计算机网络技术基础 工业和信息化普通高等教育“十二五”规划教材 教学课件 周舸 第十二章 网络安全

在线教务辅导网：,教材其余课件及动画素材请查阅在线教务辅导网,QQ:349134187 或者直接输入下面地址：,,第十二章 网络安全,本章学习要点：,网络安全概述,防火墙技术,网络防病毒技术,网络安全技术的发展前景,网络加密技术,数字证书与数字签名,入侵检测技术,12.1 网络安全概述,1. 网络安全的现状,随着全球信息化的飞速发展，网络已经成为社会和经济发展的强大推动力，其地位越来越重要。但同时网络安全的问题也日益突出。网 络安全涉及到国家安全、个人利益、企业生存等方方面面，因此它是信息化进程中具有重大战略意义的问题。,计算机犯罪始于二十世纪80年代，随着网络应用范围的逐步扩大，其犯罪手段日见“高明”，计算机网络安全面临严重威胁，安全事故屡有发生。从目前来看，网络安全的状况令人十分担忧，从技术到管理都处于落后、被动局面。,TCP/IP是Internet的标准协议，传统的网络应用都是基于此协议的，因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中，TCP/IP也越来越流行，这使得通过Internet侵入局域网变得十分容易。,对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。故意危害网络安全的主要有三种人：故意破坏者又称黑客（Hackers）、 不遵守规则者（Vandals）和刺探秘密者（Crackers）。,为网络安全担忧的人大致也可以分为两类，一类是使用网络资源的一般用户，另一类是提供网络资源的服务提供者。,2. 网络面临的主要威胁,黑客的攻击,管理的欠缺,网络的缺陷,软件的漏洞或“后门”,企业网络内部,返回本节首页,返回本章首页,12.2 防火墙技术,12.2.1 防火墙的基本概念,“防火墙”（Fire Wall）是用来连接两个网络并控制两个网络之间相互访问的系统，如图12-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。,图12-1 防火墙的位置与功能示意图,1. 什么是防火墙,2. 防火墙的主要功能,集中的网络安全,安全警报,防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。,通过防火墙可以方便地监视网络的安全性，并产生报警信号。,重新部署网络地址转换（NAT）,接入Internet的机构，可以通过网络地址转换（NAT）来完成内部私有地址到外部注册地址的映射，而防火墙正是部署NAT的理想位置。,监视Internet的使用情况,防火墙也是审查和记录内部人员对Internet使用的一个最佳位置，可以在此对内部访问Internet的情况进行记录。,向外发布信息,防火墙同样还是部署WWW服务器和FTP服务器的理想位置。它允许Internet上的其它用户访问上述服务器，而禁止访问内部受保护的其它系统。,3. 防火墙的局限性,不能防范绕过防火墙产生的攻击,防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力:,不能防范受到病毒感染的软件或文件在网络上传输,很难防止数据驱动式攻击,12.2.2 防火墙的主要类型,典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火墙的技术包括以下四大类：,1. 包过滤防火墙（Packet Filtering Firewall）,不能防范由于内部用户不注意所造成的威胁,包过滤防火墙，又称网络级防火墙，通常由一台路由器或一台充当路由器的计算机组成，如图12-2所示。,图12-2 包过滤防火墙功能模型,Internet/Intranet上的所有信息都是以IP数据包的形式传输的，包过滤路由器负责对所接收的每个数据包的IP地址，TCP或UDP分组头信息进行审查，以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙检查每一条过滤规则，如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发；如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。,包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、方便，且速度快、费用低。,包过滤防火墙也有其自身的缺点和局限性 ，例如它只检查地址和端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂； 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。,2. 