第6章 網(wǎng)絡(luò)安全

第６章網(wǎng)絡(luò)安全本章內(nèi)容網(wǎng)絡(luò)安全概述現(xiàn)代密碼技術(shù)基礎(chǔ)數(shù)字簽名與認(rèn)證計算機病毒網(wǎng)絡(luò)安全協(xié)議防火墻技術(shù)入侵檢測技術(shù)6.1網(wǎng)絡(luò)安全概述

6.1.1網(wǎng)絡(luò)安全研究背景20世紀(jì)40年代，隨著計算機的出現(xiàn)，計算機安全問題也隨之產(chǎn)生。隨著計算機在社會各個領(lǐng)域的廣泛應(yīng)用和迅速普及，使人類社會步入信息時代，以計算機為核心的安全、保密問題越來越突出。70年代以來，在應(yīng)用和普及的基礎(chǔ)上，以計算機網(wǎng)絡(luò)為主體的信息處理系統(tǒng)迅速發(fā)展，計算機應(yīng)用也逐漸向網(wǎng)絡(luò)發(fā)展。網(wǎng)絡(luò)化的信息系統(tǒng)是集通信、計算機和信息處理于一體的，是現(xiàn)代社會不可缺少的基礎(chǔ)。計算機應(yīng)用發(fā)展到網(wǎng)絡(luò)階段后，信息安全技術(shù)得到迅速發(fā)展，原有的計算機安全問題增加了許多新的內(nèi)容。同以前的計算機安全保密相比，計算機網(wǎng)絡(luò)安全技術(shù)的問題要多得多，也復(fù)雜的多，涉及到物理環(huán)境、硬件、軟件、數(shù)據(jù)、傳輸、體系結(jié)構(gòu)等各個方面。除了傳統(tǒng)的安全保密理論、技術(shù)及單機的安全問題以外，計算機網(wǎng)絡(luò)安全技術(shù)包括了計算機安全、通信安全、訪問控制的安全，以及安全管理和法律制裁等諸多內(nèi)容，并逐漸形成獨立的學(xué)科體系。1．什么是安全簡單地說在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識別和消除不安全因素的能力。安全的一般性定義也必須解決保護(hù)財產(chǎn)的需要，包括信息和物理設(shè)備（例如計算機本身）。安全的想法也涉及到適宜性和從屬性概念。伴隨著現(xiàn)代的、先進(jìn)的復(fù)雜技術(shù)例如局域網(wǎng)和廣域網(wǎng)、Internet，安全的想法和實際操作已變得更加復(fù)雜，對于網(wǎng)絡(luò)來說，一個人可以定義安全為一個持續(xù)的過程。

