計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用簡(jiǎn)明教程ch07-計(jì)算機(jī)網(wǎng)絡(luò)的安全課件

第七章計(jì)算機(jī)網(wǎng)絡(luò)的安全教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過(guò)程12/21/20221第七章計(jì)算機(jī)網(wǎng)絡(luò)的安全教學(xué)目標(biāo)12/19/20221教學(xué)目標(biāo)了解計(jì)算機(jī)網(wǎng)絡(luò)安全的概念掌握常用加密/解密的方法理解防火墻技術(shù)了解病毒及其防治技術(shù)12/21/20222教學(xué)目標(biāo)了解計(jì)算機(jī)網(wǎng)絡(luò)安全的概念12/19/20222教學(xué)重點(diǎn)掌握加密/解密的方法掌握?qǐng)?bào)文鑒別的方法12/21/20223教學(xué)重點(diǎn)掌握加密/解密的方法12/19/20223教學(xué)過(guò)程網(wǎng)絡(luò)安全問(wèn)題概述密碼與信息加密防火墻技術(shù)計(jì)算機(jī)病毒與防治12/21/20224教學(xué)過(guò)程網(wǎng)絡(luò)安全問(wèn)題概述12/19/202247.1網(wǎng)絡(luò)安全問(wèn)題概述計(jì)算機(jī)網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的需求特性網(wǎng)絡(luò)安全研究的主要問(wèn)題12/21/202257.1網(wǎng)絡(luò)安全問(wèn)題概述計(jì)算機(jī)網(wǎng)絡(luò)安全的概念12/19/7.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

國(guó)際標(biāo)準(zhǔn)化組織(1SO)引用ISO74982文獻(xiàn)中對(duì)安全的定義是：安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性?！吨腥A人民八和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的第三條規(guī)范了包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全的概念：“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。”12/21/202267.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織(1SO7.1.2網(wǎng)絡(luò)安全的需求特性

網(wǎng)絡(luò)安全保障的歸結(jié)點(diǎn)還是網(wǎng)上的信息安全信息安全的需求特性機(jī)密性完整性可用性可控性不可否認(rèn)性12/21/202277.1.2網(wǎng)絡(luò)安全的需求特性網(wǎng)絡(luò)安全保障的歸結(jié)點(diǎn)還是7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全涉及5個(gè)層次的安全12/21/202287.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全涉及5個(gè)層次的安7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（1）物理安全環(huán)境安全設(shè)備安全媒體安全12/21/202297.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（1）物理安全12/197.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全局域網(wǎng)、子網(wǎng)安全訪問(wèn)控制（防火墻）網(wǎng)絡(luò)檢測(cè)（網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)）網(wǎng)絡(luò)中數(shù)據(jù)傳輸安全數(shù)據(jù)加密（VPN等）網(wǎng)絡(luò)運(yùn)行安全備份與恢復(fù)應(yīng)急網(wǎng)絡(luò)協(xié)議安全TCP/IP其他協(xié)議12/21/2022107.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全局7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（3）系統(tǒng)安全系統(tǒng)安全操作系統(tǒng)安全反病毒系統(tǒng)安全檢測(cè)入侵檢測(cè)（監(jiān)控）審計(jì)分析數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)管理系統(tǒng)安全12/21/2022117.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（3）系統(tǒng)安全系統(tǒng)安全操7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（4）應(yīng)用安全應(yīng)用安全應(yīng)用軟件開(kāi)發(fā)平臺(tái)安全各種編程語(yǔ)言平臺(tái)安全程序本身的安全應(yīng)用系統(tǒng)安全應(yīng)用軟件系統(tǒng)安全12/21/2022127.