網絡安全與網絡管理

網絡安全與網絡管理第一頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念

本章學習要求第二頁，共二百零二頁，編輯于2023年，星期三用戶規(guī)模主要應用成熟期大型機小科學計算1960年代10年小型機/WAN1970年代小7年部門內部PC/LAN1980年代中5年企業(yè)之間Client/Server1990年代大4年商家之間IntranetInternet2000年代商家與消費者之間服務為本

全球無所不在3年ExtranetInternet9.1網絡安全的重要性網絡的發(fā)展歷程第三頁，共二百零二頁，編輯于2023年，星期三百萬Internet

用戶數9.1網絡安全的重要性第四頁，共二百零二頁，編輯于2023年，星期三億美元Internet

商業(yè)應用快速增長9.1網絡安全的重要性第五頁，共二百零二頁，編輯于2023年，星期三EmailWebISP門戶網站E-Commerce電子交易復雜程度時間Internet變得越來越重要9.1網絡安全的重要性第六頁，共二百零二頁，編輯于2023年，星期三混合型威脅(RedCode,Nimda)拒絕服務攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數量Internet網絡安全問題日益突出9.1網絡安全的重要性第七頁，共二百零二頁，編輯于2023年，星期三計算機緊急響應組織（CERT）

年份事件報道數目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658有關安全事件的統(tǒng)計

9.1網絡安全的重要性第八頁，共二百零二頁，編輯于2023年，星期三年度報道事件數目與軟件漏洞相關事件數目2002上半年43136214820015265824372000217561090有關安全事件的統(tǒng)計

9.1網絡安全的重要性第九頁，共二百零二頁，編輯于2023年，星期三代碼攻擊的損失程度9.1網絡安全的重要性第十頁，共二百零二頁，編輯于2023年，星期三惡意代碼攻擊的年度損失9.1網絡安全的重要性第十一頁，共二百零二頁，編輯于2023年，星期三為什么網絡安全變得非常重要進行網絡攻擊變得越來越簡單。越來越多的個人或公司連入Internet。電子商務、電子政務、遠程教育、遠程醫(yī)療等廣泛的應用。網絡已經成為一個國家政治、經濟、文化、科技、軍事與綜合國力的重要的標志。并不是所有的用戶都具有基本的安全知識。9.1網絡安全的重要性第十二頁，共二百零二頁，編輯于2023年，星期三Internet安全性研究的開始1988年11月3日，第一個“蠕蟲”被放到Internet上在幾小時之內，數千臺機器被傳染，Internet陷入癱瘓?！叭湎x”的作者RobertMorris(羅伯特.莫里斯)被判有罪，接受三年監(jiān)護并被罰款“Morris蠕蟲”的出現改變了許多人對Internet安全性的看法。一個單純的程序有效地摧毀了數百臺（或數千臺）機器，那一天標志著Internet安全性研究的開始。9.1網絡安全的重要性第十三頁，共二百零二頁，編輯于2023年，星期三黑客和入侵者“黑客”（Hacker）指對于任何計算機操作系統(tǒng)奧秘都有強烈興趣的人?！昂诳汀贝蠖际浅绦騿T，他們具有操作系統(tǒng)和編程語言方面的高級知識，知道系統(tǒng)中的漏洞及其原因所在；他們不斷追求更深的知識，并公開他們的發(fā)現，與其他分享；并且從來沒有破壞數據的企圖。9.1網絡安全的重要性第十四頁，共二百零二頁，編輯于2023年，星期三黑客和入侵者“入侵者”（Cracker）是指壞著不良企圖，闖入甚至破壞遠程機器系統(tǒng)完整性的人。“入侵者”利用獲得的非法訪問權，破壞重要數據，拒絕合法用戶服務請求，或為了自己的目的制造麻煩?！叭肭终摺焙苋菀鬃R別，因為他們的目的是惡意的。9.1網絡安全的重要性第十五頁，共二百零二頁，編輯于2023年，星期三網絡風險難以消除開放的網絡外部環(huán)境：越來越多的基于網絡的應用企業(yè)的業(yè)務要求網絡連接的不間斷性來自內部的安全隱患有限的防御措施錯誤的實現、錯誤的安全配置糟糕的管理和培訓黑客的攻擊9.1網絡安全的重要性第十六頁，共二百零二頁，編輯于2023年，星期三總結

網絡安全問題已經成為信息化社會的一個焦點問題。關系到我們國家的國計民生與國家安全的問題！每個國家只能立足于本國，研究自己的網絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網絡安全產業(yè)，才能構筑本國的網絡與信息安全防范體系。9.1網絡安全的重要性第十七頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計的掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念本章學習要求第十八頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素9.2.2網絡安全服務的主要內容9.2.3網絡安全標準第十九頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第二十頁，共二百零二頁，編輯于2023年，星期三網絡防攻擊問題服務攻擊:對網絡提供某種服務的服務器發(fā)起攻擊，造成該網絡的“拒絕服務”，使網絡工作不正常。非服務攻擊:不針對某項具體應用服務，而是基于網絡層等低層協(xié)議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。9.2網絡安全技術研究的基本問題第二十一頁，共二百零二頁，編輯于2023年，星期三網絡防攻擊需要研究的問題網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安全策略與網絡安全防護體系？9.2網絡安全技術研究的基本問題第二十二頁，共二百零二頁，編輯于2023年，星期三冒充攻擊：一個實體假裝成另外一個實體。在鑒別過程中，獲取有效鑒別序列，在以后冒名重播的方式獲得部分特權。

網絡中的主要攻擊方法9.2網絡安全技術研究的基本問題第二十三頁，共二百零二頁，編輯于2023年，星期三重放攻擊：獲取有效數據段以重播的方式獲取對方信任。在遠程登錄時如果一個人的口令不改變，則容易被第三者獲取，并用于冒名重放。

網絡中的主要攻擊方法9.2網絡安全技術研究的基本問題第二十四頁，共二百零二頁，編輯于2023年，星期三修改攻擊：信件被改變，延時，重排，以至產生非授權效果。如信件“允許張三讀機密帳簿”可被修改成“允許李四讀機密帳簿”。

網絡中的主要攻擊方法9.2網絡安全技術研究的基本問題第二十五頁，共二百零二頁，編輯于2023年，星期三拒絕服務攻擊：破壞設備的正常運行和管理。這種攻擊往往有針對性或特定目標。一個實體抑制發(fā)往特定地址的所有信件，如發(fā)往審計服務器的所有信件。另外一種是將整個網絡擾亂，擾亂的方法是發(fā)送大量垃圾信件使網絡過載，以降低系統(tǒng)性能。

