信息安全技術(shù)與實(shí)施培訓(xùn)教材

序言隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全已經(jīng)成為國(guó)家安全的重要組成部分。近年來，在黨中央、國(guó)務(wù)院的領(lǐng)導(dǎo)下，我國(guó)信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國(guó)家安全與社會(huì)穩(wěn)定、保障和促進(jìn)信息化健康發(fā)展發(fā)揮了重要作用。

但是，我國(guó)信息安全保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息安全管理和技術(shù)人才缺乏，關(guān)鍵技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競(jìng)爭(zhēng)力；信息安全法律法規(guī)和標(biāo)準(zhǔn)不完善；全社會(huì)的信息安全意識(shí)不強(qiáng)，信息安全管理薄弱等。與此同時(shí)，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)犯罪呈快速上升趨勢(shì)，境內(nèi)外敵對(duì)勢(shì)力針對(duì)廣播電視衛(wèi)星、有線電視和地面網(wǎng)絡(luò)的攻擊破壞活動(dòng)和利用信息網(wǎng)絡(luò)進(jìn)行的反動(dòng)宣傳活動(dòng)日益猖獗，嚴(yán)重危害公眾利益和國(guó)家安全，影響了我國(guó)信息化建設(shè)的健康發(fā)展。隨著我國(guó)信息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全還將面臨更多新的挑戰(zhàn)。信息安全技術(shù)與實(shí)施目錄物理實(shí)體安全與防護(hù)2密碼技術(shù)與應(yīng)用4信息安全概述31網(wǎng)絡(luò)攻擊與防范33數(shù)字身份認(rèn)證35目錄入侵檢測(cè)技術(shù)與應(yīng)用7操作系統(tǒng)安全防范9防火墻技術(shù)與應(yīng)用36計(jì)算機(jī)病毒與防范38無線網(wǎng)絡(luò)安全與防范310第1章信息安全概述本章內(nèi)容

信息安全介紹1.1黑客的概念及黑客文化1.2針對(duì)信息安全的攻擊1.3網(wǎng)絡(luò)安全體系1.4信息安全的三個(gè)層次1.5引導(dǎo)案例：2009年1月，法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的一臺(tái)計(jì)算機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè)網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也因無法“下載飛行指令”而停飛兩天。僅僅是法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺，法國(guó)的國(guó)家安全就出現(xiàn)了一個(gè)偌大的黑洞。設(shè)想，若一個(gè)國(guó)家某一系統(tǒng)或領(lǐng)域的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國(guó)政府掌握著信息領(lǐng)域的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換機(jī)的核心技術(shù)基本掌握在美國(guó)企業(yè)的手中。微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚至打印機(jī)軟件中嵌入美國(guó)中央情報(bào)局的后門軟件已經(jīng)不是秘密，美國(guó)在信息技術(shù)研發(fā)和信息產(chǎn)品的制造過程中就事先做好了日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。