信息系統安全防護技術

圖書名稱：《信息系統安全防護技術》

作者：謝建全 編著

出版社：中國宇航出版社

出版時間：2006年7月

在計算機網路不斷普及的今天，信息系統網路化、全球化已成為信息系統發展的大趨勢。但是，信息系統所面臨的威脅也變得越來越嚴峻，安全與防護已成為信息系統套用中必須解決的首要問題之一。本書共分9章，第1章介紹了信息系統安全技術概況及安全標準；第2章闡述了計算機系統實體的安全與硬體防護方法；第3章闡述了計算機軟體安全技術與加密技術；第4章闡述了數據加密技術，分析了一些常用的數據加密算法，並對其安全性進行了討論；第5章闡述了備份技術和容災技術；第6章闡述了網路安全防護技術，分析了常見的網路欺騙，並介紹了相應的防範措施；第7章闡述了防火牆技術，給出了防火牆的創建步驟；第8章闡述了入侵與檢測技術、入侵檢測系統的實現方法、密罐與密網；第9章介紹了計算機反病毒技術。

第1章 信息系統安全技術概論 1

1.1 信息系統安全的概念 1

1.1.1 信息系統安全的定義 1

1.1.2 信息安全的屬性 2

1.1.3 信息系統安全體系結構 3

1.2 信息系統安全威脅的主要來源 6

1.2.1 對實體的威脅和攻擊 6

1.2.2 對信息的威脅和攻擊 7

1.2.3 計算機犯罪 9

1.2.4 計算機病毒 13

1.3 網路信息系統的脆弱性 14

1.3.1 作業系統的脆弱性 14

1.3.2 網路協定的脆弱性 15

1.3.3 資料庫系統安全的脆弱性 16

1.3.4 工作人員的因素 17

1.3.5 影響網路信息系統安全的其他

因素 18

1.4 網路信息系統的安全對策 18

1.4.1 信息系統的安全需求 18

1.4.2 安全對策的一般原則 21

1.4.3 安全系統的具體設計原則 23

1.4.4 安全機制 24

1.4.5 安全措施 26

1.4.6 信息系統的安全技術 29

1.4.7 可信計算機與可信計算 30

1.4.8 容錯計算機 31

1.5 網路信息系統的安全標準 32

1.5.1 美國可信計算機安全評價標準

（TCSEC） 32

1.5.2 歐洲的安全評價標準

（ITSCE） 34

1.5.3 加拿大的評價標準

（CTCPEC） 34

1.5.4 美國聯邦準則（FC） 34

1.5.5 國際通用準則（CC） 34

1.5.6 我國的國家標準 35

第2章 計算機系統實體的安全與

硬體防護 36

2.l 實體安全技術概述 36

2.1.1 實體安全的內容 36

2.1.2 影響計算機實體安全的主要

原因 37

2.2 計算機房場地環境的安全防護 38

2.2.l 計算機房場地的安全要求 38

2.2.2 安全供電 39

2.2.3 接地與防雷 40

2.2.4 防靜電措施 43

2.2.5 機房的溫度、濕度、潔淨度

要求 44

2.2.6 計算機場地的防火、防水措

施 44

2.2.7 防物理、化學和生物災害 45

2.2.8 設備防盜 46

2.3 計算機的防電磁干擾 47

2.3.1 來自計算機內部的電磁干擾 47

2.3.2 來自計算機外部的電磁干擾 48

2.3.3 計算機中電磁干擾的耦合方

式 50

2.3.4 計算機中的干擾抑制技術 51

2.4 計算機的防電磁泄漏 53

2.4.1 電磁泄漏對信息安全的威脅 53

2.4.2 計算機的電磁泄漏方式 54

2.4.3 計算機電磁泄漏的防護 54

2.5 記錄媒體的保護與管理 57

2.5.1 記錄媒體的分類 57

2.5.2 記錄媒體的防護要求 58

2.5.3 磁記錄媒體的管理 58

2.6 實體的訪問控制 60

2.6.1 安全區域的定義與設定 60

2.6.2 實體訪問控制 61

2.6.3 身份的鑑別 62

第3章 信息系統軟體安全技術 64

3.l 軟體安全的基本技術概述 64

3.1.1 計算機軟體安全的定義 64

3.1.2 計算機軟體安全的內容 64

3.1.3 計算機軟體安全的技術措施 65

3.1.4 防拷貝加密 65

3.1.5 防靜態分析 67

3.1.6 防動態跟蹤 68

3.2 軟碟防拷貝技術 68

