1、2022-4-24.安全培訓(xùn)之一 -網(wǎng)絡(luò)安全基礎(chǔ)主講：陳翔主講：陳翔網(wǎng)安科技網(wǎng)安科技.2022-4-24大大 綱綱n網(wǎng)絡(luò)安全背景分析網(wǎng)絡(luò)安全背景分析n安全基本理論安全基本理論n教育系統(tǒng)拓?fù)浣逃到y(tǒng)拓?fù)鋘安防體系安防體系.2022-4-24校園網(wǎng)特點(diǎn) 現(xiàn)在地域地域： 高校合并、新校區(qū)擴(kuò)建應(yīng)用應(yīng)用：網(wǎng)上游戲、網(wǎng)上視頻、BT/emule、學(xué)術(shù)研究 QoS：不同應(yīng)用需要不同的時(shí)延、帶寬安全安全：病毒頻繁爆發(fā)、工具軟件、學(xué)生特點(diǎn)由IPv4向IPv6進(jìn)行逐步過(guò)渡.2022-4-24現(xiàn)在需要現(xiàn)在需要過(guò)去過(guò)去從無(wú)到有從無(wú)到有校園辦公網(wǎng)校園辦公網(wǎng)宿舍網(wǎng)宿舍網(wǎng)互聯(lián)網(wǎng)出口互聯(lián)網(wǎng)出口網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)業(yè)務(wù)業(yè)務(wù)驅(qū)動(dòng)業(yè)務(wù)驅(qū)動(dòng)可

2、運(yùn)營(yíng)可運(yùn)營(yíng)可用可用可管理可管理安全安全易維護(hù)易維護(hù)準(zhǔn)確靈活計(jì)費(fèi)準(zhǔn)確靈活計(jì)費(fèi)有效的業(yè)務(wù)支撐有效的業(yè)務(wù)支撐校園網(wǎng)建設(shè)的轉(zhuǎn)變.2022-4-24學(xué)校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用n教學(xué)局域網(wǎng)：可由計(jì)算機(jī)中心、多校園網(wǎng)教學(xué)局域網(wǎng)：可由計(jì)算機(jī)中心、多校園網(wǎng)一般由兩部分構(gòu)成。一部分是內(nèi)部網(wǎng)（稱一般由兩部分構(gòu)成。一部分是內(nèi)部網(wǎng)（稱校園網(wǎng)內(nèi)部網(wǎng)），包含教學(xué)局域網(wǎng)、圖書(shū)校園網(wǎng)內(nèi)部網(wǎng)），包含教學(xué)局域網(wǎng)、圖書(shū)館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等幾個(gè)物理館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等幾個(gè)物理隔離網(wǎng)絡(luò)；另一部分是外部網(wǎng)（稱校園網(wǎng)隔離網(wǎng)絡(luò)；另一部分是外部網(wǎng)（稱校園網(wǎng)外部網(wǎng)），包括一些公開(kāi)服務(wù)器，并負(fù)責(zé)外部網(wǎng)），包括一些公開(kāi)服務(wù)器，并負(fù)責(zé)與中國(guó)

3、教育和科研網(wǎng)和與中國(guó)教育和科研網(wǎng)和INTERNET的連接的連接以及遠(yuǎn)程移動(dòng)辦公用戶等的接入等以及遠(yuǎn)程移動(dòng)辦公用戶等的接入等 .2022-4-24n媒體教室、語(yǔ)音教室、各系班計(jì)算機(jī)房等構(gòu)成，媒體教室、語(yǔ)音教室、各系班計(jì)算機(jī)房等構(gòu)成，保證正常教學(xué)和學(xué)生上機(jī)。使教學(xué)人員能夠利用保證正常教學(xué)和學(xué)生上機(jī)。使教學(xué)人員能夠利用計(jì)算機(jī)備課，制作多媒體課件并開(kāi)展教學(xué)。計(jì)算機(jī)備課，制作多媒體課件并開(kāi)展教學(xué)。圖書(shū)館局域網(wǎng)：一般由服務(wù)器和客戶機(jī)構(gòu)成，以圖書(shū)館局域網(wǎng)：一般由服務(wù)器和客戶機(jī)構(gòu)成，以實(shí)現(xiàn)圖書(shū)館自動(dòng)化管理。保證圖書(shū)館內(nèi)部業(yè)務(wù)計(jì)實(shí)現(xiàn)圖書(shū)館自動(dòng)化管理。保證圖書(shū)館內(nèi)部業(yè)務(wù)計(jì)算機(jī)網(wǎng)絡(luò)化管理和在校園網(wǎng)上實(shí)現(xiàn)書(shū)刊目錄及部

