計(jì)算機(jī)網(wǎng)絡(luò)安全第1章

1、*網(wǎng)絡(luò)安全概述1本章主要內(nèi)容：本章主要內(nèi)容：第一節(jié)第一節(jié) 網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全簡介第二節(jié)第二節(jié) 網(wǎng)絡(luò)安全面臨的威脅網(wǎng)絡(luò)安全面臨的威脅第三節(jié)第三節(jié) 網(wǎng)絡(luò)出現(xiàn)安全威脅的原因網(wǎng)絡(luò)出現(xiàn)安全威脅的原因第四節(jié)第四節(jié) 網(wǎng)絡(luò)的安全機(jī)制網(wǎng)絡(luò)的安全機(jī)制 *網(wǎng)絡(luò)安全概述2l 網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定義l 網(wǎng)絡(luò)面臨的安全威脅網(wǎng)絡(luò)面臨的安全威脅l 網(wǎng)絡(luò)出現(xiàn)安全威脅的原因網(wǎng)絡(luò)出現(xiàn)安全威脅的原因l 網(wǎng)絡(luò)的安全機(jī)制網(wǎng)絡(luò)的安全機(jī)制*網(wǎng)絡(luò)安全概述3 網(wǎng)絡(luò)安全威脅是如何產(chǎn)生的網(wǎng)絡(luò)安全威脅是如何產(chǎn)生的*網(wǎng)絡(luò)安全概述4熟練掌握以下內(nèi)容熟練掌握以下內(nèi)容： 網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定義 網(wǎng)絡(luò)面臨的各種安全威脅網(wǎng)絡(luò)面臨的各種安全威脅 網(wǎng)絡(luò)

2、的安全機(jī)制網(wǎng)絡(luò)的安全機(jī)制了解以下內(nèi)容了解以下內(nèi)容： 產(chǎn)生網(wǎng)絡(luò)安全威脅的原因產(chǎn)生網(wǎng)絡(luò)安全威脅的原因*網(wǎng)絡(luò)安全概述5 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。種學(xué)科的綜合性科學(xué)。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，泄露，確

3、保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)服務(wù)不中斷。 *網(wǎng)絡(luò)安全概述6l 物理安全物理安全l 邏輯安全邏輯安全l 操作系統(tǒng)安全操作系統(tǒng)安全l 聯(lián)網(wǎng)安全聯(lián)網(wǎng)安全*網(wǎng)絡(luò)安全概述71防盜防盜 像其他的物體一樣，計(jì)算機(jī)也是偷像其他的物體一樣，計(jì)算機(jī)也是偷竊者的目標(biāo)，例如盜走軟盤、主板等。竊者的目標(biāo)，例如盜走軟盤、主板等。計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值，因此必須采取超過計(jì)算機(jī)本身的價(jià)值，因此必須采取嚴(yán)格的防范措施，以確保計(jì)算機(jī)設(shè)備不嚴(yán)格的防范措施，以確保計(jì)算機(jī)設(shè)備不會(huì)丟失。會(huì)丟失。 *網(wǎng)絡(luò)安全概述82防火防火 計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于

4、電氣計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故或外部火災(zāi)蔓延引起的。原因、人為事故或外部火災(zāi)蔓延引起的。電氣設(shè)備和線路因?yàn)槎搪?、過載、接觸不電氣設(shè)備和線路因?yàn)槎搪?、過載、接觸不良、絕緣層破壞或靜電等原因引起電打火良、絕緣層破壞或靜電等原因引起電打火而導(dǎo)致火災(zāi)。人為事故是指由于操作人員而導(dǎo)致火災(zāi)。人為事故是指由于操作人員不慎，吸煙、亂扔煙頭等，使充滿易燃物不慎，吸煙、亂扔煙頭等，使充滿易燃物質(zhì)（如紙片、磁帶、膠片等）的機(jī)房起火，質(zhì)（如紙片、磁帶、膠片等）的機(jī)房起火，當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓延是因外部房間或其他建筑物起火而蔓延延是因外部房間或其他

