第14章網(wǎng)絡(luò)安全

1、計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全本章討論的主要問題是：本章討論的主要問題是： 1. 什么是網(wǎng)絡(luò)安全？常見的網(wǎng)絡(luò)安全問題有哪些？什么是網(wǎng)絡(luò)安全？常見的網(wǎng)絡(luò)安全問題有哪些？ 2. 為了達(dá)到保護(hù)信息的目的，可以將信息進(jìn)行加密，什么為了達(dá)到保護(hù)信息的目的，可以將信息進(jìn)行加密，什么是信息加密？具體加密過程是怎樣？是信息加密？具體加密過程是怎樣？ 3. 計(jì)算機(jī)系統(tǒng)的安全性常常取決于系統(tǒng)能否正確識(shí)別用戶計(jì)算機(jī)系統(tǒng)的安全性常常取決于系統(tǒng)能否正確識(shí)別用戶的身份，計(jì)算機(jī)系統(tǒng)如何對(duì)用戶的身份進(jìn)行確認(rèn)和鑒別？的身份，計(jì)算機(jī)系統(tǒng)如何對(duì)用戶的身份進(jìn)行確認(rèn)和鑒別？ 4. 如何將

2、安全問題阻擋在網(wǎng)絡(luò)之外？如何檢測(cè)網(wǎng)絡(luò)系統(tǒng)是如何將安全問題阻擋在網(wǎng)絡(luò)之外？如何檢測(cè)網(wǎng)絡(luò)系統(tǒng)是否被入侵？否被入侵？計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院情景問題情景問題互聯(lián)網(wǎng)時(shí)代還有個(gè)人隱私嗎？互聯(lián)網(wǎng)時(shí)代還有個(gè)人隱私嗎？ 毫不夸張地說，計(jì)算機(jī)已經(jīng)威脅到我們的隱私，在我們不毫不夸張地說，計(jì)算機(jī)已經(jīng)威脅到我們的隱私，在我們不知道也不愿意的情況下，企業(yè)和政府機(jī)構(gòu)的數(shù)據(jù)庫收集和知道也不愿意的情況下，企業(yè)和政府機(jī)構(gòu)的數(shù)據(jù)庫收集和共享大量關(guān)于我們的個(gè)人信息，互聯(lián)網(wǎng)檢測(cè)軟件可能記下共享大量關(guān)于我們的個(gè)人信息，互聯(lián)網(wǎng)檢測(cè)軟件可能記下了我們?cè)诰W(wǎng)上的活動(dòng)，黑客可能竊取了我們的帳號(hào)和密碼，了我們?cè)诰W(wǎng)上的活動(dòng)，黑客

3、可能竊取了我們的帳號(hào)和密碼，郵件傳輸系統(tǒng)可能閱讀了我們的電子郵件，郵件傳輸系統(tǒng)可能閱讀了我們的電子郵件，計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定義 n網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指為保護(hù)網(wǎng)絡(luò)不受任何損害而采取的所有措施是指為保護(hù)網(wǎng)絡(luò)不受任何損害而采取的所有措施的綜合，一般包含網(wǎng)絡(luò)的保密性、完整性和可用性。的綜合，一般包含網(wǎng)絡(luò)的保密性、完整性和可用性。保密性是指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息；保密性是指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息；完整性包括資料的完整性和軟件的完整性，資料的完整性完整性包括資料的完整性和軟件的完整性，資料的完整性是指在未經(jīng)許可的情況下，確保

