第10章网络信息安全ppt

计算机文化基础(下)聊城大学理工学院曹银杰caoyinjie@lcu.edu.cn信息安全第10章信息安全10.1信息安全概述10.2防火墙10.3计算机病毒10.4信息政策与法规10.1信息安全概述10.1.0信息安全定义10.1.1信息安全意识10.1.2网络道德10.1.3计算机犯罪10.1.3信息安全技术10.1.0信息安全定义ISO(国际标准化组织)定义:信息的完整性、可用性、保密性和可靠性。–通俗地说，信息安全主要是指保护信息系统，使其没有危险、不受威胁、不出事故地运行。–从技术角度，信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。–从综合性又表现在，它是一门以人为主，涉及技术、管理和法律的综合学科，同时还与个人道德、意识等方面紧密相关。信息安全定义信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全的两个方面：–系统安全:包括操作系统管理的安全、数据存储的安全、对数据访问的安全等。–网络安全:则涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备的安全等。10.1.1信息安全意识1．建立对信息安全的正确认识信息安全这关系到企业、政府的业务能否持续、稳定地运行，关系到个人安全的保证，也关系到我们国家安全的保证。所以信息安全是国家信息化战略中一个十分重要的方面。信息安全意识2．掌握信息安全的基本要素和惯例信息安全四大要素：技术、制度、流程和人。–合适的标准、完善的程序、优秀的执行团队，是一个企业单位信息化安全的重要保障。–技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS（IntrusionDetectionSystem，即入侵检测系统）就能解决的。–制定完善的安全制度很重要，而如何执行这个制度更为重要。信息安全＝先进技术＋防患意识＋完美流程＋严格制度＋优秀执行团队＋法律保障信息安全意识3．清楚可能面临的威胁和风险美国前总统克林顿曾说过：“网络和计算机是一把双刃剑。它给世界带来了巨大的利益，但同时也会成为‘黑客’和恐怖分子威力巨大的武器。”网络信息安全面临的威胁有恶劣环境的影响、偶然故障和错误、人为的攻击破坏。对计算机的人为的攻击破坏具有明显的目的和主动性，这是计算机安全保密面临的最主要、最危险的威胁。我们主要讨论人为的攻击。网络不安全的原因：人为攻击+安全缺陷+软件漏洞+结构隐患网络不安全的原因结构隐患-----网络开放性–网络拓扑结构的隐患和网络硬件的安全缺陷–业务基于公开的协议。–远程访问使得各种攻击无需到现场就能得手。–连接是基于主机上的社团彼此信任的原则。安全缺陷–如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再大也不会对网络信息安全构成威胁。–遗憾的是所有的网络信息系统都不可避免地存在着一些安全缺陷。–有些安全缺陷可以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的代价。网络不安全的原因软件漏洞：程序的复杂性和编程的多样性，容易有意或无意地留下一些不易被发现的安全漏洞。–陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。一旦被利用将会带来严重的后果。–数据库的安全漏洞：某些数据库将原始数据以明文形式存储，这是不够安全的。应该对存储数据进行加密保护。–TCP/IP协议的安全漏洞：TCP/IP协议在设计初期并没有考虑安全问题。–还可能存在操作系统的安全漏洞以及网络软件与网络服务、口令设置等方面的漏洞。人为攻击人为攻击----黑客（HACKER)–在无所不在的网络世界里，无网不入的“黑客”是网络安全最大也是最严重的威胁。–定义：“非法入侵者”；起源：60年代。–目的：基于兴趣入侵，基于利益入侵，信息战等。人为攻击方法–非法访问：非法登录系统，非法读取系统的数据，窃听网络通信数据–信息泄漏：数据泄漏，状态泄漏；–破坏数据：破坏系统配置数据，破坏通信数据（插入、删除、篡改）。–欺骗：IP地址欺骗、身份欺骗；–抵赖：源抵赖、目的抵赖；–系统可用性：占用资源攻击，拒绝服务攻击；人为攻击谁是攻击者–大专院校的学生和青少年–单位工作人员–竞争者–计算机地下组织的侵袭者–职业窃贼和工业间谍–成就感者–无所事事者–军事目的–间谍信息安全意识4．养成良好的安全习惯–1）良好的密码设置习惯–2）网络和个人计算机安全–3）电子邮件安全–4）打印机和其他媒介安全–5）物理安全10.1.2网络道德网络道德概念：–计算机网络道德是用来约束网络从业人员的言行，指导他们的思想的一整套道德规范。涉及内容–计算机网络道德可涉及到计算机工作人员的思想意识、服务态度、业务钻研、安全意识、待遇得失及其公共道德等方面。自学此节！10.1.3计算机犯罪1.计算机犯罪的概念–指行为人以计算机作为工具或以计算机资产作为攻击对象实施的严重危害社会的行为。–利用计算机或攻击计算机资产行为。2.计算机犯罪的特点–1）犯罪智能化–2）犯罪手段隐蔽–3）跨国性–4）犯罪目的多样化–5）犯罪分子低龄化–6）犯罪后果严重计算机犯罪3.计算机犯罪的手段–1）制造和传播计算机病毒–2）数据欺骗–3）特洛伊木马–4）意大利香肠战术–5）超级冲杀–6）活动天窗–7）逻辑炸弹–8）清理垃圾–9）数据泄漏–10）电子嗅探器还有社交方法，电子欺骗技术，浏览，顺手牵羊和对程序、数据集、系统设备的物理破坏等犯罪手段。计算机犯罪4.黑客黑客已成为一个广泛的社会群体，其主要观点是：–所有信息都应该免费共享；–信息无国界，任何人都可以在任何时间地点获取他认为有必要了解的任何信息；–通往计算机的路不止一条；–打破计算机集权；–反对国家和政府部门对信息的垄断和封锁。黑客的行为会扰乱网络的正常运行，甚至会演变为犯罪。