【正文】 用戶 、 主機(jī)或執(zhí)行過(guò)程 。如果雇員離開(kāi)公司，則管理員應(yīng)及時(shí)把他的賬戶消除， （ 5）可以限制用戶的登錄時(shí)間，如只有在工作時(shí)間可登錄。這樣可以提供線索了解是否有人非法訪問(wèn)。不創(chuàng)建 guest賬號(hào)。 ? 軟件出版商認(rèn)證：允許 applets或 Active X控件的開(kāi)發(fā)者公開(kāi)他們的身份。其認(rèn)證手段得到廣泛應(yīng)用。 若用戶需要多次訪問(wèn)同一服務(wù)器，避免每次都重復(fù)獲取票據(jù)的過(guò)程，再引入另一新服務(wù)器稱為票據(jù)許可服務(wù)器 TGS（ Ticketgranting Server）。 第 2階段：用戶從 TGS獲取服務(wù)許可票據(jù) ， 即票據(jù)許可服務(wù)交換 。應(yīng) 答的內(nèi)容包括 C與 TGS會(huì)話所使用的密 鑰，用以向 C表示 TGS身份的 ID、時(shí)戳 TS、 AS向 C發(fā)放的票據(jù)許可票據(jù) Ticket 以及這一票據(jù)的截止期限 lifetime。 ? TGS用與 AS共享的密鑰 Kt解密票據(jù)后 ， 知道 C已從 AS處得到與自己會(huì)話的會(huì)話密鑰 Kctgs， 票據(jù)在這里的含義事實(shí)上是 “ 使用密鑰的人就是C” 。 第 4步： TGS向 C應(yīng)答的消息由 TGS和 C共享的會(huì)話密鑰加密后發(fā)往 C， 應(yīng)答中的內(nèi)容有 C和 V共享的會(huì)話密鑰 Kc,v、 V的身份 ID， 服務(wù)許可票據(jù) TicketV(有 C和 V的 ID、 Kc,v、并用 TGS與 V的共享密鑰 KV加密 ） 及票據(jù)的時(shí)戳 。 V對(duì)從認(rèn)證符得到的時(shí)戳加 1， 再由與 C共享的密鑰加密后發(fā)給 C， C解讀后對(duì)增加的時(shí)戳加以驗(yàn)證 ， 從而相信增加時(shí)戳的的確是 V。 實(shí)用認(rèn)證技術(shù) 返回本章首頁(yè) ? 虛擬專用網(wǎng) VPN（ Virtual Private Networks） 是企業(yè)內(nèi)部網(wǎng)在 Inter等公共網(wǎng)絡(luò)上的延伸 ， 通過(guò)一個(gè)專用的通道來(lái)創(chuàng)建一個(gè)安全的專用連接 ，從而可將遠(yuǎn)程用戶 、 企業(yè)分支機(jī)構(gòu) 、 公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來(lái) ， 構(gòu)成一個(gè)擴(kuò)展的企業(yè)內(nèi)部網(wǎng) 。 之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路 ， 而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái) （ 如 Inter， ATM， Frame Relay等 ） 之上的邏輯網(wǎng)絡(luò) ， 用戶數(shù)據(jù)在邏輯鏈路中傳輸 。 2. 容易擴(kuò)展：網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單 。 常見(jiàn)的 VPN協(xié)議有 PPTP和 IPSec。 該協(xié)議使用 Inter 通用路由封裝 （ GREv2， Generic Routing Encapsulation） 協(xié)議封裝數(shù)據(jù)和信息 /控制分組 。 與點(diǎn)對(duì)點(diǎn)加密技術(shù)相比 ， IPSec的安全性更高 。 Remote Explore病毒通過(guò)盜取 Windows NT 域管理員的帳號(hào)進(jìn)行傳播 。 