【正文】 美軍網(wǎng)絡(luò)司令部將最終研發(fā)網(wǎng)絡(luò)攻擊能力，以對(duì)敵方通信網(wǎng)絡(luò)發(fā)動(dòng)攻擊。由于 “網(wǎng)攻 ”的性質(zhì)與黑客眼下發(fā)動(dòng)網(wǎng)絡(luò)攻擊的手段頗為相似，網(wǎng)絡(luò)司令部又稱為 “黑客 ”司令部。 120分析：美國(guó)的網(wǎng)絡(luò)戰(zhàn)n 目前的攻擊方式（不含電子對(duì)抗）n 惡意軟件：n 利用系統(tǒng)漏洞實(shí)施攻擊，其慣用的攻擊手段主要包括 “后門程序 ”、 “炸彈攻擊 ”、 “僵尸網(wǎng)絡(luò) ”等等。n “廣泛撒網(wǎng) ”的戰(zhàn)術(shù)，對(duì)付那些從物理上同互聯(lián)網(wǎng)隔開的軍用網(wǎng)絡(luò)和計(jì)算機(jī)。n 將一些木馬病毒散布到特定的網(wǎng)絡(luò)中，感染移動(dòng)存儲(chǔ)設(shè)備n 存儲(chǔ)設(shè)備被接入軍內(nèi)計(jì)算機(jī)或網(wǎng)絡(luò)n 移動(dòng)存儲(chǔ)器被再次接到鏈接互聯(lián)網(wǎng)的計(jì)算機(jī)我國(guó)的對(duì)策n 首先是大力提高 信息系統(tǒng)基礎(chǔ)設(shè)施 自主化，避免人為預(yù)設(shè)的系統(tǒng)缺陷n CPU處理器n 操作系統(tǒng)n 中間件（如 web服務(wù)器）n 大型應(yīng)用軟件系統(tǒng)n 加密算法n 避免一個(gè)誤區(qū)：不談信息系統(tǒng)基礎(chǔ)設(shè)施，直接談安全 ，并且只談安全n 沒有自主的信息系統(tǒng)，無法在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中生存！122提綱216。 課程簡(jiǎn)介216。 信息安全學(xué)科的哲學(xué)與方法論問題216。 從信息安全技術(shù)的發(fā)展理解基本概念216。 密碼理論與應(yīng)用216。 信息系統(tǒng)安全體系架構(gòu)216。 局域網(wǎng)絡(luò)信息系統(tǒng)安全工程216。 互聯(lián)網(wǎng)安全216。 信息系統(tǒng)安全典型產(chǎn)品與技術(shù)123信息系統(tǒng)安全技術(shù)分類總結(jié) （ 1）物理安全技術(shù) 物理安全（ Physical Security），是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施等免遭地震、水災(zāi)、火災(zāi)等事故以及人為操作失誤和各種計(jì)算機(jī)犯罪行為導(dǎo)致破壞的過程。物理安全主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。 保證物理安全可用的技術(shù)手段很多，也有許多可以依據(jù)的標(biāo)準(zhǔn)，例如，國(guó)標(biāo) GB50173－ 93《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》、 GB2887－ 89《 計(jì)算站場(chǎng)地技術(shù)條件 》 、 GB9361－ 88《 計(jì)算站場(chǎng)地安全要求 》 ，以及其他諸如防輻射防電磁干擾的眾多標(biāo)準(zhǔn)。 典型產(chǎn)品： UPS、存儲(chǔ)備份、機(jī)房124（ 2） 系統(tǒng)安全技術(shù) 系統(tǒng)安全（ System Security），主要是指操作系統(tǒng)和數(shù)據(jù)庫等應(yīng)用系統(tǒng)的安全性。對(duì)于操作系統(tǒng)安全來說，通過提供對(duì)計(jì)算機(jī)信息系統(tǒng)的硬件和軟件資源的有效控制，能夠?yàn)樗芾淼馁Y源提供相應(yīng)的安全保護(hù)。