局域網(wǎng)安全與管理課件

局域網(wǎng)技術(shù)與組網(wǎng)工程第七章局域網(wǎng)安全與管理-----精品文檔------主要內(nèi)容7.1網(wǎng)絡(luò)安全概述7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品7.3安全管理7.4局域網(wǎng)安全解決方案7.5本章小結(jié)7.6習(xí)題與實踐-----精品文檔------本章學(xué)習(xí)目標(biāo)掌握網(wǎng)絡(luò)安全的概念、技術(shù)特征了解網(wǎng)絡(luò)安全防范體系、安全技術(shù)評估標(biāo)準(zhǔn)了解常見網(wǎng)絡(luò)安全技術(shù)和相關(guān)產(chǎn)品了解網(wǎng)絡(luò)安全管理的概念、實現(xiàn)了解局域網(wǎng)安全解決方案的設(shè)計-----精品文檔------網(wǎng)絡(luò)安全問題日益嚴(yán)峻網(wǎng)絡(luò)遭受攻擊的可能情況-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的概念計算機網(wǎng)絡(luò)安全（ComputerNetworkSecurity），簡稱網(wǎng)絡(luò)安全，泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。-----精品文檔------網(wǎng)絡(luò)信息安全的內(nèi)涵在網(wǎng)絡(luò)出現(xiàn)以前，信息安全指對信息的機密性、完整性和可獲性的保護，即面向數(shù)據(jù)的安全?；ヂ?lián)網(wǎng)出現(xiàn)以后，信息安全除了上述概念以外，其內(nèi)涵又?jǐn)U展到面向用戶的安全。網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。-----精品文檔------網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)實體安全主要指計算機機房的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)；計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。軟件安全主要是保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入、系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改等。數(shù)據(jù)安全即保護數(shù)據(jù)不被非法存取，確保其完整性、一致性、機密性等。安全管理是要保證運行時突發(fā)事件的安全處理等。-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.2網(wǎng)絡(luò)安全技術(shù)特征網(wǎng)絡(luò)安全具有五大特征，這些特征反映了網(wǎng)絡(luò)安全的基本屬性、要素與技術(shù)方面的重要特征。1．保密性（confidentiality）2．完整性（integrity）3．可用性（availability）4．可控性（controllability）5．不可否認(rèn)性（Non-repudiation）-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.3網(wǎng)絡(luò)安全防范體系1．物理層安全（物理環(huán)境的安全性）通信線路的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）物理設(shè)備的安全軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障等等。機房的安全2．系統(tǒng)層安全（操作系統(tǒng)的安全性）網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，主要表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。3．網(wǎng)絡(luò)層安全（網(wǎng)絡(luò)的安全性）該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段和網(wǎng)絡(luò)設(shè)施防病毒等。4．應(yīng)用層安全（應(yīng)用的安全性）該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生5．管理層安全（管理的安全性）安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標(biāo)準(zhǔn)1．TCSEC標(biāo)準(zhǔn)2．歐洲ITSEC標(biāo)準(zhǔn)3．加拿大CTCPEC評價標(biāo)準(zhǔn)4．美國聯(lián)邦準(zhǔn)則FC5．聯(lián)合公共準(zhǔn)則CC標(biāo)準(zhǔn)6．BS7799標(biāo)準(zhǔn)7．我國有關(guān)網(wǎng)絡(luò)信息安全的相關(guān)標(biāo)準(zhǔn)-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標(biāo)準(zhǔn)1．TCSEC標(biāo)準(zhǔn)橘皮書(TrustedComputerSystemEvaluationCriteria—TCSEC)計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，具有劃時代的意義1970年，美國國防科學(xué)委員會提出，1985年由美國國防部公布TCSEC將計算機系統(tǒng)的安全劃分為四個等級、七個安全級別(從低到高依次為D、C1、C2、B1、B2、B3和A級)每級包括它下級的所有特性，從最簡單的系統(tǒng)安全特性直到最高級的計算機安全模型技術(shù)，不同計算機信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密程度的不同標(biāo)準(zhǔn)。D級和A級暫時不分子級。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

