第7章電子商務(wù)的安全技術(shù)

第7章電子商務(wù)的安全技術(shù)

7.1電子商務(wù)的安全概述一

7.2網(wǎng)絡(luò)安全技術(shù)

7.3對稱密鑰密碼技術(shù)

7.4公鑰密碼技術(shù)

_7.5數(shù)字證書及數(shù)字認(rèn)證

7.6防火墻技術(shù)

7.7檢測技術(shù)

7.8病毒及其防治

7.9SET協(xié)議

7.10其他安全技術(shù)介紹

7.1電子商務(wù)的安全概述

7.1.1電子商務(wù)的安全'

1.電子商務(wù)安全從整體上可分為兩大部分：

(1)計(jì)算機(jī)網(wǎng)絡(luò)安全。包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)系統(tǒng)安全、

數(shù)據(jù)庫安全等，其特征是針對網(wǎng)絡(luò)本身可能存在的安全問題，

實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證網(wǎng)絡(luò)自身的安全性為目標(biāo)。\

(2)商務(wù)交易安全。在網(wǎng)絡(luò)安全的基礎(chǔ)上，圍繞傳統(tǒng)商務(wù)在

互聯(lián)網(wǎng)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，考慮如何保障電子商

務(wù)過程順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒

別性、不可偽造性和不可抵賴屜。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全

(1)計(jì)算機(jī)網(wǎng)絡(luò)潛在的安全問題\

①操作系統(tǒng)的安全。\

_②CGI程序代碼的審計(jì)。關(guān)鍵是那些為某些網(wǎng)站專用開發(fā)的CGI代碼。

(3)拒絕服務(wù)(DoS,DenialofService)o、

④安全產(chǎn)品使用不當(dāng)。\

⑤缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度'

(2)計(jì)算機(jī)網(wǎng)絡(luò)安全體系

一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安

全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。，

3.電子商務(wù)交易安全

交易安全是電子商務(wù)涉及到的最核心、最關(guān)鍵的安全問題

(X)電子商務(wù)的安全隱患

①竊取信息

②篡改信息

③假冒,?

④惡意破壞

⑵電子商務(wù)安全交易的要求

①信息保密性

②交易者身份的確定性

③不可否認(rèn)性

不可修改性________________

f4

(3)電子商務(wù)交易中的標(biāo)準(zhǔn)

①安全超文本傳輸協(xié)議(S-HTTP)

②安全套接層協(xié)議(SSL)。一個(gè)由Netscape提出的安全交易協(xié)議，提供

加密、認(rèn)證服務(wù)和報(bào)文的完整性，用于NetscapeCommunicator和Microsoft

IE。\

③安全交易技術(shù)協(xié)議(STT:SecureTransactionTechnology)。由Microsoft

提出，用于MicrosoftIE。\

④安全電子交易協(xié)議(SET:SecureElectronicTransaction)。其主要目

標(biāo)是保障付款安全，確定應(yīng)用的互通性，并使全球市場接受。'

3.主要的安全技術(shù)

⑴虛擬專用網(wǎng)(VPN)o

⑵數(shù)字認(rèn)證。這種技術(shù)可用電子方式證明信息發(fā)送者和接收者的身份、

文件的完整性、數(shù)據(jù)媒體的有效性。這需要有一個(gè)可信的第三方，以便

對有關(guān)數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證。

(3)加密技術(shù)。根據(jù)所用加密和解密算法的異同，可分為對稱加密和菲對

禰加密。\

(4)電子商務(wù)認(rèn)證中心(CA)。、

4.電子商務(wù)安全總結(jié)

電子商務(wù)安全主要有以下幾個(gè)方面的內(nèi)容：

(1)有效性。(4)可靠性/不可抵賴性/鑒別。

⑵機(jī)密性。(5)審查能力。

(3)完整，電_________⑹信道6

7.1.2電子商務(wù)的安全策略

安全策略是指在某個(gè)安全區(qū)域內(nèi)，用于所有與安全活動(dòng)相關(guān)的一套規(guī)則。

1.安全策略的等級\

⑴安全策略目標(biāo)\

(2)機(jī)構(gòu)安全策略'

(3)系統(tǒng)安全策略

2.安全策略應(yīng)重視的幾個(gè)方面

⑴機(jī)密性\

(2)數(shù)據(jù)完整性

⑶授權(quán)與驗(yàn)證

(4)訪問控制策略。包括基于身份的策略、基于任務(wù)的策略、

7

3.0SI安全結(jié)構(gòu)的安全機(jī)制

OSI安全結(jié)構(gòu)共有八種安全機(jī)制：加密機(jī)制、數(shù)字簽名X型、訪

問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換機(jī)制、業(yè)務(wù)流量填充機(jī)制、、路

由控制機(jī)制、確認(rèn)機(jī)制。\

相應(yīng)的五種通用安全機(jī)制：可信任功能、安全標(biāo)簽、事件檢測、安、

全審計(jì)跟蹤、安全恢復(fù)。\

7.2網(wǎng)絡(luò)安全技術(shù)

7.2.1網(wǎng)絡(luò)安全協(xié)議\

考慮到網(wǎng)絡(luò)安全性能，主要的安全協(xié)議集中在應(yīng)用層、傳輸層和網(wǎng)

絡(luò)層。\

1.應(yīng)用層協(xié)議

(1)Telnet的安全性。用SSH軟件包的slogin應(yīng)用、TexasA&M大

學(xué)開發(fā)的安全RFC認(rèn)證(RSA)、軟件包簧安全的Telnet軟件包來代

春rlogin和telnet命令可以防止來自內(nèi)部的口令竊取攻盅。

⑵E-mail的安全性。認(rèn)證、保密、數(shù)據(jù)完整和不可否認(rèn)。

(3)Web的安全性。即Web客戶機(jī)的一系列安全服務(wù)。

9

2.傳輸層協(xié)議\

(1)傳輸控制協(xié)議(TCP)。實(shí)現(xiàn)在無連接的、不可靠的網(wǎng)絡(luò)業(yè)務(wù)

上運(yùn)行面向連接的、可靠的業(yè)務(wù)。\

(2)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。為一個(gè)無連接傳輸協(xié)議。

(3)安全外殼(SSH)。用于安全登錄到遠(yuǎn)程機(jī)器上，在其上執(zhí)行

命令后轉(zhuǎn)移文彳牛。\

(4)安全套接層(SSL)和傳輸層協(xié)議(TLSWG)。'

3.網(wǎng)絡(luò)層協(xié)議

IP協(xié)議(InternetProtocol),是面向無連接的、不可靠的數(shù)據(jù)