1.1信息安全介紹隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的人親身體會(huì)到了信息化給人們帶來的實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來實(shí)惠的同時(shí)，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)”已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶，例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。尤其是美國(guó)“9.11事件”給世界各國(guó)的信息安全問題再次敲響了警鐘，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還有眾多公司的數(shù)據(jù)。自2003年元旦以來，蠕蟲病毒“沖擊波”對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程度的攻擊，制造了一場(chǎng)規(guī)?？涨暗幕ヂ?lián)網(wǎng)“網(wǎng)癱”災(zāi)難事件。迄今為止，許多組織、單位、實(shí)體仍然沒有完全走出“沖擊波”和“震蕩波”的陰影，而2007年的“熊貓燒香”又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊事件正以每年64%的速度增加。另?yè)?jù)統(tǒng)計(jì)，全球約20秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生，Internet上的網(wǎng)絡(luò)防火墻約1/4被突破，約有70%以上的網(wǎng)絡(luò)信息主管人員報(bào)告因機(jī)密信息泄露而受到了損失。信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來（不加嚴(yán)格區(qū)分）。實(shí)際上，叫信息安全比較全面、科學(xué)。信息安全問題已引起了各國(guó)政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān)標(biāo)準(zhǔn)與法規(guī)。1.1.1信息安全的概念信息安全的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來的。當(dāng)前對(duì)信息安全的說法比較多，計(jì)算機(jī)安全、計(jì)算機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。ISO對(duì)計(jì)算機(jī)系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。建立網(wǎng)絡(luò)安全保護(hù)措施的目的：確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。針對(duì)信息安全，目前沒有公認(rèn)的定義。美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)（NSTISSC）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。信息安全涉及個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全、國(guó)家信息安全的總和。1.1.2信息安全的內(nèi)容網(wǎng)絡(luò)信息安全的內(nèi)容物理安全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認(rèn)證訪問控制加密安全管理邏輯安全操作系統(tǒng)安全3聯(lián)網(wǎng)安全4訪問控制服務(wù)通信安全服務(wù)1.物理安全物理安全是指用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。物理上的安全威脅主要涉及對(duì)計(jì)算機(jī)或人員的訪問。策略和多，如將計(jì)算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置在一個(gè)安全的環(huán)境中，銷毀不再使用的敏感文檔，保持密碼和身份認(rèn)證部件的安全性，鎖住便攜式設(shè)備等。物理安全更多的是依賴于行政的干預(yù)手段并結(jié)合相關(guān)技術(shù)。如果沒有基礎(chǔ)的物理保護(hù)，物理安全是不可能實(shí)現(xiàn)的。2.網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)的邏輯安全主要通過用戶身份認(rèn)證、訪問控制、加密、安全管理等方法來實(shí)現(xiàn)。