【正文】 這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。 按備份時(shí)的數(shù)據(jù)不同可分為完全備份、增量備份、按需備份等。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進(jìn)行有關(guān)交易操作。 聲音圖像： 每個(gè)人各不相同 筆跡或簽名： 字母和符號(hào)的組合 、 簽名時(shí)某些部分用力的大小 、 筆接觸紙的時(shí)間的長短 、 筆移動(dòng)中的停頓等細(xì)微的差別 。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對(duì)用戶資格、權(quán)限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。 DES主要采用替換和移位的方法加密。 在數(shù)據(jù)加密系統(tǒng)中，密鑰控制加密和解密過程，一個(gè)加密系統(tǒng)的全部安全性是基于密鑰的，而不是基于算法，所以加密系統(tǒng)的密鑰管理是一個(gè)非常重要的問題。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。這種方法難度比較大。 無論 IDS工作與否，都不會(huì)影響網(wǎng)絡(luò)的連通性和穩(wěn)定性。 流量處理機(jī)制 過濾。 44 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 基于主機(jī)的 IDS一般監(jiān)視 Windows NT上的系統(tǒng)、事件、安全日志以及 UNIX環(huán)境中的 syslog文件。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，而且知識(shí)庫必須不斷更新。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達(dá)到線性。 29 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 由于針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力，使應(yīng)用代理型防火墻具有了極高的安全性。 通過它可以隔離風(fēng)險(xiǎn)區(qū)域（如 Inter或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（如局域網(wǎng)，也就是內(nèi)部網(wǎng)絡(luò)）的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。 11 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 ISO的網(wǎng)絡(luò)安全體系結(jié)構(gòu)標(biāo)準(zhǔn) 安全體系結(jié)構(gòu)的目的是從技術(shù)上保證安全目標(biāo)全部準(zhǔn)確地實(shí)現(xiàn)，包括確定必要的安全服務(wù)、安全機(jī)制和技術(shù)管理以及它們?cè)谙到y(tǒng)上的配置。 （ 2）網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，如場地環(huán)境保護(hù)、防火措施、靜電防護(hù)、防水、防潮措施、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射等。因此，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的宣傳和教育，學(xué)習(xí)有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和一定的防范技術(shù)，也是保護(hù)網(wǎng)絡(luò)安全的一項(xiàng)重要工作。見下表： 級(jí)別 名稱 特征 A 驗(yàn)證設(shè)計(jì)安全級(jí) 形式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道分析，非形式化的代碼一致性證明 B3 安全域級(jí) 安全內(nèi)核，高抗?jié)B透能力 B2 結(jié)構(gòu)化安全保護(hù)級(jí) 面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析 B1 標(biāo)記安全保護(hù)級(jí) 在 C2安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記（安全和屬性），托管訪問控制 C2 訪問控制環(huán)境保護(hù)級(jí) 訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì) C1 選擇性安全保護(hù)級(jí) 有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶組為單位進(jìn)行保護(hù) D 最低安全保護(hù)級(jí) 保護(hù)措施很少，沒有安全功能 15 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 美國國防部的標(biāo)準(zhǔn)自問世以來，一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的標(biāo)準(zhǔn)。 