第1章網(wǎng)絡(luò)安全理論基礎(chǔ)

第1章網(wǎng)絡(luò)安全理論基礎(chǔ)

教學目標

通過本章學習，使學生了解計算機網(wǎng)絡(luò)安全基本概念、現(xiàn)代信息認證技術(shù)、Internet網(wǎng)

絡(luò)安全技術(shù)、操作系統(tǒng)安全技術(shù)等網(wǎng)絡(luò)安全基礎(chǔ)理論知識，為后續(xù)章節(jié)的學習打下堅實

基礎(chǔ)。

教學要求

任務要點能力要求關(guān)聯(lián)知識

(1)掌握網(wǎng)絡(luò)安全基本概念(1)網(wǎng)絡(luò)安全定義

計算機網(wǎng)絡(luò)安全基本概念(2)掌握網(wǎng)絡(luò)存在的安全威脅(2)常見網(wǎng)絡(luò)安全威脅

(3)掌握常見網(wǎng)絡(luò)安全技術(shù)(3)主流網(wǎng)絡(luò)安全技術(shù)

(1)掌握現(xiàn)代信息認證技術(shù)基本概念(1)現(xiàn)代信息認證技術(shù)

現(xiàn)代信息認證技術(shù)(2)了解加密技術(shù)基本概念(2)加密技術(shù)

(3)了解數(shù)字簽名技術(shù)基本概念(3)數(shù)字簽名技術(shù)

(1)掌握網(wǎng)絡(luò)防病毒技術(shù)基本概念(1)網(wǎng)絡(luò)病毒及防病毒技術(shù)

(2)掌握防火墻技術(shù)基本概念(2)防火墻技術(shù)

Internet網(wǎng)絡(luò)安全技術(shù)

(3)掌握虛擬專用網(wǎng)絡(luò)技術(shù)基本概念(3)虛擬專用網(wǎng)絡(luò)技術(shù)

(4)了解常用網(wǎng)絡(luò)安全協(xié)議(4)常見網(wǎng)絡(luò)安全協(xié)議

(1)了解操作系統(tǒng)安全基本概念(1)操作系統(tǒng)安全基本概念

(2)了解操作系統(tǒng)賬戶安全(2)操作系統(tǒng)賬戶安全

操作系統(tǒng)安全技術(shù)

(3)了解操作系統(tǒng)文件系統(tǒng)安全(3)操作系統(tǒng)文件系統(tǒng)安全

(4)了解常見Windows安全設(shè)置(4)Windows安全設(shè)置

重點、難點

◎網(wǎng)絡(luò)安全基本概念。

◎信息認證技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)。

?網(wǎng)絡(luò)病毒、病毒防御、防火墻、虛擬專用網(wǎng)絡(luò)、常見網(wǎng)絡(luò)安全協(xié)議。

◎操作系統(tǒng)安全基本概念。

?操作系統(tǒng)賬戶安全、文件系統(tǒng)安全、Windows安全設(shè)置。

1.1網(wǎng)絡(luò)安全概述

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)的廣泛普及，病毒與黑客攻擊日益增多，攻

擊手段也千變?nèi)f化，使大量企業(yè)、機構(gòu)和個人的計算機隨時面臨被攻擊和入侵的危險，這

導致人們不得不在享受網(wǎng)絡(luò)帶來便利的同時，尋求更為可靠的網(wǎng)絡(luò)安全解決方案.

網(wǎng)絡(luò)安全是指計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的

或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務不

中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及網(wǎng)絡(luò)上信

息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)

域。網(wǎng)絡(luò)安全是計算機網(wǎng)絡(luò)技術(shù)發(fā)展中一個至關(guān)重要的問題，也是Internet的一個薄弱環(huán)節(jié)。

1.1.1網(wǎng)絡(luò)存在的安全威脅

由于當初設(shè)計TCP/IP協(xié)議族時對網(wǎng)絡(luò)安全性考慮較少，隨著Internet的廣泛應用和商

業(yè)化，電子商務、網(wǎng)上金融、電子政務等容易引入惡意攻擊的業(yè)務日益增多，目前，計算

機網(wǎng)絡(luò)存在的安全威脅主要表現(xiàn)在以下幾個方面。

1.非授權(quán)訪問

非授權(quán)訪問是指沒有預先經(jīng)過同意，非法使用網(wǎng)絡(luò)或計算機資源，如有意避開系統(tǒng)訪

問控制機制對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限、越權(quán)訪問信息等。它主

要有以下幾種表現(xiàn)形式，如假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法

用戶以未授權(quán)方式進行操作等。

2.信息泄露或丟失

信息泄露或丟失是指敏感數(shù)據(jù)在有意或無意中被泄露或丟失，它通常包括信息在傳輸

過程中丟失或泄露（如“黑客”利用網(wǎng)絡(luò)監(jiān)聽、電磁泄漏或搭線竊聽等方式獲取用戶口令、

賬號等機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推測出有用

信息）、信息在存儲介質(zhì)中丟失或泄露以及通過建立隱蔽隧道等竊取敏感信息等。

3.破壞數(shù)據(jù)完整性

破壞數(shù)據(jù)完整性是指以非法手段竊取對數(shù)據(jù)的使用權(quán)，例如，刪除、修改、插入或重

發(fā)某些重要信息，以取得有益于攻擊者的響應，惡意添加、修改數(shù)據(jù)以干擾用戶的正常使用。

4.拒絕服務攻擊

拒絕服務攻擊是指不斷對網(wǎng)絡(luò)服務系統(tǒng)進行干擾，浪費資源，改變正常的作業(yè)流程，

執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓，影響用戶的正常使用，使用戶的請求得不到正常

的響應。

5.利用網(wǎng)絡(luò)傳播木馬和病毒

利用網(wǎng)絡(luò)傳播木馬和病毒是指通過網(wǎng)絡(luò)應用（如網(wǎng)頁瀏覽、即時聊天、郵件收發(fā)等）大面

積、快速地傳播病毒和木馬，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。病毒和木

馬已經(jīng)成為網(wǎng)絡(luò)安全中極其嚴重的問題之一。

1.1.2網(wǎng)絡(luò)安全技術(shù)簡介

網(wǎng)絡(luò)安全技術(shù)總體來說有攻擊檢測、控制和攻擊防范及攻擊后恢復這三大方向，每一

個方向上都有代表性的系統(tǒng)：入侵檢測系統(tǒng)負責進行前瞻性的攻擊檢測，防火墻系統(tǒng)負責

訪問控制和攻擊防范，攻擊后的恢復則由自動恢復系統(tǒng)來解決。涉及的具體技術(shù)主要有以

下幾個。

1.入侵檢測技術(shù)

入侵檢測(IntrusionDetection)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全

日志、審計數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查

網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測技術(shù)是最近幾年出

現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)

用于跟蹤和恢復、斷開網(wǎng)絡(luò)連接等。

2.防火墻技術(shù)

防火墻(Firewall)是用一個或一組網(wǎng)絡(luò)設(shè)備(如計算機系統(tǒng)或路由器等)，在兩個網(wǎng)絡(luò)之間

加強訪問控制，對通信進行過濾，以保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。

防火墻主要服務于以下幾個目的。

(1)限定他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務和非法用戶。

(2)限定人們訪問特殊的站點。

(3)為監(jiān)視網(wǎng)絡(luò)訪問行為提供方便。

3.網(wǎng)絡(luò)加密和認證技術(shù)

