第八章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理

1、第八章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理共八十頁(yè)8.1 網(wǎng)絡(luò)安全研究的主要(zhyo)問(wèn)題8.1.1 網(wǎng)絡(luò)安全的重要性社會(huì)對(duì)網(wǎng)絡(luò)的依賴(lài)性以及網(wǎng)絡(luò)自身固有的脆弱性；網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題；每個(gè)國(guó)家只有立足于本國(guó)，研究自己的網(wǎng)絡(luò)安全技術(shù)(jsh)，培養(yǎng)自己的專(zhuān)門(mén)人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系。 共八十頁(yè)在計(jì)算機(jī)網(wǎng)絡(luò)上通信，面臨以下的4種威脅。（1）截獲 (interception)（2）中斷 (interruption)（3）篡改 (modification)（4）偽造(wizo) (fabrication)上述四種威脅可劃分為兩大類(lèi)，即： 被動(dòng)攻擊：截

2、獲信息的攻擊； 主動(dòng)攻擊：更改信息和拒絕用戶(hù)使用資源的攻擊。共八十頁(yè)主動(dòng)攻擊又可進(jìn)一步劃分為三種，即： （1）更改(gnggi)報(bào)文流 （2）拒絕報(bào)文服務(wù) （3）偽造連接初始化共八十頁(yè)共八十頁(yè)8.1.2 網(wǎng)絡(luò)安全技術(shù)(jsh)研究的主要問(wèn)題 網(wǎng)絡(luò)防攻擊(gngj)問(wèn)題； 網(wǎng)絡(luò)安全漏洞與對(duì)策問(wèn)題；網(wǎng)絡(luò)中的信息安全保密問(wèn)題；防抵賴(lài)問(wèn)題； 網(wǎng)絡(luò)內(nèi)部安全防范問(wèn)題； 網(wǎng)絡(luò)防病毒問(wèn)題；網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題等。共八十頁(yè)1. 網(wǎng)絡(luò)(wnglu)防攻擊技術(shù)服務(wù)攻擊（application dependent attack） : 對(duì)網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊，造成該網(wǎng)絡(luò)的“拒絕服務(wù)”，使網(wǎng)絡(luò)工作

3、不正常。 例如，攻擊者可能針對(duì)一個(gè)網(wǎng)站的WWW服務(wù)，他會(huì)設(shè)法使該網(wǎng)站的WWW服務(wù)器癱瘓，或修改它的主頁(yè)，使得該網(wǎng)站的WWW服務(wù)失效或不能正常工作。非服務(wù)攻擊（application independent attack） : 不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。 例如，攻擊者可能使用(shyng)各種方法對(duì)網(wǎng)絡(luò)通信設(shè)備（如路由器、交換機(jī)）發(fā)起攻擊，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓，那么小則一個(gè)局域網(wǎng)，大到一個(gè)或幾個(gè)子網(wǎng)不能正常工作或完全不能工作。共八十頁(yè)網(wǎng)絡(luò)防攻擊技術(shù)需要(xyo)研究的幾個(gè)問(wèn)題：網(wǎng)絡(luò)可能遭到哪些人的攻擊？攻擊類(lèi)型(l

4、ixng)與手段可能有哪些？如何及時(shí)檢測(cè)并報(bào)告網(wǎng)絡(luò)被攻擊？如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系？業(yè)內(nèi)名言：知道自己被攻擊就贏了一半。共八十頁(yè)2. 網(wǎng)絡(luò)安全漏洞與對(duì)策(duc)的研究網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行(ynxng)涉及：計(jì)算機(jī)硬件與操作系統(tǒng)；網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件；數(shù)據(jù)庫(kù)管理系統(tǒng)；應(yīng)用軟件；網(wǎng)絡(luò)通信協(xié)議。網(wǎng)絡(luò)安全漏洞也會(huì)表現(xiàn)在以上幾個(gè)方面。 共八十頁(yè) 各種計(jì)算機(jī)的硬件與操作系統(tǒng)、應(yīng)用軟件都會(huì)存在一定的安全問(wèn)題，它們不可能百分之百?zèng)]有缺陷或漏洞。UNIX是Internet中應(yīng)用最廣泛的網(wǎng)絡(luò)操作系統(tǒng)，但是在不同版本的UNIX操作系統(tǒng)中，或多或少都會(huì)找到能被攻擊者利用的漏洞。TCP/IP協(xié)議(xi

5、y)是Internet使用的最基本的通信協(xié)議(xiy)，同樣TCP/IP協(xié)議(xiy)中也可以找到能被攻擊者利用的漏洞。用戶(hù)開(kāi)發(fā)的各種應(yīng)用軟件可能會(huì)出現(xiàn)更多能被攻擊者利用的漏洞。這些問(wèn)題的出現(xiàn)是正常的。因?yàn)槿魏诬浖紩?huì)存在或多或少分析、設(shè)計(jì)和編碼等方面的不足或漏洞。軟件實(shí)際交付前無(wú)法做到窮盡測(cè)試，也就無(wú)法發(fā)現(xiàn)軟件中潛藏的所有問(wèn)題。 需要注意的是：網(wǎng)絡(luò)攻擊者在研究這些安全漏洞，并且把這些安全漏洞作為攻擊網(wǎng)絡(luò)的首選目標(biāo)。這就要求：絡(luò)安全研究人員與網(wǎng)絡(luò)管理人員也必須主動(dòng)地了解計(jì)算機(jī)硬件與操作系統(tǒng)、網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用軟件，以及網(wǎng)絡(luò)通信協(xié)議可能存在的安全問(wèn)題，利用各種軟件與測(cè)試工具

