計算機基礎(chǔ)講稿第69章9

1、第九章 信息安全2教學(xué)目標(biāo) 理解信息安全的基本概念了解計算機病毒的特征、分類及其工作流程了解網(wǎng)絡(luò)入侵和攻擊的常見手段了解信息安全防護技術(shù)掌握應(yīng)該遵守的職業(yè)道德與法規(guī)3知識要點信息安全的基本概念引發(fā)信息安全問題的幾種因素計算機病毒的特征、分類、工作流程及入侵途徑網(wǎng)絡(luò)入侵與攻擊的幾種常見手段常見信息安全防護技術(shù)以及應(yīng)該遵守的職業(yè)道德與法規(guī)等重點！4舉案引思1、你的PC機曾經(jīng)可能被當(dāng)作砧板上“肉雞”，任人擺布，而不自知？2、在上網(wǎng)過程中，遇到網(wǎng)上不停地“蹦”出來那些討厭的廣告，你是否想過試圖關(guān)掉它，可又力不從心、很無助？考慮過是什么原因嗎？3、一些誘人的廣告或者“朋友”發(fā)來的連接，當(dāng)你點擊時，中招了

2、！59.1 信息安全概述 隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，人們在享受信息社會便利的同時，信息安全的問題也常常給個人和組織造成重大損失，涉及國家安全的重大問題也屢屢發(fā)生，因此保護計算機信息安全至關(guān)重要。計算機與信息安全包括：計算機系統(tǒng)安全計算機信息傳輸安全計算機信息內(nèi)容安全保證計算機系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰而對系統(tǒng)存儲、處理的信息造成破壞和損壞，保證系統(tǒng)信息如用戶口令、存儲權(quán)限控制等的安全，避免非法侵入系統(tǒng)。保證信息傳輸過程的安全，避免由于電磁泄漏、竊聽等使信息泄漏或受干擾。保證信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為，本質(zhì)上是保護用戶的

3、利益和隱私。6 雖然不同的組織、機構(gòu)對于信息安全的要求會有所差異，但是總體上信息安全的目標(biāo)是一致的，主要包括保密性、完整性、可用性和可控性等原則。1、保密性（Confidentiality）：保密性是指確保信息在存儲、使用、傳輸過程中不會泄露給非授權(quán)用戶，即使非授權(quán)用戶得到信息也無法知曉信息的內(nèi)容。2、完整性（Integrity）：完整性是指確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)男薷模３中畔?nèi)、外部表示的一致性。3、可用性（Availability）：可用性是指授權(quán)用戶在需要時能正常、可靠、及時地訪問和使用所需信息資源，且不受其他因

4、素的影響。這一目標(biāo)是對信息系統(tǒng)的總體可靠性要求。4、可控性（Controllable）：可控性是指信息在整個生命周期內(nèi)都可由合法擁有者加以安全的控制。如網(wǎng)絡(luò)系統(tǒng)能夠?qū)τ脩舻纳矸葸M行識別和確認，同時還能對用戶的訪問權(quán)限和方式進行有效控制。5、可鑒別性（Identifiability）：可鑒別性指對出現(xiàn)的信息安全問題，能夠提供調(diào)查的依據(jù)和手段。6、不可抵賴性（Nonrepudiation）：不可抵賴性是指用戶無法在事后否認曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為。所有網(wǎng)絡(luò)信息交互參與者都不能否認或抵賴曾經(jīng)完成的操作和承諾，當(dāng)網(wǎng)絡(luò)安全出現(xiàn)問題時，可以提供調(diào)查的依據(jù)。9.1.1 引發(fā)安全問題的偶然因素1

5、、操作失誤2、電源問題3、硬件故障4、災(zāi) 害9.1.2 計算機病毒和惡意軟件 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。1、計算機病毒的特征(1)寄生性：計算機病毒寄生在其他程序中。當(dāng)程序執(zhí)行時，病毒就被激活并起到破壞作用，而當(dāng)程序未啟動時，病毒不易被發(fā)覺。(2)傳染性：計算機病毒不但具有破壞性，更具有傳染性。一旦病毒被復(fù)制或者產(chǎn)生變種，其變化速度之快讓人難以預(yù)防。傳染性是病毒的基本特征。(3)潛伏性：有些病毒的發(fā)作時間是預(yù)先設(shè)置好的，例如黑色星期五病毒。未到指定時間或未滿足預(yù)定發(fā)作條件，計算機系統(tǒng)表現(xiàn)正常。

