信息安全概论主讲人 : 夏淑华二 0 一 0 年八月

信息安全概论

主讲人 : 夏淑华

二 0一 0年八月

返回本章首页

第 1章计算机安全技术概论

·2·

第一章计算机安全概论第二章实体及硬件安全技术第三章计算机软件安全技术第四章操作系统安全基础第五章密码技术第六章数据库系统安全第七章计算机病毒及防范第八章网络安全技术第九章防火墙技术第十章黑客攻击与防范

目录

返回本章首页


·3·

第 1 章计算机安全概论1.1 计算机安全研究的重要性

1.2 计算机系统的安全技术

1.3 计算机系统安全评估

1.4 计算机安全法规

1.5 计算机安全技术的发展方向与市场分析

·3·

返回本章首页


·4·

本章学习目标（ 1 ）掌握计算机系统安全的基本概念，明确计算机系统安全的重要性和计算机系统所面临的威胁及脆弱的根源。

（ 2）掌握计算机系统安全的主要技术。（ 3 ）明确计算机系统安全评估的重要性，理解可信计算机系统评估标准。

（ 4）了解我国计算机信息系统的主要安全法规。（ 5）了解计算机安全技术的发展趋势。

·4·

返回本章首页


·5·

1.1 计算机安全研究的重要性

1.1.1 计算机信息系统面临的威胁1. 计算机信息系统概念《计算机信息系统安全保护等级划分准则》：计算机信息系统是指“由计算机及其相关的和配套设备、设施（含网络）构成的，按照一定的应用和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。

返回本章首页


·6·

2. 计算机信息系统面临的攻击和威胁（ 1 ）对实体的攻击和威胁

计算机本身和外部设备乃至网络和通信线路面临各种风险，如各种自然灾害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。

返回本章首页


·7·

（ 2 ）对信息的威胁与攻击 ① 信息泄露

即故意或偶然地侦收、截获、窃取、分析和收到系统中的信息，特别是机密或敏感的信息，造成泄密事件。 ② 信息破坏

信息破坏是指由于偶然或人为因素破坏信息的机密性、完整性、可用性及真实性。

返回本章首页


·8·

（ 1 ）计算机犯罪种类

3. 计算机犯罪

① 网上金融盗窃。② 窃用计算机系统，散布破坏性病毒、逻辑炸弹或者放置后门程序犯罪，蓄意破坏。③ 入侵、偷窥、复制、更改或者删除计算机信息犯罪。④ 网络诈骗、教唆犯罪。⑤ 网络侮辱、诽谤与恐吓犯罪。⑥ 网络色情传播犯罪。

返回本章首页


·9·

（ 2 ）计算机犯罪特点 ① 作案手段智能化、隐蔽性强 ② 犯罪侵害的目标较集中 ③ 侦查取证困难，破案难度大 ④ 犯罪后果严重，社会危害性大

返回本章首页


·10·

4. 计算机病毒1984 年，美国人 Thompson 开发出了针对 UN

IX 操作系统的病毒程序。 1988 年 11 月 2 日晚，美国康尔大学研究生罗

特 ·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。

在我国， 80 年代开始，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。

返回本章首页


·11·

1.1.2 计算机系统的脆弱性

1. 操作系统的脆弱性（ 1 ）体系结构不安全（ 2 ）进程管理机制中的缺陷（ 3 ）操作系统提供的 RPC服务和安排的漏洞（ 4 ）常用操作系统的不稳定性和不安全性（ 5 ）为操作系统开发人员提供的无口令入口（ 5 ）操作系统提供Debug 与 Wizard 给黑客可乘之机

返回本章首页


·12·

2. 网络安全的脆弱性

（ 1 ）漏洞和后门（ 2 ）电磁辐射（ 3 ）线路窃听（ 4 ）串音干扰（ 5 ）硬件故障（ 6 ）软件故障（ 7 ）网络规模（ 8 ）通信系统

返回本章首页


·13·

3. 数据库安全的脆弱性（ 1 ）用户权限（ 2 ）数据共享（ 3 ）数据更新（ 4 ）数据库完整性（ 5 ）数据库管理系统的安全等级

4. 防火墙的脆弱性（ 1 ）不能防范来自网络内部的攻击和威胁（ 2 ）不能防范绕过防火墙的攻击和威胁（ 3 ）不能阻止感染病毒文件的传输

返回本章首页


·14·

5. 研究信息安全的社会意义（ 1 ）信息安全与政治（ 2 ）信息安全与经济

（ 3 ）信息安全与军事（ 4 ）信息安全与国家安全美国著名未来学家阿尔温 · 托尔勒说过“谁掌握

了信息，控制了网络，谁将拥有整个世界”。

返回本章首页


·15·

1.2 计算机系统的安全技术

国际标准化组织（ ISO ）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护。

1.2.1 计算机系统安全1. 计算机安全定义

返回本章首页


·16·

2. 计算机安全涉及的方面（ 1 ）物理安全（ Physical Security ）：保护计算机

设备、设施（含网络）以及其他媒免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

（ 2 ）运行安全（ Operation Security ）：为了保证系统功能，提供一套安全措施（如：风险分析、审计跟踪、备份与恢复、应急等）来保护信息处理过程的安全。

（ 3 ）信息安全（ Information Security ）：防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。

返回本章首页


·17·

1.2.2 计算机系统的安全技术 1. 实体硬件安全：主要是指为保证计算机设备和通信线路及设施（建筑物等）的安全。

3. 数据安全：指为保证计算机系统中数据库（或数据文件）免遭破坏、修改、泄露和窃取等威胁和攻击而采用的技术方法。

2. 软件安全：主要是指保证计算机系统中的软件（如操作系统、数据库系统或应用程序）免遭破坏、非法拷贝、非法使用而采用的技术和方法。

返回本章首页


·18·

4. 网络安全：指为保证网络及其节点安全而采用的技术和方法。

5. 病毒防治：包括计算机病毒预防、计算机病毒检测、计算机病毒清除、计算机病毒免疫。

6. 防范计算机犯罪：通过一定的社会规范、法律和技术方法等，杜绝计算机犯罪的发生，并在计算机犯罪发生以后，跟踪或侦查犯罪行为，及时制裁和打击犯罪分子。

本学期课程涉及到的主要信息安全技术如图 1-1 所示：

返回本章首页


·19·

计算机系统安全

物理安全

运行安全

信息安全

环境安全设备安全媒体安全

风险分析审计跟踪备份与恢复应急

操作系统安全软件安全加密和数字签名数据库安全网络安全病毒防护防火墙技术访问控制

图 1-1 计算机信息系统安全技术

返回本章首页


·20·

1.3 计算机安全评估

安全评估服务：是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它主要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，估计每种攻击的代价，估算出可能的应付措施的费用，选择恰当的安全机制。

1.3.1 计算机安全评估的重要性

返回本章首页


·21·

20 世纪 70年代，美国国防部就已经发布了诸如“自动数

据处理系统安全要求”等一系列的安全评估标准。 1983年又发布了“可信计算机评价标准”，即所谓的桔皮书、黄皮书、红皮书和绿皮书。并于 1985 年对此标准进行了修订。

我国从 20 世纪 80年代开始，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准，有关的信息安全标准如：《计算机信息系统安全专用产品分类原则》、《计算机信息系统安全保护等级划分准则》、《商用密码管理条理》、《中华人民共和国计算机信息系统安全保护条理》等。

1.3.2 计算机系统的安全标准

返回本章首页


·22·

常见的计算机系统安全等级的划分有两种：一种是依据美国国防部发表的评估计算机系统安全等

级的橙皮书，将计算机安全等级划分为四类八级，即A2 、 A1 、 B3 、 B2 、 B1 、 C2 、 C1 、 D 级。等级划分内容如表 1-1 所示。

另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》 (GB17859_1999)，将计算机安全等级划分为五级。

1.3.3 计算机系统的安全等级

返回本章首页


·23·

表 1.1　可信计算机系统评价准则及等级

返回本章首页


·24·

《中华人民共和国计算机信息系统安全保护条例》第六条规定：“公安部主管全国计算机信息系统安全保护工作。”并以第十七条、第十八条和第十九条规定了公安机关行使计算机安全监察的职权。明确了计算机信息系统安全监督检查的总体目标。了解《中华人民共和国计算机信息系统安全保护条例》可单击链接。

1.4 计算机安全法规

返回本章首页


·25·

我国计算机安全法规主要有：《计算机软件保护条例》、《中华人民共和国计

算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《中国公用计算机 Internet国际联网管理办法》、《计算机信息系统国际联网保密管理规定》、《商用密码管理条例》、《计算机病毒防治管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《电子出版物管理规定》等。

返回本章首页


·26·

1.5 计算机安全技术的发展方向1. 密码技术2. 安全操作系统技术现状及发展趋势3. 网络隔离技术现状和发展趋势4. 网络行为安全监管技术现状和发展趋

势5. 容灾与应急处理技术现状和发展趋势6. 身份认证技术现状和发展趋势7. 可信计算技术现状和发展趋势

返回本章首页


·27·

作业1.简述计算机系统面临的安全威胁。2.试归纳网络本身存在的安全缺陷。3. 计算机系统安全的重要性体现在哪些方面。4.试分析计算机安全技术研究的 6 大内容。5. 计算机安全技术有哪些发展方向。

返回本章首页


·28·

第 2 章　实体安全与硬件防护技术

2.1 计算机房安全的环境条件

2.2 实体及硬件的安全防护

2.3 计算机硬件的检测与维修

返回本章首页


·29·

本章学习目标（ 1）了解实体安全的定义、目的和内容。（ 2 ）掌握计算机房场地环境的安全要求。包括机房建筑和结构要求、三度要求、防静电措施、供电要求、接地与防雷、防火、防水等的技术、方法与措施。

（ 3）理解电磁防护和硬件防护的基本方法。（ 4）掌握硬件故障诊断和排除的方法。

返回本章首页


·30·

2.1 　实体安全技术概述 1. 实体安全概念

实体安全（ Physical Security）又叫物理安全，是保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。

2. 影响实体安全的主要因素（ 1 ）计算机及其网络系统自身存在的脆弱性因素。（ 2 ）各种自然灾害导致的安全问题。（ 3 ）由于人为的错误操作及各种计算机犯罪导致的安全问题。

返回本章首页


·31·

3. 实体安全的内容（ 1 ）环境安全

（ 2 ）物理隔离

（ 3 ）电磁防护

（ 4 ）安全管理

返回本章首页


·32·

2.2 　计算机房安全的环境条件

2.2.1　计算机房场地环境选择

2.2.2 计算机房内的环境条件要求

返回本章首页


·33·

2.2.1 　计算机房场地的安全要求机房建筑和结构从安全的角度，还应该考虑：

（ 1 ）电梯和楼梯不能直接进入机房。（ 2 ）建筑物周围应有足够亮度的照明设施和防止非法进入的设施。（ 3 ）外部容易接近的进出口，而周边应有物理屏障和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。

（ 4 ）机房进出口须设置应急电话。（ 5 ）机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。

（ 6 ）计算机中心周围 100m 内不能有危险建筑物。（ 7 ）进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性

能。（ 8 ）照明应达到规定标准等。

返回本章首页


·34·

2.2.2 　计算机房内环境条件要求1.温度 2.湿度 3.洁净度 4.腐蚀性气体5.静电6.振动与噪声7. 电源8. 照明

返回本章首页


·35·

温度：机房温度一般应控制在 18 ~22℃ ℃，即（ 20±2 ）℃。温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。

湿度：相对湿度过高会使电气部分绝缘性降低，加速金属器件的腐蚀，引起绝缘性能下降；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。机房内的相对湿度一般控制在 40%~60％为好，即（ 50±10 ）％。

返回本章首页


·36·

洁净度：清洁度要求机房尘埃颗粒直径小于 0.5µｍ，平均每升空气含尘量小于 1万颗。灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；灰尘还会增加机械磨损，尤其对驱动器和盘片。

静电：是由物体间的相互磨擦、接触而产生的。静电放电时发生火花，造成火灾或损坏芯片。机房内避免使用挂毯、地毯等吸尘、容易产生静电的材料。

电源：有六类电源线干扰：中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。电源保护装置有滤波器、电压调整变压器（ VRT ）和不间断电源（ UPS ）等。

返回本章首页


·37·

防雷措施：机房的外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条通道。

照明：计算机机房照明的好坏不仅会影响计算机操作人员和软、硬件维修人员的工作效率和身心健康，而且还会影响到电子机房的可靠运行。机房照明分为自然采光和人工采光 2 种形式。主机房内在离地面 0.8m 处，照度不应低于 3001x；辅助机房内照度不应低于 1501x；应急照明应大于 301x；紧急出口标志灯、疏散指示灯照度应大于 5lx 。

返回本章首页


·38·

2.3 　实体及硬件的安全防护

2.3.1 三防措施

2.3.2 电磁防护

2.3.3 存储媒体的访问控制

返回本章首页


·39·

2.3.1 三防措施

1. 防火

2. 防水

3. 防盗

返回本章首页


·40·

隔离：建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。

火灾报警系统：在火灾初期就能检测到并及时发出警报。火灾报警系统按传感器的不同，分为烟报警和温度报警两种类型。

灭火设施：灭火工具及辅助设备。管理措施：机房应有防盗管理制度、应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对隐患部位的检查。

返回本章首页


·41·

电磁辐射越来越强，其主要危害有：①干扰广播、电视、通信信号的接收；

② 干扰电子仪器、设备的正常工作，可能造成信息失误、控制失灵等事故；

③可能引燃一些易燃易爆物质，引起爆炸和火灾；④较强的电磁辐射对人体的健康有很大的影响。

2.3.2 　电磁防护

返回本章首页


·42·

1．电磁干扰和电磁兼容电磁干扰 (EMI) 是干扰电缆信号并降低信号完好性的

电子噪音。电磁干扰可通过电磁辐射和传导两条途径影响设备的

工作。电磁兼容设计的目的是解决电路之间的相互干扰，防

止电子设备产生过强的电磁发射，防止电子设备对外界干扰过度敏感。

我国电子兼容标准包括两个方面：一时限制设备对外界产生的电磁干扰；而是要求设备不能对来自外界的电磁干扰过度敏感。

返回本章首页


·43·

2. 电磁泄漏

主要有辐射泄漏和传导泄漏 2 中方式：辐射泄漏：以电磁波的形式辐射出去。由计算机内部的各种传输线、设备外壳、外壳上的孔缝。传导泄漏：通过各种线路和金属管传导出去。例如，电源线，机房内的电话线，上、下水管道和暖气管道，地线等媒介。

返回本章首页


·44·

3．电磁防护的措施目前主要防护措施有两类：一类是对传导发射

的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、隔离、接地、干扰等。其中屏蔽是应用最多的方法。

返回本章首页


·45·

2.3.3 存储媒体的访问控制计算机系统中的大量信息都存储在某种媒体上，如磁盘、

磁带、半导体、光盘、打印纸等。为了防止对信息的破坏、篡改、盗窃等事件的发生，就必须对存储媒体进行保护和管理，严格其访问控制。

1. 身份识别：身份识别的目的是确定系统的访问者是否“ ” “ ”是合法用户，一般包含识别和验证两个方面。

图 2-1 建立计算机账户

返回本章首页


·46·

2. 控制访问权限：系统要确定用户对资源 ( 比如 CPU 、内存、 I/O 设备、计算机终端等 ) 的访问权限，并赋予

用户不同的权限等级，如工作站用户、超级用户、系统管理员等。一般来说，用户的权限等级是在注册时赋予的。

图 2-2 用户权限设置

返回本章首页


·47·

3. 管理措施：存储媒体安全管理的目标是：保证系统在有充分保护的安全环境中运行，由可靠的操作人员按规范使用计算机系统，系统符合安全标准。管理应紧紧围绕信息的输入、存储、处理和交换这个过程来进行。

除此之外，还应该健全机构和岗位责任制，完善安全管理的规章制度，加强对技术、业务、管理人员的法制教育、职业道德教育，增加安全保密和风险防范意识，以实现科学化、规范化的安全管理。

返回本章首页


·48·

2.4 计算机硬件的检测与维修在计算机系统的故障现象中，硬件的故障占到了很大的比例。正确的分析故障原因，快速的排除故障，可以避免不必要的故障检索工作，使系统得以正常运行。

计算机硬件故障是指由于计算机硬件损坏、品质不良、安装、设置不正确或接触不良等而引起的故障。其原因多种多样：

（ 1 ）工艺问题引起的故障（ 2 ）元器件损坏引起的故障（ 3 ）干扰或噪声引起的故障（ 4 ）设计上造成的故障（ 5 ）人为故障（计算机假故障）

返回本章首页


·49·

1. 硬件故障的检测步骤及原则（ 1 ）检测的基本步骤通常是由大到小、由粗到细。（ 2 ）检测的原则：

①先静后动 ②先外后内 ③先辅后主 ④先电源后负载 ⑤先一般后特殊 ⑥先简单后复杂 ⑦先主要后次要

返回本章首页


·50·

2. 硬件故障的诊断和排除要排除硬件故障，最主要的是要设法找到产生故障的原

因。一旦找到原因，排除故障就很容易了。一些寻找故障原因常用的方法：

（ 1 ）清洁法（ 2 ）直接观察法（ 3 ）拔插法（ 4 ）交换法（ 5 ）比较法（ 6 ）振动敲击法（ 7 ）升温降温法（ 8 ）程序测试法

返回本章首页


·51·

故障部件： Cpu:

故障原因：

① 蓝色警告窗口，死机！！！！

散热不良参数设置错误引脚脱落或失误风扇安装不当

返回本章首页


·52·

故障部件：主板故障原因：主板组件接触不良、短路 CMOS 电池电量不足主板电路元件损坏 BIOS 受损设置不当驱动等

一看，二听，三闻，四摸清洁法，观察法，交换法

② 显示器灯亮，但是没有信号输出，没有自检声，键盘灯亮就灭了，硬盘不能启动运行。

返回本章首页


·53·

故障部件：内存故障原因：与内存插槽接触不良内存条损坏质量问题内存与其他器件不兼容

③ 计算机清洁灰尘后，扬声器出现急促的哗哗的声音，无法启动。

清洁法，金手指，插槽，替换法

返回本章首页


·54·

作业1.简述计算机实体安全的重要性。2. 实体及硬件的安全防护包括哪几个方面？3.什么叫电磁防护？它有哪些方面的危害？4. 列举一些你所知道的身份识别技术。5. 计算机硬件产生故障的原因有哪些？6.根据实例，谈谈你对硬件故障诊断和排除方法的理解

和应用。

返回本章首页


·55·

第三章　计算机软件安全技术3.1　计算机软件安全技术概述3.2　软件分析技术3.3 常用的软件保护技术3.4　软件加壳与脱壳3.5　软件安全保护建议

返回本章首页


·56·

本章学习目标（ 1 ）掌握计算机软件安全的基本概念、内容和软件安全保护的指导思想。

（ 2 ）了解一般采用哪些技术措施来保证计算机软件的安全。

（ 3 ）掌握可执行文件的加密方式和加密原理；软件运行中的反跟踪技术；常用的防止非法复制软件的技术；能够编制具有反跟踪功能的加密盘。

返回本章首页


·57·

3.1 　计算机软件安全技术概述

1 ．计算机软件安全概念2 ．计算机软件安全的内容3 ．计算机软件安全的技术措施4 ．软件的本质及特征5 ．软件安全保护的指导思想

返回本章首页


·58·

1．计算机软件安全的定义

软件的安全就是为计算机软件系统建立和采取的技术和管理的安全保护，保护计算机软件、数据不因偶然或恶意的原因而遭破坏、更改、显露、盗版、非法复制，保证软件系统能正常连续的运行。

返回本章首页


·59·

2．计算机软件安全的内容

（ 1 ）软件的自身安全（ 2 ）软件的存储安全（ 3 ）软件的通信安全（ 4 ）软件的使用安全（ 5 ）软件的运行安全

返回本章首页


·60·

3．计算机软件安全的技术措施必须采取两个方面的措施：（ 1 ）非技术性措施，如制定有关法律、法规，加强各方面的管理。（ 2 ）技术性措施，如软件安全的各种防拷贝加密技术、防静态分析、防动态跟踪技术等。

返回本章首页


·61·

4．软件的本质及特征

（ 1 ）软件是用户使用计算机的工具（ 2 ）软件是一种知识产品（ 3 ）软件是人类社会的财富（ 4 ）软件可以存储和移植（ 5 ）软件是具有巨大威慑力量的武器

（ 6 ）软件具有寄生性

返回本章首页


·62·

5．软件安全保护的指导思想软件安全保护的指导思想是采用加密、反跟踪、

防非法复制等技术。在软件系统上或原盘上产生一种信息，这种信息既是软件系统中各可执行文件在运行中必须引用的，又是各种文件复制命令或软盘复制软件所无法正确复制、无法正确安装或无法正确运行的。

返回本章首页


·63·

3.2 软件分析技术3.2.1 静态分析技术

从反汇编出来的程序清单上分析，从提示信息入手分析。常用的静态分析工具有 IDA、 W32Dasm和 HEW 等。

图 3-1 反汇编窗口

返回本章首页


·64·

3.2.2 动态分析在进行软件的破解、解密以及计算机病毒分析

工作中，一个首要的问题是对软件及病毒进行分析。这些软件都是机器代码程序，对于它们分析必须使用静态或动态调试工具，分析跟踪其汇编代码。

返回本章首页


·65·

如静态分析找不出线索，就要动态分析程序，主要原因：

（ 1 ）许多软件在整体上完成的功能，一般要分解成若干模块来完成，而且后一模块在执行时，往往需要使用其前一模块处理的结果，这一结果我们把它叫中间结果。如果我们只对软件本身进行静态地分析，一般是很难分析出这些中间结果的。另外，在程序的运行过程中，往往会在某一地方出现许多分支和转移，不同的分支和转移往往需要不同的条件，而这些条件一般是由运行该分支之前的程序来产生的。

返回本章首页


·66·

（ 2 ）有许多软件在运行时最初执行的一段程序需要对该软件的后面各个模块进行初始始化工作，而没有依赖系统的重定位。

（ 3 ）有许多加密程序为了阻止非法跟踪和阅读，对执行代码的大部分内容进行了加密变换，而只有很短的一段程序是明文。加密程序运行时，采用了逐块解密，逐块执行和方法，首先运行最初的一段明文程序，该程序在运行过程中，不仅要完成阻止跟踪的任务，而且还要负责对下一块密码进行解密。显然仅对该软件的密码部分进行反汇编，不对该软件动态跟踪分析，是根本不可能进行解密的。

返回本章首页


·67·

动态分析步骤：

（ 1 ）对软件进行粗跟踪所谓粗跟踪，即在跟踪时要大块大块地跟踪，也

就是说每次遇到调用 CALL指令、重复操作指令REP.循环操作 LOOP 指令以及中断调用 INT 指令等，一般不要跟踪进去，而是根据执行结果分析该段程序的功能。

（ 2 ）对关键部分进行细跟踪对软件进行了一定程度的粗跟踪之后，便可以获

取软件中我们所关心的模块或程序段，这样就可以针对性地对该模块进行具体而详细地跟踪分析。

返回本章首页


·68·

3.3 　常用的软件保护技术

3.3.1 序列号方式3.3.2 时间限制3.3.3 NAG窗口3.3.4 KeyFile保护3.3.5 功能限制的程序3.3.6 CD-check

返回本章首页


·69·

软件验证序列号的合法性过程就是验证用户名和序列号之间的换算关系，即数学映射关系是否正确的过程。

1．以用户名生成序列号序列号 = F （用户名）

2．通过注册码来验证用户名的正确性序列号＝ F （用户名）

用户名＝ F （序列号）

3.3.1 序列号保护机制

返回本章首页


·70·

3.3.2 时间限制　时间限制程序有两类，一类是对每次运行程序的时间进行限制，另一类是每次运行时间不限。

要实现时间限制，应用程序中必须有计时器来统计程序运行的时间，在Windows下使用计时器有SetTimer （）、 TimeSetEvent（）、 GetTickCount（）、 TimeGetTime （）。

图 3-2 时光倒流窗口

返回本章首页


·71·

3.3.3 警告（ NAG ）窗口　　 Nag窗口是软件设计者用来不断提醒用户购买正式版本的窗口。

去除警告窗口最常用的方法是利用资源修改工具来修改程序的资源，将可执行文件中的警告窗口的属性改成透明、不可见，这样就可以变相去除警告窗口了。

若要完全去除警告窗口，只要找到创建此窗口的代码，并跳过该代码的执行。

返回本章首页


·72·

3.3.4 注册保护注册文件（ Key File ）是一种利用文件来注册软件

的保护方式。 Key File 内容是一些加密过或未加密的数据，其中可能有用户名、注册码等信息。

当用户向软件作者付费注册之后，会收到注册文件，用户只要将该文件存入到指定的目录中，就可以让软件成为正式版。

为增加破解难度，可以在 KeyFile 中加入一些垃圾信息；对于注册文件的合法性检查可分散在软件的不同模块中进行判断；对注册文件内的数据处理也尽可能采用复杂的算法。

返回本章首页


·73·

3.3.5 功能限制这类程序一般是 Demo （演示）版：

这类程序一般是 Demo （演示）版，功能限制的程序一般分为两种：

1．一种是试用版和正式版的软件完全分开的两个版本，正式版只有向软件作者购买。

2．另一种是试用版和注册版为同一个文件，一旦注册之后就，用户可以使用全部功能。

返回本章首页


·74·

3.3.6 光盘软件保护为了能有效地防止光盘盗版，从技术来说要解决三个问题：

（ 1 ）要防止光盘之间的拷贝；（ 2 ）要防止破解和跟踪加密光盘；（ 3 ）要防止光盘与硬盘的拷贝。目前防止光盘盗版技术有： 1 ．特征码技术特征码技术是通过识别光盘上的特征码，如 SID （ S

ource Ident-ification Code ）来区分是正版光盘还是盗版光盘。

返回本章首页


·75·

该特征码是在光盘压制生产时自然产生的，而不同的母盘压制出的特征码不一样，光盘上的软件运行时必须先使用该特征码。

2 ．非正常导入区光盘的导入区 TOC （ Track On CD ）是用来记录有关

于光盘类型等信息，是由光盘自动产生的，并且光盘无法复制非正常的导入区。因此，在导入区内添加重要数据以供读盘使用，便能有效地防止光盘之间的非法复制。

返回本章首页


·76·

3 ．非正常扇区对于一般的应用软件来说，在读取光盘非正常扇区数据的时候，会出现错误，无法读出非正常扇区数据。但我们可以通过特定的方法在光盘上制造一个特殊的扇区，并在光盘上编写一个程序专门读取该扇区的数据。

4 ．使用光盘保护软件还可以使用一些商业光盘保护软件，“光盘加密大师”能对光盘多种格式镜像文件（ ISO ）系统进行可视化修改，将光盘镜像文件中的目录和文件进行特别隐藏，将普通文件变为超大文件，将普通目录变为文件目录等。

返回本章首页


·77·

3.4 软件加壳与脱壳 3.4.1 “壳”的概念 3.4.2 软件加壳工具介绍

3.4.3 软件脱壳

返回本章首页


·78·

3.4.1 “壳”的概念 “ 加壳”，就是用专门的工具或方法，在应用程

序中加入一段如同保护层的代码，使原程序代码失去本来的面目，从而防止程序被非法修改和编译。

用户在执行被加壳的程序时，实际上是先执行“外壳”程序，而由这个“外壳”程序负责把原程序在内存中解开，并把控制权交还给解开后原程序。

返回本章首页


·79·

加壳软件按照其加壳目的和作用，可分为两类：一是保护，二是压缩。

1 ．保护程序这是给程序加壳的主要目的，就是通过给程序加

上一段如同保护层的代码，使原程序文件代码失去本来的面目。它的主要目的在于反跟踪，保护代码和数据，保护程序数据的完整性，防止程序被调试、脱壳等。

2 ．压缩程序这项功能应该是加壳程序的附加功能。类似WINZIP

的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。

一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

返回本章首页


·80·

3.4.2 软件加壳工具介绍

现在用于压缩程序为主要目的的常见加壳软件有ASPacK、 UPX 和 PECompact等，用于保护程序为主要目的的常见加壳软件有 AsProtect、 tElock和幻影等。下面简单介绍一些常用的加壳软件。

1 ． ASPack ASPack是一款Win32高效保护性的压缩软件，文件压缩比率高达 40%～ 70 % 。 ASPack无内置解压缩，不能自解压自己压缩过的程序。