6、主動(dòng)地檢測(cè)網(wǎng)絡(luò)可能存在的各種安全漏洞，并及時(shí)提出解決對(duì)策與措施。共八十頁(yè)3. 網(wǎng)絡(luò)(wnglu)中的信息安全問(wèn)題 信息存儲(chǔ)安全與信息傳輸安全 信息存儲(chǔ)安全： 如何保證靜態(tài)存儲(chǔ)在連網(wǎng)計(jì)算機(jī)中的信息不會(huì)被非授權(quán)網(wǎng)絡(luò)用戶(hù)的非法使用； 網(wǎng)絡(luò)中的非法用戶(hù)往往通過(guò)猜測(cè)用戶(hù)口令(kulng)或竊取口令(kulng)的辦法，或者是設(shè)法繞過(guò)網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)，冒充合法用戶(hù)，非法查看、下載、修改、刪除未授權(quán)訪問(wèn)的信息，使用未授權(quán)的網(wǎng)絡(luò)服務(wù)。 信息傳輸安全： 如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻擊。 信息存儲(chǔ)安全一般是由計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用軟件與網(wǎng)絡(luò)操作系統(tǒng)、防火墻來(lái)共同完成。通常采用的是用

7、戶(hù)訪問(wèn)權(quán)限設(shè)置、用戶(hù)口令加密、用戶(hù)身份認(rèn)證、數(shù)據(jù)加密與結(jié)點(diǎn)地址過(guò)濾等方法。共八十頁(yè) 信息傳輸傳輸過(guò)程中可能會(huì)受到以下幾種安全威脅： 被攻擊者非法截獲(jihu)（信息從信息源結(jié)點(diǎn)傳輸出來(lái)，中途被攻擊者非法截獲，信息目的結(jié)點(diǎn)沒(méi)有接收到應(yīng)該接收的信息，因而造成了信息的中途丟失）； 被非法竊聽(tīng)（信息在傳輸中被非法竊聽(tīng)。盡管信息目的結(jié)點(diǎn)接收到了信息，信息并沒(méi)有丟失，但如果被竊聽(tīng)到的是重要的政治、軍事、經(jīng)濟(jì)信息，那么也有可能造成嚴(yán)重的問(wèn)題）； 被篡改（信息在傳輸中途被非法截獲，攻擊者在截獲的信息中進(jìn)行修改或插入欺騙性的信息，然后將篡改后的錯(cuò)誤信息發(fā)送給信息目的結(jié)點(diǎn)。盡管目的結(jié)點(diǎn)也會(huì)接收到信息，好像信息沒(méi)

8、有丟失，但是接收的信息卻是錯(cuò)誤的 ）； 被偽造（信息源結(jié)點(diǎn)并沒(méi)有信息要傳送到信息目的結(jié)點(diǎn)。攻擊者冒充信息源結(jié)點(diǎn)用戶(hù)，將偽造的信息發(fā)送給了信息目的結(jié)點(diǎn)，信息目的結(jié)點(diǎn)接收到的是偽造的信息。如果信息目的結(jié)點(diǎn)沒(méi)有辦法發(fā)現(xiàn)偽造的信息，那么就可能出現(xiàn)嚴(yán)重的問(wèn)題）等多種攻擊，導(dǎo)致出現(xiàn)嚴(yán)重的問(wèn)題。共八十頁(yè)4. 防抵賴(lài)(dli)問(wèn)題防抵賴(lài)是防止信息源結(jié)點(diǎn)(ji din)用戶(hù)對(duì)它發(fā)送的信息事后不承認(rèn)，或者是信息目的結(jié)點(diǎn)(ji din)用戶(hù)接收到信息之后不認(rèn)賬；通過(guò)身份認(rèn)證、數(shù)字簽名、數(shù)字信封、第三方確認(rèn)等方法，來(lái)確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥?wèn)題，防止“抵賴(lài)”現(xiàn)象出現(xiàn)。 共八十頁(yè)5. 網(wǎng)絡(luò)內(nèi)部(nib)安全防范防止內(nèi)部

9、具有合法身份的用戶(hù)有意或無(wú)意地做出對(duì)網(wǎng)絡(luò)與信息安全有害的行為；對(duì)網(wǎng)絡(luò)與信息安全有害的行為包括： 有意或無(wú)意地泄露網(wǎng)絡(luò)用戶(hù)或網(wǎng)絡(luò)管理員口令； 違反網(wǎng)絡(luò)安全規(guī)定，繞過(guò)防火墻，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全漏洞； 違反網(wǎng)絡(luò)規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù)； 違反網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常； 解決來(lái)自網(wǎng)絡(luò)內(nèi)部的不安全(nqun)因素必須從技術(shù)與管理兩個(gè)方面入手。（一是通過(guò)網(wǎng)絡(luò)管理軟件隨時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)與用戶(hù)工作狀態(tài)；對(duì)重要資源（如主機(jī)、數(shù)據(jù)庫(kù)、磁盤(pán)等）使用狀態(tài)進(jìn)行記錄與審計(jì)。同時(shí)，制定和不斷完善網(wǎng)絡(luò)使用和管理制度，加強(qiáng)用戶(hù)培訓(xùn)和管理。 ）共八十頁(yè)6.網(wǎng)

