第章信息安全基礎(chǔ)知識(shí)

第9章信息安全基礎(chǔ)知識(shí)主要內(nèi)容9.1密碼學(xué)9.2認(rèn)證9.3計(jì)算機(jī)病毒9.4黑客9.5防火墻29.1.1什么是密碼學(xué)密碼學(xué)的概念

密碼學(xué)是研究如何實(shí)現(xiàn)秘密通信的科學(xué)。它所提供的最基本的服務(wù)就是消息的發(fā)送者通過對(duì)消息進(jìn)行加密，將消息變換成不可讀的方式；接收者收到消息后，用通信雙方事先約定好的方法進(jìn)行變換，還原為消息的原始狀態(tài)。3加密解密過程一個(gè)消息的原始狀態(tài)稱之為明文，經(jīng)過密碼學(xué)方法處理后的消息稱之為密文，將明文變換為密文的方式稱為加密，反之則稱之為解密，如圖9-1所示。4密碼系統(tǒng)密碼系統(tǒng)包括算法以及密鑰。5密鑰類似于銀行卡的密碼，開門的鑰匙。算法則是解密的方法，開門的方式。討論：密碼算法是否應(yīng)該公開？雖然銀行卡的原理是眾所周知的（輸入6位秘密數(shù)字，就可以取錢或消費(fèi)），但在不知道密碼的情況下，試圖從別人的銀行卡取錢并非易事。9.1.2如何加密6凱撒算法：

將信息中的每一個(gè)字母用字母表中的該字母后的第三個(gè)字母代替，如圖9-2所示。凱撒算法的改進(jìn)7改進(jìn)方法1在1～25之間隨機(jī)選擇一個(gè)數(shù)字作為移位個(gè)數(shù)，不再固定為3。monoalphabetic算法不采用固定移位的方式將字母變換為密文，即隨機(jī)的將一個(gè)字母替換為另一個(gè)固定字母。如我們選擇1，則APPLE被替換為BQQMF；選擇25，則APPLE被替換為ZOOKD。明碼表：ABCDEFGHIJKLMNOP…密碼表：UTXPQYOWLSZEADBI…APPLEUIIEQ9.1.3如何解密8已知密文攻擊條件：密文足夠多。難題：能否判斷解密是否成功。已知明文攻擊條件：已知部分明文-密文對(duì)。目標(biāo)：推出用來加密的密鑰或算法。選擇明文攻擊條件：可任選一段明文，獲得相應(yīng)密文。目標(biāo)：通過使用被攻擊的加密算法加密，獲得加密算法信息Thequickbrownfoxjumpsoverthelazydog.什么是好的密碼系統(tǒng)不可破解算法可以公開適用所有元素易于實(shí)現(xiàn)，便于使用9.1.3如何解密9.1.4神奇的公鑰Thequickbrownfoxjumpsoverthelazydog.公鑰私鑰Thequickbrownfoxjumpsoverthelazydog.#*@#&*%$^&*!@~*明文密文明文竊密者不僅加密算法，甚至加密用的密鑰（公鑰）也可以公開。傳輸密文RSA體制：基于大數(shù)分解問題。AB數(shù)字簽簽名11數(shù)字簽名名可以以永久久地與與被簽簽署信信息結(jié)結(jié)合，，無法法自信信息上上移除除。生成簽簽章討論：：公鑰鑰體制制如何何實(shí)現(xiàn)現(xiàn)信息息通信信的保保密性性和不不可否否認(rèn)性性？9.1.5奇怪的的哈希希12目標(biāo)文本哈希函數(shù)雜湊字串哈希（（Hash）算法法也稱稱為散散列函函數(shù)，，是一一種單向密碼體體制。。將任意意長(zhǎng)度度的二二進(jìn)制制值經(jīng)過哈哈希方方法映映射固定長(zhǎng)長(zhǎng)度的二進(jìn)制串串它是一個(gè)從從明文到密密文的不可可逆的映射射,只有加密過過程,沒有解密過過程。