09 信息安全基礎(chǔ)精選

1、信息與通信工程學(xué)院 2019年9月23日 1 第9章 信息安全基礎(chǔ) 2019年9月23日 2 第9章 信息安全基礎(chǔ) ? 9.1 信息安全概述 ? 9.2 信息安全技術(shù) ? 9.3 計算機(jī)病毒與防治 ? 9.4 實(shí)用用計算機(jī)安全技術(shù) 2019年9月23日 3 9.1.1 信息安全定義信息安全定義 ? 信息安全定義 為了防止對知識、事實(shí)、數(shù)據(jù)或功能未經(jīng)授權(quán) 使用、誤用、未經(jīng)授權(quán)修改或拒絕使用而采取 的措施。 保護(hù)這些東西不受威脅，還要保證他們不存在保護(hù)這些東西不受威脅，還要保證他們不存在 可能遭受攻擊的脆弱點(diǎn)。 2019年9月23日 4 9.1.1 信息安全定義信息安全定義 專家觀點(diǎn): 客觀上不存

2、在威脅，主觀上不存在恐懼 物理安全 通信安全 輻射安全 計算機(jī)安全 網(wǎng)絡(luò)安全 信息安全 確保五方面的安全： 2019年9月23日 5 9.1.1 信息安全定義信息安全定義 ? 1物理安全 要保證財物和信息在屋里上是安全的，不會被 人竊取。 ? 2通信安全 如果消息在傳輸過程中被截獲，也要做到消息 的內(nèi)容不會被泄露。方法就是對于信息的加密。 即使敵人截獲了消息也無法讀出的真正的信息。 古代最著名的信息加密方法要算是“愷撒密 碼” 。 2019年9月23日 6 9.1.1 信息安全定義信息安全定義 ? 什么是“愷撒密碼” “愷撒密碼”是一種最簡單的替換密碼。方法 就是使用字母表中每個字母后面第三位

3、的字母 取代該字母。因此如果情報中出現(xiàn)字母“ A” ， 則被替換成“D” ，出現(xiàn)“B” 則被替換成“E” ，依 次類推出現(xiàn)“Z” 則被替換成“C” ； 其他字符不 進(jìn)行替換。 例如：原始文件： THIS IS SECRET 加密后的文件：WKLV LV VHFUHW 2019年9月23日 7 9.1.1 信息安全定義信息安全定義 ? 3輻射安全 在20世紀(jì)50年代，人們認(rèn)識到可以通過電磁波 輻射信號獲得信息。 計算機(jī)電磁輻射安全問題已經(jīng)引起了各個國家 的高度重視，要防止這些信息在空中傳播，必 須采取防護(hù)和抑制電磁輻射泄密的專門技術(shù)措 施，針對這一問題，美國人建立了一套名為 TEMPEST的規(guī)范

4、，它規(guī)定了在敏感環(huán)境中使用計 算機(jī)的電子輻射標(biāo)準(zhǔn)，其目的是減少可以被用 于收集信息的電磁輻射。 2019年9月23日 8 9.1.1 信息安全定義信息安全定義 ? 4計算機(jī)安全 要防止在計算機(jī)使用過程中信息的泄露。要防止在計算機(jī)使用過程中信息的泄露。 1983年美國國防部標(biāo)準(zhǔn)年美國國防部標(biāo)準(zhǔn) 可信計算系統(tǒng)評估標(biāo)可信計算系統(tǒng)評估標(biāo) 準(zhǔn)準(zhǔn) D級：計算機(jī)是沒有任何保護(hù)的； C1級，自主權(quán)安全保護(hù)級，自主權(quán)安全保護(hù) C2級，受控安全保護(hù)級，受控安全保護(hù) B1級，標(biāo)記安全保護(hù) B2級，結(jié)構(gòu)化保護(hù)級，結(jié)構(gòu)化保護(hù) B3級，安全域 保護(hù) A1級，最高安全級別 ，是經(jīng)驗(yàn)證的安全設(shè)計 2019年9月23日 9 9

