第9章 計算機網(wǎng)絡(luò)安全 教師 陽飛 課件

第9章計算機網(wǎng)絡(luò)安全

熟練掌握：計算機網(wǎng)絡(luò)安全的基本概念和計算機網(wǎng)絡(luò)所面臨的安全威脅。掌握：常用數(shù)據(jù)加密技術(shù)、防火墻技術(shù)和常用網(wǎng)絡(luò)防病毒技術(shù)。了解：計算機網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級。9.1計算機網(wǎng)絡(luò)安全概述

隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，以Internet為代表的全球性信息化浪潮日益高漲，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正逐漸深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的有政府部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)技術(shù)的普及，信息安全問題成了人們?nèi)找骊P(guān)注的問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對信息安全也提出了更高的要求。9.1.1計算機網(wǎng)絡(luò)安全概念

網(wǎng)絡(luò)安全（NetworkSecurity）是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。9.1.2計算機網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)受到的威脅來自于網(wǎng)絡(luò)的內(nèi)部和外部兩個方面，主要表現(xiàn)有：非法授權(quán)訪問、假冒合法用戶、病毒破壞、線路竊聽、干擾系統(tǒng)正常運行、修改或刪除數(shù)據(jù)等。這些威脅大致可分為無意威脅和故意威脅兩大類。9.1.3網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等級

常見的計算機信息系統(tǒng)安全等級的劃分有兩種：一種是依據(jù)美國國防部發(fā)表的評估計算機系統(tǒng)安全等級的桔皮書，將計算機安全等級劃分為4類8級，即A2、A1、B3、B2、B1、C2、C1、D；另一種是依據(jù)我國頒布的《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859—1999），將計算機安全等級劃分為5級。9.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是研究計算機信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計算機的交叉學(xué)科，也是一門新興的學(xué)科。在國外，它已成為計算機安全主要的研究方向，也是計算機安全課程中的主要內(nèi)容。數(shù)據(jù)加密技術(shù)是對數(shù)據(jù)信息進(jìn)行編碼和解碼的技術(shù)，數(shù)據(jù)信息沒有被處理之前稱為“明文”，“明文”使用某種方法隱藏它的真實內(nèi)容以后稱為“密文”。把“明文”變成“密文”的過程稱為加密（encrypt）；反之，把“密文”變成“明文”的過程稱為解密（decrypt），加密和解密過程可以用下圖表示。9.2.1數(shù)據(jù)加密算法

數(shù)據(jù)加密的核心技術(shù)是設(shè)計一套合理可行的加密算法，加密算法也叫加密函數(shù)，是用于數(shù)據(jù)加密和解密的數(shù)學(xué)函數(shù)。通常情況下，加密算法有兩個相關(guān)聯(lián)的函數(shù)：一個用于加密，另一個用于解密。在密碼函數(shù)中，將稱為密鑰（key）的密碼變量作用于“明文”即可實現(xiàn)加密或解密操作。密鑰是一種用于控制加密與解密操作的序列符號，它是成對使用的。用于進(jìn)行加密的密鑰稱為加密密鑰，用于進(jìn)行解密的密鑰稱為解密密鑰。如果加密和解密所使用的密鑰是相同的，則這種加密算法稱為對稱加密算法，否則稱為非對稱加密算法。另外，把直接使用加密函數(shù)對明文進(jìn)行加密而不使用密鑰的加密算法稱為不可逆加密算法。1．對稱加密算法

對稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對稱加密算法中，數(shù)據(jù)發(fā)送方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。接收方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。

對稱加密算法的過程如下圖所示：2．非對稱加密算法

在數(shù)學(xué)上，用于非對稱加密算法的兩個密鑰是相互獨立的，所以不可能或很難從一個密鑰計算出另一個密鑰。這種算法也稱為公開密鑰算法，因為可以讓一個密鑰公之于眾，稱為“公鑰”，而另外一個處于秘密狀態(tài)，稱為“私鑰”。在使用非對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。公鑰就是公布出來，所有人都知道的密鑰，它的作用是供公眾使用。私鑰則是只有擁有者才知道的密鑰。例如，公眾可以用公鑰加密文件，則只有擁有對應(yīng)私鑰的人才能將之解密。

非對稱加密算法的過程如下圖所示：3．不可逆加密算法

不可逆加密算法的特征是，加密過程中不需要使用密鑰，輸入明文后，由系統(tǒng)直接經(jīng)過加密算法處理成密文，這種加密后的數(shù)據(jù)是無法被解密的，只有重新輸入明文，并再次經(jīng)過同樣不可逆的加密算法處理，得到相同的加密密文并被系統(tǒng)重新識別后，才能真正解密。9.2.2常用加密技術(shù)

1．非否認(rèn)技術(shù)非否認(rèn)（non-repudiation）技術(shù)的核心是非對稱加密算法的公鑰技術(shù)，通過產(chǎn)生一個與用戶認(rèn)證數(shù)據(jù)有關(guān)的數(shù)字簽名來完成。當(dāng)用戶執(zhí)行某一交易時，這種簽名能夠保證用戶今后無法否認(rèn)該交易發(fā)生的事實。由于非否認(rèn)技術(shù)的操作過程簡單，而且直接包含在用戶的某類正常的電子交易中，因而成為當(dāng)前用戶進(jìn)行電子商務(wù)、取得商務(wù)信任的重要保證。2．PGP技術(shù)

PGP（PrettyGoodPrivacy）是目前最流行的一種加密軟件，它是一個基于RSA公鑰加密體系的郵件加密軟件。PGP可以生成一個有公鑰和私鑰組成的密鑰對，用戶可以將公鑰用密碼發(fā)送到網(wǎng)絡(luò)服務(wù)器上，使想與其通信的人能夠以公鑰加密通信的內(nèi)容，在用戶接收到密文后，就可以用私鑰將通信的內(nèi)容解密。

