计算机网络安全技术第二版

《计算机网络安全技术第二版》由会员分享，可在线阅读，更多相关《计算机网络安全技术第二版（505页珍藏版）》请在金锄头文库上搜索。

1、计计 算算 机机 网网 络络 安安 全全 技技 术术普通高等教育“十一五”国家级规划教材21世纪高职高专新概念教材计算机网络安全技术（第二版） 蔡立军 主编中国水利水电出版社计计 算算 机机 网网 络络 安安 全全 技技 术术第一篇第一篇 安全技术基础安全技术基础第第1章章 计算机网络安全技术概论计算机网络安全技术概论计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l计算机网络安全系统的脆弱性lP2DR安全模型和PDRR网络安全模型lInternet网络体系层次结构、网络安全体系结构框架l5种安全服务和8种安全机制l计算机网络安全的三个层次l可信计算机系统评估标准可信计算机系统

2、评估标准 计计 算算 机机 网网 络络 安安 全全 技技 术术定义定义l从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。l从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算

3、机病毒等。计计 算算 机机 网网 络络 安安 全全 技技 术术1.1计算机网络安全系统的脆弱性l操作系统的安全脆弱性 l网络系统的安全脆弱性网络安全的脆弱性计算机硬件系统的故障 软件本身的“后门” 软件的漏洞 l数据库管理系统的安全脆弱性 l防火墙的局限性 l天灾人祸 有意 无意 l其他方面的原因总之，系统自身的脆弱和不足，是造成计算机网络安全问题总之，系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但系统本身的脆弱性、社会对系统应用的依赖的内部根源。但系统本身的脆弱性、社会对系统应用的依赖性这一矛盾又将促进计算机网络安全技术发展和进步性这一矛盾又将促进计算机网络安全技术发展和进步计

4、计 算算 机机 网网 络络 安安 全全 技技 术术1.2 安全模型l计算机网络系统安全是一个系统工程，必须保证网络设备和各个组件的整体安全性。安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全。在一个特定的时期内，在一定的安全策略下，系统可能是安全的。但是，随着攻击技术的进步、新漏洞的暴露，系统可能会变得不安全了。因此，安全具有动态性，需要适应变化的环境并能做出相应的调整以确保计算机网络系统的安全。计计 算算 机机 网网 络络 安安 全全 技技 术术1.2.1 P2DR安全模型l美国国际互联网安全系统公司（ISS）提出的P2DR安全模型是指：策略（Policy）、防护（Prote

5、ction）、检测（Detection）和响应（Response）。如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术P2DR安全模型描述安全模型描述 l策略策略当设计所涉及的那个系统在进行操作时，必须明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。安全策略一般不作出具体的措施规定，也不确切说明通过何种方式能才够够达到预期的结果，但是应该向系统安全实施者们指出在当前的前提下，什么因素和风险才是最重要的。 l防护防护 系统安全防护网络安全防护信息安全防护 l检测检测 检测是动态响应和加强防护的依据，是强制落实安全

6、策略的工具，通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应 l响应响应 响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时采取有效的处理措施，避免危害进一步扩大，目的是把系统调整到安全状态，或使系统提供正常的服务。通过建立响应机制和紧急响应方案，能够提高快速响应的能力。计计 算算 机机 网网 络络 安安 全全 技技 术术1.2.2 PDRR网络安全模型l网络安全的整个环节可以用一个最常用的安全模型PDRR模型来描述。如图所示。PDRR就是防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）4个

7、英文单词的头一个字符计计 算算 机机 网网 络络 安安 全全 技技 术术lPDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同，不再赘述。最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题：一是对入侵所造成的影响进行评估和系统的重建，二是采取恰当的技术措施。系统的恢复主要有重建系统、通过软件和程序恢复系统等方法。详见本书4.3节。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3 网络安全体系结构l计算机网络安全体系结构是网络安全最高层的抽象描述，在大规模的网络工程建设和管理，以及

8、基于网络的安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性与一致性，降低安全的代价和管理的开销。这样一个安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.1 开放式系统互联参考模型（OSI/RM）（1）层次名 称主 要 功 能功 能 概 述应用样例7应用层 做什么提供（OSI）用户服务，如文件传输、电子邮件、网络管理等Telnet、HTTP6表示层对方看起来像什么实现不同格式和编码之间的交换ASCII、JPEG、EBCDIC5会话层 对方是谁在两个应用进程之间建

9、立和管理不同形式的通信对话。其数据流方向控制模式有三种，即单工、半双工、双工操作系统/应用访问规划4传输层 对方在何处提供传送方式，进行多路利用，实现端点到端点间的数据交换，为会话层实体提供透明的、可靠的数据传输服务TCP、UDP、SPX计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.1 开放式系统互联参考模型（OSI/RM）（2）层次名 称主 要 功 能功 能 概 述应用样例3网络层走哪条路可以到达通过分组交换和路由选择为传输层实体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节，实现数据传输IP、IPX2数据链路层每一步应该怎样走进行二

10、进制数据块传送，并进行差错检测和数据流控制。它分为两个子层，即介质访问控制协议（MAC）和逻辑链路控制协议（LLC）。802.3/802.2、HDLC1物理层对上一层的每一步怎样利用物理传输介质通过机械和电气的互联方式把实体连接起来，让数据流通过EIS/TIA-232 V.35 10BASE5、10BASE2和10BASET计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.2 Internet网络体系层次结构（网络体系层次结构（1）l现在Internet使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组，这四层协议分别是：物理网络接口层协议、网际层协议、传输

11、层协议和应用层协议。TCP/IP模型及所包含的协议、基于TCP/IP协议的Internet与OSI参考模型的体系结构对比如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.2 Internet网络体系层次结构（网络体系层次结构（2）l网络接口层网络接口层定义了Internet与各种物理网络之间的网络接口。该协议层接收上层（IP层）的数据并把它封装成对应的、特定的帧，或者从下层物理网接收数据帧并从帧中提取数据报文，然后提交给IP层。l网际层网际层是网络互联层，负责相邻计算机之间的通信，提供端到端的分组传送、数据分段与组装、路由选择等功能。该层使用的协议有IP、ICMP等。其功能

12、包括三个方面：处理来自传输层的分组发送请求；处理输入数据报文；处理ICMP报文、路由、流控、阻塞等问题 l传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理，该层使用的协议有TCP与UDP。l应用层位于TCP/IP协议的最上层，向用户提供一组应用程序和各种网络服务，比如文件传输、电子邮件等。该层使用的协议很多，主要包括：Telnet、FTP、SMTP、DNS、NFS（实现主机间文件系统的共享）、BOOTP（用于无盘主机的启动）、RPC（实现远程主机的程序运行）、SNMP（实现网络管理的协议）等。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.3 网络安

13、全体系结构框架l对于整个网络安全体系，从不同得层面来看，包含的内容和安全要求不尽相同。从消息的层次来看，主要包括：完整性、保密性、不可否认性从网络层次来看，主要包括：可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。从技术层次上讲，主要包括：数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。从设备层次来看，主要包括：质量保证、设备冗余备份、物理安全等。计计 算算 机机 网网 络络 安安 全全 技技 术术 计算机网络系统的安全空间 l一般把计算机网络安全看成一个由多个安全单元组成的集合。其中，每一个安全单元都是一个整体，包含了多个特性。可以从安全特性的安全问题、系统单元的安全

14、问题以及开放系统互连（ISO/OSI）参考模型结构层次的安全问题等三个主要特性去理解一个安全单元。所以安全单元集合可以用一个三维的安全空间去描述它，如图所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术l1、安全特性的安全问题：安全特性指的是该安全单元能解决什么安全威胁。一般来说，计算机网络的安全威胁主要关心人的恶意行为可能导致的资源（包括信息资源、计算资源、通信资源）被破坏、信息泄漏、篡改、滥用和拒绝服务。l2、OSI参考模型的安全问题：OSI参考模型的每一层都有不同的安全问题。计计 算算 机机 网网 络络 安安 全全 技技 术术3、系统单元的安全问题、系统单元的安全问题 l系统单

15、元的安全问题指的是该安全单元解决什么系统环境的安全问题。对于Internet，可以从四个不同的环境来分析其安全问题。物理环境的安全问题：物理环境是指硬件设备、网络设备等。它包含该特性的安全单元解决物理环境的安全问题。网络系统本身的安全问题：网络系统中的“网络”指的是网络传输，它包含该特性的安全单元解决网络协议所造成的安全问题，一般是指数据在网络上传输的安全威胁。例如加密技术可以解决数据在网络传输的时候的安全问题。“系统”指的是操作系统。它包含该特性的安全单元解决端系统或者中间系统（网桥、路由器等）的操作系统包含的安全问题。一般是指数据和资源在存储时的安全威胁。应用系统的安全问题：应用系统指的是

16、应用程序在操作系统上的开发、安装和运行。它包含该特性的安全单元解决应用程序所包含的安全问题。一般是指数据在操作及资源使用时遇到的安全威胁。网络管理的安全问题：ISO 7498-2制定了有关安全管理的机制，包括安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议及安全机制与服务管理。计计 算算 机机 网网 络络 安安 全全 技技 术术1.4安全服务与安全机制 1.4.1安全服务的基本类型安全服务的基本类型l设计和使用一个安全系统的最终目的，就是设法消除系统中的部分或全部威胁。探明了系统中的威胁，就要根据安全需求和规定的保护级别，选用适当的安全服务来实现安全保护。ISO对O

17、SI规定了五种级别的安全服务：即对象认证、访问控制、数据保密性、数据完整性、防抵赖。有些安全服务几乎可以在OSI所有层中提供。认证安全服务 访问控制安全服务数据保密性安全服务 数据完整性安全服务 防抵赖安全服务计计 算算 机机 网网 络络 安安 全全 技技 术术1认证安全服务l认证安全服务是防止主动攻击的重要措施，这种安全服务提供对通信中的对等实体和数据来源的鉴别，它对于开放系统环境中的各种信息安全有重要的作用。认证就是识别和证实。识别是辨别一个对象的身份，证实是证明该对象的身份就是其声明的身份。OSI环境可提供对等实体认证的安全服务和信源认证的安全服务。对等实体鉴别：这种服务当由（N）层提供

18、时，将使（N+1）实体确信与之打交道的对等实体正是它所需要的（N+1）实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。数据源发鉴别：这种服务当由（N）层提供时，将使（N+1）实体确信数据来源正是所要求的对等（N+1）实体。数据源发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。计计 算算 机机 网网 络络 安安 全全 技技 术术2访问控制安全服务l访问控制安全服务是针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类。其实现机制可以是基于访问控制属性的访问控制表（或访问控制路），或基于“安全标

19、签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。计计 算算 机机 网网 络络 安安 全全 技技 术术3数据保密性安全服务l数据保密性安全服务是针对信息泄露、窃听等被动威胁的防御措施。可细分为：信息保密：保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性这种服务为一次（N）连接上的全部（N）用户数据保证其机密性。无连接机密服务为单个无连接的（N）SDU中的全部（N）用户数据保证其机密性。数据字段保密：保护信息中被选择的部分数据段；这些字段或处于（N）连接

20、的（N）用户数据中，或为单个无连接的（N）SDU中的字段。业务流保密：防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感信息计计 算算 机机 网网 络络 安安 全全 技技 术术4数据完整性安全服务l数据完整性安全服务是针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为：基于连接的数据完整：这种服务为（N）连接上的所有（N）用户数据提供完整性，可以检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重放。同时根据是否提供恢复成完整数据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。基于数据单元的数据完整性：这种服务当由

21、（N）层提供时，对发出请求的（N+l）实体提供数据完整性保证。它是对无连接数据单元逐个进行完整性保护。另外，在一定程度上也能提供对重放数据单元检测。基于字段的数据完整性：这种服务为有连接或无连接通信的数据提供被选字段的完整性服务，通常是确定被选字段是否遭到了篡改。计计 算算 机机 网网 络络 安安 全全 技技 术术5防抵赖安全服务l防抵赖安全服务是针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为：数据源发证明的抗抵赖，它为数据的接收者提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞。交付证明的抗抵赖，它为数据的发送者提供数据交付证据，这

22、将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞。通信双方互不信任，但对第三方（公证方）则绝对信任，于是依靠第三方来证实已发生的操作。计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.2支持安全服务的基本机制l为了实现上述5种安全服务，ISO 7408-2中制定了支持安全服务的8种安全机制，它们分别是：加密机制（Enciphrement Mechanisms）数字签名机制（Digital Signature Mechanisms）访问控制机制（Access Control Mechanisms）数据完整性机制（Data Integrity Mechanisms）鉴别交

23、换机制（Authentication Mechanisms）通信业务填充机制（Traffic Padding Mechanisms）路由控制机制（Routing Control Mechanisms）公证机制（Notarization Mechanisms）l安全机制可以分为两类，一类是与安全服务有关，它们被用来实现安全服务；另一类与管理功能有关，它们被用于加强对安全系统的管理计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.3安全服务和安全机制的关系 机制 服务 数据加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证机制对等实体鉴别访问控制连接的保密性选择字段的保密性业务

24、流安全数据的完整性数据源点鉴别禁止否认服务计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.4 安全服务与网络层次的关系ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能，相应地，在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次认证服务认证服务l物理层不具备认证服务的参数要求；l链路层不具备认证服务的服务和效益要求；l网络层上具备进行网络主机和设备级认证的参数要求，可以满足数据通信对网关的选择的服务要求，同时可以满足网络通信管理信息的来源认证要求；l传输层具备网络通信中系统端

25、口级认证的参数要求，在一个连接的开始前和持续过程中能够提供两个或多个通信实体的进程级认证服务。作为OSI模型中最低的满足端认证参数要求的层次，可以为应用层实体提供认证服务；l应用层可以提供和满足应用实体问的特殊或专项认证服务。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次数据保密服务 l物理层可通过成对插入透明的电气转换设备实现线路信号的保密，通过线路物理特性可提供电磁辐射控制，物理层保密服务相对简单透明，但只能抵抗线路切入攻击。l链路层可以提供相邻的节点问交换数据的保密，从保密作用上看，与物理层一致，与物理层保密服务构成冗余的线路保密服务。l网络层具备建立网络主机和设备及

26、保密服务条件，在网关上可以提供中继式保密机制或分段式保密机制。但这种保密服务精细到主机或网段级，即认为保密服务相关的主机或网关是可信的，提供的保密服务是一致的。l传输层具备建立网络服务端口级的端端交换数据的保密，因而，可以区分不同端口问数据交换保密需求。同时，传输层提供的保密是端端的，传输中间的节点不参与这种数据保密服务。l应用层具备建立应用进程间的交换数据保密服务条件，但也增加了保密服务参数管理复杂性，相对低层保密服务而言，对网络主机的密码算法和密钥管理提出了更高的要求计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次数据完整服务 l物理层没有检测或恢复机制，不具备数据完整服

27、务条件l链路层具备相邻的节点之间的完整服务条件，但对网络上的每个节点增加了系统时空开销，而提供的完整性不是最终意义的完整，所以提供这种服务被认为具备效益条件。l就数据完整性保障而言，网络层与链路层相似，也被认为不具备效益条件。对网络层实体，它们自己产生和管理的网络管理信息的完整服务是必须的，但这种服务是网络层内部的需要，不对高层开放。因而不是我们所指的数据完整服务，更应该作为网络层内部机制处理。l传输层因为提供了真正的端到端的连接，因而，被认为最适宜提供数据完整服务，不过通常传输层提供的数据完整是不具备语义完整服务性能。l应用层可以建立应用实体相关的语义级完整服务。计计 算算 机机 网网 络络

28、 安安 全全 技技 术术1安全服务层次访问控制服务 l物理层和链路层不具备访问控制服务的参数要求，这是因为没有可用于这样一种访问控制机制的端设备。l网络层可以确立网络层实体的标识，如精细到网络设备或主机级访问主体和客体标识，因而，可以驱动基于网络设备、主机、网段或子网的访问控制机制，提供网络层实体访问控制服务。这种服务所控制的对象的粒度是非常粗糙的，它仅在网络层的实体之间有所不同，但正因为如此，其控制和保护的范围也相对广泛。l与网络层道理相同，传输层可提供基于网络服务端口的访问控制机制，控制端到端之间数据共享或设备共享。l应用层能提供应用相关的访问控制服务，将访问控制建立在应用层实体，如应用进

29、程或所代表的用户，将保护精细到具体应用过程中涉及的共享资源。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次抗抵赖服务 l抗抵赖服务必须具备完整的证明信息和公证机制。显然在传输层以下都不具备完整的证明信息交换条件。l抗抵赖服务的证明信息的管理与具体服务项目密切相关，与公证机制相关，因而，传输层本身也难以胜任，通常都建立在应用层之上。计计 算算 机机 网网 络络 安安 全全 技技 术术2网络各层提供的安全服务l通过上述对网络安全服务层次关系的分析得知：某种安全服务只能由ISO/OSI网络7层中的某一（些）特定层有选择的提供，并不是在所有各层都能实现。ISO的开放系统互连参考模型

30、各层上能够提供的安全服务如表所示。l下表说明：Y服务应该作为提供者的一种选项被并进入该层的标准之中。不提供。#就第7层而言，应用进程本身可以提供安全服务。计计 算算 机机 网网 络络 安安 全全 技技 术术服务层1234567#对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性YY无连接完整性YYY抗抵赖，带数据源发证据抗抵赖，带交付证据计计 算算 机机 网网 络络 安安 全全 技技 术术1.5计算机网络安全的三个层次l措施是方针、政策和对策的体现

31、和落实。计算机网络安全的实质就是安全立法、安安全立法、安全技术和安全管理全技术和安全管理的综合实施。l这三个层次体现了安全策略的限制、监视和保障职能。所有计算机用户都要遵循安全对策的一般原则，采取具体的组织技术措施。计计 算算 机机 网网 络络 安安 全全 技技 术术1.5.1安全立法l我国从1994年起制定发布了中华人民共和国计算机信息系统安全保护条例等一系列计算机网络安全方面的法规。这些法规主要涉及到五个方面。计算机网络安全及信息系统安全保护国际联网管理商用密码管理计算机病毒防治安全产品检测与销售计计 算算 机机 网网 络络 安安 全全 技技 术术1.5.2安全技术l安全技术措施是计算机网

32、络安全的重要保证，是方法、工具、设备、手段乃至需求、环境的综合，也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多，尤其是在网络技术高速发展的今天，不仅涉及计算机和外部、外围设备，通信和网络系统实体，还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。本书涉及的安全技术有如下三篇：物理安全技术网络安全技术 信息安全技术 计计 算算 机机 网网 络络 安安 全全 技技 术术1物理安全技术l物理安全

33、的内容包括环境安全、电磁防护、物理隔离等三个方面。主要涉及计算机机房的安全技术要求，计算机的实体访问控制，计算机设备及场地的防火与防水，计算机系统的静电防护，计算机设备及软件、数据的防盗防破坏措施，屏蔽、滤波技术、接地等电磁防护措施，彻底的物理隔离、协议隔离、物理隔离网闸等物理隔离技术。l物理安全技术的具体内容详见本书第2章。计计 算算 机机 网网 络络 安安 全全 技技 术术2网络安全技术l防火墙技术：详见本书第3章。l攻击检测与系统恢复技术：见本书第4章。l访问控制技术：见本书第5章。l网络存储备份技术：见本书第6章。l病毒防治技术：见本书第7章。 计计 算算 机机 网网 络络 安安 全全

34、 技技 术术3信息安全技术l数据库系统安全技术：具体内容见本书第8章。l密码技术：具体内容见本书第9章。l认证技术：见本书第10章。 计计 算算 机机 网网 络络 安安 全全 技技 术术1.5.3安全管理l安全管理作为计算机网络安全的第三个层次，包括从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术，七分管理”，正体现于此。l本书并没有将安全管理单列，而是将安全管理融于安全技术中，安全管理技术的具体内容详见本书2.5节。计计 算算 机机 网网 络络 安安 全

35、全 技技 术术1.6安全技术评估标准l由于计算机网络安全系统及其产品固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准、实行测评和认证制度等方式，对安全产品的研制、生产、销售、使用和进出口实行严格、有效的测试、评估、认证等控制措施。如何评价计算机网络系统的安全性，建立一套完整的、客观的评价准则成了人们关心的热点。l本节先叙述国际上最有影响力的两个安全评估标准，再介绍国内的安全评估标准。 计计 算算 机机 网网 络络 安安 全全 技技 术术1.6.1 可信计算机系统评估标准l1983年美国国防部提出了一套可信计算机系统评估标准（TCSEC，Trusted Comp

36、uter System Evaluation Criteria），将计算机系统的可信程度，即安全等级划分为D、C、B、A四类7级，由低到高。lD级暂时不分子级；C级分为C1和C2两个子级，C2比C1提供更多的保护；B级分为B1、B2和B3共3个子级，由低到高；A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。计计 算算 机机 网网 络络 安安 全全 技技 术术l为了使其中的评价方法适用于网络，美国国家计算机安全中心NCSC从网络的角度解释了可信计算机系统评估标准中的观点，明确了可

37、信计算机系统评估标准中所未涉及到的网络及网络单元的安全特性，并阐述了这些特性是如何与可信计算机系统评估标准的评估相匹配的。见下表。l现在，可信计算机系统评估标准已成为事实上的国际通用标准。计计 算算 机机 网网 络络 安安 全全 技技 术术可信计算机系统评估准则及等级可信计算机系统评估准则及等级 类别安全级别名称主要特征及适用范围AA1可验证的安全设计形式化的最高级描述、验证和隐秘通道分析，非形式化的代码一致证明。用于绝密级BB3安全域机制存取监督，安全内核，高抗渗透能力，即使系统崩溃，也不会泄密。用于绝密、机密级B2结构化安全保护隐秘通道约束，面向安全的体系结构，遵循最小授权原则，较好的抗渗

38、透能力，访问控制保护。用于各级安全保密，实行强制性控制B1标号安全保护除了C2级的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制CC2访问控制保护存取控制以用户为单位，广泛的审计、跟踪，如UNIX、LINUX和Windows NT，主要用于金融C1选择的安全保护有选择的存取控制，用户与数据分离，数据的保护以用户组为单位，早期的UNIX系统属于此类DD最小保护保护措施很少，没有安全功能，如DOS属于此类计计 算算 机机 网网 络络 安安 全全 技技 术术1D级lD级是最低的安全形式，整个计算机是不信任的。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全

39、不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何帐户就可以进入系统，不受任何限制就可以访问限制就可以访问他人的数据文件。l属于这个级别的操作系统有DOS；Windows；Apple的Macintosh System 7.1。计计 算算 机机 网网 络络 安安 全全 技技 术术2C1级lC级有两个安全子级别：C1和C2。lC1级，又称有选择地安全保护或称酌情安全保护（Discretionary Security Protection）系统，它要求系统硬件有一定的安全保护（如硬件有带锁装置，需要钥匙才能使用计算机），用户在使用前必须登

40、记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限等。计计 算算 机机 网网 络络 安安 全全 技技 术术3C2级lC2级又称访问控制保护，能够实现受控安全保护、个人帐户管理、审计和资源隔离。lC2级针对C1级的不足之处增加了几个特性，引进了访问控制环境（用户权限级别）的特性，该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计（Audit），并写入日志当中，如什么时候开机，那个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入

41、系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审核的缺点在于它需要额外的处理器时间和磁盘资源。计计 算算 机机 网网 络络 安安 全全 技技 术术4B1级lB级中有三个级别，B1级即标号安全保护（Labeled Security Protection），是支持多级安全（比如秘密和绝密）的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。即在这一级，对象（如盘区和文件服务器目录）必须在访问控制之下，不允许拥有者更改它们的权限。lB1级安全措施的计算机系统，随着操作系统而定。政府机构和系统安全承包商是B1

42、及计算机系统的主要拥有者。计计 算算 机机 网网 络络 安安 全全 技技 术术5B2级lB2级，又叫做结构保护（Structured Protection），要求计算机系统中所有的对象都加标签，而且给设备（磁盘，磁带和终端）分配单个或多个安全级别。这里提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。计计 算算 机机 网网 络络 安安 全全 技技 术术6B3级lB3级又称安全域级别（Security Domain），使用安装硬件的方式来加强域，例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。B3级可以实现：

43、引用监视器参与所有主体对客体的存取，以保证不存在旁路。审计跟踪能力强，可以提供系统恢复过程。支持安全管理员角色。用户终端必须通过可信通道才能实现对系统的访问防止篡改。计计 算算 机机 网网 络络 安安 全全 技技 术术7A级lA级也称为验证保护级或验证设计（Verity Design），是当前的最高级别，包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。l可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。

44、计计 算算 机机 网网 络络 安安 全全 技技 术术1.6.2 信息系统评估通用准则l从1990年起，国际标准化组织ISO开始制定一个通用的国际安全评价准则，并且由联合技术委员会的第27分会的第3工作组具体负责。国际通用准则（CC）是ISO统一现有多种准则的结果，是目前最全面的评价准则。lCC认为信息技术安全可以通过在开发、评价和使用中所采用的措施来达到。它清楚地提出了对信息技术安全产品和系统的功能需求和保证需求。功能需求定义了必需的安全行为；保证需求是得到用户信任的基础，以保证所宣称的安全措施是有效的并得到了正确的实现。在评估过程中具有信息安全功能的产品和系统被称为评估对象（TOE），如操作

45、系统、计算机网络、分布式系统以及应用等。CC不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全性评估；不专门针对信息技术安全技术物理方面的评估；也不包括密码算法强度等方面的评估。计计 算算 机机 网网 络络 安安 全全 技技 术术CC要点要点 l安全的层次框架：自下而上。l安全环境：使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。l安全目的：对防范威胁、满足所需的组织安全政策和假设声明。l评估对象安全需求：对安全目的的细化，主要是一组对安全功能和保证的技术需求。l评估对象安全规范：对评估对象实际实现或计划实现的定义。l评估对象安全实现：与规范一致的评估对象实际实

46、现。计计 算算 机机 网网 络络 安安 全全 技技 术术1.6.3 安全评估的国内通用准则l信息系统安全划分准则我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。 l信息系统安全有关的标准随着CC标准的不断普及，我国也在2001年发布了GB/T 18336标准，这一标准等同采用ISO/IEC 15408-3：信息技术、安全技术、信息技术安全性评估准则。 计计 算

47、算 机机 网网 络络 安安 全全 技技 术术习题一l简述计算机网络安全的定义。l计算机网络系统的脆弱性主要表现在哪几个方面？试举例说明。l简述P2DR安全模型的涵义。l简述PDRR网络安全模型的涵义。l简述Internet网络体系层次结构。l简述网络安全体系结构框架。lISO对OSI规定了哪5种级别的安全服务？制定了支持安全服务的哪8种安全机制？l试述安全服务和安全机制之间的关系以及安全服务与层的关系。l计算机网络安全的三个层次的具体内容是什么？l简述可信计算机系统评估标准的内容。l简述信息系统评估通用准则、安全评估的国内通用准则的要点。计计 算算 机机 网网 络络 安安 全全 技技 术术第二

48、篇 实体安全防护与安全管理技术第第2章实体安全防护与安全管理技术章实体安全防护与安全管理技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l物理安全的定义、目的和内容l计算机房场地环境的安全要求l电磁干扰及电磁防护的措施，重点关注屏蔽技术和滤波技术l物理隔离技术l计算机网络安全管理的定义、功能、逻辑结构模型。l简单网络管理协议（SNMP）和公共管理信息协议（CMIP）。l计算机网络安全管理的基本原则与工作规范。 计计 算算 机机 网网 络络 安安 全全 技技 术术定义定义l实体安全（Physical Security）又叫物理安全，是保护计算机设备、设施（含网络）免遭地震、水

49、灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全以及实体访问控制和应急处置计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。计计 算算 机机 网网 络络 安安 全全 技技 术术2.1物理安全技术概述l实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏；确保系统有一个良好的电磁兼容工作环境；把有害的攻击隔离。l实体安全的内容主要包括：环境安全电磁防护物理隔离安全管理。计计 算算 机机 网网 络络 安安 全全 技技 术术实体

50、安全的内容实体安全的内容 l环境安全：环境安全：计算机网络通信系统的运行环境应按照国家有关标准设计实施，应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警，以保护系统免受水、火、有害气体、地震、静电的危害。l物理隔离：物理隔离：物理隔离技术就是把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换l电磁防护：电磁防护：计算机网络系统工作时产生的电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成系统信息泄漏。外界的电磁干扰也能使计算机网络系统工作不正常，甚至瘫痪。必须通过屏蔽、隔离、滤波、吸波、接地等措施，提高计算机网络系统的抗干扰能力，

51、使之能抵抗强电磁干扰；同时将计算机的电磁泄漏发射降到最低。l安全管理：安全管理：安全管理包含了二方面的内容：一是对计算机网络系统的管理；二是涉及法规建设，建立、健全各项管理制度等内容的安全管理。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2计算机房场地环境的安全防护2.2.1计算机房场地的安全要求l为保证物理安全，应对计算机及其网络系统的实体访问进行控制。l计算机房的设计应考虑减少无关人员进入机房的机会。同时，计算机房应避免靠近公共区域，避免窗户直接邻街，应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。在一个高大的建筑内，计算机房最好不要建在潮湿的底层，也尽量避

52、免建在顶层，因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个办公室的楼层内，计算机机房应至少占据半层，或靠近一边。这样既便于防护，又利于发生火警时的撤离。l所有进出计算机房的人都必须通过管理人员控制的地点。应有一个对外的接待室，访问人员一般不进入数据区或机房，而在接待室接待。特殊需要进入控制区的，应办理手续。每个访问者和带入、带出的物品都应接受检查。计计 算算 机机 网网 络络 安安 全全 技技 术术机房建筑和结构从安全角度考虑：机房建筑和结构从安全角度考虑： l电梯和楼梯不能直接进入机房。l建筑物周围应有足够亮度的照明设施和防止非法进入的设施。l外部容易接近的进出口应有栅栏或监控措施，而周边

53、应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。l机房进出口须设置应急电话。l机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。l计算机中心周围100m内不能有危险建筑物。l进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。l照明应达到规定标准。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2.2设备防盗措施l早期的防盗，采取增加质量和胶粘的方法，即将设备长久固定或粘接在一个地点。现在某些便携机也采用机壳加锁扣的方法。l国外一家公司发明了一种光纤电缆保护设备。这种方法是将光纤电缆连接到每台重要

54、的设备上，光束沿光纤传输，如果通道受阻，则报警。l一种更方便的防护措施类似于图书馆、超级市场使用的保护系统。每台重要的设备、每个重要存储媒体和硬件贴上特殊标签（如磁性标签），一旦被盗或未被授权携带外出，检测器就会发出报警信号。l视频监视系统是一种更为可靠的防护设备，能对系统运行的外围环境、操作环境实施监控（视）。对重要的机房，还应采取特别的防盗措施，如值班守卫，出入口安装金属防护装置保护安全门、窗户。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2.3机房的三度要求l机房内的空调系统、去湿机、除尘器是保证计算机系统正常运行的重要设备之一。通过这三种设备使机房的三度要求：温度、湿度和洁

55、净度得到保证，l温度：温度：机房温度一般应控制在1822，即（202）。温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。l湿度：湿度：相对湿度过高会使电气部分绝缘性降低，加速金属器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。机房内的相对湿度一般控制在40%60为好，即（5010）。l洁净度：洁净度：清洁度要求机房尘埃颗粒直径小于0.5，平均每升空气含尘量小于1万颗。灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；

56、灰尘还会增加机械磨损，尤其对驱动器和盘片。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2.4防静电措施l静电是由物体间的相互磨擦、接触而产生的。静电产生后，由于它不能泄放而保留在物体内，产生很高的电位（能量不大），而静电放电时发生火花，造成火灾或损坏芯片。计算机信息系统的各个关键电路，诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。这种损坏可能是不知不觉造成的。l机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的

57、专用工作台或重要的操作台应有接地平板。此外，工作人员的服装和鞋最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2.5电 源l电源是计算机网络系统正常工作的重要因素。供电设备容量应有一定的富裕量，所提供的功率一般应是全部设备负载的125。计算机房设备最好是采取专线供电，应与其他电感设备（如马达），以及空调、照明、动力等分开；至少应从变压器单独输出一路给计算机使用。l为保证设备用电质量和用电安全，电源应至少有两路供电，并应有自动转换开关，当一路供电有问题时，可迅速切换到备用线路供电。应安装备用电源

58、，如长时间不间断电源（UPS），停电后可供电8小时或更长时间。关键的设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流，应配备电涌保护器（过压保护器）。为防止保护器的老化、寿命终止或雷击时造成的短路，在电涌保护器的前端应有诸如熔断器等过电流保护装置。计计 算算 机机 网网 络络 安安 全全 技技 术术电源线干扰电源线干扰 l有六类电源线干扰：中断：三相线中任何一相或多相因故障而停止供电为中断，长时间中断即为关闭。异常中断：是指电压连续过载或连续低电压。 电压瞬变：瞬变浪涌是指电压幅值在几个正弦波范围内快速增加或降低.。冲击：冲击又称瞬变脉冲或尖峰电压，它是指在0.5s100

