【正文】 ? ③ 多數(shù)宏病毒包含 AutoOpen、 AutoClose、AutoNew和 AutoExit等自動(dòng)宏，通過這些自動(dòng)宏病毒取得文檔（模板）操作權(quán)。在真正的實(shí)現(xiàn)時(shí)，大多數(shù)情況可以修改 DNS庫(kù)來使用修改的客戶程序代理。 應(yīng)用代理型防火墻 ? 應(yīng)用代理型防火墻是工作在 OSI的最高層，即應(yīng)用層。 ? 僅用一個(gè)放置在內(nèi)部網(wǎng)與因特網(wǎng)邊界上的包過濾路由器就可保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)。 （ 5）核查機(jī)器上的安全保障機(jī)制。根據(jù)各站點(diǎn)的需要和安全規(guī)則，可允許的服務(wù)是以下這些外向服務(wù)中的若干種，如： Tel、 FTP、 WAIS、 Archie、 Gopher或者其他服務(wù)。 ? 防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在因特網(wǎng)上）也能與雙重宿主主機(jī)通信。 報(bào)文摘要 ? 使用一個(gè)單向的哈希（ Hash）函數(shù)，將任意長(zhǎng)的明文轉(zhuǎn)換成一個(gè)固定長(zhǎng)度的比特串，然后僅對(duì)該比特串進(jìn)行加密。 這時(shí) C將 KDC發(fā)給 B的密文和隨后 A發(fā)給 B的報(bào)文復(fù)制了下來，等會(huì)話結(jié)束后， C將這些報(bào)文依次重發(fā)給 B， 而 B無法區(qū)分這是一個(gè)新的指令還是一個(gè)老指令的副本，因此又將相同數(shù)量的金額轉(zhuǎn)至 C的賬上，這個(gè)問題稱為重復(fù)攻擊問題。 RSA算法 參數(shù)計(jì)算： 1. 選擇兩個(gè)大素?cái)?shù) p和 q（典型值為大于 10100）； 2. 計(jì)算 n＝ pq和 z＝（ p－ 1） （ q－ 1） ； 3. 選擇一個(gè)與 z互質(zhì)的數(shù)，令其為 d； 4. 找到一個(gè) e使其滿足 ed=1（ mod z）。只要級(jí)聯(lián)的級(jí)數(shù)足夠大，算法就可以設(shè)計(jì)得非常復(fù)雜。如： 雖然破譯多字母密碼表要困難一些，但如果破譯者手頭有較多的密文，仍然是可以破譯的。 2）采用服務(wù)器備份。 網(wǎng)絡(luò)安全應(yīng)具備四個(gè)特征 ? 保密性 ：信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性； ? 完整性 ：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性； ? 可用性 ：可被授權(quán)實(shí)體訪問并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息，網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊； ? 可控性 ：對(duì)信息的傳播及內(nèi)容具有控制能力。 網(wǎng)絡(luò)安全包括 OSIRM各層 ? 事實(shí)上，每一層都可以采取一定的措施來防止某些類型的網(wǎng)絡(luò)入侵事件，在一定程度上保障數(shù)據(jù)的安全。 ? 管理與記賬類安全：包括安全的策略的管理、實(shí)時(shí)監(jiān)控、報(bào)警以及企業(yè)范圍內(nèi)的集中管理與記賬。 安全的密碼系統(tǒng) 密碼學(xué)的歷史非常悠久，傳統(tǒng)的加密方法可以分成兩類： ? 替代密碼 ? 換位密碼 傳統(tǒng)加密技術(shù) 定義：替代密碼就用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變 。 電路實(shí)現(xiàn) 換位密碼和替代密碼可以用簡(jiǎn)單的電路來實(shí)現(xiàn)。 ? 當(dāng)兩個(gè)完全陌生的用戶 A和 B希望進(jìn)行秘密通信時(shí)，各自可以從公開的文件中查到對(duì)方的加密算法。 ? 在實(shí)際的操作中，除了認(rèn)證對(duì)方的身份外，同時(shí)還要在雙方間建立一個(gè)秘密的會(huì)話密鑰，該會(huì)話密鑰用于對(duì)其后的會(huì)話進(jìn)行加密。 B能記住最近收到的所有報(bào)文編號(hào)，如果 RA和其中的某個(gè)編號(hào)相同，則 P就被當(dāng)成是一個(gè)復(fù)制品而丟棄，另外 B也根據(jù)時(shí)間戳 t丟棄舊報(bào)文，以防止攻擊者經(jīng)過很長(zhǎng)一段時(shí)間后，再用舊報(bào)文來重復(fù)攻擊。 ? 所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。 ? 如果入侵者僅僅侵入到參數(shù)網(wǎng)絡(luò)的堡壘主機(jī)，他只能偷看到參數(shù)網(wǎng)絡(luò)的信息流，看不到內(nèi)部網(wǎng)的信息，而參數(shù)網(wǎng)絡(luò)的信息流僅從參數(shù)網(wǎng)絡(luò)往來于外部網(wǎng)或者從參數(shù)網(wǎng)絡(luò)往來于堡壘主機(jī)。 （ 3）高風(fēng)險(xiǎn)服務(wù)，在使用這些服務(wù)時(shí)無法徹底消除安全隱患；這類服務(wù)一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。 