信息安全技术与社会责任概述

1第4章信息安全技术与社会责任224.2计算机与网络安全基础4.3网络攻防技术基础4.1

信息安全基础概述4.5拓展学习（英语）4.4社会责任与职业道德第4章信息安全技术与社会责任“安全”基本含义可以解释为：客观上不存在威胁，主观上不存在恐惧。目前状况下，“信息安全吗？？？”简单问题：若想让E-mail内容不为旁人所知，能否做到？复杂问题：网上购物，涉及高金额，你敢为之吗？4.1信息安全基础概述3

信息是社会发展的重要战略资源。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。

---沈昌祥院士信息安全专家4信息安全的例子1988年，美国康乃尔大学研究生莫里斯利用一种蠕虫病毒对美国国防部的计算机系统发难，造成连接美国国防部、美军军事基地、宇航局和研究机构的6000多台计算机瘫痪数日，损失达上亿美元。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。5计算机病毒武器美国是研制计算机病毒武器最早的国家之一，早在80年代初,美国国防部便召集部分计算机专家,建立了一个代号为“老虎队”的组织,专门从事计算机病毒武器的研制工作。

进入90年代之后,美国军方竟然开出55万美元来悬赏新型“病毒”的发明者，要求新病毒产品比当前流行的更精巧,它应对敌方有线和无线的计算机系统具有感染、潜伏、预定和需要时激活的破坏功能。围绕这些技术要求,已推出了一些用于实战的新病毒武器，如“计算机病毒枪”,它能从遥远的距离“送毒”上门,使对方飞机、坦克和潜艇等装备的电子系统“患病”，只需几秒种就能将其变成废铜烂铁。6病毒芯片海湾战争期间，美国特工得知伊拉克军队防空指挥系统要从法国进口一批电脑，便将带有计算机病毒的芯片隐蔽植入防空雷达的打印机中。美国在大规模战略空袭发起前，通过无线遥控方式激活病毒使其发作，结果造成伊军防空预警、指挥系统和火控系统都陷入瘫痪。7黑客KevinMitink英国电脑奇才凯文，14岁就成功非法侵入英国电信公司电脑系统，大打免费电话。后来他出、入世界上防范最严密的系统如入无人之境，如美国空军、美国宇航局和北约的网络。1996年因涉嫌侵入美国空军指挥系统，被美国中央情报局指控犯有非法入侵罪。8美国“梯队”全球监听网为了监听全球信息，美英联合建立了代号为“梯队”的全球监听网，每天可以窥探全世界30亿个电话、电报、文件以及电子邮件的内容。2001年该监听网被曝光。美国联邦调查局为了监视世界各地通过美国网络枢纽传递的电子邮件，构建了代号为“食肉兽”的电子邮件监视系统。该系统安装在互联网内容提供商(ISP)的网站中，其速度可以快到每秒钟监视处理数百万计的电子邮件。9棱镜计划（PRISM）

棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。从欧洲到拉美，从传统盟友到合作伙伴，从国家元首通话到日常会议记录；美国惊人规模的海外监听计划在前中情局雇员爱德华·斯诺登的揭露下，有引发美国外交地震的趋势。10信息安安全基基本概概念由于信信息具具有抽抽象性性、可可塑性性、可可变性性以及及多效效性等等特征征，使使得它它在处处理、、存储储、传传输和和使用用中存存在严严重的的脆弱弱性，，很容容易被被干扰扰、滥滥用、、遗漏漏和丢丢失，，甚至至被泄泄露、、窃取取、篡篡改、、冒充充和破破坏。。沈伟光光教授授指出出“信息安安全是是指人人类信信息空空间和和资源源的安安全”。111.信息安安全2.