《網(wǎng)絡(luò)信息安全》教案

《網(wǎng)絡(luò)信息安全》教案《網(wǎng)絡(luò)信息安全》教案《網(wǎng)絡(luò)信息安全》教案第一章:計算機網(wǎng)絡(luò)與網(wǎng)絡(luò)安全概述１.1計算機網(wǎng)絡(luò)概述

從不同的角度，以不同的觀點,可以給計算機網(wǎng)絡(luò)下不同的定義。目前,比較公認的定義是;“凡將地理位置不同，并具有獨立功能的多個計算機系統(tǒng)通過通信設(shè)備和線路連接起來，以功能完善的網(wǎng)絡(luò)軟件實現(xiàn)網(wǎng)絡(luò)中的資源共享的系統(tǒng)，稱之為計算機網(wǎng)絡(luò)。”根據(jù)網(wǎng)絡(luò)的定義知道,網(wǎng)絡(luò)不僅使計算機超越了地理位置,而且更重要的是增加了計算機本身的功能。網(wǎng)絡(luò)的功能有以下幾點:1.資源共享2.提高可靠性3．分布式處理計算機網(wǎng)絡(luò)中各臺主機的類型和規(guī)格可能不同，每臺主機使用的操作系統(tǒng)也可能不同，因此為使計算機網(wǎng)絡(luò)能正常運行，就必須有一套網(wǎng)絡(luò)中各節(jié)點共同遵守的規(guī)程，這就是網(wǎng)絡(luò)協(xié)議。它是一組關(guān)于數(shù)據(jù)傳輸、輸入輸出格式和控制的規(guī)約。有了這些規(guī)約就可在物理線路的基礎(chǔ)上,構(gòu)成邏輯上的連接,實現(xiàn)在網(wǎng)絡(luò)中的計算機、終端及其他設(shè)備之間直接進行數(shù)據(jù)交換。鑒于網(wǎng)絡(luò)節(jié)點的功能有多層,網(wǎng)絡(luò)協(xié)議也采用對應(yīng)的層次結(jié)構(gòu)。1978年國際標準化組織ISO提出了著名的開放系統(tǒng)互聯(lián)參考模型OＳI將網(wǎng)絡(luò)中的通信管理程序與其他程序分開,并按照數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)倪^程將通信管理程序分為７個層次的模塊,從下往上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。其中每一層都有相對獨立的明確的功能;每一層的功能都依賴于它的下一層提供的服務(wù)，每一層又為它的上一層提供必要的服務(wù);相鄰的上下兩層間通過界面接口(即軟件接口）進行通信。該模型的第一至四層是面向數(shù)據(jù)傳輸?shù)?第五至七層是面向應(yīng)用的,而最下面的物理層直接負責物理線路的傳輸，最上面的應(yīng)用層直接面向用戶。網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄漏。系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全的內(nèi)容包括了系統(tǒng)安全和信息安全兩個部分。系統(tǒng)安全主要指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)和應(yīng)用軟件的安全；信息安全主要指各種信息的存儲、傳輸?shù)陌踩?具體體現(xiàn)在保密性、完整性及不可抵賴性上。從內(nèi)容看,網(wǎng)絡(luò)安全大致包括4個方面。網(wǎng)絡(luò)實體安全：如計算機機房的物理條件、物理環(huán)境及設(shè)施的安全標準;計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。軟件安全；如保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入,系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等。數(shù)據(jù)安全：保護數(shù)據(jù)不被非法存取,確保其完整性、一致性、機密性等。安全管理：運行時突發(fā)事件的安全處理等，包括采取計算機安全技術(shù),建立安全管理制度，開展安全審計，進行風險分析等。從特征上看,網(wǎng)絡(luò)安全包括5個基本要素。機密性:確保內(nèi)容不暴露給未授權(quán)的實體。完整性:只有得到允許的人才能夠修改數(shù)據(jù)，并能判別數(shù)據(jù)是否己被篡改?？捎眯?得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有資源阻礙授權(quán)者的工作?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向以及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。由于系統(tǒng)自身的脆弱性使網(wǎng)絡(luò)信息的機密性、完整性、可用性和資源的合法使用受到威脅。所謂系統(tǒng)的脆弱性是指系統(tǒng)的硬件資源、通信資源、軟件及信息資源等,因可預(yù)見或不可預(yù)見甚至惡意的原因,可能導(dǎo)致系統(tǒng)受到破壞、更改、泄漏和功能失效,從而使網(wǎng)絡(luò)處于異常狀態(tài)，甚至導(dǎo)致崩潰、癱瘓等的根源和起因。計算機網(wǎng)絡(luò)本身由于系統(tǒng)主體和客體的原因可能存在不同程度的脆弱性，為各種動機的攻擊提供了入侵、騷擾或破壞系統(tǒng)的可利用的途徑和方法。第二章:操作系統(tǒng)安全本章教學重點和難點:１、漏洞和后門2、NｅtWare系統(tǒng)安全3、ＷindoｗsNT系統(tǒng)安全4、ＵNＩX系統(tǒng)安全2.1

漏洞和后門在計算機網(wǎng)絡(luò)安全領(lǐng)域，“漏洞”是指硬件、軟件或策略上的缺陷，這種缺陷導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限。有了這種訪問權(quán)限，非法用戶就可以為所欲為，從而造成對網(wǎng)絡(luò)安全的威脅。安全漏洞存在不同的類型，包括：允許拒絕服務(wù)的漏洞;允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞;允許外來團體（在遠程主機上)未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的漏洞。1.允許拒絕服務(wù)的漏澗２.允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞3.允許外來團體（在遠程主機上)未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的漏洞隨著網(wǎng)絡(luò)經(jīng)濟時代的到來，網(wǎng)絡(luò)將會成為一個無處不在、無所不用的工具。經(jīng)濟、文化、軍事和社會活動將會強烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)的安全和可靠性成為世界各國共同關(guān)注的焦點。而Intｅｒnｅｔ的無主管性、跨國界性、不設(shè)防性、缺少法律約束性的特點，在為各國帶來發(fā)展機遇的同時，也帶來了巨人的風險。目前，Internet和Ｗeｂ站點風險的無數(shù)事例可能已使一些用戶坐立不安了，似乎到處都有漏洞,到處都是黑客的行跡。的確，漏洞嚴重地影響著Internet的安全。1.漏洞影響Intｅrnet的可靠性和可用性2．漏洞導(dǎo)致Iｎｔernet上黑客入侵和計算機犯罪3.漏洞致使Internet遭受網(wǎng)絡(luò)病毒和其他軟件的攻擊

2.2UNIＸ系統(tǒng)安全UNＩX系統(tǒng)的安全性得到用戶的公認，已在Iｎtｅrnet上廣為使用。不過，UNＩX系統(tǒng)也存在一些安全漏洞。２．2.1ＵＮIX系統(tǒng)的安全等級UNIＸ系統(tǒng)符合國家計算機安全中心的C2級安全標準,引進了受控訪問環(huán)境（用戶權(quán)限級別）的增強特性。進一步限制用戶執(zhí)行某些系統(tǒng)指令；審計特性跟蹤所有的“安全事件”(如登錄成功或失敗)和系統(tǒng)管理員的工作（如改變用戶訪問權(quán)限和密碼）。２.2.2UNＩX系統(tǒng)的安全性1.按制臺安全２.口令安全3．網(wǎng)絡(luò)文件系統(tǒng)4.FTP安全2.2.3ＵNIX系統(tǒng)的安全漏洞UNIX系統(tǒng)存在以下安全漏洞:Sｅｎｄmａｉｌ漏洞Passｗd命令漏洞Ping命令問題telneｔ問題網(wǎng)絡(luò)監(jiān)聽yppaｓsｗd漏洞這些己知的UNＩX安全漏洞都有具體的解決或補救方法，有興趣的讀者可查看有關(guān)書籍，這里不再贅述。2.3WｉndowsＮＴ/２000的安全2．3.1WindowsNT/２00０的安全等級作為一個標準的系統(tǒng),ＷｉｎdｏwｓNTｓerｖer自３．5版就己達到了國家計算機安全中心的Ｃ２級安全級的要求。部分程序，如身份確認、審計和把操作者賬號與管理員賬號分開的功能，甚至達到了更高的安全級（即B2級）要求。目前，美國國家計算機安全小心將ＷindowｓNTsｅrｖer4.０評定為網(wǎng)絡(luò)安全系統(tǒng)的一個組成部分。在WindowsNTsｅrver3.5上實現(xiàn)C２級安全標準僅僅是建立在軟件基礎(chǔ)上的為了得到符合Ｃ2級安全標淮的系統(tǒng)設(shè)置,必須：擁有對系統(tǒng)的非網(wǎng)絡(luò)訪問。去除或禁止使用軟盤驅(qū)動器。更加嚴格地控制對標準文件系統(tǒng)的訪問。用戶利用WindowｓNＴ的資源管理工具箱中的C2配置工具,可以獲得符合C2級安全標淮的系統(tǒng)。在WinｄｏwｓNT3.5上,最重要的C２級安全標準特性是：可以自由決定訪問控制:允許管理員或用戶自己定義對它們所擁有的對象的訪問控制。對象重用:當內(nèi)存被一個程序釋放后，不再允許對它進行讀訪問。當對象被刪除后,即使對象所在的磁盤空間已經(jīng)重新進行了分配,也不再允許用戶對對象進行訪問。身份的確認和驗證：在對系統(tǒng)進行訪問之前，用戶必須首先確認自己的身份。用戶可以通過輸入用戶名稱、口令或域的組合來完成對自己身份的確認。審計:必須創(chuàng)建并維護對對象的訪問記錄，并防止他人對此記錄進行修改，必須嚴格規(guī)定只有指定的管理員才能訪問審計信息。２.3.2ＷｉｎｄｏwｓNT／2０00的安全性WindoｗsNT的設(shè)計目的是為了幫助人們完善它們的安全機制,提供詳細的訪問控制、信息保護、控制“外來”訪問等功能。另外，為了增強對基于Intｅrｎet的企業(yè)網(wǎng)絡(luò)的支持,WinｄowsＮT在安全性方面也做出了許多提高。１.WinｄowｓNT安全性分析2.Ｋｅrbｅros和WindｏwsＮT3.加密文件系統(tǒng)第三章：黑客攻擊與防范

