网络安全的主要知识点(ppt 132页).ppt

1、主题十二,国家信息化工程师认证考试管理中心,网络安全,12.1 主要知识点,12.2 安全计算 12.3 VPN 12.4 风险管理 12.5 典型试题分析,12.2 安全计算,信息安全的基本概念 保密性和完整性 非法入侵和病毒的防护,12.2.1 信息安全的基本概念,信 息 安 全,机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能够修改数据，并且能够判别出数据是否已被篡改。 可用性：得到授权的实体再需要时可访问数据，即攻击着不能占用所有的资源而阻碍授权者的工作。 可控性：可以控制授权范围内的信息流向以及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段,

2、信息和网络安全现状,现在全球普遍存在信息安全意识欠缺的状况，着导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁。 国际上也存在着信息安全管理不规范和标准不统一的问题。 在信息安全的发展过程中，企业和政府的要求有一致性的地方，也有不一致的地方。 信息和网络安全的技术仍然在发展过程中，“绝对的安全是不可能的”和“木桶原理”也让一些使用者踌躇不前，市场上“叫好不叫卖”的现象仍然存在。 同样在国内，信息安全产品的“假、大、空”现象在一定程度的存在，防火墙变成了“铜墙铁壁”，产生这种情况的原因在于包括监督不力和信息安知识的普及程度不够,网络中存在的威胁,非授权访问 信息泄漏或丢失 破坏数据完整

3、性 拒绝服务攻击 利用网络传播病毒,12.2.2 保密性和完整性,私钥和公钥加密标准（DES、IDEA、RSA） 认证（数字签名、身份认证） 完整性（SHA、MDs） 访问控制（存取权限、口令,加密方法的分类与识别,按应用技术或历史上发展阶段划分,手工密码 机械密码 电子机内乱密码 计算机密码,按保密程度划分,理论上保密的密码 实际上保密的密码 不保密的密码,按密钥方式划分,对称式密码 非对称式密码 模拟型密码 数字型密码,私钥和公钥加密标准,DES、IDEA、RSA,私钥加密标准是一种对称加密算法，用户使用同一个密钥加密和解密，包括DES、3DES和IDEA等。公钥加密标准是一种非对称加密算

4、法，加密和解密使用不同的密钥，RSA是其中的代表，已经成为公钥加密标准的代名词。 DES（数据加密标准），输入、输出均为64位，密钥为56位（虽然总共是64位，但是其中8位是奇偶校验位，实际上密钥只有56位是有效的）。3DES是对DES算法的三次运行，将替代DES。 3DES需要高级别安全性时使用。3DES 将每个数据块处理三次。采用112b的密钥。使用密钥 1 加密数据块，使用密钥 2 解密数据块，使用密钥1 加密数据块,私钥和公钥加密标准,DES、IDEA、RSA,IDEA（国际数据加密算法），明文块和密文块都是64位，但密钥长128位，是目前数据加密中应用得较为广泛的一种密码体制。 RS

5、A（根据三位创立者的名字命名），发送者用接受者公钥对消息加密，接受者用自己的密钥解密,DES算法的应用误区,DES算法具有较高的安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，这意味着如果一台计算机的速度是每一秒一百万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，这是难以实现的，当然，随着科学技术的发展，当出现超高速计算机后，可考虑把DES密钥的长度再增长一些，以此来达到更高的保密程度。 由上述DES算法介绍可以看到：DES算法中只用到64位密钥中的其中56位，而第8、16、2464位以外的其余56位的组合变

6、化256才得以使用其他的56位作为有效数据位，才能保证DES算法安全可靠地发挥作用。如果不了解这一点，把密钥K的8、16、2464位作为有效数据使用，将不能保证DES加密数据的安全性，对运用DES来达到保密作用的系统产生数据被破译的危险，这正是DES算法在应用上的误区，留下了被人攻击、被人破译的极大隐患,认证（数字签名、身份认证,在信息技术中，所谓“认证”，是指通过一定的验证技术，确认系统使用者身份，以及系统硬件（如电脑）的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为“身份认证”。 身份认证一般会涉及到两方面的内容，一个是识别，一个是验证。所谓识别，就是要明确访问者是谁？即必

7、须对系统中的每个合法（注册）的用户具有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的识别符。所谓验证是指访问者声称自己的身份后（比如，向系统输入特定的标识符），系统还必须对它声称的身份进行验证，以防止冒名顶替者。识别符可以是非秘密的，而验证信息必须是秘密的。 身份认证的本质是被认证方有一些信息（无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息），除被认证方自己外，任何第三方（在有些需要认证权威的方案中，认证权威除外）不能伪造，被认证方能够使认证方相信他确实拥有那些秘密（无论是将那些信息出示给认证方或者采用零知识证明的方法），则他的身份就得到了认证,

