信息安全技術(shù)與實施培訓(xùn)教材(共33頁).ppt

1、序言序言 隨著科學(xué)技術(shù)的迅猛開展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟(jì)和社隨著科學(xué)技術(shù)的迅猛開展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的根底性、全局性作用日益增強(qiáng)，會信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的根底性、全局性作用日益增強(qiáng)，信息平安已經(jīng)成為國家平安的重要組成局部。近年來，在黨中央、國務(wù)院的信息平安已經(jīng)成為國家平安的重要組成局部。近年來，在黨中央、國務(wù)院的領(lǐng)導(dǎo)下，我國信息平安保障工作取得了明顯成效，建設(shè)了一批信息平安根底領(lǐng)導(dǎo)下，我國信息平安保障工作取得了明顯成效，建設(shè)了一批信息平安根底設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容平安管理，為維護(hù)國家平安與社會穩(wěn)

2、定、保障設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容平安管理，為維護(hù)國家平安與社會穩(wěn)定、保障和促進(jìn)信息化健康開展發(fā)揮了重要作用。和促進(jìn)信息化健康開展發(fā)揮了重要作用。但是，我國信息平安保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng)但是，我國信息平安保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息平安管理和技術(shù)人才缺乏，關(guān)鍵的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息平安管理和技術(shù)人才缺乏，關(guān)鍵技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競爭力；信息平安法律法規(guī)和標(biāo)準(zhǔn)不技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競爭力；信息平安法律法規(guī)和標(biāo)準(zhǔn)不完善；全社會的信息平安意識不強(qiáng)，信息平安管理薄弱等。與此同

3、時，網(wǎng)上完善；全社會的信息平安意識不強(qiáng)，信息平安管理薄弱等。與此同時，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)犯罪呈快速上升趨勢，境內(nèi)外敵對勢力針對播送電視衛(wèi)星、有線電視和地絡(luò)犯罪呈快速上升趨勢，境內(nèi)外敵對勢力針對播送電視衛(wèi)星、有線電視和地面網(wǎng)絡(luò)的攻擊破壞活動和利用信息網(wǎng)絡(luò)進(jìn)行的反動宣傳活動日益猖獗，嚴(yán)重面網(wǎng)絡(luò)的攻擊破壞活動和利用信息網(wǎng)絡(luò)進(jìn)行的反動宣傳活動日益猖獗，嚴(yán)重危害公眾利益和國家平安，影響了我國信息化建設(shè)的健康開展。隨著我國信危害公眾利益和國家平安，影響了我國信息化建設(shè)的健康開展。隨著我國

4、信息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息平安還將面臨更多新息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息平安還將面臨更多新的挑戰(zhàn)。的挑戰(zhàn)。信息平安技術(shù)與實施信息平安技術(shù)與實施目目 錄錄物理實體安全與防護(hù)物理實體安全與防護(hù) 2密碼技術(shù)與應(yīng)用密碼技術(shù)與應(yīng)用4信息安全概述信息安全概述3 1網(wǎng)絡(luò)攻擊與防范網(wǎng)絡(luò)攻擊與防范3 3數(shù)字身份認(rèn)證數(shù)字身份認(rèn)證3 5目目 錄錄入侵檢測技術(shù)與應(yīng)用入侵檢測技術(shù)與應(yīng)用 7操作系統(tǒng)安全防范操作系統(tǒng)安全防范9防火墻技術(shù)與應(yīng)用防火墻技術(shù)與應(yīng)用3 6計算機(jī)病毒與防范計算機(jī)病毒與防范 3 8無線網(wǎng)絡(luò)安全與防范無線網(wǎng)絡(luò)安全與防范 310第第1章章 信息平安概述信息平安概

5、述本章內(nèi)容本章內(nèi)容 信息安全信息安全介紹介紹1. 1. 1 1黑客的概念及黑黑客的概念及黑客文化客文化1. 1. 2 2針對信息安全的針對信息安全的攻擊攻擊1. 1. 3 3網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全體系1. 1. 4 4信息安全的三個信息安全的三個層次層次1. 1. 5 5引導(dǎo)案例：引導(dǎo)案例： 2021年年1月，法國海軍內(nèi)部計算機(jī)系統(tǒng)的月，法國海軍內(nèi)部計算機(jī)系統(tǒng)的一臺計算機(jī)受病毒入侵，迅速擴(kuò)散到整個一臺計算機(jī)受病毒入侵，迅速擴(kuò)散到整個網(wǎng)絡(luò)，一度不能啟動，海軍全部戰(zhàn)斗機(jī)也網(wǎng)絡(luò)，一度不能啟動，海軍全部戰(zhàn)斗機(jī)也因無法因無法“下載飛行指令而停飛兩天。僅下載飛行指令而停飛兩天。僅僅是法國海軍內(nèi)部計算機(jī)系統(tǒng)的

