网络信息安全

网络信息安全计算机病毒（ComputerVirus）

定义：《中华人民共和国计算机信息系统安全保护条例》中被明确指出：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。形成：病毒是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。产生的原因：恶作剧；报复心理；版权保护；特殊目的计算机病毒的特征破坏性传染性隐蔽性

寄生性触发性Windows95/98时代大名鼎鼎的CIH病毒CIH作者陈盈豪WindowsNT时代的白雪公主病毒巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！席卷全球的NIMDA病毒人类为防治病毒所做出的努力及结论网络安全网络版单机版防病毒卡结论：人类将与病毒长期共存。特洛伊木马特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，如邮件、下载等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这是个木马执行文件是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大都是几K到几十K，如果把木马捆绑到其它正常文件上，你很难发现的，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，在你执行这些下载的文件，也同时运行了木马。特洛伊木马木马演示使用“冰河”进行远程控制“冰河”包含两个程序文件，一个是服务器端，另一个是客户端。“冰河8.2”得文件列表如图所示。防火墙墙的定定义防火墙墙的本本义原原是指指古代代人们们房屋屋之间间修建建的墙墙，这这道墙墙可以以防止止火灾灾发生生的时时候蔓蔓延到到别的的房屋屋，如如图所所示。。防火墙墙的定定义这里所所说的的防火火墙不不是指指为了了防火火而造造的墙墙，而而是指指隔离离在本本地网网络与与外界界网络络之间间的一一道防防御系系统。。在互联联网上上，防防火墙墙是一一种非非常有有效的的网络络安全全系统统，通通过它它可以以隔离离风险险区域域（Internet或或有一一定风风险的的网络络）与与安全全区域域（局局域网网）的的连接接，同同时不不会妨妨碍安安全区区域对对风险险区域域的访访问，，网络络防火火墙结结构如如图所所示。。Intranet防火墙Internet客户机电子邮件服务器Web服务器数据库服务器防火墙墙的功功能根据不不同的的需要要，防防火墙墙的功功能有有比较较大差差异，，但是是一般般都包包含以以下三三种基基本功功能。。可以限限制未未授权权的用用户进进入内内部网网络，，过滤滤掉不不安全全的服服务和和非法法用户户防止入入侵者者接近近网络络防御御设施施限制内内部用用户访访问特特殊站站点防火墙墙的局局限性性没有万万能的的网络络安全全技术术，防防火墙墙也不不例外外。防防火墙墙有以以下三三方面面的局局限：：防火墙墙不能能防范范网络络内部部的攻攻击。。比如如：防防火墙墙无法法禁止止变节节者或或内部部间谍谍将敏敏感数数据拷拷贝到到软盘盘上。。防火墙墙也不不能防防范那那些伪伪装成成超级级用户户或诈诈称新新雇员员的黑黑客们们劝说说没有有防范范心理理的用用户公公开其其口令令，并并授予予其临临时的的网络络访问问权限限。防火墙墙不能能防止止传送送己感感染病病毒的的软件件或文文件，，不能能期望望防火火墙去去对每每一个个文件件进行行扫描描，查查出潜潜在的的病毒毒。虚拟专专用网网技术术简介介虚拟专专用网网(VPN)是是利用用现有有的公公共网网络环环境构构建的的具有有安全全性、、独占占性、、自成成一体体的虚虚拟网网络。。它实实际上上是一一个在在互联联网等等公用用网络络上的的一些些节点点的集集合。。这些些节点点之间间采用用了专专用加加密和和认证证技术术来相相互通通信，，好像像用专专线连连接起起来一一样。。虚拟专专用网网可以以在两两个异异地子子网之之间建建立安安全的的通道道。加密技术加密是指将将数据进行行编码，使使它成为一一种按常规规不可理解解的形式，，这种不可可理解的内内容叫密文文。解密是是加密的逆逆过程，即即将密文还还原成原来来可理解的的形式。