第9章計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用Contents網(wǎng)絡(luò)安全概述1計(jì)算機(jī)病毒2防火墻技術(shù)3

9.1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的所有信息資源的安全。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)等多學(xué)科領(lǐng)域的一門學(xué)科。9.1.1網(wǎng)絡(luò)安全的定義和目標(biāo)從廣義來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。從用戶的角度而言，主要保證個(gè)人數(shù)據(jù)和信息在網(wǎng)絡(luò)傳輸過程中的保密性、完整性和真實(shí)性，避免數(shù)據(jù)的丟失、破壞和泄露，防止自己的利益被侵犯。對(duì)網(wǎng)絡(luò)管理者而言，保證網(wǎng)絡(luò)的正常運(yùn)行，對(duì)網(wǎng)絡(luò)上的資源進(jìn)行合理、有效的管理和控制。

9.1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)，防止因偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，服務(wù)不中斷。

機(jī)密性：信息不泄露給非授權(quán)的用戶，只向授權(quán)的用戶提供信息，避免信息的泄露。

可用性：信息能被授權(quán)的用戶訪問并且能使用。

完整性：信息在傳輸過程中不能被有意或無意地更改，只能被授權(quán)的用戶修改，保證數(shù)據(jù)的完整。

可控性：在授權(quán)范圍內(nèi)，能對(duì)傳播的信息進(jìn)行控制。

可審查性：對(duì)發(fā)生網(wǎng)絡(luò)問題的事情可以提供記錄，為調(diào)查提供依據(jù)。5.1局域網(wǎng)的基本概念9.1.2網(wǎng)絡(luò)不安全因素網(wǎng)絡(luò)不安全的因素有很多種，有自然因素、環(huán)境因素、人為因素等。

（1）黑客的攻擊。黑客在網(wǎng)上的攻擊活動(dòng)正以每年10倍的速度增長，黑客攻擊涉及了所有的操作系統(tǒng)。黑客利用網(wǎng)上的任何漏洞和缺陷修改網(wǎng)頁、非法進(jìn)入主機(jī)、進(jìn)入銀行盜取和轉(zhuǎn)移資金、竊取軍事機(jī)密、發(fā)送假冒的電子郵件等，造成了無法挽回的政治損失、經(jīng)濟(jì)損失和其他方面的損失。（2）計(jì)算機(jī)病毒。在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒可以按指數(shù)增長方式進(jìn)行傳染，其傳播速度是非網(wǎng)絡(luò)環(huán)境下的幾十倍。一旦計(jì)算機(jī)網(wǎng)絡(luò)染上病毒，遠(yuǎn)比一臺(tái)單機(jī)染上病毒的危害性大，具有破壞性大、傳播性強(qiáng)、擴(kuò)散面廣、針對(duì)性強(qiáng)、傳染方式多、清除難度大等特點(diǎn)。

9.1網(wǎng)絡(luò)安全概述

目前對(duì)網(wǎng)絡(luò)安全攻擊主要有4種表現(xiàn)方式：中斷、截獲、篡改和偽造。中斷是以可用性作為攻擊目標(biāo)，非法用戶破壞網(wǎng)絡(luò)上的傳輸，使通信網(wǎng)絡(luò)中斷。截獲是以機(jī)密性作為攻擊目標(biāo)，不法用戶從網(wǎng)絡(luò)上非法竊取其他用戶的信息。篡改是以完整性作為攻擊目標(biāo)，非授權(quán)用戶不僅獲得訪問而且對(duì)數(shù)據(jù)進(jìn)行修改。偽造是以真實(shí)性作為攻擊目標(biāo)，非授權(quán)用戶偽造一些信息發(fā)到網(wǎng)絡(luò)上進(jìn)行傳播。9.1網(wǎng)絡(luò)安全概述

