2010-5-15 计算机网络技术及应用 1
第十一章 网络安全
本章主要内容:
? 网络安全的概念
? 防火墙技术
? 网络病毒及其防范
? 数据加密与数字证书
2010-5-15 计算机网络技术及应用 2
11.1 网络安全概述
11.1.1 网络安全的概念
狭义的网络安全,是指计算机及其网络系统资源和信息资源
不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬
件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而
遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安
全从本质上来讲就是系统的信息安全。
广义的网络安全,从广义角度来讲, 凡是涉及到计算机网络上信息的
保密性, 完整性, 可用性, 真实性和可控性的相关技术和理论都是计算机网
络安全的研究领域 。 它涵盖了与网络系统有关的所有硬件, 软件, 数据, 管
理, 环境等内容 。 我们通常所说的网络安全主要是指狭义的网络安全 。
2010-5-15 计算机网络技术及应用 3
网络安全包括五个基本要素:机密性, 完整性, 可用性, 可控制性
与可审查性 。
? 机密性,确保信息不暴露给未授权的实体或进程 。
? 完整性,只有得到允许的人才能修改数据, 并且能够判别出数据是
否已被篡改 。
? 可用性,得到授权的实体在需要时可访问数据, 即攻击者不能占用所有
的资源而阻碍授权者的工作 。
? 可控制性,可以控制授权范围内的信息流向及行为方式 。
? 可审查性,对出现的网络安全问题提供调查的依据和手段 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 4
11.1.2 网络安全面临的风险
一般认为, 目前网络安全面临的风险主要有以下五个方面 。
1) 非授权访问,指没有预先经过同意非法使用网络或计算机资源, 比如有
意避开系统访问控制机制, 对网络设备及资源进行非正常使用;擅自扩大
权限, 越权访问信息等 。
2) 信息泄漏或丢失,指敏感数据在有意或无意中被泄漏出去或丢失 。 它通
常包括信息在传输中丢失或泄漏 (比如, 利用电磁泄漏或搭线窃听等方式
截获机密信息 );在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感
信息等 。
3) 破坏数据完整性,指以非法手段获得对数据的使用权, 删除, 修改, 插
入或重发某些重要信息, 以取得有益于攻击者的响应;恶意添加, 修改数
据, 以干扰用户的正常使用 。
4) 拒绝服务攻击,不断对网络服务系统进行干扰, 改变其正常的作业流程,
执行无关程序使系统响应速度减慢甚至瘫痪, 影响正常用户的使用, 甚至
使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务 。
5) 利用网络传播病毒,通过网络传播计算机病毒, 其破坏性大大高于单机
系统, 而且很难防范 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 5
11.1.3安全策略
安全策略是指在一个特定的环境里, 为保证提供一定级别的安全保
护所必须遵守的规则, 它包括三个重要的组成部分 。
(1) 威严的法律,安全的基石是社会法律, 法规与手段 。 通过建立一套安全管
理标准和方法, 即通过建立与信息安全相关的法律和法规, 可以使非法者
慑于法律, 不敢轻举妄动 。
(2) 先进的技术,先进的安全技术是信息安全的根本保障 。 用户通过对自身面
临的威胁进行风险评估, 决定其需要的安全服务种类, 选择相应的安全机
制, 然后集成先进的安全技术 。
(3) 严格的管理,各网络使用机构, 企业和单位应建立相宜的信息安全管理办
法, 加强内部管理, 建立审计和跟踪体系, 提高整体信息安全意识 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 6
11.1.4 网络安全措施
既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。
在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包
括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、
密码技术,IP加密技术和数字签名等技术。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 7
11.2.1 防火墙的概念
防火墙 ( Firewall) 是一种将内部网络和外部公共网络 ( Internet) 分
开的方法或设备 。 它检查到达防火墙两端的所有数据包 (无论是输入
还是输出 ),从而决定拦截这个包还是将其放行 。 防火墙在被保护网
络和外部网络之间形成一道屏障, 使公共网络与内部网络之间建立
起一个安全网关 ( Security Gateway) 。 防火墙通过监测, 限制, 更
改跨越防火墙的数据流, 尽可能地对外部屏蔽内部网络的信息, 结
构和运行状况, 以此来实现网络的安全保护 。 防火墙的概念模型如
