計算機學科導論課件：第14章 網絡安全

1、計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社第第 14 章章 網絡安全網絡安全本章討論的主要問題是：本章討論的主要問題是： 1. 什么是網絡安全？常見的網絡安全問題有哪些？什么是網絡安全？常見的網絡安全問題有哪些？ 2. 為了達到保護信息的目的，可以將信息進行加密，什么為了達到保護信息的目的，可以將信息進行加密，什么是信息加密？具體加密過程是怎樣？是信息加密？具體加密過程是怎樣？ 3. 計算機系統(tǒng)的安全性常常取決于系統(tǒng)能否正確識別用戶計算機系統(tǒng)的安全性常常取決于系統(tǒng)能否正確識別用戶的身份，計算機系統(tǒng)如何對用戶的身份進行確認和鑒別？的身份，計算機系統(tǒng)如何對用戶的身份

2、進行確認和鑒別？ 4. 如何將安全問題阻擋在網絡之外？如何檢測網絡系統(tǒng)是如何將安全問題阻擋在網絡之外？如何檢測網絡系統(tǒng)是否被入侵？否被入侵？計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社情景問題情景問題互聯網時代還有個人隱私嗎？互聯網時代還有個人隱私嗎？ 毫不夸張地說，計算機已經威脅到我們的隱私，在我們不毫不夸張地說，計算機已經威脅到我們的隱私，在我們不知道也不愿意的情況下，企業(yè)和政府機構的數據庫收集和知道也不愿意的情況下，企業(yè)和政府機構的數據庫收集和共享大量關于我們的個人信息，互聯網檢測軟件可能記下共享大量關于我們的個人信息，互聯網檢測軟件可能記下了我們在網上的活

3、動，黑客可能竊取了我們的帳號和密碼，了我們在網上的活動，黑客可能竊取了我們的帳號和密碼，郵件傳輸系統(tǒng)可能閱讀了我們的電子郵件，郵件傳輸系統(tǒng)可能閱讀了我們的電子郵件，計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社網絡安全的定義網絡安全的定義 n網絡安全網絡安全是指為保護網絡不受任何損害而采取的所有措施是指為保護網絡不受任何損害而采取的所有措施的綜合，一般包含網絡的保密性、完整性和可用性。的綜合，一般包含網絡的保密性、完整性和可用性。保密性是指網絡能夠阻止未經授權的用戶讀取保密信息；保密性是指網絡能夠阻止未經授權的用戶讀取保密信息；完整性包括資料的完整性和軟件的完整性，

4、資料的完整性完整性包括資料的完整性和軟件的完整性，資料的完整性是指在未經許可的情況下，確保資料不被刪除或修改，軟件是指在未經許可的情況下，確保資料不被刪除或修改，軟件的完整性是指確保軟件程序不會被誤操作、懷有惡意的人或的完整性是指確保軟件程序不會被誤操作、懷有惡意的人或病毒修改；病毒修改；可用性是指網絡在遭受攻擊時確保得到授權的用戶可以使可用性是指網絡在遭受攻擊時確保得到授權的用戶可以使用網絡資源。用網絡資源。第第 14 章章 網絡安全網絡安全什么是網絡安全什么是網絡安全計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社常見的網絡安全問題常見的網絡安全問題 1. 病毒。

5、病毒。計算機病毒計算機病毒是一種人為蓄意制造的、以破壞為目的是一種人為蓄意制造的、以破壞為目的的程序，它寄生于其他應用程序或系統(tǒng)的可執(zhí)行部分，通過的程序，它寄生于其他應用程序或系統(tǒng)的可執(zhí)行部分，通過部分修改或移動程序，將自我復制加入其中或占據宿主程序部分修改或移動程序，將自我復制加入其中或占據宿主程序的部分而隱藏起來，在一定條件下發(fā)作，破壞計算機系統(tǒng)。的部分而隱藏起來，在一定條件下發(fā)作，破壞計算機系統(tǒng)。2. 木馬。木馬。木馬木馬（全稱為特洛伊木馬）是在執(zhí)行某種功能的同（全稱為特洛伊木馬）是在執(zhí)行某種功能的同時進行秘密破壞的一種程序。木馬可以完成非授權用戶無法時進行秘密破壞的一種程序。木馬可以完

6、成非授權用戶無法完成的功能，也可以破壞大量數據。完成的功能，也可以破壞大量數據。第第 14 章章 網絡安全網絡安全什么是網絡安全什么是網絡安全計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社常見的網絡安全問題常見的網絡安全問題 3. 黑客。黑客。黑客黑客是指通過網絡非法進入他人系統(tǒng)，截獲或篡改是指通過網絡非法進入他人系統(tǒng)，截獲或篡改計算機數據，危害信息安全的計算機入侵者或入侵行為。計算機數據，危害信息安全的計算機入侵者或入侵行為。4. 系統(tǒng)的漏洞和后門。操作系統(tǒng)和網絡軟件不可能完全沒有系統(tǒng)的漏洞和后門。操作系統(tǒng)和網絡軟件不可能完全沒有缺陷和缺陷和漏洞漏洞，TCP/IP

