數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全

第8章網(wǎng)絡(luò)安全數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第1頁(yè)。本章提要網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)防火墻技術(shù)（重點(diǎn)）計(jì)算機(jī)病毒防范技術(shù)（重點(diǎn)）數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第2頁(yè)。8.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全的主要特性交換機(jī)網(wǎng)絡(luò)安全系統(tǒng)功能數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第3頁(yè)。1.網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義上，凡是涉及網(wǎng)絡(luò)上信息的安全性、完整性、可用性、真實(shí)性和可控性的相關(guān)理論和技術(shù)都是網(wǎng)絡(luò)信息安全要研究的領(lǐng)域。狹義的網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)上信息內(nèi)容的安全性，即保護(hù)信息的秘密性、真實(shí)性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙和盜用等有損合法用戶利益的行為,保護(hù)合法用戶的利益和隱私。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第4頁(yè)。2.網(wǎng)絡(luò)安全的主要特性1.保密性

信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。

2.完整性據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。3.可用性可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。4.可控性可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力。5.不可否認(rèn)性網(wǎng)絡(luò)通信雙方在信息交互過(guò)程種，確信參與者本身以及參與者所提供的信息的真實(shí)同一性，及所有參與者都不可能否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第5頁(yè)。3.網(wǎng)絡(luò)安全系統(tǒng)功能身份認(rèn)證認(rèn)證就是識(shí)別和證實(shí)，是驗(yàn)證通信雙方身份的有效手段，它對(duì)于開放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。用戶向系統(tǒng)請(qǐng)求服務(wù)時(shí)，要出示自己的身份證明，如輸入(UserID和Password)等。而系統(tǒng)應(yīng)具備查驗(yàn)用戶身份證明的能力，對(duì)于用戶的輸入，能夠明確判斷該用戶是否來(lái)自合法用戶。訪問(wèn)控制訪問(wèn)控制是針對(duì)越權(quán)使用的防御措施，其基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)以及防止合法用戶對(duì)系統(tǒng)資源的非法使用。在開放系統(tǒng)中，對(duì)網(wǎng)絡(luò)資源的使用應(yīng)制定一些規(guī)則，包括用戶可以訪問(wèn)的資源和可以訪問(wèn)用戶各自具備的讀、寫和其他操作的權(quán)限。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第6頁(yè)。3.網(wǎng)絡(luò)安全系統(tǒng)功能數(shù)據(jù)完整性數(shù)據(jù)完整性是針對(duì)非法的篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施，以保證資源可獲得性。數(shù)據(jù)完整性服務(wù)可以保證信息流、單個(gè)信息或信息中指定的字段，保證接收方所接收的信息與發(fā)送方的信息是一致的，在傳送過(guò)程中沒(méi)有被復(fù)制、插入、刪除等對(duì)信息進(jìn)行破壞的行為。數(shù)據(jù)完整性服務(wù)又可分為恢復(fù)和無(wú)恢復(fù)兩類。數(shù)據(jù)保密性數(shù)據(jù)保密性是針對(duì)信息泄露的防御措施，它可分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務(wù)流保密等。保密性服務(wù)是為了防止被攻擊而對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行保護(hù)。根據(jù)傳送的信息的安全要求不同，選擇不同的保密級(jí)別。