信息安全綜合實訓(xùn)

湖南安全技術(shù)職業(yè)學(xué)院信息安全綜合實訓(xùn)題目：網(wǎng)絡(luò)安全系統(tǒng)整體設(shè)計學(xué)生姓名：符小寧專業(yè)班級：計算機信安0901班學(xué)號：200820301008 2012年5月實驗一信息保密技術(shù)具體內(nèi)容：古典密碼算法、對稱密碼算法、非對稱密碼算法、數(shù)字摘要算法、數(shù)字簽名算法、身份認證技術(shù)、信息隱藏技術(shù)基本要求：對實現(xiàn)信息保密的各種算法進行驗證。實驗二系統(tǒng)安全具體內(nèi)容：操作系統(tǒng)安全、Web、Ftp服務(wù)器的安全配置、數(shù)據(jù)庫的安全配置基本要求：掌握Windows和Linux兩種操作系統(tǒng)下的系統(tǒng)安全配置實驗三網(wǎng)絡(luò)攻防技術(shù)具體內(nèi)容：使用嗅探工具、網(wǎng)絡(luò)端口掃描、木馬攻擊與防范、Dos/DDoS攻擊與防范、緩沖區(qū)溢出攻擊與防范、帳號口令破解、計算機病毒的防范、防火墻、入侵檢測系統(tǒng)、虛擬專用網(wǎng)、CA系統(tǒng)及SSL的應(yīng)用、認證、授權(quán)和記帳（AAA）服務(wù)基本要求：能熟練使用各種網(wǎng)絡(luò)攻防工具。實驗四應(yīng)用系統(tǒng)安全具體內(nèi)容：MicrosoftOffice文檔的安全與防范措施、壓縮文件的安全策略、IE的安全策略、電子郵件的安全策略、數(shù)據(jù)安全保護技術(shù)基本要求：能熟練地對常用的應(yīng)用軟件進行安全配置實驗五網(wǎng)絡(luò)安全編程具體內(nèi)容：Socket編程、注冊表編程、文件系統(tǒng)編程、駐留程序編程基本要求：能熟練地使用一種調(diào)試工具對基本網(wǎng)絡(luò)安全程序進行驗證實驗六網(wǎng)絡(luò)安全系統(tǒng)整體解決方案具體內(nèi)容：基于Windows的網(wǎng)絡(luò)安全整體解決方案、基于Linux系統(tǒng)的網(wǎng)絡(luò)安全整體解決方案2.基本要求：對Windows和Linux兩種操作進行綜合安全配置實驗一信息保密技術(shù)具體內(nèi)容：古典密碼算法、對稱密碼算法、非對稱密碼算法、數(shù)字摘要算法、數(shù)字簽名算法、身份認證技術(shù)、信息隱藏技術(shù)。1古典密碼算法古典密碼算法歷史上曾被廣泛應(yīng)用，大都比較簡單，使用于工和機械操作來實現(xiàn)加密和解密。它的主要應(yīng)用對象是文字信息，利用密碼算法實現(xiàn)文字信息的加密和解密。下面介紹兩種常見的具有代表性的古典密碼算法，以幫助讀者對密碼算法建立一個初步的印象。替代密碼替代密碼算法的原理是使用替代法進行加密，就是將明文中的字符用其它字符替代后形成密文。例如：明文字母a、b、c、d，用D、E、F、G做對應(yīng)替換后形成密文。替代密碼包括多種類型，如單表替代密碼、多明碼替代密碼、多字母替代密碼、多表替代密碼等。下面我們介紹一種典型的單表替代密碼，愷撒(caesar)密碼，又叫循環(huán)移位密碼它的加密方法，就是將明文中的每個字母用此字符在字母表中后面第k個字母替代。它的加密過程可以表示為下面的函數(shù)：E(m)=(m+k)modn其中：m為明文字母在字母表中的位置數(shù)；n為字母表中的字母個數(shù)；k為密鑰;E(m)為密文字母在字母表中對應(yīng)的位置數(shù)。例如，對于明文字母H，其在字母表中的位置數(shù)為8,設(shè)k=4，則按照上式計算出來的密文為L：E(8)=(m+k)modn=(8+4)mod26=12=L置換密碼置換密碼算法的原理是不改變明文字符，只將字符在明文中的排列順序改變，從而實現(xiàn)明文信息的加密。置換密碼有時又稱為換位密碼。矩陣換位法是實現(xiàn)置換密碼的一種常用方法。它將明文中的字母按照給的順序安排在一個矩陣中，然后用根據(jù)密鑰提供的順序重新組合矩陣中字母，從而形成密文。例如，明文為attackbeginsatfive，密鑰為cipher，將明文按照每行6列的形式排在矩陣中，形成如下形式：attackbeginsatfive根據(jù)密鑰cipher中各字母在字母表中出現(xiàn)的先后順序，給定一個置換：123456f=145326根據(jù)上面的置換，將原有矩陣中的字母按照第1列，第4列，第5列，第3列，第2列，第6列的順序排列，則有下面形式：aacttkbingesaivfte從而得到密文：abatgftetcnvaiikse其解密的過程是根據(jù)密鑰的字母數(shù)作為列數(shù)，將密文按照列、行的順序?qū)懗?，再根?jù)由密鑰給出的矩陣置換產(chǎn)生新的矩陣，從而恢復(fù)明文。2對稱密碼算法對稱密碼算法有時又叫傳統(tǒng)密碼算法、秘密密鑰算法或單密鑰算法，非對稱密碼算法也叫公開密鑰密碼算法或雙密鑰算法。對稱密碼算法的加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數(shù)對稱算法中，加密解密密鑰是相同的。它要求發(fā)送者和接收者在安全通信之前，商定一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加密解密。只要通信需要保密，密鑰就必須保密。對稱算法又可分為兩類。一次只對明文中的單個位（有時對字節(jié)）運算的算法稱為序列算法或序列密碼。另一類算法是對明文的一組位進行運算，這些位組稱為分組，相應(yīng)的算法稱為分組算法或分組密碼?，F(xiàn)代計算機密碼算法的典型分組長度為64位一一這個長度既考慮到分析破譯密碼的難度，又考慮到使用的方便性。后來，隨著破譯能力的發(fā)展，分組長度又提高到128位或更長。常用的采用對稱密碼術(shù)的加密方案有5個組成部分（如圖所示）密幅 SW*宣*I—網(wǎng)士 卜加密 ?腳在 ?1） 明文：原始信息。2） 加密算法：以密鑰為參數(shù)，對明文進行多種置換和轉(zhuǎn)換的規(guī)則和步驟，變換結(jié)果為密文。3） 密鑰：加密與解密算法的參數(shù)，直接影響對明文進行變換的結(jié)果。4） 密文：對明文進行變換的結(jié)果。5） 解密算法：加密算法的逆變換，以密文為輸入、密鑰為參數(shù)，變換結(jié)果為明文。對稱密碼常用的數(shù)學(xué)運算對稱密碼當(dāng)中有幾種常用到的數(shù)學(xué)運算。這些運算的共同目的就是把被加密的明文數(shù)碼盡可能深地打亂，從而加大破譯的難度。?移位和循環(huán)移位移位就是將一段數(shù)碼按照規(guī)定的位數(shù)整體性地左移或右移。循環(huán)右移就是當(dāng)右移時，把數(shù)碼的最后的位移到數(shù)碼的最前頭，循環(huán)左移正相反。例如，對十進制數(shù)碼12345678循環(huán)右移1位(十進制位)的結(jié)果為81234567，而循環(huán)左移1位的結(jié)果則為23456781。?置換就是將數(shù)碼中的某一位的值根據(jù)置換表的規(guī)定，用另一位代替。它不像移位操作那樣整齊有序，看上去雜亂無章。這正是加密所需,被經(jīng)常應(yīng)用。?擴展就是將一段數(shù)碼擴展成比原來位數(shù)更長的數(shù)碼。擴展方法有多種，例如，可以用置換的方法，以擴展置換表來規(guī)定擴展后的數(shù)碼每一位的替代值。?