第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置_第1頁
第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置_第2頁
第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置_第3頁
第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置_第4頁
第1講 網(wǎng)絡(luò)安全概述與環(huán)境配置_第5頁
已閱讀5頁,還剩93頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第1講網(wǎng)絡(luò)安全概述與

實驗環(huán)境配置本講主要內(nèi)容網(wǎng)絡(luò)安全研究的體系研究網(wǎng)絡(luò)安全的必要性及意義網(wǎng)絡(luò)安全的相關(guān)法規(guī)網(wǎng)絡(luò)安全的評估標準實驗環(huán)境的配置網(wǎng)絡(luò)安全的攻防研究體系網(wǎng)絡(luò)安全(NetworkSecurity)是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性科學。網(wǎng)絡(luò)(信息)安全:是指確保網(wǎng)絡(luò)上的信息和資源不被非授權(quán)用戶使用。網(wǎng)絡(luò)安全的攻防體系攻擊技術(shù)1、網(wǎng)絡(luò)監(jiān)聽:自己不主動去攻擊別人,在計算機上設(shè)置一個程序去監(jiān)聽目標計算機與其他計算機通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描:利用程序去掃描目標計算機開放的端口等,目的是發(fā)現(xiàn)漏洞,為入侵該計算機做準備。3、網(wǎng)絡(luò)入侵:當探測發(fā)現(xiàn)對方存在漏洞以后,入侵到目標計算機獲取信息。4、網(wǎng)絡(luò)后門:成功入侵目標計算機后,為了長期控制,在目標計算機中種植木馬等后門。5、網(wǎng)絡(luò)隱身:入侵完畢退出目標計算機后,將自己入侵的痕跡清除,從而防止被對方管理員發(fā)現(xiàn)。防御技術(shù)1、操作系統(tǒng)的安全配置:操作系統(tǒng)的安全是整個網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù):為了防止被監(jiān)聽和盜取數(shù)據(jù),將所有的數(shù)據(jù)進行加密。3、防火墻技術(shù):利用防火墻,對傳輸?shù)臄?shù)據(jù)進行限制,從而防止被入侵。4、入侵檢測:如果網(wǎng)絡(luò)防線最終被攻破了,需要及時發(fā)出被入侵的警報。網(wǎng)絡(luò)安全的攻防體系為了保證網(wǎng)絡(luò)的安全,在軟件使用有兩種選擇:1、使用已經(jīng)成熟的工具如抓數(shù)據(jù)包軟件Sniffer網(wǎng)絡(luò)掃描工具X-Scan2、是自己編制程序目前網(wǎng)絡(luò)安全編程常用的有C、C++、Perl等。 注:我們常在VC++下編程!必須熟悉兩方面的知識一是:兩大主流的操作系統(tǒng)UNIX家族和Window系列操作系統(tǒng)二是:網(wǎng)絡(luò)協(xié)議

常見的網(wǎng)絡(luò)協(xié)議包括:TCP(TransmissionControlProtocol,傳輸控制協(xié)議)IP(InternetProtocol,網(wǎng)絡(luò)協(xié)議)UDP(UserDatagramProtocol,用戶數(shù)據(jù)報協(xié)議)SMTP(SimpleMailTransferProtocol,簡單郵件傳輸協(xié)議)POP(PostOfficeProtocol,郵局協(xié)議)FTP(FileTransferProtocol,文件傳輸協(xié)議)等等。網(wǎng)絡(luò)安全的層次體系1、物理安全;2、邏輯安全;3、操作系統(tǒng)安全;4、聯(lián)網(wǎng)安全。物理安全保護物理安全保護包括:物理訪問控制

