新版網(wǎng)絡(luò)信息安全

1、第6章 網(wǎng)絡(luò)(wnglu)信息安全網(wǎng)絡(luò)信息安全概述密碼理論(lln)簡介計算機病毒防火墻與入侵檢測信息安全應(yīng)用共五十四頁6.1 網(wǎng)絡(luò)(wnglu)信息安全概述6.1.1 網(wǎng)絡(luò)信息安全的含義6.1.2 網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅6.1.4 網(wǎng)絡(luò)信息安全對策共五十四頁6.1.1 網(wǎng)絡(luò)(wnglu)信息安全的含義 一般來說，網(wǎng)絡(luò)(wnglu)信息安全主要是指保護(hù)網(wǎng)絡(luò)(wnglu)信息系統(tǒng)，使其沒有危險、不受威脅、不出事故。從技術(shù)角度來說，網(wǎng)絡(luò)(wnglu)信息安全的技術(shù)特征主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實性、可靠性、可用性、不可抵賴性和可控性等方面。

2、保密性：保密性即防止信息泄露給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。完整性：完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入和丟失的特性。真實性：真實性是防止系統(tǒng)內(nèi)的信息感染病毒或遭受惡意攻擊，以確保信息的真實可靠。共五十四頁6.1.1 網(wǎng)絡(luò)(wnglu)信息安全的含義可靠性：可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的特性?？煽啃允窍到y(tǒng)安全的最基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標(biāo)?？捎眯裕哼@是網(wǎng)絡(luò)信息(xnx)可被授權(quán)實體訪問并按需求使用的特性，即網(wǎng)絡(luò)信息(xnx)服務(wù)在需要時，允

3、許授權(quán)用戶或?qū)嶓w使用的特性?？捎眯允蔷W(wǎng)絡(luò)信息(xnx)系統(tǒng)面向用戶的安全性能。不可抵賴性：也稱作不可否認(rèn)性。在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。可控性：可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。 概括地說，網(wǎng)絡(luò)信息安全的核心是通過計算機、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲消息的保密性、完整性、真實性、可靠性、可用性、不可抵賴性和可控性等。共五十四頁6.1.2 網(wǎng)絡(luò)信息安全的結(jié)構(gòu)(jigu)層次網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次主要包括物理安全、安全控制和安全服務(wù)。物理安全：在物理介質(zhì)層次上對

4、存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護(hù)。目前，該層次上常見的不安全因素包括三大類：（1）自然災(zāi)害、物理損壞、設(shè)備故障；（2）電磁輻射(din c f sh)、趁機而入、痕跡泄露；（3）操作失誤。共五十四頁6.1.2 網(wǎng)絡(luò)(wnglu)信息安全的結(jié)構(gòu)層次網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次主要包括物理安全、安全控制和安全服務(wù)。安全控制包括以下三種：（1）操作系統(tǒng)的安全控制。包括對用戶的合法身份進(jìn)行核實，對文件的讀寫存取的控制。此類安全控制主要保護(hù)被存儲數(shù)據(jù)的安全。（2）網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對來自其他機器的網(wǎng)絡(luò)通信進(jìn)程(jnchng)進(jìn)行安全控制。此類控制主要包括身份認(rèn)證、客戶權(quán)限設(shè)置與判別、審計日志等

5、。（3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行狀態(tài)進(jìn)行安全監(jiān)測和控制。此類控制主要通過網(wǎng)管軟件或?qū)W(wǎng)絡(luò)連接設(shè)備的配置實現(xiàn)。共五十四頁6.1.2 網(wǎng)絡(luò)信息安全的結(jié)構(gòu)(jigu)層次網(wǎng)絡(luò)信息安全的結(jié)構(gòu)層次主要包括物理安全、安全控制和安全服務(wù)。安全服務(wù)：在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實性進(jìn)行保護(hù)和鑒別，以滿足用戶的安全需求。比如，以保護(hù)網(wǎng)絡(luò)信息的保密性為目標(biāo)的數(shù)據(jù)加密和解密；以保證網(wǎng)絡(luò)信息來源的真實性和合法性為目標(biāo)的數(shù)字簽名和簽名驗證；以保護(hù)網(wǎng)絡(luò)信息的完整性，防止和檢測數(shù)據(jù)被修改(xigi)、插入、刪除和改變的信息認(rèn)證；會話密鑰的分配和生成、身份驗證等。總之

