信息安全基礎(chǔ)理論與實(shí)踐課件

2022/12/181信息安全基礎(chǔ)理論與實(shí)踐（CollegeofNetworkEngineering，ChengduUniversityofInformationandTechnology）2022/12/182第1章信息安全基礎(chǔ)2022/12/183學(xué)習(xí)重點(diǎn)：網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)信息安全體系結(jié)構(gòu)與模型信息安全管理體系信息安全評(píng)測(cè)認(rèn)證體系信息安全與法律難點(diǎn)：信息安全與網(wǎng)絡(luò)安全的關(guān)系與區(qū)別信息安全體系結(jié)構(gòu)與模型2022/12/185信息的特性：[1]

普遍性和可識(shí)別性。

[2]儲(chǔ)存性和可處理性。

[3]時(shí)效性和可共享性。[4]增值性和可開(kāi)發(fā)性。[5]可控性和多效用性。此外，信息還具有轉(zhuǎn)換性、可傳遞性、獨(dú)立性和可繼承性等特征。同時(shí)，信息還具有很強(qiáng)的社會(huì)功能，主要表現(xiàn)在資源功能、啟迪功能、教育功能、方法論功能、娛樂(lè)功能和輿論功能等。信息的這些社會(huì)功能都是由信息的基本特征所決定和派生的。由此，可以看到保證信息的安全的重要性！2022/12/1861.2信息安全與網(wǎng)絡(luò)安全

“安全”并沒(méi)有統(tǒng)一的定義，但基本含義可以解釋為：客觀上不存在威脅，主觀上不存在恐懼。信息安全的定義：“信息安全”同樣也沒(méi)有公認(rèn)和統(tǒng)一的定義，但國(guó)內(nèi)外對(duì)信息安全的論述大致可以分成兩大類（廣義上）：一是指具體的信息系統(tǒng)的安全；二是指某一特定信息體系（比如一個(gè)國(guó)家的金融系統(tǒng)、軍事指揮系統(tǒng)等）的安全。但現(xiàn)在很多專家都認(rèn)為這兩種定義均失之于過(guò)窄，目前公認(rèn)的“信息安全”的定義：（一個(gè)國(guó)家的）信息化狀態(tài)和信息技術(shù)體系不受外來(lái)的威脅與侵害。因?yàn)椋盒畔踩?，首先?yīng)該是一個(gè)國(guó)家宏觀的社會(huì)信息化狀態(tài)是否處于自控之下，是否穩(wěn)定的問(wèn)題；其次才是信息技術(shù)的安全問(wèn)題。2022/12/187在網(wǎng)絡(luò)出現(xiàn)以前，信息安全指對(duì)信息的機(jī)密性、完整性和可控性的保護(hù)——面向數(shù)據(jù)的安全?；ヂ?lián)網(wǎng)出現(xiàn)以后，信息安全除了上述概念以外，其內(nèi)涵又?jǐn)U展到面向用戶的安全——鑒別、授權(quán)、訪問(wèn)控制、抗否認(rèn)性和可服務(wù)性以及內(nèi)容的個(gè)人隱私、知識(shí)產(chǎn)權(quán)等的保護(hù)?！@兩者的結(jié)合，即是現(xiàn)代信息安全體系結(jié)構(gòu)。狹義上：因此，在現(xiàn)代信息安全的體系結(jié)構(gòu)中：信息安全包括面向數(shù)據(jù)的安全和面向用戶的安全；即信息安全是指在信息在產(chǎn)生、傳輸、處理和存儲(chǔ)過(guò)程中不被泄露或破壞，確保信息的可用性、保密性、完整性和不可否認(rèn)性，并保證信息系統(tǒng)的可靠性和可控性。2022/12/188不管攻擊者采用什么樣的手段，他們都要通過(guò)攻擊信息的基本屬性來(lái)達(dá)到攻擊的目的。在技術(shù)層次上，信息安全應(yīng)是保證在客觀上杜絕對(duì)信息的安全威脅，使得信息的擁有者在主觀上對(duì)其信息的本源性放心。信息安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下的基本屬性：①保密性（Confidentiality）：保密性是指信息不泄漏給非授權(quán)的個(gè)人、實(shí)體和過(guò)程，或供其使用的特性。②完整性（Integrity）：完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊其最終目的就是破壞信息的完整性。

信息安全的特征2022/12/1810[1]系統(tǒng)安全（實(shí)體安全），即系統(tǒng)運(yùn)行的安全[2]系統(tǒng)中信息的安全，即通過(guò)對(duì)用戶權(quán)限的控制、數(shù)據(jù)加密等確保信息不被非授權(quán)者獲取和篡改。[3]管理安全，即綜合運(yùn)用各種手段對(duì)信息資源和系統(tǒng)運(yùn)行安全進(jìn)行有效的管理。由此，（現(xiàn)代）信息安全應(yīng)包含3層含義：2022/12/1812從用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望所涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免他人或?qū)κ掷酶`聽(tīng)、冒充、篡改和抵賴等手段對(duì)用戶的利益和隱私造成損壞和侵犯，同時(shí)也希望當(dāng)用戶的信息保存在某個(gè)計(jì)算機(jī)系統(tǒng)上時(shí)，不受其他非法用戶的非授權(quán)訪問(wèn)和破壞。從網(wǎng)絡(luò)運(yùn)行和管理者的角度來(lái)說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源的非法占用及非法控制等威脅，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。從安全保密部門的角度來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免其通過(guò)網(wǎng)絡(luò)泄露、避免由于這類信息的泄露對(duì)社會(huì)產(chǎn)生危害，給國(guó)家造成巨大的經(jīng)濟(jì)損失，甚至威脅到國(guó)家安全。2022/12/1814[2]網(wǎng)絡(luò)上系統(tǒng)信息的安全，包括用口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問(wèn)題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。[3]網(wǎng)絡(luò)上信息傳播的安全，即信息傳播后的安全。包括信息過(guò)濾技術(shù)。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果；避免公用通信網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?，本質(zhì)上是維護(hù)道德、法則或國(guó)家利益。[4]網(wǎng)絡(luò)上信息內(nèi)容的安全，它側(cè)重于網(wǎng)絡(luò)信息的保密性、真實(shí)性和完整性；避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽(tīng)、冒充和詐騙等有損用戶的行為，本質(zhì)上是保護(hù)用戶的利益和隱私。2022/12/1815由此可見(jiàn)，網(wǎng)絡(luò)安全與其所保護(hù)的信息對(duì)象有關(guān)，本質(zhì)上是信息的安全期內(nèi)保證其在網(wǎng)絡(luò)上流動(dòng)時(shí)或靜態(tài)存儲(chǔ)時(shí)不被非法用戶所訪問(wèn)，但授權(quán)用戶可以訪問(wèn)。

因此，網(wǎng)絡(luò)安全的結(jié)構(gòu)層次包括：物理安全、安全控制和安全服務(wù)。網(wǎng)絡(luò)安全的主要特征：[1]保密性：指網(wǎng)絡(luò)上的信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供合法用戶使用的特性。[2]完整性：指信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性，也即未經(jīng)授權(quán)不能進(jìn)行改變的特性。2022/12/1816[3]可用性：指當(dāng)需要時(shí)應(yīng)能存取所需的信息，也即可以被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。網(wǎng)絡(luò)環(huán)境下的拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。[4]可控性：指對(duì)信息的傳播及內(nèi)容具有控制的能力。因此，網(wǎng)絡(luò)安全、信息安全研究的內(nèi)容是緊密相關(guān)的，其發(fā)展是相輔相成的。但是信息安全研究領(lǐng)域包括網(wǎng)絡(luò)安全的研究領(lǐng)域。2022/12/1817主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問(wèn)控制技術(shù)加密技術(shù)防火墻與網(wǎng)絡(luò)隔離技術(shù)入侵檢測(cè)與安全審計(jì)技術(shù)黑客與病毒防范技術(shù)操作系統(tǒng)安全技術(shù)數(shù)據(jù)庫(kù)安全技術(shù)數(shù)據(jù)安全技術(shù)信息安全管理技術(shù)信息安全的關(guān)鍵技術(shù)

：2022/12/1818信息安全分類：技術(shù)分類說(shuō)明信息安全監(jiān)察安全監(jiān)控查驗(yàn)發(fā)現(xiàn)違規(guī)確定入侵定位損害監(jiān)控威脅犯罪起訴起訴量刑糾偏建議管理安全技術(shù)管理安全多級(jí)安全用戶鑒別術(shù)的管理多級(jí)安全加密術(shù)的管理密鑰管理術(shù)的管理行政管理安全人員管理系統(tǒng)管理應(yīng)急管理安全應(yīng)急的措施組織入侵的自衛(wèi)與反擊2022/12/18201.3安全威脅與攻擊類型目前，主要以下有10個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題急需解決：(1)信息應(yīng)用系統(tǒng)與網(wǎng)絡(luò)的關(guān)系日益緊密，人們對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)，因而網(wǎng)絡(luò)安全的影響范圍日益擴(kuò)大，建立可信的網(wǎng)絡(luò)信息環(huán)境已成為一個(gè)迫切的需求。(2)網(wǎng)絡(luò)系統(tǒng)中安全漏洞日益增多，不僅技術(shù)上有漏洞，管理上也有漏洞。(3)惡意代碼危害性高。(4)網(wǎng)絡(luò)攻擊技術(shù)日趨復(fù)雜，而攻擊操作容易完成，攻擊工具廣為流行。(5)網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)范操作，常常采取“亡羊補(bǔ)牢”的方式進(jìn)行維護(hù)，導(dǎo)致信息安全共享難度遞增，并留下安全隱患。2022/12/1821(6)網(wǎng)絡(luò)系統(tǒng)有著種類繁多的安全認(rèn)證方式，一方面使得用戶應(yīng)用時(shí)不方便，另一方面也增加了安全管理的工作難度。(7)國(guó)內(nèi)信息化技術(shù)嚴(yán)重依賴國(guó)外，從硬件到軟件都不同程度地受制于人。(8)網(wǎng)絡(luò)系統(tǒng)中軟硬件產(chǎn)品的單一性，易造成大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生，特別是網(wǎng)絡(luò)蠕蟲安全事件的發(fā)生。(9)網(wǎng)絡(luò)安全建設(shè)涉及人員眾多，安全和易用性特別難以平衡。(10)網(wǎng)絡(luò)安全管理問(wèn)題依然是一個(gè)難題，主要有：*用戶安全防范意識(shí)不強(qiáng)。*網(wǎng)絡(luò)服務(wù)配置不當(dāng)，開(kāi)放了過(guò)多的網(wǎng)絡(luò)服務(wù)。*安裝有漏洞的軟件包。*缺省配置。*網(wǎng)絡(luò)系統(tǒng)中軟件不打補(bǔ)丁或補(bǔ)丁不全。2022/12/1823對(duì)于一個(gè)駭客來(lái)說(shuō)，他們只追求入侵的快感，不在乎技術(shù)，他們不會(huì)編程，不知道入侵的具體細(xì)節(jié)?，F(xiàn)狀：在Internet網(wǎng)上，黑客組織有自己的公開(kāi)網(wǎng)站，免費(fèi)提供黑客工具軟件，介紹黑客襲擊方法，出版網(wǎng)上黑客雜志和書籍等等。黑客技術(shù)：是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對(duì)這些缺陷實(shí)施攻擊的技術(shù)。這里說(shuō)的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。

