第六計(jì)算機(jī)信息安全

1、第六章 計(jì)算機(jī)信息安全第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全2信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 3第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全3信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 3一個(gè)黑客的一天一個(gè)黑客的一天黑客Joe今天進(jìn)行的第一個(gè)搜索好象沒(méi)有什么危險(xiǎn)性:Intitle:“welcome to IIS4.0”Results 1-10 of about 63 for Intitle:“welcome to IIS4.0” (0.10 seconds)他這是在找什

2、么?我們?cè)谒钠聊簧峡吹揭环蓍L(zhǎng)長(zhǎng)的Windows IIS 4.0服務(wù)器名單, IIS 4.0服務(wù)器軟件存在著大量的安防漏洞,很多攻擊者都喜歡挑選它們作為攻擊目標(biāo)。一個(gè)黑客的一天一個(gè)黑客的一天VNC Server允許遠(yuǎn)程用戶來(lái)連接和控制某個(gè)用戶的桌面。因?yàn)榉N種原因，總有那么一些人會(huì)把自己的VNC Server服務(wù)器配置成不需要提供口令字就可以訪問(wèn)這將允許別人從遠(yuǎn)程直接訪問(wèn)他的桌面。不得了！“VNC Desktop” inurl:5800Results 1-10 of about 112 for “VNC Desktop” inurl:5800.(0.27seconds)因?yàn)檫€想尋找更多的犧牲品，

3、Joe Hacker沒(méi)有在這份清單上花費(fèi)更多的時(shí)間。他的下一個(gè)搜索目標(biāo)是在Web服務(wù)器上運(yùn)行著VNC Server軟件的用戶：一個(gè)黑客的一天一個(gè)黑客的一天Joe Hacker今天為尋找潛在的攻擊目標(biāo)而進(jìn)行的最后一次(這當(dāng)然不意味著他只會(huì)這么多招數(shù))Google搜索是尋找防范不力的Microsoft FrontPage功能擴(kuò)展模塊,這種搜索一直非常流行,效果也一直不錯(cuò):Filetype:pwd serviceResults 1-10 of about 173 for Filetype:pwd service.(0.28seconds)Joe Hacker順手點(diǎn)擊了搜索結(jié)果清單里的一個(gè)鏈接,在他的

4、屏幕上出現(xiàn)了一些用戶名和Unix口令字:# -FrontPageeekendall:bYldlSr73NLKoLouisa:5zm94d7cdDFiQ一個(gè)黑客的一天一個(gè)黑客的一天Joe HackerJoe Hacker啟動(dòng)了他的啟動(dòng)了他的John the RipperJohn the Ripper口令字破解工具，那口令字破解工具，那位位LouisaLouisa用戶的口令字幾乎立刻就被破解出來(lái)用戶的口令字幾乎立刻就被破解出來(lái)“trumpetrumpet t”。JoeJoe的手里現(xiàn)在已經(jīng)又了一個(gè)的手里現(xiàn)在已經(jīng)又了一個(gè)FrontPageFrontPage用戶名和相關(guān)的用戶名和相關(guān)的口令字了?？诹钭至?/p>

5、。一個(gè)黑客的一天一個(gè)黑客的一天在找到了幾個(gè)好的潛在攻擊的目標(biāo)之后，在找到了幾個(gè)好的潛在攻擊的目標(biāo)之后，Joe HackerJoe Hacker又把興趣又把興趣轉(zhuǎn)向了轉(zhuǎn)向了WebWeb上的敏感信息，如口令字和財(cái)務(wù)信息等。他又進(jìn)行了上的敏感信息，如口令字和財(cái)務(wù)信息等。他又進(jìn)行了一次搜索：一次搜索：Filetype:bak inurl:”thaccess|passwd|htusers”Results 1-10 of about 59 for Filetype:bak inurl:”thaccess|passwd|htusers”.(0.18seconds)這次搜索查出了一大堆與人們用來(lái)存放用戶名和加

