組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 本章要點： 網(wǎng)絡(luò)安全的主要威脅 網(wǎng)絡(luò)安全的體系結(jié)構(gòu) 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)病毒與防治 第 12章 網(wǎng)絡(luò)安全 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全概述 我們在探索網(wǎng)絡(luò)安全措施之前，首先要弄清網(wǎng)絡(luò)安全的威脅所在，只有在充分了解對網(wǎng)絡(luò)安全構(gòu)成威脅的因素后，才能更加有效地對付這些威脅，以保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)中存在以下主要風(fēng)險。 1. 與人有關(guān)的風(fēng)險 2. 與硬件和網(wǎng)絡(luò)設(shè)計有關(guān)的風(fēng)險 3. 與協(xié)議和軟件有關(guān)的風(fēng)險 4. 與 網(wǎng)絡(luò)安全風(fēng)險 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 截獲 (或阻斷 ) 竊聽 修改 偽造 重播 (重發(fā) ) 業(yè)務(wù)否認(rèn) 網(wǎng)絡(luò)攻擊手段 網(wǎng)絡(luò)安全概述 進行網(wǎng)絡(luò)攻擊的不法分子使用的攻擊行為包括：在未經(jīng)授權(quán)訪問的條件下，獲得對數(shù)據(jù)的訪問權(quán)限；對正常通過網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)流實施修改或破壞，并以此達(dá)到破壞正常操作的目的；向網(wǎng)絡(luò)系統(tǒng)中注入假的或偽造的信息。在實際的網(wǎng)絡(luò)攻擊手段中，可以滿足上述攻擊行為的攻擊手段有很多，歸納起來主要有以下幾種： 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 事實上，網(wǎng)絡(luò)攻擊的手段多種多樣，要想有效的防范網(wǎng)絡(luò)攻擊，還要具體了解網(wǎng)絡(luò)攻擊的手段。 1. 拒絕服務(wù)攻擊 ( 2. 泛洪攻擊 3. 端口掃描 4. 利用 5. 分片 6. 帶源路由選項的 7. 8. 針對路由協(xié)議的攻擊 (1) 針對 (2) 針對 (3) 針對 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)攻擊手段 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 9. 針對設(shè)備轉(zhuǎn)發(fā)表的攻擊 (1) 針對 (2) 針對 (3) 針對流項目表的攻擊 10. 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)攻擊手段 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 機密性 完整性 可用性 真實性 不可否認(rèn)性 網(wǎng)絡(luò)安全的目標(biāo) 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全通常指的是網(wǎng)絡(luò)信息的安全 ， 包括存儲信息的安全和傳輸信息的安全兩個方面的內(nèi)容 ， 因此 ， 網(wǎng)絡(luò)安全的目標(biāo)就是保護網(wǎng)絡(luò)信息存放的安全和在網(wǎng)絡(luò)傳輸過程中的安全 ， 也就是防止網(wǎng)絡(luò)信息被非授權(quán)地訪問 、 非法地修改和破壞 。 具體地說 ， 網(wǎng)絡(luò)信息應(yīng)該滿足以下 5個網(wǎng)絡(luò)安全目標(biāo) 。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備的安全和計算機網(wǎng)絡(luò)系統(tǒng)的安全，還要保護數(shù)據(jù)安全等。因此，針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護方案以確保計算機網(wǎng)絡(luò)自身的安全性，是每一個計算機網(wǎng)絡(luò)都要認(rèn)真對待的一個重要問題。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。 計算機病毒是我們都比較熟悉的一種危害計算機系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪指的是個別人利用計算機高科技手段，盜取密碼以侵入他人計算機網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，例如非法轉(zhuǎn)移銀行資金、盜用他人銀行賬號進行購物等。隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個人的資金安全和商家的貨物安全，還關(guān)系到國家的經(jīng)濟安全和國家經(jīng)濟秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。 網(wǎng)絡(luò)安全防范的主要內(nèi)容 網(wǎng)絡(luò)安全概述 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全防范體系 網(wǎng)絡(luò)安全防范體系的科學(xué)性和可行性是其可順利實施的保障。如圖12一維是安全服務(wù)，給出了 8種安全屬性 (第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成；第三維是結(jié)構(gòu)層次，給出并擴展了國際標(biāo)準(zhǔn)化組織 型。 框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認(rèn)證和訪問控制，應(yīng)用平臺需要有針對用戶的認(rèn)證和訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄裕枰锌沟仲嚭蛯徲嫷墓δ埽枰ＷC應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則該信息網(wǎng)絡(luò)被認(rèn)為是安全的。 其體系結(jié)構(gòu)如下圖所示： 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全防范體系 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 協(xié)議層次應(yīng)層用傳層輸網(wǎng)層絡(luò)鏈層路物層理對等實體認(rèn)證數(shù)據(jù)源認(rèn)證訪問控制機密性流量機密性數(shù)據(jù)完整性抗否認(rèn)服務(wù)可用性安 全 服 務(wù)通 信 平 臺網(wǎng) 絡(luò) 平 臺系 統(tǒng) 平 臺應(yīng) 用 平 臺物 理 環(huán) 境系統(tǒng)單元組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 作為全方位的 、 整體的網(wǎng)絡(luò)安全防范體系也是分層次的 ， 不同的層次反映了不同的安全問題 ， 根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu) ， 我們將安全防范體系的層次劃分為物理層安全 、 系統(tǒng)層安全 、 網(wǎng)絡(luò)層安全 、應(yīng)用層安全和安全管理 5個層次 ： 1. 物理環(huán)境的安全性 (物理層安全 ) 2. 操作系統(tǒng)的安全性 (系統(tǒng)層安全 ) 3. 網(wǎng)絡(luò)的安全性 (網(wǎng)絡(luò)層安全 ) 4. 應(yīng)用的安全性 (應(yīng)用層安全 ) 5. 管理的安全性 (管理層安全 ) 其安全防范體系層次如下圖所示： 網(wǎng)絡(luò)安全防范體系層次 網(wǎng)絡(luò)安全防范體系 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全防范體系層次 網(wǎng)絡(luò)安全防范體系 安 全 管 理網(wǎng)絡(luò)層安全系統(tǒng)層安全應(yīng)用層安全物 理 層 安 全組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 根據(jù)防范安全攻擊的安全需求 、 需要達(dá)到的安全目標(biāo) 、 相應(yīng)安全機制所需要的安全服務(wù)等因素 ， 參照 統(tǒng)安全工程能力成熟模型 )和 息安全管理標(biāo)準(zhǔn) )等國際標(biāo)準(zhǔn) ， 綜合考慮可實施性 、 可管理性 、 可擴展性 、 綜合完備性 、 系統(tǒng)均衡性等方面 ， 網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下 9項原則： 1. 網(wǎng)絡(luò)信息安全的木桶原則 2. 網(wǎng)絡(luò)信息安全的整體性原則 3. 安全性評價與平衡原則 4. 標(biāo)準(zhǔn)化與一致性原則 5. 技術(shù)與管理相結(jié)合原則 6. 統(tǒng)籌規(guī)劃 、 分步實施原則 7. 等級性原則 8. 動態(tài)發(fā)展原則 9. 