壓縮就是將一段數(shù)碼壓縮成比原來位數(shù)更短的數(shù)碼。壓縮方法有多種，例如，也可以用置換的方法，以表來規(guī)定壓縮后的數(shù)碼每一位的替代值。?異或這是一種二進制布爾代數(shù)運算。異或的數(shù)學(xué)符號為十，它的運算法則如下:1十1二00十0二01十0二10十1二1也可以簡單地理解為，參與異或運算的兩數(shù)位如相等，則結(jié)果為0，不等則為1。?迭代迭代就是多次重復(fù)相同的運算，這在密碼算法中經(jīng)常使用，以使得形成的密文更加難以破解。3非對稱密碼算法非對稱密碼算法是指一個加密系統(tǒng)的加密密鑰和解密密鑰是不相同，或者說不能從其中一個推導(dǎo)出另一個。在非對稱密碼算法的兩個密鑰中，一個是用于加密的密鑰，它是可以公開的稱為公鑰；另一個是用于解密的密鑰，是保密的，稱為私鑰。非對稱密碼算法解決了對稱密碼體制中密鑰管理的難題，并提供了對信息發(fā)送人的身份進行驗證的手段，是現(xiàn)代密碼學(xué)的最重要的發(fā)明和進展。RSA算法描述如下：公鑰選擇兩個互異的大素數(shù)p和q，n是二者的乘積，即n=pq，使6(n)=(p-1)(q-1)，6(n)為歐拉函數(shù)。隨機選取正整數(shù)e，使其滿足gcd(e,6(n))=1，即e和6(n)互質(zhì)，則將(n,e)作為公鑰。私鑰求出正數(shù)d，使其滿足eXd=1mod6(n)，則將(n,d)作為私鑰。加密算法e對于明文M，由C=Mmodn，得到密文C。解密算法d對于密文C，由M=Cmodn，得到明文M。如果竊密者獲得了n，e和密文C，為了破解密文他必須計算出私鑰d，為此需要先分解n為p和q。為了提高破解難度，達到更高的安全性，一般商業(yè)應(yīng)用要求n的長度不小于1024bit,更重要的場合不小于2048bit。4數(shù)字摘要算法md5的全稱是message-digestalgorithm5（信息-摘要算法），在90年代初由mitlaboratoryforcomputerscience和rsadatasecurityinc的ronaldl.rivest開發(fā)出來，經(jīng)md2、md3和md4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密匙前被〃壓縮〃成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù)）。不管是md2、md4還是md5,它們都需要獲得一個隨機長度的信息并產(chǎn)生一個128位的信息摘要。雖然這些算法的結(jié)構(gòu)或多或少有些相似，但md2的設(shè)計與md4和md5完全不同，那是因為md2是為8位機器做過設(shè)計優(yōu)化的，而md4和md5卻是面向32位的電腦。這三個算法的描述和c語言源代碼在internetrfcs1321中有詳細的描述。md5的典型應(yīng)用是對一段信息（message）產(chǎn)生信息摘要（message-digest），以防止被篡改。比如，在unix下有很多軟件在下載的時候都有一個文件名相同，文件擴展名為.md5的文件，在這個文件中通常只有一行文本，大致結(jié)構(gòu)如：md5（tanajiya.tar.gz）=0ca175b9c0f726a831d895e269332461這就是tanajiya.tar.gz文件的數(shù)字簽名。md5將整個文件當(dāng)作一個大文本信息，通過其不可逆的字符串變換算法，產(chǎn)生了這個唯一的md5信息摘要。如果在以后傳播這個文件的過程中，無論文件的內(nèi)容發(fā)生了任何形式的改變（包括人為修改或者下載過程中線路不穩(wěn)定引起的傳輸錯誤等），只要你對這個文件重新計算md5時就會發(fā)現(xiàn)信息摘要不相同，由此可以確定你得到的只是一個不正確的文件。如果再有一個第三方的認證機構(gòu)，用md5還可以防止文件作者的〃抵賴〃，這就是所謂的數(shù)字簽名應(yīng)用。md5還廣泛用于加密和解密技術(shù)上。比如在unix系統(tǒng)中用戶的密碼就是以md5（或其它類似的算法）經(jīng)加密后存儲在文件系統(tǒng)中。當(dāng)用戶登錄的時候，系統(tǒng)把用戶輸入的密碼計算成md5值，然后再去和保存在文件系統(tǒng)中的md5值進行比較，進而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。這不但可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道，而且還在一定程度上增加了密碼被破解的難度。正是因為這個原因，現(xiàn)在被黑客使用最多的一種破譯密碼的方法就是一種被稱為〃跑字典〃的方法。有兩種方法得到字典，一種是日常搜集的用做密碼的字符串表，另一種是用排列組合方法生成的，先用md5程序計算出這些字典項的md5值，然后再用目標(biāo)的md5值在這個字典中檢索。我們假設(shè)密碼的最大長度為8位字節(jié)（8bytes），同時密碼只能是字母和數(shù)字，共26+26+10=62個字符，排列組合出的字典的項數(shù)則是p（62,1）+p（62,2）?.+p（62,8），那也已經(jīng)是一個很天文的數(shù)字了，存儲這個字典就需要tb級的磁盤陣列，而且這種方法還有一個前提，就是能獲得目標(biāo)賬戶的密碼md5值的情況下才可以。這種加密技術(shù)被廣泛的應(yīng)用于unix系統(tǒng)中，這也是為什么unix系統(tǒng)比一般操作系統(tǒng)更為堅固一個重要原因。5數(shù)字簽名算法數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到的用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。在傳統(tǒng)的商業(yè)系統(tǒng)中，通常都利用書面文件的親筆簽名或印章來規(guī)定契約性的責(zé)任，在電子商務(wù)中，傳送的文件是通過電子簽名證明當(dāng)事人身份與數(shù)據(jù)真實性的.數(shù)據(jù)加密是保護數(shù)據(jù)的最基本方法，但也只能防止第三者獲得真實數(shù)據(jù)。電子簽名則可以解決否認、偽造、篡改及冒充等問題，具體要求：發(fā)送者事后不能否認發(fā)送的報文簽名、接收者能夠核實發(fā)送者發(fā)送的報文簽名、接收者不能偽造發(fā)送者的報文簽名、接收者不能對發(fā)送者的報文進行部分篡改、網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。實現(xiàn)數(shù)字簽名有很多方法，目前數(shù)字簽名采用較多的是公鑰加密技術(shù)，如基于RSADateSecurity公司的PKCS(PublicKeyCryptographyStandards)、DigitalSignatureAlgorithm、x.509、PGP(PrettyGoodPrivacy).1994年美國標(biāo)準(zhǔn)與技術(shù)協(xié)會公布了數(shù)字簽名標(biāo)準(zhǔn)(DSS)而使公鑰加密技術(shù)廣泛應(yīng)用。&127;公鑰加密系統(tǒng)采用的是非對稱加密算法。