网络安全.ppt

网络安全 网络安全问题已经从一个单纯的技术问题上升到关乎社会经济乃至国家安全的战略问题 上升到关乎人们的工作和生活的重要问题 什么是网络安全 网络安全 指为保护网络不受任何损害而采取的所有措施的综合 一般包含网络的保密性 完整性和可用性 保密性 指网络能够阻止未经授权的用户读取保密信息 完整性 包括资料的完整性和软件的完整性 资料的完整性是指在未经许可的情况下 确保资料不被删除或修改 软件的完整性是指确保软件程序不会被误操作 怀有恶意的人或病毒修改 可用性 指网络在遭受攻击时确保得到授权的用户可以使用网络资源 什么让网络不安全 病毒 一种人为蓄意制造的 以破坏为目的的程序 它寄生于其他应用程序或系统的可执行部分 通过部分修改或移动程序 将自我复制加入其中或占据宿主程序的部分而隐藏起来 是计算机系统最直接的安全威胁 Internet是网络滋生和传播的温床 木马 特洛伊木马 在执行某种功能的同时进行秘密破坏的一种程序 木马可以完成非授权用户无法完成的功能 使施种者可以任意毁坏 窃取被种者的文件 甚至远程操控被种者的电脑 病毒与木马区别 木马 程序是一种特殊的病毒 木马的作用是偷偷监视别人和盗窃别人密码 数据等 它的目标更加明确 与一般的病毒不同 木马不会自我繁殖 也并不 刻意 地去感染其他文件 木马的危害 盗取我们的网游账号 威胁我们的虚拟财产的安全盗取我们的网银信息 威胁我们的真实财产的安全利用即时通讯软件盗取我们的身份 传播木马病毒给我们的电脑打开后门 使我们的电脑可能被黑客控制 黑客 指通过网络非法进入他人系统 截获或篡改计算机数据 危害信息安全的计算机入侵者或入侵行为系统的漏洞和后门 操作系统和网络软件不可能完全没有漏洞 软件的后门是编程人员为了自便而设置的 一般不为人知 内部威胁和无意破坏 事实上 大部分威胁来自企业内部人员的蓄意攻击 另外 一些无意失误 如丢失密码 疏忽大意和非法操作等都可能对网络造成极大的破坏 这类所占比例高达70 黑客与骇客 黑客最早源自英文hacker 早期在美国的电脑界是带有褒义的 但在媒体报导中 黑客一词往往指那些 软件骇客 softwarecracker 黑客一词 原指热心于计算机技术 水平高超的电脑专家 尤其是程序设计人员 但到了今天 黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙 对这些人的正确英文叫法是Cracker 有人翻译成 骇客 百度 2010年1月12日上午7点钟开始 全球最大中文搜索引擎 百度 遭到黑客攻击 长时间无法正常访问 主要表现为跳转到一雅虎出错页面 伊朗网军图片 出现 天外符号 等这是自百度建立以来 所遭遇的持续时间最长 影响最严重的黑客攻击 网民访问百度时 会被定向到一个位于荷兰的IP地址 百度旗下所有子域名均无法正常访问 韩国 2009年7月7日 韩国遭受有史以来最猛烈的一次攻击 韩国总统府 国会 国情院和国防部等国家机关 以及金融界 媒体和防火墙企业网站进行了攻击 9日韩国国家情报院和国民银行网站无法被访问 韩国国会 国防部 外交通商部等机构的网站一度无法打开 这是韩国遭遇的有史以来最强的一次黑客攻击 日本 2000年 日本右翼势力在大阪集会 称南京大屠杀是 20世纪最大谎言 公然为南京大屠杀翻案 在中国政府和南京等地的人民抗议的同时 内地网虫和海外华人黑客也没有闲着 他们多次进攻日本网站 用实际行动回击日本右翼的丑行 据日本媒体报道 日本总务厅和科技厅的网站被迫关闭 日本政要对袭击浪潮表示遗憾 网络安全小技巧 登陆你的Web服务器并在命令行下运行netstat an 观察有多少IP地址正尝试和你的端口建立连接管理用户账户 如果你已经安装IIS 你可能产生了一个TSInternetUser账户 除非你真正需要这个账户 否则你应该禁用它 这个用户很容易被渗透 是黑客们的显著目标 为了帮助管理用户账户 确定你的本地安全策略没有问题 IUSR用户的权限也应该尽可能的小 严格控制服务器的写访问权限 