公司網(wǎng)絡(luò)安全.doc

二一一屆學(xué)生畢業(yè)論文（設(shè)計(jì)） 存檔編號(hào)： 畢業(yè)論文(設(shè)計(jì))論文題目 企業(yè)網(wǎng)絡(luò)安全英 文 network security for SMEs顯示對(duì)應(yīng)的拉丁字符的拼音字典 - 查看字典詳細(xì)內(nèi)容學(xué) 院 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)與技術(shù)系 姓 名 梅啟浩 學(xué) 號(hào) 016507202589 指導(dǎo)教師 湯 惟 2011年 5 月 20 日企業(yè)網(wǎng)絡(luò)安全梅啟浩（江漢大學(xué)數(shù)計(jì)學(xué)院計(jì)算機(jī)科學(xué)系 學(xué)號(hào)：016507202589）【摘要】企業(yè)網(wǎng)絡(luò)安全是一個(gè)企業(yè)的命脈，只有創(chuàng)造優(yōu)秀的網(wǎng)絡(luò)安全環(huán)境才能有利于企業(yè)的發(fā)展，企業(yè)網(wǎng)絡(luò)安全隱患來(lái)源于計(jì)算機(jī)各個(gè)系統(tǒng)單元，同樣分為內(nèi)外兩個(gè)因素，只有抓住網(wǎng)絡(luò)安全隱患的核心，才能清楚，明確的創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。論文通過(guò)檢測(cè)軟件的安裝，操作系統(tǒng)的設(shè)置，防火墻的建立，數(shù)據(jù)加密等一系列具體的措施來(lái)防止企業(yè)網(wǎng)絡(luò)安全隱患。顯示對(duì)應(yīng)的拉丁字符的拼音字典 - 查看字典詳細(xì)內(nèi)容【關(guān)鍵詞】企業(yè)命脈 安全隱患核心 監(jiān)測(cè)系統(tǒng) 設(shè)置操作系統(tǒng) 數(shù)據(jù)加密 【Abstract】Enterprise network security is the lifeblood of a business, only to create good network security environment conducive to the development of enterprises, enterprise network security risks from the various computer system unit, is also divided into two factors both inside and outside, only to seize the core of the network security risks In order to clear, clear to create a secure network environment. Articles by detecting the installation of software, operating system settings, the establishment of firewalls, data encryption and a series of specific measures to prevent the enterprise network security risks.【Keywords】Enterprise lifeline The core of security risks Monitoring System Set the operating system Data Encryption第一章緒論一、課題背景隨著國(guó)家網(wǎng)絡(luò)信息化建設(shè)的飛速發(fā)展，有越來(lái)越多的企業(yè)建立起自己的局域網(wǎng)絡(luò)，應(yīng)用于文件共享，辦公自動(dòng)化，電子郵件等功能，隨著計(jì)算機(jī)的廣泛應(yīng)用，企業(yè)網(wǎng)絡(luò)的建立，網(wǎng)絡(luò)安全越來(lái)越受到人們的重視，網(wǎng)絡(luò)安全也成為企業(yè)網(wǎng)絡(luò)建立所必須解決的主要難題，企業(yè)網(wǎng)絡(luò)安全已成為一門具體專業(yè)的課程供大學(xué)生學(xué)習(xí)，研究。二、課題研究?jī)?nèi)容及要求 在基于各種網(wǎng)絡(luò)操作系統(tǒng)的前提下，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)，打印機(jī)硬件設(shè)備的正常運(yùn)行，還要以維護(hù)系統(tǒng)安全為主要任務(wù)。根據(jù)企業(yè)網(wǎng)絡(luò)這一具體實(shí)例，課題研究的要求具體包括：網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)管理具體日常事務(wù)，網(wǎng)絡(luò)部署公司計(jì)劃，發(fā)展方向，數(shù)據(jù)庫(kù)安全與共享，服務(wù)器資料不被竊取，公司各級(jí)人員的限制訪問(wèn)權(quán)，員工私人資料不被泄露，管理數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限，分配個(gè)人操作等級(jí)，用戶身份認(rèn)證，服務(wù)器，計(jì)算機(jī)，網(wǎng)關(guān)的防毒，提高內(nèi)外通信的高效，靈活，員工上網(wǎng)安全等。三、課題預(yù)期效果提高企業(yè)網(wǎng)絡(luò)安全管理人員的網(wǎng)絡(luò)安全技術(shù)，了解網(wǎng)絡(luò)攻擊手段，從而做好相應(yīng)防御措施，還要靈活處理突發(fā)狀況，降低網(wǎng)絡(luò)攻擊對(duì)企業(yè)的損失，加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)，從企業(yè)內(nèi)部降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從根本上避免降低計(jì)算機(jī)黑客的病毒攻擊，保證網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)管理具體事務(wù)的正常進(jìn)行，網(wǎng)絡(luò)部署公司計(jì)劃，發(fā)展方向，數(shù)據(jù)庫(kù)及其他服務(wù)器資料的秘密性，避免企業(yè)員工的越級(jí)操作從而導(dǎo)致的各級(jí)人員的權(quán)限混亂，保證服務(wù)器，計(jì)算機(jī)，網(wǎng)關(guān)的防毒安全，通暢企業(yè)內(nèi)外通信的高效，保證員工上網(wǎng)的安全等。四、課題研究的意義對(duì)將來(lái)從事的網(wǎng)絡(luò)工作有一定的經(jīng)驗(yàn)，對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)有一定的了解，提高了網(wǎng)絡(luò)安全意識(shí)。