返回本章首页


·81·

2 ． ASProtect

ASProtect 具有压缩、加密、反跟踪代码、反 -反汇编代码、 CRC校验和花指令等保护措施。它使用RSA 1024 作为注册密钥生成器。它还通过 API钩子与加壳的程序进行通信。

图 3-3 PEiD 查壳窗口

返回本章首页


·82·

3.4.3 软件脱壳

对一个加了壳的程序，就要去除其中的无关干扰信息和保护限制，把它的壳脱去，解除伪装，还原软件的本来面目，这一过程就称为脱壳。

对软件进行脱壳时，可以使用手动脱壳，也可软件脱壳。

返回本章首页


·83·

手动脱壳前，需要熟悉 Win32下的可执行文件标准格式，可以使用一些辅助工具，如冲击波、 W32Dasm 等。

手动脱壳主要步骤有：查找程序入口点，获取内存映像文件，重建输入表等。

1. 手动脱壳

返回本章首页


·84·

脱壳软件主要分为两大类，即专用脱壳软件和通用脱壳软件。

常用的侦壳软件有 Language 2000 、 File Scanner 、FileInfo 、 PEiDentifer 等。

脱壳成功的标志是脱壳后的文件能正常运行，并且功能没有减少。一般来说，脱壳后的文件长度大于原文件长度。即使同一个文件，当采用不同脱壳软件进行脱壳的时候，由于脱壳软件机理不同，脱出来的文件大小也不尽相同。

2. 软件脱壳

返回本章首页


·85·

3.5 设计软件的一般性建议

1．软件发行之前一定要将可执行程序进行加壳。 2．要在自己写的软件中嵌入反跟踪的代码。 3．增加对软件自身的完整性检查。 4．不要采用一目了然的名字来命名与软件保护相关的函数

和文件。 5．过一段时间后使软件停止工作。 6．可以通过读取关键的系统文件的修改时间来得到系统时间的信息。

返回本章首页


·86·

7．给软件保护加入一定的随机性。8．如果试用版与正式版是分开的两个版本，而是彻底删除相关的代码。

9．如果软件中包含驱动程序，则最好将保护判断加在驱动程序中。

10．将注册码、安装时间记录在多个不同的地方。11．采用一机一码，可以防止注册码传播。12．最好是采用成熟的密码学算法。13．可以采用在线注册的方法。14． keyfile 的尺寸不能太小。

返回本章首页


·87·

作业1. 软件安全的内容包括哪几个方面？2. 软件静态分析的含义是什么？有哪些常用的工具？

3. 常见的软件保护技术有哪些？4. 计算机软件中的“壳”是指什么？5.简述脱壳的 2 种方法。6. 应如何做好软件安全保护工作？

返回本章首页


·88·

第四章操作系统安全基础

4.1 Windows系统

4.2 Unix系统

4.3 Linux系统

返回本章首页


·89·

学习目标

掌握操作系统安全定义与架构

掌握 WINDOWS 系统的安全策略

掌握 Unix 系统基础知识与安全策略

掌握 Linux 系统基础知识与安全漏洞的解决方案

返回本章首页


·90·

4.1 Windows 系统4.1.1 Windows NT/2000/XP 的安全策略

1.windows 安全基础概念

（ 1 ）用户账户管理在Windows2000(XP)中，访问控制依赖于系统能够惟一地识别出每个用户。用户账户 (User Account)提供了这种惟一性。（ 2 ）计算机账号运行 Windows 2000 和 Windows NT 的计算机加入域时都需要一个账号登陆、访问域资源。（ 3 ）组

返回本章首页


·91·

除用户帐户外， Windows 2000(XP) 还提供组帐户。可使用组帐户对同类用户授予权限以简化帐户管理。如果用户是可访问某个资源的一个组中的成员，则该特定用户也可访问这一资源。因此，若要使某个用户能访问各种工作相关的资源，只需将该用户加入正确的组。

图 4-1 工作组建立和加入

返回本章首页


·92·

用户和组都有一定的权力，权力定义了用户在系统中能做什么。如：从网络中访问计算机、向域中添加工作站和成员服务器、备份文件和目录、改变系统时间、强制从远程系统退出、装 / 卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。

返回本章首页


·93·

（ 4 ）域组是专门用于客户机 /服务器网络中的一个概念 ,他

是域的组成部分 ,使用组的目的是便于对用户进行管理 ,减少系统设置和维护的工作量 . 域是网络中许多服务器和客户机的集合 ,它们使用同一个名字 (域名 ),享用自己的帐号和安全机制 . 域最大的好处是单一网络登录能力 ,用户只要在域中有一个合法的帐号 ,登录到域后就可以访问域中对该用户授权许可的共享资源 . 要创建域 ,必须将一台运行 Window Server 2003 的计算机设置为域控制器 . 域控制器为网络用户和计算机提供 Active Directory 服务并管理用户 ,包括用户登录过程 , 验证和目录搜索等。

返回本章首页


·94·

① 为保证数据的同步，包含安全信息的 Active Directory会定期复制到域中每个域控制器。

②Active Directory中的对象可以按组织单位的不同级别进行组织和管理。

③ 可转移的信任关系可以建立在域树种的域之间。

图 4-2 Windows server2003域中对象

返回本章首页


·95·

（ 5 ）身份验证负责确认试图登陆域或访问网络资源的任何用户的身份。 ① 在Windows 2000 计算环境中成功的用户身份验证包

括 2 个独立的过程。 ②交互式登陆向域账户或本地计算机确定用户的身份。 ③ 网络身份验证对给用户试图访问的任何网络服务确定

用户身份。 ④ 在用户试图访问安全的 Web服务器时使用。

（ 6 ）授权

返回本章首页


·96·

Windows2000 的安全性建立在身份验证和授权之上。管理员

可以派特定权力组账户或单个用户账户。用户权力有 2 种： ① 特权：如备份文件和目录的权力。 ②登陆权力：如登陆本地系统的权力。

图 4-3 用户账号建立

返回本章首页


·97·

（ 7 ）审核安全审核是 Windows 系统的一项功能，负责监视各

种与安全性有关的事件。

图 4-4 windows 安全审核

返回本章首页


·98·

利用安全设置，可以从任一台已经加入到域中的计算机修改组织单位、域或站点的安全策略。

安全设置允许安全管理员修改已分配给组策略对象的安全设置。

（ 8 ）安全设置

返回本章首页


·99·

2. 用户账户的管理（ 1 ）添加用户账户

①域用户账户域用户账户建立在域控制器的 Active Directory数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。 ② 本地用户账户本地用户账户建立在Windows 2000独立服务器、 Windows 2000 成员服务器或 Windows 2000 Professional的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。

返回本章首页


·100·

图 4-5 新建用户图 4-6 设置密码

返回本章首页


·101·

（ 2 ）用户个人信息的设置 “ 用户个人信息”，就是指姓名、地址、电话、传

真、移动电话、公司、部门、职称、电子邮件、 Web页等。如图所示：

图 4-7 用户个人信息

返回本章首页


·102·

（ 3 ）账户信息的设置选择“账户”选项卡，如图所示：

①账户过期 ②登录时间的设置 ③ 限制用户只能够从某些工作站登录

图 4-8 账号信息设置

返回本章首页


·103·

图 4-9 登陆时间设置图 4-10 设置允许登录的工作站

返回本章首页


·104·

3. 组的管理 Windows 2000 所支持的组分为以下两种类型：安全式

和分布式。安全组：安全组可以用来设置权限，简化网络的维护和

管理。分布式组：分布式组只能用在与安全（权限的设置等）

无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能进行权限设置。

可以依次选择“开始”菜单中的“程序”，单击“管理工具”选择“ Active Directory用户和计算机”选项，打开“ Active Directory用户和计算机”对话框，来添加、删除与管理域组。

返回本章首页


·105·

（ 1 ）添加组 ① 依次选择“开始”菜单中的“程序”，单击“管理

工具”选择“ Active Directory用户和计算机”选项。 ② 在控制台树种，双击域结点。

③右键单击要添加组的文件夹，指向“新建”，然后单击“组”。

④键入新组的名称，单击所需的“组作用域”。 ⑤单击所需的“组类型”。

返回本章首页


·106·

全局组全局组主要是用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。

本地域组本地域组主要用来指派其在所属域内的访问权限，以便可以访问该域内的资源。

通用组通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。

组的作用域：

返回本章首页


·107·

（ 2 ）为用户添加组在控制台目录树中，展开域节点，接着单击 Compu

ters 或者要加入组的计算机所在的其他组织单元及容器，在详细资料窗格中，右击要加入组的用户帐户，从弹出的快捷菜单中选择“将成员添加到组”命令。

图 4-11 添加工作组

返回本章首页


·108·

（ 3 ）管理组 ① 更改组类型

② 更改组的作用域 ③ 删除组依次选择“开始”菜单中的“程序”，单击“管理

工具”选择“ Active Directory用户和计算机”选项，双击域结点，右键单击组，选择“属性”，单击“常规”选项卡中的“组类型”中，单击“分布式”或“安全式”。选择“组作用域”为“本地域”或“通用”。或者右键单击组，选择“删除”命令。

返回本章首页


·109·

4.Windows 2000 安全模型 Windows 2000 安全模型的主要功能是用户身份验证

和访问控制。　　（ 1 ）用户身份验证

Windows 2000 安全模型包括用户身份验证的概念，这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中，安全性系统提供了两种类型的身份验证：交互式登录 (根据用户的本地计算机或 Active Directory 帐户确认用户的身份 )和网络身份验证（根据此用户试图访问的任何网络服务确认用户的身份）。为提供这种类型的身份验证， Windows 2000 安全系统包括了三种不同的身份验证机制： Kerberos V5 、公钥证书和 NTLM（与 Windows NT 4.0 系统兼容）。

返回本章首页


·110·

（ 2 ）基于对象的访问控制

通过用户身份验证， Windows 2000 允许管理员控制对网上资源或对象的访问。 Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组，以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性，管理员可以设置权限，分配所有权以及监视用户访问。

返回本章首页


·111·

5.Active Directory安全性安全性通过登录身份验证以及目录对象的访问控制集

成在 Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。　　 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为 Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在 Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（ DCAL）中所定义的属性。

　　

返回本章首页


·112·

（ 1 ）用户登录管理用户登录时，输入登录的用户名和秘密，经过安全

账户数据库验证，如果正确，安全账户数据库将用户信息集中在一起，形成一个存取标示：①用户名及 SID；②用户所属的组及组 SID；③用户所具有的系统权力。

（ 2 ）资源访问管理用户存取标示中的用户名与 ACL中有对应关系且所

要求的权限合法，则访问获得允许，否则访问被拒绝。

返回本章首页


·113·

6.Windows 2000 的安全机制 Windows2000 安全机制的建立主要从域、组合和文

件系统等方面来考虑。(1)域安全策略

域安全设置分为账户策略、本地策略、事件日志、受限制的组、系统服务、注册表、文件系统、公钥策略和IP 安全策略。

返回本章首页


·114·

①域安全策略：是由用户名 +密码组成，可以利用账户策略设置密码策略、账户锁定和 Kerberos策略。② 本地策略：对本地计算机起作用，包括审核策略、授予用户权限，设置各种安全机制。③ 事件日志：对域（包括本地）的各种事件进行记录。为应用程序日志、系统日志等配置大小、访问方式和保留时间等。④ 受限制的组：管理内置组的成员资格。⑤ 系统服务：运行在计算机上的服务配置安全性和启动设置。⑥注册表：存储 Windows 所需要的必要信息。⑦文件系统：指定文件路径配置安全性。⑧公钥策略：配置加密的数据恢复代理和信任认证中心证书。⑨IP 安全性策略：配置 IPSec。

返回本章首页


·115·

（ 2 ）控制工作站的桌面不被修改 ① 以管理员的身份登录到服务器，从“管理工具”中

打开“ Active Directory用户和计算机管理器”；在控制台目录树种展开域，右击“ Domain Control” 并选择“属性”命令，在“ Domain Control 属性”中选择“组策略”选项卡。

②单击“新建”，在主窗口中选择“新建组策略对象”，将其改名。双击组策略对象名，选择“组策略”窗口中的 “用户配置” →“ Windows 设置” →“桌面”，右击，选择属性，进行设置。

返回本章首页


·116·

（ 3 ）对象的审核右键单击该文件夹，选择“属性”，在对话框中选择“安全” ，在弹出的对话框中进行设置。

图 4-12 对象的审核

返回本章首页


·117·

7.Windows NT/2000/XP 的安全性（ 1 ） Windows NT 的安全性权力 :在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。

共享 :用户可以通过网络使用的文件夹。权限 :可以授予用户或组的文件系统能力。

返回本章首页


·118·

① 权力：权力适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权力的帐号时，该用户就可以执行与该权力相关的任务。

下面列出了用户的特定权力，如表 4-1 所示：表 4-1 用户的特定权力

返回本章首页


·119·

② 共享：共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问，如表 4-2 所示。

表 4-2 用户的共享权限

返回本章首页


·120·

③ 权限：权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、 Execute(X)、 Write(W)、 Delete(D)、 Set Permission(P)和 Take Ownership(O)。表 4-3 和表 4-4显示了这些任务是如何与各种权限级别相关联的。

返回本章首页


·121·

表 4-3 目录权限

表 4-4 文件权限

返回本章首页


·122·

（ 2 ） Windows 2000 的安全性 Windows 2000 安全系统提供了 2 种类型的身份验证。交互式登陆和网络身份验证。

Active Directory使用对象和用户凭据的访问控制提供了对用户账户和组信息的保护存储。 Active Directory还提供了对 Kerberos V5 的支持。

Windows 2000 采用 IPSEC这种加密 IP协议来加密网络上的数据，在 VPN 安全性方面有了一定的提高。

采用文件加密系统 EFS 。

返回本章首页


·123·

（ 3 ） Windows XP 的安全性① 完善的用户管理功能②透明的软件限制策略③支持 NTFS 文件系统以及加密文件系统 EFS④ 安全的网络访问特性

图 4-13 软件限制策略图 4-14 数字证书的使用

返回本章首页


·124·

4.1.2 Windows NT/2000/XP 的安全防范措施（ 1 ）加强物理安全管理

①去掉或锁死软盘驱动器，禁止DOS 或其他操作系统访问NTFS 分区。

② 在服务器上设置系统启动密码，设置 BIOS禁用软盘引导系统。

③ 不创建任何 DOS 分区。　　 ④保证机房的物理安全。　（ 2 ）将系统管理员账号改名

（ 3 ）控制授权用户的访问权限（ 4 ）文件系统使用 NTFS ，不用 FAT（ 5 ）确保注册表安全（ 6 ）打开审计系统

返回本章首页


·125·

4.1.3 Windows Server 2003 的安全1.window Server 2003版本简介（ 1 ） Windows Server 2003 标准版是一个可靠的网

络操作系统，可迅速方便地提供企业解决方案。是针对中小型企业的核心产品。

支持证书服务、 UDDI 服务、传真服务、 ISA因特网验证服务、可移动存储、 RIS 、智能卡、终端服务、 WMS 和 Services for Macintosh支持文件和打印机共享允许集中化的桌面应用程序部署

返回本章首页


·126·

（ 2 ） Windows Server 2003 企业版满足各种规模的企业的一般用途而设计的。它是各种

应用程序、 Web 服务和基础结构的理想平台，它提供高度可靠性、高性能和出色的商业价值。是一种全功能的服务器操作系统，支持多达 8个处理器。提供企业级功能，如 8 节点群集、支持高达 32 GB 内存等。

（ 3 ） Windows Server 2003 数据中心版是为运行企业和任务所倚重的应用程序而设计的，这些应用程序需要最高的可伸缩性和可用性。是 Microsoft 迄今为止开发的功能最强大的服务器操系统。支持高达 32 路的 SMP 和 64 GB 的 RAM。提供 8 节点群集和负载平衡服务是它的标准功能。

返回本章首页


·127·

（ 4 ） Windows Server 2003 Web 版用于 Web 服务和托管，生成和承载 Web 应用程序、

Web 页面以及 XML Web 服务。其主要目的是作为 IIS 6.0 Web 服务器使用。提供一个快速开发和部署 XML Web 服务和应用程序的平台，这些服务和应用程序使用 ASP.NET 技术，该技术是 .NET 框架的关键部分，便于部署和管理。

（ 5 ） Windows Server 2003 ， 64-bit Edition （ 64位版本）

专门针对 64位处理器安腾 Itanium而开发的版本，包括Windows Server 2003 Enterprise Server 64-bit Edition 和 Windows Server 2003 Datacenter Server 64-bit Edition 两个版本。

返回本章首页


·128·

2. Windows Server 2003 安全的基本概念（ 1 ）对称加密：加密密钥和解密密钥相同。（ 2 ）非对称加密：加密密钥和解密密钥不相同。（ 3 ）公钥体系：非对称密钥体制。（ 4 ）数字签名：以电子形式存在于数据信息之中的，或作为

其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，表明签署人对数据信息中包含的信息的认可。

（ 5 ）密钥和证书的区别：证书是 CA中心对用户公钥的认证。（ 6 ） SSL 协议：为网络通信提供安全及数据完整性的一种

安全协议。

返回本章首页


·129·

3.Windows Server 2003 的安全特性 (1)用户验证 ①交互式登陆 ② 网络验证： Kerberos V5 、公用密钥证书和 NTLM。

（ 2 ）基于对象的访问控制 Windows Server 2003 通过允许系统管理员对存储在 Active Directory中的对象指定安全描述符来使用访问控制。

（ 3 ） Active Directory和安全性

返回本章首页


·130·

Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为 Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在 Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（ DCAL）中所定义的属性。

　　因为 Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对 Active Directory中对象的访问操作。

返回本章首页


·131·

4. Windows Server 2003增强的安全机制（ 1 ） NTFS 和共享权限

快速查看 NTFS 权限，可以右击文件或文件夹，选择“属性”，选择“安全”选项卡，单击“高级”，然后查看“有效权限”选项卡。

图 4-15 NTFS 和共享权限

返回本章首页


·132·

（ 2 ）文件和文件夹的所有权 Windows Server 2003 直接在用户界面中提供了设置所有者的功能，这类有关磁盘配额的问题可以方便地解决了（对于使用 NTFS 文件系统的任何类型的操作系统都有效，包括Windows NT 4.0 、 2000 和 XP Pro ，只要修改是在Windows Server 2003 上进行就可以了。

图 4-16 文件和文件夹的所有权

返回本章首页


·133·

5. Windows Server 2003 安全配置（ 1 ） Windows Server 2003 基本安全配置

① 修改管理员账号和创建陷阱账号

② 删除默认共享存在的危险在记事本中输入以下内容，用户可以根据自己的需要修改其中的内容：

图 4-17 修改管理员账号

返回本章首页


·134·

@echo offNet share C$ /deleteNet share D$ /deleteNet share E$ /delete………….Pause

将文件保存为 delshare.bat，单击“开始”→“运行”命令，在输入框中输入 gpedit.msc，单

击“确定”。弹出“组策略”查看，依次选择“用户配置” →“ Windows 设置” →“脚本（登陆 /注销）”，双击窗口右边的“登陆”，弹出“登陆属性”窗口，在该窗口中单击“添加”按钮，弹出“添加脚本”对话框，在“脚本名”栏中输入 deshare.bat，单击“确定”。如此设置后，系统一开机就可以执行脚本删除系统默认的共享。

返回本章首页


·135·

③禁用 IPC连接运行 regedit，找到如下主键HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\LSA把 RestrictAnonymous (DWORD)的键值改为 :00000001 。

④ 重新设置可远程访问的注册表路径

图 4-18 禁用 IPC连接

返回本章首页


·136·

“gpedit.msc” ，打开组策略编辑器→“计算机配置”→“ Windows 设置”→“安全设置” →“本地策略”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表” ,将设置远程可访问的注册表路径和子路径内容设置为空即可，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。

图 4-19 重新设置可远程访问的注册表路径

返回本章首页


·137·

⑤ 关闭不需要的端口控制面板→性能和维护→管理工具→本地安全策略→ IP 安全策略，在本地计算机，在右边窗格右击——创建 IP 安全策略，下一步按钮；

去掉“激活默认响应规则”左边的钩，单击下一步，单击“完成”，创建了一个新的 IP 安全策略；

在新建立的 IP 安全策略“属性”窗口，去掉“使用向导”左边的钩，单击“添加”，如下图所示：

图 4-20 关闭端口

返回本章首页


·138·

进入“筛选器属性”对话框，在“寻址”窗口的“源地址”中选择“任何 IP 地址”，在“目标地址”选择“我的 IP 地址”，如下图所示：

单击“协议”选项卡，选择“ TCP” ，到此端口输入 135 ，确定。这样就添加了一个屏蔽 TCP135端口的筛选器，它可以防止外界通过135端口连上用户的计算机。在“新规则属性”对话框，，选择“新 IP筛选器列表”，激活，在“筛选器操作”选项卡中，单击“添加”，在弹出的对话框‘新筛选

图 4-21 “筛选器属性”设置

返回本章首页


·139·

器操作属性’的“安全措施”中，选择“阻止”，确定。

⑦在“新规则属性”对话框，选择“新筛选器操作”按钮，单击“关闭”；⑧回到“ IP 安全策略属性”对话框，在“新的 IP筛选器列表”左边打钩，单击“确定”；⑨在“本地安全策略”窗口右击新添加的 IP 安全策略，从快捷菜单中选择“指派”命令。

图 4-22 “ 新规则属性”设置

返回本章首页


·140·

（ 2 ） Windows Server 2003高级安全设置① 重新支持 ASP脚本a. 在系统的开始菜单中，依次单击“管理工具” →

“Internet信息服务管理器”命令；b. 在随后出现的 Internet信息服务属性设置窗口中，

用鼠标选中左侧区域中的“ Web服务器扩展”选项； c. 接着在对应该选项右侧的区域中，用鼠标双击 Active

s server pages” 选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的 IIS6 就可以重新支持 ASP脚本了。

返回本章首页


·141·

②添加站点到“信任区域” a. 在浏览器的地址框中，输入需要访问的站点地址，单

击回车键，就会自动打开一个安全提示警告窗口； b. 要是不想浏览该站点时，直接可以单击“关闭”按钮；

要是想浏览的话，可以单击“添加”按钮； c. 在随后打开的“可信任站点”设置窗口中，你会发现当前被访问的站点地址已经出现在信任区域文本框中；

d.继续单击“添加”按钮，就能将该站点添加到网站受信任区域中了；下次重新访问该站点时，浏览器就会跳过安全检查，直接打开该站点的网页页面了。

返回本章首页


·142·

③根据需要对系统服务进行控制服务是一种在系统后台运行的应用程序类型，它与 U

NIX 后台程序类似。服务提供了核心操作系统功能，如 Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元，可管理本地或远程计算机上的服务。所以并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。

系统服务一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。

返回本章首页


·143·

在Windows Server 2003 中，微软关闭了大多数不是绝对必要的服务。即使如此，还是有一些有争议的服务缺省运行。

分布式文件系统（ DFS ）服务。 DFS服务起初被设计简化用户的工作。 DFS允许管理员创建一个逻辑的区域，包含多个服务器或分区的资源。对于用户，所有这些分布式的资源存在于一个单一的文件夹中。

文件复制服务（ FRS ）。 FRS 被用来在服务器之间复制数据。它在域控制器上是强制的服务，因为它能够保持 SYSVOL文件夹的同步。对于成员服务器来说，这个服务不是必须的，除非运行 DFS 。

Print Spooler 服务（ PSS ）。该服务管理所有的本地和网络打印请求，并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务，它也是缺省被启用的。

返回本章首页


·144·

6. Windows Server 2003 的安全漏洞及其解决方法（ 1 ） Windows Server 2003 IIS 6 存在严重漏洞

Windows Server 2003 存在着一个文件解析路径的漏洞，当文件夹名为类似 hack.asp 的时候，此时此文件夹下的文本文件都可以在 IIS 中被当做 ASP 程序来执行，通过访问这个文件可运行木马。

解决方法：设置执行权限选中，直接将有上传权限的目录，取消 ASP 的运行权限。（ 2 ） Windows Server 2003 DNS服务器漏洞

Windows Server 2003 的 DNS出现了Oday安全漏洞，如果存在这个漏洞，那么它在工作时， RPC接口如果处理到有非常规的畸形链接请求，会向外释放管理员权限，让黑客可以利用这种漏洞完全控制系统。

返回本章首页


·145·

解决方法：下载微软提供的补丁，根据自己的实际情形选中对应的补丁。同时管理员可以采取如下措施降低威胁。首先打开注册表编辑器，找到以下注册表位置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters ，通过右键菜单新建一个名为“ RpcProtocol” 的 DWORD项目，然后双击新建的值并将该值的数据更改为 4 ，最后重启 DNS服务更改生效即可。

返回本章首页


·146·

4.2 UNIX系统

4.2.1 UNIX系统的基础知识

4.2.2 UXIX系统安全问题

返回本章首页


·147·

4.2.1 UNIX系统的基础知识

UNIX 操作系统是由肯·汤普逊在贝尔实验室于 1969 年开发成功的。是一个分时多用户多任务操作系统。UNIX 给每个终端设置不同的序号以协调工作，这个序号被称为终端序号。

UNIX 是通过命令驱动的，下面简要介绍一些与 UNIX 安全相关的常用命令。

（ 1 ） cp 、 mv、 In 和 cpio命令 ①cp命令：把指定的源文件复制到目标文件或把多

个源文件复制到目标目录中。

返回本章首页


·148·

②mv 命令：将文件重命名或将其移至一个新的目录中。③ln命令： ln 为现有文件建立一个链，即建立一个引用同

一文件的新名字。④cpio命令：用于将目录结构复制到一个普通文件中，而

后可再用 cpio命令将该普通文件转成目录结构。 cpoi 的安全约定如下 :档案文件存放每个文件的信息，包括文件所有者，小组用户，最后修改时间，最后存取时间，文件存取许可方式。　根据档案建立的文件保持存放于档案中的取许可方式。从档案中提取的每个文件的所有者和小组用户设置给运行cpio -i命令的用户 ,而不是设置给档案中指出的所有者和小组用户。

返回本章首页


·149·

当运行 cpio -i命令的用户是 root时 ,被建立的文件的所有者和小组用户是档案文件所指出的。　档案中的 SUID/SGID文件被重建时 ,保持 SUID 和 SGID许可 ,如果重建文件的用户不是 root, SUID/SGID许可是档案文件指出的用户 /小组的许可。

现存文件与 cpio档案中的文件同名时 , 若现存文件比档案中的文件更新 ,这些文件将不被重写。

如果用修改选项U,则同名的现存的文件将被重写。可能会发生一件很奇怪的事 :如被重写的文件原与另一个文件建了链 ,文件被重写后链并不断开 ,换言之 ,该文件的链将保持 , 因此 ,该文件的所有链实际指向从档案中提取出来的文件 ,运行 cpio无条件地重写现存文件以及改变链的指向。

cpio档案中可含的全路径名或父目录名给出的文件。

返回本章首页


·150·

（ 2 ） su 和 newgrp命令

　 ① su命令 :可不必注销户头而将另一用户又登录进入系统 ,作为另一用户工作。它将启动一新的 shell并将有效和实际的 UID 和 GID 设置给另一用户。因此必须严格将 root口令保密。

　 ②newgrp命令 :与 su 相似 ,用于修改当前所处的组名。

返回本章首页


·151·

（ 3 ） cu命令该命令使用户能从一个 UNIX 系统登录到另一个 UNIX 系统 ,此时 ,在远地系统中注销用户后还必须输入 "~"后回车 ,以断开 cu 和远地系统的联接。 cu还有两个安全问题 : 　　①如本机安全性弱于远地机 ,不提倡用 cu去登录远地机 ,以免由于本地机的不安全而影响较安全的远地机。　　②由于 cu 的老版本处理 "~"的方法不完善 ,从安全性强的系统调用安全性弱的系统时 ,会使弱系统的用户使用强系统用户的 cu 传送强系统的 /etc/passwd文件 ,除非确信正在使用的 cu 是正确版本 , 否则不要调用弱系统。

返回本章首页


·152·

（ 4 ） uucp命令该命令用于两系统间的文件传输，通过 uucp 传送的文件通常保存于 /user/spool/uucppublic/login 目录， login是用户的登录名，该目录的存取许可为 777 ，通过网络传输并存放于此目录属于 uucp 所有，文件存取许可为 666 和777 ，用户应当将通过 uucp 传送的文件加密，尽快移到自己的目录中。

