《网络管理与网络安全.ppt》由会员分享,可在线阅读,更多相关《网络管理与网络安全.ppt(74页珍藏版)》请在金锄头文库上搜索。
1、网络安全网络安全2024/7/272024/7/27中山大学计算机科学系中山大学计算机科学系网络安全网络安全o信息安全技术概述信息安全技术概述o网络安全问题与安全策略网络安全问题与安全策略o加密技术加密技术o认证技术认证技术o安全技术应用安全技术应用o入侵检测技术与防火墙入侵检测技术与防火墙o计算机病毒问题与防护计算机病毒问题与防护1 信息安全技术概述信息安全技术概述 1.1 信息安全的概念信息安全的概念o指信息网络的硬件、软件以及其系统中的数据受到指信息网络的硬件、软件以及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统
2、连续、可靠、正常地运行,信息服改、泄露,系统连续、可靠、正常地运行,信息服务不中断务不中断 o要实现的目标。要实现的目标。n真实性真实性n保密性保密性n完整性完整性n可用性可用性n不可抵赖性不可抵赖性n可控制性可控制性n可审查性可审查性1.2 信息安全策略信息安全策略 o信息安全策略是指为保证提供一定级别的安信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。全保护所必须遵守的规则。o信息安全的实现要靠先进的技术、严格的安信息安全的实现要靠先进的技术、严格的安全管理、法律约束与安全教育。全管理、法律约束与安全教育。 1.3 信息技术的安全性等级信息技术的安全性等级o网络安全性标准(网
3、络安全性标准(DoD5200.28_STD),即可信任计算机),即可信任计算机标准评估准则。该标准将网络安全性等级划分为标准评估准则。该标准将网络安全性等级划分为A、B、C、D共四类,其中共四类,其中A类安全等级最高,类安全等级最高,D类安全等级最低。这类安全等级最低。这4类安类安全等级还可以细化为全等级还可以细化为7个级别,这些级别的安全性从低到高的个级别,这些级别的安全性从低到高的顺序是顺序是D1、C1、C2、B1、B2、B3和和A1。 1.3 信息技术的安全性等级(续)信息技术的安全性等级(续)o在我国,以在我国,以计算机信息系统安全保护等级计算机信息系统安全保护等级划分原则划分原则(G
4、B17859-1999)为指导,)为指导,将信息和信息系统的安全保护分为将信息和信息系统的安全保护分为5个等级。个等级。n自主保护级自主保护级n指导保护级指导保护级n监督保护级监督保护级n强制保护级强制保护级n专控保护级专控保护级2 网络安全问题与安全策略网络安全问题与安全策略 2.1 网络安全的基本概念网络安全的基本概念 o保护网络程序、数据或设备,使其免受非授权使用或访问保护网络程序、数据或设备,使其免受非授权使用或访问o保护内容包括:保护信息和资源、保护客户机和用户、保证私保护内容包括:保护信息和资源、保护客户机和用户、保证私有性。有性。o目标是确保网络系统的信息安全,主要包括信息的存储
5、安全和目标是确保网络系统的信息安全,主要包括信息的存储安全和信息的传输安全信息的传输安全 n信息的存储安全一般通过设置访问权限、身份识别、局部隔离信息的存储安全一般通过设置访问权限、身份识别、局部隔离等措施来保证。等措施来保证。n信息的传输安全主要是指信息在动态传输过程中的安全,主要信息的传输安全主要是指信息在动态传输过程中的安全,主要涉及到对网络上信息的监听、对用户身份的假冒、对网上信息涉及到对网络上信息的监听、对用户身份的假冒、对网上信息的篡改、对信息进行重放等问题。的篡改、对信息进行重放等问题。 o网络安全措施网络安全措施n社会的法律政策、企业的规章制度以及网络安全教育。社会的法律政策、
6、企业的规章制度以及网络安全教育。n技术方面的措施。技术方面的措施。n审计与管理措施。审计与管理措施。2.2 OSI安全框架安全框架 oOSI安全框架是由国际电信联盟推荐的安全框架是由国际电信联盟推荐的X.800方方案,它主要关注案,它主要关注3部分:部分:n安全攻击安全攻击o在在X.800中将安全攻击分为被动攻击和主动攻击两类中将安全攻击分为被动攻击和主动攻击两类 o从网络高层的角度划分,攻击方法可以分为服务攻击和从网络高层的角度划分,攻击方法可以分为服务攻击和非服务攻击两大类。非服务攻击两大类。 n安全机制安全机制oX.800将安全机制分为特定安全机制和普遍的安全机制将安全机制分为特定安全机
7、制和普遍的安全机制两大类。两大类。 n安全服务安全服务oX.800将安全服务定义为通信开放系统协议层提供的服将安全服务定义为通信开放系统协议层提供的服务,从而保证系统或数据传输有足够的安全性。务,从而保证系统或数据传输有足够的安全性。 被动攻击和主动攻击被动攻击和主动攻击o被动攻击被动攻击n对信息的保密性进行攻击,即通过窃听网络上传输的信对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息并加以分析从而获得有价值的情报,但它并不修改信息的内容息的内容n目标是获得正在传送的信息,其特点是偷听或监视信息目标是获得正在传送的信息,其特点是偷听或监视信息的
8、传递的传递n被动攻击主要手段:被动攻击主要手段:o信息内容泄露:信息在通信过程中因被监视窃听而泄露,信息内容泄露:信息在通信过程中因被监视窃听而泄露,或者信息从电子或机电设备所发出的无线电磁波中被提或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。取出来而泄露。o通信量分析:通过确定通信位置和通信主机的身份,观通信量分析:通过确定通信位置和通信主机的身份,观察交换消息的频度和长度,并利用这些信息来猜测正在察交换消息的频度和长度,并利用这些信息来猜测正在进行的通信特性。进行的通信特性。被动攻击和主动攻击被动攻击和主动攻击o主动攻击主动攻击n攻击信息来源的真实性、信息传输的完整性和系统
9、服务攻击信息来源的真实性、信息传输的完整性和系统服务的可用性的可用性n有意对信息进行修改、插入和删除有意对信息进行修改、插入和删除n主动攻击主要手段:主动攻击主要手段:o假冒:一个实体假装成另一个实体。假冒攻击通常包括假冒:一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。一种其他形式的主动攻击。o重放:涉及被动捕获数据单元及其后来的重新传送,以重放:涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。产生未经授权的效果。o修改消息:改变了真实消息的部分内容,或将消息延迟修改消息:改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。或重新排序,导致未授