6、但是帶有這類病毒的計算機系統(tǒng)處于運行狀態(tài)時，一旦觸發(fā)預(yù)設(shè)條件，病毒就會發(fā)作，對系統(tǒng)進行破壞。9(4)隱蔽性：計算機病毒具有很強的隱蔽性。有些病毒可以通過殺毒軟件檢查出來，有些病毒根本就查不出來。隱蔽性強的病毒處理起來通常很困難。(5)破壞性：病毒入侵計算機后，可能導(dǎo)致正常的程序無法運行，文件被刪除、信息被發(fā)送等后果，使計算機用戶受到不同程度的損壞。(6)可觸發(fā)性：病毒因某個（些）條件的滿足而對計算機系統(tǒng)進行攻擊的特性成為可觸發(fā)性。為了隱蔽，病毒必須潛伏，減少活動。如果病毒完全不動一直潛伏的話，既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽也要維持殺傷力，因而必然具有可觸發(fā)性。102、計

7、算機病毒的分類按照寄生方式，計算機病毒可劃分為引導(dǎo)病毒、文件病毒和網(wǎng)絡(luò)病毒 。(1)引導(dǎo)型病毒是一種在ROM BIOS之后，系統(tǒng)引導(dǎo)式出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS中斷服務(wù)程序。引導(dǎo)型病毒主要感染磁盤引導(dǎo)扇區(qū)和硬盤的主引導(dǎo)扇區(qū)。(2)文件病毒感染計算機中的文件，COM、EXE等可執(zhí)行程序。文件病毒必須借助于載體程序，僅當(dāng)運行帶病毒的程序時，其文件才能載入內(nèi)存。受病毒感染的可執(zhí)行文件，其執(zhí)行速度會減緩，甚至完全無法執(zhí)行。11網(wǎng)絡(luò)病毒主要是指 惡意程序通過網(wǎng)絡(luò)自動傳播，具有很強的破壞性和隱蔽性，是目前威脅最大的病毒類型。目前主要由以下6種：(1)特洛伊木馬病毒 與普通的病毒不同，

8、木馬病毒不會自我繁殖，也并不刻意感染其他文件，而是通過偽裝吸引用戶下載執(zhí)行。用戶一旦中毒，就會被黑客控制，黑客即可利用木馬竊取用戶計算機中的信息。(2)蠕蟲病毒 蠕蟲病毒是一種獨立智能程序，采用網(wǎng)絡(luò)鏈或電子郵件在計算機與計算機之間獨自傳播，實現(xiàn)大量自我復(fù)制。它不同于普通病毒對文件和操作系統(tǒng)的感染，普通病毒采用將自身附加到其它程序中的方式來自我復(fù)制。而蠕蟲病毒通過網(wǎng)絡(luò)實現(xiàn)自我復(fù)制，不會感染文件。例如蠕蟲病毒可以向電子郵件簿中的所有聯(lián)系人發(fā)送其副本，聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成網(wǎng)絡(luò)通信負擔(dān)沉重，最終是網(wǎng)速過慢甚至癱瘓。(3)腳本病毒 通常是JavaScript或者VBScript等腳

9、本語言編寫的惡意代碼，利用網(wǎng)頁、郵件或Microsoft Office 文件進行傳播，實現(xiàn)病毒植入，執(zhí)行惡意代碼。(4)間諜軟件 是執(zhí)行某些特定目的的軟件的通用術(shù)語。如廣告、收集個人信息或沒有經(jīng)過您同意就更改計算機的設(shè)置等。間諜軟件常用的入侵伎倆是在安裝需要的其他軟件時偷偷地安裝軟件。123、計算機病毒的工作流程(1)傳染源。病毒總是依附于某些存儲介質(zhì)，如軟盤、 硬盤等構(gòu)成傳染源。(2)傳染媒介。病毒傳染的媒介由工作的環(huán)境來定, 可能是計算機網(wǎng)絡(luò), 也可能是可移動的存儲介質(zhì)，如U盤等。(3)病毒激活。是指將病毒裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟, 病毒就開始作用自我復(fù)制到傳染對象中

