第6章网络安全基础

合集下载

网络安全基础第六章——网络入侵与攻击技术

实例
主要内容：
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为。攻击原理是：利用各种手段不断向目标主机发送虚假请求或垃圾信息等，使目标主机一直处于忙于应付或一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3．入侵者的攻击手段
陷阱门(Trapdoor)陷阱门（6）外部攻击；通常是指编程员在设计系统时有意建立的进入手段。当（7）内部攻击；程序运行时，在正确的时间（8）特洛伊木马。按下正确的键，或提供正确的参数，你就能绕过程序提特洛伊木马程序是指任何提供了隐藏的与用户不希望供的正常安全检查和错误跟踪检查的功能的程序。
是手段，在整个入侵过程中都存在攻击。入侵的目的就是抢占资源，但它不一定有攻击能力，可能雇佣攻击者来达到入侵目的。因此，攻击是由入侵者发起并由攻击者实现的一种‚非法‛行为。
入侵：成功的攻击。提示：在某种程度上，攻击和入侵很难区别。
3．入侵者的攻击手段
在网上用户能利用IE等浏览器进（1）冒充行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅（2）篡改报纸、电子商务等。然而一般的用（3）重放户恐怕不会想到有这些问题存在：正在访问的网页已被黑客篡改过，（4）服务拒绝网页上的信息是虚假的！例如黑客重放攻击与cookie 将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏我们监听http数据传输的截获的敏感数据览目标网页的时候，实际上是向黑大多数就是存放在cookie中的数据。其实在客服务器发出请求，那么黑客就能 web安全中的通过其他方式（非网络监听）盗达到欺骗的目的了。取cookie与提交cookie也是一种重放攻击。我们有时候可以轻松的复制别人的cookie直接获得相应的权限。

网络安全架构设计

安全培训与意识普及
在网络安全架构设计实施中，安全培训与意识普及至关重要。员工安全意识培训、定期安全演练以及安全意识普及活动可以有效提高整体安全水平。
持续漏洞管理
漏洞扫描与修复
漏洞管理工具介绍
定期进行漏洞扫描，及时修复发使用专业工具管理漏洞，提
现的漏洞
高效率
安全补丁管理
及时应用安全补丁，确保系统安全
医疗行业网络安全架构设计案例
医疗行业网络安全挑战
案例研究分享
数据隐私保护
医疗数据安全案例
医疗行业网络安全解决方案
医疗系统加密
政府机构网络安全架构设计案例
政府机构网络安全要求
01 信息保密性
政府机构网络安全实施
02 网络监控系统
实际案例分析
03 政府数据泄露案例
跨国企业网络安全架构设计案例
跨国企业网络安全挑战
AI技术普及
5G时代的网络安全挑战
高速传输风险
区块链技术对网络安全的影响
去中心化特点
结语
引用名言
01 ቤተ መጻሕፍቲ ባይዱ励思考
鼓励话语
02 激励行动
感谢致辞
03 感恩回馈
网络安全架构设计展望
安全性
隐私保护数据加密
稳定性
容灾备份系统恢复
可扩展性
系统升级性能优化
灵活性
策略调整应急响应
网络安全架构设计展望
假冒身份
02 伪装成信任的实体获取信息或权限
人肉搜索
03 利用社交网络搜集目标信息进行攻击
恶意软件
病毒植入文件进行破坏并传播
蠕虫自我复制传播
木马偷窃信息或控制系统
● 02

计算机与网络安全基础

嘎吱上尉

1943年出生于美国乡村的德拉浦，从小就表现出了极强的反叛性格，这样的性格决定了日后他那特立独行的骇客面目。不过尽管他的个性孤辟，但是他却拥有了一个异常发达的大脑，这使他常常可以比别人更快地获得新的知识。上世纪60年代初期，德拉浦开始接触到计算机这个新生的事物，尽管当时的计算机还只是个庞大、繁杂、呆板的家伙，但是这已经足以令德拉浦迷恋得如痴如醉了。
15

