作者:张兆信
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
计算机网络安全与应用技术 第2版试读:
前言
本书被教育部评定为普通高等教育“十一五”国家级规划教材,按照高职高专实施素质教育的实际需求进行编写。作者均为多年从事网络安全教学和网络安全设计及实践,并有丰富高职高专教学经验的教师。
本书是以网络安全为重点,兼顾基础理论,以“理论+工具+分析实施”的形式,由浅入深,以通俗的语言和丰富的实例帮助读者快速掌握教材内容。本书在编写过程中,注重内容的取舍,以反映新技术的发展。对于所用的一些软件,为了便于读者查找,都给出了相关网址。本书建议授课学时为40学时,其中理论20学时,实践20学时。
本书的9章内容中,第1章介绍计算机网络安全的基础知识,包括计算机网络安全事件、计算机网络安全的含义及安全等级、计算机网络系统的脆弱性及安全威胁、计算机网络安全的体系结构、计算机网络安全的设计、网络安全意识与教育和网络安全的管理策略;第2章介绍硬件实体的防护技术,包括物理实体、计算机硬件的防护以及机房的防护;第3章介绍加密技术,包括对称加密和非对称加密及其具体应用等;第4章介绍备份技术,包括备份的层次与备份方法、Windows7中的备份与恢复、克隆利器—Ghost和WinRAR的使用、网络备份方案的设计等;第5章介绍防火墙技术,包括防火墙的分类、防火墙的选择和使用、防火墙的发展趋势、防火墙产品实例等;第6章介绍计算机操作系统的安全与配置,主要内容为Windows7操作系统的安全性介绍,另外对Windows Server 2008的安全基础、UNIX系统的安全性及Linux系统的安全性也进行了讲解;第7章介绍计算机病毒,包括计算机病毒的分类、计算机病毒的工作原理、反病毒技术,常见计算机病毒中当前影响最为广泛的几类病毒,常用杀毒软件中当前最常用的几种杀毒软件;第8章介绍黑客技术,包括黑客攻击的步骤与防范、端口扫描与安全防范、拒绝服务攻击与防范、网络监听与防范、木马与安全防范等;第9章介绍网络入侵与入侵检测,内容包括入侵检测、常用入侵检测软硬件系统等,对常用软件入侵检测系统Snort的安装配置及应用进行了系统介绍。每章后附有与内容紧密结合的习题或实训。本书还配有电子教案,选择本书的读者可在机械工业出版社教育服务网(http://www.cmpedu.com)上获取。
本书由张兆信、赵永葆、赵尔丹、张照枫编著,其中第1、2、3、9章由张兆信编写,第4、5、8章由赵永葆编写,第6、7章由赵尔丹、张照枫编写,全书由张兆信统稿。
由于作者水平有限,书中出现的错误和不妥之处,敬请读者批评、指正。作者
第1章 计算机网络安全概述
1.1 计算机网络安全事件
互联网已渗透到人们生活的方方面面,而Internet市场仍具有巨大发展潜力,网络在给人们带来极大便利的同时,也带来了巨大风险,无论是电子商务、电子政务、网上银行、网上支付,还是企业的内部网络管理、财务管理、信息管理都在不断出现被入侵、信息被盗取的事件,使得网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失令人吃惊,而且在许多时候网络入侵造成的损失远远不能用经济损失来衡量。下面是来自公开媒体的一些典型安全事件。
Pakistan病毒:巴锡特(Basit)和阿姆杰德(Amjad)两兄弟是巴基斯坦的拉合尔(Lahore)人,经营着一家销售IBM-PC机及其兼容机的小商店。1986年初,他们编写了Pakistan病毒,即C-Brain病毒。一般而言,业界都公认这是真正具备完整特征的计算机病毒始祖。他们的目的主要是为了防止他们的软件被任意盗拷,只要有人盗拷他们的软件,C-Brain就会发作,将盗拷者硬盘的剩余空间给吃掉。
1988年美国典型计算机病毒入侵计算机网络事件:1988年11月2日,美国6000多台计算机被病毒感染,造成Internet不能正常运行。这次非常典型的计算机病毒入侵计算机网络事件,迫使美国政府立即作出反应,国防部也成立了计算机应急行动小组。这次事件中遭受攻击的有5个计算机中心和12个地区结点,它们连接着政府、大学、研究所和拥有政府合同的250000台计算机。这次病毒事件造成的计算机系统直接经济损失就达9600万美元。这个病毒程序的设计者是罗伯特·莫里斯(RobertT.Morris),当年23岁,在康乃尔(Cornell)大学攻读研究生学位。
黑客侵入美国军方及美国航空航天局网络典型事件:1996年12月,黑客侵入美国空军的全球网网址并将其主页肆意改动,迫使美国国防部一度关闭了其他80多个军方网址。2002年11月12日,美国联邦政府对一名英国计算机管理员提起控诉,指控他非法侵入了美军和美国航空航天局的92处计算机网络,其中在侵入新泽西州一处海军设施的网络时导致该设施系统陷入崩溃。
考生答卷被删事件:2002年江苏省普通高中信息技术等级考试,由于“黑客”入侵,有近万考生答卷被删,造成了非常恶劣的后果。“黑客”后来以破坏网上考试罪名被判刑6个月。
17岁黑客害了11万台计算机:17岁犯罪嫌疑人池勇是黑龙江省七台河市一所高级中学的在校生,他自己经营了一个名为“混客帝国”的网站,从事病毒攻击、盗取数据、非法交易等危害网络安全的行为,据其个人主页上的计数器统计,仅从2001年12月17日到2002年1月27日,网络安全人员开始对其跟踪侦查并将其捕获的短短42天时间里,就有超过11万名各地计算机用户因登录“混客帝国”而遭受严重损失。池勇在审讯过程中还承认自己盗取的QQ号就有5000多个。
