網(wǎng)絡(luò)信息安全概述

4.5網(wǎng)絡(luò)信息安全4.6.1概述4.6.2數(shù)據(jù)加密4.6.3數(shù)字簽名4.6.4身份鑒別與訪問(wèn)控制4.6.5防火墻與入侵檢測(cè)4.6.6計(jì)算機(jī)病毒防范4.5.1概述網(wǎng)絡(luò)信息安全受到的威脅及對(duì)策篡改sd數(shù)據(jù)被破壞，失去完整性

2保證數(shù)據(jù)完整性：所傳輸?shù)慕灰仔畔⒅型静槐淮鄹?，一旦遭到篡改很快就能發(fā)現(xiàn)

偽造sd數(shù)據(jù)(包括用戶身份)被偽造，失去真實(shí)性

3真實(shí)性鑒別：對(duì)交易雙方的身份進(jìn)行認(rèn)證，保證交易雙方的身份正確無(wú)誤

竊聽(tīng)sd數(shù)據(jù)被非法拷貝,危及數(shù)據(jù)的機(jī)密性

1數(shù)據(jù)加密：即使數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中被他人竊取，也不會(huì)泄露秘密

4防止否認(rèn)：交易完成后，應(yīng)保證交易的任何一方無(wú)法否認(rèn)已發(fā)生的交易確保信息安全的技術(shù)措施（1）真實(shí)性鑒別：對(duì)通信雙方的身份和所傳送信息的真?zhèn)文軠?zhǔn)確地進(jìn)行鑒別（2）訪問(wèn)控制：控制用戶對(duì)信息等資源的訪問(wèn)權(quán)限，防止未經(jīng)授權(quán)使用資源

（3）數(shù)據(jù)加密：保護(hù)數(shù)據(jù)秘密，未經(jīng)授權(quán)其內(nèi)容不會(huì)顯露（4）保證數(shù)據(jù)完整性：保護(hù)數(shù)據(jù)不被非法修改，使數(shù)據(jù)在傳送前、后保持完全相同（5）保證數(shù)據(jù)可用性：保護(hù)數(shù)據(jù)在任何情況（包括系統(tǒng)故障）下不會(huì)丟失（6）防止否認(rèn)：防止接收方或發(fā)送方抵賴（7）審計(jì)管理：監(jiān)督用戶活動(dòng)、記錄用戶操作等4.5.2數(shù)據(jù)加密數(shù)據(jù)加密的基本概念加密前的原始數(shù)據(jù)加密后的數(shù)據(jù)只有收/發(fā)方知道的用于加密和解密的信息密碼(cipher):將明文與密文進(jìn)行相互轉(zhuǎn)換的算法解密后恢復(fù)的數(shù)據(jù)目的：即使被竊取，也能保證數(shù)據(jù)安全重要性：數(shù)據(jù)加密是其他信息安全措施的基礎(chǔ)基本概念：加密算法的基本思想改變明文中符號(hào)的排列，或按照某種規(guī)律置換明文中的符號(hào)例1移位式‘helpme’變成‘ehplem’

