网络安全技术演示文稿

网络安全技术演示文稿当前1页，总共338页。网络安全技术当前2页，总共338页。1.1计算机网络安全概述当前3页，总共338页。一、网络安全的发展史

20世纪80年代开始，互联网技术飞速发展。自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。

1997年,随着万维网（WoldWideWeb）上Java语言的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。当前4页，总共338页。一、网络安全的发展史1989年，俄罗斯的EugeneKaspersky开始研究计算机病毒现象。从1991年到1997年，俄罗斯大型计算机公司KAMI的信息技术中心研发出了AVP反病毒程序。这在国际互联网反病毒领域具有里程碑的意义。防火墙是网络安全政策的有机组成部分。1983年，第一代防火墙诞生。到今天，已经推出了第五代防火墙。当前5页，总共338页。一、网络安全的发展史

进入21世纪，政府部门、金融机构、军事军工、企事业单位和商业组织对IT系统的依赖也日益加重，IT系统所承载的信息和服务的安全性就越发显得重要。

2007年初，一个名叫“熊猫烧香”的病毒在极短时间内通过网络在中国互联网用户中迅速传播，曾使数百万台电脑中毒，造成重大损失。当前6页，总共338页。一、网络安全的发展史1、网络安全问题的产生（1）信息泄露、信息污染及信息不可控等（2）某些个人或组织出于某种特殊目的进行信息泄露、信息破坏、信息假冒侵权和意识形态的信息渗透，甚至进行一些破坏国家、社会以及各类主体合法权益的活动。当前7页，总共338页。一、网络安全的发展史（3）随着社会的高度信息化、社会的“命脉”和核心控制系统有可能面临恶意的攻击而导致损坏和瘫痪（4）网络应用越来越广泛，但是控制权分散的管理问题也日益显现当前8页，总共338页。一、网络安全的发展史2、网络安全的现状(见P2图1-1)（1）拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。当前9页，总共338页。一、网络安全的发展史（2）网络仿冒（3）网页恶意代码（4）病毒、蠕虫或木马（5）漏洞（6）垃圾邮件报告当前10页，总共338页。一、网络安全的发展史3、网络安全的发展趋势（1）实施网络攻击的主体的变化：由兴趣性向盈利性发展（2）网络攻击的主要手段的变化：由单一手段向结合多种攻击手段的综合性攻击发展（3）企业内部对安全威胁的认识的变化：外部管理转向内部安全管理当前11页，总共338页。二、网络安全的定义1、网络上的信息安全，这其中涉及到了物理器件计算机和基于这之上的网络通信，对于数据的加密等一系列的知识，因此集计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科于一体。当前12页，总共338页。二、网络安全的定义2、计算机系统安全定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。3、保证网络安全的目的：确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等情况。当前13页，总共338页。二、网络安全的定义4、网络安全包含：（1）运行系统的安全，即保证信息处理和传输系统的安全（2）网络上系统信息的安全（3）网络上信息传输的安全，保证信息不被窃取修改或泄漏（4）网络上信息内容的安全当前14页，总共338页。1．2网络安全威胁当前15页，总共338页。一、网络安全威胁的来源1、内部威胁（1）内部人员因自身原因故意破坏、泄露或无意错误操作破坏数据而引起的威胁（2）因不当使用Internet接入而降低生产率（3）内部工作人员发送、接收和查看攻击性材料，可能会使内部感染计算机病毒。2、外部威胁当前16页，总共338页。二、网络安全威胁的种类1、非授权访问：一般是没有事先经过同意，通过假冒、身份攻击及系统漏洞等手段来获取系统的访问权限，从而非法进入网络系统来使用网络资源，造成资源的消耗或损坏。2、拒绝服务3、数据欺骗：主要包括捕获、修改和破坏可信主机上的数据，攻击者还可能对通信线路上的网络通信进行重定向。当前17页，总共338页。1．3网络安全防御体系当前18页，总共338页。一、安全防御体系的层次结构1、物理安全：包括通信线路的安全、物理设备的安全及机房的安全等。涉及到防火、防静电、防雷击、防电磁辐射和防盗等。2、操作系统安全性：包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补等当前19页，总共338页。一、安全防御体系的层次结构3、网络的安全性：包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、防火墙应用、病毒防范和入侵检测等4、应用安全性：指网络对用户提供服务所采用的应用软件和数据的安全性5、管理安全性：包括安全技术和设备的管理、安全管理制度及部门与人员的组织规则等。当前20页，总共338页。二、安全防御体系工作流程1、攻击前的防范2、攻击过程中的防范3、攻击过程后的恢复处理当前21页，总共338页。第2章网络协议基础当前22页，总共338页。2.1TCP/IP协议概述当前23页，总共338页。一、TCP/IP协议模型1、协议的基础概念：网络协议是网络通信中控制数据传输的规则。包括三要素（1）语义（做什么）：包括用于协调和差错处理、流量控制的控制信息。（2）语法（怎么做）：数据编码格式与信号的电平（3）时序（何时做）：速度的匹配和排序当前24页，总共338页。一、TCP/IP协议模型2、开放系统互连参考模型（OSI参考模型）设计者按照信息的流动过程将网络的整体功能分解为一个个的功能层，不同主机的同等功能层之间采用相同的协议，同一主机上的相邻功能层之间通过接口进行信息传递，形成了OSI参考模型，这样不同体系结构的计算机网络都能互连，进行信息互通。当前25页，总共338页。一、TCP/IP协议模型OSI参考模型将网络的通信功能划分成7个层次，由高到低分别是：（1）物理层：向下直接与物理传输介质相连接，是各种网络设备进行互联时必须遵守的底层协议，与其他协议无关。物理层定义了数据通信网络之间物理链路的电气或机械特性，以及激活、维护和关闭这条链路的各项操作。物理层的特征参数包括电压、数据传输率、最大传输距离和物理连接介质等。当前26页，总共338页。一、TCP/IP协议模型（2）数据链路层：它把从物理层来的原始数据组成帧即用于传送数据的结构化的包。数据链路层负责帧在计算机之间的无差错传递。其特征参数包括物理地址、网络拓扑结构、错误警告机制、所传数据帧的排序和流量控制等。当前27页，总共338页。一、TCP/IP协议模型（3）网络层：定义网络操作系统通信用的协议，为传送的信息确定地址，将逻辑地址和名字翻译成物理地址。同时负责确定从源计算机沿着网络到目的计算机的路由选择，处理交通问题，路由器的功能在这一层实现。网络层的主要功能是将报文分组以最佳路径通过通信子网送达目的主机。当前28页，总共338页。一、TCP/IP协议模型（4）传输层：负责端到端的信息传输错误处理，包括错误的确认和恢复，确保信息的可靠传递。在必要时，也对信息重新打包，把过长信息分成小包发送。在接收端，再将这些小包重构成初始的信息。当前29页，总共338页。一、TCP/IP协议模型（5）会话层：允许在不同计算机上的两个应用间建立、使用和结束会话，实现对话控制，管理何端发送、何时发送和占用多长时间等。会话层利用传输层提供的可靠信息传递服务，使得两个会话实体之间不用考虑相互间的距离、使用何种网络通信等细节，进行数据的透明传输。当前30页，总共338页。一、TCP/IP协议模型（6）表示层：表示层则要保证所传输的数据经传送后意义不改变，它要解决的问题是如何描述数据结构并使之与机器无关。（7）应用层：主要功能是直接为用户服务，通过应用软件实现网络与用户的直接对话。