第6章网络信息安全

大学IT（第六版）中国石油大学出版社第6章网络信息安全本章内容网络信息安全概述密码理论简介计算机病毒防火墙与入侵检测信息安全应用大学IT（第六版）中国石油大学出版社6.1网络信息安全概述6.1.1网络信息安全的含义6.1.2网络信息安全的结构层次6.1.3网络信息安全面临的威胁6.1.4网络信息安全对策大学IT（第六版）中国石油大学出版社6.1.1网络信息安全的含义保密性保密性即防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。完整性完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入和丢失的特性。真实性真实性是防止系统内的信息感染病毒或遭受恶意攻击，以确保信息的真实可靠。大学IT（第六版）中国石油大学出版社6.1.1网络信息安全的含义可靠性可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。可用性这是网络信息可被授权实体访问并按需求使用的特性，即网络信息服务在需要时，允许授权用户或实体使用的特性。可用性是网络信息系统面向用户的安全性能。不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中，确信参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。可控性大学IT（第六版）中国石油大学出版社6.1.2网络信息安全的结构层次网络信息安全的结构层次主要包括：物理安全、安全控制和安全服务。物理安全在物理介质层次上对存储和传输的网络信息的安全保护。目前，该层次上常见的不安全因素包括三大类：1）自然灾害、物理损坏、设备故障；2）电磁辐射、趁机而入、痕迹泄露；3）操作失误。大学IT（第六版）中国石油大学出版社6.1.2网络信息安全的结构层次安全控制1）操作系统的安全控制。包括对用户的合法身份进行核实，对文件的读写存取的控制。此类安全控制主要保护被存储数据的安全。2）网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、审计日志等。3）网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或对网络连接设备的配置实现。大学IT（第六版）中国石油大学出版社6.1.2网络信息安全的结构层次安全服务在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，以满足用户的安全需求。以保护网络信息的保密性为目标的数据加密和解密；以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证；以保护网络信息的完整性，防止和检测数据被修改、插入、删除和改变的信息认证；会话密钥的分配和生成、身份验证等。大学IT（第六版）中国石油大学出版社6.1.3网络信息安全面临的威胁网络信息安全面临的威胁主要来自于人为或自然威胁、安全缺陷、软件漏洞、病毒和黑客入侵等方面。1.人为或自然威胁人为威胁通过攻击系统暴露的要害或弱点，使得网络信息的保密性、完整性、可靠性、可控性和可用性等受到伤害，造成不可估量的损失。人为威胁又分为两种：一种是以操作失误为代表的无意威胁（偶然事故）；另一种是以计算机犯罪为代表的有意威胁（恶意攻击）。自然威胁来自于各种自然灾害、恶劣的场地环境、电磁辐射、电磁干扰和设备自然老化等。这些事件，有时会直接威胁网络信息安全，影响信息的存储媒体。大学IT（第六版）中国石油大学出版社6.1.3网络信息安全面临的威胁2.安全缺陷网络信息系统是计算机技术和通信技术的结合，计算机系统的安全缺陷和通信链路的安全缺陷构成了网络信息系统的潜在安全缺陷。网络信息系统的安全缺陷通常包括物理网络的安全缺陷、逻辑网络的安全缺陷以及通信链路的安全缺陷三种。大学IT（第六版）中国石油大学出版社6.1.3网络信息安全面临的威胁3.软件漏洞由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。陷门操作系统的安全漏洞数据库的安全漏洞TCP/IP协议的安全漏洞网络软件、网络服务和口令设置等方面的漏洞大学IT（第六版）中国石油大学出版社6.1.3网络信息安全面临的威胁4.黑客和病毒黑客一词源于英文Hacker，原指热心于计算机技术、水平高超的电脑专家，尤其是程序设计人员。黑客一般利用黑客程序来侵入信息系统，或者利用信息系统的缺陷和漏洞来达到目的。许多软件中的漏洞就是他们最先发现的。病毒是一种具有自我复制能力和破坏力的程序，它们经常伪装成无害的程序，侵入人们的系统，破坏资料和程序。大学IT（第六版）中国石油大学出版社6.1.4网络信息安全对策安全问题遵循“木桶短板”原则，即系统的安全性取决于系统的最薄弱环节，任何单一层次上的安全措施都不可能提供真正的安全。网络信息安全是一个涉及面很广的问题，要想达到安全的目的，必须同时从技术、法规政策和管理这三个方面入手。在安全技术方面：积极采用已有的安全技术，如防火墙技术、加密技术入侵检测技术等。由于新的威胁不断出现，必须加强对网络信息安全技术手段的研究与开发，以适应新的安全需求。大学IT（第六版）中国石油大学出版社6.1.4网络信息安全对策在法规政策方面：努力提高公众的网络信息安全意识，使大家认识到网络信息安全的重要性；加快我国网络安全立法的步伐，制定网络安全的相关法律；推进互联网行业自律，净化网络环境，杜绝有害信息的制作、发布、复制和传播。大学IT（第六版）中国石油大学出版社6.1.4网络信息安全对策在管理上：建立起具有权威性的信息安全管理机构，制定网络信息安全政策，对网络信息安全管理进行统筹规划，对面临的重大网络信息安全事件做出快速反应与决策；制定健全的安全管理制度；加大对员工的教育培训，提高其技术能力和职业素质，应对随时可能出现的信息安全问题，尽量杜绝非技术事故的发生。