5、.1.1 信息安全定義信息安全定義 ? 5網(wǎng)絡(luò)安全 保護(hù)網(wǎng)絡(luò)上的計算機(jī)資源免受毀壞、替換、盜 竊和丟失 網(wǎng)絡(luò)安全問題主要來自四個方面 ： ?TCP/IP協(xié)議 本身的缺陷； ?大多數(shù)Internet上的數(shù)據(jù)信息沒有加密，很容易竊聽 和欺騙 ； ?來自網(wǎng)絡(luò)上黑客的攻擊 ； ?計算機(jī)病毒對網(wǎng)絡(luò)和計算機(jī)的危害。 2019年9月23日 10 9.1.1 信息安全定義信息安全定義 ? OSI-SA定義了五類安全服務(wù)： （1）身份認(rèn)證 (Authentication)：驗(yàn)證用戶的身份是否 合法，是否有權(quán)使用信息資源。 （2）訪問控制 (Access Control)：規(guī)定了合法用戶對數(shù) 據(jù)的訪問能力。 （3

6、）數(shù)據(jù)保密 (Data Confidentiality)：防止信息被未 授權(quán)用戶所獲得。 （4）數(shù)據(jù)完整 (Data Integrity)：確保收到的信息在傳 輸?shù)倪^程中沒有被修改、插入、刪除等。 （5）不可否認(rèn) (Non-repudiation)：通過記錄參與網(wǎng)絡(luò) 通信的雙方的身份認(rèn)證、交易過程和通信過程等，使任一 方無法否認(rèn)其過去所參與的活動。 2019年9月23日 11 9.1.1 信息安全定義信息安全定義 ? 信息安全解決方案 2019年9月23日 12 9.1.2 信息安全的法律與道德信息安全的法律與道德 ? 利用計算機(jī)、網(wǎng)絡(luò)的漏洞的攻擊行為，破 壞他人信息的行為大多數(shù)情況下都會觸犯

7、 法律 ? 網(wǎng)絡(luò)道德問題 合理的使用網(wǎng)絡(luò) 計算機(jī)倫理十戒 全國青少年網(wǎng)絡(luò)文明公約 ? 知識產(chǎn)權(quán)問題 盜版問題 2019年9月23日 13 9.2 信息安全技術(shù)信息安全技術(shù) ? 數(shù)據(jù)加密技術(shù) ? 數(shù)字簽名技術(shù) ? 防火墻技術(shù) ? 入侵檢測技術(shù) 2019年9月23日 14 9.2.1數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) ? 數(shù)據(jù)加密技術(shù)是通過一種使信息變得混亂的方式， 從而使未經(jīng)授權(quán)的人無法訪問它，而被授權(quán)的人卻 可以訪問 明文（plaintext）：信息最初存在的形態(tài) 密文（cipher text）：被加密算法打亂之后的信息 密鑰（key）：將密文轉(zhuǎn)化成明文或明文轉(zhuǎn)化成密文的算法中使用 的關(guān)鍵數(shù)據(jù) 加密（E

8、ncryption）：將明文轉(zhuǎn)換成密文的過程 解密（Decryption）：將密文轉(zhuǎn)換成明文的過程 解密密鑰 加密密鑰 明文 加密算法 明文 密文 解密算法 竊取者 發(fā)送 接收 2019年9月23日 15 9.2.1數(shù)據(jù)加密技術(shù) ? 對稱加密 加密密鑰與解密密鑰使用相同的算法 對稱密鑰常用算法有DES 優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時間的檢驗(yàn)和攻擊。 但安全性取決于是否能保證機(jī)密密鑰的安全。 明文 明 文 發(fā)送 明文 明 文 密 文 接收 2019年9月23日 16 9.2.1數(shù)據(jù)加密技術(shù) ? 非對稱加密 加密密鑰與解密密鑰使用不同的密鑰 常用算法有DSA、RSA 優(yōu)點(diǎn)是適應(yīng)網(wǎng)絡(luò)的開放性要求