互联网的“9·11”——“蠕虫王”病毒:2003年1月25日,互联网遭遇到全球性的病毒攻击。受此病毒袭击,中国80%以上的网民不能上网,很多企业的服务器被此病毒感染导致网络瘫痪。美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内普及度极广,因此此次病毒攻击导致全球范围内的互联网瘫痪。此次蠕虫发作,对人们的震撼不亚于恐怖袭击“9·11”事件。这是继红色代码、尼姆达、求职信病毒后的又一起极速病毒传播案例。“蠕虫王”病毒的发作在全世界范围内的损失额保守估计可高达12亿美元。“冲击波”病毒肆虐全球:2003年8月11日,一种名为“冲击波”(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播。该病毒运行时会扫描网络,寻找操作系统为Windows 2000/XP的计算机,然后通过RPC漏洞进行感染,并且该病毒会操纵135、4444、69端口,危害系统。受到感染计算机中的Word、Excel、PowerPoint等文件无法正常运行,弹出找不到链接文件的对话框,“粘贴”等一些功能无法正常使用,计算机出现反复重新启动等现象。该病毒传播速度快、波及范围广,对计算机正常使用和网络运行造成严重影响。
近年来,网络犯罪事件更是频发,2015年12月20日至2016年1月20日,病毒中心在全国范围内组织开展了信息网络安全状况暨计算机和移动终端病毒疫情调查。结果显示,2015年,感染病毒、木马等恶意代码成为最主要的网络安全威胁,更多的恶意代码向灰色地带过渡。传统PC和移动终端共同面临着安全问题,网络钓鱼、网络欺诈日趋严重。网络诈骗不再像以往单纯依靠病毒,而是更多地与数据泄露的信息相结合,将大数据统计分析得出的结果应用于网络诈骗,使诈骗定位更精准,得手机率大大提高。
APT攻击愈演愈烈:APT攻击是指高级持续性威胁,2015年出现了多起高水准的APT事件,“方程式(EQUATION)”“DUQU2.0”“APT-TOCS”等事件都极具代表性。2015年5月出现的“毒液漏洞(VENOM)”使数以百万计的虚拟机处于网络攻击风险之中,攻击者可以使监控程序崩溃,并获得目标机及其运行的虚拟机的控制权。该漏洞威胁到全球各大云服务提供商的数据安全,并有可能影响到成千上万的机构和数以百万计的终端用户。
泄露窃密性攻击步入“高发期”:2015年,全球发生多起以泄露和窃密为目的的网络安全攻击事件。2015年5月,美国超过10万名纳税人的信息被盗,造成约5000万美元的损失;6月,日本养老年金信息系统泄露约125万份个人信息;10月,英国电信运营商Talktalk的约400万用户信息泄露,包括电子邮件、名字和电话号码,以及数万银行账户信息;12月,香港伟易达集团发生客户信息泄露事件,导致全球多达500万消费者的资料泄露。2016年12月,美国人事管理办公室2000多万前联邦政府雇员及在职员工的数据泄露。
黑客和网络恐怖组织破坏力加大:2015年,以匿名者为代表的黑客团体和以ISIS为代表的网络恐怖组织,制造了多起网络安全事件,其影响力和破坏力巨大。2015年3月,匿名者发布视频称将对以色列发动“电子大屠杀”,进攻政府、军事、金融、公共机构网站,将以色列从网络世界抹去;5月,匿名者入侵了WTO的数据库、攻击以色列武器经销进口商并在#OpIsrael计划中泄露大量在线客户端登录的数据;11月,ISIS利用互联网组织实施巴黎恐怖袭击。2016年,出于政治原因,以匿名者和ISIS组织为代表的黑客团体和网络恐怖组织,对部分国家的政府网站、国家关键基础设施频繁发动攻击,其破坏力显著增加。
上述事件只是安全事件中极典型的几例,有媒体报道,实际上中国95%与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入。而美国由于网络安全事故造成的损失在2000年就达3.78亿美元,2001年则更达到4.56亿美元。
2015年,全球有近60个国家发布网络安全战略,其中美国出台了15份战略文件,日本发布了5份战略文件,爱沙尼亚颁布3份战略文件,加拿大、英国、法国等国家也制定了两份战略文件。2016年12月27日,中国也公布了《国家网络空间安全战略》。
网络安全需求的持续推动,使得网络安全产业面临巨大增长机遇。据赛迪统计,2015年,我国网络安全产业规模突破550亿元,增幅达到30%。2016年,我国网络安全产业发展预计产业规模达到700亿元。
各国围绕互联网关键资源和网络空间国际规则的角逐越来越激烈,工业控制系统、智能技术应用、云计算、移动支付等领域,网络安全更是面临风险加大的危机,黑客组织和网络恐怖组织等非国家行为体发起的网络安全攻击持续增加,影响力和破坏性显著增强,网络安全的问题成为当今世界极其重要的问题。
1.2 计算机网络安全的含义及安全等级
上述的网络安全事例,一定已经使读者对计算机网络安全有了一个初步的概念,但是计算机网络安全的真正含义是什么呢?从不同角度来说,网络安全具有不同的含义。从运行管理角度是要求网络正常、可靠、连续运行。从国家、社会的角度是要过滤有害信息。但就一般用户而言,所希望的就是个人隐私或具有商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免他人利用不法手段对用户信息的损害和侵犯。总的来说,网络安全是指网络系统的硬件、软件及其系统中的数据安全。
实际上网络安全所涉及的领域是相当广泛的,因为计算机网络中的安全威胁来自各个方面,有自然因素也有人为因素。自然因素有地震、火灾、空气污染和设备故障等,而人为因素有无意和有意,无意的比如误操作造成的数据丢失,而有意就如诸多的黑客侵入。
衡量网络安全的指标主要有保密性、完整性、可用性、可控性与可审查性。
1)保密性:即防泄密,确保信息不泄露给未授权的实体或进程。
2)完整性:主要防篡改,只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。
