1 通俗意义

2 图书名

3 人民邮电出版社图书

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

基本简介

潜在威胁

网络安全的五个特征

计算机网络的脆弱性(1）网络的开放性 2）网络的国际性 3）网络的自由性)

网络安全防范

操作系统存在的安全问题

防火墙的脆弱性

其他方面的因素

相关对策(技术层面对策 管理层面对策 物理安全层面对策)

计算机网络安全体系结构(网络划分 建网的原则)

◎ 基本简介

计算机网络安全不仅包括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。”

◎ 潜在威胁

对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面：

◎ 网络安全的五个特征

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

可控性：对信息的传播及内容具有控制能力。

可审查性：出现的安全问题时提供依据与手段

◎ 计算机网络的脆弱性

互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项：

◎ 1）网络的开放性

网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。

◎ 2）网络的国际性

意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。

◎ 3）网络的自由性

大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，发布和获取各类信息。

防范间谍软件之危害的对策

1、公开安装的间谍软件

对于那些公开安装的间谍软件，你无需费多大工夫去研究他，因为你可以轻而易举的将之卸载，除此之外，你还可以知道他们的大至功能所在。换句话说，对于这些公开安装的间谍软件，你有很多措施保护你的隐私不受侵犯。例如，从不在办公室计算机里检查私有的电子邮件。公开安装的间谍软件一般都是合法的，他们有特定的使用人群和用途。

公司和学院：他们也许使用间谍软件监测他们雇员的计算机和网络使用。

父母：他们也许使用间谍软件监测家庭电脑和网络使用。防止他们的孩子受到有害信息的毒害。许多父母希望间谍软件可能帮助他们。

政府:他们也许为公开安全或信息战争而使用间谍软件监测网络。

2、秘密侵入的间谍软件

真正的危险来自那些秘密侵入到你计算机里的间谍软件，因为你不知道他究竟想做什么。所有间谍软件的安装都利用了两种弱点。一种是PC机的应用软件，另一种是你自己。

由于现代计算机软件是极端复杂的,现有的很多应用软件和操作系统都存在各种各样的漏洞。间谍软件可以利用这些漏洞侵入到你的计算机。理论上你不可能防止这种侵入，当你冲浪网页,一张小图片可能给你带来可怕的间谍软件。除给你的操作系统打上必要的补丁，尽可能不去不安全或不熟悉的站点是减少这种侵入的有效方法。

很显然,这种利用应用软件漏洞的侵入方式需要较高的技术水平。而绝大多数间谍软件的侵入是采用简单的欺诈方式。例如,他们免费给你提供一个可以清除间谍软件的软件，而他们真正的目的是将你计算机里原有的间谍软件去除，用他们的取而代之。

如果你习惯在网上下载免费软件，你的计算机里可能有一大堆间谍软件。

所以我们有两种方法对付这些秘密侵入的间谍软件：尽量不去不熟悉或不安全的站点，尽量不从网上下载免费软件。

这种秘密的侵入也有他特定的用户群和用途。论防范间谍软件之危害

◎ 网络安全防范

(1)利用虚拟网络技术，防止基于网络监听的入侵手段。

(2)利用防火墙技术保护网络免遭黑客袭击。

(3)利用病毒防护技术可以防毒、查毒和杀毒。

(4)利用入侵检测技术提供实时的入侵检测及采取相应的防护手段。

(5)安全扫描技术为发现网络安全漏洞提供了强大的支持。

(6)采用认证和数字签名技术。认证技术用以解决网络通讯过程中通讯双方的身份认可，数字签名技术用于通信过程中的不可抵赖要求的实现。

(7)采用VPN技术。我们将利用公共网络实现的私用网络称为虚拟私用网VPN.

