【正文】 用戶 、 主機或執(zhí)行過程 。如果雇員離開公司，則管理員應(yīng)及時把他的賬戶消除， （ 5）可以限制用戶的登錄時間，如只有在工作時間可登錄。這樣可以提供線索了解是否有人非法訪問。不創(chuàng)建 guest賬號。 ? 軟件出版商認證：允許 applets或 Active X控件的開發(fā)者公開他們的身份。其認證手段得到廣泛應(yīng)用。 若用戶需要多次訪問同一服務(wù)器，避免每次都重復(fù)獲取票據(jù)的過程，再引入另一新服務(wù)器稱為票據(jù)許可服務(wù)器 TGS（ Ticketgranting Server）。 第 2階段：用戶從 TGS獲取服務(wù)許可票據(jù) ， 即票據(jù)許可服務(wù)交換 。應(yīng) 答的內(nèi)容包括 C與 TGS會話所使用的密 鑰，用以向 C表示 TGS身份的 ID、時戳 TS、 AS向 C發(fā)放的票據(jù)許可票據(jù) Ticket 以及這一票據(jù)的截止期限 lifetime。 ? TGS用與 AS共享的密鑰 Kt解密票據(jù)后 ， 知道 C已從 AS處得到與自己會話的會話密鑰 Kctgs， 票據(jù)在這里的含義事實上是 “ 使用密鑰的人就是C” 。 第 4步： TGS向 C應(yīng)答的消息由 TGS和 C共享的會話密鑰加密后發(fā)往 C， 應(yīng)答中的內(nèi)容有 C和 V共享的會話密鑰 Kc,v、 V的身份 ID， 服務(wù)許可票據(jù) TicketV(有 C和 V的 ID、 Kc,v、并用 TGS與 V的共享密鑰 KV加密 ） 及票據(jù)的時戳 。 V對從認證符得到的時戳加 1， 再由與 C共享的密鑰加密后發(fā)給 C， C解讀后對增加的時戳加以驗證 ， 從而相信增加時戳的的確是 V。 實用認證技術(shù) 返回本章首頁 ? 虛擬專用網(wǎng) VPN（ Virtual Private Networks） 是企業(yè)內(nèi)部網(wǎng)在 Inter等公共網(wǎng)絡(luò)上的延伸 ， 通過一個專用的通道來創(chuàng)建一個安全的專用連接 ，從而可將遠程用戶 、 企業(yè)分支機構(gòu) 、 公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來 ， 構(gòu)成一個擴展的企業(yè)內(nèi)部網(wǎng) 。 之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路 ， 而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺 （ 如 Inter， ATM， Frame Relay等 ） 之上的邏輯網(wǎng)絡(luò) ， 用戶數(shù)據(jù)在邏輯鏈路中傳輸 。 2. 容易擴展：網(wǎng)絡(luò)路由設(shè)備配置簡單 。 常見的 VPN協(xié)議有 PPTP和 IPSec。 該協(xié)議使用 Inter 通用路由封裝 （ GREv2， Generic Routing Encapsulation） 協(xié)議封裝數(shù)據(jù)和信息 /控制分組 。 與點對點加密技術(shù)相比 ， IPSec的安全性更高 。 Remote Explore病毒通過盜取 Windows NT 域管理員的帳號進行傳播 。 網(wǎng)絡(luò)病毒防治技術(shù) ? 網(wǎng)絡(luò)病毒的特點 Matrix 病毒 Matrix在 2023年 8月發(fā)源于德國 ， 它具有網(wǎng)絡(luò)蠕蟲的特性 ， 利用 Inter和 LAN進行傳播 。 病毒還能對網(wǎng)上鄰居中的所有可用資源進行搜索 ， 以便能夠同本機進行文件傳輸 ， 從而達到感染網(wǎng)絡(luò)中其它機器的目的 。 其最大的特點是通過 Email和 IRC快速傳播 。 l 病毒首先傳染工作站并駐留內(nèi)存 ， 等運行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器 。 l 擴散面廣：由于病毒在網(wǎng)絡(luò)中擴散非?？?， 擴散范圍很大 ， 不但能迅速傳染局域網(wǎng)內(nèi)所有計算機 ， 還能在瞬間通過遠程工作站將病毒傳播到千里之外 。 l 破壞性大 。 2. 對新病毒的反應(yīng)能力 對新病毒的反應(yīng)能力是考察一個防病毒工具好壞的重要方面 。 4. 快速 、 方便的升級 防病毒軟件對更新及時性的要求尤為突出 。 在安裝時如果能夠自動區(qū)分服務(wù)器與客戶端 ， 并安裝相應(yīng)的軟件 ， 這對管理員是一件十分方便的事 。 網(wǎng)絡(luò)病毒防治技術(shù) 7. 