单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,7,章 网络安全,7.1,网络安全概述,7.2,计算机病毒与木马,7.3,防火墙,7.4,数字加密与数字签名,随着计算机技术的日新月异，互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如党政部门信息系统、电子商务、网络炒股、网上银行、网上购物等等。,Internet,所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多信息安全隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好地增加互联网的安全性，是一个亟待解决的重大问题。,7.1.1,网络安全隐患,由于互联网络设计初期，很少考虑到网络安全方面的问题，所以现实的互联网存在着许多安全隐患可以供人利用，,7.1,网络安全概述,下一页,返回,隐患主要有以下几种：,(1),黑客入侵；,这里的黑客（,cracker,）一般指一些恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人，他们入侵他人的计算机的目的一般是获取利益或证明自己的能力，他们利用自己在计算机上的特殊才能对网络安全造成极大的破坏。,(2),计算机病毒的攻击；,计算机病毒是对网络安全最严重的威胁，它的种类很多，通过网络传播的速率非常之快，普通家用,PC,基本都受过病毒的侵。,7.1,网络安全概述,下一页,返回,上一页,(3),陷阱和特洛伊木马；,通过替换系统合法程序，或者在合法程序里插入恶意源代码以实现非授权进程，从而达到某种特定目的。,(4),来自内部人员的攻击；,内部人员攻击主要指在信息安全处理系统范围内或对信息安全处理系统有直接访问权里的人对本网络的攻击。,(5),修改或删除关键信息；,通过对原始内容进行一定的改动或删除，达到某种破环网络安全目的的行为。,7.1,网络安全概述,下一页,返回,上一页,(6),拒绝服务；,当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。,(7),人为地破坏网络设施，造成网络瘫痪。,人为从物理上对网络设施进行破坏，使网络不能正常运行。,7.1.2,网络攻击,网络攻击之前，入侵者一般首先要寻找网络中存在的漏洞，漏洞主要存在于操作系统和计算机网络数据库管理系统中，找到漏洞后悄然无息的发起攻击。,7.1,网络安全概述,下一页,返回,上一页,这里的,“,攻击,”,是指可能是一个网络受到破坏的的所有行为，攻击的范围从服务器，到网络互连设备，再到特定主机，方式有使其无法实现应有的功能、完全破坏、完全控制等。,网络攻击从攻击行为上可分为二类：,（,1,）被动攻击：攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络或者基于系统的。这种攻击是最难被检测到的，对付这类攻击的重点是预防，主要手段是数据加密。,（,2,）主动攻击：攻击者试图突破网络的安全防线。这种攻击涉及到网络传输数据的修改或创建错误数据信息，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。,7.1,网络安全概述,下一页,返回,上一页,这类攻击无法预防但容易检测，所以，对付这种攻击的重点是,“,测,”,而不是,“,防,”,，主要手段有：防火墙、入侵检测系统等。,7.1.3,网络基本安全技术,针对目前网络不容乐观的安全形势，实现网络安全的基本措施主要有防火墙、数字加密、数字签名、身份认证等，这些措施在一定程度上增加了网络的安全性。,防火墙：防火墙是设置在被保护的内部网络和有危险性的外部网络之间的一道屏障，系统管理员按照一定的规则控制数据包在内外网之间的进出。,7.1,网络安全概述,下一页,返回,上一页,数字加密：数据加密是通过对传输的信息进行一定的重新组合，而使只有通信双方才能识别原有信息的一种手段。,数字签名：数字签名可以被用来证明数据的真实发送者，而且，当数字签名用在存储的数据或程序时，可以用来验证其完整性。,身份认证：用多种方式来验证用户的合法性，如密码技术、指纹识别、智能,IC,卡、网银,U,盾等。,7.1,网络安全概述,返回,上一页,7.2.1,计算机病毒的基本知识,计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活，具有对计算机资源进行破坏的作用。只要你的计算机接入互联网或插入移动存储设备，就有中计算机病毒的危险。,1.,计算机病毒具有以下几个特点：,7.2,计算机病毒与木马,下一页,返回,（,1,）寄生性,计算机病毒寄生在其他程序或指令之中，当执行这个程序或指令时，病毒就起破坏作用，而在未启动这个程序或指令之前，它是不易被人发觉的。,（,2,）传染性,计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。,（,3,）隐蔽性,计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，,7.2,计算机病毒与木马,下一页,返回,上一页,这类病毒处理起来通常很困难。（,4,）潜伏性,病毒侵入后，一般不立即活动，需要等一段时间，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。可以分为：利用系统时钟提供的时间作为触发器和利用病毒体自带的计数器作为触发器二种。（,5,）破坏性,计算机中毒后，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用,CPU,时间内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示；无法正常启动系统等。,7.2,计算机病毒与木马,下一页,返回,上一页,2.,计算机病毒的分类：,综合病毒本身的技术特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类：传统病毒，宏病毒，恶意脚本，木马、黑客程序、蠕虫、破坏性程序。