信息安全基礎

信息安全基礎第一頁，共七十九頁，2022年，8月28日第2/70頁了解信息安全的基本概念了解主要的信息安全技術了解什么是計算機病毒了解網(wǎng)絡道德和有關法規(guī)教學目標信息安全概述第二頁，共七十九頁，2022年，8月28日第3/70頁10.1信息安全概述信息安全信息安全基本概念國內(nèi)外信息安全標準問題的提出第三頁，共七十九頁，2022年，8月28日第4/70頁問題的提出信息、物質(zhì)和能源乃人類賴以生存的三大資源之一，信息資源的安全已經(jīng)成為直接關系到國家安全的戰(zhàn)略問題。什么是信息安全？信息安全涉及哪些問題？有哪些主要的信息安全技術？什么是計算機病毒及如何防治？有哪些信息安全的法規(guī)和道德規(guī)范？Internet日益重要第四頁，共七十九頁，2022年，8月28日第5/70頁EmailWebISP門戶網(wǎng)站E-Commerce電子交易復雜程度時間Internet變得越來越重要安全問題日益突出電子商務第五頁，共七十九頁，2022年，8月28日第6/70頁混合型威脅(RedCode,Nimda)拒絕服務攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量網(wǎng)絡安全問題日益突出安全的概念第六頁，共七十九頁，2022年，8月28日第7/70頁安全的重要性平均每起計算機案件45萬美元美國損失幾千億美元德國每年50多億美元英國25億/年計算機安全落后5－10年安全的實例第七頁，共七十九頁，2022年，8月28日第8/70頁信息安全概述“安全”基本含義可以解釋為：客觀上不存在威脅，主觀上不存在恐懼。目前狀況下，“信息安全嗎？？？”簡單問題：若想讓E-mail內(nèi)容不為旁人所知，能否做到？復雜問題：網(wǎng)上購物，涉及高金額，你敢為之嗎？安全的重要性第八頁，共七十九頁，2022年，8月28日第9/70頁

信息是社會發(fā)展的重要戰(zhàn)略資源。網(wǎng)絡信息安全已成為急待解決、影響國家大局和長遠利益的重大關鍵問題，信息安全保障能力是21世紀綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分，是世紀之交世界各國在奮力攀登的制高點。網(wǎng)絡信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)濟、文化、社會生活的各個方面，使國家處于信息戰(zhàn)和高度經(jīng)濟金融風險的威脅之中。

---沈昌祥院士信息安全專家安全重要性數(shù)據(jù)第九頁，共七十九頁，2022年，8月28日第10/70頁信息安全的例子2002年，境外法輪功分子攻擊鑫諾衛(wèi)星，造成中央電視臺和數(shù)家省級電視臺信號中斷的惡性事故。1988年，美國康乃爾大學研究生莫里斯利用一種蠕蟲病毒對美國國防部的計算機系統(tǒng)發(fā)難，造成連接美國國防部、美軍軍事基地、宇航局和研究機構的6000多臺計算機癱瘓數(shù)日，損失達上億美元。莫里斯破譯了專家耗費多年沒能解開的DES密碼，植入了自己編寫的病毒程序。這種病毒，按理論上的傳播速度，只需繁殖5次，就足以讓全世界所有計算機像多米諾骨牌一樣，一損俱損，全部遇難。病毒槍第十頁，共七十九頁，2022年，8月28日第11/70頁病毒槍美國國防部正在研究一種計算機病毒槍，它可以直接向飛機、坦克、艦艇、導彈及指揮系統(tǒng)發(fā)射帶病毒的電磁波，使其計算機系統(tǒng)無法正常工作而喪失戰(zhàn)斗力。聲稱，一旦研制成功，對付象“米格-33”、“蘇-37”這樣的一流戰(zhàn)機，只需10秒種就能將其變成廢銅爛鐵。病毒芯片第十一頁，共七十九頁，2022年，8月28日第12/70頁病毒芯片海灣戰(zhàn)爭期間，美國特工得知伊拉克軍隊防空指揮系統(tǒng)要從法國進口一批電腦，便將帶有計算機病毒的芯片隱蔽植入防空雷達的打印機中。美國在大規(guī)模戰(zhàn)略空襲發(fā)起前，通過無線遙控方式激活病毒使其發(fā)作，結果造成伊軍防空預警、指揮系統(tǒng)和火控系統(tǒng)都陷入癱瘓。C4I第十二頁，共七十九頁，2022年，8月28日第13/70頁美國海軍的作戰(zhàn)指揮系統(tǒng)C4I這是一次叫美國五角大樓的決策者們驚出一身冷汗的演習。1995年9月，美軍組織了一次旨在奪取大西洋艦隊控制權的“聯(lián)合勇士號演習”，結果是：僅用一臺普通的筆記本電腦，就奪取了大西洋艦隊的控制權。在演習中，一名海軍信息站專家通過一根電話線將電腦連接到C4I系統(tǒng)中，然后將調(diào)動軍艦的密碼指令，隱藏在電子郵件中發(fā)送到艦隊的各個戰(zhàn)艦。就這樣，整個艦隊在沒有艦隊司令指揮的情況下各奔東西，駛離戰(zhàn)區(qū)，瓦解了該戰(zhàn)斗集群的戰(zhàn)斗力。黑客行動第十三頁，共七十九頁，2022年，8月28日第14/70頁黑客行動1992年2月，據(jù)英國媒體報道，幾名英國電腦黑客通過計算機網(wǎng)絡控制了英國的一顆軍事衛(wèi)星，并向英國政府索取巨額贖金，他們聲稱，可以將這顆對于英國軍隊至關重要的衛(wèi)星變?yōu)榭罩欣：硲?zhàn)爭前夕，幾個荷蘭電腦黑客曾向薩達姆開價100萬美元，要搞亂美國和沙特之間的后勤情報網(wǎng)，破壞美軍向中東部署部隊的行動。但被薩達姆拒絕了。否則海灣戰(zhàn)爭的戰(zhàn)局有可能改寫?！疤蓐牎北O(jiān)聽系統(tǒng)第十四頁，共七十九頁，2022年，8月28日第15/70頁美國“梯隊”全球監(jiān)聽網(wǎng)為了監(jiān)聽全球信息，美英聯(lián)合建立了代號為“梯隊”的全球監(jiān)聽網(wǎng)，每天可以窺探全世界30億個電話、電報、文件以及電子郵件的內(nèi)容。2001年該監(jiān)聽網(wǎng)被曝光。美國聯(lián)邦調(diào)查局為了監(jiān)視世界各地通過美國網(wǎng)絡樞紐傳遞的電子郵件，構建了代號為“食肉獸”的電子郵件監(jiān)視系統(tǒng)。該系統(tǒng)安裝在互聯(lián)網(wǎng)內(nèi)容提供商的網(wǎng)站中，其速度可以快到每秒鐘監(jiān)視處理數(shù)百萬計的電子郵件。信息虛假第十五頁，共七十九頁，2022年，8月28日第16/70頁

