網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件

2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用111.1網(wǎng)絡(luò)安全概述11.1.1網(wǎng)絡(luò)安全的概念

狹義的網(wǎng)絡(luò)安全：是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保障系統(tǒng)能連續(xù)可靠地運行。計算機網(wǎng)絡(luò)安全從本質(zhì)上來講就是系統(tǒng)的信息安全。廣義的網(wǎng)絡(luò)安全：從廣義角度來講，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。它涵蓋了與網(wǎng)絡(luò)系統(tǒng)有關(guān)的所有硬件、軟件、數(shù)據(jù)、管理、環(huán)境等內(nèi)容。我們通常所說的網(wǎng)絡(luò)安全主要是指狹義的網(wǎng)絡(luò)安全。

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用111.1網(wǎng)絡(luò)安2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2網(wǎng)絡(luò)安全包括五個基本要素：機密性、完整性、可用性、可控制性與可審查性。

機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽刂菩裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2網(wǎng)絡(luò)安全包括五個基2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用311.1.2網(wǎng)絡(luò)安全面臨的風(fēng)險

一般認為，目前網(wǎng)絡(luò)安全面臨的風(fēng)險主要有以下五個方面。非授權(quán)訪問：指沒有預(yù)先經(jīng)過同意非法使用網(wǎng)絡(luò)或計算機資源，比如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用；擅自擴大權(quán)限、越權(quán)訪問信息等。信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失。它通常包括信息在傳輸中丟失或泄漏(比如，利用電磁泄漏或搭線竊聽等方式截獲機密信息)；在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽隧道竊取敏感信息等。

破壞數(shù)據(jù)完整性：指以非法手段獲得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。拒絕服務(wù)攻擊：不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)速度減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且很難防范。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用311.1.2網(wǎng)絡(luò)2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用411.1.3安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，它包括三個重要的組成部分。(1)

威嚴(yán)的法律：安全的基石是社會法律、法規(guī)與手段。通過建立一套安全管理標(biāo)準(zhǔn)和方法，即通過建立與信息安全相關(guān)的法律和法規(guī)，可以使非法者懾于法律，不敢輕舉妄動。(2)

先進的技術(shù)：先進的安全技術(shù)是信息安全的根本保障。用戶通過對自身面臨的威脅進行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。(3)

嚴(yán)格的管理：各網(wǎng)絡(luò)使用機構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用411.1.3安全2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用511.1.4

網(wǎng)絡(luò)安全措施既然網(wǎng)絡(luò)中存在諸多安全威脅，就有必要建立完善的網(wǎng)絡(luò)安全策略。在安全策略中技術(shù)措施是網(wǎng)絡(luò)正常運行的保證。網(wǎng)絡(luò)安全措施主要包括口令與訪問控制方式、防火墻技術(shù)、應(yīng)用網(wǎng)關(guān)與代理服務(wù)器技術(shù)、密碼技術(shù)、IP加密技術(shù)和數(shù)字簽名等技術(shù)。

11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用511.1網(wǎng)絡(luò)安2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用611.2.1防火墻的概念防火墻（Firewall）是一種將內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)（Internet）分開的方法或設(shè)備。它檢查到達防火墻兩端的所有數(shù)據(jù)包(無論是輸入還是輸出)，從而決定攔截這個包還是將其放行。防火墻在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間形成一道屏障，使公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立起一個安全網(wǎng)關(guān)（SecurityGateway）。防火墻通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。防火墻的概念模型如下頁圖示。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用611.2.1防火2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用711.2防火墻技術(shù)內(nèi)部端口外部端口防火墻概念模型示意圖2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用711.2防火墻2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用811.2.2防火墻的功能與分類1．

防火墻的功能防火墻一般具有如下三種功能：（1）

忠實執(zhí)行安全策略，限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶。（2）

限定內(nèi)部網(wǎng)絡(luò)用戶訪問特殊網(wǎng)絡(luò)站點，接納外網(wǎng)對本地公共信息的訪問。（3）

具有記錄和審計功能，為監(jiān)視互聯(lián)網(wǎng)安全提供方便。2.

