Ch1 網絡安全基礎

“十三五”國家重點出版規(guī)劃項目,上海市高校優(yōu)秀教材獎上海市高校精品課程特色教材上海市高校優(yōu)質在線課程教材第1章網絡安全基礎網絡安全技術及應用“十三五”國家重點出版規(guī)劃國家自然科學基金項目資助上海市普通高校優(yōu)秀教材獎上海高校精品/優(yōu)質在線課程網絡安全技術及應用（第5版.慕課微課版.新形態(tài)）教學目標、安排及考核

教學目標、安排及考核教學目標：掌握網絡安全常用的攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）等基本理論、技術和應用，促進深造和就業(yè)。

課程性質:專業(yè)課

(必修考試課)

學時學分:理論/實驗

(32/16)共48學時，

學分3+1(課設1學分20學時)

考核辦法：

理論與實踐相結合、課內與課外相結合、知識素質和能力考核相結合、上機實踐與卷面考核相結合。

期末考試成績占60%,平時成績和實驗占40%.

國家級智慧教育平臺/上海精品課程“網絡安全”網站輔導答疑：周XX5-8節(jié)學院3XX辦公室+網上答疑作業(yè)實驗：網站“答疑解惑”[網上作業(yè)與實踐]

“十三五”國家重點出版規(guī)劃項目上海高校精品課程/優(yōu)秀教材獎“學習通”搜索-下載-安裝-注冊-登錄，學習-活動-考核-統(tǒng)計全書目錄

第2章網絡安全技術基礎

2第3章網絡安全體系及管理3第4章黑客攻防及檢測防御4

第1章網絡安全基礎1

第5章密碼及加密技術5第6章身份認證與訪問控制6第7章計算機及手機病毒防范7第8章防火墻常用技術8

第9章操作系統(tǒng)安全9第10章數(shù)據(jù)庫及數(shù)據(jù)安全10*第11章電子商務安全11第12章網絡安全新技術及解決方案12“十三五”國家重點出版規(guī)劃項目上海高校精品課程/優(yōu)秀教材獎第1章網絡安全基礎1.2網絡安全的概念、特點和內容21.3網絡安全常用技術31.4網絡安全建設發(fā)展狀況及趨勢4

1.1網絡安全威脅及途徑1

*1.5實體安全與隔離技術

561.6本章小結7第1章目錄1.7.1選做1虛擬局域網的構建1.7.2選做2虛擬局域網設置和應用“十三五”國家重點出版規(guī)劃項目上海高校精品課程/優(yōu)秀教材獎*1.7實驗1構建虛擬局域網VLAN

教學目標第1章網絡安全基礎“十三五”國家重點出版規(guī)劃項目上海高校精品課程/優(yōu)秀教材獎重點●

理解網絡安全面臨的威脅、種類及途徑●

掌握網絡安全的基本概念、目標和內容●掌握網絡安全技術相關概念、種類和模型

●理解構建虛擬局域網VLAN的過程及方法重點新網絡安全觀:頂層設計網絡安全是我們當前面臨的新的綜合性挑戰(zhàn)。它不僅僅是網絡本身的安全,而是關涉到國家安全和社會穩(wěn)定。網絡安全對國家安全牽一發(fā)而動全身,同許多其他方面的安全都有著密切關系

沒有網絡安全就沒有國家安全。網絡主權或網絡空間主權是國家主權在網絡空間的自然延伸和體現(xiàn)。網絡安全的實質就是國家安全。主權觀、國家觀、發(fā)展觀(技術+人才)、法治觀、人民觀、國際觀、辯證觀視頻鏈接，來源:央視學習重要性“十三五”國家重點出版規(guī)劃上海精品課程/優(yōu)秀教材獎1.1網絡空間安全威脅及途徑

網絡空間已逐步發(fā)展成繼陸、海、空、天之后第五大戰(zhàn)略空間,是影響國家安全、社會穩(wěn)定、經濟發(fā)展和文化生活的核心、關鍵和基礎,其安全性至關重要,存在一些急需解決的6個重大問題。1）法律法規(guī)、安全管理和意識薄弱。世界各國在網絡空間安全保護方面，制定的各種法律法規(guī)和管理政策等相對滯后、不重視。2）政府與企業(yè)的出發(fā)點、思路和側重點各異.政府注重信息資源及網絡安全可管性和可控性,企業(yè)注重經濟效益,可用性和可靠性。1.1.1網絡空間安全威脅及現(xiàn)狀分析

全球網絡安全嚴重事件加劇。2022年7月15日《人民日報》報道，意大利信息安全協(xié)會發(fā)布的研究報告顯示，2021年全球網絡犯罪造成的相關損失超過6萬億美元，對比前一年增加6倍多。美國聯(lián)邦調查局最新發(fā)布的《互聯(lián)網犯罪報告》顯示，網絡釣魚攻擊成為最常報告的網絡犯罪類型，2021年為32萬多起，其中僅商務電子郵件攻擊就造成近24億美元損失。網絡用戶迫切需要掌握相關網絡安全防范知識、技術和方法。1.1

網絡空間安全威脅及途徑引導案例

1.1.1網絡空間安全威脅及現(xiàn)狀分析

3）國內外或不同企事業(yè)機構及行業(yè)等網絡安全相關標準和規(guī)范不統(tǒng)一。網絡安全是一項系統(tǒng)工程，需要制定和完善統(tǒng)一的標準和規(guī)范。

1.1

網絡空間安全威脅及途徑

我國網絡遭受攻擊篡改、植入后門、數(shù)據(jù)竊取等事件呈現(xiàn)快速增長趨勢。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2019年前4個月我境內被篡改的網站8,213個，同比增長48.8%；被植入后門的網站10,010個，同比增長22.5%。同時，近期發(fā)現(xiàn)由于運營者安全配置不當，很多數(shù)據(jù)庫直接暴露在互聯(lián)網上，導致大量用戶個人信息泄露。造成這些事件很大原因是一些互聯(lián)網網站運營者網絡安全意識不強，特別是中小網站安全管理和防護能力較低，缺乏有效安全保障措施，成為網絡攻擊重點目標和主要入口。案例1-11.1.1網絡空間安全威脅及現(xiàn)狀分析

5）網絡安全技術和手段滯后。網絡安全技術手段研發(fā)及更新滯后于出現(xiàn)的需要解決的安全問題。網絡技術不斷快速發(fā)展，相應的網絡安全技術手段相對滯后，更新時常不及時不完善。1.1

