大学I演讲稿三

大学IT

—山东省教育厅组编

2006-7-101大学IT第8章网络信息安全2006-7-102大学IT本章要点8.1网络信息安全概述8.2密码学8.3计算机病毒8.4防火墙8.5入侵检测2006-7-103大学IT本章概要本章将介绍网络信息安全的有关内容，并提供一些常用的防范措施，其中将主要介绍网络的加密技术及网络中防火墙的应用。读者还将在本章中学到有关计算机病毒和入侵检测的相关知识。学完本章，你将能够：列出网络安全的对策；列出一些著名的密码算法；叙述常用的病毒预防措施；描述流行的三种防火墙体系结构；介绍入侵检测的概念及原理。2006-7-104大学IT8.1网络信息安全概述

8.1.1网络信息安全的含义8.1.2网络信息安全的结构层次8.1.3网络信息安全面临的威胁8.1.4网络信息安全对策2006-7-105大学IT8.1.1网络信息安全的含义

通俗地说，网络信息安全主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。概括地说，网络信息安全的核心是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和存储消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等。2006-7-106大学IT保密性

保密性即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。2006-7-107大学IT完整性

完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。2006-7-108大学IT真实性

真实性是防止系统内的信息感染病毒或遭受恶意攻击，以确保信息的真实可靠。2006-7-109大学IT可靠性

可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。2006-7-1010大学IT可用性性这是网网络信信息可可被授授权实实体访访问并并按需需求使使用的的特性性。即即网络络信息息服务务在需需要时时，允允许授授权用用户或或实体体使用用的特特性。。可用用性是是网络络信息息系统统面向向用户户的安安全性性能。。2006-7-1011大学IT不可抵抵赖性性也称作作不可可否认认性。。在网网络信信息系系统的的信息息交互互过程程中，，确信信参与与者的的真实实同一一性。。即所所有参参与者者都不不可能能否认认或抵抵赖曾曾经完完成的的操作作和承承诺。。2006-7-1012大学IT可控性性可控性性是对对网络络信息息的传传播及及内容容具有有控制制能力力的特特性。。2006-7-1013大学IT网网络络信息息安全全的的结构构层次次网络信信息安安全的的结构构层次次主要要包括括：物物理安安全、、安全全控制制和安安全服服务。。网络信信息安安全是是一个个很复复杂的的问题题，它它与被被保护护对象象密切切相关关。网网络信信息安安全的的本质质是在在安全全期内内保证证数据据在网网络上上传输输或存存储时时不被被非授授权用用户非非法访访问，，但授授权用用户却却可以以访问问。2006-7-1014大学IT物理安安全是指在在物理理介质质层次次上对对存储储和传传输的的网络络信息息的安安全保保护。。目前前，该该层次次上常常见的的不安安全因因素包包括三三大类类：（1））自然然灾害害、物物理损损坏、、设备备故障障；（2））电磁磁辐射射（比比如侦侦听微微机操操作过过程））、乘乘机而而入（（比如如合法法用户户进入入安全全进程程后半半途离离开））、痕痕迹泄泄露（（比如如口令令密钥钥等保保管不不善，，被非非法用用户获获得））等；；（3））操作作失误误、意意外疏疏漏。。2006-7-1015大学IT安全控控制是指在在网络络信息息系统统中对对存储储和传传输的的信息息的操操作和和进程程进行行控制制和管管理，，重点点是在在网络络信息息处理理层次次上对对信息息进行行初步步的安安全保保护。。安全全控制制可以以分为为以下下三个个层次次：（1））操作作系统统的安安全控控制；；（2））网络络接口口模块块的安安全控控制；；（3））网络络互联联设备备的安安全控控制。。2006-7-1016大学IT安全服服务是指在在应用用程序序层对对网络络信息息的保保密性性、完完整性性和信信源的的真实实性进进行保保护和和鉴别别，满满足用用户的的安全全需求求，防防止和和抵御御各种种安全全威胁胁和攻攻击手手段。。安全全服务务的主主要内内容包包括：：安全全机制制、安安全连连接、、安全全协议议、安安全策策略等等2006-7-1017大学IT网网络络信息息安全全面面临的的威胁胁网络信信息安安全面面临的的威胁胁主要要来自自于人人为或或自然然威胁胁、安安全缺缺陷、、软件件漏洞洞、病病毒和和黑客客入侵侵等方方面。。