本書以項目作為知識、技能與素養(yǎng)的載體, 將知識融于項目, 以項目為導(dǎo)向, 書中內(nèi)容來源于真實工作任務(wù)���。全書內(nèi)容劃分為12個工程項目, 具體內(nèi)容包括: 網(wǎng)絡(luò)安全實驗平臺搭建、操作系統(tǒng)安全加固����、網(wǎng)絡(luò)協(xié)議與分析、計算機病毒分析與防治��、數(shù)字簽名與數(shù)字證書�����、網(wǎng)絡(luò)攻擊與防御�、防火墻技術(shù)、入侵檢測技術(shù)�、VPN技術(shù)�����、Web安全����、無線網(wǎng)絡(luò)安全�����、存儲安全等�。
第1章 網(wǎng)絡(luò)安全概述
1.1 網(wǎng)絡(luò)安全現(xiàn)狀
1.1.1 網(wǎng)絡(luò)發(fā)展
1.1.2 網(wǎng)絡(luò)安全概念
1.1.3 網(wǎng)絡(luò)安全現(xiàn)狀
1.2 網(wǎng)絡(luò)安全威脅
1.3 網(wǎng)絡(luò)攻擊
1.3.1 潛在的網(wǎng)絡(luò)攻擊者
1.3.2 網(wǎng)絡(luò)攻擊的種類
1.4 網(wǎng)絡(luò)安全的特點及屬性
1.4.1 網(wǎng)絡(luò)安全特點
1.4.2 安全屬性
1.4.3 如何實現(xiàn)網(wǎng)絡(luò)安全
1.5 網(wǎng)絡(luò)安全技術(shù)
1.5.1 網(wǎng)絡(luò)安全基本要素
1.5.2 網(wǎng)絡(luò)安全技術(shù)
本章小結(jié)
習(xí)題
第2章 數(shù)據(jù)加密與認證
2.1 密碼學(xué)基礎(chǔ)
2.1.1 加密的起源
2.1.2 密碼學(xué)的基本概念
2.1.3 對稱密鑰算法
2.1.4 公開密鑰算法
2.1.5 密碼分析
2.2 數(shù)字簽名與數(shù)字證書
2.2.1 電子簽名
2.2.2 CA數(shù)字證書
2.3 認證技術(shù)
2.3.1 身份認證的重要性
2.3.2 身份認證的方式
2.3.3 消息認證——Hash算法
2.4 小型案例實訓(xùn)
2.4.1 加密應(yīng)用——PGP
2.4.2 數(shù)字證書應(yīng)用——Office市場的簽名服務(wù)
本章小結(jié)
習(xí)題
第3章 常見網(wǎng)絡(luò)攻擊的方法與防護
3.1 網(wǎng)絡(luò)攻擊概述
3.1.1 網(wǎng)絡(luò)攻擊的分類
3.1.2 網(wǎng)絡(luò)攻擊的步驟
3.2 端口掃描
3.2.1 原理
3.2.2 工具
3.2.3 防護
3.3 口令攻擊
3.3.1 原理
3.3.2 類型
3.3.3 工具
3.3.4 防護
3.4 網(wǎng)絡(luò)監(jiān)聽
3.4.1 原理
3.4.2 工具
3.4.3 檢測和防護
3.5 ARP欺騙
3.5.1 原理
3.5.2 工具
3.5.3 防護
3.6 緩沖區(qū)溢出
3.6.1 原理
3.6.2 方法
3.6.3 防護
3.7 拒絕服務(wù)攻擊
3.7.1 原理
3.7.2 手段
3.7.3 檢測和防護
3.8 小型案例實訓(xùn)
3.8.1 Office密碼破解
3.8.2 Cain實現(xiàn)ARP欺騙
3.8.3 緩沖區(qū)溢出攻擊
3.8.4 拒絕服務(wù)攻擊
本章小結(jié)
習(xí)題
第4章 病毒分析與防御
4.1 認識計算機病毒
4.1.1 計算機病毒的概念
4.1.2 計算機病毒的特點和分類
4.1.3 計算機病毒的發(fā)展趨勢
4.2 典型病毒
4.2.1 自動播放病毒
4.2.2 蠕蟲病毒——熊貓燒香病毒
4.2.3 木馬病毒——QQ粘蟲病毒
4.2.4 木馬病毒——敲竹杠木馬
4.3 專殺工具的編寫
4.3.1 專殺工具的編寫——自動播放病毒
4.3.2 專殺工具的編寫——熊貓燒香病毒
4.4 小型案例實訓(xùn)
4.4.1 蠕蟲病毒分析