網(wǎng)絡(luò)病毒防治技術(shù) ? 網(wǎng)絡(luò)病毒的特點(diǎn) Matrix 病毒 Matrix在 2023年 8月發(fā)源于德國(guó) ， 它具有網(wǎng)絡(luò)蠕蟲(chóng)的特性 ， 利用 Inter和 LAN進(jìn)行傳播 。 病毒還能對(duì)網(wǎng)上鄰居中的所有可用資源進(jìn)行搜索 ， 以便能夠同本機(jī)進(jìn)行文件傳輸 ， 從而達(dá)到感染網(wǎng)絡(luò)中其它機(jī)器的目的 。 其最大的特點(diǎn)是通過(guò) Email和 IRC快速傳播 。 l 病毒首先傳染工作站并駐留內(nèi)存 ， 等運(yùn)行網(wǎng)絡(luò)盤(pán)內(nèi)程序時(shí)再傳染給服務(wù)器 。 l 擴(kuò)散面廣：由于病毒在網(wǎng)絡(luò)中擴(kuò)散非?？?， 擴(kuò)散范圍很大 ， 不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī) ， 還能在瞬間通過(guò)遠(yuǎn)程工作站將病毒傳播到千里之外 。 l 破壞性大 。 2. 對(duì)新病毒的反應(yīng)能力 對(duì)新病毒的反應(yīng)能力是考察一個(gè)防病毒工具好壞的重要方面 。 4. 快速 、 方便的升級(jí) 防病毒軟件對(duì)更新及時(shí)性的要求尤為突出 。 在安裝時(shí)如果能夠自動(dòng)區(qū)分服務(wù)器與客戶端 ， 并安裝相應(yīng)的軟件 ， 這對(duì)管理員是一件十分方便的事 。 網(wǎng)絡(luò)病毒防治技術(shù) 7. 對(duì)現(xiàn)有資源的占用情況 防病毒程序進(jìn)行實(shí)時(shí)監(jiān)控都或多或少地要占用部分系統(tǒng)資源 。 因防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會(huì)帶來(lái)很多的問(wèn)題 。 另一個(gè)是升級(jí)信息的交換 ， 下載和分發(fā)升級(jí)信息都將會(huì)占用一定的網(wǎng)絡(luò)帶寬 ， 但其占用帶寬；較小 ， 一般為幾百 KB。 6. 管理方便 ， 易于操作 對(duì)防病毒軟件的參數(shù)設(shè)置以及從系統(tǒng)整體角度出發(fā)對(duì)各臺(tái)計(jì)算機(jī)上進(jìn)行的設(shè)置 。 這種升級(jí)信息應(yīng)該和安裝一樣能方便地 “ 分發(fā) ” 到各個(gè)終端 。 網(wǎng)絡(luò)病毒防治技術(shù) 3. 病毒實(shí)時(shí)監(jiān)測(cè)能力 病毒通過(guò)郵件和網(wǎng)頁(yè)傳播的途徑具有一定的實(shí)時(shí)性 ，用戶無(wú)法人為地了解可能感染的時(shí)間 。 網(wǎng)絡(luò)病毒防治技術(shù) 對(duì)網(wǎng)絡(luò)病毒的防御能力 (防病毒工具 ) 1. 病毒查殺能力 病毒查殺能力的強(qiáng)弱體現(xiàn)在可查殺病毒的種類和數(shù)目 ，并還要關(guān)注對(duì)實(shí)際流行病毒的查殺能力 。 l 難于徹底清除：?jiǎn)螜C(jī)上的計(jì)算機(jī)病毒有時(shí)可通過(guò)刪除帶毒文件 、 低級(jí)格式化硬盤(pán)等措施將病毒徹底清除 。 l 若遠(yuǎn)程工作站被病毒侵入 ， 病毒則可通過(guò)通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中 。 一旦用戶打開(kāi)附件 ， 病毒便進(jìn)行感染：搜索 outlook地址簿 、 IRC連接 、 發(fā)送帶有病毒的郵件 、 通過(guò) IRC感染其它用戶等等 。 