10、权的操作。o拒绝服务:禁止通信实体的正常使用或管理。拒绝服务:禁止通信实体的正常使用或管理。服务攻击和非服务攻击服务攻击和非服务攻击o服务攻击服务攻击n针对某种特定网络服务的攻击针对某种特定网络服务的攻击n例如:针对例如:针对E-mail服务、服务、Telnet、FTP、HTTP等服务的专门攻击等服务的专门攻击n原因:原因:TCP/IP协议缺乏认证、保密措施。协议缺乏认证、保密措施。o非服务攻击非服务攻击n不针对某项具体应用服务,而是基于网络层等不针对某项具体应用服务,而是基于网络层等低层协议而进行低层协议而进行n原因:原因:TCP/IP协议(尤其是协议(尤其是IPv4)自身的安)自身的安全机
11、制不足全机制不足2.3 网络安全模型网络安全模型 网络安全模型1网络安全模型23 加密技术加密技术3.1 密码学基本术语密码学基本术语 o明文:原始的消息。明文:原始的消息。o密文:加密后的消息。密文:加密后的消息。o加密:从明文到密文的变换过程。加密:从明文到密文的变换过程。o解密:从密文到明文的变换过程。解密:从密文到明文的变换过程。o密码编辑学:研究各种加密方案的学科。密码编辑学:研究各种加密方案的学科。o密码分析学:研究破译密码获得消息的学科。密码分析学:研究破译密码获得消息的学科。o密码学:密码编码学和密码分析学统称为密码学。密码学:密码编码学和密码分析学统称为密码学。密码编码学密码
12、编码学 o密码编码学系统具有以下密码编码学系统具有以下3个独立特征个独立特征n转换明文为密文的运算类型转换明文为密文的运算类型o所有的加密算法都基于代换和置换两个原理。所有的加密算法都基于代换和置换两个原理。 n所用的密钥数所用的密钥数o如果发送法和接收方使用相同的密钥,这种密码就称为如果发送法和接收方使用相同的密钥,这种密码就称为对称密码、单密钥密码或传统密码;如果收发双方使用对称密码、单密钥密码或传统密码;如果收发双方使用不同的密钥,这种密码就称为非对称密码、双钥密码或不同的密钥,这种密码就称为非对称密码、双钥密码或公钥密码。公钥密码。 n处理明文的方法处理明文的方法o加密算法可以分为分组
13、密码和流密码。分组密码每次处加密算法可以分为分组密码和流密码。分组密码每次处理一个输入分组,相应地输出一个输出分组;而流密码理一个输入分组,相应地输出一个输出分组;而流密码则是连续地处理输入元素,每次输出一个元素。则是连续地处理输入元素,每次输出一个元素。 密码分析学密码分析学 o密码分析学密码分析学n依赖于算法的性质和明文的一般特征或某些明依赖于算法的性质和明文的一般特征或某些明密文对密文对 o穷举攻击穷举攻击 n需要对一条密文尝试所有可能的密钥,直到把需要对一条密文尝试所有可能的密钥,直到把它转化为可读的有意义的明文。它转化为可读的有意义的明文。 o基于密码分析者知道的信息类型,密码攻击基
14、于密码分析者知道的信息类型,密码攻击的类型主要有:惟密文攻击、已知明文攻击、的类型主要有:惟密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、和选择文本选择明文攻击、选择密文攻击、和选择文本攻击。攻击。 加密算法的安全性加密算法的安全性o若一个加密算法能满足以下两个条件之一就若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的:认为该算法是在计算上是安全的:n一是破译的代价超出加密信息本身的价值一是破译的代价超出加密信息本身的价值n二是破译的时间超出了信息的有效期二是破译的时间超出了信息的有效期代换与置换技术代换与置换技术o代换法是将明文字母替换成其他字符、数字代换法是将明文字
15、母替换成其他字符、数字或符号的方法。典型的算法包括或符号的方法。典型的算法包括Caesar密密码、单表代换密码、码、单表代换密码、playfair密码、密码、Hill密密码、多表代换密码以及一次一密等。码、多表代换密码以及一次一密等。 o置换密码的加密方法是通过置换而形成新的置换密码的加密方法是通过置换而形成新的排列。如栅栏技术,按照对角线的顺序写入排列。如栅栏技术,按照对角线的顺序写入明文,而按行的顺序读出作为密文。明文,而按行的顺序读出作为密文。 3.2 对称加密技术对称加密技术 o对称加密的模型对称加密的模型n对称加密模型由对称加密模型由5个组成部分:明文、加密算法、个组成部分:明文、加
16、密算法、密钥、密文和解密算法。密钥、密文和解密算法。 数据加密标准数据加密标准o数据加密标准数据加密标准DESnDES数据加密标准数据加密标准nDES是一种分组密码是一种分组密码o在加密前,先对整个明文进行分组。每一个组长为在加密前,先对整个明文进行分组。每一个组长为64位。然后对每个位。然后对每个64位二进制数据进行加密处理,位二进制数据进行加密处理,产生一组产生一组64位密文数据位密文数据n使用的密钥为使用的密钥为64位,实际密钥长度为位,实际密钥长度为56位,有位,有8位用于奇偶校验。位用于奇偶校验。oDES加密的过程为:加密的过程为:n64位的明文经过初始置换而被重新排列。位的明文经过
17、初始置换而被重新排列。n进行进行16轮的相同函数的作用,每轮的作用中都轮的相同函数的作用,每轮的作用中都有置换和代换,最后一轮迭代的输出有有置换和代换,最后一轮迭代的输出有64位,位,将其左半部分和右半部分互换产生预输出,将其左半部分和右半部分互换产生预输出,n预输出再被与初始置换互逆的逆初始置换作用预输出再被与初始置换互逆的逆初始置换作用产生产生64位的密文。位的密文。其他常用的对称加密算法其他常用的对称加密算法 o目前经常使用的对称加密算法还有:三重目前经常使用的对称加密算法还有:三重DES、高、高级加密标准(级加密标准(AES)、)、Blowfish算法和算法和RC5算法。算法。n 三重
18、三重DES:使用多个密钥对:使用多个密钥对DES进行三次加密,克服进行三次加密,克服了了DES不能抵御穷举攻击的弱点,但该算法用软件实现不能抵御穷举攻击的弱点,但该算法用软件实现起来速度比较慢。起来速度比较慢。n高级加密标准(高级加密标准(AES):):2001年年NIST将将Rijndael作作为为AES算法,它的密钥长度为算法,它的密钥长度为128、192或或256位,分位,分组长度为组长度为128位。位。AES性能不低于性能不低于3DES,同时具有良,同时具有良好的执行性能。好的执行性能。 oBlowfish算法算法n该算法由该算法由Bruce Schneier设计的,是一个可变密设计的
19、,是一个可变密钥长度的分组密码算法,分组长度为钥长度的分组密码算法,分组长度为64位。算法由位。算法由密钥扩展和数据加密两部分组成,密钥扩展把长度密钥扩展和数据加密两部分组成,密钥扩展把长度可达可达448位的密钥转变成总共位的密钥转变成总共4168字节的几个子字节的几个子密钥;数据加密由一个简单函数迭代密钥;数据加密由一个简单函数迭代16轮,每一轮轮,每一轮由密钥相关的置换、密钥相关和数据相关的代换组由密钥相关的置换、密钥相关和数据相关的代换组成。成。 oRC5nRC5的分组长度和密钥长度都是可变的的分组长度和密钥长度都是可变的n可以在速度和安全性之间进行折中可以在速度和安全性之间进行折中3.