(8)利用应用系统的安全技术以保证电子邮件和操作系统等应用平台的安全。

◎ 操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。

1）操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。

2）操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。

3）操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。

4）操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7 月1 日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7 月1 日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。

5）操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。

6）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。

7） 尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个网络瘫痪掉。

2.3 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

◎ 防火墙的脆弱性

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

但防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。

◎ 其他方面的因素

计算机系统硬件和通讯设施极易遭受到自然环境的影响，如：各种自然灾害（如地震、泥石流、水灾、风暴、建筑物破坏等）对计算机网络构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。

◎ 相关对策

◎ 技术层面对策

对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策：

1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。

2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

4) 应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。

5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序,不随意下载网络可疑信息。

6) 提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。

7) 研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

◎ 管理层面对策

计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。

计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

◎ 物理安全层面对策

要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：

1) 计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。

2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

◎ 计算机网络安全体系结构

体系结构应用系统工程的观点、方法来分析网络的安全，根据制定的安全策略，确定合理的网络安全体系结构。

◎ 网络划分

1、公用网

2、专用网：

（1）保密网

（2）内部网

◎ 建网的原则

从原则上考虑：例如选取国家利益。

从安全级别上：1，最高级为安全不用，无论如何都是不可取的。2，3，4 全部要考虑。

因此按保密网、内部网和公用网或按专用网和公用网来建设，采用在物理上绝对分开，各自独立的体系结构。

基本信息

内容简介

目录

基本信息

内容简介

◎ 基本信息

书名：计算机网络安全作　者：鲁立，龚涛　主编

I S B N：9787111335054

出 版 社：机械工业出版社

出版时间：2011-4-1

版　次：1页　数：242

◎ 内容简介

机 械 工 业 出 版 社

本书围绕网络安全应用技术，由浅入深、循序渐进地介绍了计算机网络安全方面的知识，同时注重对学生的实际应用技能和动手能力的培养。全书共分9章，内容涵盖网络基础知识、计算机病毒、加密与数字签名技术、操作系统漏洞、防火墙技术、端口扫描技术、入侵检测以及无线局域网安全。本书内容丰富翔实，通俗易懂，以实例为中心，并结合大量的经验技巧。

本书既可作为各大高职高专院校计算机以及相关专业的教材，也可作为网络安全管理员指导用书。

前 言

计算机网络技术的迅猛发展以及网络系统应用的日益普及，给人们的生产方式、生活方式和思维方式带来极大的变化。但是，计算机网络系统是开放的系统，具有众多的不安全因素，如何保证网络中计算机和信息的安全是一个重要且复杂的问题。目前研究网络安全已经不仅仅只是为了信息和数据安全，它已经涉及国家发展的各个领域。

培养既掌握计算机网络的理论基础知识，又掌握计算机网络实际应用技能的人才，是网络教学工作者的责任。特别是对于大专院校计算机类专业的学生，更需要一本既具有一定的理论知识水平，又具有较强实际应用技术的教材。

本书以培养网络安全实用型人才为指导思想，在介绍具有一定深度的网络安全理论知识基础上，重点介绍网络安全应用技术，注重对学生的实际应用技能和动手能力的培养。

本书共分为9章，主要内容包括：计算机网络安全基础知识、网络安全威胁的特点、网络安全防护与安全策略的基础知识（第1章）；计算机网络协议的基础知识、网络协议对于网络安全体系结构、网络常用命令和协议分析工具（Sniffer）的使用方法（第2章）；计算机病毒的特性、计算机病毒的分类及传播途径、计算机病毒的检测和防御方法等基本操作技能（第3章）；加密算法的工作原理、数字签名技术的工作原理、公钥基础架构（PKI）、CA、数字证书的工作原理和相关概念、PGP工具软件的应用、SSL安全传输及安全Web站点的应用配置（第4章）；防火墙的功能、防火墙的实现技术、防火墙的工作模式和防火墙的实施方式（第5章）；Windows Server 2003操作系统的网络安全构成、账户策略、访问控制配置和安全模板的应用（第6章）；端口的概念、各种端口扫描技术的工作原理、常见端口扫描工具应用方法、防范端口扫描技术的应用（第7章）；入侵检测系统模型和工作过程、入侵检测系统分类和工作原理、基于主机的入侵检测系统和基于网络的入侵检测系统部署（第8章）；介绍无线局域网的构成、无线局域网络的标准和无线网络安全的实现方式（第9章）。

本书由鲁立、龚涛任主编，严学军、任琦任副主编，参加编写的还有武汉软件工程职业学院李安邦、宋焱宏、刘颂、张恒、刘媛媛、何水艳、周雯、李晓泉和武汉市中等职业艺术学校刘桢。万钢主审本书，并在编写过程中给予了指导和帮助。

