计算机网络安全与防护(第3版)

本书是普通高等教育“十一五”重量规划教材，主要介绍计算机网络安全基础知识、网络安全体系结构、网络攻击，以及密码技术、信息认证技术、访问控制技术、恶意代码防范技术、防火墙技术、入侵检测技术、虚拟专用网技术、网络安全扫描技术、网络隔离技术、信息隐藏技术、无线局域网安全技术、蜜罐技术等，同时介绍网络安全管理的概念、内容、方法。全书内容广泛，注重理论联系实际，设计了10个实验，为任课教师免费提供电子课件。本书适合普通高等院校计算机、网络空间安全、通信工程、信息与计算科学、信息管理与信息系统等专业本科生和硕士研究生使用。

闫宏生，男，教授，中国人民解放军国通信指挥学院（现已改名为中国人民解放军国防信息学院）任教，获学院教学成果一等奖、总参通信部教学成果二等奖等多项。

   第1章绪论1

1.1计算机网络安全的本质1

1.2计算机网络安全面临的挑战2

1.3威胁计算机网络安全的主要因素4

1.4计算机网络安全策略5

1.5计算机网络安全的主要技术措施6

本章小结8

习题18

第2章计算机网络安全体系结构9

2.1网络安全体系结构的概念9

2.1.1网络体系结构9

2.1.2网络安全需求10

2.1.3建立网络安全体系结构的必要性10

2.1.4网络安全体系结构的任务11

2.2网络安全体系结构的内容11

2.2.1OSI安全体系结构11

2.2.2基于TCP/IP的网络安全体系结构13

2.2.3美国国防部目标安全体系结构与国防信息系统安全计划14

2.3网络安全体系模型和架构16

2.3.1PDRR模型16

2.3.2P2DR模型17

2.3.3IATF框架17

2.3.4黄金标准框架18

本章小结19

习题220

第3章网络攻击与防范21

3.1网络攻击的步骤和手段21

3.1.1网络攻击的一般步骤21

3.1.2网络攻击的主要手段24

3.2网络攻击的防范29

3.2.1防范网络攻击的管理措施29

3.2.2防范网络攻击的技术措施30

本章小结32

实验333

实验3.1综合扫描33

实验3.2账号口令破解34

实验3.3IPSec策略配置35

习题337

第4章密码技术38

4.1密码技术的基本概念38

4.1.1密码系统的基本组成38

4.1.2密码体制分类39

4.1.3古典密码体制42

4.1.4初等密码分析45

4.2分组密码体制47

4.2.1数据加密标准（DES）47

4.2.2国际数据加密算法（IDEA）53

4.2.3其他分组密码算法54

4.3公开密钥密码体制55

4.3.1RSA公开密钥密码体制55

4.3.2ElGamal密码体制57

4.4密钥管理59

4.4.1传统密码体制的密钥管理59

4.4.2公开密钥密码体制的密钥管理65

本章小结67

实验468

实验4.1古典密码算法68

实验4.2RSA密码体制68

习题469

第5章信息认证技术70

5.1报文认证70

5.1.1报文认证的方法70

5.1.2报文认证的实现71

5.1.3报文的时间性认证71

5.2身份认证72

5.2.1身份认证的定义72

5.2.2口令验证72

5.2.3利用信物的身份认证74

5.2.4利用人类特征进行身份认证75

5.2.5网络通信中的身份认证76

5.3数字签名78

5.3.1数字签名的设计需求78

5.3.2数字签名的设计实现过程78

5.4认证中心79

5.4.1公开发布80

5.4.2公用目录表80

5.4.3公钥管理机构80

5.4.4公钥证书81

5.4.5认证中心的功能82

5.4.6认证中心的建立83

本章小结84

实验5CA系统应用85

习题589

第6章访问控制技术90

6.1访问控制概述90

6.1.1访问控制的基本任务90

6.1.2访问控制的要素91

6.1.3访问控制的层次93

6.2访问控制的类型94

6.2.1自主访问控制94

6.2.2强制访问控制98

6.2.3基于角色的访问控制100

6.3访问控制模型101

6.3.1访问矩阵模型101

6.3.2BLP模型102

6.3.3Biba模型102

6.3.4角色模型103

6.4访问控制模型的实现106

6.4.1访问控制模型的实现机制106

6.4.2自主访问控制的实现及示例108

6.4.3强制访问控制模型的实现及示例110

6.4.4基于角色的访问控制的实现及示例111

本章小结112

习题6113

第7章恶意代码防范技术114

7.1恶意代码及其特征114

7.1.1恶意代码的概念114

7.1.2恶意代码的发展史114

