廣東石化公司信息中心2013年9月常用信息安全技術介紹廣東石化公司信息中心常用信息安全技術介紹什么是信息安全信息本身的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未經授權使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用信息。保密性：確保信息沒有非授權的泄漏，不被非授權的個人、組織和計算機程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權的用戶或程序可以及時、正常使用信息什么是信息安全信息本身的機密性（Confide信息安全問題產生的根源內因：

信息系統復雜性：過程復雜，結構復雜，應用復雜

外因：

人為和環境:威脅與破壞信息安全問題產生的根源內因：網絡不安全的根本原因系統漏洞信息安全漏洞是信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環節之中，而且隨著信息系統的變化而改變。一旦被惡意主體所利用，就會造成對信息系統的安全損害，從而影響構建于信息系統之上正常服務的運行，危害信息系統及信息的安全屬性。網絡不安全的根本原因系統漏洞網絡不安全的根本原因協議的開放性網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對網絡通信協議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。網絡的國際性意味著對網絡的攻擊不僅是來自于本地網絡的用戶，還可以是互聯網上其他國家的黑客，所以網絡的安全面臨著國際化的挑戰。網絡的自由性大多數的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，發布和獲取各類信息。網絡不安全的根本原因協議的開放性計算機病毒的威脅

由于企業介入用戶數量較多，并且分布廣泛，網絡環境較為復雜，信息系統分布眾多，使得病毒的傳播較為容易。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽。計算機病毒的威脅由于企業介入用戶數量較多，并且黑客攻擊的風險

由于海外網絡分布較廣，和國內的環境相比不太相同，黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷，采用后門程序、信息炸彈、拒絕服務、網絡監聽等手段，對網絡進行攻擊，對數據進行竊取。黑客攻擊的風險由于海外網絡分布較廣，和國內的環黑客攻擊的風險

企業的各項數據，包括生產數據、財務數據、人員數據等，在網絡中傳輸數據面臨著各種安全風險：被非法用戶截取從而泄露企業機密；被非法篡改，造成數據混亂、信息錯誤從而造成工作失誤；非法用戶假冒合法身份，發送虛假信息，給正常的經營秩序造成混亂、破壞和損失。因此，信息傳遞的安全性日益成為企業信息安全中重要的一環。黑客攻擊的風險企業的各項數據，包括生產數據、財身份認證和訪問控制存在的風險

企業信息系統一般供特定范圍的用戶使用，包含的信息和數據也只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。由于網絡的不可控性，安全的身份認證和訪問控制就顯得尤為重要。身份認證和訪問控制存在的風險企業信息系統一般供常見信息安全技術密碼學系統安全網絡安全協議網絡攻擊技術攻擊實施技術入侵檢測技術網絡防御技術計算機病毒訪問控制技術常見信息安全技術密碼學系統安全網絡安全協議網絡攻擊技術攻擊實密碼學基本術語密碼學（Cryptology）研究信息系統安全保密的科學。由兩個相互對立、相互斗爭，而且又相輔相成、相互促進的分支科學所組成的，分別稱為密碼編碼學（Cryptography）和密碼分析學（Cryptanalysis）。密碼學基本術語密碼學（Cryptology）研究信息系統安全古典密碼體制的安全性在于保持算法本身的保密性，受到算法限制。不適合大規模生產不適合較大的或者人員變動較大的組織用戶無法了解算法的安全性古典密碼主要有以下幾種：代替密碼（SubstitutionCipher）換位密碼（TranspositionCipher）代替密碼與換位密碼的組合古典密碼古典密碼體制的安全性在于保持算法本身的保密性，受到算法限制。對稱密碼算法和非對稱密碼算法對稱密碼算法（Symmetriccipher）：加密密鑰和解密密鑰相同，或實質上等同，即從一個易于推出另一個。又稱傳統密碼算法（Conventionalcipher)、秘密密鑰算法或單密鑰算法。

DES、3DES、IDEA、AES非對稱密碼算法（Asymmetriccipher）：加密密鑰和解密密鑰不同，從一個很難推出另一個。又叫公鑰密碼算法（Public-keycipher)。其中的加密密鑰可以公開，稱為公開密鑰（publickey)，簡稱公鑰；解密密鑰必須保密，稱為私人密鑰（privatekey)，簡稱私鑰。