網絡空間安全威脅及途徑

4）網絡安全漏洞及隱患多。計算機和手機等各種網絡資源的開放性、共享性、交互性和分散性等特點，以及網絡系統(tǒng)從設計到實現(xiàn)自身缺陷、安全漏洞和隱患，致使網絡存在巨大的威脅和風險，時常受到攻擊、威脅和威脅加劇，嚴重影響了正常的網絡運行和服務。1.1.1網絡空間安全威脅及現(xiàn)狀分析6）國際競爭加劇，網絡威脅新變化，黑客利益產業(yè)鏈驚人。移動網絡安全、大數(shù)據(jù)、云安全、社交網絡、物聯(lián)網等成為新的攻擊點。國際競爭和攻擊大量增加，黑客產業(yè)鏈誘惑和針對性攻擊范圍廣且力度大。1.1

網絡空間安全威脅及途徑

美國總統(tǒng)曾下令加大對中國網絡攻擊。據(jù)央視2020年7月報道，美國多家媒體報道稱，美國時任總統(tǒng)特朗普兩年前曾下達密令，授權中央情報局加大網絡攻擊，目標國家包括中國、伊朗、俄羅斯和朝鮮等。美國總統(tǒng)簽署的一項“總統(tǒng)令”，給予中情局“全面授權”。一名前美國政府官員稱此總統(tǒng)令“相當具有進攻性”。案例1-2

全球網絡安全威脅種類急劇增加.網絡安全咨詢公司MomentumCyber的調查數(shù)據(jù)顯示，各種網絡安全威脅類型的數(shù)量增加到了超過100萬個，全球網絡安全市場價值已經超過了1200億美元。CybersecurityVentures也預測稱，到2021年，網絡犯罪成本每年將耗費6萬億美元，高于6年前的50%。網絡安全領域充斥著各類亟待解決的問題。1.1.2網絡安全威脅的種類及途徑案例1-21.網絡安全威脅的主要類型

網絡安全面臨的主要威脅受人為因素、系統(tǒng)和運行環(huán)境的影響，包括網絡系統(tǒng)問題和網絡數(shù)據(jù)（信息）的威脅和隱患。網絡安全威脅主要表現(xiàn)為：非法授權訪問、竊聽、黑客入侵、假冒合法用戶、病毒破壞、干擾系統(tǒng)正常運行、篡改或破壞數(shù)據(jù)等。威脅性攻擊大致可分為主動攻擊和被動攻擊兩大類。1.1

網絡空間安全威脅及途徑

網絡安全面臨主要威脅的種類，如表1-1所示。

表1-1網絡安全的主要威脅種類

1.1

網絡空間安全威脅及途徑2.網絡安全威脅的主要途徑世界各種網絡被入侵攻擊的事件頻發(fā)，其途徑種類各異且變化多端。目前，大量網絡系統(tǒng)的功能、網絡資源和應用服務等已經成為黑客攻擊的主要目標。網絡主要應用包括：電子商務、網上銀行、股票、證券、即時通信、郵件、網游、下載文件等都存在大量安全隱患。

中國遭受的網絡攻擊主要來自美國,是網絡攻擊的最大受害國。國家互聯(lián)網應急中心監(jiān)測:中國遭受境外網絡攻擊情況日趨嚴重，包括國家機關和關鍵基礎設施等。2020年1月1日至2月28日,境外6747臺木馬或僵尸網絡服務器控制了中國境內190萬余臺主機;其中位于美國2194臺控制服務器控制了中國境內128.7萬臺主機,無論是按照控制服務器數(shù)量還是按照控制中國主機數(shù)量排名,美國都名列第一。。案例1-41.1

網絡空間安全威脅及途徑

網絡安全威脅的主要途徑，可以很直觀地用圖示的方式進行表示，如圖1-1所示。圖1-1網絡安全主要威脅及途徑U1.1

網絡空間安全威脅及途徑

1.網絡系統(tǒng)安全威脅及風險1）網絡系統(tǒng)面臨的威脅和風險互聯(lián)網創(chuàng)建初期只用于計算和科學研究,其設計及技術基礎并不安全。現(xiàn)代互聯(lián)網和應用，具有開放性、國際性和自由性等特點。主要因素有8個方面:網絡開放性隱患多、網絡共享風險大、系統(tǒng)結構復雜有漏洞、身份認證難、邊界難確定受威脅、傳輸路徑與結點隱患多、信息高度聚集易受攻擊、國際競爭加劇。

1.1.3網絡安全的威脅及風險分析1.1

網絡空間安全威脅及途徑

美國對中俄展開網絡攻擊。2022年6月28日，國家計算機病毒應急處理中心和360公司分別發(fā)布專題報告，美國國家安全局NSA所屬又一款網絡攻擊武器“酸狐貍”漏洞攻擊武器平臺，中國上百個重要信息系統(tǒng)，被美國植入木馬程序進行攻擊。“酸狐貍平臺”是NSA下屬計算機網絡入侵行動隊主戰(zhàn)裝備，攻擊范圍覆蓋全球，重點攻擊目標指向中國和俄羅斯，美國試圖正在積極為發(fā)動更大規(guī)模的網絡戰(zhàn)做準備。案例1-5

2）網絡服務協(xié)議的安全威脅。常用的互聯(lián)網服務安全包括：Web瀏覽服務安全、文件傳輸FTP服務安全、Email服務安全、遠程登陸Telnet安全、DNS域名安全和設備實體安全。網絡的運行機制依賴網絡協(xié)議，不同結點間信息交換以約定機制通過協(xié)議數(shù)據(jù)單元實現(xiàn)。TCP/IP協(xié)議在設計初期只注重異構網的互聯(lián)，并沒考慮安全問題，Internet的廣泛應用使其安全威脅對系統(tǒng)安全產生極大風險?；ヂ?lián)網基礎協(xié)議TCP/IP、FTP、E-mail、RPC(遠程進程調用)和NFS(網絡文件系統(tǒng))等不僅公開，且存在安全漏洞。

1.1.3網絡安全的威脅及風險分析1.1

網絡空間安全威脅及途徑2.操作系統(tǒng)的漏洞及隱患

操作系統(tǒng)安全(OperationSystemSecure)是指操作系統(tǒng)本身及運行安全,通過其對系統(tǒng)軟硬件資源的整體有效控制,并對所管理的資源提供安全保護.OS是網絡系統(tǒng)中最基本、最重要的系統(tǒng)軟件,在設計與開發(fā)時難以避免疏忽留下漏洞和隱患。

1）體系結構和研發(fā)漏洞。網絡系統(tǒng)的威脅主要來自操作系統(tǒng)的漏洞

2）創(chuàng)建進程的隱患。支持進程的遠程創(chuàng)建與激活、新進程繼承原進程的權限，其機制也時常給黑客提供遠端服務器安裝“間諜軟件”的可乘之機。3）服務及設置的風險。操作系統(tǒng)的部分服務程序可能繞過防火墻、查殺病毒軟件等。4）配置和初始化錯誤。網絡系統(tǒng)一旦出現(xiàn)嚴重故障，必須關掉某臺服務器維護其某個子系統(tǒng)，之后再重啟動服務器時，可能會發(fā)現(xiàn)個別文件丟失或被篡改的現(xiàn)象。1.1

