网络安全技术概述

《网络安全技术概述》由会员分享，可在线阅读，更多相关《网络安全技术概述（58页珍藏版）》请在装配图网上搜索。

1、计算机网络技术(第二版）主编 傅建民中国水利水电出版社第12章 网络安全技术&本章任务网络安全概述 数据加密技术 身份认证和密钥分发 数字签名和报文摘要 防火墙技术 入侵检测 12.1 网络安全概述网络安全是指保护网络系统中的软件、硬件及信息资源，网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。的正常运行、网络服务不中断。在美国国家信息基础设施（在美国国家信息基础设施（NIINII）的文献中，给出了安全的）的文献中，给出了安全的五个属性：可用性、机密性、完整性、可靠

2、性和不可抵赖五个属性：可用性、机密性、完整性、可靠性和不可抵赖性。性。（1 1）可用性）可用性 可用性是指得到授权的实体在需要时可以得到所需要的网可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务。络资源和服务。（2 2）机密性）机密性 机密性是指网络中的信息不被非授权实体（包括用户和进机密性是指网络中的信息不被非授权实体（包括用户和进程等）获取与使用。程等）获取与使用。（3 3）完整性）完整性 完整性是指网络信息的真实可信性，即网络中的信息不会完整性是指网络信息的真实可信性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，被偶然或者蓄意地进行删除、修改、伪造、

3、插入等破坏，保证授权用户得到的信息是真实的。保证授权用户得到的信息是真实的。（4 4）可靠性）可靠性 可靠性是指系统在规定的条件下和规定的时间内，完成规可靠性是指系统在规定的条件下和规定的时间内，完成规定功能的概率。定功能的概率。（5 5）不可抵赖）不可抵赖不可抵赖性也称为不可否认性。是指通信的双方在通信过不可抵赖性也称为不可否认性。是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖。程中，对于自己所发送或接收的消息不可抵赖。12.1.1 主要的网络安全威胁所谓的网络安全威胁是指某个实体（人、事件、程序等）对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。通信过程中的

4、四种攻击方式：通信过程中的四种攻击方式：截获：截获：截获：截获：两个实体通过网络进行通信时，如果不采两个实体通过网络进行通信时，如果不采取任何保密措施，第三者可能偷听到通信内容。取任何保密措施，第三者可能偷听到通信内容。中断：中断：中断：中断：用户在通信中被有意破坏者中断通信。用户在通信中被有意破坏者中断通信。篡改：篡改：篡改：篡改：信息在传递过程中被破坏者修改，导致接信息在传递过程中被破坏者修改，导致接收方收到错误的信息。收方收到错误的信息。伪造：伪造：伪造：伪造：破坏者通过传递某个实体特有的信息，伪破坏者通过传递某个实体特有的信息，伪造成这个实体与其它实体进行信息交换，造成真造成这个实体与

5、其它实体进行信息交换，造成真实实体的损失。实实体的损失。图12-1 网络攻击分类示意其它构成威胁的因素其它构成威胁的因素（1）环境和灾害因素：地震、火灾、磁场变化造成通信中断或异常；（2）人为因素：施工造成通信线路中断；（3）系统自身因素：系统升级、更换设备等。12.1.2 12.1.2 网络安全策略网络安全策略安全策略是指在某个安全区域内，所有与安全活安全策略是指在某个安全区域内，所有与安全活动相关的一套规则。动相关的一套规则。网络安全策略包括对企业的各种网络服务的安全网络安全策略包括对企业的各种网络服务的安全层次和用户的权限进行分类，确定管理员的安全层次和用户的权限进行分类，确定管理员的安

6、全职责，如何实施安全故障处理、网络拓扑结构、职责，如何实施安全故障处理、网络拓扑结构、入侵和攻击的防御和检测、备份和灾难恢复等内入侵和攻击的防御和检测、备份和灾难恢复等内容。我们通常所说的安全策略主要指系统安全策容。我们通常所说的安全策略主要指系统安全策略，主要涉及四个大的方面：物理安全策略、访略，主要涉及四个大的方面：物理安全策略、访问控制策略、信息加密策略、安全管理策略。问控制策略、信息加密策略、安全管理策略。12.1.3 网络安全模型 1P2DR安全模型 P2DR模型是由美国国际互联网安全系统公司提出的一个可适应网络安全模型（Adaptive Network Security Model