另外 ， 被安裝的文件 的站點(diǎn) ， 并下載新的病毒插件 ， 以完成自身更新 。 當(dāng)接收者打開(kāi)附件 ， 該病毒便在網(wǎng)絡(luò)系統(tǒng)內(nèi)安裝文件到 c:\windows目錄下 ， 然后將系統(tǒng)內(nèi)的 ， 把 。 若另一臺(tái) NT機(jī)器只要用同一管理員帳號(hào)登錄到染毒的機(jī)器中 ， 該病毒就可以感染局域網(wǎng)附加網(wǎng)絡(luò)驅(qū)動(dòng)器中的文件 。 ? IPSec的另一個(gè)優(yōu)點(diǎn)是其安全機(jī)制被松散地結(jié)合在密鑰管理系統(tǒng)中 ， 因此如果將來(lái)出現(xiàn)了更新更強(qiáng)大的密碼算法就可直接用于這一體系結(jié)構(gòu) ， 而無(wú)需對(duì)安全機(jī)制進(jìn)行修改 。 在客戶工作站與最終的隧道終結(jié)器協(xié)商 PPP時(shí) ， 加密的會(huì)話就建立起來(lái)了 . VPN的安全性 2. IPSec與 PPTP的比較 ? IPSec已成為 VPN的安全標(biāo)準(zhǔn) ， 用來(lái)進(jìn)行對(duì)數(shù)據(jù)包的加密 、 認(rèn)證和完整性確認(rèn) 。 如果不能保證其安全性 ， 黑客就可以假扮用戶以獲取網(wǎng)絡(luò)信息 ， 這樣就會(huì)對(duì)網(wǎng)絡(luò)安全造成威脅 。 企業(yè)可以把撥號(hào)訪問(wèn)交給 NSP去做 ， 而自己負(fù)責(zé)用戶的查驗(yàn) 、 訪問(wèn)權(quán) 、 網(wǎng)絡(luò)地址 、 安全性和網(wǎng)絡(luò)變化管理等重要工作 。 ? VPN協(xié)議可以處理數(shù)據(jù)包 ， 并對(duì)其有效負(fù)載加密 ， 把數(shù)據(jù)包發(fā)送到目的地址 。而對(duì)企業(yè)來(lái)說(shuō)可很大程度地降低自己的費(fèi)用 ， 減少對(duì)網(wǎng)絡(luò)管理和支持終端用戶的需求 ， 并可使自己的安全規(guī)則更為靈活 。 OTP的主要思路是： 在登錄過(guò)程中加入不確定因素 ， 使每次登錄過(guò)程中傳送的信息都不相同 ， 以提高登錄過(guò)程安全性 。 服務(wù)器用 Kv 解密票據(jù)后得到會(huì)話密鑰 Kc,v， 并由 Kc,v 解密認(rèn)證符 ， 以驗(yàn)證 C的身份 。 ? 這時(shí)的票據(jù)不能證明任何人的身份 ， 只是用來(lái)安全地分配密鑰 ， 而認(rèn)證符則是用來(lái)證明客戶的身份 。 ? 其中認(rèn)證符中包括 C上用戶的身份 、 C的地址及一個(gè)時(shí)戳 。 實(shí)用認(rèn)證技術(shù) 第 1步：客戶向 AS發(fā)出訪問(wèn) TGS的請(qǐng)求，請(qǐng)求中 的時(shí)戳用以向 AS表示這一請(qǐng)求是新的。 Kerberos系統(tǒng)的認(rèn)證過(guò)程分為三個(gè)階段，共六步。 （ 1） 用戶如果想訪問(wèn)某一應(yīng)用服務(wù)器 ， 首先向 AS發(fā)出請(qǐng)求 ， （ 2） AS將收到的用戶口令與中心數(shù)據(jù)庫(kù)存儲(chǔ)的口令相比較以驗(yàn)證用戶的身份 。 ? Kerberos和一次性密碼是用于加強(qiáng)認(rèn)證系統(tǒng)的兩項(xiàng)技術(shù)。該證書(shū)只在某一時(shí)間內(nèi)有效，因而 CA保存一份有效證書(shū)及其有效期清單。 （ 9）定期地查看日志文件，尤其是登錄末成功的消息日志文件。防止對(duì)賬戶多次嘗試口令而闖入系統(tǒng)。 （ 2）不要用系統(tǒng)指定的口令，如 root、 demo和