網絡空間安全威脅及途徑

3.防火墻的局限性及風險防火墻能夠較好地阻止外網基于IP包頭的攻擊和非信任地址的訪問，卻無法阻止基于數(shù)據(jù)內容的黑客攻擊和病毒入侵，也無法控制內網之間的攻擊行為。其安全局限性還需要入侵檢測系統(tǒng)、入侵防御系統(tǒng)、統(tǒng)一威脅管理(Unified

Threat

Mana-gement,UTM)等技術進行彌補，應對各種網絡攻擊，以擴展系統(tǒng)管理員的防范能力（包括安全審計、監(jiān)視、進攻識別和響應）。從網絡系統(tǒng)中的一些關鍵點收集并分析有關信息，可檢查出違反安全策略的異常行為或遭到攻擊的跡象。入侵防御和檢測系統(tǒng)被認為是防火墻后的第二道安全閘門，在不影響網絡性能的情況下，需要及時對網絡進行異常行為的防御和監(jiān)測，提供對網絡內部攻擊、外部攻擊和誤操作的實時保護。防火墻具體內容將在第8章介紹。1.1

網絡空間安全威脅及途徑

4.網絡數(shù)據(jù)庫的安全風險數(shù)據(jù)庫技術是信息資源管理和數(shù)據(jù)處理的核心技術，也是各種應用系統(tǒng)處理業(yè)務數(shù)據(jù)的關鍵，是信息化建設的重要組成部分。網絡系統(tǒng)需要在數(shù)據(jù)庫中存取調用大量重要數(shù)據(jù)共享，數(shù)據(jù)庫技術的核心是數(shù)據(jù)庫管理系統(tǒng)（DBMS），主要用于集中管理數(shù)據(jù)資源信息，解決數(shù)據(jù)資源共享、減少數(shù)據(jù)冗余，確保系統(tǒng)數(shù)據(jù)的保密性、完整性和可靠性，各類應用系統(tǒng)都以其為支撐平臺。數(shù)據(jù)庫安全不僅包括數(shù)據(jù)庫系統(tǒng)本身的安全，還包括最核心和關鍵的數(shù)據(jù)（信息）安全，需要確保數(shù)據(jù)的安全可靠和正確有效，確保數(shù)據(jù)的安全性、完整性和并發(fā)控制。數(shù)據(jù)庫存在的風險因素包括：非法用戶竊取信息資源，授權用戶超出權限進行數(shù)據(jù)訪問、更改和破壞等。數(shù)據(jù)庫安全技術和應用，具體將在第10章介紹。1.1

網絡空間安全威脅及途徑1.1.3網絡安全的威脅及風險分析

5.網絡安全管理及其他問題

網絡安全是一項重要的系統(tǒng)工程，需要各方面協(xié)同管控才能更有效整體防范。網絡安全管理中出現(xiàn)的漏洞和疏忽都屬于人為因素，網絡安全中最突出問題主要是缺乏完善的法律法規(guī)、管理準則規(guī)范和制度、網絡安全組織機構及人員，不夠重視或缺少安全檢測及實時有效監(jiān)控、維護和審計。

1）網絡安全相關法律法規(guī)和管理政策問題。包括相關的法律法規(guī)或組織機構不健全，管理組織、保障體系、策略、標準、規(guī)范、權限、監(jiān)控、機制、措施、審計和方式方法等。

2）管理漏洞和操作人員問題。包括管理疏忽、失誤、誤操作及水平能力等。如系統(tǒng)安全配置不當所造成的安全漏洞，用戶安全意識不強與疏忽，密碼使用不當?shù)榷紩W絡安全構成威脅。疏于管理與防范。

3）網絡系統(tǒng)安全運行環(huán)境及傳輸安全是網絡安全重要基礎。1.1

網絡空間安全威脅及途徑1.1.4網絡空間安全威脅的發(fā)展態(tài)勢著名未來學家阿爾文.托夫勒：誰掌握了信息，誰控制了網絡，誰就將擁有整個世界。1.1

網絡空間安全威脅及途徑

網絡安全未來十大趨勢展望。2022全國網絡安全大會“網絡安全趨勢分論壇”，中國工程院院士沈昌祥等揭曉“網絡安全未來十大趨勢展望”評選結果：網絡安全頂層設計、主動免疫可信計算、隱私計算、數(shù)據(jù)安全治理、新技術新應用安全、關鍵信息基礎設施安全保護、網絡安全保險、軟件供應鏈安全、數(shù)字貨幣安全和網絡安全教育、技術與產業(yè)融合。。案例1-7

1.1.4網絡空間安全威脅的發(fā)展態(tài)勢國內外很多權威網絡安全研究機構，對近幾年各種網絡安全威脅，特別是新出現(xiàn)的各種類型的網絡攻擊等進行深入調研和分析，發(fā)現(xiàn)各種網絡攻擊工具更加智能化、自動化、簡單化，攻擊手段更加復雜多變，攻擊目標針對網絡基礎協(xié)議、操作系統(tǒng)或數(shù)據(jù)庫，對網絡安全監(jiān)管部門、研發(fā)機構，以及網絡信息化建設、管理、開發(fā)、設計和用戶，都提出了新課題與新挑戰(zhàn)。綜合多個權威機構對網絡安全未來趨勢預測：1）國際網絡空間的掌控權爭奪更激烈。2）全球網絡空間軍備競賽進一步加劇。3）有組織大規(guī)模網絡攻擊及威脅大增。4）移動互聯(lián)網各種安全問題持續(xù)劇增。5）智能互聯(lián)設備等成為網絡攻擊新目標。6）各種網絡控制等應用系統(tǒng)安全風險加大。7）網絡安全突發(fā)事件將繼續(xù)造成更大損失。8）網絡安全產業(yè)快速發(fā)展且人才需求加大。9）跨區(qū)域大規(guī)模網絡信息泄露事件頻發(fā)。

1.1

網絡空間安全威脅及途徑

1.2.1網絡安全相關概念、目標和特點

1.2網絡安全的概念、特點和內容

北京警方2020年破獲電信網絡詐騙案件8600余起，為群眾止損37億余元。共抓獲犯罪嫌疑人8300余名，同比上升近八成。重點類案為主攻，全鏈條開展打擊防范。將冒充公檢法機關詐騙、“殺豬盤”、貸款、冒充客服、刷單等突出類案作為主攻方向，通過96110反詐專用號碼發(fā)送提示短信、撥打電話等方式開展勸阻工作，最高一起避免群眾損失1400余萬元。之前，曾經出現(xiàn)多位大學生被騙學費導致自殺或猝死等案件，使電信網絡詐騙案件成為最受矚目的社會熱點之一，全國公安等機構為破解多年頑疾進行重點整治。案例1-7