黑客的特點(diǎn)：一般為男性，很少有女性；主要是年輕人；計(jì)算機(jī)迷；聰明；工作狂；對(duì)理解，預(yù)測(cè)和控制極端感興趣。2022/12/1824黑客的類型：惡作劇型隱蔽攻擊型定時(shí)炸彈型矛盾制造型職業(yè)殺手型竊密高手型業(yè)余愛(ài)好型事后報(bào)復(fù)型2022/12/1826例1：利用WindowsXP的AutoRun漏洞刪除硬盤文件。AutoRun是指在WindowsXP系統(tǒng)的計(jì)算機(jī)中插入光盤后，光盤中的Autorun.inf指定的程序被自動(dòng)運(yùn)行的現(xiàn)象。利用WindowsXP的AutoRun漏洞進(jìn)行攻擊的過(guò)程如下：①新建一個(gè)文本文件，輸入以下內(nèi)容：

[AutoRun]Open=run\delc:\test1.txt②保存文件，將該文件重名為Autorun.inf。

③使用光盤刻錄工具刻錄一張光盤，在光盤的根目錄下加入Autorun.inf文件。

④在C盤的根目錄下新建test1.txt文件。

⑤插入光盤并讓其自動(dòng)運(yùn)行。

⑥光盤自動(dòng)運(yùn)行結(jié)束后，查看C盤根目錄，發(fā)現(xiàn)test1.txt文件已被刪除。2022/12/1827例2：利用Foxmail的漏洞取消保護(hù)口令，其步驟如下：①運(yùn)行Foxmail，右擊賬戶名（比如），執(zhí)行“設(shè)置賬戶訪問(wèn)口令”命令，出現(xiàn)如圖4-1所示的對(duì)話框，在其對(duì)話框中輸入口令，單擊“確定”按鈕。

圖4-1設(shè)置賬戶訪問(wèn)口令圖4-2訪問(wèn)口令生效2022/12/1828②關(guān)閉重新打開(kāi)Foxmail，雙擊被保護(hù)的賬戶，出現(xiàn)如圖4-2所示的對(duì)話框，表示訪問(wèn)口令設(shè)置已經(jīng)生效，單擊“取消”按鈕，然后關(guān)閉Foxmail。③通過(guò)“我的電腦”進(jìn)入Foxmail程序的安裝目錄，再進(jìn)入mail\test文件夾，找到保存賬戶配置信息的Account.stg文件，將其刪除。④運(yùn)行Foxmail，雙擊被保護(hù)的賬戶，發(fā)現(xiàn)對(duì)該賬戶的所有操作均可進(jìn)行（這是由于Account.stg文件被刪除后，F(xiàn)oxmail會(huì)自動(dòng)新建一個(gè)空的Account.stg文件，而新建文件的賬戶口令為空值，所以刪除Account.stg文件后可以直接訪問(wèn)被保護(hù)的賬戶）。2022/12/1830

（2）建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號(hào)密碼實(shí)施盜竊。犯罪分子建立起域名和網(wǎng)頁(yè)內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺(tái)極為相似的網(wǎng)站，引誘用戶輸入賬號(hào)密碼等信息，進(jìn)而通過(guò)真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲(chǔ)蓄卡、證券交易卡盜竊資金；還有的利用跨站腳本，即利用合法網(wǎng)站服務(wù)器程序上的漏洞，在站點(diǎn)的某些網(wǎng)頁(yè)中插入惡意Html代碼，屏蔽住一些可以用來(lái)辨別網(wǎng)站真假的重要信息，利用cookies竊取用戶信息。如曾出現(xiàn)過(guò)的某假冒銀行網(wǎng)站，網(wǎng)址為

.，而真正銀行網(wǎng)站是，犯罪分子利用數(shù)字1和字母i非常相近的特點(diǎn)企圖蒙蔽粗心的用戶。又如2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站（網(wǎng)址為

），而真正網(wǎng)站為

，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過(guò)QQ散布“XX集團(tuán)和XX公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，引誘用戶訪問(wèn)，如圖3-17所示。2022/12/1831圖3-17“贈(zèng)送QQ幣”的虛假消息框2022/12/1832一旦訪問(wèn)該網(wǎng)站，首先生成一個(gè)彈出窗口，上面顯示“免費(fèi)贈(zèng)送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時(shí)，惡意網(wǎng)站主頁(yè)面在后臺(tái)即通過(guò)多IE漏洞下載病毒程序lenovo.exe（TrojanDownloader.Rlay），并在2秒鐘后自動(dòng)轉(zhuǎn)向到真正網(wǎng)站主頁(yè)，用戶在毫無(wú)覺(jué)察中就感染了病毒，如圖3-18所示。病毒程序執(zhí)行后，將下載該網(wǎng)站上的另一個(gè)病毒程序bbs5.exe，用來(lái)竊取用戶的傳奇帳號(hào)、密碼和游戲裝備。當(dāng)用戶通過(guò)QQ聊天時(shí)，還會(huì)自動(dòng)發(fā)送包含惡意網(wǎng)址的消息。圖3-18“免費(fèi)贈(zèng)送QQ幣”的虛假消息提示2022/12/1833（3）利用虛假的電子商務(wù)進(jìn)行詐騙。此類犯罪活動(dòng)往往是建立電子商務(wù)網(wǎng)站，或是在比較知名、大型的電子商務(wù)網(wǎng)站上發(fā)布虛假的商品銷售信息，犯罪分子在收到受害人的購(gòu)物匯款后就銷聲匿跡。如2003年，罪犯佘某建立“奇特器材網(wǎng)”網(wǎng)站，發(fā)布出售間諜器材、黑客工具等虛假信息，誘騙顧主將購(gòu)貨款匯入其用虛假身份在多個(gè)銀行開(kāi)立的帳戶，然后轉(zhuǎn)移錢款的案件。除少數(shù)不法分子自己建立電子商務(wù)網(wǎng)站外，大部分人采用在知名電子商務(wù)網(wǎng)站上，如“易趣”、“淘寶”、“阿里巴巴”等，發(fā)布虛假信息，以所謂“超低價(jià)”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產(chǎn)品，或以次充好，以走私貨充行貨，很多人在低價(jià)的誘惑下上當(dāng)受騙。網(wǎng)上交易多是異地交易，通常需要匯款。不法分子一般要求消費(fèi)者先付部分款，再以各種理由誘騙消費(fèi)者付余款或者其他各種名目的款項(xiàng)，得到錢款或被識(shí)破時(shí)，就立即切斷與消費(fèi)者的聯(lián)系。2022/12/1834

（4）利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng)。木馬制作者通過(guò)發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時(shí)，木馬程序即以鍵盤記錄的方式獲取用戶賬號(hào)和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴(yán)重威脅。

如木馬“證券大盜”，它可以通過(guò)屏幕快照將用戶的網(wǎng)頁(yè)登錄界面保存為圖片，并發(fā)送給指定郵箱。黑客通過(guò)對(duì)照?qǐng)D片中鼠標(biāo)的點(diǎn)擊位置，就很有可能破譯出用戶的賬號(hào)和密碼，從而突破軟鍵盤密碼保護(hù)技術(shù)，嚴(yán)重威脅股民網(wǎng)上證券交易安全。（5）利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼。不法分子利用部分用戶貪圖方便設(shè)置弱口令的漏洞，對(duì)銀行卡密碼進(jìn)行破解。如2004年10月，三名犯罪分子從網(wǎng)上搜尋某銀行儲(chǔ)蓄卡卡號(hào)，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手。實(shí)際上，不法分子在實(shí)施網(wǎng)絡(luò)詐騙的犯罪活動(dòng)過(guò)程中，經(jīng)常采取以上幾種手法交織、配合進(jìn)行，還有的通過(guò)手機(jī)短信、QQ、MSN進(jìn)行各種各樣的“網(wǎng)絡(luò)釣魚”不法活動(dòng)。2022/12/1835幾種常用的“釣魚”防范方法：①避免使用搜索引擎：登陸網(wǎng)銀時(shí)盡量避免使用搜索引擎或網(wǎng)絡(luò)實(shí)名，以免混淆視聽(tīng)；最好在正規(guī)銀行網(wǎng)點(diǎn)獲取網(wǎng)絡(luò)銀行網(wǎng)址。②妥善保管數(shù)字證書：避免在公共場(chǎng)所的電腦上使用網(wǎng)銀業(yè)務(wù)，以防數(shù)字證書等機(jī)密資料外泄。③警惕電子郵件等信息：不輕信不明來(lái)歷的郵件、信件、電話、短信等，如收到相應(yīng)信息，請(qǐng)先咨詢銀行部門是否有相應(yīng)信息，然后進(jìn)行操作，以防網(wǎng)絡(luò)釣魚襲擊。④設(shè)置混合密碼、雙密碼：密碼設(shè)置應(yīng)避免與個(gè)人資料相關(guān)，建議選用數(shù)字、字母混合密碼，提高密碼破解難度并妥善保管，保證密碼不易被猜測(cè)。交易密碼盡量與信用卡密碼不同。而且要定期更換密碼。⑤定期查看交易記錄：定期檢查賬戶余額、轉(zhuǎn)賬和支付等業(yè)務(wù)記錄，隨時(shí)掌握賬戶變動(dòng)情況。⑥做好病毒防范：做好防止木馬攻擊與入侵等安全措施，如發(fā)現(xiàn)異常交易及時(shí)與銀行聯(lián)絡(luò)。2022/12/1836病毒技術(shù)：病毒的定義:1994年2月18日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在第二十八條中明確指出：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征可以歸納為人為的特制程序、具有自我復(fù)制能力、很強(qiáng)的傳染性、一定的隱蔽性和潛伏性、特定的觸發(fā)性、很大的破壞性、不可預(yù)見(jiàn)性、針對(duì)性和依附性。

