第12講信息安全技術基礎

第八章信息安全技術基礎18.1信息安全概述8.1信息安全問題概述8.2信息安全技術8.2.1加密與認證技術8.2.2防火墻技術8.2.3網絡防攻擊與入侵檢測技術8.2.4文件備份與恢復技術8.2.5計算機病毒防范技術8.3網絡道德及信息安全法規(guī)8.3.1網絡道德8.3.2信息安全法規(guī)8.1.1面臨的安全威脅8.1.2信息安全的特征8.1.3信息安全的內容8.1.4信息安全的機制2023/4/72網絡安全的背景在我們的生活中，經常可以聽到下面的報道：XX網站受到黑客攻擊XX計算機系統(tǒng)受到攻擊，造成客戶數據丟失目前又出現XX計算機病毒，已擴散到各大洲……計算機網絡在帶給我們便利的同時已經體現出了它的脆弱性……38.1信息安全概述8.1.1面臨的安全威脅現代信息系統(tǒng)及網絡通信系統(tǒng)面臨的安全威脅截獲中斷篡改偽造截獲篡改偽造中斷被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站對網絡的被動攻擊和主動攻擊2023/4/74截獲搭線竊聽信息總部下屬機構黑客信息泄密

信息被篡改Internet截獲是指一個非授權方介入系統(tǒng)，使得信息在傳輸過程中泄露或被竊聽，它破壞了信息的保密性。非授權方可以是一個人，也可以是一個程序。截獲攻擊主要包括：①利用電磁泄露或搭線竊聽等方式可截獲機密信息，通過對信息流向、流量、通信頻度和長度等參數的分析，推測出有用信息，如用戶口令、賬號等。②文件或程序的不正當復制。5中斷中斷是使正在使用的信息系統(tǒng)毀壞或不能使用，即破壞了信息的可用性。中斷攻擊主要包括：①使合法用戶不能訪問網絡的資源。②使有嚴格時間要求的服務不能及時得到響應。③物理破壞網絡系統(tǒng)和設備組件使網絡不可用，或者破壞網絡結構使之癱瘓等。例如，硬盤等硬件的破壞、通信線路的切斷、文件管理系統(tǒng)的癱瘓等。

6篡改篡改是以非法手段竊得對信息的管理權，通過未授權的創(chuàng)建、修改、刪除和重放等操作，使信息的完整性受到破壞。篡改攻擊主要包括：①改變數據文件，如修改信件內容等。②改變程序，使之不能正確運行。7偽造非授權方將偽造的信息插入到信息中，破壞信息的真實性。例如，在網絡中插入假信件，或者在文件中追加記錄等。

8網絡安全面臨的威脅物理風險系統(tǒng)風險信息風險應用風險其它風險網絡的風險管理風險

設備防盜，防毀鏈路老化人為破壞網絡設備自身故障停電導致無法工作機房電磁輻射其他

信息存儲安全信息傳輸安全信息訪問安全其他身份鑒別訪問授權機密性完整性不可否認性可用性

計算機病毒

外部攻擊內部破壞其他風險軟件弱點是否存在管理方面的風險需有無制定相應的安全制度安全拓撲安全路由Internet98.1信息安全概述8.1.2信息安全的特征可用性機密性真實性完整性可控性抗可否認性可存活性2023/4/7108.1信息安全概述8.1.3信息安全的內容實體安全運行安全數據安全管理安全一、實體安全問題①環(huán)境安全：信息設備大多屬易碎品，不能受重壓或強烈的震動，更不能受強力沖擊，各種自然災害（如地震、風暴等）對設備安全構成了嚴重的威脅。②設備安全：主要包括：設備的機能失常、電源故障和電磁泄漏。③媒體安全：主要是搭線竊聽和電磁泄漏。實體安全策略2023/4/7118.1信息安全概述實體安全策略實體安全策略的目的是保護計算機系統(tǒng)、網絡服務器等硬件實體和通信線路免受自然災害、人為破壞和搭線攻擊，抑制和防止電磁泄漏，建立完備的安全管理制度。二、系統(tǒng)運行安全問題①操作系統(tǒng)安全：問題主要有：未進行系統(tǒng)相關安全配置、軟件的漏洞和“后門”、協(xié)議的安全漏洞。②應用系統(tǒng)安全：涉及資源共享、電子郵件系統(tǒng)、病毒侵害等很多方面。2023/4/7128.1信息安全概述系統(tǒng)運行安全策略運行安全策略主要涉及：訪問控制策略、防黑客的惡意攻擊、隔離控制策略、入侵檢測和病毒防護。三、數據安全①數據安全需求：就是保證數據的真實性、機密性、完整性和抗否認性。②數據安全策略：最主要的數據安全策略就是采用數據加密技術、數字簽名技術和身份認證技術。2023/4/7138.1信息安全概述四、管理安全①安全管理問題：安全和管理是分不開的，即便有好的安全設備和系統(tǒng)，也應該有好的安全管理方法并貫徹實施。管理的缺陷可能造成系統(tǒng)內部人員泄露機密，也可能造成外部人員通過非法手段截獲而導致機密信息的泄漏。②安全管理策略：確定安全管理等級和安全管理范圍，制定有關操作使用規(guī)程和人員出入機房管理制度，制定網絡系統(tǒng)的維護制度和應急措施等。2023/4/7148.1信息安全概述8.1.4信息安全的機制身份確認機制（收發(fā)信息者身份確認）訪問控制機制（合法用戶進行訪問控制管理）數據加密機制（數據加密處理）病毒防范機制（增加防范病毒軟件）信息監(jiān)控機制（防止泄密）安全網關機制（防火墻）安全審計機制（定期檢查）2023/4/7158.2信息安全技術8.2.1加密與認證技術對稱密鑰密碼體系非對稱密鑰密碼體系身份認證數字簽名技術2023/4/716數據加密的概念數據加密模型密文網絡信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法17數據加密的概念數據加密技術的概念