大学IT（第六版）中国石油大学出版社6.2密码理论简介为了保证通信网络能正常、安全地运行，要求系统能够对信息实施有效保护，对合法用户进行认证并能准确地鉴别出非法用户，这些都需要借助于密码学的力量。密码学就是研究密码技术的学科，它包含两个分支，即密码编码学和密码分析学。前者旨在对信息进行编码实现信息隐蔽，后者旨在研究分析破译密码，两者相互对立而又相互促进。大学IT（第六版）中国石油大学出版社6.2密码理论简介6.2.1基本概念6.2.2网络通信中的加密方式6.2.3著名密码算法举例大学IT（第六版）中国石油大学出版社6.2.1基本概念密码技术通过信息的变换或编码，将机密、敏感的消息变换成他人难以读懂的乱码型文字，以此达到两个目的：使他人不能从其截获的乱码中得到任何有意义的信息使他人不能伪造任何乱码型的信息基本概念被隐蔽的消息称作明文，通常以m表示；密码可将明文变换成另一种隐蔽形式，称为密文，通常以c表示；由明文到密文的变换称为加密；由合法接收者从密文恢复出明文的过程称为解密（或脱密）；非法接收者试图从密文分析出明文的过程称为破译；大学IT（第六版）中国石油大学出版社6.2.1基本概念基本概念（续）对明文进行加密时采用的一组规则称为加密算法，通常用E表示；对密文解密时采用的一组规则称为解密算法，通常用D表示；加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的，该秘密信息称为密钥；加密和解密过程中使用的密钥分别称为加密密钥（通常以k1表示）和解密密钥（通常以k2表示）。大学IT（第六版）中国石油大学出版社6.2.1基本概念以密钥为标准，可将密码系统分为单钥密码系统（又称为对称密码或私钥密码）和双钥密码系统（又称为非对称密码或公钥密码）。在单钥体制下，加密密钥与解密密钥相同（即k1=k2=k），或从加密密钥可以很容易地推导出解密密钥，此时密钥k需经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥。最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。大学IT（第六版）中国石油大学出版社6.2.1基本概念单钥密码的优点安全性高加、解密速度快。单钥密码的缺点随着网络规模的扩大，密钥的管理成为一个难点无法解决消息确认问题缺乏自动检测密钥泄露的能力大学IT（第六版）中国石油大学出版社6.2.1基本概念双钥体制下加密密钥与解密密钥不同，不需要安全信道来传送密钥。双钥密码是1976年W.Diffie和M.E.Hellman提出的一种新型密码体制。双钥密码体制的加密和解密不同，所以不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码是1977年由Rivest、Shamir和Adleman三人提出的RSA密码体制。双钥密码的缺点：算法一般比较复杂，加、解密速度慢。大学IT（第六版）中国石油大学出版社6.2.1基本概念如果以密码算法对明文的处理方式为标准，则可将密码系统分为分组密码和序列密码。分组密码的加密方式是首先将明文序列以固定长度进行分组，每一组明文分别用相同的密钥和加密函数进行加密。序列密码的加密过程是把明文序列与等长的密钥序列进行运算加密。解密过程则是把密文序列与等长的密钥序列进行运算解密。序列密码的安全性主要依赖于密钥序列。大学IT（第六版）中国石油大学出版社6.2.2网络通信中的加密方式基于密码算法的数据加密技术是网络上所有通信安全所依赖的基本技术。目前网络通信加密主要有三种方式：1.链路加密方式优点在于不受加、解密对系统要求的变化等影响。2.节点对节点加密方式缺点：需要目前的公共网络提供者配合，修改他们的交换节点，增加安全单元或保护装置。3.端对端加密方式端对端加密方式则是对整个网络系统采取保护措施。因此，端对端加密方式是将来的发展趋势。大学IT（第六版）中国石油大学出版社6.2.2网络通信中的加密方式数据加密实现方法主要有两种：软件加密和硬件加密。软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送，到达接收方后，由用户用解密软件进行解密，还原成明文。硬件加密可以采用标准的网络管理协议进行管理，也可以采用统一的自定义网络管理协议进行管理，因此密钥的管理比较方便，而且可以对加密设备进行物理加固，使得攻击者无法对其进行直接攻击。大学IT（第六版）中国石油大学出版社6.2.3著名密码算法举例1.数据加密标准（DES）1975年，美国国家标准局接受了国际商业机器公司（IBM）推荐的一种密码算法。2.IDEA密码算法IDEA是近年来提出的各种分组密码中一个很成功的方案，已在PGP加密软件中应用。3.Rijndael算法Rijndael算法已被广泛应用于身份认证、数字签名、节点加密及各种网络加密。4.RSA算法是迄今为止理论上最为成熟完善的一种公钥密码体制。它的安全性是基于大数的分解困难，而算法的构造是基于数学上的Euler定理。RSA中的加、解密变换是可交换的互逆变换，所以RSA还可用来做数字签名。大学IT（第六版）中国石油大学出版社6.3计算机病毒6.3.1病毒的原理、特点与传播途径6.3.2病毒的类型6.3.3病毒的预防6.3.4病毒的清除大学IT（第六版）中国石油大学出版社6.3.1病毒的原理、特点与传播途径病毒是一种特殊的计算机程序，会进行一些恶意的破坏活动，使用户的网络或信息系统遭受浩劫。病毒是一种基于硬件和操作系统的程序，任何一种病毒都是针对某种处理器和操作系统编写的。计算机病毒特点破坏性传染性隐藏性可激活性针对性。病毒的主要传播途径：网络、U盘、硬盘和光盘。大学IT（第六版）中国石油大学出版社6.3.2病毒的类型1.系统引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。2.文件型病毒文件型病毒的宿主不是引导区而是一些可执行程序。文件型病毒分为三类：覆盖型、前/后附加型和伴随型。3.宏病毒WindowsWord宏病毒是利用Word提供的宏功能，将病毒程序插入到带有宏的.doc文