10、絡(luò)(wnglu)防病毒 引導(dǎo)(yndo)型病毒；可執(zhí)行文件病毒；宏病毒；混合病毒；特洛伊木馬型病毒；Internet語(yǔ)言病毒等。 共八十頁(yè) 網(wǎng)絡(luò)病毒的危害是人們不可忽視的現(xiàn)實(shí)。據(jù)統(tǒng)計(jì)，目前70%的病毒發(fā)生在網(wǎng)絡(luò)上。聯(lián)網(wǎng)微型機(jī)病毒的傳播速度是單機(jī)的20倍，而網(wǎng)絡(luò)服務(wù)器消除病毒處理所花的時(shí)間是單機(jī)的40倍。電子郵件(din z yu jin)炸彈可以輕易地使用戶(hù)的計(jì)算機(jī)癱瘓。有些網(wǎng)絡(luò)病毒甚至?xí)茐南到y(tǒng)硬件。 我們經(jīng)常會(huì)發(fā)現(xiàn)，有些網(wǎng)絡(luò)設(shè)計(jì)人員可能已經(jīng)在文件目錄結(jié)構(gòu)、用戶(hù)組織、數(shù)據(jù)安全性、備份與恢復(fù)方法上，以及系統(tǒng)容錯(cuò)技術(shù)上采取了嚴(yán)格的措施，但是沒(méi)有重視網(wǎng)絡(luò)防病毒問(wèn)題。因此，感染病毒磁介質(zhì)的交叉使用，

11、會(huì)使病毒大范圍地快速傳播，甚至導(dǎo)致系統(tǒng)癱瘓。 因此，網(wǎng)絡(luò)防病毒是保護(hù)網(wǎng)絡(luò)與信息安全的重要問(wèn)題之一，它需要從工作站與服務(wù)器兩個(gè)方面的防病毒技術(shù)與用戶(hù)管理技術(shù)來(lái)著手解決。共八十頁(yè)7.網(wǎng)絡(luò)(wnglu)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新購(gòu)買(mǎi)設(shè)備的資金可以提供(tgng)，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？共八十頁(yè) 在實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，數(shù)據(jù)備份與恢復(fù)功能非常重要。因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題(wnt)我們可以從預(yù)防、檢查、反應(yīng)等方面著手，去減少網(wǎng)絡(luò)信息系統(tǒng)的不安全因素，但是要完全保證系統(tǒng)不出現(xiàn)安全事件，這是任何人都不可能做到的。 因?yàn)?，網(wǎng)

12、絡(luò)信息系統(tǒng)的硬件與軟件都是可以用錢(qián)買(mǎi)到的，而數(shù)據(jù)是多年積累的成果，并且可能價(jià)值連城，是一家公司、企業(yè)的“生命” 。數(shù)據(jù)一旦丟失，并且不能恢復(fù)，那么就可能會(huì)給公司和客戶(hù)造成不可挽回的損失。在國(guó)外已經(jīng)出現(xiàn)過(guò)在某個(gè)公司網(wǎng)絡(luò)系統(tǒng)遭到損壞時(shí)，因網(wǎng)絡(luò)管理員沒(méi)有保存足夠的備份數(shù)據(jù)，而無(wú)法恢復(fù)該公司的信息系統(tǒng)，從而造成了無(wú)可挽回的損失，導(dǎo)致了公司破產(chǎn)。 因此，一個(gè)實(shí)用的網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)中必須有網(wǎng)絡(luò)數(shù)據(jù)備份、恢復(fù)手段和災(zāi)難恢復(fù)策略，這是網(wǎng)絡(luò)安全研究的另一個(gè)重要內(nèi)容。容災(zāi)備份的新型技術(shù)： 基于光纖通道的存儲(chǔ)區(qū)域(qy)網(wǎng)技術(shù)（FC-SAN）、基于Internet的小型計(jì)算機(jī)系統(tǒng)接口技術(shù)（iSCSI）等共八十頁(yè)8

13、.1.3 網(wǎng)絡(luò)安全(nqun)服務(wù)與安全(nqun)標(biāo)準(zhǔn) 網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能：數(shù)據(jù)保密（data confidentiality） 防止數(shù)據(jù)在傳輸過(guò)程中被非授權(quán)用戶(hù)獲取。認(rèn)證（authentication） 確認(rèn)進(jìn)入系統(tǒng)的各用戶(hù)身份的合法性，是檢查用戶(hù)授權(quán)、訪問(wèn)控制、審計(jì)的前提條件。數(shù)據(jù)完整（data integrity） 保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被修改、插入或刪除。防抵賴(lài)（non-repudiation） 防止出現(xiàn)收發(fā)雙方對(duì)已發(fā)信息或已收信息的抵賴(lài)行為。訪問(wèn)控制（access control） 防止非合法用戶(hù)進(jìn)入系統(tǒng)，防止授權(quán)用戶(hù)的惡意破壞。（用戶(hù)口令的加密處理(chl)

14、、一次性口令、智能卡、指紋、聲音等技術(shù)）。共八十頁(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(biozhn) ：電子計(jì)算機(jī)系統(tǒng)安全規(guī)范(gufn)，1987年10月計(jì)算機(jī)軟件保護(hù)條例，1991年5月計(jì)算機(jī)軟件著作權(quán)登記辦法，1992年4月中華人民共和國(guó)計(jì)算機(jī)信息與系統(tǒng)安全保護(hù)條例，1994年2月計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定，1998年2月關(guān)于維護(hù)互聯(lián)網(wǎng)安全決定，全國(guó)人民代表大會(huì)常務(wù) 委員會(huì)通過(guò)，2000年12月共八十頁(yè)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(zhnz)TC-SEC-NCSC是1983年（美國(guó)國(guó)防部）公布的，1985年公布了可信網(wǎng)絡(luò)說(shuō)明（TNI）；可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為4類(lèi)7個(gè)等級(jí)，即D、C1、C2

15、、B1、B2、B3與A1；D級(jí)系統(tǒng)的安全要求最低，A1級(jí)系統(tǒng)的安全要求最高。 共八十頁(yè)8.2 加密與認(rèn)證技術(shù) 8.2.1 密碼(m m)算法與密碼(m m)體制的基本概念 數(shù)據(jù)(shj)加密與解密的過(guò)程 共八十頁(yè)密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密/解密(ji m)算法和密鑰；傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱(chēng)為對(duì)稱(chēng)密碼體制；如果加密密鑰和解密密鑰不相同，則稱(chēng)為非對(duì)稱(chēng)密碼體制；密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角度來(lái)看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系；密碼算法是相對(duì)穩(wěn)定的。在這種意義上，可以把密碼算法視為常

