網(wǎng)絡(luò)空間信息安全概述

網(wǎng)絡(luò)空間信息安全第1章網(wǎng)絡(luò)空間信息安全概論1網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第1頁。本章主要內(nèi)容1.1網(wǎng)絡(luò)空間信息安全的重要意義1.2網(wǎng)絡(luò)空間面臨的安全問題1.3網(wǎng)絡(luò)空間信息安全的主要內(nèi)容1.4信息安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間信息安全的區(qū)別1.5網(wǎng)絡(luò)空間信息安全的七大趨勢2第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第2頁。信息安全和網(wǎng)絡(luò)空間安全3病毒信息病毒信息攻擊竊取第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第3頁。主機(jī)安全和網(wǎng)絡(luò)安全主機(jī)安全信息不被竊取；提供正常服務(wù)；不感染病毒。網(wǎng)絡(luò)空間安全信息正常傳輸；按照授權(quán)進(jìn)行操作。4第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第4頁。網(wǎng)絡(luò)安全成為主因病毒通過網(wǎng)絡(luò)傳播；通過網(wǎng)絡(luò)癱瘓主機(jī)；通過網(wǎng)絡(luò)竊取主機(jī)信息；網(wǎng)絡(luò)空間成為引發(fā)主機(jī)安全問題的主要原因！第1章網(wǎng)絡(luò)空間信息安全概述5網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第5頁。1.1網(wǎng)絡(luò)空間信息安全的重要意義

進(jìn)入信息社會，信息已經(jīng)成為一種非常重要的資源，它的安全與否已經(jīng)影響到個人、企業(yè)甚至國家的根本利益。網(wǎng)絡(luò)空間信息安全是一個涉及網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、計算機(jī)科學(xué)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的邊緣性綜合學(xué)科。網(wǎng)絡(luò)空間信息安全是國家安全的重要基礎(chǔ)。6第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第6頁。1.1網(wǎng)絡(luò)空間信息安全的重要意義網(wǎng)絡(luò)的快速普及與發(fā)展、客戶端軟件多媒體化、協(xié)同計算、資源共享、開放、遠(yuǎn)程管理化、電子商務(wù)、金融電子化等已成為網(wǎng)絡(luò)時代必不可少的產(chǎn)物。沒有網(wǎng)絡(luò)空間信息的安全就談不上網(wǎng)絡(luò)信息的安全應(yīng)用。計算機(jī)網(wǎng)絡(luò)和通信是促進(jìn)信息化社會發(fā)展的最活躍的因素。然而，任何事物的發(fā)展都具有二重性。7第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第7頁。1.1網(wǎng)絡(luò)空間信息安全的重要意義由于計算機(jī)互聯(lián)網(wǎng)絡(luò)的國際化、社會化、開放化、個性化的特點，使得它在向人們提供網(wǎng)絡(luò)信息共享、資源共享和技術(shù)共享的同時，也帶來了安全的隱患。網(wǎng)絡(luò)信息的泄漏、篡改、假冒和重傳，黑客入侵，非法訪問，計算機(jī)犯罪，計算機(jī)病毒傳播等等對網(wǎng)絡(luò)信息安全已構(gòu)成重大威脅。如果這些問題不解決，國家安全會受到威脅，電子政務(wù)、電子商務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)科研、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等等都將無法正常開展起來，個人的隱私信息也得不到保障。8第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第8頁。1.1網(wǎng)絡(luò)空間信息安全的重要意義網(wǎng)絡(luò)空間信息安全包括兩個部分：第一、防治、保護(hù)、處置包括互聯(lián)網(wǎng)、電信網(wǎng)、廣電網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)、在線社交網(wǎng)絡(luò)、計算系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)在內(nèi)的各種通信系統(tǒng)及其承載的數(shù)據(jù)不受損害。第二、防止對這些信息通信技術(shù)系統(tǒng)的濫用所引發(fā)的政治安全、經(jīng)濟(jì)安全、文化安全、國防安全。9第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第9頁。1.2網(wǎng)絡(luò)空間面臨的安全問題

1.2.1Internet安全問題1.2.2電子郵件的安全1.2.3域名系統(tǒng)的安全問題1.2.4IP地址的安全問題1.2.5Web站點的安全問題1.2.6文件傳輸?shù)陌踩珕栴}1.2.7社會工程學(xué)的安全問題10第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第10頁。Internet安全問題

Internet的安全來自內(nèi)因和外因的各種因源：1站點主機(jī)數(shù)量的增加，無法估計其安全性能；2主機(jī)系統(tǒng)的訪問控制配置復(fù)雜，軟件的復(fù)雜等，沒有能力在各種環(huán)境下進(jìn)行測試；3分布式管理難于預(yù)防侵襲，一些數(shù)據(jù)庫用口令文件進(jìn)行分布式管理，又允許系統(tǒng)共享數(shù)據(jù)和共享文件，這就帶來不安全因素；11第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第11頁。Internet安全問題4認(rèn)證環(huán)節(jié)虛弱；5Internet和FTP的用戶名和口令的IP包易被監(jiān)視和竊取；6攻擊者的主機(jī)易冒充成被信任的主機(jī)。一般Internet服務(wù)安全內(nèi)容包括Email安全、文件傳輸（FTP）服務(wù)安全、遠(yuǎn)程登陸（Telnet）安全、Web瀏覽服務(wù)安全和DNS域名安全、設(shè)備的物理安全以及社會工程學(xué)的安全問題。12第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第12頁。電子郵件的安全Email即電子郵件，是一種用電子手段提供信息交換的通信方式，也是全球網(wǎng)上最普及型的服務(wù)方式，數(shù)秒內(nèi)通過Email傳遍全球，它加速了信息交流。Email除傳遞信件外，還可以傳送文件（當(dāng)做附件），聲音，圖形等信息。Email不是“終端到終端”的實時服務(wù)，而是“存儲轉(zhuǎn)發(fā)式”服務(wù)，它非實時通信，而發(fā)送者可隨時隨地發(fā)送郵件，將郵件存入對方電子郵箱，并不要求對方接受者實時在場收發(fā)郵件，其優(yōu)點是不受時空間約束。13第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第13頁。