網(wǎng)絡(luò)信息安全課件

1、網(wǎng)絡(luò)信息安全2022/7/28網(wǎng)絡(luò)信息安全計算機病毒（Computer Virus） 定義：中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確指出：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。形成：病毒是一種比較完美的，精巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的。產(chǎn)生的原因：惡作??；報復心理；版權(quán)保護；特殊目的網(wǎng)絡(luò)信息安全計算機病毒的特征 破壞性 傳染性 隱蔽性 寄生性 觸發(fā)性網(wǎng)絡(luò)信息安全

2、Windows95/98時代大名鼎鼎的CIH病毒CIH作者陳盈豪網(wǎng)絡(luò)信息安全Windows NT時代的白雪公主病毒巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！網(wǎng)絡(luò)信息安全席卷全球的NIMDA病毒網(wǎng)絡(luò)信息安全人類為防治病毒所做出的努力及結(jié)論 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)版 單機版防病毒卡結(jié)論：人類將與病毒長期共存。網(wǎng)絡(luò)信息安全特洛伊木馬特洛伊木馬是一個包含在一個合法程序中的非法的程序。該非法程序被用戶在不知情的情況下被執(zhí)行。其名稱源于古希臘的特洛伊木馬神話，傳說希臘人圍攻特洛伊城，久久不能得手。后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中。大部隊假裝撤退而將木馬擯棄于特洛伊城，讓敵人將其作

3、為戰(zhàn)利品拖入城內(nèi)。木馬內(nèi)的士兵則乘夜晚敵人慶祝勝利、放松警惕的時候從木馬中爬出來，與城外的部隊里應(yīng)外合而攻下了特洛伊城。網(wǎng)絡(luò)信息安全一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序，其中客戶端是用于攻擊者遠程控制植入木馬的機器，服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件弄到被攻擊者的電腦系統(tǒng)里，如郵件、下載等，然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件，比如故意謊稱這是個木馬執(zhí)行文件是你朋友送給你賀卡，可能你打開這個文件后，確實有賀卡的畫面出現(xiàn)，但這時可能木馬已經(jīng)悄悄在

4、你的后臺運行了。一般的木馬執(zhí)行文件非常小，大都是幾K到幾十K，如果把木馬捆綁到其它正常文件上，你很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，在你執(zhí)行這些下載的文件，也同時運行了木馬。 特洛伊木馬網(wǎng)絡(luò)信息安全木馬演示使用“冰河”進行遠程控制“冰河”包含兩個程序文件，一個是服務(wù)器端，另一個是客戶端?！氨?.2”得文件列表如圖所示。網(wǎng)絡(luò)信息安全防火墻的定義防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋，如圖所示。網(wǎng)絡(luò)信息安全防火墻的定義這里所說的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。在互聯(lián)網(wǎng)上，

5、防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風險區(qū)域（Internet或有一定風險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L險區(qū)域的訪問，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖所示。Intranet防 火 墻Internet客戶機電子郵件服務(wù)器Web服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)信息安全防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈?quán)的用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點網(wǎng)絡(luò)信息安全防火墻的局限性沒有萬能的網(wǎng)絡(luò)安全技術(shù)，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻

6、擊。比如：防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網(wǎng)絡(luò)訪問權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒。網(wǎng)絡(luò)信息安全虛擬專用網(wǎng)技術(shù)簡介虛擬專用網(wǎng)(VPN)是利用現(xiàn)有的公共網(wǎng)絡(luò)環(huán)境構(gòu)建的具有安全性、獨占性、自成一體的虛擬網(wǎng)絡(luò)。它實際上是一個在互聯(lián)網(wǎng)等公用網(wǎng)絡(luò)上的一些節(jié)點的集合。這些節(jié)點之間采用了專用加密和認證技術(shù)來相互通信，好像用專線連接起來一樣。虛擬專用網(wǎng)可以在兩個異地子網(wǎng)之間建立安全的通道。 網(wǎng)絡(luò)信息安全加密技術(shù)加密是指將

7、數(shù)據(jù)進行編碼，使它成為一種按常規(guī)不可理解的形式，這種不可理解的內(nèi)容叫密文。解密是加密的逆過程，即將密文還原成原來可理解的形式。數(shù)據(jù)加密技術(shù)的關(guān)鍵元素包括加密算法和密鑰。加密算法是一組打亂和恢復數(shù)據(jù)的指令集或一個數(shù)學公式。密鑰則是算法中的可變參數(shù)。 舉例：How are youlsa evi csy。 1加密與解密 網(wǎng)絡(luò)信息安全加密技術(shù)對同樣的明文，可使用不同的加密算法。即使使用相同的加密算法，如果使用的密鑰不同也會得出不同的密文。衡量一個加密技術(shù)的可靠性，主要取決于解密過程的難度，而這取決于密鑰的長度。廣泛應(yīng)用的加密技術(shù)是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。