計算機網(wǎng)絡(luò)安全之所以重要，其主要原因在于：

（1）計算機存儲和處理的是有關(guān)國家安全的政治、經(jīng)濟、軍事、國防的情況及一些部門、機構(gòu)、組織的機密信息或是個人的敏感信息、隱私，因此成為敵對勢力、不法分子的攻擊目標(biāo)。（2）隨著計算機系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜、系統(tǒng)規(guī)模越來越大，特別是Internet的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)?？涨芭蛎?，任何隱含的缺陷、失誤都能造成巨大損失。（3）人們對計算機系統(tǒng)的需求在不斷擴大，這類需求在許多方面都是不可逆轉(zhuǎn)、不可替代的。（4）隨著計算機系統(tǒng)的廣泛應(yīng)用，各類應(yīng)用人員隊伍迅速發(fā)展壯大，教育和培訓(xùn)卻往往跟不上知識更新的需要，操作人員、編程人員和系統(tǒng)分析人員的失誤和缺乏經(jīng)驗都會造成系統(tǒng)的安全功能不足。（5）計算機網(wǎng)絡(luò)安全問題涉及許多學(xué)科領(lǐng)域，既包括自然科學(xué)，又包括社會科學(xué)。就計算機系統(tǒng)的應(yīng)用而言，安全技術(shù)涉及計算機技術(shù)、通信技術(shù)、存取控制技術(shù)、檢驗認(rèn)證技術(shù)、容錯技術(shù)、加密技術(shù)、防病毒技術(shù)、抗干擾技術(shù)、防泄漏技術(shù)等等，因此是一個非常復(fù)雜的綜合問題，并且其技術(shù)、方法和措施都要隨著系統(tǒng)應(yīng)用環(huán)境的變化而不斷變化。（6）從認(rèn)識論的高度看，人們往往首先關(guān)注對系統(tǒng)的需要、功能，然后才被動地從現(xiàn)象注意系統(tǒng)應(yīng)用的安全問題。因此廣泛存在著重應(yīng)用輕安全、質(zhì)量法律意識淡薄、計算機素質(zhì)不高的普遍現(xiàn)象。計算機系統(tǒng)的安全是相對不安全而言的，許多危險、隱患和攻擊都是隱藏的、潛在的、難以明確卻又廣泛存在的。2．什么是風(fēng)險收集數(shù)據(jù)是一門并不完美的藝術(shù)，被不同的專家收集到的數(shù)據(jù)真正意味著什么總是引起爭議的，它是許多提供方便可用的資源給新興的Internet用戶的站點之一，它可以使用戶：（1）獲得如何開始hacker活動的相當(dāng)準(zhǔn)確的建議（2）掃描網(wǎng)絡(luò)以確定那些目標(biāo)被攻擊（3）使用虛假信息攻擊e-mail,database,file,和webserver使其癱瘓（4）摧毀和滲透路由器和其他的網(wǎng)絡(luò)連接設(shè)備（5）擊敗和摧毀認(rèn)證和加密方法抵御攻擊是困難的，除非知道如何把攻擊分類，然后反擊它，但是確保你的系統(tǒng)絕對安全是不可能的。3．網(wǎng)絡(luò)安全潛在的威脅計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；也有可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。目前，歸結(jié)起來網(wǎng)絡(luò)安全所面臨的主要潛在威脅有以下幾方面：（1）信息泄密。主要表現(xiàn)為網(wǎng)絡(luò)上的信息被竊聽，這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的網(wǎng)絡(luò)侵犯者被稱為消極侵犯者。（2）信息被篡改。這就是純粹的信息破壞。這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包，并對之進(jìn)行更改使之失效，或者故意添加一些有利于自己的信息起到信息誤導(dǎo)的作用。積極侵犯者的破壞作用最大。（3）傳輸非法信息流。用戶可能允許自己同其他用戶進(jìn)行某些類型的通信，但禁止其它類型的通信。如允許電子郵件傳輸而禁止文件傳送。（4）網(wǎng)絡(luò)資源的錯誤使用。如果不合理地設(shè)定資源訪問控制，一些資源有可能被偶然或故意地破壞。（5）非法使用網(wǎng)絡(luò)資源。非法用戶登錄進(jìn)入系統(tǒng)使用網(wǎng)絡(luò)資源，造成資源的消耗，損害合法用戶的利益。（6）計算機病毒已經(jīng)成為威脅網(wǎng)絡(luò)安全的最大威脅。6.1.2網(wǎng)絡(luò)中存在的不安全因素

由于網(wǎng)絡(luò)所帶來的諸多不安全因素使得網(wǎng)絡(luò)使用者不得不采取相應(yīng)的網(wǎng)絡(luò)安全對策。為了堵塞安全漏洞和提供安全的通信服務(wù)，必須運用一定的技術(shù)來對網(wǎng)絡(luò)進(jìn)行安全建設(shè)，建立完善的法律、法規(guī)以及完善管理制度，提高人們的安全意識，這已為廣大網(wǎng)絡(luò)開發(fā)商和網(wǎng)絡(luò)用戶所共識。自然災(zāi)害包括：水災(zāi)、火災(zāi)、地震、雷擊、臺風(fēng)及其他自然現(xiàn)象造成的災(zāi)害。人為災(zāi)害包括：戰(zhàn)爭、縱火、盜竊設(shè)備及其他影響到網(wǎng)絡(luò)物理設(shè)備的犯罪等。以上這些情況雖然發(fā)生的概率很小，但也不容忽視。系統(tǒng)物理故障包括：硬件故障、軟件故障、網(wǎng)絡(luò)故障和設(shè)備環(huán)境故障等。6.1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)

