【正文】 ? 隨著計算機網(wǎng)絡(luò)的普及，越來越多的病毒以經(jīng)濟利益為目的，竊取用戶的機密數(shù)據(jù)。很多程序與系統(tǒng)的設(shè)置也存在漏洞，同樣能夠被攻擊者所利用。 ? 在 網(wǎng)絡(luò)通信過程中， 各類安 全技術(shù)必須綜合起來運用，形成完善的安全協(xié)議，才能保證網(wǎng)絡(luò)通信的安全。為解決公鑰的真實性問題，出現(xiàn)了 PKI技術(shù)，公鑰不再單獨保存，而是存儲在數(shù)字證書中。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 國際標準化組織定義了 5大安全服務功能：身份認證服務、數(shù)據(jù)保密服務、數(shù)據(jù)完整性服務、不可否認服務和訪問控制服務。也可以在防火墻上做設(shè)置，阻止目的 IP地址是這些系統(tǒng)IP地址的數(shù)據(jù)通過。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 為阻止外部網(wǎng)絡(luò)對校園網(wǎng)的攻擊，校園網(wǎng)與教育網(wǎng)及公眾網(wǎng)的交界處必須設(shè)置防火墻。 ? （ 5）用戶訪問系統(tǒng)后要留下證據(jù)，以備過后審核 , 這是系統(tǒng)審計方面的要求。 ? （ 4）對一些重要的數(shù)據(jù)和文件要保證其不被篡改，若改動能被檢驗出來，這是數(shù)據(jù)完整性方面的要求。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? （ 3）即使系統(tǒng)管理員打開系統(tǒng)數(shù)據(jù)庫也不能看懂一些關(guān)鍵數(shù)據(jù)，如密碼、用戶重要信息等，這是數(shù)據(jù)保密方面的要求。 ? （ 2）系統(tǒng)資源的訪問權(quán)限按用戶在學校里扮演的角色分配。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 案例解決方案 ? 針對案例需求中開發(fā) Web信息系統(tǒng)的要求，采取的相應策略如下： ? （ 1）只有注冊用戶利用用戶名和口令才能訪問系統(tǒng)。 ? （ 6）計算機中出現(xiàn)不明進程。 ? （ 4）計算機經(jīng)常出現(xiàn)死機或不能正常啟動等現(xiàn)象。 ? （ 2）磁盤的空間突然變小了，或不能識別磁盤設(shè)備。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 計算機病毒防范 ? 兩種手段：一是管理手段，二是技術(shù)手段，二者缺一不可。 ? （ 5）針對性。 ? （ 3）潛伏性。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 計算機病毒一般具有以下特點： ? （ 1）傳染性。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 計算機病毒 ? 計算機病毒概述 ? 計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的定義為：“編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。 ? 應用網(wǎng)關(guān)防火墻的功能強大，例如，應用網(wǎng)關(guān)防火墻可以過濾病毒，像殺毒軟件一樣，防火墻檢查應用層的數(shù)據(jù)是否有病毒特征碼，若有就禁止通過；應用網(wǎng)關(guān)防火墻還可以限制下載文件的大小，使內(nèi)部網(wǎng)絡(luò)用戶不能下載過大的視頻文件。 ? 例如，狀態(tài)過濾防火墻可以實現(xiàn)這樣的功能：只有在內(nèi)部網(wǎng)中的計算機 A向因特網(wǎng)上的計算機 B發(fā)送 UDP報文段后，才允許 B向 A發(fā)送的 UDP報文段進入內(nèi)部網(wǎng)，而分組過濾防火墻無法實現(xiàn)這樣的功能。所以規(guī)則的順序非常重要，錯誤的順序可能使網(wǎng)絡(luò)不能正常工作，或?qū)е聡乐氐陌踩珕栴}。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 使用分組過濾防火墻前，要制定規(guī)則，多條規(guī)則組成一個訪問控制列表 （ Access Control List， ACL）。 ? TCP或 UDP報文段中的源端口號與目的端口號。大多數(shù)分組過濾防火墻只過濾最有用的字段，主要有： ? IP數(shù)據(jù)報中的源 IP地址與目的 IP地址。 