59、s内过高或过低的电压。尖峰一般指瞬时电压超过400V，而下垂电压指瞬时向下的窄脉冲。噪声：电磁干扰EMI（Electromagnetic Interference）是由电源线辐射产生的电磁噪声干扰，射频干扰（RFI）是发射频率30kHz时的电磁干扰。突然失效事件：指由雷击等引起的快速升起的电磁脉冲冲击，致使设备失效。计计 算算 机机 网网 络络 安安 全全 技技 术术保护装置保护装置 l电源保护装置有金属氧化物可变电阻（MOV）、硅雪崩二极管（SAZD）、气体放电管（GDT）、滤波器、电压调整变压器（VRT）和不间断电源（UPS）等。l金属氧化物可变电阻可吸收尖峰和冲击电压，工作时间1s5ns

60、。SAZD和GDT可使浪涌和尖峰电压分流，从而保护电路。SAZD的工作速度快（10-12s），但不能处理大的浪涌；GDT能处理大的浪涌，但工作速度较慢（只能达10-6s）。滤波器通过保护电路使噪声分流并使浪涌衰减。VRT可在秒级进行异常状态保护。UPS可保护系统，避免断电、下跌、下垂、电源故障、供电不足和其他低电压状态的影响。连续工作的UPS可使计算机不受电源线耦合的影响，保护它们避免灾难的干扰。避雷针和浪涌滤波器可帮助抵抗强电磁脉冲。此外，安装设备时应远离建筑的金属结构，以避免雷击影响。计计 算算 机机 网网 络络 安安 全全 技技 术术紧急情况供电紧急情况供电 lUPS：正常供电时，UPS

61、可使交流电源整流并不间断地使电池充电。在断电时，由电池组通过逆变器向机房设备提供交流电。从而有效地保护系统及数据。在特别重要的场合，应考虑此种措施。l应急电源：主要通过汽油机或柴油机带动发电机，在断电时启动，为系统提供较长时间的紧急供电。它需要有自己的燃料支持。应急发电机只对最重要的设备提供支持，包括空调、最必须的计算机、照明灯、报警系统、通信设备等。计计 算算 机机 网网 络络 安安 全全 技技 术术调整电压和紧急开关调整电压和紧急开关 l电源电压波动超过设备安全操作允许的范围时，需要进行电压调整。允许波动的范围通常在5%的范围内。当供电减少或不正常工作时，电压调整设备应能响应1s的电压波动

62、，自动调整电压并连续工作。l如果机房设备直接与电网连接，则要有一个电压调节变压器，以保持电压稳定。这个变压器安装在机房附近时，需要在机房周围设置防火隔离带。l计算机系统的电源开关（主控开关）应安装在计算机主控制开关柜附近。这些开关要清楚地标注出它们的功能。操作者应接受在紧急情况下如何操作它们的训练。计计 算算 机机 网网 络络 安安 全全 技技 术术2.2.6接地与防雷l地线种类保护地：保护地：计算机系统内的所有电气设备，包括辅助设备，外壳均应接地。保护地一般是为大电流泄放而接地。机房内保护地的接地电阻4。 直流地直流地，又称逻辑地，是计算机系统的逻辑参考地，即计算机中数字电路的低电位参考地。

63、直流地的接地电阻一般要求2屏蔽地：屏蔽地：为避免信息处理设备的电磁干扰，防止电磁信息泄漏，重要的设备和重要的机房要采取屏蔽措施，即用金属体来屏蔽设备和整个机房。一般屏蔽地的接地电阻要求4。静电地：静电地：机房内人体本身、人体在机房内的运动、设备的运行等均可能产生静电。将地板金属基体与地线相连，以使设备运行中产生的静电随时泄放掉。雷击地：雷击地：雷电具有很大的能量，雷击产生的瞬态电压可高达10MV以上。单独建设的机房或机房所在的建筑物，必须设置专门的雷击保护地（简称雷击地），以防雷击产生的设备和人身事故。计计 算算 机机 网网 络络 安安 全全 技技 术术接地系统接地系统 l各自独立的接地系统l

64、交、直流分开的接地系统l共地接地系统l直流地、保护地共用地线系统这种接地系统的直流地和保护地共用接地体，屏蔽地、交流地、雷击地单独埋设。它主要考虑，许多计算机系统内部已将直流地和保护地连在一起，对外只有一条引线，在这种情况下，直流地与保护地分开已无实际意义。由于直流地与交流地分开，使计算机系统仍具有较好抗干扰能力。这种接地方式在国内外均有广泛应用。l建筑物内共地系统计计 算算 机机 网网 络络 安安 全全 技技 术术接地体接地体 l通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。l地桩：地桩：垂直打入地下的接地金属棒或金属管，是常用的接地体。它用在土壤层超过3m厚的地方。金属棒的材

65、料为钢或铜，直径一般应为15mm以上。为防止腐蚀、增大接触面积并承受打击力，地桩通常采用较粗的镀锌钢管。l水平栅网：水平栅网：在土质情况较差，特别是岩层接近地表面无法打桩的情况下，可采用水平埋设金属条带、电缆的方法。金属条带应埋在地下0.5m1m深处，水平方向构成星形或栅格网形，在每个交叉处，条带应焊接在一起，且带间距离1m。l金属接地板：金属接地板：将金属板与地面垂直埋在地下，与土壤形成至少0.2m2的双面接触。深度要求在永久性潮土壤以下30cm，一般至少在地下埋1.5m深。金属板的材料通常为铜板，也可分为铁板或钢板。l建筑物基础钢筋建筑物基础钢筋 计计 算算 机机 网网 络络 安安 全全

66、技技 术术2.2.7计算机场地的防火、防水措施l隔离：隔离：建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。 l火灾报警系统：火灾报警系统：在火灾初期就能检测到并及时发出警报。火灾报警系统按传感器的不同，分为烟报警和温度报警两种类型。l灭火设施灭火设施 ：灭火器 ；灭火工具及辅助设备如液压千斤顶、手提式锯、铁锨、镐、榔头、应急灯等。 l管理措施：管理措施：机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。如电源线路要经常检查是否有短路处，防止出现火花引起火灾。要制定灭火的应急计划并对所属人员进行培训。此外，还应定期对防

67、火设施和工作人员的掌握情况进行测试。计计 算算 机机 网网 络络 安安 全全 技技 术术2.3电磁防护l计算机及网络系统和其它电子设备一样，工作时要产生电磁发射，电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成系统信息泄漏。另一方面，计算机及网络系统又处在复杂的电磁干扰的环境中，这种电磁干扰有时很强（如电子战中的强电磁干扰或核辐射脉冲干扰），使计算机及网络系统不能正常工作，甚至被摧毁。l电磁防护的主要目的是通过屏蔽、隔离、滤波、吸波、接地等措施，提高计算机及网络系统、其它电子设备的抗干扰能力，使之能抵抗强电磁干扰；同时将计算机的电磁泄漏发射降到最低。从而在未来的电子战、信息战中、商战中

68、立于不败之地。计计 算算 机机 网网 络络 安安 全全 技技 术术2.3.1 电磁干扰l电磁干扰的分类：在一个系统内，两个或两个以上电子元器件处于同一环境时，就会产生电磁干扰。电磁干扰是电子设备或通信设备中最主要的干扰。按干扰的耦合方式不同，可将电磁干扰分为传导干扰和可将电磁干扰分为传导干扰和辐射干扰两类。辐射干扰两类。计计 算算 机机 网网 络络 安安 全全 技技 术术传导干扰传导干扰 l传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。 l公共阻抗有各种形式，一般可分为阻性干扰、感性和容性干扰。如图（1）所示，两台设备（R1、R2）采用共用电源供电，每台设备负载的变化都会

69、引起电流的变化，进而引起另一台设备供电的变化，相当于通过阻抗将干扰传至另一台设备。l又如，两条平行导线a、b相距很近时，如图（2）所示，一条导线上的电流变化会产生交变磁场，交变磁场又会在另一条导线上产生感应电流，这是通过互感耦合引起的干扰，也称为感性干扰。同样，两根导线间有容抗存在，由于电位差的影响，经电容耦合到另一条导线而产生的干扰，称为容性干扰。 计计 算算 机机 网网 络络 安安 全全 技技 术术计计 算算 机机 网网 络络 安安 全全 技技 术术辐射干扰辐射干扰 l辐射干扰是通过介质以电磁场的形式传播的干扰。辐射电磁场从辐射源通过天线效应向空间辐射电磁波，按照波的规律向空间传播，被干扰

70、电路经耦合将干扰引入到电路中来。辐射干扰源可以是载流导线，如信号线、电源线等，也可为芯片、电路等。l当干扰源靠近被干扰电路，两者的距离为小于/2（为干扰波长）的近场时，干扰通过电感或电容耦合而引入。这时可通过上述的感性、容性传导耦合干扰来分析，分析时可忽略相位差的影响。l当干扰源与被干扰电路相距较远，两者距离为大于2的远场时，电磁能量通过空间传播，称为电磁辐射。在分析时要考虑相位差的影响。l总之，传导干扰和辐射干扰主要取决于干扰源的频率（频率对应着波长）。低频时，/2较大，干扰往往属于传导耦合；高频时，/2较小，干扰往往属于电磁辐射。例如，频率为30MHz，距离大于2m时，其干扰均为电磁辐射。

71、计计 算算 机机 网网 络络 安安 全全 技技 术术电磁干扰的危害电磁干扰的危害 l计算机电磁辐射的危害信息泄漏防护技术（TEMPEST技术）。lTEMPEST技术是综合性的技术，包括泄漏信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术，涉及到多个学科领域。它基本上是在传统的电磁兼容理论基础上发展起来的，但比传统的抑制电磁干扰的要求要高得多，技术实现上也更为复杂。抑制和防止电磁泄漏现已成为物理安全策略的一个主要问题。 计计 算算 机机 网网 络络 安安 全全 技技 术术外部电磁场对计算机正常工作的影响外部电磁场对计算机正常工作的影响 l磁场感应：对于磁场，根据法拉第电磁感应定律

72、，感应环在变化的磁场中产生的感应电压正比于通过导体环路中总磁通量的时间变化速率。假设有一个圆形环路，电磁脉冲为均匀的平面波，其变化磁场的方向相对于环路平面成夹角，则环中产生的等效电压为： l电场感应：对于电场，一个小的电偶极子对辐射的电磁脉冲的响应与磁环路类似，如图2.2所示。对于一个长度为l的阻性负载电偶极子（导线），电场与它的夹角为，则对于大负载电阻，近似的感应电压为计计 算算 机机 网网 络络 安安 全全 技技 术术2.3.2 电磁防护的措施l目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护

73、，这类防护措施又可分为以下两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。l为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。计计 算算 机机 网网 络络 安安 全全 技技 术术屏蔽屏蔽 l屏蔽可以有效地抑制电磁信息向外泄漏，衰减外界强电磁干扰，保护内部的设备、器件或电路，使其能在恶劣的电磁环境

74、下正常工作。屏蔽体一般是用导电和导磁性能较好的金属板制成。正确设计的屏蔽体，配合滤吸、隔离、接地等技术措施，可以达到80db以上的屏蔽效能（频率范围为10KHz10000MHz）。l屏蔽的三种类型：电屏蔽：电屏蔽：电屏蔽是将电子元器件或设备用金属屏蔽层包封起来，避免它们之间通过耦合引起干扰而采取的措施。磁屏蔽：磁屏蔽：磁屏蔽是采用导磁性好的材料包封起被屏蔽物，为屏蔽体内外的磁场提供低磁阻的通路来分流磁场，避免磁场干扰，抑制磁场辐射。电磁屏蔽：电磁屏蔽：电磁屏蔽是对电磁场进行屏蔽。因为电场和磁场一般不孤立存在，所以这也是主要的屏蔽措施。平时所说屏蔽，一般指电磁屏蔽。计计 算算 机机 网网 络络

75、安安 全全 技技 术术屏蔽效能屏蔽效能 屏蔽体的屏蔽效能可用屏蔽前后空间同一点处电磁场的衰减程度确定。如图2.3所示，空间中的P点在屏蔽前电场强度为E1（或磁场强度H1），采用屏蔽后，对同一点的测量值为E2（或H2），则屏蔽效能SE为：由于这个比值范围很大，表达很不方便，故实际应用中常采用分贝（db）来表示屏蔽效能：计计 算算 机机 网网 络络 安安 全全 技技 术术式中SEP点的屏蔽效能（db）E1P点无屏蔽时的电场强度E2P点屏蔽后的电场强度H1P点无屏蔽时的磁场强度H2P点屏蔽后的磁场强度计计 算算 机机 网网 络络 安安 全全 技技 术术几种特殊的屏蔽措施几种特殊的屏蔽措施 l金属板屏

76、蔽 l金属栅网屏蔽：金属板制作的屏蔽体可以获得理想的屏蔽效能，但许多场合不能用金属板做屏蔽材料，如需要透光、通风和需柔性安装、折叠运输的特殊场合，需要采用柔性金属栅网做屏蔽体。一般来说，金属栅网做屏蔽体对电磁波的衰减作用比金属板要差得多。因为金属丝很细，又充满孔洞，金属网的屏蔽作用主要是反射损耗。试验表明，孔越多，孔的面积越大，所起的屏蔽作用越小。 l多层屏蔽：多层屏蔽是为了得到更好的屏蔽效能而采取的措施。有时需要对电场和磁场两者都有较好的防护，有时需要柔性屏蔽，但单层金属栅网的屏蔽效能又不能满足要求。在这些特殊情况下，采用双层或多层屏蔽材料做屏蔽体，可得到更好的效果。 l薄膜屏蔽：在不便构造

77、屏蔽室的场合可采用金属箔粘贴方式屏蔽；还可采用喷涂的方式在基体上覆盖一层薄金属涂层起到吸波、屏蔽作用；为防射频辐射，可采用金属薄膜包装材料，在运输和储存期间保护重要的电子媒体和电子器件等。计计 算算 机机 网网 络络 安安 全全 技技 术术滤波技术滤波技术 l滤波器是由电阻、电容、电感等器件构成的一种无源网络，它可让一定频率范围内的电信号通过而阻止其他频率的电信号，从而起到滤波作用。在有导线连接或阻抗耦合的情况下，进出线采用滤波器可阻止强干扰。从限制带宽的种类看，滤波器可分为低通、带通和高通滤波器，其中使用较多的是低通滤波器。l最简单的低通滤波器是由电感或电容组成。将电阻、电容、电感一起使用，

78、可构成性能更好的型、型和T型低通滤波器。计计 算算 机机 网网 络络 安安 全全 技技 术术滤波器的主要技术指标滤波器的主要技术指标l滤波器的主要技术指标有：频率特性额定电压额定电流绝缘电阻计计 算算 机机 网网 络络 安安 全全 技技 术术电磁防护的其他措施电磁防护的其他措施 l接地：接地对电磁兼容来说十分重要，它不仅可起到保护作用，而且可使屏蔽体、滤波器等集聚的电荷迅速排放到大地，从而减小干扰。作为电磁兼容要求的地线最好单独埋放，对其地阻、接地点等均有很高的要求。l可在电缆入口处增加一个浪涌抑制器。这种浪涌抑制器与地线直接连接，平时阻抗很高，与大地绝缘，电缆通过它正常地向计算机传输动力或信

79、号。一旦强电磁脉冲到来，浪涌抑制器自动变为低阻抗，使电磁能量泄放到大地。l除此之外，还应尽量减小天线和连接电缆长度，尽量减少感应环路面积，从而降低感应电压。可采取绞扭信号线、导线贴近地面等措施。由于电子性能灵敏的器件更易受瞬时感应电压的影响，在电路设计时，如果不灵敏的器件可满足功能要求，就尽量采用不太灵敏器件，而必须采用的灵敏器件要采取屏蔽、浪涌保护等措施。计计 算算 机机 网网 络络 安安 全全 技技 术术2.4 物理隔离技术l我国2000年1月1日起实施的计算机信息系统国际联网保密管理规定第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接

80、，必须实行物理隔离”。因此，“物理隔离技术”应运而生。l物理隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。物理隔离技术是在原有安全技术的基础上发展起来的、一种全新的安全防护技术。计计 算算 机机 网网 络络 安安 全全 技技 术术2.4.1 物理隔离的安全要求l物理隔离，在安全上的要求主要有三点：在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。在物理存储上隔断两个网络环境，对于断

81、电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储。计计 算算 机机 网网 络络 安安 全全 技技 术术2.4.2 物理隔离技术的发展历程l第一阶段彻底的物理隔离利用物理隔离卡、安全隔离计算机和隔离集线器（交换机）所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要分时访问两个不同的、物理隔离的网络的应用环境。 l第二阶段协议隔离 协议隔离是采用专用协议（非公共协议）来对两个网络进行隔离，并在此基础上实

82、现两个网络之间的信息交换。协议隔离技术由于存在直接的物理和逻辑连接，仍然是数据包的转发，一些攻击依然出现。 l第三阶段物理隔离网闸技术 能够实现高速的网络隔离，高效的内外网数据交换，且应用支持做到全透明。它创建一个这样的环境：内、外网络在物理上断开，但却逻辑地相连，通过分时操作来实现两个网络之间更安全的信息交换。该技术在国外称之为Gap Technology，意为物理隔离。 计计 算算 机机 网网 络络 安安 全全 技技 术术技术手段优 点缺 点典型产品彻底的物理隔离能够抵御所有的网络攻击两个网络之间没有信息交流联想网御物理隔离卡、开天双网安全电脑以及伟思网络安全隔离集线器协议隔离 能抵御基于

83、TCP/IP协议的网络扫描与攻击等行为有些攻击可穿越网络京泰安全信息交流系统2.0、东方DF-NS310物理隔离网关物理隔离网闸不但实现了高速的数据交换，还有效地杜绝了基于网络的攻击行为应用种类受到限制伟思ViGAP、天行安全隔离网闸(TopWalk-GAP)和联想网御SIS3000系列安全隔离网闸计计 算算 机机 网网 络络 安安 全全 技技 术术2.4.3 物理隔离的性能要求l任何安全都是有代价的，由于物理隔离导致的使用不方便、内外数据交换不方便是难以避免的。但物理隔离技术应该做到以下几点，才能满足市场的需求。高度安全：物理隔离要从物理链路上切断网络连接，才能有别于“软”安全技术，达到一个

84、更高的安全层次。较低成本：如果物理隔离的成本超过了两套网络的建设费用，那么相当程度上就失去了意义。容易部署：这和降低成本是相辅相成的。操作简单：物理隔离技术应用的对象是普通的工作人员，因此，客户端的操作要简单，用户才能方便的使用。计计 算算 机机 网网 络络 安安 全全 技技 术术2.5 安全管理2.5.1 安全管理概述l定义：安全管理是指计算机网络的系统管理。包括了应用管理、可用性管理、性能管理、服务管理、系统管理、存储/数据管理等内容。所以，安全管理功能可概括为OAMP，即计算机网络的运行（Operation）、处理（Administration）、维护（Maintenance）、服务提供

85、（Provisioning）等所需要的各种活动。有时也考虑前三种，即把安全管理功能归结为OAM。l计算机网络安全管理的主要功能：国际标准化组织（ISO）在ISO/IEC 7498-4文档中定义了开放系统的计算机网络管理的五大功能，它们是：故障管理功能，配置管故障管理功能，配置管理功能，性能管理功能，理功能，性能管理功能，安全管理功能和计费管安全管理功能和计费管理功能。理功能。其他一些管理功能，比如网络规划、网络管理者的管理等均不在这五个功能之内。 计计 算算 机机 网网 络络 安安 全全 技技 术术故障管理故障管理 l故障管理（Fault Management）是网络管理中最基本的功能之一，即

86、对网络非正常的操作引起的故障进行检查、诊断和排除。保证网络能够提供连续、可靠的服务。它的功能包括：检测被管对象的差错，或接收被管对象的错误检测报告并做出响应；当存在空闲设备或迂回路由时，提供新的网络资源用于服务；创建和维护差错日志库，并对差错日志进行分析；进行诊断和测试，以追踪和确定故障位置、故障性质；纠正错误：通过资源更换或维护，以及其他恢复措施使其重新开始服务。l故障管理功能是利用标准协议SNMP和RMON来实现的。计计 算算 机机 网网 络络 安安 全全 技技 术术配置管理配置管理 l配置管理（Configuration Management）就是定义、收集、监测和管理系统的配置参数，使

87、得网络性能达到最优。配置参数包括（但不局限于）设备资源、它们的容量和属性，以及它们之间的关系。 l配置管理需要进行的操作内容包括：鉴别被管对象，标识被管对象；设置被管对象的参数，如初始化被管对象，路由操作的参数；改变被管对象的操作特性，报告被管对象的状态变化；关闭、删除被管对象。l配置管理的目的是为了随时了解系统网络的拓扑结构以及所交换的信息，包括连接前静态设定的和连接后动态更新的；实现某个特定功能或使网络性能达到最佳。计计 算算 机机 网网 络络 安安 全全 技技 术术性能管理性能管理 l性能管理（Performance Management）用于收集分析有关被管网络当前状况的数据信息，并维

88、持和分析性能日志。典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少网络资源和具有最少时延。l功能包括：收集和分发、统计与性能有关的数据信息；维护系统性能的历史记录；模拟各种操作的系统模型；分析当前统计数据，以检测性能故障，产生性能告警、报告性能事件；确定自然和人工状况下系统的性能；改变系统操作模式以进行系统性能管理的操作。计计 算算 机机 网网 络络 安安 全全 技技 术术安全管理安全管理 l安全管理（Security Management）是指监视、审查和控制用户对网络的访问，并产生

89、安全日志，以保证合法用户对网络的访问。在内联网中，安全管理一般是由专门的软件分担，如防火墙软件。l网络安全管理应包括对授权机制、访问控制、加密和密钥的管理，另外还要维护和检查安全日志。安全管理的功能包括：支持安全服务。维护安全日志。向其他开放系统分发有关安全方面的信息和相关事件的通报。创建、删除、控制安全服务和机制。 计计 算算 机机 网网 络络 安安 全全 技技 术术计费管理计费管理 l计费管理（Accounting Management）记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规定用户可

90、使用的最大费用，从而控制用户过多占用和使用网络资源。计费管理功能应包括：统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率；设置计费的阀值点：根据用户使用的特定业务在若干用户之间公平、合理地分摊费用；通知用户使用费用或使用的资源，允许采用信用记帐方式收取费用，包括提供有关资源使用的帐单审查；当用户使用多种资源时，将有关的费用综合在一起。计计 算算 机机 网网 络络 安安 全全 技技 术术三维管理空间三维管理空间 计计 算算 机机 网网 络络 安安 全全 技技 术术2.5.2 计算机网络管理系统的逻辑结构模型l计算机网络管理系统逻辑模型 计计 算算 机机 网网 络络 安安 全

91、全 技技 术术OSI网络管理结构模型网络管理结构模型 计计 算算 机机 网网 络络 安安 全全 技技 术术Internet网络管理逻辑模型网络管理逻辑模型 计计 算算 机机 网网 络络 安安 全全 技技 术术网络管理系统的基本模型网络管理系统的基本模型 计计 算算 机机 网网 络络 安安 全全 技技 术术2.5.3 安全管理协议：SNMP和CMIPl在网络管理系统的四个组成部分中，网络管理协议最重要。它定义了网络管理器与被管代理间的通信方法，规定了管理信息库的存储结构，信息库中关键字的含义以及各种事件的处理方法。l目前最有影响的网络管理协议是SNMP和CMIS/CMIP，它们也代表了目前两大网

92、络管理解决方案。计计 算算 机机 网网 络络 安安 全全 技技 术术简单网络管理协议（简单网络管理协议（SNMP） l简单网络管理协议，是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议，而且是TCP/IP协议族的一部分，工作于用户数据报文协议（UDP）上。SNMP已发展成为各种网络及网络设备的网络管理协议标准。lSNMP发展简史如下：1990年，SNMPv1（RFC1157）和MIBv1（RFC1156）；1996年，SNMPv2（RFC1905）和MIBv2（RFC1904）；1998年，SNMPv3（RFC2273）和MIBv3（RFC2

93、272）。计计 算算 机机 网网 络络 安安 全全 技技 术术SNMP的管理结构模型的管理结构模型 lSNMP主要用于OSI七层模型中较低几个层次的管理，它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理（Management Agents）、至少一个管理工作站（Network Management Station）、一种通用的网络管理协议（Management Protocol）和一个或多个管理信息库（MIB）四部分组成。用户主机和网络互联设备等所有被管理的网络设备称为被管对象（Managed Objects）；驻留在被管对象上，配合网络管理的处理实

94、体称为管理代理；实施管理的处理实体称为管理器（Manager）；管理器和管理代理通过网络管理协议来实现信息交换。管理器驻留在管理工作站上，信息分别驻留在被管对象和管理工作站上的管理信息库中。l网络管理员利用SNMP配合诸如HP OpenView、Novell NMS、IBM NetView等管理工具，就可以监测并控制网络上的远程主机。计计 算算 机机 网网 络络 安安 全全 技技 术术SNMP的工作原理的工作原理 lSNMP的原理十分简单，它以轮询和应答的方式进行工作，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库（MIB

95、）和管理协议四个部分每一个支持SNMP的网络设备中包含一个代理，它随时记录网络设备的各种情况。网络管理程序通过SNMP通信协议查询或修改代理所记录的信息。SNMP的管理模型见图。计计 算算 机机 网网 络络 安安 全全 技技 术术 公共管理信息协议（公共管理信息协议（CMIP） lCMIP（Common Management Information Protocol）即公共管理信息协议，是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案，应用在OSI环境下。CMIP与SNMP一样，也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中，被管代理和管理者没

96、有明确的区分，任何一个网络设备既可以是被管代理，也可以是管理者。lCMIP克服了SNMP的许多缺点，如安全性方面，CMIP支持授权、访问控制、安全日志等机制，构成一个相对安全的系统，定义相当详细复杂。其设计与SNMP有相似之处，如网管信息的传递也是通过协议数据单元来实现的，但CMIP定义了11种协议数据单元，而SNMP定义了5种，SNMPv2定义了7种。lCMIP模型定义的网络管理功能包括：错误管理、配置管理、性能管理、安全管理和记帐管理等。 计计 算算 机机 网网 络络 安安 全全 技技 术术2.5.4安全管理的制度与规范l安全管理的原则与工作规范：计算机网络系统的安全管理主要基于以下三个原

97、则：多人负责原则任期有限原则 职责分离原则 l计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性，制订相应的管理制度或采用相应的规范。制订严格的操作规程 制订完备的系统维护制度 制订应急措施 计计 算算 机机 网网 络络 安安 全全 技技 术术安全管理的内容安全管理的内容 l硬件资源的安全管理 硬件设备的使用管理 常用硬件设备的维护和保养 l信息资源的安全与管理 信息存储的安全管理信息的使用管理 l其它管理 鉴别管理 访问控制管理 密钥管理 计计 算算 机机 网网 络络 安安 全全 技技 术术健全管理机构和规章制度健全管理机构和规章制度 l健全管理机构和岗位责任制 l完善安全管理

98、规章制度系统运行维护管理制度计算机处理控制管理制度 文档资料管理制度 操作人员及管理人员的管理制度 计算机机房的安全管理规章制度 其他的重要管理制度 详细的工作手册和工作记录 l建立合作制度 计计 算算 机机 网网 络络 安安 全全 技技 术术习题二（1）l简述物理安全的定义、目的与内容。l计算机房场地的安全要求有哪些？l简述机房的三度要求。l机房内应采取哪些防静电措施？常用的电源保护装置有哪些？l计算机房的地线、接地系统、接地体各有哪些种类？l简述机房的防雷、防火、防水措施。l简述电磁干扰的分类及危害。l电磁防护的措施有哪些？计计 算算 机机 网网 络络 安安 全全 技技 术术习题二（2）l

99、简述物理隔离的安全要求。l简述物理隔离技术经历了哪三个阶段？每个阶段各有什么技术特点。l计算机网络管理的主要功能有哪些？l画出计算机网络管理的逻辑结构模型。l什么是简单网络管理协议（SNMP）？简述SNMP的管理结构模型、工作原理及特点。l简述公共管理信息协议（CMIP）。l简述计算机网络安全管理的基本原则与工作规范。l请结合实际，论述如何贯彻落实机房的各项安全管理规章制度。 计计 算算 机机 网网 络络 安安 全全 技技 术术第三篇第三篇 网络安全技术网络安全技术第第3章防火墙技术章防火墙技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l防火墙的定义、发展简史、目的、功能

100、、局限性l包过滤防火墙和代理防火墙的实现原理、技术特点以及实现方式l防火墙的常见体系结构l分布式防火墙的体系结构、特点计计 算算 机机 网网 络络 安安 全全 技技 术术3.1防火墙技术概述l防火墙（Firewall）是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与Internet网络之间，或者与其他网络之间进行的信息存取、传递操作，可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网

101、络的安全。l防火墙是提供信息安全服务，实现网络和信息安全的基础设施。 计计 算算 机机 网网 络络 安安 全全 技技 术术3.1.1防火墙的定义l辞海上说“防火墙：用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。” l简单的说，防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。计计 算算 机机

102、 网网 络络 安安 全全 技技 术术3.1.2防火墙的发展简史l第一代防火墙：几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。l第二、三代防火墙：1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。l第四代防火墙：1992年，USC信息科学院的Bob.Braden开发出了基于动态包过滤（Dynamic Packet Filter）技术的第四代防火墙，后来演变为目前所说的状态监视（State Fulinspection）技术。1994年，以色列的Che

103、ck.Point公司开发出了第一个基于这种技术的商业化的产品。l第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Fire wall for NT中得以实现。计计 算算 机机 网网 络络 安安 全全 技技 术术计计 算算 机机 网网 络络 安安 全全 技技 术术3.1.3设置防火墙的目的和功能l通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。l无论何种类型防火墙，从总体上看，都应具有以下五大五大基本功能：基

104、本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。l防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。 计计 算算 机机 网网 络络 安安 全全 技技 术术3.1.4防火墙的局限性l防火墙防外不防内 l网络应用受到结构性限制 传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用，否则VPN通信将被中断。虽然目前有一种SSL VPN技术可以绕过企业边界的防火墙进入内部网络

105、VPN通信，但是应用更广泛的传统IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。 l防火墙难于管理和配置，易造成安全漏洞 l效率较低、故障率高 l很难为用户在防火墙内外提供一致的安全策略 l防火墙只实现了粗粒度的访问控制 计计 算算 机机 网网 络络 安安 全全 技技 术术3.1.5防火墙技术发展动态和趋势l优良的性能 l可扩展的结构和功能 l简化的安装与管理 l主动过滤 l防病毒与防黑客 l未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。此外，防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自

106、身结合起来。 计计 算算 机机 网网 络络 安安 全全 技技 术术3.2防火墙技术3.2.1防火墙的技术分类l包过滤防火墙：数据包过滤（Packet Filtering）技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。l包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络，例如：只接收来自某些指定的IP地址的数据包或者内部网络

107、的数据包可以流向某些指定的端口等；哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础，对IP包源地址、目标地址、传输方向、分包、IP包封装协议（TCP/UDP/ICMP/IP Tunnel）、TCP/UDP目标端口号等进行筛选、过滤。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 计计 算算 机机 网网 络络 安安 全全 技技 术术包过滤处理图包过滤处理图 l包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。l数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。不符

108、合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量；基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filter Router）。计计 算算 机机 网网 络络 安安 全全 技技 术术静态包过滤静态包过滤 l一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙，见图。 计计 算算 机机 网网 络络 安安 全全 技技 术术动态包过滤动态包

109、过滤 l采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。计计 算算 机机 网网 络络 安安 全全 技技 术术包过滤防火墙的优点包过滤防火墙的优点 l不用改动应用程序。包过滤不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 l一个过

110、滤路由器能协助保护整个网络。 l数据包过滤对用户透明。数据包过滤是在IP层实现的，Internet根本感觉不到它的存在；包过滤不要求任何自定义软件或者客户机配置；它也不要求用户任何特殊的训练或者操作，使用起来很方便。 l过滤路由器速度快、效率高。较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据包的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。 计计 算算 机机 网网 络络 安安 全全 技技 术术包过滤的缺点包过滤的缺点 l不能彻底防止地址欺骗。 l一些应用协议不适合于数据包过滤。如RPC、FTP。l正常的数据包过滤路由器无法执行某些安全策略。如数据包的报头

111、信息只能说明数据包来自什么主机，而不知是什么用户；只知数据包发送到什么端口，而不知是发到什么应用程序。 l安全性较差。过滤判别的只有网络层和传输层的有限信息；过滤规则的数目是有限制的；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；大多数过滤器中缺少审计和报警机制，通常它没有用户的使用记录，这样，管理员就不能从访问记录中发现黑客的攻击记录。l数据包工具存在很多局限性。如数据包过滤规则难以配置，管理方式和用户界面较差；对安全管理人员素质要求高；建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。计

112、计 算算 机机 网网 络络 安安 全全 技技 术术代理防火墙代理防火墙 l代理防火墙的原理：所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以有叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可

113、用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术l代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。 代理防火墙（代理防火墙（Proxy）分为应用层网关和电路层网关。）分为应用层网关和电路层网关。计计 算算 机机 网网 络络 安安 全全 技技 术术应用层网关型防火墙应用层网关型防火墙 l应用层网关（Applicati

