第10章网络信息安全ppt.ppt

计算机文化基础 下 聊城大学理工学院曹银杰caoyinjie 信息安全 第10章信息安全 10 1信息安全概述10 2防火墙10 3计算机病毒10 4信息政策与法规 10 1信息安全概述 10 1 0信息安全定义10 1 1信息安全意识10 1 2网络道德10 1 3计算机犯罪10 1 3信息安全技术 10 1 0信息安全定义 ISO 国际标准化组织 定义 信息的完整性 可用性 保密性和可靠性 通俗地说 信息安全主要是指保护信息系统 使其没有危险 不受威胁 不出事故地运行 从技术角度 信息安全的技术特征主要表现在系统的可靠性 可用性 保密性 完整性 确认性 可控性等方面 从综合性又表现在 它是一门以人为主 涉及技术 管理和法律的综合学科 同时还与个人道德 意识等方面紧密相关 信息安全定义 信息安全是一门涉及计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等多种学科的综合性学科 信息安全的两个方面 系统安全 包括操作系统管理的安全 数据存储的安全 对数据访问的安全等 网络安全 则涉及信息传输的安全 网络访问的安全认证和授权 身份认证 网络设备的安全等 10 1 1信息安全意识 1 建立对信息安全的正确认识信息安全这关系到企业 政府的业务能否持续 稳定地运行 关系到个人安全的保证 也关系到我们国家安全的保证 所以信息安全是国家信息化战略中一个十分重要的方面 信息安全意识 2 掌握信息安全的基本要素和惯例信息安全四大要素 技术 制度 流程和人 合适的标准 完善的程序 优秀的执行团队 是一个企业单位信息化安全的重要保障 技术只是基础保障 技术不等于全部 很多问题不是装一个防火墙或者一个IDS IntrusionDetectionSystem 即入侵检测系统 就能解决的 制定完善的安全制度很重要 而如何执行这个制度更为重要 信息安全 先进技术 防患意识 完美流程 严格制度 优秀执行团队 法律保障 信息安全意识 3 清楚可能面临的威胁和风险美国前总统克林顿曾说过 网络和计算机是一把双刃剑 它给世界带来了巨大的利益 但同时也会成为 黑客 和恐怖分子威力巨大的武器 网络信息安全面临的威胁有恶劣环境的影响 偶然故障和错误 人为的攻击破坏 对计算机的人为的攻击破坏具有明显的目的和主动性 这是计算机安全保密面临的最主要 最危险的威胁 我们主要讨论人为的攻击 网络不安全的原因 人为攻击 安全缺陷 软件漏洞 结构隐患 网络不安全的原因 结构隐患 网络开放性网络拓扑结构的隐患和网络硬件的安全缺陷业务基于公开的协议 远程访问使得各种攻击无需到现场就能得手 连接是基于主机上的社团彼此信任的原则 安全缺陷如果网络信息系统本身没有任何安全缺陷 那么人为攻击者即使本事再大也不会对网络信息安全构成威胁 遗憾的是所有的网络信息系统都不可避免地存在着一些安全缺陷 有些安全缺陷可以通过努力加以避免或者改进 但有些安全缺陷是各种折衷必须付出的代价 网络不安全的原因 软件漏洞 程序的复杂性和编程的多样性 容易有意或无意地留下一些不易被发现的安全漏洞 陷门 陷门是在程序开发时插入的一小段程序 目的可能是测试这个模块 或是为了连接将来的更改和升级程序 也可能是为了将来发生故障后 为程序员提供方便 一旦被利用将会带来严重的后果 数据库的安全漏洞 某些数据库将原始数据以明文形式存储 这是不够安全的 应该对存储数据进行加密保护 TCP IP协议的安全漏洞 TCP IP协议在设计初期并没有考虑安全问题 还可能存在操作系统的安全漏洞以及网络软件与网络服务 口令设置等方面的漏洞 人为攻击 人为攻击 黑客 HACKER 在无所不在的网络世界里 无网不入的 黑客 是网络安全最大也是最严重的威胁 定义 非法入侵者 起源 60年代 目的 基于兴趣入侵 基于利益入侵 信息战等 人为攻击方法非法访问 非法登录系统 非法读取系统的数据 窃听网络通信数据信息泄漏 数据泄漏 状态泄漏 破坏数据 破坏系统配置数据 破坏通信数据 插入 删除 篡改 欺骗 IP地址欺骗 身份欺骗 抵赖 源抵赖 