第8章信息安全与社会责任.ppt

第8章信息安全与社会责任 计算机导论 8 1信息安全概述8 2信息安全技术8 3计算机病毒及其防治8 4社会责任与职业道德规范 2 8 1信息安全概述 8 1 1信息安全的重要性随着全球信息化过程的不断推进 越来越多的信息将依靠计算机来处理 存储和转发 信息资源的保护又成为一个新的问题 信息安全不仅涉及传输过程 还包括网上复杂的人群可能产生的各种信息安全问题 用于保护传输的信息和防御各种攻击的措施称为网络安全 要实现 安全 也不是某个技术能够解决的 它实际上是一个过程 3 8 1 2信息安全的现状 随着信息存储方式的变化 信息安全的概念也出现新的情况 传统信息安全 通过物理手段和管理制度来保证信息的安全 计算机安全 保护所有信息储存设备所采取的手段 网络安全 用于保护传输的信息和防御各种攻击的措施 随着Internet在更大范围的普及 它所产生的负面影响也越来越大 主要体现 黑客阵营的悄然崛起网上黄毒泛滥网上病毒的传播网上偷盗之风的盛行 4 1 信息安全的需求 保密性 系统中的信息只能由授权的用户访问 完整性 系统中的资源只能由授权的用户进行修改 以确保信息资源没有被篡改 可用性 系统中的资源对授权用户是有效可用的 可控性 对系统中的信息传播及内容具有控制能力 真实性 验证某个通信参与者的身份与其所申明的一致 确保该通信参与者不是冒名顶替 不可抵赖性 不可否认性 防止通信参与者事后否认参与通信 8 1 3信息安全的需求与威胁手段 5 被动攻击 通过偷听和监视来获得存储和传输的信息 主动攻击 修改信息 创建假信息 重现 捕获网上的一个数据单元 然后重新传输来产生一个非授权的效果修改 修改原有信息中的合法信息或延迟或重新排序产生一个非授权的效果破坏 利用网络漏洞破坏网络系统的正常工作和管理伪装 通过截取授权的信息伪装成已授权的用户进行攻击 2 威胁手段 8 1 3信息安全的需求与威胁手段 2 威胁手段 威胁类型 对付被动攻击 可采用各种数据加密技术 对付主动攻击 则需将加密技术与适当的鉴别技术相结合 7 8 1 4计算机信息安全的因素 计算机罪犯的类型 工作人员外部使用者黑客 hacker 和解密者有组织的罪犯其他的威胁因素自然危害内战和恐怖活动技术失误人为错误 8 信息安全犯罪的形式破坏 工作人员有时候会试图破坏计算机设备 程序或者文件 而黑客和解密者则可能通过传播病毒来进行对设备和数据的破坏 偷窃 偷窃的对象可以是计算机硬件 软件 数据甚至是计算机时间 操纵 找到进入他人计算机网络的途径并进行未经授权的操作 8 1 4计算机信息安全的因素 9 8 1 5网络安全体系结构 一个完整的安全体系结构主要由4个层次组成 实体安全指的是保证网络中单个结点设备的安全性 网络安全指的是保证整个网络的数据传输和网络进出的安全性 应用安全主要保证各种应用系统内部的安全性 管理安全主要保证整个系统包括设备 网络系统以及各种应用系统的运营维护时的安全性 10 8 2 1数据加密技术 8 2信息安全技术 用特种符号按照通信双方约定把电文的原形隐蔽起来 不为第三者所识别的通信方式称为密码通信 数据加密技术是对系统中所有存储和传输的数据 明文 进行加密 使之成为密文 保密通信模型 11 8 2 1数据加密技术 加密方和解密方使用同一种加密算法且加密密钥与解密密钥相同的密码技术 也称为私钥加密技术或秘密密钥加密技术 若网络中有N个用户进行加密通信 则每个用户都需要保存 N 1 个密钥才能保证任意双方收发密文 第三方无法解密 数据加密标准 DES 算法是目前最常用的对称密钥加密算法 是由IBM制定 于1977年由美国国家标准局颁布的一种加密算法 是世界上第一个公认的实用密码算法标准 DES是一种分组密码 即在加密前先对整个明文进行分组 DES的保密性仅取决于对密钥的保密 而算法是公开的 1 对称加密技术 12 8 2 1数据加密技术 其特征是密钥由两个不同的部分组成 公开的加密密钥 公钥 和保密的解密密钥 私钥 也称为公钥加密技术 加密密钥与解密密钥是数学相关的 它们成对出现 但却不能由加密密钥计算出解密密钥 也不能由解密密钥计算出加密密钥 信息用某用户的加密密钥加密后所得到的数据只能用该用户的解密密钥才能解密 用户可以将自己的加密密钥公开 