6、，網(wǎng)絡(luò)信息安全是一個很復(fù)雜的問題，它與被保護(hù)對象密切相關(guān)。網(wǎng)絡(luò)信息安全的本質(zhì)是在安全時間內(nèi)保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸或存儲時不被非授權(quán)用戶訪問，但授權(quán)用戶卻可以訪問。共五十四頁6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅網(wǎng)絡(luò)信息安全面臨的威脅主要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客入侵等方面。1.人為或自然威脅人為威脅通過攻擊系統(tǒng)暴露的要害或弱點，使得網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性和可用性等受到傷害，造成不可估量的損失。人為威脅又分為兩種：一種是以操作失誤為代表的無意威脅（偶然事故）；另一種是以計算機犯罪為代表的有意威脅（惡意攻擊）。自然威脅來自于各種自然災(zāi)害、惡劣的

7、場地環(huán)境、電磁輻射、電磁干擾和設(shè)備自然老化(lohu)等。這些事件，有時會直接威脅網(wǎng)絡(luò)信息安全，影響信息的存儲媒體。共五十四頁6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅網(wǎng)絡(luò)信息安全面臨的威脅主要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客(hi k)入侵等方面。2.安全缺陷網(wǎng)絡(luò)信息系統(tǒng)是計算機技術(shù)和通信技術(shù)的結(jié)合，計算機系統(tǒng)的安全缺陷和通信鏈路的安全缺陷構(gòu)成了網(wǎng)絡(luò)信息系統(tǒng)的潛在安全缺陷。網(wǎng)絡(luò)信息系統(tǒng)的安全缺陷通常包括物理網(wǎng)絡(luò)的安全缺陷、邏輯網(wǎng)絡(luò)的安全缺陷以及通信鏈路的安全缺陷三種。共五十四頁6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅網(wǎng)絡(luò)(wnglu)信息安全面臨的威脅主

8、要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客入侵等方面。3.軟件漏洞陷門：所謂陷門是一個程序模塊的秘密的未記入文檔的入口。一般陷門是在程序開發(fā)時插入的一小段程序，是為了測試這個模塊或者連接將來的更改和升級程序，或者是為了將來發(fā)生故障后，為程序員提供方便等。通常應(yīng)在程序開發(fā)后期去掉這些陷門，但是由于各種有意或無意的原因，陷門也可能被保留下來，一旦被程序員利用，或被人發(fā)現(xiàn)，將會帶來嚴(yán)重的安全后果。操作系統(tǒng)的安全漏洞：操作系統(tǒng)是硬件和軟件應(yīng)用程序之間的接口程序，是整個網(wǎng)絡(luò)信息系統(tǒng)的核心控制軟件，系統(tǒng)的安全體現(xiàn)在整個操作系統(tǒng)之中。廣泛應(yīng)用的Windows操作系統(tǒng)就發(fā)現(xiàn)過很多重大的安全漏洞。共

9、五十四頁6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅網(wǎng)絡(luò)信息安全面臨的威脅主要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客入侵等方面。3.軟件漏洞數(shù)據(jù)庫的安全漏洞：有些數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中，這是不夠安全的。入侵者可以從計算機系統(tǒng)(xtng)的內(nèi)存中導(dǎo)出所需的信息，或者侵入系統(tǒng)(xtng)，從系統(tǒng)(xtng)的后備存儲器上竊取數(shù)據(jù)或篡改數(shù)據(jù)，因此，必要時應(yīng)該對存儲數(shù)據(jù)進(jìn)行加密保護(hù)。數(shù)據(jù)庫的加密應(yīng)該采用較安全的加密方法和密鑰管理方法，因為數(shù)據(jù)的生命周期一般較長，密鑰的保存時間也相應(yīng)較長。TCP/IP協(xié)議的安全漏洞：TCP/IP通信協(xié)議在設(shè)計初期并沒有考慮到安全性問