由于计算机网络安全技术发展迅速，加之编者水平有限，书中不足之处在所难免，恳请广大读者提出宝贵意见。

◎ 目录

出版说明

前言

第1章 计算机网络安全概述 1

1.1 计算机网络安全的基本概念 1

1.1.1 网络安全的定义 1

1.1.2 网络安全的特性 2

1.2 计算机网络安全的威胁 3

1.2.1 网络安全威胁的分类 3

1.2.2 计算机病毒的威胁 3

1.2.3 木马程序的威胁 4

1.2.4 网络监听 4

1.2.5 黑客攻击 4

1.2.6 恶意程序攻击 4

1.3 网络安全威胁产生的根源 5

1.3.1 系统及程序漏洞 5

1.3.2 网络安全防护所需设施

存在的问题 8

1.3.3 安全防护知识方面存在的问题 9

1.4 网络安全策略 9

1.4.1 网络安全策略设计的原则 9

1.4.2 几种网络安全策略 10

1.5 计算机网络安全的现状与发展 11

1.5.1 计算机网络安全的现状 11

1.5.2 计算机网络安全的发展方向 12

1.6 小结与练习 13

1.6.1 小结 13

1.6.2 练习 13

第2章 网络安全体系结构及协议 14

2.1 计算机网络协议概述 14

2.1.1 网络协议 14

2.1.2 协议簇和行业标准 14

2.1.3 协议的交互 15

2.1.4 技术无关协议 15

2.2 OSI参考模型及其安全体系 16

2.2.1 计算机网络体系结构 16

2.2.2 OSI参考模型简介 16

2.2.3 ISO/OSI安全体系 17

2.3 TCP/IP参考模型及其安全体系 20

2.3.1 TCP/IP参考模型 20

2.3.2 TCP/IP参考模型的安全体系 21

2.4 常用网络协议和服务 24

2.4.1 常用网络协议 24

2.4.2 常用网络服务 27

2.5 Windows常用的网络命令 28

2.5.1 ping命令 28

2.5.2 at命令 30

2.5.3 netstat命令 31

2.5.4 tracert命令 32

2.5.5 net命令 32

2.5.6 ftp命令 34

2.5.7 nbtstat命令 35

2.5.8 telnet命令 36

2.6 协议分析工具—Sniffer的应用 36

2.6.1 Sniffer的启动和设置 37

2.6.2 解码分析 40

2.7 实训项目 42

2.8 小结与练习 43

2.8.1 小结 43

2.8.2 练习 43

第3章 计算机病毒与木马 44

3.1 计算机病毒概述 44

3.1.1 计算机病毒的定义 44

3.1.2 计算机病毒的演变史 44

3.1.3 计算机病毒的特性 46

3.2 计算机病毒及其分类、

传播途径 46

3.2.1 常见计算机病毒 46

3.2.2 计算机病毒的分类 47

3.2.3 计算机病毒的传播途径 48

3.3 计算机病毒的检测和防御 49

3.3.1 普通计算机病毒的检测与防御 49

3.3.2 U盘病毒的检测与防御 54

3.3.3 ARP病毒的检测与防御 57

3.3.4 蠕虫病毒的检测与防御 59

3.4 计算机木马概述 64

3.4.1 计算机木马的定义 65

3.4.2 计算机木马的类型及基本功能 65

3.4.3 计算机木马的工作原理 66

3.5 计算机木马的检测与防御 66

3.5.1 普通计算机木马的检测与防御 66

3.5.2 典型计算机木马的手动清除 70

3.6 实训项目 74

3.7 小结与练习 74

3.7.1 小结 74

3.7.2 练习 75

第4章 加密与数字签名 76

4.1 加密技术 76

4.1.1 加密技术概述 76

4.1.2 数据加密常见方式 77

4.2 加密算法 80

4.2.1 古典加密算法 80

4.2.2 现代加密算法 82

4.3 数字签名技术 84

4.3.1 数字签名技术概述 84

4.3.2 数字签名技术的工作原理 85

4.3.3 数字签名技术的算法 86

4.4 PKI技术 86

4.4.1 PKI概述 86

4.4.2 PKI技术原理 86

