信息安全基础知识_第1页
信息安全基础知识_第2页
信息安全基础知识_第3页
信息安全基础知识_第4页
信息安全基础知识_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全基础知识1.了解信息安全基本概念信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。2.了解网络安全主要概念及意义网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。3.了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)产生安全隐患的产生原因:1.网络通信协议的不安全2.计算机病毒的入侵3.黑客的攻击4操作系统和应用软件的安全漏洞5.防火墙自身带来的安全漏洞分类:分为主动攻击和被动攻击主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。从攻击的目的来看,可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击;从攻击的切入点来看,有缓冲区溢出攻击、系统设置漏洞的攻击等;从攻击的纵向实施过程来看,又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等;从攻击的类型来看,包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等4.了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)技术缺陷:现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。配置缺陷:于交换机和路由器而言,它们的主要作用是进行数据的转发,因此在设备自身的安全性方面考虑的就不是很周全。在默认的情况下,交换机和路由器的许多网络服务端口都是打开的,这就是等于为黑客预留了进入的通道策略缺陷:计算机信息安全问题主要在于信息技术和管理制度两个方面,所以相应的安全防范策略也必须从达两个方面人手,形成技术与管理、操作与监管并行的系统化安全保障体系。人为缺陷:人为攻击是指通过攻击系统的弱点,以便达到破坏、欺骗、窃取数据等目的,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成经济上和政治上不可估量的损失。人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的,但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。恶意攻击又分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的情况下,进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种方式有选择地破坏信息,如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。5.了解网络安全的实现目标和主要技术措施在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年365天、一天24小时地监视网络系统的状态。这些工作仅靠人工完成是不可能的。所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,以保证计算机网络的安全。

计算机网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Intergrity)。下面把与之相关的几个重要的网络安全技术做一下介绍。

杀毒软件

与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:

首先,杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现,并且60%的病毒均通过Internet传播,病毒发展有日益跨越疆界的趋势,杀病毒企业的竞争也随之日益国际化。

其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。

第三,杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的Internet协议及邮件系统,能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播,可以说Internet的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如:Norton、McAfee、熊猫卫士走到了前面,它们均可以支持所有的Internet协议,辨识出其中病毒。

当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护,企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理1000台机器,Norton的SRC有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。

防火墙

网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。

对企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。

防火墙的技术实现通常是基于所谓"包过滤"技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。

除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。

需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

加密技术

网络安全的另一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种:

单匙技术

这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。

但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。

双匙技术

此技术使用两个相关互补的钥匙:一个称为公用钥匙(publickey),另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人--即使是发信者--能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。

加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。

如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。

在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,在此做一个简单介绍。

身份验证

身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网上信息安全的第一道屏障。

存取控制

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。

数据完整性

完整性证明是在数据传输过程中,验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法,它虽不能保证数据的完整性,只起到基本的验证作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法,它们虽可以保证数据的完整性,但由于实现起来比较复杂,系统开销比较大,一般只用于完整性要求较高的领域,特别是商业、金融业等领域。

