网络安全与管理课件

《网络安全与管理》第一章网络安全概述第二章网络监控软件原理第三章操作系统的安全第四章：密码技术第五章：病毒技术1第六章防火墙技术第七章入侵检测系统(IDS)第八章VPN技术第九章完整网络安全解决方案设计《网络安全与管理》第一章网络安全概述互联网介绍“互联网”指的是全球性的信息系统：（1）通过全球性的唯一的地址逻辑地链接在一起。这个地址是建立在互联网协议（IP）或今后其它协议基础之上的。（2）可以通过传输控制协议和互联网协议（TCP/IP），或者今后其它接替的协议或与互联网协议（IP）兼容的协议来进行通信。（3）可以让公共用户或者私人用户使用高水平的服务。这种服务是建立在上述通信及相关的基础设施之上的。这当然是从技术的角度来定义互联网。这个定义至少揭示了三个方面的内容：首先，互联网是全球性的；其次，互联网上的每一台主机都需要有“地址”；最后，这些主机必须按照共同的规则（协议）连接在一起。政府商业个人生活金融互联网技术的影响和意义信息技术/网络技术改变生活方式EmailWebISP门户网站电子商务电子交易复杂程度时间Internet变得越来越重要网络为什么不安全（１）软件本身设计不良或系统设计上的缺陷（２）使用者习惯及方法不正确（３）网络防护不够严谨网络安全防范构建网络安全架构体系的要项（１）明确网络资源（２）确定网络存取点（３）限定存取权限（４）确认安全防范（５）内部的安全问题（６）公钥验证（７）单一登录安全攻击的出现安全问题随之而来VirusWormTrojans99%系统被感染过信息失密、被盗莫名其妙的死机、掉线十大网络危险行为1.浏览不明邮件附件

2.安装未授权应用

3.关闭或禁用安全工具

4.浏览不明HTML或文本消息

5.浏览赌博、色情或其他非法站点

6.公开自己的登录密码、令牌或智能卡信息

7.重要的文档裸奔，没有加密

8.随意访问未知、不可信站点

9.随意填写Web脚本、表格或注册页面

10.频繁访问聊天室或社交站点

十个常用网络密码安全保护技巧1、使用复杂的密码2、使用软键盘3、使用动态密码（一次性密码）4、网络钓鱼的防范5、使用加密防范Sniffer6、尽量不要保存密码在本地7、使用USBKey8、个人密码管理9、密码分级10、生物特征识别威胁网络安全的因素黑客会做什么？学习技术伪装自己发现漏洞利用漏洞做一些好事或坏事等等黑客的定义是：“喜欢探索软件程序奥秘、并从中增长其个人才干的人。他们不像绝大多数电脑使用者，只规规矩矩地了解别人指定了解的范围狭小的部分知识。”

威胁网络安全的因素外部的威胁黑客工业间谍被解雇的人员犯罪分子/恐怖分子脚本小子内部的威胁网络误用/滥用没有良好的管理机制黑客攻击的思路黑客攻击技术与网络病毒日趋融合攻击者需要的技能日趋下降网络攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测，但可以防范源目的sniffer网络攻击方式主动攻击可以检测，但难以防范主动攻击指攻击者对某个连接的中的数据进行各种处理(更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击

网络信息系统内部人员威胁拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息泄漏、篡改、破坏后门、隐蔽通道蠕虫社会工程天灾系统Bug网络存在的安全威胁一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

常用的安全技术手段加密技术身份认证技术防火墙技术病毒防治技术入侵检测技术VPN技术第38届世界电信日主题让全球网络更安全

（PromotingGlobalCybersecurity）在一个日益网络化的社会，保证网络以及信息通信技术系统和基础设施的安全，已成为当务之急。因此，必须树立对网上交易、电子商务、电子银行、远程医疗、电子政务和一系列其它应用的信心。这对于全球经济社会的未来发展至关重要。实现网络安全取决于每个联网国家、企业和公民采取的安全措施。为防范高技能的网络犯罪分子，我们必须培育全球网络安全文化。这不仅需要良好的监管和立法，还需要敏于察觉威胁，并制定出基于信息通信技术的严厉对策。战略目标•

提升网络普及水平、信息资源开发利用水平和信息安全保障水平。抓住网络技术转型的机遇，基本建成国际领先、多网融合、安全可靠的综合信息基础设施。信息安全的长效机制基本形成，国家信息安全保障体系较为完善，信息安全保障能力显著增强。《2006―2020年国家信息化发展战略》网络安全的目标进不来拿不走看不懂改不了跑不了《网络安全》第二章网络监控软件原理

为什么要使用网络监控软件

目前很多企业配备了专门的网络管理人员管理企业所构建的网站，虽然管好了设备，但设备所带来的方便却降低了企业员工的工作效率（都用网络干别的事情去了），加大了商业信息泄露的风险（因为缺乏管理，客户资料很可能被自己人传送给竞争对手，成为对方的资源）。因此企业内部网络的管理，仅仅靠购买设备是不够的，仅仅建设网站也是不够的，只管理网络设备还是不够的，还需要把员工使用网络的内容做监控，把使用网络的行为管理起来。尤其是外贸企业、技术研发类企业（如软件开发、机械工程）、政府机关、银行、医院、部队等关键任务机构，对员工的上网监督管理必不可少。网络监控软件主要目标1、防止并追查重要资料、机密文件等外泄；2、监督、审查、限制、规范网络使用行为；3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为；4、备份重要网络资源文件（比如业务邮件）；5、监视QQ/MSN聊天记录内容和行为过程；6、流量限制以及网站访问统计，用于分析员工使用网络情况；

网络监控软件的解决方案按照运行原理区分为：监听模式和网关模式两种监听模式：①通过共享式HUB（集线器）②通过镜像交换机③通过代理/网关服务器

网关模式：①内网监控

②外网监控sniffer简介Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

借你一双”网络慧眼”Sniffer的分类Sniffer分为软件和硬件两种软件的Sniffer有SnifferPro、NetworkMonitor、PacketBone等，其优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较昂贵，但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。网络监听的目的