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（4）應(yīng)用安全應(yīng)用安全應(yīng)7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（5）管理安全人在一系列的安全問(wèn)題中總是處于主導(dǎo)的作用，因此要解決這個(gè)問(wèn)題須從技術(shù)和管理兩個(gè)方面入手。技術(shù)管理12/21/2022137.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（5）管理安全12/197.2密碼與信息加密7.2.1密碼技術(shù)概述7.2.2對(duì)稱加密算法7.2.3非對(duì)稱加密算法7.2.4報(bào)文鑒別12/21/2022147.2密碼與信息加密7.2.1密碼技術(shù)概述12/19/27.2密碼與信息加密密碼學(xué)是一門(mén)古老而深?yuàn)W的學(xué)科計(jì)算機(jī)密碼學(xué)又是一門(mén)新興的學(xué)科隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通信技術(shù)的發(fā)展，計(jì)算機(jī)密碼學(xué)得到了前所未有的重視并迅速普及和發(fā)展起來(lái)。在國(guó)外，它已成為計(jì)算機(jī)安全主要的研究方向。12/21/2022157.2密碼與信息加密密碼學(xué)是一門(mén)古老而深?yuàn)W的學(xué)科12/17.2.1密碼技術(shù)概述密碼學(xué)的歷史比較悠久，在四千年前，古埃及人就開(kāi)始使用密碼來(lái)保密傳遞消息。兩千多年前，羅馬國(guó)王JuliusCaesar(愷撒)就開(kāi)始使用目前稱為“愷撒密碼”的密碼系統(tǒng)。但是密碼技術(shù)直到20世紀(jì)40年代以后才有重大突破和發(fā)展。特別是20世紀(jì)70年代后期，由于計(jì)算機(jī)、電子通信的廣泛使用，現(xiàn)代密碼學(xué)得到了空前的發(fā)展。12/21/2022167.2.1密碼技術(shù)概述密碼學(xué)的歷史比較悠久，在四千年前，古（一）一般的數(shù)據(jù)加密模型12/21/202217（一）一般的數(shù)據(jù)加密模型12/19/202217一般的數(shù)據(jù)加密模型（1）加密算法與解密算法加密的基本思想是偽裝明文（plainttext,未經(jīng)現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。加密的信息）以隱藏其真實(shí)內(nèi)容，即將明文X偽裝成密文Y(ciphertext,加密后的信息)。偽裝明文的操作稱為加密由密文恢復(fù)出原文的過(guò)程稱為解密現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。12/21/202218一般的數(shù)據(jù)加密模型（1）加密算法與解密算法12/19/202一般的數(shù)據(jù)加密模型（2）密鑰加密算法和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的。對(duì)于同一種加密算法，密鑰的位數(shù)越長(zhǎng)，破譯的難度也就越大，安全性也就越好，密鑰空間(keyspace)即二進(jìn)制01組合的數(shù)目越大，密鑰的可能范圍也就越大，那么攻擊者就越不容易通過(guò)蠻力攻擊（brute-forceattack）來(lái)破譯，只好用窮舉法對(duì)密鑰的所有組合進(jìn)行猜測(cè)，直到成功地解密。對(duì)稱密碼體制非對(duì)稱密碼體制12/21/202219一般的數(shù)據(jù)加密模型（2）密鑰12/19/202219一般的數(shù)據(jù)加密模型（3）模型的數(shù)學(xué)表示明文用M(Message,消息)或P(Plaintext,明文)密文用C(Ciphertext)加密E（Encrypt）EK(M)=C解密D（Decrypt）DK(C)=MDK(EK(M))=M12/21/202220一般的數(shù)據(jù)加密模型（3）模型的數(shù)學(xué)表示12/19/20222（二）基本的加密方法舉例（1）替代加密保持明文的字符順序，只是將原字符替換并隱藏起來(lái)。密鑰為3明文caesarcipher密文FDHVDUFLSKHUabcdefghim…qrstuvwxyzDEFGHIJKLP…TUVWXYZABC12/21/202221（二）基本的加密方法舉例（1）替代加密abcdefghim…（二）基本的加密方法舉例（2）置換加密（變位加密）不隱藏原明文的字符，但卻將字符重新排序變位密鑰為cipher明文Attackbeginatfour密文abacnuaiotettgfksr密鑰CIPHER順序145326注：此順序與密鑰等價(jià)，但不如密鑰便于記憶明文attacK注：明文的意思是“四時(shí)開(kāi)始進(jìn)攻”beginsatfour12/21/202222（二）基本的加密方法舉例（2）置換加密（變位加密）密鑰CIP7.2.2對(duì)稱加密算法加密密鑰和解密密鑰相同Dk(Ek(M))=C典型算法：數(shù)據(jù)加密標(biāo)準(zhǔn)DES12/21/2022237.2.2對(duì)稱加密算法加密密鑰和解密密鑰相同12/19/27.2.3非對(duì)稱加密又稱“公開(kāi)密鑰加密”，密鑰互不相同，公鑰用來(lái)加密，私鑰用來(lái)解密。