4.4.3 证书颁发机构 87

4.4.4 数字证书 88

4.5 PGP原理及应用 89

4.5.1 PGP概述 89

4.5.2 PGP密钥的创建 89

4.5.3 PGP文件加密和解密 93

4.5.4 PGP密钥导出与导入 94

4.5.5 PGP电子邮件加、解密和

签名验证 95

4.5.6 PGP数字签名 97

4.6 EFS原理及应用 98

4.6.1 EFS概述 98

4.6.2 EFS的加密和解密 98

4.6.3 EFS的其他应用 101

4.7 SSL安全传输及应用 104

4.7.1 SSL概述 104

4.7.2 SSL的工作原理 105

4.7.3 安装证书服务 105

4.7.4 申请证书 107

4.7.5 颁发Web服务器证书 110

4.7.6 安装服务器证书 111

4.7.7 Web服务器的SSL设置 112

4.7.8 浏览器的SSL设置 113

4.7.9 访问SSL站点 115

4.8 实训项目 115

4.9 小结与练习 118

4.9.1 小结 118

4.9.2 练习 118

第5章 防火墙技术 119

5.1 防火墙概述 119

5.1.1 防火墙的基本准则 119

5.1.2 防火墙的主要功能特性 120

5.1.3 防火墙的局限性 120

5.2 防火墙的实现技术 120

5.2.1 数据包过滤 120

5.2.2 应用层代理 121

5.2.3 状态检测技术 122

5.3 防火墙的体系结构 122

5.3.1 双宿/多宿主机模式 122

5.3.2 屏蔽主机模式 123

5.3.3 屏蔽子网模式 123

5.4 防火墙的工作模式 124

5.5 防火墙的实施方式 126

5.5.1 基于单个主机的防火墙 126

5.5.2 基于网络主机的防火墙 126

5.5.3 硬件防火墙 126

5.6 瑞星个人防火墙的应用 127

5.6.1 界面与功能布局 127

5.6.2 常用功能 128

5.6.3 网络监控 130

5.6.4 访问控制 134

5.6.5 高级设置 137

5.7 ISA Server 2004配置 138

5.7.1 ISA Server 2004概述 138

5.7.2 ISA Server 2004的安装 139

5.7.3 ISA Server 2004防火墙策略 142

5.7.4 发布内部网络中的服务器 147

5.7.5 ISA Server 2004的系统和

网络监控及报告 152

5.8 iptables防火墙 155

5.8.1 iptables中的规则表 156

5.8.2 iptables命令简介 156

5.8.3 Linux防火墙配置 158

5.9 PIX防火墙配置 161

5.9.1 PIX的基本配置命令 162

5.9.2 PIX防火墙配置实例 166

5.10 实训项目 167

5.11 小结与练习 170

5.11.1 小结 170

5.11.2 练习 170

第6章 Windows Server 2003的

网络安全 171

6.1 Windows Server 2003的

安全简介 171

6.1.1 用户身份验证 171

6.1.2 基于对象的访问控制 172

6.2 Windows Server 2003系统安全

配置的常用方法 172

6.2.1 安装过程 172

6.2.2 正确设置和管理账户 172

6.2.3 正确设置目录和文件权限 173

6.2.4 网络服务安全管理 173

6.2.5 关闭无用端口 174

6.2.6 本地安全策略 175

6.2.7 审核策略 179

6.2.8 Windows日志文件的保护 180

6.3 Windows Server 2003访问

控制技术 181

6.3.1 访问控制技术简介 181

6.3.2 Windows Server 2003访问

控制的使用 181

6.4 账户策略 187

6.4.1 账户策略的配置 187

6.4.2 Kerberos策略 190

6.5 启用安全模板 190