網絡中的主要攻擊方法9.2網絡安全技術研究的基本問題第二十六頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第二十七頁，共二百零二頁，編輯于2023年，星期三網絡安全漏洞與對策的研究網絡信息系統(tǒng)的運行涉及到：計算機硬件與操作系統(tǒng)網絡硬件與網絡軟件數據庫管理系統(tǒng)應用軟件網絡通信協(xié)議網絡安全漏洞也會表現在以上幾個方面。9.2網絡安全技術研究的基本問題第二十八頁，共二百零二頁，編輯于2023年，星期三網絡邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲內部、外部泄密網絡安全主要威脅9.2網絡安全技術研究的基本問題第二十九頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第三十頁，共二百零二頁，編輯于2023年，星期三信息存儲安全與信息傳輸安全信息存儲安全如何保證靜態(tài)存儲在連網計算機中的信息不會被未授權的網絡用戶非法使用；信息傳輸安全如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊；網絡中的信息安全保密問題9.2網絡安全技術研究的基本問題第三十一頁，共二百零二頁，編輯于2023年，星期三第三十二頁，共二百零二頁，編輯于2023年，星期三設信息是從源地址流向目的地址，那么正常的信息流向是:網絡中的信息安全保密信息源信息目的地9.2網絡安全技術研究的基本問題第三十三頁，共二百零二頁，編輯于2023年，星期三中斷威脅使在用信息系統(tǒng)毀壞或不能使用的攻擊，破壞可用性（availability）。如硬盤等一塊硬件的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等網絡中的信息安全保密信息源信息目的地9.2網絡安全技術研究的基本問題第三十四頁，共二百零二頁，編輯于2023年，星期三偵聽威脅一個非授權方介入系統(tǒng)的攻擊，破壞保密性(confidentiality)。非授權方可以是一個人，一個程序，一臺微機。這種攻擊包括搭線竊聽，文件或程序的不正當拷貝。網絡中的信息安全保密信息源信息目的地9.2網絡安全技術研究的基本問題第三十五頁，共二百零二頁，編輯于2023年，星期三修改威脅一個非授權方不僅介入系統(tǒng)而且在系統(tǒng)中‘瞎搗亂’的攻擊，破壞完整性（integrity）。這些攻擊包括改變數據文件，改變程序使之不能正確執(zhí)行，修改信件內容等。網絡中的信息安全保密信息源信息目的地9.2網絡安全技術研究的基本問題第三十六頁，共二百零二頁，編輯于2023年，星期三偽造威脅一個非授權方將偽造的客體插入系統(tǒng)中，破壞真實性（authenticity）的攻擊。包括網絡中插入假信件，或者在文件中追加記錄等。網絡中的信息安全保密信息源信息目的地9.2網絡安全技術研究的基本問題第三十七頁，共二百零二頁，編輯于2023年，星期三信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完整性技術認證技術數字簽名網絡中的信息安全保密9.2網絡安全技術研究的基本問題第三十八頁，共二百零二頁，編輯于2023年，星期三數據加密與解密將明文變換成密文的過程稱為加密。將密文經過逆變換恢復成明文的過程稱為解密。9.2網絡安全技術研究的基本問題第三十九頁，共二百零二頁，編輯于2023年，星期三密碼學概述1949年之前密碼學是一門藝術。1949-1975年密碼學成為科學。1976年以后密碼學的新方向——公鑰密碼學。密碼學的起源、發(fā)展和現狀第四十頁，共二百零二頁，編輯于2023年，星期三密碼學概述密碼學還不是科學,而是藝術。出現一些密碼算法和加密設備。密碼算法的基本手段出現，針對的是字符。簡單的密碼分析手段出現。主要特點：數據的安全基于算法的保密。第一階段－古典密碼第四十一頁，共二百零二頁，編輯于2023年，星期三Phaistos(費斯托)圓盤，一種直徑約為160mm的粘土圓盤，始于公元前17世紀。表面有明顯字間空格的字母，至今還沒有破解。第一階段－古典密碼密碼學概述第四十二頁，共二百零二頁，編輯于2023年，星期三20世紀早期密碼機密碼學概述第四十三頁，共二百零二頁，編輯于2023年，星期三1883年Kerchoffs(柯克霍夫斯)第一次明確提出了編碼的原則：加密算法應建立在算法的公開不影響明文和密鑰的安全基礎上。這一原則已得到普遍承認，成為判定密碼強度的衡量標準，實際上也成為傳統(tǒng)密碼和現代密碼的分界線。第一階段－古典密碼密碼學概述第四十四頁，共二百零二頁，編輯于2023年，星期三計算機使得基于復雜計算的密碼成為可能。主要特點：數據的安全基于密鑰而不是算法的保密。第二階段1949-1975密碼學概述第四十五頁，共二百零二頁，編輯于2023年，星期三1976年：Diffie-Hellman是第一個公鑰算法,以其發(fā)明者WhitfieldDiffie

和MartinHellman的名字命名。

1977年Rivest,Shamir&Adleman提出了RSA公鑰算法,是目前最廣泛的公鑰加密算法。主要特點:

公鑰密碼使得發(fā)送端和接收端無密鑰傳輸的保密通信成為可能。第三階段1976年以后密碼學概述第四十六頁，共二百零二頁，編輯于2023年，星期三1977年DES正式成為標準。80年代出現“過渡性”的“PostDES”算法。如IDEA,RCx,CAST等90年代對稱密鑰密碼進一步成熟Rijndael,RC6,MARS,Twofish,Serpent等出現。2001年Rijndael成為DES的替代者。第三階段1976年以后密碼學概述第四十七頁，共二百零二頁，編輯于2023年，星期三密碼學(Cryptology):是研究信息系統(tǒng)安全保密的科學。密碼編碼學(Cryptography):主要研究對信息進行編碼,實現對信息的隱蔽密碼分析學(Cryptanalytics):主要研究加密消息的破譯或消息的偽造。第三階段1976年以后密碼學概述第四十八頁，共二百零二頁，編輯于2023年，星期三明文:信息的原始形式(plaintext,記為P)密文:明文經過加密后的形式(ciphertext,記為C)加密:由明文變成密文的過程(enciphering,記為E)解密:由密文變成明文的過程(deciphering,記為D)密鑰:實現E與D的算法(key,記為K)基本概念密碼學概述第四十九頁，共二百零二頁，編輯于2023年，星期三數據加密基本模型密碼學概述第五十頁，共二百零二頁，編輯于2023年，星期三傳統(tǒng)加密方法替換密碼(substitutioncipher)用一組密文字母代替一組明文以隱藏明文，但明文字母的位置不變。換位密碼(permutationcipher)采用移位法進行加密。將明文中字母重新排列，本身不變，但位置變了。第五十一頁，共二百零二頁，編輯于2023年，星期三破譯以下密文：P=computersystemsC=FRPSXWHUVBVWHPV加密算法：F(a)=(a+k)modna:表示明文字母、n:表示字符集中字母個數、k:為密鑰密碼表:k=3