27 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 簡單包過濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果內(nèi)部網(wǎng)絡(luò)已經(jīng)配有邊界路由器，那么完全沒有必要購買一個(gè)簡單包過濾的防火墻產(chǎn)品。 目前業(yè)界很多優(yōu)秀的防火墻產(chǎn)品采用了狀態(tài)檢測(cè)型的體系結(jié)構(gòu)，比如Check Point的 Firewall1， Cisco的 PIX防火墻， NetScreen防火墻等等。 入侵檢測(cè)是指：“通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖” 。 43 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有： （ 1）成本低?；诰W(wǎng)絡(luò)和基于主機(jī)的IDS都有各自的優(yōu)勢(shì)，兩者可以相互補(bǔ)充。 對(duì)入侵行為的處理 拒絕、報(bào)警、日志記錄。 53 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）網(wǎng)絡(luò)遠(yuǎn)程掃描技術(shù) （ 2） Web網(wǎng)站掃描技術(shù) （ 3）系統(tǒng)安全掃描技術(shù) （ 4）防火墻系統(tǒng)掃描技術(shù) 54 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1） TCP SYN掃描 （ 2） TCP FIN掃描 （ 3） TCP connect()掃描 （ 4） NULL掃描 （ 5） UDP ICMP端口不能到達(dá)掃描 55 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 網(wǎng)絡(luò)監(jiān)聽是管理員為了進(jìn)行網(wǎng)絡(luò)安全管理，利用相應(yīng)的工具軟件監(jiān)聽網(wǎng)絡(luò)的狀態(tài)和數(shù)據(jù)流動(dòng)情況，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況和不安全因素。 63 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 4）網(wǎng)絡(luò)病毒的類型 隨著網(wǎng)絡(luò)越來越發(fā)達(dá)，網(wǎng)絡(luò)病毒的種類也就越來越多，迄今為止計(jì)算機(jī)病毒已有近 9萬種，計(jì)算機(jī)病毒大體上可歸納為以下幾類： ?按照病毒存在的載體分類，一般可分為 4類：導(dǎo)區(qū)病毒、文件型病毒、蠕蟲病毒、混合類的病毒。其中，參數(shù) k稱之為密鑰。但由于其需要很復(fù)雜的數(shù)學(xué)算法，故其加密速度較低。 RSA的理論依據(jù)為：尋找兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則異常困難。消息認(rèn)證也稱為完整性校驗(yàn)，在銀行業(yè)稱為消息認(rèn)證，在 OSI安全模型中稱為封裝。 將被發(fā)送文件采用摘要函數(shù)（ Hash函數(shù)）對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字串，稱為報(bào)文摘要（ Message Digest），不同的報(bào)文所得到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是唯一的。 89 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)備份和數(shù)據(jù)容災(zāi) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由于系統(tǒng)崩潰，黑客入侵以及管理員的誤操作等各種原因會(huì)導(dǎo)致數(shù)據(jù)丟失和損害。按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。 。 （ 2）數(shù)據(jù)容災(zāi)的等級(jí) 第 0級(jí)：本地復(fù)制、本地保存的冷備份 第 1級(jí)：本地復(fù)制、異地保存的冷備份 第 2級(jí)：熱備份站點(diǎn)備份 第 3級(jí)：活動(dòng)互援備份 94 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 3）容災(zāi)系統(tǒng) 一個(gè)完整的容災(zāi)系統(tǒng)包括三部分：本地容災(zāi)、異地容災(zāi)、有效管理機(jī)制。 ? 軟件出版商認(rèn)證：允許 applets或 Active X控件的開發(fā)者公開他們的身份?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名 ,目前主要是基于公鑰密碼體制的數(shù)字簽名。 ? 美國電子簽名標(biāo)準(zhǔn)（ DSS， FIPS1862）對(duì)數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。