数据加密技技术的关键键元素包括括加密算法和密密钥。加密算法是一一组打乱和和恢复数据据的指令集集或一个数数学公式。。密钥则是是算法中的可变参参数。举例：Howareyoulsaevicsy。1．加密与解密密加密技术对同样的明明文，可使使用不同的的加密算法法。即使使使用相同的的加密算法法，如果使使用的密钥钥不同也会会得出不同同的密文。。衡量一个加加密技术的的可靠性，，主要取决决于解密过过程的难度度，而这取取决于密钥钥的长度。。广泛应用的的加密技术术是对称密密钥加密体体制(私钥钥加密体制制)和非对对称密钥加加密体制(公钥加密密体制)。。1．加密与解密密简单的加密密朴素的密码码：天王盖地虎虎-〉宝宝塔镇河妖妖凯撒密码：：hello->jgnnq凯撒密码的的字母对应应关系：abcdefghi…xyzcdefghIjk…zab棋盘密码：：1 23 451 AB CD E2 FG HIJK3 LM NO P4 QR ST U5 VW XY Z加密技术2．对称密钥加加密体制对称密钥加加密技术使使用相同的的密钥对数数据进行加加密和解密密，发送者者和接收者者用相同的的密钥。加密技术非对称密钥钥加密系统统，又称公公钥和私钥钥系统。其其特点是加加密和解密密使用不同同的密钥。。3．非对称密钥钥加密体制制加密技术非对称加密密系统的关关键是寻找找对应的公公钥和私钥钥，并运用用某种数学学方法使得得加密过程程不可逆，，即用公钥钥加密的信信息只能用用与该公钥钥配对的私私钥才能解解密；反之之亦然。非对称密钥钥加密的典典型算法是是RSA。。RSA算算法的理论论基础是数数论的欧拉拉定律，其其安全性是是基于大数数分解的困困难性。3．非对称密钥钥加密体制制加密技术RSA的加密方法：：（1）发送送保密信息息。发送者者用接受者者的公钥加加密，接受受者用自己己的私钥解解密。由于于别人不知知道接受者者的私钥，，无法窃取取信息。（2）确认认发送者的的身份。发发送者用自自己的私钥钥加密，接接受者用发发送者的公公钥解密。。由于别人人不知道发发送者的私私钥，无法法发出能用用其公钥解解开的信息息，因此发发送者无法法抵赖。3．非对称密钥钥加密体制制加密技术优点：(1)解决决了密钥管管理问题，，通过特有有的密钥发发放体制，，使得当用用户数大幅幅度增加时时，密钥也也不会向外外扩散；(2)由于于密钥已事事先分配，，不需要在在通信过程程中传输密密钥，安全全性大大提提高；(3)具有有很高的加加密强度。。缺点：加密密、解密的的速度慢3．非对称密钥钥加密体制制山东大学王王小云喜摘摘陈嘉庚科科学奖获获30万奖奖金密码专家王王小云令世世界震惊国际著名密密码学家、、图灵奖获得得者兼公钥钥加密算法法RSA的创创始人Rivest：“SHA-1的破译译令人吃惊惊!““数字签名名的安全性性在降低，，这再一次提提醒需要替替换算法!““现在美国国国家标准准技术研究究院可能需要将将更新密码码的日程提提前!”“中国的这这几位研究究人员太疯疯狂了！“中国政府怎怎么可以不不知道王小小云？！王小云破解解MD5，，我们白白白葬送了一一个致命性性战略武器器!认证技术(1)数字字摘要做法：数字摘要采采用单向Hash函函数对信息息进行某种种变换运算算得到固定定长度的摘摘要，并在在传输信息息时将之加加入文件一一同送给接接收方；接接收方收到到文件后，，用相同的的方法进行行变换运算算得到另一一个摘要；；然后将自自己运算得得到的摘要要与发送过过来的摘要要进行比较较。这种方方法可以验验证数据的的完整性。。1．常用的安全全认证技术术认证技术1．常用的安全全认证技术术认证技术(2)数字字签名数字签名是是指发送方方以电子形形式签名一一个消息或或文件，表表示签名人人对该消息息或文件的的内容负有有责任。数字签名综综合使用了了数字摘要要和非对称称加密技术术，可以在在保证数据据完整性的的同时保证证数据的真真实性。1．常用的安全全认证技术术认证技术1．常用的安全全认证技术术认证技术(3)数字字证书数字证书(DigitalID)含含有证书书持有者的的有关信息息，是在网网络上证明明证书持有有者身份的的数字标识识，它由认认证中心(CA)颁发。CA是一个个专门验证证交易各方方身份的权权威机构，，它向涉及及交易的实实体颁发数数字证书。。数字证书由由CA做了了数字签名名，任何第第三方都无无法修改证证书内容。。交易各方方通过出示示自己的数数字证书来来证明自己己的身份。。