計(jì)算機(jī)病毒的發(fā)展簡(jiǎn)史及流行趨勢(shì)計(jì)算機(jī)病毒（以下簡(jiǎn)稱病毒）的發(fā)展大致可以劃分為初期產(chǎn)生、早期蓬勃發(fā)展和網(wǎng)絡(luò)迅猛泛濫3個(gè)階段。2022/12/1837初期產(chǎn)生

（從1949年到1987年第一只電腦病毒“C-BRAIN”的誕生是病毒的初期產(chǎn)生階段）早期蓬勃發(fā)展（從1987年到1995年網(wǎng)絡(luò)在世界范圍內(nèi)普及前，應(yīng)該是病毒的早期蓬勃發(fā)展階段）網(wǎng)絡(luò)迅猛泛濫（1995年至今，隨著網(wǎng)絡(luò)在世界范圍內(nèi)普及，電腦病毒進(jìn)入了網(wǎng)絡(luò)迅猛泛濫階段）特洛伊木馬

特洛伊木馬（Trojanhorse），其名取自希臘神話“特洛伊木馬記”，是一種基于遠(yuǎn)程控制的黑客工具，簡(jiǎn)稱木馬。它具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦控制端與服務(wù)端連通后，木馬程序通過(guò)竊取手段獲得服務(wù)端的大部分操作權(quán)限，然后大肆竊取密碼、操作文件、修改注冊(cè)表、控制鼠標(biāo)鍵盤、監(jiān)視系統(tǒng)操作等。2022/12/1838木馬的原理

特洛伊木馬（簡(jiǎn)稱木馬）是一種基于C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序。其中，木馬的服務(wù)器端程序可以駐留在目標(biāo)主機(jī)上并以后臺(tái)方式自動(dòng)運(yùn)行。攻擊者使用木馬的客戶端程序與駐留在目標(biāo)主機(jī)上的服務(wù)器木馬程序進(jìn)行通信，進(jìn)而獲取目標(biāo)主機(jī)上的各種信息。例如，竊取用戶口令、復(fù)制或刪除文件、控制目標(biāo)主機(jī)的運(yùn)行狀態(tài)等。一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。木馬攻擊的過(guò)程

木馬攻擊的過(guò)程按木馬攻擊網(wǎng)絡(luò)的原理大致可分為6個(gè)步驟，即配置木馬、傳播木馬、運(yùn)行木馬、信息泄露、建立連接、遠(yuǎn)程控制。

配置木馬是為了實(shí)現(xiàn)木馬偽裝和信息反饋兩個(gè)功能。2022/12/1839傳播木馬主要有兩種方式：一種是通過(guò)E-mail，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬捆綁在軟件安裝程序上，下載后，只要運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝，首先將自身復(fù)制到Windows的系統(tǒng)文件夾中（比如c:\Windows、c:\Windows\system或c:\Windows\temp目錄下），然后在注冊(cè)表、啟動(dòng)組、非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，完成木馬安裝，然后就可以啟動(dòng)木馬了。信息泄漏就是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò)E-mail，IRC或ICO的方式告知控制端用戶。只要控制端和服務(wù)端都在網(wǎng)上，并且服務(wù)端已經(jīng)安裝了木馬，控制端就可以通過(guò)木馬端口與服務(wù)端建立連接。木馬連接成功后，控制端端口和服務(wù)端端口之間將會(huì)出現(xiàn)一條通道，控制端上的控制端程序可借此通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)施破壞活動(dòng)。2022/12/1840

此外，還可以通過(guò)檢查并刪除木馬程序的啟動(dòng)條件來(lái)防范。檢查和清除Windows系統(tǒng)中木馬程序的一般方法如下：①在“開(kāi)始→程序→啟動(dòng)”菜單組中，如果發(fā)現(xiàn)有異常程序，則可直接清除；②在autoexec.bat文件中，如果發(fā)現(xiàn)有類似“win

程序名”的命令行，則在命令中的程序很可能就是木馬程序；③在win.ini文件中，檢查[windows]段上由“run=”和“l(fā)oad=”兩個(gè)項(xiàng)目指定的程序是否有異常，如果有，很可能是木馬，則應(yīng)立即清除；④在system.ini文件中，檢查[boot]段上由“shell=”項(xiàng)指定的程序是否有異常。正常情況下，應(yīng)該為“shell=explorer.exe”，如果變成“shell=explorer.exe

程序名”，則其中的程序名很可能是木馬程序；⑤在注冊(cè)表中，與啟動(dòng)相關(guān)的注冊(cè)表項(xiàng)是需要注意的?？梢允褂胷egedit命令打開(kāi)注冊(cè)表編輯器，然后，依次檢查相關(guān)的注冊(cè)表項(xiàng)的值，如果發(fā)現(xiàn)異常，則需要及時(shí)修正。下列注冊(cè)表項(xiàng)是需要重點(diǎn)檢查的項(xiàng)目?jī)?nèi)容。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_CLASSES_ROOT\exe\open\command

一般采用對(duì)比的方法來(lái)檢查注冊(cè)表項(xiàng)，用正確的注冊(cè)表與當(dāng)前的注冊(cè)表進(jìn)行對(duì)比，從中找出可疑的內(nèi)容。例如，在HKEY_CLASSES_ROOT\exe\open\

command表項(xiàng)中包含的正確值為“"%1"%*”，如果被改為“程序名"%1"*”，則可能是木馬程序名。如果發(fā)現(xiàn)異常程序，除了在上述文件中刪除它們之外，還要找到它們所在的目錄，徹底清除，否則，它們有可能還會(huì)自動(dòng)添加到相應(yīng)的啟動(dòng)位置。2022/12/1841病毒檢測(cè)技術(shù)(1)病毒的傳播途徑計(jì)算機(jī)病毒主要有4種傳播途徑:通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這些設(shè)備通常有計(jì)算機(jī)的專用ASIC芯片和硬盤等。通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播，這些設(shè)備主要包括軟盤、磁帶、移動(dòng)USB盤等。通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道（如手機(jī)）來(lái)傳播病毒。(2)病毒的檢測(cè)方法在檢測(cè)病毒時(shí)，必須保證系統(tǒng)是“清潔”無(wú)毒的。病毒檢測(cè)分為對(duì)內(nèi)存檢測(cè)和對(duì)磁盤檢測(cè)，比如對(duì)磁盤檢測(cè)必須要求內(nèi)存不帶毒，因?yàn)橛行┎《静捎梅锤櫤蛡窝b技術(shù)向檢測(cè)者報(bào)告假情況。啟動(dòng)系統(tǒng)應(yīng)該是上電啟動(dòng)而不是用Ctrl+Alt+Del組合鍵啟動(dòng)，因?yàn)橛行┎《緯?huì)截取鍵盤中斷而將自己仍然留在內(nèi)存中。

病毒的檢測(cè)方法主要有手工檢測(cè)和自動(dòng)檢測(cè)兩種。

2022/12/1842

目前病毒防范產(chǎn)品主要通過(guò)比較法、校驗(yàn)和法、人工智能陷阱法、感染實(shí)驗(yàn)法、掃描法和特征代碼法完成病毒的自動(dòng)檢測(cè)。

比較法是一種較原始的病毒檢測(cè)方法，包括長(zhǎng)度比較法、內(nèi)容比較法、內(nèi)存比較法、中斷比較法等。比較法通過(guò)對(duì)比可疑的和正常的對(duì)象，如果發(fā)現(xiàn)相比較內(nèi)容不一致，就認(rèn)為有病毒存在。

校驗(yàn)和法是根據(jù)文件的內(nèi)容計(jì)算其校驗(yàn)和，并將所有文件的校驗(yàn)和放在資料庫(kù)中。檢測(cè)時(shí)將文件現(xiàn)有內(nèi)容的校驗(yàn)和與資料庫(kù)中的校驗(yàn)和做比較，若不同則判斷其被染毒。其優(yōu)點(diǎn)是可檢測(cè)未知病毒和變種病毒，最大的缺點(diǎn)就是誤判斷高且無(wú)法確認(rèn)是哪種病毒感染的。

人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將病毒所產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存有任何不正常的情況，系統(tǒng)就會(huì)有所警覺(jué)并告知。使用這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快，手續(xù)簡(jiǎn)便且可以檢查到各式病毒；其缺點(diǎn)就是程序設(shè)計(jì)難，且不容易考慮周全。不過(guò)在千變?nèi)f化的病毒世界中，人工智能陷阱掃描技術(shù)是一個(gè)至少具有保全功能完整的新觀點(diǎn)。

