計算機網(wǎng)絡(luò)基礎(chǔ) 課件 第8、9單元 Windows Server 2008 配置、計算機網(wǎng)絡(luò)安全

第8單元WindowsServer2008配置掌握WindowsServer2008所提供的基本服務(wù)。了解WindowsServer2008所使用的協(xié)議。能夠正確配置WindowsServer用戶權(quán)限。能夠正確配置WindowsServer各種網(wǎng)絡(luò)服務(wù)。學(xué)習(xí)目標(biāo)了解WindowsServer2008操作系統(tǒng)。Contents8.1WindowsServer2008概述8.1.1WindowsServer2008簡介

WindowsServer是一個平臺，用于構(gòu)建連接的應(yīng)用程序、網(wǎng)絡(luò)和Web服務(wù)的基礎(chǔ)結(jié)構(gòu)，包括從工作組到數(shù)據(jù)中心。作為WindowsServer系列版本之一，WindowsServer2008直觀、優(yōu)越的性能使其毫無疑問地成為Windows服務(wù)器系列應(yīng)用的優(yōu)良選擇。WindowsServer2008R2版本通過增加補丁程序servicepackl（SPl）可以提供全新的虛擬化技術(shù)和更多的高級功能，在改善計算機效率的同時，還提高了靈活性。無論是希望整合服務(wù)器、構(gòu)建私有云，還是提供虛擬桌面基礎(chǔ)架構(gòu)（VDI），WindowsServer2008強大的虛擬化功能都可以將用戶的數(shù)據(jù)中心和桌面的虛擬化戰(zhàn)略提升到一個新的層次，并且?guī)椭鲃愚k公的員工可以更方便地訪問公司的資源。在安裝WindowsServer2008前，應(yīng)確認(rèn)計算機能夠達(dá)到所需的最低配置。表8-1列出了Windows7和WindowsServer2008的最低配置要求。通過比較可以看岀WindowsServer2008和Windows7是有區(qū)別的，WindowsServer系列專門用于服務(wù)器，Windows系列用于個人家庭用戶。表8-1Windows7和WindowsServer2008的最低配置要求8.1.2WindowsServer2008的安裝過程8.1.2WindowsServer2008的安裝過程

通過虛擬機軟件，可以在一臺物理計算機上模擬出一臺或多臺虛擬的計算機。這些虛擬機完全就像真正的計算機那樣進行工作，比如可以安裝操作系統(tǒng)，安裝應(yīng)用程序，訪問網(wǎng)絡(luò)資源等。接下來，以WindowsServer2008R2StandardEdition為例，演示通過VMwareWorkstation16Pro軟件安裝WindowsServer2008R2操作系統(tǒng)的步驟。1.在桌面上雙擊VMwareWorkstation快捷鍵圖標(biāo)（如果之前沒有安裝，請參考相關(guān)教程，完成安裝），選擇“創(chuàng)建新的虛擬機”。按照新建虛擬機向?qū)ы撁孢M行設(shè)置，如圖8-1所示，圖8-1創(chuàng)建新的虛擬機圖8-2安裝客戶機操作系統(tǒng)頁面2.在安裝客戶機操作系統(tǒng)頁，選擇“稍后安裝操作系統(tǒng)（S）”,單擊“下一步”按鈕，如圖8-2所示。

3.在下一頁中選擇“典型（推薦）（T）”選項，單擊“下一步”按鈕，如圖8-3所示。圖8-3類型配置選擇頁面圖8-4客戶機操作系統(tǒng)配置頁面4.在選擇客戶機操作系統(tǒng)頁面上，選擇MicrosoftWindows(W)，版本列表中選擇WindowsServer2008R2x64,單擊“下一步”按鈕，如圖8-4所示。5.在命名虛擬機頁面，填寫虛擬機名稱，如“WindowsServer2008R2x64”，選擇本地保存位置，如“D：\WinServer2008”，如圖8-5所示，單擊“下一步”按鈕。圖8-5命名虛擬機頁面6.在指定磁盤容量頁面，采用默認(rèn)選項，單擊“下一步”按鈕。7.在已準(zhǔn)備創(chuàng)建虛擬機頁面，單擊“完成”按鈕，虛擬機安裝完成界面如圖8-6所示。圖8-6虛擬機安裝完成頁面8.1.3配置新創(chuàng)建的虛擬機1.在圖8-6虛擬機安裝完成頁面，單擊“編輯虛擬機設(shè)置”。進入虛擬機設(shè)置的硬件選項頁，選擇使用ISO映像文件，如圖8-7所示，圖8-7選擇使用ISO映像文件2.在圖8-6虛擬機安裝完成頁面，單擊“開啟此虛擬機”，進入安裝頁面，采用默認(rèn)設(shè)置，單擊下一步，如圖8-7所示。圖8-7安裝windows頁面3.在選擇操作系統(tǒng)頁面上，選擇WindowsServer2008R2Standard（完全安裝）,如圖8-8所示，單擊“下一步”按鈕。圖8-8選擇操作系統(tǒng)頁面4.在閱讀許可條款頁面，選擇“接受許可條款”，如圖8-9所示，單擊“下一步”按鈕。圖8-9閱讀許可條款頁面5.在安裝類型選擇頁面，選擇“自定義（高級）”，如圖8-10所示，單擊“下一步”按鈕。圖8-10安裝類型選擇頁面6.在安裝位置選擇頁面，單擊“下一步”按鈕，等待安裝完畢，會重新啟動，然后進入如圖8-11所示頁面。圖8-11安裝完成頁面7.在圖8-11上單擊“確定”按鈕，為Administrator用戶設(shè)置密碼，需要滿足密碼復(fù)雜度規(guī)則的要求，即字母、數(shù)字、特殊符號均要包含，例如，使用“Wserver123!”作為密碼。密碼設(shè)置完成登錄系統(tǒng)，如圖8-12所示。圖8-12密碼修改完成登錄系統(tǒng)頁面8.1.4WindowsServer2008的網(wǎng)絡(luò)組件作為一款網(wǎng)絡(luò)服務(wù)器軟件,WindowsServer2008最基礎(chǔ)的操作是添加網(wǎng)絡(luò)組件。可以通過圖8-12所示的“初始配置任務(wù)”窗口設(shè)置,也可以通過服務(wù)管理器設(shè)置。在“初始配置任務(wù)”窗口中,主要分為提供計算機信息、更新服務(wù)器和自定義服務(wù)器3個模塊,其中計算機信息和自定義服務(wù)器會在后面介紹。Windows的服務(wù)器更新功能默認(rèn)為自動更新,如果用戶希望對自己計算機的行為進行高度控制,應(yīng)將更新設(shè)置為手動更新。這樣可以有效地分配資源,避免在服務(wù)的高峰期時計算機卻在做一些并不是高優(yōu)先級的事務(wù)。圖8-13所示為服務(wù)器更新提示對話框。圖8-13啟用windows自動更新和反饋對話框8.1.5

