【正文】 1章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 2）網(wǎng)絡(luò)病毒具有以下特點(diǎn)： ?自動(dòng)傳播和主動(dòng)攻擊，如：蠕蟲病毒； ?攻擊系統(tǒng)后門，如：特洛伊木馬； ?多種傳播方式多樣化，如：通過郵件、網(wǎng)絡(luò)共享，利用 IIS、 IE、 SQL的漏洞進(jìn)行傳播等； ?爆發(fā)速度快、影響面廣，如：以郵件為載體進(jìn)行傳播的病毒危害十分巨大； ?來自 Inter網(wǎng)頁的威脅，如：網(wǎng)頁中包含惡意有毒編碼。 ?按照病毒自身特征分類可以分為 2類：伴隨型病毒、變型病毒。 加密過程由加密算法來具體實(shí)施。 67 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 68 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 密碼學(xué)是以研究數(shù)據(jù)保密為目的，對存儲或傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取。 69 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 加密過程中的幾個(gè)名詞概念：（密碼學(xué)中的幾個(gè)名詞） （ 1） 明文 ：被變換的信息，其可以是一段有意義的文字或數(shù)據(jù)； （ 2） 密文 ：信息變換后的一串雜亂排列的數(shù)據(jù)，從字面上無任何含義； （ 3） 加密 ：從明文到密文的變換過程為加密； （ 4） 解密 ：將密文還原為明文的變換過程； （ 5） 密鑰 ：對加密與解密過程進(jìn)行控制的參數(shù)。 （ 7） Dk’（ C） ：以解密密鑰 k’為參數(shù)的函數(shù)。通過數(shù)據(jù)加密技術(shù)，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完整性。對稱密鑰體制也可稱為單鑰體制。 73 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 對稱加密的特點(diǎn)： 對稱加密速度快，但密鑰不便于管理。按照發(fā)展進(jìn)程來看，密碼經(jīng)歷了古典密碼算法、對稱密鑰密碼算法和公開密鑰密碼算法三個(gè)階段。它主要用于民用敏感信息的加密，后來被國際標(biāo)準(zhǔn)化組織接受作為國際標(biāo)準(zhǔn)。 DES算法的弱點(diǎn)是不能提供足夠的安全性，因?yàn)槠涿荑€容量只有 56位。適用于數(shù)字簽名和密鑰交換。 RSA算法的優(yōu)點(diǎn)是密鑰空間大（ 500位，一般推薦使用 1024位），缺點(diǎn)是加密速度慢，如果 RSA和 DES結(jié)合使用，則正好彌補(bǔ) RSA的缺點(diǎn)。 采用數(shù)據(jù)存儲加密技術(shù)的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。 78 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 認(rèn)證技術(shù) 79 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 隨著 Inter上各類應(yīng)用的發(fā)展，尤其是電子商務(wù)的發(fā)展，為保證商務(wù)、交易及支付活動(dòng)的真實(shí)可靠，需要有一種機(jī)制來驗(yàn)證活動(dòng)中各方的真實(shí)身份。 ? 美國電子簽名標(biāo)準(zhǔn)（ DSS， FIPS1862）對數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個(gè)參數(shù)對數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。身份認(rèn)證大致分為 3種：一是個(gè)人知道的某種事物，如口令、賬號等；二是個(gè)人持證（ Token，也稱令牌），如圖章、標(biāo)志、鑰匙和護(hù)照等；三是個(gè)人特征，如指紋、聲紋、手形、視網(wǎng)膜、血型、基因、筆跡和習(xí)慣性簽字等。 83 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 ? 生物特征認(rèn)證 指紋： 唯一地識別一個(gè)人 手印： 讀取整個(gè)手而不是僅僅手指的特征 。 比如 UNIX的 rlogin和rsh程序通過源 IP地址來驗(yàn)證一個(gè)用戶 、 主機(jī)或執(zhí)行過程 。基于公鑰密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名 ,目前主要是基于公鑰密碼體制的數(shù)字簽名。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個(gè)摘要信息，與解密的摘要信息對比。它提供了一種在 Inter 上身份驗(yàn)證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。任何一個(gè)信任CA的通訊一方，都可以通過驗(yàn)證對方數(shù)字證書上的 CA數(shù)字簽名來建立起和對方的信任，并且獲得對方的公鑰以備使用。 ? 軟件出版商認(rèn)證：允許 applets或 Active X控件的開發(fā)者公開他們的身份。數(shù)據(jù)備份顧名思義，就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個(gè)過程。 （ 2）數(shù)據(jù)備份的類型 按備份時(shí)的數(shù)據(jù)庫狀態(tài)不同可分為冷備份、熱備份、邏輯備份等。容災(zāi)（或?yàn)?zāi)難備份）是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在遇到這些災(zāi)難時(shí)仍能保證系統(tǒng)數(shù)據(jù)的完整、可用和系統(tǒng)正常運(yùn)行。 （ 2）數(shù)據(jù)容災(zāi)的等級 第 0級：本地復(fù)制、本地保存的冷備份 第 1級：本地復(fù)制、異地保存的冷備份 第 2級：熱備份站點(diǎn)備份 第 3級：活動(dòng)互援備份 94 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 3）容災(zāi)系統(tǒng) 一個(gè)完整的容災(zāi)系統(tǒng)包括三部分：本地容災(zāi)、異地容災(zāi)、有效管理機(jī)制。 ? 互連技術(shù) 利用基于 IP的 SAN互連協(xié)議，將主數(shù)據(jù)中心 SAN中的信息通過現(xiàn)有的 TCP/IP網(wǎng)絡(luò)，遠(yuǎn)程復(fù)制到備援中心 SAN中。它可以通過特殊的加密通信協(xié)議為連接在 Inter上位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路，如圖所示。 