信息安全實驗與實踐教程

本書是為適應信息系統安全教學而編寫的一本實驗與實踐教材。書中精選了28個實驗，這些實驗基本覆蓋了當前信息系統安全的主要分支和領域。

本書以“學生是聰明的集合”為信條，不採用讓學生在給定的環境中照著給出的步驟演示的傳統做法，而是在給出實驗相關知識和一定的示範性實驗過程之後，允許學生自己決定實驗環境，自己設計實驗過程，給他們提供一個可以充分發揮自己聰明才智和創造性的更廣闊的舞台，激發他們的學習熱情。與此相應，將每個實驗與實踐分成準備、預約、實施和討論4個過程，並根據課程本身的特點，建議把考核的重點放在實驗的準備和實驗後的討論上。

本書可以獨立使用，也可以與任何一本課堂教材配合使用。適合作為計算機專業、信息安全專業、信息管理專業、其他電子類和自動控制類專業學生的信息系統實驗和實踐教學的教材，也適合信息安全愛好者和有關技術人員學習參考。

第1單元 系統平台安全防護 1

1.1 應急啟動 1

1.1.1 UNIX應急啟動盤的製作 1

1.1.2 Linux應急啟動隨身碟的製作 2

1.1.3 Windows 2000引導盤和緊急修復盤的製作 3

實驗1 系統應急啟動盤的製作 8

1.2 作業系統的賬號和訪問許可權設定 8

1.2.1 Linux 用戶賬號管理 8

1.2.2 Linux訪問許可權設定 16

1.2.3 Windows中的賬戶和許可權設定 22

實驗2 用戶賬戶管理與訪問許可權設定 28

1.3 作業系統安全配置 29

1.3.1 有關作業系統的網站 29

1.3.2 Linux作業系統的安全設定 30

1.3.3 Windows作業系統的安全設定 38

實驗3 作業系統安全設定 45

第2單元 病毒技術 46

2.1 病毒及其發現 46

2.1.1 惡意程式 46

2.1.2 感染病毒後計算機系統出現的症狀 47

2.1.3 查殺病毒軟體的使用 48

實驗4 病毒發現的現象觀察法和工具檢測法 50

2.2 計算機病毒的比較分析法 51

2.2.1 系統數據的比較分析 51

2.2.2 檔案數據的比較分析 53

2.2.3 計算機病毒的感染實驗分析法 55

實驗5 計算機病毒的比較分析法 55

2.3 計算機病毒的特徵碼檢測 56

2.3.1 計算機病毒標識與特徵碼 56

2.3.2 病毒特徵碼的獲取與提取 56

2.3.3 用病毒特徵碼檢測病毒的基本方法 62

實驗6 計算機病毒的特徵碼檢測 64

2.4 計算機病毒演示 64

2.4.1 計算機病毒演示程式結構 64

2.4.2 DOS引導型病毒編制的關鍵技術 65

2.4.3 COM檔案型病毒編制的關鍵技術 71

2.4.4 Win 32 PE病毒編制的關鍵技術 74

2.4.5 宏病毒及其關鍵技術 77

2.4.6 腳本病毒及其關鍵技術 79

實驗7 計算機病毒程式解析 83

第3單元 黑客技術 85

3.1 協定分析攻擊 85

3.1.1 協定分析器與嗅探器 85

3.1.2 典型嗅探器——Sniffer Pro 89

3.1.3 嗅探器的實現 95

實驗8 網路嗅探 99

3.2 掃描攻擊 99

3.2.1 安全掃描與掃描類型 99

3.2.2 安全掃描器 102

實驗9 系統掃描 116

3.3 漏洞攻擊 117

3.3.1 計算機漏洞概述 117

3.3.2 漏洞攻擊舉例之一——緩衝區溢出攻擊 118

3.3.3 漏洞攻擊舉例之二——格式化字元串攻擊 122

3.3.4 漏洞攻擊舉例之三——NetBIOS漏洞攻擊 124

3.3.5 漏洞攻擊舉例之四——Windows 2000中文版輸入法漏洞攻擊 127

實驗10 漏洞攻擊 129

3.4 口令攻擊 129

3.4.1 口令破解技術 130

3.4.2 口令破解工具 132

實驗11 口令博弈遊戲 133

3.5 拒絕服務攻擊 134

3.5.1 拒絕服務攻擊原理 134

3.5.2 分散式拒絕服務攻擊 137

實驗12 拒絕服務攻擊演示 141

3.6 欺騙攻擊 142

3.6.1 IP欺騙 143

3.6.2 ARP欺騙 146

3.6.3 TCP會話劫持 148

實驗13 欺騙攻擊演示 149

第4單元 網路防禦 151

4.1 代理服務技術 151

4.1.1 代理服務概述 151

4.1.2 代理伺服器設定 154

4.1.3 Linux代理伺服器的架設 155

實驗14 代理伺服器的配置及功能分析 158