安全协议

安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。

需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。

按照前面提到的计算机网络的安全性内容,整个网络安全产品可划分为系统安全产品和数据安全产品。其中系统安全产品可分为防病毒类产品(杀毒软件)、防火墙类产品和其他防攻击类产品等;而数据安全产品可分为密码6.了解信息安全的主要表现形式(蠕虫或病毒扩散,垃圾邮件泛滥,黑客行为,信息系统脆弱性,有害信息的恶意传播)电脑病毒电脑病毒的种类电脑病毒一般分类如下:开机磁区病毒档案型病毒巨集病毒其他新种类的病毒资料由香港特别行政区政府资讯科技署提供开机磁区病毒在九十年代中期以前,开机磁区病毒是最常见的病毒种类。这种病毒藏於已受感染的硬磁碟机的主开机磁区,或磁碟操作系统开机磁区内。当软磁碟插入已受感染的个人电脑时,病毒便会把软磁碟开机磁区感染,藉此把病毒扩散。使用受感染的软磁碟进行启动程序时,电脑便会受到感染。在启动电脑的过程中,基本输入输出系统会执行驻於软磁碟开机磁区的病毒编码,因此系统便改为受病毒控制。病毒控制了电脑系统后,便会把病毒编码写入硬磁碟的主开机磁区。之后,便会恢复正常的启动程序。从用户的角度来看,一切情况似乎与正常无异。日后启动电脑时,驻於受感染的主开机磁区的病毒便会启动执行。因此,病毒会进入记忆体,并可随时感染其他经使用的软磁碟。[主开机磁区是硬磁碟的第一个磁区,这个磁区载有执行操作系统的分割控制表及编码。主开机磁区后的16个或以上的磁区通常是空置不用的。硬磁碟机最多可分割为4个储存分区,而磁碟操作系统的扩展分区可细分为多个逻辑驱动器。每个分区的第一个磁区便是开机磁区,这个磁区包含载入分区的操作系统的资料及编码。软磁碟没有主开机磁区。以标准磁碟操作系统格式进行格式化后的软磁碟,在结构上与硬磁碟的磁碟操作系统分区相同。档案型病毒档案型病毒是一种依附在档案内,经由程式档而非资料档扩散的病毒。电脑在执行受感染的程式时,便会受到感染。这些受感染的程式可能经由软磁碟、唯读光碟、网络及互联网等途径传播。在执行受感染的程式后,随附的病毒便会立即感染其他程式,或可能成为一个常驻程式,以便在日后感染其他程式。在完成这些步骤后,病毒便会恢复执行原本的正常程式。因此,用户在执行受感染的程式时,不易发觉有任何异常的情况。档案型病毒一般会感染有特定副档名的档案。副档名为COM、EXE及SYS的档案,均是常见的病毒感染对象。巨集病毒一九九五年七月,一种新的电脑病毒被人发现,立即使电脑界大感震惊。这种新的病毒称为巨集病毒,它与一直以来出现的病毒不同,可感染资料档而非执行档。其实,这并非一种新的概念,因为有关以巨集语言编写病毒的可行性的研究,始於八十年代后期。在Word程式出现的巨集病毒可以在多个不同的操作平台活动,而且,只要电脑的Word程式是支援Word档案格式的话,便有机会受到感染。换言之,无论使用的是OS/2或Windows版本的Word程式,或是个人电脑或麦金塔(Macintosh)电脑,也可能受到巨集病毒的感染。其他新种类的病毒病毒和抗御病毒技术不断转变,日新月异。随著电脑用户使用新的操作平台/电脑技术,编写病毒的人也会随之而发展新病毒,再作扩散。下文列出部分可能出现新病毒种类的新操作平台/电脑技术:JavaActiveXVisualBasic(VB)ScriptHTMLLotusNotesJavaJava病毒一直是一个富争议的话题:究竟可否编写Java病毒?Java病毒可否在电脑之间或经由互联网扩散?以上问题,均曾在不同的新闻组进行讨论。由於Java微应用程式的设计是在受控的环境(称为「sandbox」)内执行,接触不到电脑的档案或网络的接驳,因此,Java病毒在电脑之间扩散的可能性极低。但由於Java亦像其他标准的程式一样,可让开发人员建立可控制整个系统的应用程式,故Java病毒有其产生及存在的空间。第一种被发现以Java电脑程式开发语言为本的病毒称为「Java.StrangeBrew」。首次发现日期是一九九八年九月,会感染属Java类别的档案。但这种病毒只会影响独立的Java应用程式档案,以微应用程式执行的档案则不受感染。