傳輸。IPV6安全協(xié)議，有認(rèn)證和保密功能。

7.2.2防火墻技術(shù)\

\

防火墻(Firewall)是內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的分界安全屏障，

狹義指安裝了Firewall軟件的主機(jī)或路由器系統(tǒng)，廣義還包括整個(gè)網(wǎng)緣的安

全策略和安全行為。\

1.防火墻主要安全技術(shù)\

(1)包過濾技術(shù)(PacketFiltering)o是在網(wǎng)絡(luò)層依據(jù)系統(tǒng)的過濾,

規(guī)則，對數(shù)據(jù)包進(jìn)行選擇和過濾，這種規(guī)則又稱為訪問控制表ACLs,通

常安裝在路由器上。

(2)網(wǎng)絡(luò)地址翻譯NAT(NetworkAddressTranslation)用

于隱藏內(nèi)部主機(jī)。\o

(3)應(yīng)用級代理。代理服務(wù)器充當(dāng)雙重身份，將內(nèi)部系統(tǒng)與外界完

全隔離開來，它偵聽網(wǎng)絡(luò)內(nèi)部客房的服務(wù)請求，檢查并驗(yàn)證其合法性，

只宥合法的才能通過。

2.防火墻分類\

(1)包過濾型。依據(jù)網(wǎng)絡(luò)中的分包傳輸技術(shù)。優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)X

成本較低；缺點(diǎn)是它無法識別基于應(yīng)用層的惡意侵入。

(2)代理型(代理服務(wù)器)。優(yōu)點(diǎn)是安全性較高，可以對應(yīng)用層進(jìn)

行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效；缺點(diǎn)是對系

統(tǒng)的整體性能有較大的影響，大大增加了系統(tǒng)管理的復(fù)雜性。

3.防火墻的功能

主要功能：數(shù)據(jù)包過濾、應(yīng)用代理服務(wù)和狀態(tài)檢測。

新增功能：綜合技術(shù)

結(jié)構(gòu)和管理界面簡單

支持加密的VPN

內(nèi)部信息完全隱藏

增加強(qiáng)制訪問控制

支持多種認(rèn)證方式

網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)和內(nèi)容過濾

7.2.3虛擬專用網(wǎng)技術(shù)、

1.虛擬專用網(wǎng)概述\

虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)是一種在公共網(wǎng)絡(luò)上運(yùn)行的

專用網(wǎng)絡(luò)，通過隧道(Tunneling)技術(shù)，在Internet上為企業(yè)開通一條專用通

道，以代替原來昂貴的專線租賃或者中繼方式，把其分布在世界各地的分支

機(jī)構(gòu)和合作伙伴們連接起來，感覺就像在一個(gè)自己的專用網(wǎng)里。\

優(yōu)點(diǎn)：保密性好、使用方便、建設(shè)成本低。\

結(jié)構(gòu)和管理界面簡單

支持加密的VPN

內(nèi)部信息完全隱藏

增加強(qiáng)制訪問控制

支持多種認(rèn)證方式

網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)和內(nèi)容過濾

14

2.VPN的特點(diǎn)

優(yōu)點(diǎn)：VPN比廣域網(wǎng)更便宜、更容易建立

缺點(diǎn)：VPN比廣域網(wǎng)要慢，不如廣域網(wǎng)可靠

不如單獨(dú)的局域網(wǎng)或廣域網(wǎng)安全。

3.VPN的類型

基于服務(wù)器的VPN

基于防火墻的VPN

基于路由器的VPN

15

7.2.4入侵檢測技術(shù)

入侵檢測技術(shù)是一種主動(dòng)實(shí)時(shí)保護(hù)免受攻擊的網(wǎng)絡(luò)安

全技術(shù)，是繼防火墻后的第二道安全防線。\

1.入侵檢測技術(shù)

①基于應(yīng)用的監(jiān)控技術(shù)。\

②基于主機(jī)的監(jiān)控技術(shù)。\

③基于目標(biāo)的監(jiān)控技術(shù)。

④基于網(wǎng)絡(luò)的監(jiān)控技術(shù)。

⑤綜合以上四種方法進(jìn)行監(jiān)控。

16

2.漏洞檢測技術(shù)

①基于應(yīng)用的檢測技術(shù)。\

②基于主機(jī)的檢測技術(shù)。\

③基于目標(biāo)的檢測技術(shù)。'

④基于網(wǎng)絡(luò)的檢測技術(shù)。

⑤綜合的技術(shù)。

3.入侵檢測實(shí)現(xiàn)模型

設(shè)計(jì)為兩部分：安全服務(wù)器(Securityserver)和偵

測代理(Agent)o

17

7.3對稱密鑰密碼技術(shù)

對稱密碼(又稱為私鑰密碼)體制使用相同的密鑰加密和

解密信息，即通信雙方建立并共享一個(gè)密鑰。\

1.工作原理

用戶A要發(fā)送機(jī)密信息給B,則A和B必須共享一個(gè)預(yù)先由人

工分配或由密鑰分發(fā)中心(KDC)分發(fā)的密鑰K,于是A用簧

鑰K和加密算法E對明文P加密到密文C=Ek(p),并將密文C發(fā)遞

給B;B用同樣的密鑰K和解密算法D對密天解密，得到明文

P=Dk(Ek(p))

18

2.分類\

按加密模式可以分為流密碼（或稱序列密碼）和分組

密碼（或稱塊密碼）兩大類。、

（1）流密碼：通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)

序列，使用該序列加密信息流得到密文序列。錯(cuò)誤擴(kuò)展隊(duì)、

迅度快、同步容易和安全程度高。'

（2）分組密碼：修明文分成固定的組（塊），用同一

密鑰算法對每一塊加密，輸出固定長度的密文。

19

7.4公鑰密碼技術(shù)

以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則

可以實(shí)現(xiàn)多個(gè)用戶的消息只能由一個(gè)用戶解讀；以用戶專用鑰

作為加密密鑰而以公開鑰作為解密密鑰，則可實(shí)現(xiàn)由一個(gè)再停

加密的消息而使多個(gè)用尸解讀。\

前者可用于保密通訊，后者可用于數(shù)字簽字。

20

1.概念\

公開密鑰體制也稱為非對稱密鑰，要求密鑰成

對出現(xiàn)，一個(gè)為加密密鑰（e）,即公共密鑰，另

一個(gè)為解密密鑰（d）,即專用密鑰，且兩者不可

能從其中一個(gè)推出另一個(gè)，其中公共密鑰可以發(fā)

布出去，專用密鑰則每個(gè)用戶不同。

21

2.工作原理\

用戶A和B各自擁有一對密鑰(庫、KJ)和(KB>埠」)。

私鑰K/KB-I分別由A、B各自秘密保管，而KAKB則以相書的

形式對外公布。當(dāng)A要將明文消息P安全的發(fā)送給B,則A用B

的公鑰KB加密P得到密文C=Ekb(p);而B受到密文C后，用私，

鑰KB」解密恢復(fù)明文P=DkJ(c)=DkJ(Ekb(p))。'

公共密鑰加密算法主要有：

(1)RSA(Receive>Shamir>Adelman)

(2)Fertezza(3)EIGama

3.RSA公共密鑰密碼算法

公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù)，p,q必、須

保密)，e與(p-1)(q-1)互素。、

專用密鑰:d-e1(mod(p-1)(q-1))