信息安全(InformationSecurity)指系統(tǒng)硬件、軟件及其信息受到保護,并持續(xù)正常運行和服務.信息安全的實質是保護信息系統(tǒng)和信息資源免受各種威脅、干擾和破壞,即保證信息的安全性。主要目標是防止信息被非授權泄露、更改、破壞或被非法的系統(tǒng)辨識與控制,確保信息的保密性、完整性、可用性、可控性和可審查性(信息安全5大特征)。在《計算機信息系統(tǒng)安全保護條例》中指出，計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的配套設備、設施（含網絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)安全運行。

國際標準化組織（ISO）提出信息安全給出的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術及管理防護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然及惡意的原因而遭到破壞、更改和泄漏。1）信息安全與網絡安全相關概念1.2網絡安全的概念、特點和內容

網絡安全（NetworkSecurity）指利用網絡技術、管理和控制等措施，保證網絡系統(tǒng)和信息的保密性、完整性、可用性、可控性和可審查性受到保護。即保證網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源得到完整、準確、連續(xù)運行與服務不受干擾破壞和非授權使用。ISO/IEC27032的網絡安全定義則是指對網絡的設計、實施和運營等過程中的信息及其相關系統(tǒng)的安全保護。

注意：網絡安全不僅限于計算機網絡安全，還包括手機網絡安全等。實際上，網絡安全是一個相對性的概念。世界上不存在絕對的安全，過分提高網絡的安全性可能降低網絡傳輸速度等方面的性能，而且浪費資源和成本代價。

網絡空間安全（CyberspaceSecurity）是針對網絡空間中的信息在產生、傳輸、存儲、處理等環(huán)節(jié)中所面臨的威脅和防御措施,以及網絡和系統(tǒng)本身的安全和防護機制。不僅包括傳統(tǒng)信息安全所研究的信息的保密性、完整性和可用性，還包括構成網絡空間基礎設施的安全和可信。需要明確信息安全、網絡安全、網絡空間安全概念之異同，三者均屬于非傳統(tǒng)安全，均聚焦于信息安全問題。網絡安全及網絡空間的核心是信息安全。只是出發(fā)點和側重點有所差別。廣義網絡安全1.2網絡安全的概念、特點和內容

網絡安全的目標是指在網絡的信息傳輸、存儲與處理的整個過程中，提高物理上邏輯上的防護、監(jiān)控、反應恢復和對抗的要求。網絡安全的主要目標是通過各種技術與管理等手段，實現(xiàn)網絡信息的保密性、完整性、可用性、可控性和可審查性（網絡信息安全5大特征）。其中保密性、完整性、可用性是網絡安全的基本要求。網絡安全包括兩大方面，一是網絡系統(tǒng)的安全，二是網絡信息（數(shù)據(jù)）的安全，網絡安全的最終目標和關鍵是保護網絡信息的安全。網絡信息安全的特征反映了網絡安全的具體目標要求。

2）網絡安全的目標及特征1.2網絡安全的概念、特點和內容

網絡信息安全5大特征：(1)保密性（Confidentiality）。也稱機密性,是不將有用信息泄漏給非授權用戶的特性，主要強調有用信息只被授權對象使用的特征?？梢酝ㄟ^信息加密、身份認證、訪問控制、安全通信協(xié)議等技術實現(xiàn)，信息加密是防止信息非法泄露的最基本手段。(2)完整性（Integrity）。是指信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或隨意刪改、不丟失和信息未經授權不能改變的特性，也是最基本的安全特征。(3)可用性。也稱有效性（Availability），指信息資源可被授權實體按要求訪問、正常使用或在非正常情況下可恢復使用的特性（系統(tǒng)面向用戶服務的安全特性）。在系統(tǒng)運行時正確存取所需信息，當系統(tǒng)遭受意外攻擊或破壞時，可以迅速恢復并能投入使用。是衡量網絡信息系統(tǒng)面向用戶的一種安全性能，以保障為用戶提供服務。(4)可控性（Controllability）.指系統(tǒng)對信息內容和傳輸具有控制能力的特性,指網絡系統(tǒng)中的信息在一定傳輸范圍和存放空間內可控程度。(5)可審查性。又稱拒絕否認性（No-repudiation）、抗抵賴性或不可否認性，指網絡通信雙方在信息交互過程中，確信參與者本身和所提供的信息真實同一性，即所有參與者不可否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。1.2網絡安全的概念、特點和內容1.2.2網絡安全的內容及側重點

網絡安全主要內容：從最初的網絡信息保密性發(fā)展到信息的完整性、可用性、可控性和可審查性，進而又發(fā)展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等相關內容。從層次結構上，網絡安全主要內容概括為五個方面：實體安全、系統(tǒng)安全、運行安全、管理安全和應用安全,如圖1-2。網絡安全相關內容及其相互關系，如圖1-3.

1.2網絡安全的概念、特點和內容圖1-2網絡安全的主要內容

圖1-3網絡安全相關內容及其相互關系

全球各種網絡用戶的數(shù)量和隱患急劇增加。據(jù)權威機構估計，到2025年，全球網絡用戶上升至約60億戶,

其中，中國大陸地區(qū)互聯(lián)網用戶數(shù)量急劇增加,網絡用戶上升至約13億戶，網民規(guī)模、寬帶網民數(shù)、國家頂級域名注冊量三項指標仍居世界第一。各種網絡操作系統(tǒng)及應用程序的漏洞隱患不斷出現(xiàn)，相比發(fā)達國家在網絡安全技術、網絡用戶安全意識和防范能力都比較薄弱，更容易帶來更多的網絡安全威脅、隱患和風險。案例1-81.2網絡安全的概念、特點和內容