16、量，而密鑰則是一個(gè)變量；在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。 共八十頁(yè)什么(shn me)是密碼： 密碼是含有一個(gè)參數(shù)k的數(shù)學(xué)變換，即 C = Ek（m） m是未加密的信息（明文） C是加密后的信息（密文） E是加密算法 k稱(chēng)為密鑰參數(shù)密文C是明文m 使用密鑰k 經(jīng)過(guò)加密算法計(jì)算后的結(jié)果；加密算法可以公開(kāi)，而密鑰只能由通信雙方(shungfng)來(lái)掌握。共八十頁(yè)密鑰長(zhǎng)度(chngd)：密鑰長(zhǎng)度(chngd)與密鑰個(gè)數(shù)密鑰長(zhǎng)度（位）組合個(gè)數(shù)40240=109951162777656256=7.205759403793101664264=1.844674407371101

17、91122112=5.19229685853510331282128=3.4028236692091038共八十頁(yè) 非法用戶(hù)發(fā)送方接收方密鑰密鑰加密設(shè)備解密設(shè)備 對(duì)稱(chēng)加密原理示意圖8.2.2 對(duì)稱(chēng)密鑰（symmetric cryptography）密碼(m m)體系 對(duì)稱(chēng)加密，起源于著名的古羅馬愷撒密碼算法。即它在加密與解密過(guò)程中均適用(shyng)同一個(gè)密鑰。假定P為明文，C為密文，K為密鑰，E（）為加密算法，D（）為解密算法，則 對(duì)明文的加密過(guò)程為： C=EK（P） 對(duì)密文的解密過(guò)程為： P=DK（C） 對(duì)稱(chēng)加密理論的工作原理示意圖：共八十頁(yè) 例如：假設(shè)待發(fā)信息m是一串的二進(jìn)制代碼序列：（

18、1001011001）2，密鑰k也是一串具有同樣長(zhǎng)度的二進(jìn)制代碼序列：（0110101101）2。通信前，發(fā)送方先通過(guò)安全信道把密鑰k發(fā)送給接收方，然后利用密鑰k對(duì)待發(fā)信息m進(jìn)行加密處理得到加密后的二進(jìn)制信息c。 c= mk =（1001011001）2（0110101101）2=（1111110100）2接收方收到密文c以后，用密鑰k進(jìn)行還原(hun yun)解密。 m=ck =（1111110100）2（0110101101）2=（1001011001）2=m注：“”是指每個(gè)向量的分量進(jìn)行模2加。共八十頁(yè)對(duì)稱(chēng)加密(ji m)的特點(diǎn) ：加密解密使用同一個(gè)密鑰。對(duì)稱(chēng)加密(ji m)主要分為：

19、序列密碼（Stream Cipher）； 2 分組密碼（Block Cipher） 兩種。共八十頁(yè) 8.2.3 非對(duì)稱(chēng)密鑰（asymmetric cryptography）密碼(m m)體系 非對(duì)稱(chēng)加密也稱(chēng)為“公開(kāi)密鑰密碼”（Public Key Encryption）這種加密技術(shù)實(shí)際上只公開(kāi)加密密鑰（公鑰），而不公開(kāi)解密密鑰（私鑰），即加密密鑰和解密密鑰是不同的。 其策略是：每個(gè)用戶(hù)都有一個(gè)加密算法E和一個(gè)解密算法D，E對(duì)外公開(kāi)，而D則保密，這樣，只有合法的用戶(hù)才能用僅有自己知道的解密密鑰恢復(fù)明文。 這種算法需要滿(mǎn)足三個(gè)條件：D是E的逆；E和D都容易計(jì)算；僅根據(jù)E不可能(knng)推算出D。

20、例如，設(shè)P為明文，C為密文，E（）、D（）分別表示加密和解密算法，K1、K2分別表示公鑰和私鑰，則對(duì)明文的加密過(guò)成為： C=EK1（P）對(duì)密文的解密過(guò)程為： P=DK2（C）共八十頁(yè) 非對(duì)稱(chēng)加密算法的簡(jiǎn)單過(guò)程是：通信的雙方(shungfng)分別建立自己的公鑰與私鑰對(duì)；雙方(shungfng)交換各自的公鑰；通信的一方用另一方的公鑰加密一條消息并發(fā)送給另一方；另一方使用自己的私鑰解密得到原消息的明文。反過(guò)來(lái)也一樣。即接收方用發(fā)送方的公鑰加密應(yīng)答信息，并將加密的應(yīng)答信息傳給發(fā)送方；發(fā)送方用自己的私鑰解密得到應(yīng)答消息的原明文。 典型的不對(duì)稱(chēng)加密算法主要有Diffie-Hellman、RSA、EI

21、Gamal算法等。 共八十頁(yè)非對(duì)稱(chēng)密鑰密碼體系的特點(diǎn)(tdin)：加密密鑰和解密密鑰各不相同共八十頁(yè)8.2.3 網(wǎng)絡(luò)(wnglu)加密 對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)的方式主要有三種，即鏈路鏈路加密、節(jié)點(diǎn)節(jié)點(diǎn)加密、端端加密。 鏈路鏈路加密 鏈路-鏈路加密是在兩個(gè)節(jié)點(diǎn)之間進(jìn)行加密處理的方法。每個(gè)通信鏈路上使用(shyng)不同的加密密鑰。鏈路鏈路加密的前提：節(jié)點(diǎn)必須是安全。 Ek1Dk1Ek2Dk2明文 m明文 m節(jié)點(diǎn)1節(jié)點(diǎn)2節(jié)點(diǎn)3密文C1鏈路1密文C2鏈路2Ek1、Ek2 為加密變換 Dk1、Dk2 為解密變換 鏈路鏈路加密工作原理示意圖共八十頁(yè)鏈路-鏈路加密分為： 異步通信加密。異步通信每次