20、3 公钥加密公钥加密 o公钥密码体制公钥密码体制o公钥算法依赖于一个加密密钥和一个与之相关的解密密钥。公钥算法依赖于一个加密密钥和一个与之相关的解密密钥。 o公钥加密体制有公钥加密体制有6个组成部分:明文、加密算法、公钥、个组成部分:明文、加密算法、公钥、私钥、密文和解密算法。私钥、密文和解密算法。 3.3 公钥加密公钥加密(续续)o公钥加密的步骤如下:公钥加密的步骤如下:n每个用户都生成一对加密和解密时使用的密钥。每个用户都生成一对加密和解密时使用的密钥。n每个用户都把他的公钥放在一个公共地方,私每个用户都把他的公钥放在一个公共地方,私钥自己妥善保管。钥自己妥善保管。n发送用户要向接收用户发
21、送机密消息,就用接发送用户要向接收用户发送机密消息,就用接收用户的公钥加密消息。收用户的公钥加密消息。n当接收用户收到消息时,可以用自己的私钥进当接收用户收到消息时,可以用自己的私钥进行解密。行解密。公钥密码体制的应用公钥密码体制的应用 o公钥密码体制的应用可分为以下公钥密码体制的应用可分为以下3种:种:n加密加密/解密。解密。n数字签名。发送方利用其私钥对消息数字签名。发送方利用其私钥对消息“签名签名”。n密钥交换密钥交换RSA算法算法 oRSA算法是算法是1978年由年由Rivest、Shamir和和Adleman三个人提出的,被认为是迄今为止理论三个人提出的,被认为是迄今为止理论上最为成
22、熟完善的一种公钥密码体制。上最为成熟完善的一种公钥密码体制。o该体制的构造基于该体制的构造基于Euler定理,它利用了如下的基定理,它利用了如下的基本事实:寻找大素数是相对容易的,而分解两个大本事实:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。素数的积在计算上是不可行的。oRSA算法的安全性建立在难以对大数提取因子的基算法的安全性建立在难以对大数提取因子的基础上。与础上。与DES相比,缺点是加密、解密的速度太慢。相比,缺点是加密、解密的速度太慢。 oRSA是一种分组密码,其明文和密文均是是一种分组密码,其明文和密文均是0至至n-1之间之间的整数(的整数(n的大小为的大小为1
23、024位二进制数或位二进制数或309位十进制位十进制数)。明文以分组为单位进行加密,每个分组的二进数)。明文以分组为单位进行加密,每个分组的二进制值均小于制值均小于n。 o密钥的选取过程如下:密钥的选取过程如下:n选取两个大质数选取两个大质数p和和q。n计算计算n=pq,z=(p-t)()(q-1)。)。n选择小于选择小于n的整数的整数e,并且和,并且和z没有公约数。没有公约数。n找到数找到数d,满足,满足ed-1被被z整除。整除。n公钥是数对(公钥是数对(n,e),私钥是数对(),私钥是数对(n,d)。)。其他的公钥加密算法其他的公钥加密算法 oElgamal公钥体制公钥体制n基于离散对数的
24、公钥密码体制基于离散对数的公钥密码体制n密文不仅信赖于待加密的明文,而且信赖于用密文不仅信赖于待加密的明文,而且信赖于用户选择的随机参数,即使加密相同的明文,得户选择的随机参数,即使加密相同的明文,得到的密文也是不同的。到的密文也是不同的。n加密算法的非确定性加密算法的非确定性o背包公钥体制背包公钥体制n基本原理:背包问题基本原理:背包问题3.4 密钥管理密钥管理 o密钥的分发密钥的分发 n密钥分发中心密钥分发中心(KDC)是一个独立)是一个独立的可信网络实体,是一的可信网络实体,是一个服务器,它同每个注个服务器,它同每个注册用户共享不同的秘密册用户共享不同的秘密对称密钥。对称密钥。KDC知道
25、知道每个用户的秘密密钥,每个用户的秘密密钥,每个用户可以通过这个每个用户可以通过这个秘密密钥同秘密密钥同KDC进行进行安全通信安全通信 密钥的验证密钥的验证 o认证中心(认证中心(CA)用于验证一个公共密钥是否属于)用于验证一个公共密钥是否属于一个特殊实体(一个个人或者网络实体)。一旦一一个特殊实体(一个个人或者网络实体)。一旦一个公共密钥被认证了,那么它就可以从任何地方发个公共密钥被认证了,那么它就可以从任何地方发出,包括一个公共密钥服务器、一个个人网页或者出,包括一个公共密钥服务器、一个个人网页或者一张磁盘。一张磁盘。oCA的主要作用有两个方面。一是验证实体的身份;的主要作用有两个方面。一
26、是验证实体的身份;二是产生一个证书,将这个公共密钥和身份进行绑二是产生一个证书,将这个公共密钥和身份进行绑定,这个证书由定,这个证书由CA进行数字签名。证书中包括公进行数字签名。证书中包括公共密钥和关于公共密钥所有者的全球唯一的标识信共密钥和关于公共密钥所有者的全球唯一的标识信息。息。 4 认证技术认证技术4.1 消息认证消息认证 o1消息认证的概念消息认证的概念n消息认证就是使意定的接收者能够检验收到的消息认证就是使意定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验,它消息是否真实的方法,又称为完整性校验,它在银行业称为消息认证,在在银行业称为消息认证,在OSI安全模型中称安全模
27、型中称为封装。为封装。n消息认证的内容应包括:证实消息的信源和信消息认证的内容应包括:证实消息的信源和信宿;消息内容是否曾经受到偶然或有意地篡改;宿;消息内容是否曾经受到偶然或有意地篡改;消息的序号和时间性是否正确。消息的序号和时间性是否正确。 o2消息认证的消息认证的方法方法 n 认证信息的来源认证信息的来源n 认证信息的完整性认证信息的完整性n 认证信息的序号和时间认证信息的序号和时间o3. 消息认证的模式消息认证的模式n消息认证的模式有消息认证的模式有单向认证单向认证和和双向认证双向认证。在单向认。在单向认证中,由接收者验证发送者的身份和发送消息的完证中,由接收者验证发送者的身份和发送消