返回本章首页


·153·

为了更好的理解UNIX 系统的网络安全技术，下面主要从文件系统、用户管理等方面来考虑 UNIX 的安全性。 1. 文件系统（ 1 ）文件大部分 UNIX 操作系统更是 POSIX ，允许文件名长度最长达 254 字符。名字区分大小写。 POSIX 是一个高性能的文件，它可以帮助减少文件碎片的数量。（ 2 ）目录

UNIX 系统中所有的文件都是整个文件结构的一部分，该文件结构中包含了一系列相互链接的目录。 UNIX 系统中所有的目录在整个的文件结构中彼此都以层次状的结构相连。

返回本章首页


·154·

（ 3 ）文件属性由于 UNIX 是多用户的操作系统，为保护每个用户的私人文件不受他人非法修改，系统为每个文件和目录都设置了属性。例如，当用户通过命令来列出文件时，会看到：

-rwxr- -r- -lUNIXfree projectl 545 Apr 4 12:19 filel -rwxr- - 表示该文件的属性。第一个 -表示这是一个文件，如果此处是 d表示这是一个目录， l表示连接。紧接着 rwx表示这个文件对文件属主是可读、可写的，并且可执行， r表示可读，w表示可写， x表示可执行。紧接着最后一个 r- - 表示该文件对本组成员的属性，最后一个 r- - 表示对其他用户的属性。本例表示该文件对本组成员和其他用户都是可读而不可写，也不可执行。

返回本章首页


·155·

2. 用户管理（ 1 ）超级用户

在UNIX 系统中有一个名为 root的用户，这个用户在系统中拥有最大的权限，即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。黑客在进行系统后，通常需要获取 root权限。获取 root权限有多种途径，一是利用系统提供的 su命令，这需要首先获取 root的密码；再者就是利用缓冲区溢出非法取得 root权限。

返回本章首页


·156·

（ 2 ） shell Shell是用户和 UNIX 系统内核之间的接口程序。在提示符下输入的每个命令都由 Shell先解释然后传给UNIX 内核。它类似于 DOS下的 command.com 。它接收用户命令，然后调用相应的应用程序。 UNIX 系统每个用户都拥有自己的用户界面，即 Shell。用户可以使它们的 Shell 界面适应于自己的需求。从这个意义上来说，用户界面更像一个用户可以控制的操作环境。

返回本章首页


·157·

4.2.2 UNIX系统安全问题1. 密码安全 UNIX 系统中的 /etc/passwd文件中 UNIX 系统中的 /etc/passwd 文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于 /etc/shadow文件中 )。 /etc/passwd 中包含有用户的登录名 ,经过加密的口令 ,用户号 ,用户组号 ,用户注释 ,用户主目录和用户所用的 shell程式。其中用户号 (UID)和用户组号 (GID)用于 UNIX 系统唯一地标识用户和同组用户及用户的访问权限。 /etc/passwd 中存放的加密的口令用于用户登录时输入的口令经计算后相比较 ,符合则允许登录 ,否则拒绝用户登录。用户可用 passwd命令修改自己的口令 ,不能直接修改 /etc/passwd 中的口令部份。

返回本章首页


·158·

一个好的口令应当至少有 6个字符长 ,不要取用个人信息(如生日 ,名字 , 反向拼写的登录名 ,房间中可见的东西 ), 普通的英语单词也不好 (因为可用字典攻击法 ),口令中最佳有一些非字母 (如数字 ,标点符号 ,控制字符等 ),还要好记一些 ,不能写在纸上或计算机中的文件中 ,选择口令的一个好方法是将两个不相关的词用一个数字或控制字符相连 ,并截断为 8个字符。当然 ,如果你能记住 8位乱码自然更好。

不应使用同一个口令在不同机器中使用 ,特别是在不同级别的用户上使用同一口令 ,会引起全盘崩溃。用户应定期改动口令 ,至少 6个月要改动一次 ,系统管理员能强制用户定期做口令修改。

返回本章首页


·159·

2. 文件许可和目录许可文件属性决定了文件的被访问权限 ,即谁能存取或执行该文件。用 ls -l能列出周详的文件信息 ,如 : -rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了文件许可 ,文件联结数 ,文件所有者名 ,文件相关组名 ,文件长度 ,上次存取日期和文件名。其中文件许可分为四部分 : -:表示文件类型。第一个 rwx:表示文件属主的访问权限。第二个 rwx:表示文件同组用户的访问权限。第三个 rwx:表示其他用户的访问权限。

返回本章首页


·160·

若某种许可被限制则相应的字母换为 -。在许可权限的执行许可位置上 ,可能是其他字母 ,s,S,t,T.s 和 S 可出目前所有者和同组用户许可模式位置上 ,和特别的许可有关 ,后面将要讨论 ,t和 T 可出现在其他用户的许可模式位置上 ,和“粘贴位”有关而和安全无关。小写字母 (x,s,t) 表示执行许可为允许 ,负号或大写字母 (-,S 或 T) 表示执行许可为不允许。改动许可方式可使用 chmod命令 ,并以新许可方式和该文件名为参数。新许可方式以 3位 8 进制数给出 ,r 为 4,w为 2,x为 1 。如 rwxr-xr--为 754 。 chmod也有其他方式的参数可直接对某组参数修改。

文件许可权可用于防止偶然性地重写或删除一个重要文件 (即使是属主自己 )。改动文件的属主和组名可用 chown 和 chgrp, 但修改后原属主和组员就无法修改回来了。

返回本章首页


·161·

在UNIX 系统中 ,目录也是个文件 ,用 ls -l列出时 ,目录文件的属性前面带一个 d,目录许可也类似于文件许可 ,用 ls 列目录要有读许可 ,在目录中增删文件要有写许可 ,进入目录或将该目录作路径分量时要有执行许可 ,故要使用任一个文件 ,必须有该文件及找到该文件的路径上所有目录分量的相应许可。仅当要打开一个文件时 ,文件的许可才开始起作用 ,而 rm,mv只要有目录的搜索和写许可。

umask设置用户文件和目录的文件创建缺省屏蔽值 ,若将此命令放入 .profile文件 ,就可控制该用户后续所建文件的存取许可。umask命令和 chmod命令的作用正好相反 ,他告诉系统在创建文件时不给予什么存取许可。

返回本章首页


·162·

3. 设置用户 ID 和同组用户 ID许可用户 ID许可 (SUID)设置和同组用户 ID许可 (SGID)可给予可执行的目标文件 (只有可执行文件才有意义 )当一个进程执行时就被赋于 4个编号 ,以标识该进程隶属于谁 ,分别为实际和有效的 UID,实际和有效的 GID 。有效的 UID 和 GID 一般和实际的 UID 和 GID 相同 ,有效的 UID 和 GID 用于系统确定该进程对于文件的存取许可。而设置可执行文件的SUID许可将改动上述情况 ,当设置了 SUID 时 ,进程的有效UID 为该可执行文件的所有者的有效 UID,而不是执行该程式的用户的有效 UID,因此 ,由该程式创建的都有和该程式所有者相同的存取许可。这样 ,程式的所有者将可通过程式的控制在有限的范围内向用户发表不允许被公众访问的信息。同样 ,SGID 是设置有效GID 。

返回本章首页


·163·

用 chmod u+s 文件名和 chmod u-s 文件名来设置和取消 SUID 设置。用 chmod g+s 文件名和 chmod g-s 文件名来设置和取消 SGID 设置。当文件设置了 SUID 和 SGID 后 ,chown 和 chgrp命令将全部取消这些许可。 4. 文件加密 crypt命令可提供给用户以加密文件 ,使用一个关键词将标准输入的信息编码为不可读的杂乱字符串 , 送到标准输出设备。再次使用此命令 ,用同一关键词作用于加密后的文件 ,可恢复文件内容。一般来说 ,在文件加密后 ,应删除原始文件 , 只留下加密后的版本 ,且不能忘记加密关键词。在 vi 中一般都有加密功能 ,用 vi -x 命令可编辑加密后的文件。关于加密关键词的选取规则和口令的选取规则相同。由于 crypt程式可能被做成特洛依木马 ,故不宜用口令做为关键词。最佳在加密前用 pack或 compress命令对文件进行压缩后再加密。

返回本章首页


·164·

5. 其它安全问题 (1)特络依木马在UNIX系统安全中 ,用特络依木马来代表一种程式 ,这种程式在

完成某种具有明显意图的功能时 ,还破坏用户的安全。如果PATH设置为先搜索系统目录 ,则受特络依木马的攻击会大大减少。如模似的 crypt程式。 (2)诱骗

类似于特络依木马 ,模似一些东西使用户泄漏一些信息 ,不同的是 ,他由某人执行 ,等待无警觉的用户来上当。如模似的 login 。 (3)计算机病毒

计算机病毒通过把其他程式变成病毒从而传染系统的 ,能迅速地扩散 ,特别是系统管理员的粗心大意 ,作为 root运行。

返回本章首页


·165·

个被感染的程式时。实验表明 ,一个病毒可在一个小时内( 平均少于 30 分钟 )取得 root权限。 (4)要离开自己已登录的终端除非能对终端上锁 ,否则一定要注销户头。

(5) 断开与系统的连接用户应在看到系统确认登录注销后再离开，以免在用户未注销时由其他人潜入。

返回本章首页


·166·

4.3 Linux系统

4.3.1 Linux 系统简介

4.3.2 Linux 系统的网络安全

返回本章首页


·167·

4.3.1 Linux系统简介

Linux是一套免费使用和自由传播的类 Unix操作系统，它主要用于基于 Intel x86 系列 CPU 的计算机上。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的 Unix兼容产品。

Linux最早由芬兰一位名叫 Linus Torvalds 的大学生在 1991 年开发并在 Internet上发布。

返回本章首页


·168·

Linux系统的主要特点开放性：指系统遵循世界标准规范，特别是遵循开放系统互连（ OSI ）国际标准。

多用户：是指系统资源可以被不同用户使用，每个用户对自己的资源（例如：文件、设备）有特定的权限，互不影响。

多任务：它是指计算机同时执行多个程序，而且各个程序的运行互相独立。

良好的用户界面： Linux向用户提供了两种界面：用户界面和系统调用。 Linux还为用户提供了图形用户界面。它利用鼠标、菜单、窗口、滚动条等设施，给用户呈现一个直观、易操作、交互性强的友好的图形化界面。

返回本章首页


·169·

设备独立性：是指操作系统把所有外部设备统一当作成文件来看待，只要安装它们的驱动程序，任何用户都可以象使用文件一样，操纵、使用这些设备，而不必知道它们的具体存在形式。 Linux 是具有设备独立性的操作系统，它的内核具有高度适应能力。

提供了丰富的网络功能：完善的内置网络是 Linux 一大特点。

可靠的安全系统： Linux采取了许多安全技术措施，包括对读、写控制、带保护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户提供了必要的安全保障。

良好的可移植性：是指将操作系统从一个平台转移到另一个平台使它仍然能按其自身的方式运行的能力。 Linux是一种可移植的操作系统，能够在从微型计算机到大型计算机的任何环境中和任何平台上运行。

返回本章首页


·170·

4.3.2 Linux系统的网络安全1. 网络服务　作为一种服务器软件， Linux提供了 FTP 、 WWW 、电子邮件等各种各样的服务。 Linux管理大多数这类服务的方法是通过一个端口体系实现的，例如 FTP 的端口号是21 。如果你有兴趣，可以在 /etc/services 文件找到一个端口号和服务名字的对照清单。为了节约系统资源以及简化系统管理，许多服务都通过配置文件 /etc/inetd.conf控制， /etc/inetd.conf文件告诉系统怎样来运行各个服务。

返回本章首页


·171·

2. 检查系统中运行的服务　　许多开发商在 inetd.conf的默认设置中运行了大量的服务，从尽可能安全的角度来看它们中的许多都应该关闭。在一般的内部网环境下这样的安全性不会产生问题。只要安全性足以防止这类“温和”环境内的意外损害，提供服务就比防范它们更为重要。但是，对于直接和 Internet相连的 Linux机器就不能再抱同样的观点。要检查 Linux系统中当前运行了那些服务，输入命令： netstat –vat，该命令的输出类如：　　

tcp 0 0 *:6000 *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 0 *:auth *:* LISTEN tcp 0 0 *:finger *:* LISTEN tcp 0 0 *:shell *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN

返回本章首页


·172·

每一个带有“ LISTEN” 的行代表一个正在等待连接的服务。这些服务中有一部分以独立程序的形式运行，但其中许多服务都由 /etc/

inetd.conf控制。如果你不能肯定某个服务的具体情况，请查一下 /etc/inetd.conf。如： grep &single； ^finger&single； /etc/inetd.conf 上述命令从 inetd.conf返回如下内容：

finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd 　　

如果你觉得自己并不需要这个服务，则可以在 /etc/inetd.conf中关闭它：首先注释掉该行内容（在行的前面加一个 #），然后执行命令 killall -HUP inetd 。这样就立即关闭了一个服务，系统不需要重新启动。　　

如果某个服务没有在 /etc/inetd.conf内列出，很有可能它是一个独立的程序。独立后台程序提供的服务可以通过反安装软件包删除。注意只有当你能够肯定自己了解该程序的作用，而且确实不再需要它的时候才可执行这个操作。

返回本章首页


·173·

3.允许 / 拒绝服务器 Linux提供了一个允许或禁止它们选择服务器的机制。

4.ssh （安全 Shell）通过检查服务器名字拒绝连接是一种很好的基本攻击防范

方法。但还不够，因为连接请求中的服务器名字可能是伪造的。

为了解决这些难题人们设计出了 ssh 。 Ssh 是一种优秀的连接加密和验证系统。加密是指传输数据时采用密钥加以保护，验证是一种验证数据包或连接是否合法的操作。大多数其他操作系统都有 ssh 客户端。使用 Linux作为服务器可以为所有的网络应用提供 ssl级的安全。

返回本章首页


·174·

5.监视程序和运行日志 Linux为系统管理员了解系统中所发生的事情提供了一组精简的程序。记录事件日志的主要问题在于记录的数据往往太多，设置好过滤条件，只记录关键信息是非常重要的。

6.Jail jail是 Just Another IP Logger 的简称，它由两个后台小程序组成，

及 icmplog 和 tcplog 。 Jail会在 /var/log/syslog 里记录用户想要了解的数据包。 7. 其他用户交互多数标准服务会在 /var/log/syslog 和 /var/log/ messages 中记录有关用户连接或者连接企图的信息。利用 swatch

实现 syslog 文件的自动监测。 Swatch 不断地在 syslog 中扫描系统管理员指定的事件，发现问题自动发出警报。

返回本章首页


·175·

8. 其他安全措施：防火墙计算机中的防火墙是一种保护私有网络不受外界攻击的设备。最简单的防火墙可以是一个带有两个网卡的 Linux机器，其中一个不能直接访问 Internet， Internet也不能直接访问受保护的网络。如何正确配置防火墙是一个及其复杂的问题，除了要安装好机器上的两个网卡之外，还必须使用 ipchains 程序设置过滤条件。

返回本章首页


·176·

作业1.Windows 2000 的安全模型是怎样的？2. 为了加强Windows 2000账户的登录安全性， Windows

2000做了哪些工作（即账户的登录策略）？3.Windows NT/2000/XP 系统的漏洞有哪些？4.怎样对 Windows NT/2000/XP/2003 系统进行安全管理？5.Unix系统有哪些安全漏洞？用什么方法来防范？6. 为什么 Linux系统会成为当前主流的操作系统？7.Linux系统有哪些安全漏洞？用什么方法来防范？

返回本章首页


·177·

第五章密码技术5.1 密码技术概述5.2 传统的加密方法5.3 常用加密技术介绍5.4 加密技术的典型应用—数字签名5.5 密钥管理5.6 加密软件实例— PGP

返回本章首页


·178·

学习目标掌握密码技术的概念，了解传统的加密方法掌握单钥体制（ One-key System ）和公钥体制（ Tw

o-key System ）的工作原理掌握 DES 加密算法和 RSA 加密算法的实现方法掌握数字签名的概念和实现方法掌握 PGP （ Pretty Good Privacy ）软件加密和数字签名的使用方法

返回本章首页


·179·

5.1 密码技术概述

在当今计算机被广泛应用的信息时代，大量数字信息以数字形式存放在计算机系统里，并通过公共信道传输。计算机系统和公共信道在不设防的情况下是很脆弱的，面临着很大的安全问题，即如何保证信息的保密性、完整性、不可抵赖性，解决这些安全问题的基础是现代密码学。

1. 密码学简介

密码学（ Cryptology）以研究秘密通信为目的，是密码编码学和密码分析学的统称。前者是研究把信息（明文）变成没有密钥不能解密或者很难解密的密文的技术；后者是研究分析破译密码，从密文推演出明文或密钥的技术。

返回本章首页


·180·

2. 数据加密的概念

用户在网络上相互通信，其数据安全的威胁主要是非法窃听。非法用户或黑客通过搭线窃听截取有线线路上传输的信息，或采用电磁窃听截取无线传输的信息等等。因此，对网络传输的信息进行数据加密，然后在网络信道上传输密文，这样，即使中途被截获，也无从理解信息内容，进而可以避免信息失密。

密码技术是实现计算机系统信息安全的核心技术。通过加密将可读的信息变换成不可理解的乱码，从而起到保护信息的作用；密码技术还能够提供完整性检验，即提供一种当某些信息被修改时可被用户检验出的机制；基于密码体制的数字签名具有抗抵赖功能，可使人们遵守数字领域的承诺。

返回本章首页


·181·

数据加密是指将信息（明文）经过密钥及加密函数转换，变成无意义的密文，而接收者将此密文经过解密函数、解密密钥还原成原始数据的过程。它通过对信息的重新组合，使得只有收发双方才能解码还原信息，因此，加密实质上就是对信息进行一组可逆的数学变换。比较明确的数据加密的概念是：数据加密是指将明文信息采取数学方法进行函数转换成为密文，只有特定的接收方才能将其解密还原成为明文的过程。

返回本章首页


·182·

原始未经变换的信息称之为明文 (M) 。为了保护明文，将其通过一定的方法转换成使人难以识别的一

种编码，即密文 (C) 。这个变换处理的过程称为加密。密文可以经过相应的逆变换还原成原文，这个变换处理的过程称为解密。

对信息进行加密和解密通常是在原文和密文上增加或除去一些附加信息，这些附加信息就是密钥 (K) 。

加密的时候使用一项数据把明文转换成密文，该数据就是加密密钥。

解密的时候使用一项数据把密文转换成明文，该数据就是解密密钥。

相关概念

返回本章首页


·183·

如果把加密的变换处理过程抽象成数学函数，这个函数就是加密算法 (E) 。

数据加密就是通过某种函数进行变换，把正常的数据报文（称为明文或明码）转换为密文（也称密码）。

密钥是密码方案中最关键的一项数据。密钥的位数决定着加密系统的安全性，密钥越长，破解密钥需要的计算时间越长，因此也就越安全。

密码体系 = 加密 / 解密算法 + 密钥为了进行加密变换，需要密钥（ Cipher ）和算法（ Algorithm ）两个要素。进行解密，也需要此两个要素。为了提高加密强度，一是要设计安全性好的加密算法，二是要尽量提高密钥的长度（因为利用现代计算机技术可以用穷举法，穷举出密钥，加长密钥可以增加穷举的时间）。

返回本章首页


·184·

为了安全，在实际中可以采用两种不同的策略：一种称为受限制的算法。受限制的算法就是基于算法保密的安全策略。这种策略曾经被使用，但是在现代密码学中，已经不再使用。原因如下：

算法是要人掌握的。一旦人员变动，就要更换算法。算法的开发是非常复杂的。一旦算法泄密，重新开发需要

一定的时间。不便于标准化：由于每个用户单位必须有自己唯一的加密

算法，不可能采用统一的硬件和软件产品。否则偷窃者就可以在这些硬件和软件的基础上进行猜测式开发。

返回本章首页


·185·

不便于质量控制：用户自己开发算法，需要好的密码专家，否则对安全性难于保障。

因此，现代密码学都采用基于密钥保护的密码安全策略。就是：将加密算法标准化（可以公开），只保护密钥。这样便于标准化和质量控制（可以由高水平的专家开发算法）；一个密钥泄密，只要换一个便可。

不论截取者获得了多少密文，但在密文中没有足够的信息来唯一确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上不可破的。在无代价限制的条件下，目前几乎所有使用的密码体制都是可破的。如果一个密码体制的密码不能被可以使用的计算资源所破译，则这一密码体制称为在计算上是安全的。

返回本章首页


·186·

5.2 传统的加密技术介绍5.2.1 替换密码

5.2.2 变位密码

5.2.3 一次性加密

返回本章首页


·187·

5.2.1 替换密码明文中的每个字母或每组字母被替换成另一个或一组字母，

同时保持明文字母的位置不变。最古老的一种替换密码是凯撒密码，通过将字母按顺序推后起 3位起到加密作用，如将字母 A换作字母 D ，将字母 B换作字母 E 。将凯撤加密法稍加通用化，即允许加密码字母不仅移动 3个字母，而且可移动 k个字母。在这种情况下， k 成了循环移动字母方法的密钥。

另一种改进办法是把明文中的字符换成另一字符，如将 26个字母中的每一个字母都映射成另一个字母。例如：明文： a b c d e f g h i j k l m n o p q r s t u v w x y z 密文： Q W E R T Y U I O P A S D F G H J K L Z X C V B N M　　这种方法称之为单字母表替换，其密钥是对应于整个字每表的 26 字母串。按此例中的密钥， attack加密后成为 QZZQEA。

返回本章首页


·188·

5.2.2 变位密码变位加密不隐藏明文的字符，即明文的字母保持相同，但其

顺序被打乱重新排列成另一种不同的格式，由于密文字符与明文字符相同，密文中字母的出现频率与明文中字母的出现频率相同，密码分析者可以很容易地由此进行判别。虽然许多现代密码也使用换位，但由于它对存储要求很大，有时还要求消息为某个特定的长度，因而比较少用。以下介绍几种常见的变位加密算法。　　 1 ）简单变位加密。预先约定好一组数字表示密钥，将文字依次写在密钥下，再按数字次序重新组织文字实现加密，也有人喜欢将明文逆序输出作为密文。例如　　　　密钥： 5 2 4 1 6 3 ( 密文排列次序 ) 　　　　明文：信息安全技术　　　　密文：全息术安信技

返回本章首页


·189·

2)列变位法将明文字符分割成个数固定的分组（如 5个一组， 5 即为

密钥！），按一组一行的次序整齐排列，最后不足一组用任意字符填充，完成后按列读取即成密文。如明文是： InformationSecurityTechnology ，则分组排列为：　　　　 I n f o r 　　　　m a t i o 　　　　 n S e c u 　　　　 r i t y T 　　　　 e c h n o 　　　　 l o g y 则密文是： ImnrelnaSicoftethgoicynyrouTo ,这里的密钥是数字 5 。解密过程则是按列排列密文，再按行读取即可。

返回本章首页


·190·

3)矩阵变位加密将明文中的字母按给定的顺序安排在一个矩阵中，然后用另一种顺序选出矩阵的字母来产生密文。一般为按列变换次序，如原列次序为 1234 ，现为 2413 。如将明文 Network Security 按行排列在 3×6矩阵中，如下所示：　　　　 1 2 3 4 5 6 　　　　 N e t w o r 　　　　 k S e c u 　　　　 r i t y

给定一个置换，根据给定的次序，按 5 、 2 、 6 、 4 、 1 、 3 的列序重新排列，得到：　　　　 5 2 6 4 1 3 　　　　 o e r w N t 　　　　 c u e k S 　　 I y r t

所以，密文为： oerwNtc uekS i yrt 。解密过程正好相反，按序排列密文后，通过列置换再按行读取数据即可。

返回本章首页


·191·

5.2.3 一次性加密如要既保持代码加密的可靠性，又要保持替换加密器的灵活性，可采用一次性密码进行加密。在加密时，密码本的每个数字用来表示对报文中的字母循环移位的次数，或者用来和报文中的字母进行按位异或计算，以加密报文。在解密时，持有密码本的接收方，可以将密文的字母反向循环移位，或对密文的每个字母再次作异或计算，以恢复明文。这利用了数论中的“异或”性质，即： (P^C)^C＝ P 。这是因为 (P^C)^C＝ P^(C^ C)＝ P^ 0＝ P 的缘故。下表就是一个使用按位异或进行加密和解密的实例：

返回本章首页


·192·

明文 101101011011 密文 110111110010

密码 011010101001 密码 011010101001

密文 110111110010 明文 101101011011

一次一密乱码本，不言而喻只能使用一次。在这里，“一次”有两个含义：①密码本不能重复用来加密不同的报文；②密码本至少不小于明文长度。即不得重复用来加密明文的不同部分。满足了这两个性质的一次一密乱码本，是目前唯一能够从数学上证明安全的加密方法。其它任何加密算法或装置，不论它们被认为有多么可靠，都无法从数学上证明其正确性。

返回本章首页


·193·

5.3 加密技术介绍

5.3.1 DES 算法

5.3.2 IDEA 算法

5.3.3 RSA 算法

返回本章首页


·194·

如果以密钥为标准，可将密码系统分为单钥密码（又称为对称密码或私钥密码）体系和双钥密码（又称为非对称密码或公钥密码）体系。

单钥体制的加密密钥和解密密钥相同，也称对称加密体制。这种情况下，密钥就经过安全的密钥信道由发方传给收方。

公钥密码体制，指对信息加密和解密所使用的密钥是不同的。这种方法为每个用户分配两个密钥，一个称为公钥，另一个称为私钥，它们是一组互补的密钥对，公钥无需保密，而私钥只掌握在用户个人手中。

5.3.1 DES 算法1. 密钥体系体制分类

返回本章首页


·195·

2.2. 对称加密过程对称加密过程发送方用自己的私有密钥对要发送的信息进行加密发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方发送方将加密后的信息通过网络传送给接收方接收方用发送方进行加密的那把私有密钥对接收到接收方用发送方进行加密的那把私有密钥对接收到

的加密信息进行解密，得到信息明文的加密信息进行解密，得到信息明文

密文明文

发送方

Internet密文

密钥发送方 (= 密钥接收方)

加密

明文

接收方

密钥接收方

解密

图 5-1 对称加密过程

返回本章首页


·196·

3.分组密码体制分组密码工作方式

分组密码的一个重要优点是不需要同步，因而在分组交换网中应用广泛。分组密码中最有名的就是美国的数据加密标准 DES 。

图 5-2 分组密码工作方式

返回本章首页


·197·

数据加密算法（ Data Encryption Algorithm ， DEA ）的数据加密标准（ Data Encryption Standard ， DES ）是规范的描述，它出自 IBM 的研究工作，于 1976 年 11 月被美国政府采用， DES随后被美国国家标准局和美国国家标准协会 (American National Standard Institute ， ANSI) 承认。 1977 年 1 月以数据加密标准 DES （ Data Encryption Standard ）的名称正式向社会公布。它很可能是使用最广泛的秘钥系统，特别是在保护金融数据的安全中，最初开发的 DES 是嵌入硬件中的。通常，自动取款机（ Automated Teller Machine ， ATM ）都使用 DES 。

数据加密标准（ DES ）是到目前为止最有名的加密算法。

4.DES 算法

返回本章首页


·198·

DES加密过程 DES 是一种密码块加密方法，采用了 64位长度的数据块和 56位长度的密钥。

DES 算法把 64位的明文输入块变为64位的密文输出块，首先， DES把输入的 64位数据块按位重新组合，并把输出分为 L0 、 R0 两部分，每部分各长 32位，并进行前后置换（输入的第 58位换到第一位，第 50位换到第 2位，依此类推，最后一位是原来的第 7位），最终由 L0 输出左 32位， R0 输出右 32位，根据这个法则经过 16次迭代运算后，得到L16 、 R16 ，将此作为输入，进行与初始置换相反的逆置换，即得到密文输出。

图 5-3 DES 加密过程

返回本章首页


·199·

(1)DES(1)：初始置换

58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7

DES 算法的初始置换初始置换表 IP

(1) 假设明文M(64位 ) = 0123456789ABCDEF，即M(64位 ) = 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111L(32位 ) = 0000 0001 0010 0011 0100 0101 0110 0111R(32位 ) = 1000 1001 1010 1011 1100 1101 1110 1111

返回本章首页


·200·

密钥K(64位 ) = 133457799BBCDFF1 ，即K(64位 ) = 00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001

其中红色标注为奇偶校验位，即实际密钥为 56位。

图 5-4 子密钥生成

(2)DES(2)：子密钥生成

返回本章首页


·201·

① 生成 16个子钥 (48位 ) 对 K使用 PC-1(8×7)