此算法使用兩個密鑰：公開密鑰(publickey)和私有密鑰(privatekey)，&127;分別用于對數(shù)據(jù)的加密和解密，即如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應(yīng)的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應(yīng)的公開密鑰才能解密。(1)發(fā)送方首先用公開的單向函數(shù)對報文進行一次變換，得到數(shù)字簽名，然后利用私有密鑰對數(shù)字簽名進行加密后附在報文之后一同發(fā)出。接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密變換，得到一個數(shù)字簽名的明文。發(fā)送方的公鑰是由一個可信賴的技術(shù)管理機構(gòu)即驗證機構(gòu)(CA:CertificationAuthority)發(fā)布的。接收方將得到的明文通過單向函數(shù)進行計算，同樣得到一個數(shù)字簽名，再將兩個數(shù)字簽名進行對比，如果相同，則證明簽名有效，否則無效。這種方法使任何擁有發(fā)送方公開密鑰的人都可以驗證數(shù)字簽名的正確性。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據(jù)驗證結(jié)果來拒收該報文，也能使其無法偽造報文簽名及對報文進行修改，原因是數(shù)字簽名是對整個報文進行的，是一組代表報文特征的定長代碼，同一個人對不同的報文將產(chǎn)生不同的數(shù)字簽名。這就解決了銀行通過網(wǎng)絡(luò)傳送一張支票，而接收方可能對支票數(shù)額進行改動的問題，也避免了發(fā)送方逃避責(zé)任的可能性。6身份認證技術(shù)身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的解決方法。計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)，身份認證技術(shù)就是為了解決這個問題，作為防護網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認證有著舉足輕重的作用。在真實世界，對用戶的身份認證基本方法可以分為這三種：根據(jù)你所知道的信息來證明你的身份(whatyouknow，你知道什么)；根據(jù)你所擁有的東西來證明你的身份(whatyouhave，你有什么)；直接根據(jù)獨一無二的身體特征來證明你的身份(whoyouare，你是誰)，比如指紋、面貌等。在網(wǎng)絡(luò)世界中手段與真實世界中一致，為了達到更高的身份認證安全性，某些場景會將上面3種挑選2中混合使用，即所謂的雙因素認證。以下羅列幾種常見的認證形式：靜態(tài)密碼智能卡(IC卡)短信密碼動態(tài)口令牌USBKEY6） OCL7） 數(shù)字簽名8） 生物識別技術(shù)我們現(xiàn)在主要說的是數(shù)字簽名技術(shù)。數(shù)字簽名又稱電子加密，可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。這對于網(wǎng)絡(luò)數(shù)據(jù)傳輸，特別是電子商務(wù)是極其重要的，一般要采用一種稱為摘要的技術(shù)，摘要技術(shù)主要是采用HASH函數(shù)（HASH（哈希）函數(shù)提供了這樣一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱HASH值）將一段長的報文通過函數(shù)變換，轉(zhuǎn)換為一段定長的報文，即摘要。身份識別是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。數(shù)字證明機制提供利用公開密鑰進行驗證的方法。7信息隱藏技術(shù)所謂的信息隱藏是利用媒體信息普遍存在的冗余特性，將秘密信息隱藏在其他媒體信息中。其首要目標(biāo)就是使加入隱藏信息后的媒體目標(biāo)的質(zhì)量下降，盡可能地小，使人無法覺察到隱藏的數(shù)據(jù)，或者知道它的存在，但未經(jīng)授權(quán)者無法知道它的位置，并不像傳統(tǒng)加密過的文件一樣，看起來是一堆會激發(fā)非法攔截者破解機密資料動機的亂碼，而是看起來和其它非機密性的一般資料無異，因而十分容易逃過非法攔截者的破解。其道理如同生物學(xué)上的保護色，巧妙地將自己偽裝隱藏于環(huán)境中，免于被天敵發(fā)現(xiàn)而遭受攻擊。在信息隱藏算法中，主要有空間域算法和變換域算法。最典型的空間域信息隱藏算法為LSB算法。LFTurnet與RGVan利用LSB算法將信息隱藏在音頻和數(shù)字圖像中。Bender提出了通過修改調(diào)色板統(tǒng)計信息來嵌入秘密數(shù)據(jù)庫的隱藏算法。Patchwork方法采用隨機技術(shù)選擇若干對像素，通過調(diào)節(jié)每對像素的亮度和對比度來隱藏信息，并保證這種調(diào)整不影響圖像的整體觀感。丁瑋從數(shù)字圖像的透明疊加方法出發(fā)，提出了基于融合的數(shù)字圖像信息隱藏算法。并根據(jù)七巧板的游戲原理，提出了隱藏數(shù)字圖像的Tangram算法，Marvel將數(shù)字圖像看作嗓聲，提出了空間域中的擴頻數(shù)據(jù)隱藏方法。Lippman使用信號的色度，提出了在國家電視委員會的色度信道中隱藏信息的方法。Liaw和Chen提出了將秘密圖像嵌入到載體圖像中的灰度值替方法，為了適合灰度值替換，Wu和Tsai提出了使用圖像差分的改進方法；Wu和Tsai還在人類視覺模型的基礎(chǔ)上，提出了在數(shù)字圖像中嵌入任何類型數(shù)據(jù)的數(shù)據(jù)隱藏方法；Tseng和Pan提出了一種安全的、大容量的數(shù)據(jù)隱藏算法；Provos通過隨機嵌入和糾錯編碼的方法改進了信息隱藏的性能，Solanki等從信息論的角度出發(fā)，將視覺標(biāo)準(zhǔn)引入到通過量化來嵌入信息的方法，并由此提出了一種高容量的信息隱藏算法。在變換域算法中，正交變換的形式可以有離散傅立葉變換（DFT），離散余弦變換（DCT），小波變換（Wavelet）等。由于變換域算法利用了人眼對于不同空間頻率的敏感性，在適當(dāng)?shù)奈恢们度胄畔⒕哂懈玫聂敯粜院筒豢捎X察性。容量也較高，所以變換域隱藏算法比空間域算法復(fù)雜。最具代表性的變換域算法是Cox在1995年提出的擴頻算法。AndreasWestfel和Pitas分別提出了通過模擬圖像水平或者垂直移動將秘密數(shù)據(jù)嵌入到圖像的DCT系統(tǒng)的數(shù)據(jù)隱藏算法，管曉康提出了Pitas算法的改進算法，克服了該算法中嵌入數(shù)據(jù)量小的缺點。丁瑋成功地將該算法修改并在小波域中運算該算法，并通過置亂技術(shù)改進了Pitas算法中的隨機數(shù)策略，消除了誤判的可能性。Cabin提出了數(shù)據(jù)隱藏的信息論模型，并引入了概念e-安全。如果載體信號和載密信號的概率分布的相關(guān)熵小于e,那么稱數(shù)據(jù)隱藏系統(tǒng)是e安全的。如果e=o,那么數(shù)據(jù)隱藏系統(tǒng)是絕對安全的。Mittelholzer從信息論的角度出發(fā)，提出了數(shù)據(jù)隱藏算法，并以互信息來描述數(shù)據(jù)隱藏算法的安全性與魯棒性。Shin在Cabin信息論模型的基礎(chǔ)理論上，提出了在任何滿足條件的載體數(shù)據(jù)中嵌入秘密數(shù)據(jù)的絕對安全的一次哈希數(shù)據(jù)隱藏算法。