7、）。P2DR包括四个主要部分，分别是：Policy策略，Protection保护，Detection检测，Response响应。从P2DR模型的示意图我们也可以看出，它强调安全是一个在安全策略指导下的保护、检测、响应不断循环的动态过程，系统的安全在这个动态的过程中不断得到加固。因此称之为可适应的安全模型。P2DR模型对安全的描述可以用下面的公式来表示：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应2PDRR安全模型PDRR模型是美国国防部提出的“信息安全保护体系”中的重要内容，概括了网络安全的整个环节。PDRR表示Protection（防护）、Detection（检测）、Respons

8、e（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期。12.2 数据加密技术12.2.1 数据加密方法在传统上有几种方法来加密数据流。所有这些方法都可以用软件很容易的实现，但是当只知道密文的时候，是不容易破译这些加密算法的（当同时有原文和密文时，破译加密算法虽然也不是很容易，但已经是可能的了）。最好的加密算法对系统性能几乎没有影响，并且还可以带来其他内在的优点。比较简单的加密算法就是比较简单的加密算法就是“置换表置换表”算法，这种算法也能算法，这种算法也能很好达到加密的需要。每一个数据段（总是一个字节）对很好达到加密的需要。每一个数据段（总是一个字节）对应着应着“置换表

9、置换表”中的一个偏移量，偏移量所对应的值就输中的一个偏移量，偏移量所对应的值就输出成为加密后的文件，加密程序和解密程序都需要一个这出成为加密后的文件，加密程序和解密程序都需要一个这样的样的“置换表置换表”。比如，可以将单词的每一个字母顺延。比如，可以将单词的每一个字母顺延3 3个，将单词个，将单词HELLOHELLO变换成变换成KHOORKHOOR，接收方再反向解密。，接收方再反向解密。明文：明文：A B C D E F G H I J K L M N O P Q R S T U V W A B C D E F G H I J K L M N O P Q R S T U V W X Y Z X

10、 Y Z 暗文：暗文：D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B CA B C这种加密算法比较简单，加密解密速度都很快，但是一旦这种加密算法比较简单，加密解密速度都很快，但是一旦这个这个“置换表置换表”被对方获得，那这个加密方案就完全被识被对方获得，那这个加密方案就完全被识破了。更进一步讲，这种加密算法对于破了。更进一步讲，这种加密算法对于黑客黑客破译来讲是相破译来讲是相当直接的，只要找到一个当直接的，只要找到一个“置换表置换表”就可以了。就可以了

11、。12.3 身份认证和密钥分发认证即认证即“验明正身验明正身”，用于确认某人或某物的身份。，用于确认某人或某物的身份。在网络上，需要确认身份的对象大致可分为人类用户和物在网络上，需要确认身份的对象大致可分为人类用户和物理设备两类。本节只介绍与人类用户身份认证有关的基本理设备两类。本节只介绍与人类用户身份认证有关的基本知识。知识。传统的认证，凭据一般是名称和一组秘密字符组合。前者传统的认证，凭据一般是名称和一组秘密字符组合。前者称为标识（称为标识（IDID），后者称为密码（），后者称为密码（passwordpassword）。进行认）。进行认证时，被认证者需要提供标识（一般为用户名）和密码。证时

12、，被认证者需要提供标识（一般为用户名）和密码。这种认证方式是不可靠的，因为不能确保密码不外泄。这种认证方式是不可靠的，因为不能确保密码不外泄。比较可靠的认证方式为加密认证。在这种方式下，被认证比较可靠的认证方式为加密认证。在这种方式下，被认证者不需要出示其秘密信息，而是采用迂回、间接的方式证者不需要出示其秘密信息，而是采用迂回、间接的方式证明自己的身份。明自己的身份。12.3.1 密码和加密认证1.密码认证密码认证密码认证（Password Based）方式普遍存在于各种操作系统中，例如在登录系统或使用系统资源前，用户需先出示其用户名与密码，以通过系统的认证。2.加密认证加密认证加密认证（Cr

13、yptographic）可弥补密码认证的不足之处。在这种认证方式中，双方使用请求与响应（Challenge&Response）技巧来识别对方。利用秘密钥匙的认证方式。假定利用秘密钥匙的认证方式。假定A A、B B两方持有两方持有同一密钥同一密钥K K，其认证过程如图，其认证过程如图12122 2所示：所示：图12-2 公钥认证系统其中，其中，R R为请求值，为请求值，X X为响应值。上述步骤也可修为响应值。上述步骤也可修改为先将改为先将R R加密为加密为X X，然后发给，然后发给B B，再由，再由B B解出解出R R，回传给，回传给A A。图12-3 密钥认证系统利用公用钥匙进行认证的过程与秘