这一层是最终用户应用程序访问网络服务的地方，负责整个网络应用程序协同工作。当前31页，总共338页。一、TCP/IP协议模型3、OSI参考模型的特点（1）各层之间是独立的。每层只实现一种相对独立的功能，可以使网络传输的复杂程度下降。（2）灵活性好。任何一层发生变化都不影响别的层，只要层间接口保持不变。（3）结构上可分割，用不同技术来实现。（4）易于实现和维护。（5）能促进标准化工作。当前32页，总共338页。一、TCP/IP协议模型4、TCP/IP协议模型（1）网络接口层：网络接口层与OSI/RM的物理层、数据链路层相对应。该层中所使用的协议大多是各通信子网固有的协议。作用是传输经IP层处理过的IP信息，并提供一个主机与实际网络的接口，而具体的接口关系则可以由实际网络的类型所决定。当前33页，总共338页。一、TCP/IP协议模型（2）互联网层：也被称为IP（InternetProtocol）层、网络层。是TCP/IP模型的关键部分。它的功能是使主机可以把IP数据包发往任何网络，并使数据报独立地传向目标（中途可能经由不同的网络）。这些数据包到达的顺序和发送的顺序可能不同，因此当需要按顺序发送和接收时，高层必须对分组排序。当前34页，总共338页。一、TCP/IP协议模型（3）传输层：在源节点和目的节点两个进程实体之间提供可靠的、端到端的数据传输。为保证数据传输的可靠性，传输层协议规定接收端必须发回确认，若丢失必须重新发送。若同时有多个应用程序访问互联网，则传输层在每个数据包中增加识别信源和信宿应用程序的标记。当前35页，总共338页。一、TCP/IP协议模型（4）应用层：位于传输层之上的应用层包含所有的高层协议，为用户提供所需要的各种服务。主要的服务有：远程登录（Telnet）、文件传输（FTP）、电子邮件（SMTP）、Web服务（HTTP）、域名系统（DNS）等。当前36页，总共338页。一、TCP/IP协议模型4、TCP/IP协议的特点（1）应用广泛（2）能够向用户和应用程序提供通用的、统一的网络服务。（3）网络对等性：简化了对异构网的处理当前37页，总共338页。二、TCP/IP核心协议1、网际协议（IP协议）：属于TCP/IP模型和互联网层，提供关于数据应如何传输以及传输到何处的信息。是使TCP/IP协议可用于网络连接的子协议。是不可靠的、无连接的协议，不保证数据的可靠，若接收时发现信息不正确，则将认为数据包被破坏，则重新发送数据包。IP的数据报包含报头和数据两部分，报头包含（见P24）。当前38页，总共338页。二、TCP/IP核心协议2、传输控制协议（TCP协议）：属于传输层，提供可靠的数据传输服务。位于IP协议的上层，通过提供校验、流控制及序列信息弥补IP协议可靠性的缺陷。是面向连接的服务。TCP协议包含了保证数据可靠性的几个组件（见P26）当前39页，总共338页。二、TCP/IP核心协议3、用户数据报协议（UDP）：UDP协议是一种无连接的传输服务，不保证数据包以正确的序列被接收，并且不提供错误校验或序列编号。适合用于实况录音或电视转播。当前40页，总共338页。二、TCP/IP核心协议4、网际控制报文协议（ICMP）：位于互联网层的IP协议和传输层的TCP协议之间，不提供错误控制服务，仅报告哪个网络是不可达的，哪个数据包因分配的生存时间过期而被抛弃。当前41页，总共338页。二、TCP/IP核心协议5、地址解析协议（ARP）：是互联网层协议，它获取主机或节点的物理地址并创建一个本地数据库以将物理地址映射到主机的逻辑地址上。和IP地址配合使用。就是将网卡地址和IP地址一一对应起来，网卡地址解析成IP地址。当前42页，总共338页。2.2常用的网络服务原理当前43页，总共338页。一、WWW服务1、WWW是已联网服务器的集合，这些服务器按指定的协议和格式共享资源和交换信息。2、采用的CS架构（服务器—客户端的架构），在服务器端需要安装外部服务器，客户机端要具备浏览器。3、在客户机端访问服务器端需要TCP/IP协议、IP地址与Internet连接和浏览器。当前44页，总共338页。一、WWW服务4、服务器端和客户机端通过HTTP或HTML服务传输内容，每个Web页都被统一资源定位器（URL）标识。每一个Web页的网址都是独一无二的，对应第一无二的IP地址。5、https是使用的服务类型，是主机名，index.asp是该页下的文件。6、常见的Web服务器软件包括（见P27）当前45页，总共338页。二、FTP服务1、文件传输协议：用于管理TCP/IP主机之间文件的传输2、FTP服务是FTP服务器提供的，相当于是服务器开辟了FTP服务，提供文件夹供客户端上传或下载文件。3、在浏览器的地址栏中输入FTP://主机名或FTP://服务器IP地址，即可访问FTP服务器，相当于是向服务器发出请求，服务器始终侦听请求，当接收到这个请求的时候，立刻给予客户端响应。当前46页，总共338页。二、FTP服务4、常见的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。5、使用FTP必须首先登陆，输入ID和口令，在服务器上获得相应的权限后才能下载或上传文件。服务器有可能限定在同一时刻最高可供多少人同时使用。有的服务器上提供匿名FTP服务，任何人都可以使用一个公用的ID进入使用该服务器上公开的资源。当前47页，总共338页。三、DNS服务1、域名系统：是将主机名和域名解析为与此名称相关的IP地址的系统。2、因为IP地址由一串数字组成，难于记忆，因此引申出了域名，用一串便于记忆的字符组成，而域名和IP地址成为一种一一对应的关系。由域名转换成IP地址称为正向解析，由IP地址转换成域名为逆向解析。3、DNS分为3个组成部分：解析器、名称服务器、名称空间当前48页，总共338页。三、DNS服务4、当进行一个域名访问的时候，在浏览器中输入网址，解析器服务会查询本地的名称服务器，查找相对应的IP地址，若没有则向高一级服务器查询。要知道本地、地区、国家都有名称服务器。5、假若你以前访问过这个域名地址，则可以从以前查询获得的缓存信息中就地应答查询，这样速度比较快。当前49页，总共338页。四、DHCP服务1、动态主机配置协议：是往网络中的每台设备分配独一无二IP地址的动态方式。2、采用DHCP服务的优点：（1）降低花费在IP地址管理方面的时间和规划（2）降低分配IP地址的错误率（3）在移动电脑的情况下无需更改TCP/IP配置。（4）为使IP地址对移动用户透明。3、DHCP出租过程和终止DHCP租借当前50页，总共338页。五、终端服务1、终端服务：集成在Windows.NETServer终端服务中，作为系统服务器服务组件存在，“开始”—“程序”—“附件”—“通讯”—“超级终端”2、客户机和服务器通过TCP/IP协议和标准的局域网构架联系，在客户端上进行操作传递到终端服务器上，再将服务器上的显示结果传递回客户端。类似于“远程控制”。当前51页，总共338页。五、终端服务3、允许多个客户端同时登陆到服务器，他们之间是相互独立的。4、终端服务由5个组件组成：（1）多用户内核（2）远程桌面协议（3）终端服务客户端（4）终端服务许可服务（5）终端服务管理工具当前52页，总共338页。2．3常用网络命令当前53页，总共338页。一、ipconfig1、ipconfig/all查看配置才启动的时候执行这个命令，大多信息不能获取，例如IP地址，DNS等。使用刷新命令后，可以查看到计算机的主机名、网卡名、网卡地址、动态分配的IP地址、子网掩码和默认网关等。2、ipconfig/renew刷新配置（“运行”—输入“cmd”）当前54页，总共338页。二、ping作用：用于网络的连通性测试，测试网线是否连通、网卡配置是否正确及IP地址是否可用等。常见参数说明：见35页当前55页，总共338页。三、arp原理：arp即地址解析协议，在常用以太网或令牌LAN上，用于实现第三层到第二层地址的转换IP—>MAC功能：显示和修改IP地址与MAC地址之间的映射谁知道的MAC地址我知道的MAC地址是:xxxxxx当前56页，总共338页。三、arp常用参数：

