-信息安全与社会责任PPT课件

1、.,第五章,信息安全与社会责任,.,本章简介,计算机网络安全问题,信息加密技术简介,计算机病毒及其防范,防火墙简介,网络道德与社会责任,.,5.1.1 计算机网络安全问题,Asia,Africa,America,Europe,Oceania,2. 法律约束脆弱、跨国协调困难,1. 无主管自由王国,3. 网络自身安全漏洞 TCP/IP 协议 Windows 网络硬件设备 数据库,4. 安全管理漏洞,.,5.1.2 网络安全面临的威胁,网 络,计算机网络实体,计算机网络系统,非法用户访问、信息失窃等,内、外部泄露,计算机病毒,网络黑客,即指网络中的硬件设备,人为设计的计算机程序,通过获取密码,操作

2、权限等手段非法进入他人计算机者,分布广阔,安全漏洞多,相关法规不完善,.,5.1.3 网络受攻击方式,1. 冒名窃取,发送请求,从现实生活中或从请求信号中获取用户帐号密码,以用户A身份登陆, 窃取 非授权访问 电磁射频截获 攫取主机或网络信任,.,2. 虚假信息,用户A,黑客,服务器,发送请求,请求回应,获取回应内容,再次发送回应内容（重传）,.,用户A,黑客,服务器,2. 虚假信息(伪造身份),你好，我是你的服务器，需要你提供帐户和密码,好的，我打开看看,.,2. 虚假信息（篡改）,用户A,黑客,服务器,发送请求,截取请求响应,篡改发送,.,2. 虚假信息（拒绝服务）,用户A,黑客,服务器,

3、攻击服务器，阻止合法用户通信,.,3. 恶意代码 植入恶意代码(Word 宏病毒) 刺探性恶意代码 （特洛伊木马程序）,Word宏病毒，是用一种专门的Basic语言即WordBasic所编写的程序。它的载体为Word文件与其它 计算机病毒一样，它能对用户系统中的可执行文件和数据文本类文件造成破坏。,完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。,.,5.1.4 网络安

4、全措施,1. 网络安全技术支持 目前有许多机构开展网络安全方面的应用与研究, 如国际组织IETF(The Internet Engineering Task Force), 负责制定Internet的各项标准。成立专门的安全小组研究网络安全技术问题。 2. 网络安全措施 目前主要通过信息加密技术、网络防攻击技术、防病毒技术、防火墙技术和有效网络管理等手段实现计算机网络安全保护。,.,3. 网络安全法规 仅靠技术远远不够,必须有比较完善的法律法规进行约束.如我国的等. 4. 网络安全标准 国际信息安全组织将计算机系统安全分为7个等级，即D1、C1、C2、B1、B2、B3和A1级。其中D1级系统安

5、全最低，A1级系统安全最高。,C2级：受控存取保护级，引进了用户权限级别，进一步限制了用户执行某些系统指令。常见操作系统如WINDOWS XP,.,微波、卫星及各式电缆上传输的信息都很容易被截取。理论上，任何系统都不可能完全防止未经授权的用户对传输介质进行非法访问。 信息安全技术的目的就是采用各种技术和管理措施，使网络系统中的硬件、软件及其数据受到保护，不会遭到破坏和、更改和泄露 。 信息安全技术包括信息加密、用户认证和数字签名3个方面的内容。其中信息加密技术是基础。,5.2 信息安全技术,.,1. 信息系统的保密性 为了保护信息的机密性，抗击密码分析。保密系统需要利用加密算法和密钥将明文中元

6、素加密为密文，即使被截取到数据密文也不能推测出密钥和全部明文。保密性依赖于密钥。 2. 信息系统的认证性 使发送的消息具有被验证的能力，使接收者或第三方能够识别和确认信息的真伪，实现这类功能的密码系统称为认证系统。,5.2.1 信息系统安全机制,保密性是使截获者在不知密钥条件下不能解读密文的内容,认证性是使不知密钥的人不能构造出密报，使意定的接收者脱密成一个可理解的消息 (合法的消息),.,1. 信息系统的完整性 在自然或人为干扰条件下，系统保持恢复消息和原发送消息的一致性。实际中常常借助于纠、检错技术来保证消息的完整性 。 2. 信息安全机制 在加密算法的基础上，构建如下信息安全机制: (1

