同方第4章46网络信息安全PPT课件

1、4.6 网络信息安全网络信息安全4.6.1 概述概述4.6.2 数据加密数据加密4.6.3 数字签名数字签名4.6.4 身份鉴别与访问控制身份鉴别与访问控制4.6.5 防火墙防火墙4.6.6 计算机病毒防范计算机病毒防范 24.6.1 概述概述3信息传输信息传输( (存储存储) )中受到的安全威胁中受到的安全威胁 传输中断传输中断 s d 伪造伪造 s d 篡改篡改 s d 窃听窃听 s d通信线路切断、文件系统瘫痪等,影响数据的可用性 文件或程序被非法拷贝,将危及数据的机密性 破坏数据的完整性 失去了数据（包括用户身份）的真实性 4确保信息安全的技术措施确保信息安全的技术措施（1 1）真实性

2、鉴别真实性鉴别：对通信双方的身份和所传送信息的真伪：对通信双方的身份和所传送信息的真伪能准确地进行鉴别能准确地进行鉴别（2 2）访问控制访问控制：控制用户对信息等资源的访问权限，防止：控制用户对信息等资源的访问权限，防止未经授权使用资源未经授权使用资源 （3 3）数据加密数据加密：保护数据秘密，未经授权其内容不会显露：保护数据秘密，未经授权其内容不会显露（4 4）保证数据完整性保证数据完整性：保护数据不被非法修改，使数据在：保护数据不被非法修改，使数据在传送前、后保持完全相同传送前、后保持完全相同（5 5）保证数据可用性保证数据可用性：保护数据在任何情况（包括系统故：保护数据在任何情况（包括系

3、统故障）下不会丢失障）下不会丢失（6 6）防止否认防止否认：防止接收方或发送方抵赖：防止接收方或发送方抵赖（7 7）审计管理审计管理：监督用户活动、记录用户操作等：监督用户活动、记录用户操作等54.6.2 数据加密数据加密6数据加密数据加密的基本思想的基本思想n目的：即使信息被窃取，也能保证数据安全目的：即使信息被窃取，也能保证数据安全n重要性：数据加密是其他信息安全措施的基础重要性：数据加密是其他信息安全措施的基础n基本思想：基本思想：n发送方改变原始信息中符号的排列方式或按照某种规律替换部发送方改变原始信息中符号的排列方式或按照某种规律替换部分或全部符号，使得只有合法的接收方通过数据解密才

4、能读懂分或全部符号，使得只有合法的接收方通过数据解密才能读懂接收到的信息接收到的信息n加密方法举例：加密方法举例：n将文本中每个小写英文字母替换为排列在字母表中其后面的第将文本中每个小写英文字母替换为排列在字母表中其后面的第3个字母个字母 原始数据：原始数据：meet me after the class 加密后数据：加密后数据：phhw ph diwhu wkh fodvv7数据加密的基本概念数据加密的基本概念n明文明文: :加密前的原始数据加密前的原始数据n密文密文: :加密后的数据加密后的数据( (用于传输或存储用于传输或存储) )n密码密码( (cipher): :将明文与密文进行相互

5、转换的算法将明文与密文进行相互转换的算法n密钥密钥: :在密码中使用且仅仅只有收发双方知道的用于加密在密码中使用且仅仅只有收发双方知道的用于加密和解密的信息和解密的信息8两类数据加密方法两类数据加密方法n对称密钥加密对称密钥加密n公共密钥加密公共密钥加密 明文明文明文明文密文密文加密加密解密解密密钥密钥k1密钥密钥k2（数据传输）（数据传输）密钥密钥k1=k2，但密钥的管理和，但密钥的管理和分发太复杂分发太复杂 使用乙的使用乙的公钥加密公钥加密甲甲 乙乙密密 文文乙乙丙丙丁丁戊戊使用乙的使用乙的私钥解密私钥解密加密器加密器解密器解密器 明文明文 明文明文甲的甲的公钥环公钥环每个用户有一对密钥（

