计算机网络安全漏洞及防范措施00

1、河南司法警官职业学院 毕业论文设计题目 计算机网络漏洞及防范措施 姓 名 冯超阳 学 号 09421024 系、专业 计算机应用技术 班 级 09级信息系二中队一分队 指导教师2012 年 3 月 8日摘要随着计算机网络在人类生活领域中的广泛应用，针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等方面。在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，

2、甚至造成网络系统的瘫痪等，诸如此类的事件已给政府及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的，因此，对漏洞的了解及防范也相对重要起来。关键词：网络安全 漏洞 病毒 入侵目录中文摘要2 英文摘要3 目录4第一章绪论61.1研究意义 61.2研究目的 61.3研究范围 6第二章网络安全62.1网络安全概述 72.1.1网络安全面临的主要威胁 72.1.2威胁网络安全的因素 82.2网络安全分析 92.3网络安全措施 112.3.1完善计算机立法 112.3.2网络安全的关键技术 11第三章防火墙技术 123.1防火墙的概述12

3、3.2防火墙的主要功能133.3防火墙的关键技术143.4防火墙的好处15第四章防病毒技术 164.1防病毒技术产生的原因164.2防病毒技术的分类174.3常见的病毒防范方法18第五章安全扫描技术 195.1安全扫描的概述195.2安全扫描全过程20第六章VPN技术206.1VPN的定义206.2VPN的功能216.3VPN的关键技术21第七章入侵检测技术 227.1入侵检测技术的定义227.2入侵检测技术的分类237.3入侵检测技术存在的问题24第八章身份认证技术 248.1身份认证的概述248.2身份认证的方法248.3身份认证的类型25第九章结论 26 参考文献 26第一章 绪论1.1

4、 研究意义随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。1.2 研究目的21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。正由于无处不在，也给了不法分子可乘之机

5、，出现了许多破坏网络的行为。例如：病毒攻击、服务攻击、入侵系统、未授权身份验证等。为了更好的维护网络安全，对于网络研究很有必要。1.3 研究范围在论文中接下的几章里，将会有下列安排：第二章，分析研究网络安全问题，网络安全棉铃的主要威胁，影响网络安全的因素，及保护网络安全的关键技术。第三章，介绍防火墙的相关技术。第四章，介绍防病毒的相关技术。第五章，介绍安全扫描的相关技术。第六章，介绍VPN的相关技术。第七章，介绍入侵检测系统。第八章，介绍身份认证。第二章 网络安全2.1 网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统

6、连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。2.1.1 网络安全面临的主要威胁网络安全威胁是指某个人、物或事件对网络资源的保密性、完整性、可用性和可审查性所造成的危害。第一，硬件系统、软件系统以及网络和通信协议存在的安全隐患常常导致网络系统自身的脆弱性。第二，由于计算机信息具有共享和易于扩散等特性，它在处理、存储、传播和使用过程中存在严重的脆弱性，很容易被泄露、窃取、篡改、假冒、破坏以及被计算机病毒感染。第三，目前攻击者需要的技术水平逐渐降低但危

7、害增大，攻击手段更加灵活，系统漏洞发现加快，攻击爆发时间变短；垃圾邮件问题严重，间谍软件、恶意软件、流氓软件威胁安全；同时，无线网络、移动手机也逐渐成为安全重灾区。1、主要存在的网络信息安全威胁目前主要存在4类网络信息安全方面的威胁：信息泄露、拒绝服务、信息完整性破坏和信息的非法使用。(1)信息泄露：信息被有意或无意中泄露后透漏给某个未授权的实体，这种威胁主要来自诸如搭线窃听或其他更加错综复杂的信息探测攻击。(2)拒绝服务：对信息或其他资源的合法访问被无条件地阻止。这可能是由以下攻击所致：攻击者不断对网络服务系统进行干扰，通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载，执行无关程

8、序使系统响应减慢甚至瘫痪，从而导致系统资源对于合法用户也是不可使用的。拒绝服务攻击频繁发生，也可能是系统在物理上或逻辑上受到破坏而中断服务。由于这种攻击往往使用虚假的源地址，因此很难定位攻击者的位臵。(3)信息完整性破坏：以非法手段窃得的对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据、以干扰用户的正常使用，使数据的一致性通过未授权实体的创建、修改或破坏而受到损坏。(4)信息的非法使用：某一资源被某个未授权的人后以某一未授权的方式使用。这种威胁的例子有：侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点或者作为侵入其他系统的出发点。2、

9、威胁网络信息安全的具体方式威胁网络信息安全的具体方式表现在以下8个方面：(1)假冒。某个实体(人或系统)假装成另外一个不同的实体，这是渗入某个安全防线的最为通用的方法。(2)旁路控制。除了给用户提供正常的服务外，还将传输的信息送给其他用户，这就是旁路。旁路非常容易造成信息的泄密，如攻击者通过各种手段利用原本应保密但又暴露出来的一些系统特征渗入系统内部(3)特洛伊木马。特洛伊程序一般是由编程人员编制，他除了提供正常的功能外还提供了用户所不希望的额外功能，这些额外功能往往是有害的。(4)蠕虫。蠕虫可以从一台机器传播，他同病毒不一样，不需要修改宿主程序就能传播。(5)陷门。一些内部程序人员为了特殊的