加密：c=me(modn),其中m為明文，c為密文

解密：m=cd(modn)

一般要求p,q為安全素?cái)?shù)，n的長度大于512bit,這主要是

因?yàn)镽SA算法的安全性依賴于因子分解大數(shù)問題。

2.數(shù)字簽字\

數(shù)字簽字是使用某人的私鑰加密特定的消息摘要散

列值而得到的結(jié)果，通過這種方法把人同特定消息聯(lián)系

起來。\

消息簽字與消息加密有所不同，消息加密和解密可、、

能是一次性的，它要求在解密之前是安全的；而一個(gè)簽

字的信息可能作為一個(gè)法律上的文件，很可能在對信息

簽署多年之后才驗(yàn)證其簽字，且可能需要多次驗(yàn)證此簽

字。

7.5數(shù)字證書與數(shù)字認(rèn)證\

1.數(shù)字證書\

數(shù)字證書即數(shù)字ID,是一種電子形式的由CA簽發(fā)用手識別的

個(gè)人證書。一個(gè)標(biāo)準(zhǔn)格式為X.509公鑰證書。\

其他的數(shù)字證書的可選格式還有：\

（1）簡單公開密鑰基礎(chǔ)設(shè)施（SPKI）\

（部口多號（；*量GoodPrivacy）是一種對電子郵件和文件進(jìn)行加畬\

（3）安全電子交易（SET）標(biāo)準(zhǔn)定義了在分布網(wǎng)絡(luò)上進(jìn)行信用卡支■

付交易所需的標(biāo)準(zhǔn)。

（4）屬性證書是用來傳遞一個(gè)給定主體的屬性以便于靈活、可擴(kuò)展的

薜權(quán)管理?！?/p>

25

2.數(shù)字認(rèn)證\

數(shù)字認(rèn)證也稱為證書驗(yàn)證，是檢查一份給定的證書是否

可用的過程。\

數(shù)字認(rèn)證確定的內(nèi)容有：

(1)一個(gè)可信的CA已經(jīng)在證書上簽名。\

(2)證書具有良好的完整性。、

(3)證書處在有效期內(nèi)。

(4)證書沒有撤銷。

(5)證書的使用方式與任何聲明的策略

和/或使用限制相一致。

26

7.6防火墻技術(shù)

7.6.1防火墻主要技術(shù)

762防火墻分類

防火墻主要技術(shù)

防火墻是一道介于開放的、不安全的公共網(wǎng)與信息、資

源匯集的內(nèi)部網(wǎng)之間的屏障，由一個(gè)或一組系統(tǒng)組成。狹義

的防火墻指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)，廣義的

防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)

包括：

＞包過濾技術(shù)

＞網(wǎng)絡(luò)地址翻譯

＞應(yīng)用級代理

防火墻主要技術(shù)

1.包過濾技術(shù)

包過濾技術(shù)(PacketFiltering)是在網(wǎng)絡(luò)層依據(jù)系統(tǒng)

的過濾規(guī)則，對數(shù)據(jù)包進(jìn)行選擇和過濾，這種規(guī)則又稱為訪

問控制表。這種防火墻通常安裝在路由器上，如圖8.3所示。

這種技術(shù)通過檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包的源地址、

防火墻主要技術(shù)

包過濾技術(shù)包括兩種基本類型：無狀態(tài)檢查的包過濾和

有狀態(tài)檢查的包過濾，其區(qū)別在于后者通過記住防火墻的所

有通信狀態(tài)，并根據(jù)狀態(tài)信息來過濾整個(gè)通信流，而不僅僅

是包。

有許多方法可繞過包過濾器進(jìn)入Internet,包過濾技術(shù)

存在以下缺陷：

>TCP只能在第0個(gè)分段中被過濾。

>特洛伊木馬可以使用NAT來使包過濾器失效。

>許多包過濾器允許1024以上的端口通過。

“純”包過濾器的防火墻不能完全保證內(nèi)部網(wǎng)的安全，

而必須與代理服務(wù)器和網(wǎng)絡(luò)地址翻譯結(jié)合起來才能解決問題。

30

防火墻主要技術(shù)

2.網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯(NAT,NetworkAddressTranslation)

最初的設(shè)計(jì)目的是增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù)，但

現(xiàn)在則用于屏蔽內(nèi)部主機(jī)。

NAT通過將專用網(wǎng)絡(luò)中的專用IP地址轉(zhuǎn)換成在Internet

上使用的全球唯一的公共IP地址，實(shí)現(xiàn)對黑客有效地隱藏所

有TCP/IP級的有關(guān)內(nèi)部主機(jī)信息的功能，使外部主機(jī)無法

探測到它們。

NAT實(shí)質(zhì)上是一個(gè)基本代理：一個(gè)主機(jī)充當(dāng)代理，代

表內(nèi)部所有主機(jī)發(fā)出請求，從而將內(nèi)部主機(jī)的身份從公用

網(wǎng)上隱藏起來了。

防火墻主要技術(shù)

按普及程度和可用性順序，NAT防火墻最基本的翻譯模

式包括：

＞靜態(tài)翻譯。在這種模式中，一個(gè)指定的內(nèi)部網(wǎng)絡(luò)

源有一個(gè)從改變的固定翻譯表。

＞動(dòng)態(tài)翻譯。在這種模式中，為了隱藏內(nèi)部主機(jī)的

身份或擴(kuò)展內(nèi)部網(wǎng)的地址空間，一個(gè)大的Internet客

戶群共享單個(gè)或一組小的InternetIP地址。

＞負(fù)載平衡翻譯。在這種模式中，一個(gè)IP地址和端

口被翻譯為同等配置的多個(gè)服務(wù)器的一個(gè)集中處，這

樣一個(gè)公共地址可以為許多服務(wù)器服務(wù)。

＞網(wǎng)絡(luò)冗余翻譯。在這種模式中，多個(gè)Internet連

接被附加在一個(gè)NAT防火墻上，從而防火墻根據(jù)負(fù)載

和可用性對這些連接進(jìn)行選擇和使用。

32

防火墻主要技術(shù)

3.應(yīng)用級代理

代理現(xiàn)在主要用于防火墻。代理服務(wù)器通過偵聽網(wǎng)絡(luò)內(nèi)

部客戶的服務(wù)請求，檢查并驗(yàn)證其合法性，若合法，它將作

為一臺客戶機(jī)一樣向真正的服務(wù)器發(fā)出請求并取回所需信息,

33

防火墻主要技術(shù)