:只有授權(quán)的用戶可以訪問??赏ㄟ^指紋、口令、身份證等來識別。安全放置設(shè)備:即設(shè)備要遠離水、火、電磁輻射等;物理安全保護:對存放或處理數(shù)據(jù)的物理設(shè)備進行保護。物理安全物理安全主要包括五個方面:1、防盜;2、防火;3、防靜電;4、防雷擊;5、防電磁泄漏。邏輯安全計算機的邏輯安全需要用口令、文件許可等方法來實現(xiàn)??梢韵拗频卿浀拇螖?shù)或?qū)υ囂讲僮骷由蠒r間限制;可以用軟件來保護存儲在計算機文件中的信息;限制存取的另一種方式是通過硬件完成,在接收到存取要求后,先詢問并校核口令,然后訪問列于目錄中的授權(quán)用戶標志號。此外,有一些安全軟件包也可以跟蹤可疑的、未授權(quán)的存取企圖,例如多次登錄或請求別人的文件。操作系統(tǒng)安全操作系統(tǒng)是計算機中最基本、最重要的軟件。同一計算機可以安裝幾種不同的操作系統(tǒng)。如果計算機系統(tǒng)可提供給許多人使用,操作系統(tǒng)必須能區(qū)分用戶,以便于防止相互干擾。一些安全性較高、功能較強的操作系統(tǒng)可以為計算機的每一位用戶分配賬戶。通常,一個用戶一個賬戶。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來達到:1、訪問控制服務(wù):用來保護計算機和聯(lián)網(wǎng)資源不被非授權(quán)使用。2、通信安全服務(wù):用來認證數(shù)據(jù)機要性與完整性,以及各通信的可信賴性。信息安全基本要素完整性機密性可審查性可用性可控性網(wǎng)絡(luò)安全是信息安全的重要內(nèi)容之一!信息安全基本要素機密性確保信息不暴露給未授權(quán)的實體或進程完整性只有得到允許的人才能修改數(shù)據(jù),并且能夠判別出數(shù)據(jù)是否已被篡改可用性得到授權(quán)的實體在需要時可訪問數(shù)據(jù),即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作可控性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式可審查性對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段

信息安全模型PMRRD安全模型MP2DRR訪問控制機制入侵檢測機制安全響應(yīng)機制備份與恢復機制管理P安全策略信息安全要素審計管理加密訪問控制用戶驗證安全策略安全威脅信息安全威脅:指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用性等等所造成的危險。攻擊就是對安全威脅的具體體現(xiàn)。雖然人為因素和非人為因素都可以對通信安全構(gòu)成威脅,但是精心設(shè)計的人為攻擊威脅最大。網(wǎng)絡(luò)安全性威協(xié) (1)截獲(interception)

(2)中斷(interruption)

(3)篡改(modification)

(4)偽造(fabrication)

網(wǎng)絡(luò)安全攻擊的形式網(wǎng)絡(luò)安全攻擊截獲以保密性作為攻擊目標,表現(xiàn)為非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問,如搭線竊聽、非法拷貝等中斷以可用性作為攻擊目標,表現(xiàn)為毀壞系統(tǒng)資源,切斷通信線路等網(wǎng)絡(luò)安全攻擊修改以完整性作為攻擊目標,非授權(quán)用戶通過某種手段獲得系統(tǒng)資源后,還對文件進行竄改,然后再把篡改過的文件發(fā)送給用戶。偽造以完整性作為攻擊目標,非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正常系統(tǒng)中被動攻擊: 目的是竊聽、監(jiān)視、存儲數(shù)據(jù),但是不修改數(shù)據(jù)。很難被檢測出來,通常采用預(yù)防手段來防止被動攻擊,如數(shù)據(jù)加密。主動攻擊:修改數(shù)據(jù)流或創(chuàng)建一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當?shù)纳矸蓁b別技術(shù)。主動與被動攻擊主動攻擊又可進一步劃分為三種,即:(1)更改報文流(:篡改)(2)拒絕報文服務(wù)(:中斷)(3)偽造連接初始化(:偽造)主動攻擊安全威脅的后果安全漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)(1)防止析出報文內(nèi)容;(2)防止信息量分析;(3)檢測更改報文流;(4)檢測拒絕報文服務(wù);(5)檢測偽造初始化連接。通信安全的目標安全威脅分類物理環(huán)境:自然災(zāi)害,電源故障、設(shè)備被盜通信鏈路:安裝竊聽裝置或?qū)νㄐ沛溌愤M行干擾網(wǎng)絡(luò)系統(tǒng):互聯(lián)網(wǎng)的開放性、國際性操作系統(tǒng):系統(tǒng)軟件或硬件芯片中的植入威脅應(yīng)用系統(tǒng):木馬、陷阱門、邏輯炸彈管理系統(tǒng):管理上杜絕安全漏洞“安全是相對的,不安全才是絕對的”常見的安全威脅1.信息泄露:信息被泄露或透露給某個非授權(quán)的實體。2.破壞完整性:數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。3.拒絕服務(wù):對信息或其它資源的合法訪問被無條件地阻止。4.非法使用:某一資源被某個非授權(quán)的人,或以非授權(quán)的方式使用。5.竊聽:用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。常見的安全威脅6.業(yè)務(wù)流分析:通過對系統(tǒng)進行長期監(jiān)聽來分析方法對通信頻度、信息流向等發(fā)現(xiàn)有價值的信息和規(guī)律。