（1）用戶身份認(rèn)證。身份證明是所有安全系統(tǒng)不可或缺的一個(gè)組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為了實(shí)現(xiàn)對(duì)信息資源的保護(hù)，并知道何人試圖獲取網(wǎng)絡(luò)資源的訪問權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對(duì)用戶進(jìn)行身份認(rèn)證。（2）訪問控制。訪問控制是制約擁護(hù)連接特定網(wǎng)絡(luò)、計(jì)算機(jī)與應(yīng)用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問控制系統(tǒng)一般針對(duì)網(wǎng)絡(luò)資源進(jìn)行安全控制區(qū)域劃分，實(shí)施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個(gè)許可或拒絕訪問的集中控制點(diǎn)。（3）加密。即即使訪問控控制和身份份驗(yàn)證系統(tǒng)統(tǒng)完全有效效，在數(shù)據(jù)據(jù)信息通過過網(wǎng)絡(luò)傳送送時(shí)，企業(yè)業(yè)仍然可能能面臨被竊竊聽的風(fēng)險(xiǎn)險(xiǎn)。事實(shí)上上，低成本本和連接的的簡(jiǎn)單性已已使Internet成為企業(yè)內(nèi)內(nèi)和企業(yè)間間通信的一一個(gè)極為誘誘人的媒介介。同時(shí)，，無線網(wǎng)絡(luò)絡(luò)的廣泛使使用也在進(jìn)進(jìn)一步加大大網(wǎng)絡(luò)數(shù)據(jù)據(jù)被竊聽的的風(fēng)險(xiǎn)。加加密技術(shù)用用于針對(duì)竊竊聽提供保保護(hù)，它通通過信息只只能被具有有解密數(shù)據(jù)據(jù)所需密鑰鑰的人員讀讀取來提供供信息的安安全保護(hù)。。它與第三三方是否通通過Internet截取數(shù)據(jù)包包無關(guān)，因因?yàn)閿?shù)據(jù)即即使在網(wǎng)絡(luò)絡(luò)上被第三三方截取，，它也無法法獲取信息息的本義。。這種方法法可在整個(gè)個(gè)企業(yè)網(wǎng)絡(luò)絡(luò)中使用，，包括在企企業(yè)內(nèi)部（（內(nèi)部網(wǎng)））、企業(yè)之之間（外部部網(wǎng)）或通通過公共Internet在虛擬專用用網(wǎng)（VPN）中傳送私私人數(shù)據(jù)。。加密技術(shù)術(shù)主要包括括對(duì)稱式和和非對(duì)稱式式兩種，都都有許多不不同的密鑰鑰算法來實(shí)實(shí)現(xiàn)。（4）安全管理理。安全系系統(tǒng)應(yīng)當(dāng)允允許由授權(quán)權(quán)人進(jìn)行監(jiān)監(jiān)視和控制制。使用驗(yàn)驗(yàn)證的任何何系統(tǒng)都需需要某種集集中授權(quán)來來驗(yàn)證這些些身份，而而無論它是是UNIX主機(jī)、WindowsNT域控制器還還是NovellDirectorySerrvices（NDS）服務(wù)器上上的/etc/passwd文件。由于于能查看歷歷史記錄，，如突破防防火墻的多多次失敗嘗嘗試，安全全系統(tǒng)可以以為那些負(fù)負(fù)責(zé)保護(hù)信信息資源的的人員提供供寶貴的信信息。一些些更新的安安全規(guī)范，，如IPSEC，需要包含含策略規(guī)則則數(shù)據(jù)庫(kù)。。要使系統(tǒng)統(tǒng)正確運(yùn)行行，就必須須管理所有有這些要素素。但是，，管理控制制臺(tái)本身也也是安全系系統(tǒng)的另一一個(gè)潛在故故障點(diǎn)。因因此，必須須確保這些些系統(tǒng)在物物理上得到到安全保護(hù)護(hù)，請(qǐng)確保保對(duì)管理控控制臺(tái)的任任何登錄進(jìn)進(jìn)行驗(yàn)證。。3.操作系統(tǒng)安安全。計(jì)算機(jī)操作作系統(tǒng)擔(dān)負(fù)負(fù)著龐大的的資源管理理，頻繁的的輸入輸出出控制以及及不可間斷斷的用戶與與操作系統(tǒng)統(tǒng)之間的通通信任務(wù)。。