① 網路信息安全的模型框架
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
為了在開放式的網路環境中安全地傳輸信息,需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分:一是對發送的信息進行安全轉換,如信息加密以便達到信息的保密性,附加一些特徵碼以便進行發送者身份驗證等;二是發送雙方共享的某些秘密信息,如加密密鑰,除了對可信任的第三方外,對其他用戶是保密的。
為了使信息安全傳輸,通常需要一個可信任的第三方,其作用是負責向通信雙方分發秘密信息,以及在雙方發生爭議時進行仲裁。
一個安全的網路通信必須考慮以下內容:
·實現與安全相關的信息轉換的規則或演算法
·用於信息轉換演算法的密碼信息(如密鑰)
·秘密信息的分發和共享
·使用信息轉換演算法和秘密信息獲取安全服務所需的協議 網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
1)安全特性
安全特性指的是該安全單元可解決什麼安全威脅。信息安全特性包括保密性、完整性、可用性和認證安全性。
保密性安全主要是指保護信息在存儲和傳輸過程中不被未授權的實體識別。比如,網上傳輸的信用卡賬號和密碼不被識破。
完整性安全是指信息在存儲和傳輸過程中不被為授權的實體插入、刪除、篡改和重發等,信息的內容不被改變。比如,用戶發給別人的電子郵件,保證到接收端的內容沒有改變。
可用性安全是指不能由於系統受到攻擊而使用戶無法正常去訪問他本來有權正常訪問的資源。比如,保護郵件伺服器安全不因其遭到DOS攻擊而無法正常工作,是用戶能正常收發電子郵件。
認證安全性就是通過某些驗證措施和技術,防止無權訪問某些資源的實體通過某種特殊手段進入網路而進行訪問。
2)系統單元
系統單元是指該安全單元解決什麼系統環境的安全問題。對於現代網路,系統單元涉及以下五個不同環境。
·物理單元:物理單元是指硬體設備、網路設備等,包含該特性的安全單元解決物理環境安全問題。
·網路單元:網路單元是指網路傳輸,包含該特性的安全單元解決網路協議造成的網路傳輸安全問題。
·系統單元:系統單元是指操作系統,包含該特性的安全單元解決端系統或中間系統的操作系統包含的安全問題。一般是指數據和資源在存儲時的安全問題。
·應用單元:應用單元是指應用程序,包含該特性的安全單元解決應用程序所包含的安全問題。
·管理單元:管理單元是指網路安全管理環境,網路管理系統對網路資源進行安全管理。 網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。國內外都有在對此種攻擊進行探討,比較出名的如《黑客社會工程學攻擊2》等。
② 計算機網路安全教程的目錄
前言
第1章緒論1
1.1計算機網路面臨的主要威脅1
1.1.1計算機網路實體面臨威脅1
1.1.2計算機網路系統面臨威脅2
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素。
1.1.3惡意程序的威脅2
1.1.4計算機網路威脅的潛在對手和動機3
1.2計算機網路不安全因素4
1.2.1不安全的主要因素4
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項: 大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由的上網,發布和獲取各類信息。
防範間諜軟體之危害的對策
1、公開安裝的間諜軟體
對於那些公開安裝的間諜軟體,你無需費多大工夫去研究他,因為你可以輕而易舉的將之卸載,除此之外,你還可以知道他們的大至功能所在。換句話說,對於這些公開安裝的間諜軟體,你有很多措施保護你的隱私不受侵犯。例如,從不在辦公室計算機里檢查私有的電子郵件。公開安裝的間諜軟體一般都是合法的,他們有特定的使用人群和用途。
公司和學院:他們也許使用間諜軟體監測他們雇員的計算機和網路使用。
父母:他們也許使用間諜軟體監測家庭電腦和網路使用。防止他們的孩子受到有害信息的毒害。許多父母希望間諜軟體可能幫助他們。
政府:他們也許為公開安全或信息戰爭而使用間諜軟體監測網路。
2、秘密侵入的間諜軟體
真正的危險來自那些秘密侵入到你計算機里的間諜軟體,因為你不知道他究竟想做什麼。所有間諜軟體的安裝都利用了兩種弱點。一種是PC機的應用軟體,另一種是你自己。
由於現代計算機軟體是極端復雜的,現有的很多應用軟體和操作系統都存在各種各樣的漏洞。間諜軟體可以利用這些漏洞侵入到你的計算機。理論上你不可能防止這種侵入,當你沖浪網頁,一張小圖片可能給你帶來可怕的間諜軟體。除給你的操作系統打上必要的補丁,盡可能不去不安全或不熟悉的站點是減少這種侵入的有效方法。
很顯然,這種利用應用軟體漏洞的侵入方式需要較高的技術水平。而絕大多數間諜軟體的侵入是採用簡單的欺詐方式。例如,他們免費給你提供一個可以清除間諜軟體的軟體,而他們真正的目的是將你計算機里原有的間諜軟體去除,用他們的取而代之。
如果你習慣在網上下載免費軟體,你的計算機里可能有一大堆間諜軟體。
所以我們有兩種方法對付這些秘密侵入的間諜軟體:盡量不去不熟悉或不安全的站點,盡量不從網上下載免費軟體。