10、, 進行各種破壞活動等。(4)病毒觸發(fā)。計算機病毒一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是內(nèi)部時鐘、系統(tǒng)的日期、用戶標(biāo)識符，也可能是系統(tǒng)一次通信等。(5)病毒表現(xiàn)。表現(xiàn)是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)?？梢赃@樣說, 凡是軟件技術(shù)能夠觸及到的地方, 都在其表現(xiàn)范圍內(nèi)。(6)傳染。病毒的傳染是病毒特征的一個重要標(biāo)志。在傳染環(huán)節(jié)中, 病毒將自身的副本復(fù)制到傳染對象中去。139.1.3 網(wǎng)絡(luò)入侵與攻擊 網(wǎng)絡(luò)入侵與攻擊是針對安全策略的違規(guī)行為、針對授權(quán)的濫用行為與針對正常行為特征的異常行為的總和。網(wǎng)絡(luò)入侵與攻擊的原因多種多樣，有出于私人恩怨、商

11、業(yè)或個人目的獲取秘密資料、利用對方的系統(tǒng)資源滿足自己的需求、民族仇恨、尋求刺激及無目的攻擊等。 黑客（Hacker）的現(xiàn)代含義是特指對電腦系統(tǒng)的非法入侵者。黑客實施網(wǎng)絡(luò)攻擊一般分為以下步驟。(1)收集攻擊方的有關(guān)信息，分析被攻擊方可能存在的漏洞；(2)建立模擬環(huán)境，進行模擬攻擊，測試對方可能的反應(yīng)；(3)利用適當(dāng)?shù)墓ぞ哌M行掃描；(4)實施攻擊。 黑客的本來定義：“喜歡探索軟件程序奧秘、并從中增長其個人才干的人”。4、計算機病毒的入侵途徑 目前常見的計算機病毒入侵途徑有社會工程（利用地震、奧運等熱點話題建立欺詐網(wǎng)站）、垃圾郵件、惡意網(wǎng)頁、利用系統(tǒng)漏洞和第三方軟件、即時通訊工具、文件下載、局域網(wǎng)、

12、U盤等移動存儲介質(zhì)、文件感染、分布式入侵、無線網(wǎng)絡(luò)等。黑客入侵和攻擊的手段主要有：(1)闖入 黑客闖入用戶的計算機，就像普通合法用戶一樣使用計算機的資源。闖入方法有兩種。一種是猜測用戶密碼。另外一種是搜索整個系統(tǒng)，發(fā)現(xiàn)軟件、硬件的漏洞（BUG）或者配置錯誤，以獲得系統(tǒng)的進入權(quán)。(2)拒絕服務(wù) 拒絕服務(wù)攻擊（Denial of Service，簡稱DoS）即攻擊者通過各種手段來消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，或者攻擊系統(tǒng)缺陷，使系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài)，不能對正常用戶進行服務(wù)，從而實現(xiàn)拒絕正常用戶的服務(wù)訪問。 (3)協(xié)議欺騙攻擊 協(xié)議欺騙攻擊時針對網(wǎng)絡(luò)協(xié)議的缺陷，采用某種欺騙手段，假冒通過認證騙取對方

13、信任，以截獲信息獲取特權(quán)，進而實現(xiàn)入侵的攻擊方式。主要的協(xié)議欺騙攻擊方式有IP地址欺騙攻擊、TCP會話劫持、源路由欺騙攻擊、ARP協(xié)議欺騙攻擊、DNS協(xié)議欺騙攻擊等。 (4)口令攻擊 入侵者設(shè)法獲取到合法用戶的口令。方法主要有弱口令掃描、密碼嗅探(Password Sniffer)、暴力破解以及木馬程序或鍵盤記錄程序等手段。15(5)掃描攻擊 網(wǎng)絡(luò)掃描的目的就是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機上尋找漏洞。 對網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計算機開放的服務(wù)程序、運行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。(6)嗅探與協(xié)議分析 是一種被動的偵察手段，使用嗅探監(jiān)聽軟件，通過協(xié)議分析器捕