本章教學重點和難點:

1、黑客的特點、影響和危害?２、黑客的攻擊過程?３、黑客常用的攻擊手段?4、防范黑客的方法3.1黑客的影響和危害黑客是英文“Hacker”的英文譯音,我國臺灣地區(qū)譯為“駭客”，它起源于美國麻省理工學院的計算機實驗室中。早期的黑客是指那些精力旺盛,智力超群，具有高超編程能力的計算機程序員。他們的行為主要包括設(shè)計黑客軟件、盜打長途電話以及利用電話進行欺詐。目前,按照公安部19９７年黑客的特點(１)充當黑客的年輕人居多黑客年齡一般在１0余歲到30歲之間，其中有許多未成年的小孩，如美國號稱“世界頭號計算機黑客”的KevinＭitniｃk,13歲迷上計算機，１5歲闖入“北美空中防務(wù)指揮系統(tǒng)”；英國的MatｈewＢｅｖａｎ1４歲侵入英國的電信公司;我國呼和浩特市一個10歲的初中生破譯了該市通信公司的系統(tǒng)管理員的賬號，等等。(2)人員的構(gòu)成相對集中70%以上的黑客事件是由內(nèi)部人員或外部與內(nèi)部合謀進行的。一般來說，外部黑客入侵的目的主要是破壞系統(tǒng)，而內(nèi)部或內(nèi)外勾結(jié)的入侵多數(shù)是為了獲取信息;外部黑客對一個站點可能只入侵一次，內(nèi)部或內(nèi)外勾結(jié)的入侵可能會連續(xù)幾次。（3）黑客活動時間相對固定黑客活動主要是在晚上到凌晨、周末或節(jié)假日。因為職業(yè)化的黑客很少，一般黑客多有自己的工作，實施黑客活動需要利用休息時間，又因為在這些時間里,工作場所的人員少,便于隱蔽。（４）從發(fā)展趨勢看，黑客正在不斷地走向系統(tǒng)化、組織化和年輕化黑客甚至定期召開會議，如他們每四年在荷蘭舉行一次Ｈack－Ｔiｃ會議、每年在紐約舉行“２600公文”、在拉斯維加斯舉行DefＣｏn會議和在加利福尼亞的LaｋeTaｈｏe舉行“黑客大會”。黑客攻擊危害程度的劃分黑客攻擊所使用的方法不同,產(chǎn)生的危害程度也不同,一般分為八個層次：第一層:郵件炸彈攻擊;第二層：簡單拒絕服務(wù)；第三層:本地用戶獲得非授權(quán)的讀訪問;第四層：本地用戶獲得他們非授權(quán)的文件寫權(quán)限；第五層：遠程用戶獲得了非授權(quán)的賬號；第六層：遠程用戶獲得了特權(quán)文件的讀權(quán)限;第七層：遠程用戶獲得了特權(quán)文件的寫權(quán)限；第八層：遠程用戶擁有了根權(quán)限（黑客已經(jīng)攻克了系統(tǒng))。在這八層中,隨著層號增大，危害的程度加重。3.2黑客的特點及攻擊手段黑客攻擊的手段目前，黑客攻擊網(wǎng)絡(luò)的手段種類繁多，而且新的手段層出不窮,黑客攻擊可以分為以下兩大類:一類是主動攻擊，這種攻擊以各種方式獲取攻擊目標的相關(guān)信息,找出系統(tǒng)漏洞，侵入系統(tǒng)后，將會有選擇地破壞信息的有效性和完整性。例如:郵件炸彈。另一類是被動攻擊，這種攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息，其中包括竊聽和通信流量分析。例如:掃描器。當前黑客攻擊采用的主要手段是利用目前網(wǎng)絡(luò)系統(tǒng)以及各種網(wǎng)絡(luò)軟件的漏洞,比如基于TＣＰ/ＩP協(xié)議本身的不完善、操作系統(tǒng)的種種缺陷等；防火墻設(shè)置不當;電子欺詐；拒絕服務(wù)(包括DDoＳ)；網(wǎng)絡(luò)病毒;使用黑客工具軟件；利用用戶自己安全意識薄弱，比如口令設(shè)置不當;或直接將口令文件放在系統(tǒng)等等。下面簡單介紹幾種黑客常用的方法：(1）掃描器所謂掃描器，實際是一種自動檢測目標計算機安全性弱點的程序。黑客通過使用掃描器,可以不留痕跡的發(fā)現(xiàn)遠程服務(wù)器的各種TCＰ端口的分配及提供的服務(wù)、使用的軟件版本以及其他一些服務(wù)信息。（2）口令破解黑客進行攻擊常常是從破解用戶口令開始的。（3)炸彈攻擊與病毒炸彈攻擊是指黑客利用自編的炸彈攻擊程序或工具軟件，集中在一段時間內(nèi)，向攻擊的目標機器發(fā)出大量信息,使機器出現(xiàn)負載過重、網(wǎng)絡(luò)堵塞,最終使系統(tǒng)崩潰的一種網(wǎng)絡(luò)攻擊手段。（４）電子欺騙(Spoofinｇ）電子欺騙一般包括任何使用計算機進行欺騙的行為。（5)監(jiān)聽法網(wǎng)絡(luò)監(jiān)聽是局域網(wǎng)中的一種黑客技術(shù)，由于在進行監(jiān)聽時，不與其他主機交換信息，也不修改密碼，因此,網(wǎng)絡(luò)監(jiān)聽是一種被動的攻擊方式,僅用于局域網(wǎng)中。（６）拒絕服務(wù)攻擊(ＤenialｏfService)拒絕服務(wù)攻擊是指攻擊者占有大量的共享資源，使系統(tǒng)無法為其他用戶提供資源或以過多的請求造成“溢出”,便服務(wù)器或路由器過載，甚至迫使服務(wù)器關(guān)閉,終止為用戶提供服務(wù)的一種攻擊方法。拒絕服務(wù)攻擊是一種主動的破壞性攻擊。從造成的危害上劃分，拒絕服務(wù)攻擊可分為兩類,一是破壞或毀壞系統(tǒng)資源，使用戶無法使用；第二類是過載系統(tǒng)服務(wù)或消耗系統(tǒng)資源，阻止其他用戶使用這些服務(wù)。3.3黑客的防范防范黑客的攻擊,保證計算機網(wǎng)絡(luò)的正常運行,是一個困難但又必須努力研究和探索的問題。目前,還不能靠某種單一的方法完全阻止黑客的攻擊,但是可以采取一個綜合的策略或系統(tǒng),多層次的設(shè)防。包括管理、制度、法律和技術(shù)等方面，以阻止和減少黑客攻擊計算機網(wǎng)絡(luò)事件的發(fā)生。防范黑客,保障網(wǎng)絡(luò)安全,應(yīng)該制定一個完善的網(wǎng)絡(luò)安全策略,其中包括安全標準規(guī)范體系、安全技術(shù)防范體系和安全管理保障體系這三大方面。目前主要防范黑客措施有以下幾種:3．3.１安全管理網(wǎng)絡(luò)的安全管理包括:確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。3．３.2黑客的防范技術(shù)防范黑客的技術(shù)措施有很多，下面介紹幾種基本的防范技術(shù)。(１)防火墻技術(shù)建立“防火墻”是一種常見的實用技術(shù)措施?！胺阑饓Α笔且环N形象的說法，其實它是一種計算機硬件和軟件的組合體。防火墻使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受外部非法用戶的侵入。防火墻就是因特網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。雖然防火墻是防范外部黑客的最重要的手段之一,但是,如果設(shè)置不當,會留下漏洞,成為黑客攻擊網(wǎng)絡(luò)的橋梁。在目前黑客智能程度越來越高的情況之下，一個要訪問因特網(wǎng)的防火墻，如果不使用先進認證裝置或者不包含使用先進驗證裝置的連接工具的話,這樣的防火墻幾乎是沒有意義的。因此,現(xiàn)代防火墻必須采用綜合安全技術(shù)，有時還需加入信息的加密存貯和加密傳輸技術(shù)以及數(shù)字簽名、數(shù)字郵戳、數(shù)字認證等安全技術(shù)方能有效地保護系統(tǒng)的安全。需要特別注意的是防火墻并不能防范內(nèi)部黑客。(２)入侵檢測技術(shù)防火墻不是完整解決安全問題的方法。一個有經(jīng)驗的攻擊者會利用網(wǎng)絡(luò)的漏洞，采用“好”的黑客工具穿透防火墻。因此，應(yīng)該結(jié)合使用入侵檢測技術(shù)，共同防范黑客?！叭肭謾z測系統(tǒng)”是對入侵行為的發(fā)覺,是進行入侵檢測的硬件與軟件的結(jié)合。它是通過從計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。