這種秘密的侵入也有他特定的用戶群和用途。論防範間諜軟體之危害
1.2.2不安全的主要原因6
1.3計算機網路安全的概念7
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
1.3.1計算機網路安全的定義8
1.3.2計算機網路安全的目標8
1.3.3計算機網路安全的層次10
1.3.4計算機網路安全所涉及的內容10
1.4計算機網路安全體系結構11
1.4.1網路安全模型11
1.4.2OSI安全體系結構11
1.4.3P2DR模型14
1.4.4網路安全技術16
網路安全技術指致力於解決諸如如何有效進行介入控制,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點:第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了;第二,網路的安全機制與技術要不斷地變化;第三,隨著網路在社會各方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程.為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
網路安全產品的自身安全的防護技術網路安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網路而且一旦被入侵,反而會變為入侵者進一步入侵的平台。
信息安全是國家發展所面臨的一個重要問題.對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用。
1.5計算機網路安全管理18
1.5.1網路安全管理的法律法規18
1.5.2計算機網路安全評價標准18
1.5.3網路安全管理措施18
1.6計算機網路安全技術發展趨勢18
1.6.1網路安全威脅發展趨勢19
1.6.2網路安全主要實用技術的發展19
1.7小結20
1.8習題21
第2章物理安全22
2.1機房安全技術和標准22
2.1.1機房安全技術22
2.1.2機房安全技術標准29
2.2通信線路安全30
2.3設備安全31
2.3.1硬體設備的維護和管理31
2.3.2電磁兼容和電磁輻射的防護31
2.3.3信息存儲媒體的安全管理33
2.4電源系統安全33
2.5小結36
2.6習題36
第3章信息加密與PKI38
3.1密碼學概述38
3.1.1密碼學的發展38
密碼學是在編碼與破譯的斗爭實踐中逐步發展起來的,並隨著先進科學技術的應用,已成為一門綜合性的尖端技術科學。它與語言學、數學、電子學、聲學、資訊理論、計算機科學等有著廣泛而密切的聯系。它的現實研究成果,特別是各國政府現用的密碼編制及破譯手段都具有高度的機密性。
進行明密變換的法則,稱為密碼的體制。指示這種變換的參數,稱為密鑰。它們是密碼編制的重要組成部分。密碼體制的基本類型可以分為四種:錯亂--按照規定的圖形和線路,改變明文字母或數碼等的位置成為密文;代替--用一個或多個代替表將明文字母或數碼等代替為密文;密本--用預先編定的字母或數字密碼組,代替一定的片語單詞等變明文為密文;加亂--用有限元素組成的一串序列作為亂數,按規定的演算法,同明文序列相結合變成密文。以上四種密碼體制,既可單獨使用,也可混合使用 ,以編制出各種復雜度很高的實用密碼。
20世紀70年代以來,一些學者提出了公開密鑰體制,即運用單向函數的數學原理,以實現加、脫密密鑰的分離。加密密鑰是公開的,脫密密鑰是保密的。這種新的密碼體制,引起了密碼學界的廣泛注意和探討。
利用文字和密碼的規律,在一定條件下,採取各種技術手段,通過對截取密文的分析,以求得明文,還原密碼編制,即破譯密碼。破譯不同強度的密碼,對條件的要求也不相同,甚至很不相同。
3.1.2密碼學基本概念40
密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規律,應用於編制密碼以保守通信秘密的,稱為編碼學;應用於破譯密碼以獲取通信情報的,稱為破譯學,總稱密碼學。
密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規律,應用於編制密碼以保守通信秘密的,稱為編碼學;應用於破譯密碼以獲取通信情報的,稱為破譯學。總稱密碼學。
密碼學(在西歐語文中,源於希臘語kryptós「隱藏的」,和gráphein「書寫」)是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究,常被認為是數學和計算機科學的分支,和資訊理論也密切相關。著名的密碼學者Ron Rivest解釋道:「密碼學是關於如何在敵人存在的環境中通訊」,自工程學的角度,這相當於密碼學與純數學的異同。密碼學是信息安全等相關議題,如認證、訪問控制的核心。密碼學的首要目的是隱藏信息的涵義,並不是隱藏信息的存在。密碼學也促進了計算機科學,特別是在於電腦與網路安全所使用的技術,如訪問控制與信息的機密性。密碼學已被應用在日常生活:包括自動櫃員機的晶元卡、電腦使用者存取密碼、電子商務等等。