计算机机安全全国际标标准化化组织织（ISO）定义义“所谓计计算机机安全全，是是指为为数据据处理理系统统建立立和采采取的的技术术和管管理的的安全全保护护，保保护计计算机机硬件件、软软件和和数据据不因因偶然然和恶恶意的的原因因而遭遭到破破坏、、更改改和泄泄密。。”这里包包含了了两方方面内内容：：物理安安全指计算算机系系统设设备受受到保保护，，免于于被破破坏、、丢失失等；；逻辑安安全指保障障计算算机信信息系系统的的安全全，即即保障障计算算机中中处理理信息息的完完整性性、保保密性性和可可用性性。123.网络安安全网络安安全问问题从从本质质上讲讲是网网络上上的信信息安安全，，是指网网络系系统的的硬件件、软软件及及其系系统中中的数数据受受到保保护，，不受受偶然然的或或者恶恶意的的原因因而遭遭到破破坏、、更改改、泄泄露，，系统统连续续可靠靠正常常地运运行，，网络络服务务不中中断。。13从技术术角度度来看看，网网络信信息安安全主主要表表现在在：网络的的物理理安全全、网网络拓拓扑结结构安安全、、网络络系统统安全全、应应用系系统安安全和和网络络管理理安全全等。。网络信信息安安全技技术始始终是是在“攻””与““守””激烈的的智力力对抗抗中不不断发发展的的。信息安安全、、计算算机安安全和和网络安安全的的关系系信息、、计算算机和和网络络是三三位一一体、、不可可分割割的整整体。。信息的的采集集、加加工、、存储储是以以计算算机为为载体体的，，而信信息的的共享享、传传输、、发布布则依依赖于于网络络系统统。如果能能够保保障并并实现现网络络信息息的安安全，，就可可以保保障和和实现现计算算机系系统的的安全全和信信息安安全。。因此此，网络信信息安安全的的内容容也就就包含含了计计算机机安全全和信信息安安全的的内容容。信息安安全均均指网网络信信息安安全。。1415154.信息安安全的的基本本要素素信息安安全的的基本本要素素，主主要包包括以以下五五个方方面的的内容容：⑴完完整性性⑵可可用性性⑶保保密性性⑷真真实性性⑸抗抗抵赖赖性16⑴完完整性性完整性性即要要确保保信息息在生生成、、存储储和传传输过过程中中不被被偶然然或蓄蓄意地地删除除、修修改、、伪造造、插插入等等破坏坏和丢丢失。。确保信信息完完整性性的主主要手手段是是：消消息摘摘要。。⑵可可用性性可用性性是指指要确确保信信息只只能够够由授授权用用户以以正确确的方方式看看到。。它强强调信信息不不仅是是只能能由授授权用用户看看到，，而且且要防防范授授权用用户对对信息息的滥滥用。。在信息息安全全中，，确保保可用用性的的主要要手段段是数数字信信封。。在网络络安全全技术术中，，确保保可用用性的的主要要手段段是访访问控控制。。⑶保保密性性就是防防止信信息泄泄露给给非授授权用用户，，只允允许授授权用用户访访问的的特性性。在信息息安全全技术术中，，确保保保密性性的手手段就就是加加密。。17⑷真真实性性就是要要确保保网络络信息息系统统的访访问者者与其其声称称的身身份是是一致致的；；确保保网络络应用用程序序的身身份和和功能能是一一致的的；确确保网网络信信息系系统操操作的的数据据是真真实有有效的的数据据。在网络络安全全技术术中，，确保保真实实性的的主要要手段段是：：身份份鉴别别。⑸抗抗抵赖赖性抗抵赖赖性又又称为为不可可抵赖赖性，，或不不可否否认性性。它它是指指在信信息交交互过过程中中所有有参与与者都都不能能否认认或抵抵赖曾曾经完完成的的操作作。在信息息安全全技术术中，，确保抗抗抵赖赖的主主要手手段是是：数数字签签名18密码技技术的的起源源与发发展密码学学是一一门古古老的的科学学，其其历史史可以以追溯溯到古古代，，在其其形成成和发发展过过程中中战争争的刺刺激和和科学学技术术的发发展都都起了了积极极的推推动作作用。。