下页图示 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 8
11.2 防火墙技术
内
部
端
口
外
部
端
口
防火墙概念模型示意图
2010-5-15 计算机网络技术及应用 9
11.2.2 防火墙的功能与分类
1,防火墙的功能
防火墙一般具有如下三种功能:
( 1) 忠实执行安全策略, 限制他人进入内部网络, 过滤掉不安全服务和非法
用户 。
( 2) 限定内部网络用户访问特殊网络站点, 接纳外网对本地公共信息的访问 。
( 3) 具有记录和审计功能, 为监视互联网安全提供方便 。
2,防火墙分类
防火墙的主要技术类型包括数据包过滤, 应用代理服务器和状态检测三种类
型 。 即包过滤防火墙, 应用代理服务器, 状态检测防火墙 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 10
? 包过滤防火墙
数据包过滤技术是指在网络层对数据包进行分析, 选择 。 选择的
依据是系统内设置的过滤逻辑, 称为访问控制 。 通过检查数据流中
每一个数据包的源地址, 目的地址, 所用端口号, 协议状态等因素
或它们的组合来确定是否允许该数据包通过 。
数据包过滤防火墙的优点是速度快, 逻辑简单, 成本低, 易于安
装和使用, 网络性能和透明度好 。 其缺点是配置困难, 容易出现漏
洞, 而且为特定服务开放的端口也存在着潜在危险 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 11
? 应用代理服务器
应用代理服务器是防火墙的第二代产品, 应用代理服务器技术能
够将所有跨越防火墙的网络通信链路分为两段, 使得网络内部的
客户不直接与外部的服务器通信 。 防火墙内外计算机系统间应用
层的连接由两个代理服务器之间的连接来实现 。 外部计算机的网
络链路只能到达代理服务器, 从而起到隔离防火墙内外计算机系
统的作用 。 通过代理服务器通信的缺点是执行速度明显变慢, 操
作系统容易遭到攻击 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 12
? 状态检测防火墙
状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查
引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定
对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表
并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,
该连接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理
服务器的局限性,根据协议、端口号及源地址、目的地址的具体情
况确定数据包是否可以通过,执行速度很快。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 13
11.2.3 代理服务器的设置方法
( 1) 打开 IE浏览器, 选择 【 工具 】 |【 Internet选项 】, 出现
【 Internet选项 】 对话框, 选择 【 连接 】 选项卡, 如左下图所示 。
( 2) 单击 【 局域网设置 】 按钮, 出现如 右上图 所示的对话框 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 14
( 3)输入代理服务器的 IP地址和端口数据,单击 【 高级 】 按钮,出现
如下图所示的对话框。
( 4) 对各种代理服务输入代理服务器的 IP地址,并对不使用代理服务器的连
接输入域名或 IP地址,可以使用统配符,*”。依次单击 【 确定 】 按钮,完成
代
理服务器设置。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 15
11.3 网络病毒及其防范
当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网
络病毒通常是指各种木马病毒和借助邮件传播的病毒。
11.3.1 特洛伊木马 (Trojan)病毒及其防范
特洛伊木马是一种黑客程序, 从它对被感染电脑的危害性方面考虑, 我们不
妨称之为病毒, 但它与病毒有些区别 。 它一般并不破坏受害者硬盘数据, 而
是悄悄地潜伏在被感染的机器中, 一旦这台机器连接到网络, 就可能大祸临
头 。 黑客通过 Internet找到感染病毒的机器, 在自己的电脑上远程操纵它, 窃
取用户的上网帐户和密码, 随意修改或删除文件, 它对网络用户的威胁极大 。
用户的计算机在不知不觉中已经被开了个后门, 并且受到别人的暗中监视与
控制 。
2010-5-15 计算机网络技术及应用 16
对特洛伊木马的防范
不要轻易泄露你的 IP地址, 下载来历不明的软件时要警惕其中是否
隐藏了木马, 使用下载软件前一定要用木马检测工具进行检查 。 对
付特洛伊木马除了用手工清除方法外, 也可用 Lockdown 2000等专门
的反木马软件来清除, 还可以用它们来检测自己机器上是否有已知