7.假冒:通過欺騙通信系統(tǒng)(或用戶)達到非法用戶冒充成為合法用戶,或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8.旁路控制:攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。9.授權(quán)侵犯:被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人,卻將此權(quán)限用于其它非授權(quán)的目的,也稱作“內(nèi)部攻擊”。常見的安全威脅10.特洛伊木馬:軟件中含有一個察覺不出的或者無害的程序段,當它被執(zhí)行時,會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬。11.陷阱門:在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)”,使得當提供特定的輸入數(shù)據(jù)時,允許違反安全策略。12.抵賴:這是一種來自用戶的攻擊,比如:否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。13.重放:所截獲的某次合法的通信數(shù)據(jù)拷貝,出于非法的目的而被重新發(fā)送。常見的安全威脅14.計算機病毒:是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序。15.人員不慎:一個授權(quán)的人為了錢或利益,或由于粗心,將信息泄露給一個非授權(quán)的人。16.媒體廢棄:信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。17.物理侵入:侵入者通過繞過物理控制而獲得對系統(tǒng)的訪問;常見的安全威脅18.竊?。褐匾陌踩锲罚缌钆苹蛏矸菘ū槐I;19.業(yè)務(wù)欺騙:某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息?;ヂ?lián)網(wǎng)安全事件全世界傳媒關(guān)注的美國著名網(wǎng)站被襲事件雅虎、亞馬遜書店、eBay、ZDNet;谷歌被黑在1998年內(nèi)試圖闖入五角大樓計算機網(wǎng)絡(luò)的嘗試達25萬次之多,其中60%的嘗試達到了目的;每年美國政府的計算機系統(tǒng)遭非法入侵的次數(shù)至少有30萬次之多;微軟公司承認,有黑客闖入了該公司的內(nèi)部計算機網(wǎng)絡(luò),并獲取了正在開發(fā)中的軟件藍圖,這起攻擊對微軟影響重大。我國的歷史數(shù)據(jù)1998年9月22日,黑客入侵某銀行電腦系統(tǒng),將72萬元注入其戶頭,提出26萬元。為國內(nèi)首例利用計算機盜竊銀行巨款案件。1999年11月14日至17日:新疆烏魯木齊市發(fā)生首起針對銀行自動提款機的黑客案件,被盜用戶的信用卡被盜1.799萬元。2000年3月8日:山西日報國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊,被迫關(guān)機,這是國內(nèi)首例黑客攻擊省級黨報網(wǎng)站事件我國的歷史數(shù)據(jù)2000年3月25日:重慶某銀行儲戶的個人帳戶被非法提走5萬余元。2000年6月7日:ISS安氏(中國)有限公司在國內(nèi)以及ISP的虛擬主機上的網(wǎng)站被中國黑客所攻擊,該公司總裁為克林頓網(wǎng)絡(luò)安全顧問,而ISS為全球最大的網(wǎng)絡(luò)安全公司。2000年6月11、12日:中國香港特區(qū)政府互聯(lián)網(wǎng)服務(wù)指南主頁遭到黑客入侵,服務(wù)被迫暫停。大規(guī)模蠕蟲事件2003年我國網(wǎng)絡(luò)安全事件報告SQLSLAMMER蠕蟲口令蠕蟲CodeRed.FMSBlast/MSBlast.REMOVESobig網(wǎng)絡(luò)安全成全球化問題2000年2月Yahoo!等被攻擊案件2001年8月紅色代碼事件2001年9月尼姆達事件2003年1月SQLSLAMMER事件2003年3月口令蠕蟲事件2003年3月紅色代碼F變種事件2003年8月沖擊波蠕蟲事件黑客入侵和破壞的危險黑客在網(wǎng)上的攻擊活動每年以十倍速增長。修改網(wǎng)頁進行惡作劇、竊取網(wǎng)上信息興風作浪。非法進入主機破壞程序、阻塞用戶、竊取密碼。