9.1.3網(wǎng)絡(luò)安全措施（1）提高自我意識(shí)。不要因?yàn)橐粫r(shí)好奇心，隨意執(zhí)行網(wǎng)絡(luò)上的一些可執(zhí)行文件。（2）對(duì)于硬件設(shè)備，避免非法操作。制定規(guī)章制度，設(shè)置用戶的身份認(rèn)證和使用權(quán)限，防止越權(quán)操作。（3）安裝殺毒軟件。對(duì)使用的系統(tǒng)定時(shí)進(jìn)行殺毒清理工作。（4）設(shè)置防火墻。用來限制外部非法網(wǎng)絡(luò)訪問內(nèi)部資源，是網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)。（5）設(shè)置訪問控制。對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。（6）對(duì)傳輸中的數(shù)據(jù)信息進(jìn)行加密處理。加密處理由許多的加密算法來完成。

9.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一種計(jì)算機(jī)指令或者程序代碼。

9.2.1計(jì)算機(jī)病毒的特點(diǎn)（1）傳染性（2）潛伏性（3）隱蔽性（4）破壞性（5）可觸發(fā)性9.2計(jì)算機(jī)病毒9.2.2計(jì)算機(jī)病毒的分類1．按照傳染性質(zhì)來分（1）引導(dǎo)區(qū)病毒：引導(dǎo)區(qū)病毒感染硬盤或軟盤的引導(dǎo)區(qū)。系統(tǒng)啟動(dòng)時(shí)，病毒就會(huì)駐留在內(nèi)存中，會(huì)感染其他盤的引導(dǎo)區(qū)，影響到磁盤的主引導(dǎo)記錄或者破壞磁盤上的文件分區(qū)表。（2）文件型病毒：這類病毒一般寄生在文件中，特別是一些可執(zhí)行文件，如.EXE、BIN或者SYS。病毒每激活一次，就會(huì)執(zhí)行大量的操作，并進(jìn)行自身的復(fù)制。（3）宏病毒：這是一種特殊文件的病毒，主要針對(duì)一些文件操作，影響對(duì)文檔的各項(xiàng)操作，如打開、存儲(chǔ)等。宏病毒一旦觸發(fā)，就開始破壞和傳染文件。

9.2計(jì)算機(jī)病毒2．按照破壞能力來分（1）無害型：這類病毒除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其他影響。（2）無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。（3）危險(xiǎn)型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。（4）非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中的重要信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無法預(yù)料的、災(zāi)難性的破壞。9.2計(jì)算機(jī)病毒3．按照病毒傳染的方法（1）駐留型病毒：將自身駐留在內(nèi)存中，掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中，它處于激活狀態(tài)，一直到關(guān)機(jī)或重新啟動(dòng)。（2）非駐留型病毒：激活時(shí)并不感染計(jì)算機(jī)內(nèi)存，只感染一些可執(zhí)行文件。一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進(jìn)行傳染，這類病毒也被劃分為非駐留型病毒。9.2計(jì)算機(jī)病毒

9.2.3計(jì)算機(jī)病毒防范（1）提高網(wǎng)絡(luò)安全意識(shí)。不要因?yàn)楹闷嫘碾S意執(zhí)行下載程序。（2）注意U盤或移動(dòng)磁盤的使用?，F(xiàn)在很多的病毒傳播都是通過移動(dòng)磁盤進(jìn)行傳播的，在使用這些磁盤時(shí)要進(jìn)行磁盤掃描。（3）安裝防毒軟件。當(dāng)感覺系統(tǒng)運(yùn)行不順暢時(shí)，進(jìn)行殺毒清理工作，在一定的程度上可以有效查殺病毒。（4）下載資源選取可靠站點(diǎn)。下載完成后對(duì)文件一定要進(jìn)行病毒掃描。（5）對(duì)系統(tǒng)進(jìn)行下載更新，修補(bǔ)漏洞。計(jì)算機(jī)病毒的攻擊往往都是針對(duì)系統(tǒng)漏洞產(chǎn)生和傳播的。（6）設(shè)置防火墻過濾措施?？梢栽鰪?qiáng)計(jì)算機(jī)對(duì)黑客和惡意代碼攻擊的免疫力。