迷失在网络世界的小男孩

凯文· 米特尼克是第一个在美国联邦调查局通缉海报上露面的黑客。由于当时的他只有十几岁，因此被称为是“迷失在网络世界的小男孩”。
16

蠕虫病毒的创始人

罗伯特· 莫里斯，这位美国国家计算机安全中心首席科学家的儿子，康奈尔大学的高材生，在1988年的第一次工作过程中戏剧性地散播了有史以来的第一条网络蠕虫病毒。在这次事故中，成千上万台电脑受到了影响，并导致了部分电脑崩溃。
13

Linux并不是一件刻意创造的杰作，而完全是日积月累的结果。它是经验、创意和一小块一小块代码的合成体，是不断的积累使其形成了一个有机的整体。Linux初期的许多编程工作是托瓦兹在Sindair QL机器上完成的，这台机器花掉了他2000多美元，对他来说这可是一笔巨额投资。
14

19

漏洞扫描网络嗅探计算机病毒特洛伊木马 DoS和DDoS 密码恢复和破解网络应用攻击无线攻击
20
1.3.2 用户必备的防护意识和措施

为了加强网络安全，用户必须具备相应的防护意识和采用各种可能的措施。下面介绍一些较为常用的防护方法和措施。

第6章计算机网络安全

（3）漏洞和后门的区别漏洞和后门是不同的，漏洞是不可避免的，无论是硬件还是软件都存在着漏洞；而后门是完全可以避免的。漏洞是难以预知的，而后门是人为故意设置的。
2.操作系统的安全
（1）Unix操作系统 ①Unix系统的安全性：控制台安全是Unix系统安全的一个重要方面，当用户从控制台登录到系统上时，系统会提示一些系统的有关信息。提示用户输入用户的使用账号，用户输入账号的内容显示在终端屏幕上，而后提示用户输入密码，为了安全起见，此时用户输入的密码则不会显示在终端屏幕上。如果用户输入错误口令超过3次后，系统将锁定用户，禁止其登录，这样可以有效防止外来系统的侵入。
②Windows 2000的安全漏洞资源共享漏洞、资源共享密码漏洞、Unicode 漏洞、全拼输入法漏洞、Windows 2000的账号泄露问题、空登录问题等。这些漏洞除了空登录问题需要更改文件格式从FAT32到NTFS 外，其余的漏洞在Microsoft最新推出的补丁中已经得到纠正。
3.Windows XP操作系统
(1)公钥密码体制基本模型明文：作为算法输入的可读消息或数据。加密算法：加密算法对明文进行各种各样的转换。公共的和私有的密钥：选用的一对密钥，一个用来加密，一个用来解密。解密算法进行的实际转换取决于作为输入提供的公钥或私钥。密文：作为输出生成的杂乱的消息，它取决于明文和密钥，对于给定的消息，两种不同的密钥会生成两种不同的密文。解密算法：这种算法以密文和对应的私有密钥为输入，生成原始明文。
（2）加密技术用于网络安全通常有两种形式：
面向网络服务的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术，不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求，对电子邮件等数据实现了端到端的安全保障。