arp—a：显示所有的arp表项

arp–s：在arp缓存中添加一条记录（例：Arp-s02-e0-fc-fe-01-b9）

arp—d：在arp缓存中删除一条记录（例：）

arp—g：显示所有的表项当前57页，总共338页。四、nbtstat作用：是解决NetBIOS名称解析问题的工具，可使用nbtstat命令删除或更正预加载的项目常用参数：见37页当前58页，总共338页。五、netstat

作用：用来显示协议统计信息和当前TCP/IP连接，该命令只能在安装了TCP/IP协议后才能使用。常用参数：见P37—38页当前59页，总共338页。六、tracert原理：tracert是为了探测源节点到目的节点之间数据报文经过的路径，利用IP报文的TTL域在每个经过一个路由器的转发后减一,如果此时TTL=0则向源节点报告TTL超时这个特性，从一开始逐一增加TTL,直到到达目的站点或TTL达到最大值255.功能：探索两个节点的路由。当前60页，总共338页。六、tracertTTL=1TTL=2TTL=3当前61页，总共338页。六、tracert常用参数：1、tracertip_adress当前62页，总共338页。六、tracert2、tracert—hN

（设置TTL最大为N）当前63页，总共338页。第3章网络攻防技术应用当前64页，总共338页。3．1网络攻击概述当前65页，总共338页。一、网络黑客概念：怀有不良企图，强行闯入远程计算机系统或恶意干扰远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为黑客。攻击目的：窃取信息；获取口令；控制中间站点；获得超级用户权限等当前66页，总共338页。一、网络黑客实例：（1）1983年，“414黑客”，6名少年黑客被控侵入60多台电脑（2）1987年，赫尔伯特·齐恩（“影子鹰”），闯入没过电话电报公司（3）1988年，罗伯特·莫里斯“蠕虫程序”，造成1500万到1亿美元的经济损失。（4）1990年，“末日军团”，4名黑客中有3人被判有罪。（5）1995年，米特尼克偷窃了2万个信用卡号，8000万美元的巨额损失。（6）1998年2月，德国计算机黑客米克斯特，使用美国七大网站陷于瘫痪状态当前67页，总共338页。一、网络黑客

（7）1998年，两名加州少年黑客，以色列少年黑客分析家，查询五角大楼网站并修改了工资报表和人员数据。（8）1999年4月，“CIH”病毒，保守估计全球有6千万部电脑感染。（9）1999年，北京江民KV300杀毒软件，损失260万元。（10）2000年2月，“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站，损失超过了10亿美元。（11）2000年4月，闯入电子商务网站的威尔斯葛雷，估计导致的损失可能超过300万美元。当前68页，总共338页。二、网络攻击的目标目标：系统、数据（数据占70%）系统型攻击特点：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作，可能留下明显的攻击痕迹。数据型攻击特点：发生在网络的应用层，面向信息，主要目的是为了篡改和偷取信息，不会留下明显的痕迹。（注：着重加强数据安全，重点解决来自内部的非授权访问和数据的保密工作。）当前69页，总共338页。二、网络攻击的目标1、阻塞类攻击：通过强制占有信道资源、网络连接资源及存储空间资源，使服务器崩溃或资源耗尽而无法对外继续提供服务（例如拒绝服务攻击）。常见方法：TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等攻击后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降低。当前70页，总共338页。二、网络攻击的目标2、探测类攻击：收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。包括：扫描技术（采用模拟攻击形式对可能存在的安全漏洞进行逐项检查）、体系结构刺探及系统信息服务收集等当前71页，总共338页。二、网络攻击的目标3、控制类攻击：试图获得对目标主机控制权的。常见方法：口令攻击、特洛伊木马、缓冲区溢出攻击4、欺骗类攻击：通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。常见方法：ARP缓存虚构、DNS告诉缓冲污染及伪造电子邮件等当前72页，总共338页。二、网络攻击的目标5、漏洞类攻击：非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。6、破坏类攻击：指对目标主机的各种数据与软件实施破坏的一类攻击。常见方法：计算机病毒、逻辑炸弹当前73页，总共338页。3．2网络攻击技术当前74页，总共338页。一、网络攻击的一般模型概述网络攻击一般模型：经历四个阶段搜索信息获取权限消除痕迹深入攻击当前75页，总共338页。一、网络攻击的一般模型概述1、搜集信息（攻击的侦查阶段）隐藏地址：寻找“傀儡机”,隐藏真实IP地址。锁定目标：寻找、确定攻击目标。了解目标的网络结构、网络容量、目录及安全状态搜索系统信息：分析信息，找到弱点攻击。当前76页，总共338页。一、网络攻击的一般模型概述2、获取权限利用探测到的信息分析目标系统存在的弱点和漏洞，选择合适的攻击方式，最终获取访问权限或提升现有访问权限。3、消除痕迹清除事件日记、隐藏遗留下的文件、更改某些系统设置4、深入攻击进行信息的窃取或系统的破坏等操作。当前77页，总共338页。二、常用网络攻击的关键技术1、端口扫描技术通过端口扫描可以搜集目标主机的系统服务端口的开放情况，进行判断目标的功能使用情况，一旦入侵成功后将后门设置在高端口或不常用的端口，入侵者通过这些端口可以任意使用系统的资源。当前78页，总共338页。二、常用网络攻击的关键技术（1）常用的端口扫描技术A、TCPconnect（）扫描：使用connect（），建立与目标主机端口的连接。若端口正在监听，connect（）成功返回；否则说明端口不可访问。任何用户都可以使用connect（）。B、TCPSYN扫描：即半连接扫描。扫描程序发送SYN数据包，若发回的响应是SYN/ACK表明该端口正在被监听，RST响应表明该端口没有被监听。若接收到的是SYN/ACK，则发送RST断开连接。（主机不会记录这样的连接请求，但只有超级用户才能建立这样的SYN数据包）。当前79页，总共338页。二、常用网络攻击的关键技术C、TCPFIN扫描：关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包，相反，打开的端口往往忽略这些请求。D、Fragmentation扫描：将发送的探测数据包分成一组很小的IP包，接收方的包过滤程序难以过滤。E、UDPrecfrom（）和write（）扫描F、ICMPecho扫描：使用ping命令，得到目标主机是否正在运行的信息。G、TCP反向Ident扫描：H、FTP返回攻击I、UDPICMP端口不能到达扫描当前80页，总共338页。二、常用网络攻击的关键技术（2）扫描器定义：一种自动检测远程或本地主机安全弱点的程序，可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。工作原理：通过选用远程TCP/IP不同的端口服务，记录目标给予的回答。三项功能：发现一个主机或网络的功能；一旦发现主机，发现什么服务正在运行在主机上的功能；测试这些服务发现漏洞的功能。当前81页，总共338页。二、常用网络攻击的关键技术2、网络监听技术网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有网络通信信息。网卡接收数据方式：广播方式、组播方式、直接方式、混杂模式基本原理：数据包发送给源主机连接在一起的所有主机，但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下，则可监听或记录下同一网段上的所有数据包。当前82页，总共338页。二、常用网络攻击的关键技术3、网络欺骗技术定义：是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。（1）IP欺骗：选定目标，发现主机间的信任模式，使目标信任的主机丧失工作能力，TCP序列号的取样和预测，冒充被信任主机进入目标系统，实施破坏并留下后门。当前83页，总共338页。二、常用网络攻击的关键技术（2）ARP欺骗