14、密钥匙相似，假设B的公用、私有钥匙分别为KB、Kb，认证过程如图123所示，其中，R为请求值，X为响应值。网络发证机关（CA，Certificate Authority）是专门负责颁发公用钥匙持有证书的机构。其与网络用户的关系如图124所示图12-4 网络发证机关与其它用户的关系密钥产生及管理概述密钥产生及管理概述 一个密钥在生存期内一般要经历以下几个阶段：一个密钥在生存期内一般要经历以下几个阶段：密钥的产生密钥的产生密钥的分配密钥的分配启用密钥启用密钥/停有密钥停有密钥替换密钥或更新密钥替换密钥或更新密钥撤销密钥撤销密钥销毁密钥销毁密钥 12.3.2 12.3.2 数据完整性验证数据完整性验

15、证 消息的发送者用要发送的消息和一定的算法生成消息的发送者用要发送的消息和一定的算法生成一个附件，并将附件与消息一起发送出去；一个附件，并将附件与消息一起发送出去；消息的接收者收到消息和附件后，用同样的算法消息的接收者收到消息和附件后，用同样的算法与接收到的消息生成一个新的附件；与接收到的消息生成一个新的附件；把新的附件与接收到的附件相比较，如果相同，把新的附件与接收到的附件相比较，如果相同，则说明收到的消息是正确的，否则说明消息在传则说明收到的消息是正确的，否则说明消息在传送中出现了错误送中出现了错误图12-5 数据完整验证模型（1）使用对称密钥体制产生消息认证码发送者把消息m分成若干个分组

16、（m1,m2.mi），利用分组密密码算法来产生MAC，其过程如图126所示。图12-6 对称密钥体制（2 2）使用散列函数来产生消息认证码）使用散列函数来产生消息认证码散列函数可以将任意长度的输入串转化成固定长度的输出散列函数可以将任意长度的输入串转化成固定长度的输出串，将定长的输出串来做消息的认证码。串，将定长的输出串来做消息的认证码。单向散列函数单向散列函数单向散列函数（单向散列函数（one-way hash functionone-way hash function），也叫压缩函数、），也叫压缩函数、收缩函数，它是现代密码学的中心，是许多协议的另一个收缩函数，它是现代密码学的中心，是许多

17、协议的另一个结构模块。结构模块。散列函数长期以来一直在计算机科学中使用，散列函数是散列函数长期以来一直在计算机科学中使用，散列函数是把可变长度的输入串（叫做预映射，把可变长度的输入串（叫做预映射，pre-imagepre-image）转换成）转换成固定长度的输出串（叫做散列值）的一种函数固定长度的输出串（叫做散列值）的一种函数单向散列函数是在一个方向上工作的散列函数，即从预映单向散列函数是在一个方向上工作的散列函数，即从预映射的值很容易计算出散列值，但要从一个特定的散列值得射的值很容易计算出散列值，但要从一个特定的散列值得出预映射的值则非常难。出预映射的值则非常难。12.4 数字签名和报文摘要

18、数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人（如接收者）伪造。从图12-7中可看出，数字签名的功能有三：可证明信件的来源；可判定信件内容是否被篡改；发信者无法否认曾经发过信图12-7 数字签名流程数字签名的实现方法数字签名的实现方法 （1 1）使用对称加密和仲裁者实现数字签名）使用对称加密和仲裁者实现数字签名 （2 2）使用公开密钥体制进行数字签名）使用公开密钥体制进行数字签名公开密钥体制的发明，使数字签名变得更简单，公开密钥体制的发明，使数字签名变得更简单，它不再需要第三方去签

19、名和验证。签名的实现过它不再需要第三方去签名和验证。签名的实现过程如下：程如下：A A用他的私人密钥加密消息，从而对文件签名；用他的私人密钥加密消息，从而对文件签名；A A将签名的消息发送给将签名的消息发送给B B；B B用用A A的公开密钥解消息，从而验证签名；的公开密钥解消息，从而验证签名；12.5 防火墙技术防火墙防火墙(firewall)(firewall)是由软件、硬件构成的系统，是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的制策略是由使用防火墙的单位自行制订的，为的是可以最适合