Zollner等提出的安全模型也是利用信息理論來衡量數(shù)據(jù)隱藏系統(tǒng)的安全性。Sunlivan也從信息論的角度出發(fā)，對數(shù)據(jù)隱藏的安全性進行了分析。Ettinger得出了數(shù)據(jù)嵌入的最佳策略oMarvel假定數(shù)據(jù)圖像是在數(shù)據(jù)隱藏的加性信道，對該數(shù)據(jù)隱蔽通道的容量進行了分析。蘇育挺提出了改進的加性數(shù)據(jù)隱蔽通道模型。Barni假定離散余弦系統(tǒng)離散傅立葉變換系數(shù)分別為零均值高斯分布和Weibull分布，分析了變換域中信道容量。實驗二系統(tǒng)安全1,Windows系統(tǒng)安全刪除不再使用的賬戶，禁用guest賬戶檢查和刪除不必要的賬戶。右擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用戶和密碼”項；在彈出的對話框中選擇從列出的用戶里刪除不需要的賬戶。guest賬戶的禁用。右鍵單擊guest用戶，選擇“屬性”，在彈出的對話框中“賬戶已停用”一欄前打勾；確定后，guest前的圖標(biāo)上會出現(xiàn)一個紅色的叉，此時賬戶被禁用。啟用賬戶策略賬戶策略是Windows賬戶管理的重要工具。打開“控制面板”一“管理工具”一“本地安全策略”，選擇“用戶策略”。雙擊“密碼策略”，用于決定系統(tǒng)密碼的安全規(guī)則和設(shè)置。其中，符合復(fù)雜性要求的密碼是具有相當(dāng)長度、同時含有數(shù)字、大小寫字母和特殊字符的序列。雙擊其中每一項，可按照需要改變密碼特殊的設(shè)置。雙擊“密碼密碼必須符合復(fù)雜性要求”，選擇“啟用”。打開“控制面板”中“用戶和密碼”項，在彈出的對話框中選擇一個用戶后，單擊“設(shè)置密碼”按鈕。在出現(xiàn)的設(shè)置密碼窗口中輸入密碼。此時密碼符合設(shè)置的密碼要求。雙擊上圖中的“密碼長度最小值”；在彈出的對話框中可設(shè)置可被系統(tǒng)接納的賬戶密碼長度最小值。一般為達到較高安全性，密碼長度最小值為8。雙擊“密碼最長存留期”，在對話框中設(shè)置系統(tǒng)要求的賬戶密碼的最長使用期限為42天。設(shè)置密碼自動保留期，用來提醒用戶定期修改密碼，防止密碼使用時間過長帶來的安全問題。雙擊“密碼最短保留期”，設(shè)置密碼最短存留期為7天。在密碼最短保留期內(nèi)用戶不能修改密碼，避免入侵的攻擊者修改帳戶密碼。雙擊“強制密碼歷史”和“為域中所有用戶使用可還原的加密存儲密碼”，在相繼彈出的類似對話框中，設(shè)置讓系統(tǒng)記住的密碼數(shù)量和是否設(shè)置加密存儲密碼。至此，密碼策略設(shè)置完成。開機時設(shè)置為“不自動顯示上次登錄”Windows默認設(shè)置為開機時自動顯示上次登錄的帳戶名，許多用戶也采用了這一設(shè)置。這對系統(tǒng)來說是很不安全的，攻擊者會從本地或TerminalService的登錄界面看到用戶名禁止枚舉帳戶名為了便于遠程用戶共享本地文件，Windows默認設(shè)置遠程用戶可以通過空連接枚舉出所有本地帳戶名，這給了攻擊者可乘之機。要禁用枚舉賬戶名，執(zhí)行下列操作：打開“本地安全策略”項，選擇“本地策略”中的“安全選項”選擇“對匿名連接的額外限制”項，在“本地策略設(shè)置”中選擇“不允許枚舉SAM賬戶和共享”5）文件系統(tǒng)安全設(shè)置（1） 打開采用NTFS格式的磁盤，選擇一個需要設(shè)置用戶權(quán)限的文件夾。（2） 右擊選擇“屬性”，在工具欄中選擇“安全”。（3） 將“允許將來自父系的可能繼承權(quán)限傳播給該對象”之前的勾去掉，以去掉來自父系文件夾的繼承權(quán)限。（4） 選中列表中的Everyone組，單擊“刪除”按鈕，刪除Everyone組的操作權(quán)限。由于新建的用戶往往都歸屬于Everyone組，而Everyone組在缺省情況下對所有系統(tǒng)驅(qū)動器都具有完全控制權(quán)，刪除Everyone組的操作權(quán)限可以對新建用戶的權(quán)限進行限制。（5） 選擇相應(yīng)用戶組，在對應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶對該文件夾的操作權(quán)限。（6） 單擊“高級”按鈕，查看各用戶組的權(quán)限。6）用加密軟件EPS加密硬盤數(shù)據(jù)（1） 打開控制面板中的“用戶和密碼”，創(chuàng)建一個名為MYUSER的新用戶。（2） 打開磁盤格式為NTFS的磁盤，選擇要進行加密的文件夾，這里仍選擇E:\“工具備份”。（3） 右擊打開“屬性”窗口，選擇“常規(guī)”選項，單擊“高級”按鈕。（4） 選擇“加密內(nèi)容以便保護數(shù)據(jù)”，單擊“確定”。（5） 注銷后登錄剛新建的用戶，發(fā)現(xiàn)無法打開該文件，說明已經(jīng)加密。（6） 再次切換用戶，以原來加密文件夾的管理員賬戶登錄系統(tǒng)。單擊“開始”按鈕，在“運行”框中輸入mmc，打開系統(tǒng)控制臺。單擊左上角的“控制臺”按鈕，選擇“添加/刪除管理單元”一“添加”一“證書”。（7） 在控制臺窗口左側(cè)的目錄樹中選擇“證書”“個人”“證書”。用于加密文件系統(tǒng)的證書顯示在右側(cè)的窗口中。（8） 選中用于EFS的證書，單擊右鍵，在菜單中單擊“所有任務(wù)”一“導(dǎo)出”一“歡迎使用證書導(dǎo)出向?qū)А币弧跋乱徊健币弧笆?，?dǎo)出私鑰”，然后設(shè)置保護私鑰的密碼，將導(dǎo)出的證書另行保存，完成證書導(dǎo)出。（9） 再次切換用戶，以新建的MYUSER登錄系統(tǒng)，重復(fù)（7）、（8），導(dǎo)入證書。（10） 輸入在步驟（9）中為保護私鑰設(shè)置的密碼，選擇將證書放入“個人”存儲區(qū)中，完成導(dǎo)入。（11） 再次雙擊加密文件夾中的文件，文件可以正常打開。7） 啟用審核與日志查看1、 打開審核策略（1） 打開“控制面板”中“管理工具”，選擇“本地安全策略”；（2） 打開“本地安全策略”中“審核策略”；（3） 雙擊可啟用該項策略。2、 查看事件日志（1） 打開“管理工具”雙擊“事件查看器”。（2） 雙擊“安全日志”。查看有效無效等安全事件的具體記錄。8） 啟用安全策略與安全模版1、啟用安全模板（1）單擊“開始”，選擇“運行”按鈕，輸入mmc，打開系統(tǒng)控制臺。（2） 單擊工具欄上的“控制臺”，在彈出的菜單中選擇“添加/刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”“安全配置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，再“確定”。（3） 打開“安全模板”，右鍵單擊模板，選擇“設(shè)置描述”。選擇“打開”，雙擊可看相關(guān)配置。（4）右鍵單擊“安全配置與分析”，選擇“打開數(shù)據(jù)庫”。輸入欲新建安全數(shù)據(jù)庫的名稱。單擊“打開”，根據(jù)計算機準(zhǔn)備配置成的安全級別，選擇一個安全模板將其導(dǎo)入。（5） 右鍵單擊“安全配置與分析”，選擇“立即分析計算機”，單擊“確定”按鈕。系統(tǒng)開始按照上一步中選定的安全模板，以當(dāng)前系統(tǒng)的安全設(shè)置是否符合要求進行分析。分析完畢后可在目錄中選擇查看各安全設(shè)置的分析結(jié)果。（6） 右鍵單擊，選擇“立即配置計算機”，則按照所選擇的安全模板的要求對當(dāng)前系統(tǒng)進行配置。