電子郵件的安全Email郵件系統(tǒng)的傳輸過程包括用戶代理（MailUserAgent，MUA），傳輸代理（MailTransferAgent，MTA）和接受代理（MailDeliveryAgent，MDA）三部分。用戶代理是一個用戶端發(fā)信和收發(fā)的程序。負(fù)責(zé)將信件按一定標(biāo)準(zhǔn)進(jìn)行包頭，然后送到郵件服務(wù)器。傳輸代理負(fù)責(zé)信件的交換和傳輸，將信件傳送到郵件主機(jī)，再交給接受代理。接受代理按收信人的地址，根據(jù)簡單郵件傳輸協(xié)議SMTP將信件傳遞到目的地。14第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第14頁。電子郵件的安全Email服務(wù)器是向全體開放，故有一個“路由表”，列出了其他Email服務(wù)器的目的地地址。當(dāng)服務(wù)器讀取信頭，如果不是發(fā)給自己時，會自動轉(zhuǎn)發(fā)到目的地的服務(wù)器。Email的正常服務(wù)靠的是Email服務(wù)協(xié)議來保證。有這幾種Email相關(guān)協(xié)議：1SMTP協(xié)議SMTP（SimpleMailTransferProtocol）是簡單郵件傳輸協(xié)議。經(jīng)過它傳遞的電子郵件都是以明文形式進(jìn)行的，但這種明文傳輸很容易被中途竊取，復(fù)制或篡改。15第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第15頁。電子郵件的安全2ESMTP協(xié)議ESMTP(ExtendedSMTP)是擴(kuò)展型SMTP協(xié)議。主要有不易被中途截取，復(fù)制或篡改郵件的功能。3POP3協(xié)議POP3（PostOfficeProtocol3）協(xié)議是郵局協(xié)議，其在線工作方式，有郵件保留在郵件服務(wù)器上允許用戶從郵件服務(wù)器收發(fā)郵件的功能。POP3是以用戶當(dāng)前存在郵件服務(wù)器上的全部郵件為對象進(jìn)行操作的。并一次性將它們下載到用戶端計算機(jī)中。同時用戶不需要的郵件也下載了。16第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第16頁。電子郵件的安全4IMAP4協(xié)議IMAP4（InternetMessageAccessProtocol）是Internet消息訪問協(xié)議。為用戶提供了有選擇地從郵件服務(wù)器接收郵件的功能。IMAP4在用戶登陸到郵件服務(wù)器之后，允許采取多段處理方式，查詢郵件，用戶只讀取電子信箱中的郵件信頭，然后再下載指定的郵件。5MIME協(xié)議MIME（MaltipurposeInternetMailExtensions）協(xié)議的功能是將計算機(jī)程序，聲音和視頻等二進(jìn)制格式信息首先轉(zhuǎn)換成ASCII文本，然后利用SMTP協(xié)議傳輸這些非文本的電子郵件，也可隨同文本電子郵件發(fā)出。17第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第17頁。電子郵件的安全Email的安全漏洞有以下幾種：（1）竊取Email；（2）偽造指令攻擊；（3）Email轟炸；（4）Email欺騙；（5）虛構(gòu)某人名義發(fā)出Email；（6）電子郵件病毒。18第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第18頁。電子郵件的安全Email的安全措施包括這幾種：⑴在郵件系統(tǒng)中安裝過濾器，在接收任何Email之前，先檢查（過濾）發(fā)件人的資料，刪去可疑郵件，不讓它進(jìn)入郵件系統(tǒng)。⑵防止Email服務(wù)器超載，超載會降低傳遞速度或不能收發(fā)Email。⑶如有Email轟炸或遇上EmailSpamming，就要通過防火墻或路由器過濾來自這個地址的Email炸彈郵包。19第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第19頁。電子郵件的安全⑷防止Email炸彈是刪除文件或在路由的層次上限制網(wǎng)絡(luò)的傳輸。另一種方法是寫一個Script程序，當(dāng)Email連接到自己的郵件服務(wù)器時，它就會捕捉到Email炸彈的地址，對郵件炸彈的每一次連接，它都會自動終止其連接，并回復(fù)一個聲明指出觸犯法律。⑸嚴(yán)禁打開Email附件中的可執(zhí)行文件（.exe，com）及Word、Exel文檔。因為這些多是病毒“特洛伊木馬”的有毒文件。20第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第20頁。域名系統(tǒng)的安全問題

域名系統(tǒng)（DNS：DomainNameSystem）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它的作用是提供主機(jī)名字和地址的轉(zhuǎn)換信息。網(wǎng)絡(luò)用戶通過UDP協(xié)議與DNS域名服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53個端口監(jiān)聽，并返回用戶所需要的相關(guān)信息，這是正向域名解析的過程，而反向域名解析是一個查詢DNS的過程。當(dāng)用戶向一臺服務(wù)器請求服務(wù)時，服務(wù)器會根據(jù)用戶的IP反向解析出該IP對應(yīng)的域名。21第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第21頁。域名系統(tǒng)的安全問題域名系統(tǒng)的安全威脅有這幾種：⑴DNS會查漏內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，故DNS存在安全隱患。整個網(wǎng)絡(luò)架構(gòu)中的主機(jī)名，主機(jī)IP列表，路由器名，路由器IP列表，計算機(jī)所在位置等可以被輕易竊取。⑵攻擊者控制了DNS服務(wù)器后，就會篡改DNS的記錄信息，利用被篡改的記錄信息達(dá)到入侵整個網(wǎng)絡(luò)的目的,使到達(dá)原目的地的數(shù)據(jù)包落入攻擊者控制的主機(jī)。22第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第22頁。域名系統(tǒng)的安全問題⑶DNS服務(wù)器有其特殊性，在Unix中，DNS需要UDP53和TCP53的端口，它們需要使用root執(zhí)行權(quán)限，這樣防火墻很難控制對這些端口的訪問，導(dǎo)致入侵者可竊取DNS服務(wù)器的管理員權(quán)限。⑷DNSID欺騙行為：黑客偽裝的DNS服務(wù)器提前向客戶端發(fā)送響應(yīng)數(shù)據(jù)報，使客戶端的DNS緩存里域名所對應(yīng)的IP變成黑客自定義的IP，于是客戶端被帶到黑客希望的網(wǎng)站。23第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第23頁。域名系統(tǒng)的威脅解除辦法遇到DNS欺騙，先禁止本地連接，然后啟用本地連接就可消除DNS緩存。如果在IE中使用代理服務(wù)器，DNS欺騙就不能進(jìn)行，因為這時客戶端并不會在本地進(jìn)行域名請求。如果訪問的不是網(wǎng)站主頁，而是相關(guān)子目錄的文件，這樣在自定義的網(wǎng)站上不會找到相關(guān)的文件。所以禁用本地連接，然后再啟用本地連接就可以清除DNS欺騙。24第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第24頁。IP地址的安全問題

