网络安全基础教程第5章网络安全策略.ppt

发布时间：2025-03-28 17:21

网络安全：密码学基础和安全编程 #生活知识# #编程教程#

《网络安全基础教程第5章网络安全策略.ppt》由会员分享，可在线阅读，更多相关《网络安全基础教程第5章网络安全策略.ppt（43页珍藏版）》请在知学网上搜索。

1、第第5章章网络安全策略网络安全策略 5.1 5.1 计算机网络安全体系概述计算机网络安全体系概述 5.2 5.2 网络安全体系结构网络安全体系结构 5.3 5.3 计算机网络安全预防措施计算机网络安全预防措施 5.4 5.4 网络安全体系结构网络安全体系结构 5.5 5.5 计算机网络安全预防措施计算机网络安全预防措施v1.安全威胁安全威胁v网络面临的安全威胁大体可以分为两种：一是对网络数据的威网络面临的安全威胁大体可以分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；

2、可能是来源于企业外因素：可能是有意的，也可能是无意的；可能是来源于企业外部的，也可能是内部人员造成的；可能是人为的，也可能是自部的，也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。然力造成的。v2.网络攻击网络攻击v对网络安全管理员来说，可能导致一个网络受到破坏、网络服对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击，也可以说攻击是指谋取务受到影响的所有行为都应称为攻击，也可以说攻击是指谋取超越目标网络安全策略所限定的服务（入侵）或者使目标网络超越目标网络安全策略所限定的服务（入侵）或者使目标网络服务受到影响甚至停止（攻击）的所有行为。攻击行为

3、从攻击服务受到影响甚至停止（攻击）的所有行为。攻击行为从攻击者开始接触目标机的那个时刻起就已经开始了。者开始接触目标机的那个时刻起就已经开始了。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回v3.网络安全策略是必需的网络安全策略是必需的v建立网络的目的在于资源共享和信息交流，这就意味着存在安建立网络的目的在于资源共享和信息交流，这就意味着存在安全问题。当系统集成商精心设计了一个网络信息系统，并采取全问题。当系统集成商精心设计了一个网络信息系统，并采取了一系列安全措施后，如设置防火墙、采用加密算法进行密钥了一系列安全措施后，如设置防火墙

4、、采用加密算法进行密钥传输、进行用户身份认证等，凭什么认为这样的网络就是传输、进行用户身份认证等，凭什么认为这样的网络就是“安安全全”的呢？曾有过这样的定义：的呢？曾有过这样的定义：“网络的安全程度定义为该网网络的安全程度定义为该网络被攻击成功的可能性络被攻击成功的可能性”。v实际上，通常总是设法保护装有宝贵信息的机器，然而，网络实际上，通常总是设法保护装有宝贵信息的机器，然而，网络安全的强度只取决于网络中最弱连接的强弱程度。黑客认识到安全的强度只取决于网络中最弱连接的强弱程度。黑客认识到了这一点，他们寻找网络中未受保护的机器，诸如不常使用的了这一点，他们寻找网络中未受保护的机器，诸如不常使用

5、的打印机或传真机（为了充分利用这些设备，通常是设置成网络打印机或传真机（为了充分利用这些设备，通常是设置成网络共享的，而且几乎都不需要口令验证），利用它们跳到具有敏共享的，而且几乎都不需要口令验证），利用它们跳到具有敏感信息的机器。感信息的机器。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述上一页上一页下一页下一页返返回回v因此，寻找网络中的薄弱环节和安全漏洞是每个系统管理员和因此，寻找网络中的薄弱环节和安全漏洞是每个系统管理员和每个黑客都要做的一件事。系统管理员查找漏洞的目的在于加每个黑客都要做的一件事。系统管理员查找漏洞的目的在于加强防护，黑客探测

6、漏洞的目的在于找到攻击点。如果能测量它，强防护，黑客探测漏洞的目的在于找到攻击点。如果能测量它，发现它的所在，才有可能控制它，才能领先黑客一步。发现它的所在，才有可能控制它，才能领先黑客一步。v另一方面，网络是动态的，黑客也是多谋善变的。购买安全产另一方面，网络是动态的，黑客也是多谋善变的。购买安全产品或服务，并仅配置一次是不够的，防火墙如此，其他安全产品或服务，并仅配置一次是不够的，防火墙如此，其他安全产品也是如此。随着网络中的应用、工作站以及操作系统的数量品也是如此。随着网络中的应用、工作站以及操作系统的数量和类型的改变，网络安全的挑战越来越激烈。黑客会利用不断和类型的改变，网络安全的挑战

7、越来越激烈。黑客会利用不断发现的网络或系统安全漏洞，采用各种新的方式、方法攻击用发现的网络或系统安全漏洞，采用各种新的方式、方法攻击用户的系统，因此安全策略应该适应它，而这正是所要做的。户的系统，因此安全策略应该适应它，而这正是所要做的。v通过不断跟踪分析黑客行为和手法来研究网络和系统安全漏洞，通过不断跟踪分析黑客行为和手法来研究网络和系统安全漏洞，通过不断地检测和监控网络和系统来发现新的威胁和弱点，通通过不断地检测和监控网络和系统来发现新的威胁和弱点，通过一个循环反馈来及时做出有效的安全策略和执行决定，以便过一个循环反馈来及时做出有效的安全策略和执行决定，以便在黑客攻击之前，先加使用，进行安

8、全防护。在黑客攻击之前，先加使用，进行安全防护。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述上一页上一页下一页下一页返返回回v4.防火墙策略难于防止黑客的攻击防火墙策略难于防止黑客的攻击v防火墙技术是内部网最重要的安全技术之一，其主要功能就是防火墙技术是内部网最重要的安全技术之一，其主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能地屏蔽内部网的拓扑结构，另一网络的数据流，一方面尽可能地屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内