6、密口令字這次搜索查出了一大堆與人們用來(lái)存放用戶名和加密口令字（要破解這些口令字并不難）的文件有關(guān)信息。（要破解這些口令字并不難）的文件有關(guān)信息。Joe HackerJoe Hacker今今天的運(yùn)氣還真不錯(cuò)，他隨手點(diǎn)擊的那個(gè)鏈接讓他弄到了一個(gè)未天的運(yùn)氣還真不錯(cuò)，他隨手點(diǎn)擊的那個(gè)鏈接讓他弄到了一個(gè)未使用使用shadowshadow加密機(jī)制的加密機(jī)制的UNIXUNIX口令字文件。那個(gè)文件來(lái)自美國(guó)的口令字文件。那個(gè)文件來(lái)自美國(guó)的某所著名大學(xué)，里面有好幾百個(gè)用戶名。只好了幾秒鐘就有這某所著名大學(xué)，里面有好幾百個(gè)用戶名。只好了幾秒鐘就有這么大的收獲，讓么大的收獲，讓JoeJoe覺(jué)得心滿意足。覺(jué)得心滿意足。

7、一個(gè)黑客的一天一個(gè)黑客的一天那就再試試幾個(gè)在網(wǎng)上尋找數(shù)據(jù)庫(kù)的那就再試試幾個(gè)在網(wǎng)上尋找數(shù)據(jù)庫(kù)的GoogleGoogle搜索招數(shù)好了，搜索招數(shù)好了，JoeJoe想到了就做：想到了就做：Filetype:properties inurl:db intext:passwordResults 1-10 of about 854 for Filetype:properties inurl:db intext:password.(0.21seconds)JoeJoe在搜索結(jié)果清單里隨手點(diǎn)擊了一個(gè)鏈接。嘿，那不是明文形在搜索結(jié)果清單里隨手點(diǎn)擊了一個(gè)鏈接。嘿，那不是明文形式的數(shù)據(jù)庫(kù)口令字嗎！式的數(shù)據(jù)庫(kù)口令字嗎！

8、Drives=sun.jdbc.jdbcodbcdrive jdbc.idbDriverLogfile=d:usersrcjavaDBConnectionManagerlog.txtIdb.url=jdbc:idb:c:localjavawebserver1.1dbdb.prpIdb.maxconn=2Access.url=jdbc:odbc:demoAccess.user=demoAccess.password=demopw一個(gè)黑客的一天一個(gè)黑客的一天“not for diatribution” confidential site:eduResults 1-10 of about 138 f

9、or “not for diatribution” confidential site:edu.(0.21seconds)真走運(yùn)，真走運(yùn)，JoeJoe今天進(jìn)行的幾次搜索都大有收獲今天進(jìn)行的幾次搜索都大有收獲他這次隨手點(diǎn)他這次隨手點(diǎn)開(kāi)的那個(gè)鏈接列出了開(kāi)的那個(gè)鏈接列出了100100多個(gè)機(jī)密文件。那所大學(xué)把學(xué)生們的社多個(gè)機(jī)密文件。那所大學(xué)把學(xué)生們的社會(huì)安全號(hào)碼保存在了一些會(huì)安全號(hào)碼保存在了一些PDFPDF文件里，太糟糕了！文件里，太糟糕了！一個(gè)黑客的一天一個(gè)黑客的一天現(xiàn)在，現(xiàn)在，JoeJoe覺(jué)得今天找到了的那幾個(gè)潛在攻擊目標(biāo)都很值得一試，覺(jué)得今天找到了的那幾個(gè)潛在攻擊目標(biāo)都很值得一試，但在親自動(dòng)手之

10、前，他決定使出自己的但在親自動(dòng)手之前，他決定使出自己的GoogleGoogle搜索殺手锏：搜索殺手锏：This file was generated by NessusResults 1-10 of about 75,300 for This file was generated by Nessus.(0.2seconds)NessusNessus是一個(gè)在系統(tǒng)管理員中間非常流行的安防漏洞掃描工具。是一個(gè)在系統(tǒng)管理員中間非常流行的安防漏洞掃描工具。那些麻痹大意的系統(tǒng)管理員今天可真不幸，那些麻痹大意的系統(tǒng)管理員今天可真不幸，Joe HackerJoe Hacker搜到了搜到了好幾百份好幾百份Nes