3)可用性:防中断,只有得到授权的实体才可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。
4)可控性:主要指信息的传播及内容具有控制能力。使用授权机制控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
5)可审查性:对出现的安全问题提供调查的依据和手段。
网络安全的目标是确保网络系统的信息安全。网络信息主要包括两方面:信息存储安全和信息传输安全。信息存储安全是指信息在静态存放状态下的安全,而信息传输安全主要是指在动态传输过程中的安全。信息传输安全尤其需要防护的是截获、伪造、篡改、中断和重发。
换种说法,网络安全的目的是使用访问控制机制使非授权用户“进不来”;使用授权机制使不该拿走的信息“拿不走”;使用加密机制使得信息即使不慎被拿走了,未授权实体或进程也“看不懂”;使用数据完整鉴别机制使未授权者对数据“改不了”;使用审记、监控、防抵赖机制使得攻击者、破坏者、抵赖者“逃不脱”。
随着计算机安全问题的被重视,1983年,美国国防部提出一套《可信计算机评估标准》(Trusted Computer System Evaluation Critetia,TCSEC),又称“橘皮书”,它将计算机的安全等级划分为4个大类——D、C、B、A,7个小类——D、C1、C2、B1、B2、B3和A1。
1)D类:最低保护。无账户,任意访问文件,没有安全功能。拥有这个级别的操作系统是完全不可信的。
2)C1类:选择性安全保护。系统能够把用户和数据隔开,用户根据需要采用系统提供的访问控制措施来保护自己的数据,系统中必有一个防止破坏的区域,其中包含安全功能。C1级保护的不足之处在于用户可直接访问操作系统的根用户。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统中的数据任意移走,可以控制系统配置,获取比系统管理员更高的权限。
3)C2类:受控的访问控制。控制粒度更细,使得允许或拒绝任何用户访问单个文件成为可能。系统必须对所有的注册、文件的打开、建立和删除进行记录。审计跟踪必须追踪到每个用户对每个目标的访问。使用附加身份认证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理工作。还有就是用户权限可以以个人为单位对某一程序所在目录进行访问,如果其他程序或数据在同一目录下,那么用户也将自动得到访问这些信息的权限。
4)B1类:有标签的安全保护。系统中的每个对象都有一个敏感性标签,每个用户都有一个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签,任何对用户许可级别和成员分类的更改都受到严格控制,即使文件所有者也不能随意改变文件许可权限。B1级计算机系统的安全措施由操作系统而定,政府机构和防御系统的承包商是B1级计算机系统的主要拥有者。
5)B2类:结构化安全保护。系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块,遵循最小特权原则,必须对所有目标和实体实施访问控制。政策要有专职人员负责实施,要进行隐蔽信道分析。系统必须维护一个保护域,保护系统的完整性,防止外部干扰。它是提供较高安全级别的对象与较低级别的对象相通的第一个级别。
6)B3类:安全域机制。系统的安全功能足够小,以利于广泛测试。必须满足参考监视器需求,以传递所有的主体到客体的访问。要有安全管理员、安全硬件装置、审计机制,扩展到用信号通知安全相关事件,还要有恢复规程,系统高度抗侵扰。该级别也要求用户通过一条可信任的途径连接到系统上。
7)A1类:核实保护。这是当前橘皮书中的最高级别。它包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。
近20年来,人们一直在努力发展安全标准,并将安全功能与安全保障分离,制定了复杂而详细的条款。但真正实用、在实践中相对易于掌握的还是TCSEC及其改进版本。在现实中,安全技术人员也一直将TCSEC的7级安全划分当作默认标准。我国《计算机信息系统安全保护等级划分准则》已经正式颁布,并于2001年1月1日起实施。该准则将信息系统安全分为以下5个等级。
1)自主保护级:相当于C1级。
2)系统审计保护级:相当于C2级。
3)安全标记保护级:相当于B1级属于强制保护。
4)结构化保护级:相当于B2级。
5)访问验证保护级:相当于B3~A1级。
实际应用中主要考核的安全指标有身份认证、访问控制、数据完整性、安全审计、隐蔽信道分析等。
1.3 计算机网络系统的脆弱性及安全威胁
计算机网络的脆弱性通常包括计算机系统本身的脆弱性、通信设施脆弱性和数据库安全的脆弱性。操作系统的不安全性、网络通信协议的缺陷、网络软件和网络服务的漏洞、数据库数据容易丢失以及通信硬件的不安全性等都会给危害网络安全的人和事留下许多后门。
前面已经介绍了安全等级,可以看到,有的操作系统属于D级,这一级别的操作系统根本就没有安全防护措施,如Windows95等,它根本不能用于安全性要求高的服务器。即使Windows最新版和UNIX等用于服务器,也会因设计时的疏忽和考虑不周仍然存在许多安全漏洞,使入侵者有机可乘。可以说操作系统的不安全性是计算机系统不安全的根本原因。
一是操作系统程序支持程序与数据的动态连接,包括I/O的驱动程序与系统服务都可以用打“补丁”的方式进行动态连接。UNIX操作系统的某些版本升级、开发也是用打“补丁”的方式进行的。既然厂商可以使用这种方法,“黑客”同样也可以使用,当然也就成了计算机病毒产生的好环境。
再有操作系统的一些功能,比如,支持在网络上传输文件的功能,在带来许多方便的同时必然也带来不安全的因素,而且这种相互矛盾很难解决。