散布虛假、有害信息對社會秩序造成極大的危害1999年4月，河南商都熱線一個BBS，一張說“交通銀行鄭州支行行長攜巨款外逃”的帖子，使得三天內(nèi)十萬人上街排隊，提取了十個億現(xiàn)金，造成了社會的動蕩。非法入侵第十六頁，共七十九頁，2022年，8月28日第17/70頁非法入侵英國電腦奇才貝文，14歲就成功非法侵入英國電信公司電腦系統(tǒng)，大打免費電話。后來他出、入世界上防范最嚴密的系統(tǒng)如入無人之境，如美國空軍、美國宇航局和北約的網(wǎng)絡。1996年因涉嫌侵入美國空軍指揮系統(tǒng)，被美國中央情報局指控犯有非法入侵罪。2000年6月，上海某信息網(wǎng)的工作人員在例行檢查時，發(fā)現(xiàn)網(wǎng)絡遭黑客襲擊。經(jīng)調(diào)查，該黑客曾多次侵入網(wǎng)絡中的8臺服務器，破譯了大多數(shù)工作人員和500多個合法用戶的賬號和密碼。（據(jù)悉，該楊某是國內(nèi)某著名高校計算數(shù)學專業(yè)研究生。）信息安全第十七頁，共七十九頁，2022年，8月28日第18/70頁信息安全沈偉光教授指出“信息安全是指人類信息空間和資源的安全”。信息安全威脅主要來自三個方面：⑴信息基礎設施⑵信息資源⑶信息管理（基于信息的特征）信息安全將面臨上述三個方面的挑戰(zhàn)。第十八頁，共七十九頁，2022年，8月28日第19/70頁信息安全的含義包含如下方面：1.信息的可靠性信息的可靠性是網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。可靠性是系統(tǒng)安全的最基本要求之一，是所有網(wǎng)絡信息系統(tǒng)的建設和運行目標。2.信息的可用性信息的可用性是網(wǎng)絡信息可被授權實體訪問并按需求使用的特性。即網(wǎng)絡信息服務在需要時，允許授權用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性?？捎眯允蔷W(wǎng)絡信息系統(tǒng)面向用戶的安全性能。第十九頁，共七十九頁，2022年，8月28日第20/70頁3.信息的保密性信息的保密性是網(wǎng)絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄露給非授權個人或?qū)嶓w，信息只為授權使用的特性。保密性是在可靠性和可用性基礎之上，保障網(wǎng)絡信息安全的重要手段。4.信息的完整性信息的完整性是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性。即網(wǎng)絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、正確存儲和傳輸。第二十頁，共七十九頁，2022年，8月28日第21/70頁5.信息的不可抵賴性信息的不可抵賴性也稱作不可否認性。在網(wǎng)絡信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的信息。6.信息的可控性信息的可控性是對信息的傳播及內(nèi)容具有控制能力的特性。除此以外，信息安全還包括鑒別、審計追蹤、身份認證、授權和訪問控制、安全協(xié)議、密鑰管理、可靠性等。第二十一頁，共七十九頁，2022年，8月28日第22/70頁信息安全的保障體系

