网络安全管理教材(共41页).ppt

1、第8章 网络平安第8章 网络平安学习目标学习目标了解网络平安根本知识了解网络平安根本知识掌握计算机病毒的根本知识掌握计算机病毒的根本知识理解计算机病毒的原理和木马原理理解计算机病毒的原理和木马原理掌握防火墙技术掌握防火墙技术掌握数字加密和数字签名原理掌握数字加密和数字签名原理8.1 网络平安概述 随着互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如政府部门信息系统、电子商务、网络炒股、网上银行、网上购物等。 Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多信息平安隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好

2、地增加互联网的平安性，是一个亟待解决的重大问题。8.1.1.网络平安隐患 现实的互联网存在着许多平安隐患可以供人利用，隐患主要有以下几种:(1)黑客入侵(2)计算机病毒的攻击 (3)陷阱和特洛伊木马 (4)来自内部人员的攻击 (5)修改或删除关键信息 (6) 拒绝效劳 (7)人为地破坏网络设施，造成网络瘫痪8.1.2 网络攻击 网络攻击是建立在网络存在漏洞根底之上的,找到漏洞后发起攻击。主动攻击：攻击者试图突破网络的平安防线。主要应付手段有：防火墙、入侵检测系统。 被动攻击：攻击者简单地监视所有信息流以获得某些秘密。主要应付手段有：数据加密等。 8.1.3 网络根本平安技术 针对目前网络不容乐

3、观的平安形势，实现网络平安的根本措施主要有防火墙、数字加密、数字签名、身份认证等. 1.防火墙： 防火墙是设置在被保护的内部网络和有危险性的外部网络之间的一道屏障，系统管理员按照一定的规那么控制数据包在内外网之间的进出。2.数字加密： 数据加密是通过对传输的信息进行一定的重新组合，而使只有通信双方才能识别原有信息的一种手段。3.数字签名： 数字签名可以被用来证明数据的真实发送者，而且，当数字签名用在存储的数据或程序时，可以用来验证其完整性。4.身份认证： 用多种方式来验证用户的合法性，如密码技术、指纹识别、智能IC卡、网银U盾等。8.2 计算机病毒与木马8.2.1 计算机病毒的根本知识 计算机

4、病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 它能够通过某种途径潜伏在计算机存储介质或程序里 , 当到达某种条件时即被激活，具有对计算机资源进行破坏的作用。计算机病毒具有以下几个特点： 1寄生性2传染性 3隐蔽性 4潜伏性 5破坏性 v计算机病毒的分类：v 综合病毒本身的技术特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类： v1.传统病毒 v2.宏病毒Macro v3.恶意脚本Script v4.木马Trojan程序 v5.黑客(Hack) 程序 v6.蠕虫Worm程序 v7.破坏性Har

5、m程序8.2.2 计算机病毒工作原理1程序型病毒工作原理 程序型病毒通过网络、U盘和光盘等为载体传播，主要感染.exe 和.dll等可执行文件和动态连接库文件，当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。 比方运行了WORD.exe ，那么该文件被感染，病毒把自己复制一份，加在WORD.EXE文件的后面，会使该文件长度增加1到几个K。随着时间的推移病毒会继续感染下面运行的程序，周而复始，时间越长，染毒文件越多。到了一定时间，病毒开始发作根据病毒作者定义的条件，有的是时间，比方CIH，有的是感染规模等等执行病毒作者定义的操作，比方无限复制，占用系统资源、删除

6、文件、将自己向网络传播甚至格式化磁盘等等。 2引导型病毒工作原理 引导型病毒感染的不是文件，而是磁盘引导区，他把自己写入引导区，这样，只要磁盘被读写，病毒就首先被读取入内存。 当计算机上启动时病毒会随计算机系统一起启动这点和QQ开机启动原理差不多，接下来，病毒获得系统控制权，改写操作系统文件，隐藏自己，让后启动的杀毒软件难以找到自己，这样引导型病毒就可以根据自己的病毒特性进行相应操作。8.2.3 木马原理 木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无觉察的情况下，让攻击者获得了远程访问和控制用户计算机的权限。 特洛伊木马的安装和操作都是在隐蔽之中完成，用户没