IP地址的安全威脅有這幾種：(1)盜用本網(wǎng)段的IP地址，但會記錄下物理地址。在路由器上設(shè)置靜態(tài)ARP表，可以防止在本網(wǎng)段盜用IP。路由器會根據(jù)靜態(tài)ARP表檢查數(shù)據(jù)，如果不能對應(yīng)，則不進(jìn)行處理。(2)IP電子欺騙：IP欺騙者通過RAWSocket編程，發(fā)送帶有發(fā)送偽造的源IP地址的IP數(shù)據(jù)包，讓一臺機(jī)器來扮演另一臺機(jī)器達(dá)到的目的，獲得對主機(jī)未授權(quán)的訪問。即使設(shè)置了防火墻，如果沒有配置對本地區(qū)域中資源IP包地址的過濾，這種IP欺騙仍然奏效。25第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第25頁。IP欺騙攻擊的防備有這幾種辦法：（1）通過對包的監(jiān)控來檢查IP欺騙?？捎胣etlog或類似的包監(jiān)控工具來檢查外接口上包的情況，如發(fā)現(xiàn)包的兩個地址，源地址和目的地址都是本地域地址，就意味有人試圖攻擊系統(tǒng)。（2）安裝一個過濾路由器，來限制對外部接口的訪問，禁止帶有內(nèi)部網(wǎng)資源地址包的通過。當(dāng)然也應(yīng)禁止（過濾）帶有不同的內(nèi)部資源地址內(nèi)部包通過路由器到別的網(wǎng)上去，這就防止內(nèi)部的用戶對別的站點進(jìn)行IP欺騙。（3）將Web服務(wù)器放在防火墻外面有時更安全。如果路由器有支持內(nèi)部子網(wǎng)的兩個接口，則易發(fā)IP欺騙。（4）在局部網(wǎng)絡(luò)的對外路由器上加一個限制條件，不允許聲稱來自內(nèi)部網(wǎng)絡(luò)包的通過，也能防止IP欺騙。26第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第26頁。Web站點的安全問題Web服務(wù)器有以下安全漏洞：（1）安全威脅類來由渠道有以下幾種：a.外部接口，b.網(wǎng)絡(luò)外部非授權(quán)訪問，c.網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問，d.商業(yè)或工業(yè)間諜，e.移動數(shù)據(jù)；（2）入侵者會重點針對訪問攻擊某一數(shù)據(jù)庫、表、目錄，達(dá)到破壞數(shù)據(jù)或攻擊數(shù)據(jù)的目的；（3）進(jìn)行地址欺騙，IP欺騙或協(xié)議欺騙；（4）非法偷襲Web數(shù)據(jù)，如電子商務(wù)或金融信息數(shù)據(jù)；（5）偽裝成Web站點管理員，攻擊Web站點或控制Web站點主機(jī)；（6）服務(wù)器誤認(rèn)闖入者是合法用戶，而允許他的訪問；（7）偽裝域名，使Web服務(wù)器向入侵者發(fā)送信息，而客戶無法獲得授權(quán)訪問的信息。27第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第27頁。常用的Web站點安全措施（1）將Web服務(wù)器當(dāng)作無權(quán)限的用戶運行，很不安全，故要設(shè)置權(quán)限管理；（2）將敏感文件放在基本系統(tǒng)中，再設(shè)置二級系統(tǒng)，所有敏感文件數(shù)據(jù)都不向Internet網(wǎng)開放；（3）要檢查HTTP服務(wù)器使用的Applet和腳本，尤其與客戶交互作用的CGI腳本，以防止外部用戶執(zhí)行內(nèi)部指令；（4）建議在WindowsNT之上運行Web服務(wù)器，并檢查驅(qū)動器和共享的權(quán)限，將系統(tǒng)設(shè)為只讀狀態(tài)；28第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第28頁。常用的Web站點安全措施（5）采用MacintosbWeb服務(wù)器更為安全，但又缺少WindowsNT的一些設(shè)置特性；（6）要克制daemons系統(tǒng)的軟件安全漏洞。daemons會執(zhí)行不要執(zhí)行的功能，如控制服務(wù)、網(wǎng)絡(luò)服務(wù)、與時間有關(guān)的活動以及打印服務(wù)；（7）為防止入侵者用電話號碼作為口令進(jìn)入Web站點，要配備能阻止和覆蓋口令的收取機(jī)制和安全策略；29第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第29頁。常用的Web站點安全措施（8）不斷更新，重建和改變Web站點的連接信息，一般Web站點只允許單一種類的文本作為連接資源；（9）假定Web服務(wù)器放置在防火墻的后面，就可將“Wusage”統(tǒng)計軟件裝在Web服務(wù)器內(nèi)，以控制通過代理服務(wù)器的信息狀況，這種統(tǒng)計工具能列出站點上往返最頻繁的用戶名單；（10）安裝在公共場所的瀏覽器，以防被入侵者改變?yōu)g覽器的配置，并獲得站點機(jī)要信息、IP地址、DNS入口號等，故要作防御措施。30第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第30頁。文件傳輸（FTP）的安全問題FTP（FileTransferProtocol，文件傳輸協(xié)議）是提供用戶在Internet網(wǎng)上主機(jī)之間進(jìn)行收發(fā)文件的協(xié)議。FTP使用客戶機(jī)/服務(wù)器模式。目前，F(xiàn)TP的安全問題是FTP協(xié)議自身的安全問題及協(xié)議的安全功能如何擴(kuò)展。安全防火墻，黑客仍有可能訪問FTP服務(wù)器，故FTP存在安全問題。31第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第31頁。文件傳輸（FTP）的安全問題FTP的安全漏洞有這幾種：（1）代理FTP中的跳轉(zhuǎn)攻擊代理FTP是FTP規(guī)范PR85提供的一種允許客戶端建立的控制連接，是在兩臺FTP服務(wù)器傳輸文件的機(jī)制?？梢圆唤?jīng)過中間設(shè)備直接傳給客戶端，再由客戶端轉(zhuǎn)給另一個服務(wù)器，這就減少了網(wǎng)絡(luò)流量，但攻擊者可以發(fā)出一個FTP“PORT”命令給目標(biāo)FTP服務(wù)器，其中包括該被攻擊主機(jī)的網(wǎng)絡(luò)地址和與命令及服務(wù)相對應(yīng)的端口號。這樣，客戶端就能命令FTP服務(wù)器發(fā)送數(shù)據(jù)給被攻擊的服務(wù)器。32第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第32頁。文件傳輸（FTP）的安全問題（2）FTP軟件允許用戶訪問所有系統(tǒng)中的文件，且FTP文件系統(tǒng)存在可寫區(qū)域會供攻擊者刪改文件。（3）地址被盜用（Spoof）基于網(wǎng)絡(luò)地址的訪問，會使FTP服務(wù)器易受地址被盜用。（4）用戶名和密碼被猜測（5）端口盜用33第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第33頁。FTP的安全措施（1）未經(jīng)授權(quán)的用戶禁止進(jìn)行FTP操作，F(xiàn)TP使用的賬號必須在Password文件中有記載；并且它的口令不能為空。（2）保護(hù)FTP用的文件和目錄1）FTP\bin目錄的所有者設(shè)為root；2）FTP\exe目錄的所有者設(shè)為root；3）FTP\pub目錄的所有者設(shè)為FTP；4）FTP的主目錄的所有者設(shè)為“FTP”。34第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第34頁。社會工程學(xué)的安全問題網(wǎng)絡(luò)信息保護(hù)中采用的技術(shù)和最終對安全系統(tǒng)的操作都是人來完成的。