信息安全技術(shù)與社會責(zé)任概述

1第4章信息安全技術(shù)與社會責(zé)任第一頁，共六十一頁。224.2計(jì)算機(jī)與網(wǎng)絡(luò)安全基礎(chǔ)4.3網(wǎng)絡(luò)攻防技術(shù)基礎(chǔ)4.1

信息安全基礎(chǔ)概述4.5拓展學(xué)習(xí)（英語）4.4社會責(zé)任與職業(yè)道德第4章信息安全技術(shù)與社會責(zé)任第二頁，共六十一頁?！鞍踩被竞x可以解釋為：客觀上不存在威脅，主觀上不存在恐懼。目前狀況下，“信息安全嗎？？？”簡單問題：若想讓E-mail內(nèi)容不為旁人所知，能否做到？復(fù)雜問題：網(wǎng)上購物，涉及高金額，你敢為之嗎？4.1信息安全基礎(chǔ)概述3第三頁，共六十一頁。

信息是社會發(fā)展的重要戰(zhàn)略資源。網(wǎng)絡(luò)信息安全已成為急待解決、影響國家大局和長遠(yuǎn)利益的重大關(guān)鍵問題，信息安全保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存能力的重要組成部分，是世紀(jì)之交世界各國在奮力攀登的制高點(diǎn)。網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)濟(jì)、文化、社會生活的各個方面，使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險的威脅之中。

---沈昌祥院士信息安全專家4第四頁，共六十一頁。信息安全的例子1988年，美國康乃爾大學(xué)研究生莫里斯利用一種蠕蟲病毒對美國國防部的計(jì)算機(jī)系統(tǒng)發(fā)難，造成連接美國國防部、美軍軍事基地、宇航局和研究機(jī)構(gòu)的6000多臺計(jì)算機(jī)癱瘓數(shù)日，損失達(dá)上億美元。這個程序只有99行，利用了Unix系統(tǒng)中的缺點(diǎn)，用Finger命令查聯(lián)機(jī)用戶名單，然后破譯用戶口令，用Mail系統(tǒng)復(fù)制、傳播本身的源程序，再編譯生成代碼。5第五頁，共六十一頁。計(jì)算機(jī)病毒武器美國是研制計(jì)算機(jī)病毒武器最早的國家之一，早在80年代初,美國國防部便召集部分計(jì)算機(jī)專家,建立了一個代號為“老虎隊(duì)”的組織,專門從事計(jì)算機(jī)病毒武器的研制工作。

進(jìn)入90年代之后,美國軍方竟然開出55萬美元來懸賞新型“病毒”的發(fā)明者，要求新病毒產(chǎn)品比當(dāng)前流行的更精巧,它應(yīng)對敵方有線和無線的計(jì)算機(jī)系統(tǒng)具有感染、潛伏、預(yù)定和需要時激活的破壞功能。圍繞這些技術(shù)要求,已推出了一些用于實(shí)戰(zhàn)的新病毒武器，如“計(jì)算機(jī)病毒槍”,它能從遙遠(yuǎn)的距離“送毒”上門,使對方飛機(jī)、坦克和潛艇等裝備的電子系統(tǒng)“患病”，只需幾秒種就能將其變成廢銅爛鐵。6第六頁，共六十一頁。病毒芯片海灣戰(zhàn)爭期間，美國特工得知伊拉克軍隊(duì)防空指揮系統(tǒng)要從法國進(jìn)口一批電腦，便將帶有計(jì)算機(jī)病毒的芯片隱蔽植入防空雷達(dá)的打印機(jī)中。美國在大規(guī)模戰(zhàn)略空襲發(fā)起前，通過無線遙控方式激活病毒使其發(fā)作，結(jié)果造成伊軍防空預(yù)警、指揮系統(tǒng)和火控系統(tǒng)都陷入癱瘓。7第七頁，共六十一頁。黑客KevinMitink英國電腦奇才凱文，14歲就成功非法侵入英國電信公司電腦系統(tǒng)，大打免費(fèi)電話。后來他出、入世界上防范最嚴(yán)密的系統(tǒng)如入無人之境，如美國空軍、美國宇航局和北約的網(wǎng)絡(luò)。1996年因涉嫌侵入美國空軍指揮系統(tǒng)，被美國中央情報局指控犯有非法入侵罪。8第八頁，共六十一頁。美國“梯隊(duì)”全球監(jiān)聽網(wǎng)為了監(jiān)聽全球信息，美英聯(lián)合建立了代號為“梯隊(duì)”的全球監(jiān)聽網(wǎng)，每天可以窺探全世界30億個電話、電報、文件以及電子郵件的內(nèi)容。2001年該監(jiān)聽網(wǎng)被曝光。美國聯(lián)邦調(diào)查局為了監(jiān)視世界各地通過美國網(wǎng)絡(luò)樞紐傳遞的電子郵件，構(gòu)建了代號為“食肉獸”的電子郵件監(jiān)視系統(tǒng)。該系統(tǒng)安裝在互聯(lián)網(wǎng)內(nèi)容提供商(ISP)的網(wǎng)站中，其速度可以快到每秒鐘監(jiān)視處理數(shù)百萬計(jì)的電子郵件。9第九頁，共六十一頁。棱鏡計(jì)劃（PRISM）

