第十三章 網(wǎng)站安全設(shè)計(jì)

1、第十三章第十三章 網(wǎng)站安全設(shè)計(jì)網(wǎng)站安全設(shè)計(jì)網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題加密技術(shù)加密技術(shù)反病毒技術(shù)反病毒技術(shù)防火墻技術(shù)防火墻技術(shù)基于客戶的安全基于客戶的安全基于服務(wù)器的安全基于服務(wù)器的安全13.1 網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題Z網(wǎng)站的常見安全問題網(wǎng)站的常見安全問題Z電子商務(wù)網(wǎng)站面對(duì)的新問題電子商務(wù)網(wǎng)站面對(duì)的新問題網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的概念 國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常

2、運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。 網(wǎng)站的常見安全問題網(wǎng)站的常見安全問題Z服務(wù)拒絕攻擊服務(wù)拒絕攻擊Z闖入保密區(qū)域闖入保密區(qū)域Z計(jì)算機(jī)病毒計(jì)算機(jī)病毒網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題服務(wù)拒絕攻擊服務(wù)拒絕攻擊網(wǎng)絡(luò)對(duì)拒絕服務(wù)攻擊的抵抗力很有限，攻網(wǎng)絡(luò)對(duì)拒絕服務(wù)攻擊的抵抗力很有限，攻擊者將阻止合法的用戶使用網(wǎng)絡(luò)和服務(wù)。拒絕擊者將阻止合法的用戶使用網(wǎng)絡(luò)和服務(wù)。拒絕服務(wù)有三種常見的攻擊方式，它們是：服務(wù)過服務(wù)有三種常見的攻擊方式，它們是：服務(wù)過載，消息流和信號(hào)接地。載，消息流和信號(hào)接地。 電子商

3、務(wù)網(wǎng)站面對(duì)的新問題電子商務(wù)網(wǎng)站面對(duì)的新問題Z信息傳輸?shù)谋Ｃ苄孕畔鬏數(shù)谋Ｃ苄訸交易文件的完整性交易文件的完整性Z交易者身份的確定性交易者身份的確定性Z交易不可抵賴性交易不可抵賴性網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題13.2 加密技術(shù)加密技術(shù)Z加密技術(shù)概述加密技術(shù)概述Z對(duì)稱密鑰體系對(duì)稱密鑰體系Z非對(duì)稱密鑰體系非對(duì)稱密鑰體系Z數(shù)字信封數(shù)字信封Z數(shù)字簽名數(shù)字簽名Z數(shù)字證書數(shù)字證書ZSSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)1.加密技術(shù)概述加密技術(shù)概述由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術(shù)是電子商務(wù)采取的主要保密安全措施，是最常用的保密安全手段。加密技術(shù)也

4、就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。 加密技術(shù)概述加密技術(shù)概述計(jì)算機(jī)加密技術(shù)計(jì)算機(jī)加密技術(shù)是解決計(jì)算機(jī)數(shù)據(jù)的加密是解決計(jì)算機(jī)數(shù)據(jù)的加密及其解密的技術(shù)，它是數(shù)學(xué)和計(jì)算機(jī)學(xué)的及其解密的技術(shù)，它是數(shù)學(xué)和計(jì)算機(jī)學(xué)的交叉技術(shù)交叉技術(shù)Z 待加密的報(bào)文，也稱明文待加密的報(bào)文，也稱明文Z 加密后的報(bào)文，也稱密文加密后的報(bào)文，也稱密文Z 加密、解密裝置或算法加密、解密裝置或算法Z 用于加密和解密的鑰匙，簡(jiǎn)稱密鑰，一用于加密和解密的鑰匙，簡(jiǎn)稱密鑰，一般是一個(gè)數(shù)字般是一個(gè)數(shù)字加密技術(shù)加密技術(shù)任何加密系統(tǒng)無論其形式多么復(fù)雜，至少任何加密系統(tǒng)無論其形式多么復(fù)雜

5、，至少應(yīng)包括以下四個(gè)組成部分：應(yīng)包括以下四個(gè)組成部分：算法和密鑰算法和密鑰加密包括兩個(gè)元素：算法和密鑰。一個(gè)加密算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對(duì)加密同等重要。 密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制，來保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩種。 2.對(duì)稱密鑰體系對(duì)稱密鑰體系對(duì)稱密鑰體系對(duì)稱密鑰體系（Symmetric CryptographySymmetric Cryptography）又稱對(duì)稱密鑰技術(shù)，在對(duì)稱密鑰體系中，對(duì)又稱對(duì)