目的抵赖 系统可用性 占用资源攻击 拒绝服务攻击 人为攻击 谁是攻击者大专院校的学生和青少年单位工作人员竞争者计算机地下组织的侵袭者职业窃贼和工业间谍成就感者无所事事者军事目的间谍 信息安全意识 4 养成良好的安全习惯1 良好的密码设置习惯2 网络和个人计算机安全3 电子邮件安全4 打印机和其他媒介安全5 物理安全 10 1 2网络道德 网络道德概念 计算机网络道德是用来约束网络从业人员的言行 指导他们的思想的一整套道德规范 涉及内容计算机网络道德可涉及到计算机工作人员的思想意识 服务态度 业务钻研 安全意识 待遇得失及其公共道德等方面 自学此节 10 1 3计算机犯罪 1 计算机犯罪的概念指行为人以计算机作为工具或以计算机资产作为攻击对象实施的严重危害社会的行为 利用计算机或攻击计算机资产行为 2 计算机犯罪的特点1 犯罪智能化2 犯罪手段隐蔽3 跨国性4 犯罪目的多样化5 犯罪分子低龄化6 犯罪后果严重 计算机犯罪 3 计算机犯罪的手段1 制造和传播计算机病毒2 数据欺骗3 特洛伊木马4 意大利香肠战术5 超级冲杀6 活动天窗7 逻辑炸弹8 清理垃圾9 数据泄漏10 电子嗅探器还有社交方法 电子欺骗技术 浏览 顺手牵羊和对程序 数据集 系统设备的物理破坏等犯罪手段 计算机犯罪 4 黑客黑客已成为一个广泛的社会群体 其主要观点是 所有信息都应该免费共享 信息无国界 任何人都可以在任何时间地点获取他认为有必要了解的任何信息 通往计算机的路不止一条 打破计算机集权 反对国家和政府部门对信息的垄断和封锁 黑客的行为会扰乱网络的正常运行 甚至会演变为犯罪 10 1 4信息安全技术 目前信息安全技术主要有 密码技术 防火墙技术 虚拟专用网 VPN 技术 病毒与反病毒技术以及其他安全保密技术 1 密码技术1 基本概念 密码技术是网络信息安全与保密的核心和关键 通过密码技术的变换或编码 将机密 敏感的消息变换成难以读懂的乱码型文字 目的一 防止解密 目的二 防止伪造或篡改加密的信息 研究密码技术的学科称为密码学 分支 密码编码学和密码分析学 两者相互对立 又相互促进 信息安全技术 明文 发送方要发送的消息 密文 明文被变换成看似无意义的随机消息 加密 明文到密文的变换过程 解密 合法接收者从密文恢复出明文的过程 破译 非法接收者试图从密文分析出明文的过程 加密算法 对明文进行加密时采用的一组规则 解密算法 对密文解密时采用的一组规则 密钥 控制加密算法和解密算法的一组仅有合法用户知道的该密码 加密和解密过程中使用的密钥分别称为加密密钥和解密密钥 信息安全技术 2 单钥加密与双钥加密传统密码体制所用的加密密钥和解密密钥相同 或从一个可以推出另一个 被称为单钥或对称密码体制 若加密密钥和解密密钥不相同 从一个难以推出另一个 则称为双钥或非对称密码体制 单钥密码的优点是加 解密速度快 缺点是随着网络规模的扩大 密钥的管理成为一个难点 无法解决消息确认问题 缺乏自动检测密钥泄露的能力 采用双钥体制的每个用户都有一对选定的密钥 一个是可以公开的 可以像电话号码一样进行注册公布 另一个则是秘密的 因此双钥体制又称作公钥体制 由于双钥密码体制的加密和解密不同 且能公开加密密钥 而仅需保密解密密钥 所以双钥密码不存在密钥管理问题 双钥密码还有一个优点是可以拥有数字签名等新功能 双钥密码的缺点是双钥密码算法一般比较复杂 加 解密速度慢 信息安全技术 网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制 即加 解密时采用单钥密码 密钥传送则采用双钥密码 这样既解决了密钥管理的困难 又解决了加 解密速度的问题 信息安全技术 3 著名密码算法介绍 1 分组密码算法 数据加密标准是迄今世界上最为广泛使用和流行的一种分组密码算法 它的产生被认为是20世纪70年代信息加密技术发展史上的两大里程碑之一 DES是一种单钥密码算法 它是一种典型的按分组方式工作的密码 其基本思想是将二进制序列的明文分成每64位一组 用长为56位的密钥对其进行16轮代换和换位加密 最后形成密文 DES的巧妙之处在于 