網絡安全涉及的內容包括技術和管理等多個方面，需要相互補充、綜合協(xié)同防范。技術方面主要側重于防范外部非法攻擊，管理方面則側重于內部人為因素的管理。更有效地保護重要數(shù)據(jù)、提高網絡系統(tǒng)的安全性，已成為必須解決的一個重要問題。網絡安全的關鍵及核心是確保網絡系統(tǒng)中的信息安全，凡涉及網絡信息的可靠性、保密性、完整性、有效性、可控性和可審查性的理論、技術與管理都屬于網絡安全的研究范疇，不同人員或部門對網絡安全內容的側重點有所不同。1）網絡安全工程人員。從實際應用角度出發(fā)，更注重成熟的網絡安全解決方案和新型產品，注重網絡安全工程建設開發(fā)與管理、安全防范工具、操作系統(tǒng)防護技術和安全應急處理措施等。2）網絡安全研究人員。注重從理論上采用數(shù)學等方法精確描述安全問題的特征，之后通過安全模型等解決具體網絡安全問題。3）網絡安全評估人員。主要關注網絡安全評價標準與準則、安全等級劃分、安全產品測評方法與工具、網絡信息采集、網絡攻擊及防御技術和采取的有效措施等。1.2網絡安全的概念、特點和內容4）網絡管理員或安全管理員。主要側重網絡安全管理策略、身份認證、訪問控制、入侵檢測、防御與加固、網絡安全審計、應急響應和計算機病毒防治等安全技術和措施。主要職責是配置與維護網絡，在保護授權用戶方便快捷地訪問網絡資源的同時，必須防范非法訪問、病毒感染、黑客攻擊、服務中斷和垃圾郵件等各種威脅，一旦系統(tǒng)遭到破壞，致使數(shù)據(jù)或文件造成損失，可以采取相應的應急響應和恢復等措施。5）國家安全保密人員。注重網絡信息泄露、竊聽和過濾的各種技術手段，以避免涉及國家政治、軍事、經濟等重要機密信息的無意或有意泄露；抑制和過濾威脅國家安全的暴力與邪教等信息傳播，以免給國家的穩(wěn)定帶來不利的影響，甚至危害國家安全。6）國防軍事相關人員。更關心信息對抗、信息加密、安全通信協(xié)議、無線網絡安全、入侵攻擊、應急處理和網絡病毒傳播等網絡安全綜合技術，以此奪取網絡信息優(yōu)勢、擾亂敵方指揮系統(tǒng)、摧毀敵方網絡基礎設施，打贏未來信息戰(zhàn)爭。

注意：所有網絡用戶都應關心網絡安全問題，注意保護個人隱私和商業(yè)信息不被竊取、篡改、破壞和非法存取，確保網絡信息的保密性、完整性、有效性和可審查性。1.2網絡安全的概念、特點和內容1.3.1網絡安全技術相關概念網絡安全技術(NetworkSecurityTechnology)是指為解決網絡安全問題進行有效監(jiān)控和管理,保障數(shù)據(jù)及系統(tǒng)安全的技術手段.包括實體安全技術、網絡系統(tǒng)安全、數(shù)據(jù)安全、密碼及加密技術、身份認證、訪問控制、防惡意代碼、檢測防御、管理與運行安全技術等，以及確保安全服務和安全機制的策略等。1.3.2常用的網絡安全技術常用網絡安全技術，可以歸納為三大類：1）預防保護類。主要包括身份認證、訪問管理、加密、防惡意代碼、入侵防御和加固等。2）檢測跟蹤類。對網絡客體訪問行為需要監(jiān)控、檢測和審計跟蹤，防止在訪問過程中可能產生的安全事故的各種舉措。3）響應恢復類。一旦發(fā)生重大安全故障，采取應急預案呵有效措施，確保在最短時間內對其事件應急響應和備份恢復,盡快將其損失和影響降至最低。1.3網絡安全常用技術

某銀行以網絡安全業(yè)務價值鏈的概念，將網絡安全的技術手段分為預防保護類、檢測跟蹤類和響應恢復類等三大類，如圖1-4所示.（2）常用網絡空間安全技術案例1-9圖1-4常用的網絡安全技術1.3網絡安全常用技術主要常用網絡安全技術有8種，包括：1）身份認證（IdentityandAuthentication）。通過網絡身份的一致性確認，保護網絡授權用戶的正確存儲、同步、使用、管理和控制，防止別人冒用或盜用的技術手段。2）訪問管理（AccessManagement）。保障授權用戶在其權限內對授權資源進行正當使用，防止非授權使用的措施。3）加密(Cryptograghy).加密技術是最基本的網絡安全手段.包括:加密算法、密鑰長度確定、密鑰生命周期(生成、分發(fā)、存儲、輸入輸出、更新、恢復、銷毀等)安全措施和管理等。4）防惡意代碼（Anti-Malicode）。建立健全惡意代碼（計算機病毒及流氓軟件）的預防、檢測、隔離和清除機制，預防惡意代碼入侵，迅速隔離查殺已感染病毒，識別并清除網內惡意代碼。1.3網絡安全常用技術5）加固（Hardening）。對系統(tǒng)漏洞及隱患，采取一定必要的安全防范措施，主要包括：安全性配置、關閉不必要的服務端口、系統(tǒng)漏洞掃描、滲透性測試、安裝或更新安全補丁及增設防御功能和對特定攻擊預防手段等，提高系統(tǒng)自身的安全。6）監(jiān)控（Monitoring）。通過監(jiān)控用戶主體的各種訪問行為，確保對網絡等客體的訪問過程中安全的技術手段。7）審核跟蹤（AuditTrail）。對網絡系統(tǒng)異常訪問、探測及操作等事件及時核查、記錄和追蹤。利用多項審核跟蹤不同活動。8）備份恢復（BackupandRecovery）。為了在網絡系統(tǒng)出現(xiàn)異常、故障或入侵等意外情況時，及時恢復系統(tǒng)和數(shù)據(jù)而進行的預先備份等技術方法。備份恢復技術主要包括四個方面：備份技術、容錯技術、冗余技術和不間斷電源保護。1.3網絡安全常用技術

常用描述網絡安全整個過程和環(huán)節(jié)的網絡安全模型為PDRR模型：防護(Protection)、檢測(Detection)、響應(Reaction)和恢復(Recovery)如圖1-5.在上述模型的基礎上,以“檢查準備、防護加固、檢測發(fā)現(xiàn)、快速反映、確?；謴?、反省改進”的原則,經過改進得到另一個網絡系統(tǒng)安全生命周期模型—IPDRRR模型,如圖1-6。1.3.3網絡安全常用模型

網絡安全模型主要用于構建網絡安全體系和結構,進行網絡安全解決方案制定、規(guī)劃、設計和實施等，也可用于實際應用網絡安全實施過程的描述和研究。圖1-5網絡安全PDRR模型圖1-6系統(tǒng)安全生命周期模型(1)網絡安全PDRR模型

1.3網絡安全常用技術

（2）網絡安全常用模型利用互聯(lián)網將數(shù)據(jù)報文從源站主機傳輸?shù)侥康恼局鳈C，需要協(xié)同處理與交換。通過建立邏輯信息通道，可以確定從源站經過網絡到目的站的路由及兩個主體協(xié)同使用TCP/IP的通信協(xié)議。其網絡安全常用模型如圖1-7,缺點是并非所有情況都常用。

圖1-7網絡安全常用模型

對網絡信息進行安全處理，需要可信的第三方進行兩個主體在報文傳輸中的身份認證。構建網絡安全系統(tǒng)時，網絡安全模型基本任務主要有4個：選取一個秘密信息或報文；設計一個實現(xiàn)安全的轉換算法；開發(fā)一個分發(fā)和共享秘密信息的方法；確定兩個主體使用的網絡協(xié)議,以便利用秘密算法與信息,實現(xiàn)特定的安全服務。1.3網絡安全主要常用技術