使用PGP之前，首先需要生成一對密鑰，這一對密鑰其實是同時生成的。具體步驟如下：（1）打開安裝好的PGP軟件（這里9.9版本為例），界面如下圖所示。

（2）執(zhí)行File→NewPGPKey命令，打開密鑰生成向?qū)В缦聢D所示。

（3）單擊“下一步”按鈕，打開NameandEmailAssignment對話框，為創(chuàng)建的密鑰指定一個名稱和對應(yīng)的郵箱地址，如下圖所示。也可以用一個密鑰對對應(yīng)多個郵

箱，只需單擊More按鈕，在添加的OtherAddress文本框中輸入其他的郵箱地址。

（4）單擊Advanced按鈕，打開AdvancedKeySettings對話框，對密鑰對進(jìn)行詳細(xì)配置，如密鑰類型（KeyType）、密鑰長度（KeySize）、支持的密碼（Cipher）和哈希（Hash）

算法類型，如右圖所示。除保留默認(rèn)的選擇外，最好在哈希算法類型（Hashes）選項區(qū)中選擇SHA-1和MD-5這兩種算法，因為這兩種算法目前在國內(nèi)的電子簽名應(yīng)用中應(yīng)用最廣。

（5）密鑰配置好后單擊OK按鈕，返回NameandEmailAssignment對話框，單擊“下一步”按鈕，打開CreatePassphrase對話框，為密鑰對中的私鑰配置保護密碼，密碼最少需要8位，建議包

括非字母字符，以增加密碼的復(fù)雜性。程序默認(rèn)不明文顯示所輸入的密碼，僅以密碼長度條顯示。如果選擇ShowKeystrokes復(fù)選框，則在輸入密碼的同時以明文顯示，如右圖所示。（6）單擊“下一步”按鈕，打開KeyGenerationProgress對話框，在該對話框中顯示密鑰生成的進(jìn)程，完成后會顯示Congratulations表示密鑰對生成成功，如下圖所示。

（7）單擊“下一步”按鈕，打開如下圖A所示的CompletingthePGPGenerationAssistant對話框，直接單擊Done按鈕即可結(jié)束整個密鑰對生成過程。此時會在PGP軟件界面的AllKeys列表框中顯示新建的密鑰，如下圖B所示。

圖A圖B3．?dāng)?shù)字簽名技術(shù)

數(shù)字簽名（digitalsignature）技術(shù)是非對稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是：數(shù)據(jù)源發(fā)送方使用自己的私鑰，對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對數(shù)據(jù)的合法“簽名”。數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性。9.2.3利用SSL實現(xiàn)安全數(shù)據(jù)傳輸

Web服務(wù)是Internet中最重要的服務(wù)之一，現(xiàn)在許多對數(shù)據(jù)安全要求非常高的行業(yè)，如金融、商業(yè)也都使用Web服務(wù)開展業(yè)務(wù)，所以Web服務(wù)中的數(shù)據(jù)安全性越來越被人們所重視。SSL（SecureSocketsLayer，安全套接層）協(xié)議就提供了滿足這些要求的一個解決方案。

在傳輸層提供安全的數(shù)據(jù)傳遞通道。SSL的工作過程如下：（1）Web瀏覽器請求與Web服務(wù)器建立安全會話。（2）Web服務(wù)器將自己的公鑰發(fā)給Web瀏覽器。（3）Web服務(wù)器與Web瀏覽器協(xié)商密鑰位數(shù)（40位或128位）。（4）Web瀏覽器產(chǎn)生會話使用的“秘密密鑰”，并用Web服務(wù)器的公鑰加密“秘密密鑰”傳給Web服務(wù)器。（5）Web服務(wù)器用自己的私鑰解密。（6）Web服務(wù)器和瀏覽器用會話密鑰加密和解密，實現(xiàn)加密傳輸。SSL使用公鑰加密技術(shù)和數(shù)字證書技術(shù)，實現(xiàn)客戶機和服務(wù)器之間的身份認(rèn)證和密鑰協(xié)商，使用對稱密碼技術(shù)對SSL連接中傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密，使用消息摘要算法實現(xiàn)客戶機和服務(wù)器之間傳輸數(shù)據(jù)的完整性。9.3網(wǎng)絡(luò)防火墻

防火墻（firewall），顧名思義就是隔斷火患和財產(chǎn)之間的一堵墻，以此來達(dá)到降低財物損失的目的。而計算機網(wǎng)絡(luò)中的防火墻，其功能就像現(xiàn)實中的防火墻一樣，把絕大多數(shù)的外來侵害都擋在網(wǎng)絡(luò)外面，保護計算機網(wǎng)絡(luò)內(nèi)部的信息安全。9.3.1防火墻的概念

防火墻是位于兩個或多個網(wǎng)絡(luò)間實施網(wǎng)絡(luò)間訪問控制的一組組件的集合，包括主機系統(tǒng)、路由器、網(wǎng)絡(luò)安全策略和用于網(wǎng)絡(luò)安全控制與管理的軟硬件系統(tǒng)等。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。

防火墻是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，通常具有以下3個方面的基本特性：內(nèi)部網(wǎng)絡(luò)（Intranet）和外部網(wǎng)絡(luò)（Internet）之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應(yīng)具有非常強的抗攻擊免疫力。防火墻邏輯示意圖如下：9.3.2防火墻的類型

1．從防火墻的組成結(jié)構(gòu)來分

如果從防火墻的組成結(jié)構(gòu)來分，防火墻可以分為軟件防火墻和硬件防火墻。最初的防火墻，例如，下圖所示的金