5、建筑物起火而蔓延到機(jī)房而引起火災(zāi)。到機(jī)房而引起火災(zāi)。 *網(wǎng)絡(luò)安全概述93防靜電防靜電 靜電是由物體間的相互摩擦、接觸靜電是由物體間的相互摩擦、接觸而產(chǎn)生的，計(jì)算機(jī)顯示器也會(huì)產(chǎn)生很強(qiáng)而產(chǎn)生的，計(jì)算機(jī)顯示器也會(huì)產(chǎn)生很強(qiáng)的靜電。靜電產(chǎn)生后，由于未能釋放而的靜電。靜電產(chǎn)生后，由于未能釋放而保留在物體內(nèi)，會(huì)有很高的電位（能量保留在物體內(nèi)，會(huì)有很高的電位（能量不大），從而產(chǎn)生靜電放電火花，造成不大），從而產(chǎn)生靜電放電火花，造成火災(zāi)。還可能使大規(guī)模集成電器損壞，火災(zāi)。還可能使大規(guī)模集成電器損壞，這種損壞可能是不知不覺造成的。這種損壞可能是不知不覺造成的。 *網(wǎng)絡(luò)安全概述104防雷擊防雷擊 利用引雷機(jī)理的傳統(tǒng)

6、避雷針防雷，不利用引雷機(jī)理的傳統(tǒng)避雷針防雷，不但增加雷擊概率，而且產(chǎn)生感應(yīng)雷，而但增加雷擊概率，而且產(chǎn)生感應(yīng)雷，而感應(yīng)雷是電子信息設(shè)備被損壞的主要?dú)⒏袘?yīng)雷是電子信息設(shè)備被損壞的主要?dú)⑹?，也是易燃易爆品被引燃起爆的主要手，也是易燃易爆品被引燃起爆的主要原因。原因?雷擊防范的主要措施是，根據(jù)電氣、雷擊防范的主要措施是，根據(jù)電氣、微電子設(shè)備的不同功能及不同受保護(hù)程微電子設(shè)備的不同功能及不同受保護(hù)程序和所屬保護(hù)層確定防護(hù)要點(diǎn)作分類保序和所屬保護(hù)層確定防護(hù)要點(diǎn)作分類保護(hù)；根據(jù)雷電和操作瞬間過電壓危害的護(hù)；根據(jù)雷電和操作瞬間過電壓危害的可能通道從電源線到數(shù)據(jù)通信線路都應(yīng)可能通道從電源線到數(shù)據(jù)通信線路都應(yīng)

7、做多級(jí)層保護(hù)。做多級(jí)層保護(hù)。 *網(wǎng)絡(luò)安全概述115防電磁泄漏防電磁泄漏 電子計(jì)算機(jī)和其他電子設(shè)備一樣，工電子計(jì)算機(jī)和其他電子設(shè)備一樣，工作時(shí)要產(chǎn)生電磁發(fā)射。電磁發(fā)射包括輻射作時(shí)要產(chǎn)生電磁發(fā)射。電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成計(jì)算機(jī)的信息泄露。造成計(jì)算機(jī)的信息泄露。 屏蔽是防電磁泄漏的有效措施，屏蔽屏蔽是防電磁泄漏的有效措施，屏蔽主要有電屏蔽、磁屏蔽和電磁屏蔽三種類主要有電屏蔽、磁屏蔽和電磁屏蔽三種類型。型。 *網(wǎng)絡(luò)安全概述12*網(wǎng)絡(luò)安全概述13 *網(wǎng)絡(luò)安全概述

8、14 *網(wǎng)絡(luò)安全概述15l 物理威脅物理威脅l 系統(tǒng)漏洞造成的威脅系統(tǒng)漏洞造成的威脅l 身份鑒別威脅身份鑒別威脅l 線纜連接威脅線纜連接威脅l 有害程序有害程序*網(wǎng)絡(luò)安全概述161偷竊偷竊 網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷竊信息和偷竊服務(wù)等內(nèi)容。如果他們想偷竊信息和偷竊服務(wù)等內(nèi)容。如果他們想偷的信息在計(jì)算機(jī)里，那他們一方面可以將的信息在計(jì)算機(jī)里，那他們一方面可以將整臺(tái)計(jì)算機(jī)偷走，另一方面通過監(jiān)視器讀整臺(tái)計(jì)算機(jī)偷走，另一方面通過監(jiān)視器讀取計(jì)算機(jī)中的信息。取計(jì)算機(jī)中的信息。 *網(wǎng)絡(luò)安全概述172廢物搜尋廢物搜尋 就是在廢物（如一些打印出來的材料就是在廢物（如一些打印

