tcpip协议浙江工业大学市公开课一等奖省赛课获奖课件

网络安全陈庆章qzchen@11月29日tcpip协议浙江工业大学第1页上次课内容复习tcpip协议浙江工业大学第2页文件传输（FTP）FTP是什么？FTP是FileTransferProtocol英文缩写，即“文件传输协议”。用于在计算机之间传送文件把文件从当地主机传送到远程主机称为“上载”Upload，Put把文件从远程主机传送到当地主机称为“下载”Download，GetFTP能够传输各种类型文件：文本文件（ASCII）、二进制文件（Binary）；压缩文件、非压缩文件。登录FTP服务器用户需要注册才能登录，但有FTP服务器也允许匿名（Anonymous）登录。tcpip协议浙江工业大学第3页HTML语言

HTML：超文本标识语言（HypertextMarkupLanguage）加入了许多被称为链接标签(tag)特殊字符串普通文本文件。从结构上讲，HTML文件由许各种元素(element)组成，这些元素用于组织文件内容和指导文件输出格式。绝大多数元素是“容器”，即它有起始标识和结尾标识。元素起始标识叫做起始链接标签(starttag)，元素结束标识叫做结尾链接标签(endtag)，在起始链接标签和结尾链接标签中间部分是元素体。tcpip协议浙江工业大学第4页HTML框架<HTML><HEAD>Headerelement</HEAD><BODY>bodyofDocument</BODY></HTML>tcpip协议浙江工业大学第5页网络安全基本概念tcpip协议浙江工业大学第6页网络安全要处理主要问题网络安全主要处理数据保密和认证问题。数据保密就是采取复杂多样办法对数据加以保护，以预防数据被有意或无意地泄露给无关人员。认证分为信息认证和用户认证两个方面信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造，用户认证是指用户双方都能证实对方是这次通信正当用户。通常在一个完备保密系统中既要求信息认证，也要求用户认证。tcpip协议浙江工业大学第7页网络安全包含OSI-RM各层实际上，每一层都能够采取一定办法来预防一些类型网络入侵事件，在一定程度上保障数据安全。物理层——能够在包容电缆密封套中充入高压氖气；链路层——能够进行所谓链路加密，即将每个帧编码后再发出，当抵达另一端时再解码恢复出来；网络层——能够使用防火墙技术过滤一部分有嫌疑数据报；在传输层上甚至整个连接都能够被加密。tcpip协议浙江工业大学第8页网络安全定义

网络安全是指网络系统硬件、软件及其系统中数据受到保护，不受偶然或者恶意原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中止。（1）运行系统安全，即确保信息处理和传输系统安全。（2）网络上系统信息安全。（3）网络上信息传输安全，即信息传输后果安全。（4）网络上信息内容安全，即我们讨论狭义“信息安全”。tcpip协议浙江工业大学第9页网络安全应具备四个特征保密性：信息不泄露给非授权用户、实体或过程，或供其利用特征；完整性：数据未经授权不能进行改变特征，即信息在存放或传输过程中保持不被修改、不被破坏和丢失特征；可用性：可被授权实体访问并按需求使用特征，即当需要时应能存取所需信息，网络环境下拒绝服务、破坏网络和相关系统正常运行等都属于对可用性攻击；可控性：对信息传输及内容含有控制能力。tcpip协议浙江工业大学第10页主要网络安全威胁（1）非授权访问（UnauthorizedAccess）：一个非授权人入侵。（2）信息泄露（DisclosureofInformation）：造成将有价值和高度机密信息暴露给无权访问该信息人全部问题。（3）拒绝服务（DenialofService）：使得系统难以或不可能继续执行任务全部问题。tcpip协议浙江工业大学第11页计算机安全分类依据中国国家计算机安全规范，计算机安全大致可分为三类：1）实体安全。包含机房、线路、主机等；2）网络安全。包含网络通畅、准确以及网上信息安全；3）应用安全。包含程序开发运行、I/O、数据库等安全。tcpip协议浙江工业大学第12页安全威胁常见现象非授权访问假冒正当用户数据完整性受破坏病毒通信线路被窃听干扰系统正常运行，改变系统正常运行方向，以及延时系统响应时间tcpip协议浙江工业大学第13页数据安全tcpip协议浙江工业大学第14页密码分析和密码学P=Dk（Ek（P））破译密码技术叫做密码分析设计密码和破译密码技术统称为密码学