（3）網絡訪問安全模型

在訪問網絡過程中，針對黑客攻擊、病毒侵入及非授權訪問,常用網絡訪問安全模型。黑客攻擊形成兩類威脅：一是訪問威脅，即非授權用戶截獲或修改數(shù)據(jù)；二是服務威脅，即服務流激增以禁止合法用戶使用。對非授權訪問的安全機制可分為兩類：一是網閘功能，包括基于口令的登錄過程可拒絕所有非授權訪問，以及屏蔽邏輯用于檢測、拒絕病毒、蠕蟲和其他類似攻擊；二是內部的安全控制，若非授權用戶得到訪問權，第二道防線將對其進行防御,包括各種內部監(jiān)控和分析,以檢查入侵者。如圖1-7。圖1-7網絡訪問安全模型防火墻1.3網絡安全主要常用技術

（4）網絡安全防御模型

“防患于未然”是最好的保障，網絡安全的關鍵是預防，同時做好內網與外網的隔離保護?？梢酝ㄟ^如圖1-8所示的網絡安全防御模型構建的系統(tǒng)保護內網。圖1-8網絡安全防御模型1.3網絡安全主要常用技術1.4網絡安全建設發(fā)展狀況及趨勢

1.4.1國外網絡安全建設發(fā)展狀況

1）完善法律法規(guī)和制度建設。世界很多發(fā)達國家從立法、管理、監(jiān)督和教育等方面都采取了相應的有效措施，加強對網絡的規(guī)范管理。一些國家以網絡實名制進行具體的網絡管理，為網絡安全奠定了重要基礎。起到了重大威懾作用。2）網絡安全保障體系。面對各種網絡威脅、信息戰(zhàn)和安全隱患暴露出的問題，以及新的安全威脅、新的安全需求和新的網絡環(huán)境等，促使很多發(fā)達國家正在完善各種以深度防御為重點的整體安全平臺——網絡信息安全保障體系。3）網絡系統(tǒng)安全測評。包括安全產品測評和基礎設施安全性測評技術。針對重要安全機構或部門進一步加強安全產品測評技術，采用世界上先進的新型安全產品并完善和優(yōu)化管理機制，并進行安全等級標準、測試和其他有效措施。4）網絡安全防護技術。在對各種傳統(tǒng)的網絡安全技術進行更深入的探究的同時，創(chuàng)新和改進新技術新方法，研發(fā)新型的智能入侵防御系統(tǒng)、統(tǒng)一威脅管理與加固等多種新技術。研發(fā)新型的生物識別、公鑰基礎設施PKI（PublicKeyInfrastructure）和智能卡訪問控制技術，并將生物識別與測量技術作為一個新的研究重點，實現(xiàn)遠程人臉識別等技術。5）故障應急響應處理。在很多災難性事件中，可以看出應急響應技術極為重要。主要包括3個方面：突發(fā)事件處理（包括備份恢復技術）、追蹤取證的技術手段、事件或具體攻擊的分析。

6）網絡系統(tǒng)各種可靠性、生存及應急恢復機制和措施等。7）網絡安全信息關聯(lián)分析。美國等國家在捕獲攻擊信息和新型掃描技術等方面取得了突破。有效地克服了面對各種龐雜多變的網絡攻擊和威脅，僅對單個系統(tǒng)入侵監(jiān)測和漏洞掃描，很難及時將不同安全設備和區(qū)域的信息進行關聯(lián)分析，也無法快速準確掌握攻擊策略信息等。8）密碼新技術研究。我國在密碼新技術研究取得一些國際領先成果。在深入傳統(tǒng)密碼技術研究同時，重點進行量子密碼等新技術的研究，包括兩個方面：一是利用量子計算機對傳統(tǒng)密碼體制進行分析；二是利用量子密碼學實現(xiàn)信息加密和密鑰管理。

俄羅斯遭到大范圍網絡攻擊。俄塔社援引俄網絡安防公司StormWall的數(shù)據(jù)稱，自2022年2月24日以來,俄羅斯能源、金融、制造、電信等行業(yè)的一系列大型企業(yè)遭到黑客攻擊，其中包括俄天然氣工業(yè)股份公司、盧克石油公司、諾里爾斯克鎳業(yè)集團、Yandex、俄聯(lián)邦儲蓄銀行等，及時采取應急響應處理.網絡攻擊主要來自美國28.9%和歐盟46.7%。

案例1-101.4網絡安全建設發(fā)展狀況及趨勢

1.4.2我國網絡安全建設發(fā)展現(xiàn)狀

我國極為重視網絡安全建設，并采取了一系列重大舉措。我國起步晚發(fā)展快，主要體現(xiàn)在：1）強化網絡安全法制化管理與保障。國家高度重視并成立“國家網絡信息安全領導小組”且國家主席親自抓，并進一步加強并完善了網絡安全方面的法律法規(guī)、準則與規(guī)范、規(guī)劃與策略、規(guī)章制度、保障體系、管理技術、機制與措施、管理方法和安全管理人員隊伍及素質能力等。2）大力加強自主知識產權新技術研究。我國對網絡安全工作高度重視，以《國家安全戰(zhàn)略綱要》將網絡空間安全納入國家安全戰(zhàn)略。1.4網絡安全建設發(fā)展狀況及趨勢

3）強化網絡安全標準準則及規(guī)范。我國網絡安全等級保護制度2.0標準正式頒布實施，包括《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》和《網絡安全等級保護安全設計技術要求》等,強化了網絡安全等級保護制度和標準化。4）提升網絡安全測試與評估。測試評估標準正在不斷完善，測試評估的自動化工具有所加強，測試評估的手段不斷提高，滲透性測試的技術方法正在增強，評估網絡整體安全性進一步提高。1.4網絡安全建設發(fā)展狀況及趨勢

1.4.2我國網絡安全建設發(fā)展現(xiàn)狀5）應急響應與系統(tǒng)恢復。應急響應能力是衡量網絡系統(tǒng)生存性的重要指標。目前，我國應急處理的能力正在加強，缺乏系統(tǒng)性和完整性問題正在改善，對檢測系統(tǒng)漏洞、入侵行為、安全突發(fā)事件等方面研究進一步提高。但在跟蹤定位、現(xiàn)場取證、攻擊隔離等技術研究和產品尚存不足。在系統(tǒng)恢復方面以磁盤鏡像備份、數(shù)據(jù)備份為主，以提高系統(tǒng)可靠性。應加強研發(fā)先進的關鍵技術。6）網絡安全檢測防御技術。網絡安全檢測是信息保障的動態(tài)措施，通過入侵檢測、漏洞掃描等手段，定期對系統(tǒng)進行安全檢測和評估，及時發(fā)現(xiàn)安全問題，進行安全預警和漏洞修補，防止發(fā)生重大信息安全事故。。7）密碼新技術研究。重點進行量子密碼等新技術研究，主要包括兩個方面：一是利用量子計算機對傳統(tǒng)密碼體制分析；二是利用量子密碼學實現(xiàn)信息加密和密鑰管理。取得很多國際領先的新技術新成果。1.4網絡安全建設發(fā)展現(xiàn)狀及趨勢