目前 VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是： （ 1）隧道技術(shù)（ Tunneling）、 （ 2）加解密技術(shù)（ Encryption Decryption）、 （ 3）密鑰管理技術(shù)（ Key Management）、 （ 4）使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。 。這些解決方案主要分為三種：遠(yuǎn)程訪問虛擬網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ Extra VPN）。 VPN技術(shù)原是路由器具有的重要技術(shù)之一， 目前在交換機(jī)，防火墻設(shè)備或 WINDOWS 2023等軟件里也都支持VPN功能， VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 95 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 虛擬專用網(wǎng)（ VPN）技術(shù) VPN的英文全稱是“ Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。按請求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。 容災(zāi)不是簡單備份，還包括數(shù)據(jù)復(fù)制等更完善的保護(hù)措施。 92 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)恢復(fù)的概念 數(shù)據(jù)恢復(fù)是指將備份在存儲介質(zhì)上的數(shù)據(jù)恢復(fù)到計(jì)算機(jī)系統(tǒng)上，它與數(shù)據(jù)備份是一個(gè)相反的過程。 90 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 （ 2）數(shù)據(jù)備份的類型 （ 1）數(shù)據(jù)恢復(fù)的概念 （ 2）數(shù)據(jù)恢復(fù)的類型 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 （ 2）數(shù)據(jù)容災(zāi)的等級 （ 3）容災(zāi)系統(tǒng) （ 4）異地容災(zāi)技術(shù) 91 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)備份，通常是指將存儲在計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)復(fù)制到磁帶、磁盤、光盤等存儲介質(zhì)上，在計(jì)算機(jī)以外的地方另行保管。 89 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)備份和數(shù)據(jù)容災(zāi) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由于系統(tǒng)崩潰，黑客入侵以及管理員的誤操作等各種原因會導(dǎo)致數(shù)據(jù)丟失和損害。該證書只在某一時(shí)間內(nèi)有效，因而 CA保存一份有效證書及其有效期清單。 通俗地講，數(shù)字證書就是個(gè)人或單位在 Inter上的身份證。 數(shù)字簽名是個(gè)加密的過程，數(shù)字簽名驗(yàn)證是個(gè)解密的過程。 將被發(fā)送文件采用摘要函數(shù)（ Hash函數(shù)）對原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字串，稱為報(bào)文摘要（ Message Digest），不同的報(bào)文所得到的報(bào)文摘要各異，但對相同的報(bào)文它的報(bào)文摘要卻是唯一的。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù) ,防止被人 (例如接收者 )進(jìn)行偽造。 視網(wǎng)膜掃描： 是用紅外線檢查人眼各不相同的血管圖像 。自動(dòng)取款機(jī) ATM。消息認(rèn)證也稱為完整性校驗(yàn)，在銀行業(yè)稱為消息認(rèn)證，在 OSI安全模型中稱為封裝。 認(rèn)證是基于加密技術(shù)的 ， 一般有賬戶名 /口令認(rèn)證 、 使用摘要算法的認(rèn)證 、 基于 PKI（ 公鑰基礎(chǔ)設(shè)施 ） 的認(rèn)證 。 數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有：鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。由于 DES加密速度快，適合加密較長的報(bào)文，而 RSA可解決 DES密鑰分配的問題 。 RSA的理論依據(jù)為：尋找兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則異常困難。其強(qiáng)度大約和 112比特的密鑰強(qiáng)度相當(dāng)。它用 56位密鑰對 64位二進(jìn)制數(shù)據(jù)塊進(jìn)行加密，每次加密可對 64位的輸入數(shù)據(jù)進(jìn)行 16輪編碼，經(jīng)一系列替換和移位后，輸入的 64位原始數(shù)據(jù)轉(zhuǎn)換成完全不同的 64位輸出數(shù)據(jù)。 目前在數(shù)據(jù)通信中使用最普遍的算法有 DES算法、 RSA算法等。但由于其需要很復(fù)雜的數(shù)學(xué)算法，故其加密速度較低。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個(gè)人知道。 71 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)據(jù)信息（明文），按照加密算法變換成與明文完全不同的數(shù)據(jù)信息（密文）的過程，如圖所示。其中， C密文。其中，參數(shù) k稱之為密鑰。凡是用特種符號按照通訊雙方約定的方法把數(shù)據(jù)（明文）的原形隱蔽起來，不為第三者所識別的通訊方式稱為密碼通訊。如果按照收發(fā)雙方使用的密鑰是否相同來分類，可以將這些加密算法分為對稱密碼算法和非對稱密碼算法。 網(wǎng)絡(luò)防毒的主要方法： （ 1）建立好的安全習(xí)慣 （ 2）對計(jì)算機(jī)應(yīng)該經(jīng)常打補(bǔ)丁 （ 3）掌握一些病毒知識 （ 4）安裝專業(yè)的防毒軟件進(jìn)行全面控制 （ 5）利用可網(wǎng)管交換機(jī)進(jìn)行控制 65 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）防范未知病毒技術(shù)期待突破 （ 2）反病毒體系趨向于立體化 66 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 加密技術(shù) 運(yùn)用數(shù)據(jù)加密措施、數(shù)據(jù)加密技術(shù)是保障信息安全的最基本、最核心的技術(shù)措施之一。 63 第 11章