人为或或自然然威胁胁安全缺缺陷软件漏漏洞黑客和和病毒毒2006-7-1018大学IT人为或或自然然威胁胁自然威威胁可可能来来自于于各种种自然然灾害害、恶恶劣的的场地地环境境、电电磁辐辐射和和电磁磁干扰扰、网网络设设备自自然老老化等等。这这些无无目的的的事事件，，有时时会直直接威威胁网网络信信息安安全，，影响响信息息的存存储媒媒体。。人为威威胁通通过攻攻击系系统暴暴露的的要害害或弱弱点，，使得得网络络信息息的保保密性性、完完整性性、可可靠性性、可可控性性、可可用性性等受受到伤伤害，，造成成不可可估量量的经经济和和政治治上的的损失失。人人为威威胁又又分为为两种种：一一种是是以操操作失失误为为代表表的无无意威威胁（（偶然然事故故）；；另一一种是是以计计算机机犯罪罪为代代表的的有意意威胁胁（恶恶意攻攻击））。2006-7-1019大学IT安全缺陷网络信息系统统是计算机技技术和通信技技术的结合，，计算机系统统的安全缺陷陷和通信链路路的安全缺陷陷构成了网络络信息系统的的潜在安全缺缺陷。网络信信息系统的安安全缺陷通常常包括物理网网络的安全缺缺陷、过程网网络的安全缺缺陷以及通信信链路的安全全缺陷三种。。2006-7-1020大学IT软件漏洞网络信息系统统由硬件和软软件组成。由由于软件程序序的复杂性和和编程的多样样性，在网络络信息系统的的软件中很容容易有意或无无意地留下一一些不易被发发现的安全漏漏洞。下面介介绍一些有代代表性的软件件安全漏洞与与其防范：陷门与防范操作系统的安安全漏洞与防防范数据库的安全全漏洞与防范范TCP/IP协议的安全全漏洞与防范范2006-7-1021大学IT陷门与防范所谓陷门是一一个程序模块块的秘密的未未记入文档的的入口。一般般陷门是在程程序开发时插插入的一小段段程序，其目目的是为了测测试这个模块块或是为了连连接将来的更更改和升级程程序，或者是是为了将来发发生故障后，，为程序员提提供方便等。。通常在程序序开发后期将将去掉这些陷陷门，但是由由于各种有意意或无意的原原因，陷门也也可能被保留留下来，一旦旦被原来的程程序员利用，，或者被无意意或有意的人人发现将会带带来严重的安安全后果。2006-7-1022大学IT操作系统的安安全漏洞与防防范操作系统是硬硬件和软件应应用程序之间间接口的程序序模块，是整整个网络信息息系统的核心心控制软件，，系统的安全全体现在整个个操作系统之之中。操作系系统的安全漏漏洞主要有：：输入/输出出（I/O））非法访问、、访问控制的的混乱、不完完全的中介、、操作系统陷陷门等。2006-7-1023大学IT数据库的安全全漏洞与防范范有些数据库将将原始数据以以明文形式存存储于数据库库中，这是不不够安全的。。实际上，高高明的入侵者者可以从计算算机系统的内内存中导出所所需的信息，，或者采用某某种方式打入入系统，从系系统的后备存存储器上窃取取数据或篡改改数据，因此此，必要时应应该对存储数数据进行加密密保护。数据据库的加密应应该采用独特特的加密方法法和密钥管理理方法，因为为数据的生命命周期一般较较长，密钥的的保存时间也也相应较长。。2006-7-1024大学ITTCP/IP协议的安全全

漏洞与防防范TCP/IP通信协议在在设计初期并并没有考虑到到安全性问题题，因而连接接到网络上的的计算机系统统就可能受到到外界的恶意意攻击和窃取取。2006-7-1025大学IT黑客和病毒黑客一词，源源于英文Hacker，，原指热心于于计算机技术术，水平高超超的电脑专家家，尤其是程程序设计人员员。但到了今今天，黑客一一词已被用于于泛指那些专专门利用电脑脑搞破坏或恶恶作剧的人。。许多黑客入入侵仅仅是为为了炫耀他的的技术能力———各种安全全措施对他无无能为力。怀怀着恶意的黑黑客入侵造成成的损失是巨巨大的。黑客客一般利用黑黑客程序来侵侵入信息系统统，他们也不不拒绝利用信信息系统的缺缺陷和漏洞来来达到目的。。实际上，市市场上卖的许许多软件中的的漏洞就是他他们发现的。。病毒是一种具具有繁殖力、、破坏力的程程序，它们经经常伪装成无无害的程序，，侵入人们的的系统，破坏坏资料和程序序。了解它们们的工作原理理有助于我们们采取有效的的预防措施。。下面有一节节专门介绍病病毒及其预防防。2006-7-1026大学IT网网络信息息安全对策网络信息安全全是要想达到到安全的目的的，必须同时时从法规政策策、管理、技技术这三个层层次上采取有有效措施，高高层的安全功功能为低层的的安全功能提提供保护。但但是安全问题题遵循“木桶桶”原则，取取决于最薄弱弱环节，任何何单一层次上上的安全措施施都不可能提提供真正的全全方位安全。。这里仅从网网络系统的角角度介绍OSI安全服务务和安全机制制。2006-7-1027大学IT网网络信息息安全对策OSI安全体体系结构要求求的安全服务务为了适应网络络技术的发展展，国际标准准化组织ISO的计算机机专业委员会会根据开放系系统互连参考考模型OSI制定了一个个网络安全体体系结构，包包括安全服务务和安全机制制。该模型主主要解决网络络信息系统中中的安全问题题。OSI安安全体系结构构要求的安全全服务是针对对网络系统受受到的威胁为了实现上述述各种OSI安全服务，，ISO建议议了八种安全全机制2006-7-1028大学ITOSI安全体体系结构要要求的安全服服务对等实体鉴别别服务访问控制服务务数据保密服务务数据完整性服服务数据源鉴别服服务。禁止否认服务务2006-7-1029大学ITISO建议的的八种