第二章、企業(yè)網(wǎng)絡(luò)安全框架結(jié)構(gòu) 為了能夠有效的了解企業(yè)和員工的網(wǎng)絡(luò)安全需求，在選擇各種硬件軟件的安全行上 有必要建立系統(tǒng)的方法進(jìn)行網(wǎng)絡(luò)安全防范。使網(wǎng)絡(luò)安全防范體系的科學(xué)性，可行性順利實(shí)施的保障 圖2-1 三維安全防范技術(shù)體系框架結(jié)構(gòu)圖為三維安全防范技術(shù)體系框架結(jié)構(gòu)，第一維是安全服務(wù)，給出了8種安全屬性，第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)的組成。第三維是結(jié)構(gòu)層次，給出并擴(kuò)展了國(guó)際標(biāo)準(zhǔn)化組織ISO的開(kāi)放系統(tǒng)互聯(lián)(OSI)模型。 框架結(jié)構(gòu)中的每一個(gè)系統(tǒng)單元都對(duì)應(yīng)于某一個(gè)協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺(tái)需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證、訪問(wèn)控制，應(yīng)用平臺(tái)需要有針對(duì)用戶的認(rèn)證、訪問(wèn)控制，需要保證數(shù)據(jù)傳輸?shù)耐暾?、保密性，需要有抗抵賴和審?jì)的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對(duì)一個(gè)信息網(wǎng)絡(luò)系統(tǒng)，如果在各個(gè)系統(tǒng)單元都有相應(yīng)的安全措施來(lái)滿足其安全需求，則我們認(rèn)為該信息網(wǎng)絡(luò)是安全的。第三章、企業(yè)網(wǎng)絡(luò)安全隱患 當(dāng)我們根據(jù)以上給出的三維安全防范框架結(jié)構(gòu)，做到企業(yè)網(wǎng)絡(luò)安全體系中的每一個(gè)層次，每一個(gè)面及面與面之間相接的部分安全，我們就能夠做到整個(gè)企業(yè)局域網(wǎng)絡(luò)的安全。（一）.物理環(huán)境的安全 這層次的安全是整個(gè)網(wǎng)絡(luò)安全的基礎(chǔ)，只有當(dāng)我們企業(yè)的計(jì)算機(jī)，打印機(jī)，投影機(jī)一系列的硬件設(shè)施能過(guò)正常的工作，我們才能夠考慮其他方面的安全，所以要格外重視 物理環(huán)境安全包括通信線路安全，設(shè)備軟硬件安全，運(yùn)行環(huán)境安全。通信線路安全：線路備份，網(wǎng)管軟件，傳輸介質(zhì) 設(shè)備硬件安全：替換設(shè)備、拆卸設(shè)備、增加設(shè)備 設(shè)備軟件安全：設(shè)備的備份，防災(zāi)害能力、防干擾能力 運(yùn)行環(huán)境安全：溫度、濕度、煙塵)，不間斷電源保障（二）.操作系統(tǒng)的安全性該層次的安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如Windows NT，Windows 2000等。主要表現(xiàn)在三方面：是操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素，主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等。是對(duì)操作系統(tǒng)的安全配置問(wèn)題。是病毒對(duì)操作系統(tǒng)的威脅。（三）.網(wǎng)絡(luò)的安全性該層次的安全問(wèn)題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問(wèn)控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測(cè)的手段，網(wǎng)絡(luò)設(shè)施防病毒等。(四) .應(yīng)用的安全性該層次的安全問(wèn)題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對(duì)系統(tǒng)的威脅。（五）.管理的安全性安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞本章主要講述企業(yè)網(wǎng)絡(luò)安全隱患，只有找出網(wǎng)絡(luò)，硬件，環(huán)境，操作人員等一系列復(fù)雜因素對(duì)企業(yè)網(wǎng)絡(luò)安全的影響，才能解決問(wèn)題，建立一個(gè)安全的企業(yè)網(wǎng)絡(luò)環(huán)境。第四章 企業(yè)網(wǎng)絡(luò)安全措施1.電源管理及監(jiān)控軟件電源管理軟件能夠?qū)PS發(fā)送的信息進(jìn)行反應(yīng)，向用戶播放警告訊息，然后等待一定的時(shí)間，再進(jìn)行一個(gè)有次序的關(guān)機(jī)過(guò)程。有的電源管理軟件還能在關(guān)閉整個(gè)系統(tǒng)前先關(guān)閉正在運(yùn)行的程序。監(jiān)控軟件則是一種不是必需但很有用的工具。它一般通過(guò)圖形方式顯示出電池電量、主輸入電壓、剩余供電時(shí)間以及UPS狀態(tài)及其他信息。監(jiān)控信息一般通過(guò)SNMP協(xié)議在網(wǎng)絡(luò)上傳輸，而不像關(guān)機(jī)軟件使用當(dāng)?shù)氐拇谶B接以防在斷電情況下集線器或路由器失效。當(dāng)UPS出現(xiàn)異常情況時(shí)，它就會(huì)在SNMP監(jiān)測(cè)工作站上顯示出來(lái)。2.控制濕度的措施為了防止機(jī)房?jī)?nèi)濕度的過(guò)高或過(guò)低以及急劇變化對(duì)計(jì)算機(jī)設(shè)備及附屬設(shè)備的影響，必須采取以下措施，以保證機(jī)房?jī)?nèi)的濕度控制在一個(gè)穩(wěn)定的范圍內(nèi)。1)使用恒溫、恒濕裝置來(lái)調(diào)節(jié)機(jī)房?jī)?nèi)的濕度； 2)在機(jī)房?jī)?nèi)安裝除濕機(jī)和加濕機(jī)；當(dāng)機(jī)房?jī)?nèi)濕度超過(guò)規(guī)定值時(shí)，使用除濕機(jī)使機(jī)房?jī)?nèi)濕度降低；當(dāng)機(jī)房?jī)?nèi)濕度低于規(guī)定值時(shí)，使用加濕機(jī)對(duì)機(jī)房?jī)?nèi)空氣進(jìn)行加濕，提高機(jī)房?jī)?nèi)濕度。 3)機(jī)房?jī)?nèi)外為了進(jìn)行空氣交換和維持機(jī)房正壓值所使用的新風(fēng)機(jī)系統(tǒng)，必須具有加濕和去濕功能。在對(duì)送入機(jī)房?jī)?nèi)的新鮮空氣濕度過(guò)高（大于機(jī)房濕度規(guī)定的范圍）時(shí)要進(jìn)行除濕；過(guò)低時(shí)要加濕，以保證機(jī)房?jī)?nèi)的空氣濕度符合計(jì)算機(jī)設(shè)備及工作人員的要求。