除了密钥输入顺序之外 其加密和解密的步骤完全相同 这就使得在制作DES芯片时 易于做到标准化和通用化 这一点尤其适合现代通信的需要 在DES出现以后 经过许多专家学者的分析论证 证明它是一种性能良好的数据加密算法 不仅随机特性好 线性复杂度高 而且易于实现 因此 DES在国际上得到了广泛的应用 信息安全技术 但是 最近对DES的破译取得了突破性的进展 破译者能够用穷举法借助网络计算在短短的二十余小时就攻破56位的DES 所以 在坚定的破译者面前 可以说DES已经不再安全了 其他的分组密码算法还有IDEA密码算法 LOKI算法 Rijndael算法等 信息安全技术 2 公钥密码算法 最著名的公钥密码体制是RSA算法 RSA算法是一种用数论构造的 也是迄今理论上最为成熟完善的一种公钥密码体制 该体制已得到广泛的应用 它的安全性基于 大数分解和素性检测 这一已知的著名数论难题基础 而体制的构造则基于数学上的Euler定理 但是 由于RSA涉及高次幂运算 用软件实现速度较慢 尤其是在加密大量数据时 所以 一般用硬件来实现RSA RSA中的加 解密变换是可交换的互逆变换 RSA还可用来做数字签名 从而完成对用户的身份认证 著名的公钥密码算法还有Diffie Hellman密钥分配密码体制 Elgamal公钥体制 Knapsack体制等 由于涉及较深的数学理论 在此不再赘述 信息安全技术 2 防火墙技术当构筑和使用木制结构房屋的时侯 为防止火灾的发生和蔓延 人们将坚固的石块堆砌在房屋周围作为屏障 这种防护构筑物被称为防火墙 在今天的电子信息世界里 人们借助了这个概念 使用防火墙来保护计算机网络免受非授权人员的骚扰与黑客的入侵 不过这些防火墙是由先进的计算机系统构成的 在本章第二节中将详细学习防火墙的有关知识 信息安全技术 3 虚拟专用网 VPN 技术虚拟专网是虚拟私有网络 VPN VirtualPrivateNetwork 的简称 它是一种利用公用网络来构建的私有专用网络 目前 能够用于构建VPN的公用网络包括Internet和服务提供商 ISP 所提供的DDN专线 DigitalDataNetworkLeasedLine 帧中继 FrameRelay ATM等 构建在这些公共网络上的VPN将给企业提供集安全性 可靠性和可管理性于一身的私有专用网络 虚拟 的概念是相对传统私有专用网络的构建方式而言的 对于广域网连接 传统的组网方式是通过远程拨号和专线连接来实现的 而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接 通过VPN 企业可以以明显更低的成本连接它们的远地办事机构 出差工作人员以及业务合作伙伴 信息安全技术 1 VPN的三种类型VPN有三种类型 即 访问虚拟专网 AccessVPN 企业内部虚拟专网 IntranetVPN 扩展的企业内部虚拟专网 ExtranetVPN 2 VPN的优点利用公用网络构建虚拟私有网络是个新型的网络概念 它给服务提供商 ISP 和VPN用户都将带来不少的益处 对ISP而言 通过向企业提供VPN这种增值服务 可以与企业建立更加紧密的长期合作关系 同时充分利用现有网络资源 提高业务量 对于VPN用户而言 利用Internet组建私有网 将大笔的专线费用缩减为少量的市话费用和Internet费用 而且 企业甚至可以不必维护自己的广域网系统 交由专业的ISP来帮你完成 VPN用户的网络地址可以由企业内部进行统一分配 VPN组网的灵活 方便性等特性将大大方便企业的网络管理 另外 在VPN应用中 通过远端用户验证以及隧道数据加密等技术使得通过公用网络传输的私有数据的安全性得到了很好的保证 信息安全技术 4 病毒与反病毒技术计算机病毒的发展历史悠久 从20世纪80年代中后期广泛传播开来至今 据统计世界上已存在的计算机病毒有5000余种 并且每月以平均几十种的速度增加 计算机病毒是具有自我复制能力的计算机程序 它能影响计算机软 硬件的正常运行 破坏数据的正确性与完整性 造成计算机或计算机网络瘫痪 给人们的经济和社会生活造成巨大的损失并且成上升的趋势 