計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

第十章計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)本章導(dǎo)讀隨著網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題顯得日益重要。本章介紹網(wǎng)絡(luò)安全的基本知識(shí)，包括網(wǎng)絡(luò)安全的現(xiàn)狀、定義及相關(guān)技術(shù)。重點(diǎn)介紹了網(wǎng)絡(luò)安全中的防病毒技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)和數(shù)據(jù)備份與恢復(fù)技術(shù)。學(xué)習(xí)目標(biāo)了解網(wǎng)絡(luò)安全的現(xiàn)狀、定義了解保障網(wǎng)絡(luò)安全的常用技術(shù)了解計(jì)算機(jī)網(wǎng)絡(luò)病毒的分類、防治了解常用的數(shù)據(jù)加密技術(shù)了解防火墻的發(fā)展及分類、體系結(jié)構(gòu)掌握Windows操作系統(tǒng)數(shù)據(jù)備份與恢復(fù)工具的使用10.1網(wǎng)絡(luò)安全基礎(chǔ)互聯(lián)網(wǎng)是—個(gè)開(kāi)放、自由的系統(tǒng)，對(duì)信息系統(tǒng)的安全考慮并不完善。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)被攻擊與破壞的事件不勝枚舉，網(wǎng)絡(luò)犯罪己成為現(xiàn)代社會(huì)的隱患，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)所面臨的威脅正隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用而不斷增加，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)安全隱患產(chǎn)生的原因1.網(wǎng)絡(luò)環(huán)境的開(kāi)放性2.網(wǎng)絡(luò)協(xié)議本身的缺陷3.操作系統(tǒng)本身的設(shè)計(jì)漏洞4.人為因素網(wǎng)絡(luò)安全的現(xiàn)狀（1）黑客技術(shù)發(fā)展快速（2）網(wǎng)絡(luò)犯罪猖獗（3）網(wǎng)絡(luò)用戶安全意識(shí)不夠（4）網(wǎng)絡(luò)方面法制不夠完善網(wǎng)絡(luò)安全的定義從本質(zhì)上講，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真實(shí)性（Authenticity）。從廣義上說(shuō)，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。網(wǎng)絡(luò)安全的技術(shù)網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、數(shù)論、信息論等多種學(xué)科的綜合性應(yīng)用。常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)有病毒防護(hù)技術(shù)、密碼技術(shù)、網(wǎng)絡(luò)安全防御技術(shù)、數(shù)據(jù)備份和恢復(fù)技術(shù)等。10.2網(wǎng)絡(luò)防病毒技術(shù)計(jì)算機(jī)病毒簡(jiǎn)介1.病毒的概念計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來(lái)無(wú)害的程序中，它能復(fù)制自身并將其插入到其它的程序中以執(zhí)行惡意的行動(dòng)。病毒既然是一種計(jì)算機(jī)程序，就需要消耗計(jì)算機(jī)的CPU資源。當(dāng)然，病毒并不一定都具有破壞力，但大多數(shù)病毒的目的是設(shè)法損壞數(shù)據(jù)。而現(xiàn)在網(wǎng)絡(luò)時(shí)代的網(wǎng)絡(luò)病毒，已經(jīng)不是如此單純的一個(gè)概念了，它被融進(jìn)了更多的東西。可以這樣說(shuō)，如今的網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程序的總和，在不嚴(yán)格區(qū)分的情況下，象邏輯炸彈、蠕蟲、熊貓燒香、惡意木馬等均可稱為計(jì)算機(jī)病毒。病毒的發(fā)展（1）第一代病毒（2）第二代病毒（3）第三代病毒（4）第四代病毒（5）蠕蟲病毒病毒的分類按病毒依附的不同的操作系統(tǒng)劃分。按病毒的傳播媒介劃分。按病毒的宿主劃分。