操作系统不安全性的另一原因还在于它可以创建进程,更重要的是创建的进程可以继承创建进程的权力,如同网络上加载程序的结合就可以在远端服务器上安装“间谍”软件。
操作系统运行时,一些系统进程总是等待一些条件出现,一旦满足条件,程序将继续运行下去,黑客可以利用这样的软件为进程创造条件,使系统程序运行方向偏离正常轨道。
还有,操作系统安排有无口令入口,这原是为系统开发人员提供的便捷入口,但也可能成为黑客的通道;另外,操作系统还有隐蔽通道,“黑客”一旦测得,便可控制他人操作系统。
网络通信协议和网络软件,也都包含许多不安全的因素,存在许多漏洞,比如TCP/IP(传输控制协议/网络协议)在包监视、泄露、地址欺骗、序列号攻击、路由攻击、拒绝服务、鉴别攻击等方面存在漏洞;应用层比如FTP(文件传输协议)、E-mail(电子邮件)、RPC(远程程序通信协议)、NFS(网络文件系统)等也同样有许多安全隐患。
计算机系统硬件和通信设施极易遭受到自然环境因素(如温度、湿度、灰尘度和电磁场等)的影响以及自然灾害(如洪水、地震等)的物理破坏,一旦硬件发生故障则必然造成通信中断。
对于通信设施的人为破坏(包括故意损坏和非故意损坏),一旦信息进入通信线路,就存在被他人获取或破坏的可能。通过无源线路窃听,“黑客”可以获取网络中的信息内容;通过有源线路窃听,破坏者可以对信息流内容进行伪造或删除,甚至可以模仿合法用户破坏信息传输;信息进入通信线路,还容易受到电磁辐射和串音的干扰,这些都可对传输的信号造成严重的破坏。
另外,数据库系统因为其共享性、独立性、一致性、完整性和可访问性等诸多优点,已成为计算机系统存储数据的主要形式,但由于它的应用在安全方面考虑较少,容易造成存储数据的丢失、泄漏和破坏。
以上种种问题都是网络系统的脆弱性所在,而在这些问题中有些是难以避免的。网络系统存在诸多弱点,黑客的攻击手段却在不断提高,这就对本来十分脆弱的网络系统造成了严重的安全威胁。
安全威胁是对安全的一种潜在的侵害,威胁的实施就是攻击。网络系统安全面临的威胁主要表现在以下几类。
1)非授权访问:没有预先经过同意就使用网络或计算机资源,如有意避开系统访问控制机制,对网络设备及资源进行非正常的使用或擅自扩大权限,越权访问信息。如假冒、身份攻击、非法用户进入网络系统进行违法操作等都属于非授权访问。
2)泄漏信息:指敏感数据在有意或无意中被泄漏或丢失,它通常包括信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏。如黑客通过各种手段截获用户的口令、账号等。
3)破坏信息:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
4)拒绝服务:通过不断对网络服务系统进行干扰,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。典型的拒绝服务有资源耗尽和资源过载。最早的拒绝服务攻击是“电子邮件炸弹”,它能使用户在短时间内收到大量电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。
5)计算机病毒:通过网络传播计算机病毒,破坏性巨大,而且很难防范。
上述威胁有内部威胁也有外部威胁。内部威胁就如系统的合法用户以非授权方式访问系统,多数已知的计算机犯罪都和系统安全遭受损害的内部攻击有密切的关系。外部威胁的实施也称远程攻击。外部攻击可以使用的办法有搭线(主动的与被动的)、截取辐射、冒充为系统的授权用户或冒充为系统的组成部分、为鉴别或访问控制机制设置旁路等。
1.4 计算机网络安全的体系结构
因为网络软硬件都可能存在安全漏洞,不可能十全十美、无懈可击,又有各种威胁的存在,使得网络安全事件频有发生,要想使网络尽可能安全可靠,损失尽可能小,人们必须利用其他手段来维护这个网络体系,即依据一定安全策略建立一个网络安全防护体系。
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络的安全,不但要靠先进的技术,而且也要靠严格的管理、法律约束和安全教育。当前制定的网络安全策略主要包括5个方面,物理安全策略、访问控制策略、防火墙控制、信息加密策略和网络安全管理策略。
由于网络安全不仅仅是一个纯技术问题,而是涉及法律、管理和技术等多方面的因素,因此,单凭技术因素是不可能确保网络安全的。网络安全体系由网络安全法律体系、网络安全管理体系和网络安全技术体系组成,而且这三者是相辅相成的。
1.网络安全技术
网络技术安全包括物理安全、网络安全和信息安全。(1)物理安全
物理安全是指用装置和应用程序来保护计算机和存储介质的安全,主要包括环境安全、设备安全和媒体安全。
1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。要保障区域安全则应设立电子监控,而要在灾难发生时使损失尽可能小,则应设立灾难的预警、应急处理和恢复机制。
2)设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
①防盗要求门窗上锁,并可在安全等级较高的场地安装报警器。
②防毁即要防火、防水。要求设备外壳有接地保护,以防在有电泄漏时起火对设备造成毁坏。
③防电磁信息辐射泄漏的常用方法有屏蔽、滤波、隔离、接地、选用低辐射设备和加装干扰装置。将计算机和辅助设备用屏蔽材料封闭起来,既可防止屏蔽体内的泄漏源产生的电磁波泄漏到外部空间,又可阻止外来电磁波进入屏蔽体;信号线上加装合适的滤波器可以阻断传导泄漏的通路;把需要重点防护的设备从系统中分离出来以切断其与其他设备间电磁泄漏的通路;良好的接地可以给杂散电磁能量一个通向大地的低阻回路,从而在一定程度上分流可能经电源线和信号线传输出去的杂散电磁能量。