57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4

由K(64位 ) = 00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001 得到 K+(56位 ) = 1111000 0110011 0010101 0101111 0101010 1011001 1001111 0001111C0(28位 ) = 1111000 0110011 0010101 0101111 D0(28位 ) = 0101010 1011001 1001111 0001111

返回本章首页


·202·

②C1 和 D1 分别为 C0 和 D0左移 1位。… C3 和 D3 分别为C2 和 D2左移 2位 …得到 C1D1 ～ C16D16 ：C1 = 1110000110011001010101011111D1 = 1010101011001100111100011110 C2 = 1100001100110010101010111111D2 = 0101010110011001111000111101 C3 = 0000110011001010101011111111D3 = 0101011001100111100011110101 C4 = 0011001100101010101111111100D4 = 0101100110011110001111010101 ……C15 = 1111100001100110010101010111D15 = 1010101010110011001111000111 C16 = 1111000011001100101010101111D16 = 0101010101100110011110001111

返回本章首页


·203·

③最终得到所有 16个子钥，每个 48位：

K1 = 000110 110000 001011 101111 111111 000111 000001 110010 K2 = 011110 011010 111011 011001 110110 111100 100111 100101K3 = 010101 011111 110010 001010 010000 101100 111110 011001K4 = 011100 101010 110111 010110 110110 110011 010100 011101K5 = 011111 001110 110000 000111 111010 110101 001110 101000K6 = 011000 111010 010100 111110 010100 000111 101100 101111K7 = 111011 001000 010010 110111 111101 100001 100010 111100K8 = 111101 111000 101000 111010 110000 010011 101111 111011K9 = 111000 001101 101111 101011 111011 011110 011110 000001K10 = 101100 011111 001101 000111 101110 100100 011001 001111K11 = 001000 010101 111111 010011 110111 101101 001110 000110K12 = 011101 010111 000111 110101 100101 000110 011111 101001K13 = 100101 111100 010111 010001 111110 101011 101001 000001K14 = 010111 110100 001110 110111 111100 101110 011100 111010K15 = 101111 111001 000110 001101 001111 010011 111100 001010K16 = 110010 110011 110110 001011 000011 100001 011111 110101

PC-2(8×6) 　14　17　11　24　1　　5　3　　28　15　　6　21　10　23　19　12　　4　26　8　16　7　　27　20　13　2　41　52　31　37　47　55　30　40　51　45　33　48　44　49　39　56　34　53　46　42　50　36　29　32

返回本章首页


·204·

④ 用子钥对 64位数据加密对明文M使用 IP(8×8) 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7

由于M(64位 ) =0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111对M运用 IP ， IP(64位 ) = 1100 1100 0000 0000 1100 1100 1111 1111 1111 0000 1010 1010 1111 0000 1010 1010

返回本章首页


·205·

IP(64位 ) = L0(32位 ) + R0(32位 )L0 (32位 ) = 1100 1100 0000 0000 1100 1100 1111 1111 R0 (32位 ) = 1111 0000 1010 1010 1111 0000 1010 1010 从 L0 和 R0 开始，循环 16次，得出 L1R1 到 L16R16 ，依据递推公式：

Ln = R(n-1) Rn = L(n-1) + f (R(n-1),Kn)

其中除了 Kn 为 48位，其他变量及函数均为 32位。其中 +号表示异或 XOR运算，函数 f 从一个 32位的数

据块 R(n-1)和一个 48位子钥Kn得到一个新的 32位数据块。（算法从略）

返回本章首页


·206·

到此为止，我们得到了 16 对 32位的数据块，即 L1R1, L2R2, L3R3, …, L16R16 ，最后一对 L16R16 就是我们需要的。

④继续对 R16L16(64位 ) 运用一次重排列：IP-1(8×8)

40 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 42 10 50 18 58 2633 1 41 9 49 17 57 25

返回本章首页


·207·

L16(32位 ) = 0100 0011 0100 0010 0011 0010 0011 0100 R16(32位 ) = 0000 1010 0100 1100 1101 1001 1001 0101 R16L16(64位 ) = 00001010 01001100 11011001 10010101 01000011 01000010 00110010 00110100

对 R16L16 运用 IP-1 ，得IP-1(64位 ) = 10000101 11101000 00010011 01010100 00001111 00001010 10110100 00000101 = 85E813540F0AB405

从而，经过以上步骤，最终从明文M = 0123456789ABCDEF得到密文C = IP-1 = 85E813540F0AB405

以上为加密过程，要解密，依次反向计算即可。

返回本章首页


·208·

DES 是一种世界公认的较好的加密算法。自它问世 2

0多年来，成为密码界研究的重点，经受住了许多科学家的研究和破译，在民用密码领域得到了广泛的应用。它曾为全球贸易、金融等非官方部门提供了可靠的通信安全保障。但是任何加密算法都不可能是十全十美的。它的缺点是密钥太短（ 56位），影响了它的保密强度。此外，由于 DES 算法完全公开，其安全性完全依赖于对密钥的保护，必须有可靠的信道来分发密钥。如采用信使递送密钥等。因此，它不适合在网络环境下单独使用。

返回本章首页


·209·

5.对称加密体制的优缺点优点：加密速度快 , 保密度高。缺点：

1 ）密钥分配问题通信双方要进行加密通信，需要通过秘密的安全信道协商加密密钥，而这种安全信道可能很难实现；

2 ）密钥管理问题在有多个用户的网络中，任何两个用户之间都需要有共享的秘密钥，当网络中的用户 n 很大时，需要管理的密钥数目是非常大 2/)1( nn 。

3 ）没有签名功能：当主体 A 收到主体 B 的电子文挡（电子数据）时，无法向第三方证明此电子文档确实来源于 B 。

①

②

③

返回本章首页


·210·

5.3.2 IDEA 算法IDEA 是一个迭代分组密码，分组长度为 64比特，密钥长

度为 128比特。这种算法是在 DES 算法的基础上发展出来的，类似于三重 DES ，和 DES 一样 IDEA也是属于对称密钥算法。 IDEA 的软件实现速度与 DES差不多。但硬件实现速度要比 DES快得多，快将近 10倍。 64位数据分组被分成 4个 16- 位子分组： xl， X2 ， x3 ， x4 。这 4个子分组成为算法的第一轮的输入，总共有 8轮。在每一轮中，这 4个子分组相列相异或，相加，相乘，且与 6个 16- 位子密钥相异或，相加，相乘。在轮与轮间，第二和第：个子分组交换。最后在输出变换中 4个子分组与 4个子密钥进行运算。

返回本章首页


·211·

1976 年，美国学者 Diffie 和 Hellman 发表了著名论文《密码学的新方向》，提出了建立“公开密钥密码体制”：若用户 A 有加密密钥 ka （公开），不同于解秘密钥 ka’ （保密），要求 ka 的公开不影响 ka’ 的安全。若 B 要向 A 保密送去明文 m, 可查 A 的公开密钥 ka ，若用 ka 加密得密文 c ， A

收到 c 后，用只有 A 自己才掌握的解密密钥 ka’ 对 x 进行解密得到 m 。

5.3.3 RSA 算法

返回本章首页


·212·

11.. 公钥加密模式公钥加密模式发送方用接收方公开密钥对要发送的信息进行加密发送方用接收方公开密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方发送方将加密后的信息通过网络传送给接收方接收方用自己的私有密钥对接收到的加密信息进行接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文解密，得到信息明文

发送方

明文密文密文

公开密钥接收方

明文

接收方

私有密钥接收方

Internet

图 5-5 公钥加密模式

返回本章首页


·213·

2.2. 验证模式验证模式发送方用自己的私有密钥对要发送的信息进行加密发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方发送方将加密后的信息通过网络传送给接收方接收方用发送方公开密钥对接收到的加密信息进行接收方用发送方公开密钥对接收到的加密信息进行解密，得到信息明文解密，得到信息明文

发送方

明文密文密文

私有密钥发送方

明文

接收方

公开密钥放送方

Internet

图 5-6 验证模式

返回本章首页


·214·

3. 加密与验证模式的结合保障信息机密性 & 验证发送方的身份使用过程：

发送方

明文

两次加密的密文

两次加密的密文

公开密钥接收方

明文

接收方

私有密钥接收方

Internet

私有密钥发送方

公开密钥放送方

图 5-7 非对称加密和验证模式

返回本章首页


·215·

我们向朋友传送加密数据，希望只有朋友可以解密，这样的话，需要首先获取朋友的密钥对中公开的那一个密钥。然后用这个密钥进行加密，这样密文只有朋友可以解密，因为对应的私钥只有朋友拥有。

我们向朋友传送一段数据附加我的数字签名，需要对数据进行运算以取得数据的“指纹”，再对“指纹”进行加密，加密将使用自己的密钥对中的不公开的私钥。朋友收到数据后，用同样的运算获得数据指纹，再用我的公钥对加密指纹进行解密，比较解密结果与他自己计算出来的指纹是否一致，即可确定数据是否的确是我发送的、以及在传输过程中是否被篡改。

返回本章首页


·216·

4. 两种加密方法的联合使用

Internet

发送方

对称加密

明文密文

发送方私有密钥

接收方


接收方私有密钥

加密后的密钥

密文

加密后的密钥

+

加密后的密钥

接收方公开密钥


对称解密

密文明文


不对称解密

不对称加密图 5-8 混合加密模式

返回本章首页


·217·

5.RSA加密体制 1977年由美国麻省理工学院的三位教授 Ronald　Rivest、 Adi　

Shamir、 Leonard　Adleman　联合发明。

RSA算法是第一个能同时用于加密和数字签名的算法在非对称密钥加密方法中，最典型的算法是 RSA。 RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。 RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。

返回本章首页


·218·

这种算法为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对 RSA 密钥，其中之一是保密密钥，由用户保存；另一个为公开密钥，可对外公开，甚至可在网络服务器中注册。为提高保密强度， RSA 密钥至少为 500位长，一般推荐使用 1024位。这就使加密的计算量很大。为减少计算量，在传送信息时，常采用传统加密方法与公开密钥加密方法相结合的方式，即信息采用改进的 DES 对话密钥加密，然后使用 RSA 密钥加密对话密钥和信息摘要。对方收到信息后，用不同的密钥解密并可核对信息摘要。

返回本章首页


·219·

RSA 的安全性依赖于大数分解。公钥和私钥都是两个大素数（大于 100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。用户选择两个足够大的互异的素数 p 和 q ：

　　计算 n = p * q 和 z = （ p-1 ） * （ q-1 ）；　　选择一个与 z互质的数，令其为 d；　　找到一个 e 使满足 e * d = 1 （ mod z ）；　　密文 C=Me （ modN ）　对于这种体制，只有（ e ， n ）是出现在公开手册上的公开密钥

（即 PK ）。（ d ， n ）则是需要用户保密的私人密钥（即 SK ）。RSA 算法的保密性在于难以对大数提取因子，因此当 n足够大时，目前情况下对 n 进行因数分解是无法实现的。

（ 1 ） RSA算法理论基础

返回本章首页


·220·

在 RSA 体制中，设 P=43 ， q=59 ，公钥 e=13 ，求私钥 d；如果 m=1520, 求 m 对应的密文。

解： p=43,q=59, e=13 m=1520

n=p*q=43*59=2537 z=(p-1)(q-1)=(43-1)(59-1)=2436

因为 e*d=1(mod z) 所以 d=937 因为 m=1520

所以密文 C= 152013 （ mod 2537 ） =95

返回本章首页


·221·

（ 2 ） RSA优缺点

①RSA 可以用硬件和软件实现：硬件实现 RSA 时， RSA比 DES慢大约 100倍。软件实现时， DES 大约比 RSA快 100倍。

②RSA 的安全强度 RSA 的安全性依赖于大数的因子分解。 RSA 算法之所以具有一定的安全性，是基于数论中的一个事实：即将两个大的质数合成一个大数很容易，而相反过程则非常困难。 RSA 算法的保密强度，随其密钥的长度增加而增强。但是，密钥越长，其加解密所耗的时间也越长。

返回本章首页


·222·

③RSA 在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装 (Blind) ，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。

④RSA并不能替代DES ，它们的优缺点正好互补。 RSA的密钥很长，加密速度慢，而采用 DES ，正好弥补了RSA的缺点。即DES 用于明文加密， RSA用于 DES 密钥的加密。由于 DES 加密速度快，适合加密较长的报文；而RSA可解决 DES 密钥分配的问题。

返回本章首页


·223·

6.对称密码技术和非对称密码技术的比较

对称密码技术非对称密码技术

密码个数 1个 2个

算法速度较快较慢

算法对称性对称，解密密钥可以从加密密钥中推算出来

不对称，解密密钥不能从加密密钥中推算出来

主要应用领域数据的加密和解密对数据进行数字签名、确认、鉴定、密钥管理和数字封装等

表 5-1 对称密码技术和非对称密码技术的比较

返回本章首页


·224·

5.4 加密技术的典型应用—数字签名

5.4.1 数字签名的概念

5.4.2 数字签名的实现方法

5.4.3 数字签名的其他问题

返回本章首页


·225·

5.4.1 数字签名的概念数字签名技术是实现交易安全的核心技术之一，它的实现基础

就是加密技术。数字签名能够实现电子文档的辨认和验证。数字签名是传统文

件手写签名的模拟，能够实现用户对电子形式存放消息的认证。数字签名在 ISO7498-2 标准中定义为： "附加在数据单元上的

一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造 " 。美国电子签名标准（ DSS ， FIPS186-2 ）对数字签名作了如下解释： "利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性 " 。

返回本章首页


·226·

1. 数字签名与手书签名的区别

手写签名 ( 包括盖章 ) 是模拟的，因人而异，即使同一个人也有细微差别，比较容易伪造，要区别是否是伪造，往往需要特殊专家。而数字签名是 0 和 1 的数字串，极难伪造，要区别是否为伪造，不需专家。对不同的信息摘要，即使是同一人，其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。

数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成传统上手书签名盖章的作用，以表示确认、负责、经手等。

返回本章首页


·227·

2. 数字签名的必要性

商业中的契约、合同文件、公司指令和条约，以及商务书信等，传统采用手书签名或印章，以便在法律上能认证、核准、生效。传统手书签名仪式要专门预定日期时间，契约各方到指定地点共同签署一个合同文件，短时间的签名工作量需要很长时间的前期准备工作。由于某个人不在要签署文件的当地，于是要等待、再等待。这种状况对于管理者，是延误时机：对于合作伙伴，是丢失商机：对于政府机关，是办事效率低下。

返回本章首页


·228·

电子商务的发展大大地加快了商务的流程，已经不能容忍这种“慢条斯理”的传统手书签名方式。在电子商务时代，为了使商、贸、政府机构和直接消费者各方交流商务信息更快、更准确和更便于自动化处理，各种凭证、文件、契约、合同、指令、条约、书信、订单、企业内部 ( 分散在各地 ) 的管理等必须实现网络化的传递。保障传递文件的机密性应使用加密技术，保障其完整性则用信息摘要技术，而保障认证性和不可否认性则应使用数字签名技术。数字签名可做到高效而快速的响应，任一时刻，在地球任何地方——只要有 Internet ，就可完成签署工作。数字签名除了可用于电子商务中的签署外，还可用于电子办公、电子转账及电子邮递等系统。

返回本章首页


·229·

类似于手书签名，数字签名也应满足以下要求； (1) 接收方 B 能够确认或证实发送方 A 的签名，但不能由 B

或第三方 C伪造； (2) 发送方 A 发出签名的消息给接收方 B 后， A 就不能再否认自己所签发的消息；

(3) 接收方 B 对已收到的签名消息不能否认，即有收报认证； (4) 第三者 C 可以确认收发双方之间的消息传送，但不能伪造这一过程。

这样数字签名（ Digital Signature ）就可用来防止电子信息因被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。

返回本章首页


·230·

5.4.2 数字签名的实现方法基于公钥密码体制和私钥密码体制都可以获得数字签名 ,目前主要是基于公钥密码体制的数字签名。

1. 使用对称密钥密码算法进行数字签名使用分组密码算法数字签名通用的加密标准有： DES ，

Tripl－ DES,RC2,RC4,CAST 等。其签名和验证过程为：利用一组长度是报文的比特数

（ n ）两倍的密钥 A ，来产生对签名的验证信息，即随机选择 2n个数 B ，由签名密钥对这 2n个数 B 进行一次加密交换，得到另一组 2n个数 C 。发送方从报文分组 M 的第一位开始，依次检查 M 的第 I位，若为 0 时，取密钥 A 的第 i位，若为 1 则取密钥A 的第 i+1位；直至报文全部检查完毕。所选取的 n个密钥位形成了最后的签名。

返回本章首页


·231·

接受方对签名进行验证时，也是首先从第一位开始依次检查报文 M ，如果 M 的第 i位为 0 时，它就认为签名中的第 i 组信息是密钥 A 的第 i位，若为 1 则为密钥 A 的第 i+1位；直至报文全部验证完毕后，就得到了 n个密钥，由于接受方具有发送方的验证信息 C ，所以可以利用得到的 n个密钥检验验证信息，从而确认报文是否是由发送方所发送。

这种方法由于它是逐位进行签名的，只有有一位被改动过，接受方就得不到正确的数字签名，因此其安全性较好，其缺点是：签名太长（对报文先进行压缩再签名，可以减少签名的长度）；签名密钥及相应的验证信息不能重复使用，否则极不安全。

基于公钥密码体制和私钥密码体制都可以获得数字签名 ,目前主要是基于公钥密码体制的数字签名。

返回本章首页


·232·

2. 使用报文摘要算法进行数字签名数字签名的算法很多 , 应用最为广泛的三种是 : Hash

签名、 DSS 签名、 RSA 签名。这三种算法可单独使用，也可综合在一起使用。

（ 1 ）被发送文件用 Hash编码加密产生 128bit 的数字摘要。（ 2 ）发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

（ 3 ）将原文和加密的摘要同时传给对方。（ 4 ）对方用发送方的公共密钥对摘要解密，同时对收到的文件用 Ha

sh 算法加密产生又一摘要。（ 5 ）将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

返回本章首页


·233·

图 5-9 基于报文摘要的数字签名工作原理

数字签名方案一般包括三个过程：

系统的初始化过程、签名产生过程和签名验证过程。

返回本章首页


·234·

（ 1 ）设计密钥：先选取两个互素的大素数 P和 Q ，令 N=P×Q ， z=(P-1) ×(Q-1) ，接着寻求加密密钥 e ，使 e满足（ e, z） =1 ，另外，再寻找解密密钥 d ，使其满足 e×d=1(mod z) 。这里的（ N,e ）就是公开的加密密钥。（ N， d ）就是私钥。

（ 2 ）设计签名：对消息 M 进行签名，其签名过程是：S=Sig（M） =Md (mod N)

（ 3 ）验证签名：对 S 按下式进行验证： M’=Se (mod N) ，如果 M=M’ ，则签名为真显然，对于只有签名者知道 d ，由 RSA 体制知，其他人不能伪造签名．但容易证实所给任意消息（ M， S ）对是否是消息 M 和相应的签名所构成的合法对。 RSA 体制的安全性依赖于 n=pq 分解的困难性。

3.RSA数字签名算法

返回本章首页


·235·

RSA 签名实例（ 1 ）若 Bob 选择了 p=11和 q＝ 13

（ 2 ）那么， n=11 × 13=143, z=10×12＝ 120

（ 3 ）再选取一个与 z=120互质的数 ,例如 e=7

（ 4 ）找到一个值 d=103满足 e×d=1 mod z （ 7×103=721 除以 120

余 1 ）（ 5 ）（ 143,7 ）为公钥，（ 143， 103 ）为私钥。（ 6） Bob 在一个目录中公开公钥： n=143和 e=7

（ 7 ）现假设 Bob想发送消息 85给 Alice ，他用自己的密钥（ d=10

3 ）进行签名： 85103(mod 143)=6 ，于是发送消息 85 和签名 6给 Alice

（ 8 ）当 Alice 接收到消息 85 和签名 6 时，用 Bob公开的公钥（ e＝7 ）进行验证： 67（mod 143)=85 ，跟 Bob 发送的消息一致，于是确定该消息是由 Bob 所发送，且没有被修改。

返回本章首页


·236·

5.4.3 数字签名的其他问题 1. 数字签名的保密性

数字签名的保密性很大程度上依赖于公开密钥。通常一个用户拥有两个密钥对一一一个密钥对用来对数字签名进行加密解密，一个密钥对用来对秘密密钥进行加密解密。这种方式提供了更高的安全性。

2. 数字签名的不足（ 1 ）数字签名急需相关法律条文的支持。（ 2 ）如果发送方的信息已经进行了数字签名，那么接收方就一定要有数字签名软件。

（ 3 ）假设某人发送信息后，被取消了原有的数字签名权限，以往发送的数字签名在鉴定时只能在取消确认列表中找到原有确认信息，这需要鉴定中心结合时间信息进行鉴定。

返回本章首页


·237·

3. 数字签名的发展方向（ 1 ）基于大整数因子分解难题的 RSA 算法和基于椭圆曲线上离散对数计算难题的 ECC 算法。所以基于 RSA 算法的数字签名还有一定的发展。（ 2 ）加密、生成和验证数字签名的工具将不断完善，会建立广泛的协作机制来支持数字签名。今后，与数字签名有关的复杂认证能力将像现在要用环境中的密码保护一样，直接做到操作系统环境、信息传递系统及 Internet 防火墙中。（ 3 ）数字签名涉及到的关键技术很多，有很多新协议，如网上交易安全协议 SSL 、 SET协议都会涉及到数字签名。

返回本章首页


·238·

5.5 密钥管理

所有的密码技术都依赖于密钥。

密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。

密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。

返回本章首页


·239·

1. 对称密钥的管理对称加密是基于共同保密来实现的。采用对称加密技术的通信双方必须来保证采用的是相同的密钥，要保证彼此的密钥是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。

对称密钥的管理可以通过用公开密钥对每次为交换信息生成唯一的一把对称密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息一起发送给接收方。2.公开密钥的管理通信双方可以使用数字证书来交换公开密钥。目前数字证书的格式普遍采用的是 X.509 V3 国际标准，内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。

返回本章首页


·240·

基本数字证书格式

图 5-10 数字证书格式

返回本章首页


·241·

5.6 加密软件实例—— PGP

5.6.1 PGP5.6.1 PGP 简介简介

5.6.2 PGP5.6.2 PGP 的使用的使用

返回本章首页


·242·

5.6.1 5.6.1 PGPPGP 简介简介 PGP 的发明者 Phil Zimmermann 的创造性在于他把 RSA公钥体系的方便和传统加密体系的高度结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。

1.PGP 特点：（ 1 ）源代码是免费的，可以消减系统预算（ 2 ）加密速度快（ 3 ）可移植性出色

返回本章首页


·243·

PGP 程序和文档在 Internet 上公开 , 由于其免费 ,可用于多平台 , 使用生命力和安全性都为公众认可的算法等等的特点 , 使 PGP 在全世界范围内，各个领域都有广泛的应用，根据《财富》的排名，十大商业银行中 90% ，十大制药企业中８０％，十大健康机构中的８０％，十大能源机构中７０％，前１５位宇航及防御系统相关企业中７３％，前２０位电信公司的７５％，前２０位汽车相关制造企业中７０％，都在使用 PGP 进行电子邮件及其它重要数据的加密。

返回本章首页


·244·

2.PGP的加密算法构成：

一个私钥加密算法（ IDEA ）一个公钥加密算法（ RSA ）一个单向散列算法（ MD5 ）一个随机数产生器

过程： PGP 是以一个随机生成密钥（每次加密不同）由 IDEA

算法对明文加密，然后用 RSA 算法对该密钥加密。这样收件人同样是用 RSA 解密出这个随机密钥，再用 IDEA解密邮件本身。

返回本章首页


·245·

3.PGP3.PGP的功能的功能：：(1) 加密文件(2) 密钥生成(3) 密钥管理(4) 收发电子函件(5) 数字签名(6)认证密钥

返回本章首页


·246·

5.6.2 PGP 的使用1. 安装

解开压缩包，运行安装文件，系统自动进入安装向导，如图所示：

图 5-11 PGP 安装过程图 5-12 输入私钥保护口令

返回本章首页


·247·

2. 生成密钥使用 PGP 之前，需要生成一对密钥：一个公钥，一个私钥。

图 5-13 创建密钥对图 5-14 生成密钥对

返回本章首页


·248·

3. 加密、解密（ 1 ）加密

在要加密的文件上点鼠标右键，在弹出菜单里可以看到 PGP 子菜单，选“ Encrypt” ，在这里选择用来加密的 Key 。如果需要安全删除源文件，选中“ Wipe Original” 。可以看到，源文件已经被“ wipe”掉（注意 wipe 和 delete 不同， delete的文件可能被恢复，但 PGP 的 wipe 是不可恢复的），加密后的文件增加 pgp 扩展名。

（ 2 ）解密文件按 Ctrl + Shift + D 解密，输入私钥保护短语，解密成

功。

返回本章首页


·249·

作业1.简述密码技术的概念。2. 列举传统的加密方法，并对它们做简要描述。3.写出 DES 算法中 16个子密钥的生成过程。4.公钥密钥体制中ＲＳＡ算法的主要特点是什么？5. 说明公开密钥体制实现数字签名的过程。6. 密钥管理的作用是什么？7.简述 PGP 加密软件的工作原理。

返回本章首页


·250·

第 6章数据库安全性

6.1 数据库安全概述 6.2 数据库安全技术 6.3 数据库备份与恢复 6.4 数据库系统安全保护实例

返回本章首页


·251·

学习目标了解数据库安全问题及原因，了解数据库安全的管理原则

掌握数据库安全的基本架构和主要技术掌握数据库备份与恢复的常用方法掌握 Oracle 和 SQL Server 数据库的备份、还原方法

返回本章首页


·252·

6.1 数据库安全概述 Forrester 研究院的一份研究报告显示， 80%的数

据安全违规事件都牵涉到机构企业人员、企业员工或与企业内部有所接触的人员，这使得企业的信息处在危险境地。目前，特别是电子邮件和互联网的应用使得企业信息的分享和发布远比以往任何时期都来得容易的今天，对于企业而言，最大的挑战努力地保持员工权利与职责之间的平衡，既要给员工适当的信息存取权又要尽可能的保护敏感的企业资料不会外泄。

返回本章首页


·253·

6.1.1 数据库系统安全概述 1. 数据库系统安全的含义

数据库系统，一般可以理解成两部分：一部分是数据库，按一定的方式存取数据；另一部分是数据库管理系统 (DBMS)，为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。数据库系统安全，包含两层含义：（ 1 ）系统运行安全，它包括：

①法律、政策的保护，如用户是否有合法权利，政策是否允许等；

② 物理控制安全，如机房加锁等； ③硬件运行安全； ④操作系统安全，如数据文件是否保护等； ⑤灾害、故障恢复；

返回本章首页


·254·

⑥死锁的避免和解除； ⑦电磁信息泄漏防止。（ 2 ）系统信息安全 ① 用户口令字鉴别； ② 用户存取权限控制； ③数据存取权限、方式控制； ④审计跟踪； ⑤数据加密。 2. 数据库系统特点 ① 客体较多； ② 数据生存期较长，对维护的要求高； ③ 涉及到信息在不同粒度的安全，即客体具有层次性和多项性； ④ 客体逻辑结构与物理结构分离； ⑤ 数据库的安全与数据语法有关； ⑥ 应考虑推理攻击的防范，即客体之间的信息相关性较大。

返回本章首页


·255·

3. 数据库安全性要求计算机安全性的 3个方面：完整性、保密性和可用性，与数据库管理系统都有关系。（ 1 ）保障数据库系统的保密性

① 数据库系统的用户身份认证：确保每个用户被正确的识别，即便于审计追踪也可为了限制对特定的数据进行访问。

② 数据库系统的访问控制：控制主体对客体的访问、拒绝非授权访问、防止信息泄露；即允许用户只访问被批准的数据，以及限制不同的用户有不同的访问模式，如读或写。

③ 统计数据库对推理攻击的防范④ 数据库系统的可审计性⑤ 防止数据库系统中的隐蔽信道攻击。

返回本章首页


·256·

（ 2 ）保障数据库系统的完整性 ① 数据库系统的物理完整性。 ② 数据库系统的逻辑完整性。 ③ 数据库系统的元素完整性。（ 3 ）数据库系统的可用性保障数据库系统资源可以存取，易于使用，方便操作，界面友好等。6.1.2 常见的数据库安全问题及原因 1. 脆弱的账号设置由于受企业安全策略或政府规定的约束，数据库用户往往缺乏足够的安全设置。比如默认的用户账号和密码是对大家公开的，却没被禁用或修改以防止非授权访问。 2. 缺乏角色分离传统数据库管理没有“安全管理员”这一角色，这就迫使数据库管理员既要负责账号的维护管理，又要专门对数据库执行性和