為了適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展，國際標(biāo)準(zhǔn)化組織ISO的計算機專業(yè)委員會根據(jù)開放系統(tǒng)互連參考模型制定了一個網(wǎng)絡(luò)安全體系結(jié)構(gòu)模型。這個三維模型從比較全面的角度來考慮網(wǎng)絡(luò)與信息的安全問題。

網(wǎng)絡(luò)安全需求應(yīng)該是全方位的、整體的。在OSI七個層次的基礎(chǔ)上，將安全體系劃分為四個級別：網(wǎng)絡(luò)級安全、系統(tǒng)級安全、應(yīng)用級安全及企業(yè)級的安全管理，而安全服務(wù)滲透到每一個層次，從盡量多的方面考慮問題，有利于減少安全漏洞和缺陷。1．主要的安全服務(wù)針對網(wǎng)絡(luò)系統(tǒng)受到的威脅，OSI安全體系結(jié)構(gòu)提出了以下幾類安全服務(wù)：身份認(rèn)證訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性不可否認(rèn)性審計管理可用性2．網(wǎng)絡(luò)安全服務(wù)與網(wǎng)絡(luò)層次關(guān)系從網(wǎng)絡(luò)的7個層次的角度來考慮安全問題，比較接近網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的結(jié)構(gòu)層次，便于充分全面的考慮具體實際的軟件硬件的安全。例如拿到一個通信軟件，可以從協(xié)議層次角度分析該軟件從應(yīng)用層到網(wǎng)絡(luò)層的哪些層次上加以了安全的保護(hù)，各層的安全性強度如何，哪一層上最容易受到攻擊等6.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

1．ISO7498-2安全體系結(jié)構(gòu)文獻(xiàn)定義了安全就是最小化資產(chǎn)和資源的漏洞。資源可以指任何事物，漏洞是指任何可以造成破壞系統(tǒng)或信息的弱點。威脅是指潛在的安全破壞。ISO還進(jìn)一步為威脅進(jìn)行分類，例如前面我們介紹的不安全因素。

ISO7498-2安全體系結(jié)構(gòu)文獻(xiàn)中還定義了幾種安全服務(wù)。

ISO7498-2種描述的安全體系結(jié)構(gòu)的5種安全服務(wù)項目是：鑒別（Authentication）訪問控制（Accesscontrol）數(shù)據(jù)保密（Dataconfidentiality）數(shù)據(jù)完整性（Dataintegrity）抗否認(rèn)（Non-reputation）為了實現(xiàn)以上服務(wù)，制定了8種安全機制，他們分別是：加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制通信業(yè)務(wù)填充機制路由控制機制公正機制6.2現(xiàn)代密碼技術(shù)基礎(chǔ)

6.2.1密碼技術(shù)概述1．密碼的發(fā)展歷史人類使用密碼的歷史，從今天已知的，最早可以一直追溯到古巴比倫人的泥板文字。古埃及人，古羅馬人，古阿拉伯人……幾乎世界歷史上所有文明都使用過密碼。密碼技術(shù)是防止信息泄露的技術(shù)，是信息安全技術(shù)中最重要和最基本的安全技術(shù)。密碼技術(shù)中常用的一些術(shù)語：（1）明文P（Plaintext）：可以理解的信息原文。（2）加密E（Encryption）：用某種方法偽裝明文以隱藏它的內(nèi)容的過程。（3）密文C（Ciphertext）：經(jīng)過加密后將明文變換成不容易理解的信息。（4）解密D（Decryption）：將密文恢復(fù)成明文的過程。