④防止线路截获的方法首先是预防,当然还需用检测仪器进行探测、定位,然后实施对抗。
⑤电源保护则要求使用UPS、纹波抑制器等。
3)媒体安全:包括媒体数据的安全及媒体本身的安全。
媒体本身的安全要求媒体安全保管,比如防盗、防毁、防霉等。媒体数据安全要求防复制、防消磁、防丢失等。(2)网络安全
网络安全是指主机、服务器安全,网络运行安全,局域网安全及子网安全。要实现网络安全,需要内外网隔离、内部网不同网络安全域隔离,及时进行网络安全检测,对计算机网络进行审计和监控,同时更重要的是网络反病毒和网络系统备份。
1)在内部网与外部网之间设置防火墙,用于实现内外网的隔离与访问控制,这是保护内网安全的最主要、最有效、最经济的措施之一。
2)内部网的不同网段之间的敏感性和受信任度不同,在它们之间设置防火墙可以限制局部网络安全问题对全局网络造成的影响。
3)用网络安全检测工具对网络系统定期进行安全性分析,发现并修正存在的弱点和漏洞可以及时发现网络中最薄弱的环节,最大限度地保证网络系统的安全。
4)审计是记录用户使用计算机网络系统进行所有活动的过程,在确定是否有网络系统攻击情况时,审计信息对于确定问题和攻击源很重要。另外,对安全事件的不断收集、积累和分析,可以对某些站点和用户进行审计跟踪。
5)在网络环境下,由于计算机病毒的威胁和破坏是不可估量的,网络反病毒非常重要。反病毒可通过对网络服务器中的文件进行频繁扫描和监控、在工作站上对网络目录和文件设置访问权限等来实现。
6)备份不仅在网络系统硬件发生故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络进行攻击以破坏数据完整性时起到保护作用。更重要的,它是系统灾难恢复的前提之一。(3)信息安全
信息安全就是要保证数据的机密性、完整性、抗否认性和可用性。网络上的系统信息的安全包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治和数据加密等。
2.网络安全管理
从加强安全管理的角度出发,网络安全实质上首先是个管理问题,然后才是技术问题。(1)安全管理原则
系统的安全管理在行政安排上一般基于以下3个原则。
1)多人负责原则:每一项与系统安全有关的工作进行时都必须有两人或多人在场。
2)任期有限原则:安全管理的职务最好不要长期由某个人担任,这样可以防止某些人利用长期的工作机会,从事有损他人利益的活动而不容易被发现。
3)职责分离原则:在信息处理系统工作的人员不要打听、了解或参与本人业务范围以外的与安全有关的事情。
遵守以上原则并不困难,而是难在要始终坚持。(2)安全管理工作
网络安全管理要做的具体工作如下:
1)根据工作的重要程度确定系统的安全等级;根据确定的安全等级确定安全管理范围;根据安全管理范围分别进行安全管理。比如对安全等级较高的系统实施分区控制等。
2)制定严格的安全制度,如机房出入管理制度、设备管理制度、软件管理制度、备份制度等。
3)制定严格的操作规程,遵循职责分离和多人多责的原则,各司其职,各负其责,做到事事有人管,人人不越权。
4)制定完备的系统维护制度,对系统维护前应报主管部门批准,维护时要详细记录故障原因、维护内容、系统维护前后的状况等。
5)制定应急恢复措施,以便在紧急情况下尽快恢复系统正常运行。
6)加强人员管理,调离人员有安全保密义务,并及时收回其相关证件和钥匙,工作人员调离时还要及时调整相应的授权并修改相关口令。
1.5 计算机网络安全的设计
有些用户在系统与网络安全保障上,把关注点仅仅放在选择防火墙产品上,实际上这是很片面的。网络安全是整体的,动态的。它的整体性是指安全系统既包括安全设备又包括管理手段,动态性则是说明随着环境和时间的变化,系统的安全性有可能不同。所以防火墙并不能实现全部要素,应使具有不同安全功能的设备系统和管理措施有机结合。
在进行网络系统安全方案规划设计时,应遵循以下原则。
1.需求、风险、代价平衡分析的原则
对任一网络,绝对安全不一定必要,也难以达到。对一个网络的投入与产出要相匹配,所以要对网络系统进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
2.一致性原则
一致性原则是指网络系统的安全问题与整个网络的工作周期要同时存在,制定的安全体系结构也必须与网络的安全需求相一致。在网络建设的开始,比如网络系统设计及实施计划时,就要考虑网络安全对策,这样与在网络建设好后再考虑安全措施相比,既容易,花费也少。
3.综合性、整体性原则
要用系统工程的观点与方法分析网络的安全,制定具体措施。安全措施主要包括行政法律手段、各种管理制度及专业技术措施。多种方法适当综合的安全措施才会是比较好的措施。
不同网络会有不同的安全措施,但任何网络安全都应遵循整体安全性原则,要根据确定的安全策略制定出合理的网络安全体系结构。
4.操作性、方便用户原则
安全措施如果过于复杂,对人的要求过高,本身就降低了安全性;再有,措施的实施不能影响系统的正常运行。
5.适应性及灵活性原则
随着网络性能及安全需求的变化,安全措施必须能灵活适应,而且要容易修改和升级。
6.动态化原则
用户的增加,网络技术的快速发展,使得安全防护也需不断发展,所以制定安全措施要尽可能引入更多的可变因素,使之具有良好的扩展性。
7.有效性和实用性原则
实用性即要能最大限度地满足实际工作要求,它是任何信息系统在建设过程中所必须考虑的一种系统性能,有效性则是必须要保证系统安全。所以设计的系统要在保证安全的基础上,使安全处理的运算量、存储量尽可能少。
8.木桶原则“木桶的最大容积取决于最短的一块木板”,所以安全系统的设计首先要防止最常用的攻击手段。
9.多重保护原则