7、協(xié)議中也可能有被攻擊者利用的漏洞，協(xié)議中也可能有被攻擊者利用的漏洞，軟件的軟件的后門后門通常是軟件公司編程人員為了自便而設置的。通常是軟件公司編程人員為了自便而設置的。5. 內部威脅和無意破壞。事實上，大多數威脅來自企業(yè)內部內部威脅和無意破壞。事實上，大多數威脅來自企業(yè)內部人員的蓄意攻擊，大部分計算機罪犯是那些能夠進入計算機人員的蓄意攻擊，大部分計算機罪犯是那些能夠進入計算機系統(tǒng)的職員。此外，一些無意失誤，如丟失密碼、疏忽大意系統(tǒng)的職員。此外，一些無意失誤，如丟失密碼、疏忽大意和非法操作等都可能對網絡造成極大的破壞。和非法操作等都可能對網絡造成極大的破壞。第第 14 章章 網絡安全網絡安全什么

8、是網絡安全什么是網絡安全計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社什么是信息加密什么是信息加密 n 加密加密：使用數學方法來重新組織數據，使得除了合法的接：使用數學方法來重新組織數據，使得除了合法的接受者之外，其他任何人都不能恢復原先的信息。受者之外，其他任何人都不能恢復原先的信息。n 明文明文：加密前的信息；：加密前的信息；密文密文：加密后的信息稱為。：加密后的信息稱為。n 加密加密是將明文變成密文的過程，是將明文變成密文的過程，解密解密是將密文變成明文的是將密文變成明文的過程。過程。n 信息為了有效地控制加密和解密過程的實現，在處理過程信息為了有效地控制加密

9、和解密過程的實現，在處理過程中要有通信雙方掌握的專門信息的參與，這種專門的信息中要有通信雙方掌握的專門信息的參與，這種專門的信息稱為稱為密鑰密鑰。 第第 14 章章 網絡安全網絡安全信息加密信息加密計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社n在對稱加密中，信息的加密和解密使用同一密鑰。在對稱加密中，信息的加密和解密使用同一密鑰。n優(yōu)點：安全性高、加密速度快。優(yōu)點：安全性高、加密速度快。n缺點：密鑰的傳輸和管理。缺點：密鑰的傳輸和管理。n常用的對稱加密算法有常用的對稱加密算法有DES和和IDEA。 對稱加密對稱加密 第第 14 章章 網絡安全網絡安全信息加密信息加

10、密計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社n 在非對稱加密中，信息的加密和解密使用不同密鑰，參與在非對稱加密中，信息的加密和解密使用不同密鑰，參與加密過程的密鑰公開，稱為加密過程的密鑰公開，稱為公鑰公鑰，參與解密過程的密鑰為，參與解密過程的密鑰為用戶專用，稱為用戶專用，稱為私鑰私鑰，兩個密鑰必須配對使用。，兩個密鑰必須配對使用。n 常用的非對稱加密算法有常用的非對稱加密算法有RSA、背包算法等。、背包算法等。 非對稱加密非對稱加密 第第 14 章章 網絡安全網絡安全信息加密信息加密計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社Riv

11、estShamirAdleman理論基礎：將一個由兩個大質數的乘積理論基礎：將一個由兩個大質數的乘積分解回來分解回來是個難解問題是個難解問題非對稱加密非對稱加密 第第 14 章章 網絡安全網絡安全信息加密信息加密計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社RSA算法的工作原理算法的工作原理第第 14 章章 網絡安全網絡安全信息加密信息加密步驟步驟1：取兩個質數，如：取兩個質數，如p = 11, q = 13，計算，計算n = pq = 143步驟步驟2：計算：計算z = (p - 1)(q - 1) = 120步驟步驟3：選取一個與：選取一個與z互質的數互質的數e

12、，如，如e = 7步驟步驟4：計算：計算d，滿足，滿足(ed) mod z = 1，如，如d = 103則則 (n, e) 和和 (n, d) 分別為公鑰和私鑰。分別為公鑰和私鑰。例：設例：設X要將信息要將信息s = 85傳送給傳送給Y，Y的公鑰是的公鑰是 (143, 7)，X計算加密后的信息值計算加密后的信息值c = se mod n = 857 mod 143 = 123，然后將然后將c傳送給傳送給Y，Y用私鑰用私鑰 (143, 103) 計算計算s = cd mod n = 123103 mod 143 = 85，得到明文。得到明文。計算機學科概論（第計算機學科概論（第2版）版）清華大學

13、出版社清華大學出版社身份認證身份認證n 身份認證身份認證是一種使合法用戶能夠證明自己身份的方法，是一種使合法用戶能夠證明自己身份的方法，是計算機系統(tǒng)安全保密防范最基本的措施。是計算機系統(tǒng)安全保密防范最基本的措施。n 主要的身份認證技術有以下三種：主要的身份認證技術有以下三種：（1）口令驗證口令驗證?？诹铗炞C是常用的一種身份認證手段，使?？诹铗炞C是常用的一種身份認證手段，使用口令驗證的最大問題就是口令泄露。用口令驗證的最大問題就是口令泄露。 （2）身份標識身份標識。身份標識是用戶攜帶用來進行身份認證的。身份標識是用戶攜帶用來進行身份認證的物理設備，例如磁卡。物理設備，例如磁卡。（3）生物特征標識