3.2.1 軟標記加密技術 69

3.2.2 軟碟硬加密技術 71

3.3 硬碟防拷貝技術 72

3.3.1 主引導扇區設定密碼防拷貝 72

3.3.2 利用檔案存儲位置信息防拷

貝 72

3.3.3 利用邏輯鎖防拷貝 73

3.4 光碟防拷貝技術 74

3.5 軟體運行中的反跟蹤技術 75

3.5.1 跟蹤方法及其實現 75

3.5.2 反跟蹤技術的分類 75

3.5.3 常用防跟蹤技術 76

3.6 軟體安全的其他技術 82

3.6.1 口令限制軟體運行技術 82

3.6.2 軟體激活技術 83

3.6.3 自毀軟體技術 83

3.7 保證軟體質量的安全體系 83

3.7.1 軟體質量及可靠性的有關概

念 83

3.7.2 軟體可靠性指標 84

3.7.3 軟體故障的分類 85

3.7.4 軟體測試與測試工具 86

第4章 數據加密技術 89

4.1 數據加密概述 89

4.1.1 密碼學的發展歷史 89

4.1.2 密碼學的基本概念 90

4.1.3 數據加密的目標 92

4.1.4 密碼分析方法 93

4.1.5 算法的安全性 94

4.1.6 一次一密亂碼本 95

4.2 傳統加密方法 97

4.2.1 換位加密法 97

4.2.2 代替密碼加密法 98

4.2.3 轉輪密碼機 100

4.2.4 對傳統密碼的密碼分析 100

4.3 現代對稱密碼體制 101

4.3.1 序列密碼體制及其實現 102

4.3.2 分組密碼體制 103

4.3.3 DES算法 104

4.3.4 多重DES 107

4.3.5 DES的安全性討論 108

4.3.6 對稱密碼體制的不足之處 109

4.4 公開密碼體制 110

4.4.1 公開密碼體制的理論基礎 110

4.4.2 RSA 112

4.4.3 RSA的安全性分析 115

4.4.4 RSA系統安全參數的選擇 117

4.5 密鑰的管理和分發 120

4.5.1 密鑰的生成 121

4.5.2 密鑰的使用與存儲 121

4.5.3 密鑰的備份與恢復 122

4.5.4 密鑰的銷毀 122

4.5.5 密鑰的分配 123

4.5.6 密鑰的共享 124

4.6 量子密碼 125

第5章 備份與災難恢復技術 126

5.1 數據備份概述 126

5.1.1 引起數據損壞的因素 126

5.1.2 數據備份的基本知識 128

5.1.3 數據備份的常見方式 131

5.1.4 數據備份與恢復策略 132

5.1.5 完善的備份系統應滿足的原

則 134

5.2 災難備份的主要技術 134

5.2.1 基於磁碟系統的硬體備份技

術 135

5.2.2 基於軟體方式的災難備份技

術 139

5.3 幾種存儲備份解決方案 140

5.3.1 DAS方案 141

5.3.2 NAS方案 142

5.3.3 SAN存儲備份方案 144

5.3.4 DAS、NAS和SAN存儲方

案的比較 147

5.4 災難備份與恢復 149

5.4.1 災難備份的定義 149

5.4.2 災難備份的層次 149

5.4.3 災難備份易被忽視的因素 151

5.4.4 災難備份建設的流程 152

5.5 容災系統 154

5.5.1 容災的定義及主要性能指標 154

5.5.2 容災與備份的區別 155

5.5.3 容災系統的等級 155

5.5.4 容災系統的主要技術 157

5.5.5 容災系統的建立 158

第6章 網路安全防護技術 163

6.1 網路安全概述 163

6.1.1 計算網路面臨的威脅 163

6.1.2 計算機網路的主要漏洞 164

6.2 網路安全體系結構 165

6.2.1 OSI安全體系結構 165

6.2.2 安全服務 166

6.2.3 安全機制 167

6.2.4 安全服務和安全機制的關係 169

6.2.5 層與安全服務及實現機制的

關係 169

6.3 網路安全防護策略 173

6.3.1 網路安全策略的作用 173

6.3.2 網路安全策略的等級 173

6.3.3 網路安全策略的動態性 173

6.3.4 網路安全策略的內容 174