互聯(lián)網(wǎng)是一個開放的環(huán)境，應用領(lǐng)域也得到不斷拓展，從郵件傳輸、即時通信到網(wǎng)上

交易，這些活動的通信內(nèi)容中可能包含了一些敏感信息，如商業(yè)秘密、訂單信息、銀行卡

的賬戶和口令等，如果將這些信息以明文形式在網(wǎng)絡(luò)上傳輸，可能會被黑客監(jiān)聽造成機密

信息的泄露，所以現(xiàn)代網(wǎng)絡(luò)安全中廣泛應用了各種加密算法和技術(shù)，將信息明文轉(zhuǎn)換成局

外人難以識別的密文之后再放到網(wǎng)上傳輸，有效地保護機密信息的安全。此外，很多網(wǎng)絡(luò)

應用中需要確認交易或通信對方的身份，以防止網(wǎng)絡(luò)欺詐，由此出現(xiàn)了諸如數(shù)字證書、數(shù)

字簽名等信息認證技術(shù)，這將在后面章節(jié)詳細闡述。

4.網(wǎng)絡(luò)防病毒技術(shù)

在網(wǎng)絡(luò)環(huán)境下，計算機病毒的傳播速度是單機環(huán)境的幾十倍，網(wǎng)頁瀏覽、郵件收發(fā)、

軟件下載等網(wǎng)絡(luò)應用均可能感染病毒，而網(wǎng)絡(luò)蠕蟲病毒更是能夠在短短的幾小時內(nèi)蔓延全

球。因此，網(wǎng)絡(luò)病毒防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。隨著網(wǎng)絡(luò)防病毒技術(shù)的不斷發(fā)

展，目前已經(jīng)進入“云安全”時代，即識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，

而是依靠龐大的網(wǎng)絡(luò)服務，實時進行采集、分析及處理，整個互聯(lián)網(wǎng)就是一個巨大的“殺

毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會越安全。

5.網(wǎng)絡(luò)備份技術(shù)

備份系統(tǒng)存在的目的是盡可能快地全面恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。

備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)

絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時也是系統(tǒng)災難恢復的前提之一。

1.2現(xiàn)代信息認證技術(shù)

1.2.1現(xiàn)代信息認證技術(shù)需要解決的問題

現(xiàn)代信息認證技術(shù)是互聯(lián)網(wǎng)安全通信和交易的重要保障，其主要解決以下幾個問題。

1.信息傳輸?shù)谋Ｃ苄?/p>

網(wǎng)絡(luò)通信的內(nèi)容可能會涉及公文、信用卡賬號和口令、訂貨和付款等信息，這些敏感

信息在傳輸過程中存在被監(jiān)聽或泄露的可能性，因此，這些敏感信息在傳輸中均有加密的

要求。

2.身份的確定性

網(wǎng)絡(luò)通信雙方和交易雙方素昧平生，如何確定對方的真實身份顯得尤為重要。例如，

甲收到一封郵件，郵件落款是乙，那么甲憑什么相信這封郵件的確是由乙發(fā)送的，而不是

其他人冒充他發(fā)送的？因此，確定網(wǎng)絡(luò)通信雙方的身份是安全通信和交易的前提。

3.信息的不可否認性

不可否認性是指凡是發(fā)出的信息就不能再否認或者更改，正如現(xiàn)實生活中簽訂的合同，

一旦雙方簽字，就不能再對合同的內(nèi)容進行否定和更改，必須要負擔相應的法律責任。

4.信息的完整性

信息的完整性是指信息在存儲或傳輸過程中不受偶然或者惡意的原因更改、破壞。例

如，數(shù)字簽名技術(shù)就可以針對信息完整性進行檢驗，讓信息接收方檢驗收到的數(shù)據(jù)是否為

發(fā)送方發(fā)送的原版信息，如果信息在傳輸過程中完整性受到破壞，那么接收方就不再相信

信件的內(nèi)容。

1.2.2現(xiàn)代信息認證技術(shù)的方法

現(xiàn)代信息認證技術(shù)建立在現(xiàn)代加密技術(shù)基礎(chǔ)之上，因此，必須對現(xiàn)代加密技術(shù)有一定

的了解。

1.信息加密技術(shù)

1)加密技術(shù)模型

加密的實質(zhì)就是對要傳輸?shù)拿魑男畔⑦M行變換，避免信息在傳輸過程中被其他人讀取,

從而保證信息的安全，加密模型中涉及的概念有以下幾個。

(1)明文(M)：未經(jīng)加密的信息或數(shù)據(jù)，即數(shù)據(jù)信息的原始形式。

(2)密文(Ciphertext,Q：明文經(jīng)過變換后，局外人難以識別的形式。

(3)加密算法(Encryption,E)：加密時使用的信息變換規(guī)則。

(4)解密算法(Decryption,D)：解密時使用的信息變換規(guī)則。

(5)密鑰(K)：控制算法進行運算的參數(shù)，對應加密和解密兩種情況，密鑰分為加密密

鑰和解密密鑰。密鑰可以是很多數(shù)值里的任意值，其可能的取值范圍稱為密鑰空間。

例如，甲需要向乙發(fā)送一個數(shù)字串1,2,3,4,擔心明文發(fā)送會被竊聽，于是甲采用一個

數(shù)學函數(shù)尸歷+1來對數(shù)字串進行轉(zhuǎn)換，這個數(shù)學函數(shù)就相當于加密算法。由于左取不同的

值會有不同的加密結(jié)果，因此，甲必須選用一個確定的左值，假定取仁2,這就相當于是加

密密鑰，轉(zhuǎn)換后的結(jié)果則是3,5,7,9,相當于是密文。接收方收到3,5,7,9后必須要用函數(shù)

廠(廠1)伙才能解密，這個函數(shù)就相當于是解密函數(shù)，然而還必須知道k的取值才能正確解

密，這里七2就相當于是解密密鑰。

2)現(xiàn)代信息加密技術(shù)

現(xiàn)代信息加密技術(shù)主要有對稱密鑰加密技術(shù)、非對稱密鑰加密技術(shù)和Hash加密技術(shù)。

(1)對稱密鑰加密技術(shù)。如果加密密鑰和解密密鑰相同，則稱這種加密技術(shù)為對稱密

鑰加密技術(shù)，其模型如圖1-1所示，其加密和解密的數(shù)學表達式為：EK(M)=C；DK(C)=MO

發(fā)送端接收端

圖1-1對稱密鑰加密技術(shù)模型

對稱密鑰加密技術(shù)的特點是：加密速度快，安全性高，但是密鑰管理成為重要事宜。

在這種加密技術(shù)下，算法是可以公開的，必須對密鑰進行保密，安全性依賴于密鑰的保密。

對稱密鑰加密技術(shù)的代表性算法是DES(DataEncryptionStandard)算法，它是20世紀

50年代以來密碼學研究領(lǐng)域出現(xiàn)的最具代表性的兩大成就之一，由IBM公司研制。DES算

法以56位長的密鑰對以64位為長度單位的二進制數(shù)據(jù)加密，產(chǎn)生64位長度的密文數(shù)據(jù)。

(2)非對稱密鑰加密技術(shù)。如果加密的密鑰K和解密的密鑰K2不同，雖然兩者存在一

定的關(guān)系，但是不容易從一個密鑰推導出另一個密鑰，可以將一個公開，另一個保密，這

種加密密鑰和解密密鑰不同(KWK2)的加密技術(shù)稱為非對稱密鑰加密技術(shù)，模型如圖1-2所

示，其數(shù)學表達式為：EA.(M)=C；DK2=MO

明文數(shù)據(jù)M

發(fā)送端接收端

圖1-2非對稱密鑰加密技術(shù)模型

非對稱密鑰加密技術(shù)比較適合網(wǎng)絡(luò)的開放性要求，但算法復雜、速度較慢，大量用于

數(shù)字簽名。它的代表性算法是1977年誕生的RSA算法，但RSA算法的安全性一直未能得

到理論上的證明。幾十年來一直有人做大量的工作試圖破解，但都未成功。其原理是依賴

于大數(shù)因子的分解，同時產(chǎn)生一對密鑰，一個作為“公鑰”公開，一個作為''私鑰”不告

訴任何人。這兩個密鑰是互補的，即用公鑰加密的密文可以用私鑰解密；反過來也可以。

RSA算法是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法?，F(xiàn)將RSA算法的運算

步驟簡單介紹如下：

①選擇兩個大素數(shù)p和q(典型情況下為1024位，保密);