应用级网关（Application Level Gateway）,应用级网关主要控制对应用程序的访问，它能够对进出的数据包进行分析、统计，防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制，使得网络内、外部的访 问请求在监督机制下得到保护，其功能模型如图12-3所示。,和包过滤防火墙一样，应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直 接联系，它外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。,应用级网关具有较强的访问控制功能，是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件，实现起来比较困难，效率不如网络级防火墙高，而且对用户缺乏“透明度”。,图12-3 应用级网关的功能模型,3. 电路级网关（Circuit Level Gateway）,电路级网关通常工作在在OSI参考模型中的会话层上，它只依赖于TCP连接，而并不关心任何应用协议，也不进行任何的包处理或过滤。它就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙，因而其隐藏了受保护网络的有关信息。,电路级网关往往不是一个独立的产品，它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关，内部 用户使用起来很方便，另外，电路级网关还可将所有内部的IP地址映射到一个防火墙专用的、安全的IP地址。,4. 代理服务防火墙（Proxy Sever Firewall）,代理服务防火墙又称链路级网关，通常指运行代理服务器软件的一台计算机。代理服务器（Proxy Sever）运行在Intranet和Internet之间，是内、外网络的隔离点，起着监视和隔绝应用层通信流的作用，其功能模型如图12-4所示。,图12-4 代理服务防火墙功能模型,代理服务器收到用户对某站点的访问请求后，便立即检查该请求是否符合规则。若规则允许用户访问该站点，代理服务器便会以客户身份登录目的站点，取回所需的信息再发回给客户。,代理服务器将所有跨越防火墙的通信链路分为两段，外部用户只能看到该代理服务器而无法获知任何内部资料，如IP地址，从而起到了隔离防火墙内、外计算机系统的作用。,代理服务软件要分析网络数据包并作出访问控制决定，从而在一定程度上影响了网络的性能，且代理服务器需要为每个网络用户专门设计，安装使用较复杂，成本也相对较高。,5. 复合型防火墙（Compound Firewall）,由于对更高安全性的要求，常常把基于包过滤的防火墙与基于代理服务的防火墙结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案：,屏蔽主机防火墙体系结构,包过滤路由器与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器上设置过滤规则，使堡垒机成为Internet上其它结点所能到达的唯一结点，从而确保了内部网络的安全。如图12-5所示：,图12-5 屏蔽主机结构示意图,屏蔽子网防火墙体系结构,堡垒主机放在一个子网内，两个包过滤路由器放置在这一子网的两端，使这一子网与外部Internet及内部网络分离，如图126所示。,图12-6 屏蔽子网结构示意图,12.2.3 主要的防火墙产品,3Com Office Connect 防火墙,NetScreen 防火墙,Cisco PIX 防火墙,返回本节首页,返回本章首页,12.3 网络加密技术,12.3.1 网络加密概述,1. 加密的定义和目的,密码技术是保障信息安全的核心技术。加密指改变数据的表现形式，使之成为没有正确密钥任何人都无法读懂的密文。加密旨在对 第三者保密，只让特定的人能解读密文。,为了读懂报文，密文必须重新转变为明文。而含有数学方式以用来转换报文的双重密码就是密钥。如图12-7所示。对一般人而言，即使获得了密文，也不解其义。,图12-7 数据的加/解密过程,如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。而Internet是一个开放的系统，穿梭于其中的数据可能被任何人随意拦截，因此，将数据加密后再传送是进行秘密通信的最有效的方法。,2. 网络加密的主要方式,一个加密网络，不仅可以保护网内的数据、文件和口令，而且也是对付恶意软件的有效方法。目前对网络加密主要有3种方式：,（1）链路加密,链路加密指仅在数据链路层对传输数据进行加密，它主要用于对信道中可能被截获的那一部分数据信息进行保护，一般的网络安全系统都采用这种方式。,链路加密只对通信链路中的数据加密，而不对网络结点内的数据加密。因此链路上的所有数据报文（包括路由信息等）均以密文形式出现，而结点内的数据报文却以明文出现。,链路加密简单、容易实现，但由于全部报文都以明文形式通过各结点，因此在这些结点上，数据容易受到非法存取的危险，而且每条链路都需要一对加、解密设备和一个独立密钥，因此成本较高。