感染實(shí)驗(yàn)法是利用病毒的感染特性，在可疑系統(tǒng)中使用或運(yùn)行“干凈”的磁盤或文件，比較運(yùn)行前后文件的校驗(yàn)和以及文件長(zhǎng)度，若發(fā)生改變則已染毒。其優(yōu)點(diǎn)是誤報(bào)警率低，缺點(diǎn)是無(wú)法確定被感染的病毒類型。2022/12/1843實(shí)時(shí)輸入輸出掃描法的目的在于即時(shí)地對(duì)數(shù)據(jù)的輸入/輸出動(dòng)作做病毒碼比對(duì)的動(dòng)作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來(lái)。理論上這樣的即時(shí)掃描技術(shù)會(huì)影響到數(shù)據(jù)的輸入輸出速度，但是使用實(shí)時(shí)掃描技術(shù)文件傳送進(jìn)來(lái)之后就等于掃過(guò)一次毒了。

特征代碼法是從病毒樣本中抽取特征代碼，加入病毒代碼庫(kù)，并檢查被檢測(cè)的文件中是否含有病毒特征代碼，若有則可確定已感染的病毒類型。病毒掃描軟件由病毒代碼庫(kù)和利用代碼庫(kù)進(jìn)行掃描的掃描程序兩部分構(gòu)成。特征代碼法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確、快速、可識(shí)別病毒的名稱。其缺點(diǎn)是不能檢測(cè)未知病毒和變種病毒，需定期更新病毒資料庫(kù)，具有滯后性。

病毒防范技術(shù)計(jì)算機(jī)病毒的防范既是一個(gè)技術(shù)問(wèn)題，也是一個(gè)管理問(wèn)題，應(yīng)從兩個(gè)方面綜合加以防范。計(jì)算機(jī)病毒的防范策略應(yīng)該“預(yù)防為主，治療為輔”，只有這樣才能真正將計(jì)算機(jī)病毒的危害降低到最低限度。(1)單機(jī)下的病毒防范技術(shù)在單機(jī)環(huán)境下的病毒防范，一是要在思想上重視、管理上到位；二是技術(shù)上依靠防殺計(jì)算機(jī)病毒軟件。

安裝和使用最新的正版防殺毒軟件也許是技術(shù)防毒的最佳選擇。針對(duì)國(guó)內(nèi)外不同的病毒，最好同時(shí)在單機(jī)上安裝兩個(gè)以上防毒軟件：一個(gè)應(yīng)該是國(guó)內(nèi)防毒軟件，另一個(gè)應(yīng)該是國(guó)外的防殺毒軟件。需要提醒的是，新病毒與時(shí)俱進(jìn)，層出不窮，任何公司的防/殺病毒產(chǎn)品都不是萬(wàn)能的，各公司防/殺毒軟件應(yīng)當(dāng)交替使用，同時(shí)安裝幾個(gè)防/殺毒軟件（至少兩個(gè)）是非常必要的。另一方面，及時(shí)升級(jí)防/殺毒軟件（一出現(xiàn)新病毒就升級(jí)）是非常重要也是非常必要的。2022/12/1844(2)小型局域網(wǎng)的病毒防范技術(shù)小型局域網(wǎng)主要有NovellNetWare網(wǎng)、WindowsNT網(wǎng)、UNIX/Linux網(wǎng)、簡(jiǎn)單網(wǎng)絡(luò)等。實(shí)施網(wǎng)絡(luò)防毒系統(tǒng)時(shí)，應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)內(nèi)所有可能作為病毒寄居、傳播及受感染的計(jì)算機(jī)進(jìn)行有效防護(hù)。一方面需要對(duì)各種病毒進(jìn)行有效殺、防；另一方面也要強(qiáng)調(diào)網(wǎng)絡(luò)防毒在實(shí)施、操作、維護(hù)和管理中的簡(jiǎn)捷、方便和高效。Novell網(wǎng)防毒當(dāng)前，大多數(shù)的金融、證券等機(jī)構(gòu)的局域網(wǎng)仍然在使用Novell網(wǎng)，它一般由一臺(tái)Novell文件服務(wù)器為中心，再帶許多沒(méi)有軟驅(qū)、光驅(qū)和硬盤的無(wú)盤的工作站。服務(wù)器和工作站之間一般用同軸電纜或雙絞線連接。在Novell網(wǎng)的SFT版本中，文件服務(wù)器為專用服務(wù)器，不支持并發(fā)方式，文件服務(wù)器僅需要在啟動(dòng)時(shí)防毒。文件服務(wù)器的（自舉）啟動(dòng)有軟盤啟動(dòng)（整個(gè)硬盤作為一個(gè)Netware分區(qū)）和硬盤啟動(dòng)（文件服務(wù)器作為一個(gè)活動(dòng)的DOS分區(qū)和一個(gè)Netware分區(qū)）兩種。對(duì)于Novell網(wǎng)來(lái)說(shuō)最危險(xiǎn)的病毒是操作系統(tǒng)病毒。2022/12/1845主要防毒措施如下:①首先要保護(hù)Novell網(wǎng)的文件服務(wù)器。②利用Novell網(wǎng)自身的許多功能來(lái)防毒。③限制用戶權(quán)限或許是最好的防毒方法。UNIX/Linux網(wǎng)絡(luò)防毒

UNIX/Linux網(wǎng)絡(luò)中一般有一臺(tái)或多臺(tái)裝有UNIX/Linux操作系統(tǒng)的計(jì)算機(jī)作Web服務(wù)器、文件服務(wù)器或郵件服務(wù)器；工作站端計(jì)算機(jī)一般裝有Windows操作系統(tǒng)。因此，這種UNIX/Linux網(wǎng)絡(luò)的防毒主要還是基于工作站的單機(jī)防毒。當(dāng)然，UNIX/Linux網(wǎng)絡(luò)對(duì)安全性和用戶權(quán)限的控制還是很嚴(yán)格的，但并不是說(shuō)網(wǎng)絡(luò)就沒(méi)有病毒感染的可能。整個(gè)網(wǎng)絡(luò)必須裝有具有實(shí)時(shí)監(jiān)控能力的殺毒軟件和防止黑客攻擊的黑客掃描軟件。WindowsNT網(wǎng)絡(luò)防毒

更多的公司和企業(yè)的局域網(wǎng)是WindowsNT網(wǎng)絡(luò)，這種網(wǎng)絡(luò)往往由一臺(tái)裝有WindowsNT操作系統(tǒng)的網(wǎng)絡(luò)主控制器作為中心服務(wù)器，管理用戶信息和訪問(wèn)權(quán)限；而工作站則多采用裝有Windows98、Windows2000、WindowsNT獨(dú)立服務(wù)器或工作站的帶有硬盤的計(jì)算機(jī)。中心服務(wù)器主要通過(guò)安裝訪問(wèn)代理（Proxy）接入Internet網(wǎng)絡(luò)，網(wǎng)絡(luò)相對(duì)封閉。WindowsNT網(wǎng)絡(luò)除了對(duì)每個(gè)工作站進(jìn)行單機(jī)防毒外，還要針對(duì)WindowsNT網(wǎng)絡(luò)的特點(diǎn)做好以下防毒措施：網(wǎng)絡(luò)中心服務(wù)器必須采用NTFS分區(qū)格式，防止基于FAT16分區(qū)格式的DOS病毒的感染；嚴(yán)格控制共享文件、共享硬盤和共享光盤的使用，嚴(yán)格控制外來(lái)軟盤光盤的使用；對(duì)用戶的權(quán)限和文件的讀寫加以限制，多數(shù)文件設(shè)置為只讀屬性；服務(wù)器上應(yīng)安裝基于WindowsNT網(wǎng)絡(luò)開(kāi)發(fā)的32位的殺毒軟件，防止病毒在網(wǎng)上傳播；工作站要安裝實(shí)時(shí)監(jiān)視和殺毒軟件，阻止病毒從工作站進(jìn)入網(wǎng)絡(luò)；像單機(jī)防毒一樣，需要及時(shí)更新防/殺毒軟件和防火墻，防止最新出現(xiàn)的病毒攻擊網(wǎng)絡(luò)。2022/12/1846(3)大型網(wǎng)絡(luò)的病毒防范技術(shù)大型網(wǎng)絡(luò)如電子政務(wù)、電子商務(wù)、電信網(wǎng)絡(luò)、銀行網(wǎng)絡(luò)、軍事信息網(wǎng)等雖然數(shù)量不多，但由于是國(guó)家的基礎(chǔ)設(shè)施，關(guān)系國(guó)家安危，所以大型網(wǎng)絡(luò)防毒非常重要。

大型網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全問(wèn)題主要有內(nèi)部網(wǎng)安全問(wèn)題、外部網(wǎng)安全問(wèn)題、應(yīng)用網(wǎng)安全問(wèn)題、網(wǎng)絡(luò)服務(wù)器的安全問(wèn)題以及網(wǎng)絡(luò)防/殺毒軟件的升級(jí)更新問(wèn)題。內(nèi)部網(wǎng)與應(yīng)用業(yè)務(wù)網(wǎng)是物理隔離的，安全狀況相對(duì)會(huì)好一些，基本不存在外部黑客攻擊的問(wèn)題，其最大的安全隱患是來(lái)自內(nèi)部的病毒破壞與一些內(nèi)部用戶的非授權(quán)訪問(wèn)。外部網(wǎng)通過(guò)路由器與電信、聯(lián)通的公眾網(wǎng)絡(luò)直接連接，很可能會(huì)受到公眾網(wǎng)中的不安全因素影響，產(chǎn)生病毒傳播、黑客攻擊、網(wǎng)絡(luò)非授權(quán)訪問(wèn)等安全問(wèn)題。而中層應(yīng)用業(yè)務(wù)網(wǎng)本身的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，核心用戶眾多，雖然一些重要部門之間都安裝了防火墻，但防火墻只能防止黑客的惡意攻擊，沒(méi)有病毒防護(hù)，很容易被一些外部網(wǎng)的黑客型病毒或本網(wǎng)內(nèi)的病毒攻擊。外部網(wǎng)和應(yīng)用業(yè)務(wù)網(wǎng)的防病毒軟件正常升級(jí)相對(duì)方便；內(nèi)部網(wǎng)與外部網(wǎng)和應(yīng)用網(wǎng)絡(luò)隔絕，在不改變內(nèi)部網(wǎng)的物理隔離結(jié)構(gòu)的情況下，應(yīng)該研究出一個(gè)好的升級(jí)方案，做到及時(shí)升級(jí)。2022/12/1847