棱鏡計(jì)劃（PRISM）是一項(xiàng)由美國國家安全局（NSA）自2007年小布什時期起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃，該計(jì)劃的正式名號為“US-984XN”。美國情報機(jī)構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數(shù)據(jù)，語音聊天，文件傳輸，視頻會議，登錄時間，社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個秘密監(jiān)視項(xiàng)目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。從歐洲到拉美，從傳統(tǒng)盟友到合作伙伴，從國家元首通話到日常會議記錄；美國驚人規(guī)模的海外監(jiān)聽計(jì)劃在前中情局雇員愛德華·斯諾登的揭露下，有引發(fā)美國外交地震的趨勢。10第十頁，共六十一頁。4.1.1信息安全基本概念由于信息具有抽象性、可塑性、可變性以及多效性等特征，使得它在處理、存儲、傳輸和使用中存在嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞。沈偉光教授指出“信息安全是指人類信息空間和資源的安全”。111.信息安全第十一頁，共六十一頁。2.計(jì)算機(jī)安全國際標(biāo)準(zhǔn)化組織（ISO）定義“所謂計(jì)算機(jī)安全，是指為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄密?！边@里包含了兩方面內(nèi)容：

物理安全指計(jì)算機(jī)系統(tǒng)設(shè)備受到保護(hù)，免于被破壞、丟失等；

邏輯安全指保障計(jì)算機(jī)信息系統(tǒng)的安全，即保障計(jì)算機(jī)中處理信息的完整性、保密性和可用性。12第十二頁，共六十一頁。3.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全問題從本質(zhì)上講是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。13從技術(shù)角度來看，網(wǎng)絡(luò)信息安全主要表現(xiàn)在：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理安全等。網(wǎng)絡(luò)信息安全技術(shù)始終是在“攻”與“守”激烈的智力對抗中不斷發(fā)展的。第十三頁，共六十一頁。信息安全、計(jì)算機(jī)安全和

網(wǎng)絡(luò)安全的關(guān)系信息、計(jì)算機(jī)和網(wǎng)絡(luò)是三位一體、不可分割的整體。信息的采集、加工、存儲是以計(jì)算機(jī)為載體的，而信息的共享、傳輸、發(fā)布則依賴于網(wǎng)絡(luò)系統(tǒng)。如果能夠保障并實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全，就可以保障和實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全和信息安全。因此，網(wǎng)絡(luò)信息安全的內(nèi)容也就包含了計(jì)算機(jī)安全和信息安全的內(nèi)容。信息安全均指網(wǎng)絡(luò)信息安全。14第十四頁，共六十一頁。15154.信息安全的基本要素信息安全的基本要素，主要包括以下五個方面的內(nèi)容：⑴完整性⑵可用性⑶保密性⑷真實(shí)性⑸抗抵賴性第十五頁，共六十一頁。16⑴完整性完整性即要確保信息在生成、存儲和傳輸過程中不被偶然或蓄意地刪除、修改、偽造、插入等破壞和丟失。確保信息完整性的主要手段是：消息摘要。⑵可用性可用性是指要確保信息只能夠由授權(quán)用戶以正確的方式看到。它強(qiáng)調(diào)信息不僅是只能由授權(quán)用戶看到，而且要防范授權(quán)用戶對信息的濫用。在信息安全中，確保可用性的主要手段是數(shù)字信封。在網(wǎng)絡(luò)安全技術(shù)中，確?？捎眯缘闹饕侄问窃L問控制。⑶保密性就是防止信息泄露給非授權(quán)用戶，只允許授權(quán)用戶訪問的特性。在信息安全技術(shù)中，確保保密性的手段就是加密。第十六頁，共六十一頁。17⑷真實(shí)性就是要確保網(wǎng)絡(luò)信息系統(tǒng)的訪問者與其聲稱的身份是一致的；確保網(wǎng)絡(luò)應(yīng)用程序的身份和功能是一致的；確保網(wǎng)絡(luò)信息系統(tǒng)操作的數(shù)據(jù)是真實(shí)有效的數(shù)據(jù)。在網(wǎng)絡(luò)安全技術(shù)中，確保真實(shí)性的主要手段是：身份鑒別。⑸抗抵賴性抗抵賴性又稱為不可抵賴性，或不可否認(rèn)性。它是指在信息交互過程中所有參與者都不能否認(rèn)或抵賴曾經(jīng)完成的操作。在信息安全技術(shù)中，確?？沟仲嚨闹饕侄问牵簲?shù)字簽名第十七頁，共六十一頁。184.1.2密碼技術(shù)的起源與發(fā)展密碼學(xué)是一門古老的科學(xué)，其歷史可以追溯到古代，在其形成和發(fā)展過程中戰(zhàn)爭的刺激和科學(xué)技術(shù)的發(fā)展都起了積極的推動作用。