由于操作作系統(tǒng)具有有一權(quán)獨(dú)大大的特點(diǎn)，，所有針對(duì)對(duì)計(jì)算機(jī)和和網(wǎng)絡(luò)的入入侵及非法法訪問都是是以攫取操操作系統(tǒng)的的最高權(quán)限限作為入侵侵的目的。。因此，操操作系統(tǒng)安安全的內(nèi)容容就是采用用各種技術(shù)術(shù)手段和采采用合理的的安全策略略，降低系系統(tǒng)的脆弱弱性。與過過去相比，，如今的操操作系統(tǒng)性性能更先進(jìn)進(jìn)、功能更更豐富，因因而對(duì)使用用者來說更更便利，但但是也增加加了安全漏漏洞。要減減少操作系系統(tǒng)的安全全漏洞，需需要對(duì)操作作系統(tǒng)予以以合理配置置、管理和和監(jiān)控。做做到這點(diǎn)的的秘訣在于于集中、自自動(dòng)管理機(jī)機(jī)構(gòu)（企業(yè)業(yè)）內(nèi)部的的操作系統(tǒng)統(tǒng)安全，而而不是分散散、人工管管理每臺(tái)計(jì)計(jì)算機(jī)。實(shí)實(shí)際上，如如果不集中中管理操作作系統(tǒng)安全全，相應(yīng)的的成本和風(fēng)風(fēng)險(xiǎn)就會(huì)非非常高。目目前所知道道的安全入入侵事件，，一半以上上緣于操作作系統(tǒng)根本本沒有合理理配置，或或者沒有經(jīng)經(jīng)常核查及及監(jiān)控。操操作系統(tǒng)都都是以默認(rèn)認(rèn)安全設(shè)置置類配置的的，因而極極容易受到到攻擊。那些人工更更改了服務(wù)務(wù)器安全配配置的用戶戶，把技術(shù)術(shù)支持部門門的資源都都過多地消消耗于幫助助用戶處理理口令查詢?cè)兩?，而不不是處理更更重要的網(wǎng)網(wǎng)絡(luò)問題。。考慮到這這些弊端，，許多管理理員任由服服務(wù)器操作作系統(tǒng)以默默認(rèn)狀態(tài)運(yùn)運(yùn)行。這樣樣一來，服服務(wù)器可以以馬上投入入運(yùn)行，但但卻大大增增大了安全全風(fēng)險(xiǎn)?，F(xiàn)有技術(shù)可可以減輕管管理負(fù)擔(dān)。。要加強(qiáng)機(jī)機(jī)構(gòu)（企業(yè)業(yè)）網(wǎng)絡(luò)內(nèi)內(nèi)操作系統(tǒng)統(tǒng)的安全，，需要做到到以下三方方面：首先對(duì)網(wǎng)絡(luò)絡(luò)上的服務(wù)務(wù)器進(jìn)行配配置應(yīng)該在在一個(gè)地方方進(jìn)行，大大多數(shù)用戶戶大概需要要數(shù)十種不不同的配置置。然后，，這些配置置文件的一一個(gè)鏡像或或一組鏡像像在軟件的的幫助下可可以通過網(wǎng)網(wǎng)絡(luò)下載。。軟件能夠夠自動(dòng)管理理下載過程程，不需要要為每臺(tái)服服務(wù)器手工工下載。此此外，即使使有些重要要的配置文文件，也不不應(yīng)該讓本本地管理員員對(duì)每臺(tái)服服務(wù)器分別別配置，最最好的辦法法就是一次次性全部設(shè)設(shè)定。一旦旦網(wǎng)絡(luò)配置置完畢，管管理員就要要核實(shí)安全全策略的執(zhí)執(zhí)行情況，，定義用戶戶訪問權(quán)限限，確保所所有配置正正確無誤。。管理員可可以在網(wǎng)絡(luò)絡(luò)上運(yùn)行（（或遠(yuǎn)程運(yùn)運(yùn)行）代理理程序，不不斷監(jiān)控每每臺(tái)服務(wù)器器。代理程程序不會(huì)干干擾正常操操作。其次，帳戶戶需要加以以集中管理理，以控制制對(duì)網(wǎng)絡(luò)的的訪問，并并且確保用用戶擁有合合理訪問機(jī)機(jī)構(gòu)資源的的權(quán)限。策策略、規(guī)則則和決策應(yīng)應(yīng)在一個(gè)地地方進(jìn)行，，而不是在在每臺(tái)計(jì)算算機(jī)上進(jìn)行行，然后為為用戶系統(tǒng)統(tǒng)配置合理理的身份和和許可權(quán)。。身份生命命周期管理理程序可以以自動(dòng)管理理這一過程程，減少手手工過程帶帶來的麻煩煩。最后，操作作系統(tǒng)應(yīng)該該配置成能能夠輕松、、高效地監(jiān)監(jiān)控網(wǎng)絡(luò)活活動(dòng)，可以以顯示誰(shuí)在在進(jìn)行連接接，誰(shuí)斷開開了連接，，以及發(fā)現(xiàn)現(xiàn)來自操作作系統(tǒng)的潛潛在安全事事件。