6、時鐘停擺，僅是法國海軍內(nèi)部計算機(jī)系統(tǒng)的時鐘停擺，法國的國家平安就出現(xiàn)了一個偌大的黑洞。法國的國家平安就出現(xiàn)了一個偌大的黑洞。設(shè)想，假設(shè)一個國家某一系統(tǒng)或領(lǐng)域的計設(shè)想，假設(shè)一個國家某一系統(tǒng)或領(lǐng)域的計算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓，這種損失算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國政府掌握著信息領(lǐng)域勝枚舉。目前，美國政府掌握著信息領(lǐng)域的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)交的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)交換機(jī)的核心技術(shù)根本掌握在美國企業(yè)的手換機(jī)的核心技術(shù)根本掌握在美國企業(yè)的手中。微軟操作系統(tǒng)、思科交換機(jī)的交換軟中。微軟

7、操作系統(tǒng)、思科交換機(jī)的交換軟件甚至打印機(jī)軟件中嵌入美國中央情報局件甚至打印機(jī)軟件中嵌入美國中央情報局的后門軟件已經(jīng)不是秘密，美國在信息技的后門軟件已經(jīng)不是秘密，美國在信息技術(shù)研發(fā)和信息產(chǎn)品的制造過程中就事先做術(shù)研發(fā)和信息產(chǎn)品的制造過程中就事先做好了日后對全球進(jìn)行信息制裁的準(zhǔn)備。好了日后對全球進(jìn)行信息制裁的準(zhǔn)備。1.1 信息平安介紹信息平安介紹 隨著全球互聯(lián)網(wǎng)的迅猛開展，越來越多的人親身體會到了信息化給人們帶來的隨著全球互聯(lián)網(wǎng)的迅猛開展，越來越多的人親身體會到了信息化給人們帶來的實實在在的便利與實惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來實惠實實在在的便利與實惠，然后任何事情都有兩面性，信息

8、化在給經(jīng)濟(jì)帶來實惠的同時，也產(chǎn)生了新的威脅。目前的同時，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)已經(jīng)是現(xiàn)代戰(zhàn)爭克敵制勝的法寶，信息戰(zhàn)已經(jīng)是現(xiàn)代戰(zhàn)爭克敵制勝的法寶，例如科索沃戰(zhàn)爭、海灣戰(zhàn)爭。尤其是美國例如科索沃戰(zhàn)爭、海灣戰(zhàn)爭。尤其是美國“9.11事件給世界各國的信息平安事件給世界各國的信息平安問題再次敲響了警鐘，因為恐怖組織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還問題再次敲響了警鐘，因為恐怖組織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還有眾多公司的數(shù)據(jù)。有眾多公司的數(shù)據(jù)。 自自2003年元旦以來，蠕蟲病毒年元旦以來，蠕蟲病毒“沖擊波對全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程沖擊波對全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程度的攻擊，制造

9、了一場規(guī)?？涨暗幕ヂ?lián)網(wǎng)度的攻擊，制造了一場規(guī)模空前的互聯(lián)網(wǎng)“網(wǎng)癱災(zāi)難事件。迄今為止，許多網(wǎng)癱災(zāi)難事件。迄今為止，許多組織、單位、實體仍然沒有完全走出組織、單位、實體仍然沒有完全走出“沖擊波和沖擊波和“震蕩波的陰影，而震蕩波的陰影，而2007年的年的“熊貓燒香又給互聯(lián)網(wǎng)用戶留下了深刻印象。計算機(jī)攻擊事件正以每年熊貓燒香又給互聯(lián)網(wǎng)用戶留下了深刻印象。計算機(jī)攻擊事件正以每年64%的速度增加。另據(jù)統(tǒng)計，全球約的速度增加。另據(jù)統(tǒng)計，全球約20秒鐘就有一次計算機(jī)入侵事件發(fā)生，秒鐘就有一次計算機(jī)入侵事件發(fā)生，Internet上的網(wǎng)絡(luò)防火墻約上的網(wǎng)絡(luò)防火墻約1/4被突破，約有被突破，約有70%以上的網(wǎng)絡(luò)信息主