10.1.4信息安全技术目前信息安全技术主要有：密码技术、防火墙技术、虚拟专用网（VPN）技术、病毒与反病毒技术以及其他安全保密技术。1.密码技术1）基本概念：–密码技术是网络信息安全与保密的核心和关键。–通过密码技术的变换或编码，将机密、敏感的消息变换成难以读懂的乱码型文字。目的一，防止解密；目的二，防止伪造或篡改加密的信息。–研究密码技术的学科称为密码学。分支：密码编码学和密码分析学。两者相互对立，又相互促进。信息安全技术–明文：发送方要发送的消息。–密文：明文被变换成看似无意义的随机消息。–加密：明文到密文的变换过程。–解密：合法接收者从密文恢复出明文的过程。–破译：非法接收者试图从密文分析出明文的过程。–加密算法：对明文进行加密时采用的一组规则。–解密算法：对密文解密时采用的一组规则。–密钥：控制加密算法和解密算法的一组仅有合法用户知道的该密码。加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。信息安全技术2）单钥加密与双钥加密传统密码体制所用的加密密钥和解密密钥相同，或从一个可以推出另一个，被称为单钥或对称密码体制。若加密密钥和解密密钥不相同，从一个难以推出另一个，则称为双钥或非对称密码体制。单钥密码的优点是加、解密速度快。缺点是随着网络规模的扩大，密钥的管理成为一个难点；无法解决消息确认问题；缺乏自动检测密钥泄露的能力。采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公布；另一个则是秘密的，因此双钥体制又称作公钥体制。由于双钥密码体制的加密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。双钥密码的缺点是双钥密码算法一般比较复杂，加、解密速度慢。信息安全技术网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制，即加、解密时采用单钥密码，密钥传送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加、解密速度的问题。信息安全技术3）著名密码算法介绍（1）分组密码算法：数据加密标准是迄今世界上最为广泛使用和流行的一种分组密码算法。它的产生被认为是20世纪70年代信息加密技术发展史上的两大里程碑之一。DES是一种单钥密码算法，它是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64位一组，用长为56位的密钥对其进行16轮代换和换位加密，最后形成密文。DES的巧妙之处在于，除了密钥输入顺序之外，其加密和解密的步骤完全相同，这就使得在制作DES芯片时，易于做到标准化和通用化，这一点尤其适合现代通信的需要。在DES出现以后，经过许多专家学者的分析论证，证明它是一种性能良好的数据加密算法，不仅随机特性好，线性复杂度高，而且易于实现，因此，DES在国际上得到了广泛的应用。信息安全技术但是，最近对DES的破译取得了突破性的进展。破译者能够用穷举法借助网络计算在短短的二十余小时就攻破56位的DES，所以，在坚定的破译者面前，可以说DES已经不再安全了。其他的分组密码算法还有IDEA密码算法、LOKI算法、Rijndael算法等。信息安全技术（2）公钥密码算法：最著名的公钥密码体制是RSA算法。RSA算法是一种用数论构造的、也是迄今理论上最为成熟完善的一种公钥密码体制，该体制已得到广泛的应用。它的安全性基于“大数分解和素性检测”这一已知的著名数论难题基础，而体制的构造则基于数学上的Euler定理。但是，由于RSA涉及高次幂运算，用软件实现速度较慢，尤其是在加密大量数据时，所以，一般用硬件来实现RSA。RSA中的加、解密变换是可交换的互逆变换。RSA还可用来做数字签名，从而完成对用户的身份认证。著名的公钥密码算法还有Diffie-Hellman密钥分配密码体制、Elgamal公钥体制、Knapsack体制等，由于涉及较深的数学理论，在此不再赘述。信息安全技术2.防火墙技术当构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。在今天的电子信息世界里，人们借助了这个概念，使用防火墙来保护计算机网络免受非授权人员的骚扰与黑客的入侵，不过这些防火墙是由先进的计算机系统构成的。在本章第二节中将详细学习防火墙的有关知识。信息安全技术3.虚拟专用网（VPN）技术虚拟专网是虚拟私有网络（VPN，VirtualPrivateNetwork）的简称，它是一种利用公用网络来构建的私有专用网络。目前，能够用于构建VPN的公用网络包括Internet和服务提供商（ISP）所提供的DDN专线（DigitalDataNetworkLeasedLine）、帧中继（FrameRelay）、ATM等，构建在这些公共网络上的VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。“虚拟”的概念是相对传统私有专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。信息安全技术1）VPN的三种类型VPN有三种类型，即：访问虚拟专网（AccessVPN）、企业内部虚拟专网（IntranetVPN）、扩展的企业内部虚拟专网（ExtranetVPN）。2）VPN的优点利用公用网络构建虚拟私有网络是个新型的网络概念，它给服务提供商（ISP）和VPN用户都将带来不少的益处。对ISP而言，通过向企业提供VPN这种增值服务，可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。对于VPN用户而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，而且，企业甚至可以不必维护自己的广域网系统，交由专业的ISP来帮你完成；VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活、方便性等特性将大