13防毒软体简介.PPT

安裝防毒軟體 安裝防毒軟體，並養成時常更新病毒碼與定期掃毒的習慣。這個動作相當的重要，防毒軟體雖然無法防堵所有的病毒，但是它可以為您建立起一道最基本的防線，在最低的限度上，至少可以少受一些舊病毒的侵擾。 認識防火牆 主要是用於保護由許多計算機所組成的大型網路。 建立防火牆的主要目的是，保護屬於我們自己的網路不受來網路上的攻擊。 我們所要防備的是外部網路，因為可能會有人從外部網路對我們發起攻擊。所以我們需要在內部網路，與不安全的非信任網路之間築起一道防火牆。 11-5 防火牆簡介 防火牆實際上代表了一個網路的存取原則。 每個防火牆都代表一個單一進入點，所有進入網路的存取行為都會被檢查、並賦予授權及認證。 防火牆會根據於一套設定好的規則來過濾可疑的網路存取行為，並發出警告。意即確定那些類型的資訊封包可以進出防火牆，而什麼類型的資訊封包則不能通過防火牆。 防火牆運作原理 封包過濾型 封包過濾型防火牆會檢查所有收到封包內的來源IP 位置，並依照系統管理者事先設定好的規則加以過濾。 若封包內的來源IP 在過濾規則內為禁止存取的話，則防火牆便會將所有來自這個IP 位置的封包丟棄。 種封包過濾型的防火牆，大部份都是由路由器來擔任。例如路由器可以阻擋除了電子郵件之外的任何封包。同時還可以阻擋通往和來自可疑位置以及來自特定用戶的流量。 11-6 防火牆的分類 代理伺服器型 又稱為「應用層閘道防火牆」(Application Gateway Firewall)，它的安全性比封包過瀘型來的高，但只適用於特定的網路服務存取，例如HTTP、FTP 或是Telnet 等等。事實上，此類型的防火牆就是透過代理伺服器來進行存取管制。 代理伺服器是客戶端與伺服端之間的一個中介服務者。當代理伺服器收到客戶端A 對某網站B的連線要求時，代理伺服器會先判斷該要求是否符合規則。若通過判斷，則伺服器便會去站台B 將資料取回，並傳回客戶端A。 續下頁 軟體防火牆所採用的技術與封包過濾型如出一轍，但它包括了來源IP 位置限制，與連接埠號限制等功能。例如Windows 7 本身也有內建防火牆功能，如下所示： 軟體防火牆 對稱鍵值加密系統 又稱為「單一鍵值加密系統」（Single Key Encryption）或「秘密金鑰系統」(Secret Key)。這種加密系統的運作方式，是由資料傳送者利用「秘密金鑰」（Secret Key）將文件加密，使文件成為一堆的亂碼後，再加以傳送。 而接收者收到這個經過加密的密文後，再使用相同的「秘密金鑰」，將文件還原成原來的模樣。因為如果使用者B能用這一組密碼解開文件，那麼就能確定這份文件是由使用者A 加密後傳送過去，如下圖所示： 11-7 資料加密簡介 續下頁 這種加密系統的運作方式較為單純，因此不論在加密及解密上的處理速度都相當快速。常見的對稱鍵值加密系統演算法有DES(Data Encryption Standard，資料加密標準)、Triple DES、IDEA(International Data Encryption Algorithm，國際資料加密演算法) 等。 非對稱鍵值加密系統 也是金融界應用上最安全的加密系統，或稱為「雙鍵加密系統」(Double key Encryption)。 此種加密系統主要的運作方式，是以兩把不同的金鑰（Key）來對文件進行加/ 解密。例如使用者A 要傳送一份新的文件給使用者B，使用者A 會利用使用者B的公開金鑰來加密，並將密文傳送給使用者B。當使用者B 收到密文後，再利用自己的私密金鑰解密。過程如下圖所示： 續下頁 至於目前普遍使用的非對稱性加密法為RSA 加密法，它是由Rivest、Shamir 及Adleman 所發明。RSA 加密法的鑰匙長度不固定，鑰匙的長度約在 40 個位元到 1024 位元間。若考慮安全性，可用長度較長的鑰匙；若考量到效率問題，則選擇長度較短的鑰匙。 首先先以使用者B 的公開鑰匙加密，接著再利用使用者A 的私有鑰匙做第二次加密。 使用者B 在收到密文後，先以A 的公開鑰匙進行解密，此舉可確認訊息是由A 所送出。 接著再以B 的私有鑰匙解密，若能解密成功，則可確保訊息傳遞的私密性，這就是所謂的「認證」。認證的機制看似完美，但是使用公開鑰匙作加解密動作時，計算過程卻是十分複雜，對傳輸工作而言不啻是個沈重的負擔。 認證 運作方式是以公開金鑰及雜湊函式互相搭配使用，使用者A 先將明文的M 以雜湊函數計算出雜湊值H，接著再用自己的私有鑰匙對雜湊值H 加密，加密後的內容即為「數位簽章」。 想要使用數位簽章，當然第一步必須先向認證中心(CA) 申請電子證書(Digital Certificate)，它可用來證公開金鑰為某人所有及訊息發送者的不可否認性，而認證中心所核發的數位簽章則包含在