114、on Level Gateways）防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。这种防火墙通过代理技术参与到一个TCP连接的全过程，并在网络应用层上建立协议过滤和转发功能，所以叫做应用层网关。当某用户（不管是远程的还是本地的）想和一个运行代理的网络建立联系时，此代理（应用层网关）会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析、登记和统计，形成检查报告。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。l同时，应用层网关将内部用户的请求

115、确认后送到外部服务器，再将外部服务器的响应回送给用户。计计 算算 机机 网网 络络 安安 全全 技技 术术应用层网关防火墙的优点应用层网关防火墙的优点 l应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如HTTP编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部

116、网结构的作用。包过滤类型的防火墙是很难彻底避免这一漏洞的。l应用层网关防火墙同时也是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。计计 算算 机机 网网 络络 安安 全全 技技 术术代理防火墙的缺点代理防火墙的缺点 l代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75M100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网

117、（ATM或千兆位Intranet等）之间的防火墙。计计 算算 机机 网网 络络 安安 全全 技技 术术电路层网关防火墙电路层网关防火墙 l另一种类型的代理技术称为电路层网关（Circuit Level Gateway）或TCP通道（TCP Tunnels）。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术l电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件

118、。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。在自适应代理与动态包过滤器之间存在一个控制通道。 计计 算算 机机 网网 络络 安安 全全 技技 术术两种防火墙技术的对比两种防火墙技术的对比 包过滤防火墙代理防火墙优点价格较低内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理性能开销小，处理速度较快安全，不允许数据包通过防火墙，避免了数据驱动式攻击的发生缺点定义复杂，容易出现因配置不当带来的问题速度较慢，不太适用于高速网（

119、ATM或千兆位Intranet等）之间的应用允许数据包直接通过，容易造成数据驱动式攻击的潜在危险不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成计计 算算 机机 网网 络络 安安 全全 技技 术术3.2.2防火墙的主要技术及实现方式l双端口或三端口的结构 l透明的访问方式 l灵活的代理系统 l多级的过滤技术 l网络地址转换技术（NAT） l网络状态监视器 lInternet网关技术 l安全服务器网络（SSN） l用户鉴别与加密 l用户定制服务 l审计和告警 计计 算算 机机 网网 络络 安安 全全 技技 术术应用网关代理应用网关代理 l这种防火墙在网络应用层提供授权

120、检查及代理服务。当外部某台主机试图访问（如Telnet）受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后才可使用Telnet或FTP等有效命令。l应用网关代理（Application Gateway Proxy）的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。其缺点是这种认证使得应用网关不透明，用户每次连接都要受到

121、“盘问”，这给用户带来许多不便；而且这种代理技术需要为每个应用网关写专门的程序。计计 算算 机机 网网 络络 安安 全全 技技 术术回路级代理服务器回路级代理服务器 l回路级代理服务器也称一般代理服务器，它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，回路级代理服务器通常要求修改过的用户程序。其中，套接字服务器（Sockets Server）就是回路级代理服务器。l套接字（Sockets）是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套接字服务器检查客户的UserID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的段服务器建

122、立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“Socketsifide API”，受保护网络用户访问公共网络所使用的IP地址也都是防火墙的IP地址。计计 算算 机机 网网 络络 安安 全全 技技 术术3.2.3防火墙的常见体系结构l一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志及另外一些IP选项，对IP包进行过滤

123、。屏蔽路由器（Screening Router）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。如图所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术双缩主机网关双缩主机网关 l这种配置是用一台装有两块网卡（NIC）的计算机作堡垒主机，两块网卡各自与受保护网络和外部网络相连，每一块网卡都有一个IP地址。堡垒主机上运行着防火墙软件代理服务器软件（应用层网关），可以转发应用程序，提供服务等。所以叫做双缩主机网关（Dual Homed Gateway）防火

124、墙，如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术屏蔽主机网关屏蔽主机网关 l屏蔽主机网关（Screened Gateway）由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务，即在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全（包过滤），又实现了应用层安全（代理服务）。屏蔽主机网关很容易实现：在内部网络与因特网的交汇点，安装一台屏蔽路由器，同时在内部网络上安装一个堡垒主机（应用层网关）即可，如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术被屏蔽子网被屏蔽子网 l被屏蔽子网（Screened Subnet）防火墙是在屏蔽主

125、机网关防火墙的基础上再加一个路由器，两个屏蔽路由器放在子网的两端，形成一个被称为非军事区（灰色阴影区域）的子网，即在内部网络和外部网络之间建立一个被隔离的子网。如图示。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信，像WWW和FTP服务器可放在DNZ中。 计计 算算 机机 网网 络络 安安 全全 技技 术术3.3防火墙的主要性能指标l支持的局域网接口类型、数量及服务器平台 l支持的协议 l对加密技术的支持 l对认证技术的支持 l对访问控制技术的支持 l对各种防御功能的支持 l对安全特性的支持 l管理功能 l记录和报表功能 计计 算算 机机 网网 络络 安安 全全 技技 术术

126、3.4分布式防火墙l因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏障，进行网络存取控制，所以称为“边界式防火墙”（Perimeter Firewall）。随着计算机网络安全技术的发展和用户对防火墙功能要求的不断提高，在目前传统的边界式防火墙基础上开发出了一种新型防火墙，那就是“分布式防火墙”（Distributed Firewall）。它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以分布式防火墙是一个完整的系统，而不是单一的产品。计计 算算 机机 网网 络络 安安 全全 技技 术术3.4.1 分布式防火墙的体系结构l分布式防火墙的体系结构包含如下三个部分：

127、网络防火墙（Network Firewall）功能上与传统的边界式防火墙类似，用于内部网与外部网之间，以及内部网各子网之间的防护。主机防火墙（Host Firewall）用于对网络中的服务器和桌面机进行防护。 中心管理（Central Management）：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总，防火墙可以进行智能管理，提高了防火墙的安全防护灵活性。这是一种新的防火墙管理功能，也是传统的边界式防火墙所不具有的。计计 算算 机机 网网 络络 安安 全全 技技 术术3.4.2 分布式防火墙的特点l主机驻留：这种分布式防火墙的最主要特点就是采用主机驻留方式，所以也可称之

128、为“主机防火墙”，它的重要特征是驻留在被保护的主机（关键服务器、数据及工作站）上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。l嵌入操作系统内核：这主要是针对目前的纯软件的分布式防火墙来说的。众所周知的，操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。为了彻底堵住操作系统的漏洞，分布式防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络，在把所有IP数据包进行检查后再提交操作系统。 l类似

129、于个人防火墙 l适用于服务器托管 计计 算算 机机 网网 络络 安安 全全 技技 术术3.5Windows 2000环境下防火墙及NAT的实现l通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，如：Web代理端口80、8080；21（FTP）；80（WWW）；25（SMTP）；110（POP3）；53（DNS），可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。为了访问Internet和向外提供服务，还需要在Prox

130、y Server的过滤列表中加入许可。l案例（略）计计 算算 机机 网网 络络 安安 全全 技技 术术习题三 l简要回答防火墙的定义和发展简史。l设置防火墙目的是什么？防火墙的功能和局限性各有哪些？l简述防火墙的发展动态和趋势。l试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？l试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？l防火墙的主要技术及实现方式有哪些？l防火墙的常见体系结构有哪几种？l屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？l简述分布式防火墙的体系结构、主要特点。l分布式防火墙的优势主要体现在哪几个方面？l上机练习：配置一个双缩主机网关防火墙。计

131、计 算算 机机 网网 络络 安安 全全 技技 术术第第4章章 攻击检测与攻击检测与系统恢复技术系统恢复技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l网络攻击的原理、步骤，以及黑客攻击企业内部局域网的典型流程l网络攻击的防范措施及处理对策l入侵检测系统的组成、内容、特点及其数学模型l入侵检测的过程l异常检测、误用检测、特征检测，基于主机和基于网络的IDS各自特点l系统恢复技术 计计 算算 机机 网网 络络 安安 全全 技技 术术4.1 网络攻击技术l网络攻击的方法十分丰富，令人防不胜防。分析和研究网络攻击活动的方法和采用的技术，对加强网络安全建设、防止网络犯罪有很好的借鉴

132、作用。计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.1 网络攻击概述l攻击的分类 从攻击的行为是否主动来分：主动攻击和被动攻击 从攻击的位置来分，可分为远程攻击、本地攻击和伪远程攻击。l攻击的人员黑客与破坏者、间谍 、恐怖主义者 、公司雇佣者 、计算机犯罪 、内部人员。 l攻击的目的主要包括：进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、挑战、政治意图、经济利益、破坏等。 计计 算算 机机 网网 络络 安安 全全 技技 术术攻击者常用的攻击工具攻击者常用的攻击工具 lDOS攻击工具 l木马程序 BO2000

133、（BackOrifice）：它是功能最全的TCP/IP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端/服务器应用程序。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，用户的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏幕保护口令、各

134、种共享资源口令以及绝大多数在对话框中出现过的口令信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。l分布式工具计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.2 网络攻击的原理l口令入侵：所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。l获取用户账号的方法：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上。利用目标主机的X.500服务：有

135、些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径。从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的账号。查看主机是否有习惯性的账号：有经验的用户都知道，很多系统会使用一些习惯性的账号，造成账号的泄露。计计 算算 机机 网网 络络 安安 全全 技技 术术口令入侵（口令入侵（2）l获取用户口令的方法：被用来窃取口令的服务包括FTP、TFTP、邮件系统、Finger和Telnet等。所以，系统管理员对口令的使用应十分小心、谨慎。通过网络监听非法得到用户口令。 在知道用户的账号后（如电子邮件前面的部分），利用一些专门软件强行破解用户口令，这种方法不受网段

136、限制。利用系统安全漏洞。在Windows/Unix操作系统中，用户的基本信息、口令分别存放在某些固定的文件中，攻击者获取口令文件后，就会使用专门的破解程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，攻击者就可以长驱直入。计计 算算 机机 网网 络络 安安 全全 技技 术术放置特洛伊木马程序放置特洛伊木马程序 l特洛伊木马程序可以直接侵入用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏

137、满士兵的木马一样留在自己的计算机中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知攻击者，并报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户的计算机的目的。计计 算算 机机 网网 络络 安安 全全 技技 术术WWW的欺骗技术的欺骗技术 l一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信息掩盖技术。l攻击者修改网页的URL地址，即攻击者可以将自已的Web地址加在所有URL地址的前面。当

138、用户浏览目标网页的时候，实际上是向攻击者的服务器发出请求，于是用户的所有信息便处于攻击者的监视之下，攻击者就达到欺骗的目的了。但由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点链接时，用户可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息，由此发现已出了问题。所以攻击者往往在URL地址重写的同时，利用相关信息掩盖技术（一般用Java Script程序来重写地址栏和状态栏），以掩盖欺骗。计计 算算 机机 网网 络络 安安 全全 技技 术术电子邮件攻击电子邮件攻击 l电子邮件是Internet上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目标邮箱

139、发送大量内容重复、无用的垃圾邮件，从而使目标邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。l电子邮件攻击主要表现为两种方式：邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪。电子邮件欺骗，攻击者佯称自己为系统管理员，给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。计计 算算 机机 网网 络络 安安 全全 技技 术术通过一个节点来攻击其他节点通过一个节

140、点来攻击其他节点 l攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机，以隐蔽其入侵路径，避免留下蛛丝马迹。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。l这类攻击很狡猾，但由于某些技术很难掌握，如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能破坏两台计算机间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层

141、受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的攻击更具有欺骗性。计计 算算 机机 网网 络络 安安 全全 技技 术术网络监听网络监听 l网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具如NetXRay、Sniffer等就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口

142、令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户账号及口令。计计 算算 机机 网网 络络 安安 全全 技技 术术利用黑客软件攻击利用黑客软件攻击 l利用黑客软件攻击是Internet上比较多的一种攻击手法。如利用特洛伊木马程序可以非法地取得用户计算机的超级用户级权限，除了可以进行完全的控制操作外，还可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的计算机，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生

143、能力比较强，给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。计计 算算 机机 网网 络络 安安 全全 技技 术术安全漏洞攻击安全漏洞攻击 l许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的，如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用

144、作攻击的字符，甚至可以访问根目录，从而拥有对整个网络的绝对控制权。l另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。l又如，ICMP协议也经常被用于发动拒绝服务攻击。 计计 算算 机机 网网 络络 安安 全全 技技 术术端口扫描攻击端口扫描攻击 l所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。l常用的扫描方式有：Connect()扫描。Fragmentation扫描。

145、计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.3 网络攻击的步骤l攻击者在一次攻击过程中的通常做法是：首先隐藏位置，接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪，最后实施攻击、开辟后门等七个步骤，如右图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术1隐藏位置隐藏位置 l攻击者经常使用如下技术隐藏其真实的IP地址或者域名：利用被侵入的主机作为跳板，如在安装Windows的计算机内利用Wingate软件作为跳板，利用配置不当的Proxy作为跳板；使用电话转接技术隐蔽自己，如利用800电话的无人转接服务联接ISP；盗用他人的账号上网，通过电话联接一台

146、主机，再经由主机进入Internet；免费代理网关；伪造IP地址；假冒用户账号。计计 算算 机机 网网 络络 安安 全全 技技 术术2网络探测和资料收集l网络探测和资料收集主要是为了寻找目标主机和收集目标信息。l攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解，为攻击作好充分的准备。攻击者感兴趣的信息主要包括：操作系统信息、开放的服务端口号、系统默认账号和口令

147、、邮件账号、IP地址分配情况、域名信息、网络设备类型、网络通信协议、应用服务器软件类型等。l步骤：锁定目标、服务分析 、系统分析 、获取账号信息 、获得管理员信息 计计 算算 机机 网网 络络 安安 全全 技技 术术3弱点挖掘l系统中漏洞的存在是系统受到备种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的漏洞；内部人员作案则利用了系统内部服务及其配置上的漏洞，而拒绝服务攻击主要是利用资源分配上的漏洞，长期占用有限资源不释放，使其它用户得不到应得的服务，或者是利用服务处理中的漏洞，使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点/漏洞，并针对具体的漏洞研究相应的攻击方法

148、。常见的漏洞有：系统或应用服务软件漏洞。 主机信任关系漏洞。 寻找有漏洞的网络成员。 安全策略配置漏洞。 通信协议漏洞。 网络业务系统漏洞。计计 算算 机机 网网 络络 安安 全全 技技 术术4获得控制权l攻击者要想入侵一台主机，首先要有该主机的一个账号和口令，再想办法去获得更高的权限，如系统管理账户的权限。获取系统管理权限通常有以下途径：获得系统管理员的口令，如专门针对root用户的口令攻击；利用系统管理上的漏洞：如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等；让系统管理员运行一些特洛伊木马程序，使计算机内的某一端口开放，再通过这一端口进入用户的计算机。 计计

149、算算 机机 网网 络络 安安 全全 技技 术术5隐藏行踪l作为一个入侵者，攻击者总是惟恐自己的行踪被发现，所以在进入系统之后，聪明的攻击者要做的第一件事就是隐藏自己的行踪，攻击者隐藏自己的行踪通常要用到如下技术：连接隐藏，如冒充其他用户、修改 LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等；进程隐藏，如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等；篡改日志文件中的审计信息；改变系统时间，造成日志文件数据紊乱，以迷惑系统管理员。计计 算算 机机 网网 络络 安安 全全 技技 术术6实施攻击l不同的攻击者有不同的攻击目的，可能是为了获得机密文件的访问权，

150、也可能是为了破坏系统数据的完整性，也可能是为了获得整个系统的控制权（系统管理权限），以及其他目的等。一般说来，可归结为以下几种方式：下载敏感信息；在目标系统中安装探测器软件，以便进一步收集攻击者感兴趣的信息，或进一步发现受损系统在网络中的信任等级；攻击其它被信任的主机和网络；使网络瘫痪；修改或删除重要数据。计计 算算 机机 网网 络络 安安 全全 技技 术术7开辟后门l一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中制造一些后门，以方便自己的下次入侵，攻击者设计后门时通常会考虑以下方法：放宽文件许可权；重新开放不安全的服务，如REXD、TFTP等；修

151、改系统的配置，如系统启动文件、网络服务配置文件等；替换系统本身的共享库文件；安装各种特洛伊木马程序，修改系统的源代码；安装sniffers。计计 算算 机机 网网 络络 安安 全全 技技 术术小小 结结l第一，一次完整的攻击过程可以划分为三个阶段，分别为：获取系统访问权前的攻击过程；获得系统控制权的攻击过程；获得系统访问权或控制权之后的攻击活动。l完成第一阶段的攻击过程，获得了系统的访问权，攻击者就已成功了一半，而完成第二阶段的攻击过程，获得系统的管理权限之后，攻击者已近于完全成功。此时，管理员已经很难阻止攻击者的破坏活动，但可以尽早地采取一些补救措施，如备份系统、关掉系统的网络连接、关机等。

152、 l第二，攻击者攻击成功的关键在于第一、第二阶段的成功，在于尽早地发现或者利用目标系统的安全漏洞或弱点的能力。l第三，内部的攻击者可以减少攻击步骤，他只要找到系统的漏洞、弱点或缺陷，想法获取系统管理权限，就可以随心所欲地进行破坏活动了。 计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.4黑客攻击实例黑客黑客攻击攻击拨号拨号上网上网计算计算机实机实例例(左左) 黑客攻击企业内部黑客攻击企业内部局域网实例局域网实例(右右) 计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.5网络攻击的防范措施及处理对策l防范措施提高安全意识提高安全意识 使用能防病毒、防黑客的防火墙软件 设置

153、代理服务器，隐藏自已的IP地址 安装过滤器路由器，防止IP欺骗 建立完善的访问控制策略 采用加密技术 做好备份工作 计计 算算 机机 网网 络络 安安 全全 技技 术术提高安全意识提高安全意识 l不要随意打开来历不明的电子邮件及文件，不要运行来历不明的软件和盗版软件。l不要随便从Internet上下载软件，尤其是不可靠的FTP站点和非授权的软件分发点。即使从知名的网站下载的软件也要及时用最新的杀病毒软件进行扫描。l防字典攻击和口令保护。选择1215个字符组成口令，尽可能使用字母数字混排，并且在任何字典上都查不到，那么口令就不能被轻易窃取了。不要用个人信息（如生日、名字等），口令中要有一些非字母

154、（数字、标点符号、控制字符等），还要好记一些，不能写在纸上或计算机中的文件中，选择口令的一个好方法是将两个相关的词用一个数字或控制字符相连。重要的口令最好经常更换。l及时下载安装系统补丁程序。l不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。l在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。l经常运行专门的反黑客软件，必要时应在系统中安装具有实时检测、拦截、查找黑客攻击程序的工具。经常采用扫描工具软件扫描，以发现漏洞并及早采取弥补措施。计计 算算 机机 网网 络络 安安 全全 技技 术术处理对策（处理对策（1） l发现攻击者：一般很难发现网络系统是否被

155、人入侵。借助下面一些途径可以发现攻击者。攻击者正在行动时，捉住攻击者。例如，当管理员正在工作时，发现有人使用超级用户的帐号通过拨号终端登录，而超级用户口令只有管理员本人知道。根据系统发生的一些改变推断系统以被入侵。其他站点的管理员那里收到邮件，称从本站点有人对“他”的站点大肆活动。根据网络系统中一些奇怪的现象，发现攻击者。例如，不正常的主机连接及连接次数，系统崩溃，突然的磁盘存储活动或者系统突然变得非常缓慢等。经常注意登录文件并对可逆行为进行快速检查，检查访问及错误登录文件，检查系统命令如login等的使用情况。在Windows NT平台上，可以定期检查Event Log中的Security

156、Log，以寻找可疑行为。使用一些工具软件可以帮助发现攻击者。 计计 算算 机机 网网 络络 安安 全全 技技 术术处理对策（处理对策（2）l处理原则 不要惊慌。发现攻击者后，会有许多选择。但是不管发生什么事，没有慎重的思考就去行动，只会使事情变得更遭。记录每一件事情，甚至包括日期和时间。估计形势。估计入侵造成的破坏程度，攻击者是否还滞留在系统中？威胁是否来自内部？攻击者身份及目的？若关闭服务器，是否能承受得起失去有用系统信息的损失？采取相应措施。一旦了解形势之后，就应着手作出决定并采取相应的措施，能否关闭服务器？若不能，也可关闭一些服务或至少拒绝一些人；是否关心追踪攻击者？若打算如此，则不要关

157、闭Internet联接，因为这会失去攻击者的踪迹。计计 算算 机机 网网 络络 安安 全全 技技 术术处理对策（处理对策（3）l发现攻击者后的处理对策：发现攻击者后，网络管理员的主要目的不是抓住他们，而是应把保护用户、保护网络系统的文件和资源放在首位。因此，可采取下面某些对策。不理睬。使用write或者talk工具询问他们究竟想要做什么。跟踪这个连接，找出攻击者的来路和身份。这时候，nslookup、finger、rusers等工具很有用。管理员可以使用一些工具来监视攻击者，观察他们正在做什么。这些工具包括snoop、ps、lastcomm、ttywatch等。杀死这个进程来切断攻击者与系统的

158、连接。断开调制解调器与网络线的连接，或者关闭服务器。找出安全漏洞并修补漏洞，再恢复系统。最后，根据记录的整个文件的发生发展过程，编档保存，并从中吸取经验教训。 计计 算算 机机 网网 络络 安安 全全 技技 术术4.1.6 网络攻击技术的发展趋势l攻击技术越来越先进：网络攻击自动化 、组织化 、目标扩大化 、协同化 、智能化 、主动化 。 l攻击工具越来越复杂：反侦破、动态行为、成熟性、跨平台。 l发现安全漏洞越来越快 l越来越高的防火墙渗透率 l越来越不对称的威胁 计计 算算 机机 网网 络络 安安 全全 技技 术术4.2 入侵检测系统l只要允许内部网络与Internet相连，攻击者入侵的危

159、险就会存在。由于入侵行为与正常的访问或多或少有些差别，通过收集和分析这种差别可以发现绝大部分的入侵行为，入侵检测系统（IDS，Intrusion Detection System）应运而生。计计 算算 机机 网网 络络 安安 全全 技技 术术4.2.1 入侵检测系统概述l入侵检测及其内容入侵检测是对入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。入侵检测的内容包括：检测试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等破坏系统安全性的行为。l入侵检测系统入侵检测系统从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或

160、系统中是否有违反安全策略的行为和被攻击的迹象，使安全管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害l入侵检测系统（IDS）实际上是一种使监控和分析过程自动化的产品，可以是软件，也可以是硬件，最常见的是软件与硬件的组合。所以，通常把负责入侵检测的软/硬件组合体称为入侵检测系统。计计 算算 机机 网网 络络 安安 全全 技技 术术一个成功的入侵检测系统至少要满一个成功的入侵检测系统至少要满足以下足以下5个要求个要求 l实时性要求：如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，就有可能把破坏控制在最小限度，并记录下攻击过程，可作为证据回放。l可扩

161、展性要求：攻击手段多而复杂，攻击行为特征也各不相同。l适应性要求：入侵检测系统必须能够适用于多种不同的环境 。l安全性与可用性要求：入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。 l有效性要求：能够证明根据某一设计所建立的入侵检测系统是切实有效的。即：对于攻击事件的错报与漏报能够控制在一定范围内；同时，入侵检测系统在发现入侵后，能够及时做出响应，有些响应是自动的 。 计计 算算 机机 网网 络络 安安 全全 技技 术术入侵检测系统的组成入侵检测系统的组成 l入侵检测系统通常由两部分组成：传感器（Sensor）与控制台（Consol

162、e）。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的IDS通常提供图形界面的控制台。计计 算算 机机 网网 络络 安安 全全 技技 术术入侵检测系统的特点入侵检测系统的特点 l入侵检测技术是动态安全技术的最核心技术之一传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。 l入侵检测是防火墙的合理补充帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提

163、高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，提供对内部攻击、外部攻击和误操作的实时保护。l入侵检测系统是黑客的克星入侵检测和安全防护有根本性的区别：安全防护和黑客的关系是“防护在明，黑客在暗”，入侵检测和黑客的关系则是“黑客在明，检测在暗”。安全防护主要修补系统和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵的条件；入侵检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的（入侵事件的特征一般与系统缺陷有逻辑关系），所以入侵检测系统是黑客的克星。 计计 算算 机机 网网 络络 安安 全全 技技 术术4.2.2 入侵检测系统的数学模型lDenning的通

164、用入侵检测模型 计计 算算 机机 网网 络络 安安 全全 技技 术术统一模型统一模型 l入侵检测系统统一模型由5个主要部分（信息收集器、分析器、响应、数据库以及目录服务器）组成，如图所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术4.2.3 入侵检测的过程l入侵信息的收集 系统和网络日志 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 l信号分析 模式匹配 统计分析 专家系统 完整性分析 l响应：分为被动响应和主动响应被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。主动响应系统可

165、以分为对被攻击系统实施控制和对攻击系统实施控制的系统。对被攻击系统实施控制（防护），是通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等；对攻击系统实施控制（反击），这种系统多被军方所重视和采用。计计 算算 机机 网网 络络 安安 全全 技技 术术4.2.4 入侵检测系统的分类l根据采用的技术和原理分类：可以分为异常检测、误用检测和特征检测三种。现有的入侵检测工具大都是使用误用检测方法。异常检测方法虽然还没有得到广泛的应用，但在未来的入侵检测系统中肯定会有更大的发展。 l根据监测的数据源分类：分为基于主机（Host-based）的入侵检测系统、基于网络

166、（Network-based）的入侵检测系统和分布式入侵检测系统l根据工作方式分类：可以分为离线检测系统与在线检测系统。计计 算算 机机 网网 络络 安安 全全 技技 术术异常检测异常检测l基于异常的检测技术有一个假设，就是入侵事件的行为不同于一般正常用户或者系统的行为。通过多种方法可以建立正常或者有效行为的模型。入侵检测系统在检测的时候就把当前行为和正常模型比较，如果比较结果有一定的偏离，则报警异常。换句话说，所有不符合于正常模型的行为都被认为是入侵。如果系统错误地将异常活动定义为入侵，称为错报；如果系统未能检测出真正的入侵行为则称为漏报。l基于异常检测的优点就是它能够检测出新的入侵或者从未

167、发生过的入侵。它对操作系统的依赖性较小。它还可以检测出属于权限滥用类型的入侵。l异常检测方法的查全率很高但是查准率很低。过多误警是该方法的主要缺陷。l常见的异常检测方法包括统计异常检测、基于特征选择异常检测、基于贝叶斯推理异常检测、基于贝叶斯网络异常检测、基于模式预测异常检测、基于神经网络异常检测、基于贝叶斯聚类异常检测、基于机器学习异常检测等。计计 算算 机机 网网 络络 安安 全全 技技 术术误用检测（误用检测（1） l进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 计计 算算 机机

168、 网网 络络 安安 全全 技技 术术误用检测（误用检测（2）l采用特征匹配，误用检测能明显降低错报率，并且对每一种入侵都能提出详细资料，使得使用者能够更方便地做出响应。但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。l这种方法的缺陷就是入侵信息的收集和更新的困难。需要很多的时间和很大的工作量，还需要很强的安全知识，如网络攻击、操作系统、系统平台、应用程序等方面的知识。所以这种方法适用于特殊环境下的检测工具。另外，这种方法难以检测本地入侵（例如权限滥用），因为没有一个确定规则来描述这些入侵事件。l常见的误用检测方法包括基于条件概率的误用入侵检测、基于专家系统的误用入侵检测、基于状态

169、迁移的误用入侵检测、基于键盘监控的误用入侵检测、基于模型的误用入侵检测等。计计 算算 机机 网网 络络 安安 全全 技技 术术特征检测特征检测 l和以上两种检测方法不同，特征检测关注的是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。l这种检测方法的错报与行为特征定义准确度有关，当系统特征不能囊括所有的状态时就会产生漏报。l特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围，大幅度降低漏报和错报率；最大的不足是要求严格定义安全策略，这需要经验和技巧，另外为了维护动态系统的特征库通常是

170、很耗时的事情。l由于这些检测各有优缺点，许多实际入侵检测系统通常同时采用两种以上的方法实现。计计 算算 机机 网网 络络 安安 全全 技技 术术基于主机的入侵检测系统基于主机的入侵检测系统 l基于主机的入侵检测系统（HIDS）通常是安装在被重点检测的主机之上，其数据源来自主机，如日志文件、审计记录等。通过监视与分析主机中的上述文件就能够检测到入侵。能否及时采集到上述文件是这些系统的弱点之一，因为入侵者会将主机的审计子系统作为攻击目标以避开入侵检测系统。l尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确实具有基于网络的IDS无法比拟的优点。 计计 算算 机机 网网 络络 安安 全

171、全 技技 术术基于主机的入侵检测系统的优缺点基于主机的入侵检测系统的优缺点l由于基于主机的IDS使用含有已发生事件信息，可以确定攻击是否成功。 l能够检查到基于网络的入侵检测系统检查不出的攻击。 l能够监视特定的系统活动l适用被加密的和交换的环境。 l近于实时的检测和响应。l不要求额外的硬件设备。 l低廉的成本。 l降低应用系统的效率。也会带来一些额外的安全问题 。l依赖于服务器固有的日志与监视能力。 l全面部署代价较大，用户只能选择保护部分重要主机。那些未安装基于主机的IDS的主机将成为保护的盲点、攻击目标。 l除了监测自身的主机以外，不监测网络上的情况。 优优优优 点点点点 缺缺缺缺 点点

172、点点计计 算算 机机 网网 络络 安安 全全 技技 术术基于网络的入侵检测系统基于网络的入侵检测系统 l基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，其数据源是网络上规范的TCP/IP协议数据包，即通过在共享网段上对通信数据的侦听采集数据，对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合，NIDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因系统而异，但通常都包括通知管理员、中断网络连接、为法庭分析和证据收集而做好会话记录。NIDS不需要主机提供严格的日志文件、审计记录，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。l目

173、前，大部分入侵检测系统是基于网络的。计计 算算 机机 网网 络络 安安 全全 技技 术术基于网络的入侵检测系统的优缺点基于网络的入侵检测系统的优缺点l拥有成本较低。 l检查所有包的头部从而发现恶意的和可疑的行动迹象。基于主机的IDS无法查看包的头部，所以它无法检测到这一类型的攻击。 l使用正在发生的网络通信进行实时攻击的检测，所以攻击者无法转移证据。 l实时检测和响应 l操作系统无关性。 l安装简便。 l监测范围的局限性。基于网络的IDS只检查它直接连接网段的通信，不能检测在不同网段的网络数据包，而安装多台基于网络的IDS将会使整个成本大大增加。l通常采用特征检测的方法，可以检测出普通的一些攻

174、击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。l大量数据传回分析系统中，影响系统性能和响应速度。l处理加密的会话过程较困难优优优优 点点点点 缺缺缺缺 点点点点计计 算算 机机 网网 络络 安安 全全 技技 术术小小 结结l基于主机的入侵检测系统的检测范围小，只限于一台主机内，而基于网络的入侵检测系统的检测范围是整个网段。基于主机的入侵检测系统不但可以检测出系统的远程入侵，还可以检测出本地入侵。但是由于主机的信息多种多样，不同的操作系统，信息源的格式就不同，使得基于主机的入侵检测系统比较难做。基于网络的入侵检测系统只能检测出远程入侵，对于本地入侵它是看不到的。可是由于网络数据一般都

175、是规范的TCP/IP协议的数据包，所以基于网络的入侵检测系统比较易于实现。目前，大多数入侵检测的商业产品都是基于网络的入侵检测系统，基于主机的入侵检测系统只限于系统的安全工具。l一个真正有效的入侵检测系统应该是基于主机和基于网络的混合，两种方法互为补充。计计 算算 机机 网网 络络 安安 全全 技技 术术分布式入侵检测系统分布式入侵检测系统 l分布式入侵检测系统的数据也是来源于网络中的数据包，不同的是，它采用了分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策

176、略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。目前这种技术在ISS的RealSecure等产品中已经有了应用。计计 算算 机机 网网 络络 安安 全全 技技 术术离线检测系统离线检测系统 l离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定

177、期或不定期进行的，不具有实时性。计计 算算 机机 网网 络络 安安 全全 技技 术术在线检测系统在线检测系统 l在线检测系统是实时联机的检测系统，它包含对实时网络数据包的分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。计计 算算 机机 网网 络络 安安 全全 技技 术术4.3 系统恢复技术l在系统被入侵之后，就要面临系统的恢复过程。在此过程中，所有步骤都应该与组织的网络安全策略中所

178、描述的相符。如果安全策略中没有描述如何进行系统的恢复，那么可以先和管理人员协商。另外一个重要的用处在于，组织可以决定是否进行法律相关的调查、诉讼。l系统的恢复主要有重建系统、通过软件和程序恢复系统等方法。重建系统相对要容易一些，只要考虑到以上步骤所得的结果，或者抹掉入侵者的痕迹、途径和其他安全隐患，重新试运行系统，或者是重新安装系统之后进行安全配置。计计 算算 机机 网网 络络 安安 全全 技技 术术4.3.1 系统恢复和信息恢复l系统恢复。系统恢复。是指根据检测和响应环节提供有关事件的资料修补该事件所利用的系统缺陷，不让黑容再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级、打补丁和