密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則,變明文為密文,稱為加密變換;變密文為明文,稱為脫密變換。密碼在早期僅對文字或數碼進行加、脫密變換,隨著通信技術的發展,對語音、圖像、數據等都可實施加、脫密變換。
3.1.3加密體制分類40
3.2加密演算法43
3.2.1古典密碼演算法43
3.2.2單鑰加密演算法44
3.2.3雙鑰加密演算法51
3.3信息加密技術應用53
3.3.1鏈路加密54
3.3.2節點加密54
3.3.3端到端加密55
3.4認證技術56
3.4.1認證技術的分層模型56
3.4.2認證體制的要求與模型56
3.4.3數字簽名技術57
3.4.4身份認證技術57
3.4.5消息認證技術59
3.4.6數字簽名與消息認證61
3.5公開密鑰基礎設施(PKI)61
3.5.1PKI的基本概念62
3.5.2PKI認證技術的組成63
3.5.3PKI的特點70
3.6常用加密軟體介紹70
3.6.1PGP70
3.6.2GnuPG74
3.7小結77
3.8習題78
第4章防火牆技術79
4.1概述79
4.1.1防火牆的概念79
4.1.2防火牆的功能79
4.1.3防火牆的局限性81
4.2防火牆體系結構82
4.2.1雙重宿主主機體系結構82
4.2.2屏蔽主機體系結構83
4.2.3屏蔽子網體系結構84
4.2.4防火牆體系結構的組合形式86
4.3防火牆技術86
4.3.1包過濾技術86
4.3.2代理服務技術92
4.3.3狀態檢測技術96
4.3.4NAT技術97
4.4防火牆的安全防護技術99
4.4.1防止防火牆標識被獲取99
4.4.2防止穿透防火牆進行掃描101
4.4.3克服分組過濾脆的弱點103
4.4.4克服應用代理的脆弱點104
4.5防火牆應用示例105
4.5.1網路衛士防火牆3000系統組成105
4.5.2網路衛士防火牆3000典型應用拓撲圖105
4.5.3典型應用配置示例106
4.6個人防火牆111
4.6.1個人防火牆概述111
4.6.2個人防火牆的主要功能112
4.6.3個人防火牆的特點113
4.6.4主流個人防火牆簡介113
4.7防火牆發展動態和趨勢118
4.8小結120
4.9習題121
第5章入侵檢測技術122
5.1入侵檢測概述122
5.1.1入侵檢測原理123
5.1.2系統結構123
5.1.3系統分類124
5.2入侵檢測的技術實現127
5.2.1入侵檢測分析模型127
5.2.2誤用檢測128
5.2.3異常檢測131
5.2.4其他檢測技術135
5.3分布式入侵檢測138
5.3.1分布式入侵檢測的優勢138
5.3.2分布式入侵檢測的技術難點139
5.3.3分布式入侵檢測現狀140
5.4入侵檢測系統的標准141
5.4.1IETF/IDWG142
5.4.2CIDF144
5.5入侵檢測系統示例145
5.5.1Snort簡介146
5.5.2Snort的體系結構146
5.5.2Snort的安裝與使用148
5.5.2Snort的安全防護151
5.6小結152
5.7習題153
第6章操作系統與資料庫安全技術154
6.1訪問控制技術154
6.1.1認證、審計與訪問控制154
6.1.2傳統訪問控制技術156
6.1.3新型訪問控制技術158
6.1.4訪問控制的實現技術160
6.1.5安全訪問規則(授權)的管理162
6.2操作系統安全技術163
6.2.1操作系統安全准則163
6.2.2操作系統安全防護的一般方法165
6.2.3操作系統資源防護技術166
6.2.4操作系統的安全模型168
6.3UNIX/Linux系統安全技術171
6.3.1UNIX/Linux安全基礎171
6.3.2UNIX/Linux安全機制172
6.3.3UNIX/Linux安全措施173
6.4Windows2000/XP系統安全技術175
6.4.1Windows2000/XP安全基礎175
6.4.2Windows2000/XP安全機制177
6.4.3Windows2000/XP安全措施179
6.5資料庫安全概述186
6.5.1資料庫安全的基本概念186
6.5.2資料庫管理系統簡介187
6.5.3資料庫系統的缺陷與威脅188
6.6資料庫安全機制189
6.6.1資料庫安全的層次分布189
6.6.2安全DBMS體系結構189
6.6.3資料庫安全機制191
6.6.4Oracle的安全機制196
6.7資料庫安全技術197
6.8小結198
6.9習題198
第7章網路安全檢測與評估技術200
7.1網路安全漏洞200
7.1.1網路安全漏洞威脅200
7.1.2網路安全漏洞的分類201
7.2網路安全漏洞檢測技術203
7.2.1埠掃描技術203
7.2.2操作系統探測技術204
7.2.3安全漏洞探測技術205
7.3網路安全評估標准206
7.3.1網路安全評估標準的發展歷程206
7.3.2TCSEC、ITSEC和CC的基本構成209
7.4網路安全評估方法213
7.4.1基於通用評估方法(CEM)的網路安全評估模型213
7.4.2基於指標分析的網路安全綜合評估模型215
7.4.3基於模糊評價的網路安全狀況評估模型220
7.5網路安全檢測評估系統簡介221
7.5.1InternetScanner221
