同方第4章46網絡信息安全PPT課件

1、4.6 網絡信息安全網絡信息安全4.6.1 概述概述4.6.2 數據加密數據加密4.6.3 數字簽名數字簽名4.6.4 身份鑒別與訪問控制身份鑒別與訪問控制4.6.5 防火墻防火墻4.6.6 計算機病毒防范計算機病毒防范 24.6.1 概述概述3信息傳輸信息傳輸( (存儲存儲) )中受到的安全威脅中受到的安全威脅 傳輸中斷傳輸中斷 s d 偽造偽造 s d 篡改篡改 s d 竊聽竊聽 s d通信線路切斷、文件系統(tǒng)癱瘓等,影響數據的可用性 文件或程序被非法拷貝,將危及數據的機密性 破壞數據的完整性 失去了數據（包括用戶身份）的真實性 4確保信息安全的技術措施確保信息安全的技術措施（1 1）真實性

2、鑒別真實性鑒別：對通信雙方的身份和所傳送信息的真?zhèn)危簩νㄐ烹p方的身份和所傳送信息的真?zhèn)文軠蚀_地進行鑒別能準確地進行鑒別（2 2）訪問控制訪問控制：控制用戶對信息等資源的訪問權限，防止：控制用戶對信息等資源的訪問權限，防止未經授權使用資源未經授權使用資源 （3 3）數據加密數據加密：保護數據秘密，未經授權其內容不會顯露：保護數據秘密，未經授權其內容不會顯露（4 4）保證數據完整性保證數據完整性：保護數據不被非法修改，使數據在：保護數據不被非法修改，使數據在傳送前、后保持完全相同傳送前、后保持完全相同（5 5）保證數據可用性保證數據可用性：保護數據在任何情況（包括系統(tǒng)故：保護數據在任何情況（包括系

3、統(tǒng)故障）下不會丟失障）下不會丟失（6 6）防止否認防止否認：防止接收方或發(fā)送方抵賴：防止接收方或發(fā)送方抵賴（7 7）審計管理審計管理：監(jiān)督用戶活動、記錄用戶操作等：監(jiān)督用戶活動、記錄用戶操作等54.6.2 數據加密數據加密6數據加密數據加密的基本思想的基本思想n目的：即使信息被竊取，也能保證數據安全目的：即使信息被竊取，也能保證數據安全n重要性：數據加密是其他信息安全措施的基礎重要性：數據加密是其他信息安全措施的基礎n基本思想：基本思想：n發(fā)送方改變原始信息中符號的排列方式或按照某種規(guī)律替換部發(fā)送方改變原始信息中符號的排列方式或按照某種規(guī)律替換部分或全部符號，使得只有合法的接收方通過數據解密才

4、能讀懂分或全部符號，使得只有合法的接收方通過數據解密才能讀懂接收到的信息接收到的信息n加密方法舉例：加密方法舉例：n將文本中每個小寫英文字母替換為排列在字母表中其后面的第將文本中每個小寫英文字母替換為排列在字母表中其后面的第3個字母個字母 原始數據：原始數據：meet me after the class 加密后數據：加密后數據：phhw ph diwhu wkh fodvv7數據加密的基本概念數據加密的基本概念n明文明文: :加密前的原始數據加密前的原始數據n密文密文: :加密后的數據加密后的數據( (用于傳輸或存儲用于傳輸或存儲) )n密碼密碼( (cipher): :將明文與密文進行相互

5、轉換的算法將明文與密文進行相互轉換的算法n密鑰密鑰: :在密碼中使用且僅僅只有收發(fā)雙方知道的用于加密在密碼中使用且僅僅只有收發(fā)雙方知道的用于加密和解密的信息和解密的信息8兩類數據加密方法兩類數據加密方法n對稱密鑰加密對稱密鑰加密n公共密鑰加密公共密鑰加密 明文明文明文明文密文密文加密加密解密解密密鑰密鑰k1密鑰密鑰k2（數據傳輸）（數據傳輸）密鑰密鑰k1=k2，但密鑰的管理和，但密鑰的管理和分發(fā)太復雜分發(fā)太復雜 使用乙的使用乙的公鑰加密公鑰加密甲甲 乙乙密密 文文乙乙丙丙丁丁戊戊使用乙的使用乙的私鑰解密私鑰解密加密器加密器解密器解密器 明文明文 明文明文甲的甲的公鑰環(huán)公鑰環(huán)每個用戶有一對密鑰（

