《信息安全技术基础》

第八章信息平安技术根底编辑ppt8.1信息平安概述8.1信息平安问题概述8.2信息平安技术8.2.1加密与认证技术8.2.2防火墙技术8.2.3网络防攻击与入侵检测技术8.2.4文件备份与恢复技术8.2.5计算机病毒防范技术8.3网络道德及信息平安法规8.3.1网络道德8.3.2信息平安法规8.1.1面临的平安威胁8.1.2信息平安的特征8.1.3信息平安的内容8.1.4信息平安的机制2024/3/172编辑ppt网络平安的背景在我们的生活中，经常可以听到下面的报道：XX网站受到黑客攻击XX计算机系统受到攻击，造成客户数据丧失目前又出现XX计算机病毒，已扩散到各大洲……计算机网络在带给我们便利的同时已经表达出了它的脆弱性……3编辑ppt8.1信息平安概述8.1.1面临的平安威胁现代信息系统及网络通信系统面临的平安威胁截获中断篡改伪造截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站对网络的被动攻击和主动攻击2024/3/174编辑ppt截获搭线窃听信息总部下属机构黑客信息泄密

信息被篡改Internet截获是指一个非授权方介入系统，使得信息在传输过程中泄露或被窃听，它破坏了信息的保密性。非授权方可以是一个人，也可以是一个程序。截获攻击主要包括：①利用电磁泄露或搭线窃听等方式可截获机密信息，通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等。②文件或程序的不正当复制。5编辑ppt中断中断是使正在使用的信息系统毁坏或不能使用，即破坏了信息的可用性。中断攻击主要包括：①使合法用户不能访问网络的资源。②使有严格时间要求的效劳不能及时得到响应。③物理破坏网络系统和设备组件使网络不可用，或者破坏网络结构使之瘫痪等。例如，硬盘等硬件的破坏、通信线路的切断、文件管理系统的瘫痪等。编辑ppt篡改篡改是以非法手段窃得对信息的管理权，通过未授权的创立、修改、删除和重放等操作，使信息的完整性受到破坏。篡改攻击主要包括：①改变数据文件，如修改信件内容等。②改变程序，使之不能正确运行。编辑ppt伪造非授权方将伪造的信息插入到信息中，破坏信息的真实性。例如，在网络中插入假信件，或者在文件中追加记录等。

编辑ppt网络平安面临的威胁物理风险系统风险信息风险应用风险其它风险网络的风险管理风险

设备防盗，防毁链路老化人为破坏网络设备自身故障停电导致无法工作机房电磁辐射其他信息存储平安信息传输平安信息访问平安其他身份鉴别访问授权机密性完整性不可否认性可用性