14、生物特征標識。人類的某些生物特征具有很高的個體。人類的某些生物特征具有很高的個體性和防偽造性，如指紋、視網膜、耳廓等，世界上幾乎沒性和防偽造性，如指紋、視網膜、耳廓等，世界上幾乎沒有任何兩個人是一樣的，因而這種驗證方法的可靠性和準有任何兩個人是一樣的，因而這種驗證方法的可靠性和準確度極高。確度極高。 第第 14 章章 網絡安全網絡安全數字認證數字認證 計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社數字簽名數字簽名 n 手寫簽名有兩個作用：一是自己的簽名難以否認，從而手寫簽名有兩個作用：一是自己的簽名難以否認，從而確定已簽署這一事實；二是因為簽名不易偽造，從而確定確定

15、已簽署這一事實；二是因為簽名不易偽造，從而確定了事務是真實的這一事實。了事務是真實的這一事實。n 數字簽名數字簽名與日常生活中的手寫簽名效果一樣，它不但能與日常生活中的手寫簽名效果一樣，它不但能使信息接收者確認信息是否來自合法方，而且可以為仲裁使信息接收者確認信息是否來自合法方，而且可以為仲裁者提供信息發(fā)送者對信息簽名的證據。者提供信息發(fā)送者對信息簽名的證據。 n 數字簽名主要通過加密算法和證實協(xié)議實現。數字簽名主要通過加密算法和證實協(xié)議實現。 第第 14 章章 網絡安全網絡安全數字認證數字認證 計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社防火墻防火墻n 防火墻防

16、火墻是一種用來加強網絡之間訪問控制的特殊網絡互是一種用來加強網絡之間訪問控制的特殊網絡互聯設備，它對網絡之間傳輸的數據包和鏈接方式按照一聯設備，它對網絡之間傳輸的數據包和鏈接方式按照一定的安全策略進行檢查，以此決定網絡之間的通信是否定的安全策略進行檢查，以此決定網絡之間的通信是否被允許。被允許。n 防火墻的功能主要有兩個：阻止和允許。防火墻的功能主要有兩個：阻止和允許。阻止阻止就是阻止就是阻止某種類型的通信量通過防火墻，某種類型的通信量通過防火墻，允許允許的功能與阻止的功的功能與阻止的功能正好相反。能正好相反。 第第 14 章章 網絡安全網絡安全網絡檢測與防范網絡檢測與防范計算機學科概論（第計

17、算機學科概論（第2版）版）清華大學出版社清華大學出版社防火墻的工作原理防火墻的工作原理n如果外網的用戶要訪問內網的如果外網的用戶要訪問內網的WWW服務器，首先由服務器，首先由分組分組過濾路由器過濾路由器來判斷外網用戶的來判斷外網用戶的IP地址是不是內網所禁止使地址是不是內網所禁止使用的。用的。n如果是禁止進入節(jié)點的如果是禁止進入節(jié)點的IP地址，則分組過濾路由器將會丟地址，則分組過濾路由器將會丟棄該棄該IP包；包；n如果不是禁止進入節(jié)點的如果不是禁止進入節(jié)點的IP地址，則這個地址，則這個IP包被送到應用包被送到應用網關，由應用網關來判斷發(fā)出這個網關，由應用網關來判斷發(fā)出這個IP包的用戶是不是合法

18、包的用戶是不是合法用戶。用戶。n如果該用戶是合法用戶，該如果該用戶是合法用戶，該IP包被送到內網的包被送到內網的WWW服務服務器去處理；如果該用戶不是合法用戶，則該器去處理；如果該用戶不是合法用戶，則該IP包將會被應包將會被應用網關丟棄。用網關丟棄。第第 14 章章 網絡安全網絡安全網絡檢測與防范網絡檢測與防范計算機學科概論（第計算機學科概論（第2版）版）清華大學出版社清華大學出版社入侵檢測入侵檢測n 入侵檢測入侵檢測是指主動地從計算機網絡系統(tǒng)中的若干關鍵點收是指主動地從計算機網絡系統(tǒng)中的若干關鍵點收集信息并分析這些信息，確定網絡中是否有違反安全策略的集信息并分析這些信息，確定網絡中是否有違反安全策略的行為和受到攻擊的跡象，并有針對性地進行防范。行為和受到攻擊的跡象，并有針對性地進行防范。 n 入侵檢測被設置在防火墻的后面，它的作用是發(fā)現那些已入侵檢測被設置在防火墻的后面，它的作用是發(fā)現那些已經穿過防火墻進入到內網或是內部的黑客。經穿過防火墻進入到內網或是內部的黑客。第第 14 章章 網絡安全網絡安全網絡檢測與防范網絡檢測與防范計算機學科概論（第計算機學