10、管人員報告以上的網(wǎng)絡(luò)信息主管人員報告因機(jī)密信息泄露而受到了損失。因機(jī)密信息泄露而受到了損失。 信息平安涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、信息平安涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息平安主要應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息平安主要表現(xiàn)在網(wǎng)絡(luò)平安上，所以目前將網(wǎng)絡(luò)平安與信息平安等同起來不加嚴(yán)格區(qū)表現(xiàn)在網(wǎng)絡(luò)平安上，所以目前將網(wǎng)絡(luò)平安與信息平安等同起來不加嚴(yán)格區(qū)分。實際上，叫信息平安比較全面、科學(xué)。分。實際上，叫信息平安比較全面、科學(xué)。信息平安問題已引起了各國政府的

11、高度重視，建立了專門的機(jī)構(gòu)，并出臺了相關(guān)信息平安問題已引起了各國政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺了相關(guān)標(biāo)準(zhǔn)與法規(guī)。標(biāo)準(zhǔn)與法規(guī)。1.1.1 信息平安的概念信息平安的概念 信息平安的概念是隨著計算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步開展提出來的。當(dāng)信息平安的概念是隨著計算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步開展提出來的。當(dāng)前對信息平安的說法比較多，計算機(jī)平安、計算機(jī)信息系統(tǒng)平安、網(wǎng)絡(luò)平安、前對信息平安的說法比較多，計算機(jī)平安、計算機(jī)信息系統(tǒng)平安、網(wǎng)絡(luò)平安、信息平安的叫法同時并存事實上有區(qū)別，各自的側(cè)重點(diǎn)不同。信息平安的叫法同時并存事實上有區(qū)別，各自的側(cè)重點(diǎn)不同。 ISO對計算機(jī)系統(tǒng)平安的定義為：為數(shù)據(jù)處理系統(tǒng)

12、建立和采用的技術(shù)和管理的對計算機(jī)系統(tǒng)平安的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的平安保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、平安保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。更改和泄露。計算機(jī)網(wǎng)絡(luò)平安的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，計算機(jī)網(wǎng)絡(luò)平安的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。建立網(wǎng)絡(luò)平安保護(hù)措施的目的：建立網(wǎng)絡(luò)平安保護(hù)措施的目的： 確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、喪失和泄露等。確保經(jīng)過網(wǎng)絡(luò)

13、傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、喪失和泄露等。針對信息平安，目前沒有公認(rèn)的定義。美國國家平安電信和信息系統(tǒng)平安委員針對信息平安，目前沒有公認(rèn)的定義。美國國家平安電信和信息系統(tǒng)平安委員會會NSTISSC對信息平安做如下定義：信息平安是對信息、系統(tǒng)以及使對信息平安做如下定義：信息平安是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護(hù)。用、存儲和傳輸信息的硬件的保護(hù)。信息平安涉及個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家平安，它信息平安涉及個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家平安，它是物理平安、網(wǎng)絡(luò)平安、數(shù)據(jù)平安、信息內(nèi)容平安、信息根底設(shè)施平安、國是物理平安、網(wǎng)絡(luò)平安、數(shù)據(jù)平安

14、、信息內(nèi)容平安、信息根底設(shè)施平安、國家信息平安的總和。家信息平安的總和。1.1.2 信息平安的內(nèi)容信息平安的內(nèi)容 物物理理安安全全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認(rèn)證訪問控制加密平安管理邏邏輯輯安安全全操操作作系系統(tǒng)統(tǒng)安安全全3聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全4訪問控制效勞通信平安效勞1.物理平安物理平安 物理平安是指用來保護(hù)計算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、物理平安是指用來保護(hù)計算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施平安的各種裝置與管理手段。網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施平安的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。露等。 物理上的平安威脅主要涉及