8、1加密與解密 網(wǎng)絡(luò)信息安全簡單的加密樸素的密碼：天王蓋地虎 -寶塔鎮(zhèn)河妖 凱撒密碼：hello - jgnnq凱撒密碼的字母對應(yīng)關(guān)系： a b c d e f g h i x y z c d e f g h I j k z a b 棋盤密碼：123451ABCDE2FGHI JK3LMNOP4QRSTU5VWXYZ網(wǎng)絡(luò)信息安全加密技術(shù)2對稱密鑰加密體制 對稱密鑰加密技術(shù)使用相同的密鑰對數(shù)據(jù)進行加密和解密，發(fā)送者和接收者用相同的密鑰。 網(wǎng)絡(luò)信息安全加密技術(shù)非對稱密鑰加密系統(tǒng)，又稱公鑰和私鑰系統(tǒng)。其特點是加密和解密使用不同的密鑰。3非對稱密鑰加密體制 網(wǎng)絡(luò)信息安全加密技術(shù)非對稱加密系統(tǒng)的關(guān)鍵是尋找

9、對應(yīng)的公鑰和私鑰，并運用某種數(shù)學方法使得加密過程不可逆，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密；反之亦然。非對稱密鑰加密的典型算法是RSA。RSA算法的理論基礎(chǔ)是數(shù)論的歐拉定律，其安全性是基于大數(shù)分解的困難性。3非對稱密鑰加密體制 網(wǎng)絡(luò)信息安全加密技術(shù)RSA的加密方法：（1）發(fā)送保密信息。發(fā)送者用接受者的公鑰加密，接受者用自己的私鑰解密。由于別人不知道接受者的私鑰，無法竊取信息。（2）確認發(fā)送者的身份。發(fā)送者用自己的私鑰加密，接受者用發(fā)送者的公鑰解密。由于別人不知道發(fā)送者的私鑰，無法發(fā)出能用其公鑰解開的信息，因此發(fā)送者無法抵賴。 3非對稱密鑰加密體制 網(wǎng)絡(luò)信息安全加密技術(shù)優(yōu)點： (

10、1)解決了密鑰管理問題，通過特有的密鑰發(fā)放體制，使得當用戶數(shù)大幅度增加時，密鑰也不會向外擴散； (2)由于密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高； (3)具有很高的加密強度。缺點：加密、解密的速度慢 3非對稱密鑰加密體制 網(wǎng)絡(luò)信息安全山東大學王小云喜摘陳嘉庚科學獎 獲30萬獎金密碼專家王小云令世界震驚 國際著名密碼學家、圖靈獎獲得者兼公鑰加密算法RSA的創(chuàng)始人Rivest：“SHA-1的破譯令人吃驚! “數(shù)字簽名的安全性在降低，這再一次提醒需要替換算法! “現(xiàn)在美國國家標準技術(shù)研究院可能需要將更新密碼的日程提前!”“中國的這幾位研究人員太瘋狂了！ “中國政府怎么可以不知道王

11、小云？！王小云破解MD5，我們白白葬送了一個致命性戰(zhàn)略武器! 網(wǎng)絡(luò)信息安全認證技術(shù)(1)數(shù)字摘要做法：數(shù)字摘要采用單向Hash函數(shù)對信息進行某種變換運算得到固定長度的摘要，并在傳輸信息時將之加入文件一同送給接收方；接收方收到文件后，用相同的方法進行變換運算得到另一個摘要；然后將自己運算得到的摘要與發(fā)送過來的摘要進行比較。這種方法可以驗證數(shù)據(jù)的完整性。 1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)(2)數(shù)字簽名 數(shù)字簽名是指發(fā)送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內(nèi)容負有責任。數(shù)字簽名綜合使用了數(shù)字摘要和非對稱加密技術(shù)，可以在保證數(shù)據(jù)

12、完整性的同時保證數(shù)據(jù)的真實性。 1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)(3)數(shù)字證書 數(shù)字證書(Digital ID) 含有證書持有者的有關(guān)信息，是在網(wǎng)絡(luò)上證明證書持有者身份的數(shù)字標識，它由認證中心(CA)頒發(fā)。CA是一個專門驗證交易各方身份的權(quán)威機構(gòu)，它向涉及交易的實體頒發(fā)數(shù)字證書。數(shù)字證書由CA做了數(shù)字簽名，任何第三方都無法修改證書內(nèi)容。交易各方通過出示自己的數(shù)字證書來證明自己的身份。 1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)數(shù)字證書的內(nèi)部格式是由CCITT X.509國際標準所規(guī)定的，它包含了以下幾點： 數(shù)字證書擁有者的姓名 數(shù)字證書擁有者