虽然Java应用程式并不常见,「Java.StrangeBrew」病毒的扩散也只属於初步阶段,但这种病毒的影响实在不容忽视。随著Java应用程式日趋普及,预料Java病毒的种类也会逐渐增加。ActiveX跟Java的情况一样,ActiveX被视为将会受病毒入侵的操作平台。若就设计方面将两者比较,在ActiveX扩散病毒的机会较Java为大。基本上,ActiveX是ObjectLinkingandEmbedding(OLE)的精简版本,会直接接触电脑的Windows系统,因此可连接到任何的系统功能。此外,ActiveX的用户并非只局限於MSInternetExplorer的用户;现在,NetscapeNavigator的附加程式(plug-in)也可使用这种技术。相比之下,Java是在「受控的环境」下执行,或经由一个名为「JavaVirtualMachine」的程式才可执行,因此可使Java与操作系统的各项服务隔开。VisualBasic(VB)Script过去,编写病毒的人若要成功编写一种可感染其他电脑的病毒,必须对电脑的基本操作具备相当程度的知识。但随著MicrosoftOffice内巨集的出现,编写病毒的工具已准备就绪,而编写的人毋须具备很多资讯科技知识也能胜任。同样,VBScript病毒所发挥作用的操作环境很快便会普及,扩散也甚为容易。VBScript病毒已对电脑用户构成真正威胁。微软公司的原意是包括一种功能强大而易於使用的语言以便轻易取用Windows98/NT系统内的资源。VBScript是以人类可阅读的方式编写,所以易於明白。正是这个原因,很多并没有具备高深资讯科技知识的编写病毒的人也可侵入这个领域。以VBScript编写的程式的第一代病毒藏在以HTML编写的网页内,经由互联网扩散开去。现时散播力强的VBScript编写的病毒通常以寄发电子邮件的方式扩散,按用户地址册所列的电邮地址把病毒程式一同寄出。用户执行附件中的程式时,便会帮助病毒扩散。超文本标示语言(英文简称「HTML」)藉由HTML扩散的病毒是另一个在互联网上引起广泛讨论的话题。有人甚至声称/宣告已发明/发现首只属HTML种类的病毒。HTML是一种控制网页设计的编写语言。本来,纯HTML是不会受到感染,因此,只支援HTML的浏览器也不会有受病毒感染的危险。所谓「HTML病毒」出现的机会实在微乎其微。因此,真正的威胁并非来自浏览互联网的网页,而是来自从互联网下载已感染病毒编码的程式并加以执行。但现时的浏览器大部分都支援其他编写网页的语言,而所谓的「HTML病毒」通常会利用这些编写文本的语言进行扩散。在文本内的病毒通常会藉著网页感染电脑,VBS.Offline便是一个典型的例子。目前,最普遍的文本病毒便是刚讨论过的VBScript病毒。otusNotesLotusNotes用户众多,会是编写病毒的人针对的软件。虽然目前尚未发现本机的LotusNotes病毒,但在LotusNotes数据库内的rich-text字段却提供了可供传统病毒(例如:档案型病毒及巨集病毒)驻存的地方。因为有关记录曾进行压缩,所以一般抗御病毒软件不能侦测在Notes数据库内的病毒。为防范电脑病毒入侵Notes的操作环境,我们建议用户安装专为Notes软件而编制的抗御病毒软黑客行为现在攻击个人电脑的木马软件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,很多人中了木马自己还不知道,要想使自己的电脑安全,就好扎好自己的篱笆,看好自己的门,电脑也有自己的门,我们叫它端口.端口你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCPIP协议,任何网络软件的通讯都基于TCPIP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCPIP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCPIP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑通过端口进入你的电黑客是怎么样进入你的电脑的呢?当然也是基于TCPIP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,就来说利用软件如何发现自己电脑中的木马.