01信息安全概述

1、序言序言 隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟(jì)和社會(huì) 信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)， 信息安全已經(jīng)成為國家安全的重要組成部分。近年來，在黨中央、國務(wù)院的 領(lǐng)導(dǎo)下，我國信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ) 設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國家安全與社會(huì)穩(wěn)定、保障 和促進(jìn)信息化健康發(fā)展發(fā)揮了重要作用。 但是，我國信息安全保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng) 的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息安全管理和技術(shù)人才缺乏，關(guān)鍵 技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競(jìng)爭(zhēng)力；信息安全法律法規(guī)和標(biāo)準(zhǔn)不 完善；

2、全社會(huì)的信息安全意識(shí)不強(qiáng)，信息安全管理薄弱等。與此同時(shí)，網(wǎng)上 有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng) 絡(luò)犯罪呈快速上升趨勢(shì)，境內(nèi)外敵對(duì)勢(shì)力針對(duì)廣播電視衛(wèi)星、有線電視和地 面網(wǎng)絡(luò)的攻擊破壞活動(dòng)和利用信息網(wǎng)絡(luò)進(jìn)行的反動(dòng)宣傳活動(dòng)日益猖獗，嚴(yán)重 危害公眾利益和國家安全，影響了我國信息化建設(shè)的健康發(fā)展。隨著我國信 息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全還將面臨更多新 的挑戰(zhàn)。 信息安全技術(shù)與實(shí)施信息安全技術(shù)與實(shí)施 目目 錄錄 物理實(shí)體安全與防護(hù)物理實(shí)體安全與防護(hù) 2 密碼技術(shù)與應(yīng)用密碼技術(shù)與應(yīng)用 4 信息安全概述信息安全概述 3 1 網(wǎng)絡(luò)攻擊與防范網(wǎng)絡(luò)攻擊與防范

3、 3 3 數(shù)字身份認(rèn)證數(shù)字身份認(rèn)證 3 5 目目 錄錄 入侵檢測(cè)技術(shù)與應(yīng)用入侵檢測(cè)技術(shù)與應(yīng)用 7 操作系統(tǒng)安全防范操作系統(tǒng)安全防范 9 防火墻技術(shù)與應(yīng)用防火墻技術(shù)與應(yīng)用 3 6 計(jì)算機(jī)病毒與防范計(jì)算機(jī)病毒與防范 3 8 無線網(wǎng)絡(luò)安全與防范無線網(wǎng)絡(luò)安全與防范 310 第第1章章 信息安全概述信息安全概述 本章內(nèi)容本章內(nèi)容 信息安全信息安全介紹介紹 1. 1. 1 1 黑客的概念及黑黑客的概念及黑 客文化客文化 1. 1. 2 2 針對(duì)信息安全的針對(duì)信息安全的 攻擊攻擊 1. 1. 3 3 網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全體系 1. 1. 4 4 信息安全的三個(gè)信息安全的三個(gè) 層次層次 1. 1. 5 5 引

4、導(dǎo)案例：引導(dǎo)案例： 2009年年1月，法國海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的月，法國海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的 一臺(tái)計(jì)算機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè)一臺(tái)計(jì)算機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè) 網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也 因無法因無法“下載飛行指令下載飛行指令”而停飛兩天。僅而停飛兩天。僅 僅是法國海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺，僅是法國海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺， 法國的國家安全就出現(xiàn)了一個(gè)偌大的黑洞。法國的國家安全就出現(xiàn)了一個(gè)偌大的黑洞。 設(shè)想，若一個(gè)國家某一系統(tǒng)或領(lǐng)域的計(jì)算設(shè)想，若一個(gè)國家某一系統(tǒng)或領(lǐng)域的計(jì)算 機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓，這種損失和機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓

5、，這種損失和 危害將是不可想象的，而類似的事件不勝危害將是不可想象的，而類似的事件不勝 枚舉。目前，美國政府掌握著信息領(lǐng)域的枚舉。目前，美國政府掌握著信息領(lǐng)域的 核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)交換核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)交換 機(jī)的核心技術(shù)基本掌握在美國企業(yè)的手中。機(jī)的核心技術(shù)基本掌握在美國企業(yè)的手中。 微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚 至打印機(jī)軟件中嵌入美國中央情報(bào)局的后至打印機(jī)軟件中嵌入美國中央情報(bào)局的后 門軟件已經(jīng)不是秘密，美國在信息技術(shù)研門軟件已經(jīng)不是秘密，美國在信息技術(shù)研 發(fā)和信息產(chǎn)品的制造過程中就事先做好了發(fā)和信息產(chǎn)品的制造過程中就事

6、先做好了 日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。 1.1 信息安全介紹信息安全介紹 隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的人親身體會(huì)到了信息化給人們帶來的隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的人親身體會(huì)到了信息化給人們帶來的 實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來實(shí)惠實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來實(shí)惠 的同時(shí)，也產(chǎn)生了新的威脅。目前的同時(shí)，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)信息戰(zhàn)”已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶，已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶， 例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。尤其是美國例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。尤其是美國“9.1

7、1事件事件”給世界各國的信息安全給世界各國的信息安全 問題再次敲響了警鐘，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還問題再次敲響了警鐘，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還 有眾多公司的數(shù)據(jù)。有眾多公司的數(shù)據(jù)。 自自2003年元旦以來，蠕蟲病毒年元旦以來，蠕蟲病毒“沖擊波沖擊波”對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程 度的攻擊，制造了一場(chǎng)規(guī)?？涨暗幕ヂ?lián)網(wǎng)度的攻擊，制造了一場(chǎng)規(guī)模空前的互聯(lián)網(wǎng)“網(wǎng)癱網(wǎng)癱”災(zāi)難事件。迄今為止，許多災(zāi)難事件。迄今為止，許多 組織、單位、實(shí)體仍然沒有完全走出組織、單位、實(shí)體仍然沒有完全走出“沖擊波沖擊波”和和“震蕩波震蕩波”的

8、陰影，而的陰影，而2007 年的年的“熊貓燒香熊貓燒香”又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊事件正以每年又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊事件正以每年 64%的速度增加。另據(jù)統(tǒng)計(jì)，全球約的速度增加。另據(jù)統(tǒng)計(jì)，全球約20秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生，秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生， Internet上的網(wǎng)絡(luò)防火墻約上的網(wǎng)絡(luò)防火墻約1/4被突破，約有被突破，約有70%以上的網(wǎng)絡(luò)信息主管人員報(bào)告以上的網(wǎng)絡(luò)信息主管人員報(bào)告 因機(jī)密信息泄露而受到了損失。因機(jī)密信息泄露而受到了損失。 信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)

9、、密碼技術(shù)、信息安全技術(shù)、 應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要 表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來（不加嚴(yán)格區(qū)表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來（不加嚴(yán)格區(qū) 分）。實(shí)際上，叫信息安全比較全面、科學(xué)。分）。實(shí)際上，叫信息安全比較全面、科學(xué)。 信息安全問題已引起了各國政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān)信息安全問題已引起了各國政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān) 標(biāo)準(zhǔn)與法規(guī)。標(biāo)準(zhǔn)與法規(guī)。 1.1.1 信息安全的概念信息安全的概念 信息安全

10、的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來的。當(dāng)信息安全的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來的。當(dāng) 前對(duì)信息安全的說法比較多，計(jì)算機(jī)安全、計(jì)算機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、前對(duì)信息安全的說法比較多，計(jì)算機(jī)安全、計(jì)算機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、 信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。 ISO對(duì)計(jì)算機(jī)系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的對(duì)計(jì)算機(jī)系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的 安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、安全保護(hù)，保護(hù)計(jì)

11、算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、 更改和泄露。更改和泄露。 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行， 從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。 建立網(wǎng)絡(luò)安全保護(hù)措施的目的：建立網(wǎng)絡(luò)安全保護(hù)措施的目的： 確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。 針對(duì)信息安全，目前沒有公認(rèn)的定義。美國國家安全電信和信息系統(tǒng)安全委員針對(duì)信息安全，目前沒有公認(rèn)的定義。美國國家