圖11-1信息安全的保障體系

第二十二頁，共七十九頁，2022年，8月28日第23/70頁

1.保護（Protect）采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認性。

2.檢測（Detect）利用技術提供的工具檢查系統(tǒng)存在的可能提供黑客攻擊、計算機犯罪、病毒泛濫脆弱性。

3.反應（React）對危及安全的事件、行為、過程及時作出響應處理，杜絕危害的進一步蔓延擴大，力求系統(tǒng)尚能提供正常服務。

4.恢復（Restore）一旦系統(tǒng)遭到破壞，盡快恢復系統(tǒng)功能，盡早提供正常的服務。第二十三頁，共七十九頁，2022年，8月28日第24/70頁信息系統(tǒng)的安全保護等級信息系統(tǒng)的安全保護等級分為以下五級：1、第一級為自主保護級適用于一般的信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。2、第二級為指導保護級適用于一般的信息系統(tǒng)，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全。第二十四頁，共七十九頁，2022年，8月28日第25/70頁

3、第三級為監(jiān)督保護級適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。

4、第四級為強制保護級適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害。

5、第五級為專控保護級適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。第二十五頁，共七十九頁，2022年，8月28日第26/70頁信息安全研究的四個層面1.信息系統(tǒng)的可靠性以系統(tǒng)容錯、數(shù)據(jù)備份等技術為主，目前主要研究的是容錯技術。系統(tǒng)的可靠性、數(shù)據(jù)備份是十分重要的。2.信息系統(tǒng)本身的問題主要包括硬件和軟件兩個方面。硬件特別是CPU芯片，軟件方面主要集中在操作系統(tǒng)安全和系統(tǒng)軟件安全（比如數(shù)據(jù)庫系統(tǒng)安全）的研究。

第二十六頁，共七十九頁，2022年，8月28日第27/70頁3.網(wǎng)絡安全技術網(wǎng)絡通信中常常存在著信息泄露、網(wǎng)絡控制信息的篡改、抵賴等隱患。4.數(shù)據(jù)或信息的安全保護主要指數(shù)據(jù)的安全或者信息的安全，它主要的研究內(nèi)容是密碼理論與技術、認證識別理論與技術、授權與訪問控制理論與技術、反病毒技術等。安全威脅示意圖第二十七頁，共七十九頁，2022年，8月28日第28/70頁信息安全潛在威脅及相互關系

信息泄漏完整性破壞拒絕服務非法使用竊聽業(yè)務流分析電磁／射頻截獲人員疏忽媒體清理假冒旁路控制授權侵犯物理侵入特洛伊木馬陷門業(yè)務欺騙竊取截獲/修改否認信息泄漏完整性破壞竊取重放資源耗盡完整性破壞計算機安全第二十八頁，共七十九頁，2022年，8月28日第29/70頁計算機安全國際標準化組織（ISO）定義

“所謂計算機安全，是指為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄密。”這里包含了兩方面內(nèi)容：

物理安全指計算機系統(tǒng)設備受到保護，免于被破壞、丟失等；

邏輯安全指保障計算機信息系統(tǒng)的安全，即保障計算機中處理信息的完整性、保密性和可用性。網(wǎng)絡安全第二十九頁，共七十九頁，2022年，8月28日第30/70頁網(wǎng)絡安全網(wǎng)絡安全問題從本質(zhì)上講是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全具有4個特征：保密性指信息不泄露給非授權用戶或供其利用的特征。完整性指數(shù)據(jù)未經(jīng)授權不能進行改變的特征?？捎眯灾缚杀皇跈嘤脩粼L問并按需求使用的特征。可控性指對信息的傳播及內(nèi)容具有控制能力的特征。網(wǎng)絡安全需求第三十頁，共七十九頁，2022年，8月28日第31/70頁網(wǎng)絡安全需求

應用環(huán)境

需求

所有網(wǎng)絡阻止外部的入侵(黑客)