如何发现自己电脑中的木马再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开CWINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是0),然后打开浏览器,在浏览器的地址栏中输入http07306,如果浏...??查找木马.进一步查找木马让我们做一个试验:netspy.exe开放的是7306端口,用工具把它的端口修改了,经过修改的木马开放的是7777端口了,现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。扫描这么多端口是不是很累,需要半个多小时,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马.在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。下面就netbus木马为例讲讲删除的经过。简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开CWINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是无害的木马,其实这是最可恶、最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。我们再来作做这样一个实验,将SysEdit.exe和CWINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开CWINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在CWINDOWSDRWATSON.EXE中还是暴露了。好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。nbsp;排除了木马以后,你就可以监视端口,----悄悄等待黑客的来临.信息的脆弱性信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性,就为各种动机的攻击提供了入侵、骚扰或破坏信息系统的途径和方法。所谓信息系统的脆弱性,是指信息系统的硬件资源、通信资源、软件及信息资源等,因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效,从而使信息系统处于异常状态,甚至崩溃瘫痪等。具体分析如下:1.硬件组件信息系统硬件组件的安全隐患多来源于设计,主要表现为物理安全方面的问题。各种计算机或网络设备(如主机、CRT、电缆、hub、路由器、微波线路等),除难以抗拒的自然灾害外,温度、湿度、尘埃、静电、电磁场等也可以造成信息的泄露或失效。信息系统在工作时,向外辐射电磁波,易造成敏感信息的泄露。由于这些问题是固有的,除在管理上强化人工弥补措施外,采用软件程序的方法见效不大。因此在设计硬件或选购硬件时,应尽可能减少或消除这类安全隐患。2.软件组件软件组件的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞;软件设计中不必要的功能冗余及软件过长、过大,不可避免地存在安全脆弱性;软件设计不按信息系统安全等级要求进行模块化设计,导致软件的安全等级不能达到所声称的安全级别;软件工程实现中造成的软件系统内部逻辑混乱,导致垃圾软件,这种软件从安全角度看是绝对不可用的。软件组件可分为三类,即操作平台软件、应用平台软件和应用业务软件。这三类软件以层次结构构成软件组件体系。操作平台软件处于基础层,维系着系统组件运行的平台,因此操作平台软件的任何风险都可能直接危及或被转移或延伸到应用平台软件。所以,对信息系统安全所需的操作平台软件的安全等级要求不得低于系统安全等级要求,特别是信息系统的安全服务组件的操作系统安全等级必须至少高于系统安全一个等级,强烈建议安全服务组件的操作系统不得直接采用商业级或普遍使用的操作系统。应用平台软件处于中间层次,是在操作平台支撑下运行的支持和管理应用业务的软件。一方面,应用平台软件可能受到来自操作平台软件风险的影响;另一方面,应用平台软件的任何风险可直接危及或传递给应用业务软件。