因为任何安全措施都不能保证绝对安全,所以应建立一个多重保护系统,当一层保护被攻破时,其他层仍可保护信息的安全。
10.可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全的设计,应用以上的原则,先对整个网络进行整体的安全规划,然后根据实际状况建立安全防护体系,保证应用系统的安全性。具体设计可分为以下几个步骤:
1)明确安全需求,进行风险分析。
2)确定网络的安全措施。
3)实施已定方案。
4)网络试验、运行。
5)优化、改进安全措施。
对于网络系统,应该在建设开始就考虑到安全性问题,具体可采用“统一规划、分步实施”的原则。开始先建一个基础的安全防护体系,之后随着应用的变化,再在原来基础防护体系的基础上,对防护体系进行增强。
1.6 网络安全意识与教育
随着计算机技术和网络技术的飞速发展,全球信息化网络已经成为社会发展的一个重要保证。信息化网络已涉及国家政府、军事、科技、文教等各个领域,但计算机网络系统也面临着各种各样的威胁,其中存储、传输的很多信息涉及政府的宏观调控政策、商业经济信息、银行资金转账,股票信息及个人相关信息等重要内容,而这些信息同时也会面临来自网络上的各种主动攻击及被动攻击。病毒的侵入、黑客的攻击,以及由于用户的个人原因造成的信息泄漏、数据丢失、系统瘫痪等都会给人们带来巨大的损失。同时,网络实体还需要经受水灾、火灾、地震、电磁辐射等自然灾害的考验。诸多因素都会给网络带来不可想象的损失。
除了黑客的攻击、病毒的蔓延外,以网络为工具的犯罪行为也在逐渐增多。网络色情泛滥,严重危害未成年人的身心健康;电子商务也存在欺诈的困扰,有的信用卡被盗刷,有的购买的商品石沉大海,有的发出商品却收不回货款;另外,软件、影视、唱片的著作权也同样受到盗版行为的严重侵犯,商家损失之大无法估计;在网络上肆意污辱、诽谤他人成为常态,网络经常沦为进行人身攻击的工具。据国家计算机网络应急处理协调中心估算,网络犯罪形成的黑色产业链年产值目前已超过2.38亿元,造成的损失更是超过了76亿元。
网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变得越来越重要。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。安全教育的目的不仅是提高防范意识,同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。重视信息化安全教育,还要尽快培养出一批信息化安全的专门人才,提高全民信息化的安全意识,使网络安全建立在法律约束之下的自律行为是实现网络安全的重要因素。
网络安全的问题归根结底是人的问题,安全的最终解决也在于提高人的道德素质。虽然防火墙是一种好的防范措施,但只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。网络易受攻击的各个点必须以相同程度的安全防护措施加以保护。
1.7 网络安全的管理策略
网络安全的管理策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。制定网络安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的”。而对于网路安全策略来说,一般采用第一种原则来加强对于网络安全的限制。
一个完整的网络安全策略包含以下3个重要组成部分。
1)威严的法律:安全策略的根本是社会法律、法规和手段,这一部分用于建立一套安全策略标准和方法,即通过建立与信息安全相关的法律、法规,使违法犯罪分子慑于法律,不敢轻举妄动。
2)先进的安全技术:先进的安全技术是网络安全的根本保障,用户对于面临的威胁进行风险评估,决定需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
3)严格的管理:网络使用机构、企业和单位必须建立相宜的信息安全管理办法和手段,加强内部管理,建立审计和跟踪体系,提高整个系统的信息安全意识。
网络安全是一个相对的概念,相对于各种网络环境的具体需求不同来设计不同的网络安全策略。因此,每个网络要根据具体情况制定自己的安全策略。网络安全是一个综合性的课题,涉及立法、技术、管理等多个方面,使用一种物理和逻辑的技术措施只能解决一方面的问题。安全策略的指定实际上是一种综合度的权衡,是网络安全的一部分。
1.8 习题
1)网络安全的含义是什么?
2)衡量网络安全的主要指标有哪些?
3)网络安全威胁有哪些方面?
4)网络安全体系结构的设计目标是什么?
5)网络安全管理一般基于哪些原则?
6)网络安全设计的原则有哪些?
第2章 计算机网络系统的硬件防护技术
2.1 影响实体安全的主要因素
实体安全是保证整个计算机信息系统安全的前提,它是要保护计算机设备、设施(含网络)免遭自然灾害、环境事故(包括电磁污染等)和人为操作失误以及计算机犯罪行为导致的破坏。威胁实体安全的具体表现有人为破坏、各种自然灾害、各类媒体失窃和散失、设备故障、环境和场地因素、电磁发射及敏感度、战争的破坏等。
影响计算机系统实体安全的主要因素有:计算机系统自身存在的脆弱性因素、各种自然灾害导致的安全问题和由于人为的错误操作及各种计算机犯罪导致的安全问题。
计算机系统实体安全所涉及的内容很多,而且投资较大,主要包括:
1)机房的场地环境和各种因素对硬件设备的影响。
2)机房用电等的安全技术要求。
3)计算机的实体访问控制。
4)计算机设备及场地的防雷、防火与防水。
5)计算机系统的静电防护。
6)硬件设备及软件、数据的防盗防破坏措施。
7)计算机中重要信息的磁介质处理、存储和处理手续的有关问题。
8)计算机系统在遭受灾害时的应急措施。
对于实体的安全防护通常有防火、防水、防盗、防电磁干扰及对存储媒体的防护。