Dsk（Epk（M））=C12/21/2022247.2.3非對(duì)稱加密又稱“公開(kāi)密鑰加密”，密鑰互不相同，公RSA公開(kāi)密鑰密碼系統(tǒng)（１）RSA算法的安全性基于大整數(shù)分解的難度。其公鑰和私鑰是一對(duì)大素?cái)?shù)的函數(shù)。從一個(gè)公鑰和密文中恢復(fù)出明文的難度等價(jià)于分解兩個(gè)大素?cái)?shù)的乘積。加密過(guò)程舉例：1）選擇兩個(gè)大素?cái)?shù)p=7,q=172）計(jì)算n=p*q=1193）計(jì)算φ(n)=(p–1)(q–1)=9612/21/202225RSA公開(kāi)密鑰密碼系統(tǒng)（１）RSA算法的安全性基于大整數(shù)分4）從[0，95]中隨機(jī)選取一個(gè)正整數(shù)e，1≤e＜φ(n)，且e與φ(n)互素。選e=5５）最后計(jì)算出滿足e*d=1modφ(n)的d=77。６）公開(kāi)密鑰PK=(e,n)={5,119}７）秘密密鑰SK=(d,n)={77,119}８）用公鑰加密，Y=Xemodn=66,即密文為66９）用私鑰解密，X=Ydmodn=19,即明文為19

RSA公開(kāi)密鑰密碼系統(tǒng)（２）12/21/2022264）從[0，95]中隨機(jī)選取一個(gè)正整數(shù)e，1≤e＜φ(n)，7.2報(bào)文鑒別為了防止信息在傳送的過(guò)程中被非法竊聽(tīng)，可以采用數(shù)據(jù)加密技術(shù)對(duì)信息進(jìn)行加密；為了防止信息被篡改或偽造，使用了鑒別技術(shù)；所謂鑒別，就是驗(yàn)證對(duì)象身份的過(guò)程，例如驗(yàn)證用戶身份、網(wǎng)絡(luò)或數(shù)據(jù)串的完整性等，它保證了其他人不能冒名頂替。報(bào)文鑒別就是信息在網(wǎng)絡(luò)通信的過(guò)程中，通信的接收方能夠驗(yàn)證所收到的報(bào)文的真?zhèn)蔚倪^(guò)程，包括驗(yàn)證發(fā)送方的身份、報(bào)文內(nèi)容、發(fā)送時(shí)間等等。12/21/2022277.2報(bào)文鑒別為了防止信息在傳送的過(guò)程中被非法竊聽(tīng)，可以采報(bào)文鑒別原理（1）采用報(bào)文摘要算法來(lái)實(shí)現(xiàn)報(bào)文鑒別12/21/202228報(bào)文鑒別原理（1）采用報(bào)文摘要算法來(lái)實(shí)現(xiàn)報(bào)文鑒別12/19/報(bào)文鑒別原理（2）①在發(fā)送方A，將長(zhǎng)度不定的報(bào)文m經(jīng)過(guò)報(bào)文摘要算法（也稱為MD算法）運(yùn)算后，得到長(zhǎng)度固定的報(bào)文H(m),H(m)稱為報(bào)文摘要；②使用發(fā)送方的私鑰SKA對(duì)報(bào)文H(m)進(jìn)行加密，生成報(bào)文摘要密文ESKA(H(m)),并將其拼接在報(bào)文m上，一起發(fā)送到接收方B；③在接收方，接收到報(bào)文m和報(bào)文摘要密文ESKA(H(m))后，將其用對(duì)應(yīng)的發(fā)送方A的公鑰PKA進(jìn)行解密DPKA(ESKA(H(m))),還原為H(m)；④將接收到的報(bào)文m經(jīng)過(guò)MD算法運(yùn)算得到報(bào)文摘要，并將該報(bào)文摘要于③中解得的H(m)比較，判斷兩者是否相同，從而判斷接收到的報(bào)文是否是發(fā)送端發(fā)送的。12/21/202229報(bào)文鑒別原理（2）①在發(fā)送方A，將長(zhǎng)度不定的報(bào)文m經(jīng)過(guò)報(bào)文報(bào)文鑒別原理（3）報(bào)文鑒別特性防抵賴特性發(fā)送方私鑰加密的信息摘要，稱為數(shù)字簽名，即ESKA(H(m))。接收方收到此簽名，由于私鑰SKA的持有者只有發(fā)送方A自己，因此接收方B，只需用接收方算出的報(bào)文摘要H(m)和接收方解密的報(bào)文摘要DPKA(ESKA(H(m)))加以比較即可。若相同，說(shuō)明對(duì)應(yīng)的公鑰揭開(kāi)了對(duì)應(yīng)私鑰加密的信息，由于私鑰的唯一性，也就可以斷定發(fā)送方A的身份，A也就不能抵賴了。12/21/202230報(bào)文鑒別原理（3）報(bào)文鑒別特性12/19/202230報(bào)文鑒別原理（4）報(bào)文鑒別特性防篡改和防偽造特性為了實(shí)現(xiàn)報(bào)文鑒別的不可篡改、不可偽造的目的，MD算法必須滿足下面的幾個(gè)條件；①給定一個(gè)報(bào)文m，計(jì)算其報(bào)文摘要H(m)是非常容易的；②給定一個(gè)報(bào)文摘要值y，想返回原始的報(bào)文x，使得H(x)=y是很難的，或者是不可能的，也就是MD算法是不可逆的；③給定m，想找到另外一個(gè)m’，使得H(m)=H(m’)是很難的,也就是要求MD值是唯一的。這樣，就保證了攻擊者無(wú)法偽造另外一個(gè)報(bào)文m’，使得H(m)=H(m’)，從而達(dá)到了報(bào)文鑒別的目的。12/21/202231報(bào)文鑒別原理（4）報(bào)文鑒別特性12/19/2022317.3防火墻技術(shù)7.3.1防火墻的概述7.3.2典型防火墻技術(shù)7.3.3防火墻的不足與新技術(shù)12/21/2022327.3防火墻技術(shù)7.3.1防火墻的概述12/19/2027.3.1防火墻概述概念和模型由計(jì)算機(jī)硬件或軟件系統(tǒng)構(gòu)成防火墻，用來(lái)在內(nèi)部可信任網(wǎng)絡(luò)和外部非信任網(wǎng)絡(luò)之間實(shí)施接入控制策略，以保護(hù)內(nèi)部安全，使敏感的數(shù)據(jù)不被竊取和篡改。