主要內(nèi)容9.1密碼學(xué)9.2認(rèn)證9.3計(jì)算機(jī)病毒毒9.4黑客9.5防火墻139.2認(rèn)證用戶認(rèn)證是由由計(jì)算機(jī)驗(yàn)驗(yàn)證你是否否是你聲稱稱的那個(gè)人人，這主要要包括三個(gè)個(gè)方面：14你所知道的內(nèi)容你所擁有的東西你是誰9.2.1口令15證明自己的的身份密碼泄露9.2.2猜口令口令的復(fù)雜雜程度實(shí)際上攻擊者只要要進(jìn)行足夠夠多的猜解解嘗試，不不管我們?nèi)缛绾芜x擇口口令，這些些口令都是是可以猜解解的（窮舉舉法）。因因此系統(tǒng)的用戶口令令是否安全全取決于需需要多少次次猜解，以以及猜解的的速度有多多快。銀行卡系統(tǒng)統(tǒng)的安全性性問題16純數(shù)字順序字符臨近字符000000abcdef123qwe111111abcabcqwerty123456aaa1111Qweasd666666Abc123iloveu………………中國(guó)版“弱弱密碼”179.2.3貼在顯示器器上的口令令計(jì)算機(jī)系統(tǒng)統(tǒng)利用攝像像機(jī)獲取識(shí)識(shí)別對(duì)象的的面部圖像像后與數(shù)據(jù)據(jù)庫圖像進(jìn)進(jìn)行比對(duì)，，完成識(shí)別別過程。是根據(jù)說說話人的發(fā)音音生理和和行為特特征，識(shí)別說說話人身身份的一種生生物識(shí)別別方法。。使用光學(xué)設(shè)備備發(fā)出的的低強(qiáng)度度光源掃掃描視網(wǎng)網(wǎng)膜上獨(dú)獨(dú)特的圖圖案，視視網(wǎng)膜掃掃描是十十分精確確的。指紋識(shí)別別技術(shù)是目前最最成熟、、應(yīng)用最最為廣泛泛且價(jià)格格便宜的的生物特特征識(shí)別別技術(shù)。。9.2.4生物特征征使用設(shè)備備測(cè)量用用戶的生物特特征并和和用戶檔檔案進(jìn)行行對(duì)比。。18指紋識(shí)別別視網(wǎng)膜掃掃描聲紋識(shí)別別面部識(shí)別別主要內(nèi)容容9.1密碼學(xué)9.2認(rèn)證9.3計(jì)算機(jī)病病毒9.4黑客9.5防火墻199.3計(jì)算機(jī)病毒9.3.1計(jì)算機(jī)病毒的的定義及危害20定義所謂計(jì)算機(jī)病病毒，是指編編制或在計(jì)算算機(jī)程序中插插入的破壞計(jì)計(jì)算機(jī)功能或或者毀壞數(shù)據(jù)據(jù)，影響計(jì)算算機(jī)使用，并并能自我復(fù)制的一組計(jì)算機(jī)機(jī)指令或程序代代碼。危害正常的程序無法運(yùn)運(yùn)行，計(jì)算機(jī)內(nèi)的文件被刪除或或受損。計(jì)算算機(jī)引導(dǎo)扇區(qū)及BIOS、硬件環(huán)境被被破壞。9.3.2計(jì)算機(jī)病毒的的分類及特征征21引導(dǎo)扇區(qū)病毒能夠替換計(jì)算機(jī)啟動(dòng)時(shí)要使用的引導(dǎo)扇區(qū)程序，當(dāng)計(jì)算機(jī)運(yùn)行受感染的引導(dǎo)程序時(shí)，便把病毒加載到了內(nèi)存之中，隨即傳染到插入該計(jì)算機(jī)中的任何磁盤上。