Computer works 第 7章 網(wǎng)絡(luò)安全 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 防火墻可以分為 3類：分組過濾防火墻、狀態(tài)過濾防火墻、應用網(wǎng)關(guān)防火墻。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 防火墻的基本工作原理是 過濾經(jīng)過自己的所有數(shù)據(jù) ，符合某些條件的就允許通過，符合另一些條件的則禁止通過。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 防火墻 ? 防火墻概述 ? 防火墻 是設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。很多網(wǎng)站首頁的下面有“ ICP備號”的字樣，如魯 ICP備 08106597號，說明這是非經(jīng)營性互聯(lián)網(wǎng)信息服務，如果有“ ICP證”的字樣，如新浪網(wǎng)站的京 ICP證 000007，說明這是經(jīng)營性互聯(lián)網(wǎng)信息服務。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 2．網(wǎng)絡(luò)安全方面的法律法規(guī) ? 我國已經(jīng)制定了很多網(wǎng)絡(luò)安全方面的法規(guī)。 ? （ 9）服務器上僅安裝必須的軟件，非必需的軟件一律刪除。 ? （ 7）隨時檢查并記錄服務器、網(wǎng)絡(luò)設(shè)備的運行情況。 ? （ 5）各用戶必須管理好自己的口令。 ? （ 3）禁止非工作人員進入重要機房。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)安全管理的通用措施： ? （ 1）制定各類管理制度，并在工作中真正執(zhí)行。 ? （ 11）應急恢復原則。 ? （ 9）分權(quán)制衡原則。 ? （ 7）規(guī)范標準原則。 ? （ 5）立足國內(nèi)原則。 ? （ 3）預防為主原則。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)安全管理 ? 1．網(wǎng)絡(luò)安全管理概述 ? 網(wǎng)絡(luò)安全管理應遵循如下基本原則 ? （ 1）策略指導原則。 ? （ 4）翻垃圾是另一種常用的社會工程攻擊方法。 ? （ 2）社會工程攻擊可以通過電話進行。 分布式拒絕服務攻擊 （ Distributed DoS， DDoS）是在傳統(tǒng)DoS攻擊的基礎(chǔ)上產(chǎn)生的攻擊方式。 DoS攻擊使用過多的請求來耗盡服務器的資源，或發(fā)送惡意數(shù)據(jù)使系統(tǒng)崩潰，從而使合法用戶無法得到服務器的響應。 ? （ 4）密碼盡量定期更換。 ? （ 2）在輸入密碼時，應避免被別人看到。如果使用 awC5$ 8*3Ac/=e等作為密碼，幾乎不可能猜中，但難以記憶。 ? 黑客對于口令的攻擊，通常也是蠻力攻擊。 ? 優(yōu)秀的軟件在安裝時，安裝程序會為每個選項選擇最恰當?shù)哪J配置，使得一個新的系統(tǒng)安裝結(jié)束時，用戶無需干預就處于一個安全的狀態(tài)，這叫做 默認安全 。邊界條件漏洞則主要針對程序中存在的邊界處理不嚴謹?shù)那闆r，其中以緩沖區(qū)溢出漏洞 最為普遍，影響也最為嚴重。 ? 程序漏洞從錯誤類型上看主要包括 流程漏洞 和 邊界條件漏洞 。 ? 另一類攻擊技術(shù)是 竊聽與劫持技術(shù) 。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 黑客攻擊技術(shù)及防范 ? 1．協(xié)議漏洞攻擊 ? 很多網(wǎng)絡(luò)協(xié)議存在嚴重的安全漏洞，黑客可以利用協(xié)議的這些漏洞實現(xiàn)對目標的攻擊。 ? （ 8）盡量避免在網(wǎng)吧等公共場所使用 網(wǎng)上銀行 。 ? （ 6） 安裝殺毒軟件 。 ? （ 4）做好交易記錄，定期查看歷史交易明細、 定期打印網(wǎng)上銀行業(yè)務對賬單 。 ? （ 2）一定要使用 U盾一類的密碼硬件 。 Computer works 第 7章 網(wǎng)絡(luò)安全 黑客攻擊的流程 黑客對攻擊目標實施攻擊的流程大致相同。在很多情況下，根據(jù)源IP地址進行身份認證，這時 X就可以假冒 A非法訪問 S。 因特網(wǎng)的核心協(xié)議是 TCP協(xié)議與 IP協(xié)議，在設(shè)計它們的時候，幾乎沒有考慮安全問題，很容易被攻擊。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)攻擊與防范 ? 在網(wǎng)