②計算〃=pxg和z=3T)x(qT)；

③選擇一個與z互素的數(shù)，稱其為e；

④找到d使其滿足exd=lmodz。

算法和密鑰的情況如表1-1所示。

表1-1RSA算法原理

?：是兩個素數(shù)p和q的乘積

公開密鑰

e：與ST)x(q-l)互素

〃：是兩個素數(shù)〃和4的乘積

私有密鑰

dz滿足exd=1mod(p-l)(</-1)

加密運算c=Wmodn

解密運算m=(^modn

現(xiàn)以一個例子詳細闡述RSA算法的原理。

①

②選擇素數(shù)：p=17,q=\1o

③計算〃=pxg=17xl1=187；z=(/?T)x(gT)=16xl0=160。

④選擇e：gcd(e,160)=l(該公式表示e和160的最大公約數(shù)為1)；選擇e=7。

⑤確定d：d'xe-imod160且d<160,可選擇4=23。

公鑰為兒=｛7,187｝；私鑰為k產(chǎn)｛23,187｝。

假設(shè)給定的消息為M=88,則

◎加密：c=887mod187=11；

◎解密：團=1123mod187=88。

作為一種公開密鑰算法，RSA算法具有以下特性：

◎同時產(chǎn)生一對密鑰，即加密密鑰E和解密密鑰。，兩個密鑰基本不能相互推導；

◎加密密鑰和加密、解密算法一起公開，只對解密密鑰￡>保密，而且必須保密；

◎加密密鑰只能用于加密，不能用于解密；

?只有同時擁有解密密鑰和解密算法才能解讀密文得到明文。

(3)Hash加密技術(shù)(散列技術(shù)/哈希技術(shù))。Hash一般翻譯為“散列”，就是把任意長度

的輸入通過單向散列算法，變換成固定長度的輸出，該輸出就是散列值。這種轉(zhuǎn)換是一種

壓縮映射，也就是說，散列值的空間通常遠小于輸入的空間。數(shù)學表達式為：

h=H(M)

式中，”()為單向散列函數(shù)；例為任意長度明文：6為固定長度散列值。

典型的散列算法包括MD4、MD5和SHA1等。

Hash加密技術(shù)的特點主要包括以下幾個方面。

①單向性：單向散列算法是公開的，但是不能從散列值算出輸入值。

②唯一性：只要輸入信息發(fā)生微小變化，散列值就將不同，所以散列算法主要用于

保證文件的完整性和不可更改性。

由于Hash加密技術(shù)具有以上特點，所以常用于不可還原的密碼存儲、信息完整性校驗

等場合。

2.數(shù)字簽名技術(shù)

1)數(shù)字簽名的概念

數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到的用以認證報文來源并核

實報文是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名并非手寫簽名或者蓋章的圖像化，從形

態(tài)上看，它是附加在文檔末尾的字母數(shù)字串。從技術(shù)上來看，數(shù)字簽名是發(fā)送方用自己的

私鑰對信息摘要加密的結(jié)果。

2)數(shù)字簽名的作用

數(shù)字簽名的作用主要體現(xiàn)在以下兩個方面。

(1)驗證信息發(fā)送者的身份。

當用戶收到一封帶有數(shù)字簽名的信件時，可以根據(jù)數(shù)字簽名的驗證情況判斷信件是否

的確由信件中所聲稱的身份發(fā)出，而不是被冒充的；同時，信件中的數(shù)字簽名其法律效用

相當于手寫簽名或者印章。

(2)保證信息傳輸?shù)耐暾浴?/p>

當用戶接收到信件時，可以對數(shù)字簽名進行驗證，從而判斷信件是否在傳輸過程中被

第三者修改過，對于完整性受到破壞的信件不予信任。

2004年8月28日，全國人民代表大會常務委員會通過了《中華人民共和國電子簽名法》

(以下簡稱《電子簽名法》)，并于2005年4月1日起施行?！峨娮雍灻ā返某雠_，使數(shù)

字簽名這種電子簽名形式獲得了法律地位，開啟了中國電子商務立法的大門，為網(wǎng)絡(luò)經(jīng)濟

的發(fā)展提供了良好的環(huán)境。

3.數(shù)字證書、CA中心和公鑰基礎(chǔ)設(shè)施

1)數(shù)字證書

數(shù)字證書是網(wǎng)絡(luò)通信中標志各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet環(huán)境中

驗證身份的方式，它是由權(quán)威公正的第三方機構(gòu)——CA中心頒發(fā)的，用于證明證書中的公

鑰確實屬于該證書持有人。

(1)數(shù)字證書的作用。數(shù)字證書的作用主要體現(xiàn)在以下3個方面。

①身份認證。網(wǎng)上雙方經(jīng)過相互驗證數(shù)字證書后，不用再擔心對方身份的真?zhèn)?，?/p>

以放心地與對方進行交流或授予相應的資源訪問權(quán)限。

②加密傳輸信息。無論是文件、批文還是合同、票據(jù)、協(xié)議、標書等，都可以經(jīng)過

加密后在Internet上傳輸。發(fā)送方用接收方數(shù)字證書中所包含的公鑰對報文進行加密，接收

方用自己保密的私鑰進行解密，得到報文明文。

③數(shù)字簽名抗否認。在現(xiàn)實生活中用公章、簽名等來實現(xiàn)的抗否認在網(wǎng)上可以借助

數(shù)字證書的數(shù)字簽名來實現(xiàn)。

(2)數(shù)字證書的分類?；跀?shù)字證書的應用角度不同，數(shù)字證書可以分為以下幾種。

①服務器證書。被安裝于服務器設(shè)備上，用來證明服務器的身份(防站點假冒)和進行

通信加密，一般網(wǎng)上銀行的服務器通常都有相應的服務器證書。

②電子郵件證書。用于對電子郵件進行簽名和加密，認證郵件來源和保護郵件內(nèi)容

的機密性。

③個人客戶端證書?？蛻舳俗C書主要用來進行身份驗證和電子簽名。

④企業(yè)證書。頒發(fā)給獨立的單位、組織，在互聯(lián)網(wǎng)上證明該單位、組織的身份。

⑤代碼簽署證書。頒發(fā)給軟件開發(fā)者的證書，方便用戶識別軟件的來源和完整性。

數(shù)字證書可以存儲于計算機中，也可以存儲于專用的芯片中，為了提高數(shù)字證書的安

全性，防止受到病毒和木馬的攻擊，現(xiàn)在越來越多的重要場合將數(shù)字證書存儲到專用芯片

中。圖1-3所示為中國工商銀行頒發(fā)給網(wǎng)上銀行用戶的客戶端證書一U盾。

圖1-3中國工商銀行的U盾

2)CA中心

CA(CertificateAuthority)中心又稱證書授權(quán)中心，它是負責簽發(fā)證書、認證證書、管理

已頒發(fā)證書的第三方權(quán)威公證機關(guān)。CA中心在整個電子商務環(huán)境中處于至關(guān)重要的位置，

是電子商務整個信任鏈的基礎(chǔ)。如果CA中心頒發(fā)的數(shù)字證書不安全或者不具有權(quán)威性，那

么網(wǎng)上電子交易就無從談起。CA中心的權(quán)威性來自國家的認證，CA認證機構(gòu)必須獲得國

家頒發(fā)的《電子認證服務許可證》等資質(zhì)證書之后才能提供CA認證服務。

3)公鑰基礎(chǔ)設(shè)施

PKI(PublicKeyInfrastructure)是基于公鑰算法和技術(shù)，為網(wǎng)絡(luò)應用提供安全服務的基礎(chǔ)

