)的中斷和禁止。威脅分為偶發(fā)性威脅與故意性威脅，也可以分為主動(dòng)威脅或被動(dòng)威脅。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅包括：486.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅產(chǎn)生的原因可能來自于很多方面，有因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的技術(shù)問題，如系統(tǒng)平臺(tái)漏洞、應(yīng)用平臺(tái)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、設(shè)備管理漏洞等；也有內(nèi)部管理方面的漏洞，如員工安全意識(shí)薄弱、操作不當(dāng)、報(bào)復(fù)心理等。這些威脅的產(chǎn)生會(huì)造成一個(gè)企業(yè)或組織在財(cái)富、時(shí)間、信譽(yù)等方面的損失。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅產(chǎn)生的原因可能來自于496.1網(wǎng)絡(luò)安全定義

——幾種特定類型的網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊方式有：訪問攻擊、篡改攻擊、拒絕服務(wù)攻擊、否認(rèn)攻擊。常見的攻擊行為如圖6-2所示。6.1網(wǎng)絡(luò)安全定義

——幾種特定類型的網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊506.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參與通信的開放系統(tǒng)的層所提供的服務(wù)，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。本教材列為六類安全服務(wù)：認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、可用性。安全機(jī)制是用來實(shí)現(xiàn)安全服務(wù)的組合。安全機(jī)制既可以是特定的，也可以是普遍的。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參516.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參與通信的開放系統(tǒng)的層所提供的服務(wù)，它確保該系統(tǒng)或數(shù)據(jù)傳送具有足夠的安全性。本教材列為六類安全服務(wù)：認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、可用性。安全機(jī)制是用來實(shí)現(xiàn)安全服務(wù)的組合。安全機(jī)制既可以是特定的，也可以是普遍的。為實(shí)現(xiàn)安全服務(wù)與安全機(jī)制的對(duì)照關(guān)系，將主要介紹特定安全機(jī)制。標(biāo)準(zhǔn)定義的特定安全機(jī)制有以下幾種：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證等。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制安全服務(wù)是由參526.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（1）認(rèn)證認(rèn)證確保某個(gè)實(shí)體身份的可靠性，可分為兩種類型。一種類型是確保其對(duì)等實(shí)體沒有試圖冒充別的實(shí)體，或沒有試圖重新建立將已經(jīng)存在連接，稱為對(duì)等實(shí)體認(rèn)證。另一種認(rèn)證是證明某個(gè)信息是否來自于某個(gè)特定的實(shí)體，這種認(rèn)證叫做數(shù)據(jù)源認(rèn)證。數(shù)據(jù)簽名技術(shù)就是一例。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)536.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（2）訪問控制訪問控制的目標(biāo)是防止對(duì)任何資源的非授權(quán)訪問，確保只有經(jīng)過授權(quán)的實(shí)體才能訪問受保護(hù)的資源。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)546.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（3）數(shù)據(jù)機(jī)密性數(shù)據(jù)機(jī)密性服務(wù)確保只有經(jīng)過授權(quán)的實(shí)體才能理解受保護(hù)的信息、在信息安全中主要區(qū)分兩種機(jī)密性服務(wù)：數(shù)據(jù)機(jī)密性服務(wù)和業(yè)務(wù)流機(jī)密性服務(wù)，數(shù)據(jù)機(jī)密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)556.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（4）數(shù)據(jù)完整性數(shù)據(jù)完整性防止對(duì)數(shù)據(jù)未授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改，是否被攻擊者用假消息換掉。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)566.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（5）抗否認(rèn)不可否認(rèn)服務(wù)是防止對(duì)數(shù)據(jù)源以及數(shù)據(jù)交付的否認(rèn)。對(duì)數(shù)據(jù)源的抗否認(rèn)將使發(fā)送者謊稱未發(fā)送過這些數(shù)據(jù)或否認(rèn)它的內(nèi)容的企圖不能得逞。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)576.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)（6）可用性可用性服務(wù)是防止拒絕服務(wù)攻擊、物理破壞等造成的信息與網(wǎng)絡(luò)系統(tǒng)對(duì)合法用戶的不可用問題，可通過提供備份、實(shí)時(shí)恢復(fù)、災(zāi)后恢復(fù)等安全恢復(fù)機(jī)制提供安全保障。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制1．

