第11章網(wǎng)絡(luò)安全

第11章《局域網(wǎng)組建與管理》電子教案

網(wǎng)絡(luò)安全學(xué)習(xí)目標(biāo)理解網(wǎng)絡(luò)安全的概念及目標(biāo)理解防火墻的概念、功能及其類型理解IPSec的工作原理及策略理解VPN的概念、功能和特點(diǎn)，了解VPN的關(guān)鍵技術(shù)及實(shí)現(xiàn)方式了解網(wǎng)絡(luò)存在的漏洞、常受的攻擊以及保證網(wǎng)絡(luò)安全的主要技術(shù)了解病毒及其防治措施以及如何選擇網(wǎng)絡(luò)防病毒系統(tǒng)掌握IPSec策略的配置及掌握VPN網(wǎng)絡(luò)的組建方法11.1網(wǎng)絡(luò)安全概述11.1.1網(wǎng)絡(luò)安全威脅類型11.1.2網(wǎng)絡(luò)安全漏洞11.1.3網(wǎng)絡(luò)攻擊11.1.4基本安全技術(shù)網(wǎng)絡(luò)安全本質(zhì)上就是網(wǎng)絡(luò)上的信息安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)由于偶然或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠和正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的基本目標(biāo)是實(shí)現(xiàn)信息的機(jī)密性、完整性、可用性和合法性。從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的機(jī)密性、完整性、可用性和合法性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。如何更加有效地保護(hù)重要的信息數(shù)據(jù)和提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個(gè)重要問題。11.1網(wǎng)絡(luò)安全概述信息泄露或者丟失破壞數(shù)據(jù)完整性拒絕服務(wù)攻擊非授權(quán)訪問利用網(wǎng)絡(luò)傳播病毒11.1.1網(wǎng)絡(luò)安全威脅類型一個(gè)較為通俗的網(wǎng)絡(luò)安全漏洞定義可描述性為：存在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的、可能對(duì)系統(tǒng)中的組成和數(shù)據(jù)造成損害的一切因素。11.1.2網(wǎng)絡(luò)安全漏洞拒絕服務(wù)攻擊(DenialofService，DoS)原理

基本原理：借助于網(wǎng)絡(luò)系統(tǒng)或者網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)的性能受損甚至導(dǎo)致服務(wù)中斷。常見攻擊方法：SYNFlood攻擊、Smurf、UDP洪水、Land攻擊、死亡之Ping和電子郵件炸彈等。防護(hù)措施：設(shè)置防火墻，關(guān)閉外部路由器和防火墻的廣播地址，利用防火墻過濾掉UDP應(yīng)答消息和丟棄ICMP包，盡量關(guān)閉不必要的TCP/IP服務(wù)。11.1.2網(wǎng)絡(luò)安全漏洞緩沖區(qū)溢出攻擊原理

基本原理：向緩沖區(qū)中寫入超長(zhǎng)的、預(yù)設(shè)的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，覆蓋其它正常的程序或者數(shù)據(jù)，然后讓計(jì)算機(jī)轉(zhuǎn)而運(yùn)行這行預(yù)設(shè)的程序，達(dá)到執(zhí)行非法操作、實(shí)現(xiàn)攻擊的目的。防護(hù)措施：程序開發(fā)者在開發(fā)程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)；網(wǎng)絡(luò)管理員必須做到及時(shí)發(fā)現(xiàn)漏洞，并對(duì)系統(tǒng)進(jìn)行補(bǔ)丁修補(bǔ)；條件允許的情況下，還應(yīng)該定期對(duì)系統(tǒng)進(jìn)行升級(jí)。11.1.2網(wǎng)絡(luò)安全漏洞欺騙類攻擊原理

基本原理：主要利用TCP/IP協(xié)議自身的缺陷發(fā)動(dòng)攻擊。分類：根據(jù)假冒方式的不同，可分為IP欺騙、DNS欺騙、電子郵件欺騙和Web欺騙等。防護(hù)措施：充分了解主機(jī)的系統(tǒng)狀況，只啟用必用的應(yīng)用程序和只開放提供服務(wù)所用到的端口。11.1.2網(wǎng)絡(luò)安全漏洞程序錯(cuò)誤攻擊原理基本原理：主要利用網(wǎng)絡(luò)主機(jī)中存在的服務(wù)程序錯(cuò)誤和網(wǎng)絡(luò)協(xié)議錯(cuò)誤來進(jìn)行攻擊。防護(hù)措施：盡快安裝漏洞的補(bǔ)丁程序，在沒有找到補(bǔ)丁之前，應(yīng)先安裝防火墻，視情況切斷主機(jī)應(yīng)用層服務(wù)，即禁止從主機(jī)的所有端口發(fā)出和接收數(shù)據(jù)包。11.1.2網(wǎng)絡(luò)安全漏洞后門攻擊原理