應(yīng)用代理技術(shù)的優(yōu)缺點(diǎn)：\

>代理隱藏了私有客戶，不讓它們暴露給外界。但客戶必

須使用代理才能工作，且不能被設(shè)置為網(wǎng)絡(luò)透明工作。

>代理能阻斷危險(xiǎn)的URL,但阻斷URL也容易被消除。

>代理能在危險(xiǎn)的內(nèi)容傳送給客戶之前過濾掉它們，但代

理無法保護(hù)操作系統(tǒng)。

>代理能檢查返回內(nèi)容的一致性。但大多數(shù)一致性檢查都

是在發(fā)現(xiàn)有被利用的弱點(diǎn)后才有效。

>代理能消除在網(wǎng)絡(luò)之間的傳輸層路由。但阻斷路由功能

通常使用得不充分

>代理提供了單點(diǎn)的訪問、控制和日志記錄功能。

>代理服務(wù)器有消除冗余訪問，平衡內(nèi)部多個(gè)服務(wù)器負(fù)載

的性能優(yōu)化功能，但易形成服務(wù)瓶頸。

34

防火墻分類'、

1.按技術(shù)分類

根據(jù)防火墻采用的技術(shù)，防火墻分為包過濾型、代理型

和監(jiān)測型。

＞包過濾型

防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”

是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)

據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可

以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本。其缺點(diǎn)只能

根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無

法識別基于應(yīng)用層的惡意入侵。

防火墻分類

＞代理型

代理型防火墻也稱為代理服務(wù)器。從結(jié)構(gòu)上看，代理服

務(wù)器由代理的服務(wù)器部分和代理的客戶機(jī)部分組成。從客

戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器，而從服

務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機(jī)。壁壘主機(jī)

即一臺軟件上配置代理服務(wù)程序的計(jì)算機(jī)，也可以作為代

理服務(wù)器。

代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對應(yīng)用層進(jìn)

行偵測和掃描，對付基于應(yīng)用層的入侵和病毒都十分有效。

其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)

器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，

大大增加了系統(tǒng)管理的復(fù)雜性。

36

防火墻分類

>監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品，它實(shí)際已經(jīng)超越了最

初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主

動(dòng)的、實(shí)時(shí)的監(jiān)測。并在對這些數(shù)據(jù)分析的基礎(chǔ)上，它能

夠有效地判斷出各層中的非法入侵。

監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探

測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅

能夠檢測來自網(wǎng)絡(luò)外部的攻擊，還對來自內(nèi)部的惡意破壞

也有極強(qiáng)的防范作用。

防火墻分類

2.按結(jié)構(gòu)分類

目前，防火墻按結(jié)構(gòu)可分為簡單型和復(fù)合型。簡單型包

括只使用屏蔽路由器或者作為代理服務(wù)器的雙目主機(jī)結(jié)構(gòu)；

復(fù)合結(jié)構(gòu)一般包括屏蔽主機(jī)和屏蔽子網(wǎng)。

?雙目主機(jī)結(jié)構(gòu)

雙目主機(jī)結(jié)構(gòu)防火墻系統(tǒng)主要由一臺雙目主機(jī)構(gòu)成，具

有兩個(gè)網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)和外部網(wǎng)，充當(dāng)轉(zhuǎn)發(fā)器,

如圖8.5所示。這樣，主機(jī)可以充當(dāng)與這些接口相連的路由

器，能夠把IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)接口。

但是，實(shí)現(xiàn)雙目主機(jī)的防火墻結(jié)構(gòu)禁止這種轉(zhuǎn)發(fā)功能。

38

防火墻分類

aioa

圖8.5雙目主機(jī)結(jié)構(gòu)防火墻

防火墻內(nèi)部的系統(tǒng)能與雙目主機(jī)通信，同時(shí)防火墻外部

的系統(tǒng)如因特網(wǎng)也能與雙目主機(jī)通信，但二者之間不能直接

通信。

39

防火墻分類

A屏蔽主機(jī)結(jié)構(gòu)

屏蔽主機(jī)結(jié)構(gòu)使用一個(gè)單獨(dú)的路由來提供與內(nèi)部網(wǎng)相連主機(jī)即壁壘主機(jī)

的服務(wù)。在這種安全體系結(jié)構(gòu)中，主要的安全措施是數(shù)據(jù)包過濾，如圖8.6

所示。在屏蔽路由器中，數(shù)據(jù)包過濾配置按以下方式執(zhí)行：\

?允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接，即允許那

些經(jīng)過數(shù)據(jù)包過濾的服務(wù)。

?不允許來自內(nèi)部主機(jī)的所有連接，即強(qiáng)迫內(nèi)部主機(jī)通過壁壘主機(jī)使用

代理服務(wù)。

由于這種結(jié)構(gòu)允許數(shù)據(jù)包通過因特網(wǎng)訪問內(nèi)部數(shù)據(jù)，因此，它的設(shè)計(jì)

比雙目主機(jī)結(jié)構(gòu)要更冒風(fēng)險(xiǎn)。

40

防火墻分類

圖8.6屏蔽主機(jī)結(jié)構(gòu)防火墻

41

防火墻分類

＞屏蔽子網(wǎng)結(jié)構(gòu)

屏蔽子網(wǎng)結(jié)構(gòu)防火墻是通過添加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)

為屏蔽主機(jī)結(jié)構(gòu)增添另一個(gè)安全層，這個(gè)邊界網(wǎng)絡(luò)有時(shí)候稱

為非軍事區(qū)。

壁壘主機(jī)是最脆弱的、最易受攻擊的部位，通過隔離壁

壘主機(jī)的邊界網(wǎng)絡(luò)，便可減輕壁壘主機(jī)被攻破所造成的后果。

因?yàn)楸趬局鳈C(jī)不再是整個(gè)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)，所以它們給入侵者

提供一些訪問，而不是全部。

最簡單的屏蔽子網(wǎng)有兩個(gè)屏蔽路由器，一個(gè)接外部網(wǎng)與

邊界網(wǎng)絡(luò)，另一個(gè)連接邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)，如圖8.7所不。這

樣為了攻進(jìn)內(nèi)部網(wǎng)，入侵者必須通過兩個(gè)屏蔽路由器。

42

防火墻分類

Internet

壁壁主機(jī)

圖8.5屏蔽子網(wǎng)防火墻

防火墻的選擇標(biāo)準(zhǔn)和發(fā)展方向

1.選擇防火墻標(biāo)準(zhǔn)

＞總擁有成本。防火墻產(chǎn)品的總擁有成本不應(yīng)該超過受保護(hù)網(wǎng)

絡(luò)系統(tǒng)可能遭受最大損失的成本。\

＞防火墻本身的安全。防火墻本身應(yīng)該是安全的，不給外部入侵

者可乘之機(jī)。

＞管理與培訓(xùn)。管理和培訓(xùn)是評價(jià)一個(gè)防火墻好壞的重要方面。

人員培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在總擁有成本中占據(jù)較大的比例。

＞可擴(kuò)充性。好產(chǎn)品應(yīng)該留給用戶足夠的彈性空間。

＞防火墻的安全性能。即防火墻是否能夠有效地阻擋外部入侵。

防火墻的選擇標(biāo)準(zhǔn)和發(fā)展方向'、

2.防火墻的發(fā)展方向\

為了有效抵御網(wǎng)絡(luò)攻擊，適應(yīng)Internet的發(fā)展勢頭，防火墻表現(xiàn)出如下發(fā)