安全全机制加密机制、数数字签名机制制、访问控制制机制、数据据完整性机制制、交换鉴别别机制、业务务流量填充机机制（这种机机制采用的方方法一般是由由保密装置在在无信息传输输时连续发出出伪随机序列列，使得非法法者不知哪些些是有用信息息、哪些是无无用信息）、、路由控制机机制（在一个个大型网络中中，从源节点点到目的节点点可能有多条条线路，有些些线路可能是是安全的，而而另一些线路路是不安全的的。路由控制制机制可使信信息发送者选选择特殊的路路由，以保证证数据安全））、公证机制制。2006-7-1030大学IT8.2密密码学基基本概念念网网络通信信中的加密方方式著著名密码码算法简介2006-7-1031大学IT基基本概念密码技术概述述加密和解密单钥密码和双双钥密码密码系统分分类2006-7-1032大学IT密码技术概述述密码技术通过过信息的变换换或编码，将将机密、敏感感的消息变换换成他人难以以读懂的乱码码型文字，以以此达到两个个目的：其一，使不知知道如何解密密的他人不可可能从其截获获的乱码中得得到任何有意意义的信息；；其二，使他人人不可能伪造造任何乱码型型的信息。2006-7-1033大学IT加密和解密被隐蔽的消息息称作明文，，通常以m表表示，密码可可将明文变换换成另一种隐隐蔽形式，称称为密文，通通常以c表示示。这种由明文到到密文的变换换称为加密。。由合法接收收者从密文恢恢复出明文的的过程称为解解密（或脱密密）。非法接收者试试图从密文分分析出明文的的过程称为破破译。对明文文进行加密时时采用的一组组规则称为加加密算法，通通常用E表示示。对密文解解密时采用的的一组规则称称为解密算法法，通常用D表示。加密算法和解解密算法是在在一组仅有合合法用户知道道的秘密信息息的控制下进进行的，该秘秘密信息称为为密钥，加密密和解密过程程中使用的密密钥分别称为为加密密钥（（通常以表示示）和解密密密钥（通常以以表示）。2006-7-1034大学IT单钥密码和和双钥密码如果以密钥为为标准，可将将密码系统分分为单钥密码码（又称为对对称密码或私私钥密码）和和双钥密码（（又称为非对对称密码或公公钥密码）。。2006-7-1035大学IT单钥密码和和双钥密码在单钥体制下下，加密密钥钥与解密密钥钥相同或从加加密密钥可以以很容易推导导出解密密钥钥，此时密钥钥k需经过安全的的密钥信道由由发方传给收收方。单钥密密码的特点是是无论加密还还是解密都使使用同一个密密钥，因此，，此密码体制制的安全性就就是密钥的安安全。如果密密钥泄露，则则此密码系统统便被攻破。。最有影响的的单钥密码是是1977年年美国国家标标准局颁布的的DES算法法。单钥密码的优优点是：安全全性高，加、、解密速度快快。单钥密码缺点点是：（1））随着网络规规模的扩大，，密钥的管理理成为一个难难点；（2））无法解决消消息确认问题题；（3）缺缺乏自动检测测密钥泄露的的能力。2006-7-1036大学IT单钥密码和和双钥密码双钥密码是1976年W.Diffie和M.E.Hellman提出的的一种新型密密码体制。由由于双钥密码码体制的加密密和解密不同同，且能公开开加密密钥，，而仅需保密密解密密钥，，所以双钥密密码不存在密密钥管理问题题。双钥密码码还有一个优优点是可以拥拥有数字签名名等新功能。。最有名的双钥钥密码是1977年由Rivest、Shamir和Adleman三人提出的的RSA密码码体制。双钥密码的缺缺点是：双钥钥密码算法一一般比较复杂杂，加、解密密速度慢。2006-7-1037大学IT单钥密码和和双钥密码网络中的加密密普遍采用双双钥和单钥密密码相结合的的混合加密体体制，即对明明文加、解密密时采用单钥钥密码，密钥钥传送则采用用双钥密码。。这样既解决决了密钥管理理的困难，又又解决了加、、解密速度的的问题，这无无疑是目前解解决网络上传传输信息安全全的一种较好好的可行方法法。2006-7-1038大学IT密码系统分分类如果以密码算算法对明文的的处理方式为为标准，则可可将密码系统统分为分组密密码和序列密密码。分组密码的加加密方式是首首先将明文序序列以固定长长度进行分组组，每一组明明文用相同的的密钥和加密密函数进行加加密。序列密码的加加密过程是把把明文序列与与等长的密钥钥序列进行逐逐位模相加。。解密过程则则是把密文序序列与等长的的密钥序列进进行逐位模相相加。序列密密码的安全性性主要依赖于于密钥序列。。