在很多情况下,计算机系统的火灾所造成的损失不仅仅是经济上的,有些信息资料的破坏是不可挽回的。要预防火灾,首先要完善电气设备的安装与维护,比如安装电缆时用非燃烧体隔板分开,供电系统设置紧急断电装置等;其次,要有完善的消防设施,比如设有自动报警装置,安装自动灭火系统等;再有要加强消防管理,消除火灾隐患,比如严禁吸烟,严禁存放易燃、易爆物品等。
计算机系统绝大部分为电子器件,水患会使设备不能正常运行,甚至造成整个系统瘫痪,所以要采取必要的防护措施。机房的地势不宜太低,并应安装有必要的防水防潮设施,还要安排人员定期对阀门、管道等进行检修和维护。
由于计算机网络系统的设备本身多属贵重物品,防盗对于硬件实体就显得格外重要。常用的防盗措施比如对贵重物品配备具有防盗功能的安全保护设备、加固门窗、安装监视器等,再有要加强机房管理,制定严格出入登记制度。
对于网络系统,电磁防护是很重要的安全问题,电磁辐射一是可能影响其他网络设备的正常工作,二是会造成信息的泄漏,这些信息被非法接收和窃取,对信息安全造成威胁。计算机系统的许多设备都会有不同程度的电磁泄漏,比如主机中的数字电路电流的电磁泄漏、显示器的视频信号的电磁泄漏以及打印机的低频电磁泄漏等,所以采用低辐射设备是防止计算机电磁泄漏的根本措施。另外,在有较大防护距离的单位,还可以采用距离防护。对于重点防护设备,还可以用屏蔽材料封闭起来。
对于存储媒体的防护主要是管理问题,要建立严格的规章制度,管理人员按规章制度对存储媒体进行严格管理,保证存储媒体不丢失、不被窃、不被破坏和篡改。
2.2 计算机的安全维护
计算机的安全维护除了要注意防盗、防毁、防电磁泄漏等物理实体安全问题,更重要的是要维护计算机软硬件的正常运行,排除计算机硬件故障和软件故障。
计算机硬件故障是由于计算机硬件损坏或安装设置不正确引起的故障。简单的如电源插头、插件板等的接触不良,严重的如机器的元器件损坏,还有计算机假故障也会使计算机无法正常运行。
人们使用计算机时的一些不良习惯久而久之会对计算机部件造成损害,比如大力按
为了保证CPU长期安全使用,要有良好的散热环境,所以CPU散热风扇的安装和维护是一个很重要的问题。安装散热风扇时,为了把CPU产生的热量迅速均匀地传递给散热片,可在散热片和CPU之间涂一些导热硅脂;同时为了维护机箱内的清洁和避免漏电事故,硅脂的使用要尽量少;CPU散热风扇在使用过程中会吸入灰尘,为了散热良好,散热风扇在使用一段时间后需要进行清扫。
硬盘是计算机中最重要的存储设备之一,它的故障发生率也比较高,硬盘的故障可能会造成重要数据的丢失,造成不可挽回的损失,对于硬盘要正确维护。首先是要防震,无论在安装硬盘时,还是在使用硬盘时,震动撞击都有可能造成硬盘的物理损伤,致使硬盘的数据丢失甚至硬盘损坏;硬盘读写时的突然断电也可能损坏硬盘,因为现在的硬盘转速大都在每分钟7200转以上,它高速运转时突然断电会导致磁头和盘片猛烈摩擦,所以在读写硬盘的指示灯亮时,尽量保证不要掉电;对于磁性介质的硬盘,防潮、防磁场也非常必要;最重要的是要防病毒,有些病毒吞吃硬盘的数据,有些会格式化被感染的硬盘,不管是哪种都会损害硬盘的信息甚至减少硬盘的使用寿命。
键盘是计算机必要的输入设备,它的清洁可以使用户避免许多误操作,还会延长键盘的使用寿命。清洁键盘要在关机状态,将键盘反过来轻轻拍打,使其内部的灰尘掉出,然后用干净的湿布擦拭键盘,顽固的污渍可用中性清洁剂,对缝隙内的污垢可用棉签;如果液体流入键盘,应尽快关机,拔下键盘接口,打开键盘,用干净的软布吸干后在通风处自然晾干。
鼠标是计算机的又一必不可少的输入设备,由于鼠标的底部长期同桌子接触,容易被污染,所以在使用时最好使用鼠标垫并在使用时保证鼠标垫清洁;对于机械式鼠标可自行拆开以清洁鼠标内部和滚动球。
显示器是必要的输出设备,一般它的性能比较稳定,更新周期较长,但对它的保养同样不能忽视,否则它的寿命可能会大大缩短。显像管中的荫罩板极容易被磁化,所以千万不要将显示器放在有磁场的地方;显示器内有高压,所以要使显示器处于干燥的环境,以防内部器件受潮后漏电或生锈腐蚀;通风对于显示器的使用性能和寿命也很关键,如果没有良好的通风散热,就可能使显示器内的某些锡焊点因温度过高而脱落造成开路,同时也会加快元器件的老化,造成显示器工作不稳定,寿命降低;显示器内的高压形成的电场很容易吸引空气中的灰尘,影响元器件散热,最终可能造成显示器的损坏,所以防尘对于显示器的维护也是很重要的,在每次使用完后,最好给显示器罩上防尘罩;显示器中含有塑料成分,阳光照射久了,容易老化,而且显示器的荧光粉在强烈光照下也会老化,显示器放在避光的地方则可以延缓老化。
对于计算机硬件中每个部件的精心维护是保障计算机硬件系统正常安全工作的必要途径,有了计算机硬件的安全维护,才可尽量避免计算机的硬件故障。
软件故障很多是来源于人们的误操作,要想尽量避免软件故障,操作者自身对计算机操作系统和所用软件的掌握程度是关键。对于公共机房内的计算机,为了避免软件损坏造成系统崩溃,最行之有效的办法就是备份,可用专用备份程序备份系统文件和一些必要的程序、数据。
2.3 计算机机房的建设与安全防护
计算机机房要放置计算机系统的主要设备,要保障计算机及其网络系统的正常运行,因此场所对环境要求较高。更重要的,要能使计算机系统在一个相对安全可靠的环境长时间稳定运行。
机房的设计要点包括:
1)每种设备的使用条件、软硬件环境要求以及具体指标要进行详细调查。
2)机房的整体布局和空间容量、电源容量等要进行设计。
3)提出切实可行的总体方案,并进行论证。
4)根据总体方案具体实施,竣工后要进行验收。
总的看来,机房系统应包括:供电系统、通信线路、接口系统、恒温系统、照明控制系统、防电磁干扰及信息泄漏措施,以及防火自动报警、自动灭火系统等。在机房的设计建设中,既要满足设备对环境的要求,又要符合用户的具体情况,合理实用。