對比雇用安全模板前后系統(tǒng)的安全設(shè)置，選用安全模板級別較高，則使用安全模板后系統(tǒng)的安全配置選項增加了許多。2、創(chuàng)建安全模板（1） 重復(fù)任務(wù)五中第1部分（1）?（4）步，打開“安全模板”，右鍵單擊，選擇“新加模板”，在彈出對話框中填入欲新加入模板名稱mytem，在“安全模板描述”中填入“自設(shè)模板”。（2） 雙擊mytem，在顯示的安全策略列表中雙擊“賬戶策略”下的“密碼策略”其中任一項均顯示“沒有定義”。（3） 在“模板中定義這個策略設(shè)置”前打勾，在框中填入密碼的最小長度7。（4） 依次設(shè)定“賬戶策略”、“本地策略”等項目中的每項安全策略，直至完成安全模板的設(shè)置。至此，自設(shè)安全模板mytem創(chuàng)建完畢。2,Linux系統(tǒng)安全Linux系統(tǒng)的用戶賬號策略管理員的工作中，相當(dāng)重要的一環(huán)就是管理賬號。在管理Linux主機的賬號時，一個最重要的方面就是確保每一個UID僅僅使用一次。另外就是設(shè)置有限的登陸次數(shù)來預(yù)防無休止的登陸攻擊，通過編輯/etc/pam.d/system-auth，添加下面兩句可以設(shè)置賬戶最多連續(xù)登陸5次，超過5次賬戶將被鎖定，只有管理員才能幫助解鎖。authrequiredpam_tally.sodeny=5accountrequiredpam_tally.so密碼策略要求口令時效和口令長度的設(shè)置。口令時效和口令長度是一種系統(tǒng)機制，用于強制口令在特定的時間長度后失效。對用戶來說，這可能帶來了一些麻煩，但是它確保了口令會定期進行更改，是一項很好的安全措施。默認情況下，絕大多數(shù)的Linux版本并沒有打開口令時效，不過要想打開卻非常簡單。通過編輯/etc/login.defs，你可以指定幾個參數(shù)，來設(shè)置口令實效和口令長度的默認設(shè)定:PASS_MAX_DAYS99999PASS_MIN_DAYS0PASS_MIN_LEN5PASS_WARN_AGE7當(dāng)設(shè)置口令時效的天數(shù)為99999時，實際上相當(dāng)于關(guān)閉了口令時效。一般設(shè)定為90天或者更短時間來更改一次。PASS_MIN_DAYS參數(shù)則設(shè)定了在本次密碼修改后，下次允許更改密碼之前所需的最少天數(shù)。PASS_MIN_LEN是指密碼設(shè)置的最小長度，一般定義為8位以上。PASS_WARN_AGE的設(shè)定則指明了在口令失效前多少天開始通知用戶更改密碼(一般在用戶剛剛登陸系統(tǒng)時就會收到警告通知)?？刂泼艽a使用頻率。控制適度的密碼重用頻率，也可以為密碼的安全策略提供良好的保護，可以通過編輯/etc/pam.d/system-auth設(shè)定密碼重用。一般設(shè)置重用密碼前更換密碼的最小次數(shù)為4次。passwordrequiredpam_unix.soremember=3use_authtokmd5shadow或者passwordsufficientpam_unix.soremember=3use_authtokmd5shadow。Linux的基本文件權(quán)限要求Linux中每一個文件都具有特定的屬性，主要包括文件類型和文件權(quán)限兩個方面?？梢苑譃?種不同的類型：普通文件、目錄文件、鏈接文件、設(shè)備文件和管道文件。所謂的文件權(quán)限，是指對文件的訪問權(quán)限，包括對文件的讀、寫、刪除、執(zhí)行。Linux是一個多用戶操作系統(tǒng)，它允許多個用戶同時登錄和工作。因此正確的文件權(quán)限設(shè)定是非常重要的。與系統(tǒng)安全關(guān)系較為密切的幾個文件目錄權(quán)限設(shè)置要求如下表：Linux日志文件管理日志對于系統(tǒng)安全來說，非常重要，它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過它來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。因此，保護系統(tǒng)日志安全，不被內(nèi)部用戶或外部入侵者修改或刪除顯得尤為重要。在Linux系統(tǒng)中，有三個主要的日志子系統(tǒng)：連接時間日志由多個程序執(zhí)行，把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。進程統(tǒng)計一一由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件(pacct或acct)中寫一個紀(jì)錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。錯誤日志一一由syslogd(8)執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細的日志。Linux的日志文件很多，但是/var/log/wtmp，/var/log/messages，/var/log/faillog(權(quán)限設(shè)置為600)，/var/log/secure(如果是Debian，/var/log/auth.log將代替它)最好是存在的。如果服務(wù)器支持很多的用戶的話，這些日志文件的大小會很快地增加，在服務(wù)器硬盤不是非常充足的情況下，必須采取措施限制日志文件的大小，定期做好日志備份和清除是非常重要的。Linux的遠程登錄：使用OPENSSH代替FTP和Telnet我們通常使用的網(wǎng)絡(luò)傳輸程序FTP和Telnet等在本質(zhì)上都是不安全的，因為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，黑客利用嗅探器非常容易截獲這些口令和數(shù)據(jù)。SSH的英文全稱是SecureSHell。通過使用SSH，用戶可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣即使網(wǎng)絡(luò)中的黑客能夠劫持用戶所傳輸?shù)臄?shù)據(jù)，如果不能解密的話，也不能對數(shù)據(jù)傳輸構(gòu)成真正的威脅。另外，傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP提供一個安全的“傳輸通道”。在不安全的網(wǎng)路通信環(huán)境中，它提供了很強的驗證機制與非常安全的通信環(huán)境。SSH(SecureShell)最初由芬蘭的一家公司開發(fā)，但由于受版權(quán)和加密算法的限制，很多人轉(zhuǎn)而使用免費的替代軟件OpenSSH。命令行使用OPENSSH比較麻煩。這里介紹gFTP和OPENSSH整合在一齊，提供一個圖形化加密傳輸方案。gFTP和Windows下的CuteFTP一樣使用非常簡單，而且?guī)缀跛械腖inux發(fā)行版本都帶有g(shù)FTP，不需要安裝就可以使用本論文由無憂論文網(wǎng)整理提供。Windows下支持SSH的客戶端軟件不少，推薦使用Putty和Filezilla。目前很多公司企業(yè)對信息安全問題日益重視，完善的信息安全控制架構(gòu)，先進的管理和技術(shù)的結(jié)合，才能真正滿足公司企業(yè)的需要。