9、对外的非法方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问，但也有其明显的局限性。访问，但也有其明显的局限性。v5.网络安全系统失败的原因网络安全系统失败的原因v网络安全概念中有一个网络安全概念中有一个“木桶木桶”理论，讲的是一个浅显而重要理论，讲的是一个浅显而重要的原则：一个桶能装的水量不取决于桶有多高，而取决于组成的原则：一个桶能装的水量不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。应用在网络安全领域就是：网该桶的最短的那块木条的高度。应用在网络安全领域就是：网络安全系统的强度取决于其中最为薄弱的一环。这是由攻击和络安全系统的强度取决于其中最为薄弱的一环。这是由攻击和

10、防守的特性决定的。防守的特性决定的。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述上一页上一页下一页下一页返返回回v相对于攻击来说，防守的任务更为艰巨，任何一个节点、某一相对于攻击来说，防守的任务更为艰巨，任何一个节点、某一个软件、其中的某个服务、某个用户的脆弱口令等都可能造成个软件、其中的某个服务、某个用户的脆弱口令等都可能造成整个防御系统的失效。整个防御系统的失效。v攻击者的做法则是耐心地收集、测试可能出现的漏洞，只要找攻击者的做法则是耐心地收集、测试可能出现的漏洞，只要找到一处，则攻击往往就成功了多半，但防守者也有自己很大的到一处，则攻击往往就成

11、功了多半，但防守者也有自己很大的优势，那就是拥有对设备的物理控制权。通常情况下，防守者优势，那就是拥有对设备的物理控制权。通常情况下，防守者总是拥有对网络安全体系更为准确的了解。据统计约总是拥有对网络安全体系更为准确的了解。据统计约90%的网的网站都遭受过网络攻击。站都遭受过网络攻击。v6.网络完全破坏实例网络完全破坏实例v下面对一个具体实例进行分析，以便充分了解计算机网络面临下面对一个具体实例进行分析，以便充分了解计算机网络面临的威胁。的威胁。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回上一页上一页v1999年年5、6月间，某网

12、络月间，某网络A发现来自中国科学院软件研究所某发现来自中国科学院软件研究所某网络网络B内的主机内的主机HB的非法访问，并收到国外某网络管理员的告的非法访问，并收到国外某网络管理员的告警信，称其受到从警信，称其受到从A发起的攻击。经过检查，确定有人通过主发起的攻击。经过检查，确定有人通过主机机HB闯入网络闯入网络A，并进而攻击外部网络。因此，为了了解主机，并进而攻击外部网络。因此，为了了解主机HB如何被用作非法用途以及何时何人采取何种方式进入如何被用作非法用途以及何时何人采取何种方式进入HB系系统，对它的系统进行了彻底的分析。统，对它的系统进行了彻底的分析。v主机主机HB是作为一个内部私有网络对

13、是作为一个内部私有网络对Internet的出口网关，从的出口网关，从1998年下半年开始启用的。它的操作系统是年下半年开始启用的。它的操作系统是Red Hat Linux，采用网络地址转换的技术，使网络内部主机受控地访问采用网络地址转换的技术，使网络内部主机受控地访问Internet。v经过初步检查，发现系统内几乎所有的日志文件都被篡改或者经过初步检查，发现系统内几乎所有的日志文件都被篡改或者删除，剩余的日志文件日期最早的是删除，剩余的日志文件日期最早的是1999年年5月，并且都经过月，并且都经过了过滤，几乎没有任何有价值的内容了。了过滤，几乎没有任何有价值的内容了。5.1.1 网络安全的威胁

14、网络安全的威胁5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回上一页上一页v在正常情况下，系统的日志文件是被完整地保存下来的，而且在正常情况下，系统的日志文件是被完整地保存下来的，而且系统管理员也没有删除或者修改过任何日志文件。因此，可以系统管理员也没有删除或者修改过任何日志文件。因此，可以肯定地判断，曾经有人侵入了主机肯定地判断，曾经有人侵入了主机HB，并且清除了日志文件中，并且清除了日志文件中的记录。的记录。v从有限日志中还是发现了一些入侵的蛛丝马迹。从有限日志中还是发现了一些入侵的蛛丝马迹。v首先，有一个位于国外某网络首先，有一个位于国外某网络C的主机的主机HC发起的

15、发起的Telnet连接次连接次数最多；但是，该主机运行着数最多；但是，该主机运行着Telent代理服务，无法确定入侵代理服务，无法确定入侵者是从该主机还是利用其代理服务连接到受攻主机者是从该主机还是利用其代理服务连接到受攻主机HB的。的。v其次，来自国内网络其次，来自国内网络A和国外其他网络内的主机都通过和国外其他网络内的主机都通过FTP存取存取过一些相同的非系统本身具有的文件；检查之后，发现它们是过一些相同的非系统本身具有的文件；检查之后，发现它们是一些网络攻击程序和一些网络攻击程序和Trojan木马程序。木马程序。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略

16、概述下一页下一页返返回回上一页上一页v这些程序主要是利用网络文件系统（这些程序主要是利用网络文件系统（NFS）的漏洞，侵入提供）的漏洞，侵入提供NFS服务的主机内，并清除痕迹、植入服务的主机内，并清除痕迹、植入Trojan木马程序，留下木马程序，留下后门以备将来使用。经过对比发现，主机后门以备将来使用。经过对比发现，主机HB的许多关键应用程的许多关键应用程序都是植入的序都是植入的Trojan木马程序，包括木马程序，包括IS，PS，NETSTAT，LOGIN和和SYSLOGD等。等。v最后，在最后，在HB的根文件系统内发现一个以太网包嗅探器的根文件系统内发现一个以太网包嗅探器（Ether