對現(xiàn)有資源的占用情況 防病毒程序進行實時監(jiān)控都或多或少地要占用部分系統(tǒng)資源 。 因防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會帶來很多的問題 。 另一個是升級信息的交換 ， 下載和分發(fā)升級信息都將會占用一定的網(wǎng)絡(luò)帶寬 ， 但其占用帶寬；較小 ， 一般為幾百 KB。 6. 管理方便 ， 易于操作 對防病毒軟件的參數(shù)設(shè)置以及從系統(tǒng)整體角度出發(fā)對各臺計算機上進行的設(shè)置 。 這種升級信息應(yīng)該和安裝一樣能方便地 “ 分發(fā) ” 到各個終端 。 網(wǎng)絡(luò)病毒防治技術(shù) 3. 病毒實時監(jiān)測能力 病毒通過郵件和網(wǎng)頁傳播的途徑具有一定的實時性 ，用戶無法人為地了解可能感染的時間 。 網(wǎng)絡(luò)病毒防治技術(shù) 對網(wǎng)絡(luò)病毒的防御能力 (防病毒工具 ) 1. 病毒查殺能力 病毒查殺能力的強弱體現(xiàn)在可查殺病毒的種類和數(shù)目 ，并還要關(guān)注對實際流行病毒的查殺能力 。 l 難于徹底清除：單機上的計算機病毒有時可通過刪除帶毒文件 、 低級格式化硬盤等措施將病毒徹底清除 。 l 若遠程工作站被病毒侵入 ， 病毒則可通過通信中數(shù)據(jù)交換進入網(wǎng)絡(luò)服務(wù)器中 。 一旦用戶打開附件 ， 病毒便進行感染：搜索 outlook地址簿 、 IRC連接 、 發(fā)送帶有病毒的郵件 、 通過 IRC感染其它用戶等等 。 另外 ， 被安裝的文件 的站點 ， 并下載新的病毒插件 ， 以完成自身更新 。 當接收者打開附件 ， 該病毒便在網(wǎng)絡(luò)系統(tǒng)內(nèi)安裝文件到 c:\windows目錄下 ， 然后將系統(tǒng)內(nèi)的 ， 把 。 若另一臺 NT機器只要用同一管理員帳號登錄到染毒的機器中 ， 該病毒就可以感染局域網(wǎng)附加網(wǎng)絡(luò)驅(qū)動器中的文件 。 ? IPSec的另一個優(yōu)點是其安全機制被松散地結(jié)合在密鑰管理系統(tǒng)中 ， 因此如果將來出現(xiàn)了更新更強大的密碼算法就可直接用于這一體系結(jié)構(gòu) ， 而無需對安全機制進行修改 。 在客戶工作站與最終的隧道終結(jié)器協(xié)商 PPP時 ， 加密的會話就建立起來了 . VPN的安全性 2. IPSec與 PPTP的比較 ? IPSec已成為 VPN的安全標準 ， 用來進行對數(shù)據(jù)包的加密 、 認證和完整性確認 。 如果不能保證其安全性 ， 黑客就可以假扮用戶以獲取網(wǎng)絡(luò)信息 ， 這樣就會對網(wǎng)絡(luò)安全造成威脅 。 企業(yè)可以把撥號訪問交給 NSP去做 ， 而自己負責(zé)用戶的查驗 、 訪問權(quán) 、 網(wǎng)絡(luò)地址 、 安全性和網(wǎng)絡(luò)變化管理等重要工作 。 ? VPN協(xié)議可以處理數(shù)據(jù)包 ， 并對其有效負載加密 ， 把數(shù)據(jù)包發(fā)送到目的地址 。而對企業(yè)來說可很大程度地降低自己的費用 ， 減少對網(wǎng)絡(luò)管理和支持終端用戶的需求 ， 并可使自己的安全規(guī)則更為靈活 。 OTP的主要思路是： 在登錄過程中加入不確定因素 ， 使每次登錄過程中傳送的信息都不相同 ， 以提高登錄過程安全性 。 服務(wù)器用 Kv 解密票據(jù)后得到會話密鑰 Kc,v， 并由 Kc,v 解密認證符 ， 以驗證 C的身份 。 ? 這時的票據(jù)不能證明任何人的身份 ， 只是用來安全地分配密鑰 ， 而認證符則是用來證明客戶的身份 。 ? 其中認證符中包括 C上用戶的身份 、 C的地址及一個時戳 。 實用認證技術(shù) 第 1步：客戶向 AS發(fā)出訪問 TGS的請求，請求中 的時戳用以向 AS表示這一請求是新的。 Kerberos系統(tǒng)的認證過程分為三個階段，共六步。 （ 1） 用戶如果想訪問某一應(yīng)用服務(wù)器 ， 首先向 AS發(fā)出請求 ， （ 2） AS將收到的用戶口令與中心數(shù)據(jù)庫存儲的口令相比較以驗證用戶的身份 。 ? Kerberos和一次性密碼是用于加強認證系統(tǒng)的兩項技術(shù)。該證書只在某一時間內(nèi)有效，因而 CA保存一份有效證書及其有效期清單。 （ 9）定期地查看日志文件，尤其是登錄末成功的消息日志文件。防止對賬戶多次嘗試口令而闖入系統(tǒng)。 （ 2）不要用系統(tǒng)指定的口令，如 root、 demo和