銀行避免欺詐或交易的意外修改/識別零售交易的顧客保護個人識別號(PIN)以免泄漏/確保顧客的秘密

電子交易確保交易的起源和完整性/保護共同的秘密/為交易提供合法的電子簽名

政府避免無密級而敏感的信息的未授權泄漏或修改/為政府文件提供電子簽名公共電信載體對授權的個人限制訪問管理功能避免服務中斷/保護用戶的秘密互聯(lián)/專用網(wǎng)絡保護團體/個人秘密/確保消息的真實性網(wǎng)絡安全威脅第三十一頁，共七十九頁，2022年，8月28日第32/70頁典型的網(wǎng)絡安全威脅

威脅

描述授權侵犯為某一特定目的的授權，使用一個系統(tǒng)的人卻將該系統(tǒng)用作其他未授權的目的旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性拒絕服務對信息或其它資源的合法訪問被無條件的拒絕或推遲竊聽信息從被監(jiān)視的通信過程中泄露出去電磁射頻截獲信息從電子機電設備所發(fā)出的無線射頻或其它電磁場輻射中被提取非法使用資源被未授權人或以未授權方式使用人員疏忽授權人為了利益或粗心將信息泄露給未授權人信息泄漏信息被泄露或暴漏給某個未授權的實體完整性破壞數(shù)據(jù)的一致性通過對數(shù)據(jù)進行未授權的創(chuàng)建、修改或破壞而受到破壞截獲／修改某一通信數(shù)據(jù)項在傳輸過程中被改變、刪除或替代假冒一個實體假裝成另一個不同的實體網(wǎng)絡安全威脅_續(xù)第三十二頁，共七十九頁，2022年，8月28日第33/70頁典型的網(wǎng)絡安全威脅（cont.）

威脅

描述

媒體清理信息被從廢棄的或打印過的媒體中獲得

物理侵入入侵者通過繞過物理控制而獲得對系統(tǒng)的訪問

重放出于非法目的而重新發(fā)送截獲的合法通信數(shù)據(jù)項的拷貝

否認參與某次通信交換的一方，事后錯誤的否認曾經(jīng)發(fā)生過此次交換

資源耗盡某一資源被故意超負荷使用，導致其他用戶服務被中斷

服務欺騙某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶，或系統(tǒng)自愿的放棄敏感信息

竊取某一安全攸關的物品（令牌或身份卡）被盜業(yè)務流分析通過對通信業(yè)務流模式進行觀察（有，無，數(shù)量，方向，頻率等），而造成信息被泄露給未授權的實體

陷門將某一“特征”設立于某個系統(tǒng)或系統(tǒng)部件中，使得在提供特定的輸入數(shù)據(jù)時，允許違反安全策略特洛伊木馬含有覺察不出或無害程序段的軟件，當它被運行時，會損害用戶的安全三者關系第三十三頁，共七十九頁，2022年，8月28日第34/70頁信息安全、計算機安全和網(wǎng)絡安全的關系信息、計算機和網(wǎng)絡是三位一體、不可分割的整體。信息的采集、加工、存儲是以計算機為載體的，而信息的共享、傳輸、發(fā)布則依賴于網(wǎng)絡系統(tǒng)。如果能夠保障并實現(xiàn)網(wǎng)絡信息的安全，就可以保障和實現(xiàn)計算機系統(tǒng)的安全和信息安全。因此，網(wǎng)絡信息安全的內(nèi)容也就包含了計算機安全和信息安全的內(nèi)容。信息安全均指網(wǎng)絡信息安全。不安全因素第三十四頁，共七十九頁，2022年，8月28日第35/70頁網(wǎng)絡信息系統(tǒng)不安全因素⑴網(wǎng)絡信息系統(tǒng)的脆弱性⑵對安全的攻擊⑶有害程序的威脅網(wǎng)絡信息的脆弱性第三十五頁，共七十九頁，2022年，8月28日第36/70頁⑴網(wǎng)絡信息系統(tǒng)的脆弱性1)網(wǎng)絡的開放性。2)軟件系統(tǒng)的自身缺陷。

1999年安全應急響應小組論壇FIRST的專家指出，每千行程序中至少有一個缺陷。3）黑客攻擊。

Microsoft通用操作系統(tǒng)的安全性估計

操作系統(tǒng) 推出年份 代碼行數(shù)（萬）估計缺陷數(shù)（萬）Windows3.1 1992年 3001.5～3Windows95 1995年 5002.5～5WindowsNT4.0 1996年 16508.25～

15.5Windows2000 2000年 3500～500017.5～

35對安全的攻擊第三十六頁，共七十九頁，2022年，8月28日第37/70頁⑵對安全的攻擊美國國家安全局在《信息保障技術框架IATF》3.0版本中把攻擊劃分為以下5種類型：1)被動攻擊。通常包括：監(jiān)聽未受保護的通信、流量分析、獲得認證信息等。常用手段：搭線監(jiān)聽、無線截獲和其他截獲。2)