4、資料不被刪除或修改，軟件是指在未經(jīng)許可的情況下，確保資料不被刪除或修改，軟件的完整性是指確保軟件程序不會(huì)被誤操作、懷有惡意的人或的完整性是指確保軟件程序不會(huì)被誤操作、懷有惡意的人或病毒修改；病毒修改；可用性是指網(wǎng)絡(luò)在遭受攻擊時(shí)確保得到授權(quán)的用戶可以使可用性是指網(wǎng)絡(luò)在遭受攻擊時(shí)確保得到授權(quán)的用戶可以使用網(wǎng)絡(luò)資源。用網(wǎng)絡(luò)資源。第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院常見的網(wǎng)絡(luò)安全問題常見的網(wǎng)絡(luò)安全問題 1. 病毒。病毒。計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種人為蓄意制造的、以破壞為目的是一種人為蓄意制造的、以破壞為目的的程序，它寄生于其他應(yīng)用程

5、序或系統(tǒng)的可執(zhí)行部分，通過的程序，它寄生于其他應(yīng)用程序或系統(tǒng)的可執(zhí)行部分，通過部分修改或移動(dòng)程序，將自我復(fù)制加入其中或占據(jù)宿主程序部分修改或移動(dòng)程序，將自我復(fù)制加入其中或占據(jù)宿主程序的部分而隱藏起來，在一定條件下發(fā)作，破壞計(jì)算機(jī)系統(tǒng)。的部分而隱藏起來，在一定條件下發(fā)作，破壞計(jì)算機(jī)系統(tǒng)。2. 木馬。木馬。木馬木馬（全稱為特洛伊木馬）是在執(zhí)行某種功能的同（全稱為特洛伊木馬）是在執(zhí)行某種功能的同時(shí)進(jìn)行秘密破壞的一種程序。木馬可以完成非授權(quán)用戶無法時(shí)進(jìn)行秘密破壞的一種程序。木馬可以完成非授權(quán)用戶無法完成的功能，也可以破壞大量數(shù)據(jù)。完成的功能，也可以破壞大量數(shù)據(jù)。第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全什么是

6、網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院常見的網(wǎng)絡(luò)安全問題常見的網(wǎng)絡(luò)安全問題 3. 黑客。黑客。黑客黑客是指通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改是指通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改計(jì)算機(jī)數(shù)據(jù)，危害信息安全的計(jì)算機(jī)入侵者或入侵行為。計(jì)算機(jī)數(shù)據(jù)，危害信息安全的計(jì)算機(jī)入侵者或入侵行為。4. 系統(tǒng)的漏洞和后門。操作系統(tǒng)和網(wǎng)絡(luò)軟件不可能完全沒有系統(tǒng)的漏洞和后門。操作系統(tǒng)和網(wǎng)絡(luò)軟件不可能完全沒有缺陷和缺陷和漏洞漏洞，TCP/IP協(xié)議中也可能有被攻擊者利用的漏洞，協(xié)議中也可能有被攻擊者利用的漏洞，軟件的軟件的后門后門通常是軟件公司編程人員為了自便而設(shè)置的。通常是軟件公司編程人員

7、為了自便而設(shè)置的。5. 內(nèi)部威脅和無意破壞。事實(shí)上，大多數(shù)威脅來自企業(yè)內(nèi)部內(nèi)部威脅和無意破壞。事實(shí)上，大多數(shù)威脅來自企業(yè)內(nèi)部人員的蓄意攻擊，大部分計(jì)算機(jī)罪犯是那些能夠進(jìn)入計(jì)算機(jī)人員的蓄意攻擊，大部分計(jì)算機(jī)罪犯是那些能夠進(jìn)入計(jì)算機(jī)系統(tǒng)的職員。此外，一些無意失誤，如丟失密碼、疏忽大意系統(tǒng)的職員。此外，一些無意失誤，如丟失密碼、疏忽大意和非法操作等都可能對(duì)網(wǎng)絡(luò)造成極大的破壞。和非法操作等都可能對(duì)網(wǎng)絡(luò)造成極大的破壞。第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全什么是網(wǎng)絡(luò)安全計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院什么是信息加密什么是信息加密 n 加密加密：使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合

