第1章計算機網絡平安概述及環境搭建1.主要內容1.1計算機網絡安全概述11.2網絡安全威脅21.3網絡安全防御體系31.4網絡安全實驗環境的搭建42.1.1.1網絡平安的開展史1.網絡平安問題的產生互聯網較強的開放性、分散性和交互性等特點，提供信息共享、信息效勞和信息交流同時帶來很多平安問題：1信息泄漏、信息污染、信息不可控等。如，資源未授權訪問、未授權信息流出現、系統拒絕信息流和系統否認等。

2某些個人或者組織出于某些特殊目的進行信息泄露、信息破壞、信息假冒侵權和意識形態的信息滲透。

3隨著社會的高度信息化、社會的“命脈”和核心控制系統有可能面臨惡意的攻擊而導致損壞和癱瘓。

4網絡應用越來越廣泛，但是控制權分散的管理問題也日益顯現這也使得信息安全問題變得廣泛而復雜。3.1.1.1網絡平安的開展史2.網絡平安的現狀 目前各種領域的計算機犯罪和網絡侵權行為在數量、規模、手段的方面都已經到了令人吃驚的地步。 美國每年由于網絡平安問題而遭受的經濟損失超過170億美元；德國、英國也均在數十億美元以上，法國為100億法郎；日本、新加坡問題也很嚴重。我國的網絡平安事件的發生率也在不斷的上升。據我國國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)統計，2007年上半年我國發生的各類網絡平安事件數大大超出了06年，甚至有些事件超出了06年全年該類事件的總和。4.1.1.1網絡平安的開展史3.網絡平安的開展趨勢1〕實施網絡攻擊主體的變化 網絡攻擊行為已經從原先的由好奇心重、喜歡炫耀攻防能力的興趣型黑客群向更具犯罪思想的贏利型的攻擊人群過渡。2〕網絡攻擊的主要手段的變化 網絡攻擊的手段很多，主要包含拒絕效勞攻擊、非法接入、IP欺騙、網絡嗅探、中間人攻擊、木馬攻擊以及信息垃圾等。 隨著攻擊技術的不斷開展，攻擊的手段也由原來單一的攻擊手段向結合多種攻擊手段的綜合性攻擊開展。如網絡嗅探、拒絕效勞、木馬等攻擊手段的結合將帶來更大的危害。3〕企業內部對平安威脅的認識的變化 隨著企業網絡邊界平安體系的根本完善，網絡平安事件仍然不斷發生。內部員工平安管理上的缺乏和員工上網使用不當等行為帶來的平安風險更為嚴重。5.1.1.2網絡平安的定義 國際標準化組織(ISO)對計算機系統平安的定義是：“為數據處理系統建立和采用的技術和管理的平安保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露〞。運行系統的安全，即要保證信息處理和傳輸系統的安全

網絡安全網絡上系統信息的安全

網絡上信息傳輸的安全，即信息傳輸后果的安全

網絡上信息內容的安全，即所謂狹義的“信息安全”

6.1.1.3網絡平安的相關法規 保證計算機網絡的平安不僅取決于在技術上的進步，還依賴社會法律、法規的完善。 西方興旺國家，特別是美國和日本是計算機網絡平安上的立法比較完善的國家，而一般的開展中國家和第三世界國家網絡平安上的立法還不夠完善。 在我國，政府對信息平安和網絡平安問題非常重視，并積極推動網絡平安管理和平安立法工作，目前網絡平安方面的法規已經寫入中華人民共和國憲法。1982年8月23日寫入中華人民共和國商標法，于1984年3月12日寫入中華人民共和國專利法，于1988年9月５日寫入中華人民共和國保守國家秘密法，于1993年9月2日寫入中華人民共和國反不正當競爭法。 近些年，我國還陸續公布了中華人民共和國計算機信息系統平安保護條例?、?中華人民共和國計算機信息網絡國際聯網管理暫行規定?、?計算機信息網絡國際聯網平安保護管理方法?、?中國互聯網絡域名注冊暫行管理方法?、?中國互聯網域名注冊實施細那么?等法規性文件。并在新刑法中明確了計算機犯罪與計算機違法行為的區別。7.1.1.4網絡平安的評價標準1.國際的評價標準 在國際上，發布于1985年的美國國防部可信計算機系統評價標準(TrustedComputerStandardsEvaluationCriteria：TCSEC)，即網絡平安橙皮書，是世界上第一個關于信息產品平安的評價標準。類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗滲透能力B3安全區域存取監控、高抗滲透能力AA驗證設計形式化的最高級描述和驗證8.1.1.4網絡平安的評價標準2.國內的評價標準 在我國根據?計算機信息系統平安保護等級劃分準那么?，1999年10月經過國家質量技術監督局批準發布準那么將計算機平安保護劃分為以下五個級別。第四級第三級第二級第一級結構化保護