它們或是以底層操作系統(tǒng)所提供的安全機(jī)制為基礎(chǔ)構(gòu)作安全模塊，或者完全取代底層操作系統(tǒng)，目的是為建立安全信息系統(tǒng)提供一個(gè)可信的安全平臺(tái)。具體措施包括系統(tǒng)加固、系統(tǒng)訪問控制等。數(shù)據(jù)庫安全一般采用多種安全機(jī)制與操作系統(tǒng)相結(jié)合，實(shí)現(xiàn)安全保護(hù)。 典型產(chǎn)品：奇虎 360桌面安全、文件保護(hù)、 web防篡改信息系統(tǒng)安全技術(shù)分類總結(jié) 125（ 3） 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全（ Network Security），包括一切訪問網(wǎng)絡(luò)資源或使用網(wǎng)絡(luò)服務(wù)相關(guān)的安全保護(hù)。具體的網(wǎng)絡(luò)安全技術(shù)包括：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)優(yōu)化，網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵檢測(cè)，安全通道，安全掃描，防火墻和網(wǎng)絡(luò)管理等諸多方面。網(wǎng)絡(luò)隔離可以通過網(wǎng)段隔離、交換網(wǎng)絡(luò)、 VLAN 等技術(shù)手段來實(shí)現(xiàn)；網(wǎng)絡(luò)訪問控制則通過包過濾、應(yīng)用網(wǎng)關(guān)、狀態(tài)檢測(cè)等防火墻技術(shù)來實(shí)現(xiàn)；安全通道包括鏈路層加密（ L2F， PPTP，L2TP）、網(wǎng)絡(luò)層加密（ IPSec）、傳輸層加密（ SSL， TLS， SSH， Socks）和應(yīng)用層加密（ SHTTP， SMIME， PGP等）；入侵檢測(cè)包括基于主機(jī)與基于網(wǎng)絡(luò)兩種技術(shù)；安全掃描則是一種較為主動(dòng)的安全防護(hù)機(jī)制，包括基于主機(jī)、基于網(wǎng)絡(luò)和基于應(yīng)用三種。信息系統(tǒng)安全技術(shù)分類總結(jié) 126（ 4） 應(yīng)用安全技術(shù) 包括電子郵件的安全、 Web和電子商務(wù)的安全、網(wǎng)絡(luò)信息過濾和各種應(yīng)用系統(tǒng)的安全等諸多方面。在應(yīng)用安全上，主要應(yīng)該考慮訪問授權(quán)、信息加密和審計(jì)記錄等問題。 典型產(chǎn)品與協(xié)議： SET、 SSH、 XML加密、 SMIME信息系統(tǒng)安全技術(shù)分類總結(jié) 127（ 5） 數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密的核心內(nèi)容是密碼學(xué)（ Cryptography）。密碼學(xué)技術(shù)不只局限于對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的加密處理，而是包括加密、消息摘要、數(shù)字簽名、身份認(rèn)證及密鑰管理在內(nèi)的所有涉及到密碼學(xué)知識(shí)的技術(shù)。 典型產(chǎn)品：加密機(jī)、密碼分析產(chǎn)品、 VPN產(chǎn)品 加密技術(shù)廣泛應(yīng)用于信息系統(tǒng)的數(shù)據(jù)保護(hù)功能中。信息系統(tǒng)安全技術(shù)分類總結(jié) 128（ 6） 認(rèn)證授權(quán)技術(shù) 數(shù)據(jù)加密技術(shù)解決的是數(shù)據(jù)在傳輸過程中保密性的問題，而身份認(rèn)證，則是對(duì)通信方進(jìn)行身份確認(rèn)的過程。對(duì)于一般的計(jì)算機(jī)網(wǎng)絡(luò)來說，主要考慮的是主機(jī)和節(jié)點(diǎn)的身份認(rèn)證，用戶的身份認(rèn)證可以由應(yīng)用系統(tǒng)來實(shí)現(xiàn)。 