9、出來的材料或廢棄的軟盤）中搜尋所需要的信息。在微或廢棄的軟盤）中搜尋所需要的信息。在微機(jī)上，廢物搜尋可能包括從未抹掉有用東西機(jī)上，廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得有用資料。的軟盤或硬盤上獲得有用資料。 3間諜行為間諜行為 是一種為了省錢或獲取有價(jià)值的機(jī)密、是一種為了省錢或獲取有價(jià)值的機(jī)密、什么不道德的行為都會(huì)采用的商業(yè)過程。什么不道德的行為都會(huì)采用的商業(yè)過程。 *網(wǎng)絡(luò)安全概述184身份識(shí)別錯(cuò)誤身份識(shí)別錯(cuò)誤 非法建立文件或記錄，企圖把他們非法建立文件或記錄，企圖把他們作為有效的、正式生產(chǎn)的文件或記錄，作為有效的、正式生產(chǎn)的文件或記錄，如對(duì)具有身份鑒別特征物品如護(hù)照、執(zhí)如對(duì)具有身

10、份鑒別特征物品如護(hù)照、執(zhí)照、出生證明或加密的安全卡進(jìn)行偽造，照、出生證明或加密的安全卡進(jìn)行偽造，屬于身份識(shí)別發(fā)生錯(cuò)誤的范疇。這種行屬于身份識(shí)別發(fā)生錯(cuò)誤的范疇。這種行為對(duì)網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。為對(duì)網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。*網(wǎng)絡(luò)安全概述191乘虛而入乘虛而入 例如，用戶例如，用戶A停止了與某個(gè)系統(tǒng)的通信，停止了與某個(gè)系統(tǒng)的通信，但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于激活狀態(tài)，這時(shí)，用戶激活狀態(tài)，這時(shí)，用戶B通過這個(gè)端口開始與通過這個(gè)端口開始與這個(gè)系統(tǒng)通信，這樣就不必通過任何申請(qǐng)使用這個(gè)系統(tǒng)通信，這樣就不必通過任何申請(qǐng)使用端口的安全檢查了。端口的安全檢

11、查了。 2不安全服務(wù)不安全服務(wù) 有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器 的 安 全 系 統(tǒng) ， 互 聯(lián) 網(wǎng) 蠕 蟲 就 利 用 了器 的 安 全 系 統(tǒng) ， 互 聯(lián) 網(wǎng) 蠕 蟲 就 利 用 了BerkeLeyUNIX系統(tǒng)中三個(gè)這樣的可繞過機(jī)制。系統(tǒng)中三個(gè)這樣的可繞過機(jī)制。 *網(wǎng)絡(luò)安全概述203配置和初始化配置和初始化 如果不得不關(guān)掉一臺(tái)服務(wù)器以維修它的某如果不得不關(guān)掉一臺(tái)服務(wù)器以維修它的某個(gè)子系統(tǒng)，幾天后當(dāng)重啟動(dòng)服務(wù)器時(shí)，可能會(huì)個(gè)子系統(tǒng)，幾天后當(dāng)重啟動(dòng)服務(wù)器時(shí)，可能會(huì)招致用戶的抱怨，說他們的文件丟失了或被篡招致用戶的抱怨，說他們的文件丟失了或被篡改了，這就有

12、可能是在系統(tǒng)重新初始化時(shí)，安改了，這就有可能是在系統(tǒng)重新初始化時(shí)，安全系統(tǒng)沒有被正確地初始化，從而留下了安全全系統(tǒng)沒有被正確地初始化，從而留下了安全漏洞讓人利用，類似的問題在特洛伊木馬程序漏洞讓人利用，類似的問題在特洛伊木馬程序修改了系統(tǒng)的安全配置文件時(shí)也會(huì)發(fā)生。修改了系統(tǒng)的安全配置文件時(shí)也會(huì)發(fā)生。 *網(wǎng)絡(luò)安全概述211口令圈套口令圈套 口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊實(shí)現(xiàn)，它運(yùn)行起來和登錄屏幕一模一樣，被插入實(shí)現(xiàn)，它運(yùn)行起來和登錄屏幕一模一樣，被插入到正常有登錄過程

