第01章 信息安全技術(shù)概述

主講人：任凱聯(lián)系方式：renkai_jlxy@163.com百度云盤：/s/1dDhjNYL信息安全技術(shù)2*幾個(gè)生活中經(jīng)常遇到的情況使用U盤時(shí)，是否在“我的電腦”中雙擊打開U盤盤符？播放從網(wǎng)上下載的一個(gè)AVI格式電影，有可能中毒嗎？訪問網(wǎng)頁會(huì)中毒嗎？一般什么情況認(rèn)為自己中毒了？

3*幾個(gè)小問題上網(wǎng)安全嗎？如果你的電腦被入侵，你覺得可能對你造成的最大危害是什么？如何進(jìn)行安全防護(hù)，避免各類攻擊？使用強(qiáng)口令

文件必須安全存儲(chǔ)

臨時(shí)離開請及時(shí)鎖屏或注銷

殺（防）毒軟件不可少

個(gè)人防火墻不可替代

不打開來歷不明的郵件或附件不要隨意瀏覽黑客、色情網(wǎng)站警惕“網(wǎng)絡(luò)釣魚”

聊天軟件的安全

移動(dòng)設(shè)備的安全

4*近年國內(nèi)重大的信息安全支付寶找回密碼功能存在系統(tǒng)漏洞近年國內(nèi)重大的信息安全攜程網(wǎng)用戶支付信息出現(xiàn)漏洞，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼、支付密碼小米論壇存在用戶資料泄露5*近年國內(nèi)重大的信息安全2015年4月，阿里安全研究實(shí)驗(yàn)室發(fā)現(xiàn)一個(gè)名為“WiFi殺手”的安卓系統(tǒng)漏洞，黑客通過公共場所免費(fèi)WIFI誘導(dǎo)用戶鏈接而獲取手機(jī)中銀行卡、支付寶等賬戶信息北京時(shí)間4月23日凌晨，開發(fā)者公告稱漏洞已修復(fù)6*近年國內(nèi)重大的信息安全蘋果手機(jī)獲取用戶位置信息7*8*近年國際重大的信息安全事件“棱鏡門”事件：美國國家安全局監(jiān)控用戶隱私近年國際重大的信息安全事件OpenSSL出現(xiàn)“Heartbleed”