網(wǎng)絡(luò)安全策策略安全策略是是針對(duì)網(wǎng)絡(luò)絡(luò)和系統(tǒng)的的安全需要要，做出允允許什么、、禁止什么么的規(guī)定，，通?？梢砸允褂脭?shù)學(xué)學(xué)方式來表表達(dá)策略，，將其表示示為允許（（安全的））或不允許許（不安全全的）的狀狀態(tài)列表。。為達(dá)到這這個(gè)目的，，可假設(shè)任任何給定的的策略能對(duì)對(duì)安全狀態(tài)態(tài)和非安全全狀態(tài)做出出公理化描描述。實(shí)踐踐中，策略略極少會(huì)如如此精確，，網(wǎng)絡(luò)使用用文本語(yǔ)言言描述什么么是用戶或或系統(tǒng)允許許做的事情情。這種描描述的內(nèi)在在歧義性導(dǎo)導(dǎo)致某些狀狀態(tài)既不能能歸于“允允許”一類類，也不能能歸于“不不允許”一一類，因此此制定安全全策略時(shí)，，需要注意意此類問題題。因此安全策策略是指在在一個(gè)特定定的環(huán)境里里，為提供供一定級(jí)別別的安全保保護(hù)所必須須遵守的規(guī)規(guī)則。1.物理安全策策略目的是保護(hù)護(hù)計(jì)算機(jī)系系統(tǒng)、網(wǎng)絡(luò)絡(luò)服務(wù)器、、打印機(jī)等等硬件實(shí)體體和通信鏈鏈路免受自自然災(zāi)害、、認(rèn)為破壞壞、搭線攻攻擊，驗(yàn)證證用戶的身身份和使用用權(quán)限，防防止用戶越越權(quán)操作；；確保計(jì)算算機(jī)系統(tǒng)有有一個(gè)良好好的電磁兼兼容工作環(huán)環(huán)境；建立立完備的安安全管理制制度，防止止非法進(jìn)入入計(jì)算機(jī)控控制室和各各種盜竊、、破壞活動(dòng)動(dòng)的發(fā)生。。抑止和防防止電磁泄泄露，即Tempest技術(shù)，是物物理安全策策略的一個(gè)個(gè)主要問題題。目前主主要防護(hù)措措施有兩類類：一類是是傳導(dǎo)發(fā)射射的保護(hù)，，主要采取取對(duì)電源線線和信息線線加裝性能能良好的濾濾波器，減減少傳輸阻阻抗和導(dǎo)線線間的交叉叉耦合；另另一類是對(duì)對(duì)輻射的防防護(hù)。2.訪問控制策策略訪問控制是是網(wǎng)絡(luò)安全全防范和保保護(hù)的主要要策略，主主要任務(wù)是是保證網(wǎng)絡(luò)絡(luò)資源不被被非法使用用和訪問，，它是維護(hù)護(hù)網(wǎng)絡(luò)安全全、保護(hù)網(wǎng)網(wǎng)絡(luò)資源的的重要手段段。各種安安全策略必必須相互配配合才能真真正起到保保護(hù)作用，，可以說訪訪問控制是是保證網(wǎng)絡(luò)絡(luò)安全的核核心策略之之一。（1）入網(wǎng)訪問問控制。為為網(wǎng)絡(luò)訪問問提供了第第一層訪問問控制，它它是用來控控制哪些用用戶能夠登登錄到服務(wù)務(wù)器并獲取取網(wǎng)絡(luò)資源源，控制準(zhǔn)準(zhǔn)許用戶入入網(wǎng)的時(shí)間間和準(zhǔn)許在在哪個(gè)工作作站入網(wǎng)。。用戶的入入網(wǎng)訪問控控制可分為為3個(gè)步驟：用用戶名的識(shí)識(shí)別與驗(yàn)證證、用戶口口令的識(shí)別別與驗(yàn)證、、用戶帳號(hào)號(hào)的默認(rèn)限限制檢查。。只要3道關(guān)卡中有有任何一關(guān)關(guān)未過，該該用戶便不不能進(jìn)入該該網(wǎng)絡(luò)。（2）網(wǎng)絡(luò)權(quán)限限控制。是是針對(duì)網(wǎng)絡(luò)絡(luò)非法操作作所提出的的一種安全全保護(hù)措施施。用戶和和用戶組被被賦予一定定的權(quán)限。。用戶組可可以訪問哪哪些目錄、、子目錄、、文件和其其他資源，，指定用戶戶對(duì)這些文文件、目錄錄、設(shè)備執(zhí)執(zhí)行哪些操操作。根據(jù)據(jù)訪問可以以將用戶分分為特殊用用戶（系統(tǒng)統(tǒng)管理員））、一般用用戶，審計(jì)計(jì)用戶（負(fù)負(fù)責(zé)網(wǎng)絡(luò)的的安全控制制與資源使使用情況的的審計(jì)）3類。用戶對(duì)對(duì)網(wǎng)絡(luò)資源源的訪問權(quán)權(quán)限可以用用一個(gè)訪問問控制表來來描述。（3）網(wǎng)絡(luò)服務(wù)務(wù)器安全控控制。