当一个黑客成功地攻陷了一台主机，并拿到了管理员权限，而且还想利用这台主机去攻击同一（物理）网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个Log文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。Sniffer的应用（1）Sniffer可以帮助评估业务运行状态（2）Sniffer能够帮助评估网络的性能（3）Sniffer帮助快速定位故障（4）Sniffer可以帮助排除潜在的威胁（5）Sniffer可以做流量的趋势分析（6）Sniffer可以做应用性能预测Sniffer的工作原理在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：（1）帧的目标区域具有和本地网络接口相匹配的硬件地址。（2）帧的目标区域具有“广播地址”。而Sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种“混杂”模式时，该网卡具备“广播地址”，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。Sniffer所要关心的内容（1）口令（2）金融帐号（3）偷窥机密或敏感的信息数据（4）窥探低级的协议信息。Sniffer的工作环境大多数的Sniffer至少能够分析下面的协议：（1）标准以太网（2）TCP/IP（3）IPX（4）DECNetSnffierpro介绍

监控目的：通过SnifferPro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。SnifferPro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过SnifferPro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。网络拓扑步骤一：配置交换机端口镜像1.什么是端口镜像?

把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。2.为什么需要端口镜像?

交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部CAM表（通常也称IP-MAC表）进行数据转发，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

端口监控配置例：fa0/2接口监控fa0/10接口的步骤如下:

Switch#configureterminal

!进入全局配置模式

Switch(config)#monitorsession1sourceinterfacefastEthernet0/10both

!设置被监控口

Switch(config)#monitorsession1destinationinterfacefastEthernet0/2

!设置监控口

Switch(config)#end

Switch#wrSwitch#showmonitorsession1!查看当前配置

Switch(config)#nomonitorsession1!清除当前配置Sniffer软件的功能功能实时监视网络活动采集单个工作站、对话或网络任何部分详细的利用率和错误统计数据保存历史利用率和错误信息，以进行原始分析生成实时的警报检测到故障时通知网络管理员捕获网络通信量．以进行详细的数据包分析接收专家系统对网络通信口的分析用有效的工具探索网络，以模拟通信量、测量响应时间、排除故障可在运行以下各项的网段中使用以太网千兆位以太网快速以太网无线LAN(802.11b)令牌环ATMwan使用前的准备

任意捕

获条件

编辑

协议捕

获编辑

缓冲区

编辑

基本捕获条件

链路层捕获

IP

层捕获

数据流

方向

链路层捕获

地址条件

任意捕

获条件

编辑

协议捕

获编辑

缓冲区

编辑

基本捕获条件

链路层捕获

IP

层捕获

数据流

方向

链路层捕获

地址条件

定义希望捕获的协议的数据包

定义捕获数据包的缓冲区需将定义的过滤规则应用于捕获中

捕获数据包时观察到的信息Dashboard（仪表板）:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。HostTable：可以查看通信量最大的前10位主机。Matrix:通过连线，可以形象的看到不同主机之间的通信（图形）。ApplicationResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。HistorySamples:可以看到历史数据抽样出来的统计值。Protocoldistribution:可以实时观察到数据流中不同协议的分布情况Switch:可以获取（cisco）交换机的状态信息

捕获数据包后的分析工作Expert:这是sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出非常有价值的诊断信息。Decode:对每个数据包进行解码，可以看到整个包的结构及从链路层到应用层的信息，事实上，sniffer的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实践经验上提出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结症所在。sniffer同样提供解码后的数据包过滤显示。要对包进行显示过滤需切换到Decode模式。Displaydefinefilter，定义过滤规则。

Displayselectfilter,应用过滤规则。

网路岗工具介绍

网路岗软件通过旁路对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件、发现安全隐患，并对网络活动的相关信息进行存储、分析和协议还原。该产品可监视企业内部员工是否将公司机密资料通过因特网外传到竞争对手的手中。网路岗软件可以监控的内容包括：监控邮件内容和附件（包括Web邮件监控）、监控聊天内容、监控上网网站、监控FTP外传文件、监控Telnet命令、监控上网流量；IP过滤、端口过滤、网页过滤、封堵聊天游戏；限制外发资料邮件大小；限制网络流量；IP-MAC绑定；截取屏幕等。网路岗对上网的监控能做到什么程度（1）让某人只能在规定时间上网，且只能上指定的网站。（2）让某人只能在哪个网站上收发邮件，只能收发哪类的邮箱。（3）谁什么时候通过什么软件发送了什么邮件或通过哪个网站发了什么软件，邮件的内容和附件是什么，以及附件在发送者电脑的具体位置。（4）规定某人只能发送多大的邮件。（5）规定某些人只能发送到哪些目标邮箱。（6）轻松抓取指定人的电脑屏幕。（7）所有机器在一天内各时间段的上网流量。（8）某台机器哪些外部端口不能用，或只能通过哪些端口和外界联系。网路岗安装方式网路岗在代理服务器上的安装拓扑网路岗在HUB的一个端口上的安装网路岗在交换机的镜像端口上的安装拓扑网路岗在网络桥上的安装拓扑《网络安全》第三章：操作系统的安全安全操作系统操作系统安全等级安全操作系统的基本特征访问控制模型安全操作系统的设计国际安全评价标准的发展及其联系操作系统安全等级D类C类（C1,C2）B类（B1,B2,B3）A类（A1）

