網絡信息安全課件

1、網絡信息安全2022/7/28網絡信息安全計算機病毒（Computer Virus） 定義：中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確指出：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。形成：病毒是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統(tǒng)網絡環(huán)境相適應和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產生的。產生的原因：惡作?。粓髲托睦?；版權保護；特殊目的網絡信息安全計算機病毒的特征 破壞性 傳染性 隱蔽性 寄生性 觸發(fā)性網絡信息安全

2、Windows95/98時代大名鼎鼎的CIH病毒CIH作者陳盈豪網絡信息安全Windows NT時代的白雪公主病毒巨大的黑白螺旋占據了屏幕位置，使計算機使用者無法進行任何操作！網絡信息安全席卷全球的NIMDA病毒網絡信息安全人類為防治病毒所做出的努力及結論 網絡安全 網絡版 單機版防病毒卡結論：人類將與病毒長期共存。網絡信息安全特洛伊木馬特洛伊木馬是一個包含在一個合法程序中的非法的程序。該非法程序被用戶在不知情的情況下被執(zhí)行。其名稱源于古希臘的特洛伊木馬神話，傳說希臘人圍攻特洛伊城，久久不能得手。后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中。大部隊假裝撤退而將木馬擯棄于特洛伊城，讓敵人將其作

3、為戰(zhàn)利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放松警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。網絡信息安全一般的木馬都有客戶端和服務器端兩個執(zhí)行程序，其中客戶端是用于攻擊者遠程控制植入木馬的機器，服務器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務器端程序植入到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件弄到被攻擊者的電腦系統(tǒng)里，如郵件、下載等，然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件，比如故意謊稱這是個木馬執(zhí)行文件是你朋友送給你賀卡，可能你打開這個文件后，確實有賀卡的畫面出現(xiàn)，但這時可能木馬已經悄悄在

4、你的后臺運行了。一般的木馬執(zhí)行文件非常小，大都是幾K到幾十K，如果把木馬捆綁到其它正常文件上，你很難發(fā)現(xiàn)的，所以，有一些網站提供的軟件下載往往是捆綁了木馬文件的，在你執(zhí)行這些下載的文件，也同時運行了木馬。 特洛伊木馬網絡信息安全木馬演示使用“冰河”進行遠程控制“冰河”包含兩個程序文件，一個是服務器端，另一個是客戶端?！氨?.2”得文件列表如圖所示。網絡信息安全防火墻的定義防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋，如圖所示。網絡信息安全防火墻的定義這里所說的防火墻不是指為了防火而造的墻，而是指隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)。在互聯(lián)網上，

5、防火墻是一種非常有效的網絡安全系統(tǒng)，通過它可以隔離風險區(qū)域（Internet或有一定風險的網絡）與安全區(qū)域（局域網）的連接，同時不會妨礙安全區(qū)域對風險區(qū)域的訪問，網絡防火墻結構如圖所示。Intranet防 火 墻Internet客戶機電子郵件服務器Web服務器數據庫服務器網絡信息安全防火墻的功能根據不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈嗟挠脩暨M入內部網絡，過濾掉不安全的服務和非法用戶防止入侵者接近網絡防御設施限制內部用戶訪問特殊站點網絡信息安全防火墻的局限性沒有萬能的網絡安全技術，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網絡內部的攻

6、擊。比如：防火墻無法禁止變節(jié)者或內部間諜將敏感數據拷貝到軟盤上。防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網絡訪問權限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒。網絡信息安全虛擬專用網技術簡介虛擬專用網(VPN)是利用現(xiàn)有的公共網絡環(huán)境構建的具有安全性、獨占性、自成一體的虛擬網絡。它實際上是一個在互聯(lián)網等公用網絡上的一些節(jié)點的集合。這些節(jié)點之間采用了專用加密和認證技術來相互通信，好像用專線連接起來一樣。虛擬專用網可以在兩個異地子網之間建立安全的通道。 網絡信息安全加密技術加密是指將

7、數據進行編碼，使它成為一種按常規(guī)不可理解的形式，這種不可理解的內容叫密文。解密是加密的逆過程，即將密文還原成原來可理解的形式。數據加密技術的關鍵元素包括加密算法和密鑰。加密算法是一組打亂和恢復數據的指令集或一個數學公式。密鑰則是算法中的可變參數。 舉例：How are youlsa evi csy。 1加密與解密 網絡信息安全加密技術對同樣的明文，可使用不同的加密算法。即使使用相同的加密算法，如果使用的密鑰不同也會得出不同的密文。衡量一個加密技術的可靠性，主要取決于解密過程的難度，而這取決于密鑰的長度。廣泛應用的加密技術是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。