它的主要任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計;識別反映已知進攻的活動模式并向相關(guān)人員報警；對異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；對操作系統(tǒng)進行審計跟蹤管理，并識別用戶違反安全策略的行為等。入侵檢測是防火墻的合理補充，它作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。它能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認為是防火墻之后的第二道防線，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。如果說,防火墻防的是從“大門”進入的黑客,入侵檢測系統(tǒng)則可以監(jiān)控來自“大門”以外或內(nèi)部黑客,防火墻和入侵檢測系統(tǒng)的共同使用，就好比在加有防火墻門鎖的屋子中安裝了監(jiān)控裝置。（3)加密技術(shù)在通信時進行加密和驗證，是保證信息安全的重要措施之一。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能還是相當有效的。(4）身份識別和數(shù)字簽名技術(shù)身份識別和數(shù)字簽名技術(shù)是網(wǎng)絡(luò)中進行身份證明和數(shù)據(jù)真實性、完整性的一種重要手段。現(xiàn)在身份認證的方式有三種：一是利用本身特征進行認證，比如人類生物學提供的指紋、聲音、面像鑒別；二是利用所知道的事進行認證,比如口令；三是利用物品進行認證,比如使用智能卡。網(wǎng)絡(luò)通信中的認證除了口令、標識符等,目前主要是采用公鑰密碼技術(shù)實現(xiàn)的。除了以上技術(shù)措施外,還可以使用其他措施，比如:在網(wǎng)絡(luò)設(shè)計中,為了保證共享服務(wù)器的安全,設(shè)置網(wǎng)絡(luò)出入口交換機，對出入的信息進行過濾;為了保證內(nèi)部網(wǎng)的安全,在網(wǎng)絡(luò)接通因特網(wǎng)時,應(yīng)通過路由器,利用路由器進行包過濾；為了防止“IP”欺騙，拋棄網(wǎng)絡(luò)管理中基于地址信任的策略，不使用遠程調(diào)用命令;針對網(wǎng)絡(luò)安全的實際，選擇使用防范黑客的工具軟件(包括防病毒軟件)等等。任何一個網(wǎng)絡(luò)系統(tǒng)都有漏洞,流行的、技術(shù)細節(jié)公開的軟件所暴露的漏洞可能更多些;另外,從理論上講，沒有不可解密的密碼,只是由于為解密或入侵所要付出的代價,致使人們在目前階段還不可能實現(xiàn)或沒人愿意去實現(xiàn)而已。應(yīng)該說,網(wǎng)絡(luò)系統(tǒng)的方便易用、高效、安全這三者在某種程度上是互相制約的，用戶要根據(jù)自己的實際需求做出取舍。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。第四章：計算機病毒本章教學重點和難點：１、計算機病毒概念、分類和特征２、蠕蟲病毒與一般病毒的區(qū)別3、蠕蟲病毒的特點4、計算機病毒的防治第4章計算機病毒4.1概述Intｅｒnｅt上也到處傳播和蔓延著攻擊方法和惡意代碼，使得連入Iｎｔeｒnｅｔ的任何系統(tǒng)都處于將被攻擊的風險之中。在Iｎｔｅrnｅt安全事件中,計算機病毒造成的經(jīng)濟損失占有最大的比例。日益嚴重的計算機病毒問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟損失，而且使國家的安全面臨著嚴重威脅?！坝嬎銠C病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼?！庇嬎銠C病毒具有以下特征：（1)傳染性；(２）隱蔽性；(3）潛伏性；(４）多態(tài)性；（5)破壞性。按傳染方式可以分為引導(dǎo)型病毒、文件型病毒和混合型病毒。按連接方式可以分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。按其傳染對象來分可以分為BIOS、硬盤引導(dǎo)區(qū)、操作系統(tǒng)與應(yīng)用程序病毒。計算機病毒主要由潛伏機制、傳染機制和表現(xiàn)機制構(gòu)成。4.2蠕蟲病毒蠕蟲也是一種病毒，因此具有病毒的共同特征。蠕蟲一般不采取利用pe格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進行傳播，蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機，局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。蠕蟲病毒的發(fā)展速度非?？?而且造成了巨大的損失。蠕蟲病毒的發(fā)展趨勢如下：1、利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊２、傳播方式多樣3、病毒制作技術(shù)與傳統(tǒng)的病毒不同4、與黑客技術(shù)相結(jié)合,潛在的威脅和損失更大４.3計算機病毒的防治措施防治病毒，一是“防”,二是“治”?！胺馈笔侵鲃拥?“治”是被動的。病毒預(yù)防是指在病毒尚未入侵或剛剛?cè)肭诌€未發(fā)作時，就進行攔截阻擊或立即報警。要做到這一點，首先要清楚病毒的傳播途徑和寄生場所,然后對可能的傳播途徑嚴加防守,對可能的寄生場所實時監(jiān)控,達到封鎖病毒入口，杜絕病毒載體的目的。病毒免疫技術(shù)就是利用病毒傳染這一機理,給正常對象加上這種標記,使之具有免疫力,從而可以不受病毒的傳染。因此,當感染標記用作免疫時,也叫做免疫標記。病毒免疫方法有兩種：針對某一種病毒進行的免疫方法和基于自我完整性檢查的免疫方法。病毒檢測就是采用各種檢測方法將病毒識別出來。識別病毒包括對已知病毒的和對未知病毒的識別。目前，對已知病毒的識別主要采用特征判定技術(shù)，即靜態(tài)判定技術(shù)；對未知病毒的識別除了特征判定技術(shù)外，還有行為判定技術(shù),即動態(tài)判定技術(shù)。病毒消除的目的是消除受害系統(tǒng)中的病毒，恢復(fù)系統(tǒng)的原始無毒狀態(tài)。具體來講,就是針對系統(tǒng)中的病毒寄生場所或感染對象進行一一殺毒。對于不同的病毒類型及其感染對象，采取不同的殺毒措施。病毒防治不僅是技術(shù)問題，更是社會問題、管理問題和教育問題。作為社會問題，涉及國家法律和行政法規(guī)；作為管理問題，涉及管理制度、行為規(guī)章和操作規(guī)程；作為教育問題，涉及宣傳和培訓。4．4病毒程序?qū)嵗治鲭S著Ｉnteｒnet的迅猛發(fā)展，電子郵件成為人們相互交流最常使用的工具，于是它也成為新型病毒——電子郵件型病毒的重要載體。這些病毒的特征就是危害較大,主要是利用電子郵件作為傳播途徑，而且這類病毒一般都是專挑Wｉndows平臺上應(yīng)用最普遍的郵件客戶端——ＭiｃrｏsｏｆtOｕtlook來下手，其發(fā)作和破壞主要是通過利用Oｕｔloｏk的可編程特性來完成的，在收件人使用Outlook打開郵件或郵件附件時，里面的病毒就會自動激活并向“通訊簿”的所有人發(fā)帶有病毒附件的郵件，類似于蠕蟲一樣“蠕動”,從而導(dǎo)致病毒的大規(guī)模迅速傳播。本節(jié)主要分析了最近出現(xiàn)的Homｅｐage病毒,了解它的運行機制，以便對癥下藥，防毒治毒。本章教學重點和難點：1、防火墻的基本概念2、防火墻的組成３、防火墻的發(fā)展過程、未來趨勢4、防火墻存在的問題5、防火墻的實現(xiàn)技術(shù)和最新技術(shù)

第5章

防火墻技術(shù)

