計算機網路安全與防護（第3版）

本書是普通高等教育“十一五”國家級規劃教材，主要介紹計算機網路安全基礎知識、網路安全體系結構、網路攻擊，以及密碼技術、信息認證技術、訪問控制技術、惡意代碼防範技術、防火牆技術、入侵檢測技術、虛擬專用網技術、網路安全掃描技術、網路隔離技術、信息隱藏技術、無線區域網路安全技術、蜜罐技術等，同時介紹網路安全管理的概念、內容、方法。全書內容廣泛，注重理論聯繫實際，設計了10個實驗，為任課教師免費提供電子課件。本書適合普通高等院校計算機、網路空間安全、通信工程、信息與計算科學、信息管理與信息系統等專業本科生和碩士研究生使用。

目 錄

第1章 緒論 1

1.1 計算機網路安全的本質 1

1.2 計算機網路安全面臨的挑戰 2

1.3 威脅計算機網路安全的主要因素 4

1.4 計算機網路安全策略 5

1.5 計算機網路安全的主要技術措施 6

本章小結 8

習題1 8

第2章 計算機網路安全體系結構 9

2.1 網路安全體系結構的概念 9

2.1.1 網路體系結構 9

2.1.2 網路安全需求 10

2.1.3 建立網路安全體系結構的必要性 10

2.1.4 網路安全體系結構的任務 11

2.2 網路安全體系結構的內容 11

2.2.1 OSI安全體系結構 11

2.2.2 基於TCP/IP的網路安全體系結構 13

2.2.3 美國國防部目標安全體系結構與國防信息系統安全計畫 14

2.3 網路安全體系模型和架構 16

2.3.1 PDRR模型 16

2.3.2 P2DR模型 17

2.3.3 IATF框架 17

2.3.4 黃金標準框架 18

本章小結 19

習題2 20

第3章 網路攻擊與防範 21

3.1 網路攻擊的步驟和手段 21

3.1.1 網路攻擊的一般步驟 21

3.1.2 網路攻擊的主要手段 24

3.2 網路攻擊的防範 29

3.2.1 防範網路攻擊的管理措施 29

3.2.2 防範網路攻擊的技術措施 30

本章小結 32

實驗3 33

實驗3.1 綜合掃描 33

實驗3.2 賬號口令破解 34

實驗3.3 IPSec策略配置 35

習題3 37

第4章 密碼技術 38

4.1 密碼技術的基本概念 38

4.1.1 密碼系統的基本組成 38

4.1.2 密碼體制分類 39

4.1.3 古典密碼體制 42

4.1.4 初等密碼分析 45

4.2 分組密碼體制 47

4.2.1 數據加密標準（DES） 47

4.2.2 國際數據加密算法（IDEA） 53

4.2.3 其他分組密碼算法 54

4.3 公開密鑰密碼體制 55

4.3.1 RSA公開密鑰密碼體制 55

4.3.2 ElGamal密碼體制 57

4.4 密鑰管理 59

4.4.1 傳統密碼體制的密鑰管理 59

4.4.2 公開密鑰密碼體制的密鑰管理 65

本章小結 67

實驗4 68

實驗4.1 古典密碼算法 68

實驗4.2 RSA密碼體制 68

習題4 69

第5章 信息認證技術 70

5.1 報文認證 70

5.1.1 報文認證的方法 70

5.1.2 報文認證的實現 71

5.1.3 報文的時間性認證 71

5.2 身份認證 72

5.2.1 身份認證的定義 72

5.2.2 口令驗證 72

5.2.3 利用信物的身份認證 74

5.2.4 利用人類特徵進行身份認證 75

5.2.5 網路通信中的身份認證 76

5.3 數字簽名 78

5.3.1 數字簽名的設計需求 78

5.3.2 數字簽名的設計實現過程 78

5.4 認證中心 79

5.4.1 公開發布 80

5.4.2 公用目錄表 80

5.4.3 公鑰管理機構 80

5.4.4 公鑰證書 81

5.4.5 認證中心的功能 82

5.4.6 認證中心的建立 83

本章小結 84

實驗5 CA系統套用 85

習題5 89

第6章 訪問控制技術 90

6.1 訪問控制概述 90

6.1.1 訪問控制的基本任務 90

6.1.2 訪問控制的要素 91

6.1.3 訪問控制的層次 93

6.2 訪問控制的類型 94

6.2.1 自主訪問控制 94

6.2.2 強制訪問控制 98

6.2.3 基於角色的訪問控制 100

6.3 訪問控制模型 101

6.3.1 訪問矩陣模型 101

6.3.2 BLP模型 102

6.3.3 Biba模型 102

6.3.4 角色模型 103

6.4 訪問控制模型的實現 106

6.4.1 訪問控制模型的實現機制 106

6.4.2 自主訪問控制的實現及示例 108

6.4.3 強制訪問控制模型的實現及示例 110

6.4.4 基於角色的訪問控制的實現及示例 111

本章小結 112

習 題 6 113

第7章 惡意代碼防範技術 114

7.1 惡意代碼及其特徵 114

7.1.1 惡意代碼的概念 114

7.1.2 惡意代碼的發展史 114

7.1.3 典型惡意代碼 117

7.2 惡意代碼防範原則和策略 126

