计算机网络安全与网络管理.ppt

《计算机网络安全与网络管理.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全与网络管理.ppt（74页珍藏版）》请在三一办公上搜索。

1、本章学习要求：了解：网络安全的重要性 掌握：网络安全技术研究的基本问题 掌握：网络安全策略制定的方法与基本内容 了解：网络安全问题的鉴别的基本概念 掌握：网络防火墙的基本概念 了解：网络文件的备份与恢复的基本方法 了解：网络防病毒的基本方法 掌握：网络管理的基本概念,第九章 网络安全与网络管理,引言-事件,2010年十大互联网安全事件2011年十大互联网安全事件2012年十大安全趋势,9.1 网络安全的重要性,网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。,9.2

2、网络安全技术研究的基本问题,9.2.1 构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题 网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题,网络防攻击问题,服务攻击:对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击:不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？,

3、网络安全漏洞与对策的研究,网络信息系统的运行涉及到：计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议网络安全漏洞也会表现在以上几个方面。,网络中的信息安全保密,信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用；信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击；,数据加密与解密,将明文变换成密文的过程称为加密；将密文经过逆变换恢复成明文的过程称为解密。,网络内部安全防范问题,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：有意

4、或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,网络防病毒问题,目前，70%的病毒发生在计算机网络上；连网微型机病毒的传播速度是单机的20倍，网络服务器消除病毒所花的时间是单机的40倍；电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。,网络数据备份与恢复、灾难恢复问题,如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因

5、某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？,9.2.2 计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁：(1)截获从网络上窃听他人的通信内容。(2)中断有意中断他人在网络上的通信。(3)篡改故意篡改网络上传送的报文。(4)伪造伪造信息在网络上传送。截获信息的攻击称为被动攻击而更改信息和拒绝用户使用资源的攻击称为主动攻击。,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被动攻击和主动攻击,在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信

6、息流。主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。更改报文流 拒绝报文服务 伪造连接初始化,9.2.3 网络安全服务的主要内容,网络安全服务应该提供的基本服务功能：数据保密（data confidentiality）认证（authentication）数据完整（data integrity）防抵赖（non-repudiation）访问控制（access control）,9.2.4 网络安全标准,电子计算机系统安全规范，1987年10月计算机软件保护条例，1991年5月计算机软件著作权登记办法，1992年4月中华人民共和国计算机信息与系统安全保护条例，1994年2月计算机信息系

7、统保密管理暂行规定，1998年2月关于维护互联网安全决定，全国人民代表大会常 务委员会通过，2000年12月,安全级别的分类,可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）；可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；D级系统的安全要求最低，A1级系统的安全要求最高。,9.3 网络安全策略的设计,企业内部网有哪些网络资源与服务需要提供给外部用户访问？企业内部用户有哪些需要访问外部网络资源与服务？可能对网络资源与服务安全性构成威胁的因素有哪些？哪些资源需要重点保护？可以采取什么方法进

8、行保护？发现网络受到攻击之后如何处理？,9.3.1 网络安全策略与网络用户的关系,网络安全策略包括技术与制度两个方面。只有将二者结合起来，才能有效保护网络资源不受破坏；在制定网络安全策略时，一定要注意限制的范围；网络安全策略首先要保证用户能有效地完成各自的任务同时，也不要引发用户设法绕过网络安全系统，钻网络安全系统空子的现象；一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户都乐于接受与执行。,9.3.2 制定网络安全策略的两种思想,制定网络安全策略的两种思想：一是凡是没有明确表示允许的就要被禁止，二是凡是没有明确表示禁止的就要被允许；在网络安全策略上一般采

9、用第一种方法，明确地限定用户在网络中访问的权限与能够使用的服务；符合于规定用户在网络访问“最小权限”的原则，给予用户能完成任务所“必要”的访问权限与可以使用的服务类型，又便于网络的管理。,9.3.3 网络用户组成、网点结构与网络安全策略的关系,要维护网络系统的有序运行，还必须规定网络管理员与网络用户各自的责任；网络安全问题来自外部、内部两个方面；任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用，这就存在多个网点之间的网络安全与管理的协调问题；多个网点之间要相互访问，因此带来了内部用户与外部用户两方面的管理问题。,9.3.4 网络安全教育与网络安全策略,要求网络管理员与网络

10、用户能够严格地遵守网络管理规定与网络使用方法，正确地使用网络；要求从技术上对网络资源进行保护；如果网络管理员与网络用户不能严格遵守网络管理条例与使用方法，再严密的防火墙、加密技术也无济于事；必须正确地解决网络安全教育与网络安全制度之间的关系，切实做好网络管理人员与网络用户的正确管理与使用网络的培训，从正面加强网络安全教育。,9.3.5 网络安全策略的修改、完善与网络安全制度的发布,Internet网点与Intranet网点的网络管理中心的网络管理员，对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任；当网点的网络安全策略的修改涉及其他网点时，相关网点的网络管理员之间需要通过协