安全服務(wù)586.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制596.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（1）加密機(jī)制用于保護(hù)數(shù)據(jù)的機(jī)密性。它依賴于現(xiàn)代密碼學(xué)理論，一般來說加/解密算法是公開的，加密的安全性主要依賴于密鑰的女全性和強(qiáng)度。有兩種加密機(jī)制，一種是對(duì)稱的加密機(jī)制，—種是非對(duì)稱的加密機(jī)制。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)606.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（2）

數(shù)字簽名機(jī)制保證數(shù)據(jù)完整性及不可否認(rèn)性的一種重要手段。（3）訪問控制機(jī)制與實(shí)體認(rèn)證密切相關(guān)。首先，要訪問某個(gè)資源的實(shí)體應(yīng)成功通過認(rèn)證，然后訪問控制機(jī)制對(duì)該實(shí)體的訪問請(qǐng)求進(jìn)行處理，查看該實(shí)體是否具有訪問所請(qǐng)求資源的權(quán)限，并做出相應(yīng)的處理。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)616.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（4）數(shù)據(jù)完整性機(jī)制用于保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的修改，該機(jī)制可以通過使用一種單向的不可逆函數(shù)——散列函數(shù)來計(jì)算出消息摘要（MessageDigest），并對(duì)消息摘要進(jìn)行數(shù)字簽名來實(shí)現(xiàn)。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)626.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（5）認(rèn)證交換機(jī)制提供對(duì)對(duì)等實(shí)體進(jìn)行鑒別。需要安全通信的雙方可以用這個(gè)機(jī)制確定核實(shí)對(duì)方身份是否合法，如果得到否定的結(jié)果，就會(huì)導(dǎo)致連接的拒絕或終止，也可能產(chǎn)生一個(gè)安全審計(jì)記錄或報(bào)告。（6）流量填充機(jī)制能用來提供各種不同級(jí)別的保護(hù)，抵抗流量分析。這種機(jī)制只有在流量填充受到機(jī)密服務(wù)保護(hù)時(shí)才是有效的。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)636.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)制（7）路由控制機(jī)制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。這樣就可以選擇物理上安全的一條路徑，這條路徑上的節(jié)點(diǎn)都是可信任的，確保發(fā)送的信息不會(huì)因通過不安全的節(jié)點(diǎn)而受到攻擊。（8）公證機(jī)制有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機(jī)制而得到確保。6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制

2．

安全機(jī)646.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制6.1網(wǎng)絡(luò)安全定義

——網(wǎng)絡(luò)安全服務(wù)與安全機(jī)制656.2密碼技術(shù)密碼技術(shù)是信息安全的核心技術(shù)，認(rèn)證、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)性等都需要密碼技術(shù)的支持。6.2密碼技術(shù)密碼技術(shù)是信息安全的核心技術(shù)，認(rèn)證、數(shù)據(jù)機(jī)密666.2密碼技術(shù)

——密碼技術(shù)概念1.加密通常將待加密的信息稱為明文，為了保護(hù)明文，通過一系列步驟將轉(zhuǎn)換成另一種形式。加密可以是不可逆的。2.解密與一個(gè)可逆的加密過程相對(duì)應(yīng)的反過程，就是將密文還原為明文。3.密鑰控制加密與解密操作的序列符號(hào)，是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中要輸入的數(shù)據(jù)。4.數(shù)字簽名附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，防止被人進(jìn)行偽造。6.2密碼技術(shù)

——密碼技術(shù)概念1.加密676.2密碼技術(shù)

——密碼體制1.對(duì)稱密碼體制如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖不相同，但可以由其中一個(gè)推導(dǎo)出另一個(gè)，就被稱為對(duì)稱密碼體制，有時(shí)也被稱為單密鑰密碼體制或私鑰（secretkey）密碼體制。6.2密碼技術(shù)