P=ABCDEFGHIJKLMNOPQRSTUVWXYZC=defghijklmnopqrstuvwxyzabc替換密碼-單表替換密碼(凱撒密碼)傳統(tǒng)加密方法第五十二頁，共二百零二頁，編輯于2023年，星期三單字母密碼（簡單替換技術）簡單，便于記憶缺點：結構過于簡單，密碼分析員只使用很少的信息就可預言加密的整個結構。凱撒密碼特點傳統(tǒng)加密方法第五十三頁，共二百零二頁，編輯于2023年，星期三破譯以下密文：P=computersystemsC=YZXLFEACDUDEAXD加密算法：F(a)=(a+Bi)modn(i=1,2,…,n)a:表示明文字母、n:表示字符集中字母個數、k:為密鑰密碼表:

k=wll

P=COMPUTERSYSTEMSK=wllwllwllwllwll替換密碼-多表替換密碼(費杰爾密碼)傳統(tǒng)加密方法第五十四頁，共二百零二頁，編輯于2023年，星期三費杰爾密碼表ABCDEFGHIJKLMNOPQRSTUVWXAabcdefghijklmnopqrstuvwxBbcdefghijklmnopqrstuvwxYCcdefghijklmnopqrstuvwxyzDdefghijklmnopqrstuvwxyzaEefghijklmnopqrstuvwxyzabLlmnopqrstuvwxyzabcdefghiWwxyzabcdefghijklmnopqrsT傳統(tǒng)加密方法第五十五頁，共二百零二頁，編輯于2023年，星期三破譯以下密文：P=computersystemsc1c2c3c4c5c6c7c8c9c10c11c12c13c14c15C=c1,c6,c11,c2,c7,c12……Key=5換位密碼-列換位法傳統(tǒng)加密方法第五十六頁，共二百零二頁，編輯于2023年，星期三數據的安全基于密鑰而不是算法的保密?？偨Y傳統(tǒng)加密方法第五十七頁，共二百零二頁，編輯于2023年，星期三數據加密標準DES與IDEA1973年5月15日,國家標準局(NBS)開始公開征集標準加密算法,并公布了它的設計要求:(1)算法必須提供高度的安全性(2)算法必須有詳細的說明,并易于理解(3)算法的安全性取決于密鑰,不依賴于算法(4)算法適用于所有用戶(5)算法適用于不同應用場合(6)算法必須高效、經濟(7)算法必須能被證實有效(8)算法必須是可出口的DES(DataEncryptionStandard)第五十八頁，共二百零二頁，編輯于2023年，星期三1974年8月27日,NBS開始第二次征集,IBM提交了算法LUCIFER，該算法由IBM的工程師在1971~1972年研制。1975年3月17日,NBS公開了全部細節(jié)。1976年,NBS指派了兩個小組進行評價。1976年11月23日，采納為聯邦標準，批準用于非軍事場合的各種政府機構。1977年1月15日,“數據加密標準”FIPSPUB46發(fā)布。DES(DataEncryptionStandard)數據加密標準DES與IDEA第五十九頁，共二百零二頁，編輯于2023年，星期三1979年，美國銀行協(xié)會批準使用。1980年，美國國家標準局（ANSI）贊同DES作為私人使用的標準,稱之為DEA（ANSIX.392）。1983年，國際化標準組織ISO贊同DES作為國際標準稱之為DEA-1。該標準規(guī)定每五年審查一次，計劃十年后采用新標準。最近的一次評估是在1994年1月，已決定1998年12月以后，DES將不再作為聯邦加密標準。DES(DataEncryptionStandard)數據加密標準DES與IDEA第六十頁，共二百零二頁，編輯于2023年，星期三DES總共經過16輪的替代和換位。當用56位密鑰時，可能的組合大于7.2＊106種。DES算法是對稱的，既可用于加密也可用于解密。DES(DataEncryptionStandard)數據加密標準DES與IDEA第六十一頁，共二百零二頁，編輯于2023年，星期三早在1977年，Diffie和Hellman已建議制造一個每秒能測試100萬個密鑰的VLSI芯片。每秒測試100萬個密鑰的機器大約需要一天就可以搜索整個密鑰空間。他們估計制造這樣的機器大約需要2000萬美元。在CRYPTO’93上，Session和Wiener給出了一個非常詳細的密鑰搜索機器的設計方案，這個機器基于并行運算的密鑰搜索芯片，所以16次加密能同時完成。此芯片每秒能測試5000萬個密鑰，用5760個芯片組成的系統(tǒng)需要花費10萬美元，它平均用1.5天左右就可找到DES密鑰。DES的破解數據加密標準DES與IDEA第六十二頁，共二百零二頁，編輯于2023年，星期三1997年1月28日，美國的RSA數據安全公司在RSA安全年會上公布了一項“秘密密鑰挑戰(zhàn)”競賽，其中包括懸賞1萬美元破譯密鑰長度為56比特的DES。美國克羅拉多洲的程序員Verser從1997年2月18日起，用了96天時間，在Internet上數萬名志愿者的協(xié)同工作下，成功地找到了DES的密鑰，贏得了懸賞的1萬美元。1998年7月電子前沿基金會（EFF）使用一臺25萬美圓的電腦在56小時內破譯了56比特密鑰的DES。1999年1月RSA數據安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。DES的破解數據加密標準DES與IDEA第六十三頁，共二百零二頁，編輯于2023年，星期三1990年瑞士聯邦技術學院的來學嘉和Massey提出，PES，91年修訂，92公布細節(jié)64位分組,128位密鑰設計目標從兩個方面考慮加密強度易實現性IDEA(internationaldataencryptionalgorithm)數據加密標準DES與IDEA第六十四頁，共二百零二頁，編輯于2023年，星期三IDEA算法被認為是當前最好的、最為安全的。IDEA相對DES算法有很大的提高，其密鑰為128位。假設一以計算機每秒產生和運行10億個密鑰，它將檢測1013年（10兆年）IDEA(internationaldataencryptionalgorithm)數據加密標準DES與IDEA第六十五頁，共二百零二頁，編輯于2023年，星期三公開密鑰加密算法公開密鑰算法是非對稱算法，即密鑰分為公鑰(pk)和私鑰(sk)，因此稱雙密鑰體制。雙鑰體制的公鑰可以公開，因此也稱公鑰算法。公鑰算法的出現，給密碼的發(fā)展開辟了新的方向。公鑰算法雖然已經歷了20多年的發(fā)展，但仍具有強勁的發(fā)展勢頭，在鑒別系統(tǒng)和密鑰交換等安全技術領域起著關鍵的作用。簡介第六十六頁，共二百零二頁，編輯于2023年，星期三公鑰算法是由Diffie和Hellman提出來的。該算法的加密與解密的密鑰是不同的。加密密鑰可以公之于眾，誰都可以用；而解密密鑰只有解密人知道。分別稱為公鑰(pk)和私鑰(sk)算法要求:(1)D(E(P));(2)由E來推斷D極其困難