11、商，协调网络管理、网络安全策略与使用制度的修改问题；网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度的变化情况。,9.4 网络安全策略制定的方法与基本内容,设计网络安全策略需要回答以下问题：打算要保护哪些网络资源？哪类网络资源可以被哪些用户使用？什么样的人可能对网络构成威胁？如何保证能可靠及时地实现对重要资源的保护？在网络状态变化时，谁来负责调整网络安全策略？,9.4.1 网络资源的定义,分析网络中有哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及如何保护这些资源；对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏

12、的潜在因素，确定威胁的类型；了解对网络资源安全构成威胁的来源与类型，才能针对这些问题提出保护方法。,9.4.2 网络使用与责任的定义,定义网络使用与责任需要回答以下问题：允许哪些用户使用网络资源；允许用户对网络资源进行哪些操作；谁来批准用户的访问权限；谁具有系统用户的访问权限；网络用户与网络管理员的权利、责任是什么。,9.4.3 用户责任的定义,网络攻击者要入侵网络，第一关是要通过网络访问控制的用户身份认证系统；保护用户口令主要需要注意两个问题。一是选择口令，二是保证口令不被泄露，并且不容易被破译；网络用户在选择自己的口令时，应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码等容易被攻

13、击者猜测的字符或数字序列。,用户责任主要包括以下基本内容：用户只使用允许使用的网络资源与服务，不能采用不正当手段使用不应使用的资源；用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任；用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任；用户了解为什么需要定期或不定期地更换账户密码；明确用户数据是用户自己负责备份，还是由网络管理员统一备份，凡属于用户自己负责备份的数据，用户必须按规定执行备份操作；明白泄露信息可能危及网络系统安全，了解个人行为与系统安全的关系。,9.4.4 网络管理员责任的定义,网络管理员对网络系统安全负有重要的责任；网络

14、管理员需要对网络结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。,网络管理员应该注意的几个问题：,对网络管理员的口令严格保密 网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力，网络管理员口令的泄露对网络安全会构成极其严重的威胁。对网络系统运行状态要随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备，对网络系统运行状态进行监视、记录与处理。对网络系统安全状况进行严格的监控 了解网络系统所使用的系统软件、应用软件，以及硬件中可能存在的安全漏洞，了解在其他网络系统中出现的各种新的安全事件，监视网络关键设备、网络文件系统与各种网络服务的

15、工作状态，审计状态记录，发现疑点问题与不安全因素立即处理。,9.4.5 网络安全受到威胁时的行动方案,保护方式 当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害；跟踪方式 发现网络存在非法入侵者的活动时，不是立即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。,9.5 网络安全问题的鉴别,鉴别网络安全问题可以从5个方面进行：访问点（access points）系统配置（system co

16、nfiguration）软件缺陷（software bugs）内部威胁（insider threats）物理安全性（physical security）,网络访问点的结构,9.6 网络防火墙技术,8.6.1 防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,防火墙的位置与作用,防火墙在互连网络中的位置,G,内联网,可信赖的网络,不可信赖的网络,分组过滤路由器 R,分组过滤路由器 R,应用网关,外局域网,内局域网,防火墙,因特网,防火墙通过检查所有进出内部网络的数据包，检查数据包

17、的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；构成防火墙系统的两个基本部件是：包过滤路由器（packet filtering router）应用级网关（application gateway）；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种形式。,防火墙技术一般分为两类,(1)网络级防火墙用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。(2)应用级防火墙从应

18、用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。,防火墙,9.6.2 防火墙的主要类型,分组过滤路由器 分组过滤路由器按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；分组过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、目的IP地址、协议类型、IP选项内容、源TCP端口号、目的TCP端口号、TCP ACK标识等。,分组过滤路由器的结构,应用网关,多归属主机又称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口

19、与一个网络连接，具有在不同网络之间交换数据的路由能力。如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。应用代理是应用网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。,应用级网关的结构,应用代理的工作原理,9.6.3 主要的防火墙产品,Checkpoint公司的Firewall-1防火墙Sonic System公司的Sonicwall防火墙NetScreen公司的NetScreen防火墙Alkatel公司的Inter

20、net Device防火墙NAI公司的Gauntlet防火墙,由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方：1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制 的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。,9.7 网络文件的备份与恢复,9.7.1 网络文件备份与恢复的重要性网络

21、数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性存储；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。,9.7.2 网络文件备份的基本方法,选择备份设备选择备份程序建立备份制度在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？,9.8 网络防病毒技术,9.8.1 造成网络感染病毒的主要原因 70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右；从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占6%；从公司之间