或未知的木马程序, 实时监视自己电脑端口是否有, 异常活动,, 禁
止别人访问你的机器 。 一旦有人企图连接你的机器, 他们就会发出
报警声音, 还能对正在扫描你机器的人进行跟踪, 告诉你此人来自
何处, 正在做什么, 提示用户用专门的反木马软件进行清除 。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 17
11.3.2 邮件病毒及其防范
邮件病毒和普通病毒是一样的, 只不过由于它们主要通过电子邮件
传播, 所以才称为, 邮件病毒, 。 它通常借助邮件, 附件, 夹带的方
法进
行扩散, 一旦你收到这类 E-mail,运行了附件中病毒程序就能使你的
电脑染毒 。 这类病毒本身的代码并不复杂, 大都是一些脚本, 比如
I love you病毒, 就是一个用 VB Script编写的仅十几 KB的脚本文件,
只要收到该病毒的 E-mail并打开附件后, 病毒就会按照脚本指令, 将
浏览器自动连接上一个网址, 下载木马程序, 更改一些文件后缀
为,vbs,最后再把病毒自动发给 Outlook通讯薄中的每一个人 。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 18
对于邮件病毒可以采取以下防范措施:
? 不要打开陌生人来信中的附件,最好是直接删除;
? 不要轻易运行附件中的,EXE,.COM等可执行文件,运行以前要
先查杀病毒;
? 安装一套可以实时查杀 E-mail病毒的防病毒软件;
? 收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒
的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁
止 JAVA或 ActiveX运行的方法来阻止病毒的发作。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 19
11.4 数据加密与数字证书
11.4.1数据加密技术
密码体制可以分为两大类:对称密钥和非对称密钥。
1,对称密钥体制
对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即
通信双方建立并共享一个密钥。
对称密钥的工作原理为,用户 A要传送机密信息给 B,则 A和 B必须共
享一个预先由人工分配或由一个密钥分发中心分发的密钥 K,于是 A用
密钥 K和加密算法 E对明文 P加密得到密文 C,并将密文 C发送给 B; B收
到后,用同样一把密钥 K和解密算法 D对密文解密,得到明文 P,即还
原,全部过程如下页图所示。
2010-5-15 计算机网络技术及应用 20
对称密钥的工作原理示意图
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 21
2,非对称密钥体制
非对称密钥体制也称为公钥密钥体制, 是现代密码学最重要的发明
和进展 。 非对称密钥体制不同于传统的对称密钥体制, 它要求密钥
成对出现, 一个为公共密钥, 另一个为专用密钥, 且不可能从其中
一个推导出另一个 。 公共密钥可以发布出去, 专用密钥要保证绝对
的安全 。 用公共密钥加密的信息只能用专用密钥解密, 反之亦然 。
非对称密钥体制的原理为,用户 A和用户 B各自拥有一对密钥 ( KA、
KA-1) 和 ( KB,KB-1) 。 私钥 KA-1, KB-1分别由 A,B各自保管, 而 KA、
KB则以证书的形式对外公布 。 当 A要将明文消息 P安全发送给 B时, A
用 B的公钥 KB加密 P得到密文 C;而 B收到密文 P后, 用私钥 KB-1解密
恢复明文 P。
相比之下, 公钥体制不仅可以实现保密通信, 而且可以对消息进
行数字签字 。
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 22
11.4.2 数字证书
数字证书是标志网络用户身份信息的一系列数据, 用来在网络通
信中识别通信各方的身份, 即要在 Internet上解决, 我是谁, 的问题,
就如同现实中我们每个人都拥有一张证明个人身份的身份证一样 。
数字证书是由权威公正的第三方机构电子身份认证中心 CA
( Certificate Authority) 签发的包含公开密钥, 拥有者信息以及发证机
构信息的文件 。 以数字证书为核心的加密技术可以对网络上传输
的信息进行加密和解密, 数字签名和签名验证, 确保网上传输信
息的机密性, 完整性以及交易身份的真实性, 签名信息的不可否
认性, 从而保障网络应用的安全性 。 数字证书采用非对称密钥体
制 。
数字证书广泛应用于,发送安全电子邮件, 访问安全站点, 网上
证券, 网上招标采购, 网上签约, 网上办公, 网上交费, 网上税务
等网上电子交易活动等 。
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 23
习 题 十 一
1,狭义的计算机网络安全指的是什么?
2,简述安全策略的三个重要组成部分 。
3,什么是防火墙? 防火墙分哪几种类型?
4,如何防范邮件病毒?
5,简述非对称加密的原理?
6,什么是数字证书, 有什么作用?