统计数据表明 1999年电脑病毒造成的全球经济损失为36亿美元 2003年则达到了280亿美元 计算机病毒的危害不言而喻 人类面临这一世界性的公害采取了许多行之有效的措施 如加强教育和立法 从产生病毒源头上杜绝病毒 加强反病毒技术的研究 从技术上解决病毒传播和发作 本章第三节将深入分析病毒的原理与特点 信息安全技术 5 其他安全与保密技术1 实体及硬件安全技术实体及硬件安全是指保护计算机设备 设施 含网络 以及其他媒体免遭地震 水灾 火灾 有害气体和其他环境事故 包括电磁污染等 破坏的措施和过程 实体安全是整个计算机系统安全的前提 如果实体安全得不到保证 则整个系统就失去了正常工作的基本环境 另外 在计算机系统的故障现象中 硬件的故障也占到了很大的比例 正确分析故障原因 快速排除故障 可以避免不必要的故障检测工作 使系统得以正常运行 信息安全技术 2 数据库安全技术数据库系统作为信息的聚集体 是计算机信息系统的核心部件 其安全性至关重要 关系到企业兴衰 国家安全 因此 如何有效地保证数据库系统的安全 实现数据的保密性 完整性和有效性 已经成为业界人士探索研究的重要课题之一 数据库系统的安全除依赖自身内部的安全机制外 还与外部网络环境 应用环境 从业人员素质等因素息息相关 因此 从广义上讲 数据库系统的安全框架可以划分为三个层次 信息安全技术 1 网络系统层次 从广义上讲 数据库的安全首先依赖于网络系统 可以说网络系统是数据库应用的外部环境和基础 数据库系统要发挥其强大作用离不开网络系统的支持 网络系统的安全是数据库安全的第一道屏障 外部入侵首先就是从入侵网络系统开始的 网络系统层次的安全防范技术有很多种 大致可以分为防火墙 入侵检测 协作式入侵检测技术等 信息安全技术 2 宿主操作系统层次 操作系统是大型数据库系统的运行平台 为数据库系统提供一定程度的安全保护 目前操作系统平台大多数集中在WindowsNT和Unix 安全级别通常为C1 C2级 主要安全技术有操作系统安全策略 安全管理策略 数据安全等方面 数据安全主要体现在以下几个方面 数据加密技术 数据备份 数据存储 数据传输的安全性等 可以采用的技术很多 主要有Kerberos认证 IPSec SSL等技术 信息安全技术 3 数据库管理系统层次 数据库系统的安全性很大程度上依赖于数据库管理系统 如果数据库管理系统安全机制非常强大 则数据库系统的安全性能就较好 目前市场上流行的是关系式数据库管理系统 其安全性功能很弱 这就导致数据库系统的安全性存在一定的威胁 解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理 使得即使数据不幸泄露或者丢失 也难以被人破译和阅读 这三个层次构筑成数据库系统的安全体系 与数据安全的关系是逐步紧密的 防范的重要性也逐层加强 从外到内 由表及里保证数据的安全 返回 10 2防火墙 防火墙是近年发展起来的一种保护计算机网络安全的访问控制技术 它是一个用以阻止网络中的黑客访问某个机构网络的屏障 在网络边界上 通过建立起网络通信监控系统来隔离内部和外部网络 以阻挡通过外部网络的入侵 10 2防火墙 10 2 1防火墙的概念10 2 2防火墙的类型10 2 3防火墙的体系结构 返回 10 2 1防火墙的概念 防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统 它决定网络内部服务中哪些可被外界访问 外界的哪些人可以访问哪些内部服务 同时还决定内部人员可以访问哪些外部服务 所有来自和去往因特网的业务流都必须接受防火墙的检查 防火墙必须只允许授权的业务流通过 并且防火墙本身也必须能够抵抗渗透攻击 因为攻击者一旦突破或绕过防火墙系统 防火墙就不能提供任何保护了 防火墙的概念 1 防火墙的基本功能一个有效的防火墙应该能够确保 所有从Internet流出或流入的信息都将经过防火墙 所有流经防火墙的信息都应接受检查 设置防火墙的目的是在内部网与外部网之间设立惟一的通道 简化网络的安全管理 从总体上看 