4.4.2 網(wǎng)頁腳本病毒分析
4.4.3 木馬的防殺與種植
本章小結(jié)
習(xí)題
第5章 防火墻技術(shù)
5.1 防火墻概述
5.1.1 防火墻的概念
5.1.2 防火墻的功能
5.1.3 防火墻的分類
5.2 防火墻的主要技術(shù)
5.2.1 包過濾技術(shù)
5.2.2 應(yīng)用代理技術(shù)
5.2.3 狀態(tài)檢測技術(shù)
5.3 防火墻的體系結(jié)構(gòu)
5.3.1 屏蔽路由器體系結(jié)構(gòu)
5.3.2 雙宿主機網(wǎng)關(guān)體系結(jié)構(gòu)
5.3.3 被屏蔽主機網(wǎng)關(guān)體系結(jié)構(gòu)
5.3.4 被屏蔽子網(wǎng)體系結(jié)構(gòu)
5.4 小型案例實訓(xùn)
5.4.1 Windows防火墻應(yīng)用
5.4.2 開源防火墻Linux應(yīng)用
本章小結(jié)
習(xí)題
第6章 操作系統(tǒng)安全
6.1 操作系統(tǒng)安全概述
6.1.1 操作系統(tǒng)安全的概念
6.1.2 操作系統(tǒng)安全的評估
6.2 Windows安全技術(shù)
6.2.1 身份驗證與訪問控制
6.2.2 文件系統(tǒng)的安全
6.2.3 注冊表的安全
6.2.4 審核與日志
6.3 Linux的安全技術(shù)
6.3.1 賬號安全
6.3.2 文件系統(tǒng)的安全
6.3.3 Linux的日志系統(tǒng)
6.4 小型案例實訓(xùn)
6.4.1 NTFS權(quán)限設(shè)置
6.4.2 備份EFS密鑰
本章小結(jié)
習(xí)題
第7章 Web安全防范
7.1 Web安全的基礎(chǔ)內(nèi)容
7.2 Web安全綜述
7.2.1 Internet的脆弱性
7.2.2 Web安全問題
7.3 Web服務(wù)器的漏洞及配置防范
7.3.1 Web服務(wù)器存在的漏洞
7.3.2 Web服務(wù)器的安全配置
7.4 Web客戶端的安全
7.4.1 瀏覽器本身的漏洞
7.4.2 ActiveX的安全性
7.4.3 Cookie的安全性
7.5 利用CA證書和SSL安全協(xié)議構(gòu)建Web服務(wù)器的安全配置
7.5.1 SSL協(xié)議
7.5.2 HTTPS協(xié)議
7.6 小型案例實訓(xùn)
本章小結(jié)
習(xí)題
第8章 無線網(wǎng)絡(luò)安全
8.1 無線網(wǎng)絡(luò)基礎(chǔ)
8.1.1 無線網(wǎng)絡(luò)的發(fā)展
8.1.2 無線計算機網(wǎng)絡(luò)的分類
8.1.3 無線局域網(wǎng)絡(luò)的標準
8.1.4 無線網(wǎng)絡(luò)設(shè)備
8.2 無線網(wǎng)絡(luò)安全技術(shù)
8.2.1 SSID及其隱藏
8.2.2 WPAT WPA2
8.2.3 WAPI
8.2.4 MAC地址過濾
8.2.5 靜態(tài)IP地址
8.2.6 WAPI
8.2.7 智能卡、USB加密卡、軟件令牌
8.2.8 射頻信號屏蔽
8.2.9 對無線接入點進行流量監(jiān)控
8.3 無線網(wǎng)絡(luò)入侵與防御
8.3.1 無線網(wǎng)絡(luò)安全面臨的挑戰(zhàn)
8.3.2 無線網(wǎng)絡(luò)入侵方式
8.3.3 無線入侵防御
8.3.4 無線入侵防御系統(tǒng)
8.4 WLAN非法接入點探測與處理
8.4.1 非法接入點的危害
8.4.2 非法接入點的探測方法
8.4.3 非法接入點的預(yù)防
8.5 小型案例實訓(xùn)
8.5.1 Windows 7無線網(wǎng)絡(luò)安全配置
8.5.2 無線路由器的加密配置
8.5.3 某室內(nèi)區(qū)域無線網(wǎng)絡(luò)搭建
本章小結(jié)
習(xí)題
第9章 網(wǎng)絡(luò)安全管理
9.1 網(wǎng)絡(luò)安全管理的意義