計(jì)算機(jī)病毒的特征（1）感染性（2）隱蔽性（3）潛伏性（4）可觸發(fā)性（5）衍生性（6）破壞性網(wǎng)絡(luò)環(huán)境下病毒的特征（1）主動(dòng)通過(guò)網(wǎng)絡(luò)和郵件系統(tǒng)傳播。（2）傳播速度快，難于控制。（3）變種多，清除難度大。（4）病毒功能多樣化，更具有危害性。計(jì)算機(jī)病毒的防治1.計(jì)算機(jī)感染病毒后的異?，F(xiàn)象2.計(jì)算機(jī)反病毒技術(shù)反病毒技術(shù)現(xiàn)狀計(jì)算機(jī)病毒的防治U盤病毒防治U盤病毒顧名思義就是通過(guò)U盤傳播的病毒，它利用U盤的autorun.inf漏洞進(jìn)行傳播。利用Windows的自動(dòng)運(yùn)行功能在打開(kāi)U盤的同時(shí)自動(dòng)運(yùn)行U盤病毒。1.U盤病毒判斷2.U盤病毒的感染傳播機(jī)制3.U盤病毒的防治殺毒軟件的使用常用的殺毒軟件殺毒軟件的使用注意事項(xiàng)10.3數(shù)據(jù)加密技術(shù)用戶在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行通信，一個(gè)主要的危險(xiǎn)是所傳送的數(shù)據(jù)被非法竊聽(tīng)。因此，如何保護(hù)數(shù)據(jù)傳輸?shù)碾[蔽性是計(jì)算機(jī)網(wǎng)絡(luò)安全中需要面對(duì)的問(wèn)題。常用的辦法是在數(shù)據(jù)傳輸前采用一定的算法進(jìn)行加密，然后將加密的報(bào)文通過(guò)網(wǎng)絡(luò)傳輸，這樣即使在傳輸過(guò)程中被非法截取，截取者也不能獲悉信息的真正內(nèi)容，這樣就保證了信息傳輸?shù)陌踩Ｃ艽a學(xué)概述密碼學(xué)（Cryptology）是研究密碼系統(tǒng)或通信安全的一門科學(xué)。它以研究秘密通信為目的，研究對(duì)傳輸信息采取何種秘密的交換，以防止第三者對(duì)信息的截取、篡改等。主要包括兩個(gè)相互對(duì)立的分支：密碼編碼學(xué)（Cryptography）和密碼分析學(xué)（Cryptanalysis）。前者是研究把信息（明文）變換成為沒(méi)有密鑰不能解密或很難解密的密文的方法；后者是研究分析破譯密碼的方法。相關(guān)密碼學(xué)概念（1）明文（Plaintext，記為P）。信息的原始形式，即加密前的原始信息。（2）密文（Ciphertext，記為C）。明文經(jīng)過(guò)加密后的形式。（3）加密（Encryption，記為E）。將明文變換為密文的過(guò)程，用于加密的一組數(shù)學(xué)變換稱為加密算法。（4）解密（Decryption，記為D）。接收者將傳輸后的密文變換為明文的過(guò)程，進(jìn)行變換的一組數(shù)學(xué)算法稱為解密算法。傳統(tǒng)加密技術(shù)1.1.替換密碼算法：這種密碼技術(shù)將字母按字母表的順序排列，并將最后一個(gè)字母和第一個(gè)字母相連起來(lái)構(gòu)成一個(gè)字母表序列，明文中的每個(gè)字母用該序列中在其后面的第三個(gè)字母來(lái)代替，構(gòu)成密文。2.換位密碼算法：換位密碼技術(shù)是通過(guò)改變明文中字母的排列順序來(lái)達(dá)到加密的目的，常用的技術(shù)是列換位密碼技術(shù)。對(duì)稱加密技術(shù)如果在一個(gè)密碼體系中，加密密鑰與解密密鑰相同，就稱為對(duì)稱加密算法。在對(duì)稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過(guò)特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過(guò)的密鑰及相同算法的逆算法對(duì)密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。DES算法DES加密算法是分組加密算法，明文以64位為單位分成塊。64位數(shù)據(jù)在64位密鑰的控制下，經(jīng)過(guò)初始變換后，進(jìn)行16輪加密迭代：64位數(shù)據(jù)被分成左右兩半部分，每部分32位，密鑰與右半部分相結(jié)合，然后再與左半部分相結(jié)合，結(jié)果作為新的右半部分；結(jié)合前的右半部分作為新的左半部分。這一系列步驟組成一輪，這種輪換要重復(fù)16次。最后一輪之后，再進(jìn)行初始置換的逆置換，就得到了64位的密文。最后將各組密文串接起來(lái)，即得出整個(gè)的密文。公開(kāi)密鑰技術(shù)非對(duì)稱加密算法又名“公開(kāi)密鑰加密算法”，非對(duì)稱加密算法需要兩個(gè)密鑰：公開(kāi)密鑰（publickey）和私有密鑰（privatekey）。