tcpip协议浙江工业大学第15页密码学一条基本标准是：必须假定破译者知道通用加密方法，也就是说加密算法E是公开。基本加密模型：加密算法是公开和相对稳定，而作为参数密钥是保密，而且是易于更换。基本加密模型tcpip协议浙江工业大学第16页XOR加密tcpip协议浙江工业大学第17页

定义：替换密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母位置不变。传统加密方法：替换密码tcpip协议浙江工业大学第18页凯撒密码——最古老地带密码凯撒密码，它用D表示a，用E表示b，用F表示c，……，用C表示z，也就是说密文字母相对明文字母左移了3位。更普通地，能够让密文字母相对明文字母左移k位，这么k就成了加密和解密密钥。缺点：轻易破译，因为最多只需尝试25次（k=1～25）即可轻松破译密码。记法约定：用小写表示明文，用大写表示密文tcpip协议浙江工业大学第19页替换密码

使用一个符号来替换另一个，比如单字符密码:用一个字母来替换另一个明文:abcdefghijklmnopqrstuvwxyz密文:mnbvcxzasdfghjklpoiuytrewq明文:bob.iloveyou.alice密文:nkn.sgktcwky.mgsbc比如：XOR是最简单和有效加密方法?规则tcpip协议浙江工业大学第20页换位密码换位有时也称为排列，它不对明文字母进行变换，只是将明文字母次序进行重新排列。例：COMPUTER明文pleaseexecutethelatestScheme14358726p1easeexecutethe密文PELHEHSCEUTMLCAEATEEXECDETTBSESA1atestschemeabcdtcpip协议浙江工业大学第21页密钥分发问题秘密密钥一个弱点是解密密钥必须和加密密钥相同，这就产生了怎样安全地分发密钥问题。传统上是由一个中心密钥生成设备产生一个相同密钥对，并由人工信使将其传送到各自目标地。对于一个拥有许多部门组织来说，这种分发方式是不能令人满意，尤其是出于安全方面考虑需要经常更换密钥时更是如此。tcpip协议浙江工业大学第22页公开密钥算法在公开密钥算法中，加密密钥和解密密钥是不一样，而且从加密密钥不能得到解密密钥。为此，加密算法E和解密算法D必须满足以下三个条件：①D（E（P））=P；②从E导出D非常困难；③使用“选择明文”攻击不能攻破E。假如能够满足以上三个条件，则加密算法完全能够公开。tcpip协议浙江工业大学第23页公开密钥算法基本思想假如某个用户希望接收秘密报文，他必须设计两个算法：加密算法E和解密算法D，然后将加密算法放于任何一个公开文件中广而通知，这也是公开密钥算法名称由来，他甚至也能够公开他解密方法，只要他妥善保留解密密钥即可。当两个完全陌生用户A和B希望进行秘密通信时，各自能够从公开文件中查到对方加密算法。若A需要将秘密报文发给B，则A用B加密算法EB对报文进行加密，然后将密文发给B，B使用解密算法DB进行解密，而除B以外任何人都无法读懂这个报文；当B需要向A发送消息时，B使用A加密算法EA对报文进行加密，然后发给A，A利用DA进行解密。tcpip协议浙江工业大学第24页在这种算法中，每个用户都使用两个密钥：加密密钥是供其它人向他发送报文用，这是公开；解密密钥是用于对收到密文进行解密，这是保密。通惯用公开密钥和私人密钥分别称呼公开密钥算法中加密密钥和解密密钥，以同传统密码学中秘密密钥相区分。因为私人密钥只由用户自己掌握，不需要分发给他人，也就不用担心在传输过程中或被其它用户泄密，因而是极其安全。著名算法：RSA算法tcpip协议浙江工业大学第25页公钥私钥体制tcpip协议浙江工业大学第26页用户认证tcpip协议浙江工业大学第27页用户认证概念定义：通信双方在进行主要数据交换前，经常需要验证对方身份，这种技术称为用户认证。在实际操作中，除了认证对方身份外，同时还要在双方间建立一个秘密会话密钥，该会话密钥用于对其后会话进行加密。每次连接都使用一个新随机选择密钥tcpip协议浙江工业大学第28页基于共享秘密密钥用户认证