RSA、ECC、ElGamal對稱密碼算法和非對稱密碼算法對稱密碼算法（S加密（Encryption）：將明文變換為密文的過程。把可懂的語言變換成不可懂的語言，這里的語言指人類能懂的語言和機器能懂的語言。解密（Decryption）：加密的逆過程，即由密文恢復出原明文的過程。把不可懂的語言變換成可懂的語言。加密算法密鑰密文明文解密算法密鑰密文明文加密和解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。加密和解密加密（Encryption）：將明文變換為密文的過程。把可懂PGP加密PGP是目前最優秀，最安全的加密方式。這方面的代表軟件是美國的PGP加密軟件。這種軟件的核心思想是利用邏輯分區保護文件，比如，邏輯分區E:是受PGP保護的硬盤分區，那么，每次打開這個分區的時候，需要輸入密碼才能打開這個分區，在這個分區內的文件是絕對安全的。不再需要這個分區時，可以把這個分區關閉并使其從桌面上消失，當再次打開時，需要輸入密碼。沒有密碼，軟件開發者本人也無法解密！PGP是全世界最流行的文件夾加密軟件。它的源代碼是公開的，經受住了成千上萬頂尖黑客的破解挑戰，事實證明PGP是目前世界上最安全的加密軟件。它的唯一缺點是PGP目前還沒有中文版，而且正版價格極其昂貴。PGP技術是美國國家安全部門禁止出口的技術。PGP加密PGP是目前最優秀，最安全的加密方式。這方面的代表密碼學的應用---VPNVPN密碼學的應用---VPNVPN1、未使用VPN時，分布在各地的組織機構需要用專用網絡來保證數據傳輸安全。其特點

1）安全性好

2）價格昂貴

3）難擴展、不靈活2、TCP/IP采用分組交換方式傳遞數據，其特點

1）安全性差

2）價格便宜

3）易擴展，普遍使用密碼學的應用---VPN1、未使用VPN時，分布在各地的組織機構需要用專用網絡來保證加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制，不同的用戶有不同的訪問權限。密碼學的應用---VPNVPN基本功能加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露密PKI指的是公鑰基礎設施,

CA指的是認證中心.

公鑰基礎設施（PublicKeyInfrastructure）利用公開密鑰技術建立的提供信息安全服務的在線基礎設施。它利用加密、數字簽名、數字證書來保護應用、通信或事務處理的安全。如同電力基礎設施為家用電器提供電力一樣，PKI為各種應用提供安全保障PKI/CA是一組建立在公開密鑰技術基礎上的硬件、軟件、人員和應用程序的集合，它具備生產、管理、存儲、核發和廢止證書的能力，從運營、管理、規范、法律、人員等多個角度來解決網絡信任問題。密碼學的應用---PKI/CAPKI指的是公鑰基礎設施,CA指的是認證中心.密碼PKI/CA技術在信息安全中的作用PKI/CA技術在信息安全中的作用安全漏洞

信息安全漏洞是信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環節之中，而且隨著信息系統的變化而改變。一旦被惡意主體所利用，就會造成對信息系統的安全損害，從而影響構建于信息系統之上正常服務的運行，危害信息系統及信息的安全屬性。安全漏洞信息安全漏洞是信息技術、信息產品、信息系統在設安全模型安全模型

注冊表(Registry)整合、集成了全部系統和應用程序的初始化信息。

其中包含硬件設備的說明、相互關聯的應用程序與文檔文件、窗口顯示方式、網絡連接參數、甚至關系到電腦安全的網絡設置。

病毒、木馬、黑客程序等攻擊用戶電腦時，都會對注冊表進行一定的修改，因此注冊表的安全設置非常重要。注冊表安全注冊表(Registry)整合、集成了全部系統抵御后門程序破環禁用控制面板鎖定桌面禁止遠程修改注冊表禁止病毒啟動服務禁止病毒自行啟動注冊表安全抵御后門程序破環注冊表安全1、比較原始的竊密技術是暴力破解，也叫密碼窮舉。如果黑客事先知道了賬戶號碼，如網上銀行賬號，而恰巧你的密碼又十分簡單，比如用簡單的數字組合，黑客使用暴力破解工具很快就可以破釋出密碼來。

