序言隨著科學技術的迅猛發展和信息技術的廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，網絡與信息系統的基礎性、全局性作用日益增強，信息安全已經成為國家安全的重要組成部分。近年來，在黨中央、國務院的領導下，我國信息安全保障工作取得了明顯成效，建設了一批信息安全基礎設施，加強了互聯網信息內容安全管理，為維護國家安全與社會穩定、保障和促進信息化健康發展發揮了重要作用。

但是，我國信息安全保障工作仍存在一些亟待解決的問題：網絡與信息系統的防護水平不高，應急處理能力不強；信息安全管理和技術人才缺乏，關鍵技術整體上還比較落后，產業缺乏核心競爭力；信息安全法律法規和標準不完善；全社會的信息安全意識不強，信息安全管理薄弱等。與此同時，網上有害信息傳播、病毒入侵和網絡攻擊日趨嚴重，網絡泄密事件屢有發生，網絡犯罪呈快速上升趨勢，境內外敵對勢力針對廣播電視衛星、有線電視和地面網絡的攻擊破壞活動和利用信息網絡進行的反動宣傳活動日益猖獗，嚴重危害公眾利益和國家安全，影響了我國信息化建設的健康發展。隨著我國信息化進程的逐步推進，特別是互聯網的廣泛應用，信息安全還將面臨更多新的挑戰。信息安全技術與實施目錄物理實體安全與防護2密碼技術與應用4信息安全概述31網絡攻擊與防范33數字身份認證35目錄入侵檢測技術與應用7操作系統安全防范9防火墻技術與應用36計算機病毒與防范38無線網絡安全與防范310第1章信息安全概述本章內容

信息安全介紹1.1黑客的概念及黑客文化1.2針對信息安全的攻擊1.3網絡安全體系1.4信息安全的三個層次1.5引導案例：2009年1月，法國海軍內部計算機系統的一臺計算機受病毒入侵，迅速擴散到整個網絡，一度不能啟動，海軍全部戰斗機也因無法“下載飛行指令”而停飛兩天。僅僅是法國海軍內部計算機系統的時鐘停擺，法國的國家安全就出現了一個偌大的黑洞。設想，若一個國家某一系統或領域的計算機網絡系統出現問題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國政府掌握著信息領域的核心技術，操作系統、數據庫、網絡交換機的核心技術基本掌握在美國企業的手中。微軟操作系統、思科交換機的交換軟件甚至打印機軟件中嵌入美國中央情報局的后門軟件已經不是秘密，美國在信息技術研發和信息產品的制造過程中就事先做好了日后對全球進行信息制裁的準備。1.1信息安全介紹隨著全球互聯網的迅猛發展，越來越多的人親身體會到了信息化給人們帶來的實實在在的便利與實惠，然后任何事情都有兩面性，信息化在給經濟帶來實惠的同時，也產生了新的威脅。目前“信息戰”已經是現代戰爭克敵制勝的法寶，例如科索沃戰爭、海灣戰爭。尤其是美國“9.11事件”給世界各國的信息安全問題再次敲響了警鐘，因為恐怖組織摧毀的不僅僅是世貿大廈，隨之消失的還有眾多公司的數據。自2003年元旦以來，蠕蟲病毒“沖擊波”對全球范圍內的互聯網發起了不同程度的攻擊，制造了一場規模空前的互聯網“網癱”災難事件。迄今為止，許多組織、單位、實體仍然沒有完全走出“沖擊波”和“震蕩波”的陰影，而2007年的“熊貓燒香”又給互聯網用戶留下了深刻印象。計算機攻擊事件正以每年64%的速度增加。另據統計，全球約20秒鐘就有一次計算機入侵事件發生，Internet上的網絡防火墻約1/4被突破，約有70%以上的網絡信息主管人員報告因機密信息泄露而受到了損失。信息安全涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科。由于目前信息的網絡化，信息安全主要表現在網絡安全上，所以目前將網絡安全與信息安全等同起來（不加嚴格區分）。實際上，叫信息安全比較全面、科學。