實驗三網(wǎng)絡(luò)攻防技術(shù)1計算機網(wǎng)絡(luò)攻擊的常見手法1.1利用網(wǎng)絡(luò)系統(tǒng)漏洞進行攻擊許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。1.2通過電子郵件進行攻擊電子郵件是互聯(lián)網(wǎng)上運用地十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。解密攻擊互聯(lián)網(wǎng)上，使用密碼是最常見并且最重要的安全保護方法，用戶時時刻刻都需輸入密碼進行身份校驗。而現(xiàn)在的密碼保護手段大都只認密碼不認人，只要有密碼，系統(tǒng)就會認為你是經(jīng)過授權(quán)的正常用戶，因此，獲取密碼也是黑客進行攻擊的一種重要手法。獲取密碼有幾種方法，一是對網(wǎng)絡(luò)上的數(shù)據(jù)進行監(jiān)聽。系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而黑客就能在兩端之間進行數(shù)據(jù)監(jiān)聽。但一般系統(tǒng)在傳送密碼時都進行了加密處理，即黑客所得到的數(shù)據(jù)中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用于局域網(wǎng)，一旦成功攻擊者將會得到很大的操作權(quán)益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟件嘗試所有可能字符所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設(shè)置的比較簡單，如“12345”、 “ABC”等有可能只需一眨眼的功夫就能解密。1.4后門軟件攻擊后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權(quán)利，對其進行完全的控制，除了能進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些后門軟件分為服務(wù)器端和用戶端，當(dāng)黑客進行攻擊時，會使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦，這些服務(wù)器端程序都比較小，一般會附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運行時，后門軟件的服務(wù)器端就安裝完成了，而且大部分后門軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。1.5拒絕服務(wù)攻擊互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實施拒絕服務(wù)攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶，從而使其無法對正常的服務(wù)請求進行處理，導(dǎo)致網(wǎng)站無法進入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓?，F(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務(wù)器進行拒絕服務(wù)攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。2攻防實驗的目標(biāo)和任務(wù)在攻擊和防御的對抗中，攻擊方通常掌握著主動性，而防御方必須具備能夠和攻擊方相抗衡的智能。因此，攻防實驗通常需要達到的目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)的脆弱性，提高系統(tǒng)的防御能力和系統(tǒng)的入侵響應(yīng)能力，盡可能有效排除系統(tǒng)的威脅。攻防實驗的第一任務(wù)是掌握先進的入侵方法和手段，發(fā)現(xiàn)實踐依據(jù)。很多情況下，系統(tǒng)的入侵是由于管理員不知道黑客攻擊的入侵手段和系統(tǒng)的潛在脆弱性，不能夠快速反應(yīng)。攻防實驗的第二任務(wù)是收集積累準(zhǔn)確的數(shù)據(jù)資料，為安全策略分析和系統(tǒng)改進提供依據(jù)。在攻防實驗的過程中，要注意記錄和保留相關(guān)的原始資料，為下一階段的分析和總結(jié)提供良好的基礎(chǔ)。3攻防實驗的主要技術(shù)攻防實驗可以分成入侵技術(shù)和防御技術(shù)。入侵技術(shù)可分為信息搜集技術(shù)和攻擊技術(shù)，防御技術(shù)可分為監(jiān)控技術(shù)、檢測技術(shù)和蜜罐技術(shù)。通過對攻防實驗的準(zhǔn)確定位，讓攻防實驗可以較真實較全面地模擬網(wǎng)絡(luò)入侵。3.1入侵技術(shù)基于對網(wǎng)絡(luò)攻擊行為過程性的認識，入侵技術(shù)以入侵目標(biāo)網(wǎng)絡(luò)為主要目的，通常以入侵為主要手段，以盜取信息或破壞系統(tǒng)為主要目的。對其進行分類研究，對于了解攻擊的本質(zhì)以更準(zhǔn)確地對其進行檢測和響應(yīng)具有重要的意義。通常，入侵以信息搜集為前導(dǎo)，通過系統(tǒng)所暴露的脆弱性進行相應(yīng)的入侵操作。3.1.1信息搜集信息搜集通常包括掃描技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。掃描技術(shù)是一種檢測本地主機或遠程主機安全性的程序。根據(jù)網(wǎng)絡(luò)掃描的階段性特征，可分為主機掃描技術(shù)、端口掃描技術(shù)以及漏洞掃描技術(shù)，其中端口掃描和漏洞掃描是網(wǎng)絡(luò)掃描的核心。主機掃描的目的是確認目標(biāo)網(wǎng)絡(luò)上的主機是否處于啟動狀態(tài)及其主機的相關(guān)信息。端口掃描最大的作用是提供目標(biāo)主機的使用端口清單。漏洞掃描則建立在端口掃描的基礎(chǔ)之上，主要通過基于漏洞庫的匹配檢測方法或模擬攻擊的方法來檢查目標(biāo)主機是否存在漏洞。網(wǎng)絡(luò)嗅探技術(shù)主要指通過截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流來對目標(biāo)網(wǎng)絡(luò)進行分析的技術(shù)。網(wǎng)絡(luò)嗅探技術(shù)要優(yōu)于掃描技術(shù)，因為網(wǎng)絡(luò)嗅探技術(shù)不易被發(fā)現(xiàn)，讓管理員難以察覺。而嗅探的設(shè)備可以是軟件，也可以是硬件。3.1.2攻擊黑客的入侵過程通常在對目標(biāo)主機的掃描探測后，針對系統(tǒng)所暴露的脆弱性和漏洞，對系統(tǒng)進行入侵操作。在攻擊階段，黑客利用信息搜集技術(shù)搜集來的信息，采取攻擊技術(shù)對目標(biāo)進行攻擊。攻擊技術(shù)的種類很多，大致可分為拒絕服務(wù)攻擊、信息利用攻擊和惡意代碼攻擊。拒絕服務(wù)DoS攻擊指利用網(wǎng)絡(luò)協(xié)議的缺陷或耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)計算機停止響應(yīng)甚至崩潰，而在此攻擊中并不入侵目標(biāo)設(shè)備。分布式拒絕服務(wù)DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。