D类

最普通的形式是本地操作系统完全没有保护的网络例如早期的DOSC类C1

可信任运算基础体制，例如早期的UnixC2

比C1系统加强了可调的审慎控制，例如WindowsNT和UnixB类B1系统使用灵敏度标记作为所有强迫访问控制的基础B2管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制B3具有很强的监视委托管理访问能力和抗干扰能力A类A1系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范概念模型概念模型安全操作系统的基本特征最小特权原则自主访问控制和强制访问控制安全审计功能安全域隔离功能操作系统安全保护内存保护软硬件共同作用使多道程序间互不干扰文件保护通过存取控制机制来防止人为因素所造成的文件不安全性通过系统容错技术来防止系统部分故障所造成的文件不安全性；通过“后备系统”来防止由自然因素所造成的不安全性安全操作系统的确认安全操作系统的评价方法形式化验证要求检查设计与代码检查模块化与系统测试攻击试验安全操作系统还有以下要求安全政策识别标记可检查性保障措施连续保护WindowsServer2003安全特性

Internet连接防火墙（ICF）软件限制策略网页服务器的安全性新的摘要安全包改善了以太局域网和无线局域网的安全性凭证管理器FIPS-广为认可的内核模式加密算法改进的SSL客户端认证增强的加密文件系统（EFS）Windows2003身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域，然后向域中的任何计算机认证身份。单一注册在安全性方面提供了两个主要优点：对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率；对管理员而言，由于管理员只需要为每个用户管理一个帐户，域用户所要求的管理支持减少了。windows2003的认证机制Windows2003账号安全1．域用户账号域用户账号是用户访问域的惟一凭证，因此在域中必须是惟一的。域用户账号是在域控制器上建立，作为活动目录的一个对象保存在域的数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域控制器所验证。2．本地用户账号本地用户账号只能建立在Windows2003独立服务器上，以控制用户对该计算机资源的访问

3．内置的用户账号Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑，Guest帐号在Windows2003安装好之后是被屏蔽的。如果需要，可以手动启动，应该注意分配给该帐号的权限，该帐号也是黑客攻击的主要对像。账号与密码约定1．账号命名约定由于账号的在域中的重要性和惟一性，因此账号的命名约定十分重要。一个好的帐号命名约定将有助于规划一个高效的活动目录。Windows2003的账号命名约定包括如下内容：域用户账号的用户登录名在AD中必须惟一。域用户账号的完全名称在创建该用户账号的域中必须惟一。本地用户账号在创建该账号的计算机上必须惟一。如果用户名称有重复，则应该在账号上区别出来。

账号与密码约定2．密码约定通常使用密码有如下原则：①尽量避免带有明显意义的字符或数字的组合，最好采用大小写和数字的无意义混合。在不同安全要求下，规定最小的密码长度。通常密码越长越不易被猜到(最长可以达到128位)。②对于不同级别的安全要求，确定用户的账号密码是由管理员控制还是由账号的拥有者控制。③定期更改密码，尽量使用不同的密码.有关密码的策略可以由系统管理员在密码策略管理工具中加以规定，以保护系统的安全性。windows2003文件系统安全NTFS权限及使用原则

NTFS权限的继承性共享文件夹权限管理NTFS权限及使用原则（1）权限最大原则当一个用户同时属于多个组，而这些组又有可能被对某种资源赋予了不同的访问权限，则用户对该资源最终有效权限是在这些组中最宽松的权限，即加权限，将所有的权限加在一起即为该用户的权限(“完全控制”权限为所有权限的总和)。（2）文件权限超越文件夹权限原则当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。（3）拒绝权限超越其他权限原则当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。NTFS权限的继承性在同一个NTFS分区内或不同的NTFS分区之间移动或拷贝一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。1．在同一个NTFS分区内移动文件或文件夹在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹“搬”过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限(准确地讲就是该文件或文件夹的权限不变)。2．在不同NTFS分区之间移动文件或文件夹在这种情况下文件和文件夹会继承目的分区中文件夹的权限(ACL)，实质就是在原位置删除该文件或文件夹，并且在目的位置新建该文件或文件夹。（要从NTFS分区中移动文件或文件夹，操作者必须具有相应的权限。在原位置上必须有“修改”的权限，在目的位置上必须有“写”权限）NTFS权限的继承性3．在同一个NTFS分区内拷贝文件或文件夹在这种情况下拷贝文件和文件夹将继承目的位置中的文件夹的权限。4．在不同NTFS分区之间拷贝文件或文件夹在这种情况下拷贝文件和文件夹将继承目的位置中文件夹的权限。（当从NTFS分区向FAT分区中拷贝或移动文件和文件夹都将导致文件和文件夹的权限丢失，因为FAT分区不支持NTFS权限。）Windows2003的加密机制文件加密系统文件加密系统(EFS)提供一种核心文件加密技术，该技术用于在NTFS文件系统卷上存储已加密的文件。使用文件加密系统(EFS)，用户可以对文件进行加密和解密。以保证文件的安全，防止那些未经许可的入侵者访问存储的敏感资料（例如，通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料）。用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。EFS用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密。但是，不允许入侵者访问任何已加密的文件或文件夹。Windows2003的安全配置安全策略配置利用windows2003的管理工具“本地安全策略”，可以配置服务器的安全策略。依次选择“开始”

“程序”

“管理工具”

“本地安全策略”，打开“本地安全配置”窗口，如图所示。1．帐户策略2．本地策略3．IP安全策略配置

文件保护

1．Windows文件保护打开“组策略”窗口，在左侧列表里展开“计算机设置”|“管理模板”|“系统”|“Windows文件”，在右侧列表中显示已有的文件保护策略，如图所示，双击列表中的某项，打开设置窗口，如图所示，在该窗口中可设置是否启用这一项开全策略。2．分区、文件夹、文件的安全设置NTFS比FAT16和FAT32提供了更多的安全选项。下面来看一下NTFS分区上的文件夹及文件的一些安全设置。其它有利于提高系统安全性的设置１.关闭不必要的端口和服务2.安全的帐号设置（１）停止Guest帐号（２）限制账户数据（3）尽量少用管理员权限登录（4）管理员账号更名和设置陷阱账号（5）修改默认权限（6）不显示上次登录名（7）禁止Guest访问日志3.其他的一些有利于安全的设置（1）注册表锁定（2）禁止判断主机类型（3）禁止默认共享系统安全扫描软件系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的，对本主机中的各项信息都具有读写的权限，因此只要研究出相关的安全漏洞的检测方法，都可以查获该主机上是否存在着相应的安全漏洞远程检测软件一般情况下只具备远程匿名用户的权限，如果对应的主机不开启远程访问服务，那么就只能通过各种试探的方法，甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样，也只能检测一部分的漏洞《网络安全》第四章：密码技术密码技术保障信息安全的重要手段防止信息泄露和失密的有效措施提高关键信息保密水平密码学的起源三个阶段：1949年之前密码学是一门艺术1949～1975年密码学成为科学1976年以后密码学的新方向——公钥密码学密码学的起源隐写术(steganography):

通过隐藏消息的存在来保护消息.