主動攻擊。包括：中斷、假冒、重放、篡改消息和拒絕服務。3)物理臨近攻擊。4)內(nèi)部人員攻擊。有統(tǒng)計數(shù)據(jù)表明，80%的攻擊和入侵來自組織內(nèi)部。5)軟、硬件裝配攻擊。有害程序威脅第三十七頁，共七十九頁，2022年，8月28日第38/70頁⑶有害程序的威脅1)程序后門

后門是指信息系統(tǒng)中未公開的通道。后門的形成可能有幾種途徑：黑客設置和非法預留。2)特洛伊木馬程序這種稱謂是借用于古希臘傳說中的著名計策木馬計。它是冒充正常程序的有害程序，它將自身程序代碼隱藏在正常程序中，在預定時間或特定事件中被激活起破壞作用。3)“細菌”程序本身沒有破壞性，只是通過不斷地自我復制，能耗盡系統(tǒng)資源，造成系統(tǒng)死機或拒絕服務。4）蠕蟲程序莫里斯蠕蟲病毒。安全標準第三十八頁，共七十九頁，2022年，8月28日第39/70頁國內(nèi)、外信息安全標準美國國防部于公布的《可信任計算機標準評估準則——TCSEC》，1985年。將計算機系統(tǒng)的可信程度劃分為7個安全級別，從低到高依次為D1、C1、C2、B1、B2、B3和A1級。歐洲信息技術安全評估規(guī)則ITSEC。發(fā)表于1991年。它以超越TCSEC為目的，它適用于軍隊、政府和商業(yè)部門。1996年國際標準化組織（ISO）在TCSEC和ITSEC的基礎上，公布了具有統(tǒng)一標準、能被廣泛接受的信息技術安全通用準則CC。CC是目前最全面的信息技術安全評估準則。1999年我國正式頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》，GB17895-1999。安全技術問題提出第三十九頁，共七十九頁，2022年，8月28日第40/70頁

主觀上認為“安全”（根據(jù)什么得到這個結論？！），那么客觀上到底安全嗎？主觀認為不安全，那么不安全因素來自哪些方面？有沒有方法和技術來保障安全？信息安全技術第四十頁，共七十九頁，2022年，8月28日第41/70頁10.2信息安全技術信息安全技術概述訪問控制技術數(shù)據(jù)加密技術數(shù)字簽名技術數(shù)字證明書技術身份認證技術防火墻技術網(wǎng)絡信息安全解決方案個人網(wǎng)絡信息安全策略訪問控制技術第四十一頁，共七十九頁，2022年，8月28日第42/70頁訪問控制技術建立制定安全管理制度和措施限制對網(wǎng)絡系統(tǒng)的物理接觸限制對信息的在線訪問設置用戶權限數(shù)據(jù)加密第四十二頁，共七十九頁，2022年，8月28日第43/70頁數(shù)據(jù)加密的概念數(shù)據(jù)加密是防止非法使用數(shù)據(jù)的最后一道防線。數(shù)據(jù)加密技術涉及到的術語：明文：原本數(shù)據(jù)；密文：偽裝后的數(shù)據(jù)；密鑰：用它控制加密、解密的過程；加密：把明文轉(zhuǎn)換為密文的過程；加密算法：加密所采用的變換方法；解密：對密文實施與加密相逆的變換，從而獲得明文的過程。

單密鑰第四十三頁，共七十九頁，2022年，8月28日第44/70頁相同密鑰方案&#&#方案發(fā)方收方明文密文明文密文單鑰加密體制算法

DESIDEAAES加密技術——密碼體制雙密鑰第四十四頁，共七十九頁，2022年，8月28日第45/70頁加密密鑰方案&#&#方案發(fā)方收方明文密文明文密文雙鑰加密體制解密密鑰認證中心公鑰（證書）私鑰（智能卡）代表算法

