第9章計(jì)算機(jī)網(wǎng)絡(luò)安全

熟練掌握：計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念和計(jì)算機(jī)網(wǎng)絡(luò)所面臨的安全威脅。掌握：常用數(shù)據(jù)加密技術(shù)、防火墻技術(shù)和常用網(wǎng)絡(luò)防病毒技術(shù)。了解：計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)。9.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，以Internet為代表的全球性信息化浪潮日益高漲，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正逐漸深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的有政府部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)技術(shù)的普及，信息安全問(wèn)題成了人們?nèi)找骊P(guān)注的問(wèn)題，而Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)信息安全也提出了更高的要求。9.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全概念

網(wǎng)絡(luò)安全（NetworkSecurity）是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。9.1.2計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)受到的威脅來(lái)自于網(wǎng)絡(luò)的內(nèi)部和外部?jī)蓚€(gè)方面，主要表現(xiàn)有：非法授權(quán)訪問(wèn)、假冒合法用戶、病毒破壞、線路竊聽、干擾系統(tǒng)正常運(yùn)行、修改或刪除數(shù)據(jù)等。這些威脅大致可分為無(wú)意威脅和故意威脅兩大類。9.1.3網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級(jí)

常見的計(jì)算機(jī)信息系統(tǒng)安全等級(jí)的劃分有兩種：一種是依據(jù)美國(guó)國(guó)防部發(fā)表的評(píng)估計(jì)算機(jī)系統(tǒng)安全等級(jí)的桔皮書，將計(jì)算機(jī)安全等級(jí)劃分為4類8級(jí)，即A2、A1、B3、B2、B1、C2、C1、D；另一種是依據(jù)我國(guó)頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859—1999），將計(jì)算機(jī)安全等級(jí)劃分為5級(jí)。9.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是研究計(jì)算機(jī)信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計(jì)算機(jī)的交叉學(xué)科，也是一門新興的學(xué)科。在國(guó)外，它已成為計(jì)算機(jī)安全主要的研究方向，也是計(jì)算機(jī)安全課程中的主要內(nèi)容。數(shù)據(jù)加密技術(shù)是對(duì)數(shù)據(jù)信息進(jìn)行編碼和解碼的技術(shù)，數(shù)據(jù)信息沒有被處理之前稱為“明文”，“明文”使用某種方法隱藏它的真實(shí)內(nèi)容以后稱為“密文”。把“明文”變成“密文”的過(guò)程稱為加密（encrypt）；反之，把“密文”變成“明文”的過(guò)程稱為解密（decrypt），加密和解密過(guò)程可以用下圖表示。9.2.1數(shù)據(jù)加密算法

數(shù)據(jù)加密的核心技術(shù)是設(shè)計(jì)一套合理可行的加密算法，加密算法也叫加密函數(shù)，是用于數(shù)據(jù)加密和解密的數(shù)學(xué)函數(shù)。通常情況下，加密算法有兩個(gè)相關(guān)聯(lián)的函數(shù)：一個(gè)用于加密，另一個(gè)用于解密。在密碼函數(shù)中，將稱為密鑰（key）的密碼變量作用于“明文”即可實(shí)現(xiàn)加密或解密操作。密鑰是一種用于控制加密與解密操作的序列符號(hào)，它是成對(duì)使用的。用于進(jìn)行加密的密鑰稱為加密密鑰，用于進(jìn)行解密的密鑰稱為解密密鑰。如果加密和解密所使用的密鑰是相同的，則這種加密算法稱為對(duì)稱加密算法，否則稱為非對(duì)稱加密算法。另外，把直接使用加密函數(shù)對(duì)明文進(jìn)行加密而不使用密鑰的加密算法稱為不可逆加密算法。1．對(duì)稱加密算法

對(duì)稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對(duì)稱加密算法中，數(shù)據(jù)發(fā)送方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過(guò)特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。接收方收到密文后，若想解讀原文，則需要使用加密用過(guò)的密鑰及相同算法的逆算法對(duì)密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。