12、安全電信和信息系統(tǒng)安全委員 會(huì)（會(huì)（NSTISSC）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使 用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。 信息安全涉及個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國家安全，它 是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全、國 家信息安全的總和。 1.1.2 信息安全的內(nèi)容信息安全的內(nèi)容 物物 理理 安安 全全 1 防靜電 防盜 防雷擊 防火 防電磁泄漏 2 用戶身份認(rèn)證 訪問控制 加密 安全管理 邏邏 輯輯 安安 全全 操操 作作 系系 統(tǒng)統(tǒng) 安安 全全 3 聯(lián)

13、聯(lián) 網(wǎng)網(wǎng) 安安 全全 4 訪問控制服務(wù) 通信安全服務(wù) 1.物理安全 物理安全是指用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、 網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施安全的各種裝置與管理手段。 包括：防盜、防火、防靜電、防雷擊和防電磁泄 露等。 物理上的安全威脅主要涉及對(duì)計(jì)算機(jī)或人員的訪 問。策略和多，如將計(jì)算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置 在一個(gè)安全的環(huán)境中，銷毀不再使用的敏感文檔， 保持密碼和身份認(rèn)證部件的安全性，鎖住便攜式 設(shè)備等。物理安全更多的是依賴于行政的干預(yù)手 段并結(jié)合相關(guān)技術(shù)。如果沒有基礎(chǔ)的物理保護(hù)， 物理安全是不可能實(shí)現(xiàn)的。 2.網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò)的邏輯安全主要通過用戶身份認(rèn)證、訪問控制、 加密、安全管理等方法來實(shí)現(xiàn)。

14、 （1）用戶身份認(rèn)證。身份證明是所有安全系統(tǒng)不可或缺的 一個(gè)組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為 了實(shí)現(xiàn)對(duì)信息資源的保護(hù)，并知道何人試圖獲取網(wǎng)絡(luò)資 源的訪問權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對(duì)用戶進(jìn)行身 份認(rèn)證。 （2）訪問控制。訪問控制是制約擁護(hù)連接特定網(wǎng)絡(luò)、計(jì)算 機(jī)與應(yīng)用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問控 制系統(tǒng)一般針對(duì)網(wǎng)絡(luò)資源進(jìn)行安全控制區(qū)域劃分，實(shí)施 區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一 個(gè)許可或拒絕訪問的集中控制點(diǎn)。 （3）加密。即使訪問控制和身份驗(yàn)證系統(tǒng)完全有效，在數(shù) 據(jù)信息通過網(wǎng)絡(luò)傳送時(shí)，企業(yè)仍然可能面臨被竊聽的風(fēng) 險(xiǎn)。事實(shí)上，低成本和連接的簡(jiǎn)單性已使Inte

15、rnet成為企 業(yè)內(nèi)和企業(yè)間通信的一個(gè)極為誘人的媒介。同時(shí)，無線 網(wǎng)絡(luò)的廣泛使用也在進(jìn)一步加大網(wǎng)絡(luò)數(shù)據(jù)被竊聽的風(fēng)險(xiǎn)。 加密技術(shù)用于針對(duì)竊聽提供保護(hù)，它通過信息只能被具 有解密數(shù)據(jù)所需密鑰的人員讀取來提供信息的安全保護(hù)。 它與第三方是否通過Internet截取數(shù)據(jù)包無關(guān)，因?yàn)閿?shù)據(jù) 即使在網(wǎng)絡(luò)上被第三方截取，它也無法獲取信息的本義。 這種方法可在整個(gè)企業(yè)網(wǎng)絡(luò)中使用，包括在企業(yè)內(nèi)部 （內(nèi)部網(wǎng)）、企業(yè)之間（外部網(wǎng)）或通過公共Internet在 虛擬專用網(wǎng)（VPN）中傳送私人數(shù)據(jù)。加密技術(shù)主要包 括對(duì)稱式和非對(duì)稱式兩種，都有許多不同的密鑰算法來 實(shí)現(xiàn)。 （4）安全管理。安全系統(tǒng)應(yīng)當(dāng)允許由授權(quán)人進(jìn)行 監(jiān)視