10、目的，在所编制的程序中潜伏代码或保留漏洞。在某个系统或某个文件中设臵的“机关”，当提供特定的输入数据时，便允许违反安全策略。(6)黑客攻击。黑客的行为是指涉及阻挠计算机系统正常运行或利用、借助和通过计算机系统进行犯罪的行为。(7)拒绝服务攻击，一种破坏性攻击、最普遍的拒绝服务攻击是“电子邮件炸弹”。(8)泄露机密信息。系统内部人员泄露机密或外部人员通过非法手段截获机密信息。2.1.2 威胁网络安全的因素自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，

11、比如信息流量分析、信息窃取等；信息战；网络协议中的缺陷，例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁渗入威胁主要有：假冒、旁路控制、授权侵犯；植入威胁主要有：特洛伊木马、陷门。陷门：将某一“特征”设立于某个系统或系统部件之中，使得在提供特定的输入数据时，允许安全策略被违反。2.2 网络安全分析1、物理安全分析网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间

12、的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。2、网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant

13、的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。3、系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。

14、不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配臵。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。4、应用系统的安全分析应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用系统的安全是动态的、不断变化的。应用的安全涉及方面很多，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有sendmail

15、、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破

16、坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。5、管理的安全风险分析管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查

17、性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。2.3 网络安全措施网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部环境。二是技术方面，如身份认证、防火

18、墙技术、防病毒技术等。三是管理措施，包括技术与社会措施。只要措施有：提供实时改变安全策略的能力，对现有的安全策略实施漏洞检查等，以防患于未然。这三者缺一不可。其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。2.3.1 完善计算机立法我国先后出台的有关网络安全管理的规定和条例。但目前，在这方面的立法还远不能适应形势发展的需要，应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。2.3.2 网络安全的关键技术(1)防火墙技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通

19、过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。(2)防病毒技术随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。(3)检测系统入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三

20、个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。(4)身份认证身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。第三章 防火墙技术3.1 防火墙的概述防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可防火墙以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Int

21、ernet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。3.2 防火墙的主要功能1、网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进

22、出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内防火墙部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2、强化网络安全策略通过以防火墙为中心的安全方案配臵，能将所有安全软件（如口令、加密、身份认证、审计等）配臵在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。3、对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙

23、就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4、防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴

24、趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。3.3 防火墙的关键技术防火墙的主要功能是通过以下3种技术方法实现的。1、包过滤技术包过滤技术是一种通用、廉价且有效地安全手段，它拒绝接受从未授权的主机发送

25、的TCP/IP包，并拒绝接受使用未授权服务的连续请求。网络上的数据都是以“包”为单位进行传输的，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口及协议参数等字段。包过滤技术的优点：简单实用，实现成本较低，处理速度快且易于维护，在包过滤技术的缺点：工作于网络层的安全技术对基于应用层的网络入侵却无能为力，有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。2、网络地址转换是一种用于把IP地址转换成临时的，外部的，注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味

26、着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请

27、求。从一定意义来说网络地址转换可以有效地保护网络内部的系统，增加网络流量和拒绝服务攻击的难度。网络地址转换的过程对于用户来说是透明的，不需要用户进行设臵，用户只要进行常规操作即可。3、代理服务代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间。完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内

28、部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点：安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。代理型防火墙的缺点：对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设臵，大大增加了系统管理的复杂性。3.4 防火墙的好处1、保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。2、控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，

29、同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server和Web Server。3、集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。4、增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。 记录和统计网络利用数据以及非法使用数据。防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据

30、， 来判断可能的攻击和探测。5、策略执行防火墙提供了制定和执行网络安全策略的手段。未设臵防火墙时，网络安全取决于每台主机的用户。第四章 防病毒技术4.1 防病毒技术产生的原因现今市场上流行的单机防病毒产品种类繁多，性能各异。各防病毒产品之间的竞争也异常激烈，各开发商频频使出“变招”争夺这一庞大的市场。无论这些反病毒产品性能多么优越，下面两个致命弱点则明显地暴露出其不足之处，使反病毒产品一度走入低谷。(1)防病毒产品均以单机为防病毒对象，不能有效地防止病毒在网上蔓延。而在网络上，病毒正是以网络服务器为传播源，通过服务器，病毒迅速地在网络上传播，直到感染整个网络，使网络彻底瘫痪。(2)一机一卡所带

