計算機安全技術

計算機安全技術計算機安全問題是目前計算機發(fā)展的一個核心問題。本章從安全技術概念開始，討論了常見的計算機網(wǎng)絡安全攻擊問題及其工具，并給出了相關的防范建議。針對目前計算機網(wǎng)絡上病毒的泛濫，尤其是木馬病毒的猖獗，詳細介紹了木馬的工作原理。計算機安全防范，目前主流的方法有防火墻、反病毒軟件以及數(shù)據(jù)加密技術，數(shù)據(jù)加密其核心思想是讓獲得信息的人如果沒有對應的密鑰，也無法知道信息是什么，從而有效的保護信息，而防火墻技術則是把計算機與外世界隔離，使得外部的攻擊無法進來，從而有效的保護計算機上的信息不被偷窺。隨著Internet與人們的生活工作越來越分不開的現(xiàn)實，不掌握一定的計算機安全知識，將有可能因為信息安全問題而對工作、生活帶來極大的危害。第2頁,共65頁，2024年2月25日，星期天本章目錄10.1計算機安全概述

10.2計算機網(wǎng)絡攻擊10.3木馬病毒

10.4常見安全技術簡介10.5信息加密技術護10.6防火墻技術第3頁,共65頁，2024年2月25日，星期天10.1計算機安全概述第4頁,共65頁，2024年2月25日，星期天隨著信息時代到來，電子商務、電子政務，網(wǎng)絡改變人們的生活，人類進入信息化社會。計算機系統(tǒng)與網(wǎng)絡的廣泛應用，商業(yè)和國家機密信息的保護以及信息時代電子、信息對抗的需求，存儲信息的系統(tǒng)面臨的極大的安全威脅，潛在的網(wǎng)絡、系統(tǒng)缺陷危及系統(tǒng)的安全。計算機網(wǎng)絡的資源開放、信息共享以及網(wǎng)絡復雜性增大了系統(tǒng)的不安全性。第5頁,共65頁，2024年2月25日，星期天據(jù)統(tǒng)計，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國每年所造成的經(jīng)濟損失就超過100億美元。美國每年網(wǎng)絡安全因素造成的損失達170億美元.2003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒——“2003蠕蟲王”。全球25萬臺計算機遭襲擊，全世界范圍內損失額最高可達12億美元。中美黑客網(wǎng)上大戰(zhàn)時，國內外的上千個門戶網(wǎng)站遭到破壞。第6頁,共65頁，2024年2月25日，星期天2003年2月17日發(fā)現(xiàn)一名電腦“黑客”最近“攻入”美國一個專門為商店和銀行處理信用卡交易的服務器系統(tǒng)，竊取了萬事達、維薩、美國運通、發(fā)現(xiàn)4家大型信用卡組織的約800萬張信用卡資料。中國國內80%網(wǎng)站有安全隱患，20％網(wǎng)站有嚴重安全問題利用計算機網(wǎng)絡進行的各類違法行為在中國以每年30%的速度遞增，而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%.2007年的熊貓燒香病毒給數(shù)百萬的用戶造成損失.第7頁,共65頁，2024年2月25日，星期天互聯(lián)網(wǎng)存在的六大問題無主管的自由王國不設防的網(wǎng)絡空間法律約束脆弱跨國協(xié)調困難民族化和國際化的沖突網(wǎng)絡資源緊缺網(wǎng)絡和系統(tǒng)的自身缺陷與脆弱性國家、政治、商業(yè)和個人利益沖突第8頁,共65頁，2024年2月25日，星期天10.1.1計算機安全定義從狹義的信息保護來看：計算機安全包含了信息的保密性、信息的完整性、防止拒絕服務。信息的保密是指保護信息不為非授權用戶掌握；信息的完整性是保護信息不致被非法篡改或破壞，拒絕服務包括臨時降低系統(tǒng)性能、系統(tǒng)崩潰而需人工重新啟動以及數(shù)據(jù)永久性丟失。歷史上，政府、企業(yè)的投資、專業(yè)人員的興趣主要在信息的保密件上。第9頁,共65頁，2024年2月25日，星期天廣義的信息保護還包括信息設備的物理安全，諸如場地環(huán)境保護、防火措施、防水措施、靜電防護、電源保護、空調設備、計算機輻射和計算機病毒等。