6.5.1 安全模板的简介 190

6.5.2 启用安全模板的方法 191

6.6 实训项目 193

6.7 小结与练习 196

6.7.1 小结 196

6.7.2 练习 196

第7章 端口扫描技术 197

7.1 端口概述 197

7.1.1 TCP/IP工作原理 197

7.1.2 端口的定义 199

7.1.3 端口的分类 199

7.2 端口扫描技术 200

7.2.1 端口扫描概述 200

7.2.2 常见的端口扫描技术 201

7.3 常见扫描软件及其应用 202

7.3.1 扫描软件概述 202

7.3.2 SuperScan扫描工具及应用 202

7.4 端口扫描防御技术应用 204

7.4.1 查看端口的状态 204

7.4.2 关闭闲置和危险的端口 207

7.4.3 隐藏操作系统类型 209

7.5 实训项目 211

7.6 小结与练习 215

7.6.1 小结 215

7.6.2 练习 215

第8章 入侵检测系统 216

8.1 入侵检测概述 216

8.1.1 入侵检测的概念及功能 216

8.1.2 入侵检测系统模型 216

8.1.3 入侵检测工作过程 217

8.2 入侵检测系统的分类 217

8.2.1 根据检测对象划分 217

8.2.2 根据检测技术划分 218

8.2.3 根据工作方式划分 219

8.3 入侵检测系统部署 219

8.3.1 基于主机的入侵

检测系统部署 219

8.3.2 基于网络的入侵

检测系统部署 219

8.3.3 常见入侵检测工具及其应用 221

8.4 入侵防护系统 225

8.4.1 入侵防护系统的工作原理 226

8.4.2 入侵防护系统的优点 227

8.4.3 入侵防护系统的主要应用 228

8.5 小结与练习 228

8.5.1 小结 228

8.5.2 练习 229

第9章 无线网络安全 230

9.1 无线局域网介绍 230

9.1.1 无线局域网常用术语 230

9.1.2 无线局域网组件 231

9.1.3 无线局域网的访问模式 232

9.1.4 覆盖区域 233

9.2 无线网络常用标准 233

9.2.1 IEEE 802.11b 234

9.2.2 IEEE 802.11a 234

9.2.3 IEEE 802.11g 235

9.2.4 IEEE 802.11n 235

9.3 无线网络安全解决方案 236

9.3.1 无线网络访问原理 236

9.3.2 认证 237

9.3.3 加密 238

9.3.4 入侵检测系统 240

9.4 小结与练习 241

9.4.1 小结 241

9.4.2 练习 241

参考文献 242

◎ 基本信息

书 名：计算机网络安全作　者：顾巧论 贾春福

出版社： 清华大学出版社

出版时间： 2008

ISBN: 9787302091394

开本： 16

定价: 24.00 元

◎ 内容简介

该书阐述了网络所涉及的安全问题，还通过实例、实训来增强读者的理解及动手能力。主要内容包括网络安全基础知识、物理与环境安全、操作系统安全、网络通信安全、Web安全、数据安全、病毒及其预防、黑客攻击与防范、防火墙技术及有关网络安全的法律法规。

该书不仅适合应用型大学本科学生使用，同时也适合于对网络安全感兴趣的读者。

书名:计算机网络安全--高等学校计算机专业教材

ISBN:711512498

作者:邓亚军等

出版社:人民邮电出版社

定价:31

页数:0

出版日期:2004-6-1

版次:

开本:16开

包装:平装

简介:本书详细地介绍计算机网络安全的基础理论、原理及其实现方法。主要内容包括网络安全概论、数据加密、计算机病毒的防治、操作系统的安全、数据库系统的安全、黑客入侵技术、网站的安全、网络协议的安全、防火墙技术、入侵检测技术、安全评估和安全法规等。.

本书可作为高等院校本科计算机专业、通信工程专业和信息安全专业等相关专业的教材，也可作为计算机网络安全或信息安全课程的研究生教材，还可作为网络工程技术人员、网络管理员和信息安全管理人员的技术参考书。...

目录:

第1章　网络安全概论　1

1.1　网络安全面临的威胁　1

1.1.1　物理安全威胁　1

1.1.2　操作系统的安全缺陷　3

1.1.3　网络协议的安全缺陷　6

1.1.4　应用软件的实现缺陷　13

1.1.5　用户使用的缺陷　15

1.1.6　恶意代码　17

1.2　网络安全体系结构　20

1.2.1　网络安全总体框架　20

1.2.2　安全控制　21

1.2.3　安全服务　21

1.2.4　安全需求　25

1.3　PDRR网络安全模型　26

1.3.1　防护　27

1.3.2　检测　31

1.3.3　响应　32

1.3.4　恢复　32

1.4　网络安全基本原则　33

1.4.1　普遍参与　33

1.4.2　纵深防御　33

1.4.3　防御多样化　34

1.4.4　阻塞点　35

1.4.5　最薄弱链接　35

1.4.6　失效保护状态　36

1.4.7　最小特权　37

1.4.8　简单化　38

1.5　本章小结　38

习题　38

第2章　数据加密　40

2.1　数据加密概述　40

2.1.1　保密通信模型　41

2.1.2　经典加密方法　42

2.1.3　现代密码体制　46

2.2　对称密码体制　47

2.2.1　美国数据加密标准(DES)　47

2.2.2　国际数据加密算法(IDEA)　52

2.2.3　高级加密标准(AES)　55

2.3　非对称密码体制　60

2.3.1　非对称密码体制的原理　60

2.3.2　RSA算法　62

2.3.3　LUC算法　64

2.3.4　椭圆曲线算法　67

2.4　密钥的管理　71

2.4.1　密钥的管理　71

2.4.2　密钥的分配　73

2.4.3　公钥的全局管理体制(PKI)　79

2.5　散列函数与数字签名　81

2.5.1　散列函数　81

2.5.2　报文摘要　82

2.5.3　安全散列函数(SHA)　83

2.5.4　数字签名算法(DSA)　86

2.6　本章小结　87

习题　89

第3章　计算机病毒及防治　90

3.1　计算机病毒概述　90

3.1.1　计算机病毒的概念和发展史　90

3.1.2　计算机病毒的特征　93

3.1.3　计算机病毒的种类　94

3.2　计算机病毒的工作机理　96

3.2.1　引导型病毒　97

3.2.2　文件型病毒　98

3.2.3　混合型病毒　99

3.2.4　宏病毒　100

3.2.5　网络病毒　101

3.3　计算机病毒实例　103

3.3.1　CIH病毒　103

3.3.2　红色代码病毒　104

3.3.3　冲击波病毒　105

3.4　计算机病毒的检测和清除　106

3.4.1　计算机病毒的检测　106

3.4.2　计算机病毒的消除　109

3.5　本章小结　110

习题　111

第4章　操作系统的安全　112

4.1　操作系统安全性概述　112

4.1.1　操作系统安全的重要性　112

4.1.2　操作系统的安全服务　114

4.1.3　操作系统安全性的设计原则与一般结构　117

4.1.4　安全操作系统的发展状况　118

4.2　Windows NT/2000的安全　121

4.2.1　Windows NT/2000的安全模型　121

4.2.2　Windows NT/2000的登录控制　123

4.2.3　Windows NT/2000的访问控制　125

4.2.4　Windows NT/2000的安全管理　127

4.3　UNIX/Linux的安全　131

4.3.1　UNIX用户账号与口令安全　131

4.3.2　UNIX的文件访问控制　134

4.3.3　UNIX安全的管理策略　136

4.3.4　UNIX网络服务的安全管理　138

4.3.5　UNIX的安全审计　140

4.4　本章小结　141

习题　142

第5章　数据库系统的安全　143

5.1　数据库安全概述　143

5.1.1　简介　143

5.1.2　数据库系统的特性　144

5.1.3　数据库系统的安全性要求　144

5.1.4　数据库系统安全的含义　146

5.1.5　数据库系统的安全架构　146

5.1.6　数据库安全系统特性　147

5.1.7　多层数据库系统的安全　148

5.2　数据库安全的威胁　149

5.2.1　数据篡改　149

5.2.2　数据损坏　150

5.2.3　数据窃取　150

5.3　数据库的数据保护　151

5.3.1　数据库的故障类型　151

5.3.2　数据库的数据保护　153

5.4　数据库的备份和恢复　159

5.4.1　数据库的备份　159

5.4.2　系统和网络完整性　160

5.4.3　数据库的恢复　161

5.5　本章小结　163

习题　163

第6章　黑客入侵技术　164

6.1　端口扫描　164

6.1.1　端口扫描简介　164

6.1.2　端口扫描的原理　165

6.1.3　端口扫描的工具　166

6.2　网络监听　169

6.2.1　网络监听的原理　169

6.2.2　网络监听的检测　172