17、net Packet Sniffer）的输出文件，它截获了许多在）的输出文件，它截获了许多在TCP连接建立时的身份认证过程中传输的用户名、密码。这些连接建立时的身份认证过程中传输的用户名、密码。这些关键数据的失窃，对有关网络的安全性造成了巨大威胁。关键数据的失窃，对有关网络的安全性造成了巨大威胁。v从外部网络给从外部网络给HB系统管理员的两封电子邮件来看，曾经有人在系统管理员的两封电子邮件来看，曾经有人在1999年年4月利用月利用HB对美国某著名大学的网络进行了基于对美国某著名大学的网络进行了基于NFS漏漏洞的远程攻击，但未成功，并被发现；此外，来自国外某研究洞的远程攻击，但未成功，并被发现；

18、此外，来自国外某研究机构的电子邮件称发现来自机构的电子邮件称发现来自HB对其网络进行的端口扫描活动。对其网络进行的端口扫描活动。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回上一页上一页v最终，在从最终，在从HB的文件系统中恢复出来的一些文件中发现了侵入的文件系统中恢复出来的一些文件中发现了侵入者在者在HB主机上的活动：对选定的目标网络进行大规模的端口扫主机上的活动：对选定的目标网络进行大规模的端口扫描，主要针对描，主要针对NFS服务端口，从而为广度攻击选定目标；一旦服务端口，从而为广度攻击选定目标；一旦发现目标网络内有提供发现目标

19、网络内有提供NFS服务的主机，就利用远程攻击工具服务的主机，就利用远程攻击工具侵入系统；通过侵入系统；通过FTP从从HB主机中下载主机中下载Trojan木马程序，植入到木马程序，植入到该系统中；然后清除入侵痕迹；安装该系统中；然后清除入侵痕迹；安装Sniffer程序，搜集网络内程序，搜集网络内的用户、密码等资料，为深度攻击作准备。的用户、密码等资料，为深度攻击作准备。v此次入侵事件的教训是深刻的，它具有典型性。主机此次入侵事件的教训是深刻的，它具有典型性。主机HB所在的所在的网络网络B缺乏必要的安全措施，直接暴露于缺乏必要的安全措施，直接暴露于Internet中；对网络系中；对网络系统，包括网

20、络操作系统本身的弱点了解不够；对安全技术的认统，包括网络操作系统本身的弱点了解不够；对安全技术的认识和了解程度都不够深入；系统管理员没有很好地履行职责；识和了解程度都不够深入；系统管理员没有很好地履行职责；相反，目前网络攻击活动开始向有组织化、特殊利益驱动化方相反，目前网络攻击活动开始向有组织化、特殊利益驱动化方向发展，攻击的深度、广度和造成的损失越来越大，迫切需要向发展，攻击的深度、广度和造成的损失越来越大，迫切需要有相应的网络安全和反攻击技术、人力投入，保证重要网络的有相应的网络安全和反攻击技术、人力投入，保证重要网络的安全。安全。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策

21、略概述网络安全策略概述下一页下一页返返回回上一页上一页v与发来告警信件的国外网络管理相比，我们的网络安全技术、与发来告警信件的国外网络管理相比，我们的网络安全技术、网络管理能力和水平都有较大差距。如果不是外来告警信件引网络管理能力和水平都有较大差距。如果不是外来告警信件引发的对网络发的对网络A和网络和网络B的调查，也许入侵者还会潜伏更长时间，的调查，也许入侵者还会潜伏更长时间，造成更大损失。造成更大损失。v另外，缺乏一个类似另外，缺乏一个类似CERT的网络安全事件的紧急反应组织，没的网络安全事件的紧急反应组织，没有较全局的研究和有力的协调机构，从而使得对安全问题的处有较全局的研究和有力

22、的协调机构，从而使得对安全问题的处理显得反应缓慢、分散、无组织，互相之间缺乏联系和合作，理显得反应缓慢、分散、无组织，互相之间缺乏联系和合作，对我国的整体网络安全和安全技术研究都有不良影响。目前的对我国的整体网络安全和安全技术研究都有不良影响。目前的情况是，情况是，Internet越来越庞大，关于任何利用网络系统漏洞进行越来越庞大，关于任何利用网络系统漏洞进行非法活动的信息越来越多，即使一个对计算机和网络技术了解非法活动的信息越来越多，即使一个对计算机和网络技术了解不多的人，也可以十分方便地获得网络攻击工具对远程主机发不多的人，也可以十分方便地获得网络攻击工具对远程主机发起攻击；所以建立一个跨

23、部门和行业的全局的计算机和网络安起攻击；所以建立一个跨部门和行业的全局的计算机和网络安全事件紧急反应组织是十分必要和有益的。全事件紧急反应组织是十分必要和有益的。5.1.1 网络安全的威胁网络安全的威胁5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回上一页上一页v1.物理安全策略物理安全策略v物理安全策略的目的是保护计算机系统、网络服务器、打印机物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机验证用户的身份和

24、使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。v2.访问控制策略访问控制策略v访问控制是网络安全防范和保护的主要策略，它的主要任务是访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合安全、保护网络资源的重要手段。各种安全策

25、略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。重要的核心策略之一。5.1.2 网络安全策略分类网络安全策略分类5.1 网络安全策略概述网络安全策略概述下一页下一页返返回回上一页上一页v3.信息加密策略信息加密策略v信息加密的目的是保护网内的数据、文件、口令和控制信息，信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密加密和节点加密3种。链路加密的目的是保护网络节点之间