9.2 風(fēng)險分析與安全需求
9.2.1 系統(tǒng)風(fēng)險分析
9.2.2 網(wǎng)絡(luò)的安全需求
9.3 安全管理策略
9.3.1 制定安全策略的原則
9.3.2 安全策略內(nèi)容
9.4 建立網(wǎng)絡(luò)安全體系
9.4.1 物理安全
9.4.2 網(wǎng)絡(luò)安全
9.4.3 系統(tǒng)���、信息和應(yīng)用安全
9.5 安全管理實施
9.5.1 安全管理原則
9.5.2 安全管理的實現(xiàn)
9.6 安全性測試及評估
9.6.1 網(wǎng)絡(luò)安全測試
9.6.2 網(wǎng)絡(luò)安全評估
9.7 信息安全管理標準
9.7.1 國際信息安全管理標準
9.7.2 如何實施
9.7.3 國內(nèi)信息安全管理標準
9.8 小型案例實訓(xùn)
本章小結(jié)
習(xí)題
第10章 項目實踐
實訓(xùn)1 數(shù)字證書與數(shù)字簽名
任務(wù)1.1 使用生成證書
任務(wù)1.2 用CA證書簽名�、加密及發(fā)送安全電子郵件
實訓(xùn)2 Windows 2003 PKI應(yīng)用實例
任務(wù)2.1 安裝證書服務(wù)器
任務(wù)2.2 安裝客戶端證書
任務(wù)2.3 SSL通道建立
實訓(xùn)3 端口掃描與網(wǎng)絡(luò)監(jiān)聽
任務(wù)3.1 使用SuperScan進行端口掃描
任務(wù)3.2 使用Sniffer工具進行網(wǎng)絡(luò)監(jiān)聽
實訓(xùn)4 CA SessionWall的安裝與配置
任務(wù)4.1 CA SessionWall的實時檢測
任務(wù)4.2 在SessionWall-3中創(chuàng)建、設(shè)置審計規(guī)則
實訓(xùn)5 Windows系統(tǒng)VPN的實現(xiàn)
參考文獻
第2章 數(shù)據(jù)加密與認證
【項目要點】
公鑰和私鑰密碼體制����。
數(shù)字簽名。
數(shù)字證書�。
身份認證����。
【學(xué)習(xí)目標】
掌握密碼學(xué)的有關(guān)概念�����。
了解常見的古典密碼加密技術(shù)。
掌握對稱加密算法和公開密鑰算法在網(wǎng)絡(luò)安全中的具體應(yīng)用。
掌握數(shù)字簽名技術(shù)���、數(shù)字證書技術(shù)的實際應(yīng)用����。
掌握Hash算法的原理及應(yīng)用���。
掌握PGP加密系統(tǒng)的工作原理以及各種典型應(yīng)用。
2.1 密碼學(xué)基礎(chǔ)
密碼學(xué)是一門既古老又新興的學(xué)科��,它自古以來就在軍事和外交舞臺上擔當著重要角色����。長期以來�����,密碼技術(shù)作為一種保密手段����,本身也處于秘密狀態(tài),只被少數(shù)人或組織掌握�����。隨著計算機網(wǎng)絡(luò)和計算機通信技術(shù)的發(fā)展�����,計算機密碼學(xué)得到了前所未有的重視并迅速普及和發(fā)展起來�,它已經(jīng)成為計算機安全領(lǐng)域主要的研究方向�。
2.1.1 加密的起源
早在4000多年以前����,在古埃及的尼羅河畔,一位擅長書寫者在貴族的墓碑上書寫銘文時有意用變形的象形文字而不是普通的象形文字來撰寫銘文���,這是史載的最早的密碼形式���。
羅馬“歷史之父”希羅多德以編年史的形式記載了公元前5世紀希臘和波斯間的沖突,其中介紹到正是由一種叫隱寫術(shù)的技術(shù)才使希臘免遭波斯暴君薛西斯一世征服的厄運�。薛西斯做了足足5年的戰(zhàn)爭準備,計劃于公元前480年對希臘發(fā)動一場出其不意的進攻。但是波斯的蠢蠢野心被一名逃亡在外的希臘人德馬拉圖斯注意到了�,他決定給斯巴達帶去消息以告誡他們薛西斯的侵犯企圖�����?蓡栴}是消息該怎樣送出而不被波斯士兵發(fā)現(xiàn)����。他利用一副已上蠟的可折疊刻寫板�,先將消息刻寫在木板的背面����,再涂上蠟蓋住消息,這樣刻寫板看上去沒寫任何字。最終希臘人得到了消息�,并提前做好了戰(zhàn)爭準備�����,致使薛西斯的侵略妄想破滅����。德馬拉圖斯的保密做法與中國古人有異曲同工之妙。中國古人將信息寫在小塊絲綢上,塞進一個小球,再用蠟封上��,然后再讓信使吞下這個蠟球以保證消息安全��。