文件病毒文件病毒依附于程序文件上或者替換掉原來的文件，這樣當(dāng)其他文件訪問這個(gè)文件時(shí)，病毒便乘機(jī)傳播過去。特洛伊木馬病毒病毒偽裝成一個(gè)實(shí)用工具或者游戲甚至一個(gè)位圖文件等等，誘使用戶將其安裝在PC或者服務(wù)器上。其名稱來源于希臘神話，有“一經(jīng)潛入，后患無窮”之意。1.計(jì)算機(jī)病毒分分類9.3.2計(jì)算機(jī)病毒的的分類及特征征22宏病毒宏病毒使用像Word、電子表格之類的應(yīng)用程序的宏來隱藏病毒代碼，當(dāng)用戶打開一個(gè)感染宏病毒的文檔時(shí)，宏病毒便會(huì)加載到內(nèi)存之中。邏輯炸彈大多數(shù)病毒，在計(jì)算機(jī)訪問或運(yùn)行染毒文件或程序時(shí)就立即發(fā)作。也有一些病毒，需要特定的條件才能觸發(fā)，稱作邏輯炸彈或時(shí)間炸彈的病毒就是如此。蠕蟲病毒蠕蟲與病毒有所不同，它不把本身程序依附在其他程序之上，而是不斷地把本身程序復(fù)制到內(nèi)存中或硬盤上，直到占滿所有存儲(chǔ)空間為止。這時(shí)計(jì)算機(jī)被迫停止工作。1.計(jì)算機(jī)病毒分分類232.計(jì)算機(jī)病毒特特征9.3.2計(jì)算機(jī)病毒的的分類及特征征傳染性寄生性觸發(fā)性隱蔽性破壞性和傳染染性是絕大多多數(shù)病毒的主主要特點(diǎn)。病毒程序嵌入入到宿主程序序中，依賴于宿主主程序的執(zhí)行行而生存，用戶難以發(fā)發(fā)現(xiàn)它的存在。計(jì)算機(jī)病毒侵侵入系統(tǒng)后，，往往不是立立即發(fā)作，而而是有一定的的潛伏期。當(dāng)當(dāng)滿足病毒觸觸發(fā)條件時(shí)便便會(huì)發(fā)作。病毒的代碼千差萬別別，且技術(shù)不斷提高，病毒對(duì)反病毒毒軟件永遠(yuǎn)是是超前的。9.3.3計(jì)算機(jī)病毒的的傳播方式249.3.4計(jì)算機(jī)病毒的的防范對(duì)計(jì)算機(jī)病毒毒采取“預(yù)防防為主”的方針。25安裝反病毒軟件，定定期掃描系統(tǒng)。及時(shí)給系統(tǒng)打上補(bǔ)丁。將不不需需要要寫寫入入的的USB設(shè)備備設(shè)設(shè)置置成成寫寫保保護(hù)護(hù)狀狀態(tài)態(tài)，，以以防防止止病病毒毒的的侵侵入入。。不要要訪問問無無名名和和不不熟熟悉悉的的網(wǎng)網(wǎng)站站，到正正規(guī)規(guī)官官方方網(wǎng)網(wǎng)站站下載載軟軟件件。。不輕輕易易打打開開郵郵件件附附件件中的文文件件。。定期期拷貝貝重重要要的的軟軟件件和和數(shù)數(shù)據(jù)據(jù)作作為為備備份份，，以以免免遭遭受受病病毒毒侵侵害害后后不不能能恢恢復(fù)復(fù)。主要要內(nèi)內(nèi)容容9.1密碼碼學(xué)學(xué)9.2認(rèn)證證9.3計(jì)算算機(jī)機(jī)病病毒毒9.4黑客客9.5防火火墻墻269.4黑客客27黑客客一一詞詞，，源源于于英英文文Hacker，原原指指癡癡于于計(jì)計(jì)算算機(jī)機(jī)技技術(shù)術(shù)、、水水平平高高超超的的電電腦腦專專家家，，尤尤指指程程序序設(shè)設(shè)計(jì)計(jì)人人員員。。