4、算機(jī)網(wǎng)絡(luò)化管理和在校園網(wǎng)上實(shí)現(xiàn)書(shū)刊目錄及部分文獻(xiàn)參考全文檢索及瀏覽等應(yīng)用。分文獻(xiàn)參考全文檢索及瀏覽等應(yīng)用。.2022-4-24n辦公自動(dòng)化局域網(wǎng)：包括辦公自動(dòng)化和教辦公自動(dòng)化局域網(wǎng)：包括辦公自動(dòng)化和教學(xué)管理服務(wù)器，客戶機(jī)。通過(guò)辦公自動(dòng)化學(xué)管理服務(wù)器，客戶機(jī)。通過(guò)辦公自動(dòng)化軟件，開(kāi)展公文管理、會(huì)議管理、檔案管軟件，開(kāi)展公文管理、會(huì)議管理、檔案管理和個(gè)人辦公管理的辦公自動(dòng)化的應(yīng)用。理和個(gè)人辦公管理的辦公自動(dòng)化的應(yīng)用。實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管理、后勤管理等應(yīng)用，形成院校的管理信

5、理、后勤管理等應(yīng)用，形成院校的管理信息系統(tǒng)。息系統(tǒng)。.2022-4-24各類(lèi)應(yīng)用服務(wù)器n域名服務(wù)器（域名服務(wù)器（DNS）：完成主機(jī)名（域名）與）：完成主機(jī)名（域名）與P地址地址相互解析等任務(wù)。相互解析等任務(wù)。 代理服務(wù)器（代理服務(wù)器（Proxy）：其跨越外部網(wǎng)和內(nèi)部網(wǎng)，為校）：其跨越外部網(wǎng)和內(nèi)部網(wǎng)，為校園網(wǎng)內(nèi)用戶提供代理服務(wù)，并使用緩存（園網(wǎng)內(nèi)用戶提供代理服務(wù)，并使用緩存（CACHE）技）技術(shù)，減少信息的重復(fù)調(diào)用，降低出口流量，提高訪問(wèn)術(shù)，減少信息的重復(fù)調(diào)用，降低出口流量，提高訪問(wèn)速度，也節(jié)約了通信資費(fèi)。速度，也節(jié)約了通信資費(fèi)。 WWW服務(wù)器（服務(wù)器（Web Sever）：提供超文本信息查詢和

6、）：提供超文本信息查詢和瀏覽器服務(wù)器模式應(yīng)用服務(wù)。瀏覽器服務(wù)器模式應(yīng)用服務(wù)。 文件傳輸服務(wù)器（文件傳輸服務(wù)器（FTP Sever）：提供遠(yuǎn)程文件透明傳）：提供遠(yuǎn)程文件透明傳輸服務(wù)。輸服務(wù)。 電子郵件服務(wù)器（電子郵件服務(wù)器（Mai1 Sever）：提供電子郵件收、）：提供電子郵件收、發(fā)服務(wù)。發(fā)服務(wù)。.2022-4-24n外部網(wǎng)一般通過(guò)外部網(wǎng)交換機(jī)，連接因特網(wǎng)服務(wù)外部網(wǎng)一般通過(guò)外部網(wǎng)交換機(jī)，連接因特網(wǎng)服務(wù)器構(gòu)成一個(gè)獨(dú)立網(wǎng)段。邊界路由器通過(guò)器構(gòu)成一個(gè)獨(dú)立網(wǎng)段。邊界路由器通過(guò)DDN專線專線與中國(guó)教育和科研網(wǎng)（或其它網(wǎng)絡(luò)）連接，實(shí)現(xiàn)與中國(guó)教育和科研網(wǎng)（或其它網(wǎng)絡(luò)）連接，實(shí)現(xiàn)與因特網(wǎng)互聯(lián)。與因特網(wǎng)互聯(lián)。遠(yuǎn)

7、程訪問(wèn)服務(wù)器連入公用電話網(wǎng)（遠(yuǎn)程訪問(wèn)服務(wù)器連入公用電話網(wǎng)（PSNTGSM），使院外授權(quán)用戶（含院內(nèi)職工在宿舍或），使院外授權(quán)用戶（含院內(nèi)職工在宿舍或出差）用拔號(hào)方式訪問(wèn)校園網(wǎng)。出差）用拔號(hào)方式訪問(wèn)校園網(wǎng)。 .2022-4-24安全產(chǎn)品分布圖安全產(chǎn)品分布圖結(jié)論：防火墻、IDS、防病毒是首選的安全產(chǎn)品使用計(jì)費(fèi)系統(tǒng) 過(guò)濾王.2022-4-24網(wǎng)絡(luò)安全教育.2022-4-24學(xué)校安全問(wèn)題學(xué)校安全問(wèn)題n1.網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足，沒(méi)有系統(tǒng)網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建的網(wǎng)絡(luò)安全設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足，有限的經(jīng)費(fèi)也主要投在設(shè)經(jīng)費(fèi)嚴(yán)重不足，有限