最早將現(xiàn)代密碼學(xué)概念運用于實際的人是愷撒大帝(尤利烏斯·愷撒�,公元前100年-前44年)�����。他不相信負責(zé)他和他手下將領(lǐng)通信的傳令官�,因此他發(fā)明了一種簡單的加密算法將信件加密,后來被稱為“愷撒密碼(也稱凱撒密碼)”。當愷撒說:“Hw wx,Euxwh!”而不是“Et tu,Brute�!”(“你這畜生!”)時���,他的心腹會懂得他的意思���。值得注意的是,大約2000年后�,聯(lián)邦將軍A.S.約翰遜和皮埃爾·博雷加德在希洛戰(zhàn)斗中再次使用過這種簡易密碼。愷撒密碼是將字母按字母表的順序排列,并且最后一個字母與第一個字母相連��。加密方法是將明文中的每個字母用其后面的第3個字母代替��,就變成了密文��。一般�,明文使用小寫字母,密文使用大寫字母�����。例如:
m e e t a t t o n i g h t
愷撒密碼是
P H H W D W W R Q L J K W
以英文為例���,愷撒密碼的代替表如表2-1所示。
表2-1 愷撒密碼代替表
千百年來�����,人們運用自己的智慧創(chuàng)造出形形色色的編寫密碼的方法�,下面介紹幾種簡易的密碼方案。
例如�,給出密文
KCATTA WON
你能猜出它是什么意思嗎?我們只要將每個單詞倒過來讀����,就會迅速恢復(fù)明文
attack now
在美國南北戰(zhàn)爭時期����,軍隊中曾經(jīng)使用過下述“雙軌”式密碼�����,加密時先將明文寫成雙軌的形式���,例如將attack now寫成
a t c n w
t a k o
然后按行的順序書寫即可得出密文
ATCNWTAKO
解密時�����,先計算密文中字母的總數(shù)�����,然后將密文分成兩半���,排列成雙軌形式后按列的順序讀出即可恢復(fù)明文。
在第一次世界大戰(zhàn)期間��,德國間諜曾經(jīng)依靠字典編寫密碼����。例如100-3-16表示某字典的第100頁第3段的第16個單詞����。但是��,這種加密方法并不可靠�,美國情報部門搜集了所有德文字典,只用了幾天時間就找出了德方所用的那一本��,從而破譯了這種密碼�����,給德軍造成了巨大損失����。
上面介紹了幾種簡易的密碼形式�����,這些早期的密碼多數(shù)應(yīng)用于軍事����、外交、情報等敏感的領(lǐng)域。由于軍事���、外交和情報等方面的需要�,刺激了密碼學(xué)的發(fā)展���。密碼編寫得好與壞����,有時會產(chǎn)生重大的�����、甚至決定性的影響��。例如����,第二次世界大戰(zhàn)期間,英國情報部門在一些波蘭人的幫助下�,于1940年破譯了德國直至1944年還自認為是可靠的Enigma密碼系統(tǒng),使德方遭受重大損失����。
計算機的出現(xiàn)�,大大地促進了密碼學(xué)的變革���,正如德國學(xué)者T.Beth所說:“突然���,現(xiàn)代密碼學(xué)從半軍事性的角落里解脫出來,一躍成為通信科學(xué)一切領(lǐng)域中的中心研究課題����。”由于商業(yè)應(yīng)用和大量計算機網(wǎng)絡(luò)通信的需要����,人們對數(shù)據(jù)保護、數(shù)據(jù)傳輸?shù)陌踩栽絹碓街匾��,這更大地促進了密碼學(xué)的發(fā)展與普及��。
密碼學(xué)的發(fā)展大致可分以下幾個階段:
第一階段:從古代到1949年����。這一時期��,密碼學(xué)家往往憑直覺設(shè)計密碼��,缺少嚴格的推理證明。這一階段設(shè)計的密碼稱為古典密碼���。
