信息安全技术概述

主讲人：任凯联系方式：renkai_jlxy@163.com信息安全技术1几个生活中经常遇到的情况使用U盘时，是否在“我的电脑”中双击打开U盘盘符？播放从网上下载的一个AVI格式电影，有可能中毒吗？访问网页会中毒吗？一般什么情况认为自己中毒了？

2023/1/122几个小问题上网安全吗？如果你的电脑被入侵，你觉得可能对你造成的最大危害是什么？如何进行安全防护，避免各类攻击？使用强口令

文件必须安全存储

临时离开请及时锁屏或注销

杀（防）毒软件不可少

个人防火墙不可替代

不打开来历不明的邮件或附件不要随意浏览黑客、色情网站警惕“网络钓鱼”

聊天软件的安全

移动设备的安全

2023/1/1232014年国内重大的信息安全支付宝找回密码功能存在系统漏洞携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码、支付密码UC浏览器存在可能导致用户敏感数据泄漏的漏洞小米论坛存在用户资料泄露黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息

苹果手机获取用户位置信息2023/1/1242013-2014年国际重大的信息安全事件“棱镜门”事件：美国国家安全局监控用户隐私Google曝法国伪造CA证书全球首例国家级伪造CA证书劫持加密通讯事件诞生Apple、Facebook、Twitter等科技巨头相继被入侵，用户数据泄漏OpenSSL出现“Heartbleed”有史以来最大的比特币失窃案，全球最大Bitcoin交易平台Mt.Gox申请破产2023/1/125一些常用名词红客：从事网络安全行业的爱国黑客白客：又称安全防护者，用寻常话说就是一些原本的黑客转正了，他们进入各大科技公司专门防护网络安全黑客：指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人，又称“骇客”灰客：指某些对计算机和网络安全感兴趣，初步了解网络安全知识，能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制，既不够“黑”，但也不“白”蓝客：指某些标榜自己只热衷于纯粹的互联网技术而不关心其他事物、我行我素的“黑客”2023/1/126信息战已经成为各国军事斗争的主要组成部分中国需要维护国家信息系统的安全，建立保护网络国家边界的网军势在必行：1.我国集成电路芯片的自给率不足10%。要做到网络安全，首先就是硬件安全，而芯片安全是硬件安全核心内容之一2.微软的各版本操作系统在中国市场的占有率达到98%。软件安全是网络安全的另一个核心内容，最基本的操作系统不是自己编写的，同样留有安全隐患2023/1/127理解安全与不安全概念“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。没有危险；不受威胁；不出事故2023/1/128先行案例黑色星期五源于西方的宗教信仰与迷信：耶稣基督死在星期五，而13是不吉利的数字。