A、对路由器ARP表的欺骗：原理是截获网关数据。

B、对局域网内个人计算机的网络欺骗：原理是伪造网关。后果：影响局域网正常运行；泄露用户敏感信息当前84页，总共338页。二、常用网络攻击的关键技术4、密码破解技术指通过猜测或其他手段获取合法用户的账号和密码，获得主机或网络的访问权，并能访问到用户能访问的任何资源的技术。当前85页，总共338页。二、常用网络攻击的关键技术密码攻击的方法：（1）通过网络监听非法得到用户密码：采用中途截获的方法获取用户账户和密码。（2）密码穷举破解：在获取用户的账号后使用专门软件强行破解用户密码。（口令猜解、字典攻击、暴力猜解）当前86页，总共338页。二、常用网络攻击的关键技术5、拒绝服务技术定义：简称DoS技术，是针对TCP/IP协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求，使服务器充斥着这种要求恢复的信息，耗尽网络带宽或系统资源，最终导致网络或系统瘫痪、停止正常工作。常见攻击模式：资源消耗型、配置修改型、服务利用型新型拒绝服务攻击技术：分布式拒绝服务攻击、分布式反射拒绝服务攻击当前87页，总共338页。三、常用网络攻击工具1、端口扫描工具：网络安全扫描器NSS、安全管理员的网络分析工具SATAN、SuperScan2、网络监听工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等3、密码破解工具：是能将口令解译出来，或者让口令保护失效的程序。4、拒绝服务攻击工具（1）DoS工具：死亡之ping、Teardrop、TCPSYN洪水、Land、Smurf（2）DDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等当前88页，总共338页。3．3网络攻击防御技术当前89页，总共338页。一、网络攻击的防范策略1、提高安全意识：从使用者自身出发，加强使用者的自身素质和网络安全意识。2、访问控制策略：保证网络安全的最核心策略之一，主要任务是保证网络资源不被非法使用和非法访问。3、数据加密策略：最有效的技术之一，通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。4、网络安全管理策略：确定安全管理登记和安全管理范围；指定有关网络操作实验规程和人员管理制度；指定网络系统的维护制度和应急措施。当前90页，总共338页。二、常见的网络攻击防御方法1、端口扫描的防范方法（1）关闭闲置和有潜在危险的端口（2）发现有端口扫描的症状时，立即屏蔽该端口：可使用防火墙实现当前91页，总共338页。二、常见的网络攻击防御方法2、网络监听的防范方法（1）对网络监听攻击采取的防范措施：网络分段：将IP地址按节点计算机所在网络的规模的大小分段，可以对数据流进行限制。加密：可对数据的重要部分进行加密，也可对应用层加密一次性密码技术划分VLAN：使用虚拟局域网技术，将以太网通信变成点到点的通信。当前92页，总共338页。二、常见的网络攻击防御方法（2）对可能存在的网络监听的检测方法：用正确的IP地址和错误的物理地址ping可能正在运行监听程序的主机。向网上发送大量不存在的物理地址的包，用于降低主机性能。使用反监听工具进行检测。当前93页，总共338页。二、常见的网络攻击防御方法3、IP欺骗的防范方法（1）进行包过滤：只在内网之间使用信任关系，对于外网主机的连接请求可疑的直接过滤掉。（2）使用加密技术：对信息进行加密传输和验证（3）抛弃IP信任验证：放弃以IP地址为基础的验证。当前94页，总共338页。二、常见的网络攻击防御方法4、密码破解的防范方法密码不要写下来不要将密码保存在计算机文件中不要选取显而易见的信息做密码不要再不同系统中使用同一密码定期改变密码设定密码不宜过短，最好使用字母、数字、标点符号、字符混合当前95页，总共338页。二、常见的网络攻击防御方法5、拒绝服务的防范方法（1）拒绝服务的防御策略：建立边界安全界限，确保输出的数据包收到正确限制。经常检测系统配置信息，并建立完整的安全日志。利用网络安全设备加固网络的安全性，配置好设备的安全规则，过滤所有可能的伪造数据包。当前96页，总共338页。二、常见的网络攻击防御方法（2）具体DOS防范方法：死亡之ping的防范方法：设置防火墙，阻断ICMP以及任何未知协议。、Teardrop的防范方法：在服务器上应用最新的服务包，设置防火墙对分段进行重组，不转发它们。TCPSYN洪水的防范方法：关掉不必要的TCP/IP服务，或配置防火墙过滤来自同一主机的后续连接。Land的防范方法：配置防火墙，过滤掉外部结构上入栈的含有内部源地址的数据包。Smurf的防范方法：关闭外部路由器或防火墙的广播地址特征，或通过在防火墙上设置规则，丢弃ICMP包。当前97页，总共338页。三、入侵检测技术1、概述通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。当前98页，总共338页。三、入侵检测技术2、功能（1）监控、分析用户和系统的活动（2）对系统配置和漏洞的审计（3）估计关键系统和数据文件的完整性（4）识别和反应入侵活动的模式并向网络管理员报警（5）对异常行为模式的统计分析（6）操作系统审计跟踪管理，识别违反策略的用户活动当前99页，总共338页。三、入侵检测技术3、入侵检测技术入侵行为与用户的正常行为存在可量化的差别，通过检测当前用户行为的相关记录，从而判断攻击行为是否发生。（1）统计异常检测技术对合法用户在一段时间内的用户数据收集，然后利用统计学测试方法分析用户行为，以判断用户行为是否合法。分为基于行为剖面的检测和阈值检测。（2）规则的检测技术通过观察系统里发生的事件并将该时间与系统的规则进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测。当前100页，总共338页。三、入侵检测技术4、入侵检测过程（1）信息收集：在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据。（2）信息分析匹配模式：将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配，进而发现违反安全策略的行为。当前101页，总共338页。三、入侵检测技术统计分析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较，是否处于正常范围之内。完整性分析：关注某个固定的对象是否被更改。当前102页，总共338页。三、入侵检测技术5、入侵检测系统的基本类型（1）基于主机的入侵检测系统使用操作系统的审计日志作为数据源输入，根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义。当前103页，总共338页。三、入侵检测技术（2）基于网络的入侵检测系统使用整个网络上传输的信息流作为输入，通过被动地监听捕获网络数据包，并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信，不能检测不同网段的网络包。（3）分布式入侵检测系统（混合型）当前104页，总共338页。三、入侵检测技术6、入侵检测系统应对攻击的技术（1）入侵响应当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。（2）入侵跟踪技术知道对方的物理地址、IP地址、域名、应用程序地址等就可以跟踪对方。当前105页，总共338页。四、蜜罐技术1、蜜罐技术蜜罐系统是互联网上运行的计算机系统，可以被攻击，对于攻击方入侵的过程和行为进行监视、检测和分析，进而追踪入侵者。蜜罐系统是一个包含漏洞的诱骗系统，是一种被监听、被攻击或已被入侵的资源，通过模拟一个或多个易被攻击的主机，给攻击者提供一个容易攻击的目标，而拖延攻击者对真正目标的攻击，让其在蜜罐上浪费时间。当前106页，总共338页。四、蜜罐技术蜜罐系统关键技术：服务伪装、漏洞提供蜜罐技术缺陷：只能对针对蜜罐的攻击行为进行监视和分析，不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控。当前107页，总共338页。四、蜜罐技术2、蜜网技术蜜网技术又称为诱捕网络，它构成一个黑客诱捕网络体系架构，其上包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具一方便对攻击信息采集和分析。蜜网核心需求：数据控制、数据捕获、数据分析当前108页，总共338页。第4章操作系统