例2替代式(愷撒密碼)：phhwphdiwhuwkhfodvv將文本中每個(gè)英文字母替換為字母表中排列在其后的第k1個(gè)字母meetmeaftertheclassk1=3meetmeaftertheclass將文本中每個(gè)英文字母替換為字母表中排列在其前的第k2個(gè)字母K2=3abcdefghijklmdefghijklmnopnopqrstuvwxyzqrstuvwxyzabcabcdefghijklmxyzabcdefghijnopqrstuvwxyzklmnopqrstuvw對(duì)稱密鑰加密方法特點(diǎn)：加密的密鑰也用于解密密鑰越長(zhǎng)，安全性越好計(jì)算量適中，速度快，適用于對(duì)大數(shù)據(jù)量消息加密明文明文密文加密解密密鑰K1密鑰K2（數(shù)據(jù)傳輸）密鑰K1=K2對(duì)稱密鑰加密方法的標(biāo)準(zhǔn)DES算法（密鑰長(zhǎng)度56位）：共有256＝7.2×1016種可能，1998年使用窮舉法僅花費(fèi)了22小時(shí)15分鐘就攻破DES現(xiàn)在廣泛使用AES(高級(jí)加密標(biāo)準(zhǔn))，其密鑰長(zhǎng)度為：128、192或256位計(jì)算安全性(Computationally)破解的代價(jià)超過(guò)了消息本身的價(jià)值破解的時(shí)間超過(guò)了消息本身的有效期非對(duì)稱密鑰加密方法——公鑰加密使用乙的公鑰加密甲乙密文乙丙丁戊使用乙的私鑰解密加密器解密器明文明文甲的公鑰環(huán)使用一對(duì)不相同的密鑰：私鑰只有本人知道，公鑰可讓其他用戶知道甲方使用乙的公鑰進(jìn)行加密乙方利用自己的私鑰解密使用公鑰無(wú)法恢復(fù)明文，也無(wú)法推斷出私鑰乙用私鑰加密的消息，甲只有使用乙的公鑰才能解密只要密鑰長(zhǎng)度足夠長(zhǎng)，用RSA加密的信息目前還不能被破解網(wǎng)上銀行使用的RSA算法，其密鑰長(zhǎng)度為1024或2048位選講：

公鑰加密舉例（RSA算法）產(chǎn)生密鑰對(duì)：選擇兩個(gè)素?cái)?shù)p和q,且pq計(jì)算：n=pq,z=(p-1)(q-1)選擇一個(gè)比z小的整數(shù)e,使得e和z互質(zhì)計(jì)算d，使得ed-1能被z整除于是公鑰為：{e,n}私鑰為：{d,n}使用：加密:C=Memodn解密:M=Cdmodn選擇:p=5,q=7計(jì)算：n=35,z=24選擇:e=5,5和24互質(zhì)選擇：d=29,