28、息的完整性;在双向认证中,接收双方互相确定对方的身整性;在双向认证中,接收双方互相确定对方的身份和发送消息的完整性。份和发送消息的完整性。 o4.认证函数认证函数 n可用做认证的函数有信息加密函数、信息认证码和可用做认证的函数有信息加密函数、信息认证码和散列函数散列函数3种。种。 4.2 数字签名数字签名 o数字签名的需求数字签名的需求n签名必须依赖于要签名报文的比特模式签名必须依赖于要签名报文的比特模式n签名必须使用对发送者来说是唯一的信息,以签名必须使用对发送者来说是唯一的信息,以防伪造和抵赖。防伪造和抵赖。n数字签名的产生必须相对简单。数字签名的产生必须相对简单。n数字签名的识别和证实必
29、须相对简单。数字签名的识别和证实必须相对简单。n伪造数字签名具有很高的计算复杂行。伪造数字签名具有很高的计算复杂行。n保留一个数字签名的备份在存储上现实可行的。保留一个数字签名的备份在存储上现实可行的。 数字签名的创建数字签名的创建 o利用公钥密码体制,数字签名是一个加密的利用公钥密码体制,数字签名是一个加密的消息摘要,附加在消息后面。如果消息摘要,附加在消息后面。如果A想在发想在发给给B的消息中创建一个数字签名,操作过程的消息中创建一个数字签名,操作过程如下:如下:nA创建一个公钥创建一个公钥/私钥对,并将公钥给接收方私钥对,并将公钥给接收方B。nA把消息作为一个单项散列函数的输入,散列函把
30、消息作为一个单项散列函数的输入,散列函数的输出就是消息摘要。数的输出就是消息摘要。nA用私钥加密信息摘要,就得到数字签名。用私钥加密信息摘要,就得到数字签名。 数字签名的验证数字签名的验证 o在接收方,在接收方,B需要遵循以下步骤来验证需要遵循以下步骤来验证A的的数字签名。数字签名。nB把收到的数据分离成消息和数字签名。把收到的数据分离成消息和数字签名。nB使用使用A的公钥对数字签名解密,从而得到消息的公钥对数字签名解密,从而得到消息摘要。摘要。nB把消息作为把消息作为A所使用的相同散列函数的输入,所使用的相同散列函数的输入,得到一个消息摘要。得到一个消息摘要。nB比较这两个信息摘要,看它们是
31、否相互匹配。比较这两个信息摘要,看它们是否相互匹配。4.3 身份认证身份认证 o身份认证又称身份识别,它是通信和数身份认证又称身份识别,它是通信和数据系统中正确识别通信用户或终端身份据系统中正确识别通信用户或终端身份的重要途径。的重要途径。o身份认证的常用方法有身份认证的常用方法有n口令认证口令认证n持证认证持证认证n生物识别生物识别1口令机制口令机制o口令是由数字、字母组成的长为口令是由数字、字母组成的长为58的字符串,有时也包括特的字符串,有时也包括特殊字符和控制字符等。殊字符和控制字符等。 o常用于操作系统登录、常用于操作系统登录、Telnet和和rlogin等等 o口令系统最严重的脆弱
32、点是外部泄露和口令猜测,另外还有线口令系统最严重的脆弱点是外部泄露和口令猜测,另外还有线路窃听、威胁验证者和重放等。路窃听、威胁验证者和重放等。o保护口令措施:保护口令措施:n对用户和系统管理者进行教育,增强他们的安全意识;对用户和系统管理者进行教育,增强他们的安全意识;n建立严格的组织管理办法和执行手续;建立严格的组织管理办法和执行手续;n确保口令必须被定期地改变;确保口令必须被定期地改变;n保证每个口令只与一个人有关;保证每个口令只与一个人有关;n确保口令从来不被再现在终端上;确保口令从来不被再现在终端上;n使用易记的口令。使用易记的口令。1口令机制口令机制o被猜测措施:被猜测措施:n限制
33、非法认证的次数;限制非法认证的次数;n实时延迟插入到口令验证过程实时延迟插入到口令验证过程n阻止一个计算机自动口令猜测程序的生产串阻止一个计算机自动口令猜测程序的生产串n防止太短的口令以及与用户名账户名或用户防止太短的口令以及与用户名账户名或用户特征相关的口令特征相关的口令n确保口令被定期地改变;确保口令被定期地改变;n取消安装系统时所用的预设口令;取消安装系统时所用的预设口令;n使用机器产生的而不是用户选择的口令。使用机器产生的而不是用户选择的口令。o2持证认证持证认证 n持证为个人持有物,如磁卡、智能卡等持证为个人持有物,如磁卡、智能卡等n磁卡常和个人标识号磁卡常和个人标识号PIN一起使用
34、一起使用n智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条,存智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条,存储信息远远大于磁条的储信息远远大于磁条的250字节,且具有处理功能,卡上的字节,且具有处理功能,卡上的处理器有处理器有4K字节的小容量字节的小容量EPROMo3生物识别生物识别 n生物识别依据人类自身所固有的生理或行为特性特征,包括生物识别依据人类自身所固有的生理或行为特性特征,包括指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别以及多种生物特征名识别、笔迹识别、手形识别、步态识别以及多种生
35、物特征融合识别等。融合识别等。 4.4 常用的身份认证协议常用的身份认证协议 o一个安全的身份识别协议至少应满足以下两个条件:一个安全的身份识别协议至少应满足以下两个条件:n识别者识别者A能向验证者能向验证者B证明他的确是证明他的确是A。n在识别者在识别者A向验证者提供了证明他的身份信息后,验证向验证者提供了证明他的身份信息后,验证者者B不能取得不能取得A的任何有用的信息。的任何有用的信息。o目前满足上述条件的协议主要有:目前满足上述条件的协议主要有:n一次一密机制一次一密机制nX.509认证协议认证协议nKerberos认证协议认证协议 o一次一密机制一次一密机制n请求应答机制:用户登录时,