12/21/2022337.3.1防火墻概述概念和模型12/19/2022337.3.1概述(1)功能1）防火墻是網(wǎng)絡(luò)安全的屏障：一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)降低風(fēng)險(xiǎn)。2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)：如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。4）防止內(nèi)部信息外泄：通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。5）防止資源被濫用：防火墻支持具有Internet服務(wù)特性的VPN，通過(guò)VPN將企業(yè)單位分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。12/21/2022347.3.1概述(1)功能12/19/2022347.3.1概述(2)發(fā)展過(guò)程12/21/2022357.3.1概述(2)發(fā)展過(guò)程12/19/2022357.3.2典型防火墻技術(shù)(1)包過(guò)濾型防火墻12/21/2022367.3.2典型防火墻技術(shù)(1)包過(guò)濾型防火墻12/19/27.3.2典型防火墻技術(shù)(2)應(yīng)用代理防火墻12/21/2022377.3.2典型防火墻技術(shù)(2)應(yīng)用代理防火墻12/19/27.3.2典型防火墻技術(shù)(3)狀態(tài)檢測(cè)防火墻12/21/2022387.3.2典型防火墻技術(shù)(3)狀態(tài)檢測(cè)防火墻12/19/27.3.2典型防火墻技術(shù)(4)自適應(yīng)代理型防火墻12/21/2022397.3.2典型防火墻技術(shù)(4)自適應(yīng)代理型防火墻12/197.3.3防火墻的不足與新技術(shù)不能防范不經(jīng)過(guò)防火墻的攻擊行為不能防止來(lái)自內(nèi)部的以及和外部勾結(jié)的攻擊防火墻對(duì)用戶不完全透明限制或關(guān)閉一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)防火墻不能有效地防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊防火墻也不能防范受到病毒感染的程序、文件或電子郵件的傳輸。防火墻不能防范Internet上不斷出現(xiàn)的新的威脅手段和新的攻擊方法。12/21/2022407.3.3防火墻的不足與新技術(shù)不能防范不經(jīng)過(guò)防火墻的攻擊行7.4計(jì)算機(jī)病毒及防治7.4.1計(jì)算機(jī)病毒概述7.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類7.4.3計(jì)算機(jī)病毒的檢測(cè)和防治7.4.4反病毒軟件的選擇12/21/2022417.4計(jì)算機(jī)病毒及防治7.4.1計(jì)算機(jī)病毒概述12/197.4.1計(jì)算機(jī)病毒概述（定義）一般來(lái)說(shuō)，凡是能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒(ComputerVirus)。依據(jù)此定義，諸如邏輯炸彈、蠕蟲(chóng)等均可稱為計(jì)算機(jī)病毒。一種較為廣泛的定義是：計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)或程序之中，當(dāng)達(dá)到某種條件即被激活，對(duì)計(jì)算機(jī)資源進(jìn)行破壞的一組程序或指令集合。1994年2月18日，我國(guó)正式頒布實(shí)施《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”12/21/2022427.4.1計(jì)算機(jī)病毒概述（定義）一般來(lái)說(shuō)，凡是能夠引起計(jì)算7.4.1計(jì)算機(jī)病毒概述（產(chǎn)生）1949年，約翰·馮紐曼提出一種會(huì)自我繁殖的程序(現(xiàn)在稱為病毒)。1959年，Bell實(shí)驗(yàn)室的CoreWar，計(jì)算機(jī)病毒的雛形。1983年，VAXII/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功。1986年初，第一個(gè)真正的計(jì)算機(jī)病毒問(wèn)世，即在巴基斯坦出現(xiàn)的“Brain”病毒。1989年，我國(guó)發(fā)現(xiàn)最早的小球病毒報(bào)告。1989年7月，第一個(gè)反病毒軟件KILL6.0問(wèn)世。12/21/2022437.4.1計(jì)算機(jī)病毒概述（產(chǎn)生）1949年，約翰·馮紐曼提7.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類（1）特點(diǎn)傳染性傳染性是判斷一段程序代碼是否為計(jì)算機(jī)病毒的根本依據(jù)隱蔽性潛伏性及可觸發(fā)性CIH，沖擊波MSblast等破壞性12/21/2022447.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類（1）特點(diǎn)12/19/207.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類（2）分類1．