9*近年國際重大的信息安全事件Google曝法國偽造CA證書全球首例國家級偽造CA證書劫持加密通訊事件誕生Apple、Facebook、Twitter等科技巨頭相繼被入侵，用戶數(shù)據(jù)泄漏微軟正式停止對XP系統(tǒng)技術(shù)支持iCloud曝安全漏洞蘋果陷入“艷照門”事件….10*11*一些常用名詞紅客：從事網(wǎng)絡(luò)安全行業(yè)的愛國黑客白客：又稱安全防護(hù)者，用尋常話說就是一些原本的黑客轉(zhuǎn)正了，他們進(jìn)入各大科技公司專門防護(hù)網(wǎng)絡(luò)安全黑客：指某些熱衷于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)、技能高超、非法入侵他人計(jì)算機(jī)系統(tǒng)的人，又稱“駭客”灰客：指某些對計(jì)算機(jī)和網(wǎng)絡(luò)安全感興趣，初步了解網(wǎng)絡(luò)安全知識，能夠利用黑客軟件或初級手法從事一些黑客行為的人。由于他們受技術(shù)限制，既不夠“黑”，但也不“白”藍(lán)客：指某些標(biāo)榜自己只熱衷于純粹的互聯(lián)網(wǎng)技術(shù)而不關(guān)心其他事物、我行我素的“黑客”12*信息戰(zhàn)已經(jīng)成為各國軍事斗爭的主要組成部分中國需要維護(hù)國家信息系統(tǒng)的安全，建立保護(hù)網(wǎng)絡(luò)國家邊界的網(wǎng)軍勢在必行：1.我國集成電路芯片的自給率不足10%，要做到網(wǎng)絡(luò)安全首先就是硬件安全，而芯片安全是硬件安全核心內(nèi)容之一2.微軟的各版本操作系統(tǒng)在中國市場的占有率達(dá)到98%。軟件安全是網(wǎng)絡(luò)安全的另一個(gè)核心內(nèi)容，最基本的操作系統(tǒng)不是自己編寫的，同樣留有安全隱患13*理解安全與不安全概念“安全”一詞在字典中被定義為“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”和“為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。沒有危險(xiǎn)；不受威脅；不出事故14*先行案例黑色星期五源于西方的宗教信仰與迷信：耶穌基督死在星期五，而13是不吉利的數(shù)字。兩者的結(jié)合令人相信當(dāng)天會(huì)發(fā)生不幸的事情歷史上有好幾個(gè)事件都發(fā)生于星期五：1869年的黑色星期五：美國金融市場大瀉1919年的黑色星期五：格拉斯哥工人罷工1939年的黑色星期五：澳大利亞發(fā)生山林大火1978年的黑色星期五：伊朗示威者大屠殺1982年的黑色星期五：?？颂m群島戰(zhàn)爭爆發(fā)（英國和阿根廷）15*先行案例2001年“紅色代碼”蠕蟲2001年“尼姆達(dá)Nimda”蠕蟲事件——多種手段攻擊網(wǎng)絡(luò)2003年SQLSLAMMER蠕蟲——攻擊SQL服務(wù)器2003年口令蠕蟲——口令方式攻擊主機(jī)2003年沖擊波“MSBLAST”蠕蟲和“Blast清除者”蠕蟲2004年震蕩波蠕蟲——針對微軟windows操作系統(tǒng)的漏洞2005年“黛蛇”蠕蟲事件2006年“魔波”蠕蟲——引發(fā)“僵尸網(wǎng)絡(luò)”2007年“Nimaya（熊貓燒香）”病毒事件2008年“機(jī)器狗”病毒事件2009年“飛客”蠕蟲的泛濫16*2010年1月2日，公安部物證鑒定中心被黑，登陸該網(wǎng)站，有些嘲弄語言，還貼一張“我們睡，你們講”的圖片，圖片是公安某單位一次會(huì)議上，臺(tái)下參會(huì)人員大睡的場面先行案例17*先行案例2010今年“兩會(huì)”期間，3月3日，全國政協(xié)委員嚴(yán)琪所辦陶然居餐飲集團(tuán)網(wǎng)站（）被黑，引發(fā)熱議18*先行案例英國稅務(wù)局“光盤”門2007年11月，英國稅務(wù)及海關(guān)總署的一名公務(wù)員在將兩張光碟寄給審計(jì)部門時(shí)，由于疏忽忘記依照規(guī)范以掛號寄出，導(dǎo)致光碟下落不明。光碟中有英國家庭申請十六歲以下兒童福利補(bǔ)助的資料，包括公民的姓名、地址、出生年月、社會(huì)保險(xiǎn)號碼和銀行帳戶資料，據(jù)稱其中還包括了英國首相布朗一家的機(jī)密資料。英國財(cái)政大臣達(dá)林在國會(huì)下院承認(rèn)數(shù)據(jù)丟失，布朗面色凝重。19*賣家網(wǎng)上叫賣英國失蹤稅務(wù)光盤20*先行案例網(wǎng)絡(luò)成為重要的竊密渠道掃描網(wǎng)絡(luò)發(fā)現(xiàn)漏洞控制系統(tǒng)竊取文件21*先行案例違規(guī)操作泄密敵對勢力竊密互聯(lián)網(wǎng)

部隊(duì)失密案：2003年初，軍隊(duì)某參謀違反規(guī)定，使用涉密計(jì)算機(jī)上因特網(wǎng)，被臺(tái)灣情報(bào)機(jī)關(guān)跟蹤鎖定，一次竊走1000多份文檔資料，影響和損失極為嚴(yán)重22*提高信息安全意識不通過email傳輸敏感信息，敏感信息加密以后再傳輸不借用帳號、不隨意說出密碼敏感信息不要隨意地放置,打印或復(fù)印的敏感資料要及時(shí)取走離開電腦時(shí)記得鎖屏與清除桌面不在公司外部討論敏感信息發(fā)現(xiàn)安全問題及時(shí)報(bào)告......23*加強(qiáng)計(jì)算機(jī)與網(wǎng)絡(luò)安全設(shè)置復(fù)雜密碼根據(jù)安全規(guī)范進(jìn)行安全設(shè)置及時(shí)安裝補(bǔ)丁安裝防病毒軟件并及時(shí)更新不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序……