11、susNessus掃描結(jié)果報(bào)告掃描結(jié)果報(bào)告它們的主人忘記把它們從自它們的主人忘記把它們從自己的系統(tǒng)上刪掉了！這些安防漏洞掃描結(jié)果報(bào)告絕對(duì)使從網(wǎng)上己的系統(tǒng)上刪掉了！這些安防漏洞掃描結(jié)果報(bào)告絕對(duì)使從網(wǎng)上能夠找到的最有價(jià)值的情報(bào)，它們讓能夠找到的最有價(jià)值的情報(bào)，它們讓Joe HackerJoe Hacker一清二楚地看一清二楚地看到了哪些系統(tǒng)有安防漏洞及它們都有哪些安防漏洞。到了哪些系統(tǒng)有安防漏洞及它們都有哪些安防漏洞。6.1.1 6.1.1 信息安全的基本概念信息安全的基本概念12信息安全的目標(biāo)是保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和信息安全的目標(biāo)是保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和可用性?？捎眯?/p>

12、。（1 1）機(jī)密性（）機(jī)密性（ConfidentialityConfidentiality）機(jī)密性是指保證信息不能被非授權(quán)訪問(wèn)，即使非授權(quán)用戶得機(jī)密性是指保證信息不能被非授權(quán)訪問(wèn)，即使非授權(quán)用戶得到信息也無(wú)法知曉信息內(nèi)容。通常通過(guò)訪問(wèn)控制阻止非授權(quán)用到信息也無(wú)法知曉信息內(nèi)容。通常通過(guò)訪問(wèn)控制阻止非授權(quán)用戶獲得機(jī)密信息，通過(guò)加密變換阻止非授權(quán)用戶獲知信息內(nèi)容戶獲得機(jī)密信息，通過(guò)加密變換阻止非授權(quán)用戶獲知信息內(nèi)容。（2 2）完整性（）完整性（IntegrityIntegrity）完整性是指維護(hù)信息在生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)完整性是指維護(hù)信息在生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)發(fā)生人為或非人為

13、的非授權(quán)篡改。一般通過(guò)訪問(wèn)控制阻止篡改發(fā)生人為或非人為的非授權(quán)篡改。一般通過(guò)訪問(wèn)控制阻止篡改行為，同時(shí)通過(guò)消息摘要算法來(lái)檢驗(yàn)信息是否被篡改。行為，同時(shí)通過(guò)消息摘要算法來(lái)檢驗(yàn)信息是否被篡改。6.1.1 6.1.1 信息安全的基本概念信息安全的基本概念13（3 3）不可否認(rèn)性（）不可否認(rèn)性（Non-Repudiation Non-Repudiation ）不可否認(rèn)性是指能保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行不可否認(rèn)性是指能保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為，是針對(duì)通信各方信息真實(shí)同一性的生成、簽發(fā)、接收等行為，是針對(duì)通信各方信息真實(shí)同一性的安全要求。一般通過(guò)數(shù)字簽名來(lái)提供

14、抗否認(rèn)服務(wù)。的安全要求。一般通過(guò)數(shù)字簽名來(lái)提供抗否認(rèn)服務(wù)。（4 4）可用性（）可用性（AvailabilityAvailability）可用性是指授權(quán)用戶根據(jù)需要可以隨時(shí)訪問(wèn)所需信息，而不可用性是指授權(quán)用戶根據(jù)需要可以隨時(shí)訪問(wèn)所需信息，而不遭服務(wù)拒絕。遭服務(wù)拒絕。6.1.2 6.1.2 信息安全保護(hù)技術(shù)信息安全保護(hù)技術(shù)p數(shù)據(jù)加密數(shù)據(jù)加密p存取控制存取控制p權(quán)限設(shè)置權(quán)限設(shè)置p虛擬專(zhuān)用網(wǎng)絡(luò)虛擬專(zhuān)用網(wǎng)絡(luò)p防火墻技術(shù)防火墻技術(shù)p入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)14第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全15信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 3

15、第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全16信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 36.2.1 6.2.1 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)17數(shù)據(jù)加密（數(shù)據(jù)加密（Data EncryptionData Encryption）技術(shù)是指將一個(gè)信息（或稱）技術(shù)是指將一個(gè)信息（或稱明文，明文，Plain TextPlain Text）經(jīng)過(guò)加密鑰匙（）經(jīng)過(guò)加密鑰匙（Encryption keyEncryption key）及加密）及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（Cipher TextCipher Text），而接收方