9、，且密鑰管理問題也較為 簡單但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。 明文 明 文 其他人 明文 明 文 密 文 本人 公共密鑰PK 私有密鑰SK 9.2.1數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) ? 非對稱加密 每個用戶都有一對私鑰和公鑰 私鑰 用于解密和簽名 用戶自己來使用 公鑰 用于加密和驗(yàn)證簽名 公開給別人使用 數(shù)字證書采用公鑰體制 ,包含證書中所標(biāo)識的 實(shí)體的公鑰,公鑰與特定的個人匹配 , RSA體制 數(shù)字證書由證書頒發(fā)機(jī)構(gòu) (CA)的權(quán)威機(jī)構(gòu)頒發(fā) ,由權(quán)威機(jī)構(gòu)保證證書的有效性 2019年9月23日 18 9.2.1 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) ? 混合加密系統(tǒng)：把對稱密鑰法的數(shù)據(jù)處理速度和不 對稱密鑰法

10、對密鑰的保密功能結(jié)合起來。 用對稱密鑰法加密要傳輸?shù)臄?shù)據(jù)，用不對稱密鑰法的公鑰用對稱密鑰法加密要傳輸?shù)臄?shù)據(jù)，用不對稱密鑰法的公鑰 加密對稱密鑰法中對數(shù)據(jù)加密使用的密鑰，然后與加密的 數(shù)據(jù)一起傳輸給接收方。 接收方先用私鑰解開對稱密鑰法中對數(shù)據(jù)加密使用的密鑰， 然后用此解開的密鑰解開接收到的加密數(shù)據(jù)。 2019年9月23日 19 9.2.1數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) ? 單向式加密 也叫做哈希加密，使用 HashHash算法把一些不同長 度的信息轉(zhuǎn)化成雜亂的 128128位的編碼，這樣的 編碼叫做Hash值。這種方法僅能對信息進(jìn)行加 密，但無法解密出原始信息，所以叫做單向式 加密。 單向式加密一般

11、用于信息驗(yàn)證。 目前標(biāo)準(zhǔn)的單向式加密算法以 MD5MD5報文摘要算 法最為著名。 2019年9月23日 20 9.2.2 數(shù)字簽名數(shù)字簽名 ? 目的：防冒充、否認(rèn)、偽造 ? 方法：非對稱公鑰加密技術(shù) 加密算法 解密算法 明文 密文 明文 K1 K2 消息摘要技術(shù)防止數(shù)據(jù)被篡改 信息 信息 報文摘要算法 加密 K1 摘要信息 報文摘要算法 比較 K2 摘要信息 解密 摘要信息 信息發(fā)送給接收者 摘要信息數(shù)字簽名 后發(fā)送給接收者 2019年9月23日 21 9.2.3 防火墻技術(shù)防火墻技術(shù) ? 防火墻是一個分離器，一個限制器，也是一個分析器，可以 監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，僅讓安全、核準(zhǔn)后的數(shù)據(jù)進(jìn)入，抵

12、制 對局域網(wǎng)構(gòu)成威脅的數(shù)據(jù)，并能夠進(jìn)行用戶身份驗(yàn)證。 對外：禁止未授權(quán)的用戶程序其進(jìn)入內(nèi)部網(wǎng)絡(luò) 對內(nèi)：限制內(nèi)部用戶訪問外部的特殊站點(diǎn) 互聯(lián)網(wǎng) 防火墻 交換機(jī) 內(nèi)網(wǎng)外網(wǎng) 路由器 2019年9月23日 22 9.2.3 防火墻技術(shù)防火墻技術(shù) ? 防火墻的分類 包過濾防火墻：在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇和 過濾。 2019年9月23日 23 ? 防火墻的分類 應(yīng)用代理防火墻：網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器 通信。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的連接通過與代理 服務(wù)器間的連接來實(shí)現(xiàn),代理服務(wù)器又稱” 應(yīng)用網(wǎng)關(guān)”(針 對服務(wù))。 ? 9.2.3 防火墻技術(shù)防火墻技術(shù) 2019年9月23日 24 9.