但是解密密钥不能透露给自己不信任的任何人 加密算法和解密算法也都是公开的 2 非对称加密技术 非对称加密模型 2 非对称加密技术 N个用户之间使用非对称加密技术通信 则每个用户只需保存自己的密钥对即可 2 非对称加密技术 15 RSA算法是最常用的一种非对称密钥加密算法 是1977年由罗纳德 李维斯特 RonRivest 阿迪 萨莫尔 AdiShamir 和伦纳德 阿德曼 LeonardAdleman 一起提出的 故用他们三个人的名字命名 非对称密码体制与对称密码体制相比 主要有下面3个方面的优点密码分发简单秘密保存的密钥减少非对称密码体制可以容易地实现对称密码体制难以实现的签名验证机制 2 非对称加密技术 16 3 密钥管理与分配 密码系统的安全强度在很大程度上取决于密钥分配技术 密钥分配可通过四种方法获得 两者之间通过人工方法直接传递 由可信任的第三方通过人工方法分别传递通信双方 通过用旧密钥加密新密钥进行密钥的传递 由可信任的第三方通过秘密通道把密钥分别传递给通信双方 该方法需要使用一个可信任的密钥分配中心KDC 由KDC决定密钥的分配 8 2 1数据加密技术 17 8 2 2数字签名技术 信息系统安全的另一个重要方面是防止攻击者对系统的主动攻击 认证是指对数据产生者的身份进行验证 该方法也称数据来源验证 消息认证 消息接收者能确定 消息来源于被指定的发送者 消息是发送给预期的接收者 消息内容是完整可信的 即在传输过程中没有被修改或替换 消息的序号和时间性 数字签名 网络服务中的身份验证 消息接收者能确定 接收方能确认信息确实来自指定的发送者发送者不能否认所发信息的内容接收者不能伪造信息内容 数字签名模型 8 2 2数字签名技术 数字签名最常用的技术是公开密钥加密技术 具有保密性的数字签名 可同时实现秘密通信和数字签名 8 2 2数字签名技术 数据加密和数字签名的区别作用不同 对在网络中传输的数据信息进行加密是为了保证数据信息传输的安全 而数字签名是为了证实某一信息确实由某一人发出 并且没有被网络中的其他人修改过 它对网络中是否有人看到该信息则不加关心 数据加密使用接收者的公钥对数据进行运算 而数字签名则使用发送者自己的私钥对数据进行运算 8 2 2数字签名技术 21 8 2 3数字证书技术 随着Internet的日益普及 以网上银行 网上购物为代表的电子商务已越来越受到人们的重视 深入到普通百姓的生活中 在常规业务中 交易双方现场交易 可以确认购买双方的身份 即对客户而言 商家是我要购物的地方 对商家而言 购买者在现场无须担心假冒 同时 由于有商场开具的发票和客户现场支付商品费用 无须担心发生纠纷时无凭证可依 但在网上交易时 由于交易双方并不现场交易 因此无法确认双方的合法身份 同时交易信息是交易双方的商业秘密 在网上传输时必须做到安全传输 防止信息被窃取 交易双方一旦发生纠纷 必须能够提供仲裁 因此 在电子商务中 必须从技术上保证在交易过程中能够实现 身份认证 安全传输 不可否认性 数据一致性 这就是数字证书认证技术 22 8 2 3数字证书技术 数字认证是以数字证书为核心的加密技术 可以对网络上传输的信息进行加密和解密 数字签名和签名验证 确保网上传递信息的安全性 完整性 数字证书是一段包含用户身份信息 用户公钥信息以及身份验证机构数字签名的数据 用户的数字签名可以保证数字信息的不可否认性 用户公钥信息可以保证数字信息传输的完整性 身份验证机构的数字签名可以确保证书信息的真实性 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明 数字证书也必须具有唯一性和可靠性 23 8 2 3数字证书技术 数字证书是一个经证书认证中心 CA 数字签名的包含公开密钥拥有者信息以及公开密钥的文件 CA作为权威的 可信赖的 公正的第三方机构 专门负责为各种认证需求提供数字证书服务 认证中心颁发的数字证书均遵循X 509V3标准 数字证书颁发过程 用户首先产生自己的密钥对 并将公共密钥及部分个人身份信息传送给认证中心 认证中心在核实身份后 将执行一些必要的步骤 以确信请求确实由用户发送而来 然后 认证中心将发给用户一个数字证书 该证书内包含用户的个人信息和他的公钥信息 同时还附有认证中心的签名信息 当双方关于签名的真伪发生争执时 