最廣泛的服務(wù)是保護(hù)兩個(gè)用戶之間在一段時(shí)間內(nèi)傳送的所有用戶數(shù)據(jù)，同時(shí)也可以對(duì)某個(gè)信息中的特定域進(jìn)行保護(hù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第7頁(yè)。3.網(wǎng)絡(luò)安全系統(tǒng)功能防抵賴防抵賴是針對(duì)對(duì)方進(jìn)行抵賴的訪問(wèn)措施,用來(lái)保證收發(fā)雙方不能對(duì)已發(fā)送或已接收的信息子以否認(rèn),一旦出現(xiàn)發(fā)送方對(duì)發(fā)送信息的過(guò)程予以否認(rèn),或接收方對(duì)已接收的信息予以否認(rèn)時(shí),防抵賴服務(wù)提供記錄,說(shuō)明否認(rèn)方是錯(cuò)誤的。防抵賴服務(wù)對(duì)電子商務(wù)活動(dòng)是非常有用的。密鑰管理密鑰管理是以密文方式在相對(duì)安全的信道上傳遞信息,可以讓用戶比較放心地使用網(wǎng)絡(luò),如果密鑰泄露或居心不良者通過(guò)積累大量密文而增加密文的破譯機(jī)會(huì),就會(huì)對(duì)通信安全造成威脅。為對(duì)密鑰的產(chǎn)生、存儲(chǔ)、傳遞和定期更換進(jìn)行有效的控制而引入密鑰管理機(jī)制,對(duì)增加網(wǎng)絡(luò)的安全性和抗攻擊性非常重要。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第8頁(yè)。3.網(wǎng)絡(luò)安全系統(tǒng)功能攻擊監(jiān)控通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等)。檢查安全漏洞通過(guò)對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無(wú)效。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第9頁(yè)。8.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)應(yīng)用計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分主要有兩種一種是依據(jù)美國(guó)國(guó)防部發(fā)布的評(píng)估計(jì)算機(jī)系統(tǒng)安全等級(jí)的桔皮書，將計(jì)算機(jī)安全等級(jí)劃分為4類8級(jí)，即A2、A1、B3、B2、B1、C2、C1、D；另一種是依據(jù)我國(guó)頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859—1999），將計(jì)算機(jī)安全等級(jí)劃分為5級(jí)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第10頁(yè)。8.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)我國(guó)的信息系統(tǒng)的安全保護(hù)等級(jí)劃分如下：第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全，國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第11頁(yè)。8.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)第四級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)：信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重的損害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第12頁(yè)。8.3防火墻技術(shù)防火墻技術(shù)最初是針對(duì)Internet不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第13頁(yè)。1.防火墻基本概念防火墻(Firewall)是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域(securityzone)之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻結(jié)構(gòu)示意圖數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第14頁(yè)。1.防火墻基本概念在2015年我國(guó)發(fā)布的編號(hào)為GB/T20281—2015國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》中對(duì)防火墻的定義為“部署于不同安全域之間，具備網(wǎng)絡(luò)層訪問(wèn)控制及過(guò)濾功能，并具備應(yīng)用層協(xié)議分析、控制及內(nèi)容檢測(cè)等功能，能夠適用于IPv4、IPv6等不同的網(wǎng)絡(luò)環(huán)境的安全網(wǎng)關(guān)產(chǎn)品”。