按感染方式分為引導(dǎo)型、文件型和混合型病毒2．按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3．按破壞性可分為良性病毒和惡性病毒4．網(wǎng)絡(luò)病毒Internet語(yǔ)言病毒特洛伊木馬型病毒蠕蟲(chóng)病毒12/21/2022457.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類（2）分類12/19/207.4.3計(jì)算機(jī)病毒的檢測(cè)和防治（1）1、病毒的檢測(cè)（1）屏幕顯示異常，彈出異常窗口。（2）聲音異常，有虛假報(bào)警。（3）系統(tǒng)工作異常：①不執(zhí)行或干擾執(zhí)行程序，偶爾出現(xiàn)出錯(cuò)提示；②時(shí)鐘倒轉(zhuǎn)，或顯示異常；③計(jì)算機(jī)突然或頻繁重啟，或不能啟動(dòng)；④計(jì)算機(jī)運(yùn)行速度下降，變慢；⑤文件不能存盤(pán)，或存盤(pán)時(shí)丟失字節(jié)；⑥硬盤(pán)空間或內(nèi)存空間減小。（4）鍵盤(pán)工作異常。12/21/2022467.4.3計(jì)算機(jī)病毒的檢測(cè)和防治（1）1、病毒的檢測(cè)127.4.3計(jì)算機(jī)病毒的檢測(cè)和防治（2）2、病毒的防治1）建立、健全法律和管理制度2）采取更有效的技術(shù)措施系統(tǒng)安全軟件過(guò)濾文件加密生產(chǎn)過(guò)程控制后備恢復(fù)其他有效措施12/21/2022477.4.3計(jì)算機(jī)病毒的檢測(cè)和防治（2）2、病毒的防治127.4.4反病毒軟件的選擇（1）1、反病毒軟件的特點(diǎn)能夠識(shí)別并清除病毒查殺病毒引擎庫(kù)需要不斷更新2、對(duì)病毒防治產(chǎn)品的要求病毒防治產(chǎn)品自身的安全性病毒防治產(chǎn)品與系統(tǒng)和應(yīng)用軟件的兼容性對(duì)查毒產(chǎn)品的要求對(duì)殺毒產(chǎn)品的要求12/21/2022487.4.4反病毒軟件的選擇（1）1、反病毒軟件的特點(diǎn)127.4.4反病毒軟件的選擇（2）3、常見(jiàn)的計(jì)算機(jī)病毒防治產(chǎn)品1）國(guó)產(chǎn)產(chǎn)品江民的KV系列金山毒霸系列瑞星殺毒系列冠群金辰KILL系列http：//2）國(guó)外產(chǎn)品Symantec（賽門(mén)鐵克）Kaspersky（卡巴斯基）趨勢(shì)科技的Trend系列McAfee殺毒軟件12/21/2022497.4.4反病毒軟件的選擇（2）3、常見(jiàn)的計(jì)算機(jī)病毒防治第七章計(jì)算機(jī)網(wǎng)絡(luò)的安全教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過(guò)程12/21/202250第七章計(jì)算機(jī)網(wǎng)絡(luò)的安全教學(xué)目標(biāo)12/19/20221教學(xué)目標(biāo)了解計(jì)算機(jī)網(wǎng)絡(luò)安全的概念掌握常用加密/解密的方法理解防火墻技術(shù)了解病毒及其防治技術(shù)12/21/202251教學(xué)目標(biāo)了解計(jì)算機(jī)網(wǎng)絡(luò)安全的概念12/19/20222教學(xué)重點(diǎn)掌握加密/解密的方法掌握?qǐng)?bào)文鑒別的方法12/21/202252教學(xué)重點(diǎn)掌握加密/解密的方法12/19/20223教學(xué)過(guò)程網(wǎng)絡(luò)安全問(wèn)題概述密碼與信息加密防火墻技術(shù)計(jì)算機(jī)病毒與防治12/21/202253教學(xué)過(guò)程網(wǎng)絡(luò)安全問(wèn)題概述12/19/202247.1網(wǎng)絡(luò)安全問(wèn)題概述計(jì)算機(jī)網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的需求特性網(wǎng)絡(luò)安全研究的主要問(wèn)題12/21/2022547.1網(wǎng)絡(luò)安全問(wèn)題概述計(jì)算機(jī)網(wǎng)絡(luò)安全的概念12/19/7.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

國(guó)際標(biāo)準(zhǔn)化組織(1SO)引用ISO74982文獻(xiàn)中對(duì)安全的定義是：安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性。《中華人民八和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的第三條規(guī)范了包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全的概念：“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行?！?2/21/2022557.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織(1SO7.1.2網(wǎng)絡(luò)安全的需求特性