設(shè)施，是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及的所有軟件、硬件的集合體。PKI的核心

元素是數(shù)字證書，核心執(zhí)行者是CA認證機構(gòu)。PKI的基本構(gòu)成包括以下幾個方面。

(1)權(quán)威認證機構(gòu)(CA),數(shù)字證書的簽發(fā)和管理機關(guān)。

(2)數(shù)字證書庫，用于存儲已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用

戶的證書及公鑰。

(3)密鑰備份及恢復系統(tǒng)，防止解密密鑰丟失。

(4)證書作廢處理系統(tǒng)，對密鑰泄露或用戶身份改變的情況要對證書進行作廢處理。

(5)應用接口系統(tǒng)。

1.3Internet網(wǎng)絡(luò)安全技術(shù)

1.3.1防病毒技術(shù)

1.計算機病毒概述

計算機病毒(ComputerVirus)是一種人為編制的能夠自我復制并傳播的一組計算機指令

或者程序代碼，它具有一定的破壞作用。目前，廣義的病毒也包括以竊取用戶信息為主的

木馬病毒。

□=重點：計算機病毒的特點。

1)計算機病毒的特點

計算機病毒雖然也是程序，但它和普通程序有所不同，具有區(qū)別于其他程序的明顯特

點。總體上講，無論什么樣的病毒，通常都具有以下幾個特點。

(1)破壞性。計算機病毒可以破壞計算機的操作系統(tǒng)、用戶數(shù)據(jù)甚至硬件設(shè)備(如20

世紀90年代初流行的CIH病毒，會破壞主板的BIOS,使主板損壞)。根據(jù)病毒作者意圖的

不同，病毒破壞性的表現(xiàn)也有所不同。

(2)傳染性。傳染性是計算機病毒的本質(zhì)特征，計算機病毒一般能夠通過網(wǎng)絡(luò)或者文

件復制進行傳染，傳染途徑非常多。

(3)潛伏性。有些病毒就像定時炸彈，病毒感染計算機后，不一定會立刻表現(xiàn)出其破

壞作用，而是會進行一段時間的潛伏，等待觸發(fā)條件滿足時才會發(fā)作，如“黑色星期五病

毒”只有在星期五時才會發(fā)作。病毒的潛伏性越好，其在系統(tǒng)中存在的時間就越長，傳染

的范圍也就越廣。

(4)隱藏性。計算機病毒具有很強的隱蔽性，它可以在不被人覺察的情況下進入計算

機系統(tǒng)，寄生于某些位置，并在不被覺察的情況下得到運行，有的可以通過殺毒軟件檢查

出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，給病毒預防的清除帶來極大困難。

計算機病毒的隱臧地點常在系統(tǒng)的引導區(qū)、可執(zhí)行文件、數(shù)據(jù)文件、硬盤分區(qū)表、分區(qū)根

目錄、操作系統(tǒng)目錄等。

隨著計算機病毒數(shù)量和技術(shù)的不斷演化，用戶的計算機系統(tǒng)和數(shù)據(jù)面臨越來越嚴峻的

考驗，但是不論病毒技術(shù)如何進化，病毒所具有的破壞性、傳染性、潛伏性、隱藏性四大

特征是沒有變化的，其中隱藏性是傳染性、潛伏性和破壞性得以實施和表現(xiàn)的根本保障。

2)計算機病毒的分類

從第一個計算機病毒出現(xiàn)以來，世界上究竟有多少種病毒，說法不一。至今病毒的數(shù)

量仍然以加速度方式不斷增加，且表現(xiàn)形式也日趨多樣化。通過適當?shù)臉藴拾阉鼈兎珠T別

類地歸納成幾種類型，從而更好地了解和掌握它們。在計算機病毒出現(xiàn)的早期，計算機病

毒的形式不多、變化不大，所以人們簡單地按照寄生方式將病毒分為引導型、文件型和混

合型3種?，F(xiàn)在的計算機病毒已經(jīng)有了很大變化，但是3種類型的分類法還是沿用至今，

只是對新的病毒冠以特殊的名稱，如宏病毒、腳本病毒、蠕蟲等。

(1)引導型病毒。這種病毒寄生于磁盤的主引導扇區(qū)，當運行被感染的MS-DOS系統(tǒng)