3.操作系統(tǒng)安全的實(shí)現(xiàn) 1、對(duì)于系統(tǒng)漏洞：定期的添加services pack和hot fixes，如果系統(tǒng)沒(méi)有相關(guān)服務(wù)，不要隨意的安裝補(bǔ)丁 2、注冊(cè)表安全性： 注冊(cè)表的結(jié)構(gòu)：相當(dāng)于win.ini，集中存儲(chǔ)了系統(tǒng)的配置信息 5個(gè)配置單元（hive key），4個(gè)存放于winntsystem32config目錄下：SAM, SYSTEM, SECURITY, SOFTWARE，對(duì)此4個(gè)文件設(shè)置權(quán)限，僅允許system賬號(hào)訪問(wèn)。HARDWARE又稱易失關(guān)鍵字，每次系統(tǒng)啟動(dòng)時(shí)由進(jìn)行硬件檢測(cè)，將檢測(cè)的結(jié)果只與此關(guān)鍵字中，保存在內(nèi)存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系統(tǒng)及硬件相關(guān)信息(例如計(jì)算機(jī)總線類型，系統(tǒng)可用內(nèi)存，當(dāng)前裝載了哪些設(shè)備驅(qū)動(dòng)程序以及啟動(dòng)控制數(shù)據(jù)等)的配置單元。實(shí)際上，H K L M保存著注冊(cè)表中的大部分信息，因?yàn)榱硗馑膫€(gè)配置單元都是其子項(xiàng)的別名。不同的用戶登錄時(shí)，此配置單元保持不變。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置單元包含著當(dāng)前登錄到由這個(gè)注冊(cè)表服務(wù)的計(jì)算機(jī)上的用戶的配置文件。其子項(xiàng)包含著環(huán)境變量、個(gè)人程序組、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和應(yīng)用程序首選項(xiàng)(環(huán)境變量在Windows 2000中被用來(lái)允許腳本、注冊(cè)表?xiàng)l目，以及其它應(yīng)用程序使用通配符來(lái)代替可能會(huì)發(fā)生改變的重要的系統(tǒng)信息)，存儲(chǔ)于用戶配置文件的ntuser.dat中。優(yōu)先于H K L M中相同關(guān)鍵字。這些信息是HKEY_USERS 配置單元當(dāng)前登錄用戶的Security ID(SID)子項(xiàng)的映射。H K E Y _ U S E R S ( H K U )配置單元包含的子項(xiàng)含有當(dāng)前計(jì)算機(jī)上所有的用戶配置文件。其中一個(gè)子項(xiàng)總是映射為H K E Y _ C U R R E N T _ U S E R (通過(guò)用戶的S I D值)。另一個(gè)子項(xiàng)H K E Y _U S E R S D E FA U LT包含用戶登錄前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置單元包含的子項(xiàng)列出了當(dāng)前已在計(jì)算機(jī)上注冊(cè)的所有C O M服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴(kuò)展名。這些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子項(xiàng)的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置單元包含的子項(xiàng)列出了計(jì)算機(jī)當(dāng)前會(huì)話的所有硬件配置信息。硬件配置文件出現(xiàn)于Windows NT版本4，它允許你選擇在機(jī)器某個(gè)指定的會(huì)話中支持哪些設(shè)備驅(qū)動(dòng)程序。這些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子項(xiàng)的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子樹(shù)：HARDWARE：在系統(tǒng)啟動(dòng)時(shí)建立，包含了系統(tǒng)的硬件的信息SAM：包含了用戶帳號(hào)和密碼信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含應(yīng)用程序的配置信息SYSTEM：包含了服務(wù)和設(shè)備的配置信息以上這些HKEY項(xiàng)在哪里？如何管理和設(shè)置？設(shè)置注冊(cè)表的權(quán)限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用組策略審核注冊(cè)表： 3、禁止和刪除不必要的服務(wù) 刪除OS/2和POSIX 在web服務(wù)器上禁止server services 在firewall上過(guò)濾相應(yīng)的數(shù)據(jù)包 4、保護(hù)網(wǎng)絡(luò)連接安全性： SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名連接：HKLM SYSTEMCCScontrollsarestrictanonymous=1 服務(wù)器控制驗(yàn)證方法：lmcompatibilitylevel 0 任何都是可用的 1 由服務(wù)器決定使用哪種方法 2 不使用LM驗(yàn)證 激活SMB簽名：HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置： 禁止除管理員和打印操作員以外的用戶安裝打印驅(qū)動(dòng)程序： HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隱藏上一次登錄的系統(tǒng)名 限制對(duì)打印機(jī)和串口的使用： HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系統(tǒng)關(guān)機(jī)時(shí)清空頁(yè)面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止緩存登錄證書(shū) 限制對(duì)scheduler服務(wù)的使用 限制對(duì)可移動(dòng)介質(zhì)的訪問(wèn)4.文件系統(tǒng)安全的實(shí)現(xiàn)1、所支持的文件系統(tǒng)： FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS權(quán)限： 標(biāo)準(zhǔn)的權(quán)限 權(quán)限單元 權(quán)限的繼承：ACL列表的拷貝 權(quán)限的遷移：移動(dòng)和拷貝 磁盤(pán)的分區(qū)：系統(tǒng)，程序和數(shù)據(jù)注意： erveryone和authenticated users的區(qū)別 缺省，新建的文件權(quán)限為everyone full control 新添加用戶的權(quán)限位read only 3、EFS: 作用：利用公鑰技術(shù)，對(duì)磁盤(pán)上存儲(chǔ)的靜態(tài)數(shù)據(jù)進(jìn)行加密保護(hù)的措施。 