2006-7-1039大学学IT网网络络通通信信中中的的加加密密方方式式链路路加加密密方方式式节点点对对节节点点加加密密方方式式端对对端端加加密密方方式式2006-7-1040大学学IT链路路加加密密方方式式目前前，，一一般般网网络络安安全全系系统统都都主主要要采采用用这这种种方方式式。。链路路加加密密方方式式把把网网络络上上传传输输数数据据报报文文的的每每一一个个比比特特进进行行加加密密，，不不但但对对数数据据报报文文正正文文加加密密，，而而且且把把路路由由信信息息、、校校验验等等控控制制信信息息全全部部加加密密。。所所以以，，当当数数据据报报文文传传输输到到某某个个中中间间节节点点时时，，必必须须被被解解密密以以获获得得路路由由信信息息和和校校验验，，进进行行路路由由选选择择，，差差错错检检测测，，然然后后再再被被加加密密，，发发送送给给下下一一个个节节点点，，直直到到数数据据报报文文到到达达目目的的节节点点为为止止。。它的的优优点点在在于于不不受受由由于于加加、、解解密密对对系系统统要要求求的的变变化化等等的的影影响响，，所所以以容容易易被被采采用用。。2006-7-1041大学学IT节点点对对节节点点加加密密方方式式为了了解解决决在在节节点点中中数数据据是是明明文文的的缺缺点点，，在在中中间间节节点点里里装装有有用用于于加加、、解解密密的的保保护护装装置置，，由由这这个个装装置置来来完完成成一一个个密密钥钥向向另另一一个个密密钥钥的的变变换换。。因因而而，，明明文文除除了了在在保保护护装装置置里里出出现现外外，，在在节节点点内内是是不不会会出出现现的的。。但但是是这这种种方方式式和和链链路路加加密密方方式式一一样样，，有有一一个个共共同同的的缺缺点点：：需需要要目目前前的的公公共共网网络络提提供供者者配配合合，，修修改改他他们们的的交交换换节节点点，，增增加加安安全全单单元元或或保保护护装装置置。。2006-7-1042大学学IT端对对端端加加密密方方式式在这这种种方方式式中中，，由由发发送送方方加加密密的的数数据据在在没没有有到到达达最最终终目目的的地地接接受受节节点点之之前前是是不不被被解解密密的的，，加加、、解解密密只只是是在在源源、、目目的的节节点点进进行行。。因因此此，，这这种种方方式式可可以以实实现现按按通通信信对对象象的的要要求求改改变变加加密密密密钥钥以以及及按按应应用用程程序序进进行行密密钥钥管管理理等等，，而而且且采采用用此此方方式式可可以以解解决决文文件件加加密密问问题题。。链路路加加密密方方式式和和端端对对端端加加密密方方式式的的区区别别在在于于：：链链路路加加密密方方式式是是对对整整个个链链路路的的通通信信采采取取保保护护措措施施，，而而端端对对端端方方式式则则是是对对整整个个网网络络系系统统采采取取保保护护措措施施。。因因此此，，端端对对端端加加密密方方式式是是将将来来的的发发展展趋趋势势。。2006-7-1043大学学IT端对对端端加加密密方方式式目前前具具体体的的数数据据加加密密实实现现方方法法主主要要有有两两种种：：软件件加加密密和和硬硬件件加加密密。。软件件加加密密一一般般是是用用户户在在发发送送信信息息前前，，先先调调用用信信息息安安全全模模块块对对信信息息进进行行加加密密，，然然后后发发送送，，到到达达接接收收方方后后，，由由用用户户用用相相应应的的解解密密软软件件进进行行解解密密，，还还原原成成明明文文。。硬件加加密可可以采采用标标准的的网络络管理理协议议进行行管理理，也也可以以采用用统一一的自自定义义网络络管理理协议议进行行管理理。因因此密密钥的的管理理比较较方便便，而而且可可以对对加密密设备备进行行物理理加固固，使使得攻攻击者者无法法对其其进行行直接接攻击击。2006-7-1044大学IT著著名名密码码算法法简介介数据加加密标标准（（DES））IDEA密密码算算法Rijndael算算法RSA算法法2006-7-1045大学IT数据加加密标标准（（DES））DES是一一种单单钥密密码算算法，，它是是一种种典型型的按按分组组方式式工作作的密密码。。其基本本思想想是将将二进进制序序列的的明文文分成成每64bit一一组，，用长长为64bit的的密钥钥对其其进行行16轮代代换和和换位位加密密，最最后形形成密密文。。DES的的巧妙妙之处处在于于，除除了密密钥输输入顺顺序之之外，，其加加密和和解密密的步步骤完完全相相同，，这就就使得得在制制作DES芯片片时，，易于于做到到标准准化和和通用用化，，这一一点尤尤其适适合现现代通通信的的需要要。目前，，破译译者能能够用用穷举举法借借助网网络计计算在在短短短的二二十余余小时时就攻攻破56位位的DES，所所以，，在坚坚定的的破译译者面面前，，现在在可以以说DES已经经不再再安全全了。。2006-7-1046大学ITIDEA密密码算算法IDEA密密码的的前身身是由由中国国学者者来学学嘉和和JamesMessey于1990年年完成成的PES算法法。第二年年，在在经Biham和Shamir的的差分分密码码分析析之后后，作作者们们强化化了PES得到到了新新算法法，称称为IPES。。