计算机病毒

外部攻击内部破坏其他风险软件弱点是否存在管理方面的风险需有无制定相应的平安制度平安拓扑平安路由Internet9编辑ppt8.1信息平安概述8.1.2信息平安的特征可用性机密性真实性完整性可控性抗可否认性可存活性2024/3/1710编辑ppt8.1信息平安概述8.1.3信息平安的内容实体平安运行平安数据平安管理平安一、实体平安问题①环境平安：信息设备大多属易碎品，不能受重压或强烈的震动，更不能受强力冲击，各种自然灾害〔如地震、风暴等〕对设备平安构成了严重的威胁。②设备平安：主要包括：设备的机能失常、电源故障和电磁泄漏。③媒体平安：主要是搭线窃听和电磁泄漏。实体平安策略2024/3/1711编辑ppt8.1信息平安概述实体平安策略实体平安策略的目的是保护计算机系统、网络效劳器等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击，抑制和防止电磁泄漏，建立完备的平安管理制度。二、系统运行平安问题①操作系统平安：问题主要有：未进行系统相关平安配置、软件的漏洞和“后门〞、协议的平安漏洞。②应用系统平安：涉及资源共享、电子邮件系统、病毒侵害等很多方面。2024/3/1712编辑ppt8.1信息平安概述系统运行平安策略运行平安策略主要涉及：访问控制策略、防黑客的恶意攻击、隔离控制策略、入侵检测和病毒防护。三、数据平安①数据平安需求：就是保证数据的真实性、机密性、完整性和抗否认性。②数据平安策略：最主要的数据平安策略就是采用数据加密技术、数字签名技术和身份认证技术。2024/3/1713编辑ppt8.1信息平安概述四、管理平安①平安管理问题：平安和管理是分不开的，即便有好的平安设备和系统，也应该有好的平安管理方法并贯彻实施。管理的缺陷可能造成系统内部人员泄露机密，也可能造成外部人员通过非法手段截获而导致机密信息的泄漏。②平安管理策略：确定平安管理等级和平安管理范围，制定有关操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。2024/3/1714编辑ppt8.1信息平安概述8.1.4信息平安的机制身份确认机制〔收发信息者身份确认〕访问控制机制〔合法用户进行访问控制管理〕数据加密机制〔数据加密处理〕病毒防范机制〔增加防范病毒软件〕信息监控机制〔防止泄密〕平安网关机制〔防火墙〕平安审计机制〔定期检查〕2024/3/1715编辑ppt8.2信息平安技术8.2.1加密与认证技术对称密钥密码体系非对称密钥密码体系身份认证数字签名技术2024/3/1716编辑ppt数据加密的概念数据加密模型密文网络信道明文明文三要素：信息明文、密钥、信息密文加密密钥信息窃取者解密密钥加密算法解密算法17编辑ppt数据加密的概念数据加密技术的概念数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext)，只有特定接受方才能将其解密(Decryption)复原成明文的过程。明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密钥(Key)：控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；加密(Encryption)：将明文通过数学算法转换成密文的过程；解密(Decryption)：将密文复原成明文的过程。18编辑ppt数据加密技术原理对称密钥加密〔保密密钥法〕加密算法解密算法密钥网络信道明文明文密文加密密钥解密密钥两者相等19编辑ppt数据加密技术原理非对称密钥加密〔公开密钥加密〕加密算法解密算法公开密钥网络信道明文明文密文私有密钥公钥私钥公钥私钥不可相互推导不相等20编辑ppt数据加密技术原理混合加密系统对称密钥加密算法对称密钥解密算法对称密钥网络信道明文明文密文混合加密系统既能够平安地交换对称密钥，又能够克服非对称加密算法效率低的缺陷！非对称密钥加密算法非对称密钥解密算法对称密钥公开密钥私有密钥

混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合21编辑ppt身份鉴别技术IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鉴别技术的提出在开放的网络环境中，效劳提供者需要通过身份鉴别技术判断提出效劳申请的网络实体是否拥有其所声称的身份。22编辑ppt身份鉴别技术常用的身份鉴别技术基于用户名和密码的身份鉴别基于对称密钥密码体制的身份鉴别技术基于KDC〔密钥分配中心〕的身份鉴别技术基于非对称密钥密码体制的身份鉴别技术基于证书的身份鉴别技术23编辑ppt身份鉴别技术Yes.Ihaveausernamed“Alice〞whosepasswordis“byebye〞.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice〞,mypasswordis“byebye〞.Pleasesendmedata.Internet基于用户名和密码的身份鉴别

24编辑ppt身份鉴别技术ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于对称密钥体制的身份鉴别A在这种技术中，鉴别双方共享一个对称密钥KAB，该对称密钥在鉴别之前已经协商好〔不通过网络〕。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤25编辑ppt身份鉴别技术ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鉴别技术A,KA(B,KS)基于KDC〔KeyDistributionCenter，密钥分配中心〕的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中，参与鉴别的实体只与KDC共享一个对称密钥，鉴别通过KDC来完成。KB(A,KS)AliceBob①②KDC26编辑ppt身份鉴别技术基于非对称密钥体制的身份鉴别