隐形墨水字符格式的变化图象图像

密码学的起源古罗马：Caesar密码ABCDEFGHIGKLMNOPQRSTUVWXYZDEFGHIGKLMNOPQRSTUVWXYZABCCaesarwasagreatsoldier密码本密文Fdhvduzdvdjuhdwvroglhu明文密文CAESAR密码：c=(m+3)Mod26密码学的历史美国南北战争CANYOUUNDERSTAND输入方向输出方向明文：Canyouunderstand密文：codtaueanurnynsd密码学的历史

转轮密码机ENIGMA，由ArthurScherbius于1919年发明，4轮ENIGMA在1944年装备德国海军.密码学的历史英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。明文(plaintext)：需要被隐蔽的消息密文(cipertext)：

明文经变换形成的隐蔽形式加密(encryption)：从明文到密文的变换过程解密(decryption)

：

从密文恢复到明文的过程。变换函数所用的一个控制参数称为密钥(key)加密和解密算法的操作通常是在一组密钥控制下进行的，分别称为加密密钥和解密密钥。密钥未知情况下进行的解密推演过程，称为破译，也称为密码分析或者密码攻击。几个术语密码分析学密码编码学的主要目的是保持明文（或密钥，或明文和密钥）的秘密以防止偷听者（也叫对手、攻击者、截取者、入侵者、敌手或干脆称为敌人）知晓密码分析学是在不知道密钥的情况下。恢复出明文的科学。成功的密码分析能恢复出消息的明文或密钥。密码分析也可以发现密码体制的弱点密码分析学常用的密码分析攻击有七类，当然，每一类都假设密码分析者知道所用的加密算法的全部知识：唯密文攻击已知明文攻击选择明文攻击自适应选择明文攻击选择密文攻击选择密钥攻击软磨硬泡(Rubber-hose)攻击明文明文密文加密算法解密算法密钥密钥加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称为加密密钥(EncryptionKey)和解密密钥(DecryptionKey).加解密过程示意图信息窃取者

“魔高一尺，道高一丈”明文x密文y加密过程加密密钥解密过程解密密钥密码破译加密与解密密码体制目前分为单钥密码和双钥密码体制

㈠单钥密码体制

也称为对称密码体制，其加密密钥和解密密钥相同，或者在实质上等同，即从一个很容易得出另一个。密码体制加密算法解密算法密钥网络信道明文密文加密密钥解密密钥两者相等流密码(streamcipher)

:又称序列密码.序列密码每次加密一位或一字节的明文。即对明文按字符逐位加密组密码(blockcipher):将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。

●序列密码是手工和机械密码时代的主流●设计简单，密钥单一，加密效率高，特别适合点对点通信传输的数据加密。但其密钥的管理（如密钥产生、分配、存储、销毁等）工作比较复杂。也称非对称密码体制，其加密密钥与解密密钥不相同，从一个很难得出另一个。采用双密钥体制的每个用户都有一对选定的密钥，其中一个是秘密的，而另一个则可以公开，并可以象电话号码一样注册公布。因此，双钥密码体制也被称为公钥体制(publickeysystem)。

双钥密码体制加密算法解密算法公开密钥网络信道明文明文密文私有密钥公钥私钥公钥私钥不可相互推导不相等

加密和解密能力分开，可实现多个用户加密的信息只能由一个用户解读（多对一），或者一个用户加密的信息可以由多个用户解读（一对多）。前者可以用于公共网络中实现保密通信，后者可用于认证系统中对信息进行数字签名。由于该体制大大减少了多用户之间通信所需的密钥数，方便了密钥管理，这种体制特别适合多用户通信网络。公钥体制特点102数据加密技术原理

哈希（Hash）算法信息加密解密网络信道信息密文

哈希算法，也叫信息标记算法，可以提供数据完整性方面的判断依据。哈希算法

结果相同，则数据未被篡改比较

结果不同，则数据已被篡改信息标记（digest）常用的哈希算法：MD5SHA-1哈希算法

几个概念：

1）没有一种密码系统是无懈可击的，仅仅是一个时间/空间复杂性问题。

2）有多种密码体制，每一种体制又派生出多种算法，需要针对性折衷。

3）加密程度可以根据应用安全的级别来定，一个系统可以有多种加密方式。

4）加密程度越高，算法越复杂，会降低系统性能，需要实际性折衷。密码与系统安全1）代替密码（替换密码）

可分为单表密码、多表密码单表密码：将明文中的字母或符号用另一种字母或符号来代替，这种代替是一一对应的。明文与密文之间只有一种对应关系。多表密码：代替不是一一对应的。代替规律不同，密码体制也不同。代替规律相同，明密文间字母对应关系不同，代替出的密码也不同。e.g.同余密码（加同余、乘同余、线性同余）随机替代、密钥词组、多表组合经典密码

著名密码体系1、分组密码的一般设计原理分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列DES（DataEncryptionStandard）在所有分组密码中，数据加密标准（DES）可谓是最著名的了。