8、法的接：使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接受者之外，其他任何人都不能恢復(fù)原先的信息。受者之外，其他任何人都不能恢復(fù)原先的信息。n 明文明文：加密前的信息；：加密前的信息；密文密文：加密后的信息稱為。：加密后的信息稱為。n 加密加密是將明文變成密文的過程，是將明文變成密文的過程，解密解密是將密文變成明文的是將密文變成明文的過程。過程。n 信息為了有效地控制加密和解密過程的實(shí)現(xiàn)，在處理過程信息為了有效地控制加密和解密過程的實(shí)現(xiàn)，在處理過程中要有通信雙方掌握的專門信息的參與，這種專門的信息中要有通信雙方掌握的專門信息的參與，這種專門的信息稱為稱為密鑰密鑰。 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安

9、全信息加密信息加密計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院n在對(duì)稱加密中，信息的加密和解密使用同一密鑰。在對(duì)稱加密中，信息的加密和解密使用同一密鑰。n優(yōu)點(diǎn)：安全性高、加密速度快。優(yōu)點(diǎn)：安全性高、加密速度快。n缺點(diǎn)：密鑰的傳輸和管理。缺點(diǎn)：密鑰的傳輸和管理。n常用的對(duì)稱加密算法有常用的對(duì)稱加密算法有DES和和IDEA。 對(duì)稱加密對(duì)稱加密 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息加密信息加密計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院n 在非對(duì)稱加密中，信息的加密和解密使用不同密鑰，參與在非對(duì)稱加密中，信息的加密和解密使用不同密鑰，參與加密過程的密鑰公開，稱為加密過程的密鑰公開，稱為公鑰公鑰，參

10、與解密過程的密鑰為，參與解密過程的密鑰為用戶專用，稱為用戶專用，稱為私鑰私鑰，兩個(gè)密鑰必須配對(duì)使用。，兩個(gè)密鑰必須配對(duì)使用。n 常用的非對(duì)稱加密算法有常用的非對(duì)稱加密算法有RSA、背包算法等。、背包算法等。 非對(duì)稱加密非對(duì)稱加密 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息加密信息加密計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院RivestShamirAdleman理論基礎(chǔ)：將一個(gè)由兩個(gè)大質(zhì)數(shù)的乘積理論基礎(chǔ)：將一個(gè)由兩個(gè)大質(zhì)數(shù)的乘積分解回來分解回來是個(gè)難解問題是個(gè)難解問題非對(duì)稱加密非對(duì)稱加密 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息加密信息加密計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院RSA算法的工

11、作原理算法的工作原理第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息加密信息加密步驟步驟1：取兩個(gè)質(zhì)數(shù)，如：取兩個(gè)質(zhì)數(shù)，如p = 11, q = 13，計(jì)算，計(jì)算n = pq = 143步驟步驟2：計(jì)算：計(jì)算z = (p - 1)(q - 1) = 120步驟步驟3：選取一個(gè)與：選取一個(gè)與z互質(zhì)的數(shù)互質(zhì)的數(shù)e，如，如e = 7步驟步驟4：計(jì)算：計(jì)算d，滿足，滿足(ed) mod z = 1，如，如d = 103則則 (n, e) 和和 (n, d) 分別為公鑰和私鑰。分別為公鑰和私鑰。例：設(shè)例：設(shè)X要將信息要將信息s = 85傳送給傳送給Y，Y的公鑰是的公鑰是 (143, 7)，X計(jì)算加密后的信息值計(jì)算

12、加密后的信息值c = se mod n = 857 mod 143 = 123，然后將然后將c傳送給傳送給Y，Y用私鑰用私鑰 (143, 103) 計(jì)算計(jì)算s = cd mod n = 123103 mod 143 = 85，得到明文。得到明文。計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院身份認(rèn)證身份認(rèn)證n 身份認(rèn)證身份認(rèn)證是一種使合法用戶能夠證明自己身份的方法，是一種使合法用戶能夠證明自己身份的方法，是計(jì)算機(jī)系統(tǒng)安全保密防范最基本的措施。是計(jì)算機(jī)系統(tǒng)安全保密防范最基本的措施。n 主要的身份認(rèn)證技術(shù)有以下三種：主要的身份認(rèn)證技術(shù)有以下三種：（1）口令驗(yàn)證口令驗(yàn)證。口令驗(yàn)證是常用的一種身份認(rèn)證手