防火墙应具有如下基本功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 防火墙的概念 2 防火墙存在的缺陷防火墙可能存在如下一些缺陷 防火墙不能防范不经由防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 返回 10 2 2防火墙的类型 按照防火墙保护网络使用方法的不同 可将其分为三种类型 1 网络层防火墙2 应用层防火墙3 链路层防火墙 10 2 3防火墙的体系结构 防火墙的体系结构多种多样 当前流行的体系结构主要有三种 1 双宿网关2 屏蔽主机3 屏蔽子网 10 3计算机病毒 计算机病毒 Virus 是一组人为设计的程序 这些程序隐藏在计算机系统中 通过自我复制来传播 满足一定条件即被激活 从而给计算机系统造成一定损害甚至严重破坏 这种程序的活动方式与生物学上的病毒相似 所以被称为计算机 病毒 现在的计算机病毒已经不单单是计算机学术问题 而成为一个严重的社会问题 10 3 1病毒的原理与特点10 3 2病毒的类型10 3 3病毒的预防10 3 4病毒的清除 10 3 1病毒的原理与特点 定义是 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 计算机病毒特点 1 可执行性2 破坏性3 传染性4 潜伏性5 针对性6 衍生性7 抗反病毒软件性 10 3 2病毒的类型 计算机病毒的分类方法很多 微机上的计算机病毒通常可分为 1 引导区型2 文件型3 混合型4 宏病毒等四类 10 3 3病毒的预防 预防计算机病毒 应该从管理和技术两方面进行 1 从管理上预防病毒 1 谨慎地使用公用软件或硬件 2 任何新使用的软硬件必须先检查 3 定期检测计算机上的磁盘和文件并及时消除病毒 4 对系统中的数据和文件要定期进行备份 5 对所有系统盘和文件等关键数据要进行写保护 2 从技术上预防病毒硬件预防 通过增加硬件设备来保护系统 监视RAM中的常驻程序 阻止对外存储器的异常写操作 软件预防 方法是使用计算机病毒疫苗 程序 监视系统的运行 当发现某些病毒入侵时可防止病毒入侵 当发现非法操作时及时警告用户或直接拒绝这种操作 使病毒无法传播 10 3 4病毒的清除 如果发现计算机感染了病毒 应立即清除 通常用人工处理或反病毒软件方式进行清除 人工处理的方法有 用正常的文件覆盖被病毒感染的文件 删除被病毒感染的文件 重新格式化磁盘等 这种方法有一定的危险性 容易造成对文件的破坏 用反病毒软件对病毒进行清除是一种较好方法 常用的反病毒软件有瑞星 KV NORTON等 需要特别注意的是要及时对反病毒软件进行升级更新 才能保持软件的良好杀毒性能 10 4信息政策与法规 自学 国家信息政策与法规的研究起源于20世纪50年代末至60年代 60年代之后 逐渐受到各国政府的重视 各国政府纷纷出台一些信息政策和信息法规 指导本国各时期的信息工作 促进本国信息事业的发展 对各国政府在制定本国信息政策和信息法规时的背景 立法目标 制定原则进行研究 有助于为我国制定信息政策法规提供理论依据 促进国家信息政策和法规体系的建立和完善 10 4 1信息系统安全保护规范化与法制化10 4 2计算机信息系统安全调查 10 4 1信息系统安全保护规范化与法制化 1 信息系统安全法规的基本内容与作用 1 计算机违法与犯罪惩治 显然是为了震慑犯罪 保护计算机资产 2 计算机病毒治理与控制 在于严格控制计算机病毒的研制 开发 防止 惩罚计算机病毒的制造与传播 从而保护计算机资产及其运行安全 3 计算机安全规范与组织法 着重规定计算机安全监察管理部门的职责和权利以及计算机负责管理部门和直接使用的部门的职责与权利 4 数据法与数据保护法 其主要目的在于保护拥有计算机的单位或个人的正当权益 包括隐私权等 信息系统安全保护规范化与法制化 2 国外计算机信息系统安全立法简况发达国家关注计算机安全立法是从20世纪60年代后期开始的 瑞典早在1973年就颁布了 数据法 这大概是世界上第一部直接涉及计算机安全问题的法规 