通常身份認(rèn)證和授權(quán)機(jī)制聯(lián)系在一起，提供服務(wù)的一方，對(duì)申請(qǐng)服務(wù)的客戶身份確認(rèn)之后，就需要向他授予相應(yīng)的訪問權(quán)限，規(guī)定客戶可以訪問的服務(wù)范圍。 常用的認(rèn)證技術(shù)包括口令認(rèn)證、基于第三方的 SSO 認(rèn)證（例如 Kerberos）、基于證書的認(rèn)證（ CA）等。典型產(chǎn)品： PKI、 VPN網(wǎng)關(guān)、認(rèn)證服務(wù)器信息系統(tǒng)安全技術(shù)分類總結(jié) 129（ 7） 訪問控制技術(shù) 訪問控制技術(shù)是為了保證系統(tǒng)的外部用戶或內(nèi)部用戶對(duì)系統(tǒng)資源的訪問以及對(duì)敏感信息的訪問方式符合組織的安全策略。具體來說，訪問控制是根據(jù)網(wǎng)絡(luò)中主體和客體之間的訪問授權(quán)關(guān)系，對(duì)訪問過程做出的限制，可分為自主訪問控制和強(qiáng)制訪問控制。 典型產(chǎn)品： 防火墻：主機(jī)、網(wǎng)絡(luò)、 Web應(yīng)用防火墻等等； 堡壘主機(jī)：應(yīng)用代理、訪問控制信息系統(tǒng)安全技術(shù)分類總結(jié) 130（ 8） 掃描評(píng)估技術(shù) 掃描評(píng)估是采用模擬黑客攻擊的形式對(duì)目標(biāo)系統(tǒng)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查的技術(shù)。運(yùn)用此項(xiàng)技術(shù)的典型應(yīng)用就是各種掃描工具，這些掃描工具可以對(duì)工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫應(yīng)用等多種目標(biāo)進(jìn)行檢測(cè)，根據(jù)掃描結(jié)果向管理員提供周詳?shù)陌踩治鰣?bào)告，指出系統(tǒng)存在的弱點(diǎn)，提出補(bǔ)救措施和建議，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。 安全掃描是一種主動(dòng)檢測(cè)的技術(shù)，是對(duì)以防護(hù)為主的安全技術(shù)體系的重要補(bǔ)充。 免費(fèi)軟件： Xscan、 Nessus 商業(yè)產(chǎn)品：網(wǎng)絡(luò)掃描器、專用掃描器信息系統(tǒng)安全技術(shù)分類總結(jié) 131（ 9） 審計(jì)跟蹤技術(shù) 安全審計(jì)對(duì)網(wǎng)絡(luò)和系統(tǒng)中出現(xiàn)的各種訪問活動(dòng)進(jìn)行監(jiān)視和記錄，通過日志分析和活動(dòng)檢測(cè)等手段來審查資源的受訪情況是否符合安全策略的設(shè)定。同時(shí)，審計(jì)也是發(fā)現(xiàn)和追蹤安全事件的重要措施，是事件響應(yīng)和后續(xù)處理的依據(jù)。 基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)、日志記錄系統(tǒng)、辨析取證等技術(shù)，都屬于此類技術(shù)。 典型產(chǎn)品 : 日志收集與審計(jì) 網(wǎng)絡(luò)審計(jì) 數(shù)據(jù)庫審計(jì) 專用的審計(jì)產(chǎn)品：經(jīng)分信息系統(tǒng)安全技術(shù)分類總結(jié) 132（ 10） 病毒防護(hù)技術(shù) 病毒防護(hù)包括單機(jī)系統(tǒng)的防護(hù)和網(wǎng)絡(luò)系統(tǒng)的防護(hù)。起初單機(jī)系統(tǒng)的防護(hù)側(cè)重于防護(hù)本地計(jì)算機(jī)資源，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防病毒技術(shù)也朝著網(wǎng)絡(luò)化的方向發(fā)展，隨之產(chǎn)生了全方位、多層次的網(wǎng)絡(luò)防病毒體系，可以對(duì)分布在網(wǎng)絡(luò)系統(tǒng)中的資源進(jìn)行防護(hù)。 