13、2.3 防火墻技術(shù)防火墻技術(shù) ? 防火墻的分類 混合行防火墻 ：在網(wǎng)絡(luò)層由一個檢查引擎截 獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息， 并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒 絕 。 2019年9月23日 25 9.2.3 防火墻技術(shù)防火墻技術(shù) ? 防火墻的局限性 防火墻防外不防內(nèi) ? 防火墻很難解決內(nèi)部網(wǎng)絡(luò)人員的安全問題 ? 靜態(tài)的被動的防護(hù)技術(shù) 難于管理和配置，容易造成安全漏洞 ? 由于防火墻的管理和配置相當(dāng)復(fù)雜，對防火墻管理人員的要求比 較高 ? 入侵檢測 入侵檢測（Intrusion detection）技術(shù)是一種動態(tài)的網(wǎng) 絡(luò)檢測技術(shù)，用于識別針對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用 行為，包括來

14、自外部用戶和內(nèi)部用戶的未經(jīng)授權(quán)的活動。 兩種技術(shù)：模式匹配 異常檢測 2019年9月23日 26 9.2.4 入侵檢測入侵檢測 安全區(qū)域 Internet 事件收集模塊 事件分析模塊 事件相應(yīng)模塊 日志 攻擊 模式庫 入侵檢測系統(tǒng) 功能： 監(jiān)視系統(tǒng)中的各種活動 識別威脅安全的活動，進(jìn)行報警識別威脅安全的活動，進(jìn)行報警 對可疑活動進(jìn)行記錄、統(tǒng)計、分析 2019年9月23日 27 9.2.4 入侵檢測入侵檢測 ?入侵監(jiān)測系統(tǒng)（Intrusion Detection System, IDS）是由使用入侵 檢測技術(shù)的軟件與硬件組合而成一整套系統(tǒng)，被認(rèn)為是防火墻之后的 第二道安全閘門，在不影響網(wǎng)絡(luò)性能的

15、情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)控，提 供對內(nèi)、外部攻擊的實(shí)時保護(hù)。 （1）基于主機(jī)的IDSHIDS 2019年9月23日 28 9.2.4 入侵檢測入侵檢測 （2）基于網(wǎng)絡(luò)的IDSNIDS 2019年9月23日 29 9.2.5 漏洞掃描技術(shù)漏洞掃描技術(shù) ? 漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或 系統(tǒng)安全策略上存在的缺陷，從而可以使 攻擊者能夠在未授權(quán)的情況下訪問或破壞 系統(tǒng)。 ? 木桶原則 ? 措施 針對系統(tǒng)設(shè)計錯誤 打補(bǔ)丁 針對設(shè)置錯誤修改設(shè)置 2019年9月23日 30 9.3 計算機(jī)病毒與防治計算機(jī)病毒與防治 ? 計算機(jī)病毒的定義 ? 計算機(jī)病毒的分類 ? 計算機(jī)病毒的防治 2019年9月23日

16、 31 9.3.1 計算機(jī)病毒的定義計算機(jī)病毒的定義 ? 計算機(jī)病毒是一種人為編制的“計算機(jī)程 序”，它能夠破壞計算機(jī)系統(tǒng)，能夠自我 傳播和復(fù)制，并能夠感染其他系統(tǒng)。 ? 特點(diǎn) 傳染性 隱蔽性 激發(fā)性 破壞性 針對 性性 9.3.1 計算機(jī)病毒的定義計算機(jī)病毒的定義 ? 計算機(jī)病毒(Computer Virus), 根據(jù)中華人民共 和國計算機(jī)信息系統(tǒng)安全保護(hù)條例，病毒的明 確定義是“指編制或者在計算機(jī)程序中插入的破 壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并 且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼 ”。病毒必須滿足兩個條件： 1、它必須能自行執(zhí)行。它通常將自己的代碼置于 另一個程序的執(zhí)行路