,（2）结点加密,结点加密是对链路加密的改进，它也要为通信链路上传输的所有数据进行加密，而且加密过程对用户是透明的。,结点加密不允许报文在网络结点内以明文形式存在，它先把接收到的报文进行解密，然后采用另一个不同的密钥进行加密，其目的 是克服链路加密在结点处易遭受非法存取的缺点。,链路加密比链路加密成本低，而且更安全。但结点加密要求报头和路由信息以明文形式传输，以便中间结点能得到如何处理消息的信息。因此这种方法仍然存在一定的风险。,（3）端对端加密,端对端加密允许数据在从源点到终点的传输过程中始终以密文形式存在，报文在到达终点之前不进行解密。这样即使有中间结点被损坏也不会泄露消息。,端对端加密可在传输层或更高层次中实现。它与链路加密最大的不同在于它是对整个网络系统采取保护措施，因此安全性更高。,端对端加密的可靠性强，设计、实现和维护都更容易。但数据报头仍保持明文形式，容易为报文分析者所利用，且端点加密密钥数量大，密钥的管理比较困难。,12.3.2 网络加密算法,网络信息的加密过程是由加密算法来具体实施的，按照国际惯例，加密算法有以下几种分类标准：,1. 根据对明文信息加密方式的不同进行分类,（1）分组加密算法,密文仅与给定的密码算法和和密钥有关，与被处理的明文数据段在整个明文（或密文）中所处的位置无关。分组加密算法每次只加密一个二进制比特位。,（2）序列加密算法,密文不仅与最初给定的密码算法和密钥有关，同时也是被处理的数据段在明文（或密文）中所处的位置的函数。序列加密算法先将信息序列分组，每次对一个组进行加密。,2. 根据收发双方的密钥是否相同来进行分类,（1）对称加密算法,对称加密算法，又称私钥加密算法，它是指系统加密明文和解读密文时使用的是同一把密钥，或者虽然不同，但是由其中的任意一把可以容易地推导出另一把。加/解密过程如下图12-8所示：,图12-8 对称加密算法的加/解密过程,对称加密算法中影响最大的是DES（数据加密标准）。它是一种以56位密钥为基础的密码块加密技术，每次对64位输入数据块进行加密。加密过程包括16轮编码。在每一轮编码中，DES从56位密钥中产生一个48位的临时密钥，并用这个密钥进行这一轮的加密。,对称加密算法具有很强的保密强度，安全性就是其56位密钥。但由于至少有两个人持有密钥，所以任何一方都不能完全确定对方手中的密钥是否已经透露给了第三者。,为了在对称加密过程中有效地管理好密钥，保证数据的机密性，美国麻省理工学院提出了一种基于可信赖的第三方的认证系统Kerberos。它是一种在开放式网络环境下进行身份认证的方法，使网络上的用户可以相互证明自己的身份。,Kerberos采用对称密钥体制对信息进行加密。其基本思想是：能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket）。,Kerberos具体认证过程请参照教材P224 学习。,（2）非对称加密算法,非对称加密算法，又称公钥加密算法，它是指系统加密和解密分别用两把不同的密钥实现，并且加密密钥和解密密钥不可能相互推导。加/解密过程如下图12-9所示：,图12-9 非对称加密算法的加/过程解密,非对称加密算法中最有影响力的是RSA，是目前网络上进行保密通信和数字签名的最有效的安全算法之一，其安全性依赖于目前仍然是数学领域尚未解决的一大难题大数分解问题，该问题至今没有任何高效的分解方法。所以，只要RSA采用足够大的整数，因子分解越困难，密码就越难以破译，加密强度就越高。,必须注意的是：使用RSA加密时必须选用足够长的密钥。对于当前的计算机运行速度，使用512位的密钥已不安全。目前，安全电子贸易（SET）协议中要求CA采用2048位的密钥，其他实体使用1024位的密钥。目前而言，在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间，所以从这个意义上说 ，RSA加密算法是绝对安全的。,RSA的具体工作原理与加密实例请参照教材P226学习。,返回本节首页,返回本章首页,12.4 数字证书和数字签名,12.4.1 电子商务安全的现状,要保证电子商务系统具有十分可靠的安全保密技术，就必须保证信息的保密性、交易者身份的确定性、数据交换的完整性和发送信息的不可否认性等方面。,1信息的保密性,交易中的商务信息均有保密的要求（例如银行信用卡的账号和用户名），因此在电子商务的信息传播中一般都需要加密。,2交易者身份的确定性,网上交易的双方很可能素昧平生，相隔千里。要使交易安全、保密、可靠地进行，确认对方身份的合法性就成为了交易成功的前提，同时还要防止各种意外事件的发生（例如拒付款问题、确认订货和订货收据信息等）。,3. 不可否认性,网上交易一旦达成就不能否认，否则必然会损害其中一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。,4. 不可修改性,为保障网上交易的公正性和公平性，交易中的任何文件都是不能被修改的。