信息安全問題已引起了各國政府的高度重視，建立了專門的機構，并出臺了相關標準與法規。1.1.1信息安全的概念信息安全的概念是隨著計算機化、網絡化、信息化的逐步發展提出來的。當前對信息安全的說法比較多，計算機安全、計算機信息系統安全、網絡安全、信息安全的叫法同時并存（事實上有區別，各自的側重點不同）。ISO對計算機系統安全的定義為：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。計算機網絡安全的概念：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。建立網絡安全保護措施的目的：確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。針對信息安全，目前沒有公認的定義。美國國家安全電信和信息系統安全委員會（NSTISSC）對信息安全做如下定義：信息安全是對信息、系統以及使用、存儲和傳輸信息的硬件的保護。信息安全涉及個人權益、企業生存、金融風險防范、社會穩定和國家安全，它是物理安全、網絡安全、數據安全、信息內容安全、信息基礎設施安全、國家信息安全的總和。1.1.2信息安全的內容網絡信息安全的內容物理安全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認證訪問控制加密安全管理邏輯安全操作系統安全3聯網安全4訪問控制服務通信安全服務1.物理安全物理安全是指用來保護計算機網絡中的傳輸介質、網絡設備、機房設施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。物理上的安全威脅主要涉及對計算機或人員的訪問。策略和多，如將計算機系統和關鍵設備布置在一個安全的環境中，銷毀不再使用的敏感文檔，保持密碼和身份認證部件的安全性，鎖住便攜式設備等。物理安全更多的是依賴于行政的干預手段并結合相關技術。如果沒有基礎的物理保護，物理安全是不可能實現的。2.網絡安全計算機網絡的邏輯安全主要通過用戶身份認證、訪問控制、加密、安全管理等方法來實現。（1）用戶身份認證。身份證明是所有安全系統不可或缺的一個組件。它是區別授權用戶和入侵者的唯一方法。為了實現對信息資源的保護，并知道何人試圖獲取網絡資源的訪問權，任何網絡資源擁有者都必須對用戶進行身份認證。（2）訪問控制。訪問控制是制約擁護連接特定網絡、計算機與應用程序，獲取特定類型數據流量的能力。訪問控制系統一般針對網絡資源進行安全控制區域劃分，實施區域防御的策略。在區域的物理邊界或邏輯邊界使用一個許可或拒絕訪問的集中控制點。（3）加加密密。。即即使使訪訪問問控控制制和和身身份份驗驗證證系系統統完完全全有有效效，，在在數數據據信信息息通通過過網網絡絡傳傳送送時時，，企企業業仍仍然然可可能能面面臨臨被被竊竊聽聽的的風風險險。。事事實實上上，，低低成成本本和和連連接接的的簡簡單單性性已已使使Internet成為為企企業業內內和和企企業業間間通通信信的的一一個個極極為為誘誘人人的的媒媒介介。。同同時時，，無無線線網網絡絡的的廣廣泛泛使使用用也也在在進進一一步步加加大大網網絡絡數數據據被被竊竊聽聽的的風風險險。。加加密密技技術術用用于于針針對對竊竊聽聽提提供供保保護護，，它它通通過過信信息息只只能能被被具具有有解解密密數數據據所所需需密密鑰鑰的的人人員員讀讀取取來來提提供供信信息息的的安安全全保保護護。。它它與與第第三三方方是是否否通通過過Internet截取取數數據據包包無無關關，，因因為為數數據據即即使使在在網網絡絡上上被被第第三三方方截截取取，，它它也也無無法法獲獲取取信信息息的的本本義義。。