17、徑中。 2、它必須能自我復(fù)制。例如，它可能用受病毒感 染的文件副本替換其他可執(zhí)行文件。 2019年9月23日 33 9.3.2 計算機(jī)病毒的分類計算機(jī)病毒的分類 ? 引導(dǎo)型病毒引導(dǎo)型病毒 ? 文件型病毒文件型病毒 ? 宏病毒宏病毒 ? 腳本病毒腳本病毒 ? 蠕蟲病毒蠕蟲病毒 2019年9月23日 34 9.3.2 計算機(jī)病毒的分類計算機(jī)病毒的分類 ? （1）引導(dǎo)型病毒 (Boot Strap Sector Virus) 引導(dǎo)型病毒是一種藏匿在硬盤引導(dǎo)區(qū)的病毒程 序。 會導(dǎo)致計算機(jī)系統(tǒng)不能正常啟動。 可以通過修改主板 BIOS設(shè)置，禁止修改硬盤引 導(dǎo)區(qū)，可以從根本上預(yù)防引導(dǎo)型病毒的感染。 201

18、9年9月23日 35 9.3.2 計算機(jī)病毒的分類計算機(jī)病毒的分類 ? （2）文件型病毒 (File Infector Virus) 文件型病毒通常寄生在可執(zhí)行文件（如文件型病毒通常寄生在可執(zhí)行文件（如 *.COM， *.EXE等）中。當(dāng)這些文件被執(zhí)行時，病毒的等）中。當(dāng)這些文件被執(zhí)行時，病毒的 程序就跟著被執(zhí)行，從而造成對系統(tǒng)的破壞。 著名的文件型病毒有著名的文件型病毒有“黑色星期五黑色星期五”病毒、病毒、 CIH病毒等。病毒等。 文件型病毒的清除比較困難，有些時候即時病 毒被清除了，被感染的文件也不能再用了，所毒被清除了，被感染的文件也不能再用了，所 以主要以預(yù)防為主。例如，及時備份文件。

19、以主要以預(yù)防為主。例如，及時備份文件。 2019年9月23日 36 9.3.2 計算機(jī)病毒的分類計算機(jī)病毒的分類 ? （3）宏病毒 (Macro Virus) 宏病毒是一種比較特殊的數(shù)據(jù)型病毒，專門感 染染Microsoft公司出品的辦公自動化軟件公司出品的辦公自動化軟件 Word 和Excel。20世紀(jì)90年代，宏病毒大范圍肆虐， 給很多計算機(jī)用戶留下了痛苦的回憶。由于用 來編寫宏命令的語言的開放性和強(qiáng)大的功能， 導(dǎo)致一些人開始在宏上做手腳，利用隱藏在 Word或或Excel文件中的宏命令來進(jìn)行破壞。文件中的宏命令來進(jìn)行破壞。 2019年9月23日 37 9.3.2 計算機(jī)病毒的分類計算機(jī)病毒的分類 ? （4）腳本病毒 腳本病毒的前綴是： Script，通常使用腳本語 言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒。其中又言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒。其中又 以Visual Basic ScriptVisual Basic Script 腳本語言編寫的病毒 最為出名，稱為最為出名，稱為VBS腳本病毒，比如： I Love You病毒。 腳本病毒很好的利用了瀏覽網(wǎng)頁這個途徑來傳 播自己，因此，禁用 Active控件可以預(yù)防大部 分腳本病毒。 2019年9月23日