16、和控制。使用驗(yàn)證的任何系統(tǒng)都需要某種集 中授權(quán)來驗(yàn)證這些身份，而無論它是UNIX主機(jī)、 Windows NT域控制器還是Novell Directory Serrvices（NDS）服務(wù)器上的/etc/passwd文件。 由于能查看歷史記錄，如突破防火墻的多次失敗 嘗試，安全系統(tǒng)可以為那些負(fù)責(zé)保護(hù)信息資源的 人員提供寶貴的信息。一些更新的安全規(guī)范，如 IPSEC，需要包含策略規(guī)則數(shù)據(jù)庫。要使系統(tǒng)正 確運(yùn)行，就必須管理所有這些要素。但是，管理 控制臺(tái)本身也是安全系統(tǒng)的另一個(gè)潛在故障點(diǎn)。 因此，必須確保這些系統(tǒng)在物理上得到安全保護(hù)， 請(qǐng)確保對(duì)管理控制臺(tái)的任何登錄進(jìn)行驗(yàn)證。 3.操作系統(tǒng)安全。 計(jì)算

17、機(jī)操作系統(tǒng)擔(dān)負(fù)著龐大的資源管理，頻繁的輸入輸出控制以及不可 間斷的用戶與操作系統(tǒng)之間的通信任務(wù)。由于操作系統(tǒng)具有一權(quán)獨(dú)大的 特點(diǎn)，所有針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的入侵及非法訪問都是以攫取操作系統(tǒng)的 最高權(quán)限作為入侵的目的。因此，操作系統(tǒng)安全的內(nèi)容就是采用各種技 術(shù)手段和采用合理的安全策略，降低系統(tǒng)的脆弱性。與過去相比，如今 的操作系統(tǒng)性能更先進(jìn)、功能更豐富，因而對(duì)使用者來說更便利，但是 也增加了安全漏洞。要減少操作系統(tǒng)的安全漏洞，需要對(duì)操作系統(tǒng)予以 合理配置、管理和監(jiān)控。做到這點(diǎn)的秘訣在于集中、自動(dòng)管理機(jī)構(gòu)（企 業(yè)）內(nèi)部的操作系統(tǒng)安全，而不是分散、人工管理每臺(tái)計(jì)算機(jī)。實(shí)際上， 如果不集中管理操作系統(tǒng)安全

18、，相應(yīng)的成本和風(fēng)險(xiǎn)就會(huì)非常高。目前所 知道的安全入侵事件，一半以上緣于操作系統(tǒng)根本沒有合理配置，或者 沒有經(jīng)常核查及監(jiān)控。操作系統(tǒng)都是以默認(rèn)安全設(shè)置類配置的，因而極 容易受到攻擊。 那些人工更改了服務(wù)器安全配置的用戶，把技術(shù)支持部門的資源都過 多地消耗于幫助用戶處理口令查詢上，而不是處理更重要的網(wǎng)絡(luò)問題。 考慮到這些弊端，許多管理員任由服務(wù)器操作系統(tǒng)以默認(rèn)狀態(tài)運(yùn)行。這 樣一來，服務(wù)器可以馬上投入運(yùn)行，但卻大大增大了安全風(fēng)險(xiǎn)。 現(xiàn)有技術(shù)可以減輕管理負(fù)擔(dān)。要加強(qiáng)機(jī)構(gòu)（企業(yè)）網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的安 全，需要做到以下三方面： 首先對(duì)網(wǎng)絡(luò)上的服務(wù)器進(jìn)行配置應(yīng)該在一個(gè)地方進(jìn)行，大多數(shù)用戶大概 需要數(shù)十種不同的