在这种技术中，双方均用对方的公开密钥进行加密和传输。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③27编辑ppt身份鉴别技术基于证书的身份鉴别技术为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性〞的问题，可采用证书对实体的公开密钥的真实性进行保证。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②28编辑ppt数据加密技术原理数字签名数字签名〔digitalsignature〕技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。29编辑ppt数据加密技术原理数字签名的工作原理非对称加密算法非对称解密算法Alice的私有密钥网络信道合同Alice的公开密钥哈希算法标记标记-2合同哈希算法比较标记-1如果两标记相同，那么符合上述确认要求。AliceBob假定Alice需要传送一份合同给Bob。Bob需要确认：合同的确是Alice发送的合同在传输途中未被修改30编辑ppt数据加密技术原理数字签名的作用唯一地确定签名人的身份；对签名后信件的内容是否又发生变化进行验证；发信人无法对信件的内容进行抵赖。当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构〔CA:CertificateAuthorities〕的帮助。31编辑ppt8.2信息平安技术8.2.2防火墙技术一、防火墙的主要功能①检查所有从外部网络进入内部网络的数据包。②检查所有从内部网络流出到外部网络的数据包。③执行平安策略，限制所有不符合平安策略要求的数据包通过。④具有防攻击能力，保证自身的平安性。二、防火墙的根本准那么一切未被允许的就是禁止的一切未被禁止的就是允许的2024/3/1732编辑ppt网络防火墙的根本概念防火墙是一种高级访问控制设备，是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合，是不同网络平安域间通信流的通道，能根据企业有关平安政策控制(允许、拒绝、监视、记录)进出网络的访问行为。它是网络的第一道防线，也是当前防止网络系统被人恶意破坏的一个主要网络平安设备。它本质上是一种保护装置，在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层，并在此接受检查和连接，只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。图1网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ33编辑ppt8.2信息平安技术三、防火墙的位置外部网络不可信赖的网络内部网络可信赖的网络防火墙2024/3/1734编辑ppt防火墙的主要技术应用层代理技术

(ApplicationProxy)包过滤技术

(PacketFiltering)状态包过滤技术

(StatefulPacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类35编辑ppt包过滤技术包过滤技术的根本概念包过滤技术指在网络中适当的位置对数据包有选择的通过，选择的依据是系统内设置的过滤规那么，只有满足过滤规那么的数据包才被转发到相应的网络接口，其余数据包那么从数据流中删除。包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤路由器，是一种可以根据过滤规那么对数据包进行阻塞和转发的路由器。

36编辑ppt包过滤技术

包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。图4包过滤技术概念数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网屏蔽路由器数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略37编辑ppt状态包检测技术状态包检测技术是包过滤技术的延伸，常被称为“动态包过滤〞，是一种与包过滤相类似但更为有效的平安控制方法。对新建的应用连接，状态检测检查预先设置的平安规那么，允许符合规那么的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。

