网络安全管理教材

第8章网络安全第8章网络安全学习目标了解网络安全基本知识掌握计算机病毒的基本知识理解计算机病毒的原理和木马原理掌握防火墙技术掌握数字加密和数字签名原理8.1网络安全概述

随着互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如政府部门信息系统、电子商务、网络炒股、网上银行、网上购物等。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多信息安全隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好地增加互联网的安全性，是一个亟待解决的重大问题。8.1.1.网络安全隐患现实的互联网存在着许多安全隐患可以供人利用，隐患主要有以下几种:(1)黑客入侵(2)计算机病毒的攻击(3)陷阱和特洛伊木马(4)来自内部人员的攻击(5)修改或删除关键信息(6)拒绝服务(7)人为地破坏网络设施，造成网络瘫痪8.1.2网络攻击网络攻击是建立在网络存在漏洞基础之上的,找到漏洞后发起攻击。主动攻击：攻击者试图突破网络的安全防线。主要应付手段有：防火墙、入侵检测系统。被动攻击：攻击者简单地监视所有信息流以获得某些秘密。主要应付手段有：数据加密等。8.1.3网络基本安全技术针对目前网络不容乐观的安全形势，实现网络安全的基本措施主要有防火墙、数字加密、数字签名、身份认证等.

1.防火墙：防火墙是设置在被保护的内部网络和有危险性的外部网络之间的一道屏障，系统管理员按照一定的规则控制数据包在内外网之间的进出。2.数字加密：数据加密是通过对传输的信息进行一定的重新组合，而使只有通信双方才能识别原有信息的一种手段。3.数字签名：数字签名可以被用来证明数据的真实发送者，而且，当数字签名用在存储的数据或程序时，可以用来验证其完整性。4.身份认证：用多种方式来验证用户的合法性，如密码技术、指纹识别、智能IC卡、网银U盾等。8.2计算机病毒与木马8.2.1计算机病毒的基本知识计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活，具有对计算机资源进行破坏的作用。计算机病毒具有以下几个特点：（1）寄生性（2）传染性（3）隐蔽性（4）潜伏性（5）破坏性计算机病毒的分类：综合病毒本身的技术特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类：1.传统病毒2.宏病毒（Macro）3.恶意脚本（Script）4.木马（Trojan）程序5.黑客(Hack)程序6.蠕虫（Worm）程序7.破坏性（Harm）程序8.2.2计算机病毒工作原理1．程序型病毒工作原理程序型病毒通过网络、U盘和光盘等为载体传播，主要感染.exe和.dll等可执行文件和动态连接库文件，当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。比如运行了WORD.exe，则该文件被感染，病毒把自己复制一份，加在WORD.EXE文件的后面，会使该文件长度增加1到几个K。随着时间的推移病毒会继续感染下面运行的程序，周而复始，时间越长，染毒文件越多。到了一定时间，病毒开始发作（根据病毒作者定义的条件，有的是时间，比如CIH，有的是感染规模等等）执行病毒作者定义的操作，比如无限复制，占用系统资源、删除文件、将自己向网络传播甚至格式化磁盘等等。

