第講信息安全與職業(yè)道德

1、第第3333講講 信息安全與職業(yè)道德信息安全與職業(yè)道德( (一一) ) 了解信息安全面臨的威脅及防范策略，掌握計(jì)算機(jī)病毒的基本知識(shí)和計(jì)算機(jī)病毒預(yù)防的措施，初步掌握網(wǎng)絡(luò)攻擊的一般步驟和攻擊的方法，掌握數(shù)據(jù)加密技術(shù)的概念，了解幾種常見的密碼算法。教學(xué)目標(biāo)及基本要求教學(xué)目標(biāo)及基本要求教學(xué)重點(diǎn)教學(xué)重點(diǎn)計(jì)算機(jī)病毒及其防治，網(wǎng)絡(luò)攻擊的步驟和方法。 教學(xué)難點(diǎn)教學(xué)難點(diǎn)網(wǎng)絡(luò)攻擊的方法。 信息安全的定義 信息安全面臨的威脅及防范策略 計(jì)算機(jī)病毒及防治 網(wǎng)絡(luò)攻擊的步驟及攻擊的方法 加密技術(shù) 典型的現(xiàn)代密碼算法教學(xué)內(nèi)容教學(xué)內(nèi)容第第3333講講 信息安全與職業(yè)道德信息安全與職業(yè)道德( (一一) )1學(xué)時(shí) 教學(xué)時(shí)間教學(xué)時(shí)

2、間第第3333講講 信息安全與職業(yè)道德信息安全與職業(yè)道德( (一一) ) 計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展與普及為信息的傳播提供了便捷的途徑，但同時(shí)也帶來了極大的安全威脅。從本質(zhì)上說，威脅信息安全的根源可分為兩大類： 操作系統(tǒng)型病毒 將其自身包裹在主程序周圍，對(duì)原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般只要測(cè)試文件的大小即可發(fā)現(xiàn)病毒。 用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)癱瘓。 外殼型病毒網(wǎng)絡(luò) 接收電子郵件、下載軟件、瀏覽網(wǎng)頁以及使用QQ等即時(shí)通信軟件，還有利用未關(guān)閉的端口進(jìn)行入侵的后門程序。 可移動(dòng)硬盤 軟盤、U盤、移動(dòng)硬盤以及光盤等

3、可移動(dòng)存儲(chǔ)設(shè)備 為了防止拒絕服務(wù)攻擊，可以采取以下的預(yù)防措施： （1）建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個(gè)數(shù)。（2）要防止SYN數(shù)據(jù)段攻擊，應(yīng)對(duì)系統(tǒng)設(shè)置相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請(qǐng)求數(shù)據(jù)包。（3）建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊（4）對(duì)于信息淹沒攻擊，應(yīng)關(guān)掉可能產(chǎn)生無限序列的服務(wù)來防止這種攻擊。比如可以在服務(wù)器端拒絕所有的ICMP包，或者在該網(wǎng)段路

4、由器上對(duì)ICMP包進(jìn)行帶寬方面的限制，控制其在一定的范圍內(nèi)。 緩沖區(qū)溢出對(duì)網(wǎng)絡(luò)系統(tǒng)帶來了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn):（1）程序指針完整性檢查 在程序指針被引用之前檢測(cè)它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此，這個(gè)指針將不會(huì)被使用。這是一種提供程序指針完整性檢查的編譯器技術(shù)，通過檢查函數(shù)活動(dòng)記錄中的返回地址來實(shí)現(xiàn)。在堆棧中函數(shù)返回地址后面加了一些附加的字節(jié)，而在函數(shù)返回時(shí)，首先檢查這個(gè)附加的字節(jié)是否被改動(dòng)過。如果發(fā)生過緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測(cè)到。所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作

5、在正確的范圍內(nèi)進(jìn)行。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化技術(shù)來減少檢查次數(shù)。根據(jù)密碼算法所使用加密密鑰和解密密鑰是否相同可將密碼體制分為對(duì)稱密碼體制和非對(duì)稱密碼體制。其中，非對(duì)稱密碼體制也稱為公開密鑰體制。 對(duì)稱密碼體制在對(duì)信息進(jìn)行明文/密文變換時(shí)，加密與解密使用相同的密鑰。 傳統(tǒng)的密碼體制均屬于對(duì)稱密碼體制。它的特點(diǎn)是，通信雙方必須事先共同約定一個(gè)密鑰。 對(duì)稱密碼體制的保密強(qiáng)度高，但開放性差，需要有可靠的密鑰傳輸渠道。 非對(duì)稱密碼體制，每個(gè)用戶都有一對(duì)密鑰，一個(gè)用于加密，一個(gè)用于解密。其中加密密鑰一般為公開密鑰，而解密密鑰則屬于用戶私有。 DES（Data Encrytio

6、n Standard）是一種著名的分組解密對(duì)稱式加密算法。它是由IBM公司開發(fā)的，并于1997年被美國(guó)政府正式采納。它的應(yīng)用非常廣泛，尤其是在金融領(lǐng)域。它的基本思想是將信息分解為64位分組進(jìn)行加密，所有的分組都用相同的密鑰加密。解密密鑰與加密密鑰相同。用長(zhǎng)度為64位的密鑰對(duì)每個(gè)分組進(jìn)行16輪代換和移位運(yùn)算，形成密文。在Diffe和 Hellman的密碼學(xué)新方向這篇文章提出公鑰設(shè)想后兩年，麻省理工學(xué)院（MIT）的Rivest、Shamir以及Adleman于1977年研制出了一種非對(duì)稱密碼算法，并以其三人名字的第一個(gè)字母命名為RSA算法。從此，RSA算法作為唯一被廣泛接受并實(shí)現(xiàn)的通用公開密鑰加密

7、方式受到推崇。該算法的基礎(chǔ)是數(shù)論中的歐拉定理，它的安全性依賴于對(duì)大數(shù)的因數(shù)分解的困難性。 RSA算法分析 （1）選擇兩個(gè)大的質(zhì)數(shù)p、q。 （2）計(jì)算n=pq，z=(p1)(q1)。 （3）選一個(gè)比n小的數(shù)e，要求e與z互為質(zhì)數(shù)。 （4）找到另一個(gè)數(shù)d，使（ed1）可以被z整除。 （5）這樣就獲得了一個(gè)公鑰數(shù)對(duì)（n，e）和一個(gè)私鑰數(shù)對(duì)（n，d）。 （6）發(fā)送方隨即將公鑰（n，e）發(fā)給接收方。在不知道私鑰的情況下，要想從公開的密鑰（n，e）中計(jì)算出私鑰，只有分解大整數(shù)n的因子。大數(shù)分解是十分困難的數(shù)學(xué)問題。 RSA算法的保密強(qiáng)度隨其密鑰的長(zhǎng)度增加而增加。但密鑰越長(zhǎng)，其解密所消耗的時(shí)間也越長(zhǎng)。因此，要根據(jù)保密信息的敏感程度與攻擊者所要花的代價(jià)值不值，