原理：根據(jù)用戶的身份為每個(gè)用戶構(gòu)建一對(duì)密鑰 圖4-1 EPS實(shí)現(xiàn)的原理 實(shí)現(xiàn)： 恢復(fù)代理：為了防止出現(xiàn)由于密鑰損壞造成數(shù)據(jù)不能正常解密而構(gòu)建的一種補(bǔ)救措施。 如何恢復(fù)： 如何添加恢復(fù)代理： 注意事項(xiàng)： 只有被授權(quán)的用戶或恢復(fù)代理才能訪問(wèn)加密的文件加密和壓縮是相斥的對(duì)文件的重命名，移動(dòng)不會(huì)影響加密屬性至少需要一個(gè)恢復(fù)代理僅能對(duì)靜態(tài)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，若需要網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供安全性，可使用IPSec和PPTP對(duì)一個(gè)文件夾加密，則此文件夾內(nèi)所有新創(chuàng)建的文件均會(huì)被加密若將一個(gè)加密后的文件移動(dòng)一個(gè)非NTFS文件系統(tǒng)上，則加密屬性丟失，除Backup外,所以應(yīng)該分別分配備份和恢復(fù)的權(quán)利并謹(jǐn)慎分配恢復(fù)的權(quán)利 4、磁盤(pán)限額： 基于文件和文件夾的所有權(quán)來(lái)統(tǒng)計(jì)用戶所使用的磁盤(pán)空間對(duì)于壓縮狀態(tài)的文件按非壓縮狀態(tài)統(tǒng)計(jì)磁盤(pán)空間的使用量 基于分區(qū)水平上的剩余空間是指可供用戶使用的磁盤(pán)限額內(nèi)剩余空間的大小可以設(shè)置當(dāng)用戶超出限額時(shí)是僅僅提出警告還是拒絕提供空間 可以針對(duì)所有用戶也可針對(duì)個(gè)別用戶設(shè)置設(shè)置限額后，對(duì)已有的用戶存儲(chǔ)不進(jìn)行限額，但可對(duì)老用戶添加限額管理員組的成員不受限額的影響僅管理員組的成員有權(quán)利設(shè)置限額 5、共享安全性：謹(jǐn)對(duì)網(wǎng)絡(luò)訪問(wèn)生效 僅能對(duì)文件夾設(shè)置共享，不能針對(duì)文件設(shè)置缺省Administrators、Server Operators、Power Users group有權(quán)利設(shè)置共享 新建共享后，Everyone group是FC所能接受的最大用戶數(shù)：Win 2k Professional 10 Win 2k Serve CALPermission：Read、Change、FCDeny優(yōu)先于Allow的權(quán)限若用戶屬于多個(gè)組，則share security取并集可以在FAT、FAT32、NTFS上設(shè)置共享 6、聯(lián)合NTFS安全性和共享安全性：網(wǎng)絡(luò)訪問(wèn)取交集 本地訪問(wèn)僅考慮NTFS安全性 隱藏文件：attrib +H directoryNTFS文件分流：不需要重新共建文件系統(tǒng)就能夠給一個(gè)文件添加屬性和信息的機(jī)制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小沒(méi)有變化，但修改日期可能會(huì)有變化分流后不能直接執(zhí)行：start oso001.009:nc.exe刪除：需把文件拷貝到FAT分區(qū)，在拷貝會(huì)NTFS分區(qū)搜索：唯一可靠的工具是ISS的Streamfinder.一、加密文件或文件夾 步驟一：打開(kāi)Windows資源管理器。 步驟二：右鍵單擊要加密的文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項(xiàng)卡上，單擊“高級(jí)”。選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框 二、解密文件或文件夾 步驟一：打開(kāi)Windows資源管理器。 步驟二：右鍵單擊加密文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項(xiàng)卡上，單擊“高級(jí)”。 步驟四：清除“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框。 同樣，我們?cè)谑褂媒饷苓^(guò)程中要注意以下問(wèn)題： 1.要打開(kāi)“Windows資源管理器”，請(qǐng)單擊“開(kāi)始程序附件”，然后單擊“Windows資源管理器”。 2.在對(duì)文件夾解密時(shí)，系統(tǒng)將詢問(wèn)是否要同時(shí)將文件夾內(nèi)的所有文件和子文件夾解密。如果選擇僅解密文件夾，則在要解密文件夾中的加密文件和子文件夾仍保持加密。但是，在已解密文件夾內(nèi)創(chuàng)立的新文件和文件夾將不會(huì)被自動(dòng)加密。 以上就是使用文件加、解密的方法！而在使用過(guò)程中我們也許會(huì)遇到以下一些問(wèn)題，在此作以下說(shuō)明： 1.高級(jí)按鈕不能用 原因：加密文件系統(tǒng)(EFS)只能處理NTFS文件系統(tǒng)卷上的文件和文件夾。如果試圖加密的文件或文件夾在FAT或FAT32卷上，則高級(jí)按鈕不會(huì)出現(xiàn)在該文件或文件夾的屬性中。 解決方案： 將卷轉(zhuǎn)換成帶轉(zhuǎn)換實(shí)用程序的NTFS卷。 打開(kāi)命令提示符。 鍵入：Convert drive/fs:ntfs (drive 是目標(biāo)驅(qū)動(dòng)器的驅(qū)動(dòng)器號(hào)) 2.當(dāng)打開(kāi)加密文件時(shí)，顯示“拒絕訪問(wèn)”消息 原因：加密文件系統(tǒng)(EFS)使用公鑰證書(shū)對(duì)文件加密，與該證書(shū)相關(guān)的私鑰在本計(jì)算機(jī)上不可用。 解決方案： 查找合適的證書(shū)的私鑰，并使用證書(shū)管理單元將私鑰導(dǎo)入計(jì)算機(jī)并在本機(jī)上使用。 3.用戶基于NTFS對(duì)文件加密，重裝系統(tǒng)后加密文件無(wú)法被訪問(wèn)的問(wèn)題的解決方案(注意：重裝Win2000/XP前一定要備份加密用戶的證書(shū))： 步驟一：以加密用戶登錄計(jì)算機(jī)。 步驟二：?jiǎn)螕簟伴_(kāi)始運(yùn)行”，鍵入“mmc”，然后單擊“確定”。 步驟三：在“控制臺(tái)”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。 步驟四：在“單獨(dú)管理單元”下，單擊“證書(shū)”，然后單擊“添加”。 步驟五：?jiǎn)螕簟拔业挠脩糍~戶”，然后單擊“完成”(如圖2，如果你加密用戶不是管理員就不會(huì)出現(xiàn)這個(gè)窗口，直接到下一步) 。 