隐写术术通通过隐隐藏消消息的的存在在来保保护消消息.隐形墨墨水字符格格式的的变化化图像柯达相相片CD格式的的最大大分辨辨率是是20483072个像素素，每每个像像素包包含24bit的RGB色彩信信息。。每个个24位像素素的最最低有有效位位能被被改变变，而而不会会明显显影响响该图图像的的质量量。这这就意意味着着能够够在一一张数数字快快照中中隐藏藏一条条2.3MB的消息息。藏头诗诗19庐剧《无双缘缘》早妆未罢罢暗凝凝眉，，迎户愁看看紫燕燕飞，，无力回天天春已已老，，双栖画栋栋不如如归。。20数据加加密技技术涉涉及到到的术术语：：明文：原本本数据据；密文：加密密后的的数据据；密钥：用它它控制制加密密、解解密的的过程程；加密：把明明文转转换为为密文文的过过程；；加密算算法：加密密所采采用的的变换换方法法；解密：：对密文文实施施与加加密相相逆的的变换换，从从而获获得明明文的的过程程。21古典加加密算算法及及其原原理221.古典加密密算法⑴斯巴巴达加密密早在公元元前5世纪，希希腊人和和斯巴达达人就已已经开始始使用保保密通信信技术了了。当希希腊人想想和斯巴巴达人进进行秘密密通信时时，他们们要事先先找一根根棍子，，然后将将一个细细纸条缠缠绕在管管子上。。随后，，沿着棍棍子的方方向进行行书写。。写完后后，将纸纸条取下下，送给给收信人人。——那就是一一根直径径相同的的棍子。。接收到纸纸条后，，收信人人要使用用一根同同样粗细细的棍子子，将纸纸条重新新缠绕起起来，显显然，在在这里通通信的双双方使用用了“对对称加密密”，它它的密钥钥是什么么呢消息的发发送者和和接收者者各有一一张完全全相同的的带有许许多小孔孔的掩蔽蔽纸张，，而这些些小孔的的位置是是随机选选择并被被戳穿的的。发送送者在纸纸张的小小孔位置置写上秘秘密消息息，然后后在剩下下的位置置补上一一段掩饰饰性的文文字。接接收者只只要将掩掩蔽纸覆覆盖在其其上就可可立即读读出秘密密的消息息来。（2）卡丹网网格式密密码王先生：：来信收悉悉，你的的盛情真真是难以以报答，，我已在在昨天抵抵达广州州，秋雨雨连绵，每每天需备备伞一把把方能上上街，苦苦矣。大大约本月月中旬我我才能返返回，届时再见见。王先生：：来信收悉，你你的盛情情真是难难以报答答，我已已在昨天抵达达广州，，秋雨连绵，每每天需备备伞一把方能上街街，苦矣矣。大约约本月中旬我才能能返回，，届时再见见。王先生：来信收悉，你的盛情真是难以报答，我已在昨天抵达广州，秋雨连绵，每天需备伞一把方能上街，苦矣。大约本月中旬我才能返回，届时再见。24就是明文文中的每每一个字字符被替替换成密密文中的的另一个个字符。。接收者者对密文文做反向向替换就就可以恢恢复出明明文。第一个是是利用““移位替替换”原原理的凯凯撒密码码。CaesarCipher,c.50B.C.将字母循循环前移移3位ABCDEFG………XYZdefghij………abc明文:CAESARCIPHERISASHIFTSUBSTITUTION密文:fdhvduflskhulvdvkliwvxevwlwxwlrq(3)替换密码码（substitutioncipher)25又称换位密码码（transpositioncipher)，明文的的字母保保持相同同，但顺顺序被打打乱了。。key:4312567plaintext:ATTACKPOSTPONEDUNTiLTWOAMXYZciphertext:ttnaaptmtsuoaodwcoixpetz(4)置换密码码(transpositioncipher)相同密钥钥&#&#发方收方明文密文明文密文单钥（对对称）加加密体制制代表算法法DESIDEAAES密码体制制一个密码码系统采采用的基基本工作作方式称称为密码体制制。