配置WindowSever2008客戶機

常規(guī)的Windowsserver2008客戶端配置主要包括計算機時間設(shè)置(見圖8-14)、網(wǎng)絡(luò)名稱設(shè)置和網(wǎng)絡(luò)地址設(shè)置等,這里簡單介紹網(wǎng)絡(luò)地址的設(shè)置。圖8-14日期和時間設(shè)置對話框客戶端的基本網(wǎng)絡(luò)配置類似于Windows的其他版本,首先在桌面的右下角找到網(wǎng)絡(luò)圖標(biāo),將鼠標(biāo)指針指向網(wǎng)絡(luò)圖標(biāo)，打開網(wǎng)絡(luò)和共享中心,如圖8-15所示。圖8-15快捷顯示網(wǎng)絡(luò)狀態(tài)接下來的配置與其他版本的Windows設(shè)置步驟基本一致,如圖8-16所示，在“網(wǎng)絡(luò)與共享中心”窗口，單擊“更改適配器設(shè)置”，隨后雙擊“本地連接”，在彈出的窗口中單擊“屬性”按鈕，選擇Internet協(xié)議版本4，雙擊后彈出配置對話框，如圖8-17所示。如果不需要配置IPv6網(wǎng)絡(luò),可以暫不設(shè)置,日后如果有安全需要,可進一步參考相關(guān)資料進行配置。圖8-16“網(wǎng)絡(luò)與共享中心”窗口圖8-17本地網(wǎng)絡(luò)設(shè)置8.2活動目錄和用戶組管理8.2.1活動目錄概述活動目錄(ActiveDirectory)是用于WindowsServer2008的目錄服務(wù),它存儲著網(wǎng)絡(luò)上各種對象的相關(guān)信息,并使這些信息易于管理員和用戶查找及使用。該目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲作為目錄信息邏輯層次結(jié)構(gòu)的基礎(chǔ)。簡單地說,活動目錄是域中的概念,與組相對應(yīng)。局域網(wǎng)中的工作組要求每個工作人員在固定的計算機上工作,并將自己的賬戶信息和文件內(nèi)容存儲在本地計算機上。而活動目錄形象地描述了一個能夠活動的人,即用戶可以在同一個域中的不同計算機上登錄,所使用的資源仍為自己獨有的資源。這是因為所有的賬戶信息與資源都存儲在服務(wù)器上,而不是客戶端上,因此與登錄點無關(guān)。8.2.2安裝活動目錄從本節(jié)開始,將逐個講解WindowsServer2008各種服務(wù)的設(shè)置步驟。WindowsServer2008將所有的服務(wù)程序理解為各種不同的角色,即在網(wǎng)絡(luò)中扮演不同的服務(wù)器角色,從而為所在網(wǎng)絡(luò)提供各種服務(wù)。建議讀者在理解這款軟件的設(shè)計思路后再進行相關(guān)的學(xué)習(xí)操作,而非單純地依照書中提示逐步操作直至完成。誠然我們一直在強調(diào)這只是一款普通的軟件,其設(shè)計應(yīng)該滿足用戶的體驗需求,而非用戶去適應(yīng)它,但作為同行業(yè)者,必須承認(rèn)WindowsServe2008已經(jīng)很大程度地滿足了大多數(shù)操作者的習(xí)慣需求。如果用戶仍然認(rèn)為有很多地方操作不方便,或許說明這正是需要學(xué)習(xí)改進的地方。這里仍然在“初始配置任務(wù)”窗口中操作。首先找到“自定義此服務(wù)器”選項組下的“添加角色”鏈接,如圖8-18所示,單擊該鏈接進入添加角色向?qū)У呐渲谜f明頁面,如圖8-19。圖8-18配置界面圖8-19配置說明界面單擊“下一步”按鈕,打開“選擇服務(wù)器角色”頁面,可根據(jù)需要安裝相關(guān)的ActiveDirectory,如圖8-20所示。WindowsServer2008將活動目錄進行了細(xì)致的分類,用戶可根據(jù)需要自行選擇。圖8-20安裝活動目錄8.2.3用戶設(shè)置與管理從第一個多用戶操作系統(tǒng)開始,計算機用戶的設(shè)置就是計算機的關(guān)鍵技術(shù)之一,用戶管理的配置合理與否往往對計算機網(wǎng)絡(luò)乃至計算機安全有著很大的影響。在實際工作中常常會遇到下面的情況：本機配置的各種服務(wù)正常,但當(dāng)其他客戶機訪問服務(wù)器時始終無法訪問。出現(xiàn)上述情況的原因之一就是用戶管理設(shè)置不當(dāng)。正確地配置用戶賬戶,不僅可以保障服務(wù)器的安全,還能保證服務(wù)器的其他服務(wù)功能正常運轉(zhuǎn)打開圖8-21所示的“控制面板”窗口,單擊“用戶賬戶”選項,打開圖8-22所示的“管理賬戶”窗口,在其中可完成基本的添加、刪除、修改密碼等操作。圖8-21控制面板圖8-22管理賬戶8.2.4組賬戶的設(shè)置和管理WindowsServer2008中組的用戶從直觀上看要多于用戶數(shù),這是因為大多數(shù)用戶是系統(tǒng)默認(rèn)產(chǎn)生的。組的配置在一般的設(shè)置中不是必須的,可直接通過“計算機管理”窗口設(shè)置本地用戶和組,如圖8-23所示。圖8-23“計算機管理”窗口圖8-24將已有用戶添加到組在窗口左側(cè)依次展開“系統(tǒng)工具→本地用戶和組→組”選項,窗口右側(cè)即列出所有的組名稱。如果需要將已有用戶添加到某組中,只需右擊組名,在彈出的快捷菜單中選擇“所有任務(wù)”“添加到組”命令,在彈出的對話框中選擇已有用戶即可,如圖8-24所示。說明：開通了組服務(wù)后,系統(tǒng)通常會創(chuàng)建同名的組和用戶。如果希望創(chuàng)建新用戶并享有某組的權(quán)限,只需將新用戶添加到該組即可。數(shù)據(jù)庫的某些用戶賬號,如sa,通常具有極高的權(quán)限,有時甚至與管理員權(quán)限等同,因此安裝數(shù)據(jù)庫后應(yīng)謹(jǐn)慎管理用戶。8.3文件共享8.3.1文件系統(tǒng)概述文件系統(tǒng)由三部分組成：文件、與文件管理有關(guān)的軟件和實施文件管理所需的數(shù)據(jù)結(jié)構(gòu)。文件是指用戶賦予了名字并存儲在磁盤上的信息的集合,可以是用戶創(chuàng)建的文檔,或是可執(zhí)行的應(yīng)用程序,或是一張圖片一段聲音等。操作系統(tǒng)中負(fù)責(zé)管理和存儲文件信息的軟件機構(gòu)稱為文件管理系統(tǒng)。從系統(tǒng)角度看,文件系統(tǒng)是對文件存儲空間進行組織和分配,負(fù)責(zé)文件存儲并對存入的文件進行保護和檢索的系統(tǒng)。具體地說,文件系統(tǒng)負(fù)責(zé)為用戶建立文件,存入、讀出、修改、轉(zhuǎn)儲文件,以及撤銷文件等。8.3.2設(shè)置共享文件和文件夾文件共享是計算機網(wǎng)絡(luò)的基本功能。設(shè)置網(wǎng)絡(luò)文件共享的步驟如下：打開“網(wǎng)絡(luò)和共享中心”窗口,選擇“高級共享設(shè)置”頁面，展開“公用（當(dāng)前配置文件）”選項組,如圖8-25所示;選中“啟用文件和打印機共享”單選按鈕,單擊“保存修改”按鈕，關(guān)閉當(dāng)前配置頁面。選中要共享的文件，單擊鼠標(biāo)右鍵，如圖8-26所示，在彈出的菜單中選擇“特定用戶”選項。進入如圖8-27所示的窗口中，設(shè)置要共享的用戶，單擊“共享”按鈕，即可完成共享文件的設(shè)置。通過局域網(wǎng)計算機，可以查看該共享文檔，如圖8-28所示。圖8-25啟用文件與打印機共享頁面圖8-26設(shè)置文件共享8.3.3打印共享在辦公室中，最常用的功能之一就是打印，所以打印共享已經(jīng)成了現(xiàn)代辦公的必須手段，下面簡單介紹打印共享的步驟。1.添加打印服務(wù)在向?qū)е袉螕籼砑咏巧?，添加打印服?wù)，如圖8-20所示。閱讀完打印服務(wù)簡介后，完成安裝即可。圖8-20打印服務(wù)圖8-27設(shè)置文件共享窗口圖8-28在局域網(wǎng)計算機查看該共享文件同理,可以設(shè)置公用文件夾共享。8.4Internet信息服務(wù)互聯(lián)網(wǎng)中的網(wǎng)站大家都不陌生,網(wǎng)站通過網(wǎng)站平臺向互聯(lián)網(wǎng)用戶發(fā)布信息,而網(wǎng)站平臺通常需要操作系統(tǒng)平臺的支持,這就是本節(jié)要介紹的內(nèi)容。常見的網(wǎng)站平臺有Internet信息服務(wù)(IIS)和Apache,后者通常安裝在Linux服務(wù)器上。IS是Windows自帶的網(wǎng)站平臺息服務(wù)(S)和A有效地了的服務(wù)器軟件,和正瀏覽器一樣,商業(yè)捆綁銷售有效地推廣了它,使之成為當(dāng)今最流行的服務(wù)器之一。8.4.1安裝IIS安裝IIS之前,先來了解Web服務(wù)器。Web服務(wù)器是指一臺安裝了特定軟件的計算機,這些軟件使服務(wù)器可以從客戶端接受請求,并對這些請求作出回應(yīng)。Web服務(wù)器支持在Internet、intranet或extranet上共享信息。Web服務(wù)器角色是一個集成了IIS7.0、ASP.net和WindowsCommunicationFoundation的統(tǒng)一Web平臺。其中,IIS7.0具有安全性增強、診斷簡單和委派管理的特點。安裝IIS的步驟如下。(1)在圖8-20所示的對話框中選擇“Web服務(wù)器(IIS)”復(fù)選框,單擊“下一步”，進入如圖8-29所示的界面。圖8-23添加IIS角色圖8-29web服務(wù)器（IIS）頁面(2)單擊“下一步”，進入“角色服務(wù)”選擇界面，如圖8-30所示。圖8-30選擇角色服務(wù)頁面(3)可以使用默認(rèn)配置，單擊“下一步”，進入確認(rèn)安裝界面，如圖8-31頁面所示，圖8-31確認(rèn)安裝選擇

（4）單擊“安裝”按鈕，進入安裝進度頁面，如圖8-32所示，直至最終安裝完成。圖8-32安裝進度8.4.2建立和配置Web服務(wù)器

IIS安裝完成后,打開“開始”菜單可以看到IIS配置管理程序,如圖8-33所示。在正瀏覽器的地址欄中輸入http://localhost并運行,可以瀏覽IIS7.0默認(rèn)的歡迎頁面,如圖8-34所示。圖8-33“開始”菜單中的IIS配置管理程序

圖8-34IIS7.0默認(rèn)的歡迎頁面打開IIS管理器，可以看到相應(yīng)的設(shè)置模塊，如圖8-35所示。圖8-35IIS管理器IIS默認(rèn)的網(wǎng)站目錄為C：\inetpub下的wwwroot目錄。如果僅發(fā)布靜態(tài)網(wǎng)站,直接將網(wǎng)站文件放在該目錄下即可。初次使用的用戶可通過記事本程序打開目錄中的iisstart文件,如圖8-36所示。該文件就是圖8-34所示IIS7.0歡迎頁面的源代碼,在其中可以編輯相應(yīng)的網(wǎng)頁代碼。圖