第十八頁，共六十一頁。隱寫術(shù)通過隱藏消息的存在來保護(hù)消息.隱形墨水字符格式的變化圖像

柯達(dá)相片CD格式的最大分辨率是20483072個像素，每個像素包含24bit的RGB色彩信息。每個24位像素的最低有效位能被改變，而不會明顯影響該圖像的質(zhì)量。這就意味著能夠在一張數(shù)字快照中隱藏一條2.3MB的消息。藏頭詩19第十九頁，共六十一頁。廬劇《無雙緣》早妝未罷暗凝眉，迎戶愁看紫燕飛，無力回天春已老，雙棲畫棟不如歸。20第二十頁，共六十一頁。數(shù)據(jù)加密技術(shù)涉及到的術(shù)語：明文：原本數(shù)據(jù)；密文：加密后的數(shù)據(jù)；密鑰：用它控制加密、解密的過程；加密：把明文轉(zhuǎn)換為密文的過程；加密算法：加密所采用的變換方法；解密：對密文實(shí)施與加密相逆的變換，從而獲得明文的過程。214.1.3古典加密算法及其原理第二十一頁，共六十一頁。221.古典加密算法

⑴斯巴達(dá)加密早在公元前5世紀(jì)，希臘人和斯巴達(dá)人就已經(jīng)開始使用保密通信技術(shù)了。當(dāng)希臘人想和斯巴達(dá)人進(jìn)行秘密通信時，他們要事先找一根棍子，然后將一個細(xì)紙條纏繞在管子上。隨后，沿著棍子的方向進(jìn)行書寫。寫完后，將紙條取下，送給收信人。——那就是一根直徑相同的棍子。

接收到紙條后，收信人要使用一根同樣粗細(xì)的棍子，將紙條重新纏繞起來，顯然，在這里通信的雙方使用了“對稱加密”，它的密鑰是什么呢第二十二頁，共六十一頁。消息的發(fā)送者和接收者各有一張完全相同的帶有許多小孔的掩蔽紙張，而這些小孔的位置是隨機(jī)選擇并被戳穿的。發(fā)送者在紙張的小孔位置寫上秘密消息，然后在剩下的位置補(bǔ)上一段掩飾性的文字。接收者只要將掩蔽紙覆蓋在其上就可立即讀出秘密的消息來。（2）卡丹網(wǎng)格式密碼王先生：來信收悉，你的盛情真是難以報答，我已在昨天抵達(dá)廣州，秋雨連綿，每天需備傘一把方能上街，苦矣。大約本月中旬我才能返回，屆時再見。王先生：來信收悉，你的盛情真是難以報答，我已在昨天抵達(dá)廣州，秋雨連綿，每天需備傘一把方能上街，苦矣。大約本月中旬我才能返回，屆時再見。王先生：來信收悉，你的盛情真是難以報答，我已在昨天抵達(dá)廣州，秋雨連綿，每天需備傘一把方能上街，苦矣。大約本月中旬我才能返回，屆時再見。第二十三頁，共六十一頁。24就是明文中的每一個字符被替換成密文中的另一個字符。接收者對密文做反向替換就可以恢復(fù)出明文。第一個是利用“移位替換”原理的凱撒密碼。