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第15頁(yè)。2.防火墻的作用防火墻的主要作用通常包括以下幾點(diǎn)：1.提供基礎(chǔ)組網(wǎng)和防護(hù)功能防火墻能夠滿足企業(yè)環(huán)境的基礎(chǔ)組網(wǎng)和基本的攻擊防御需求。2.記錄和監(jiān)控網(wǎng)絡(luò)存取與訪問(wèn)作為單一的網(wǎng)絡(luò)接入點(diǎn)，所有進(jìn)出信息都必須通過(guò)防火墻，所以防火墻可以收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息并做出日志記錄。3.限定內(nèi)部用戶訪問(wèn)特殊站點(diǎn)防火墻通過(guò)用戶身份認(rèn)證(如IP地址等)來(lái)確定合法用戶，并通過(guò)事先確定的完全檢查策略來(lái)決定內(nèi)部用戶可以使用的服務(wù)以及可以訪問(wèn)的網(wǎng)站。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第16頁(yè)。2.防火墻的作用4.限制暴露用戶點(diǎn)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)網(wǎng)絡(luò)中網(wǎng)段的隔離，防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響，同時(shí)保護(hù)一個(gè)網(wǎng)段不受來(lái)自網(wǎng)絡(luò)內(nèi)部其他網(wǎng)段的攻擊,保障網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。5.網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的邏輯地址來(lái)緩解地址空間短缺的問(wèn)題，并消除在變換ISP（InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商）時(shí)帶來(lái)的重新編址的麻煩。6.虛擬專用網(wǎng)防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系——虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）。通過(guò)VPN將企事業(yè)單位在地域上分布在世界各地的局域網(wǎng)或?qū)Ｓ米泳W(wǎng)有機(jī)聯(lián)成一個(gè)整體。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第17頁(yè)。3.防火墻的主要類型網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器,運(yùn)作在底層的TCP/IP協(xié)議堆棧上。可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改,不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。網(wǎng)絡(luò)層防火墻也稱為數(shù)據(jù)包過(guò)濾（PacketFiltering）防火墻。該技術(shù)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第18頁(yè)。3.防火墻的主要類型網(wǎng)絡(luò)層防火墻數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有兩個(gè)：一是非法訪問(wèn)，一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。防火墻規(guī)則也能從另一種較寬松的角度來(lái)制定，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，如來(lái)源IP地址、來(lái)源端口號(hào)、目的IP地址或端口號(hào)、服務(wù)類型(如HTTP或是FTP)，也能經(jīng)由通信協(xié)議、TTL值、來(lái)源的網(wǎng)域名稱或網(wǎng)段等屬性來(lái)進(jìn)行過(guò)濾。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第19頁(yè)。3.防火墻的主要類型應(yīng)用層防火墻應(yīng)用層防火墻工作在TCP/IP堆棧的“應(yīng)用層”，應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。應(yīng)用層防火墻也稱為應(yīng)用層代理服務(wù)器防火墻或應(yīng)用層網(wǎng)關(guān)，防火墻在數(shù)據(jù)包流入和流出兩種方向上都有“代理服務(wù)器”的能力，這樣它就可以保護(hù)主體和客體，防止其直接聯(lián)系。