基本原理：建立后門的常用方法是在主機(jī)中安裝木馬程序。攻擊者利用欺騙的手段，通過向主機(jī)發(fā)送電子郵件或者是文件，并誘使主機(jī)的操作員打開或者運(yùn)行藏有木馬程序的郵件及文件；或者是攻擊者獲得控制權(quán)后，自己安裝木馬程序。防護(hù)措施：經(jīng)常檢測(cè)系統(tǒng)的程序運(yùn)行情況，及時(shí)發(fā)現(xiàn)運(yùn)行中的不明程序，并用木馬專殺工具查殺木馬。11.1.2網(wǎng)絡(luò)安全漏洞目前，危害很大的網(wǎng)絡(luò)攻擊主要來自黑客攻擊。黑客常用的幾種攻擊手段有：(1)口令入侵(2)放置特洛伊木馬程序(3)DoS攻擊(4)端口掃描(5)網(wǎng)絡(luò)監(jiān)聽(6)欺騙攻擊(7)電子郵件攻擊11.1.3網(wǎng)絡(luò)攻擊防火墻技術(shù)加密技術(shù)用戶識(shí)別技術(shù)訪問控制技術(shù)網(wǎng)絡(luò)反病毒技術(shù)網(wǎng)絡(luò)安全漏洞掃描技術(shù)入侵檢測(cè)技術(shù)11.1.4基本安全技術(shù)11.2基于防火墻的網(wǎng)絡(luò)安全11.2.1防火墻概述11.2.2防火墻類型11.2.3防火墻應(yīng)用防火墻名稱來自以前防止火災(zāi)的構(gòu)筑物。防火墻是一個(gè)分離器，一個(gè)限制器，同時(shí)也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的作用是監(jiān)控進(jìn)出網(wǎng)絡(luò)的信息，僅讓安全的、符合規(guī)則的信息進(jìn)入內(nèi)部網(wǎng)絡(luò)，為用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。11.2.1防火墻概述一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下5個(gè)方面的特性：所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須通過防火墻只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻防火墻本身不受各種攻擊的影響使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)、一次口令系統(tǒng)和智能卡等人機(jī)界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以方便地對(duì)防火墻進(jìn)行設(shè)置，對(duì)互聯(lián)網(wǎng)的訪問者、被訪問者、訪問協(xié)議以及訪問方式進(jìn)行控制11.2.1防火墻概述11.2.2防火墻類型包過濾防火墻應(yīng)用層網(wǎng)關(guān)防火墻狀態(tài)檢測(cè)防火墻防火墻系統(tǒng)設(shè)置時(shí)考慮事項(xiàng)

(1)要保護(hù)什么樣的資源？(2)保護(hù)的資源有多重要？(3)允許什么樣的用戶可以接觸這些資源？(4)使用資源時(shí)涉及哪些服務(wù)？(5)保護(hù)資源所消耗的費(fèi)用是否合理？(6)怎么做防火墻系統(tǒng)的定期檢驗(yàn)？11.2.3防火墻應(yīng)用防火墻產(chǎn)品介紹

網(wǎng)絡(luò)衛(wèi)士CiscoPIXFirewall和Cisco1OS防火墻“長(zhǎng)城”防火墻其它防火墻11.2.3防火墻應(yīng)用11.3基于IPSec的網(wǎng)絡(luò)安全11.3.1IPSec概述11.3.2IPSec策略IPSec是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，它為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec的兩個(gè)基本目標(biāo)：一是保護(hù)IP數(shù)據(jù)包安全，二是抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。11.3.1IPSec概述IPSec工作原理在進(jìn)行數(shù)據(jù)交換之前，先相互驗(yàn)證對(duì)方的計(jì)算機(jī)的身份。驗(yàn)證身份通過之后，在這兩臺(tái)計(jì)算機(jī)之間建立一種安全協(xié)作關(guān)系，并且在進(jìn)行數(shù)據(jù)傳輸之前將數(shù)據(jù)進(jìn)行加密。通過這三個(gè)步驟，可以保證網(wǎng)絡(luò)的通信安全，即使數(shù)據(jù)中途被截獲，也因?yàn)榻孬@者不知道加密的密鑰也就無從了解數(shù)據(jù)的內(nèi)容。11.3.1IPSec概述在WindowsServer2003中，IPSec策略包括一系列規(guī)則(規(guī)定哪些數(shù)據(jù)流可以接受，哪些數(shù)據(jù)流不能接受)和過濾器(規(guī)定數(shù)據(jù)流的源地址和目標(biāo)地址)，以便提供一定程度的安全級(jí)別。在其IPSec實(shí)現(xiàn)中，既有多種預(yù)置策略可供用戶選擇，也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本方法：一是在本地計(jì)算機(jī)上指定策略，二是使用WindowsServer2003“組策略”對(duì)象，由其來實(shí)施策略。IPSec策略可適用于單機(jī)、域、路由器、網(wǎng)站或者各種自定義組織單元等多種場(chǎng)合。11.3.2IPSec策略規(guī)則規(guī)則規(guī)定IPSec策略何時(shí)以及如何保護(hù)IP通信。根據(jù)IP數(shù)據(jù)流類型、源地址和目的地址，規(guī)則應(yīng)該具有觸發(fā)和控制安全通信的能力。每一條規(guī)則包含一張IP過濾器列表和與之相匹配的安全設(shè)置，這些安全設(shè)置有過濾器動(dòng)作、認(rèn)證方法、IP隧道設(shè)置和連接類型。一個(gè)IPSec策略包含一至多條規(guī)則，這些規(guī)則可以同時(shí)處于激活狀態(tài)。IPSec實(shí)現(xiàn)中針對(duì)各種基于客戶機(jī)和服務(wù)器的通信提供了許多預(yù)置規(guī)則，用戶可以根據(jù)實(shí)際需求使用或者修改。11.3.2IPSec策略篩選器和篩選器操作

