,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Click to edit Master title style,第,8,章 网络安全,第,8,章 网络安全,学习目标,了解网络安全基本知识,掌握计算机病毒的基本知识,理解计算机病毒的原理和木马原理,掌握防火墙技术,掌握数字加密和数字签名原理,8.1,网络安全概述,随着互联网正在以令人惊讶的速度改变着我们的生活,从政府到商业再到个人,互联网的应用无处不在,如政府部门信息系统、电子商务、网络炒股、网上银行、网上购物等。,Internet,所具有的开放性、国际性和自由性在增加应用自由度的同时,也带来了许多信息安全隐患,如何保护政府、企业和个人的信息不受他人的入侵,更好地增加互联网的安全性,是一个亟待解决的重大问题。,8.1.1.,网络安全隐患,现实的互联网存在着许多安全隐患可以供人利用,隐患主要有以下几种,:,(1),黑客入侵,(2),计算机病毒的攻击,(3),陷阱和特洛伊木马,(4),来自内部人员的攻击,(5),修改或删除关键信息,(6),拒绝服务,(7),人为地破坏网络设施,造成网络瘫痪,8.1.2,网络攻击,网络攻击是建立在网络存在漏洞基础之上的,找到漏洞后发起攻击。,主动攻击:攻击者试图突破网络的安全防线。主要应付手段有:防火墙、入侵检测系统。,被动攻击:攻击者简单地监视所有信息流以获得某些秘密。主要应付手段有:数据加密等。,8.1.3,网络基本安全技术,针对目前网络不容乐观的安全形势,实现网络安全的基本措施主要有防火墙、数字加密、数字签名、身份认证等,.,1.,防火墙:,防火墙是设置在被保护的内部网络和有危险性的外部网络之间的一道屏障,系统管理员按照一定的规则控制数据包在内外网之间的进出。,2.,数字加密:,数据加密是通过对传输的信息进行一定的重新组合,而使只有通信双方才能识别原有信息的一种手段。,3.,数字签名:,数字签名可以被用来证明数据的真实发送者,而且,当数字签名用在存储的数据或程序时,可以用来验证其完整性。,4.,身份认证:,用多种方式来验证用户的合法性,如密码技术、指纹识别、智能,IC,卡、网银,U,盾等。,8.2,计算机病毒与木马,8.2.1,计算机病毒的基本知识,计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。,它能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,具有对计算机资源进行破坏的作用。,计算机病毒具有以下几个特点:,(,1,)寄生性,(,2,)传染性,(,3,)隐蔽性,(,4,)潜伏性,(,5,)破坏性,计算机病毒的分类:,综合病毒本身的技术特点,攻击目标,传播方式等各个方面,一般情况下,我们将病毒大致分为以下几类:,1.,传统病毒,2.,宏病毒(,Macro,),3.,恶意脚本(,Script,),4.,木马(,Trojan,)程序,5.,黑客,(Hack),程序,6.,蠕虫(,Worm,)程序,7.,破坏性(,Harm,)程序,8.2.2,计算机病毒工作原理,1,程序型病毒工作原理,程序型病毒通过网络、,U,盘和光盘等为载体传播,主要感染,.exe,和,.dll,等可执行文件和动态连接库文件,当染毒文件被运行,病毒就进入内存,并获取了内存控制权,开始感染所有之后运行的文件。,比如运行了,WORD.exe,,则该文件被感染,病毒把自己复制一份,加在,WORD.EXE,文件的后面,会使该文件长度增加,1,到几个,K,。随着时间的推移病毒会继续感染下面运行的程序,周而复始,时间越长,染毒文件越多。到了一定时间,病毒开始发作(根据病毒作者定义的条件,有的是时间,比如,CIH,,有的是感染规模等等)执行病毒作者定义的操作,比如无限复制,占用系统资源、删除文件、将自己向网络传播甚至格式化磁盘等等。