179、除去后门等。 l信息恢复。信息恢复。是指恢复丢失的数据。信息恢复就是从备份的数据恢复原来数据，其过程有一个显著特点：就是有优先级别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。 计计 算算 机机 网网 络络 安安 全全 技技 术术4.3.2 系统恢复的过程l1、切断被入侵系统的入侵者访问途径：如果入侵者来自于网络，可以将其从网络上断开。如果可以确认入侵者来自于外部网络，那么可以在边界防火墙上面进行恰当的设置，以确保入侵者无法再进行访问。断开以后，可以进入UNIX系统的单用户模式或者NT的本地管理者模式进行操作，以夺回系统控制权。这样做可能会丢失一些有用的信息，比如说入侵

180、者正在运行的扫描进程或监听进程。另外，如果决定要追踪入侵者，那么也可以不采取这些措施，以避免被入侵者察觉，但是这时应当采取其他措施保护那些内部网络尚未被入侵的机器，以避免入侵的蔓延。l2、复制一份被侵入系统：在进行入侵分析之前，最好先备份被侵入的系统，这些原始的数据和记录，会起到很多的重要作用。如果将来决定进行法律诉讼，那么这些数据也将会成为有力的证据。在必要的时候，可以将这些数据保存为档案。可以使用UNIX命令dd将被侵入系统复制到另外一个硬盘。计计 算算 机机 网网 络络 安安 全全 技技 术术3、入侵途径分析、入侵途径分析 l分析日志文件、显示器输出及新增的文件可以发现入侵者进入的途径。

181、 l详细地审查系统日志文件：检查异常现象。详细地审查系统日志文件，可以了解到系统是如何被侵入的？入侵过程中，攻击者执行了哪些操作？以及哪些远程主机访问了系统等信息。 l检查入侵检测系统和防火墙：很多入侵者会把所有相关的日志记录全部抹掉，这时，如果系统外部运行有入侵检测系统和防火墙，则往往可以提供更宝贵的信息。 计计 算算 机机 网网 络络 安安 全全 技技 术术4、遗留物分析、遗留物分析 l检查入侵者对系统软件和配置文件的修改 l检查被修改的数据 l检查入侵者留下的工具和数据网络监听工具。特洛伊木马程序。安全缺陷攻击程序。后门。 l检查网络监听工具入侵者侵入一个UNIX系统后，为了获得用户名和

182、密码信息，一般会在系统上安装一个网络监听程序。对于NT系统，入侵者则通常使用远程管理程序实现上述目的。计计 算算 机机 网网 络络 安安 全全 技技 术术5检查网络上的其他系统和涉及到的运送站点l除了已知被侵入的系统外，还应该对网络上所有的系统进行检查。主要检查和被侵入主机共享网络服务（例如：NIS、NFS）或者通过一些机制（例如：hosts.equiv、.rhosts文件，或者kerberos服务器）和被侵入主机相互信任的系统，以发现这些系统是否也被入侵。计计 算算 机机 网网 络络 安安 全全 技技 术术6评估入侵事件的影响，恢复系统l对入侵所造成的影响进行评估，是一件相当困难的过程。入侵

183、所造成的损害，可以有以下几个方面：对数据保密性的损害。发生入侵之后，需要判断哪些保密的数据有可能已经泄漏，这些信息的泄漏造成多大的影响，需要采取的应对措施造成的开销。对数据完整性造成的损害。这些数据的损害、丢失所造成的影响。这些数据是否已经被传给了第三方，是否会因此承受其他损失。声誉、信任度、媒体报道所造成的影响。这些影响所造成的潜在损失。l最后，采用重建系统、利用软件和程序等方法恢复系统。计计 算算 机机 网网 络络 安安 全全 技技 术术习题四 l攻击者常用的攻击工具有哪些？l简述口令入侵的原理。l简述网络攻击的步骤。画出黑客攻击企业内部局域网的典型流程。l攻击者隐藏自己的行踪时通常采用哪

184、些技术？l简述网络攻击的防范措施。l简述网络攻击的处理对策。l一个成功的入侵检测系统至少要满足哪5个要求？l简述入侵检测系统的组成、特点。l分别说明入侵检测系统的通用模型和统一模型。l简述入侵检测的过程。l什么是异常检测、误用检测、特征检测？l基于主机的IDS和基于网络的IDS各有什么特点？l你曾遇到过何种类型的网络攻击？采取了哪些措施保护你的计算机网络系统？ 计计 算算 机机 网网 络络 安安 全全 技技 术术第5章 访问控制技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l访问控制的三个要素、7种策略、内容、模型l访问控制的安全策略与安全级别l安全审计的类型、与实施有关

185、的问题l日志的审计lWindows NT操作系统中的访问控制与安全审计 计计 算算 机机 网网 络络 安安 全全 技技 术术5.1 访问控制概述l访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制，从而确保只有合法用户的合法访问才能给予批准，而且相应的访问只能执行授权的操作。l访问控制是计算机网络系统安全防范和保护的重要手段，是保证网络安全最重要的核心策略之一，也是计算机网络安全理论基础重要组成部分。计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.1 访问控制的定义l访问控制是指主体依据某些控

186、制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。l主体主体S（Subject）是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是某个用户，也可以是用户启动的进程、服务和设备。l客体客体O（Object）是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。计计 算算 机机 网网 络络 安安 全全 技技 术术控制策略控制策略 l控制策略控制策略

187、A（Attribution）是主体对客体的访问规则集，即属性集合。访问策略实际上体现了一种授权行为，也就是客体对主体的权限允许。l访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机网络系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。为达到上述目的，访问控制需要完成以下两个任务：识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问计计 算算 机机 网网 络络 安安 全全 技技 术术7种访问控制策略种访问控制策略l入网访问控制。 l网络的权限控制。 l目录级安全控制。 l属性安全控制。 l网络服务器安全控制。 l网络监测和锁定控制

188、。 l网络端口和节点的安全控制。 计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.2 访问控制矩阵l访问控制系统三个要素之间的行为关系可以用一个访问控制矩阵来表示。对于任意一个siS，ojO，都存在相应的一个aijA，且aij=P（si，oj），其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下：其中，Si（i=0，1，m）是主体对所有客体的权限集合，Oj（j=0，1，n）是客体对所有主体的访问权限集合计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.3 访问控制的内容l访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管

189、理，最后要对非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计三个方面的内容。l认证：认证：包括主体对客体的识别认证和客体对主体检验认证。l控制策略的具体实现：控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。l安全审计：安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”，它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。计计

190、 算算 机机 网网 络络 安安 全全 技技 术术5.2 访问控制模型l自主访问控制模型 l强制访问控制模型 l基于角色的访问控制模型 l其他访问控制模型基于任务的访问控制模型基于对象的访问控制模型 计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.1 自主访问控制模型l自主访问控制模型（Discretionary Access Control Model，DAC Model）是根据自主访问控制策略建立的一种模型，它基于对主体或主体所属的主体组的识别来限制对客体的访问，也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。l自主访问控制又称为任意访问控制，一个

191、主体的访问权限具有传递性。 l为了实现完整的自主访问系统，DAC模型一般采用访问控制表来表达访问控制信息。l访问控制表（Access Control List，ACL）是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表，来表示各个主体对这个客体的访问权限。明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的客体oj附加的访问控制表的结构如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术Ojs0rs1ws2esxrwe对于客体oj，主体s0只有读（r）的权限；主体s1只有写（w）的权限；主体s2只有执行（e）的权限；主体sx具有读（r

192、）、写（w）和执行（e）的权限。但是，在一个很大的系统中，可能会有非常多的主体和客体，这就导致访问控制表非常长，占用很多的存储空间，而且访问时效率下降。使用组（group）或者通配符可以有效地缩短表的长度。用户可以根据部门结构或者工作性质被分为有限的几类。同一类用户使用的资源基本上是相同的。因此，可以把一类用户作为一个组，分配一个组名，简称“GN”，访问时可以按照组名判断。通配符“*”可以代替任何组名或者主体标识符。这时，访问控制表中的主体标识为：主体标识=IDGN。其中，ID是主体标识符，GN是主体所在组的组名。计计 算算 机机 网网 络络 安安 全全 技技 术术带有组和通配符的访问控制表示

193、例带有组和通配符的访问控制表示例 l上图的第二列表示，属于TEACH组的所有主体都对客体oj具有读和写的权限；但是只有TEACH组中的主体Cai才额外具有执行的权限（第一列）；无论是哪一组中的Li都可以读客体oj（第三列）；最后一个表项（第四列）说明所有其他的主体，无论属于哪个组，都不具备对oj有任何访问权限。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.2 强制访问控制模型l自主访问控制的最大特点是自主，即资源的拥有者对资源的访问策略具有决策权，因此是一种限制比较弱的访问控制策略。这种方式给用户带来灵活性的同时，也带来了安全隐患。l和DAC模型不同的是，强制访问控制模型（Man

194、datory Access Control Model，MAC Model）是一种多级访问控制策略，它的主要特点是系统对主体和客体实行强制访问控制：系统事先给所有的主体和客体指定不同的安全级别，比如绝密级、机密级、秘密级和无密级。在实施访问控制时，系统先对主体和客体的安全级别进行比较，再决定主体能否访问该客体。所以，不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。计计 算算 机机 网网 络络 安安 全全 技技 术术l在强制访问控制模型中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。

195、主体对客体的访问主要有4种方式：向下读（rd，read down）。主体安全级别高于客体信息资源的安全级别时允许查阅的读操作。向上读（ru，read up）。主体安全级别低于客体信息资源的安全级别时允许的读操作。向下写（wd，write down）。主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作。向上写（wu，write up）。主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。计计 算算 机机 网网 络络 安安 全全 技技 术术l由于MAC通过将安全级别进行排序实现了信息的单向流通，因此它一直被军方采用。MAC模型中最主要的三种模型为：Lattice模型、B

196、ell LaPadula模型（BLP Model）和Biba模型（Biba Model）。在这些模型中，信息的完整性和保密性是分别考虑的，因而对读、写的方向进行了反向规定。l保障信息完整性策略。为了保障信息的完整性，低级别的主体可以读高级别客体的信息（不保密），但低级别的主体不能写高级别的客体（保障信息完整），因此采用的是上读/下写策略。 l保障信息机密性策略。与保障完整性策略相反，为了保障信息的保密性，低级别的主体不可以读高级别的信息（保密），但低级别的主体可以写高级别的客体（完整性可能破坏），因此采用的是下读/上写策略。 计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.3 基于

197、角色的访问控制模型l在上述两种访问控制模型中，用户的权限可以变更，但必须在系统管理员的授权下才能进行。然而在具体实现时，往往不能满足实际需求。主要问题在于：同一用户在不同的场合需要以不同的权限访问系统，而变更权限必须经系统管理员授权修改，因此很不方便。当用户量大量增加时，系统管理将变得复杂、工作量急剧增加，容易出错。不容易实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。除非同一用户以多个用户名注册。l但是如果企业的组织结构或是系统的安全需求出于变化的过程中时，那么就需要进行大量繁琐的授权变动，系统管理员的工作将变得非常繁重，更主要的是容易发生错误造成

198、一些意想不到的安全漏洞。计计 算算 机机 网网 络络 安安 全全 技技 术术角色的概念角色的概念 l在基于角色的访问控制模型中，角色（role）定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。最小权限指主体在能够完成所有必需的访问工作基础上的最小权限。计计 算算 机机 网网 络络 安安 全全 技技 术术基于角色的访问控制原理基于角色的访问控制原理 l基于角色的访问控制就是通过定义角色的权限，为系统中的

199、主体分配角色来实现访问控制的，如图所示。l用户先经认证后获得一个角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.4 其他访问控制模型l1、基于任务的访问控制模型、基于任务的访问控制模型（Task based Access Control Model，TBAC Model）。 lTBAC是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。其访问控制策略及其内部组件关系一般由系统管理员直

200、接配置，支持最小特权原则和最小泄漏原则，在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；而且在执行任务过程中，当某一权限不再使用时，将自动收回该权限。计计 算算 机机 网网 络络 安安 全全 技技 术术2基于对象的访问控制模型l基于对象的访问控制模型（Object Based Access Control Model，OBAC Model）。lOBAC模型从受控对象的角度出发，将主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制表，增、删、修改访问控制项易于操作；另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体

201、的权限，只需要修改受控对象的相应访问控制项即可，从而减少了主体的权限管理，减轻了由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。计计 算算 机机 网网 络络 安安 全全 技技 术术5.3 访问控制的安全策略与安全级别l访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于规则的安全策略。l这两种安全策略建立的基础都是授权行为。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于规则的安全策略等同于MAC安全策略。计计 算算 机机 网网 络络 安安 全全 技技 术术5.3.1 安全策略l实施原则：访问控制安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的

202、关系展开。l最小特权原则。最小特权原则。是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权主体的危险。也就是说，为了达到一定目的，主体必须执行一定操作，但他只能做他所被允许做的，其他除外。l最小泄漏原则。最小泄漏原则。是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。l多级安全策略。多级安全策略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别

203、的信息资源，只有安全级别比它高的主体才能够访问。计计 算算 机机 网网 络络 安安 全全 技技 术术基于身份的安全策略基于身份的安全策略 l基于身份的安全策略是过滤对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略，主要有两种基本的实现方法，分别为能力表和访问控制表。l基于个人的策略。基于个人的策略。基于个人的策略是指以用户个人为中心建立的一种策略，由一些列表组成。这些列表针对特定的客体，限定了哪些用户可以实现何种安全策略的操作行为。l基于组的策略。基于组的策略。基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样

204、的访问控制规则访问同样的客体。计计 算算 机机 网网 络络 安安 全全 技技 术术基于规则的安全策略基于规则的安全策略 l基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。在实现上，由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。计计 算算 机机 网网 络络 安安 全全 技技 术术5.3.2 安全级别l安全级别有两个含义，一个是主、客体系统资源的安全级别，分为有层次的安全级别和无层次的安全级别；另一个是访问控制系统实现的安全级别，这和可信计算机系统评估标准的安全级别是一样

205、的，分为D，C（C1，C2），B（B1，B2，B3）和A共4类7级，由低到高。计计 算算 机机 网网 络络 安安 全全 技技 术术5.4 安全审计l计算机网络安全审计是通过一定的策略，利用记录和分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面，发现系统的漏洞并改进系统的性能和安全。审计是计算机网络安全的重要组成部分。计计 算算 机机 网网 络络 安安 全全 技技 术术5.4.1 安全审计概述l安全审计的目标：对潜在的

206、攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为，提供有效的追究责任的证据，评估损失，提供有效的灾难恢复依据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。计计 算算 机机 网网 络络 安安 全全 技技 术术安全审计的类型安全审计的类型 l有三种：系统级审计、应用级审计和用户级审计。l系统级审计。系统级审计。系统级审计的内容主要包括登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网

207、络性能。l应用级审计。应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。l用户级审计。用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。计计 算算 机机 网网 络络 安安 全全 技技 术术安全审计系统的基本结构安全审计系统的基本结构 l安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图所示。

208、系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志记录器日志分析器审计分析报告日志文件审计策略和规则计计 算算 机机 网网 络络 安安 全全 技技 术术5.4.2 日志的审计l日志的内容：日志系统可根据安全要求的强度选择记录下列事件的部分或全部：审计功能的启动和关闭。使用身份验证机制。将客体引入主体的地址空间。删除客体。管理员、安全员、审计员和一般操作人员的操作。其他专门定义的可审计事件。l通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）、事件和源及目的的位置、事件类型、事件成败等。 计计 算算 机机 网网 络络 安安 全全

209、 技技 术术安全审计的记录机制安全审计的记录机制 l不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成。日志素材Syslog系统调用Syslog守护程序Syslog规则集日志记录系统计计 算算 机机 网网 络络 安安 全全 技技 术术日志分析日志分析 l日志分析就是在日志中寻找模式，主要内容如下：l潜在侵害分析。潜在侵害分析。日志分析应能用一些规则去监控审计事件，并根据规则发现潜

210、在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。l基于异常检测的轮廓。基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。l简单攻击探测。简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。l复杂攻击探测。复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生步骤计计 算算 机机 网网 络络 安安 全全 技技 术术审计事件查阅审计事件查阅 l由于审计系统是追踪、恢复的直接依据，甚至

211、是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。l审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全：审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。有限审计查阅。审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统可选审计查阅。在有限审计查阅的基础上限制查阅的范围。计计 算算 机机 网网 络络 安安 全全 技技 术术审计事件存储l审计事件的存储也有安全要求，具体有如下几种情况。受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改/删除的能

212、力。审计数据的可用性保证。在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。防止审计数据丢失。在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。计计 算算 机机 网网 络络 安安 全全 技技 术术5.4.3 安全审计的实施l为了确保审计数据的可用性和正确性，审计数据需要受到保护，因为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实施得再好的审计也会失去价值。审计应该根据需要（经常由安全事件触发）定期审查、自动实时审查或两者兼而

213、有之。系统管理人员和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计数据，其中包括系统内保存的和归档保存的数据。l与实施有关的问题包括：保护审计数据、审查审计数据和用于审计分析的工具。计计 算算 机机 网网 络络 安安 全全 技技 术术1保护审计数据l访问在线审计日志必须受到严格限制。计算机安全管理人员和系统管理员或职能部门经理出于检查的目的可以访问，但是维护逻辑访问功能的安全管理人员没有必要访问审计日志。l防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需

214、要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计跟踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。此类法律问题应该直接咨询相关法律顾问。l审计跟踪信息的机密性也需要受到保护，如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效计计 算算 机机 网网 络络 安安 全全 技技 术术2审查审计数据l审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其他参数组来检索审计跟踪记录并生成所需的

215、报告，那么审计跟踪检查就会比较容易。l事后检查。l定期检查。l实时检查。 计计 算算 机机 网网 络络 安安 全全 技技 术术3审计工具l审计精选工具。此类工具用于从大量的数据中精选出有用的信息以协助人工检查。在安全检查前，此类工具可以剔除大量对安全影响不大的信息。这类工具通常可以剔除由特定类型事件产生的记录，如由夜间备份产生的记录将被剔除。l趋势/差别探测工具。此类工具用于发现系统或用户的异常活动。可以建立较复杂的处理机制以监控系统使用趋势和探测各种异常活动。例如，如果用户通常在上午9点登录，但却有一天在凌晨4点半登录，这可能是一件值得调查的安全事件。l攻击特征探测工具。此类工具用于查找攻击

216、特征，通常一系列特定的事件表明有可能发生了非法访问尝试。一个简单的例子是反复进行失败的登录尝试。计计 算算 机机 网网 络络 安安 全全 技技 术术5.5 Windows NT中的访问控制与安全审计l 5.5.1 Windows NT中的访问控制l 1Windows NT的安全模型Windows NT采用的是微内核（Microkernel）结构和模块化的系统设计。有的模块运行在底层的内核模式上，有的模块则运行在受内核保护的用户模式上。计计 算算 机机 网网 络络 安安 全全 技技 术术Windows NT的安全模型的安全模型由由4部分构成部分构成 l登录过程（Logon Process，LP）

217、：接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。l本地安全授权机构（Local Security Authority，LSA）：根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。l安全账号管理器（Security Account Manager，SAM）：维护账号的安全性管理的数据库。l安全引用监视器（Security Reference Monitor，SRM）：检查存取合法性，防止非法存取和修改。l这4部分在访问控制的不同阶段发挥各自不同的作用。 计计 算算 机机 网网 络络 安安 全全 技技 术术2Windo

218、ws NT的访问控制过程l（1）创建账号。当一个账号被创建时，Windows NT系统为它分配一个安全标识（SID）。安全标识和账号惟一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。l（2）登录过程（LP）控制。每次用户登录时，用户应输入用户名、口令和用户希望登录的服务器/域等信息，登录主机把这些信息传送给系统的安全账号管理器，安全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给客户机或工作站允许访问的信息，记录用户账号的特权、主目录位置、工作站参数等信息，并返回用户的安全标识和用户所在组的安全标识。工

219、作站为用户生成一个进程。l（3）创建访问令牌。当用户登录成功后，本地安全授权机构（LSA）为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后用户每新建一个进程，都将访问并复制令牌作为该进程的访问令牌。l（4）访问对象控制。当用户或者用户生成的进程要访问某个对象时，安全引用监视器（SRM）将用户/进程的访问令牌中的安全标识（SID）与对象安全描述符（是NT为共享资源创建的一组安全属性，包括所有者安全标识、组安全标识、自主访问控制表、系统访问控制表和访问控制项）中的自主访问控制表进行比较，从而决定用户是否有权访问该对象。l在这个过程中应该注意：安全标识（SID）对应账号的整个有效期，

220、而访问令牌只对应某一次账号登录。计计 算算 机机 网网 络络 安安 全全 技技 术术5.5.2 Windows NT中的安全审计lWindows NT的三个日志文件的物理位置如下：l系统日志：系统日志：包含所有系统相关事件的信息。 %systemroot%system32configsysevent.evtl安全日志：安全日志：包括有关通过NT可识别安全提供者和客户的系统访问信息。 %systemroot%system32configsecevent.evtl应用程序日志：应用程序日志：包括用NT Security authority注册的应用程序产生的信息。 %systemroot%syst

221、em32configappevent.evt计计 算算 机机 网网 络络 安安 全全 技技 术术NT审计子系统结构审计子系统结构 l几乎Windows NT系统中的每一项事务都可以在一定程度上被审计，在Windows NT中可以在Explorer和User manager两个地方打开审计。l在Explorer中，选择Security，再选择Auditing以激活Directory Auditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。l在User manager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。lW

222、indows NT使用一种特殊的格式存放它的日志文件，这种格式的文件可以被事件浏览器（Event viewer）读取。事件浏览器可以在Administrative tool程序组中找到。系统管理员可以使用事件浏览器的Filter选项根据一定条件选择要查看的日志条目。查看条件包括类别、用户和消息类型。计计 算算 机机 网网 络络 安安 全全 技技 术术审计日志的记录格式审计日志的记录格式 lWindows NT的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。下图显示了一个事件记录的结构。记录头数据时间用户名计算机名事件ID源类型种类事件描述可变内

223、容，依赖于事件，可以是问题的文本解释和纠正措施的建议附加数据附加域。如果采用的话，包含以字节或字显示的二进制数据及事件记录的源应用产生的信息计计 算算 机机 网网 络络 安安 全全 技技 术术NT事件日志管理特征事件日志管理特征 lWindows NT提供了大量特征给系统管理员去管理操作系统事件日志机制。例如，管理员能限制日志的大小并规定当文件达到容量上限时，如何去处理这些文件。选项包括：用新记录去冲掉最老的记录，停止系统直到事件日志被手工清除。l当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时，日志停止。另一方面，安全事件日志必须由具有管理者权

224、限的人启动。利用NT的用户管理器，可以设置安全审计规则。要启用安全审计的功能，只需在“规则”菜单下选择“审计”，然后通过查看NT记录的安全事件日志中的安全性事件，即可以跟踪所选用户的操作。计计 算算 机机 网网 络络 安安 全全 技技 术术NT安全日志的审计策略安全日志的审计策略 lNT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（l）登录及注销。登录及注销或连接到网络。（2）用户及组管理。创建、更改或删除用户账号或组，重命名、禁止或启用用户号，设置和更改密码。（3）文件及对象访问。对访问的用户，访问的文件、目录、对象进行审计。如果设置用于打印审计的系统发送打印用户及打印作业

225、的消息，审计通过后才能打印。（4）安全性规则更改。对用户权利、审计或委托关系规则的改动。（5）重新启动、关机及系统级事件。（6）进程跟踪。这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制、间接对象的访问和退出进程。对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体设置。（7）文件和目录审计。 计计 算算 机机 网网 络络 安安 全全 技技 术术管理和维护管理和维护NT审计审计 l通常情况下，Windows NT不是将所有的事件都记录日志，而需要手动启动审计的功能。这时需要首先从“开始”菜单中选择“程序”，然后再选择“管理工具”。从“管

226、理工具”子菜单选择“用户管理器”，显示出“用户管理器”窗口。然后从“用户管理器”菜单中单击Policies（策略），再单击audit（审计），“审计策略”窗口就出现了。接着选择audit these events单选框（审计这些事件）。最后选择需要启动的事件按OK，然后关闭“用户管理器”。值得注意的是，在启动Windows NT的审计功能时，需要仔细选择审计的内容。审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单的审计，然后在监视系统性能的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个较有效率的选择。计计 算算 机机

227、 网网 络络 安安 全全 技技 术术习题五 l简述访问控制的三个要素、7种策略。l简述访问控制的内容。l简述自主访问控制模型、强制访问控制模型、基于角色的访问控制模型。l试述访问控制的安全策略以及实施原则。l简述安全审计的类型。l简述日志内容。日志分析的主要内容是什么？l简述Windows NT的访问控制过程。lWindows的审计系统是如何实现的？采用什么策略？l基于角色的访问控制是如何实现的？有什么优点？ 计计 算算 机机 网网 络络 安安 全全 技技 术术第6章 网络存储备份技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标lRAID、DAS、SAN、NAS存储技术及其

228、特点，DAS、SAN、NAS三种存储技术的比较l磁盘镜像技术和条块技术的工作原理 l备份的方式、备份的层次、备份的类型R l日常备份制度和灾难恢复措施的设计 l祖-父-子(GFS：Grandfather-Father-Son)轮换策略 计计 算算 机机 网网 络络 安安 全全 技技 术术引言引言l网络的发展将我们带入了一个崭新的世界，面对日益激增的各式各样的数据资源，选择一种适合要求的高性能数据存储方式变得十分重要，如何确保数据的一致性、安全性和可靠性，如何实现不同数据的集中管理，如何实现网络上的数据集中访问，如何实现不同主机类型的数据访问和保护等等。所有这些都呼唤着新的网络存储技术及其产品的

229、出现。网络存储和备份技术是保证网络系统安全可靠性的一种很常见、很实用而且非常重要的技术。计计 算算 机机 网网 络络 安安 全全 技技 术术6.1网络存储技术网络存储技术 6.1.1网络存储技术概述l20世纪90年代以前，存储产品大多作为服务器的组成部分之一，这种形式的存储被称为服务器附属存储(Server Attached Storage，SAS)或直接连接存储或直接附属存储（Direct Attached Storage，DAS）l随着IT技术的发展，网络信息系统的数据集中、存储和共享成为了一个亟待解决的问题。进入20世纪90年代初，网络化存储的概念被提出并在短时间内得到了迅速发展。从架构

230、上来分，当今的网络化存储系统主要包括存储区域网络或称存域网络(Storage Area Network，SAN)和网络连接存储或网络附属存储（Network Attached Storage，NAS）两大类。l本节介绍当前流行的几种主要的网络存储技术，包括RAID、DAS、SAN和NAS。计计 算算 机机 网网 络络 安安 全全 技技 术术6.1.2 RAID存储技术 l独立磁盘冗余阵列（Redundant Array of Independent Disks，RAID），其最初所指为廉价磁盘冗余阵列。RAID技术允许将一系列磁盘分组，以实现提高可用性的目的，并提供为实现数据保护而必需的数据冗

231、余。RAID一般是通过磁盘阵列卡控制SCSI磁盘驱动器来实现的。计计 算算 机机 网网 络络 安安 全全 技技 术术RAID的实现方式的实现方式lRAID的软硬件实现方式及其差别RAID硬件阵列是使用专门的磁盘阵列卡来实现的RAID软件阵列是通过支持RAID的操作系统进行配置和管理而实现的 l所有的RAID系统共同的特点，也是其真正的优点则是“热交换”能力：用户可以取出一个存在缺陷的驱动器，并插入一个新的予以更换 l硬件实现：内置(集成)RAID控制器和外置RAID控制器内置RAID控制器通常是以常用的卡件形式插接在计算机主板上，集成RAID控制器则是由主板厂商直接把控制芯片集成在主板上 外置

232、RAID控制器包括从控制器到硬盘等一套设备 计计 算算 机机 网网 络络 安安 全全 技技 术术RAID相关技术相关技术l磁盘镜像技术磁盘镜像就是在一台服务器内安装两个（或者多个）独立的硬盘，即用一块磁盘控制器连接两个性能相同的硬盘。当系统工作时，将数据同时存入这两个硬盘，这两份数据称为镜像关系。当一个硬盘出现故障时，可以使用另一个硬盘，从而保证网络系统正常运行 l奇偶校验技术不必把数据镜像，对整个硬盘的数据进行奇偶校验运算，只需一个硬盘就能保证数据完整性，这就是奇偶校验技术相对于镜像技术的优势 l条块技术 条块（Striping）技术是把进入RAID控制器的数据分割成很多部分，每一部分为一个

233、条块，再采用并行处理方式把条块数据分布到RAID阵列的所有驱动器上 计计 算算 机机 网网 络络 安安 全全 技技 术术l双机集群的磁盘阵列技术双机系统是由两台服务器和共享存储子系统组成的 在双机系统中，每台主机至少安装两块网卡，一块连接到网络上，对外提供服务，另一块相互与另一台主机连接，用于侦测对方的工作状况；每台主机都连接在共享磁盘子系统上。共享磁盘子系统通常为有容错功能的磁盘阵列，各种应用所需的数据均存储在磁盘阵列子系统上lActive/standbyActive/standby模式模式两台服务器一主一备。系统正常运行时，主服务器处于工作状态（Active），另一台服务器则处于备用（st

234、andby）状态；当主服务器出现故障不能提供相关服务时，由备用服务器接替主服务器工作，从而实现容错功能 lActive/ActiveActive/Active模式模式 正常运行时，两台服务器都处于工作状态，提供相同的或不同的服务：当其中任何一台服务器出现故障时，它所承担的工作被对方所接替，使服务不被中断 计计 算算 机机 网网 络络 安安 全全 技技 术术RAID相关技术举例相关技术举例lRAID磁盘镜像原理lRAID阵列条块技术示意图计计 算算 机机 网网 络络 安安 全全 技技 术术RAID的级别（的级别（1）lRAID技术是一种工业标准，但各厂商对RAID级别的定义不尽相同。目前对RAI

235、D级别的定义可以获得业界广泛认可的有4种，即RAID0、RAID1、RAID10和RAID5RAID0：在阵列中采用了条块算法，即读/写数据时多块硬盘同时操作，数据被分散地写在各个硬盘上 RAID1：是指两块硬盘数据进行完全镜像，即通常说的磁盘镜像 RAID10：即RAID0+1。综合了RAID1和RAID0的特点，独立磁盘配置成RAID0，两套完整的RAID0互相镜像（RAID1） RAID5：是将各块独立硬盘进行条块化分割，相同的条块区进行奇偶校验，校验数据平均分布在每块硬盘上 计计 算算 机机 网网 络络 安安 全全 技技 术术RAID的级别（的级别（2）lRAID3是另外一种RAID级

236、别，它和RAID5的机制相同，不同的是，它把校验数据完全放在一块硬盘上，而不是像RAID5那样分散开来。RAID3技术不很常用。lRAID1，RAID3，RAID5及RAID10阵列配合硬盘热插拔技术，可以实现数据的在线恢复，即当RAID阵列中的任何一块硬盘损坏时，不需要用户关机或停止应用服务，就可以更换故障硬盘，系统会通过校验计算自动恢复相应硬盘上的数据，从而不中断操作系统和应用系统的运行，对实现高可靠、高可用系统具有重要的意义。但由于RAID0的无数据冗余条块技术特性，硬盘热插拔技术对于它没有任何意义。计计 算算 机机 网网 络络 安安 全全 技技 术术各RAID级别的比较RAID级别 R

237、AID0 RAID1 RAID3 RAID5 名称 条块镜像专用校验块分散校验条块允许故障否是是是冗余类型无副本校验校验热插拔操作不可可以可以可以硬盘数量一个以上两个三个以上三个以上可用容量最大最小中间中间减少容量无50%一个磁盘一个磁盘读性能高中间高高随机写性能最高中间最低低连续写性能最高中间低最低典型应用无故障的迅速读写允许故障的小文件、随机数据写入允许故障的大文件、连续数据传输允许故障的小文件、随机数据传输计计 算算 机机 网网 络络 安安 全全 技技 术术6.1.3 DAS存储技术lDAS存储拓扑结构。DAS是指直接将存储设备连接到服务器上，连接方式有两种，即SCSI线缆线缆和光纤通道

238、光纤通道。如下图所示：计计 算算 机机 网网 络络 安安 全全 技技 术术DAS存储方式的特点存储方式的特点l优点：由于DAS是采用传统的连接方法，即每个服务器或客户端各自连接自己的DAS设备，使得DAS设备在安装的时候不必考虑其他服务器或客户端对其的影响，网络架构有固定的模式可以套用；DAS的主要优点是价格低廉、配置简单、使用方便；另外，DAS通常被用于单一主机或双机系统中，用于增加硬盘存储容量和提高系统的可用性及可靠性。l缺点：DAS对于大量数据的集中管理显得力不从心，不能适合将分散存储的数据集中起来统一管理的需求。不能提供不同操作系统下的文件共享 当存储容量不足时，想在网络中添加新的DA