DES密码是一种数据加密标准，1977年正式公布，供非机要部门的保密通信使用，是唯一由美国政府颁布的公开加密算法。

DES密码在过去20年被正式作为国际标准采用，但业界认为其56位密钥太短，而且其基本设计原理，如各种不同排列选择、置换、叠代次数等没有清楚的说明，存在系统隐蔽陷阱的可能。DES数据加密标准 DES是一种对二进制数据进行加密的算法。数据分组长为64位，密钥长也为64位。使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。与每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥得出来。经过16轮的迭代、乘积变换、压缩变换等，输出密文也为64位。DES算法的安全性完全依赖于其所用的密钥。明文64bit码初始变换ＩＰ１６轮乘积变换逆初始变换ＩＰ－１密文６４bit码输出ＤＥＳ算法IDEA是以64-bit的明文块进行分组，密钥是128-bit长。此算法可用于加密和解密。IDEA用了混乱和扩散等操作，算法背后的设计思想是“在不同的代数组中的混合运算”。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。IDEA的速度：现在IDEA的软件实现同DES的速度一样快。IDEA密码算法公钥密码算法的特性

加密与解密由不同的密钥完成 加密:X

Y:Y=EKU(X)

解密:Y

X:X=DKR(Y)=DKR(EKU(X))知道加密算法,从加密密钥得到解密密钥在计算上是不可行的两个密钥中任何一个都可以用作加密而另一个用作解密(不是必须的) X=DKR(EKU(X))=EKU(DKR(X))RSA密码是由Rivest,Shamir和Adleman三位学者于1977年联合提出的双密钥（公钥）密码系统，RSA是由他们的名字的首字母命名。是迄今理论上最为成熟完善的一种公钥密码体制。

RSA密码基于计算复杂性原理获得加密强度，但其缺点是系统的安全取决于所用的两个大素数，如果能找出一种快速方法分解这两个大素数，系统很容易被攻破。RSA密码体制举例取两个质数p=11，q=13，p和q的乘积为n=p×q=143，算出另一个数d=(p-1)×(q-1)=120；再选取一个与d=120互质的数，例如e=7，则公开密钥=（n，e）=（143，7）。对于这个e值，可以算出其逆：a=103。因为e×a=7×103=721，满足e×amodd=1；即721mod120=1成立。则秘密密钥=（n，a）=（143，103）。设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值：c=memodn=857mod143=123并发送给李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m=camodn=123103mod143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。RSA的安全性

就目前的计算机水平用1024位的密钥是安全的，2048位是绝对安全的。RSA实验室认为，512位的n已不够安全，应停止使用，现在的个人需要用668位的n，公司要用1024位的n，极其重要的场合应该用2048位的n。RSA算法的脆弱性p、q选择不当，则变换周期性、封闭性而泄密例：p=17，q=11，e=7，则n=187。设m=123，则

C1=1237mod187=183C2=1837mod187=72C3=727mod187=30C4=307mod187=123

明文m经过4次加密，恢复成明文。总之，RSA对用户要求太苛刻，密钥不能常更换。PGP，全称PrettyGoodPrivacy，一种在信息安全传输领域首选的加密软件，其技术特性是采用了非对称的“公钥”和“私钥”加密体系。由于美国对信息加密产品有严格的法律约束，特别是对向美国、加拿大之外国家散播该类信息，以及出售、发布该类软件约束更为严格。因此而限制了PGP的一些发展和普及，现在该软件的主要使用对象为情报机构、政府机构、信息安全工作者（例如较有水平的安全专家和有一定资历的黑客），PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件进行邮件加密，甚至可以对ICQ的聊天信息实时加密！你和对方只要安装了PGP，就可利用其ICQ加密组件在你和对方聊天的同时，加密或解密，和正常使用没有什么差别，最大程度的保证了你和对方的聊天信息不被窃取或监视。PGP加密软件（1）使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。（2）使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。（3）使用公开密钥加密技术对文件或电子邮件作数字签名，鉴定人可以用起草人的公开密钥鉴别真伪。PGP软件有3个主要的功能：PGP消息的格式

一、软件加密概念缺点：速度慢、造价高、安全性差优点：使用灵活、修改方便、可移植性好。采用软件加密时，密钥管理的手段必须可靠，密钥和明文应在加密后删除。

软件与硬件加密技术现今很多Shareware(共享软件)大多采用这种加密方式，用户在软件的试用期是不需要交费的，一旦试用期满还希望继续使用这个软件，就必须到软件公司进行注册，然后软件公司会根据你提交的信息(一般是用户的名字)来生成一个序列号，当你收到这个序列号以后，并在软件运行的时候输入进去，软件会验证你的名字与序列号之间的关系是否正确，如果正确说明你已经购买了这个软件，也就没有日期的限制了。

序列号加密是序列号加密的一个变种。从网上下载或购买的软件并不能直接使用，软件在安装时或运行时会对你的计算机进行一番检测，并根据检测结果生成一个特定指纹，这个指纹是一个数据文件，把这个指纹数据通过Internet、E-mail、电话、传真等方式发送到开发商那里，开发商再根据这个指纹给你一个注册码或注册文件，你得到这个注册码或注册文件并按软件要求的步骤在你的计算机上完成注册后方能使用。

许可证加密硬加密则是采用硬件（电路、器件、部件等）和软件结合来实现的加密，对硬件本身和软件采取的加密、隐藏、防护技术，防止被保护对象被攻击者破析、破译。硬件加解密是商业或军事上的主流（1）速度问题：针对位的操作、不占用计算机主处理器（2）安全性：可进行物理保护，由硬件完成加密解密和权限检查，防止破译者通过反汇编、反编译分析破译。（3）易于安装：不需使用计算机的电话、传真、数据线路；计算机环境下，使用硬件加密可对用户透明，软件实现，需要在操作系统深层安装，不容易实现。（4）在硬件内设置自毁装置，一旦发现硬件被拆卸或程序被跟踪，促使硬件自毁，使破译者不敢进行动态跟踪。硬件加密概念硬件加密较之软件加密具有其独到的特点。①安全性好，破译困难采用定制或半定制硬件芯片将硬件密封，防止破译者了解硬件情况。②由硬件完成加密解密和权限检查，防止破译者通过反汇编、反编译分析破译。③在硬件内设置自毁装置，一旦发现硬件被拆卸或程序被跟踪，促使硬件自毁，使破译者不敢进行动态跟踪。④硬件加密需要增加硬件，增加成本硬件加密特点124数字签名