8、的經(jīng)費(fèi)也主要投在網(wǎng)絡(luò)設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒(méi)有網(wǎng)絡(luò)設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒(méi)有比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個(gè)比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個(gè)開(kāi)放的狀態(tài)，沒(méi)有任何有效的安全預(yù)警手開(kāi)放的狀態(tài)，沒(méi)有任何有效的安全預(yù)警手段和防范措施。段和防范措施。.2022-4-242.學(xué)校的上網(wǎng)場(chǎng)所管理較混亂學(xué)校的上網(wǎng)場(chǎng)所管理較混亂.各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機(jī)房平時(shí)提供給學(xué)生和各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機(jī)房平時(shí)提供給學(xué)生和教職員工上網(wǎng)、學(xué)習(xí)。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)教職員工上網(wǎng)、學(xué)習(xí)。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)控、日志系統(tǒng)，這些機(jī)房的管理基本處在各自為政的狀態(tài)。控、日

9、志系統(tǒng)，這些機(jī)房的管理基本處在各自為政的狀態(tài)。絕大多數(shù)的機(jī)房的登記管理制度存在嚴(yán)重漏洞，上網(wǎng)用戶的絕大多數(shù)的機(jī)房的登記管理制度存在嚴(yán)重漏洞，上網(wǎng)用戶的身份無(wú)法唯一識(shí)別；另外，由于機(jī)房的計(jì)算機(jī)為了管理上的身份無(wú)法唯一識(shí)別；另外，由于機(jī)房的計(jì)算機(jī)為了管理上的方便，基本上都投入了大批資金安裝了還原卡，計(jì)算機(jī)關(guān)機(jī)方便，基本上都投入了大批資金安裝了還原卡，計(jì)算機(jī)關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)，但這在安全管理上就形成了很大后啟動(dòng)即恢復(fù)到初始狀態(tài)，但這在安全管理上就形成了很大的漏洞，無(wú)法按照安全部門(mén)要求保留至少三個(gè)月以上的上機(jī)的漏洞，無(wú)法按照安全部門(mén)要求保留至少三個(gè)月以上的上機(jī)和上網(wǎng)日志；更有甚者，個(gè)別機(jī)房甚至

10、私自接入了互聯(lián)網(wǎng)，和上網(wǎng)日志；更有甚者，個(gè)別機(jī)房甚至私自接入了互聯(lián)網(wǎng)，繞開(kāi)了學(xué)校的統(tǒng)一管理和國(guó)家相關(guān)部門(mén)的監(jiān)管，存在極大的繞開(kāi)了學(xué)校的統(tǒng)一管理和國(guó)家相關(guān)部門(mén)的監(jiān)管，存在極大的安全隱患。安全隱患。.2022-4-243.電子郵件系統(tǒng)極不完善，無(wú)任何安全電子郵件系統(tǒng)極不完善，無(wú)任何安全管理和監(jiān)控的手段管理和監(jiān)控的手段n近些時(shí)候，通過(guò)電子郵件系統(tǒng)散發(fā)反動(dòng)，色情近些時(shí)候，通過(guò)電子郵件系統(tǒng)散發(fā)反動(dòng)，色情言論和材料以及散步謠言等情況愈發(fā)嚴(yán)重。言論和材料以及散步謠言等情況愈發(fā)嚴(yán)重。n但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)，由于是免費(fèi)的軟件，載的

11、免費(fèi)版本的郵件系統(tǒng)，由于是免費(fèi)的軟件，既不能提供自身完善的安全防護(hù)，更沒(méi)有提供既不能提供自身完善的安全防護(hù)，更沒(méi)有提供任何針對(duì)用戶來(lái)往信件過(guò)濾、監(jiān)控和管理的手任何針對(duì)用戶來(lái)往信件過(guò)濾、監(jiān)控和管理的手段，完全不符合公安部門(mén)提出的安全郵件系統(tǒng)段，完全不符合公安部門(mén)提出的安全郵件系統(tǒng)的要求，出現(xiàn)問(wèn)題無(wú)法及時(shí)有效的解決的要求，出現(xiàn)問(wèn)題無(wú)法及時(shí)有效的解決.2022-4-244.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)病毒泛濫n網(wǎng)絡(luò)在提供給大家的方便的同時(shí)，也變成了病毒網(wǎng)絡(luò)在提供給大家的方便的同時(shí)，也變成了病毒傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速發(fā)展、網(wǎng)絡(luò)傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速發(fā)展、網(wǎng)絡(luò)病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)

