內容簡介
全書共分為11章,介紹了計算機網路安全的基本理論和關鍵技術。主要內容包括:網路安全、密碼技術基礎、密鑰管理技術、數字簽名和認證技術、網路入侵檢測原理與技術、Internet的基礎設施安全、防火牆技術、電子商務的安全技術及套用、包過濾技術原理及套用、代理服務技術原理及套用、信息隱藏技術。
通過對本書的學習,使讀者能夠對計算機網路安全有一個系統的了解,掌握計算機網路特別是計算機網際網路安全的基本概念,了解設計和維護安全的網路體系及其套用系統的基本手段和常用方法。
本書可作為高等學校計算機軟體工程、計算機網路工程、計算機科學與技術、商務信息等有關專業本科生和研究生的教材,也可作為從事網路信息方面人員的參考書。
網路安全的內涵分析
①要弄清網路系統受到的威脅及脆弱性,以便人們能注意到網路這些弱點和它存在的特殊性問題。
②要告訴人們怎樣保護網路系統的各種資源,避免或減少自然或人為的破壞。
③要開發和實施卓有成效的安全策略,儘可能減小網路系統所面臨的各種風險。
④要準備適當的應急計畫,使網路系統中的設備、設施、軟體和數據受到破壞和攻擊時,能夠儘快恢復工作。
⑤要制訂完備的安全管理措施,並定期檢查這些安全措施的實施情況和有效性。
信息安全的意義
①數據的完整性:它包括數據單元完整性和數據單位序列完整性。
②數據的可用性:就是要保障網路中數據無論在何時,無論經過何種處理,只要需要,信息必須是可用的。③數據的保密性:即網路中的數據必須按照數據的擁有者的要求保證一定的秘密性。具有敏感性的秘密信息,只有得到擁有者的許可,其他人才能夠獲得該信息,網路系統必須能夠防止信息的非授權訪問或泄露。④合法使用性:即網路中合法用戶能夠正常得到服務,正常使自己合法地訪問資源和信息,而不至於因某種原因遭到拒絕或無條件的阻止。
網路信息安全技術措施
防火牆技術儘管近年來各種網路安全技術不斷湧現,但目前防火牆仍是網路系統安全保護中最常用的技術。防火牆系統是一種網路安全部件,它可以是軟體,也可以是硬體,還可以是晶片級防火牆。這種安全部件處於被保護網路和其他網路的邊界,接收進出於被保護網路的數據流,並根據防火牆所配置的訪問控制策略進行過濾或作出其他操作,防火牆系統不僅能夠保護網路資源不受外部的侵入,而且還能夠攔截被保護網路向外傳送有價值的信息。
TPM技術的套用英國伯明罕大學的Mark Ryan教授作了題為“Attacks on the Trusted Platform Module,andSolutions”的報告。TPM是如今信息安全領域一個很熱的研究方向,Mark Ryan教授向與會學者介紹了一種能夠抵抗對TPM平台攻擊的方法。為了達到攻擊的目的,攻擊者常常會迴避一些非常重要的TPM操作,假冒成TPM用戶或者對於用戶假冒成為TPM。通過觀察這些手段用戶可以描述出被修改的TPM協定,從而避免這些攻擊,同時使用協定的自修復技術來保證網路和用戶的安全。
限制撥號限制撥號接入或遠程網路連線限制撥號用戶的接人和限制用戶從遠程登人的功能。並且記錄用戶活動。若使用公共非安全的介質(如Intemet)進行傳輸,會產生嚴重的安全問題;若採用專線傳輸,則費用巨大。在這種情況下,使用vPN技術訪問網路是一種可信任的安全方法。VPN即虛擬專用網(PrivateNetwork)提供了一種通過公共非安全的介質(如Intemet)建立安全專用連線的技術。它可以幫助用戶、公司分支機構、商業夥伴等建立穿越開放的公用網路的安全隧道。在高安全環境下設定遠程連線要求證件檢驗,在客戶端證明使用強的密碼認證方法。遠程存取依然是最微弱的連線,如果不正確地實施控制策略,在許多情況下將會被人侵者利用。因此,為了保證VPN的安全性,認證、加密和訪問控制必須緊密結合。從公司網路劃分出獨立的網段給撥號用戶是一個不錯的方法。這種解答可能有許多功能特點。如果您的網路用戶需要撥號回到被預先指定的數字是一個好方式,這樣可以保證後面設定確實連線到用戶的家裡。另一考慮是,用戶不能在本地機器存放密碼,他訪問網路的密碼不應該被保存,應該在每次連線時鍵人。