36、系统随即提示一条信息,用户请求应答机制:用户登录时,系统随即提示一条信息,用户根据信息产生一个口令,完成一次登录。根据信息产生一个口令,完成一次登录。n询问应答方式:验证者提出问题,由识别者回答,然后由验询问应答方式:验证者提出问题,由识别者回答,然后由验证者验证其真伪。证者验证其真伪。oX.509认证协议认证协议nX.509定义了一种通过定义了一种通过X.500目录提供认证服务的框架。目录提供认证服务的框架。X.500是对分布式网络中存储用户信息的数据库所提供的目是对分布式网络中存储用户信息的数据库所提供的目录检索服务的协议标准,而录检索服务的协议标准,而X.509是利用公钥加密技术对是利用
37、公钥加密技术对X.500的服务所提供认证服务的协议标准。的服务所提供认证服务的协议标准。oKerberos认证协议认证协议nKerberos基于对称密钥体制,一般采用基于对称密钥体制,一般采用DES,它与网络上,它与网络上的每个实体共享一个不同的密钥,通过是否知道秘密密钥来的每个实体共享一个不同的密钥,通过是否知道秘密密钥来验证身份。验证身份。5 安全技术应用安全技术应用5.1 安全电子邮件安全电子邮件 o1PGPnPGP是是Phil Zimmermann在在1991年提出的一个安全电子年提出的一个安全电子邮件加密方案,它已经成为事实上的标准。邮件加密方案,它已经成为事实上的标准。nPGP的操
38、作由的操作由5种服务组成:鉴别、机密性、压缩、电子邮件种服务组成:鉴别、机密性、压缩、电子邮件的兼容性和分段。的兼容性和分段。nPGP利用了利用了4种类型的密钥:一次性会话的常规密钥、公开密种类型的密钥:一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语的常规密钥。当钥、私有密钥和基于口令短语的常规密钥。当PGP安装之后,安装之后,为用户产生一个公共密钥对,这个密钥可以公布在用户的个人为用户产生一个公共密钥对,这个密钥可以公布在用户的个人网站或者放在公共密钥服务器上。私密密钥用密码进行保护,网站或者放在公共密钥服务器上。私密密钥用密码进行保护,每次用户访问这个密钥的时候必须输入密码。每次用
39、户访问这个密钥的时候必须输入密码。5.1 安全电子邮件安全电子邮件(续续)o2S/MIMES/MIME的功能如下:的功能如下:n加密的数据。对于一个或多个接收者而言,它是由任意加密的数据。对于一个或多个接收者而言,它是由任意类型的加密内容和加密内容的加密密钥组成的。类型的加密内容和加密内容的加密密钥组成的。n签名的数据。通过取得要签名的内容的报文摘要,然后签名的数据。通过取得要签名的内容的报文摘要,然后使用签名者的私钥对该摘要进行加密,形成数字签名。使用签名者的私钥对该摘要进行加密,形成数字签名。n透明签名的数据。签名的数据形成了内容的数字签名。透明签名的数据。签名的数据形成了内容的数字签名。
40、n签名并且加密的数据。只签名和只加密的实体可以递归签名并且加密的数据。只签名和只加密的实体可以递归使用,因此加密的数据可以被签名,签名或透明的签名使用,因此加密的数据可以被签名,签名或透明的签名数据可以被加密。数据可以被加密。5.2 网络层安全网络层安全IPSec oIP安全协议(简称为安全协议(简称为IPSec)是在网络层提供安)是在网络层提供安全的一组协议。在全的一组协议。在IPSec协议族中,有两个主要的协议族中,有两个主要的协议:身份认证头(协议:身份认证头(AH)协议和封装安全负载)协议和封装安全负载(ESP)协议。)协议。nAH协议提供了源身份认证和数据完整性,但是没有提供协议提供
41、了源身份认证和数据完整性,但是没有提供秘密性秘密性nESP协议提供了数据完整性、身份认证和秘密性。协议提供了数据完整性、身份认证和秘密性。 o对于对于AH和和ESP协议,源主机在向目的主机发送安协议,源主机在向目的主机发送安全数据报之前,源主机和网络主机进行握手,并建全数据报之前,源主机和网络主机进行握手,并建立网络层逻辑连接,这个逻辑连接称为安全协定立网络层逻辑连接,这个逻辑连接称为安全协定(SA)。)。SA唯一定义为一个三元组,包括安全协唯一定义为一个三元组,包括安全协议标识符、单工连接的源议标识符、单工连接的源IP地址和称为安全参数地址和称为安全参数索引的索引的32位连接标识符。位连接标
42、识符。 oAH协议协议n在发送数据报时,在发送数据报时,AH头在原有头在原有IP数据报数据和数据报数据和IP头之间。头之间。这样,这样,AH头增加了原有数据字段,被封装为标准的头增加了原有数据字段,被封装为标准的IP数据数据报。在报。在IP头的协议字段,值头的协议字段,值51用来表明数据报包含用来表明数据报包含AH头。头。当目的主机接收到带有当目的主机接收到带有AH头的头的IP数据报后,它确定数据报数据报后,它确定数据报的的SA,通过处理身份验证数据段来验证数据报的完整性。,通过处理身份验证数据段来验证数据报的完整性。oESP协议协议n采用采用ESP协议,源主机可以向目的主机发送安全数据报。安
43、协议,源主机可以向目的主机发送安全数据报。安全数据报是用头部、尾部字段来封装原来的全数据报是用头部、尾部字段来封装原来的IP数据报,然后数据报,然后将封装后的数据插入到将封装后的数据插入到IP数据报的数据字段。对于数据报的数据字段。对于IP数据报数据报头的协议字段,值头的协议字段,值50用来表示数据报包含用来表示数据报包含ESP头和头和ESP尾。尾。5.3 Web安全安全 oWeb所面临的威胁所面临的威胁nWeb服务器安全威胁服务器安全威胁nWeb浏览器安全威胁浏览器安全威胁n及浏览器与服务器之间的网络通信量安全威胁及浏览器与服务器之间的网络通信量安全威胁Web流量安全性方面流量安全性方面oW