這這種種方方法法可可在在整整個個企企業業網網絡絡中中使使用用，，包包括括在在企企業業內內部部（（內內部部網網））、、企企業業之之間間（（外外部部網網））或或通通過過公公共共Internet在虛虛擬擬專專用用網網（（VPN）中中傳傳送送私私人人數數據據。。加加密密技技術術主主要要包包括括對對稱稱式式和和非非對對稱稱式式兩兩種種，，都都有有許許多多不不同同的的密密鑰鑰算算法法來來實實現現。。（4）安安全全管管理理。。安安全全系系統統應應當當允允許許由由授授權權人人進進行行監監視視和和控控制制。。使使用用驗驗證證的的任任何何系系統統都都需需要要某某種種集集中中授授權權來來驗驗證證這這些些身身份份，，而而無無論論它它是是UNIX主機機、、WindowsNT域控控制制器器還還是是NovellDirectorySerrvices（NDS）服服務務器器上上的的/etc/passwd文件件。。由由于于能能查查看看歷歷史史記記錄錄，，如如突突破破防防火火墻墻的的多多次次失失敗敗嘗嘗試試，，安安全全系系統統可可以以為為那那些些負負責責保保護護信信息息資資源源的的人人員員提提供供寶寶貴貴的的信信息息。。一一些些更更新新的的安安全全規規范范，，如如IPSEC，需需要要包包含含策策略略規規則則數數據據庫庫。。要要使使系系統統正正確確運運行行，，就就必必須須管管理理所所有有這這些些要要素素。。但但是是，，管管理理控控制制臺臺本本身身也也是是安安全全系系統統的的另另一一個個潛潛在在故故障障點點。。因因此此，，必必須須確確保保這這些些系系統統在在物物理理上上得得到到安安全全保保護護，，請請確確保保對對管管理理控控制制臺臺的的任任何何登登錄錄進進行行驗驗證證。。3.操作系統統安全。。計算機操操作系統統擔負著著龐大的的資源管管理，頻頻繁的輸輸入輸出出控制以以及不可可間斷的的用戶與與操作系系統之間間的通信信任務。。由于操操作系統統具有一一權獨大大的特點點，所有有針對計計算機和和網絡的的入侵及及非法訪訪問都是是以攫取取操作系系統的最最高權限限作為入入侵的目目的。因因此，操操作系統統安全的的內容就就是采用用各種技技術手段段和采用用合理的的安全策策略，降降低系統統的脆弱弱性。與與過去相相比，如如今的操操作系統統性能更更先進、、功能更更豐富，，因而對對使用者者來說更更便利，，但是也也增加了了安全漏漏洞。要要減少操操作系統統的安全全漏洞，，需要對對操作系系統予以以合理配配置、管管理和監監控。做做到這點點的秘訣訣在于集集中、自自動管理理機構（（企業））內部的的操作系系統安全全，而不不是分散散、人工工管理每每臺計算算機。實實際上，，如果不不集中管管理操作作系統安安全，相相應的成成本和風風險就會會非常高高。目前前所知道道的安全全入侵事事件，一一半以上上緣于操操作系統統根本沒沒有合理理配置，，或者沒沒有經常常核查及及監控。。操作系系統都是是以默認認安全設設置類配配置的，，因而極極容易受受到攻擊擊。那些人工工更改了了服務器器安全配配置的用用戶，把把技術支支持部門門的資源源都過多多地消耗耗于幫助助用戶處處理口令令查詢上上，而不不是處理理更重要要的網絡絡問題。。考慮到到這些弊弊端，許許多管理理員任由由服務器器操作系系統以默默認狀態態運行。。這樣一一來，服服務器可可以馬上上投入運運行，但但卻大大大增大了了安全風風險。現有技術術可以減減輕管理理負擔。。要加強強機構（（企業））網絡內內操作系系統的安安全，需需要做到到以下三三方面：：首先對網網絡上的的服務器器進行配配置應該該在一個個地方進進行，大大多數用用戶大概概需要數數十種不不同的配配置。然然后，這這些配置置文件的的一個鏡鏡像或一一組鏡像像在軟件件的幫助助下可以以通過網網絡下載載。軟件件能夠自自動管理理下載過過程，不不需要為為每臺服服務器手手工下載載。