8、身份认证的理论分类,单因素静态口令认证 双因素认证 挑战/应答机制认证 时间同步机制身份认证,分 类,实际的认证手段,What you know? Whats you have? Who are you? Where are you,认证技术的完整性（SHA、MDS,报文摘要MD4： 创建 128 位散列值并由 RSA Data Security, Inc 开发的散列算法。 报文摘要MD5： 消息摘要 5 (MD5) 基于 RFC 1321，它是针对 MD4 中发现的薄弱环节而开发的。MD5 通过数据块（MD4 完成三项传递）完成四项传递，对每一项传递的消息中的每个字采用一种不同的数字常量。M

9、D5 计算中使用的 32 位常量的个数等于 64，最终会产生一个用于完整性校验的 128 位的哈希。但是 MD5 比较消耗资源，它可比 MD4 提供更强的完整性。 安全散列算法SHA： 以任意长度报文作为输入，按512b的分组进行处理。产生160b的报文摘要输出,数字签名与身份认证,数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。 数字证书采用公钥体制，利用一对互相匹配的密钥进行加密解密。在公钥密码体制中，常用的一种是RSA体制。证书格式遵循ITU X.509国际标准。证书由某个可信的证书发放机构CA建立,访问控制（存取权限、口令,

10、访问控制管理指的是安全性处理过程，即妨碍或促进用户或系统间的通信，支持各种网络资源如计算机、Web服务器、路由器或任何其它系统或设备间的相互作用。 认证过程主要包含两个步骤： 认证：登录过程； 自主访问控制（Discretionary Access Control）:校验用户决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别,12.2.3 非法入侵和病毒的防护,防火墙 入侵检测 安全协议（IPSec、SSL、ETS、PGP、S-HTTP、TLS、Kerberos） 可信任系统 硬件安全性 计算机病毒保护 文件的备份和恢复 个人信息控制 匿名 不可跟踪性 网络设备可靠性 应付自然

11、灾害 环境安全性 UPS,防火墙,简介： 防火墙作为一种放置于Internet和企业内部网Intranet之间，进行数据包的访问控制的工具，是我们进行网络安全化建设中必须考虑的要素。如果把Internet比喻成为现实生活中的大街，Intranet比喻成一所房子，数据比喻成为来往于大街和房子之间形形色色的人们，那么防火墙则为守护这所房子忠实的保安。他会从进出房子的人们中识别出哪些是房子的主人（正常进出网络的数据）；哪些是企图进入房子的不法分子（恶意的数据包），允许房子的主人进入房子，拒绝不法分子进入房子，从而保证了房子中的物品安全,防火墙,防火墙的定义： 防火墙是一种高级访问控制设备，它是置于不

12、同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙可以是硬件系统、路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝，实施访问控制功能。 防火墙必须部署到不同安全域之间的唯一通道。如果不同安全域之间（例如财务子网和工程子网）有多条通道，而只是再其中一条通道之间部署防火墙，那么此时的防火墙就没有任何意义。 安全规则，防火墙上的安全策略定义哪些数据包可以通过防火墙，哪些数据包不可以通过防火墙，安全策略是防火墙能够实施访问控制的关键因素。如

13、果仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设,防火墙,第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具集 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙,防火墙的发展,防火墙,防火墙的位置 包过滤技术 状态检测技术 应用代理技术,防火墙技术,Firewall,Mail Server,WebServer,Internet,防火墙,数据包状态检测过滤 防御功能 应用代理 URL过滤 IP地址和MAC地址绑定 NAT地址转换 反向地址映射 日志审核,DoS/Ddos攻击 防止入侵者扫描 防止源路由攻击 防止IP碎片攻击 防止ICMP/IMP攻击

14、 抗IP假冒攻击,防火墙的功能,防火墙,吞吐量 延迟 并发连接数 平均无故障时间,防火墙的性能指标,防火墙,访问控制”的应用 防火墙在VLAN网络中的应用 “内网安全分段”的应用 “动态IP分配”的应用 “多出口”的应用 “端口映射”的应用,应用案例,防火墙,无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭 无法防护非法通道出现,不足之处,防火墙,企业部署防火墙的误区： 1. 最全的就是最好的，最贵的就是最好的。 2. 软件防火墙部署后不对操作系统加固。 3. 一次配置，永远运行。 4. 测试不够完全。 5.