10、題，因而連接到網(wǎng)絡(luò)上的計算機系統(tǒng)就可能受到外界的惡意攻擊。另外，還有網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)服務(wù)和口令設(shè)置等方面的漏洞。共五十四頁6.1.3 網(wǎng)絡(luò)信息安全面臨(minlng)的威脅網(wǎng)絡(luò)信息安全面臨的威脅主要來自于人為或自然威脅、安全缺陷、軟件漏洞、病毒和黑客入侵等方面。4.黑客和病毒黑客一詞源于英文Hacker，原指熱心于計算機技術(shù)、水平高超的電腦專家，尤其(yuq)是程序設(shè)計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的人。許多黑客入侵僅僅是為了炫耀他們的技術(shù)能力各種安全措施對他們無能為力。懷著惡意的黑客入侵將會造成巨大的損失。黑客一般利用黑客程序來侵入信息系統(tǒng)，或者利用信息系

11、統(tǒng)的缺陷和漏洞來達(dá)到目的。實際上，許多軟件中的漏洞就是他們最先發(fā)現(xiàn)的。病毒是一種具有自我復(fù)制能力和破壞力的程序，它們經(jīng)常偽裝成無害的程序，侵入人們的系統(tǒng)，破壞資料和程序。了解它們的工作原理有助于我們采取有效的預(yù)防措施。共五十四頁6.1.4 網(wǎng)絡(luò)(wnglu)信息安全對策安全問題遵循“木桶短板”原則，即系統(tǒng)的安全性取決于系統(tǒng)的最薄弱環(huán)節(jié)，任何單一層次上的安全措施都不可能提供真正的安全。網(wǎng)絡(luò)信息安全是一個涉及面很廣的問題，要想達(dá)到安全的目的，必須同時從技術(shù)、法規(guī)政策和管理(gunl)這三個方面入手。在安全技術(shù)方面，積極采用已有的安全技術(shù)，如防火墻技術(shù)、加密技術(shù)、入侵檢測技術(shù)等。同時，由于新的威脅不

12、斷出現(xiàn)，必須加強對網(wǎng)絡(luò)信息安全技術(shù)手段的研究與開發(fā)，以適應(yīng)新的安全需求。共五十四頁6.1.4 網(wǎng)絡(luò)(wnglu)信息安全對策網(wǎng)絡(luò)信息安全是一個涉及面很廣的問題，要想達(dá)到安全的目的，必須同時從技術(shù)、法規(guī)政策和管理這三個方面入手。在法規(guī)政策方面，努力提高公眾(gngzhng)的網(wǎng)絡(luò)信息安全意識，使大家認(rèn)識到網(wǎng)絡(luò)信息安全的重要性；加快我國網(wǎng)絡(luò)安全立法的步伐，制定網(wǎng)絡(luò)安全的相關(guān)法律，如信息安全法、互聯(lián)網(wǎng)法、電子信息犯罪法、反計算機病毒法及電子信息出版法等，進(jìn)一步完善對網(wǎng)絡(luò)知識產(chǎn)權(quán)的保護(hù)，對網(wǎng)絡(luò)中計算機硬件、軟件及網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)進(jìn)行規(guī)范；推進(jìn)互聯(lián)網(wǎng)行業(yè)自律，凈化網(wǎng)絡(luò)環(huán)境，杜絕有害信息的制作、發(fā)布、復(fù)制和