31、来的缺陷。开发商从市场角度考虑，将防病毒卡与产品加密合二为一，但却给用户带来了许多不便：占用硬件资源(如扩充槽口、I/O口或中断资源)；增加内存开销，易发生防病毒系统与其它应用系统的软硬件冲突；影响计算机执行速度。因为防病毒软件要实现实时监控，就一定要占用CPU时间，这必然会使计算机执行速度下降。有鉴于此，需要彻底改变现有的防病毒产品模式，需要和单机防病毒技术有本质区别的网络防病毒技术。4.2 防病毒技术的分类从反病毒产品对计算机病毒的作用来讲，防毒技术可以直观地分为：病毒预防技术、病毒检测技术及病毒清除技术。1、计算机病毒的预防技术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系

32、统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。 预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发

33、作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。2、检测病毒技术计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭

34、到破坏，感染上了病毒，从而检测到病毒的存在。3、清除病毒技术计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。4.3 常见的病毒防范方法1、防范木马程序和恶意代码(1)木马程序的

35、防范木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。在“开始”“程序”“启动”或“开始”“程序”“Startup”选项里看是否有不明的运行项目，如果有，删除即可。将注册表里HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。(2)恶意代码的防范用户在上网是最有可能接触到恶意代码，因此，恶意代码成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全

36、打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意代码攻击。一般恶意代码都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意代码的攻击只要禁止这些恶意代码的运行就可以了。运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设臵为“禁用”，其它项设臵为“提示”，之后点击“确定”。这样设臵后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。2、邮件病毒的防范防范邮件病毒的措施有以下几条1、在收到信的时

37、候，不管是不是认识的还是不认识的，附件一定先不要打开，虽然有些E-mail在上传附件的时候都进行了杀毒，不怕一万就怕万一。除非，你和他正在研究邮件病毒，或者在制造邮件病毒。2、看见带有附件的邮件，可以把附件下下来，然后用杀毒软件杀毒，如果还是怕中毒，你可以这样做。(1)打开我的电脑，在工具栏中找到工具选择文件夹选项，在弹出的对话框中选择查看这个选项，把“隐藏已知文件类型的扩展”前面的勾去掉。(2)在邮件的附件上右击 选择另存为， 在要你重命名的时候在文件名的后面打上“.txt”然后再杀毒。(3)如果还是不放心，你可以选择删除。3、记住自己常用的一些注册网站的管理员邮箱，或者记住他们的邮箱后缀。

38、在看见这些邮件的时候一点要仔细核对这些信息，使用社会工程学的人一定会伪造一个极像的或者一字之差的邮箱与你沟通。例如，前一段时间有一个病毒文件的计算机进程，如下：rundll32.exe(真实的)rund1l32.exe(病毒)rund1132.exe(病毒),你不认真看，一下还真有点看不出来。这样的邮件不管三七二十一，统统不要。4、为了能安全上网，安全的发邮件，有时候在QQ，MSN，SKY里面别人给你的莫名的网站一定不要打开，除非你特别信任他，或者你已经知道了结果是什么。第五章 安全扫描技术5.1 安全扫描概述安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从

39、而降低系统的安全风险而发展起来的一种安全技术。利用扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，以及在操作系统上存在的可能导致攻击的安全漏洞。安全扫描技术主要分为两类：主机安全扫描技术和网络安全扫描技术。主机安全扫描技术是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞；而网络安全扫描技术则主要针对系统中不合适的设臵脆弱的口令，以及针对其它同安全规则抵触的对象进行检查等。5.2 安全扫描全过程一次完整的安全扫描分为三个阶段：(1)发现目标主机或网络。(2)

40、发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3)根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。第六章 VPN技术6.1 VPN的定义VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常， VPN 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可

41、用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。6.2 VPN的功能由于采用了“虚拟专用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络。虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络，通过网络内部的软件控制就可以组建不同种类的虚拟专用网。例如：利用公用电话网可以构建“虚拟专用电话网”。6.3 VPN的关键技术1、加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算

42、法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于敏感的商业信息。加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链

43、路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。2、隧道技术L2TP是L2F（Layer 2 Forwarding）和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP，因此PPTP仍比较流行。隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制

44、。建立过程如下：用户通过Modem与NAS建立连接；用户通过NAS的L2TP接入服务器身份认证；在政策配臵文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；用户与L2TP接入服务器之间建立一条点到点协议（Point to Point Protocol，PPP）访问服务隧道；用户通过该隧道获得VPN服务。与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配臵，与任意位臵的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：用户通过串口以拨

45、号IP访问的方式与NAS建立连接取得网络服务；用户通过路由信息定位PPTP接入服务器；用户形成一个PPTP虚拟接口；用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；用户通过该隧道获得VPN服务。在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。 采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集

46、中的、固定的VPN用户，而PPTP比较适合移动的用户。第七章 入侵检测系统7.1 入侵检测技术的定义入侵检测技术可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配臵的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。7.2 入侵检测技术的分类1、按技术划分(1)异常检测模型：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认

47、为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。(2)误用检测模型：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。2、按对象划分基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。

48、主机型入侵检测系统保护的一般是所在的主机系统。是由代理来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台通信。基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器组成，传感器是一台将以太网卡臵于混杂模式的计算机，用于嗅探网络上的数据包。混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。7.3 入侵检测技术存在的问题1、现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率