由CA来仲裁 防火墙 是一种形象的说法 其实它是一种计算机硬件和软件的组合 用于在互联网与内联网之间建立起一个安全网关 以防止企业或组织的内联网受到不可预测的 潜在破坏性的入侵 从而可有效地保证网络安全 设计防火墙的根本目的就是不要让那些来自不受保护的网络 如Internet 上的多余的未授权的信息进入专用网络 如LAN或WAN 而仍能够允许本地网络上的合法用户访问Internet服务 8 2 4防火墙技术 1 什么是防火墙 firewall 25 1 什么是防火墙 防火墙是一种安全手段的提供 它通过定义允许访问和允许服务的安全策略实现此安全目的 一个内部网络需要保护的资源主要 工作站主计算机和服务器内连设备 网关 路由器 网桥 转发器终端服务器网络和应用程序软件网络电缆文件和数据库中的信息 26 设计策略 服务访问策略 特定于一个出口 定义受保护网络中哪些服务是允许的 哪些服务是明确禁止的 服务是怎样被使用的等 实施策略 描述防火墙实施中是怎样体现服务访问策略 即怎样去限制访问和过滤服务 应用网关 运行代理服务的主机称为应用网关 这些程序根据预先制定的安全规则将用户对外部网的服务请求向外提交 转发外部网对内部网用户的访问 代理服务替代了用户和外部网的联接 1 什么是防火墙 27 2 防火墙的类型 包过滤防火墙 在Internet连接处安装包过滤路由器 在路由器中配置包过滤规则来阻塞或过滤报文的协议和地址 双宿主网关防火墙 由一个带有两个网络接口的主机系统组成 一个网络接口用于连接内部网 另一个用于连接外部网 过滤主机防火墙 由一个包过滤路由器和一个位于路由器旁边保护子网的应用网关组成 过滤子网防火墙 在一个分割的系统上放置防火墙的每一个组件 每一个组件仅需实现一个特定任务 该结构中两个路由器用来创建一个内部的 过滤子网 这个子网 有时称为非军事区DMZ 包含应用网关 信息服务器 Modem池等 MODEM池 对通过MODEM拨号访问进行集中保护 1 包过滤技术 是在网络中适当的位置上对数据包实施有选择的过滤 用于控制哪些数据报可以进出网络而哪些数据报应被网络拒绝 2 代理技术 是针对每一个特定应用服务的控制 它作用于应用层 其具有状态性的特点 能提供部分与传输有关的状态 起到外部网络向内部网络申请服务时的中间转接作用 3 状态检查技术 是一种在网络层实现防火墙功能的技术 它采用了一个在网关上执行网络安全策略的软件引擎 即检测模块 3 防火墙中的关键技术 4 地址转换技术 是将一个IP地址用另一个IP地址代替 它主要应用于两个方面 其一是网络管理员希望隐藏内部网的IP地址 其二是内部网的IP地址是私有的 5 内容检查技术 提供对高层服务协议数据的监控 以确保数据流的安全 3 防火墙中的关键技术 30 8 3 1计算机病毒的定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组指令或者程序代码 计算机病毒的特点 破坏性 隐蔽性 潜伏性 传染性 衍生性 寄生性 在DOS环境下 通常它会寄存在可执行的文件中 或者是软盘 硬盘的引导区部分 病毒随着被感染程序由作业系统装入内存而同时执行 因此获得系统的控制权 在Windows系统中出现的宏病毒则是附加在文档中 且其感染对象一般亦只限于文档 8 3计算机病毒及其防治 31 8 3 2计算机病毒的产生 1983年计算机病毒被首次确认 直到1988年 计算机病毒才受到世界范围内的普遍重视 1986年 巴基斯坦智囊病毒在全世界广为流行 1988年 蠕虫病毒入侵了因特网 感染了6000多台联网的计算机 造成6000万美元的损失 计算机病毒产生的原因 1 用来表示自己的不满 进行报复 2 用于庆祝某些节日 3 出于某种政治 宗教目的 来发表自己的声音 4 自我表现 32 8 3 3计算机病毒的分类 根据病毒存在的媒体 病毒可以划分为网络病毒 文件病毒 引导型病毒 根据病毒的连接方式 病毒可以划分为操作系统型病毒 外壳型病毒 入侵型病毒 源码型病毒 根据病毒传染的方法 病毒可以划分为驻留型病毒 非驻留型病毒 根据病毒破坏的能力 病毒可以划分为无害型 无危险型 危险型以及非常危险型 根据病毒特有的算法 病毒可以划分为伴随型病毒 蠕虫 型病毒 寄生型病毒 练习型病毒 诡秘型病毒 变型病毒 又