13、傳播。共五十四頁6.1.4 網(wǎng)絡(luò)(wnglu)信息安全對策網(wǎng)絡(luò)信息安全是一個涉及面很廣的問題，要想達(dá)到安全的目的，必須同時從技術(shù)、法規(guī)政策和管理這三個方面入手。在管理上，建立起具有權(quán)威性的信息安全管理機構(gòu)，制定網(wǎng)絡(luò)信息安全政策，對網(wǎng)絡(luò)信息安全管理進(jìn)行統(tǒng)籌規(guī)劃，對面臨的重大網(wǎng)絡(luò)信息安全事件做出快速反應(yīng)與決策；制定健全的安全管理制度，如安全管理等級和安全管理范圍、系統(tǒng)操作使用規(guī)程和人員操作管理制度、基站和交換機房的管理制度、系統(tǒng)維護(hù)制度和應(yīng)急措施，以及嚴(yán)格的內(nèi)部人員控制和內(nèi)部互聯(lián)網(wǎng)控制等，避免不規(guī)范和不符合規(guī)程的操作影響(yngxing)系統(tǒng)的穩(wěn)定運行；加大對員工的教育培訓(xùn)，提高其技術(shù)能力和職業(yè)素

14、質(zhì)，應(yīng)對隨時可能出現(xiàn)的信息安全問題，盡量杜絕非技術(shù)事故的發(fā)生。共五十四頁6.2 密碼(m m)理論簡介6.2.1 基本概念6.2.2 網(wǎng)絡(luò)通信中的加密方式6.2.3 著名密碼算法(sun f)舉例共五十四頁6.2.1 基本概念密碼技術(shù)(jsh)通過信息的變換或編碼，將機密、敏感的消息變換成他人難以讀懂的亂碼型文字，以此達(dá)到兩個目的：使他人不能從其截獲的亂碼中得到任何有意義的信息使他人不能偽造任何亂碼型的信息 基本概念被隱蔽的消息稱作明文，通常以m表示；密碼可將明文變換成另一種隱蔽形式，稱為密文，通常以c表示 ；由明文到密文的變換稱為加密 ；由合法接收者從密文恢復(fù)出明文的過程稱為解密（或脫密）

15、；非法接收者試圖從密文分析出明文的過程稱為破譯；共五十四頁6.2.1 基本概念基本概念對明文進(jìn)行加密時采用(ciyng)的一組規(guī)則稱為加密算法，通常用E表示 ；對密文解密時采用的一組規(guī)則稱為解密算法，通常用D表示 ；加密算法和解密算法是在一組僅有合法用戶知道的秘密信息的控制下進(jìn)行的，該秘密信息稱為密鑰 ；加密和解密過程中使用的密鑰分別稱為加密密鑰（通常以k1表示）和解密密鑰（通常以k2表示）。 共五十四頁6.2.1 基本概念以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為(fn wi)單鑰密碼系統(tǒng)（又稱為對稱密碼或私鑰密碼）和雙鑰密碼系統(tǒng)（又稱為非對稱密碼或公鑰密碼）。 在單鑰體制下，加密密鑰與解密密鑰相同（即

16、k1 = k2 = k），或從加密密鑰可以很容易地推導(dǎo)出解密密鑰，此時密鑰 k 需經(jīng)過安全的密鑰信道由發(fā)方傳給收方。 單鑰密碼的特點是無論加密還是解密都使用同一個密鑰。 最有影響的單鑰密碼是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法。共五十四頁6.2.1 基本概念單鑰密碼的優(yōu)點安全性高加、解密速度快。 單鑰密碼的缺點隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，密鑰的管理成為(chngwi)一個難點無法解決消息確認(rèn)問題缺乏自動檢測密鑰泄露的能力共五十四頁6.2.1 基本概念雙鑰體制下加密密鑰與解密密鑰不同，不需要安全信道來傳送密鑰。 雙鑰密碼是1976年W. Diffie和M. E. Hellman提出的一種新型密碼體制

