網(wǎng)絡(luò)安全防護(hù)技術(shù)

網(wǎng)絡(luò)安全防護(hù)技術(shù)第一頁，共四十二頁，編輯于2023年，星期一1.防火墻的定義防火墻的最初得名是古時候為防止火災(zāi)蔓延在房屋之間砌起的一道墻，而網(wǎng)絡(luò)系統(tǒng)中的防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離系統(tǒng)，用來阻擋外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的威脅與入侵。防火墻由計算機(jī)軟件和硬件組成，主要負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的安全通信，可以限制外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的訪問，以及可以限制內(nèi)部用戶訪問外部網(wǎng)絡(luò)的行為和權(quán)限。防火墻的實質(zhì)是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防御系統(tǒng)，主要具有以下屬性：·進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)必須經(jīng)過防火墻，防火墻設(shè)置在需要安全防護(hù)的網(wǎng)絡(luò)間和安全域間?！し戏阑饓Π踩雷o(hù)規(guī)則的數(shù)據(jù)才能通過防火墻?！し阑饓ο到y(tǒng)具有抵抗各種網(wǎng)絡(luò)攻擊的能力?！し阑饓ξ挥趦蓚€或多個網(wǎng)絡(luò)或安全域之間，是實施訪問控制策略的一組軟件和硬件集合。

4.1防火墻技術(shù)

4.1.1防火墻概述第二頁，共四十二頁，編輯于2023年，星期一2.防火墻的位置4.1防火墻技術(shù)

