四、計算機病毒

　　1、計算機病毒分類:操作系統型、外殼型、入侵型、源碼型

　　2、計算機病毒破壞過程:最初病毒程序寄生在介質上的某個程序中，處于靜止狀態，一旦程序被引導或調用，它就被激活，變成有傳染能力的動態病毒，當傳染條件滿足時，病毒就侵入內存，隨著作業進程的發展，它逐步向其他作業模塊擴散，并傳染給其他軟件。在破壞條件滿足時，它就由表現模塊或破壞模塊把病毒以特定的方針表現出來。

　　五、網絡安全技術

　　1、鏈路層負責建立點到點的通信，網絡層負責尋徑、傳輸層負責建立端到端的通信信道。

　　2、物理層可以在通信線路上采用某些技術使得搭線偷聽變得不可能或者容易被檢測出。數據鏈路層，可以采用通信保密機進行加密和解密。

　　3、IP層安全性

　　在IP加密傳輸信道技術方面，IETF已經指定了一個IP安全性工作小組IPSEC來制訂IP安全協議IPSP和對應的internet密鑰管理協議IKMP的標準。

　　(1)IPSEC采用了兩種機制:認證頭部AH，提前誰和數據完整性;安全內容封裝ESP，實現通信保密。1995年8月internet工程領導小組IESG批準了有關IPSP的RFC作為internet標準系列的推薦標準。同時還規定了用安全散列算法SHA來代替MD5和用三元DES代替DES。

　　4、傳輸層安全性

　　(1)傳輸層網關在兩個通信節點之間代為傳遞TCP連接并進行控制，這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL、SOCKS和安全RPC等。

　　(2)在internet編程中，通常使用廣義的進程信IPC機制來同不同層次的安全協議打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面TLI。

　　(3)安全套接層協議SSL

　　在可靠的傳輸服務TCP/IP基礎上建立，SSL版本3，SSLv3于1995年12月制定。SSL采用公鑰方式進行身份認證，但是大量數據傳輸仍然使用對稱密鑰方式。通過雙方協商SSL可以支持多種身份認證、加密和檢驗算法。

　　SSL協商協議:用來交換版本號、加密算法、身份認證并交換密鑰SSLv3提供對Deffie-Hellman密鑰交換算法、基于RSA的密鑰交換機制和另一種實現在Frotezza chip上的密鑰交換機制的支持。

　　SSL記錄層協議:它涉及應用程序提供的信息的分段、壓縮數據認證和加密SSLv3提供對數據認證用的MD5和SHA以及數據加密用的R4主DES等支持，用來對數據進行認證和加密的密鑰可以有通過SSL的握手協議來協商。

　　SSL協商層的工作過程:當客戶方與服務方進行通信之前，客戶方發出問候;服務方收到問候后，發回一個問候。問候交換完畢后，就確定了雙方采用的SSL協議的版本號、會話標志、加密算法集和壓縮算法。

　　SSL記錄層的工作過程:接收上層的數據，將它們分段;然后用協商層約定的壓縮方法進行壓縮，壓縮后的記錄用約定的流加密或塊加密方式進行加密，再由傳輸層發送出去。

　　5、應用層安全性

　　6、WWW應用安全技術

　　(1)解決WWW應用安全的方案需要結合通用的internet安全技術和專門針對WWW的技術。前者主要是指防火墻技術，后者包括根據WWW技術的特點改進HTTP協議或者利用代理服務器、插入件、中間件等技術來實現的安全技術。

　　(2)HTTP目前三個版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本，它只定義了最基本的簡單請求和簡單回答;HTTP1.0較完善，也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域，并對HTTP1.0中沒有嚴格定義的部分作了進一步的說明。

　　(3)HTTP1.1提供了一個基于口令基本認證方法，目前所有的WEB服務器都可以通過 "基本身份認證"支持訪問控制。在身份認證上，針對基本認證方法以明文傳輸口令這一最大弱點，補充了摘要認證方法，不再傳遞口令明文，而是將口令經過散列函數變換后傳遞它的摘要。

　　(4)針對HTTP協議的改進還有安全HTTP協議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎上，提供了數據加密、身份認證、數據完整、防止否認等能力。

　　(5)DEC-Web

　　WAND服務器是支持DCE的專用Web服務器，它可以和三種客戶進行通信:第一是設置本地安全代理SLP的普通瀏覽器。第二種是支持SSL瀏覽器，這種瀏覽器向一個安全網關以SSL協議發送請求，SDG再將請求轉換成安全RPC調用發給WAND，收到結果后，將其轉換成SSL回答，發回到瀏覽器。第三種是完全沒有任何安全機制的普通瀏覽器，WANS也接受它直接的HTTP請求，但此時通信得不到任何保護。

　　六、安全服務與安全與機制

　　1、ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。

　　2、5種可選的安全服務:鑒別、訪問控制、數據保密、數據完整性和防止否認。

　　3、8種安全機制:加密機制、數據完整性機制、訪問控制機制、數據完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制，它們可以在OSI參考模型的適當層次上實施。

　　4、5種普遍性的安全機制:可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。

　　5、信息系統安全評估準則

　　(1)可信計算機系統評估準則TCSEC:是由美國國家計算機安全中心于1983年制訂的，又稱桔皮書。

　　(2)信息技術安全評估準則ITSEC:由歐洲四國于1989年聯合提出的，俗稱白皮書。

　　(3)通用安全評估準則CC:由美國國家標準技術研究所NIST和國家安全局NSA、歐洲四國以及加拿大等6國7方聯合提出的。

　　(4)計算機信息系統安全保護等級劃分準則:我國國家質量技術監督局于1999年發布的國家標準。

　　6、可信計算機系統評估準則

　　TCSEC共分為4類7級:D，C1，C2，B1，B2，B3，A1

　　D級，安全保護欠缺級，并不是沒有安全保護功能，只是太弱。

　　C1級，自主安全保護級，

　　C2級，受控存取保護級，

　　B1級，結構化保護級

　　B3級，安全域級

　　A1，驗證設計級。

　　七、評估增長的安全操作代價

　　為了確定網絡的安全策略及解決方案:首先，應該評估風險，即確定侵入破壞的機會和危害的潛在代價;其次，應該評估增長的安全操作代價。

　　安全操作代價主要有以下幾點:

　　(1)用戶的方便程度

　　(2)管理的復雜性

　　(3)對現有系統的影響

　　(4)對不同平臺的支持