1．常用的安全全认证技术术认证技术数字证书的的内部格式式是由CCITTX.509国际标标准所规定定的，它包包含了以下下几点：·数字证证书拥有者者的姓名··数字字证书拥有有者的公共共密钥··公共密密钥的有效效期··颁颁发数字字证书的单单位··数数字证书书的序列号号(Serialnumber)··颁颁发数字证证书单位的的数字签名名1．常用的安全全认证技术术认证技术数字证书的的申请和签签发步骤：：①申请者者向某CA申请数字字证书后，，下载并安安装该CA的“自签签名证书””或更高级级的CA向该CA签发的的数字证书书，验证CA身份的的真实性。。②申请者者的计算机机随机产生生一对公私私密钥。③申请者者把私钥留留下，把公公钥和申请请明文用CA的公钥钥加密，发发送给CA。④CA受受理证书申申请并核实实申请者提提交的信息息.⑤CA用用自己的私私钥对颁发发的数字证证书进行数数字签名，，并发送给给申请者。。⑥经CA签名名过的数数字证书书安装在在申请方方的计算算机上。。1．常用的安安全认证证技术认证技术术数字证书书的验证证过程(以A、、B双方方进行安安全通信信时B验验证A的的数字证证书为例例)：：①B要要求A出出示数字字证书。。②A将将自己的的数字证证书发送送给B。。③B首首先验证证签发该该证书的的CA是是否合法法。④B用用CA的的公钥解解密A证证书的数数字签名名，得到到A证书书的数字字摘要。。⑤B用用摘要算算法对A的证书书明文制制作数字字摘要。。⑥B将将两个数数字摘要要进行对对比。如如相同，，则说明明A的数数字证书书合法。。1．常用的安安全认证证技术认证技术术认证中心心(CertificateAuthority)是是承担网网上安全全电子交交易认证证服务，，能签发发数字证证书，确确认用户户身份的的服务机机构。CA通常常是企业业性的服服务机构构，主要要任务是是受理数数字证书书的申请请、签发发及对数数字证书书的管理理。在实实际运作作中，CA可由由大家都都信任的的一方担担当。CA的职职能：证证书发放放、证书书更新、、证书撤撤销和证证书验证证。2．安全认证证机构设置密码码的窍门门密码设置置的禁忌忌：使用大写写字母和和小写字字母、标标点和数数字的集集合；在不同账账号里使使用不同同的密码码；有规律的的更换密密码，为为了容易易记起要要更换密密码，将将它和一一件事联联系起来来。例如如在每月月的第一一天或发发薪日更更换密码码；密码至少少要6个个字符，，您的密密码字符符数越多多，就越越难被查查出；使用一个个方便您您记忆的的密码，，那么您您就不必必写下来来了；不要以任任何形式式使用您您的用户户名或是是注册名名；不要使用用您的名名字，或或是家庭庭成员或或宠物的的名字；；不要使用用可以轻轻易猜测测到的密密码（包包括执照照号码、、电话号号码、身身份证号号码、手手机号码码、居住住的街道道名等））。网络信息息的安全全风险物理风险险—比如自自然灾害害，电力力供应突突然中断断，静电电、强磁磁场破坏坏硬件设设备以及及设备老老化等引引起的风风险。无意错误误风险---是是指由于于人为或或系统错错误而影影响信息息的完整整性、机机密性和和可用性性。网络信息息的安全全风险有意破坏坏风险—指内部部和外部部人员有有意通过过物理手手段破坏坏信息系系统而影影响信息息的机密密性、完完整性、、可用性性和可控控性。比比如：有有意破坏坏基础设设施、扩扩散计算算机病毒毒、电子子欺骗等等。这种风险险带来的的破坏一一般而言言是巨大大的。严严重时会会引起整整个系统统的瘫痪痪和不可可恢复。。网络信息息的安全全风险管理风险险—指因为口口令和密密钥管理理不当、、制度遗遗漏，岗岗位、职职责设置置不全面面等因素素引起信信息泄露露、系统统无序运运行等。。其它风险险—指除上述述所列举举的一些些风险外外，一切切可能危危及信息息系统的的机密性性、完整整性、可可用性、、可控性性和系统统正常运运行的风风险。网络信息息的安全全目标网络层次次：可靠性、、可控性性、可互互操作性性、可计计算性信息层次次：完整性、、保密性性、不可可否认性性设备层次次：质量保证证、设备备备份、、物理安安全经营管理理层次：：人员可靠靠、规章章制度完完善网络信息息的安全全环境社会环境境三个层次次：个人人、组织织、国家家主要攻击击手段：：中断———系统可可用性删改———系统完完整性窃取———系统保保密性伪造—