步驟六：?jiǎn)螕簟瓣P(guān)閉”，然后單擊“確定”。 步驟七：雙擊“證書(shū)當(dāng)前用戶”，雙擊“個(gè)人”，然后雙擊“證書(shū)”。 步驟八：?jiǎn)螕簟邦A(yù)期目的”欄中顯示“加密文件”字樣的證書(shū)。 步驟九：右鍵單擊該證書(shū)，指向“所有任務(wù)”，然后單擊“導(dǎo)出”。 步驟十：按照證書(shū)導(dǎo)出向?qū)У闹甘緦⒆C書(shū)及相關(guān)的私鑰以PFX文件格式導(dǎo)出(注意：推薦使用“導(dǎo)出私鑰”方式導(dǎo)出，這樣可以保證證書(shū)受密碼保護(hù)，以防別人盜用。另外，證書(shū)只能保存到你有讀寫(xiě)權(quán)限的目錄下)。 4.保存好證書(shū) 注意將PFX文件保存好。以后重裝系統(tǒng)之后無(wú)論在哪個(gè)用戶下只要雙擊這個(gè)證書(shū)文件，導(dǎo)入這個(gè)私人證書(shū)就可以訪問(wèn)NTFS系統(tǒng)下由該證書(shū)的原用戶加密的文件夾(注意：使用備份恢復(fù)功能備份的NTFS分區(qū)上的加密文件夾是不能恢復(fù)到非NTFS分區(qū)的)。 最后要提一下，這個(gè)證書(shū)還可以實(shí)現(xiàn)下述用途： (1)給予不同用戶訪問(wèn)加密文件夾的權(quán)限 將我的證書(shū)按“導(dǎo)出私鑰”方式導(dǎo)出，將該證書(shū)發(fā)給需要訪問(wèn)這個(gè)文件夾的本機(jī)其他用戶。然后由他登錄，導(dǎo)入該證書(shū)，實(shí)現(xiàn)對(duì)這個(gè)文件夾的訪問(wèn)。 (2)在其也WinXP機(jī)器上對(duì)用“備份恢復(fù)”程序備份的以前的加密文件夾的恢復(fù)訪問(wèn)權(quán)限 將加密文件夾用“備份恢復(fù)”程序備份，然后把生成的Backup.bkf連同這個(gè)證書(shū)拷貝到另外一臺(tái)WinXP機(jī)器上，用“備份恢復(fù)”程序?qū)⑺謴?fù)出來(lái)(注意：只能恢復(fù)到NTFS分區(qū))。然后導(dǎo)入證書(shū)，即可訪問(wèn)恢復(fù)出來(lái)的文件了。 5.身份系統(tǒng)的實(shí)現(xiàn)和安全用戶認(rèn)證系統(tǒng)采用各種認(rèn)證方式實(shí)現(xiàn)用戶的安全登陸和認(rèn)證，獨(dú)立于計(jì)算機(jī)原有的登陸系統(tǒng)，安全可靠性更高。一般由認(rèn)證服務(wù)器和認(rèn)證代理組成，有些產(chǎn)品提供認(rèn)證令牌。認(rèn)證服務(wù)器是網(wǎng)絡(luò)中的認(rèn)證引擎，由安全管理員或者網(wǎng)絡(luò)管理員進(jìn)行管理，主要用于令牌簽發(fā)，安全策略的設(shè)置與實(shí)施，日志創(chuàng)建等；認(rèn)證代理是一種專用代理軟件，實(shí)施認(rèn)證服務(wù)器建立的各種安全策略；認(rèn)證令牌以硬件、軟件或智能卡等多種形式向用戶提供，用以確認(rèn)用戶身份，如果某個(gè)用戶提供了一個(gè)正確的令牌碼，就可以高度確信該用戶是合法用戶。根據(jù)需求和建設(shè)目標(biāo)，我們將以身份認(rèn)證系統(tǒng)、應(yīng)用安全支撐平臺(tái)為用戶構(gòu)建基于數(shù)字證書(shū)的統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理和應(yīng)用安全支撐系統(tǒng)。 全局范圍內(nèi)，將建立統(tǒng)一的目錄服務(wù)體系，以完善的數(shù)據(jù)復(fù)制策略實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的全面支撐。身份認(rèn)證系統(tǒng)(PKI基礎(chǔ)設(shè)施)1、證書(shū)簽發(fā)系統(tǒng)(CA系統(tǒng))為所有的實(shí)體(設(shè)備、人員等)管理身份證書(shū)。2、用戶管理系統(tǒng)(UMS系統(tǒng))在身份認(rèn)證系統(tǒng)之上，以數(shù)字證書(shū)為用戶標(biāo)識(shí)實(shí)現(xiàn)統(tǒng)一的用戶管理、組織機(jī)構(gòu)管理，為相關(guān)業(yè)務(wù)系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。3、密鑰管理系統(tǒng)(KMC系統(tǒng))對(duì)用戶的密鑰進(jìn)行管理和備份，能夠通過(guò)嚴(yán)格的流程實(shí)現(xiàn)密鑰的恢復(fù)。4、目錄服務(wù)系統(tǒng)(LDAP系統(tǒng))實(shí)現(xiàn)證書(shū)的發(fā)布和CRL的發(fā)布，并能夠?qū)崿F(xiàn)和AD之間的用戶同步。應(yīng)用安全支撐平臺(tái)以身份認(rèn)證系統(tǒng)、用戶管理系統(tǒng)為基礎(chǔ)，采用應(yīng)用安全支撐平臺(tái)的各產(chǎn)品組件實(shí)現(xiàn)應(yīng)用系統(tǒng)的安全接入，使得身份認(rèn)證、用戶管理、數(shù)字簽名等技術(shù)能夠方邊的整合到原有的業(yè)務(wù)系統(tǒng)中。在安全支撐平臺(tái)的支持下，能夠?yàn)橛脩魳?gòu)建操作系統(tǒng)層和應(yīng)用層的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。標(biāo)準(zhǔn)規(guī)范體系根據(jù)實(shí)際業(yè)務(wù)特點(diǎn)，針對(duì)系統(tǒng)的運(yùn)行維護(hù)、使用流程、應(yīng)用接入標(biāo)準(zhǔn)等制訂一系列標(biāo)準(zhǔn)和規(guī)范，以利于業(yè)務(wù)的有序開(kāi)展。如上所述，身份認(rèn)證系統(tǒng)為內(nèi)部人員、設(shè)備等應(yīng)用安全域內(nèi)的物理或邏輯實(shí)體提供了統(tǒng)一的數(shù)字實(shí)體標(biāo)識(shí)，統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機(jī)構(gòu)、用戶屬性、用戶級(jí)別等實(shí)際情況，對(duì)數(shù)字實(shí)體標(biāo)識(shí)進(jìn)行可定制的統(tǒng)一管理和授權(quán)，最后再通過(guò)應(yīng)用安全支撐平臺(tái)為業(yè)務(wù)系統(tǒng)提供服務(wù)，實(shí)現(xiàn)了獨(dú)立于各應(yīng)用系統(tǒng)的安全的、統(tǒng)一的身份認(rèn)證和管理體系?？傮w設(shè)計(jì)思路示意圖如下所示：圖4-2 總體物理部署設(shè)計(jì)根據(jù)總體設(shè)計(jì)思路，基于性能和投資相平衡的原則，系統(tǒng)物理部署設(shè)計(jì)如下圖所示：圖4-3 系統(tǒng)物理部署設(shè)計(jì)如上圖所示，根據(jù)系統(tǒng)的不同功能，從網(wǎng)絡(luò)上以VLAN方式劃分不同區(qū)域，包括核心區(qū)、服務(wù)區(qū)和應(yīng)用區(qū)。