網路安全與管理工作原理

① 網路安全與管理的目錄

第1章 網路安全概述
1.1 引言
1.1.1 從用戶角度看網路安全領域
1.1.2 從技術角度看網路安全領域
1.1.3 從產業角度看網路安全領域
1.2 網路安全面臨的威脅
1.2.1 物理安全威脅
1.2.2 操作系統的安全缺陷
1.2.3 網路協議的安全缺陷
1.2.4 應用軟體的實現缺陷
1.2.5 用戶使用的缺陷
1.2.6 惡意代碼
1.3 網路安全體系結構
1.3.1 網路安全總體框架
1.3.2 安全控制
1.3.3 安全服務
1.3.4 安全需求
1.4 網路安全模型
1.4.1 防護
1.4.2 檢測
1.4.3 響應
1.4.4 恢復
1.5 網路安全防範體系及設計原則
習題1
第2章 密碼學基礎
2.1 密碼學的發展歷史
2.2 古老的密碼技術
2.2.1 加密與破譯
2.2.2 愷撒大帝的秘密——替代之愷撒碼
2.3 對稱密碼演算法
2.4 DES演算法
2.4.1 DES的演算法框架
2.4.2 DES的演算法描述
2.4.3 DES演算法的應用誤區
2.5 非對稱密碼演算法
2.6 RSA演算法
2.7 Hash演算法
實訓1 數據加密演算法的應用
習題2
第3章 Windows網路操作系統的安全
3.1 WINDOWS網路操作系統的安全性概述
3.1.1 Windows 2000的安全特性
3.1.2 Windows 2000的安全結構
3.1.3 Windows 2000的網路模式
3.1.4 Windows 2000安全管理工具
3.2 ACTIVE DIRECTORY的結構與功能
3.2.1 Active Directory的功能和特點
3.2.2 Active Directory組件
3.2.3 Active Directory的操作
3.3 ACTIVE DIRECTORY組策略
3.3.1 組策略簡介
3.3.2 組策略的創建
3.3.3 管理組策略
3.3.4 應用組策略
3.4 用戶和工作組的安全管理
3.4.1 Windows 2000的用戶賬戶
3.4.2 用戶賬戶安全設置
3.4.3 組管理
3.4.4 用戶和組的驗證、授權和審核
3.5 審核機制
3.5.1 Windows 2000審核概述
3.5.2 審核管理
3.5.3 使用審核的最佳操作
實訓2 設計一個域和組織單元（OU）結構
習題3
第4章 對WINDOWS網路操作系統的攻擊與防護
4.1 WINDOWS網路漏洞分析
4.1.1 本地輸入法漏洞
4.1.2 Telnet漏洞
4.1.3 NetBIOS的信息泄露
4.1.4 IIS服務漏洞
4.1.5 命名管道漏洞
4.1.6 ICMP漏洞
4.1.7 MIME郵件頭漏洞
4.2 常見WINDOWS攻擊手法及防範
4.2.1 口令攻擊
4.2.2 特洛伊木馬攻擊
4.2.3 網路監聽
4.2.4 拒絕服務攻擊
4.2.5 電子郵件攻擊
4.2.6 緩存區溢出攻擊
4.3 WINDOWS 2000入侵檢測技術
4.3.1 基於Web服務埠的入侵檢測
4.3.2 基於安全日誌的檢測
4.3.3 文件訪問日誌與關鍵文件保護
4.3.4 進程監控
4.3.5 注冊表校驗
4.3.6 埠監控
4.3.7 終端服務的日誌監控
4.3.8 陷阱技術
實訓3 WINDOWS網路操作系統下的攻擊防禦實訓
習題4
第5章 LINUX網路操作系統的安全
5.1 LINUX簡介
5.2 LINUX安全問題概述
5.3 LINUX系統的安全機制
5.3.1 C1/C2安全級設計框架
5.3.2 用戶賬號與口令安全
5.3.3 文件系統與訪問控制
5.3.4 Linux的安全審計
5.3.5 網路監聽與入侵檢測
5.4 LINUX系統安全防範
5.4.1 系統漏洞掃描
5.4.2 查找後門與系統恢復
5.4.3 系統安全加固
實訓4 利用密碼猜測程序檢測系統中的薄弱密碼
習題5
第6章 電子商務的安全
6.1 電子商務安全概論
6.1.1 電子商務安全服務
6.1.2 電子商務安全技術
6.2 公共密鑰基礎設施PKI
6.2.1 PKI的核心服務
6.2.2 PKI實體的組成
6.2.3 PKI的應用
6.3 安全的電子支付
6.3.1 電子支付概述
6.3.2 基於信用卡的電子支付方案
6.3.3 基於支票的電子支付方案
6.3.4 基於現金的電子支付方案
6.3.5 電子支付與電子錢包
6.4 電子商務安全實施細節
6.4.1 客戶端安全性
6.4.2 伺服器端安全性
6.4.3 應用程序的安全性
6.4.4 資料庫伺服器的安全性
6.4.5 電子商務站點實例
實訓5 電子商務安全技術調研
習題6
第7章 網路攻擊與防護
7.1 關於黑客
7.2 黑客（HACKER）文化
7.3 IP欺騙
7.3.1 IP欺騙原理
7.3.2 一個源程序
7.4 埠掃描
7.4.1 埠掃描簡介
7.4.2 埠掃描的原理
7.4.3 埠掃描的工具
7.5 網路監聽
7.5.1 網路監聽的原理
7.5.2 網路監聽的檢測
7.6 拒絕服務攻擊
7.6.1 概述
7.6.2 拒絕服務攻擊的原理
7.6.3 分布式拒絕服務攻擊及其防範
7.7 特洛伊木馬
7.7.1 特洛伊木馬程序的位置和危險級別
7.7.2 特洛伊木馬的類型
7.7.3 特洛伊木馬的檢測
7.7.4 特洛伊木馬的防範
實訓6 攻擊防禦實訓
習題7
第8章 防火牆技術
8.1 防火牆的基本知識
8.1.1 防火牆的概念及作用
8.1.2 防火牆的架構與工作方式
8.1.3 防火牆的體系結構
8.1.4 防火牆的基本類型
8.1.5 防火牆的發展史
8.2 防火牆的工作原理
8.2.1 什麼是防火牆
8.2.2 伺服器TCP/UDP 埠過濾
8.2.3 TCP/UDP埠
8.2.4 雙向過濾
8.2.5 檢查ACK位
8.2.6 FTP帶來的困難
8.2.7 UDP埠過濾
8.3 深入了解防火牆
8.4 一種典型防火牆產品
實訓7 防火牆配置
習題8
第9章 網路安全解決方案
9.1 政府機構網路安全解決方案
9.1.1 前言
9.1.2 政府網路安全隱患
9.1.3 解決方案
9.2 金融系統網路安全解決方案
9.2.1 前言
9.2.2 網路系統分析
9.2.3 網路安全風險分析
9.2.4 網路安全需求及安全目標
9.2.5 網路安全實現策略及產品選型原則
9.2.6 網路安全方案設計原則
9.2.7 網路安全體系結構
9.3 電子商務網路安全解決方案
9.3.1 前言
9.3.2 網路系統分析
9.3.3 網路安全風險分析
9.3.4 網路安全需求及安全目標
9.3.5 網路安全實現策略及產品選型原則
9.3.6 網路安全方案設計原則
9.4 網路防病毒解決方案
實訓8 網路安全方案
習題9
參考文獻