安全配置方案

当前109页，总共338页。4.1安全操作系统概述当前110页，总共338页。一、安全操作系统的定义1、操作系统的安全现状2、安全操作系统的定义系统能够控制外部对系统信息的访问，即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。当前111页，总共338页。一、安全操作系统的定义包含有：（1）操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。（2）操作系统在使用时，通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全。当前112页，总共338页。二、安全操作系统的特征1、最小特权原则2、有ACL的自主访问控制3、强制访问控制：制定一个固定的安全属性，来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。4、安全审计和审计管理：5、安全域隔离6、可信路径：当前113页，总共338页。4.2WINDOWS操作系统安全性

当前114页，总共338页。一、操作系统的安全性概述1、WindowsXP安全性（1）完善的用户管理功能可在登录界面查看当前系统中的所有用户名，可控制用户对文件的访问，并且开启文件的审核功能后，可将用户对文件的访问情况记录到安全日志文件中。（2）软件限制策略的透明性 以透明的方式隔离和使用不可靠的、潜在对用户数据有害的代码。当前115页，总共338页。一、操作系统的安全性概述（3）支持NTFS和EFS文件系统EFS是加密文件系统，可通过在要加密的文件“属性”对话框“常规”选项卡的“高级”按钮中设置，自动产生加密密钥文件。（4）安全的网络访问特性自动更新功能：只要联网，自动查看是否有新的补丁或其他内容可更新。系统自带Internet链接防火墙功能关闭后门：关闭了前Windows版本中存在的后门。当前116页，总共338页。一、操作系统的安全性概述2、WindowsServer2003安全性（1）IIS6.0的改进在WindowsServer2003中需手动安装，可自动探测到内存泄露、非法访问及其他错误。（2）活动目录的安全性改进（3）数据存储和保护可授权额外用户访问加密文件或访问加密脱机文件。自动恢复系统ASR可轻松恢复系统，避免系统因发生错误或攻击而不能正常运行。当前117页，总共338页。一、操作系统的安全性概述（4）安全方面新增功能高可信度计算：在所有产品中采用了高可信度计算作为关键技术，提高软件环境的安全性。CRL：CRL通过检查软件代码下载和安装的位置、是否拥有可信的开发商的数字签名、是否层被改动等来检验应用程序是否安全和能否正常运行。关机的“理由”：安装了关机跟踪器，需要在关机或重启时提供理由，这样可在用户重启系统之前检测到将要接近或超过的服务器系统资源限制。这样可以了解导致服务器性能降低的原因。命令行工具：提供了命令行的管理工具，便于完成在GUI（图形用户界面）方式下较难完成的操作。当前118页，总共338页。二、Windows操作系统的漏洞1、WindowsXP系统的漏洞（1）UPnP（通用即插即用技术）服务导致的漏洞A、NPTIFY缓冲区溢出漏洞B、产生DoS和DDoS攻击的漏洞C、漏洞的解决方法：下载程序补丁；设置防火墙、禁止网络外部数据包对1900号端口的连接；关闭UPnP服务等当前119页，总共338页。（2）远程桌面明文帐户名传送漏洞当建立远程桌面连接的时候，将用户的帐户名以明文方式发给连接的客户端，这样容易被网络上的嗅探程序捕获。解决方法：“开始”菜单—“设置”—“控制面板”—“管理工具”—“服务”—禁用“UniversalPlugandPlayDeviceHost”服务当前120页，总共338页。二、Windows操作系统的漏洞（3）快速帐号切换功能造成帐号锁定漏洞用这一功能快速重复登录一个用户，则系统会错认为有暴力猜测攻击，造成全部非管理员帐号被锁定。解决方法：禁用快速用户切换功能。（4）升级程序漏洞系统版本升级造成原系统中IE的补丁文件被删除，出现漏洞。解决方法：从网站下载最新补丁当前121页，总共338页。二、Windows操作系统的漏洞（5）WindowsMediaPlayer漏洞会产生信息泄露漏洞和脚本执行漏洞。解决方法：信息泄露漏洞可以将要播放的文件先下载到本地再播放可避免。脚本执行漏洞，只有用户先播放一个特殊的媒体文件后又浏览一个经过特殊处理的网页，攻击者才能利用该漏洞进行成功攻击。当前122页，总共338页。二、Windows操作系统的漏洞（6）热键漏洞当系统长时间未用而进入“自动注销”后，虽然他人没有密码就无法进入桌面，但可以通过热键启动应用程序。解决方法：检查可能带来危害的热键；启动屏幕保护程序，并设置密码；在离开计算机时锁定计算机。当前123页，总共338页。二、Windows操作系统的漏洞2、WindowsServer2003系统的安全问题（1）系统存在不需要身份验证的服务，若开放这些服务，远程用户可不需要验证直接登录系统。（2）应用在系统中的KerberosV5（安全身份验证协议）有安全漏洞，从而造成WindowsServer2003系统的不安全性。（3）WindowsServer2003系统的日志机制存在缺陷，无法追踪攻击者的IP地址。当前124页，总共338页。二、Windows操作系统的漏洞（4）WindowsServer2003系统的身份验证规程可以被窃听破解。（5）在系统漏洞被修补前的安全隐患期容易被攻击。（6）口令字可被破解：通过加密口令字典中已知短语，然后和口令密文进行匹配。（7）基于TCP/IP协议的安全弱点当前125页，总共338页。二、Windows操作系统的漏洞3、Windows系统服务的安全隐患Messenger服务：主要用来发送和接收系统管理员的Alerter服务消息，别人容易利用该功能向计算机用户发送垃圾邮件。ApplicationLayerGatewayService服务：主要提供互联网联机防火墙的第三方通信协议插件的支持，较容易遭到恶意攻击。当前126页，总共338页。二、Windows操作系统的漏洞ClipBook服务：允许任何已连接的网络中的其他用户查看本机的剪贴板。IndexingService服务ComputerBrowser服务：可将当前主机所使用网络上的计算机列表提供给那些请求得到该列表的程序。当前127页，总共338页。二、Windows操作系统的漏洞TerminalServices服务：主要提供多会话环境，允许客户端设备访问虚拟的桌面会话及运行在服务器上的基于Windows程序并打开默端口号为3389的对外端口。RemoteRegistryService服务：允许远程用户通过简单的连接就可修改本地计算机的注册表设置。当前128页，总共338页。三、操作系统的安全配置方案