26加密密钥钥&#&#发方收方明文密文明文密文双钥(公钥)加密体制制解密密钥钥认证中心心公钥(可以公开开)私钥(必须保密密)代表算法法RSA椭圆曲线线27（1）身份认认证可分分为两大大类：身份证实实。即只对个个人身份份进行肯肯定或否否定。一一般方法法是输入入个人信信息，经经公式和和算法运运算所得得的结果果与从卡卡上或库库中存的的信息经经公式和和算法运运算所得得结果进进行比较较，得出出结论。。身份识别别。一般方法法是输入入个人信信息，经经处理提提取成模模板信息息、试着着在存储储数据库库中搜索索找出一一个与之之匹配的的模板，，而后给给出结论论。身份份识别要要比身份份证明难难得多。。1.身份认证证28常见的信信息安全全机制所有（Possesses）所知（Knowlege）个人特征征（charecteristics）所知。个人所所知道的的或所掌掌握的知知识，如如密码、、口令等等。所有。个人所所具有的的东西，，如身份份证、护护照、信信用卡、、钥匙等等。个人特征征。身份证证明的基基本途径径指纹、、笔迹、、声纹、、手型、、脸型、、血型、、视网膜膜、虹膜膜、DNA以及个人人一些动动作方面面的特征征等。（2）实现身身份证明明的基本本途径29数字摘要要就是将将任意长长度的信信息或文文本变成成固定长长度的一一个值，，该值由由一个单单向Hash函数对消消息进行行作用而而产生。。数字摘要要=hash（消息））由于摘要要是唯一一的，因因而提供供了信息息的完整整性和认认证。2.数字摘要要M

用户B终点C比较||hashH(M)用户A源点HashM

30当A要向B发消息，，确信或或已知消消息正确确时，计算消息息摘要，并将它它附加在在消息的的后面，，然后发发往预定定的接收收者B。接收者者B使用相同同的算法法，对收收到的消消息计算算得出新新的摘要要值，再再将收到到的摘要要值与计计算得出出的摘要要值进行行比较。。3.CA与数字证证明书谁来证明明公开密密钥的持持有者是是合法的的？目前前通行的的做法是是采用数数字证明明书来证证实。数字证明明书的作作用如同同司机的的驾驶执执照、出出国人员员的护照照、专业业人员的的专业资资格证明明书。通过一个个可信的的第三方方机构，，审核用用户的身身份信息息和公开开钥信息息，然后后进行数数字签名名。从而而确保用户的身身份信息和公公钥信息的一一一对应。可信的第三方方机构，一般般称为数字证书认证证中心CA（CertificateAuthority）。由用户身份信信息、用户公公钥信息以及及可信第三方方机构所作的的签名构成用用户的身份数数字证书。314.数字签名技术术现实生活中，，防伪造和抗抗抵赖的重要要手段就是签签名。银行取取款要签名，，签订买卖合合同也要签名名。传统签名名的验证是通通过与存档手手迹对比来确确定真伪的。。那么，在网网络世界里，，我们没有了了纸质文档，，怎样才能防防伪造和抗抵抵赖呢？数字签名是模模拟现实生活活中的笔迹签签名，它要解解决如何有效效的防止通信信双方的欺骗骗和抵赖行为为。与加密不不同，数字签名的目目的是为了保保证信息的完完整性和真实实性。数字签名的主主要算法是：：Hash签名和RSA签名。3233⒌数字信封封在现实生活中中，当我们需需要与另外一一个人进行保保密通信时，，我们可以写写信，通过把把信件内容封封装起来，防防止别人偷看看。在网络世世界里，为了实现保密密通信可以使使用数字信封封。数字信封技术结合合了对称密钥钥和公开密钥钥加密技术的的优点，把对对称密钥的快快速，低成本本和非对称密密钥的有效性性结合在一起起，可克服对对称密钥加密密中密钥分发发困难和公开开密钥中加密密时间长的问问题。