代理服務(wù)器可以在其中進(jìn)行協(xié)調(diào)，這樣它就可以過(guò)濾和管理訪問(wèn)，也可以管理主體和客體發(fā)出和接收的內(nèi)容。這種方法可以通過(guò)以各種方式集成到現(xiàn)有目錄而實(shí)現(xiàn)，如用戶和用戶組訪問(wèn)的LDAP。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第20頁(yè)。3.防火墻的主要類型數(shù)據(jù)庫(kù)防火墻數(shù)據(jù)庫(kù)防火墻系統(tǒng)串聯(lián)部署在數(shù)據(jù)庫(kù)服務(wù)器之前，解決數(shù)據(jù)庫(kù)應(yīng)用側(cè)和運(yùn)維側(cè)兩方面的問(wèn)題，是一款基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)。基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。數(shù)據(jù)庫(kù)防火墻技術(shù)部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間。用戶必須通過(guò)該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)或管理。數(shù)據(jù)庫(kù)防火墻所采用的主動(dòng)防御技術(shù)能夠主動(dòng)實(shí)時(shí)監(jiān)控、識(shí)別、告警、阻擋繞過(guò)企業(yè)網(wǎng)絡(luò)邊界（Firewall、IDS/IPS等）防護(hù)的外部數(shù)據(jù)攻擊、來(lái)自于內(nèi)部的高權(quán)限用戶(DBA、開發(fā)人員、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取、破壞、損壞等,從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面,提供一種主動(dòng)安全防御措施,并且,結(jié)合獨(dú)立于數(shù)據(jù)庫(kù)的安全訪問(wèn)控制規(guī)則,幫助用戶應(yīng)對(duì)來(lái)自內(nèi)部和外部的數(shù)據(jù)安全威脅。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第21頁(yè)。4.防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)有三種：雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第22頁(yè)。4.防火墻的體系結(jié)構(gòu)雙宿/多宿主機(jī)體系結(jié)構(gòu)雙宿/多宿主機(jī)體系結(jié)構(gòu)防火墻（Dual-Homed/Multi-HomedFirewall）又稱為雙宿/多宿防火墻，它是一種擁有至少具有兩個(gè)網(wǎng)絡(luò)接口，連接到不同網(wǎng)絡(luò)上的防火墻。它是由雙宿/多宿主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第23頁(yè)。4.防火墻的體系結(jié)構(gòu)

雙宿/多宿主機(jī)體系結(jié)構(gòu)雙宿/多宿主機(jī)體系結(jié)構(gòu)防火墻位于內(nèi)外網(wǎng)絡(luò)之間，阻止內(nèi)外網(wǎng)絡(luò)之間的IP通信，禁止一個(gè)網(wǎng)絡(luò)將數(shù)據(jù)包發(fā)往另一個(gè)網(wǎng)絡(luò)。兩個(gè)網(wǎng)絡(luò)之間的通信通過(guò)應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法來(lái)實(shí)現(xiàn)，一般情況下都會(huì)在上面使用代理服務(wù)器，內(nèi)網(wǎng)計(jì)算機(jī)想要訪問(wèn)外網(wǎng)的時(shí)候，必需先經(jīng)過(guò)代理服務(wù)器的驗(yàn)證。這種體系結(jié)構(gòu)是存在漏洞的，比如雙重宿主主機(jī)是整個(gè)網(wǎng)絡(luò)的屏障，一旦被黑客攻破，那么內(nèi)部網(wǎng)絡(luò)就會(huì)對(duì)攻擊者敞開大門，所以一般雙重宿主機(jī)會(huì)要求有強(qiáng)大的身份驗(yàn)證系統(tǒng)來(lái)阻止外部非法登陸的可能性。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第24頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)內(nèi)部、外部網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第25頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)防火墻由過(guò)濾路由器和堡壘主機(jī)構(gòu)成，防火墻會(huì)強(qiáng)迫所有外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的連接全部通過(guò)包過(guò)濾路由器和堡壘主機(jī)，堡壘主機(jī)就相當(dāng)于是一個(gè)代理服務(wù)器，也就是說(shuō)，包過(guò)濾路由器提供了網(wǎng)絡(luò)層和傳輸層的安全，堡壘主機(jī)提供了應(yīng)用層的安全，路由器的安全配置使得外網(wǎng)系統(tǒng)只能訪問(wèn)到堡壘主機(jī)，這個(gè)過(guò)程中，包過(guò)濾路由器是否正確配置和路由表是否收到安全保護(hù)是這個(gè)體系安全程度的關(guān)鍵，如果路由表被更改，指向堡壘主機(jī)的路由記錄被刪除，那么外部入侵者就可以直接連入內(nèi)網(wǎng)。。