【正文】 管理員（通過設(shè)置用戶權(quán)限來實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)措施）、組管理員、網(wǎng)絡(luò)操作員、普通網(wǎng)絡(luò)用戶。Netware操作系統(tǒng)的系統(tǒng)容錯技術(shù)主要是以下三種： 三級容錯機(jī)制第一級系統(tǒng)容錯SPTI采用雙重目錄與文件分配表，磁盤熱修復(fù)與寫后讀驗(yàn)證等措施。 第二級系統(tǒng)容錯SPTII包括硬盤鏡像與硬盤雙工功能。 第三紡系統(tǒng)容錯SPTIII提供了文件服務(wù)器鏡像功能。 UPS監(jiān)控：為防止網(wǎng)絡(luò)供電系統(tǒng)電壓波動或突然中斷，影響文件服務(wù)器及關(guān)鍵網(wǎng)絡(luò)設(shè)備的工作。Netware的優(yōu)缺點(diǎn) 優(yōu)點(diǎn)：強(qiáng)大的文件及打印服務(wù)能力良好的兼容性及系統(tǒng)容錯能力比較完備的安全措施缺點(diǎn)：存在工作站資源無法直接共享、安裝及管理維護(hù)比較復(fù)雜，多用戶需同時獲取文件及數(shù)據(jù)時會導(dǎo)致網(wǎng)絡(luò)效率降低，服務(wù)器去處功能沒有得到發(fā)揮。 不限制應(yīng)用程序可用內(nèi)存的大小 具有虛擬內(nèi)存的能力，可以利用硬盤來擴(kuò)展內(nèi)存 允許在同一時間內(nèi)運(yùn)行多個應(yīng)用程序 支持多用戶，在同一時間內(nèi)可有多個用戶使用主機(jī) 具有先進(jìn)網(wǎng)絡(luò)能力，可通過TCP/IP協(xié)議與其他計(jì)算機(jī)連接通過網(wǎng)絡(luò)進(jìn)行分布式處理 符合Unix標(biāo)準(zhǔn)，可將Linux上完成的程序移植到Unix主機(jī)上來運(yùn)行 免費(fèi)軟件，可通過匿名FTP服務(wù)在“. edu”的“pub/linux”目錄下獲得Unix網(wǎng)絡(luò)操作系統(tǒng)特性： 多用戶、多任務(wù)、每個用戶可同時運(yùn)行多個進(jìn)程 大部分用C語言編寫，系統(tǒng)易讀，易修改，易移植 提供了豐富的、經(jīng)過精心挑選的系統(tǒng)調(diào)用，整個系統(tǒng)的實(shí)現(xiàn)十分緊湊，簡潔，優(yōu)美 提供功能強(qiáng)大的可編程shell語言，作用戶界面，簡潔高效 采用樹型文件系統(tǒng)，安全性、保密性、可維護(hù)性 提供多種通信機(jī)制 采用進(jìn)程對換的內(nèi)存管理機(jī)制和請求調(diào)頁的存儲管理方式，實(shí)現(xiàn)虛擬存儲管理。第五章 因特網(wǎng)基礎(chǔ)因特網(wǎng)主要作用：豐富的信息資源（WWW）；便利的通信服務(wù)（E－MAIL）；快捷的電子商務(wù)（中國最早的商務(wù)平臺8488）因特網(wǎng)主干網(wǎng)ANSNET從網(wǎng)絡(luò)設(shè)計(jì)者角度考慮：因特網(wǎng)是計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，借助網(wǎng)絡(luò)互聯(lián)設(shè)備——路由器。因特網(wǎng)中的通信線路歸納起來主要有兩類：有線線路和無線線路。所有連接在因特網(wǎng)上的計(jì)算機(jī)統(tǒng)稱為主機(jī)。服務(wù)器就是因特網(wǎng)服務(wù)與信息資源的提供者，客戶機(jī)是因特網(wǎng)服務(wù)和信息資源的使用者。IP作為一種互聯(lián)網(wǎng)協(xié)議，運(yùn)行于互聯(lián)層，屏蔽各個物理網(wǎng)絡(luò)的細(xì)節(jié)和差異。