網(wǎng)絡信息安全資料

4.5網(wǎng)絡信息安全4.6.1概述4.6.2數(shù)據(jù)加密4.6.3數(shù)字簽名4.6.4身份鑒別與訪問控制4.6.5防火墻與入侵檢測4.6.6計算機病毒防范網(wǎng)絡信息安全資料全文共34頁，當前為第1頁。4.5.1概述網(wǎng)絡信息安全資料全文共34頁，當前為第2頁。網(wǎng)絡信息安全受到的威脅及對策篡改sd數(shù)據(jù)被破壞，失去完整性

2保證數(shù)據(jù)完整性：所傳輸?shù)慕灰仔畔⒅型静槐淮鄹?，一旦遭到篡改很快就能發(fā)現(xiàn)

偽造sd數(shù)據(jù)(包括用戶身份)被偽造，失去真實性

3真實性鑒別：對交易雙方的身份進行認證，保證交易雙方的身份正確無誤

竊聽sd數(shù)據(jù)被非法拷貝,危及數(shù)據(jù)的機密性

1數(shù)據(jù)加密：即使數(shù)據(jù)在網(wǎng)絡傳輸過程中被他人竊取，也不會泄露秘密

4防止否認：交易完成后，應保證交易的任何一方無法否認已發(fā)生的交易網(wǎng)絡信息安全資料全文共34頁，當前為第3頁。確保信息安全的技術措施（1）真實性鑒別：對通信雙方的身份和所傳送信息的真?zhèn)文軠蚀_地進行鑒別（2）訪問控制：控制用戶對信息等資源的訪問權限，防止未經(jīng)授權使用資源

（3）數(shù)據(jù)加密：保護數(shù)據(jù)秘密，未經(jīng)授權其內容不會顯露（4）保證數(shù)據(jù)完整性：保護數(shù)據(jù)不被非法修改，使數(shù)據(jù)在傳送前、后保持完全相同（5）保證數(shù)據(jù)可用性：保護數(shù)據(jù)在任何情況（包括系統(tǒng)故障）下不會丟失（6）防止否認：防止接收方或發(fā)送方抵賴（7）審計管理：監(jiān)督用戶活動、記錄用戶操作等網(wǎng)絡信息安全資料全文共34頁，當前為第4頁。4.5.2數(shù)據(jù)加密網(wǎng)絡信息安全資料全文共34頁，當前為第5頁。數(shù)據(jù)加密的基本概念加密前的原始數(shù)據(jù)加密后的數(shù)據(jù)只有收/發(fā)方知道的用于加密和解密的信息密碼(cipher):將明文與密文進行相互轉換的算法解密后恢復的數(shù)據(jù)目的：即使被竊取，也能保證數(shù)據(jù)安全重要性：數(shù)據(jù)加密是其他信息安全措施的基礎基本概念：網(wǎng)絡信息安全資料全文共34頁，當前為第6頁。加密算法的基本思想改變明文中符號的排列，或按照某種規(guī)律置換明文中的符號例1移位式‘helpme’變成‘ehplem’

例2替代式(愷撒密碼)：phhwphdiwhuwkhfodvv將文本中每個英文字母替換為字母表中排列在其后的第k1個字母meetmeaftertheclassk1=3meetmeaftertheclass將文本中每個英文字母替換為字母表中排列在其前的第k2個字母K2=3abcdefghijklmdefghijklmnopnopqrstuvwxyzqrstuvwxyzabcabcdefghijklmxyzabcdefghijnopqrstuvwxyzklmnopqrstuvw網(wǎng)絡信息安全資料全文共34頁，當前為第7頁。對稱密鑰加密方法特點：加密的密鑰也用于解密密鑰越長，安全性越好計算量適中，速度快，適用于對大數(shù)據(jù)量消息加密明文明文密文加密解密密鑰K1密鑰K2（數(shù)據(jù)傳輸）密鑰K1=K2對稱密鑰加密方法的標準DES算法（密鑰長度56位）：共有256＝7.2×1016種可能，1998年使用窮舉法僅花費了22小時15分鐘就攻破DES現(xiàn)在廣泛使用AES(高級加密標準)，其密鑰長度為：128、192或256位計算安全性(Computationally)破解的代價超過了消息本身的價值破解的時間超過了消息本身的有效期網(wǎng)絡信息安全資料全文共34頁，當前為第8頁。非對稱密鑰加密方法——公鑰加密使用乙的公鑰加密甲乙密文乙丙丁戊使用乙的私鑰解密加密器解密器明文明文甲的公鑰環(huán)使用一對不相同的密鑰：私鑰只有本人知道，公鑰可讓其他用戶知道甲方使用乙的公鑰進行加密乙方利用自己的私鑰解密使用公鑰無法恢復明文，也無法推斷出私鑰乙用私鑰加密的消息，甲只有使用乙的公鑰才能解密只要密鑰長度足夠長，用RSA加密的信息目前還不能被破解網(wǎng)上銀行使用的RSA算法，其密鑰長度為1024或2048位網(wǎng)絡信息安全資料全文共34頁，當前為第9頁。選講：