盡管近年來計算機安全技術取得廠巨大的進展，但隨著Internet的普及，網(wǎng)絡應用的深入，計算機信息安全性比以往任何時候都更加脆弱。體現(xiàn)在：第10頁,共65頁，2024年2月25日，星期天（1）計算機領域中任何大的技術進步都對安全性構成新的威脅。所有這些威脅都將要新的技術來消除．而叢技術進步的速度要比克服入法進步的速度快很多。（2）網(wǎng)絡的普及，使信息共享達到了一個新的層次，信息被暴露的機會大大增多。（3）盡管操作系統(tǒng)都是有缺陷的，但可以通過版本的不斷升級來克服，現(xiàn)行的版本是可靠的，能完成基本設計功能：而計算機安全的每—個漏洞都會使系統(tǒng)的所有安全控制毫無價值。（4）安全性的地位總是列在計算機系統(tǒng)總體設計規(guī)劃的最后面．它首先考慮的是系統(tǒng)的功能、價格、性能、兼容性、可靠性、用戶界面。（5）計算機安全本身也帶來了一些約束。例如，采取措施不規(guī)范，既干擾了誠實用戶的工作，又使誠實用戶對過程控制、安全措施不熟悉。第11頁,共65頁，2024年2月25日，星期天10.1.2計算機安全原則計算機安全的目的不在于系統(tǒng)百分之百安全，而應當使之達到相當高的水平，使入侵者的非法行為變得極為困難、危險、耗資巨大，獲得的價值遠不及付出的代價。一個關鍵的安全原則是使用有效的但是并不會給那些想要真正想要獲取信息的合法用戶增加負擔的方案，尋找出一條實際應用此原則的途徑經(jīng)常是一個困難的尋求平衡舉動。使用過于繁雜的安全技術使得合法用戶厭煩和規(guī)避你的安全協(xié)議是非常容易的。黑客時刻準備著和用這樣一些看上去無害的行動，因此擁有一個過分繁雜的安全政策將導致比沒有安全政策還要低效的安全。第12頁,共65頁，2024年2月25日，星期天許多數(shù)據(jù)表明，現(xiàn)有的計算機非授權使用及欺騙行為大多數(shù)是非技術性的。計算機犯罪的突破口往往選擇在過程控制和人員控制的薄弱點上．而不是在內部技術控制的薄弱點上。由于非技術性的偷竊行為相對容易得手，它已成為計算機犯罪的主要途徑.第13頁,共65頁，2024年2月25日，星期天10.1.3計算機安全標準國際標準化組織（ISO）7498-2安全體系結構文獻定義了安全就是最小化資產(chǎn)和資源的漏洞。資產(chǎn)可以指任何事物。漏洞是指任何可以造成破壞；系統(tǒng)或信息的弱點。威脅是指潛在的安全破壞。ISO進一步把威脅分類為偶然的或故意的，主動的或被動的。偶然威脅是指沒有事先預謀的事件，這類的威脅包括天然的災禍或錯誤的系統(tǒng)維護。故意的威脅包括非常有經(jīng)驗的攻擊者和用特殊的系統(tǒng)知識來破壞計算機或網(wǎng)絡上的數(shù)據(jù)。被動式威脅不修改系統(tǒng)中所包含的信息。第14頁,共65頁，2024年2月25日，星期天與安全標準相關的是安全機制問題，根據(jù)ISO提出的，安全機制是一種技術，一些軟件或實施一個或更多安全服務的過程。ISO把機制分成特殊的和普遍的。一個特殊的安全機制是在同一時間只對一種安全服務上實施一種技術或軟件。加密就是特殊安全機制的一個例子。一般的安全機制都列出了在同時實施一個或多個安全服務的執(zhí)行過程。特殊安全機制和一般安全機制不同的另一個要素是一般安全機制不能應用到OSI參考模型的任一層上。普通的機制包括：第15頁,共65頁，2024年2月25日，星期天信任的功能性：指任何加強現(xiàn)有機制的執(zhí)行過程。例如，當升級TCP／IP堆?；蜻\行一些軟件來加強NT,UNIX系統(tǒng)認證功能時，使用的就是普遍的機制。事件檢測：檢查和報告本地或遠程發(fā)生的事件。審計跟蹤：任何機制都允許你監(jiān)視和記錄你網(wǎng)絡上的活動。安全恢復：對一些事件作出反應，包括對于已知漏洞創(chuàng)建短期和長期的解決方案，包括對受危害系統(tǒng)的修復。