12、病毒和病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)病毒和黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶的隱私和重要數(shù)據(jù)外泄。同時(shí)還極大的消耗了網(wǎng)的隱私和重要數(shù)據(jù)外泄。同時(shí)還極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從 “紅色代紅色代碼碼”、“尼姆達(dá)尼姆達(dá)”到到“愛(ài)之門(mén)愛(ài)之門(mén)”等網(wǎng)絡(luò)病毒的爆等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。而病毒防范的措施也不能僅僅靠原來(lái)單機(jī)的方式，而病毒防范的措施也不能僅僅靠原來(lái)單機(jī)的方式，必須是一種集中管理，統(tǒng)一升級(jí)，統(tǒng)一監(jiān)控的針必須是一種集中

13、管理，統(tǒng)一升級(jí)，統(tǒng)一監(jiān)控的針對(duì)網(wǎng)絡(luò)的防病毒體系。對(duì)網(wǎng)絡(luò)的防病毒體系。.2022-4-245.網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有指定完網(wǎng)絡(luò)安全意識(shí)淡薄，沒(méi)有指定完善的網(wǎng)絡(luò)安全管理制度善的網(wǎng)絡(luò)安全管理制度n校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過(guò)號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過(guò)郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見(jiàn)不鮮，以福建省省網(wǎng)中心之一的屢見(jiàn)不鮮，以福建省省網(wǎng)中心之一的大學(xué)網(wǎng)大學(xué)網(wǎng)絡(luò)中心做過(guò)的統(tǒng)計(jì)，該校主要的幾個(gè)應(yīng)用服務(wù)器絡(luò)中心做過(guò)的統(tǒng)計(jì)，該校主要的幾個(gè)應(yīng)用

14、服務(wù)器平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬(wàn)次的非常平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬(wàn)次的非常訪問(wèn)嘗試，而其中一大部分的非法訪問(wèn)源自校內(nèi)，訪問(wèn)嘗試，而其中一大部分的非法訪問(wèn)源自校內(nèi)，說(shuō)明校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄；另外，沒(méi)說(shuō)明校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡??；另外，沒(méi)有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒(méi)有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問(wèn)安全管理上也沒(méi)有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問(wèn)題泛濫的一個(gè)重要原因。題泛濫的一個(gè)重要原因。.2022-4-24解決網(wǎng)絡(luò)安全問(wèn)題涉及的方面解決網(wǎng)絡(luò)安全問(wèn)題涉及的方面n法制建設(shè)問(wèn)題：約束黑客行為等法制建設(shè)問(wèn)題：約束黑客行

15、為等n組織建設(shè)問(wèn)題：建立快速響應(yīng)體系組織建設(shè)問(wèn)題：建立快速響應(yīng)體系n標(biāo)準(zhǔn)資質(zhì)認(rèn)證：產(chǎn)品、服務(wù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)資質(zhì)認(rèn)證：產(chǎn)品、服務(wù)標(biāo)準(zhǔn)n系統(tǒng)評(píng)估問(wèn)題：安全隱患與信息價(jià)值系統(tǒng)評(píng)估問(wèn)題：安全隱患與信息價(jià)值n平臺(tái)建設(shè)問(wèn)題：平臺(tái)建設(shè)問(wèn)題：CERTCERT、反入侵、反病毒等安全中心、反入侵、反病毒等安全中心n科科 研研 支支 撐：專項(xiàng)基金、支持科研及自有力量的科研投入撐：專項(xiàng)基金、支持科研及自有力量的科研投入n人力資源建設(shè)：建立專家隊(duì)伍、開(kāi)展培訓(xùn)工作人力資源建設(shè)：建立專家隊(duì)伍、開(kāi)展培訓(xùn)工作.2022-4-24網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定義n網(wǎng)絡(luò)安全的五要素包括：網(wǎng)絡(luò)安全的五要素包括：機(jī)密性：確保信息不暴露給未授權(quán)的

16、實(shí)體或進(jìn)程。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。數(shù)據(jù)是否已被篡改。 可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。能占用所有的資源而阻礙授權(quán)者的工作。 即服務(wù)不中斷。即服務(wù)不中斷?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手

17、段。.2022-4-24網(wǎng)絡(luò)安全的分層防護(hù)體系.2022-4-24我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估安全需求與目標(biāo)安全需求與目標(biāo)安全體系安全體系安全解決方案安全解決方案網(wǎng)絡(luò)安全的實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)現(xiàn)安全服務(wù)安全服務(wù).2022-4-24安全體系 構(gòu)筑網(wǎng)絡(luò)安全體系 風(fēng)險(xiǎn)評(píng)估 網(wǎng)絡(luò)安全管理咨詢 應(yīng)用級(jí)安全防御 安全管理工作流程 網(wǎng)絡(luò)安全管理規(guī)范 問(wèn)卷調(diào)研 網(wǎng)絡(luò)級(jí)安全防御 數(shù)據(jù)級(jí)安全防御 網(wǎng)絡(luò)安全審計(jì) 網(wǎng)絡(luò)安全培訓(xùn) 全面的服務(wù)體系 貫穿整個(gè)網(wǎng)絡(luò)生命周期 系統(tǒng)級(jí)安全防御 制定安全政策 建立安全組織 網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì) .2022-4-24 網(wǎng)絡(luò)安全策略是安全管理體系和網(wǎng)絡(luò)安全技術(shù)