9-36IIS7.0歡迎頁面的源代碼2.默認(rèn)網(wǎng)站IIS7.0也可以修改網(wǎng)站首頁的默認(rèn)名稱。通常,網(wǎng)站首頁名稱默認(rèn)設(shè)置為Default和index,用戶可根據(jù)需要設(shè)置為html或asp等。如果欲設(shè)置的網(wǎng)站首頁默認(rèn)名稱不在列表中,可自行添加。需要說明的是,無論用戶使用何種擴展名的文件,建議使用Default和index這兩個默認(rèn)的名稱之一,如index.php。這關(guān)系到網(wǎng)站的整體命名規(guī)范,一個好的名稱會讓每個瀏覽者都能理解發(fā)布者的網(wǎng)站結(jié)構(gòu),特殊情況除外,如出于安全考慮,要把每個文件名稱都改成隨機碼。3.發(fā)布網(wǎng)站要在小型網(wǎng)絡(luò)中正式發(fā)布網(wǎng)站,還需要配置站點的地址,仍然按照提示操作即可完成配置。其中,發(fā)布者應(yīng)了解以下兩項內(nèi)容。(1)網(wǎng)站類型可以為http或https。http不用多講,是常見的超文本傳輸協(xié)議。而https是加密的傳輸協(xié)議,一般在涉及用戶密碼或與現(xiàn)金交易相關(guān)的網(wǎng)頁中用到。例如,現(xiàn)在的電子商務(wù)越來越普及,在進行電子交易時常會用到用戶的賬戶信息,如果僅用http,則極有可能暴露用戶的敏感信息;而使用https將用戶的賬戶信息進行加密傳輸,則會安全很多。(2)通常在訪問網(wǎng)站時,只需輸入網(wǎng)址或IP地址即可訪問,但這是建立在一種默認(rèn)的情況下完成的,即都是通過訪問服務(wù)器的80端口得到需要的網(wǎng)站。這個80端口并非實際存在的物理端口,而是通過網(wǎng)絡(luò)協(xié)議規(guī)定的計算機邏輯端口,它保證了從網(wǎng)絡(luò)中來的各種信息,在通過IP地址找到目標(biāo)計算機后,能夠有效地發(fā)給相應(yīng)的軟件去處理。如果需要在不影響已有網(wǎng)站的情況下進行另一個網(wǎng)站的測試,只需在配置中將默認(rèn)的80端口改成其他端口即可,如:8080。網(wǎng)站默認(rèn)路徑為%SystemDrive%/inetpul/wwwroot,如圖8-37所示,表示默認(rèn)將所有網(wǎng)站文件放在系統(tǒng)盤下的inetpub文件夾中的wwwroot文件夾內(nèi),初學(xué)者可以保持這個默認(rèn)路徑不變。但是在商業(yè)運營中,這個默認(rèn)路徑不具有隱蔽性,通常會成為黑客的攻擊目標(biāo),因此通常需要把默認(rèn)路徑指向另一個非系統(tǒng)盤的某個路徑,如D:/web等。圖8-37設(shè)置網(wǎng)站路徑8.4.3管理IISIIS的主要作用是為網(wǎng)絡(luò)提供各種信息,包括為網(wǎng)站形式提供信息、為直接發(fā)布文件的形式提供信息等。IIS7.0不僅繼承了IIS6.0的功能,還在諸多方面有了更新,這需要深人了解IIS7.0才能體會到。這里要說明的是,Windows為用戶提供了方便的設(shè)置界面,但從實際工作的角度考慮,僅從功能上完成基本操作是不夠的,其在安全方面仍然存在隱患,在將IIS實際應(yīng)用于互聯(lián)網(wǎng)前,應(yīng)參考其他有關(guān)安全配置的資料。8.5DHCP服務(wù)器配置8.5.1DHCP簡介動態(tài)主機控制協(xié)議(DHCP)的作用是在網(wǎng)絡(luò)中動態(tài)分配網(wǎng)絡(luò)地址、控制分配具體的IP地址并及時收回。相對于靜態(tài)IP地址來說,動態(tài)IP地址分配不僅極大地節(jié)省了管理人員的工作,降低了人為錯誤,而且提高了IP地址的使用效率,即使用時分配,不使用時收回,從而可以實現(xiàn)用100個IP地址滿足120臺計算機的使用。

、直接分配IP地址的計算機相比，受DHCP控制客戶機的開機速度要慢一些,因為DHCP的工作流程比較長,具體為:服務(wù)器開通服務(wù)并監(jiān)聽,準(zhǔn)備提供服務(wù)—>客戶端開機向網(wǎng)絡(luò)發(fā)送要求IP地址的請求—>所有收到請求的服務(wù)器響應(yīng)—>客戶機根據(jù)響應(yīng)選擇一個IP地址意向發(fā)給服務(wù)器—>服務(wù)器與客戶端相互確認(rèn)提供IP地址,同時客戶端拒絕其他服務(wù)器—>服務(wù)器與客戶端簽訂租約并定期續(xù)約。8.5.2安裝DHCP服務(wù)器在WindowsServer2008中安裝DHCP服務(wù)器的步驟如下，(1)在安裝之前，先確保虛擬機設(shè)置了固定IP地址，如圖8-38所示。圖8-38設(shè)置固定IP地址(2)在圖8-20所示的對話框中選擇“DHCP服務(wù)器”復(fù)選框,單擊“下一步”，如圖8-39所示，在網(wǎng)絡(luò)連接綁定頁面，勾選網(wǎng)絡(luò)連接窗口中的復(fù)選框，單擊“下一步”，圖8-39設(shè)置網(wǎng)絡(luò)連接綁定（3）在“IPv4DNS設(shè)置”頁面，如圖8-40所示，進行配置，單擊“下一步”圖8-40IPv4DNS設(shè)置(4)在“DHCP作用域”頁面,

單擊“添加”按鈕，打開“添加作用域”對話框,如圖8-41所示,在其中可以修改參數(shù)。圖8-41DHCP配置IP地址參數(shù)說明如下，ü作用域名稱:根據(jù)需求自行變更。ü起始/結(jié)束IP地址:預(yù)備分配給客戶端的IP地址范圍。ü子網(wǎng)類型:用于設(shè)置租期類型,可根據(jù)需要選擇。當(dāng)租期過半時系統(tǒng)會詢問客戶端是否續(xù)租,到期則收回IP地址。注意：起始和結(jié)束IP地址必須設(shè)置在同一網(wǎng)段內(nèi),否則系統(tǒng)會自動報錯。（5）在DHCPv6無狀態(tài)模式頁面，選擇禁用，單擊“下一步”，進入確認(rèn)安裝信息頁面，如圖8-42所示，如需變更，則單擊“上一步”按鈕進行修改；確認(rèn)無誤后，單擊“安裝”，等待安裝完畢即可。圖8-42確認(rèn)配置信息8.5.3管理DHCP服務(wù)器DHCP安裝完成后基本不需要變更,其主要工作是日常的維護,其中事件查看器可作為日常監(jiān)控管理的管理軟件,如圖8-43所示。圖8-43

事件查看器8.6DNS服務(wù)器配置8.6.1DNS簡介互聯(lián)網(wǎng)主要通過IP地址識別網(wǎng)絡(luò)中的每臺計算機,但IP地址不便于人們記憶。為了解決這個問題,人們設(shè)置如www.baidu.com這類域名來標(biāo)識網(wǎng)站,方便記憶。但域名對于機器來說是不可理解的,因此需要一種服務(wù)來解釋域名與IP地址的對應(yīng)關(guān)系,這個服務(wù)就是域名系統(tǒng)(DNS)。由域名到IP地址的解釋為正向,反之為反向。8.6.2安裝DNS服務(wù)器DNS的安裝與Web服務(wù)器的安裝類似,在“添加角色向?qū)А睂υ捒蛑羞x擇“DNS服務(wù)器”復(fù)選框,如圖8-44所示,然后根據(jù)提示操作,完成DNS服務(wù)器的安裝。圖8-44DNS服務(wù)器安裝頁面8.6.3創(chuàng)建和配置區(qū)域前面到了DNS的正向與反向,下面以創(chuàng)建、配置正向DNS為例進行說明,反向配置讀者可自行設(shè)置。1.打開DNS服務(wù)器管理界面通過“開始”→“所有程序”→“管理工具”→“DNS”，打開DNS管理器。單擊DNS服務(wù)器名稱,將在窗口的中間區(qū)域顯示該DNS服務(wù)器的詳細(xì)信息,包括全局日志、正向查找區(qū)域和反向查找區(qū)域等,如圖8-45所示，圖8-45DNS管理器2.創(chuàng)建DNS主要區(qū)域右擊現(xiàn)有的DNS服務(wù)器名稱,在彈出的快捷菜單中選擇“新建區(qū)域”命令,打開“新建區(qū)域向?qū)А睂υ捒?在其中可選擇區(qū)域類型,包括主要區(qū)域、輔助區(qū)域和存根區(qū)域。這里選擇“主要區(qū)域”單選按鈕,如圖8-46所示。單擊“下一步”按鈕,彈出“正向或反向查找區(qū)域”對話框。圖8-46區(qū)域類型選擇3.新建正向查找區(qū)域正向查找區(qū)域可將域名轉(zhuǎn)換為IP地址,并提供可用網(wǎng)絡(luò)服務(wù)的信息。通常用戶在IE瀏覽器的地址欄輸入網(wǎng)站地址即可打開網(wǎng)站,實質(zhì)上就是利用了DNS的正向查找區(qū)域功能,由服務(wù)器自動解釋域名所對應(yīng)的IP地址,從而完成網(wǎng)絡(luò)連接。這里選擇“正向查找區(qū)域”單選按鈕,如圖8-47所示。單擊“下一步”按鈕,打開“區(qū)域文件”對話框。圖8-47選擇正向查找區(qū)域4.創(chuàng)建區(qū)域文件區(qū)域建立完成后需在服務(wù)器中存儲相關(guān)映射文件,創(chuàng)建形如.dns的文件,如圖8-48所示。單擊“下一步”，根據(jù)系統(tǒng)提示操作,完成區(qū)域文件的創(chuàng)建。圖8-48創(chuàng)建區(qū)域名稱5.新建主機右鍵單擊創(chuàng)建的區(qū)域文件,從彈出的快捷菜單中選擇“新建主機”命令,打開“新建主機”對話框,配置DNS服務(wù)器主機的IP地址,如圖8-49所示。圖8-49配置DNS服務(wù)器主機的IP地址這里應(yīng)注意,之前建立的域名是不包含www的域名,而在設(shè)置DNS主機時,將主機名設(shè)置為www,兩者結(jié)合在一起才是完整的域名。主機創(chuàng)建完成后即可實現(xiàn)域名與IP地址的關(guān)聯(lián),即在客戶端輸入相關(guān)域名后,由服務(wù)器指向該域名所對應(yīng)的IP地址,從而使客戶端找到相應(yīng)的網(wǎng)站。8.7模擬網(wǎng)管招聘考試某公司欲招聘一名網(wǎng)管,現(xiàn)小張應(yīng)聘該職位。通過筆試后,公司要求小張實際操作演示,在40分鐘內(nèi)完成IIS、DHCP與DNS服務(wù)器的配置,動態(tài)獲取客戶機的IP地址,并訪問與服務(wù)器域名相對應(yīng)的網(wǎng)站。1.案例分析公司明確要求小張在規(guī)定時間內(nèi)完成IIS、DHCP和DNS服務(wù)器的配置,并實現(xiàn)相應(yīng)功能,主要是考察小張的基本操作能力、網(wǎng)絡(luò)規(guī)劃能力與決策能力。從技術(shù)上講,作為一個大中型網(wǎng)絡(luò)的網(wǎng)管,僅能配置這些服務(wù)器是不夠的,但通過這些操作可以看出應(yīng)聘者的基本職業(yè)素養(yǎng),例如是否有良好的操作習(xí)慣、對基本配置的熟悉程度、基本操作的熟練程度等。