第16頁,共65頁，2024年2月25日，星期天10.2計算機網(wǎng)絡攻擊第17頁,共65頁，2024年2月25日，星期天在網(wǎng)絡這個不斷更新?lián)Q代的世界里，網(wǎng)絡中的安全漏洞無處不在。即使舊的安全漏洞補上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡攻擊正是利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。也許有人認為“安全”只是針對那些大中型企事業(yè)單位和網(wǎng)站而言。其實，單從技術上說，黑客入侵的動機是成為目標主機的主人。只要他們獲得了一臺網(wǎng)絡主機的超級用戶權限后他們就有可能在該主機上修改資源配置、安置“木馬”程序、隱藏行蹤、執(zhí)行任意進程等。第18頁,共65頁，2024年2月25日，星期天網(wǎng)絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲第19頁,共65頁，2024年2月25日，星期天10.2.1網(wǎng)絡攻擊的步驟第一步：隱藏自已的位置第二步：尋找目標主機并分析目標主機第三步：獲取帳號和密碼，登錄主機第四步：獲得控制權第五步：竊取網(wǎng)絡資源和特權攻擊者進入攻擊目標后，會繼續(xù)下一步的攻擊。如：下載敏感信息、實施竊取帳號密碼、信用卡號等經(jīng)濟偷竊、使網(wǎng)絡癱瘓等。第20頁,共65頁，2024年2月25日，星期天10.2.2網(wǎng)絡攻擊的常見方法與原理1．口令入侵所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多:利用目標主機的Finger功能：當用Finger命令查詢時，主機系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機上；利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的帳號；第21頁,共65頁，2024年2月25日，星期天查看主機是否有習慣性的帳號：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習慣性的帳號，造成帳號的泄露。這又有三種方法：（1）是通過網(wǎng)絡監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大。（2）在知道用戶的賬號后（如電子郵件@前面的部分）利用一些專門軟件強行破解用戶口令，這種方法不受網(wǎng)段限制，但攻擊者要有足夠的耐心和時間。（3）利用系統(tǒng)管理員的失誤。在Unix操作系統(tǒng)中，用戶的基本信息存放在passwd文件中，而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個叫shadow的文件中。入侵者獲取口令文件后，就會使用專門的破解DES加密法的程序來解口令。同時由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、Bug或一些其他設計缺陷，這些缺陷一旦被找出，入侵者就可以長驅直入。第22頁,共65頁，2024年2月25日，星期天2．放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當用戶連接到因特網(wǎng)上時，這個程序就會通知攻擊者，來報告該用戶的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改該用戶的計算機的參數(shù)設定、復制文件、窺視其整個硬盤中的內容等，從而達到控制該計算機的目的。第23頁,共65頁，2024年2月25日，星期天3．WWW的欺騙技術在網(wǎng)上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的！當用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務器發(fā)出請求，那么黑客就可以達到欺騙的目的了.