44、eb流量安全性方法可以分为网络级、传输级、流量安全性方法可以分为网络级、传输级、应用级。应用级。n网络级。提供网络级。提供Web安全性的一种方法是使用安全性的一种方法是使用IPSec协议。协议。IPSec具有过滤功能,以便仅用具有过滤功能,以便仅用IPSec处理所选的流量。处理所选的流量。n传输级。提供传输级。提供Web安全性的另一个相对通用的解决方法安全性的另一个相对通用的解决方法是在是在TCP上实现安全性。这种方法的例子有安全套接层上实现安全性。这种方法的例子有安全套接层(SSL)和运输层安全()和运输层安全(TLS)的)的Internet SSL标准。标准。n应用级。与应用有关的安全服务
45、被嵌入到特定的应用程应用级。与应用有关的安全服务被嵌入到特定的应用程序中,这种方法的一个重要的例子是安全的电子交易序中,这种方法的一个重要的例子是安全的电子交易(SET)。)。6 入侵检测技术与防火墙入侵检测技术与防火墙 6.1 入侵者入侵者 o入侵者通常是指黑客和解密高手。入侵者大入侵者通常是指黑客和解密高手。入侵者大致分为致分为3类。类。n假冒者:指未经授权使用计算机的人和穿透系假冒者:指未经授权使用计算机的人和穿透系统的存取控制冒用合法账号的人。统的存取控制冒用合法账号的人。n非法者:指未经授权访问数据、程序和资源的非法者:指未经授权访问数据、程序和资源的合法用户;或者已经获得授权访问,
46、但是错误合法用户;或者已经获得授权访问,但是错误使用权限的合法用户。使用权限的合法用户。n秘密用户:夺取系统超级控制并使用这种控制秘密用户:夺取系统超级控制并使用这种控制权逃避审计和访问控制或者抑制审计记录的个权逃避审计和访问控制或者抑制审计记录的个人。人。 6.2 入侵检测技术入侵检测技术 o入侵检测技术可以分为统计异常检测和基于入侵检测技术可以分为统计异常检测和基于规则的检测。规则的检测。n统计异常检测:收集一段时间内合法用户的行统计异常检测:收集一段时间内合法用户的行为,然后用统计测试来观测其行为,判定该行为,然后用统计测试来观测其行为,判定该行为是否是合法用户的行为。为是否是合法用户的
47、行为。n基于规则的检测:包括尝试定义用于确定给定基于规则的检测:包括尝试定义用于确定给定行为是否是入侵者行为的规则集合。行为是否是入侵者行为的规则集合。 审计记录审计记录o入侵检测的一个基础工具是审计记录。用户入侵检测的一个基础工具是审计记录。用户活动的记录应作为入侵检测系统的输入,记活动的记录应作为入侵检测系统的输入,记录的获得有两种方法。录的获得有两种方法。n原有的审计记录:几乎所有的多用户操作系统原有的审计记录:几乎所有的多用户操作系统都有收集用户行为的审计软件,通过这种方法都有收集用户行为的审计软件,通过这种方法获得的审计记录可能没有包含需要的信息。获得的审计记录可能没有包含需要的信息
48、。n专门用于检测的审计记录:可以实现一个收集专门用于检测的审计记录:可以实现一个收集机制来生成只包含入侵检测系统所需信息的审机制来生成只包含入侵检测系统所需信息的审计记录。计记录。统计异常检测统计异常检测 o统计异常检测分为两大类:阈值检测和基于轮廓的统计异常检测分为两大类:阈值检测和基于轮廓的检测。检测。n阈值检测与在一个时间区间内对专门的事件类型的出现阈值检测与在一个时间区间内对专门的事件类型的出现次数有关。如果次数超出了被认为是合理的数值,那么次数有关。如果次数超出了被认为是合理的数值,那么就假定出现了入侵。阈值分析本身效率不高,并且阈值就假定出现了入侵。阈值分析本身效率不高,并且阈值和
49、时间区间必须是提前选定的。和时间区间必须是提前选定的。n基于轮廓的异常检测集中于刻画单独用户或相关用户组基于轮廓的异常检测集中于刻画单独用户或相关用户组的过去行为特性,然后检测出明显的偏差。这种方法的的过去行为特性,然后检测出明显的偏差。这种方法的基础在于对审计记录的分析,入侵检测模型会分析进入基础在于对审计记录的分析,入侵检测模型会分析进入的审计记录以确定与平均行为的偏差。可用于基于轮廓的审计记录以确定与平均行为的偏差。可用于基于轮廓的入侵检测的度量机制有计数器、标准值、间隔定时器、的入侵检测的度量机制有计数器、标准值、间隔定时器、资源利用。利用这些度量机制,可以进行不同的检测来资源利用。利
50、用这些度量机制,可以进行不同的检测来确定当前行为是否在可接受的限度之内。确定当前行为是否在可接受的限度之内。 基于规则的入侵检测基于规则的入侵检测 o基于规则的技术通过观察系统中的事件,应用一个基于规则的技术通过观察系统中的事件,应用一个决定给定活动模式是否可疑的规则集来检测入侵行决定给定活动模式是否可疑的规则集来检测入侵行为,分为为,分为异常检测异常检测和和渗透鉴别渗透鉴别两个方面。两个方面。n基于规则的异常检测方法是基于对过去行为的观察,分基于规则的异常检测方法是基于对过去行为的观察,分析历史的审计记录来识别出使用模式,并自动生成描述析历史的审计记录来识别出使用模式,并自动生成描述那些模式
51、的规则;然后观察当前的行为,每个事务都和那些模式的规则;然后观察当前的行为,每个事务都和规则集相匹配,以确定它是否符合任何观察的历史行为规则集相匹配,以确定它是否符合任何观察的历史行为模式。模式。n基于规则的渗透鉴别采用了基于专家系统技术的方法。基于规则的渗透鉴别采用了基于专家系统技术的方法。这样的系统的关键特征是要使用规则来鉴别已知的渗透,这样的系统的关键特征是要使用规则来鉴别已知的渗透,或利用已知弱点的渗透,也可以定义鉴别可以行为的规或利用已知弱点的渗透,也可以定义鉴别可以行为的规则。这样的规则不是通过对审计记录的自动分析生成的,则。这样的规则不是通过对审计记录的自动分析生成的,而是由而是