26、的链种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。输链路提供保护。用户可根据网络情况酌情选择上述加密方式。v4.网络安全管理策略网络安全管理策略v在网络安全中，除了采用上述技术措施之外，加强网络的安全在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全、可靠地运行将管理，制定有关规章制度，对

27、于确保网络安全、可靠地运行将起到十分有效的作用。起到十分有效的作用。v网络的安全管理策略包括：确定安全管理等级和安全管理范围；网络的安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度；制定网制定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。络系统的维护制度和应急措施等。5.1.2 网络安全策略分类网络安全策略分类5.1 网络安全策略概述网络安全策略概述返返回回上一页上一页v安全扫描是网络安全防御中的一项重要技术，其原理是采用模安全扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已

28、知安全漏洞进行逐项检查。拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的运行相对对立、安装运行简单，可以

29、大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。手工劳动，有利于保持全网安全政策的统一和稳定。v评价一套网络安全扫描工具的性能主要应考虑下面一些因素。评价一套网络安全扫描工具的性能主要应考虑下面一些因素。v 能够扫描发现的安全漏洞数量和数据库更新速度。能够扫描发现的安全漏洞数量和数据库更新速度。v 扫描效率以及对目标网络系统的影响。扫描效率以及对目标网络系统的影响。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回v 定制模拟攻击方法的灵活性。定制模拟攻击方法的灵活性。v 扫描程序的易用性、稳定性。扫描程序的易用性、稳定性

30、。v 分析报告的形式产品的性能往往取决于开发公司的实力，即分析报告的形式产品的性能往往取决于开发公司的实力，即掌握最新的安全漏洞和攻击方法的能力。掌握最新的安全漏洞和攻击方法的能力。v国内已有数家单位在开发此类产品，但整体看来，在安全漏洞国内已有数家单位在开发此类产品，但整体看来，在安全漏洞的时效性和数量以及结果的分析报表等方面与国外先进产品相的时效性和数量以及结果的分析报表等方面与国外先进产品相比还有较大差距。当前网络安全扫描市场的主要产品包括比还有较大差距。当前网络安全扫描市场的主要产品包括ISS公公司的司的ISS Scanner（包括（包括Internet扫描器、系统扫描器和数据库扫描器

31、、系统扫描器和数据库扫描器），扫描器），NAI公司的公司的CyberCop Scanner，Axent公司的公司的NetRecon，国内中国科学院高能所研制的，国内中国科学院高能所研制的Netpower等。等。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v1.网络安全测试网络安全测试v网络安全测试功能用于扫描网络安全测试功能用于扫描Internet网站、路由器、网站、路由器、Windows NT、UNIX服务器及所有基于服务器及所有基于TCP/IP协议的网络设备的安全漏协议的网络设备的安全漏洞及薄弱环节，给出相应修补措施和

32、安全建议。在信息系统安洞及薄弱环节，给出相应修补措施和安全建议。在信息系统安全要素中，网络安全要素是一个重要环节，把计算机连到网络全要素中，网络安全要素是一个重要环节，把计算机连到网络上又多出一个新的安全威胁。从绝对意义上讲，联网的计算机上又多出一个新的安全威胁。从绝对意义上讲，联网的计算机都是不安全的，能被网上的任一台主机攻击或插入物理网络攻都是不安全的，能被网上的任一台主机攻击或插入物理网络攻击，同时网络软件也引入新的威胁。网络安全测试包含了近百击，同时网络软件也引入新的威胁。网络安全测试包含了近百种网络安全测试工具和手段种网络安全测试工具和手段。v2.系统安全测试系统安全测试v系统安全测

33、试功能用于分析和指出有关系统设置的安全问题所系统安全测试功能用于分析和指出有关系统设置的安全问题所在及薄弱环节，给出相应的修补措施和安全建议，帮助管理员在及薄弱环节，给出相应的修补措施和安全建议，帮助管理员完善系统设置。完善系统设置。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v许多许多UNIX系统都存在着这样或那样的问题，这些问题使系统容系统都存在着这样或那样的问题，这些问题使系统容易受到攻击，这些导致不安全的因素可能是系统本身不完善，易受到攻击，这些导致不安全的因素可能是系统本身不完善，也可能是系统设置有问题。系统安全

34、测试模块包含了十余种系也可能是系统设置有问题。系统安全测试模块包含了十余种系统安全测试工具和手段，包括口令检测、统安全测试工具和手段，包括口令检测、passwd文件检测、守文件检测、守护进程检测、设备文件检测、用户占用磁盘空间检测、用户最护进程检测、设备文件检测、用户占用磁盘空间检测、用户最后登录时间检测、系统文件检测、普通用户登录环境检测、超后登录时间检测、系统文件检测、普通用户登录环境检测、超级用户登录环境检测、特权文件检测、系统保护设置检测等，级用户登录环境检测、特权文件检测、系统保护设置检测等，适用于所有适用于所有UNIX系统安全问题检测、扫描，若发现问题则给出系统安全问题检测、扫描，

35、若发现问题则给出警告提示及相应的防范措施和安全建议。警告提示及相应的防范措施和安全建议。v3.应用安全测试应用安全测试v应用系统软件引入新的威胁，大部分应用系统软件引入新的威胁，大部分Internet应用系统软件协议应用系统软件协议没有进行很好的安全性设计，且网络服务器程序经常用超级用没有进行很好的安全性设计，且网络服务器程序经常用超级用户特权来执行，这便造成诸多安全问题。户特权来执行，这便造成诸多安全问题。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v比如，比如，Web服务器安全检测功能用于分析和指出有关服务器安全检测功