計(jì)算機(jī)病毒防護(hù)產(chǎn)品是通過建立系統(tǒng)保護(hù)機(jī)制來預(yù)防、檢測(cè)和消除病毒的。 典型產(chǎn)品與技術(shù)：網(wǎng)絡(luò)防病毒、殺毒軟件、可信計(jì)算產(chǎn)品信息系統(tǒng)安全技術(shù)分類總結(jié) 133（ 11） 備份恢復(fù)技術(shù) 災(zāi)難恢復(fù)技術(shù)，也稱為業(yè)務(wù)連續(xù)性技術(shù)，是信息安全領(lǐng)域一項(xiàng)重要的技術(shù)。它能夠?yàn)橹匾挠?jì)算機(jī)系統(tǒng)提供在斷電、火災(zāi)等各種意外事故發(fā)生時(shí)，甚至在如洪水、地震等嚴(yán)重自然災(zāi)害發(fā)生時(shí)保持持續(xù)運(yùn)行的能力。對(duì)企業(yè)和社會(huì)關(guān)系重大的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)采用災(zāi)難恢復(fù)技術(shù)予以保護(hù)。 進(jìn)行災(zāi)難恢復(fù)的前提是對(duì)數(shù)據(jù)的備份。一個(gè)完整的備份及災(zāi)難恢復(fù)方案應(yīng)該從必須的硬件、軟件、策略以及災(zāi)難恢復(fù)計(jì)劃等多方面入手，才能保證快速、有效的數(shù)據(jù)備份及恢復(fù)。信息系統(tǒng)安全技術(shù)分類總結(jié) 134（ 12） 安全管理技術(shù) 計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全管理是指對(duì)所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用體系中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一的管理和協(xié)調(diào)，進(jìn)而從整體上提高計(jì)算機(jī)網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力。 安全管理包括兩個(gè)方面的內(nèi)容，一個(gè)是人員管理、制度管理和安全策略規(guī)范等方面的內(nèi)容，另一方面是從技術(shù)上建立高效的管理平臺(tái)，協(xié)調(diào)各個(gè)安全技術(shù)和產(chǎn)品的統(tǒng)一管理，為實(shí)現(xiàn)安全策略和度量安全效果提供便利。 典型產(chǎn)品： SOC、 IDM信息系統(tǒng)安全技術(shù)分類總結(jié) 復(fù)習(xí)題1. 比較單鑰加密算法與雙鑰加密算法的差別2. 簡(jiǎn)述 PKI體系下數(shù)字簽名的機(jī)制，用示意圖說明其原理。3. 比較說明訪問控制的三種策略的適用場(chǎng)景：自主、強(qiáng)制、基于角色。4. 說明可信計(jì)算體系結(jié)構(gòu)及其在防范軟件遭受篡改攻擊方面的作用。5. 說明網(wǎng)站篡改防護(hù)體系的結(jié)構(gòu)與原理。6. 簡(jiǎn)述防火墻的實(shí)現(xiàn)技術(shù)。7. 簡(jiǎn)述入侵檢測(cè)系統(tǒng)的原理與部署模式。8. 簡(jiǎn)述蠕蟲的傳播特點(diǎn)與檢測(cè)機(jī)制。9. 簡(jiǎn)述僵尸網(wǎng)絡(luò)的組成及運(yùn)行原理。10. 簡(jiǎn)要說明訪問控制安全架構(gòu)的原理。11. 說明局域網(wǎng)安全建設(shè)中常用的技術(shù)措施。12. 說明奇虎 360系列桌面安全軟件與其他殺毒軟件（舉例一種，如卡巴斯基、金山毒霸）的區(qū)別，包括技術(shù)和商業(yè)模式等方面。13. 說明網(wǎng)絡(luò)戰(zhàn)的典型作戰(zhàn)形式及我國(guó)應(yīng)采取的對(duì)策