2、在大部分用戶意識到簡單的密碼在黑客面前形同虛設后，人們開始把密碼設置的盡可能復雜一些，這就使得破解工具開始無計可施。這時候，黑客開始在木馬病毒身上做文章，他們在木馬程序里設計了鉤子程序，一旦用戶的電腦感染了這種特制的病毒，系統就被種下了“鉤子”，黑客通過“鉤子”程序監聽和記錄用戶的擊鍵動作，然后通過自身的郵件發送模塊把記錄下的密碼發送到黑客的指定郵箱。

3、軟鍵盤輸入使得使用擊鍵記錄技術的木馬失去了作用。這時候，黑客仍不甘心，又開始琢磨出通過屏幕快照的方法來破解軟鍵盤輸入。病毒作者已考慮到軟鍵盤輸入這種密碼保護技術，病毒在運行后，會通過屏幕快照將用戶的登陸界面連續保存為兩張黑白圖片，然后通過自帶的發信模塊發向指定的郵件接受者。黑客通過對照圖片中鼠標的點擊位置，就很有可能破譯出用戶的登陸賬號和密碼，從而突破軟鍵盤密碼保護技術，嚴重威脅股民網上交易安全。

賬號和密碼安全1、比較原始的竊密技術是暴力破解，也叫密碼窮舉。如果黑客事先賬號和密碼安全事項安全密碼的設置（1）密碼中的字符應該來自下面“字符類別”中五組中的至少三組。

1、小寫字母

a、b、c…

2、大寫字母

A、B、C…

3、數字

0、1、2、3、4、5、6、7、8、9

4、非字母數字字符（符號）

~`!@#$%^&*()<>?/_-|\

5、Unicode字符

??、Γ、?

和

λ（2）密碼設置的注意事項：1.請盡量設置長密碼。請您設法設置便于記憶的長密碼，您可以使用完整的短語，而非單個的

單詞或數字作為您的密碼，因為密碼越長，則被破解的可能性就越小；2.盡量在單詞中插入符號。盡管攻擊者善于搜查密碼中的單詞，但請您在設置密碼時不要放棄

使用單詞。但您需要在您的單詞中插入符號或者變為諧音符號。如：”justforyou”可以改善

為“just4y_o_u”；3.請不要在您的密碼中出現您的帳號；4.請不要使用您的個人信息作為密碼的內容。如生日、身份證號碼、親人或者伴侶的姓名等。賬號和密碼安全事項安全密碼的設置OSI安全體系結構