展趨勢：

＞智能化的發(fā)展。防火墻將從目前的靜態(tài)防御策略向具備人工智露的

智能化方向發(fā)展。\

＞速度的發(fā)展。隨著網(wǎng)絡(luò)速率的不斷提高，防火墻必須提高運(yùn)算速度'

及包轉(zhuǎn)發(fā)速度，否則成為網(wǎng)絡(luò)的瓶頸。

＞體系結(jié)構(gòu)的發(fā)展。要求防火墻能夠協(xié)同工作，共同組成一個(gè)強(qiáng)大的、

具備并行處理能力和負(fù)載均衡能力的邏輯防火墻。

＞功能的發(fā)展。未來網(wǎng)絡(luò)防火墻將在現(xiàn)有的基礎(chǔ)上繼續(xù)完善其功能并

不斷增加新的功能。

＞專業(yè)化的發(fā)展。單向防火墻、電子郵件防火墻、FTP防火墻等針對

特定服務(wù)的專業(yè)化防火墻將作為一種產(chǎn)品門類出現(xiàn)。

2.PKI體系結(jié)構(gòu)及功能

(1)體系結(jié)構(gòu)

46

(2)操作功能

A產(chǎn)生、驗(yàn)證和分發(fā)密鑰。A證書廢止的申請。'

?密鑰的恢復(fù)。\

A簽名和驗(yàn)證。

A證書的獲取。>CRL(作廢證書表)的獲取。

A驗(yàn)證證書。A密鑰更新。

A保存證書。A審計(jì)。

A本地保存證書的獲取。>存檔。

3.PKI的性能要求

①透明性和易用性

②可擴(kuò)展性。

③互操作性。

④支持多應(yīng)用。

⑤支持多平臺。

4.PKI的核心服務(wù)

①認(rèn)證：實(shí)體鑒別、數(shù)據(jù)來源鑒別

②完整性

③機(jī)密性

5.PKI系統(tǒng)的常用信任模型

①認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型

②分布式信任結(jié)構(gòu)模型

③Web模型

④以用戶為中心的信任模型

48

7.7檢測技術(shù)

7.7.1檢測技術(shù)概述'\

772入侵檢測技術(shù)\

7.7.3漏洞掃描技術(shù)

7.7.4入侵檢測和漏洞掃描系統(tǒng)模型

7.7.5檢測產(chǎn)品的布署

776入侵檢測系統(tǒng)的新發(fā)展，

49

檢測技術(shù)概述

1.入侵檢測

從計(jì)算機(jī)安全的目標(biāo)來看，入侵指企圖破壞資源的

完整性、保密性、可用性的任何行為，也指違背系統(tǒng)安

全策略的任何事件。從入侵策略的角度看，入侵可分為

企圖進(jìn)入、冒充合法用戶、成功闖入等方面。入侵者一

般稱為黑客或解密高手。Anderson把入侵者分為偽裝

者、違法者和秘密用戶3類。

入侵檢測指對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)

行識別和響應(yīng)的處理過程。它不僅檢測來自外部的入侵

行為，同時(shí)也能檢測出內(nèi)部用戶的未授權(quán)活動(dòng)，是一種

增強(qiáng)系統(tǒng)安全的有效方法。入侵檢測從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)

算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中

發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻

擊的跡象，同時(shí)做出響應(yīng)。入侵檢測的一般過程包括信

息收集、信怠預(yù)處理、數(shù)據(jù)檢測分析和響應(yīng)等,班圖-

8.18所示。

檢測技術(shù)概述

圖8.18入侵檢測的一般過程

入侵檢測可分為實(shí)時(shí)入侵檢測和事后入侵檢測。實(shí)時(shí)入侵檢測在

網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計(jì)算機(jī)中

的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入

侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。事

后入侵檢測由網(wǎng)絡(luò)管理人員定期或不定期進(jìn)行，根據(jù)計(jì)算機(jī)系統(tǒng)對用戶

操作所做的歷史審計(jì)記錄判斷用戶是否具有入侵行為，如果有就斷開連

接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。但是其入侵檢測的能力不如實(shí)時(shí)

入侵檢測系統(tǒng)。-d

檢測技術(shù)概述

2.漏洞檢測

漏洞是由軟件編寫不當(dāng)或軟件配置不當(dāng)造成的。漏洞

掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬

攻擊的形式對目標(biāo)可能存在的、已知的安全漏洞進(jìn)行逐項(xiàng)檢

查，根據(jù)檢測結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析

報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供了重要依據(jù)。漏洞掃描

也稱為事前的檢測系統(tǒng)、安全性評估或者脆弱性分析。其作

用是在發(fā)生網(wǎng)絡(luò)攻擊事件前，通過對整個(gè)網(wǎng)絡(luò)掃描及時(shí)發(fā)現(xiàn)

網(wǎng)絡(luò)中存在的漏洞隱患，及時(shí)給出漏洞相應(yīng)的修補(bǔ)方案，網(wǎng)

絡(luò)人員根據(jù)方案可以進(jìn)行漏洞的修補(bǔ)。

漏洞檢測技術(shù)通常采用兩種策略，即被動(dòng)式策略和主

動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對系統(tǒng)中不合適

的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行

檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本一

支件對系統(tǒng)進(jìn)行攻擊7并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的褊52

洞。

入侵檢測技術(shù)

1.常用的入侵檢測技術(shù)

入侵檢測技術(shù)可分為五種：

＞基于應(yīng)用的監(jiān)控技術(shù)。主要使用監(jiān)控傳感器在應(yīng)用

層收集信息。

＞基于主機(jī)的監(jiān)控技術(shù)。主要使用主機(jī)傳感器監(jiān)控本

系統(tǒng)的信息。

＞基于目標(biāo)的監(jiān)控技術(shù)。主要針對專有系統(tǒng)屬性、文

件屬性、敏感數(shù)據(jù)等進(jìn)行監(jiān)控。"

＞基于網(wǎng)絡(luò)的監(jiān)控技術(shù)。主要利用網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)

控包監(jiān)聽器收集的信息。

＞綜合以上4種方法進(jìn)行監(jiān)控。其特點(diǎn)是提高了偵測

性能，但會(huì)產(chǎn)生非常復(fù)雜的網(wǎng)絡(luò)安全方案。

入侵檢測技術(shù)

2.入侵檢測技術(shù)的選用

在使用入侵檢測技術(shù)時(shí)，應(yīng)該注意具有以下技術(shù)特點(diǎn)：\

＞信息收集分析時(shí)間一、

＞分析類型

＞偵測系統(tǒng)對攻擊和誤用的反應(yīng)