将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的 然后配置你的Web服务器来指向共享服务器 这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组 信息加密 信息加密是使用数学的方法来重新组织 变换数据 使除了合法的接受者之外 其他人都不能复原被加密的信息 从而达到信息隐藏的作用 加密系统 明文 加密前的信息密文 加密后的信息加密 将明文变成密文的过程解密 将密文变成明文的过程为了有效控制加密和解密过程的实现 又有了密钥 通信双方掌握的专门信息 对称加密 在对称加密中 信息的加密和解密使用同一密钥 优点 安全性高 加密速度快 缺点 密钥的传输和管理 常用的对称加密算法有DES和IDEA 恺撒加密 基本思想 给定一个字母表和一个密钥Key 将明文的每个字母在字母表中向后移动Key个位置得到密文 若字母表是英文字母表 Key为1 明文是AB 则明文为BC 非对称加密 在非对称加密中 信息的加密和解密使用不同密钥 参与加密过程的密钥公开 称为公钥 参与解密过程的密钥为用户专用 称为私钥 两个密钥必须配对使用 常用的非对称加密算法有RSA 背包算法等 RSA原理 步骤1 取两个质数 如p 11 q 13 计算n p q 143步骤2 计算z p 1 q 1 120步骤3 选取一个与z互质的数e 如e 7步骤4 计算d 满足 e d modz 1 如d 103则 n e 和 n d 分别为公钥和私钥 例 设X要将信息s 85传送给Y Y的公钥是 143 7 X计算加密后的信息值c s emodn 857mod143 123 然后将c传送给Y Y用私钥 143 103 计算s c dmodn 123103mod143 85 得到明文 数字认证 数字认证可以对用户的身份进行确认和鉴定 也可以对信息的真实可靠性进行确认和鉴别 以防止冒充 抵赖 伪造 篡改等 而计算机系统的安全性常常取决于能否正确识别用户的身份 数字认证技术涉及身份认证 数字签名 数字时间戳 数字证书和认证中心等 身份认证 身份认证 一种使合法用户能够证明自己身份的方法 是计算机系统安全保密防范最基本的措施主要的身份认证技术有以下三种口令验证 口令验证是常用的一种身份认证手段 使用口令验证的最大问题就是口令泄露 身份标识 身份标识是用户携带用来进行身份认证的物理设备 例如磁卡 生物特征标识 人类的某些生物特征具有很高的个体性和防伪造性 如指纹 视网膜 耳廓等 世界上几乎没有任何两个人是一样的 因而这种验证方法的可靠性和准确度极高 数字签名 手写签名有两个作用 一是自己的签名难以否认 从而确定已签署这一事实 二是因为签名不易伪造 从而确定了事务是真实的这一事实 数字签名与日常生活中的手写签名效果一样 它不但能使信息接收者确认信息是否来自合法方 而且可以为仲裁者提供信息发送者对信息签名的证据 数字签名主要通过加密算法和证实协议实现 网络检测与防范 防火墙是一种用来加强网络之间访问控制的特殊网络互联设备 它对网络之间传输的数据包和链接方式按照一定的安全策略进行检查 以此决定网络之间的通信是否被允许 防火墙的功能主要有两个 阻止和允许 阻止就是阻止某种类型的通信量通过防火墙 允许的功能与阻止的功能正好相反 防火墙工作原理 如果外网的用户要访问内网的WWW服务器 首先由分组过滤路由器来判断外网用户的IP地址是不是内网所禁止使用的 如果是禁止进入节点的IP地址 则分组过滤路由器将会丢弃该IP包 如果不是禁止进入节点的IP地址 则这个IP包被送到应用网关 由应用网关来判断发出这个IP包的用户是不是合法用户 如果该用户是合法用户 该IP包被送到内网的WWW服务器去处理 如果该用户不是合法用户 则该IP包将会被应用网关丢弃 入侵检测 入侵检测 主动地从计算机网络系统中的若干关键点收集信息并分析这些信息 确定网络中是否有违反安全策略的行为和受到攻击的迹象 并有针对性地进行防范 入侵检测被设置在防火墙的后面 它的作用是发现那些已经穿过防火墙进入到内网或是内部的黑