1)?D級 D級是最低的安全形式，整個計算機是不信任的，只為文件和用戶提供安全保護。D級系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護的網(wǎng)絡(luò)。擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子，任何人可以自由進(jìn)出，是完全不可信的。對于硬件來說，是沒有任何保護措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)限制，任何人不需要任何賬戶就可以進(jìn)入系統(tǒng)，不受任何限制就可以訪問他人的數(shù)據(jù)文件。 屬于這個級別的操作系統(tǒng)有DOS、Windows9x、Apple公司的MacintoshSystem7.1。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

2)?C1級 C1級又稱有選擇地安全保護或稱酌情安全保護(DiscretionnySecurityProtection)系統(tǒng)，它要求系統(tǒng)硬件有一定的安全保護(如硬件有帶鎖裝置，需要鑰匙才能使用計算機)，用戶在使用前必須登記到系統(tǒng)。另外，作為C1級保護的一部分，允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限等。 它描述了一種典型的用在UNIX系統(tǒng)上的安全級別。這種級別的系統(tǒng)對硬件有某種程度的保護，但硬件受到損害的可能性仍然存在。用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是否合法，并決定用戶對信息擁有什么樣的訪問權(quán)。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

C1級保護的不足之處在于用戶可以直接訪問操縱系統(tǒng)的根目錄。C1級不能控制進(jìn)入系統(tǒng)的用戶的訪問級別，所以用戶可以將系統(tǒng)中的數(shù)據(jù)任意移走，他們可以控制系統(tǒng)配置，獲取比系統(tǒng)管理員所允許的更高權(quán)限，如改變和控制用戶名。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

3)?C2級C2級又稱訪問控制保護，它針對C1級的不足之處增加了幾個特性。C2級引進(jìn)了訪問控制環(huán)境(用戶權(quán)限級別)的增加特性，該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問某些文件的權(quán)限，而且還加入了身份驗證級別。另外，系統(tǒng)對發(fā)生的事情加以審計(Audit)，并寫入日志當(dāng)中，如什么時候開機，哪個用戶在什么時候從哪里登錄等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想強行闖入系統(tǒng)。審計可以記錄下系統(tǒng)管理員執(zhí)行的活動，審計還加有身份驗證，這樣就可以知道誰在執(zhí)行這些命令。審計的缺點在于它需要額外的處理器時間和磁盤資源。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

使用附加身份認(rèn)證就可以讓一個C2系統(tǒng)用戶在不是根用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。不要把這些身份認(rèn)證和應(yīng)用于程序的用戶ID許可(SUID)設(shè)置和同組用戶ID許可(SGID)設(shè)置相混淆，身份認(rèn)證可以用來確定用戶是否能夠執(zhí)行特定的命令或訪問某些核心表。例如，當(dāng)用戶無權(quán)瀏覽進(jìn)程表時，它若執(zhí)行命令就只能看到它們自己的進(jìn)程。 授權(quán)分級指系統(tǒng)管理員能夠給用戶分組，授予他們訪問某些程序的權(quán)限或訪問分級目錄的權(quán)限。 能夠達(dá)到C2級的常見的操作系統(tǒng)有UNIX系統(tǒng)、XENIX、Novell3.x或更高版本、WindowsNT和Windows2000。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

4)?B1級

B級中有三個級別，B1級即標(biāo)號安全保護(LabeledSecurityProtection)，是支持多級安全(如秘密和絕密)的第一個級別，這個級別說明一個處于強制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。即在這一級別上，對象(如盤區(qū)和文件服務(wù)器目錄)必須在訪問控制之下，不允許擁有者更改它們的權(quán)限。 B1級安全措施的計算機系統(tǒng)，隨著操作系統(tǒng)而定。政府機構(gòu)和系統(tǒng)安全承包商是B1級計算機系統(tǒng)的主要擁有者。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

5)B2級 B2級又叫做結(jié)構(gòu)保護(StructuredProtection)級別，它要求計算機系統(tǒng)中所有的對象都加標(biāo)簽，而且給設(shè)備(磁盤，磁帶和終端)分配單個或多個安全級別。它提出了較高安全級別的對象與另一個較低安全級別的對象通信的第一個級別。

6)B3級 B3級又稱安全域(SecurityDomain)級別，它使用安裝硬件的方式來加強域。例如，內(nèi)存管理硬件用于保護安全域免遭無授權(quán)訪問或其他安全域?qū)ο蟮男薷?。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。-----精品文檔------網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)