RSA

橢圓曲線防護技術——加密：密碼體制數(shù)字加密技術第四十五頁，共七十九頁，2022年，8月28日第46/70頁數(shù)據(jù)加密技術數(shù)字簽名技術數(shù)字證明書技術身份認證技術防火墻技術數(shù)字簽名技術第四十六頁，共七十九頁，2022年，8月28日第47/70頁數(shù)字簽名技術數(shù)字簽名是模擬現(xiàn)實生活中的筆跡簽名，它要解決如何有效的防止通信雙方的欺騙和抵賴行為。與加密不同，數(shù)字簽名的目的是為了保證信息的完整性和真實性。為使數(shù)字簽名能代替?zhèn)鹘y(tǒng)的簽名，必須保證能夠?qū)崿F(xiàn)以下功能：⑴接受者能夠核實發(fā)送者對消息的簽名。⑵簽名具有無可否認性。⑶接受者無法偽造對消息的簽名。數(shù)字簽名功能第四十七頁，共七十九頁，2022年，8月28日第48/70頁數(shù)字簽名功能的說明假設A和B分別代表一個股民和他的股票經(jīng)紀人。A委托B代為炒股，并指令當他所持的股票達到某個價位時，立即全部拋出。B首先必須認證該指令確實是由A發(fā)出的，而不是其他人在偽造指令。這需要第一個功能。假設股票剛一賣出，股價立即猛升，A后悔不己。如果A不誠實，他要控告B，宣稱他從未發(fā)出過任何賣出股票的指令。這時B可以拿出有A自己簽名的委托書作為證據(jù)。這又需要第二個功能。另一種可能是B玩忽職守，當股票價位合適時沒有立即拋出，不料此后股價一路下跌，客戶損失慘重。為了推卸責任，B可能試圖修改委托書中關于股票臨界價位為某一個實際上不可能達到的值。為了保障客戶的權益，需要第三個功能。數(shù)字證明書技術第四十八頁，共七十九頁，2022年，8月28日第49/70頁數(shù)字證明書技術誰來證明公開密鑰的持有者是合法的？目前通行的做法是采用數(shù)字證明書來證實。數(shù)字證明書的作用如同司機的駕駛執(zhí)照、出國人員的護照、專業(yè)人員的專業(yè)資格證明書。通過一個可信的第三方機構，審核用戶的身份信息和公開鑰信息，然后進行數(shù)字簽名。其他用戶可以利用該可信的第三方機構的公開鑰進行簽名驗證。從而確保用戶的身份信息和公鑰信息的一一對應。由用戶身份信息、用戶公鑰信息以及可信第三方機構所作的簽名構成用戶的身份數(shù)字證書?？尚诺牡谌綑C構，一般稱為數(shù)字證書認證中心CA（CertificateAuthority）。身份認證技術第四十九頁，共七十九頁，2022年，8月28日第50/70頁身份認證技術在網(wǎng)絡環(huán)境中，通過對用戶身份的控制來保障網(wǎng)絡資源的安全性是一條非常重要的策略。主要采用的認證方法有三種:1．基于主體特征的認證磁卡和IC卡指紋、視網(wǎng)膜等信息

2．口令機制一次性口令\加密口令\限定次數(shù)口令

3．基于公開密鑰的認證

身份認證協(xié)議Kerberos、安全套接層協(xié)議SSL、安全電子交易協(xié)議SET放火墻技術第五十頁，共七十九頁，2022年，8月28日第51/70頁防火墻技術防火墻是專門用于保護網(wǎng)絡內(nèi)部安全的系統(tǒng)。其作用：在某個指定網(wǎng)絡（Intranet）和網(wǎng)絡外部（Internet）之間構建網(wǎng)絡通信的監(jiān)控系統(tǒng)，用于監(jiān)控所有進、出網(wǎng)絡的數(shù)據(jù)流和來訪者，以達到保障網(wǎng)絡安全的目的。根據(jù)預設的安全策略，防火墻對所有流通的數(shù)據(jù)流和來訪者進行檢查，符合安全標準的予以放行，不符合安全標準的一律拒之門外。放火墻功能第五十一頁，共七十九頁，2022年，8月28日第52/70頁防火墻的功能對于防火墻有兩個基本要求：保證內(nèi)部網(wǎng)絡的安全性和保證內(nèi)部網(wǎng)和外部網(wǎng)間的連通性?；谶@兩個基本要求，一個性能良好的防火墻系統(tǒng)應具有以下功能：⑴實現(xiàn)網(wǎng)間的安全控制，保障網(wǎng)間通信安全。⑵能有效記錄網(wǎng)絡活動情況。⑶隔離網(wǎng)段，限制安全問題擴散。⑷自身具有一定的抗攻擊能力。⑸綜合運用各種安全措施，使用先進健壯的信息安全技術。⑹人機界面良好，用戶配置方便，容易管理。放火墻分類第五十二頁，共七十九頁，2022年，8月28日第53/70頁防火墻技術的分類防火墻技術從原理上可以分為：包過濾代理服務器包過濾技術第五十三頁，共七十九頁，2022年，8月28日第54/70頁⑴包過濾技術