一般Web欺騙使用兩種技術手段，即URL地址重寫技術和相關信息掩蓋技術。第24頁,共65頁，2024年2月25日，星期天4.電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。相對于其它的攻擊手段來說，這種攻擊方法具有簡單、見效快等優(yōu)點第25頁,共65頁，2024年2月25日，星期天電子郵件攻擊主要表現(xiàn)為兩種方式：（1）是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴重者可能會給電子郵件服務器操作系統(tǒng)帶來危險，甚至癱瘓。（2）是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。第26頁,共65頁，2024年2月25日，星期天5．通過一個節(jié)點來攻擊其他節(jié)點攻擊者在突破一臺主機后，往往以此主機作為根據(jù)地，攻擊其他主機（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。他們可以使用網(wǎng)絡監(jiān)聽方法，嘗試攻破同一網(wǎng)絡內的其他主機；也可以通過IP欺騙和主機信任關系，攻擊其他主機。第27頁,共65頁，2024年2月25日，星期天6．網(wǎng)絡監(jiān)聽網(wǎng)絡監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡監(jiān)聽工具（如NetXRayforWindows95／98／NT、SniffitforLinux、Solaries等）就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網(wǎng)絡監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。第28頁,共65頁，2024年2月25日，星期天7．利用黑客軟件攻擊利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好服務器端程序的電腦，這些服務器端程序都比較小，一般會隨附帶于某些軟件上。第29頁,共65頁，2024年2月25日，星期天8．安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應用軟件本身具有的。如緩沖區(qū)溢出攻擊，由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網(wǎng)絡的絕對控制權。另一些是利用協(xié)議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發(fā)動攻擊，破壞的根目錄，從而獲得超級用戶的權限。第30頁,共65頁，2024年2月25日，星期天9．端口掃描攻擊所謂端口掃描，就是利用Socket編程與目標主機的某些端口建立TCP連接、進行傳輸協(xié)議的驗證等，從而偵知目標主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。第31頁,共65頁，2024年2月25日，星期天10.2.3攻擊者常用的攻擊工具1．D.O.S攻擊工具2．木馬程序第32頁,共65頁，2024年2月25日，星期天10.2.4應對網(wǎng)絡攻擊的建議在對網(wǎng)絡攻擊進行上述分析與識別的基礎上，應當認真制定有針對性的策略。明確安全對象，設置強有力的安全保障體系。做到未雨稠繆，預防為主，將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況。以下是針對網(wǎng)絡安全問題，提出的幾點建議：1．提高安全意識2．使用防毒、防黑等防火墻軟件3．設置代理服務器，隱藏自已的IP地址。第33頁,共65頁，2024年2月25日，星期天10.3木馬病毒第34頁,共65頁，2024年2月25日，星期天10.3.1木馬的基本知識木馬，也稱特伊洛木馬，名稱源于古希臘的特伊洛馬神話通過對以往網(wǎng)絡安全事件的分析統(tǒng)計發(fā)現(xiàn)，有相當部分的網(wǎng)絡入侵是通過木馬來進行的，包括著名的微軟被黑一案，據(jù)稱該黑客是通過一種普通的蠕蟲木馬侵入微軟的系統(tǒng)的，并且竊取了微軟部分產(chǎn)品的源碼。木馬的危害性在于它對電腦系統(tǒng)強大的控制和破壞能力，竊取密碼、控制系統(tǒng)操作、進行文件操作等等，一個功能強大的木馬一旦被植入你的計算機，攻擊者就可以象操作自己的計算機一樣控制你的計算機，甚至可以遠程監(jiān)控你的所有操作。第35頁,共65頁，2024年2月25日，星期天10.3.2木馬的基本工作原理一般的木馬都有客戶端和服務器端兩個執(zhí)行程序，其中客戶端是用于攻擊者遠程控制植入木馬的機器，服務器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務器端程序植入到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件植入到被攻擊者的電腦系統(tǒng)里，如郵件、下載等，然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件一般的木馬執(zhí)行文件非常小，大都是幾K到幾十K，如果把木馬捆綁到其它正常文件上是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬病毒文件的，在執(zhí)行這些下載的文件，也同時運行了木馬。