13、之前，最終用戶看到的只是先到正常有登錄過程之前，最終用戶看到的只是先后兩個(gè)登錄屏幕，第一次登錄失敗了，所以用戶后兩個(gè)登錄屏幕，第一次登錄失敗了，所以用戶被要求再輸入用戶名和口令。實(shí)際上，第一次登被要求再輸入用戶名和口令。實(shí)際上，第一次登錄并沒有失敗，它將登錄數(shù)據(jù)，如用戶名和口令錄并沒有失敗，它將登錄數(shù)據(jù)，如用戶名和口令寫入到這個(gè)數(shù)據(jù)文件中，留待使用。寫入到這個(gè)數(shù)據(jù)文件中，留待使用。 *網(wǎng)絡(luò)安全概述222口令破解口令破解 破解口令就象是猜測(cè)自行車密碼鎖的數(shù)字破解口令就象是猜測(cè)自行車密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成許多能提高成功組合一樣，在該領(lǐng)域中已形成許多能提高成功率的技巧。率的技巧。 3

14、算法考慮不周算法考慮不周 口令輸入過程必須在滿足一定條件下才能口令輸入過程必須在滿足一定條件下才能正常地工作，這個(gè)過程通過某些算法實(shí)現(xiàn)。在正常地工作，這個(gè)過程通過某些算法實(shí)現(xiàn)。在一些攻擊入侵案例中，入侵者采用超長的字符一些攻擊入侵案例中，入侵者采用超長的字符串破壞了口令算法，成功地進(jìn)入了系統(tǒng)。串破壞了口令算法，成功地進(jìn)入了系統(tǒng)。 *網(wǎng)絡(luò)安全概述234編輯口令編輯口令 編輯口令需要依靠內(nèi)部漏洞，如果公司內(nèi)編輯口令需要依靠內(nèi)部漏洞，如果公司內(nèi)部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含賬戶的口令，這樣，任何知道那個(gè)賬戶的用戶名賬戶的口令，這樣，任何知道那個(gè)賬

15、戶的用戶名和口令的人便可以訪問該機(jī)器了。和口令的人便可以訪問該機(jī)器了。 *網(wǎng)絡(luò)安全概述241竊聽竊聽 對(duì)通信過程進(jìn)行竊聽可達(dá)到收集信息的目對(duì)通信過程進(jìn)行竊聽可達(dá)到收集信息的目的，這種電子竊聽不一定需要竊聽設(shè)備一定安的，這種電子竊聽不一定需要竊聽設(shè)備一定安裝在線纜上，可以通過檢測(cè)從連線上發(fā)射出來裝在線纜上，可以通過檢測(cè)從連線上發(fā)射出來的電磁輻射就能拾取所要的信號(hào)，為了使機(jī)構(gòu)的電磁輻射就能拾取所要的信號(hào)，為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性，可以使用加密手內(nèi)部的通信有一定的保密性，可以使用加密手段來防止信息被解密。段來防止信息被解密。 *網(wǎng)絡(luò)安全概述252撥號(hào)進(jìn)入撥號(hào)進(jìn)入 擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電

16、話號(hào)碼，每擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號(hào)碼，每個(gè)人都可以試圖通過遠(yuǎn)程撥號(hào)訪問網(wǎng)絡(luò)，尤其個(gè)人都可以試圖通過遠(yuǎn)程撥號(hào)訪問網(wǎng)絡(luò)，尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí)，就會(huì)是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí)，就會(huì)對(duì)網(wǎng)絡(luò)造成很大的威脅。對(duì)網(wǎng)絡(luò)造成很大的威脅。 3冒名頂替冒名頂替 通過使用別人的密碼和賬號(hào)時(shí)，獲得對(duì)網(wǎng)通過使用別人的密碼和賬號(hào)時(shí)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、起來并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。了解網(wǎng)絡(luò)和操作過程的人參與。 *網(wǎng)絡(luò)安全概述261病毒病毒 病毒是一