22、只發(fā)送或接收一個(gè)字符的數(shù)據(jù)。異步通信加密只對(duì)數(shù)據(jù)位和奇偶位加密，而不對(duì)起始和停止位加密。 字符同步通信加密。字符同步通信方式每次發(fā)送的信息塊由1個(gè)或多個(gè)同步字符SYN、報(bào)頭字符、正文信息字符、控制(kngzh)信息字符、校驗(yàn)字符等構(gòu)成。同步通信加密時(shí)，一般只加密報(bào)頭、報(bào)文正文和校驗(yàn)字符，而不加密控制字符。 位同步通信加密：除標(biāo)志F以外的全部信息，都必須進(jìn)行加密。 鏈路-鏈路加密，每條鏈均需一對(duì)加解密設(shè)備，開(kāi)銷(xiāo)大、成本高。共八十頁(yè) 對(duì)于在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的某一次通信鏈路，鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證。因此，對(duì)于鏈路加密(又稱(chēng)在線加密)，所有信息在被傳輸之前進(jìn)行加密，在每一個(gè)節(jié)點(diǎn)上對(duì)接收到

23、的信息進(jìn)行解密，然后先使用下一個(gè)鏈路的密鑰再對(duì)信息進(jìn)行加密，再進(jìn)行傳輸。在到達(dá)目的地之前，一條信息可能要經(jīng)過(guò)許多通信鏈路的傳輸。 由于在每一個(gè)中間傳輸節(jié)點(diǎn)信息均被解密后重新進(jìn)行加密，因此，包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)(chxin)。這樣，鏈路加密就掩蓋了被傳輸信息的源點(diǎn)與終點(diǎn)。 鏈路加密在網(wǎng)絡(luò)環(huán)境中使用相當(dāng)普遍，但并非沒(méi)有問(wèn)題。鏈路加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步線路上，它要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)行同步，然后使用一種鏈模式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這就給網(wǎng)絡(luò)的性能和可管理性帶來(lái)了副作用。在線路信號(hào)經(jīng)常不通的海外或衛(wèi)星網(wǎng)絡(luò)中，鏈路上的加密設(shè)備需要頻繁地進(jìn)行同步，帶來(lái)的

24、后果是數(shù)據(jù)丟失或重傳。另一方面，即使僅一小部分?jǐn)?shù)據(jù)需要加密，也會(huì)使得所有傳輸數(shù)據(jù)被加密。 共八十頁(yè) 節(jié)點(diǎn)節(jié)點(diǎn)加密 節(jié)點(diǎn)-節(jié)點(diǎn)加密實(shí)際上是對(duì)源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，明文數(shù)據(jù)信息(xnx)不會(huì)通過(guò)中間節(jié)點(diǎn)。節(jié)點(diǎn)加密時(shí)，數(shù)據(jù)在發(fā)送節(jié)點(diǎn)和接收節(jié)點(diǎn)是以明文的形式出現(xiàn)的，而在中間節(jié)點(diǎn)傳送的是加密后的數(shù)據(jù)信息(xnx)。 加 密 節(jié) 點(diǎn)變換中心明文 m明文 m發(fā)送方節(jié)點(diǎn)發(fā)送放節(jié)點(diǎn)密鑰A 節(jié)點(diǎn)節(jié)點(diǎn)加密工作原理示意圖密鑰A 加 密解密明文加密共八十頁(yè) 節(jié)點(diǎn)加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性，在操作方式上與鏈路加密相類(lèi)似：兩者均在通信鏈路上為傳輸?shù)男畔⑻峁┌踩?；都在中間節(jié)點(diǎn)先對(duì)信息進(jìn)行解密，然

25、后進(jìn)行加密。因?yàn)橐獙?duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，所以加密過(guò)程對(duì)用戶(hù)(yngh)是透明的。 然而，與鏈路加密不同的是節(jié)點(diǎn)加密不允許信息在網(wǎng)絡(luò)節(jié)點(diǎn)以明文形式存在，它先把收到的信息進(jìn)行解密，然后采用另一個(gè)不同的密鑰進(jìn)行加密，這一過(guò)程在節(jié)點(diǎn)上的一個(gè)安全模塊中進(jìn)行。 節(jié)點(diǎn)加密要求報(bào)頭和路由信息以明文形式傳輸，因此這種方法對(duì)于防止攻擊者分析通信業(yè)務(wù)是脆弱的。 共八十頁(yè) 端端加密 端-端加密方法是，在傳輸過(guò)程中，任何的中間(zhngjin)節(jié)點(diǎn)都不解密，始終保持?jǐn)?shù)據(jù)加密狀態(tài)，而且這種方法只加密數(shù)據(jù)信息，不加密控制信息。所以，這種加密方式僅需要發(fā)送端與接收端具有加密、解密設(shè)備。但它需要設(shè)置一個(gè)密鑰控制中心，由它產(chǎn)