20、本单位的需要。是可以最适合本单位的需要。防火墙内的网络称为防火墙内的网络称为“可信赖的网络可信赖的网络”(trusted”(trusted network)network)，而将外部的因特网称为，而将外部的因特网称为“不可信赖的不可信赖的网络网络”(untrusted network)”(untrusted network)。防火墙可用来解决。防火墙可用来解决内联网和外联网的安全问题。内联网和外联网的安全问题。防火墙的功能有两个：阻止和允许。“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。“允许”的功能与“阻止”恰好相反。G内联网可信赖的网络不可信赖的网络分组过滤

21、路由器 R分组过滤路由器 R应用网关外局域网内局域网防火墙因特网图12-11 防火墙的原理防火墙技术一般分为两类(1)(1)网络级防火墙网络级防火墙用来防止整个网络出现外用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。则是检查用户的登录是否合法。(2)(2)应用级防火墙应用级防火墙从应用程序来进行接入控从应用程序来进行接入控制。通常使用应用网关

22、或代理服务器来区分各种制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，应用。例如，可以只允许通过访问万维网的应用，而阻止而阻止 FTP FTP 应用的通过。应用的通过。12.5.1 防火墙原理防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信的,而外部网络(通常是Internet)被认为是不安全和不可信赖的.防火墙的作用是放逐不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙在网络中的位置如图。图12-12 防火墙的网络位置防火墙一般安放在被保护网络的边界，这样必须做防火墙一般安放在被保护网络的边界

23、，这样必须做到以下几点，才能使防火墙起到安全防护的作用：到以下几点，才能使防火墙起到安全防护的作用：所有进出被保护网络的通信必须通过防火墙。所有进出被保护网络的通信必须通过防火墙。所有通过防火墙的通信经过安全策略的过滤或者所有通过防火墙的通信经过安全策略的过滤或者防火墙的授权。防火墙的授权。防火墙本身是不可被入侵的。防火墙本身是不可被入侵的。总之，防火墙是在被保护网络和非信任网络之间总之，防火墙是在被保护网络和非信任网络之间进行访问控制的一个或者一组访问控制部件。防进行访问控制的一个或者一组访问控制部件。防火墙是一种逻辑隔离部件，而不是物理的隔离，火墙是一种逻辑隔离部件，而不是物理的隔离，它所

24、遵循的原则是，在保证网络畅通的情况下，它所遵循的原则是，在保证网络畅通的情况下，尽可能的保证内部网络的安全。尽可能的保证内部网络的安全。12.5.2 12.5.2 防火墙的功能防火墙的功能1 1、基本功能、基本功能访问控制功能访问控制功能内容控制功能。内容控制功能。全面的日志功能。全面的日志功能。集中管理功能。集中管理功能。自身的安全和可用性自身的安全和可用性2 2、附加功能、附加功能流量控制流量控制NATNAT（network address translationnetwork address translation，网络地址，网络地址转换）转换）VPNVPN（virtual privat

25、e networkvirtual private network，虚拟专用网），虚拟专用网）12.5.3 边界保护机制对防火墙而言，网络可以分为可信网络和不可信网络，可信网络和不可信网络是相对的，一般来讲内部网络是可信网络，互联网是不可信网络，但是在内部网络中，比如财务等一些重要部门网络需要特殊保护，在这里财务部等网络是可信网络，其它的内部网络就变成了不可信网络。12.5.4 12.5.4 防火墙的局限性防火墙的局限性安装防火墙并不能做到绝对的安全，它有许多防安装防火墙并不能做到绝对的安全，它有许多防范不到的地方。范不到的地方。防火墙不能防范不经由防火墙的攻击。防火墙不能防范不经由防火墙的攻击

26、。防火墙不能防治感染了病毒的软件或文件的传输。防火墙不能防治感染了病毒的软件或文件的传输。防火墙不能防止数据驱动式攻击。防火墙不能防止数据驱动式攻击。反火墙不能防范恶意的内部人员。反火墙不能防范恶意的内部人员。防火墙不能防范不断更新的攻击方式。防火墙不能防范不断更新的攻击方式。12.5.5 12.5.5 防火墙的分类防火墙的分类1 1包过滤技术包过滤技术包过滤（包过滤（packet filteringpacket filtering）技术是防火墙在网络层）技术是防火墙在网络层中根据数据包中包头信息实施有选择的允许通过中根据数据包中包头信息实施有选择的允许通过或阻断。或阻断。2 2应用网关技术应

