第一章-网络安全概述PPT课件

第一章网络安全概述,主讲教师：高倩,河南警察学院,安全在字典中的定义是为防范间谍活动或蓄意破坏、犯罪、攻击而采取的措施，将安全的一般含义限定在计算机网络范畴，网络安全就是为防范计算机网络硬件、软件、数据偶然或蓄意破环、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和。,第一章网络安全概述,2020/6/7,网络安全技术第1章,3,教材：网络攻击与防御技术,2020/6/7,网络安全技术第1章,4,章节目录,第1章网络安全概述第2章远程攻击的一般步骤第3章扫描与防御技术第4章网络嗅探与防御技术第5章口令破解与防御技术第6章欺骗攻击与防御技术第7章拒绝服务攻击与防御技术第8章缓冲区溢出攻击与防御技术,2020/6/7,网络安全技术第1章,5,章节目录,第9章Web攻击与防御技术第10章木马攻击与防御技术第11章计算机病毒第12章典型防御技术第13章网络安全的发展与未来,2020/6/7,网络安全技术第1章,6,案例1：棱镜门,是一项由美国国家安全局自2007年起开始实施的绝密电子监听计划，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。,信息霸权网络安全面临重大挑战,2020/6/7,网络安全技术第1章,7,案例1,2020/6/7,网络安全技术第1章,8,案例2：,本次泄露事件被泄露的数据达131653条，包括用户账号、明文密码、身份证和邮箱等多种信息。,案例2,撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登陆的用户。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登陆B网址，这就可以理解为撞库攻击。,2011年12月大陆多家网站密码泄露,案例3：CSDN密码泄露事件,2020/6/7,网络安全技术第1章,15,总结,通过以上的案例，我们发现信息网络安全是信息技术产业建设的重中之重，也是保障国家安全的重要内容。网络安全不仅仅是一个孤立的技术问题,而且是一个用户和网络结合的以使用为主的社会问题，包括技术、法律和管理等多个层次。,2020/6/7,网络安全技术第1章,16,内容安排,1.1网络安全基础知识1.2网络安全的重要性1.3网络安全的主要威胁因素1.4网络攻击过程1.5网络安全策略及制订原则1.6网络安全体系设计1.7常用的防护措施1.8小结,2020/6/7,网络安全技术第1章,17,1.1网络安全基础知识,“安全”的含义（SecurityorSafety?)平安，无危险；保护，保全；远离危险的状态或特性；计算机安全保护计算机系统，使其没有危险，不受威胁，不出事故。,2020/6/7,网络安全技术第1章,18,安全的概念,“如果把一封信锁在保险柜中，把保险柜藏起来，然后告诉你去看这封信，这并不是安全，而是隐藏；相反，如果把一封信锁在保险柜中，然后把保险柜及其设计规范和许多同样的保险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是无法打开保险柜去读这封信，这才是安全”-BruceSchneier,1.1.1网络安全定义,网络安全从本质上来说就是网络上的信息安全。网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,1.1.1网络安全定义,1.1.2网络安全的特征,保密性完整性可用性可控性,拒绝否认性,1.1.2网络安全的特征,对信息资源开放范围的控制。网络重要配置文件，如域名服务器配置、路由器配置、口令文件、网络拓扑结构图等。用户个人信息，包括邮件帐号、注册信息等。企业商业数据，如产品计划、客户资料等。,1、网络信息的保密性,攻击方法网络信息拦截社会工程方法网络信息重定向，钓鱼攻击数据推理网络监听邮件病毒,防御方法数据加密访问控制防计算机电磁泄漏,2、网络信息的完整性,攻击方法身份认证攻击：攻击者伪装成具有特权的用户。