17、種把自己的拷貝附著于機(jī)器中病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在機(jī)器之間傳播。機(jī)器之間傳播。 *網(wǎng)絡(luò)安全概述272代碼炸彈代碼炸彈 是一種具有殺傷力的代碼，其原理是一旦是一種具有殺傷力的代碼，其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn)，或在機(jī)器中發(fā)生了某種到達(dá)設(shè)定的日期或鐘點(diǎn)，或在機(jī)器中發(fā)生了某種操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播，程序員將代代碼炸彈不必像病毒那樣四處

18、傳播，程序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個(gè)不能輕易地碼炸彈寫入軟件中，使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這個(gè)程序員便會(huì)被請(qǐng)回來修正這個(gè)錯(cuò)誤，并賺一筆個(gè)程序員便會(huì)被請(qǐng)回來修正這個(gè)錯(cuò)誤，并賺一筆錢，這種高技術(shù)的敲詐的受害者甚至不知道他們錢，這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了，即便他們有疑心也無法證實(shí)自己的猜被敲詐了，即便他們有疑心也無法證實(shí)自己的猜測(cè)。測(cè)。 *網(wǎng)絡(luò)安全概述283特洛伊木馬特洛伊木馬 特洛伊木馬程序一旦被安裝到機(jī)器上，便特洛伊木馬程序一旦被安裝到機(jī)器上，便可按編制者的意圖行事。特洛伊木馬能夠摧毀

19、數(shù)可按編制者的意圖行事。特洛伊木馬能夠摧毀數(shù)據(jù)，有時(shí)偽裝成系統(tǒng)上已有的程序，有時(shí)創(chuàng)建新?lián)袝r(shí)偽裝成系統(tǒng)上已有的程序，有時(shí)創(chuàng)建新的用戶名和口令。的用戶名和口令。 4更新或下載更新或下載 不同于特洛伊木馬，有些網(wǎng)絡(luò)系統(tǒng)允許通不同于特洛伊木馬，有些網(wǎng)絡(luò)系統(tǒng)允許通過調(diào)制解調(diào)器進(jìn)行固件和操作系統(tǒng)更新，于是非過調(diào)制解調(diào)器進(jìn)行固件和操作系統(tǒng)更新，于是非法闖入者便可以解開這種更新方法，對(duì)系統(tǒng)進(jìn)行法闖入者便可以解開這種更新方法，對(duì)系統(tǒng)進(jìn)行非法更新。非法更新。 *網(wǎng)絡(luò)安全概述29l薄弱的認(rèn)證環(huán)節(jié)薄弱的認(rèn)證環(huán)節(jié) 網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來實(shí)現(xiàn)的，網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來實(shí)現(xiàn)的，但口令有公認(rèn)的薄弱性。網(wǎng)上口令

20、可以通過許但口令有公認(rèn)的薄弱性。網(wǎng)上口令可以通過許多方法破譯，其中最常用的兩種方法是把加密多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過信道竊取口令。的口令解密和通過信道竊取口令。 *網(wǎng)絡(luò)安全概述302.系統(tǒng)的易被監(jiān)視性系統(tǒng)的易被監(jiān)視性 用戶使用用戶使用Telnet或或FTP連接他在遠(yuǎn)程連接他在遠(yuǎn)程主機(jī)上的賬戶，在網(wǎng)上傳的口令是沒有主機(jī)上的賬戶，在網(wǎng)上傳的口令是沒有加密的。入侵者可以通過監(jiān)視攜帶用戶加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的名和口令的IP包獲取它們，然后使用這包獲取它們，然后使用這些用戶名和口令通過正常渠道登錄到系些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是

21、管理員的口令，那統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)級(jí)訪問就變得更容易了。成么獲取特權(quán)級(jí)訪問就變得更容易了。成千上萬的系統(tǒng)就是被這種方式侵入的。千上萬的系統(tǒng)就是被這種方式侵入的。 *網(wǎng)絡(luò)安全概述313.易欺騙性易欺騙性 TCP或或UDP服務(wù)相信主機(jī)的地址。如果使用服務(wù)相信主機(jī)的地址。如果使用“IP Source Routing”，那么攻擊者的主機(jī)就可以冒充一個(gè)被，那么攻擊者的主機(jī)就可以冒充一個(gè)被信任的主機(jī)或客戶。具體步驟：信任的主機(jī)或客戶。具體步驟： 第一，攻擊者要使用那個(gè)被信任的客戶的第一，攻擊者要使用那個(gè)被信任的客戶的IP地址取代自己的地址取代自己的地址；地址； 第二，攻擊者構(gòu)造一