36、能用于分析和指出有关Web服务服务器运行及设置中的主要问题和相应修补措施。器运行及设置中的主要问题和相应修补措施。Web安全测试模安全测试模块包含了数种安全测试工具和手段，包括：块包含了数种安全测试工具和手段，包括：Web服务器特权检服务器特权检测、测、CGI程序检测、符号链接检测、程序检测、符号链接检测、Web目录读写权限检测、目录读写权限检测、Web日志分析、日志分析、Robot防护测试、防护测试、Web文件更新提示等，用于文件更新提示等，用于发现发现Web安全薄弱环节，若发现问题则给出警告提示及相应的安全薄弱环节，若发现问题则给出警告提示及相应的防范措施和安全建议。防范措施和安全建议。v

37、4.漏洞检测功能漏洞检测功能v漏洞检测功能用于网络和系统已知漏洞的检测，它使用与黑客漏洞检测功能用于网络和系统已知漏洞的检测，它使用与黑客相同的攻击手段对网络系统进行模拟攻击实验，及时发现安全相同的攻击手段对网络系统进行模拟攻击实验，及时发现安全问题和漏洞所在。问题和漏洞所在。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v网络漏洞扫描系统能通过对网络设备进行安全漏洞检测和分析，网络漏洞扫描系统能通过对网络设备进行安全漏洞检测和分析，全面实现漏洞分析专家和网络安全专家的权威技术，提供基于全面实现漏洞分析专家和网络安全专家的权

38、威技术，提供基于策略的网络安全检测与管理。它可以在任何基于策略的网络安全检测与管理。它可以在任何基于TCP/IP的网络的网络上应用，扫描内容涉及网络中的主机风险漏洞及端口服务，如上应用，扫描内容涉及网络中的主机风险漏洞及端口服务，如RPC，Sendmail，FTP，NetBIOS，NT服务，服务，NT用户策略，用户策略，NT注册表，强力攻击，拒绝服务等多种漏洞。注册表，强力攻击，拒绝服务等多种漏洞。v网络漏洞扫描系统的主要功能如下：网络漏洞扫描系统的主要功能如下：v 提供完整权威的漏洞检查列表，大大减少忽略一个重要漏洞提供完整权威的漏洞检查列表，大大减少忽略一个重要漏洞的风险。的风险。v 全面

39、详细的可定义报告，针对用户的不同需求给出不同层次全面详细的可定义报告，针对用户的不同需求给出不同层次的报告。的报告。v 自动化、规模化，网络漏洞扫描可在短时间内扫描多个系统，自动化、规模化，网络漏洞扫描可在短时间内扫描多个系统，并可随着组织的增长而扩大。并可随着组织的增长而扩大。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v 定制扫描策略，可按照特定的需求配置多种扫描策略和扫描定制扫描策略，可按照特定的需求配置多种扫描策略和扫描参数，实现不同内容、不同级别、不同程度、不同层次的扫描。参数，实现不同内容、不同级别、不同程度、

40、不同层次的扫描。v 网络安全现状评估，可轻松执行企业网的安全扫描，对整个网络安全现状评估，可轻松执行企业网的安全扫描，对整个网络的安全现状做出评估。网络的安全现状做出评估。v 提供安全策略支持，提供详细的帮助数据库，帮助没有经验提供安全策略支持，提供详细的帮助数据库，帮助没有经验的管理员实现网络安全，制定实际的、可操作的网络安全策略。的管理员实现网络安全，制定实际的、可操作的网络安全策略。v 提供至安全补丁供应商的热链接，以便快速及时修补网络安提供至安全补丁供应商的热链接，以便快速及时修补网络安全漏洞。全漏洞。v网络漏洞扫描的对象非常多，下面列举一些主要对象：网络服网络漏洞扫描的对象非常多，下

41、面列举一些主要对象：网络服务、务、Web服务、服务、FTP服务、守护进程、电子邮件服务、服务、守护进程、电子邮件服务、CGI BIN、浏览器设置、浏览器设置、RPC攻击、特定的强力攻击选项、拒绝服攻击、特定的强力攻击选项、拒绝服务攻击检测、安全区检测、务攻击检测、安全区检测、Windows NT配置、配置、UNIX配置、配置、Linux配置等。配置等。5.2.1 网络安全分析网络安全分析5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v网络系统的安全策略是对整个局部网络实施的分层次、多级别网络系统的安全策略是对整个局部网络实施的分层次、多级别的包括检测、告警和修

42、复等应急反应功能的实时系统策略。网的包括检测、告警和修复等应急反应功能的实时系统策略。网络安全策略的基本结构如下所述。络安全策略的基本结构如下所述。v防火墙构成了系统对外防御的第一条防线。在这里，防火墙是防火墙构成了系统对外防御的第一条防线。在这里，防火墙是一个小型的防御系统，用来隔离被保护的内部网络，明确定义一个小型的防御系统，用来隔离被保护的内部网络，明确定义网络的边界和服务，同时完成授权、访问控制以及安全审计的网络的边界和服务，同时完成授权、访问控制以及安全审计的功能。防火墙系统可以是一个双重宿主主机作为堡垒主机或者功能。防火墙系统可以是一个双重宿主主机作为堡垒主机或者一个包含堡垒主机的