1992年IPES被被更名名为IDEA，，即国国际数数据加加密算算法。。IDEA是是近年年来提提出的的各种种分组组密码码中一一个很很成功功的方方案，，已在在PGP加加密软软件中中应用用。2006-7-1047大学ITRijndael算算法1997年年4月月15日，，美国国国家家标准准技术术研究究所（（NIST）发发起征征集先先进加加密算算法（（AES））的活活动，，并为为此成成立了了AES工工作小小组，，此次次活动动的目目的是是确定定一个个非保保密的的、可可以公公开技技术细细节的的、全全球免免费使使用的的分组组密码码算法法，以以作为为新的的数据据加密密标准准。1997年年9月月12日，，美国国联邦邦登记记处公公布了了正式式征集集AES候候选算算法的的通告告。1998年年8月月12日，，15个候候选的的AES算算法被被正式式公布布，经经受全全世界界各机机构和和个人人的攻攻击和和评论论。2001年年10月2日美美国商商务部部公布布高级级加密密标准准最终终评估估结果果，比比利时时密码码专家家推荐荐的Rijndael算算法获获胜。。2006-7-1048大学ITRijndael算算法由于具具有速速度快快、安安全强强度高高的特特点，，Rijndael算法法已被被广泛泛应用用于身身份认认证、、数字字签名名、节节点加加密及及各种种网络络加密密。Rijndael算算法的的软件件产品品使IC卡卡、手手机等等本来来难以以实现现密码码算法法的领领域可可以使使用密密码技技术来来保证证信息息安全全，Rijndael算算法将将成为为电子子商务务、电电子货货币等等应用用领域域中安安全问问题的的基石石。2006-7-1049大学ITRSA算法法RSA是1978年年由Rivest、、Shamir和Adleman提出出的第第一个个公钥钥密码码体制制，也也是迄迄今为为止理理论上上最为为成熟熟完善善的一一种公公钥密密码体体制。。它的的安全全性是是基于于大整整数的的分解解困难难，而而体制制的构构造是是基于于数学学上的的Euler定定理。。由于RSA涉及及高次次幂运运算，，用软软件实实现速速度较较慢，，尤其其是在在加密密大量量数据据时。。所以以，一一般用用硬件件来实实现RSA，这这样可可以提提高速速度，，大约约可以以得到到DES速速度的的1500分分之一一。RSA中的的加、、解密密变换换是可可交换换的互互逆变变换，，所以以RSA还还可用用来作作数字字签名名。2006-7-1050大学IT8.3计计算算机病病毒8.3.1病毒的的原理理、特特点与与传播播途径径8.3.2病毒的的类型型8.3.3病毒的的预防防8.3.4病毒的的清除除2006-7-1051大学IT病病毒毒的原原理、、特特点与与传播播途径径病毒的的原理理病毒是是一种种特殊殊的计计算机机程序序，它它可以以隐藏藏在看看起来来无害害的程程序中中，也也可以以生成成自身身的拷拷贝并并插入入到其其他程程序中中。病病毒通通常会会进行行一些些恶意意的破破坏活活动或或恶作作剧，，使用用户的的网络络或信信息系系统遭遭受浩浩劫。。比如如格式式化用用户的的硬盘盘、删删除程程序文文件、、往文文件中中加入入垃圾圾、破破坏磁磁盘上上的目目录和和FAT表表，甚甚至有有摧毁毁计算算机硬硬件和和软件件的能能力等等。2006-7-1052大学IT病病毒毒的原原理、、特特点与与传播播途径径病毒的的特点点病毒是是一种种基于于硬件件和操操作系系统的的程序序，任任何一一种病病毒都都是针针对某某种处处理器器和操操作系系统编编写的的，所所以，，一个个Intel处处理器器上的的DOS病病毒就就不能能在Apple公司司的Macintosh机器器上运运行。。一般般病毒毒只感感染可可执行行代码码，包包括引引导程程序和和可执执行文文件。。当然然，还还有一一些特特殊的的病毒毒，如如Word宏病病毒。。2006-7-1053大学学IT病毒毒的的传传播播途途径径计算算机机病病毒毒尽尽管管在在产产生生过过程程、、破破坏坏程程度度等等方方面面各各不不相相同同，，但但其其本本质质特特点点却却非非常常相相似似，，概概括括起起来来有有下下列列几几个个特特点点：：破破坏坏性性、、传传染染性性、、隐隐藏藏性性（（病病毒毒程程序序总总是是隐隐藏藏在在其其他他合合法法文文件件和和程程序序中中））、、可可激激活活性性（（病病毒毒发发作作有有一一定定条条件件，，当当这这些些条条件件满满足足时时，，病病毒毒就就会会被被激激活活））、、针针对对性性。。计计算算机机病病毒毒的的主主要要传传播播途途径径有有：：磁磁盘盘、、光光盘盘和和网网络络。。病病毒毒的的原原理理、、特特点点与与传传播播途途径径2006-7-1054大学学IT病病毒毒的的类类型型系统统引引导导型型病病毒毒文件件型型病病毒毒宏病病毒毒混合合型型病病毒毒网络络蠕蠕虫虫病病毒毒2006-7-1055大学学IT系统统引引导导型型病病毒毒指寄寄生生在在磁磁盘盘引引导导区区或或主主引引导导区区的的计计算算机机病病毒毒。。