公鑰加密舉例（RSA算法）產(chǎn)生密鑰對：選擇兩個素數(shù)p和q,且pq計算：n=pq,z=(p-1)(q-1)選擇一個比z小的整數(shù)e,使得e和z互質計算d，使得ed-1能被z整除于是公鑰為：{e,n}私鑰為：{d,n}使用：加密:C=Memodn解密:M=Cdmodn選擇:p=5,q=7計算：n=35,z=24選擇:e=5,5和24互質選擇：d=29,

(因為(5x29-1)/24=0)于是公鑰為：{5,35}私鑰為：{29,35}使用舉例：設明文中的字母為L，即M=12加密:C=125mod35=17解密:M=1729mod35=12z稱為n的Euler數(shù)由于n=pq是公開的，所以，為了防止攻擊者利用n推算出p和q，必須選擇足夠大的素數(shù)p和q，使n達到1024位以上，才能不被破解n為6bits網(wǎng)絡信息安全資料全文共34頁，當前為第10頁。4.5.3數(shù)字簽名用于認證消息的真實性網(wǎng)絡信息安全資料全文共34頁，當前為第11頁。消息認證(MessageAuthentication)在通信過程中，應防止發(fā)生：偽造消息（無中生有）■竄改消息內容消息認證：對收到的消息進行驗證，驗證它確實來自聲稱的發(fā)送方(消息的真實性)，且沒有被修改過(消息的完整性)常規(guī)解決方案：簽字蓋章，人工檢驗有無涂改跡象與被簽文件在物理上不可分割簽名者不能否認自己的簽名簽名不能被偽造計算機網(wǎng)絡的解決方案：數(shù)字簽名網(wǎng)絡信息安全資料全文共34頁，當前為第12頁。什么是數(shù)字簽名？數(shù)字簽名的含義：數(shù)字簽名是與消息一起發(fā)送的一串代碼，它無法偽造，并能發(fā)現(xiàn)消息內容的任何變化數(shù)字簽名的目的：讓對方相信消息的真實性數(shù)字簽名的用途：在電子商務和電子政務中用來鑒別消息的真?zhèn)螌?shù)字簽名的要求：無法偽造能發(fā)現(xiàn)消息內容的任何變化網(wǎng)絡信息安全資料全文共34頁，當前為第13頁。數(shù)字簽名的處理過程hashing摘要消息正文私鑰加密數(shù)字簽名添加至正文附有數(shù)字簽名的消息數(shù)字簽名①②③傳送對原始消息的正文進行散列處理生成消息的摘要使用消息發(fā)送人的私鑰對摘要進行加密而得到數(shù)字簽名接收方使用發(fā)送方的公鑰對數(shù)字簽名解密恢復出消息摘要對收到的原始消息正文進行散列處理得到一個新的摘要對比附有數(shù)字簽名的消息數(shù)字簽名網(wǎng)絡傳送給接收方將數(shù)字簽名添加到原始消息④⑤⑥⑦數(shù)字簽名正確消息未被篡改網(wǎng)絡信息安全資料全文共34頁，當前為第14頁。數(shù)字簽名中的雙重加密用接收方的公鑰對已添加了數(shù)字簽名的消息再進行加密用接收方的私鑰對接收的消息解密并取出數(shù)字簽名用發(fā)送方的私鑰加密信息摘要，得到數(shù)字簽名用發(fā)送方的公鑰解密數(shù)字簽名，得到信息摘要網(wǎng)絡信息安全資料全文共34頁，當前為第15頁。4.5.4身份鑒別與訪問控制網(wǎng)絡信息安全資料全文共34頁，當前為第16頁。身份鑒別(認證)身份鑒別的含義:證實某人的真實身份是否與其所聲稱的身份相符,以防止欺詐和假冒什么時候進行?在用戶登錄某個系統(tǒng)，或者在訪問/傳送重要消息時進行身份鑒別的依據(jù)(方法):鑒別對象本人才知道的信息(如口令、私鑰、身份證號等)鑒別對象本人才具有的信物(例如磁卡、IC卡、USB鑰匙等)鑒別對象本人才具有的生理特征(例如指紋、手紋等)通常在注冊時記錄在案口令（密碼）容易被猜、被盜、被偷窺，電腦中植入的木馬程序會記錄操作者的鍵入數(shù)據(jù)，發(fā)送給黑客進行分析，以查找密碼雙因素認證（口令+磁卡，口令+U盾）大大提高了安全性！網(wǎng)絡信息安全資料全文共34頁，當前為第17頁。選講：