43、屏蔽子网，用来隐蔽内部网络结构，防止一个包含堡垒主机的屏蔽子网，用来隐蔽内部网络结构，防止非授权访问。非授权访问。v防火墙并不能完全保护内部网络，必须结合其他措施才能提高防火墙并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后的是基于网络主机的操作系统系统的安全水平。在防火墙之后的是基于网络主机的操作系统安全和物理安全措施。安全和物理安全措施。5.2.2 网络安全策略设计网络安全策略设计5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v按照级别从低到高，分别是主机系统的物理安全、操作系统内按照级别从低到高，分别是主机系统的物理安全、操作

44、系统内核安全、系统服务安全、应用服务安全和文件系统安全；同时核安全、系统服务安全、应用服务安全和文件系统安全；同时以主机安全检查和漏洞修补以及系统备份安全作为辅助措施，以主机安全检查和漏洞修补以及系统备份安全作为辅助措施，这些构成整个网络系统的第二条防线，主要防范部分突破防火这些构成整个网络系统的第二条防线，主要防范部分突破防火墙防线的攻击以及从内部发起的攻击。值得一提的是，许多主墙防线的攻击以及从内部发起的攻击。值得一提的是，许多主机安全检查系统（例如机安全检查系统（例如COPS）本身就可以用来对系统进行攻）本身就可以用来对系统进行攻击；它们利用模拟攻击，并根据攻击结果判断系统是否具有要击；

45、它们利用模拟攻击，并根据攻击结果判断系统是否具有要检查的漏洞的工具集合。在攻击者手中，它们很可能变成恶意检查的漏洞的工具集合。在攻击者手中，它们很可能变成恶意的攻击工具。的攻击工具。v在防火墙和主机安全措施之后是全局性的由系统安全审计、入在防火墙和主机安全措施之后是全局性的由系统安全审计、入侵检测和应急处理构成的整体安全检查和反应措施。它从网络侵检测和应急处理构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路上提取网络状系统中的防火墙、网络主机甚至直接从网络链路上提取网络状态信息，作为输入提供给入侵检测子系统；入侵检测子系统根态信息，作为输入提供给入侵检测子系统；

46、入侵检测子系统根据一定的规则判断是否有入侵事件发生；如果有入侵事件发生，据一定的规则判断是否有入侵事件发生；如果有入侵事件发生，则启动应急处理措施，并产生告警信息。则启动应急处理措施，并产生告警信息。5.2.2 网络安全策略设计网络安全策略设计5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v而且，系统的安全审计还可以作为以后对攻击行为和后果进行而且，系统的安全审计还可以作为以后对攻击行为和后果进行分析、对系统安全策略进行改进的信息来源。分析、对系统安全策略进行改进的信息来源。v系统备份是网络系统的最后防线，用来在遭受攻击之后进行恢系统备份是网络系统的最后防线，

47、用来在遭受攻击之后进行恢复系统。此外，系统备份也可以用在网络主机的安全检查方面，复系统。此外，系统备份也可以用在网络主机的安全检查方面，例如定期检查现存的文件系统和备份系统的差异，判断系统是例如定期检查现存的文件系统和备份系统的差异，判断系统是否被篡改，这是对付否被篡改，这是对付Trojan木马的有效手段。木马的有效手段。v从以上的分析可以得出这样的结论，即网络系统的安全是一个从以上的分析可以得出这样的结论，即网络系统的安全是一个十分复杂的问题，在网络系统的各个层次（从物理层往上直到十分复杂的问题，在网络系统的各个层次（从物理层往上直到应用层）、各个级别（网络主机级和用户级）都存在安全问题；应

48、用层）、各个级别（网络主机级和用户级）都存在安全问题；即使网络协议本身足够安全，但是可能在具体实现上又存在安即使网络协议本身足够安全，但是可能在具体实现上又存在安全漏洞，这种例子比比皆是。全漏洞，这种例子比比皆是。5.2.2 网络安全策略设计网络安全策略设计5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v所以只注意或者解决某个层次或者级别的安全性，对网络系统所以只注意或者解决某个层次或者级别的安全性，对网络系统整体安全水平的提高，作用是不大的。加密技术是实现网络系整体安全水平的提高，作用是不大的。加密技术是实现网络系统安全的核心技术，它可以渗透到整个系统的所有

49、层次。统安全的核心技术，它可以渗透到整个系统的所有层次。v在现有加密体制和技术上建立的身份认证技术、不可否认技术在现有加密体制和技术上建立的身份认证技术、不可否认技术为网络系统安全的实现提供了技术基础。但是，技术并非万能，为网络系统安全的实现提供了技术基础。但是，技术并非万能，人也是很重要的因素。人也是很重要的因素。v1.网络安全策略的必要条件网络安全策略的必要条件v没有绝对的网络安全。不同属性的网络具有不同的安全需求。没有绝对的网络安全。不同属性的网络具有不同的安全需求。国家安全、军事等网络对于前面所述的国家安全、军事等网络对于前面所述的3种威胁都适用，需要调种威胁都适用，需要调动整个国家的

50、技术力量来研究专门的网络安全技术。对于动整个国家的技术力量来研究专门的网络安全技术。对于ISP网网络和企业网，对于上面论述的网络安全中的几个重要元素，受络和企业网，对于上面论述的网络安全中的几个重要元素，受投资规模的限制，不可能全部最高强度地实施，但是正确的做投资规模的限制，不可能全部最高强度地实施，但是正确的做法是分析网络中最为脆弱的部分而着重解决，将有限的资金用法是分析网络中最为脆弱的部分而着重解决，将有限的资金用在最为关键的地方。在最为关键的地方。5.2.2 网络安全策略设计网络安全策略设计5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v这有赖于网络安全