,2,引导型病毒工作原理,引导型病毒感染的不是文件,而是磁盘引导区,他把自己写入引导区,这样,只要磁盘被读写,病毒就首先被读取入内存。,当计算机上启动时病毒会随计算机系统一起启动(这点和,QQ,开机启动原理差不多),接下来,病毒获得系统控制权,改写操作系统文件,隐藏自己,让后启动的杀毒软件难以找到自己,这样引导型病毒就可以根据自己的病毒特性进行相应操作。,8.2.3,木马原理,木马的全称是特洛伊木马,是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制用户计算机的权限。,特洛伊木马的安装和操作都是在隐蔽之中完成,用户没有察觉,。,木马攻击原理,8.2.4,常见,AUTORUN.INF,文件,AUTORUN.INF,这个文件本身并不是一个病毒文件,它可以实现双击盘符自动运行某个程序的功能,但是很多病毒利用了这个文件的特点,自动运行一些病毒程序。,8.2.5,杀毒软件工作原理,病毒是用某种语言写出来的一段代码,每种病毒都会具有一些独一无二的特征,叫做病毒特征码。,当病毒通过网络传播开后,软件公司得到病毒样本,开始分析样本,找到病毒特征码,然后更新其病毒库,令其在杀毒时也查找这种病毒码,然后通知用户,请他们升级其杀毒软件。然后用户升级,再杀毒,结果,该病毒被杀死,同时新的病毒被发现,周而复始。,8.3,防火墙,8.3.1,防火墙的基本概念,防火墙是网络安全的屏障,可以实现内部可信任网络与外部不可信任网络(互联网)之间或内部网络不同区域之间的隔离与访问控制,阻止外部网络中的恶意程序访问内部网络资源,防止更改、复制、损坏用户重要信息。,防火墙的主要目的就是通过检查入、出一个网络的所有连接,防止某个需要保护的网络遭受外部网络的干扰和破坏。,逻辑上,防火墙是一个分离器、限制器、分析器,有效地检查内部网络和外部网络之间的任何活动。,物理上,防火墙集成在网络特殊位置的一组硬件设备,-,路由器、三层交换机、,PC,机上。可以是一个独立硬件系统,也可以是一个软件系统。,8.3.2,防火墙的分类,按照工作的网络层次和作用对象来分为四种类型:,包过滤防火墙,应用程序代理防火墙,复合型防火墙,个人防火墙,1.,包过滤防火,包过滤防火墙又被称为访问控制表,ACL,(,Access Control List,),它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的规则(分组包头源地址、目的地址端口号、协议类型等)相一致,从而决定是否转发数据包。,包过滤防火墙工作于网络层和传输层,把满足规则的数据包转发到目的端口,不满足的数据包则被丢弃,许多个规则是可以复合定义的。,包过滤防火墙的优点是:,不用改动用户主机上的客户程序;,可以与现有设备集成,也可以通过独立的包过滤软件实现;,成本低廉、速度快、效率高,很大程度满足企业的需要。,包过滤防火墙的缺点是:,工作在网络层,不能检测对于高层的攻击;,如果使用很复杂的规则,会大大减低工作效率;,需要手工建立安全规则,要求管理人员要清楚了解网络需求;,包过滤主要依据,IP,包头中的各种信息,但,IP,包头信息可以被伪造,这样就可以轻易绕过包过滤防火墙。,2.,应用程序代理防火墙,应用程序代理防火墙又叫应用网关防火墙,指在网关上执行一些特定的应用程序和服务器程序实现协议的过滤和转发功能。,应用程序代理防火墙工作于应用层,掌握着应用系统中可作为安全决策的全部信息。,特点:,完全阻隔了网络信息流,当一个远程用户希望和网内用户通信时,应用网关会阻隔通信信息,然后对这个通信数据进行检查,符合要求后,应用网关会作为一个桥梁,转发通信数据。,3.,复合型防火墙,由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。,通常是以下两种方案:,屏蔽主机防火墙体系结构,屏蔽子网防火墙体系结构,4.,个人防火墙,目前网络上有许多个人防火墙软件,很多都集成在杀毒软件当中,它是应用程序级的,在某一台计算机上运行,保护其不受外部网络的攻击。