7、有觉察。 木马攻击原理8.2.4 常见AUTORUN.INF文件 AUTORUN.INF这个文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功能，但是很多病毒利用了这个文件的特点，自动运行一些病毒程序。 8.2.5 8.2.5 杀毒软件工作原理杀毒软件工作原理 病毒是用某种语言写出来的一段代码，每种病毒都会具病毒是用某种语言写出来的一段代码，每种病毒都会具有一些独一无二的特征，叫做病毒特征码。有一些独一无二的特征，叫做病毒特征码。 当病毒通过网络传播开后，软件公司得到病毒样本，开当病毒通过网络传播开后，软件公司得到病毒样本，开始分析样本，找到病毒特征码，然后更新其病毒库，令其始

8、分析样本，找到病毒特征码，然后更新其病毒库，令其在杀毒时也查找这种病毒码，然后通知用户，请他们升级在杀毒时也查找这种病毒码，然后通知用户，请他们升级其杀毒软件。然后用户升级，再杀毒，结果，该病毒被杀其杀毒软件。然后用户升级，再杀毒，结果，该病毒被杀死，同时新的病毒被发现，周而复始。死，同时新的病毒被发现，周而复始。8.3 防火墙防火墙的根本概念 防火墙是网络平安的屏障，可以实现内部可信任网络与外部不可信任网络互联网之间或内部网络不同区域之间的隔离与访问控制，阻止外部网络中的恶意程序访问内部网络资源，防止更改、复制、损坏用户重要信息。v 防火墙的主要目的就是通过检查入、出一个网络的所有连接，防止

9、某个需要保护的网络遭受外部网络的干扰和破坏。v 逻辑上，防火墙是一个别离器、限制器、分析器，有效地检查内部网络和外部网络之间的任何活动。v v 物理上，防火墙集成在网络特殊位置的一组硬件设备-路由器、三层交换机、PC机上。可以是一个独立硬件系统，也可以是一个软件系统。 8.3.2 防火墙的分类 按照工作的网络层次和作用对象来分为四种类型： 包过滤防火墙 应用程序代理防火墙 复合型防火墙 个人防火墙1.包过滤防火包过滤防火墙又被称为访问控制表ACLAccess Control List,它根据预先静态定义好的规那么审查内、外网之间通信的数据包是否与自己定义的规那么分组包头源地址、目的地址端口号、

10、协议类型等相一致，从而决定是否转发数据包。包过滤防火墙工作于网络层和传输层，把满足规那么的数据包转发到目的端口，不满足的数据包那么被丢弃，许多个规那么是可以复合定义的。v 包过滤防火墙的优点是： v 不用改动用户主机上的客户程序；v 可以与现有设备集成，也可以通过独立的包过滤软件实现；v 本钱低廉、速度快、效率高，很大程度满足企业的需要。v 包过滤防火墙的缺点是： v 工作在网络层，不能检测对于高层的攻击；v 如果使用很复杂的规那么，会大大减低工作效率；v 需要手工建立平安规那么，要求管理人员要清楚了解网络需求；v 包过滤主要依据IP包头中的各种信息，但IP包头信息可以被伪造，这样就可以轻易绕

11、过包过滤防火墙。2.应用程序代理防火墙 应用程序代理防火墙又叫应用网关防火墙，指在网关上执行一些特定的应用程序和效劳器程序实现协议的过滤和转发功能。 应用程序代理防火墙工作于应用层，掌握着应用系统中可作为平安决策的全部信息。v特点： 完全阻隔了网络信息流，当一个远程用户希望和网内用户通信时，应用网关会阻隔通信信息，然后对这个通信数据进行检查，符合要求后，应用网关会作为一个桥梁，转发通信数据。3.复合型防火墙 由于对更高平安性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品 。通常是以下两种方案： 屏蔽主机防火墙体系结构 屏蔽子网防火墙体系结构 4.个人防火墙 目前

12、网络上有许多个人防火墙软件，很多都集成在杀毒软件当中，它是应用程序级的，在某一台计算机上运行，保护其不受外部网络的攻击。一般的个人防火墙都具有“学习机制 个人防火墙8.3.3 网络地址转换NAT技术 网络地址转换NAT的作用原理就是通过替换一个数据包的源地址和目的地址，来保证这个数据包能被正确识别。 当内部网络计算机通过路由器向外部网络发送数据包时，私有地址被转换成合法的IP地址全局地址在Internet上使用，最少只需一个合法IP，就可以实现私有地址网络内所有计算机与Internet的通信。 v 一般NAT技术都在路由器上实现，所以在互联网的通信中，路由器的路由表里是不可能出现私有地址的。v