時，病毒被觸發(fā)。這種病毒開機即可啟動，且先于操作系統(tǒng)存在，其常駐內(nèi)存，破壞性很

大，典型的有Brain、小球病毒等。

(2)文件型病毒。這種病毒寄生在文件中(包括數(shù)據(jù)文件和可執(zhí)行文件)，當運行文件時

即可激活病毒，其常駐內(nèi)存，破壞性大。例如，2007年出現(xiàn)的“磁碟機”病毒，其主要寄

生對象是擴展名為.exe的可執(zhí)行文件，用戶通過肉眼很難判斷文件是否已經(jīng)寄生病毒。

(3)混合型病毒。集引導型病毒和文件型病毒的特點于一身，既感染磁盤的引導記錄,

又感染文件，因此它的破壞性更大，傳染機會更多，殺滅也更困難。

(4)宏病毒。它是由MSOffice的宏語言編寫(如VBA語言)，專門感染微軟MSOffice

軟件的一種病毒。MSOffice應用非常廣泛，而且宏語言簡單易學、功能強大，因此，宏病

毒廣泛流行。

(5)VBS腳本病毒。用微軟的VBScript腳本編寫，通過IE瀏覽器激活。當訪問一個被

感染的網(wǎng)頁時，病毒即被下載到本地并激活。

(6)蠕蟲。蠕蟲病毒是一種通過網(wǎng)絡(luò)自動傳染的惡性病毒，對計算機系統(tǒng)和網(wǎng)絡(luò)具有

極大的破壞性。

(7)木馬?！澳抉R”程序是目前比較流行的病毒，與傳統(tǒng)的病毒不同，它不會表現(xiàn)出

明顯的破壞作用。它通過偽裝吸引用戶下載執(zhí)行，執(zhí)行后盜取用戶計算機內(nèi)的有用數(shù)據(jù)或

者打開系統(tǒng)后門以方便黑客遠程連接和控制，其潛在的破壞性比傳統(tǒng)病毒大得多，所以目

前也將其稱為“第二代病毒”。

□=重點：計算機病毒的傳播途徑。

3)計算機病毒的傳播途徑

從第一個病毒的誕生到現(xiàn)在，病毒技術(shù)在不斷演化，其不僅種類繁多，與此同時其傳

播途徑也在不斷增多。病毒(含木馬)的傳播途徑主要有以下幾種。

(1)文件復制。這是病毒發(fā)展早期就采用的傳播途徑，但是由于文件復制的頻繁性，

時至今日這仍是病毒傳播的最主要途徑之一。用戶將移動存儲設(shè)備(如移動硬盤、U盤、可

刻錄光盤等)裝到感染病毒的計算機上后，病毒進程會自動在這些設(shè)備上寫入病毒文件，或

者是用戶復制了帶有病毒文件的文件夾，病毒被動地復制到存儲設(shè)備上。將這些帶有病毒

文件的移動存儲設(shè)備裝到其他計算機上時，很容易造成新的病毒感染。例如，病毒可以在

移動存儲設(shè)備的根目錄下建立一個名為的文件，利用操作系統(tǒng)的自動播放或者用戶雙擊來

感染計算機，讓用戶防不勝防。

(2)軟件下載。一些非正規(guī)的網(wǎng)站以軟件下載的名義，將病毒捆綁在軟件安裝程序上，

用戶下載后，只要運行這些程序，病毒就會安裝并運行。

(3)網(wǎng)頁瀏覽?，F(xiàn)在很多病毒(尤其是木馬病毒)都使用了網(wǎng)頁插件的方式傳播，如果瀏

覽器安全設(shè)置過低就很容易感染計算機。

(4)電子郵件附件。攻擊者將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只

要打開附件就很容易感染病毒。當用戶收到以EXE、VBS、VBE、JS、JSE、WSH、WSF

等為擴展名的附件時，在不能確認來源的情況下，建議謹慎打開。

(5)通過即時通信軟件進行傳染。目前大多數(shù)即時通信軟件(如、MSN等)都具備傳送

文件的能力，而病毒可以隱藏在程序或者圖片等文件中，隨著文件的分散而不斷得到傳

播。

(6)通過網(wǎng)絡(luò)自動傳染。蠕蟲病毒在傳染時可以不依賴于用戶的介入，只要接通網(wǎng)絡(luò)，

并且計算機存在相應的漏洞，就可以實現(xiàn)自動傳染，蠕蟲病毒的傳播將在后面詳細介紹。

4)計算機病毒的危害

(1)對計算機數(shù)據(jù)信息的直接破壞作用。部分病毒在發(fā)作時會直接破壞計算機的重要

信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用

無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMOS設(shè)置等。

(2)占用磁盤空間和對信息的破壞。寄生在磁盤上的病毒總要非法占用一部分磁盤空

間。引導型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導扇區(qū)，而把原來的引導區(qū)轉(zhuǎn)移

到其他扇區(qū)，也就是引導型病毒要覆蓋一個磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無

法恢復。一些文件型病毒傳染速度很快，在短時間內(nèi)就可感染硬盤中大量文件，使每個文

件體積都不同程度地變大，造成磁盤空間的嚴重浪費。

(3)搶占系統(tǒng)資源。除少數(shù)病毒外，大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然

搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當。病毒搶占內(nèi)

存，導致內(nèi)存減少，一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，計算機操作

系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實現(xiàn)的，病毒為了傳染發(fā)作，總是修改一些有關(guān)的

中斷地址，從而干擾了系統(tǒng)的正常運行。

(4)影響計算機運行速度。病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度，

其原因在于病毒運行時通常要監(jiān)視計算機的工作狀態(tài)，對病毒文件自身進行加密和解密等,

這些操作會占用大量的CPU時間，造成計算機速度變慢。

(5)計算機病毒錯誤與不可預見的危害。病毒程序的編制并不像正常程序的開發(fā)那樣，

發(fā)布前需要經(jīng)過大量的測試。很多計算機病毒都是個別人在一臺計算機上匆忙編制調(diào)試后

就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)，絕大部分病毒都存在不同程度的錯誤。

錯誤病毒的另一個主要來源是變種病毒。有些初學計算機者尚不具備獨立編制軟件的能力，

出于好奇或其他原因修改別人的病毒，生成病毒變種，其中隱含很多錯誤。計算機病毒錯

誤所產(chǎn)生的后果往往是不可預見的，有可能比病毒本身的危害性還要大。

(6)計算機病毒給用戶造成嚴重的心理壓力。據(jù)有關(guān)計算機銷售部門統(tǒng)計，計算機售

后用戶懷疑“計算機有病毒”而提出咨詢的約占售后服務工作量的60%以上，經(jīng)檢測確實

存在病毒的約占70%,另有30%的情況只是用戶懷疑，而實際上計算機并沒有病毒。在這

種疑似“有病毒”的情況下，用戶可能會選擇格式化硬盤，重新安裝操作系統(tǒng)，甚至有的

企業(yè)中斷服務器服務以進行檢查維護等，極大地影響了計算機系統(tǒng)的正常工作，造成一些

不必要的損失。

2.防病毒軟件

防病毒軟件技術(shù)是指通過病毒防護軟件來保護計算機免受病毒的攻擊和感染。防病毒

軟件國際上通稱為“反病毒軟件"(AntivirusSoftware),國內(nèi)通常稱之為殺毒軟件。隨著病

毒傳播方式的增多和隱蔽性的增強，殺毒軟件也集成了越來越多的功能。云計算是當今IT

領(lǐng)域新興的理念和技術(shù)，是未來IT行業(yè)的發(fā)展趨勢，依托云計算技術(shù)，發(fā)展出了云安全、

云殺毒等技術(shù)，這是未來很長一段時間內(nèi)防病毒軟件技術(shù)的發(fā)展趨勢。

反病毒軟件的兩大基本功能是實時監(jiān)控和掃描磁盤。反病毒軟件的實時監(jiān)控方式因軟

件而異。有的是通過在內(nèi)存里劃分一部分空間，將內(nèi)存中的程序代碼與反病毒軟件自身所

帶的病毒庫(包含病毒特征代碼)的特征碼相比較，以判斷是否為病毒。反病毒軟件開發(fā)商不

斷搜集新出現(xiàn)的病毒，搜集到樣本后對其進行分析，將其特征代碼納入病毒庫中，只有當

用戶更新殺毒軟件病毒庫后，其安裝的反病毒軟件才能識別新的病毒。另一些反病毒軟件

則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出

判斷。而掃描磁盤的方式，與實時監(jiān)控的工作方式類似，反病毒軟件會將磁盤上所有的文

件(或者用戶自定義的掃描范圍內(nèi)的文件)做一次檢查。

1.3.2防火墻技術(shù)

1.防火墻的概念

古人在房屋之間修建一道墻，這道墻可以防止發(fā)生火災時蔓延到其他房屋，因此被稱

為防火墻，與之類似，計算機網(wǎng)絡(luò)中的防火墻是在兩個網(wǎng)絡(luò)之間(如外網(wǎng)與內(nèi)網(wǎng)之間、LAN

的不同子網(wǎng)之間)加強訪問控制的一整套設(shè)施，可以是軟件、硬件或者是軟硬件結(jié)合體。防

火墻可以對內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的所有連接或通信按照預定的規(guī)則進行過濾，合法的