一個(gè)篩選器由以下幾個(gè)參數(shù)決定：IP包的源地址和目的地址、包所使用的傳輸協(xié)議類型以及TCP和UDP協(xié)議的源和目的端口號(hào)。一個(gè)篩選器對(duì)應(yīng)于一種特定類型的數(shù)據(jù)流。篩選器操作為需要受保護(hù)的IP通信設(shè)置安全需求，這些安全需求包括安全算法、安全協(xié)議和使用的密鑰屬性等。除了為需要受保護(hù)的IP通信設(shè)置篩選器操作外，還可以將篩選器操作配置成繞過策略和攔截策略。繞過策略，即某些IP通信可以繞過IPSec，不受其安全保護(hù)。這類通信主要有以下三種情況：(1)遠(yuǎn)程主機(jī)無法啟用IPSec；(2)非敏感數(shù)據(jù)流無須受保護(hù)；(3)數(shù)據(jù)流本身自帶安全措施，例如，使用Kerberosv5、SSL或者PPTP(PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議)。而攔截策略，則用于攔截來自特定地址的通信。11.3.2IPSec策略連接類型

每一條規(guī)則都需要指明連接類型，用以規(guī)定IPSec策略的適用范圍，比如所有網(wǎng)絡(luò)連接、遠(yuǎn)程訪問或者LAN等。規(guī)則的連接屬性決定該規(guī)則將應(yīng)用于單種連接還是多種連接。例如，用戶可以指明某條安全需求特別高的規(guī)則，只應(yīng)用于遠(yuǎn)程訪問，而不應(yīng)用于LAN連接。11.3.2IPSec策略認(rèn)證

一條規(guī)則可以指定多種認(rèn)證方法。IPSec支持的認(rèn)證方法主要有：(1)Kerberosv5：WindowsServer2003缺省認(rèn)證協(xié)議。該認(rèn)證方法適用于任何運(yùn)行Kerberosv5協(xié)議的客戶機(jī)。(2)公鑰證書認(rèn)證：該認(rèn)證方法適用于Internet訪問、遠(yuǎn)程訪問、基于L2TP的通信或者不運(yùn)行Kerberosv5協(xié)議的主機(jī)，要求至少配置一個(gè)受信賴的認(rèn)證中心CA。(3)預(yù)共享密鑰：WindowsServer2003的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認(rèn)證系統(tǒng)相兼容，但在實(shí)際應(yīng)用中不推薦使用預(yù)置共享密鑰認(rèn)證。為了避免使用預(yù)置共享密鑰認(rèn)證可能帶來的風(fēng)險(xiǎn)，一般建議使用Kerberosv5認(rèn)證或者公鑰證書認(rèn)證。

11.3.2IPSec策略11.4基于VPN的網(wǎng)絡(luò)安全11.4.1VPN概述11.4.2VPN實(shí)現(xiàn)VPN的概念VPN被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是Internet)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，它采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公眾網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，使數(shù)據(jù)在虛擬網(wǎng)上可以通過安全的“加密隧道”在公用網(wǎng)絡(luò)中傳播。11.4.1VPN概述VPN的分類

根據(jù)VPN所起的作用，可以將VPN分為三類：(1)AccessVPN(2)IntranetVPN(3)ExtranetVPN11.4.1VPN概述VPN的特點(diǎn)

一般情況下，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：(1)安全保障(2)QoS保證(3)可擴(kuò)充性和靈活性(4)可管理性11.4.1VPN概述VPN的關(guān)鍵技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是：(1)隧道技術(shù)(Tunneling)(2)加解密技術(shù)(Encryption&Decryption)(3)密鑰管理技術(shù)(KeyManagement)(4)使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)11.4.1VPN概述Client-LAN和LAN-LAN是兩種基本的VPN實(shí)現(xiàn)形式。前者實(shí)現(xiàn)用戶安全的遠(yuǎn)程訪問，后者既可用于組建安全的內(nèi)聯(lián)網(wǎng)，又可用于組建企業(yè)外聯(lián)網(wǎng)絡(luò)系統(tǒng)。