15、 审计是可有可无的,入侵检测,入侵检测系统IDS（Intrusion Detection System）处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。 例如：IDS可以重新配置来禁止从防火墙外部进入的恶意流量。安全管理员应当理解入侵检测系统是独立域防火墙工作的,入侵检测,IDS的起源,1. 安全审计 2. IDS的诞生,IDS包括,1. IDS信息的收集和预处理 2. 入侵分析引擎 3. 响应和恢复系统,入侵检测的功能,1. 网络流量管理 2. 系统扫描，Jails和IDS 3. 追踪 4. 入侵

16、检测系统的必要性,入侵检测,网络级IDS 主机级IDS 另一种分类方法,管理者 特殊的考虑 管理者和代理的比例 代理 理想的代理布局 管理和代理的通信 混合入侵检测,误用检测型 异常检测,入侵检测系统的类型,入侵检测,IDS存在的问题： 1. 如何提高入侵检测系统的检测速度，以适应网络通信的要求。 2. 如何减少入侵检测系统的漏报和误报。 3. 提高入侵检测系统的互动性能。 IDS躲避技术： 1. 字符串匹配的弱点。 2. 会话拼接。 3. 碎片攻击。 4. 拒绝服务。 入侵检测技术发展方向： 1. 分布式入侵检测。 2. 智能化入侵检测。 3. 全面的安全防御方案。 4. 入侵检测应该与操作

17、系统绑定,安全协议,密码身份验证协议 (PAP) Shiva 密码身份验证协议 (SPAP) 质询握手身份验证协议 (CHAP) Microsoft 质询握手身份验证协议 (MS-CHAP) Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) Microsoft 点对点加密 (MPPE) 可扩展身份验证协议 (EAP) Kerberos SSL和IPSec SHTTP和SET,安全协议PAP,密码身份验证协议 (Password Authentication Protocol, PAP) 是一种简单的身份验证协议，在该协议中，用户名和密码以明文（不加密的）形式发送到远程

18、访问服务器。强烈建议您不要使用 PAP，因为在身份验证过程中，您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到不支持任何其他身份验证协议的较早的基于 UNIX 的远程访问服务器。 注意： 如果将 PAP 用于对连接进行身份验证，那么将无法使用 Microsoft 点对点加密 (MPPE)。 如果将连接配置为需要安全密码，并且连接到只配置了 PAP 的服务器，那么 Windows XP 远程访问客户端将终止连接,安全协议SPAP,Shiva 密码身份验证协议 (SPAP) 是 Shiva 使用的一种可逆加密机制。运行 Windows 2000 Profess

19、ional 的计算机在连接到 Shiva LAN Rover 时会使用 SPAP，就象 Shiva 客户机连接到运行 Windows 2000 的远程访问服务器一样。这种身份验证方式比明文身份验证更安全，但没有 CHAP 或 MS-CHAP 安全。 在启用 SPAP 作为身份验证协议时，同一用户密码总是以相同的可逆加密形式发送。这使得 SPAP 身份验证容易受到重现攻击，该攻击中有恶意的用户通过捕获身份验证过程数据包并重现响应，来获得对 Intranet 的身份验证访问。不鼓励使用 SPAP，特别是对虚拟专用网络连接,安全协议CHAP,质询握手身份验证协议”(Challenge Handsha

20、ke Authentication Protocol, CHAP) 是一种被广泛支持的身份验证方法，在该方法的验证过程中，将发送用户密码的消息（而非密码本身）。通过 CHAP，远程访问服务器将质询字符串发送给远程访问客户端。远程访问客户端使用质询字符串和用户密码，计算出“消息摘要 5”(MD5) 散列。散列函数和算法是单向加密方法。因为对于数据块，计算散列的结果是很简单的；但是对于散列结果，要确定它的原始数据块是不可行的（从数学角度讲）。将 MD5 散列发送到远程访问服务器。远程访问服务器（可以访问用户密码）执行相同的散列计算，并将计算的结果与客户端发回的散列相比较。如果两者匹配，则认为远程访

21、问客户端的身份凭据可信。 注意： 如果曾使用 CHAP 执行连接时的身份验证，那么不能使用“Microsoft 点对点加密”(MPPE)。 如果正在使用 CHAP 并连接到运行 Windows 2000 以及“路由和远程访问服务”的远程访问服务器，那么连接客户端的用户帐户必须被配置为允许以可逆加密格式存储密码,安全协议MS-CHAP,Microsoft 创建的 MS-CHAP 是为了对远程 Windows 工作站进行身份验证，在集成用于 Windows 网络的散列算法的同时提供 LAN 用户所熟悉的功能。与 CHAP 类似，MS-CHAP 使用质询响应机制来防止在身份验证过程中发送密码。 MS