網(wǎng)絡(luò)安全保障的歸結(jié)點(diǎn)還是網(wǎng)上的信息安全信息安全的需求特性機(jī)密性完整性可用性可控性不可否認(rèn)性12/21/2022567.1.2網(wǎng)絡(luò)安全的需求特性網(wǎng)絡(luò)安全保障的歸結(jié)點(diǎn)還是7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全涉及5個(gè)層次的安全12/21/2022577.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全涉及5個(gè)層次的安7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（1）物理安全環(huán)境安全設(shè)備安全媒體安全12/21/2022587.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（1）物理安全12/197.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全局域網(wǎng)、子網(wǎng)安全訪問(wèn)控制（防火墻）網(wǎng)絡(luò)檢測(cè)（網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)）網(wǎng)絡(luò)中數(shù)據(jù)傳輸安全數(shù)據(jù)加密（VPN等）網(wǎng)絡(luò)運(yùn)行安全備份與恢復(fù)應(yīng)急網(wǎng)絡(luò)協(xié)議安全TCP/IP其他協(xié)議12/21/2022597.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全局7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（3）系統(tǒng)安全系統(tǒng)安全操作系統(tǒng)安全反病毒系統(tǒng)安全檢測(cè)入侵檢測(cè)（監(jiān)控）審計(jì)分析數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)管理系統(tǒng)安全12/21/2022607.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（3）系統(tǒng)安全系統(tǒng)安全操7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（4）應(yīng)用安全應(yīng)用安全應(yīng)用軟件開(kāi)發(fā)平臺(tái)安全各種編程語(yǔ)言平臺(tái)安全程序本身的安全應(yīng)用系統(tǒng)安全應(yīng)用軟件系統(tǒng)安全12/21/2022617.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（4）應(yīng)用安全應(yīng)用安全應(yīng)7.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（5）管理安全人在一系列的安全問(wèn)題中總是處于主導(dǎo)的作用，因此要解決這個(gè)問(wèn)題須從技術(shù)和管理兩個(gè)方面入手。技術(shù)管理12/21/2022627.1.3網(wǎng)絡(luò)安全研究的主要問(wèn)題（5）管理安全12/197.2密碼與信息加密7.2.1密碼技術(shù)概述7.2.2對(duì)稱加密算法7.2.3非對(duì)稱加密算法7.2.4報(bào)文鑒別12/21/2022637.2密碼與信息加密7.2.1密碼技術(shù)概述12/19/27.2密碼與信息加密密碼學(xué)是一門(mén)古老而深?yuàn)W的學(xué)科計(jì)算機(jī)密碼學(xué)又是一門(mén)新興的學(xué)科隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通信技術(shù)的發(fā)展，計(jì)算機(jī)密碼學(xué)得到了前所未有的重視并迅速普及和發(fā)展起來(lái)。在國(guó)外，它已成為計(jì)算機(jī)安全主要的研究方向。12/21/2022647.2密碼與信息加密密碼學(xué)是一門(mén)古老而深?yuàn)W的學(xué)科12/17.2.1密碼技術(shù)概述密碼學(xué)的歷史比較悠久，在四千年前，古埃及人就開(kāi)始使用密碼來(lái)保密傳遞消息。兩千多年前，羅馬國(guó)王JuliusCaesar(愷撒)就開(kāi)始使用目前稱為“愷撒密碼”的密碼系統(tǒng)。但是密碼技術(shù)直到20世紀(jì)40年代以后才有重大突破和發(fā)展。特別是20世紀(jì)70年代后期，由于計(jì)算機(jī)、電子通信的廣泛使用，現(xiàn)代密碼學(xué)得到了空前的發(fā)展。12/21/2022657.2.1密碼技術(shù)概述密碼學(xué)的歷史比較悠久，在四千年前，古（一）一般的數(shù)據(jù)加密模型12/21/202266（一）一般的數(shù)據(jù)加密模型12/19/202217一般的數(shù)據(jù)加密模型（1）加密算法與解密算法加密的基本思想是偽裝明文（plainttext,未經(jīng)現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。加密的信息）以隱藏其真實(shí)內(nèi)容，即將明文X偽裝成密文Y(ciphertext,加密后的信息)。偽裝明文的操作稱為加密由密文恢復(fù)出原文的過(guò)程稱為解密現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法是可以公開(kāi)的，真正需要保密的是密鑰。12/21/202267一般的數(shù)據(jù)加密模型（1）加密算法與解密算法12/19/202一般的數(shù)據(jù)加密模型（2）密鑰加密算法和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的。