＞偵測系統(tǒng)的管理和安裝

＞偵測系統(tǒng)的完整性

＞設(shè)置誘騙服務(wù)器

信息收集分析時(shí)間可分為固定時(shí)間間隔和實(shí)時(shí)收集分析兩種。分析類

型可分為簽名分析、統(tǒng)計(jì)分析和完整性分析。完整性就是系統(tǒng)自身的安

全性。置誘騙服務(wù)器的目的就是吸引黑客的注意力，把攻擊導(dǎo)向它，從

敏感的傳感器中發(fā)現(xiàn)攻擊者的攻擊位置、攻擊路徑和攻擊實(shí)質(zhì)，隨后把

這些信息送到一個(gè)安全的地方，供以后查用。

54

漏洞掃描技術(shù)

1.漏洞掃描分類

漏洞掃描技術(shù)可分為5種:

基于應(yīng)用的掃描技術(shù)。采用被動(dòng)的、非破壞性的辦

法檢查應(yīng)用軟件包的設(shè)置，從而發(fā)現(xiàn)安全漏洞。

＞基于主機(jī)的掃描技術(shù)。采用被動(dòng)的、非破壞性的辦

法對系統(tǒng)進(jìn)行掃描。它涉及到系統(tǒng)的內(nèi)核、文件的屬

性等問題。

＞基于目標(biāo)的掃描技術(shù)。采用被動(dòng)的、非破壞性的辦

法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。

＞基于網(wǎng)絡(luò)的掃描技術(shù)。它利用一系列的腳本對系統(tǒng)

進(jìn)行攻擊，檢驗(yàn)系統(tǒng)是否可能被攻擊崩潰，然后對結(jié)

果進(jìn)行分析的綜合技術(shù)。

＞綜合利用上述4種方法的技術(shù)。集中了以上4種技

術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)j麻司識別的精度。55

漏洞掃描技術(shù)

2,漏洞掃描技術(shù)的選用

在使用漏洞掃描技術(shù)時(shí)，應(yīng)該注意以下技術(shù)特點(diǎn)：

＞檢測分析的位置

＞報(bào)表與安裝

＞檢測后的解決方案

＞檢測系統(tǒng)本身的完整性

在不同威脅程度的環(huán)境下，可以有不同的檢測標(biāo)準(zhǔn)。在

漏洞掃描中，第一步是收集數(shù)據(jù)，第二步是數(shù)據(jù)分析。漏洞

掃描系統(tǒng)生成的報(bào)表是理解系統(tǒng)安全狀況的關(guān)鍵。一旦掃描

完畢，如果發(fā)現(xiàn)了漏洞，則系統(tǒng)可以有多種反應(yīng)機(jī)制，如預(yù)

警機(jī)制等。檢測系統(tǒng)本身就是一種攻擊，如果被黑客利用，

那么就會(huì)產(chǎn)生難以預(yù)料的后果。

56

入侵檢測和漏洞掃描系統(tǒng)模型

入侵檢測和漏洞掃描系統(tǒng)是安全技術(shù)的核心。入侵檢測

和漏洞掃描系統(tǒng)的實(shí)現(xiàn)是和具體的網(wǎng)絡(luò)拓?fù)涿芮邢嚓P(guān)的，

不同的網(wǎng)絡(luò)拓?fù)鋵θ肭謾z測和漏洞掃描系統(tǒng)的結(jié)構(gòu)和功能

有不同的要求。通常情況下該系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中可設(shè)計(jì)為

兩個(gè)部分：

圖8.19入侵檢測和漏洞掃描系統(tǒng)示意圖

57

入侵檢測和漏洞檢測系統(tǒng)模型'\

主機(jī)代理中有主機(jī)入侵檢測代理和主機(jī)漏洞掃描代理兩種

類型。主機(jī)入侵檢測代理動(dòng)態(tài)地實(shí)現(xiàn)探測入侵信號，并做出

相應(yīng)的反應(yīng)；主機(jī)漏洞掃描代理檢測系統(tǒng)的配置、日志等，

把檢測到的信息傳給安全服務(wù)器和用戶。

入侵檢測代理在結(jié)構(gòu)上由傳感器、分析器、通信管理器等

部件組成。漏洞掃描代理在結(jié)構(gòu)上由檢測器、檢測單元、通

信管理器等部件組成。每一個(gè)主機(jī)代理感受敏感的安全信息,

對這些信息進(jìn)行處理，做出反應(yīng)，然后把一些信息交給網(wǎng)段

代理和安全服務(wù)器處理。

安全服務(wù)器中包含網(wǎng)絡(luò)安全數(shù)據(jù)庫、通信管理器、聯(lián)機(jī)信

息處理器等部件。其主要功能是和每一個(gè)代理進(jìn)行相互通信,

實(shí)時(shí)處理所有從各代理發(fā)來的信息，做出響應(yīng)的反映，同時(shí)

對網(wǎng)絡(luò)的各安全參數(shù)進(jìn)行審計(jì)和記錄日志，并可以對防火一

檢測產(chǎn)品的布署

這里對檢測產(chǎn)品中的IDS探測器和漏洞掃描儀進(jìn)行簡單

介紹。

從圖8.20中看出，IDS探測器可以部署在網(wǎng)絡(luò)中各個(gè)關(guān)

鍵節(jié)點(diǎn)。比如IDS探測器1部署在防火墻的前面，這樣可

以偵探各種入侵的企圖，但是這將產(chǎn)生許多不必要的報(bào)警。

IDS探測器2部署在防火墻的DMZ(DemilitarizedZone)

區(qū)，DMZ區(qū)是內(nèi)部網(wǎng)絡(luò)對外部提供各種服務(wù)的區(qū)域，比如

Web服務(wù)、郵件服務(wù)、FTP服務(wù)等。由于DMZ區(qū)往往是遭

受攻擊最多的區(qū)域，在此部署一臺探測器是非常必要。

IDS探測器3部署在防火墻與路由器之間，也是部署探測

器的最關(guān)鍵的位置，實(shí)時(shí)監(jiān)測進(jìn)入到內(nèi)部網(wǎng)的數(shù)據(jù)包。

IDS探測器4、5部署在內(nèi)部各個(gè)網(wǎng)段，監(jiān)測來自內(nèi)部的違

反安全規(guī)則的行為。

59

檢測產(chǎn)品的布署

內(nèi)部網(wǎng)IDS檢測器4財(cái)務(wù)網(wǎng)IDS檢測器5

60

檢測產(chǎn)品的布署

目前，漏洞掃描儀在市場上最常見有兩種類型，即基于主

機(jī)型與基于網(wǎng)絡(luò)型?；谥鳈C(jī)的漏洞掃描主要是軟件形式。

基于網(wǎng)絡(luò)型漏洞掃描有軟件形式、機(jī)架式、掌上電腦形式。

圖8.21是一個(gè)適合內(nèi)外網(wǎng)安全體系結(jié)構(gòu)的漏洞掃描儀的布

署示意圖。在該圖中掃描儀1對入侵檢測系統(tǒng)代理、服務(wù)器

集群、代理服務(wù)器等進(jìn)行掃描，掃描儀2對各種電腦主機(jī)進(jìn)