2.實施要求(1)最低要求是計算機在規(guī)定時間內(nèi)可以連通且正常配置服務(wù)器。(2)IS服務(wù)器要能夠顯示基本頁面?？梢詫卷撁嫔宰餍薷?以體現(xiàn)操作者對服務(wù)器的熟悉程度,如在頁面中顯示操作者的名字。(3)DHCP服務(wù)器的IP地址配置應(yīng)合理,IP地址提供的范圍也應(yīng)在正常范圍內(nèi)。通常將服務(wù)器的IP地址配置為網(wǎng)段的首IP地址或尾IP地址。如果將服務(wù)器的IP地址設(shè)置為4,雖然不會影響服務(wù)器的工作效果,但很可能會讓操作者失去這份工作,因為這不符合行業(yè)習(xí)慣。(4)DNS服務(wù)器的設(shè)置要求與DHCP服務(wù)器的類似,除了掌握基本的設(shè)置技能外,名稱的設(shè)置也要符合習(xí)慣。例如,在沒有具體要求的情況下可以將域名設(shè)置為等,這是比較規(guī)范的網(wǎng)站名稱。如www.23fdf.edp.kk一類的域名則完全不符合命名規(guī)范。3.實施提示很多初學(xué)者在實際配置服務(wù)器時會遇到難題,因為不熟練,由不熟練變?yōu)椴淮_定,由不確定變?yōu)椴桓易?導(dǎo)致最后即使做出來也會耽誤很多時間。例如,有的同學(xué)在配置DHCP時,面對設(shè)置IP地址區(qū)域的界面不敢下手。設(shè)置IP地址看似簡單,實則包含了很多基礎(chǔ)知識。如果公司沒有告訴你一定要把IP設(shè)置為30~200,則可以任意設(shè)置,只要配置合理即可,換句話說,無論你怎么配置,只要能夠清楚地解釋網(wǎng)絡(luò)結(jié)構(gòu)即可。如果操作者心中沒有一個明確的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu),這其實是很難做到的。由此可以看出,前后的內(nèi)容是層層深入的,而非毫無關(guān)聯(lián),要時?；仡櫱懊鎸W(xué)習(xí)的內(nèi)容。4.實施步驟本項目沒有設(shè)定具體的參數(shù),要求操作者根據(jù)相關(guān)知識自行設(shè)定網(wǎng)絡(luò)參數(shù),下面給出一個實施步驟樣例供參考。(1)項目至少需要一個服務(wù)器和一個客戶端。如果是在虛擬機中操作并演示,則需要對虛擬機軟件進行合理設(shè)置,保持與主機IP地址相對獨立,保證虛擬為兩臺網(wǎng)絡(luò)計算機。(2)設(shè)置服務(wù)器與客戶機的IP地址,如分別設(shè)置為和;子網(wǎng)掩碼為。測試連通性。(3)安裝服務(wù)器角色IIS、DHCP和DNS,均可配置本機IP地址為。(4)配置IIS檢測默認(rèn)網(wǎng)頁是否能夠通過http://loacalhost打開。(5)配置DHCP。IP地址池可以設(shè)置為0~0。注意,第(3)步為客戶機配置IP地址的目的是檢測連通性,此時為了測試DHCP是否成功,可將客戶機的IP地址改為自動獲取IP地址。(6)配置DNS。域名任意,如等,主機名為www。然后從客戶端分別通過IP地址或域名訪問服務(wù)器網(wǎng)站,如果經(jīng)驗證均訪問正常,如圖8-50所示，則實驗完畢。圖8-50通過域名訪問成功5.注意事項在配置過程中應(yīng)分步檢測,如果在應(yīng)聘過程中有相關(guān)人員檢查,這一點是很重要的。分步檢測可最大限度地排除干擾項,一旦調(diào)試過程中出現(xiàn)問題,可在最快時間內(nèi)檢測出錯誤點。服務(wù)器配置的初學(xué)者通常會由于緊張或操作不熟練,只記得不斷配置服務(wù)器,忽略了中間的檢測步驟,這是很不好的習(xí)慣。計算機配置過程中出現(xiàn)一些意外情況是非常常見的,當(dāng)結(jié)果與預(yù)期不一致時切勿緊張慌亂,應(yīng)認(rèn)真檢查配置參數(shù)是否正確。如果一直無法檢查出配置的錯誤點,可以將所有配置刪除重新開始。8.8本單元小結(jié)本單元重點講解了基于VMwareworkstation16Pro虛擬機軟件安裝配置WindowsServer2008R2的操作步驟，主要包括作為客戶端的基本配置和用于常見服務(wù)器的簡單配置等內(nèi)容。通過本單元的學(xué)習(xí)，學(xué)生應(yīng)該能夠熟練掌握基于WindowsServer2008R2的基礎(chǔ)配置和常見的服務(wù)器搭建等工作任務(wù)點。本單元要重點掌握的知識：WindowsServer2008的管理方式.WindowsServer2008提供的基本服務(wù)WindowsServer2008使用的協(xié)議本單元要重點掌握的技能：能夠正確安裝WindowsServer2008操作系統(tǒng)能夠正確配置WindowsServer2008的用戶權(quán)限能夠正確配置WindowsServer2008的網(wǎng)絡(luò)服務(wù)8.9思考與練習(xí)1.靜態(tài)IP地址和動態(tài)IP地址相比,哪個更好?2.用戶是否可以在局域網(wǎng)中將自己的網(wǎng)站域名設(shè)置為?