-密码猜测-窃取口令-窃取网络连接口令-利用协议实现/设计缺陷-密钥泄漏-中继攻击会话劫持-TCP会话劫持程序异常输入-缓冲区溢出-数据库SQL注入,保证计算机系统中的信息处于“保持完整或一种未受损的状态”。任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。,攻击方法：拒绝服务攻击特性：-攻击源难确认性-隐蔽性-资源有限性-软件复杂性方法-消耗网络带宽-消耗磁盘空间垃圾邮件出错日志信息垃圾文件-消耗CPU资源和内存资源,3、网络信息的可用性,合法用户在需要的时候，可以正确使用所需要的信息而不遭服务拒绝。,攻击方法网络蠕虫垃圾邮件域名服务数据破坏,4、网络信息的可控性,案例：2006年9月21日下午5时左右，作为国内三大域名服务提供商和网站服务提供商之一，新网的域名解析服务器出现故障，其名下注册的5万左右域名（国内近三成网站）不能访问，部分DNS还被解析到不正确的主机上。据不完全统计，直到22日中午，新网才恢复其80%客户网站的正常访问，整个被黑时间接近20小时。这些“落难”的网站包括：国内用户普遍使用的“天空下载”、“中国网库”、“落伍者论坛”、“重大社区”等，而其他小网站更是不计其数。,对信息的传播及内容具有控制能力。,5、网络信息的不可否认性,保证信息行为人不能否认自己的行为。不可否认性则可运用数字签名交易者身份的确定性可运用数字证书,2020/6/7,网络安全技术第1章,28,1.1.3网络安全的重要性,随着网络的快速普及，网络以其开放、共享的特性对社会的影响也越来越大。网络上各种新业务的兴起，比如电子商务、电子政务、电子货币、网络银行，以及各种专业用网的建设，使得各种机密信息的安全问题越来越重要。计算机犯罪事件逐年攀升，已成为普遍的国际性问题。随着我国信息化进程脚步的加快，利用计算机及网络发起的信息安全事件频繁出现，我们必须采取有力的措施来保护计算机网络的安全。,1.1.3网络安全的重要性,将来的战争就是信息战，信息网络安全关系到国家的主权和利益，关系着国家的安全。,“谁掌握了信息，控制了网络，谁将拥有整个世界。”美国著名未来学家阿尔温.托尔勒“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国总统克林顿“信息时代的出现，将从根本上改变战争的进行方式。”美国前陆军参谋长沙利文上将,我国互联网网络安全环境,2014年4月，CNNIC在第33次中国互联网络发展状况统计报告指出，截至2013年12月，中国网民规模达6.18亿，互联网普及率为45.8%。其中，手机网民规模达5亿，继续保持稳定增长。,我国互联网网络安全环境,网站安全问题形势严峻，受境外攻击、控制明星增多。在篡改问题上，2013年被篡改的中国网站数量24034个，同比增长46.7%；在植入后门上，2013年有76160个中国网站被植入后门；在网络钓鱼问题上，去年发现仿冒页面URL地址为30199个，其中美国境内的IP地址承载了近42%的钓鱼页面。,2020/6/7,网络安全技术第1章,32,1.2网络安全的主要威胁因素,非人力的、自然力造成的数据丢失、设备失效、线路阻断。人为的，但属于操作人员无意的失误造成的数据丢失。来自外部和内部人员的恶意攻击和入侵。,前两种威胁的预防应该主要从系统硬件设施包括物理环境、系统配置、系统维护以及人员培训、安全教育方面加以重视，第三种是当前互联网所面临的最大威胁，也是网络安全迫切需要解决的问题。,网络不安全的原因,自身缺陷,+,开放性,+,黑客攻击,2020/6/7,网络安全技术第1章,34,1.2网络安全的主要威胁因素,协议安全问题操作系统与应用程序漏洞安全管理问题黑客攻击网络犯罪,五层模型,层与协议,每一层都是为了完成一种功能。为了实现这些功能，就需要大家都遵守共同的规则。大家都遵守的规则，就叫做协议（protocol）。互联网的每一层，都定义了很多协议。这些协议的总称，就叫做“互联网协议”（InternetProtocolSuite）。