13、段，使?？诹铗?yàn)證是常用的一種身份認(rèn)證手段，使用口令驗(yàn)證的最大問題就是口令泄露。用口令驗(yàn)證的最大問題就是口令泄露。 （2）身份標(biāo)識(shí)身份標(biāo)識(shí)。身份標(biāo)識(shí)是用戶攜帶用來進(jìn)行身份認(rèn)證的。身份標(biāo)識(shí)是用戶攜帶用來進(jìn)行身份認(rèn)證的物理設(shè)備，例如磁卡。物理設(shè)備，例如磁卡。（3）生物特征標(biāo)識(shí)生物特征標(biāo)識(shí)。人類的某些生物特征具有很高的個(gè)體。人類的某些生物特征具有很高的個(gè)體性和防偽造性，如指紋、視網(wǎng)膜、耳廓等，世界上幾乎沒性和防偽造性，如指紋、視網(wǎng)膜、耳廓等，世界上幾乎沒有任何兩個(gè)人是一樣的，因而這種驗(yàn)證方法的可靠性和準(zhǔn)有任何兩個(gè)人是一樣的，因而這種驗(yàn)證方法的可靠性和準(zhǔn)確度極高。確度極高。 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)

14、絡(luò)安全數(shù)字認(rèn)證數(shù)字認(rèn)證 計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院數(shù)字簽名數(shù)字簽名 n 手寫簽名有兩個(gè)作用：一是自己的簽名難以否認(rèn)，從而手寫簽名有兩個(gè)作用：一是自己的簽名難以否認(rèn)，從而確定已簽署這一事實(shí)；二是因?yàn)楹灻灰讉卧?，從而確定確定已簽署這一事實(shí)；二是因?yàn)楹灻灰讉卧?，從而確定了事務(wù)是真實(shí)的這一事實(shí)。了事務(wù)是真實(shí)的這一事實(shí)。n 數(shù)字簽名數(shù)字簽名與日常生活中的手寫簽名效果一樣，它不但能與日常生活中的手寫簽名效果一樣，它不但能使信息接收者確認(rèn)信息是否來自合法方，而且可以為仲裁使信息接收者確認(rèn)信息是否來自合法方，而且可以為仲裁者提供信息發(fā)送者對(duì)信息簽名的證據(jù)。者提供信息發(fā)送者對(duì)信息簽名的證據(jù)

15、。 n 數(shù)字簽名主要通過加密算法和證實(shí)協(xié)議實(shí)現(xiàn)。數(shù)字簽名主要通過加密算法和證實(shí)協(xié)議實(shí)現(xiàn)。 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全數(shù)字認(rèn)證數(shù)字認(rèn)證 計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院防火墻防火墻n 防火墻防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一聯(lián)設(shè)備，它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查，以此決定網(wǎng)絡(luò)之間的通信是否定的安全策略進(jìn)行檢查，以此決定網(wǎng)絡(luò)之間的通信是否被允許。被允許。n 防火墻的功能主要有兩個(gè)：阻止和允許。防火墻的功能主要有兩個(gè)：阻止和允許。阻止阻止就是阻止就