239、S设备的时候就会遇到麻烦 每做一次数据整理或设备维护，需要耗费大量的人力物力，有时结果却事倍功半 往往采用数据备份来保护数据 ,加重了服务器负担 当并发用户数量增长的时候，服务器性能会急剧下降，甚至会造成服务器因为不堪重负而瘫痪 计计 算算 机机 网网 络络 安安 全全 技技 术术6.1.4 SAN存储技术l所谓SAN，是指在网络服务器群的后端，采用光纤通道（Fiber Channel，FC）协议连接成高速专用网络，使网络服务器与多种存储设备直接连接。SAN通常由存储设备（专用磁盘阵列、磁带机）和光纤交换机组成。lSAN的最大特点就是可以实现网络服务器与存储设备（如RAID和磁带库）之间的多对

240、多连接，而且，这种连接是本地的高速连接，几个服务器共享存储访问，服务器通过光纤交换机连接到存储系统。 计计 算算 机机 网网 络络 安安 全全 技技 术术SAN存储拓扑结构存储拓扑结构数据库服务器应用服务器交换机A交换机B磁盘阵列子系统磁盘阵列子系统磁盘阵列子系统UNIX客户端UNIX客户端UNIX客户端光纤通道计计 算算 机机 网网 络络 安安 全全 技技 术术SAN的优缺点的优缺点lSAN的主要优点 SAN具有高性能，高扩展性 ；光纤连接距离远； 可连接多个磁盘阵列或磁带库组成存储池，易于管理 。lSAN存在的主要问题 SAN解决方案的最大问题是成本较高 ；SAN可以取代基于服务器的存储模

241、式，但SAN本身缺乏标准，互操作性也是一个主要问题；SAN在异构环境下不能实现文件共享。 计计 算算 机机 网网 络络 安安 全全 技技 术术SAN和和DAS的比较的比较lSAN和DAS相比有很大的优势，SAN的可升级性、稳定性、可用性和性能都大大加强。不过，它最大的优势是集中的管理，这就降低了总拥有成本。l无论是SAN还是DAS存储方案，服务器与存储设备交换的都是数据块，所以比较适合于数据库应用。计计 算算 机机 网网 络络 安安 全全 技技 术术6.1.5 NAS存储技术lNAS或称为网络直联存储设备、网络磁盘阵列，是一种将分布、独立的数据整合为大型、集中化管理的数据中心，以便于对不同主机

242、和应用服务器进行访问的技术。通俗地讲，直接挂接在网上的、提供数据和文件服务的存储设备，实际上就是一台专用的NAS服务器。计计 算算 机机 网网 络络 安安 全全 技技 术术NAS存储拓扑结构存储拓扑结构计计 算算 机机 网网 络络 安安 全全 技技 术术NAS的优缺点的优缺点lNAS产品的显著优点NAS产品是真正即插即用的产品；NAS设备的物理位置放置灵活 ；无需应用服务器的干预，NAS设备允许用户在网络上存取数据，这样既可减小CPU的开销，也能显著改善网络的性能；是最成熟的网络存储解决方案，与其他存储方式相比较，其总拥有成本最低 。 lNAS的主要缺点网络传输数据的能力相对较差； NAS在传

243、输数据的处理过程需要占用处理器资源来中断和重新访问数据流 ；NAS存储的可扩展性也受到设备大小的限制；仅限于使用直接连接存储设备（如专用磁带机或磁带库）或者基于网络的策略，在该策略中，存储设备上的数据通过企业或专用LAN进行备份。计计 算算 机机 网网 络络 安安 全全 技技 术术NAS与磁盘阵列（与磁盘阵列（RAID）的区别）的区别lNAS是一台服务器，有自己的核心，而RAID只是一个存储介质；lNAS直接接到交换机或集线器上，RAID接到服务器后端；lRAID技术的出现，是为了提高数据存储的可靠性。它用效率来换取可靠性。NAS把RAID技术融合在它的文件系统中，这样既提高了数据的可靠性，又

244、利用磁盘的并行操作，提高了系统的整体性能； l控制磁盘只是操作系统职能中的一部分，I/O操作算法效率不高。而NAS的操作系统是专用的，它只管理磁盘I/O，算法效率最高；l当通用文件服务器的CPU进行I/O操作时，系统发生中断，等待I/O完成后才能恢复应用运行。在有NAS的系统中，应用程序需要进行磁盘I/O操作时，I/O操作由NAS完成，在磁盘I/O操作中最费时间的是写操作，NAS将写请求先写到NVRAM（不掉电内存）中，这个动作完成后，应用程序即可恢复运行，所以效率要高得多；l磁盘操作慢的根本原因在于磁头臂的查找是机械动作，所以减少磁头臂的移动次数是提高效率的关键。NAS对磁盘的I/O操作算法

245、，尤其是写操作，比通用操作系统做了极大的改进，它最大限度地减少了磁头臂的移动次数。其算法保证磁头总是停留在一个可写的位置上，并从这个位置连续写下去；l通常的RAID系统，对于通用操作系统来说是外加的，是额外负担。人们使用RAID是为了得到高可靠性，但这是以牺牲一定的系统效率为前提的。NAS的RAID系统是设计在它的专用操作系统中的，它不仅不是额外负担，相反由于多个磁盘的磁头臂可以同时并行读写，所以I/O速度更高了。 计计 算算 机机 网网 络络 安安 全全 技技 术术6.1.6 存储技术的比较lSAN与NAS都是为适应高性能和密集的网络存储要求而在DAS的基础上发展起来的，是新型数据存储模式中

246、的两个主要发展方向。DAS，NAS和SAN三种存储技术的比较如表6.2所示。l今天，SAN已经渐渐与NAS环境相结合，以提供用于NAS设备的高性能海量存储。事实上，许多SAN目前都用于NAS设备的后台，还有很多企业把DAS，SAN，NAS混合配置，以满足存储扩展性和备份的需要。计计 算算 机机 网网 络络 安安 全全 技技 术术DAS、NAS和SAN三种存储技术的比较DASSANNAS协议存储设备驱动程序 FC协议 TCP/IP协议 存储设备的连接与安装使用 为服务器增加新的SCSI卡，把服务器与磁盘阵列物理上直接相连接入，在服务器上做好设备共享，以供使用。安装简单 服务器通过HBA卡、光纤交

247、换机连入SAN网络，是光纤通道接入。须购买管理、在线备份恢复软件。安装复杂 给NAS服务器和存储设备分别安装千兆网卡，通过RJ-45接入网络交换机，属网络接入。安装十分简单 存储设备RAID的分割 各个相对独立的RAID RAID分割情况要视操作系统种类多少而定 在RAID的基础上增加了文件存储操作系统，其RAID是一个整体 对存储设备的使用 只能独享只能独享共享与独享兼顾访问方式只能通过与之连接的主机进行数据访问 客户端通过相应的服务器操作系统才能访问SAN通过文件系统的集中化管理能够实现网络文件的访问数据集中的实现不是好好数据共享的实现 每一个主机管理它本身的文件系统，但不能实现与其他主机

248、共享数据同一操作系统平台用户能够共享真正的数据共享计计 算算 机机 网网 络络 安安 全全 技技 术术DAS、NAS和SAN三种存储技术的比较(续)DASSANNAS系统成本 低高较高维护成本高较高低系统复杂程度高高低系统性能不好好受网络环境影响系统配置较复杂复杂简单系统使用较复杂简单简单系统灵活性差好较好系统扩展性差好好应用限制无无视频等大文件传输数据保护能力较好好好兼容性较好标准不统一，差标准的协议，好可管理性差繁琐，要管理软件容易数据传输率较高高较低计计 算算 机机 网网 络络 安安 全全 技技 术术DAS，SAN，NAS混合配置计计 算算 机机 网网 络络 安安 全全 技技 术术6.2

249、 网络备份技术l任何一个网络都会涉及系统信息安全可靠性的建立和管理问题，由于有些网络系统的实时性、可靠性及安全性要求很高，比如证券、银行网络系统，一旦网络发生重大故障，将会带来不可估量的损失。因此，在构建这些网络系统时，尤其是在网络设计中必须首先考虑安全可靠机制的建立。安全可靠机制是网络系统健康、稳定运行的必要保证，它的建立既涉及到硬件又涉及到软件，是由多方面的综合因素所构成的。备份（Backups）技术就是保证网络系统安全可靠性的一种很常见、很实用而且非常重要的技术。l网络备份系统是指在分布式网络环境下，通过专业的数据存储管理软件，结合相应的硬件和存储设备，来对整个网络的数据备份进行集中管理

250、，从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。其工作原理是在网络上选择一台应用服务器（当然也可以在网络中另配一台服务器作为专用的备份服务器）作为网络数据存储管理服务器，安装网络数据存储管理服务器端软件，作为整个网络的备份服务器。在备份服务器上连接一台大容量存储设备（磁带库或光盘库）。在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件，通过局域网将数据集中备份管理到与备份服务器连接的存储设备上。计计 算算 机机 网网 络络 安安 全全 技技 术术6.2.1 网络备份技术概述l备份的内容 重要数据的备份：重要的数据或数据库 ；系统文件的备份：例如注册表、System.in

251、i、Win.ini等系统核心文件 ；应用程序的备份：用户的应用程序 ；整个分区或整个硬盘的备份：就是平时所说的系统镜像 ；日志文件的备份：动态在线备份 。l备份的层次 软件级:通过某种备份软件将系统数据保存到其他介质上，当系统出现错误时可以再通过软件将系统恢复到备份时的状态硬件级:用冗余的硬件来保证系统的连续运行，如果主硬件损坏，后备硬件马上能够接替其工作 人工级计计 算算 机机 网网 络络 安安 全全 技技 术术l备份的方式完完全备份:将系统中所有的数据信息全部备份 增量备份:只备份上次备份以后变化过的数据信息 差额备份:只备份上次完全备份以后变化过的数据信息 l备份的类型 冷备份 :在没有

252、最终用户访问的情况下关闭数据库，并将其备份 热备份 :正在写入的数据更新时进行备份 逻辑备份:使用软件技术从数据库提取数据并将结果写入一个输出文件 l网络备份的功能 集中式管理网络:备份管理系统对整个网络的数据进行管理 全自动的备份 :根据用户的实际需求，定义需要备份的数据，然后以图形界面方式根据需要设置备份时间表，备份系统将自动启动备份作业，无需人工干预 数据库备份和恢复 归档管理:用户可以按项目、时间定期对所有数据进行有效的归档处理 计计 算算 机机 网网 络络 安安 全全 技技 术术6.2.2 主要存储备份介质l网络存储备份系统使用较多的存储备份介质有：磁带磁带、磁光盘驱动器磁光盘驱动器

253、（MO）、硬盘硬盘、CD-ROM、WORM等。目前被广泛采用的备份介质还是磁带。l硬盘存储备份介质硬盘存储备份介质 ：实时存储和快速读取数据最理想的介质 ，但价格昂贵、无法移动、不便于保管 ,因此采用内部的磁盘机制作为备份的介质并不是大容量数据备份的最佳选择l光学存储备份介质光学存储备份介质 ：传统磁盘技术与光技术结合的产物 ，更适合于数据的永久性归档和小容量数据的备份优点:传送速度快;可靠性高;使用寿命长;可重复使用 缺点:MO的价格较高，仅次于硬盘; MO容量有限，无法适应大量数据备份;理论寿命尚未经过实践检验，值得商榷;数据传输率与其他备份介质相比没有明显优势计计 算算 机机 网网 络络

254、 安安 全全 技技 术术磁带存储备份介质磁带存储备份介质l磁带存储技术是一种安全的、可靠的、易使用和相对投资较小的备份方式 ，真正适合数据存储备份领域。l磁带备份包括硬件介质和软件管理，目前它是用电子方法存储大容量数据最经济方法。磁带系统提供了广泛的备份方案，并且允许备份系统按用户数据的增长而随时地扩容；磁带介质不仅能提供高容量、高可靠性以及可管理性，而且价格比光盘、磁盘介质便直很多。因此，它是备份大量后台非实时处理的数据的最佳备份方案。l按其记录方式可分为数据流磁带机（起源于模拟音频记录技术 ）和螺旋扫描磁带机（起源于模拟视频记录技术 ）两大类。l目前流行于IT市场的主要有4mm磁带机磁带机

255、、8mm磁带机磁带机、DLT磁带机磁带机、DAT磁带机磁带机及LTO磁带机磁带机等几种 。计计 算算 机机 网网 络络 安安 全全 技技 术术lDLTDLT技术技术源于1/2英寸磁带机，每盒容量高达35GB，单位容量成本较低。l4mm4mm技术技术又称数字音频磁带技术，经历了DDS-l、DDS-2和DDS-3三种技术阶段。一般都采用了即写即读和压缩技术，既提高了系统的可靠性和数据传输率，又提高了存储容量。l8mm8mm技术技术基于螺旋扫描记录技术的8mm产品由Exabyte公司开发，本身适合于大容量存储lDATDAT技术技术又称为数字音频磁带技术，最初是由惠普公司与索尼公司共同开发出来的。以螺

256、旋扫描记录为基础，将数据转化为数字后再存储下来。主要应用于多用户系统或局域网，并提供非常合理的价位和数据保护。l磁带存储新技术磁带存储新技术线性磁带开放协议（Linear Tape Open，LTO）技术是一种结合了线性多通道双向磁带格式的磁带存储新技术。优点主要是将服务系统、硬件数据压缩、优化磁道面、高效纠错技术和提高磁带容量性能等结合于一体。计计 算算 机机 网网 络络 安安 全全 技技 术术6.2.3 网络存储备份软件l备份软件技术在整个数据存储备份过程中具有相当的重要性，因为它不仅关系到是否支持磁带的各种先进功能，而且在很大程度上决定着备份的效率。有人认为，最好的备份软件就是操作系统所

257、提供的备份功能，诸如UNIX的tar/cpio、Windows 2000/NT的Windows Backup、Netware的Sbackup等。其实不然，因为这些操作系统仅能提供一些基本的备份功能，缺乏专业备份软件的高速度与高性能，目前比较流行的专业备份软件有CA的ARCserve 2000、Veritas的BackupExec以及Legato的Networker等。大家知道，磁带机对数据传输速度有一定要求，若数据传输率偏低，磁带机就无法连续运转。而专业备份软件通过优化数据传输率自动以较高的传输率进行数据传输，这不仅能缩短备份时间，提高数据存储备份速度，而且对磁带机设备本身也有好处。计计 算算

258、 机机 网网 络络 安安 全全 技技 术术好的备份软件应具备的特点好的备份软件应具备的特点l安装方便、界面友好、使用灵活 ；l备份软件应提供集中管理方式，用户在一台机器上就可以备份从服务器到工作站整个网络的数据 ；l支持跨平台备份 ；l支持文件打开状态备份 ；l支持在网络中的远程集中备份 ；l支持备份介质自动加载的自动备份 ；l支持多种文件格式的备份 ；l支持各种策略的备份方式。备份策略指确定需要备份的内容、时间及备份方式 ；l支持多种备份介质，如磁带、MO光盘等 ；l支持快速的灾难恢复 。计计 算算 机机 网网 络络 安安 全全 技技 术术基于主机的备份软件技术基于主机的备份软件技术l基于主

259、机的备份软件是指数据备份过程需要占用主机的CPU时间，经过文件系统的缓冲通过网络协议传输到另一台服务器，由该服务器将数据写入本地存储介质。这种数据备份（复制）技术支持同步同步和异步异步两种方式。l同步方式的数据备份过程同步方式的数据备份过程 接收写数据请求；将写入请求写到SRL，同时写入数据卷；发送到远端服务器：网络确认；写入到目标卷；数据写入确认。 l异步方式的数据备份过程异步方式的数据备份过程 接收写数据请求；将写入请求写到SRL，同时写入数据卷；发出写完成信号；写入数据卷，并发送给远端服务器；网络确认；数据写入到目标卷；数据写入确认。 计计 算算 机机 网网 络络 安安 全全 技技 术术

260、基于主机的备份软件技术的局限性基于主机的备份软件技术的局限性 l这种备份软件技术需要占用主机资源，因此它存在许多局限性 基于主机的复制操作，主机资源的占用（CPU、内存等）率高；基于TCP/IP的网络连接，降低网络的效率；远程写入主机内存，远程的写确认不可信；十分受限的“逆向”复制，应用系统返回困难；十分受限的远程数据复用，远端资源浪费；基于独立主机的复制技术，数据中心环境难于管理和扩展。计计 算算 机机 网网 络络 安安 全全 技技 术术基于存储的数据备份技术基于存储的数据备份技术l由于基于主机备份技术的上述局限性，在一些关键业务应用环境中，为了保证数据备份（复制）的实时性和可靠性，通常采用

261、基于存储的数据备份（复制）技术。l基于存储的数据备份技术是指数据的备份复制过程全部由存储设备内置的操作系统命令和软件完成。由于处理器进程，因此对应用系统不会造成影响。这种过程不会中断主机数据的备份（复制）由专用的数据传输链路完成。在电信、金融等关键业务领域，这种技术得到了广泛的应用，典型的软件包括EMC公司的SRDF，HDS公司的TrueCopy以及IBM公司的PPRC等。 计计 算算 机机 网网 络络 安安 全全 技技 术术SRDF软件提供的主要功能软件提供的主要功能l运用虚拟专用网（VPN）和IP协议开展数据复制。l针对大型机、UNIX，Windows NT和AS/400系统的惟一解决方案

262、。l独立于主机进行在线、实时数据镜像，创建一个或多个本地或远程副本。l在几分钟之内实现业务数据可用，通过快速而简单的方式实现恢复。l避免出现计划内停机造成的中断，避免出现“隔夜积压”。l通过多级传输能力和SRDF FarPoint实现最高延伸距离性能和通信线路效率。l支持分散在各个地域的群集。计计 算算 机机 网网 络络 安安 全全 技技 术术6.3 常用网络系统备份方案l对系统进行全面的备份，并不只是复制文件那么简单。一个完整的系统备份方案，应包括备份硬件和软件的选择、备份方案的设计、日常备份制度和灾难恢复措施4个部分。l选择了备份硬件和软件后，还需要根据企业自身情况制定日常备份制度和灾难恢

263、复措施，并由管理人员切实执行备份制度，否则系统安全将仅仅是纸上谈兵。计计 算算 机机 网网 络络 安安 全全 技技 术术6.3.1 备份硬件和备份软件的选择l对备份硬件的要求 ：备份设备应支持实时数据压缩，以进一步提高备份速度。备份介质应价格便宜、可靠性高、可以重复使用、便于移动（备份的数据可以随时保存到安全的地方），备份介质的容量应不小于现有系统的平均数据量（GB级）。备份硬件的技术成熟、可维护性好 。l备份软件的选择 ：在选择备份软件时，除了前面的一些要求外，还应考虑软件质量保证程度、软件对系统性能的影响、软件的可扩充性和软件的运行费用。l网络备份系统工具是网络管理人员必不可少的工具，国外

264、对这方面的研究和开发开始于80年代中期。到目前为止，成熟的产品不多，其中使用最广泛的是CA公司的ARC Serve。目前，ARC Serve已成为了业界的事实标准。计计 算算 机机 网网 络络 安安 全全 技技 术术ARC Serve的优秀特性（的优秀特性（1） l集中式管理、跨网络备份。即在网络上任何一点都能够控制整个网络的备份任务，有效地减少备份系统的运行费用。l灾难的防治与恢复。如果在网络备份的基础之上实施灾难恢复措施，在系统毁损而必须重新安装操作系统及应用程序的状态下，以简单的几个步骤跳过重新安装，可以直接将毁损系统在极短的时间内恢复原状，包括操作系统、系统设置、应用程序及所有的数据。

265、l内置防毒软件，备份前扫描病毒，可以实现无毒备份。l智慧预警系统。当备份发生异常或正常作业完成时，可通过传呼、E-Mail、网络广播等方式自动通知管理员。计计 算算 机机 网网 络络 安安 全全 技技 术术ARC Serve的优秀特性（的优秀特性（2） l跨平台支持。可从单一的网络平台上备份MS-DOS，Netware，Windows 98/NT，OS/2，UNIX等不同平台的数据。支持从服务器到工作站的全面网络备份。l支持多种备份介质。如MO、磁带机、磁带库等。ARC Serve为磁带库设计了专门的模块，与磁带库配合使用可以充分利用硬件性能，成倍提高备份速度。l使用简单，自动化程度高。ARC

266、 Serve可以实现无人值守的自动备份，无需派专人管理，备份过程中还可进行备份程序自动化与自动化磁带管理。l全面保护NetWare和Windows NT操作系统；支持打开文件备份。计计 算算 机机 网网 络络 安安 全全 技技 术术6.3.2 系统备份方案的设计l数据备份是企业最基本的存储需求，其基本目标是保证数据的一致性和完整性。l一般说来，完善的备份系统必须符合稳定性、安全性、全面性、自动化、高性能、操作简单、实时性、容错性等原则。l能否安全有效地进行数据备份主要取决于存储系统的合理结构和存储管理软件的有效管理。计计 算算 机机 网网 络络 安安 全全 技技 术术CACA公司提供的不同存储

267、网络结构的备份方案公司提供的不同存储网络结构的备份方案公司提供的不同存储网络结构的备份方案公司提供的不同存储网络结构的备份方案 lDAS备份方案在该方案中，一台与磁带机相连的服务器充当备份服务器，在其上安装BrightStor Enterprise Backup Server软件及BrightStor Tape Library选件，实现UNIX，Windows NT，AS/400环境下的跨平台备份。在对硬件的操控方面，该方案不仅对客户的多个介质单元有极高的容错能力，还可以自动跟踪磁带机的使用情况。 lNAS备份方案NAS是网络中心型存储技术。在CA的NAS备份方案中，BrightStor EB

268、安装在生产主机上，当生产主机上的数据需要备份时，BrightStor EB可以发出NDMP指令，将备份提交到NAS服务器，然后由NAS服务器控制磁盘阵列、磁带机进行数据备份。lSAN备份方案 与LAN，NAS相比，SAN可以更好地满足企业对存储设备的性能、可用性、可扩展性以及灵活性的要求。 计计 算算 机机 网网 络络 安安 全全 技技 术术典型的典型的SAN备份解决方案备份解决方案 计计 算算 机机 网网 络络 安安 全全 技技 术术6.3.3 日常备份制度设计l日常备份制度描述了每天的备份以什么方式，使用什么备份介质进行，是系统备份方案的具体实施细则。l它包括磁带轮换策略磁带轮换策略和日常

269、操作日常操作规程规程。计计 算算 机机 网网 络络 安安 全全 技技 术术磁带轮换策略l为每天的备份分配备份介质，制定备份方法，可以最有效地利用备份介质。三带轮换策略：这种策略只需要三盘磁带。用户每星期五用一盘磁带对整个网络系统进行增量备份，因此，可以保存系统三个星期内的数据。适用于数据量小，变化速度较慢的网络环境6带轮换策略：这种策略需要6盘磁带。用户从星期一到星期四的每天都分别使用一盘磁带进行增量备份，然后星期五使用第五盘磁带进行完全备份。第二个星期的星期一到星期四重复使用第一个星期的4盘磁带，到了第二个星期五使用第六盘磁带进行完全备份。祖-父-子轮换策略 ：将6带轮换策略扩展到一个月以上

270、，就成为祖-父-子轮换策略。这种策略由三级备份组成：日备份、周备份、月备份。计计 算算 机机 网网 络络 安安 全全 技技 术术祖祖-父父-子轮换策略（子轮换策略（1）l根据周带和月带的数量不同，常见的祖-父-子轮换策略有21盘制、20盘制、15盘制等。下面以20盘制为例介绍其轮换策略原理。每日增量备份（4盘）：周一至周四，每周轮换使用每周完全备份（4盘）：每周五使用一盘，每月轮换一次。每月完全备份（12盘）：每个月的最后一个周五，每年结束后可存档或重新使用。如表所示。计计 算算 机机 网网 络络 安安 全全 技技 术术祖祖-父父-子轮换策略（子轮换策略（2）周一周二周三周四周五第一周日带1增

271、量备份日带2增量备份日带3增量备份日带4增量备份周带1完全备份第二周日带1增量备份日带2增量备份日带3增量备份日带4增量备份周带2完全备份第三周日带1增量备份日带2增量备份日带3增量备份日带4增量备份周带3完全备份第四周日带1增量备份日带2增量备份日带3增量备份日带4增量备份月带1完全备份注意：若当月有五个星期，则第四周的周五需使用周带4，第五周的周五才使用月带1。计计 算算 机机 网网 络络 安安 全全 技技 术术日常操作规程日常操作规程l(使用使用20盘制轮换策略盘制轮换策略 )准备工作。将准备工作。将20盘磁带分为盘磁带分为4盘日带、盘日带、4盘周带、盘周带、12盘月带，并在磁带标签上标

272、注周一至周四、第一周盘月带，并在磁带标签上标注周一至周四、第一周至第四周、至第四周、1月至月至12月。月。日常操作。如果使用日常操作。如果使用ARC Serve的自动备份功能，的自动备份功能，管理人员每天的备份工作仅仅是更换一下磁带，并管理人员每天的备份工作仅仅是更换一下磁带，并看一看最近的备份记录是否正常；如果使用了磁带看一看最近的备份记录是否正常；如果使用了磁带库，连磁带也不用人工更换，只需每天查看备份记库，连磁带也不用人工更换，只需每天查看备份记录即可。录即可。l总之，好的日常备份制度，应充分利用备总之，好的日常备份制度，应充分利用备份硬件和软件的功能，达到自动化或半自份硬件和软件的功能

273、，达到自动化或半自动化，以减少人工干预。动化，以减少人工干预。计计 算算 机机 网网 络络 安安 全全 技技 术术6.3.4 灾难恢复措施设计l灾难恢复措施（Disaster Recovery Plan，DRP）在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。l灾难恢复措施包括：灾难预防制度灾难预防制度灾难演习制度灾难演习制度灾难恢复制度灾难恢复制度计计 算算 机机 网网 络络 安安 全全 技技 术术l灾难预防制度灾难预防制度灾难恢复备份与一般数据备份不同的地方在于，它会自动备份灾难恢复备份与一般数据备份不同的地方在于，它会自动备份系统的重要信息。在系统的重要信息

274、。在Windows NT下，灾难恢复备份要备份下，灾难恢复备份要备份NT的必要启动文件、注册表文件的关键数据、操作系统的关键设的必要启动文件、注册表文件的关键数据、操作系统的关键设置等；在置等；在NetWare下，灾难恢复备份要备份驱动程序、下，灾难恢复备份要备份驱动程序、NDS、非非NetWare分区等重要数据。分区等重要数据。 l灾难演习制度灾难演习制度每过一段时间，应进行一次灾难演习。可以利用淘汰的机器或每过一段时间，应进行一次灾难演习。可以利用淘汰的机器或多余的硬盘进行灾难模拟，以熟练灾难恢复的操作过程，并检多余的硬盘进行灾难模拟，以熟练灾难恢复的操作过程，并检验所生成的灾难恢复软盘和

275、灾难恢复备份是否可靠。验所生成的灾难恢复软盘和灾难恢复备份是否可靠。 l灾难恢复制度灾难恢复制度准备好最近一次的灾难恢复软盘和灾难恢复备份磁带，连接好准备好最近一次的灾难恢复软盘和灾难恢复备份磁带，连接好磁带机，装入磁带，插入恢复软盘，打开计算机电源，灾难恢磁带机，装入磁带，插入恢复软盘，打开计算机电源，灾难恢复过程就开始了。根据系统提示进行下去，就可以将系统恢复复过程就开始了。根据系统提示进行下去，就可以将系统恢复到进行灾难恢复备份时的状态。再利用其他备份数据，就可以到进行灾难恢复备份时的状态。再利用其他备份数据，就可以将服务器和其他计算机恢复到最近的状态。将服务器和其他计算机恢复到最近的状

276、态。 计计 算算 机机 网网 络络 安安 全全 技技 术术6.4 基于CA ARC Serve的备份案例l环境及要求两台NetWare服务器，一台为文件服务器，另一台为数据库服务器，运行Betrieve。要求实现整个网络的数据及系统备份。l方案一 两将数据库服务器作为备份服务器，软件配置为：ARC Serve for NetWare + Disaster Recovery Option。这种方案可以实现以下功能：整个网络中非活跃文件备份；数据库关闭状态备份；系统关键信息（NDS或Bindery）备份；系统灾难恢复。计计 算算 机机 网网 络络 安安 全全 技技 术术l方案二将数据库服务器作为备

277、份服务器，软件配置为：ARC Serve for NetWare + Disaster Recovery Option + Backup Agent for Betrieve。这种方案可以实现以下功能：整个网络中非活跃文件备份；数据库打开状态备份；系统关键信息（NDS或Bindery）备份；系统灾难恢复。l方案三将数据库服务器作为备份服务器，使用磁带库作为备份硬件。软件配置为：ARC Serve for NetWare + Disaster Recovery Option + Backup Agent for Betrieve + Backup Agent for Open Files + T

278、ape Library Option + RAID Option for Tape Library。这种方案可以实现以下功能：整个网络的文件备份，包括活跃状态的文件；数据库打开状态备份；系统关键信息（NDS或Bindery）备份；系统灾难恢复；备份数据的RAID容错；无人值守的备份。 计计 算算 机机 网网 络络 安安 全全 技技 术术习题六l简述磁盘镜像技术和条块技术的工作原理。lRAID有哪几种级别？各有何特点？l分别说明三种存储技术：DAS，NAS和SAN的原理和特点。l简述备份的方式、层次和类型。l如何设计日常备份制度？l常用的存储备份介质和网络存储备份软件有哪些？l六带轮换策略和祖-

279、父-子轮换策略的原理是什么？l如何设计灾难恢复措施？ l详述备份方案的设计步骤。l请结合网络安全实例，设计一个基于CA ARC Serve的系统备份方案。计计 算算 机机 网网 络络 安安 全全 技技 术术第7章 计算机病毒防治技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l病毒的分类、特点和特征、运行机制l反病毒涉及的主要技术l病毒的检测和防治技术、措施l防病毒软件的性能特点、选购指标、工作原理l构筑防病毒体系的基本原则计计 算算 机机 网网 络络 安安 全全 技技 术术7.1计算机病毒概述 7.1.1计算机病毒的定义l“计算机病毒”最早是由美国计算机病毒研究专家F.C

280、ohen博士提出的。“病毒”一词来源于生物学，因为通过分析研究，人们发现计算机病毒在很多方面与生物病毒有着相似之处。l“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。l在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计计 算算 机机 网网 络络 安安 全全 技技 术术7.1.2病毒的发展历史l计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，大范围流行始于20世纪90年代。早期出现

281、的病毒程序是一种特洛伊木马程序，它是一段隐藏在计算机中的恶毒程序，当计算机运行一段时间或一定次数后就使计算机发生故障。但由于当时计算机的功能有限，因此并未广泛传播。1983年出现了计算机病毒传播的研究报告，公布了病毒程序的编写方法。同时有人提出了蠕虫（Worm）病毒程序的设计思想。1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序（当时未给它命名）。这个程序用C语言写了一段自我复制的程序，还插入一段特洛伊木马程序，用来寻找UNIX注册命令的代码。1988年11月2日晚，美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，至第二天凌晨，病毒从美国东

282、海岸传到西海岸，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件，它引起了世界各国的关注。 计计 算算 机机 网网 络络 安安 全全 技技 术术计算机病毒在中国的发展情况计算机病毒在中国的发展情况l在我国，80年代后期已发现有计算机病毒，80年代末，有关计算机病毒进入90年代，计算机病毒在国内的泛滥更为严重。1982年“黑色星期五”病毒侵入我国，某地民航定票网络在星期五这天因病毒发作而受到严重损害，几乎瘫痪。l1985年在国内发现更为危险的“病毒生产机”，它能自动生成大量“同族”新病毒，并且这些病毒可加密、解密，生存

283、能力和破坏能力极强。这类病毒有1537、CLME等。lCIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒是由台湾人编写的（CIH是台湾人陈盈豪的英文缩写），目前发现有三个版本，发作时间一般是每月26日。其中1.3版为6月26日发作，1.4版为每月的26日发作。由于该病毒一般隐藏在盗版光盘、软件、游戏程序中，并能通过Internet迅速传播到世界各地，因此，破坏性极大。病毒发作时，通过复制的代码不断覆盖硬盘系统区，损坏BIOS和主引导区数据，看起来硬盘灯在闪烁，但再次启动时，计算机屏幕便一片漆黑，此时用户硬盘上的分区表已被破坏，数据很难再恢复，它给网络系统

284、带来的损失更严重。 计计 算算 机机 网网 络络 安安 全全 技技 术术l从第一个病毒问世以来，世界上究竟有多少种病毒，说法不一。据国外统计，计算机病毒以10种/周的速度递增。另据我国公安部统计，国内以4种/月的速度递增。目前全世界已知的计算机病毒已超过4万余种，并以每年40%的速度增加，主要病毒已从过去的引导型、文件型发展为宏病毒和网络病毒。特别是随着计算机网络的发展和Internet的普及，病毒传播的速度越来越快，并成为病毒的主要传播途径。l现在，病毒的发展呈现出两个新的趋势：第一，病毒的攻击对象已经从原来个人主机上的文件、内存资源、CPU资源转向网络带宽、网络服务器，而且从工作模式上推断