22、-CHAP 使用消息摘要 4(MD4) 散列算法和数据加密标准(DES) 加密算法生成质询和响应，并提供用于报告连接错误和更改用户密码的机制。在设计响应数据包的格式时，尤其考虑了与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000 和 Windows XP 中的网络产品的协作,安全协议MS-CHAP v2,Windows XP 支持 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)。MS-CHAP v2 可以提供双重身份验证、为“Microsoft 点对点加密 (MPPE)

23、”生成更强的初始数据加密密钥，以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险，较旧的 MS-CHAP 密码更改方法不再受支持。 因为 MS-CHAP v2 比 MS-CHAP 更加安全，所以对于所有连接，它将在 MS-CHAP（如果已启用）之前提供。 运行 Windows XP、Windows 2000、Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机，MS-CHAP v2 仅支持 VPN 连接，不支持拨号连接。 MS-CHAP v

24、2 是一种双重身份验证协议，即客户端和服务器都需证明它们知道用户的密码。首先，远程访问服务器通过向远程客户端发送质询的方式寻求证据。然后，远程访问客户端通过向远程服务器发送质询的方式寻求证据。如果服务器无法通过正确回答客户端的质询证实它知道用户的密码，则客户端会中断连接。如果没有双重身份验证，那么远程访问客户端将无法检测出是否连接到了假扮的远程访问服务器,安全协议MPPE,Microsoft 点对点加密 (MPPE) 加密基于 PPP 拨号连接或 PPTP VPN 连接中的数据。可支持增强（128 位密钥）和标准的（40 位密钥）MPPE 加密方案。MPPE 为您的 PPTP 连接和隧道服务器

25、之间的数据提供安全保障。 MPPE 需要由 MS-CHAP 或 EAP 身份验证生成的公用的客户端和服务器密钥,安全协议EAP,可扩展身份验证协议 (EAP) 是点对点协议 (PPP) 的扩展，该协议允许那些使用任意长度的凭据和信息交换的任意身份验证方法。EAP 的开发是为了适应对身份验证方法日益增长的需求，这些身份验证方法使用其他安全设备并提供支持 PPP 内其他身份验证方法的工业标准结构。 通过使用 EAP，可以支持被称为 EAP 类型的许多特殊身份验证方案，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他方案。EAP（与强大的 EAP 类型一起）构成安全的虚拟专用网络 (

26、VPN) 连接的重要技术组成部分。强大的 EAP 类型（例如那些基于证书的类型）在对抗野蛮攻击、词典攻击和密码猜测方面比基于密码的身份验证协议（如 CHAP 或 MS-CHAP）更加安全。 Windows XP 包括对两种 EAP 类型的支持：EAP-MD5 CHAP（等同于 CHAP 身份验证协议） 和EAP-TLS，用于基于用户证书的身份验证。 EAP-TLS 是一种双重身份验证方法，这意味着客户端和服务器都向对方证明自己的身份。在 EAP-TLS 交换过程中，远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终止。 在 EAP-TLS

27、身份验证过程中，将为 Microsoft 点对点加密 (MPPE) 生成共享的机密加密密钥,安全协议Kerberos,用于确认用户或主机身份的身份验证机制。Kerberos V5 身份验证协议是用于 Windows 2000 的默认身份验证服务。 Internet 协议安全 (IPSec) 和 QoS 许可控制服务使用该 Kerberos 协议进行身份验证,安全协议SSL,SSL是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道，又叫“安全套接层（Secure Sockets Layer）” 。SSL的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议

28、，它涉及所有TC/IP应用程序。 SSL安全协议主要提供三方面的服务： 安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段： （1）接通阶段：客户机通过网络向服务器打招呼，服务器回应； （2）密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用 RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法； （3）会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码； （4）检验阶段：客户机检验服务器取得的密码； （5）客户认证阶段：服务器验证客户机的可信度； （6）结束阶段：客户机与服务器之间相互交

29、换结束的信息,1. 用户和服务器的合法性认证 2. 加密数据以隐藏被传送的数据 3. 保护数据的完整性,安全协议IPSec,IPSec是指以RFC形式公布的一组安全IP协议，支持加密和认证服务。目前已经成为最流行的VPN解决方案。 IPSec包括AH和ESP。AH验证头，提供数据源身份认证、数据完整性保护、重放攻击保护功能；ESP安全负载封装 ，提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能,SA 安全连接,安全协议PGP,PGP（Pretty Good Privacy）使用一个被成为IDEA（International Data Encryption Algorithm）的块密码