所以從網(wǎng)絡(luò)信息安全對安全策略的依賴性，已經(jīng)知道保護(hù)的信息對象、所要達(dá)到的保護(hù)目標(biāo)是人通過安全策略確定的。因此，在網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計、實施和驗證中也不能離開人，人在網(wǎng)絡(luò)信息安全管理中占據(jù)著中心地位。特別是網(wǎng)絡(luò)內(nèi)部客戶，不正確地使用系統(tǒng)，他可以輕而易舉地跳過技術(shù)控制。35第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第35頁。社會工程學(xué)的安全問題例如，計算機(jī)系統(tǒng)一般是通過口令來識別用戶的。如果用戶輸入正確的口令，則系統(tǒng)自動認(rèn)為該用戶是授權(quán)擁護(hù)。假設(shè)一個授權(quán)用戶把他的用戶名/口令告訴了其他人，那么非授權(quán)用戶就可以假冒這個授權(quán)用戶，而且無法被系統(tǒng)發(fā)現(xiàn)。非授權(quán)用戶攻擊一個機(jī)構(gòu)的網(wǎng)絡(luò)計算機(jī)系統(tǒng)是危險的。而一個授權(quán)的網(wǎng)絡(luò)內(nèi)部用戶攻擊一個機(jī)構(gòu)的網(wǎng)絡(luò)計算機(jī)系統(tǒng)將更加危險。因為，內(nèi)部人員對機(jī)構(gòu)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、操作員的操作規(guī)程非常清楚，而且通常還會知道足夠的口令跨越安全控制，而這些安全控制已足以把外部攻擊者擋在門外了。可見，內(nèi)部用戶的越權(quán)使用是一個非常難應(yīng)對的問題。36第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第36頁。社會工程學(xué)的安全問題如果系統(tǒng)管理員對系統(tǒng)的安全相關(guān)配置上出現(xiàn)錯誤，或未能及時查看安全日志，或用戶未正確采用安全機(jī)制保護(hù)信息，都將會使得機(jī)構(gòu)的信息系統(tǒng)防御能力大大降低。還有沒有培訓(xùn)的員工通常會給機(jī)構(gòu)的信息安全帶來另一種風(fēng)險。在一個組織機(jī)構(gòu)中，對任職人員的行為進(jìn)行適當(dāng)?shù)挠涗浭且豁棻Ｕ暇W(wǎng)絡(luò)信息安全行之有效的方法。因為，網(wǎng)絡(luò)信息安全不僅靠要求組織和內(nèi)部人員有安全技術(shù)知識、安全意識和領(lǐng)導(dǎo)層對安全的重視，還必須制定一整套明確責(zé)任，明確審批權(quán)限的安全管理制度，以及專門的安全管理機(jī)構(gòu)，從根本上保證所有任職人員的規(guī)范化使用和操作。37第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第37頁。社會工程學(xué)的安全問題法律會限制網(wǎng)絡(luò)信息安全保護(hù)中可用的技術(shù)以及技術(shù)的使用范圍，因此決定安全策略或選用安全機(jī)制的時候需要考慮法律或條例的規(guī)定。例如，中華人民共和國國家密碼管理委員會頒布的《商用密碼管理條例》（1999）規(guī)定，在中國商用密碼屬于國家密碼，國家對商用密碼的科研、生產(chǎn)、銷售和使用實行專控經(jīng)營。也就是說，使用未經(jīng)國家批準(zhǔn)的密碼算法，或使用國家批準(zhǔn)的算法但未得到國家授權(quán)認(rèn)可的產(chǎn)品都屬于違法行為。38第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第38頁。1.3網(wǎng)絡(luò)空間信息安全的主要內(nèi)容1.3.1病毒防治技術(shù)1.3.2遠(yuǎn)程控制與黑客入侵1.3.3網(wǎng)絡(luò)信息密碼技術(shù)1.3.4數(shù)字簽名與認(rèn)證技術(shù)1.3.5網(wǎng)絡(luò)安全協(xié)議1.3.6無線網(wǎng)絡(luò)安全機(jī)制1.3.7訪問控制與防火墻技術(shù)1.3.8入侵檢測技術(shù)1.3.9網(wǎng)絡(luò)數(shù)據(jù)庫安全與備份技術(shù)1.3.10信息隱藏與數(shù)字水印技術(shù)1.3.11網(wǎng)絡(luò)安全測試工具及其應(yīng)用39第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第39頁。病毒防治技術(shù)計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒主要呈現(xiàn)以下特征：（1）傳染性；（2）非授權(quán)性；（3）隱蔽性；（4）潛伏性；（5）破壞性；（6）不可預(yù)見性；（7）可觸發(fā)性。40第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第40頁。病毒防治技術(shù)計算機(jī)病毒的發(fā)展呈現(xiàn)以下趨勢：（1）病毒傳播方式不再以存儲介質(zhì)為主要的傳播載體，網(wǎng)絡(luò)成為計算機(jī)病毒傳播的主要載體，使用計算機(jī)網(wǎng)絡(luò)逐漸成為計算機(jī)病毒發(fā)作條件的共同點；（2）傳統(tǒng)病毒日益減少，計算機(jī)病毒變形（變種）的速度極快并向混合型、多樣化發(fā)展，網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的病毒類型；（3）運行方式和傳播方式將更加多樣化，更具隱蔽性；41第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第41頁。病毒防治技術(shù)（4）盡管目前windows10比其他版本的Windows系統(tǒng)安全，但隨著其日益流行，它將成為黑客的主要攻擊目標(biāo)；（5）針對OSX和Unix等其他系統(tǒng)的病毒數(shù)量會明顯增加；（6）跨操作系統(tǒng)的病毒將會越來越多；（7）計算機(jī)病毒技術(shù)與黑客技術(shù)將日益融合，出現(xiàn)帶有明顯病毒特征的木馬或者木馬特征的病毒；（8）物質(zhì)利益將成為推動計算機(jī)病毒發(fā)展的最大動力。42第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第42頁。病毒防治技術(shù)我們可以采取以下措施加以防范：（1）給計算機(jī)安裝防病毒軟件；（2）寫保護(hù)所有系統(tǒng)盤，不要把用戶數(shù)據(jù)或程序?qū)懙较到y(tǒng)盤上，對系統(tǒng)的一些重要信息作備份。（3）盡量使用硬盤引導(dǎo)系統(tǒng)，并且在系統(tǒng)啟動時即安裝病毒預(yù)防或疫苗軟件。（4）對公用軟件和共享軟件的使用要謹(jǐn)慎，禁止在機(jī)器上運行任何游戲盤，因游戲盤攜帶病毒的概率很高。（5）對來歷不明的軟件不要不經(jīng)檢查就上機(jī)運行。（6）使用套裝正版軟件，不使用或接受未經(jīng)許可的軟件。43第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第43頁。病毒防治技術(shù)（7）使用規(guī)范的公告牌和網(wǎng)絡(luò)，不要從非正規(guī)的公告牌中卸載可執(zhí)行程序（8）對已聯(lián)網(wǎng)的微機(jī)，注意訪問控制，不允許任何對微機(jī)的未授權(quán)訪問。（9）計算機(jī)網(wǎng)絡(luò)上使用的軟件要嚴(yán)格檢查，加強(qiáng)管理（10）不忽視任何病毒征兆，定期用殺毒軟件對機(jī)器和軟盤進(jìn)行檢測。