它们是互联网的核心，根据每一层的功能，介绍每一层的主要协议。,这就叫做“物理层，它就是把电脑连接起来的物理手段。它主要规定了网络的一些电气特性，作用是负责传送0和1的电信号。,物理层,最底下的一层。电脑要组网，先把电脑连起来，可以用光缆、电缆、双绞线、无线电波等方式。,数据链路层,单纯的0和1没有任何意义，必须规定解读方式：多少个电信号算一组？每个信号位有何意义？这就是“链路层”的功能，它在“物理层的上方，确定了0和1的分组方式。,早期的时候，每家公司都有自己的电信号分组方式。逐渐地，一种叫做以太网（Ethernet）的协议，占据了主导地位。以太网规定，一组电信号构成一个数据包，叫做帧（Frame）。每一帧分成两个部分：标头（Head）和数据（Data）。,数据链路层以太网协议,标头包含数据包的一些说明项，比如发送者、接受者、数据类型等等；数据则是数据包的具体内容。,如果数据很长，就必须分割成多个帧进行发送。,以太网数据包的标头，包含了发送者和接受者的信息。那么，发送者和接受者是如何标识呢？,数据链路层MAC地址,以太网规定，连入网络的所有设备，都必须具有网卡接口。数据包必须是从一块网卡，传送到另一块网卡。网卡的地址，就是数据包的发送地址和接收地址，这叫做MAC地址。,每块网卡出厂的时候，都有一个全世界独一无二的MAC地址，长度是48个二进制位，通常用12个十六进制数表示。,数据链路层广播,首先，一块网卡怎么会知道另一块网卡的MAC地址？,ARP协议，可以解决这个问题。这个留到后面介绍，这里只需要知道，以太网数据包必须知道接收方的MAC地址，然后才能发送。,其次，就算有了MAC地址，系统怎样才能把数据包准确送到接收方？,以太网采用了一种很原始的方式，它不是把数据包准确送到接收方，而是向本网络内所有计算机发送，让每台计算机自己判断，是否为接收方。,数据链路层广播,1号计算机向2号计算机发送一个数据包，同一个子网络的3号、4号、5号计算机都会收到这个包。它们读取这个包的标头，找到接收方的MAC地址，然后与自身的MAC地址相比较，如果两者相同，就接受这个包，做进一步处理，否则就丢弃这个包。这种发送方式就叫做广播（broadcasting）。,有了数据包的定义、网卡的MAC地址、广播的发送方式，链接层就可以在多台计算机之间传送数据了。,数据链路层网络层,以太网协议，依靠MAC地址发送数据。理论上，单单依靠MAC地址，上海的网卡就可以找到洛杉矶的网卡了，是可以实现的。,重大的缺点：以太网采用广播方式发送数据包，所有成员人手一包，不仅效率低，而且局限在发送者所在的子网络。也就是说，如果两台计算机不在同一个子网络，广播是传不过去的。,必须找到一种方法，能够区分哪些MAC地址属于同一个子网络，哪些不是。如果是同一个子网络，就采用广播方式发送，否则就采用路由方式发送。（路由的意思，就是指如何向不同的子网络分发数据包）MAC地址本身无法做到这一点。它只与厂商有关，与所处网络无关。,网络层,导致了“网络层”的诞生。它的作用是使用新的地址，能够区分不同的计算机是否属于同一个子网络。这套地址就叫做网络地址，简称网址。,网络层出现以后，每台计算机有了两种地址，一种是MAC地址，另一种是网络地址。两种地址之间没有任何联系，MAC地址是绑定在网卡上的，网络地址则是管理员分配的，它们只是随机组合在一起。,网络地址确定计算机所在的子网络，MAC地址则将数据包送到该子网络中的目标网卡。因此，从逻辑上可以推断，必定是先处理网络地址，然后再处理MAC地址。,网络层IP协议,规定网络地址的协议，叫做IP协议。它所定义的地址，就被称为IP地址。,IP协议的作用主要有两个，一个是为每一台计算机分配IP地址，另一个是确定哪些地址在同一个子网络。,根据IP协议发送的数据，就叫做IP数据包。其中必定包括IP地址信息。,“标头”部分主要包括版本、长度、IP地址等信息，“数据”部分则是IP数据包的具体内容（包含以太网数据包）,网络层ARP协议,IP数据包是放在以太网数据包里发送的，所以我们必须同时知道两个地址，一个是对方的MAC地址，另一个是对方的IP地址。