两者的结合令人相信当天会发生不幸的事情历史上有好几个事件都发生于星期五：1869年的黑色星期五：美国金融市场大泻1919年的黑色星期五：格拉斯哥工人罢工1939年的黑色星期五：澳大利亚发生山林大火1978年的黑色星期五：伊朗示威者大屠杀1982年的黑色星期五：福克兰群岛战争爆发（英国和阿根廷）2023/1/129先行案例2001年“红色代码”蠕虫2001年“尼姆达Nimda”蠕虫事件——多种手段攻击网络2003年SQLSLAMMER蠕虫——攻击SQL服务器2003年口令蠕虫——口令方式攻击主机2003年冲击波“MSBLAST”蠕虫和“Blast清除者”蠕虫2004年震荡波蠕虫——针对微软windows操作系统的漏洞2005年“黛蛇”蠕虫事件2006年“魔波”蠕虫——引发“僵尸网络”2007年“Nimaya（熊猫烧香）”病毒事件2008年“机器狗”病毒事件2009年“飞客”蠕虫的泛滥2023/1/12102010年初，，美国硅谷谷的迈克克菲公司司发布最最新报告告，约109.5万台台中国计计算机被被病毒感感染（美美国105.7万），，排第一一位。2010年1月月2日，，公安部部物证鉴鉴定中心心被黑，，登陆该该网站，，有些嘲嘲弄语言言，还贴贴一张““我们睡睡，你们们讲”的的图片，，图片是是公安某某单位一一次会议议上，台台下参会会人员大大睡的场场面。先行案例例2022/12/3111先行案例2022/12/3112先行案例英国税务局局“光盘””门2007年年11月，，英国税务务及海关总总署的一名名公务员在在将两张光光碟寄给审审计部门时时，由于疏忽忘记依依照规范以以挂号寄出出，导致光碟碟下落不明明。光碟中中有英国家家庭申请十十六岁以下下儿童福利利补助的资资料，包括括公民的姓姓名、地址址、出生年年月、社会会保险号码码和银行帐帐户资料，，据称其中中还包括了了英国首相相布朗一家家的机密资资料。英国财政大大臣达林在在国会下院院承认数据据丢失，布布朗面色凝凝重。2022/12/3113卖家网上叫叫卖英国失失踪税务光光盘2022/12/3114先行案例网络成为重重要的窃密密渠道扫描网络发现漏洞控制系统窃取文件2022/12/3115先行案例违规操作泄泄密敌对势力窃窃密互联网部队失密案案：2003年初，军队队某参谋违违反规定，，使用涉密密计算机上上因特网，，被台湾情情报机关跟跟踪锁定，，一次窃走走1000多份文档资资料，影响响和损失极极为严重。。2022/12/3116提高信息安全意识不通过email传传输敏感信信息，敏感感信息加密密以后再传传输不借用帐号号、不随意意说出密码码敏感信息不不要随意地地放置,打打印或复印印的敏感资资料要及时时取走离开电脑时时记得锁屏屏与清除桌桌面不在公司外外部讨论敏敏感信息发现安全问问题及时报报告......2022/12/3117加强计算机机与网络安全设置复杂密密码根据安全规规范进行安安全设置及时安装补补丁安装防病毒毒软件并及及时更新不随意下载载安装软件件，防止恶恶意程序、、病毒及后后门等黑客客程序……2022/12/3118通俗地说，，安全就是是安全是稳定定状态或确确定状态2022/12/3119关于课程学习本课程程的要求教学目标通过本课程程的学习，，要求对信信息安全的的概念与内内涵有较全全面的了解解，较全面面地掌握有有关信息安安全的基础础理论和实实用技术，，掌握网络络系统安全全防护的基基本方法，，培养网络络安全防护护意识，增增强网络系系统安全保保障能力，，并能在实实践中其指指导作用。。教材：王凤英，网络络与信息安全全技术，中国国铁道出版社社张同光，信息息安全技术实实用教程，电电子工业出版版社熊平，信息安安全原理及应应用，清华大大学出版社赵泽茂，信息息安全技术，，西安电子科科技大学出版版社2022/12/3120关于课程课程内容信息安全综述述对称密钥密码码体系公钥密码体系系身份认证、访问控制与系统审计操作系统安全全单向散列函数数PKI技术数据库系统安安全因特网安全和和VPNWEB电子商务安全全防火墙技术入侵检测技术术2022/12/3121关于课程本课程对学学生的要求求提高信息安全意识，具有信息安全的理论基础和基本实践能力了解和掌握信息安全的基本原理和相关技术