随后 丹麦等西欧国家都先后颁布了数据法或数据保护法 1991年 欧共体12个成员国批准了软件版权法等 在美国 国防部早在20世纪80年代就针对计算机安全保密问题开展了一系列有影响的工作 针对窃取计算机数据和对计算机信息系统的种种危害 于1981年成立了国家计算机安全中心 NCSC 1983年 美国国家计算机安全中心公布了可信计算机系统评测标准 TCSEC 作为联邦政府 1986年制定了计算机诈骗条例 1987年又制定了计算机安全条例 信息系统安全保护规范化与法制化 3 国内计算机信息系统安全立法简况早在1981年 我国政府就对计算机信息安全系统安全予以极大关注 1983年7月 公安部成立了计算机管理监察局 主管全国的计算机安全工作 公安部于1987年10月推出了 电子计算机系统安全规范 试行草案 这是我国第一部有关计算机安全工作的管理规范 到目前为止 我国已经颁布了的与计算机信息系统安全有关的法律法规很多 10 4 2计算机信息系统安全调查 迄今 人们对计算机安全调查这一概念仍没有形成统一的认识 世界各国对计算机安全调查存在着不同的认识和见解 在我国 为对各单位 各行业的计算机信息系统安全性能进行评估 以便更好地提高系统的安全性 上级主管部门根据我国或具体地 市相关安全标准制定出一整套切实可行的安全调查提纲或条款 然后计算机安全主管部门根据这一调查提纲定期对各计算机信息系统应用部门进行全面综合的调查评估 这一过程称为计算机信息系统安全调查 其目的主要是在系统未被入侵之前 对系统安全性能进行定期调查分析 从而最大限度地发现系统存在的安全隐患和漏洞 以便提高系统安全性 使其日后被攻击的可能性降为最小 计算机信息系统安全调查 而在西方一些计算机事业发达国家 计算机信息系统安全调查指的是当某一部门或单位的计算机系统受到攻击时 为挽救系统 尽量避免或减少损失 负责信息安全部门会介入 按照一定的法律程序并依靠一定的技术手段及管理方法对遭受攻击的系统进行跟踪调查分析 从而找出作案嫌疑人 追回损失 同时发现系统安全隐患和漏洞 以降低或避免系统日后再被攻击的可能性 计算机犯罪 计算机信息安全法律法规 计算机职业道德以及计算机安全调查等环节是紧密联系 不可分割的 为促进计算机信息系统安全事业的进一步发展 我们还应该继续深入研究 网络信息安全考试大纲 基本要求了解信息安全的基本知识 考试内容信息安全面临的威胁 计算机犯罪的概念 计算机病毒的概念 黑客的概念 密码技术的基本概念 防火墙的基本概念 10 1网络信息安全概述 10 1 1网络信息安全的内涵10 1 2网络信息安全面临的威胁10 1 3网络信息安全对策10 1 4SSL简介 10 1 1网络信息安全的内涵 计算机网络安全定义 计算机系统的硬件 软件和数据库受到技术和管理的安全保护 不因偶然或者恶意的原因而遭到破坏 更改和泄漏 系统连续可靠正常地运行 网络服务不中断 三种计算机安全实体的安全 计算机软硬件本身的安全运行环境的安全 保证计算机在良好的环境下工作信息的安全 保障信息不会被非法阅读 修改和泄露 网络信息安全的内涵 网络安全涉及的内容既有技术方面的问题 也有管理方面的问题 两方面相互补充 缺一不可 管理方面则侧重于内部人为因素的管理 技术方面主要侧重于防范外部非法用户的攻击 技术特征表现在 可靠性 可用性 保密性 完整性 确认性 可控性 不可抵赖性 可靠性 网络信息系统的可靠性 可用性 信息可被授权的实体使用 保密性 要求通信双方的通信内容是保密的 这一方面要求通信的内容不能被第三方所窃取 完整性 要保证接收到的信息是完整的 是说在传输的过程中数据没有被修改 要求接收到的信息或数据和发送方所发出的信息是完全一致的 网络信息安全的内涵 确认性 在网络的通信中如何确定通信者的身份是一个重要的问题 可控性 对网络信息的传播及内容具有控制能力的特性 不可抵赖性 网络通信全部是电子形式的文档 收到的信息经打印机打印出来后和和一般的文档没有什么不同 甲给乙一份邮件 请发货100件 等乙发完货向甲收款时 甲说我没有要你发货 有什么办法使甲不能抵赖所发的信息 通过身份认证 