最小的服务+最小的权限=最大的安全1、精简系统的服务组件和程序只安装满足当前系统需要的服务，遵循最小化安装的原则。后期需要其他服务再即时安装即可。2、系统漏洞修补在系统安装完，并且所有服务组件都安装好后，应及时安装系统补丁程序。3、关闭不用的或未知的端口当禁用一项服务时，可关闭其对应的端口，防止黑客通过此端口攻击系统。当前129页，总共338页。三、操作系统的安全配置方案4、禁用危险服务禁用危险的服务，将入侵者可能的入侵通道关闭。5、强化权限设置根据实际的应用需求来设置权限，且权限的设置应遵循最小特权原则。可以保护用户能够完成所操作的任务，又能降低误操作或攻击对系统及数据造成的损失。当前130页，总共338页。三、操作系统的安全配置方案6、规范身份验证机制该机制用户确认尝试登录域或访问网络资源的任何用户的身份，对系统帐户进行规范化管理，尽量减少使用的帐户，因为系统的帐户越多，攻击者获得合法用户权限的概率越大。当前131页，总共338页。三、操作系统的安全配置方案7、建立审核策略机制可跟踪系统中的各类事件并将其写入日志文件，供管理员分析、查找系统和应用程序故障和分析各类安全事件。8、加强日志管理和保护针对不同服务设置的日志文件要加强管理，设置严格的访问权限。当前132页，总共338页。4.3LINUX操作系统安全性

当前133页，总共338页。一、Linux操作系统安全性概述1、Linux安全性概述2、Linux安全问题（1）文件系统未受到保护很多系统重要文件没有受到保护，可以被修改和覆盖，经过篡改后的文件可能造成系统的漏洞。（2）进程未受到保护若黑客侵入拥有超级用户的管理权限，完全有权终止系统上运行的为系统功能所服务的进程。当前134页，总共338页。一、Linux操作系统安全性概述（3）超级用户对系统操作的权限不受限制，甚至可以对现有的权限进行修改超级用户权限过大，对于很多特权进程和系统服务需要超级用户权限的，开放后会造成安全漏洞，攻击者容易由此获得超级用户口令；而超级用户若将某文件的使用权利赋予普通用户，则也就同时将该权利赋予该普通用户所在的同工作组用户，使得文件的使用不安全。当前135页，总共338页。二、Linux操作系统的安全机制

通过在使用中对于Linux系统的不断完善，增加各种安全机制来提高系统的安全性。1、身份认证机制（1）基于主体的口令或密钥的验证加密时间戳：时间戳就是文件的创建、修改、访问时间。用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。盘问响应：口令的响应时间，限定一段时间，超过该时间口令将失去效用。当前136页，总共338页。二、Linux操作系统的安全机制（2）基于智能卡的验证通过预存信息到设备当中，当使用智能卡时，只需要核对卡中和系统中的预存信息即可。（3）生物识别技术基于指纹、声音、视网膜等独一无二特征的验证。需要事先将这些特征的相关信息存储入电脑，设定好权限。当前137页，总共338页。二、Linux操作系统的安全机制2、加密文件系统通过加密文件系统对文件进行加密处理，使文件即使失窃也不会泄露信息。只给予权限的合法用户正常使用该文件的权利，访问该文件与访问普通文件没有区别，而其他用户则不可读。3、强制访问控制机制强制性的限制信息的共享和资源的流动，使不同的用户只能访问到与其相关的、制定范文的信息。当前138页，总共338页。二、Linux操作系统的安全机制4、防火墙技术防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。即对网络间传输的数据包进行安全检查。当前139页，总共338页。二、Linux操作系统的安全机制（1）访问控制：可拒绝非授权访问，保护内部用户的合法访问。（2）审计：对通过防火墙的网络访问进行记录，建立完整的日志、审计和跟踪网络访问记录。（3）防御攻击：给与安装防火墙的内部网络予以保护，防御外界的各种攻击行为。（4）其他附属功能当前140页，总共338页。二、Linux操作系统的安全机制5、入侵检测系统（1）记录入侵企图（2）在规定情况的攻击行为发生时，采取预先设定的措施（3）发送一些错误信息给攻击方，使攻击方做出错误判断当前141页，总共338页。二、Linux操作系统的安全机制6、安全审计机制安全审计机制可以记录攻击者的行踪，帮助系统管理员掌握系统受到的攻击行为，并针对这些攻击行为采取相应的安全措施。7、内核封装技术保护系统内核，限制了系统管理员的该权限，使用户不能对内核进行模块插入。当前142页，总共338页。三、Linux操作系统安全配置方案1、Linux系统安装的安全性考虑在初始安装的时候，对系统的磁盘分区做好安全设置方案。2、安装系统补丁安装完系统后及时查看系统漏洞，寻找相应的解决方案弥补系统安全缺陷。3、关闭不需要的服务端口4、为LILO增加开机口令当前143页，总共338页。三、Linux操作系统安全配置方案5、用户帐户及口令的管理可以通过设置口令的最小长度（修改/etc/login.defs中PASS_MIN_LEN参数）、口令的使用时间（修改/etc/login.defs中PASS_MIN_DAYS参数），增加用户帐户口令的安全性。6、禁止和允许远程访问通过修改hosts.deny和dosts.allow两个文件来禁止和允许远程主机对本地主机的访问。7、磁盘空间维护定期检查系统的磁盘空间的使用情况。当前144页，总共338页。第5章计算机病毒