防火墻分類防火墻的主要技術(shù)類型包括數(shù)據(jù)包過濾、應(yīng)用代理服務(wù)器和狀態(tài)檢測三種類型。即包過濾防火墻，應(yīng)用代理服務(wù)器，狀態(tài)檢測防火墻。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用811.2.2防火2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用9

包過濾防火墻數(shù)據(jù)包過濾技術(shù)是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快，邏輯簡單，成本低，易于安裝和使用，網(wǎng)絡(luò)性能和透明度好。其缺點是配置困難，容易出現(xiàn)漏洞，而且為特定服務(wù)開放的端口也存在著潛在危險。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用9包過濾防火墻2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用10

應(yīng)用代理服務(wù)器

應(yīng)用代理服務(wù)器是防火墻的第二代產(chǎn)品，應(yīng)用代理服務(wù)器技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的連接由兩個代理服務(wù)器之間的連接來實現(xiàn)。外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。通過代理服務(wù)器通信的缺點是執(zhí)行速度明顯變慢，操作系統(tǒng)容易遭到攻擊。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用10應(yīng)用代理服務(wù)器2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用11狀態(tài)檢測防火墻狀態(tài)檢測防火墻又稱動態(tài)包過濾防火墻，在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，然后以此決定對該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被中止。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性，根據(jù)協(xié)議、端口號及源地址、目的地址的具體情況確定數(shù)據(jù)包是否可以通過，執(zhí)行速度很快。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用11狀態(tài)檢測防火墻12022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1211.2.3代理服務(wù)器的設(shè)置方法（1）

打開IE瀏覽器，選擇【工具】|【Internet選項】，出現(xiàn)【Internet選項】對話框，選擇【連接】選項卡，如左下圖所示。（2）單擊【局域網(wǎng)設(shè)置】按鈕，出現(xiàn)如右上圖所示的對話框。

11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1211.2.3代2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用13（3）輸入代理服務(wù)器的IP地址和端口數(shù)據(jù)，單擊【高級】按鈕，出現(xiàn)如下圖所示的對話框。（4）

對各種代理服務(wù)輸入代理服務(wù)器的IP地址，并對不使用代理服務(wù)器的連接輸入域名或IP地址，可以使用統(tǒng)配符“*”。依次單擊【確定】按鈕，完成代理服務(wù)器設(shè)置。

11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用13（3）輸入代理服2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1411.3網(wǎng)絡(luò)病毒及其防范

當(dāng)前計算機病毒、網(wǎng)絡(luò)病毒可謂層出不窮、種類繁多、日趨猖獗。網(wǎng)絡(luò)病毒通常是指各種木馬病毒和借助郵件傳播的病毒。

11.3.1特洛伊木馬(Trojan)病毒及其防范

特洛伊木馬是一種黑客程序，從它對被感染電腦的危害性方面考慮，我們不妨稱之為病毒，但它與病毒有些區(qū)別。它一般并不破壞受害者硬盤數(shù)據(jù)，而是悄悄地潛伏在被感染的機器中，一旦這臺機器連接到網(wǎng)絡(luò)，就可能大禍臨頭。黑客通過Internet找到感染病毒的機器，在自己的電腦上遠程操縱它，竊取用戶的上網(wǎng)帳戶和密碼、隨意修改或刪除文件，它對網(wǎng)絡(luò)用戶的威脅極大。用戶的計算機在不知不覺中已經(jīng)被開了個后門，并且受到別人的暗中監(jiān)視與控制。2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1411.3網(wǎng)絡(luò)病2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用15對特洛伊木馬的防范不要輕易泄露你的IP地址，下載來歷不明的軟件時要警惕其中是否隱藏了木馬，使用下載軟件前一定要用木馬檢測工具進行檢查。對付特洛伊木馬除了用手工清除方法外，也可用Lockdown2000等專門的反木馬軟件來清除，還可以用它們來檢測自己機器上是否有已知或未知的木馬程序，實時監(jiān)視自己電腦端口是否有“異常活動”，禁止別人訪問你的機器。一旦有人企圖連接你的機器，他們就會發(fā)出報警聲音，還能對正在掃描你機器的人進行跟蹤，告訴你此人來自何處、正在做什么，提示用戶用專門的反木馬軟件進行清除。11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用15對特洛伊木馬的防2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1611.3.2郵件病毒及其防范