19、配置。然后，這些配置文件的一個(gè)鏡像或一組鏡 像在軟件的幫助下可以通過網(wǎng)絡(luò)下載。軟件能夠自動(dòng)管理下載過程， 不需要為每臺(tái)服務(wù)器手工下載。此外，即使有些重要的配置文件， 也不應(yīng)該讓本地管理員對(duì)每臺(tái)服務(wù)器分別配置，最好的辦法就是一 次性全部設(shè)定。一旦網(wǎng)絡(luò)配置完畢，管理員就要核實(shí)安全策略的執(zhí) 行情況，定義用戶訪問權(quán)限，確保所有配置正確無誤。管理員可以 在網(wǎng)絡(luò)上運(yùn)行（或遠(yuǎn)程運(yùn)行）代理程序，不斷監(jiān)控每臺(tái)服務(wù)器。代 理程序不會(huì)干擾正常操作。 其次，帳戶需要加以集中管理，以控制對(duì)網(wǎng)絡(luò)的訪問，并且確保用戶擁 有合理訪問機(jī)構(gòu)資源的權(quán)限。策略、規(guī)則和決策應(yīng)在一個(gè)地方進(jìn)行， 而不是在每臺(tái)計(jì)算機(jī)上進(jìn)行，然后為用戶系統(tǒng)配

20、置合理的身份和許 可權(quán)。身份生命周期管理程序可以自動(dòng)管理這一過程，減少手工過 程帶來的麻煩。 最后，操作系統(tǒng)應(yīng)該配置成能夠輕松、高效地監(jiān)控網(wǎng)絡(luò)活動(dòng)，可以顯示 誰在進(jìn)行連接，誰斷開了連接，以及發(fā)現(xiàn)來自操作系統(tǒng)的潛在安全 事件。 1.1.3 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略 安全策略是針對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全需要，做出允許什么、 禁止什么的規(guī)定，通?？梢允褂脭?shù)學(xué)方式來表達(dá)策略，將其 表示為允許（安全的）或不允許（不安全的）的狀態(tài)列表。 為達(dá)到這個(gè)目的，可假設(shè)任何給定的策略能對(duì)安全狀態(tài)和非 安全狀態(tài)做出公理化描述。實(shí)踐中，策略極少會(huì)如此精確， 網(wǎng)絡(luò)使用文本語言描述什么是用戶或系統(tǒng)允許做的事情。這 種描述的內(nèi)在歧

21、義性導(dǎo)致某些狀態(tài)既不能歸于“允許”一類， 也不能歸于“不允許”一類，因此制定安全策略時(shí)，需要注 意此類問題。 因此安全策略是指在一個(gè)特定的環(huán)境里，為提供一定級(jí)別 的安全保護(hù)所必須遵守的規(guī)則。 1.物理安全策略 目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體 和通信鏈路免受自然災(zāi)害、認(rèn)為破壞、搭線攻擊，驗(yàn)證用戶 的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有 一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度， 防止非法進(jìn)入計(jì)算機(jī)控制室和各種盜竊、破壞活動(dòng)的發(fā)生。 抑止和防止電磁泄露，即Tempest技術(shù)，是物理安全策略的 一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是傳導(dǎo)發(fā)射 的保護(hù)，

22、主要采取對(duì)電源線和信息線加裝性能良好的濾波器， 減少傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對(duì)輻射的防護(hù)。 2.訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資 源不被非法使用和訪問，它是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 各種安全策略必須相互配合才能真正起到保護(hù)作用，可以說訪問控制是 保證網(wǎng)絡(luò)安全的核心策略之一。 （1）入網(wǎng)訪問控制。為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它是用來 控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的 時(shí)間和準(zhǔn)許在哪個(gè)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為3個(gè)步驟： 用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的默認(rèn)限制檢 查

23、。只要3道關(guān)卡中有任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。 （2）網(wǎng)絡(luò)權(quán)限控制。是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措 施。用戶和用戶組被賦予一定的權(quán)限。用戶組可以訪問哪些目錄、子目 錄、文件和其他資源，指定用戶對(duì)這些文件、目錄、設(shè)備執(zhí)行哪些操作。 根據(jù)訪問可以將用戶分為特殊用戶（系統(tǒng)管理員）、一般用戶，審計(jì)用 戶（負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)）3類。用戶對(duì)網(wǎng)絡(luò)資 源的訪問權(quán)限可以用一個(gè)訪問控制表來描述。 1.1.4 信息安全的要素信息安全的要素 雖然網(wǎng)絡(luò)安全同單個(gè)計(jì)算機(jī)安全在目標(biāo)上并沒有本質(zhì)區(qū)別， 但是由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，網(wǎng)絡(luò)安全比單個(gè)計(jì)算機(jī)安全要 復(fù)雜得多。P5。 第一，網(wǎng)絡(luò)資