26、生網(wǎng)絡(luò)通信密鑰，并分配給提出申請(qǐng)的發(fā)送端和接收端。 EkDk明文 m明文 m源節(jié)點(diǎn)中間節(jié)點(diǎn)終節(jié)點(diǎn)密文C鏈路1密文C鏈路nEk 為加密變換 Dk 為解密變換 端端加密工作原理示意圖共八十頁(yè) 端到端加密允許數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過(guò)程中始終以密文形式存在。采用端到端加密（又稱(chēng)脫線加密或包加密），信息在被傳輸?shù)竭_(dá)終點(diǎn)前不進(jìn)行解密，這樣信息在整個(gè)傳輸過(guò)程中均受到保護(hù)，所以，即使有節(jié)點(diǎn)被損壞，也不會(huì)使信息泄露。端到端加密系統(tǒng)價(jià)格便宜，更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。端到端加密還避免了其它加密系統(tǒng)所固有的同步問(wèn)題，因?yàn)槊總€(gè)文件包均是獨(dú)立被加密的，所以一個(gè)文件包所發(fā)生的傳輸錯(cuò)誤不會(huì)影響后續(xù)的文件包。由于端到端加密系

27、統(tǒng)通常不允許對(duì)信息的目的(md)地址進(jìn)行加密，因此，這種加密方法不能掩蓋被傳輸信息的源點(diǎn)和終點(diǎn)，因此它對(duì)于防止攻擊者分析通信業(yè)務(wù)也是脆弱的。 共八十頁(yè)8.2.4 數(shù)字(shz)信封技術(shù) 共八十頁(yè) 數(shù)字簽名：確認(rèn)信息的完整性和不可抵賴(lài)性。 數(shù)字簽名（Digital Signature）實(shí)質(zhì)上就是通過(guò)在原始信息后面附加(fji)一個(gè)經(jīng)過(guò)加密的消息摘要，以此來(lái)確認(rèn)發(fā)送者的身份和所傳輸文檔信息的完整性。數(shù)字簽名對(duì)傳送的明文信息不進(jìn)行加密處理。 數(shù)字簽名技術(shù)的理論基礎(chǔ)是非對(duì)稱(chēng)加密和單向哈希（散列）函數(shù)。 其簡(jiǎn)要的操作過(guò)程是：通信的雙方分別創(chuàng)建自己的公鑰與私鑰，并相互交換公鑰；發(fā)送方將原始消息經(jīng)過(guò)哈希（散

28、列）運(yùn)算后，生成消息摘要，并且用自己一方的私鑰對(duì)摘要信息進(jìn)行加密處理，得到數(shù)字簽名；發(fā)送方將原始消息連同數(shù)字簽名一起發(fā)送給接收方；接收方從收到的信息中將原始消息和數(shù)字簽名分開(kāi)，并且用發(fā)送方的公鑰對(duì)數(shù)字簽名進(jìn)行解密得到消息摘要；接收方再將原始消息經(jīng)過(guò)哈希函數(shù)運(yùn)算得到消息摘要，然后比較兩個(gè)消息摘要，如果相同，則說(shuō)明原始消息沒(méi)有被篡改，否則說(shuō)明原始消息已被篡改。8.2.5 數(shù)字簽名技術(shù)(jsh) 共八十頁(yè)共八十頁(yè) 單向哈希函數(shù)（HASH Function），嚴(yán)格(yng)地說(shuō)，不能稱(chēng)為數(shù)據(jù)加密算法，它是一種消息認(rèn)證機(jī)制。即通過(guò)單向哈希函數(shù)產(chǎn)生的消息摘要 ，或文件的指紋（ Fingerprint ）信

29、息（ 這種指紋信息也稱(chēng)消息摘要Message Digest）的唯一性，來(lái)確認(rèn)信息在傳遞過(guò)程中是否被篡改，是否保持了原信息的完整性。因此，單向哈希函數(shù)常常被用于數(shù)字簽名技術(shù)當(dāng)中。 單向哈希函數(shù)的操作過(guò)程十分簡(jiǎn)單：發(fā)送方將待傳信息經(jīng)過(guò)哈希運(yùn)算得到指紋信息（消息摘要），并將指紋信息連同原始信息傳遞給信息的接收方；接收方收到消息后，將原始信息和指紋信息分開(kāi)，并將原始信息再次經(jīng)過(guò)哈希運(yùn)算，得到一個(gè)新的指紋信息，然后將新的指紋信息與所收到的原指紋信息進(jìn)行對(duì)比；如果兩者一致，則說(shuō)明信息在傳遞過(guò)程中未被篡改，否則說(shuō)明原信息已被篡改。共八十頁(yè)8.2.6 身份(shn fen)認(rèn)證技術(shù)的發(fā)展 身份認(rèn)證可以通過(guò)三種

30、基本途徑之一或它們的組合實(shí)現(xiàn)：所知（knowledge）: 個(gè)人(grn)所掌握的密碼、口令；所有（possesses）: 個(gè)人身份證、護(hù)照、信用卡、鑰匙；個(gè)人特征（characteristics）:人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個(gè)人動(dòng)作方面的特征； 目前人們研究的個(gè)人特征主要包括：容貌、膚色、發(fā)質(zhì)、身材、姿勢(shì)、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習(xí)慣性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。 共八十頁(yè)8.3 防火墻技術(shù)(jsh) 8.3.1 防火墻的基本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和

31、軟件(run jin)；設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶(hù)使用，防止內(nèi)部網(wǎng)受到外部非法用戶(hù)的攻擊。 共八十頁(yè)防火墻通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全(nqun)構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全(nqun)邊界（security perimeter）；構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件： 包過(guò)濾路由器（packet filtering router） 應(yīng)用級(jí)網(wǎng)關(guān)（application gateway）最簡(jiǎn)單的防火墻由一個(gè)包過(guò)濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。共八十頁(yè)8.3

