【正文】 障隔離與恢復(fù)等。對掃描中發(fā)現(xiàn)的病毒，病毒文件的文件名、所在文件夾、病毒名稱和狀態(tài) 都將顯示在病毒列表窗口中。為此，瑞星殺毒軟件專門提供了嵌入式殺毒工具。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則把守網(wǎng)絡(luò)，提供強(qiáng)大的訪問控制、應(yīng)用選通、信息過濾等功能。 如果用戶從網(wǎng)上下載了一個(gè)帶病毒的壓縮文件包，或從光盤里運(yùn)行一個(gè)壓縮過的帶毒文件，用戶會放心地使用這個(gè)壓縮文件包，然后自己的系統(tǒng)就會不知不覺地被壓縮文件包中的病毒感染。只要實(shí)時(shí)反病毒軟件實(shí)時(shí)地在系統(tǒng)中工作，病毒就無法侵入我們的計(jì)算機(jī)系統(tǒng)。 然而，防毒軟件并不是萬能的，對付計(jì)算機(jī)病毒的最好方法是要積極地做好預(yù)防工作 , 而不能寄托于病毒工 具軟件。 因此 ,防范網(wǎng)絡(luò)病毒應(yīng)從兩 方面著手。 電子郵件病毒 由于電子郵件的廣泛使用， Email已成為病毒傳播的主要途徑之一。 一般最普通基本的安全管理服務(wù)可包括有防火墻、入侵偵測及報(bào)警系統(tǒng)、遠(yuǎn)程訪問保全、在網(wǎng)絡(luò)上將使用資料加密等。竊取手段越來越多，但歸結(jié)起來本質(zhì)一樣：都是通過程序，尋找或記錄種植（程序）者需要的信息，并將其發(fā)送到他們手中。此外，還有一些專門的郵件炸彈刪除軟件，它可以幫助我們迅速刪除炸彈郵件。如果發(fā)現(xiàn)有木馬存在，首先就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)進(jìn)行攻擊。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。實(shí)施訪問控制是維護(hù)系統(tǒng)運(yùn)行安全，保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)。屏蔽子網(wǎng)工作原理圖如下圖所示。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。 雙宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 內(nèi)網(wǎng) 35 防火墻的基本結(jié)構(gòu) 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） ⑴ 單宿堡壘主機(jī)： 是屏蔽主機(jī)網(wǎng)關(guān)的一種簡單形式 ,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。對該連接的后續(xù)數(shù)據(jù)包 ,只要符合狀態(tài)表就可以通過。與應(yīng)用級防火墻相似 ,電路級防火墻也是代理服務(wù)器 ,只是它不需要用戶配備專門的代理客戶應(yīng)用程序 。代理防火墻的最大缺點(diǎn)是速度相對比較慢。 31 防火墻的分類 網(wǎng)絡(luò)級防火墻（ Network Gateway） 網(wǎng)絡(luò)級防火墻主要用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。 可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。 ③ 防火墻本身不受各種攻擊的影響。目前，防火墻產(chǎn)品是世界上使用最多的網(wǎng)絡(luò)安全產(chǎn)品之一，其功能也在不斷的增加。但是，在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決的問題。一個(gè)完整的數(shù)字簽名 應(yīng)該具有不可抵賴性、不可偽造性、不可重用性等。 ⑵ 保護(hù)關(guān)鍵密鑰 （ KCK： KEY CNCRYPTION KEY）。 加密技術(shù) 24 防止密碼破譯的措施 為了防止密碼破譯 ,可以采取一些相應(yīng)的技術(shù)措施。 2. 密碼分析 密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。量子加密法的先進(jìn)之處在于這種方法依賴的是量子力學(xué)定律。 取得收信人的 分開密鑰 KRP 加密技術(shù) 22 Hash－ MD5加密算法 Hash函數(shù)又名信息摘要（ Message Digest）函數(shù)，是基于因子分解或離散對數(shù)問題的函數(shù)，可將任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。 IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒有。 變位加密法 把明文中的字母重新排列 ,字母本身不變，但位置變了。 加密技術(shù) 19 ?傳統(tǒng)加密方法 代換密碼法 ⑴ 單字母加密方法： 是用一個(gè)字母代替另一個(gè)字母 ,它把 A變成 E， B變成 F， C變?yōu)?G， D變?yōu)?H。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對方），所以密碼體制的安全完全取決于密鑰的安全。數(shù)據(jù)加密和解密過程如下圖所示。 4 不可否認(rèn)（ nonrepudiation）： 安全通信的一個(gè)基本要素就是不可否認(rèn)性，防止發(fā)送者抵賴（否定）。 Inter 加密數(shù)據(jù)流 供應(yīng)商 采購單位 SSL安全論證網(wǎng)關(guān) Web服務(wù)器 加密技術(shù) 16 加密技術(shù) 密碼學(xué)與密碼技術(shù) 計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的新興科學(xué) ,密碼技術(shù)是密碼學(xué)的具體實(shí)現(xiàn) , 它包括 4個(gè)方面：保密(機(jī)密 )、消息驗(yàn)證、消息完整和不可否認(rèn)性。 