第36頁,共65頁，2024年2月25日，星期天木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入，由于IE瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對瀏覽者電腦進行文件操作等控制，曾出現(xiàn)過一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的Html頁面。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機的一個可執(zhí)行WWW目錄夾里面，他可以通過編制Cgi程序在攻擊主機上執(zhí)行木馬目錄.木馬還可以利用系統(tǒng)的一些漏洞進行植入，如微軟著名的IIS服務器溢出漏洞，通過一個IISHACK攻擊程序即在把IIS服務器崩潰，并且同時在攻擊服務器執(zhí)行遠程木馬執(zhí)行文件第37頁,共65頁，2024年2月25日，星期天10.3.3木馬如何發(fā)送信息給攻擊者？當木馬在被植入被攻擊主機后，它一般會通過一定的方式把入侵主機的信息，如主機的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者有這些信息才能夠與木馬里應外合控制攻擊主機。在早期的木馬里面，大多都是通過發(fā)送電子郵件的方式把入侵主機信息告訴攻擊者，有一些木馬文件干脆把主機所有的密碼用郵件的形式通知給攻擊者，這樣攻擊者不用直接連接被攻擊主機就可獲得一些重要數(shù)據(jù)，如攻擊OICQ密碼的GOP木馬即是如此。使用電子郵件的方式對攻擊者來說并不是最好的一種選擇，因為如果木馬被發(fā)現(xiàn)，可以能過這個電子郵件的地址找出攻擊者?，F(xiàn)在還有一些木馬采用的是通過發(fā)送UDP或者ICMP數(shù)據(jù)包的方式通知攻擊者。第38頁,共65頁，2024年2月25日，星期天10.3.4木馬隱身之處1．集成到程序中2．隱藏在配置文件中3．潛伏在Win.ini中4．偽裝在普通文件中5．內置到注冊表中6．在System.ini中藏身7．隱形于啟動組中8．隱蔽在Winstart.bat中9．捆綁在啟動文件中10．設置在超級連接中第39頁,共65頁，2024年2月25日，星期天10.4常見安全技術簡介

第40頁,共65頁，2024年2月25日，星期天10.4.1殺毒軟件技術殺毒軟件是最為普遍的，也是應用得最為廣泛的安全技術方案，因為這種技術實現(xiàn)起來最為簡單，但是殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡安全的需要。這種方式對于個人用戶或小企業(yè)或許還能滿足需要，但如果個人或企業(yè)有電子商務方面的需求，就不能完全滿足了?？上驳氖请S著殺毒軟件技術的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵。第41頁,共65頁，2024年2月25日，星期天10.4.2防火墻技術防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內部網(wǎng)免受非法用戶的侵入，也就是一個把互聯(lián)網(wǎng)與內部網(wǎng)隔開的屏障。防火墻從實現(xiàn)方式上來分，又分為硬件防火墻和軟件防火墻兩類，通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結合來達到隔離內、外部網(wǎng)絡的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現(xiàn)。軟件防火墻是通過純軟件的方式來達到，價格很便宜，但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內部網(wǎng)的目的。硬件防火墻從技術又可分為兩類,即標準防火墻和雙家網(wǎng)關防火墻隨著防火墻技術的發(fā)展,雙家網(wǎng)關的基礎上又演化出兩種防火墻配置,一種是隱蔽主機網(wǎng)關方式,另一種是隱蔽智能網(wǎng)關（隱蔽子網(wǎng)）。第42頁,共65頁，2024年2月25日，星期天10.4.3文件加密和數(shù)字簽名技術與防火墻配合使用的安全技術還有文件加密與數(shù)字簽名技術，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數(shù)字簽名技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。1．數(shù)據(jù)傳輸加密技術:目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端對端加密兩種。