3.在計算機名詞的縮寫中,以P結(jié)尾的通常是協(xié)議(protocol),

試列舉以P結(jié)尾的縮寫名稱。4.在WindowsServer2008中,Windows的更新默認(rèn)為是自動更新,試說明其利弊。5.DHCP、DNS、IP、IIS是Windows系統(tǒng)獨有的嗎?6.IIS、DHCP、DNS服務(wù)器配置完成后,在客戶端輸入?yún)s無法訪問,可能的原因有哪些?(至少說出4種情況)ThankYou!第9單元計算機網(wǎng)絡(luò)安全2022年2月25日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布第49次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》（以下簡稱：《報告》）?！秷蟾妗凤@示，截至2021年12月，我國網(wǎng)民規(guī)模為10.32億，較2020年12月新增網(wǎng)民4296萬，互聯(lián)網(wǎng)普及率達(dá)73.0%，較2020年12月提升2.6個百分點。如圖10-1所示。截至2021年12月，我國手機網(wǎng)民規(guī)模為10.29億，較2020年12月新增手機網(wǎng)民4373萬，網(wǎng)民中使用手機上網(wǎng)的比例為99.7%。這些數(shù)據(jù)充分說明，網(wǎng)絡(luò)已經(jīng)成為我們生活的重要組成部分，全面深刻地改變著人們的生產(chǎn)生活方式。圖9-1中國網(wǎng)民規(guī)模與互聯(lián)網(wǎng)普及率然而，互聯(lián)網(wǎng)的迅速發(fā)展同時也伴隨著巨大的風(fēng)險。網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系著政治、經(jīng)濟、軍事、文化、教育等社會生活領(lǐng)域的重大問題。因此，我們要對網(wǎng)絡(luò)安全威脅給予充分的重視。政府對網(wǎng)絡(luò)安全技術(shù)的研發(fā)給予了積極支持，普通網(wǎng)絡(luò)使用者和網(wǎng)絡(luò)提供商也應(yīng)該充分認(rèn)識到網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理的重要性，保護個人、集體乃至國家的利益不受侵害。9.1網(wǎng)絡(luò)安全概述近年來各種類型的網(wǎng)絡(luò)攻擊都呈現(xiàn)不斷增長趨勢，網(wǎng)絡(luò)空間安全面臨的形勢持續(xù)復(fù)雜多變。網(wǎng)絡(luò)空間對抗趨勢更加突出，大規(guī)模針對性網(wǎng)絡(luò)攻擊行為不斷增加。受地緣政治的影響，全球網(wǎng)絡(luò)空間局部沖突將不斷升級。以竊取敏感數(shù)據(jù)、破壞關(guān)鍵信息基礎(chǔ)設(shè)施為目的的國家級網(wǎng)絡(luò)攻擊復(fù)雜性將持續(xù)上升。隨著數(shù)字化、網(wǎng)絡(luò)化進程加快，越來越多的在線資產(chǎn)和數(shù)字系統(tǒng)收集了海量數(shù)據(jù)。大量數(shù)據(jù)和設(shè)備暴露在網(wǎng)上，它們被入侵的風(fēng)險逐漸增大。數(shù)據(jù)泄露事件將愈加頻繁，而且規(guī)模將更大，涉及各行各業(yè)，影響深遠(yuǎn)。2021年，工業(yè)制造、政務(wù)、醫(yī)療、金融、交通等領(lǐng)域數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)交易黑色地下產(chǎn)業(yè)鏈活動猖獗。據(jù)相關(guān)統(tǒng)計，2021年公開報告的數(shù)據(jù)泄露事件1291起，已經(jīng)超過2020年的1108起。安全漏洞、數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙、勒索病毒、供應(yīng)鏈攻擊等網(wǎng)絡(luò)安全威脅日益凸顯，有組織、有目的的網(wǎng)絡(luò)攻擊形勢愈加明顯，為網(wǎng)絡(luò)安全防護工作帶來更多挑戰(zhàn)。多國基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，引發(fā)全球震蕩，對國家安全穩(wěn)定造成巨大風(fēng)險，引發(fā)了全球關(guān)于加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的思考。網(wǎng)絡(luò)安全防護事關(guān)重大，刻不容緩。在我國網(wǎng)絡(luò)安全已經(jīng)上升為國家戰(zhàn)略，并已成為網(wǎng)絡(luò)強國建設(shè)的核心內(nèi)容。習(xí)近平總書記早在2014年曾指出：沒有網(wǎng)絡(luò)安全就沒有國家安全。在2018年全國網(wǎng)絡(luò)安全和信息化工作會議上，再次強調(diào)：沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。所以，網(wǎng)絡(luò)安全不僅僅是計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域的問題，而是關(guān)乎國計民生的重大國家戰(zhàn)略。9.1.1網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。在《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》（后文簡稱“《“十四五”規(guī)劃》”）中，網(wǎng)絡(luò)安全已經(jīng)確定成為未來中國發(fā)展建設(shè)工作的重點之一。明確提出健全國家網(wǎng)絡(luò)安全法律法規(guī)和制度標(biāo)準(zhǔn)，建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護體系，提升安全防護和維護政治安全能力。加強網(wǎng)絡(luò)安全風(fēng)險評估和審查，加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，加強網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)，加強網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)。網(wǎng)絡(luò)安全是“十四五”規(guī)劃中建設(shè)數(shù)字中國戰(zhàn)略的基座，不僅關(guān)乎國家安全、社會安全、城市安全、基礎(chǔ)設(shè)施安全，也和每個人的生活密切相關(guān)。1.網(wǎng)絡(luò)安全現(xiàn)狀中國國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT（網(wǎng)址：/）于2021年7月20日發(fā)布了《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》。該報告依托CNCERT多年來從事網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和應(yīng)急處置等工作的實際情況，對我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況進行總體判斷和趨勢分析，具有重要的參考價值。報告匯總分析了國家互聯(lián)網(wǎng)應(yīng)急中心自有網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)和CNCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位報送的數(shù)據(jù)，數(shù)據(jù)顯示當(dāng)前我國網(wǎng)絡(luò)安全的現(xiàn)狀不容樂觀。1）移動互聯(lián)網(wǎng)惡意程序監(jiān)測情況數(shù)據(jù)分析移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動終端系統(tǒng)中安裝、運行以達(dá)到不正當(dāng)?shù)哪康?，或具有違反國家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費類、信息竊取類、遠(yuǎn)程控制類、惡意傳播類、資費消耗類、系統(tǒng)破壞類、誘騙欺詐類和流氓行為類。2020年，CNCERT/CC捕獲及通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序樣本數(shù)量為3,028,414個。2016-2020年，移動互聯(lián)網(wǎng)惡意程序樣本總量持續(xù)高速增長，如圖9-2所示。圖10-22016-2020年移動互聯(lián)網(wǎng)惡意程序樣本數(shù)量對比（來源：CNCERT/CC）2020年，CNCERT/CC捕獲和通過廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序數(shù)量占比按行為屬性統(tǒng)計如圖9-3所示。其中，流氓行為類的惡意程序數(shù)量仍居首位，為1,464,352個（占48.4%），資費消耗類639,605個（占21.1%）、信息竊取類385,518個（占12.7%）分列第二、三位。圖9-32020年移動互聯(lián)網(wǎng)惡意程序數(shù)量占比按行為屬性統(tǒng)計（來源：CNCERT/CC)2）聯(lián)網(wǎng)智能設(shè)備漏洞收錄情況數(shù)據(jù)分析聯(lián)網(wǎng)智能設(shè)備存在的軟硬件漏洞可能導(dǎo)致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備癱瘓、感染僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機和其他信息基礎(chǔ)設(shè)施等安全風(fēng)險和問題。2020年，聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按漏洞類型分類，排名前3位的是權(quán)限繞過、信息泄露和緩沖區(qū)溢出漏洞，分別占公開收錄漏洞總數(shù)的17.0%、13.3%、12.5%，如圖9-4所示。圖9-42020年聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量占比按漏洞類型分類統(tǒng)計情況（來源：CNCERT/CC)2020年聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按設(shè)備類型分類，排名前3位的是手機設(shè)備、路由器和智能監(jiān)控平臺，分別占公開收錄漏洞總數(shù)的38.3%、21.0%、19.5%，如圖9-5所示。圖9-52020年聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量占比按設(shè)備類型分類統(tǒng)計情況（來源：CNCERT/CC）3）工業(yè)控制系統(tǒng)安全監(jiān)測情況數(shù)據(jù)分析CNCERT/CC持續(xù)擴大監(jiān)測和巡檢范圍，發(fā)現(xiàn)境內(nèi)有大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng)。其中，設(shè)備類型包括可編程邏輯控制器、串口服務(wù)器等，各類型數(shù)量占比如圖9-6所示。圖10-62020年監(jiān)測發(fā)現(xiàn)的聯(lián)網(wǎng)工業(yè)設(shè)備數(shù)量占比按類型統(tǒng)計（來源：CNCERT/CC）工業(yè)控制系統(tǒng)涉及電力、石油天然氣、軌道交通等重點行業(yè)，覆蓋企業(yè)生產(chǎn)管理、企業(yè)經(jīng)營管理、政府監(jiān)管、工業(yè)云平臺等幾大類型，如圖9-7所示。圖9-72020年監(jiān)測發(fā)現(xiàn)的重點行業(yè)聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)的類型占比統(tǒng)計（來源：CNCERT/CC）(4)安全漏洞監(jiān)測情況數(shù)據(jù)分析2020年CNVD收錄安全漏洞數(shù)量共計20,704個，繼續(xù)呈上升趨勢，同比增長27.9%，2016年以來年均增長率為17.6%。其中，高危漏洞數(shù)量為7,420個（占35.8%），同比增長52.1%；零日漏洞數(shù)量為8,902個（占43.0%），同比增長56.0%，如圖9-8所示。圖9-82016-2020年CNVD收錄的安全漏洞數(shù)量對比

（來源：CNCERT/CC)按影響對象分類統(tǒng)計，排名前3位的是應(yīng)用程序漏洞（占47.9%）、Web應(yīng)用漏洞（占29.5%）、操作系統(tǒng)漏洞（占10.0%），如圖9-9所示圖9-9