此外外，即使使有些重重要的配配置文件件，也不不應該讓讓本地管管理員對對每臺服服務器分分別配置置，最好好的辦法法就是一一次性全全部設定定。一旦旦網絡配配置完畢畢，管理理員就要要核實安安全策略略的執行行情況，，定義用用戶訪問問權限，，確保所所有配置置正確無無誤。管管理員可可以在網網絡上運運行（或或遠程運運行）代代理程序序，不斷斷監控每每臺服務務器。代代理程序序不會干干擾正常常操作。。其次，帳帳戶需要要加以集集中管理理，以控控制對網網絡的訪訪問，并并且確保保用戶擁擁有合理理訪問機機構資源源的權限限。策略略、規則則和決策策應在一一個地方方進行，，而不是是在每臺臺計算機機上進行行，然后后為用戶戶系統配配置合理理的身份份和許可可權。身身份生命命周期管管理程序序可以自自動管理理這一過過程，減減少手工工過程帶帶來的麻麻煩。最后，操操作系統統應該配配置成能能夠輕松松、高效效地監控控網絡活活動，可可以顯示示誰在進進行連接接，誰斷斷開了連連接，以以及發現現來自操操作系統統的潛在在安全事事件。1.1.3網絡安全全策略安全策略略是針對對網絡和和系統的的安全需需要，做做出允許許什么、、禁止什什么的規規定，通通常可以以使用數數學方式式來表達達策略，，將其表表示為允允許（安安全的））或不允允許（不不安全的的）的狀狀態列表表。為達達到這個個目的，，可假設設任何給給定的策策略能對對安全狀狀態和非非安全狀狀態做出出公理化化描述。。實踐中中，策略略極少會會如此精精確，網網絡使用用文本語語言描述述什么是是用戶或或系統允允許做的的事情。。這種描描述的內內在歧義義性導致致某些狀狀態既不不能歸于于“允許許”一類類，也不不能歸于于“不允允許”一一類，因因此制定定安全策策略時，，需要注注意此類類問題。。因此安全全策略是是指在一一個特定定的環境境里，為為提供一一定級別別的安全全保護所所必須遵遵守的規規則。1.物理安全全策略目的是保保護計算算機系統統、網絡絡服務器器、打印印機等硬硬件實體體和通信信鏈路免免受自然然災害、、認為破破壞、搭搭線攻擊擊，驗證證用戶的的身份和和使用權權限，防防止用戶戶越權操操作；確確保計算算機系統統有一個個良好的的電磁兼兼容工作作環境；；建立完完備的安安全管理理制度，，防止非非法進入入計算機機控制室室和各種種盜竊、、破壞活活動的發發生。抑抑止和防防止電磁磁泄露，，即Tempest技術，是是物理安安全策略略的一個個主要問問題。目目前主要要防護措措施有兩兩類：一一類是傳傳導發射射的保護護，主要要采取對對電源線線和信息息線加裝裝性能良良好的濾濾波器，，減少傳傳輸阻抗抗和導線線間的交交叉耦合合；另一一類是對對輻射的的防護。。2.訪問控制制策略訪問控制制是網絡絡安全防防范和保保護的主主要策略略，主要要任務是是保證網網絡資源源不被非非法使用用和訪問問，它是是維護網網絡安全全、保護護網絡資資源的重重要手段段。各種種安全策策略必須須相互配配合才能能真正起起到保護護作用，，可以說說訪問控控制是保保證網絡絡安全的的核心策策略之一一。（1）入網訪訪問控制制。為網網絡訪問問提供了了第一層層訪問控控制，它它是用來來控制哪哪些用戶戶能夠登登錄到服服務器并并獲取網網絡資源源，控制制準許用用戶入網網的時間間和準許許在哪個個工作站站入網。。用戶的的入網訪訪問控制制可分為為3個步驟：：用戶名名的識別別與驗證證、用戶戶口令的的識別與與驗證、、用戶帳帳號的默默認限制制檢查。。只要3道關卡中中有任何何一關未未過，該該用戶便便不能進進入該網網絡。（2）網絡權權限控制制。是針針對網絡絡非法操操作所提提出的一一種安全全保護措措施。用用戶和用用戶組被被賦予一一定的權權限。用用戶組可可以訪問問哪些目目錄、子子目錄、、文件和和其他資資源，指指定用戶戶對這些些文件、、目錄、、設備執執行哪些些操作。。