6.3.5 網路規劃的安全策略 175

6.3.6 網路管理員的安全策略 175

6.3.7 網路用戶安全策略 176

6.3.8 網路安全實施過程中需要注

意的問題 177

6.4 網路訪問控制措施 179

6.4.1 入網訪問控制 179

6.4.2 網路的許可權控制 180

6.4.3 目錄級安全控制 180

6.4.4 屬性安全控制 181

6.4.5 網路伺服器安全控制 181

6.4.6 網路監測和鎖定控制 181

6.4.7 網路連線埠和節點的安全控制 181

6.4.8 防火牆控制 182

6.4.9 路徑控制 182

6.5 常見欺騙技術及其防範 182

6.5.1 IP欺騙技術及防範 182

6.5.2 Web欺騙及防範 185

6.5.3 電子郵件欺騙及防範 188

6.6 網路的物理隔離技術 189

6.6.1 物理隔離的概念 189

6.6.2 網路隔離的技術原理 192

6.6.3 物理隔離網路的數據交換 194

6.6.4 物理隔離網閘主要功能 196

第7章 防火牆技術 197

7.1 防火牆技術概述 197

7.1.1 防火牆的概念 197

7.1.2 設定防火牆的目的和功能 198

7.1.3 防火牆的局限性 200

7.1.4 防火牆技術發展動態和趨勢 201

7.2 防火牆的技術分類 203

7.2.1 包過濾防火牆 203

7.2.2 代理型防火牆 205

7.2.3 狀態分析技術防火牆 208

7.2.4 防火牆的地址轉換技術 209

7.3 防火牆的體系結構 210

7.3.1 分組過濾型體系結構 210

7.3.2 雙重宿主主機體系結構 211

7.3.3 禁止主機體系結構 212

7.3.4 禁止子網體系結構 213

7.4 防火牆選擇 214

7.4.1 防火牆產品選購策略 214

7.4.2 防火牆的主要技術指標 216

7.4.3 防火牆種類的選擇 218

7.4.4 防火牆過濾技術的選擇 220

7.5 創建防火牆的步驟 221

7.5.1 制定安全策略 221

7.5.2 搭建安全體系結構 222

7.5.3 制定規則集 222

7.5.4 落實規則集 223

7.5.5 做好審計工作 223

第8章 入侵與檢測 224

8.1 概述 224

8.1.1 入侵檢測系統簡介 224

8.1.2 入侵檢測與P2 DR模型 225

8.1.3 發展趨勢 226

8.2 入侵檢測系統的基本原理 227

8.2.1 信息收集 228

8.2.2 數據分析 229

8.2.3 回響 235

8.3 入侵檢測的分類 237

8.3.1 基於主機的入侵檢測系統

（HIDS） 237

8.3.2 基於網路的入侵檢測系統

（NIDS） 240

8.3.3 分散式入侵檢測系統 242

8.4 入侵檢測系統的設計與實現 244

8.4.1 分析系統的檢測功能需求 244

8.4.2 部署入侵檢測器 245

8.4.3 套用於交換機環境時的問題 246

8.4.4 回響策略 247

8.4.5 入侵檢測產品的選擇 248

8.4.6 在實現過程中可能碰到的問

題 250

8.5 網路誘騙 252

8.5.1 密罐主機技術 252

8.5.2 密網技術 255

8.5.3 常見網路誘騙工具 256

第9章 計算機病毒及防治 257

9.1 計算機病毒概述 257

9.1.1 計算機病毒的產生原因 257

9.1.2 計算機病毒的發展歷史 258

9.1.3 計算機病毒的發展趨勢 259

9.2 計算機病毒的工作原理 261

9.2.1 計算機病毒的特性 261

9.2.2 計算機病毒的傳染機制 264

9.2.3 計算機病毒的一般原理 265

9.3 計算機病毒的分類 267

9.4 計算機病毒的檢測與消除 270

9.4.1 病毒檢測方法 270

9.4.2 病毒的清除 273

9.5 計算機病毒的防範 276

9.5.1 預防計算機病毒的管理措施 276

9.5.2 預防計算機病毒的技術措施 279

9.5.3 網路病毒防範的技術要求 280