7.5.2Nessus225
7.6小結231
7.7習題231
第8章計算機病毒與惡意代碼防範技術232
8.1計算機病毒概述232
8.1.1計算機病毒的定義232
8.1.2計算機病毒簡史233
8.1.3計算機病毒的特徵234
8.1.4計算機病毒的危害235
8.2計算機病毒的工作原理和分類237
8.2.1計算機病毒的工作原理237
8.2.2計算機病毒的分類241
8.2.3病毒實例分析244
8.3計算機病毒的檢測與防範248
8.3.1計算機病毒的檢測248
8.3.2計算機病毒的防範251
8.3.3計算機病毒的發展方向和趨勢253
8.4惡意代碼255
8.4.1惡意代碼的特徵與分類255
8.4.2惡意代碼的關鍵技術256
8.4.3網路蠕蟲258
8.4.4Rootkit技術259
8.4.5惡意代碼的防範261
8.5小結262
8.6習題263
第9章數據備份技術264
9.1數據備份概述264
9.1.1產生數據失效的主要原因264
9.1.2備份及其相關概念266
9.1.3備份的誤區267
9.1.4選擇理想的備份介質267
9.1.5備份技術和備份方法268
9.2數據備份方案269
9.2.1磁碟備份269
9.2.2雙機備份276
9.2.3網路備份280
9.3數據備份與數據恢復策略283
9.3.1數據備份策略283
9.3.2災難恢復策略286
9.4備份軟體簡介286
9.4.1NortonGhost286
9.4.2SecondCopy288
9.5小結290
9.6習題291
第10章網路安全解決方案292
10.1網路安全體系結構292
10.1.1網路信息安全的基本問題292
10.1.2網路安全設計的基本原則294
10.2網路安全解決方案295
10.2.1網路安全解決方案的基本概念295
10.2.2網路安全解決方案的層次劃分296
10.2.3網路安全解決方案的框架297
10.3網路安全解決方案設計299
10.3.1網路系統狀況299
10.3.2安全需求分析299
10.3.3網路安全解決方案302
10.4單機用戶網路安全解決方案304
10.4.1單機用戶面臨的安全威脅304
10.4.2單機用戶網路安全解決方案305
10.5內部網路安全管理制度306
10.6小結308
10.7習題308
附錄309
附錄A彩虹系列309
附錄B安全風險分析一覽表310
參考文獻316
……
③ 計算機網路安全學習內容有哪些
涉及的內容:
第1章 計算機網路安全概述 1
1.1 計算機網路安全的基本概念 1
1.1.1 網路安全的定義 1
1.1.2 網路安全的特性 2
1.2 計算機網路安全的威脅 3
1.2.1 網路安全威脅的分類 3
1.2.2 計算機病毒的威脅 3
1.2.3 木馬程序的威脅 4
1.2.4 網路監聽 4
1.2.5 黑客攻擊 4
1.2.6 惡意程序攻擊 4
1.3 網路安全威脅產生的根源 5
1.3.1 系統及程序漏洞 5
1.3.2 網路安全防護所需設施
存在的問題 8
1.3.3 安全防護知識方面存在的問題 9
1.4 網路安全策略 9
1.4.1 網路安全策略設計的原則 9
1.4.2 幾種網路安全策略 10
1.5 計算機網路安全的現狀與發展 11
1.5.1 計算機網路安全的現狀 11
1.5.2 計算機網路安全的發展方向 12
1.6 小結與練習 13
1.6.1 小結 13
1.6.2 練習 13
第2章 網路安全體系結構及協議 14
2.1 計算機網路協議概述 14
2.1.1 網路協議 14
2.1.2 協議簇和行業標准 14
2.1.3 協議的交互 15
2.1.4 技術無關協議 15
2.2 OSI參考模型及其安全體系 16
2.2.1 計算機網路體系結構 16
2.2.2 OSI參考模型簡介 16
2.2.3 ISO/OSI安全體系 17
2.3 TCP/IP參考模型及其安全體系 20
2.3.1 TCP/IP參考模型 20
2.3.2 TCP/IP參考模型的安全體系 21
2.4 常用網路協議和服務 24
2.4.1 常用網路協議 24
2.4.2 常用網路服務 27
2.5 Windows常用的網路命令 28
2.5.1 ping命令 28
2.5.2 at命令 30
2.5.3 netstat命令 31
2.5.4 tracert命令 32
2.5.5 net命令 32
2.5.6 ftp命令 34
2.5.7 nbtstat命令 35
2.5.8 telnet命令 36
2.6 協議分析工具-Sniffer的應用 36
2.6.1 Sniffer的啟動和設置 37
2.6.2 解碼分析 40
2.7 實訓項目 42
2.8 小結與練習 43
2.8.1 小結 43
2.8.2 練習 43
第3章 計算機病毒與木馬 44
3.1 計算機病毒概述 44
3.1.1 計算機病毒的定義 44
3.1.2 計算機病毒的演變史 44
3.1.3 計算機病毒的特性 46
3.2 計算機病毒及其分類、
傳播途徑 46
3.2.1 常見計算機病毒 46
3.2.2 計算機病毒的分類 47
3.2.3 計算機病毒的傳播途徑 48
3.3 計算機病毒的檢測和防禦 49
3.3.1 普通計算機病毒的檢測與防禦 49