(因?yàn)?5x29-1)/24=0)于是公鑰為：{5,35}私鑰為：{29,35}使用舉例：設(shè)明文中的字母為L(zhǎng)，即M=12加密:C=125mod35=17解密:M=1729mod35=12z稱為n的Euler數(shù)由于n=pq是公開(kāi)的，所以，為了防止攻擊者利用n推算出p和q，必須選擇足夠大的素?cái)?shù)p和q，使n達(dá)到1024位以上，才能不被破解n為6bits4.5.3數(shù)字字簽簽名名用于于認(rèn)認(rèn)證證消消息息的的真真實(shí)實(shí)性性消息息認(rèn)認(rèn)證證(MessageAuthentication)在通通信信過(guò)過(guò)程程中中，，應(yīng)應(yīng)防防止止發(fā)發(fā)生生：：偽造造消消息息（（無(wú)無(wú)中中生生有有））■竄改改消消息息內(nèi)內(nèi)容容消息息認(rèn)認(rèn)證證：對(duì)對(duì)收收到到的的消消息息進(jìn)進(jìn)行行驗(yàn)驗(yàn)證證，，驗(yàn)驗(yàn)證證它它確確實(shí)實(shí)來(lái)來(lái)自自聲聲稱稱的的發(fā)發(fā)送送方方(消息息的的真實(shí)實(shí)性性)，且且沒(méi)沒(méi)有有被被修修改改過(guò)過(guò)(消息息的的完整整性性)常規(guī)規(guī)解解決決方方案案：：簽字字蓋蓋章章，，人人工工檢檢驗(yàn)驗(yàn)有有無(wú)無(wú)涂涂改改跡跡象象與被被簽簽文文件件在在物物理理上上不不可可分分割割簽名名者者不不能能否否認(rèn)認(rèn)自自己己的的簽簽名名簽名名不不能能被被偽偽造造計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)的的解解決決方方案案：：數(shù)字字簽簽名名什么么是是數(shù)數(shù)字字簽簽名名？？數(shù)字字簽簽名名的的含含義義：：數(shù)字字簽簽名名是是與與消消息息一一起起發(fā)發(fā)送送的的一一串串代碼碼，它它無(wú)無(wú)法法偽偽造造，，并并能能發(fā)發(fā)現(xiàn)現(xiàn)消消息息內(nèi)內(nèi)容容的的任任何何變變化化數(shù)字字簽簽名名的的目目的的：：讓對(duì)對(duì)方方相相信信消消息息的的真實(shí)實(shí)性性數(shù)字字簽簽名名的的用用途途：：在電子子商商務(wù)務(wù)和和電電子子政政務(wù)務(wù)中中用用來(lái)來(lái)鑒鑒別別消消息息的的真真?zhèn)蝹螌?duì)數(shù)數(shù)字字簽簽名名的的要要求求：：無(wú)法法偽偽造造能發(fā)發(fā)現(xiàn)現(xiàn)消消息息內(nèi)內(nèi)容容的的任任何何變變化化數(shù)字字簽簽名名的的處處理理過(guò)過(guò)程程hashing摘要消息正文私鑰加密數(shù)字簽名添加至正文附有數(shù)字簽名的消息數(shù)字簽名①②③傳送對(duì)原始消息的正文進(jìn)行散列處理生成消息的摘要使用消息發(fā)送人的私鑰對(duì)摘要進(jìn)行加密而得到數(shù)字簽名接收方使用發(fā)送方的公鑰對(duì)數(shù)字簽名解密恢復(fù)出消息摘要對(duì)收到的原始消息正文進(jìn)行散列處理得到一個(gè)新的摘要對(duì)比附有數(shù)字簽名的消息數(shù)字簽名網(wǎng)絡(luò)傳送給接收方將數(shù)字簽名添加到原始消息④⑤⑥⑦數(shù)字簽名正確消息未被篡改數(shù)字字簽簽名名中中的的雙雙重重加加密密用接接收收方方的的公公鑰鑰對(duì)對(duì)已已添添加加了了數(shù)數(shù)字字簽簽名名的的消消息息再再進(jìn)進(jìn)行行加加密密用接接收收方方的的私私鑰鑰對(duì)對(duì)接接收收的的消消息息解解密密并并取取出出數(shù)數(shù)字字簽簽名名用發(fā)送送方的的私鑰鑰加密密信息息摘要要，得得到數(shù)數(shù)字簽簽名用發(fā)送送方的的公鑰鑰解密密數(shù)字字簽名名，得得到信信息摘摘要4.5.4身份鑒鑒別與與訪問(wèn)問(wèn)控制制身份鑒鑒別(認(rèn)證證)身份鑒鑒別的的含義義:證實(shí)某某人的的真實(shí)實(shí)身份份是否否與其其所聲聲稱的的身份份相符符,以防止止欺詐詐和假假冒什么時(shí)時(shí)候進(jìn)進(jìn)行?