對(duì)稱加密算法的過(guò)程如下圖所示：2．非對(duì)稱加密算法

在數(shù)學(xué)上，用于非對(duì)稱加密算法的兩個(gè)密鑰是相互獨(dú)立的，所以不可能或很難從一個(gè)密鑰計(jì)算出另一個(gè)密鑰。這種算法也稱為公開密鑰算法，因?yàn)榭梢宰屢粋€(gè)密鑰公之于眾，稱為“公鑰”，而另外一個(gè)處于秘密狀態(tài)，稱為“私鑰”。在使用非對(duì)稱加密算法加密文件時(shí)，只有使用匹配的一對(duì)公鑰和私鑰，才能完成對(duì)明文的加密和解密過(guò)程。公鑰就是公布出來(lái)，所有人都知道的密鑰，它的作用是供公眾使用。私鑰則是只有擁有者才知道的密鑰。例如，公眾可以用公鑰加密文件，則只有擁有對(duì)應(yīng)私鑰的人才能將之解密。

非對(duì)稱加密算法的過(guò)程如下圖所示：3．不可逆加密算法

不可逆加密算法的特征是，加密過(guò)程中不需要使用密鑰，輸入明文后，由系統(tǒng)直接經(jīng)過(guò)加密算法處理成密文，這種加密后的數(shù)據(jù)是無(wú)法被解密的，只有重新輸入明文，并再次經(jīng)過(guò)同樣不可逆的加密算法處理，得到相同的加密密文并被系統(tǒng)重新識(shí)別后，才能真正解密。9.2.2常用加密技術(shù)

1．非否認(rèn)技術(shù)非否認(rèn)（non-repudiation）技術(shù)的核心是非對(duì)稱加密算法的公鑰技術(shù)，通過(guò)產(chǎn)生一個(gè)與用戶認(rèn)證數(shù)據(jù)有關(guān)的數(shù)字簽名來(lái)完成。當(dāng)用戶執(zhí)行某一交易時(shí)，這種簽名能夠保證用戶今后無(wú)法否認(rèn)該交易發(fā)生的事實(shí)。由于非否認(rèn)技術(shù)的操作過(guò)程簡(jiǎn)單，而且直接包含在用戶的某類正常的電子交易中，因而成為當(dāng)前用戶進(jìn)行電子商務(wù)、取得商務(wù)信任的重要保證。2．PGP技術(shù)

PGP（PrettyGoodPrivacy）是目前最流行的一種加密軟件，它是一個(gè)基于RSA公鑰加密體系的郵件加密軟件。PGP可以生成一個(gè)有公鑰和私鑰組成的密鑰對(duì)，用戶可以將公鑰用密碼發(fā)送到網(wǎng)絡(luò)服務(wù)器上，使想與其通信的人能夠以公鑰加密通信的內(nèi)容，在用戶接收到密文后，就可以用私鑰將通信的內(nèi)容解密。

使用PGP之前，首先需要生成一對(duì)密鑰，這一對(duì)密鑰其實(shí)是同時(shí)生成的。具體步驟如下：（1）打開安裝好的PGP軟件（這里9.9版本為例），界面如下圖所示。

（2）執(zhí)行File→NewPGPKey命令，打開密鑰生成向?qū)?，如下圖所示。

（3）單擊“下一步”按鈕，打開NameandEmailAssignment對(duì)話框，為創(chuàng)建的密鑰指定一個(gè)名稱和對(duì)應(yīng)的郵箱地址，如下圖所示。也可以用一個(gè)密鑰對(duì)對(duì)應(yīng)多個(gè)郵

箱，只需單擊More按鈕，在添加的OtherAddress文本框中輸入其他的郵箱地址。

（4）單擊Advanced按鈕，打開AdvancedKeySettings對(duì)話框，對(duì)密鑰對(duì)進(jìn)行詳細(xì)配置，如密鑰類型（KeyType）、密鑰長(zhǎng)度（KeySize）、支持的密碼（Cipher）和哈希（Hash）

算法類型，如右圖所示。除保留默認(rèn)的選擇外，最好在哈希算法類型（Hashes）選項(xiàng)區(qū)中選擇SHA-1和MD-5這兩種算法，因?yàn)檫@兩種算法目前在國(guó)內(nèi)的電子簽名應(yīng)用中應(yīng)用最廣。

（5）密鑰配置好后單擊OK按鈕，返回NameandEmailAssignment對(duì)話框，單擊“下一步”按鈕，打開CreatePassphrase對(duì)話框，為密鑰對(duì)中的私鑰配置保護(hù)密碼，密碼最少需要8位，建議包