3.3.2 U盤病毒的檢測與防禦 54
3.3.3 ARP病毒的檢測與防禦 57
3.3.4 蠕蟲病毒的檢測與防禦 59
3.4 計算機木馬概述 64
3.4.1 計算機木馬的定義 65
3.4.2 計算機木馬的類型及基本功能 65
3.4.3 計算機木馬的工作原理 66
3.5 計算機木馬的檢測與防禦 66
3.5.1 普通計算機木馬的檢測與防禦 66
3.5.2 典型計算機木馬的手動清除 70
3.6 實訓項目 74
3.7 小結與練習 74
3.7.1 小結 74
3.7.2 練習 75
第4章 加密與數字簽名 76
4.1 加密技術 76
4.1.1 加密技術概述 76
4.1.2 數據加密常見方式 77
4.2 加密演算法 80
4.2.1 古典加密演算法 80
4.2.2 現代加密演算法 82
4.3 數字簽名技術 84
4.3.1 數字簽名技術概述 84
4.3.2 數字簽名技術的工作原理 85
4.3.3 數字簽名技術的演算法 86
4.4 PKI技術 86
4.4.1 PKI概述 86
4.4.2 PKI技術原理 86
4.4.3 證書頒發機構 87
4.4.4 數字證書 88
4.5 PGP原理及應用 89
4.5.1 PGP概述 89
4.5.2 PGP密鑰的創建 89
4.5.3 PGP文件加密和解密 93
4.5.4 PGP密鑰導出與導入 94
4.5.5 PGP電子郵件加、解密和
簽名驗證 95
4.5.6 PGP數字簽名 97
4.6 EFS原理及應用 98
4.6.1 EFS概述 98
4.6.2 EFS的加密和解密 98
4.6.3 EFS的其他應用 101
4.7 SSL安全傳輸及應用 104
4.7.1 SSL概述 104
4.7.2 SSL的工作原理 105
4.7.3 安裝證書服務 105
4.7.4 申請證書 107
4.7.5 頒發Web伺服器證書 110
4.7.6 安裝伺服器證書 111
4.7.7 Web伺服器的SSL設置 112
4.7.8 瀏覽器的SSL設置 113
4.7.9 訪問SSL站點 115
4.8 實訓項目 115
4.9 小結與練習 118
4.9.1 小結 118
4.9.2 練習 118
第5章 防火牆技術 119
5.1 防火牆概述 119
5.1.1 防火牆的基本准則 119
5.1.2 防火牆的主要功能特性 120
5.1.3 防火牆的局限性 120
5.2 防火牆的實現技術 120
5.2.1 數據包過濾 120
5.2.2 應用層代理 121
5.2.3 狀態檢測技術 122
5.3 防火牆的體系結構 122
5.3.1 雙宿/多宿主機模式 122
5.3.2 屏蔽主機模式 123
5.3.3 屏蔽子網模式 123
5.4 防火牆的工作模式 124
5.5 防火牆的實施方式 126
5.5.1 基於單個主機的防火牆 126
5.5.2 基於網路主機的防火牆 126
5.5.3 硬體防火牆 126
5.6 瑞星個人防火牆的應用 127
5.6.1 界面與功能布局 127
5.6.2 常用功能 128
5.6.3 網路監控 130
5.6.4 訪問控制 134
5.6.5 高級設置 137
5.7 ISA Server 2004配置 138
5.7.1 ISA Server 2004概述 138
5.7.2 ISA Server 2004的安裝 139
5.7.3 ISA Server 2004防火牆策略 142
5.7.4 發布內部網路中的伺服器 147
5.7.5 ISA Server 2004的系統和
網路監控及報告 152
5.8 iptables防火牆 155
5.8.1 iptables中的規則表 156
5.8.2 iptables命令簡介 156
5.8.3 Linux防火牆配置 158
5.9 PIX防火牆配置 161
5.9.1 PIX的基本配置命令 162
5.9.2 PIX防火牆配置實例 166
5.10 實訓項目 167
5.11 小結與練習 170
5.11.1 小結 170
5.11.2 練習 170
第6章 Windows Server 2003的
網路安全 171
6.1 Windows Server 2003的
安全簡介 171
6.1.1 用戶身份驗證 171
6.1.2 基於對象的訪問控制 172
6.2 Windows Server 2003系統安全
配置的常用方法 172
6.2.1 安裝過程 172
6.2.2 正確設置和管理賬戶 172
6.2.3 正確設置目錄和文件許可權 173
6.2.4 網路服務安全管理 173
6.2.5 關閉無用埠 174
6.2.6 本地安全策略 175
6.2.7 審核策略 179
6.2.8 Windows日誌文件的保護 180
6.3 Windows Server 2003訪問
控制技術 181
6.3.1 訪問控制技術簡介 181
6.3.2 Windows Server 2003訪問
控制的使用 181
6.4 賬戶策略 187
6.4.1 賬戶策略的配置 187
6.4.2 Kerberos策略 190
6.5 啟用安全模板 190
6.5.1 安全模板的簡介 190
6.5.2 啟用安全模板的方法 191