6、私鑰只有本人知道，公鑰每個用戶有一對密鑰（私鑰只有本人知道，公鑰其他用戶可以知道）。策略是：甲用乙的公鑰加其他用戶可以知道）。策略是：甲用乙的公鑰加密的信息只有乙使用自己的私鑰才能解密；乙用密的信息只有乙使用自己的私鑰才能解密；乙用私鑰加密的消息甲也只有用乙的公鑰才能解密私鑰加密的消息甲也只有用乙的公鑰才能解密 94.6.3 數字簽名數字簽名10數字簽名概述數字簽名概述n數字簽名的含義：數字簽名的含義：n數字簽名是與消息一起發(fā)送的一串數字簽名是與消息一起發(fā)送的一串代碼代碼n數字簽名的目的：數字簽名的目的：n讓對方相信消息的讓對方相信消息的真實性真實性n數字簽名的用途：數字簽名的用途：n在在電子

7、商務和電子政務中用來鑒別消息的真?zhèn)坞娮由虅蘸碗娮诱罩杏脕龛b別消息的真?zhèn)?n對數字簽名的要求：對數字簽名的要求：n無法偽造無法偽造n能發(fā)現消息內容的任何變化能發(fā)現消息內容的任何變化11數字簽名的處理過程數字簽名的處理過程hashing摘要摘要消息正文消息正文 私鑰加密私鑰加密數字數字簽名簽名 添加至正文添加至正文附有數字簽名的消息附有數字簽名的消息數字數字簽名簽名傳送傳送對原始消息的正文對原始消息的正文進行散列處理進行散列處理生成生成消息的摘要消息的摘要使用消息發(fā)送人的私使用消息發(fā)送人的私鑰對摘要進行加密而鑰對摘要進行加密而得到數字簽名得到數字簽名接收方使用發(fā)送方的公接收方使用發(fā)送方的公鑰對數

8、字簽名解密恢復鑰對數字簽名解密恢復出消息摘要出消息摘要對收到的原始消息正文對收到的原始消息正文進行散列處理得到一個進行散列處理得到一個新的摘要新的摘要對比對比 附有數字簽名的消息附有數字簽名的消息數字數字簽名簽名網絡傳傳送送給給接接收收方方將數字簽將數字簽名添加到名添加到原始消息原始消息消息是否被篡改消息是否被篡改12數字簽名中的雙重加密數字簽名中的雙重加密n發(fā)送方發(fā)送方n用發(fā)送方的私鑰加密信息摘要得到數字簽名用發(fā)送方的私鑰加密信息摘要得到數字簽名n用接收方的公鑰對已添加了數字簽名的消息再進行加密用接收方的公鑰對已添加了數字簽名的消息再進行加密n接收方接收方n用接收方的私鑰對接收的消息解密并取

9、出數字簽名用接收方的私鑰對接收的消息解密并取出數字簽名n用發(fā)送方的公鑰解密數字簽名得到信息摘要用發(fā)送方的公鑰解密數字簽名得到信息摘要134.6.4 身份鑒別與訪問控制身份鑒別與訪問控制14身份鑒別身份鑒別n身份鑒別的含義身份鑒別的含義:n證實某人或某物（消息、文件、主機等）的真實身份是否與其所證實某人或某物（消息、文件、主機等）的真實身份是否與其所聲稱的身份相符聲稱的身份相符,以防止欺詐和假冒以防止欺詐和假冒n什么時候進行什么時候進行?n在用戶登錄某個計算機系統(tǒng)時進行在用戶登錄某個計算機系統(tǒng)時進行n在訪問、傳送或拷貝某個重要的資源時進行在訪問、傳送或拷貝某個重要的資源時進行n身份鑒別的依據身份

10、鑒別的依據(方法方法):n鑒別對象本人才知道的信息（如鑒別對象本人才知道的信息（如口令口令、私有密鑰、身份證號等）、私有密鑰、身份證號等）n鑒別對象本人才具有的信物（例如磁卡、鑒別對象本人才具有的信物（例如磁卡、ic卡、卡、usb鑰匙等）鑰匙等）n鑒別對象本人才具有的生理和行為特征（例如指紋、手紋、筆跡鑒別對象本人才具有的生理和行為特征（例如指紋、手紋、筆跡或說話聲音等）或說話聲音等）n雙因素認證雙因素認證 :上述上述2種方法的結合種方法的結合15什么是訪問控制什么是訪問控制?n訪問控制的含義訪問控制的含義: :n計算機對系統(tǒng)內的每個信息資源規(guī)定各個用戶對它的操計算機對系統(tǒng)內的每個信息資源規(guī)定