7)?A級 A級也稱為驗證保護或驗證設(shè)計(VerityDesign)級別，是當(dāng)前的最高級別，它包括一個嚴(yán)格的設(shè)計、控制和驗證過程。與前面提到的各級別一樣，這一級別包含了較低級別的所有特性。設(shè)計必須是從數(shù)學(xué)角度上經(jīng)過驗證的，而且必須進(jìn)行秘密通道和可信任分布的分析。可信任分布(TrustedDistribution)的含義是硬件和軟件在物理傳輸過程中已經(jīng)受到保護，以防止破壞安全系統(tǒng)。 可信計算機安全評價標(biāo)準(zhǔn)主要考慮的安全問題大體上還局限于信息的保密性，隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，對于目前的網(wǎng)絡(luò)安全不能完全適用。-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標(biāo)準(zhǔn)2．國外其他相關(guān)標(biāo)準(zhǔn)歐洲四國（英、法、德、荷）在吸收了TCSEC的成功經(jīng)驗基礎(chǔ)上，于1989年聯(lián)合提出了信息技術(shù)安全評價準(zhǔn)則（InformationTechnologySecurityEvaluationCriteria，ITSEC），俗稱歐洲的白皮書，其中，首次提出了信息安全的機密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術(shù)的高度。之后，美國又聯(lián)合以上諸國和加拿大，并會同國際標(biāo)準(zhǔn)化組織（ISO）共同提出通用安全評估準(zhǔn)則（CommandCriteriaforITSecurityEvaluation，CC），并于1991年宣布，1995年發(fā)布正式文件。CC已經(jīng)被上述5個國家承認(rèn)為代替TCSEC的評價安全信息系統(tǒng)的標(biāo)準(zhǔn)，且將發(fā)展成為國際標(biāo)準(zhǔn)。-----精品文檔------7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標(biāo)準(zhǔn)3．國內(nèi)安全評估通用準(zhǔn)則由公安部主持制定、國家技術(shù)標(biāo)準(zhǔn)局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895—1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，將計算機安全保護劃分為5個級別：用戶自主保護級。系統(tǒng)審計保護級。安全標(biāo)記保護級。結(jié)構(gòu)化保護級。訪問驗證保護級。評估準(zhǔn)則的制定為我們評估、開發(fā)、研究計算機系統(tǒng)的安全提供了指導(dǎo)準(zhǔn)則。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品無法解決網(wǎng)絡(luò)安全的全部問題網(wǎng)絡(luò)安全需要從體系結(jié)構(gòu)的角度，用系統(tǒng)工程的方法，根據(jù)聯(lián)網(wǎng)環(huán)境及其應(yīng)用的實際需要提出綜合的安全解決方案。要實施一個完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應(yīng)該包括三類措施：1．社會的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境。2．技術(shù)方面的措施，如修補和阻止網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)防毒、加密、認(rèn)證以及防火墻技術(shù)。3．審計和管理措施，這方面措施同時也包含了技術(shù)與社會措施。-----精品文檔------上級網(wǎng)絡(luò)網(wǎng)間密碼機防火墻防火墻Web/mail公開服務(wù)器入侵檢測系統(tǒng)