6.6 實訓項目 193
6.7 小結與練習 196
6.7.1 小結 196
6.7.2 練習 196
第7章 埠掃描技術 197
7.1 埠概述 197
7.1.1 TCP/IP工作原理 197
7.1.2 埠的定義 199
7.1.3 埠的分類 199
7.2 埠掃描技術 200
7.2.1 埠掃描概述 200
7.2.2 常見的埠掃描技術 201
7.3 常見掃描軟體及其應用 202
7.3.1 掃描軟體概述 202
7.3.2 SuperScan掃描工具及應用 202
7.4 埠掃描防禦技術應用 204
7.4.1 查看埠的狀態 204
7.4.2 關閉閑置和危險的埠 207
7.4.3 隱藏操作系統類型 209
7.5 實訓項目 211
7.6 小結與練習 215
7.6.1 小結 215
7.6.2 練習 215
第8章 入侵檢測系統 216
8.1 入侵檢測概述 216
8.1.1 入侵檢測的概念及功能 216
8.1.2 入侵檢測系統模型 216
8.1.3 入侵檢測工作過程 217
8.2 入侵檢測系統的分類 217
8.2.1 根據檢測對象劃分 217
8.2.2 根據檢測技術劃分 218
8.2.3 根據工作方式劃分 219
8.3 入侵檢測系統部署 219
8.3.1 基於主機的入侵
檢測系統部署 219
8.3.2 基於網路的入侵
檢測系統部署 219
8.3.3 常見入侵檢測工具及其應用 221
8.4 入侵防護系統 225
8.4.1 入侵防護系統的工作原理 226
8.4.2 入侵防護系統的優點 227
8.4.3 入侵防護系統的主要應用 228
8.5 小結與練習 228
8.5.1 小結 228
8.5.2 練習 229
第9章 無線網路安全 230
9.1 無線區域網介紹 230
9.1.1 無線區域網常用術語 230
9.1.2 無線區域網組件 231
9.1.3 無線區域網的訪問模式 232
9.1.4 覆蓋區域 233
9.2 無線網路常用標准 233
9.2.1 IEEE 802.11b 234
9.2.2 IEEE 802.11a 234
9.2.3 IEEE 802.11g 235
9.2.4 IEEE 802.11n 235
9.3 無線網路安全解決方案 236
9.3.1 無線網路訪問原理 236
9.3.2 認證 237
9.3.3 加密 238
9.3.4 入侵檢測系統 240
9.4 小結與練習 241
9.4.1 小結 241
④ 主動網路的安全體系模型
主動網路中包含許多由各種可能的網路技術連接起來的網路節點,這些網路 節點並不一定都是主動節點。體系結構從宏觀上分為三層,由碰歷節點操作系統(Node OS)執行環境和主動應用主要構件組成,Node OS的功能是主動節點中的通信帶寬處理機能Node OS力,以及存儲空間等本地資源向其上層的EE提供可供調用的介面,包括輸入輸出信道軟狀態存儲、安全策略資料庫以及安全強制引擎Security Enforcement Engine,EE EE利用Node OS向其提供節點資源的調用介面,再向AA提供相對獨立的執行環境的編程介面,一個Node OS中可以有多個EE類似於Java的介面。語言的虛擬機這些EE相對隔離構成一個個相對安全的執行環境,這樣既可以限制每個EE對節點資源的使用,從而 保證多個節點資源可以公平地使用節點資源又能隔離每個EE的處理防範。由於某個主動分組無意或惡意地過多使用網路節點資源而妨礙主動節點的正常運行。
(一)ANSA安全體系
ANSA是IETF安全工作小組建議的主動網路安全體系結構。在ANSA體系結構中定義了一個基本 的安全形色—主體。它泛指任何網路操作行為的發起者,如:某個人某個團體或團體中的某個成員等。ANSA將主動網路中的安全問題分為兩類:端到端 (End-to-End)安全和逐跳(Hop-by-Hop)安全,ANSA建議所有的逐跳安全和絕大部分端到端安全在節點操作系統層實現。其優點是所斗知有 的EE操作都經過統一的安全檢查;其缺點是在目前基於類UNIX通用操作系統的主動網實驗平台上載入安全機制,並需要修改操作系統內核,這顯然大大增加了 主動網安全機制開發的難度。
(二)ABone安全體系
ABone是由DARPA資助的在Internet上供研究用的一個主動網實驗平台。在功能上對等於IPv6網 絡的實驗平台6Bone。有了ABone人們就可以在全球范圍內藉助Internet開展主動網的研究工作。ABone支持兩種可執行環境EE:ANTS 和ASP。目前加入ABone的節點己遍布於世界各地,基於Abone的主動網安全性研究非常活躍。絕大多數Abone的節點操作系統都為類UNIX操作 系統, Abone將主動網中笑銷搜的安全問題主要劃分為以下兩類:
1、非法的主動分組對主動節點上合法的AA帶來的安全隱患。
2、惡意的AA對主動節點上的EE和節點操作系統的危害。Abone建議逐跳安全可以在EE中實現也可以在網路守護進程(netiod)中實現,端到端安全則在EE中實現。其優點是實施安全機制不需修改操作系統內核;缺點是需要在每個EE中分別實現安全機制。
總之,主動網路與傳統網路相比,具有無法比擬的靈活性和開放性,但這些優勢也使得主動網路的安全問題變得更加棘手。本文在對主動網路定義闡述的基礎上,提出了主動網路安全體系結構模型,並對模型的功能進行了描述,設計了系列基於AN的網路故障管理技術的基本實現方法。