6、稱密鑰技術(shù)，在對(duì)稱密鑰體系中，對(duì)信息的加密和解密均使用同一個(gè)密鑰（或者信息的加密和解密均使用同一個(gè)密鑰（或者是密鑰對(duì)，但其中一個(gè)密鑰可用通過另一個(gè)是密鑰對(duì)，但其中一個(gè)密鑰可用通過另一個(gè)密鑰推導(dǎo)而得）密鑰推導(dǎo)而得）對(duì)稱密鑰體系的優(yōu)點(diǎn)對(duì)稱密鑰體系的優(yōu)點(diǎn)在于算法比較簡(jiǎn)單，加在于算法比較簡(jiǎn)單，加密、解密速度快，但是也有不可避免的缺點(diǎn)，密、解密速度快，但是也有不可避免的缺點(diǎn)，那就是密鑰分發(fā)和管理非常困難那就是密鑰分發(fā)和管理非常困難加密技術(shù)加密技術(shù)對(duì)稱加密對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù)，它的特點(diǎn)是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。這種方法在密碼學(xué)中叫做對(duì)稱加密算法，對(duì)稱加密算法使

7、用起來簡(jiǎn)單快捷，密鑰較短，且破譯困難，除了數(shù)據(jù)加密標(biāo)準(zhǔn)（DNS），另一個(gè)對(duì)稱密鑰加密系統(tǒng)系統(tǒng)是國(guó)際數(shù)據(jù)加密算法（IDEA），它比DNS的加密性好，而且對(duì)計(jì)算機(jī)功能要求也沒有那么高。IDEA加密標(biāo)準(zhǔn)由PGP（Pretty Good Privacy）系統(tǒng)使用。 對(duì)稱加密算法在電子商務(wù)交易過程中存在幾個(gè)問題： （1）要求提供一條安全的渠道使通訊雙方在首次通訊時(shí)協(xié)商一個(gè)共同的密鑰。直接的面對(duì)面協(xié)商可能是不現(xiàn)實(shí)而且難于實(shí)施的，所以雙方可能需要借助于郵件和電話等其它相對(duì)不夠安全的手段來進(jìn)行協(xié)商； （2）密鑰的數(shù)目難于管理。因?yàn)閷?duì)于每一個(gè)合作者都需要使用不同的密鑰，很難適應(yīng)開放社會(huì)中大量的信息交流； （3）

8、對(duì)稱加密算法一般不能提供信息完整性的鑒別。它無法驗(yàn)證發(fā)送者和接受者的身份； （4）對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)的和煩瑣的過程。對(duì)稱加密是基于共同保守秘密來實(shí)現(xiàn)的，采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。 加密技術(shù)加密技術(shù)3.非對(duì)稱密鑰體系非對(duì)稱密鑰體系1976年，美國(guó)學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達(dá)成一致的密鑰，這就是“公開密鑰系統(tǒng)”。相對(duì)于“對(duì)稱加密算法”這種方法也叫做“非對(duì)稱加密算法”。3

9、.非對(duì)稱密鑰體系非對(duì)稱密鑰體系公鑰密碼技術(shù)：以公鑰(PK)作為加密密鑰，私鑰(IK)作為解密密鑰，可實(shí)現(xiàn)多個(gè)用戶加密的消息只能由一個(gè)用戶解讀，可用于保密通信；反之，以私鑰作為加密密鑰，而以公鑰作為解密秘鑰，則可實(shí)現(xiàn)由一個(gè)用戶加密的消息可使多個(gè)用戶解讀，可用于數(shù)字簽名。 3.非對(duì)稱密鑰體系非對(duì)稱密鑰體系非對(duì)稱密鑰系統(tǒng)優(yōu)點(diǎn)非對(duì)稱密鑰系統(tǒng)優(yōu)點(diǎn)在于密鑰的管理非在于密鑰的管理非常簡(jiǎn)單和安全常簡(jiǎn)單和安全非對(duì)稱密鑰體系缺點(diǎn)非對(duì)稱密鑰體系缺點(diǎn)，是密鑰較長(zhǎng)，加、，是密鑰較長(zhǎng)，加、解密速度比較慢，對(duì)系統(tǒng)的要求較高解密速度比較慢，對(duì)系統(tǒng)的要求較高加密技術(shù)加密技術(shù)3.非對(duì)稱密鑰體系非對(duì)稱密鑰體系使用公開密鑰對(duì)文件進(jìn)行