恢復機制維護網路信息安全還有一項必要的措施就是建立合理可靠的備份和恢復機制。美國的9.11事件凸顯了信息備份的重要性。在該事件中,一些企業的包括大量計畫書、貿易協定、交易記錄等檔案信息在內的信息由於沒有進行異地備份而再無法得到恢復,由此造成的損失難以估量。此次事件之後,各行業都提高了對信息備份制度的重視。在9.11事件發生之前,儘管備份數據也是一項必要任務,但其執行過程並不那么精確或規律。但是,它現在已經成為一項必須實現的要求。”美國位於華盛頓的國家醫學圖書館將其信息通過網路備份到賓夕法尼亞州,之所以選擇該州,是因為通過統計發現那裡發生地震的機率最小,可見其對數據備份的重視程度。備份制度對於安全性遭受損害的檔案信息的恢復至關重要。
目錄
第1章 網路安全
1.1 網路安全的基礎知識
1.1.1 網路安全的基本概念
1.1.2 網路安全的特徵
1.1.3 網路安全的目標
1.1.4 網路安全需求與安全機制
1.2 威脅網路安全的因素
1.2.1 網路的安全威脅
1.2.2 網路安全的問題及原因
1.3 網路安全防護體系
1.3.1 網路安全策略
1.3.2 網路安全體系
1.4 網路安全的評估標準
1.4.1 可信任計算機標準評估準則簡介
1.4.2 國際安全標準簡介
1.4.3 我國安全標準簡介
習題
第2章 密碼技術基礎
2.1 密碼技術的基本概念
2.2 古典加密技術
2.2.1 置換密碼
2.2.2 代換密碼
2.3 現代加密技術
習題
第3章 密鑰管理技術
3.1 密鑰的管理內容
3.2 密鑰的分配技術
3.2.1 密鑰分配實現的基本方法
3.2.2 密鑰分配實現的基本工具
3.2.3 密鑰分配系統實現的基本模式
3.2.4 密鑰的驗證
3.3 公鑰密碼
3.3.1 公鑰密碼體制的基本概念
3.3.2 公鑰密碼體制的原理
3.4 RSA算法
3.4.1 RSA算法描述
3.4.2 RSA算法中的計算問題
3.4.3 RSA算法的安全性
3.4.4 RSA的實用性及數字簽名
3.4.5 RSA算法和DES算法
3.5 橢圓曲線密碼體制
3.5.1 橢圓曲線
3.5.2 有限域上的橢圓曲線
3.5.3 橢圓曲線上的密碼
習題
第4章 數字簽名和認證技術
4.1 數字簽名的基本概念
4.1.1 數字簽名概念
4.1.2 數字簽名技術應滿足的要求
4.1.3 直接方式的數字簽名技術
4.1.4 具有仲裁方式的數字簽名技術
4.1.5 利用公鑰實現數字簽名技術原理
4.1.6 其它數字簽名技術
4.2 認證及身份驗證技術
4.2.1 相互認證技術
4.2.2 單向認證技術
4.2.3 身份驗證技術
4.2.4 身份認證系統實例——Kerberos系統
4.3 數字簽名標準及數字簽名算法
4.3.1 數字簽名算法DSS
4.3.2 數字簽名算法DSA
4.3.3 數字簽名算法HASH
4.3.4 數字簽名算法RSA
4.4 其它數字簽名體制
4.4.1 基於離散對數問題的數字簽名體制
4.4.2 基於大數分解問題的簽名體制
4.5 數字證明技術
習題
第5章 網路入侵檢測原理與技術
5.1 黑客攻擊與防範技術
5.1.1 網路入侵及其原因
5.1.2 黑客攻擊策略
5.1.3 網路入侵的防範技術
5.2 入侵檢測原理
5.2.1 入侵檢測概念
5.2.2 入侵檢測模型
5.2.3 IDS在網路中的位置
5.3 入侵檢測方法
5.3.1 基於機率統計的檢測
5.3.2 基於神經網路的檢測
5.3.3 基於專家系統
5.3.4 基於模型推理的攻擊檢測技術
5.3.5 基於免疫的檢測
5.3.6 入侵檢測的新技術
5.3.7 其它相關問題
5.4 入侵檢測系統
5.4.1 入侵檢測系統的構成