公開(kāi)密鑰與私有密鑰是一對(duì)，如果用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開(kāi)密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫作非對(duì)稱加密算法。公開(kāi)密鑰算法的應(yīng)用混合加密技術(shù)在網(wǎng)絡(luò)上傳輸大量信息時(shí)，一般采用的是混合加密體系。在混合加密體系中，使用對(duì)稱加密算法對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行加、解密，使用公開(kāi)密鑰算法來(lái)加密對(duì)稱加密算法的密鑰，既加快了加、解密的速度，又解決了對(duì)稱加密算法中密鑰保存和管理的困難。公開(kāi)密鑰算法的應(yīng)用數(shù)字簽名：類似于傳統(tǒng)的親筆簽名或蓋章，計(jì)算機(jī)網(wǎng)絡(luò)通信中的數(shù)字簽名技術(shù)就是對(duì)網(wǎng)絡(luò)上傳送文件者的身份進(jìn)行驗(yàn)證的一種技術(shù)。它一般要解決好以下三個(gè)問(wèn)題：①接收方能夠核實(shí)發(fā)送方對(duì)報(bào)文的簽名，如果當(dāng)事雙方對(duì)簽名真?zhèn)伟l(fā)生爭(zhēng)議，能夠在權(quán)威的第三方驗(yàn)證（信息源發(fā)鑒別）。②發(fā)送方事后不能否認(rèn)自己對(duì)報(bào)文的簽名（信息不可否認(rèn)性）。③除了發(fā)送方外，其它人不能偽造簽名，也不能對(duì)接收或發(fā)送的信息進(jìn)行篡改、偽造（信息的完整性）。加密技術(shù)的應(yīng)用數(shù)字簽名的缺點(diǎn)是速度非常慢，因?yàn)楣_(kāi)密鑰的加密和解密都是很慢的。而在特定的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，很多報(bào)文是不需要進(jìn)行加密的，僅僅要求報(bào)文應(yīng)該是完整的、不被偽造的。因此，可以采用相對(duì)簡(jiǎn)單的報(bào)文鑒別算法來(lái)達(dá)到目的。目前，經(jīng)常采用報(bào)文摘要（MessageDigest）算法來(lái)實(shí)現(xiàn)報(bào)文鑒別。報(bào)文摘要是從報(bào)文中提取特征數(shù)據(jù)的方法，亦稱數(shù)字指紋。不同文件具有相同的報(bào)文摘要的概率極小。因此，構(gòu)造出具有相同報(bào)文摘要的兩個(gè)文件是極其困難的。報(bào)文摘要就像是對(duì)所要傳送的文件拍一張“照片”，如果原始文件發(fā)生了最微小的變化，對(duì)它拍出來(lái)的“照片”也會(huì)變化。生成報(bào)文摘要的常用算法是由RSA公司開(kāi)發(fā)的MD5算法。MD5是一種單向散列函數(shù)（也稱哈希函數(shù)，Hash函數(shù)），通常用“摔盤子”來(lái)比喻Hash函數(shù)的單向不可逆的運(yùn)算特征：把一個(gè)完整的盤子摔碎是很容易的，而通過(guò)盤子碎片來(lái)還原一個(gè)完整的盤子是很困難甚至是不可能的。10.4防火墻技術(shù)防火墻的本義原是指古代人在房屋之間修建的那道墻，這道墻可以防火火災(zāi)發(fā)生時(shí)蔓延到別的房屋，而網(wǎng)絡(luò)安全中的防火墻技術(shù)，是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。防火墻的基本功能（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。（2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。（3）具有一定的抗攻擊能力。防火墻的發(fā)展史（1）第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（PacketFilter）技術(shù)。（2）第二、三代防火墻（3）第四代防火墻（4）第五代防火墻防火墻的體系結(jié)構(gòu)1.雙宿主機(jī)體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻的分類1.包過(guò)濾防火墻包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，其工作原理如圖所示。在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，包過(guò)濾模塊一般檢查網(wǎng)絡(luò)層、傳輸層內(nèi)容，包括下面幾項(xiàng)。（1）源、目的IP地址。（2）源、目的端口號(hào)。（3）協(xié)議類型。（4）TCP數(shù)據(jù)報(bào)的標(biāo)志位。