串入銀行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進行電子郵件騷擾。黑客可能會試圖攻擊網(wǎng)絡(luò)設(shè)備,使網(wǎng)絡(luò)設(shè)備癱瘓他們利用網(wǎng)絡(luò)安全的脆弱性,無孔不入!美國每年因黑客而造成的經(jīng)濟損失近百億美元黑客(Hacker)凱文米特尼克凱文米特尼克“頭號電腦黑客”KevinMitnick1964年出生。3歲父母離異,致性格內(nèi)向、沉默寡言。4歲玩游戲達到專家水平。13歲喜歡上無線電活動,開始與世界各地愛好者聯(lián)絡(luò)。編寫的電腦程序簡潔實用、傾倒教師。15歲闖入“北美空中防務(wù)指揮系統(tǒng)”主機,翻閱了美國所有的核彈頭資料、令大人不可置信。不久破譯了美國“太平洋電話公司”某地的客戶密碼,隨意更改用戶的電話號碼。并與中央聯(lián)邦調(diào)查局的特工惡作劇。被電腦信息跟蹤機發(fā)現(xiàn)第一次被逮捕凱文米特尼克出獄后,又連續(xù)非法修改多家公司電腦的財務(wù)帳單。1988年再次入獄,被判一年徒刑。1993年(29歲)逃脫聯(lián)邦調(diào)查局圈套。1994年向圣地亞哥超級計算機中心發(fā)動攻擊,該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng),盜走各種程序和數(shù)據(jù)(價4億美金)。下村勉用“電子隱形化”技術(shù)跟蹤,最后準確地從無線電話中找到行跡,并抄獲其住處電腦凱文米特尼克1995年2月被送上法庭,“到底還是輸了”。2000年1月出獄,3年內(nèi)被禁止使用電腦、手機及互聯(lián)網(wǎng)。莫里斯1965年生,父為貝爾實驗室計算機安全專家。從小對電腦興趣,有自己賬號。初中時(16歲)發(fā)現(xiàn)UNIX漏洞,獲取實驗室超級口令并提醒其父。1983年入哈佛大學,一年級改VAX機為單用戶系統(tǒng)??梢砸贿B幾個小時潛心閱讀2000多頁的UNIX手冊,是學校里最精通UNIX的人。學校為他設(shè)專線。1988年成為康奈爾大學研究生,獲“孤獨的才華橫溢的程序?qū)<摇狈Q號。莫里斯1988年10月試圖編寫一個無害病毒,要盡可能感染開。11月2日病毒開始擴散,但一臺臺機器陷入癱瘓!10%互聯(lián)網(wǎng)上的主機受影響,莫里斯受到控告,被判3年緩刑、1萬元罰金和400小時的社區(qū)服務(wù),也停頓了康奈爾大學的學習。什么是黑客?黑客(Hacker)是那些檢查(網(wǎng)絡(luò))系統(tǒng)完整性和安全性的人,他們通常非常精通計算機硬件和軟件知識,并有能力通過創(chuàng)新的方法剖析系統(tǒng)?!昂诳汀蓖ǔふ揖W(wǎng)絡(luò)中漏洞,但是往往并不去破壞計算機系統(tǒng)。入侵者(Cracker)只不過是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人,他們往往會通過計算機系統(tǒng)漏洞來入侵,他們也具備廣泛的電腦知識,但與黑客不同的是他們以破壞為目的?,F(xiàn)在Hacker和Cracker已經(jīng)混為一談,通常將入侵計算機系統(tǒng)的人統(tǒng)稱為黑客.安全策略安全策略是指在一個特定的環(huán)境里,為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分,即威嚴的法律、先進的技術(shù)、嚴格的管理。安全策略安全策略是建立安全系統(tǒng)的第一道防線確保安全策略不與公司目標和實際活動相抵觸給予資源合理的保護安全工作目的(一)安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導下,通過采用合適的安全技術(shù)與安全管理措施,完成以下任務(wù)使用訪問控制機制,阻止非授權(quán)用戶進入網(wǎng)絡(luò),即“進不來”,從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。使用授權(quán)機制,實現(xiàn)對用戶的權(quán)限控制,即不該拿走 的“拿不走”,同時結(jié)合內(nèi)容審計機制,實現(xiàn)對網(wǎng)絡(luò)資 源及信息的可控性。安全工作目的(二)使用加密機制,確保信息不暴漏給未授權(quán)的實體或進程,即“看不懂”,從而實現(xiàn)信息的保密性。