24*通俗地說，安全就是安全是穩(wěn)定狀態(tài)或確定狀態(tài)25*關(guān)于課程學(xué)習(xí)本課程的要求教學(xué)目標(biāo)通過本課程的學(xué)習(xí)，要求對信息安全的概念與內(nèi)涵有較全面的了解，較全面地掌握有關(guān)信息安全的基礎(chǔ)理論和實(shí)用技術(shù)，掌握網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的基本方法，培養(yǎng)網(wǎng)絡(luò)安全防護(hù)意識，增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全保障能力，并能在實(shí)踐中其指導(dǎo)作用。教材：王鳳英，網(wǎng)絡(luò)與信息安全技術(shù)，中國鐵道出版社張同光，信息安全技術(shù)實(shí)用教程，電子工業(yè)出版社熊平，信息安全原理及應(yīng)用，清華大學(xué)出版社趙澤茂，信息安全技術(shù)，西安電子科技大學(xué)出版社26*關(guān)于課程課程內(nèi)容信息安全綜述對稱密鑰密碼體系公鑰密碼體系身份認(rèn)證、訪問控制與系統(tǒng)審計(jì)操作系統(tǒng)安全單向散列函數(shù)PKI技術(shù)數(shù)據(jù)庫系統(tǒng)安全因特網(wǎng)安全和VPNWEB電子商務(wù)安全防火墻技術(shù)入侵檢測技術(shù)27*關(guān)于課程本課程對學(xué)生的要求提高信息安全意識，具有信息安全的理論基礎(chǔ)和基本實(shí)踐能力了解和掌握信息安全的基本原理和相關(guān)技術(shù)

關(guān)注國內(nèi)外最新的研究成果和發(fā)展動(dòng)態(tài)28*關(guān)于課程考核30%（平時(shí)成績：出勤、平時(shí)作業(yè)等）+70%考試成績聽課課堂紀(jì)律歡迎同學(xué)上講臺(tái)跟同學(xué)們分享信息安全相關(guān)知識29*1信息安全綜述30*本章提要網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全的層次結(jié)構(gòu)安全評價(jià)標(biāo)準(zhǔn)研究網(wǎng)絡(luò)與信息安全的意義網(wǎng)絡(luò)信息安全管理31*§1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念密碼安全：通信安全的最核心部分計(jì)算機(jī)安全：一種確定的狀態(tài)，使計(jì)算機(jī)化數(shù)據(jù)和程序不致被非授權(quán)人員、計(jì)算機(jī)或程序訪問獲取和修改網(wǎng)絡(luò)安全：指利用網(wǎng)絡(luò)管理控制技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里信息數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)信息安全：防止任何對數(shù)據(jù)進(jìn)行未授權(quán)訪問的措施，或防止造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于威脅的狀態(tài)或特性32*§1.1

網(wǎng)絡(luò)與信息安全的基本概念關(guān)系信息安全網(wǎng)絡(luò)安全計(jì)算機(jī)安全密碼安全33*§1.1

網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)信息安全的要求即消息的發(fā)送者在發(fā)送后不能否認(rèn)他發(fā)送過該消息抗抵賴完整性機(jī)密性即消息只有合法的接收者才能讀出，其他人即使收到也讀不出即消息的確是由宣稱的發(fā)送者發(fā)送的，如冒名頂替則會(huì)被發(fā)現(xiàn)即消息在傳輸過程中如果篡改則會(huì)被發(fā)現(xiàn)真實(shí)性34*§1.1

網(wǎng)絡(luò)與信息安全的基本概念木桶原理網(wǎng)絡(luò)安全遵循“木桶原理”，即一個(gè)木桶的容積決定于組成它的最短的一塊木板，一個(gè)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。安全防護(hù)必須建立在一個(gè)完整的多層次的安全體系之上，任何的薄弱環(huán)節(jié)都將導(dǎo)致整個(gè)安全體系的崩潰35*本章提要網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全的層次結(jié)構(gòu)安全評價(jià)標(biāo)準(zhǔn)研究網(wǎng)絡(luò)與信息安全的意義網(wǎng)絡(luò)信息安全管理36*§1.2

網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全問題日益突出網(wǎng)絡(luò)與信息系統(tǒng)在變成”金庫”,當(dāng)然就會(huì)吸引大批合法或非法的”掏金者”,所以網(wǎng)絡(luò)信息的安全與保密問題顯得越來越重要幾乎每天都有各種各樣的“黑客”故事：

1994年末俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國名為CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取美元1100萬。37*1996年8月17日