網(wǎng)絡(luò)絡(luò)服務(wù)器的的安全控制制包括：可可以設(shè)置口口令鎖定服服務(wù)器控制制臺(tái)，防止止非法用戶戶修改、刪刪除重要信信息或破壞壞數(shù)據(jù)；可可以設(shè)置服服務(wù)登錄時(shí)時(shí)間限制、、非法訪問問者檢測(cè)和和關(guān)閉的時(shí)時(shí)間間隔。。（4）網(wǎng)絡(luò)檢測(cè)測(cè)和鎖定控控制。對(duì)非非法的網(wǎng)絡(luò)絡(luò)訪問，服服務(wù)器應(yīng)以以圖形、文文字或聲音音等形式報(bào)報(bào)警。3.信息加密策策略。見P5。信息加密的的目的：保保護(hù)網(wǎng)內(nèi)的的數(shù)據(jù)、文文件、口令令和控制信信息，保護(hù)護(hù)網(wǎng)上傳輸輸?shù)臄?shù)據(jù)。。常用的方法法：有鏈路路加密、端端點(diǎn)加密和和節(jié)點(diǎn)加密密。鏈路加密：：保護(hù)網(wǎng)絡(luò)絡(luò)節(jié)點(diǎn)之間間的鏈路信信息安全；；端-端加密：對(duì)對(duì)源端用戶戶到目的端端用戶的數(shù)數(shù)據(jù)提供保保護(hù)；節(jié)點(diǎn)加密：：對(duì)源節(jié)點(diǎn)點(diǎn)到目的節(jié)節(jié)點(diǎn)之間的的傳輸鏈路路提供保護(hù)護(hù)。4.網(wǎng)絡(luò)安全管管理策略。。除了采用用上述技術(shù)術(shù)措施外，，加強(qiáng)網(wǎng)絡(luò)絡(luò)的安全管管理、制定定有效的規(guī)規(guī)章制度，，對(duì)于確保保網(wǎng)絡(luò)的安安全、可靠靠運(yùn)行，將將起到十分分有效的作作用。包括括：確定安安全管理等等級(jí)和范圍圍；制定有有關(guān)管理章章程和制度度；制定網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的維護(hù)制度度和應(yīng)急措措施等。見P5。信息安全的的要素雖然網(wǎng)絡(luò)安安全同單個(gè)個(gè)計(jì)算機(jī)安安全在目標(biāo)標(biāo)上并沒有有本質(zhì)區(qū)別別，但是由由于網(wǎng)絡(luò)環(huán)環(huán)境的復(fù)雜雜性，網(wǎng)絡(luò)絡(luò)安全比單單個(gè)計(jì)算機(jī)機(jī)安全要復(fù)復(fù)雜得多。。P5。第一，網(wǎng)絡(luò)絡(luò)資源的共共享范圍更更加寬泛，，難以控制制。第二，網(wǎng)絡(luò)絡(luò)支持多種種操作系統(tǒng)統(tǒng)，安全管管理和控制制更為困難難。第三，網(wǎng)絡(luò)絡(luò)的擴(kuò)大使使網(wǎng)絡(luò)的邊邊界和網(wǎng)絡(luò)絡(luò)用戶群變變的不確定定，比單機(jī)機(jī)困難的多多。第四，單機(jī)機(jī)用戶可以以從自己的的計(jì)算機(jī)中中直接獲取取敏感數(shù)據(jù)據(jù)。第五，由于于網(wǎng)絡(luò)路由由選擇的不不固定性，，很難確保保網(wǎng)絡(luò)信息息在一條安安全通道上上傳輸。保證證計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)的的安安全全，，就就是是要要保保護(hù)護(hù)網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息在在存存儲(chǔ)儲(chǔ)和和傳傳輸輸過過程程中中的的可可用用性性、、機(jī)機(jī)密密性性、、完完整整性性、、可可控控性性和和不不可可抵抵賴賴性性。。P5。（1）可可用用性性。是是指指得得到到授授權(quán)權(quán)的的實(shí)實(shí)體體在在需需要要時(shí)時(shí)可可以以得得到到所所需需要要的的網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源和和服服務(wù)務(wù)。。（2）機(jī)機(jī)密密性性。。機(jī)密密性性是是指指網(wǎng)網(wǎng)絡(luò)絡(luò)中中的的信信息息不不被被非非授授權(quán)權(quán)實(shí)實(shí)體體（（包包括括用用戶戶和和進(jìn)進(jìn)程程等等））獲獲取取與與使使用用。。