7、) 加密 对信息加密，实现保密功能 (2) 认证 保证身份真实性，实现认证功能 (3) 数字签名 实现数据完整性和认证功能,5.2.1 信息系统安全机制,.,5.2.2 加密技术基本概念 加密技术基本思想是伪装信息，使非法介入者无法读懂信息真正含义。所谓伪装就是对信息进行一组可逆的数字变换。编码技术用来加密，分析技术用来解密和认证。,发送者,接收者,密文,.,1. 常用术语： 明文：在信息加密过程中，将伪装前的信息（即能正常阅读的信息）称为明文。 密文：明文通过加密算法处理和伪装后生成的信息称为密文。 加密：对明文进行编码,使其难以被他人读懂的过程称为加密。 解密：将密文恢复为明文的过程称为解

8、密。 密钥(Key)：在加密、解密过程中需要明文/密文以外的数据，将这种附加的数据称为密钥(Key)。 加密算法：在加密密钥的控制下，对信息进行加密的一组数学变换称为加密算法。 解密算法：在解密密钥控制下，用于解密的一组数学变换称为解密算法。,.,2. 密文的作用 一个加密的例子:,H,E,L,L,O,J,G,N,N,Q,K=2,加密意味着发送者将信息从最初的格式改变为另一种格式，将最终不可阅读的消息通过网络发送出去。只有授权的接收者可以通过逆变换恢复出明文。,密钥k,.,5.2.3 加密算法分类,H,K=2,J,伪装前,伪装,伪装后,明文,加密算法,密文,解密,K=2,若加密解密时密钥(K)

9、相同，则称为对称密钥体系,Y=x+k,经历了古典密码(基于字符替换)、对称密钥密码（单钥密码体制）和公开密钥密码（双钥密码体制）3个发展阶段。,若加密解密时密钥(K)不同，则称为对非对称密钥体系,.,1. 对称密钥体系 在信息加密与解密过程中，如果使用相同或本质上等同的密钥，则将这种体系称为单密钥、私钥或对称密钥体系。 必须知道密钥和解密函数,才能将密文转换为明文. 算法：密钥 密钥：127 加密 COMPUTER 02/*+:- 解密 02/*+:- COMPUTER,.,密文aescxstwotgeeebleoonemkueibnucpvoypehhma.,位置交换法,明文 please

10、give me the books when you come up next.,密钥 MEGABUCK,M E G A B U C K,7 4 5 1 2 8 3 6,p l e a s e g i,v e m e t h e b,o o k s w h e n,y o u c o m e u,p n e x t a b c,.,2. 非对称密钥体系 双密钥体系是加密与解密具有不同密钥, 也称之为公钥或非对称密钥体系。在使用双密钥体系时, 通常将加密密钥公开, 解密密钥保密。,发送者A,接收者B,密文,B的加密密钥,B的解密密钥,如：加密4明文,则：解密 1/4密文,.,非对称密钥体系,有一

11、个密钥是公开的称为公钥，用来让对方加密。 另一个密钥是不公开的称为私钥，用来对加密后的密文进行解密，需妥善保管。 优点：加密与解密分开 缺点：算法复杂，加解密速度慢 在实际网络信息加密过程中, 多采用单密钥与双密钥相结合的混合加密体系, 这样既解决了密钥管理的困难, 又解决了加解密速度问题。,.,密钥的管理,通常需要一个双方都信任的第三者帮助完成密钥的分配,将这个第三者称为网络安全中心(NSC).,A,B,NSC,Ka,Kb,E(Ka,Ks),E(Kb,Ks),E(Ks,M),.,1. 加密方式分类 按数据的加密方式分类，加密算法可分为流密钥算法和分组密钥算法。 流密钥算法：也称序列密码，每次