关注国内外最新的研究成果和发展动态2022/12/3122关于课程考核30%（平时成绩绩：出勤、、平时作业业等）+70%考试成绩听课课堂纪律欢迎同学上上讲台跟同同学们分享享信息安全全相关知识识2022/12/31231信息安全综综述2022/12/3124本章提要网络与信息息安全的基基本概念网络安全威威胁网络安全的的层次结构构安全评价标标准研究网络与与信息安全全的意义网络信息安安全管理2022/12/3125§1.1计算机网络络安全的基基本概念密码安全：：通信安全的的最核心部部分计算机安全全：一种确定的的状态，使使计算机化化数据和程程序不致被被非授权人人员、计算算机或程序序访问获取取和修改网络安全：：指利用网络络管理控制制技术措施施，保证在在一个网络络环境里信信息数据的的保密性、、完整性及及可使用性性受到保护护信息安全：：防止任何对对数据进行未授权权访问的措措施，或防防止造成信信息有意无无意泄漏、、破坏、丢丢失等问题题的发生，，让数据处处于远离危危险、免于于威胁的状状态或特性性2022/12/3126§1.1网络与信息息安全的基基本概念关系信息安全网络安全计算机安全全密码安全·2022/12/3127§1.1网络与信息息安全的基基本概念网络信息安安全的要求求即消息的发送者在发送后不能否认他发送过该消息抗抵赖完整性机密性即消息只有合法的接收者才能读出，其他人即使收到也读不出即消息的确是由宣称的发送者发送的，如冒名顶替则会被发现即消息在传输过程中如果篡改则会被发现真实性2022/12/3128§1.1网络络与与信信息息安安全全的的基基本本概概念念木桶桶原原理理网络络安安全全遵遵循循““木木桶桶原原理理””，，即即一一个个木木桶桶的的容容积积决决定定于于组组成成它它的的最最短短的的一一块块木木板板，，一一个个系系统统的的安安全全强强度度等等于于它它最最薄薄弱弱环环节节的的安安全全强强度度。。安全全防防护护必必须须建建立立在在一一个个完完整整的的多多层层次次的的安安全全体体系系之之上上，，任任何何的的薄薄弱弱环环节节都都将将导导致致整整个个安安全全体体系系的的崩崩溃溃2022/12/3129§1.2网络络安安全全威威胁胁网络络安安全全问问题题日日益益突突出出网络络与与信信息息系系统统在在变变成成””金金库库””,当然然就就会会吸吸引引大大批批合合法法或或非非法法的的””掏掏金金者者””,所以以网网络络信信息息的的安安全全与与保保密密问问题题显显得得越越来来越越重重要要。。几乎乎每每天天都都有有各各种种各各样样的的““黑黑客客””故故事事：：1994年末末俄罗斯黑黑客弗拉拉基米尔尔·利文与其其伙伴从从圣彼得得堡的一一家小软软件公司司的联网网计算机机上，向向美国名名为CITYBANK银行发动动了一连连串攻击击，通过过电子转转帐方式式，从CITYBANK银行在纽纽约的计计算机主主机里窃窃取美元元1100万。2022/12/31301996年8月月17日日美国司法法部的网网络服务务器遭到到“黑客客”入侵侵，并将将“美国国司法部部”的主主页改为为“美国国不公正正部”，，将司法法部部长长的照片片换成了了阿道夫夫·希特特勒，将将司法部部徽章换换成了纳纳粹党徽徽，并加加上一幅幅色情女女郎的图图片作为为所谓司司法部部部长的助助手。1999年4月月26日日台湾人编编制的CIH病病毒的大大爆发，，有统计计说我国大陆受其其影响的的PC机机总量达达36万万台之多多。有人人估计在在这次事事件中，，经济损损失高达达近12亿元§1.2网络安全全威胁2022/12/31312000年5月4日一种名为为“我爱你”（爱虫虫）的电电脑病毒开始在全全球各地地迅速传传播。据据美国加加利福尼尼亚州的的名为““电脑经经济”的的研究机机构发布布的初步步统计数数据，““爱虫””大爆发发两天之之后，全全球约有有4500万台电脑脑被感染染，造成成的损失失已经达达到26亿美元。。在以后后几天里里，“爱爱虫”病病毒所造造成的损损失以每每天10亿美元到到15亿美元的的幅度增增加。§1.2网络安全全威胁2022/12/3132数据大集集中———风险也也更集中中了；系统复杂杂了———安全问问题解决决难度加加大；云计算———安全全已经不不再是自自己可以以控制的的3G、、物联网网、三网网合一———IP网络中中安全问问题引入入到了电电话、手手机、广广播电视视中web2.0、、微博、、人肉搜搜索———网络安安全与日日常生活活越来越越贴近新应用导导致新的的安全问问题§1.2网络安全全威胁2022/12/3133§1.2网络安全全威胁2022/12/3134§1.2网络安安全威威胁2022/12/3135网络流量分析拒绝服务特洛伊木马资源非授权使用计算机病毒假冒、重放破坏完整性诽