285、，今后很可能出现诸如对DNS、路由器等网络服务器攻击的病毒；第二，病毒结合了传统病毒自动传播技术和黑客缓冲溢出技术的特点，一旦爆发就会具有规模效应。 计计 算算 机机 网网 络络 安安 全全 技技 术术7.1.3病毒的分类l对计算机病毒的命名，各个组织或公司不尽相同。有时对同一种病毒，不同的软件会报出不同的名称。如“SPY”病毒，在KILL中叫SPY，KV3000则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：按病毒出现的地点；按病毒中出现的人名或特征字符；按病毒发作时的症状命名，如“火炬”、“蠕虫”；按病毒的发作时间，如“黑色星期五”病毒，在星期五的那天同时又是13日就发作；有些

286、名称包含病毒代码的长度等。计计 算算 机机 网网 络络 安安 全全 技技 术术按感染方式分按感染方式分l引导型病毒利用软盘或硬盘的启动原理工作，修改系统的引导扇区（在硬盘中称为主引导记录MBR）。病毒感染引导扇区后，在操作系统启动之前病毒就会被读入内存，并首先取得控制权。在这种状态下，只要在计算机中插入其他软盘等外部存储介质，就都会被感染。l文件型病毒一般只感染磁盘上的可执行文件.COM、.EXE等。在用户调用染毒的执行文件时，病毒首先运行，然后病毒驻留内存，伺机感染给其他可感染文件。其特点是附着于正常程序文件中，成为程序文件的一个外壳或部件。有覆盖感染型、追加感染型和插空感染型三种。 l混合

287、型病毒它兼有上两种病毒特点，既感染引导区又感染文件，因此这种病毒更易感染。 计计 算算 机机 网网 络络 安安 全全 技技 术术按连接方式分按连接方式分l源码型病毒较为少见，亦难编写、传播。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。这样刚刚生成的可执行文件便已经带毒了。l入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以发现和清除。l操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。l外壳型病毒它将自身附在正常程序的开头或结尾，

288、相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类。 计计 算算 机机 网网 络络 安安 全全 技技 术术按破坏性分按破坏性分 l良性病毒它只是为了表现其存在，如只显示某项信息，或播放一段音乐，对源程序不做修改，也不直接破坏计算机的软硬件，对系统的危害较小。但是这类病毒的潜在破坏性还是有的，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。l恶性病毒这种病毒会对计算机的软件和硬件进行恶意的攻击，使系统遭到不同程度的破坏，如破坏数据、删除文件、格式化磁盘、破坏主板、导致系统死机、网络瘫痪等。因此恶性病毒非常危险。计计 算算 机机 网网 络络 安安

289、 全全 技技 术术网络病毒网络病毒l指在网上运行和传播，影响和破坏网络系统的病毒。l上面这些分类都是相对的，同一种病毒按不同的分类方法可属于不同的类型。计计 算算 机机 网网 络络 安安 全全 技技 术术7.1.4病毒的特点和特征l要做好防病毒技术的研究，首先要认清计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。l现根据计算机病毒的产生、感染和破坏行为的分析，总结出病毒的主要特点。计计 算算 机机 网网 络络 安安 全全 技技 术术病毒的主要特点（病毒的主要特点（1）l刻意编写，人为破坏计算机病毒不是偶然自发产生的，而是人为编写的、有意破坏的、严谨精巧的程序段，能与所在环

290、境相互适应并紧密配合。l自我复制能力 自我复制能力也称“再生”或“感染”。再生机制是判断是不是计算机病毒的最重要的依据。在一定条件下，病毒通过某种渠道从一个文件或一台计算机感染到另外没有被感染的文件或计算机，病毒代码就是靠这种机制大量传播和扩散的。l夺取系统控制权 病毒为了完成感染、破坏系统的目的，必然要取得系统的控制权，这是计算机病毒的另外一个重要特点。 计计 算算 机机 网网 络络 安安 全全 技技 术术病毒的主要特点（病毒的主要特点（2）l隐蔽性 在感染上病毒后，计算机系统一般仍然能够运行，被感染的程序也能正常执行，用户不会感到明显的异常，这便是计算机病毒的隐蔽性。 l潜伏性大部分病毒在

291、感染系统后一般不会马上发作，它可长期隐藏在系统中，除了感染外，不表现出破坏性，这样的状态可能保持几天，几个月甚至几年，只有在满足其特定的触发条件后才启动其表现模块，显示发作信息或进行系统破坏。 l不可预见性 不同种类病毒的代码千差万别，病毒的制作技术也在不断提高。同反病毒软件相比，病毒永远是超前的。计计 算算 机机 网网 络络 安安 全全 技技 术术使计算机病毒发作的触发条件使计算机病毒发作的触发条件l利用系统的时间作为触发器，这种触发机制被大量病毒使用。l利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种事件发生的次数，一旦计数器达到设定的值，就执行破坏操作。这些事件可以是计算机开机的

292、次数，可以是病毒程序被运行的次数，还可以是从开机起被运行过的程序数量等。l利用计算机内执行某些特定操作作为触发器。特定操作可以是用户按下某些特定键的组合，可以是执行的命令，也可以是对磁盘的读写等。l被病毒使用的触发条件多种多样，而且往往是由多个条件组合触发。大多数病毒组合条件是基于时间的，再辅以读写盘操作、按键操作以及其他条件。计计 算算 机机 网网 络络 安安 全全 技技 术术计算机病毒的特征计算机病毒的特征 l攻击对象趋于混合型 l反跟踪技术 l增强隐蔽性 避开修改中断向量值 请求在内存中的合法身份维持宿主程序的外部特性 不使用明显的感染标志 l加密技术处理 对程序段动态加密 对显示信息加

293、密 对宿主程序段加密 l病毒繁衍不同变种 计计 算算 机机 网网 络络 安安 全全 技技 术术7.1.5病毒的运行机制l病毒的主要隐藏之处 可执行文件 引导扇区 表格和文档 Java小程序和ActiveX控件l典型的病毒运行机制可以分为感染、潜伏、繁感染、潜伏、繁殖和发作殖和发作4个阶段个阶段 感染是指病毒自我复制并传播给其他程序潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为繁殖是病毒程序不断地由一部计算机向其他计算机进行传播的状态 发作是非法程序所实施的各种恶意行动计计 算算 机机 网网 络络 安安 全全 技技 术术第一阶段第一阶段感染感染l目前，病毒主要通过电子邮

294、件、外部介质、下载这三种途径进入用户的计算机，其中九成以上的病毒是通过电子邮件感染的，Internet正在逐步成为病毒入侵的主要途径。电子邮件 外部介质 下载 计计 算算 机机 网网 络络 安安 全全 技技 术术l无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，可归纳如下：驻入内存。病毒停留在内存中，监视以后系统的运行，选择机会进行感染。判断感染条件。对目标进行判断，以决定是否对其进行感染。感染。通过适当的方式把病毒写入磁盘。文件型病毒与引导型病毒在感染上的主要区别是其感染模块激活的方式不同，引导型多用INT 13H，文件型多用INT 21H。计计 算算 机机 网网 络络 安安 全

295、全 技技 术术第二阶段第二阶段潜伏潜伏l隐蔽是指病毒为了隐藏程序文件已被感染病毒的事实，向用户和防病毒软件提供虚假文件尺寸。比如，用户运行受病毒感染的文件后，病毒不仅会感染其他文件，还常驻内存并开始监视用户操作。如果用户运行文件列表显示等命令查看文件尺寸时，病毒就会代替操作系统提供虚假信息，使用户很难察觉到程序文件已经受到病毒感染的事实 .l自我变异是指病毒通过实际改变自身的形态（病毒特征代码），来逃避防病毒软件的检测。由于在每次感染时都会有不同的病毒特征代码，因此即便与防病毒软件掌握的特征代码相对照，也不会被发现。因此，也有人把此类病毒称为变形病毒。 计计 算算 机机 网网 络络 安安 全全

296、 技技 术术第三阶段第三阶段繁殖繁殖 l现在，病毒主要通过电子邮件入侵计算机。蠕虫病毒就是通过电子邮件进行繁殖的典型。最近发生的大规模病毒感染事件都与蠕虫分不开，有Windows蠕虫和UNIX蠕虫。l梅莉莎是最具代表性的Windows蠕虫病毒。该蠕虫属于感染Word文档文件的宏病毒，会随意使用Word宏功能，启动电子邮件软件Outlook，然后把包括病毒自身副本的Word文档文件作为电子邮件附件发送给Outlook地址薄中前50个邮件地址用户。用户一旦打开或运行该附件，在感染Word的同时，也开始进行蠕虫繁殖。其缺陷是：只能被动地等着计算机用户去运行附件。lUNIX蠕虫的最大特点是：不需用户进

297、行任何操作，即可完全自动地通过网络进行繁殖。因为运行UNIX系统的计算机大都是作为服务器来使用的。所以，UNIX蠕虫首先在合适的IP地址范围内，查找正在运行UNIX操作系统，且具有某种特定安全漏洞的服务器，再利用安全漏洞由外部执行命令，向服务器内部发送并运行蠕虫病毒。计计 算算 机机 网网 络络 安安 全全 技技 术术第四阶段第四阶段发作发作l大部分病毒都是在一定条件下才会发作。在结构上分为两个部分，一部分判断发作的条件是否满足，另一部分执行破坏功能。l发作的条件一般会与时钟或时间有关，因而病毒程序最常修改的中断除了如病毒感染利用的INT 13H、INT 21H外，还有如破坏模块利用的INT

298、8（硬时钟中断），INT 1CH（软时钟中断）及INT 1AH（读取/设立系统时间、日期）。常见的触发条件有：黑色星期五（某月的13号正好是星期五）；当前时间是整点或半点；病毒进入内存已半小时了等。l病毒的破坏行为、主要破坏目标和破坏程度取决于病毒制作者的主观愿望和其技术能力。不同的病毒，其破坏行为各不相同。计计 算算 机机 网网 络络 安安 全全 技技 术术病毒破坏行为归纳病毒破坏行为归纳 l攻击系统数据区。攻击部位包括硬盘主引导区、boot（自举）扇区、FAT表、文件目录。l攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇、对文件加密等。l攻击内存。病毒攻击内存的方式有大

299、量占用、改变内存总量、禁止分配和蚕食内存等。l干扰系统运行，使运行速度下降。l干扰键盘、喇叭或屏幕。l攻击CMOS。在机器的CMOS中，保存着系统的重要数据，有的病毒激活时，能够对CMOS区进行写入动作，破坏CMOS中的数据。l干扰打印机。假报警、间断性打印、更换字符。l网络病毒破坏网络系统。非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。计计 算算 机机 网网 络络 安安 全全 技技 术术7.2网络计算机病毒l网络计算机病毒实际上是一个笼统的概念。一种情况是，网络计算机病毒专指在网络上传播、并对网络进行破坏的病毒；另一种情况是指HTML病毒、E-mail病毒、Java病毒等与I

300、nternet有关的病毒。计计 算算 机机 网网 络络 安安 全全 技技 术术7.2.1网络计算机病毒的特点lInternet的飞速发展给反病毒工作带来了新的挑战。Internet上有众多的软件供下载，有大量的数据交换，这给病毒的大范围传播提供了可能。Internet衍生出一些新一代病毒，即Java及ActiveX病毒。它不需要停留在硬盘中，且可以与传统病毒混在一起，不被人们察觉。更厉害的是它们可以跨操作系统平台，一旦遭受感染，便毁坏所有操作系统。网络病毒一旦突破网络安全系统，传播到网络服务器，进而在整个网络上感染、再生，就会使网络系统资源遭到致命破坏。l计算机网络的主要特点是资源共享。一旦共

301、享资源感染上病毒，网络各节点间信息的频繁传输将把病毒感染到共享的所有机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。 计计 算算 机机 网网 络络 安安 全全 技技 术术网络环境中病毒具有的新特点 l感染方式多 l感染速度快l清除难度大 l破坏性强 l可激发性 l潜在性 计计 算算 机机 网网 络络 安安 全全 技技 术术7.2.2网络对病毒的敏感性l网络对文件病毒的敏感性网络服务器上的文件病毒端到端网络上的文件病毒 Internet上的文件病毒 l网络对引导病毒的敏感性网络服务器上的引导病毒 端到端网络上的引导病毒 Internet上的引导病毒

302、l网络对宏病毒的敏感性 网络服务器上的宏病毒 端到端网络上的宏病毒 Internet上的宏病毒 计计 算算 机机 网网 络络 安安 全全 技技 术术7.3反病毒技术7.3.1 反病毒涉及的主要技术l实时监视技术 为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。l自动解压缩技术 l全平台反病毒技术 为了将反病毒软件与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，在每一个点上都安装相应的反病毒模块，才能做到网络的真正安全和可靠。 计计 算算 机机 网网 络络 安安 全全 技技 术术7.3

303、.2病毒的检测l异常情况判断 屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。硬盘不能引导系统。磁盘上的文件或程序丢失。磁盘读/写文件明显变慢，访问的时间加长。系统引导变慢或出现问题，有时出现“写保护错”提示。系统经常死机或出现异常的重启动现象。原来运行的程序突然不能运行，总是出现出错提示。打印机不能正常启动 。l观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和清除做

304、好准备。计计 算算 机机 网网 络络 安安 全全 技技 术术l计算机病毒的检查 检查磁盘主引导扇区 检查FAT表 检查中断向量 检查可执行文件 检查内存空间 根据特征查找 计计 算算 机机 网网 络络 安安 全全 技技 术术7.3.3病毒的防治l建立、健全法律和管理制度 在相应的法律和管理制度中明确规定禁止使用计算机病毒攻击、破坏的条文，以制约人们的行为，起到威慑作用凡使用计算机的单位都应制定相应的管理制度，避免蓄意制造、传播病毒的事件发生 l加强教育和宣传 大力宣传计算机病毒的危害，引起人们的重视普及计算机硬、软件的基本知识 加强软件市场管理，加强版权意识的教育，打击盗版软件的非法出售 要严

305、格控制病毒的研究和管理 l采取更有效的技术措施 系统安全 软件过滤 文件加密 生产过程控制 后备恢复 其他有效措施其他有效措施 计计 算算 机机 网网 络络 安安 全全 技技 术术其他有效技术措施其他有效技术措施 l重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。 l消灭感染源。也就是对被计算机感染的磁盘和机器彻底消毒处理，使感染源在短时间内同时被消灭 。l建立程序的特征值档案。 l严格内存管理。l严格中断向量的管理。l强化物理访问控制措施，可有效地防止病毒侵入系统。l一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机

306、安全监察部门，特别要注意不要使其继续扩散。计计 算算 机机 网网 络络 安安 全全 技技 术术网络计算机病毒的防治网络计算机病毒的防治l在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。l在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。l对非共享软件，将其执行文件和覆盖文件如*.COM，*.EXE，*.OVL等备份到文件服务器上，定期从服务器上复制到本地硬盘上进行重写操作。l接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再复制到本地硬盘上。l工作站采用防病毒芯片，这样可防止引导型病毒。l正确设置文件属性，

307、合理规范用户的访问权限。 l建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 l目前预防病毒最好的办法就是在计算机中安装防病毒软件。l为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet、用户与网络之间进行隔离。计计 算算 机机 网网 络络 安安 全全 技技 术术电子邮件病毒的防范措施电子邮件病毒的防范措施l不要轻易打开陌生人来信中的附件文件 。l对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行 。l给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再

308、发，以免好心办了坏事 。l不断完善“网关”软件及病毒防火墙，加强对整个网络入口点的防范 。l使用优秀的防毒软件对电子邮件进行专门的保护。 l使用防毒软件同时保护客户机和服务器 。l使用特定的SMTP杀毒软件 。计计 算算 机机 网网 络络 安安 全全 技技 术术7.4软件防病毒技术l防治计算机病毒的最常用方法是使用防病毒软件。但使用防病毒软件是治标不治本的办法，一旦有新的计算机病毒出现，防病毒软件就要被迫相应地升级，它永远落后于计算机病毒的发展，所以计算机病毒的防治根本还是在于完善操作系统的安全机制。计计 算算 机机 网网 络络 安安 全全 技技 术术7.4.1防病毒软件的选择l防病毒软件应有

309、的性能特点 能实时监控病毒可能的入口 。能扫描多种文件，包括压缩文件、电子邮件、网页和下载的文件等 。能定期更新 。用户界面友好，能进行远程安装和管理 。服务优良，技术支持及时、到位，即发现一个新病毒后很短时间内就能获得防治方法 。计计 算算 机机 网网 络络 安安 全全 技技 术术防病毒软件的选购指标防病毒软件的选购指标l选购防病毒、杀病毒软件，需要注意的指标包括扫描速度、正确识别率、误报率、技术支持水平、升级的难易度、可管理性和警示手段等多个方面。一般应选择每30秒钟能够扫描1 000个文件以上的防毒软件。使用一定数量的病毒样本进行测试，正规的测试数量应该在10 000种以上，如果测试的是

310、变形病毒，则每种病毒的变种数量应在200种以上 。可靠、有效地清除病毒，并保证数据的完整性，是一件非常必要和复杂的工作。 计计 算算 机机 网网 络络 安安 全全 技技 术术l上网一族常用的防病毒软件 Virus Scan For Win 95Web ScanX For Win 95或NTeSafe Protect For Win 95l著名杀毒软件公司的站点地址 瑞星公司：北京江民新技术公司 ：McAfee VirusScan: 算算 机机 网网 络络 安安 全全 技技 术术7.4.2防病毒软件工作原理l病毒扫描程序 病毒扫描程序是在文件和引导记录中搜索病毒的程序。它只能检测出已经知道的病

311、毒，对于防止新病毒和未知病毒感染几乎没有什么帮助。多数杀毒软件在它们的反病毒产品套件中都提供某种类型的病毒扫描程序。串扫描算法；入口点扫描算法；类属解密法。l内存扫描程序 内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒 计计 算算 机机 网网 络络 安安 全全 技技 术术l完整性检查器 完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。这些信息可以用于验证原来记录的完整性。在验证时，如果发现文件

312、中的指纹与数据库中的指纹不同，则说明文件已经改变，极有可能已遭病毒感染。大多数完整性检查器会从程序文件中保留以下信息：可执行文件内容的循环冗余校验和；程序入口的前几条机器语言指令；程序的长度、日期和时间 。l行为监视器 行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续 。计计 算算 机机 网网 络络 安安 全全 技技 术术7.4.3构筑防病毒体系的基本原则l化被动为主动及时下载并使用补丁，会使用户在病毒爆发时减少很多麻烦。对于网络管理员，应把重点放在对网络服务

313、器的保护上，同时设置合适的安全选项以提高网络服务程序的安全等级。l全方位保护 在各个病毒入侵通道全面防堵已成为趋势，尤其是针对复制能力极强的蠕虫病毒，必须同时在网关、服务器、客户机等各个节点严密把守，才有可能避免病毒伺机渗透。l技术管理双保险 计计 算算 机机 网网 络络 安安 全全 技技 术术l循序渐进部署合适的防病毒体系 制定系统的反病毒策略部署多层防御战略，在尽可能多的“点”采取病毒防护措施定期更新定义文件和引擎定期更新桌面型计算机中的反毒软件定期备份文件，定期检查从备份中恢复的数据预订电子邮件病毒警报服务计计 算算 机机 网网 络络 安安 全全 技技 术术7.4.4金山毒霸网络版中小企

314、业网络防病毒解决方案l解决方案 在中小企业的网络内部安装一个控制中心，控制中心主要负责管理整个网络所有机器的金山毒霸客户端，并且负责到金山公司毒霸网站下载病毒库和杀毒引擎升级文件。将在中小企业网络范围内的每台机器安装金山毒霸客户端，主要通过远程安装和ActiveX安装的方式，保证网络内的机器都能受到管理员的防毒操作控制。 l金山毒霸网络版适应的操作系统 计计 算算 机机 网网 络络 安安 全全 技技 术术金山毒霸网络版解决方案的评价金山毒霸网络版解决方案的评价l病毒防、杀效果。l部署简单快捷，管理机动自由。l病毒监控体系完善。l扩容方便。可以无级扩容，保护防病毒建设的投资。计计 算算 机机 网

315、网 络络 安安 全全 技技 术术习题七l简述计算机病毒的定义、分类、特点、感染途径。l典型的病毒运行机制可以分为哪4个阶段。l简述网络计算机病毒的特点，网络对病毒的敏感性。l试述反病毒涉及的主要技术。l感染病毒的计算机会出现哪些异常情况？l什么是网络病毒，防治网络病毒的要点是什么？详述电子邮件病毒的防范措施。l根治计算机病毒要从哪几个方面着手？l简述防病毒软件的性能特点、选购指标。l简述防病毒软件的工作原理。l简述构筑防病毒体系的基本原则。l上机练习一：熟练使用KV3000杀毒软件，备份硬盘主引导文件。l上机练习二：金山毒霸网络版或其他具有网络杀毒功能的应用软件的安装与配置、使用。并用其检测你

316、的网络系统，将实验结果写成分析报告。计计 算算 机机 网网 络络 安安 全全 技技 术术第四篇第四篇 信息安全技术信息安全技术第第8章章 数据库系统安全技术数据库系统安全技术 计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l数据库系统的安全框架和安全性要求l数据库的死锁、活锁和可串行化l数据库的备份与恢复方法l攻击数据库的常用方法lOracle数据库的安全管理计计 算算 机机 网网 络络 安安 全全 技技 术术引言引言l数据库系统担负着存储和管理数据信息的任务，是计算机应用技术的一个重要分支，从20世纪70年代后期开始发展，虽然起步较晚，但近30年来已经形成为一门新兴学科。l

317、数据库应用涉及面很广，几乎所有领域都要用到数据库系统。因而，如何保证和加强其安全性和保密性，已成为目前迫切需要解决的热门课题。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1数据库系统安全概述8.1.1 数据库系统的组成l数据库系统的组成 数据库：按一定的规则和方式存取数据的集合体。数据库管理系统（DBMS）：专门负责数据库管理和维护的计算机软件系统 。lDBMS的功能 有正确的编译功能，能正确执行规定的操作。能正确执行数据库命令。能保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容。能识别用户、分配授权和进行访问控制，包括身份识别和验证。顺利执行数据库访问，

318、保证网络通信功能。 lDBA的职责 决定数据库的信息内容和结构 ；决定数据库的存储结构和存取策略 ；定义数据的安全性要求和完整性约束条件 ；确保数据库的安全性和完整性 ；监督和控制数据库的使用和运行 。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.2数据库系统安全的含义l数据库系统运行安全 数据库系统运行安全包括法律、政策的保护，如用户是否有合法权利，政策是否允许等；物理控制安全，如机房加锁等；硬件运行安全；操作系统安全，如数据文件是否保护等；灾害、故障恢复；避免和解除死锁；防止电磁信息泄漏。l数据库系统信息安全 数据库系统信息安全包括用户口令鉴别，用户存取权限控制，数据存取权限

319、、方式控制，审计跟踪，数据加密。 计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.3 数据库系统的安全性要求安全问题注释物理上的数据库完整性 预防数据库数据物理方面的问题。如掉电，以及当被灾祸破坏后能重构数据库 逻辑上的数据库完整性 保持数据的结构。如一个字段的值的修改不至于影响其他字段元素的完整性 包含在每个元素中的数据是准确的 可审计性 能够追踪到谁访问修改过数据的元素 访问控制 允许用户只访问被批准的数据，以及限制不同的用户有不同的访问模式，如读或写 用户认证 确保每个用户被正确地识别，既便于审计跟踪，也为了限制对特定的数据进行访问 可获（用）性 用户一般可以访问数据库以及所

320、有被批准访问的数据 计计 算算 机机 网网 络络 安安 全全 技技 术术数据库管理系统对完整性的要求数据库管理系统对完整性的要求 l数据库的完整性数据库的完整性是DBMS和计算系统管理者的责任。整个数据库的一种保护形式是对系统上的所有文件做周期性备份。l元素的完整性数据库元素的完整性是指它们的正确性和准确性。 字段检查字段检查 通过访问控制来维护数据库的完整性和一致性通过访问控制来维护数据库的完整性和一致性 维护数据库的更改日志。维护数据库的更改日志。 l可审计性计计 算算 机机 网网 络络 安安 全全 技技 术术数据库管理系统对保密性和可获性的要求数据库管理系统对保密性和可获性的要求l访问控

321、制数据库常常根据用户访问权限进行逻辑分割。 数据库管理系统（DBMS）必须实施访问控制策略，指定哪些数据允许被访问或者禁止访问；指定允许谁访问哪些数据，这些数据可以是字段或记录，或者甚至是元素。 对数据库的访问控制和操作系统的访问控制有根本区别。 通过推理访问数据可能不需要有对安全目标的直接访问权。 操作系统和数据库的访问控制目标在规模上是不同的。 l用户认证DBMS在操作系统之外作为一个应用程序被运行，这意味着它没有互操作系统的可信赖路径，因此必须怀疑它所收到的任何数据，包括用户认证。 l可获性DBMS的可获性。问题之一来自于对两个用户请求同一记录的仲裁；问题之二是为了避免暴露被保护的数据而

322、需要扣发某些非保护的数据计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.4 数据库系统的安全框架l数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关。因此，从广义上讲，数据库系统的安全框架可以划分为三个层次，分别为：网络系统层次、操作系统层次、数据库管理系统层次。计计 算算 机机 网网 络络 安安 全全 技技 术术网络系统层次的安全网络系统层次的安全l网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。所以，数据库的安全首先依

323、赖于网络系统，网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络系统层次的安全防范技术有很多种，主要有防火墙、入侵检测技术等。计计 算算 机机 网网 络络 安安 全全 技技 术术操作系统层次的安全操作系统层次的安全l操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在NT和UNIX，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。l其中操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理及其他安全

324、选项，具体可以体现在用户账户、口令、访问权限、审计等方面。l安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境，需要采取的安全管理策略一般也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。l数据安全主要包括：数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。可以采用的技术很多，主要有Kerberos认证，IPSec，SSL，TLS，VPN等技术。计计 算算 机机 网网 络络 安安 全全 技技 术术数据库管理系统层次的安全数据库管理系统层次的安全l当前面两个层次已经被突破的情况下，数据库管理系统在一定程度上能保障数据库数据的安全。目

325、前市场上流行的关系数据库管理系统的安全性功能都很弱，所以，数据库的安全不能得到保障，这就要求数据库管理系统必须有一套强有力的安全机制。数据库管理系统本身提供的用户名/口令识别，视图、使用权限控制，审计等管理措施，大型数据库管理系统Oracle，Sybase，Ingress等均有此功能。应用程序设置的控制管理，如使用较普遍的FoxBASE，FoxPro等。作为数据库用户，最关心自身数据资料的安全，特别是用户的查询权限问题。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.5数据库系统的安全特性 1数据独立性数据独立性l数据独立于应用程序之外。理论上数据库系统的数据独立性分为两种：物理独

326、立性。数据库的物理结构的变化不影响数据库的应用结构，从而也就不影响其相应的应用程序。这里的物理结构是指数据库的物理位置、物理设备等。逻辑独立性。数据库逻辑结构的变化不会影响用户的应用程序。数据类型的修改、增加、改变各表之间的联系都不会导致应用程序的修改。l这两种数据独立性都要靠DBMS来实现。到目前为止，物理独立性已经能基本实现，但逻辑独立性实现起来非常困难，数据结构一旦发生变化，一般情况下，相应的应用程序都要作或多或少的修改。追求这一目标也成为数据库系统结构复杂的一个重要原因。计计 算算 机机 网网 络络 安安 全全 技技 术术2数据安全性l一个数据库能否防止无关人员得到他不应该知道的数据，

327、是数据库是否实用的一个重要指标。如果一个数据库对所有的人都公开数据，那么这个数据库就不是一个可靠的数据库。l完整的数据库对数据安全性采取了以下措施：将数据库中需要保护的部分与其他部分相隔离。使用授权规则。这是数据库系统经常使用的一个办法，数据库给用户ID号和口令、权限。当用户用此ID号和口令登录后，就会获得相应的权限。不同的用户或操作会有不同的权限。比如，对于一个表，某人有修改权，而其他人只有查询权。将数据加密，以密码的形式存于数据库内。计计 算算 机机 网网 络络 安安 全全 技技 术术3数据的完整性l数据完整性这一术语用来泛指与损坏和丢失相对的数据状态。它通常表明数据在可靠性与准确性上是可

328、信赖的，同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据的正确性、有效性和一致性。正确性。数据在输入时要保证其输入值与定义这个表时相应的域的类型一致。如表中的某个字段为数值型，那么它只能允许用户输入数值型的数据，否则不能保证数据库的正确性。有效性。在保证数据正确的前提下，系统还要约束数据的有效性。如对于月份字段，若输入值为17，那么这个数据就是无效数据，这种无效输入也称为“垃圾输入”。当然，若数据库输出的数据是无效的，相应地称为“垃圾输出”。一致性。当不同的用户使用数据库，应该保证他们取出的数据必须一致。l因为数据库系统对数据的使用是集中控制的，因此数据的完整性控制还是比较容易实现

329、的。计计 算算 机机 网网 络络 安安 全全 技技 术术4并发控制l如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，修改存入数据库之前如有其他用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。计计 算算 机机 网网 络络 安安 全全 技技 术术5故障恢复l当数据库系统运行时出现物理或逻辑上的错误时，如何尽快将它恢复正常，这就是数据库系统的故障恢复功能。l数据库的故障主要包括：事务内部的故障系统范围内的故障介质故障计算机病毒与黑客等。计计 算算 机机

330、网网 络络 安安 全全 技技 术术事务内部的故障 l事务（Transaction）是指并发控制的单位，它是一个操作序列。在这个序列中的所有操作只有两种行为，要么全都执行，要么全都不执行。因此，事务是一个不可分割的单位。事务用COMMIT语句提交给数据库，用ROLLBACK语句撤销已经完成的操作。l事务内部的故障多发生于数据的不一致性，主要表现为以下几种：丢失修改。两个事务T1和T2读入同一数据，T2提交的结果破坏了T1提交的结果，T1对数据库的修改丢失，造成数据库中数据错误。不能重复读。事务T1读取某一数据，事务T2读取并修改了同一数据，T1为了对读取值进行校对再读取此数据，便得到了不同的结果

331、。例如，T1读取数据B=200，T2也读取B并把它修改为300，那么T1再读取数据B得到300，与第一次读取的数值不一致。“脏”数据的读出，即不正确数据的读出。T1修改某一数据，T2读取同一数据，但T1由于某种原因被撤销，则T2读到的数据为“脏”数据。例如，T1读取数据B值100修改为200，则T2读取B值为200，但由于事务T1被撤销，其所做的修改宣布无效，B值恢复为100，而T2读到的数据是200，就与数据库内容不一致了。计计 算算 机机 网网 络络 安安 全全 技技 术术系统范围内的故障系统范围内的故障 l数据库系统故障又称为数据库软故障，是指系统突然停止运行时造成的数据库故障。如CPU

332、故障、突然断电、操作系统故障，这些故障不会破坏数据库，但会影响正在运行的所有事务，因为数据库缓冲区的内容会全部丢失，运行的事务非正常终止，从而造成数据库处于一种不正确的状态。这种故障对于一个需要不停运行的数据库来讲，损失是不可估量的。l恢复子系统必须在系统重新启动时让所有非正常终止事务ROLLBACK，把数据库恢复到正确的状态。计计 算算 机机 网网 络络 安安 全全 技技 术术l介质故障。介质故障又称硬故障，主要指外存故障，如磁盘磁头碰撞，瞬时的强磁场干扰。这类故障会破坏数据库或部分数据库，并影响正在使用数据库的所有事务。所以，这类故障的破坏性很大。 l计算机病毒与黑客。计算机病毒的内容详见

333、第8章。病毒发作后造成的数据库数据的损坏必须要求操作者自己去恢复。对于黑客，更需要计算机数据库加强安全管理。这种安全管理对于那些机密性的数据库显得尤为重要。计计 算算 机机 网网 络络 安安 全全 技技 术术8.2数据库的保护l随着计算机越来越深入的使用，一些大型数据库中存储着大量保密性的信息，如国防、金融、军事等方面。若这些数据库中的数据遭到破坏，造成的损失难以估量。所以数据库的保护是数据库运行过程中一个不可忽视的方面。数据库系统必须建立自己的保护机制，提供数据保护功能。l数据库的保护主要包含数据库的安全性、完整性、并发控制和数据库恢复等内容。计计 算算 机机 网网 络络 安安 全全 技技

334、术术8.2.1数据库的安全性l安全性问题是所有计算机系统共有的问题，并不是数据库系统特有的，但由于数据库系统数据量庞大且多用户存取，安全性问题就显得尤其突出。由于安全性问题有系统问题与人为问题，所以一方面用户可以从法律、政策、伦理、道德等方面控制约束人们对数据库的安全使用；另一方面还可以从物理设备、操作系统等方面加强保护，保证数据库的安全；另外，也可以从数据库本身实现数据库的安全性保护。计计 算算 机机 网网 络络 安安 全全 技技 术术数据库安全控制模型数据库安全控制模型 l用户标识和鉴定通过核对用户的名字或身份（ID），决定该用户对系统的使用权l访问控制 给不同的用户对象授予不同的操作权力