(3)用已選定的明文進行分析，不能破譯E公開密鑰算法的提出公開密鑰加密算法第六十七頁，共二百零二頁，編輯于2023年，星期三基于公開密鑰的加密過程公開密鑰加密算法第六十八頁，共二百零二頁，編輯于2023年，星期三數字簽名要求:(1)接收者能夠核實發(fā)送者對報文的簽名(2)發(fā)送者事后不能抵賴對報文的簽名(3)接收者不能偽造對報文的簽名使用公開密鑰算法進行數字簽名公開密鑰加密算法第六十九頁，共二百零二頁，編輯于2023年，星期三基于公開密鑰的數字簽名過程公開密鑰加密算法第七十頁，共二百零二頁，編輯于2023年，星期三不對稱密鑰密碼體制(即公開密鑰密碼體制)比對稱密鑰密碼體制的運算量大，超過后者幾百倍、幾千倍甚至上萬倍。在傳送機密信息時我們可以同時使用這兩類密碼體制。即使用DES高速簡便性和RSA密鑰管理的方便與安全性。RSA算法是迄今為止最為成熟完善的一種公開密鑰體制。RSA算法現有：RC2、RC4、RC5、RC6幾個版本。RSA密碼系統(tǒng)的安全性公開密鑰加密算法第七十一頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第七十二頁，共二百零二頁，編輯于2023年，星期三防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為；對網絡與信息安全有害的行為包括：有意或無意地泄露網絡用戶或網絡管理員口令；繞過防火墻，私自和外部網絡連接，造成系統(tǒng)安全漏洞；越權查看、修改和刪除系統(tǒng)文件、應用程序及數據；越權修改網絡系統(tǒng)配置，造成網絡工作不正常；網絡內部安全防范問題9.2網絡安全技術研究的基本問題第七十三頁，共二百零二頁，編輯于2023年，星期三解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手：技術方面：通過網絡管理軟件隨時監(jiān)控網絡運行狀態(tài)與用戶工作狀態(tài)。管理方面：對重要資源(如主機、數據庫、磁盤等)使用狀態(tài)進行記錄與審計。同時，制定和不斷完善網絡使用和管理制度，加強用戶的培訓與管理，提高安全意識。網絡內部安全防范問題9.2網絡安全技術研究的基本問題第七十四頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第七十五頁，共二百零二頁，編輯于2023年，星期三目前，70%的病毒發(fā)生在計算機網絡上；連網微型機病毒的傳播速度是單機的20倍，網絡服務器消除病毒所花的時間是單機的40倍；電子郵件病毒可以輕易地使用戶的計算機癱瘓，有些網絡病毒甚至會破壞系統(tǒng)硬件。網絡防病毒問題9.2網絡安全技術研究的基本問題第七十六頁，共二百零二頁，編輯于2023年，星期三因此網絡防病毒是保護網絡與信息安全的重要問題之一。需要工作站和服務器兩個方面的防病毒技術及對用戶的管理來解決。網絡防病毒問題9.2網絡安全技術研究的基本問題第七十七頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數據備份與恢復、災難恢復問題第七十八頁，共二百零二頁，編輯于2023年，星期三如果出現網絡故障造成數據丟失，數據能不能被恢復？如果出現網絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數據能不能恢復？重要的數據價值連城，一但丟失后果不可估計。網絡數據備份與恢復、災難恢復問題9.2網絡安全技術研究的基本問題第七十九頁，共二百零二頁，編輯于2023年，星期三要理解網絡安全防不勝防！數據備份與恢復是網絡安全中的重之之重!因此，一個實用的網絡信息系統(tǒng)中必須有網絡數據備份、恢復手段和災難恢復策略與實現方法。網絡數據備份與恢復、災難恢復問題9.2網絡安全技術研究的基本問題第八十頁，共二百零二頁，編輯于2023年，星期三9.2網絡安全技術研究的基本問題9.2.1構成網絡安全的主要因素9.2.2網絡安全服務的主要內容9.2.3網絡安全標準第八十一頁，共二百零二頁，編輯于2023年，星期三完整地考慮網絡安全因包括三個方面的內容：安全攻擊（SecurityAttack）安全機制（SecurityMechanism）安全服務（SecurityService）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第八十二頁，共二百零二頁，編輯于2023年，星期三網絡安全服務應該提供的基本服務功能：數據保密（dataconfidentiality）認證（authentication）數據完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第八十三頁，共二百零二頁，編輯于2023年，星期三為了防止網絡被攻擊而對網絡中傳輸的信息進行保護。最廣泛的服務是保護兩個用戶之間在一段時間傳送的所有數據，也可以對某一字段進行保護。構建VPN的需要。修筑加密通道，防止搭線竊聽和冒名入侵。保密性(Confidentiality)9.2網絡安全技術研究的基本問題第八十四頁，共二百零二頁，編輯于2023年，星期三網絡安全服務應該提供的基本服務功能：數據保密（dataconfidentiality）認證（authentication）數據完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第八十五頁，共二百零二頁，編輯于2023年，星期三標識鑒別是對主體的識別和證明，特別防止第三者的冒名頂替，保證真實性。鑒別主要包括：標識鑒別和數據鑒別。數據鑒別是對客體的鑒別，主要檢查主體對客體的負責性，防止冒名偽造的數據：1）發(fā)方是真實的（客戶）2）收方是真實的（服務器）3）數據源和目的地也是真實的鑒別性(authentication)9.2網絡安全技術研究的基本問題第八十六頁，共二百零二頁，編輯于2023年，星期三網絡安全服務應該提供的基本服務功能：數據保密（dataconfidentiality）認證（authentication）數據完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第八十七頁，共二百零二頁，編輯于2023年，星期三可以保證接收方所接收的信息流、單個信息流或信息中指定的字段與發(fā)送方所發(fā)送的信息是一致的。完整性可分為以下兩類:有恢復服務無恢復服務完整性(integrity)9.2網絡安全技術研究的基本問題第八十八頁，共二百零二頁，編輯于2023年，星期三可恢復的連接完整性：該服務對一個連接上的所有用戶數據的完整性提供保障，而且對任何服務數據單元的修改、插入、刪除或重放都可使之復原。無恢復的連接完整性：該服務除了不具備恢復功能之外，其余同前。9.2網絡安全技術研究的基本問題完整性(integrity)第八十九頁，共二百零二頁，編輯于2023年，星期三網絡安全服務應該提供的基本服務功能：數據保密（dataconfidentiality）認證（authentication）數據完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第九十頁，共二百零二頁，編輯于2023年，星期三用來保證收發(fā)雙方不能對已發(fā)送或已接收的信息予以否認。為作到這一點，發(fā)放發(fā)送信息時要有發(fā)方的簽名，收方應發(fā)收方簽名的回執(zhí)。不得否認發(fā)送：這種服務向數據接收者提供數據源的證據，從而可防止發(fā)送者否認發(fā)送過這個數據。不得否認接收：這種服務向數據發(fā)送者提供數據已交付給接收者的證據，因而接收者事后不能否認曾收到此數據。?