11、各個用戶對它的操作權限（是否可讀、是否可寫、是否可修改等）作權限（是否可讀、是否可寫、是否可修改等）n訪問控制是在身份鑒別的基礎上進行的訪問控制是在身份鑒別的基礎上進行的n訪問控制的任務訪問控制的任務: :n對所有信息資源進行集中管理對所有信息資源進行集中管理n對信息資源的控制沒有二義性（各種規(guī)定互不沖突）對信息資源的控制沒有二義性（各種規(guī)定互不沖突）n有審計功能（記錄所有訪問活動有審計功能（記錄所有訪問活動, ,事后可以核查）事后可以核查）16文件的訪問控制舉例文件的訪問控制舉例 用用 戶戶 功功 能能讀讀寫寫編編 輯輯刪刪 除除轉轉 發(fā)發(fā)打打 印印復復 制制董事長董事長總經理總經理副總經理

12、副總經理部門經理部門經理科科 長長組組 長長174.6.5 防火墻防火墻18因特網防火墻因特網防火墻n什么是因特網防火墻什么是因特網防火墻(internet firewall)?n用于將因特網的子網（最小子網是用于將因特網的子網（最小子網是1臺計算機）與因特網的其臺計算機）與因特網的其余部分相隔離余部分相隔離, 以維護網絡信息安全的一種軟件或硬件設備以維護網絡信息安全的一種軟件或硬件設備 n防火墻的原理防火墻的原理:n防火墻對流經它的信息進行掃描，確保進入子網和流出子網的防火墻對流經它的信息進行掃描，確保進入子網和流出子網的信息的合法性，它還能過濾掉黑客的攻擊，關閉不使用的端口，信息的合法性，

13、它還能過濾掉黑客的攻擊，關閉不使用的端口，禁止特定端口流出信息禁止特定端口流出信息, 等等等等 防火墻防火墻因特網因特網包過濾器包過濾器內部網內部網194.6.6 計算機病毒防范計算機病毒防范20什么是計算機病毒什么是計算機病毒?n計算機病毒是有人計算機病毒是有人蓄意蓄意編制的一種具有自我復制能力的、編制的一種具有自我復制能力的、寄生性的、破壞性的寄生性的、破壞性的計算機程序計算機程序n計算機病毒能在計算機中生存，通過自我復制進行傳播，計算機病毒能在計算機中生存，通過自我復制進行傳播，在一定條件下被激活，從而給計算機系統(tǒng)造成損害甚至嚴在一定條件下被激活，從而給計算機系統(tǒng)造成損害甚至嚴重破壞系統(tǒng)

14、中的軟件、硬件和數據資源重破壞系統(tǒng)中的軟件、硬件和數據資源n病毒程序的特點病毒程序的特點: :n破壞性破壞性n隱蔽性隱蔽性n傳染性和傳播性傳染性和傳播性n潛伏性潛伏性21計算機病毒的表現和危害計算機病毒的表現和危害n破壞文件內容，造成磁盤上的數據破壞或丟失破壞文件內容，造成磁盤上的數據破壞或丟失n刪除系統(tǒng)中一些重要的程序，使系統(tǒng)無法正常工作，刪除系統(tǒng)中一些重要的程序，使系統(tǒng)無法正常工作，甚至無法啟動甚至無法啟動n修改或破壞系統(tǒng)中的數據，使系統(tǒng)造成不可彌補的修改或破壞系統(tǒng)中的數據，使系統(tǒng)造成不可彌補的損失損失n在磁盤上產生許多在磁盤上產生許多“壞壞”扇區(qū)，減少磁盤可用空間扇區(qū)，減少磁盤可用空間n

15、占用計算機內存，造成計算機運行速度降低占用計算機內存，造成計算機運行速度降低n破壞主板破壞主板bios芯片中存儲的程序或數據芯片中存儲的程序或數據n.22殺毒軟件的功能與缺陷殺毒軟件的功能與缺陷n殺毒軟件的功能殺毒軟件的功能:n檢測及消除內存、檢測及消除內存、bios、文件、郵件、文件、郵件、u盤和硬盤中盤和硬盤中的病毒的病毒n例如：例如：norton，瑞星，江民，金山毒霸，卡巴斯基等，瑞星，江民，金山毒霸，卡巴斯基等n殺毒軟件的缺陷：殺毒軟件的缺陷：n殺毒軟件的開發(fā)與更新總是稍稍滯后于新病毒的出現，殺毒軟件的開發(fā)與更新總是稍稍滯后于新病毒的出現，因此會檢測不出或無法消除某些信病毒因此會檢測不出或無法消除某些信病毒n事先無法預計病毒的發(fā)展及變化，很難開發(fā)出具有先事先無法預計病毒的發(fā)展及變化，很難開發(fā)出具有先知先覺功能的可以消除一切病毒的軟硬件工具知先覺功能的可以消除一切病毒的軟硬件工具23預防計算機病毒侵害的措施預防計算機病毒侵害的措施n不使用來歷不明的程序和數據不使用來歷不明的程序和數據n不輕