11.4.2VPN實(shí)現(xiàn)(1)Client-LAN11.4.2VPN實(shí)現(xiàn)(1)Client-LANAccessVPN就是采用Client-LAN這種實(shí)現(xiàn)方式。AccessVPN工作時(shí)，遠(yuǎn)程客戶通過撥號(hào)線路連接到ISP的網(wǎng)絡(luò)訪問服務(wù)器（NetworkAccessServer，NAS）上，經(jīng)過身份認(rèn)證后，通過公網(wǎng)跟公司內(nèi)部的VPN網(wǎng)關(guān)之間建立一個(gè)隧道，利用這個(gè)隧道對(duì)數(shù)據(jù)進(jìn)行加密傳輸。AccessVPN最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。11.4.2VPN實(shí)現(xiàn)AccessVPN的優(yōu)勢(shì)在于：減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來取代遠(yuǎn)距離接入或者800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)(RemoteAuthenticationDialInUserService，RADIUS)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來

11.4.2VPN實(shí)現(xiàn)Client-LAN型的VPN在實(shí)現(xiàn)的時(shí)候，有客戶機(jī)驅(qū)動(dòng)連接和網(wǎng)絡(luò)接入服務(wù)器驅(qū)動(dòng)連接兩種方式?？蛻趄?qū)動(dòng)的連接網(wǎng)絡(luò)接入服務(wù)器驅(qū)動(dòng)的連接11.4.2VPN實(shí)現(xiàn)(2)LAN-LAN

11.4.2VPN實(shí)現(xiàn)(2)LAN-LAN如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)或者企業(yè)合作者的互聯(lián)，使用LAN-LANVPN是很好的方式。LAN-LANVPN主要使用IPSec協(xié)議來建立加密傳輸數(shù)據(jù)的隧道。IntranetVPN主要用于一個(gè)企業(yè)內(nèi)部互聯(lián)使用，ExtranetVPN主要用于企業(yè)和企業(yè)的合作者互聯(lián)使用。他們的區(qū)別在于ExtranetVPN往往結(jié)合PKI使用。11.4.2VPN實(shí)現(xiàn)LAN-LANVPN的優(yōu)勢(shì)在于：

減少WAN帶寬的費(fèi)用，Internet線路的租用費(fèi)用遠(yuǎn)低于專線費(fèi)用能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接新的站點(diǎn)能更快、更容易地被連接通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長(zhǎng)網(wǎng)絡(luò)的可用時(shí)間11.4.2VPN實(shí)現(xiàn)LAN-LANVPN具體實(shí)現(xiàn)時(shí)，有以下幾種方式：

VLAN方式MPLSVPN方式IPSecVPN方式11.4.2VPN實(shí)現(xiàn)11.5網(wǎng)絡(luò)病毒的防護(hù)11.5.1病毒特性及分類11.5.2病毒傳播途徑與防治11.5.3網(wǎng)絡(luò)防病毒系統(tǒng)選型計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義為：“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。目前，由于計(jì)算機(jī)網(wǎng)絡(luò)及其現(xiàn)代通信技術(shù)的發(fā)展，從而使病毒的含義有所擴(kuò)展，一般將病毒、網(wǎng)絡(luò)蠕蟲、黑客有害程序(比如特洛依木馬)等都稱為病毒。11.5.1病毒特性及分類計(jì)算機(jī)病毒的特性

傳染性隱蔽性潛伏性破壞性針對(duì)性衍生性寄生性不可預(yù)見性11.5.1病毒特性及分類計(jì)算機(jī)病毒的分類引導(dǎo)型計(jì)算機(jī)病毒文件型計(jì)算機(jī)病毒宏病毒目錄(鏈接)型計(jì)算機(jī)病毒11.5.1病毒特性及分類計(jì)算機(jī)病毒的傳播途徑

通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播通過移動(dòng)存儲(chǔ)設(shè)備來傳播通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通道傳播11.5.2病毒傳播途徑與防治計(jì)算機(jī)病毒的防治

計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行“防毒”是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)“查毒”是指對(duì)于確定的環(huán)境，能夠準(zhǔn)確地報(bào)出病毒名稱，該環(huán)境包括：內(nèi)存、文件、引導(dǎo)區(qū)（含主導(dǎo)區(qū)）、網(wǎng)絡(luò)等“解毒”是指根據(jù)不同類型病毒對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對(duì)象包括：內(nèi)存、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等11.5.2病毒傳播途徑與防治系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評(píng)判。防