14、獲網(wǎng)絡(luò)數(shù)據(jù)包來獲取網(wǎng)絡(luò)上的有關(guān)信息，對網(wǎng)絡(luò)中的數(shù)據(jù)進行分析，獲取可用的信息。9.2 信息安全防護技術(shù) 沒有絕對安全的計算機系統(tǒng)。必須保持清醒正確的認識，同時掌握最新的安全問題情況，再加上完善有效地安全策略，是可以阻止大部分安全事件的發(fā)生，使損失降低到最低程度。 建立全面的計算機信息安全機制，最可行的做法是制定健全的管理制度和防護技術(shù)相結(jié)合。169.2.1 物理保護 包括提供符合技術(shù)規(guī)范要求的使用環(huán)境，防災(zāi)措施以及安裝不間斷電源（UPS），限制對硬件的訪問等措施。 一般環(huán)境要求會涉及到溫度、濕度、接地性能、抗靜電性能、防輻射等多方面的指標(biāo)。9.2.2 數(shù)據(jù)備份 為數(shù)據(jù)另外制作一個拷貝或副本。這樣

15、當(dāng)正本被破壞時，可以通過副本恢復(fù)原來的數(shù)據(jù)。數(shù)據(jù)備份是一種被動的保護措施，但同時也是數(shù)據(jù)保護的最重要措施。1、數(shù)據(jù)備份類型（1）完全備份（Full Backup） 指備份時用一盤或者多盤磁帶(或磁盤、光盤等外存介質(zhì)(輔助存儲設(shè)備)將本地計算機系統(tǒng)中的所有軟件及數(shù)據(jù)全部備份下來。這種方式的優(yōu)點是簡單易行。當(dāng)計算機系統(tǒng)崩潰或者數(shù)據(jù)丟失時，可以通過最近的備份系統(tǒng)恢復(fù)至備份時的狀態(tài)。17缺點： 在備份數(shù)據(jù)中存在大量的重復(fù)，占用了大量的輔助存儲空間，數(shù)據(jù)備份成本的增加。 由于需要備份的數(shù)據(jù)量相當(dāng)大，所需時間也較長。（2）增量備份（Incremental Backup）指每次備份的數(shù)據(jù)只是上一次備份后增加

16、和修改過的數(shù)據(jù)。優(yōu)點：沒有重復(fù)的備份數(shù)據(jù)，節(jié)省了輔助存儲空間，又縮短了備份時間。缺點：當(dāng)發(fā)生災(zāi)難時，恢復(fù)數(shù)據(jù)比較麻煩。18（3）差分備份（Differential Backup） 指每次備份的數(shù)據(jù)是相對于上一次全備份之后新增加的和修改過的數(shù)據(jù)。 差分備份無須每天都做系統(tǒng)完全備份，因此備份所需要的時間短，節(jié)省了磁盤空間。它的災(zāi)難恢復(fù)也很方便，系統(tǒng)管理員只需兩盤磁帶，即系統(tǒng)全備份的磁帶與發(fā)生災(zāi)難前一天的備份磁帶，就可以將系統(tǒng)完全恢復(fù)。192、制定備份計劃（1）備份策略制定 2/8原則(即20%的數(shù)據(jù)被更新的概率是80%)告訴我們：每次備份都完整地復(fù)制所有數(shù)據(jù)是一種非常不合理的做法。完整備份與增量備

17、份和差分備份之間如何組合，才能最有效地實現(xiàn)備份保護，這正是備份策略所關(guān)心的問題。（2）工作過程控制 根據(jù)預(yù)先制定的規(guī)則和策略，備份工作何時啟動，對哪些數(shù)據(jù)進行備份，以及工作過程意外情況處理，這些都是備份軟件不可推卸的責(zé)任。這其中包括了與數(shù)據(jù)庫應(yīng)用的配合接口，也包括了一些備份軟件自身的特殊功能。209.2.3 加密技術(shù)加密變換是目前實現(xiàn)信息系統(tǒng)安全的主要手段，通過利用不同的加密技術(shù)可以對信息進行變換，從而實現(xiàn)信息的保密和隱藏。信息保密技術(shù)是信息安全的基礎(chǔ)內(nèi)容。與加密技術(shù)相對應(yīng)的是解密技術(shù)，它們兩者統(tǒng)稱為密碼技術(shù)，包括密碼算法設(shè)計、密碼分析、安全協(xié)議、身份認證、消息確認、數(shù)字簽名、密鑰管理、密鑰托

