网络安全与病毒防治选编.pptx

网络安全与病毒防治;;8.1 网络安全技术;2．人为地恶意攻击 这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性，这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者，积极侵犯者截取网上的信息包，并对其进行更改使它失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益，积极侵犯者的破坏作用最大；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息，这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。;3．网络软件的漏洞和“后门” 网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，黑客攻入网络内部的事件大部分就是因为网络软件有漏洞，导致安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，造成的后果将不堪设想。 由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯，网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。;8.1.2 网络安全技术 1．网络加密技术 网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供加密保护；节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。 信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。 在实际应用中，人们通常将常规密码和公钥密码结合在一起使用，比如，利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码算法和分组密码算法，前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。网络加密技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件（或病毒）的有效方法之一。;2．防火墙技术 防火墙是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制 ，以保护一个网络不受来自另一个网络攻击的安全技术 。防火墙的组成可以表示为 ：防火墙=过滤器＋安全策略（＋网关），它是一种非常有效的网络安全技术。在Internet上，通过它来隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网，如Intranet）的连接，但不妨碍人们对风险区域的访问，如图8-1所示。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。;;通常，防火墙服务于以下几个目的： 1）限制他人进入内部网络，过滤掉不安全服务和非法用户。 2）限定人们访问特殊站点。 3）为监视Internet安全提供方便。 由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制。因此，防火墙适合于相对独立的网络，例如Intranet等种类相对集中的网络。 防火墙的主要技术类型包括网络级数据包过滤和应用代理服务。虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，但也存在一定的局限性： 1）不能完全防范外部人为的刻意攻击。 2）不能防范内部用户攻击。 3）不能防止内部用户因误操作而造成口令失密受到的攻击。 4）很难防止病毒或者受病毒感染的文件的传输。 由于两种类型的防火墙系统各有优缺点，因而在实际的使用中常常须根据实际需求结合起来使用，目前市场上的最新防火墙产品都结合了网络级数据包过滤和应用代理服务的功能。;3．网络地址转换技术（NAT） 网络地址转换器也称为地