10、加密傳輸?shù)膶?shí)際過程包括四步：（1）發(fā)送方生成一個(gè)自己的私有密鑰并用接收方的公開密鑰對(duì)自己的私有密鑰進(jìn)行加密，然后通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑?（2）發(fā)送方對(duì)需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?）接收方用自己的公開密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰；（4）接受方用發(fā)送方的私有密鑰對(duì)文件進(jìn)行解密得到文件的明文形式。 加密技術(shù)加密技術(shù)4.數(shù)字信封數(shù)字信封數(shù)字信封是公鑰密碼體制在實(shí)際中的一個(gè)數(shù)字信封是公鑰密碼體制在實(shí)際中的一個(gè)應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。信人才能閱讀通信的內(nèi)容。 4.數(shù)

11、字信封數(shù)字信封數(shù)字信封數(shù)字信封（也稱為電子信封）并不是一（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體種新的加密體系，它只是把兩種密鑰體系結(jié)合起來，獲得了非對(duì)稱密鑰技術(shù)的系結(jié)合起來，獲得了非對(duì)稱密鑰技術(shù)的靈活和對(duì)稱密鑰技術(shù)的高效靈活和對(duì)稱密鑰技術(shù)的高效數(shù)字信封數(shù)字信封使網(wǎng)上的信息傳輸?shù)谋Ｃ苄允咕W(wǎng)上的信息傳輸?shù)谋Ｃ苄缘靡越鉀Q得以解決4.數(shù)字信封數(shù)字信封在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來加密信息內(nèi)容，然后將此對(duì)稱密鑰用接收方的公開密鑰來加密（這部分稱數(shù)字信封）之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開加密信息

12、。這種技術(shù)的安全性相當(dāng)高。數(shù)字信封主要包括數(shù)字信封打包和數(shù)字信封拆解，數(shù)字信封打包是使用對(duì)方的公鑰將加密密鑰進(jìn)行加密的過程，只有對(duì)方的私鑰才能將加密后的數(shù)據(jù)(通信密鑰)還原；數(shù)字信封拆解是使用私鑰將加密過的數(shù)據(jù)解密的過程。5.數(shù)字簽名數(shù)字簽名數(shù)字簽名技術(shù)的目的數(shù)字簽名技術(shù)的目的是保證信息的完整是保證信息的完整性和真實(shí)性性和真實(shí)性數(shù)字簽名技術(shù)就要保證以下兩點(diǎn)數(shù)字簽名技術(shù)就要保證以下兩點(diǎn)Z文件內(nèi)容沒有被改變文件內(nèi)容沒有被改變Z文件出自簽字人之手和經(jīng)過簽字文件出自簽字人之手和經(jīng)過簽字人批準(zhǔn)（即簽字沒有被改動(dòng)）人批準(zhǔn)（即簽字沒有被改動(dòng)）5.數(shù)字簽名數(shù)字簽名簡(jiǎn)單地說，所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一

13、些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。 6.數(shù)字證書數(shù)字證書數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供身份信息的一系列數(shù)據(jù)，提供了一種在了一種在InternetInternet上驗(yàn)證身份上驗(yàn)證身份的方式的方式數(shù)字證書最重要的信息數(shù)字證書最重要的信息是一對(duì)公用密鑰體是一對(duì)公用密鑰體系中的密鑰系中的密鑰數(shù)字證書的關(guān)鍵數(shù)字證書的關(guān)鍵就是認(rèn)證中心就是認(rèn)證中心7

14、.SSL安全技術(shù)和安全技術(shù)和SET安全技安全技術(shù)術(shù)SSL和和SET是目前是目前InternetInternet上比較成熟的上比較成熟的安全技術(shù)標(biāo)準(zhǔn)安全技術(shù)標(biāo)準(zhǔn)基礎(chǔ)基礎(chǔ)就是以上介紹的各種加密技術(shù)就是以上介紹的各種加密技術(shù)目的目的則是保證數(shù)據(jù)傳輸?shù)陌踩詣t是保證數(shù)據(jù)傳輸?shù)陌踩?SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)SSL（Secure Sockets Layer安全套接層）安全套接層）協(xié)議是協(xié)議是由由NetscapeNetscape公司研究制定的安全協(xié)議，該協(xié)議向基公司研究制定的安全協(xié)議，該協(xié)議向基于于TCP/IPTCP/IP的客戶的客戶/ /服務(wù)器應(yīng)用程序提供了客戶端和服