運(yùn)行IP協(xié)議的網(wǎng)絡(luò)層可以為其高層用戶提供如下三種服務(wù)： 不可靠的數(shù)據(jù)投遞服務(wù) 面向無連接的傳輸服務(wù) 盡最大努力投遞服務(wù)IP地址采取層次結(jié)構(gòu)，其層次是按邏輯結(jié)構(gòu)進(jìn)行劃分的。A類IP地址用于型網(wǎng)絡(luò)；B類IP地址用于中型網(wǎng)絡(luò)；C類IP地址用于小規(guī)模網(wǎng)絡(luò)，最多只能連接256臺設(shè)備；D類用于多目的地址發(fā)送；E類則保留為今后使用。再次劃分IP地址的網(wǎng)絡(luò)號和主機(jī)號部分用子網(wǎng)屏蔽碼來區(qū)分。例如，它的主機(jī)號為44。直接廣播地址包含一個有效的網(wǎng)絡(luò)號和一個全“1”的主機(jī)號，其作用是因特網(wǎng)上的主機(jī)向其他網(wǎng)絡(luò)廣播信息。它將廣播限制在最小的范圍內(nèi)。 回送地址：，用于網(wǎng)絡(luò)軟件測試以及本地機(jī)器進(jìn)程間通信。無論什么程序，一旦使用回送地址發(fā)送數(shù)據(jù)，協(xié)議軟件不進(jìn)行任何網(wǎng)絡(luò)傳輸，立即將之返回。 本地地址：除了前三種地址外，有些IP地址（、）是不分配給特定因特網(wǎng)用戶的，用戶可以在本地的內(nèi)部互聯(lián)網(wǎng)中使用這些IP地址。IP數(shù)據(jù)報(bào)的格式可以分為報(bào)送區(qū)和數(shù)據(jù)區(qū)兩大部分，其中數(shù)據(jù)區(qū)包括高層需要傳輸?shù)臄?shù)據(jù)，報(bào)頭區(qū)是為了正確傳輸高層數(shù)據(jù)而增加的控制信息。路由表有兩種基本形式：靜態(tài)路由表動態(tài)路由表。TCP為應(yīng)用層提供可靠的數(shù)據(jù)傳輸服務(wù)。因?yàn)樗梢蕴峁┮粭l從一臺主機(jī)的一個應(yīng)用程序到遠(yuǎn)程主機(jī)的另一個應(yīng)用程序的直接連接。TCP和UDP分別擁有自己的端口號，它們可共存一臺主機(jī)，但互不干擾。頂級域的劃分采用兩種劃分模式：組織模式和地理模式。借助于一組既獨(dú)立又協(xié)作的域名服務(wù)器來完成。域名解析兩方式：遞歸解析反復(fù)解析因特網(wǎng)提供的基本服務(wù)主要有： 電子郵件E－MAIL 遠(yuǎn)程登錄TELNET 文件傳輸FTP WWW服務(wù)WWW服務(wù)的特點(diǎn)：（具有高度的集成性） 以超文本方式組織網(wǎng)絡(luò)多媒體信息 用戶可以在世界范圍內(nèi)任意查找、檢索、瀏覽及添加信息 提供生動直觀、易于使用、統(tǒng)一的圖形，用戶界面 網(wǎng)點(diǎn)間可以互相鏈接，以提供信息查找和漫游的透明訪問 可訪問圖像、聲音、影像和文本信息WWW的安全性P136WWW服務(wù)系統(tǒng)以超文本標(biāo)記語言HTML與超文本傳輸協(xié)議HTTP為基礎(chǔ)，為用戶提供界面一致的信息瀏覽系統(tǒng)。頁面到頁面的鏈接信息由URL維持，用戶通過客戶端應(yīng)用程序（瀏覽器）。用戶發(fā)送和接收郵件需要借助于安裝在客戶機(jī)中的電子郵件應(yīng)用程序來完成。當(dāng)使用電子郵件應(yīng)用程序訪問IMAP服務(wù)器時，用戶可以決定是或?qū)⑧]件拷貝到客戶機(jī)中，以及是或在IMAP服務(wù)器中保留郵件副本，用戶以直接在服務(wù)器中閱讀和管理郵件。電子郵件由兩部分組成：郵件頭和郵件體（實(shí)際傳送的內(nèi)容）。遠(yuǎn)程終端協(xié)議，即TELNET協(xié)議，是TCP/IP協(xié)議的一部分，它精確的定義了本地客戶機(jī)與遠(yuǎn)程服務(wù)器之間交互過程。遠(yuǎn)程登錄協(xié)議是TCP/IP協(xié)議族中一個重要協(xié)議。因特網(wǎng)提供的遠(yuǎn)程登陸服務(wù)可以實(shí)現(xiàn)： 本地用戶與遠(yuǎn)程計(jì)算機(jī)上支持程序相互交互。 用戶可以利用個人計(jì)算機(jī)去完成許多只有大型機(jī)才能完成的任務(wù)。