数字签名（digitalsignature）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。125数字签名的工作原理非对称加密算法非对称解密算法Alice的私有密钥网络信道合同Alice的公开密钥哈希算法标记标记-2合同哈希算法比较标记-1如果两标记相同，则符合上述确认要求。AliceBob假定Alice需要传送一份合同给Bob。Bob需要确认：合同的确是Alice发送的合同在传输途中未被修改126数字签名的作用唯一地确定签名人的身份；对签名后信件的内容是否又发生变化进行验证；发信人无法对信件的内容进行抵赖。

当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构（CA:CertificateAuthorities）的帮助。127数字证书

数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（CA机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。

数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。申请数字证书，并利用它发送电子邮件用户向CA机构申请一份数字证书，申请过程会生成他的公开/私有密钥对。公开密钥被发送给CA机构，CA机构生成证书，并用自己的私有密钥签发之，然后向用户发送一份拷贝。用户的同事从CA机构查到用户的数字证书，用证书中的公开密钥对签名进行验证。用户把文件加上签名，然后把原始文件同签名一起发送给自己的同事。证书申请签发的数字证书文件和数字签名数字证书的验证用户同事CA数据传输的加密

SH：会话层包头；TH：传输层包头；NH：网络层包头；LH：链路层包头；E：链路层包尾；应用层表示层会话层传输层网络层链路层物理层MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息端对端加密方式应用层表示层会话层传输层网络层链路层物理层MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：会话层包头；TH：传输层包头；NH：网络层包头；LH：链路层包头；E：链路层包尾；：明文信息：密文信息

PKI（PublicKeyInfrustructure）又称为公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

公钥基础设施简介典型、完整、有效的PKI应用系统

产生、验证和分发密钥。签名和验证证书的获取证书的验证保存证书本地保存的证书的获取证书废止的申请密钥的恢复CRL的获取密钥更新审计存档PKI的功能操作CA系统的结构CA结构示意图1、证书颁发2、证书更新3、证书撤销4、证书和证书撤销列表（CRL）的公布5、证书状态的在线查询6、证书认证7、制定政策等。CA的功能第五章：病毒技术《网络安全与管理》2007年十大病毒排名1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫）2、威金蠕虫（Worm.Viking）3、熊猫烧香（Worm.Nimaya；又称尼姆亚）4、网游窃贼（Trojan.PSW.OnlineGames）5、QQ通行证（Trojan.PSW.QQPass）6、ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒）7、征途木马（Trojan.PSW.ZhengTu）8、MSN相片（Worm.Mail.Photocheat.A）9、梅勒斯（Trojan.DL.Mnless）10、灰鸽子（Backdoor.Gpigeon)2008年度十大病毒排行(1)“网游窃贼”及其变种、Trojan/PSW.OnLineGames(2)“网游大盗”及其变种、Trojan/PSW.GamePass(3)“代理木马”及其变种、Trojan/Agent(4)“U盘寄生虫”及其变种、Checker/Autorun、蠕虫(5)“灰鸽子”及其变种、Backdoor/Huigezi(6)“QQ大盗”及其变种、Trojan/PSW.QQPass(7)“Flash蛀虫”及其变种、脚本病毒(8)“初始页”及其变种、Trojan/StartPage(9)“机器狗”及其变种、Trojan/DogArp(10)“RPCSS毒手”及其变种、木马病毒、木马、蠕虫比较电脑病毒特洛伊木马电脑蠕虫感染其它档案会不会不会被动散播自己是是不是主动散播自己不是不是是造成程序增加数目电脑使用率愈高，档案受感染的数目愈多不会增加取决于网路连接情况，连接范围愈广，散布的数目愈多破坏力取决于病毒作者取决于病毒作者无对企业的影响中低高标准网络攻击范例病毒诞生攻击主机漏洞潜伏伺机破坏窃取机密資料账号发动跳板攻击灾情一发不可收拾植入木马后门搜寻入侵目标程序漏洞所帶來的新危机!!普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机蠕虫病毒造成的危害大量的垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失2004年1月起MyDoom大量网络瘫痪，造成了数十亿美金的损失2003年7月冲击波网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元2003年1月蠕虫王大量病毒邮件堵塞服务器，损失达数百亿美元2001年12月至今求职信网络瘫痪，直接经济损失超过26亿美元2001年7月红色代码众多用户电脑被感染，损失超过100亿美元以上2000年5月至今爱虫病毒政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!1999年美丽杀手6000多台电脑停机，经济损失达9600万美元1988年莫里斯蠕虫造成损失持续时间病毒名称蠕虫的行为特征主动攻击行踪隐蔽利用系统、网络应用服务漏洞，防不胜防。造成网络拥塞降低系统性能产生安全隐患反复性破坏性蠕虫的感染方式散播特洛伊木馬，潛伏在別人的电脑系統集體發動攻擊集體發動攻擊集體發動攻擊大量占线，导致网站无法接受其他连线特洛伊木馬TCPPort707TCPPort135,80TCPPort135,80TCPPort135,80TCPPort707TCPPort707TCPPort707TCPPort135,80病毒的传播

病毒传播传统方式文件感染病毒邮件局域网漏洞病毒传播互联网方式社会工程学ARP欺骗病毒购买者没有很高深的计算机知识，所以自己很难编写出相关的木马病毒，于是直接通过购买别人现成的木马程序，或直接订购所需的木马病毒来捕捉“肉鸡”进行使用。