美國司法部的網(wǎng)絡(luò)服務(wù)器遭到“黑客”入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手1999年4月26日臺(tái)灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計(jì)說我國大陸受其影響的PC機(jī)總量達(dá)36萬臺(tái)之多。有人估計(jì)在這次事件中，經(jīng)濟(jì)損失高達(dá)近12億元§1.2

網(wǎng)絡(luò)安全威脅38*2000年5月4日

一種名為“我愛你”（愛蟲）的電腦病毒開始在全球各地迅速傳播。據(jù)美國加利福尼亞州的名為“電腦經(jīng)濟(jì)”的研究機(jī)構(gòu)發(fā)布的初步統(tǒng)計(jì)數(shù)據(jù)，“愛蟲”大爆發(fā)兩天之后，全球約有4500萬臺(tái)電腦被感染，造成的損失已經(jīng)達(dá)到26億美元。在以后幾天里，“愛蟲”病毒所造成的損失以每天10億美元到15億美元的幅度增加?！?.2

網(wǎng)絡(luò)安全威脅39*數(shù)據(jù)大集中——風(fēng)險(xiǎn)也更集中了；系統(tǒng)復(fù)雜了——安全問題解決難度加大；云計(jì)算——安全已經(jīng)不再是自己可以控制的3G、物聯(lián)網(wǎng)、三網(wǎng)合一——IP網(wǎng)絡(luò)中安全問題引入到了電話、手機(jī)、廣播電視中web2.0、微博、人肉搜索——網(wǎng)絡(luò)安全與日常生活越來越貼近新應(yīng)用導(dǎo)致新的安全問題§1.2

網(wǎng)絡(luò)安全威脅40*§1.2

網(wǎng)絡(luò)安全威脅41*§1.2

網(wǎng)絡(luò)安全威脅§1.2

網(wǎng)絡(luò)安全威脅42*43*網(wǎng)絡(luò)流量分析拒絕服務(wù)特洛伊木馬資源非授權(quán)使用計(jì)算機(jī)病毒假冒、重放破壞完整性誹謗竊聽主要威脅種類：§1.2

網(wǎng)絡(luò)安全威脅44*商業(yè)間諜按照FBI的估計(jì)，由于商業(yè)間諜的危害，美國各大公司每年要損失100億美元§1.2

網(wǎng)絡(luò)安全威脅動(dòng)機(jī)45*經(jīng)濟(jì)利益§1.2

網(wǎng)絡(luò)安全威脅動(dòng)機(jī)46*報(bào)復(fù)或者引入注意：為了炫耀能力的黑客少了，為了非法取得政治、經(jīng)濟(jì)利益的人越來越多§1.2

網(wǎng)絡(luò)安全威脅動(dòng)機(jī)47*§1.2

網(wǎng)絡(luò)安全威脅動(dòng)機(jī)惡作劇48*無知黑客“菜霸”§1.2

網(wǎng)絡(luò)安全威脅動(dòng)機(jī)49*本章提要網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全的層次結(jié)構(gòu)安全評價(jià)標(biāo)準(zhǔn)研究網(wǎng)絡(luò)與信息安全的意義網(wǎng)絡(luò)信息安全管理50*§1.3

網(wǎng)絡(luò)安全的層次結(jié)構(gòu)物理安全1安全控制2安全服務(wù)351*§1.3網(wǎng)絡(luò)安全的層次結(jié)構(gòu)

___物理安全自然災(zāi)害、物理損壞、設(shè)備故障某一天下著大雨，突然“霹靂”一聲，電腦突然斷線了，經(jīng)查是上網(wǎng)用的adslmodem被擊壞了。電磁輻射、乘機(jī)而入、痕跡泄露QQ被盜，黑客公開售賣200元，最后費(fèi)盡周折，利用密碼保護(hù)才要回了自己心愛的QQ號，但是里面的好友和群全部被刪除操作失誤、意外疏漏想通過優(yōu)盤把連夜加班的資料拷貝到單位電腦上，可插入u盤后里面空空如也，一晚上的工作付之東流。

52*1.3網(wǎng)絡(luò)安全的層次結(jié)構(gòu)___安全控制網(wǎng)絡(luò)互聯(lián)設(shè)備網(wǎng)絡(luò)接口模塊操作系統(tǒng)通過網(wǎng)管軟件或路由器配置實(shí)現(xiàn)對其它機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制開機(jī)時(shí)要求鍵入口令53*§1.3