OSI安全體系結構定義了系統應當提供的五類安全服務，以及提供這些服務的八類安全機制；某種安全服務可以通過一種或多種安全機制提供，某種安全機制可用于提供一種或多種安全服務。五類安全服務：1.認證（鑒別）服務：提供對通信中對等實體和數據來源的認證（鑒別）。2.訪問控制服務：用于防治未授權用戶非法使用系統資源，包括用戶身份認證和用戶權限確認。3.數據保密性服務：為防止網絡各系統之間交換的數據被截獲或被非法存取而泄密，提供機密保護。同時，對有可能通過觀察信息流就能推導出信息的情況進行防范。4.數據完整性服務：用于組織非法實體對交換數據的修改、插入、刪除以及在數據交換過程中的數據丟失。5.抗抵賴服務：用于防止發送方在發送數據后否認發送和接收方在收到數據后否認收到或偽造數據的行為。OSI安全體系結構OSI安全體系結構定義了系OSI安全體系結構1.加密機制：是確保數據安全性的基本方法，在OSI安全體系結構中應根據加密所在的層次及加密對象的不同，而采用不同的加密方法。2.數字簽名機制：是確保數據真實性的基本方法，利用數字簽名技術可進行用戶的身份認證和消息認證，它具有解決收、發雙方糾紛的能力。3.訪問控制機制：從計算機系統的處理能力方面對信息提供保護。訪問控制按照事先確定的規則決定主體對客體的訪問是否合法，當以主題試圖非法使用一個未經給出的報警并記錄日志檔案。4.數據完整性機制：破壞數據完整性的主要因素有數據在信道中傳輸時受信道干擾影響而產生錯誤，數據在傳輸和存儲過程中被非法入侵者篡改，計算機病毒對程序和數據的傳染等。糾錯編碼和差錯控制是對付信道干擾的有效方法。對付非法入侵者主動攻擊的有效方法是保溫認證，對付計算機病毒有各種病毒檢測、殺毒和免疫方法。5.認證機制：在計算機網絡中認證主要有用戶認證、消息認證、站點認證和進程認證等，可用于認證的方法有已知信息（如口令）、共享密鑰、數字簽名、生物特征（如指紋）等。6.業務流填充機制：攻擊者通過分析網絡中有一路徑上的信息流量和流向來判斷某些事件的發生，為了對付這種攻擊，一些關鍵站點間再無正常信息傳送時，持續傳遞一些隨機數據，使攻擊者不知道哪些數據是有用的，那些數據是無用的，從而挫敗攻擊者的信息流分析。7.路由控制機制：在大型計算機網絡中，從源點到目的地往往存在多條路徑，其中有些路徑是安全的，有些路徑是不安全的，路由控制機制可根據信息發送者的申請選擇安全路徑，以確保數據安全。8.公正機制：在大型計算機網絡中，并不是所有的用戶都是誠實可信的，同時也可能由于設備故障等技術原因造成信息丟失、延遲等，用戶之間很可能引起責任糾紛，為了解決這個問題，就需要有一個各方都行人的第三方以提供公證仲裁，仲裁數字簽名經濟術士這種公正機制的一種技術支持。OSI安全體系結構1.加密機制：是確保數據安全性的基本方法，網絡安全協議網絡安全協議?網絡層——IP安全性(IPSec)?傳輸層——SSL/TLS?應用層——S/MIME,PGP,PEM,SET,Kerberos,HTTPS,SSH網絡安全協議?網絡層——IP安全性(IPSec)網絡安全協議IPSec?

IPSec為在LAN、WAN和Internet上的通訊提供安全性–分支辦公機構通過Internet互連。(SecureVPN)–通過Internet的遠程訪問。–與合作伙伴建立extranet與intranet的互連。–增強電子商務安全性?IPSec的主要特征是可以支持IP層所有流量的加密和/或鑒別。因此可以增強所有分布式應用的安全性。網絡層安全協議IPSec?IPSec為在LAN、WAN和Internet?端到端（end-end):主機到主機的安全通信?端到路由（end-router):主機到路由設備之間的安全通信?路由到路由（router-router):路由設備之間的安全通信，常用于在兩個網絡之間建立虛擬私有網（VPN）。IPSec的應用方式?端到端（end-end):主機到主機的安全通信IPSecSSL體系結構?協議分為兩層?底層：SSL記錄協議?上層：SSL握手協議、SSL修改密文規約協議、SSL警告協議SSL體系結構?協議分為兩層?SSL記錄協議–建立在可靠的傳輸協議(如TCP)之上–它提供連接安全性，有兩個特點?保密性，使用了對稱加密算法?完整性，使用HMAC算法–用來封裝高層的協議?SSL握手協議–客戶和服務器之間相互鑒別–協商加密算法和密鑰–它提供連接安全性，有三個特點?身份鑒別，至少對一方實現鑒別，也可以是雙向鑒別?協商得到的共享密鑰是安全的，中間人不能夠知道?協商過程是可靠的SSL兩個主要協議?SSL記錄協議SSL兩個主要協議SSH的英文全稱是Secure

Shell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，

而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。

SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的“通道”。

SSHSSH的英文全稱是Secure

Shell。通過使用SSH網絡攻擊技術踩點定位入侵留后門抹去痕跡信息收集分析目標實施攻擊方便再次進入清理入侵記錄網絡攻擊技術踩點定位入侵留后門抹去痕跡信息收集信息收集技術獲取攻擊目標大概信息網絡信息主機信息應用部署信息……指導下一步攻擊行為