易操作性原則 網(wǎng)絡(luò)安全防范體系設(shè)計準(zhǔn)則 網(wǎng)絡(luò)安全防范體系 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 安全策略概略說明什么資產(chǎn)是值得保護和什么行動或不行動將威脅資產(chǎn) ， 所以安全策略是安全的基礎(chǔ) ， 策略將會權(quán)衡預(yù)期的威脅對個人的生產(chǎn)力和效率的破壞程度 ， 根據(jù)價值不同確認(rèn)保護水平 ， 因此 ， 安全策略的制定是網(wǎng)絡(luò)安全的前提 ， 網(wǎng)絡(luò)安全策略確定了結(jié)構(gòu)中預(yù)期計算機的適當(dāng)配置 、 使用的網(wǎng)絡(luò)和用以防止與回應(yīng)安全事件程序 。 1. 物理安全策略 2. 訪問控制策略 (1)入網(wǎng)訪問控制 (2) 網(wǎng)絡(luò)的權(quán)限控制 (3) 目錄級安全控制 (4) 屬性安全控制 (5) 網(wǎng)絡(luò)服務(wù)器安全控制 (6) 網(wǎng)絡(luò)監(jiān)測和鎖定控制 (7) 網(wǎng)絡(luò)端口和節(jié)點的安全控制 網(wǎng)絡(luò)安全防范策略 網(wǎng)絡(luò)安全防范體系 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 3. 信息加密策略 4. 防病毒技術(shù) 5. 防火墻技術(shù) 6. 網(wǎng)絡(luò)入侵檢測技術(shù) 7. 網(wǎng)絡(luò)安全管理策略 網(wǎng)絡(luò)安全防范體系 網(wǎng)絡(luò)安全防范策略 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全技術(shù) 防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施 ，它是阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障 ， 也可以將它稱為控制進 /出兩個方向通信的門檻 。 防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件 ， 它可以是硬件 ， 也可以是軟件 ， 也可能是硬件和軟件的結(jié)合 ， 這種安全部件處于被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界 ， 接收被保護網(wǎng)絡(luò)的進出數(shù)據(jù)流 ， 并根據(jù)防火墻所配置的訪問控制策略進行過濾或做出其他操作 ， 防火墻系統(tǒng)不僅能夠保護網(wǎng)絡(luò)資源不受外部的侵入 ， 而且還能夠攔截從被保護網(wǎng)絡(luò)向外傳送有價值的信息 。 防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與 也可以用于內(nèi)部網(wǎng)絡(luò)的不同網(wǎng)段的隔離 ， 后者通常被稱為 1. 防火墻的分類 根據(jù)防火墻所采用技術(shù)的不同 ， 目前的防火墻主要有包過濾防火墻 、代理防火墻 、 種 。 (1) 包過濾防火墻 防火墻 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 (2) 代理防火墻 (3) 網(wǎng)絡(luò)地址轉(zhuǎn)換 (4) 監(jiān)測型防火墻 2. 常見防火墻產(chǎn)品 (1)(2) (3) 3(4) 網(wǎng)絡(luò)安全技術(shù) 防火墻 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù) ， 被譽為信息安全的核心 ，最初主要用于確保數(shù)據(jù)在存儲和傳輸過程中的保密性 。 它通過變換和置換等方法將被保護信息置換成密文 ， 然后再進行信息的存儲或傳輸 ， 即使加密信息在存儲或傳輸過程被非授權(quán)人員所獲得 ， 也可以保證這些信息不被其認(rèn)知 ， 從而達(dá)到保護信息的目的 。 該方法的保密性直接取決于所采用的密碼算法和密鑰長度 。 加密技術(shù) 網(wǎng)絡(luò)安全技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 計算機網(wǎng)絡(luò)應(yīng)用特別是電子商務(wù)應(yīng)用的飛速發(fā)展，對數(shù)據(jù)完整性和身份鑒定技術(shù)提出了新的要求，數(shù)字簽名和身份認(rèn)證就是為了適應(yīng)這種需要而在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。數(shù)據(jù)傳輸?shù)耐暾酝ǔＭㄟ^數(shù)字簽名的方式來實現(xiàn)，即數(shù)據(jù)的發(fā)送方在發(fā)送數(shù)據(jù)的同時利用單向的 算出所傳輸數(shù)據(jù)的消息文摘，并將該消息文摘作為數(shù)字簽名隨數(shù)據(jù)一同發(fā)送。