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第26頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)的優(yōu)點(diǎn)（1）屏蔽主機(jī)體系結(jié)構(gòu)比雙宿/多宿主機(jī)體系結(jié)構(gòu)具有更高的安全特性。（2）內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外部網(wǎng)絡(luò)較為方便、靈活，在被屏蔽路由器和堡壘主機(jī)不允許內(nèi)部用戶直接訪問(wèn)外部網(wǎng)絡(luò)，則用戶通過(guò)堡壘主機(jī)提供的代理服務(wù)訪問(wèn)外部資源。（3）由于堡壘主機(jī)和屏蔽路由器同時(shí)存在，使得堡壘主機(jī)可以從部分安全事務(wù)中解脫出來(lái)，從而可以以更高的效率提供數(shù)據(jù)包過(guò)濾或代理服務(wù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第27頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)是最安全的防火墻體系結(jié)構(gòu)，本質(zhì)上同屏蔽主機(jī)防火墻一樣，但增加了一層保護(hù)體系——周邊網(wǎng)絡(luò)（DMZ）。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部屏蔽路由器分開。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第28頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)

主要由4個(gè)部件組成，分別為周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機(jī)。與屏蔽主機(jī)體系結(jié)構(gòu)相比，它多了一層防護(hù)體系就是周邊網(wǎng)絡(luò)（DMZ），周邊網(wǎng)絡(luò)相當(dāng)于是一個(gè)防護(hù)層介于外網(wǎng)和內(nèi)網(wǎng)之間，周邊網(wǎng)絡(luò)內(nèi)經(jīng)常放置堡壘主機(jī)和對(duì)外開放的應(yīng)用服務(wù)器，比如web服務(wù)器。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第29頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)周邊網(wǎng)絡(luò)也稱為“停火區(qū)”或“非軍事區(qū)”（DeMilitarisedZone，DMZ），通過(guò)DMZ網(wǎng)絡(luò)直接進(jìn)行信息傳輸是被嚴(yán)格禁止的，外網(wǎng)路由器負(fù)責(zé)管理外部網(wǎng)到DMZ網(wǎng)絡(luò)的訪問(wèn)，為了保護(hù)內(nèi)部網(wǎng)的主機(jī)，DMZ只允許外部網(wǎng)絡(luò)訪問(wèn)堡壘主機(jī)和應(yīng)用服務(wù)器，把入站的數(shù)據(jù)包路由到堡壘主機(jī)。不允許外部網(wǎng)絡(luò)訪問(wèn)內(nèi)網(wǎng)。內(nèi)部路由器可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)侵害，內(nèi)部路由器只允許內(nèi)部網(wǎng)絡(luò)訪問(wèn)堡壘主機(jī)，然后通過(guò)堡壘主機(jī)的代理服務(wù)器來(lái)訪問(wèn)外網(wǎng)。外部路由器在DMZ向外網(wǎng)的方向只接受由堡壘主機(jī)向外網(wǎng)的連接請(qǐng)求。在屏蔽子網(wǎng)體系結(jié)構(gòu)中，堡壘主機(jī)位于周邊網(wǎng)絡(luò)，為整個(gè)防御系統(tǒng)的核心，堡壘主機(jī)運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)，比如各種代理服務(wù)器程序，如果堡壘主機(jī)遭到入侵，那么有內(nèi)部路由器的保護(hù)，可以使得其不能進(jìn)入內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第30頁(yè)。4.