18、管等技術(shù)，是保護大型網(wǎng)絡(luò)傳輸信息安全的重要手段。加密技術(shù)的基本思想就是偽裝信息，使非法闖入者無法理解信息的真正含義。偽裝的實質(zhì)是對信息進行一組可逆的數(shù)學(xué)變換。偽裝前的原始信息為明文，經(jīng)偽裝的信息為密文，偽裝的過程稱之為加密。密鑰是為了有效控制加密、解密算法的實現(xiàn)，在這些算法的實現(xiàn)過程中，需要有某些只被通信雙方所掌握的私密的、關(guān)鍵的信息參與，這些信息就稱為密鑰。密碼學(xué)包括密碼設(shè)計與密碼分析兩個方面，密碼設(shè)計主要研究加密方法，密碼分析主要針對密碼破譯。219.2.4 認證技術(shù) 認證（Authentication）則是防止主動攻擊的重要技術(shù)，它對于開放的網(wǎng)絡(luò)中各種信息系統(tǒng)的安全性有重要作用。 認證的

19、主要目的： 驗證信息的發(fā)送者是真的，而不是冒充的，此為實體認證，包括信源、信宿等的認證和識別； 驗證信息的完整性，此為消息認證，驗證數(shù)據(jù)在傳送或存儲過程中未被篡改，重放或延遲等。 認證技術(shù)的3個層次： 安全管理協(xié)議 其主要任務(wù)是在安全體制的支持下，建立、強化和實施整個網(wǎng)絡(luò)系統(tǒng)的安全策略； 認證體制 其在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認證功能； 密碼體制 是認證技術(shù)的基礎(chǔ)，它為認證體制提供數(shù)學(xué)方法支持。229.2.5 計算機病毒防范措施 目前國內(nèi)商品化的防病毒卡已有很多種，但是大部分病毒防護卡采用的技術(shù)是識別病毒特征和監(jiān)視中斷向量的方法。 缺點： 只能防護已知的計算機病毒，面對新

20、出現(xiàn)的病毒無能為力； 發(fā)現(xiàn)可疑的操作，如修改中斷向量時，頻頻出現(xiàn)突然中止用戶程序的正常顯示畫面。9.2.5.1 計算機病毒的預(yù)防（1）采用防病毒的硬件 制定完善的防范措施，有效地防止病毒入侵。措施主要有： 安裝防病毒軟件并及時升級； 定期對計算機進行主動查毒，及時發(fā)現(xiàn)并清除病毒； 及時升級操作系統(tǒng)和應(yīng)用軟件廠商發(fā)布的補丁程序（2）機房安全措施 慎用公共軟件和共享軟件，不使用盜版軟件； 避免直接使用來源不明的移動介質(zhì)和軟件，如果要使用，可事先用防毒軟件進行檢測； 盡可能不打開來源不明的郵件及其附件，不瀏覽未知站點； 定期對重要的數(shù)據(jù)文件進行備份，以防止計算機病毒的破壞而造成不可挽回的損失； 教育

21、機房管理人員和計算機操作人員加強安全意識，嚴(yán)格遵守規(guī)章制度，讓計算機安全高效的運行。 為了減少新病毒出現(xiàn)的可能性，國家應(yīng)當(dāng)制定有關(guān)計算機病毒的法律，認定制造和有意傳播計算機病毒為嚴(yán)重犯罪行為。同時，應(yīng)教育軟件人員和計算機愛好者認識到病毒的危害性，加強自身的社會責(zé)任感，不從事制造和改造計算機病毒的犯罪行為。（3）社會措施24 對用戶有較高的要求，一般用DEBUG等軟件對計算機內(nèi)存或文件進行跟蹤分析，或直接根據(jù)計算機使用過程中產(chǎn)生的現(xiàn)象進行判斷。9.2.5.2 計算機病毒的檢測和清除（1）人工檢測 是使用專用的工具軟件對計算機進行病毒檢測。隨著技術(shù)的發(fā)展，病毒檢測軟件不僅能夠檢查隱藏在磁盤文件和引

22、導(dǎo)扇區(qū)內(nèi)的病毒，還能檢測出內(nèi)存中駐留的計算機病毒。（2）自動檢測 病毒的清除不能簡單地刪除染毒文件，在清除病毒的同時要盡可能地恢復(fù)被病毒破壞的文件和數(shù)據(jù)，它是病毒傳染程序的逆過程。多數(shù)防病毒軟件在檢測到病毒時會嘗試清除病毒，如不能清除可以對染毒文件進行隔離。（3）清除病毒259.2.5.3 常用殺毒軟件（1）瑞星殺毒軟件（2）諾頓殺毒軟件（3）金山毒霸（4）江民殺毒軟件（5）360免費殺毒軟件9.2.6 防火墻技術(shù) 防火墻（Firewall）是網(wǎng)絡(luò)安全中使用最廣泛的一種技術(shù)。防火墻的基本功能是“隔離”，可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）與Internet之間或者與其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪

23、用來保護內(nèi)部網(wǎng)絡(luò)。26典型的防火墻具有以下三個方面的基本特性：（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；（2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻；（3）防火墻自身應(yīng)具有非常強的抗攻擊免疫力。27典型的防火墻具有以下幾種功能：（1）限定內(nèi)部用戶訪問特殊站點；（2）防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)；（3）允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源；（4）記錄通過防火墻的信息內(nèi)容和活動；（5）對網(wǎng)絡(luò)攻擊進行監(jiān)測和報警。常見的防火墻類型：（1）包過濾型防火墻 通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否

24、允許該數(shù)據(jù)包通過。（3）混合或復(fù)雜網(wǎng)關(guān)型防火墻優(yōu)點：邏輯簡單、成本低、易于安裝和使用、網(wǎng)絡(luò)性能和透明性好，通常安裝在路由器上。缺點：很難準(zhǔn)確地設(shè)置包過濾器，缺乏用戶級的授權(quán)；包過濾判別的條件位于數(shù)據(jù)包的頭部，由于IPV4的不安全性，很可能被假冒或竊?。凰腔诰W(wǎng)絡(luò)層的安全技術(shù)，不能通過檢測高層協(xié)議而實施的攻擊。監(jiān)視兩主機建立連接時的握手信息，判斷該會話請求是否合法。一旦會話連接有效后，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高。但由于其對會話建立后所傳輸?shù)木唧w內(nèi)容不再作進一步的分析，因此安全性低。（2）應(yīng)用網(wǎng)關(guān)型防火墻在應(yīng)用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能，針對特別的網(wǎng)絡(luò)應(yīng)用協(xié)議

25、制定數(shù)據(jù)過濾邏輯。（4）代理服務(wù)型防火墻 可以根據(jù)用戶定義的安全策略，動態(tài)適應(yīng)傳送中的分組流量。代理服務(wù)器接收客戶請求后，會檢查并驗證其合法性。如合法，它將作為一臺客戶機向真正的服務(wù)器發(fā)出請求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界完全隔離開來，從外面只看到代理服務(wù)器，看不到任何內(nèi)部資源，而且代理服務(wù)器只允許被代理的服務(wù)通過。代理服務(wù)安全性高，還可以過濾協(xié)議，通常認為它是最安全的防火墻技術(shù)。其不足之處，主要是不能完全透明地支持各種服務(wù)或應(yīng)用，且消耗大量CPU資源，導(dǎo)致系統(tǒng)性能降低。（5）狀態(tài)檢測型防火墻 狀態(tài)檢測型防火墻將動態(tài)記錄、維護各個連接的協(xié)議狀態(tài)，并在網(wǎng)絡(luò)層對通信的各個層次

26、進行分析、檢測，以決定是否允許通過防火墻。因此它兼?zhèn)淞溯^高的效率和安全性，可以支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用，且可以方便地擴展實現(xiàn)對各種非標(biāo)準(zhǔn)服務(wù)的支持。9.2.7 入侵檢測技術(shù) 入侵檢測（Intrusion Detection）技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的 活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則馬上做出適當(dāng)?shù)姆磻?yīng)。對于正在進行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動），以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。

27、入侵檢測常見的方法：（2）異常檢測技術(shù) 是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法?；舅枷胧牵和ㄟ^對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等）的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。特征輪廓是借助主體登錄的時刻、登錄的位置、CPU的使用時間以及文件的存取等屬性，來描述它的正常行為特征。當(dāng)主體的行為特征改變時，對應(yīng)的特征輪廓也相應(yīng)改變。（1）靜態(tài)配置分析 通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)