接收方在接收到數(shù)據(jù)的同時也收到該數(shù)據(jù)的數(shù)字簽名，接收方使用相同的算法計算出所接收到的數(shù)據(jù)的數(shù)字簽名，并將該數(shù)字簽名和所接收到的數(shù)字簽名進行比較，如果兩者相同，則說明數(shù)據(jù)在傳輸過程中未被修改，數(shù)據(jù)完整性得到了保證。常用的消息文摘算法包括 根據(jù)密鑰類型的不同，可以將現(xiàn)代密碼技術(shù)分為兩類：對稱加密算法 (私鑰密碼體系 )和非對稱加密算法 (公鑰密碼體系 )。 網(wǎng)絡(luò)安全技術(shù) 加密技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 在對稱加密算法中，數(shù)據(jù)加密和解密采用是同一個密鑰，因此，其安全性依賴于所持有密鑰的安全性。這種加密方法可簡化加密處理的過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得到保證。對稱加密算法的主要優(yōu)點是加密和解密速度快，加密強度高，且算法公開，但其最大的缺點是實現(xiàn)密鑰的秘密分發(fā)比較困難，在大量用戶的情況下，密鑰管理復(fù)雜，而且無法完成身份認(rèn)證等功能，不便于應(yīng)用于網(wǎng)絡(luò)開放的環(huán)境中。目前最著名的對稱加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn) 網(wǎng)絡(luò)安全技術(shù) 加密技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 在公鑰密碼體系中，數(shù)據(jù)加密和解密采用不同的密鑰，而且用加密密鑰進行加密的數(shù)據(jù)，只有采用相應(yīng)的解密密鑰才能進行解密，更重要的是，從加密密碼來求解解密密鑰十分困難。在實際應(yīng)用中，用戶通常將密鑰對中的加密密鑰公開 (稱為公鑰 )，而秘密持有解密密鑰 (稱為私鑰 )。利用公鑰體系可以方便地實現(xiàn)對用戶的身份認(rèn)證，即用戶在信息傳輸前，首先使用所持有的私鑰對傳輸?shù)男畔⑦M行加密，信息接收者在收到這些信息之后，利用該用戶向外公布的公鑰進行解密，如果能夠解開密碼，說明信息確實是該用戶所發(fā)送，這樣就方便地實現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。在實際應(yīng)用中，通常將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時完成對用戶的身份認(rèn)證。 網(wǎng)絡(luò)安全技術(shù) 加密技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 目前的公鑰密碼算法都是基于一些復(fù)雜的數(shù)學(xué)難題，例如，目前廣泛使用的 前常用的非對稱加密算法包括整數(shù)因子分解 (以 、橢圓曲線離散對數(shù)和離散對數(shù) (以 3種。公鑰密碼體系的優(yōu)點是能夠適應(yīng)網(wǎng)絡(luò)的開放性要求，密鑰管理簡單，并且可以方便地實現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，它是目前電子商務(wù)等技術(shù)的核心基礎(chǔ)。其缺點是算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低，因此，在實際應(yīng)用中，通常將對稱加密算法和非對稱加密算法結(jié)合起來使用，利用 采用 過這種方法，可以有效地提高加密的效率并能簡化對密鑰的管理。 網(wǎng)絡(luò)安全技術(shù) 加密技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)入侵檢測技術(shù)也稱為網(wǎng)絡(luò)實時監(jiān)控技術(shù) ， 它通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)流進行實時檢查 ， 并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行比較 ，一旦發(fā)現(xiàn)有被攻擊的跡象 ， 立刻根據(jù)用戶所定義的動作做出反應(yīng) ， 例如切斷網(wǎng)絡(luò)連接 ， 或通知防火墻系統(tǒng)對訪問控制策略進行調(diào)整 ， 將入侵的數(shù)據(jù)包進行過濾等 。 入侵檢測技術(shù)簡介 : (1) (2). 異常性檢測方法 2. 