允許通過，不合法的不允許通過，以保護內(nèi)網(wǎng)的安全，如圖14所示。

防火墻

圖1-4防火墻

隨著網(wǎng)絡(luò)的迅速發(fā)展和普及，人們在享受信息化帶來的眾多好處的同時，也面臨著日

益突出的網(wǎng)絡(luò)安全問題。事實證明，大多數(shù)的黑客入侵事件都是因為未能正確安裝防火墻。

1)防火墻的作用

防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風險區(qū)域和安全區(qū)域。防火

墻的基本功能主要表現(xiàn)在以下幾個方面。

(1)限制未授權(quán)的外網(wǎng)用戶進入內(nèi)部網(wǎng)絡(luò)，保證內(nèi)網(wǎng)資源的私有性。

(2)過濾掉內(nèi)部不安全的服務被外網(wǎng)用戶訪問。

(3)對網(wǎng)絡(luò)攻擊進行檢測和告警。

(4)限制內(nèi)部用戶訪問特定站點。

(5)記錄通過防火墻的信息內(nèi)容和活動，為監(jiān)視Internet安全提供方便。

2)防火墻的局限性

值得注意的是，安裝防火墻之后并不能保證內(nèi)網(wǎng)主機和信息資源的絕對安全，防火墻

作為一種安全機制，也存在以下局限性。

(1)防火墻不能防范惡意的知情者，如不能防范惡意的內(nèi)部用戶通過磁盤復制將信息

泄露到外部。

(2)防火墻不能防范不通過它的連接。如果內(nèi)部用戶繞開防火墻和外部網(wǎng)絡(luò)建立連接,

那么這種通信是不能受到防火墻保護的。

(3)防火墻不能防備全部的威脅，，即未知的攻擊。

(4)防火墻不能查殺病毒，但可以在一定程度上防范計算機受到蠕蟲病毒的攻擊和

感染。

防火墻技術(shù)經(jīng)過不斷發(fā)展，已經(jīng)具有了抗IP假冒攻擊、抗木馬攻擊、抗口令字攻擊、

抗網(wǎng)絡(luò)安全性分析、抗郵件詐騙攻擊的能力，并且正朝著透明接入、分布式防火墻的方向

發(fā)展。但防火墻并不是萬能的，它需要與防病毒系統(tǒng)和入侵檢測系統(tǒng)等其他網(wǎng)絡(luò)安全產(chǎn)品

協(xié)同配合，進行合理分工，才能從可靠性和性能上滿足用戶的安全需求。

2.防火墻的分類

隨著防火墻的不斷發(fā)展，防火墻的分類也在不斷細化，具體分類如下。

1)按原理不同劃分

防火墻從原理上可以分為包過濾型防火墻、代理防火墻、狀態(tài)檢測防火墻和自適應代

理防火墻。

(1)包過濾型防火墻。

包過濾型防火墻在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇地通過，根據(jù)事先設(shè)置的過濾規(guī)則檢

查數(shù)據(jù)流中的每個包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過，拒絕發(fā)送可疑的包。包

過濾型防火墻工作在網(wǎng)絡(luò)層，所以又稱為網(wǎng)絡(luò)層防火墻。

網(wǎng)絡(luò)中的數(shù)據(jù)都是以包為單位進行傳輸?shù)模瑪?shù)據(jù)在發(fā)送端被分割成很多有固定結(jié)構(gòu)的

數(shù)據(jù)包，每個數(shù)據(jù)包包含包頭和數(shù)據(jù)兩大部分，包頭中含有源地址和目的地址等信息。包

過濾型防火墻讀取包頭信息，與信息過濾規(guī)則進行比較，按順序檢查規(guī)則表中的每一條規(guī)

則，直到發(fā)現(xiàn)包頭信息與某條規(guī)則相符。如果有一條規(guī)則不允許發(fā)送某個包，則將該包丟

棄；如果有一條規(guī)則允許通過，則將其進行發(fā)送，如果沒有任何一條規(guī)則符合，防火墻就

會使用默認規(guī)則，一般情況下，默認規(guī)則就是禁止該包通過。

V提醒：防火墻一般有兩種設(shè)計原則：一是除非明確允許，否則就禁止；二是除非明確

禁止，否則就允許。

常見的包過濾路由器是在普通路由器的基礎(chǔ)上加入IP過濾功能來實現(xiàn)的，因而也可以

認為是一種包過濾型防火墻?，F(xiàn)在安裝在計算機上的軟件防火墻(如“天網(wǎng)”等)幾乎都采取

了包過濾的原理來保護計算機安全。

(2)代理防火墻。

代理就是用專門的計算機(即代理服務器，位于內(nèi)網(wǎng)和外網(wǎng)之間)替代網(wǎng)內(nèi)計算機與外網(wǎng)

通信，由于切斷了內(nèi)網(wǎng)計算機和外網(wǎng)的直接連接，故起到了保護內(nèi)網(wǎng)安全的作用。

代理的基本工作過程是：當內(nèi)網(wǎng)的客戶端需要訪問外網(wǎng)服務器上的數(shù)據(jù)時，首先將請

求發(fā)送給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務

器將數(shù)據(jù)傳輸給客戶端。代理服務器通常有高速緩存，緩存中有用戶經(jīng)常訪問站點的內(nèi)容,

在下一個用戶要訪問同樣的資源時，服務器就不用重復地去取同樣的內(nèi)容，既節(jié)省了時間，

也節(jié)約了網(wǎng)絡(luò)資源。

(3)狀態(tài)檢測防火墻。

狀態(tài)檢測防火墻摒棄了包過濾型防火墻僅考查數(shù)據(jù)包的IP地址等兒個參數(shù)，而不關(guān)心

數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)

當成一個個會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅限于

規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制

能力。

該種防火墻由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常

是大量的數(shù)據(jù)包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到較大提高；而且，由

于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使安全性得到進

一步提局。

(4)自適應代理防火墻。

自適應代理技術(shù)是一種新穎的防火墻技術(shù)，把包過濾和代理服務等功能結(jié)合起來，形

成新的防火墻結(jié)構(gòu)，所用主機稱為堡壘主機，負責代理服務。在一定程度上反映了防火墻

目前的發(fā)展動態(tài)。該技術(shù)可以根據(jù)用戶定義的安全策略，動態(tài)適應傳送中的分組流量。如

果安全性要求較高，則安全檢查應在應用層完成，以保證代理防火墻的最大安全性；一旦

代理明確了會話的所有細節(jié)，其后的數(shù)據(jù)包就可以直接到達速度快得多的網(wǎng)絡(luò)層。該技術(shù)

兼?zhèn)淞舜砑夹g(shù)的安全性和其他技術(shù)的高效率。

2）按形式不同劃分

防火墻系統(tǒng)從形式上可分為基于軟件的防火墻和硬件防火墻?；谲浖姆阑饓r格

便宜，易于在多個位置進行部署，不利方面在于需要大量的管理和配置，而且依賴于操作

系統(tǒng)。硬件防火墻的優(yōu)點在于都使用專用的操作系統(tǒng)，安全性高于基于軟件的防火墻，采

用專用的處理芯片和電路，可以處理不斷增加的通信量，處理速度明顯高于軟件防火墻，

但價格高于軟件防火墻。目前，國外防火墻廠家比較著名的是Cisco、Juniper、Checkpoint,

Amaranten等，國內(nèi)的主要有天融信、安氏、啟明星辰等品牌。

3）按應用范圍不同劃分

防火墻根據(jù)應用范圍的不同，還可分為網(wǎng)絡(luò)防火墻和個人防火墻。網(wǎng)絡(luò)防火墻一般是

在網(wǎng)絡(luò)邊界布置，實現(xiàn)不同網(wǎng)絡(luò)的隔離與訪問控制。個人防火墻安裝在個人計算機上，用

于保護個人計算機的安全。

1.3.3虛擬專用網(wǎng)絡(luò)技術(shù)