但到到了了今今天天，，黑黑客客一一詞詞已已被被用用于于泛泛指指那那些些專專門門入入侵侵破破壞壞系系統(tǒng)統(tǒng)和和盜盜竊竊系系統(tǒng)統(tǒng)中中有有用用數(shù)數(shù)據(jù)據(jù)的的人人。。9.4.1黑客攻攻擊的的一般般過程程28信息的收集系統(tǒng)安全弱點(diǎn)的探測(cè)建立模擬環(huán)境，進(jìn)行模擬攻擊具體實(shí)施網(wǎng)絡(luò)攻擊9.4.2黑客攻擊的手段291.協(xié)議欺騙攻擊源IP地址欺騙攻擊源路由欺騙攻擊2.DoS攻擊3.網(wǎng)絡(luò)嗅探攻擊4.緩沖區(qū)溢出攻擊9.4.3黑客攻擊的的防范范301.協(xié)議欺騙攻擊防范2.拒絕服務(wù)攻擊防范3.網(wǎng)絡(luò)嗅探攻擊防范4.緩沖區(qū)溢出攻擊防范拋棄基基于地地址的的信任任策略略使用加加密方方法進(jìn)行包包過濾配置好好路由由器，拋棄棄那些由由外部部網(wǎng)進(jìn)進(jìn)來的的卻聲聲稱是是內(nèi)部部主機(jī)機(jī)的報(bào)報(bào)文。。建議在在該網(wǎng)網(wǎng)段的的路由由器上上做些些配置置的調(diào)調(diào)整。。要防止止SYN數(shù)據(jù)段段攻擊擊，我我們應(yīng)應(yīng)對(duì)系系統(tǒng)設(shè)設(shè)定相相應(yīng)的的內(nèi)核核參數(shù)數(shù)。建議在在路由由器的的前端端做必必要的的TCP攔截。。對(duì)于信信息淹淹沒攻攻擊，，我們們應(yīng)關(guān)關(guān)掉可可能產(chǎn)產(chǎn)生無無限序序列的的服務(wù)務(wù)來防防止這這種攻攻擊。。網(wǎng)絡(luò)分分段加密一次性性口令令技術(shù)禁用雜雜錯(cuò)節(jié)節(jié)點(diǎn)程序指指針完完整性性檢查查堆棧的保護(hù)護(hù)數(shù)組邊界檢檢查主要內(nèi)內(nèi)容9.1密碼學(xué)學(xué)9.2認(rèn)證9.3計(jì)算機(jī)機(jī)病毒毒9.4黑客9.5防火墻墻319.5防火墻墻防火墻墻是一種保護(hù)護(hù)計(jì)算算機(jī)網(wǎng)網(wǎng)絡(luò)安安全的的訪問問控制制技術(shù)術(shù)。防火墻墻是一個(gè)個(gè)位于于內(nèi)部部網(wǎng)絡(luò)絡(luò)與Internet之間的的計(jì)算算機(jī)或或網(wǎng)絡(luò)絡(luò)設(shè)備備中的的一個(gè)個(gè)功能能模塊塊，是是按照照一定定的安安全策策略建建立起起來的的硬件件和軟軟件的的有機(jī)機(jī)組成體。。其目的是是為內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)或或主機(jī)機(jī)提供供安全全保護(hù)護(hù)。32防火墻墻是一個(gè)用用以阻阻止網(wǎng)網(wǎng)絡(luò)中中的黑黑客訪訪問某某個(gè)機(jī)機(jī)構(gòu)網(wǎng)網(wǎng)絡(luò)的的屏障障，也也可稱稱之為為控制制進(jìn)/出兩個(gè)方向向通信的門門檻。1.防火墻的基基本準(zhǔn)則一切未被允許的的就是禁止止的33一切未被禁禁止的就是是允許的2.防火墻的基基本功能34過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封