44第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第44頁。遠(yuǎn)程控制與黑客入侵一般認(rèn)為，計算機(jī)系統(tǒng)的安全威脅主要來自黑客的攻擊，現(xiàn)代黑客從以系統(tǒng)為主的攻擊轉(zhuǎn)變?yōu)橐跃W(wǎng)路為主的攻擊，而且隨著攻擊工具的完善，攻擊者不需要專業(yè)的知識就可以完成復(fù)雜的攻擊過程。首先是遠(yuǎn)程控制，它只是通過網(wǎng)絡(luò)來操縱計算機(jī)的一種手段而已，只要運用得當(dāng)，操縱遠(yuǎn)程的計算機(jī)也就如同你操縱眼前正在使用的計算機(jī)一樣沒有任何區(qū)別。45第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第45頁。遠(yuǎn)程控制與黑客入侵隨著網(wǎng)絡(luò)的高度發(fā)展，計算機(jī)的管理及技術(shù)支持的需要，遠(yuǎn)程操作及控制技術(shù)越來越引起人們的關(guān)注。遠(yuǎn)程控制一般支持下面的這些網(wǎng)絡(luò)方式：LAN、WAN、撥號方式、互聯(lián)網(wǎng)方式。此外，有的遠(yuǎn)程控制軟件還支持通過串口、并口、紅外端口來對遠(yuǎn)程機(jī)進(jìn)行控制。傳統(tǒng)的遠(yuǎn)程控制軟件一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等協(xié)議來實現(xiàn)遠(yuǎn)程控制。隨著網(wǎng)絡(luò)技術(shù)快速的發(fā)展與普及，目前很多遠(yuǎn)程控制軟件提供通過Web頁面以Java技術(shù)來控制遠(yuǎn)程網(wǎng)絡(luò)計算機(jī)。46第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第46頁。遠(yuǎn)程控制與黑客入侵黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在20世紀(jì)的60至70年代之間，“黑客”(hacker)也曾經(jīng)專用來形容那些有獨立思考那里的計算機(jī)“迷”，如果他們在軟件設(shè)計上干了一件非常漂亮的工作，或者解決了一個程序難題，同事們經(jīng)常高呼“hacker”。后來某些具有“黑客”水平的人物利用通訊軟件或者通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，危害信息安全。于是“黑客”開始有了“計算機(jī)入侵者”或“計算機(jī)搗亂分子”的惡名。47第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第47頁。遠(yuǎn)程控制與黑客入侵典型的黑客會使用如下技術(shù)隱藏他們真實的IP地址：利用被侵入的主機(jī)作為跳板；在安裝Windows的計算機(jī)內(nèi)利用Wingate軟件作為跳板；利用配置不當(dāng)?shù)腜roxy作為跳板。黑客總是尋找那些被信任的主機(jī)。這些主機(jī)可能是管理員使用的機(jī)器，或是一臺被認(rèn)為是很安全的服務(wù)器。黑客會檢查所有運行nfsd或mountd的主機(jī)的NFS輸出。往往這些主機(jī)的一些關(guān)鍵目錄(如/usr/bin、/etc和/home)可以被那臺被信任的主機(jī)mount。48第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第48頁。遠(yuǎn)程控制與黑客入侵黑客會選擇一臺被信任的外部主機(jī)進(jìn)行嘗試。一旦成功侵入，黑客將從這里出發(fā)，設(shè)法進(jìn)入內(nèi)部的網(wǎng)絡(luò)。但這種方法是否成功要看內(nèi)部主機(jī)和外部主機(jī)間的過濾策略了。攻擊外部主機(jī)時，黑客一般是運行某個程序，利用外部主機(jī)上運行的有漏洞的daemon竊取控制權(quán)。有漏洞的daemon包括Sendmail、IMAP、POP3各個漏洞的版本，以及RPC服務(wù)中諸如statd、mountd、pcnfsd等。49第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第49頁。遠(yuǎn)程控制與黑客入侵一旦計算機(jī)被黑客入侵，那么被入侵的計算機(jī)將沒有任何秘密而言，因此我們要加強(qiáng)網(wǎng)絡(luò)安全防范意識，學(xué)習(xí)掌握一些基本的安全防范措施，盡量使其免受黑客的攻擊。50第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第50頁。網(wǎng)絡(luò)信息密碼技術(shù)網(wǎng)絡(luò)信息密碼技術(shù)是研究計算機(jī)信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計算機(jī)交叉的一門新興學(xué)科。密碼作為運用于軍事和政治斗爭的一種技術(shù)，歷史悠久，無論是在古希臘時代還是在現(xiàn)代都發(fā)揮了非常重要的作用?，F(xiàn)代密碼學(xué)不僅用于解決信息的保密性，而且也用于解決信息的完整性、可用性、可控性和不可抵賴性等方面。密碼技術(shù)不僅在保護(hù)國家秘密信息中具有重要的、不可代替的作用，同時，也廣泛應(yīng)用于諸如電子郵件、政府信息上網(wǎng)、網(wǎng)上招生錄取、網(wǎng)上購物、網(wǎng)絡(luò)銀行、數(shù)字化網(wǎng)絡(luò)電視、網(wǎng)絡(luò)遠(yuǎn)程教育、遠(yuǎn)程合作診斷等領(lǐng)域中。51第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第51頁。網(wǎng)絡(luò)信息密碼技術(shù)密碼通信模型由明文空間、密文空間、密鑰空間、加密算法、解密算法五個模塊組成；安全密碼體制根據(jù)應(yīng)用性能對網(wǎng)絡(luò)信息提供秘密性、鑒別性、完整性、不可否認(rèn)性等功能。常見密碼的破解方法有唯密文攻擊法、己知明文攻擊法、選擇文攻擊法。若以密鑰為分類標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為對稱密碼(又稱為單鑰密碼或私鑰密碼)和非對稱密碼(又稱為雙鑰密碼或公鑰密碼)，若以密碼算法對明文的處理方式為標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為序列密碼和分組密碼系統(tǒng)。52第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第52頁。網(wǎng)絡(luò)信息密碼技術(shù)在私鑰密碼體制中，發(fā)送方和接收方使用同一個秘密密鑰，即加密密鑰和解密密鑰是相同或等價的。除了以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼之外，比較著名的私鑰密碼系統(tǒng)有：美國的DES及其各種變形TripleDES、GDES、NewDES，歐洲的IDEA，日本的FEALN、LOK191、Skipjack、RC4、RC5等。其中DES（DataEncryptionStandard）為美國國家標(biāo)準(zhǔn)局（現(xiàn)美國國家標(biāo)準(zhǔn)與技術(shù)研究所NIST）公布的商用數(shù)據(jù)加密標(biāo)準(zhǔn)，幾十年來得到了廣泛的應(yīng)用。53第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第53頁。