涉密服務(wù)器園區(qū)網(wǎng)服務(wù)器www/ftp/vod用戶安裝防病毒軟件漏洞掃描

初識網(wǎng)絡(luò)安全組件某網(wǎng)絡(luò)信息中心和園區(qū)網(wǎng)安全系統(tǒng)示意圖網(wǎng)絡(luò)安全解決方案概述1在接入路由器內(nèi)側(cè)加裝防火墻形成第一道安全屏障;在防火墻內(nèi)側(cè)關(guān)鍵點部署入侵檢測系統(tǒng)，防護內(nèi)、外網(wǎng)絡(luò)攻擊，構(gòu)成第二道安全閘門；設(shè)置防病毒服務(wù)器，全網(wǎng)各主機安裝防病毒系統(tǒng)；配置漏洞掃描系統(tǒng)，對全網(wǎng)內(nèi)主機不定期進(jìn)行漏洞掃描，堵塞入侵漏洞；用第二防火墻、涉密服務(wù)器隔離和控制對保密系統(tǒng)子網(wǎng)的訪問；如有必要，可在接入路由器內(nèi)/外側(cè)加裝密碼機；安全管理：兩級機構(gòu)＋規(guī)章制度。cisco3560cisco2800cisco2960DMZMBSA保密系統(tǒng)-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.1密碼與加密技術(shù)1.密碼技術(shù)的基本概念加密和解密過程共同組成加密系統(tǒng)原始數(shù)據(jù)（也稱為明文，plaintext）經(jīng)過加密變換后而產(chǎn)生的數(shù)據(jù)稱為密文（ciphertext）由明文變?yōu)槊芪牡倪^程稱為加密（Encryption），通常由加密算法來實現(xiàn)。將密文還原為原始明文的過程稱為解密（Decryption），它是加密的反向處理，通常由解密算法來實現(xiàn)。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

2.常用加密技術(shù)1）對稱加密技術(shù)2）非對稱加密技術(shù)3）單向加密技術(shù)4）實用綜合加密方法5）無線網(wǎng)絡(luò)加密技術(shù)

-----精品文檔------數(shù)據(jù)機密性保護撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸-----精品文檔------數(shù)據(jù)完整性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗證數(shù)據(jù)的完整性-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

3.實用加密方法及協(xié)議（1）PGP（PrettyGoodPrivacy）：PGP是一種對電子郵件和文件進(jìn)行加密與數(shù)字簽名的方法

（2）S/MIME：郵件加密兩把鎖：PGP和S/MIME（SecureMultipurposeInternetMailExtensions，多用途網(wǎng)際郵件擴充協(xié)議）。主要功能就是身份的認(rèn)證和傳輸數(shù)據(jù)的加密（3）SSL：SSL是Netscape公司所提出的安全保密協(xié)議，在瀏覽器和Web服務(wù)器之間構(gòu)造安全通道來進(jìn)行數(shù)據(jù)傳輸

（4）HTTPS：HTTPS（SecureHypertextTransferProtocol）安全超文本傳輸協(xié)議，由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果

（5）SET：應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，這就是“安全電子交易”（SecureElectronicTransaction，簡稱SET）。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購物信息的安全性。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)防火墻是位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，實現(xiàn)網(wǎng)絡(luò)和信息安全的訪問控制。

防火墻的主要目的：判斷IP，只讓安全的IP數(shù)據(jù)通過；防止外部網(wǎng)絡(luò)的危險在內(nèi)部網(wǎng)絡(luò)蔓延。防火墻的定義防火墻是指設(shè)置在被保護網(wǎng)絡(luò)（內(nèi)聯(lián)子網(wǎng)或局域網(wǎng)）與公共網(wǎng)絡(luò)（如因特網(wǎng)）或其他網(wǎng)絡(luò)之間并位于被保護網(wǎng)絡(luò)邊界的、對進(jìn)出被保護網(wǎng)絡(luò)信息實施“通過／阻斷／丟失”控制的硬件

狀態(tài)包過濾和應(yīng)用代理技術(shù)仍然是局域網(wǎng)防火墻市場的主流技術(shù)，但這兩種技術(shù)正在融合。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)部署防火墻企業(yè)網(wǎng)絡(luò)拓?fù)鋱D-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)（1）以防火墻的軟硬件形式分類軟件防火墻：Checkpoint系列等

硬件防火墻：NetScreen、FortiNet和Cisco等

芯片級防火墻

（2）以防火墻技術(shù)分類包過濾型應(yīng)用代理型（3）以防火墻的體系結(jié)構(gòu)分類單一主機防火墻路由器集成式防火墻分布式防火墻（4）以防火墻的性能分類百兆級防火墻千兆級防火墻

防火墻分類-----精品文檔------

防火墻的不足

防火墻性能有限：1．防火墻不能防止內(nèi)部攻擊；2．防火墻不能防止未經(jīng)過防火墻的攻擊；3．防火墻不能完全防止有病毒的軟件的傳送；

4．防火墻不易防止數(shù)據(jù)驅(qū)動型（木馬）攻擊。7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)-----精品文檔------身份認(rèn)證的概念身份認(rèn)證（IdentityandAuthenticationManagement）是計算機網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認(rèn)該用戶的身份是否真實、合法和唯一的過程。7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認(rèn)證與訪問控制認(rèn)證和訪問控制模型-----精品文檔------身份認(rèn)證技術(shù)方法（1）用戶名/密碼方式