郵件病毒和普通病毒是一樣的，只不過由于它們主要通過電子郵件傳播，所以才稱為“郵件病毒”。它通常借助郵件“附件”夾帶的方法進行擴散，一旦你收到這類E-mail，運行了附件中病毒程序就能使你的電腦染毒。這類病毒本身的代碼并不復(fù)雜，大都是一些腳本，比如Iloveyou病毒，就是一個用VBScript編寫的僅十幾KB的腳本文件，只要收到該病毒的E-mail并打開附件后，病毒就會按照腳本指令，將瀏覽器自動連接上一個網(wǎng)址，下載木馬程序，更改一些文件后綴為.vbs，最后再把病毒自動發(fā)給Outlook通訊薄中的每一個人。11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1611.3.22022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用17對于郵件病毒可以采取以下防范措施：

不要打開陌生人來信中的附件，最好是直接刪除；

不要輕易運行附件中的

.EXE、.COM等可執(zhí)行文件，運行以前要先查殺病毒；

安裝一套可以實時查殺E-mail病毒的防病毒軟件；

收到自認為有趣的郵件時，不要盲目轉(zhuǎn)發(fā)，因為這樣會幫助病毒的傳播；對于通過腳本“工作”的病毒，可以采用在瀏覽器中禁止JAVA或ActiveX運行的方法來阻止病毒的發(fā)作。

11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用17對于郵件病毒可以2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1811.4數(shù)據(jù)加密與數(shù)字證書

11.4.1數(shù)據(jù)加密技術(shù)密碼體制可以分為兩大類：對稱密鑰和非對稱密鑰。

對稱密鑰體制

對稱密鑰（又稱為私鑰密碼）體制使用相同的密鑰加密和解密信息，亦即通信雙方建立并共享一個密鑰。對稱密鑰的工作原理為：用戶A要傳送機密信息給B，則A和B必須共享一個預(yù)先由人工分配或由一個密鑰分發(fā)中心分發(fā)的密鑰K，于是A用密鑰K和加密算法E對明文P加密得到密文C，并將密文C發(fā)送給B；B收到后，用同樣一把密鑰K和解密算法D對密文解密，得到明文P，即還原，全部過程如下頁圖所示。

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1811.4數(shù)據(jù)2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用19對稱密鑰的工作原理示意圖11.4數(shù)據(jù)加密與數(shù)字證書

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用19對稱密鑰的工作原2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用202.非對稱密鑰體制非對稱密鑰體制也稱為公鑰密鑰體制，是現(xiàn)代密碼學(xué)最重要的發(fā)明和進展。非對稱密鑰體制不同于傳統(tǒng)的對稱密鑰體制，它要求密鑰成對出現(xiàn)，一個為公共密鑰，另一個為專用密鑰，且不可能從其中一個推導(dǎo)出另一個。公共密鑰可以發(fā)布出去，專用密鑰要保證絕對的安全。用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。非對稱密鑰體制的原理為：用戶A和用戶B各自擁有一對密鑰（KA、KA-1）和（KB、KB-1）。私鑰KA-1

、KB-1分別由A、B各自保管，而KA、KB則以證書的形式對外公布。當(dāng)A要將明文消息P安全發(fā)送給B時，A用B的公鑰KB加密P得到密文C；而B收到密文P后，用私鑰KB-1解密恢復(fù)明文P。相比之下，公鑰體制不僅可以實現(xiàn)保密通信，而且可以對消息進行數(shù)字簽字。11.4數(shù)據(jù)加密與數(shù)字證書

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用202.2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2111.4.2數(shù)字證書