4.1.1防火墻概述防火墻在網(wǎng)絡(luò)中的常見位置第三頁，共四十二頁，編輯于2023年，星期一根據(jù)不同的分類標(biāo)準(zhǔn)，防火墻可以分為多種類型，其中主要包括：包過濾防火墻、代理服務(wù)防火墻、混合型防火墻、狀態(tài)檢測防火墻。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第四頁，共四十二頁，編輯于2023年，星期一1.包過濾防火墻包過濾是防火墻的核心功能之一，防火墻的包過濾標(biāo)準(zhǔn)依賴于防火墻的安全策略，通常防火墻的安全策略由網(wǎng)絡(luò)管理員預(yù)置在防火墻設(shè)備的ACL（AccessControlList，訪問控制列表）中，防火墻根據(jù)ACL規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行過濾，阻止不符合安全策略的通信。（1）包過濾原理網(wǎng)絡(luò)通信的數(shù)據(jù)包分為報頭和數(shù)據(jù)兩個部分。報頭的內(nèi)容主要包括封裝協(xié)議、IP源地址、IP目標(biāo)地址、ICMP消息類型、TCP和UDP目標(biāo)端口、TCP報頭中的ACK位等。而數(shù)據(jù)的內(nèi)容是各種網(wǎng)絡(luò)應(yīng)用的通信數(shù)據(jù)。網(wǎng)絡(luò)通信系統(tǒng)中的路由器就是根據(jù)數(shù)據(jù)包的IP目標(biāo)地址選擇合適的路由，將數(shù)據(jù)包發(fā)送給目標(biāo)機(jī)器。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第五頁，共四十二頁，編輯于2023年，星期一（2）包過濾防火墻的優(yōu)點(diǎn)包過濾防火墻具有操作簡單、運(yùn)行高效、易于安裝和使用等特點(diǎn)，通常包過濾防火墻內(nèi)嵌在路由器中對通信數(shù)據(jù)包實施過濾。路由器是網(wǎng)絡(luò)互聯(lián)的關(guān)鍵節(jié)點(diǎn)設(shè)備，因此在路由器中內(nèi)嵌包過濾功能幾乎不需要任何額外的費(fèi)用。包過濾防火墻的優(yōu)點(diǎn)主要體現(xiàn)在下面幾個方面：·包過濾防火墻不會影響到應(yīng)用程序的正常運(yùn)行?！ぐ^濾防火墻可以保護(hù)整個內(nèi)網(wǎng)安全?！ぐ^濾防火墻對于用戶是透明的?！ぐ^濾防火墻具有良好的網(wǎng)絡(luò)性能。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第六頁，共四十二頁，編輯于2023年，星期一（3）包過濾防火墻的缺點(diǎn)包過濾防火墻主要缺點(diǎn)是安全性較差、功能相對單一以及不能防止地址欺騙等?！ぐ^濾防火墻的安全性較差?！ぐ^濾防火墻對個別協(xié)議并不支持，例如UDP協(xié)議、RPC協(xié)議，并且包過濾防火墻缺乏審計和報警機(jī)制，另外，無法提供完整的安全策略服務(wù)，例如，數(shù)據(jù)包的報頭信息只能說明數(shù)據(jù)包的來源主機(jī)，而不能確定用戶、端口或應(yīng)用程序。·包過濾防火墻不能防止地址欺騙。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第七頁，共四十二頁，編輯于2023年，星期一2.代理服務(wù)型防火墻（1）代理服務(wù)型防火墻概述代理服務(wù)型防火墻是利用代理服務(wù)器將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，在數(shù)據(jù)通過代理服務(wù)器時利用防火墻對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行安全檢測，并阻止各類網(wǎng)絡(luò)攻擊。代理服務(wù)器基于應(yīng)用層實現(xiàn)代理服務(wù)，訪問外網(wǎng)的用戶首先向代理服務(wù)器發(fā)出連接請求，代理服務(wù)器對其進(jìn)行驗證，然后將驗證后的請求轉(zhuǎn)發(fā)給外網(wǎng)服務(wù)器，外網(wǎng)服務(wù)器將應(yīng)答交給代理服務(wù)器，經(jīng)代理服務(wù)器檢測后發(fā)送給請求用戶。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第八頁，共四十二頁，編輯于2023年，星期一（2）應(yīng)用層網(wǎng)關(guān)防火墻應(yīng)用層網(wǎng)關(guān)防火墻是典型的代理服務(wù)型防火墻，運(yùn)行于網(wǎng)絡(luò)協(xié)議的應(yīng)用層，實現(xiàn)數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)功能。應(yīng)用層網(wǎng)關(guān)防火墻針對于特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議采用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計，形成檢測報告。應(yīng)用層網(wǎng)關(guān)防火墻的核心是代理服務(wù)器，其主要功能是基于網(wǎng)絡(luò)協(xié)議的應(yīng)用層實現(xiàn)協(xié)議的過濾和轉(zhuǎn)發(fā)。外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)時，應(yīng)用層網(wǎng)關(guān)防火墻首先會對數(shù)據(jù)包進(jìn)行過濾，同時對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計，并形成檢查報告。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第九頁，共四十二頁，編輯于2023年，星期一（3）電路級網(wǎng)關(guān)防火墻電路級網(wǎng)關(guān)防火墻，也稱TCP通道防火墻。在電路級網(wǎng)關(guān)防火墻中，數(shù)據(jù)包被提交給用戶的應(yīng)用層進(jìn)行處理，電路級網(wǎng)關(guān)用來在兩個通信終端之間轉(zhuǎn)換數(shù)據(jù)包。電路級網(wǎng)關(guān)防火墻與包過濾防火墻都是依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過，但是兩者之間存在明顯的區(qū)別，即包過濾防火墻允許內(nèi)、外網(wǎng)之間的計算機(jī)直接建立連接，而電路級網(wǎng)關(guān)防火墻則禁止它們直接建立端到端的TCP連接，而是要以防火墻為中轉(zhuǎn)設(shè)備分別建立連接。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十頁，共四十二頁，編輯于2023年，星期一（4）代理服務(wù)型防火墻的優(yōu)點(diǎn)·易于配置和管理。·能生成各項記錄?！ぬ峁┢渌踩?wù)。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十一頁，共四十二頁，編輯于2023年，星期一（5）代理服務(wù)型防火墻的缺點(diǎn)·速度相對較低?！ば枰脩襞渲煤凸芾??！o法控制底層協(xié)議。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十二頁，共四十二頁，編輯于2023年，星期一3.復(fù)合型防火墻復(fù)合型防火墻也稱自適應(yīng)代理防火墻，是將包過濾防護(hù)墻的高效率和代理服務(wù)型防火墻的高安全性等優(yōu)點(diǎn)結(jié)合起來，在保證安全性的前提下，提高了防火墻系統(tǒng)的運(yùn)行效率，主要由自適應(yīng)代理服務(wù)器和包過濾器組成。目前，復(fù)合型防火墻還融合了入侵檢測技術(shù)、安全認(rèn)證和評估技術(shù)以及虛擬專網(wǎng)等技術(shù)，使之成為真正復(fù)合型網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。復(fù)合型防火墻的功能如下：·復(fù)合型防火墻以網(wǎng)絡(luò)安全防護(hù)為基本功能，同時融合入侵檢測、安全評估、虛擬專網(wǎng)等網(wǎng)絡(luò)安全通信模塊。·復(fù)合型防火墻采用安全評估和識別技術(shù)實現(xiàn)網(wǎng)絡(luò)對象檢測、控制和管理，安全評估模塊可以自動地檢測內(nèi)部網(wǎng)絡(luò)?！?fù)合型防火墻可以提供系統(tǒng)入侵檢測功能，通過監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)包來發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，作為網(wǎng)絡(luò)安全的重要環(huán)節(jié)，入侵檢測模塊與防火墻模塊可以形成安全防護(hù)聯(lián)動系統(tǒng)?！?fù)合型防火墻可以提供虛擬專網(wǎng)功能，利用隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)以及身份認(rèn)證技術(shù)在公共網(wǎng)絡(luò)上建立虛擬專網(wǎng)。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十三頁，共四十二頁，編輯于2023年，星期一4.狀態(tài)檢測型防火墻（1）狀態(tài)檢測型防火墻的工作原理狀態(tài)檢測型防火墻是通過檢測網(wǎng)絡(luò)連接狀態(tài)來判斷網(wǎng)絡(luò)通信系統(tǒng)的安全性，基本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，其基本特征是通過網(wǎng)絡(luò)連接的安全狀態(tài)來識別和判斷網(wǎng)絡(luò)通信的安全性。狀態(tài)檢測型防火墻的核心部分是狀態(tài)連接表，將安全連接的通信數(shù)據(jù)作為一個整體處理，直接放行安全連接的通信數(shù)據(jù)，可以提高數(shù)據(jù)包的檢測效率。狀態(tài)檢測型防火墻相對于包過濾防火墻增加了網(wǎng)絡(luò)通信狀態(tài)的檢測，主要功能是規(guī)范了網(wǎng)絡(luò)層和傳輸層的通信行為，而應(yīng)用代理型防火墻的主要功能則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。4.1防火墻技術(shù)