（2）IC卡認(rèn)證

（3）動態(tài)口令

（4）生物特征認(rèn)證

（5）USBKey認(rèn)證

（6）CA認(rèn)證

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認(rèn)證與訪問控制-----精品文檔------訪問控制技術(shù)（1）概念：訪問控制（AccessControl）指對網(wǎng)絡(luò)中的某些資源訪問進(jìn)行的控制，是在保障授權(quán)用戶能夠獲得所需資源的同時拒絕非授權(quán)用戶的安全機制

（2）訪問控制三要素主體客體控制策略（3）訪問控制的內(nèi)容

認(rèn)證

控制策略實現(xiàn)安全審計（4）訪問控制策略

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認(rèn)證與訪問控制-----精品文檔------訪問控制技術(shù)（4）訪問控制策略

入網(wǎng)訪問控制網(wǎng)絡(luò)權(quán)限控制目錄級安全控制屬性安全控制網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)監(jiān)測和鎖定控制策略防火墻控制策略

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認(rèn)證與訪問控制-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)漏洞掃描器部署圖

-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

1．漏洞概念與分類漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

入侵者可利用的漏洞大致分為三類：

（1）網(wǎng)絡(luò)傳輸和協(xié)議的漏洞。攻擊者利用網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。（2）系統(tǒng)的漏洞。攻擊者可以利用系統(tǒng)內(nèi)部或服務(wù)進(jìn)程的BUG和配置錯誤進(jìn)行攻擊。（3）管理的漏洞。攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入的系統(tǒng)信息，包括口令、用戶名等。

-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

2．漏洞掃描技術(shù)分類（1）基于應(yīng)用的檢測技術(shù)（2）基于主機的檢測技術(shù)（3）基于目標(biāo)的漏洞檢測技術(shù)（4）基于網(wǎng)絡(luò)的檢測技術(shù)（5）綜合檢測技術(shù)-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

3．常用的漏洞掃描工具網(wǎng)絡(luò)掃描器端口掃描器

Web應(yīng)用程序掃描程序-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)入侵檢測系統(tǒng)部署拓?fù)鋱D

-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

1．入侵檢測系統(tǒng)概念及功能入侵檢測系統(tǒng)（Intrusion-DetectionSystem，下稱“IDS”）

IDS最早出現(xiàn)在1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》的技術(shù)報告中提出了IDS的概念。

入侵檢測系統(tǒng)概念：入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的軟件與硬件的組合系統(tǒng)。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護技術(shù)

-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

2．入侵檢測系統(tǒng)分類（1）根據(jù)采用的技術(shù)和檢測原理分類異常檢測（AnormalyDetection）誤用檢測（MisuseDetection）特征檢測（2）按照數(shù)據(jù)源分類基于主機（Host-based）的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)（Netwok-based）的入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)（3）按照工作方式分類離線檢測系統(tǒng)在線檢測系統(tǒng)-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

3．常用的入侵檢測工具

Cisco公司的NetRanger

NetwokAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

以及我國啟明星晨產(chǎn)品和北方計算中心的NIDSdetector等在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，有多個久負(fù)盛名的開放源碼軟件，它們是Snort、NFR、Shadow等，其中Snort的社區(qū)（http://）非?；钴S，其入侵特征更新速度與研發(fā)的進(jìn)展已超過了大部分商品化產(chǎn)品。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

4．選擇入侵檢測系統(tǒng)的要點

（1）系統(tǒng)的價格（2）特征庫升級與維護的費用（3）對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量（包/秒PPS）是多少。（4）產(chǎn)品效能及響應(yīng)（5）產(chǎn)品的可伸縮性（6）運行與維護系統(tǒng)的開銷（7）產(chǎn)品支持的入侵特征數(shù)（8）產(chǎn)品有哪些響應(yīng)方法（9）是否通過了國家權(quán)威機構(gòu)的評測-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

1．病毒的概念計算機病毒，英文名字ComputerViruses，簡稱CV

目前對于計算機病毒最流行的定義是：一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。計算機病毒可以從不同的角度分類