网络安全配置作业指导书

网络安全配置作业指导书第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.2 常见网络安全威胁 (4)1.3 网络安全防护策略 (4)第2章操作系统安全配置 (5)2.1 Windows系统安全配置 (5)2.1.1 系统更新与补丁管理 (5)2.1.2 用户账户与权限管理 (5)2.1.3 防火墙配置 (5)2.1.4 安全策略设置 (6)2.2 Linux系统安全配置 (6)2.2.1 系统更新与软件包管理 (6)2.2.2 用户账户与权限管理 (6)2.2.3 防火墙配置 (6)2.2.4 安全加固 (6)2.3 macOS系统安全配置 (6)2.3.1 系统更新与软件管理 (6)2.3.2 用户账户与权限管理 (7)2.3.3 防火墙配置 (7)2.3.4 安全设置与防护 (7)第3章网络设备安全配置 (7)3.1 防火墙安全配置 (7)3.1.1 基本配置 (7)3.1.2 访问控制策略 (7)3.1.3 网络地址转换（NAT） (7)3.1.4 VPN配置 (7)3.2 路由器安全配置 (8)3.2.1 基本配置 (8)3.2.2 访问控制 (8)3.2.3 路由协议安全 (8)3.2.4 网络监控与审计 (8)3.3 交换机安全配置 (8)3.3.1 基本配置 (8)3.3.2 VLAN安全 (8)3.3.3 端口安全 (8)3.3.4 链路聚合与冗余 (8)3.3.5 网络监控与审计 (9)第4章应用层安全配置 (9)4.1 Web服务器安全配置 (9)4.1.1 保证Web服务器版本更新 (9)4.1.2 禁用不必要的服务和模块 (9)4.1.4 限制请求方法 (9)4.1.5 文件权限和目录访问控制 (9)4.1.6 配置SSL/TLS加密 (9)4.2 数据库服务器安全配置 (9)4.2.1 数据库软件更新与补丁应用 (9)4.2.2 数据库用户权限管理 (9)4.2.3 数据库加密 (9)4.2.4 备份与恢复策略 (9)4.2.5 日志审计与监控 (9)4.3 邮件服务器安全配置 (10)4.3.1 邮件传输加密 (10)4.3.2 邮件用户身份验证 (10)4.3.3 防病毒和反垃圾邮件措施 (10)4.3.4 邮件服务器访问控制 (10)4.3.5 日志记录与分析 (10)4.3.6 定期更新和漏洞修复 (10)第5章网络边界安全防护 (10)5.1 入侵检测系统（IDS）配置 (10)5.1.1 IDS概述 (10)5.1.2 配置步骤 (10)5.1.3 注意事项 (10)5.2 入侵防御系统（IPS）配置 (11)5.2.1 IPS概述 (11)5.2.2 配置步骤 (11)5.2.3 注意事项 (11)5.3 虚拟专用网络（VPN）配置 (11)5.3.1 VPN概述 (11)5.3.2 配置步骤 (11)5.3.3 注意事项 (12)第6章无线网络安全配置 (12)6.1 无线网络安全基础 (12)6.1.1 无线网络安全概述 (12)6.1.2 无线网络安全协议 (12)6.1.3 无线网络安全关键技术 (12)6.2 无线接入点（AP）安全配置 (12)6.2.1 无线接入点概述 (12)6.2.2 无线接入点安全配置原则 (12)6.2.3 无线接入点安全配置步骤 (12)6.3 无线网络安全监控与防护 (13)6.3.1 无线网络安全监控 (13)6.3.2 无线网络安全防护措施 (13)第7章端点安全防护 (13)7.1 端点防护概述 (13)7.2.1 选择合适的防病毒软件 (13)7.2.2 防病毒软件安装与配置 (14)7.3 端点检测与响应（EDR）系统配置 (14)7.3.1 EDR系统概述 (14)7.3.2 EDR系统配置 (14)第8章数据安全与加密 (14)8.1 数据加密技术 (14)8.1.1 加密概述 (14)8.1.2 对称加密 (15)8.1.3 非对称加密 (15)8.1.4 混合加密 (15)8.2 数字证书与公钥基础设施（PKI） (15)8.2.1 数字证书 (15)8.2.2 公钥基础设施（PKI） (15)8.2.3 数字签名 (15)8.3 数据备份与恢复策略 (15)8.3.1 数据备份 (15)8.3.2 数据恢复 (15)8.3.3 数据备份与恢复策略制定 (15)第9章安全审计与监控 (16)9.1 安全审计策略 (16)9.1.1 审计策略概述 (16)9.1.2 审计策略制定原则 (16)9.1.3 审计策略内容 (16)9.2 安全事件监控 (16)9.2.1 安全事件监控概述 (16)9.2.2 安全事件监控策略 (16)9.2.3 安全事件监控技术 (17)9.3 安全日志分析 (17)9.3.1 安全日志概述 (17)9.3.2 安全日志类型 (17)9.3.3 安全日志分析策略 (17)第10章网络安全防护体系构建与优化 (17)10.1 网络安全防护体系设计 (17)10.1.1 防护体系概述 (18)10.1.2 防护体系架构设计 (18)10.1.3 安全策略制定 (18)10.2 安全防护策略的实施与评估 (18)10.2.1 安全防护策略实施 (18)10.2.2 安全防护效果评估 (18)10.3 持续安全优化与改进措施 (18)10.3.1 安全优化策略 (18)10.3.2 安全改进措施 (19)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保障国家信息安全、维护社会稳定、保护企业及个人信息资产的关键环节。