22、交换的软盘带来的病毒约占2%；其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。,9.8.2 病毒概述,病毒定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一般地，我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等等。特洛伊木马和病毒，它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在；而细菌和蠕虫是完整的程序，操作系统可以调度和运行它们。而且除特洛伊木马外，其他三种形式的病毒都有能够复制。,2.病毒传染方式病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放毒等

23、。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活，病毒传染分为静态传染和动态传染。静态传染是指由于用户使用了COPY、DISKCOPY等拷贝命令或类似操作，一个病毒连同其载体文件一起从一处被复制到另一处。而被复制后的病毒不会引起其他文件感染。动态传染是指一个静态病毒被加载进入内存变为动态病毒后，当其传染模块被激活所发生的传染操作，这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作。,3.病毒的分类按病毒感染的途径，病毒分为三类：引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒完全控制D

24、OS的各类中断，并且拥有更大的能力进行传染与破坏。文件型病毒。文件型病毒通常寄生在可执行文件中当这些文件被执行时，病毒的程序就跟着被执行。根据病毒依传染方式的不同，它分成非常驻型和常驻型。复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染*.COM和*.EXE 文件，也可以传染磁盘的引导区。,4.病毒结构 计算机病毒是一种特殊的程序，它寄生在正常的、合法的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。在这种情况下，称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成：初始化部分。它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部

25、分。传染部分。它指能使病毒代码连接于宿主程序之上的部分，由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。破坏部分或表现部分。主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病毒程序的主体，在一定程度上反映了病毒设计者的意图。,5.病毒感染原理 1)引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序执行和加载DOS。假定某张启动软盘已经了感染病毒，那么该软盘上的BOOT扇区将存放着病毒程序，而不是BOOT 程序。所以，“读入BOOT程序并执行”将变成“读入病毒程序并执行”，等到病毒入侵内

26、存后，等到病毒入侵内存后，再由病毒程序读入原始BOOT程序，既然病毒DOS先一步进入内存中，自然在DOS下的所有读写动作将受到病毒控制。所以，当使用者只要对另一张干净的软盘进行读写，驻在内存中的病毒可以感染这张软盘。,若启动盘是硬盘。因硬盘多了一个分区表，分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”，比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。感染BOOT扇区是在“读入分区表并执行”之后，“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后

27、，“读入分区表并执行”之前“读入BOOT程序并执行”。不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。,引导型病毒感染原理,2)文件型病毒感染原理 对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言，对于.COM型文件，病毒替换它的第一条指令；对于.ExE文件，病毒改变入口指针。而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在每一个程序文件在执行时，都会调用INT 21H中断命令，所以病毒必须拦截INT 21H的调用，使其先通过病毒的程序，再去执行真正的INT 21

28、H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检查”是否已中毒，若未中毒则病毒感染该文件。,3)复合型病毒感染原理 就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒便先潜入内存中，伺机感染其他未中毒的磁盘，而当DOS载入内存后，病毒再拦截INT 21H已达到感染文件的目的。,6.病毒的网络威胁 工作站受到的威胁。病毒对网络工作站的攻击途径主要包括：利用软盘读写进行传播、通过网络共享进行攻击、通过电子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏览进行攻击。服务器受到的威胁。网络操作系统一般都采用Windows NT/2000 Server和少量 Unix/Linux，

29、而Unix/Linux本身的计算机病毒的流行报告几乎很少。但到目前为止感染Windows NT系统的病毒已有一定数量。Web站点受到的威胁。一般Web站点，用户访问量很大，目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意Java代码和ActiveX。,9.8.3 宏病毒,1.宏病毒的传染原理 每个Word文本对应一个模板，而且对文本进行操作时，如打开、关闭文件等，都执行了相应模板中的宏程序，由此可知：当打开一个带病毒模板后，该模板可以通过执行其中的宏程序，如AutoOpen、AutoExit等将自身所携带病毒程序拷贝到Word系统中的通用模板上，如Normal.dot中。若使用带病毒模板对

30、文件进行操作时，如存盘FileSave等，可以将该文本文件重新存盘为带毒模板文件，即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。上述两步循环就构成了病毒的基本传染原理。,2.宏病毒的危害 Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。具体表现为:对Word的运行破坏。不能正常打印、封闭或改变文件存储路径、将文件改名等。对系统的破坏。Word Basic语言能够调用系统命令，这将造成破坏。,3.宏病毒的预防与清除为了有效防止Word系统被感染，可将常用的W