2．數(shù)據(jù)存儲加密技術:這種加密技術的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲和存取控制兩種。第43頁,共65頁，2024年2月25日，星期天3．數(shù)據(jù)完整性鑒別技術:目的是對介入信息的傳送、存取、處理的人的身份和相關數(shù)據(jù)內容進行驗證,達到保密的要求,一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。4．密鑰管理技術數(shù)據(jù)的加密技術通常是運用密鑰對數(shù)據(jù)進行加密，這就涉及到一個密鑰的管理問題，因為用加密軟件進行加密時所用的密鑰通常不是我們平常所用的密碼那么簡單，一般情況下，這種密鑰達64位，甚至可能達到128位，顯然要記憶這些密鑰非常困難，只能保存在一個安全的地方，即進行密鑰的管理。第44頁,共65頁，2024年2月25日，星期天10.4.4加密技術在智能卡上的應用與數(shù)據(jù)加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網(wǎng)絡服務器上注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能比較有效。該技術是目前使用得最廣泛的，如常用的IC卡、銀行取款卡、智能門鎖卡等等但應當了解的是：“安全”都是相對，不可能寄希望有了安全措施之后就能保證信息萬無一失，任何網(wǎng)絡安全和數(shù)據(jù)保護的防范措施是有一定的限度。第45頁,共65頁，2024年2月25日，星期天10.5信息加密技術第46頁,共65頁，2024年2月25日，星期天信息加密技術是一門專門研究數(shù)據(jù)加密的學科，應用信息加密可以保證數(shù)據(jù)的安全性，也可用于驗證用戶，是在實現(xiàn)網(wǎng)絡安全的重要手段之一。利用信息加密技術可以獲得以下安全上的好處：數(shù)據(jù)保密性：這是使用加密的通常的原因。通過小心使用數(shù)學方程式，可以保證只讓有權接收的人才能查看它。數(shù)據(jù)完整性：對需要更安全來說數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解開修改。一種叫HASH的運算方法能確定數(shù)據(jù)是否被修改過。認證：數(shù)字簽名提供認證服務。不可否定性：數(shù)字簽名允許用戶證明一條信息交換確實發(fā)生過。金融組織尤其依賴于這種方式的加密，用于電子貨幣交易。第47頁,共65頁，2024年2月25日，星期天10.5.1加密強度在加密信息的過程中，—個常被討論但又經(jīng)常被誤解的方面是加密強度。什么構成了加密的強度?哪種級別的加密是被不同的安全需要所要求的？如何確定加密的有效強度？加密強度取決于二個主要因素：首先是算法的強度,其次是密鑰的保密性,最后是密鑰長度一般的，決定需要密鑰的長度的—個重要因素是被保護信息的價值。比如40位的密鑰對于金融交易來說并不合適的，但對于個人用戶已經(jīng)足夠了。強加密一般是使用超過128位長度的密鑰來實施。第48頁,共65頁，2024年2月25日，星期天10.5.2建立信任關系應用加密技術目的是在主機之間建立一種信任關系。在最基本的級別上，一個信任關系包括一方加密的信息并只有另一方的合作伙伴可以解密這個文件。這種任務是用公鑰加密來完成的。這種類別的加密要求建立一個私鑰和一個公鑰。一旦已經(jīng)產(chǎn)生了一對密鑰，就可以把公鑰發(fā)布給任何人。一般通過以下兩種方法來發(fā)布公鑰：手動：你首先必須和接收方交換公鑰，然后用接收方的公鑰來加密信息。自動：SSL和IPSec可以通過一系列的握手可以安全地交換信息（包括私鑰）。第49頁,共65頁，2024年2月25日，星期天10.5.3對稱加密在對稱加密或單密鑰加密中，只有一個密鑰用來加密和解密信息。盡管單密鑰加密的一個簡單的過程，但要求雙方都必須完全的信賴對方，并都持有這個密鑰的備份。要達到這種信任的級別比較困難，如果雙方試圖建立信任關系時，安全破壞已經(jīng)發(fā)生了，則密鑰的傳輸就是—個重要問題，如果它被截取，那么這個密鑰以及相關的重要信息的安全性就喪失了。對稱加密的好處就是快速并且強壯。這種特點允許你加密大量的信息而只需要幾秒鐘。對稱加密的缺點是有關密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰，因此所有的用戶必須尋求一種安全的方法來發(fā)送和接收密鑰。第50頁,共65頁，2024年2月25日，星期天10.5.4非對稱加密非對稱加密在加密的過程中使用一對密鑰，而不像對稱加密只使用—個單獨的密鑰?！獙γ荑€中一個用于加密，另一個用來解密。如用A加密，則用B解密，如果用B加密，則要用A解密。在這對密鑰中一個密鑰用來公用，另一個作為私有的密鑰：用來向外公布的叫做公鑰，另一個需要安全保護的是私鑰。非對稱加密的一個缺點就是加密的速度非常慢，因為需要強烈的數(shù)學運算程序。如果一個用戶需要使用非對稱加密，那么即使比較少量的信息可以也要花上小時的時間。