24、源的共享范圍更加寬泛，難以控制。 第二，網(wǎng)絡(luò)支持多種操作系統(tǒng)，安全管理和控制更為困難。 第三，網(wǎng)絡(luò)的擴(kuò)大使網(wǎng)絡(luò)的邊界和網(wǎng)絡(luò)用戶群變的不確定， 比單機(jī)困難的多。 第四，單機(jī)用戶可以從自己的計(jì)算機(jī)中直接獲取敏感數(shù)據(jù)。 第五，由于網(wǎng)絡(luò)路由選擇的不固定性，很難確保網(wǎng)絡(luò)信息在 一條安全通道上傳輸。 保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，就是要保護(hù)網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中的 可用性、機(jī)密性、完整性、可控性和不可抵賴性。 P5P5。 。是指得到授權(quán)的實(shí)體在需要時(shí)可以得到所需要的網(wǎng)絡(luò)資源 和服務(wù)。 機(jī)密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實(shí)體（包括用戶和進(jìn) 程等）獲取與使用。這些信息不僅指國家機(jī)密，也包括企業(yè)和社會(huì)團(tuán) 體的商業(yè)秘密

25、和工作秘密，還包括個(gè)人的秘密（如銀行賬號(hào)）和個(gè)人 隱私（如郵件、瀏覽習(xí)慣）等。網(wǎng)絡(luò)在人們生活中的廣泛使用，使人 們對(duì)網(wǎng)絡(luò)機(jī)密性的要求提高。用于保障網(wǎng)絡(luò)機(jī)密性的主要技術(shù)是密碼 技術(shù)。在網(wǎng)絡(luò)的不同層次上有不同的機(jī)制來保障機(jī)密性。在物理層上， 主要是采取電磁屏蔽技術(shù)、干擾及跳頻技術(shù)來防止電磁輻射造成的信 息外泄：在網(wǎng)絡(luò)層、傳輸層及應(yīng)用層主要采用加密、路由控制、訪問 控制、審計(jì)等方法來保證信息的機(jī)密性。 完整性是指網(wǎng)絡(luò)信息的真實(shí)可信性，即網(wǎng)絡(luò)中的信息不會(huì) 被偶然或者蓄意地進(jìn)行刪除、修改、偽造、插入等破壞，保證授權(quán)用 戶得到的信息是真實(shí)的。只有具有修改權(quán)限的實(shí)體才能修改信息，如 果信息被未經(jīng)授權(quán)的實(shí)體修

26、改了或在傳輸過程中出現(xiàn)了錯(cuò)誤，信息的 使用者應(yīng)能夠通過一定的方式判斷出信息是否真實(shí)可靠。 是控制授權(quán)范圍內(nèi)的信息流向和行為方式的特性，如對(duì)信 息的訪問、傳播及內(nèi)容具有控制能力。首先，系統(tǒng)要能夠控制誰能夠 訪問系統(tǒng)或網(wǎng)絡(luò)上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是 只能讀取數(shù)據(jù)。這要通過采用訪問控制等授權(quán)方法來實(shí)現(xiàn)。其次，即 使擁有合法的授權(quán)，系統(tǒng)仍需要對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行驗(yàn)證。通過握手 協(xié)議和口令進(jìn)行身份驗(yàn)證，以確保他確實(shí)是所聲稱的那個(gè)人。最后， 系統(tǒng)還要將用戶的所有網(wǎng)絡(luò)活動(dòng)記錄在案，包括網(wǎng)絡(luò)中計(jì)算機(jī)的使用 時(shí)間、敏感操作和違法操作等，為系統(tǒng)進(jìn)行事故原因查詢、定位，事 故發(fā)生前的預(yù)測(cè)、報(bào)警，以