５.1防火墻的概念防火墻不僅是一種路由器、主系統(tǒng)或一批向網(wǎng)絡(luò)提供安全性的系統(tǒng),還是一種獲取安全性的方法,是保障網(wǎng)絡(luò)安全的手段,它有助于建立一個比較廣泛的網(wǎng)絡(luò)安全性策略，通過網(wǎng)絡(luò)配置、主機系統(tǒng)、路由器及諸如身份驗證等手段來實現(xiàn)安全策略,以便確定允許提供的服務(wù)和訪問。使用防火墻的一般論證是,沒有防火墻,子網(wǎng)系統(tǒng)往往會把自己完全暴露在一些本身并不安全的服務(wù)（如NFS或ＮIS等)面前,并且受到網(wǎng)絡(luò)上其他地方主系統(tǒng)的試探和攻擊。雖然防火墻的體系結(jié)構(gòu)和技術(shù)多種多樣,但防火墻產(chǎn)品基本上可分成三種：包過濾防火墻、應(yīng)用代理防火墻和混合型防火墻。包過濾防火墻分為兩種：1)普通包過濾防火墻;2)基于狀態(tài)檢測包過濾防火墻。應(yīng)用代理(ApplｉcaｔionPｒoxｙ）防火墻也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，即OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可作安全決策的全部信息,能夠?qū)崿F(xiàn)較高安全性?；旌闲头阑饓Y(jié)合了包過濾防火墻和應(yīng)用代理防火墻的特點。它同包過濾防火墻一樣能夠通過IP地址和端口號過濾進出數(shù)據(jù)包，也能夠檢查SYN和ACＫ標記和序列數(shù)字是否邏輯有序。另一方面,它也能像應(yīng)用代理防火墻一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合既定的網(wǎng)絡(luò)安全規(guī)則。防火墻的發(fā)展經(jīng)歷了五代：第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Pacｋetｆilteｒ)技術(shù)。19８9年，貝爾實驗室的DaveＰresotto和HowarｄTｒｉckey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻）的初步結(jié)構(gòu)。１９92年，ＵSC信息科學院的ＢｏｂBｒａden開發(fā)出了基于動態(tài)包過濾（Dynaｍｉcpacｋetfiltｅr)技術(shù)的第四代防火墻１9９８年,NAＩ公司推出了一種自適應(yīng)代理(Adａptｉveｐroxy)技術(shù),并在其產(chǎn)品ＧaunｔｌｅtFiｒewaｌｌfoｒNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

5．2防火墻的構(gòu)成防火墻的主要組成部分有:網(wǎng)絡(luò)策略、驗證工具、包過濾、應(yīng)用網(wǎng)關(guān)。網(wǎng)絡(luò)策略有高級策略、低級策略兩種。先進的驗證措施，如智能卡、驗證令牌、生物統(tǒng)計學和基于軟件的工具被用于克服傳統(tǒng)口令的不足之處。驗證技術(shù)雖各不相同,但都是相類似，都使用先進的驗證裝置產(chǎn)生口令，而這類口令不能由臨時連接的攻擊者重新使用。ＩP包過濾通常是用包過濾路由器生成。這種包過濾可以在信息包通過路由器的接口時用來過濾信息包。包過濾雖然有不少可取之處，但它也有很多弱點。包過濾規(guī)則規(guī)定起來較為復(fù)雜，而且通常沒有測試工具來檢驗規(guī)則的正確性,有些還不具備任何記錄能力。為了克服與包過濾路由器相關(guān)聯(lián)的某些不足之處,防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾TＥLNＥT和FＴP等服務(wù)的連接。這樣一種的應(yīng)用叫做代理服務(wù)，而運行代理服務(wù)軟件的主系統(tǒng)叫應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用,以獲得高于單獨使用的安全性和靈活性。

5.3防火墻設(shè)計防火墻是這樣的一個系統(tǒng)(或一組系統(tǒng))，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,決定哪些內(nèi)都服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的那些可以訪問的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。如果要使一個防火墻有效,那么，對所有來往于因特網(wǎng)的信息都必須繞過防火墻,接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。因此，在設(shè)計因特網(wǎng)防火墻時,網(wǎng)絡(luò)管理員必須確定防火墻的姿態(tài)（Stanｃｅ）、機構(gòu)的整體安全策略、防火墻的經(jīng)濟費用、防火墻系統(tǒng)的組件或構(gòu)件。防火墻的姿態(tài)從根本上闡述了一個機構(gòu)對安全的看法。網(wǎng)絡(luò)防火墻可能會扮演兩種完全相反的姿態(tài):拒絕沒有特別允許的任何事情、允許沒有特別拒絕的任何事情。網(wǎng)絡(luò)防火墻并不是獨立的,它是機構(gòu)總體安全策略的一部分。機構(gòu)總體安全策略定義了安全防御的各個方面。在確定了防火墻的姿態(tài)、安全策略及經(jīng)費預(yù)算后,就可以確定防火墻系統(tǒng)的特定組件。典型的防火墻有一個或多個構(gòu)件組成，包括包過濾、應(yīng)用層網(wǎng)關(guān)(或代理服務(wù)器）、電路級網(wǎng)關(guān)等。

5.４分布式防火墻技術(shù)因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，外于內(nèi)、外部互聯(lián)網(wǎng)之間，所以稱為“邊界防火墻(PｅrimｅterFirewalｌ）”。隨著人們對網(wǎng)絡(luò)安全防護要求的提高,邊界防火墻明顯感覺到力不從心，因為給網(wǎng)絡(luò)帶來安全威脅的不僅是外部網(wǎng)絡(luò),更多的是來自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)實現(xiàn)有效地保護,除非對每一臺主機都安裝防火墻，這是不可能的。基于此,一種新型的防火墻技術(shù),分布式防火墻（ＤistｒiｂutedFiｒｅwａlls)技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，當然不是為每對路主機安裝防火墻，而是把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各臺主機。一方面有效地保證了用戶的投資不會很高，另一方面給網(wǎng)絡(luò)所帶來的安全防護是非常全面的。這種新的防火墻技術(shù)具有以下幾個主要特點：（1）主機駐留、（2)嵌入操作系統(tǒng)內(nèi)核、（3)類似于個人防火墻、（4）適用于服務(wù)器托管。分布式防火墻主要優(yōu)勢如下:（1)增強的系統(tǒng)安全性;（2）提高了系統(tǒng)性能；(3)系統(tǒng)的擴展性；(4)實施主機策略;(5）應(yīng)用更為廣泛，支持ＶPＮ通信。分布式防火墻的主要功能體現(xiàn)在以下幾個方面：(1）Interneｔ訪問控制;（２)應(yīng)用訪問控制;(3）網(wǎng)絡(luò)狀態(tài)監(jiān)控；（4)黑客攻擊的防御；(5)日志管理;（6）系統(tǒng)工具。

第六章:密碼學本章教學重點和難點:1、加密、解密、密碼體制的概念2、密碼分析和密碼攻擊類型3、替代密碼和置換密碼4、Feｉstｅｌ分組密碼和DＥS的加密、解密思想5、公鑰密碼體制的基本概念

第６章

密碼學

６.1密碼學概述密碼學是在編碼與破譯的斗爭實踐中逐步發(fā)展起來的,并隨著先進科學技術(shù)的應(yīng)用，已成為一門綜合性的尖端技術(shù)科學。它與語言學、數(shù)學、電子學、聲學、信息論、計算機科學等有著廣泛而密切的聯(lián)系。密碼學是研究如何通過編碼來保證信息的機密性和如何對密碼進行破譯的科學。密碼學由編碼學和密碼分析學兩部分構(gòu)成。一個密碼系統(tǒng)通?？梢酝瓿尚畔⒌募用茏儞Q和解密變換。加密變換是采用一種算法將原信息變?yōu)橐环N不可理解的形式，從而起到保密的作用。而解密變換則是采用與加密變換相反的過程，利用與加密變換算法相關(guān)的算法將不可理解的信息還原為原來的信息。密碼體制涉及加密和解密過程中所采用的方法的種類。通常人們按照在加密解密過程中使用的加密密鑰和解密密鑰是否相同將密碼體制分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又稱為常規(guī)密鑰密碼體制、單密鑰密碼體制、秘密密鑰密碼體制。非對稱密碼體制又稱為公開密鑰密碼體制、雙密鑰密碼體制

6.2經(jīng)典密碼學常規(guī)加密是出現(xiàn)最早而且當前仍在廣泛使用的加密體制。常規(guī)加密又稱為對稱加密。在使用常規(guī)加密的通信系統(tǒng)中，安全通信的雙方共享同一個密鑰Ｋ。加密和解密算法公開，密鑰保密。經(jīng)典加密技術(shù)是早期使用的密碼技術(shù)，其基本的加密思想和方法在現(xiàn)代加密技術(shù)中仍在使用。經(jīng)典加密主要采用了兩種加密技術(shù):替代技術(shù)和置換技術(shù)。替代技術(shù)是將明文中的每個元素（字母、比特、比特組合或字母組合）映射為另一個元素的技術(shù)。明文的元素被其他元素所代替而形成密文。在經(jīng)典加密技術(shù)中使用的元素一般為字母或數(shù)字。置換是在不丟失信息的前提下對明文中的元素進行重新排列。

６.3對稱加密技術(shù)現(xiàn)代對稱加密技術(shù)和經(jīng)典加密技術(shù)一樣，使用替代和置換模塊作為其基本構(gòu)件。但現(xiàn)代常規(guī)加密技術(shù)引入了計算機對信息進行加密解密處理。因此、加密和解密都反對二進制位進行處理，加密算法的強度大大提高,可以對信息進行反復(fù)地替代和置換操作,密鑰長度也大大增加。Feistel分組密碼是當前使用的幾乎所有對稱加密算法的基礎(chǔ)。DES是DataＥnｃryptiｏnＳtandard（數(shù)據(jù)加密標準）的縮寫。1９73年5月15日美國國家標準局(NSA）公開征集對密碼體制的聯(lián)邦注冊,這最終導(dǎo)致了數(shù)據(jù)加密標準(DES）的出現(xiàn),它已成為世界上最廣泛使用的密碼體制。DES由ＩBＭ開發(fā)，它是早期被稱為Lucｉｆeｒ體制的改進，1975年3月17日首次公開在聯(lián)邦注冊上,在經(jīng)過大量的公開討論后，1977年2月１5日ＤＥＳ被采納為“非密級”應(yīng)用的一個標準。自從采用之后，美國國家標準局大約每5年就要對DES進行一次審查。最近一次的審查更新在１994年2月,19９９年后被AES所取代。為了適應(yīng)不同的應(yīng)用需求,DES定義了四種操作模式。這四種操作模式是：電子密碼本模式EＣＢ（EｌectｒoｎｉｃCodｅBook)、密碼分組鏈接模式CBC(ＣiｐｈｅrBlocｋChainｉng）、密碼反饋模式ＣFB(CipherFｅedback）和輸出反饋模式ＯFB(OutputFeedｂack)。