此此种种病病毒毒利利用用系系统统引引导导时时，，不不对对主主引引导导区区的的内内容容正正确确与与否否进进行行判判别别的的缺缺点点，，在在引引导导系系统统的的过过程程中中侵侵入入系系统统，，驻驻留留内内存存，，监监视视系系统统运运行行，，待待机机传传染染和和破破坏坏。。按照照引引导导型型病病毒毒在在硬硬盘盘上上的的寄寄生生位位置置又又可可细细分分为为主主引引导导记记录录病病毒毒和和分分区区引引导导记记录录病病毒毒。。主主引引导导记记录录病病毒毒感感染染硬硬盘盘的的主主引引导导区区，，如如大大麻麻病病毒毒、、2708病病毒毒、、火火炬炬病病毒毒等等；；分分区区引引导导记记录录病病毒毒感感染染硬硬盘盘的的活活动动分分区区引引导导记记录录，，如如小小球球病病毒毒、、Girl病病毒毒等等。。2006-7-1056大学学IT文件件型型病病毒毒文件件型型病病毒毒的的宿宿主主不不是是引引导导区区而而是是一一些些可可执执行行程程序序。。病病毒毒把把自自己己附附加加在在可可执执行行文文件件中中，，并并等等待待程程序序运运行行，，病病毒毒会会驻驻留留在在内内存存中中，，企企图图感感染染其其他他文文件件，，并并破破坏坏系系统统。。当当病病毒毒已已经经完完成成工工作作后后，，其其宿宿主主程程序序才才被被运运行行，，使使系系统统看看起起来来一一切切正正常常。。和引引导导扇扇区区病病毒毒不不同同，，文文件件型型病病毒毒把把自自己己附附着着或或追追加加在在*.exe和和*.com这这样样的的可可执执行行文文件件上上。。根根据据附附着着类类型型不不同同，，可可将将文文件件型型病病毒毒分分为为三三类类：：覆覆盖盖型型、、前前/后后附附加加型型和和伴伴随随型型。。2006-7-1057大学学IT宏病病毒毒WindowsWord宏宏病病毒毒是是利利用用Word提提供供的的宏宏功功能能，，将将病病毒毒程程序序插插入入到到带带有有宏宏的的doc文文件件或或dot文文件件中中。。这这类类病病毒毒种种类类很很多多，，传传播播速速度度很很快快，，往往往往对对系系统统或或文文件件造造成成破破坏坏。。比较较典典型型的的宏宏病病毒毒是是台台湾湾ⅠⅠ号号和和ⅡⅡ号号。。当当打打开开被被它它们们感感染染的的文文档档后后，，就就会会给给出出一一道道数数学学题题，，要要求求用用户户回回答答。。如如果果用用户户的的答答案案错错了了，，将将会会有有十十余余个个文文档档窗窗口口被被打打开开。。然然后后，，它它又又给给出出一一道道题题，，如如果果再再算算错错了了，，又又将将会会有有十十余余个个文文档档窗窗口口被被打打开开。。如如此此继继续续下下去去，，直直到到消消耗耗完完计计算算机机上上的的系系统统资资源源为为止止。。2006-7-1058大学IT混合型型病毒毒指具有有引导导型病病毒和和文件件型病病毒寄寄生方方式的的计算算机病病毒，，所以以它的的破坏坏性更更大，，传染染的机机会也也更多多，杀杀灭也也更困困难。。当染有有此种种病毒毒的磁磁盘用用于引引导系系统或或调用用执行行染毒毒文件件时，，病毒毒都会会被激激活。。因此此在检检测、、清除除复合合型病病毒时时，必必须全全面彻彻底地地根治治，如如果只只发现现该病病毒的的一个个特性性，把把它只只当作作引导导型或或文件件型病病毒进进行清清除。。虽然然好像像是清清除了了，但但还留留有隐隐患，，这种种经过过消毒毒后的的“洁洁净””系统统更赋赋有攻攻击性性。这种病病毒有有Flip病毒毒、新新世际际病毒毒、One-half病病毒等等。2006-7-1059大学IT网络蠕蠕虫病病毒蠕虫是是一种种通过过网络络传播播的恶恶性病病毒，，它具具有病病毒的的一些些共性性，如如传播播性，，隐蔽蔽性，，破坏坏性等等等，，同时时具有有自己己的一一些特特征，，如不不利用用文件件寄生生（有有的只只存在在于内内存中中），，对网网络造造成拒拒绝服服务，，以及及和黑黑客技技术相相结合合等等等。在产生生的破破坏性性上，，蠕虫虫病毒毒也不不是普普通病病毒所所能比比拟的的，网网络的的发展展使得得蠕虫虫可以以在短短短的的时间间内蔓蔓延整整个网网络，，造成成网络络瘫痪痪。这类病病毒常常见的的有爱爱虫（（ILOVEYOU）病病毒、、梅利利莎（（Melissa））、新新快乐乐时光光病毒毒等。。2006-7-1060大学IT病病毒毒的预预防在思想想上有有反病病毒的的警惕惕性，，依靠靠技术术和管管理措措施，，就完完全可可以限限制其其传播播。“预防防为主主、治治疗为为辅””这一一方针针也完完全适适合于于计算算机病病毒的的处理理。最最重要要的是是思想想上要要重视视计算算机病病毒可可能会会带来来的危危害：：轻则则影响响工作作，重重则将将信息息系统统中存存储的的无价价数据据和程程序全全部破破坏，，引起起系统统瘫痪痪，造造成无无法估估计的的损失失计算机机病毒毒的预预防技技术主主要包包括磁磁盘引引导区区保护护、加加密可可执行行程序序、读读写控控制技技术和和系统统监控控技术术等。。