防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)的優(yōu)點(diǎn)：（1）由外部路由器和內(nèi)部路由器構(gòu)成了雙層防護(hù)體系，入侵者難以突破。（2）外部用戶訪問(wèn)服務(wù)資源時(shí)無(wú)需進(jìn)入內(nèi)部網(wǎng)絡(luò)，在保證服務(wù)的情況下提高了內(nèi)部網(wǎng)絡(luò)安全性。（3）外部路由器和內(nèi)部路由器上的過(guò)濾規(guī)則復(fù)制避免了路由器失效產(chǎn)生的安全隱患。（4）堡壘主機(jī)由外部路由器的過(guò)濾規(guī)則和本機(jī)安全機(jī)制共同防護(hù)，用戶只能訪問(wèn)堡壘主機(jī)提供的服務(wù)。（5）即使入侵者通過(guò)堡壘主機(jī)提供服務(wù)中的缺陷控制了堡壘主機(jī)，由于內(nèi)部防火墻將內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)隔離，入侵者也無(wú)法通過(guò)監(jiān)聽周邊網(wǎng)絡(luò)獲取內(nèi)部網(wǎng)絡(luò)信息。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第31頁(yè)。8.4計(jì)算機(jī)病毒防范技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，也給計(jì)算機(jī)病毒增加了新的傳播途徑。計(jì)算機(jī)網(wǎng)絡(luò)正逐漸成為病毒傳播的首要途徑，同時(shí)也出現(xiàn)了大量的網(wǎng)絡(luò)病毒，如何防止計(jì)算機(jī)病毒的入侵并保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，已經(jīng)成為人們面臨的一項(xiàng)重要而緊迫的任務(wù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第32頁(yè)。1.計(jì)算機(jī)病毒的概述計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段代碼一旦進(jìn)入計(jì)算機(jī)系統(tǒng)并得以執(zhí)行，它就會(huì)搜尋符合其感染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我復(fù)制的目的?！吨腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，對(duì)計(jì)算機(jī)病毒所做的定義是：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！边@個(gè)定義具有法律性和權(quán)威性。自從1987年發(fā)現(xiàn)第1例計(jì)算機(jī)病毒以來(lái)，計(jì)算機(jī)病毒的發(fā)展經(jīng)歷了以下幾個(gè)主要階段：DOS引導(dǎo)階段、DOS可執(zhí)行文件階段、網(wǎng)絡(luò)及蠕蟲階段、視窗階段、宏病毒階段和互聯(lián)網(wǎng)階段。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第33頁(yè)。1.計(jì)算機(jī)病毒的概述計(jì)算機(jī)病毒的特征任何計(jì)算機(jī)病毒都是人為制造的具有一定破壞性的程序。它們與生物病毒不同，但也有相似之處。概括起來(lái)，計(jì)算機(jī)病毒具有傳染性、主動(dòng)性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等主要特征。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第34頁(yè)。1.計(jì)算機(jī)病毒的概述計(jì)算機(jī)病毒的特征（1）傳染性傳染性是病毒的基本特征。設(shè)計(jì)者總是希望病毒能夠感染更多的程序、計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)，以達(dá)到最大的侵害目的。（2）主動(dòng)性病毒程序是為了侵害他人的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)。（3）潛伏性計(jì)算機(jī)病毒具有依附于其他程序的能力，所以計(jì)算機(jī)病毒具有寄生能力。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第35頁(yè)。1.計(jì)算機(jī)病毒的概述（4）隱蔽性計(jì)算機(jī)病毒往往會(huì)借助各種技巧來(lái)隱藏自己的行蹤，保護(hù)自己，從而做到在被發(fā)現(xiàn)及清除之前，能夠在更廣泛的范圍內(nèi)進(jìn)行傳染和傳播，期待發(fā)作時(shí)可以造成更大的破壞性。（5）破壞性破壞性是計(jì)算機(jī)病毒的目的。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)和應(yīng)用程序產(chǎn)生不同程度的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源；重者可導(dǎo)致系統(tǒng)癱瘓。