13、 NAT技术的缺点是学要转换每个通信数据包包头的IP地址而增加网络延迟，而且当内部网络用户过多时，NAT的效劳质量就不能保证了。8.4 数字加密与数字签名8.4.1 数字加密 数据加密就是指将原始的数据通过一定的加密方式，加密成非授权人难以理解的数据，授权人在接受加密数据后，利用自己知道的解密方式把数据复原成原始数据。数据加密常用术语： 明文：没有加密的原始数据。 密文：加密过后的数据。 加密：把明文转换成密文的过程。 解密：把密文转换成明文的过程。 算法：加密或解密过程中使用的一系列运算方式。 密钥：用于加密或解密的一个字符串加密、解密过程v 经典数字加密技术v (1)替换加密v 用某个字母

14、替换另一个字母，替换的方式事先确定，比方替换方式是字母按顺序推后5位，hello在网络传输时就用mjqqt。这种加密方式比较简单，密钥就是5，接受者只要按照每个字符的ASC码值减去5再做模26的求余运算就可以得到原始数据了。v (2)换位加密v 按照一定的规律重新排列传输数据。比方说我预先设定好换位的顺序是4213，明文bear在网络传输时就是reba。这种加密方式也较简单，曾经大量使用，但是由于计算机运算速率开展很快，可以利用穷举法破译。v 常用加密技术 (1)秘密密钥技术 秘密密钥技术也叫对称密钥加密技术。在这种技术中，将算法内部的转换过程设计的非常复杂，而且有很长的密钥，密文的破解非常困

15、难，即使破解，也会因为没有密钥而无法解读，这种技术最大的特点就是吧算法和密钥分开来处理，密钥最为关键，而且在加密和解密过程中，使用的密钥相同。秘密密钥技术 v 最著名的秘密密钥加密算法是数据加密标准DESdata encryption standard。v 该算法的根本思想是将明文分割成64位的数据块，并在一个64位的密钥控制下，对每个64位明文块加密，最后形成整个加密密文。(2)公开密钥加密技术 公开密钥加密技术也叫非对称密钥加密技术。公开密钥加密在加密和解密过程中使用二个不同的密钥，这二个密钥在数学上是相关的，他们成对出现，但互相之间不能破解。这样接收者可以公开自己的加密密钥，发送者可以利

16、用他来进行加密，而只有拥有解密密钥的授权接收者，才能把数据解密成原文。公开密钥加密技术 v 最著名的公开密钥加密算法是RSA三位创造者名字首字母组合。v 该算法的根本思想是在生成的一对密钥中，任何一个都可以作为加密或解密密钥，另一个相反，一个密钥用于公开供发送者加密使用。另一个密钥严格被接收者保密，当接收者收到密文时，用于解密加密数据。8.4.2 数字签名v 数字加密主要用在防止信息在传输过程中被人截取利用，而怎样确定发送信息人的身份，就学要用数字签名来解决。v 数字签名指在计算机网络中，用电子签名来代替纸质文件或协议的签名，以保证信息的完整性、真实性和发送者的不可否认性。v 目前使用较多的还

17、是利用报文摘要和公开密钥加密技术相结合的方式进行数字签名。1.报文摘要 消息摘要的设计思想是把一个无论多大的明文数据，转变成一个固定长度的比特串，在签名时，只要对这个消息摘要签名就行了，不用对整个明文数据进行签名。 明文转变为固定长度比特串的方式是通过单向散列函数。单向散列函数具有以下特性： (1)处理任意长度的数据，生成固定大小的比特串 (2)生成的比特串是不可预见的，看起来与原始明文没有任何联系，原始明文有任何变化，新的比特串就会与原来的不同。 (3)生成的比特串具有不可逆性，不法通过它复原成原始明文。目前使用最多的报文摘要算法是和 2 2数字签名的过程数字签名的过程数据加密和数字签名的区别1.数字加密的发送者使用接收者的公钥加密，接收者使用自己的