這這些些信信息息不不僅僅指指國(guó)國(guó)家家機(jī)機(jī)密密，，也也包包括括企企業(yè)業(yè)和和社社會(huì)會(huì)團(tuán)團(tuán)體體的的商商業(yè)業(yè)秘秘密密和和工工作作秘秘密密，，還還包包括括個(gè)個(gè)人人的的秘秘密密（（如如銀銀行行賬賬號(hào)號(hào)））和和個(gè)個(gè)人人隱隱私私（（如如郵郵件件、、瀏瀏覽覽習(xí)習(xí)慣慣））等等。。網(wǎng)網(wǎng)絡(luò)絡(luò)在在人人們們生生活活中中的的廣廣泛泛使使用用，，使使人人們們對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)機(jī)機(jī)密密性性的的要要求求提提高高。。用用于于保保障障網(wǎng)網(wǎng)絡(luò)絡(luò)機(jī)機(jī)密密性性的的主主要要技技術(shù)術(shù)是是密密碼碼技技術(shù)術(shù)。。在在網(wǎng)網(wǎng)絡(luò)絡(luò)的的不不同同層層次次上上有有不不同同的的機(jī)機(jī)制制來來保保障障機(jī)機(jī)密密性性。。在在物物理理層層上上，，主主要要是是采采取取電電磁磁屏屏蔽蔽技技術(shù)術(shù)、、干干擾擾及及跳跳頻頻技技術(shù)術(shù)來來防防止止電電磁磁輻輻射射造造成成的的信信息息外外泄泄：：在在網(wǎng)網(wǎng)絡(luò)絡(luò)層層、、傳傳輸輸層層及及應(yīng)應(yīng)用用層層主主要要采采用用加加密密、、路路由由控控制制、、訪訪問問控控制制、、審審計(jì)計(jì)等等方方法法來來保保證證信信息息的的機(jī)機(jī)密密性性。。（3）完完整整性性。。完整整性性是是指指網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息的的真真實(shí)實(shí)可可信信性性，，即即網(wǎng)網(wǎng)絡(luò)絡(luò)中中的的信信息息不不會(huì)會(huì)被被偶偶然然或或者者蓄蓄意意地地進(jìn)進(jìn)行行刪刪除除、、修修改改、、偽偽造造、、插插入入等等破破壞壞，，保保證證授授權(quán)權(quán)用用戶戶得得到到的的信信息息是是真真實(shí)實(shí)的的。。只只有有具具有有修修改改權(quán)權(quán)限限的的實(shí)實(shí)體體才才能能修修改改信信息息，，如如果果信信息息被被未未經(jīng)經(jīng)授授權(quán)權(quán)的的實(shí)實(shí)體體修修改改了了或或在在傳傳輸輸過過程程中中出出現(xiàn)現(xiàn)了了錯(cuò)錯(cuò)誤誤，，信信息息的的使使用用者者應(yīng)應(yīng)能能夠夠通通過過一一定定的的方方式式判判斷斷出出信信息息是是否否真真實(shí)實(shí)可可靠靠。。（4）可可控控性性。。是控控制制授授權(quán)權(quán)范范圍圍內(nèi)內(nèi)的的信信息息流流向向和和行行為為方方式式的的特特性性，，如如對(duì)對(duì)信信息息的的訪訪問問、、傳傳播播及及內(nèi)內(nèi)容容具具有有控控制制能能力力。。首首先先，，系系統(tǒng)統(tǒng)要要能能夠夠控控制制誰(shuí)誰(shuí)能能夠夠訪訪問問系系統(tǒng)統(tǒng)或或網(wǎng)網(wǎng)絡(luò)絡(luò)上上的的數(shù)數(shù)據(jù)據(jù)，，以以及及如如何何訪訪問問，，即即是是否否可可以以修修改改數(shù)數(shù)據(jù)據(jù)還還是是只只能能讀讀取取數(shù)數(shù)據(jù)據(jù)。。這這要要通通過過采采用用訪訪問問控控制制等等授授權(quán)權(quán)方方法法來來實(shí)實(shí)現(xiàn)現(xiàn)。。其其次次，，即即使使擁?yè)碛杏泻虾戏ǚǖ牡氖谑跈?quán)權(quán)，，系系統(tǒng)統(tǒng)仍仍需需要要對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)上上的的用用戶戶進(jìn)進(jìn)行行驗(yàn)驗(yàn)證證。。通通過過握握手手協(xié)協(xié)議議和和口口令令進(jìn)進(jìn)行行身身份份驗(yàn)驗(yàn)證證，，以以確確保保他他確確實(shí)實(shí)是是所所聲聲稱稱的的那那個(gè)個(gè)人人。。最最后后，，系系統(tǒng)統(tǒng)還還要要將將用用戶戶的的所所有有網(wǎng)網(wǎng)絡(luò)絡(luò)活活動(dòng)動(dòng)記記錄錄在在案案，，包包括括網(wǎng)網(wǎng)絡(luò)絡(luò)中中計(jì)計(jì)算算機(jī)機(jī)的的使使用用時(shí)時(shí)間間、、敏敏感感操操作作和和違違法法操操作作等等，，為為系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行事事故故原原因因查查詢?cè)?