第6章--IPv6安全机制

3. SA用到的主要参数
SA用到的主要参数: ⑥隧道目的地； ⑦路径MTU； ⑧AH信息（包括认证算法、密钥、密钥生存期，以及与 AH一起使用的其他参数）； ⑨ESP信息（包括加密和认证算法、密钥、密钥生存期、初始值，以及与ESP一起使用的其他参数）
6.2.4 IPSec操作模式
传输模式保护IP协议包（分组）的有效荷载（数据部分）
6.2.1 IPSec协议概述
IPSec提供的安全服务是基于IP层的 IPSec是一种基于一组独立的共享密钥机制, 来实现认证、完整性验证和加密服务的网络安全协议
6.2.1 IPSec协议概述
IPSec通过设计安全传输协议身份认证首部（ AH）、封装安全荷载（ESP）, 以及密钥交换协议（Internet Key Exchange, IKE）来实现网络安全功能和目标 IPSec提供的网络安全功能
6.6.1 邻居缓存欺骗攻击
6.6.2 邻居不可达检测攻击
但检测主机开始进行邻居不可达检测的时候, 攻击主机可以发送虚假的邻居通告报文, 详细的邻居通告报文信息
6.6.2 邻居不可达检测攻击
重复地址检测的过程
攻击主机可以通过伪造一个NA告诉受攻击主机申请的IPv6地址已被占用, 使得受攻击主机不得使用该IPv6地址进行网络通信, 从而达到欺骗请求主机
6. 过渡机制带来的安全问题隧道帮助了入侵者避开进入过滤检测特别是自动隧道机制，容易引入DoS、地址盗用和服务欺骗
6.2 IPSec协议
6.2.1 IPSec协议概述 6.2.2 IPSec体系结构 6.2.3 IPsec安全关联 6.2.4 IPSec操作模式 6.2.5 IPSec模块对IP分组的处理 6.2.6 IPSec部署 6.2.7 IPSec存在问题分析

网络安全基础第三版课后完整答案

网络安全基础第三版课后完整答案加油计算机网络安全第一章：1、什么是OSI安全体系结构？安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同？被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类？被动攻击：小树内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务4、列出并简要定义安全服务的分类？认证，访问控制，数据机密性，数据完成性，不可抵赖性5、列出并简要定义安全机制的分类？加密，数字签名，访问控制，数据完整性，可信功能，安全标签，事件检测，安全审计跟踪，认证交换，流量填充，路由控制，公证，安全恢复。

第二章：1、对称密码的基本因素是什么？明文，加密算法，秘密密钥，密文，解密算法2、加密算法使用的两个基本功能是什么？替换和转换3、两个人通过对称密码通信需要多少个密钥？1个4、分组密码和流密码的区别是什么？流密码是一个比特一个比特的加密，分组密码是若干比特（定长）同时加密。