網(wǎng)絡(luò)安全的層次結(jié)構(gòu)——安全服務(wù)安全服務(wù)安全機(jī)制安全連接安全協(xié)議安全策略54*本章提要網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全的層次結(jié)構(gòu)安全評價(jià)標(biāo)準(zhǔn)研究網(wǎng)絡(luò)與信息安全的意義網(wǎng)絡(luò)信息安全管理55*§1.4.1

網(wǎng)絡(luò)安全的評價(jià)標(biāo)準(zhǔn)1985年，美國國防部發(fā)表了《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》，它依據(jù)處理的信息等級采取相應(yīng)的對策，劃分了四類七個(gè)安全等級。依照各類、級的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級。56*類別級別名稱主要特征DD最低安全保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2可控訪問（受控存儲(chǔ)）控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA可驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證C類稱為酌情保護(hù)，B類稱為強(qiáng)制保護(hù)，A類稱為核實(shí)保護(hù)。這個(gè)標(biāo)準(zhǔn)過分強(qiáng)調(diào)了保密性，而對系統(tǒng)的可用性和完整性重視不夠，因此實(shí)用性較低。§1.4.1

網(wǎng)絡(luò)安全的評價(jià)標(biāo)準(zhǔn)57*§1.4.2網(wǎng)絡(luò)安全服務(wù)OSI（OpenSystemsInterconnection）標(biāo)準(zhǔn)由ISO（InternationalStandardOrganization）與ITU（InternationalTelecommunicationUnion）聯(lián)合制定，將開放互聯(lián)網(wǎng)絡(luò)用7層描述，并通過相應(yīng)的7層協(xié)議實(shí)現(xiàn)系統(tǒng)間的相互連接OSI（開放系統(tǒng)互聯(lián)參考模型）58*OSI的安全體系結(jié)構(gòu)成果標(biāo)志是ISO發(fā)布了ISO7498-2標(biāo)準(zhǔn)，作為OSI基本參考模型的補(bǔ)充是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)ISO7498-2標(biāo)準(zhǔn)定義了5類安全服務(wù)、8種特定的安全機(jī)制、5種普遍性安全機(jī)制它確定了安全服務(wù)與安全機(jī)制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置確定了OSI安全體系的安全管理§1.4.2網(wǎng)絡(luò)安全服務(wù)59*ISO7498-2三維圖鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層加密數(shù)字簽名訪問控制數(shù)據(jù)完整性簽別交換業(yè)務(wù)流填充路由控制公證訪問控制不可否認(rèn)數(shù)據(jù)完整性數(shù)據(jù)保密身份認(rèn)證OSI參考模型安全機(jī)制安全服務(wù)§1.4.2網(wǎng)絡(luò)安全服務(wù)60*五類安全服務(wù)——身份認(rèn)證（鑒別）A與B通信，A是發(fā)起方對等實(shí)體鑒別鑒別B的身份的真實(shí)性A使用這種服務(wù)可以確信:一個(gè)實(shí)體此時(shí)沒有試圖冒充別的實(shí)體,或沒有試圖將先前的連接作非授權(quán)地重演。數(shù)據(jù)原發(fā)鑒別B鑒別A來源的身份的真實(shí)性對數(shù)據(jù)單元的來源提供確認(rèn)。這種服務(wù)對數(shù)據(jù)單元的重復(fù)或篡改不提供保護(hù)§1.4.2網(wǎng)絡(luò)安全服務(wù)61*五類安全服務(wù)——數(shù)據(jù)保密對數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露§1.4.2網(wǎng)絡(luò)安全服務(wù)62*保護(hù)信息不被未授權(quán)者非法纂改信息，如修改、復(fù)制、插入和刪除等五類安全服務(wù)——數(shù)據(jù)完整性§1.4.2網(wǎng)絡(luò)安全服務(wù)63*五類安全服務(wù)——不可否認(rèn)（抗抵賴）用于防止參與通信的實(shí)體在事后否認(rèn)曾參與全部或部分通信。