30、算法来加密数据。该算法使用128位密钥，它是在瑞士被设计出来的，当时DES已经被认为不够安全了，而AES尚未发明。从概念上讲，IDEA非常类似于DES和AES：它也运行许多轮，在每一轮中将数据位尽可能地混合起来，但是，它的混合函数与DES和AES中的不同。PGP的密钥管理使用RSA，数据完整性使用MD5。 PGP支持4种RSA密钥长度。它可以由用户来选择一种最为合适的长度： 1. 临时的（384位）：今天很容易被破解。 2. 商用的（512位）：可以被三字母组织破解。 3. 军用的（1024位）：地球上的人任何人都无法破解。 4. 星际的（2048位）：其他行星上的任何人也无法破解,安全协议S

31、HTTP和SET,SHTTP是HTTP协议的扩展，目的是保证商业贸易的传输安全。SHTTP是应用层协议，只限于WEB使用，默认使用TCP 443端口。 SET（安全电子交易）是一个安全协议和格式的集合，是用户可以以一种安全的方式，在开放网络上进行交易。SET在交易各方之间提供安全的通信信道，通过使用x.509数字证书来提供信任。 SET的关键特征,信息的机密性 数据的完整性 信用卡用户帐号的鉴别 商家的鉴别,可信任系统,为了加强计算机系统的信息安全，1985年美国国防部发表了可信计算机系统评估准则（缩写为TCSEC），它依据处理的信息等级采取的相应对策，划分了4类7个安全等级。依照各类、级的安

32、全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。即： D 级：无任何安全保护。 C1级：自主安全保护（无条件安全保护）。 C2级：自主访问保护。 B1级：有标号的安全保护。 B2级：结构化保护。 B3级：强制安全区域保护。 A1级：验证设计安全保护。 1999.9.13我国颁布了计算机信息系统安全保护等级划分准则(GB17859_1999)，定义了计算机信息系统安全保护能力的五个等级：第一级到第五级。实际上，国标中将国外的最低级D级和最高级A1级取消，余下的分为五级。TCSEC中的B1级与GB17859的第三级对应,中国计算机信息系统安全保护等级,GB 17859-1999 第

33、一级：用户自主保护级； 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级,计算机病毒保护,病毒定义： 计算机病毒是一个程序，一段可执行行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户是，它们就随同文件一起蔓延开来,计算机病毒保护,病毒产生的背景： 计算机病毒是计算机犯罪的一种新的衍化形式 计算机软硬件产品的脆弱性是根本的技术原因 微机的普及应用是计算机病毒产生的必要环境,计算机病毒保护,感染机制 触发机制 有效载荷,计算机病

34、毒的结构,计算机病毒保护,计算机病毒的四大机制,计算机病毒的寄生对象 计算机病毒的寄生方式 计算机病毒的引导过程,驻留内存 窃取系统控制权 恢复系统功能,计算机病毒的引导机制,计算机病毒保护,计算机病毒的四大机制,计算机病毒的传染方式 计算机病毒的传染过程 系统型病毒的传染机理 文件型病毒的传染机理 文件型病毒通过与磁盘文件有关的操作进行传染,计算机病毒的传染机制,计算机病毒保护,计算机病毒的四大机制,计算机病毒的破坏机制： 破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址（一般为时钟中断INT 8H，或与时钟中断有关的其他中断，如INT 1CH），使该中断

35、向量指向病毒程序的破坏模块,计算机病毒保护,计算机病毒的四大机制,日期触发 时间触发 键盘触发 感染触发 启动触发 访问磁盘次数触发 调用中断功能触发 CPU型号/主板型号触发,计算机病毒的触发机制,触 发 条 件,计算机病毒保护,平时运行正常的计算机突然经常性无缘无故地死机 操作系统无法正常启动 运行速度明显变慢 以前能正常运行的软件经常发生内存不足的错误 打印和通讯发生异常 无意中要求对软盘进行写操作 以前能正常运行的应用程序经常发生死机或者非法错误 系统文件的时间、日期、大小发生变化 运行Word，打开Word文档后，该文件另存时只能以模板方式保存 磁盘空间迅速减少 网络驱动器卷或共享目

36、录无法调用 基本内存发生变化 陌生人发来电子邮件 自动链接到一些陌生的网站,计算机病毒发作前的表现现象,计算机病毒保护,提示一些不相干的话 发出一段音乐 产生特定的图像 硬盘灯不断闪烁 进行游戏算法 Windows桌面图标发生变化 计算机突然死机或重启 系统文件的时间、日期、大小发生变化 自动发送电子邮件 鼠标自己在动,计算机病毒发作时的表现现象,计算机病毒保护,硬盘无法启动，数据丢失 系统文件丢失或被破坏 文件目录发生混乱 部分文档丢失或者被破坏 部分文档自动加密码 修改Autoexec.bat文件，增加Format C:一项 使部分软件升级主板的BIOS程序混乱，主板被破坏 网络瘫痪，无法