每个星期平均能抓到3000只“肉鸡”，一个月平均有12000只，每只两毛钱，算下来一个月就有2400元的收入。(网络数据)抓“肉鸡”也能赚钱“熊猫烧香”病毒档案追杀目标：Worm.WhBoy.h中文名：“熊猫烧香”病毒长度：可变病毒类型：蠕虫危害等级：★★★★影响平台：Win9X/ME/NT/2000/XP/2003

熊猫烧香为例熊猫烧香案主犯李俊获刑四年

2007年9月24日，湖北省仙桃市人民法院公开开庭审理了倍受社会各界广泛关注的被告人李俊、王磊、张顺、雷磊破坏计算机信息系统罪一案。被告人李俊犯破坏计算机信息系统罪，判处有期徒刑四年；被告人王磊犯破坏计算机信息系统罪，判处有期徒刑二年六个月；被告人张顺犯破坏计算机信息系统罪，判处有期徒刑二年；被告人雷磊犯破坏计算机信息系统罪，判有期徒刑一年。我国网站“挂马”监测结果自2008年3月至2008年7月底，利用我们的网站挂马搜索系统新发现6722个有问题的网站。其中被挂马的网站有6153个，存放恶意代码的网站有887个。有问题的全部网站地域分布情况所在地数量北京960上海895广东600浙江519福建428江苏348四川293山东271河南200江西172安徽151重庆140湖北121天津95广西94其它地区1529“顶狐”病毒网上银行盗窃案2007年12月16日，“3。5”特大网上银行盗窃案的8名主要犯罪嫌疑人全部落入法网。8名疑犯在网上以虚拟身份联系，纠集成伙，虽不明彼此身份，却配合密切，分工明确，有人制作木马病毒，有人负责收集信息，有人提现，有人收赃，在不到一年时间里窃得人民币300余万元。徐伟冲提供信息，金星通过网上购买游戏点卡，转手倒卖给湖南长沙的“宝宝”，即陈娜。因信息太多，忙不过来，金星又在网上将信息倒卖给“小胖”，“小胖”再转卖他人提现。陆瑛娜则不停地在网上购游戏点卡，她到外地制作了两张假身份证，在数家银行开了账户，忙着到苏州、昆山、常州等周边地区银行去取赃款。

2008年4月11日，无锡市滨湖区法院对一起公安部挂牌督办的重大网络犯罪案件作出了一审判决，被告人金星、徐伟冲、陆瑛娜、方少宏因构成信用卡诈骗罪和盗窃罪，分别被判处十四年至三年不等的有期徒刑。利用DNS劫持攻击大型网站恶性攻击事件

2007年11月3日，部分用户在访问腾讯迷你首页网站时，会被恶意代码感染，系统会自动从恶意网站上下载并运行恶意程序。由于该站点为QQ软件启动时默认自动弹出，具有极高的访问量，攻击者采用的攻击方法是劫持DNS解析过程，篡改腾讯迷你首页的DNS记录。非法劫持腾讯“迷你网”主页域名传播17种32个计算机木马病毒，使全国数百万网民在访问“迷你网”主页，玩传奇、魔兽等网络游戏时，游戏帐号和密码被秘密发送到木马程序设置的远程接收服务器上，该团伙迅速盗取帐号和密码，在网上销赃套现，销赃所得按“贡献”大小分成。不到两个月时间，马志松等人就盗窃数十万网上用户的游戏帐号和密码，非法获利40余万元，马志松分得15万元。腾讯“迷你网”因停止服务，造成直接损失20余万元。同年12月，分别在四川成都、江苏张家港、黑龙江东宁等地抓获6名犯罪嫌疑人。网络安全监察部门在马志松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。经审查，2007年9月底至11月中旬，这一团伙在成都市使用编译好的劫持程序对上海、重庆、扬州等10余个城市共计27台域名服务器实施攻击劫持，借机盗取网络游戏账号。6名被告违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重，均已构成破坏计算机信息系统罪。近日，马志松等6名被告被分别判处四年至一年不等有期徒刑。攻击红十字会、地震局网站5月18日下午，昆山市红十字会网站遭人攻击，有人攻击窃取了这个网站后台管理账号和密码，将原网站页面替换成虚假页面，并在虚假页面上发布捐款账号。6月，黑龙江、湖南、湖北等地个别不法分子利用互联网恶意篡改红十字会公布的募捐银行账号，企图吞噬善款。5月28日晚陕西地震信息网遭遇了汶川地震以来的第一次黑客攻击，黑客在网站首页留下一条题为“网站出现重大安全漏洞”的信息，网站工作人员及时进行了处理。5月29日20时53分前后，陕西地震信息网再次遭到黑客袭击，网站主页上被发布了“23时30分陕西等地会有强烈地震发生”的虚假信息。很快，陕西省地震局的电话就被打“爆”了，很多市民急切的希望求证这一“消息”是否真实。5月31日、6月1日、2日，广西地震局官方网站连续遭到黑客攻击。黑客篡改网站数据资料，发布近期将发生地震的虚假信息。08年3月多次出现仿冒农行网站的网络钓鱼“敲诈者”木马新“敲诈者”木马专门破坏日文操作系统网络间谍活动猖獗密集攻击我方电脑猖獗刺探国家秘密

国务院台湾事务办公室发言人杨毅2007年10月31日在例行记者会上证实，国家安全部门日前对台湾一个名为李芳荣的网络间谍发出了通缉令。女鬼病毒2000年12月网络上盛传一个名叫女鬼的病毒，该病毒继在台湾和香港地区发作之后已经悄悄登陆国内，目前从上海创源技术部接获的报告表明，该病毒已在全国各地出现，有地区发作的次数明显增多。据报道，该病毒在台湾地区发作时曾经使人因为惊吓过度，在送往医院救治后死亡，另有两人也因为受到惊吓，出现严重的神志不清和精神恍惚现象，经康复医疗后恢复正常。上海地区也有用户报告了该病毒的发作。