６.４公鑰密碼體制公鑰密碼體制的思想是：可能找到一種密碼體制，在該體制中從給定的ek中計算dｋ是計算上不可行的。如果這樣,那么加密規(guī)則ek就能公布在一本目錄上（因此有了公開密鑰體制的術(shù)語)。公開密鑰體制的優(yōu)點是發(fā)送方能利用公開的加密規(guī)則ek來發(fā)送加密后的報文給接收方（沒有秘密密鑰的預(yù)通信)。接收方將是唯一能利用他的秘密解密規(guī)則ｄk來解密密文的人。19７6年，Difｆie和Heｌlmａn提出了公開密鑰體制思想，公開密鑰體制的第一個實現(xiàn)是在1977年由Riｖest，Ｓｈamｉr和Aｄｌeman發(fā)明的。這就是著名的RSA密碼體制。RＳA體制的安全性是基于大的整數(shù)因子分解的困難性。RSA的安全性是基于希望加密函數(shù)eK（x)=xｂmｏｄn是一個單向函數(shù)，所以對敵人來說要解密密文將是計算上不可能的。

第七章:VPN技術(shù)本章教學重點和難點：1、VPN的概念和類型2、VPＮ技術(shù)概述3、隧道技術(shù)的基本概念４、第二層索道協(xié)議------L2TP隧道協(xié)議５、第三層隧道協(xié)議－-----GRE隧道協(xié)議

第7章

VPN技術(shù)

7．1VＰN概述ＶＰN（ＶirｔuａlPrivateNetwork)是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Ｉnterｎet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全，VＰN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施,以防止信息被泄露、篡改和復(fù)制。VPN有３種類型:AccｅｓsVPN(遠程訪問VＰＮ）、ＩｎｔｒanｅtＶPN（企業(yè)內(nèi)部VPN)和ExtｒanｅtVPN(企業(yè)擴展VＰN），這３種類型的ＶPN分別對應(yīng)于傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranｅｔ以及企業(yè)和合作伙伴的網(wǎng)絡(luò)所構(gòu)成的Extｒanｅt。AccｅssVPN即所謂的移動ＶＰN，適用于企業(yè)內(nèi)部人員流動頻繁或遠程辦公的情況。如果要進行企業(yè)內(nèi)部異地分支機構(gòu)的互聯(lián),可以使用ＩntranetＶＰＮ方式，這是所謂的網(wǎng)關(guān)對網(wǎng)關(guān)VPＮ。如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng),可以使用ExtranetVPN，它對應(yīng)于傳統(tǒng)的Exｔrａｎet解決方案。

7.2ＶPＮ主要技術(shù)VＰＮ利用Iｎternet的基礎(chǔ)設(shè)施傳輸企業(yè)私有的信息，因此傳遞的數(shù)據(jù)必須經(jīng)過加密,從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無法讀取該信息,因此可以說密碼技術(shù)是實現(xiàn)VＰＮ的關(guān)鍵核心技術(shù)之一。大體上,密碼技術(shù)可以分為兩類：對稱密鑰加密和非對稱密鑰加密。對稱密鑰加密,也叫做共享密鑰加密，是指加密和解密用的密鑰是相同的，數(shù)據(jù)的發(fā)送者和接收者擁有共同的單個密鑰。非對稱密鑰加密使用兩個密鑰：一個公鑰和一個私鑰，這兩個密鑰在數(shù)學上是相關(guān)的。這種算法也叫做公鑰加密。第二種技術(shù)是身份認證技術(shù)。ＶＰN需要解決的首要問題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認證，如果沒有一個萬無一失的身份認證方案,不管其他安全設(shè)施有多嚴密,整個VPN的功能都將失效。非PKＩ體系的身份認證基本上采用的是UID十ＰAＳSＷORＤ模式。PKI體系的身份認證的例子有電子商務(wù)中用到的SSL安全通信協(xié)議的身份認證、Kerbｅros等。第三種技術(shù)是隧道技術(shù)。隧道技術(shù)通過對數(shù)據(jù)進行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道(隧道）讓數(shù)據(jù)包通過這條隧道傳輸。

7.3第二層隧道協(xié)議——Ｌ2F、PＰTP和L２ＴP第二層隧道協(xié)議用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建AccｅｓｓVPN。第二層隧道協(xié)議主要有3種：一種是由Cｉsco、Noｒtel等公司支持的Ｌ２Ｆ協(xié)議，Cisco路由器中支持此協(xié)議;另一種是Mｉcｒoｓｏft、Ascｅｎd、3COM等公司支持的PPTP協(xié)議，ＷiｎdowsNＴ４.0以上版本中支持此協(xié)議;而成為二層隧道協(xié)議工業(yè)標準的是由IETF起草并由Microｓoft、Ａsｃeｎｄ、Cｉsco、3COM等公司參與制定的L２TP協(xié)議,它結(jié)合了上述兩個協(xié)議的優(yōu)點。隧道協(xié)議,其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。L2F(LayｅrTwｏForwaｒｄingPｒｏｔocol，二層轉(zhuǎn)發(fā)協(xié)議）是由Cisco公司提出的隧道技術(shù)，可以支持多種傳輸協(xié)議，如IP、ＡTＭ、幀中繼。PPＴP(Poｉnt－to-PoｉnｔTunnelｉngＰrotocol，點到點隧道協(xié)議）在RFC2637中定義，該協(xié)議將ＰPP數(shù)據(jù)包封裝在ＩP數(shù)據(jù)包內(nèi)通過IP網(wǎng)絡(luò)（如Inteｒneｔ或Intranｅt）進行傳送。PPＴＰ協(xié)議可看作是PPP協(xié)議的一種擴展,它提供了一種在Iｎteｒｎet上建立多協(xié)議的ＶPN的通信方式,遠端用戶能夠通過任何支持ＰPＴP的IＳP訪問公司的專用網(wǎng)絡(luò)。L2TP(ＬayerTwoＰrotocol,第二層隧道協(xié)議)由RＦＣ２６６1定義,它結(jié)合了L2F和PPTＰ的優(yōu)點,可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接。L2TP是由Cｉsco、Micrｏｓoｆｔ等公司在19９9年聯(lián)合制定的，已經(jīng)成為二層隧道協(xié)議的工業(yè)標準,并得到了眾多網(wǎng)絡(luò)廠商的支持。PPTP和L2ＴＰ都使用PＰP協(xié)議對數(shù)據(jù)進行封裝。然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管兩個協(xié)議非常相似，但是仍存在以下幾方面的不同：（1）PＰTP要求互聯(lián)網(wǎng)絡(luò)為ＩＰ網(wǎng)絡(luò),Ｌ2ＴＰ只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。(2）PPTＰ只能在兩端點間建立單一隧道。(3)Ｌ2TＰ可以提供包頭壓縮。（4）L2TＰ可以提供隧道驗證,而PPTＰ則不支持隧道驗證。

７.4第三層隧道協(xié)議——GＲＥ和IPSｅc第三層隧道協(xié)議用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議。其實第三層隧道協(xié)議并不是一項很新的技術(shù)，早在199４年就出現(xiàn)的GＲE(RＦCl701）協(xié)議就是一個第三層隧道協(xié)議。由ＩＥＴF制定的新一代Internet安全標準IPＳｅc協(xié)議也是第三層隧道協(xié)議。GＲE(GｅneｒicRoｕtingEｎcapsｕｌaｔion，通用路由封裝協(xié)議)支持全部的路由協(xié)議（如RIP2、OSＰF等）,用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IＰX、NetBEUＩ、ＡｐpleＴalk、BａｎyanVｌNES、DＥCnet等。IPSec（Inteｒnet協(xié)議安全)是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，為ＩP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認證協(xié)議AｕtｈeｎｔiｃatioｎHｅａｄeｒ(AH)、封裝安全載荷協(xié)議EncａpsulatingSecurityPａylｏａｄ（ESP）、密鑰管理協(xié)議ＩｎteｒnetKeｙExｃｈange(IKE)和用于網(wǎng)絡(luò)認證及加密的一些算法等。IPＳeｃ規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

第八章入侵檢測

本章教學重點和難點:1、入侵檢測系統(tǒng)的概念及分類2、兩種入侵檢測系統(tǒng)的部署3、常用入侵檢測技術(shù)4、Sｎoｒt入侵檢測系統(tǒng)

第8章

入侵檢測

8.1

概述入侵檢測ID(Iｎｔrusion

Detecｔiｏｎ）是對入侵行為的發(fā)覺,它通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。入侵檢測系統(tǒng)IDＳ（Ｉntrusion