分布式拒絕服務(wù)DDoS通過占領(lǐng)傀儡機來實施，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。信息利用攻擊指并不對目標(biāo)主機進行破壞，而是盜取或偽造存儲的重要信息。信息利用攻擊一般是通過協(xié)議缺陷，以冒充安全域欺騙主機的行為。惡意代碼攻擊包括病毒和木馬攻擊。病毒是一種可以通過自我復(fù)制來感染其它程序的程序，并且具有傳染性和不可預(yù)見性。木馬程序是一種暗含某種功能的程序，內(nèi)部含有隱蔽代碼，其實質(zhì)是通過隱藏端口進行通信，因此木馬一般是C/S結(jié)構(gòu)的。黑客以病毒攻擊的方式對系統(tǒng)進行破壞，以木馬的方式對系統(tǒng)留下后門，以便可以隨時進入系統(tǒng)，對系統(tǒng)的權(quán)限和配置信息進行更改或破壞。3.2防御技術(shù)基于對入侵技術(shù)的識別，防御技術(shù)以應(yīng)對入侵技術(shù)而產(chǎn)生。目前，防御技術(shù)以彌補漏洞為主，輔以檢測設(shè)備，并設(shè)置防火墻等防護軟件。通常防御技術(shù)包括監(jiān)控技術(shù)、檢測技術(shù)和蜜罐技術(shù)。3.2.1監(jiān)控技術(shù)監(jiān)控技術(shù)主要針對入侵技術(shù)中的信息搜集技術(shù)，防止黑客對網(wǎng)絡(luò)的信息搜集，也可阻止惡意代碼對網(wǎng)絡(luò)的攻擊，對目標(biāo)主機或網(wǎng)絡(luò)進行實時監(jiān)控。監(jiān)控以監(jiān)控網(wǎng)絡(luò)狀態(tài)為主，通過數(shù)據(jù)包的收發(fā)，防止信息探測，也可對主機內(nèi)進程監(jiān)控，查看主機異常進程。監(jiān)控技術(shù)又可分為軟監(jiān)控和硬監(jiān)控兩種。軟監(jiān)控指通過軟件來實現(xiàn)對目標(biāo)網(wǎng)絡(luò)實現(xiàn)監(jiān)控的目的，如網(wǎng)絡(luò)監(jiān)控軟件。硬監(jiān)控技術(shù)指通過硬件的方式來對目標(biāo)網(wǎng)絡(luò)實現(xiàn)監(jiān)控，物理隔離技術(shù)和入侵防護設(shè)備是硬監(jiān)控技術(shù)的體現(xiàn)。3.2.2檢測技術(shù)檢測技術(shù)是近年來發(fā)展起來的一種防范技術(shù)，其作用是監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。它依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。檢測技術(shù)不同于監(jiān)控技術(shù)，檢測的第一要素是監(jiān)聽，因此，只要通過監(jiān)視來自網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行網(wǎng)絡(luò)報文的統(tǒng)計。實驗四應(yīng)用系統(tǒng)安全1OFFICE文檔安全與防范措施OFFICE文檔是我們辦公中使用最普遍的文檔格式之一，它里面存儲內(nèi)容一般都是涉及公司或個人的重要內(nèi)容，在很多情況下是禁止別人修改或者查看的。那么如何才能做到這一點呢？其實，合理運用OFFICE軟件本身的一些設(shè)置即可較好的滿足大家的要求。下面我們就以Word2003為例向大家介紹具體的做法。使用密碼對文檔進行保護，是一種最常用的做法。密碼保護一共分為兩層，即打開權(quán)限密碼和修改權(quán)限密碼。對文檔設(shè)置密碼一共有兩個地方可以進行，操作都比較簡單。如果該文檔是初次保存，那么我們就可以在打開“另存為”窗口設(shè)置保存位置和文件名時，單擊“另存為”窗口右上角的“工具”按鈕，在彈出的菜單中選擇“安全措施選項”命令打開“安全性”窗口，在這里我們就可以分別設(shè)置“打開文件時的密碼，和“修改文件時的密碼”了，建議大家不要將這兩個密碼設(shè)為同一個內(nèi)容。如果文件初次保存時沒有設(shè)置密碼，那么也沒關(guān)系，我們只需要打開“工具”菜單下的“選項”命令，將打開的“選項”窗口切換到“安全性”標(biāo)簽，在這里同樣可以設(shè)置打開和修改權(quán)限密碼。對于擁有打開權(quán)限密碼，那么在打開受保護的文檔時，該文檔是只讀屬性，如果對進行了修改，那么只能換名存盤，不會影響到原文檔的內(nèi)容；如果擁有修改權(quán)限密碼，那么就表示對文檔擁有了完全控制權(quán)。即使我們對文檔進行了加密，但是還不能保證肯定安全。因為當(dāng)我們在建立文檔時如果先輸入文檔的內(nèi)容，然后再保存時，那么就會在文檔屬性的“摘要”標(biāo)簽中顯示一些個人信息。對此，我們只需要在資源管理器中打開該文檔的屬性窗口，將其切換到“摘要”標(biāo)簽，然后將標(biāo)題、主題、作者、備注等信息全部刪除，或者填寫一些無關(guān)緊要的內(nèi)容。其次，我們也可以直接在文檔中打開“工具”菜單下的“選項”命令，然后在“安全性，，標(biāo)簽中把“隱私選項,，下的“保存時從文件屬性中刪除個人信息，，項選中即可。在Word2003中還給我們提供了一個“保護文檔”的實用工具，借助該工具就可以限制非法用戶對文檔格式和內(nèi)容進行隨意修改。要啟動文檔保護，只需要打開該文檔，然后單擊“工具,菜單，選擇其中的“保護文檔”，這樣就會在當(dāng)前編輯窗口右側(cè)多出一個“保護文檔”編輯區(qū)域。在該區(qū)域一共分為三部分：其中第一部分“格式設(shè)置限制”主要是防止非法用戶對文檔的格式進行修改，對此我們只需要選中邛艮制對選定的樣式設(shè)置格式,選項，然后單擊“設(shè)置”按鈕，在彈出的“格式設(shè)置限制”窗口中設(shè)置禁止用戶修改的格式類型，例如字體、字號等格式；第二部分則是“編輯限制”，這可以防止別人隨意修改文檔的內(nèi)容，選中“僅允許在文檔中進行此類編輯”，然后在下拉菜單中選擇用戶可以進行的操作，例如“批注”，這樣就可以避免別人隨意修改文檔原來的內(nèi)容，只能添加或修改批注的內(nèi)容了。做好上面兩項保護內(nèi)容后，我們只需要單擊第三部分中的“是，啟動強制保護”按鈕，這樣即會彈出密碼設(shè)置窗口，設(shè)置一個保護密碼，這樣在沒有密碼的前提下文檔將處于保護狀態(tài)。如果要對文檔進行修改，只需要再次打開“工具,菜單，選擇“取消文檔保護,命令，在彈出的窗口中輸入預(yù)設(shè)的口令即可。防止別人偷窺除了上面介紹的加密保護之外，我們還可以使用一些更加巧妙的方法。因為加了密碼，別人可以借助專業(yè)的破解工具來破解，而換一個思維進行加密有可能啟到出其不意的效果。打開“編輯”菜單，選擇“全選”命令將文檔全部選中，然后將其全部設(shè)為“白色”，這樣由于文檔背景色也是白色，別人打開看到的也只是空白一片，以為這只是一個空白文件。當(dāng)然，為了提高安全性，我們可以在文檔中插入一些不相關(guān)的圖片，這樣偷窺者就不會因為文檔體積的變化起疑心了。當(dāng)然，這種方法屬于出其不意的操作，為了提高其操作的安全性，我們還可以在這個方法的基本上再做一些改動。打開“工具”菜單，選擇“宏”下的“錄制新宏”，在打開的窗口中單擊“將宏指定到”中的“鍵盤”按鈕，將鼠標(biāo)定在打開的窗口“請按新快捷鍵”中，按下鍵盤上一個指定的快捷鍵，例如Ctrl+1，再單擊指定”按鈕將其添加到“當(dāng)前快捷鍵，冽表中，單擊“關(guān)閉”按鈕返回主窗口，把文檔全部設(shè)為白色，做好后單擊宏錄制工具欄上的“停止錄制”按鈕。