指對于所有進入網(wǎng)絡內(nèi)部的數(shù)據(jù)包按指定的過濾規(guī)則進行檢查，凡是符合指定規(guī)則的數(shù)據(jù)包才允許通行，否則將被丟棄。例如，為便于收費管理，在校園網(wǎng)內(nèi)阻塞去往國外站點的鏈接（國內(nèi)免費，國外按實際字節(jié)流量收費）。包過濾技術有一個重要的特點是：防火墻內(nèi)、外的計算機系統(tǒng)之間的連接是直接連通。但由此產(chǎn)生的副作用是外部用戶能夠獲得內(nèi)部網(wǎng)絡的結構和運行情況，為網(wǎng)絡安全留下隱患。代理服務器技術第五十四頁，共七十九頁，2022年，8月28日第55/70頁⑵代理服務器技術代理服務器將內(nèi)部網(wǎng)和外部網(wǎng)分隔開；網(wǎng)絡外部的用戶只能通過具有詳細注冊和安全審計功能的代理服務器進行鏈接；當外部主機請求訪問Intranet內(nèi)部某一臺應用服務器時，請求被送到代理服務器上，并在此接受安全檢查后，再由代理服務器與內(nèi)部網(wǎng)中的應用服務器建立鏈接，從而實現(xiàn)了外部主機對Intranet內(nèi)部的應用服務器的訪問。個人安全問題第五十五頁，共七十九頁，2022年，8月28日第56/70頁代理服務器防火墻的工作原理第五十六頁，共七十九頁，2022年，8月28日第57/70頁個人安全問題可能存在如下問題：你試圖保護哪些資源?你需要保護這些資源防備哪些人?可能存在什么樣的威脅?資源如何重要?你能夠采取什么措施以合算和節(jié)時的方式保護你的資源安全?定期檢查網(wǎng)絡安全策略，查看你的目標和網(wǎng)絡環(huán)境是否已經(jīng)改變危險分析第五十七頁，共七十九頁，2022年，8月28日第58/70頁危險分析危險分析包括確定下面幾個問題：1你需要保護什么?2你需要防止什么?3如何保護它?危險分析包括確定下面兩個因素：

1．估計丟失資源的危險；

2．估計資源的重要性。個人安全策略方案第五十八頁，共七十九頁，2022年，8月28日第59/70頁個人信息安全策略方案安全防范措施：1．個人信息定期備份。以防萬一而損失有用信息。2．謹防病毒攻擊，特別是特洛伊木馬病毒。防范措施是：①不要輕易下載來路不明的軟件；②發(fā)現(xiàn)病毒癥狀，立即用殺毒軟件進行病毒清除；③當發(fā)現(xiàn)上網(wǎng)速度比平時慢許多時，應立即掛斷網(wǎng)絡，對系統(tǒng)進行殺毒處理。3．借助ISP或調(diào)制解調(diào)器Modem提供的防火墻功能。4．關閉“共享”功能。防止別有用心的人通過“共享”功能控制你的機器。5．不厭其煩地安裝補丁程序，用以更新系統(tǒng)。新系統(tǒng)在防范惡意攻擊方面更加健壯。6．使用代理服務器。病毒第五十九頁，共七十九頁，2022年，8月28日第60/70頁10.3計算機病毒及其防治計算機病毒的基本知識計算機病毒的預防計算機病毒的清除病毒知識第六十頁，共七十九頁，2022年，8月28日第61/70頁計算機病毒的基本知識幾乎所有上網(wǎng)用戶都經(jīng)歷過“病毒”襲擾的痛苦和煩惱：剛才還好端端的機器突然“癱瘓”了；好不容易在鍵盤上敲打了幾個小時輸入的文稿頃刻之間沒有了；程序正運行在關鍵時刻系統(tǒng)莫名其妙地重新啟動。計算機系統(tǒng)中經(jīng)常發(fā)生的這些惡作劇，其罪魁禍首就是計算機病毒。病毒定義第六十一頁，共七十九頁，2022年，8月28日第62/70頁計算機病毒的定義在我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》中指出：