身份認(rèn)證核心區(qū)包括CA、KMC、UMS等證書(shū)、用戶管理系統(tǒng)，是整個(gè)系統(tǒng)的核心功能區(qū)。身份認(rèn)證服務(wù)區(qū)包括IAS和從目錄服務(wù)器，實(shí)現(xiàn)對(duì)外的身份驗(yàn)證支持。應(yīng)用系統(tǒng)區(qū)中部署身份認(rèn)證網(wǎng)關(guān)，使應(yīng)用系統(tǒng)與外界實(shí)現(xiàn)安全隔離。6.防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：(1) 屏蔽路由器：又稱包過(guò)濾防火墻。(2) 雙穴主機(jī)：雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。(3) 主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和代理的結(jié)合。(4) 屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。1、安裝一臺(tái)Linux服務(wù)器，配置雙網(wǎng)卡，兩端地址分別為 /52（內(nèi)部端口ETH 0）和/48（外部端口ETH 1）。在IPChains中去除諸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之類所有不需要的服務(wù)，僅保留Telnet和FTP服務(wù)，以保證系統(tǒng)運(yùn)行穩(wěn)定，提高網(wǎng)絡(luò)安全性。 2、啟動(dòng)IPChains后，為保證安全性，首先將Forward Chains的策略設(shè)置為DENY，禁止所有的未許可包轉(zhuǎn)發(fā)，保障內(nèi)部網(wǎng)安全性，以滿足需求1。 eg：# ipchains-P forward DENY 3、為滿足需求2，必須禁止所有來(lái)自外部網(wǎng)段對(duì)防火墻發(fā)起的低于1024端口號(hào)的連接請(qǐng)求。在此，我做了如下設(shè)定來(lái)阻止對(duì)ETH1端口請(qǐng)求連接小于1024端口號(hào)的TCP協(xié)議的數(shù)據(jù)報(bào)（請(qǐng)求連接數(shù)據(jù)報(bào)帶有SYN標(biāo)記，IPChains中使用參數(shù)-y表示） eg：#ipchains -A input -p tcp -d 0:1024 -y -i eth1 -j DENY 之所以不是簡(jiǎn)單的拒絕所有小于1024端口號(hào)的數(shù)據(jù)報(bào)在于，某些情況下服務(wù)器會(huì)回復(fù)一個(gè)小于1024接口的數(shù)據(jù)報(bào)。比如某些搜索引擎就可能在回復(fù)查詢中使用一個(gè)不常用的小于1024的端口號(hào)。此外，當(dāng)使用DNS查詢域名時(shí)，如果服務(wù)器回復(fù)的數(shù)據(jù)超過(guò)512字節(jié)，客戶機(jī)使用TCP連接從53端口獲得數(shù)據(jù)。 4、為滿足需求3，必須使用IP地址翻譯功能。來(lái)自內(nèi)部保留地址的用戶數(shù)據(jù)包在經(jīng)過(guò)防火墻時(shí)被重寫(xiě)，使包看起來(lái)象防火墻自身發(fā)出的。然后防火墻重寫(xiě)返回的包，使它們看起來(lái)象發(fā)往原來(lái)的申請(qǐng)者。采用這種方法，用戶就可以透明地使用因特網(wǎng)上的各種服務(wù)，同時(shí)又不會(huì)泄露自身的網(wǎng)絡(luò)情況。注意，對(duì)于FTP服務(wù)，需要加載FTP偽裝模塊。命令如下： eg: # insmod ip_masq_ftp5、為滿足需求4，可以在已經(jīng)設(shè)置為DENY的Forward Chains中添加許可用戶。因?yàn)樵S可這部分用戶使用所有的服務(wù)，訪問(wèn)所有的地址，所以不用再指定目標(biāo)地址和端口號(hào)。假定許可IP地址為2，配置命令如下： eg: #ipchains-A forward-s 2 -j MASQ 同時(shí)，必須啟動(dòng)系統(tǒng)的IP包轉(zhuǎn)發(fā)功能。出于安全的考慮，建議在設(shè)置了Forward Chains的策略設(shè)置為DENY，禁止所有的未許可包轉(zhuǎn)發(fā)后再開(kāi)啟轉(zhuǎn)發(fā)功能。 配置命令如下： # echo 1 /proc/sys/net/ipv4/ip_forward 6、關(guān)于防止IP地址盜用問(wèn)題，在本網(wǎng)絡(luò)拓?fù)渲?，可?jiàn)所有用戶都是通過(guò)兩個(gè)路由器連接到防火墻，所以只需要在路由器中建立授權(quán)IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶機(jī)直接連接到防火墻主機(jī)，就需要使用ARP命令在防火墻主機(jī)中建立IP地址到MAC地址的靜態(tài)映射表。 7、只要在進(jìn)入端口中設(shè)定IP地址確認(rèn)，丟棄不可能來(lái)自端口的數(shù)據(jù)包就可以了。配置命令如下： # ipchains -A input -i eth1 -s / -j DENY 至此，就算基本建立起來(lái)一個(gè)較為安全的防火墻了，再針對(duì)運(yùn)行中出現(xiàn)的問(wèn)題進(jìn)行修改，調(diào)試無(wú)誤后就可以用ipchains-save命令將配置保存起來(lái)。需要再次使用時(shí)，用命令 ipchains-restore即可。 其他的包過(guò)濾防火墻與IPChains的運(yùn)行原理都相差不遠(yuǎn)，配置命令也大同小異。市面上出售的防火墻雖然可以預(yù)置一些基本的內(nèi)容，但由于最終用戶要求和環(huán)境千差萬(wàn)別，免不了要自己動(dòng)手配置。 從上面的例子我們可以看出，建立一個(gè)安全的防火墻關(guān)鍵在于對(duì)實(shí)際情況的了解，對(duì)用戶需求的掌握和對(duì)工具的熟練運(yùn)用與正確實(shí)施上，這是真正的重點(diǎn)。7.數(shù)據(jù)加密數(shù)據(jù)加密的術(shù)語(yǔ)有：明文，即原始的或未加密的數(shù)據(jù)。通過(guò)加密算法對(duì)其進(jìn)行加密，加密算法的輸入信息為明文和密匙；密文，明文加密后的格式，是加密算法的輸出信息。加密算法是公開(kāi)的，而密鑰則是不公開(kāi)的。密文，不應(yīng)為無(wú)密鑰的用戶理解，用于數(shù)據(jù)的存儲(chǔ)以及傳輸。 例：明文為字符串： AS KINGFISHERS CATCH FIRE 為簡(jiǎn)便起見(jiàn)，假定所處理的數(shù)據(jù)字符僅為大寫(xiě)字母和空格符）。