大型網(wǎng)絡(luò)一般采用一些著名公司的防/殺毒軟件的網(wǎng)絡(luò)版組建一個(gè)分布式防病毒體系，對(duì)整個(gè)網(wǎng)絡(luò)采用分級(jí)管理、多重防護(hù)策略。外部網(wǎng)是整個(gè)網(wǎng)絡(luò)的最外圍，主要是面向大眾訪問(wèn)服務(wù)，并由專業(yè)的ISP負(fù)責(zé)運(yùn)行。病毒防護(hù)主要由ISP承擔(dān)，一般在外部網(wǎng)專設(shè)一臺(tái)服務(wù)器，安裝服務(wù)器版網(wǎng)絡(luò)防/殺病毒軟件，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。除了物理的安全外，基本都是訪問(wèn)控制和授權(quán)方面的，當(dāng)然還需要防止黑客或內(nèi)部網(wǎng)對(duì)內(nèi)部核心網(wǎng)絡(luò)的破壞性攻擊。合適的防火墻可以有效的阻斷和隔離內(nèi)部核心網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，從而從根本上保證了核心網(wǎng)絡(luò)的安全。通過(guò)入侵檢測(cè)系統(tǒng)，可以有效地及早發(fā)現(xiàn)和阻斷對(duì)內(nèi)部核心網(wǎng)絡(luò)的各種攻擊行為，從而降低內(nèi)部核心網(wǎng)絡(luò)被攻破的可能性。（中間業(yè)務(wù)）應(yīng)用網(wǎng)一般結(jié)構(gòu)復(fù)雜、網(wǎng)絡(luò)規(guī)模大。首先，要保障應(yīng)用服務(wù)器的安全。其次，是要保證應(yīng)用數(shù)據(jù)庫(kù)系統(tǒng)的安全。這些區(qū)域系統(tǒng)中心負(fù)責(zé)本區(qū)域內(nèi)網(wǎng)絡(luò)的病毒防護(hù)，對(duì)網(wǎng)絡(luò)內(nèi)的用戶進(jìn)行升級(jí)服務(wù)，統(tǒng)一管理本區(qū)域內(nèi)的網(wǎng)絡(luò)主機(jī)，并通過(guò)超級(jí)中心進(jìn)行升級(jí)。在各個(gè)網(wǎng)絡(luò)內(nèi)部的郵件服務(wù)器部署郵件監(jiān)控系統(tǒng)，對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部、外部的郵件進(jìn)行監(jiān)控，避免郵件以及其他客戶端受到郵件病毒的感染。2022/12/1848

大型網(wǎng)絡(luò)的認(rèn)證系統(tǒng)能提供用戶身份驗(yàn)證服務(wù)，是最重要的安全業(yè)務(wù)。所有的其他安全業(yè)務(wù)都在某種程度上依賴于身份認(rèn)證系統(tǒng)。隨著基于PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)的日益成熟，數(shù)字證書認(rèn)證被認(rèn)為是最理想的認(rèn)證方式。數(shù)字證書不僅可以用于身份認(rèn)證，還可以確保信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送消息的不可否認(rèn)性。

大型網(wǎng)絡(luò)的安全管理看似簡(jiǎn)單，卻是連接整個(gè)安全方案的紐帶。大型網(wǎng)絡(luò)中運(yùn)行著越來(lái)越多的安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒、PKI、VPN等，雖然這些設(shè)備都在一定程度上解決了一系列的安全問(wèn)題，但它們獨(dú)立工作，在網(wǎng)絡(luò)內(nèi)部形成一個(gè)個(gè)安全“孤島”。由于缺少必要的安全管理措施，隨著網(wǎng)絡(luò)內(nèi)外安全威脅的增加，安全狀況并沒(méi)有得到根本的改善，安全風(fēng)險(xiǎn)仍然居高不下。安全管理體系使大型網(wǎng)絡(luò)以最低的成本達(dá)到可接受的安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，其主要功能包括設(shè)備管理、策略管理、事件管理、協(xié)調(diào)管理、配置管理、身份和權(quán)限管理、制度管理、安全審計(jì)、事故管理等。2022/12/1849病毒防范產(chǎn)品介紹(1)病毒防范產(chǎn)品的分類

防毒產(chǎn)品從總體上可以分為硬件和軟件兩大類。硬件主要是防病毒卡。但是由于防病毒卡價(jià)格昂貴、軟件的兼容性差、升級(jí)困難，所以現(xiàn)在很少用，已經(jīng)退出歷史舞臺(tái)。軟件防毒產(chǎn)品是專門為保障計(jì)算機(jī)及其數(shù)據(jù)安全，針對(duì)病毒而設(shè)計(jì)的程序，稱為防（殺）毒軟件。防/殺毒軟件具有價(jià)格便宜、靈活性好的優(yōu)點(diǎn)，被廣泛使用。殺毒軟件種類繁多，主要分為單機(jī)版和網(wǎng)絡(luò)版兩類（前面已介紹過(guò)）。單機(jī)版主要是針對(duì)非聯(lián)網(wǎng)的單機(jī)的病毒的診斷，使用時(shí)必須對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行獨(dú)立操作，并且需人為地定期升級(jí)殺毒軟件。網(wǎng)絡(luò)版主要是針對(duì)局域網(wǎng)用戶的，也可拓展到廣域網(wǎng)用戶，其最大特點(diǎn)是可以通過(guò)殺毒軟件制造商提供的FTP服務(wù)自動(dòng)下載最新病毒碼并進(jìn)行在線升級(jí)，并可根據(jù)用戶制定的殺毒策略對(duì)網(wǎng)絡(luò)中的服務(wù)器和工作站進(jìn)行有重點(diǎn)有步驟地自動(dòng)監(jiān)控殺毒，因此可以減少人為干預(yù)，最大限度地提高殺毒效率。但網(wǎng)絡(luò)版的價(jià)格也遠(yuǎn)遠(yuǎn)高于單機(jī)版，而且視網(wǎng)絡(luò)版所能控制殺毒點(diǎn)的多少而價(jià)格差異較大。2022/12/1850（2）防/殺計(jì)算機(jī)病毒軟件的特點(diǎn)

防/殺病毒軟件一般都有強(qiáng)大的病毒掃描引擎，能夠檢測(cè)并清除傳統(tǒng)的開(kāi)機(jī)型、檔案型、聚集型和復(fù)合型病毒，主動(dòng)檢測(cè)、清除基于Internet全面入侵的Java、ActiveX等惡意程序，還可全面防堵電子郵件病毒入侵，過(guò)濾不良網(wǎng)站所有已知病毒。防/殺毒軟件一般程序短小，占用內(nèi)存少，有極佳的程序相容性和穩(wěn)定性，殺毒界面友好，使用簡(jiǎn)單方便。防/殺毒軟件有強(qiáng)大的技術(shù)支持和在線升級(jí)功能，能及時(shí)提供最新的病毒代碼庫(kù)，升級(jí)方便迅速。（3）對(duì)計(jì)算機(jī)病毒防范產(chǎn)品的要求擁有病毒檢測(cè)掃描器實(shí)時(shí)監(jiān)控程序未知計(jì)算機(jī)病毒的檢測(cè)病毒特征代碼庫(kù)升級(jí)支持FAT32和NTFS等多種分區(qū)格式注重計(jì)算機(jī)病毒檢測(cè)率2022/12/1851（4）常見(jiàn)的計(jì)算機(jī)病毒防范產(chǎn)品目前，國(guó)內(nèi)外常見(jiàn)的計(jì)算機(jī)病毒防范產(chǎn)品有很多，下面簡(jiǎn)要介紹一些常用的病毒防范產(chǎn)品。安全之星KV3000瑞星殺毒軟件KILL金山毒霸PandaAntivirusNortonAnti-VirusMcafeeVirusScanVirusBuster趨勢(shì)科技防毒軟件卡巴斯基防毒軟件360殺毒2022/12/1852網(wǎng)絡(luò)攻擊的類型

（1）口令入侵（2）放置特洛伊木馬程序（3）WWW的欺騙技術(shù)（4）電子郵件攻擊（5）通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)（6）網(wǎng)絡(luò)監(jiān)聽(tīng)（7）利用黑客軟件攻擊（8）安全漏洞攻擊（9）端口掃描攻擊2022/12/1853E-Mail（電子郵件）是Internet最流行的應(yīng)用之一，目前許多信息的交流（包括一些重要的電子文檔）都是通過(guò)電子郵件進(jìn)行的，因此電子郵件的安全問(wèn)題也是目前大家最為關(guān)注的。1．E-Mail郵箱的入侵入侵E-Mail的主要目的是竊取郵箱密碼，入侵的方式主要有針對(duì)POP3郵箱的密碼猜測(cè)攻擊和針對(duì)Web郵箱的密碼猜測(cè)攻擊。（1）針對(duì)POP3郵箱的密碼猜測(cè)攻擊