按其表現(xiàn)性質(zhì)可分為良性的和惡性的按激活的時間可分為定時的和隨機的按其入侵方式可分操作系統(tǒng)型病毒、原碼病毒、外殼病毒、入侵病毒按其是否有傳染性又可分為不可傳染性和可傳染性病毒按傳染方式可分磁盤引導(dǎo)區(qū)傳染的計算機病毒、操作系統(tǒng)傳染的計算機病毒和一般應(yīng)用程序傳染的計算機病毒按其病毒攻擊的機種分類，攻擊微型計算機的，攻擊小型機的，攻擊工作站的。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

2．單機環(huán)境下的網(wǎng)絡(luò)病毒防治技術(shù)（1）用防毒軟件保護電腦，及時升級防毒軟件（2）不要打開不明來源的郵件（3）使用比較復(fù)雜的密碼（4）使用防火墻，防止電腦受到來自互聯(lián)網(wǎng)的攻擊（5）不要讓陌生用戶連接到用戶個人的計算機上（6）不使用互聯(lián)網(wǎng)時及時斷開連接（7）備份電腦數(shù)據(jù)（8）定期下載安全更新補丁（9）定期檢查計算機（10）進(jìn)行主要的防護工作。關(guān)注在線安全、了解和掌握計算機病毒的發(fā)作時間，并事先采取措施。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

3.網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)病毒防治技術(shù)（1）企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)（2）企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)的主要功能需求

貫徹“層層設(shè)防，集中控管，以防為主，防治結(jié)合”的企業(yè)防毒策略。應(yīng)用先進(jìn)的“實時監(jiān)控”技術(shù)，在“以防為主”的基礎(chǔ)上，不給病毒入侵留下任何可乘之機。對新病毒的反應(yīng)能力是考察一個防病毒軟件好壞的重要方面。智能安裝、遠(yuǎn)程識別。對現(xiàn)有資源的占用情況。-----精品文檔------7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

4.病毒防治軟件產(chǎn)品

(1)國外病毒防治產(chǎn)品諾頓，NAV，網(wǎng)址/

卡巴斯基，kaspersky，網(wǎng)址/

McAfee防病毒，VirusScan，網(wǎng)址/

(2)國內(nèi)病毒防治產(chǎn)品瑞星，RAV，網(wǎng)址/

金山毒霸，KingsoftAnti-Virus，網(wǎng)址/

江民，KV，網(wǎng)址/

知名的國內(nèi)殺毒軟件還有安鐵諾、光華、KILL（冠群金辰）、VRV（北信源）等，目前國產(chǎn)殺軟在中國區(qū)單機客戶端市場的總體份額為60%。-----精品文檔------7.3安全管理7.3.1安全管理的概念

1.安全管理（SM，SecurityManagement），是以管理對象的安全為任務(wù)和目標(biāo)所進(jìn)行的各種管理活動。

2.網(wǎng)絡(luò)安全管理的具體目標(biāo)大致上可以分為3個：了解網(wǎng)絡(luò)和用戶的行為可對網(wǎng)絡(luò)和系統(tǒng)的安全性進(jìn)行評估確保訪問控制策略的實施