1.虛擬專用網(wǎng)絡(luò)概述

傳統(tǒng)意義上，企業(yè)是基于專用的通信線路構(gòu)建自己的Internet（一般租用電信運營商的廣

域網(wǎng)服務），此種方法昂貴又缺乏靈活性，而通過Internet直接連接各分支機構(gòu)又缺乏足夠

的安全性和可擴展性。虛擬專用網(wǎng)絡(luò)技術(shù)便在此背景下誕生。

虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork,VPN）是在公用網(wǎng)絡(luò)上（一般是Internet,當然也

不局限于Internet,也可以是ISP的IP骨干網(wǎng)，甚至是企業(yè)的私有IP骨干網(wǎng)）所建立的企業(yè)

網(wǎng)絡(luò)，并且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點，它替代了傳統(tǒng)的

撥號訪問，利用公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)，節(jié)省了昂貴的長途費用。通過公網(wǎng)組建的

VPN,能夠讓企業(yè)在極低的成本下得到與私有網(wǎng)絡(luò)相同的安全性、可靠性和可管理性。

2.VPN的功能

總的來講，用戶通過VPN可以實現(xiàn)兩大功能。

1）遠程接入

用于遠程用戶通過公網(wǎng)接入企業(yè)內(nèi)部網(wǎng)，一般通過撥號方式接入。

2）遠程站點互聯(lián)

實現(xiàn)大范圍內(nèi)不同站點之間的互聯(lián)，構(gòu)建超遠距離的企業(yè)內(nèi)部網(wǎng)。VPN常見應用場景

如圖1-5所示。

遠程主機

圖1-5VPN應用場景

3.VPN的分類

就目前而言，VPN的分類方式比較混亂。不同的生產(chǎn)廠家在銷售其VPN產(chǎn)品時使用了

不同的分類方式，它們主要是從產(chǎn)品和協(xié)議的角度來劃分的。不同的ISP在開展VPN業(yè)務

時也推出了不同的分類方式，主要是從業(yè)務開展的角度來劃分的。而用戶往往也有自己的

劃分方法，主要是根據(jù)自己的需求來進行的。下面就簡單介紹從協(xié)議的角度進行VPN劃分

方式。

按協(xié)議實現(xiàn)類型劃分VPN,是VPN廠商和ISP最為關(guān)心的劃分方式，也是目前最通用

的一種劃分方式。根據(jù)分層模型，VPN可以在第二層建立，也可以在第三層建立(甚至有人

把在更高層的一些安全協(xié)議也歸入VPN協(xié)議)。

(1)第二層隧道協(xié)議，包括點到點隧道協(xié)議(PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F)、第二層隧

道協(xié)議(L2TP)、多協(xié)議標記交換(MPLS)等。

(2)第三層隧道協(xié)議，包括通用路由封裝協(xié)議(GRE)和IP安全(IPSec),這是目前最流

行的兩種第三層隧道協(xié)議。

第二層和第三層隧道協(xié)議的區(qū)別主要在于，用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，

其中GRE、IPSec和MPLS主要用于實現(xiàn)專線VPN業(yè)務，L2Tp主要用于實現(xiàn)撥號VPN業(yè)

務(但也可以用于實現(xiàn)專線VPN業(yè)務)，當然這些協(xié)議之間本身是不沖突的，可以結(jié)合使用。

1.3.4鏈路層安全技術(shù)

1.地址解析協(xié)議攻擊防護技術(shù)

地址解析協(xié)議(AddressResolutionProtocol,ARP)是早期網(wǎng)絡(luò)協(xié)議，缺乏應有的安全性，

因此，目前利用ARP的缺點實施的攻擊層出不窮，給用戶帶來了很大的不便和安全隱患。

ARP攻擊主要是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量

的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應包就能更改目標主

機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬病毒，

則感染該ARP木馬病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計算機

的通信信息，并因此造成網(wǎng)內(nèi)其他計算機的通信故障。ARP攻擊的防范主要是形成正確的

IP地址和MAC地址的綁定關(guān)系，目前，針對ARP攻擊的技術(shù)層出不窮，不同通信廠商都

有相應的技術(shù)。主要有以下幾種類型：①軟件安全廠商的ARP防火墻；②主流殺毒軟件；

③主流通信廠商的技術(shù)。

例如，Cisco公司推出DAI(DynamicARPInspection)技術(shù)、H3c公司推出ARPDetection

技術(shù)等。

2,端口隔離技術(shù)

端口隔離技術(shù)是為了實現(xiàn)報文之間的二層隔離。早期是通過VLAN技術(shù)實現(xiàn)二層隔離,

即將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離特性,

可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入隔離組中，就可以實現(xiàn)隔

離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)

方案。

1.3.5網(wǎng)絡(luò)層安全技術(shù)

早期IP協(xié)議被設(shè)計成在可信任的網(wǎng)絡(luò)上提供通信服務。IP本身只提供通信服務，缺乏

安全性，當網(wǎng)絡(luò)規(guī)模不斷擴充，越來越不安全時，發(fā)生竊聽、篡改、偽裝等問題的概率就

大大增加。為此，就需要在網(wǎng)絡(luò)層提供一種安全技術(shù)以彌補IP協(xié)議安全性差的缺點。

IPSec(IPSecurity),即IP安全協(xié)議，就是一種典型的網(wǎng)絡(luò)層安全保護機制，可以在通信

節(jié)點之間提供一個或多個安全通信的路徑。IPSec在網(wǎng)絡(luò)層對IP報文提供安全服務，其本

身定義了如何在IP報文中增加字段來保證IP報文的完整性、私有性和真實性，以及如何

加密數(shù)據(jù)。IPSec并非單一的網(wǎng)絡(luò)協(xié)議，它是由一系列的安全開放協(xié)議構(gòu)成。它使一個系

統(tǒng)能選擇其所需的安全協(xié)議，確定安全服務所使用的算法，并為相應安全服務配置所需的

密鑰。

1.3.6傳輸層安全協(xié)議

1.安全套接層協(xié)議的概念

安全套接層(SecuritySocketLayer,SSL)協(xié)議是網(wǎng)景(Netscape)公司提出的基于Web應

用的安全協(xié)議，該協(xié)議向基于TCP/IP的客戶端/服務器應用程序提供客戶端和服務器的鑒

別、數(shù)據(jù)完整性及信息機密性等安全措施。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之

間，為數(shù)據(jù)通信提供安全支持。

2.安全套接層協(xié)議的功能

1)客戶對服務器的身份認證

在服務器和客戶端都使用SSL協(xié)議的情況下，客戶瀏覽器可以通過檢查服務器的數(shù)字

證書來確認服務器的合法性。

2)服務器對客戶的身份認證

服務器也可以有選擇性地要求客戶端出示其數(shù)字證書來核實客戶的身份，SSL中這個

功能是可選的。

3)建立服務器與客戶端之間安全的數(shù)據(jù)通道

安全套接層協(xié)議下，客戶端與服務器之間所有發(fā)送的數(shù)據(jù)都是經(jīng)過加密的，可防止信

息在傳輸過程中泄露，同時可以保證信息在傳輸過程中的完整性。

3.安全套接層協(xié)議的工作原理

SSL協(xié)議的工作原理如圖1-6所示，其基本過程包括以下幾個方面。

(1)客戶端發(fā)出訪問服務器資源的請求，協(xié)議為HTTPS(安全超文本傳輸協(xié)議)。

(2)服務器返回數(shù)字證書給客戶端，數(shù)字證書中包含服務器的公鑰。

客戶堵發(fā)出安全會話請求

(HTTPS:///somedata.htnil)