及防治技术

当前145页，总共338页。5.1计算机病毒概述当前146页，总共338页。一、计算机病毒的发展1、计算机病毒的发展史第一阶段：原始病毒阶段（1986—1989年）特点：传染目标单一，主要通过截获系统中断向量的方式检视系统的运行状态。感染后磁盘上出现坏扇区、文件长度增加、文件建立时间发生改变等。没有自我保护措施，容易被发现与删除。当前147页，总共338页。一、计算机病毒的发展第二阶段：混合型病毒阶段（1989—1991年）特点：病毒程序驻留内存和传染目标更为隐蔽，传染后没有明显特征，病毒本身有自我保护措施，而且容易产生变种病毒，具有更大的破坏性。第三阶段：多态性病毒阶段（1992—1995年）特点：病毒开始向多维化、多态化或自我变形化发展。即病毒程序大多都是可变的，同一个病毒的多个样本的程序代码大多是不同的。当前148页，总共338页。一、计算机病毒的发展第四阶段：网络病毒阶段（20世纪90年代中后期开始）特点：利用网络作为主要的传播途径，传播速度快、隐蔽性强、破坏性大。第五阶段：主动攻击型病毒（2000年至今）特点：病毒利用操作系统的漏洞进行攻击型的扩散，不需要任何媒介或操作。当前149页，总共338页。一、计算机病毒的发展2、计算机病毒的定义计算机病毒是编写的或在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并能自我复制的一组计算机指令或程序代码。当前150页，总共338页。一、计算机病毒的发展3、计算机病毒发展的趋势（1）网络化：病毒的传播与网络紧密结合（2）功能的综合化：集合文件传染、蠕虫、木马和黑客程序特点（3）传播渠道多样化：通过网络共享、网络漏洞、网络浏览、电子邮件等传播（4）病毒的多平台化：出现跨操作系统平台的病毒当前151页，总共338页。二、计算机病毒的特点1、传染性2、潜伏性3、触发性4、破坏性5、非授权性6、隐蔽性7、衍生性当前152页，总共338页。三、计算机病毒的类型1、按计算机病毒攻击的操作系统不同分类（1）攻击DOS系统的病毒（2）攻击Windows系统的病毒（3）攻击Unix系统的病毒（4）攻击OS/2系统的病毒（5）攻击NetWare系统的病毒（6）攻击Linux系统的病毒当前153页，总共338页。三、计算机病毒的类型2、按病毒的攻击机型不同分类（1）攻击微型计算机的病毒（2）攻击小型机的病毒（3）攻击工作站的病毒当前154页，总共338页。三、计算机病毒的类型3、按计算机病毒的链接方式不同分类（1）源码型病毒：通过攻击高级语言编写的程序，在程序编译前插入源程序中，经编译成为合法程序的一部分。（2）嵌入型病毒：是将病毒嵌入现有程序，把病毒主体程序与攻击对象以插入的方式链接。当前155页，总共338页。三、计算机病毒的类型（3）外壳型病毒：病毒将自身包围在合法程序的周围，对程序不做修改，只是会增加文件的大小（4）操作系统型病毒：将病毒的程序代码加入或替换部分操作系统文件。当前156页，总共338页。三、计算机病毒的类型4、按计算机病毒的破坏情况不同分类（1）良性计算机病毒：指对计算机系统不产生直接破坏作用的代码，只占用内存资源或CPU的控制权等。（2）恶性计算机病毒：指代码中包含有损伤或破坏计算机系统的操作，在感染或发作时会对系统产生直接的破坏作用。当前157页，总共338页。三、计算机病毒的类型5、按传播媒介不同分类（1）单机病毒：通过可移动存储设备在系统间传染病毒（2）网络病毒：通过网络进行传播当前158页，总共338页。三、计算机病毒的类型6、按传染方式不同分类（1）引导型病毒：主要感染磁盘的引导区（2）文件型病毒：主要感染磁盘上的可执行文件com、exe等，附着于可执行文件，成为文件的外壳或部件。当运行受感染的文件时，才会将病毒引导入内存。（3）混合型病毒：兼有引导型和文件型的特点，扩大感染途径。当前159页，总共338页。三、计算机病毒的类型7、按病毒特有的算法不同分类（1）伴随型病毒：根据算法产生和原执行文件名字相同、扩展名不同的执行文件，病毒将自身写入伴随文件中，而不改变原执行文件，当执行时优先执行伴随文件，后再由伴随体加载执行原文件。当前160页，总共338页。三、计算机病毒的类型（2）蠕虫型病毒：通过网络传播，一般除了占用内存，不改变文件。（3）寄生型病毒：除了伴随型病毒和蠕虫病毒，剩余的全部可称为寄生型病毒。当前161页，总共338页。四、计算机病毒的工作方式1、计算机病毒的传播途径（1）通过不可移动的计算机硬件设备进行传播（2）通过磁盘、U盘和移动硬盘等可移动的存储介质传播（3）通过计算机网络进行传播（4）通过无线电等无线通信介质进行传播当前162页，总共338页。四、计算机病毒的工作方式2、计算机病毒的触发条件（1）时间触发：包括特定的时间触发、感染后累计工作时间触发及文件最后写入时间触发等。（2）键盘触发：包括击键次数触发、组合键触发和热启动触发等。当前163页，总共338页。四、计算机病毒的工作方式（3）感染触发：病毒的感染需要某些条件触发，而病毒又以感染有关的信息作为破坏行为的触发条件。包括运行感染文件个数触发、感染序数触发、感染磁盘数触发和感染失败触发等。（4）启动触发：对主机的启动次数计数，将此作为触发条件。当前164页，总共338页。四、计算机病毒的工作方式（5）访问磁盘次数触发：对磁盘I/O访问的次数进行计数，以预定次数作为触发条件。（6）调用中断功能触发：以中断调用次数达到预定次数作为触发条件。（7）CPU型号/主板型号触发：以预定的CPU型号/主板型号为触发条件。当前165页，总共338页。四、计算机病毒的工作方式3、计算机病毒感染的表现计算机运行迟钝、程序载入时间长、存储空间不足、CUP占用率高等当前166页，总共338页。5.2计算机病毒的防治技术当前167页，总共338页。一、计算机病毒的防治技术