不可否認性(nonrepudiation)9.2網絡安全技術研究的基本問題第九十一頁，共二百零二頁，編輯于2023年，星期三網絡安全服務應該提供的基本服務功能：數據保密（dataconfidentiality）認證（authentication）數據完整（dataintegrity）防抵賴（non-repudiation）訪問控制（accesscontrol）9.2.2網絡安全服務的主要內容9.2網絡安全技術研究的基本問題第九十二頁，共二百零二頁，編輯于2023年，星期三訪問控制是按事先確定的規(guī)則決定主體對客體的訪問是否合法。當一個主體試圖非法使用一個未經授權使用的客體時，該機制將拒絕這一企圖，并附帶向審計跟蹤系統(tǒng)報告這一事件。審計跟蹤系統(tǒng)將產生報警信號或形成部分追蹤審計信息。訪問控制(Accesscontrol)9.2網絡安全技術研究的基本問題第九十三頁，共二百零二頁，編輯于2023年，星期三9.2.1構成網絡安全的主要因素9.2.2網絡安全服務的主要內容9.2.3網絡安全標準9.2網絡安全技術研究的基本問題第九十四頁，共二百零二頁，編輯于2023年，星期三《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關于維護互聯網安全決定》，全國人民代表大會常務委員會通過，2000年12月主要的網絡安全標準9.2網絡安全技術研究的基本問題第九十五頁，共二百零二頁，編輯于2023年，星期三可信計算機系統(tǒng)評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網絡說明（TNI）；可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高安全級別的分類9.2網絡安全技術研究的基本問題第九十六頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念本章學習要求第九十七頁，共二百零二頁，編輯于2023年，星期三9.3.1網絡安全策略與網絡用戶的關系9.3.2制定網絡安全策略的兩種思想9.3.3網絡用戶組成、網點結構與網絡安全策略的關系9.3.4網絡安全教育與網絡安全策略9.3.5網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第九十八頁，共二百零二頁，編輯于2023年，星期三9.3網絡安全策略的設計企業(yè)內部網有哪些網絡資源與服務需要提供給外部用戶訪問？企業(yè)內部用戶有哪些需要訪問外部網絡資源與服務？可能對網絡資源與服務安全性構成威脅的因素有哪些？哪些資源需要重點保護？可以采取什么方法進行保護？發(fā)現網絡受到攻擊之后如何處理？提出問題第九十九頁，共二百零二頁，編輯于2023年，星期三網絡安全策略包括技術與制度兩個方面。只有將二者結合起來，才能有效保護網絡資源不受破壞。