防火墻的分類代理防火墻：代理防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用，它的核心技術(shù)就是代理服務(wù)器技術(shù)。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，是客戶機(jī)和真實(shí)服務(wù)器之間的中介。防火墻的分類狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)原理TCP/IP的三次握手連接狀態(tài)檢測(cè)防火墻工作流程復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。10.5數(shù)據(jù)備份與恢復(fù)技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)的安全實(shí)質(zhì)上是指網(wǎng)絡(luò)信息的安全，即要求網(wǎng)絡(luò)保證其信息系統(tǒng)資源的完整性、準(zhǔn)確性和有限的傳播范圍。所有的應(yīng)用系統(tǒng)無(wú)論提供何種服務(wù)，其基礎(chǔ)和核心都是數(shù)據(jù)。只要發(fā)生數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)交換，就有可能產(chǎn)生數(shù)據(jù)故障。如果沒(méi)有采取數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)手段與措施，就會(huì)導(dǎo)致數(shù)據(jù)的丟失。數(shù)據(jù)備份和恢復(fù)就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其它特定情況下，重新加以利用的一個(gè)過(guò)程。數(shù)據(jù)存儲(chǔ)技術(shù)RAID技術(shù)：RAID（RedundantArrayofIndependentDisks，獨(dú)立磁盤冗余陣列）簡(jiǎn)稱磁盤陣列，是提供數(shù)據(jù)安全一個(gè)重要手段，在系統(tǒng)中RAID被看作是一個(gè)邏輯分獲，但是它是由多個(gè)硬盤組成的。它通過(guò)在多個(gè)硬盤上同時(shí)存儲(chǔ)和讀取數(shù)據(jù)來(lái)大幅提高存儲(chǔ)系統(tǒng)的數(shù)據(jù)吞吐量，而且在很多RAID模式都有較為完備的相互校驗(yàn)與恢復(fù)的措施。RAID按照實(shí)現(xiàn)原理的不同分為不同的級(jí)別，不同的級(jí)別之間工作模式是有區(qū)別的。主要包含RAID0～RAID7等數(shù)個(gè)規(guī)范，它們的側(cè)重點(diǎn)各不相同，常用的有以下幾種。RAID0：將多個(gè)磁盤合并成一個(gè)大的磁盤，不具有冗余，并行I/O，速度最快。RAID0亦稱為帶區(qū)集。它是將多個(gè)磁盤并列起來(lái)，成為一個(gè)大磁盤。RAID1：RAID1就是鏡像，通過(guò)磁盤數(shù)據(jù)鏡像實(shí)現(xiàn)數(shù)據(jù)冗余，在成對(duì)的獨(dú)立磁盤上產(chǎn)生互為備份的數(shù)據(jù)，同時(shí)對(duì)兩個(gè)鏡象盤進(jìn)行讀操作和寫操作，數(shù)據(jù)塊傳送速率與單獨(dú)的盤的讀取速率相同，速度沒(méi)有提高。RAID5：RAID5是一種存儲(chǔ)性能、數(shù)據(jù)安全和存儲(chǔ)成本兼顧的存儲(chǔ)解決方案。它使用的是DiskStriping（硬盤分割）技術(shù)。RAID5至少需要三塊硬盤，RAID5不對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行備份，而是把數(shù)據(jù)和相對(duì)應(yīng)的奇偶校驗(yàn)信息（parity）存儲(chǔ)到組成RAID5的各個(gè)磁盤上，并且奇偶校驗(yàn)信息和相對(duì)應(yīng)的數(shù)據(jù)分別存儲(chǔ)于不同的磁盤上。DASNASSAN存儲(chǔ)技術(shù)DAS（DirectAttachedStorage，直接附加存儲(chǔ)裝置）架構(gòu)是早期的數(shù)據(jù)儲(chǔ)存方式，采用硬盤為主要的儲(chǔ)存媒體，通過(guò)文件服務(wù)器（FileServer）實(shí)現(xiàn)網(wǎng)絡(luò)上的數(shù)據(jù)共享及存取。。NAS（NetworkAttachedStorage，網(wǎng)絡(luò)附加式存儲(chǔ)裝置）是一種通過(guò)網(wǎng)絡(luò)連結(jié)的方式，提供不同的計(jì)算機(jī)系統(tǒng)間進(jìn)行檔案的存取與共享的儲(chǔ)存設(shè)備，是必須依附在網(wǎng)絡(luò)上而運(yùn)作的儲(chǔ)存裝置。S