（5）算法（algorithm）：就是用于加密或解密的方法，在現(xiàn)代密碼學(xué)中算法就是一個用于加密和解密的數(shù)學(xué)函數(shù)。（6）密鑰K（key）：是用來控制加密和解密算法的實現(xiàn)。2．現(xiàn)代密碼學(xué)已發(fā)展成兩個重要的研究分支：（1）對稱加密方法，其典型代表是數(shù)據(jù)加密標(biāo)準(zhǔn)DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）、IDEA（國際數(shù)據(jù)加密算法）、AES（高級加密標(biāo)準(zhǔn)）等算法。（2）公開密鑰算法，其典型代表是RSA、橢圓曲線加密、NTRU算法等。6.2.2

對稱加密體制

對稱加密算法，有時又叫傳統(tǒng)密碼算法，它的典型特點是：（1）采用的解密算法就是加密算法的逆運算，或者解密算法與加密算法完全相同；（2）加密密鑰和解密密鑰相同，或者加密密鑰能夠從解密密鑰中推算出來，反過來也成立。對稱算法要求發(fā)送者和接收者在安全通信之前，商定一個密鑰。它的安全性依賴于密鑰的保密性。對稱算法可分為兩類：分組密碼和流密碼。（1）分組密碼是將明文分成固定長度的組或塊（如64比特為一組），然后用同一密鑰和算法對每一塊進(jìn)行加密，輸出密文的長度也是固定的。

（2）流密碼（streamcipher）的主要原理是通過偽隨機序列發(fā)生器產(chǎn)生性能優(yōu)良的隨機序列，使用該序列與明文序列疊加來輸出密文序列。解密時，再用同一個隨機序列與密文序列進(jìn)行疊加來恢復(fù)明文。１．DES算法（1）DES算法描述。

DES是分組加密算法，它以64位（二進(jìn)制）為一組，對稱數(shù)據(jù)加密，64位明文輸入，64位密文輸出。密鑰長度為56位，利用密鑰，通過傳統(tǒng)的換位、替換和異或等變換，實現(xiàn)二進(jìn)制明文的加密與解密。（2）DES算法概要。①對輸入的明文從右向左按順序每64位分為一組（不足64位時，在高位補0），并按組進(jìn)行加密或解密。②進(jìn)行初始換位。③將換位后的明文分成左、右兩個部分，每部分為32位長。④進(jìn)行16輪相同的變換，包括密鑰變換。⑤將變換后左右兩部分合并在一起。⑥逆初始變換，輸出64位密文。令i表示迭代次數(shù)，表示逐位模2求和，f為加密函數(shù)

2．AES高級數(shù)據(jù)加密標(biāo)準(zhǔn)

AES是美國國家標(biāo)準(zhǔn)技術(shù)研究所NIST旨在取代DES的21世紀(jì)的加密標(biāo)準(zhǔn)。

AES的基本要求是，采用對稱分組密碼體制，密鑰長度的最少支持為128、192、256，分組長度128位，算法應(yīng)易于各種硬件和軟件實現(xiàn)。1998年NIST開始AES第一輪分析、測試和征集，共產(chǎn)生了15個候選算法。1999年3月完成了第二輪AES2的分析、測試。2000年10月2日美國政府正式宣布選中比利時密碼學(xué)家JoanDaemen和VincentRijmen提出的一種密碼算法RIJNDAEL作為AES。AES加密數(shù)據(jù)塊和密鑰長度可以是128比特、192比特、256比特中的任意一個。AES加密有很多輪的重復(fù)和變換。大致步驟如下：①密鑰擴展（KeyExpansion），②初始輪（InitialRound），③重復(fù)輪（Rounds），每一輪又包括：SubBytes、ShiftRows、MixColumns、AddRoundKey，④最終輪（FinalRound），最終輪沒有MixColumns。6.2.3公開密鑰體制1．公開密鑰算法的典型特點是：（1）在公開密鑰算法中，有一對密鑰（pk，sk），其中pk（public-key）是公開的，即公開密鑰，簡稱公鑰。另一個密鑰sk（privatekey）是保密的，這個保密密鑰稱為私人密鑰，簡稱私鑰。（2）在公開密鑰算法中，進(jìn)行加密和解密時，使用不同的加密密鑰和解密密鑰。而且不能從加密密鑰或解密密鑰相互推導(dǎo)出來，或者很難推導(dǎo)出來。（3）在公開密鑰算法中，公開密鑰和私人密鑰必須配對使用。也就是說如果使用公開密鑰加密時，就必須使用相應(yīng)的私人密鑰解密；如果使用私人密鑰加密時，也必須使用相應(yīng)的公開密鑰解密。（4）一般來說，公開密鑰算法都是建立在嚴(yán)格的數(shù)學(xué)基礎(chǔ)上，公開密鑰和私人密鑰的產(chǎn)生也是通過數(shù)學(xué)方法來產(chǎn)生的。公開密鑰算法的安全性是依賴于某個數(shù)學(xué)問題很難解決的基礎(chǔ)上。2．公私鑰加解密舉例設(shè)若甲有一份需保密的數(shù)字商業(yè)合同發(fā)給乙簽署。經(jīng)過如下步驟：（1）