——密碼體制1.對(duì)稱密碼體制686.2密碼技術(shù)

——密碼體制2.非對(duì)稱密碼體制非對(duì)稱密碼體制，又稱為公鑰（publickey）密碼體制或雙密鑰密碼體制，是將加密和解密分開，采用一對(duì)不同的密鑰進(jìn)行。非對(duì)稱密碼體制原理如圖6-4所示。6.2密碼技術(shù)

——密碼體制2.非對(duì)稱密碼體制696.2密碼技術(shù)

——散列函數(shù)散列函數(shù)主要用來產(chǎn)生散列值（hashvalue），其關(guān)系如圖6-5所示。6.2密碼技術(shù)

——散列函數(shù)散列函數(shù)主要用來產(chǎn)生散列值（h706.2密碼技術(shù)

——數(shù)字簽名和數(shù)字證書在網(wǎng)絡(luò)應(yīng)用場(chǎng)合上，若用戶想以自己的名義發(fā)表一份文件，就可以在文件末尾附上數(shù)字簽名（digitalsignature），證明這份文件確實(shí)是自己發(fā)出的，并可確保文件內(nèi)容不會(huì)被篡改。6.2密碼技術(shù)

——數(shù)字簽名和數(shù)字證書在網(wǎng)絡(luò)應(yīng)用場(chǎng)合上，若716.3訪問控制訪問控制指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。訪問控制包括三個(gè)要素：主體客體控制策略6.3訪問控制訪問控制指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的726.3訪問控制訪問控制可以建立在使用下列所舉的一種或多種手段之上。1.訪問控制信息庫，在這里保存客體的訪問權(quán)限2.認(rèn)證信息，例如口令3.權(quán)力4.安全標(biāo)記5.試圖訪問的時(shí)間6.試圖訪問的路由7.訪問持續(xù)期6.3訪問控制訪問控制可以建立在使用下列所舉的一種或多種手736.4Web服務(wù)器安全Web服務(wù)器以及Web服務(wù)器所在的網(wǎng)絡(luò)的漏洞。對(duì)網(wǎng)站的安全分析，除了網(wǎng)站本身的軟件問題之外，更多的是分析其所在Web服務(wù)器安全問題6.4Web服務(wù)器安全Web服務(wù)器以及Web服務(wù)器所在的網(wǎng)746.4Web服務(wù)器安全

——Web服務(wù)器安全威脅除了自然災(zāi)害之外，通常將Web服務(wù)器的安全漏洞分為兩大類：一是軟硬件系統(tǒng)平臺(tái)的安全漏洞，其中包括無意的漏洞和有意的漏洞二是人員管理方面的漏洞6.4Web服務(wù)器安全

——Web服務(wù)器安全威脅除了自然災(zāi)756.4Web服務(wù)器安全

——系統(tǒng)平臺(tái)的安全對(duì)于系統(tǒng)平臺(tái)的安全，一般需要考慮以下問題：1．確認(rèn)服務(wù)器、操作系統(tǒng)和其他系統(tǒng)軟件是否有安全漏洞，確認(rèn)是否要更換部件，軟件是否要安裝補(bǔ)丁程序等等。2．采用適當(dāng)?shù)拇胧┍Ｗo(hù)Web服務(wù)器主機(jī)系統(tǒng)不會(huì)受到外網(wǎng)或內(nèi)網(wǎng)的攻擊。3．保護(hù)Web服務(wù)器免于拒絕服務(wù)的攻擊。4．采用一次性登錄方式，減少賬戶管理的復(fù)雜度，簡(jiǎn)潔的賬戶系統(tǒng)更容易實(shí)施安全策略，對(duì)過期不用的賬戶應(yīng)及時(shí)刪除。5．建立一個(gè)可持續(xù)運(yùn)轉(zhuǎn)的安全策略，并確保策略的實(shí)施。6．注意Web服務(wù)器安全日志的記錄與查看。6.4Web服務(wù)器安全

——系統(tǒng)平臺(tái)的安全對(duì)于系統(tǒng)平臺(tái)的安766.4Web服務(wù)