9.3防火墻技術(shù)

防火墻技術(shù)目前廣泛應(yīng)用于網(wǎng)絡(luò)中，是一種很好的網(wǎng)絡(luò)安全策略。它可以在內(nèi)網(wǎng)和外網(wǎng)之間建立一道屏障，既能防止未授權(quán)的用戶非法訪問內(nèi)部信息，又能阻止用戶非法將內(nèi)部信息傳遞出去。9.3.1防火墻的定義

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成，在兩個(gè)不同網(wǎng)絡(luò)之間構(gòu)造的一道保護(hù)屏障。在網(wǎng)絡(luò)通信時(shí)，進(jìn)行安全策略控制，符合安全策略的數(shù)據(jù)流才能通過防火墻

外網(wǎng)要連接上內(nèi)網(wǎng)，必須首先連接到防火墻上；同樣，內(nèi)網(wǎng)要連接到外網(wǎng)上，也必須首先連接到防火墻上。。

9.3防火墻技術(shù)

防火墻的作用可以概括如下。（1）對(duì)內(nèi)網(wǎng)實(shí)現(xiàn)集中的網(wǎng)絡(luò)安全管理，防止非法訪問進(jìn)入內(nèi)部網(wǎng)絡(luò)，抵抗來自外部的攻擊，簡化網(wǎng)絡(luò)管理，強(qiáng)化網(wǎng)絡(luò)安全。（2）防火墻可以方便監(jiān)視網(wǎng)絡(luò)的安全并及時(shí)報(bào)警。（3）能實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。隨著網(wǎng)絡(luò)的迅速發(fā)展，IP地址越來越少，在防火墻位置設(shè)置NAT能理想實(shí)現(xiàn)內(nèi)部私有地址到外部地址的映射。（4）防火墻是審查和記錄網(wǎng)絡(luò)訪問的最佳位置。（5）能隔開網(wǎng)絡(luò)中的不同網(wǎng)段，防止一個(gè)網(wǎng)段的問題通過網(wǎng)絡(luò)傳播影響到整個(gè)網(wǎng)絡(luò)。9.3防火墻技術(shù)9.3.2防火墻的類型

按照防火墻對(duì)數(shù)據(jù)的處理方法可以將防火墻分為兩類，即數(shù)據(jù)包過濾防火墻和代理防火墻。1．?dāng)?shù)據(jù)包過濾防火墻數(shù)據(jù)包過濾防火墻也稱為網(wǎng)絡(luò)級(jí)防火墻。它是一種IP封包過濾器，運(yùn)作在底層的TCP/IP協(xié)議棧上。數(shù)據(jù)包過防火墻是為系統(tǒng)提供安全保障的主要技術(shù)。根據(jù)系統(tǒng)設(shè)置的邏輯過濾，對(duì)通過的數(shù)據(jù)信息進(jìn)行控制，滿足過濾設(shè)置數(shù)據(jù)就通過防火墻轉(zhuǎn)發(fā)出去，不滿足的就丟棄。

9.3防火墻技術(shù)

包過濾防火墻的最大優(yōu)點(diǎn)：過濾發(fā)生在網(wǎng)絡(luò)層和傳輸層；在一個(gè)關(guān)鍵位置放入一個(gè)數(shù)據(jù)包過濾路由器有助于保護(hù)整個(gè)網(wǎng)絡(luò)；所有的通信都必須通過包過濾路由器，在網(wǎng)絡(luò)方面能取得較好的效果，使用起來也非常方便。包過濾防火墻的缺點(diǎn)：沒有用戶的使用記錄，不能從訪問記錄中發(fā)現(xiàn)攻擊記錄，只能檢查地址和端口；對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力；對(duì)網(wǎng)絡(luò)的保護(hù)能力有限。