17、。雙鑰密碼體制的加密和解密不同，所以不存在密鑰管理問題。 雙鑰密碼還有一個優(yōu)點(yudin)是可以擁有數(shù)字簽名等新功能。 最有名的雙鑰密碼是1977年由Rivest、Shamir和Adleman三人提出的RSA密碼體制。 雙鑰密碼的缺點：算法一般比較復(fù)雜，加、解密速度慢共五十四頁6.2.1 基本概念如果以密碼算法對明文的處理方式為標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為分組密碼和序列密碼。分組密碼的加密方式是首先將明文序列以固定長度進(jìn)行分組，每一組明文分別用相同的密鑰和加密函數(shù)進(jìn)行加密。序列密碼的加密過程是把明文序列與等長的密鑰序列進(jìn)行運算(yn sun)加密。解密過程則是把密文序列與等長的密鑰序列進(jìn)行運算(

18、yn sun)解密。序列密碼的安全性主要依賴于密鑰序列。共五十四頁6.2.2 網(wǎng)絡(luò)通信中的加密(ji m)方式于密碼算法的數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)上所有通信安全所依賴的基本技術(shù)。目前網(wǎng)絡(luò)通信加密主要有三種方式：1.鏈路加密方式優(yōu)點在于不受加、解密對系統(tǒng)要求的變化等影響(yngxing)。 2.節(jié)點對節(jié)點加密方式缺點：需要目前的公共網(wǎng)絡(luò)提供者配合，修改他們的交換節(jié)點，增加安全單元或保護(hù)裝置。 3.端對端加密方式端對端加密方式則是對整個網(wǎng)絡(luò)系統(tǒng)采取保護(hù)措施。因此，端對端加密方式是將來的發(fā)展趨勢。 共五十四頁6.2.2 網(wǎng)絡(luò)通信中的加密(ji m)方式數(shù)據(jù)加密實現(xiàn)方法主要有兩種：軟件加密和硬件加密。軟件加

19、密一般是用戶在發(fā)送信息前，先調(diào)用信息安全模塊對信息進(jìn)行加密，然后發(fā)送，到達(dá)接收方后，由用戶用解密軟件進(jìn)行解密，還原成明文。 硬件加密可以采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議進(jìn)行管理，也可以采用統(tǒng)一的自定義網(wǎng)絡(luò)管理協(xié)議進(jìn)行管理，因此密鑰的管理比較方便，而且可以對加密設(shè)備進(jìn)行物理加固，使得攻擊者無法(wf)對其進(jìn)行直接攻擊。 共五十四頁6.2.3 著名(zhmng)密碼算法舉例1. 數(shù)據(jù)加密標(biāo)準(zhǔn)（DES） 1975年，美國國家標(biāo)準(zhǔn)局接受了國際商業(yè)機器公司（IBM）推薦的一種密碼算法 。2. IDEA密碼算法 IDEA是近年來提出的各種分組密碼中一個很成功的方案，已在PGP加密軟件中應(yīng)用。 3. Rijndael

20、算法 Rijndael算法已被廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名、節(jié)點加密及各種網(wǎng)絡(luò)加密。 4. RSA算法 是迄今為止理論上最為成熟完善的一種公鑰密碼體制。它的安全性是基于(jy)大數(shù)的分解困難，而算法的構(gòu)造是基于(jy)數(shù)學(xué)上的Euler定理。 RSA中的加、解密變換是可交換的互逆變換，所以 RSA還可用來做數(shù)字簽名。共五十四頁6.3 計算機病毒6.3.1 病毒的原理、特點(tdin)與傳播途徑6.3.2 病毒的類型6.3.3 病毒的預(yù)防6.3.4 病毒的清除共五十四頁6.3.1 病毒(bngd)的原理、特點與傳播途徑病毒是一種特殊的計算機程序，會進(jìn)行一些惡意的破壞活動，使用戶的網(wǎng)絡(luò)或信息系統(tǒng)遭

