第4章46网络信息安全

4.6 网络信息安全4.6.1 概述4.6.2 数据加密4.6.3 数字签名4.6.4 身份鉴别与访问控制4.6.5 防火墙4.6.6 计算机病毒防范 2 4.6 网络信息安全4.6.1 概述3 4.6 网络信息安全信息传输 (存储 )中受到的安全威胁传输中断s d伪造s d篡改s d窃听s d通信线路切断、文件系统瘫痪等 ,影响数据的 可用性 文件或程序被非法拷贝 ,将危及数据的 机密性 破坏数据的 完整性 失去了数据（包括用户身份）的 真实性 4 4.6 网络信息安全确保信息安全的技术措施（ 1） 真实性鉴别 ：对通信双方的身份和所传送信息的真伪能准确地进行鉴别（ 2） 访问控制 ： 控制用户对信息等资源的访问权限 ，防止未经授权使用资源 （ 3） 数据加密 ：保护数据秘密，未经授权其内容不会显露（ 4） 保证数据完整性 ：保护数据不被非法修改，使数据在传送前、后保持完全相同（ 5） 保证数据可用性 ：保护数据在任何情况（包括系统故障）下不会丢失（ 6） 防止否认 ：防止接收方或发送方抵赖（ 7） 审计管理 ：监督用户活动、记录用户操作等5 4.6 网络信息安全4.6.2 数据加密6 4.6 网络信息安全数据加密 的基本思想n 目的：即使信息被窃取，也能保证数据安全n 重要性：数据加密是其他信息安全措施的基础n 基本思想：n 发送方 改变原始信息中符号的排列方式或按照某种规律替换部分或全部符号，使得只有合法的接收方通过数据解密才能读懂接收到的信息n 加密方法举例：n 将文本中每个小写英文字母替换为排列在字母表中其后面的第 3个字母原始数据： meet me after the class加密后数据： phhw ph diwhu wkh fodvv7 4.6 网络信息安全数据加密的基本概念n 明文 :加密前的原始数据n 密文 :加密后的数据 (用于传输或存储 )n 密码 (cipher):将明文与密文进行相互转换的算法n 密钥 :在密码中使用且仅仅只有收发双方知道的用于加密和解密的信息8 4.6 网络信息安全两类数据加密方法n 对称密钥加密n 公共密钥加密 明文 明文密文加密 解密密钥 K1 密钥 K2（数据传输）密钥 K1=K2，但密钥的管理和分发太复杂 使用乙的公钥加密甲 乙密 文乙丙丁戊使用乙的私钥解密加密器 解密器明文 明文甲的公钥环每个用户有一对密钥（ 私钥只有本人知道，公钥其他用户可以知道）。策略是：甲用乙的公钥加密的信息只有乙使用自己的私钥才能解密；乙用私钥加密的消息甲也只有用乙的公钥才能解密 9 4.6 网络信息安全4.6.3 数字签名10 4.6 网络信息安全数字签名概述n 数字签名的含义：n 数字签名是与消息一起发送的一串 代码n 数字签名的目的：n 让对方相信消息的 真实性n 数字签名的用途：n 在 电子商务和电子政务中用来鉴别消息的真伪 n 对数字签名的要求：n 无法伪造n 能发现消息内容的任何变化11 4.6 网络信息安全数字签名的处理过程hashing摘要消息正文私钥加密 数字签名 添加至正文附有数字签名的消息数字签名 传送对原始消息的正文进行散列处理 生成消息的摘要使用消息发送人的私钥对摘要进行加密而得到数字签名接收方使用发送方的公钥对数字签名解密恢复出消息摘要对收到的原始消息正文进行散列处理得到一个新的摘要对比附有数字签名的消息数字签名网络传送给接收方将数字签名添加到原始消息消息是否被篡改12 4.6 网络信息安全4.6.4 身份鉴别与访问控制13 4.6 网络信息安全身份鉴别n 身份鉴别的含义 :n 证实某人或某物（消息、文件、主机等）的真实身份是否与其所声称的身份相符 ,以防止欺诈和假冒n 什么时候进行 ?n 在用户登录某个计算机系统时进行n 在访问、传送或拷贝某个重要的资源时进行n 身份鉴别的依据 (方法 ):n 鉴别对象本人才知道的信息（如 口令 、私有密钥、身份证号等）n 鉴别对象本人才具有的信物（例如磁卡、 IC卡、USB钥匙等）n 鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹或说话声音等）n 双因素认证 :上述 2种方法的结合14 4.6 网络信息安全什么是访问控制 ?n 访问控制的含义 :n 计算机对系统内的每个信息资源规定各个用户对它的操作权限（是否可读、是否可写、是否可修改等）n 访问控制是在身份鉴别的基础上进行的n 访问控制的任务 :n 对所有信息资源进行集中管理n 对信息资源的控制没有二义性（各种规定互不冲突）n 有审计功能（记录所有访问活动 ,事后可以核查）15 4.6 网络信息安全文件的访问控制举例用 户 功 能读 写 编 辑 删 除 转 发 打 印 复 制董事 长 总经 理 副 总经 理 部 门经 理 科 长 组 长 16 4.6 网络信息安全4.6.5 防火墙17 4.6 网络信息安全因特网 防火墙n 什么是因特网防火墙 (Internet firewall)?n 用于将因特网的子网（最小子网是 1台计算机）与因特网的其余部分相 隔离 , 以维护网络信息安全的一种软件或硬件设备 n 防火墙的原理 :n 防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息 , 等等 防火墙因特网包过滤器内部网18 4.6 网络信息安全4.6.6 计算机病毒防范19 4.6 网络信息安全什么是计算机病毒 ?n 计算机病毒是有人 蓄意 编制的一种具有自我复制能力的、寄生性的、破坏性的 计算机程序n 计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统中的 软件、硬件和数据资源n 病毒程序的特点 :n 破坏性n 隐蔽性n 传染性和传播性n 潜伏性20 4.6 网络信息安全计算机病毒的表现和危害n 破坏文件内容，造成磁盘上的数据破坏或丢失n 删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动n 修改或破坏系统中的数据，使系统造成不可弥补的损失n 在磁盘上产生许多 “坏 ”扇区，减少磁盘可用空间n 占用计算机内存，造成计算机运行速度降低n 破坏 主板 BIOS芯片中存储的程序或数据n.21 4.6 网络信息安全杀毒软件的功能与缺陷n 杀毒软件的功能 :n 检测及消除内存、 BIOS、文件、邮件、 U盘和硬盘中的病毒n 例如： Norton， 瑞星，江民，金山毒霸，卡巴斯基 等n 杀毒软件的缺陷：n 杀毒软件的开发与更新总是稍稍滞后于新病毒的出现， 因此会检测不出或无法消除某些信病毒n 事先无法预计病毒的发展及变化， 很难开发出具有先知先觉功能的可以消除一切病毒的软硬件工具22 4.6 网络信息安全预防计算机病毒侵害的