假设在A和B之间有一个共享秘密密钥KAB

。某个时候A希望和B进行通信，于是双方采取如图所表示过程进行用户认证。使用共享秘密密钥进行用户认证tcpip协议浙江工业大学第29页使用密钥分发中心用户认证要求通信双方含有共享秘密密钥有时是做不到，另外假如某个用户要和n个用户进行通信，就需要有n个不一样密钥，这给密钥管理也带来很大麻烦。处理方法是引进一个密钥分发中心（KeyDistributionCenter，KDC）。KDC是能够信赖，而且每个用户和KDC间有一个共享秘密密钥，用户认证和会话密钥管理都经过KDC来进行。tcpip协议浙江工业大学第30页KDC举例如图所表示，A希望和B进行通信

一个用KDC进行用户认证协议tcpip协议浙江工业大学第31页使用公开密钥算法用户认证协议

使用公开密钥进行用户认证tcpip协议浙江工业大学第32页数字署名tcpip协议浙江工业大学第33页数字署名概念一个能够替换手迹署名系统必须满足以下三个条件：①接收方经过文件中署名能认证发送方身份；②发送方以后不能否定发送过署名文件；③接收方不可能伪造文件内容。tcpip协议浙江工业大学第34页使用秘密密钥算法数字署名这种方式需要一个能够信赖中央权威机构（Centra1Authority，以下简称CA）参加，每个用户事先选择好一个与CA共享秘密密钥并亲自交到CA，以确保只有用户和CA知道这个密钥。除此以外，CA还有一个对全部用户都保密秘密密钥KCA。tcpip协议浙江工业大学第35页使用秘密密钥算法数字署名当A想向B发送一个署名报文P时，它向CA发出KA（B，RA，t，P），其中RA为报文随机编号，t为时间戳；CA将其解密后，重新组织成一个新密文KB（A，RA，t，P，KCA（A，t，P））发给B，因为只有CA知道密钥KCA，所以其它任何人都无法产生和解开密文KCA（A，t，P）；B用密钥KB解开密文后，首先将KCA（A，t，P）放在一个安全地方，然后阅读和执行P。tcpip协议浙江工业大学第36页验证当过后A试图否定给B发过报文P时，B能够出示KCA（A，t，P）来证实A确实发过P，因为B自己无法伪造出KCA（A，t，P），它是由CA发来，而CA是能够信赖，假如A没有给CA发过P，CA就不会将P发给B，这只要用KCA对KCA（A，t，P）进行解密，一切就可真相大白。为了防止重复攻击，协议中使用了随机报文编号RA和时间戳t。B能记住最近收到全部报文编号，假如RA和其中某个编号相同，则P就被当成是一个复制品而丢弃，另外B也依据时间戳t丢弃旧报文，以预防攻击者经过很长一段时间后，再用旧报文来重复攻击。tcpip协议浙江工业大学第37页加密技术应用案例tcpip协议浙江工业大学第38页防火墙tcpip协议浙江工业大学第39页防火墙技术防火墙（Firewall）是在两个网络之间执行访问控制策略硬件或软件系统，目标是保护网络不被他人侵扰。本质上，它遵照是一个数据进行过滤网络通信安全机制，只允许授权通信，而禁止非授权通信。通常，防火墙就是位于内部网或Web站点与因特网之间一台路由器或计算机。tcpip协议浙江工业大学第40页通常，布署防火墙理由包含：预防入侵者干扰内部网络正常运行；预防入侵者删除或修改存放再内部网络中信息；预防入侵者偷窃内部秘密信息。防火墙应该有以下功效：全部进出网络通信流都应该经过防火墙。全部穿过防火墙通信流都必须有安全策略和计划确实认和授权。理论上说，防火墙是穿不透。tcpip协议浙江工业大学第41页内部网需要防范三种攻击