假定密鑰為字符串： ELIOT 加密算法為： 1) 將明文劃分成多個(gè)密鑰字符串長(zhǎng)度大小的塊（空格符以+表示） AS+KI NGFIS HERS+ CATCH +FIRE 2) 用0026范圍的整數(shù)取代明文的每個(gè)字符，空格符=00，A=01，.，Z=26： 0119001109 1407060919 0805181900 0301200308 0006091805 3) 與步驟2一樣對(duì)密鑰的每個(gè)字符進(jìn)行取代： 0512091520 4) 對(duì)明文的每個(gè)塊，將其每個(gè)字符用對(duì)應(yīng)的整數(shù)編碼與密鑰中相應(yīng)位置的字符的整數(shù)編碼的和模27后的值取代： 5) 將步驟4的結(jié)果中的整數(shù)編碼再用其等價(jià)字符替換： FDIZB SSOXL MQ+GT HMBRA ERRFY 如果給出密鑰，該例的解密過(guò)程很簡(jiǎn)單。問(wèn)題是對(duì)于一個(gè)惡意攻擊者來(lái)說(shuō)，在不知道密鑰的情況下，利用相匹配的明文和密文獲得密鑰究竟有多困難？對(duì)于上面的簡(jiǎn)單例子，答案是相當(dāng)容易的，不是一般的容易，但是，復(fù)雜的加密模式同樣很容易設(shè)計(jì)出。理想的情況是采用的加密模式使得攻擊者為了破解所付出的代價(jià)應(yīng)遠(yuǎn)遠(yuǎn)超過(guò)其所獲得的利益。實(shí)際上，該目的適用于所有的安全性措施。這種加密模式的可接受的最終目標(biāo)是：即使是該模式的發(fā)明者也無(wú)法通過(guò)相匹配的明文和密文獲得密鑰，從而也無(wú)法破解密文。公開(kāi)密鑰加密思想最初是由Diffie和Hellman提出的，最著名的是Rivest、Shamir以及Adleman提出的，現(xiàn)在通常稱為RSA（以三個(gè)發(fā)明者的首位字母命名）的方法，該方法基于下面的兩個(gè)事實(shí)： 1) 已有確定一個(gè)數(shù)是不是質(zhì)數(shù)的快速算法； 2) 尚未找到確定一個(gè)合數(shù)的質(zhì)因子的快速算法。 RSA方法的工作原理如下： 1) 任意選取兩個(gè)不同的大質(zhì)數(shù)p和q，計(jì)算乘積r=p*q； 2) 任意選取一個(gè)大整數(shù)e，e與(p-1)*(q-1)互質(zhì)，整數(shù)e用做加密密鑰。注意：e的選取是很容易的，例如，所有大于p和q的質(zhì)數(shù)都可用。 3) 確定解密密鑰d： d * e = 1 modulo（p - 1）*（q - 1） 根據(jù)e、p和q可以容易地計(jì)算出d。 4) 公開(kāi)整數(shù)r和e，但是不公開(kāi)d； 5) 將明文P (假設(shè)P是一個(gè)小于r的整數(shù))加密為密文C，計(jì)算方法為： C = Pe modulo r 6) 將密文C解密為明文P，計(jì)算方法為： P = Cd modulo r 然而只根據(jù)r和e（不是p和q）要計(jì)算出d是不可能的。因此，任何人都可對(duì)明文進(jìn)行加密，但只有授權(quán)用戶（知道d）才可對(duì)密文解密。 下面舉一簡(jiǎn)單的例子對(duì)上述過(guò)程進(jìn)行說(shuō)明，顯然我們只能選取很小的數(shù)字。 例：選取p=3, q=5，則r=15，（p-1）*（q-1）=8。選取e=11（大于p和q的質(zhì)數(shù)），通過(guò)d * 11 = 1 modulo 8， 計(jì)算出d =3。 假定明文為整數(shù)13。則密文C為 C = Pe modulo r = 1311 modulo 15 = 1,792,160,394,037 modulo 15 = 7 復(fù)原明文P為： P = Cd modulo r = 73 modulo 15 = 343 modulo 15 = 13 因?yàn)閑和d互逆，公開(kāi)密鑰加密方法也允許采用這樣的方式對(duì)加密信息進(jìn)行簽名，以便接收方能確定簽名不是偽造的。假設(shè)A和B希望通過(guò)公開(kāi)密鑰加密方法進(jìn)行數(shù)據(jù)傳輸，A和B分別公開(kāi)加密算法和相應(yīng)的密鑰，但不公開(kāi)解密算法和相應(yīng)的密鑰。A和B的加密算法分別是ECA和ECB，解密算法分別是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。若A要向B發(fā)送明文P，不是簡(jiǎn)單地發(fā)送ECB（P），而是先對(duì)P施以其解密算法DCA，再用加密算法ECB對(duì)結(jié)果加密后發(fā)送出去。 密文C為： C = ECB（DCA（P） B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P： ECA（DCB（C） = ECA（DCB（ECB（DCA（P） = ECA（DCA（P） /*DCB和ECB相互抵消*/ = P /*DCB和ECB相互抵消*/ 這樣B就確定報(bào)文確實(shí)是從A發(fā)出的，因?yàn)橹挥挟?dāng)加密過(guò)程利用了DCA算法，用ECA才能獲得P，只有A才知道DCA算法，沒(méi) 有人，即使是B也不能偽造A的簽名。8.入侵檢測(cè)入侵檢測(cè)系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)軟件系統(tǒng)，用于檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。入侵檢測(cè)系統(tǒng)通常包括以下功能：審計(jì)系統(tǒng)的配置和脆弱性；評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性；檢測(cè)和分析用戶和系統(tǒng)的活動(dòng)；識(shí)別并反應(yīng)已知的攻擊模式；對(duì)非正常模式進(jìn)行統(tǒng)計(jì)分析；收集入侵證據(jù)；入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)通常有集中式、分布式和層次式三種。分布式體系結(jié)構(gòu)由分布在各主機(jī)或者各子網(wǎng)的自治Agent組成，每一個(gè)Agent都能根據(jù)自身在本地環(huán)境中形成的獨(dú)有的決策規(guī)劃對(duì)所收集的數(shù)據(jù)進(jìn)行分析和決策，在必要時(shí)各Agent之間可以相互協(xié)作，以做出更全面和更準(zhǔn)確的結(jié)論。在這種結(jié)構(gòu)中，各Agent之間的關(guān)系是平行和獨(dú)立的。入侵檢測(cè)的算法目前完成的主要有兩類：誤用檢測(cè)算法：在DIDS中采用的誤用算法主要是模式匹配和基于神經(jīng)網(wǎng)絡(luò)的專家系統(tǒng)。模式匹配通過(guò)給入侵行為做出入侵簽名，最后通過(guò)有效的匹配機(jī)制來(lái)檢測(cè)入侵。基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法是利用神經(jīng)網(wǎng)絡(luò)存儲(chǔ)入侵簽名，這樣不但可以檢測(cè)到已知的入侵模式，而且還可以檢測(cè)到相近的入侵的變種。