22、條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，第二，攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)；把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)； 第三，攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)；第三，攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)； 第四，服務(wù)器接受客戶申請(qǐng)，就好象是從可信任客戶直接發(fā)出第四，服務(wù)器接受客戶申請(qǐng)，就好象是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)；的一樣，然后給可信任客戶返回響應(yīng)； 第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。*網(wǎng)絡(luò)安全概述324.有缺陷的局

23、域網(wǎng)服務(wù)和相互信任的主有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)機(jī) 主機(jī)的安全管理既困難有費(fèi)時(shí)。為了降低管主機(jī)的安全管理既困難有費(fèi)時(shí)。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如NIS和和NFS之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)庫（如口令文件）以分布式方式管理以及允許系庫（如口令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的管理工作量。但這些服務(wù)帶來了不安全因素，可管理工作量。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問權(quán)。以被有經(jīng)驗(yàn)闖入

24、者利用以獲得訪問權(quán)。 一些系統(tǒng)（如一些系統(tǒng)（如rlogin）處于方便用戶并加強(qiáng)）處于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互“信信任任”。如果一個(gè)系統(tǒng)被侵入或欺騙，那么闖入者。如果一個(gè)系統(tǒng)被侵入或欺騙，那么闖入者來說，獲取那些信任其他系統(tǒng)的訪問權(quán)就很簡單來說，獲取那些信任其他系統(tǒng)的訪問權(quán)就很簡單了。了。 *網(wǎng)絡(luò)安全概述335.復(fù)雜的設(shè)置和控制復(fù)雜的設(shè)置和控制 主機(jī)系統(tǒng)的訪問控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置主機(jī)系統(tǒng)的訪問控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置錯(cuò)誤會(huì)使闖入者獲取訪問權(quán)。一些主要的錯(cuò)誤會(huì)使闖入者獲取訪問權(quán)。一些主要的Unix經(jīng)銷商仍

25、然把經(jīng)銷商仍然把Unix配置成具有最大訪問權(quán)的系統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問。配置成具有最大訪問權(quán)的系統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問。 許多網(wǎng)上的安全事故原因是由于入侵者發(fā)現(xiàn)的弱點(diǎn)造成。許多網(wǎng)上的安全事故原因是由于入侵者發(fā)現(xiàn)的弱點(diǎn)造成。 6.無法估計(jì)主機(jī)的安全性無法估計(jì)主機(jī)的安全性 主機(jī)系統(tǒng)的安全性無法很好的估計(jì)：隨著一個(gè)站點(diǎn)的主機(jī)主機(jī)系統(tǒng)的安全性無法很好的估計(jì)：隨著一個(gè)站點(diǎn)的主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處在高水平的能力卻在數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處在高水平的能力卻在下降。只用管理一臺(tái)系統(tǒng)的能力來管理如此多的系統(tǒng)就容易犯下降。只用管理一臺(tái)系統(tǒng)的能力來管理如此多的系統(tǒng)就容易犯錯(cuò)誤。

26、另一因素是系統(tǒng)管理的作用經(jīng)常變換并行動(dòng)遲緩。這導(dǎo)錯(cuò)誤。另一因素是系統(tǒng)管理的作用經(jīng)常變換并行動(dòng)遲緩。這導(dǎo)致一些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為薄弱環(huán)節(jié)，致一些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為薄弱環(huán)節(jié)，最終將破壞這個(gè)安全鏈。最終將破壞這個(gè)安全鏈。 *網(wǎng)絡(luò)安全概述34l加密機(jī)制加密機(jī)制l訪問控制機(jī)制訪問控制機(jī)制l數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性機(jī)制l數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制l交換鑒別機(jī)制交換鑒別機(jī)制l公證機(jī)制公證機(jī)制l流量填充機(jī)制流量填充機(jī)制l路由控制機(jī)制路由控制機(jī)制 *網(wǎng)絡(luò)安全概述351.1.加密機(jī)制加密機(jī)制 加密是提供信息保密的核心方法。按照密鑰加密是提供信息保密的核心方法。按照密鑰的類