52、由“专家专家”生成的。这种方法的强度依赖于在建立生成的。这种方法的强度依赖于在建立规则时所涉及的人的技能。规则时所涉及的人的技能。 分布式入侵检测分布式入侵检测 o分布式入侵检测是要保护局域网内或内部互分布式入侵检测是要保护局域网内或内部互联网络内所有的主机安全。联网络内所有的主机安全。o加利福尼亚大学建立的互联网安全监视器是加利福尼亚大学建立的互联网安全监视器是分布式入侵检测系统的一个很好的例子。分布式入侵检测系统的一个很好的例子。 6.3 防火墙的特性防火墙的特性 o防火墙的定义防火墙的定义n防火墙是指为了增强驻地网的安全性而嵌入到防火墙是指为了增强驻地网的安全性而嵌入到驻地网和驻地网和I
53、nternet之间,从而建立受控制的连之间,从而建立受控制的连接并形成外部安全墙或者说是边界,用来防止接并形成外部安全墙或者说是边界,用来防止驻地网收到来自驻地网收到来自Internet的攻击,并在安全性的攻击,并在安全性将受到影响的地方形成阻塞点。将受到影响的地方形成阻塞点。o防火墙的设计目标防火墙的设计目标n所有从内到外和从外到内的通信量都必须经过防火墙。所有从内到外和从外到内的通信量都必须经过防火墙。n只有被授权的通信才能通过防火墙。只有被授权的通信才能通过防火墙。n防火墙对于渗透是免疫的。防火墙对于渗透是免疫的。6.4 防火墙的分类防火墙的分类o包过滤防火墙包过滤防火墙n在网络层依据系
54、统的过滤规则,对数据包进行选择和过滤,这在网络层依据系统的过滤规则,对数据包进行选择和过滤,这种规则又称为访问控制表(种规则又称为访问控制表(ACLs)n通过检查数据流中的每个数据包的源地址、目标地址、源端口、通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通目的端口及协议状态或它们的组合来确定是否允许该数据包通过过n通常安装在路由器上通常安装在路由器上o应用网关应用网关n也称代理服务器也称代理服务器n在应用层上建立协议过滤和转发功能在应用层上建立协议过滤和转发功能n针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在针对特定的网络
55、应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报过滤的同时,对数据包进行必要的分析、登记和统计,形成报告告n通常安装在专用工作站系统上通常安装在专用工作站系统上4种常用技术种常用技术o防火墙用来控制访问和执行站点安全策防火墙用来控制访问和执行站点安全策略有略有4种常用技术。种常用技术。n服务控制:确定可以访问服务控制:确定可以访问Internet服务服务的类型。的类型。n方向控制:决定哪些特定的方向上服务请方向控制:决定哪些特定的方向上服务请求可以被发起并通过防火墙。求可以被发起并通过防火墙。n用户控制:根据哪个用户尝试访问服务来用户控制:根据哪个
56、用户尝试访问服务来控制对一个服务的访问。控制对一个服务的访问。n行为控制:控制怎样使用特定的服务。行为控制:控制怎样使用特定的服务。防火墙的功能防火墙的功能o防火墙定义了单个阻塞点,通过它就可以把未授权防火墙定义了单个阻塞点,通过它就可以把未授权用户隔离到受保护网络之外,禁止危及安全的服务用户隔离到受保护网络之外,禁止危及安全的服务进入或离开网络,防止各种进入或离开网络,防止各种IP盗用和路由攻击。盗用和路由攻击。o通过防火墙可以监视与安全有关的事件。在防火墙通过防火墙可以监视与安全有关的事件。在防火墙系统中可以采用监听和警报技术。系统中可以采用监听和警报技术。o防火墙可以为几种与安全无关的因
57、特网服务提供方防火墙可以为几种与安全无关的因特网服务提供方便的平台。其中包括网络地址翻译和网络管理功能便的平台。其中包括网络地址翻译和网络管理功能部件,前者把本地地址映射成因特网地址,后者用部件,前者把本地地址映射成因特网地址,后者用来监听或记录因特网的使用情况。来监听或记录因特网的使用情况。o防火墙可以用作防火墙可以用作IPSec平台。平台。6.4 防火墙的分类防火墙的分类 o最常用的防火墙有包过滤路由器、应用级网关和电路级网关。最常用的防火墙有包过滤路由器、应用级网关和电路级网关。o1.包过滤路由器包过滤路由器 n包过滤路由器依据一套规则对收到的包过滤路由器依据一套规则对收到的IP包进行处
58、理,决定是包进行处理,决定是转发还是丢弃。过滤的具体处理方法视数据包所包含的信息而转发还是丢弃。过滤的具体处理方法视数据包所包含的信息而定,如源定,如源IP地址、目的地址、目的IP地址、源和目的传输层地址、地址、源和目的传输层地址、IP协协议域和接口等。议域和接口等。n包过滤器可以看作一个规则表,由规则表和包过滤器可以看作一个规则表,由规则表和IP报头或报头或TCP数数据头内容的匹配情况来执行过滤操作。如果有一条规则与数据据头内容的匹配情况来执行过滤操作。如果有一条规则与数据包的状态匹配,就按照这条规则来执行过滤操作;如果不匹配包的状态匹配,就按照这条规则来执行过滤操作;如果不匹配就执行默认操
59、作。默认的策略有两种:就执行默认操作。默认的策略有两种:n默认丢弃策略:所有未明确允许转发的数据包都被丢弃。默认丢弃策略:所有未明确允许转发的数据包都被丢弃。n默认转发策略:所有未明确规定丢弃的数据包都被转发。默认转发策略:所有未明确规定丢弃的数据包都被转发。o2. 应用级网关应用级网关n应用级网关也称代理服务器,其工作的过程大致为:应用级网关也称代理服务器,其工作的过程大致为:用户使用用户使用Telnet和和FTP之类的之类的TCP/IP应用程序应用程序时,建立一个到网关的连接,网关要求用户出示将时,建立一个到网关的连接,网关要求用户出示将要访问的异地机器的正确名称。若用户给出了一个要访问的