28、文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（系統(tǒng)配置信息），而不是系統(tǒng)中的活動。（3）誤用檢測技術(shù) 通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的異常行為。（4）基于系統(tǒng)關(guān)鍵程序的安全規(guī)格描述方法 加州大學(xué)的Calvin Cheuk Wang Ko提出的基于規(guī)格說明的監(jiān)控技術(shù)是一種新的入侵檢測方法。其思想是為系統(tǒng)中的安全關(guān)鍵程序編寫安全規(guī)格說明，用來描述這些關(guān)鍵程序正常的合乎安全要求的行為，并對這些程序的執(zhí)行進行監(jiān)控以檢測它們是否違背了安全規(guī)格說明的要求。9.2.8 訪問控

29、制技術(shù) 訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。 訪問控制包括3個要素，即主體、客體和控制策略。訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。 自主是指主體能夠自主的（可能是間接的）將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。 它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。是一種常用的訪問控制方式。訪問控制一般包括3種類型：（1）自主訪問控制 為所有的主體和客體指定安全級別，比如絕密級、機密級、秘密級和無密級。不同級別標(biāo)記了不同重要程度和能力的實體。不同級別的主體對不同級別的客體的訪問是在強

30、制的安全策略下實現(xiàn)的。 在強制訪問控制機制中，將安全級別進行排序，如按照從高到低排列，規(guī)定高級別可以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。這種訪問可以是讀，也可以是寫或修改。（2）強制訪問控制 用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經(jīng)過角色認證而充當(dāng)相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。（3）基于角色的訪問控制9.2.9 安全審計技術(shù) 審計是對用戶使用何種信息資源、使用的時間，以及如何使用（執(zhí)行何

31、種操作）進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。審計跟蹤是系統(tǒng)活動的流水記錄。 審計是對訪問控制的必要補充，是訪問控制的一個重要內(nèi)容。 審計跟蹤是管理人員用來維護個人職能的技術(shù)手段。如果用戶知道他們的行為活動被記錄在審計日志中，相應(yīng)的人員需要為自己的行為負責(zé)，他們就不太會違反安全策略和繞過安全控制措施。審計跟蹤可以實現(xiàn)多種安全相關(guān)目標(biāo)：（1）個人職能 在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。通過審查系統(tǒng)活動的審計跟蹤可以比較容易地評估故障損失，確定故障發(fā)生的時間、原因和過程。（2

32、）事件重建 如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預(yù)防入侵檢測活動。（3）入侵檢測審計跟蹤可以用于實時審計或監(jiān)控。（4）故障分析9.2.10 信息內(nèi)容安全技術(shù) 內(nèi)容安全是網(wǎng)絡(luò)信息安全的最終目標(biāo)。信息內(nèi)容安全覆蓋面寬、容量大。 信息內(nèi)容安全的技術(shù)和產(chǎn)品研究的是：信息內(nèi)容分級標(biāo)準(zhǔn)的制定及相應(yīng)的過濾產(chǎn)品與技術(shù)；信息資產(chǎn)的安全等級評定技術(shù)及產(chǎn)品；大流量網(wǎng)絡(luò)信息的實時監(jiān)控技術(shù)與產(chǎn)品；移動終端的防病毒與防泄漏技術(shù)與產(chǎn)品；IPv6的信息內(nèi)容安全技術(shù)與產(chǎn)品；骨干網(wǎng)內(nèi)容過濾技術(shù)與產(chǎn)品；基于圖像的內(nèi)容監(jiān)管技術(shù)與產(chǎn)品；基于音頻的內(nèi)容監(jiān)管技術(shù)與產(chǎn)品；國家級分布式網(wǎng)絡(luò)內(nèi)容監(jiān)管體系；信息內(nèi)容的滲透與反滲透技術(shù)與產(chǎn)品；網(wǎng)關(guān)型網(wǎng)絡(luò)蠕蟲及病毒的查殺技術(shù)與產(chǎn)品。重點有信息獲取、信息內(nèi)容識別、控制/阻斷、信息內(nèi)容分級、圖像過濾及信息內(nèi)容審計等技術(shù)。 目前信息內(nèi)容安全領(lǐng)域產(chǎn)品主要包括防病毒產(chǎn)品、郵件掃描產(chǎn)品、網(wǎng)頁過濾產(chǎn)品三類。9.2.11 數(shù)字簽名和數(shù)字水印技術(shù) 數(shù)字簽名是通過某種密碼運算生成的一系列符號及代碼組成的電子密碼進行簽名，以代替書寫簽名或印章的技術(shù)。這種電子式的簽名還可以進行技術(shù)驗證，其驗證的準(zhǔn)確度是一般手工簽名和印章驗證無法比擬的