甲用乙的公鑰對合同加密。

（2）

密文從甲發(fā)送到乙。

（3）乙收到密文，并用自己的私鑰對其解密。

（4）

解密正確，經(jīng)閱讀，乙用自己的私鑰對合同進(jìn)行簽署。（5）乙用甲的公鑰對已經(jīng)簽署的合同進(jìn)行加密。（6）

乙將密文發(fā)給甲。（7）甲用自己的私鑰將已簽署合同解密。（8）

解密正確，確認(rèn)簽署。6.2.4對稱加密體制與公開密鑰體制比較1．對稱算法

（1）在對稱算法體制中，如果有N個成員，就需要N（N-1）/2個密鑰，這巨大的密鑰量給密鑰的分配和安全管理帶來了困難。

（2）在對稱算法體制中，知道了加密過程可以很容易推導(dǎo)出解密過程，知道了加密密鑰就等于知道了解密密鑰，可以用簡單的方法隨機產(chǎn)生密鑰。（3）多數(shù)對稱算法不是建立在嚴(yán)格意義的數(shù)學(xué)問題上，而是基于多種“規(guī)則”和可“選擇”假設(shè)上。

（4）用對稱算法傳送信息時，通信雙方在開始通信之前必須約定使用同一密鑰，這就帶來密鑰在傳遞過程中的安全問題，所以必須建立受保護(hù)的通道來傳遞密鑰。

（5）對稱算法不能提供法律證據(jù)，不具備數(shù)字簽名功能。（6）對稱算法加密速度快，這也是對稱算法唯一的重要優(yōu)點，通常用對稱算法加密大量的明文。2．公開密鑰算法（1）在公開密鑰體制中，每個成員都有一對密鑰（pk、sk）。如果有N個成員，只需要2N個密鑰，需要的密鑰少，密鑰的分配和安全管理相對要容易一些。（2）知道加密過程不能推導(dǎo)出解密過程，不能從pk推導(dǎo)出sk，或從sk推導(dǎo)出pk?；蛘哒f如果能推導(dǎo)出來也是很難的，要花很長的時間和代價。（3）容易用數(shù)學(xué)語言描述，算法的安全性建立在已知數(shù)學(xué)問題求解困難的假設(shè)上。（4）需要一個有效的計算方法求解一對密鑰pk、sk，以確保不能從pk、sk中相互推導(dǎo)。

（5）用公開密鑰算法傳送信息時，無需在通信雙方傳遞密鑰。也就不需要建立受保護(hù)的信息通道。這是公開密鑰算法最大的優(yōu)勢，使得數(shù)字簽名和數(shù)字認(rèn)證成為可能。公開密鑰算法有著更廣闊的應(yīng)用范圍。（6）就目前來看，公開密鑰算法加密的速度要比對稱算法慢的多。一般只用公開密鑰算法加密安全要求高，信息量不大的場合。6.3數(shù)字簽名與認(rèn)證