计算机病毒防治：通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。主要分为：当前168页，总共338页。一、计算机病毒的防治技术1、病毒防范技术：防止病毒对系统进行传染和破坏的技术手段。措施：识别文件类型和后缀，不打开不明文件；安装防毒软件并保持更新；对移动存储介质打开前先杀毒；不从不可靠的渠道下载软件；尽量使用防火墙。当前169页，总共338页。一、计算机病毒的防治技术2、病毒检测技术：通过一定的技术手段判断出计算机病毒的技术。（1）特征代码法（2）校验和法（3）行为检测法（4）软件模拟法（5）实时I/O扫描（6）网络检测法当前170页，总共338页。一、计算机病毒的防治技术3、病毒清除技术：在检测发现特定的计算机病毒的基础上，根据具体病毒的消除方法，从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息的技术。方法：手工清除、利用杀毒软件自动清除、低级格式化4、病毒免疫技术：免疫技术基于对新病毒的检测能力，需要不断的更新进而阻止新病毒的传播。当前171页，总共338页。二、主机病毒的防治方法1、安装防杀病毒软件2、应用安全更新3、系统漏洞测试4、启用基于主机的防火墙5、合理设置权限6、限制可疑的应用程序7、重要数据定期备份当前172页，总共338页。三、网络病毒的防治1、网络病毒特点：传播方式复杂、传播速度快、传播范围广、清除难度大、破坏危害大、病毒变种多及病毒功能多样化等。（1）蠕虫病毒：通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒不需要“宿主”，只在内存中维持一个活动副本，不需要在硬盘中写入病毒程序。当前173页，总共338页。三、网络病毒的防治（2）木马病毒：在正常程序中存放秘密指令，在执行程序时，寻找发现系统漏洞，窃取重要信息。木马病毒对计算机进行跟踪监视、控制、查看及修改等操作，具有很强的隐蔽性、突发性和攻击性。传播方式：通过E-mail传播；通过软件下载；通过通信软件发送文件传播等。当前174页，总共338页。三、网络病毒的防治2、防治方法（1）建立严格的规章制度和操作规范（2）防火墙与防毒软件结合（3）正确选择网络防杀病毒软件产品（4）建立多层次防御：病毒检测、数据保护和实时监控当前175页，总共338页。5.3常见杀毒软件简介当前176页，总共338页。一、国内典型杀毒软件1、瑞星杀毒软件瑞星杀毒软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其“整体防御系统”可将所有互联网威胁拦截在用户电脑以外。深度应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”等技术保证将病毒彻底拦截和查杀。再结合“云安全”系统的自动分析处理病毒流程，能第一时间极速将未知病毒的解决方案实时提供给用户。当前177页，总共338页。一、国内典型杀毒软件A、查杀病毒后台查杀、断点续杀、异步杀毒处理、空闲时段查杀、嵌入式查杀、开机查杀。B、智能启发式检测技术+云安全根据文件特性进行病毒的扫描，最大范围发现可能存在的未知病毒并极大程度避免误报给用户带来的烦恼。C、瑞星的智能主动防御技术系统加固、木马入侵拦截、木马行为防御当前178页，总共338页。一、国内典型杀毒软件D、瑞星实时监控文件监控：提供高效的实时文件监控系统。邮件监控：提供支持多种邮件客户端的邮件病毒防护体系。E、安全检测电脑体检：针对用户系统进行有效评估，帮助用户发现安全隐患。当前179页，总共338页。一、国内典型杀毒软件F、软件安全密码保护：防止用户的安全配置被恶意修改。自我保护：防止病毒对瑞星杀毒软件进行破坏。G、工作模式家庭模式：适用于用户在游戏、视频播放、上网等情况，为用户自动处理安全问题。专业模式：用户拥有对安全事件的处理权。H、“云安全”（CloudSecurity）计划与全球瑞星用户组成立体监测防御体系，最快速度发现安全威胁，解决安全问题，共享安全成果。当前180页，总共338页。一、国内典型杀毒软件2、江民杀毒软件3、金山毒霸

当前181页，总共338页。二、国外典型杀毒软件1、卡巴斯基三项技术共同协作提供全天候保护：1）平均每小时自动更新反病毒数据库，2）在独立的、安全的区域启动程序，3）监控并分析系统进程以防止恶意行为。个人防火墙：含有默认设置的新一代防火墙能够自动监控常用程序的行为，防止任何未经授权将私密数据传送给第三方的企图。使用隐身模式，您可以进行网上冲浪却不被潜在的攻击者发现井作为攻击目标。当前182页，总共338页。二、国外典型杀毒软件隐私控制：许多恶意程序的目的是从Windows的保护存储区获取用户账户和密码，包括在线银行、网上拍卖、支付系统、在线游戏等。卡巴斯基互联网安全套装监控并阻止所有试图从该存储区收集或转发用户个人资料的行为。应急磁盘：使用卡巴斯基互联网安全套装自带的向导可快速简单的创建应急磁盘。如果计算机受到病毒攻击，可以使用它来修复已受损的操作系统。当前183页，总共338页。二、国外典型杀毒软件家长控制：家长可以通过创建黑名单来防止其子女误入不良网站。创建黑名单可依据具体网址，或者指明禁止内容的类别，名单可根据用户类型而定义。另外，家长还能通过限制儿童在线时间来防止儿童过度上网。反垃圾邮件：使用多种过滤模式使邮箱免受垃圾邮件的烦恼。当前184页，总共338页。二、国外典型杀毒软件2、诺顿3、NOD324、McAfee当前185页，总共338页。第6章密码技术应用当前186页，总共338页。6.1密码学概述当前187页，总共338页。一、密码学中基本概念1、明文：未被加密的原始信息。2、密文：加密后的信息。3、加密：用某种方法伪装信息以隐藏它的内容的过程。4、解密：把密文转变为明文的过程。5、密钥：参与加密和解密的关键数据。当前188页，总共338页。一、密码学中基本概念6、密码员：对明文进行加密操作的人员。7、密码算法：用于加密和解密的数学函数。8、加密算法：密码员对明文进行加密操作时所采用的一组规则。9、接收者：传送消息的预定对象。10、解密算法：接收者对密文解密所采用的一组规则。当前189页，总共338页。二、密码技术理论基础明文经过加密密钥生成的加密算法的加工生成密文，密文经过解密密钥生成的解密算法的加工还原成明文。当前190页，总共338页。6.2数据加密技术当前191页，总共338页。一、古典密码体制1、代替密码：