,目前，可以运用国际上一套比较成熟的安全解决方案数字安全证书体系结构，即数字证书，并通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。,12.4.2 数字证书,1. 什么是数字证书,数字证书是网络通信中标志通信各方身份信息的一系列数据，是各类实体（持卡人/个人、商户/企业、网关/银行等）在网上进行信息交流及商务活动的身份证明。,数字证书由一个权威机构CA（Certificate Authority，证书授权）中心发行。CA中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。,从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。,最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关（证书授权中心）的名称、该证书的序列号等信息，证书的格式遵循 ITUT X.509国际标准。,2. 数字证书的原理,数字证书采用公钥加密体制，即利用一对互相匹配的密钥进行加密、解密。,每个用户自己设定一把特定的仅为本人所知的私钥，用私钥进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证签名。,当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。该加密过程是一个不可逆过程。,12.4.3 数字签名,在利用网络传输数据时采用数字签名的目的是：,保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。,保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。,1. 数字签名的目的,2. 单向散列函数,单向散列函数又称为Hash函数，主要用于消息认证（或身份认证）以及数字签名。当前国际上最有名的单向散列函数是MD5（Message Digest Algorithm 5）和SHA（Secure Hash Algorithm）。,一个单向散列函数h=H(M)可以将任意长度的输入串（消息M）映射为固定长度值h（这里h称为散列值，或信息摘要MD），其最大的特点是具有单向性。,向这个散列函数输入任意大小的信息，输出的都是固定长度的信息摘要。其中，MD5生成128位信息摘要，SHA生成160位信息摘要。这些信息摘要实际上可以看作输入信息的数字指纹。,3. 数字签名的原理,图12-10 数字签名的原理,具体实例请参照教材P230学习。,4. 数字签名和数字加密的区别,数字签名和数字加密的过程虽然都使用公开密钥体系，但实现的过程正好相反，使用的密钥对也不同。,数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密，这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。,数字加密则使用的是接收方的密钥对，这是多对一的关系，任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。,返回本节首页,返回本章首页,12.5.1 入侵检测的基本概念,入侵检测（ID）是指识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。入侵检测的全过程包括监控在计算机系统或网络中发生的事件、分析处理这些事件、检测出入侵事件。,入侵检测系统（IDS）是指使整个监控和分析过程自动化的独立系统，它既可以是一种安全软件，也可以是硬件。,入侵检测和防火墙最大的区别在于防火墙只是一种被动防御性的网络安全工具，而入侵检测作为一种积极主动的安全防护技术能够在网络系统受到危害之前拦截和响应入侵，很好地弥补了防火墙的不足。,12.5 入侵检测技术,12.5.2 入侵检测的分类,1. 根据信息源的不同进行分类,基于主机的入侵检测系统（HIDS）,基于网络的入侵检测系统（NIDS）,基于主机的IDS可监测Windows 下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。,基于网络的IDS以数据包作为分析的数据源，它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。一旦检测到了攻击行为，IDS的响应模块就会做出报警、切断相关用户的网络连接等适当的响应。,2. 根据检测所用分析方法的不同进行分类,误用检测（Misuse Detection）,异常检测（Anomaly detection）,大部分现有的入侵检测工具都使用该方法，它应用了系统缺陷和特殊入侵的累计知识。只要是不符合正常规则的所有行为都会被认为是不合法的，并且系统就会立即报警。误用检测的准确度很高，但它对入侵信息的收集和更新比较困难，且难以检测到本地入侵。,异常检测假设入侵者活动异常于正常的活动，当主体的活动违反其统计规律时，便会被认为是“入侵”。