6、私钥只有本人知道，公钥每个用户有一对密钥（私钥只有本人知道，公钥其他用户可以知道）。策略是：甲用乙的公钥加其他用户可以知道）。策略是：甲用乙的公钥加密的信息只有乙使用自己的私钥才能解密；乙用密的信息只有乙使用自己的私钥才能解密；乙用私钥加密的消息甲也只有用乙的公钥才能解密私钥加密的消息甲也只有用乙的公钥才能解密 94.6.3 数字签名数字签名10数字签名概述数字签名概述n数字签名的含义：数字签名的含义：n数字签名是与消息一起发送的一串数字签名是与消息一起发送的一串代码代码n数字签名的目的：数字签名的目的：n让对方相信消息的让对方相信消息的真实性真实性n数字签名的用途：数字签名的用途：n在在电子

7、商务和电子政务中用来鉴别消息的真伪电子商务和电子政务中用来鉴别消息的真伪 n对数字签名的要求：对数字签名的要求：n无法伪造无法伪造n能发现消息内容的任何变化能发现消息内容的任何变化11数字签名的处理过程数字签名的处理过程hashing摘要摘要消息正文消息正文 私钥加密私钥加密数字数字签名签名 添加至正文添加至正文附有数字签名的消息附有数字签名的消息数字数字签名签名传送传送对原始消息的正文对原始消息的正文进行散列处理进行散列处理生成生成消息的摘要消息的摘要使用消息发送人的私使用消息发送人的私钥对摘要进行加密而钥对摘要进行加密而得到数字签名得到数字签名接收方使用发送方的公接收方使用发送方的公钥对数

8、字签名解密恢复钥对数字签名解密恢复出消息摘要出消息摘要对收到的原始消息正文对收到的原始消息正文进行散列处理得到一个进行散列处理得到一个新的摘要新的摘要对比对比 附有数字签名的消息附有数字签名的消息数字数字签名签名网络传传送送给给接接收收方方将数字签将数字签名添加到名添加到原始消息原始消息消息是否被篡改消息是否被篡改12数字签名中的双重加密数字签名中的双重加密n发送方发送方n用发送方的私钥加密信息摘要得到数字签名用发送方的私钥加密信息摘要得到数字签名n用接收方的公钥对已添加了数字签名的消息再进行加密用接收方的公钥对已添加了数字签名的消息再进行加密n接收方接收方n用接收方的私钥对接收的消息解密并取

9、出数字签名用接收方的私钥对接收的消息解密并取出数字签名n用发送方的公钥解密数字签名得到信息摘要用发送方的公钥解密数字签名得到信息摘要134.6.4 身份鉴别与访问控制身份鉴别与访问控制14身份鉴别身份鉴别n身份鉴别的含义身份鉴别的含义:n证实某人或某物（消息、文件、主机等）的真实身份是否与其所证实某人或某物（消息、文件、主机等）的真实身份是否与其所声称的身份相符声称的身份相符,以防止欺诈和假冒以防止欺诈和假冒n什么时候进行什么时候进行?n在用户登录某个计算机系统时进行在用户登录某个计算机系统时进行n在访问、传送或拷贝某个重要的资源时进行在访问、传送或拷贝某个重要的资源时进行n身份鉴别的依据身份

10、鉴别的依据(方法方法):n鉴别对象本人才知道的信息（如鉴别对象本人才知道的信息（如口令口令、私有密钥、身份证号等）、私有密钥、身份证号等）n鉴别对象本人才具有的信物（例如磁卡、鉴别对象本人才具有的信物（例如磁卡、ic卡、卡、usb钥匙等）钥匙等）n鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹或说话声音等）或说话声音等）n双因素认证双因素认证 :上述上述2种方法的结合种方法的结合15什么是访问控制什么是访问控制?n访问控制的含义访问控制的含义: :n计算机对系统内的每个信息资源规定各个用户对它的操计算机对系统内的每个信息资源规定