18、網(wǎng)絡(luò)安全策略是安全管理體系和網(wǎng)絡(luò)安全技術(shù)的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)安全策略進(jìn)行闡的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)安全策略進(jìn)行闡述，著重介紹以下幾方面：述，著重介紹以下幾方面：q 企業(yè)安全防護(hù)體系的構(gòu)成企業(yè)安全防護(hù)體系的構(gòu)成q 建立安全的企業(yè)網(wǎng)絡(luò)建立安全的企業(yè)網(wǎng)絡(luò)q 安防工作是一個(gè)過(guò)程安防工作是一個(gè)過(guò)程.2022-4-24q 先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)q 完善的安全管理體系是網(wǎng)絡(luò)安全的必要條件完善的安全管理體系是網(wǎng)絡(luò)安全的必要條件q 安全防護(hù)工作是一個(gè)周而復(fù)始、循環(huán)上升的安全防護(hù)工作是一個(gè)周而復(fù)始、循環(huán)上升的過(guò)程過(guò)程.2022-4-24人人 制

19、度制度技術(shù)技術(shù)安全防護(hù)體系安全防護(hù)體系q 人人q 制度制度q 技術(shù)技術(shù).2022-4-24q 對(duì)安全防護(hù)工作重視的領(lǐng)導(dǎo)是安防工作順利推對(duì)安全防護(hù)工作重視的領(lǐng)導(dǎo)是安防工作順利推進(jìn)的主要?jiǎng)恿?；進(jìn)的主要?jiǎng)恿Γ籷 有強(qiáng)烈安全防護(hù)意識(shí)的員工是企業(yè)安防體系得有強(qiáng)烈安全防護(hù)意識(shí)的員工是企業(yè)安防體系得以切實(shí)落實(shí)的基礎(chǔ)；以切實(shí)落實(shí)的基礎(chǔ)；q 杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強(qiáng)安全防杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強(qiáng)安全防護(hù)的一項(xiàng)重要工作。護(hù)的一項(xiàng)重要工作。.2022-4-24q 啟蒙啟蒙為安全培訓(xùn)工作打基礎(chǔ)，端正對(duì)企業(yè)為安全培訓(xùn)工作打基礎(chǔ)，端正對(duì)企業(yè)的態(tài)度，讓他們充分認(rèn)識(shí)到安防工作的重要意的態(tài)度，讓他們充分認(rèn)識(shí)

20、到安防工作的重要意義及在不重視安防工作的危險(xiǎn)后果。義及在不重視安防工作的危險(xiǎn)后果。q 培訓(xùn)培訓(xùn)傳授安全技巧，使其更好的完成自己傳授安全技巧，使其更好的完成自己的工作。的工作。q 教育教育目標(biāo)是培養(yǎng)目標(biāo)是培養(yǎng)IT安防專業(yè)人才，重點(diǎn)在安防專業(yè)人才，重點(diǎn)在于拓展應(yīng)付處理復(fù)雜多變的攻擊活動(dòng)的能力和于拓展應(yīng)付處理復(fù)雜多變的攻擊活動(dòng)的能力和遠(yuǎn)見(jiàn)。遠(yuǎn)見(jiàn)。.2022-4-24q 減輕或消除員工和第三方的法律責(zé)任減輕或消除員工和第三方的法律責(zé)任q 對(duì)保密信息和無(wú)形資產(chǎn)加以保護(hù)對(duì)保密信息和無(wú)形資產(chǎn)加以保護(hù)q 防止浪費(fèi)企業(yè)的計(jì)算機(jī)資源防止浪費(fèi)企業(yè)的計(jì)算機(jī)資源 安防制度是這樣一份或一套文檔，它從整體上規(guī)安防制度是這樣

21、一份或一套文檔，它從整體上規(guī)劃出在企業(yè)內(nèi)部實(shí)施的各項(xiàng)安防控制措施。劃出在企業(yè)內(nèi)部實(shí)施的各項(xiàng)安防控制措施。 安防制度的作用主要有安防制度的作用主要有：.2022-4-24 安防制度的生命周期包括制度的制定、推行和監(jiān)安防制度的生命周期包括制度的制定、推行和監(jiān)督實(shí)施。督實(shí)施。第一階段：規(guī) 章制度的制定。本階段以風(fēng)險(xiǎn)評(píng)估工作的結(jié)論為依據(jù)制定出消除、 減輕和轉(zhuǎn)移風(fēng)險(xiǎn)所需要的安防 控制措施。第二階段：企業(yè)發(fā)布執(zhí)行的規(guī)章制度，以及配套的獎(jiǎng)懲措施。第三階段：規(guī)章制度的監(jiān)第三階段：規(guī)章制度的監(jiān)督實(shí)施。制度的監(jiān)督實(shí)施督實(shí)施。制度的監(jiān)督實(shí)施應(yīng)常抓不懈、反復(fù)進(jìn)行，應(yīng)常抓不懈、反復(fù)進(jìn)行，保證制度能夠跟上企業(yè)的保證制度能