27、型不同，加密算法可分為對(duì)稱密鑰算法和的類型不同，加密算法可分為對(duì)稱密鑰算法和非對(duì)稱密鑰算法兩種。按照密碼體制的不同，非對(duì)稱密鑰算法兩種。按照密碼體制的不同，又可以分為序列密碼算法和分組密碼算法兩種。又可以分為序列密碼算法和分組密碼算法兩種。加密算法除了提供信息的保密性之外，它和其加密算法除了提供信息的保密性之外，它和其他技術(shù)結(jié)合，例如他技術(shù)結(jié)合，例如hash函數(shù)，還能提供信息的函數(shù)，還能提供信息的完整性。完整性。 加密技術(shù)不僅應(yīng)用于數(shù)據(jù)通信和存儲(chǔ)，也加密技術(shù)不僅應(yīng)用于數(shù)據(jù)通信和存儲(chǔ)，也應(yīng)用于程序的運(yùn)行，通過對(duì)程序的運(yùn)行實(shí)行加應(yīng)用于程序的運(yùn)行，通過對(duì)程序的運(yùn)行實(shí)行加密保護(hù)，可以防止軟件被非法復(fù)制

28、，防止軟件密保護(hù)，可以防止軟件被非法復(fù)制，防止軟件的安全機(jī)制被破壞，這就是軟件加密技術(shù)。的安全機(jī)制被破壞，這就是軟件加密技術(shù)。 *網(wǎng)絡(luò)安全概述362.2.訪問控制機(jī)制訪問控制機(jī)制 訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，這種服務(wù)不僅可以提供給單個(gè)用戶，也可統(tǒng)資源，這種服務(wù)不僅可以提供給單個(gè)用戶，也可以提供給用戶組的所有用戶。以提供給用戶組的所有用戶。 訪問控制是通過對(duì)訪問者的有關(guān)信息進(jìn)行檢查訪問控制是通過對(duì)訪問者的有關(guān)信息進(jìn)行檢查來限制或禁止訪問者使用資源的技術(shù)，分為高層訪來限制或禁止訪問者使用資源的技術(shù)，分為高層訪問控制和低層訪問控制。問控制和

29、低層訪問控制。 高層訪問控制包括身份檢查和權(quán)限確認(rèn)，是通高層訪問控制包括身份檢查和權(quán)限確認(rèn)，是通過對(duì)用戶口令、用戶權(quán)限、資源屬性的檢查和對(duì)比過對(duì)用戶口令、用戶權(quán)限、資源屬性的檢查和對(duì)比來實(shí)現(xiàn)的。來實(shí)現(xiàn)的。 低層訪問控制是通過對(duì)通信協(xié)議中的某些特征低層訪問控制是通過對(duì)通信協(xié)議中的某些特征信息的識(shí)別、判斷，來禁止或允許用戶訪問的措施。信息的識(shí)別、判斷，來禁止或允許用戶訪問的措施。如在路由器上設(shè)置過濾規(guī)則進(jìn)行數(shù)據(jù)包過濾，就屬如在路由器上設(shè)置過濾規(guī)則進(jìn)行數(shù)據(jù)包過濾，就屬于低層訪問控制。于低層訪問控制。 *網(wǎng)絡(luò)安全概述373.3.數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性機(jī)制 數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的數(shù)

30、據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的完整性兩個(gè)方面。完整性兩個(gè)方面。 數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)不被破壞和增刪篡改，通常是把包括有數(shù)字簽名的不被破壞和增刪篡改，通常是把包括有數(shù)字簽名的文件用文件用hash函數(shù)產(chǎn)生一個(gè)標(biāo)記，接收者在收到文件函數(shù)產(chǎn)生一個(gè)標(biāo)記，接收者在收到文件后也用相同的后也用相同的hash函數(shù)處理一遍，看看產(chǎn)生的標(biāo)記函數(shù)處理一遍，看看產(chǎn)生的標(biāo)記是否相同就可知道數(shù)據(jù)是否完整。是否相同就可知道數(shù)據(jù)是否完整。 數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序列號(hào)編排的許多單元時(shí)，在接收時(shí)還能按