根據訪訪問可以以將用戶戶分為特特殊用戶戶（系統統管理員員）、一一般用戶戶，審計計用戶（（負責網網絡的安安全控制制與資源源使用情情況的審審計）3類。用戶對對網絡資源源的訪問權權限可以用用一個訪問問控制表來來描述。（3）網絡服務務器安全控控制。網絡絡服務器的的安全控制制包括：可可以設置口口令鎖定服服務器控制制臺，防止止非法用戶戶修改、刪刪除重要信信息或破壞壞數據；可可以設置服服務登錄時時間限制、、非法訪問問者檢測和和關閉的時時間間隔。。（4）網絡檢測測和鎖定控控制。對非非法的網絡絡訪問，服服務器應以以圖形、文文字或聲音音等形式報報警。3.信息加密策策略。見P5。信息加密的的目的：保保護網內的的數據、文文件、口令令和控制信信息，保護護網上傳輸輸的數據。。常用的方法法：有鏈路路加密、端端點加密和和節點加密密。鏈路加密：：保護網絡絡節點之間間的鏈路信信息安全；；端-端加密：對對源端用戶戶到目的端端用戶的數數據提供保保護；節點加密：：對源節點點到目的節節點之間的的傳輸鏈路路提供保護護。4.網絡安全管管理策略。。除了采用用上述技術術措施外，，加強網絡絡的安全管管理、制定定有效的規規章制度，，對于確保保網絡的安安全、可靠靠運行，將將起到十分分有效的作作用。包括括：確定安安全管理等等級和范圍圍；制定有有關管理章章程和制度度；制定網網絡系統的的維護制度度和應急措措施等。見P5。1.1.4信息安全的的要素雖然網絡安安全同單個個計算機安安全在目標標上并沒有有本質區別別，但是由由于網絡環環境的復雜雜性，網絡絡安全比單單個計算機機安全要復復雜得多。。P5。第一，網絡絡資源的共共享范圍更更加寬泛，，難以控制制。第二，網絡絡支持多種種操作系統統，安全管管理和控制制更為困難難。第三，網絡絡的擴大使使網絡的邊邊界和網絡絡用戶群變變的不確定定，比單機機困難的多多。第四，單機機用戶可以以從自己的的計算機中中直接獲取取敏感數據據。第五，由于于網絡路由由選擇的不不固定性，，很難確保保網絡信息息在一條安安全通道上上傳輸。保證計算機機網絡的安安全，就是是要保護網網絡信息在在存儲和傳傳輸過程中中的可用性性、機密性性、完整性性、可控性性和不可抵抵賴性。P5。（1）可用性。是指得到到授權的實實體在需要要時可以得得到所需要要的網絡資資源和服務務。（2）機密性。。機密性是指指網絡中的的信息不被被非授權實實體（包括括用戶和進進程等）獲獲取與使用用。這些信信息不僅指指國家機密密，也包括括企業和社社會團體的的商業秘密密和工作秘秘密，還包包括個人的的秘密（如如銀行賬號號）和個人人隱私（如如郵件、瀏瀏覽習慣））等。網絡絡在人們生生活中的廣廣泛使用，，使人們對對網絡機密密性的要求求提高。用用于保障網網絡機密性性的主要技技術是密碼碼技術。在在網絡的不不同層次上上有不同的的機制來保保障機密性性。在物理理層上，主主要是采取取電磁屏蔽蔽技術、干干擾及跳頻頻技術來防防止電磁輻輻射造成的的信息外泄泄：在網絡絡層、傳輸輸層及應用用層主要采采用加密、、路由控制制、訪問控控制、審計計等方法來來保證信息息的機密性性。（3）完整性。。完整性是指指網絡信息息的真實可可信性，即即網絡中的的信息不會會被偶然或或者蓄意地地進行刪除除、修改、、偽造、插插入等破壞壞，保證授授權用戶得得到的信息息是真實的的。只有具具有修改權權限的實體體才能修改改信息，如如果信息被被未經授權權的實體修修改了或在在傳輸過程程中出現了了錯誤，信信息的使用用者應能夠夠通過一定定的方式判判斷出信息息是否真實實可靠。（4）可控性。。是控制授權權范圍內的的信息流向向和行為方方式的特性性，如對信信息的訪問問、傳播及及內容具有有控制能力力。首先，，系統要能能夠控制誰誰能夠訪問問系統或網網絡上的數數據，以及及如何訪問問，即是否否可以修改改數據還是是只能讀取取數據。