明文信息密文信息密文信息明文信息加密解密用用户B的公钥对密钥钥进行加密用户B用自己的私钥钥对密钥解密密对称密钥解密用户A用户B对称密钥344.3.2网络攻击的信信息收集技术术4.3.3常见的网络攻攻击技术4.3.1黑客攻击的五五部曲常见的网络防防御技术第3节网络攻范范技术基础35黑客攻击一般般依据下图所所示的4个步骤，通常常称之为黑客客攻击四部曲曲：4.3.1黑客攻击的四部曲黑客攻击步骤骤361.第一步：隐藏藏自己，搜集集信息实施攻击的第第一步就是隐隐藏自己。在在网络上，黑黑客主要隐藏的是自己己主机的IP地址。接下来就是搜搜集信息。黑黑客首先要确确定攻击的目目标主机，并并收集目标主主机的相关信信息，这个过过程被称为踩点、扫描或或者查点。4.3.1黑客攻击的四部曲37搜集的主要信信息包括：①网络上有哪哪些活动的主主机，主机的的IP地址是多少。。活动（在线））主机的检测测可以通过Ping扫描来实现，简单单地说：就是是从IP地址的低端到到高端依次发发送Ping命令，收到回回应的IP地址就说明有有主机在线。。黑客攻击的四四部曲38②目标主机所所在网络的拓拓扑结构，包括：目标网网络中的网关关、路由器、、防火墙、入入侵检测系统统的部署情况况等。网络拓扑结构构探测的最简简单工具就是是用tracert命令追踪路由。当当然，也可以以发一些数据据包，看其是是否能通过来来猜测防火墙墙过滤规则的的设定等。黑客攻击的四四部曲39③收集目标主主机操作系统统的类型、版版本；安装的的软件、提供供的服务和开开放的端口；；以及目标主主机存在的安安全漏洞等。。关于这方面的的信息收集，，有很多可用用的工具（Nmap、netcat；nessus、Scanner）。信息收集得越越全面、越详详细，下一步步的攻击才会会越有效、越越容易。黑客攻击的四四部曲402.第二步：获取取权限，实施施攻击攻击者针对系系统的安全弱弱点、漏洞发发起攻击。系系统漏洞一般般分为远程漏洞和本地漏洞两大类。远程攻击的时时候，黑客一一般只能利用用系统的远程漏漏洞获取一个个普通用户的的权限（一个受限用用户权限，例例如不能擅自自安装软件，，不能添加用用户账号等））。黑客还会进一一步利用本地漏洞洞提升自己的访访问权限，达到系统管理理员权限。然后，利用用系统管理员员权限进行监监听、删除日日志操作、安安装木马后门门等。黑客攻击的四四部曲/各种不同操作作系统下的漏漏洞消息413.第三步：深入入攻击，保住住战果为了长期保持持对目标主机机的控制权，，黑客首次攻攻入一个系统统后，一般会会在系统中安安装木马或者后门门程序。木马和后门门为黑客长期期控制目标系系统提供了技技术上的保障障。黑客攻击的四四部曲424.最后一步：消消除痕迹，打打扫战场，进进行潜伏通常，所有的的网络操作系系统都会提供供日志功能，，日志会把系系统上发生的的所有事件都都记录下来。。黑客入侵完完毕，准备退退出系统前也也要清除系统相关关的日志。最简单的办法法就删除整个个日志，但是是，这样做很很容易被系统统管理员发现现。更为隐蔽蔽的做法是：：清除入侵相相关的日志记记录。另外，除了系系统日志外，，有些计算机机还安装了专专业的审计系系统，清除这些审计计系统中的相相关记录也是一件技术术含量很高的的工作。最后后，如果黑客客访问了系统统文件，为了了实现隐藏，，还需要修改文件的访访问日期。黑客攻击的四四部曲431.病毒（1）病毒定义及及分类计算机病毒（（Virus）是人为制造造的、隐藏在在软件中的恶恶意程序段。。之所以称之为为病毒，是因因为它们具有有生物病毒相相同的基本特特性，这些基基本特性主要要指的是病毒毒的传染性、繁殖殖性、破坏性性等。