数字签名 数字信封 第三方确认等方法 来确保网络信息传输的合法性问题 防止 抵赖 现象出现 10 1 3网络信息安全对策 OSI的信息安全体系结构ISO7498 2 1989 2 15颁布 确立了基于OSI参考模型的七层协议之上的信息安全体系结构 六大类安全服务 鉴别 访问控制 保密性 完整性 抗否认 八类安全机制 加密 数字签名 访问控制 数据完整性 鉴别交换 业务流填充 路由控制 公证 10 1 4SSL简介 Netscape公司最早推出了安全通信协议 安全套接层协议SSL SecureSocketLayer SSL是在Internet基础上提供的一种保证私密性的安全协议 利用公开密钥技术的SSL协议 并已成为Internet上保密通讯的工业标准 SSL协议提供的安全信道有以下三个特性 数字证书实现服务器认证 因为尽管会话的客户端认证是可选的 但是服务器端始终是被认证的 加密信息传输 因为在握手协议定义了会话密钥后 所有的消息都被加密 端到端连接保证消息完整性检查 10 2计算机犯罪 10 2 1计算机犯罪10 2 2计算机病毒10 2 3黑客 10 2 1计算机犯罪 1 计算机犯罪的概念所谓计算机犯罪 指行为人以计算机作为工具或以计算机资产作为攻击对象 实施的严重危害社会的行为 2 计算机犯罪的特点 8点 这种犯罪行为往往具有隐蔽性 智能性和严重的社会危害性 犯罪人完全可以不受时间和空间的限制 躲在不易引人注意的角落里操纵计算机 瞬间可以使国家 组织或个人的巨额财产流失 国家秘密泄露 国家信息系统瘫痪 甚至造成社会动乱等等 危害之重 令人难以想象 计算机犯罪 3 计算机犯罪的手段意大利香肠术这种计算机犯罪是采用他人不易觉察的手段 使对方自动做出一连串的细小让步 最后达到犯罪的目的 如美国的一个银行职员每次结算都截留一个四舍五入的利息尾数零头 盗窃了一大笔款项 活动天窗所谓活动天窗 是指程序设计者为了对软件进行调试和维护故意设置在计算机软件系统的入口点 如美国底特律的几位汽车工程师发现了佛罗里达商用分时服务系统中的一个活动天窗 查到了公司总裁的口令 进而获取了具有重要商业价值的计算机文件 废品利用废品利用是指有目的或有选择地在工作现场或从废弃的资料 磁带 磁盘中搜寻具有潜在价值的数据和信息 密码等 计算机犯罪 数据泄露这是一种有意转移或窃取数据的手段 如有的作案者将一些关键数据混杂在一般性的报表之中 然后在予以提取 间谍在计算机系统上安装微型无线电发射机 如计算机和通信设备辐射出的电磁波信号可以被专用设备接收 电子嗅探器英文名称叫sniffer的电子嗅探器是用来截获和收藏在网络上传输的信息的软件或硬件 冒名顶替是利用他人的访问代码 进入计算机信息系统 口令破解程序口令破解程序是可以解开或者屏蔽口令保护的程序 计算机犯罪 特洛伊木马术特洛伊木马术是公元前1200年古希腊特洛伊战争中 希腊人为了攻陷特洛伊城 把士兵隐藏在木马腹中进入敌方城堡 从而赢得了战争的胜利 这种战术用在计算机犯罪手段上 是以软件程序为基础进行欺骗和破坏的方法 数据欺骗数据欺骗是指非法篡改计算机输入 处理和输出过程中的数据或者输入假数据 从而实现犯罪目的的手段 逻辑炸弹逻辑炸弹是指在计算机系统中有意设置并插入的某些程序编码 这些编码只有在特定的时间或在特定的条件下才自动激活 从而破坏系统功能或使系统陷入瘫痪状态 计算机犯罪 电子欺骗技术电子欺骗技术是一种利用目标网络的信任关系 即计算机之间的相互信任关系来获取计算机系统非授权访问的一种方法 如IP地址电子欺骗 就是伪造他人的源IP地址 其实质就是让一台机器来扮演另一台机器 籍以达到蒙混过关的目的 入侵者不用输入用户帐号和口令 就可以侵入目标 利用扫描器扫描器是自动检测远程或本地计算机主机安全性弱点的程序 扫描器是互联网安全领域最出名的破解工具 利用扫描器能使行为人不留痕迹地发现远在他国的一台服务器的安全性的弱点 从而入侵该系统 10 2 2计算机病毒 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用并能自我复制的一组指令或程序代码 