22、夠跟上企業(yè)的發(fā)展和變化發(fā)展和變化制度的監(jiān)督實(shí)施制度的監(jiān)督實(shí)施制度的制定制度的制定制度的推行制度的推行.2022-4-24q 計(jì)算機(jī)上機(jī)管理制度計(jì)算機(jī)上機(jī)管理制度q 用戶賬戶管理制度用戶賬戶管理制度q 遠(yuǎn)程訪問(wèn)管理制度遠(yuǎn)程訪問(wèn)管理制度q 信息保護(hù)管理制度信息保護(hù)管理制度q 防火墻管理制度防火墻管理制度q 特殊訪問(wèn)權(quán)限管理制度特殊訪問(wèn)權(quán)限管理制度q 網(wǎng)絡(luò)連接設(shè)備管理制度網(wǎng)絡(luò)連接設(shè)備管理制度q 商業(yè)伙伴管理制度商業(yè)伙伴管理制度q 顧客管理制度顧客管理制度.2022-4-24q 信息加密技術(shù)信息加密技術(shù)q 身份鑒別技術(shù)身份鑒別技術(shù)q 資源使用授權(quán)技術(shù)資源使用授權(quán)技術(shù)q 訪問(wèn)審計(jì)技術(shù)訪問(wèn)審計(jì)技術(shù)q 備份

23、與恢復(fù)技術(shù)備份與恢復(fù)技術(shù)q 防病毒技術(shù)防病毒技術(shù).2022-4-24q 網(wǎng)絡(luò)防火墻q VPN設(shè)備q 入侵檢測(cè)設(shè)備q 漏洞評(píng)估產(chǎn)品q 網(wǎng)絡(luò)防病毒產(chǎn)品.2022-4-24q 單一的安全保護(hù)往往效果不理想單一的安全保護(hù)往往效果不理想q 目前的趨勢(shì)目前的趨勢(shì)應(yīng)用和實(shí)施一個(gè)基于多層應(yīng)用和實(shí)施一個(gè)基于多層次安全系統(tǒng)的全面信息安全策略次安全系統(tǒng)的全面信息安全策略在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品分層的安全防護(hù)成倍地增加了黑客攻擊的分層的安全防護(hù)成倍地增加了黑客攻擊的成本和難度成本和難度從而卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到從而卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。安

24、全防護(hù)的目標(biāo)。.2022-4-241 防火墻技術(shù)防火墻技術(shù).2022-4-24 防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是置于不防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄允許、拒絕、監(jiān)視、記錄)進(jìn)出進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。網(wǎng)絡(luò)的訪問(wèn)行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)路由器InternetIntranet供外部訪問(wèn)的服務(wù)及資源可信任的用戶不可信的用戶 DMZ 防火墻防火墻.2022-4-24q

25、包過(guò)濾技術(shù) (Packet Filtering)q應(yīng)用層代理技術(shù) (Application Proxy)q狀態(tài)包過(guò)濾技術(shù) (Stateful Packet Filtering)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層.2022-4-24數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)查找對(duì)應(yīng)的控制策的控制策略略拆開(kāi)數(shù)據(jù)包拆開(kāi)數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource

26、控制策略.2022-4-24數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)查找對(duì)應(yīng)的控制策的控制策略略拆開(kāi)數(shù)據(jù)包拆開(kāi)數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng) 數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息應(yīng)用代理判斷信息控制策略控制策略.2022-4-24數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)查找對(duì)應(yīng)的控制策的控制策略略拆開(kāi)數(shù)據(jù)包拆開(kāi)數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭分組過(guò)濾判斷信息數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)狀態(tài)

27、檢測(cè)控制策略控制策略.2022-4-24q位于位于Internet與與Intranet之間的系統(tǒng)，之間的系統(tǒng)，避免內(nèi)部網(wǎng)絡(luò)直接暴露在外面避免內(nèi)部網(wǎng)絡(luò)直接暴露在外面q防止防止Internet上非法訪問(wèn)上非法訪問(wèn)q防止內(nèi)部使用者不當(dāng)?shù)氖褂梅乐箖?nèi)部使用者不當(dāng)?shù)氖褂肐nternetq有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動(dòng)有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動(dòng)q強(qiáng)化企業(yè)安全策略強(qiáng)化企業(yè)安全策略.2022-4-24q防火墻不能完全防止受病毒感染的文防火墻不能完全防止受病毒感染的文件或軟件的傳輸件或軟件的傳輸q防火墻對(duì)不通過(guò)它的連接無(wú)能為力防火墻對(duì)不通過(guò)它的連接無(wú)能為力q防火墻不能防備內(nèi)部人員的攻擊防火墻不能防備內(nèi)部人