在制定網絡安全策略時，一定要注意限制的范圍。網絡安全策略與網絡用戶的關系9.3網絡安全策略的設計第一百頁，共二百零二頁，編輯于2023年，星期三網絡安全策略首先要保證用戶能有效地完成各自的任務同時，也不要引發(fā)用戶設法繞過網絡安全系統(tǒng)，鉆網絡安全系統(tǒng)空子的現象。一個好的網絡安全策略應能很好地解決網絡使用與網絡安全的矛盾，應該使網絡管理員與網絡用戶都樂于接受與執(zhí)行。網絡安全策略與網絡用戶的關系9.3網絡安全策略的設計第一百零一頁，共二百零二頁，編輯于2023年，星期三9.3.1網絡安全策略與網絡用戶的關系9.3.2制定網絡安全策略的兩種思想9.3.3網絡用戶組成、網點結構與網絡安全策略的關系9.3.4網絡安全教育與網絡安全策略9.3.5網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百零二頁，共二百零二頁，編輯于2023年，星期三制定網絡安全策略的兩種思想： (1)凡是沒有明確表示允許的就要被禁止 (2)凡是沒有明確表示禁止的就要被允許制定網絡安全策略的兩種思想9.3網絡安全策略的設計第一百零三頁，共二百零二頁，編輯于2023年，星期三在網絡安全策略上一般采用第一種方法，明確地限定用戶在網絡中訪問的權限與能夠使用的服務。符合于規(guī)定用戶在網絡訪問“最小權限”的原則，給予用戶能完成任務所“必要”的訪問權限與可以使用的服務類型，又便于網絡的管理。制定網絡安全策略的兩種思想9.3網絡安全策略的設計第一百零四頁，共二百零二頁，編輯于2023年，星期三9.3.1網絡安全策略與網絡用戶的關系9.3.2制定網絡安全策略的兩種思想9.3.3網絡用戶組成、網點結構與網絡安全策略的關系9.3.4網絡安全教育與網絡安全策略9.3.5網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百零五頁，共二百零二頁，編輯于2023年，星期三要維護網絡系統(tǒng)的有序運行，還必須規(guī)定網絡管理員與網絡用戶各自的責任。網絡安全問題來自外部、內部兩個方面。網絡用戶組成、網點結構與網絡安全策略的關系9.3網絡安全策略的設計第一百零六頁，共二百零二頁，編輯于2023年，星期三任何一個網點的內部網絡安全策略的變化都會影響到另一個相關網點用戶的使用，這就存在多個網點之間的網絡安全與管理的協(xié)調問題。多個網點之間要相互訪問，因此帶來了內部用戶與外部用戶兩方面的管理問題。網絡用戶組成、網點結構與網絡安全策略的關系9.3網絡安全策略的設計第一百零七頁，共二百零二頁，編輯于2023年，星期三9.3.1網絡安全策略與網絡用戶的關系9.3.2制定網絡安全策略的兩種思想9.3.3網絡用戶組成、網點結構與網絡安全策略的關系9.3.4網絡安全教育與網絡安全策略9.3.5網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百零八頁，共二百零二頁，編輯于2023年，星期三網絡安全應從以下兩個方面加以解決：(1)要求網絡管理員與網絡用戶能夠嚴格地遵守網絡管理規(guī)定與網絡使用方法，正確地使用網絡。(2)要求從技術上對網絡資源進行保護。網絡安全教育與網絡安全策略9.3網絡安全策略的設計第一百零九頁，共二百零二頁，編輯于2023年，星期三如果網絡管理員與網絡用戶不能嚴格遵守網絡管理條例與使用方法，再嚴密的防火墻、加密技術也無濟于事。必須正確地解決網絡安全教育與網絡安全制度之間的關系，切實做好網絡管理人員與網絡用戶的正確管理與使用網絡的培訓，從正面加強網絡安全教育。網絡安全教育與網絡安全策略9.3網絡安全策略的設計第一百一十頁，共二百零二頁，編輯于2023年，星期三9.3.1網絡安全策略與網絡用戶的關系9.3.2制定網絡安全策略的兩種思想9.3.3網絡用戶組成、網點結構與網絡安全策略的關系9.3.4網絡安全教育與網絡安全策略9.3.5網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百一十一頁，共二百零二頁，編輯于2023年，星期三Internet網點與Intranet網點的網絡管理中心的網絡管理員，對網點的日常網絡管理、網絡安全策略與使用制度的修改和發(fā)布負有全部責任。當網點的網絡安全策略的修改涉及其他網點時，相關網點的網絡管理員之間需要通過協(xié)商，協(xié)調網絡管理、網絡安全策略與使用制度的修改問題。網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百一十二頁，共二百零二頁，編輯于2023年，星期三網絡管理中心應該定期或不定期地發(fā)布網點的網絡安全策略、網絡資源、網絡服務與網絡使用制度的變化情況。網絡安全策略的修改、完善與網絡安全制度的發(fā)布9.3網絡安全策略的設計第一百一十三頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念本章學習要求第一百一十四頁，共二百零二頁，編輯于2023年，星期三9.4.1網絡資源的定義9.4.2網絡使用與責任的定義9.4.3用戶責任的定義9.4.4網絡管理員責任的定義9.4.5網絡受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百一十五頁，共二百零二頁，編輯于2023年，星期三9.4網絡安全策略制定的方法與基本內容設計網絡安全策略需要回答以下問題：打算要保護哪些網絡資源？哪類網絡資源可以被哪些用戶使用？什么樣的人可能對網絡構成威脅？如何保證能可靠及時地實現對重要資源的保護？在網絡狀態(tài)變化時，誰來負責調整網絡安全策略？設計網絡策略應注意的問題第一百一十六頁，共二百零二頁，編輯于2023年，星期三分析網絡中有哪些資源是重要的，什么人可以使用這些資源，哪些人可能會對資源構成威脅，以及如何保護這些資源。這是設計網絡安全策略的第一步工作，并將研究結果用網絡資源調查表的形式記錄下來。網絡資源的定義9.4網絡安全策略制定的方法與基本內容第一百一十七頁，共二百零二頁，編輯于2023年，星期三對可能對網絡資源構成威脅的因素下定義，以確定可能造成信息丟失和破壞的潛在因素，確定威脅的類型。了解對網絡資源安全構成威脅的來源與類型，才能針對這些問題提出保護方法。網絡資源的定義9.4網絡安全策略制定的方法與基本內容第一百一十八頁，共二百零二頁，編輯于2023年，星期三9.4.1網絡資源的定義9.4.2網絡使用與責任的定義9.4.3用戶責任的定義9.4.4網絡管理員責任的定義9.4.5網絡受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百一十九頁，共二百零二頁，編輯于2023年，星期三定義網絡使用與責任定義需要回答以下問題：允許哪些用戶使用網絡資源？允許用戶對網絡資源進行哪些操作？誰來批準用戶的訪問權限？誰具有系統(tǒng)用戶的訪問權限？網絡用戶與網絡管理員的權利、責任是什么？網絡使用與責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十頁，共二百零二頁，編輯于2023年，星期三誰可以使用網絡資源之前，需要確定兩件事： 確定用戶類型 確定哪些資源對哪一類用戶可以使用及如何使用誰可以使用網絡資源同時，需確定以下問題： 誰可以授權分配用戶的訪問權限？ 誰來管理與控制用戶的訪問權限？ 采取什么方法去創(chuàng)建用戶帳戶與終止用戶帳戶？網絡使用與責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十一頁，共二百零二頁，編輯于2023年，星期三網絡使用制度在制定中要注意的問題:帳戶是否有可能被破壞？用戶密碼是否有可能被破譯？是否允許用戶共享帳戶？如果授權多個用戶都能訪問某類資源，實際上用戶是否真的能獲得這種權利？網絡服務是否會出現混亂？網絡使用與責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十二頁，共二百零二頁，編輯于2023年，星期三限定網絡用戶訪問權限的原則：平衡需求與安全的矛盾，在能滿足網絡用戶基本工作要求的前提下，授予用戶最小訪問權限。為了正確分配用戶權限應建立“用戶對系統(tǒng)與網絡資源訪問權限表”網絡使用與責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十三頁，共二百零二頁，編輯于2023年，星期三9.4.1網絡資源的定義9.4.2網絡使用與責任的定義9.4.3用戶責任的定義9.4.4網絡管理員責任的定義9.4.5網絡受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百二十四頁，共二百零二頁，編輯于2023年，星期三用戶責任主要是保證用戶能訪問哪些網絡資源與能使用哪些網絡服務。網絡攻擊者要入侵網絡，第一關是要通過網絡訪問控制的用戶身份認證系統(tǒng)。用戶責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十五頁，共二百零二頁，編輯于2023年，星期三保護用戶口令主要需要注意兩個問題: (1)是選擇口令 (2)是保證口令不被泄露，并且不容易被破譯網絡用戶在選擇自己的口令時，應該盡量避免使用自己與親人的名字、生日、身份證號、電話號碼等容易被攻擊者猜測的字符或數字序列。用戶責任的定義9.4網絡安全策略制定的方法與基本內容第一百二十六頁，共二百零二頁，編輯于2023年，星期三用戶只使用允許使用的網絡資源與服務，不能采用不正當手段使用不應使用的資源。用戶了解在不經允許讓其他用戶使用他的賬戶后可能造成的危害與他應該承擔的責任。用戶了解告訴他人自己的賬戶密碼或無意泄露賬戶密碼后可能造成的后果以及用戶要承擔的責任。用戶責任主要包括以下基本內容9.4網絡安全策略制定的方法與基本內容第一百二十七頁，共二百零二頁，編輯于2023年，星期三用戶了解為什么需要定期或不定期地更換賬戶密碼。明確用戶數據是用戶自己負責備份，還是由網絡管理員統(tǒng)一備份，凡屬于用戶自己負責備份的數據，用戶必須按規(guī)定執(zhí)行備份操作。明白泄露信息可能危及網絡系統(tǒng)安全，了解個人行為與系統(tǒng)安全的關系。

用戶責任主要包括以下基本內容9.4網絡安全策略制定的方法與基本內容第一百二十八頁，共二百零二頁，編輯于2023年，星期三9.4.1網絡資源的定義9.4.2網絡使用與責任的定義9.4.3用戶責任的定義9.4.4網絡管理員責任的定義9.4.5網絡受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百二十九頁，共二百零二頁，編輯于2023年，星期三網絡管理員對網絡系統(tǒng)安全負有重要的責任；網絡管理員需要對網絡結構、網絡資源分布、網絡用戶類型與權限以及網絡安全檢測方法有更多知識。網絡管理員責任的定義9.4網絡安全策略制定的方法與基本內容第一百三十頁，共二百零二頁，編輯于2023年，星期三對網絡管理員的口令嚴格保密:網絡管理員在建立網絡文件系統(tǒng)、用戶系統(tǒng)、管理系統(tǒng)與安全系統(tǒng)方面有特殊的權力，網絡管理員口令的泄露對網絡安全會構成極其嚴重的威脅。