2020年CNVD收錄的安全漏洞數(shù)量占比按影響對象分類統(tǒng)計（來源：CNCERT/CC)2.網(wǎng)絡(luò)安全特點一個網(wǎng)絡(luò)系統(tǒng)是否安全，依賴于它所應(yīng)用的環(huán)境、目地以及外在的威脅等多種因素。網(wǎng)絡(luò)安全問題具有以下特點：（1）攻擊與防護的不對稱性，攻擊容易，防護困難，不對稱明顯。（2）網(wǎng)絡(luò)安全的動態(tài)性，沒有一種安全技術(shù)或解決方案可以做到一勞永逸。（3）網(wǎng)絡(luò)安全依賴于投入，以合理的代價達(dá)到一定程度的網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全策略的出發(fā)點。（4）人是網(wǎng)絡(luò)安全問題的核心。必須要有人的參與，安全措施才能發(fā)揮作用，因此培養(yǎng)網(wǎng)絡(luò)安全意識，強化網(wǎng)絡(luò)安全管理尤為重要。9.1.2網(wǎng)絡(luò)安全面臨的威脅網(wǎng)絡(luò)安全所面臨的威脅來自方方面面，可能包括自然災(zāi)害、意外事故、計算機犯罪、“黑客”行為；內(nèi)部泄密、外部泄密、信息丟失、電子諜報；甚至于信息戰(zhàn)等等。綜合分析來看，網(wǎng)絡(luò)安全威脅主要包括滲入威脅和植入威脅。其中滲入威脅主要包括假冒、旁路控制、授權(quán)侵犯等；植入威脅包括：特洛伊木馬、蠕蟲、勒索軟件等。網(wǎng)絡(luò)安全面臨的威脅多種多樣，舉例來說有：1.漏洞漏洞是指信息系統(tǒng)中的軟件、硬件或通信協(xié)議中存在缺陷或不適當(dāng)?shù)呐渲?，從而可使攻擊者在未授?quán)的情況下訪問或破壞系統(tǒng)，導(dǎo)致信息系統(tǒng)面臨安全風(fēng)險。2.惡意程序惡意程序是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。惡意程序分類說明如下：（1）特洛伊木馬（TrojanHorse）。特洛伊木馬（簡稱木馬）是以盜取用戶個人信息，甚至是遠(yuǎn)程控制用戶計算機為主要目的的惡意程序。由于它像間諜一樣潛入用戶的計算機，與戰(zhàn)爭中的“木馬”戰(zhàn)術(shù)十分相似，因而得名木馬。按照功能，木馬程序可進一步分為：盜號木馬、網(wǎng)銀木馬、竊密木馬、遠(yuǎn)程控制木馬、流量劫持木馬、下載者木馬和其它木馬六類。（2）僵尸程序（Bot）。僵尸程序是用于構(gòu)建大規(guī)模攻擊平臺的惡意程序。按照使用的通信協(xié)議，僵尸程序可進一步分為：IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四類。（3）蠕蟲（Worm）。蠕蟲是指能自我復(fù)制和廣泛傳播，以占用系統(tǒng)和網(wǎng)絡(luò)資源為主要目的的惡意程序。按照傳播途徑，蠕蟲可進一步分為：郵件蠕蟲、即時消息蠕蟲、U盤蠕蟲、漏洞利用蠕蟲和其它蠕蟲五類。（4）病毒（Virus）。病毒是通過感染計算機文件進行傳播，以破壞或篡改用戶數(shù)據(jù)，影響信息系統(tǒng)正常運行為主要目的惡意程序。（5）勒索軟件。勒索軟件是攻擊者用來劫持用戶的信息資產(chǎn)或資源，以此為條件向用戶勒索錢財?shù)囊环N惡意程序。通常會把用戶電腦系統(tǒng)內(nèi)的文檔、郵件、數(shù)據(jù)庫、源代碼、圖片等文件進行特殊形式的加密，導(dǎo)致其不可以使用，或者通過修改配置文件、干擾用戶正常使用系統(tǒng)的方法使系統(tǒng)的可用性降低，并通過彈窗等方式向用戶發(fā)出勒索錢財?shù)耐ㄖ笃湎蛑付ㄙ~戶支付贖金（通常為虛擬貨幣）來獲得解密密鑰，或者恢復(fù)系統(tǒng)運行。（6）間諜軟件（Spyware）。間諜軟件是一種能夠在計算機用戶無法察覺或給計算機用戶安全假象的情況下，秘密收集計算機信息并將其發(fā)送至目標(biāo)機器的程序。雖然安裝間諜軟件的計算機使用跟正常計算機沒有明顯區(qū)別，但是用戶隱私數(shù)據(jù)和重要信息會被間諜軟件捕獲，并發(fā)送給目標(biāo)程序。這些安裝間諜軟件的計算機將成為攻擊者的重要目標(biāo)。（7）移動終端惡意代碼。移動終端是可以在移動中使用的計算機設(shè)備，通常情況下指手機或具有多種應(yīng)用功能的智能手機以及平板電腦，其可以在移動中完成語音、數(shù)據(jù)和圖像等各種信息的交換和再現(xiàn)。一般認(rèn)為，移動終端惡意代碼是指以移動終端為感染對象，通過無線或有線方式對移動終端進行攻擊，并造成移動終端出現(xiàn)工作異常的程序代碼。（8）其它。上述分類未包含的其它惡意程序。3.僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)是被黑客集中控制的計算機集群，其核心特點是黑客能夠通過一對多的命令與控制信道操縱感染木馬或僵尸程序的主機執(zhí)行相同的惡意行為，如可同時對某目標(biāo)網(wǎng)站進行分布式拒絕服務(wù)攻擊，或發(fā)送大量的垃圾郵件等。4.拒絕服務(wù)攻擊拒絕服務(wù)攻擊是向某一目標(biāo)信息系統(tǒng)發(fā)送密集的攻擊型數(shù)據(jù)包，或執(zhí)行特定攻擊操作，致使目標(biāo)系統(tǒng)不能正常工作，而停止提供服務(wù)。5.網(wǎng)頁篡改網(wǎng)頁篡改是惡意破壞或更改網(wǎng)頁內(nèi)容，使網(wǎng)站無法正常工作或出現(xiàn)黑客插入的非正常網(wǎng)頁內(nèi)容。6.網(wǎng)頁仿冒網(wǎng)頁仿冒，也稱為網(wǎng)絡(luò)釣魚（Phishing），是通過構(gòu)造與某一目標(biāo)網(wǎng)站高度相似的頁面（俗稱釣魚網(wǎng)站），并通常以垃圾郵件、即時聊天、手機短信或網(wǎng)頁虛假廣告等方式發(fā)送聲稱來自于被仿冒的權(quán)威機構(gòu)的欺騙性消息，誘騙用戶訪問精心設(shè)計的釣魚網(wǎng)站，以獲取用戶個人秘密信息（如銀行帳號和帳戶密碼等信息）。通常攻擊者不易察覺上述攻擊過程。網(wǎng)絡(luò)釣魚攻擊屬于當(dāng)前比較流行的“社會工程學(xué)”攻擊。7.網(wǎng)頁掛馬網(wǎng)頁掛馬是通過在網(wǎng)頁中嵌入惡意程序或鏈接，致使用戶計算機在訪問該頁面時被植入惡意程序。8.網(wǎng)站后門網(wǎng)站后門事件是指黑客在網(wǎng)站的特定目錄中上傳遠(yuǎn)程控制頁面，從而能夠通過該頁面秘密遠(yuǎn)程控制網(wǎng)站服務(wù)器的攻擊事件。9.垃圾郵件垃圾郵件是將不需要的消息（通常是未經(jīng)請求的廣告）發(fā)送給眾多收件人。包括收件人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等具有宣傳性的電子郵件；收件人無法拒收的電子郵件；隱藏發(fā)件人身份、地址、標(biāo)題等信息的電子郵件；含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。10.域名劫持域名劫持是通過攔截域名解析請求或篡改域名服務(wù)器上的數(shù)據(jù)，使得用戶在訪問相關(guān)域名時返回虛假IP地址或使用戶的請求失敗。11.非授權(quán)訪問非授權(quán)訪問是沒有訪問權(quán)限的用戶以非正當(dāng)?shù)氖侄卧L問數(shù)據(jù)信息。非授權(quán)訪問事件一般發(fā)生在存在漏洞的信息系統(tǒng)中，黑客利用專門的漏洞利用程序（Exploit）來獲取信息系統(tǒng)訪問權(quán)限。12.路由劫持路由劫持是通過欺騙方式更改路由信息，以導(dǎo)致用戶無法訪問正確的目標(biāo)，或?qū)е掠脩舻脑L問流量繞行黑客設(shè)定的路徑，以達(dá)到不正當(dāng)?shù)哪康摹?.1.3網(wǎng)絡(luò)出現(xiàn)安全威脅的原因網(wǎng)絡(luò)遭到安全威脅的原因方方面面，歸根結(jié)底可以說有兩方面的原因：一是客觀原因，網(wǎng)絡(luò)的結(jié)構(gòu)本身就有其不安全的因素；二是人為原因，在多方的利益驅(qū)動下，使得一些別有用心的人制造網(wǎng)絡(luò)安全事故。 1.客觀原因客觀原因方面主要是各種威脅網(wǎng)絡(luò)安全的漏洞。 1）協(xié)議安全漏洞 TCP/IP協(xié)議現(xiàn)已成為Internet框架協(xié)議，沒有TCP/IP，可能就不會有今天的Internet。凡事皆有兩面性，TCP/IP的發(fā)展促進了人與人之間的互動交流和信息共享，同時也因為協(xié)議本身構(gòu)造的問題，而成為攻擊工具。首先，通過TCP三次握手建立連接的過程來說明TCPSYNflood的簡單原理。（1）客戶端(client)發(fā)送一個包含SYN(synchronize)的數(shù)據(jù)包至服務(wù)器，此數(shù)據(jù)包內(nèi)包含客戶端端口及TCP序列號等基本信息。（2）服務(wù)器(server)接收到SYN包之后，將發(fā)送一個SYN-ACK包來確認(rèn)。（3）客戶端在收到服務(wù)器的SYN-ACK包之后，將回送ACK至服務(wù)器，服務(wù)器接收到此數(shù)據(jù)包，則TCP連接建立完成，雙方可以進行通訊。問題就出在第3步，如果服務(wù)器收不到客戶端的ACK包，將會等待下去，這種狀態(tài)叫做半連接狀態(tài)。它會保持一定時間(具體時間根據(jù)操作系統(tǒng)而不同)，如果SYN請求超過了服務(wù)器能容納的限度，緩沖區(qū)隊列滿，那么服務(wù)器就不再接收新的請求了，其他合法用戶的連接都被拒絕掉。這種攻擊殺傷力超強。2）操作系統(tǒng)安全漏洞 Windows、Unix等網(wǎng)絡(luò)操作系統(tǒng)都存在一些安全漏洞，廠商在不斷升級系統(tǒng)的同時也在不斷的產(chǎn)生新的漏洞。如微軟公司每月都要公布月度例行安全公告，包含若干項更新補丁，用來修復(fù)Windows操作系統(tǒng)存在的漏洞。2017年5月臭名卓著的wannaCry勒索病毒就是利用電腦上的共享端口445，并基于微軟操作系統(tǒng)上的MS17-010漏洞實施攻擊。在全球大爆發(fā)后，至少150個國家、30萬名用戶中招，造成損失達(dá)80億美元，嚴(yán)重影響到了金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機管理問題。中國部分Windows操作系統(tǒng)用戶也被感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作。3）其他應(yīng)用程序、廠商漏洞 國家信息安全漏洞共享平臺(CNVD)會定期公布新增漏洞，比如2022年2月新增漏洞1703個，包括高危漏洞484個（占28.4%）、中危漏洞1079個（占63.4%）、低危漏洞140個（占8.2%）。上述漏洞中，可被利用來實施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞有1363個(80.0%)。根據(jù)漏洞影響對象的類型，漏洞可分為WEB應(yīng)用、應(yīng)用程序、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備（交換機、路由器等網(wǎng)絡(luò)端設(shè)備）、數(shù)據(jù)庫、安全產(chǎn)品（如防火墻、入侵檢測系統(tǒng)等）和智能設(shè)備（物聯(lián)網(wǎng)終端設(shè)備）漏洞。不同類型漏洞的分布如圖9-10所示，該月應(yīng)用程序占比例較大。與前12個月相比，該月數(shù)據(jù)庫、智能設(shè)備（物聯(lián)網(wǎng)終端設(shè)備）漏洞的數(shù)量處于高位，操作系統(tǒng)、應(yīng)用程序、WEB應(yīng)用、網(wǎng)絡(luò)設(shè)備（交換機、路由器等網(wǎng)絡(luò)端設(shè)備）、安全產(chǎn)品漏洞的數(shù)量處于低位。圖9-10

CNVD2022年2月漏洞類型分布該月份CNVD收集整理信息安全漏洞1703個，與前12個月平均收錄數(shù)量2250個相比，處于低位；該月公布高危漏洞484個，與前12個月高危漏洞平均收錄數(shù)量619個相比，處于低位。該月的總體漏洞趨勢如圖9-11所示。圖9-11