15、對計算機(jī)或人員的訪物理上的平安威脅主要涉及對計算機(jī)或人員的訪問。策略和多，如將計算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置問。策略和多，如將計算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置在一個平安的環(huán)境中，銷毀不再使用的敏感文檔，在一個平安的環(huán)境中，銷毀不再使用的敏感文檔，保持密碼和身份認(rèn)證部件的平安性，鎖住便攜式保持密碼和身份認(rèn)證部件的平安性，鎖住便攜式設(shè)備等。物理平安更多的是依賴于行政的干預(yù)手設(shè)備等。物理平安更多的是依賴于行政的干預(yù)手段并結(jié)合相關(guān)技術(shù)。如果沒有根底的物理保護(hù)，段并結(jié)合相關(guān)技術(shù)。如果沒有根底的物理保護(hù)，物理平安是不可能實現(xiàn)的。物理平安是不可能實現(xiàn)的。2.網(wǎng)絡(luò)平安計算機(jī)網(wǎng)絡(luò)的邏輯平安主要通過用戶身份認(rèn)證、訪問控制、加密

16、、平安管理等方法來實現(xiàn)。1用戶身份認(rèn)證。身份證明是所有平安系統(tǒng)不可或缺的一個組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為了實現(xiàn)對信息資源的保護(hù)，并知道何人試圖獲取網(wǎng)絡(luò)資源的訪問權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對用戶進(jìn)行身份認(rèn)證。2訪問控制。訪問控制是制約擁護(hù)連接特定網(wǎng)絡(luò)、計算機(jī)與應(yīng)用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問控制系統(tǒng)一般針對網(wǎng)絡(luò)資源進(jìn)行平安控制區(qū)域劃分，實施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個許可或拒絕訪問的集中控制點(diǎn)。3加密。即使訪問控制和身份驗證系統(tǒng)完全有效，在數(shù)據(jù)信息通過網(wǎng)絡(luò)傳送時，企業(yè)仍然可能面臨被竊聽的風(fēng)險。事實上，低本錢和連接的簡單性已使Internet成為企

17、業(yè)內(nèi)和企業(yè)間通信的一個極為誘人的媒介。同時，無線網(wǎng)絡(luò)的廣泛使用也在進(jìn)一步加大網(wǎng)絡(luò)數(shù)據(jù)被竊聽的風(fēng)險。加密技術(shù)用于針對竊聽提供保護(hù)，它通過信息只能被具有解密數(shù)據(jù)所需密鑰的人員讀取來提供信息的平安保護(hù)。它與第三方是否通過Internet截取數(shù)據(jù)包無關(guān)，因為數(shù)據(jù)即使在網(wǎng)絡(luò)上被第三方截取，它也無法獲取信息的本義。這種方法可在整個企業(yè)網(wǎng)絡(luò)中使用，包括在企業(yè)內(nèi)部內(nèi)部網(wǎng)、企業(yè)之間外部網(wǎng)或通過公共Internet在虛擬專用網(wǎng)VPN中傳送私人數(shù)據(jù)。加密技術(shù)主要包括對稱式和非對稱式兩種，都有許多不同的密鑰算法來實現(xiàn)。4平安管理。平安系統(tǒng)應(yīng)當(dāng)允許由授權(quán)人進(jìn)行監(jiān)視和控制。使用驗證的任何系統(tǒng)都需要某種集中授權(quán)來驗證這些身

18、份，而無論它是UNIX主機(jī)、Windows NT域控制器還是Novell Directory SerrvicesNDS效勞器上的/etc/passwd文件。由于能查看歷史記錄，如突破防火墻的屢次失敗嘗試，平安系統(tǒng)可以為那些負(fù)責(zé)保護(hù)信息資源的人員提供珍貴的信息。一些更新的平安標(biāo)準(zhǔn)，如IPSEC，需要包含策略規(guī)那么數(shù)據(jù)庫。要使系統(tǒng)正確運(yùn)行，就必須管理所有這些要素。但是，管理控制臺本身也是平安系統(tǒng)的另一個潛在故障點(diǎn)。因此，必須確保這些系統(tǒng)在物理上得到平安保護(hù)，請確保對管理控制臺的任何登錄進(jìn)行驗證。3.操作系統(tǒng)平安。 計算機(jī)操作系統(tǒng)擔(dān)負(fù)著龐大的資源管理，頻繁的輸入輸出控制以及不可間斷的用戶與操作系統(tǒng)之