返回本章首页


·257·

操作行为进行调试跟踪，导致管理效率低下。3. 缺乏审计跟踪数据库审计经常被 DBA以提高性能或节省磁盘空间为由忽视或关闭，这大大降低了管理分析的可靠性和效力。4.未利用数据库安全特征为了实现个别应用系统的安全而忽视数据库安全是很常见的事。但是，这些安全措施只应用在客户端软件的用户上，其他许多工具，如Microsoft Access 和已有的通过OBDC 或专有协议连接数据库的公用程序，都绕过了应用层安全。6.1.3 数据库安全管理原则 1. 管理细分和委派原则 2.最小权限原则 3.账号安全原则 4. 有效的审计

返回本章首页


·258·

6.2 数据库安全技术数据库系统信息安全性依赖于两个层次：一层是数

据库管理系统本身提供的用户名 /口令字识别、视图、使用权限控制、审计等管理措施，大型数据库管理系统 Oracle 、 Sybase 、 Ingress 等均有此功能；另一层就是靠应用程序设置的控制管理，如使用较普遍的 Foxbase 、Forpro 等。作为数据库用户，最关心自身数据资料的安全，特别是用户的查询权限问题。对此，目前一些大型数据库管理系统 (如 Oracle 、 Sybase 等产品 )提供了以下几种主要手段。

返回本章首页


·259·

⒈用户分类不同类型的用户授予不同的数据管理权限。一般将权限

分为三类：数据库登录权限类、资源管理权限类和数据库管理员权限类。有了数据库登录权限的用户才能进入数据库管理系统，才能使用数据库管理系统所提供的各类工具和实用程序。同时，数据库客体的主人可以授予这类用户以数据查询、建立视图等权限。这类用户只能查阅部分数据库信息，不能改动数据库中的任何数据。具有资源管理权限的用户，除了拥有上一类的用户权限外，还有创建数据库表、索引等数据库客体的权限，可以在权限允许的范围内修改、查询数据库，还能将自己拥有的权限授予其他用户，可以申请审计。

返回本章首页


·260·

具有数据库管理员权限的用户将具有数据库管理的一切权限，包括访问任何用户的任何数据，授予 (或回收 )用户的各种权限，创建各种数据库客体，完成数据库的整库备份、装入重组以及进行全系统的审计等工作。这类用户的工作是谨慎而带全局性的工作，只有极少数用户属于这种类型。2. 数据分类

同一类权限的用户，对数据库中数据管理和使用的范围又可能是不同的。为此， DBMS 提供了将数据分类的功能，即建立视图。管理员把某用户可查询的数据逻辑上归并起来，简称一个或多个视图，并赋予名称，在把该视图的查询权限授予该用户 (也可以授予多个用户 )。这种数据分类可以进行得很细，其最小粒度是数据库二维表中一个交叉的元素。

返回本章首页


·261·

3. 审计功能大型 DBMS 提供的审计功能是一个十分重要的安全

措施，它用来监视各用户对数据库施加的动作。有两种方式的审计，即用户审计和系统审计。用户审计时， DBMS的审计系统记下所有对自己表或视图进行访问的企图 (包括成功的和不成功的 )及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典 (系统表 )之中，利用这些信息用户可以进行审计分析。系统审计由系统管理员进行，其审计内容主要是系统一级命令以及数据库客体的使用情况。

返回本章首页


·262·

6.3 数据库的备份与恢复在当今信息社会，最珍贵的财产并不是计算机软件，也不是计算机硬件，而是企业在长期发展过程种所积累下来的业务数据。建立网络最根本的用途是要更加方便地传递与使用数据，但认为错误、硬盘损坏、电脑病毒、断电或是天灾人祸等都有可能造成数据地丢失。因此数据库的备份就显得尤为重要。造成数据破坏、丢失得原因很多，主要有一下四类：（ 1 ）事务故障事务故障是指事务在执行过程中发生的故障 ,此类故障只发生在单个或多个事务上 ,系统能正常运行 ,其它事务不受影响。事务故障有些是预期的 ,通过事务程序本身可以发现并处理 ,如果发生故障 ,使用 ROLLBACK回滚事务 ,使事务回到前一种正确状态。有些是非预期的 ,不能由事务程序处理的 ,如运算溢出 ,违反了完整性约束 ,并发事务发生死锁后被系统选中强制撤消等 ,使事务未能正常完成就终止。这时事务处于一种不一致状态。

返回本章首页


·263·

（ 2 ）系统故障系统故障主要是由于服务器在运行过程中 ,突然发生硬

件错误 (如 CPU 故障 ),操作系统故障 ,DBMS错误 , 停电等原因造成的非正常中断 ,至使整个系统停止运行 ,所有事务全部突然中断 ,内存缓冲区中的数据全部丢失 , 但硬盘 ,磁带等外设上的数据未受损失。

系统故障的恢复要分别对待 ,其中有些事务尚未提交完成 ,其恢复方法是撤消 (UNDO),与事务故障处理相同 ;有些事务已经完成 , 但其数据部分或全部还保留在内存缓冲区中 ,由于缓冲区数据的全部丢失 ,至使事务对数据库修改的部分或全部丢失 ,同样会使数据库处于不一致状态 ,这时应将这些事务已提交的结果重新写入数据库 ,这时需要重做 (REDO)提交的事务 ,所谓重做 ,就是先使数据库恢复到事务前的状态 ,然后顺序重做每一个事务 ,使数据库恢复到一致状态。

返回本章首页


·264·

（ 3 ）介质故障介质故障是指外存故障。介质故障使数据库的数据全部或

部分丢失 ,并影响正在存取出错介质上数据的事务。介质故障可能性小 , 但破坏性最大。一般将系统故障称为软故障 (Soft Crash),介质故障称为硬故障 (Hard Crash)。对于介质故障 ,通常是将数据从建立的备份上先还原数据 ,然后使用日志进行恢复。

（ 4 ）计算机病毒计算机病毒是一种人为的故障或破坏，是一些恶作剧者研

制的一种计算机程序。这种程序与其他程序不同，它像微生物学所称的病毒一样可以繁殖和传播，并造成对计算机系统包括数据库的危害。

返回本章首页


·265·

1. 备份数据库备份是将数据库中的数据复制到另外的存储介质中 ,如磁

盘或磁带 ,产生数据库副本。数据库副本的作用是 ,当数据库介质故障时 ,重新将副本装入 ,还原到副本产生时 (备份点 )的一致状态。如果要恢复到故障点的一致状态 ,要使用日志文件。

数据库备份可以采用操作系统的文件形式复制数据文件 , 称为物理备份；也可以采用 DBMS 特有的形式复制数据库 , 称为逻辑备份 ,逻辑备份一般使用 DBMS 系统专用的导入 /导出工具。数据库逻辑备份时物理备份的补充。根据在物理备份时数据库的状态，可以将备份分为一致性备份和不一致性备份两种：

（ 1 ）一致性备份数据库一致性备份是指关闭了数据库后备份所有数据文件和控制文件的方法。当使用 SHUTDOWN 命令正常关闭了数据库之后，所有数据库文件的当前 SCN 值完全一致。

返回本章首页


·266·

（ 2 ）不一致性备份指在OPEN 状态下备份数据库所有数据文件和控制文件的方法。因

为在OPEN 状态下数据库内容随时都会改变，从而导致不同数据库文件的当前 SCN值完全不同，所以打开时的数据库备份被称为数据库非一致性备份。

2. 恢复所谓恢复，就是把数据库由存在故障的状态转变为无故障状态的过程。根据故障出现的原因，恢复分为两种类型：

（ 1 ）实例恢复（ 2 ）介质恢复根据数据库的恢复程度，将恢复方法分为两种类型：

（ 1 ）完全恢复将数据库恢复到数据库失败时数据库的状态。可以通过装载数据库备份和并运用全部的重做日志做到。

（ 2 ）不完全恢复将数据库恢复到数据库失败前的某一时刻数据库的状态。可以通过装载数据

库备份和并运用全部的重做日志做到。

返回本章首页


·267·

6.4 数据库系统安全保护实例

6.4.1 Oracle 数据库安全策略

6.4.2 Oracle 数据库备份

6.4.3 Oracle 数据库系统的恢复

6.4.4 SQL Server 数据库的备份和恢复方法

返回本章首页


·268·

6.4.1 Oracle 数据库安全策略1. 用户角色的管理通过建立不同的用户组和用户口令验证，可以有效地防止非法的 Oracle 用户进入数据库系统；通过授权来对 Oracle 用户的操作进行限制，即允许一些用户可以对 Oracle 服务器进行访问，也就是说对整个数据库具有读写的权利，而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在系统管理上，管理员要特别强调对 SYS 和 SYSTEM两　个特殊账户的保密管理，在数据库系统安装完成后要马上对其密码进行更改。　除此之外，为了保护 Oracle 服务器的安全，应保证＄ ORACLE_HOME／ bin 目录下的所有内容的所有权为 Oracle 用户所有。

返回本章首页


·269·

2. 数据保护数据库的数据保护涉及面很广，包括数据库运行日志的保护、控制文件的保护、数据文件的保护等。 Oracle 数据库实例都提供日志，用以记录数据库中所进行的各种操作，包括修改、调整参数等，在数据库内部建立一个所有作业的完整记录。控制文件一般用于存储数据库物理结构的状态，控制文件中的某些状态信息在实例恢复和介质恢复期间用于引导 Oracle 数据库，这两种文件都是数据保护的重要一环。　　数据保护的主要策略是数据库的备份与恢复，通过数据库本身提供的备份工具、第三方厂家的数据存储软件 (如 Legato Networker)对数据库系统进行备份，当计算机的软硬件发生故障或其它原因造成系统损坏时，利用备份进行数据库恢复，以恢复破坏的数据库文件、控制文件或其它文件，使系统恢复正常运行。

返回本章首页


·270·

6.4.2 Oracle 数据库备份 Oracle 数据库的运行状态主要分为 3 种：（ 1 ） startup nomount 　非安装启动 : 只读取 ini 文件中的配置信息，并初始化 SGA区。

（ 2 ） startup mount dbname 　安装启动 :除了需要读取 ini 文件还要读取控制文件，并从中获取有关数据库的物理结构等信息。（ 3 ） startup open dbname 　检查所有文件处于同一时间点，对错误进行恢复，对未完成事物回滚，并最终可以允许用户访问。 1. 三种备份方案的比较（ 1 ）冷备份

返回本章首页


·271·

冷备份是 Oracle最简单的一种备份。执行冷备份前必须关闭数据库，然后使用操作系统实用工具或第三方工具备份所有相关的数据库文件。优点：能简单快速的实现备份，执行简单。缺点：必须关闭数据库，不能进行点恢复。（ 2 ）热备份热备份是当数据库正在运行时进行数据备份的过程。执行热备的前提是：数据库运行在可归档日志模式。优点：备份时数据库可以是打开的；热备份可以用来进行点恢复；初始化参数文件、归档日志在数据库正常运行时是关闭的，可用操作系统命令复制。缺点：执行过程复杂；由于数据库不间断运行，测试比较困难；不能用操作系统实用工具复制打开文件，必须用 Oracle 提供的 copy 工具复制打开的文件；热备份可能造成 CUP 、 I/O 过载。

返回本章首页


·272·

（ 3 ） Export 导出数据库对象 Export备份是对数据库对象进行备份，被称为逻辑备份。逻辑

备份是将某个数据库的记录读出并将其写入到一个文件中，这是常用的一种备份方式。优点：能执行对象或者行恢复；备份和恢复速度更快；能够跨操作系统平台迁移数据库；数据库可一直运行。

缺点： Export并不是冷备份和热备份的替代工具。冷、热备份可以保护介质失效。 Export备份可保护用户或应用错误。

返回本章首页


·273·

2. 三种备份方案的实施（ 1 ）冷备份方案的实施 ①冷备份数据库的步骤 a. 关闭数据库； b. 备份所有相关的数据库文件：初始化参数文件、控制文件

（可用 select name from v$controlfile;列出所有控制文件）、数据文件（可用 select name from v$datafile;列出所有数据文件）、 Redo日志（可用 select member from v$logfile;列出所有 redo日志文件）、归档的 Redo日志（可用 select sequence#,first_time from v$loghist;列出所有归档 redo 日志文件的顺序号和产生时间）。

c.执行数据库冷备份

返回本章首页


·274·

d.正常启动数据库，并确认数据库运行在归档模式。 ②冷备份数据库的脚本文件 coldbackup.bat 。

（ 2 ）热备份方案的实施 Oracle 数据库的 redo 日志记录在数据库上进行的所有活动。 LGWR 后台进程以一种循环方式写这些日志文件，从第一个 redo 日志到下一个，直到该组的最后一个，然后由从第一个日志写起。在非归档模式下，当循环写到最后一个日志文件后，就重写第一个日志。因此，非归档模式下唯一的数据库恢复办法就是使用冷备份。

在归档模式下，当 redo日志满时，一个ARCH后台进程就读取全部 redo 日志，然后将其写到归档日志。因此，可以使用热备份和点恢复。在归档日志模式下，如果归档日志目的空间已满，数据库活动将暂时停止，释放一些空间后，数据库才能继续运行。

返回本章首页


·275·

Oracle 数据库安装默认运行在非归档模式，通过以下步骤可以从非归档模式转换为归档模式：首先，编辑参数文件 init.ora ，设置以下参数 # 设置数据库自动归档 log_archive_start = true # 设置归档日志文件的目录，该目录必须事先已建立，并有大量可利用的空间 log_archive_dest_1=“location=%oracle_base%\ oradata\%oracle_sid%\archive” # 设置归档日志文件名的格式。%s表示顺序号，%t 表示线程号。

然后在 sqlplus 上运行以下命令 sqlplus>;connect sys/qazwsx as sysdba sqlplus>;shutdown immediate; sqlplus>;startup mount exclusive; sqlplus>;alter database archivelog; sqlplus>;alter database open;

返回本章首页


·276·

①热备份数据库的步骤 a. 拷贝 init.ora 文件到备份目录（参数文件在数据库启

动后处于关闭状态）。 b. 将需要备份的某个表空间置于开始备份模式。 c. 使用 ocopy.exe 拷贝表空间，然后将该表空间置于结

束备份模式中（ ocopy.exe 不能用于直接拷贝联机的数据库文件）。

d. 对数据库中的每个表空间执行步骤 2 和 3 （可以通过视图dba_tablespaces 和 v$datafile 查看数据库中有哪些表空间和数据文件）。

e. 通过在 sqlplus 上执行 archive log list命令获取当前的日志顺序号，从oldest online log sequence 开始到 current log sequence 的联机 redo 日志应该是热备份的一部分。

返回本章首页


·277·

f. 在 sqlplus 上执行 alter system switch logfile;命令来强迫日志切换，以便所有的日志都被归档。

g. 使用 alter database backup controlfile to trace;命令获得控制文件的一个备份，可以到%oracle_base%\admin

\%oracle_sid%\udump目录中寻找最新的跟踪文件，其中有重建控制文件的全部命令。

h. 使用windows nt的命令从%log_archive_dest%中拷贝归档的日志文件到备份目录。 ②热备份数据库的脚本文件 hotbackup.bat (3)使用 export作为备份策略

返回本章首页


·278·

①Oracle 数据库的 exp 工具提供 tables 、 users 、 full database 、 tablespace 四种级别的导出方式，把指定的数据库内容导出到一个或者多个 oracle 二进制文件中，该文件只允许用 imp 工具来读取， imp 的命令选项可用 imp help=y来查阅。

可以通过输入 EXP 命令以及各种自变量来控制“导出”的运行方式。要指定参数，您可以使用关键字：格式： EXP KEYWORD=value 或 KEYWORD=(value1,value2,...,valueN) 实例： EXP SCOTT/TIGER GRANTS=Y TABLES=(EMP,DEPT,MGR) 或 TABLES=(T1:P1,T1:P2)，如果 T1 是分区表 USERID 必须是命令行中的第一个参数。下列关键字仅用于可传输的表空间 TRANSPORT_TABLESPACE 导出可传输的表空间元数据 (N) TABLESPACES 将传输的表空间列表

返回本章首页


·279·

②export备份数据库的脚本文件 expbackup.bat。 3. 各种备份策略的自动执行方法

不管是冷备份、热备份，还是 export备份；不管是 unix平台，还是windows平台，都可以利用 at命令来定时、自动执行上述备份策略。 AT 命令安排在特定日期和时间运行命令和程序，在windows nt 平台上必须首先运行调度服务（ schedule ），才能使用 at命令。 AT命令用法如下： AT [\\computername] [ [id] [/DELETE] | /DELETE [/YES]] AT [\\computername] time [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] "command" 　○ \\computername 指定远程计算机。如果省略这个参数，会计划在本地计算机上运行命令。

返回本章首页


·280·

○ id 指定给已计划命令的识别号。　○ /delete 删除某个已计划的命令。如果省略 id ，计算机上所有已计划的命令都会被删除。　○ /yes 不需要进一步确认时，跟删除所有作业的命令一起使用。　○ time 指定运行命令的时间。

○ /interactive 允许作业在运行时，与当时登录的用户桌面进行交互。　○ /every:date[,...] 每个月或每个星期在指定的日期运行命令。如果省略日期，则默认为在每月的本日运行。　○ /next:date[,...] 指定在下一个指定日期 (如下周四 )运行命令。如果省略日期，则默认为在每月的本日运行。　○"command" 准备运行的 Windows NT 命令或批处理程序。

返回本章首页


·281·

举例如下： (1) 每周五 19:00执行冷备份 at 19:00 /every:F "coldbak.cmd" (2) 每周二 20:00执行热备份 at 20:00 /every:T "coldbak.cmd" (3) 每周一、二、三、四、五 21:00执行 export备份 at 20:00 /every:M,T,W,Th,F "expbak.cmd"

6.4.3 Oracle 数据库系统的恢复数据库的恢复可分为两大类：完全恢复和不完全恢复。完全恢复指将数据库恢复到发生故障的时间点，不丢失任何数据。不完全恢复指将数据库恢复到发生故障前的某一个时间点，此时间点以后的所有改动将会丢失。如果没有特殊需求，我们建议应尽量使用完全恢复。

返回本章首页


·282·

Oracle 数据库的恢复过程分两步进行，首先将把存放在重做日志文件中的所有重做运用到数据文件，之后对重做中所有未提交的事务进行回滚，这样所有数据就恢复到发生灾难那一时刻了。数据库的恢复只能在发生故障之前的数据文件上运用重做，将其恢复到故障时刻，而不能将数据文件反向回滚到之前的某一个时刻。举个例子，我们有一个 2001/1/1 的数据库备份，当 2001/5/1 使我们发现数据库中数据发生混乱，希望将数据库恢复到 2001/4/30 时的状态，我们只能先恢复 2001/1/1 的数据库备份然后在其上运用重做记录使其前滚到 2001/4/30 时的状态，而不能将 2001/5/1 的数据库向后回滚到 2001/4/30 。

返回本章首页


·283·

为了系统的设计数据库的恢复方案，我们先对可能遇到的错误进行分类， Oracle 数据库错误主要分为 5 大类：

　　（ 1 ） SQL语句失败　　（ 2 ）线程失败　　（ 3 ）实例失败　　（ 4 ）用户操作失败　　（ 5 ）存储设备失败

如果发生前三种失败，不需要我们人为干涉， Oracle 系统会自动进行恢复。对于用户操作型的失败 (如误删除数据 )，我们采取的补救措施主要有导入最新的逻辑备份或进行到某一时间点的不完全恢复。从Oracle 8 之后的新版本中引入了基于表空间的时间点恢复 (TSPITR)，可以单独将包含错误操作的表空间恢复到指定时间，而不必对整个数据库进行不完全恢复。当错误操作发现比较及时而且数据量不大的情况下也可以考虑使用 logminer 生成反向 SQL。

返回本章首页


·284·

针对存储设备的失败的情况比较复杂也是本文讨论的重点，存储设备的失败必然会使放置在其上的文件变为不可用，我们先将Oracle 数据库所涉及到的文件进行一个划分，主要可分为：

　　（ 1 ） Oracle 的系统文件，指 Oracle 的运行文件，各种应用程序。

　　（ 2 ）数据库控制文件。　　（ 3 ）数据库联机重做日志文件。　　（ 4 ）数据文件。　　（ 5 ）归档日志文件。　　避免第一种文件失败主要依赖系统管理员进行操作系统级的

备份，当发生事故后只能依靠操作系统备份将其恢复。　　

返回本章首页


·285·

控制文件中记录着整个数据库的结构、每个数据文件的状况、系统 SCN 、检查点计数器等重要信息，在创建数据库时会让用户指定三个位置来存放控制文件，他们之间互为镜像，当其中任何一个发生故障，只需将其从 ini 文件中注释掉故障数据文件就可重新将数据启动。当所有控制全部失效时，可以在Nomount模式下执行 create controlfile 来重新生成控制文件，但必须提供 redo log ， data file ，文件名和地址以及MAXLOGFILES ，MAXDATAFILES ，MAXINSTANCES 等信息。如果失败之前运行过 alter database backup controlfile to trace 或 alter database backup controlfile to ‘xxx’对控制文件作备份，恢复时可使用生成的脚本来重建或用备份文件覆盖，如果使用了旧的控制文件在恢复时要使用 recover xxx using backup controlfile 选项来进行恢复，并使用 resetlogs 选项来打开数据库。

　　

返回本章首页


·286·

如果丢失的是联机日志文件，分两种情况处理：（ 1 ）丢失的是非活动的日志文件；（ 2 ）丢失的是当前激活的日志文件。

如果是第一种情况，而发生故障的日志文件组又具有多个成员，可以先将数据库 shutdown ，然后用操作系统命令将损坏日志文件组中好的日志成员文件把损坏的成员文件覆盖 ( 在同一个日志成员组中的所有日志文件的各为镜象的 ) ，如果其物理位置不可用可将其拷贝到新的驱动器上，使用 alter database rename file ‘xxxx’ to ‘xxxx’ 改变文件位置，之后启动数据库，如果正常马上进行一个冷备份。如果损坏的日志组中只有一个日志成员，先 mount 上数据库，将其转换为 noarchivelog 模式，执行 alter database add logfile member ‘xxx’ to group ‘x’ 给相关组增加一个成员，再执行 alter database drop logfile member ‘bad_file’ 将损坏的日志文件删除，由于数据库的结构发生变动需要备份控制文件，之后将数据库改回 archivelog 模式，做一个冷备份。

返回本章首页


·287·

如果丢失的是当前激活的日志文件，数据库又没有镜像而且当前日志组中所有成员均变为不可用。首先将数据库 shutdown abort ，从最近的一次全备份中恢复所有的数据文件，将数据库启动到 mount状态。如果原来的日志文件物理位置不可用，使用 alter database rename file ‘xxx’ to ‘xxx’ 改变文件的存放位置。然后，使用 recover database until cancel命令来恢复数据库，直到提示最后一个归档日志运用完之后，输入 cancel 。之后用 alter database open resetlogs 打开数据库，如果没有问题，立即进行一个冷备份。注意 ! 所有包含在损坏的 redo log 中的信息将会丢失，也就是说数据库崩溃前已经提交的数据有可能会丢失。这对于某些要求很高的应用将会损失惨重，因此应尽量使每个日志组具有多个日志成员，并且放置在不同的驱动器上一防止发生介质故障。

返回本章首页


·288·

数据文件发生故障的情况也分为多种情况：（ 1 ）丢失包含在 SYSTEM表空间的数据文件；（ 2 ）丢失没有回滚段的非 SYSTEM数据文件；（ 3 ）丢失有回滚段的非 SYSTEM数据文件。

　　如果损坏的是系统表空间的数据文件。唯一的办法是从上一次备份中恢复受损的数据文件， (如果原位置不可用使用 alter database rename命令改变新文件的位置 )，之后在数据库 mount的状态下执行 recover database/datafile 对数据库进行回复，才能将数据库打开。注意：当 SYSTEM表空间或其中的数据文件脱机，数据库是无法被打开的，因此必须在mount 状态下将所有的恢复工作完成。

返回本章首页


·289·

当丢失的数据文件不属于系统表空间而且也不包含回滚段时，有可选择在数据库的两种状态下进行恢复 ---在数据库 open的状态或者在数据库 mount的状态。如果用户急于访问数据库中未受损部分的数据或对损坏的数据文件进行恢复需要很长时间，可以先使受损的数据文件脱机，将数据库打开给用户访问，再恢复受损的数据文件最后将其联机。步骤如下：先在数据库 mount时，将相关的数据文件或表空间进行脱机 alter database datafile xxx offline ，然后将数据库 open ，这样就能使数据库未受损的部分先供用户访问，之后再进行 recover datafile/tablespace ，完成后用 alter database datafile/tablespace ‘xxx’ online使其恢复联机就可被访问了。当然用户也可以选择在数据库 mount 状态下，用 recover database/datafile 将所有的恢复工作做完，将所有数据文件一起打开供用户访问。

返回本章首页


·290·

如果丢失的数据文件是最后一种情况，即包含有回滚段的非系统表空间数据文件。也可以选择是在数据库先 open 的状态还是在mount 状态下恢复。不过与上一种情况不同的是当包含回滚段的数据文件损坏时，如果使其先 offline 将数据库打开，那么所有数据库崩溃前未提交的事务涉及到的表将无法访问，也就是说在回滚段恢复前其中涉及的对象都不允许被访问。而且当所有包含回滚段的数据文件都在offline状态时，数据库无法进行任何 DML操作，因此在数据库 open状态恢复包含回滚段的数据文件时，可以先创建几个临时回滚段供数据使用 create rollback segment temp1 tablespace system; alter rollback segment temp1 online;，当数据文件恢复后再将他们删除 alter rollback segment temp1 offline; drop rollback segment temp1;。注意：当用这种方法使恢复的数据文件 online 之后，所有的原有回滚段将处于 offline状态，必须手工使用 alter rollback segment RBSxx online;使他们恢复联机状态，这样才能被数据库正常使用。如果在数据库 mount 状态下完成所有恢复，则不需要上述步骤。

返回本章首页


·291·

如果丢失数据文件后，用户发现没有故障前的数据文件的备份，而且自从丢失的数据文件最早建立之后一直没有使用过 resetlogs 选项打开过数据库。也就是说用户的控制文件是在损坏的数据文件建立前创建的，归档日志中包括对损坏数据文件的所有重做记录。用户就还有一种恢复方法，用户可以先将损坏的数据文件或表空间脱机 alter database datafile / tablespace xxx offline ，之后执行 alter database create datafile ‘new/xxx.dbf’ as ‘old/xxx.dbf’，数据库会根据保存在控制文件中的信息重建一个空的数据文件，之后再执行 recover tablespace / datafile 将所有重做记录运用到数据文件，使其完全恢复到当前状态，之后便可再将其恢复联机。

　　如果丢失的是最后一种文件 --- 归档文件或归档文件所处的物理位置不可用，首先 shutdown 数据库，立即作一个冷备份。然后修改 ini 文件中的归档日志文件目的路径，重新启动数据库。以后再发生灾难只需从最新的备份中将相关文件恢复，数据库作 recover 时就不需要备份之前丢失的归档文件了。

返回本章首页


·292·

数据库恢复时的注意事项：　 1. 上面讨论所有情况的默认前提是数据库运行在归档 (ARCHIVELOG)

方式下，并只涉及到一般常见的情况和最基本的恢复方法。使用 Oracle 提供的恢复管理器 RMAN也能完成上述任务，如果运行环境比较复杂建议使用 RMAN来做备份和恢复。

　 2. 一旦数据库发生灾难，最好在进行恢复之前做一次完全的冷备份，以便在进行恢复时产生差错还可以进行补救。很大一部分数据丢失是由于不正确的恢复操作所引起的。

　 3. 当数据库完成恢复之后，尤其是使用 resetlogs 选项打开数据库之后，要马上关闭数据库进行一次完全的冷备份。因为，为防止放弃的重做日志被下次恢复时再次运用， resetlogs 选项会重新创建 redo log 文件并将其的计数清零。

　 4.注意当进行数据库完全恢复，从发生故障的时间点前的备份中恢复损坏文件时，一定不要使备份中的 redo log 文件覆盖了当前的 redo log 文件，否则就只能进行不完全恢复并且要丢失一部分数据了。