7.1.3典型恶意代码117

7.2恶意代码防范原则和策略126

7.3恶意代码防范技术体系128

7.3.1恶意代码检测129

7.3.2恶意代码清除135

7.3.3恶意代码预防137

7.3.4恶意代码免疫138

7.3.5主流恶意代码防范产品139

本章小结144

实验7网络蠕虫病毒及防范145

习题7147

第8章防火墙148

8.1防火墙的基本原理148

8.1.1防火墙的概念148

8.1.2防火墙的模型148

8.2防火墙的分类149

8.2.1包过滤防火墙149

8.2.2应用代理防火墙155

8.2.3复合型防火墙157

8.3防火墙体系结构159

8.3.1几种常见的防火墙体系结构159

8.3.2防火墙的变化和组合162

8.3.3堡垒主机165

8.4防火墙的发展趋势166

本章小结168

实验8天网防火墙的配置168

习题8170

第9章其他网络安全技术171

9.1入侵检测概述171

9.1.1入侵检测系统171

9.1.2入侵检测的意义172

9.2入侵检测系统结构173

9.2.1入侵检测系统的通用模型173

9.2.2入侵检测系统结构174

9.3入侵检测系统类型175

9.3.1基于主机的入侵检测系统175

9.3.2基于网络的入侵检测系统176

9.3.3分布式入侵检测系统177

9.3.4入侵检测系统的部署179

9.4入侵检测基本技术179

9.4.1异常检测技术180

9.4.2误用检测技术183

9.5入侵检测响应机制185

9.5.1主动响应185

9.5.2被动响应186

本章小结186

实验9入侵检测系统187

习题9189

第10章虚拟专用网技术190

10.1虚拟专用网概述190

10.1.1VPN概念的演进190

10.1.2IP-VPN的概念191

10.1.3VPN的基本特征192

10.2VPN的分类及原理193

10.2.1VPN的分类193

10.2.2VPN的基本原理196

10.3VPN隧道机制198

10.3.1IP隧道技术198

10.3.2IP隧道协议199

10.3.3VPN隧道机制200

10.4构建VPN的典型安全协议——IPSEC协议簇202

10.4.1IPsec体系结构202

10.4.2IPsec工作模式203

10.4.3安全关联和安全策略204

10.4.4AH协议206

10.4.5ESP协议208

10.5基于VPN技术的典型网络架构211

本章小结213

实验10虚拟专用网213

习题10215

第11章其他网络安全技术216

11.1安全扫描技术216

11.1.1安全扫描技术简介216

11.1.2端口扫描技术217

11.1.3漏洞扫描技术218

11.1.4常见安全扫描器219

11.2网络隔离技术222

11.2.1网络隔离技术原理223

11.2.2安全隔离网闸224

11.3信息隐藏技术225

11.3.1信息隐藏技术简介225

11.3.2隐写技术227

11.3.3数字水印技术228

11.3.4信息隐藏技术在网络安全中的应用230

11.4无线局域网安全技术231

11.4.1无线局域网的安全缺陷231

11.4.2针对无线局域网的攻击232

11.4.3常用无线局域网安全技术233

11.4.4无线局域网的常用安全措施235

11.5蜜罐技术236

11.5.1蜜罐技术简介237

11.5.2蜜罐关键技术238

11.5.3典型蜜罐工具240

本章小结241

习题11242

第12章网络安全管理243

12.1网络安全管理概述243

12.1.1网络安全管理的内涵243

12.1.2网络安全管理的原则244

12.1.3网络安全管理的内容246

12.2网络安全管理体制247

12.3网络安全设施管理248

12.3.1硬件设施的安全管理248

12.3.2机房和场地设施的安全管理249

12.4网络安全风险管理250

12.5网络安全应急响应管理252

12.5.1网络安全应急响应管理的基本流程252

12.5.2网络安全应急响应的基本方法254

12.5.3网络安全应急响应技术体系256

12.6网络安全等级保护管理257

12.6.1等级保护分级258

12.6.2等级保护能力258

12.6.3等级保护基本要求259

12.7信息安全测评认证管理261

12.7.1我国信息安全测评认证标准261

12.7.2信息安全测评认证主要技术263

本章小结267

习题12267

参考文献269