Ｄeｔｅction

Sｙsteｍ）是使用入侵檢測技術(shù)對網(wǎng)絡(luò)與其上的系統(tǒng)進行監(jiān)視,并根據(jù)監(jiān)視結(jié)果進行不同的安全動作，最大限度地降低可能的入侵危害。簡單地說，入侵檢測系統(tǒng)是這樣工作的,若有一個計算機系統(tǒng)，它與網(wǎng)絡(luò)連接著,或許也與Ｉnternet連接,由于一些原因,允許網(wǎng)絡(luò)上的授權(quán)用戶訪問該計算機。入侵檢測系統(tǒng)基本上不具有訪問控制的能力,通過對數(shù)據(jù)包流的分析,可以從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包，通過與已知的入侵方式進行比較，確定入侵是否發(fā)生以及入侵的類型并進行報警。目前，大部分網(wǎng)絡(luò)攻擊在攻擊前有資料搜集的過程。入侵檢測一般采用旁路偵聽的機制，因此不會產(chǎn)生對網(wǎng)絡(luò)帶寬的大量占用,系統(tǒng)的使用對網(wǎng)內(nèi)外的用戶來說是透明的,不會有任何的影響。入侵檢測系統(tǒng)可以在攻擊的前期準備時期或是在攻擊剛剛開始的時候進行確認并發(fā)出警報。入侵檢測的研究最早可追溯到JaｍesPＡndersoｎ在198０年的工作。198６年,為檢測用戶對數(shù)據(jù)庫異常訪問，ＷＴTener在IＢM主機上用CＯBＯＬ開發(fā)的Ｄiscoｖery系統(tǒng)，成為最早的基于主機的入侵檢測雛形之一。198７年,喬治敦大學的DｏrothｙE.Dｅnniｎg提出了一個實時的入侵檢測系統(tǒng)抽象模型——IＤES（IｎtrｕｓiｏｎＤｅtｅcｔionＥxpertSystem),首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御問題的措施提出。1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺,提出了一個新的概念:基于網(wǎng)絡(luò)的入侵檢測——ＮＳM(NetwoｒkSｅcｕritｙＭonitor)。近些年來，入侵檢測的主要創(chuàng)新包括：Fｏｒreｓt等將免疫原理運用到分布式入侵檢測領(lǐng)域。1998年RosｓAndersoｎ和AbidａKhattａk將信息檢索技術(shù)引進到入侵檢測。CIDF（CｏmｍｏnＩnｔｒuｓionＤetecｔionFramewoｒk）闡述了一個入侵檢測系統(tǒng)的通用模型，定義了檢測體系結(jié)構(gòu)、入侵描述語言規(guī)范和應(yīng)用程序接口規(guī)范。入侵檢測系統(tǒng)是企業(yè)安全防御系統(tǒng)中的重要部件，但入侵檢測系統(tǒng)并不是萬能的。入侵檢測對于部分事件可以處理得很好，但對于另一些情況則無能為力。

8.2

入侵檢測系統(tǒng)分類

根據(jù)入侵檢測系統(tǒng)的檢測對象和工作方式的不同,入侵檢測系統(tǒng)主要分為兩大類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害,需要安裝在被保護的主機上。這一類入侵檢測系統(tǒng)直接與操作系統(tǒng)相關(guān),它控制文件系統(tǒng)以及重要的系統(tǒng)文件，確保操作系統(tǒng)不會被隨意地刪改。該類入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)操作系統(tǒng)所受到的侵害,并且由于它保存一定的校驗信息和所有系統(tǒng)文件的變更記錄,所以在一定程度上還可以實現(xiàn)安全恢復(fù)機制。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置于被保護的網(wǎng)絡(luò)上,它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源,一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，入侵檢測系統(tǒng)應(yīng)答模塊通過通知、報播以及中斷連接等方式來對攻擊做出反應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有各自的優(yōu)勢和不足，這兩種方式各自都能發(fā)現(xiàn)對方無法檢測到的一些網(wǎng)絡(luò)入侵行為,如果同時使用互相彌補不足會起到良好的檢測效果。因此它們在確定攻擊是否已經(jīng)取得成功時,與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準確性。在這方面,基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補充，可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報警，使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。

8.３

入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)有不同的部署方式和特點。根據(jù)所掌握的網(wǎng)絡(luò)檢測和安全需求,選取各種類型的入侵檢測系統(tǒng)。將多種入侵檢測系統(tǒng)按照預(yù)定的計劃進行部署,確保每個入侵檢測系統(tǒng)都能夠在相應(yīng)部署點上發(fā)揮作用,共同防護,保障網(wǎng)絡(luò)的安全運行。部署工作包括對網(wǎng)絡(luò)入侵檢測和主機入侵檢測等不同類型入侵檢測系統(tǒng)的部署規(guī)劃。同時,根據(jù)主動防御網(wǎng)絡(luò)的需求，還需要對入侵檢測系統(tǒng)的報警方式進行部署和規(guī)劃。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以在網(wǎng)絡(luò)的多個位置進行部署。根據(jù)檢測器部署位置的不同，入侵檢測系統(tǒng)具有不同的工作特點。在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署并配置完成后，基于主機的入侵檢測系統(tǒng)的部署可

以給系統(tǒng)提供高級別的保護。但是,將基于主機的入侵檢測系統(tǒng)安裝在企業(yè)中的每一個主機上是一種相當大的時間和資金的浪費，同時每一臺主機都需要根據(jù)自身的情況進行特別的安裝和設(shè)置,相關(guān)的日志和升級維護是巨大的。入侵檢測系統(tǒng)在檢測到入侵行為的時候，需要報警并進行相應(yīng)的反應(yīng)。如何報警和選取什么樣的報警,需要根據(jù)整個網(wǎng)絡(luò)的環(huán)境和安全的需求進行確定。

8.4

入侵檢測技術(shù)入侵檢測系統(tǒng)的檢測分析技術(shù)主要分為兩大類,異常檢測和誤用檢測。異常檢測技術(shù)（AnomalyDetecｔiｏｎ)也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。誤用檢測技術(shù)（ＭisｕsｅＤetecｔion）也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù),它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)可以將當時捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為就被認定為入侵行為。無論哪種入侵檢測技術(shù)都需要搜集總結(jié)有關(guān)網(wǎng)絡(luò)入侵行為的各種知識,或者系統(tǒng)及其用戶的各種行為的知識。隨著大量高速網(wǎng)絡(luò)(如ATM、千兆以太網(wǎng)、G比特光纖網(wǎng))技術(shù)的出現(xiàn)，各種寬帶網(wǎng)絡(luò)技術(shù)大量涌現(xiàn)。其中一種就是攻擊策略分析(AttackSｔratｅgyAnalysis)方法。它采用了分布式智能代理的結(jié)構(gòu)方式,由幾個中央智能代理和大量分布的本地代理組成,其中本地代理負責處理本地事件，中央代理負責整體的分析工作。數(shù)據(jù)融合能夠從多個異質(zhì)分布式傳感器處得到的各種數(shù)據(jù)和信息,并綜合成為一個統(tǒng)一的處理進程，來評估整個網(wǎng)絡(luò)環(huán)境的安全性能。計算機免疫技術(shù)是直接受到生物免疫機制的啟發(fā)而提出的。根據(jù)這種理論,由于計算機網(wǎng)絡(luò)受到安全策略、計算機程序以及系統(tǒng)配置等多種因素中所可能包含的錯誤的影響,所以總是處于易受入侵的狀態(tài)。神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的應(yīng)用歷史比較長，并且一直在不斷的發(fā)展。遺傳算法在入侵檢測中的應(yīng)用歷史還比較短,所取得的成果也有限。在一些研究實驗中,用若干字符串序列來定義用于分析檢測的指令組。用于檢測識別正?；蛘弋惓Ｐ袨榈倪@些指令在初始訓練階段中不斷變化,以提高分析能力。

8.５

Ｓnｏrt入侵檢測系統(tǒng)sｎort是一個強大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力,能夠進行協(xié)議分析，對內(nèi)容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。此外,snoｒｔ具有很好的擴展性和可移植性。這個軟件遵循通用公共許可證ＧPＬ,所以只要遵守GPL任何組織和個人都可以自由使用。

第九章構(gòu)造網(wǎng)絡(luò)安全體系

本章教學重點和難點：1、網(wǎng)絡(luò)安全體系的內(nèi)容2、網(wǎng)絡(luò)安全體系的設(shè)計和實施３、網(wǎng)絡(luò)安全管理