在用戶戶登錄錄某個(gè)個(gè)系統(tǒng)統(tǒng)，或或者在在訪問(wèn)問(wèn)/傳送重重要消消息時(shí)時(shí)進(jìn)行行身份鑒鑒別的的依據(jù)據(jù)(方法):鑒別對(duì)對(duì)象本本人才才知道道的信信息(如口令、私鑰鑰、身身份證證號(hào)等等)鑒別對(duì)對(duì)象本本人才才具有有的信信物(例如磁磁卡、、IC卡、USB鑰匙等等)鑒別對(duì)對(duì)象本本人才才具有有的生生理特特征(例如指指紋、、手紋紋等)通常在在注冊(cè)冊(cè)時(shí)記記錄在在案口令（（密碼碼）容容易被被猜、、被盜盜、被被偷窺窺，電電腦中中植入入的木木馬程程序會(huì)會(huì)記錄錄操作作者的的鍵入入數(shù)據(jù)據(jù)，發(fā)發(fā)送給給黑客客進(jìn)行行分析析，以以查找找密碼碼雙因素素認(rèn)證證（口口令+磁卡，，口令令+U盾）大大大提提高了了安全全性?。∵x講：：例：網(wǎng)網(wǎng)上銀銀行的的身份份認(rèn)證證/信息安安全網(wǎng)上銀銀行：：使用用因特特網(wǎng)完完成銀銀行的的各種種金融融服務(wù)務(wù)，如如賬戶戶查詢?cè)儭⑥D(zhuǎn)轉(zhuǎn)賬、、網(wǎng)上上支付付等網(wǎng)上銀銀行的的組成成：客戶端端：電電腦(手機(jī))，以及及USBKey、口令令卡等等通信網(wǎng)網(wǎng)絡(luò)：：使用用HTTPS協(xié)議保保證傳傳輸過(guò)過(guò)程中中不被被竊聽(tīng)聽(tīng)服務(wù)器器：高高效和和安全全地處處理各各種網(wǎng)網(wǎng)上銀銀行業(yè)業(yè)務(wù)網(wǎng)上銀銀行用用戶身身份認(rèn)認(rèn)證的的3種方式式：用戶名名+口令（（僅適適合賬賬戶查查詢））用戶名名+口令+文件證證書(shū)（（數(shù)字字證書(shū)書(shū)在瀏瀏覽器器中））用戶名名+口令+USB證書(shū)（（數(shù)字證證書(shū)在在U盾中）選講：：數(shù)字證證書(shū)數(shù)字證證書(shū)是是一組組數(shù)據(jù)據(jù)構(gòu)成成的電電腦文文件，，包含含用戶戶的身身份信信息、、頒證證機(jī)構(gòu)構(gòu)、有有效期期及一一個(gè)公公鑰。。憑借借數(shù)字字證書(shū)書(shū)，擁?yè)碛腥巳丝稍谠诨ヂ?lián)聯(lián)網(wǎng)交交往中中互相相識(shí)別別對(duì)方方的身身分，，確保保信息息安全全數(shù)字證證書(shū)從從數(shù)字字證書(shū)書(shū)認(rèn)證證中心心（CA中心））獲得得，獲獲得的的證書(shū)書(shū)可存存放在在：瀏瀏覽器器、U盾、IC卡中數(shù)字證證書(shū)用用途：：證實(shí)用用戶身身份驗(yàn)證網(wǎng)網(wǎng)站(或軟件件)是否可可信進(jìn)行數(shù)數(shù)字簽簽名，，確保保通信信真實(shí)實(shí)、不不可抵抵賴選講：：U盾(USBKey)U盾外形形像U盤(pán)，它它包含含有嵌嵌入式式處理理器與與數(shù)字證證書(shū)等嵌入式式處理理器負(fù)負(fù)責(zé)進(jìn)進(jìn)行數(shù)數(shù)據(jù)加加密/解密和和數(shù)字字簽名名處理理，采采用1024位非對(duì)對(duì)稱RSA加密算算法，它為為為用用戶產(chǎn)產(chǎn)生一一個(gè)私私鑰(唯一序序列號(hào)號(hào))U盾使用用前需需把權(quán)權(quán)威機(jī)機(jī)構(gòu)(CA中心)頒發(fā)的的數(shù)字字證書(shū)書(shū)下載載到U盾中，，數(shù)字字證書(shū)書(shū)包含含有客客戶身身份信信息及及相應(yīng)應(yīng)的公公鑰U盾在使使用網(wǎng)網(wǎng)上銀銀行進(jìn)進(jìn)行交交易時(shí)時(shí)的2個(gè)作用用：使用U盾中的的數(shù)字字證書(shū)書(shū)進(jìn)行行用戶戶身份份認(rèn)證證借助嵌嵌入式式處理理器對(duì)對(duì)交易易數(shù)據(jù)據(jù)進(jìn)行行數(shù)字字簽名名，確確保信信息不不被篡篡改和和交易易不可可抵賴賴選講：：例：網(wǎng)網(wǎng)上銀銀行交交易過(guò)過(guò)程1客戶輸輸入本本人賬賬號(hào)、、口令令，登登錄網(wǎng)網(wǎng)上