13、的公共密鑰 公共密鑰的有效期 頒發(fā)數(shù)字證書的單位 數(shù)字證書的序列號 (Serial number) 頒發(fā)數(shù)字證書單位的數(shù)字簽名 1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)數(shù)字證書的申請和簽發(fā)步驟： 申請者向某CA申請數(shù)字證書后，下載并安裝該CA的“自簽名證書”或更高級的CA向該CA簽發(fā)的數(shù)字證書，驗證CA身份的真實性。 申請者的計算機隨機產(chǎn)生一對公私密鑰。 申請者把私鑰留下，把公鑰和申請明文用CA的公鑰加密，發(fā)送給CA。 CA受理證書申請并核實申請者提交的信息. CA用自己的私鑰對頒發(fā)的數(shù)字證書進行數(shù)字簽名，并發(fā)送給申請者。 經(jīng)CA簽名過的數(shù)字證書安裝在申請方的計算機上。1常用的安全認證技術(shù)

14、網(wǎng)絡(luò)信息安全認證技術(shù)數(shù)字證書的驗證過程(以A、B雙方進行安全通信時B驗證A的數(shù)字證書為例 )： B要求A出示數(shù)字證書。 A將自己的數(shù)字證書發(fā)送給B。 B首先驗證簽發(fā)該證書的CA是否合法。 B用CA的公鑰解密A證書的數(shù)字簽名，得到A證書的數(shù)字摘要。 B用摘要算法對A的證書明文制作數(shù)字摘要。 B將兩個數(shù)字摘要進行對比。如相同，則說明A的數(shù)字證書合法。 1常用的安全認證技術(shù) 網(wǎng)絡(luò)信息安全認證技術(shù)認證中心(Certificate Authority)是承擔網(wǎng)上安全電子交易認證服務(wù)，能簽發(fā)數(shù)字證書，確認用戶身份的服務(wù)機構(gòu)。CA通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。

15、在實際運作中，CA可由大家都信任的一方擔當。CA的職能：證書發(fā)放、證書更新、證書撤銷和證書驗證。 2安全認證機構(gòu) 網(wǎng)絡(luò)信息安全設(shè)置密碼的竅門 密碼設(shè)置的禁忌：使用大寫字母和小寫字母、標點和數(shù)字的集合；在不同賬號里使用不同的密碼；有規(guī)律的更換密碼，為了容易記起要更換密碼，將它和一件事聯(lián)系起來。例如在每月的第一天或發(fā)薪日更換密碼；密碼至少要6個字符，您的密碼字符數(shù)越多，就越難被查出；使用一個方便您記憶的密碼，那么您就不必寫下來了；不要以任何形式使用您的用戶名或是注冊名；不要使用您的名字，或是家庭成員或?qū)櫸锏拿郑徊灰褂每梢暂p易猜測到的密碼（包括執(zhí)照號碼、電話號碼、身份證號碼、手機號碼、居住的街道

16、名等）。 網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息的安全風險物理風險比如自然災(zāi)害，電力供應(yīng)突然中斷，靜電、強磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風險。無意錯誤風險-是指由于人為或系統(tǒng)錯誤而影響信息的完整性、機密性和可用性。網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息的安全風險有意破壞風險指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機密性、完整性、可用性和可控性。比如：有意破壞基礎(chǔ)設(shè)施、擴散計算機病毒、電子欺騙等。 這種風險帶來的破壞一般而言是巨大的。嚴重時會引起整個系統(tǒng)的癱瘓和不可恢復。網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息的安全風險管理風險指因為口令和密鑰管理不當、制度遺漏，崗位、職責設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運行等。其它風險指

17、除上述所列舉的一些風險外，一切可能危及信息系統(tǒng)的機密性、完整性、可用性、可控性和系統(tǒng)正常運行的風險。 網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息的安全目標網(wǎng)絡(luò)層次：可靠性、可控性、可互操作性、可計算性信息層次：完整性、保密性、不可否認性設(shè)備層次：質(zhì)量保證、設(shè)備備份、物理安全經(jīng)營管理層次：人員可靠、規(guī)章制度完善網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息的安全環(huán)境社會環(huán)境三個層次：個人、組織、國家主要攻擊手段：中斷系統(tǒng)可用性刪改系統(tǒng)完整性竊取系統(tǒng)保密性偽造系統(tǒng)真實性技術(shù)環(huán)境：漏洞、后門物理自然環(huán)境網(wǎng)絡(luò)信息安全我國網(wǎng)絡(luò)信息安全管理存在的主要問題缺乏信息安全意識和明確的信息安全方針缺乏完整的信息安全管理制度；缺乏對政府工作人員進行必要的安全法律法規(guī)和防范安全風險的教育和培訓；現(xiàn)有的安全規(guī)章不能嚴格實施等。重視安全技術(shù)，輕視安全管理系統(tǒng)的運行、維護、