實驗15 架設一個代理伺服器 161

4.2 數據包過濾技術 161

4.2.1 數據包過濾原理 161

4.2.2 訪問控制列表 162

4.2.3 瑞星個人防火牆的配置 165

4.2.4 Cisco IOS防火牆包過濾配置 170

實驗16 防火牆的ACL配置 175

4.3 網路地址轉換技術 176

4.3.1 NAT概述 176

4.3.2 Cisco IOS路由器的NAT配置實例 178

4.3.3 華為路由器的NAT配置實例 184

4.3.4 Windows 2000的NAT功能配置 185

實驗17 NAT配置 186

4.4 DMZ防火牆及其配置 187

4.4.1 DMZ防火牆概述 187

4.4.2 DMZ防火牆的訪問控制策略 188

4.4.3 用Linux構建DMZ防火牆的方法 188

4.4.4 一個企業代理防火牆的構建 190

實驗18 為一個組織配置帶有DMZ防火牆 192

4.5 入侵檢測系統 193

4.5.1 IDS及其產品 193

4.5.2 IDS的基本結構 194

4.5.3 構建入侵檢測系統的一般過程 195

4.5.4 輕量級的網路入侵檢測系統Snort 196

實驗19 構建一個IDS 208

第5單元 數據加密與認證 210

5.1 數據加密基礎 210

5.1.1 置換密碼 210

5.1.2 換位密碼 211

5.1.3 簡單異或 212

5.1.4 密碼分析攻擊 212

實驗20 加密博弈 213

5.2 數據加密標準DES 213

5.2.1 數據加密標準（DES）算法概述 213

5.2.2 DES加密算法 215

實驗21 編寫DES加密與解密程式 220

5.3 非對稱密鑰算法RSA 221

5.3.1 數學基礎 221

5.3.2 RSA加密密鑰的產生 221

5.3.3 RSA加密/解密過程 222

5.3.4 對RSA的攻擊 223

實驗22 RSA公開密鑰系統的實現 224

5.4 報文認證算法 225

5.4.1 報文認證概述 225

5.4.2 報文摘要算法MD5 227

實驗23 實現報文認證算法 231

5.5 數字證書與PKI 232

5.5.1 數字證書與X.509格式 232

5.5.2 CA 233

5.5.3 PKI及其職能 234

5.5.4 Windows 2000 PKI組成 234

5.5.5 Windows 2000 PKI配置 236

5.5.6 在Linux平台上製作SSL X.509證書 243

實驗24 證書製作及CA系統配置 249

5.6 政務電子公文流轉安全協定 249

5.6.1 電子公文流轉系統的安全保障 249

5.6.2 電子公文流轉安全協定 250

實驗25 公文流轉系統實現方案設計 253

5.7 虛擬專用網（VPN） 253

5.7.1 VPN概述 253

5.7.2 隧道技術 254

5.7.3 隧道協定 255

5.7.4 在Windows 作業系統中利用PPTP配置VPN網路 257

5.7.5 在Windows中配置IPSec 262

5.7.6 在Linux作業系統中利用CIPE配置VPN 271

實驗26 實現一個VPN連線 276

第6單元 系統風險與安全策略 278

6.1 典型信息系統的安全需求分析 278

6.1.1 金融信息系統安全需求分析 278

6.1.2 電子商務系統安全需求分析 279

6.1.3 電子政務系統安全需求分析 280

實驗27 對一個組織的信息系統進行安全需求分析 281

6.2 信息系統安全策略 281

6.2.1 基於網路的安全策略 282

6.2.2 基於主機的安全策略 283

6.2.3 基於設施的安全策略 284

6.2.4 基於數據管理的安全策略 285

6.2.5 信息系統開發、運行和維護中的安全策略 286

6.2.6 基於安全事件的安全策略 286

實驗28 為一個組織制訂信息系統安全策略 287

附錄 288

附錄A 關於實驗的建議 288

A1 關於實驗室的建議 288

A2 關於實驗步驟的建議 288

A3 關於實驗題目的建議 289

A4 關於成績評定的建議 289

附錄B 實驗用表格參考樣式 290

B1 實驗準備報告書 290

B2 實驗預約單 292

B3 實驗完成報告書 293

B4 實驗分析討論報告書 295

參考文獻 296