谤窃听主要威威胁种种类：：§1.2网络安安全威威胁2022/12/3136商业间间谍按照FBI的估计计，由由于商商业间间谍的的危害害，美美国各各大公公司每每年要要损失失100亿美元元§1.2网络安安全威威胁动机2022/12/3137经济利利益§1.2网络安安全威威胁动机2022/12/3138报复或或者引引入注注意：为了炫炫耀能能力的的黑客客少了了，为为了非非法取取得政政治、、经济济利益益的人人越来来越多多§1.2网络安安全威威胁动机2022/12/3139§1.2网络安安全威威胁动机恶作剧剧2022/12/3140无知黑客““菜霸霸”§1.2网络安安全威威胁动机2022/12/3141§1.3网络安全的的层次结构构物理安全1安全控制2安全服务32022/12/3142§1.3网络安全的的层次结构构___物理安全自然灾害、、物理损坏坏、设备故故障某一天下着着大雨，突突然“霹雳雳”一声，，电脑突然然断线了，，经查是上上网用的adslmodem被击坏了。。电磁辐射、、乘机而入入、痕迹泄泄露QQ被盗，黑客客公开售卖卖200元，最后费费尽周折，，利用密码码保护才要要回了自己己心爱的QQ号，但是里里面的好友友和群全部部被删除操作失误、、意外疏漏漏想通过优盘盘把连夜加加班的资料料拷贝到单单位电脑上上，可插入入u盘后里面空空空如也，，一晚上的的工作付之之东流。2022/12/31431.3网网络络安全的层层次结构___安全控制网络互联设备网络接口模块操作系统通过网管软件或路由器配置实现对其它机器的网络通信进程进行安全控制开机时要求键入口令2022/12/3144§1.3网络安全的的层次结构构——安全服务安全服务安全机制安全连接安全协议安全策略2022/12/3145§1.4.1网络安全的的评价标准准1985年，，美美国国国国防防部部发发表表了了《可信计算机系系统评估准则则》，它依据处理理的信息等级级采取相应的的对策，划分分了四类七个个安全等级。。依照各类、、级的安全要要求从低到高高，依次是D、C1、C2、B1、B2、B3和A1级。2022/12/3146§1.4.1网络安全的评评价标准类别级别名称主要特征DD最低安全保护没有安全保护CC1自主安全保护自主存储控制C2可控访问（受控存储）控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA可验证设计形式化的最高级描述和验证C类称为酌情保保护，B类称为强制保保护，A类称为核实保保护。这个标准过分分强调了保密密性，而对系系统的可用性性和完整性重重视不够，因因此实用性较较低。2022/12/3147§1.4.2网络安全服务务OSI（OpenSystemsInterconnection）标准由由ISO（InternationalStandardOrganization））与ITU（（InternationalTelecommunicationUnion）联合合制定，将开开放互联网络络用7层描述述，并通过相相应的7层协协议实现系统统间的相互连连接OSI（开放系统互互联参考模型型）2022/12/3148OSI的安全全体系系结构构成果标标志是是ISO发布了了ISO7498-2标准，作为为OSI基本参参考模模型的的补充充是基于于OSI参考模模型的的七层层协议议之上上的信信息安安全体体系结结构ISO7498-2标准定定义了了5类安全全服务务、8种特定定的安安全机机制、、5种普遍遍性安安全机机制它确定定了安安全服服务与与安全全机制制的关关系以以及在在OSI七层模模型中中安全全服务务的配配置确定了了OSI安全体体系的的安全全管理理§1.4.2网络安安全服服务2022/12/3149ISO7498-2三维图图链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性签别交换业务流填充路由控制公证访问控制不可否认数据完整性数据保密身份认证OSI参考模型安全机制安全服务§1.4.2网络安安全服服务2022/12/3150五类安安全服服务——身份认认证（（鉴别别）A与B通信，，A是发起起方对等实实体鉴鉴别鉴别B的身份份的真真实性性A使用这这种服服务可可以确确信:一个个实体体此时时没有有试图图冒充充别的的实体体,或没有有试图图将先先前的的连接接作非非授权权地重重演。。数据原原发鉴鉴别B鉴别A来源的的身份份的真真实性性。对数据据单元元的来来源提提供确确认。。这种种服务务对数数据单单元的的重复复或篡篡改不不提供供保护护。