通常情况下，对方的IP地址是已知的，但是不知道它的MAC地址。,需要一种机制，能够从IP地址得到MAC地址。,ARP协议作用，可以得到同一个子网络内的主机MAC地址，可以把数据包发送到任意一台主机之上了。,传输层,有了MAC地址和IP地址，我们已经可以在互联网上任意两台主机上建立通信。那么，同一台主机上有许多程序都需要用到网络，比如，一边浏览网页，一边与朋友在线聊天。当一个数据包从互联网上发来的时候，你怎么知道，它是表示网页的内容，还是表示在线聊天的内容？,需要一个参数，表示这个数据包到底供哪个程序（进程）使用。这个参数就叫做端口（port），它其实是每一个使用网卡的程序的编号。每个数据包都发到主机的特定端口，所以不同的程序就能取到自己所需要的数据。,传输层的功能，就是建立端口到端口的通信。相比之下，网络层的功能是建立主机到主机的通信。只要确定主机和端口，就能实现程序之间的交流。,应用层,应用程序收到传输层的数据，接下来就要进行解读。由于互联网是开放架构，数据来源五花八门，必须事先规定好格式，否则根本无法解读。,应用层的作用，就是规定应用程序的数据格式。,举例：TCP协议可以为各种各样的程序传递数据，比如Email、WWW、FTP等等。那么，必须有不同协议规定电子邮件、网页、FTP数据的格式，这些应用程序协议就构成了应用层。,最高的一层，直接面对用户。它的数据就放在TCP数据包的数据部分。,数据包,2020/6/7,网络安全技术第1章,51,1.2.1协议安全问题,数据链路层网络层传输层应用层,物理层的安全威胁,网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。,例如：设备被盗、设备老化、意外故障、无线电磁辐射泄密、搭线窃听等。,可靠的机房布线、网络拓扑是物理安全的重要组成部分。,例如：安全管理员必须了解所保护的网络的所有布局。,2020/6/7,网络安全技术第1章,53,数据链路层的安全威胁,数据链路层的主要协议是ARP协议。ARP（地址解析）协议是一种解析协议。,由于大多数IDS和操作系统对网络层以下通信连接的防御很薄弱，对数据链路层可以进行入侵。,常见的攻击：,被网络嗅探器sniffer窃听,ARP欺骗,拒绝服务攻击（MAC攻击）,中间人攻击,网络层的安全威胁,网络层负责处理主机到主机的通信。主要作用是将数据包从源主机发送出去，并且使这些数据包独立地到达目的主机，它并不提供任何错误纠正和流控制方法。网络层的主要协议是IP协议和ICMP协议。,网络层最基础的IP协议在进行路由转发时只查看目标地址，并没有对源地址进行验证，攻击者可以使用IP源地址欺骗，假冒其他IP地址发送数据包，隐藏攻击源。,对IP协议的攻击，是目前互联网最主要的攻击。网络层安全威胁主要有IP地址冲突、IP地址欺骗。,2020/6/7,网络安全技术第1章,55,网络层的安全威胁,IP协议并不是一个可靠的协议，它不保证数据被送达，保证数据送达的一个重要的模块就是ICMP（因特网控制报文）协议。网络层的ICMP协议是用于在TCP/IP网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈。,ICMP协议安全缺陷会导致smurf攻击、Pingofdeath（拒绝服务攻击）等；也常用于攻击远程网络或主机，最终导致被攻击目标缓冲区溢出。,传输层的安全威胁,提供了端到端的传输服务。传输层包括传输控制协议TCP和用户数据报协议UDP两个协议。,TCP是面向连接的协议，因此在数据传送之前，它需要先建立连接。,传输层最重要的TCP三次握手协议是基于双方都有合作的意愿来进行设计的。,对TCP协议的攻击，如目前流行的SYNFlooding攻击，ACKFlooding攻击等，主要是利用TCP的三次握手机制。,图TCP连接的三次握手,传输层的安全威胁,2020/6/7,网络安全技术第1章,58,对UDP协议的攻击，主要是强化UDP通信的不可靠性，进行流量攻击，以达到拒绝服务的目的。,一台主机通常只有一个IP地址，但常常要提供多种TCP/IP服务。