6.3.1數(shù)字簽名概述在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問題。（1）否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過某一信息。（2）偽造，接收方偽造一份文件，并聲稱它來自某發(fā)送方的。（3）冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送信息。（4）篡改，信息在網(wǎng)絡(luò)傳輸過程中已被篡改，或接收方對收到的信息進(jìn)行篡改。用數(shù)字簽名（DigitalSignature）可以有效地解決這些問題。數(shù)字簽名就是主要用于對數(shù)字信息進(jìn)行的簽名，以防止信息被偽造或篡改等。6.3.2

單向散列函數(shù)

單向散列函數(shù)，也稱hash函數(shù)，它可以提供判斷電子信息完整性的依據(jù)，是防止信息被篡改的一種有效方法。單向散列函數(shù)在數(shù)據(jù)加密、數(shù)據(jù)簽名和軟件保護(hù)等領(lǐng)域中有著廣泛的應(yīng)用。1．單向散列函數(shù)特點

hash函數(shù)的作用是當(dāng)向hash函數(shù)輸入一任意長度的的信息M時，hash函數(shù)將輸出一固定長度為m的散列值h。即：

h=h（M）2．MD5算法在對輸入的明文初始化之后，MD5是按每組512位為一組來處理輸入的信息，每一分組又被劃分為16個32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個32位分組組成，把這四個32位分組串聯(lián)（級聯(lián)）后將生成一個128位散列值。6.3.3Kerberos身份驗證

1．什么是KerberosKerberos是一種網(wǎng)絡(luò)身份驗證協(xié)議，Kerberos要解決的問題是：在一個開放的分布式網(wǎng)絡(luò)環(huán)境中，如果工作站上的用戶希望訪問分布在網(wǎng)絡(luò)中服務(wù)器上的服務(wù)和數(shù)據(jù)時，我們希望服務(wù)器能對服務(wù)請求進(jìn)行鑒別，并限制非授權(quán)用戶的訪問。在分布式網(wǎng)絡(luò)環(huán)境下，可能存在以下三種威脅：（1）用戶可能訪問某個特定工作站，并偽裝成該工作站的用戶；

（2）用戶可能會更改工作站的網(wǎng)絡(luò)地址，偽裝成其他工作站；（3）用戶可能竊聽報文交換過程，并使用重放攻擊來獲得進(jìn)入服務(wù)器或中斷進(jìn)行的操作。6.3.4公開密鑰基礎(chǔ)設(shè)施PKI

PKI就是通過使用公開密鑰技術(shù)和數(shù)字證書來提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施，是在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證、證書認(rèn)證CA（CertificateAuthority）、數(shù)字證書、數(shù)字簽名等服務(wù)。PKI基本組成：

PKI至少具有認(rèn)證機構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)五個基本系統(tǒng)，構(gòu)建PKI也將圍繞這五大系統(tǒng)來構(gòu)建。1．認(rèn)證機構(gòu)CA2．?dāng)?shù)字證書庫3．密鑰備份及恢復(fù)4．證書作廢處理系統(tǒng)5．密鑰和證書的更新6．證書歷史檔案7．PKI應(yīng)用接口6.4計算機病毒

6.4.1計算機病毒的概述1．計算機病毒的定義

《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》對病毒定義表明了計算機病毒就是具有破壞性的計算機程序。2．計算機病毒的特征（1）破壞性。（2）隱蔽性。（3）傳染性。計算機病毒的破壞性、隱蔽性、傳染性是計算機病毒的基本特征。（4）潛伏性。（5）可觸發(fā)性。（6）不可預(yù)見性。3．計算機病毒的產(chǎn)生原因（1）軟件產(chǎn)品的脆弱性是產(chǎn)生計算機病毒根本的技術(shù)原因。（2）社會因素是產(chǎn)生計算機病毒的土壤。4．計算機病毒的傳播途徑計算機病毒主要是通過復(fù)制文件、發(fā)送文件、運行程序等操作傳播的。通常有以下幾種傳播途徑：