因特網(wǎng)用戶的FTP客戶端應(yīng)用程序通常有三種類型，即傳統(tǒng)的FTP命令行，瀏覽器和FTP下載工具。常用的FTP下載工具：..NetAnts.帳號：anonymous口令：guest這種在文本中包含與其他文本的連接特征，形成超文本的最大特點(diǎn)：無序性。超文本方式可看作是一種集成化的菜單系統(tǒng)。超文本傳輸協(xié)議HTTP是WWW客戶機(jī)與WWW服務(wù)器之間的應(yīng)用層傳輸協(xié)議。HTTP文檔本身并不包含多媒體數(shù)據(jù)，僅含有指向這些多的鏈接項(xiàng)。WWW服務(wù)器所存儲的頁面是一種結(jié)構(gòu)化的文檔，采用超文本標(biāo)記語言HTML書寫而成。對于機(jī)構(gòu)來說，主頁通常是WWW服務(wù)器的缺省頁，即用戶在輸入URL時只需要給出WWW服務(wù)器的主機(jī)名，而不必指定具體的路徑和文件名。但有一些個人主頁并不是WWW服務(wù)的缺省頁?？刂茊卧菫g覽器的中心。外部圖像是單獨(dú)的圖像文件。搜索引擎是因特網(wǎng)上的一個WWW服務(wù)器，它的主要任務(wù)是在因特網(wǎng)中主動搜索其他WWW服務(wù)器中的信息并對其自動索引。網(wǎng)絡(luò)新聞組是一種利用網(wǎng)絡(luò)進(jìn)行專題討論的國際論壇，到目前為止USENET仍是最大規(guī)模的網(wǎng)絡(luò)新聞組。基本組織單位：特定討論主題的討論組ISP一方面為用戶提供因特網(wǎng)接入服務(wù)，另一方面為用戶提供各種類型的信息服務(wù)。調(diào)制解調(diào)器在通信的一端負(fù)責(zé)將計(jì)算機(jī)輸出的數(shù)字信息轉(zhuǎn)換成普通電話線路能夠傳輸?shù)男盘?，在另一端將從電話線路接受的信號轉(zhuǎn)化成計(jì)算機(jī)能夠處理的數(shù)字信號。數(shù)據(jù)通信網(wǎng)傳輸速率：64K~2Mbps。目前國內(nèi)數(shù)據(jù)通信網(wǎng)服務(wù)的提供者主要有中國網(wǎng)通和中國聯(lián)通。網(wǎng)絡(luò)管理包括五個功能：配置管理、故障管理、性能管理、計(jì)費(fèi)管理、安全管理?；颍鹤畲笙薅仍黾泳W(wǎng)絡(luò)可用時間；提高網(wǎng)絡(luò)設(shè)備利用率；改善網(wǎng)絡(luò)性能、服務(wù)質(zhì)量和安全性；簡化多廠商混合網(wǎng)絡(luò)環(huán)境下的管理和控制網(wǎng)絡(luò)運(yùn)行的成本，并提供網(wǎng)絡(luò)長期規(guī)劃。優(yōu)化：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)管理。 操作系統(tǒng)版本報(bào)告清單信息（數(shù)據(jù)庫） 端口狀態(tài)報(bào)告 接口類型報(bào)告在網(wǎng)絡(luò)管理中，一般采用管理者——代理的管理模型。一般的代理都是返回它本身的信息，另一種稱委托代理的，可提供其他系統(tǒng)或其他設(shè)備的信息。管理者和代理之間的信息交換可以分為兩種：從管理者到代理的管理操作；從代理到管理者的事件通知。配置管理的內(nèi)容：對設(shè)備的管理和對設(shè)備連接關(guān)系的管理。需要配置的參數(shù)有：網(wǎng)絡(luò)地址、優(yōu)先權(quán)、重試次數(shù)、超時時間、路由信息等。故障管理是對計(jì)算機(jī)網(wǎng)絡(luò)中的問題或故障進(jìn)行定位的過程。故障管理的步驟：發(fā)現(xiàn)故障、判斷故障癥狀、隔離故障、修復(fù)故障、記錄故障的檢修過程及其結(jié)果。通常采用的故障報(bào)告形式有文字、圖形和聲音信號。故障標(biāo)簽就是一個監(jiān)視網(wǎng)絡(luò)問題的前端進(jìn)程。性能管理包括監(jiān)視和調(diào)整兩個功能。