16、是阻止某種類型的通信量通過防火墻，某種類型的通信量通過防火墻，允許允許的功能與阻止的功的功能與阻止的功能正好相反。能正好相反。 第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)檢測(cè)與防范網(wǎng)絡(luò)檢測(cè)與防范計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院防火墻的工作原理防火墻的工作原理n如果外網(wǎng)的用戶要訪問內(nèi)網(wǎng)的如果外網(wǎng)的用戶要訪問內(nèi)網(wǎng)的WWW服務(wù)器，首先由服務(wù)器，首先由分組分組過濾路由器過濾路由器來判斷外網(wǎng)用戶的來判斷外網(wǎng)用戶的IP地址是不是內(nèi)網(wǎng)所禁止使地址是不是內(nèi)網(wǎng)所禁止使用的。用的。n如果是禁止進(jìn)入節(jié)點(diǎn)的如果是禁止進(jìn)入節(jié)點(diǎn)的IP地址，則分組過濾路由器將會(huì)丟地址，則分組過濾路由器將會(huì)丟棄該棄該IP包；包；n如

17、果不是禁止進(jìn)入節(jié)點(diǎn)的如果不是禁止進(jìn)入節(jié)點(diǎn)的IP地址，則這個(gè)地址，則這個(gè)IP包被送到應(yīng)用包被送到應(yīng)用網(wǎng)關(guān)，由應(yīng)用網(wǎng)關(guān)來判斷發(fā)出這個(gè)網(wǎng)關(guān)，由應(yīng)用網(wǎng)關(guān)來判斷發(fā)出這個(gè)IP包的用戶是不是合法包的用戶是不是合法用戶。用戶。n如果該用戶是合法用戶，該如果該用戶是合法用戶，該IP包被送到內(nèi)網(wǎng)的包被送到內(nèi)網(wǎng)的WWW服務(wù)服務(wù)器去處理；如果該用戶不是合法用戶，則該器去處理；如果該用戶不是合法用戶，則該IP包將會(huì)被應(yīng)包將會(huì)被應(yīng)用網(wǎng)關(guān)丟棄。用網(wǎng)關(guān)丟棄。第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)檢測(cè)與防范網(wǎng)絡(luò)檢測(cè)與防范計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院入侵檢測(cè)入侵檢測(cè)n 入侵檢測(cè)入侵檢測(cè)是指主動(dòng)地從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中

18、的若干關(guān)鍵點(diǎn)收是指主動(dòng)地從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并分析這些信息，確定網(wǎng)絡(luò)中是否有違反安全策略的集信息并分析這些信息，確定網(wǎng)絡(luò)中是否有違反安全策略的行為和受到攻擊的跡象，并有針對(duì)性地進(jìn)行防范。行為和受到攻擊的跡象，并有針對(duì)性地進(jìn)行防范。 n 入侵檢測(cè)被設(shè)置在防火墻的后面，它的作用是發(fā)現(xiàn)那些已入侵檢測(cè)被設(shè)置在防火墻的后面，它的作用是發(fā)現(xiàn)那些已經(jīng)穿過防火墻進(jìn)入到內(nèi)網(wǎng)或是內(nèi)部的黑客。經(jīng)穿過防火墻進(jìn)入到內(nèi)網(wǎng)或是內(nèi)部的黑客。第第 14 章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)檢測(cè)與防范網(wǎng)絡(luò)檢測(cè)與防范計(jì)算機(jī)導(dǎo)論計(jì)算機(jī)導(dǎo)論成都工業(yè)學(xué)院成都工業(yè)學(xué)院入侵檢測(cè)入侵檢測(cè)n 入侵檢測(cè)技術(shù)主要基于特征檢測(cè)和異常檢測(cè)。入侵檢測(cè)技術(shù)主要基于特征檢測(cè)和異常檢測(cè)。特征檢測(cè)特征檢測(cè)按按照預(yù)先模式搜尋與已知特征相悖的事件，照預(yù)先模式搜尋與已知特征相悖的事件，異常檢測(cè)異常檢測(cè)是將正常是將正常用戶的行為特征輪廓與實(shí)際用戶進(jìn)行比較，并標(biāo)識(shí)出正常和用戶的行為特征輪廓與實(shí)際用戶進(jìn)行比較，并標(biāo)識(shí)出正常和異常的偏離。異常的偏離。