適用于數(shù)字簽名和密鑰交換。 73 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 對(duì)稱加密的特點(diǎn)： 對(duì)稱加密速度快，但密鑰不便于管理。 69 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 加密過程中的幾個(gè)名詞概念：（密碼學(xué)中的幾個(gè)名詞） （ 1） 明文 ：被變換的信息，其可以是一段有意義的文字或數(shù)據(jù)； （ 2） 密文 ：信息變換后的一串雜亂排列的數(shù)據(jù)，從字面上無任何含義； （ 3） 加密 ：從明文到密文的變換過程為加密； （ 4） 解密 ：將密文還原為明文的變換過程； （ 5） 密鑰 ：對(duì)加密與解密過程進(jìn)行控制的參數(shù)。 61 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 2）網(wǎng)絡(luò)病毒具有以下特點(diǎn)： ?自動(dòng)傳播和主動(dòng)攻擊，如：蠕蟲病毒； ?攻擊系統(tǒng)后門，如：特洛伊木馬； ?多種傳播方式多樣化，如：通過郵件、網(wǎng)絡(luò)共享，利用 IIS、 IE、 SQL的漏洞進(jìn)行傳播等； ?爆發(fā)速度快、影響面廣，如：以郵件為載體進(jìn)行傳播的病毒危害十分巨大； ?來自 Inter網(wǎng)頁的威脅，如：網(wǎng)頁中包含惡意有毒編碼。其中前者基于網(wǎng)絡(luò)，通過請(qǐng)求／應(yīng)答方式遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全漏洞。 可附加模塊 可實(shí)現(xiàn)網(wǎng)絡(luò)層以上加密、應(yīng)用層病毒檢測(cè)、殺毒功能。 （ 5）監(jiān)測(cè)特定主機(jī)系統(tǒng)活動(dòng)。 IDS一般從實(shí)現(xiàn)方式上分為兩種： （ 1）基于主機(jī)的 IDS （ 2）基于網(wǎng)絡(luò)的 IDS 42 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 基于網(wǎng)絡(luò)的 IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用網(wǎng)絡(luò)適配器（探測(cè)器）來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧? 網(wǎng)絡(luò)安全漏洞掃描實(shí)際上是通過模擬網(wǎng)絡(luò)攻擊的方式，提前獲得可能被攻擊的薄弱環(huán)節(jié)，為系統(tǒng)安全提供可信的分析報(bào)告，從而為提高網(wǎng)絡(luò)安全性提供重要的依據(jù)。 前面介紹的簡單包過濾只是一種靜態(tài)包過濾，靜態(tài)包過濾將每個(gè)數(shù)據(jù)包單獨(dú)分析，固定根據(jù)其包頭信息（如源地址、目的地址、端口號(hào)等）進(jìn)行匹配，這種方法在遇到利用動(dòng)態(tài)端口應(yīng)用協(xié)議時(shí)會(huì)發(fā)生困難。 比如：如果防火墻已設(shè)置拒絕 tel連接，這時(shí)當(dāng)數(shù)據(jù)包的目的端口是 23時(shí)，則該數(shù)據(jù)包就會(huì)被丟棄；如果允許進(jìn)行 Web訪問，這時(shí)目的端口為 80時(shí)則數(shù)據(jù)包就會(huì)被放行。 近幾年來，隨著我國信息化建設(shè)的迅猛發(fā)展，國家對(duì)計(jì)算機(jī)信息系統(tǒng)安全問題非常關(guān)注，為此公安部提出并組織制定了強(qiáng)制性國家標(biāo)準(zhǔn) 《 計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布。 3．當(dāng)前，仍有大量網(wǎng)絡(luò)用戶只關(guān)注網(wǎng)絡(luò)系統(tǒng)的功能，而忽視網(wǎng)絡(luò)的安全，往往在碰到網(wǎng)絡(luò)安全事件后，才被動(dòng)地從發(fā)生的現(xiàn)象中注意系統(tǒng)應(yīng)用的安全問題。計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、電子技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)等等多種學(xué)科的綜合性科學(xué)。 1．通過獲取口令，進(jìn)行口令入侵 2．放置特洛伊木馬程序進(jìn)行攻擊 3．拒絕服務(wù)攻擊 4．電子郵件攻擊 5．采取欺騙技術(shù)進(jìn)行攻擊 6．尋找系統(tǒng)漏洞，入侵系統(tǒng) 7．利用緩沖區(qū)溢出攻擊系統(tǒng) 6 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 網(wǎng)絡(luò)安全的重要性 就目前網(wǎng)絡(luò)應(yīng)用和發(fā)展情況來看，計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性具體表現(xiàn)在以下幾個(gè)方面。 1