由于在使用POP3服務(wù)時(shí)，用戶發(fā)送密碼信息在服務(wù)器端進(jìn)行身份驗(yàn)證，因此攻擊者可以通過(guò)發(fā)送POP3連接登錄請(qǐng)求和密碼信息來(lái)猜測(cè)用戶郵箱的密碼。目前，大多數(shù)POP3服務(wù)器沒(méi)有采取錯(cuò)誤連接次數(shù)控制措施，使得利用POP3服務(wù)進(jìn)行字典窮舉攻擊變得簡(jiǎn)單易行。所以針對(duì)POP3郵箱的密碼猜測(cè)攻擊也是目前對(duì)E-Mail郵箱最常用和最快速的攻擊方法。下面說(shuō)明如何利用NoPassword軟件破解POP3郵箱密碼，步驟如下：電子郵件的攻擊與防范2022/12/1854①運(yùn)行NoPassword軟件，首先出現(xiàn)如圖3-19所示的對(duì)話框。圖3-19NoPassword新任務(wù)對(duì)話框②在“服務(wù)器地址”欄中輸入POP3服務(wù)器地址，在“賬號(hào)名稱”欄中輸入POP3郵箱的賬戶名，在“服務(wù)器類型”中選擇POP3，單擊確定按鈕，將出現(xiàn)如圖3-20所示的對(duì)話框。圖3-20NoPassword程序主窗口2022/12/1855③執(zhí)行“攻擊→設(shè)定攻擊線程參數(shù)”命令，將出現(xiàn)如圖3-21所示的對(duì)話框。圖3-21“設(shè)定攻擊線程參數(shù)”對(duì)話框④拖動(dòng)上方的“同時(shí)最大展開(kāi)線程數(shù)目”至最右端，表示同時(shí)打開(kāi)100個(gè)攻擊線程以增加攻擊速度；在“攻擊線程的優(yōu)先級(jí)”中選擇“優(yōu)先”以提高攻擊的速度，單擊“OK”按鈕結(jié)束設(shè)置。⑤執(zhí)行“攻擊→開(kāi)始攻擊”命令，開(kāi)始進(jìn)行攻擊。2022/12/1856（2）針對(duì)Web郵箱的密碼猜測(cè)攻擊

對(duì)于以Web方式登錄的E-Mail服務(wù)器，雖然可以防止攻擊者使用POP3服務(wù)器猜測(cè)郵箱密碼，但是由于用戶的賬號(hào)和密碼是以Http請(qǐng)求方式發(fā)送至E-Mail服務(wù)器的，因此攻擊者可以通過(guò)發(fā)送Http請(qǐng)求來(lái)進(jìn)行密碼猜測(cè)。可以使用“溯雪”軟件對(duì)Web郵箱的密碼進(jìn)行破解，如圖3-22所示。圖3-22“溯雪”軟件界面2022/12/1857（3）抵御E-Mail密碼攻擊的方法實(shí)際上，抵御E-Mail密碼攻擊的最佳方法是加強(qiáng)E-Mail密碼的安全性，密碼要選擇數(shù)字、英文字母（包括大小寫）和特殊字符的組合，切忌使用所崇拜的偶像名字、生日和喜愛(ài)的數(shù)字等作為E-Mail密碼；同時(shí)注意定期或不定期更換密碼。2．E-Mail炸彈攻擊與防御E-Mail炸彈攻擊的思路是利用特定的工具軟件，在一段時(shí)間內(nèi)集中向目標(biāo)機(jī)發(fā)送大量垃圾信息或發(fā)送超出系統(tǒng)接收范圍的信息，是目標(biāo)出現(xiàn)機(jī)負(fù)載過(guò)重、網(wǎng)絡(luò)堵塞等，從而造成目標(biāo)機(jī)拒絕服務(wù)，以至系統(tǒng)崩潰。目前，在網(wǎng)絡(luò)系統(tǒng)中常見(jiàn)的炸彈有：①IP炸彈：是利用Windows系統(tǒng)協(xié)議的漏洞進(jìn)行攻擊，針對(duì)IP地址記下“轟炸”，是目標(biāo)系統(tǒng)斷線、死機(jī)、藍(lán)屏或重新啟動(dòng)；2022/12/1858②E-Mail炸彈：以容量龐大的郵件（隱藏發(fā)送地址）反復(fù)發(fā)送到被攻擊的郵箱，造成信息溢出（擠爆），使被攻擊郵箱不能收到郵件，嚴(yán)重的會(huì)使郵件服務(wù)器癱瘓，不能正常工作；③Java炸彈：由于一些聊天室中可以直接發(fā)送Html語(yǔ)句，攻擊者通過(guò)發(fā)送惡意代碼，使具有漏洞的目標(biāo)機(jī)藍(lán)屏、瀏覽器打開(kāi)無(wú)數(shù)個(gè)窗口或顯示巨大的圖標(biāo)，最終使目標(biāo)機(jī)資源耗盡而死機(jī)；④硬盤炸彈：一般表現(xiàn)為假0道損壞，是硬盤不能啟動(dòng)，是炸彈中危害性最大的之一。（1）E-Mail炸彈攻擊在各種炸彈攻擊中，E-Mail炸彈攻擊時(shí)最常見(jiàn)的攻擊方式。目前，各種E-Mail炸彈工具廣泛流傳，使得任何一個(gè)剛學(xué)會(huì)上網(wǎng)的新手都可以很容易地實(shí)施E-Mail炸彈攻擊。2022/12/1859由于郵件需要空間來(lái)保存，而到來(lái)的郵件信息也需要郵件系統(tǒng)來(lái)處理，過(guò)多的郵件會(huì)加劇網(wǎng)絡(luò)連接的負(fù)擔(dān)、消耗大量的存儲(chǔ)空間；過(guò)多的郵件投遞會(huì)導(dǎo)致系統(tǒng)日志文件容量巨大，甚至溢出文件系統(tǒng)，這將會(huì)給操作系統(tǒng)帶來(lái)風(fēng)險(xiǎn)，除了操作系統(tǒng)有崩潰的危險(xiǎn)之外，由于大量的垃圾郵件涌來(lái)，將會(huì)占用大量的處理器時(shí)間和占據(jù)大量的帶寬，造成正常用戶訪問(wèn)速度急劇下降；因此E-Mail炸彈造成的危害是嚴(yán)重的。此外，對(duì)于大量的個(gè)人免費(fèi)郵箱來(lái)說(shuō)，由于郵箱容量是有限的，一旦郵箱容量超過(guò)限定容量，郵件系統(tǒng)將會(huì)拒絕服務(wù)，即是所謂的郵箱被“擠爆”了。下面利用Wsbomb軟件實(shí)施E-Mail炸彈攻擊，具體步驟如下：①運(yùn)行Wsbomb軟件，出現(xiàn)如圖3-23所示的運(yùn)行界面。②DNS服務(wù)器可自定義為高速DNS地址，也可以取本機(jī)的DNS地址；發(fā)送次數(shù)為每個(gè)郵件的重復(fù)發(fā)送次數(shù)。2022/12/1860③在左邊的“Email地址列表”中輸入對(duì)方的E-Mail地址，一行一個(gè)地址，也可以同時(shí)攻擊多個(gè)郵箱。④分別在“郵件主題”、“發(fā)送人”和“郵件內(nèi)容”中填入相應(yīng)的信息，其中“發(fā)送人”的E-Mail地址可以隨意更改（只要有@符號(hào)就可以了）。

⑤填寫完畢后，單擊“發(fā)送”按鈕即可。圖3-23Wsbomb軟件界面2022/12/1861（2）防御E-Mail炸彈攻擊

排除“E-Mail炸彈”的基本方法就是直接將“炸彈”郵件從郵件服務(wù)器中刪除。目前，大多數(shù)郵件服務(wù)器都具有“遠(yuǎn)程郵箱管理”功能，通過(guò)該功能可以直接對(duì)郵件服務(wù)器中的郵件進(jìn)行刪除、收取等操作。

比如Foxmail中執(zhí)行“工具→遠(yuǎn)程郵箱管理”命令，出現(xiàn)如圖3-24所示的“遠(yuǎn)程郵箱管理”界面，F(xiàn)oxmail連接到郵件服務(wù)器上，取回郵件服務(wù)器中郵件郵件的信息。根據(jù)得到的據(jù)以郵件信息，給服務(wù)器上的郵件打上“暫不收取”、“永不收取”、“收取”、“收取刪除”和“刪除”等5種本圖的標(biāo)記；而對(duì)付“E-Mail郵件炸彈”，直接標(biāo)記為刪除，就可以在服務(wù)器上直接刪除。2022/12/1862圖3-24“遠(yuǎn)程郵箱管理”界面2022/12/18634．垃圾郵件的防御垃圾郵件的種類繁多，給廣大用戶帶來(lái)了很大的郵箱。這種影響不僅是要花費(fèi)人們大量的時(shí)間，而且也帶來(lái)了諸多安全問(wèn)題。首先，垃圾郵件占用了大量的網(wǎng)絡(luò)資源，一些郵件服務(wù)器因?yàn)榘踩圆?，被作為垃圾郵件中轉(zhuǎn)站而被警告、封IP地址等事件時(shí)常發(fā)生，大量消耗的網(wǎng)絡(luò)資源使得正常的業(yè)務(wù)運(yùn)作變得緩慢；其次，隨著國(guó)際上反垃圾郵件的發(fā)展，組之間的黑名單共享、使得無(wú)辜的服務(wù)器被大范圍的屏蔽，這無(wú)疑給正常用戶的使用造成了嚴(yán)重的影響；更為嚴(yán)重的是，垃圾郵件與入侵、病毒等結(jié)合也越來(lái)越緊密，垃圾郵件儼然已成為黑客發(fā)動(dòng)攻擊的重要平臺(tái)。比如，“清醒變種H蠕蟲病毒”在系統(tǒng)目錄中釋放病毒體，向外大量散發(fā)病毒郵件，傳播速度極快；“瑞波變種XG集蠕蟲、后門”等功能于一身，惡意攻擊者可以利用此病毒遠(yuǎn)程控制中毒的計(jì)算機(jī)，對(duì)外發(fā)動(dòng)攻擊或偷竊用戶的資料等。2022/12/1864

