【正文】 遠(yuǎn)程安裝和遠(yuǎn)程設(shè)置 ， 可以大大減輕管理員到現(xiàn)場安裝 、設(shè)置的繁重工作 ， 可以對全網(wǎng)的機(jī)器進(jìn)行統(tǒng)一安裝 ， 又可以有針對性的設(shè)置 。 網(wǎng)絡(luò)病毒防治技術(shù) l 傳播的形式復(fù)雜多樣：計算機(jī)病毒在網(wǎng)絡(luò)上一般是通過 “ 工作站 服務(wù)器 工作站 ” 的途徑進(jìn)行傳播的 ， 但傳播的形式復(fù)雜多樣 。 該病毒以郵件附件的形式傳播 。 VPN的安全性 ? 對于 VPN的實施來說 ， 安全性也是很重要的 。 實用認(rèn)證技術(shù) ? 一次性密碼 （ OTP One Time Password ） 為了解決固定口令的諸多問題 ， 安全專家提出了一次性口令密碼體制 ， 以保護(hù)關(guān)鍵的計算資源 。 第 3階段：用戶從服務(wù)器獲取服務(wù) ， 即客戶 機(jī)與服務(wù)器的認(rèn)證交換 。 認(rèn)證類型 認(rèn)證服務(wù)器所授權(quán)認(rèn)證的數(shù)字證書類型有以下幾種： ? CA證書： CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。 聲音圖像： 每個人各不相同 筆跡或簽名： 字母和符號的組合 、 簽名時某些部分用力的大小 、 筆接觸紙的時間的長短 、 筆移動中的停頓等細(xì)微的差別 。 ? 2． 密碼分析 ? （ 1） 已知明文的破譯方法 ? （ 2） 選定明文的破譯方法 ? 3． 其他密碼破譯方法 ? “窺視”或“偷竊”密鑰內(nèi)容；利用加密系統(tǒng)實現(xiàn)中的缺陷或漏洞； ? 對用戶使用的加密系統(tǒng)偷梁換柱；從用戶工作生活環(huán)境的其他來源獲得未加密的保密信息； ? 讓口令的另一方透露密鑰或信息；威脅用戶交出密鑰等等。 6） 發(fā)送者用接收者的公鑰對這個會話密鑰加密 ， 來確保信息只能被接收者用其自己的私鑰解密 。 實用加密舉例 ? 實用加密 為確保信息在網(wǎng)上長距離的安全傳輸 。 典型 HASH算法 —— MD5算法 MD5提供了一種單向的哈希函數(shù) ， 是一個校驗和工具 。 非對稱加密 ? 非對稱密鑰加密在加密的過程中使用相互關(guān)聯(lián)的一對密鑰，一個歸發(fā)送者，一個歸接收者。 在美國密鑰長度是 128位 ， 向外出口時密鑰長度限制到 40位 ， Lotus Notes, Oracle Secure SQL都使用 RC4的算法 。 協(xié)議規(guī)范 ? 安全套接字層 SSL是由 Netscape設(shè)計的 ， 目前有SSLv 3。原數(shù)據(jù)報就成為新數(shù)據(jù)報的負(fù)載。 ? 算法獨立； ? 有利于實現(xiàn)不同安全策略； ? 對沒有采用該機(jī)制的用戶不會有負(fù)面影響 。 ? IPSec可增加已有的安全協(xié)議的安全性。 ? SA提供安全服務(wù)的方式是使用 AH或 ESP之一。 ? SSL協(xié)議要求建立在可靠的 TCP之上 ， 高層的應(yīng)用協(xié)議能透明地建立在 SSL之上 。 ? 如果密鑰被他人截獲，那么保密的信息就不再受到保護(hù)了。 ? 其原理是將原文經(jīng)過一系列的排列與置換所產(chǎn)生的結(jié)果再于原文異或合并 。 單向加密（ Hash encryption） ? 單向加密包括一個含有哈希函數(shù)的哈希表 ， 由這個表確定用來加密的十六位進(jìn)制數(shù) 。 （ Hash encryption） 為了解決上述問題 ， 就必須利用另外一種安全技術(shù)即數(shù)字簽名 。 在這一步通常使用MD2, MD4, MD5或 SHA1。 ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù) 。 系統(tǒng)登陸 4. 賬戶鎖定 為了防止有人企圖強(qiáng)行闖入系統(tǒng)中 ， 用戶可以設(shè)定最大登錄次數(shù) ， 如果用戶在規(guī)定次數(shù)內(nèi)未成功登錄 ， 則系統(tǒng)會自動被鎖定 ， 不可能再用于登錄 。防止對賬戶多次嘗試口令而闖入系統(tǒng)。 （ 1） 用戶如果想訪問某一應(yīng)用服務(wù)器 ， 首先向 AS發(fā)出請求 ， （ 2） AS將收到的用戶口令與中心數(shù)據(jù)庫存儲的口令相比較以驗證用戶的身份 。 ? 這時的票據(jù)不能證明任何人的身份 ， 只是用來安全地分配密鑰 ， 而認(rèn)證符則是用來證明客戶的身份 。 ? VPN協(xié)議可以處理數(shù)據(jù)包 ， 并對其有效負(fù)載加密 ， 把數(shù)據(jù)包發(fā)送到目的地址 。 ? IPSec的另一個優(yōu)點是其安全機(jī)制被松散地結(jié)合在密鑰管理系統(tǒng)中 ， 因此如果將來出現(xiàn)了更新更強(qiáng)大的密碼算法就可直接用于這一體系結(jié)構(gòu) ， 而無需對安全機(jī)制進(jìn)行修改 。 一旦用戶打開附件 ， 病毒便進(jìn)行感染：搜索 outlook地址簿 、 IRC連接 、 發(fā)送帶有病毒的郵件 、 通過 IRC感染其它用戶等等 。 網(wǎng)絡(luò)病毒防治技術(shù) 3. 病毒實時監(jiān)測能力 病毒通過郵件和網(wǎng)頁傳播的途徑具有一定的實時性 ，用戶無法人為地了解可能感染的時間 。 因防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會帶來很多的問題 。 2. 對新病毒的反應(yīng)能力 對新病毒的反應(yīng)能力是考察一個防病毒工具好壞的重要方面 。 其最大的特點是通過 Email和 IRC快速傳播 。 與點對點加密技術(shù)相比 ， IPSec的安全性更高 。 之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路 ， 而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺 （ 如 Inter， ATM， Frame Relay等 ） 之上的邏輯網(wǎng)絡(luò) ， 用戶數(shù)據(jù)在邏輯鏈路中傳輸 。 ? TGS用與 AS共享的密鑰 Kt解密票據(jù)后 ， 知道 C已從 AS處得到與自己會話的會話密鑰 Kctgs， 票據(jù)在這里的含義事實上是 “ 使用密鑰的人就是C” 。其認(rèn)證手段得到廣泛應(yīng)用。如果雇員離開公司，則管理員應(yīng)及時把他的賬戶消除， （ 5）可以限制用戶的登錄時間，如只有在工作時間可登錄。 （ 3） 如果訪問是授權(quán)的 ， 安全性系統(tǒng)構(gòu)造一個存取令牌 ，并將它傳回到 Win 32的 WinLogin進(jìn)程 。 ? 這兩種協(xié)議都允許自發(fā)的進(jìn)行商業(yè)交易 ， Secure HTTP和 SSL都使用對稱加密 ， 非對稱加密和單向加密 ， 并使用單向加密的方法對所有的數(shù)據(jù)包簽名 。 3） 發(fā)送者將該會話密鑰和信息進(jìn)行一次單向加密得到一個 HASH值 。 ? 另一方面 ， 當(dāng)發(fā)送的信息變得對其不利時 ， 發(fā)送方就可能謊稱從未發(fā)過這個信息 。 ? 優(yōu)點：由于公鑰是公開的 ， 而私鑰則由用戶自己保存 ， 所以對于非對稱密鑰來說 ，其密鑰管理相對比較簡單 。 （ 備注 NAT） 3. 數(shù)據(jù)加密標(biāo)準(zhǔn) ? DES最著名的對稱加密技術(shù) ， 是 IBM于 70年代為國家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn) 。 ? 雙方必須小心翼翼地保護(hù)密鑰，不讓外人得知。 6 . 傳輸層安全協(xié)議 SSL SSL協(xié)議概述 ? 安全套接層協(xié)議 SSL是在 Inter上提供一種保證私密性的安全協(xié)議 。 ? 一個關(guān)聯(lián)就是發(fā)送與接收者之間的一個單向關(guān)系。 ? 配有 IPSec系統(tǒng)的用戶，通過 ISP獲取安全訪問。 ? 安全協(xié)議有： 1. 認(rèn)證報頭 AH（ Authentication Header),即認(rèn)證協(xié)議。 ? 由于封裝了原數(shù)據(jù)報，新數(shù)據(jù)報的源地址和目標(biāo)地址都與原數(shù)據(jù)報不同，從而增加了安全性。 其結(jié)構(gòu)如下： HTTP SSL更改密碼說明協(xié)議 SSL 握手協(xié)議 TCP IP SSL記錄協(xié)議 SSL協(xié)議棧 SSL 警示協(xié)議 1. SSL記錄協(xié)議 ? SSL記錄協(xié)議可為 SSL連接提供保密性業(yè)務(wù)和消息完整性業(yè)務(wù)。 用該加密方法可以一秒鐘之內(nèi)加密大量的信息 。這一組密鑰中的一個用于加密，另一個用于解密。 通過計算每個文件的數(shù)字指紋 （ 或數(shù)字簽名 ） ， 來檢查文件是否被更換 ， 或者是否與原來的一致 。 一些像 IIS,PGP,SSL,SMIME的應(yīng)用程序都是用對稱密鑰對原始信息加密 ， 再用非對稱密鑰加密所使用的對稱密鑰 ， 最后用一個隨機(jī)碼標(biāo)記信息確保不被篡改 。 7）