5.4.2 入侵檢測系統的分類
5.4.3 入侵檢測系統的介紹
5.5 入侵檢測系統的測試評估
5.5.1 測試評估概述
5.5.2 測試評估的內容
5.5.3 測試評估標準
5.5.4 IDS測試評估現狀以及存在的問題
5.6 幾種常見的IDS系統
5.7 入侵檢測技術發展方向
習題
第6章 Internet的基礎設施安全
6.1 Internet安全概述
6.2 DNS的安全性
6.2.1 目前DNS存在的安全威脅
6.2.2 Windows下DNS欺騙
6.2.3 拒絕服務攻擊
6.3 安全協定IPSec
6.3.1 IP協定簡介
6.3.2 下一代IP-IPv6
6.3.3 IP安全協定IPSec的用途
6.3.4 IPSec的結構
6.4 電子郵件的安全性
6.4.1 PGP
6.4.2 S/MIME
6.5 Web的安全性
……
第7章 防火牆技術
第8章 電子商務的安全技術及套用
第9章 包過濾技術原理及套用
第10章 代理服務技術原理及套用
第11章 信息隱藏技術
附錄A 《中華人民共和國計算機信息網路國際聯網管理暫行辦法》 251
附錄B 《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》 253
附錄C 《中華人民共和國計算機信息系統安全保護條例》
作者簡介
周明全 教授,博士生導師。北師大信息科學與技術學院院長,北京師範大學可視化技術研究中心主任。中國計算機學會理事,中國中文信息學會理事,中國計算機教育學會常務理事,陝西省計算機學會副理事長。周明全教授長期以來從事計算機可視化技術、軟體工程、中文信息處理等重要領域的基礎理論及其套用工程的創新性研究。他主持和完成國家“九五”科技攻關、863高技術、國家自然科學基金等重要科研項目,針對三維可視化的難點技術,取得突破性的進展,多項創造性成果產生了顯著的社會經濟效益,獲得教育部科技進步獎二等獎2項,陝西省科技進步二等獎三項,三等獎2項,西安市科技進步一等獎2項。被陝西省政府授予“陝西省優秀留學回國人員”稱號。
中國鐵道出版社出版圖書
基本信息書名:
網路信息安全技術書號:7-113-12926
作者:劉永華
定價:28.00元
出版日期:2011年7月
開本:16開
出版單位:中國鐵道出版社內容簡介
本書的內容涵蓋了網路安全和管理的基本概念、原理和技術。全書共分8章,主要內容包括網路安全概述、作業系統安全、資料庫與數據安全、數字加密與認證、防火牆技術、入侵監測技術、網路病毒的防治、網路維護等內容。本書內容全面,取材新穎,既有網路安全和管理的理論知識,又有實用技術,反映了網路安全和管理技術的最新發展狀況。
本書適合作為普通高等院校計算機科學與技術、網路工程、通信工程、自動化及相關專業本科教材,也可作為成人高等教育計算機網路安全教材,還可作為廣大工程技術人員的科技參考書。
第1章 網路安全概述 1
1.1 網路安全簡介 1
1.1.1 網路安全的概念 1
1.1.2 網路安全模型 2
1.1.3 計算機安全的分級 3
1.1.4 網路安全的重要性 4
1.2 網路安全現狀 4
1.3 網路安全威脅 6
1.3.1 網路安全攻擊 6
1.3.2 基本的威脅 7
1.3.3 主要的可實現威脅 8
1.3.4 病毒 8
1.4 影響網路安全的因素 9
1.4.1 計算機系統因素 9
1.4.2 作業系統因素 9
1.4.3 人為因素 10
1.5 網路安全技術 10
1.5.1 數據加密與認證 10
1.5.2 防火牆 11
1.5.3 入侵檢測 12
1.5.4 病毒防治 13
複習思考題一 13
第2章 作業系統安全技術 15
2.1 作業系統的漏洞 15
2.1.1 系統漏洞的概念 16
2.1.2 漏洞的類型 16
2.1.3 漏洞對網路安全的影響 18