15、務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施施SSL安全技術(shù)安全技術(shù) ZSSL握手協(xié)議握手協(xié)議ZSSL記錄協(xié)議記錄協(xié)議 SSL協(xié)議包括了兩個(gè)子協(xié)議：協(xié)議包括了兩個(gè)子協(xié)議：SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)是一個(gè)通過開放網(wǎng)絡(luò)（包括是一個(gè)通過開放網(wǎng)絡(luò)（包括Internet）進(jìn)行安全）進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)，由資金支付的技術(shù)標(biāo)準(zhǔn)，由VISA和和MasterCard組織共同制定，組織共同制定，1997年年5月聯(lián)合推出月聯(lián)合推出 SET安全技術(shù)安全技術(shù) 安全電子交易安全電子交易（SET，Secure E

16、lectronic Transaction）SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)SET安全技術(shù)安全技術(shù) Z信息在信息在InternetInternet上安全傳輸上安全傳輸Z定單信息和個(gè)人帳號(hào)信息的隔離定單信息和個(gè)人帳號(hào)信息的隔離Z持卡人和商家相互認(rèn)證，以確定通信雙方持卡人和商家相互認(rèn)證，以確定通信雙方的身份，一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通的身份，一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保信雙方提供信用擔(dān)保SET主要目標(biāo)如下：主要目標(biāo)如下：Z要求軟件遵循相同協(xié)議和報(bào)文格式，使不同要求軟件遵循相同協(xié)議和報(bào)文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并廠家開發(fā)的軟件具

17、有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上 13.3 反病毒技術(shù)反病毒技術(shù) Z 計(jì)算機(jī)病毒計(jì)算機(jī)病毒 Z 計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)及危害計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)及危害 Z 計(jì)算機(jī)的反病毒技術(shù)計(jì)算機(jī)的反病毒技術(shù) Z 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治方法計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治方法 計(jì)算機(jī)病毒計(jì)算機(jī)病毒首先，與醫(yī)學(xué)上的首先，與醫(yī)學(xué)上的“病毒病毒”不同，它不是不同，它不是天然存在的，是某些人利用電腦軟、硬件所固天然存在的，是某些人利用電腦軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)通過某種

18、途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序或程序)里里,當(dāng)達(dá)到某種條件時(shí)即被激活當(dāng)達(dá)到某種條件時(shí)即被激活,它用修改其他它用修改其他程序的方法將自己的精確拷貝或者可能演化的程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對(duì)電腦形式放入其他程序中，從而感染它們，對(duì)電腦資源進(jìn)行破壞的這樣一組程序或指令集合。資源進(jìn)行破壞的這樣一組程序或指令集合。 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的定義從廣義上定義，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)做過不盡相同的定義，但一直沒有公認(rèn)的明確定義。直至1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，

19、在條例第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。計(jì)算機(jī)病毒計(jì)算機(jī)病毒 Z自我復(fù)制的能力自我復(fù)制的能力Z它具有潛在的破壞力它具有潛在的破壞力Z它只能由人為編制而成它只能由人為編制而成Z它具有可傳染性它具有可傳染性特點(diǎn)特點(diǎn):反病毒技術(shù)反病毒技術(shù)計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征1. 傳染性：正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)病毒可通過各種可能的渠道，如軟

20、盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征2. 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會(huì)感到任何異常。 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征3. 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。只有這樣它才可進(jìn)行廣泛地傳播。 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征4. 破壞性。任何

21、病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕病毒與惡性病毒、良性病毒可能只顯示些畫面或出點(diǎn)音樂、無聊的語句，或者根本沒有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征5. 不可預(yù)見性。從對(duì)病毒的檢測(cè)方面來看，病毒還有不可預(yù)見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的（如駐內(nèi)存，改中斷）。 計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒分類 引導(dǎo)區(qū)病毒文件型復(fù)合型腳本病毒宏病毒特洛伊木馬病毒蠕蟲病毒黑客型病毒后門病毒 計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)及危害計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)及危害 計(jì)算機(jī)網(wǎng)絡(luò)病毒計(jì)算機(jī)網(wǎng)絡(luò)病毒是在計(jì)算機(jī)網(wǎng)絡(luò)上傳播擴(kuò)散，專是在計(jì)算機(jī)網(wǎng)絡(luò)上傳播擴(kuò)散，專門攻擊網(wǎng)絡(luò)薄