15 167。 IP加密傳輸信道技術(shù)是在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間建立透明的安全加密信道。但由于網(wǎng)絡(luò)分布廣，物理層的安全很難保證。 （ 5）不可否認(rèn)性 防止發(fā)送方企圖否認(rèn)所發(fā)送的信息，同時(shí)也防止接受方企圖否認(rèn)接收到信息。身份認(rèn)證必須做到準(zhǔn)確無誤地將對方辨別出來，同時(shí)還應(yīng)該提供雙向的認(rèn)證，即互相證明自己的身份。 由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施 ， 使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行 ， 從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性 、 完整性和保密性 。 4 假冒（ Fabrication）： 入侵者在系統(tǒng)中加入偽造的內(nèi)容，如像網(wǎng)絡(luò)用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。 2 竊?。?Interception）： 入侵者竊取信息資源是對保密性的威脅。 網(wǎng)絡(luò)安全攻擊分類 被動攻擊 截獲 (秘密 ) 分析信息內(nèi)容 通信量分析 主動攻擊 拒絕 篡改 偽造 重放 (可用性 ) (完整性 ) (真實(shí)性 ) (時(shí)效性 ) 被動攻擊不修改信息內(nèi)容，所以非常難以檢測，因此防護(hù)方法重點(diǎn)是加密。這些漏洞常被用來獲取對系統(tǒng)的訪問權(quán)。 攻擊者在短時(shí)間內(nèi)發(fā)送大量的訪問請求，而導(dǎo)致目標(biāo)服務(wù)器資源枯竭，不能提供正常的服務(wù)。 Inter 防火墻 學(xué)生區(qū) Info Gate IIS服務(wù) Web服務(wù)DMZ區(qū) 教工區(qū) 安全 垃圾郵 內(nèi)容 審計(jì) 件網(wǎng)關(guān) 過濾 數(shù)據(jù)庫服務(wù)器群 應(yīng)用服務(wù)器群 5 網(wǎng)絡(luò)所面臨的安全威脅 網(wǎng)絡(luò)安全要求 網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) ,不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不會中斷。 防火墻的安裝調(diào)試與設(shè)置 167。 2 167。 因此，網(wǎng)絡(luò)安全已成為重要研究課題。但由于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的脆弱性以及人為的攻擊破壞，也給社會帶來了損失 。 熟悉： 計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng) 技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)。 網(wǎng)絡(luò)安全的攻擊與防衛(wèi) 167。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行，不受外來入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。 計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。 利用服務(wù)進(jìn)程的 bug和配置錯誤 ,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。根據(jù) Steve Kent提出的方法 ,網(wǎng)絡(luò)安全攻擊可分為被動攻擊和主動攻擊兩大類，如下圖所示。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。例如改變文件中的數(shù)據(jù)，改變程序功能，修改網(wǎng)上傳送的報(bào)文等。 簡單說 ， 安全的目的是保證網(wǎng)絡(luò)數(shù)據(jù)的三個(gè)特性：可用性 、 完整性和機(jī)密性 。 三維安全框架體系 12 網(wǎng)絡(luò)安全的層次模型 安全服務(wù)特性 （ 1）身份認(rèn)證 身份認(rèn)證是訪問控制的基礎(chǔ)。 （ 4）數(shù)據(jù)的完整性 指防止數(shù)據(jù)在傳輸過程中被篡改、刪除、插入替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。 14 網(wǎng)絡(luò)安全的層次模型 層次模型 （ 1）物理層 在通信線路上采用電磁屏蔽技術(shù)、干擾及跳頻等技術(shù)，來防止電磁輻射造成的信息外泄，保證在線路上不被搭線偷聽，或者輕易的檢測出信息。防火墻被用來處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動，它可以確定來自哪些地址的信息可以或者禁止訪問哪些目的地址的主機(jī)。 （ 4） 應(yīng)用層 針對用戶身份進(jìn)行認(rèn)證并建立起安全的通信信道。 數(shù)據(jù)加密和數(shù)字簽名的聯(lián)合使用，是確保信息安全的有效措施。 3 完整（ integrity）： 保密與認(rèn)證只是安全通信中的兩個(gè)基本要素，還必須保持消息的完整 , 即消息在傳送過程中不發(fā)生改變。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過信道傳輸 ,到信宿接收時(shí)進(jìn)行解密 ,以實(shí)現(xiàn)數(shù)據(jù)通信保密。 在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在雙鑰密碼體制下 ,加密密鑰與解密密鑰是不同的 ,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。 加密技術(shù) 20 ?現(xiàn)代加密方法