行掃描，及時(shí)發(fā)現(xiàn)并解決網(wǎng)絡(luò)中存在的隱患，就能夠使網(wǎng)絡(luò)

受到攻擊的風(fēng)險(xiǎn)降到最低，起到一個(gè)事先的預(yù)防功效，以最

小的投入換取最大的安全保障。

61

檢測產(chǎn)品的布署

圖8.21漏洞掃描儀在內(nèi)部網(wǎng)中布署示意圖

入侵檢測系統(tǒng)的新發(fā)展

隨著日益復(fù)雜的網(wǎng)絡(luò)攻擊的出現(xiàn)，原有的安全構(gòu)架面臨

新的危機(jī)，許多入侵可以穿過只有記錄和檢測功能的傳統(tǒng)的

網(wǎng)絡(luò)入侵檢測系統(tǒng)。在這一背景下，新的網(wǎng)絡(luò)安全產(chǎn)品入侵

防御系統(tǒng)就出現(xiàn)了。

1.IDS存在如下問題

>較高的漏報(bào)率和誤報(bào)率。

>對IDS系統(tǒng)的管理和維護(hù)比較難。

>當(dāng)IDS系統(tǒng)遭受拒絕服務(wù)攻擊時(shí)，它的失效開放機(jī)

制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)。

入侵檢測系統(tǒng)的新發(fā)展

2.IPS的定義與功能

IPS又稱為入侵檢測和防御系統(tǒng)（IDP）,它不但能檢測人\

侵的發(fā)生，并且能指揮防火墻和其他響應(yīng)方式，實(shí)時(shí)終止入

侵行為的發(fā)生和發(fā)展，是實(shí)時(shí)保護(hù)系統(tǒng)不受實(shí)質(zhì)性攻擊的智

能化的安全產(chǎn)品。'

從功能上來看，IPS則是一種主動(dòng)的、積極的入侵防范、

阻止系統(tǒng)，是一種在線的解決方案。它部署在網(wǎng)絡(luò)的進(jìn)出口

處，當(dāng)它檢測到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采

取措施將攻擊源阻斷。它可以阻擊由防火墻漏掉的或IDS檢

測到而不能處理的網(wǎng)絡(luò)攻擊，從而減少因網(wǎng)絡(luò)攻擊而受到的

損失，增強(qiáng)網(wǎng)絡(luò)的性能和可用性。

但是，IPS在處理一些比較新的協(xié)議和比較少用的協(xié)議上

亞，表現(xiàn)得不盡如人意丁身H一些需要解碼的數(shù)螂，-64

IPS不能夠準(zhǔn)確判斷。在這方面IPS還是需要繼續(xù)拓1的。

入侵檢測系統(tǒng)的新發(fā)展

3.IPS、IDS和防火墻的比較

與IDS相比，IPS不但能檢測入侵的發(fā)生，而且有能力終

止入侵活動(dòng)的進(jìn)行；而IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，\

它只能被動(dòng)地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能

力非常有限，一般只能通過發(fā)送TCPreset包或聯(lián)動(dòng)防火

墻來阻止攻擊。

與防火墻相比，IPS能夠從不斷更新的模式庫中發(fā)現(xiàn)各

種各樣新的入侵方法，并作出智能的保護(hù)性操作；而防火

墻只能死板的執(zhí)行預(yù)先設(shè)定的簡單規(guī)則，不能發(fā)現(xiàn)規(guī)則之

外的入侵行為。但是IPS不能完全代替防火墻，因?yàn)榉阑?/p>

墻除了是粒度比較粗的訪問控制產(chǎn)品，它還可以提供網(wǎng)絡(luò)

地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能，甚至有的防火墻

還能提供VPN功能。另外，IPS的功能比較單一，它只能

串聯(lián)在網(wǎng)絡(luò)上，類似于通常所說的網(wǎng)橋式防火墻，對防火

囑所不能過濾的攻擊進(jìn)行過濾7■因此「把IPS與吵墻結(jié)65

合起來，可以最大程度的保護(hù)系統(tǒng)的安全。

7.10SET協(xié)議\

SET是由Visa和MasterCard所開發(fā)的，是為了在Internet上進(jìn)行在線

交易時(shí)保證用卡支付的安全而設(shè)立的一個(gè)開放的規(guī)范。'

協(xié)議內(nèi)容：\

(1)加密算法的應(yīng)用(RSA和DES)

(2)證書消息和對象格式\

(3)購買消息和對象格式\

(4)請款消息和對象格式

66

7.8反病毒技術(shù)

7.8.1病毒概述

7.8.2宏病毒

7.8.3CIH病毒

7.8.4常用反病毒技術(shù)

67

病毒概述\

1.病毒定義

計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算

機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一

組計(jì)算機(jī)指令或者程序代碼。

一般地，我們所講的病毒包括特洛伊木馬、病毒、細(xì)菌

和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的

的應(yīng)用程序、應(yīng)用工具或系統(tǒng)而獨(dú)立存在；而細(xì)菌和蠕蟲是

完整的程序，操作系統(tǒng)可以調(diào)度和運(yùn)行它們。而且除特洛伊

木馬外，其他三種形式的病毒都有能夠復(fù)制。

68

病毒概述

2.病毒傳染方式

病毒的傳染途徑有電磁波、有線電路、軍用或民用設(shè)備

或直接放毒等。具體傳播介質(zhì)有計(jì)算機(jī)網(wǎng)絡(luò)、軟硬磁盤和光

盤等。根據(jù)傳輸過程中病毒是否被激活，病毒傳染分為靜態(tài)

傳染和動(dòng)態(tài)傳染。

靜態(tài)傳染是指由于用戶使用了COPY、DISKCOPY

等拷貝命令或類似操作，一個(gè)病毒連同其載體文件一

起從一處被復(fù)制到另一處。而被復(fù)制后的病毒不會(huì)引

起其他文件感染。

＞動(dòng)態(tài)傳染是指一個(gè)靜態(tài)病毒被加載進(jìn)入內(nèi)存變?yōu)閯?dòng)

病毒概述\

3,病毒的分類

按病毒感染的途徑，病毒分為三類：

>引導(dǎo)型病毒。它是是藏匿在磁盤片或硬盤的第一個(gè)

扇區(qū)。每次啟動(dòng)計(jì)算機(jī)時(shí)，在操作系統(tǒng)還沒被加載之

前就被加載到內(nèi)存中，這個(gè)特性使得病毒完全控制

DOS的各類中斷，并且擁有更大的能力進(jìn)行傳染與破

壞。

>文件型病毒。文件型病毒通常寄生在可執(zhí)行文件中

當(dāng)這些文件被執(zhí)行時(shí)，病毒的程序就跟著被執(zhí)行。根

據(jù)病毒依傳染方式的不同，它分成非常駐型和常駐型。

>復(fù)合型病毒。這類病毒兼具引導(dǎo)型病毒以及文件型

病毒的特性。它們可以傳染*.COM和*.EXE文件，也

可以傳染磁盤的引導(dǎo)區(qū)。

病毒概述

4.病毒結(jié)構(gòu)