37、提供正常的服务,计算机病毒发作后的表现现象,计算机病毒保护,比较法 加总对比法 搜索法 分析法 人工智能陷阱技术和宏病毒陷阱技术 软件仿真扫描法 先知扫描法,计算机病毒的检测方法,硬件安全性,物理安全 ： 防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为蓄意破坏 设置安全 ： 在设备上进行必要的设置（如服务器、交换机的密码等），防止黑客取得硬件设备的远程控制权。对于路由器等接入设备，由于经常暴露在黑客攻击的视野之中，因此需要采取更为严格的安全管理措施，比如口令加密、加载严格的访问

38、列表等,文件的备份和恢复,选择备份策略： 完全备份（必须），增量备份节约，磁盘镜像利于快速恢复，网络备份（经济、方便、快速、集约）。 选择备份介质： 磁带适合完全备份、整个系统恢复，dumprestore CD、DVD适合增量、单个文件恢复，保存时间长，适合经常改变的数据，包括cdrecord,dvdrecord,devdump,isodump,isoinfo,isovfy,readcd命令， 创建文件系统映射文件：mkisofs -R -o /var/tmp/dai.iso /home/daiR保存文件的所有权和访问权，r 不保存文件权限，适合创建发布光盘 查看SCSI总线号、设备ID号、光

39、驱的逻辑单元号LUN：cdrecord -scanbus 刻盘：cdrecord -v speed=40 dev=0,0,0 -data /var/tmp/dai.iso或dvdrecord -v speed=40 dev=0,0,0 -data /var/tmp/dai.iso 硬盘（快速、频繁的备份），一种是RAID1；另一种是mirrordir命令mirrordir /home /mirror/home第一次时完全备份目录，第二次运行此命令为更新，mirrordir /mirror/home /home为恢复,个人信息控制,控制您的个人信息： 拥有个人隐私的权利是我们生活方式的基础之一。

40、在 Internet 时代的初期，控制您的个人信息比以往更重要也更复杂。 我们利用 Internet 进行商务、娱乐、金融、教育、卫生保健以及其他活动越多，他人跟踪和存储有关我们日常生活的信息的可能性也就越大。保持联机安全最需要的是要像对待钱财那样照管个人信息。在某种意义上，它就是钱财。Internet 的货币未必只与钱有关它还与您的信息有关,个人信息控制,保密个人信息： 确保密码保密和安全。您进入 Internet 的密码是进入您的整个联机生活的钥匙，请不要把它透露给其他人员。 请您经常问问自己：“为什么这个 Web 站点需要我的信息呢？”请记住：当您在 Internet 上输入自己的信息时

41、，那些您不认识的人可能会存储这些信息并将这些信息与从其他来源获得的有关您的信息联系起来使用。 输入自己的信息之前，请您阅读每个 Web 站点上的“隐私策略”。如果它们没有隐私策略或者想以您不喜欢的方式使用您的信息，那么请您转到其他的站点进行交易,个人信息控制,保密个人信息： 请格外小心不要泄露某些类型的个人信息。您母亲的名字、银行帐号和驾驶执照号码都是您应很少（如果发生过的话）联机泄露的信息类型。保密级别较低、但仍需注意的信息有电子邮件地址、年龄、性别、家庭电话号码和家庭地址。 如果在 Web 站点上输入个人信息，请确保该站点使用加密技术通过 Internet 发送这些信息。有两种方法可以确保

42、 Web 站点对您的数据进行加密： 在计算机屏幕的边缘寻找一个关闭的锁状小图标。 查看 Web 地址 (URL)。安全的 Web 站点使用 https 协议而不是 http。末尾的“s”代表“secure”（安全,个人信息控制,保密个人信息： 请记住：电子邮件是不安全的。电子邮件可以被截取、被您的老板阅读（在发送到您的公司地址的情况下）、转发给其他人，甚至发布到 Web 站点上。不在电子邮件中放入您不希望发布到社区中心公告牌上的任何内容是个好主意。 当您参与新闻组或聊天时，请小心。当您与联机朋友交谈时可能会产生麻痹而有一种安全感。但一定要记住两件事情：人们并不总是他们所声称的那种人，而且联机“

43、对话”被视为公开的，有时会被存档并打印出来供他人阅读和搜索。 如果您的孩子也使用 Internet，那么请您与他们一起回顾这些应对措施。确保他们了解在其联机共享任何个人信息之前获得您的许可的重要性。 请注意：Microsoft 对第三方 Web 站点、产品或服务的引用并不表示对其认可。提供指向第三方站点的链接仅是为了便于您获取信息,网络设备可靠性,可靠性是进行通信网络规划设计与性能评价的重要指标。通信网络的可靠性一般包括网络的生存性、抗毁性及有效性等多个方面，涉及到网络通信设备、拓扑结构、通信协议等多方面因素。计算机网络和通信网络密不可分，它们已经完全融合,网络设备可靠性,计算机网络可靠性的要