22、弱環(huán)節(jié)、破壞網(wǎng)絡(luò)門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的計(jì)算機(jī)病毒資源的計(jì)算機(jī)病毒Z計(jì)算機(jī)網(wǎng)絡(luò)病毒破壞性極強(qiáng)它具有潛在的破壞力計(jì)算機(jī)網(wǎng)絡(luò)病毒破壞性極強(qiáng)它具有潛在的破壞力Z具有較強(qiáng)的傳播性，擴(kuò)散范圍大它具有可傳染性具有較強(qiáng)的傳播性，擴(kuò)散范圍大它具有可傳染性Z具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性 Z對(duì)計(jì)算機(jī)硬件有一定選擇性對(duì)計(jì)算機(jī)硬件有一定選擇性 Z新的傳播渠道和破壞手段新的傳播渠道和破壞手段 特點(diǎn)特點(diǎn):反病毒技術(shù)反病毒技術(shù)計(jì)算機(jī)的反病毒技術(shù)計(jì)算機(jī)的反病毒技術(shù) Z 檢測(cè)檢測(cè)Z 清除清除Z 防御防御Z 免疫免疫 反病毒技術(shù)反病毒技術(shù)反病毒技術(shù)分成四個(gè)方面：反病毒

23、技術(shù)分成四個(gè)方面：病毒的檢測(cè)病毒的檢測(cè)Z 比較法比較法 Z 搜索法防御搜索法防御Z 計(jì)算機(jī)病毒特征字的識(shí)別法計(jì)算機(jī)病毒特征字的識(shí)別法 Z 分析法分析法 計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)反病毒技術(shù)檢測(cè)計(jì)算機(jī)病毒檢測(cè)計(jì)算機(jī)病毒：就是要到病毒寄生場(chǎng)就是要到病毒寄生場(chǎng)所去檢查所去檢查, ,發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明“正身正身”，確證計(jì)算機(jī)病毒的存在，確證計(jì)算機(jī)病毒的存在 病毒的清除病毒的清除Z 先由人工分析病毒傳染的方法，然后再加先由人工分析病毒傳染的方法，然后再加以程序化以程序化 Z 在每個(gè)可執(zhí)行文件中追加一部分用于恢復(fù)在每個(gè)可執(zhí)行文件中追加一部分用于恢復(fù)的信息計(jì)算機(jī)病毒特征字的識(shí)別法的

24、信息計(jì)算機(jī)病毒特征字的識(shí)別法 Z 利用軟件自動(dòng)分析一個(gè)文件的原始備份和利用軟件自動(dòng)分析一個(gè)文件的原始備份和被病毒感染后的拷貝被病毒感染后的拷貝 計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)反病毒技術(shù)常用的除手工清除計(jì)算機(jī)病毒的方法有常用的除手工清除計(jì)算機(jī)病毒的方法有：病毒的防疫病毒的防疫計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)反病毒技術(shù)目前最常用的技術(shù)就是實(shí)時(shí)監(jiān)視技術(shù)。這個(gè)技目前最常用的技術(shù)就是實(shí)時(shí)監(jiān)視技術(shù)。這個(gè)技術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的反病毒防術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的反病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計(jì)算機(jī)系統(tǒng)之門外。時(shí)反病毒功能，拒病毒于計(jì)

25、算機(jī)系統(tǒng)之門外。時(shí)刻監(jiān)視系統(tǒng)當(dāng)中的病毒活動(dòng)，時(shí)刻監(jiān)視系統(tǒng)狀刻監(jiān)視系統(tǒng)當(dāng)中的病毒活動(dòng)，時(shí)刻監(jiān)視系統(tǒng)狀況，時(shí)刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件況，時(shí)刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。 病毒的免疫病毒的免疫計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)病毒的免疫技術(shù)目前沒有很大發(fā)展。計(jì)算機(jī)病毒的免疫技術(shù)目前沒有很大發(fā)展。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治方法計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治方法 Z基于工作站的防治技術(shù)基于工作站的防治技術(shù)Z基于服務(wù)器的防治技術(shù)基于服務(wù)器的防治技術(shù) Z加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理反病毒技術(shù)反病毒技術(shù)13.4 防