21、受浩劫 。 病毒是一種基于硬件和操作系統(tǒng)的程序，任何一種病毒都是針對某種處理器和操作系統(tǒng)編寫(binxi)的。計算機病毒特點破壞性傳染性隱藏性可激活性針對性。病毒的主要傳播途徑：網(wǎng)絡(luò)、 U盤、硬盤和光盤。共五十四頁6.3.2 病毒(bngd)的類型1.系統(tǒng)引導(dǎo)型病毒 指寄生(jshng)在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。 2.文件型病毒 文件型病毒的宿主不是引導(dǎo)區(qū)而是一些可執(zhí)行程序。 文件型病毒分為三類：覆蓋型、前/后附加型和伴隨型。 3.宏病毒 Windows Word宏病毒是利用Word提供的宏功能，將病毒程序插入到帶有宏的.doc文件或.dot文件中。 共五十四頁6.3.2 病毒(bn

22、gd)的類型4.混合型病毒 混合型病毒指同時具有多種類型病毒特征的計算機病毒，它的破壞性更大，傳染的機會也更多，滅殺也更困難。 5.網(wǎng)絡(luò)蠕蟲病毒 蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒， 具有自己的一些特征，如不利用文件寄生(jshng)（有的只存在于內(nèi)存中），使服務(wù)器拒絕服務(wù)合法用戶以及和黑客技術(shù)相結(jié)合等。6.木馬病毒 是一種偽裝潛伏的網(wǎng)絡(luò)病毒，它通過一段特定的程序（木馬程序）來控制遠(yuǎn)程計算機。 共五十四頁6.3.3 病毒(bngd)的預(yù)防通過技術(shù)(jsh)和管理兩個方面的努力，病毒是完全可以防范的?！邦A(yù)防為主、治療為輔”這一方針也完全適合于計算機病毒的處理。預(yù)防計算機感染病毒，要注意以下幾個

23、方面：養(yǎng)成良好的安全習(xí)慣，不打開來路不明的郵件和附件，不登錄一些不太了解的網(wǎng)站，不安裝和使用非正版軟件關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)工具經(jīng)常升級操作系統(tǒng)的安全補丁迅速隔離被病毒感染的計算機安裝正版的計算機防病毒軟件和防火墻軟件共五十四頁6.3.4 病毒(bngd)的清除無論多么嚴(yán)密的病毒(bngd)防范措施，都無法絕對阻止計算機病毒(bngd)入侵。清除病毒的原則計算機病毒的清除工作最好在無毒的環(huán)境中進(jìn)行，以確保清除病毒的有效性。為此，要求在清除病毒前用無毒的計算機系統(tǒng)引導(dǎo)盤啟動系統(tǒng)或清除內(nèi)存的計算機病制作無毒的系統(tǒng)盤，以備使用。在清除病毒前，一定要確認(rèn)系統(tǒng)或文件確實被感染病毒并準(zhǔn)確判斷病毒的類

24、型，以保證清毒有效，否則，可能會破壞原有的系統(tǒng)文件。盡可能地找出病毒的宿主程序，搞清病毒傳染的是引導(dǎo)區(qū)還是文件，或者是兩者都被傳染，以便找到清除病毒的最佳方法。共五十四頁6.3.4 病毒(bngd)的清除清除病毒的原則檢測病毒時注意不要激活病毒，因為在激活病毒的同時，計算機系統(tǒng)可能已經(jīng)被破壞。清除工作要深入而全面，為保證清除工作的徹底性，要對檢測到的病毒進(jìn)行認(rèn)真分析研究，尤其對自身加密的病毒引起重視，把修改過的文件轉(zhuǎn)換過來，否則清除病毒后的文件無法使用。不能用病毒標(biāo)識免疫方法清除病毒。對于那些既感染文件又感染引導(dǎo)區(qū)的病毒，在清除文件病毒之后，還應(yīng)該(ynggi)清除引導(dǎo)區(qū)中的病毒代碼，以防止這