11、各个用户对它的操作权限（是否可读、是否可写、是否可修改等）作权限（是否可读、是否可写、是否可修改等）n访问控制是在身份鉴别的基础上进行的访问控制是在身份鉴别的基础上进行的n访问控制的任务访问控制的任务: :n对所有信息资源进行集中管理对所有信息资源进行集中管理n对信息资源的控制没有二义性（各种规定互不冲突）对信息资源的控制没有二义性（各种规定互不冲突）n有审计功能（记录所有访问活动有审计功能（记录所有访问活动, ,事后可以核查）事后可以核查）16文件的访问控制举例文件的访问控制举例 用用 户户 功功 能能读读写写编编 辑辑删删 除除转转 发发打打 印印复复 制制董事长董事长总经理总经理副总经理

12、副总经理部门经理部门经理科科 长长组组 长长174.6.5 防火墙防火墙18因特网防火墙因特网防火墙n什么是因特网防火墙什么是因特网防火墙(internet firewall)?n用于将因特网的子网（最小子网是用于将因特网的子网（最小子网是1台计算机）与因特网的其台计算机）与因特网的其余部分相隔离余部分相隔离, 以维护网络信息安全的一种软件或硬件设备以维护网络信息安全的一种软件或硬件设备 n防火墙的原理防火墙的原理:n防火墙对流经它的信息进行扫描，确保进入子网和流出子网的防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，信息的合法性，

13、它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息禁止特定端口流出信息, 等等等等 防火墙防火墙因特网因特网包过滤器包过滤器内部网内部网194.6.6 计算机病毒防范计算机病毒防范20什么是计算机病毒什么是计算机病毒?n计算机病毒是有人计算机病毒是有人蓄意蓄意编制的一种具有自我复制能力的、编制的一种具有自我复制能力的、寄生性的、破坏性的寄生性的、破坏性的计算机程序计算机程序n计算机病毒能在计算机中生存，通过自我复制进行传播，计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统

14、中的软件、硬件和数据资源重破坏系统中的软件、硬件和数据资源n病毒程序的特点病毒程序的特点: :n破坏性破坏性n隐蔽性隐蔽性n传染性和传播性传染性和传播性n潜伏性潜伏性21计算机病毒的表现和危害计算机病毒的表现和危害n破坏文件内容，造成磁盘上的数据破坏或丢失破坏文件内容，造成磁盘上的数据破坏或丢失n删除系统中一些重要的程序，使系统无法正常工作，删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动甚至无法启动n修改或破坏系统中的数据，使系统造成不可弥补的修改或破坏系统中的数据，使系统造成不可弥补的损失损失n在磁盘上产生许多在磁盘上产生许多“坏坏”扇区，减少磁盘可用空间扇区，减少磁盘可用空间n

15、占用计算机内存，造成计算机运行速度降低占用计算机内存，造成计算机运行速度降低n破坏主板破坏主板bios芯片中存储的程序或数据芯片中存储的程序或数据n.22杀毒软件的功能与缺陷杀毒软件的功能与缺陷n杀毒软件的功能杀毒软件的功能:n检测及消除内存、检测及消除内存、bios、文件、邮件、文件、邮件、u盘和硬盘中盘和硬盘中的病毒的病毒n例如：例如：norton，瑞星，江民，金山毒霸，卡巴斯基等，瑞星，江民，金山毒霸，卡巴斯基等n杀毒软件的缺陷：杀毒软件的缺陷：n杀毒软件的开发与更新总是稍稍滞后于新病毒的出现，杀毒软件的开发与更新总是稍稍滞后于新病毒的出现，因此会检测不出或无法消除某些信病毒因此会检测不出或无法消除某些信病毒n事先无法预计病毒的发展及变化，很难开发出具有先事先无法预计病毒的发展及变化，很难开发出具有先知先觉功能的可以消除一切病毒的软硬件工具知先觉功能的可以消除一切病毒的软硬件工具23预防计算机病毒侵害的措施预防计算机病毒侵害的措施n不使用来历不明的程序和数据不使用来历不明的程序和数据n不轻