1.4.2我國網絡安全建設發(fā)展現(xiàn)狀1.5.1實體安全的概念及內容

*1.5實體安全與隔離技術

1.實體安全的概念

實體安全（PhysicalSecurity）也稱物理安全，指保護網絡設備、設施及其他媒體免遭地震、水災、火災、有害氣體和其他環(huán)境事故破壞的措施及過程。主要是對計算機及網絡系統(tǒng)的環(huán)境、場地、設備和人員等方面,采取的各種安全技術和措施。實體安全是整個網絡系統(tǒng)安全的重要基礎和保障。主要側重環(huán)境、場地和設備的安全，以及實體訪問控制和應急處置計劃等。計算機網絡系統(tǒng)受到的威脅和隱患,很多是與計算機網絡系統(tǒng)的環(huán)境、場地、設備和人員等方面有關的實體安全問題。

1.5.1實體安全的概念及內容

實體安全的目的是保護計算機、網絡服務器、交換機、路由器、打印機等硬件實體和通信設施免受自然災害、人為失誤、犯罪行為的破壞，確保系統(tǒng)有一個良好的電磁兼容工作環(huán)境，將有害的攻擊進行有效隔離。

2.實體安全的內容及措施實體安全的內容主要包括環(huán)境安全、設備安全和媒體安全三個方面，主要指五項防護（簡稱5防）：防盜、防火、防靜電、防雷擊、防電磁泄漏。特別是，應當加強對重點數(shù)據(jù)中心、機房、服務器、網絡及其相關設備和媒體等實體安全的防護。*1.5實體安全與隔離技術

1）防盜。由于網絡核心部件是偷竊者的主要目標，而且，這些設備存放大量重要資料，被偷竊所造成的損失可能遠遠超過計算機及網絡設備本身的價值，因此，必須采取嚴格防范措施，以確保計算機、服務器及網絡等相關設備不丟失。2）防火。網絡中心的機房發(fā)生火災一般是由于電氣原因、人為事故或外部火災蔓延等引起的。3）防靜電。一般靜電由物體間的相互摩擦、接觸而產生,計算機顯示器也會產生很強的靜電。靜電產生后,由于未能釋放而保留在物體內會有很高的電位其能量不斷增加,從而產生靜電放電火花，造成火災，可能使大規(guī)模集成電器損壞。4）防雷擊。由于傳統(tǒng)避雷針防雷，不僅增大雷擊可能性，而且產生感應雷，可能使電子信息設備被損壞，也是易燃易爆物品被引燃起爆的主要原因。5）防電磁泄漏。電腦、服務器及網絡等設備，工作時會產生電磁發(fā)射。電磁發(fā)射主要包括輻射發(fā)射和傳導發(fā)射.可能被高靈敏度的接收設備進行接收、分析、還原，造成信息泄露。2.實體安全的內容及措施*1.5實體安全與隔離技術

1.5.2媒體安全與物理隔離技術

1.媒體及其數(shù)據(jù)的安全保護1.媒體及其數(shù)據(jù)的安全保護媒體及其數(shù)據(jù)安全保護,是指對媒體數(shù)據(jù)和媒體本身的安全保護。1)媒體安全。媒體安全主要指對媒體及其數(shù)據(jù)的安全保管，目的是保護存儲在媒體上重要資料。保護媒體的安全措施主要有兩個方面：媒體的防盜與防毀，防毀指防霉和防砸及其他可能的破壞或影響。2)媒體數(shù)據(jù)安全.媒體數(shù)據(jù)安全主要指對媒體數(shù)據(jù)的保護.為了防止被刪除或被銷毀的敏感數(shù)據(jù)被他人恢復,必須對媒體機密數(shù)據(jù)進行安全刪除或安全銷毀.保護媒體數(shù)據(jù)安全的措施主要有三個方面：1）媒體數(shù)據(jù)的防盜，如防止媒體數(shù)據(jù)被非法拷貝；2）媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數(shù)據(jù)的徹底銷毀（如消磁等），防止媒體數(shù)據(jù)刪除或銷毀后被他人恢復而泄露信息；3）媒體數(shù)據(jù)的防毀，防止媒體數(shù)據(jù)的損壞或丟失等。*1.5實體安全與隔離技術

1.5.2媒體安全與物理隔離技術

2.物理隔離技術物理隔離技術是一種以隔離方式進行防護的手段。目的是在現(xiàn)有安全技術的基礎上，將威脅隔離在可信網絡之外，保證可信網絡內部信息安全的前提下，完成內外網絡數(shù)據(jù)的安全交換。(1)物理隔離的安全要求物理隔離的安全要求主要有3點：1）隔斷內外網絡傳導。在物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接泄漏到外部網。2）隔斷內外網絡輻射。在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄漏到外部網。3）隔斷不同存儲環(huán)境。在物理存儲上隔斷兩個網絡環(huán)境，對于斷電后會遺失信息的部件，如內存等。*1.5實體安全與隔離技術

1.5.2媒體安全與物理隔離技術

(2)物理隔離技術的三個階段第一階段：徹底物理隔離。利用物理隔離卡、安全隔離計算機和交換機使網絡隔離，兩個網絡之間無信息交流，所以也就可以抵御所有的網絡攻擊，適用于一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網絡的應用環(huán)境。第二階段：協(xié)議隔離。協(xié)議隔離是采用專用協(xié)議（非公共協(xié)議）來對兩個網絡進行隔離，并在此基礎上實現(xiàn)兩個網絡之間的信息交換。協(xié)議隔離技術由于存在直接的物理和邏輯連接，仍然是數(shù)據(jù)包的轉發(fā)，一些攻擊依然出現(xiàn)。第三階段：網閘隔離技術。主要通過網閘等隔離技術對高速網絡進行物理隔離，使高效的內外網數(shù)據(jù)仍然可以正常進行交換，而且控制網絡的安全服務及應用。(3)物理隔離的性能要求采取安全措施可能對性能產生一定影響，物理隔離將導致網絡性能和內外數(shù)據(jù)交換不便。*1.5實體安全與隔離技術

技術手段優(yōu)點缺點典型產品徹底的物理隔離能夠抵御所有的網絡攻擊兩網絡間無信息交流聯(lián)想網御物理隔離卡、開天雙網安全電腦、偉思網絡安全隔離集線器協(xié)議隔離能抵御基于TCP/IP協(xié)議的網絡掃描與攻擊等行為有些攻擊可穿越網絡京泰安全信息交流系統(tǒng)2.0、東方DF-NS310物理隔離網關物理隔離網閘不但實現(xiàn)了高速的數(shù)據(jù)交換，還有效地杜絕了基于網絡的攻擊行為應用種類受到限制偉思ViGAP、天行安全隔離網閘(TopWalk-GAP)和聯(lián)想網御SIS3000系列安全隔離網閘表1-5物理隔離主要技術手段