因此应用平台软件的安全特性也至关重要。在提供自身安全保护的同时,应用平台软件还必须为应用软件提供必要的安全服务功能。应用业务软件处于顶层,直接与用户或实体打交道。应用业务软件的任何风险都直接表现为信息系统的风险,3.网络和通信协议在当今的网络通信协议中,局域网和专用网络的通信协议具有相对封闭性,因为它不能直接与异构网络连接和通信。这样的“封闭”网络本身基于两个原因比开放式的Internet的安全特性好,一是网络体系的相对封闭性降低了从外部网络或站点直接攻入系统的可能性,但信息的电磁泄露性和基于协议分析的搭线截获问题仍然存在;二是专用网络自身具有较为完善、成熟的身份鉴别,访问控制和权限分割等安全机制。安全问题最多的网络和通信协议是基于TCP/IP协议栈的Internet及其通信协议。因为任何接入Internet的计算机网络协议以及利用公共通信基础设施构建的内联网/外联网,在理论上和技术实践上已无真正的物理界限,同时在地缘上也没有真正的国界。国与国之间、组织与组织之间,以及个人与个人之间的网络界限是依靠协议、约定和管理关系进行逻辑划分的,因而是一种虚拟的网络现实;而且支持Internet运行的TCP/IP协议栈原本只考虑互联互通和资源共享的问题,并未考虑也无法兼容解决来自网际中的大量安全问题。Internet何以存在如此多的安全隐患,TCP/IP协议栈到底有哪些脆弱性和漏洞?要理解与Internet有关的安全脆弱性和漏洞存在的原因和分布情况,需从网络技术发展历史和TCP/IP协议栈的研究初衷、使用背景及发展驱动力等方面分析。(1)缺乏对用户身份的鉴别TCP/IP协议的机制性安全隐患之一是缺乏对通信双方真实身份的鉴别机制。由于TCP/IP协议使用IP地址作为网络节点的唯一标识,而IP地址的使用和管理又存在很多问题,因而可导致下列两种主要安全隐患:IP地址是由Internet信息中心(InterNIC)分发的,其数据包的源地址很容易被发现,且IP地址隐含了所使用的子网掩码,攻击者据此可以画出目标网络的轮廓。因此使用标准IP地址的网络拓扑对Internet来说是暴露的。IP地址很容易被伪造和被更改,且TCP/IP协议没有对IP包中源地址真实性的鉴别机制和保密机制。因此Internet上任何主机都可以产生一个带有任意源IP地址的IP包,从而假冒另一个主机进行地址欺骗。(2)缺乏对路由协议的鉴别认证TCP/IP在IP层上缺乏对路由协议的安全认证机制,对路由信息缺乏鉴别与保护。因此可以通过Internet利用路由信息修改网络传输路径,误导网络分组传输。(3)TCP/UDP的缺陷TCP/IP协议规定了TCO/UDP是基于IP协议上的传输协议,TCP分段和UDP数据包是封装在IP包中在网上传输的,除可能面临IP层所遇到的安全威胁外,还存在下列TCP/UDP实现中的安全隐患:建立一个完整的TCP连接,需要经历“三次握手”过程。在客户/服务器模式的“三次握手”过程中,假如客户的IP地址是假的,是不可达的,那么TCP不能完成该次连接所需的“三次握手”,使TCP连接处于“半开”状态。攻击者利用这一弱点可实施如TCPSYNFlooding攻击的“拒绝服务”攻击。TCP提供可靠连接是通过初始序列号和鉴别机制来实现的。每一个合法的TCP连接都有一个客户/服务器双方共享的唯一序列号作为标识和鉴别。初始序列号一般由随机数发生器产生,但问题出在很多操作系统(如UNIX)在实现TCP连接初始序列号的方法中所产生的序列号并不是真正随机的,而是一个具有一定规律、可猜测或计算的数字。对攻击者来说,猜出了初始序列号并掌握了目标IP地址之后,就可以对目标实施IPSpoofing攻击,而IPSpoofing攻击很难检测,因此此类攻击危害极大。UDP是一个无连接控制协议,极易受IP源路由和拒绝服务型攻击。在TCP/IP协议层结构中,应用层位于最顶部,因此下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃;而各种应用层服务协议(如Finger,FTP,Telnet,E-mail,DNS,SNMP等)本身也存在许多安全隐患,这些隐患涉及鉴别、访问控制、完整性和机密性等多个方面,极易引起针对基于TCP/IP应用网络信息传播方式 (一)网络媒体集散信息观点影响社会舆