16、則），而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（Decryption KeyDecryption Key）還原成）還原成明文。明文。加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密。加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密。傳統(tǒng)密碼體制主要使傳統(tǒng)密碼體制主要使用對(duì)稱密碼體制（單鑰體制），現(xiàn)代密碼體制主要使用非對(duì)稱用對(duì)稱密碼體制（單鑰體制），現(xiàn)代密碼體制主要使用非對(duì)稱密碼體制。密碼體制。 18p對(duì)稱加密19p非對(duì)稱加密6.2.2 6.2.2 數(shù)字簽名與數(shù)字證書(shū)數(shù)字簽名與數(shù)字證書(shū)20p數(shù)字簽名數(shù)字簽名的作用是保證信息完整性；提供信息發(fā)數(shù)字簽名的作用是保證信息完整性；提供信息發(fā)送者的身份認(rèn)證

17、。送者的身份認(rèn)證。信息發(fā)送者使用公開(kāi)密鑰算法技術(shù)，產(chǎn)生別人無(wú)信息發(fā)送者使用公開(kāi)密鑰算法技術(shù)，產(chǎn)生別人無(wú)法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開(kāi)數(shù)密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開(kāi)數(shù)據(jù)后，就可確定消息來(lái)自于誰(shuí)，同時(shí)也是對(duì)發(fā)送者據(jù)后，就可確定消息來(lái)自于誰(shuí)，同時(shí)也是對(duì)發(fā)送者發(fā)送的信息的真實(shí)性的一個(gè)證明。發(fā)送者對(duì)所發(fā)信發(fā)送的信息的真實(shí)性的一個(gè)證明。發(fā)送者對(duì)所發(fā)信息不能抵賴。息不能抵賴。 21假設(shè)假設(shè)A A要發(fā)送一個(gè)電子文件給要發(fā)送一個(gè)電子文件給B B，數(shù)字簽名的過(guò)程，數(shù)字簽名的過(guò)程是：是： 系統(tǒng)初始化：選

18、擇簽名所需的算法和參數(shù)；系統(tǒng)初始化：選擇簽名所需的算法和參數(shù)；產(chǎn)生簽名：產(chǎn)生簽名：A A用其私鑰加密文件并發(fā)送給用其私鑰加密文件并發(fā)送給B B；簽名驗(yàn)證：簽名驗(yàn)證：B B用用A A的公鑰解開(kāi)的公鑰解開(kāi)A A送來(lái)的文件。送來(lái)的文件。226.2.2 6.2.2 數(shù)字簽名與數(shù)字證書(shū)數(shù)字簽名與數(shù)字證書(shū)23p數(shù)字證書(shū)所謂的數(shù)字證書(shū)說(shuō)通俗點(diǎn)就是網(wǎng)絡(luò)用戶的網(wǎng)上身所謂的數(shù)字證書(shū)說(shuō)通俗點(diǎn)就是網(wǎng)絡(luò)用戶的網(wǎng)上身份證，就如同現(xiàn)實(shí)中每一個(gè)人都要擁有一張證明個(gè)份證，就如同現(xiàn)實(shí)中每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明其身份或人身份的身份證或駕駛執(zhí)照一樣，以表明其身份或某種資格。某種資格。數(shù)字證書(shū)是一

19、種權(quán)威性的電子文檔，它是由權(quán)威數(shù)字證書(shū)是一種權(quán)威性的電子文檔，它是由權(quán)威公正的第三方機(jī)構(gòu)，即公正的第三方機(jī)構(gòu)，即CACA（Certificate AuthoritCertificate Authority y，證書(shū)授權(quán)中心）簽發(fā)的。人們可以在互聯(lián)網(wǎng)交往，證書(shū)授權(quán)中心）簽發(fā)的。人們可以在互聯(lián)網(wǎng)交往中用它來(lái)識(shí)別對(duì)方的身份。中用它來(lái)識(shí)別對(duì)方的身份。24數(shù)字證書(shū)采用數(shù)字證書(shū)采用PKIPKI（Public Key InfrastructurePublic Key Infrastructure）公開(kāi)密鑰）公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)，利用一對(duì)互相匹配的密鑰進(jìn)行加密和解密?；A(chǔ)架構(gòu)技術(shù)，利用一對(duì)互相匹配的密鑰進(jìn)行加