2.2 Windows Server 2003的安全 19
2.2.1 Windows Server 2003安全模型 19
2.2.2 Windows Server 2003安全隱患 22
2.2.3 Windows Server 2003安全防範措施 23
2.3 Linux網路作業系統的安全 34
2.3.1 Linux網路作業系統的基本安全機制 34
2.3.2 Linux網路系統可能受到的攻擊 35
2.3.3 Linux網路安全防範策略 36
2.3.4 加強Linux網路伺服器的管理 38
複習思考題二 40
第3章 資料庫與數據安全技術 42
3.1 資料庫安全概述 42
3.1.1 資料庫安全的概念 42
3.1.2 資料庫管理系統及特性 44
3.1.3 資料庫系統的缺陷和威脅 46
3.2 資料庫的安全特性 48
3.2.1 資料庫的安全性 48
3.2.2 資料庫的完整性 50
3.2.3 資料庫的並發控制 52
3.2.4 資料庫的恢復 53
3.3 資料庫的安全保護 55
3.3.1 資料庫的安全保護層次 55
3.3.2 資料庫的審計 56
3.3.3 資料庫的加密保護 56
3.4 數據的完整性 60
3.4.1 影響數據完整性的因素 60
3.4.2 保證數據完整性的方法 61
3.5 數據備份和恢復 63
3.5.1 數據備份 63
3.5.2 數據恢復 66
3.6 網路備份系統 67
3.6.1 單機備份和網路備份 67
3.6.2 網路備份系統的組成 68
3.6.3 網路備份系統方案 68
3.7 數據容災 70
3.7.1 數據容災概述 70
3.7.2 數據容災技術 74
複習思考題三 76
第4章 數字加密與認證技術 78
4.1 密碼學 79
4.1.1 加密的起源 79
4.1.2 密碼學基本概念 79
4.1.3 傳統加密技術 80
4.1.4 對稱密鑰算法 82
4.1.5 公開密鑰算法 83
4.1.6 加密技術在網路中的套用 85
4.1.7 密碼分析 86
4.2 密鑰管理 86
4.2.1 密鑰的分類和作用 87
4.2.2 密鑰長度 87
4.2.3 密鑰的產生技術 88
4.2.4 密鑰的組織結構 90
4.2.5 密鑰分發 91
4.2.6 密鑰的保護 93
4.3 數字簽名與數字證書 94
4.3.1 電子簽名 95
4.3.2 認證機構(CA) 96
4.3.3 數字簽名 96
4.3.4 公鑰基礎設施(PKI) 98
4.3.5 數字證書 100
4.3.6 數字時間戳技術 102
4.4 認證技術 103
4.4.1 身份認證的重要性 103
4.4.2 身份認證的方式 104
4.4.3 訊息認證 105
4.4.4 認證技術的實際套用 108
4.5 數字證書套用實例 110
4.5.1 獲得及安裝免費數字證書 110
4.5.2 在IE中查看數字證書 111
4.5.3 傳送安全郵件 112
4.5.4 檢查Windows是否為微軟正版 118
複習思考題四 119
第5章 防火牆技術 121
5.1 防火牆基本概念與分類 121
5.1.1 防火牆基本概念 121
5.1.2 防火牆的作用 123
5.1.3 防火牆的優、缺點 124
5.1.4 防火牆分類 124
5.2 防火牆技術 125
5.2.1 包過濾技術 125
5.2.2 套用代理技術 127
5.2.3 狀態監視技術 129
5.2.4 技術展望 132
5.3 防火牆的體系結構 133
5.3.1 雙重宿主主機結構 133
5.3.2 禁止主機結構 134
5.3.3 禁止子網結構 135
5.3.4 防火牆的組合結構 136
5.4 選擇防火牆的基本原則與注意事項 136
5.4.1 選擇防火牆的基本原則 136
5.4.2 選擇防火牆的注意事項 137
複習思考題五 141