詐騙分子以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)帳等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶資金。如一種騙取美邦銀行（SmithBarney）用戶的帳號(hào)和密碼的“網(wǎng)絡(luò)釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設(shè)計(jì)腳本程序，用一個(gè)顯示假地址的彈出窗口（如下圖紅色框）遮擋住了IE瀏覽器的地址欄，使用戶無(wú)法看到此網(wǎng)站的真實(shí)地址。當(dāng)用戶使用未打補(bǔ)丁的Outlook打開(kāi)此郵件時(shí)，狀態(tài)欄顯示的鏈接是虛假的，如圖3-25所示。圖3-25虛假網(wǎng)站示意圖2022/12/1865當(dāng)用戶點(diǎn)擊鏈接時(shí)，實(shí)際連接的是釣魚網(wǎng)站http://**.41.155.60:87/s。該網(wǎng)站頁(yè)面酷似SmithBarney銀行網(wǎng)站的登陸界面，如圖3-26所示。而用戶一旦輸入了自己的帳號(hào)密碼，這些信息就會(huì)被黑客竊取。圖3-26SmithBarney銀行網(wǎng)站的登陸界面2022/12/1866（1）反垃圾郵件技術(shù)目前，反垃圾郵件主要采用關(guān)鍵詞過(guò)濾、黑名單和白名單、HASH技術(shù)、基于規(guī)則的過(guò)濾、智能和概率等技術(shù)。①關(guān)鍵詞過(guò)濾

關(guān)鍵詞過(guò)濾技術(shù)通常是創(chuàng)建一些簡(jiǎn)單或復(fù)雜的與垃圾郵件關(guān)聯(lián)的單詞表來(lái)識(shí)別和處理垃圾郵件。比如某些關(guān)鍵詞大量出現(xiàn)在垃圾郵件中，如一些病毒的郵件標(biāo)題，比如：test。這種方式比較類似反病毒軟件利用的病毒特征一樣?？梢哉f(shuō)這是一種簡(jiǎn)單的內(nèi)容過(guò)濾方式來(lái)處理垃圾郵件，它的基礎(chǔ)是必須創(chuàng)建一個(gè)龐大的過(guò)濾關(guān)鍵詞列表。這種技術(shù)缺陷很明顯，過(guò)濾的能力同關(guān)鍵詞有明顯聯(lián)系，關(guān)鍵詞列表也會(huì)造成錯(cuò)報(bào)可能比較大，當(dāng)然系統(tǒng)采用這種技術(shù)來(lái)處理郵件的時(shí)候消耗的系統(tǒng)資源會(huì)比較多。并且，一般躲避關(guān)鍵詞的技術(shù)比如拆詞，組詞就很容易繞過(guò)過(guò)濾。2022/12/1867②黑名單和白名單

黑名單（BlackList）和白名單（WhiteList）分別是已知的垃圾郵件發(fā)送者或可信任的發(fā)送者IP地址或者郵件地址。目前很多郵件接收端都采用了黑白名單的方式來(lái)處理垃圾郵件，包括MUA(MailUserAgent，即郵件伺服器，負(fù)責(zé)郵件的收發(fā))、MDA(MailDeliveryAgent，即負(fù)責(zé)將MTA所收的信分派到各個(gè)帳戶的郵箱)和MTA(MailTransferAgent,即郵件伺服器，負(fù)責(zé)郵件傳送服務(wù))，當(dāng)然在MTA中使用得更廣泛，這樣可以有效地減少服務(wù)器的負(fù)擔(dān)。③HASH技術(shù)

HASH技術(shù)是郵件系統(tǒng)通過(guò)創(chuàng)建HASH值來(lái)描述郵件內(nèi)容，比如將郵件的內(nèi)容、發(fā)件人等作為參數(shù)，最后計(jì)算得出這個(gè)郵件的HASH值來(lái)描述這個(gè)郵件。如果HASH值相同，那么說(shuō)明郵件內(nèi)容、發(fā)件人等相同。這在一些ISP上在采用，如果出現(xiàn)重復(fù)的HASH值，那么就可以懷疑是大批量發(fā)送郵件了。2022/12/1868④基于規(guī)則的過(guò)濾

基于規(guī)則的過(guò)濾是根據(jù)某些特征（比如單詞、詞組、位置、大小、附件等）來(lái)形成規(guī)則，通過(guò)這些規(guī)則來(lái)描述垃圾郵件，就好比IDS中描述一條入侵事件一樣。要使得過(guò)濾器有效，就意味著管理人員要維護(hù)一個(gè)龐大的規(guī)則庫(kù)。

⑤智能和概率系統(tǒng)智能和概率系統(tǒng)廣泛使用的是貝葉斯(Bayesian)算法，其原理就是檢查垃圾郵件中的詞或字符等，將每個(gè)特征元素（最簡(jiǎn)單的元素就是單詞，復(fù)雜點(diǎn)的元素就是短語(yǔ)）都給出一個(gè)分?jǐn)?shù)（正分?jǐn)?shù)），另一方面就是檢查正常郵件的特征元素，用來(lái)降低得分的（負(fù)分?jǐn)?shù)）。最后郵件整體就得到一個(gè)垃圾郵件總分，通過(guò)這個(gè)分?jǐn)?shù)來(lái)判斷是否是垃圾郵件。2022/12/1869（2）Foxmail反垃圾郵件的設(shè)置

在Foxmail中可以執(zhí)行“郵箱→過(guò)濾器”命令，在出現(xiàn)如圖3-27所示的“過(guò)濾管理器”對(duì)話框中單擊“新建”按鈕；然后在出現(xiàn)的“過(guò)濾器”對(duì)話框中對(duì)郵件的主題、來(lái)源、長(zhǎng)度等規(guī)則對(duì)郵件進(jìn)行過(guò)濾，如圖3-28所示；在Foxmail中可以執(zhí)行“工具→反垃圾郵件功能設(shè)置”命令，在出現(xiàn)如圖3-29所示的“反垃圾郵件設(shè)置”對(duì)話框中包含了Foxmail的發(fā)垃圾郵件功能。圖3-27“過(guò)濾管理器”對(duì)話框2022/12/1870圖3-28“過(guò)濾器”對(duì)話框圖3-29“反垃圾郵件設(shè)置”對(duì)話框2022/12/1871收取郵件時(shí)，F(xiàn)oxmail反垃圾郵件功能是實(shí)現(xiàn)的過(guò)程是這樣的：

①使用“黑名單”對(duì)郵件進(jìn)行判斷，如果發(fā)件人的電子郵件地址或名字包含在黑名單中，則把該郵件作為廢件，刪除到廢件箱中，否則，繼續(xù)進(jìn)行判斷。②使用“白名單”對(duì)郵件進(jìn)行判斷，如果發(fā)件人的電子郵件地址包含在“白名單”中，則把該郵件判定為非垃圾郵件，否則，繼續(xù)進(jìn)行判斷。

③使用“規(guī)則法過(guò)濾”對(duì)郵件進(jìn)行判斷。在Foxmail中定義了完善的垃圾郵件判斷規(guī)則，每條規(guī)則對(duì)應(yīng)一個(gè)分?jǐn)?shù)，當(dāng)郵件符合某一條規(guī)則，則給郵件增加相應(yīng)的分?jǐn)?shù)，當(dāng)郵件得到的分?jǐn)?shù)達(dá)到一定值時(shí)，就把該郵件判定為垃圾郵件，否則，繼續(xù)進(jìn)行判斷。

④使用“貝葉斯過(guò)濾法”對(duì)郵件進(jìn)行判斷。使用貝葉斯過(guò)濾法過(guò)濾垃圾郵件之前，需要首先讓Foxmail學(xué)習(xí)一批垃圾郵件和非垃圾郵件。通過(guò)學(xué)習(xí)垃圾郵件和非垃圾郵件，F(xiàn)oxmail收集郵件中的特征詞語(yǔ)，生成垃圾詞庫(kù)和非垃圾詞庫(kù)。判別郵件時(shí)，根據(jù)“垃圾詞語(yǔ)”和“非垃圾詞語(yǔ)”在郵件中出現(xiàn)的頻率，運(yùn)用一定的算法，判定郵件是否為垃圾郵件。2022/12/1872（3）Web郵箱反垃圾郵件的設(shè)置登錄Web郵箱后，可以進(jìn)行反垃圾郵件的設(shè)置，圖3-30是163郵箱中單擊“設(shè)置”選項(xiàng)后的界面，可以進(jìn)黑名單、白名單和反垃圾郵件級(jí)別等設(shè)置。圖3-30Web郵箱反垃圾郵件的設(shè)置2022/12/1873（4）反垃圾郵件工具軟件

如圖3-31為使用“MailMate垃圾郵件過(guò)濾專家”收到的一封垃圾郵件。可以借助“MailMate垃圾郵件過(guò)濾專家”給垃圾郵件制造者回復(fù)“退回”的錯(cuò)誤信息，告知所發(fā)送的郵箱是無(wú)效的，這樣在一定程度上可以避免免受垃圾郵件的重復(fù)騷亂。圖3-31收到垃圾郵件2022/12/18741.4信息安全服務(wù)與目標(biāo)信息安全服務(wù)與目標(biāo)主要是指保護(hù)信息系統(tǒng)，使其沒(méi)有危險(xiǎn)、不受威脅、不出事故。從技術(shù)角度來(lái)說(shuō)，信息安全服務(wù)與目標(biāo)主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等方面。（1）可靠性：是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。可靠性是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測(cè)度主要有三種：抗毀性、生存性和有效性。可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。

2022/12/1875（2）可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。

可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能?？捎眯砸话阌孟到y(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。（3）保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性。保密性是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。（4）完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲(chǔ)和傳輸。2022/12/1876（5）不可抵賴性也稱作不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中，確信參與者的真實(shí)同一性。（6）可控性是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。總之，網(wǎng)絡(luò)信息安全與保密的核心是通過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲(chǔ)的消息的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等。2022/12/18771.5信息安全技術(shù)要求信息安全保障從保密性、完整性、可用性、可控性、不可否認(rèn)性等安全屬性的需要和預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)及反擊等環(huán)節(jié)提出了諸多的技術(shù)需求。1、網(wǎng)絡(luò)物理安全：是網(wǎng)絡(luò)系統(tǒng)安全、可靠、不間斷運(yùn)行的基本保證

