0网络安全解析

第9章网络管理与网络安全

网络安全概述

数据加密

防火墙技术

防范黑客与计算机病毒

计算机网络的管理与维护9.1网络安全概述

9.1.1计算机网络安全的定义

ISO的定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。因此可以理解为：通过采取各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。计算机网络由计算机和通信网络组成目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等问题。蠕虫病毒：19889.1.2影响网络安全的因素网络硬件设备和线路的安全问题；网络系统和软件的安全问题；网络管理人员的安全意识问题；环境的安全因素。9.1.3Internet网络存在的安全缺陷

1.薄弱的认证环节2.系统的易被监视性3.网络系统易被欺骗性4.有缺陷的局域网服务和相互信任的主机5.复杂的设备和控制6.无法估计主机的安全性9.1.4网络安全体系结构1.网络安全系统的功能（1）身份识别（2）存取权限控制（3）数字签名（4）保护数据完整性（5）审计追踪（6）密钥管理2.安全功能在OSI模型中的位置（1）OSI模型定义的安全服务（2）OSI层次模型中各层提供的安全功能和措施（3）计算机网络安全体系层次与实现网络的安全性（networkintegrity）系统的安全性（systemintegrity）用户的安全性（userintegrity）应用程序的安全性（applicationintegrity）数据的安全性（applicationconfidentiality）9.2数据加密技术密码技术：加密和解密两部分。加密：把需要加密的报文（简称明文）按照密钥参数进行变换，产生密码文件（简称密文）。解密：按照密钥把密文还原成明文的过程。密钥是一个数值，它和加密算法一起生成特别的密文。9.2.1私钥密码技术

－－－对称密钥密码体制，使用相同的密钥加密和解密信息，即通信双方建立并共享一个密钥。工作原理：用户A要传送机密信息给B，则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K，于是A用密钥K和加密算法E对明文P加密得到密文C=EK（P），并将密文C发送给B；B用同样一密钥K和解密算法D对密文解密，得到明文P=DK（EK（P））。按加密模式来分，可以分为流密码和分组密码两大类。

分组密码的工作模式电码本（ECB）每个明文组独立地以同一密钥加密单个数据加密（如一个加密密钥）密码反馈链接（CBC）将前一组密文与当前明文组逐位异或后再进行分组、加密加密、认证密码反馈（CFB）每次只处理kbit数据，将上一次的密文反馈到输入端，从加密器的输出取kbit，与当前的kbit明文逐位异或，产生相应密文一般传送数据的流加密

认证输出反馈（OFB）以加密输出的kbit随机数字直接反馈到加密器的输入对有干扰信道传送的数据流进行加密（如卫星数传）3.DES和AES

DES（DataEncryptionStandard）AES（AdvancedEncryptionStandard）9.2.2公钥密码技术

以公开密钥作为加密密钥，以用户专用密钥作为解密密钥，实现多个用户加密的消息只能由一个用户解读。以用户专用密钥作为加密密钥而以公开密钥作为解密密钥，可实现由一个用户加密的消息而多个用户解读。前者用于保密通信，后者用于数字签名。1.公钥密码概述2.RSA密码系统3.Diffie—Hellman密钥交换数字签名是使用某人的私钥加密特定消息摘要散列值而得到的结果，通过这种方法把人同特定消息联系起来，类似于手书签名。数字签名与手书签名的区别在于，手书签名是模拟的，且因人而异。而数字签名是0和1的数字串，因消息而异。两种数字签名：一种是对整体消息的签名，即消息经过密码变换后被签名的消息整体。一种是对压缩消息的签名，即附加在被签名消息之后或某一特定位置上的一段签名图样。9.2.3数字签名

数字签名（DigitalSignature）技术是不对称加密算法的典型应用9.3防火墙技术

9.3.1防火墙主要技术防火墙（Firewall）是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障，由一个或一组系统组成。狭义的防火墙：安装了防火墙软件的主机或路由器系统，广义的防火墙还包括整个网络的安全策略和安全行为。1.包过滤技术

2.1网络地址翻译网络地址翻译（NAT，NetworkAddressTranslation）用于屏蔽内部主机。实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。实质是一个基本的代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。2.2.应用级代理