銀銀行，，選擇擇匯款款操作作2輸入收收款人人賬號(hào)號(hào)、姓姓名、、開(kāi)戶戶行名名稱、、匯款款金額額等數(shù)數(shù)據(jù)（（明文文）3插入U(xiǎn)盾，輸輸入U(xiǎn)盾口令令啟動(dòng)動(dòng)U盾工作作，銀銀行服服務(wù)器器驗(yàn)證證U盾中的的證書(shū)書(shū)，確確認(rèn)客客戶身身份（（需查查詢證證書(shū)有有效期期和是是否列列入黑黑名單單），，取得得客戶戶的公公鑰4U盾使用用客戶戶的私私鑰對(duì)對(duì)上述述匯款款信息息進(jìn)行行數(shù)字字簽名名，附附加于于匯款款信息息5U盾隨機(jī)機(jī)產(chǎn)生生一個(gè)個(gè)密鑰鑰，使使用對(duì)對(duì)稱密密鑰加加密算算法對(duì)對(duì)匯款款信息息和數(shù)數(shù)字簽簽名進(jìn)進(jìn)行加加密，，形成成交易易密文文6U盾使用用銀行行的公公鑰對(duì)對(duì)隨機(jī)機(jī)產(chǎn)生生的密密鑰進(jìn)進(jìn)行加加密，，然后后隨同同交易易密文文一起起發(fā)送送給銀銀行7銀行接接收到到信息息后使使用銀銀行自自己的的私鑰鑰進(jìn)行行解密密，得得到客客戶端端隨機(jī)機(jī)產(chǎn)生生的對(duì)對(duì)稱密密鑰8銀行使使用對(duì)對(duì)稱密密鑰對(duì)對(duì)交易易密文文解密密，得得到匯匯款數(shù)數(shù)據(jù)的的明文文和附附加的的數(shù)字字簽名名9銀行使使用客客戶的的公鑰鑰對(duì)數(shù)數(shù)字簽簽名進(jìn)進(jìn)行驗(yàn)驗(yàn)證，，若正正確則則進(jìn)行行匯款款處理理，否否則拒拒絕交交易，，通知知客戶戶選講：：使用網(wǎng)網(wǎng)銀安安全須須知1、盡量量使用用各大大銀行行提供供的安安全系系數(shù)高高的方方式進(jìn)進(jìn)行網(wǎng)網(wǎng)銀操操作2、采用用文件件證書(shū)書(shū)時(shí)，，證書(shū)書(shū)文件件不要要備份份存在在電腦腦中3、U盾網(wǎng)銀銀用戶戶，在在每次次完成成網(wǎng)銀銀操作作后，，要盡盡快拔拔下U盾4、安裝裝安全全軟件件并定定期進(jìn)進(jìn)行打打補(bǔ)丁丁和查查殺，，封堵堵住木木馬入入侵的的通道道，確確保電電腦中中沒(méi)有有木馬馬。5、避免免在網(wǎng)網(wǎng)吧等等公用用電腦腦上使使用網(wǎng)網(wǎng)銀6、為網(wǎng)網(wǎng)銀設(shè)設(shè)置專(zhuān)專(zhuān)門(mén)的的密碼碼，不不使用用簡(jiǎn)單單密碼碼7、切勿勿通過(guò)過(guò)鏈接接或網(wǎng)網(wǎng)上搜搜索引引擎登登錄網(wǎng)網(wǎng)上銀銀行8、登入入網(wǎng)上上銀行行前，，先關(guān)關(guān)閉其其他所所有瀏瀏覽器器窗口口保護(hù)好銀行卡卡號(hào)、登錄密密碼、U盾和和U盾密碼，，千萬(wàn)不能同同時(shí)丟失！選講：無(wú)線路由器的的信息安全避免他人“蹭蹭網(wǎng)”：身份認(rèn)證，使使用有一定強(qiáng)強(qiáng)度的口令（（密碼）關(guān)閉SSID廣播使用“MAC地址過(guò)濾”來(lái)來(lái)限制他人連連接增強(qiáng)數(shù)據(jù)通信信安全：WEP加密WPA加密WPA2加密個(gè)人模式（WPA-PSK/WPA2-PSK）企業(yè)模式（WPA/WPA2）修改設(shè)置路由由器的默認(rèn)口口令弱強(qiáng)什么是訪問(wèn)控控制?訪問(wèn)控制的含含義:計(jì)算機(jī)對(duì)系統(tǒng)統(tǒng)內(nèi)的每個(gè)信信息資源規(guī)定定各個(gè)用戶(組)對(duì)它的操作權(quán)權(quán)限（是否可可讀、是否可可寫(xiě)、是否可可修改等）訪問(wèn)控制是在在身份鑒別的的基礎(chǔ)上進(jìn)行行的訪問(wèn)控制的任任務(wù):對(duì)所有信息資資源進(jìn)行集中中管理對(duì)信息資源的的控制沒(méi)有二二義性（各種種規(guī)定互不沖沖突）有審計(jì)功能（（記錄所有訪訪問(wèn)活動(dòng),事后可以核查查）文件的訪問(wèn)控控制舉例用戶功能讀寫(xiě)編輯刪除轉(zhuǎn)發(fā)打印復(fù)制董事長(zhǎng)√√√√