4.3.4常见的网络防御技术44病毒传统病毒宏病毒恶意脚本木马程序黑客程序蠕虫程序破坏性程序是能够感染的的程序，通过过改变文件或或者其他东西西进行传播。。通常分为文件型病毒和和引导型病毒毒。（Macro）利用Word、Excel等的宏脚本功功能进行传播播的病毒。（Script）是以破坏为为目的的脚本本程序，包括括HTML脚本、批处理理脚本、VB、JS脚本等。（Trojan）在用户不知知情的情况下下安装，隐藏藏在后台的程程序。（Hack）利用网络来来攻击其他计计算机的网络络工具（Worm）病毒是一种种可以利用操操作系统的漏漏洞、电子邮邮件、P2P软件等自动传传播自身的病病毒。（Harm）病毒启动后后，破坏用户户计算机系统统，如删除文文件、格式化化硬盘等。（2）病毒分类45杀毒软件通常常由扫描器、病毒毒库与虚拟机机组成。扫描器用来扫描病毒毒，它是杀毒软件件的核心，通过计算机机扫描文件、、扇区和系统统内存等发现现病毒；病毒库存储病毒的特特征码；虚拟机可以使病毒在在一个由杀毒毒软件构建的的虚拟环境中中执行，与实实际的CPU、硬盘等完全全隔离，从而而可以更加深深入地检测文文件的安全性性。（3）病毒查杀原原理46特征代码法虚拟机技术启发式扫描新一代杀毒软件技术（4）病毒的检测测方法47对新病毒进行分析，找找出特征值，然后录入病病毒特征库；；对电脑中流流经内存的数数据与病毒库库中的特征码码相比较，判断是否为为病毒。同一个病毒不不同杀毒软件件的病毒特征征录入方式不不同。特征代码法48在软件模拟出出来的程序虚虚拟运行环境境中，用调试试程序调入可疑带毒样本本，将每个语句句放到虚拟环境境中执行，根据其行为为或结果做出出判断。利用虚拟机技技术来发现大大部分的变形形病毒和大量量的未知病毒毒，这一技术有有着极为广阔阔的应用前景景。虚拟机技术49通过分析指令令出现的顺序序，或特定组组合情况等常见病毒的标标准特征来判判断文件是否否感染未知病病毒。比起静态的特特征码扫描先先进，可以达达到一定的未未知病毒处理理能力，但是是会有不准确确的时候。特特别是因为无无法确定一定定是病毒，而而不可能做未未知病毒杀毒毒。启发式扫描50“云安全”是是通过网络上上大量的客户户端对网络中中软件行为的的异常监测，，获取网络中中木马、恶意意程序的最新新信息，传送送到服务器端进行行自动分析和和处理，再把把病毒和木马马的解决方案案分发到每一一个客户端。。云安全技术中中，识别和查查杀病毒依靠靠庞大的网络络服务，实时时进行采集、、分析以及处处理。整个网网络就是一个个巨大的杀毒毒软件，参与与者越多，每每个参与者就就越安全，整整个网络就会会更安全。新一代杀毒软软件技术其作用：在某个指定网网络(Intranet)和网络外部(Internet)之间构建网络络通信的监控控系统，用于于监控所有进进、出网络的的数据流和来来访者，以达达到保障网络络安全的目的的。根据预设的安安全策略，防防火墙对所有有流通的数据据流和来访者者进行检查，，符合安全标标准的予以放放行，不符合合安全标准的的一律拒之门门外。防火墙是专门门用于保护网网络内部安全全的系统。512.防火墙技术防火墙技术从从原理上可以以分为：包过滤代理服务器52（1）防火墙技术术的分类指对于所有进进入网络内部部的数据包（（分组）按指指定的过滤规规则进行检查查，凡是符合合指定规则的的数据包（分分组）才允许许通行，否则则将被丢弃。。例如，为便于于收费管理，，在校园网内内阻塞去往国国外站点的链链接（国内免免费，国外按按实际字节流流量收费）。。53包过滤技术当外部主机请请求访问Intra