9.3防火墻技術(shù)

2．代理防火墻

代理防火墻工作在網(wǎng)絡(luò)的最高層（應(yīng)用層），位于內(nèi)部網(wǎng)和外部網(wǎng)之間。它對(duì)每種應(yīng)用服務(wù)實(shí)現(xiàn)監(jiān)控和控制，起到中間轉(zhuǎn)換和隔離的作用。當(dāng)代理服務(wù)器收到訪問請(qǐng)求時(shí)，便會(huì)檢查請(qǐng)求是否符合要求，符合要求則應(yīng)答并請(qǐng)求回復(fù)。從外部訪問只能看到代理服務(wù)，而無法獲得內(nèi)部信息。

代理防火墻的典型優(yōu)點(diǎn)：因?yàn)樗ぷ髟趹?yīng)用層，設(shè)置一定的規(guī)則，讓代理服務(wù)能生成各項(xiàng)記錄和控制進(jìn)出流量。代理防火墻的缺點(diǎn)：在應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容，所以速度比較慢，配置代理服務(wù)也是一項(xiàng)較復(fù)雜的工作。9.3防火墻技術(shù)

9.3.3典型防火墻的體系結(jié)構(gòu)1．雙宿主機(jī)結(jié)構(gòu)

用一臺(tái)裝有兩塊網(wǎng)卡的保壘主機(jī)作為防火墻，各自的網(wǎng)卡與受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。由于保壘主機(jī)可以連接兩個(gè)不同的網(wǎng)絡(luò)，所以可以起到防火墻的作用，當(dāng)信息通過時(shí)，可以檢查數(shù)據(jù)包，根據(jù)安全策略進(jìn)行處理。2．屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)通常由包過濾路由器和保壘主機(jī)組成，包過濾路由器與Internet相連，保壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)中，在路由器上設(shè)置過濾規(guī)則。保壘主機(jī)是外部網(wǎng)絡(luò)唯一可直接到達(dá)的結(jié)點(diǎn)，這種屏蔽主機(jī)結(jié)構(gòu)確保了內(nèi)部網(wǎng)不遭受外部未授權(quán)用戶的攻擊。

9.3防火墻技術(shù)

3．屏蔽子網(wǎng)結(jié)構(gòu)在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)置一個(gè)被隔離的子網(wǎng)，稱為非軍事區(qū)（DMZ）。兩個(gè)包過濾路由器放置在子網(wǎng)的兩端將內(nèi)部網(wǎng)與外部網(wǎng)分開，在子網(wǎng)中設(shè)置一個(gè)保壘主機(jī)作為唯一可訪問結(jié)點(diǎn)，內(nèi)部網(wǎng)和外部網(wǎng)都能訪問屏蔽子網(wǎng)，但不能穿過屏蔽子網(wǎng)進(jìn)行通信。

9.4信息加密技術(shù)

9.4.1信息加密技術(shù)概述

信息加密是一個(gè)綜合性的學(xué)科知識(shí)，它涉及信息論、計(jì)算機(jī)科學(xué)、密碼學(xué)等多方面的知識(shí)。它的主要任務(wù)是研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法以實(shí)現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實(shí)和完整，是保證信息安全和保密的重要手段之一。人們很早就開始對(duì)重要的信息進(jìn)行保密傳送，如使用暗語或用其他內(nèi)容替換要傳送的信息等。一個(gè)加密系統(tǒng)一般由4個(gè)部分組成：未加密的信息，稱為明文；

加密后的信息，稱為密文；加密解密算法；加密解密的密鑰。發(fā)送方用加密密鑰，通過加密算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對(duì)信息起到保密作用。9.4信息加密技術(shù)

目前比較流行的兩種加密體制為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。9.4.2信息加密技術(shù)的應(yīng)用1．電子商務(wù)