對(duì)于同一種加密算法，密鑰的位數(shù)越長(zhǎng)，破譯的難度也就越大，安全性也就越好，密鑰空間(keyspace)即二進(jìn)制01組合的數(shù)目越大，密鑰的可能范圍也就越大，那么攻擊者就越不容易通過(guò)蠻力攻擊（brute-forceattack）來(lái)破譯，只好用窮舉法對(duì)密鑰的所有組合進(jìn)行猜測(cè)，直到成功地解密。對(duì)稱密碼體制非對(duì)稱密碼體制12/21/202268一般的數(shù)據(jù)加密模型（2）密鑰12/19/202219一般的數(shù)據(jù)加密模型（3）模型的數(shù)學(xué)表示明文用M(Message,消息)或P(Plaintext,明文)密文用C(Ciphertext)加密E（Encrypt）EK(M)=C解密D（Decrypt）DK(C)=MDK(EK(M))=M12/21/202269一般的數(shù)據(jù)加密模型（3）模型的數(shù)學(xué)表示12/19/20222（二）基本的加密方法舉例（1）替代加密保持明文的字符順序，只是將原字符替換并隱藏起來(lái)。密鑰為3明文caesarcipher密文FDHVDUFLSKHUabcdefghim…qrstuvwxyzDEFGHIJKLP…TUVWXYZABC12/21/202270（二）基本的加密方法舉例（1）替代加密abcdefghim…（二）基本的加密方法舉例（2）置換加密（變位加密）不隱藏原明文的字符，但卻將字符重新排序變位密鑰為cipher明文Attackbeginatfour密文abacnuaiotettgfksr密鑰CIPHER順序145326注：此順序與密鑰等價(jià)，但不如密鑰便于記憶明文attacK注：明文的意思是“四時(shí)開(kāi)始進(jìn)攻”beginsatfour12/21/202271（二）基本的加密方法舉例（2）置換加密（變位加密）密鑰CIP7.2.2對(duì)稱加密算法加密密鑰和解密密鑰相同Dk(Ek(M))=C典型算法：數(shù)據(jù)加密標(biāo)準(zhǔn)DES12/21/2022727.2.2對(duì)稱加密算法加密密鑰和解密密鑰相同12/19/27.2.3非對(duì)稱加密又稱“公開(kāi)密鑰加密”，密鑰互不相同，公鑰用來(lái)加密，私鑰用來(lái)解密。Dsk（Epk（M））=C12/21/2022737.2.3非對(duì)稱加密又稱“公開(kāi)密鑰加密”，密鑰互不相同，公RSA公開(kāi)密鑰密碼系統(tǒng)（１）RSA算法的安全性基于大整數(shù)分解的難度。其公鑰和私鑰是一對(duì)大素?cái)?shù)的函數(shù)。從一個(gè)公鑰和密文中恢復(fù)出明文的難度等價(jià)于分解兩個(gè)大素?cái)?shù)的乘積。加密過(guò)程舉例：1）選擇兩個(gè)大素?cái)?shù)p=7,q=172）計(jì)算n=p*q=1193）計(jì)算φ(n)=(p–1)(q–1)=9612/21/202274RSA公開(kāi)密鑰密碼系統(tǒng)（１）RSA算法的安全性基于大整數(shù)分4）從[0，95]中隨機(jī)選取一個(gè)正整數(shù)e，1≤e＜φ(n)，且e與φ(n)互素。選e=5５）最后計(jì)算出滿足e*d=1modφ(n)的d=77。６）公開(kāi)密鑰PK=(e,n)={5,119}７）秘密密鑰SK=(d,n)={77,119}８）用公鑰加密，Y=Xemodn=66,即密文為66９）用私鑰解密，X=Ydmodn=19,即明文為19

RSA公開(kāi)密鑰密碼系統(tǒng)（２）12/21/2022754）從[0，95]中隨機(jī)選取一個(gè)正整數(shù)e，1≤e＜φ(n)，7.2報(bào)文鑒別為了防止信息在傳送的過(guò)程中被非法竊聽(tīng)，可以采用數(shù)據(jù)加密技術(shù)對(duì)信息進(jìn)行加密；為了防止信息被篡改或偽造，使用了鑒別技術(shù)；所謂鑒別，就是驗(yàn)證對(duì)象身份的過(guò)程，例如驗(yàn)證用戶身份、網(wǎng)絡(luò)或數(shù)據(jù)串的完整性等，它保證了其他人不能冒名頂替。報(bào)文鑒別就是信息在網(wǎng)絡(luò)通信的過(guò)程中，通信的接收方能夠驗(yàn)證所收到的報(bào)文的真?zhèn)蔚倪^(guò)程，包括驗(yàn)證發(fā)送方的身份、報(bào)文內(nèi)容、發(fā)送時(shí)間等等。12/21/2022767.2報(bào)文鑒別為了防止信息在傳送的過(guò)程中被非法竊聽(tīng)，可以采報(bào)文鑒別原理（1）采用報(bào)文摘要算法來(lái)實(shí)現(xiàn)報(bào)文鑒別12/21/202277報(bào)文鑒別原理（1）采用報(bào)文摘要算法來(lái)實(shí)現(xiàn)報(bào)文鑒別12/19/報(bào)文鑒別原理（2）①在發(fā)送方A，將長(zhǎng)度不定的報(bào)文m經(jīng)過(guò)報(bào)文摘要算法（也稱為MD算法）運(yùn)算后，得到長(zhǎng)度固定的報(bào)文H(m),H(m)稱為報(bào)文摘要；②使用發(fā)送方的私鑰SKA對(duì)報(bào)文H(m)進(jìn)行加密，生成報(bào)文摘要密文ESKA(H(m)),并將其拼接在報(bào)文m上，一起發(fā)送到接收方B；③在接收方，接收到報(bào)文m和報(bào)文摘要密文ESKA(H(m))后，將其用對(duì)應(yīng)的發(fā)送方A的公鑰PKA進(jìn)行解密DPKA(ESKA(H(m))),還原為H(m)；④將接收到的報(bào)文m經(jīng)過(guò)MD算法運(yùn)算得到報(bào)文摘要，并將該報(bào)文摘要于③中解得的H(m)比較，判斷兩者是否相同，從而判斷接收到的報(bào)文是否是發(fā)送端發(fā)送的。