,一般的个人防火墙都具有“学习”机制,个人防火墙,8.3.3,网络地址转换,NAT,技术,网络地址转换,NAT,的作用原理就是通过替换一个数据包的源地址和目的地址,来保证这个数据包能被正确识别。,当内部网络计算机通过路由器向外部网络发送数据包时,私有地址被转换成合法的,IP,地址(全局地址)在,Internet,上使用,最少只需一个合法,IP,,就可以实现私有地址网络内所有计算机与,Internet,的通信。,一般,NAT,技术都在路由器上实现,所以在互联网的通信中,路由器的路由表里是不可能出现私有地址的。,NAT,技术的缺点是学要转换每个通信数据包包头的,IP,地址而增加网络延迟,而且当内部网络用户过多时,,NAT,的服务质量就不能保证了。,8.4,数字加密与数字签名,8.4.1,数字加密,数据加密就是指将原始的数据通过一定的加密方式,加密成非授权人难以理解的数据,授权人在接受加密数据后,利用自己知道的解密方式把数据还原成原始数据。,数据加密常用术语:,明文:没有加密的原始数据。,密文:加密过后的数据。,加密:把明文转换成密文的过程。,解密:把密文转换成明文的过程。,算法:加密或解密过程中使用的一系列运算方式。,密钥:用于加密或解密的一个字符串,加密、解密过程,经典数字加密技术,(1),替换加密,用某个字母替换另一个字母,替换的方式事先确定,比如替换方式是字母按顺序推后,5,位,,hello,在网络传输时就用,mjqqt,。这种加密方式比较简单,密钥就是,5,,接受者只要按照每个字符的,ASC,码值减去,5,再做模,26,的求余运算就可以得到原始数据了。,(2),换位加密,按照一定的规律重新排列传输数据。比如说我预先设定好换位的顺序是,4213,,明文,bear,在网络传输时就是,reba,。这种加密方式也较简单,曾经大量使用,但是由于计算机运算速率发展很快,可以利用穷举法破译。,常用加密技术,(1),秘密密钥技术,秘密密钥技术也叫对称密钥加密技术。在这种技术中,将算法内部的转换过程设计的非常复杂,而且有很长的密钥,密文的破解非常困难,即使破解,也会因为没有密钥而无法解读,这种技术最大的特点就是吧算法和密钥分开来处理,密钥最为关键,而且在加密和解密过程中,使用的密钥相同。,秘密密钥技术,最著名的秘密密钥加密算法是数据加密标准,DES,(,data encryption standard,)。,该算法的基本思想是将明文分割成,64,位的数据块,并在一个,64,位的密钥控制下,对每个,64,位明文块加密,最后形成整个加密密文。,(2),公开密钥加密技术,公开密钥加密技术也叫非对称密钥加密技术。公开密钥加密在加密和解密过程中使用二个不同的密钥,这二个密钥在数学上是相关的,他们成对出现,但互相之间不能破解。这样接收者可以公开自己的加密密钥,发送者可以利用他来进行加密,而只有拥有解密密钥的授权接收者,才能把数据解密成原文。,公开密钥加密技术,最著名的公开密钥加密算法是,RSA,(三位发明者名字首字母组合)。,该算法的基本思想是在生成的一对密钥中,任何一个都可以作为加密或解密密钥,另一个相反,一个密钥用于公开供发送者加密使用。另一个密钥严格被接收者保密,当接收者收到密文时,用于解密加密数据。,8.4.2,数字签名,数字加密主要用在防止信息在传输过程中被人截取利用,而怎样确定发送信息人的身份,就学要用数字签名来解决。,数字签名指在计算机网络中,用电子签名来代替纸质文件或协议的签名,以保证信息的完整性、真实性和发送者的不可否认性。,目前使用较多的还是利用报文摘要和公开密钥加密技术相结合的方式进行数字签名。,1.,报文摘要,消息摘要的设计思想是把一个无论多大的明文数据,转变成一个固定长度的比特串,在签名时,只要对这个消息摘要签名就行了,不用对整个明文数据进行签名。,明文转变为固定长度比特串的方式是通过单向散列函数。,单向散列