3.網(wǎng)絡(luò)安全管理系統(tǒng)通常可包括３個方面：

1．系統(tǒng)安全管理

2．安全服務(wù)管理

3．安全機制管理-----精品文檔------7.3安全管理7.3.2安全管理原則1.多人負(fù)責(zé)原則。每項與安全有關(guān)的活動都必須有兩人或多人負(fù)責(zé)，以進(jìn)行相互監(jiān)督和相互備份。2.任期有限原則。3.職責(zé)分離原則。對于涉及敏感數(shù)據(jù)處理的計算機系統(tǒng)安全管理，以下工作應(yīng)分開進(jìn)行：系統(tǒng)的操作和系統(tǒng)的開發(fā)機密資料的接收和傳送安全管理和系統(tǒng)管理系統(tǒng)操作和備份管理-----精品文檔------7.3安全管理7.3.3安全管理的模型1．制定計劃（Plan）。對每個階段都應(yīng)制定出具體的安全管理工作計劃，明確責(zé)任、任務(wù)、確定工作進(jìn)度、形成完整的安全管理工作文件。2．落實執(zhí)行（Do）。按照具體安全管理計劃開展各項工作，包括建立權(quán)威的安全機構(gòu)，落實必要的安全措施，開展全員的安全培訓(xùn)等。3．檢查效果（Check）。對上述安全管理的計劃與執(zhí)行工作，構(gòu)建的信息安全管理體系進(jìn)行認(rèn)真的監(jiān)督檢查，并反饋報告具體的檢查報告。4．實施改進(jìn)（Action）。根據(jù)檢查的結(jié)果，對現(xiàn)有信息安全管理策略及方法進(jìn)行評審、評估和總結(jié)，評價現(xiàn)有信息安全管理體系的有效性，采取相應(yīng)的改進(jìn)措施。-----精品文檔------7.3安全管理7.3.4網(wǎng)絡(luò)安全管理解決方案PerimetereSecurity公司日前提出了網(wǎng)絡(luò)管理員在2008年應(yīng)該采用的八個網(wǎng)絡(luò)安全解決方案：1．實施全面的補丁管理。2．實施員工熟悉安全培訓(xùn)。3．采用基于主機的入侵防御系統(tǒng)。4．進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用層測試。5．應(yīng)用URL過濾。6．集中進(jìn)行臺式電腦保護。7．強制執(zhí)行一個強大的政策管理系統(tǒng)。8．采用一種信息發(fā)送管理解決方案。

-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.1局域網(wǎng)安全方案框架安全解決方案的框架主要有如下4個方面的內(nèi)容：1．安全風(fēng)險概要分析2．實際安全風(fēng)險分析（1）網(wǎng)絡(luò)風(fēng)險和威脅分析（2）系統(tǒng)風(fēng)險和威脅分析（3）應(yīng)用分析和威脅分析3．主要安全技術(shù)（1）防火墻（2）防病毒軟件（3）身份認(rèn)證（4）傳輸加密（5）入侵檢測4．風(fēng)險評估5．安全服務(wù)-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.1局域網(wǎng)安全方案框架安全解決方案的框架主要有如下4個方面的內(nèi)容：5．安全服務(wù)：（1）網(wǎng)絡(luò)拓?fù)浒踩?）系統(tǒng)安全加固（3）應(yīng)用安全（4）災(zāi)難恢復(fù)（5）緊急相應(yīng)（6）安全規(guī)范（7）服務(wù)體系和培訓(xùn)體系。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例案例描述某高校局域網(wǎng)是校園網(wǎng)絡(luò)，覆蓋南區(qū)、北區(qū)和西區(qū)三個校區(qū)，網(wǎng)絡(luò)上運行著各種信息管理系統(tǒng)，保存著大量的重要數(shù)據(jù)。為保證校園網(wǎng)的可靠性、可用性、完整性、保密性和真實性，該校園網(wǎng)的安全解決方案設(shè)計包括：

1.校園網(wǎng)現(xiàn)狀分析2.安全風(fēng)險概要分析

3.完整網(wǎng)絡(luò)安全實施方案的設(shè)計

4.實施方案計劃、技術(shù)支持和服務(wù)、項目安全產(chǎn)品

5.檢測驗收報告和安全技術(shù)培訓(xùn)。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例1．校園網(wǎng)現(xiàn)狀分析校園內(nèi)網(wǎng)教學(xué)局域網(wǎng)圖書館局域網(wǎng)辦公自動化局域網(wǎng)校園外網(wǎng)學(xué)校提供對外服務(wù)的服務(wù)器群與CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例2．安全風(fēng)險概要分析校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨著如下的安全風(fēng)險：（1）各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全風(fēng)險。（2）Internet網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的風(fēng)險。（3）來自校園網(wǎng)內(nèi)外的各種病毒的風(fēng)險，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)。（4）內(nèi)部用戶對Internet的非法訪問風(fēng)險，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)。（5）內(nèi)外網(wǎng)惡意用戶可能利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用。（6）可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網(wǎng)的風(fēng)險。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計