20、密和解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰），由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽鑰），由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，通過(guò)數(shù)字的手段據(jù)加密，而接收方則使用自己的私鑰解密，通過(guò)數(shù)字的手段保證加解密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能保證加解密過(guò)程是一個(gè)不

21、可逆過(guò)程，即只有用私有密鑰才能解密，這樣保證信息安全無(wú)誤地到達(dá)目的地。用戶也可以采解密，這樣保證信息安全無(wú)誤地到達(dá)目的地。用戶也可以采用自己的私鑰對(duì)發(fā)送信息加以處理，形成數(shù)字簽名。由于私用自己的私鑰對(duì)發(fā)送信息加以處理，形成數(shù)字簽名。由于私鑰為本人所獨(dú)有，這樣可以確定發(fā)送者的身份，防止發(fā)送者鑰為本人所獨(dú)有，這樣可以確定發(fā)送者的身份，防止發(fā)送者對(duì)發(fā)送信息的抵賴性。接收方通過(guò)驗(yàn)證簽名還可以判斷信息對(duì)發(fā)送信息的抵賴性。接收方通過(guò)驗(yàn)證簽名還可以判斷信息是否被篡改過(guò)。是否被篡改過(guò)。6.2.3 6.2.3 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)25p用戶名用戶名/ /口令認(rèn)證技術(shù)口令認(rèn)證技術(shù)正確設(shè)置密碼（口令）的要求有：

22、正確設(shè)置密碼（口令）的要求有： 盡量設(shè)置長(zhǎng)密碼盡量設(shè)置長(zhǎng)密碼大小寫(xiě)字母混合、字母與數(shù)字混合大小寫(xiě)字母混合、字母與數(shù)字混合盡量有字母、數(shù)字以外的符號(hào)盡量有字母、數(shù)字以外的符號(hào)定期更換口令定期更換口令123456267E01r39stQ26不安全的口令有如下幾種情況：不安全的口令有如下幾種情況：使用用戶名（帳號(hào)）作為口令使用用戶名（帳號(hào)）作為口令使用用戶名（帳號(hào)）的變換形式作為口令使用用戶名（帳號(hào)）的變換形式作為口令使用自己或者親友的生日作為口令使用自己或者親友的生日作為口令使用常用的英文單詞作為口令使用常用的英文單詞作為口令使用使用5 5位或位或5 5位以下的字符作為口令位以下的字符作為口令大寫(xiě)

23、字母大寫(xiě)字母小寫(xiě)字母小寫(xiě)字母數(shù)字?jǐn)?shù)字其他符號(hào)其他符號(hào)密碼長(zhǎng)度密碼長(zhǎng)度字典大小字典大小62G6146G6422G63953G840045337G128133397268G27用戶名用戶名/ /口令身份認(rèn)證系統(tǒng)口令身份認(rèn)證系統(tǒng)28l智能卡是一種內(nèi)置集成電路的芯片，芯片中存有智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專(zhuān)門(mén)的廠商通與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專(zhuān)門(mén)的廠商通過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)不但需要口令，還由合法用戶隨身攜帶，登錄時(shí)不但需要口令，還必須將智能卡插入專(zhuān)用的讀卡器讀取其中

24、的信息，必須將智能卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。以驗(yàn)證用戶的身份。296.2.3 6.2.3 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)p智能卡智能卡30管理軟件系統(tǒng)管理軟件系統(tǒng)發(fā)卡器發(fā)卡器讀卡器讀卡器l目前這類(lèi)認(rèn)證主要包括：視網(wǎng)膜認(rèn)證、聲音驗(yàn)證、目前這類(lèi)認(rèn)證主要包括：視網(wǎng)膜認(rèn)證、聲音驗(yàn)證、手型識(shí)別等。這類(lèi)系統(tǒng)的安全性更高。例如：系手型識(shí)別等。這類(lèi)系統(tǒng)的安全性更高。例如：系統(tǒng)中存儲(chǔ)了某人的指紋，接入網(wǎng)絡(luò)時(shí)，就必須在統(tǒng)中存儲(chǔ)了某人的指紋，接入網(wǎng)絡(luò)時(shí)，就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋，只有連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋，只有指紋相符才允許訪問(wèn)系統(tǒng)。更普通的是通過(guò)視網(wǎng)指紋相符才