對網絡系統(tǒng)運行狀態(tài)要隨時進行嚴格的監(jiān)控:網絡管理員必須利用各種網絡運行狀態(tài)監(jiān)測軟件與設備，對網絡系統(tǒng)運行狀態(tài)進行監(jiān)視、記錄與處理。網絡管理員應該注意的幾個問題9.4網絡安全策略制定的方法與基本內容第一百三十一頁，共二百零二頁，編輯于2023年，星期三對網絡系統(tǒng)安全狀況進行嚴格的監(jiān)控:了解網絡系統(tǒng)所使用的系統(tǒng)軟件、應用軟件，以及硬件中可能存在的安全漏洞，了解在其他網絡系統(tǒng)中出現的各種新的安全事件，監(jiān)視網絡關鍵設備、網絡文件系統(tǒng)與各種網絡服務的工作狀態(tài)，審計狀態(tài)記錄，發(fā)現疑點問題與不安全因素立即處理。網絡管理員應該注意的幾個問題9.4網絡安全策略制定的方法與基本內容第一百三十二頁，共二百零二頁，編輯于2023年，星期三9.4.1網絡資源的定義9.4.2網絡使用與責任的定義9.4.3用戶責任的定義9.4.4網絡管理員責任的定義9.4.5網絡受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百三十三頁，共二百零二頁，編輯于2023年，星期三網絡安全與網絡使用是一對矛盾，網絡安全策略就是要在兩者之間尋求一種折衷的方案。網絡安全全要依靠網絡使用和網絡安全技術的結合來實現。網絡安全受到威脅時的行動方案是網絡安全策略設計的重要內容。網絡安全受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百三十四頁，共二百零二頁，編輯于2023年，星期三對網絡安全造成危害的類型:由于疏忽造成的危害由于操作失誤造成的危害由于對網絡安全制度無知造成的危害由于有人故意破壞造成的危害網絡安全受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百三十五頁，共二百零二頁，編輯于2023年，星期三網絡安全遭到破壞是的基本行動方案:保護方式跟蹤方式網絡安全受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百三十六頁，共二百零二頁，編輯于2023年，星期三當網絡管理員發(fā)現網絡安全遭到破壞時，立即制止非法入侵者的活動，恢復網絡的正常工作狀態(tài)，并進一步分析這次安全事故的性質與原因，盡量減少這次安全事故造成的損害。適合以下情況： 闖入者的活動將要造成很大危險 跟蹤闖入者活動的代價太大 從技術上跟蹤闖入者的活動很難實現保護方式9.4網絡安全策略制定的方法與基本內容第一百三十七頁，共二百零二頁，編輯于2023年，星期三網絡安全遭到破壞是的基本行動方案:保護方式跟蹤方式網絡安全受到威脅時的行動方案9.4網絡安全策略制定的方法與基本內容第一百三十八頁，共二百零二頁，編輯于2023年，星期三發(fā)現網絡存在非法入侵者的活動時，不是立即制止入侵者的活動，而是采取措施跟蹤非法入侵者的活動，檢測非法入侵者的來源、目的、非法訪問的網絡資源，判斷非法入侵的危害，確定處理此類非法入侵活動的方法。適合以下情況： 被攻擊的網絡資源目標十分明確 已存在一個多次入侵某種網絡資源的闖入者 已經找到一種可以控制闖入者的方法 闖入者的短期活動不至于立即造成重大損失跟蹤方式9.4網絡安全策略制定的方法與基本內容第一百三十九頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念

本章學習要求第一百四十頁，共二百零二頁，編輯于2023年，星期三9.5.1訪問點9.5.2系統(tǒng)配置9.5.3軟件缺陷9.5.4內部威脅9.5.5物理安全性9.5網絡安全問題的鑒別第一百四十一頁，共二百零二頁，編輯于2023年，星期三網絡安全鑒別就是尋找網絡安全的薄弱環(huán)節(jié)，然后在針對具體問題，采取適當的保護措施。鑒別網絡安全是一項基礎性工作。9.5網絡安全問題的鑒別什么是網絡安全鑒別第一百四十二頁，共二百零二頁，編輯于2023年，星期三鑒別網絡安全問題可以從5個方面進行：訪問點（accesspoints）系統(tǒng)配置（systemconfiguration）軟件缺陷（softwarebugs）內部威脅（insiderthreats）物理安全性（physicalsecurity）

9.5網絡安全問題的鑒別如何鑒別網絡安全第一百四十三頁，共二百零二頁，編輯于2023年，星期三任何一個網絡系統(tǒng)與外部用戶的每個連接點都是一個訪問點，同時也可能是闖入者進入網絡系統(tǒng)的入口。一些潛在的、可能會成為新的訪問點，將會造成網絡安全問題的潛在性危險。9.5網絡安全問題的鑒別訪問點第一百四十四頁，共二百零二頁，編輯于2023年，星期三網絡訪問點的結構9.5網絡安全問題的鑒別第一百四十五頁，共二百零二頁，編輯于2023年，星期三9.5.1訪問點9.5.2系統(tǒng)配置9.5.3軟件缺陷9.5.4內部威脅9.5.5物理安全性9.5網絡安全問題的鑒別第一百四十六頁，共二百零二頁，編輯于2023年，星期三闖入者如果要破壞網絡系統(tǒng)并使網絡癱瘓，他們攻擊的主要目標是網絡服務器。修改主機的配置是最重要的的手段之一。多數闖入者是通過盜用合法的管理員的用戶名與口令，或通過系統(tǒng)漏洞來提升訪問權限，對主機配置文件進行修改。9.5網絡安全問題的鑒別系統(tǒng)配置第一百四十七頁，共二百零二頁，編輯于2023年，星期三因此，嚴格檢查網絡服務器主機配置、保護網絡管理員的用戶名與口令至關重要。9.5網絡安全問題的鑒別系統(tǒng)配置第一百四十八頁，共二百零二頁，編輯于2023年，星期三9.5.1訪問點9.5.2系統(tǒng)配置9.5.3軟件缺陷9.5.4內部威脅9.5.5物理安全性9.5網絡安全問題的鑒別第一百四十九頁，共二百零二頁，編輯于2023年，星期三軟件必然存在缺席。闖入者可能會通過這些缺陷進行信息竊取、篡改等活動。管理員必須了解網絡操作系統(tǒng)與應用軟件的缺陷，針對這些缺陷提出安全保護措施。9.5網絡安全問題的鑒別軟件缺陷第一百五十頁，共二百零二頁，編輯于2023年，星期三主要措施：及時更新軟件版本及時更新系統(tǒng)補丁減少提供服務的種類建立完整的備份機制9.5網絡安全問題的鑒別軟件缺陷第一百五十一頁，共二百零二頁，編輯于2023年，星期三9.5.1訪問點9.5.2系統(tǒng)配置9.5.3軟件缺陷9.5.4內部威脅9.5.5物理安全性9.5網絡安全問題的鑒別第一百五十二頁，共二百零二頁，編輯于2023年，星期三大多數的安全威脅來自于內部。加強對內部用戶的管理與控制非常重要。加強對用戶的網絡安全教育，提升用戶自身的安全意識。建立完善的網絡管理制度。9.5網絡安全問題的鑒別內部威脅第一百五十三頁，共二百零二頁，編輯于2023年，星期三9.5.1訪問點9.5.2系統(tǒng)配置9.5.3軟件缺陷9.5.4內部威脅9.5.5物理安全性9.5網絡安全問題的鑒別第一百五十四頁，共二百零二頁，編輯于2023年，星期三網絡物理安全涉及網絡服務器、工作站、路由器、網橋、交換機、終端服務器、通信線路、磁盤、共享打印機等。建立相應的管理制度，分析物理安全性可能出現的問題及相應保護措施。9.5網絡安全問題的鑒別物理安全性第一百五十五頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念