⑤ 什麼是pdrr模型
1.什麼是入侵檢測
入侵檢測系統(IDS,Intrusion Detection System)簡單的說就是監視網路流量、數據包、數據包行為等,讀取和解釋路由器、防火牆、伺服器和其它網路設備的日誌文件,維護特徵資料庫(有的是已知攻擊的攻擊特徵庫,有的是描述系統或網路正常行為的模型),並把其所監視的網路流量、行為、以及日誌文件中的內容和特徵庫的內容作模式匹配,如果發現有內容相匹配,就發出報警信息、高級的還可根據報警信息自動做出各種響應行為,如斷開網路或關閉特定的伺服器、追蹤入侵者、收集入侵證據等。IDS檢查網路流量中的數據包內容,尋找可能的攻擊行為或未經允許的訪問。
一個入侵檢測系統的具體實現可以基於軟體,也可基於硬體或兩者兼有,商業化的入侵檢測系統主要是針對已知攻擊類型的入侵檢測,以硬體形式實現為主。
2.網路安全模型——動態防禦模型
(1)PPDR模型
PPDR(Policy Protection Detection Response)的基於思想是:以安全策略為核心,通過一致性檢查、流量統計、異常分析、模式匹配以及基於應用、目標、主機、網路的入侵檢查等方法進行安全漏洞檢測。檢測使系統從靜態防護轉化為動態防護,為系統快速響應提供了依據。當發現系統有異常時,根據系統安全策略快速作出反應,從而達到保護系統安全的目的。如圖1所示:
PPDR模型由四個主要部分組成:安全策略(Policy)、保護(Protection)、檢測(Detection)和響應(Response)。PPDR模型是在整體的安全策略的控制和指導下,綜合運用防護工具(如防火牆、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測系統)了解和評估系統的安全狀態,通過適當的響應將系統調整到一個比較安全的狀態。保護、檢測和響應組成了一個完整的、動態的安全循環。
a.策略是這個模型的核心,意味著網路安全要達到的目標,決定各種措施的強度。
b.保護是安全的第一步,包括:
制定安全規章(以安全策略為基礎制定安全細則);
配置系統安全(配置操作系統、安裝補丁等);
採用安全措施(安裝使用防火牆、VPN等);
c.檢測是對上述二者的補充,通過檢測發現系統或網路的異常情況,發現可能的攻擊行為。
d.響應是在發現異常或攻擊行為後系統自動採取的行動,目前的入侵響應措施也比較單 一,主要就是關閉埠、中斷連接、中斷服務等方式,研究多種入侵響應方式將是今後的發展方向之一。
(2)PDRR模型
PDRR(Protect/Detect/React/Restore)模型中,安全的概念已經從信息安全擴展到了信息保障,信息保障內涵已超出傳統的信息安全保密,是保護(Protect)、檢測(Detect)、反應(React)、恢復(Restore)的有機結合,稱之為 PDRR模型(如圖2所示)。PDRR模型把信息的安全保護作為基礎,將保護視為活動過程,要用檢測手段來發現安全漏洞,及時更正;同時採用應急響應措施對付各種入侵;在系統被入侵後,要採取相應的措施將系統恢復到正常狀態,這樣使信息的安全得到全方位的保障。該模型強調的是自動故障恢復能力。
⑥ 我要關於網路安全技術的綱要
學習目的
1、掌握網路安全的基本要求
2、了解加密技術
3、掌握數據備份的方法
4、掌握防火牆技術應用方法
5、掌握入侵檢測系統應用方法
10.1基礎知識
10.1.1 網路安全的基本概念
一、網路安全的基本要素(保密性、完整性、可用性、可鑒別性、不可否認性)
二、信息泄露與篡改
1、截獲信息 2、竊聽信息 3、篡改信息 4、偽造信息
三、網路攻擊(服務攻擊與非服務攻擊)
四、網路安全模型
1、網路安全模型
2、P2DR安全模型(策略、防護、檢測、響應)
五、網路安全規范
10.1.2數據備份方法
一、備份模式(邏輯備份與物理備份)
二、備份策略(完全備份、增量備份、差異備份)
三、冷備份與熱備份
10.1.3加密技術(密碼編碼學與密碼分析學)
一、加密演算法與解密演算法
二、對稱密碼體制(工作原理、常用數據加密演算法:DES)
三、非對稱密碼體制(工作原理、常用加密演算法:RAS)
10.1.4防病毒技術
一、計算機病毒
1、計算機病毒主要特徵
2、計算機病毒分類
寄生方式(引導型病毒、文件型病毒、復合型病毒)
破壞性(良性病毒、惡性病毒)
二、網路病毒
三、惡意代碼(蠕蟲、木馬)
10.1.5防火牆技術
一、防火牆的主要功能
二、防火牆的分類(過濾路由器、應用級網關、應用代理和狀態檢測等)
三、防火牆的系統結構
1、包過濾路由器結構
2、雙宿主主機結構
3、屏蔽主機結構
4、屏蔽主網結構
10.1.6入侵檢測技術
一、入侵檢測系統的基本功能
二、入侵檢測系統的結構(1、事件發生器 2、事件分析器 3、響應單元 4、事件資料庫)
三、入侵檢測技術分類(異常檢測、誤用檢測)
四、入侵檢測系統分類
1、基於主機的入侵檢測系統
2、基於網路的入侵檢測系統
五、分布式入侵檢測系統
1、層次性
2、協作性
3、對等性
六、入侵防護系統
1、入侵防護系統的基本概念(嗅探器、檢測分析組件、策略執行組件、日誌系統、狀態開關、控制台)