26、火墻技術(shù)防火墻技術(shù)Z防火墻的基本概念防火墻的基本概念 Z防火墻的作用和不足防火墻的作用和不足 Z常見的防火墻結(jié)構(gòu)常見的防火墻結(jié)構(gòu)反病毒技術(shù)反病毒技術(shù)防火墻的基本概念防火墻的基本概念什么是防火墻什么是防火墻 防火墻（防火墻（FireWallFireWall）就是在內(nèi)部網(wǎng)絡(luò)就是在內(nèi)部網(wǎng)絡(luò)（Internal NetworkInternal Network）和外部網(wǎng)絡(luò)（通常是）和外部網(wǎng)絡(luò)（通常是InternetInternet）之間的一個(gè)屏障，他主要可以防）之間的一個(gè)屏障，他主要可以防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問 防火墻技術(shù)防火墻技術(shù)防火墻的分類防火墻的分類網(wǎng)絡(luò)層防

27、火墻的過濾規(guī)則：網(wǎng)絡(luò)層防火墻的過濾規(guī)則：服務(wù)相關(guān)過濾規(guī)則服務(wù)相關(guān)過濾規(guī)則服務(wù)無關(guān)過濾規(guī)則服務(wù)無關(guān)過濾規(guī)則 防火墻的基本概念防火墻的基本概念Z網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻Z應(yīng)用層防火墻應(yīng)用層防火墻網(wǎng)絡(luò)層防護(hù)墻優(yōu)點(diǎn)和缺點(diǎn)網(wǎng)絡(luò)層防護(hù)墻優(yōu)點(diǎn)和缺點(diǎn)Z電路層防火墻電路層防火墻防火墻的作用和不足防火墻的作用和不足 防火墻技術(shù)防火墻技術(shù)使用防火墻的好處：使用防火墻的好處： Z集中化的安全管理集中化的安全管理 Z方便的網(wǎng)絡(luò)安全監(jiān)視方便的網(wǎng)絡(luò)安全監(jiān)視 Z緩解緩解IPIP地址空間的緊缺地址空間的緊缺 Z記錄網(wǎng)絡(luò)流量記錄網(wǎng)絡(luò)流量 Z安全發(fā)布信息安全發(fā)布信息 使用防火墻局限：使用防火墻局限： Z來自不受防火墻控制的其他途徑

28、的攻擊來自不受防火墻控制的其他途徑的攻擊 Z來自網(wǎng)絡(luò)內(nèi)部的攻擊來自網(wǎng)絡(luò)內(nèi)部的攻擊 Z計(jì)算機(jī)病毒和數(shù)據(jù)驅(qū)動(dòng)型的攻擊計(jì)算機(jī)病毒和數(shù)據(jù)驅(qū)動(dòng)型的攻擊 常見的防火墻結(jié)構(gòu)常見的防火墻結(jié)構(gòu)防火墻技術(shù)防火墻技術(shù)Z包過濾路由器包過濾路由器Z單宿堡壘主機(jī)防火墻單宿堡壘主機(jī)防火墻Z雙宿堡壘主機(jī)防火墻雙宿堡壘主機(jī)防火墻防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)13.5 基于客戶的安全基于客戶的安全 Z客戶機(jī)的病毒防治客戶機(jī)的病毒防治 Z客戶機(jī)操作系統(tǒng)的安全客戶機(jī)操作系統(tǒng)的安全 Z客戶機(jī)客戶機(jī)瀏覽器瀏覽器的安全的安全 1.客戶機(jī)的病毒防治客戶機(jī)的病毒防治Z 首先用戶自我要注意不要給病毒提供首先用戶自我要注意不要給病毒提供可乘之機(jī)可乘之機(jī) Z 其次必須在客戶機(jī)上安裝反病毒軟件其次必須在客戶機(jī)上安裝反病毒軟件 軟件的選擇上需要考慮以下幾點(diǎn)：軟件的選擇上需要考慮以下幾點(diǎn)： Z實(shí)時(shí)監(jiān)視技術(shù)實(shí)時(shí)監(jiān)視技術(shù) Z全平臺(tái)反病毒技術(shù)全平臺(tái)反病毒技術(shù)基于客戶的安全基