返回本章首页


·293·

6.4.4 SQL Server 数据库的备份和恢复方法一种是使用 BACKUP DATABASE将数据库文件备份出去，另外一种就是直接拷贝数据库文件 mdf和日志文件 ldf的方式。

1.正常的备份、 SQL数据库恢复方式　　正常方式下，我们要备份一个数据库，首先要先将该数据库从运行的

数据服务器中断开，或者停掉整个数据库服务器，然后复制文件。　　卸下数据库的命令： Sp_detach_db 数据库名　　连接数据库的命令：　　 Sp_attach_db 或者 sp_attach_single_file_db 　　 s_attach_db [@dbname =] ′dbname′, [@filename1 =] ′ filename_

n′ [,...16] 　　 sp_attach_single_file_db [@dbname =] ′dbname′, [@physname =] ′physical_name′

　　使用此方法可以正确恢复 SQL Sever7.0 和 SQL Server 2000 的数据库文件，要点是备份的时候一定要将mdf和 ldf两个文件都备份下来， mdf文件是数据库数据文件， ldf是数据库日志文件。

返回本章首页


·294·

2.只有mdf文件的恢复技术　　由于种种原因，我们如果当时仅仅备份了mdf文件，那么恢复起来就是

一件很麻烦的事情了。　　如果mdf文件是当前数据库产生的，也许你使用 sp_attach_db 或者 sp_attach_single_file_db 可以恢复数据库，但是会出现类似下面的提示信息。

　　设备激活错误。　　物理文件名 'C:\Program Files\Microsoft SQL Server\ MSSQL\data\test_Log.LDF' 可能有误。　　已创建名为 'C:\Program Files\Microsoft SQL Server\ MSSQL\Data\test_log.LDF' 的新日志文件。　　但是，如果数据库文件是从其他计算机上复制过来的，那么很不幸，也许

上述办法就行不通了。也许会得到类似下面的错误信息　　服务器 : 消息 1813 ，级别 16 ，状态 2 ，行 1 　　

返回本章首页


·295·

举例说明恢复办法。　　（ 1 ）我们使用默认方式建立一个供恢复使用的数据库 ( 如 te

st) 。可以在 SQL Server Enterprise Manager 里面建立。　　（ 2 ）停掉数据库服务器。　　（ 3 ）将刚才生成的数据库的日志文件 test_log.ldf 删除，用

要恢复的数据库 mdf 文件覆盖刚才生成的数据库数据文件 test_data.mdf 。

　　（ 4 ）启动数据库服务器。此时会看到数据库 test 的状态为“置疑”。这时候不能对此数据库进行任何操作。

　　（ 5 ）设置数据库允许直接操作系统表。此操作可以在 SQL Server Enterprise Manager 里面选择数据库服务器，按右键，选择“属性”，在“服务器设置”页面中将“允许对系统目录直接修改”一项选中。也可以使用如下语句来实现。

返回本章首页


·296·

use master 　　 go 　　 sp_configure 'allow updates',1 　　 go 　　 reconfigure with override 　　 go （ 6 ）设置 test为紧急修复模式 : 　　 update sysdatabases set status=-32768 where dbid=DB_ID('test')

　　此时可以在SQL Server Enterprise Manager 里面看到该数据库处于“只读 \置疑 \ 脱机 \紧急模式”可以看到数据库里面的表，但是仅仅有系统表。

　　（ 7 ）下面执行真正的恢复操作，重建数据库日志文件 : 　　 dbcc rebuild_log('test','C:\Program Files\Microsoft SQL Server\MSSQL\Data\test_log.ldf')

返回本章首页


·297·

（ 8 ）验证数据库一致性 : dbcc checkdb('test') 　　一般执行结果如下：　　 CHECKDB 发现了 0 个分配错误和 0 个一致性错误 (在数据库

'test' 中 )。　　 DBCC 执行完毕。如果 DBCC 输出了错误信息，请与系统管理员

联系。（ 9 ）设置数据库为正常状态

　　 sp_dboption 'test','dbo use only','false' 　　如果没有出错，现在就可以正常的使用恢复后的数据库。　（ 10 ）最后一步，我们要将步骤 E中设置的“允许对系统目录直接

修改”一项恢复。因为平时直接操作系统表是一件比较危险的事情。

返回本章首页


·298·

作业1.试分析数据库安全的重要性，说明数据库安全方面存在的问题及原因。

2.简述数据库系统安全性要求。3. 数据库的安全策略有哪些特点？简述其要点。4. 如何保证数据库中的数据完整性？5.简述数据库的备份方法。6.简述数据库更新恢复技术。7.简述Oracle 数据库的安全性策略。8.Oracle 数据库中的备份分哪几种？如何分别实现？9.SQL Server 数据库备份和恢复方法有哪些？

返回本章首页


·299·

7.1 计算机病毒基础知识7.2 计算机病毒的工作原理7.3 计算机病毒的分类7.4 计算机病毒的发展趋势7.5 计算机病毒的检测、防范和清除7.6 计算机染毒以后的危害修复措施7.7 计算机病毒实例

第 7章计算机病毒及防范

返回本章首页


·300·

学习目标掌握计算机病毒的定义、结构和特征，了解计算机病毒的

发展历史掌握计算机病毒的工作原理掌握计算机病毒的分类，了解计算机病毒的发展趋势掌握计算机病毒的检测、防范和清除方法，计算机病毒染

毒以后的危害修复措施掌握宏病毒、 Funlove 病毒、 U盘寄生虫等病毒的检测

和清除方法

返回本章首页


·301·

7.1 计算机病毒基础知识7.1.1 计算机病毒的含义

7.1.2 计算机病毒的发展历史7.1.3 计算机病毒的结构7.1.4 计算机病毒的特征

返回本章首页


·302·

7.1.1 计算机病毒的定义

计算机领域引入“病毒”的概念，只是对生物学病毒的一种借用，用以形象地刻画这些“特殊程序”的特征。1994 年 2 月 28 日出台的《中华人民共和国计算机安全保护条例》中，对病毒的定义如下：

计算机病毒（ Computer Virus)，是指编制、或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。

返回本章首页


·303·

7.1.2 计算机病毒的发展历史早在 1949 年，距离第一部商用计算机的出现还有好几年时，计算机的先驱者冯 .诺依曼在他的一篇论文《复杂自动机组织论》，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来，但当时，绝大部分的计算机专家都无法想象这种会自我繁殖的程序是可能的，可是少数几个科学家默默地研究冯 .诺依曼所提出的概念，直到十年之后，在美国电话电报公司 (AT&T)的贝尔实验室中，三个年轻程序员道格拉斯 .麦耀莱、维特 .维索斯基和罗伯 . 莫里斯在工余想出一种电子游戏叫做 "磁芯大战 "。

返回本章首页


·304·

1977 年夏天，托马斯 .捷 .瑞安的科幻小说《 P-1 的青春》成为美国的畅销书，轰动了科普界。作者幻想了世界上第一个计算机病毒，可以从一台计算机传染到另一台计算机，最终控制了 7000台计算机，酿成了一场灾难，这实际上是计算机病毒的思想基础。 1983 年 11 月 3 日，弗雷德 .科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，伦 .艾德勒曼将它命名为算机病毒，并在每周一次的计算机安全讨论会上正式提出， 8小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5个实验的演示，从而在实验上验证了计算机病毒的存在。 1987 年 10 月，在美国，世界上第一例计算机病毒 (Brian)发现，这是一种系统引导型病毒。它以强劲的执着蔓延开来 !世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、 IBM圣诞树、黑色星期五等等。

返回本章首页


·305·

1988 年 11 月 3 日，美国 6千台计算机被病毒感染，造成 Internet不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件，迫使美国政府立即做出反应，国防部成立了计算机应急行动小组，更引起了世界范围的轰动。此病毒的作者为罗伯特 .莫里斯，当年 23岁在康乃尔大学攻读学位的研究生。 1991 年，在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗顺利进行，直至最后胜利。 1998 年，首例破坏计算机硬件的 CIH病毒出现，引起人们的恐慌。 1999 年 3 月 26 日，出现一种通过因特网进行传播的美丽杀手病毒。 1999 年 4 月 26 日， CIH病毒在我国大规模爆发，造成巨大损失。

返回本章首页


·306·

7.1.3 计算机病毒的结构绝大多数病毒程序，都是由引导模块（亦称安装模块）、传染

模块和破坏表现模块这 3个基本的功能模块所组成。其中，传染模块又由激活传染条件的判断部分和传染功能的实施部分组成；破坏表现模块由病毒触发条件判断部分和破坏表现功能的实施部分组成。计算机病毒程序结构的基本模式如下图所示：

图 7-1 计算机病毒结构

返回本章首页


·307·

引导模块的功能是将病毒程序引入内存并使其后面的两个模块处于激活状态。

感染模块的功能是，在感染条件满足时把病毒感染到所攻击的对象上。

表现模块的功能是，在病毒发作条件满足时，实施对系统的干扰和破坏活动。

并不是所有的计算机病毒都由这 3 大模块组成，有的病毒可能没有引导模块，有的可能没有破坏模块。

返回本章首页


·308·

7.1.4 计算机病毒的特征 1. 传染性

病毒程序具有自我复制的能力，一旦进入计算机系统就开始寻找能进行感染的程序，把病毒传播到整个系统或硬盘上，使系统丧失正常运行的能力。

2.潜伏性一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以

在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。

返回本章首页


·309·

3.触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。4. 破坏性计算机病毒发作的表现形式各不相同，轻则干扰系统运行，重则破坏数据乃至摧毁整个系统。

返回本章首页


·310·

5.寄生性寄生性病毒对其他文件或系统进行一系列的非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。6. 隐蔽性病毒程序一般都是小程序，常隐藏在操作系统的引导扇区或可执行文件中，也可能隐藏在硬盘分区表中，有的病毒程序还经加密处理。因此在病毒程序不发作时是不易被明显察觉或发现的。 7. 针对性计算机病毒针对特定的计算机和特定的操作系统。8.衍生性这种特性为一些好事者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种）。

返回本章首页


·311·

9.持久性即使在病毒程序被发现以后，数据和程序以致操作系统的恢复都非常困难。特别在网络操作情况下，由于病毒程序由一个受感染的复制通过网络系统反复传播，使病毒程序的清除非常复杂。

（ 1 ）主动通过网络和邮件系统传播（ 2 ）传播速度快（ 3 ）危害性极大（ 4 ）变种多（ 5 ）难于控制（ 6 ）难于根治、容易引起多次疫情（ 7 ）具有病毒、蠕虫和后门程序的功能

返回本章首页


·312·

7.2 计算机病毒的工作原理7.2.1 计算机病毒的工作过程

7.2.2 计算机病毒的引导机制

7.2.3 计算机病毒的触发机制

7.2.4 计算机病毒的破坏行为

7.2.5 计算机病毒的传播

7.2.6 计算机病毒与故障、黑客软件的区别

返回本章首页


·313·

7.2.1 计算机病毒的工作过程计算机病毒的完整工作过程应包括以下几个环节：　　 (1)传染源：病毒总是依附于某些存储价质 ,例如软盘、硬盘等构成传染源。　　 (2)传染媒介：病毒传染的媒介由工作的环境来定 ,可能是计算机网 , 也可能是可移动的存储介质 ,例如软磁盘等。　　 (3)病毒触发：计算机病毒一旦被激活 ,立刻就发生作用 ,触发的条件是多样化的 ,可以是内部时钟 ,系统的日期 ,用户标识符，也可能是系统一次通信等等。　　 (4)病毒表现：表现是病毒的主要目的之一 ,有时在屏幕显示出来 ,有时则表现为破坏系统数据。可以这样说 ,凡是软件技术能够触发到的地方 ,都在其表现范围内。　　 (5)传染：病毒的传染是病毒性能的一个重要标志。在传染环节中 ,病毒复制一个自身副本到传染对象中去。

返回本章首页


·314·

7.2.2 计算机病毒的引导机制 1. 计算机病毒的寄生对象寄生对象有两种，一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件（ .EXE或 .COM）中。这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能，这样病毒程序寄生在它们的上面，就可以在一定条件下获得执行权，从而使病毒得以进入计算机系统，并处于激活状态，然后进行病毒的动态传播和破坏活动。　 2. 计算机病毒的寄生方式计算机病毒的寄生方式有两种，一种是采用替代法；另一种是采用链接法，所谓替代法是指病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间，寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。　　

返回本章首页


·315·

3. 计算机病毒的引导过程计算机病毒的引导过程一般包括以下三方面。

（ 1 ）驻留内存（ 2 ）窃取系统控制权

在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

（ 3 ）恢复系统功能病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会自动地装人内存并获得执行权，然后该引导程序负责将病毒程序的传染模块和发作模块装人内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。

返回本章首页


·316·

7.2.3 计算机病毒的触发机制 1．日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日

期触发、月份触发、前半年后半年触发等。　 2．时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。　 3．键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。　 4．感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。　 5．启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。　 6．访问磁盘次数触发：病毒对磁盘 I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。　

返回本章首页


·317·

7．调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 7.2.4 计算机病毒的破坏行为

（ 1 ）攻击系统数据区。攻击部位包括硬盘主引导扇区、 Boot扇区、 FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。（ 2 ）攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。（ 3 ）攻击内存。内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。（ 4 ）干扰系统运行，使运行速度下降。（ 5 ）干扰键盘、喇叭或屏幕。（ 6 ）攻击 CMOS 。

返回本章首页


·318·

（ 7 ）干扰打印机。如假报警、间断性打印或更换字符。（ 8 ）网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。7.2.5 计算机病毒的传播

在系统运行时 , 病毒通过病毒载体即系统的外存储器进入系统的内存储器 , 常驻内存。该病毒在系统内存中监视系统的运行 , 当它发现有攻击的目标存在并满足条件时 , 便从内存中将自身存入被攻击的目标 , 从而将病毒进行传播。而病毒利用系统 INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中 , 再感染其他系统。（ 1 ）可执行文件感染病毒后又怎样感染新的可执行文件

①首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒； ② 当条件满足 , 利用 INT 13H 将病毒链接到可执行文件的首部或尾部或中间 , 并存大磁盘中； ③ 完成传染后 , 继续监视系统的运行 , 试图寻找新的攻击目标。

返回本章首页


·319·

（ 2 ）操作系统型病毒是怎样进行传染的 ① 将 Boot区中病毒代码首先读入内存的 0000: 7C00 处； ② 病毒将自身全部代码读入内存的某一安全地区、常驻内存 , 监视系统的

运行； ③ 修改 INT 13H中断服务处理程序的入口地址 ,使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘 ,都离不开对磁盘的读写操作 ,修改 INT13H中断服务程序的入口地址是一项少不了的操作；

④ 病毒程序全部被读入内存后才读入正常的 Boot内容到内存的 0000: 7C00 处 , 进行正常的启动过程；

⑤ 病毒程序伺机等待随时准备感染新的系统盘或非系统盘。如果发现有可攻击的对象 , 病毒要进行下列的工作： a. 将目标盘的引导扇区读入内存 , 对该盘进行判别是否传染了病毒；

返回本章首页


·320·

b. 当满足传染条件时 , 则将病毒的全部或者一部分写入 Boot区 , 把正常的磁盘的引导区程序写入磁盘特写位置； c.返回正常的 INT 13H中断服务处理程序 , 完成了对目标盘的传染。

2. 计算机病毒的传播途径（ 1 ）移动存储设备（包括软盘、磁带等）中 U盘是使用最广泛、移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。（ 2 ）通过网络传播，如电子邮件、 BBS 、网页、即时通讯软件等。（ 3 ）利用系统、应用软件漏洞进行传播。（ 4 ）利用系统配置缺陷传播。（ 5 ）通过点对点通信系统和无线通道传播，在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞。

返回本章首页


·321·

7.2.6 计算机病毒与故障、黑客软件的区别1. 计算机病毒与计算机故障的区别

（ 1 ）计算机病毒的表现 ①屏幕显示异常 , 屏幕显示出不是由正常程序产生的画面或字符串 , 屏幕显示混乱 ; ② 程序装入时间增长 , 文件运行速度下降 ; 　　　　 ③用户没有访问的设备出现工作信号 ; 　　　　 ④磁盘出现莫名其妙的文件和坏块 , 卷标发生变化 ; ⑤ 系统自行引导 ; ⑥丢失数据或程序 , 文件字节数发生变化 ; 　　　　 ⑦内存空间、磁盘空间减小 ; ⑧异常死机 ; ⑨磁盘访问时间比平时增长 ; ⑩系统引导时间增长。

返回本章首页


·322·

（ 2 ）与病毒现象类似的硬件故障硬件的故障范围不太广泛 , 但是很容易被确认。在处理计算机的异常现象时很容易被忽略 , 只有先排除硬件故障 ,才是解决问题的根本。　　　 ①系统的硬件配置

② 电源电压不稳定 ③插件接触不良 ④ 软驱故障

（ 3 ）与病毒现象类似的软件故障 ①出现“ Invalid drive specification”(非法驱动器号 ) 　这个提示是说明用户的驱动器丢失 , 如果用户原来拥有这个驱动器 , 则可能是这个驱动器的主引导扇区的分区表参数破坏或是磁盘标志 50AA被修改。遇到这种情况用 DEBUG或 NORTON 等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。

返回本章首页


·323·

②引导过程故障　系统引导时屏幕显示“Missing operating system” （操作系统丢失） , 故障原因是硬盘的主引导程序可完成引导 , 但无法找到DOS 系统的引导记录。造成这种现象的原因是 C盘无引导记录及 DOS 系统文件 , 或 CMOS 中硬盘的类型与硬盘本身的格式化时的类型不同。需要将系统文件传递到 C盘上或修改 CMOS 配置使系统从软盘上引导。 2. 计算机病毒与黑客软件的区别计算机病毒与黑客软件都有隐蔽性、潜伏性、可触发性、破坏性和持久性等基本特点。它们的不同之处在于：病毒寄生在其他文件中，可以自我复制，可以感染其他文件，其目的是破坏文件或系统；而黑客软件能寄生，不可复制和感染文件，其目的是盗取密码和远程监控系统。

返回本章首页


·324·

7.3 计算机病毒的分类 1. 按照寄生方式和传染途径分类

人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

（ 1 ）引导型病毒引导型病毒是一种在ROM BIOS 之后，系统引导时出现的病毒，它先于操

作系统，依托的环境是 BIOS 中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

返回本章首页


·325·

（ 2 ）文件型病毒文件型病毒主要以感染文件扩展名为 .com 、 .exe 和 .ovl等可

执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引入内存。

大多数文件型病毒都是常驻在内存中的。文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的，若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序，如 dBASE病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒，这类病毒寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。

返回本章首页


·326·

（ 3 ）混合型病毒混合型病毒综合系统型和文件型病毒的特性，这种病毒透过这两种方式来感染，更增加了病毒的传染性以及存活率。

2. 按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。（ 1 ）单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。（ 2 ）网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

返回本章首页


·327·

7.4 计算机病毒的发展趋势 1.高频度 2. 传播速度快，危害面广 3. 病毒制作技术新 4. 病毒形式多样化病毒呈现多样化的趋势。病毒分析显示，虽然新病毒不断

产生，但较早的病毒发作仍很普遍，并向卡通图片、 ICQ、 OICQ等方面发展。

5. 病毒生成工具以往计算机病毒都是编程高手制作的，编写病毒显示自己的技

术。“库尔尼科娃”病毒的设计者只是修改下载的 VBS蠕虫孵化器，“库尔尼科娃”病毒就诞生了。

返回本章首页


·328·

7.5 计算机病毒的检测、防范和清除

7.5.1 计算机病毒的检测

7.5.2 计算机病毒的防范

7.5.3 计算机病毒的清除与常用反病毒软件

返回本章首页


·329·

7.5.1 计算机病毒的检测 1. 特征代码法

特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本。病毒如果既感染COM文件，又感染 EXE文件，对这种病毒要同时采集 COM型病毒样本和 EXE型病毒样本。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。

其缺点是速度慢、不能检查多形性病毒、不能对付隐蔽性病毒。

返回本章首页


·330·

2.校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN 和 CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

返回本章首页


·331·

3. 行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的缺点：可能误报警、不能识别病毒名称、实现时有一定难度。

返回本章首页


·332·

7.5.2 计算机病毒的防范首先是防范体系和制度的建立。其次，利用反病毒软件及

时发现计算机病毒侵入，对它进行监视、跟踪等操作，并采取有效的阻止它的传播和破坏。

1. 实时监视技术这个技术为计算机构筑起一道动态、实时的反病毒防线，

通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到对机器性能的影响，一方面根本不用考虑病毒的问题。

返回本章首页


·333·

2. 全平台反病毒技术　　目前病毒活跃的平台有： DOS 、 WINDOWS 95/98 、 WINDOWS NT/2000 、 WINDOWS XP 、 NETWARE等，为了反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，如你用的是 WINDOWS 的平台，则你必须用 WINDOWS版本的反毒软件。如果是企业网络，什么版本的平台都有，那么就要在网络的每一个SERVER 、 CLIENT端上安装 DOS 、 WINDOWS95/98 、 NT/2000 、 XP 等平台的反病毒软件，每一个点上都安装了相应的反病毒模块，每一个点上都能实时地抵御病毒攻击。只有这样，才能作到网络的真正安全和可靠。注意以下十项防范措施：（ 1 ）尽量使用无盘工作站，不用或少用有软驱的工作站。（ 2 ）采用专用文件服务器方式，将整个硬盘划分为 NetWare分区，用软盘启动文件服务器。（ 3 ）少用 Superuisor登录。

返回本章首页


·334·

（ 4 ）运行 NetWare 提供的 SECURITY实用程序，找出网络系统中最薄弱的环节，检查并堵塞潜在的漏洞。

（ 5 ）正确设置文件属性和合理规化用户的访问权限。 NetWare 提供了目录和文件访问权限与属性两种安全性措施，可以有效地防止病毒侵入。

a. 一般不允许多个用户对同一目录有Read 和 Write 权，不允许对其他用户的私人目录有Read 和 File Scan 权。 b. 将所有用户对 PUBLIC 、 LOGIN 等目录的权限设置为 Read 和 File Scan 。 c. 将扩展名为 .EXE和 .COM的文件属性设为 Read Only和 Execute Only,这种设置还可将文件属性 Delete Lnhibit和 Rename Lnhibit等赋于文件。 d. 组目录只允许含有数据文件，一般用户只能Read 和 File Scan 等。 e. 特殊情况下授权一个用户在某目录中有 Access Control和 Supervisory权。

返回本章首页


·335·

（ 6 ）对不能共享的软件，将其可执行文件、覆盖文件如 *.EXE、 *.COM、*.OVL等备份到文件服务器上，定期从文件服务器上拷贝到本地硬盘上进行重写操作。

（ 7 ）接受远程文件输入时，决不要将文件直接写入本地硬盘，而是将远程输入的文件写到软盘上，然后对这些软件进行查毒，确认无毒后再拷贝到本地硬盘。

（ 8 ）采用工作站防毒芯片。在工作站 DOS引导过程中， ROM BIOS 、 Extended BIOS 装入后， Partition Table装入之前，防毒芯片就获得控制权，这样可以防止引导型病毒。

（ 9 ）采用优秀的网络防病毒软件。具有代表性的网络防病毒产品有 LANProtect和 LANCLear for NetWare ，它们是非常优秀的在服务器上运行的防病毒产品。

（ 10 ）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期做文件备份和病毒检测。

返回本章首页


·336·

7.5.3 计算机病毒的清除与常用反病毒软件 1. 如何干净地清除病毒（ 1 ）在安全模式或纯 DOS模式下清除病毒

计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（ Real Mode ，包括正常模式的 Windows 和正常模式的 Windows 下的 “MS-DOS 方式 ” 或 “ 命令提示符 ” 。

在安全模式（ Safe Mode ）或者纯 DOS下进行清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒（建议用干净软盘启动杀毒）。

返回本章首页


·337·

（ 2 ）带毒文件在 \Temporary Internet Files 目录下　　由于这个目录下的文件， Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择 IE 工具栏中的 “ 工具” \“Internet 选项 ”，选择 “ 删除文件 ” 删除即可，如果有提示“ 删除所有脱机内容 ”，也请选上一并删除。（ 3 ）带毒文件在 \_Restore 目录下， *.cpy 文件中　　这是系统还原存放还原文件的目录，只有在装了 Windows Me/XP 操作系统上才会有这个目录，由于系统对这个目录有保护作用。　　对于这种情况需要先取消“ 系统还原 ” 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。（ 4 ）带毒文件在 .rar 、 .zip 、 .cab 等压缩文件中　　要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

返回本章首页


·338·

（ 5 ）病毒在引导区或者 SUHDLOG.DAT 或 SUHDLOG.BAK文件中　　这种病毒一般是引导区病毒，报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；　如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows 、 Linux 等。如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒： a. 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME 系统上通过 “ 添加／删除程序 ” 进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同； b. 用这张软盘引导启动带毒的计算机，然后运行以下命令： A:\>fdisk/mbr A:\>sys a: c:

返回本章首页


·339·

（ 6 ）带毒文件在一些邮件文件中，如 dbx 、 eml 、 box 等　　绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” →选项” →“维护” →“立即清除” →“压缩”。（ 7 ）文件中有病毒的残留代码　　这种情况比较多见的就是带有 CIH 、 Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾，而且并不常见，如 W32/FunLove.app 、 W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

返回本章首页


·340·

（ 8 ）文件错误　这种情况出现的并不多，通常是由于某些病毒对系统中的关键文件修改后造成的，异常的文件无法正常使用，同时易造成别的系统错误，针对此种情况建议进行修复安装的方法恢复系统中的关键文件。

（ 9 ）加密的文件或目录对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

（ 10 ）共享目录杀毒　这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。

返回本章首页


·341·

（ 11 ）光盘等一些存储介质　对于光盘上带有的病毒，不要试图直接清除，这是因为光盘上的文件都是只读的原因导致的。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

2. 常用的反病毒软件（ 1 ）瑞星杀毒软件瑞星杀毒软件 2008版，是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。（ 2 ） Norton AntiVirus 独有 Bloodhound 启发式扫描技术可有效拦截新型未知病毒。（ 3 ）卡巴斯基

返回本章首页


·342·

7.6 计算机染毒以后的危害修复措施 1. 重要数据必须备份

重要数据包括系统的主引导区扇区、 BOOT扇区、 FAT表、根目录区以及用户辛勤劳动的智慧结晶，如绘制的图纸、编制的程序代码、录入的方字等。对于常用的软件或工具，一般都有原盘，因此无须备份。每天工作结束时必须备份重要数据，而且要同时至少备份两份，存放在不同的地方。对于系统信息的备份，可借助 DEBUG、 PCTOOLS 、 NORTON 及反病毒软件等专业工具，将系统信息备份到软盘。

2. 立刻切断电源关机，提高修复成功率 3. 备份染毒信息，以防不测 4. 修复病毒危害

返回本章首页


·343·

7.7 计算机病毒实例 1.宏病毒

宏病毒－是一类主要感染WORD文档和文档模板等数据文件的病毒。宏病毒是使用某个应用程序自带的宏编程语言编写的病毒，目前国际上已发现三类宏病毒：感染WORD系统的WORD宏病毒、感染 EXCEL系统的 EXCEL宏病毒和感染 Lotus Ami Pro的宏病毒。

（ 1 ）宏病毒的原理宏病毒的产生，是利用了一些数据处理系统内置宏命令编写语言的特性而形

成的。（ 2 ）宏病毒的作用机制

一旦病毒宏侵入WORD系统，它就会替代原有的正常宏，如 FileOpen、 FileSave、 FileSaveAs和 FilePrint等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。

返回本章首页


·344·

宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏（包括自动宏）复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档，当被其他计算机的 WORD 系统打开时，便会自动感染该计算机。例如，如果病毒捕获并修改了 FileOpen ，那么，它将感染每一个被打开的 WORD文件。

（ 3 ）宏病毒的特征① 感染数据文件 ②多平台交叉感染③ 容易编写 ④ 容易传播

（ 4 ）宏病毒的主要类型①Nuclear宏病毒

　　这是一个对操作系统文件和打印输出有破坏功能的宏病毒。

返回本章首页


·345·

②台湾一号病毒台湾一号病毒会在每月的 13 日影响您正常使用 Word文档和编辑器。（ 5 ）宏病毒的发现

根据宏病毒的传染机制，不难看出宏病毒传染中的特点，所以发现宏病毒可以通过以下步聚进行：

　　 ①在自己使用的 Word 中打开工具中的宏菜单，点中通用（ Normal ）模板，若发现有“ AutoOpen” 等自动宏，“ FileSave” 等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，这就有可能有病毒了。因为大多数用户的通用（ Normal ）模板中是没有宏的。