② 1.從網路的工作原理,網路應用與網路安全三個方面談談你對網路的認識。 2.談談你對網路檢索工具的認識。

網路的工作原理就是OSI七層模型，
網路管理、網路伺服器配置與管理、路由交換機配置與管理、構建企業網路、網路綜合布線技術、網路測試與故障診斷、網路入侵的檢測與防範

網路檢索工具
網路檢索工具大致可分為三大類型：

(1)字典型查詢工具。它用於查詢網上用戶名、Email、URL、伺服器地址等。這類工具有：White Pages Directory、Internet Yellow Pages、Whois、DejaNews、FAQArchive等。

(2)索引型查詢工具。它為網上信息資源建立索引，這類工具有：FTP資源的索引Archie，Gopher資源的索引Verronica、jughead，網上伺服器的索引Wais等。

(3)互動式查詢工具。它提供類似商用聯機檢索的網路信息查詢服務。這類工具墓本可分為Gopher和WWW兩類。

③ 網路安全的技術原理

網路安全性問題關繫到未來網路應用的深入發展，它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法，其實它是一種計算機硬體和軟體的組合，使互聯網與內部網之間建立起 一個安全網關，從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器，這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信，起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改，因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類，一類被稱為標准「防火牆」；一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界，即公用網；而另一個則聯接內部網。標准「防火牆」使用專門的軟體，並要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關，它是一個單個的系統，但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的連接，可以確保數據包不能直接從外部網路到達內部網路，反之亦然。
隨著「防火牆」技術的進步，在雙家網關的基礎上又演化出兩種「防火牆」配置，一種是隱蔽主機網關，另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義，這種配置一方面將路由器進行隱藏，另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後，它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說，這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展，網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，推動著數據加密技術和物理防範技術的不斷發展。按作用不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時，智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度，並不是越安全就越可靠。因而，看一個內部網是否安全時不僅要考慮其手段，而更重要的是對該網路所採取的各種措施，其中不僅是物理防範，而且還有人員素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制