本章學習要求第一百五十六頁，共二百零二頁，編輯于2023年，星期三9.6.1防火墻的基本概念9.6.2防火墻的主要類型9.6.3主要的防火墻產品9.6網絡防火墻技術第一百五十七頁，共二百零二頁，編輯于2023年，星期三防火墻是在網絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。防火墻是保護網絡安全最主要的手段。9.6網絡防火墻技術防火墻的基本概念第一百五十八頁，共二百零二頁，編輯于2023年，星期三防火墻的位置一定是在內部網絡與外部網絡之間。防火墻的功能： 防火墻通過檢查所有進出內部網絡的數據包，檢查數據包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界。防火墻的位置與作用9.6網絡防火墻技術第一百五十九頁，共二百零二頁，編輯于2023年，星期三防火墻的位置與作用9.6網絡防火墻技術第一百六十頁，共二百零二頁，編輯于2023年，星期三9.6.1防火墻的基本概念9.6.2防火墻的主要類型9.6.3主要的防火墻產品9.6網絡防火墻技術第一百六十一頁，共二百零二頁，編輯于2023年，星期三構成防火墻系統(tǒng)的兩個基本類型是： 包過濾路由器（packetfilteringrouter） 應用級網關（applicationgateway）最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網關組合而成。由于組合方式有多種，因此防火墻系統(tǒng)的結構也有多種形式。防火墻的主要類型9.6網絡防火墻技術第一百六十二頁，共二百零二頁，編輯于2023年，星期三包過濾路由器按照系統(tǒng)內部設置的包過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉發(fā)。包過濾規(guī)則一般是基于部分或全部報頭的內容。例如，對于TCP報頭信息可以是：源IP地址、目的IP地址、協(xié)議類型、IP選項內容、源TCP端口號、目的TCP端口號、TCPACK標識等。包過濾路由器9.6網絡防火墻技術第一百六十三頁，共二百零二頁，編輯于2023年，星期三包過濾路由器的結構9.6網絡防火墻技術第一百六十四頁，共二百零二頁，編輯于2023年，星期三構成防火墻系統(tǒng)的兩個基本類型是： 包過濾路由器（packetfilteringrouter） 應用級網關（applicationgateway）最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網關組合而成。由于組合方式有多種，因此防火墻系統(tǒng)的結構也有多種形式。防火墻的主要類型9.6網絡防火墻技術第一百六十五頁，共二百零二頁，編輯于2023年，星期三多歸屬主機又稱為多宿主主機雙歸屬主機應用代理應用級網關類型9.6網絡防火墻技術第一百六十六頁，共二百零二頁，編輯于2023年，星期三它具有兩個或兩個以上的網絡接口，每個網絡接口與一個網絡連接，具有在不同網絡之間交換數據的路由能力。如果將多歸屬主機用在應用層的用戶身份認證與服務請求合法性檢查方面，那么這一類可以起到防火墻作用的多歸屬主機就叫應用級網關。多歸屬主機又稱為多宿主主機9.6網絡防火墻技術第一百六十七頁，共二百零二頁，編輯于2023年，星期三多歸屬主機又稱為多宿主主機雙歸屬主機應用代理9.6網絡防火墻技術應用級網關類型第一百六十八頁，共二百零二頁，編輯于2023年，星期三如果多歸屬主機連接了兩個網絡，它可以叫做雙歸屬主機。只要能確定應用程序訪問控制規(guī)則，就可以采用雙歸屬主機作為應用級網關，在應用層過濾進出內部網絡特定服務的用戶請求與響應。網絡防火墻技術雙歸屬主機第一百六十九頁，共二百零二頁，編輯于2023年，星期三應用級網關的結構9.6網絡防火墻技術第一百七十頁，共二百零二頁，編輯于2023年，星期三多歸屬主機又稱為多宿主主機雙歸屬主機應用代理9.6網絡防火墻技術應用級網關類型第一百七十一頁，共二百零二頁，編輯于2023年，星期三是應用級網關的另一種形式，但工作方式不同。應用級網關 是以存儲轉發(fā)方式檢查和確定網絡服務請求的用戶身份是否合法，決定是轉發(fā)還是丟棄該服務請求。

應用代理 完全接管了用戶與服務器的訪問，隔離了用戶主機與被訪問服務器之間的數據包的交換通道。應用代理的功能是由代理服務器(ProxyServer)實現的。網絡防火墻技術應用代理第一百七十二頁，共二百零二頁，編輯于2023年，星期三應用代理的工作原理9.6網絡防火墻技術第一百七十三頁，共二百零二頁，編輯于2023年，星期三優(yōu)點：可以針對某一特定的網絡服務，并能在應用層協(xié)議的基礎上分析與轉發(fā)服務請求與響應。具有日志記錄功能建立與維護較容易缺點：靈活性較差會限制網絡訪問的速度網絡防火墻技術應用級網關與應用代理優(yōu)缺點第一百七十四頁，共二百零二頁，編輯于2023年，星期三9.6.1防火墻的基本概念9.6.2防火墻的主要類型9.6.3主要的防火墻產品9.6網絡防火墻技術第一百七十五頁，共二百零二頁，編輯于2023年，星期三Checkpoint公司的Firewall-1防火墻SonicSystem公司的Sonicwall防火墻NetScreen公司的NetScreen防火墻Alkatel公司的InternetDevice防火墻NAI公司的Gauntlet防火墻主要的防火墻產品9.6網絡防火墻技術第一百七十六頁，共二百零二頁，編輯于2023年，星期三了解：網絡安全的重要性掌握：網絡安全技術研究的基本問題掌握：網絡安全策略設計掌握：網絡安全策略制定的方法與基本內容了解：網絡安全問題的鑒別的基本概念掌握：網絡防火墻的基本概念了解：網絡文件的備份與恢復的基本方法了解：網絡防病毒的基本方法掌握：網絡管理的基本概念

本章學習要求第一百七十七頁，共二百零二頁，編輯于2023年，星期三9.7.1網絡文件備份與恢復的重要性9.7.2網絡文件備份的基本方法9.7網絡文件的備份與恢復第一百七十八頁，共二百零二頁，編輯于2023年，星期三網絡安全防不勝防，備份策略至關重要。一個實用的網絡系統(tǒng)中必須有網絡備份、恢復手段和災難恢復計劃。9.7網絡文件的備份與恢復網絡文件備份與恢復的重要性第一百七十九頁，共二百零二頁，編輯于2023年，星期三網絡數據可以進行歸檔與備份:歸檔是指在一種特殊介質上進行永久性存儲；網絡數據備份是一項基本的網絡維護工作；備份數據用于網絡系統(tǒng)的恢復。9.7