服務器發(fā)送X.50航F書（包含服務器的公用密胡）

客戶籍用已知的CA列表來認證證書

（如果不知道CA,瀏覽器會讓用戶選擇自擔風險接受證書）

客戶端生成隨機對稱密鑰，

并用朦務器的公用密鑰加密

客戶潔和服務器韻D道了對稱密鑰，并用它來加

密會話期間的最終用戶數(shù)據(jù)

圖1-6SSL協(xié)議的工作過程

（3）客戶端收到證書，通過判斷證書的有效性來推斷服務器的真實性。客戶端主要檢

查數(shù)字證書的以下幾項內(nèi)容：

①根據(jù)客戶端上的可信任證書頒發(fā)機構(gòu)列表來檢查證書是否由可信任機構(gòu)頒發(fā)；

②檢查證書是否在有效期內(nèi)；

③檢查證書上列出的地址和地址欄的地址是否

吻合；

④檢查證書是否已吊銷（默認情況下不會檢查

該項）。

如果證書合法則進行后續(xù)步驟，如果證書有問題，

則客戶端會給出警告信息，如圖1-7所示。

（4）客戶端隨機生成對稱密鑰，并用服務器數(shù)字證

書中的公鑰將其加密，發(fā)送給服務器。圖1-7數(shù)字證書驗證提示

（5）服務器收到加密之后的對稱密鑰，并用自己的

私鑰解密，獲得和客戶端相同的隨機對稱密鑰，這樣客戶端和服務器之間的通信數(shù)據(jù)就可

以進行加密傳輸，形成了一個安全的數(shù)據(jù)通道。

SSL協(xié)議廣泛應用于網(wǎng)上銀行、各種賬號（如電子郵箱賬號、上網(wǎng)卡賬號）登錄等，給用

戶提供了驗證服務器真實性的手段，對防范“網(wǎng)絡(luò)釣魚”起到了重要的作用，也較好地保

護用戶的賬戶信息不會因為受到網(wǎng)絡(luò)監(jiān)聽而泄露。由于SSL技術(shù)已建立到所有主要的瀏覽

器和Web服務器程序中，因此，僅需安裝數(shù)字證書就可以激活服務器功能了。

1.3.7應用層安全協(xié)議

1.S/MIME

S/MIME(SecureMultipurposeInternetMailExtensions)安全的多功能Internet電子郵件擴

充，是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎(chǔ)上添加數(shù)字簽名和加密

技術(shù)的一種協(xié)議。MIME是正式的Internet電子郵件擴充標準格式，但它未提供任何安全服

務功能。S/MIME的目的是在MIME上定義安全服務措施的實施方式。S/MIME已成為產(chǎn)業(yè)

界廣泛認可的協(xié)議，如Microsoft公司、Netsc叩e公司、Novell公司、Lotus公司等都支持該

協(xié)議。

2.HTTPS

HTTPS(HyperTextTransferProtocoloverSecureSocketLayer),是以安全為目標的HTTP

通道，簡單地講是HTTP的安全版，即在HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL,

因此，加密的詳細內(nèi)容就需要SSL。它是一個URIScheme(抽象標識符體系)，句法類同http:

體系，用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同于

HTTP的默認端口及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統(tǒng)的最初研發(fā)由

Netscape公司進行，并內(nèi)置于其瀏覽器NetscapeNavigator中，提供了身份驗證與加密通信

方法?，F(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通信，如交易支付方面。

3.SET

SET(SecureElectronicTransaction.安全電子交易協(xié)議)由威士(VISA)國際組織、萬事達

(MasterCard)國際組織創(chuàng)建，結(jié)合IBM、Microsoft、Netscape>GTE等公司制定的電子商務

中安全電子交易的一個國際標準。

SET是一種應用于Internet環(huán)境下，以信用卡為基礎(chǔ)的安全電子交付協(xié)議，它給出了一

套電子交易的過程規(guī)范。通過SET協(xié)議可以實現(xiàn)電子商務交易中的加密、認證、密鑰管理

機制等，保證了在Internet上使用信用卡進行在線購物的安全。

1.4操作系統(tǒng)安全

操作系統(tǒng)是其他軟件運行的平臺，也是計算機網(wǎng)絡(luò)功能得以發(fā)揮的前提。操作系統(tǒng)的

安全職能是網(wǎng)絡(luò)安全職能的根基，有效防止病毒、木馬、黑客等網(wǎng)絡(luò)威脅必須依賴于操作

系統(tǒng)本身的安全，如果缺乏這個安全的根基，構(gòu)筑在其上的應用系統(tǒng)安全性將得不到保障。

本節(jié)主要介紹Windows操作系統(tǒng)下的常用安全功能與設(shè)置。

1.4.1賬號和組的管理

在Windows操作系統(tǒng)中，為了防止網(wǎng)絡(luò)或者本地非法用戶登錄使用系統(tǒng)，采用了賬號

安全機制。用戶賬號是用來登錄到計算機或通過網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源的憑證。操作系統(tǒng)通過

賬號來識別登錄的用戶，通過密碼來驗證用戶，只有能夠提供正確的操作系統(tǒng)賬號和密碼

的用戶才能登錄并使用操作系統(tǒng)。賬號分為自定義賬號和內(nèi)置賬號。自定義賬號可以由計

算機管理員創(chuàng)建并分配給不同的用戶。內(nèi)置賬號是在安裝操作系統(tǒng)過程中創(chuàng)建的，不由計

算機管理手動創(chuàng)建，如系統(tǒng)管理員賬號(Administrator)和來賓賬號(Guest)。

組是用戶賬號的集合，組的引入簡化了管理。通過建立組，可以簡化對大量用戶進行

管理和確定權(quán)限的任務。操作系統(tǒng)中的每一個賬號都屬于一個或者多個組，并享受該組相

應的權(quán)限。如果一個賬號同時屬于多個組，則享受各組權(quán)限的累加。類似地，組也分為內(nèi)

置組和自定義組。

拿重點：操作系統(tǒng)中賬號的創(chuàng)建。

1.本地賬號和組的創(chuàng)建

本地用戶賬號駐留在本地計算機的安全賬號數(shù)據(jù)庫中，只能用于登錄到本地計算機上,

訪問本地計算機上的資源。只要使用管理員賬號登錄系統(tǒng)，即可創(chuàng)建賬號和組，創(chuàng)建賬號

的方法如下：依次選擇“開始”一“設(shè)置”一“控制面板”命令，打開“控制面板”窗口，

單擊“管理工具”圖標，然后雙擊“計算機管理”圖標，單擊“本地用戶和組”選項，右

擊“用戶”選項，在彈出的快捷菜單中選擇“新用戶”命令，彈出圖1-8所示的對話框，輸

入“用戶名”和“密碼”等信息，單擊“創(chuàng)建”按鈕即可。

組的創(chuàng)建和賬號的創(chuàng)建是類似的，右擊“組”選項，在彈出的快捷菜單中選擇“新建

組”命令，彈出圖1-9所示的對話框，輸入組名，并添加組的成員，然后單擊“創(chuàng)建”按鈕

即可。

圖1-8創(chuàng)建新賬號圖1-9創(chuàng)建組

2.常見的內(nèi)置組

在默認情況下，Windows操