无论是信息量,还是观点数量,网络媒体都已超过传统媒体,成为社会舆论的重要发源地。一些事件在网上披露后,引起网民强烈反应,推动事件得到处理,比如华南虎伪照被揭穿、许霆ATM取款案被改判、黑砖窑女干部复出决定被废止、“躲猫猫”事件被查处等等。网上不仅有正面信息,也有流言、谣言、假新闻等负面信息,如果不善加管理和引导,会对社会舆论产生负面影响。

(二)网络论坛发酵网民情感引致社会行

网民在网络论坛中的真实面目和身份被各种符号所代替,具有隐匿性,可以毫无顾忌地发表意见。各种观念在网上集合、交汇、碰撞,夹杂着有害的、负面的杂音和噪音。网络论坛成为“意见市场”,帖子成为“意见广告”。在论坛讨论中,兴趣观点比较相近的网民更容易聚集在一起,形成独特的政治场。这种政治场不断放大网民意见,形成“集体狂欢”,出现舆论一边倒的极化现象。网站论坛成为网络舆论发酵器,累积情绪,直至引发社会行动,实现从虚拟政治到现实政治的转换

(三)网络通讯隐秘传递信息编织社会网

网络通讯(包括电子邮件和即时通讯)是互联网的重要功能,具有隐秘性、快捷性等特点。电子邮件使用简便、投递迅速、易于保存、全球畅通,可以传播文字、声音、图像等多种资料,可以一对一、一对多传递,极大地改变信息传播方式。电子邮件在给人们带来诸多便利的同时,也被境内外敌对势力加以利用。2008年“3.14”事件爆发之前,境外“藏独”分子就通过电子邮件发送《“西藏人民大起义运动”倡议书》和达赖“3.10”讲话等材料,反复进行煽动

(四)网络检索强力搜寻相关信息确定社会角

百度、谷歌、搜狐等搜索引擎具有强大的信息检索功能,可以在瞬间检索上百亿张网页,搜寻相关信息,给人们的学习、研究、工作、生活带来极大便利。2008年搜索引擎用户已达2.03亿人,比2007年增加5100万人,增长33.6%。搜索引擎已成为网络监督的重要手段。南京某局长抽天价烟的图片在网上曝光后,其身份很快就被网络检索查出,使其得到应有处理

(五)网络博客传播思想观点影响社会思

博客是近年来增幅最大的言论载体。个人上网写博客正在形成一个新的文化奇观。Web2.0的推广,实现了“去中心化”的非线性传播,打破了网络出版的限制,消除了网民交流的中间环节,每个网民都可以成为传播发起节点,人人是记者、人人是作家、人人是编辑、人人办刊物。不但各类网站纷纷开设博客频道,而且出现了专门的博客网站。2008年中国博客作者已达1.62亿人,其中1.05亿人在半年内更新过博客。通过博客传播的观点已经并将继续影响社会思潮

(六)网络站点成为群体社会活动组织平

交友网站和网络社区使网民出现分众化趋势,为相同兴趣(比如郊游)的网民组织活动提供平台,丰富网民生活。网络站点也成为集体上访等群体行动的组织平台。2009年2月,广西银行系统买断工资人员通过网络组织大规模集体进京上访活动,不但发布行动的时间、路线、接头暗号,制定备用方案,还联系国外记者参与报道。网络传播信息迅速、高效、广泛,使得集体串联活动十分便捷。7.了解信息安全的基本属性(机密性,完整性,可用性,真实性,可控性)通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。可控性是对网络信息的传播及内容具有控制能力的特性。8.了解建立安全网络的基本策略(确知系统弱点,限制访问,达到持续的安全,物理安全,边界安全,防火墙,Web和文件服务器,存取控制,变更管理,加密,入侵检测系统)入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时作出响应。人侵检测作为一种积极主动的安全防护技术,能很好地弥补防火墙的不足!2]。它能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它的主要作用是:(1)监视、分析用户及系统活动;(2)审计系统构造和弱点。识别反映已知进攻的活动模式并向相关人士报警;(3)统计分析异常行为模式;(4)评估重要系统和数据文件的完整性。审计跟踪管理操作系统,并识别用户违反安全策略的行为。类似于防火墙或者反XX类软件(如反病毒、反垃圾邮件、反间谍软件等),都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,你还需要建立一种具有主动性的安全模型,防护任何未知的攻击,保护网络安全。另外,虽然在安全方面时刻保持警惕是非常必要的,但是事实上很少有企业有能力24小时不间断的派人守护网络。加密强度取决于三个主要因素:首先是算法的强度,包括几个因素,例如,除了尝试所有可能的密钥组合之外的任何方法都不能数学的使信息被解密。从我们的角度而言,我们应该使用工业标准的算法,它们已经被加密学专家测试过无数次,任何一个新的或个体的配方将不被信任直到它被商业的认证。第二个因素是密钥的保密性,一个合乎逻辑但有时被忽略了的方面,没有算法能够发挥作用如果密钥受到损害,因此,数据的保密程度直接与密钥的保密程度相关,注意区分密钥和算法,算法不需要保密,被加密的数据是先与密钥共同使用,然后再通过加密算法。第三个因素是密钥程度,这是最为人所知的一个方面,根据加密和解密的应用程序,密钥的长度是由”位”为单位,在密钥的长度上加上一位则相当于把可能的密钥的总数乘以二倍,简单的说构成一个任意给定长度的密钥的位的可能组合的个数可以被表示为2的n次方,这儿的n是一个密钥长度,因此,一个40位密钥长度的配方将是2的40次方或1099511627776种可能的不同的钥,与之形成鲜明对比的是现代计算机的速度。弱点漏洞是系统在设计过程中留下的问题,也是黑客入侵系统利用系统的问题所在。及时发现,弥补这些先天不足,对保证系统安全尤为重要。人工的测试,费时费力并且不切实际。弱点漏洞分析系统能自动侦测分析系统存在的弱点漏洞,并提出相关问题的解决方案。系统集成了39大类1472种弱点漏洞,覆盖全面,包括了操作系统、服务、网络设备、网络协议等的漏洞。并在不断的升级,平均每3周升级一次网络边界上的安全问题主要有下面几个方面:1、信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:◆攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密◆合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密2、入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。3、网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。4、木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。9.了解信息加密的基本概念;计算机密码学是研究计算机信息加密、解密及其变换的科学,是数学和计算机的交义学科,也是一门新兴的学科。在国外,它已成为计算机安全主要的研究方向,也是计算机安全课程教学中的主要内容。密码是实现秘密通讯的主要手段,是隐蔽语言、文字、图象的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或载获,窃取者也不能了解信息的内容,从而保证信息传输的安全。任何一个加密系统至少包括下面四个组成部分:

(1)、未加密的报文,也称明文。

(2)、加密后的报文,也称密文。

(3)、加密解密设备或算法。

(4)、加密解密的密钥。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。10.了解基础的密码学理论(对称与非对称算法,认证证书PKI密钥和证书,生命周期管理等)对称算法与非对称算法对称算法(symmetricalgorithm),有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来.而在大多数的对称算法中,加密密钥和解密密钥是相同的.所以也称这种加密算法为秘密密钥算法或单密钥算法.它要求发送方和接收方在安全通信之前,商定一个密钥.对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信性至关重要.对称加密的优点在于算法实现后的效率高,速度快.对称加密的缺点在于密钥的管理过于复杂.如果任何一对发送方和接收方都有他们各自商议的密钥的话,那么很明显,假设有N个用户进行对称加密通信,如果按照上述方法,则他们要产生N(N-1)把密钥,每一个用户要记住或保留N-1把密钥,当N很大时,记住是不可能的,而保留起来又会引起密钥泄漏可能性的增加.常用的对称加密算法有DES,DEA等非对称加密(dissymmetricalencryption),有时又叫公开密钥算法(publickeyalgorithm).这种加密算法是这样设计的:用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内).之所以又叫做公开密钥算法是由于加密密钥可以公开,即陌生人可以得到它并用来加密信息,但只有用相应的解密密钥才能解密信息.在这种加密算法中,加密密钥被叫做公开密钥(publickey),而解密密钥被叫做私有密钥(privatekey).非对称加密的缺点在于算法实现后的效率低,速度慢.。非对称加密的优点在于用户不必记忆大量的提前商定好的密钥,因为发送方和接收方事先根本不必商定密钥,发放方只要可以得到可靠的接收方的公开密钥就可以给他发送信息了,而且即使双方根本互不相识.但为了保证可靠性,非对称加密算法需要一种与之相配合使用的公开密钥管理机制,这种公开密钥管理机制还要解决其他一些公开密钥所带来的问题.常用的非对称加密算法有RSA等.PKIPKI(PublicKeyInfrastructure

即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI的基本组成:完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论