使用數(shù)據(jù)完整性鑒別機制,保證只有得到允許的人才能修改數(shù)據(jù),而其它人“改不了”,從而確保信息的完整性。使用審計、監(jiān)控、防抵賴等安全機制,使得攻擊者、破壞者、抵賴者“走不脫”,并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段,實現(xiàn)信息安全的可審查性。研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的政治、經(jīng)濟、軍事等領(lǐng)域。我國立法情況目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法。電子認證服務(wù)管理辦法(2005年4月1日)計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定(2000年1月1日)中國互聯(lián)網(wǎng)絡(luò)域名管理辦法(2004年12月20日)中華人民共和國計算機信息系統(tǒng)安全保護條例(94年2月18日)互聯(lián)網(wǎng)著作權(quán)行政保護辦法(2005年5月30日)國際立法情況美國和日本是計算機網(wǎng)絡(luò)安全比較完善的國家,一些發(fā)展中國家和第三世界國家的計算機網(wǎng)絡(luò)安全方面的法規(guī)還不夠完善。歐洲共同體是一個在歐洲范圍內(nèi)具有較強影響力的政府間組織。為在共同體內(nèi)正常地進行信息市場運做,該組織在諸多問題上建立了一系列法律,如:競爭法;知識產(chǎn)權(quán)保護、數(shù)據(jù)保護等;國際評價標準根據(jù)美國國防部開發(fā)的計算機安全標準——可信任計算機標準評價準則(TrustedComputerStandardsEvaluationCriteria:TCSEC),也就是網(wǎng)絡(luò)安全橙皮書,一些計算機安全級別被用來評價一個計算機系統(tǒng)的安全性。自從1985年橙皮書成為美國國防部的標準以來,就一直沒有改變過,多年以來一直是評估多用戶主機和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)(如數(shù)據(jù)庫和網(wǎng)絡(luò))也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別:D類、C類、B類和A類,每類又分幾個級別,安全級別類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性,安全標識BB1標識的安全保護強制存取控制,安全標識B2結(jié)構(gòu)化保護面向安全的體系結(jié)構(gòu)較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設(shè)計形式化的最高級描述和驗證安全級別D級是最低的安全級別,擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子,任何人都可以自由進出,是完全不可信任的。對于硬件來說,是沒有任何保護措施的,操作系統(tǒng)容易受到損害,沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制,任何人不需任何賬戶都可以進入系統(tǒng),不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個級別的操作系統(tǒng)有:DOS和Windows98等。安全級別C1是C類的一個安全子級。C1又稱選擇性安全保護(DiscretionarySecurityProtection)系統(tǒng),它描述了一個典型的用在Unix系統(tǒng)上安全級別這種級別的系統(tǒng)對硬件又有某種程度的保護,如用戶擁有注冊賬號和口令,系統(tǒng)通過賬號和口令來識別用戶是否合法,并決定用戶對程序和信息擁有什么樣的訪問權(quán),但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對文件和目標的訪問權(quán)。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問權(quán)限。安全級別使用附加身份驗證就可以讓一個C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級使系統(tǒng)管理員能夠給用戶分組,授予他們訪問某些程序的權(quán)限或訪問特定的目錄。能夠達到C2級別的常見操作系統(tǒng)有:(1)Unix系統(tǒng)(2)Novell3.X或者更高版本(3)WindowsNT、Win2K和Win2003安全級別B級中有三個級別,B1級即標志安全保護(LabeledSecurityProtection),是支持多級安全(例如:秘密和絕密)的第一個級別,這個級別說明處于強制性訪問控制之下的對象,系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級別存在保密、絕密級別,這種安全級別的計算機系統(tǒng)一般在政府機構(gòu)中,比如國防部和國家安全局的計算機系統(tǒng)。安全級別B2級即結(jié)構(gòu)保護級(StructuredProtection),它要求計算機系統(tǒng)中所有的對象都要加上標簽,而且給設(shè)備(磁盤、磁帶和終端)分配單個或者多個安全級別。