網(wǎng)絡(luò)信息密碼技術(shù)對稱密碼體系中主要的三大密碼標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、高級加密標(biāo)準(zhǔn)(AES)和序列加密算法。數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是20世紀(jì)70年代由IBM公司設(shè)計和修改經(jīng)美國國家標(biāo)準(zhǔn)局(NBS)審閱的一種分組加密算法，即對一定大小的明文或密文進(jìn)行加密或解密工作；其工作模式分為：電子密碼本(ECB)、密碼分組鏈(CBC)和密碼反饋(CFB)；并可以通過多次使用DES或要求多于56位的密鑰進(jìn)行增強(qiáng)安全性。54第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第54頁。網(wǎng)絡(luò)信息密碼技術(shù)高級加密標(biāo)準(zhǔn)(AES)是美國國家標(biāo)準(zhǔn)和技術(shù)委員會NIST替代DES的，并要求新算法必須允許128，192，256位密鑰長度，不僅能夠在128位輸入分組上工作，還能在各種不同硬件上工作，速度和密碼強(qiáng)度同樣也要被重視；在加密算法上AES算法密鑰長度限制為128位，算法過程由10輪循環(huán)組成，每一輪循環(huán)都有一個來自于初始密鑰的循環(huán)密鑰，由4個基本步驟組成：字節(jié)轉(zhuǎn)換、移動行變換、混合列變換、加循環(huán)密鑰，而解密算法則是加密的逆過程。55第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第55頁。網(wǎng)絡(luò)信息密碼技術(shù)在公鑰密碼體制中，接收方和發(fā)送方使用的密鑰互不相同，即加密密鑰和解密密鑰不相同，加密密鑰公開而解密密鑰保密，而且?guī)缀醪豢赡苡杉用苊荑€推導(dǎo)出解密密鑰。比較著名的公鑰密碼系統(tǒng)有：RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC、背包密碼系統(tǒng)、McEliece密碼系統(tǒng)、DiffeHellman密碼系統(tǒng)、零知識證明的密碼體制和ELGamal密碼等。56第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第56頁。網(wǎng)絡(luò)信息密碼技術(shù)理論上最為成熟完善的公鑰密碼體制RSA算法，以及Diffie-Hellman，Elgamal和Merkle-Hellman三種公鑰體制。最有影響的公鑰密碼體制是RSA和ECC，它們能夠抵抗到目前為止已知的所有密碼攻擊。RSA密碼體制的安全性是基于大整數(shù)素因子分解的困難性。ECC密碼系統(tǒng)的安全性是基于求解橢圓曲線離散對數(shù)問題的困難性。ECC被認(rèn)為是下一代最有前途的密碼系統(tǒng)。57第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第57頁。數(shù)字簽名與認(rèn)證技術(shù)隨著Internet的發(fā)展與應(yīng)用的普及，一方面除了需要保護(hù)用戶通信的私有性和秘密性，使得非法用戶不能獲取、讀懂通信雙方的私有信息和秘密信息之外；另一方面，在許多應(yīng)用中，還需要保證通信雙方的不可抵賴性和信息在公共信道上傳輸?shù)耐暾浴?shù)字簽名（DigitalSignatures）、身份認(rèn)證和信息認(rèn)證等技術(shù)可以解決這些問題。58第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第58頁。數(shù)字簽名與認(rèn)證技術(shù)數(shù)字簽名的概念最早由WhitfieldDiffie和MartinHellman于1976年提出，其目的是使簽名者對電子文件也可以進(jìn)行簽名并且無法否認(rèn)，驗證者無法篡改文件。簡單地說，所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人(例如接收者)進(jìn)行偽造。它是對電子形式的消息進(jìn)行簽名的一種方法，一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸。59第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第59頁。數(shù)字簽名與認(rèn)證技術(shù)Rivest、Shamir和Adleman于1978年提出了基于RSA公鑰密碼算法的數(shù)字簽名方案；Shamir于1985年提出了一種基于身份識別的數(shù)字簽名方案；Elgamal于1985年提出一種基于離散對數(shù)的公鑰密碼算法和數(shù)字簽名方案；Schnorr于1990年提出了適合智能卡應(yīng)用的有效數(shù)字簽名方案；Agnew于1990年提出了一種改進(jìn)的基于離散對數(shù)的數(shù)字簽名方案；NIST于1991年提出了數(shù)字簽名標(biāo)準(zhǔn)DSA；1992年ScottVanstone首先提出橢圓曲線數(shù)字簽名算法ECDSA。60第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第60頁。數(shù)字簽名與認(rèn)證技術(shù)基于公鑰密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名，目前主要是基于公鑰密碼體制的數(shù)字簽名。包括普通數(shù)字簽名和特殊數(shù)字簽名。普通數(shù)字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數(shù)字簽名算法、DES/DSA，橢圓曲線數(shù)字簽名算法和有限自動機(jī)數(shù)字簽名算法等。特殊數(shù)字簽名有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門限簽名、具有消息恢復(fù)功能的簽名等，它與具體應(yīng)用環(huán)境密切相關(guān)。61第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第61頁。數(shù)字簽名與認(rèn)證技術(shù)數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性。62第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第62頁。數(shù)字簽名與認(rèn)證技術(shù)數(shù)字簽名主要的功能是：保證信息傳輸?shù)耐暾浴l(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。數(shù)字簽名通過一套標(biāo)準(zhǔn)化、規(guī)范化的軟硬結(jié)合的系統(tǒng)，使持章者可以在電子文件上完成簽字、蓋章，與傳統(tǒng)的手寫簽名、蓋章具有完全相同功能。主要解決電子文件的簽字蓋章問題，用于辨識電子文件簽署者的身份，保證文件的完整性，確保文件的真實性、可靠性和不可抵賴性。63第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第63頁。網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計算機(jī)及交換機(jī)、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實現(xiàn)這一服務(wù)的細(xì)節(jié)對上一層加以屏蔽。一臺設(shè)備上的第n層與另一臺設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息。