廣泛被采用的加密措施有數(shù)字證書、數(shù)字簽名

數(shù)字證書是由CA（CertificateAuthority）證書授權(quán)中心發(fā)行的，能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來證明自己的身份和識(shí)別對(duì)方的身份。它是作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中的合法性檢測，對(duì)交易雙方所需的數(shù)字證書進(jìn)行管理和控制。

9.4信息加密技術(shù)

數(shù)字證書具有唯一性和可靠性。通常數(shù)字證書采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰私鑰，用它進(jìn)行解密和簽名；同時(shí)，設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。數(shù)字簽名（DigtalSignature）就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所做的密碼變換。用來保證接收的信息來自于發(fā)送者，具有不可否認(rèn)性。同時(shí)，也保證信息發(fā)送后沒有做過任何修改，保證其完整性和真實(shí)性。數(shù)字簽名是對(duì)電子形式的消息進(jìn)行簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。9.4信息加密技術(shù)

數(shù)字簽名的應(yīng)用過程是：數(shù)據(jù)源發(fā)送方使用自己的私鑰對(duì)所要發(fā)送的數(shù)據(jù)信息進(jìn)行加密處理，這就完成了數(shù)據(jù)信息的合法簽名；數(shù)據(jù)接收方則利用對(duì)方的公鑰來驗(yàn)證收到的信息確認(rèn)其“數(shù)字簽名”，用驗(yàn)證的結(jié)果來檢驗(yàn)數(shù)據(jù)的完整性和真實(shí)性，確認(rèn)簽名的合法性。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實(shí)生活中的“親筆簽字”，在技術(shù)上和法律上都有保證。在數(shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密。2．加密技術(shù)在VPN中的應(yīng)用虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是連接在Internet上位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立的一條專有通信線路，構(gòu)成一個(gè)更大的局域網(wǎng)絡(luò)，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。9.4信息加密技術(shù)

虛擬專用網(wǎng)建立連接之后，由于要在Internet上進(jìn)行數(shù)據(jù)傳輸，為了保證其安全性，必須采用加密技術(shù)來保證數(shù)據(jù)的安全傳輸

,例如，使用具有加密/解密功能的路由器。

3．?dāng)?shù)字水印許多創(chuàng)作和生產(chǎn)成果都以數(shù)字的方式存儲(chǔ)和傳輸，而網(wǎng)絡(luò)技術(shù)為數(shù)字作品的使用和傳播提供了便利的途徑。然而，數(shù)字作品極容易被非法拷貝和復(fù)制，使得許多版權(quán)所有者不愿意輕易公開其作品，這在相當(dāng)程度上阻礙了其自身的發(fā)展。盜版已經(jīng)成為對(duì)數(shù)字化產(chǎn)業(yè)的最大威脅，對(duì)數(shù)字媒體版權(quán)所有者來說，版權(quán)保護(hù)的要求迫在眉睫。數(shù)字水印的基本思想是在數(shù)字圖像、音頻、視頻等數(shù)字產(chǎn)品中嵌入秘密信息，以便保護(hù)數(shù)字產(chǎn)品的版權(quán)，證明產(chǎn)品的真實(shí)可靠性，跟蹤盜版行為或者提供產(chǎn)品的附加信息。其中的秘密信息可以是版權(quán)標(biāo)志、用戶序列號(hào)或者是產(chǎn)品相關(guān)信息。9.4信息加密技術(shù)

一般它需要經(jīng)過適當(dāng)變化再嵌入到數(shù)字產(chǎn)品中，通常稱變化后的秘密信息為數(shù)字水?。―igitalWatermark）。通常定義水印為如下信號(hào)：

w={wi|wi∈O,i=0,1,2，…,m－1} 式中，M為水印序列的長度，O代表值域。一個(gè)數(shù)字水印產(chǎn)品包括嵌入的水印信息和作為嵌入水印信息的載體。可定義一個(gè)9元體（M，X，W，K，G，Em，At，D，Ex）（1）M代表所有可能原始信息的集合。