B3級即安全域級別(SecurityDomain),使用安裝硬件的方式來加強域的安全,例如,內(nèi)存管理硬件用于保護安全域免遭無授權(quán)訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。安全級別A級:驗證設(shè)計級別(VerifiedDesign),是當前橙皮書的最高級別,它包含了一個嚴格的設(shè)計、控制和驗證過程。該級別包含了較低級別的所有的安全特性設(shè)計必須從數(shù)學角度上進行驗證,而且必須進行秘密通道和可信任分布分析。橙皮書也存在不足。TCSEC是針對孤立計算機系統(tǒng),特別是小型機和主機系統(tǒng)。假設(shè)有一定的物理保障,該標準適合政府和軍隊,不適合企業(yè),這個模型是靜態(tài)的。我國評價標準在我國根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》,1999年10月經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準發(fā)布準則將計算機安全保護劃分為以下五個級別第一級為用戶自主保護級:它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。第二級為系統(tǒng)審計保護級:除具備第一級所有的安全保護功能外,要求創(chuàng)建和維護訪問的審計跟蹤記錄,使所有的用戶對自己的行為的合法性負責。我國評價標準第三級為安全標記保護級:除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問權(quán)限,實現(xiàn)對訪問對象的強制保護。第四級為結(jié)構(gòu)化保護級:在繼承前面安全級別安全功能的基礎(chǔ)上,將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力第五級為訪問驗證保護級:這一個級別特別增設(shè)了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。實驗環(huán)境配置網(wǎng)絡(luò)安全是一門實踐性很強的學科,包括許多試驗。良好的實驗配置是必須的。網(wǎng)絡(luò)安全實驗配置最少應(yīng)該有兩個獨立的操作系統(tǒng),而且兩個操作系統(tǒng)可以通過以太網(wǎng)進行通信。考慮兩個方面的因素:1、許多計算機不具有聯(lián)網(wǎng)的條件。2、網(wǎng)絡(luò)安全實驗對系統(tǒng)具有破壞性。實驗設(shè)備設(shè)備名稱內(nèi)存建議256M以上CPU1G以上硬盤20G以上網(wǎng)卡10M或者100M網(wǎng)卡操作系統(tǒng)Win2KServerSP2以上編程工具VisualC++6.0英文版實驗設(shè)備在計算機上安裝Windows2000Server,并且打上相關(guān)的布丁,IP地址設(shè)置為10,根據(jù)需要可以設(shè)置為其他的IP地址。虛擬機軟件VMware安裝虛擬機軟件VMWare7.1綠色漢化版。虛擬機上的操作系統(tǒng),可以通過網(wǎng)卡和實際的操作系統(tǒng)進行通信。通信的過程和原理,與真實環(huán)境下的兩臺計算機一樣。配置VMware虛擬機選擇菜單欄“File”下的“New”菜單項,再選擇子菜單“NewVirtualMachine”,如圖所示。配置VMware虛擬機配置VMware虛擬機設(shè)置將來要安裝的操作系統(tǒng)類型。配置VMware虛擬機安裝目錄選擇界面。配置VMware虛擬機配置VMware虛擬機進入網(wǎng)絡(luò)連接方式選擇界面。配置VMware虛擬機VMWare的常用的是兩種聯(lián)網(wǎng)方式:(1)UsedBridgednetworking虛擬機操作系統(tǒng)的IP地址可設(shè)置成與主機操作系統(tǒng)在同一網(wǎng)段,虛擬機操作系統(tǒng)相當于網(wǎng)絡(luò)內(nèi)的一臺獨立的機器,網(wǎng)絡(luò)內(nèi)其他機器可訪問虛擬機上的操作系統(tǒng),虛擬機的操作系統(tǒng)也可訪問網(wǎng)絡(luò)內(nèi)其他機器。(2)Usernetworkaddresstranslation(NAT)實現(xiàn)主機的操作系統(tǒng)與虛擬機上的操作系統(tǒng)的雙向訪問。但網(wǎng)絡(luò)內(nèi)其他機器不能訪問虛擬機上的操作系統(tǒng),虛擬機可通過主機操作系統(tǒng)的NAT協(xié)議訪問網(wǎng)絡(luò)內(nèi)其他機器。配置VMware虛擬機配置VMware虛擬機有三種選擇:1、Createanewvirtualdisk虛擬機將重新建立一個虛擬磁盤,該磁盤在實際計算機操作系統(tǒng)上就是一個文件,而且這個文件還可以隨意的拷貝。2、Useanexistingvirtualdisk使用已經(jīng)建立好的虛擬磁盤。3、Useaphysicaldisk使用實際的磁盤,這樣虛擬機可以方便的和主機進行文件交換,但是這樣的話,虛擬機上的操作系統(tǒng)受到損害的時候會影響外面的操作系統(tǒng)。配置VMware虛擬機硬盤空間分配界面。配置VMware虛擬機配置VMware虛擬機配置VMware虛擬機配置VMware虛擬機看到VMware的啟動界面,相當于一臺獨立的計算機配置VMware虛擬機按下功能鍵“F2”進入系統(tǒng)設(shè)置界面,進入虛擬機的BIOS(BasicInp

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論