64第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第64頁。網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議具有以下三種特點：①保密性：即通信的內(nèi)容不向他人泄漏。為了維護(hù)人們的個人權(quán)利，因此必須確定通信內(nèi)容發(fā)給所制定的人，同時還必須防止某些懷有特殊目的的人的“竊聽”。②完整性：把通信的內(nèi)容按照某種算法加密，生成密碼文件即密文進(jìn)行傳輸。在接受端對通信內(nèi)容進(jìn)行破譯，必須保證破譯后的內(nèi)容與發(fā)出前的內(nèi)容完全一致。③認(rèn)證性：防止非法的通信者進(jìn)入。進(jìn)行通信時，必須先確認(rèn)通信雙方的真實身份。65第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第65頁。網(wǎng)絡(luò)安全協(xié)議常用的安全協(xié)議有SSH（安全外殼協(xié)議）、PKI（公鑰基礎(chǔ)設(shè)施）、SSL（安全套接字層協(xié)議）、SET（安全電子交易）、IPSec（網(wǎng)絡(luò)協(xié)議安全）等。66第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第66頁。無線網(wǎng)絡(luò)安全機(jī)制所謂無線網(wǎng)絡(luò)，就是利用無線電波作為信息傳輸?shù)拿浇闃?gòu)成的無線局域網(wǎng)（WLAN），與有線網(wǎng)絡(luò)的用途十分類似，最大的不同在于傳輸媒介的不同，利用無線電技術(shù)取代網(wǎng)線，可以和有線網(wǎng)絡(luò)互為備份。

67第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第67頁。無線網(wǎng)絡(luò)安全機(jī)制目前，無線網(wǎng)絡(luò)可分為：1無線個人網(wǎng)：主要用于個人用戶工作空間，典型距離覆蓋幾米，可以與計算機(jī)同步傳輸文件，訪問本地外圍設(shè)備，如打印機(jī)等。目前主要技術(shù)包括藍(lán)牙（Bluetooth）和紅外（IrDA）。2無線局域網(wǎng)：主要用于寬帶家庭、大樓內(nèi)部以及園區(qū)內(nèi)部，典型距離覆蓋幾十米至上百米。目前主要技術(shù)為802.11系列。3無線LAN-to-LAN網(wǎng)橋：主要用于大樓之間的聯(lián)網(wǎng)通信，典型距離為幾公里，許多無線網(wǎng)橋采用802.11b技術(shù)。4無線城域網(wǎng)和廣域網(wǎng)：覆蓋城域和廣域環(huán)境，主要用于Internet訪問，但提供的帶寬比無線網(wǎng)絡(luò)技術(shù)要低很多。68第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第68頁。無線網(wǎng)絡(luò)安全機(jī)制在無線網(wǎng)絡(luò)領(lǐng)域，常見的是IEEE802.11標(biāo)準(zhǔn)。IEEE802.11是IEEE最初制定的一個無線網(wǎng)絡(luò)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)，用戶與用戶終端的無線接入。對不同的無線網(wǎng)絡(luò)技術(shù)，有著不同的安全級別要求。一般地，可分為四級。第一級，擴(kuò)頻、跳頻無線傳輸技術(shù)本身使盜聽者難以捕捉到有用的數(shù)據(jù)。第二級，采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。第三級，設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施，防止非法用戶入侵。第四級，設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號被盜聽也難以理解其中的內(nèi)容。69第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第69頁。無線網(wǎng)絡(luò)安全機(jī)制針對無線網(wǎng)絡(luò)的安全問題，采取的常見措施有：第一，運用服務(wù)區(qū)標(biāo)示符（SSID）。第二，運用擴(kuò)展服務(wù)集標(biāo)識號(ESSID)。第三，物理地址（MAC）過濾。第四，連線對等保密(WEP)。第五，虛擬專用網(wǎng)絡(luò)(VPN)。第六，端口訪問控制技術(shù)（802.1x）。70第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第70頁。訪問控制與防火墻技術(shù)訪問控制是通過一個參考監(jiān)視器來進(jìn)行的。每次用戶對系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時，都由它來進(jìn)行調(diào)節(jié)。將計算機(jī)和網(wǎng)絡(luò)安全更緊密地統(tǒng)一起來，發(fā)展信息安全是非常必需的。訪問控制策略盡管在這方面已取得了很大進(jìn)步，卻還在發(fā)展之中。為此，必須引入防火墻技術(shù)。一般而言，安全防范體系具體實施的第一項內(nèi)容就是在內(nèi)網(wǎng)和外網(wǎng)之間構(gòu)筑一道防線，以抵御來自外部的絕大多數(shù)攻擊，完成這項任務(wù)的網(wǎng)絡(luò)邊防產(chǎn)品就是防火墻。71第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第71頁。訪問控制與防火墻技術(shù)自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，提出了防火墻的概念，防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用，這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。72第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第72頁。訪問控制與防火墻技術(shù)未來防火墻的發(fā)展趨勢是：（1）高速化。目前防火墻一個很大的局限性是速度不夠。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實現(xiàn)高速防火墻的主要方法，其中以采用網(wǎng)絡(luò)處理器最優(yōu)。實現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因為網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。（2）多功能化。鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。（3）更安全。未來防火墻的操作系統(tǒng)會更安全。73第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第73頁。入侵檢測技術(shù)特征檢測(Signature-baseddetection)又稱Misusedetection，這一檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。74第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第74頁。網(wǎng)絡(luò)數(shù)據(jù)庫安全與備份技術(shù)網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用是計算機(jī)的一個十分重要的應(yīng)用領(lǐng)域。