搭建一個基于網(wǎng)絡(luò)的 (1) 獲取 (2) 構(gòu)建并配置探測器 ， 實現(xiàn)數(shù)據(jù)采集功能 (3) 建立數(shù)據(jù)分析模塊 (4) 構(gòu)建控制臺子系統(tǒng) (5) 構(gòu)建數(shù)據(jù)庫管理子系統(tǒng) (6) 聯(lián)調(diào) 入侵檢測技術(shù) 網(wǎng)絡(luò)安全技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據(jù)、驗證系統(tǒng)和安全要求。身份驗證技術(shù)是在計算機中最早應(yīng)用的安全技術(shù)，目前仍在廣泛的被應(yīng)用，它是網(wǎng)絡(luò)信息安全的第一道門。 在現(xiàn)實生活中，個人的身份主要通過各種證件來確認(rèn)的，例如身份證或者戶口簿等等。在計算機世界里，各種計算機資源也需要認(rèn)證機制，從而能夠確保被能夠使用這些資源的人使用。然而，目前各類計算機資源主要是依靠固定的口令方式來進行驗證。這種方式存在著很多問題，例如會被黑客進行網(wǎng)絡(luò)數(shù)據(jù)流竊聽、認(rèn)證信息截取、字典攻擊、窮舉嘗試等等。鑒于這些問題，一次性口令身份驗證技術(shù)出現(xiàn)了。 身份驗證和存取控制 網(wǎng)絡(luò)安全技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 所謂的一次性口令身份驗證技術(shù)主要是在登陸過程中，加入不確定的因素，是每次登陸過程中傳送的信息都不相同，以提高登陸過程的安全性。例如：登陸密碼 =戶名 +密碼 +時間），系統(tǒng)接收到登陸口令后做一個驗算即可驗證用戶的合法性。例如 存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。存取控制主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、類型控制和風(fēng)險分析等等。它也是比較早的一種安全技術(shù)，與身份驗證同時使用，賦予不同身份的用戶以不同的操作權(quán)限，以實現(xiàn)不同安全級別的信息分級管理。 存取控制是對所有的直接存取活動通過授權(quán)的方式進行控制，從而保證了計算機的系統(tǒng)安全保密。一般來說有兩種方式：一是隔離技術(shù)法，二是限制權(quán)限法。 網(wǎng)絡(luò)安全技術(shù) 身份驗證和存取控制 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 所謂的隔離技術(shù)法就是在電子數(shù)據(jù)處理成分的周圍建立屏障，從而在該環(huán)境中實施存取規(guī)則。隔離技術(shù)也分為物理隔離、時間隔離、邏輯隔離和密碼技術(shù)隔離。傳統(tǒng)的多網(wǎng)環(huán)境一般通過運行兩臺計算機實現(xiàn)的就是物理隔離。目前，我國已經(jīng)擁有了自主知識產(chǎn)權(quán)的涉密計算機，它采用雙硬盤物理隔離技術(shù)，通過運行一臺涉密計算機，即可在物理隔離的狀態(tài)下切換涉密信息網(wǎng)和公共信息網(wǎng)，實現(xiàn)一機雙網(wǎng)或一機多網(wǎng)的功能。另外，還有一種方式就是在電腦中加裝隔離卡，一塊隔離卡帶一塊硬盤、一塊網(wǎng)卡，使用不同的網(wǎng)絡(luò)環(huán)境。當(dāng)然，物理隔離方式對于系統(tǒng)的要求比較高。 所謂的限制權(quán)限法就是限制特權(quán)以便有效地進入系統(tǒng)的用戶所進行的操作。其實，這也是對用戶進行分類，不同級別的用戶安全密級授權(quán)不同，對于資源的訪問的權(quán)限也就不同。 網(wǎng)絡(luò)安全技術(shù) 身份驗證和存取控制 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 虛擬專用網(wǎng) (近年來隨著代企業(yè)越來越多地利用售和售后服務(wù)，乃至培訓(xùn)、合作等活動。許多企業(yè)趨向于利用 種利用 虛擬專用網(wǎng)實際上就是將 種公有網(wǎng)和 用戶觀點來看，數(shù)據(jù)都能夠被正確傳送到了目的地。相應(yīng)地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。 目前 項技術(shù)來保證安全，這 4項技術(shù)分別是隧道技術(shù)(加 /解密技術(shù) (密鑰管理技術(shù)(使用者與設(shè)備身份認(rèn)證技術(shù) ( 網(wǎng)絡(luò)安全技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 1. 隧道技術(shù) 2. 加 /解密技術(shù) 3. 密鑰管理技術(shù) 4. 使用者與設(shè)備身份認(rèn)證技術(shù) 網(wǎng)絡(luò)安全技術(shù) 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全協(xié)議 安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。