這樣別人若不知道我們設(shè)置的快捷鍵將無法成功修改文檔的顏色，而我們自己要修改時，只需要在修改前按下設(shè)置的快捷鍵即可。另外，為了提高安全性，建議大家取消文檔中的段落標(biāo)識。其方法是打開“工具”菜單下的“選項”命令，在“視圖”標(biāo)簽中取消“格式標(biāo)記”下的鍛落標(biāo)記”項即可。為了防止宏病毒對文檔造成侵害，我們有必要對宏病毒提供警告保護。打開“工具”菜單，選擇“宏”子菜單中的“安全性”命令，在這里我們就可以為其指定一個安全級別。建議大家至少使用中、高級，不要使用低級對OFFICE文檔提供保護，不僅僅是在保密上下功夫，除此之外我們還必須應(yīng)付一些意外情況，例如文檔損壞或斷電丟失。對于這些意外情況，只要我們事先做好防范，同樣可以將損失降到最低點。打開“工具”菜單下的“選項”命令，切換到“保存”標(biāo)簽，首先選中“保留備份”和“允許后臺保存”兩個選項，這樣在我們保存原文檔的同時，程序會自動生成一個WBK為后綴名的備份文檔；其次為了防范斷電、死機等意外情況的發(fā)生，我們還需要在“保存”標(biāo)簽中選中“自動保存時間間隔”，同時設(shè)置一個間隔的時間。這樣即使出現(xiàn)意外文檔沒有保存，也不用擔(dān)心內(nèi)容的丟失。合理運用上述方法，相信一定能夠保證你文檔的安全。2壓縮文件的安全策略1、如何設(shè)定永久通用WinRAR壓縮密碼如果制作加密壓縮包很頻繁，且都是使用同一個常用的密碼，那么完全可以讓W(xué)inRAR來自動添加密碼，在你制作壓縮包的同時，默認密碼也自動添加進去了，非常方便。具體方法是：打開WinRAR，選擇“選項-設(shè)置”命令，在彈出的“設(shè)置”窗口中，選擇“壓縮選項”標(biāo)簽，然后單擊“創(chuàng)建默認配置”按鈕，在彈出的“設(shè)置默認壓縮選項”窗口中選擇“高級”標(biāo)簽，單擊“設(shè)置口令”按鈕，最后在“口令設(shè)置”中輸入自己常用的密碼，連續(xù)按“確定”保存設(shè)置即可。2、 編輯壓縮包內(nèi)的文件注意事項在編輯壓縮包內(nèi)的文件時，千萬不要關(guān)閉該壓縮包窗口，否則無法保存對文件的修改。而且，如果此時雙擊打開其他RAR壓縮包，WinRAR也會自動關(guān)閉你正在修改文件的壓縮包，所以建議在WinRAR窗口中按下“Ctrl+S”鍵，取消“常規(guī)”標(biāo)簽下的“重復(fù)使用已存在的窗口”復(fù)選框。3、 隱藏壓縮包里的文件名幾乎所有的壓縮軟件都提供了加密功能，以此保護個人的隱私和重要數(shù)據(jù)。但是它們大多忽視了對文件名的加密。一旦別人對你的數(shù)據(jù)產(chǎn)生了興趣，數(shù)據(jù)安全就變得岌岌可危。因此，最好能把文件名也列入加密范圍。假如根本不知道壓縮包里面存了些什么，誰還會費時費力地進行破解呢？WinRAR可以對RAR文件進行文件名加密，步驟如下：首先在WinRAR的主界面上點擊％忝加”按鈕，建立一個新的壓縮包，然后在彈出的窗口上選擇“文件”選項卡，并選定要添加到壓縮包的文件，接下來轉(zhuǎn)換到“高級”選項卡，單擊“設(shè)置密碼…”按鈕，輸入密碼即可。要注意的是，在點擊“確定”之前，一定要選中“加密文件名”選項才能實現(xiàn)文件名加密。4、 鎖定壓縮文件保安全當(dāng)在RAR壓縮包中刪除文件后，WinRAR會自動更新它，那些被刪除的文件再也無法找回。因此，對于不需要修改或比較重要的壓縮包，請在WinRAR中單擊選中此壓縮包，按下Alt+I組合鍵，在打開的此壓縮中的信息對話窗口中，點擊切換到“選項”選項頁，在“鎖定壓縮文件”樣中確認“禁止修改壓縮文件”復(fù)選框被選中，單擊“確定”按鈕。這樣此壓縮包就被鎖住，其中的文件便無法被修改或刪除。注意：以上操作僅針對RAR壓縮文件，而且，在啟用鎖定壓縮文件功能后，生成后的壓縮包將無法再修改，這對于備份重要數(shù)據(jù)非常有用。5、 提前知曉文件壓縮大小知道要壓縮的文件在壓縮之后會有多大嗎?請打開WinRAR窗口，選擇要壓縮的文件夾或文件，然后單擊工具欄上的“信息”按鈕，在打開窗口中，單擊“估計壓縮率”功能欄中的“估計”按鈕，WinRAR會給出壓縮率、壓縮包大小和壓縮估計時間等數(shù)據(jù)，這對于你壓縮比較大的文件或文件夾非常有用。如果希望每次單擊信息”按鈕，以后WinRAR自動對文件進行評估的話，還可以選中“自動開始”選項哦。6、 給壓縮包添加注釋使用的壓縮文件多了，時間一長就會不知道有哪些文件，更不要說文件里有哪些內(nèi)容了，如果給壓縮文件寫幾句注釋的話，以后打開來一看就知道它是何許作用了，在WinRAR中提供了這樣功能。具體的方法是：先用WinRAR打開相應(yīng)的RAR文件，然后點擊工具欄上的“注釋”鈕，在注釋窗口中輸入自己的注釋內(nèi)容即可（支持中文輸入）。下次想添加或查看時再次點擊工具欄上的“注釋”按鈕即可。以后打開這個文件時，其注釋信息會出現(xiàn)在窗口右邊，一目了然。3IE的安全策略1管理好Cookie在IE6.0中，打開“工具”—“Internet選項”—“隱私”對話框，這里設(shè)定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、爆受所有Cookie”六個級別（默認為“中”），你只要拖動滑塊就可以方便地進行設(shè)定，而點擊下方的“編輯”按鈕，在“網(wǎng)站地址”中輸入特定的網(wǎng)址，就可以將其設(shè)定為允許或拒絕它們使用Cookie。2禁用或限制使用Java程序及ActiveX控件打開“Internet選項”—“安全”—“自定義級別”，就可以設(shè)置“ActiveX控件和插件”、“Java”、“腳本”L下載”、“用戶驗證”以及其它安全選項。對于一些不太安全的控件或插件以及下載操作，應(yīng)該予以禁止、限制，至少要進行提示。3防止泄露自己的信息依次點擊“Internet選項”—“內(nèi)容”—“自動完成”，打開“自動完成設(shè)置”對話框，選中要使用的“自動完成”復(fù)選項。4清除已瀏覽過的網(wǎng)址在“Internet選項”對話框中的“常規(guī)”標(biāo)簽下單擊歷史記錄區(qū)域的“清除歷史記錄”按鈕即可。若只想清除部分記錄，單擊IE工具欄上的“歷史”按鈕，在左欄的地址歷史記錄中，找到希望清除的地址或其下網(wǎng)頁，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選取“刪除”。4電子郵件的安全策略電子郵件通常稱為E-mail，是計算機網(wǎng)絡(luò)上最早也是最重要的應(yīng)用之一，世界各地的人們通過電子郵件互相傳遞信息，進行網(wǎng)上交流。電子郵件已經(jīng)成為現(xiàn)在人們互相往來的一種常用方式。電子郵件是一種將電話通信的快速與郵政通信的直觀易懂想結(jié)合的通信手段，與電話通信以及郵政通信相比，電子郵件有它得天獨厚的優(yōu)點。但是，在電子郵件飛速發(fā)展的同時，電子郵件的安全問題也隨之浮出水面。針對電子郵件的攻擊分為兩種，一種世界對電子郵件的攻擊，如竊取電子郵件密碼，截獲發(fā)送郵件內(nèi)容，發(fā)送郵件炸彈；另一種是間接對電子郵件的攻擊，如通過郵件傳輸病毒木馬。產(chǎn)生電子郵件安全隱患主要有3個方面：電子郵件傳送協(xié)議自身的先天安全隱患。眾所周知，電子郵件傳輸采用的是SMTP協(xié)議，即簡單郵件傳輸協(xié)議，它傳