步驟： 收集網(wǎng)絡(luò)管理者感興趣的變量的性能參數(shù) 分析這些數(shù)據(jù)，判斷網(wǎng)絡(luò)是否牌正常水平并產(chǎn)生相應(yīng)的報(bào)告性能管理的作用：幫助管理員減少網(wǎng)絡(luò)中過分擁擠和不可通行的現(xiàn)象，從而為用戶提供穩(wěn)定的服務(wù)。計(jì)費(fèi)管理的主要作用是網(wǎng)絡(luò)管理都測量和報(bào)告基于個人或團(tuán)體用戶的計(jì)費(fèi)信息，分配資源并計(jì)算用戶通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的費(fèi)用。網(wǎng)絡(luò)計(jì)費(fèi)的功能：建立和維護(hù)計(jì)費(fèi)數(shù)據(jù)庫，能對任意一臺機(jī)器進(jìn)行計(jì)費(fèi)，建立和管理相應(yīng)的計(jì)費(fèi)策略，能夠?qū)χ付ǖ刂愤M(jìn)行限量控制，當(dāng)超過使用限額時，將其封鎖；允許使用單位或個人按時間、地址等信息查詢網(wǎng)絡(luò)的使用情況。安全管理是對網(wǎng)絡(luò)資源以及重要信息訪問進(jìn)行約束和控制。在網(wǎng)絡(luò)管理模型中，網(wǎng)絡(luò)管理者和代理之間需要交換大量管理信息，這一過程必須遵循統(tǒng)一的通信規(guī)范，我們把這個通信規(guī)范稱為網(wǎng)絡(luò)管理協(xié)議。安全管理功能： 標(biāo)識重要的網(wǎng)絡(luò)資源 確定重要的網(wǎng)絡(luò)資源和用戶集之間的映射關(guān)系 監(jiān)視對重要網(wǎng)絡(luò)資源的訪問 記錄對重要網(wǎng)絡(luò)資源的非法訪問 信息加密管理網(wǎng)絡(luò)管理協(xié)議是高層網(wǎng)絡(luò)應(yīng)用協(xié)議，它建立在具體物理網(wǎng)絡(luò)及其通信協(xié)議基礎(chǔ)上，為網(wǎng)絡(luò)管理平臺服務(wù)。SNMP可用于管理組網(wǎng)設(shè)備，如橋、路由器、交換機(jī)等內(nèi)在和處理能力有限的網(wǎng)絡(luò)互聯(lián)設(shè)備。在SNMP協(xié)議中，每個代理節(jié)點(diǎn)都保存一個管理信息庫（SNMP網(wǎng)絡(luò)管理系統(tǒng)的核心）。SNMP模型由網(wǎng)絡(luò)管理站、代理節(jié)點(diǎn)、管理信息庫和SNMP協(xié)議四部分構(gòu)成。一般采用圖形用戶界面顯示網(wǎng)絡(luò)的狀況。CMIP的優(yōu)點(diǎn)是安全性高，功能強(qiáng)大，不僅可用于傳輸管理數(shù)據(jù)，還可以執(zhí)行一定的任務(wù)。安全控制是指在操作系統(tǒng)和網(wǎng)絡(luò)通道設(shè)備上對存儲和傳輸信息的操作和進(jìn)程進(jìn)行控制和管理，主要是在信息處理層次上對信息進(jìn)行初步的安全保護(hù)。信息安全系統(tǒng)的設(shè)計(jì)原則（技術(shù)、行政和法律共同保障）技術(shù)角度：木桶原則整體原則有效性與實(shí)用性原則安全性評價原則等級性原則動態(tài)化原則美國國防部和國家標(biāo)準(zhǔn)局的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）定義了四類七個級別。類別名稱主要特征D1最小的保護(hù)保護(hù)措施很小，沒有安全功能C1選擇的安全保護(hù)有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位C2受控的訪問控制存取控制以用戶為單位，廣泛的審計(jì)B1標(biāo)記安全保護(hù)除了C2級的安全求外，增加安全策略模型，數(shù)據(jù)標(biāo)號（安全和屬性），托管訪問控制B2結(jié)構(gòu)化安全保護(hù)設(shè)計(jì)系統(tǒng)時必須有一個合理的總體設(shè)計(jì)方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的抗?jié)B透能力，訪問控制應(yīng)對所有的主體和客體進(jìn)行保護(hù)，對系統(tǒng)進(jìn)行隱蔽通道分析。