27、及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)、可 靠的依據(jù)或支持。審計(jì)對(duì)用戶的正常操作也有記載，可以實(shí)現(xiàn)統(tǒng)計(jì)、 計(jì)費(fèi)等功能，而且有些諸如修改數(shù)據(jù)的“正?！辈僮髑∏∈枪粝到y(tǒng) 的非法操作，同樣需要加以警惕。 （5）不可抵賴性。）不可抵賴性。也稱為不可否認(rèn)性。是指通信的雙方在通信過程中， 對(duì)于自己所發(fā)送或接收的消息不可抵賴。即發(fā)送者不能抵賴他發(fā)送過 消息和消息內(nèi)容，而接收者也不能抵賴其接收到消息的事實(shí)和內(nèi)容。 1.2 黑客的概念及黑客文化黑客的概念及黑客文化 1.2.1 黑客的概念及起源（P6-7） 1.黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語言方面的高級(jí)知識(shí)， 熱衷編程，查找漏洞

28、，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開他們的發(fā)現(xiàn)，與 其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖。“黑帽子黑客”，“白帽子黑客”，“灰 帽子黑客”。 現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。 2.駭客（cracker）：以破壞系統(tǒng)為目標(biāo)。 是hacker的一個(gè)分支，發(fā)展到現(xiàn)在，也有“黑 帽子黑客” 3.紅客（honker）：中國的一些黑客自稱“紅客”honker。例如中國紅客基地。 美國警方：把所有涉及到利用、借助、通過或阻撓計(jì)算機(jī)的犯罪行為都定為 hacking。 4.怎樣才算一名黑客： 1.2.2 黑客文化（P8） 1.黑客行為 （1）不隨便進(jìn)行攻擊行為。 （

29、2）公開自己的作品。 （3）幫助其他黑客。 （4）義務(wù)地做一些力所能及的事情。 2.黑客精神 （1）自由共享精神。 （2）探索與創(chuàng)新精神 （3）合作精神 3.黑客準(zhǔn)則（P8） （1）不惡意破壞任何系統(tǒng)。 （2）不修改任何系統(tǒng)文件。 （3）不輕易地將要黑的或黑過的站點(diǎn)告訴別人，不炫耀自 己的技術(shù)。 （4）不入侵或破壞政府機(jī)關(guān)的主機(jī)等。 （5）做真正的黑客，努力鉆研技術(shù)，研究各種漏洞。 1.2.3 如何成為一名黑客（P9） 1.黑客必備的基本技能 （1）精通程序設(shè)計(jì)。 （2）熟練掌握各種操作系統(tǒng)。 （3）熟悉互聯(lián)網(wǎng)與網(wǎng)絡(luò)編程。 2.如何學(xué)習(xí)黑客技術(shù) （1）濃厚的興趣。 （2）切忌浮躁，耐的住寂寞

30、（3）多動(dòng)手實(shí)踐 （4）嘗試多次失敗 1.3 針對(duì)信息安全的攻擊（針對(duì)信息安全的攻擊（P10） 在正常情況下，有 一個(gè)信息流從一個(gè)信 源(例如一個(gè)文件或主 存儲(chǔ)器的一個(gè)區(qū)域)流 到一個(gè)目的地（例如 另一個(gè)文件或一個(gè)用 戶）時(shí)，它的信息流 動(dòng)是這樣的： 當(dāng)產(chǎn)生攻擊時(shí)，有以下4種情況: 上述4種情況又可以按照攻擊的主 動(dòng)性來分為兩類：主動(dòng)攻擊主動(dòng)攻擊和被被 動(dòng)攻擊。動(dòng)攻擊。 1.3.1 被動(dòng)攻擊（P10） 本質(zhì)上是在傳輸中的竊聽或監(jiān)視，其目的是從傳輸中獲 得信息。類被動(dòng)攻擊：析出消息內(nèi)容和通信量分析。 1.3.2 主動(dòng)攻擊（P11） 攻擊的第二種類型 進(jìn)一步劃分為四類：偽裝、重放、篡改消息和拒絕服務(wù)。 主動(dòng)攻擊表現(xiàn)了與被動(dòng)攻擊相反的特點(diǎn)。 1.4.1 1.4.1 網(wǎng)絡(luò)安全體系的概念（