（1）移動存儲設(shè)備。（2）網(wǎng)絡(luò)。5．計算機病毒的分類我們把計算機病毒大致歸結(jié)為7種類型。（1）

引導(dǎo)型病毒。（2）文件型病毒。（3）宏病毒。（4）蠕蟲病毒。（5）特洛伊木馬型病毒。（6）網(wǎng)頁病毒。（7）混合型病毒。6．計算機病毒的表現(xiàn)現(xiàn)象

（1）平時運行正常的計算機突然經(jīng)常性無緣無故地死機。（2）運行速度明顯變慢。（3）打印和通訊發(fā)生異常。（4）系統(tǒng)文件的時間、日期、大小發(fā)生變化。（5）磁盤空間迅速減少。（6）收到陌生人發(fā)來的電子郵件。（7）自動鏈接到一些陌生的網(wǎng)站。（8）計算機不識別硬盤。（9）操作系統(tǒng)無法正常啟動。（10）部分文檔丟失或被破壞。（11）網(wǎng)絡(luò)癱瘓。6.4.2計算機病毒制作技術(shù)

1．采用自加密技術(shù)2．采用變形技術(shù)3．采用特殊的隱形技術(shù)4．對抗計算機病毒防范系統(tǒng)5．反跟蹤技術(shù)6．利用中斷處理機制6.5網(wǎng)絡(luò)安全協(xié)議

6.5.1網(wǎng)絡(luò)安全服務(wù)協(xié)議

網(wǎng)絡(luò)安全服務(wù)協(xié)議可以在不同層次上提供網(wǎng)絡(luò)安全服務(wù)。通用的解決方法是在網(wǎng)絡(luò)層使用IPSec或在TCP上實現(xiàn)安全性。6.5.2安全套接層協(xié)議SSL

SSL（SecureSocketLayer）主要用于Web的安全傳輸協(xié)議，提高應(yīng)用程序之間數(shù)據(jù)的安全性。SSL主要提供如下三種服務(wù)：（1）認(rèn)證用戶和服務(wù)器的合法性。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。（3）保護(hù)數(shù)據(jù)的完整性。6.5.3傳輸層安全協(xié)議TLS

TLS（TransportLayerSecurity）可以看成是SSL協(xié)議第3版的后繼者它的特點是以有關(guān)標(biāo)準(zhǔn)為基礎(chǔ)的開放解決方案；它使用了非專利加密算法，錯誤報告功能更強。6.5.4安全通道協(xié)議SSH

SSH是要在非安全網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登錄和其他安全網(wǎng)絡(luò)服務(wù)。使用SSH可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密和壓縮，提供一個安全的網(wǎng)絡(luò)“通道”，加快傳輸?shù)乃俣?，而且也能夠防止DNS欺騙和IP欺騙。SSH協(xié)議主要由傳輸層協(xié)議、用戶認(rèn)證協(xié)議和連接協(xié)議層三個部分組成。6.5.5安全電子交易SET

SET是在Internet上進(jìn)行在線交易的電子付款系統(tǒng)規(guī)范，它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。SET協(xié)議主要作用如下：（1）保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后經(jīng)過商家到達(dá)銀行，但是商家不能看到客戶的帳戶和密碼信息；（2）保證信息在Internet上安全傳輸，防止數(shù)據(jù)被第三方竊??；（3）解決多方認(rèn)證問題，不僅要對消費者的信用卡認(rèn)證，而且要對在線商店的信譽程度認(rèn)證，同時還有消費者、在線商店與銀行間的認(rèn)證；（4）保證了網(wǎng)上交易的實時性，使所有的支付過程都是在線的；（5）規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。6.5.6網(wǎng)際協(xié)議安全I(xiàn)PSecIPSec是一套基于加密技術(shù)的保護(hù)服務(wù)安全協(xié)議族。它采用端對端的安全保護(hù)模式，保護(hù)工作組、局域網(wǎng)計算機、域客戶和服務(wù)器、距離很遠(yuǎn)的分公司、漫游客戶以及遠(yuǎn)程管理計算機間通訊的能力。IPSec通過下列服務(wù)來保護(hù)通過公共IP網(wǎng)絡(luò)傳送的機密數(shù)據(jù)：（1）訪問控制。（2）數(shù)據(jù)源認(rèn)證。（3）有限傳輸流量的機密性。（4）無連接完整性。（5）抗重播。IPSec安全體系結(jié)構(gòu)中包括了3個最基本的協(xié)議：（1）認(rèn)證頭AH協(xié)議為IP包提供信息源認(rèn)證和完整性保證；（2）封裝安全ESP協(xié)議提供加密保證；