比如des是64比特的明文一次性加密成密文。

密码分析方面有很多不同。

比如流密码中，比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同。

比如流密码通常是在特定硬件设备上实现。

分组密码既可以在硬件实现，也方便在计算机上软件实现。

5、攻击密码的两个通用方法是什么？密钥搜索和夯举方法6、什么是三重加密？在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重DES 的强度大约和112-bit的密钥强度相当。

三重DES有四种模型。

（a）使用三个不同密钥，顺序进行三次加密变换（b）使用三个不同密钥，依次进行加密-解密-加密变换（c）其中密钥K1=K3,顺序进行三次加密变换（d）其中密钥K1=K3，依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密？3DES加密过程中的第二步使用的解密没有密码方面的意义。

它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么？对于链路层加密，每条易受攻击的通信链路都在其两端装备加密设备。

《网络安全法教程》 6+第六章网络运行安全一般规定

▪ （二）网络安全等级保护工作具体内容和要求 ▪ 1、定级备案定级备案是整个网络安全等级保护的首要环节，是开展网络建设、整改、测评、监督检查等后续工作的重要基础。 ▪ 2、自查、测评与整改自查、测评和整改是公安机关执行网络安全等级保护检查工作的重要内容，至少每年一次的自查与测评，也是公安机关实现对网络进行监督管理的重要手段，
▪ （三）法律责任及案例分析
《网络安全法》第六十一条规定，网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
网络安全法教程
第六章网络运行安全一般规定
第六章网络运行安全一般规定
▪ 【内容提要】本章介绍了网络运营者、网络设备、产品和服务、其他相关行为主体的网络运行安全要求，网络安全的支持与协作，以及涉密网络的安全保护要求，力图使读者了解《网络安全法》中网络运行安全的一般规定。
第一节网络运营者的安全要求
第二节网络设备、产品和服务的安全要求
▪ 一、网络设备和服务的通用安全要求
▪ （一）网络产品和服务的安全基线
▪ 1、不得设置恶意程序
2、安全风险应对要求
▪ 3、安全维护要求
4、用户信息的收集及保护要求
▪ （二）网络产品和服务安全的审查办法
作为《网络产品和服务安全通用要求》（送审稿）的配套法规，《网络产品和服务安全审查办法（试行）》首次明确了对“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”进行安全审查的要求，审查内容是产品和服务的“安全性、可控性”，而“安全、可控”的具体标准又由《信息技术产品安全可控评价指标》（GB/T 36630-2018）进行规定。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