19、間的通信任務(wù)。由于操作系統(tǒng)具有一權(quán)獨(dú)大的特點(diǎn)，所有針對計算機(jī)和網(wǎng)絡(luò)的入侵及非法訪問都是以攫取操作系統(tǒng)的最高權(quán)限作為入侵的目的。因此，操作系統(tǒng)平安的內(nèi)容就是采用各種技術(shù)手段和采用合理的平安策略，降低系統(tǒng)的脆弱性。與過去相比，如今的操作系統(tǒng)性能更先進(jìn)、功能更豐富，因而對使用者來說更便利，但是也增加了平安漏洞。要減少操作系統(tǒng)的平安漏洞，需要對操作系統(tǒng)予以合理配置、管理和監(jiān)控。做到這點(diǎn)的秘訣在于集中、自動管理機(jī)構(gòu)企業(yè)內(nèi)部的操作系統(tǒng)平安，而不是分散、人工管理每臺計算機(jī)。實際上，如果不集中管理操作系統(tǒng)平安，相應(yīng)的本錢和風(fēng)險就會非常高。目前所知道的平安入侵事件，一半以上緣于操作系統(tǒng)根本沒有合理配置，或者沒有

20、經(jīng)常核查及監(jiān)控。操作系統(tǒng)都是以默認(rèn)平安設(shè)置類配置的，因而極容易受到攻擊。 那些人工更改了效勞器平安配置的用戶，把技術(shù)支持部門的資源都過多地消耗于幫助用戶處理口令查詢上，而不是處理更重要的網(wǎng)絡(luò)問題?？紤]到這些弊端，許多管理員任由效勞器操作系統(tǒng)以默認(rèn)狀態(tài)運(yùn)行。這樣一來，效勞器可以馬上投入運(yùn)行，但卻大大增大了平安風(fēng)險?，F(xiàn)有技術(shù)可以減輕管理負(fù)擔(dān)。要加強(qiáng)機(jī)構(gòu)企業(yè)網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的平安，需要做到以下三方面：首先對網(wǎng)絡(luò)上的效勞器進(jìn)行配置應(yīng)該在一個地方進(jìn)行，大多數(shù)用戶大概需要數(shù)十種不同的配置。然后，這些配置文件的一個鏡像或一組鏡像在軟件的幫助下可以通過網(wǎng)絡(luò)下載。軟件能夠自動管理下載過程，不需要為每臺效勞器手工下

21、載。此外，即使有些重要的配置文件，也不應(yīng)該讓本地管理員對每臺效勞器分別配置，最好的方法就是一次性全部設(shè)定。一旦網(wǎng)絡(luò)配置完畢，管理員就要核實平安策略的執(zhí)行情況，定義用戶訪問權(quán)限，確保所有配置正確無誤。管理員可以在網(wǎng)絡(luò)上運(yùn)行或遠(yuǎn)程運(yùn)行代理程序，不斷監(jiān)控每臺效勞器。代理程序不會干擾正常操作。其次，帳戶需要加以集中管理，以控制對網(wǎng)絡(luò)的訪問，并且確保用戶擁有合理訪問機(jī)構(gòu)資源的權(quán)限。策略、規(guī)那么和決策應(yīng)在一個地方進(jìn)行，而不是在每臺計算機(jī)上進(jìn)行，然后為用戶系統(tǒng)配置合理的身份和許可權(quán)。身份生命周期管理程序可以自動管理這一過程，減少手工過程帶來的麻煩。 最后，操作系統(tǒng)應(yīng)該配置成能夠輕松、高效地監(jiān)控網(wǎng)絡(luò)活動，可以

22、顯示誰在進(jìn)行連接，誰斷開了連接，以及發(fā)現(xiàn)來自操作系統(tǒng)的潛在平安事件。1.1.3 網(wǎng)絡(luò)平安策略網(wǎng)絡(luò)平安策略平安策略是針對網(wǎng)絡(luò)和系統(tǒng)的平安需要，做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學(xué)方式來表達(dá)策略，將其表示為允許平安的或不允許不平安的的狀態(tài)列表。為到達(dá)這個目的，可假設(shè)任何給定的策略能對平安狀態(tài)和非平安狀態(tài)做出公理化描述。實踐中，策略極少會如此精確，網(wǎng)絡(luò)使用文本語言描述什么是用戶或系統(tǒng)允許做的事情。這種描述的內(nèi)在歧義性導(dǎo)致某些狀態(tài)既不能歸于“允許一類，也不能歸于“不允許一類，因此制定平安策略時，需要注意此類問題。因此平安策略是指在一個特定的環(huán)境里，為提供一定級別的平安保護(hù)所必須遵守的規(guī)那么。