因此，通常使用端口号来标识主机上的不同服务。,有的端口号对应的服务有安全缺陷，攻击者可以利用端口扫描软件对主机的各个端口进行分析，期望找到安全漏洞。,2020/6/7,网络安全技术第1章,59,应用层的安全威胁,早期的互联网应用层协议HTTP、FTP、POP3、SMTP都采用明文传输，存在敏感信息窃听、篡改与身份假冒等攻击风险。,应用层协议直接面向用户。TCP/IP的应用层协议非常多，最常见和最常用的有Telnet，FTP，SMTP、HTTP和DNS等。,应用层的安全威胁,（1）对邮件传输协议SMTP的安全威胁,（2）对FTP的攻击,（3）对HTTP的攻击,（4）对Telnet的攻击,（5）对域名系统DNS的攻击,2020/6/7,网络安全技术第1章,61,1.2.2操作系统和应用程序漏洞,这是最主要的安全问题来源，由于软件程序存在有安全漏洞，就是信息系统的软件程序中存在缺陷或不适当的配置，可以使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。,2020/6/7,网络安全技术第1章,62,1.2.2操作系统和应用程序漏洞,软件安全漏洞的生命周期主要包括安全漏洞研究与挖掘渗透攻击代码开发与测试安全漏洞和渗透攻击代码在封闭团队中流传安全漏洞和渗透攻击代码开始扩散恶意程序出现并开始传播渗透攻击代码/恶意程序大规模传播并危害互联网渗透攻击代码/攻击工具/恶意程序逐渐消亡,2020/6/7,网络安全技术第1章,63,1.2.3安全管理问题,网络管理工作比较复杂，会导致安全问题出现，如管理策略不够完善、管理人员素质低下、用户安全意识淡薄、有关法律规定不够健全。企业内部网中由于业务发展迅速、人员流动频繁、技术更新快，安全管理出现人力投入不足、安全政策不明。,2020/6/7,网络安全技术第1章,64,1.2.3安全管理问题,不同国家之间，安全事件是不分国界的，但每个国家的政治、地理、文化、法律都有所区别，导致安全管理受到很大的限制，如跨国界的安全事件的追踪非常困难。,2020/6/7,网络安全技术第1章,65,1.2.4黑客攻击,黑客（hacker）这个名称最早出现在20世纪60年代。当时美国麻省理工学院（MIT）一群致力于计算机科学研究的学生经常在实验室里操作机器、分析、研究程序和设计计算机系统、检测软硬件的瑕疵并修改，这项工作被称为hack，从事这些工作的人被称为hacker。现在的黑客客指的是能够面对挑战、创造技术、解决问题的人。,1.2.4黑客简史,起源地美国精神支柱对技术的渴求对自由的渴求历史背景越战与反战活动马丁路德金与自由嬉皮士与非主流文化电话飞客与计算机革命,1.2.4黑客的定义,黑客-Hacker定义在数据安全领域，一种未经授权又企图躲过系统访问控制程序的检查而侵入计算机网络或者个人计算机的用户。黑客与骇客的区别：黑客建设，骇客破坏！,2020/6/7,网络安全技术第1章,68,1.2.4黑客攻击,黑客包括了两种人：第一种是真正的黑客，他们通常是程序员、掌握操作系统和编程语言方面的高级知识，能发现系统中存在的安全漏洞以及原因。他们不会故意破坏数据，他们会设法绕开层层安全措施，获得访问权限并尽可能深入地访问系统内部，不拿走东西，然后离开；,2020/6/7,网络安全技术第1章,69,1.2.4黑客攻击,第二类是骇客（cracker）。这个词在英语中有“使破裂”的意思，这一类是恶意攻击者，他们会获取未授权的访问权限，破坏重要的数据，恶意侵入，破坏信息系统，他们破坏的程度触及到了违反法律，就变成了真正的罪犯，而不是黑客。,2020/6/7,网络安全技术第1章,70,1.2.4黑客攻击,在著名的黑客辞典JargonFile中，对黑客做出如下的解释：-迷恋于探索可编程系统的细节及如何拓展其能力的方法；-狂热的（甚至强迫性的）编程爱好者；-能够赏识黑客能力和价值的人；-擅长于快速通过编程解决问题的人；-一个特定领域或语言的专家，如UNIX黑客。-任何行业中的专家或狂热爱好者，如天文学狂热者。