25、允許訪問(wèn)系統(tǒng)。更普通的是通過(guò)視網(wǎng)膜膜血管分布圖來(lái)識(shí)別，原理與指紋識(shí)別相同，膜膜血管分布圖來(lái)識(shí)別，原理與指紋識(shí)別相同，聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。316.2.3 6.2.3 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)p主體特征認(rèn)證主體特征認(rèn)證電子指紋機(jī)電子指紋機(jī)32第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全33信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 3第六章第六章 計(jì)算機(jī)信息安全計(jì)算機(jī)信息安全34信息安全概述信息安全概述1 1數(shù)據(jù)加密與認(rèn)證技術(shù)數(shù)據(jù)加密與認(rèn)證技術(shù)2 2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)3 36

26、.3.1 6.3.1 防火墻技術(shù)防火墻技術(shù)l所謂防火墻是指將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如所謂防火墻是指將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如InternetInternet）分開(kāi)）分開(kāi)的方法，它實(shí)際上是一種安全隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通訊的方法，它實(shí)際上是一種安全隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制手段。它允許被用戶時(shí)執(zhí)行的一種訪問(wèn)控制手段。它允許被用戶“同意同意”的人和的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將不被用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將不被用戶“不同意不同意”的人和數(shù)據(jù)拒之的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)不允許訪問(wèn)的網(wǎng)絡(luò)。門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)不允許訪問(wèn)的網(wǎng)絡(luò)。l防火墻具有很好的保護(hù)作

27、用。入侵者必須首先穿越防火墻的防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。目前應(yīng)用較多的是網(wǎng)絡(luò)層安全防線，才能接觸目標(biāo)計(jì)算機(jī)。目前應(yīng)用較多的是網(wǎng)絡(luò)層的包過(guò)濾技術(shù)和應(yīng)用層的安全代理技術(shù)。包過(guò)濾技術(shù)通過(guò)檢的包過(guò)濾技術(shù)和應(yīng)用層的安全代理技術(shù)。包過(guò)濾技術(shù)通過(guò)檢查信息流的信源和信宿地址等方式確認(rèn)是否允許數(shù)據(jù)包通行，查信息流的信源和信宿地址等方式確認(rèn)是否允許數(shù)據(jù)包通行，而安全代理則通過(guò)分析訪問(wèn)協(xié)議、代理訪問(wèn)請(qǐng)求來(lái)實(shí)現(xiàn)訪問(wèn)而安全代理則通過(guò)分析訪問(wèn)協(xié)議、代理訪問(wèn)請(qǐng)求來(lái)實(shí)現(xiàn)訪問(wèn)控制。防火墻技術(shù)的研究?jī)?nèi)容包括防火墻的安全策略、實(shí)現(xiàn)控制。防火墻技術(shù)的研究?jī)?nèi)容包括防火墻的安全策略

28、、實(shí)現(xiàn)模式、強(qiáng)度分析等。模式、強(qiáng)度分析等。35一種典型的防火墻示意圖一種典型的防火墻示意圖36防火墻技術(shù)的優(yōu)勢(shì)防火墻技術(shù)的優(yōu)勢(shì)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中的安全管理，可以強(qiáng)化網(wǎng)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中的安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換（可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address TranslatNetwork Address Translation

29、ion）的地點(diǎn)，利用）的地點(diǎn)，利用NATNAT技術(shù)，可以緩解地址空間的短缺，技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，從而限制安全問(wèn)題的擴(kuò)散從而限制安全問(wèn)題的擴(kuò)散由于所有的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻是審計(jì)和記錄網(wǎng)絡(luò)由于所有的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻是審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)和使用的最佳地方的訪問(wèn)和使用的最佳地方37防火墻技術(shù)的局限性防火墻技術(shù)的局限性為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)使用的不便