27、用网关技术应用网关（应用网关（application gatewayapplication gateway）与包过滤防火）与包过滤防火墙不同，它不使用通用目标机制来允许各种不同墙不同，它不使用通用目标机制来允许各种不同种类的通信，而是针对每个应用使用专用目的的种类的通信，而是针对每个应用使用专用目的的处理方法。处理方法。3状态检测防火墙状态检测（stateful inspection）防火墙现在应用十分广泛。4 电路级网关电路级网关也被称之为线路级网关，它工作在会话层。5代理服务器技术代理服务器（proxy server）工作在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务

28、时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。12.6 入侵检测12.6.1 12.6.1 基本概念基本概念入侵检测是从计算机网络或计算机系统中的若干入侵检测是从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统（的迹象的一种机制。入侵检测系统（intrusion intrusion detection system,IDEdetection system,IDE）使用入侵检测技术对

29、网）使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能地入侵危不同的安全动作，最大限度地降低可能地入侵危害。简单地说，入侵检测系统工作过程是这样的：害。简单地说，入侵检测系统工作过程是这样的：一个计算机系统与网络或互联网连接。一个计算机系统与网络或互联网连接。12.6.2 基本结构CIDF（common intrusion detection framework）通用入侵检测框架给出了一个入侵检测系统通用模型。CIDF将IDS（入侵检测技术）需要分析的数据统称为事件（event），它可以是基于网络的IDS从

30、网络中提取的数据包，也可以是基于主机的IDS从系统日志等其它途径得到的数据信息。CIDF组件之间的交互数据使用通用入侵检测对象（generalized intrusion detection objects，gido）格式，一个gido可以表示在一些特定时刻发生的一些特定事件，也可以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的指令。它将一个入侵检测系统分为如下组件：图12-13 入侵检测系统12.6.3 12.6.3 入侵检测系统分类入侵检测系统分类1 1基于主机的入侵检测系统基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受基于主机的入侵检测系统用于保护单台主机不

31、受网络攻击行为的侵害，需要安装在被保护的主机网络攻击行为的侵害，需要安装在被保护的主机上。上。2 2基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统通常是作为一个独立的基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，基于网络的入侵检个体放置于被保护的网络上，基于网络的入侵检测系统使用原始的网络分组数据包作为进行攻击测系统使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实现分析的数据源，一般利用一个网络适配器来实现监视和分析所有通过网络进行的通信监视和分析所有通过网络进行的通信 3基于内核的入侵检测系统基于内核的入侵检测是一种较新的

32、技术，它开始变得流行起来，特别是在Linux上。在Linux上目前可用的基于内核的入侵检测系统有两种，它们是Open Wall和LIDS（一种基于Linux内核的入侵检测和预防系统）。4两种入侵检测系统的结合运用基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。5分布式的入侵检测系统目前的入侵检测系统一般采用集中式模式，在被保护网络的各个网段中分别放置监测器进行数据包收集和分析，各个监测器将检测信息传送给中央控制台进行统一处理，中央控制台会向各个监测器发送命令。12.7 计

33、算机病毒与防范计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒可以划分为网络病毒，文件病毒，引导型病毒。1计算机网络病毒传播方式及其特点一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站，无盘工作站和远程工作站）。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络，然后开始在网上的传播。2常见的网络病毒（1）W32.Blaster.Worm蠕虫病毒。（2）Dvldr32 蠕虫病毒（3）Code

34、Red(红色代码)蠕虫病毒（4）FunLove病毒（5）HappyTime(欢乐时光)蠕虫病毒（6）爱情后门（Worm.Lovgate.a/b/c/d/e）病毒3计算机网络病毒的防治方法（1）基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二是在工作站上插防病毒卡。三是在网络接口卡上安装防病病毒芯片。（2 2）基于服务器的防治技术。网络服务器是计算）基于服务器的防治技术。网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的一个机网络的中心，是网络的支柱。

35、网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦重要标志就是网络服务器瘫痪。网络服务器一旦被击垮，造成的损失是灾难性的、难以挽回和无被击垮，造成的损失是灾难性的、难以挽回和无法估量的。法估量的。（3 3）加强计算机网络的管理。计算机网络病毒的）加强计算机网络的管理。计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，才有可能紧密结合起来，提高人们的防范意识，才有可能从根本上保护网络系统的安全运行。从根本上保护网络系统的安全运行。演讲完毕，谢谢观看！