防止消息或行動(dòng)源否認(rèn)曾發(fā)送消息或采取過的行動(dòng)；防止消息接收者否認(rèn)曾收到該消息無連接完整性§1.4.2網(wǎng)絡(luò)安全服務(wù)64*五類安全服務(wù)——訪問控制對系統(tǒng)的資源提供保護(hù)，防止未授權(quán)利用這種保護(hù)服務(wù)可應(yīng)用于對資源的各種不同類型的訪問讀、寫或刪除信息資源應(yīng)用于對一種資源的所有訪問……§1.4.2網(wǎng)絡(luò)安全服務(wù)65*WindowsXP文件訪問控制§1.4.2網(wǎng)絡(luò)安全服務(wù)66*§1.4.2網(wǎng)絡(luò)安全服務(wù)67*八大安全機(jī)制——加密使用加密算法對存放的數(shù)據(jù)進(jìn)行加密加密算法可逆加密算法：對稱加密；不對稱加密不可逆加密算法可以使用密鑰，也可以不使用§1.4.3特定安全機(jī)制68*八大安全機(jī)制——數(shù)字簽名機(jī)制采用非對稱密鑰體制，使用私鑰進(jìn)行數(shù)字簽名，使用公鑰對簽名信息進(jìn)行驗(yàn)證。兩個(gè)過程：一：對數(shù)據(jù)簽名使用簽名者所私有的信息即使用簽名者的私有信息作為私鑰,或?qū)?shù)據(jù)單元進(jìn)行加密,或產(chǎn)生出該數(shù)據(jù)單元的一個(gè)密碼校驗(yàn)值。二：驗(yàn)證簽過名的數(shù)據(jù)使用公開的規(guī)程與信息來決定該簽名是不是用簽名者的私有信息產(chǎn)生的。所用的規(guī)程與信息是公之于眾的,但不能夠從它們推斷出該簽名者的私有信息。本質(zhì)特征：該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而，當(dāng)該簽名得到驗(yàn)證后，它能在事后的任何時(shí)候向第三方（例如法官或仲裁人）證明只有那個(gè)私有信息的惟一擁有者才能產(chǎn)生這個(gè)簽名。數(shù)字簽名是解決網(wǎng)絡(luò)通信中特有的安全問題的有效方法。特別是針對通信雙方發(fā)生爭執(zhí)時(shí)可能產(chǎn)生的否認(rèn)、冒充、偽造、篡改；具有可證實(shí)性、不可否認(rèn)性、不可偽造性和不可重用性。§1.4.3特定安全機(jī)制69*八大安全機(jī)制——訪問控制機(jī)制根據(jù)訪問者的身份和其它信息，來決定和實(shí)施實(shí)體的訪問權(quán)限:已鑒別的身份有關(guān)該實(shí)體的信息使用該實(shí)體的權(quán)力訪問控制的功能:拒絕實(shí)體試圖使用非授權(quán)的資源,或者以不正當(dāng)方式使用授權(quán)資源?？赡墚a(chǎn)生一個(gè)報(bào)警信號或記錄進(jìn)行安全審計(jì)跟蹤?！?.4.3特定安全機(jī)制70*八大安全機(jī)制——數(shù)據(jù)完整性機(jī)制判斷信息在傳輸過程中是否被篡改、增加、刪除過，確保信息的完整。主要有兩種形式：數(shù)據(jù)單元完整性：發(fā)送實(shí)體給數(shù)據(jù)單元附加上一個(gè)量,這個(gè)量為該數(shù)據(jù)的函數(shù)，例如校驗(yàn)碼。接收實(shí)體產(chǎn)生一個(gè)相應(yīng)的量,并把它與接收到的那個(gè)量進(jìn)行比較以決定該數(shù)據(jù)是否在轉(zhuǎn)送中被篡改過。單靠這種機(jī)制不能防止單個(gè)數(shù)據(jù)單元的重演數(shù)據(jù)單元序列的完整性：要求數(shù)據(jù)編號的連續(xù)性和時(shí)間標(biāo)記的正確性，以防止假冒、丟失、重發(fā)、插入或修改數(shù)據(jù)§1.4.3特定安全機(jī)制71*八大安全機(jī)制——鑒別交換機(jī)制以交換信息的方式來確認(rèn)實(shí)體身份的機(jī)制，實(shí)現(xiàn)同級之間的身份認(rèn)證。用于交換鑒別的技術(shù)有：口令：由發(fā)方實(shí)體提供，收方實(shí)體檢測密碼技術(shù)：將交換的數(shù)據(jù)加密，只有合法用戶才能解密，得出有意義的明文。在許多情況下，這種技術(shù)與時(shí)間標(biāo)記和同步時(shí)鐘、雙方或三方“握手”、數(shù)字簽名和公證機(jī)構(gòu)一起使用。實(shí)體的特征或占有物：IC卡、指紋識別和身份卡等對等實(shí)體鑒別：如果在鑒別實(shí)體時(shí),這一機(jī)制得到