這這要通過采采用訪問控控制等授權權方法來實實現。其次次，即使擁擁有合法的的授權，系系統仍需要要對網絡上上的用戶進進行驗證。。通過握手手協議和口口令進行身身份驗證，，以確保他他確實是所所聲稱的那那個人。最最后，系統統還要將用用戶的所有有網絡活動動記錄在案案，包括網網絡中計算算機的使用用時間、敏敏感操作和和違法操作作等，為系系統進行事事故原因查查詢、定位位，事故發發生前的預預測、報警警，以及為為事故發生生后的實時時處理提供供詳細、可可靠的依據據或支持。。審計對用用戶的正常常操作也有有記載，可可以實現統統計、計費費等功能，，而且有些些諸如修改改數據的““正常”操操作恰恰是是攻擊系統統的非法操操作，同樣樣需要加以以警惕。（5）不可抵賴賴性。也稱為不可可否認性。。是指通信信的雙方在在通信過程程中，對于于自己所發發送或接收收的消息不不可抵賴。。即發送者者不能抵賴賴他發送過過消息和消消息內容，，而接收者者也不能抵抵賴其接收收到消息的的事實和內內容。1.2黑客的概念念及黑客文文化1.2.1黑客的概念念及起源（（P6-7）1.黑客(hacker)：對技術的的局限性有有充分認識識，具有操操作系統和和編程語言言方面的高高級知識，，熱衷編程程，查找漏漏洞，表現現自我。他他們不斷追追求更深的的知識，并并公開他們們的發現，，與其他人人分享；主主觀上沒有有破壞數據據的企圖。。“黑帽子子黑客”，，“白帽子子黑客”，，“灰帽子子黑客”。。現在“黑客客”一詞在在信息安全全范疇內的的普遍含意意是特指對對電腦系統統的非法侵侵入者。2.駭客（cracker）：以破壞壞系統為目目標。是是hacker的一個分支支，發展到到現在，也也有“黑帽帽子黑客””3.紅客（honker）：中國的的一些黑客客自稱“紅紅客”honker。例如中國紅紅客基地。。美國警方：：把所有涉涉及到"利利用"、"借助"、、"通過"或"阻撓撓"計算機機的犯罪行行為都定為為hacking。4.怎樣才算一一名黑客：：1.2.2黑客文化（（P8）1.黑客行為（1）不隨便進進行攻擊行行為。（2）公開自己己的作品。。（3）幫助其他他黑客。（4）義務地做做一些力所所能及的事事情。2.黑客精神（1）自由共享享精神。（2）探索與創創新精神（3）合作精神神3.黑客準則（（P8）（1）不惡意破破壞任何系系統。（2）不修改任任何系統文文件。（3）不輕易地地將要黑的的或黑過的的站點告訴訴別人，不不炫耀自己己的技術。。（4）不入侵或或破壞政府府機關的主主機等。（5）做真正的的黑客，努努力鉆研技技術，研究究各種漏洞洞。1.2.3如何成為一一名黑客（（P9）1.黑客必備的的基本技能能（1）精通程序序設計。（2）熟練掌握握各種操作作系統。（3）熟悉互聯聯網與網絡絡編程。2.如何學習黑黑客技術（1）濃厚的興興趣。（2）切忌浮躁躁，耐的住住寂寞（3）多動手實實踐（4）嘗試多次次失敗1.3針對信息安安全的攻擊擊（P10）在正常情況況下，有一一個信息流流從一個信信源(例如一個文文件或主存存儲器的一一個區域)流到一個目目的地（例例如另一個個文件或一一個用戶））時，它的的信息流動動是這樣的的：當產生攻擊擊時，有以以下4種情況:上述4種情況又可可以按照攻攻擊的主動動性來分為為兩類：主動攻擊和被動攻擊。。1.3.1被動攻擊（（P10）本質上是在在傳輸中的的竊聽或監監視，其目目的是從傳傳輸中獲得得信息。類類被動攻擊擊：析出消消息內容和和通信量分分析。1.3.2主動攻擊（（P11）攻擊的第二二種類型進一步劃分分為四類：：偽裝、重重放、篡改改消息和拒拒絕服務。。主動攻擊表表現了與被被動攻擊相相反的特點點。1.4.1網絡安全體體系的概念念（P11）網絡安全防防范是一項項復雜的系系統工程，，是安全策策略、多種種技術、管管理方法和和人們安全全素質的綜綜合。