根據(jù)計算機專用網(wǎng)多年的實踐經(jīng)驗，一個較為完善的內(nèi)部網(wǎng)和安全保密系統(tǒng)，至少要實現(xiàn)加密機制、驗證機制和保護機制。目前，已開發(fā)并應(yīng)用的協(xié)議有以下幾種： (1)加密協(xié)議 (2)身份驗證協(xié)議 (3)密鑰管理協(xié)議 (4)數(shù)據(jù)驗證協(xié)議 (5)安全審計協(xié)議 (6)防護協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全協(xié)議 一種為了在不安全的網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登錄和安全的網(wǎng)絡(luò)服務(wù)而設(shè)計的協(xié)議。它包括以下 3個主要部分： (1)傳輸層協(xié)議提供一些認(rèn)證、信任和完整性。 (2)用戶認(rèn)證協(xié)議層認(rèn)證連接到服務(wù)器的客戶端用戶。 (3)當(dāng)安全的傳輸層連接建立之后，客戶端將發(fā)送一個服務(wù)請求。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 它之上可以疊加各種網(wǎng)路應(yīng)用，而 術(shù)識別對方的身份， 如 方在連線建立之初即商定一個用以對后續(xù)連線加密的秘密鑰匙 (加密演算法，例如 訊息認(rèn)證碼 ( 式，例如 網(wǎng)絡(luò)安全協(xié)議 于 頗具彈性，許多國際知名廠商的多數(shù)產(chǎn)品都支持此協(xié)定，包括微軟的，而 信賴的傳輸服務(wù)，安全表示透過 以防范外界任何可能的竊聽或監(jiān)控，可信賴表示經(jīng)由 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 驗證方須持有某發(fā)證機關(guān)(證書 (其中內(nèi)含其持有者的公眾鑰匙， 持有者的私有鑰匙和證書即可證明自己的身份，在實際應(yīng)用上， 戶端可選擇性的持有自己的證書，此種做法主要在于保護一般用戶不會被欺騙。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 靈活簡潔的 但是這種簡潔產(chǎn)生了一個重大的問題：缺少 目前 ， 由 ， 瞄準(zhǔn)了直接在 個主要范圍上的安全：鑒定性 ， 它用于驗證正在通信的個體；完整性 ， 它用于確保數(shù)據(jù)不被改變；保密性 ， 它用于確保數(shù)據(jù)不被截獲和查看 。 1. 議不是一個單獨的協(xié)議 ， 它給出了應(yīng)用于 的 一 整 套 體 系 結(jié) 構(gòu) ， 包 括 網(wǎng) 絡(luò) 認(rèn) 證 協(xié) 議 H) 、 封 裝 安 全 載 荷 協(xié) 議 密鑰管理協(xié)議 用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等 。 定了如何在對等層之間選擇安全協(xié)議 、 確定安全算法和密鑰交換 ， 向上層提供訪問控制 、 數(shù)據(jù)源認(rèn)證 、 數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù) 。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 不可否認(rèn)性 反重播性 數(shù)據(jù)完整性 數(shù)據(jù)可靠性 (加密 ) 認(rèn)證數(shù)據(jù)源發(fā)送信任狀 ， 由接收方驗證信任狀的合法性 ， 只有通過認(rèn)證的系統(tǒng)才可以建立通信連接 。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 2. 可以看作是對包過濾防火墻的一種擴展 ， 如圖 12 當(dāng)接收到一個 包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配 ， 當(dāng)找到一個相匹配的規(guī)則時 ，包過濾防火墻就按照該規(guī)則制訂的方法對接收到的 這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā) 。 其工作原理圖如下所示： 網(wǎng)絡(luò)安全協(xié)議 I P s e c 處理 塊 網(wǎng)卡驅(qū)動程序 T C P 模塊 I P P C U T C P P C U 原決定對接收到的 但是 ， 繞過 ， 還有一種即進行 正是這個新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性 。