例：網(wǎng)上銀行的身份認證/信息安全網(wǎng)上銀行：使用因特網(wǎng)完成銀行的各種金融服務，如賬戶查詢、轉賬、網(wǎng)上支付等網(wǎng)上銀行的組成：客戶端：電腦(手機)，以及USBKey、口令卡等通信網(wǎng)絡：使用HTTPS協(xié)議保證傳輸過程中不被竊聽服務器：高效和安全地處理各種網(wǎng)上銀行業(yè)務網(wǎng)上銀行用戶身份認證的3種方式：用戶名+口令（僅適合賬戶查詢）用戶名+口令+文件證書（數(shù)字證書在瀏覽器中）用戶名+口令+USB證書（數(shù)字證書在U盾中）網(wǎng)絡信息安全資料全文共34頁，當前為第18頁。選講：

數(shù)字證書數(shù)字證書是一組數(shù)據(jù)構成的電腦文件，包含用戶的身份信息、頒證機構、有效期及一個公鑰。憑借數(shù)字證書，擁有人可在互聯(lián)網(wǎng)交往中互相識別對方的身分，確保信息安全數(shù)字證書從數(shù)字證書認證中心（CA中心）獲得，獲得的證書可存放在：瀏覽器、U盾、IC卡中數(shù)字證書用途：

證實用戶身份驗證網(wǎng)站(或軟件)是否可信進行數(shù)字簽名，確保通信真實、不可抵賴網(wǎng)絡信息安全資料全文共34頁，當前為第19頁。選講：

U盾(USBKey)U盾外形像U盤，它包含有嵌入式處理器與數(shù)字證書等嵌入式處理器負責進行數(shù)據(jù)加密/解密和數(shù)字簽名處理，采用1024位非對稱RSA加密算法，它為為用戶產(chǎn)生一個私鑰(唯一序列號)U盾使用前需把權威機構(CA中心)頒發(fā)的數(shù)字證書下載到U盾中，數(shù)字證書包含有客戶身份信息及相應的公鑰U盾在使用網(wǎng)上銀行進行交易時的2個作用：使用U盾中的數(shù)字證書進行用戶身份認證借助嵌入式處理器對交易數(shù)據(jù)進行數(shù)字簽名，確保信息不被篡改和交易不可抵賴網(wǎng)絡信息安全資料全文共34頁，當前為第20頁。選講：

例：網(wǎng)上銀行交易過程1客戶輸入本人賬號、口令，登錄網(wǎng)上銀行，選擇匯款操作2輸入收款人賬號、姓名、開戶行名稱、匯款金額等數(shù)據(jù)（明文）3插入U盾，輸入U盾口令啟動U盾工作，銀行服務器驗證U盾中的證書，確認客戶身份（需查詢證書有效期和是否列入黑名單），取得客戶的公鑰4U盾使用客戶的私鑰對上述匯款信息進行數(shù)字簽名，附加于匯款信息5U盾隨機產(chǎn)生一個密鑰，使用對稱密鑰加密算法對匯款信息和數(shù)字簽名進行加密，形成交易密文6U盾使用銀行的公鑰對隨機產(chǎn)生的密鑰進行加密，然后隨同交易密文一起發(fā)送給銀行7銀行接收到信息后使用銀行自己的私鑰進行解密，得到客戶端隨機產(chǎn)生的對稱密鑰8銀行使用對稱密鑰對交易密文解密，得到匯款數(shù)據(jù)的明文和附加的數(shù)字簽名9銀行使用客戶的公鑰對數(shù)字簽名進行驗證，若正確則進行匯款處理，否則拒絕交易，通知客戶網(wǎng)絡信息安全資料全文共34頁，當前為第21頁。選講：