4.1.2防火墻的基本類型第十四頁，共四十二頁，編輯于2023年，星期一防火墻的配置原則首先要遵循安全、適用和高效的原則。因為防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的關(guān)鍵節(jié)點(diǎn)，所以在防火墻的配置過程中必須堅持以下三個基本原則：1.安全適用2.綜合檢測3.內(nèi)外兼顧4.1防火墻技術(shù)

4.1.3防火墻配置的原則第十五頁，共四十二頁，編輯于2023年，星期一防火墻的主要功能是保護(hù)內(nèi)部網(wǎng)絡(luò)安全，防止外部的網(wǎng)絡(luò)攻擊和內(nèi)部的網(wǎng)絡(luò)攻擊，限制內(nèi)部網(wǎng)絡(luò)用戶的訪問權(quán)限和行為。防火墻的配置和使用過程中暴露出一些缺陷和局限性：（1）防火墻無法深度檢測通信數(shù)據(jù)的具體內(nèi)容。（2）防火墻不能防御利用計算機(jī)系統(tǒng)漏洞和病毒對系統(tǒng)實施的攻擊。4.1防火墻技術(shù)

4.1.4防火墻的局限性第十六頁，共四十二頁，編輯于2023年，星期一1.VPN的定義VPN是利用信息安全技術(shù)在Internet上建立一個虛擬的私有網(wǎng)絡(luò)，可以實現(xiàn)跨地域的網(wǎng)絡(luò)安全通信。VPN是企業(yè)內(nèi)部網(wǎng)最經(jīng)濟(jì)、有效的擴(kuò)展方式，企業(yè)用戶、分支機(jī)構(gòu)及商業(yè)伙伴可以通過Internet與企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，可以利用隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)實現(xiàn)網(wǎng)絡(luò)通信的保密性、身份可認(rèn)證性和數(shù)據(jù)完整性。4.2VPN與網(wǎng)絡(luò)安全

4.2.1VPN概述第十七頁，共四十二頁，編輯于2023年，星期一4.2VPN與網(wǎng)絡(luò)安全

4.2.1VPN概述VPN實現(xiàn)遠(yuǎn)程安全通信的過程第十八頁，共四十二頁，編輯于2023年，星期一根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個標(biāo)準(zhǔn)進(jìn)行分類。1.按接入方式劃分根據(jù)用戶接入Internet的方式不同可以將VPN劃分為專線接入方式和撥號接入方式。2.按協(xié)議實現(xiàn)類型劃分按照隧道協(xié)議所在的網(wǎng)絡(luò)層次可以將VPN劃分為第二層隧道協(xié)議VPN和第三層隧道協(xié)議VPN。