ProxyServer对于内部客户而言，代理服务器好像原始的公共服务器，对于公共服务器而言，代理服务器好像原始的客户一样，亦即代理服务器充当了双重身份，并将内部系统与外界完全隔离开来，外面只能看到代理服务器，而看不到任何内部资源。2.代理型3.监测型9.3.2防火墙分类

1.按技术分类包过滤型、代理型和监测型。2.按结构分类

简单型包括只使用屏蔽路由器或者作为代理服务器的双目主机结构；复合结构一般包括屏蔽主机和屏蔽子网。（1）双目主机结构双目主机结构防火墙系统主要由一台双目主机构成，具有两个网络接口，分别连接到内部网和外部网，充当转发器提供来自与多个网络相连的主机服务，但是路由关闭，否则从一块网卡到另一块网卡的通信会绕过代理服务软件。（2）屏蔽主机结构使用一个单独的路由来提供与内部网相连主机即壁垒主机的服务。主要的安全措施是数据包过滤

（3）屏蔽子网结构通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安全层，这个边界网络有时候称为非军事区。壁垒主机是最脆弱的、最易受攻击的部位，通过隔离壁垒主机的边界网络，可减轻壁垒主机被攻破所造成的后果。9.3.3防火墙功能、选择标准和趋势

1.防火墙主要功能

（1）综合技术。（2）简单的结构和管理界面。（3）支持加密和VPN。（4）内部信息完全隐藏。（5）增加强制访问控制。（6）支持多种认证方式。（7）网络安全监控和内容过滤。2.选择防火墙标准（1）总拥有成本。（2）防火墙本身的安全。（3）管理与培训。（4）可扩充性。（5）防火墙的安全性能。3.防火墙发展趋势智能化高速度分布式复合型专业化等9.4计算机病毒

9.4.1计算机病毒指能够通过某种途径潜伏在计算机存储介质或程序里，当达到一定条件即可激活的、具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒通常具有如下特点：

（1）破坏性（2）寄生性（3）传染性（4）潜伏性（5）针对性9.4.2计算机病毒的发展史

1.DOS时代DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、复合型病毒。2.WINDOWS时代1995年8月，微软发布了Windows95，标志着个人电脑的操作系统全面进入了Windows9X时代，而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。3.网络时代网络病毒大多是Windows时代宏病毒的延续，它们往往利用强大的宏语言读取用户E-mail软件的地址簿，并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。9.4.3计算机病毒的类型计算机病毒的种类很多，攻击的目标也不相同。1.按计算机病毒的破坏作用从计算机病毒的设计者的意图和病毒程序对计算机系统的破坏作用看，可以把病毒分为良性病毒和恶性病毒。（1）良性病毒（2）恶性病毒2.按计算机病毒攻击的目标（1）系统引导病毒Dos操作系统，如：小球病毒、大麻病毒（Stone）、Brain病毒、64病毒等。（2）文件型病毒此类病毒专门感染文件扩展名为EXE、COM和OVL等可执行文件，并寄生在这些文件中。只要运行这些带病毒的文件，就会将文件型病毒引入内存。当运行其他可执行程序时，如果满足感染条件，病毒就会将其感染，使之成为新的带病毒文件。（3）混合型病毒此类病毒既攻击引导程序也攻击可执行文件，集引导型病毒和文件型病毒的特点于一身。混合型病毒的结构复杂、传染性强、攻击力和破坏力大。（4）宏病毒宏病毒一般是指用VB书写的病毒程序，寄存在MicrosoftOffice文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。杀毒软件常用分类1、系统病毒

前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的*.exe和*.dll

文件，并通过这些文件进行传播。如CIH病毒。CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Chat模块”的工具，CIH是迄今为止唯一能破坏计算机硬件的病毒，4.26发作。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件），“熊猫烧香”等。

杀毒软件常用分类3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack.木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马Trojan.QQ3344，一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。如：著名的美丽莎（Macro.Melissa）。

6、后门病毒

后门病毒的前缀是：Backdoor.该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如：IRC后门Backdoor.IRCBot。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。

8.破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

9.玩笑病毒

良性病毒，如：女鬼（Joke.Girlghost）病毒。

10.捆绑机病毒

捆绑机病毒的前缀是：Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binde