CaesarCipher,c.50B.C.將字母循環(huán)前移3位ABCDEFG……XYZdefghij……abc明文:CAESARCIPHERISASHIFTSUBSTITUTION密文:fdhvduflskhulvdvkliwvxevwlwxwlrq(3)替換密碼（substitutioncipher)第二十四頁，共六十一頁。25又稱換位密碼（transpositioncipher)，明文的字母保持相同，但順序被打亂了。key:4312567plaintext:ATTACKPOSTPONEDUNTiLTWOAMXYZciphertext:ttnaaptmtsuoaodwcoixpetz(4)置換密碼(transpositioncipher)第二十五頁，共六十一頁。相同密鑰&#&#發(fā)方收方明文密文明文密文單鑰（對稱）加密體制代表算法

DESIDEAAES密碼體制一個密碼系統(tǒng)采用的基本工作方式稱為密碼體制。26第二十六頁，共六十一頁。加密密鑰&#&#發(fā)方收方明文密文明文密文雙鑰(公鑰)加密體制解密密鑰認(rèn)證中心公鑰(可以公開)私鑰(必須保密)代表算法

RSA

橢圓曲線27第二十七頁，共六十一頁。（1）身份認(rèn)證可分為兩大類：

身份證實(shí)。即只對個人身份進(jìn)行肯定或否定。一般方法是輸入個人信息，經(jīng)公式和算法運(yùn)算所得的結(jié)果與從卡上或庫中存的信息經(jīng)公式和算法運(yùn)算所得結(jié)果進(jìn)行比較，得出結(jié)論。

身份識別。一般方法是輸入個人信息，經(jīng)處理提取成模板信息、試著在存儲數(shù)據(jù)庫中搜索找出一個與之匹配的模板，而后給出結(jié)論。身份識別要比身份證明難得多。1.身份認(rèn)證284.1.4常見的信息安全機(jī)制第二十八頁，共六十一頁。

所有（Possesses）所知（Knowlege）個人特征（charecteristics）

所知。個人所知道的或所掌握的知識，如密碼、口令等。所有。個人所具有的東西，如身份證、護(hù)照、信用卡、鑰匙等。個人特征。身份證明的基本途徑指紋、筆跡、聲紋、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA以及個人一些動作方面的特征等。（2）實(shí)現(xiàn)身份證明的基本途徑29第二十九頁，共六十一頁。

數(shù)字摘要就是將任意長度的信息或文本變成固定長度的一個值，該值由一個單向Hash函數(shù)對消息進(jìn)行作用而產(chǎn)生。

數(shù)字摘要=hash（消息）

由于摘要是唯一的，因而提供了信息的完整性和認(rèn)證。2.數(shù)字摘要M

用戶B終點(diǎn)C比較||hashH(M)用戶A源點(diǎn)HashM

30當(dāng)A要向B發(fā)消息，確信或已知消息正確時，計(jì)算消息摘要，并將它附加在消息的后面，然后發(fā)往預(yù)定的接收者B。接收者B使用相同的算法，對收到的消息計(jì)算得出新的摘要值，再將收到的摘要值與計(jì)算得出的摘要值進(jìn)行比較。第三十頁，共六十一頁。3.CA與數(shù)字證明書誰來證明公開密鑰的持有者是合法的？目前通行的做法是采用數(shù)字證明書來證實(shí)。數(shù)字證明書的作用如同司機(jī)的駕駛執(zhí)照、出國人員的護(hù)照、專業(yè)人員的專業(yè)資格證明書。通過一個可信的第三方機(jī)構(gòu)，審核用戶的身份信息和公開鑰信息，然后進(jìn)行數(shù)字簽名。從而確保用戶的身份信息和公鑰信息的一一對應(yīng)?？尚诺牡谌綑C(jī)構(gòu)，一般稱為數(shù)字證書認(rèn)證中心CA（CertificateAuthority）。由用戶身份信息、用戶公鑰信息以及可信第三方機(jī)構(gòu)所作的簽名構(gòu)成用戶的身份數(shù)字證書。31第三十一頁，共六十一頁。4.數(shù)字簽名技術(shù)現(xiàn)實(shí)生活中，防偽造和抗抵賴的重要手段就是簽名。銀行取款要簽名，簽訂買賣合同也要簽名。傳統(tǒng)簽名的驗(yàn)證是通過與存檔手跡對比來確定真?zhèn)蔚?。那么，在網(wǎng)絡(luò)世界里，我們沒有了紙質(zhì)文檔，怎樣才能防偽造和抗抵賴呢？數(shù)字簽名是模擬現(xiàn)實(shí)生活中的筆跡簽名，它要解決如何有效的防止通信雙方的欺騙和抵賴行為。與加密不同，數(shù)字簽名的目的是為了保證信息的完整性和真實(shí)性。數(shù)字簽名的主要算法是：Hash簽名和RSA簽名。32第三十二頁，共六十一頁。33⒌數(shù)字信封