335、 l数据分级 为每一数据对象（文件、记录或字段等）赋予一定的保密级 l数据库加密 对数据库文件进行加密处理是解决数据安全问题的最有效办法用户用户DBMSOSDB用户标识和用户标识和鉴定鉴定存取控制存取控制操作系统安操作系统安全保护全保护密码存储密码存储计计 算算 机机 网网 络络 安安 全全 技技 术术1用户标识和鉴定l通过核对用户的名字或身份（ID），决定该用户对系统的使用权。数据库系统不允许一个未经授权的用户对数据库进行操作。l用户用身份和口令登录时，系统用一张用户口令表去验证用户身份。表中只有两个字段：用户名和口令。并且用户输入的口令并不显示在屏幕上，而只是以某种符号代替，如“*”号。系

336、统根据用户的输入验证此用户是否为合法用户。这种方法简便易行，但保密性不是很高。l另外一种标识鉴定的方法是用户先标识自己，系统提供相应的口令表，这个口令表不是简单地与用户输入的口令比较，而是系统给出一个随机数，用户按照某个特定的过程或函数进行计算后给出结果值，系统同样按照这个过程或函数对随机数进行计算，如果与用户输入的相等则证明此用户为合法用户，可以再接着为用户分配权限；否则，系统认为此用户根本不是合法用户，拒绝进入数据库系统。计计 算算 机机 网网 络络 安安 全全 技技 术术2访问控制l数据库系统中，不同的用户对象有不同的操作权力。对数据库的操作权限一般包括查询权、记录的修改权、索引的建立权

337、、数据库的创建权。把这些权力按一定的规则授予用户，以保证用户的操作在自己的权限范围之内。授权规则可以见下表。l数据库的授权由SQL的GRANT（授权）和REVOKE（回收）来完成。关系S关系S关系SC用户1NONESELECTALL用户2SELECTUPDATESELECT DELETE UPDATE用户3NONENONESELECT用户4NONEINSERT SELECTNONE用户5ALLNONENONE计计 算算 机机 网网 络络 安安 全全 技技 术术3数据分级l有些数据库系统对安全性的处理是把数据分级。这种方案为每一数据对象（文件、记录或字段等）赋予一定的保密级。如绝密级、机密级、秘

338、密级和公用级。对于用户，也分成类似的级别。系统便可规定两条规则：用户I只能查看比他级别低的或同级的数据。用户I只能修改和他同级的数据。l在第2条中，用户I显然不能修改比他级别高的数据，但同时也不能修改比他级别低的数据，这是为了管理上的方便。如果用户I要修改比他级别低的数据，那么首先要降低用户I的级别或提高数据的级别使得两者之间的级别相等才能进行修改操作。l数据分级法是一种独立于数值的一种简单的控制方式，它的优点是系统能执行“信息流控制”。 计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（1）l数据库加密的特点：数据库密码系统应采用公开密钥。因为数据库的数据是共享的，有权限的用

339、户随时需要使用密钥来查询数据。因此，数据库密码系统宜采用公开密钥的加密方法。多级密钥结构。数据库关系运算中参与运算的最小单位是字段，查询路径依次是库名、表名、记录名和字段名。因此，字段是最小的加密单位。也就是说当查得一个数据后，该数据所在的库名、表名、记录名、字段名都应是知道的。对应的库名、表名、记录名、字段名都应该具有自己的子密钥，这些子密钥组成了一个能够随时加、解密的公开密钥。加密体制。 加密算法。 计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（2）l不同层次的加密。可以在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。在OS层

340、加密。在OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/解密处理。采用

341、这种加密方式进行加密，加/解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，对数据库的最终用户是完全透明的，不会影响数据库服务器的效率。缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（3）l数据库加密的范围。经过加密的数据库须经得起来自OS和DBMS的攻击；另一方面，DBMS要完成对数据库文件的管理和使用，必须具有能够识别部分数据的条件。因此，只能对数据库中的数据进行部分加密。数据库中不能加密的部分包括：索引字段不能加密。为了达到迅速查询的目的，数据库文件需要建立一些索引，它

342、们的建立和应用必须是明文状态，否则将失去索引的作用。关系运算的比较字段不能加密。DBMS要组织和完成关系运算，参与并、差、积、商、投影、选择和连接等操作的数据一般都要经过条件筛选，这种“条件”选择项必须是明文，否则DBMS将无法进行比较筛选。表间的连接码字段不能加密。数据模型规范化以后，数据库表之间存在着密切的联系，这种相关性往往是通过“外部编码”联系的，这些编码若加密就无法进行表与表之间的连接运算。计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（4）l数据库加密对数据库管理系统原有功能的影响。数据库数据加密以后，DBMS的一些功能将无法使用。无法实现对数据制约因素的定义。S

343、ybase数据库系统的规则定义了数据之间的制约因素。数据一旦加密，DBMS将无法实现这一功能，而且，值域的定义也无法进行。值得注意的是，数据库中的每个字段的类型、长度都有具体的限定。数据加密时，数值类型的数据只能在数值范围内加密，日期和字符类型的数据也都只能在各自的类型范围内加密，密文长度也不能超过字段限定的长度，否则DBMS将无法接受这些加密过的数据。密文数据的排序、分组和分类。select语句中的group by，order by，having子句分别完成分组、排序、分类等操作。这些子句的操作对象如果是加密数据，那么解密后的明文数据将失去原语句的分组、排序、分类作用，显然这不是用户所需要的

344、。SQL语言中的内部函数将对加密数据失去作用。DBMS对各种类型数据均提供了一些内部函数，这些函数不能直接作用于加密数据。DBMS的一些应用开发工具的使用受到限制。计计 算算 机机 网网 络络 安安 全全 技技 术术8.2.2数据库中数据的完整性l数据的完整性主要是指：防止数据库中存在不符合语义的数据，防止错误信息的输入和输出。数据完整性包括数据的正确性、有效性和一致性。数据类型与值域的约束 关键字约束 数据联系的约束计计 算算 机机 网网 络络 安安 全全 技技 术术8.2.3数据库并发控制l目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应

345、允许多个用户并行操作数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。l并发控制的主要方法是封锁技术（Locking）。当某事务修改数据时，将数据封锁，这样在这个事务读取和修改数据时，其他的事务就不能对数据进行读取和修改，直到此事务解除封锁。计计 算算 机机 网网 络络 安安 全全 技技 术术8.3死锁、活锁和可串行化8.3.1死锁与活锁l某个事务永远处于等待状态称为活锁 。解决活锁的最常见方法是对事务进行排队，按“先入先出”的原则进行调度。l两个或两个以上的事务永远无法结束，彼此都在等待对方解除封锁，结果造成事务永远等待，这种封锁叫死锁。计计 算算

346、 机机 网网 络络 安安 全全 技技 术术造成事务永远等待的死锁过程造成事务永远等待的死锁过程时刻事务1事务2t1读取数据A（对A进行封锁） t2读取数据B（对B进行封锁） t3读取数据B（等待） t4读取数据A（等待） 计计 算算 机机 网网 络络 安安 全全 技技 术术解决死锁问题的主要方法解决死锁问题的主要方法l每个事务一次就将所有要使用的数据全部加锁，否则就不能执行。 l预先规定一个封锁顺序，所有的事务都必须按这个顺序对数据执行封锁。 l不预防死锁的发生，而是让系统用某种方法判断当前系统中是否有死锁现象。如果发生死锁再设法解除，使事务再继续运行。计计 算算 机机 网网 络络 安安 全全

347、 技技 术术8.3.2可串行化l并行事务执行时，系统的调度是随机的，因此，需要一个尺度去判断事务执行的正确性。当并行操作的结果与串行操作的结果相同时，我们就认为这个并行事务处理结果是正确的。这个并行操作调度称为可串行化调度。l可串行化是并行事务正确性的准则。这个准则规定，一个给定的交叉调度，当且仅当它是可串行化的，才认为是正确的。计计 算算 机机 网网 络络 安安 全全 技技 术术8.3.3时标技术l时标技术是避免因出现数据不一致而造成的破坏数据库完整性的另外一种方法。由于它不是采用封锁的方法，所以，不会产生死锁的问题。l时标和封锁技术之间的基本区别是：封锁是使一组事务的并发执行（即交叉执行）

348、同步，使它等价于这些事务的某一串行操作；时标法也是使一组事务的交叉执行同步，但是它等价于这些事务的一个特定的串行执行，即由时标的时序所确定的一个执行。如果发生冲突，则通过撤销并重新启动一个事务解决。如果事务重新启动，则赋予新的时标。计计 算算 机机 网网 络络 安安 全全 技技 术术8.4攻击数据库的常用方法l突破Script的限制l对SQL口令的突破l利用多语句执行漏洞lSQL Server的安装漏洞l数据库的利用l数据库扫描工具计计 算算 机机 网网 络络 安安 全全 技技 术术8.5数据库的恢复l恢复也称为重载或重入，是指当磁盘损坏或数据库崩溃时，通过将备份的内容转储或卸载，使数据库返回

349、到原来状态的过程计计 算算 机机 网网 络络 安安 全全 技技 术术数据库的恢复办法数据库的恢复办法 l周期性地（如三天一次）对整个数据库进行转储，把它复制到备份介质中（如磁带中），作为后备副本，以备恢复之用。静态转储是指转储期间不允许对数据库进行任何存取、修改活动 动态转储是指在存储期间允许对数据库进行存取或修改l对数据库的每次修改，都记下修改前后的值，写入“运行日志”数集中。它与后备副本结合，可有效地恢复数据库。计计 算算 机机 网网 络络 安安 全全 技技 术术利用日志文件恢复事务利用日志文件恢复事务l登记日志文件（logging）事务运行过程中，系统把事务开始、事务结束（包括COMMI

350、T和ROLLBACK）以及对数据库的插入、删除、修改等每一个操作作为一个log记录存放到日志文件中。 登记的次序严格按并行事务执行的时间次序。同时遵循“先写日志文件”的规则。 l事务恢复 从头扫描日志文件，找出哪些事务在故障发生时已经结束，哪些事务尚未结束。对尚未结束的事务进行撤销（也称为UNDO）处理，对已经结束的事务进行重做（REDO）处理。 计计 算算 机机 网网 络络 安安 全全 技技 术术l总之，利用转储和日志文件可以有效地恢复数据库。当数据库本身被破坏时（如硬盘故障和病毒破坏）可重装转储的后备副本，然后运行日志文件，执行事务恢复，这样就可以重建数据库；当数据库本身没有被破坏，但内容

351、已经不可靠时（如发生事务故障和系统故障）可利用日志文件恢复事务，从而使数据库回到某一正确状态。这时不必重装后备副本。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6Oracle数据库的安全管理l在Oracle多用户数据库系统中，安全机制做下列工作：防止非授权的数据库存取。防止非授权的对模式对象的存取。控制磁盘使用。控制系统资源使用。审计用户动作。lOracle用下列机制管理数据库的安全性：数据库用户和模式。权限。角色。存储设置和空间份额。资源限制。审计。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.1 Oracle的安全性策略l系统安全性策略管理数据库用户。用户身份确认

352、。操作系统安全性。l用户安全性策略一般用户的安全性 终端用户的安全性l数据库管理者的安全性策略 保护作为SYS和SYSTEM用户的连接。保护管理者与数据库的连接。使用角色对管理者权限进行管理。l应用程序开发者的安全性策略应用程序开发者和他们的权限。 应用程序开发者的环境。应用程序开发者的空间限制。 计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.2 Oracle的用户管理l存取控制Oracle使用多种不同的机制管理数据库安全性，最主要有两种机制：模式和用户。用户的存取权利受用户安全域的设置所控制。每一个用户有一个安全域，它是一组特性。l用户鉴别 为了防止非授权的数据库用户的使用，O

353、racle提供了三种确认方法：操作系统确认、Oracle数据库确认和网络服务确认。l用户的表空间设置和定额用户的默认表空间。用户的临时表空间。数据库表空间的空间使用定额。计计 算算 机机 网网 络络 安安 全全 技技 术术l用户资源限制和环境文件用户资源限制 会话级的用户资源限制 调用级的用户资源限制l用户环境文件用户环境文件是指定资源限制的命名集，可以赋给Oracle数据库的有效用户。利用用户环境文件可以容易地管理资源限制。 计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.3 权限和角色l权限系统权限：执行一些特殊动作或者在对象类型上执行一种特殊动作的权利 对象权限：在指定的表、

354、视图、序列、过程、函数或包上执行特殊动作的权利l角色一个角色可以授予系统权限或对象权限。一个角色可以授权给其他角色，但不能循环授权。任何角色可以授权给任何数据库用户。授权给用户的每一个角色可以是可用的也可以是不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。一个间接授权角色对用户可以显式地使其可用或不可用。在一个数据库中，每一个角色名必须惟一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。计计 算算 机机 网网 络络 安安 全全 技技 术术l一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色

355、。l应用角色是授予的运行数据库应用所需的全部权限。一个应用角色可以授权给其他角色或指定用户。一个应用可以有几种不同角色，具有不同权限组的每一个角色在使用应用时可以进行不同的数据存取。l注意：用户角色是为具有公开权限需求的一组数据库用户建立的。当某用户角色授权给相应的用户后，其权限管理受两方面控制：应用角色本身的权限；被授权给该用户角色的权限。 计计 算算 机机 网网 络络 安安 全全 技技 术术Oracle用角色进行权限管理的优点用角色进行权限管理的优点l减少权限管理。不要显式地将同一权限组授权给几个用户，只需将这个权限组授给角色，然后将角色授权给每一个用户。l动态权限管理。如果一组权限需要改

356、变，只需修改角色的权限，所有该角色的全部用户的安全域将自动地反映对角色所作的修改。l权限的选择可用性。授权给用户的角色可有选择地使其可用或不可用。l应用可知性。当用户经用户名执行应用时，该数据库应用可以查询字典，将自动选择使角色可用或不可用。l应用安全性。角色使用可以由口令保护，应用可以提供正确的口令使用角色，如果不知道其口令，则不能使用角色。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.4 概要文件l概要文件是命名的数据库和系统资源限制的集合。概要文件是Oracle安全策略的重要组成部分，利用概要文件可以对数据库用户进行基本的资源限制，并且可以对用户的口令进行管理。如果DBA需

357、要将资源限制作为自己的数据库安全策略的一部分，则应该建立并指定概要文件，为每个用户设置资源限制参数。计计 算算 机机 网网 络络 安安 全全 技技 术术概要文件中的参数概要文件中的参数l资源限制参数利用概要文件，可以对CPU时间、逻辑读、用户的并发会话数、空闲时间、连接时间等数据库和系统的资源进行限制。对这些资源的限制是通过在概要文件中设置资源参数来实现的。资源参数的值可以是一个整数，也可以是UNLIMITED或DEFAULT，即使用默认概要文件中的参数设置。l口令策略参数账户的锁定口令的过期时间口令的复杂度 l除了可以在概要文件中单独指定对某种资源的限制外，还可以通过设置组合资源限制为一个会

358、话指定资源总限额。通过在概要文件中设置资源总限额，能够在对用户资源进行限制时获得更大的灵活性。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.5 数据审计l数据审计概述审计的功能：审查可疑的活动；监视和收集关于指定数据库活动的数据。审计的类型：语句审计；权限审计；对象审计。审计选择l审计的使用审计登录审计数据库操作审计数据库对象上的DML计计 算算 机机 网网 络络 安安 全全 技技 术术习题八l简述数据库系统的组成及各部分的功能。l数据库系统的安全框架可以划分为哪三个层次？l简述数据库系统的安全特性和安全性要求。l数据库中采用了哪些安全技术和保护措施？简述其要点。l数据库怎样进行

359、并发控制。l数据库的加密有哪些要求？数据库的加密方式有哪些种类？如何修复被破坏的库文件结构。l怎样避免数据库操作的死锁？l时标技术的作用是什么？l简述数据库的恢复方法。l攻击数据库的常用方法有哪些？l事务处理日志在数据库中有何作用？lOracle中保障数据库安全的主要方法有哪些？l说明Oracle中用户、权限和角色的关系。用户权限的管理包括哪些内容？lOracle中概要文件中有几种类型的限制参数，简要介绍它们的作用。lOracle的审计功能是什么？计计 算算 机机 网网 络络 安安 全全 技技 术术第第9章密码技术与压缩技术章密码技术与压缩技术计计 算算 机机 网网 络络 安安 全全 技技 术

360、术本章学习目标l密码通信系统的模型l对称密钥密码体制和非对称密钥密码体制的加密方式和各自的特点l代码加密，替换加密，变位加密，以及一次性密码簿加密等种传统加密方法的加密原理l常见的密码破译方法及防止密码破译的措施lDES算法的加密原理lRSA公开密钥密码算法的原理l压缩软件WinRAR的使用方法计计 算算 机机 网网 络络 安安 全全 技技 术术引言引言l计算机网络安全主要包括系统安全及数据安全两方面的内容。网络系统安全一般采用防火墙、病毒查杀、安全防范等被动措施；而数据安全则主要采用现代密码技术对数据进行主动保护，如数据加密。l随着网络及Internet的不断发展，用户经常使用压缩软件将文件

361、压缩后再进行存储、传输，有的在压缩时同步进行加密处理。同时，数据压缩也是保证数据安全的一种最基本的手段。计计 算算 机机 网网 络络 安安 全全 技技 术术9.1密码技术概述l密码技术包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等。可以说密码技术是保护大型通信网络上传输信息的惟一实现手段，是保障信息安全的核心技术。它不仅能够保证机密性信息的加密，而且能完成数字签名、身份验证、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和准确性，防止信息被篡改、伪造和假冒。计计 算算 机机 网网 络络 安安 全全 技技 术术9.1

362、.1密码通信系统的模型l加密就是一种变换，它把明文P从明文信息空间Sp变换到密文信息空间Sc，Ek就是实现这种变换的带有参数K的加密变换函数Ek：SpSc，式中参数K称为密钥。解密变换 破译 计计 算算 机机 网网 络络 安安 全全 技技 术术9.1.2密码学与密码体制l密码学（Cryptography）包括密码加密学和密码分析学以及安全管理、安全协议设计、散列函数等内容。密码体制设计是密码加密学的主要内容，密码体制的破译是密码分析学的主要内容，密码加密技术和密码分析技术是相互依存、相互支持、密不可分的两个方面。l目前，密钥系统很多。按如何使用密钥的不同，密码体制可分为对称密钥密码体制和非对称

363、密钥密码体制。对称密钥密码体制要求加密解密双方拥有相同的密钥。而非对称密钥密码体制是加密解密双方拥有的密钥不相同，且加密密钥和解密密钥是不能相互算出的。计计 算算 机机 网网 络络 安安 全全 技技 术术对称密钥密码体制对称密钥密码体制 l对称密码体制是从传统的简单换位发展而来的。其主要特点是：加解密双方在加解密过程中要使用完全相同或本质上等同（即从其中一个容易推出另一个）的密钥，即加密密钥与解密密钥是相同的。所以称为传统密码体制或常规密钥密码体制，也可称之为私钥、单钥或对称密码体制。其通信模型如下图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术对称密钥密码体制的加密方式对称密钥密

364、码体制的加密方式l序列密码 序列密码一直是作为军事和外交场合使用的主要密码技术。它的主要原理是：通过有限状态机制产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列。所以，序列密码算法的安全强度完全决定于它所产生的伪随机序列的好坏。 l分组密码 分组密码的工作方式是将明文分成固定长度的组，如64位一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。计计 算算 机机 网网 络络 安安 全全 技技 术术对称密钥密码体制的特点对称密钥密码体制的特点l优点：加解密速度快、安全强度高、使用的加密算法比较简便高效、密钥简短和破译极其困难。l缺点：不太适合在网络中单独使用；对传输信息的完整性

365、也不能作检查，无法解决消息确认问题；缺乏自动检测密钥泄露的能力。计计 算算 机机 网网 络络 安安 全全 技技 术术非对称密钥密码体制非对称密钥密码体制 l在该体制中，密钥成对出现，一个为加密密钥（即公开密钥PK），可以公之于众，谁都可以使用；另一个为解密密钥（秘密密钥SK），只有解密人自己知道；这两个密钥在数字上相关但不相同，且不可能从其中一个推导出另一个，也就是说：即便使用许多计算机协同运算，要想从公共密钥中逆算出对应的私人密钥也是不可能的，用公共密钥加密的信息只能用专用解密密钥解密。其通信模型如下图所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术公开密钥加密系统的优势公开密钥

366、加密系统的优势 l与传统的加密系统相比，公开密钥加密系统有明显的优势，不但具有保密功能，还克服了密钥发布的问题，并具有鉴别功能用户可以把用于加密的密钥公开地分发给任何人。由于公开密钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大地简化了密钥管理。公开密钥加密不仅改进了传统加密方法，还提供了传统加密方法不具备的应用，这就是数字签名系统计计 算算 机机 网网 络络 安安 全全 技技 术术混合加密体制混合加密体制计计 算算 机机 网网 络络 安安 全全 技技 术术9.1.3 加密方式和加密的实现方法l数据块和数据流加密的概念数据块加密是指把数据划分为定长的数据块，再分别加密 数据流加密是指加密

367、后的密文前部分，用来参与报文后面部分的加密l三种加密方式 链路加密方式 节点对节点加密方式端对端加密方式l数据加密的实现方式软件加密硬件加密 计计 算算 机机 网网 络络 安安 全全 技技 术术链路加密方式 l把网络上传输的数据报文的每一位进行加密。不但对数据报文正文加密，而且把路由信息、校验和等控制信息全部加密。所以，当数据报文传输到某个中间节点时，必须被解密以获得路由信息和校验和，进行路由选择、差错检测，然后再被加密，发送给下一个节点，直到数据报文到达目的节点为止。l图中主机A和B之间要经过节点机C。主机A对报文加密，主机B解密。但报文在经过节点C时要解密，以明文的形式出现。即报文仅在一部

368、分链路上加密而在另一部分链路上不加密，如果节点C不安全，则通过节点C的报文将会暴露而产生泄密，仍然是不安全的。计计 算算 机机 网网 络络 安安 全全 技技 术术l由此可以看出在链路加密方式下，只对通信链路中的数据加密，而不对网络节点内的数据加密（中间节点上的数据报文是以明文出现的）。使用链路加密装置（即信道加密机）能为链路上的所有报文提供传输服务：即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有加密装置，以便解密、加密报文l目前一般网络通信安全主要采这种方式。计计 算算 机机 网网 络络 安安 全全 技技 术术节点对节点加密方式节点对节点加密方式 l为了解决在节点中数

369、据是明文的缺点，在中间节点里装有用于加、解密的保护装置，即由这个装置来完成一个密钥向另一个密钥的变换（报文先被解密然后采用另一个不同的密钥重新加密）。因而，除了在保护装置里，即使在节点内也不会出现明文。但是这种方式和链路加密方式一样，有一个共同的缺点：需要目前的公共网络提供者配合，修改他们的交换节点，增加安全单元或保护装置；同时，节点加密要求报头和路由信息以明文形式传输，以便中间节点能得到如何处理消息的信息，也容易受到攻击。计计 算算 机机 网网 络络 安安 全全 技技 术术端对端加密方式端对端加密方式 l也称面向协议加密方式。由发送方加密的数据在没有到达最终目也称面向协议加密方式。由发送方加

370、密的数据在没有到达最终目的地的地接受节点之前不被解密（在中间节点处永不以明文的形接受节点之前不被解密（在中间节点处永不以明文的形式出现）。加密、解密只是在源节点和目的节点进行。因此，这式出现）。加密、解密只是在源节点和目的节点进行。因此，这种方式可以实现按各通信对象的要求改变加密密钥以及按应用程种方式可以实现按各通信对象的要求改变加密密钥以及按应用程序进行密钥管理等，而且采用此方式可以解决文件加密问题。序进行密钥管理等，而且采用此方式可以解决文件加密问题。l是在表示层和应用层完成，即传输前的高层中完成。是在表示层和应用层完成，即传输前的高层中完成。l只能加密报文，而不能对报头加密。只能加密报文

371、，而不能对报头加密。l优点：网络上的每个用户可有不同的加密关键词，并且网络本身优点：网络上的每个用户可有不同的加密关键词，并且网络本身不需增添任何专门的加密设备；缺点是每个系统必须有一个加密不需增添任何专门的加密设备；缺点是每个系统必须有一个加密设备和相应的软件（管理加密关键词）或者每个系统必须自己完设备和相应的软件（管理加密关键词）或者每个系统必须自己完成加密工作，当数据传输率是按兆位成加密工作，当数据传输率是按兆位/秒的单位计算时，加密任务秒的单位计算时，加密任务的计算量是很大的。的计算量是很大的。l链路加密方式和端对端加密方式的区别在于：链路加密方式是对链路加密方式和端对端加密方式的区别

372、在于：链路加密方式是对整个链路的通信采取保护措施，而端对端方式则是对整个网络系整个链路的通信采取保护措施，而端对端方式则是对整个网络系统采取保护措施。因此，端对端加密方式是将来的发展趋势。统采取保护措施。因此，端对端加密方式是将来的发展趋势。计计 算算 机机 网网 络络 安安 全全 技技 术术9.2加密方法 9.2.1加密系统的组成l尽管密码学的数学理论相当高深，但加密的概念却十分简单。加密就是把数据和信息（称为明文）转换为不可辨识形式（称为密文）的过程，使不应了解该数据和信息的人无法识别。l任何加密系统，不论形式多么复杂，至少包括以下个组成部分： 待加密的报文，也称明文。加密后的报文，也称密

373、文。加密、解密装置或称算法。用于加密和解密的密钥，它可以是数字，词汇或者语句。计计 算算 机机 网网 络络 安安 全全 技技 术术9.2.2四种传统加密方法l代码加密发送秘密消息的最简单做法，就是使用通信双方预先设定的一组代码。代码可以是日常词汇、专有名词或特殊用语，但都有一个预先指定的确切含义。它简单有效，得到广泛的应用。 代码简单好用，但只能传送一组预先约定的信息。当然，可以将所有的语意单元（如每个单词）编排成代码簿，加密任何语句只要查代码簿即可。不重复使用的代码是很安全的。代码经过多次反复使用，窃密者会逐渐明白它们的意义，代码就逐渐失去了原有的安全性。l举例密文：黄姨白姐安全到家了。明文

374、：黄金和白银已经走私出境了。计计 算算 机机 网网 络络 安安 全全 技技 术术l替换加密由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种替换密码进行破译。l举例将字母a，b，c，x，y，z的自然顺序保持不变，但使之与D，E，F，A，B，C分别对应（即相差3个字符）若明文为student，则对应的密文为VWXGHQW（此时密钥为3）。 计计 算算 机机 网网 络络 安安 全全 技技 术术l变位加密代码加密和替换加密保持着明文的字符顺序，只是将原字符替换并隐藏起来。变位加密不隐藏原明文的字符，但却将字符重新排序，即把明文中的字母重新排列，字母本身不变，但位置变

375、了。常见的变位加密方法有列变位法和矩阵变位法。 简单的变位加密 ：首先选择一个用数字表示的密钥，写成一行，然后把明文逐行写在数字下。按密钥中数字指示的顺序，逐列将原文抄写下来，就是加密后的密文 。列变位法 ：将明文字符分割成为五个一列的分组并按一组后面跟着另一组的形式排好，最后不全的组可以用不常使用的字符填满。 矩阵变位法：把明文中的字母按给定的顺序安排在一个矩阵中，然后用另一种顺序选出矩阵的字母来产生密文。计计 算算 机机 网网 络络 安安 全全 技技 术术变位加密举例变位加密举例l简单的变位加密密钥： 4 1 6 8 2 5 7 3 9 0明文：来 人 已 出 现 住 在 平 安 里 0

376、1 2 3 4 5 6 7 8 9密文：里 人 现 平 来 住 已 在 出 安l列变位法(这里的密钥是数字5)明文：WHAT YOU CAN LEARN FROM THIS BOOK分组排列为： WWH HA AT TY Y O OU UC CA AN N L LE EA AR RN N F FR RO OM MT T H HI IS SB BO O O OK KX XX XX X密文；WOLFHOHUERIKACAOSXTARMBXYNNTOX。l矩阵变位法 明文ENGINEERING按行排在3*4矩阵中给定一个置换密文为：NIEGERNEN IG。 计计 算算 机机 网网 络络 安安 全全

377、 技技 术术l一次性密码簿加密密码簿的每一页上都是一些代码表，可以用一页上的代码来加密一些词，用后撕掉或烧毁；再用另一页上的代码加密另一些词，直到全部的明文都被加密。破译密文的惟一办法，就是获得一份相同的密码簿。l举例加密过程：（明文与密码按位异或计算） 明文：明文：101101011011101101011011 密码：密码：011010101001011010101001 密文：密文：110111110010110111110010解密过程：（密文与密码按位异或计算） 密文：密文：110111110010110111110010 密码：密码：011010101001011010101001

378、 明文：明文：101101011011101101011011计计 算算 机机 网网 络络 安安 全全 技技 术术9.3密钥与密码破译方法l正如不同的计算机系统使用不同长度的口令一样，不同的加密系统也使用不同长度的密钥。一般地说，在其他条件相同的情况下，密钥越长，破译密码越困难，加密系统就越可靠。l常见系统的口令及其对应的密钥长度常见系统的口令及其对应的密钥长度系统 口令长度 密钥长度 银行自动取款机密码 4位数字 约14个二进制位 UNIX系统用户帐号 8个字符 约56个二进制位 计计 算算 机机 网网 络络 安安 全全 技技 术术密钥的穷尽搜索密钥的穷尽搜索 l破译密文最简单的方法，就是尝

379、试所有可能的密钥组合。在这里，假设破译者有识别正确解密结果的能力。虽然大多数的密钥尝试都是失败的，但最终总会有一个密钥让破译者得到原文，这个过程称为密钥的穷尽搜索。l密钥的穷尽搜索，可以用简单的机械装置，但效率很低，甚至达到不可行的程度。l如果加密系统密钥生成的概率分布不均匀，比如有些密钥组合根本不会出现，而另一些组合则经常出现，那么密钥的有效长度则减小了很多。破译者在了解这一底细之后，就可能大大加快搜索的速度。 计计 算算 机机 网网 络络 安安 全全 技技 术术密码分析密码分析l密码学不断吸引探索者的原因，是由于大多数加密算法最终都未能达到设计者的期望。许多加密算法，可以用复杂的数学方法和

380、高速的计算机运算来攻克。结果，即使在没有密钥的情况下，也会有人解开密文。经验丰富的密码分析员，甚至可以在不知道加密算法的情况下破译密码。密码分析就是在不知道密钥的情况下，利用数学方法破译密文或找到秘密密钥。 已知明文的破译方法：密码分析员掌握了一段明文和对应的密文，目的是发现加密的密钥。选定明文的破译方法：密码分析员设法让对手加密一段分析员选定的明文，并获得加密后的结果，目的是确定加密的密钥。计计 算算 机机 网网 络络 安安 全全 技技 术术其他密码破译方法其他密码破译方法l除了对密钥的穷尽搜索和进行密码分析外，在实际生活中，对手更可能针对人机系统的弱点进行攻击，而不是攻击加密算法本身，以达

381、到其目的。欺骗用户，套出密钥；在用户输入密钥时，应用各种技术手段，“窥视”或“偷窃”密钥内容；利用加密系统实现中的缺陷或漏洞；对用户使用的加密系统偷梁换柱；从用户工作生活环境的其他来源获得未加密的保密信息，比如进行“垃圾分析”；让口令的另一方透露密钥或信息；威胁用户交出密钥。 计计 算算 机机 网网 络络 安安 全全 技技 术术防止密码破译的措施防止密码破译的措施l强壮的加密算法一个好的加密算法往往只有用穷举法才能得到密钥，所以只要密钥足够长就会很安全。 l动态会话密钥每次会话的密钥不同。 l保护关键密钥定期变换加密会话的密钥。因为这些密钥是用来加密会话密钥的，一旦泄漏就会引起灾难性的后果。计

382、计 算算 机机 网网 络络 安安 全全 技技 术术9.4数据加密标准DES算法 9.4.1DES算法概述l为了建立适用于计算机系统的商用密码，美国国家标准局（NBS）于1973年5月和1974年8月两次发布通告，向社会征求密码算法，IBM公司提出的算法lucifer中选。并于1976年11月被美国政府采用，lucifer随后被美国国家标准局和美国国家标准协会（American National Standard Institute，ANSI）承认。1977年1月以数据加密标准DES（Data Encryption Standard）的名称正式向社会公布。lDES是一种分组密码，是专为二进制编码

383、数据设计的。计计 算算 机机 网网 络络 安安 全全 技技 术术DES算法加密流程算法加密流程l输入64位的明文。l初始变换IP，换位操位。l16轮乘积变换（迭代运算），在每轮处理中，64位的密钥（去掉8个奇偶校验位，实际上是56位）经过了变换、左移若干位、再变换，得出一个惟一的、48位的轮次子密钥，每个子密钥控制一轮对数据加密运算的乘积变换。l逆初始变换IP-1，这是第（2）步的逆变换。l输出64位密文。计计 算算 机机 网网 络络 安安 全全 技技 术术DES加密算法描述加密算法描述lDES加密算法描述为：Ek(m)=IP-1*T16*T15* *T1*IP(m)。其中：IP为初始变换，I