數(shù)字證書是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份，即要在Internet上解決“我是誰”的問題，就如同現(xiàn)實中我們每個人都擁有一張證明個人身份的身份證一樣。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)電子身份認證中心CA（CertificateAuthority）簽發(fā)的包含公開密鑰、擁有者信息以及發(fā)證機構(gòu)信息的文件。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳輸信息的機密性、完整性以及交易身份的真實性、簽名信息的不可否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。數(shù)字證書采用非對稱密鑰體制。

數(shù)字證書廣泛應(yīng)用于：發(fā)送安全電子郵件，訪問安全站點，網(wǎng)上證券，網(wǎng)上招標(biāo)采購，網(wǎng)上簽約，網(wǎng)上辦公，網(wǎng)上交費，網(wǎng)上稅務(wù)等網(wǎng)上電子交易活動等。11.4數(shù)據(jù)加密與數(shù)字證書

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2111.4.22022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用22習(xí)題十一

1.

狹義的計算機網(wǎng)絡(luò)安全指的是什么？2.

簡述安全策略的三個重要組成部分。3.

什么是防火墻？防火墻分哪幾種類型？4.

如何防范郵件病毒？5.

簡述非對稱加密的原理？6.

什么是數(shù)字證書，有什么作用？2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用22習(xí)題十一2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2311.1網(wǎng)絡(luò)安全概述11.1.1網(wǎng)絡(luò)安全的概念

狹義的網(wǎng)絡(luò)安全：是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保障系統(tǒng)能連續(xù)可靠地運行。計算機網(wǎng)絡(luò)安全從本質(zhì)上來講就是系統(tǒng)的信息安全。廣義的網(wǎng)絡(luò)安全：從廣義角度來講，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。它涵蓋了與網(wǎng)絡(luò)系統(tǒng)有關(guān)的所有硬件、軟件、數(shù)據(jù)、管理、環(huán)境等內(nèi)容。我們通常所說的網(wǎng)絡(luò)安全主要是指狹義的網(wǎng)絡(luò)安全。

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用111.1網(wǎng)絡(luò)安2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用24網(wǎng)絡(luò)安全包括五個基本要素：機密性、完整性、可用性、可控制性與可審查性。

機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽刂菩裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2網(wǎng)絡(luò)安全包括五個基2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2511.1.2網(wǎng)絡(luò)安全面臨的風(fēng)險

一般認為，目前網(wǎng)絡(luò)安全面臨的風(fēng)險主要有以下五個方面。非授權(quán)訪問：指沒有預(yù)先經(jīng)過同意非法使用網(wǎng)絡(luò)或計算機資源，比如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用；擅自擴大權(quán)限、越權(quán)訪問信息等。信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失。它通常包括信息在傳輸中丟失或泄漏(比如，利用電磁泄漏或搭線竊聽等方式截獲機密信息)；在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽隧道竊取敏感信息等。

破壞數(shù)據(jù)完整性：指以非法手段獲得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。拒絕服務(wù)攻擊：不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)速度減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且很難防范。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用311.1.2網(wǎng)絡(luò)2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2611.1.3安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，它包括三個重要的組成部分。(1)

威嚴(yán)的法律：安全的基石是社會法律、法規(guī)與手段。通過建立一套安全管理標(biāo)準(zhǔn)和方法，即通過建立與信息安全相關(guān)的法律和法規(guī)，可以使非法者懾于法律，不敢輕舉妄動。(2)

先進的技術(shù)：先進的安全技術(shù)是信息安全的根本保障。用戶通過對自身面臨的威脅進行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。(3)

嚴(yán)格的管理：各網(wǎng)絡(luò)使用機構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用411.1.3安全2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2711.1.4

網(wǎng)絡(luò)安全措施既然網(wǎng)絡(luò)中存在諸多安全威脅，就有必要建立完善的網(wǎng)絡(luò)安全策略。在安全策略中技術(shù)措施是網(wǎng)絡(luò)正常運行的保證。網(wǎng)絡(luò)安全措施主要包括口令與訪問控制方式、防火墻技術(shù)、應(yīng)用網(wǎng)關(guān)與代理服務(wù)器技術(shù)、密碼技術(shù)、IP加密技術(shù)和數(shù)字簽名等技術(shù)。