在現(xiàn)實(shí)生活中，當(dāng)我們需要與另外一個人進(jìn)行保密通信時，我們可以寫信，通過把信件內(nèi)容封裝起來，防止別人偷看。在網(wǎng)絡(luò)世界里，為了實(shí)現(xiàn)保密通信可以使用數(shù)字信封。數(shù)字信封技術(shù)結(jié)合了對稱密鑰和公開密鑰加密技術(shù)的優(yōu)點(diǎn)，把對稱密鑰的快速，低成本和非對稱密鑰的有效性結(jié)合在一起，可克服對稱密鑰加密中密鑰分發(fā)困難和公開密鑰中加密時間長的問題。明文信息密文信息密文信息明文信息加密解密用用戶B的公鑰對密鑰進(jìn)行加密用戶B用自己的私鑰對密鑰解密對稱密鑰解密用戶A用戶B對稱密鑰第三十三頁，共六十一頁。344.3.2網(wǎng)絡(luò)攻擊的信息收集技術(shù)4.3.3常見的網(wǎng)絡(luò)攻擊技術(shù)4.3.1

黑客攻擊的五部曲4.3.4常見的網(wǎng)絡(luò)防御技術(shù)第3節(jié)網(wǎng)絡(luò)攻范技術(shù)基礎(chǔ)第三十四頁，共六十一頁。35

黑客攻擊一般依據(jù)下圖所示的4個步驟，通常稱之為黑客攻擊四部曲：4.3.1黑客攻擊的四部曲黑客攻擊步驟第三十五頁，共六十一頁。361.第一步：隱藏自己，搜集信息

實(shí)施攻擊的第一步就是隱藏自己。在網(wǎng)絡(luò)上，黑客主要隱藏的是自己主機(jī)的IP地址。

接下來就是搜集信息。黑客首先要確定攻擊的目標(biāo)主機(jī)，并收集目標(biāo)主機(jī)的相關(guān)信息，這個過程被稱為踩點(diǎn)、掃描或者查點(diǎn)。4.3.1黑客攻擊的四部曲第三十六頁，共六十一頁。37

搜集的主要信息包括：

①網(wǎng)絡(luò)上有哪些活動的主機(jī)，主機(jī)的IP地址是多少。

活動（在線）主機(jī)的檢測可以通過Ping掃描來實(shí)現(xiàn)，簡單地說：就是從IP地址的低端到高端依次發(fā)送Ping命令，收到回應(yīng)的IP地址就說明有主機(jī)在線。4.3.1黑客攻擊的四部曲第三十七頁，共六十一頁。38

②目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，包括：目標(biāo)網(wǎng)絡(luò)中的網(wǎng)關(guān)、路由器、防火墻、入侵檢測系統(tǒng)的部署情況等。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)探測的最簡單工具就是用tracert命令追蹤路由。當(dāng)然，也可以發(fā)一些數(shù)據(jù)包，看其是否能通過來猜測防火墻過濾規(guī)則的設(shè)定等。4.3.1黑客攻擊的四部曲第三十八頁，共六十一頁。39

③收集目標(biāo)主機(jī)操作系統(tǒng)的類型、版本；安裝的軟件、提供的服務(wù)和開放的端口；以及目標(biāo)主機(jī)存在的安全漏洞等。

關(guān)于這方面的信息收集，有很多可用的工具（Nmap、netcat；nessus、Scanner）。

信息收集得越全面、越詳細(xì)，下一步的攻擊才會越有效、越容易。4.3.1黑客攻擊的四部曲第三十九頁，共六十一頁。402.第二步：獲取權(quán)限，實(shí)施攻擊