30、網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)使用的不便目前防火墻對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊還無(wú)能為力目前防火墻對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊還無(wú)能為力防火墻不能防范不經(jīng)過(guò)防火墻的攻擊，如內(nèi)部網(wǎng)用戶通過(guò)防火墻不能防范不經(jīng)過(guò)防火墻的攻擊，如內(nèi)部網(wǎng)用戶通過(guò)SLSLIP IP 或或PPP PPP 直接進(jìn)入直接進(jìn)入InternetInternet防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸及單點(diǎn)防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸及單點(diǎn)失效失效防火墻也不能完全防止受病毒感染的文件或軟件的傳輸，由防火墻也不能完全防止受病毒感染的文件或軟件的傳輸，由于病毒的種類(lèi)繁多，如果要在防火墻完成對(duì)所有病毒代碼的于病毒的種類(lèi)繁多，如果要在防火

31、墻完成對(duì)所有病毒代碼的檢查，防火墻的效率就會(huì)降到不能忍受的程度檢查，防火墻的效率就會(huì)降到不能忍受的程度防火墻不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式攻擊防火墻不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式攻擊作為一種被動(dòng)的防護(hù)手段，防火墻不能防范因特網(wǎng)上不斷出作為一種被動(dòng)的防護(hù)手段，防火墻不能防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊，必須不斷地升級(jí)更新現(xiàn)的新的威脅和攻擊，必須不斷地升級(jí)更新386.3.2 6.3.2 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)l入侵檢測(cè)是對(duì)入侵行為的檢測(cè)，它是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)入侵檢測(cè)是對(duì)入侵行為的檢測(cè)，它是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，從中發(fā)現(xiàn)網(wǎng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，從中發(fā)

32、現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。外部攻擊和誤操作的實(shí)時(shí)保護(hù)。l入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反

33、安全策略行為的技術(shù)。是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。39入侵者在入侵一個(gè)系統(tǒng)時(shí)會(huì)想達(dá)到以下目的中的一入侵者在入侵一個(gè)系統(tǒng)時(shí)會(huì)想達(dá)到以下目的中的一種或幾種：種或幾種：執(zhí)行進(jìn)程執(zhí)行進(jìn)程獲取文件和數(shù)據(jù)獲取文件和數(shù)據(jù)獲取超級(jí)用戶權(quán)限獲取超級(jí)用戶權(quán)限進(jìn)行非授權(quán)操作進(jìn)行非授權(quán)操作使系統(tǒng)拒絕服務(wù)使系統(tǒng)拒絕服務(wù)篡改信息篡改信息批露信息批露信息40l入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)。目前主要有基于用戶行為入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)。目前主要有基于用戶行為模式、系統(tǒng)行為模式和入侵特征的檢測(cè)等。在實(shí)現(xiàn)時(shí)，可模

34、式、系統(tǒng)行為模式和入侵特征的檢測(cè)等。在實(shí)現(xiàn)時(shí)，可以只檢測(cè)針對(duì)某主機(jī)的訪問(wèn)行為，也可以檢測(cè)針對(duì)整個(gè)網(wǎng)以只檢測(cè)針對(duì)某主機(jī)的訪問(wèn)行為，也可以檢測(cè)針對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)行為，前者稱為基于主機(jī)的入侵檢測(cè)，后者稱為絡(luò)的訪問(wèn)行為，前者稱為基于主機(jī)的入侵檢測(cè)，后者稱為基于網(wǎng)絡(luò)的入侵檢測(cè)。入侵檢測(cè)技術(shù)研究的主要內(nèi)容包括基于網(wǎng)絡(luò)的入侵檢測(cè)。入侵檢測(cè)技術(shù)研究的主要內(nèi)容包括信息流提取技術(shù)、入侵特征分析技術(shù)、入侵行為模式分析信息流提取技術(shù)、入侵特征分析技術(shù)、入侵行為模式分析技術(shù)、入侵行為關(guān)聯(lián)分析技術(shù)、高速信息流快速分析技術(shù)技術(shù)、入侵行為關(guān)聯(lián)分析技術(shù)、高速信息流快速分析技術(shù)等。等。l主流的入侵檢測(cè)工具有主流的入侵檢測(cè)工具有SnortSnort、OSSEC HIDSOSSEC HIDS、BASE BASE 、ISS ISS RealSecureRealSecure、SguilSguil等。等。41ISS RealSecu