括非字母字符，以增加密碼的復(fù)雜性。程序默認(rèn)不明文顯示所輸入的密碼，僅以密碼長(zhǎng)度條顯示。如果選擇ShowKeystrokes復(fù)選框，則在輸入密碼的同時(shí)以明文顯示，如右圖所示。（6）單擊“下一步”按鈕，打開KeyGenerationProgress對(duì)話框，在該對(duì)話框中顯示密鑰生成的進(jìn)程，完成后會(huì)顯示Congratulations表示密鑰對(duì)生成成功，如下圖所示。

（7）單擊“下一步”按鈕，打開如下圖A所示的CompletingthePGPGenerationAssistant對(duì)話框，直接單擊Done按鈕即可結(jié)束整個(gè)密鑰對(duì)生成過(guò)程。此時(shí)會(huì)在PGP軟件界面的AllKeys列表框中顯示新建的密鑰，如下圖B所示。

圖A圖B3．?dāng)?shù)字簽名技術(shù)

數(shù)字簽名（digitalsignature）技術(shù)是非對(duì)稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過(guò)程是：數(shù)據(jù)源發(fā)送方使用自己的私鑰，對(duì)數(shù)據(jù)校驗(yàn)和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對(duì)數(shù)據(jù)的合法“簽名”。數(shù)據(jù)接收方則利用對(duì)方的公鑰來(lái)解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)，以確認(rèn)簽名的合法性。9.2.3利用SSL實(shí)現(xiàn)安全數(shù)據(jù)傳輸

Web服務(wù)是Internet中最重要的服務(wù)之一，現(xiàn)在許多對(duì)數(shù)據(jù)安全要求非常高的行業(yè)，如金融、商業(yè)也都使用Web服務(wù)開展業(yè)務(wù)，所以Web服務(wù)中的數(shù)據(jù)安全性越來(lái)越被人們所重視。SSL（SecureSocketsLayer，安全套接層）協(xié)議就提供了滿足這些要求的一個(gè)解決方案。

在傳輸層提供安全的數(shù)據(jù)傳遞通道。SSL的工作過(guò)程如下：（1）Web瀏覽器請(qǐng)求與Web服務(wù)器建立安全會(huì)話。（2）Web服務(wù)器將自己的公鑰發(fā)給Web瀏覽器。（3）Web服務(wù)器與Web瀏覽器協(xié)商密鑰位數(shù)（40位或128位）。（4）Web瀏覽器產(chǎn)生會(huì)話使用的“秘密密鑰”，并用Web服務(wù)器的公鑰加密“秘密密鑰”傳給Web服務(wù)器。（5）Web服務(wù)器用自己的私鑰解密。（6）Web服務(wù)器和瀏覽器用會(huì)話密鑰加密和解密，實(shí)現(xiàn)加密傳輸。SSL使用公鑰加密技術(shù)和數(shù)字證書技術(shù)，實(shí)現(xiàn)客戶機(jī)和服務(wù)器之間的身份認(rèn)證和密鑰協(xié)商，使用對(duì)稱密碼技術(shù)對(duì)SSL連接中傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密，使用消息摘要算法實(shí)現(xiàn)客戶機(jī)和服務(wù)器之間傳輸數(shù)據(jù)的完整性。9.3網(wǎng)絡(luò)防火墻

防火墻（firewall），顧名思義就是隔斷火患和財(cái)產(chǎn)之間的一堵墻，以此來(lái)達(dá)到降低財(cái)物損失的目的。而計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻，其功能就像現(xiàn)實(shí)中的防火墻一樣，把絕大多數(shù)的外來(lái)侵害都擋在網(wǎng)絡(luò)外面，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的信息安全。9.3.1防火墻的概念

防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間實(shí)施網(wǎng)絡(luò)間訪問(wèn)控制的一組組件的集合，包括主機(jī)系統(tǒng)、路由器、網(wǎng)絡(luò)安全策略和用于網(wǎng)絡(luò)安全控制與管理的軟硬件系統(tǒng)等。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。

防火墻是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，通常具有以下3個(gè)方面的基本特性：內(nèi)部網(wǎng)絡(luò)（Intranet）和外部網(wǎng)絡(luò)（Internet）之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。防火墻邏輯示意圖如下：9.3.2防火墻的類型

1．從防火墻的組成結(jié)構(gòu)來(lái)分

如果從防火墻的組成結(jié)構(gòu)來(lái)分，防火墻可以分為軟件防火墻和硬件防火墻。最初的防火墻，例如，下圖所示的金