8、1加密與解密 網絡信息安全簡單的加密樸素的密碼：天王蓋地虎 -寶塔鎮(zhèn)河妖 凱撒密碼：hello - jgnnq凱撒密碼的字母對應關系： a b c d e f g h i x y z c d e f g h I j k z a b 棋盤密碼：123451ABCDE2FGHI JK3LMNOP4QRSTU5VWXYZ網絡信息安全加密技術2對稱密鑰加密體制 對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密，發(fā)送者和接收者用相同的密鑰。 網絡信息安全加密技術非對稱密鑰加密系統(tǒng)，又稱公鑰和私鑰系統(tǒng)。其特點是加密和解密使用不同的密鑰。3非對稱密鑰加密體制 網絡信息安全加密技術非對稱加密系統(tǒng)的關鍵是尋找

9、對應的公鑰和私鑰，并運用某種數學方法使得加密過程不可逆，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密；反之亦然。非對稱密鑰加密的典型算法是RSA。RSA算法的理論基礎是數論的歐拉定律，其安全性是基于大數分解的困難性。3非對稱密鑰加密體制 網絡信息安全加密技術RSA的加密方法：（1）發(fā)送保密信息。發(fā)送者用接受者的公鑰加密，接受者用自己的私鑰解密。由于別人不知道接受者的私鑰，無法竊取信息。（2）確認發(fā)送者的身份。發(fā)送者用自己的私鑰加密，接受者用發(fā)送者的公鑰解密。由于別人不知道發(fā)送者的私鑰，無法發(fā)出能用其公鑰解開的信息，因此發(fā)送者無法抵賴。 3非對稱密鑰加密體制 網絡信息安全加密技術優(yōu)點： (

10、1)解決了密鑰管理問題，通過特有的密鑰發(fā)放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散； (2)由于密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高； (3)具有很高的加密強度。缺點：加密、解密的速度慢 3非對稱密鑰加密體制 網絡信息安全山東大學王小云喜摘陳嘉庚科學獎 獲30萬獎金密碼專家王小云令世界震驚 國際著名密碼學家、圖靈獎獲得者兼公鑰加密算法RSA的創(chuàng)始人Rivest：“SHA-1的破譯令人吃驚! “數字簽名的安全性在降低，這再一次提醒需要替換算法! “現(xiàn)在美國國家標準技術研究院可能需要將更新密碼的日程提前!”“中國的這幾位研究人員太瘋狂了！ “中國政府怎么可以不知道王

11、小云？！王小云破解MD5，我們白白葬送了一個致命性戰(zhàn)略武器! 網絡信息安全認證技術(1)數字摘要做法：數字摘要采用單向Hash函數對信息進行某種變換運算得到固定長度的摘要，并在傳輸信息時將之加入文件一同送給接收方；接收方收到文件后，用相同的方法進行變換運算得到另一個摘要；然后將自己運算得到的摘要與發(fā)送過來的摘要進行比較。這種方法可以驗證數據的完整性。 1常用的安全認證技術 網絡信息安全認證技術1常用的安全認證技術 網絡信息安全認證技術(2)數字簽名 數字簽名是指發(fā)送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內容負有責任。數字簽名綜合使用了數字摘要和非對稱加密技術，可以在保證數據

12、完整性的同時保證數據的真實性。 1常用的安全認證技術 網絡信息安全認證技術1常用的安全認證技術 網絡信息安全認證技術(3)數字證書 數字證書(Digital ID) 含有證書持有者的有關信息，是在網絡上證明證書持有者身份的數字標識，它由認證中心(CA)頒發(fā)。CA是一個專門驗證交易各方身份的權威機構，它向涉及交易的實體頒發(fā)數字證書。數字證書由CA做了數字簽名，任何第三方都無法修改證書內容。交易各方通過出示自己的數字證書來證明自己的身份。 1常用的安全認證技術 網絡信息安全認證技術數字證書的內部格式是由CCITT X.509國際標準所規(guī)定的，它包含了以下幾點： 數字證書擁有者的姓名 數字證書擁有者