32、.2 包過(guò)濾(gul)路由器 包過(guò)濾(gul)路由器的結(jié)構(gòu) 共八十頁(yè)路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查(jinch)每個(gè)分組的源IP地址、目的IP地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。例如，對(duì)于TCP報(bào)頭信息可以是：源IP地址； 目的IP地址；協(xié)議類(lèi)型； IP選項(xiàng)內(nèi)容； 源TCP端口號(hào)； 目的TCP端口號(hào)； TCP ACK標(biāo)識(shí)等。 共八十頁(yè)包過(guò)濾(gul)的工作流程共八十頁(yè)包過(guò)濾路由器作為(zuwi)防火墻的結(jié)構(gòu) 共八十頁(yè)假設(shè)網(wǎng)絡(luò)安全策略規(guī)定：內(nèi)部(nib)網(wǎng)絡(luò)的E-mail服務(wù)器（IP地址為，TCP端口號(hào)為25）可以接收來(lái)自外部網(wǎng)絡(luò)用

33、戶(hù)的所有電子郵件；允許內(nèi)部網(wǎng)絡(luò)用戶(hù)傳送到外部電子郵件服務(wù)器的電子郵件數(shù)據(jù)包；拒絕所有與外部網(wǎng)絡(luò)中名字為T(mén)ESTHOST主機(jī)的連接。 共八十頁(yè)包過(guò)濾(gul)規(guī)則表 共八十頁(yè)8.3.3 應(yīng)用(yngyng)級(jí)網(wǎng)關(guān)的概念 多歸屬主機(jī)(zhj)（multihomed host） 典型的多歸屬主機(jī)結(jié)構(gòu) 共八十頁(yè)應(yīng)用(yngyng)級(jí)網(wǎng)關(guān) 共八十頁(yè)應(yīng)用(yngyng)代理（application proxy） 共八十頁(yè)8.3.4 防火墻的系統(tǒng)結(jié)構(gòu) 堡壘主機(jī)的概念 一個(gè)雙歸屬主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)可以起到防火墻作用；處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)叫做堡壘主機(jī)。（位于(wiy)內(nèi)部網(wǎng)或者We

34、b站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺(tái)計(jì)算機(jī)，該計(jì)算機(jī)也稱(chēng)為堡壘主機(jī) ） 共八十頁(yè)典型防火墻系統(tǒng)(xtng)系統(tǒng)(xtng)結(jié)構(gòu)分析 采用(ciyng)一個(gè)包過(guò)濾路由器與一個(gè)堡壘主機(jī)組成的S-B1防火墻系統(tǒng)結(jié)構(gòu) 共八十頁(yè)包過(guò)濾(gul)路由器的轉(zhuǎn)發(fā)過(guò)程 共八十頁(yè)S-B1配置的防火墻系統(tǒng)(xtng)中數(shù)據(jù)傳輸過(guò)程 共八十頁(yè)采用多級(jí)結(jié)構(gòu)(jigu)的防火墻系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖共八十頁(yè)8.4 網(wǎng)絡(luò)防攻擊與入侵檢測(cè)技術(shù)(jsh) 8.4.1 網(wǎng)絡(luò)攻擊方法分析 目前黑客攻擊大致(dzh)可以分為8種基本的類(lèi)型： 入侵系統(tǒng)類(lèi)攻擊； 緩沖區(qū)溢出攻擊； 欺騙類(lèi)攻擊； 拒絕服務(wù)攻擊； 對(duì)防火

35、墻的攻擊； 利用病毒攻擊； 木馬程序攻擊； 后門(mén)攻擊。共八十頁(yè)8.4.2 入侵(rqn)檢測(cè)的基本概念入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)；它的目的是監(jiān)測(cè)(jin c)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自?xún)?nèi)部用戶(hù)的非授權(quán)行為，并且采取相應(yīng)的防護(hù)手段。共八十頁(yè)入侵檢測(cè)系統(tǒng)IDS的基本功能：監(jiān)控、分析用戶(hù)和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類(lèi)型(lixng)，并向網(wǎng)絡(luò)管理人員報(bào)警； 對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的

36、用戶(hù)活動(dòng)。共八十頁(yè)入侵(rqn)檢測(cè)系統(tǒng)框架結(jié)構(gòu)共八十頁(yè)8.4.3 入侵檢測(cè)的基本(jbn)方法 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心(hxn)功能；入侵檢測(cè)系統(tǒng)按照所采用的檢測(cè)技術(shù)可以分為： 異常檢測(cè) 誤用檢測(cè) 兩種方式的結(jié)合共八十頁(yè)8.5 網(wǎng)絡(luò)文件備份與恢復(fù)(huf)技術(shù)8.5.1 網(wǎng)絡(luò)文件備份與恢復(fù)的重要性 網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份；歸檔是指在一種特殊介質(zhì)上進(jìn)行永久性存儲(chǔ)；網(wǎng)絡(luò)數(shù)據(jù)備份是一項(xiàng)基本(jbn)的網(wǎng)絡(luò)維護(hù)工作；備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。共八十頁(yè)8.5.2 網(wǎng)絡(luò)文件(wnjin)備份的基本方法 選擇備份設(shè)備 選擇備份程序建立備份制度 在考慮備份方