60、异地机器的正确名称。若用户给出了一个有效的用户有效的用户ID和验证信息,网关就建立一个到异地和验证信息,网关就建立一个到异地机器的应用连接,并开始在访问者和被访问者之间机器的应用连接,并开始在访问者和被访问者之间传递包含着应用数据的传递包含着应用数据的TCP数据段。如果网关无法数据段。如果网关无法执行某个应用程序的代理码,服务就无法执行,也执行某个应用程序的代理码,服务就无法执行,也不能通过防火墙发送。不能通过防火墙发送。o3. 电路级网关电路级网关n电路级网关不允许一个端到端的直接电路级网关不允许一个端到端的直接TCP连接,它连接,它由网关建立两个由网关建立两个TCP连接,一个连接网关和网络
61、内连接,一个连接网关和网络内部的部的TCP用户,一个连接网关和网络外部的用户,一个连接网关和网络外部的TCP用用户。连接建立之后,网关就起着一个中继的作用,户。连接建立之后,网关就起着一个中继的作用,将数据段从一个连接转发到另一个连接。它通过决将数据段从一个连接转发到另一个连接。它通过决定哪个连接被允许建立来实现对其安全性的保障。定哪个连接被允许建立来实现对其安全性的保障。7 计算机病毒问题与防护计算机病毒问题与防护 7.1 计算机病毒计算机病毒 o计算机病毒的定义计算机病毒的定义n计算机病毒是一个程序、一段可执行代码,它计算机病毒是一个程序、一段可执行代码,它对计算机的正常使用进行破坏,使得
62、计算机无对计算机的正常使用进行破坏,使得计算机无法正常使用,甚至整个操作系统或硬盘损坏。法正常使用,甚至整个操作系统或硬盘损坏。n计算机病毒不是独立存在的,它隐藏在其他可计算机病毒不是独立存在的,它隐藏在其他可执行的程序之中,既有破坏性,又有被传染性执行的程序之中,既有破坏性,又有被传染性和潜伏性。和潜伏性。n除了复制能力外,某些计算机病毒还有其他一除了复制能力外,某些计算机病毒还有其他一些共同特性:一个被感染的病毒能传送病毒载些共同特性:一个被感染的病毒能传送病毒载体。体。 病毒的生命周期病毒的生命周期o计算机病毒的完整工作过程包括以下计算机病毒的完整工作过程包括以下4个环个环节:节:n潜伏
63、阶段:这一阶段病毒处于休眠状态。病毒潜伏阶段:这一阶段病毒处于休眠状态。病毒要通过某个事件来激发。要通过某个事件来激发。n繁殖阶段:病毒将与自身完全相同的副本放入繁殖阶段:病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域。其他程序或者磁盘上的特定系统区域。n触发阶段:病毒被激活来进行它想要实现的功触发阶段:病毒被激活来进行它想要实现的功能。能。n执行阶段:功能被实现。执行阶段:功能被实现。病毒的结构病毒的结构o病毒可以附加在可执行程序的头部或尾部,或者采病毒可以附加在可执行程序的头部或尾部,或者采用其他方式嵌入。它运行的关键在于被感染的程序,用其他方式嵌入。它运行的关键在于被感染
64、的程序,当被调用时,将首先执行病毒代码,然后再执行程当被调用时,将首先执行病毒代码,然后再执行程序原来的代码。序原来的代码。o一旦病毒通过感染一个程序获得了系统的入口,当一旦病毒通过感染一个程序获得了系统的入口,当被感染的程序执行时,它就处于感染一些或者所有被感染的程序执行时,它就处于感染一些或者所有其他可执行文件的位置。因此通过第一步防止病毒其他可执行文件的位置。因此通过第一步防止病毒获得入口就可以完全避免主要的感染。获得入口就可以完全避免主要的感染。病毒的种类病毒的种类o对于重要的类型病毒有如下分类方法:对于重要的类型病毒有如下分类方法:n寄生病毒:将自己附加到可执行文件中,当执行被感染寄
65、生病毒:将自己附加到可执行文件中,当执行被感染的程序时,通过感染其他可执行文件来重复。的程序时,通过感染其他可执行文件来重复。n存储器驻留病毒:病毒寄宿在主存中,会感染每个执行存储器驻留病毒:病毒寄宿在主存中,会感染每个执行的程序。的程序。n引导区病毒:感染主引导区或者引导记录,当系统从包引导区病毒:感染主引导区或者引导记录,当系统从包含了病毒的磁盘启动时进行传播。含了病毒的磁盘启动时进行传播。n隐形病毒:能够在反病毒软件时隐藏自己。隐形病毒:能够在反病毒软件时隐藏自己。n多态病毒:每次感染时会改变的病毒,不能通过病毒的多态病毒:每次感染时会改变的病毒,不能通过病毒的“签名签名”来检测病毒。来
66、检测病毒。几种常见的病毒几种常见的病毒o宏病毒:利用了在宏病毒:利用了在word和其他办公软件中发现的特征(称为和其他办公软件中发现的特征(称为宏),自动执行的宏使得创建宏病毒成为可能,如打开文件、宏),自动执行的宏使得创建宏病毒成为可能,如打开文件、关闭文件和启动应用程序等。关闭文件和启动应用程序等。o电子邮件病毒:将电子邮件病毒:将Microsoft Word宏嵌入在电子邮件中,一宏嵌入在电子邮件中,一旦接收者打开邮件附件,该旦接收者打开邮件附件,该Word宏就会被激活。宏就会被激活。o特洛伊木马:伪装成一个使用工具或者游戏,诱使用户将其安特洛伊木马:伪装成一个使用工具或者游戏,诱使用户将
67、其安全在全在PC或服务器上,以获得用户的账号和密码等。要注意的是或服务器上,以获得用户的账号和密码等。要注意的是木马程序本质上不能算是一种病毒。木马程序本质上不能算是一种病毒。o计算机蠕虫:通过分布式网络来扩散传播特定信息或错误,破计算机蠕虫:通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络中断的病毒。坏网络中的信息或造成网络中断的病毒。7.2 计算机病毒的防治策略计算机病毒的防治策略 o防治计算机病毒威胁的最好方法是不允许病防治计算机病毒威胁的最好方法是不允许病毒进入系统。通常的防治方法能够完成检测、毒进入系统。通常的防治方法能够完成检测、标识和清除等操作。标识和清除等操作。o目前,可将反病毒软件分为四代:目前,可将反病毒软件分为四代:n第一代:简单的扫描程序。第一代:简单的扫描程序。n第二代:启发式的扫描程序。第二代:启发式的扫描程序。n第三代:行为陷阱。第三代:行为陷阱。n第四代:全方位的保护。第四代:全方位的保护。