13、的公共密鑰 公共密鑰的有效期 頒發(fā)數字證書的單位 數字證書的序列號 (Serial number) 頒發(fā)數字證書單位的數字簽名 1常用的安全認證技術 網絡信息安全認證技術數字證書的申請和簽發(fā)步驟： 申請者向某CA申請數字證書后，下載并安裝該CA的“自簽名證書”或更高級的CA向該CA簽發(fā)的數字證書，驗證CA身份的真實性。 申請者的計算機隨機產生一對公私密鑰。 申請者把私鑰留下，把公鑰和申請明文用CA的公鑰加密，發(fā)送給CA。 CA受理證書申請并核實申請者提交的信息. CA用自己的私鑰對頒發(fā)的數字證書進行數字簽名，并發(fā)送給申請者。 經CA簽名過的數字證書安裝在申請方的計算機上。1常用的安全認證技術

14、網絡信息安全認證技術數字證書的驗證過程(以A、B雙方進行安全通信時B驗證A的數字證書為例 )： B要求A出示數字證書。 A將自己的數字證書發(fā)送給B。 B首先驗證簽發(fā)該證書的CA是否合法。 B用CA的公鑰解密A證書的數字簽名，得到A證書的數字摘要。 B用摘要算法對A的證書明文制作數字摘要。 B將兩個數字摘要進行對比。如相同，則說明A的數字證書合法。 1常用的安全認證技術 網絡信息安全認證技術認證中心(Certificate Authority)是承擔網上安全電子交易認證服務，能簽發(fā)數字證書，確認用戶身份的服務機構。CA通常是企業(yè)性的服務機構，主要任務是受理數字證書的申請、簽發(fā)及對數字證書的管理。

15、在實際運作中，CA可由大家都信任的一方擔當。CA的職能：證書發(fā)放、證書更新、證書撤銷和證書驗證。 2安全認證機構 網絡信息安全設置密碼的竅門 密碼設置的禁忌：使用大寫字母和小寫字母、標點和數字的集合；在不同賬號里使用不同的密碼；有規(guī)律的更換密碼，為了容易記起要更換密碼，將它和一件事聯(lián)系起來。例如在每月的第一天或發(fā)薪日更換密碼；密碼至少要6個字符，您的密碼字符數越多，就越難被查出；使用一個方便您記憶的密碼，那么您就不必寫下來了；不要以任何形式使用您的用戶名或是注冊名；不要使用您的名字，或是家庭成員或寵物的名字；不要使用可以輕易猜測到的密碼（包括執(zhí)照號碼、電話號碼、身份證號碼、手機號碼、居住的街道

16、名等）。 網絡信息安全網絡信息的安全風險物理風險比如自然災害，電力供應突然中斷，靜電、強磁場破壞硬件設備以及設備老化等引起的風險。無意錯誤風險-是指由于人為或系統(tǒng)錯誤而影響信息的完整性、機密性和可用性。網絡信息安全網絡信息的安全風險有意破壞風險指內部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機密性、完整性、可用性和可控性。比如：有意破壞基礎設施、擴散計算機病毒、電子欺騙等。 這種風險帶來的破壞一般而言是巨大的。嚴重時會引起整個系統(tǒng)的癱瘓和不可恢復。網絡信息安全網絡信息的安全風險管理風險指因為口令和密鑰管理不當、制度遺漏，崗位、職責設置不全面等因素引起信息泄露、系統(tǒng)無序運行等。其它風險指

17、除上述所列舉的一些風險外，一切可能危及信息系統(tǒng)的機密性、完整性、可用性、可控性和系統(tǒng)正常運行的風險。 網絡信息安全網絡信息的安全目標網絡層次：可靠性、可控性、可互操作性、可計算性信息層次：完整性、保密性、不可否認性設備層次：質量保證、設備備份、物理安全經營管理層次：人員可靠、規(guī)章制度完善網絡信息安全網絡信息的安全環(huán)境社會環(huán)境三個層次：個人、組織、國家主要攻擊手段：中斷系統(tǒng)可用性刪改系統(tǒng)完整性竊取系統(tǒng)保密性偽造系統(tǒng)真實性技術環(huán)境：漏洞、后門物理自然環(huán)境網絡信息安全我國網絡信息安全管理存在的主要問題缺乏信息安全意識和明確的信息安全方針缺乏完整的信息安全管理制度；缺乏對政府工作人員進行必要的安全法律法規(guī)和防范安全風險的教育和培訓；現(xiàn)有的安全規(guī)章不能嚴格實施等。重視安全技術，輕視安全管理系統(tǒng)的運行、維護、