间谍、试图偷走敏感信息黑客、入侵者和闯进者。偷窃，偷窃对象包含数据、Web表格、磁盘空间和CPU资源等。破坏系统：经过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。tcpip协议浙江工业大学第42页防火墙在因特网与内部网中位置

tcpip协议浙江工业大学第43页

防火墙类型

1）从软、硬件形式上分为：软件防火墙和硬件防火墙以及芯片级防火墙。2）从防火墙技术分为：“包过滤型”、“状态检测型”和“应用代理型”三大类。3）从防火墙结构分为：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。4）按防火墙应用布署位置分为：边界防火墙、个人防火墙和混合防火墙三大类。5）按防火墙性能分为：百兆级防火墙和千兆级防火墙两类。tcpip协议浙江工业大学第44页包（分组）过滤型防火墙

包过滤（PacketFiltering）是防火墙最基本实现形式，它控制哪些数据包能够进出网络而哪些数据包应被网络拒绝。包过滤防火墙通常是放置在因特网与内部网络之间一个具备包过滤功效简单路由器，这是因为包过滤是路由器固有属性。tcpip协议浙江工业大学第45页包过滤可依据以下三类条件允许或阻止数据包经过路由器：包源地址及源端口；包目标地址及目标端口；包传送协议，如FTP、SMTP、rlogin等。tcpip协议浙江工业大学第46页包过滤优点简单、易于实现、对用户透明、路由器无偿提供此功效。仅用一个放置在内部网与因特网边界上包过滤路由器就可保护整个内部网络。tcpip协议浙江工业大学第47页包过滤缺点编制逻辑上严密无漏洞包过滤规则比较困难，对编制好规则进行测试维护也较麻烦。维护复杂包过滤规则也是一件很麻烦事情包过滤规则判别会降低路由器转发速度对包中应用数据无法过滤它总是假定包头部信息是正当有效。以上这些缺点使得包过滤技术通常不单独使用，而是作为其它安全技术一个补充。tcpip协议浙江工业大学第48页包过滤规则在配置包过滤路由器时，首先要确定哪些服务允许经过而哪些服务应被拒绝，并将这些要求翻译成相关包过滤规则（在路由器中，包过滤规则又被称为访问控制表（AccessList））。tcpip协议浙江工业大学第49页包过滤处理流程

tcpip协议浙江工业大学第50页包过滤规则设计示例假设网络策略安全规则确定：从外部主机发来因特网邮件由特定网关“Mail-GW”接收，而且要拒绝从不信任主机“CREE-PHOST”发来数据流。在这个例子中，SMTP使用网络安全策略必须翻译成包过滤规则。为便于了解，把网络安全规则翻译成以下汉字形式：[过滤器规则1]：不相信从CREE-PHOST来连接。[过滤器规则2]：允许与邮件网关Mail-GW连接。tcpip协议浙江工业大学第51页以上规则被编成以下表形式。其中星号（*）表明它能够匹配该列任何值。这些规则应用次序与它们在表中次序相同。假如一个包不与任何规则匹配，它就会遭到拒绝。序号动作内部主机内外部主机外说明1阻塞**Cree-phost*阻塞来自Cree-phost流量2允许Mail-GW25**允许邮件网关Mail-GW连接3允许***25允许输出SMTP至远程邮件网关tcpip协议浙江工业大学第52页状态监测型防火墙