它具有可执行性 感染性 潜伏性 可触发性 针对性 衍生性和破坏性 抗反病毒软件性等特点 计算机病毒种类繁多 大体可分为以下四种类型 文件型病毒 这种病毒可其代码附加于系统文件上 引导型病毒 这种病毒大多感染磁盘的主引导区 混合型 上述二者的结合 宏病毒 这种病毒是由一个或多个宏组成的递归复制自身的集合 它不破坏可执行文件 而是破坏数据文件 计算机病毒 计算机病毒防治管理上预防病从口入技术上预防各种预防软件计算机病毒清除 人工清除与工具软件 10 2 3黑客 黑客 Hacker 源于英语动词HaCk 意为 劈 砍 引申为 辟出 开辟 进一步的意思是 干了一件非常漂亮的工作 在20世纪早期的麻省理工学院校园口语中 黑客则有 恶作剧 之意 尤其是指手法巧妙 技术高明的恶作剧 黑客 计算机系统的非法入侵者 今天的黑客可分为两类 一类是骇客 他们只想引人注目 证明自己的能力 在进人网络系统后 不会去破坏系统 或者仅仅会做一些无伤大雅的恶作剧 他们追求的是从侵人行为本身获得巨大的成功满足感 另一类是窃客 他们的行为带有强烈的目的性 早期的这些黑客主要是窃取国家情报 科研情报 而现在的这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程 10 3密码技术 由于Internet是一种真正意义的全球网 所以假如没有加密技术的帮助 所有的通信都会毫无 秘密 可言对一家打算从事电子商务的公司而言 亦即通过Internet销售产品和提供服务 通信的安全是一个最基本的前提 在Internet上 每个人都需要 而且有权利保护自己的个人隐私 某人上网之后 对隐私的这种要求并未消失 密码技术可有效地解决这些问题 10 3 1基本概念10 3 2对称密钥密码体系10 3 3非对称密钥密码体系10 3 4数字签名 10 3 1基本概念 数据加密与解密的过程 密码是含有一个参数k的数学变换 即C Ek m m是未加密的信息 明文 C是加密后的信息 密文 E是加密算法参数k称为密钥密文C是明文m使用密钥k经过加密算法计算后的结果 加密算法可以公开 而密钥只能由通信双方来掌握 10 3 2对称密钥密码体系 传统密码体制所用的加密密钥和解密密钥相同 也称为对称密码体制 1 对称加密算法 DES DES数据加密标准DES dataencrytionstandard 算法由IBM发明 并于1976年成为美国政府标准DES是一种数据分块的加密算法 数据长度为64位 其中8位作为基偶校验位 有效密码长度为56位首先将明文数据进行初始置换 得到64位的混乱明文组 再将其分为2段 每段32位然后进行乘积变换 在密匙的控制下 做16次迭代最后进行逆初始变换而得到密文 2 对称加密算法 IDEA IDEA国际数据加密算法IDEA是行之有效的加密算法中最好 最安全的一种 由瑞士联邦科学技术学院 SFT 的XuejiaLai和JamesMassey提出IDEA使用3个64位的块 以进一步防范加密分析过程 IDEA使用了密码反馈操作 使得算法强度更高IDEA的密钥长度为128位 当试图破译IDEA时 它和DES一样没有泄露任何明文组成的信息IDEA存在最低要求 为得到强有力的密文 它在一个编码块中需要64位的信息文本IDEA是为有大量数据传输的FTP设计的 10 3 3非对称密钥密码体系 RSA算法 1978年出现的 其名字来源于它的发明者RonRivest AdiShamir以及LeonardAdlemanRSA的安全依赖于大数分解假如已知两个非常大的质数的乘积 那么很难解析出到底是哪两个质数相乘的结果 因数分解 RSA的重要特点是其中一个密钥可用来加密数据 另一个密钥可用来解密 公共密钥算法RSA 这意味着任何人都能用你的公共密钥对一条消息进行加密 而只有你才能对它进行解密 另外 你也可用自己的私人密钥对任何东西进行加密 而拿到你的公共密钥的任何人都能对其解密 这个概念在 非拒认 及数字签名中是非常重要的 10 3 4数字签名 公共密钥加密可用来进行身份验证 只需构建一个所谓的 数字签名 即