數據加密(Encryption)是指將明文信息(Plaintext)采取數學方法進行函數轉換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實現的關鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過數學算法轉換成密文的過程；解密(Decryption)：將密文還原成明文的過程。18數據加密技術原理對稱密鑰加密（保密密鑰法）加密算法解密算法密鑰網絡信道明文明文密文加密密鑰解密密鑰兩者相等19數據加密技術原理非對稱密鑰加密（公開密鑰加密）加密算法解密算法公開密鑰網絡信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導不相等20數據加密技術原理混合加密系統(tǒng)對稱密鑰加密算法對稱密鑰解密算法對稱密鑰網絡信道明文明文密文

混合加密系統(tǒng)既能夠安全地交換對稱密鑰，又能夠克服非對稱加密算法效率低的缺陷！非對稱密鑰加密算法非對稱密鑰解密算法對稱密鑰公開密鑰私有密鑰

混合加密系統(tǒng)是對稱密鑰加密技術和非對稱密鑰加密技術的結合21身份鑒別技術IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術的提出

在開放的網絡環(huán)境中，服務提供者需要通過身份鑒別技術判斷提出服務申請的網絡實體是否擁有其所聲稱的身份。22身份鑒別技術常用的身份鑒別技術基于用戶名和密碼的身份鑒別基于對稱密鑰密碼體制的身份鑒別技術基于KDC（密鑰分配中心）的身份鑒別技術基于非對稱密鑰密碼體制的身份鑒別技術基于證書的身份鑒別技術23身份鑒別技術Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice”,mypasswordis“byebye”.Pleasesendmedata.Internet基于用戶名和密碼的身份鑒別

24身份鑒別技術ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于對稱密鑰體制的身份鑒別A

在這種技術中，鑒別雙方共享一個對稱密鑰KAB，該對稱密鑰在鑒別之前已經協(xié)商好（不通過網絡）。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤25身份鑒別技術ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鑒別技術A,KA(B,KS)

基于KDC（KeyDistributionCenter，密鑰分配中心）的身份鑒別技術克服了基于對稱密鑰的身份鑒別技術中的密鑰管理的困難。在這種技術中，參與鑒別的實體只與KDC共享一個對稱密鑰，鑒別通過KDC來完成。KB(A,KS)AliceBob①②KDC26身份鑒別技術基于非對稱密鑰體制的身份鑒別

在這種技術中，雙方均用對方的公開密鑰進行加密和傳輸。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③27身份鑒別技術基于證書的身份鑒別技術

為解決非對稱密鑰身份鑒別技術中存在的“公開密鑰真實性”的問題，可采用證書對實體的公開密鑰的真實性進行保證。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②28數據加密技術原理數字簽名

數字簽名（digitalsignature）技術通過某種加密算法，在一條地址消息的尾部添加一個字符串，而收信人可以根據這個字符串驗明發(fā)信人的身份，并可進行數據完整性檢查。29數據加密技術原理數字簽名的工作原理非對稱加密算法非對稱解密算法Alice的私有密鑰網絡信道合同Alice的公開密鑰哈希算法標記標記-2合同哈希算法比較標記-1如果兩標記相同，則符合上述確認要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認：合同的確是Alice發(fā)送的合同在傳輸途中未被修改30數據加密技術原理數字簽名的作用唯一地確定簽名人的身份；對簽名后信件的內容是否又發(fā)生變化進行驗證；發(fā)信人無法對信件的內容進行抵賴。