第十一章 网络安全
本章主要内容:
? 网络安全的概念
? 防火墙技术
? 网络病毒及其防范
? 数据加密与数字证书
2010-5-15 计算机网络技术及应用 2
11.1 网络安全概述
11.1.1 网络安全的概念
狭义的网络安全,是指计算机及其网络系统资源和信息资源
不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬
件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而
遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安
全从本质上来讲就是系统的信息安全。
广义的网络安全,从广义角度来讲, 凡是涉及到计算机网络上信息的
保密性, 完整性, 可用性, 真实性和可控性的相关技术和理论都是计算机网
络安全的研究领域 。 它涵盖了与网络系统有关的所有硬件, 软件, 数据, 管
理, 环境等内容 。 我们通常所说的网络安全主要是指狭义的网络安全 。
2010-5-15 计算机网络技术及应用 3
网络安全包括五个基本要素:机密性, 完整性, 可用性, 可控制性
与可审查性 。
? 机密性,确保信息不暴露给未授权的实体或进程 。
? 完整性,只有得到允许的人才能修改数据, 并且能够判别出数据是
否已被篡改 。
? 可用性,得到授权的实体在需要时可访问数据, 即攻击者不能占用所有
的资源而阻碍授权者的工作 。
? 可控制性,可以控制授权范围内的信息流向及行为方式 。
? 可审查性,对出现的网络安全问题提供调查的依据和手段 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 4
11.1.2 网络安全面临的风险
一般认为, 目前网络安全面临的风险主要有以下五个方面 。
1) 非授权访问,指没有预先经过同意非法使用网络或计算机资源, 比如有
意避开系统访问控制机制, 对网络设备及资源进行非正常使用;擅自扩大
权限, 越权访问信息等 。
2) 信息泄漏或丢失,指敏感数据在有意或无意中被泄漏出去或丢失 。 它通
常包括信息在传输中丢失或泄漏 (比如, 利用电磁泄漏或搭线窃听等方式
截获机密信息 );在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感
信息等 。
3) 破坏数据完整性,指以非法手段获得对数据的使用权, 删除, 修改, 插
入或重发某些重要信息, 以取得有益于攻击者的响应;恶意添加, 修改数
据, 以干扰用户的正常使用 。
4) 拒绝服务攻击,不断对网络服务系统进行干扰, 改变其正常的作业流程,
执行无关程序使系统响应速度减慢甚至瘫痪, 影响正常用户的使用, 甚至
使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务 。
5) 利用网络传播病毒,通过网络传播计算机病毒, 其破坏性大大高于单机
系统, 而且很难防范 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 5
11.1.3安全策略
安全策略是指在一个特定的环境里, 为保证提供一定级别的安全保
护所必须遵守的规则, 它包括三个重要的组成部分 。
(1) 威严的法律,安全的基石是社会法律, 法规与手段 。 通过建立一套安全管
理标准和方法, 即通过建立与信息安全相关的法律和法规, 可以使非法者
慑于法律, 不敢轻举妄动 。
(2) 先进的技术,先进的安全技术是信息安全的根本保障 。 用户通过对自身面
临的威胁进行风险评估, 决定其需要的安全服务种类, 选择相应的安全机
制, 然后集成先进的安全技术 。
(3) 严格的管理,各网络使用机构, 企业和单位应建立相宜的信息安全管理办
法, 加强内部管理, 建立审计和跟踪体系, 提高整体信息安全意识 。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 6
11.1.4 网络安全措施
既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。
在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包
括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、
密码技术,IP加密技术和数字签名等技术。
11.1 网络安全概述
2010-5-15 计算机网络技术及应用 7
11.2.1 防火墙的概念
防火墙 ( Firewall) 是一种将内部网络和外部公共网络 ( Internet) 分
开的方法或设备 。 它检查到达防火墙两端的所有数据包 (无论是输入
还是输出 ),从而决定拦截这个包还是将其放行 。 防火墙在被保护网
络和外部网络之间形成一道屏障, 使公共网络与内部网络之间建立
起一个安全网关 ( Security Gateway) 。 防火墙通过监测, 限制, 更
改跨越防火墙的数据流, 尽可能地对外部屏蔽内部网络的信息, 结
构和运行状况, 以此来实现网络的安全保护 。 防火墙的概念模型如