28、員的攻擊q防火墻可能導(dǎo)致傳輸延遲、網(wǎng)絡(luò)瓶頸防火墻可能導(dǎo)致傳輸延遲、網(wǎng)絡(luò)瓶頸及單點(diǎn)失效及單點(diǎn)失效q防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題防火墻不能防備新的網(wǎng)絡(luò)安全問(wèn)題.2022-4-242 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù).2022-4-24q 防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；q 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(IDS：Intrusion detection system)用于用于監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)被入監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)被入侵或?yàn)E用的征兆；侵或?yàn)E用的征兆；q IDS系統(tǒng)以后臺(tái)進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可系統(tǒng)以后臺(tái)進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；疑情況，立即通知有關(guān)人員

29、；q IDS是監(jiān)控和識(shí)別攻擊的標(biāo)準(zhǔn)解決方案，是監(jiān)控和識(shí)別攻擊的標(biāo)準(zhǔn)解決方案，是安防體系的重要組成部分；是安防體系的重要組成部分；q 假如說(shuō)防火墻是一幢大樓的門(mén)鎖，那入侵假如說(shuō)防火墻是一幢大樓的門(mén)鎖，那入侵檢測(cè)系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。檢測(cè)系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。.2022-4-24n內(nèi)部用戶可能對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，竊內(nèi)部用戶可能對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，竊取資料，破壞服務(wù)器上的重要數(shù)據(jù)信息，取資料，破壞服務(wù)器上的重要數(shù)據(jù)信息，令網(wǎng)絡(luò)癱瘓；令網(wǎng)絡(luò)癱瘓；n有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序和網(wǎng)絡(luò)病毒，將導(dǎo)致內(nèi)部重要數(shù)據(jù)外泄；和網(wǎng)絡(luò)病毒，將導(dǎo)致內(nèi)部重要數(shù)

30、據(jù)外泄；n用戶可能通過(guò)內(nèi)部網(wǎng)絡(luò)向外進(jìn)行非法攻擊，用戶可能通過(guò)內(nèi)部網(wǎng)絡(luò)向外進(jìn)行非法攻擊，造成重大破壞，而從外界追查只能知道攻造成重大破壞，而從外界追查只能知道攻擊來(lái)自該網(wǎng)絡(luò)；擊來(lái)自該網(wǎng)絡(luò)；n外來(lái)用戶可以通過(guò)外接一臺(tái)計(jì)算機(jī)連入內(nèi)外來(lái)用戶可以通過(guò)外接一臺(tái)計(jì)算機(jī)連入內(nèi)部網(wǎng)絡(luò)，竊取內(nèi)部資料或進(jìn)行破壞活動(dòng)。部網(wǎng)絡(luò)，竊取內(nèi)部資料或進(jìn)行破壞活動(dòng)。使用入侵檢測(cè)系統(tǒng)的意義：使用入侵檢測(cè)系統(tǒng)的意義：.2022-4-24q 不需要人工干預(yù)即可不間斷運(yùn)行不需要人工干預(yù)即可不間斷運(yùn)行q 有容錯(cuò)功能有容錯(cuò)功能q 不需要占用大量的系統(tǒng)資源不需要占用大量的系統(tǒng)資源q 能夠發(fā)現(xiàn)異于正常行為的操作能夠發(fā)現(xiàn)異于正常行為的操作q 能夠

31、適應(yīng)系統(tǒng)行為的長(zhǎng)期變化能夠適應(yīng)系統(tǒng)行為的長(zhǎng)期變化q 判斷準(zhǔn)確判斷準(zhǔn)確q 靈活定制靈活定制q 保持領(lǐng)先保持領(lǐng)先.2022-4-24q 主機(jī)入侵檢測(cè)系統(tǒng)主機(jī)入侵檢測(cè)系統(tǒng)Host Intrusion Detection SystemHost Intrusion Detection Systemq 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Network Intrusion Detection SystemNetwork Intrusion Detection System.2022-4-24q 能夠使現(xiàn)有的安防體系更完善；能夠使現(xiàn)有的安防體系更完善；q 能夠更好地掌握系統(tǒng)的情況；能夠更好地掌握系統(tǒng)的情況；q