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全協(xié)議 進行 過濾防火墻只能控制來自或去往某個站點的 以拒絕來自某個外部站點的可以拒絕某個內(nèi)部站點對某些外部網(wǎng)站的訪問。但是，包過濾防火墻不能保證從內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對 能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性、真實性、完整性，通過 只進行認(rèn)證，也可以同時實施兩者。但無論是進行加密還是進行認(rèn)證， 種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式；另一種是傳輸模式。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 3. 個主要協(xié)議 為了進行加密和認(rèn)證， 便向加密和認(rèn)證提供所需要的密鑰，并對密鑰的使用進行管理。以上3方面的工作分別由 個協(xié)議進行規(guī)定。為了介紹這 3個協(xié)議，首先需要引人一個術(shù)語： 全關(guān)聯(lián) )。所謂安全關(guān)聯(lián)指的是安全服務(wù)與它服務(wù)的載體之間的一個 “ 連接 ” 。 A，而 A。主要實現(xiàn) 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 對使用的協(xié)議 、 加密算法和密鑰進行協(xié)商 。 方便的密鑰交換機制 (這可能需要周期性的進行 )。 跟蹤對以上約定的實施 。 網(wǎng)絡(luò)安全協(xié)議 通信雙方如果要利用 需要事先協(xié)商好將要采用的安全策略 ， 包括使用的加密算法 、 密鑰 、 密鑰的生存期等 。 當(dāng)雙方協(xié)商好使用的安全策略后 ， 我們就說雙方建立了一個 可以由 當(dāng)給定了一個 就確定了 例如加密 、 認(rèn)證等 。 輸臨近和嵌套隧道 。 (1) (2) (3) 它主要包括以下 3個功能： 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 所謂的 廣義上來講，就是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)， 可以為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性。 一個典型、完整、有效的 分別為公鑰密碼證書管理、黑名單的發(fā)布和管理、密鑰的備份和恢復(fù)、自動更新密鑰、自動管理歷史密鑰。 由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)和關(guān)于公開密鑰的安全策略等基本部分組成。它是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 所謂 是由美國 同開發(fā)研制了安全電子交易協(xié)議。它是能夠公鑰密碼體制和 要應(yīng)用于保障網(wǎng)上購物信息的安全性。 由于 家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整性、可靠性和交易不可否認(rèn)性，特別是保證不將消費者銀行卡號暴露給商家等等的優(yōu)點，因此成為了目前公認(rèn)的信用卡 /借記卡的網(wǎng)上交易額國際安全標(biāo)準(zhǔn)。 網(wǎng)絡(luò)安全協(xié)議 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)病毒與防治 計算機病毒指的是一些具有 “ 病毒 ” 功能的程序或程序段，它們可以把自己的一個副本附加到另一個程序或轉(zhuǎn)移到另一臺計算機系統(tǒng)中，通過網(wǎng)絡(luò)或存貯介質(zhì) (光盤、軟盤 )交換進行傳播。結(jié)果是干擾計算機正常運行，占用系統(tǒng)資源、降低傳輸運行速度，有些 “ 病毒 ” 還在一定條件下破壞、刪改數(shù)據(jù)，產(chǎn)生嚴(yán)重的后果。 病毒是由一些計算機軟件設(shè)計者出于惡作劇、蓄意破壞或反人類、反社會因素等目的專門設(shè)計的特殊程序，病毒絕不會自己產(chǎn)生。伴隨著計算機網(wǎng)絡(luò)的發(fā)展，目前計算機病毒主要通過網(wǎng)絡(luò)進行傳播，而且危害性空前擴大。像 “ 沖擊波 ” 、 “ 蠕蟲 ” 等病毒，讓很多人體會到了病毒的危害和嚴(yán)重性。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 在現(xiàn)階段，由于計算機網(wǎng)絡(luò)系統(tǒng)的各個組成部分、接口以及各個連接層次的相互轉(zhuǎn)換環(huán)節(jié)都不同程度地存在著某些漏洞或薄弱環(huán)節(jié)，在網(wǎng)絡(luò)軟件方面存在的薄弱環(huán)節(jié)更多，所以使得網(wǎng)絡(luò)病毒有機可乘，能夠突破網(wǎng)絡(luò)的安全保護機制，通過感染網(wǎng)絡(luò)服務(wù)器進而在網(wǎng)絡(luò)上快速蔓延。