*1.5實體安全與隔離技術

1.6本章小結本章小結主要結合典型案例概述了網絡空間安全的威脅及發(fā)展態(tài)勢、威脅途徑及種類并對產生網絡安全的風險及隱患的系統(tǒng)問題、操作系統(tǒng)漏洞、網絡數(shù)據(jù)庫問題、防火墻局限性、管理和其他各種因素進行了概要分析.著重介紹了信息安全概念和屬性特征,以及網絡安全的概念、目標、內容和側重點.重點概述了網絡安全技術的概念、常用的網絡安全技術（身份認證、訪問管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復）和網絡安全模型。介紹了國內外網絡安全建設與發(fā)展的概況，概要分析了國際領先技術、國內存在的主要差距和網絡安全技術的發(fā)展趨勢。最后，概述了實體安全的概念、內容、媒體安全與物理隔離技術，以及網絡安全實驗前期準備所需的構建虛擬網的過程和主要方法等。網絡安全的最終目標和關鍵是保護網絡系統(tǒng)信息資源安全,做好預防“防患于未然”是確保網絡安全的最好舉措.世界上并沒有絕對的安全,網絡安全是個系統(tǒng)工程,需要多方面互相密切配合、綜合防范才能收到實效。

虛擬局域網(VLAN)是一種將局域網設備從邏輯上劃分成多個網段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術。主要用于交換機和路由器。虛擬機（VM）是運行于主機系統(tǒng)中的虛擬系統(tǒng)。可以模擬物理計算機的硬件控制模式，具有系統(tǒng)運行的大部分功能和部分其他擴展功能。虛擬技術不僅經濟，可用于模擬具有一定風險的網絡安全相關實驗1.7.1選做1VMware虛擬局域網的構建

1.實驗目的

安裝和配置虛擬機,建立虛擬局域網主要目的：

1）為網絡安全試驗做準備。利用虛擬機軟件可以構建虛擬網，模擬復雜的網絡環(huán)境，可以讓用戶在單機上實現(xiàn)多機協(xié)同作業(yè)，進行網絡協(xié)議分析等功能。2）網絡安全實驗可能對系統(tǒng)具有一定破壞性，虛擬局域網可以保護物理主機和網絡的安全。而且一旦虛擬系統(tǒng)癱瘓后，也可以在數(shù)秒內得到恢復。3）利用VMwareWorkstationPro16

虛擬機安裝Windows10，可以實現(xiàn)在一臺機器上同時運行多個操作系統(tǒng)，以及一些其他操作功能，例如屏幕捕捉、歷史重現(xiàn)等。*1.7實驗1構建虛擬局域網1.7.2實驗要求及方法1．實驗要求(1)預習準備由于本實驗內容是為了后續(xù)的網絡安全實驗做準備，因此，最好提前做好虛擬局域網“預習”或對有關內容進行一些了解。1）Windows10原版光盤鏡像：Windows10/11開發(fā)者預覽版下載。2）VMware16虛擬機軟件下載:VMwareWorkstationPro16.(2)注意事項及特別提醒安裝VMware時，需要將設置中的軟盤移除，以免可能影響Windows10聲音或網絡。由于網絡安全技術更新快、技術、方法和軟硬件產品種類繁多，可能具體版本和界面等方面不盡一致或有所差異。特別是在具體實驗步驟中更應當多注重關鍵的技術方法，做到“舉一反三、觸類旁通”，不要死鉆“牛角尖”過分扣細節(jié)。(3)注意實驗步驟和要點安裝完成虛擬軟件和設置以后，需要重新啟動才可正常進行使用。實驗用時：2學時（90–120分鐘）*1.7實驗1構建虛擬局域網以太網交換機A4B1以太網交換機VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網交換機以太網交換機三個虛擬局域網VLAN1,VLAN2和VLAN3

的構成當B1

向VLAN2

工作組內成員發(fā)送數(shù)據(jù)時，工作站B2和B3將會收到廣播的信息。虛擬局域網2．實驗方法構建虛擬局域網VLAN方法很多?？捎肳indows自帶的連接設置方式，通過“網上鄰居”建立。也可在WindowsServer2016運行環(huán)境下，安裝虛擬機軟件。主要利用虛擬存儲空間和操作系統(tǒng)提供的技術支持，使虛擬機上的操作系統(tǒng)通過網卡和實際操作系統(tǒng)進行通信。真實機和虛擬機可以通過以太網通信，形成小型的局域網環(huán)境。1）利用虛擬機軟件在一臺計算機中安裝多臺虛擬主機，構建虛擬局域網，可以模擬復雜的真實網絡環(huán)境，讓用戶在單機上實現(xiàn)多機協(xié)同作業(yè)。2）由于虛擬局域網是個“虛擬系統(tǒng)”，所以一旦遇到網絡攻擊甚至造成系統(tǒng)癱瘓，實際的物理網絡系統(tǒng)并沒有受到影響和破壞，所以，虛擬局域網可在較短時間內得到恢復。3）在虛擬局域網絡上，可以實現(xiàn)在一臺機器上同時運行多個操作系統(tǒng)。*1.7實驗1構建虛擬局域網1.7.3實驗內容及步驟VMwareWorkstation是一款功能強大桌面虛擬軟件,可在安全、可移植的虛擬機中運行多種操作系統(tǒng)和應用軟件,為用戶提供同時運行不同操作系統(tǒng)和開發(fā)、測試、部署新的應用程序的最佳解決方案。每臺虛擬機相當于包含網絡地址的PC機建立VLAN。VMware基于VLAN，可為分布在不同范圍、不同物理位置的計算機組建虛擬局域網，形成一個具有資源共享、數(shù)據(jù)傳送、遠程訪問等功能的局域網。利用VMware虛擬機安裝Windows，并可以建立虛擬局域網VLAN。（1）安裝VMware。安裝及使用虛擬機向導界面，如圖1-11及1-12所示。

圖1-11VMware12安裝界面圖1-12使用新建虛擬機向導面

*1.7實驗1構建虛擬局域網

（2）用Workstation“虛擬機向導”，從磁盤或ISO映像在虛擬機中安裝Windows10，分別如圖1-13及圖1-14所示。

圖1-13使用新建虛擬機向導界面圖1-14選擇Windows界面*1.7實驗1構建虛擬局域網（3）借助Workstation16Pro，可以充分利用Windows10最新功能（如私人數(shù)字助理Cortana、新的Edge網絡瀏覽器中的墨跡書寫功能），還可開始為Windows10設備構建常用應用。甚至可要求Cortana直接從Windows10啟動VMwareWorkstation。（4）設置虛擬機名稱及虛擬機放置位置，具體如圖1-15所示。

圖1-15設置虛