38编辑ppt8.2信息平安技术四、应用级网关应用级网关也叫代理效劳器，隔离风险网络与内部网络之间的直接联系，内外不能直接交换数据，数据交换由代理效劳器“代理〞完成。代理效劳器像一堵真正的墙一样阻挡在内部用户和外界之间，从外面只能看到代理效劳器而看不到内部资源，从而有效地保护内部网不受侵害。2024/3/1739编辑ppt防火墙的功能利用防火墙保护内部网主要有以下几个主要功能：控制对网点的访问和封锁网点信息的泄露防火墙可看作检查点，所有进出的信息都必须穿过它，为网络平安起把关作用，有效地阻挡外来的攻击，对进出的数据进行监视，只允许授权的通信通过；保护网络中脆弱的效劳。能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播，防火墙可隔离网络的一个网段和另一个网段，从而限制了局部网络平安问题对整个网络的影响。40编辑ppt具有审计作用防火墙能有效地记录Internet网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。能强制平安策略Internt网上的许多效劳是不平安的，防火墙是这些效劳的“交通警察〞，它执行站点的平安策略，仅仅允许“认可〞和符合规那么的效劳通过。此外，防火墙还具有其他一些优点，如：监视网络的平安并产生报警；保密性好，强化私有权；提供加密和解密及便于网络实施密钥管理的能力。41编辑ppt防火墙的缺乏虽然网络防火墙在网络平安中起着不可替代的作用，但它不是万能的，有其自身的弱点，主要表现在：防火墙不能防范病毒虽然防火墙扫描所有通过的信息，但扫描多半是针对源与目标地址以及端口号，而并非数据细节，有太多类型的病毒和太多种方法可使病毒在数据中隐藏，防火墙在病毒的防范上是不适用的。防火墙对不通过它的连接无能为力虽然防火墙能有效的控制所有通过它的信息，但对从网络后门及调制解调器拨人的访问那么无能为力。42编辑ppt防火墙不能防范内部人员的攻击目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的平安性。所以，如果入侵者来自防火墙的内部，防火墙那么无能为力。限制有用的网络效劳防火墙为了提高被保护网络的平安性，限制或关闭了很多有用但存在平安缺陷的网络效劳。由于多数网络效劳在设计之初根本没有考虑平安性，所以都存在平安问题。防火墙限制这些网络效劳等于从一个极端走向了另一个极端。43编辑ppt防火墙不能防范新的网络平安问题防火墙是一种被动式的防护手段，只能对现在的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现，不可能靠一次性的防火墙设置来解决永远的网络平安问题。44编辑ppt8.2信息平安技术8.2.3网络防攻击与入侵检测技术入侵检测的功能①监控、分析用户和系统的行为。②检查系统的配置和漏洞。③评估重要的系统和数据文件的完整性。④对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。⑤对操作系统进行审计、跟踪管理，识别违反授权的用户活动。入侵检测的根本方法：异常检测误用检测系统2024/3/1745编辑ppt8.2信息平安技术8.2.4文件备份与恢复技术文件备份与恢复的重要性数据可以进行归档与备份归档是指在一种特殊介质上进行永久性存储，归档的数据可能包括文件效劳器不再需要的数据，但是由于某种原因需要保存假设干年，一般是将这些数据存放在一个非常平安的地方。数据备份是一项根本的系统维护工作。数据备份简介2024/3/1746编辑ppt8.2信息平安技术8.2.5计算机病毒防范技术1.计算机病毒的定义计算机病毒是一些人蓄意编制的一种具有寄生性的计算机程序，能在计算机系统中生存，通过自我复制来传播，在一定条件下被激活从而给计算机系统造成一定损害甚至严重破坏。这种有破坏性的程序被人们形象地称为“计算机病毒〞。2024/3/1747编辑ppt8.2信息平安技术“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机作用，并能自我复制的一组计算机指令或者程序代码〞。(?中华人民共和国计算机信息系统平安保护条例?)2.计算机病毒的特性破坏性潜伏性传染性2024/3/1748编辑ppt8.2信息平安技术3.计算机病毒的新特点种类、数量激增传播途径更多，传播速度更快电子邮件成为主要传播媒介造成的破坏日益严重附:当前计算机病毒传播途径浏览小网站邮件下载游戏U盘盗版光盘2024/3/1749编辑ppt8.2信息平安技术4.计算机病毒防范措施计算机病毒检查文件大小和日期突然变化文件莫名其妙丧失系统运行速度异常慢有特殊文件自动生成用软件检查内存时，发现有不该驻留的程序磁盘空间自动产生坏区或磁盘空间减少系统启动速度突然变得很慢或系统异常死机次数增多计算机屏幕出现异常提示信息、异常滚动、异常图形显示打印机等外部设备不能正常工作2024/3/1750编辑ppt8.2信息平安技术4.计算机病毒防范措施计算机病毒防范计算机病毒尽管危害很大，但用户假设能采取良好的防范措施，完全可以使系统防止遭受严重的破坏。①安装防病毒软件，并及时升级。②如果移动存储设备〔例如，优盘〕在其他计算机上使用过，在自己的计算机上使用前先查毒。③不使用盗版光盘。④从局域网上其他计算机复制到本地计算机的文件，从互联网下载的文件，先查毒再使用。2024/3/1751编辑ppt8.2信息平安技术⑤接收到不明来历的电子邮件，具有诱惑性标题时，不要翻开，并删