12、加密一位或一字节的明文，将整个明文看成是一个数据流，用密钥进行加密。 分组密钥算法：将明文分成固定长度的数据块，如64位和128位等，用密钥分别对数据块进行加密。,.,5.2.4 用户认证 网络双方都是虚拟的, 通过用户认证来证明人员身份。 目的有三个： 一是身份认证，即验证信息收发者是否持有正确身份认证符(如口令、密钥等); 二是信息完整性认证，即验证信息在传送或存储过程中是否被篡改; 三是信息序列和操作时间等认证，防止信息重放或延迟等攻击。,发送信息 A,用户A,用户B,信息A由用户A发送； 信息A完整； 信息A在正确的序列和时间中被发送,.,1. 网络中用户认证体系 普遍使用PKI（公开

13、密钥基础设施）技术，为网络应用中的数据加密和数字签名等服务提供必需的密钥和证书管理。以证实和检验信息合法性, 真实性和完整性; 2. 数字证书及其作用 数字证书,又称“数字身份证”采用X.509标准, 由PKI体系中的CA(认证中心)负责发放和签名, 并保证: 信息除发送方和接收方外不被其它人窃取 信息在传输过程中不被篡改； 发送与接收双方通过数字证书确认对方身份； 发送方对于自己的信息不能抵赖； 收到为止, 未曾做过任何修改，签发的文件真实,.,加密和认证用于保护通信双方不受第3方攻击,但是无法阻止通信双方的互相攻击 。 乙可能伪造报文,并声称它来自甲。 甲否认发送的报文,因为乙可能伪造一个

14、报文,无法证明甲发送过报文的事实。 双方间的欺骗和抵赖,可以使用数字签名解决。,5.2.5 数字签名,A向B发消息, 则用B的公钥加密,发送者A,接收者B,B用自己的公钥加密消息,声称来自A,.,数字签名的定义：附加在数据单元上的数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。 应用过程：发送方使用自己的私钥，根据数据内容产生一段数字串（既数字签名），附着在数据文件中，接收方用对方的公钥解读签名，以确认数据的完整性和签名的合法性。双发的私钥需严格保密。,A先用自己的私钥签名，再用B的公钥加

15、密,发送者A,接收者B,B不知道A的私钥无法伪造签名,.,手书签名与数字签名的主要区别： 1. 手书签名因人而异,数字签名因信息而异； 2. 手书签名是模拟的，容易模仿；数字签名在密钥控制下产生，没有密钥无法模仿数字签名。 数字签名的类型： 1. 直接数字签名:有效性依恋于发送方的密钥 2. 公正数字签名:通过可信的仲裁机构CA检验,公证数字签名,发送者,公证者,接收者,签名消息,验证,接收签名,完全信任,.,文件/文件夹加密 在Windows系统中使用内置的加密文件系统（EFS）对文件系统中的文件/文件夹加密。 1. 加密方法：右击菜单属性常规高级选定“加密内容以便保护数据”，单击“确定”

16、2.加密的作用:以特殊的颜色（默认淡绿色）显示，用户无权访问其他用户加密的文件/文件夹 3.解密方法：单击以取消选定,5.3 信息安全技术在WINDOWS中的应用,.,第一次使用EFS文件加密功能后，系统自动建立与用户名同名的证书，使用下列方法可以查看证书内容： 开始菜单运行打开框中输入CERTMGR.MSC 并回车。打开证书窗口,5.3.2 查看证书详细信息,.,在Windows操作系统中，在创建用户时随机生成该用户的私钥，当删除一个用户后再重新建立，其私钥也将发生改变。应对其留以备份。 （1）导出证书和私钥（留备份）：证书窗口选定用户名右击菜单所有任务”“导出” (2) 导入证书和私钥（载