（6）可觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件，當(dāng)滿足該觸發(fā)條件后計(jì)算機(jī)病毒便會(huì)開始發(fā)作。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第36頁(yè)。2.計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類方法主要有以下幾種。1.按照計(jì)算機(jī)病毒攻擊的機(jī)型分類根據(jù)病毒攻擊的機(jī)型可分為攻擊微型計(jì)算機(jī)的病毒、攻擊工作站的病毒、攻擊小型計(jì)算機(jī)的病毒、攻擊中、大型計(jì)算機(jī)的病毒。2.按照計(jì)算機(jī)病毒攻擊的操作系統(tǒng)分類根據(jù)計(jì)算機(jī)病毒攻擊的操作系統(tǒng)可分為攻擊DOS系統(tǒng)的病毒、攻擊Windows系統(tǒng)的病毒、攻擊UNIX系統(tǒng)的病毒、攻擊OS/2系統(tǒng)的病毒、攻擊Macintosh系統(tǒng)的病毒以及其它操作系統(tǒng)上的病毒（如手機(jī)病毒、PDA病毒等）。3.按照計(jì)算機(jī)病毒的鏈接方式分類根據(jù)計(jì)算機(jī)病毒的鏈接方式可分為源碼型病毒、嵌入型病毒、外殼(Shell)型病毒和操作系統(tǒng)型病毒四種。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第37頁(yè)。2.計(jì)算機(jī)病毒的分類4.按照計(jì)算機(jī)病毒的傳播媒介分類根據(jù)病毒的傳播媒介可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。5.按照病毒的破壞情況分類根據(jù)病毒的破壞情況可分為良性病毒和惡性病毒。良性和惡性是相比較而言的，不可輕視任何一種病毒對(duì)計(jì)算機(jī)系統(tǒng)造成的損害。6.按照病毒的寄生對(duì)象方式分類根據(jù)病毒的寄生對(duì)象方式可分為引導(dǎo)型病毒、文件型病毒、混合型病毒。7.按照病毒的駐留方式分類根據(jù)病毒的駐留方式可分為駐留內(nèi)存型和不駐留內(nèi)存型。8.按廣義病毒概念分類蠕蟲(worm)、邏輯炸彈(logicbomb)、特洛伊木馬(TrojanHorse)、陷門、細(xì)菌(Germ)數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第38頁(yè)。3.計(jì)算機(jī)病毒的入侵途徑計(jì)算機(jī)病毒進(jìn)入系統(tǒng)傳播主要有以下幾種途徑。1.不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備這些設(shè)備通常有計(jì)算機(jī)的專用ASIC芯片和硬盤等。這種病毒雖然極少但破壞力極強(qiáng)，目前尚無(wú)較好的檢測(cè)手段對(duì)付。2.可移動(dòng)的存儲(chǔ)設(shè)備如U盤、CD、軟盤、移動(dòng)硬盤等都可以是傳播病毒的路徑，3.網(wǎng)絡(luò)將網(wǎng)絡(luò)上帶有病毒的文件、郵件下載或接收后打開或運(yùn)行時(shí)，病毒就會(huì)擴(kuò)散到網(wǎng)絡(luò)中的計(jì)算機(jī)上。4.通信系統(tǒng)通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通信信道也可傳播計(jì)算機(jī)病毒。目前出現(xiàn)的手機(jī)病毒就是利用無(wú)線信道傳播的。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第39頁(yè)。4.計(jì)算機(jī)病毒的清除計(jì)算機(jī)病毒的清除（殺毒）是指將感染病毒的文件中的病毒模塊摘除，并使之恢復(fù)為可以正常使用的文件的過(guò)程。病毒的清除原理（1）引導(dǎo)型病毒的清除引導(dǎo)型病毒的物理載體是磁盤。消除這類計(jì)算機(jī)病毒的基本思想是：用原來(lái)正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第40頁(yè)。4.計(jì)算機(jī)病毒的清除（2）文件型病毒的清除覆蓋型文件病毒是一種破壞型病毒，由于該病毒硬性地覆蓋掉了一部分宿主程序，使宿主程序被破壞，即使把病毒殺掉，程序也已經(jīng)不能修復(fù)。對(duì)覆蓋型的文件只能將其徹底刪除，沒(méi)有挽救原來(lái)文件的余地。如果沒(méi)有備份，將造成很大的損失。（3）清除交叉感染病毒有時(shí)一臺(tái)計(jì)算機(jī)內(nèi)同時(shí)潛伏著幾種病毒，當(dāng)一個(gè)健康程序在這個(gè)計(jì)算機(jī)上運(yùn)行時(shí)，會(huì)感染多種病毒，引起交叉感染。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第41頁(yè)。4.計(jì)算機(jī)病毒的清除染毒后采取的措施