11.1網(wǎng)絡(luò)安全概述2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用511.1網(wǎng)絡(luò)安2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2811.2.1防火墻的概念防火墻（Firewall）是一種將內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)（Internet）分開的方法或設(shè)備。它檢查到達防火墻兩端的所有數(shù)據(jù)包(無論是輸入還是輸出)，從而決定攔截這個包還是將其放行。防火墻在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間形成一道屏障，使公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立起一個安全網(wǎng)關(guān)（SecurityGateway）。防火墻通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。防火墻的概念模型如下頁圖示。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用611.2.1防火2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用2911.2防火墻技術(shù)內(nèi)部端口外部端口防火墻概念模型示意圖2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用711.2防火墻2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用3011.2.2防火墻的功能與分類1．

防火墻的功能防火墻一般具有如下三種功能：（1）

忠實執(zhí)行安全策略，限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶。（2）

限定內(nèi)部網(wǎng)絡(luò)用戶訪問特殊網(wǎng)絡(luò)站點，接納外網(wǎng)對本地公共信息的訪問。（3）

具有記錄和審計功能，為監(jiān)視互聯(lián)網(wǎng)安全提供方便。2.

防火墻分類防火墻的主要技術(shù)類型包括數(shù)據(jù)包過濾、應(yīng)用代理服務(wù)器和狀態(tài)檢測三種類型。即包過濾防火墻，應(yīng)用代理服務(wù)器，狀態(tài)檢測防火墻。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用811.2.2防火2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用31

包過濾防火墻數(shù)據(jù)包過濾技術(shù)是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快，邏輯簡單，成本低，易于安裝和使用，網(wǎng)絡(luò)性能和透明度好。其缺點是配置困難，容易出現(xiàn)漏洞，而且為特定服務(wù)開放的端口也存在著潛在危險。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用9包過濾防火墻2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用32

應(yīng)用代理服務(wù)器

應(yīng)用代理服務(wù)器是防火墻的第二代產(chǎn)品，應(yīng)用代理服務(wù)器技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的連接由兩個代理服務(wù)器之間的連接來實現(xiàn)。外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。通過代理服務(wù)器通信的缺點是執(zhí)行速度明顯變慢，操作系統(tǒng)容易遭到攻擊。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用10應(yīng)用代理服務(wù)器2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用33狀態(tài)檢測防火墻狀態(tài)檢測防火墻又稱動態(tài)包過濾防火墻，在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，然后以此決定對該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被中止。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性，根據(jù)協(xié)議、端口號及源地址、目的地址的具體情況確定數(shù)據(jù)包是否可以通過，執(zhí)行速度很快。11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用11狀態(tài)檢測防火墻12022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用3411.2.3代理服務(wù)器的設(shè)置方法（1）

打開IE瀏覽器，選擇【工具】|【Internet選項】，出現(xiàn)【Internet選項】對話框，選擇【連接】選項卡，如左下圖所示。（2）單擊【局域網(wǎng)設(shè)置】按鈕，出現(xiàn)如右上圖所示的對話框。

11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1211.2.3代2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用35（3）輸入代理服務(wù)器的IP地址和端口數(shù)據(jù)，單擊【高級】按鈕，出現(xiàn)如下圖所示的對話框。（4）

對各種代理服務(wù)輸入代理服務(wù)器的IP地址，并對不使用代理服務(wù)器的連接輸入域名或IP地址，可以使用統(tǒng)配符“*”。依次單擊【確定】按鈕，完成代理服務(wù)器設(shè)置。

11.2防火墻技術(shù)2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用13（3）輸入代理服2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用3611.3網(wǎng)絡(luò)病毒及其防范