當我們對簽名人同公開密鑰的對應關系產生疑問時，我們需要第三方頒證機構（CA:CertificateAuthorities）的幫助。318.2信息安全技術8.2.2防火墻技術一、防火墻的主要功能①檢查所有從外部網絡進入內部網絡的數據包。②檢查所有從內部網絡流出到外部網絡的數據包。③執(zhí)行安全策略，限制所有不符合安全策略要求的數據包通過。④具有防攻擊能力，保證自身的安全性。二、防火墻的基本準則一切未被允許的就是禁止的一切未被禁止的就是允許的2023/4/732

網絡防火墻的基本概念

防火墻是一種高級訪問控制設備，是在被保護網和外網之間執(zhí)行訪問控制策略的一種或一系列部件的組合，是不同網絡安全域間通信流的通道，能根據企業(yè)有關安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網絡的訪問行為。它是網絡的第一道防線，也是當前防止網絡系統(tǒng)被人惡意破壞的一個主要網絡安全設備。它本質上是一種保護裝置，在兩個網之間構筑了一個保護層。所有進出此保護網的傳播信息都必須經過此保護層，并在此接受檢查和連接，只有授權的通信才允許通過，從而使被保護網和外部網在一定意義下隔離，防止非法入侵和破壞行為。圖1網絡拓撲圖不可信的網絡及服務器可信任的網絡防火墻路由器InternetIntranet供外部訪問的服務及資源可信任的用戶不可信的用戶DMZ338.2信息安全技術三、防火墻的位置外部網絡不可信賴的網絡內部網絡可信賴的網絡防火墻2023/4/734防火墻的主要技術應用層代理技術

(ApplicationProxy)包過濾技術

(PacketFiltering)狀態(tài)包過濾技術

(StatefulPacketFiltering)應用層表示層會話層傳輸層網絡層數據鏈路層物理層防火墻的主要技術種類35包過濾技術包過濾技術的基本概念包過濾技術指在網絡中適當的位置對數據包有選擇的通過，選擇的依據是系統(tǒng)內設置的過濾規(guī)則，只有滿足過濾規(guī)則的數據包才被轉發(fā)到相應的網絡接口，其余數據包則從數據流中刪除。包過濾一般由屏蔽路由器來完成。屏蔽路由器也稱過濾路由器，是一種可以根據過濾規(guī)則對數據包進行阻塞和轉發(fā)的路由器。

36包過濾技術

包過濾技術是防火墻最常用的技術。對一個充滿危險的網絡，這種方法可以阻塞某些主機或網絡連入內部網絡，也可以限制內部人員對一些危險和色情站點的訪問。圖4包過濾技術概念數據包數據包數據包查找對應的控制策略拆開數據包根據策略決定如何處理該數據包數據TCP報頭IP報頭分組過濾判斷信息企業(yè)內部網屏蔽路由器數據包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略37狀態(tài)包檢測技術

狀態(tài)包檢測技術是包過濾技術的延伸，常被稱為“動態(tài)包過濾”，是一種與包過濾相類似但更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數據包，只要符合狀態(tài)表，就可以通過。適合網絡流量大的環(huán)境。

388.2信息安全技術四、應用級網關應用級網關也叫代理服務器，隔離風險網絡與內部網絡之間的直接聯(lián)系，內外不能直接交換數據，數據交換由代理服務器“代理”完成。代理服務器像一堵真正的墻一樣阻擋在內部用戶和外界之間，從外面只能看到代理服務器而看不到內部資源，從而有效地保護內部網不受侵害。2023/4/739防火墻的功能利用防火墻保護內部網主要有以下幾個主要功能：控制對網點的訪問和封鎖網點信息的泄露防火墻可看作檢查點，所有進出的信息都必須穿過它，為網絡安全起把關作用，有效地阻擋外來的攻擊，對進出的數據進行監(jiān)視，只允許授權的通信通過；保護網絡中脆弱的服務。能限制被保護子網的泄露為防止影響一個網段的問題穿過整個網絡傳播，防火墻可隔離網絡的一個網段和另一個網段，從而限制了局部網絡安全問題對整個網絡的影響。40具有審計作用防火墻能有效地記錄Internet網的活動，因為所有傳輸的信息都必須穿過防火墻，防火墻能幫助記錄有關內部網和外部網的互訪信息和入侵者的任何企圖。能強制安全策略Internt網上的許多服務是不安全的，防火墻是這些服務的“交通警察”，它執(zhí)行站點的安全策略，僅僅允許“認可”和符合規(guī)則的服務通過。此外，防火墻還具有其他一些優(yōu)點，如：監(jiān)視網絡的安全并產生報警；保密性好，強化私有權；提供加密和解密及便于網絡實施密鑰管理的能力。41防火墻的不足