384、P-1是IP的逆初始变换，Ti（i=1，2，16）是16轮乘积变换（迭代）运算。lDES算法的加密过程如下：将64位明文数据用初始变换IP置换，得到一个乱序的64位明文，然后分成左右等长的、各32位的两个分组，分别记为L0和R0。接着在48位的子密钥K1、K2、K16分别作用下，进行16轮完全类似的乘积变换（迭代）运算，第i轮的乘积变换（迭代）运算得到Li和Ri，最后一轮（第16轮）的乘积变换（迭代）运算得到L16和R16，需将其左右交换位置，得到64位数据R16L16。最后再用初始逆变换IP-1进行置换，产生64位密文数据。计计 算算 机机 网网 络络 安安 全全 技技 术术DES解密算法描

385、述解密算法描述lDES算法是对称的，既可用于加密又可用于解密。DES的解密过程和DES加密完全类似，只不过将16轮的子密钥序列K1、K2、K16的顺序倒过来，即第一轮用第16个子密钥K16，第2轮用K15，依此类推。lDES解密算法为：m= Ek-1Ek（m）= IP-1 *T1*T2*T16*IPEk（m）。计计 算算 机机 网网 络络 安安 全全 技技 术术9.4.2DES算法加密原理lDES算法大致可以分成四个部分：初始变换乘积变换（迭代运算）逆初始变换子密钥生成 计计 算算 机机 网网 络络 安安 全全 技技 术术初始变换初始变换lIP表的意思是：明文中的第58位移到第1位，明文中的第

386、50位移到第2位，以此类推。在初始换位表IP的作用下，得到一个乱序状态的64位明文，其中前面32位是L0，后面32位是R0，即：lL0=m58m50m42m34m16m8lR0=m57m49m41m33m5m7初始变换是换位操作。换位时不用密钥，仅对64位明文m进行换位操作。用IP表示： 计计 算算 机机 网网 络络 安安 全全 技技 术术逆初始变换逆初始变换 lIP-1的作用是：将通过IP初始变换后已处于乱序状态的64位数据，变换到原来的正常位置。例如，明文m中的第60位数据m60在初始变换后处于第9位，而通过逆初始变换，又将第9位换回到第60位；第1位数据m1经过初始变换后，处于第40位，

387、在逆初始变换IP-1作用下，又将第40位换回到第1位。逆初始变换用IP-1表示，它和IP互逆。IP-1满足：IP*IP-1=IP-1*IP=I逆初始变换IP-1表：计计 算算 机机 网网 络络 安安 全全 技技 术术乘积变换（迭代）过程乘积变换（迭代）过程 lDES算法的核心部分是迭代运算。lDES加密时把明文以64位为单位分成块。64位的明文数据经初始变换后进入加密迭代运算：每轮开始时将输入的64位数据分成左、右长度相等的两半，右半部分原封不动地作为本轮输出数据的左半部分，即下一轮迭代输入数据的左半部分；同时对右半部分进行一系列的变换：先用轮函数f作用于右半部分，然后将所得结果（32位数据）

388、与输入数据的左半部分进行逐位异或，最后将所得数据作为本轮输出的64位数据的右半部分。l这种加密迭代运算要重复16次。如图所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术计计 算算 机机 网网 络络 安安 全全 技技 术术DES第第i轮乘积变换（迭代）过程轮乘积变换（迭代）过程 f（ Ri-1， Ki）的功能：将32位的输入转化为32位的输出计计 算算 机机 网网 络络 安安 全全 技技 术术l图中，Li-1和Ri-l分别是第i-1轮迭代结果的左右两部分，各32位。L0，R0是初始输入经IP变换后的结果。Ki是64位密钥产生的、长度为48位的子密钥。l迭代运算的关键在于轮函数f（Ri

389、-1，Ki）。轮函数f（Ri-1，Ki）的功能是将32位的输入转化为32位的输出，见上图中的黑框框住部分。l为了将32位的右半部分与56位的密钥相结合，需要进行两个变换：通过重复某些位将32位的右半部分扩展为48位，而56位密钥则通过选择其中的某些位则减少至48位。轮函数f由扩展置换运算E、与子密钥Ki的逻辑异或运算、选择压缩运算（S-盒代换）、以及置换P组成。下面先介绍这几种运算。计计 算算 机机 网网 络络 安安 全全 技技 术术（1）扩展置换运算）扩展置换运算E l扩展置换运算E的作用是将32位的输入扩展为48位的输出。l第i轮迭代的64位输入数据分为左右两个大小相等的部分L(i-1)

390、、 R(i-1) ，每部分为一个32位二进制的数据块。l把R(i-1)视为由8个4位二进制的数据块组成（4列8行），把它们扩充为8个6位二进制的块（最左边、最右边各增加一列，变为6列8行） 。 l用E（R(i-1)）表示这个变换，称为扩展置换运算E：计计 算算 机机 网网 络络 安安 全全 技技 术术32位的R(i-1) 排成4列8行扩展列，扩展方法为：把前一列数据后面紧跟的那个数据添上去扩展列，扩展方法为：把后一列数据前面的那个数据添上去扩展后变扩展后变为为6列列8行，行，共共48位位计计 算算 机机 网网 络络 安安 全全 技技 术术（2）与子密钥Ki的逻辑异或运算l在第i轮迭代中，使用4

391、8位二进制的子密钥（由 56位密钥生成）K(i) ，Ki如何产生的将在后面介绍。lK(i) =k1(i) k2(i) k48(i) lKi与E（R(i)）作逻辑异或运算“”是按位作不进位加法运算。即：10=0l=l，00=1l=0。l所以，输出仍是48位，组成8行（每行为1组，共8组），每行6位（每组6位）。计计 算算 机机 网网 络络 安安 全全 技技 术术（3）选择压缩运算（S-Box代换，或S-盒代换）lDES算法共有8个S-盒，分别为S1、S2、S8。每个S-盒为一非线性代换，每盒输入为6位，输出为4位，8个S-盒共输出32位。所以，选择压缩运算的作用是：将扩展置换运算E的结果与子密钥

392、逻辑异或运算后的48位输出，顺序分成8组，每组6位，分别通过S1、S2、S8后又压缩为32位。l假设Si盒（i=1、2、8）的6个输入端为b1b2b3b4b5b6l其中第第1位和第位和第6位组成的二进制数确定位组成的二进制数确定Si的行的行（b1b6行03行），中间中间4位二进制数用来确定位二进制数用来确定Si的列的列（b2b3b4b5列015列）。在S表中找出Si的相应行、列位置的十进制数（S表中的元素每行都是十进制数015的某一种排列），将其转化为将其转化为4位二进制数，便是位二进制数，便是Si盒的输出盒的输出，参见下表。计计 算算 机机 网网 络络 安安 全全 技技 术术例如，假设S2的

393、输入为101001，则行数和列数的二进制表示分别是11和0100，即第3行和第4列，S2的第3行第4列的十进制数为3，用4位二进制数表示为0011，所以S2的输出为0011。计计 算算 机机 网网 络络 安安 全全 技技 术术（4）置换P（P-Box置换）l置换函数P将S-盒的32位输出作为输入并改变其数据顺序，改变后的顺序如下：l即若32位输入为：a1，a2，a32，则输出为：a16，a7，a20，a21，a11，a4，a25。lS-盒输出的32位经P置换，最后得到32位的：f（Ri-1，Ki）。计计 算算 机机 网网 络络 安安 全全 技技 术术（5）每轮的迭代输出l把Li-1与f（Ri-

394、1，Ki）逻辑异或（按位相加），形成Ri，且令Ri-1为Li，即得到第i轮迭代加密后的输出L iRi：lLi=Ri-1lRi=Li-1f（Ri-1，Ki）l可以看出，DES加密算法的每一次迭代都用换位法和置换法对上一次迭代的输出进行加密变换。为了使最后输出的密文与原始输入的明文没有明显的函数关系，DES算法采用16次迭代。进行16轮完全类似的迭代运算后，将所得左、右长度相等的两半L16和R16交换，得64位数据R16 L16，以保证加密和解密的对称性。计计 算算 机机 网网 络络 安安 全全 技技 术术子密钥的生成流程子密钥的生成流程PC-1、PC-2代表不同的两个子密钥换位表，C0、D0表示

395、两个28位的数据，LSi表示循环左移。 计计 算算 机机 网网 络络 安安 全全 技技 术术l首先，用子密钥换位表1（PC-1）对给定的64位密钥数据K进行变换作用：去掉其中的8位奇偶校验位第8、16、24、32、40、48、56、64位，并对剩下的、实际有效的56位密钥进行重新排序，输出56位的数据顺序如下：计计 算算 机机 网网 络络 安安 全全 技技 术术例如：假设例如：假设例如：假设例如：假设C1=c1c2c28C1=c1c2c28，D1=d1d2d28D1=d1d2d28，进行第，进行第，进行第，进行第2 2轮迭代，应循环轮迭代，应循环轮迭代，应循环轮迭代，应循环左移左移左移左移l

396、l位，故：位，故：位，故：位，故：C2=c2c3c28c1C2=c2c3c28c1，D2=d2d3d28dlD2=d2d3d28dl但接下来进行的第但接下来进行的第但接下来进行的第但接下来进行的第3 3轮迭代，应循环左移轮迭代，应循环左移轮迭代，应循环左移轮迭代，应循环左移2 2位，故：位，故：位，故：位，故：C3=c4c5c28c1c2c3C3=c4c5c28c1c2c3，D3=d4d5d28dld2d3D3=d4d5d28dld2d3l其次，将经过PC-l变换后得到的56位数据分为左右等长、各28位的两部分，分别记为C0和D0lC0=k57k49k41k52k44k36lD0=k63k55

397、k47k20k12k4l接着进行循环左移（用LSi表示）。每轮迭代时，循环左移的位数不尽相同：当i=1、2、9、16时，LSi循环左移1位；其它情况下，LSi循环左移2位。循环左移的位数如下表所示：计计 算算 机机 网网 络络 安安 全全 技技 术术l最后，用子密钥换位表2（PC-2）对每轮的56位数据CiDi进行变换作用：去掉其中的8位数据（去掉第9、18、22、25、35、38、43、54位），同时对剩下的48位数据进行重新排序，作为本轮迭代的子密钥Ki。l所以，PC-2的作用是从56位中选出48位输出：PC-2141711241532815621102319124268167272013

398、2415231374755304051453348444939563453464250362932计计 算算 机机 网网 络络 安安 全全 技技 术术小小 结结lDES算法进行16轮完全类似的迭代运算后，最后进行逆初始变换。l这样，就用密钥把输入的64位明文数据转换成了64位看起来被完全打乱了的密文数据。计计 算算 机机 网网 络络 安安 全全 技技 术术9.5RSA公开密钥密码算法lRSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman三位教授于1966年提出的，RSA的取名就是来自于这三位发明者姓氏的第一个字母。在迄今为止的所有公钥密码体系中，RSA系统是最著名、

399、理论上最为成熟完善、使用最广泛的一种公钥密码体制。它的安全性是基于大整数的分解，而体制的构造是基于Euler定理。计计 算算 机机 网网 络络 安安 全全 技技 术术RSA算法的原理算法的原理l这种算法的要点在于，它可以产生一对密钥，一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。同时，任何人都无法通过公钥确定私钥，也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。计计 算算 机机 网网 络络 安安 全全 技技 术术RSA算法的演算过程算法的演算过程l密钥配制过程假设m为需要加密传送的报文，密钥配制过程就是设计出公开密钥PK与秘密密钥SK。任选两

400、个不同的大素数p与q（注意：p，q必须保密），使得n=pqm；设z=(p-1)(q-1)，则可找出任意一个与z互素的正整数e，即e与(p-1)(q-1)互素；利用辗转相除法，可计算其逆d，使之满足：ed mod(p-1)(q-1)=1，其中mod是整数求余运算。公开密钥为：PK=（n，e），用于加密，可以公开出去（在网络、电话簿等公开媒体上公布）；其中没有包含任何有关n的因子p和q的信息。秘密密钥为：SK=（n，d），用于解密，必须保密；显然d中隐含有因子p和q的信息。故n和e可公开，而p，q，d是保密的。l加密设m为要传送的明文，利用公开密钥（n，e）加密，c为加密后的密文。则加密公式为：c

401、= me mod n，（0cn）。l解密利用秘密密钥（n，d）解密。则解密公式为：m= cd mod n，（0mn）。计计 算算 机机 网网 络络 安安 全全 技技 术术关于关于RSA算法的几点说明算法的几点说明l要求e与(p-1)(q-1)互质，是为了保证ed mod (p-1)(q-1)有解。计算d采用求两数最大公因子的辗转相除法。l在实际应用中，通常首先选定e，再找出素数p和q，使得ed mod (p-1)(q-1)=1成立。这样做较容易一些。l虽然破译者可以通过将n分解成pq的办法来解密，但是目前无法证明这是惟一的办法。l因数分解是个不断发展的领域。自RSA算法发明以来，越来越有效的因

402、数分解方法不断发现，降低了破译RSA算法的难度，只是至今还未达到动摇RSA算法根基的程度。RSA算法中，n的长度是控制算法可靠性的重要因素。计计 算算 机机 网网 络络 安安 全全 技技 术术RSA公开密钥密码系统举例公开密钥密码系统举例 l取两个质数p=11，q=13，p和q的乘积为n=pq=143，算出另一个数z=(p-1)(q-1)=120；再选取一个与z=120互质的数，例如e=7，则公开密钥=（n，e）=（143，7）。对于这个e值，可以算出其逆：d=103。因为ed=7103=721，满足ed mod z =1；即721 mod 120=1成立。则秘密密钥=（n，d）=（143，1

403、03）。l设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值：c= me mod n=857 mod 143=123并发送给李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m= cd mod n =123103 mod 143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。计计 算算 机机 网网 络络 安安 全全 技技 术术lRSA的安全性RSA公开密钥密码体制的安全性取决于从公开密钥（n，e）计算出秘密密钥（n，d）的困难程度。就目前的计算机水平用1024位的密

404、钥是安全的，2048位是绝对安全的lRSA用于身份验证和数字签名身份验证和数字签名的原理 实用数字签名技术 l密钥分配公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。KDC的公开密钥和秘密密钥分别为PKAS、SKAS。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。l针对RSA的攻击方法选择密文攻击过小加密指数eRSA的计时攻击法其他对RSA的攻击法 计计 算算 机机 网网 络络 安安 全全 技技 术术9.6数据压缩 9.6.1数据压缩的基本概念l压缩文件将普通的标准文件重新加密，生成一种尽量少占用磁盘空间的文件，这种文件就称压

405、缩文件l压缩格式压缩文件时使用的压缩加密方法不同，压缩生成的文件结构就不同，这种压缩文件结构就称为压缩格式lZip文件Zip是PKWARE公司开发的一种压缩格式，以Zip格式压缩的文件称为Zip文件l压缩比率文件被压缩后，占用的磁盘空间与原文件占用磁盘空间比率称压缩比率l解压将压缩文件还原为本来的文件格式，也称释放、扩展计计 算算 机机 网网 络络 安安 全全 技技 术术l压缩包一般将通用压缩格式的文件称为压缩包，如Zip格式压缩文件l打包将文件压缩成通用压缩格式的压缩文件称为打包，也指将文件压缩添加到压缩包l多卷压缩将压缩的文件包分成几个压缩文件称为多卷压缩，一般是为了将压缩文件储存在多个软

406、磁盘上或方便网上传输l自解压将文件压缩生成可执行文件（.EXE文件），然后在没有压缩工具的帮助下，通过执行此文件，就可将原文件解压还原出来，这个过程称为自解压计计 算算 机机 网网 络络 安安 全全 技技 术术9.6.2WinRAR的使用方法l软件下载下载WinRAR的最好去处是http:/ 下载它的汉化包l软件安装l设置默认压缩选项压缩文件格式压缩选项压缩方式压缩分卷大小更新方式l压缩文件 l解压缩文件l创建自解压文件计计 算算 机机 网网 络络 安安 全全 技技 术术习题九l简述对称密钥密码体制、非对称密钥密码体制的加密原理和各自的特点。l为什么说混合加密体制是保证网络上传输信息的安全的一

407、种较好的可行方法？l简述链路加密、节点加密和端对端加密等三种加密方式的特点。l试述代码加密、替换加密以及一次性密码簿加密的原理。l已知明文是“The ChangSha HuNan Computer College”，用列变位法加密后，密文是什么？l将明文“JIAOWUCHUC”按行排在3*4矩阵中，按书中给定的置换，使用矩阵变位法加密方法，试写出加密和解密过程。l已知明文是：1101001101110001，密码是：0101111110100110，试写出加密和解密过程。l简述密码的破译方法和防止密码被破译的措施。l试述DES算法的加密过程。l简述DES算法中的乘积变换（迭代）过程。l简述DE

408、S算法中轮函数f的组成及作用过程。l简述DES算法中子密钥的生成流程。l详述RSA算法的演算过程及其安全性。l假设需要加密的明文信息为m=14，选择：e=3，p=5，q=11，试说明使用RSA算法的加密和解密过程及结果。l在计算机上使用WinRAR对某一文件进行压缩和解压。计计 算算 机机 网网 络络 安安 全全 技技 术术第第10章认证技术章认证技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l身份认证的作用、分类，身份认证系统的组成l身份认证协议l利用MAC进行消息认证的过程、将散列函数用于消息认证的基本过程l数字签名的原理计计 算算 机机 网网 络络 安安 全全 技技

409、 术术定义定义l认证（Authentication）是证实实体身份的过程，对传输内容进行审计、确认的过程，是保证计算机网络系统安全的重要措施之一。l身份认证是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。数据完整性可以通过消息认证来保证。而数字签名则可用来证明消息发送者的身份、消息的真实性及抗否认。密码技术一直在认证技术中起到非常关键的作用。计计 算算 机机 网网 络络 安安 全全 技技 术术10.1身份认证 10.1.1 身份认证概述l身份认证的作用身份认证就是为了确保用户身份的真实、合法和唯一。这样，就可以防止非法人员进入系统

410、，防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据的完整性的情况的发生l身份认证的分类从身份认证所用到的物理介质来分从身份认证所应用的系统来分从身份认证的基本原理分类从身份认证所用的认证协议来分按照认证协议所使用的密码技术来分l身份认证系统的组成认证服务器（Authentication Server）认证系统用户端软件（Authentication Client Software）认证设备（Authenticator）计计 算算 机机 网网 络络 安安 全全 技技 术术10.1.2 物理认证l口令认证用户帐号+口令=某人的身份l智能卡一般由微处理器、存储器及输入/输出设施

411、构成。微处理器中有一个惟一的用户标识（ID）、私钥和数字证书l生物特征认证通过自动化技术利用人体的生理特征或行为特征进行身份鉴定。目前利用生理特征进行生物识别的主要方法有指纹鉴定、虹膜识别、手掌识别、视网膜识别和脸相识别；利用行为特征进行识别的主要方法有声音识别、笔迹识别和击键识别等。计计 算算 机机 网网 络络 安安 全全 技技 术术l指纹鉴定独特性稳定性方便性l手掌识别l视网膜l虹膜l面孔l声音l笔迹l步态识别lDNA计计 算算 机机 网网 络络 安安 全全 技技 术术10.1.3 身份认证协议l分为双向认证协议和单向认证协议分为双向认证协议和单向认证协议 l双向认证协议:使通信双方确认对

412、方的身份，适用于通信双方同时在线的情况 .l基于对称密钥技术的双向认证协议Denning 认证过程l基于公开密钥技术的双向认证协议WOO92b协议计计 算算 机机 网网 络络 安安 全全 技技 术术基于对称密钥技术的双向认证基于对称密钥技术的双向认证lAKDC：IDAIDBN1；/ A向KDC申请要和B通信。明文消息中包含一个大的随机数N1。lKDCA：EKaKSIDBN1EKbKSIDA； /KDC发送一个使用A和KDC之间共享的密钥Ka加密的消息，消息包括：由KDC分发的、A与B的会话密钥Ks；B的名字IDB（保证了第一条明文消息中的B未被更改，即确认A是与B通信）；A的随机数N1（保证了

413、该消息是新的而不是攻击者重放的）；一个只有B能看懂的许可证EKbKSIDA（因为使用了B和KDC之间共享的密钥Kb加密）。lAB：EKbKSIDA；/ A将许可证EKbKSIDA发给B。lBA：EKsN2；/B解密许可证EKbKSIDA获得会话密钥Ks，从而认证了B的身份（因为只有B才能对使用了密钥Kb加密的消息进行正确的解密）；然后产生随机数N2，B向A发送消息EKsN2。lAB：EKsf(N2)。 / A向B发送消息EKsf(N2)以证明是真正的A与B通信，从而认证了A的身份（因为只有A也知道KS）。计计 算算 机机 网网 络络 安安 全全 技技 术术Denning 认证过程认证过程lAK

414、DC：IDAIDB；lKDCA：EKaKSIDBTEKbKSIDATlAB：EKbKSIDAT；lBA：EKsN1；lAB：EKsf(N1)lClock-Tt1+t2 l其中，T是时间戳，记录了KDC发送消息时的时间；t1是KDC时钟与本地时钟（A或B）之间差异的估计值；t2是预期的网络延迟时间。计计 算算 机机 网网 络络 安安 全全 技技 术术WOO92b协议协议lAKDC：IDAIDB； /A向KDC提出和B通信。lKDCA：EKRkdcIDBKUb； /A得到B的公钥。lAB：EKUbNaIDA；/A向B提出通信要求，包含一个随机数NalBKDC：IDBIDAEKUkdcNa；/B向K

415、DC询问A的公钥。lKDCB：EKRkdcIDAKUaEKUbEKRkdcNaKSIDAIDB；/B得到A的公钥和一段KDC签名的消息。lBA：EKUaEKRkdcNaKSIDAIDBNb； /B将这段消息和随机数Nb发给A，A在KDC签名的消息中找到Na，知道这不是一个重放。lAB：EKsNb。 /A使用刚得到的会话密钥回答B l其中，KUa是A的公钥；KRa是A的私钥；KUkdc是KDC的公钥；KRkdc是KDC的私钥 计计 算算 机机 网网 络络 安安 全全 技技 术术l单向认证协议许多单向认证的应用（比如E-mail）不需要双方同时在线。一方在向对方证明自己身份的同时，即可发送数据；另

416、一方收到后，首先验证发送方的身份，如果身份有效，就可以接受数据。l单向认证协议工作过程AKDC：IDAIDBN1；/A向KDC要求和B通信，同时发给KDC一个随机数N1。KDCA：EKaKSIDBN1EKbKSIDA；/KDC发给A一个用A的密钥加密的消息，包括一个会话密钥、A发的随机数N1、一段用B的密钥加密的消息；同时A解密得到KS。AB：EKbKSIDAEKsM。 /A将用B的密钥加密的那段消息和用KS加密的数据M一起发给B；B收到后首先解密得到A的身份标识和KS，然后就可以解密A发来的数据M了。计计 算算 机机 网网 络络 安安 全全 技技 术术10.1.4 零知识身份认证l零知识证明

417、的思想是：在不将知识的任何内容泄露给验证者的前提下，使用某种有效的数学方法证明自己拥有该知识。假设P是证明者，V是验证者，P试图向V证明自己知道某知识。一种方法是P说出该知识使得V相信，这样V也知道了该知识，这是基于知识的证明；另一种方法是P使用零知识证明。l零知识证明可以分为两大类：最小泄露证明（Minimum Disclosure Proof）和零知识证明（Zero Knowledge Proof）。计计 算算 机机 网网 络络 安安 全全 技技 术术l最小泄露证明需要满足的条件P几乎不可能欺骗V V几乎不可能知道证明的知识，特别是他不可能向别人重复证明过程 l零知识证明除了要满足以上两个

418、条件之外，还要满足V无法从P那里得到任何有关证明的知识 lFeige-Fiat-shamir零知识身份认证协议计计 算算 机机 网网 络络 安安 全全 技技 术术零知识问题零知识问题计计 算算 机机 网网 络络 安安 全全 技技 术术Feige-Fiat-shamirl用户P取随机数r，这里rm，计算x=r2 mod m，把x送给V；lV把一位随机数b送给P；l若b=0，则P将r送给V；若b=l，则P将y=rs送给V；l若b=0，则V验证x= r2 mod m，从而证实P知道sqrt(x)；若b=1，则V验证x=y2v mod m，从而证实P知道s。计计 算算 机机 网网 络络 安安 全全 技

419、技 术术10.2 消息认证l消息加密将明文加密后以密文作为认证符；l消息认证码（MAC）用一个密钥控制的公开函数作用后，产生固定长度的数值作为认证符，也称为密码校验和。l散列函数定义一个函数将任意长度的消息映射为定长的散列值，以散列值作为认证符。消息认证与数字签名通常都需要与散列函数结合起来使用。计计 算算 机机 网网 络络 安安 全全 技技 术术10.2.1 消息认证方案l消息认证就是验证消息的完整性验证消息的发送者是真正的而不是冒充的，即数据起源认证验证消息在传送过程中未被篡改、重放或延迟等l消息认证码MAC发送方A要发送消息M时，使用一个双方共享的密钥k产生一个短小的定长数据块；将MAC

420、附加在消息的后面发送给接收方B。 接收方对收到的消息使用相同的密钥k执行相同的计算，得到新的MAC 接收方将收到的MAC与计算得到的MAC进行比较，如果相匹配，那么可以保证报文在传输过程中维持了完整性计计 算算 机机 网网 络络 安安 全全 技技 术术10.2.2 散列函数l散列函数的特性一致性：相同的输入产生相同的输出；随机性：消息摘要外观是随机的，以防被猜出源消息；惟一性：几乎不可能找到两个消息产生相同的消息摘要；单向性：即如果给出输出，则很难确定出输入消息。l散列函数应满足的基本要求 输入x可以为任意长度，输出数据串长度固定（最小128位）正向计算容易；反向计算困难抗冲突性（抗碰撞性），

421、包括两个含义：一是给出一消息x，找出一消息y使H（x）=H（y）是计算上不可行的（弱抗冲突）；二是找出任意两条消息x、y，使H（x）=H（y）也是计算上不可行的（强抗冲突）。l散列函数用于消息认证 发送者将消息M作为单向散列函数H的输入，得到消息摘要，记作h=H（M）或MD= H（M）。A将消息摘要H（M）连消息M一齐发送给B。B将消息和消息摘要分离，并利用消息生成消息摘要。比较两消息摘要，如果相同，则消息在传送期间没被更改 。计计 算算 机机 网网 络络 安安 全全 技技 术术使用散列函数提供消息鉴别的常用方式使用散列函数提供消息鉴别的常用方式l使用对称加密方法对附加消息摘要的报文进行加密（

422、提供保密与鉴别）；AB：Ek（MH（M）l使用对称加密方法对消息摘要进行加密（提供鉴别）；AB：MEk（H（M）l使用发方的私有密钥对消息摘要进行加密（提供鉴别和数字签名）；AB：MEka（H（M）l在（3）的基础上，使用对称密钥加密方法进行加密（提供鉴别和数字签名、保密）；AB：Ek（MEka（H（M）l假定双方共享一个秘密值S，使用散列函数提供鉴别；AB：MH（MS）l假定双方共享一个秘密值S，使用散列函数、对称加密方法提供鉴别、数字签名、保密。AB：Ek（MH（M）S） 计计 算算 机机 网网 络络 安安 全全 技技 术术10.2.3 MD5算法lMD5算法原理MD5算法是按512位进行

423、处理的，经过填充后的信息长度为512的倍数。首先它对信息进行填充，用首位为1，后面全为0的填充信息填充，填充的信息长度为l512位，使信息的长度等于K*512+448，再填充64位的原始信息的长度（以字节计）然后对消息依次每次处理512位，每次进行4轮，每轮16步总共64步的消息变换处理，每次输出结果为128位，然后把前一次的输出作为下一次消息变换的输入初始值（第一次初始值算法已经固定），这样最后输出一个128位的杂凑结果 计计 算算 机机 网网 络络 安安 全全 技技 术术lMD5举例MD5算法是对输入的数据进行补位，使得数据位长度LEN对512求余的结果是448。即数据扩展至K*512+4

424、48位。补数据长度 初始化MD5参数 处理位操作函数 主要变换过程 输出结果 lMD5的安全性问题对MD5的普通直接攻击对MD5的生日攻击其他对MD5的攻击计计 算算 机机 网网 络络 安安 全全 技技 术术10.3 数字签名l采用加密技术进行通信，可保证信息的安全传输，即使被第三方非法窃取，也无法了解信息的内容。但加密并不能解决所有的信息安全问题，特别是收、发双方的争执。例如，网络中的用户A向用户B发送一份报文，则可能出现如下问题：用户A不承认发送过这份报文；用户B伪造一份来自用户A的报文；用户B对用户A的报文进行篡改；B重复使用签名后的文件（如签名后的文件是一张电子支票，B多次使用该电子支

425、票兑换现金）；网络中的另一用户冒充用户A或用户B。l为防止出现类似问题，一般公文常采用签字或盖章的方法来解决。但在网络环境下无法使用手写签名，既使可传送手写签名，也有伪造、模仿等问题。为解决这类问题，出现了一种数据认证方法数字签名。计计 算算 机机 网网 络络 安安 全全 技技 术术10.3.1 数字签名原理l数字签名与传统的手写签名的不同点签名：手写签名是被签文件的物理组成部分；而数字签名不是被签消息的物理部分，因而需要将签名连接到被签消息上。验证：手写签名是通过将它与真实的签名进行比较来验证；而数字签名是利用已经公开的验证算法来验证。数字签名消息的复制品与其本身是一样的；而手写签名纸质文件

426、的复制品与原品是不同的。l数字签名须满足的3个基本条件 签名者不能否认自己的签名；接收者能够验证签名，而其他任何人都不能伪造签名；当关于签名的真伪发生争执时，存在一个仲裁机构或第三方能够解决争执。计计 算算 机机 网网 络络 安安 全全 技技 术术直接数字签名直接数字签名 计计 算算 机机 网网 络络 安安 全全 技技 术术需仲裁的数字签名需仲裁的数字签名 l需要仲裁的数字签名体制一般流程如下：发送方A对消息签名后，将附有签名的消息发送给仲裁者C，C对其验证后，连同一个通过验证的证明发送给接收方B。在这个方案中，A无法对自己发出的消息予以否认，但仲裁者必须是得到所有用户信任的负责任者。计计 算

427、算 机机 网网 络络 安安 全全 技技 术术l采用对称密钥加密方法的数字签名l采用公开密钥加密技术的数字签名计计 算算 机机 网网 络络 安安 全全 技技 术术10.3.2 数字签名标准DSSlDSS（Disital Signature Standard）数字签名标准由美国国家标准技术研究所（NIST）于1991年提出，在1994年公布的联邦消息处理标准FIPS PUB 186中采用为数字签名标准，它利用了安全散列算法（SHA）并提出了一种新的数字签名技术，即数字签名算法（DSA）。计计 算算 机机 网网 络络 安安 全全 技技 术术设计一个设计一个DSA算法的步骤算法的步骤l全局公钥的选择：

428、首先选择一个160位（比特）的素数q，接着选择一个长度在512到1024位之间的素数p，使得p-1能被q整除，最后选择g=h(p-1)/q mod p，其中h是大于1小于p-1的整数，从而使g大于1。l选择用户私钥公钥对：选择1到p-1之间的随机数或者伪随机数x作为用户私钥，计算y=gx mod p作为公钥。l生成签名：用户选择随机整数k，对消息M，计算两个分量r与s产生签名（r，s）：r=f2(k,p,q,g)=(gk mod p) mod qs=f1(H(M),k,x,r,q)=(k-1(H(M)+xr) mod ql验证签名：接收方先根据收到的消息M、签名（r，s）、公钥y、p、q、g等

429、值计算：w=f3(s,q)=(s)-1 mod qv=f4(y,q,g,H(M),w,r)=(g(H(M)w) mod q yrw mod q) mod p）mod q将v与r进行比较，若相等则接受签名。计计 算算 机机 网网 络络 安安 全全 技技 术术 DSS签名和验证签名和验证计计 算算 机机 网网 络络 安安 全全 技技 术术习题十l名词解释：认证、身份认证、时间戳、零知识证明、消息认证、散列函数、数字签名、DSS。l简述身份认证的作用、分类及身份认证系统的组成。l简述物理认证的方法有哪些？lNeedham/Schroeder认证协议中，攻击者即使不知道会话密钥，也可以假冒接收方B与发送方A建立会话，给出这种攻击的过程。l分别描述基于对称密钥技术的双向认证协议、基于公开密钥技术的双向认证协议过程。l简述散列函数的特性及其应满足的基本要求。l试描述将散列函数用于消息认证的基本过程。l画图并描述直接数字签名原理。l论述需仲裁的数字签名方案（对采用对称密钥加密方法、公开密钥加密技术的数字签名分开论述）。