當(dāng)前計算機病毒、網(wǎng)絡(luò)病毒可謂層出不窮、種類繁多、日趨猖獗。網(wǎng)絡(luò)病毒通常是指各種木馬病毒和借助郵件傳播的病毒。

11.3.1特洛伊木馬(Trojan)病毒及其防范

特洛伊木馬是一種黑客程序，從它對被感染電腦的危害性方面考慮，我們不妨稱之為病毒，但它與病毒有些區(qū)別。它一般并不破壞受害者硬盤數(shù)據(jù)，而是悄悄地潛伏在被感染的機器中，一旦這臺機器連接到網(wǎng)絡(luò)，就可能大禍臨頭。黑客通過Internet找到感染病毒的機器，在自己的電腦上遠程操縱它，竊取用戶的上網(wǎng)帳戶和密碼、隨意修改或刪除文件，它對網(wǎng)絡(luò)用戶的威脅極大。用戶的計算機在不知不覺中已經(jīng)被開了個后門，并且受到別人的暗中監(jiān)視與控制。2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1411.3網(wǎng)絡(luò)病2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用37對特洛伊木馬的防范不要輕易泄露你的IP地址，下載來歷不明的軟件時要警惕其中是否隱藏了木馬，使用下載軟件前一定要用木馬檢測工具進行檢查。對付特洛伊木馬除了用手工清除方法外，也可用Lockdown2000等專門的反木馬軟件來清除，還可以用它們來檢測自己機器上是否有已知或未知的木馬程序，實時監(jiān)視自己電腦端口是否有“異?；顒印保箘e人訪問你的機器。一旦有人企圖連接你的機器，他們就會發(fā)出報警聲音，還能對正在掃描你機器的人進行跟蹤，告訴你此人來自何處、正在做什么，提示用戶用專門的反木馬軟件進行清除。11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用15對特洛伊木馬的防2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用3811.3.2郵件病毒及其防范

郵件病毒和普通病毒是一樣的，只不過由于它們主要通過電子郵件傳播，所以才稱為“郵件病毒”。它通常借助郵件“附件”夾帶的方法進行擴散，一旦你收到這類E-mail，運行了附件中病毒程序就能使你的電腦染毒。這類病毒本身的代碼并不復(fù)雜，大都是一些腳本，比如Iloveyou病毒，就是一個用VBScript編寫的僅十幾KB的腳本文件，只要收到該病毒的E-mail并打開附件后，病毒就會按照腳本指令，將瀏覽器自動連接上一個網(wǎng)址，下載木馬程序，更改一些文件后綴為.vbs，最后再把病毒自動發(fā)給Outlook通訊薄中的每一個人。11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用1611.3.22022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用39對于郵件病毒可以采取以下防范措施：

不要打開陌生人來信中的附件，最好是直接刪除；

不要輕易運行附件中的

.EXE、.COM等可執(zhí)行文件，運行以前要先查殺病毒；

安裝一套可以實時查殺E-mail病毒的防病毒軟件；

收到自認為有趣的郵件時，不要盲目轉(zhuǎn)發(fā)，因為這樣會幫助病毒的傳播；對于通過腳本“工作”的病毒，可以采用在瀏覽器中禁止JAVA或ActiveX運行的方法來阻止病毒的發(fā)作。

11.3網(wǎng)絡(luò)病毒及其防范

2022/11/11計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用17對于郵件病毒可以2022/11/17計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用4011.4數(shù)據(jù)加密與數(shù)字證書

11.4.1數(shù)據(jù)加密技術(shù)密碼體制可以分為兩大類：對稱密鑰和非對稱密鑰。

對稱密鑰體制

對稱密鑰（又稱為私鑰密碼）體制使用相同的密鑰加密和解密信息，亦即通信雙方建立并共享一個密鑰。對稱密鑰的工作原理為：用戶A要傳送機密信息給B，則A和B必須共享一個預(yù)先由人工分配或由一個密鑰分發(fā)中心分發(fā)的密鑰K，于是A用密鑰K和加密算法E對明文P加密得到密文C，并將密文C發(fā)送給B；B