CNVD2022年2月漏洞發(fā)布趨勢2.人為原因 網(wǎng)絡(luò)安全攻擊的實施者多種多樣，包括國家或組織、黑客組織、計算機恐怖分子、有組織犯罪團體，商業(yè)競爭，甚至心懷不滿或操作失誤的員工等。安全威脅可分為故意的和偶然的兩類，故意威脅又可進一步表現(xiàn)為主動攻擊和被動攻擊。人為的惡意攻擊是目前計算機網(wǎng)絡(luò)所面臨的最大威脅。1）主動攻擊主動攻擊是指企圖避開或打破安全防護、引入惡意程序代碼以及轉(zhuǎn)換數(shù)據(jù)或破壞系統(tǒng)的完整性等。主動攻擊的主要形式有： （1）假冒。假冒是指一個實體假裝成另一個實體。 （2）重放。重放是指出于非法目的而重新發(fā)送所截獲的合法通信數(shù)據(jù)項的復(fù)制，通過截獲數(shù)據(jù)后重新傳送，以產(chǎn)生未經(jīng)授權(quán)的結(jié)果。 （3）修改信息內(nèi)容。修改消息內(nèi)容是指改變消息的內(nèi)容或?qū)⑾⒀舆t等。 （4）拒絕服務(wù)。拒絕服務(wù)指對信息或其它資源的合法訪問被無條件地拒絕或推遲。 （5）攫取主機或網(wǎng)絡(luò)信任。通過操作文件向遠(yuǎn)程主機提供服務(wù)，從而攫取傳遞信任。 （6）完整性破壞。指通過對數(shù)據(jù)進行未授權(quán)的創(chuàng)建、修改或破壞，使得數(shù)據(jù)的一致性和完整性遭受損害。2）被動攻擊被動攻擊主要表現(xiàn)為監(jiān)視網(wǎng)絡(luò)信息以及通信量分析等。 （1）信息泄露。信息泄露指信息被泄露或暴露給某個未授權(quán)實體，造成信息中所含的機密信息泄露。 （2）通信量分析。通過對通信量的觀察和分析，造成信息被泄露給未授權(quán)的實體。通信量分析的方法主要包括分析通信量的有無、數(shù)量、方向、頻率等。9.1.4網(wǎng)絡(luò)安全機制1.網(wǎng)絡(luò)安全的目標(biāo) 網(wǎng)絡(luò)安全的目標(biāo)就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者進行控制。具體目標(biāo)為：保密性、完整性、可用性、可控性等。（1）使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò),即“進不來”,從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。（2）使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走”,同時結(jié)合內(nèi)容審計機制,實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。（3）使用加密機制，確保信息不暴露給未授權(quán)的實體或進程，即“看不懂”，從而實現(xiàn)信息的保密性。（4）使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。（5）使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者"跑不掉"，并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。2.網(wǎng)絡(luò)安全機制在各層次間進行的安全機制包括：1）加密機制加密機制用于解決信息的私有性問題。衡量一個加密技術(shù)的可靠性，主要取決于解密過程的難度，而這取決于密鑰的長度和算法。常見的加密技術(shù)包括對稱密鑰技術(shù)，又稱傳統(tǒng)密鑰技術(shù)或保密密鑰技術(shù)）和非對稱密鑰加密技術(shù)，又稱公開密鑰技術(shù)。2）安全認(rèn)證機制在電子商務(wù)活動中，為保證商務(wù)、交易及支付活動的真實可靠，需要有一種機制來驗證活動中各方的真實身份。安全認(rèn)證是維持電子商務(wù)活動正常進行的保證，它涉及到安全管理、加密處理、PKI及認(rèn)證管理等重要問題。目前已經(jīng)有一套完整的技術(shù)解決方案可以應(yīng)用，即采用國際通用的PKI技術(shù)、X.509證書標(biāo)準(zhǔn)和X.500信息發(fā)布標(biāo)準(zhǔn)等技術(shù)標(biāo)準(zhǔn)可以安全發(fā)放證書，進行安全認(rèn)證。當(dāng)然，認(rèn)證機制還需要法律法規(guī)支持。安全認(rèn)證機制所需要的法律包括信用立法、電子簽名法、電子交易法、認(rèn)證管理法律等。安全認(rèn)證機制的主要形式有數(shù)字簽名和數(shù)字證書等。3）安全策略機制安全策略是一個組織為了實現(xiàn)其業(yè)務(wù)目標(biāo)而制定的一組規(guī)定，用來規(guī)范用戶行為、指導(dǎo)信息資源的保護和管理。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非授權(quán)訪問。訪問控制策略是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。常見的安全策略主要有：入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制和目錄級安全控制等。9.2數(shù)據(jù)安全數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，例如采用數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認(rèn)證等措施保護數(shù)據(jù)；二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，例如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。數(shù)據(jù)安全是一種主動的保護措施，數(shù)據(jù)本身的安全必須基于可靠的加密算法與安全體系，加密算法主要是有對稱算法與非對稱算法兩種。9.2.1數(shù)據(jù)加密與解密任何系統(tǒng)都不可能保證信息傳送途中不被人截獲。有效的保密措施之一是只允許獲得許可者讀懂信息內(nèi)容。其實在古羅馬凱撒（公元前100-44年）時代，人們就已經(jīng)在使用這種對信息進行加密和解密的方法。加密（Encryption）的過程就是發(fā)送者使用加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪脑偎偷骄W(wǎng)絡(luò)上。解密（Decryption）的過程是接收者使用解密算法和解密密鑰將密文轉(zhuǎn)變?yōu)樵嫉拿魑?。?shù)據(jù)加密通信的基本過程如圖9-12所示。圖9-12數(shù)據(jù)加密通信的基本過程知識鏈接：數(shù)據(jù)加密通信過程中涉及的基本概念主要有：§

明文（plaintext）：需要發(fā)送的原始數(shù)據(jù)稱為明文?！?/p>

密文（ciphertext）：明文經(jīng)過加密得到的另一種形式的數(shù)據(jù)，稱為密文。§

加密（encipher、encode）：從明文到密文的變換過程?！?/p>

解密（decipher、decode）：從密文恢復(fù)為明文的過程?！?/p>

加密算法（cipher）：對明文進行加密時所采用的一組規(guī)則的集合?！?/p>

解密算法（decipher）：對密文進行解密時所采用的一組規(guī)則的集合。§

密鑰（key）：加解密過程中只有發(fā)送者和接收者知道的用于加解密的關(guān)鍵信息?！?/p>

密碼算法強度：對給定密碼算法進行破解的困難程度。加密算法通常分為兩大類：“對稱密鑰算法”和“非對稱密鑰算法”。1.對稱密鑰算法對稱密鑰算法就是加密和解密使用同一個密鑰，加密密鑰能夠從解密密鑰中推算出來，反過來也成立。這個密鑰通常稱之為“SessionKey”，這種加密技術(shù)目前被廣泛采用，如1970年IBM公司開發(fā)的數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard）就是一種典型的對稱加密算法，它的SessionKey長度為56比特位。其他典型的對稱密鑰算法包括高級加密標(biāo)準(zhǔn)AES（AdvancedEncryptionStandard）、RC2、RC4、RC5等。視野拓展：DES的安全性，理論上DES算法具有極高安全性。除了用窮舉搜索法對DES算法進行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。而56位長密鑰的密鑰空間為256，這意味著如果一臺計算機的計算速度是每一秒種檢測一百萬個密鑰，則它搜索完全部密鑰就需要將近2280年的時間。而事實上，早在20世紀(jì)70年代后期，專家們就指出DES作為一種安全算法的時代已經(jīng)屈指可數(shù)了，隨著處理器速度的提高和硬件成本的下降，快速破解DES的時代很快就會到來。1998年7月1日，一個代號為EFF的組織使用了一臺造價低于25萬美元的專用“DES破解機”，宣布其已經(jīng)攻破了DES加密算法。攻擊所費時間僅為56小時。EFF還發(fā)布了這臺破解機的細(xì)節(jié)，使其他人可以建造自己的破解機。2000年10月2日，美國國家標(biāo)準(zhǔn)局使用AES取代了DES，從此DES作為一項加密標(biāo)準(zhǔn)的時代正式結(jié)束。但是，在許多并非極高機密級的應(yīng)用中，DES仍在廣泛使用。2.非對稱密鑰算法非對稱式密鑰算法也稱為公開密鑰算法。是指加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的密鑰，“私鑰”則不能對外公布，只能由持有人掌握，其優(yōu)越性就在于此，因為采用對稱式加密方式，通過網(wǎng)絡(luò)傳輸加密文件，但是把密鑰發(fā)送給接收方具有較大的難度，不管用什么方法密鑰都有可能被竊聽截獲。而非對稱式的加密方法中使用兩個密鑰，其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只需要使用自己的私鑰即可以完成解密，這樣就很好地避免了密鑰的傳輸安全性問題。RSA加密算法是一款典型的非對稱密鑰算法，該算法是1977年由RonRivest、AdiShamirh和LenAdleman在美國麻省理工學(xué)院開發(fā)的，RSA名稱取自開發(fā)者的名字首字母。如圖9-13所示就是該算法的三位發(fā)明者。圖9-13

RSA加密算法的發(fā)明者RSA是目前最有影響力的公鑰加密算法，它能夠抵抗截至目前已知的所有密碼攻擊方式，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。目前RSA算法已經(jīng)用于大多數(shù)使用公用密碼進行加密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)。RSA算法的原理致使其實現(xiàn)速度相當(dāng)?shù)穆?，通常比同樣安全級別的對稱密碼算法要慢100倍甚至1000倍左右。知識鏈接：