31、ord模板文件改为只读属性。当文件被感染后，应及时加以清除，以防其进一步扩散和复制。通常可采取以下措施：手工杀毒。以Word为例，从“工具”菜单选取“宏”一项，进入“管理器”，选取标题为“宏”的一页，在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除即可。使用专业软件杀毒。目前杀毒软件公司都具备清除宏病毒的能力，当然也只能对已知的宏病毒进行检查和清除，对于新出现的病毒或病毒的变种则可能不能正常地清除，或者将会破坏文件的完整性，此时还是采取手工清理。,9.8.4 常用反病毒技术,1.反病毒技术分类 从研究的角度，反病毒技术

32、主要分类：预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术。它是通过对计算机病毒的特征来进行判断的侦测技术，如自身校验、关键字等。消除病毒技术。它通过对病毒的分析，杀除病毒并恢复原文件。,2.常用反病毒技术从具体实现技术的角度，常用的反病毒技术有：病毒代码扫描法。将新发现的病毒加以分析后根据其特征编成病毒代码，加入病毒特征库中。每当执行杀毒程序时，便立刻扫描程序文件，并与病毒代码比对，便能检测到是否有病毒。加总比对法(Check-sum)。根据每个程序的文件名称、大小、时间、日期及内容，加

33、总为一个检查码，再将检查码附在程序后面，或是将所有检查码放在同一个资料库中，再利用Check-sum系统，追踪并记录每个程序的检查码是否遭更改，以判断是否中毒。,人工智能陷阱。它是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会有所警觉，并告知用户。软件模拟扫描法。它专门用来对付千面人病毒。千面人病毒在每次传染时，都以不同的随机数加密于每个中毒的文件中，传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行，在其设计的DOS虚拟机器下模拟执行病毒的变体引擎解码程序，将多型体病毒解开，使其显露原本的面目，

34、再加以扫描。VICE先知扫描法。由于软件模拟可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并模拟执行程序以解开变体引擎病毒，应用类似的技术也可以用来分析一般程序检查可疑的病毒代码。因此，VICE将工程师用来判断程序是否有病毒代码存在的方法，分析归纳成专家系统知识库，再利用软件工程的模拟技术假执行新的病毒，就可分析出新病毒代码对付以后的病毒。,实时的I/O扫描。通过即时地对资料的输入/输出动作做病毒代码比对的动作，希望能够在病毒尚未被执行之前，就能够将其防堵下来。理论上，这样的实时扫描程序会影响到整体的资料传输速率，但是使用实时的I/O扫描，文件传送进来之后，就等于扫过了一次毒。文件宏病

35、毒陷阱。它结合了病毒代码比对与人工智慧陷阱技术，依病毒行为模式来检测已知及未知的宏病毒。其中，配合对象链接与嵌套技术，可将宏与文件分开，回快扫描，并可有效地将宏病毒彻底清除。空中抓毒。在资料传输过程中经过的一个节点即一台电脑上设计一套防毒软件，把网络中所有可能带有病毒的信息进行扫描，接收从网络中送来的资料。把我们要扫描的资料在这台电脑中暂时储存起来，然后扫描储存的资料，并根据管理员的设定处理中毒的文件，最后把检查过或处理过的资料传送到它原来要传送的电脑上。,主动内核技术。它是将已经开发的各种网络防病毒技术从源程序级嵌入到操作系统或网络系统的内核中，实现网络防病毒产品与操作系统的无缝连接。这种技

36、术可以保证网络防病毒模块从系统的底层内核与各种操作系统和应用环境密切协调，确保防毒操作不会伤及到操作系统内核，同时确保杀灭病毒的功效。,9.9 网络管理技术,9.9.1 网络管理的基本概念 网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。,网络管理系统的基本结构：,管理对象 管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据。管理进程 管理进程是负责对网络设备进行全面的管理与控制的软件。管理协议 管

37、理协议负责在管理系统与被管理对象之间传递与负责操作命令。,管理信息库,管理信息库（MIB）是管理进程的一部分，用于记录网络中被管理对象的状态参数值；一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数；网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数；在网络管理过程中，使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种：事件驱动与轮询驱动方法。,9.9.2 OSI管理功能域,配置管理（configuration management）故障管理（fault management）性能管理（pe

38、rformance management）安全管理（security management）记账管理（accounting management）,9.9.3 简单网络管理协议SNMP,Internet网络管理模型,SNMP管理模型的结构,9.10 小结,网络安全技术研究的基本问题包括：网络防攻击、网络安全漏洞与对策、网络的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复；网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务；制定网络安全策略就是研究造成信息丢失、系统损坏的各种可能，并提出对网络资源与系统的保护方法；防火墙是根据一定的安全规定来检查、过滤网络之间传送的报文分组，以便确定这些报文分组的合法性；网络管理则是指对网络应用系统的管理，它包括配置管理、故障管理、性能管理、安全管理、记账管理等部分。,