·第二層隧道協(xié)議VPN?！さ谌龑铀淼绤f(xié)議VPN。3.按VPN的服務(wù)類型劃分根據(jù)VPN的服務(wù)類型，可以將VPN業(yè)務(wù)大致分為三類：遠(yuǎn)程接入VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN?！みh(yuǎn)程接入VPN。·內(nèi)聯(lián)網(wǎng)VPN?！ね饴?lián)網(wǎng)VPN。4.2VPN與網(wǎng)絡(luò)安全

4.2.2VPN的分類第十九頁，共四十二頁，編輯于2023年，星期一（1）選擇【開始】—【管理工具】—【路由與遠(yuǎn)程訪問】并打開，選擇主機(jī)并點(diǎn)擊右鍵顯示屬性對話框，并選擇【配置并啟用路由和遠(yuǎn)程訪問】選項，配置界面如圖所示。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十頁，共四十二頁，編輯于2023年，星期一（2）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項【遠(yuǎn)程訪問（撥號或VPN）】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十一頁，共四十二頁，編輯于2023年，星期一（3）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項【VPN】，如圖4-10所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十二頁，共四十二頁，編輯于2023年，星期一（4）路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)υ捒蛉鐖D所示，在【網(wǎng)絡(luò)接口】列表中有兩個網(wǎng)絡(luò)接口，分別用于連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。取消選擇【通過設(shè)置靜態(tài)數(shù)據(jù)包篩選器來對選擇的接口進(jìn)行保護(hù)】選項，然后單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十三頁，共四十二頁，編輯于2023年，星期一（5）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項【來自一個指定的地址范圍】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十四頁，共四十二頁，編輯于2023年，星期一（6）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項【新建】，如圖4-13所示，在彈出的新建地址范圍對話框中輸入合法的IP地址范圍，例如172.16.6.10—172.16.6.28，如圖所示，即允許在地址范圍內(nèi)的遠(yuǎn)程用戶通過VPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，然后單擊【下一步】。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十五頁，共四十二頁，編輯于2023年，星期一（7）選擇路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)е械倪x項【否，使用路由和遠(yuǎn)程訪問來對連接請求進(jìn)行身份驗證】，如圖所示，并單擊【下一步】完成設(shè)置。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十六頁，共四十二頁，編輯于2023年，星期一（8）建立的VPN服務(wù)器如圖4-16所示，遠(yuǎn)程用戶可以通過VPN服務(wù)器訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。4.2VPN與網(wǎng)絡(luò)安全

4.2.3WindowsServer2003VPN安裝第二十七頁，共四十二頁，編輯于2023年，星期一數(shù)據(jù)庫系統(tǒng)的信息安全性是指數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制和故障恢復(fù)等幾個方面。下面分別對其進(jìn)行介紹：1.數(shù)據(jù)獨(dú)立性2．?dāng)?shù)據(jù)安全性3．?dāng)?shù)據(jù)完整性4．并發(fā)控制5．故障恢復(fù)4.3數(shù)據(jù)庫安全

4.3.2數(shù)據(jù)庫的安全特性第二十八頁，共四十二頁，編輯于2023年，星期一1.安全賬號管理2.數(shù)據(jù)庫審計3.數(shù)據(jù)庫加密4.安全訪問控制4.3數(shù)據(jù)庫安全

4.3.3數(shù)據(jù)庫的安全控制措施第二十九頁，共四十二頁，編輯于2023年，星期一1.常用數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密可以實現(xiàn)存儲數(shù)據(jù)的保密性、完整性、身份可認(rèn)證性和可用性，可以增強(qiáng)普通關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的安全性，可以達(dá)到有效地保護(hù)數(shù)據(jù)庫存儲內(nèi)容的目的。數(shù)據(jù)庫加密系統(tǒng)的主要功能包括字段加密、密鑰動態(tài)管理、日常數(shù)據(jù)處理以及防止非法復(fù)制。4.3數(shù)據(jù)庫安全