RSA算法基于一個十分簡單的數(shù)學(xué)事實，即將兩個大質(zhì)數(shù)相乘十分容易，但如果想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。9.2.2數(shù)據(jù)壓縮1.數(shù)據(jù)壓縮的概念 數(shù)據(jù)壓縮是指在不丟失信息的前提下，縮減數(shù)據(jù)量以減少存儲空間，以提高其傳輸、存儲和處理效率的一種技術(shù)方法。對于任何形式的通信來說，只有當(dāng)信息的發(fā)送方和接收方都能夠理解編碼機制的時候，壓縮數(shù)據(jù)通信才能夠工作。當(dāng)接收方了解了編碼方法。就可以正確理解壓縮數(shù)據(jù)。一些壓縮算法利用了這個特性，在壓縮過程中對數(shù)據(jù)進行加密，例如利用密碼加密，以保證只有獲得授權(quán)的接收方才能正確地得到數(shù)據(jù)。從數(shù)據(jù)安全角度來說，數(shù)據(jù)壓縮可以提高數(shù)據(jù)存儲的安全性。 由于數(shù)據(jù)壓縮有助于減少存儲空間，如磁盤空間，還可以減少連接帶寬的消耗，所以數(shù)據(jù)壓縮非常重要，然而數(shù)據(jù)壓縮需要消耗信息處理資源，這也可能引起成本上升，所以數(shù)據(jù)壓縮機制的設(shè)計需要在壓縮能力、失真度、所需計算資源以及其它需要考慮的不同因素之間進行折衷。2.數(shù)據(jù)壓縮的分類數(shù)據(jù)壓縮可分成兩種類型，一種叫做無損壓縮，另一種叫做有損壓縮。無損壓縮是指通過使用壓縮后的數(shù)據(jù)進行還原，還原后的數(shù)據(jù)與原來的數(shù)據(jù)完全相同。也就是說，無損壓縮機制是可逆的，可以恢復(fù)原始的數(shù)據(jù)。常見的無損壓縮如磁盤文件的壓縮。根據(jù)目前的技術(shù)水平，無損壓縮算法一般可以把普通文件的數(shù)據(jù)壓縮到原來的1/2～1/4。一些常用的無損壓縮算法有霍夫曼(Huffman)算法和LZW(Lenpel-Ziv&Welch)壓縮算法。有損壓縮是指通過使用壓縮后的數(shù)據(jù)進行還原，還原后的數(shù)據(jù)與原來的數(shù)據(jù)有所不同，但不會引起人們對于原始數(shù)據(jù)表達(dá)的信息造成誤解。例如，圖像和聲音的壓縮就可以采用有損壓縮，因為圖像和聲音文件中包含的數(shù)據(jù)往往多于人們視覺系統(tǒng)和聽覺系統(tǒng)所能接收的信息，所以，丟掉一些不重要的數(shù)據(jù)而不至于對聲音或者圖像所表達(dá)的意思產(chǎn)生誤解，這種方式可大大提高壓縮比。9.2.3數(shù)據(jù)備份數(shù)據(jù)備份是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復(fù)制到其它的存儲介質(zhì)的過程。傳統(tǒng)的數(shù)據(jù)備份主要是采用內(nèi)置或外置的磁帶機進行冷備份，這種方式只能防止操作失誤等人為操作故障，而且恢復(fù)時間也很長。隨著技術(shù)的不斷發(fā)展，數(shù)據(jù)的大量增加，不少企業(yè)開始采用網(wǎng)絡(luò)備份的數(shù)據(jù)備份方式。網(wǎng)絡(luò)備份一般通過專業(yè)的數(shù)據(jù)存儲管理軟件并結(jié)合相應(yīng)的硬件和存儲設(shè)備來實現(xiàn)。 計算機里重要的數(shù)據(jù)、檔案或歷史記錄，不論是對企業(yè)用戶還是對個人用戶，都至關(guān)重要，一時不慎丟失或損壞都會造成不可估量的損失，輕則辛苦積累的心血付之東流，嚴(yán)重的話，會影響企業(yè)的正常運作，給科研和生產(chǎn)造成巨大的損失。對數(shù)據(jù)自身安全的威脅通常比較難于防范，這些威脅一旦變?yōu)楝F(xiàn)實，不僅會毀壞數(shù)據(jù)，也會毀壞訪問數(shù)據(jù)的系統(tǒng)。因此數(shù)據(jù)備份是維護數(shù)據(jù)安全的重要手段。1.數(shù)據(jù)備份方式 1）定期磁帶備份數(shù)據(jù)遠(yuǎn)程磁帶庫、光盤庫備份是將數(shù)據(jù)傳送到遠(yuǎn)程備份中心制作完整的備份磁帶或光盤。遠(yuǎn)程關(guān)鍵數(shù)據(jù)進行磁帶備份是采用磁帶備份數(shù)據(jù)，生產(chǎn)機實時向備份機發(fā)送關(guān)鍵數(shù)據(jù)。2）遠(yuǎn)程數(shù)據(jù)庫備份遠(yuǎn)程數(shù)據(jù)庫備份是在與主數(shù)據(jù)庫所在生產(chǎn)機相分離的備份機上建立主數(shù)據(jù)庫的一個拷貝。3）網(wǎng)絡(luò)數(shù)據(jù)鏡像這種方式是對生產(chǎn)系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)和需跟蹤的重要目標(biāo)文件更新進行監(jiān)控與跟蹤，并將更新日志實時通過網(wǎng)絡(luò)傳送到備份系統(tǒng)，備份系統(tǒng)則根據(jù)日志對磁盤進行更新。4）遠(yuǎn)程鏡像磁盤通過光纖通信技術(shù)和磁盤控制技術(shù)將鏡像磁盤延伸到遠(yuǎn)離生產(chǎn)機的地方，鏡像磁盤數(shù)據(jù)與主磁盤數(shù)據(jù)完全一致，更新方式可以選擇為同步或異步。數(shù)據(jù)備份必須要考慮到數(shù)據(jù)恢復(fù)的問題，包括采用雙機熱備、磁盤鏡像或容錯、備份磁帶異地存放、關(guān)鍵部件冗余等多種災(zāi)難預(yù)防措施。這些措施能夠在系統(tǒng)發(fā)生故障后進行系統(tǒng)恢復(fù)，但是一般只能針對于計算機單點故障進行處理，而對區(qū)域性、毀滅性災(zāi)難則束手無策，也不具備災(zāi)難恢復(fù)能力。2.數(shù)據(jù)備份策略備份策略指確定需備份的內(nèi)容、備份時間及備份方式。各個單位要根據(jù)自己的實際情況來制定不同的備份策略。目前采用最多的備份策略主要有以下三種。1）完全備份（fullbackup）每天都對于系統(tǒng)進行完全備份。例如，星期一用一盤磁帶對整個系統(tǒng)進行備份，星期二再用另一盤磁帶對整個系統(tǒng)進行備份，依此類推。這種備份策略的好處是，當(dāng)發(fā)生數(shù)據(jù)丟失的災(zāi)難時，只要用一盤磁帶（即災(zāi)難發(fā)生前一天的備份磁帶），就可以恢復(fù)丟失的數(shù)據(jù)。這種方式也有不足之處，首先，由于每天都對整個系統(tǒng)進行完全備份，導(dǎo)致備份的數(shù)據(jù)大量重復(fù)。這些重復(fù)的數(shù)據(jù)占用了大量的磁帶空間，這無疑增加了用戶的成本。其次，由于需要備份的數(shù)據(jù)量較大，因此備份所需的時間也就較長。對于那些業(yè)務(wù)繁忙、備份時間有限的單位來說，選擇這種備份策略是不明智的。2）增量備份(incrementalbackup)每周進行一次完全備份，然后在接下來的六天里只對當(dāng)天新增的或被修改過的數(shù)據(jù)進行備份。這種備份策略的優(yōu)點是節(jié)省了磁帶空間，縮短了備份時間。但它的缺點在于，當(dāng)災(zāi)難發(fā)生時，數(shù)據(jù)的恢復(fù)比較麻煩。例如，系統(tǒng)在星期三的早晨發(fā)生故障，丟失了大量的數(shù)據(jù)，那么現(xiàn)在就要將系統(tǒng)恢復(fù)到星期二晚上時的狀態(tài)。這時系統(tǒng)管理員就要首先找出星期天的那盤完全備份磁帶進行系統(tǒng)恢復(fù)，接著再找出星期一的磁帶來恢復(fù)星期一的數(shù)據(jù)，最后找出星期二的磁帶來恢復(fù)星期二的數(shù)據(jù)。很明顯，這種方式很繁瑣。另外，這種備份的可靠性也很差，各盤磁帶間的關(guān)系就象鏈子一樣，一環(huán)套一環(huán)，其中任何一盤磁帶出了問題都會導(dǎo)致整條鏈子脫節(jié)。比如在上例中，若星期二的磁帶出了故障，那么管理員最多只能將系統(tǒng)恢復(fù)到星期一晚上時的狀態(tài)。3）差分備份(differentialbackup)管理員先在星期天進行一次系統(tǒng)完全備份，然后在接下來的幾天里，管理員再將當(dāng)天所有與星期天不同的數(shù)據(jù)（新增的或修改過的）備份到磁帶上。差分備份策略在避免了以上兩種策略缺陷的同時，又具有其所有優(yōu)點。首先，它無需每天都對系統(tǒng)做完全備份，因此備份所需時間短，并節(jié)省了磁帶空間，其次，災(zāi)難恢復(fù)也很方便。系統(tǒng)管理員只需兩盤磁帶，即星期天的磁帶與災(zāi)難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復(fù)。在實際應(yīng)用中，備份策略通常是采用以上三種策略的結(jié)合體。例如每周一至周六進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。3.存儲數(shù)據(jù)備份恢復(fù)隨著各組織的局域網(wǎng)應(yīng)用和互聯(lián)網(wǎng)應(yīng)用數(shù)量的逐步增加，系統(tǒng)內(nèi)服務(wù)器上部署了眾多企業(yè)的關(guān)鍵應(yīng)用，存儲了大量重要的信息和數(shù)據(jù)，為決策部門提供綜合信息查詢服務(wù)，為網(wǎng)絡(luò)環(huán)境下的大量客戶機提供快速高效的信息查詢、數(shù)據(jù)處理和Internet等各項服務(wù)。因此，建立可靠的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)，保護關(guān)鍵應(yīng)用的數(shù)據(jù)安全是網(wǎng)絡(luò)建設(shè)的重要任務(wù),在發(fā)生人為或自然災(zāi)難的情況下,保證數(shù)據(jù)不丟失。9.3計算機病毒國家計算機病毒應(yīng)急處理中心（網(wǎng)址：/），為掌握我國信息網(wǎng)絡(luò)安全和計算機病毒疫情現(xiàn)狀和發(fā)展變化趨勢，自從2001年4月，由公安部啟動我國首次計算機病毒疫情網(wǎng)上調(diào)查工作以來，2019年已經(jīng)是第十八次調(diào)查活動，作為該年度網(wǎng)絡(luò)安全周的一項重要活動，由國家計算機病毒應(yīng)急處理中心于9月15日發(fā)布《第十八次計算機病毒和移動終端病毒疫情調(diào)查報告》。報告顯示，2018年，我國計算機病毒感染率為64.59%，比上年上升了32.85%；移動終端病毒感染率為45.4%，比上年上升11.84%。在利益的驅(qū)使下，更多領(lǐng)域的犯罪分子投入到了挖礦病毒與勒索病毒領(lǐng)域，病毒持續(xù)更新迭代，病毒數(shù)量持續(xù)增長，感染率不斷提升。綜上所述，2018年我國計算機病毒感染率和移動終端病毒感染率均呈現(xiàn)上升態(tài)勢，網(wǎng)絡(luò)安全問題呈現(xiàn)出易變性、不確定性、規(guī)模性和模糊性等特點，網(wǎng)絡(luò)安全事件發(fā)生成為大概率事件，信息泄漏、勒索病毒等重大網(wǎng)絡(luò)安全事件多有發(fā)生。9.3.1計算機病毒的特性和分類1.計算機病毒的定義 1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。 通俗來講，計算機病毒是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。該程序或指令集合能夠通過某種途徑潛伏在計算機存儲介質(zhì)(或程序)里，當(dāng)達(dá)到某種條件時即被激