攻擊者針對系統(tǒng)的安全弱點(diǎn)、漏洞發(fā)起攻擊。系統(tǒng)漏洞一般分為遠(yuǎn)程漏洞和本地漏洞兩大類。

遠(yuǎn)程攻擊的時候，黑客一般只能利用系統(tǒng)的遠(yuǎn)程漏洞獲取一個普通用戶的權(quán)限（一個受限用戶權(quán)限，例如不能擅自安裝軟件，不能添加用戶賬號等）。黑客還會進(jìn)一步利用本地漏洞提升自己的訪問權(quán)限，達(dá)到系統(tǒng)管理員權(quán)限。然后，利用系統(tǒng)管理員權(quán)限進(jìn)行監(jiān)聽、刪除日志操作、安裝木馬后門等。4.3.1黑客攻擊的四部曲/

各種不同操作系統(tǒng)下的漏洞消息第四十頁，共六十一頁。413.第三步：深入攻擊，保住戰(zhàn)果

為了長期保持對目標(biāo)主機(jī)的控制權(quán)，黑客首次攻入一個系統(tǒng)后，一般會在系統(tǒng)中安裝木馬或者后門程序。木馬和后門為黑客長期控制目標(biāo)系統(tǒng)提供了技術(shù)上的保障。4.3.1黑客攻擊的四部曲第四十一頁，共六十一頁。424.最后一步：消除痕跡，打掃戰(zhàn)場，進(jìn)行潛伏

通常，所有的網(wǎng)絡(luò)操作系統(tǒng)都會提供日志功能，日志會把系統(tǒng)上發(fā)生的所有事件都記錄下來。黑客入侵完畢，準(zhǔn)備退出系統(tǒng)前也要清除系統(tǒng)相關(guān)的日志。最簡單的辦法就刪除整個日志，但是，這樣做很容易被系統(tǒng)管理員發(fā)現(xiàn)。更為隱蔽的做法是：清除入侵相關(guān)的日志記錄。另外，除了系統(tǒng)日志外，有些計(jì)算機(jī)還安裝了專業(yè)的審計(jì)系統(tǒng)，清除這些審計(jì)系統(tǒng)中的相關(guān)記錄也是一件技術(shù)含量很高的工作。最后，如果黑客訪問了系統(tǒng)文件，為了實(shí)現(xiàn)隱藏，還需要修改文件的訪問日期。4.3.1黑客攻擊的四部曲第四十二頁，共六十一頁。431.病毒（1）病毒定義及分類

計(jì)算機(jī)病毒（Virus）是人為制造的、隱藏在軟件中的惡意程序段。之所以稱之為病毒，是因?yàn)樗鼈兙哂猩锊《鞠嗤幕咎匦裕@些基本特性主要指的是病毒的傳染性、繁殖性、破壞性等。4.3.4常見的網(wǎng)絡(luò)防御技術(shù)第四十三頁，共六十一頁。44病毒傳統(tǒng)病毒宏病毒惡意腳本木馬程序黑客程序蠕蟲程序破壞性程序是能夠感染的程序，通過改變文件或者其他東西進(jìn)行傳播。通常分為文件型病毒和引導(dǎo)型病毒。（Macro）利用Word、Excel等的宏腳本功能進(jìn)行傳播的病毒。（Script）是以破壞為目的的腳本程序，包括HTML腳本、批處理腳本、VB、JS腳本等。（Trojan）在用戶不知情的情況下安裝，隱藏在后臺的程序。（Hack）利用網(wǎng)絡(luò)來攻擊其他計(jì)算機(jī)的網(wǎng)絡(luò)工具（Worm）病毒是一種可以利用操作系統(tǒng)的漏洞、電子郵件、P2P軟件等自動傳播自身的病毒。（Harm）病毒啟動后，破壞用戶計(jì)算機(jī)系統(tǒng)，如刪除文件、格式化硬盤等。（2）病毒分類第四十四頁，共六十一頁。45殺毒軟件通常由掃描器、病毒庫與虛擬機(jī)組成。