信息收集的方式社會工程學媒體（如搜索引擎、廣告介紹等）網絡工具的探測踩點---信息收集信息收集技術獲取攻擊目標大概信息踩點---信息收集定位---分析目標為什么需要分析目標確定收集信息的準確性更準確的判斷（例如:index.ycs是java開發，開發人員修改了腳本后綴以迷惑攻擊者）攻擊方式及工具路徑的選擇分析目標的方法掃描漏洞庫論壇等交互應用定位---分析目標為什么需要分析目標入侵-多種多樣的入侵方式針對配置錯誤的攻擊－IPC$的攻擊針對應用漏洞的攻擊－Unicode緩沖區溢出攻擊－IDQ緩沖區溢出電子欺騙攻擊－ARP欺騙拒絕服務攻擊－SYNflood針對弱口令的攻擊－口令破解利用服務的漏洞-本地輸入法漏洞利用應用腳本開發的漏洞-SQL注入利用人的心理-社會工程學攻擊入侵-多種多樣的入侵方式針對配置錯誤的攻擊－IPC$的攻擊后門-方便下次進入后門可以作什么方便下次直接進入監視用戶所有行為、隱私完全控制用戶主機后門放置方式如果已經入侵簡單！如果尚未入侵手動放置利用系統漏洞，遠程植入利用系統漏洞，誘騙執行后門-方便下次進入后門可以作什么后門-方便下次進入改寫訪問日志例如：IIS訪問日志位置%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log改寫日志的技巧修改系統日期刪除中間文件刪除創建的用戶后門-方便下次進入改寫訪問日志漏洞攻擊

根據目標主機開放的不同應用和服務來掃描和判斷是否存在或可能存在某些漏洞意義進行網絡安全評估為網絡系統的加固提供先期準備被網絡攻擊者加以利用來獲取重要的數據信息信息安全的“木桶理論”對一個信息系統來說，它的安全性不在于它是否采用了最新的加密算法或最先進的設備，而是由系統本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發現，系統就有可能成為網絡攻擊的犧牲品。漏洞攻擊根據目標主機開放的不同應用和服務來掃描欺騙攻擊IP欺騙（IPSpoof）DNS欺騙ARP欺騙TCP會話劫持路由欺騙欺騙攻擊IP欺騙（IPSpoof）拒絕服務攻擊

拒絕服務式攻擊(DenialofService)，顧名思義就是讓被攻擊的系統無法正常進行服務的攻擊方式。拒絕服務攻擊方式利用大量數據擠占網絡帶寬利用大量請求消耗系統性能利用協議實現缺陷利用系統處理方式缺陷拒絕服務攻擊拒絕服務式攻擊(Denialof網絡防御技術防火墻技術在網絡間（內部/外部網絡、不同信息級別）提供安全連接的設備；用于實現和執行網絡之間通信的安全策略網絡防御技術防火墻技術在網絡間（內部/外部網絡、不同防火墻的功能阻止來自不可信網絡的攻擊保護關鍵數據的完整性維護客戶對企業或機構的信任網絡防御技術防火墻的功能阻止來自不可信網絡的攻擊網絡防御技術1控制進出網絡的信息流向和數據包，過濾不安全的服務；2隱藏內部IP地址及網絡結構的細節；3提供使用和流量的日志和審計功能；4部署NAT（NetworkAddressTranslation，網絡地址轉換）；5邏輯隔離內部網段，對外提供WEB和FTP；6實現集中的安全管理；7提供VPN功能。網絡防御技術防火墻的功能1控制進出網絡的信息流向和數據包，過濾不安全的服務；網絡防御防火墻的分類包過濾技術應用代理技術狀態檢測技術網絡防御技術防火墻的分類包過濾技術網絡防御技術防火墻系統的部署這是最為普通的企業環境防火墻部署案例。利用防火墻將網絡分為三個安全區域，企業內部網絡，外部網絡和服務器專網(DMZ區)。可信網絡不可信的網絡&服務防火墻路由器InternetIntranetDMZ公開可訪問的服務&網絡網絡防御技術防火墻系統的部署這是最為普通的企業環境防火墻部署案例。利用防入侵檢測技術網絡防御技術入侵檢測技術網絡防御技術入侵檢測的概念網絡防御技術入侵檢測（IntrusionDetection），顧名思義，就是對入侵行為的發覺。通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的概念網絡防御技術入侵檢測（Intr入侵檢測的分類攻擊的類型：網絡嗅探利用設計缺陷實現缺陷拒絕服務網絡防御技術攻擊針對以下方面：網絡操作系統應用入侵檢測的分類攻擊的類型：網絡防御技術攻擊針對以下方面：入侵檢測的步驟預防入侵檢測入侵對入侵做出響應網絡防御技術入侵檢測的步驟預防入侵網絡防御技術計算機取證技術計算機取證（ComputerForensics、計算機取證技術、計算機鑒識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為“從計算機上提取證據”即獲取、保存、分析出示提供的證據必須可信