計(jì)算機(jī)病毒是一種特殊的程序，它寄生在正常的、合法

的程序中，并以各種方式潛伏下來，伺機(jī)進(jìn)行感染和破壞。

在這種情況下，稱原先的那個(gè)正常的、合法的程序?yàn)椴《镜?/p>

宿主或宿主程序。病毒程序一般由以下部份組成：

初始化部分。它指隨著病毒宿主程序的執(zhí)行而進(jìn)入

內(nèi)存并使病毒相對獨(dú)立于宿主程序的部分。

>傳染部分。它指能使病毒代碼連接于宿主程序之上

的部分，由傳染的判斷條件和完成病毒與宿主程序連

接的病毒傳染主體部分組成。

>破壞部分或表現(xiàn)部分。主要指破壞被傳染系統(tǒng)或者

在被傳染系統(tǒng)設(shè)備上表現(xiàn)特定的現(xiàn)象。它是病毒程序

的主體，在一定程度上反映了病毒設(shè)計(jì)者的意圖。7

71

病毒概述

5.病毒感染原理

＞引導(dǎo)型病毒感染原理

引導(dǎo)型病毒通過執(zhí)行啟動(dòng)計(jì)算機(jī)的動(dòng)作作為感染的途徑。

一般正常軟盤啟動(dòng)動(dòng)作為：開機(jī)、執(zhí)行BIOS、讀入BOOT程序

執(zhí)行和加載DOS。

假定某張啟動(dòng)軟盤已經(jīng)了感染病毒，那么該軟盤上的

BOOT扇區(qū)將存放著病毒程序，而不是BOOT程序。所以，

“讀入BOOT程序并執(zhí)行”將變成“讀入病毒程序并執(zhí)行”，

等到病毒入侵內(nèi)存后，等到病毒入侵內(nèi)存后，再由病毒程序

讀入原始BOOT程序，既然病毒DOS先一步進(jìn)入內(nèi)存中，自然

在DOS下的所有讀寫動(dòng)作將受到病毒控制。所以，當(dāng)使用者

只要對另一張干凈的軟盤進(jìn)行讀寫，駐在內(nèi)存中的病毒可以

感染這張軟盤。_

病毒概述

若啟動(dòng)盤是硬盤。因硬盤多了一個(gè)分區(qū)表，分區(qū)表位于

硬盤的第0面第0道第1扇區(qū)。當(dāng)在“讀入BOOT程序并執(zhí)行”

之前是“讀入分區(qū)表并執(zhí)行"，比軟盤啟動(dòng)多了一道手續(xù)。

所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT

扇區(qū)還可以感染硬盤的分區(qū)表。

感染BOOT扇區(qū)是在“讀入分區(qū)表并執(zhí)行”之后，“讀入

BOOT程序并執(zhí)行”之前“讀入病毒程序并執(zhí)行”。感染分區(qū)

表是在“讀入病毒程序并執(zhí)行”之后，“讀入分區(qū)表并執(zhí)行”

之前“讀入BOOT程序并執(zhí)行”。

不管是軟盤還是硬盤，引導(dǎo)型病毒一定比DOS早一步進(jìn)入

內(nèi)存中，并控制讀寫動(dòng)作，伺機(jī)感染其他未感染病毒的磁盤。

病毒概述

＞文件型病毒感染原理

對非常駐型病毒而言，只要一執(zhí)行中毒的程序文件，病

毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以

感染。一般而言，對于.COM型文件，病毒替換它的第一條指

令；對于.ExE文件，病毒改變?nèi)肟谥羔槨?/p>

而常駐型病毒必須常駐內(nèi)存，才能達(dá)到感染其他文件的

目的。在每一個(gè)程序文件在執(zhí)行時(shí)，都會(huì)調(diào)用INT21H中斷

命令，所以病毒必須攔截INT21H的調(diào)用，使其先通過病毒

的程序，再去執(zhí)行真正的INT21H服務(wù)程序。這樣，每個(gè)要

被執(zhí)行的程序文件都要先通過病毒“檢查”是否已中毒，若

未中毒則病毒感染該文件。

＞復(fù)合型病毒感染原理

就啟動(dòng)動(dòng)作來說，假設(shè)以感染復(fù)合型病毒的磁盤啟動(dòng)、7

卻么病毒便先潛入內(nèi)存中，伺機(jī)感染其他未中可蟬盤T京

當(dāng)DOS載入內(nèi)存后，病毒再攔截INT21H已好嬉泰文件的目

病毒概述\

6.病毒的網(wǎng)絡(luò)威脅

>工作站受到的威脅。病毒對網(wǎng)絡(luò)工作站的攻擊途徑

主要包括：利用軟盤讀寫進(jìn)行傳播、通過網(wǎng)絡(luò)共享進(jìn)

行攻擊、通過電子郵件系統(tǒng)進(jìn)行攻擊、通過FTP下載

進(jìn)行攻擊和通過WWW瀏覽進(jìn)行攻擊。

>服務(wù)器受到的威脅。網(wǎng)絡(luò)操作系統(tǒng)一般都采用

WindowsNT/2000Server和少量Unix/Linux,而

Unix/Linux本身的計(jì)算機(jī)病毒的流行報(bào)告幾乎很少。

但至》目前為止感染W(wǎng)indowsNT系統(tǒng)的病毒已有一定

數(shù)量。

>Web站點(diǎn)受到的威脅。一般Web站點(diǎn)，用戶訪問

量很大，目前能通過WEB站點(diǎn)傳播的病毒只有腳本蠕

蟲、一些惡意Java代碼和ActiveX。

宏病毒\

1.宏病毒的傳染原理

每個(gè)Word文本對應(yīng)一個(gè)模板，而且對文本進(jìn)行操作時(shí)，

如打開、關(guān)閉文件等，都執(zhí)行了相應(yīng)模板中的宏程序，由此

可知：

>當(dāng)打開一個(gè)帶病毒模板后，該模板可以通過執(zhí)行其

中的宏程序，如AutoOpen、AutoExit等將自身所攜

帶病毒程序拷貝到Word系統(tǒng)中的通用模板上，如

Normal.dot中。

>若使用帶病毒模板對文件進(jìn)行操作時(shí)，如存盤

FileSave等，可以將該文本文件重新存盤為帶毒模板

宏病毒

2.宏病毒的危害

Word宏病毒幾乎是唯一可跨越不同硬件平臺而生存、

傳染和流行的一類病毒。與感染普通.EXE或.COM文件的病毒

相比，Word宏病毒具有隱蔽性強(qiáng)，傳播迅速，危害嚴(yán)重，難

以防治等特點(diǎn)。具體表現(xiàn)為：

對Word的運(yùn)行破壞。不能正常打印、封閉或改變文

件存儲路徑、將文件改名