(1)環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)。

(2)設(shè)備安全：網(wǎng)絡(luò)物理實(shí)體要能防范各種自然災(zāi)害，如要防火、防雷、防水。物理實(shí)體要能夠抵抗各種物理臨近攻擊。

(3)媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

2、網(wǎng)絡(luò)認(rèn)證是實(shí)現(xiàn)網(wǎng)絡(luò)資源訪問(wèn)控制的前提和依據(jù)，是有效保護(hù)網(wǎng)絡(luò)管理對(duì)象的重要技術(shù)方法。網(wǎng)絡(luò)認(rèn)證的作用是標(biāo)識(shí)、鑒別網(wǎng)絡(luò)資源訪問(wèn)者身份的真實(shí)性，防止用戶假冒身份訪問(wèn)網(wǎng)絡(luò)資源。

2022/12/18783、網(wǎng)絡(luò)訪問(wèn)控制是有效保護(hù)網(wǎng)絡(luò)管理對(duì)象，使其免受威脅的關(guān)鍵技術(shù)方法。其目標(biāo)主要有兩個(gè)：

(1)限制非法用戶獲取或使用網(wǎng)絡(luò)資源。

(2)防止合法用戶濫用權(quán)限，越權(quán)訪問(wèn)網(wǎng)絡(luò)資源。4、網(wǎng)絡(luò)安全保密的目的就是防止非授權(quán)的用戶訪問(wèn)網(wǎng)上信息或網(wǎng)絡(luò)設(shè)備。5、網(wǎng)絡(luò)安全監(jiān)測(cè)的作用在于發(fā)現(xiàn)綜合網(wǎng)系統(tǒng)入侵活動(dòng)和檢查安全保護(hù)措施的有效性，以便及時(shí)報(bào)警給網(wǎng)絡(luò)安全管理員，對(duì)入侵者采取有效措施，阻止危害擴(kuò)散并調(diào)整安全策略。6、網(wǎng)絡(luò)漏洞評(píng)估用以檢測(cè)網(wǎng)絡(luò)中是否存在安全漏洞，以便網(wǎng)絡(luò)安全管理員根據(jù)漏洞檢測(cè)報(bào)告，制定合適的漏洞管理方法。2022/12/18797、防范惡意代碼是網(wǎng)絡(luò)系統(tǒng)必不可少的安全需求。

8、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

9、網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全的實(shí)現(xiàn)不僅僅取決于某項(xiàng)技術(shù)，而是依賴于一個(gè)網(wǎng)絡(luò)信息安全體系的建立，這個(gè)體系包括安全組織機(jī)構(gòu)、安全制度、安全管理流程、安全人員意識(shí)等。通過(guò)安全體系的建立，可以在最大程度上實(shí)現(xiàn)網(wǎng)絡(luò)的整體安全，滿足企業(yè)或單位安全發(fā)展的要求。2022/12/18801.6網(wǎng)絡(luò)信息安全策略

安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。實(shí)現(xiàn)網(wǎng)絡(luò)安全，不但要靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的管理、法律約束和安全教育，主要包括一下內(nèi)容：（1）威嚴(yán)的法律：安全的基石是社會(huì)法律、法規(guī)和手段，即通過(guò)建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。（2）先進(jìn)的技術(shù)：是信息安全的根本保障，用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要的安全服務(wù)種類。選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。（3）嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。2022/12/1881

信息安全策略是一個(gè)系統(tǒng)的概念，它是信息安全系統(tǒng)的靈魂與核心，任何可靠的信息安全系統(tǒng)都是構(gòu)架在各種安全技術(shù)的集成的基礎(chǔ)上的，而網(wǎng)絡(luò)安信息全策略的提出，正是為了實(shí)現(xiàn)這種技術(shù)的集成?？梢哉f(shuō)網(wǎng)絡(luò)信息安全策略是我們?yōu)榱吮Ｗo(hù)網(wǎng)絡(luò)安全而制定的一系列法律、法規(guī)和措施的總和。物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種盜劫、破壞活動(dòng)的發(fā)生。當(dāng)前制定的網(wǎng)絡(luò)信息安全策略主要包含5個(gè)方面的策略：2022/12/1882（1）入網(wǎng)訪問(wèn)控制：

入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證；用戶口令的識(shí)別與驗(yàn)證；用戶帳號(hào)的缺省限制檢查。（2）網(wǎng)絡(luò)的權(quán)限控制：

網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其它資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。是網(wǎng)絡(luò)安全防范和包含的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。訪問(wèn)控制策略2022/12/1883（3）目錄級(jí)安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄級(jí)制定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步制定對(duì)目錄下的子目錄和文件的權(quán)限。訪問(wèn)權(quán)限一般有8種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。（4）屬性安全控制：當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派的有效權(quán)限。

屬性往往可以控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除文件或目錄、查看目錄和文件、執(zhí)行文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行、修改、顯示等。2022/12/1884（5）網(wǎng)絡(luò)服務(wù)器安全控制：

是在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。服務(wù)器的安全控制包括可以設(shè)置口令來(lái)鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限定、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔等。（6）網(wǎng)絡(luò)檢測(cè)和鎖定控制：

網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形或文字、聲音等形式報(bào)警，以引起管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳號(hào)將被自動(dòng)鎖定。2022/12/1885（7）網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制：

網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別結(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。防火墻控制

它是控制進(jìn)出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證。2022/12/1886信息加密策略信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。常用的方法有鏈路加密、端到端加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)結(jié)點(diǎn)之間的鏈路信息安全；端到端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。網(wǎng)絡(luò)安全管理策略在網(wǎng)絡(luò)信息安全中，除了采用上述措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)信息的安全、可靠地運(yùn)行，將起到十分有效的作用。

網(wǎng)絡(luò)信息安全管理策略包括：確定安全管理的等級(jí)和安全管理的范圍；制定有關(guān)網(wǎng)絡(luò)使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。2022/12/18871.7網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)與模型1.7.1ISO/OSI安全體系結(jié)構(gòu)1982年，開(kāi)放系統(tǒng)互聯(lián)（OSI）基本模型建立之初，就開(kāi)始進(jìn)行OSI安全體系結(jié)構(gòu)的研究。1989年12月ISO頒布了計(jì)算機(jī)信息系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的第二部分，即ISO7498-2標(biāo)準(zhǔn)，并首次確定了開(kāi)放系統(tǒng)互聯(lián)（OSI）參考模型的安全體系結(jié)構(gòu)。我國(guó)將其稱為GB／T9387-2標(biāo)準(zhǔn)，并予以執(zhí)行。ISO安全體系結(jié)構(gòu)包括了三部分內(nèi)容：安全服務(wù)、安全機(jī)制和安全管理。安全服務(wù):ISO安全體系結(jié)構(gòu)確定了五大類安全服務(wù)：1認(rèn)證服務(wù)2訪問(wèn)控制3數(shù)據(jù)保密性4數(shù)據(jù)完整性5不可否認(rèn)（抗抵賴）性2022/12/1888（1）認(rèn)證服務(wù)提供某個(gè)實(shí)體的身份保證。該服務(wù)有兩種類型：

對(duì)等實(shí)體認(rèn)證:這種安全服務(wù)由(N)層提供時(shí)，(N+1)層實(shí)體可確信對(duì)等實(shí)體是它所需要的(N+1)層實(shí)體。

該服務(wù)在建立連接或數(shù)據(jù)傳輸期間的某些時(shí)刻使用，以確認(rèn)一個(gè)或多個(gè)其它實(shí)體連接的一個(gè)或多個(gè)實(shí)體的身份。該服務(wù)在使用期內(nèi)讓使用者確信：某個(gè)實(shí)體沒(méi)有試圖冒充別的實(shí)體，而且沒(méi)有試圖非法重放以前的某個(gè)連接。它們可以實(shí)施單向或雙向?qū)Φ葘?shí)體的認(rèn)證，既可以帶有效期校驗(yàn)，也可以不帶，以提供不同程度的保護(hù)。

數(shù)據(jù)源認(rèn)證在通信的某個(gè)環(huán)節(jié)中，需要確認(rèn)某個(gè)數(shù)據(jù)是由某個(gè)發(fā)送者發(fā)送的。當(dāng)這種安全服務(wù)由(N)層提供時(shí)，可向(N+1)層實(shí)體證實(shí)數(shù)據(jù)源正是它所需要的對(duì)等(N+1)層實(shí)體。2022/12/1889（2）訪問(wèn)控制服務(wù)這種安全服務(wù)提供的保護(hù)，就是對(duì)某一些確知身份限制對(duì)某些資源（這些資源可能是通過(guò)OSI協(xié)議可訪問(wèn)的OSI資源或非OSI資源）的訪問(wèn)。這種安全服務(wù)可用于對(duì)某個(gè)資源的各類訪問(wèn)（如通信資源的利用，信息資源的閱讀、書寫或刪除，處理資源的執(zhí)行等）或用于對(duì)某些資源的所有訪問(wèn)。（3）數(shù)據(jù)保密性服務(wù)這種安全服務(wù)能夠提供保護(hù)，使得信息不泄漏、不暴露給那些未授權(quán)就想掌握該信息的實(shí)體。

連接保密性：向某個(gè)(N)連接的所有(N)用戶數(shù)據(jù)提供保密性。

無(wú)連接保密性：向單個(gè)無(wú)連接(N)安全數(shù)據(jù)單元(SDU)中的所有(N)用戶數(shù)據(jù)提供保密性。

選擇字段保密性：向(N)連接上的(N)用戶數(shù)據(jù)內(nèi)或單個(gè)無(wú)連接(N)SDU中的被選字段提供保密性。

業(yè)務(wù)流保密性：防止通過(guò)觀察業(yè)務(wù)流以得到有用的保密信息。2022/12/1890（4）數(shù)據(jù)完整性服務(wù)這種安全服務(wù)保護(hù)數(shù)據(jù)在存儲(chǔ)和傳輸中的完整性。①帶恢復(fù)的連接完整性：這種安全服務(wù)