、、定定位位，，事事故故發(fā)發(fā)生生前前的的預(yù)預(yù)測(cè)測(cè)、、報(bào)報(bào)警警，，以以及及為為事事故故發(fā)發(fā)生生后后的的實(shí)實(shí)時(shí)時(shí)處處理理提提供供詳詳細(xì)細(xì)、、可可靠靠的的依依據(jù)據(jù)或或支支持持。。審審計(jì)計(jì)對(duì)對(duì)用用戶戶的的正正常常操操作作也也有有記記載載，，可可以以實(shí)實(shí)現(xiàn)現(xiàn)統(tǒng)統(tǒng)計(jì)計(jì)、、計(jì)計(jì)費(fèi)費(fèi)等等功功能能，，而而且且有有些些諸諸如如修修改改數(shù)數(shù)據(jù)據(jù)的的““正正常?！薄辈俨僮髯髑∏∏∏∈鞘枪ス魮粝迪到y(tǒng)統(tǒng)的的非非法法操操作作，，同同樣樣需需要要加加以以警警惕惕。。（5）不可抵賴性性。也稱為不可否否認(rèn)性。是指指通信的雙方方在通信過程程中，對(duì)于自自己所發(fā)送或或接收的消息息不可抵賴。。即發(fā)送者不不能抵賴他發(fā)發(fā)送過消息和和消息內(nèi)容，，而接收者也也不能抵賴其其接收到消息息的事實(shí)和內(nèi)內(nèi)容。1.2黑客的概念及及黑客文化黑客的概念及及起源（P6-7）1.黑客(hacker)：對(duì)技術(shù)的局局限性有充分分認(rèn)識(shí)，具有有操作系統(tǒng)和和編程語(yǔ)言方方面的高級(jí)知知識(shí)，熱衷編編程，查找漏漏洞，表現(xiàn)自自我。他們不不斷追求更深深的知識(shí)，并并公開他們的的發(fā)現(xiàn)，與其其他人分享；；主觀上沒有有破壞數(shù)據(jù)的的企圖?！昂诤诿弊雍诳汀薄?，“白帽子子黑客”，““灰帽子黑客客”?，F(xiàn)在“黑客””一詞在信息息安全范疇內(nèi)內(nèi)的普遍含意意是特指對(duì)電電腦系統(tǒng)的非非法侵入者。。2.駭客（cracker）：以破壞系系統(tǒng)為目標(biāo)。。是hacker的一個(gè)分支，，發(fā)展到現(xiàn)在在，也有“黑黑帽子黑客””3.紅客（honker）：中國(guó)的一一些黑客自稱稱“紅客”honker。例如中國(guó)紅客客基地。美國(guó)警方：把把所有涉及到到"利用"、、"借助"、、"通過"或或"阻撓"計(jì)計(jì)算機(jī)的犯罪罪行為都定為為hacking。4.怎樣才算一名名黑客：黑客文化（P8）1.黑客行為（1）不隨便進(jìn)行行攻擊行為。。（2）公開自己的的作品。（3）幫助其他黑黑客。（4）義務(wù)地做一一些力所能及及的事情。2.黑客精神（1）自由共享精精神。（2）探索與創(chuàng)新新精神（3）合作精神3.黑客準(zhǔn)則（P8）（1）不惡意破壞壞任何系統(tǒng)。。（2）不修改任何何系統(tǒng)文件。。（3）不輕易地將將要黑的或黑黑過的站點(diǎn)告告訴別人，不不炫耀自己的的技術(shù)。（4）不入侵或破破壞政府機(jī)關(guān)關(guān)的主機(jī)等。。（5）做真正的黑黑客，努力鉆鉆研技術(shù)，研研究各種漏洞洞。如何成為一名名黑客（P9）1.黑客必備的基基本技能（1）精通程序設(shè)設(shè)計(jì)。（2）熟練掌握各各種操作系統(tǒng)統(tǒng)。（3）熟悉互聯(lián)網(wǎng)網(wǎng)與網(wǎng)絡(luò)編程程。2.如何學(xué)習(xí)黑客客技術(shù)（1）濃厚的興趣趣。（2）切忌浮躁，，耐的住寂寞寞（3）多動(dòng)手實(shí)踐踐（4）嘗試多次失失敗1.3針對(duì)信息安全全的攻擊（P10）在正常情況下下，有一個(gè)信信息流從一個(gè)個(gè)信源(例如一個(gè)文件件或主存儲(chǔ)器器的一個(gè)區(qū)域域)流到一個(gè)目的的地（例如另另一個(gè)文件或或一個(gè)用戶））時(shí)，它的信信息流動(dòng)是這這樣的：當(dāng)產(chǎn)生攻擊時(shí)時(shí)，有以下4種情況:上述4種情況又可以以按照攻擊的的主動(dòng)性來分分為兩類：主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊（P10）本質(zhì)上是在傳傳輸中的竊聽聽或監(jiān)視，其其目的是從傳傳輸