第6章 入侵監測技術 144
6.1 入侵檢測概述 144
6.1.1 入侵檢測概念 144
6.1.2 入侵檢測系統組成 145
6.1.3 入侵檢測功能 146
6.2 入侵檢測系統分類 147
6.2.1 根據數據源分類 147
6.2.2 根據檢測原理分類 148
6.2.3 根據體系結構分類 148
6.2.4 根據工作方式分類 148
6.2.5 根據系統其他特徵分類 149
6.3 入侵檢測技術 149
6.3.1 誤用檢測技術 150
6.3.2 異常檢測技術 151
6.3.3 高級檢測技術 152
6.3.4 入侵誘騙技術 154
6.3.5 入侵回響技術 155
6.4 入侵檢測體系 157
6.4.1 入侵檢測模型 157
6.4.2 入侵檢測體系結構 159
6.5 入侵檢測系統與協同 162
6.5.1 數據採集協同 163
6.5.2 數據分析協同 163
6.5.3 回響協同 164
6.6 入侵檢測分析 166
6.7 入侵檢測的發展 168
6.7.1 入侵檢測標準 168
6.7.2 入侵檢測評測 168
6.7.3 入侵檢測發展 170
複習思考題六 172
第7章 網路病毒的防治技術 173
7.1 計算機網路病毒的特點及危害 173
7.1.1 計算機病毒的概念 173
7.1.2 計算機病毒的特點 174
7.1.3 計算機病毒的分類 175
7.1.4 計算機網路病毒的概念 179
7.1.5 計算機網路病毒的特點 179
7.1.6 計算機網路病毒的分類 180
7.1.7 計算機網路病毒的危害 182
7.2 幾種典型病毒的分析 183
7.2.1 CIH病毒 183
7.2.2 宏病毒 184
7.2.3 蠕蟲病毒 186
7.2.4 木馬病毒 189
7.3 計算機病毒的症狀 194
7.3.1 病毒發作前的症狀 194
7.3.2 病毒發作時的症狀 195
7.3.3 病毒發作後的症狀 196
7.4 反病毒技術 198
7.4.1 預防病毒技術 198
7.4.2 檢測病毒技術 201
7.4.3 防毒技術 207
7.5 計算機病毒發展的新技術 209
7.5.1 抗分析病毒技術 210
7.5.2 隱蔽性病毒技術 210
7.5.3 多態性病毒技術 210
7.5.4 超級病毒技術 210
7.5.5 插入性病毒技術 211
7.5.6 破壞性感染病毒技術 211
7.5.7 病毒自動生產技術 212
7.5.8 Internet病毒技術 212
7.6 防殺網路病毒的軟體 212
7.6.1 防毒軟體 212
7.6.2 反病毒軟體 213
7.6.3 瑞星防毒軟體 213
7.6.4 金山毒霸 213
7.6.5 江民防毒軟體 214
複習思考題七 214
第8章 網路維護技術 216
8.1 Windows自帶的網路工具 216
8.1.1 Ping命令 216
8.1.2 Ipconfig/WINIPCFG命令 222
8.1.3 Netstat命令 224
8.1.4 Tracert命令 225
8.2 網路連線設備的維護 226
8.2.1 網卡 226
8.2.2 集線器和交換機 226
8.2.3 路由器 227
8.2.4 網線 228
8.2.5 RJ-45接頭 228
8.3 網路性能最佳化 228
8.3.1 系統記憶體最佳化 228
8.3.2 CPU的最佳化 230
8.3.3 硬碟最佳化 231
8.3.4 網路接口最佳化 232
8.4 網路故障和排除 233
8.4.1 網路常見故障概述 233
8.4.2 網路故障排除的思路 234
8.4.3 區域網路故障與排除 236
8.4.4 Windows 區域網路使用過程中的常見故障 244
8.4.5 故障實例及排除方法 247
複習思考題八 251
參考文獻 252