韋氏氏字典對““體系”一一詞的定義義：（1）各個組成成部分的搭搭配和排列列，建筑物物上承載重重力或外力力部分的構構造。（2）建造的藝藝術或科學學建造的方方法、風格格。（3）計算機或或計算機系系統各部分分組織與集集成的方式式。所謂網絡安安全防范體體系，就是是關于網絡絡安全防范范系統的最最高層概念念抽象，它它由各種網網絡安全防防范單元組組成，各組組成單元按按照一定的的規則關系系能夠有機機集成起來來，共同實實現網絡安安全目標。。1.4.2網絡安全體體系的用途途（P12）主要意義（P12）。1.4網絡安全體體系（P11）1.4.3網絡安全體體系的組成成（P12）網絡安全體體系由組織織體系、技技術體系、、管理體系系組成。組織體系：：由若干工工人或工作作組構成。。技術體系：：從技術角角度考察安安全，通過過綜合集成成方式而形形成的技術術集合。例例如，網絡絡系統中（（P12）管理體系：是是根據具體網網絡的環境而而采取的管理理方法和措施施的集合。五五方面內容：：（P12）。1.4.4網絡安全體系系模型發展狀狀況（P12）1.PDRR模型。（P12）美國國防部提提出的動態網網絡安全策略略模型，是Protection、Detection、Recovery、Response的縮寫。如圖圖1-4。2.ISS的動態信息安安全模型。（（P13）美國國際互聯聯網安全系統統公司（ISS）的自適應網網絡安全模型型P2DR，是ISS提供的安全解解決方案的動動態信息安全全基本理論依依據。其中安安全策略描述述系統的安全全需求，以及及如何組織各各種安全機制制實現系統的的安全需求。。如圖1-5。1.5信息安全的三三個層次（P13）1.5.1安全立法。（（P13）我國從1994年起，已針對對信息系統安安全保護、國國際聯網管理理、商用密碼碼管理、計算算機病毒防治治和安全產品品檢測與銷售售5方面制定并發發布了《中華人民共和和國計算機信信息系統安全全保護條例》。1.5.2安全管理。（（P14）三分技術，七七分管理1.5.3安全技術措施施。（P14）主機安全技術術；身份認證證技術；訪問問控制技術；；密碼技術；；防火墻技術術；網絡入侵侵檢測技術；；安全審計技技術；安全管管理技術；系系統漏洞檢測測技術作業P159、靜夜夜四無無鄰，，荒居居舊業業貧。。。12月月-2212月月-22Thursday,December8,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。09:45:5109:45:5109:4512/8/20229:45:51AM11、以我獨獨沈久，，愧君相相見頻。。。12月-2209:45:5109:45Dec-2208-Dec-2212、故人江江海別，，幾度隔隔山川。。。09:45:5109:45:5109:45Thursday,December8,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2209:45:5109:45:51December8,202214、他鄉生白發發，舊國見青青山。。08十二二月20229:45:51上上午09:45:5112月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月229:45上上午午12月月-2209:45December8,202216、行行動動出出成成果果，，工工作作出出財財富富。。。。2022/12/89:45:5109:45:5108December202217、做前，能夠夠環視四周；；做時，你只只能或者最好好沿著以腳為為起點的射線線向前。。9:45:51上午9:45上上午09:45:5112月-229、沒有失敗，，只有暫時停停止成功！。