25、些代碼重新生成計算機病毒。在對文件的病毒清除之后，必須檢查系統(tǒng)中其他同類文件是否也感染了此病毒，避免清除病毒后系統(tǒng)再次運行時又出現(xiàn)病毒。 共五十四頁6.3.4 病毒(bngd)的清除國內(nèi)外的殺毒軟件360殺毒軟件瑞星殺毒軟件江民殺毒軟件KV金山毒霸Norton AntiVirus共五十四頁6.4 防火墻與入侵(rqn)檢測6.4.1 防火墻概念6.4.2 防火墻體系結(jié)構(gòu)6.4.3 入侵(rqn)檢測的概念6.4.4 入侵檢測系統(tǒng)的工作原理和分類共五十四頁6.4.1 防火墻概念(ginin)防火墻是指一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，它

26、能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。 防火墻系統(tǒng)可以決定(judng)哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部特定的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻，接受防火墻的檢查。 防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠防止被滲透。防火墻系統(tǒng)一旦被攻擊者突破，就不能提供任何保護(hù)了。 共五十四頁6.4.1 防火墻概念(ginin)從總體上看，防火墻應(yīng)具有(jyu)以下五大基本功能：過濾進(jìn)出網(wǎng)絡(luò)的

27、數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和警告。共五十四頁6.4.1 防火墻概念(ginin)防火墻是一種綜合性的技術(shù)，涉及計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織的安全規(guī)范以及操作系統(tǒng)等多方面內(nèi)容。 防火墻最基本(jbn)的構(gòu)件既不是軟件也不是硬件，而是構(gòu)造防火墻的思想。最初的防火墻只是一種概念而不是一種產(chǎn)品，是構(gòu)造者腦海中的一種想法，即“誰”和“什么”能被允許訪問本網(wǎng)絡(luò)。共五十四頁6.4.2 防火墻體系結(jié)構(gòu)雙宿網(wǎng)關(guān)防火墻屏蔽(pngb)主機防火墻屏蔽子網(wǎng)防火墻共五十四頁雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)防火墻又

28、稱為雙重宿主主機防火墻。雙宿網(wǎng)關(guān)是一種擁有兩個分別連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。 雙重宿主主機是唯一隔開內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙重宿主主機的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會被入侵。所以，為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機應(yīng)具有強大的身份(shn fen)認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法入侵。共五十四頁雙宿網(wǎng)關(guān)防火墻共五十四頁屏蔽(pngb)主機防火墻在該體系結(jié)構(gòu)中，所有的外部主機與一個堡壘主機（一種被強化的可以防御進(jìn)攻的計算機）相連接，而不讓它們直接與內(nèi)部主機相連。屏蔽主機防火墻由包過濾路由器和堡壘主機組成。堡壘主機配置(pizh)在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放

29、置在內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間。在路由器上進(jìn)行規(guī)則配置(pizh)，使得外部系統(tǒng)只能訪問堡壘主機，去往內(nèi)部系統(tǒng)上其他主機的通信則全部被禁止，如圖6-3所示。在該體系中，過濾路由器是否正確配置是防火墻安全與否的關(guān)鍵。過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，否則，如果路由表遭到破壞，則數(shù)據(jù)包就不會被路由到堡壘主機上，從而使外部訪問能夠越過堡壘主機進(jìn)入內(nèi)網(wǎng)。共五十四頁屏蔽(pngb)主機防火墻共五十四頁屏蔽(pngb)子網(wǎng)防火墻內(nèi)部路由器（又稱阻塞路由器）位于內(nèi)部網(wǎng)和“非軍事區(qū)”之間，用于保護(hù)內(nèi)部網(wǎng)不受“非軍事區(qū)”和因特網(wǎng)的侵害，它執(zhí)行了大部分的過濾工作。外部路由器位于“非軍事區(qū)”和外部網(wǎng)絡(luò)之間。對于進(jìn)來的