“女鬼”病毒亦称为“恐怖女鬼”病毒，其国际标准命名为Joke-Ghost，在台湾地区因为其图标为麦当劳标志，所以还有一个“麦当劳”的别名。其实就严格意义上来说，“女鬼”并不是一个病毒，只是一个恶作剧程序，属于Hoax（虚假消息）或者JokeProgram（玩笑程序）的范畴，而且其不具有病毒“自我复制、自我传播和对计算机软硬件产生破坏”的特性。但是从其危害程度和对社会产生的影响上来看，各防病毒软件公司还是将其作为病毒来阻止其进一步传播以防止产生不良的社会影响。

网络进攻时序线发现漏洞完成补丁公布补丁黑客破解补丁开发病毒/蠕虫释放病毒/蠕虫没利用

只有微软及发现者知道漏洞存在没利用只有微软及发现者知道漏洞存在没利用

公众知道漏洞存在，但不知道怎样攻击

没利用

知道怎样攻击，但病毒/蠕虫尚未出现

没利用

病毒/蠕虫尚未出现，但未被释放

利用病毒/蠕虫被释放;感染未被修补系统用户与黑客赛跑实例分析：冲击波蠕虫微软被通知漏洞存在公布补丁进攻样板程序出现蠕虫出现七月1日七月16日七月25日八月11日通知漏洞RPC/DDOM漏洞被发现微软启动最高级别快速反应程序安全公告公布MS03-026(7/16/03)继续与安全分析家，媒体，IT社区，合作伙伴，政府部门保持联系进攻样板程序X-focus(中国黑客组)出版进攻样板程序微软警告用户尽快安装补丁蠕虫冲击波蠕虫出现;变种及其它病毒同时出现(例如.“SoBig”)冲击波展现了安全分析师，软件公司，以及黑客之间的复杂的互动关系补丁越来越多进攻样板程序出现时间缩短进攻样板程序越来越精巧151180331BlasterWelchia/NachiNimda25SQLSlammer发现漏洞至进攻样板程序之间的天数网络进攻趋势如何保护你的计算机/china/security/protect/使用Internet防火墙用处:阻挡90%的黑客、蠕虫病毒及消除系统漏洞引起的安全性问题WindowsXP或Windows2003系统自带防火墙,只要在网络中使用即可.其它Windows操作系统(Win95,Win98,WinNT,Win2000)安全其它品牌个人防火墙（推荐：天网）WinXP使用防火墙网上邻居-属性-本地连接-属性-高级-设置使用防火墙并同时启动例外启动例外时的安全措施获得更新用处:把系统漏洞补住，如冲击波的RPC系统漏洞WindowsXP安装SP3及安装安全补丁Windows2000安装SP4及安装安全补丁Windows98网上安装安全补丁安装安全补丁方法:打开IE-工具菜单-WindowsUpdate上网更新方式上网更新方式使用最新的防病毒软件安装防病毒软件并定时更新病毒特征码。推荐：瑞星/norton

如果安装了防病软件没有更新，几乎等于没有安装!!设置定时查找病毒及定时升级病毒特征码没有杀毒软件是万万不能的！但杀毒软件不是万能的！其他要注意的事项下载软件最好到知名的网站下载,如华军软件(),天空下载站,太平洋下载等.如果打开某个网页时发现要下载或者安装软件时,要特别注意,一般是按NO.安装软件时,如金山词霸,QQ等,最好选择手动设置,将多余并会影响正常使用的附件(如QQ工具栏)去除.对不明来历的光碟及软件,采用先杀毒再安装方式.收到带不明附件的邮件不要轻易打开.网络病毒危害开启机器后门，盗取银行密码，QQ密码，私人资料。发送垃圾电子邮件，制造电子垃圾。被别人当作跳板，攻击其它网络上的计算机或者服务器（DDOS攻击，分布式拒绝服务攻击）向其它计算机传播病毒或者后门。如何发现网络型病毒网络型病毒分黑客后门病毒（特诺依木马TroianHouse）和蠕虫病毒等杀毒程序报警不断发送EMAIL不时打开IE，或者打开IE时不断弹出新窗口发现不寻常的网络流量（代表网络流量的图标一直在亮，而本机没有进行任何网络操作）其他用户发现你正在攻击其计算机。发现不寻常的网络连接发现上网速度（本地网络）突然减慢。发现网络病毒发现网络病毒在没有其它网络连接的时候，打开DOS方式，打入下面命令（WINXPSP2）,现在电脑只使用了MSN上网，其他的如果进行网络连接就可能是后门养成良好的上网习惯不要随便按yes不要上一些不良的网站不要暴露真实身份安装软件(特别是一些免费软件)时小心最好使用自定义安装安装软件中如”上网助手\中文域名\购物网站”等推荐安装的软件不要安装不要在陌生的计算机上输入自已的密码(包括QQ,网上购物等)《网络安全》第六章：防火墙技术

防火墙概述在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。不可信网络和服务器可信网络防火墙路由器InternetIntranet可信用户不可信用户DMZ防火墙概述内部网络内部网络2内部网络1防火墙的功能：实现内部网与internet的隔离；不同安全级别内部网之间的隔离。 一切未被允许的就是禁止的！Internet防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄防火墙的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力常用概念外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。包过滤，也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器，是指代表内部网络用户向外部网络中的服务器进行连接请求的程序防火墙能做什么？转发正常的通信行为禁止未经授权的访问网络地址转换（NAT）VPN网关记录通过防火墙的通信活动防火墙的技术发展防火墙技术几乎与路由器同时出现采用了包过滤技术1989年，贝尔实验室推出了电路层防火墙，同时提出了应用层防火墙（代理防火墙）的初步结构。

1992年，USC信息科学院开发出了基于动态包过滤技术的防火墙，后来演变为状态检测技术。

1994年，以色列开发出了第一个采用这种技术的商业化的产品。基于路由器的防火墙将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计透明性好，易于使用基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的技术发展防火墙的种类分组过滤/包过滤状态检测应用代理防火墙的技术发展包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据包包过滤引擎防火墙的技术发展IP