“計算機病毒，是指編制或者在計算機程序中插入破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的程序代碼。”計算機病毒是軟件，是人為制造出來專門破壞計算機系統(tǒng)安全的程序。病毒癥狀第六十二頁，共七十九頁，2022年，8月28日第63/70頁計算機病毒的癥狀⑴屏幕顯示異常或出現(xiàn)異常提示。⑵計算機執(zhí)行速度越來越慢。這是病毒在不斷傳播、復制，消耗系統(tǒng)資源所致。⑶原來可以執(zhí)行的一些程序無故不能執(zhí)行了。⑷計算機系統(tǒng)出現(xiàn)異常死機。⑸文件夾中無故多了一些重復或奇怪的文件。例如Nimda病毒，在計算機中出現(xiàn)大量擴展名為“.eml”的文件。⑹硬盤指示燈無故閃亮，或突然出現(xiàn)壞塊和壞道，或不能開機。⑺存儲空間異常減少。⑻網(wǎng)絡速度變慢或者一些莫名其妙的網(wǎng)絡連接。⑼電子郵箱中有不明來路的信件。這是電子郵件病毒的癥狀。病毒特性第六十三頁，共七十九頁，2022年，8月28日第64/70頁計算機病毒的特性⑴感染性。⑵破壞性。⑶隱蔽性。⑷潛伏性。⑷可觸發(fā)性。病毒觸發(fā)機制和條件可以是五花八門。例如，“黑色星期五”病毒就是每逢13日的星期五就發(fā)作，CIH病毒V1.2發(fā)作日期為每年的4月26日。⑸攻擊的主動性。⑹病毒的不可預見性。病毒對反病毒軟件永遠是超前的。病毒傳播途徑第六十四頁，共七十九頁，2022年，8月28日第65/70頁計算機病毒的傳播途徑⑴被動傳播途徑引進的計算機系統(tǒng)和軟件中帶有病毒。下載、執(zhí)行染有病毒的游戲軟件或其他應用程序。非法拷貝中毒。計算機生產(chǎn)、經(jīng)營單位銷售的機器和軟件染有病毒。維修部門交叉感染。通過網(wǎng)絡、電子郵件傳入。⑵主動傳播途徑無線射入；有線注入；接口輸入；炮彈擊入；先機植入。病毒危害第六十五頁，共七十九頁，2022年，8月28日第66/70頁計算機病毒主要危害⑴病毒發(fā)作對計算機信息數(shù)據(jù)的直接破壞作用⑵非法侵占磁盤空間破壞信息數(shù)據(jù)⑶搶占系統(tǒng)資源⑷影響計算機運行速度⑸計算機病毒錯誤與不可預見的危害⑹計算機病毒的兼容性對系統(tǒng)運行的影響⑺計算機病毒給用戶造成嚴重的心理壓力病毒種類第六十六頁，共七十九頁，2022年，8月28日第67/70頁計算機病毒的種類基于技術的分類：⑴網(wǎng)絡病毒⑵郵件病毒典型的有“Melissa”和“Nimda”⑶文件型病毒⑷宏病毒占80%成為威脅安全的“第一殺手”⑸引導型病毒⑹變體病毒⑺混合型病毒病毒預防第六十七頁，共七十九頁，2022年，8月28日第68/70頁計算機病毒的預防1．牢固樹立預防為主的思想，要采取“預防為主，防治結合”的方針，從加強管理入手，制訂切實可行的管理措施并嚴格地貫徹落實。2．制定切實可行的預防管理措施⑴尊重知識產(chǎn)權，使用正版軟件。⑵建立、健全各種切實可行的預防管理規(guī)章、制度及緊急情況處理的預案措施。⑶對服務器及重要的網(wǎng)絡設備實行物理安全保護和嚴格的安全操作規(guī)程。嚴格管理和使用系統(tǒng)管理員的賬號，限定其使用范圍。⑷對于系統(tǒng)中的重要數(shù)據(jù)要定期與不定期地進行備份。⑸嚴格管理和限制用戶的訪問權限，特別是加強對遠程訪問、特殊用戶的權限管理。⑹不用軟盤啟動，防止引導區(qū)病毒的感染。⑺隨時注意觀察計算機系統(tǒng)及網(wǎng)絡系統(tǒng)的各種異?，F(xiàn)象，一旦發(fā)現(xiàn)問題，立即用殺毒軟件進行檢測。⑻網(wǎng)絡病毒發(fā)作期間，暫時停止使用OutlookExpress接收電子郵件，避免來自其他郵件病毒的感染。⑼不在與工作有關的計算機上玩游戲。3．采用技術手段預防病毒。病毒消除第六十八頁，共七十九頁，2022年，8月28日第69/70頁計算機病毒的清除1．人工消除病毒法

人工消毒方法是借助使用工具軟件對病毒進行手工清除。操作時使用工具軟件打開被感染的文件，從中找到并摘除病毒代碼，使之復原。手工消毒操作復雜，速度慢，風險大，要求操作者具有熟練的操作技能和豐富的病毒知識。一般用戶不宜采取這種方式。這種方法是專業(yè)防病毒研究人員用于消除新病毒時采用的。2．自動消除病毒法

自動消除病毒方法是使用殺毒軟件來清除病毒。用殺毒軟件進行消毒，操作簡單，用戶只要按照菜單提示和聯(lián)機幫助去操作即可。自動消除病毒法具有效率高，風險小的特點，是一般用戶都可以使用的殺毒方法。道德與規(guī)范第六十九頁，共七十九頁，2022年，8月28日第70/70頁10.4職業(yè)道德及相關法規(guī)網(wǎng)絡用戶行為規(guī)范 我國軟件知識產(chǎn)權保護相關法律法規(guī) 負面現(xiàn)狀第七十頁，共七十九頁，2022年，8月28日第71/70頁網(wǎng)絡用戶行為規(guī)范1．網(wǎng)絡禮儀

2．行為守則3．注意事項網(wǎng)絡禮儀第七十一頁，共七十九頁，2022年，8月28日第72