（3）Internet安全協(xié)會和密鑰管理ISAKMP協(xié)議提供雙方交流時的共享安全信息，它支持IPSec協(xié)議的密鑰管理需求。6.6防火墻技術(shù)

6.6.1防火墻概述防火墻在內(nèi)部網(wǎng)和Internet之間插入一個系統(tǒng)，即防火墻，用來防止各類黑客的破壞，阻斷來自外部網(wǎng)絡(luò)的威脅和入侵，扮演著防備潛在的惡意活動屏障。1．防火墻的概念防火墻是保障網(wǎng)絡(luò)安全的一個系統(tǒng)或一組系統(tǒng)，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻至少提供兩個基本的服務(wù)，即：（1）有選擇的限制外部網(wǎng)用戶對本地網(wǎng)的訪問，保護(hù)本地網(wǎng)的特定資源。（2）有選擇的限制本地網(wǎng)用戶對外地網(wǎng)的訪問。安全、管理、速度是防火墻的三大要素。2．防火墻主要功能防火墻主要功能有：（1）防止易受攻擊的服務(wù)。（2）控制訪問網(wǎng)點。（3）集中安全性管理。（4）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。（5）檢測掃描計算機的企圖。（6）防范特洛伊木馬。（7）防病毒功能。（8）支持VPN技術(shù)。（9）提供網(wǎng)絡(luò)地址翻譯NAT功能。防火墻的主要缺陷有：（1）不能防范內(nèi)部攻擊。（2）不能防范不通過防火墻的連接入侵。（3）不能自動防御所有新的威脅。3．防火墻的基本類型從概念上來講，可以將防火墻分成兩種基本類型的防火墻：（1）網(wǎng)絡(luò)層防火墻。

（2）應(yīng)用層防火墻。6.6.2防火墻的體系結(jié)構(gòu)

1．篩選路由器結(jié)構(gòu)2．雙宿主主機結(jié)構(gòu)3．屏蔽主機網(wǎng)關(guān)結(jié)構(gòu)4．屏蔽子網(wǎng)結(jié)構(gòu)6.6.3防火墻技術(shù)

1．包過濾技術(shù)2．代理服務(wù)技術(shù)3．電路層網(wǎng)關(guān)技術(shù)4．狀態(tài)檢測技術(shù)6.7入侵檢測技術(shù)

6.7.1入侵檢測系統(tǒng)概述1．什么是入侵檢測入侵檢測是指對入侵行為的發(fā)現(xiàn)、報警和響應(yīng)，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息，并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。2．入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)能主動發(fā)現(xiàn)網(wǎng)絡(luò)中正在進(jìn)行的針對被保護(hù)目標(biāo)的惡意濫用或非法入侵，并能采取相應(yīng)的措施及時中止這些危害，如提示報警、阻斷連接、通知網(wǎng)管等。6.7.2入侵檢測一般步驟

1．入侵?jǐn)?shù)據(jù)提取

（1）系統(tǒng)和網(wǎng)絡(luò)日志；

（2）目錄和文件中的的改變；

（3）程序執(zhí)行中的不期望行為；

（4）物理形式的入侵信息。2．入侵?jǐn)?shù)據(jù)分析3．入侵事件響應(yīng)6.7.3入侵檢測系統(tǒng)分類

1．根據(jù)系統(tǒng)所檢測的對象分類

（1）基于主機的入侵檢測系統(tǒng)（HIDS）。

（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）。

（3）基于應(yīng)用的入侵檢測系統(tǒng)（AIDS）。2．根據(jù)數(shù)據(jù)分析方法分類（