12/21/202278報(bào)文鑒別原理（2）①在發(fā)送方A，將長(zhǎng)度不定的報(bào)文m經(jīng)過(guò)報(bào)文報(bào)文鑒別原理（3）報(bào)文鑒別特性防抵賴特性發(fā)送方私鑰加密的信息摘要，稱為數(shù)字簽名，即ESKA(H(m))。接收方收到此簽名，由于私鑰SKA的持有者只有發(fā)送方A自己，因此接收方B，只需用接收方算出的報(bào)文摘要H(m)和接收方解密的報(bào)文摘要DPKA(ESKA(H(m)))加以比較即可。若相同，說(shuō)明對(duì)應(yīng)的公鑰揭開(kāi)了對(duì)應(yīng)私鑰加密的信息，由于私鑰的唯一性，也就可以斷定發(fā)送方A的身份，A也就不能抵賴了。12/21/202279報(bào)文鑒別原理（3）報(bào)文鑒別特性12/19/202230報(bào)文鑒別原理（4）報(bào)文鑒別特性防篡改和防偽造特性為了實(shí)現(xiàn)報(bào)文鑒別的不可篡改、不可偽造的目的，MD算法必須滿足下面的幾個(gè)條件；①給定一個(gè)報(bào)文m，計(jì)算其報(bào)文摘要H(m)是非常容易的；②給定一個(gè)報(bào)文摘要值y，想返回原始的報(bào)文x，使得H(x)=y是很難的，或者是不可能的，也就是MD算法是不可逆的；③給定m，想找到另外一個(gè)m’，使得H(m)=H(m’)是很難的,也就是要求MD值是唯一的。這樣，就保證了攻擊者無(wú)法偽造另外一個(gè)報(bào)文m’，使得H(m)=H(m’)，從而達(dá)到了報(bào)文鑒別的目的。12/21/202280報(bào)文鑒別原理（4）報(bào)文鑒別特性12/19/2022317.3防火墻技術(shù)7.3.1防火墻的概述7.3.2典型防火墻技術(shù)7.3.3防火墻的不足與新技術(shù)12/21/2022817.3防火墻技術(shù)7.3.1防火墻的概述12/19/2027.3.1防火墻概述概念和模型由計(jì)算機(jī)硬件或軟件系統(tǒng)構(gòu)成防火墻，用來(lái)在內(nèi)部可信任網(wǎng)絡(luò)和外部非信任網(wǎng)絡(luò)之間實(shí)施接入控制策略，以保護(hù)內(nèi)部安全，使敏感的數(shù)據(jù)不被竊取和篡改。12/21/2022827.3.1防火墻概述概念和模型12/19/2022337.3.1概述(1)功能1）防火墻是網(wǎng)絡(luò)安全的屏障：一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)降低風(fēng)險(xiǎn)。2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)：如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。4）防止內(nèi)部信息外泄：通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。5）防止資源被濫用：防火墻支持具有Internet服務(wù)特性的VPN，通過(guò)VPN將企業(yè)單位分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。12/21/2022837.3.1概述(1)功能12/19/2022347.3.1概述(2)發(fā)展過(guò)程12/21/2022847.3.1概述(2)發(fā)展過(guò)程12/19/2022357.3.2典型防火墻技術(shù)(1)包過(guò)濾型防火墻12/21/2022857.3.2典型防火墻技術(shù)(1)包過(guò)濾型防火墻12/19/27.3.2典型防火墻技術(shù)(2)應(yīng)用代理防火墻12/21/2022867.3.2典型防火墻技術(shù)(2)應(yīng)用代理防火墻12/19/27.3.2典型防火墻技術(shù)(3)狀態(tài)檢測(cè)防火墻12/21/2022877.3.2典型防火墻技術(shù)(3)狀態(tài)檢測(cè)防火墻12/19/27.3.2典型防火墻技術(shù)(4)自適應(yīng)代理型防火墻12/21/2022887.3.2典型防火墻技術(shù)(4)自適應(yīng)代理型防火墻12/197.3.3防火墻的不足與新技術(shù)不能防范不經(jīng)過(guò)防火墻的攻擊行為不能防止來(lái)自內(nèi)部的以及和外部勾結(jié)的攻擊防火墻對(duì)用戶不完全透明限制或關(guān)閉一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)防火墻不能有效地防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊防火墻也不能防范受到病毒感染的程序、文件或電子郵件的傳輸。防火墻不能防范Internet上不斷出現(xiàn)的新的威脅手段和新的攻擊方法。12/21/2022897.3.3防火墻的不足與新技術(shù)不能防范不經(jīng)過(guò)防火墻的攻擊行7.4計(jì)算機(jī)病毒及防治7.4.1計(jì)算機(jī)病毒概述7.4.2計(jì)算機(jī)病毒的特點(diǎn)及分類7.4.3計(jì)算機(jī)病毒的檢測(cè)和防治7.4.4反病毒軟件的選擇12/21/2022907.4計(jì)算機(jī)病毒及防治7.4.1計(jì)算機(jī)病毒概述12/197.4.1計(jì)算機(jī)病毒概述（定