44、素： 计算机网络可靠性是计算机网络系统的固有特征之一，它表明一个计算机网络系统按照用户的要求和设计的目标，执行其功能的正确程度。计算机网络可靠性与网络软件可靠性、硬件可靠性及所处环境有关。计算机网络可靠性应包含以下3个要素。 (1) 无故障运行时间。计算机网络可靠性只是体现在其运行阶段，用“无故障运行时间”来度量。由于网络运行环境、网络程序路径选取及所受进攻的随机性，软件的失效为随机事件，因此无故障运行时间属于随机变量。 (2) 环境条件。环境条件指计算机网络的运行环境。它涉及网络系统运行时所需的各种支持要素，如硬件、协议软件、操作系统、可能受到攻击的手段、所采取的防护措施以及操作规程等。不同

45、的环境条件下信息网络的可靠性是不同的。 (3) 规定的功能。计算机网络可靠性还与规定的任务和功能有关。由于要完成的任务不同，信息网络的运行剖面会有所区别，则调用的网络子模块就不同，其可靠性也就可能不同，因此要准确度量计算机网络的可靠性，首先必须明确它的任务和功能,网络设备可靠性,计算机网络可靠性分析,交换机的可靠性,交换机应具有较强的微分段能力 交换机应具有很强的容错特性 交换机还应提供先进的网络诊断工具 交换机应具有支持构建虚拟网的能力,路由器的可靠性 路由器是网络层的互连设备，应用它不仅可实现不同类型局域网的互连，而且还可以实现局域网与广域网以及广域网之间的互连。因此，在考虑路由器的可靠性

46、时，首先要考虑的问题就是如何选择协议。设计路由器可靠性的首要目标就是去除一些不支持的协议，建立一致的局域网和广域网协议。在路由器硬件本身的选择上也要考虑其一致性。 提高路由器可靠性的最保险的方法是采用冗余路由技术，即通过布线系统、集线器和交换机，使每个网段都连接到两个路由器上，这两个路由器保持相同的配置；连接在相同网络上的端口分配相同的IP地址。这样，当主路由器正常工作时，由于次路由器具有相同的路由表和IP地址，因此不会影响网络正常运行；若主路由器出现故障，次路由器立即能自动代替其工作,网络设备可靠性,链路的可靠性分析 ： 提高链路的可靠性往往通过链路的冗余设计来实现，即采用一条主链路和一条备

47、链路。这种冗余设计构思简单而且便宜。链路的冗余可以通过多种技术实现，目前最流行的是链路聚合技术和生成树技术。 链路冗余还有一个好处是可以做到均衡负载。这种方法可以充分利用两条链路，当网络正常时，所有的数据流随机地分配到任何一线路上(根据线路的综合情况，如带宽等)，简单地说，就是将两条线路看成一条带宽较宽的线路，当其中一条线路或设备出现故障时，所有的数据流自动选择另一条线路,网络设备可靠性,协议的可靠性分析 ： 协议的可靠性技术就是采用相关的软、硬件切换技术(如STP和VRRP)来保证核心应用系统的快速切换，防止局部故障导致整个网络系统的瘫痪，避免网络出现单点失效，从而保证用户端在网络失效时能快

48、速透明地切换,生成树协议,最早的生成树协议(STP)IEEE802.1d规定可在50s内恢复连接。但是随着视频和语音的应用要求，网络必须具有更快的自恢复能力，因而IEEE随后又开发了802.1w定义的快速生成树协议(RSTP)以及802.1s定义的多路生成树协议(MST)。 生成树协议通过网格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构，提供了冗余连接，消除了数据流量环路的威胁,可靠的网络必须具备有3个典型特点,有效地传输流量 提供冗余 故障快速恢复能力,网络设备可靠性,协议的可靠性分析 ： 虚拟路由冗余协议 ： 虚拟路由冗余协议(VRRP)是对共享多存取访问介质(如以太网)上终端IP设备的

49、默认网关(Default Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。 简单来说，VRRP是一种容错协议，它保证若主机的下一跳路由器故障时能及时由另一台路由器来代替，从而保持通信的连续性和可靠性。为了使VRRP工作，需要在路由器上配置虚拟路由器号和虚拟IP地址，同时产生一个虚拟MAC地址，这样在这个网络中就加入了一个虚拟路由器。虚拟路由冗余协议工作原理如图所示,网络设备可靠性,虚拟路由冗余协议工作原理,UPS,UPS的汉语意思为“不间断电源”，是英语“Uninterruptable Power Supply