采取动态设置包过滤规则方法，防止了静态包过滤所含有问题。采取这种技术防火墙对经过其建立每一个连接都进行跟踪，而且依据需要可动态地在过滤规则中增加或更新条目。tcpip协议浙江工业大学第53页应用代理型防火墙

应用代理型防火墙是工作在OSI最高层，即应用层。其特点是完全“阻隔”了网络通信流，经过对每种应用服务编制专门代理程序，实现监视和控制应用层通信流作用。代理服务就是指定一台有访问因特网能力主机作为网络中客户端代理去与因特网中主机进行通信。

tcpip协议浙江工业大学第54页安全问题来自何方？tcpip协议浙江工业大学第55页黑客入侵国家利益、商业利益、个人谋利内部攻击病毒侵入秘密信息泄露硬件和软件后门安全威胁tcpip协议浙江工业大学第56页黑客概念英文：Hacker、Intruder(入侵者)、Cracker(破坏者)简单了解：是资料窃取者或信息系统入侵者原意：熟悉某种电脑系统，并含有极高技术能力，长时间将心力投注在信息系统研发，而且乐此不疲人。当前共识：在信息/网络世界中，仰仗着自己技术能力，咨意非法进出他人信息系统，视法律与社会规范于不顾角色。tcpip协议浙江工业大学第57页谁是黑客业余电脑兴趣者。多半是对网络技术有兴趣学生，可能是信息技术相关行业从业人员。职业入侵者。这些人把入侵当成事业，认真系统地整理全部可能发生系统弱点，熟悉各种信息安全攻防工具。电脑高手。可能是天才学生，也可能是熟练电脑工程师，他们对网络、操作系统运作了若指掌。Hacker级Cracker。可能你所使用操作系统就是出自他设计，可能你使用系统安全工具就是他开发。tcpip协议浙江工业大学第58页黑客目标信息战-国家利益商业对手-窃取机密资料个人谋利-盗用他人钱财好奇心与成就感盗用系统资源tcpip协议浙江工业大学第59页危害实例诋毁政府-企业形象商业机密泄露电子坑骗抵赖破坏主机联邦调查局主页被修改当当书店遭遇黑客入侵破坏,状告8848网站BillGates信用卡在利用电子商务登记会员时被盗用

Love病毒当日感染用户40万，

全球损失$100million

危害tcpip协议浙江工业大学第60页内部攻击计算机犯罪、黑客攻击等非法攻击行为70%来自于内部网络;内部攻击频发原因：①局域网是黑客和计算机迷学习练习最好场所；②被害单位财富和信息过于集中而又疏于内部管理；③个别品质低下内部人员对本单位信息环境熟悉又加剧了其作案和被外部人勾结引诱可能性；④管理者信息安全意识不强，缺乏对职员信息安全教育；内部攻击主要伎俩有：冒名顶替、修改网卡内码、使用黑客工具等。tcpip协议浙江工业大学第61页病毒感染：计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入破坏计算机功效或者数据，影响计算机使用，并能自我复制一组计算机指令或者程序代码。摘自《中华人民共和国计算机信息系统安全保护条例》第28条tcpip协议浙江工业大学第62页病毒感染：经典现象Word、Excel文件打不开；主要文件被破坏或丢失；打开邮件后，系统死机；计算机莫迷奇妙奏起音乐；计算机分区丢失；内存不足、速度越来越慢；……tcpip协议浙江工业大学第63页病毒感染：感染现象举例WIN95.HPS病毒发作现象tcpip协议浙江工业大学第64页病毒感染：感染现象举例现在BO黑客工具只要你在网上，你机器内部主要文件随时有可能被其它怀有不良企图人所窃取。WIN95.Murburg病毒发作现象tcpip协议浙江工业大学第65页病毒感染：传输过程示意病毒1创造2感染3传输4发病5发觉6处理方法7灭绝tcpip协议浙江工业大学第66页秘密信息泄露各类电磁辐射：显示设备、通信线路等；涉密设备或网络连入因特网；存放介质和设备硬件；设备和软件漏洞…tcpip协议浙江工业大学第67页硬件和软件后门国内流行操作系统：例Win98计算机主要集成电路芯片：例PIIICPU一些国外进口应用软件；主要网络互连设备，如路由器…tcpip协议浙江工业大学第68页隐患成因难以控制知识产权；如路由器、OS、集成电路高端网络安全产品国外厂商一统天下：如防火墙信息安全意识淡薄，疏于防范；信息社会职业道德教育内容和体系不健全；对信息安全技术研究缺乏和浮躁……FastSwitcHub-8mi30+201051100MTx/RxFullDuplexSelect/LinkPWRCollisionStatusUtil%Forward%Filter%DemoDiagFull/HalfConfig1234567890+705035201051LinkRate%SNMP1X2X3X4X5X6X7X8MDI-X-or-8MDI10M/100Mtcpip协议浙江工业大学第69页迫切要处理问题—认证XIP数据包IP数据包IP数据包IP数据包IP数据包IP数据包是谁在网络