计算机机病毒毒的预预防应应该包包括两两个部部分：：对已已知病病毒的的预防防和对对未来来病毒毒的预预防。。目前前，对对已知知病毒毒预防防可以以采用用特征征判定定技术术或静静态判判定技技术，，对未未知病病毒的的预防防则是是一种种行为为规则则的判判定技技术即即动态态判定定技术术。2006-7-1061大学IT病病毒毒的清清除清除病病毒的的原则则：（1））计算算机病病毒的的清除除工作作最好好在无无毒的的环境境中进进行，，以确确保清清除病病毒的的有效效性。。为此此要求求在清清除病病毒前前用无无毒的的计算算机系系统引引导盘盘启动动系统统，或或清除除内存存的计计算机机病毒毒。（2））把启启动系系统的的系统统盘和和杀毒毒软件件盘加加上写写保护护，以以防止止被感感染病病毒。。（3））在清清除病病毒前前，一一定要要确认认系统统或文文件确确实被被感染染病毒毒，并并准确确判断断病毒毒的类类型，，以保保证清清毒有有效，，否则则，可可能会会破坏坏原有有的系系统文文件。。（4））尽可可能地地找出出病毒毒的宿宿主程程序，，搞清清病毒毒传染染的是是引导导区还还是文文件，，或者者是两两者都都被传传染，，以便便找准准清除除病毒毒的最最佳方方法。。2006-7-1062大学IT病病毒毒的清清除（5）不不要使使用激激活病病毒的的方法法检测测病毒毒，因因为在在激活活病毒毒的同同时，，计算算机系系统可可能已已经被被破坏坏了。。（6））清除除工作作要深深入而而全面面，为为保证证清除除工作作的正正确性性，要要对检检测到到的病病毒进进行认认真分分析研研究，，尤其其对自自身加加密的的病毒毒引起起重视视，把把修改改过的的文件件转换换过来来，否否则清清除病病毒后后的文文件无无法使使用。。（7））不能能用病病毒标标识免免疫方方法清清除病病毒。。（8））对于于那些些既感感染文文件又又感染染引导导区的的病毒毒，在在清除除文件件病毒毒之后后，还还应该该清除除引导导区中中的病病毒代代码，，以防防止这这些代代码重重新生生成计计算机机病毒毒。（9）在对对文件的病病毒清除之之后，必须须检查系统统中其他同同类文件是是否也感染染了此病毒毒，避免清清除病毒后后系统再次次运行时又又出现此病病毒。2006-7-1063大学IT8.4防防火墙8.4.1防火墙的概概念8.4.2防火墙的类类型8.4.3防火墙体系系结构8.4.4防火墙产品品介绍2006-7-1064大学IT8.4.1防火火墙的概念念防火墙是指指设置在不不同网络（（如可信任任的企业内内部网和不不可信的公公共网）或或网络安全全域之间的的一系列部部件的组合合。它能增增强机构内内部网络的的安全性。。因特网防火火墙用于加加强网络间间的访问控控制，防止止外部用户户非法使用用内部网的的资源，保保护内部网网络的设备备不被破坏坏，防止内内部网络的的敏感数据据被窃取。。2006-7-1065大学IT8.4.1防火火墙的概念念防火墙应具具有以下五五大基本功功能：（1）过滤滤进出网络络的数据包包；（2）管理理进出网络络的访问行行为；（3）封堵堵某些禁止止的访问行行为；（4）记录录通过防火火墙的信息息内容和活活动；（5）对网网络攻击进进行检测和和告警。2006-7-1066大学IT8.4.1防火火墙的概念念防火墙是一一种综合性性的技术，，涉及计算算机网络技技术、密码码技术、安安全技术、、软件技术术、安全协协议、网络络标准化组组织（ISO）的安安全规范以以及安全操操作系统等等多方面。。防火墙最基基本的构件件既不是软软件又不是是硬件，而而是构造防防火墙的人人的思想。。最初的防防火墙只是是一种概念念而不是一一种产品，，是构造者者脑海中的的一种想法法，即“谁谁”和“什什么”能被被允许访问问本网络。。“谁”和和“什么””极大地影影响了如何何对网络数数据设计路路由。从这这个意义上上讲，构造造一个好的的防火墙需需要直觉、、创造和逻逻辑的共同同作用。2006-7-1067大学IT8.4.2防火火墙的类型型按照防火墙墙保护网络络使用方法法的不同，，可将防火火墙分为三三种类型：：网络层防防火墙、应应用层防火火墙和链路路层防火墙墙。2006-7-1068大学IT8.4.2防火火墙的类型型———网络层层防火墙网络层防火火墙是一种种典型的屏屏蔽路由器器或是一种种特别的计计算机，它它是通过检检查数据包包地址来决决定是否允允许数据包包进入本地地网。数据据包中包含含发送者和和接受者的的IP地址址及关于数数据包的其其他一些信信息，防火火墙就是使使用数据包包的这些信信息来管理理数据包的的权限。2006-7-1069大学IT8.4.2防火火墙的类型型———应用层层防火墙应用层防火火墙通常是是运行代理理服务器软软件的主机机。所谓代代理，指的的是进行存存取控制和和过滤的程程序，是位位于客户机机与服务器器之间的中中继。代理理系统通常常包括两部部分：代理理服务程序序和客户程程序。