,1.,传统病毒：能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒，如,CIH,病毒。,2.,宏病毒（,Macro,）：利用,Word,、,Excel,等的宏脚本功能进行传播的病毒，如著名的美丽莎,(Macro.Melissa),。,7.2,计算机病毒与木马,下一页,返回,上一页,3.,恶意脚本（,Script,）：做破坏的脚本程序。包括,HTML,脚本、批处理脚本、,VB,、,JS,脚本等，如欢乐时光（,VBS.Happytime,）。,4.,木马（,Trojan,）程序：当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置，如,QQ,盗号木马。,5.,黑客,(Hack),程序：利用网络来攻击其他计算机的网络工具，被运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击,/,破坏别人的计算机，对使用者本身的机器没有损害。,7.2,计算机病毒与木马,下一页,返回,上一页,6.,蠕虫（,Worm,）程序：蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、,P2P,软件等自动传播自身的病毒，如冲击波。,7.,破坏性程序（,Harm,）：病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是,bat,文件，也有一些是可执行文件，有一部分和恶意网页结合使用。,7.2.2,“,熊猫烧香,”,病毒简介,现在的病毒正在向混合型，多功能的方向发展，许多新型病毒综合了各类病毒的特点和优点，比如说震惊全国的,“,熊猫烧香,”,病毒，它就是一种蠕虫病毒经过多次变种得来的，又叫尼姆亚变种（,worm.nimaya,）。,7.2,计算机病毒与木马,下一页,返回,上一页,7.2.3,常见,AUTORUN.INF,文件,下面我们再把最常见的,AUTORUN.INF,文件作一下介绍：,AUTORUN.INF,这个文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功能，但是很多病毒利用了这个文件的特点，自动运行一些病毒程序。当你的磁盘或,U,盘再双击时出现下面这个图标时。有很大可能，你的计算机已经中毒了。,为什么会进不去硬盘或,U,盘呢，这都是因为,AUTORUN.INF,文件，下面我们来看看一个名叫,icnskem.exe,的病毒的,AUTORUN.INF,文件。,AUTORUN.INF,文件是可以双击打开的，或者把名称改为,AUTORUN.TXT,再打开，,7.2,计算机病毒与木马,下一页,返回,上一页,打开以后可以看到如图 如果你用双击,“,open,”,打开，病毒,icnskem.exe,自动运行；如果你单击盘符右键，选,“,打开,”,，也是运行,icnskem.exe,；即使你单击盘符右键，选,“,资源管理器,”,，还是运行,icnskem.exe,。大家可以拿这个病毒的,AUTORUN.INF,文件和熊猫烧香病毒的,AUTORUN.INF,文件对比一下。,7.2.4,木马原理,木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制用户计算机的权限。,7.2,计算机病毒与木马,下一页,返回,上一页,特洛伊木马有一些明显的特点：它的安装和操作都是在隐蔽之中完成，用户没有察觉。攻击者常把特洛伊木马隐藏在一些小软件或游戏之中，诱使用户在自己的计算机上运行。中木马最常见的情况是用户从不正规的网站下载和运行了带恶意代码的软件、游戏，或者不小心点击了带恶意代码的邮件附件。,大部分木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将木马服务器部分绑定到某个合法软件上，只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。当服务端程序在被感染的机器上成功运行以后，会通知客户端用户已被控制，,7.2,计算机病毒与木马,下一页,返回,上一页,攻击者就可以使用客户端与服务端建立连接（一般这种连接大部分是,TCP,连接，少量木马用,UDP,连接），攻击者利用客户程序向服务器程序发送命令并进一步控制被感染的计算机。被感染的计算机又可以作为攻击端，对网络中其他计算机发起攻击。,因为客户端和服务器端可以通过程序设计实现不同的功能，网络上的木马程序有很多种，比较著名的有冰河，灰鸽子，,QQ,盗号木马等。,7.2,计算机病毒与木马,返回,上一页,7.3.1,防火墙的基本概念,防火墙是网络安全的,“,桥头堡,”,，可以实现内部可信任网络与外部不可信任网络（互联网）之间或内部网络不同区域之间的隔离与访问控制，阻止外部网络中的恶意程序访问内部网络资源，防止更改、复制、损坏用户重要信息。,防火墙是一种网络安全保障方式，主要目的就是通过检查入、出一个网络的所有连接，防止某个需要保护的网络遭受外部网络的干扰和破坏。从逻辑上讲，防火墙是一个分离器、限制器、分析器，有效地检查内部网络和外部网络之间的任何活动；,7.3,防火墙,下一页,返回,物理上，防火墙集成在网络特殊位置的一组硬件设备,-,路由器、三层交换机、,PC,机上。可以是一个独立硬件系统，也可以是一个软件系统。,7.3.2,防火墙的分类,防火墙分类有很多种，这里按照工作的网络层次和作用对象来分为四种类型：,1.,包过滤防火墙,包过滤防火墙又被称为访问控制表,ACL,（,Access Control List,）,它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的规则（分组包头源地址、,7.3,防火墙,下一页,返回,上一页,目的地址端口号、协议类型等）相一致，从而决定是否转发数据包。包过滤防火墙工作于网络层和传输层，把满足规则的数据包转发到目的端口，不满足的数据包则被丢弃，许多个规则是可以复合定义的。,包过滤防火墙的优点是：,不用改动用户主机上的客户程序；,可以与现有设备集成，也可以通过独立的包过滤软件实现；,成本低廉、速度快、效