下页图示 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 8
11.2 防火墙技术
内
部
端
口
外
部
端
口
防火墙概念模型示意图
2010-5-15 计算机网络技术及应用 9
11.2.2 防火墙的功能与分类
1,防火墙的功能
防火墙一般具有如下三种功能:
( 1) 忠实执行安全策略, 限制他人进入内部网络, 过滤掉不安全服务和非法
用户 。
( 2) 限定内部网络用户访问特殊网络站点, 接纳外网对本地公共信息的访问 。
( 3) 具有记录和审计功能, 为监视互联网安全提供方便 。
2,防火墙分类
防火墙的主要技术类型包括数据包过滤, 应用代理服务器和状态检测三种类
型 。 即包过滤防火墙, 应用代理服务器, 状态检测防火墙 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 10
? 包过滤防火墙
数据包过滤技术是指在网络层对数据包进行分析, 选择 。 选择的
依据是系统内设置的过滤逻辑, 称为访问控制 。 通过检查数据流中
每一个数据包的源地址, 目的地址, 所用端口号, 协议状态等因素
或它们的组合来确定是否允许该数据包通过 。
数据包过滤防火墙的优点是速度快, 逻辑简单, 成本低, 易于安
装和使用, 网络性能和透明度好 。 其缺点是配置困难, 容易出现漏
洞, 而且为特定服务开放的端口也存在着潜在危险 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 11
? 应用代理服务器
应用代理服务器是防火墙的第二代产品, 应用代理服务器技术能
够将所有跨越防火墙的网络通信链路分为两段, 使得网络内部的
客户不直接与外部的服务器通信 。 防火墙内外计算机系统间应用
层的连接由两个代理服务器之间的连接来实现 。 外部计算机的网
络链路只能到达代理服务器, 从而起到隔离防火墙内外计算机系
统的作用 。 通过代理服务器通信的缺点是执行速度明显变慢, 操
作系统容易遭到攻击 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 12
? 状态检测防火墙
状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查
引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定
对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表
并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,
该连接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理
服务器的局限性,根据协议、端口号及源地址、目的地址的具体情
况确定数据包是否可以通过,执行速度很快。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 13
11.2.3 代理服务器的设置方法
( 1) 打开 IE浏览器, 选择 【 工具 】 |【 Internet选项 】, 出现
【 Internet选项 】 对话框, 选择 【 连接 】 选项卡, 如左下图所示 。
( 2) 单击 【 局域网设置 】 按钮, 出现如 右上图 所示的对话框 。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 14
( 3)输入代理服务器的 IP地址和端口数据,单击 【 高级 】 按钮,出现
如下图所示的对话框。
( 4) 对各种代理服务输入代理服务器的 IP地址,并对不使用代理服务器的连
接输入域名或 IP地址,可以使用统配符,*”。依次单击 【 确定 】 按钮,完成
代
理服务器设置。
11.2 防火墙技术
2010-5-15 计算机网络技术及应用 15
11.3 网络病毒及其防范
当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网
络病毒通常是指各种木马病毒和借助邮件传播的病毒。
11.3.1 特洛伊木马 (Trojan)病毒及其防范
特洛伊木马是一种黑客程序, 从它对被感染电脑的危害性方面考虑, 我们不
妨称之为病毒, 但它与病毒有些区别 。 它一般并不破坏受害者硬盘数据, 而
是悄悄地潜伏在被感染的机器中, 一旦这台机器连接到网络, 就可能大祸临
头 。 黑客通过 Internet找到感染病毒的机器, 在自己的电脑上远程操纵它, 窃
取用户的上网帐户和密码, 随意修改或删除文件, 它对网络用户的威胁极大 。
用户的计算机在不知不觉中已经被开了个后门, 并且受到别人的暗中监视与
控制 。
2010-5-15 计算机网络技术及应用 16
对特洛伊木马的防范
不要轻易泄露你的 IP地址, 下载来历不明的软件时要警惕其中是否
隐藏了木马, 使用下载软件前一定要用木马检测工具进行检查 。 对
付特洛伊木马除了用手工清除方法外, 也可用 Lockdown 2000等专门
的反木马软件来清除, 还可以用它们来检测自己机器上是否有已知