-能够从创造性地征服和突破困难问题中等到乐趣的人。,1.2.4黑客的分类,灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier,渴求自由,2020/6/7,网络安全技术第1章,72,1.2.4黑客攻击,黑客攻击常用的一些攻击手段包括：网络监听寻找系统漏洞获取口令放置木马Web欺骗技术电子邮件攻击间接攻击缓冲区溢出,1.2.4黑客攻击发展趋势,网络攻击技术手段、自动化、攻击速度不断提高网络攻击工具智能化安全漏洞的发现和利用速度越来越快有组织攻击越来越多攻击的目的和目标在改变防火墙渗透率越来越高越来越不对称威胁对基础设施的威胁越来越大,1.2.5网络犯罪,网络人口的惊人增长，但是，这种新的通讯技术，突飞猛进，尚未规范，也带来很多法律问题。各国网络的广泛使用，网络人口的比例越来越高，素质又参差不齐，网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。网络犯罪中最为突出的问题有：网络色情泛滥成灾，严重危害未成年人的身心健康；软件、影视唱片的著作权受到盗版行为的严重侵犯；网络商务备受诈欺困扰，信用卡被盗刷，购买的商品石沉大海，发出商品却收不回货款；更有甚者，已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。与网络相关的犯罪丛生。,网络犯罪的类型-网络文化污染-盗版交易-网络欺诈-名誉毁损-侵入他人主页、网站、邮箱-制造传播计算机病毒-网络赌博-网络教唆、煽动各种犯罪,1.2.5网络犯罪类型,1.2.5网络犯罪面临的问题,打击网络犯罪面临的问题-互联网本身缺陷-黑客软件泛滥-互联网的跨地域、跨国界性-网上商务存在的弊端-互联网性质的不确定性-司法标准不一-多数国家对计算机犯罪打击不力,1.3常用的防护措施,个人用户防护措施,防止黑客入侵,关闭不常用端口,关闭不常用程序和服务,及时升级系统和软件补丁,发现系统异常立刻检查,1.3常用的防护措施,完善安全管理制度采用访问控制措施运行数据加密措施数据备份与恢复建立敏感的安全意识,1.3常用的防护措施,1.4-1网络安全策略,安全策略：是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。,即：网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、计算机安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素，所制定的关于计算机安全总体目标、计算机安全操作、计算机安全工具、人事管理等方面的规定。,1.4-2制定安全策略的目的,1.让所有用户、操作人员和管理员清楚，为了保护技术和信息资源所必须遵守的原则。2.提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准。,1.4-3安全策略的必要性,网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中的安全状况，网络所提供的功能以及网络的易用程度。安全策略应以要实现目标为基础，而不能简单地规定要检验什么和施加什么限制。在确定的安全目标下，应该制定如何有效地利用所有安全工具的策略。,1.4-4安全策略的基本原则,适用性原则可行性原则动态性原则简单性原则系统性原则,适用性原则,网络的安全管理是一个系统化的工作，因此在制定安全管理策略时，应全面考虑网络上各类用户，各种设备，各种情况，有计划有准备地采取相应的策略，任何一点疏忽都会造成整个计算机安全性的降低。,可行性原则,安全管理策略的制定还要考虑资金的投入量，因为安全产品的性能一般是与其价格成正比的，所以要适合划分系统中信息的安全级别，并作为选择安全产品的重要依据，使制定的安全管理策略达到成本和效益的平衡。,动态性原则,安全管理策略有一定的时限性，不能是一成不变的。由于网络用户在不断地变化，网络规模在不断扩大，网络技术本身的发展变化也很快，而安