第51頁,共65頁，2024年2月25日，星期天10.6防火墻技術第52頁,共65頁，2024年2月25日，星期天10.5.5HASH加密HASH加密把一些不同長度的信息轉化成雜亂的128位編碼，稱為HASH值。HASH加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能的，其思想是通過比較兩個實體的HASH值是否一樣而不用告之其它信息。HASH加密別一種用途是簽名文件。它還可用于當你想讓別人檢查但不能復制信息的時候。第53頁,共65頁，2024年2月25日，星期天自從1986年美國Digital公司在Intemet上安裝了全球第一個商用防火墻系統(tǒng)后，防火墻技術得到了飛速的發(fā)展。第一代防火墻，又稱包過濾防火墻，主要通過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許該數(shù)據(jù)包通過，對其進轉發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計功能很差。第二代防火墻，也稱代理服務器，它用來提供網(wǎng)絡服務級的控制，起到外部網(wǎng)絡向被保護的內部網(wǎng)絡申請服務時中間轉接作用，這種方法可以有效地防止對內部網(wǎng)絡的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進行檢測和監(jiān)控。第四代防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個全方位的安全技術集成系統(tǒng)，它可以抵御目前常見的網(wǎng)絡攻擊手段

第54頁,共65頁，2024年2月25日，星期天10.6.1防火墻定義防火墻語參考來自己應用在建筑結構里的安全技術。在樓宇里用來起分隔作用的墻，用來隔離不同的房間，盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。一般地，防火墻里都有一個重要的門，允許人們進入或離開大樓。因此，雖然防火墻保護了人們的安全，但這個門在提供增強安全性的同時允許必要的訪問。在計算機網(wǎng)絡中，一個網(wǎng)絡防火墻扮演著防備潛在的惡意的活動的屏障，并可通過一個“門”來允許人們在你的安全網(wǎng)絡和開放的不安全的網(wǎng)絡之間通信第55頁,共65頁，2024年2月25日，星期天10.6.2防火墻的任務防火墻在實施安全的過程中是至關重要的。一個防火墻策略要實現(xiàn)四個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。實現(xiàn)一個企業(yè)的安全策略：防火墻的主要意圖是強制執(zhí)行企業(yè)的安全策略創(chuàng)建一個阻塞點：防火墻在一個Intranet網(wǎng)絡和Internet間建立一個檢查點。記錄Internet活動：防火墻還能夠強制日志記錄，并且提供警報功能。限制網(wǎng)絡暴露：防火墻在內部網(wǎng)絡周圍創(chuàng)建了一個保護的邊界。第56頁,共65頁，2024年2月25日，星期天10.6.3防火墻術語1．網(wǎng)關:網(wǎng)關是在兩個設備之間提供轉發(fā)服務的系統(tǒng)。網(wǎng)關的范圍可以從互聯(lián)網(wǎng)應用程序如公共網(wǎng)關接口（CGl）到在兩臺主機間處理流量的防火墻網(wǎng)關。2．電路級網(wǎng)關:電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，決定該會話是否合法，電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。第57頁,共65頁，2024年2月25日，星期天3．應用級網(wǎng)關可以工作在OSI七層模型的任一層上，能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。4．包過濾:包過濾是處理網(wǎng)絡上基于packet-by-packet流量的設備。5．代理服務器:代理服務器代表內部客戶端與外部的服務器通信。代理服務器通常是指一個應用級的網(wǎng)關，電路級網(wǎng)關也可作為代理服務器的一種。6．網(wǎng)絡地址翻譯（NAT）:網(wǎng)絡地址解釋是對Intemet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。7．堡壘主機:堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。第58頁,共65頁，2024年2月25日，星期天10.6.4防火墻技術1．包過濾技術包過濾防火墻的安全性是基于對包的IP地址的校驗。按照預先設定的過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡系統(tǒng)的安全。

2．代理技術代理服務器接收客戶請求后會檢查驗證其合法性，如果合法，代理服務器像一臺客戶機一樣取回所需的信息再轉發(fā)給客戶。它將內部系統(tǒng)與外界隔離開來，從外面只能看到代理服務器而看不到任何內部資源。代理服務器只允許有代理的服務通過，而其他所商服