对于机房的建设首先要选择合适的环境。机房应避开低洼潮湿的地方;应避开强震动源和强噪音源;应避开强电磁场干扰;机房的位置还应考虑到系统信息安全。
从机房的建筑和结构的角度,主体结构最好是采用大开间大跨度,并应能抗震防火;机房的构造和材料应满足保温、隔热、防火的要求;机房的各种尺寸应保证设备运输方便;为了通风良好,机房高度最好高于2.4m;机房的安全出口不应少于两个;此外需有一些附属用房,如管理人员工作室等。
机房布局的基本原则是缩短走线,便于操作,防止干扰,保证荷重并同时兼顾美观。要根据设备情况和业务需要,对机房布局作出合理安排。
另外在设计机房时,应考虑到情况的变化和发展,对通信线路、设施和供电系统留有余量。
机房装修主要以防潮、防火、便于清洁、减少静电为原则。地板首要的应具备防静电功能,另外还应防潮耐压;机房的四壁和天面可贴墙纸或喷塑,这样既美观又吸音;机房的门窗密封性要好。
由于机房内的设备绝大部分都是电子元器件,所以对温度与湿度的要求比较高,一般温度保持在15°~28°,这不仅对计算机及其他设备安全,工作人员也会比较舒适。相对湿度一般在40%~60%,因为湿度低于40%,容易造成静电荷的聚集,而湿度高于60%,湿气容易附着在计算机部件表面,金属材料易被氧化,机内电路也会受到影响,甚至会毁坏部件。因此,机房内安装空调和换气扇是必要的,空调可以保证温度、湿度的要求,换气扇则可以使室内空气有新风。
由于灰尘对触点的接触阻抗有影响,特别容易损害磁带、磁记录表面,因此在机房地板应具备防静电、防磨损、防潮、耐油等特点的同时,要加强对机房的封闭措施,新风则通过带过滤器的新风机、换气扇补充,进机房时应更衣、换鞋。
机房的噪声主要来自空调系统、电源和系统中的散热风扇,因此要降低噪声,在选择空调和其他设备时就要注意到。一般要求,机房的噪声应低于65dB。
计算机系统的电源质量直接影响到系统的正常运行,特别是在网络环境下,电源质量对数据通信的影响更是不可低估。为此机房的供电系统应使用专用线路来提供稳定可靠的电源。为保证系统稳定供电,通常对计算机采用UPS供电,特殊机房可配置应急电源;空调、照明系统要与主机分开供电;机房内的电源线原则上应从地板下走,但电源线与计算机信号走线要注意不能平行,在交叉走线时则要互相垂直,以免对计算机产生干扰。
接地是保证良好供电环境的重要措施,机房常见的接地要求有:计算机系统的直流地,即逻辑地,是计算机系统中数字电路的零电位地,要求接地电阻越小越好,一般要求小于等于2Ω;安全保护地,用于释放设备外壳静电,保护设备和人身安全;交流工作地,是交流电网变压器中性点的接地,保护设备正常工作,电阻要求小于等于4Ω;建筑物防雷保护地,为了避免建筑物及其内部人员和设备遭受雷击,将雷电流引入大地所设的接地。
为了减少视觉疲劳,机房照明要求离地面0.8m处的照明度不应低于200lx,最好在400~500lx;此外,机房还应有紧急照明,以在停电或电源故障时保证安全和疏散人员。
因为计算机对高频电磁波、电场非常敏感,极易受干扰,所以防电磁干扰也是机房的安全措施之一。电磁干扰通常来自输电线路、无线电波、静电感应、空调机等干扰源,所以机房一般应远离强电磁场,或对干扰源进行屏蔽,或对计算机信息系统进行屏蔽。
为了保证机房物理安全,应防火、防水、防盗、防鼠害以及对人员出入控制和物品出入控制等。
防火首先是机房的装修材料必须是阻燃材料,其次是机房内部要有足够的紧急出口通道,室内还要去除易燃、易爆物品,在管理上必须规定在机房内不准使用明火。
防水是要防止潮湿和洪水,还要防止下雨或水管破损造成的天花板漏水,另外机房内不得有水管和下水道等。
为了防盗,可以安装防盗报警装置,加固机房门窗及加装CCTV和录像系统。
为了防止老鼠咬坏电缆、电线或造成其他破坏,机房应采取一些密封措施。
为了控制实体访问,应采用分区控制,处理机密级数据的远程终端应放置在相应的安全环境中。
为了便于管理,防止出入人员带走机房物品,机房平时应只设一个出入口,另设若干个供紧急情况下疏散的出口,并标有明显疏散线路和方向的标记。
计算机的大量信息存储在存储媒体上,为了防止对信息的盗窃、破坏和篡改,对存储媒体要进行严格管理。没有机房人员的允许,机房使用的任何介质、文件材料都不得带出;磁铁、私人的电子设备等任何时候不得带入机房。机密性较高的机房为了保护信息安全,除了废物箱外,还应配有碎纸机。
对于来访者,较大型的机房管理者应根据需要明确外部来访者的活动范围,并对来访者的情况进行登记。
机房的安全防护,关键还是安全管理,完善规章制度,对管理人员加强法律和职业道德教育,增加风险防范意识,对机房进行科学化、规范化的管理。
2.4 实训
参考相关资料,结合本章内容,做一个机房安全防护方案。
2.5 习题
影响实体安全的主要因素有哪些?
第3章 加密技术
3.1 加密概述
信息加密是指将明文信息采用数学方法进行函数转换,使之成为密文,只有特定接收方才能将其解密并还原成明文。加密在网络上的作用就是防止有价值信息在网络上被拦截和窃取。从应用上看,加密的安全功能有:身份验证—使收件人确信发件人就是他声明的那个人;机密性—确保只有收件人才能解读信息;完整性—确保信息在传输中没有被更改。
加密过程模型如图3-1所示。明文是指加密前的原始信息;密文是指明文经变换加密后的信息形式;加密算法是指明文转换成密文的变换法则,一般是按某种原则对明文进行多种换位和代换;密钥是对算法的输入,算法实际进行的换位和代换由密钥决定,用相同的算法加密信息。密钥不同,所得密文就不同。加密算法通常是公开的,但由于密钥的保密性,才使得加密信息具有机密性。图3-1 加密过程模型
现在所用的加密方法,根据具体应用环境和系统主要有两大类:
试读结束[说明:试读内容隐藏了图片]