30、信息，外部路由器用于防范通常的外部攻擊（如源地址欺騙和源路由攻擊），并管理因特網(wǎng)到“非軍事區(qū)”網(wǎng)絡(luò)的訪問。外部系統(tǒng)只允許訪問堡壘(boli)主機（還可能有信息服務(wù)器），內(nèi)部路由器提供第二層防御，只接受源于堡壘(boli)主機的數(shù)據(jù)包，負(fù)責(zé)管理“非軍事區(qū)”到內(nèi)部網(wǎng)絡(luò)的訪問。對于去往因特網(wǎng)的數(shù)據(jù)包，內(nèi)部路由器管理內(nèi)部網(wǎng)絡(luò)到“非軍事區(qū)”網(wǎng)絡(luò)的訪問，內(nèi)部系統(tǒng)只允許訪問堡壘主機（還可能有信息服務(wù)器）。外部路由器只接受來自堡壘主機并去往因特網(wǎng)的數(shù)據(jù)包。共五十四頁屏蔽(pngb)子網(wǎng)防火墻共五十四頁6.4.3 入侵(rqn)檢測的概念入侵檢測系統(tǒng)（IDS，Intrusion Detection System

31、）是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經(jīng)授權(quán)的訪問和其他異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測從計算機網(wǎng)絡(luò)中的若干關(guān)鍵點收集并分析信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和網(wǎng)絡(luò)遭到攻擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而(cng r)提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。 共五十四頁6.4.4 入侵(rqn)檢測的工作原理和分類1. 工作原理入侵檢測系統(tǒng)的工作流程(lichng)分為三個步驟，即信息收集、數(shù)據(jù)分析、響應(yīng)，其中數(shù)據(jù)分析是核心。1）信息收集信息收集

32、的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，而且，需要在計算機網(wǎng)絡(luò)中的若干關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息。這既為了盡可能擴(kuò)大檢測范圍，同時也是因為從一個來源獲得的信息有可能看不出疑點，但來自幾個來源的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。IDS利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息等四個方面。 共五十四頁6.4.4 入侵檢測的工作原理(yunl)和分類2）數(shù)據(jù)分析對上述涉及的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。3）響應(yīng)攻擊追蹤：追查攻擊者的真實來

33、源；躲避攻擊：重新配置輔助系統(tǒng)（如直接修改防火墻或路由器的過濾表）或切斷任何嘗試性連接；自愈：根據(jù)新發(fā)現(xiàn)的安全隱患和漏洞及相應(yīng)攻擊模式庫，自動修正(xizhng)系統(tǒng)配置和安全縫隙；快速恢復(fù)：實現(xiàn)受害部位的定位和隔離，以及系統(tǒng)功能的重組和恢復(fù)。共五十四頁6.4.3 入侵檢測(jin c)的概念2.分類根據(jù)不同的標(biāo)準(zhǔn)，入侵檢測系統(tǒng)有不同的分類方法，若以檢測對象為標(biāo)準(zhǔn)，主要分為三類：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)。主機型入侵檢測系統(tǒng)通常安裝在被重點保護(hù)的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。網(wǎng)絡(luò)型入侵檢測系統(tǒng)一般放在比較重要的網(wǎng)段內(nèi)，不間斷地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，并對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析?；旌先肭謾z測系統(tǒng)是上述兩類入侵檢測技術(shù)的無縫結(jié)合?；旌先肭謾z測系統(tǒng)是綜合(zngh)了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)優(yōu)點的入侵檢測系統(tǒng)，它既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。共五十四頁6.5 信息安全應(yīng)用(yngyng)6.5.1 信息安全社會6.5.2 信息安全技術(shù)(jsh)的應(yīng)用6.5.3 信息安全技術(shù)的操作與實踐共五十四頁6.5.1 信息安全社會(shhu)信息技術(shù)的進(jìn)步，促成了因特網(wǎng)的爆炸式發(fā)展。從對人類社會影響的深度與廣度看，因特網(wǎng)超過了迄今為止