雖然網絡防火墻在網絡安全中起著不可替代的作用，但它不是萬能的，有其自身的弱點，主要表現在：防火墻不能防備病毒雖然防火墻掃描所有通過的信息，但掃描多半是針對源與目標地址以及端口號，而并非數據細節(jié)，有太多類型的病毒和太多種方法可使病毒在數據中隱藏，防火墻在病毒的防范上是不適用的。防火墻對不通過它的連接無能為力雖然防火墻能有效的控制所有通過它的信息，但對從網絡后門及調制解調器撥人的訪問則無能為力。42防火墻不能防備內部人員的攻擊目前防火墻只提供對外部網絡用戶攻擊的防護，對來自內部網絡用戶的攻擊只能依靠內部網絡主機系統(tǒng)的安全性。所以，如果入侵者來自防火墻的內部，防火墻則無能為力。限制有用的網絡服務防火墻為了提高被保護網絡的安全性，限制或關閉了很多有用但存在安全缺陷的網絡服務。由于多數網絡服務在設計之初根本沒有考慮安全性，所以都存在安全問題。防火墻限制這些網絡服務等于從一個極端走向了另一個極端。43防火墻不能防備新的網絡安全問題防火墻是一種被動式的防護手段，只能對現在已知的網絡威脅起作用。隨著網絡攻擊手段的不斷更新和新的網絡應用的出現，不可能靠一次性的防火墻設置來解決永遠的網絡安全問題。448.2信息安全技術8.2.3網絡防攻擊與入侵檢測技術入侵檢測的功能①監(jiān)控、分析用戶和系統(tǒng)的行為。②檢查系統(tǒng)的配置和漏洞。③評估重要的系統(tǒng)和數據文件的完整性。④對異常行為的統(tǒng)計分析，識別攻擊類型，并向網絡管理人員報警。⑤對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權的用戶活動。入侵檢測的基本方法：異常檢測誤用檢測系統(tǒng)2023/4/7458.2信息安全技術8.2.4文件備份與恢復技術文件備份與恢復的重要性數據可以進行歸檔與備份歸檔是指在一種特殊介質上進行永久性存儲，歸檔的數據可能包括文件服務器不再需要的數據，但是由于某種原因需要保存若干年，一般是將這些數據存放在一個非常安全的地方。數據備份是一項基本的系統(tǒng)維護工作。數據備份簡介2023/4/7468.2信息安全技術8.2.5計算機病毒防范技術1.計算機病毒的定義計算機病毒是一些人蓄意編制的一種具有寄生性的計算機程序，能在計算機系統(tǒng)中生存，通過自我復制來傳播，在一定條件下被激活從而給計算機系統(tǒng)造成一定損害甚至嚴重破壞。這種有破壞性的程序被人們形象地稱為“計算機病毒”。2023/4/7478.2信息安全技術“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機作用，并能自我復制的一組計算機指令或者程序代碼”。(《中華人民共和國計算機信息系統(tǒng)安全保護條例》)2.計算機病毒的特性破壞性潛伏性傳染性2023/4/7488.2信息安全技術3.計算機病毒的新特點種類、數量激增傳播途徑更多，傳播速度更快電子郵件成為主要傳播媒介造成的破壞日益嚴重附:當前計算機病毒傳播途徑瀏覽小網站郵件下載游戲U盤盜版光盤2023/4/7498.2信息安全技術4.計算機病毒防范措施計算機病毒檢查文件大小和日期突然變化文件莫名其妙丟失系統(tǒng)運行速度異常慢有特殊文件自動生成用軟件檢查內存時，發(fā)現有不該駐留的程序磁盤空間自動產生壞區(qū)或磁盤空間減少系統(tǒng)啟動速度突然變得很慢或系統(tǒng)異常死機次數增多計算機屏幕出現異常提示信息、異常滾動、異常圖形顯示打印機等外部設備不能正常工作2023/4/7508.2信息安全技術4.計算機病毒防范措施計算機病毒防范計算機病毒盡管危害很大，但用戶若能采取良好的防范措施，完全可以使系統(tǒng)避免遭受嚴重的破壞。①安裝防病毒軟件，并及時升級。②如果移動存儲設備（例如，優(yōu)盤）在其他計算機上使用過，在自己的計算機上使用前先查毒。③不使用盜版光盤。④從局域網上其他計算機復制到本地計算機的文件，從互聯(lián)網下載的文件，先查毒再使用。2023/4/7518.2信息安全技術⑤接收到不明來歷的電子郵件，具有誘惑性標題時，不