3）從防火墻結(jié)構(gòu)分為：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。 ? [過濾器規(guī)則 2]：允許與郵件網(wǎng)關(guān) MailGW的連接。 簡(jiǎn)單郵件傳輸協(xié)議（ SMTP）的代理特點(diǎn) ? 由于任何一個(gè) SMTP服務(wù)器都有可能為其它站點(diǎn)進(jìn)行郵件轉(zhuǎn)發(fā)，因而很少將它設(shè)置成一個(gè)單獨(dú)的代理。 計(jì)算機(jī)病毒分類 （ 1）文件病毒 （ 2）引導(dǎo)扇區(qū)病毒 （ 3）多裂變病毒 （ 4）秘密病毒 （ 5）變異病毒 （ 6）宏病毒 宏病毒及網(wǎng)絡(luò)病毒 ? 宏病毒 ? 宏是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具。 ? 較為成熟的方案和產(chǎn)品有諾頓多層次病毒防御方案、 KV系列防病毒軟件、金山系列防病毒軟件和瑞星系列防病毒軟件等。 第 10章 網(wǎng)絡(luò)安全 本章內(nèi)容 網(wǎng)絡(luò)安全基本概念 信息安全技術(shù) 防火墻技術(shù) 網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒 ? 什么是計(jì)算機(jī)病毒 ? ? 計(jì)算機(jī)病毒是一種 “計(jì)算機(jī)程序 ”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其他系統(tǒng)。 ? 發(fā)信代理，用于將郵件正確地放入本地主機(jī)郵箱中。在這個(gè)例子中， SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過濾規(guī)則。 防火墻類型 1）從軟、硬件形式上分為：軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 堡壘主機(jī)的安全防護(hù) 堡壘主機(jī)目前一般有以下三種類型： 1. 無路由雙宿主主機(jī) 2. 犧牲主機(jī) 3. 內(nèi)部堡壘主機(jī) 堡壘主機(jī)應(yīng)提供的服務(wù)類型 （ 1）無風(fēng)險(xiǎn)服務(wù)，僅僅通過包過濾便可實(shí)施的服務(wù)。 參數(shù)網(wǎng)絡(luò) ? 參數(shù)網(wǎng)絡(luò)是在內(nèi)外部網(wǎng)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層。 ? 通常，部署防火墻的理由包括： ? 防止入侵者干擾內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行； ? 防止入侵者刪除或修改存儲(chǔ)再內(nèi)部網(wǎng)絡(luò)中的信息； ? 防止入侵者偷竊內(nèi)部的秘密信息。 驗(yàn)證 ? 當(dāng)過后 A試圖否認(rèn)給 B發(fā)過報(bào)文 P時(shí)， B可以出示 KCA（ A， t， P）來證明 A確實(shí)發(fā)過 P， 因?yàn)?B自己無法偽造出KCA（ A， t， P），它是由 CA發(fā)來的，而 CA是可以信賴的，如果 A沒有給 CA發(fā)過 P， CA就不會(huì)將 P發(fā)給 B，這只要用 KCA對(duì) KCA（ A， t， P）進(jìn)行解密，一切就可真相大白。 ? 所幸的是， 300多年來雖然數(shù)學(xué)家們已對(duì)大數(shù)的因式分解問題作了大量研究，但并沒有取得什么進(jìn)展，到目前為止這仍是一個(gè)極其困難的問題。 將解密算法 D作用于密文 E（ P） 后就可獲得明文 P 不可能從 E導(dǎo)出 D 破譯者即使能加密任意數(shù)量的選擇明文，也無法破譯密碼。甚至，在攻擊者即使掌握了加密算法的本身，也會(huì)由于不知道密鑰而得不到明文。 密碼分析問題分類 ? 一個(gè)密碼系統(tǒng)僅能經(jīng)得起 “只有密文 ”的攻擊還不能算是安全的，因?yàn)槠谱g者完全可以從一般的通信規(guī)律中猜測(cè)出一部分的明文，從而就會(huì)擁用一些匹配的明文和密文，這對(duì)破譯工作將大為有用。包括程序開發(fā)運(yùn)行、 I/O、數(shù)據(jù)庫(kù)等的安全。 ? 認(rèn)證分為信息認(rèn)證和用戶認(rèn)證兩個(gè)方面 ? 信息認(rèn)證是指信息從發(fā)送到接收整個(gè)通路中沒有被第三者修改和偽造， ? 用戶認(rèn)證是指用戶雙方都能證實(shí)對(duì)方是這次通信的合法用戶。 （ 2）信息泄露（ Disclosure of Information）： 造成將有價(jià)值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題。 網(wǎng)絡(luò)安全的評(píng)估 ? 網(wǎng)絡(luò)安全評(píng)估是網(wǎng)絡(luò)安全的必不可少的工作，評(píng)估的內(nèi)容有： ? 確定有關(guān)網(wǎng)絡(luò)安全的方案； ? 對(duì)已有的網(wǎng)絡(luò)安全方案進(jìn)行審查； ? 確定與網(wǎng)絡(luò)安全方案有關(guān)的人員，并確定對(duì)網(wǎng)絡(luò)資源可以直接存取的人或單位（部門）； ? 確保所需要的技術(shù)能使網(wǎng)絡(luò)安全方案得以落實(shí)； ? 確定內(nèi)部網(wǎng)絡(luò)的類型 ? 確定接入互聯(lián)網(wǎng)的方式；