異常檢測(cè)算法：目前已經(jīng)完成的異常檢測(cè)算法有神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)集成、Markov模型，隱Markov、支持向量機(jī)等算法。移動(dòng)代理（Mobile Agent）是新一代分布式技術(shù)，它具有靈活性、移動(dòng)性、自治性、異步性和代理性，其小程序即移動(dòng)代理可以在一個(gè)大型分布式網(wǎng)絡(luò)中移動(dòng)、漫游和執(zhí)行，這為檢測(cè)來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的入侵提供了全新的方法，可以將每一種入侵檢測(cè)分別裝載在不同的移動(dòng)代理中，并動(dòng)態(tài)地讓代理分布到整個(gè)網(wǎng)絡(luò)上，通過(guò)這些移動(dòng)代理的移動(dòng)、交互、協(xié)作完成對(duì)網(wǎng)絡(luò)內(nèi)外入侵的確定和檢測(cè)。此外，含有入侵檢測(cè)的移動(dòng)代理可定時(shí)在整個(gè)網(wǎng)絡(luò)中移動(dòng)巡回檢測(cè)。這種基于移動(dòng)代理分布式入侵檢測(cè)與傳統(tǒng)的代理相比，有許多優(yōu)點(diǎn)：第1， 主機(jī)間動(dòng)態(tài)遷移 移動(dòng)代理可以在運(yùn)行期間直接進(jìn)行主機(jī)間的遷移，就是說(shuō)：可以從一個(gè)場(chǎng)地采集所需要的數(shù)據(jù)并行處理之后，不終止進(jìn)程而直接遷移到另一臺(tái)主機(jī)上繼續(xù)運(yùn)行，保留了原來(lái)進(jìn)程的數(shù)據(jù)段和堆棧。第2， 智能性 由于移動(dòng)代理可以自由地在主機(jī)之間進(jìn)行遷移，使得代理的運(yùn)行場(chǎng)地不再局限在某一個(gè)特定位置，從而比較容易獲得全面和有針對(duì)性的數(shù)據(jù)。在這些數(shù)據(jù)的基礎(chǔ)上，代理可以充分利用現(xiàn)有的人工智能和統(tǒng)計(jì)技術(shù)，做出更加及時(shí)和準(zhǔn)確的判斷。這種特性使得移動(dòng)代理與傳統(tǒng)代理相比，可以更有效地自主完成某一個(gè)特定的任務(wù)。第3， 平臺(tái)無(wú)關(guān)性 多數(shù)移動(dòng)代理采用與平臺(tái)無(wú)關(guān)的語(yǔ)言，這樣的程序可以跨平臺(tái)運(yùn)行。另外，一般的移動(dòng)代理體系都建立了與移動(dòng)代理相配套的平臺(tái)無(wú)關(guān)的通信協(xié)議。通過(guò)這些協(xié)議，代理之間無(wú)須建立直接的通信連接，而是利用虛擬機(jī)提供相應(yīng)的消息服務(wù)，簡(jiǎn)化消息傳遞的操作。第4， 分布的靈活性 移動(dòng)代理運(yùn)行在整個(gè)分布式系統(tǒng)中，而不是固定在某一個(gè)特定的位置。這樣，一旦需要，它可以將自己或者所需的其他移動(dòng)代理直接發(fā)送到所需的主機(jī)現(xiàn)場(chǎng)，進(jìn)行本地操作。這樣，提高了操作的靈活性，同時(shí)也消除了傳統(tǒng)代理間通信時(shí)對(duì)復(fù)雜通信協(xié)議的依賴性。第5， 低網(wǎng)絡(luò)數(shù)據(jù)流量 由于結(jié)構(gòu)上的特殊性，移動(dòng)代理可以實(shí)時(shí)對(duì)所采集到的數(shù)據(jù)進(jìn)行過(guò)濾，然后將關(guān)鍵數(shù)據(jù)提出，而無(wú)需像傳統(tǒng)的代理體系那樣，將各個(gè)主機(jī)的所有數(shù)據(jù)都匯集到一個(gè)中央服務(wù)器中，由這個(gè)服務(wù)器進(jìn)行綜合處理，然后再向相關(guān)的代理轉(zhuǎn)發(fā)。這樣，可以明顯減少經(jīng)過(guò)網(wǎng)絡(luò)上的數(shù)據(jù)流量，提高網(wǎng)絡(luò)的總體可用性。第6， 多代理合作通過(guò)虛擬機(jī)系統(tǒng)的通信機(jī)制，可以實(shí)現(xiàn)多個(gè)代理之間的合作。這種合作有多種模式。相同的代理之間互相協(xié)作，可以防止系統(tǒng)和代理失效。一旦有代理失效，其他代理可以采取措施，通過(guò)承擔(dān)起失效代理的任務(wù)或者啟動(dòng)新的代理的辦法來(lái)進(jìn)行失效彌補(bǔ)。另外，異種代理之間也可以進(jìn)行互補(bǔ)性合作，多個(gè)不同功能的代理協(xié)作完成共同目標(biāo)。DIDS模型DIDS中移動(dòng)代理的類型在DIDS系統(tǒng)中，依據(jù)功能的不同我們將代理分為以下兩大類五種代理：靜態(tài)代理 管理代理：它常駐在安全管理器上，其任務(wù)就是根據(jù)需要分別動(dòng)態(tài)地將配置代理、巡邏代理、派遣代理以及防御代理以移動(dòng)代理的形式發(fā)送到服務(wù)器、工作站、網(wǎng)關(guān)、用戶PC機(jī)以及位于網(wǎng)絡(luò)邊界要對(duì)網(wǎng)絡(luò)鏈路流量進(jìn)行過(guò)濾的偵聽(tīng)計(jì)算機(jī)（后面稱其為主機(jī)）上以便對(duì)整個(gè)網(wǎng)絡(luò)的入侵進(jìn)行檢測(cè)、告警和防御。 配置代理：每當(dāng)一個(gè)主機(jī)上的用戶請(qǐng)求連接時(shí)，該主機(jī)上的配置代理即開(kāi)始執(zhí)行，它的功能就是提供用戶接口以及其它移動(dòng)代理在本主機(jī)上執(zhí)行的一些配置。移動(dòng)代理巡邏代理：它在網(wǎng)絡(luò)所有主機(jī)上進(jìn)行巡邏，在巡邏到的主機(jī)上收集連接到該主機(jī)上的用戶信息或流量數(shù)據(jù)，并檢測(cè)可疑的用戶行為，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，它就向管理代理發(fā)出求助信息。派遣代理：一組含有能夠鑒別某種類型入侵的智能代理，它們由管理代理派遣到有可疑行為的主機(jī)上，通過(guò)比對(duì)、協(xié)商來(lái)共同確定可疑行為是否入侵，并將結(jié)果報(bào)告給管理代理。防御代理：當(dāng)出現(xiàn)入侵時(shí)，由管理代理發(fā)送到被入侵主機(jī)上以取消非法用戶連接和阻塞非法用戶賬號(hào)形式來(lái)防御入侵。DIDS的工作模型管理代理 巡邏代理派遣代理防御代理 求助信息 巡邏代理 派遣代理 檢測(cè)結(jié)果子網(wǎng)網(wǎng)關(guān)配置代理配置代理 工作站配置代理配置代理 服務(wù)器 圖4-4 DIDS的工作模型圖中，用一臺(tái)計(jì)算機(jī)作為安全管理器，其上常駐并運(yùn)行一個(gè)管理代理，它指揮著整個(gè)網(wǎng)絡(luò)的入侵檢測(cè)及防御，每當(dāng)一個(gè)主