平安標記保護級系統審計保護級

用戶自主保護級

第五級訪問驗證保護級

9.1.2.1網絡平安威脅的來源1.內部威脅 (1)錯誤使用和濫用關鍵、敏感數據和計算資源。無論是有不滿情緒的員工的成心破壞，還是沒有訪問關鍵系統權限的員工因誤操作而進入關鍵系統，由此而造成的數據泄露、偷竊、損壞或刪除將給企業帶來很大的負面影響。 (2)因不當使用Internet接入而降低生產率。不當使用Internet資源不但會浪費員工的時間，還會增加計算機網絡的負擔，降低了人員與網絡的工作效率。 (3)如果工作人員發送、接收和查看攻擊性材料，可能會形成敵意的工作環境，從而增大內耗。通常，對內部威脅的防御往往只能通過對內部員工的教育來解決，使之理解網絡平安的重要性。如提示員工保管好自己的帳號和密碼，不要讓別人來使用，密碼還需妥善保管且需定期更換。另外，還要警惕不要輕易直接翻開外來的文件，而是先經過病毒掃描后再進行翻開。10.1.2.1網絡平安威脅的來源2.外部威脅 外部威脅主要來自網絡外部的入侵，這種入侵行為通常不易被發現，造成的影響也比較嚴重，而且當今來之外部的威脅也越來越多，發動這種攻擊或入侵行為的可能來自網絡外部的任何人，如黑客或者網絡平安愛好者，因此對攻擊的目的和來源也很難判斷。 數據通信鏈路很容易進行接入竊聽，因此它往往是不平安的，也很容易成為外部威脅的目標，如果與互聯網相連，那么最容易受到此類的攻擊。 對外部威脅的防范也有很多方法，可以對數據通信鏈路進行加密，例如，使用虛擬專用網(VPN)技術對不平安的通信鏈路進行加密傳輸，也可以通過設置訪問控制列表(ACL)來限制某些通信數據等。11.1.2.2網絡平安威脅的種類非授權訪問非授權訪問一般是沒有事先經過同意，通過假冒、身份攻擊、系統漏洞等手段來獲取系統的訪問權限，從而非法用戶進入網絡系統來使用網絡資源，造成資源的消耗或損壞，損害合法用戶的利益。拒絕服務拒絕服務(DenialofService,DoS)是一種破壞性的攻擊，而且危害性很大，攻擊者通過某種方法使得系統響應減慢甚至癱瘓，從而阻止合法用戶獲得服務。

數據欺騙數據欺騙主要包括捕獲、修改和破壞可信主機上的數據攻擊者還有可能對通信線路上的網絡通信進行重定向。12.1.3.1網絡平安防御體系的層次結構1.物理平安性 物理平安也即物理環境的平安性，它包括通信線路的平安，物理設備的平安，機房的平安等。它主要涉及到：防火、防靜電、防雷擊、防電磁輻射和防盜等。例如，在機房內可配置UPS不間斷電源，以保證停電時或異常情況時切換到由UPS供電，使計算機系統內存數據及程序不受影響。13.1.3.1網絡平安防御體系的層次結構2.操作系統平安性 該層次的平安問題主要來自網絡中主機上使用的操作系統的平安，如WindowsNT/2000/XP/2003/vista系列，Linux/Unix系列，Netware以及其他專用操作系統。其平安主要包括操作系統的平安配置、操作系統的漏洞檢測、操作系統的漏洞修補等，它是衡量網絡操作系統平安性、可靠性的依據。14.1.3.1網絡平安防御體系的層次結構3.網絡的平安性 網絡的平安問題一般是指網絡信息的平安性，包括網絡身份認證、網絡資源的訪問控制，數據傳輸的保密與完整性，遠程接入的平安，域名系統的平安，路由系統的平安，防火墻應用，病毒防范和入侵檢測的手段等手段。15.1.3.1網絡平安防御體系的層次結構4.應用平安性 該層次的平安考慮業務網絡對用戶提供效勞所采用的應用軟件和數據的平安性，應用層平安要求能保護合法用戶對數據的合法存取，阻止非法用戶對數據進行非授權的訪問、轉移、修改和破壞。它包括身份認證、訪問控制、數據庫系統中數據的平安性等幾方面。16.1.3.1網絡平安防御體系的層次結構5.管理平安性 網絡平安管理主要包括平安技術和設備的管理、平安管理制度、部門與人員的組織規那么等。管理的制度化將對整個網絡平安起著重要作用，嚴格的平安管理制度、明確的部門平安職責劃分、合理的人員角色配置都可以在很大程度上降低其他層次的平安漏洞。17.1.3.2網絡平安防御體系設計 網絡平安防御體系是一個動態的、基于時間變化的概念，為確保網絡與信息系統的抗攻擊性能，保證信息的完整性、可用性、可控性和不可否認性，在設計網絡平安防御體系時需結合不同的平安保護因素。多層、平安互動的平安防護將大大增加黑客攻擊的難度和本錢，因此他們對網絡系統的攻擊也將大大減少?；謴皖A警安全管理攻擊防范應急響應攻擊檢測18.1.3.3網絡平安防御體系工作流程1.攻擊前的防范 攻擊前的防范主要是負責對日常的防御工作及對實時的消息進行防御。一般防火墻作為第一道防范，負責控制進入網絡的訪問控制，即進行了日常的防御工作，也對事實的消息進行了防御；接著，系統漏洞檢測系統、平安評估軟件一個從內一個從外，詳細地掃描平安漏洞并一一列舉系統的漏洞，并給出最正確解決方法。另外，郵件過濾系統、PKI、VPN等都是進行日常的防御工作。19.1.3.3網絡平安防御體系工作流程2.攻擊過程中的防范 攻擊過程中的防范主要是負責對實時的攻擊做出反響。預警系統、入侵檢測系統檢測通過防火