31、原來的序列號(hào)編排的許多單元時(shí)，在接收時(shí)還能按原來的序列把數(shù)據(jù)串聯(lián)起來，而不要發(fā)生數(shù)據(jù)單元的丟失、列把數(shù)據(jù)串聯(lián)起來，而不要發(fā)生數(shù)據(jù)單元的丟失、重復(fù)、亂序、假冒等情況。重復(fù)、亂序、假冒等情況。 *網(wǎng)絡(luò)安全概述384.4.數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下安全問題：數(shù)字簽名機(jī)制主要解決以下安全問題： 1否認(rèn)：事后發(fā)送者不承認(rèn)文件是他發(fā)送的。否認(rèn)：事后發(fā)送者不承認(rèn)文件是他發(fā)送的。 2偽造：有人自己偽造了一份文件，卻聲稱是某人偽造：有人自己偽造了一份文件，卻聲稱是某人發(fā)送的。發(fā)送的。 3冒充：冒充別人的身份在網(wǎng)上發(fā)送文件。冒充：冒充別人的身份在網(wǎng)上發(fā)送文件。 4篡改：接收者私自篡改文件的內(nèi)

32、容。篡改：接收者私自篡改文件的內(nèi)容。 數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不可偽造性和不可重用性。可偽造性和不可重用性。 *網(wǎng)絡(luò)安全概述395.5.交換鑒別機(jī)制交換鑒別機(jī)制 交換鑒別機(jī)制是通過互相交換信息的方式來確定彼此交換鑒別機(jī)制是通過互相交換信息的方式來確定彼此的身份。用于交換鑒別的技術(shù)有：的身份。用于交換鑒別的技術(shù)有： 1口令：由發(fā)送方給出自己的口令，以證明自己的口令：由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來判斷對(duì)方的身份。身份，接收方則根據(jù)口令來判斷對(duì)方的身份。 2密碼技術(shù)：發(fā)送方和接收方各自掌握的密鑰是成密碼技術(shù)：發(fā)送方和

33、接收方各自掌握的密鑰是成對(duì)的。接收方在收到已加密的信息時(shí)，通過自己掌握的對(duì)的。接收方在收到已加密的信息時(shí)，通過自己掌握的密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰的那個(gè)人。在許多情況下，密碼技術(shù)還和時(shí)間標(biāo)記、同的那個(gè)人。在許多情況下，密碼技術(shù)還和時(shí)間標(biāo)記、同步時(shí)鐘、雙方或多方握手協(xié)議、數(shù)字簽名、第三方公證步時(shí)鐘、雙方或多方握手協(xié)議、數(shù)字簽名、第三方公證等相結(jié)合，以提供更加完善的身份鑒別。等相結(jié)合，以提供更加完善的身份鑒別。 3特征實(shí)物：例如特征實(shí)物：例如IC卡、指紋、聲音頻譜等?？ā⒅讣y、聲音頻譜等。 *網(wǎng)絡(luò)安全概述406.6.公證機(jī)制公證

34、機(jī)制 網(wǎng)絡(luò)上魚龍混雜，很難說相信誰不相信網(wǎng)絡(luò)上魚龍混雜，很難說相信誰不相信誰。同時(shí)，網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)誰。同時(shí)，網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤。為了免得事后說不清，致信息的丟失或延誤。為了免得事后說不清，可以找一個(gè)大家都信任的公證機(jī)構(gòu)，各方的可以找一個(gè)大家都信任的公證機(jī)構(gòu)，各方的交換的信息都通過公證機(jī)構(gòu)來中轉(zhuǎn)。公證機(jī)交換的信息都通過公證機(jī)構(gòu)來中轉(zhuǎn)。公證機(jī)構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù)，日后一構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù)，日后一旦發(fā)生糾紛，就可以據(jù)此做出仲裁。旦發(fā)生糾紛，就可以據(jù)此做出仲裁。 *網(wǎng)絡(luò)安全概述417.7.流量填充機(jī)制流量填充機(jī)制 流量填充機(jī)制提供針對(duì)流量分析的保護(hù)。外流量填充機(jī)制提供針對(duì)流量分析的保護(hù)。外部攻擊者有時(shí)能夠根據(jù)數(shù)據(jù)交換的出現(xiàn)、消失、部攻擊者有時(shí)能夠根