當(dāng)系統(tǒng)感染病毒后，應(yīng)立即采取以下措施進(jìn)行處理，以恢復(fù)系統(tǒng)或受損部分。（1）隔離

當(dāng)計(jì)算機(jī)感染病毒后，可將其與其他計(jì)算機(jī)進(jìn)行隔離，避免相互復(fù)制和通信。當(dāng)網(wǎng)絡(luò)中某節(jié)點(diǎn)感染病毒后，網(wǎng)絡(luò)管理員必須立即切斷該節(jié)點(diǎn)與網(wǎng)絡(luò)的連接，以避免病毒擴(kuò)散到整個(gè)網(wǎng)絡(luò)。（2）報(bào)警

病毒感染點(diǎn)被隔離后，要立即向網(wǎng)絡(luò)系統(tǒng)安全管理人員報(bào)警。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第42頁(yè)。4.計(jì)算機(jī)病毒的清除（3）查毒源接到報(bào)警后，系統(tǒng)安全管理人員可使用相應(yīng)的防病毒系統(tǒng)鑒別受感染的機(jī)器和用戶，檢查那些經(jīng)常引起病毒感染的節(jié)點(diǎn)和用戶，并查找病毒的來(lái)源。（4）采取應(yīng)對(duì)方法和對(duì)策系統(tǒng)安全管理人員要對(duì)病毒的破壞程度進(jìn)行分析檢查，并根據(jù)需要采取有效的病毒清除方法和對(duì)策。（5）修復(fù)前備份數(shù)據(jù)

在對(duì)病毒進(jìn)行清除前，盡可能將重要的數(shù)據(jù)文件備份，以防在使用防病毒軟件或其他清除工具查殺病毒時(shí)，破壞重要數(shù)據(jù)文件。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第43頁(yè)。4.計(jì)算機(jī)病毒的清除（6）清除病毒

重要數(shù)據(jù)備份后，運(yùn)行查殺病毒軟件，并對(duì)相關(guān)系統(tǒng)進(jìn)行掃描。發(fā)現(xiàn)有病毒，立即清除。若可執(zhí)行文件中的病毒不能清除，應(yīng)將其刪除，然后再安裝相應(yīng)的程序，（7）重啟和恢復(fù)

病毒被清除后，重新啟動(dòng)計(jì)算機(jī)，再次用防病毒軟件檢測(cè)系統(tǒng)中是否還有病毒，并將被破壞的數(shù)據(jù)進(jìn)行恢復(fù)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第44頁(yè)。5.計(jì)算機(jī)病毒的防治

計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全體系的一部分，應(yīng)該與防黑客和災(zāi)難恢復(fù)等方面綜合考慮形成一整套安全體制。防病毒軟件、防火墻技術(shù)、入侵檢測(cè)技術(shù)等相互協(xié)調(diào)形成一整套的解決方案，才是最有效的網(wǎng)絡(luò)安全。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第45頁(yè)。5.計(jì)算機(jī)病毒的防治用戶病毒防范措施（1）安裝殺毒軟件和個(gè)人防火墻安裝正版的殺毒軟件，并注意及時(shí)升級(jí)病毒庫(kù)，定期對(duì)計(jì)算機(jī)進(jìn)行查毒殺毒，每次使用外來(lái)磁盤前也應(yīng)對(duì)磁盤進(jìn)行殺毒。正確設(shè)置防火墻規(guī)則，預(yù)防黑客入侵，防止木馬盜取機(jī)密信息。（2）禁用預(yù)覽窗口功能電子郵件客戶端程序大都允許用戶不打開郵件直接預(yù)覽。由于預(yù)覽窗口具有執(zhí)行腳本的能力，某些病毒只需預(yù)覽就能夠發(fā)作，所以應(yīng)該禁止預(yù)覽窗口功能。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第46頁(yè)。5.計(jì)算機(jī)病毒的防治（3）不要隨便下載文件不要隨便登錄不明網(wǎng)站，有些網(wǎng)站缺乏正規(guī)管理，很容易成為病毒傳播的源頭。下載軟件應(yīng)選擇正規(guī)的網(wǎng)站，下載后應(yīng)立即進(jìn)行病毒檢測(cè)。（4）備好啟動(dòng)盤，并設(shè)置寫保護(hù)在對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行檢查、修復(fù)和手工殺毒時(shí)，通常要使用無(wú)毒的啟動(dòng)盤，使設(shè)備在較為干凈的環(huán)境下進(jìn)行操作。同時(shí)，盡量不用U盤、移動(dòng)硬盤或其他移動(dòng)存儲(chǔ)設(shè)備啟動(dòng)計(jì)算機(jī)，而用本地硬盤啟動(dòng)。數(shù)據(jù)通信與網(wǎng)絡(luò)技術(shù)-第8章-網(wǎng)絡(luò)安全全文共53頁(yè)，當(dāng)前為第47頁(yè)。5.計(jì)算機(jī)病毒的防治（5）安裝防病毒工具和軟件

為了防止病毒的入侵，一定要在計(jì)算機(jī)中安裝防病毒軟件，并選擇公認(rèn)質(zhì)量最好、升級(jí)服務(wù)最及時(shí)、能夠最迅速有效地響應(yīng)和跟蹤新病毒的防病毒