51、策略分析的充分投入。本文认为实现整体网这有赖于网络安全策略分析的充分投入。本文认为实现整体网络安全包括络安全包括3个要素：完备适当的网络安全策略、高水平的网络个要素：完备适当的网络安全策略、高水平的网络安全技术队伍、严格的管理落实。安全技术队伍、严格的管理落实。v2.网络安全策略设计网络安全策略设计v对于一个网络系统，从技术角度来说，主要涉及网络通信系统对于一个网络系统，从技术角度来说，主要涉及网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等的安全等3个方面。在对网络系统进行科学的安全分析之后，结个方面。在对网络系

52、统进行科学的安全分析之后，结合具体应用，将上述合具体应用，将上述3个方面密切结合，在该网络信息系统中建个方面密切结合，在该网络信息系统中建立一整套安全机制，实现从外到内的安全防护。对外采用加密立一整套安全机制，实现从外到内的安全防护。对外采用加密技术、先进防火墙技术，防止外部的窃密、攻击；对内改造操技术、先进防火墙技术，防止外部的窃密、攻击；对内改造操作系统、数据库系统；在应用软件中嵌入安全模块，采用加密作系统、数据库系统；在应用软件中嵌入安全模块，采用加密和数字签名、实体鉴别技术，实现内部的安全防护。和数字签名、实体鉴别技术，实现内部的安全防护。5.2.2 网络安全策略设计网络安全策略设计5

53、.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v1.网络入侵检测网络入侵检测v（1）基于网络的入侵检测。）基于网络的入侵检测。v基于网络的入侵检测系统使用原始的裸网络包作为源。利用工基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前，部分产品也可以利用交换式网络中的端口映射的传输。当前，部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。功能来监视特定端口的网络入侵行为。v一旦攻击被检测到，响应模块按照配置对攻击做出反

54、应。这些一旦攻击被检测到，响应模块按照配置对攻击做出反应。这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。等。v（2）基于主机的入侵检测。）基于主机的入侵检测。v基于主机的入侵检测始于基于主机的入侵检测始于20世纪世纪80年代早期，通常采用查看针年代早期，通常采用查看针对可疑行为的审计记录来执行。它比较新的纪录条目与攻击特对可疑行为的审计记录来执行。它比较新的纪录条目与攻击特征，并检查不应该改变的系统文件的校验和来分析系统是否被征，并检查不应该改变的系统文件的校验和来分析系统是否被侵入或者被攻击。侵入或者被攻击。5.2.3 网

55、络安全监测网络安全监测5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v如果发现与攻击模式匹配，如果发现与攻击模式匹配，IDS系统通过向管理员报警和其他呼系统通过向管理员报警和其他呼叫行为来响应。它的主要目的是在事件发生后提供足够的分析叫行为来响应。它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。反应的时间依赖于定期检测的时间间隔。来阻止进一步的攻击。反应的时间依赖于定期检测的时间间隔。实时性没有基于网络的实时性没有基于网络的IDS系统好。系统好。v（3）网络入侵检测系统产品简介。）网络入侵检测系统产品简介。v基于主机的基于主机的IDS与基于网络的与

56、基于网络的IDS可以互相补充，网络部分提供可以互相补充，网络部分提供早期警告，基于主机的部分提供攻击成功与否的确认。早期警告，基于主机的部分提供攻击成功与否的确认。v目前流行的管理器目前流行的管理器/代理（代理（Manager/Agent）结构不仅可以监视）结构不仅可以监视整个网络的入侵和攻击活动、审查日志管理，还可以进行实时整个网络的入侵和攻击活动、审查日志管理，还可以进行实时入侵活动的探测，包含了两种技术的优点，代表了网络入侵检入侵活动的探测，包含了两种技术的优点，代表了网络入侵检测技术的发展趋势。测技术的发展趋势。5.2.3 网络安全监测网络安全监测5.2 网络安全策略实施网络安全策略实

57、施下一页下一页返返回回上一页上一页v当前市场上基于网络的典型产品包括当前市场上基于网络的典型产品包括ISS公司的公司的RealSesure Engine、Axent公司的公司的NetProwler、Cisco公司的公司的NETRANGER等。基于主机的典型产品包括等。基于主机的典型产品包括ISS公司的公司的RealSecure Agent、Axent公司的公司的Intruder Alert（ITA）。）。NAI公司的产品公司的产品CyberCops Monitor（CCM）则兼顾了两种技）则兼顾了两种技术。术。v网络入侵检测系统（网络入侵检测系统（IDS）可以分为基于网络数据包分析的和

58、基）可以分为基于网络数据包分析的和基于主机的两种基本方式。简单地说，前者在网络通信中寻找符于主机的两种基本方式。简单地说，前者在网络通信中寻找符合网络入侵模板的数据包，并立即做出相应反应；后者在宿主合网络入侵模板的数据包，并立即做出相应反应；后者在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。系统审计日志文件中寻找攻击特征，然后给出统计分析报告。它们各有优缺点，互相作为补充。它们各有优缺点，互相作为补充。5.2.3 网络安全监测网络安全监测5.2 网络安全策略实施网络安全策略实施下一页下一页返返回回上一页上一页v2.监视非授权活动监视非授权活动v不能总是等待黑客的攻击，然后

59、不停地修补漏洞，所以在网络不能总是等待黑客的攻击，然后不停地修补漏洞，所以在网络安全策略中，必须能够监视和分析黑客的各种非法活动。安全策略中，必须能够监视和分析黑客的各种非法活动。v网络远程攻击是实现网络安全所关注的焦点，因此有必要对其网络远程攻击是实现网络安全所关注的焦点，因此有必要对其基本特性做以讨论。首先，网络远程攻击涉及两方：攻击方和基本特性做以讨论。首先，网络远程攻击涉及两方：攻击方和防御方（当然一些攻击者可以假借第三方进行身份伪装，但本防御方（当然一些攻击者可以假借第三方进行身份伪装，但本质上仍是攻、守两方）。质上仍是攻、守两方）。v作为一个网络站点的系统管理员，有一点应该是很明确