2．引导型病病毒工作原原理引导型病毒毒感染的不不是文件，，而是磁盘盘引导区，，他把自己己写入引导导区，这样样，只要磁磁盘被读写写，病毒就就首先被读读取入内存存。当计算机上上启动时病病毒会随计计算机系统统一起启动动（这点和和QQ开机启动原原理差不多多），接下下来，病毒毒获得系统统控制权，，改写操作作系统文件件，隐藏自自己，让后后启动的杀杀毒软件难难以找到自自己，这样样引导型病病毒就可以以根据自己己的病毒特特性进行相相应操作。。8.2.3木马原理木马的全称称是特洛伊伊木马，是是一种恶意意程序，它它们悄悄地地在宿主机机器上运行行，就在用用户毫无察察觉的情况况下，让攻攻击者获得得了远程访访问和控制制用户计算算机的权限限。特洛伊木马马的安装和和操作都是是在隐蔽之之中完成，，用户没有有察觉。木马攻击原原理8.2.4常见AUTORUN.INF文件AUTORUN.INF这个文件本本身并不是是一个病毒毒文件，它它可以实现现双击盘符符自动运行行某个程序序的功能，，但是很多多病毒利用用了这个文文件的特点点，自动运运行一些病病毒程序。。8.2.5杀毒软件工工作原理病毒是用某某种语言写写出来的一一段代码，，每种病毒毒都会具有有一些独一一无二的特特征，叫做做病毒特征征码。当病毒通过过网络传播播开后，软软件公司得得到病毒样样本，开始始分析样本本，找到病病毒特征码码，然后更更新其病毒毒库，令其其在杀毒时时也查找这这种病毒码码，然后通通知用户，，请他们升升级其杀毒毒软件。然然后用户升升级，再杀杀毒，结果果，该病毒毒被杀死，，同时新的的病毒被发发现，周而而复始。8.3防火墙8.3.1防火墙的基基本概念防火墙是网网络安全的的屏障，可可以实现内内部可信任任网络与外外部不可信信任网络（（互联网））之间或内内部网络不不同区域之之间的隔离离与访问控控制，阻止止外部网络络中的恶意意程序访问问内部网络络资源，防防止更改、、复制、损损坏用户重重要信息。。防火墙的主主要目的就就是通过检检查入、出出一个网络络的所有连连接，防止止某个需要要保护的网网络遭受外外部网络的的干扰和破破坏。逻辑上，防防火墙是一一个分离器器、限制器器、分析器器，有效地地检查内部部网络和外外部网络之之间的任何何活动。物理上，，防火墙墙集成在在网络特特殊位置置的一组组硬件设设备----路由器、、三层交交换机、、PC机上。可可以是一一个独立立硬件系系统，也也可以是是一个软软件系统统。8.3.2防火墙的的分类按照工作作的网络络层次和和作用对对象来分分为四种种类型：：包过滤防防火墙应用程序序代理防防火墙复合型防防火墙个人防火火墙1.包过滤防防火包过滤防防火墙又又被称为为访问控控制表ACL（AccessControlList）,它根据预预先静态态定义好好的规则则审查内内、外网网之间通通信的数数据包是是否与自自己定义义的规则则（分组组包头源源地址、、目的地地址端口口号、协协议类型型等）相相一致，，从而决决定是否否转发数数据包。。包过滤防防火墙工工作于网网络层和和传输层层，把满满足规则则的数据据包转发发到目的的端口，，不满足足的数据据包则被被丢弃，，许多个个规则是是可以复复合定义义的。包过滤防防火墙的的优点是是：⑴不用改改动用户户主机上上的客户户程序；；⑵可以与与现有设设备集成成，也可可以通过过独立的的包过滤滤软件实实现；⑶成本低低廉、速速度快、、效率高高，很大大程度满满足企业业的需要要。包过滤防防火墙的的缺点是是：⑴工作在在网络层层，不能能检测对对于高层层的攻击击；⑵如果使使用很复复杂的规规则，会会大大减减低工作作效率；；⑶需要手手工建立立安全规规则，要要求管理理人员要要清楚了了解网络络需求；；⑷包过滤滤主要依依据IP包头中的的各种信信息，但但IP包头信息息可以被被伪造，，这样就就可以轻轻易绕过过包过滤滤防火墙墙。2.应用程序序代理防防火墙应用程序序代理防防火墙又又叫应用用网关防防火墙，，指在网网关上执执行一些些特定的的应用程程序和服服务器程程序实现现协议的的过滤和和转发功功能。应用程序序代理防防火墙工工作于应应用层，，掌握着着应用系系统中可可作为安安全决策策的全部部信息。。特点：完全阻隔隔了网络络信息流流，当一一个远程程用户希希望和网网内用户户通信时时，应用用网关会会阻隔通通信信息息，然后后对这个个通信数数据进行行检查，，符合要要求后，，应用网网关会作作为一个个桥梁，，转发通通信数据据。3.复合型防火墙墙由于对更高安安全性的要求求，常把基于于包过滤的方方法与基于应应用代理的方方法结合起来来，形成复合合型防火墙产产品。通常是以下两两种方案：⑴屏蔽主机防防火墙体系结结构⑵屏蔽子网防防火墙体系结结构4.