32、能夠追蹤攻擊者的攻擊線路；能夠追蹤攻擊者的攻擊線路；q 界面友好，便于建立安防體系；界面友好，便于建立安防體系；q 能夠抓住肇事者。能夠抓住肇事者。.2022-4-24q 不能在沒(méi)有用戶參與的情況下對(duì)攻擊行不能在沒(méi)有用戶參與的情況下對(duì)攻擊行為展開(kāi)調(diào)查；為展開(kāi)調(diào)查；q 不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；q 不能克服設(shè)計(jì)原理方面的缺陷；不能克服設(shè)計(jì)原理方面的缺陷；q 存在漏報(bào)與誤報(bào)。存在漏報(bào)與誤報(bào)。 入侵檢測(cè)系統(tǒng)不是萬(wàn)能的，也存在許多不足：入侵檢測(cè)系統(tǒng)不是萬(wàn)能的，也存在許多不足：.2022-4-24InternetIDS 1IDS 2IDS 3IDS 4子網(wǎng)子網(wǎng) A子網(wǎng)子網(wǎng)

33、B交換機(jī)交換機(jī)帶主機(jī)帶主機(jī)IDS感應(yīng)感應(yīng)器的服務(wù)器器的服務(wù)器服務(wù)器服務(wù)器.2022-4-243 防病毒技術(shù).2022-4-24 攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對(duì)防毒體系提出新的挑戰(zhàn)IDC, 2002郵件郵件/互聯(lián)網(wǎng)互聯(lián)網(wǎng)Code RedNimdafunloveKlez20012002郵件郵件Melissa19992000LoveLetter1981物理介質(zhì)物理介質(zhì)Brain19861998CIH病毒演化趨勢(shì)病毒演化趨勢(shì)速客一號(hào)速客一號(hào)2003.2022-4-網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢(shì)網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢(shì)n反黑與反病毒相結(jié)合反黑與反病毒相結(jié)合n從入口攔截病毒從入口攔截病毒n全面解決方案全面解決方案

34、 n客戶化定制客戶化定制n區(qū)域化到國(guó)際化區(qū)域化到國(guó)際化.2022-4-24q 在企業(yè)每臺(tái)臺(tái)式機(jī)上安裝客戶端防病毒軟件在企業(yè)每臺(tái)臺(tái)式機(jī)上安裝客戶端防病毒軟件q 在服務(wù)器上安裝基于服務(wù)器的防病毒軟件在服務(wù)器上安裝基于服務(wù)器的防病毒軟件q 在網(wǎng)關(guān)上安裝基于在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品網(wǎng)關(guān)的防病毒產(chǎn)品q 這一防護(hù)體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不這一防護(hù)體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不受病毒的危害受病毒的危害與其亡羊補(bǔ)牢不如未雨綢繆與其亡羊補(bǔ)牢不如未雨綢繆.2022-4-24q 選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓?fù)溥x擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓?fù)淦鹾闲?；契合性；q 企業(yè)應(yīng)選用網(wǎng)絡(luò)版的

35、防病毒軟件企業(yè)應(yīng)選用網(wǎng)絡(luò)版的防病毒軟件 q 應(yīng)選用單一品牌防毒軟件產(chǎn)品應(yīng)選用單一品牌防毒軟件產(chǎn)品q 慎選防病毒軟件的供應(yīng)商慎選防病毒軟件的供應(yīng)商.2022-4-24q病毒查殺能力病毒查殺能力q對(duì)新病毒的反應(yīng)能力對(duì)新病毒的反應(yīng)能力q病毒實(shí)時(shí)檢測(cè)能力病毒實(shí)時(shí)檢測(cè)能力q快速、方便的升級(jí)快速、方便的升級(jí)q智能安裝、遠(yuǎn)程識(shí)別智能安裝、遠(yuǎn)程識(shí)別q管理方便，易于操作管理方便，易于操作q對(duì)現(xiàn)有資源的占用情況對(duì)現(xiàn)有資源的占用情況q系統(tǒng)兼容性系統(tǒng)兼容性q軟件的價(jià)格軟件的價(jià)格q軟件商的企業(yè)實(shí)力軟件商的企業(yè)實(shí)力防病毒產(chǎn)品選擇應(yīng)考慮的具體因素防病毒產(chǎn)品選擇應(yīng)考慮的具體因素.2022-4-245 VPN技術(shù).2022-4

36、-24 虛擬專用網(wǎng)虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的安全的“加密管道加密管道”在公共網(wǎng)絡(luò)中傳播。在公共網(wǎng)絡(luò)中傳播。InternetVPN通道通道VPN網(wǎng)關(guān)網(wǎng)關(guān)移動(dòng)用戶移動(dòng)用戶VPN網(wǎng)關(guān)網(wǎng)關(guān).2022-4-24q 保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)的，保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)的，要有抵抗地址冒認(rèn)（要有抵抗地址冒認(rèn)（IP Spoofing）的能力。）的能力。 q 保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。 q 保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽(tīng)者不能破