第9章

構(gòu)造網(wǎng)絡(luò)安全體系

9.１網(wǎng)絡(luò)安全體系概述目前尚無被廣泛認可的有關(guān)網(wǎng)絡(luò)安全體系結(jié)構(gòu)方面的國際標準，僅有國際標準化組織(ＩSO)提出的一個建議性標準文件IＳO７４９8-2(OSＩ參考模型的第二部分:安全性體系結(jié)構(gòu)）。安全性體系結(jié)構(gòu)作為開放系統(tǒng)互連(OSI)標準的一部分，ISO7４9８-2把這些內(nèi)容映射到了ＯSＩ的七層模型中，這個體系結(jié)構(gòu)是國際上一個非常重要的網(wǎng)絡(luò)安全技術(shù)架構(gòu)基礎(chǔ)，在網(wǎng)絡(luò)系統(tǒng)安全性方面可以提供重要的指導(dǎo)作用。在考慮網(wǎng)絡(luò)安全問題的過程中，應(yīng)該主要充分考慮以下五個方面的問題：網(wǎng)絡(luò)是否安全、操作系統(tǒng)是否安全、用戶是否安全、應(yīng)用程序是否安全以及數(shù)據(jù)是否安全。目前,這個五層次的網(wǎng)絡(luò)系統(tǒng)安全體系已得到了網(wǎng)絡(luò)安全界的基本認同，并已將其應(yīng)用在某些產(chǎn)品之中。明確網(wǎng)絡(luò)安全體系結(jié)構(gòu)和相關(guān)的內(nèi)容,是構(gòu)建網(wǎng)絡(luò)安全體系的第一步，對指導(dǎo)以后的安全性工作、從整體看待網(wǎng)絡(luò)安全問題至關(guān)重要。上述的五層安全體系并非孤守分散,而是一個有機的整體.對其中任何一個方面的疏忽，都會導(dǎo)致整個安全體系的崩潰,造成大量投資的浪費。

9.2設(shè)計網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全所要達到的目標對網(wǎng)絡(luò)應(yīng)用所追求的目標影響很大，兩者密切相關(guān)。不重視安全的網(wǎng)絡(luò)應(yīng)用是危險的，然而夸大安全威脅的防范措施是愚蠢的。過度的安全性措施將會嚴重浪費網(wǎng)絡(luò)資源,降低網(wǎng)絡(luò)性能,甚至會使網(wǎng)絡(luò)產(chǎn)生錯誤結(jié)果。因此,網(wǎng)絡(luò)安全設(shè)計的第一步就是要用科學的方法，對網(wǎng)絡(luò)中各種數(shù)據(jù)進行風險評估，選擇運用適當?shù)木W(wǎng)絡(luò)安全機制和方法,才可能為用戶設(shè)計出適用的網(wǎng)絡(luò)安全系統(tǒng)。根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應(yīng)安全機制所需的安全服務(wù)等因素,參照SSＥ-CＭＭ(“系統(tǒng)安全工程能力成熟模型”)和ISO1779９（信息安全管理標準)等國際標準,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面,網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下９項原則：在網(wǎng)絡(luò)上保證合法用戶對資源的安全訪問，防止并杜絕黑客的蓄意攻擊與破壞，同時又不至于造成過多的網(wǎng)絡(luò)使用限制和性能下降,已成為當前網(wǎng)絡(luò)安全技術(shù)所追求的目標。與早期的集中式應(yīng)用不同的是，現(xiàn)在的銀行業(yè)務(wù)系統(tǒng)大多基于客戶／服務(wù)器模式和Ｉｎteｒnet/Inｔｒａnet網(wǎng)絡(luò)計算模式的分布式應(yīng)用，在這樣的環(huán)境中，企業(yè)的數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、WＷW服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等都是供用戶出入的“門戶”，只要有一個“門戶”沒有完全保護好，“黑客”就會通過這道門進入系統(tǒng),竊取或破壞所有資源。絕對安全與可靠的信息系統(tǒng)并不存在。一個所謂的安全系統(tǒng)實際上應(yīng)該是“使入侵者花費不可接受的時間與金錢,并且承受很高的風險才能闖入”。安全是一個過程而不是目的，安全的努力依賴于許多因素,例如職員的調(diào)整、新業(yè)務(wù)應(yīng)用的實施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞評估。銀行業(yè)務(wù)系統(tǒng)的安全分為網(wǎng)絡(luò)安全、服務(wù)器安全、用戶安全、應(yīng)用程序和服務(wù)安全、數(shù)據(jù)安全五個部分。

9.3網(wǎng)絡(luò)安全方案的實施前面已經(jīng)討論了網(wǎng)絡(luò)安全體系的設(shè)計過程及相關(guān)的安全實現(xiàn)機制，用戶可以根據(jù)自己的實際情況選擇專業(yè)系統(tǒng)安全集成商進行實施，或是自己購買設(shè)備自行實施。但有一點必須注意的是，實施過程必須有對網(wǎng)絡(luò)安全比較精通的人參與,以保證設(shè)計與實施的一致性。實施原則包括：(1）經(jīng)濟性；（２）策略性；（3）綜合性和整體性;(4）盡量降低對原有網(wǎng)絡(luò)系統(tǒng)性能的影響;（5)避免復(fù)雜性;(6）擴展性、適應(yīng)性；(7)兼容性;（8)保障網(wǎng)絡(luò)安全系統(tǒng)自身的安全；（9）穩(wěn)定性。安全連接方案包括:Internet安全連接;撥號訪問安全連接；內(nèi)部網(wǎng)絡(luò)安全連接;用戶服務(wù)安全性;內(nèi)外網(wǎng)安全連接。

9．4網(wǎng)絡(luò)安全管理設(shè)計和部署網(wǎng)絡(luò)安全體系只是建立網(wǎng)絡(luò)安全防護的第一步，當一切安裝部署到位并開始進入實際使用階段之后,安全工作的重點應(yīng)轉(zhuǎn)移到維護工作上來。從行政管理的角度建立網(wǎng)絡(luò)安全管理體系，其主要內(nèi)容包括建立網(wǎng)絡(luò)安全管理機構(gòu)、建立各項安全管理制度、明確安全管理責任和建立監(jiān)督機制、對人員的安全管理等網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于（1)多人負責原則;(2)任期有限原則；(3)職責分離原則。網(wǎng)絡(luò)安全工作是一個過程,單靠部署幾個安全解決方案就撒手不管是非常危險的。網(wǎng)絡(luò)安全工作必須常抓不懈,永無休止。只要放松了對系統(tǒng)的監(jiān)控和維護工作,遲早會有人利用漏洞讓企業(yè)蒙受巨大損失。網(wǎng)絡(luò)安全性評估可以用來查找現(xiàn)有的弱點,幫助用戶有目標地判斷還需要在哪些方面加以保護和改進。安全性評估可以弄清楚當前都存在著哪些網(wǎng)絡(luò)級的弱點,弱到什么程度；還可以弄清楚企業(yè)監(jiān)測和響應(yīng)網(wǎng)絡(luò)攻擊的能力到底是怎樣的。安全審計說的是以安全體系、策略、人和流程等為對象的深入細致的核查，目的是為了找出安全體系中的薄弱環(huán)節(jié)并給出相應(yīng)的解決方案。對安全事件做出切實可行的內(nèi)應(yīng)是企業(yè)安全體系的最后一個組成部分。有了它,在預(yù)防、檢測和應(yīng)付攻擊網(wǎng)絡(luò)資源的行為時就有章可循,能夠迅速反應(yīng)。

9.5網(wǎng)絡(luò)安全方案介紹中國的證券行業(yè)基本上是基于以太網(wǎng)的結(jié)構(gòu)發(fā)展起來的，并幾乎經(jīng)歷了整個以太網(wǎng)的各個技術(shù)階段。同軸電纜共享以太網(wǎng)、同軸電纜加集線器共享以太網(wǎng)、交換機加集線器直至今日的高速核心交換機加二級交換機結(jié)構(gòu),構(gòu)成了證券公司局域網(wǎng)的整個發(fā)展歷程。由于證券業(yè)對計算機網(wǎng)絡(luò)的依賴性,基本上每２~3年就需要根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展進行技術(shù)升級更新,以保證在最有效率的網(wǎng)絡(luò)基礎(chǔ)上開展證券業(yè)務(wù)。隨著證券行業(yè)的不斷發(fā)展壯大，廣域互聯(lián)也成為證券行業(yè)網(wǎng)絡(luò)通信技術(shù)的發(fā)展趨勢。各證券公司，由獨立的營業(yè)部網(wǎng)絡(luò)加衛(wèi)星通信獨立報盤交易，正在通過證券公司建設(shè)的全國性大型廣域互聯(lián)網(wǎng)絡(luò)演變?yōu)闋I業(yè)部網(wǎng)絡(luò)互聯(lián)、開展集中交易、網(wǎng)上交易、網(wǎng)上辦公等綜合業(yè)務(wù)的統(tǒng)一應(yīng)用網(wǎng)絡(luò)體系。目前證券業(yè)，除了繼續(xù)通過衛(wèi)星地面線路與交易所的連接外,為了開展網(wǎng)上交易、網(wǎng)上信息發(fā)布等業(yè)務(wù)的需要，還與國際互聯(lián)網(wǎng)internｅt建立了聯(lián)系。由于國際互聯(lián)網(wǎng)的應(yīng)用廣泛性,由此也產(chǎn)生了安全上的巨大威脅。同時，由于證券公司統(tǒng)一網(wǎng)絡(luò)的形成,各辦公機構(gòu)、營業(yè)部、證券用戶都進入了證券公司的統(tǒng)一網(wǎng)絡(luò)中,因此來自內(nèi)部人員的不法侵害也成為不可忽視的安全隱患。