个人防火墙目前网络上有有许多个人防防火墙软件，，很多都集成成在杀毒软件件当中，它是是应用程序级级的，在某一一台计算机上上运行，保护护其不受外部部网络的攻击击。一般的个人防防火墙都具有有“学习”机机制个人防火墙8.3.3网络地址转换换NAT技术网络地址转换换NAT的作用原理就就是通过替换换一个数据包包的源地址和和目的地址，，来保证这个个数据包能被被正确识别。。当内部网络计计算机通过路路由器向外部部网络发送数数据包时，私私有地址被转转换成合法的的IP地址（全局地地址）在Internet上使用，最少少只需一个合合法IP，就可以实现现私有地址网网络内所有计计算机与Internet的通信。一般NAT技术都在路由由器上实现，，所以在互联联网的通信中中，路由器的的路由表里是是不可能出现现私有地址的的。NAT技术的缺点是是学要转换每每个通信数据据包包头的IP地址而增加网网络延迟，而而且当内部网网络用户过多多时，NAT的服务质量就就不能保证了了。8.4数字加密与数数字签名8.4.1数字加密数据加密就是是指将原始的的数据通过一一定的加密方方式，加密成成非授权人难难以理解的数数据，授权人人在接受加密密数据后，利利用自己知道道的解密方式式把数据还原原成原始数据据。数据加密常用用术语：明文：没有加加密的原始数数据。密文：加密过过后的数据。。加密：把明文文转换成密文文的过程。解密：把密文文转换成明文文的过程。算法：加密或或解密过程中中使用的一系系列运算方式式。密钥：用于加加密或解密的的一个字符串串加密、解密过过程经典数字加密密技术(1)替换加密用某个字母替替换另一个字字母，替换的的方式事先确确定，比如替替换方式是字字母按顺序推推后5位，hello在网络传输时时就用mjqqt。这种加密方方式比较简单单，密钥就是是5，接受者只要要按照每个字字符的ASCⅡ码值减去5再做模26的求余运算就就可以得到原原始数据了。。(2)换位加密按照一定的规规律重新排列列传输数据。。比如说我预预先设定好换换位的顺序是是4213，明文bear在网络传输时时就是reba。这种加密方方式也较简单单，曾经大量量使用，但是是由于计算机机运算速率发发展很快，可可以利用穷举举法破译。常用加密技术术(1)秘密密钥技术术秘密密钥技术术也叫对称密密钥加密技术术。在这种技技术中，将算算法内部的转转换过程设计计的非常复杂杂，而且有很很长的密钥，，密文的破解解非常困难，，即使破解，，也会因为没没有密钥而无无法解读，这这种技术最大大的特点就是是吧算法和密密钥分开来处处理，密钥最最为关键，而而且在加密和和解密过程中中，使用的密密钥相同。秘密密钥技术术最著名的秘密密密钥加密算算法是数据加加密标准DES（dataencryptionstandard）。该算法的基本本思想是将明明文分割成64位的数据块，，并在一个64位的密钥控制制下，对每个个64位明文块加密密，最后形成成整个加密密密文。(2)公开密钥加密密技术公开密钥加密密技术也叫非非对称密钥加加密技术。公公开密钥加密密在加密和解解密过程中使使用二个不同同的密钥，这这二个密钥在在数学上是相相关的，他们们成对出现，，但互相之间间不能破解。。这样接收者者可以公开自自己的加密密密钥，发送者者可以利用他他来进行加密密，而只有拥拥有解密密钥钥的授权接收收者，才能把把数据解密成成原文。公开密钥加密密技术最著名的公开开密钥加密算算法是RSA（三位发明者者名字首字母母组合）。该算法的基本本思想是在生生成的一对密密钥中，任何何一个都可以以作为加密或或解密密钥，，另一个相反反，一个密钥钥用于公开供供发送者加密密使用。另一一个密钥严格格被接收者保保密，当接收收者收到密文文时，用于解解密加密数据据。8.4.2数字签名数字加密主要要用在防止信信息在传输过过程中被人截截取利用，而而怎样确定发发送信息人的的身份，就学学要用数字签签名来解决。。数字签名指在在计算机网络络中，用电子子签名来代替替纸质文件或或协议的签名名，以保证信信息的完整性性、真实性和和发送者的不不可否认性。。目前使用较多多的还是利用用报文摘要