23、1.物理平安策略目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)效勞器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、認(rèn)為破壞、搭線攻擊，驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的平安管理制度，防止非法進(jìn)入計算機(jī)控制室和各種盜竊、破壞活動的發(fā)生。抑止和防止電磁泄露，即Tempest技術(shù)，是物理平安策略的一個主要問題。目前主要防護(hù)措施有兩類：一類是傳導(dǎo)發(fā)射的保護(hù)，主要采取對電源線和信息線加裝性能良好的濾波器，減少傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對輻射的防護(hù)。2.訪問控制策略訪問控制是網(wǎng)絡(luò)平安防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是維護(hù)網(wǎng)

24、絡(luò)平安、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種平安策略必須相互配合才能真正起到保護(hù)作用，可以說訪問控制是保證網(wǎng)絡(luò)平安的核心策略之一。1入網(wǎng)訪問控制。為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它是用來控制哪些用戶能夠登錄到效勞器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許在哪個工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為3個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認(rèn)限制檢查。只要3道關(guān)卡中有任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。2網(wǎng)絡(luò)權(quán)限控制。是針對網(wǎng)絡(luò)非法操作所提出的一種平安保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。用戶組可以訪問哪些目錄、子目錄、文件和其他資源，指定用戶對這些文件、目錄、設(shè)備執(zhí)行哪些操

25、作。根據(jù)訪問可以將用戶分為特殊用戶系統(tǒng)管理員、一般用戶，審計用戶負(fù)責(zé)網(wǎng)絡(luò)的平安控制與資源使用情況的審計3類。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。1.1.4 信息平安的要素信息平安的要素雖然網(wǎng)絡(luò)平安同單個計算機(jī)平安在目標(biāo)上并沒有本質(zhì)區(qū)別，但是由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，網(wǎng)絡(luò)平安比單個計算機(jī)平安要復(fù)雜得多。P5。第一，網(wǎng)絡(luò)資源的共享范圍更加寬泛，難以控制。第二，網(wǎng)絡(luò)支持多種操作系統(tǒng)，平安管理和控制更為困難。第三，網(wǎng)絡(luò)的擴(kuò)大使網(wǎng)絡(luò)的邊界和網(wǎng)絡(luò)用戶群變的不確定，比單機(jī)困難的多。第四，單機(jī)用戶可以從自己的計算機(jī)中直接獲取敏感數(shù)據(jù)。第五，由于網(wǎng)絡(luò)路由選擇的不固定性，很難確保網(wǎng)絡(luò)信息在一條平安通道

26、上傳輸。 保證計算機(jī)網(wǎng)絡(luò)的平安，就是要保護(hù)網(wǎng)絡(luò)信息在存儲和傳輸過程中的可用性、機(jī)密性、完整性、可控性和不可抵賴性。 P5。1可用性。是指得到授權(quán)的實體在需要時可以得到所需要的網(wǎng)絡(luò)資源和效勞。2機(jī)密性。機(jī)密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實體包括用戶和進(jìn)程等獲取與使用。這些信息不僅指國家機(jī)密，也包括企業(yè)和社會團(tuán)體的商業(yè)秘密和工作秘密，還包括個人的秘密如銀行賬號和個人隱私如郵件、瀏覽習(xí)慣等。網(wǎng)絡(luò)在人們生活中的廣泛使用，使人們對網(wǎng)絡(luò)機(jī)密性的要求提高。用于保障網(wǎng)絡(luò)機(jī)密性的主要技術(shù)是密碼技術(shù)。在網(wǎng)絡(luò)的不同層次上有不同的機(jī)制來保障機(jī)密性。在物理層上，主要是采取電磁屏蔽技術(shù)、干擾及跳頻技術(shù)來防止電磁輻射造成的信

27、息外泄：在網(wǎng)絡(luò)層、傳輸層及應(yīng)用層主要采用加密、路由控制、訪問控制、審計等方法來保證信息的機(jī)密性。3完整性。完整性是指網(wǎng)絡(luò)信息的真實可信性，即網(wǎng)絡(luò)中的信息不會被偶然或者蓄意地進(jìn)行刪除、修改、偽造、插入等破壞，保證授權(quán)用戶得到的信息是真實的。只有具有修改權(quán)限的實體才能修改信息，如果信息被未經(jīng)授權(quán)的實體修改了或在傳輸過程中出現(xiàn)了錯誤，信息的使用者應(yīng)能夠通過一定的方式判斷出信息是否真實可靠。4可控性。是控制授權(quán)范圍內(nèi)的信息流向和行為方式的特性，如對信息的訪問、傳播及內(nèi)容具有控制能力。首先，系統(tǒng)要能夠控制誰能夠訪問系統(tǒng)或網(wǎng)絡(luò)上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。這要通過采用訪問控制