　　 ②如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是 Word带有病毒。

　　 ③打开以 DOC 为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板中含有宏，也有可能是 Word 有病毒。

返回本章首页


·346·

（ 6 ）宏病毒的清除 ① 手工清除宏病毒的方法：　　打开宏菜单，在通用模板中删除您认为是病毒的宏。打开带有病毒宏的

文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。保存清洁文档。

② 用专业杀毒软件方法 1 ：用 WordBasic语言以Word模板方式编制杀毒工具，在Word环境中杀毒。

　方法 2 ：根据 WordBFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏。（ 7 ）全自动清除宏病毒的工具Word—VRV 　 Word-VRV是用 WordBasic语言以Word模板方式编制的杀毒工具，它在Word环境中杀毒。　 WORD-VRV由 WORDVRV.DOT 用于中文版Word 中使用， EWORD-VRV.DOT 用于英文版Word 中使用， README.EXE三个文件组成。

返回本章首页


·347·

2. 文件型病毒（ 1 ） Funlove 病毒

① 病毒简介Funlove 病毒是一个Win32下的 PE病毒，因病毒体内含有字

符串 "~Fun Loving Criminal~"而命名为 Funlove 病毒。属驻留内存、感染文件型，感染 EXE、 SCR 、 OCX 三种类型的文件，被感染文件增长 4099 字节，病毒进驻系统后将会在Windows 的 System目录下建立 flcss.exe 文件，是病毒本身的点滴器，长度 4608 字节。

② 清除方法如果用户的系统盘是 NTFS格式的，最好使用金山公司的 Funlove病毒专杀工具进行清除。

返回本章首页


·348·

（ 2 ） Wormdll病毒 ①Wormdll（ W32.Parite.B）病毒简介

Wormdll是一个多态病毒，在被感染计算机上生成一个包含该病毒的可执行文件。并且感染扩展名为 EXE（可执行文件）和 SCR( 屏幕保护 )的文件。 Parite.B通过病毒采用的常用方式进行传播 ( 光盘，电子邮件， Internet 下载等 )。此外，它还通过网络传播。如果它感染了网络中的一台计算机，它搜索所有的网络共享磁盘，将自身复制其上。

② 清除方法如果系统是 Windows 98/me 的话，请用干净的启动盘启动计算机，然后用 DOS版的杀毒软件进行清除。如果系统是 2000/XP ，并且系统盘为 NTFS格式的话，请选择在安全模式下清除病毒。不管是哪个系统，清除病毒后都最好手工删除注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\PINF。

返回本章首页


·349·

（ 3 ）文件型病毒的防范 ①平时养成良好的习惯，计算机要安装防毒软件并打开实时监控程序，病毒库及时升级。 ②对来历不明的软件要先查毒后运行。 ③注意数据的备份。

3. 其他的网络病毒（ 1 ） U盘寄生虫 ① 病毒简介 U盘寄生虫是一个利用 U盘等移动存储设备进行传播的蠕虫。 ② 检测及清除方法方法 1 ：使用杀毒软件查杀病毒，打开我的电脑，使用 X:\ 命令打开相应的盘，复制资料，然后格式化可移动设备。方法 2 ：使用杀毒软件查杀病毒，然后选择“开始” →“运行”命令，在对话框中输入 regedit，打开注册表，查找HKEY_CLASSES_ROOT\Drive\shell，将其键值下面的内容全部删除。

返回本章首页


·350·

（ 2 ） ARP 病毒 ① 病毒简介

ARP 病毒也叫ARP 地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的 ARP 数据包，严重干扰全网的正常运行。主要症状：该病毒主要通过 ARP欺骗实施攻击和破坏行为，中毒现象表现为以下几点：

使用校园网时突然掉线，过一段时间后又恢复正常。用户频繁断网， IE浏览器频繁出错。一些常用软件出现故障。使用身份认证上网的用户，出现通过认证，但无法上网的情况。

② 检测 ARP欺骗木马方法

返回本章首页


·351·

方法 1 ：同时按住键盘上的 ctrl+alt+del键，打开“任务管理器”窗口，选择“进程”选项卡，查看其中是否有一个“MIR0.dat” 的进程，如果有说明中毒，右击该进程，选择“结束进程”命令。

方法 2 ：选择“开始” →“运行”命令，输入 cmd ，在dos 提示符下输入 arp –d ，按回车键。重新尝试上网，如果能短暂访问，说明此次断网是受木马病毒影响。

③ 清除方法方法 1 ：检查是否存在“MIR0.dat” 的进程，有则结束进程。方法 2 ：清空ARP缓存表。

（ 3 ）MSN 病毒 ① 病毒简介病毒会通过 MSN 发送“ hola, My Christmas picture for you :) （这是我的圣诞照片，给你）”等多种语言版本的诱惑性信息，随后会试图发送一个名为“ Chirstmas-2007.zip” 的压缩文件，用户接受运行后就会中毒。

返回本章首页


·352·

② 清除方法 a. 清除掉内存中的病毒　按住 Ctrl+Shift+Esc 调出“任务管理器”，选择“进程”选项卡，找到名为“ servidevice.exe” 的进程，在其上右击，选择“结束进程”命令。 b. 删除染毒文件　打开“我的电脑”，选择菜单“工具” →“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件” ，在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。进入 Windows文件夹（默认为 C:Windows ），找到名为“ servidevice.exe” 和“ Chirstmas-2007.zip” 的文件，将它们删除。 c. 删除注册表中的病毒信息　打开注册表编辑器 , 在 HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun 中找到“ ryan1918” 一项，将其删除。　

返回本章首页


·353·

作业1.什么是计算机病毒？2. 计算机病毒的基本特征是什么？3. 计算机病毒按寄生方式和传染途径分哪几类？4. 计算机病毒一般由哪几部分组成？5. 检测计算机病毒的常用方法有哪些？6. 计算机病毒的发展主要经历了哪几个阶段？7. 计算机病毒和故障、黑客软件的主要区别是什么？

返回本章首页


·354·

第 8章网络安全技术

8.1 计算机网络安全概述8.2 OSI 的安全服务和安全机制8.3 网络安全体系结构8.4 常用的网络安全技术8.5 计算机网络安全设计

返回本章首页


·355·

学习目标了解计算机网络安全面临的威胁掌握 OSI 的安全服务和安全机制明确网络安全体系结构的主要内容了解常用的网络安全技术明确计算机网络安全设计的原则和步骤

返回本章首页


·356·

8.1 计算机网络安全概述

8.1.1 网络安全面临的威胁8.1.2 网络安全的目标8.1.3 网络安全的特点

返回本章首页


·357·

8.1.1 网络安全面临的威胁计算机网络所面临的威胁大体可分为两种 :一是对网络中

信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多 ,有些因素可能是有意的 , 也可能是无意的；可能是人为的 ,也可能是非人为的；还可能是外来黑客对网络系统资源的非法占有。

（ 1 ）来自内部的威胁（ 2 ）窃听（ 3 ）非法访问（ 4 ）破坏信息的完整性（ 5 ）破坏系统的可用性

（ 6 ）重演（ 7 ）行为否认（ 8 ）拒绝服务攻击（ 9 ）病毒传播（ 10 ）其他威胁

返回本章首页


·358·

8.1.2 网络安全的目标在设计网络系统的安全时，应努力通过相应手段达到以下 5项安全目

标： 1. 可靠性 (Reliability)：系统在规定条件下和规定时间内，完成规定功

能的概率。 2. 可用性 (Availability)：信息和通信服务在需要时允许被授权的

人或实体使用。 3. 保密性 (Confidentiality)：防止信息泄漏给非授权个人或实体，信息只被授权用户使用。

4. 完整性 (Integrity)：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。

5. 不可抵赖性 (Non-Repudiation)：也称作不可否认性，在一次通信中，参与者的真实同一性。

返回本章首页


·359·

8.1.3 网络安全的特点

根据网络安全的历史及现状，可以看出网络安全大致有以下几个特点：

1. 网络安全的涉及面越来越广 2. 网络安全涉及的技术层面越来越深 3. 网络安全的黑盒性 4. 网络安全的动态性 5. 网络安全的相对性

返回本章首页


·360·

8.2 OSI 的安全服务和安全机制

8.2.1 安全服务8.2.2 安全机制8.2.3 安全服务与安全机制的关系8.2.4 服务、机制与层的关系

返回本章首页


·361·

OSI 安全体系结构的研究始于 1982 年，于 1988 年完成，其成果标志是 ISO 发布了 ISO7498-2 标准，作为 OSI 基本参考模型的补充。这是基于 OSI参考模型的七层协议之上的信息安全体系结构。它定义了 5 类安全服务、 8 种特定的安全机制。8.2.1 安全服务 1.鉴别安全服务鉴别服务能够保证接收到的数据是正确的、一致的，可以提供对通信中的对等实体和数据来源的鉴别。当由（ N ）层提供对等实体鉴别服务时，这种服务当由 (N)层提供时 , 将使 (N+1)实体确信与之打交道的对等实体正是它所需要的 (N+1)实体。这种服务生在连接建立或在数据传送阶段的某些时刻提供使用 , 用以证实一个或多个连接实体的身份。使用这种服务可以确信 ( 仅仅在使用时间内 ): 一个实体此时没有试图冒充别的

返回本章首页


·362·

实体 , 或没有试图将先前的连接作非授权地重演。实施单向或双向对等实体鉴别是可能的 , 可以带有效期检验 , 也可以不带。这种服务能够提供各种不同程度的保护。

2. 访问控制安全服务这种服务提供保护以对付OSI 可访问资源的非授权使用。这些资源可以是经OSI协议访问到的 OSI 资源或非OSI 资源。这种保护服务可应用于对资源的各种不同类型的访问 ( 例如 : 使用通信资源；读、写或删除信息资源；处理资源的执行 )或应用于对一种资源的所有访问。这种访问控制要与不同的安全策略协调一致。

返回本章首页


·363·

3. 数据机密性安全服务这种服务对数据提供保护使之不被非授权地泄露；分述如下 : （ 1 ）连接机密性这种服务为一次 (N)连接上的全部 (N)用户数据保证其机密性。（ 2 ）无连接机密性这种服务为单个无连接的 (N)SDU 中的全部 (N)用户数据保证其机密性。（ 3 ）选择字段机密性这种服务为那些被选择的字段保证其机密性 , 这些字段或处于(N)连接的 (N) 用户数据中 , 或为单个无连接的 (N)SDU 中的字段。

（ 4 ）通信业务流机密性这种服务提供的保护 , 使得通过观察通信业务流而不可能推断出其中的机密信息。

返回本章首页


·364·

4. 数据完整性这种服务对付主动威胁 , 可取如下所述的各种形式之一。 (1) 带恢复的连接完整性这种服务为 (N)连接上的所有 (N)用户数据保证其完整性 , 并检测整个 SDU 序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复 )。 (2)不带恢复的连接完整性与带恢复的连接完整性的服务相同 , 只是不作补救恢复 (3)选择字段的连接完整性这种服务为在一次连接上传送的 (N)-SDU 的 (N)用户数据中的选择字段保证其完整性 , 所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。

返回本章首页


·365·

(4)无连接完整性这种服务当由 (N)层提供时 , 对发出请求的那个 (N+1)

实体提供完整性保证。这种服务为单个的无连接 SDU 保证其完整性 , 所取形式可以是确定一个接受到的 SDU 是否遭受了篡改。另外 , 在一定程度上也能提供对重演的检测。 (5) 选择字段无连接完整性

这种服务为单位无连接的 SDU 中的被选字段保证其完整性 , 所取形式为确定被选字段是否遭受了篡改。

返回本章首页


·366·

5.抗抵赖安全服务这种服务可取如下两种形式 , 或两者之一。（ 1 ）有数据原发证明的抗抵赖为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。（ 2 ）有交付证明的抗抵赖为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容的企业不能得逞。

返回本章首页


·367·

8.2.2 安全机制安全机制是对信息系统的部件进行检测及防止被动与主动威

胁的方法。安全机制可以分为两类，一类与安全服务密切相关，被用来实现各项安全服务；另一类与管理功能相关，被用于加强对安全系统的管理。 1. 加密机制加密既能为数据提供机密性 , 也能为通信业务流信息提供机密性，并且还成为在下面所述的一些别的安全机制中的一部分或起补充作用。 2. 数字签名机制这种机制确定两个过程 :a. 对数据单元签名； b.验证签过名的数据单元。第一过程使用签名者所私有的 (即独有的和机密的 )。第二个过程所有的规程与信息是公之于众的 , 但不能够从它们推断出该签名者的私有信息。

返回本章首页


·368·

3. 访问控制机制为了决定和实施一个实体的访问权 , 访问控制机制可以使

用该实体已鉴别的身份 , 或使用有关该实体的信息 ( 例如它与一个已知的实体集的从属关系 ),或使用该实体的权力。

a. 访问控制信息库 , 在这里保存有对等实体的访问权限。；b.鉴别信息 , 例如口令 , 对这一信息的占有和出示便证明

正在进行访问的实体已被授权；c. 权力 : 对它的占有和出示便证明有权访问由该权力所规

定的实体或资源；注 : 权力应是不可伪造的并以可信赖的方式进行运送。

d. 安全标记 : 当与一个实体相关联时 , 这种安全标记可用来表示同意或拒绝访问 , 通常根据安全策略而定；

返回本章首页


·369·

e.试图访问的时间；f.试图访问的路由；g. 访问持续期。

4. 数据完整性机制数据完整性有两个方面 : 单个数据单元或字段的完整性

以及数据单元流或字段流的完整性。一般来说 , 用来提供这两种类型完整性服务的机制是不相同的 , 尽管没有第一类完整性服务 , 第二类服务是无法提供的。

返回本章首页


·370·

5.鉴别交换机制这种机制可设置在 (N)层以提供对等实体鉴别。如果在鉴别实体时 ,这一机制得到否定的结果 , 就会导致连接的拒绝或终止 , 也可能使在安全审计跟踪中增加一个记录 , 或给安全管理中心一个报告。当采用密码技术时 , 这些技术可以与“握手”协议结合起来以防止重演 (即确保存活期 )。鉴别交换技术的选用取决于使用它们的环境。在许多场合 , 它们将必须与下列各项结合使用 :

a. 时间标记与同步时钟； b. 两方握手和三方握手 (分别对应于单方鉴别和相互鉴别 ) ； c. 由数字签名和公证机制实现的搞抵赖服务。 6. 通信业务填充机制通信业务填充机制能用来提供各种不同级别的保护 , 抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。

返回本章首页


·371·

7. 路由选择控制机制路由能动态地或预定地选取 , 以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时 , 端系统可希望指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者 (或无连接数据单元的发送者 )可以指定路由选择说明 ,由它请求回避某些特定的子网络、链路或中继。 8.公证机制有关在两个或多个实体之间通信的数据的性质 , 如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任 , 并掌握必要信息以一种可证实方式提供所需的保证。

返回本章首页


·372·

8.2.3 安全服务与安全机制的关系 ISO7498-2 标准说明了实现哪些安全服务应该采用哪种机

制，参见表 8-1 。

返回本章首页


·373·

8.2.4 服务、机制与层的关系 1. 安全分层原则（ 1 ）实现一种服务的不同方法越少越好。（ 2 ）在多个层上提供安全服务来建立安全系统是可取的。（ 3 ）为安全所需的附加功能度不应该不必要地重复 OSI 的现有功能。（ 4 ）避免破坏层的独立性（ 5 ）可信度功能度的总量应尽量少（ 6 ）只要一个实体依赖于由位于较低层的实体提供的安全机制，那么如何中间层应该按不违反安全的方式运作。

（ 7 ）只要可能，应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能。

（ 8 ）本原则应用于由包含所有7层的端系统组成的开放系统，以及中继系统。

返回本章首页


·374·

2.OSI各层的安全防护物理层的安全防护：在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方法。链路层的安全防护：主要是链路加密设备对数据加密保护。网络安全的安全防护：主要采用防火墙作为安全防护手段，实现初级的安全防护。传输层的安全防护：传输层支持多种安全服务：如对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务等。会话层和表示层几乎不提供安全服务。应用层的安全防护：原则上讲所有安全服务都可以在应用层提供。

返回本章首页


·375·

8.3 网络安全体系结构8.3.1 物理安全8.3.2 网络安全8.3.3 信息安全8.3.4 安全管理

返回本章首页


·376·

8.3.1 物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

1. 环境安全环境安全指对系统所在环境的安全保护，如区域保护和灾难保护。 2. 设备安全设备安全主要包括设备的防盗、防毁、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高员工的整体安全意识来实现。 3. 媒体安全媒体安全包括媒体数据的安全及媒体本身的安全。

返回本章首页


·377·

8.3.2 网络安全 1.隔离及访问控制系统

首先要有严格的管理制度，可制定诸如“用户授权实施规则”、“密码及账户管理规范”、“权限管理制度”等一系列的规章制度。第二，通过划分虚拟子网，实现较粗略的访问控制。第三，配置防火墙。 2. 网络安全检测定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。 3. 审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程，它是提供安全性的重要工具。除此之外，应该使用较为成熟的网络监控设备或实时入侵检测设备，对进出各级局域网的常见操作系统进行实时检查、监控、报警和阻断。

返回本章首页


·378·

4. 网络反病毒网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。

5. 网络备份系统一般数据的备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些备份之后更改过的文件；三是差分备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁介质就可恢复最后一次全盘备份的数据和最后一次差分备份的数据。

返回本章首页


·379·

8.3.3 信息安全信息安全主要涉及到信息传输的安全、信息存储的安全以

及对网络传输信息内容的审计三方面。1.鉴别鉴别是对网络中的主体进行验证的过程，通常有三种方法

验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。

2. 数据传输加密技术目的是对传输中的数据流加密，以防止通信线路上的窃听、

泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于 OSI 网络层以下的加密），节点加密，端到端加密。

返回本章首页


·380·

目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施： (1) 报文鉴别：与数据链路层的 CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量 ICV（ Integrated Check Vector ）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的 ICV，这样，接收方收到数据后解密并计算 ICV，若与明文中的 ICV不同，则认为此报文无效。 (2) 校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。 (3)加密校验和：将文件分成小快，对每一块计算 CRC校验值，然后再将这些 CRC值加起来作为校验和。

返回本章首页


·381·

(4)消息完整性编码MIC （Message Integrity Code ）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。 (5) 防抵赖技术：它包括对源和目的地双方的证明，常用方法是数字签名。 3. 数据存储安全系统（ 1 ）物理完整性（ 2 ）逻辑完整性，能够保持数据库结构。（ 3 ）元素完整性，每个元素中的数据是正确的（ 4 ）数据的加密（ 5 ）用户鉴别（ 6 ）可获得性，指用户一搬可访问数据库和所有授权访问的数据。（ 7 ）可审计性，能够追踪到谁访问过数据库。

返回本章首页


·382·

4. 信息内容审计系统实时对进出内部网络的信息进行内容审计，可防止或追

查可能的泄密行为。

8.3.4 安全管理 1. 安全管理的原则（ 1 ）多人负责原则。 ① 访问控制使用证件的发放与回收。 ② 信息处理系统使用的媒介发放与回收。 ③ 处理保密信息。 ④ 硬件和软件的维护。 ⑤ 系统软件的设计、使用和修改。 ⑥ 重要程序和数据的删除和销毁等。（ 2 ）任期有限原则。

返回本章首页


·383·

2. 安全管理的实现（ 1 ）根据工作的重要程度，确定该系统的安全等级。（ 2 ）根据确定的安全等级，确定安全管理的范围。（ 3 ）制定相应的机房出入管理制度。（ 4 ）制定严格的操作规程。（ 5 ）制定完备的系统维护制度。（ 6 ）制定应急措施。

（ 3 ）职责分离原则。 ① 计算机操作与计算机编程。②机密资料的接收和传送。③安全管理和系统管理。④应用程序和系统程序的编制。⑤访问证件的管理与其他工作。⑥计算机操作与信息处理系统使用媒介的保管等。

返回本章首页


·384·

8.4 常用的网络安全技术 1. 数据加密技术

数据加密技术是网络中最基本的安全技术，是信息安全的核心。主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。

2. 防火墙技术防火墙系统是一种网络安全部件，它可以是硬件，也可

以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。

返回本章首页


·385·

3. 网络安全扫描技术网络安全扫描技术是为使系统管理员能够及时了解系统中

存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、 Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。（ 1 ）网络远程安全扫描

（ 2 ）防火墙系统扫描（ 3 ） Web 网站扫描（ 4 ）系统安全扫描

返回本章首页


·386·

4. 网络入侵检测技术　　网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。

5. 黑客诱骗技术　黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（ Honeypot）系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。

返回本章首页


·387·

6. 无限局域网安全技术（ 1 ）服务集标识符

通过对多个无线接入点 AP(Access Point)设置不同的 SSID ，并要求无线工作站出示正确的 SSID才能访问 AP ，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。（ 2 ）物理地址过滤 (MAC) 由于每个无线工作站的网卡都有唯一的物理地址，因此可以在 AP 中手工维护一组允许访问的MAC 地址列表，实现物理地址过滤。（ 3 ）连线对等保密 (WEP) 在链路层采用 RC4 对称加密技术，用户的加密密钥必须与 AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。（ 4 ） Wi-Fi 保护接入 (WPA)

返回本章首页


·388·

其原理为根据通用密钥，配合表示电脑MAC 地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP 一样将此密钥用于 RC4 加密处理。（ 5 ）国家标准 (WAPI) 即无线局域网鉴别与保密基础结构，它是针对 IEEE802.11 中 WEP协议安全问题，在中国无线局域网国家标准 GB15629.11 中提出的 WLAN 安全解决方案。同时本方案已由 ISO/IEC授权的机构 IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端 (MT)与无线接入点 (AP) 间双向鉴别。（ 6 ）端口访问控制技术 (802.1x) 该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站 STA与无线访问点 AP 关联后，是否可以使用 AP 的服务要取决于 802.1x的认证结果。如果认证通过，则 AP 为 STA打开这个逻辑端口，否则不允许用户上网。

返回本章首页


·389·

8.5 计算机网络安全设计

8.5.1 网络安全设计的原则8.5.2 网络安全设计的步骤

返回本章首页


·390·

8.5.1 计算机网络安全设计在进行网络系统安全设计时，应遵循以下原则：（ 1 ）需求、风险、代价平衡分析的原则（ 2 ）综合性、整体性原则（ 3 ）一致性原则（ 4 ）易操作性原则（ 5 ）适应性及灵活性原则（ 6 ）多重保护原则（ 7 ）可评价性原则

返回本章首页


·391·

8.5.2 网络安全设计的步骤

（ 1 ）明确安全需求，进行风险分析（ 2 ）选择并确定网络安全措施（ 3 ）方案实施（ 4 ）网络试验和运行（ 5 ）优化、改进

返回本章首页


·392·

作业1. 概括计算机网络安全所面临的威胁。2. 在设计网络系统的安全时，应努力达到哪些安全目标？3.试根据网络安全的历史及现状，归纳网络安全的特点。4.简述OSI 的安全服务、安全机制及其相互之间的关系。5. 网络安全体系结构包含哪些方面？6. 理解并概括网络安全体系结构中网络安全的内容。7. 网络安全系统结构中信息安全包含哪些方面？8. 常用的网络安全技术有哪些？9. 在进行网络系统安全设计时，应遵循哪些原则？10.简述网络安全设计的步骤。

返回本章首页


·393·

第 9章防火墙技术 9.1 防火墙概述 9.2 防火墙技术的分类 9.3 常见的防火墙系统结构 9.4 防火墙的选购结构 9.5 防火墙实例

返回本章首页


·394·

学习目标掌握防火墙技术的定义，了解防火墙技术的作用、局限性及其现状和发展趋势；

掌握防火墙技术的分类掌握防火墙技术的体系结构及其优缺点了解防火墙的选购策略和瑞星个人防火墙的安装和使用方法

返回本章首页


·395·

9.1 防火墙技术概述

9.1.1 防火墙的定义 9.1.2 防火墙的作用 9.1.3 防火墙的局限性 9.1.4 防火墙技术的现状及发展趋势

返回本章首页


·396·

9.1.1 防火墙的定义防火墙（ Firewall）是一种将内部网和公众网如 Internet

分开的方法。它能限制被保护的网络与 Internet网络之间，或者与其他网络之间进行的信息存取、传递操作，可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。

防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间（如企业内部网络和 Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

返回本章首页


·397·

9.1.2 防火墙的作用（ 1 ）防火墙是网络安全的屏障。防火墙作为网络当中的阻

塞点及控制点，能够极大的提高一个内部网络的安全性，并通过过滤布安全的服务而降低风险。

（ 2 ）防火墙可以强化网络安全策略。以防火墙为中心的网络配置方案，能够将所有安全软件，如密码、加密、身份验证、审计等，配置在防火墙上。

（ 3 ）防火墙可以对网络的存取和访问进行监控、审计。（ 4 ）防火墙可以防止内部信息的外泄。防火墙能够对内部

网络进行划分，从而实现内部网络中重点网段的隔离，有效限制局部重点或敏感网络安全问题对全局网络造成的影响。

（ 5 ）防火墙可以限制网络暴露。

返回本章首页


·398·

9.1.3 防火墙的局限性（ 1 ）防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，

防火墙无法检查。（ 2 ）防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设

计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。

（ 3 ）防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。

（ 4 ）防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。

（ 5 ）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。

返回本章首页


·399·

（ 6 ）防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。

（ 7 ）防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。

（ 8 ）防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

（ 9 ）防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。

（ 10 ）防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

返回本章首页


·400·

9.1.4 防火墙技术的现状及发展趋势（ 1 ）防火墙发展的阶段

① 第一代防火墙—包过滤防火墙。由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

② 第二代防火墙—代理防火墙。它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效的防止对内部网络的直接攻击，安全性提高。

③ 第三代防火墙—状态监控功能防火墙，可以对每一层数据包进行检测和监控。

④ 第四代防火墙—复合型防火墙。

返回本章首页


·401·

（ 2 ）防火墙特点 ① 所有内部网络和外部网络之间传输的数据都必须经过防

火墙。②只有被授权的合法数据，可以通过防火墙。③ 防火墙本身应能抵御各种攻击的影响。④ 防火墙应使用目前较先进的信息安全技术。⑤ 防火墙应具有较好的人机界面，方便用户进行配置和管

理（ 3 ）防火墙发展趋势 ① 防火墙的性能将更加优良。 ② 防火墙具有可扩展的结构和功能。 ③ 防火墙要具有简化的安装于管理。 ④ 防火墙要有主动过滤的能力。 ⑤ 防火墙应有防病毒与黑客的能力。

返回本章首页


·402·

9.2 防火墙技术的分类 9.2.1 包过滤防火墙技术 9.2.2 包过滤防火墙技术的优缺点 9.2.3 代理防火墙技术 9.2.4 代理防火墙技术的优缺点

返回本章首页


·403·

9.2.1 包过滤防火墙技术包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。根

据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、 TCP/UDP源端口号、 TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。

例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实（如 TCP端口 23 用于 Telnet连接），使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。

包过滤技术作为防火墙的应用有三类：一是路由设备在完成路由选择和数据转发之外 , 同时进行包过滤，这是目前较常用的方式；二是在工作站上使用软件进行包过滤 , 这种方式价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。

返回本章首页


·404·

1．什么是包过滤

包过滤就是用一个软件查看所流经的数据包的包头 (header)，由此决定整个数据包是否允许通过。它可能会决定丢弃 (DROP)这个包，可能会接受 (ACCEPT) 这个包 (让这个包通过 )，也可能执行其他更复杂的动作。

2. 包过滤防火墙的工作原理

（ 1 ）使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。如图 8-8 所示，用于过滤数据包的路由器被称为过滤路由器。

返回本章首页


·405·

图 9-1 用过滤路由器过滤数据包

数据包过滤是通过对数据包的 IP头和 TCP 或 UDP头的检查来实现的，主要信息有：

•TCP 或 UDP 包的源端口 •TCP 或 UDP 包的目的端口 •ICMP消息类型•数据包到达的端口

•IP 源地址 •IP 目的地址 •协议 (TCP 包、 UDP 包和 ICMP 包 )•TCP 包头中的 ACK位

返回本章首页


·406·

（ 2 ）过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。

普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目的地址为基础的，存在着两种可能性：若路由器可以找到一条路径到达目的地址则发送出去；若路由器不知道如何发送数据包则发送一个“数据不可达”的数据包给发送者。