60、的，即作为一个网络站点的系统管理员，有一点应该是很明确的，即对于网络远程攻击来说，永远处于防御的一方。这是很自然的对于网络远程攻击来说，永远处于防御的一方。这是很自然的事情。不可能在攻击者入侵主机的同时去攻击对方的主机，但事情。不可能在攻击者入侵主机的同时去攻击对方的主机，但也不是只能被动防御。也不是只能被动防御。5.2.3 网络安全监测网络安全监测5.2 网络安全策略实施网络安全策略实施返返回回上一页上一页v近年，近年，Windows NT已经成为最流行的网络操作系统之一。随已经成为最流行的网络操作系统之一。随着着Internet/Intranet的迅猛普及，的迅猛普及，Windows

61、 NT网络安全问题成网络安全问题成为日常网络管理的中心问题。首先探讨一下为日常网络管理的中心问题。首先探讨一下Windows NT中存中存在的一些漏洞，然后结合在中小型校园网安全管理的实际工作在的一些漏洞，然后结合在中小型校园网安全管理的实际工作经验，讨论经验，讨论Windows NT网的安全规划和在实际使用时应采取网的安全规划和在实际使用时应采取的安全策略。的安全策略。v1.Windows NT系统的漏洞系统的漏洞vWindows NT所采用的存储数据库和加密过程导致了一系列安所采用的存储数据库和加密过程导致了一系列安全漏洞，特别是全漏洞，特别是Windows NT把用户信息和加密口令保存于

62、把用户信息和加密口令保存于NTRegistry中的中的SAM文件中，即安全账户管理（文件中，即安全账户管理（Security Accounts Management）数据库。加密口令分两个步骤完成。）数据库。加密口令分两个步骤完成。首先，采用首先，采用RSAMD4系统对口令进行加密。第二步则是令人迷系统对口令进行加密。第二步则是令人迷惑的缺乏复杂度的过程，不添加任何惑的缺乏复杂度的过程，不添加任何“调料调料”，比如加密口令，比如加密口令时考虑时间的因素。时考虑时间的因素。5.3.1 Windows NT系统的安全策略系统的安全策略5.3 系统平台安全策略系统平台安全策略下一页下一页返返回

63、回v结果，结果，Windows NT口令比口令比UNIX口令更加脆弱，更容易受到一口令更加脆弱，更容易受到一本简单字典的攻击。由于有这么多与本简单字典的攻击。由于有这么多与Windows NT口令有关的口令有关的安全问题，安全问题，Microsoft已经在已经在Windows NT第第5.0版中加密口令版中加密口令时增加了一个步骤。时增加了一个步骤。v这里描述的某些安全漏洞是很严重的。在最坏的情况下，一个这里描述的某些安全漏洞是很严重的。在最坏的情况下，一个黑客可以利用这些漏洞来破译一个或多个黑客可以利用这些漏洞来破译一个或多个Domain Administrator账户的口令，并且对账户的口

64、令，并且对Windows NT域中所有主机域中所有主机进行破坏活动。进行破坏活动。v2.Windows NT系统的安全策略系统的安全策略v所谓的网络安全是指为了保护网络不受来自网络内外的各种危所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。害而采取的防范措施的总和。5.3.1 Windows NT系统的安全策略系统的安全策略5.3 系统平台安全策略系统平台安全策略下一页下一页返返回回上一页上一页v网络的安全策略就是针对网络的实际情况（被保护信息价值、网络的安全策略就是针对网络的实际情况（被保护信息价值、被攻击危险性、可投入的资金），在网络管理的整个过程，

65、具被攻击危险性、可投入的资金），在网络管理的整个过程，具体对各种网络安全措施进行取舍。体对各种网络安全措施进行取舍。v网络的安全策略可以说是在一定条件下的成本和效率的平衡。网络的安全策略可以说是在一定条件下的成本和效率的平衡。虽然网络的具体应用环境不同，但在制定安全策略时应遵循一虽然网络的具体应用环境不同，但在制定安全策略时应遵循一些总的原则。些总的原则。5.3.1 Windows NT系统的安全策略系统的安全策略5.3 系统平台安全策略系统平台安全策略下一页下一页返返回回上一页上一页vLinux系统是一种应用越来越广泛的网络操作系统，为确保系统系统是一种应用越来越广泛的网络操作系统，

66、为确保系统安全稳定的运转，在实际运用时应该采用适当的安全机制。现安全稳定的运转，在实际运用时应该采用适当的安全机制。现在采用在采用Linux网络操作系统作为服务器的用户也越来越多，这一网络操作系统作为服务器的用户也越来越多，这一方面是因为方面是因为Linux是开放源代码的免费正版软件，另一方面也是是开放源代码的免费正版软件，另一方面也是因为较之微软的因为较之微软的Windows NT网络操作系统而言，网络操作系统而言，Linux系统具系统具有更好的稳定性、效率性和安全性。有更好的稳定性、效率性和安全性。v我们知道，网络操作系统是用于管理计算机网络中的各种软硬我们知道，网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。如何确保网络操作系统证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全是网络安全的根本所在。只有网络操作系统安全可靠，的安全是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。因此，详细分析才能保证整个网络的安

网址：网络安全基础教程第5章网络安全策略.ppt https://www.yuejiaxmz.com/news/view/839765

上一篇：局域网网络安全策略.doc

下一篇：网络安全策略与注意事项