28、等授權(quán)方法來實現(xiàn)。其次，即使擁有合法的授權(quán)，系統(tǒng)仍需要對網(wǎng)絡(luò)上的用戶進(jìn)行驗證。通過握手協(xié)議和口令進(jìn)行身份驗證，以確保他確實是所聲稱的那個人。最后，系統(tǒng)還要將用戶的所有網(wǎng)絡(luò)活動記錄在案，包括網(wǎng)絡(luò)中計算機(jī)的使用時間、敏感操作和違法操作等，為系統(tǒng)進(jìn)行事故原因查詢、定位，事故發(fā)生前的預(yù)測、報警，以及為事故發(fā)生后的實時處理提供詳細(xì)、可靠的依據(jù)或支持。審計對用戶的正常操作也有記載，可以實現(xiàn)統(tǒng)計、計費(fèi)等功能，而且有些諸如修改數(shù)據(jù)的“正常操作恰恰是攻擊系統(tǒng)的非法操作，同樣需要加以警惕。5不可抵賴性。也稱為不可否認(rèn)性。是指通信的雙方在通信過程中，對于自己所發(fā)送或接收的消息不可抵賴。即發(fā)送者不能抵賴他發(fā)送過消息和

29、消息內(nèi)容，而接收者也不能抵賴其接收到消息的事實和內(nèi)容。 1.2 黑客的概念及黑客文化黑客的概念及黑客文化1.2.1 黑客的概念及起源P6-71.黑客(hacker)：對技術(shù)的局限性有充分認(rèn)識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖。“黑帽子黑客，“白帽子黑客，“灰帽子黑客。現(xiàn)在“黑客一詞在信息平安范疇內(nèi)的普遍含意是特指對電腦系統(tǒng)的非法侵入者。2.駭客cracker：以破壞系統(tǒng)為目標(biāo)。 是hacker的一個分支，開展到現(xiàn)在，也有“黑帽子黑客3.紅客honker：中國的一些黑客自稱“紅客h

30、onker。例如中國紅客基地。美國警方：把所有涉及到利用、借助、通過或阻撓計算機(jī)的犯罪行為都定為hacking。4.怎樣才算一名黑客：1.2.2 黑客文化P81.黑客行為1不隨便進(jìn)行攻擊行為。2公開自己的作品。3幫助其他黑客。4義務(wù)地做一些力所能及的事情。2.黑客精神1自由共享精神。2探索與創(chuàng)新精神3合作精神3.黑客準(zhǔn)那么P81不惡意破壞任何系統(tǒng)。2不修改任何系統(tǒng)文件。3不輕易地將要黑的或黑過的站點(diǎn)告訴別人，不炫耀自己的技術(shù)。4不入侵或破壞政府機(jī)關(guān)的主機(jī)等。5做真正的黑客，努力鉆研技術(shù)，研究各種漏洞。1.2.3 如何成為一名黑客P91.黑客必備的根本技能1精通程序設(shè)計。2熟練掌握各種操作系統(tǒng)。

31、3熟悉互聯(lián)網(wǎng)與網(wǎng)絡(luò)編程。2.如何學(xué)習(xí)黑客技術(shù)1濃厚的興趣。2切忌急躁，耐的住寂寞3多動手實踐4嘗試屢次失敗1.3 針對信息平安的攻擊針對信息平安的攻擊P10 在正常情況下，有一個信息流從一個信源(例如一個文件或主存儲器的一個區(qū)域)流到一個目的地例如另一個文件或一個用戶時，它的信息流動是這樣的：當(dāng)產(chǎn)生攻擊時，有以下4種情況:上述4種情況又可以按照攻擊的主動性來分為兩類：主動攻擊主動攻擊和被被動攻擊。動攻擊。 1.3.1 被動攻擊P10 本質(zhì)上是在傳輸中的竊聽或監(jiān)視，其目的是從傳輸中獲得信息。類被動攻擊：析出消息內(nèi)容和通信量分析。1.3.2 主動攻擊P11攻擊的第二種類型進(jìn)一步劃分為四類：偽裝、重放、篡改消息和拒絕效勞。主動攻擊表現(xiàn)了與被