√√

√總經(jīng)理√

√√

√科長(zhǎng)√

√√

組長(zhǎng)√√√

√

···

4.5.5防火墻與入侵侵檢測(cè)網(wǎng)絡(luò)會(huì)遭受多多種攻擊網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門(mén)、隱蔽通道蠕蟲(chóng)因特網(wǎng)防火墻墻什么是因特網(wǎng)網(wǎng)防火墻(Internetfirewall)?用于將因特網(wǎng)網(wǎng)的子網(wǎng)（最最小子網(wǎng)是1臺(tái)計(jì)算機(jī)）與與因特網(wǎng)的其其余部分相隔隔離,以維護(hù)網(wǎng)絡(luò)信信息安全的一一種軟件或硬硬件設(shè)備防火墻的原理理:防火墻對(duì)流經(jīng)經(jīng)它的信息進(jìn)進(jìn)行掃描，確確保進(jìn)入子網(wǎng)網(wǎng)和流出子網(wǎng)網(wǎng)的信息的合合法性，它還還能過(guò)濾掉黑黑客的攻擊，，關(guān)閉不使用用的端口，禁禁止特定端口口流出信息,等等防火墻因特網(wǎng)包過(guò)濾器內(nèi)部網(wǎng)入侵檢測(cè)入侵檢測(cè)（IntrusionDetection）是主動(dòng)保護(hù)護(hù)系統(tǒng)免受攻攻擊的一種網(wǎng)網(wǎng)絡(luò)安全技術(shù)術(shù)原理：通過(guò)在在網(wǎng)絡(luò)若干關(guān)關(guān)鍵點(diǎn)上監(jiān)聽(tīng)聽(tīng)和收集信息息并對(duì)其進(jìn)行行分析，從中中發(fā)現(xiàn)問(wèn)題，，及時(shí)進(jìn)行報(bào)報(bào)警、阻斷和和審計(jì)跟蹤入侵檢測(cè)是防防火墻的有效效補(bǔ)充：可檢測(cè)來(lái)自內(nèi)內(nèi)部的攻擊和和越權(quán)訪問(wèn)，，防火墻只能能防外可以有效防范范利用防火墻墻開(kāi)放的服務(wù)務(wù)進(jìn)行的入侵侵4.5.6計(jì)算機(jī)病毒防防范什么是計(jì)算機(jī)機(jī)病毒?計(jì)算機(jī)病毒是是有人蓄意編制的一種具具有自我復(fù)制制能力的、寄寄生性的、破破壞性的計(jì)算機(jī)程序計(jì)算機(jī)病毒能能在計(jì)算機(jī)中中生存，通過(guò)過(guò)自我復(fù)制進(jìn)進(jìn)行傳播，在在一定條件下下被激活，從從而給計(jì)算機(jī)機(jī)