網絡防御技術計算機取證技術計算機取證（ComputerF計算機取證概念計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。可以用做計算機取證的信息源很多，如系統日志，防火墻與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿，仍有可能恢復已經刪除的文件。網絡防御技術計算機取證概念計算機取證是分析硬盤、光盤、軟盤計算機取證的分類來源取證所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。事實取證事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟件功能分析、軟件相似性分析、日志文件分析、網絡狀態分析、網絡數據包分析等。網絡防御技術計算機取證的分類來源取證網絡防御技術計算機取證的原則計算機取證的主要原則有以下幾點：首先，盡早搜集證據，并保證其沒有受到任何破壞；其次，必須保證“證據連續性”（有時也被稱為“chainofcustody”），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；

最后，整個檢查、取證過程必須是受到監督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。網絡防御技術計算機取證的原則計算機取證的主要原則有以下幾點計算機取證技術的步驟在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：第一，在取證檢查中，保護目標計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染；第二，搜索目標系統中的所有文件。包括現存的正常文件，已經被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件；第三，全部（或盡可能）恢復發現的已刪除文件；第四，最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容；第五，如果可能并且如果法律允許，訪問被保護或加密文件的內容；第六，分析在磁盤的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類：①所謂的未分配磁盤空間——雖然目前沒有被使用，但可能包含有先前的數據殘留；②文件中的“slack”空間——如果文件的長度不是簇長度的整數倍，那么分配給文件的最后一簇中，會有未被當前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據；第七，打印對目標計算機系統的全面分析結果，然后給出分析結論：系統的整體情況，發現的文件結構、數據、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發現的其它的相關信息；第八，給出必需的專家證明。網絡防御技術計算機取證技術的步驟在保證以上幾項基本原則的情況下，計算機取蜜罐技術網絡防御技術“蜜網項目組”（TheHoneynetProject）的創始人LanceSpitzner給出了蜜網的權威定義：

蜜網是一種安全資源，其價值在于被掃描、攻擊和攻陷。蜜網的核心價值在于對攻擊活動進行監視、檢測和分析。蜜罐技術網絡防御技術“蜜網項目組”（TheHoneyne蜜罐的功能網絡防御技術吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來，進而評估黑客攻擊的目的、使用的工具、運用的手段、造成的后果可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊也可以進行攻擊檢測和報警蜜罐的功能網絡防御技術吸引入侵者來嗅探、攻擊蜜罐的核心需求網絡防御技術蜜網有著三大核心需求：即數據控制、數據捕獲和數據分析。1.通過數據控制能夠確保黑客不能利用蜜網危害第三方網絡的安全，以減輕蜜網架設的風險；2.數據捕獲技術能夠檢測并審計黑客攻擊的所有行為數據；3.而數據分析技術則幫助安全研究人員從捕獲的數據中分析出黑客的具體活動、使用工具及其意圖。蜜罐的核心需求網絡防御技術蜜網有著三大核心需求計算機病毒

電腦病毒與醫學上的“病毒”不同，它不是天然存在的，是某些人利用電腦軟、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫學上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫學上的“病毒”概念引申而來。

從廣義上定義，凡能夠引起電腦故障，破壞電腦數據的程序統稱為電腦病毒。依據此定義，諸如邏輯炸彈，蠕蟲等均可稱為電腦病毒。在國內，專家和研究者對電腦病毒也做過不盡相同的定義，但一直沒有公認的明確定義。

概念計算機病毒電腦病毒與醫學上的“病毒”不同，它不計算機病毒計算機病毒的發展歷史1949年：馮·諾依曼在《復雜自動機組織論》提出概念1960年：生命游戲（約翰