（4）系统性原则（5）后退性原则
4．网络安全策略包括的内容（1）物理安全；（2）访问控制；（3）信息加密；（4）网络用户的安全责任；（5）系统管理员的安全责任；（6）安全管理策略；（7）检测到安全问题时的策略。
6.3 网络安全的常见技术措施
6.3.1 访问控制技术 6.3.2 网络入侵检测系统与安全漏洞扫描 6.3.3 病毒防范技术 6.3.4 加密技术 6.3.5 数据备份与恢复技术 6.3.6 建立完善的安全管理制度 6.3.7 加强主机安全
审计管理加密访问控制
用户验证政策、法律法规、安全策略
网络信息安全模型图
这三个层次是：（1）法律政策，包括规章制度、安全标准、安全策略以及网络安全教育。它是安全的基石，是建立安全管理的标准和方法；（2）技术方面的措施，如防火墙技术、防病毒、信息加密、身份验证以及访问控制等；（3）审计与管理措施，包括技术措施与社会措施。实际应用中，主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检查等措施。当系统一旦出现了问题，审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。
6.3.1访问控制技术
访问控制是网络安全防范和保护的主要方法，它的主要任务是保证网络资源不被非法使用和访问，而只允许有访问权限的用户获得网络资源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的操作。它是保证网络安全最重要的核心策略之一。 1．用于入网访问控制的设备—防火墙 2．通过路由器或交换机访问控制列表的设置实现访问控制功能 3．对远程网络用户接入进行控制的技术—虚拟专用网（VPN）技术 4．基于用户名和口令的访问控制机制
（l）加密机制（2）数字签名机制（3）访问控制机制（4）数据完整性机制（5）鉴别交换机制（6）业务流填充机制（7）路由控制机制（8）公证机制
6.2.3 计算机系统安全等级评价标准
当前，网络与信息安全问题日益突出，黑客攻击、信息泄密以及病毒泛滥所带来的危害引起了世界各国尤其是信息发达国家的高度重视。20 世纪70年代后期，特别是进入90年代以来，美国、德国、英国、加拿大、澳大利亚、法国等西方发达国家为了解决计算机系统及产品的安全评估问题，纷纷制订并实施了一系列安全标准。如：美国国防部制订的“彩虹” 系列标准，其中最具影响力的是“可信计算机系统标准评估准则”（简称 TCSEC，桔皮书）。
从广义的角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，如场地环境保护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机辐射等。
6.1.2理解网络安全的含义
3．当前，仍有大量网络用户只关注网络系统的功能，而忽视网络的安全，往往在碰到网络安全事件后，才被动地从发生的现象中注意系统应用的安全问题。广泛存在着重应用轻安全，安全意识淡薄的普遍现象。因此，加强网络安全知识的宣传和教育，学习有关网络安全的法律法规和一定的防范技术，也是保护网络安全的一项重要工作。
6.2 网络信息安全系统
6.2.1网络信息安全系统模型 6.2.2 ISO的网络安全体系结构标准 6.2.3 计算机系统安全等级评价标准 6.2.4建立网络安全策略
网络安全并不只是简单的网络安全防护设施的叠加，而是一个涉及到法律法规、安全管理制度和标准、安全策略、安全服务、安全技术手段以及具体安全防护设备的一个极其复杂的系统，尤其对于越来越庞大的互联网络来说更是如此。
国际标准化组织（ISO）在ISO 7498-2文献中指出：安全就是最大程度地减少数据和资源被攻击的可能性。
什么是网络安全？
从狭义的角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，确保计算机和计算机网络系统的硬件、软件及其系统中的数据，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统能连续可靠正常的运行，网络服务不中断。计算机网络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学等等多种学科的综合性科学。
对于最终用户；对于信息提供者、系统运营商以及网络管理者；对于政府管理部门；对于社会教育和意识形态。
6.1.3网络安全要素
1．保密性 2．完整性 3．可用性威胁
根据各种网络威胁产生的原因，我们把网络威胁归纳为以下4类： 1.软件系统自身的安全缺陷导致的威胁（1）操作系统和应用软件自身存在着安全漏洞。（2）网络环境中的网络协议存在安全漏洞。 2.非法进行网络操作带来的威胁（1）拒绝服务的攻击（2）非授权访问网络资源（3）网络病毒 3.网络设施本身和运行环境因素的影响造成的威胁
4.网络规划、运行管理上的不完善带来的威胁
6.1.5黑客对网络的常见攻击手段