7.3 惡意代碼防範技術體系 128

7.3.1 惡意代碼檢測 129

7.3.2 惡意代碼清除 135

7.3.3 惡意代碼預防 137

7.3.4 惡意代碼免疫 138

7.3.5 主流惡意代碼防範產品 139

本章小結 144

實驗7 網路蠕蟲病毒及防範 145

習題7 147

第8章 防火牆 148

8.1 防火牆的基本原理 148

8.1.1 防火牆的概念 148

8.1.2 防火牆的模型 148

8.2 防火牆的分類 149

8.2.1 包過濾防火牆 149

8.2.2 套用代理防火牆 155

8.2.3 複合型防火牆 157

8.3 防火牆體系結構 159

8.3.1 幾種常見的防火牆體系結構 159

8.3.2 防火牆的變化和組合 162

8.3.3 堡壘主機 165

8.4 防火牆的發展趨勢 166

本章小結 168

實驗8 天網防火牆的配置 168

習題8 170

第9章 其他網路安全技術 171

9.1 入侵檢測概述 171

9.1.1 入侵檢測系統 171

9.1.2 入侵檢測的意義 172

9.2 入侵檢測系統結構 173

9.2.1 入侵檢測系統的通用模型 173

9.2.2 入侵檢測系統結構 174

9.3 入侵檢測系統類型 175

9.3.1 基於主機的入侵檢測系統 175

9.3.2 基於網路的入侵檢測系統 176

9.3.3 分散式入侵檢測系統 177

9.3.4 入侵檢測系統的部署 179

9.4 入侵檢測基本技術 179

9.4.1 異常檢測技術 180

9.4.2 誤用檢測技術 183

9.5 入侵檢測回響機制 185

9.5.1 主動回響 185

9.5.2 被動回響 186

本章小結 186

實驗9 入侵檢測系統 187

習題9 189

第10章 虛擬專用網技術 190

10.1 虛擬專用網概述 190

10.1.1 VPN概念的演進 190

10.1.2 IP-VPN的概念 191

10.1.3 VPN的基本特徵 192

10.2 VPN的分類及原理 193

10.2.1 VPN的分類 193

10.2.2 VPN的基本原理 196

10.3 VPN隧道機制 198

10.3.1 IP隧道技術 198

10.3.2 IP隧道協定 199

10.3.3 VPN隧道機制 200

10.4 構建VPN的典型安全協定——IPSEC協定簇 202

10.4.1 IPsec體系結構 202

10.4.2 IPsec工作模式 203

10.4.3 安全關聯和安全策略 204

10.4.4 AH協定 206

10.4.5 ESP協定 208

10.5 基於VPN技術的典型網路架構 211

本章小結 213

實驗10 虛擬專用網 213

習題10 215

第11章 其他網路安全技術 216

11.1 安全掃描技術 216

11.1.1 安全掃描技術簡介 216

11.1.2 連線埠掃描技術 217

11.1.3 漏洞掃描技術 218

11.1.4 常見安全掃描器 219

11.2 網路隔離技術 222

11.2.1 網路隔離技術原理 223

11.2.2 安全隔離網閘 224

11.3 信息隱藏技術 225

11.3.1 信息隱藏技術簡介 225

11.3.2 隱寫技術 227

11.3.3 數字水印技術 228

11.3.4 信息隱藏技術在網路安全中的套用 230

11.4 無線區域網路安全技術 231

11.4.1 無線區域網路的安全缺陷 231

11.4.2 針對無線區域網路的攻擊 232

11.4.3 常用無線區域網路安全技術 233

11.4.4 無線區域網路的常用安全措施 235

11.5 蜜罐技術 236

11.5.1 蜜罐技術簡介 237

11.5.2 蜜罐關鍵技術 238

11.5.3 典型蜜罐工具 240

本章小結 241

習題11 242

第12章 網路安全管理 243

12.1 網路安全管理概述 243

12.1.1 網路安全管理的內涵 243

12.1.2 網路安全管理的原則 244

12.1.3 網路安全管理的內容 246

12.2 網路安全管理體制 247

12.3 網路安全設施管理 248

12.3.1 硬體設施的安全管理 248

12.3.2 機房和場地設施的安全管理 249

12.4 網路安全風險管理 250

12.5 網路安全應急回響管理 252

12.5.1 網路安全應急回響管理的基本流程 252

12.5.2 網路安全應急回響的基本方法 254

12.5.3 網路安全應急回響技術體系 256

12.6 網路安全等級保護管理 257

12.6.1 等級保護分級 258

12.6.2 等級保護能力 258

12.6.3 等級保護基本要求 259

12.7 信息安全測評認證管理 261

12.7.1 我國信息安全測評認證標準 261

12.7.2 信息安全測評認證主要技術 263

本章小結 267

習題12 267

參考文獻 269