其最大的优点是能检测出新的入侵或者从未发生过的入侵。但异常检测是一种“事后”的检测，当检测到入侵行为时，破坏早已发生了，并且它的查准率也不高。,3. 统计方法,统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大偏差的活动标识为异常活动。,统计方法的优点是可以“学习”用户的使用习惯，从而具有较强的实用性。但它的“学习”能力也给入侵者提供了通过逐步“训练”使入侵事件符合正常操作统计规律的机会，从而使入侵事件透过入侵检测系统。,返回本节首页,返回本章首页,12.6 网络防病毒技术,随着计算机和Internet的日益普及，计算机病毒已经成为了当今信息社会的一大顽症。由于计算机病毒极强的破坏作用，因而它严重地干扰了人们的正常工作，企业的正常生产，甚至对国家的安全都造成了巨大的影响。网络防病毒技术已成为计算机网络安全研究的一个重要课题。,12.6.1 计算机病毒,1. 计算机病毒的定义,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。,2. 计算机病毒的特点,计算机病毒都是人为制造的、具有一定破坏性的程序，它不同于日常生活中所说的传染病毒。计算机病毒具有以下一些基本特征：,传染性,隐蔽性,计算机病毒能通过各种渠道从已被感染的计算机扩散到未被感染的计算机，而计算机中被感染的文件又会成为新的传染源，再与其他机器进行数据交换或通过网络接触，使病毒传播范围越来越广。,计算机病毒往往是短小精悍的程序，若不经过代码分析，病毒程序和普通程序是不容易区分开的。正因为如此，才使得病毒在被发现之前已进行广泛的传播。,潜伏性,触发性,破坏性,计算机病毒程序进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现。,触发病毒程序的条件较多，可以是内部时钟，系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求，在某个计算机上激活并发出攻击。,计算机病毒的最终目的是破坏系统的正常运行，轻则降低速度，影响工作效率；重则删除文件内容、抢占内存空间甚至对硬盘进行格式化，造成整个系统的崩溃。,衍生性,计算机病毒本身由几部分组成，所以它可以被恶作剧者或恶意攻击者模仿，甚至对计算机病毒的几个模块进行修改，使之衍生为不同于原病毒的另一种计算机病毒。,3. 计算机病毒的分类,目前，全球的计算机病毒有几万种，对计算机病毒的分类方法也存在多种，常见的分类有以下几种：,（1）按病毒存在的媒体分类,引导型病毒,文件型病毒,混合型病毒,（2）按病毒的破坏能力分类,良性病毒,恶性病毒,（3）按病毒传染的方法分类,驻留型病毒,非驻留型病毒,（4）按照计算机病毒的链接方式分类,源码型病毒,嵌入型病毒,外壳型病毒,操作系统型病毒,12.6.2 网络病毒的危害及感染网络病毒的主要原因,1. 网络病毒的危害,网络中病毒的感染一般从工作站开始，然后传播给服务器。服务器一旦染上了病毒不仅将造成自身的瘫痪，而且还会使病毒在工作站之间迅速传播，感染其它网络上的主机和服务器。,办公软件的广泛使用大大加剧了Office宏病毒的传播。另外利用Java程序病毒和ActiveX病毒编写的病毒网页可以在用户浏览网站的同时被悄悄下载到用户个人计算机中，故意浪费系统资源，干扰计算机的正常运行。,2. 网络感染病毒的主要原因,据统计，目前70%的病毒发生在网络上，研究发现引起网络病毒的原因主要有以下一些：,将磁盘带到网络上运行后，使网络感染上病毒；,访问网络电子广告牌（BBS）时感染的病毒；,从软件商的演示光盘中带来的病毒；,从系统维护盘中带来的病毒；,从公司之间交换的磁盘中带来的病毒。,12.6.3 网络防病毒软件的应用,网络防病毒软件能对文件服务器和工作站进行查毒扫描，发现病毒后立即报警并隔离带毒文件，由网络管理员负责清除病毒。,实时扫描,2. 网络防病毒软件的扫描方式,预置扫描,人工扫描,1. 网络防病毒软件的功能,3. 网络防病毒软件的选择,实时扫描,一般应选择每30秒钟能够扫描1000个文件以上的防毒软件。,正确识别率,使用一定数量的病毒样本进行测试，正规的测试数量应该在10000种以上，以检测防病毒软件的病毒识别率。,用户在选择网络防病毒软件时，要注意以下指标：,病毒清除,可靠、有效地清除病毒，并保证数据的完整性，对于防病毒软件而言十分必要。,良好的技术支持,防病毒软件另一个重要的方面是软件提供的技术支持服务，如病毒代码和扫描引擎的升级速度、更新方式，一个再好的杀毒软件，没有良好的技术服务最终都会落伍的。,12.6.4 网络工作站防病毒的方法,网络工作站防病毒可从以下几个方面入手：,采用无盘工作站,使用带防病毒芯片的网卡,使用单机防病毒卡,返回本节首页,返回本章首页,12.7 网络安全技术的发展前景,12.7.1 网络加密技术的发展前景,1. 对称加密算法的发展前景,在对称加密算法中，DES加密算法的影响力最大，但后来其保密性受到了极大挑战。为此，美国推出DES的改进版本3DES。,