6.3　IP电子欺骗　174

6.3.1　关于盗用IP地址　174

6.3.2　IP电子欺骗的原理　175

6.3.3　IP电子欺骗的实施　176

6.3.4　IP电子欺骗的防范　178

6.4　拒绝服务攻击　179

6.4.1　概述　179

6.4.2　拒绝服务攻击的原理　180

6.4.3　分布式拒绝服务攻击及其防范　184

6.5　特洛伊木马　187

6.5.1　特洛伊木马程序简介　187

6.5.2　特洛伊木马程序的位置和危险级别　189

6.5.3　特洛伊木马的类型　189

6.5.4　特洛伊木马的检测　190

6.5.5　特洛伊木马的防范　192

6.6　E-mail炸弹　195

6.6.1　E-mail炸弹的原理　195

6.6.2　邮件炸弹的防范　196

6.7　缓冲区溢出　198

6.7.1　缓冲区溢出简介　198

6.7.2　制造缓冲区溢出　199

6.7.3　通过缓冲区溢出获得用户shell　200

6.7.4　利用缓冲区溢出进行的攻击　202

6.7.5　缓冲区溢出攻击的防范　204

6.8　本章小结　205

习题　205

第7章　网站的安全　206

7.1　口令安全　206

7.1.1　口令破解过程　206

7.1.2　安全口令的设置　212

7.2　Web站点的安全　213

7.2.1　构建Web站点的安全特性　215

7.2.2　检测和排除安全漏洞　218

7.2.3　监控Web站点的信息流　225

7.3　DNS的安全　227

7.3.1　DNS的安全问题　227

7.3.2　增强的DNS　232

7.3.3　安全DNS信息的动态更新　234

7.4　本章小结　237

习题　237

第8章　网络协议的安全　238

8.1　IP的安全　238

8.1.1　IPSec协议簇　238

8.1.2　AH协议　247

8.1.3　ESP协议　250

8.1.4　IKE协议　252

8.2　传输协议的安全　255

8.2.1　SSL协议　256

8.2.2　TLS协议　264

8.3　应用协议的安全　271

8.3.1　FTP的安全　272

8.3.2　Telnet的安全　275

8.3.3　S-HTTP　278

8.3.4　电子商务的安全协议　279

8.4　本章小结　282

习题　282

第9章　防火墙技术　284

9.1　防火墙概述　284

9.1.1　防火墙的基本概念　284

9.1.2　防火墙的作用与不足　284

9.2　防火墙的设计策略和安全策略　287

9.2.1　防火墙的设计策略　287

9.2.2　防火墙的安全策略　288

9.3　防火墙的体系结构　292

9.3.1　包过滤型防火墙　292

9.3.2　多宿主主机(多宿主网关)防火墙　294

9.3.3　屏蔽主机型防火墙　296

9.3.4　屏蔽子网型防火墙　297

9.3.5　堡垒主机　300

9.4　防火墙的主要技术　301

9.4.1　数据包过滤技术　302

9.4.2　代理技术　308

9.4.3　状态检查技术　311

9.4.4　地址翻译技术　314

9.4.5　内容检查技术　317

9.4.6　VPN技术　317

9.4.7　其他防火墙技术　323

9.5　本章小结　325

习题　325

第10章　入侵检测技术　326

10.1　入侵检测概述　326

10.1.1　网络安全的目标　326

10.1.2　研究入侵检测的必要性　327

10.1.3　网络安全体系结构　329

10.2　入侵检测原理　330

10.2.1　异常入侵检测原理　330

10.2.2　误用入侵检测原理　331

10.2.3　入侵检测模型　332

10.3　入侵检测系统的关键技术　339

10.3.1　多用于异常入侵检测的技术　339

10.3.2　多用于误用入侵检测的技术　347

10.3.3　基于Agent的入侵检测　348

10.3.4　入侵检测的新技术　353

10.3.5　入侵检测系统面临的挑战和发展前景　356

10.4　基于数据挖掘的智能化入侵检测系统设计　357

10.4.1　入侵检测系统体系结构以及模型　358

10.4.2　数据预处理　358

10.4.3　基于协议分析的检测方法　359

10.4.4　数据挖掘规则生成模块　360

10.5　本章小结　362

习题　362

第11章　网络安全评估和安全法规　363

11.1　安全评估的国际通用准则　363

11.1.1　可信计算机系统安全评估准则　363

11.1.2　信息系统技术安全评估通用准则　365

11.2　安全评估的国内通用准则　366

11.2.1　信息系统安全划分准则　366

11.2.2　信息系统安全有关的标准　369

11.3　网络安全的法律和法规　369

11.3.1　网络安全相关的法规　369

11.3.2　网络安全相关的法律　370

11.3.3　网络安全管理的有关法律　370

11.3.4　电子公告服务的法律管制　373

11.4　本章小结　374

习题　374

参考文献　375