D1級計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)規(guī)定對用戶沒有驗(yàn)證。計(jì)算機(jī)的最低一級，不要求用戶名或口令。 C2級為處理第三信息所需要的最低安全級別，C2級別進(jìn)一步限制用戶執(zhí)行一些命令或訪問某些文件的權(quán)限，而且還加入了身份驗(yàn)證。安全級別存在保密，絕密級別。 B2級要求計(jì)算機(jī)系統(tǒng)中的所有對象都要加上標(biāo)簽，而且給設(shè)備分配安全級別。B3級系統(tǒng)的關(guān)鍵安全件必須理解所有客體到主體的訪問。附加一個安全系統(tǒng)受監(jiān)視的設(shè)計(jì)要求。它定義了七個評估級別，其特點(diǎn)如下：E0級：該級別表示不充分的保證E1級：該級別必須有一個安全目標(biāo)和一個對產(chǎn)品或系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)的非形式化描述。E2級：除了E1級的要求外，還必須對詳細(xì)的設(shè)計(jì)有非形式化的描述。必須有配置控制系統(tǒng)和認(rèn)可的分配過程。還要評估測試這些機(jī)制的證據(jù)。用半形式化的格式說明安全加強(qiáng)功能、體系結(jié)構(gòu)和詳細(xì)的設(shè)計(jì)。E6級：除了E1級的要求外，必須正式說明安全加強(qiáng)功能和體系結(jié)構(gòu)設(shè)計(jì)，使其與安全策略的基本形式模型一致。凡是涉及到網(wǎng)絡(luò)信息的保密性，完整性，可用性，真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的基本要素是實(shí)現(xiàn)信息的機(jī)密性、完整性、可用性和合法性。 合法性：每個想獲得訪問的實(shí)體都必須經(jīng)過鑒別或身份驗(yàn)證網(wǎng)絡(luò)安全應(yīng)包括以下幾個方面：物理安全、人員安全、符合瞬時電磁脈沖輻射標(biāo)準(zhǔn)（TEM－PEST）、信息安全、操作安全、通信安全、計(jì)算機(jī)安全、工業(yè)安全。 兩個主體共享不希望對手得知的保密信息。安全威脅是某個人、物、事或概念對某個資源的機(jī)密性、完整性、可用性或合法性所造成的危害。故意威脅又可以分為被動和主動兩類： 基本威脅1） 信息泄漏或丟失：這是針對信息機(jī)密性的威脅，它指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息）；信息在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽通道等竊取敏感信息等。3） 拒絕服務(wù)；它不斷地網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。某個未授權(quán)實(shí)體使守衛(wèi)者相信它是一個合法的實(shí)體，從而攫取該合法用戶的特權(quán)。利用這些“特征”，攻擊者繞過防線守衛(wèi)者滲入系統(tǒng)內(nèi)部。2） 植入威脅特洛伊木馬：攻擊者在正常的軟件中隱藏一段用于其他目的的程序，這段隱藏的程序段常常以安全攻擊作為其最終目標(biāo)。陷門：這是在某個系統(tǒng)或某個文件中設(shè)置的“機(jī)關(guān)”，使得在提供特定的輸入數(shù)據(jù)時，雞違反安全策略。 潛在威脅：竊聽、通信量分析、人員疏忽、媒體清理。這類技術(shù)有：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。3）