或未知的木马程序, 实时监视自己电脑端口是否有, 异常活动,, 禁
止别人访问你的机器 。 一旦有人企图连接你的机器, 他们就会发出
报警声音, 还能对正在扫描你机器的人进行跟踪, 告诉你此人来自
何处, 正在做什么, 提示用户用专门的反木马软件进行清除 。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 17
11.3.2 邮件病毒及其防范
邮件病毒和普通病毒是一样的, 只不过由于它们主要通过电子邮件
传播, 所以才称为, 邮件病毒, 。 它通常借助邮件, 附件, 夹带的方
法进
行扩散, 一旦你收到这类 E-mail,运行了附件中病毒程序就能使你的
电脑染毒 。 这类病毒本身的代码并不复杂, 大都是一些脚本, 比如
I love you病毒, 就是一个用 VB Script编写的仅十几 KB的脚本文件,
只要收到该病毒的 E-mail并打开附件后, 病毒就会按照脚本指令, 将
浏览器自动连接上一个网址, 下载木马程序, 更改一些文件后缀
为,vbs,最后再把病毒自动发给 Outlook通讯薄中的每一个人 。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 18
对于邮件病毒可以采取以下防范措施:
? 不要打开陌生人来信中的附件,最好是直接删除;
? 不要轻易运行附件中的,EXE,.COM等可执行文件,运行以前要
先查杀病毒;
? 安装一套可以实时查杀 E-mail病毒的防病毒软件;
? 收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒
的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁
止 JAVA或 ActiveX运行的方法来阻止病毒的发作。
11.3 网络病毒及其防范
2010-5-15 计算机网络技术及应用 19
11.4 数据加密与数字证书
11.4.1数据加密技术
密码体制可以分为两大类:对称密钥和非对称密钥。
1,对称密钥体制
对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即
通信双方建立并共享一个密钥。
对称密钥的工作原理为,用户 A要传送机密信息给 B,则 A和 B必须共
享一个预先由人工分配或由一个密钥分发中心分发的密钥 K,于是 A用
密钥 K和加密算法 E对明文 P加密得到密文 C,并将密文 C发送给 B; B收
到后,用同样一把密钥 K和解密算法 D对密文解密,得到明文 P,即还
原,全部过程如下页图所示。
2010-5-15 计算机网络技术及应用 20
对称密钥的工作原理示意图
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 21
2,非对称密钥体制
非对称密钥体制也称为公钥密钥体制, 是现代密码学最重要的发明
和进展 。 非对称密钥体制不同于传统的对称密钥体制, 它要求密钥
成对出现, 一个为公共密钥, 另一个为专用密钥, 且不可能从其中
一个推导出另一个 。 公共密钥可以发布出去, 专用密钥要保证绝对
的安全 。 用公共密钥加密的信息只能用专用密钥解密, 反之亦然 。
非对称密钥体制的原理为,用户 A和用户 B各自拥有一对密钥 ( KA、
KA-1) 和 ( KB,KB-1) 。 私钥 KA-1, KB-1分别由 A,B各自保管, 而 KA、
KB则以证书的形式对外公布 。 当 A要将明文消息 P安全发送给 B时, A
用 B的公钥 KB加密 P得到密文 C;而 B收到密文 P后, 用私钥 KB-1解密
恢复明文 P。
相比之下, 公钥体制不仅可以实现保密通信, 而且可以对消息进
行数字签字 。
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 22
11.4.2 数字证书
数字证书是标志网络用户身份信息的一系列数据, 用来在网络通
信中识别通信各方的身份, 即要在 Internet上解决, 我是谁, 的问题,
就如同现实中我们每个人都拥有一张证明个人身份的身份证一样 。
数字证书是由权威公正的第三方机构电子身份认证中心 CA
( Certificate Authority) 签发的包含公开密钥, 拥有者信息以及发证机
构信息的文件 。 以数字证书为核心的加密技术可以对网络上传输
的信息进行加密和解密, 数字签名和签名验证, 确保网上传输信
息的机密性, 完整性以及交易身份的真实性, 签名信息的不可否
认性, 从而保障网络应用的安全性 。 数字证书采用非对称密钥体
制 。
数字证书广泛应用于,发送安全电子邮件, 访问安全站点, 网上
证券, 网上招标采购, 网上签约, 网上办公, 网上交费, 网上税务
等网上电子交易活动等 。
11.4 数据加密与数字证书
2010-5-15 计算机网络技术及应用 23
习 题 十 一
1,狭义的计算机网络安全指的是什么?
2,简述安全策略的三个重要组成部分 。
3,什么是防火墙? 防火墙分哪几种类型?
4,如何防范邮件病毒?
5,简述非对称加密的原理?
6,什么是数字证书, 有什么作用?