計算機網(wǎng)絡(luò)病毒的特點如下： 1. 破壞性強 2. 傳播性強 3. 具有潛伏性和可激發(fā)性 4. 針對性強 5. 擴散面廣、傳播途徑多變 網(wǎng)絡(luò)病毒的特點 網(wǎng)絡(luò)病毒與防治 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 屏幕異常滾動，和行同步無關(guān)。 系統(tǒng)文件長度發(fā)生變化。 出現(xiàn)異常信息、異常圖形。 運行速度減慢，系統(tǒng)引導(dǎo)、打印速度變慢。 存儲容量異常減少。 系統(tǒng)不能由硬盤引導(dǎo)。 系統(tǒng)出現(xiàn)異常死機。 數(shù)據(jù)丟失。 執(zhí)行異常操作。 網(wǎng)絡(luò)病毒的主要癥狀 網(wǎng)絡(luò)病毒與防治 計算機網(wǎng)絡(luò)病毒和人體病毒一樣，都有本身的典型癥狀，主要有： 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 破壞文件分配表，使磁盤上的用戶信息丟失。 改變磁盤分配，造成數(shù)據(jù)的錯誤。 刪除磁盤上特定的文件，或破壞文件的數(shù)據(jù)。 影響內(nèi)存中的常駐程序。 自我繁殖，侵占大量的存儲空間。 改變正常運行的程序。 竊用用戶的主要數(shù)據(jù)。 網(wǎng)絡(luò)病毒與防治 網(wǎng)絡(luò)病毒的主要癥狀 病毒本身各具有不同特性，病毒的癥狀也是五花八門。有的病毒表現(xiàn)欲非常強，它進入到內(nèi)存后，針對系統(tǒng)做一些定點操作。有的病毒則不會有太大的動靜，會對文件進行改寫。雖然病毒形式多種多樣，但它們發(fā)作的目的都是為了破壞程序的完整性，篡改文件的精確性，使系統(tǒng)及所支持的數(shù)據(jù)和服務(wù)發(fā)生失效。主要的表現(xiàn)形式有如下： 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)病毒的防治是一個系統(tǒng)性的工程 ， 它既包括技術(shù)方面的措施 ，又包括管理方面的措施 。 1. 選擇有效的防毒 /殺毒軟件 2. 增加安全意識 3. 健全管理制度并落實執(zhí)行 4. 定期對網(wǎng)絡(luò)中的設(shè)備進行查毒 網(wǎng)絡(luò)病毒的防治 網(wǎng)絡(luò)病毒與防治 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 選擇有效的防毒 /殺毒軟件是防治網(wǎng)絡(luò)病毒的有效措施。目前，主要的殺毒 /防毒軟件有主機版和網(wǎng)絡(luò)版兩種版本，主機版主要用于單機系統(tǒng)的防毒和殺毒，網(wǎng)絡(luò)版可以實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的殺毒與防毒。 1. 網(wǎng)絡(luò)防毒 /殺毒系統(tǒng)的特點 (1) 集中式管理、分布式殺毒。 (2) 數(shù)據(jù)庫技術(shù)、 (3) 多引擎支持。 (4) 從入口處攔截病毒。 (5) 全面解決方案。 (6) 客戶化定制。 (7) 擴展性。 (8) 遠(yuǎn)程安裝或分發(fā)安裝。 網(wǎng)絡(luò)防毒 /殺毒軟件 網(wǎng)絡(luò)病毒與防治 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 2. 常見網(wǎng)絡(luò)防毒 /殺毒產(chǎn)品 (1) (2) (3) (4) (5)卡巴斯基殺毒軟件 網(wǎng)絡(luò)病毒與防治 網(wǎng)絡(luò)防毒 /殺毒軟件 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 網(wǎng)絡(luò)機房安全 計算機機房的場地環(huán)境，即各種因素對計算機設(shè)備的影響。 計算機機房用電安全技術(shù)的要求。 計算機機房的訪問人員控制。 計算機設(shè)備及場地的防雷、防火和防水。 計算機系統(tǒng)的靜電防護。 計算機設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 存儲著計算機中重要信息的磁介質(zhì)的處理、存儲和處理手續(xù)的有關(guān)問題。 計算機系統(tǒng)在遭受災(zāi)害時的應(yīng)急措施。 機房安全范圍 保證計算機系統(tǒng)的機房安全涉及的范圍很廣泛，不但要保證計算機安全運行，還要保證整個設(shè)施的安全；不但要保證設(shè)備的正常運轉(zhuǎn)，還要保證數(shù)據(jù)信息的安全可靠；不但要保證硬件安全還要保證軟件安全。 計算機系統(tǒng)