2、入侵防護系統的分類
(1)基於主機的入侵防護系統
(2)基於網路的入侵防護系統
(3)應用入侵防護系統
10.1.7網路安全評估
一、網路安全評估分析技術
二、網路安全評估分析系統結構
10.2實訓任務
10.2.1實訓任務一:數據備份設備與軟體安裝和配置
一、常用備份設備
1、磁碟陣列 2、光碟塔
3、光碟庫 4、磁帶機
5、磁帶庫 6、光碟網路景象伺服器
二、Windows 2003 Server備份工具和使用方法
1、備份許可權
2、備份步驟
3、Windows 2003備份程序支持的五種備份方法
(1)副本備份 (2)每日備份
(3)差異備份 (4)增量備份
(5)正常備份
10.2.2實訓任務二:防病毒軟體安裝和配置
一、網路版防病毒系統結構
1、系統中心 2、伺服器端
3、客戶端 4、管理控制台
二、網路版防病毒系統安裝
1、系統中心安裝
2、伺服器端和客戶端的安裝
3、控制台的安裝
三、網路版防病毒系統的主要參數配置
1、系統升級設置
2、掃描設置
3、黑白名單設置
4、埠設置
10.2.3實訓任務三:防火牆的安裝與配置
一、硬體防火牆的網路介面
1、內部區域(內網)
2、外部區域(外網)
3、非軍事化區(DMZ)
二、硬體防火牆安裝與初始配置的一般過程
三、基本配置方法
1、訪問模式
2、基本配置命令
10.2.4實訓任務四:網路入侵檢測系統的部署
一、網路入侵檢測系統的組成結構
1、控制台
2、探測器
二、網路入侵檢測系統常用部署方法
1、網路入侵檢測系統的探測器部署方法
2、入侵檢測系統與防火牆聯合部署
習題
一、選擇題
1、設計一個網路安全方案時需要完成的四個基本條件:
A.設計一個演算法,執行安全相關的轉換
B.生成該演算法的秘密信息(如密鑰)
C.研製秘密信息的分發與共享的方法
D.設定兩個負責任使用者的協議,利用演算法和秘密信息取得安全服務
2、入侵檢測技術可分為異常檢測與誤用檢測。
3、數據備份策略主要有:差異備份、完全備份、增量備份。
4、基於網路的入侵檢測系統採用的識別技術主要有:事件的相關性、統計意義上的非正常現象檢測、頻率或閾值,以及模式匹配。
5、網路狀態檢測技術特徵描述:
A.狀態檢測技術就是在包過濾的同時,檢查數據包之間的關聯性,檢查數據包中動態變化的狀態網
B.當用戶訪問請求到達網關的操作系統前,狀態監視器要抽取有關數據進行分析,結合網路配置和安全規則執行允許、拒絕、身份認證、報警或數據加密等處理動作
D.狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力
6、網路入侵檢測系統的組成結構討論:
A.網路入侵檢測系統一般由控制台和探測器組成
B.控制台提供圖形界面來進行數據查詢、查看警報並配置感測器。一個控制台可以管理多個探測器。
C.探測器的基本功能是捕獲網路數據包,並對數據包進一步分析和判斷,當發現可疑的事件時觸發探測器警報
D.控制台和探測器之間的通信是要加密的。
二、填空題
1、入侵檢測系統(IDS)是對計算機和網路資源的惡意使用行為進行識別的系統。
2、基於網路入侵防護系統(NIPS)布置於網路出口處,一般串聯於防火牆與路由器之間。
3、引導型病毒指寄生在磁碟引導區或主引導區。
4、應用入侵防護系統防止諸多入侵,其中包括Cookie篡改、SQL代碼嵌入、參數篡改、緩沖器溢出、強制瀏覽、畸形數據包、數據類型不匹配以及已知漏洞等。
5、網路版防病毒系統的基本安裝對象包括:系統中心的安裝、伺服器端的安裝、客戶端的安裝和控制台的安裝。
6、掃描設置通常包括文件類型、掃描病毒類型、優化選項、發現病毒後的處理方式、清除病毒失敗後的處理方式、殺毒結束後的處理方式和病毒隔離系統的設置。
⑦ P2DR的名詞解釋
P2DR模型是美國ISS公司提出的動態網路安全體系的代表模型,也是動態安全模型的雛形。根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,實現對它們的保護等。策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。網路安全策略一般包括總體安全策略和具體安全策略2個部分。
主要部分
P2DR模型包括四個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和 Response。
(1)策略:定義系統的監控周期、確立系統恢復機制、制定網路訪問控制策略和明確系統的總體安全規劃和原則。
(2)防護:通過修復系統漏洞、正確設計開發和安裝系統來預防安全事件的發生;通過定期檢查來發現可能存在的系統脆弱性;通過教育等手段,使用戶和操作員正確使用系統,防止意外威脅;通過訪問控制、監視等手段來防止惡意威脅。採用的防護技術通常包括數據加密、身份認證、訪問控制、授權和虛擬專用網(VPN)技術、防火牆、安全掃描和數據備份等。
(3)檢測:是動態響應和加強防護的依據,通過不斷地檢測和監控網路系統,來發現新的威脅和弱點,通過循環反饋來及時做出有效的響應。當攻擊者穿透防護系統時,檢測功能就發揮作用,與防護系統形成互補。
(4)響應:系統一旦檢測到入侵,響應系統就開始工作,進行事件處理。響應包括緊急響應和恢復處理,恢復處理又包括系統恢復和信息恢復