4.3.4數(shù)據(jù)庫加密技術(shù)第三十頁，共四十二頁，編輯于2023年，星期一2.數(shù)據(jù)庫加密的主要形式數(shù)據(jù)庫加密的主要形式有系統(tǒng)加密、服務(wù)器端（DBMS內(nèi)核層）加密、客戶端（DBMS外層）加密。系統(tǒng)加密是利用軟件加密系統(tǒng)或硬件加密系統(tǒng)對明文信息進(jìn)行加密，然后將密文信息存儲到數(shù)據(jù)庫系統(tǒng)。但是加密系統(tǒng)無法處理數(shù)據(jù)庫中數(shù)據(jù)表之間的關(guān)系，只能將數(shù)據(jù)先進(jìn)行加密，然后將密文存儲于數(shù)據(jù)庫相應(yīng)字段，讀取數(shù)據(jù)時再逆向進(jìn)行解密。系統(tǒng)加密無法直接對數(shù)據(jù)庫中的密文進(jìn)行插入、更新、查詢和刪除等基本操作，只能將查詢數(shù)據(jù)轉(zhuǎn)換為密文再進(jìn)行相應(yīng)的數(shù)據(jù)庫查詢和管理，因此效率相對較低。4.3數(shù)據(jù)庫安全

4.3.4數(shù)據(jù)庫加密技術(shù)第三十一頁，共四十二頁，編輯于2023年，星期一入侵檢測系統(tǒng)利用檢測器對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和處理，并對異常事件進(jìn)行報警和跟蹤。入侵檢測系統(tǒng)包括硬件系統(tǒng)和軟件系統(tǒng)。數(shù)據(jù)收集器：主要負(fù)責(zé)從目標(biāo)系統(tǒng)采集特征數(shù)據(jù)，并將特征數(shù)據(jù)發(fā)送到檢測器進(jìn)行處理，特征數(shù)據(jù)采集對象主要包括網(wǎng)絡(luò)數(shù)據(jù)包、日志文件等。檢測器：也稱分析器或檢測引擎，主要負(fù)責(zé)分析和檢測系統(tǒng)異常行為，并發(fā)出警報信號。知識庫：主要提供系統(tǒng)異常行為檢測規(guī)則和安全策略?？刂破鳎焊鶕?jù)知識庫中檢測規(guī)則處理警報信息，并對目標(biāo)系統(tǒng)實施控制。4.4入侵檢測系統(tǒng)

4.4.1入侵檢測概述第三十二頁，共四十二頁，編輯于2023年，星期一可將入侵檢測系統(tǒng)按照檢測對象劃分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合型入侵檢測系統(tǒng)。1.基于主機(jī)的入侵檢測系統(tǒng)2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)4.4入侵檢測系統(tǒng)

4.4.2入侵檢測系統(tǒng)的分類第三十三頁，共四十二頁，編輯于2023年，星期一1.入侵檢測技術(shù)分類按照入侵檢測系統(tǒng)所采用的檢測技術(shù)可以將入侵檢測分為特征檢測和異常檢測兩種。（1）特征檢測（2）異常檢測4.4入侵檢測系統(tǒng)

4.4.3入侵檢測的主要技術(shù)第三十四頁，共四十二頁，編輯于2023年，星期一2.常用檢測方法入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測。目前入侵檢測系統(tǒng)絕大多數(shù)使用特征檢測方法，因為統(tǒng)計檢測方法的檢測準(zhǔn)確率較低，容易出現(xiàn)誤判。（1）特征檢測方法（2）統(tǒng)計檢測方法4.4入侵檢測系統(tǒng)

4.4.3入侵檢測的主要技術(shù)第三十五頁，共四十二頁，編輯于2023年，星期一訪問控制是通過訪問控制策略對系統(tǒng)用戶的訪問權(quán)限和范圍進(jìn)行約束的一種方法。通過限制系統(tǒng)用戶對網(wǎng)絡(luò)資源的訪問權(quán)限來防止非法用戶的入侵或合法用戶的越權(quán)使用，從而保證網(wǎng)絡(luò)資源在可控和合法的狀態(tài)下使用。系統(tǒng)用戶只能根據(jù)分配的訪問權(quán)限訪問和控制系統(tǒng)資源，無法越權(quán)訪問。訪問控制的基礎(chǔ)是身份認(rèn)證技術(shù)，系統(tǒng)通過身份認(rèn)證技術(shù)來識別系統(tǒng)用戶的真實身份并賦予相應(yīng)的系統(tǒng)訪問權(quán)限，系統(tǒng)用戶只能依照訪問控制策略執(zhí)行各項操作4.5訪問控制技術(shù)

4.5.1訪問控制概述第三十六頁，共四十二頁，編輯于2023年，星期一1.訪問控制策略的實施原則通常依照主體對客體的訪問權(quán)限來制定系統(tǒng)訪問控制策略，具體原則如下：（1）權(quán)力最小化原則。（