代理理服务程序序在客户程程序和真正正的服务器器程序之间间起到一个个中间节点点的作用。。客户程序序与这个中中间节点（（即代理））连接，然然后中间节节点与真正正的服务器器连接。内内外网之间间不存在直直接连接。。2006-7-1070大学IT8.4.2防火火墙的类型型———链路层层防火墙链路层防火火墙在作为为代理服务务器方面与与应用层防防火墙类似似。不同的的是，链路路层防火墙墙并不要求求你使用专专门代理客客户应用程程序。对于于诸如FTP、HTTP等网网络支持的的每种服务务，应用层层防火墙要要求有专门门的代理软软件，而链链路层防火火墙在客户户机和服务务器之间建建立链路，，但不要求求每个应用用程序都了了解服务。。换句话说，，链路层防防火墙是保保护事务的的开始，但但并不干涉涉事务的进进行。链路层防火火墙的优点点是：能给给服务提供供广泛的协协议。链路路层防火墙墙允许你的的用户继续续运行他们们现有的软软件。另外外，链路层层防火墙只只使用单一一的代理服服务器，更更容易维护护。2006-7-1071大学IT8.4.3防火火墙体系结结构双宿网关防防火墙屏蔽主机防防火墙屏蔽子网防防火墙2006-7-1072大学IT双宿网关防防火墙双宿网关防防火墙又称称为双重宿宿主主机防防火墙。双双宿网关是是一种拥有有两个连接接到不同网网络上的网网络接口的的防火墙。。这种防火火墙的最大大特点是IP层的通通信是被阻阻止的，两两个网络之之间的通信信可通过应应用层数据据共享或应应用层代理理服务来完完成。双重宿主主主机是惟一一的隔开内内部网和外外部因特网网之间的屏屏障，如果果入侵者得得到了双重重宿主主机机的访问权权，内部网网络就会被被入侵，所所以为了保保证内部网网的安全，，双重宿主主主机应具具有强大的的身份认证证系统，才才可以阻挡挡来自外部部不可信网网络的非法法登录。2006-7-1073大学IT屏蔽主机防防火墙屏蔽主机防防火墙强迫迫所有的外外部主机与与一个堡垒垒主机（一一种被强化化的可以防防御进攻的的计算机））相连接，，而不让它它们直接与与内部主机机相连。屏屏蔽主机防防火墙由包包过滤路由由器和堡垒垒主机组成成。在采用屏蔽蔽主机防火火墙的情况况下，过滤滤路由器是是否正确配配置是这种种防火墙安安全与否的的关键。屏蔽主机这这种体系结结构中，堡堡垒主机与与其他内部部主机之间间没有任何何保护网络络安全的东东西存在，，所以，一一旦堡垒主主机被攻破破，内部网网将完全暴暴露。为了了改进这一一缺点，可可以使用屏屏蔽子网。。2006-7-1074大学IT屏蔽子网防防火墙屏蔽子网防防火墙系统统用了两个个包过滤路路由器和一一个堡垒主主机。这种种防火墙系系统最安全全，它定义义了“非军军事区”网网络，支持持网络层和和应用层安安全功能。。堡垒主机往往往是受侵侵袭的对象象，虽然堡堡垒主机很很坚固，不不易被入侵侵者控制，，但万一堡堡垒主机被被控制，如如果采用了了屏蔽子网网体系结构构，入侵者者仍然不能能直接侵袭袭内部网络络，因为内内部网络仍仍受到内部部过滤路由由器的保护护。若没有“非非军事区””，入侵者者控制了堡堡垒主机后后就可以监监听整个内内部网络的的对话。2006-7-1075大学IT8.4.4防火火墙产品介介绍防火墙产品品众多，每每种产品都都具有自己己独特的技技术手段。。选择安装防防火墙产品品之前，应应先搞清楚楚自己的网网络规模和和具体应用用需求，再再充分地了了解各种产产品的功能能及适用范范围。本教材的配配套实验教教材介绍了了瑞星防火火墙的操作作方法。2006-7-1076大学IT8.5入入侵检测测8.5.1入侵检测概概念8.5.2入侵检测系系统的工作作原理8.5.3入侵检测的的分类2006-7-1077大学IT8.5.1入侵侵检测概念念入侵检测系系统（IntrusionDetectionSystem，简称IDS)，，是为保证证计算机系系统的安全全而设计与与配置的一一种能够及及时发现并并报告系统统中未授权权或异常现现象的技术术，是一种种用于检测测计算机网网络中违反反安全策略略行为的技技术。如果把防火火墙比作门门卫的话，，入侵检测测系统则是是网络中不不间断的摄摄像机，它它通过监听听的方式不不间断地对对网络／主主机上的数数据进行分分析，判断断是否有攻攻击的意图图，如果有有，则做出出响应，而而且它的活活动对网络络性能和运运行影响甚甚微。可见见，入侵检检测系统不不但可以检检测到来自自外部的攻攻击，而且且可以发现现内部的恶恶意破坏行行为，是网网络／主机机的第二道道闸门。它它与防火墙墙相辅相成成，构成了了信息安全全比较完美美的解决方方案。2006-7-1078大学学IT入入侵侵检检测测系系统统的的工工作作原原理理信息息收收集集数据据分分析析响应应2006-7-1079大学学IT信息息收收集集信息息收收集集的的内内容容包包括括系系统统、、网网络络、、数数据据及及用用户户活活动动的的状状态态和和行行为为。。需需要要在在计计算算机机网网络络系系统统中中