§1.4.2网络安安全服服务2022/12/3151五类安安全服服务——数据保保密对数据据提供供保护护使之之不被被非授授权地地泄露露§1.4.2网络安安全服服务2022/12/3152保护护信信息息不不被被未未授授权权者者非非法法纂纂改改信信息息，，如如修修改改、、复复制制、、插插入入和和删删除除等等五类类安安全全服服务务———数据据完完整整性性§1.4.2网络络安安全全服服务务2022/12/3153五类类安安全全服服务务———不可可否否认认（（抗抗抵抵赖赖））AB用于于防防止止参参与与通通信信的的实实体体在在事事后后否否认认曾曾参参与与全全部部或或部部分分通通信信。。防止止消消息息或或行行动动源源否否认认曾曾发发送送消消息息或或采采取取过过的的行行动动；；防止止消消息息接接收收者者否否认认曾曾收收到到该该消消息息无无连连接接完完整整性性§1.4.2网络络安安全全服服务务2022/12/3154五类类安安全全服服务务———访问问控控制制对系系统统的的资资源源提提供供保保护护，，防防止止未未授授权权利利用用这种种保保护护服服务务可可应应用用于于对对资资源源的的各各种种不不同同类类型型的的访访问问读、、写写或或删删除除信信息息资资源源应用用于于对对一一种种资资源源的的所所有有访访问问………§1.4.2网络络安安全全服服务务2022/12/3155WindowsXP文件件访访问问控控制制§1.4.2网络络安安全全服服务务2022/12/3156§1.4.2网络安全全服务2022/12/3157八大安全全机制——加密使用加密密算法对对存放的的数据进进行加密密加密算法法可逆加密密算法：：对称加加密；不不对称加加密不可逆加加密算法法可以使使用密钥钥，也可可以不使使用§1.4.3特定安全全机制2022/12/3158八大安全全机制——数字签名名机制采用非对对称密钥钥体制，，使用私私钥进行行数字签签名，使使用公钥钥对签名名信息进进行验证证。两个个过程：：一：对数据签签名使用签名名者所私私有的信信息即使用签名者者的私有信息息作为私钥,或对数据单元元进行加密,或产生出该数数据单元的一一个密码校验验值。二：验证签过名的的数据使用公开的规规程与信息来来决定该签名名是不是用签签名者的私有有信息产生的的。所用的规程程与信息是是公之于众的的,但不能够从从它们推断断出该签名名者的私有有信息。本质特征：该签名只只有使用签签名者的私私有信息才才能产生出出来。因而而，当该签签名得到验验证后，它它能在事后后的任何时时候向第三三方（例如如法官或仲仲裁人）证证明只有那那个私有信信息的惟一一拥有者才才能产生这这个签名。。数字字签签名名是是解解决决网网络络通通信信中中特特有有的的安安全全问问题题的的有有效效方方法法。。特特别别是是针针对对通通信信双双方方发发生生争争执执时时可可能能产产生生的的否认、、冒充充、伪伪造、、篡改改；具有有可证证实性性、不不可否否认性性、不不可伪伪造性性和不不可重重用性性。§1.4.3特定安安全机机制2022/12/3159八大安安全机机制——访问控控制机机制根据访访问者者的身身份和和其它它信息息，来来决定定和实实施实实体的的访问问权限限:已鉴别别的身身份有关该该实体体的信信息使用该该实体体的权权力访问控控制的的功能能:拒绝实实体试试图使使用非非授权权的资资源,或者以以不正正当方方式使使用授授权资资源。。可能能产生生一个个报警警信号号或记记录进进行安安全审审计跟跟踪。。§1.4.3特定安安全机机制2022/12/3160八大安安全机机制——数据完完整性性机制制判断信信息在在传输输过程程中是是否被被篡改改、增增加、、删除除过，，确保保信息息的完完整。。主要要有两两种形形式：：数据单单元完完整性性：发送实实体给数据据单元元附加加上一一个量量,这个量量为该该数据据的函函数，，例如如校验验码。。接收实实体产生一一个相相应的的量,并把它它与接接收到到的那那个量量进行行比较较以决决定该该数据据是否否在转转送中中被篡篡改过过。单靠这这种机机制不不能防防止单单个数数据单单元的的重演演数据单单元序序列的的完整整性：：要求数数据编编号的的连续续性和和时间间标记记的正正确性性，以以防止止假冒冒、丢丢失、、重发发、插插入或或修改改数据据§1.4.3特定安安全机机制2022/12/3161八大安安全机机制——鉴别交交换机机制以交换换信息息的方方式来来确认认实体体身份份的机机制，，实现现同级级之间间的身身份认认证。。用于交交换鉴鉴别的的技术术有：：口令：由发发方实实体提提供，，收方方实体体检测测密码技技术：将交交换的的数据据加密密，只只有合合法用用户才才能解解密，，得出出有意意义的的明文文。在在许多多情况况下，，这种种技术术与时间标标记和和同步步时钟钟、双双方或或三方方“握握手””、数数字签签名和和公证证机构构一起使使用。。实体的的特征征或占占有物物：IC卡、指指纹识识别和和身份份卡等等对等实实体鉴鉴别：：如