过滤路由器会进一步地检查数据包，除了决定是否有到达目的地址的路径外，还要决定是否应该发送数据包，“应该与否”是由路由器的过滤策略决定并强行执行的。路由器的过滤策略主要有：

返回本章首页


·407·

拒绝来自某主机或某网段的所有连接。允许来自某主机或某网段的所有连接。拒绝来自某主机或某网段的指定端口的连接。允许来自某主机或某网段的指定端口的连接。

9.2.2 包过滤防火墙技术的优缺点1. 包过滤防火墙技术的优点（ 1 ）应用包过滤技术不用改动客户机和主机上的应用程序。（ 2 ）一个单独的、放置恰当的数据包过滤器路由器有助于保护整个网络。（ 3 ）数据包过滤技术对用户没有特殊的要求。（ 4 ）大多数路由器都具有数据包过滤功能。2. 包过滤防火墙技术的缺点（ 1 ）不能识别不同用户和防止 IP 地址欺骗。（ 2 ）在许多过滤器中，过滤规则的数目是有限制的。

返回本章首页


·408·

（ 3 ）当前的过滤工具并不完善。（ 4 ）数据包过滤路由器不能有效的过滤诸如 UDP 、 RPC 、 FTP之类

的协议。（ 5 ）大多数过滤器中缺乏审计和报警机制。（ 6 ）数据包过滤技术对安全管理人员素质要求较高。9.2.3 代理防火墙技术

应用代理型防火墙是工作在OSI 的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。而且，还可记录所有应用程序的访问情况，记录和控制所有进出流量的能力是代理防火墙的主要优点之一。代理防火墙一般是运行代理服务器的主机。

返回本章首页


·409·

代理服务器指代表客户处理与服务器连接的请求的程序。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规则，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储着用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。

代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机，工作原理如图 9-2 所示。

返回本章首页


·410·

ÕæÊµ·þÎñÆ÷

Íâ²¿ ÏìÓ¦ ×ª·¢ÇëÇó

Ó¦ÓÃ²ã´úÀí·þÎñ

´úÀí·þÎñÆ÷

ÇëÇó×ª·¢ÏìÓ¦

I

ÕæÊµµÄ¿Í»§¶Ë

Ó¦ÓÃÐ Òé

·ÖÎö´úÀí¿Í»§

Internet

Intranet

图 9-2 代理的工作方式

返回本章首页


·411·

9.2.4 代理防火墙技术的优缺点 1. 代理防火墙技术的主要优点

(1) 代理易于配置。因为代理是一个软件，所以它较过滤路由器更易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。

(2) 代理能生成各项记录。因代理工作在应用层，它检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析和安全检验是十分重要和宝贵的。当然，也可以用于记费等应用。

(3) 代理能灵活、完全地控制进出流量和内容。通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，比如可说控制“谁”和“什么”还有“时间”和“地点”。

(4) 代理能过滤数据内容。

返回本章首页


·412·

(5) 代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加解密的功能，从而方便用户，确保数据的机密性。这点在虚拟专用网中特别重要。

(6) 代理可以方便地与其他安全手段集成。目前的安全问题解决方案很多，如认证 (Authentication)、授权 (Authorization)、账号 (Accouting)、数据加密和安全协议 (SSL)等。如果把代理与这些手段联合使用，将大大增加网络安全性。这也是近期网络安全的发展方向。

2. 代理防火墙技术的主要缺点 (1) 代理速度较路由器慢。 (2) 代理对用户不透明。 (3) 对于每项服务代理可能要求不同的服务器。

(4) 代理服务通常要求对客户、过程之一或两者进行限制。

返回本章首页


·413·

(5) 代理服务不能保证免受所有协议弱点的限制。作为一个安全问题的解决方法，代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。(6) 代理不能改进底层协议的安全性。因为代理工作于 TCP/IP之上，属于应用层，所以它就不能改善底层通信协议的能力。如 IP欺骗、 SYN(Synchronize ，同步 )泛滥、伪造 ICMP消息和一些拒绝服务的攻击。而这些方面，对于一个网络的健壮性是相当重要的。

返回本章首页


·414·

9.3 常见的防火墙系统结构1. 屏蔽路由器 (Screening Router) 结构屏蔽路由器结构是防火墙最基本的结构。它可以由厂家

专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查，如图 9-3 所示。路由器上可装基于 IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。屏蔽路由器对用户透明，而且设置灵活，所以应用比较广泛。这种体系结构存在以下缺点：

返回本章首页


·415·

Internet

¹¤×÷Õ¾ ¹¤×÷Õ¾ ·þÎñÆ÷

ÄÚ²¿ÍøÂç

¹¤×÷Õ¾ ·þÎñÆ÷ ·À»ðÇ½

ÆÁ±ÎÂ·ÓÉÆ÷

图 9-3 屏蔽路由器示意图

(1) 没有或有很简单的日志记录功能，网络管理员很难确定网络系统是否正在被攻击或已经被入侵。(2) 规则表随着应用的深化会变得很大而且很复杂。(3) 依靠一个单一的部件来保护网络系统，一旦部件出现问题，会失去保护作用，而用户可能还不知道。

返回本章首页


·416·

2. 双穴主机网关 (Dual Homed Gateway) 结构这种配置是用一台装有两块网卡的堡垒主机做防火墙。

两块网卡各自与受保护网和外部网相连，每块网卡都有独立的IP 地址。堡垒主机上运行着防火墙软件 (应用层网关 )，可以转发应用程序，也可提供服务等功能，如图 9-4 所示。

堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机 ,所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是 Internet。

返回本章首页


·417·

¹¤×÷Õ¾ ·þÎñÆ÷

·À»ðÇ½

Ë«Ñ¨Ö÷»ú

¹¤×÷Õ¾ ¹¤×÷Õ¾ ·þÎñÆ÷

ÄÚ²¿ÍøÂç

10.162.88.5

202.118.116.5Internet

图 9-4 双穴主机示意图

双穴主机网关优于屏蔽路由器的地方是堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查非常有用，但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。

双穴主机网关的缺点是一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内部网络。

返回本章首页


·418·

3. 屏蔽主机网关 (Screened Host Gateway) 结构屏蔽主机网关易于实现也很安全，因此应用广泛。如图 9-5 所

示，屏蔽主机网关包括一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。进出内部网络的数据只能沿图中的虚线流动。¹¤×÷Õ¾ ¹¤×÷Õ¾ ·þÎñÆ÷

¹¤×÷Õ¾·À»ðÇ½±¤ÀÝÖ÷»ú

ÆÁ±ÎÂ·ÓÉÆ÷

ÄÚ²¿ÍøÂç

X X

Internet

图 9-5 屏蔽主机示意图

返回本章首页


·419·

如果受保护网络是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险区域只限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

4. 屏蔽子网 (Screened Subnet) 结构这种方法是在内部网络和外部网络之间建立一个被隔离的

子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现过程中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区 (DeMilitarised Zone—DMZ)” ，如图 9-6 所示。

返回本章首页


·420·

内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信，像WWW 和 FTP 服务器可放在 DMZ中。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。

Internet

¹¤×÷Õ¾ ·þÎñÆ÷

ÄÚ²¿Â·ÓÉÆ÷ Íâ²¿Â·ÓÉÆ÷

·À»ðÇ½

¹¤×÷Õ¾ ¹¤×÷Õ¾ ·þÎñÆ÷ ±¤ÀÝÖ÷»ú

ÄÚ²¿ÍøÂç

¾Ö

ÓòÍ

ø

图 9-6 屏蔽子网示意图

返回本章首页


·421·

在实际应用中建造防火墙时，一般很少采用单一的技术，通常采用多种解决不同问题的技术的组合。这种组合主要取决于向用户提供什么样的服务，能接受什么等级的风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。应该根据所购买防火墙软件的要求、硬件环境所能提供的支持，综合考虑选用最合适的防火墙体系结构，最大限度地发挥防火墙软件的功能，实现对信息的安全保护。

返回本章首页


·422·

9.4 防火墙的选购策略 1. 防火墙自身的安全性

防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。防火墙安全指标最终可归结为以下两个问题：（ 1 ）防火墙是否基于安全（甚至是专用）的操作系统；

（ 2 ）防火墙是否采用专用的硬件平台。 2. 防火墙的稳定性

就一个成熟的产品来说，系统的稳定性是最基本的要求。 3. 防火墙的可靠性

可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可用性。

返回本章首页


·423·

4. 防火墙的性能高性能是防火墙的一个重要指标，它直接体现了防火墙的

可用性，也体现了用户使用防火墙所需付出的安全代价。 5. 防火墙的灵活性对通信行为的有效控制，要求防火墙设备有一系列不同级

别，满足不同用户的各类安全控制需求的控制注意。 6. 防火墙配置的方便性 7. 管理是否简便 8. 防火墙抵抗拒绝服务攻击的能力 9. 防火墙对用户身份的过滤能力 10. 防火墙的可扩展性、可升级性

返回本章首页


·424·

9.5 防火墙实例

9.5.1 瑞星个人防火墙简介 9.5.2 瑞星防火墙的使用

返回本章首页


·425·

9.5.1 瑞星个人防火墙简介瑞星个人防火墙能管理应用程序的网络访问。无论是从

外部接收数据，还是向外部发送数据，瑞星个人防火墙都首先将其截获并进行分析，然后弹出窗口询问用户是否允许此应用程序访问网络。如果选中“下次允许瑞星个人防火墙管理其网络连接”选项，瑞星个人防火墙将记录下该应用程序，并在主界面中的应用程序选项卡中列出此应用程序，当此应用程序再次访问网络时不再询问用户。9.5.2 瑞星个人防火墙的使用

1. 安装与启动把瑞星个人防火墙下载版安装程序保存到您的电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。这时会给出安装提示，只要按照相应提示，就可以进行安装了。

返回本章首页


·426·

启动个人防火墙，当出现如下所示的窗口后，在相应位置输入您购买获得的产品序列号和用户 ID ，点击“确定”，通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

2.升级在瑞星个人防火墙界面，选择“设置”→“网络设置”命令，在弹出的“网络设置”对话框中，选择网络设置的方式。完成网络配置后，选择“操作”→“软件升级”。

图 9-7 瑞星个人防火墙界面

返回本章首页


·427·

3.快速入门启动瑞星个人防火墙后，主要的界面元素包括：菜单栏选项卡操作按钮安全级别当前版本及更新日期4. 规则设置在瑞星个人防火墙主界面中，单击“设置” →“设置规则”选项，弹出瑞星个人防火墙规则设置窗口，如图 9-8 所示。

返回本章首页


·428·

图 9-8 瑞星个人防火墙规则设置界面窗口

返回本章首页


·429·

从图中可以看出规则设置的具体项目如下：(1) 名称：规则名称。

(2)类别：可选未知、应用程序、系统、木马和拒绝服务五种类别。(3) 操作：允许或禁止与规则匹配的网络通信。(4) 方向：指定规则是应用于接收，发送或者双向传输的数

据包。接收是指发送到本机的数据包，发送是指从本机发送出去的数据包，双向是指本机接收或发送的数据包。 (5) 数据链：可选局域网、广域网和全部三种类型。

(6) 协议：可选择的协议包括TCP 、 UDP 和 ICMP 。(7) 说明：该条规则的说明。单击【编辑】按钮，弹出【规

则说明编辑框】，在文本框中填写说明即可。(8) 地址设置：在规则设置窗口中，选择【地址】选项卡，

可对源地址和目的地址进行设置。

返回本章首页


·430·

5.瑞星漏洞扫描工具瑞星漏洞扫描工具可以对发现的安全隐患，提供按等级统

计与分类，用户可以对系统存在的漏洞与不安全设置进行检查并修复，以消除系统的不安全隐患。

可以在瑞星个人防火墙的主界面中选择“漏洞扫描”选项卡，界面显示的结果分为“安全漏洞”和“安全设置”两大类，并按危险等级进行归类，以树状显示，同时还列出了每条漏洞或不安全设置的简要描述。

返回本章首页


·431·

作业1.简述防火墙的定义及作用。2. 防火墙有哪些局限性？3.简述防火墙的发展动态和趋势。4.试述包过滤防火墙技术的原理及特点。5.试述代理防火墙技术的原理及特点。6. 常见的防火墙的体系结构有哪几种？7.屏蔽主机网关是双宿主机网关吗？为什么？8.屏蔽子网的防火墙体系结构是如何实现的？9. 选购防火墙产品时有哪些注意事项？10. 上机练习：下载并安装、配置瑞星个人防火墙。

返回本章首页


·432·

第 10章黑客的攻击与防范10.1 初识黑客10.2 黑客攻击的目的及步骤10.3 常见的黑客攻击方法10.4 黑客攻击10.5 攻击实例10.6 防黑措施10.7 无线局域网安全防范措施

返回本章首页


·433·

学习目标了解黑客的定义掌握黑客攻击的目的、步骤和常见的攻击方式了解常见的黑客工具，通过一个简单的攻击实例，掌握防范黑客攻击的方法

了解无线局域网安全防范措施

返回本章首页


·434·

黑客是英文“ hacker” 音译过来的，黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的人。对这些人的正确英文叫法是Cracker ，有人翻译成“骇客”。从法律上讲， Hacker的行为是合法，而Cracker 的行为却是违法的。

10.1 初识黑客

返回本章首页


·435·

10.2 黑客攻击的目的及步骤 1. 黑客攻击的目的

（ 1 ）获取目标系统的非法访问　获得不该获得的访问权限，尤其是超级用户的权限。（ 2 ）获取所需资料　包括科技情报、个人资料、金融账户、技术成果、系统信息等等。（ 3 ）篡改有关数据　篡改资料，达到非法目的。（ 4 ）利用有关资源　利用这台机器的资源对其他目标进行攻击，发布虚假信息，占用存储空间。

返回本章首页


·436·

2.黑客攻击的步骤（ 1 ）寻找目标主机并分析目标主机

　　攻击者首先要寻找目标主机并分析目标主机。在 Internet上能真正标识主机的是 IP 地址，域名是为了便于记忆主机的 IP地址而另起的名字，只要利用域名和 IP 地址就可以顺利地找到目标主机。然后开始收集有关目标主机的有用信息，包括目标主机的硬件信息、操作系统信息、运行的应用程序等。（ 2 ）登录主机

攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

返回本章首页


·437·

（ 3 ）得到超级用户权限，控制主机黑客用 FTP 、 Telnet等工具利用系统漏洞进入目标主机

系统获得控制权。

（ 4 ）清除记录、设置后门黑客获得目标主机的控制权后，会把入侵系统时的各种登

录信息全部删除，更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。

返回本章首页


·438·

10.3 常见的黑客攻击方法 1. 密码攻击

密码攻击是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如利用目标主机的 Finger 功能：当用 Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上。

（ 1 ）暴力破解在知道用户的账号后（如电子邮件@前面的部分）利用

一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。

返回本章首页


·439·

（ 2 ）登录界面法黑客可以在被攻击的主机上，利用程序伪造一个登录界面，

以骗取用户的账号和密码。（ 3 ）网络监听

很多协议根本就没有采用任何加密或身份认证技术，如在Telnet、 FTP 、 HTTP 、 SMTP 等传输协议中，用户帐户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。（ 4 ）密码探测

黑客可以利用密码探测的工具，反复模拟编码过程，并将编出的密码与加密后的密码比较，如果两者相同，就表示得到了正确的密码。

返回本章首页


·440·

2. 放置特洛伊木马程序

　　特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知攻击者，来报告用户的 IP 地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

返回本章首页


·441·

3.WWW 的欺骗技术

一般Web欺骗使用两种技术手段，即 URL地址重写技术和相关信关信息掩盖技术。利用 URL地址，使这些地址都向攻击者的 Web服务器，即攻击者可以将自已的 Web 地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的 Web站点地址及其相关的传输信息，用户由此可以发现问题，所以攻击者往往在URLf 址重写的同时，利用相关信息排盖技术，即一般用 javascript程序来重写地址样和状枋样，以达到其排盖欺骗的目的。

返回本章首页


·442·

4. 电子邮件攻击　　电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或 CGI 程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

5. 通过“肉鸡”来攻击其他结点　　攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机 (以隐蔽其入侵路径，避免留下蛛丝马迹 )。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过 IP欺骗和主机信任关系，攻击其他主机。

返回本章首页


·443·

6. 网络监听　　网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。 7.缓冲区溢出

由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。

返回本章首页


·444·

8.端口扫描工具端口扫描，就是利用 Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有： Connect()扫描。 Fragmentation扫描。

9. 其他的攻击方法其他的攻击方法主要是利用一些黑客程序进行攻击，如后

门、逻辑炸弹和时间炸弹、病毒、蠕虫等。

返回本章首页


·445·

10.4 黑客工具

10.4.1 木马程序10.4.2 扫描工具10.4.3 破解工具10.4.4 炸弹工具10.4.5 安全防御工具

返回本章首页


·446·

10.4.1 木马程序一般的木马都有客户端和服务器端两个执行程序，其中客户

端是用于黑客远程控制植入木马的机器的程序，服务器端程序是木马程序。

1.冰河冰河是一个优秀的国产木马程序，功能众多，涵盖了几乎所

有的 Windows 的常用操作。主要功能有自动跟踪目标机屏幕变化，记录各种口令信息，获取系统信息，限制系统功能，远程文件操作，注册表操作，点对点通讯等。

2.蓝色火焰蓝色火焰没有客户端程序，它的服务端程序是运行在Wind

ows平台上的，本质上可以说是一个微型的 Telent、 FTP 和 Web服务器程序，只要外部使用 Telent、 FTP 和浏览器就能控制它了。

返回本章首页


·447·

3.灰鸽子灰鸽子是个功能强大的远程控制类软件，采用了“反弹端

口原理”的连接方式，可以在互联网上访问到局域网内通过透明代理上网的计算机，并且可以穿过某些防火墙。灰鸽子分为客户端与服务端。灰鸽子主要功能：远程桌面控制，远程文件管理，远程注册表控制，超级终端控制，远程视频、语音监控，密码记录等等诸多功能。

图 10-1 灰鸽子程序界面图 10-2 FTP连接

返回本章首页


·448·

10.4.2 扫描工具扫描工具是一种能够自动监测远程或本地主机安全弱点的程

序，通过它可以获得远程计算机的各种端口分配及提供的服务和它们的版本。

1.流光流光是国内最著名的扫描、入侵工具，集端口扫描、字典工

具、入侵工具、密码猜解等多种功能一身。它可以探测POP3 、 FTP 、 SMTP 、 IMAP 、 SQL、 IPC 、 IIS 、 FINGER 等各种漏洞。

图 10-3 流光程序界面

返回本章首页


·449·

2.Superscan

是一个功能强大的端口扫描工具。　（ 1 ）通过Ping 来检验 IP 是否在线；（ 2 ） IP 和域名相互转换；（ 3 ）检验目标计算机提供的服务类别；（ 4 ）检验一定范围目标计算机的是否在线和端口情况；（ 5 ）工具自定义列表检验目标计算机是否在线和端口情况；（ 6 ）自定义要检验的端口，并可以保存为端口列表文件；（ 7 ）软件自带一个木马端口列表 trojans.lst，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表。

返回本章首页


·450·

　3.X-WAY　2.5 是个许多优秀功能多线程扫描工具。主要功能有：（ 1 ）高级扫描功能：可对系统进行综合扫描，包括端口扫描，系统CGI 漏洞扫描等。（ 2 ）主机扫描：轻松选择性扫描肉鸡，可对一个范围的 ip 地址进行扫描。（ 3 ）查询器：有几个小功能的查询器，包括 ip位置查询，时间服务器查询， DNS查询， finger 查询， NT时间查询。（ 4 ）猜解机：对 pop协议、 ftp协议、共享资源、MSSQL密码、 Socks5 代理、 HTTP页面服务猜解。（ 5 ）黑匣子：包括经典的 NUKE， OOB炸弹等工具。（ 6 ）嗅探器：新增一个功能，可嗅探局域网内的数据包。（ 7 ）其它：包括TELNET ，内置 tftp小型服务器， SQL 远程命令，IIS远程命令行等，远程修改 NT 密码，代理服务器验证，支持，扫描结果自动报告生成。

返回本章首页


·451·

10.4.3 破解工具根据破解原理的不同，破解工具大致可分为穷举法破解器

和查看法破解器。穷举法，又叫暴力破解法，其过程是从黑客词典里抽出一个字段来和要破解的密码进行对比，直到破解出密码或字典里的字段全部试完为止。查看法是指程序通过嗅探或系统漏洞来获得密码文件的方法。

1.溯雪　溯雪利用 asp 、 cgi 对免费信箱、论坛、聊天室进行密码探测的软件。密码探测主要是通过猜测生日的方法来实现，成功率可达 60%-70%。溯雪的运行原理是通过提取 asp 、 cgi页面表单，搜寻表单运行后的错误标志，有了错误标志后，再挂上字典文件来破解信箱密码。

返回本章首页


·452·

2. 网络刺客Ⅱ网络刺客最大作用就是，当有人在局域网中使用的 POP3 、

FTP telnet服务时，网络刺客 II 就可以截获其中的密码。网络刺客 II 已经实现了密码猜解功能。此外，网络刺客 II还集成了一些相关的网络工具，包括有 IP 与主机名转换器， finger 客户查询工具，主机端口扫描工具有及主机查找器，域名查找器， telnet客户端口程序等。

图 10-4 网络刺客Ⅱ主机扫描界面

返回本章首页


·453·

3.黑雨黑雨是一款非常优秀的 POP3邮箱密码暴力破解器。它可以

验证用户名和密码是否正确，并独创了深度和广度两种破解算法。深度算法是一种很特珠的算法，如果密码位数猜得准就可以将破解时间缩短 30 ％～ 70 ％。广度算法是一种老实的算法，现大多数类似功能的工具都采用它，其对 3位以短小密码非常有效。

10.4.4 炸弹工具炸弹工具的基本原理是利用特殊工具软件，在短时间内向目标机集中发送大量超出系统接收范围的信息或垃圾信息，目的在于使对方目标机出现超负荷、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件攻击、逻辑炸弹、聊天室炸弹等。例如简单的邮件炸弹工具 QuickFyre 。

返回本章首页


·454·

10.4.5 安全防御工具 1.木马克星

木马克星是专门针对国产木马的软件。该软件是动态监视网络与静态特征字扫描的完美结合，可以查杀 5021 种国际木马，112 种电子邮件木马，保证查杀冰河及黑洞所有版本，可以查杀各种已知 QQ木马，对最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马也非常有效。

图 10-5 木马克星界面

返回本章首页


·455·

2.Lockdown 2000Lockdown 2000 是一款功能强大的网络安全工具，能够

清除木马、查杀邮件病毒、防止网络炸弹攻击，还能检测所有对本机的访问并进行控制。在 Lockdown 2000专业版中总共有 13个功能模块，包括木马扫描器、端口监视器、共享监视器、连接监视器、进程监视器、网络监视器、网络工具包等。

3.Recover4all Professional 2.15 Recover4all Professional 2.15 是 Windows 系统下一个短小精悍、功能强大的文件反删除工具，可以用于恢复被黑客删除的数据。

返回本章首页


·456·

10.5 攻击实例使用 EtherPeek NX 获取局域网的账号密码 1.抓包设置单击“ capture”→“start capture”命令，在弹出的对

话框中，将本地网卡设置为混杂模式；2. 设置过滤器单击“ filter” 标签，选择http ，为了获取用户密码，需

要进行高级设置。鼠标双击“ http” ，在弹出的“ edit filter”中，单击“ add” 按钮，选择“ pattern” ，在窗口中添加“ username” ，并单击“ ok” 。

3.回到主界面，单击“ start capture” 按钮开始数据采集，按“ stop capture” 按钮停止，结果如下图所示 :

返回本章首页


·457·

图 10-6 EtherPeek NX 程序界面

注：红色部分为捕获到的用户密码。

返回本章首页


·458·

10.6 防黑措施 1. 隐藏 IP 地址

隐藏 IP 地址的主要方法是使用代理服务器。与直接连接到 Internet相比，使用代理服务器能保护上网用户的 IP 地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。

返回本章首页


·459·

2. 更换管理员帐户 Administrator帐户拥有最高的系统权限，一旦该帐户被

人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置 Administrator帐号。首先是为 Administrator帐户设置一个强大复杂的密码，然后我们重命名 Administrator帐户，再创建一个没有管理员权限的 Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。 3. 杜绝 Guest帐户的入侵 Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。利用 Guest 账户可以得到管理员权限，所以要杜绝基于 Guest 账户的系统入侵。

返回本章首页


·460·

4. 删掉不必要的协议对于服务器和主机来说，一般只安装 TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中 NETBIOS 是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的 NETBIOS 关闭，避免针对 NETBIOS 的攻击。 5. 关闭“文件和打印共享” 打开注册表编辑器，选择“ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork” 主键，在该主键下新建DWORD 类型的键值，键值名为“ NoFileSharingControl” ，键值设为“ 1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“ 0”表示允许这项功能。

返回本章首页


·461·

6.禁止建立空连接在默认的情况下，任何用户都可以通过空连接连上服务器，

枚举账号并猜测密码。因此，我们必须禁止建立空连接。首先运行 regedit，找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把 RestrictAnonymous(DWORD)的键值改为 :00000001 。 7. 关闭不必要的服务服务开得多可以给管理带来方便，也会给黑客留下可乘之机。因此对于一些用不到的服务，最好关掉。

8.做好 IE 的安全设置打开“ Internet 选项”→“安全”→“自定义级别”，就可以设置“ ActiveX 控件和插件”、“ Java” 、“脚本”、“下载”、“用户验证”以及其它安全选项。

返回本章首页


·462·

9. 要使用杀毒软件、防火墙及反黑客软件要将杀毒、防黑当成日常例行的工作，定时更新杀毒组件，

及时升级病毒库，将杀毒软件保持在常驻状态，以彻底防毒。此外，防火墙是抵御黑客程序入侵的非常有效的手段。

10. 及时给系统打补丁并做好数据的备份建议及时到微软的站点下载自己操作系统对应的补丁程序。

另外确保数据不被破坏最好办法就是定期或不定期的备份数据，特别重要的数据应该每天备份。

返回本章首页


·463·

10.7 无线局域网安全防范措施1. 采用端口访问技术（ 802.1x）进行控制，防止非授权的非法接入和访问。 2. 采用 128位WEP加密技术，并不使用产商自带的WEP密钥。 3. 对于密度等级高的网络采用 VPN进行连接。 4. 对 AP和网卡设置复杂的 SSID，并根据需求确定是否需要漫游来确定是否需要MAC绑定。 5.禁止 AP向外广播其 SSID。 6.修改缺省的 AP密码， Intel的 AP的默认密码是 Intel。 7. 布置 AP的时候要在公司办公区域以外进行检查，防止 AP的覆盖范围超出办公区域（难度比较大），同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。

返回本章首页


·464·

8.禁止员工私自安装AP ，通过便携机配置无线网卡和无线扫描软件可以进行扫描。9. 如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改。 10. 配置设备检查非法进入公司的 2.4G电磁波发生器，防止被干扰和 DOS 。 11. 制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置 P2P 的 Ad hoc网络结构。 12. 跟踪无线网络技术，特别是安全技术（如 802.11i 对密钥管理进行了规定），对网络管理人员进行知识培训。

返回本章首页


·465·

作业1.什么是黑客？2.Hacker 和 Cracker 在本质上有什么区别，他们会对网络安全构成怎样

的威胁？3. 黑客攻击的目的是什么？4.简述黑客攻击的步骤。5. 列举一些黑客攻击所采用的方法，并做简单分析。6. 常见的木马工具有哪些？它们是怎样运行的？7.练习用一种破解工具攻击自己的邮箱，并总结工具的优缺点。8.下载并安装木马克星，检查自己的系统中是否存在木马。9. 列举当前 IIS 服务器中最严重的 3 大安全漏洞，并试着写出攻击的步骤。10. 在使用计算机时，应采取哪些防黑措施。

信息安全概论主讲人 : 夏淑华二 0 一 0 年八月

Documents

Transcript of 信息安全概论主讲人 : 夏淑华二 0 一 0 年八月

信息安全概论 主讲人 : 夏淑华 二 0 一 0 年八月

Documents

Transcript of 信息安全概论 主讲人 : 夏淑华 二 0 一 0 年八月

信息安全概论主讲人 : 夏淑华二 0 一 0 年八月

Transcript of 信息安全概论主讲人 : 夏淑华二 0 一 0 年八月