黑客对网络的攻击手段可以说多种多样，下面介绍几种常见攻击手段。 1．通过获取口令，进行口令入侵 2．放置特洛伊木马程序进行攻击 3．拒绝服务攻击 4．电子邮件攻击 5．采取欺骗技术进行攻击 6．寻找系统漏洞，入侵系统 7．利用缓冲区溢出攻击系统
6.1.6网络安全的重要性
就目前网络应用和发展情况来看，计算机网络安全的重要性具体表现在以下几个方面。 1．随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂、系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量的不断增加，软件规模的空前膨胀，任何隐含的缺陷、失误、人为的破坏都会造成巨大的损失。
近几年来，随着我国信息化建设的迅猛发展，国家对计算机信息系统安全问题非常关注，为此公安部提出并组织制定了强制性国家标准《计算机信息安全保护等级划分准则》，该准则于1999年9月13日经国家质量技术监督局发布。
美国国防部公布的《可信计算机系统标准评估准则》（“桔皮书”）简介《可信计算机系统标准评估准则》对多用户计算机系统安全级别的划分进行了规定。它将计算机安全由低到高分为四类7级： D1、C1、C2、B1、B2、B3、A1。见下表：
同时提供，也可由某一层提供。OSI安全体系结构的5个安全服务项目分别是：（1）鉴别服务（2）访问控制（3）机密性服务（4）数据完整性（5）抗抵赖服务
2．安全机制
网络安全机制定义了实现网络安全服务所使用的可能方法。一种安全服务可由一种或数种安全机制支持，一种安全机制也可支持多种安全服务。按照OSI网络安全体系结构的定义，网络安全服务所需的网络安全机制包括以下8类：
第6章网络安全基础
由于网络本身所具有的开放性和网络规模以及应用领域的逐步扩大，也必然存在着各种网络安全上的隐患。
因此，在网络化、信息化不断普及的今天，如何最大限度地减少、避免、防止各类对网络造成的威胁，确保网络的安全运行，是摆在我们面前亟待妥善解决的一项具有重大战略意义的课题。
本章将从网络安全基础知识、网络安全系统、网络安全的常见技术手段等几个方面出发，介绍网络安全的定义、网络面临哪些主要威胁、网络安全系统的基本模型、安全系统的评价标准、建立网络安全策略以及目前所采用的主要网络安全技术等方面进行讲解。
2．利用网络环境处理各类数据信息是信息化时代的发展趋势，这其中包括个人邮件资料和隐私，一些部门、机构、企业的机密文件和商业信息，甚至是有关国家发展和安全的政治、经济、军事以及国防的重要数据，这些数据信息不仅涉及到个人和团体的利益，更主要的是可能关系一个国家的安全与稳定。而正是这些数据信息是不法分子和敌对势力攻击的目标。为了确保网络中各类数据信息的安全，显然就离不开一套完善的网络安全防范体系的支持。
什么是网络安全系统？网络安全系统实际上是在一定的法律法规、安全标准的规范下，
根据具体应用需求和规定的安全策略的指导下，使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合，是一个准许或拒绝网络通信的具有保障网络安全功能的系统。
一个完整的网络信息安全系统至少包括三个层次，并且三者缺一不可，它们共同构成网络信息安全系统的基本模型，如下图所示。
6.2.4建立网络安全策略
1．网络安全策略的定义
所谓安全策略，是针对那些被允许进入访问网络资源的人所规定的、必须遵守的规则，是保护网络系统中软、硬件资源的安全、防止非法的或非授权的访问和破坏所提供的全局的指导，或者说，是指网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方面因素，所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。
类别安全级别
名称
主要特征
A
A1
可验证的安全设形式化的最高级描述和验证，形式化的隐秘通
计
道分析，非形式化的代码一致性证明
B3
安全域机制
安全内核，高抗渗透能力
设计系统时必须有一个合理的总体设计方案，
面向安全的体系结构，遵循最小授权原则，
B
B2
结构化安全保护较好的抗渗透能力，访问控制应对所有的
主体和客体进行保护，对系统进行隐蔽通
道分析
除了C2级的安全需要外，增加安全策略模型，
B1
标号安全保护
数据标号(安全和属性)，托管访问控制
C2
受控的访问控制存取控制以用户为单位，广泛的审计
C
有选择的存取控制，用户与数据分离，数据的
C1
选择的安全保护
保护以用户组为单位
D
D1
最小保护
保护措施很少，没有安全功能
美国国防部的标准自问世以来，一直是评估多用户主机和小型操作系统的标准。其他方面，如数据库安全、网络安全也一直是通过这本美国国防部标准的桔皮书进行解释和评估的，如可信任网络解释（Trusted Network Interpretation）和可信任数据库解释（Trusted Database Interpretation）等。