掃描器用來掃描病毒，它是殺毒軟件的核心，通過計(jì)算機(jī)掃描文件、扇區(qū)和系統(tǒng)內(nèi)存等發(fā)現(xiàn)病毒；病毒庫存儲病毒的特征碼；虛擬機(jī)可以使病毒在一個由殺毒軟件構(gòu)建的虛擬環(huán)境中執(zhí)行，與實(shí)際的CPU、硬盤等完全隔離，從而可以更加深入地檢測文件的安全性。（3）病毒查殺原理第四十五頁，共六十一頁。46特征代碼法虛擬機(jī)技術(shù)啟發(fā)式掃描新一代殺毒軟件技術(shù)（4）病毒的檢測方法第四十六頁，共六十一頁。47對新病毒進(jìn)行分析，找出特征值，然后錄入病毒特征庫；對電腦中流經(jīng)內(nèi)存的數(shù)據(jù)與病毒庫中的特征碼相比較，判斷是否為病毒。

同一個病毒不同殺毒軟件的病毒特征錄入方式不同。特征代碼法第四十七頁，共六十一頁。48在軟件模擬出來的程序虛擬運(yùn)行環(huán)境中，用調(diào)試程序調(diào)入可疑帶毒樣本，將每個語句放到虛擬環(huán)境中執(zhí)行，根據(jù)其行為或結(jié)果做出判斷。

利用虛擬機(jī)技術(shù)來發(fā)現(xiàn)大部分的變形病毒和大量的未知病毒，這一技術(shù)有著極為廣闊的應(yīng)用前景。虛擬機(jī)技術(shù)第四十八頁，共六十一頁。49通過分析指令出現(xiàn)的順序，或特定組合情況等常見病毒的標(biāo)準(zhǔn)特征來判斷文件是否感染未知病毒。

比起靜態(tài)的特征碼掃描先進(jìn)，可以達(dá)到一定的未知病毒處理能力，但是會有不準(zhǔn)確的時候。特別是因?yàn)闊o法確定一定是病毒，而不可能做未知病毒殺毒。啟發(fā)式掃描第四十九頁，共六十一頁。50“云安全”是通過網(wǎng)絡(luò)上大量的客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取網(wǎng)絡(luò)中木馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

云安全技術(shù)中，識別和查殺病毒依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時進(jìn)行采集、分析以及處理。整個網(wǎng)絡(luò)就是一個巨大的殺毒軟件，參與者越多，每個參與者就越安全，整個網(wǎng)絡(luò)就會更安全。新一代殺毒軟件技術(shù)第五十頁，共六十一頁。其作用：在某個指定網(wǎng)絡(luò)(Intranet)和網(wǎng)絡(luò)外部(Internet)之間構(gòu)建網(wǎng)絡(luò)通信的監(jiān)控系統(tǒng)，用于監(jiān)控所有進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)流和來訪者，以達(dá)到保障網(wǎng)絡(luò)安全的目的。根據(jù)預(yù)設(shè)的安全策略，防火墻對所有流通的數(shù)據(jù)流和來訪者進(jìn)行檢查，符合安全標(biāo)準(zhǔn)的予以放行，不符合安全標(biāo)準(zhǔn)的一律拒之門外。防火墻是專門用于保護(hù)網(wǎng)絡(luò)內(nèi)部安全的系統(tǒng)。512.防火墻技術(shù)第五十一頁，共六十一頁。防火墻技術(shù)從原理上可以分為：包過濾代理服務(wù)器52（1）防火墻技術(shù)的分類第五十二頁，共六十一頁。指對于所有進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包（分組）按指定的過濾規(guī)則進(jìn)行檢查，凡是符合指定規(guī)則的數(shù)據(jù)包（分組）才允許通行，否則將被丟棄。例如，為便于收費(fèi)管理，在校園網(wǎng)內(nèi)阻塞去往國外站點(diǎn)的鏈接（國內(nèi)免費(fèi)，國外按實(shí)際字節(jié)流量收費(fèi)）。

53包過濾技術(shù)第五十三頁，共六十一頁。當(dāng)外部主機(jī)請求訪問Intranet內(nèi)部某一臺應(yīng)用服務(wù)器時，請求被送到代理服務(wù)器上，并在此接受安全檢查后，再由代理服務(wù)器與內(nèi)部網(wǎng)中的應(yīng)用服務(wù)器建立鏈接，從而實(shí)現(xiàn)了外部主機(jī)對Intranet內(nèi)部的應(yīng)用服務(wù)器的訪問。代理服務(wù)器將內(nèi)部網(wǎng)和外部網(wǎng)分隔開；網(wǎng)絡(luò)外部的用戶只能通過代理服務(wù)器進(jìn)行鏈接；54