數(shù)據(jù)庫系統(tǒng)由數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)兩部分組成。安全數(shù)據(jù)庫的基本要求可歸納為：數(shù)據(jù)庫的完整性（物理上的完整性、邏輯上的完整性和庫中元素的完整性）、數(shù)據(jù)庫的保密性（用戶身份識別、訪問控制和可審計性）、數(shù)據(jù)庫的可用性（用戶界面友好，在授權(quán)范圍內(nèi)用戶可以簡便地訪問數(shù)據(jù)）。75第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第75頁。網(wǎng)絡(luò)數(shù)據(jù)庫安全與備份技術(shù)當(dāng)前，實現(xiàn)數(shù)據(jù)庫安全的方案有用戶身份認(rèn)證、訪問控制機(jī)制和數(shù)據(jù)庫加密等。當(dāng)前的主流商品化數(shù)據(jù)庫管理系統(tǒng)（Oracle、SyBase、Informix和Jasmine等）都支持多種驗證方案。主要有基于密碼的驗證、基于主機(jī)的驗證、基于公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure）的驗證以及其他基于第三方組件的驗證方案。76第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第76頁。網(wǎng)絡(luò)數(shù)據(jù)庫安全與備份技術(shù)訪問控制策略是所有數(shù)據(jù)庫管理系統(tǒng)實現(xiàn)的主要安全機(jī)制，它基于特權(quán)的概念。一個主體（例如一個用戶或一個應(yīng)用）只有在被賦予了相應(yīng)數(shù)據(jù)庫對象訪問權(quán)限的時候才能訪問該對象。目前的數(shù)據(jù)庫管理系統(tǒng)提供了有限的數(shù)據(jù)庫加密的支持。數(shù)據(jù)庫加、解密的最主要問題是密鑰管理問題?；诿荑€管理方案的不同，主要有下列四種數(shù)據(jù)庫加密方案：第一種，基于口令的加密。第二種是基于公鑰的加密。第三種是基于用戶提供密鑰的加密。第四種是群加密。77第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第77頁。信息隱藏與數(shù)字水印技術(shù)人們?nèi)缃褚部梢酝ㄟ^因特網(wǎng)發(fā)布自己的作品、重要信息和進(jìn)行網(wǎng)絡(luò)貿(mào)易等，但是隨之而出現(xiàn)的問題也十分嚴(yán)重：如作品侵權(quán)更加容易，篡改也更加方便。因此如何既充分利用因特網(wǎng)的便利，又能有效地保護(hù)知識產(chǎn)權(quán)，已受到人們的高度重視。這標(biāo)志著一門新興的交叉學(xué)科——信息隱藏(InformationHiding)學(xué)的正式誕生。如今信息隱藏學(xué)作為隱蔽通信和知識產(chǎn)權(quán)保護(hù)等的主要手段，正得到廣泛的研究與應(yīng)用。78第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第78頁。信息隱藏與數(shù)字水印技術(shù)信息隱藏不同于傳統(tǒng)的密碼學(xué)技術(shù)。密碼技術(shù)主要是研究如何將機(jī)密信息進(jìn)行特殊的編碼，以形成不可識別的密碼形式(密文)進(jìn)行傳遞；而信息隱藏則主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中，然后通過公開信息的傳輸來傳遞機(jī)密信息。過去幾干年的歷史已經(jīng)證明：密碼是保護(hù)信息機(jī)密性的一種最有效的手段。通過使用密碼技術(shù)，人們將明文加密成敵人看不懂的密文，從而阻止了信息的泄露。但是，在如今開放的網(wǎng)絡(luò)上，誰也看不懂的密文無疑成了“此地?zé)o銀三百兩”的標(biāo)簽?！昂诳汀蓖耆梢酝ㄟ^跟蹤密文來“穩(wěn)、準(zhǔn)、狠”地破壞合法通信。為了對付這類“黑客”，人們采用以柔克剛的思路重新啟用了古老的信息隱藏技術(shù)，并對這種技術(shù)進(jìn)行了現(xiàn)代化的改進(jìn)，從而達(dá)到了迷惑“黑客”的目的。79第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第79頁。信息隱藏與數(shù)字水印技術(shù)隨著網(wǎng)絡(luò)和多媒體技術(shù)的發(fā)展，為信息的傳輸和獲取創(chuàng)造了十分方便的條件。然而多媒體信息版權(quán)保護(hù)問題也變得更加突出。當(dāng)數(shù)據(jù)隱藏技術(shù)用于版權(quán)保護(hù)時常被稱為數(shù)字水印（DigitalWatermarking）技術(shù)，稱嵌入的信息為水?。╳atermark）。當(dāng)數(shù)字產(chǎn)品的版權(quán)歸屬發(fā)生疑問時，仲裁人(法院等)可以通過檢測水印判定版權(quán)歸屬。數(shù)字水印作為一種新興的防止盜版的技術(shù)，日益受到人們的關(guān)注。它是將數(shù)字簽名、商標(biāo)等信息作為水印嵌入到圖像中，同時要求不引起原始圖像質(zhì)量的明顯下降，而且對于常見的圖像處理操作應(yīng)具有穩(wěn)健的特性。80第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第80頁。信息隱藏與數(shù)字水印技術(shù)數(shù)字水印技術(shù)的研究與數(shù)字媒體的版權(quán)保護(hù)緊密相關(guān)，其研究成果主要應(yīng)用于版權(quán)保護(hù)、圖像認(rèn)證、篡改提示和使用控制等方面。（1）版權(quán)保護(hù)。即數(shù)字作品的所有者可用密鑰產(chǎn)生一個水印，并將其嵌入原始數(shù)據(jù)，然后公開發(fā)布他的水印版本作品。當(dāng)該作品被盜版或出現(xiàn)版權(quán)糾紛時，所有者即可從盜版作品或水印版作品中獲取水印信號作為依據(jù)，從而保護(hù)所有者的權(quán)益。（2）圖像認(rèn)證。認(rèn)證的目的是檢測對圖像數(shù)據(jù)的修改?？捎么嗳跣运韺崿F(xiàn)圖像的認(rèn)證，圖像微小的變動即可使水印的不復(fù)存在，從而保證了圖像不被篡改，保證了圖像的完整性。81第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第81頁。信息隱藏與數(shù)字水印技術(shù)（3）篡改提示。當(dāng)數(shù)字作品被用于法庭、醫(yī)學(xué)、新聞及商業(yè)時，常需確定它們的內(nèi)容是否被修改、偽造或特殊處理過。為實現(xiàn)該目的，通?？蓪⒃紙D象分成多個獨立塊，再將每個塊加入不同的水印。同時可通過檢測每個數(shù)據(jù)塊中的水印信號，來確定作品的完整性。與其他水印不同的是，這類水印必須是脆弱的，并且檢測水印信號時，不需要原始數(shù)據(jù)。（4）使用控制。這種應(yīng)用的一個典型的例子是DVD防拷貝系統(tǒng)，即將水印信息加入DVD數(shù)據(jù)中，這樣DVD播放機(jī)即可通過檢測DVD數(shù)據(jù)中的水印信息而判斷其合法性和可拷貝性。從而保護(hù)制造商的商業(yè)利益。82第1章網(wǎng)絡(luò)空間信息安全概述網(wǎng)絡(luò)空間信息安全概述全文共93頁，當(dāng)前為第82頁。網(wǎng)絡(luò)安全測試工具及其應(yīng)用目前操作系統(tǒng)存在的各種漏洞，使得網(wǎng)絡(luò)攻