50、”的缩写，它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，避免数据丢失。 UPS按其工作方式分类,离线式（Off Line） 在线式（On Line） 在线互动式（Line-Interactive,UPS,离线式UPS： 优点：运行效率高、噪音低、价格相对便宜，主要适用于市电波动不大，对供电质量要求不高的场合，比较适合家庭使用。 缺点：存在一个切换时间问题，因此不适合用在关键性的供电不能中断的场所。不过实际上这个切换时间很短，一般介于2至10毫秒，而计算机本身的交换式电源供应器在断电时应可维持10毫秒左右，所以个人计算机系统一般不会因为这个切换时间而出现问题,UPS,在线式

51、UPS： 优点：供电持续长，一般为几个小时，也有大到十几个小时的，它的主要功能是可以让您在停电的情况可像平常一样工作，显然，由于其功能的特殊，价格也明显要贵一大截。这种在线式UPS比较适用于计算机、交通、银行、证券、通信、医疗、工业控制等行业，因为这些领域的电脑一般不允许出现停电现象,UPS,在线互动式： 优点：保护功能较强，逆变器输出电压波形较好，一般为正弦波，具有较强的软件功能，可以方便地上网，进行UPS的远程控制和智能化管理。可自动侦测外部输入电压是否处于正常范围之内，与计算机之间可以通过数据接口（如RS-232串口）进行数据通讯，通过监控软件，用户可直接从电脑屏幕上监控电源及UPS状况

52、，简化、方便管理工作，并可提高计算机系统的可靠性。效率高、供电质量高。 缺点：稳频特性能不是十分理想，不适合做常延时的UPS电源,UPS,UPS的发展方向： 1. 智能化、网络化 全数字控制方式，通过UPS内部的CPU对机器参数进行编程控制； 一台UPS可以同时连接多台电脑系统； 可利用通讯接口与计算机通讯，并配合智能化监控软件及网络协议使用户方便、高效的在本地甚至远程分析及管理整个计算机及UPS系统。 2. 高可靠性与安全性 自动侦测：开机时UPS即开始进行元件（逆变器、电池等）负载的检查，便于及时发现问题，避免产生任何疏失； 自我保护：通过自我保护设计，不论是UPS超载、短路、电池电压太低

53、或UPS温度太高，UPS皆会自动关机； 直流开机：充分发挥UPS的紧急备用功能； 极强的过载能力：即使在大过载情况下仍能工作较长时间； 双机热备份功能：为局域网络提供双重的电源保护，即使一台UPS发生故障，也不会导致网络中断,12.3 VPN,虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。 虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障,VPN概述,Central Site,Site-to-SiteRemote Office,Extranet Business Partner,DSL Cable,Mobile Us

54、er,Home Telecommuter,Internet,VPN,POP,虚拟专用网指的是依靠ISP（Internet服务提供商）和其NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术,虚拟专用网络的基本用途,通过Internet实现远程用户访问： 虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源,虚拟专用网络的基本用途,通过Internet实现网络互连： 方式,使用专线连接分支机构和企业局域网 使用拨号线路连接分支机构和企业局域网,虚拟专用网络的基本用途,连接企业内部网络计算机： 在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方

55、式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难,VPN的基本要求,用户验证： VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。 地址管理： VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 数据加密： 对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。 密钥管理： VPN方案必须能够生成并更新客户端和服务器的加密密钥。 多协议支持： VPN方案必须支持公共互联

56、网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境,VPN的工作原理,Internet,,,,Registered Address,Registered Address,利用隧道在新的包里隐藏了原始包。为了路由通过隧道，隧道端点的地址在外部的新包头里提供，这个包头称为封装头。而最后的目的地址装在

57、原始的包头里。当包抵达隧道的终点时，将封装头剥去,VPN的协议,IP,PPP,PPP,L2TP L2F,PPP,PPP,PPTP (Point to Point Tunneling Protocol) L2F (Layer 2 Forwarding) L2TP (Layer 2 Tunneling Protocol,隧道技术基础、隧道协议,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传

58、递。 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程,隧道技术基础、隧道协议,隧道技术基础、隧道协议,目前较为成熟的技术,IP网络上的SNA隧道技术 IP网络上的NovellNetWareIPX隧道技术,一些新的隧道技术,点对点隧道协议（PPTP） 第2层隧道协议（L2TP） 安全IP（IPSec)隧道模式,隧道技术基础、隧道协议,隧道协议： 为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。 隧道技术可以分

59、别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联（OSI）的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。 PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送,实现、隧道协议和基本隧道要求,隧道技术如何实现： 对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端

60、点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。 第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。 隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器