17、入备份）：左窗口右击菜单所有任务”“导出”,5.3.3 证书与私钥的导入/导出,.,随Windows一起提供的系统文件和设备驱动程序文件都有Microsoft数字签名这些文件都是原装系统文件或经Microsoft同意用于Windows的设备驱动程序文件。 通过Windows的“文件签名验证”工具，可以查看未经Microsoft数字签名的系统文件。打开方法： 开始”菜单“运行” “打开”框输入：SigVerif并回车,5.3.4 系统文件的签名验证,.,对Office文档(如DOC、XLS或PPT)可以进行数字签名，以便确定最后修改文档的用户。 (1)文档数字签名的方法： “工具”菜单“选项”“

18、安全性”选项卡“数字签名”按钮单击“添加”按钮选择可用的证书 (2)对数字签名文档的处理： 数字签名后的文档中添加了签名信息。窗口标题栏会显示“已签名，未验证”。保存修改时，系统将删除数字签名信息，以此表示数字签名后修改过文档,5.3.3 office文档数字签名,.,5.4 计算机病毒及其防范,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者损坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 这种程序的活动方式与生物学中病毒相似，所以人们称其为计算机病毒。,.,5.4.1 计算机病毒的起源及特性,1. 病毒来源 y炫耀能力 y报复他人 y盗用软件 y恶意破坏 2

19、. 病毒特性 传染性 程序之间、计算机之间，网络之间 潜伏性 潜伏期传染，时机成熟发作 隐蔽性 传播时隐藏于程序中，不易察觉 破坏性 屏幕异常，速度变慢，系统瘫痪 寄生性 依附程序，伺机传染新病毒,.,5.4.2 计算机病毒的种类 1. 按破坏性分类 1 良性病毒 2 恶性病毒 2. 按寄生方式分类 1 引导型病毒 2 文件型病毒 3 外壳型病毒 4 侵入型病毒 5 复合型病毒,一般不破坏数据，如小球病毒,具有较强破坏性，如CIH病毒,病毒出现在系统引导阶段，系统启动时执行病毒程序,是一种专门传染文件的病毒，通常寄生在可执行文件尾部,寄生在文件尾部，每次执行都在文件中繁衍一次，占用大量cpu和

20、内存,复制自身到文件，对文件内容删除或修改,.,5.4.3 计算机病毒传播媒介与防治 1. 病毒传播媒介 1 存储介质 2 网络介质 2. 病毒现象 1 异常显示 2 速度变慢 3 打印机异常 4 磁盘异常 5 文件异常 6 异常声音,.,3. 病毒预防措施 1)备份重要软件或数据； 2)对机房等公用环境应安装保护卡或保护软件; 3)应及时打上最新的系统补丁； 4)警惕未知电子邮件； 5)对外来文件应先查毒后使用； 6)定期对系统进行查毒，如系统出现异常应及时检测和清毒，不要带毒运行； 7)安装防火墙软件； 8)定期更新杀病毒软件版本等。,.,4. 病毒清查 出现软/硬件异常，及时全面病毒清查

21、 5. 计算机病毒发展趋势 1 ) 变形病毒 2) 更紧密结合网络 3) 具有混合型特征 4) 扩散速度增快, 忽略隐藏性, 注重欺骗性； 5) 系统漏洞将成为病毒有力的传播方式。 6. 采取对策 开发新一代反病毒软件 。 1)与网络全面结合 2)建立快速反应检测病毒网,代码和结构可自我变化，以逃避捕捉,.,5.5 防火墙简介,对两个网络之间的通信进行控制,防火墙：在内部网络和外部网络之间插入的一个由硬件和软件组成的系统，提供扼守内部网络安全和审计的第一道安全屏障。,.,5.5.1 防火墙的作用 通过控制和监测网络之间的信息交换和访问实现网络安全和有效管理 1. 过滤网络数据：检查数据细节，根据定义的安全策略允许或禁止数据通信。 2. 管理网络访问行为：限制有漏洞的服务进出网络。 3. 封堵某些访问：禁止外部网络访问网络文件系统和网络接口系统。 4. 记录与检