37、法時(shí)需要弄清楚兩個(gè)問(wèn)題：一是如果系統(tǒng)遭到破壞需要多長(zhǎng)時(shí)間才能恢復(fù)？ 二是怎樣(znyng)備份才可能在恢復(fù)系統(tǒng)時(shí)數(shù)據(jù)損失最少？ 共八十頁(yè) 常用的數(shù)據(jù)備份方法：冷備份、熱備份和邏輯備份三種。 冷備份。關(guān)閉信息系統(tǒng)，在沒(méi)有任何用戶(hù)對(duì)它進(jìn)行訪問(wèn)的情況下，將數(shù)據(jù)資源進(jìn)行備，并脫機(jī)保存在的備份行為，從而為系統(tǒng)中的數(shù)據(jù)資源保留一個(gè)后援。這種備份方法在保持?jǐn)?shù)據(jù)的完整性方面是最好的一種。其缺點(diǎn)是受限于存儲(chǔ)介質(zhì)的容量。 熱備份。在計(jì)算機(jī)運(yùn)行過(guò)程中進(jìn)行的備份。利用冗余的硬件資源來(lái)保證系統(tǒng)的連續(xù)運(yùn)行，當(dāng)計(jì)算機(jī)系統(tǒng)的某一部分發(fā)生故障時(shí)，系統(tǒng)會(huì)自動(dòng)切換到備份的硬件設(shè)備上，從而保證系統(tǒng)的連續(xù)運(yùn)轉(zhuǎn)。 典型的熱備份技術(shù)包括磁

38、盤(pán)陣列備份和雙機(jī)熱備份兩種。 磁盤(pán)陣列備份：把多個(gè)磁盤(pán)按一定的規(guī)則組合起來(lái)(q li)當(dāng)做單一的磁盤(pán)，將數(shù)據(jù)資源以分段的形式寫(xiě)入不同磁盤(pán)中的備份。 雙機(jī)熱備份：有兩套同時(shí)工作的相同系統(tǒng)，其中一套為主機(jī)，另一套為備份機(jī)。后者為前者提供數(shù)據(jù)備份。當(dāng)主機(jī)發(fā)生故障時(shí)，備份機(jī)接替主機(jī)，從而使系統(tǒng)能夠不間斷地運(yùn)行。共八十頁(yè) 邏輯備份。這種備份是使用軟件技術(shù)從數(shù)據(jù)庫(kù)系統(tǒng)中提取數(shù)據(jù)并將結(jié)果寫(xiě)入一個(gè)(y )輸出文件。備份中所記錄的數(shù)據(jù)并非完整的數(shù)據(jù)模式，而是模式中所有數(shù)據(jù)的一個(gè)(y )映像。邏輯備份比較適合增量備份，即備份那些經(jīng)過(guò)上次備份之后又改變了的數(shù)據(jù)資源。共八十頁(yè) 數(shù)據(jù)恢復(fù)： 數(shù)據(jù)恢復(fù)也稱(chēng)數(shù)據(jù)重載或數(shù)據(jù)重

39、入，是數(shù)據(jù)備份的逆過(guò)程，當(dāng)磁盤(pán)被損壞或系統(tǒng)遭到破壞時(shí)，可以通過(guò)轉(zhuǎn)儲(chǔ)或卸載的數(shù)據(jù)備份，利用恢復(fù)機(jī)制重建被損壞的計(jì)算機(jī)系統(tǒng)。 簡(jiǎn)言之，數(shù)據(jù)恢復(fù)機(jī)制就使用冗余數(shù)據(jù)對(duì)遭到破壞的系統(tǒng)實(shí)施恢復(fù)操作。 基于單純備份的恢復(fù)技術(shù) 基于備份和日志(rzh)文件的恢復(fù)技術(shù) 基于多備份的恢復(fù)技術(shù)等三類(lèi)。共八十頁(yè)8.6 網(wǎng)絡(luò)防病毒技術(shù) 8.6.1 造成網(wǎng)絡(luò)感染病毒的主要(zhyo)原因70%的病毒發(fā)生(fshng)在網(wǎng)絡(luò)上；將用戶(hù)家庭微型機(jī)軟盤(pán)帶到網(wǎng)絡(luò)上運(yùn)行而使網(wǎng)絡(luò)感染上病毒的事件約占41%左右；從網(wǎng)絡(luò)電子廣告牌上帶來(lái)的病毒約占7%；從軟件商的演示盤(pán)中帶來(lái)的病毒約占6%；從系統(tǒng)維護(hù)盤(pán)中帶來(lái)的病毒約占6%；從公司之間交換

40、的軟盤(pán)帶來(lái)的病毒約占2%；其他未知因素約占27%；從統(tǒng)計(jì)數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶(hù)自身。 共八十頁(yè)8.6.2 網(wǎng)絡(luò)病毒(bngd)的危害 網(wǎng)絡(luò)病毒感染一般是從用戶(hù)工作站開(kāi)始的，而網(wǎng)絡(luò)服務(wù)器是病毒潛在的攻擊目標(biāo)，也是網(wǎng)絡(luò)病毒潛藏的重要場(chǎng)所；網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)病毒事件中起著兩種作用(zuyng)：它可能被感染，造成服務(wù)器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網(wǎng)絡(luò)病毒的傳染與發(fā)作過(guò)程與單機(jī)基本相同，它將病毒本身拷貝覆蓋在宿主程序上；當(dāng)宿主程序執(zhí)行時(shí)，病毒也被啟動(dòng)，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運(yùn)行；當(dāng)符合某種條件時(shí)，病毒便會(huì)發(fā)作，它將破壞計(jì)算機(jī)內(nèi)的程序與數(shù)據(jù)。 共八十頁(yè)8.6.3 典型網(wǎng)絡(luò)防病毒軟件(run jin)的應(yīng)用 網(wǎng)絡(luò)防病毒可以從以下兩方面入手：一是工作站，二是服務(wù)器；網(wǎng)絡(luò)防病毒軟件的基本功能是：對(duì)文件服務(wù)器和工作站進(jìn)行查毒掃描、檢查、隔離、報(bào)警，當(dāng)發(fā)現(xiàn)病毒時(shí)，由網(wǎng)絡(luò)管理員負(fù)責(zé)清除(qngch)病毒； 網(wǎng)絡(luò)防病毒軟件一般允許用戶(hù)設(shè)置三種掃描方式：實(shí)時(shí)掃描、預(yù)置掃描與人工掃描