使用網(wǎng)銀安全須知

1、盡量使用各大銀行提供的安全系數(shù)高的方式進行網(wǎng)銀操作

2、采用文件證書時，證書文件不要備份存在電腦中3、U盾網(wǎng)銀用戶，在每次完成網(wǎng)銀操作后，要盡快拔下U盾4、安裝安全軟件并定期進行打補丁和查殺，封堵住木馬入侵的通道，確保電腦中沒有木馬。5、避免在網(wǎng)吧等公用電腦上使用網(wǎng)銀

6、為網(wǎng)銀設置專門的密碼，不使用簡單密碼

7、切勿通過鏈接或網(wǎng)上搜索引擎登錄網(wǎng)上銀行

8、登入網(wǎng)上銀行前，先關閉其他所有瀏覽器窗口保護好銀行卡號、登錄密碼、U盾和U盾密碼，千萬不能同時丟失！網(wǎng)絡信息安全資料全文共34頁，當前為第22頁。選講：

無線路由器的信息安全避免他人“蹭網(wǎng)”：身份認證，使用有一定強度的口令（密碼）關閉SSID廣播使用“MAC地址過濾”來限制他人連接增強數(shù)據(jù)通信安全：WEP加密WPA加密WPA2加密個人模式（WPA-PSK/WPA2-PSK）企業(yè)模式（WPA/WPA2）修改設置路由器的默認口令弱強網(wǎng)絡信息安全資料全文共34頁，當前為第23頁。什么是訪問控制?訪問控制的含義:計算機對系統(tǒng)內的每個信息資源規(guī)定各個用戶(組)對它的操作權限（是否可讀、是否可寫、是否可修改等）訪問控制是在身份鑒別的基礎上進行的訪問控制的任務:對所有信息資源進行集中管理對信息資源的控制沒有二義性（各種規(guī)定互不沖突）有審計功能（記錄所有訪問活動,事后可以核查）網(wǎng)絡信息安全資料全文共34頁，當前為第24頁。文件的訪問控制舉例用戶功能讀寫編輯刪除轉發(fā)打印復制董事長√√√√

√√

√總經(jīng)理√

√√

√科長√

√√

組長√√√

√

···

網(wǎng)絡信息安全資料全文共34頁，當前為第25頁。4.5.5防火墻與入侵檢測網(wǎng)絡信息安全資料全文共34頁，當前為第26頁。網(wǎng)絡會遭受多種攻擊網(wǎng)絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲網(wǎng)絡信息安全資料全文共34頁，當前為第27頁。因特網(wǎng)防火墻什么是因特網(wǎng)防火墻(Internetfirewall)?用于將因特網(wǎng)的子網(wǎng)（最小子網(wǎng)是1臺計算機）與因特網(wǎng)的其余部分相隔離,以維護網(wǎng)絡信息安全的一種軟件或硬件設備防火墻的原理:防火墻對流經(jīng)它的信息進行掃描，確保進入子網(wǎng)和流出子網(wǎng)的信息的合法性，它還能過濾掉黑客的攻擊，關閉不使用的端口，禁止特定端口流出信息,等等防火墻因特網(wǎng)包過濾器內部網(wǎng)網(wǎng)絡信息安全資料全文共34頁，當前為第28頁。入侵檢測入侵檢測（IntrusionDetection）是主動保護系統(tǒng)免受攻擊的一種網(wǎng)絡安全技術原理：通過在網(wǎng)絡若干關鍵點上監(jiān)聽和收集信息并對其進行分析，從中發(fā)現(xiàn)問題，及時進行報警、阻斷和審計跟蹤入侵檢測是防火墻的有效補充：可檢測來自內部的攻擊和越權訪問，防火墻只能防外可以有效防范利用防火墻開放的服務進行的入侵網(wǎng)絡信息安全資料全文共34頁，當前為第29頁。4.5.6計算機病毒防范網(wǎng)絡信息安全資料全文共34頁，當前為第30頁。什么是計算機病毒?計算機病毒是有人蓄意編制的一種具有自我復制能力的、寄生性的、破壞性的計算機程序計算機病毒能在計算機中生存，通過自我復制進行傳