另一端？InternetIP数据包tcpip协议浙江工业大学第70页关于安全处理方案tcpip协议浙江工业大学第71页网络安全基本要求通信保密性要求通信双方通信内容是保密。这首先要求通信内容不能被第三方所窃取；也要求万一被他人窃取后，也不能得到信息详细内容。tcpip协议浙江工业大学第72页网络安全基本要求数据完整性要确保接收到信息是完整。这不是指收到信息是不是有完整意义，而是说在传输过程中数据没有被修改。要求接收到信息或数据和发送方所发出信息是完全一致。假如发出信息是“请付给甲100元”，收到信息是“请付给甲10000元”，数据完整性就被破坏了。tcpip协议浙江工业大学第73页网络安全基本要求身份确实认性在网络通信中怎样确定通信者身份也是一个主要问题。打电话能够从语音识别身份，写信能够从字迹识别身份，网络通信中怎样识别身份？(生理特征？持有物？)

假如收到总经理邮件：“请付给乙方10000元”。怎样确认此信一定是总经剪发来？tcpip协议浙江工业大学第74页网络安全基本要求通信不可抵赖性网络通信全部是电子形式文档。收到信息经打印机打印出来后和普通文档没有什么不一样。甲给乙一份邮件，“请发货100件”。等乙发完货向甲收款时，甲说我没有要你发货。有什么方法使甲不能抵赖所发信息？tcpip协议浙江工业大学第75页安全对策对网站攻击修改主页，拒绝服务商业机密泄露电子坑骗破坏主机系统窃取信息防火墙产品入侵检测产品

数据加密VPNPKI认证机构CA安全支付网关电子商务安全软件网络防病毒网关tcpip协议浙江工业大学第76页安全对策系统后门政府-企业上网单机上网产品内外网安全隔离卡安全主机防火墙安全路由器安全服务器Linux方案tcpip协议浙江工业大学第77页屏蔽与干扰从信号源上防护防幅射（主机、显示器）通信线路输入与输出设备tcpip协议浙江工业大学第78页防病毒产品可查出各类文件形式中病毒拥有很好启发式扫描技术经过安全认证安装前先对系统进行查毒良好去除病毒能力快速查毒速度实时监控功效完善升级设计tcpip协议浙江工业大学第79页加密传输密钥技术加密设备

网络层、链路层加密机身份认证tcpip协议浙江工业大学第80页访问控制物理隔离设备硬盘隔离卡、网闸访问控制权设置防火墙tcpip协议浙江工业大学第81页在不安全网络环境中结构一个相对安全子网环境路由器客户端国际互联网FTP/HTTP代理服务器应用服务器SMTP服务器FTP服务器防火墙防火墙tcpip协议浙江工业大学第82页安全检测和监控漏洞扫描