第十章數(shù)據(jù)備份

本章教學重點和難點:1、數(shù)據(jù)完整性的定義2、提高數(shù)據(jù)完整性的方法3、數(shù)據(jù)備份系統(tǒng)及RAID技術(shù)4、基于SAＮ的備份系統(tǒng)5、歸檔和分級存儲6、數(shù)據(jù)容災(zāi)系統(tǒng)

第10章

數(shù)據(jù)備份

10.1

概述數(shù)據(jù)完整性用來泛指與損壞和丟失相對的數(shù)據(jù)狀態(tài)，即數(shù)據(jù)處于一種未受損的狀態(tài)，接收方收到的數(shù)據(jù)與原始定義的數(shù)據(jù)嚴格相同，數(shù)據(jù)不能被非授權(quán)地修改或刪除,且在數(shù)據(jù)受損的情況下應(yīng)能通過數(shù)據(jù)的備份完全恢復(fù)。它包括數(shù)據(jù)的正確性、一致性及有效性。四個對數(shù)據(jù)完整性最常見的威脅包括人為威脅、硬件故障、網(wǎng)絡(luò)故障和災(zāi)難事故。一些恢復(fù)數(shù)據(jù)完整性或防止數(shù)據(jù)完整性喪失的技術(shù)包括:1.備份2.歸檔3．分級存儲管理4.廉價冗余磁盤陣列（RＡID）5.容災(zāi)計劃。

10.２

數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份系統(tǒng)有多種分類方法,按其接口可分為總線備份系統(tǒng)和網(wǎng)絡(luò)備份系統(tǒng)。備份系統(tǒng)按其應(yīng)用流量與備份流量是否分開可分為混合流量備份系統(tǒng)和獨立流量備份系統(tǒng)。當有大量數(shù)據(jù)需要備份時,性能就很重要了。ＲAＩD(RedundaｎtAｒrayofIndependeｎtDiｓk)，意思是廉價磁盤冗余陣列。目的是為了組合小的廉價磁盤來代替大的昂貴磁盤，以降低大批量數(shù)據(jù)存儲的費用,同時也希望采用冗余信息的方式，使得磁盤受損時不會使數(shù)據(jù)缺失，從而開發(fā)出一定水平的數(shù)據(jù)保護技術(shù)。RAID技術(shù)降低了成本,提高了執(zhí)行效率,并提供了系統(tǒng)運行的穩(wěn)定性。ＲAＩＤ系統(tǒng)最大的優(yōu)點是“熱交換”能力：用戶可以取出一個存在缺陷的驅(qū)動器,同時插入一個新的進行更換。對大多數(shù)類型的RAID來說,可以從剩余的驅(qū)動器重建數(shù)據(jù)而不必中斷服務(wù)器或系統(tǒng),這一點對服務(wù)器用戶以及其他高要求的用戶是至關(guān)重要的。備份的最基本問題是:為保證能恢復(fù)全部系統(tǒng),需要備份多少以及何時進行備份?；謴?fù)操作通?？梢苑殖扇悺５谝活愂侨P備份恢復(fù)，第二類是個別文件恢復(fù)。第三類中重定向恢復(fù)。一般來說，恢復(fù)操作比備份操作更容易出問題。備份只是將信息從磁盤上拷貝出來,而恢復(fù)則要在目標系統(tǒng)上創(chuàng)建文件

10.３

基于SAＮ的數(shù)據(jù)備份系統(tǒng)存儲區(qū)域網(wǎng)絡(luò)ＳAN(ＳtorａgeAｒeａNetwoｒk）是199７年由ＣOMＰＡQ公司領(lǐng)先業(yè)界提出的，它是一種采用了光纖接口將磁盤陣列、磁帶以及相關(guān)服務(wù)器連接起來的高速專用子網(wǎng)。SAN結(jié)構(gòu)允許服務(wù)器連接任何存儲陣列或磁帶，這樣不管數(shù)據(jù)放置在哪里，服務(wù)器都可直接存取所需的數(shù)據(jù)。SAN提供一個專用的、高可靠性的基于光通道的存儲網(wǎng)絡(luò)，允許獨立地增加它們的存儲容量,也使得管理及集中控制（特別是對于全部存儲設(shè)備都集群在一起的時候）簡化。ＳAN作為一種配置網(wǎng)絡(luò)化存儲的解決方案,在物理布局上是通過專用的交換機、集線器和網(wǎng)關(guān)在服務(wù)器和存儲設(shè)備之間建立連接的SAＮ和LAN的根本區(qū)別在于：LAN是計算機之間的互聯(lián),只要發(fā)送小批量數(shù)據(jù)就會增加間接通信量,從而降低通信帶寬;SAN是計算機之間及其與存儲器之間的互聯(lián),消除了服務(wù)器的處理瓶頸,能夠在間接通信量較低的情況下運用SＣSＩ存儲協(xié)議傳輸大宗的數(shù)據(jù)管理一個大型的SAN需要一個健壯的管理配置系統(tǒng),強有力的監(jiān)控能力對于集中管理廣泛的資源相當必要,ＳAN管理軟件還應(yīng)具備從網(wǎng)絡(luò)或存儲設(shè)備提供的數(shù)據(jù)中檢測出即將產(chǎn)生的故障或即將發(fā)生的傳輸瓶頸的能力,從而可以提前進行預(yù)防。許多SAN的部件，如磁盤系統(tǒng)、磁帶系統(tǒng)以及連接部件都有一定程度的管理能力,并且都提供管理接口。SAN中的存儲系統(tǒng)和光纖通道交換機以及存儲服務(wù)器也具備各自的管理能力,所以ＳAN的智能是分布在全網(wǎng)中的。

10.4

基于因特網(wǎng)的數(shù)據(jù)備份技術(shù)因特網(wǎng)備份還提供了只傳輸文件的一部分的功能，而不是必須傳送整個文件。這種技術(shù)是差異備份技術(shù)，這意味著客戶端軟件可以識別一個文件的哪一個部分發(fā)生了改變，目前有兩種技術(shù)用于提供文件部分備份的功能：ｄelta塊技術(shù)和二進制補丁技術(shù)。delta塊技術(shù)將文件拆成小塊范圍，并計算每一塊范圍的校驗和。當備份時,對每一塊數(shù)據(jù)進行新的校驗和計算，并與舊的校驗和比較。如果兩者有差異，則傳輸該小塊的數(shù)據(jù)。二進制補丁技術(shù)采用同樣的方法來識別一個文件中變化的數(shù)據(jù)。

10.5

歸檔和分級存儲管理移動數(shù)據(jù)的兩種不同方法:歸檔和分級存儲管理歸檔是指將數(shù)據(jù)拷貝或打包以便能進行長時間的歷史性保存。分級存儲管理HSM（HｉeraｒchicａｌＳｔoｒageManagｅment），是一種對用戶和管理員都透明的、提供歸檔功能的自動系統(tǒng)。將HＳＭ和歸檔區(qū)別開來的一個重要的特點是：HＳM本質(zhì)上并不將文件刪除,而是在文件原來的地方留下一個很小的文件。當最終用戶想要訪問原文件時，這個文件就被用來自動地將原始文件找回來。另一個不同之處是：HSM系統(tǒng)用“遷移”一詞代替術(shù)語“歸檔”。

10.6

數(shù)據(jù)容災(zāi)系統(tǒng)數(shù)據(jù)備份系統(tǒng)可以避免由于各種軟硬件故障、人為操作失誤和病毒所造成的數(shù)據(jù)完整性的破壞，保障數(shù)據(jù)安全。但是，當面臨大范圍的突發(fā)性災(zāi)難，如地震、火災(zāi)、恐怖襲擊時，上述技術(shù)就無能為力了。此時要想迅速恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)和服務(wù),就必須建立異地的災(zāi)難備份系統(tǒng)，即容災(zāi)系統(tǒng)。一個完整的容災(zāi)系統(tǒng)應(yīng)該有以下幾個部分組成:本地的高可用系統(tǒng);數(shù)據(jù)備份系統(tǒng);數(shù)據(jù)遠程復(fù)制系統(tǒng);遠程的高可用管理系統(tǒng)。系統(tǒng)容災(zāi)的目的是產(chǎn)生一個災(zāi)難恢復(fù)計劃。它通過給恢復(fù)小組中的每個成員一個指定的、遵照執(zhí)行的責任和處理過程清單,便整個災(zāi)難恢復(fù)過程能夠有條不紊地進行。制定容災(zāi)計劃的第一步：風險分析。災(zāi)難發(fā)生之后,首先要明白要恢復(fù)哪些應(yīng)用程序。制訂容災(zāi)計劃過程中這一步驟的關(guān)鍵是：決定使基本服務(wù)重新運行的,可接受而又可達到的時間長度。創(chuàng)建許多人都能遵照執(zhí)行的文本是制定容災(zāi)計劃中極為關(guān)鍵的一步。在計劃寫好后要對其進行測試，必須證明該計劃確實可行。最后,當有一個經(jīng)過測試的計劃時,需要將其分發(fā)給需要它的人。

１0．6．3

容災(zāi)案例（1）TOM.COM網(wǎng)站(2)光大銀行（３)SIＮA.COM網(wǎng)站

第十一章