第4章46网络信息安全.ppt

4.6 网络信息安全 4.6.1 概述 4.6.2 数据加密 4.6.3 数字签名 4.6.4 身份鉴别与访问控制 4.6.5 防火墙 4.6.6 计算机病毒防范 4.6.1 概述 信息传输(存储)中受到的安全威胁 确保信息安全的技术措施 （1）真实性鉴别：对通信双方的身份和所传送信息的真伪能准确地进行鉴别 （2）访问控制：控制用户对信息等资源的访问权限，防止未经授权使用资源 （3）数据加密：保护数据秘密，未经授权其内容不会显露 （4）保证数据完整性：保护数据不被非法修改，使数据在传送前、后保持完全相同 （5）保证数据可用性：保护数据在任何情况（包括系统故障）下不会丢失 （6）防止否认：防止接收方或发送方抵赖 （7）审计管理：监督用户活动、记录用户操作等 4.6.2 数据加密 数据加密的基本思想 目的：即使信息被窃取，也能保证数据安全 重要性：数据加密是其他信息安全措施的基础 基本思想： 发送方改变原始信息中符号的排列方式或按照某种规律替换部分或全部符号，使得只有合法的接收方通过数据解密才能读懂接收到的信息 加密方法举例： 将文本中每个小写英文字母替换为排列在字母表中其后面的第3个字母 原始数据：meet me after the class 加密后数据：phhw ph diwhu wkh fodvv 数据加密的基本概念 明文:加密前的原始数据 密文:加密后的数据(用于传输或存储) 密码(cipher):将明文与密文进行相互转换的算法 密钥:在密码中使用且仅仅只有收发双方知道的用于加密和解密的信息 两类数据加密方法 对称密钥加密 公共密钥加密 4.6.3 数字签名 数字签名概述 数字签名的含义： 数字签名是与消息一起发送的一串代码 数字签名的目的： 让对方相信消息的真实性 数字签名的用途： 在电子商务和电子政务中用来鉴别消息的真伪 对数字签名的要求： 无法伪造 能发现消息内容的任何变化 数字签名的处理过程 4.6.4 身份鉴别与访问控制 身份鉴别 身份鉴别的含义: 证实某人或某物（消息、文件、主机等）的真实身份是否与其所声称的身份相符,以防止欺诈和假冒 什么时候进行? 在用户登录某个计算机系统时进行 在访问、传送或拷贝某个重要的资源时进行 身份鉴别的依据(方法): 鉴别对象本人才知道的信息（如口令、私有密钥、身份证号等） 鉴别对象本人才具有的信物（例如磁卡、IC卡、USB钥匙等） 鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹或说话声音等） 双因素认证 :上述2种方法的结合 什么是访问控制? 访问控制的含义: 计算机对系统内的每个信息资源规定各个用户对它的操作权限（是否可读、是否可写、是否可修改等） 访问控制是在身份鉴别的基础上进行的 访问控制的任务: 对所有信息资源进行集中管理 对信息资源的控制没有二义性（各种规定互不冲突） 有审计功能（记录所有访问活动,事后可以核查） 文件的访问控制举例 4.6.5 防火墙 因特网防火墙 什么是因特网防火墙(Internet firewall)? 用于将因特网的子网（最小子网是1台计算机）与因特网的其余部分相隔离, 以维护网络信息安全的一种软件或硬件设备 防火墙的原理: 防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息, 等等 4.6.6 计算机病毒防范 什么是计算机病毒? 计算机病毒是有人蓄意编制的一种具有自我复制能力的、寄生性的、破坏性的计算机程序 计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源 病毒程序的特点: 破坏性 隐蔽性 传染性和传播性 潜伏性 计算机病毒的表现和危害 破坏文件内容，造成磁盘上的数据破坏或丢失 删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动 修改或破坏系统中的数据，使系统造成不可弥补的损失 在磁盘上产生许多“坏”扇区，减少磁盘可用空间 占用计算机内存，造成计算机运行速度降低 破坏主板BIOS芯片中存储的程序或数据 ……. 杀毒软件的功能与缺陷 杀毒软件的功能: 检测及消除内存、BIOS、文件、邮件、U盘和硬盘中的病毒 例如：Norton，瑞星，江民，金山毒霸，卡巴斯基等 杀毒软件的缺陷： 杀毒软件的开发与更新总是稍稍滞后于新病毒的出现，因此会检测不出或无法消除某些信病毒 事先无法预计病毒的发展及变化，很难开发出具有先知先觉功能的可以消除一切病毒的软硬件工具 预防计算机病毒侵害的措施 不使用来历不明的程序和数据 不轻易打开来历不明的电子邮件，特别是附件 确保系统的安装盘和重要的数据盘处于“写保护”状态 在机