校園網(wǎng)安全方案拓?fù)鋱D-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計

（1）物理層安全產(chǎn)品保障方面：產(chǎn)品采購、運輸、安裝等方面的安全措施。運行安全方面：網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備，必須能夠及時得到技術(shù)方面的服務(wù)，同時對關(guān)鍵的安全設(shè)備、重要的數(shù)據(jù)和系統(tǒng)，應(yīng)設(shè)置備份應(yīng)急系統(tǒng)。防電磁輻射方面：所有重要涉密的設(shè)備需要安裝防電磁輻射產(chǎn)品，如輻射干擾機。保安方面：主要是防火、防盜等，還包括網(wǎng)絡(luò)系統(tǒng)中所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計

（2）網(wǎng)絡(luò)結(jié)構(gòu)的安全分析①多網(wǎng)絡(luò)出口應(yīng)用②劃分安全子網(wǎng)（VLAN）③加強網(wǎng)絡(luò)邊界的訪問控制④防止內(nèi)外的攻擊威脅⑤定期的網(wǎng)絡(luò)安全性檢測實現(xiàn)持續(xù)安全⑥建立網(wǎng)絡(luò)防病毒系統(tǒng)⑦建立VPN系統(tǒng)-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計

（3）系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種：

a.采用主機加固手段對主機加固，如升級、打補丁、關(guān)閉不需要的端口、安裝殺毒軟件等。

b.采用主機訪問控制手段加強對主機的訪問控制。

c.安裝LINUX或UNIX系統(tǒng)做服務(wù)器，增加系統(tǒng)安全性能。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計

（4）應(yīng)用系統(tǒng)的安全分析

a.應(yīng)用的安全性包括很多方面。①應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的

②應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性

b.本校園網(wǎng)設(shè)計中采用的安全措施主要有以下幾點：①各應(yīng)用系統(tǒng)自身的加固②建立身份認(rèn)證系統(tǒng)（實名制）③建立安全審計系統(tǒng)④建立備份和恢復(fù)系統(tǒng)⑤建立日志訪問系統(tǒng)-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例3．完整網(wǎng)絡(luò)安全實施方案的設(shè)計（5）管理的安全風(fēng)險分析實現(xiàn)管理層的安全主要注意以下幾點：

①建立安全管理平臺。②建立、健全安全管理體制。③提高全員的安全意識。-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例4．實施方案與技術(shù)支持（1）安全實施方案安全工程的實施也是一個系統(tǒng)化的過程，包含了很多領(lǐng)域的內(nèi)容，如項目管理、項目質(zhì)量保證等，需要認(rèn)真、仔細(xì)地對待。最關(guān)鍵的一點是要保證安全工程的質(zhì)量，避免重復(fù)建設(shè)和垃圾工程。為了保證安全工程的質(zhì)量，有三個方面的工作必須得到重視：一是選擇一個科學(xué)、合適的實施方案作為工程實施的指導(dǎo)；二是選擇一個工程能力可靠的施工單位負(fù)責(zé)工程的建設(shè)；三是對工程實施的整個過程進(jìn)行監(jiān)理。（2）技術(shù)支持和服務(wù)（3）項目安全產(chǎn)品-----精品文檔------7.4局域網(wǎng)安全解決方案7.4.2局域網(wǎng)安全案例5．檢測驗收報告和安全技術(shù)培訓(xùn)（1）項目檢測報告。項目檢測報告通常由一個中立的、具有較高的安全檢測評價資格的第三方檢測機構(gòu)，根據(jù)初步實施完成的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行安全掃描和檢測后給出。該報告將作為網(wǎng)絡(luò)安全工程項目的檢測評價、檢查驗收和安全管理的重要依據(jù)。（2）安全技術(shù)培訓(xùn)。安全技術(shù)培訓(xùn)包括對管理人員的安全培訓(xùn)、安全技術(shù)基礎(chǔ)培訓(xùn)、安全攻防技術(shù)培訓(xùn)、系統(tǒng)安全管理培訓(xùn)和安全產(chǎn)品的培訓(xùn)等

-----精品文檔------7.5本章小結(jié)網(wǎng)絡(luò)的安全問題包含網(wǎng)絡(luò)的系統(tǒng)安全和網(wǎng)絡(luò)的信息安全兩方面的內(nèi)容，網(wǎng)絡(luò)安全，泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全具有保密性、完整性、可用性、可控性和不可否認(rèn)性五個技術(shù)特征，網(wǎng)絡(luò)安全防范體系包