第二階段:從1949—1975年����。這一時期發(fā)生了兩個比較大的事件:1949年信息論大師香農(nóng)(C. E. Shannon)發(fā)表了《保密系統(tǒng)的信息理論》一文�,為密碼學(xué)奠定了理論基礎(chǔ),使密碼學(xué)成為一門真正的科學(xué)�����;1970年由IBM研究的密碼算法DES被美國國家標準局宣布為數(shù)據(jù)加密標準�,這打破了對密碼學(xué)研究和應(yīng)用的限制,極大地推動了現(xiàn)代密碼學(xué)的發(fā)展��。
第三階段:從1976年至今�����。1976年Diffie和Hellman發(fā)表的《密碼學(xué)的新方向》一文開創(chuàng)了公鑰密碼學(xué)的新紀元����,在密碼學(xué)的發(fā)展史上具有里程碑的意義。
【知識拓展——比爾密碼之謎】
1820年1月����,一陌生人騎馬來到弗吉尼亞林奇堡的華盛頓旅館���。陌生人自我介紹說他叫托馬斯·杰弗遜·比爾。那年的3月底��,他一聲不響地離開了這家旅館����,給旅館老板莫里斯留下了一個鎖著的鐵盒。
莫里斯直到1845年才打開那個盒子��。他在里面發(fā)現(xiàn)了兩封寫給他的信和3張寫滿數(shù)字的紙����。在信中,比爾詳細敘述了他與他的伙伴在冒險活動中所發(fā)現(xiàn)的巨量黃金��,并把它們藏在貝德福德縣的布法德酒館附近的一個山洞里�����。信中寫道�����,那3張難以理解的文件如用特定的密鑰破譯出���,就會揭示出隱藏處的確切地點����、貯藏處具體所藏之物以及30個冒險家的姓名和地址�。
盒子中的東西無疑勾起了莫里斯的好奇心。莫里斯在其一生余下的 19年中致力于發(fā)現(xiàn)財寶����,但由于沒有那份神秘文件的密鑰而不能有任何進展。在他臨終前的1863年�����,他把那只盒子的事告訴了詹姆斯·沃德���。沃德起初同樣對密碼一籌莫展����,直到他靈光一現(xiàn)��,想到要用《獨立宣言》作為密鑰���,從而破譯了比爾密碼的第二頁�����,推斷出下列一段文字:“我在離布法德約4英里處的貝德福德縣里的一個離地面6英尺深的洞穴或地窖中貯藏了下列物品���,這些物品為各隊員——他們的名字在后面第三張紙上——公有�。第一窖藏有1014磅金子���,3812磅銀子�����,藏于1819年11月�。第二窖藏有1907磅金子���,1288磅銀子����,另有在圣路易為確保運輸而換得的珠寶……”
這段文字極大地激發(fā)起沃德的興趣����,他耗盡終生去破譯其余密碼��,卻一無所獲�����。
20世紀60年代,一些密碼分析界最富智慧的人組成了一個秘密協(xié)會——比爾密碼協(xié)會����,他們傾其知識和才智去發(fā)現(xiàn)那堆難以捉摸的財富。計算機科學(xué)家���、電腦密碼統(tǒng)計性分析的先驅(qū)卡爾·哈默就是該協(xié)會的一位著名成員����,他對比爾文件中的數(shù)字的分布做了大量統(tǒng)計�、試驗,總結(jié)得出:這些數(shù)字并不是隨意寫出的�����,它一定隱含著一段英文信息�����。
雖然越來越多的數(shù)學(xué)家從事密碼學(xué)研究,越來越多的巨型計算機被用來編制和破譯密碼���,但一個半世紀前寫成的比爾密碼——它暗示在某個地方藏有1700萬美元的財富����,依然耗去了“美國最有能耐的密碼分析家至少10%的精力”����。時至今日,比爾密碼仍然是一個謎���。
【知識拓展——摩斯密碼】
摩爾斯電碼(又譯為摩斯密碼�����,Morse code)是一種時通時斷的信號代碼�����,通過不同的排列順序來表達不同的英文字母��、數(shù)字和標點符號����。它由美國人艾爾菲德·維爾于1837年發(fā)明。摩爾斯電碼是一種早期的數(shù)字化通信形式�,但是它不同于現(xiàn)代只使用0和1兩種狀態(tài)的二進制代碼,它的代碼包括5種:點����、劃��、點和劃之間的停頓��、每個字符間短的停頓(在點和劃之間)�����、每個詞之間中等的停頓以及句子之間長的停頓����。
書單推薦