OS漏洞、应用服务漏洞、木马侦测网络配置漏洞、口令漏洞等在线入侵检测系统IDStcpip协议浙江工业大学第83页备份数据备份设备备份电源异地备份冗灾管理人员备份tcpip协议浙江工业大学第84页当前有效路径IP数据包IP数据包IP数据包IP数据包IP数据包IP数据包是谁读到了我信？internetIP数据包——加密我截获了无数个passwordtcpip协议浙江工业大学第85页网络攻击tcpip协议浙江工业大学第86页攻防技术发展背景信息技术迅猛发展，是黑客产生基础

---个人计算机性能提升

---应用软件，应用水平提升

---互联网成为人们从事各项活动主要舞台互联网缺乏安全控制机制，

是黑客存在条件

---互联网不为某个政府或组织所控制

---最初考虑主要是网络连接，而不是网络安全

---互联网缺乏必要安全控制机制互联网资源为黑客滋生提供了技术条件

---互联网上很轻易查找到黑客网址。

---无偿下载各种黑客软件，网上阅读及交流

tcpip协议浙江工业大学第87页当代攻击者特点技术化

---掌握网络技术进行网络攻击前提

---一些黑客甚至是“高手”年轻化

---1998年7年江西省169信息网全线瘫痪，嫌疑人仅19岁

---ISS创始人16岁便攻入联邦调查局网络社会化

---来自于各个层次、来自于不一样年纪段

---动机各自不一样地点复杂化

---上网路径复杂化、可能是世界上任何一个地方

---追查攻击起源十分困难

tcpip协议浙江工业大学第88页网络攻击防范

提升网络安全意识

---采取必要防范办法

依法强化管理

---健全完善发规，强化网络管理

加强网络出口管理

---网络边界采取必要访问控制机制防火墙

---完善加密，身份认证体制

开发先进网络安全产品

---不依靠进口产品

---大力开发自主知识版权信息安全产品

加强国际合作tcpip协议浙江工业大学第89页经典网络攻击

拒绝服务攻击

IP炸弹、邮件炸弹

恶意程序码

病毒(Virus)和后门程序(Backdoor)

BO(BackOrifice)攻击

网络监听

网络信息包监听、电脑系统监听

密码破解tcpip协议浙江工业大学第90页网络中常见攻击特洛伊木马（Trojanhorse）

一个执行超出程序定义之外程序。如一个编译程序除了执行编译任务以外，还把用户源程序偷偷地copy下来，这种编译程序就是一个特洛伊木马。tcpip协议浙江工业大学第91页网络中常见攻击

逻辑炸弹（logicbomb）一个当运行环境满足某种特定条件时执行其它特殊功效程序。如CIH，每当系统时间为26日时候，便在BIOS中写入一大堆垃圾信息，造成系统瘫痪。逻辑炸弹是计算机病毒一个。计算机病毒（computervirus），一个会“传染”和起破坏作用程序。tcpip协议浙江工业大学第92页网络中常见攻击主机坑骗黑客能够发送虚假路由信息到他想进行坑骗一台主机，如主机A。这种假冒信息也将发送到目标主机A路径上全部网关。主机A和这些网关收到虚假路由信息经常表示到网络上一台不工作或没有使用主机，如主机B。这么，任何要发送到主机B信息都会转送到黑客计算机，而主机A和网关还认为信息是流向了主机B。一旦黑客成功地将他或她计算机取代了网络上一台实际主机，就实现了主机坑骗。tcpip协议浙江工业大学第93页网络中常见攻击Java和ActiveX攻击黑客会将“特洛伊木马”程序插入到Java对象库。当一个用户浏览器下载Java对象库时，隐藏“特洛伊木马”程序就会和类库一起进入用户系统并伺机发作。当某种键入组合或鼠标点击组合发生时，“特洛伊木马”程序就会发作和起作用。一旦“特洛伊木马”窃取了用户口令并将他传送到黑客所在机器tcpip