《信息安全技术》PPT课件.ppt

第 12章 信息安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 2 content 12.1 信息安全 信息 是知识的来源，可以被感知、识别、存储、复制和处 理。随着现代社会中信息化程度的不断提高，信息已经成为一 种重要的社会资源 信息资源。信息资源在政治、经济、科 技、生活等各个领域中都占有举足轻重的地位。这里的信息是 指具有价值的一种资产，包括知识、数据、专利和消息等。 信息技术 是指获取、存储、处理、传输信息的手段和方法。 现代社会中，信息的存储、处理等工作往往借助于工具来完成， 如计算机。而信息的传递要依赖于通信技术。因此，计算机技 术和通信技术相结合是信息技术的特点。 信息与信息技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 3 content 12.1 信息安全 信息系统包括 信息处理系统、信息传输系统和信息存储系 统 等，因此信息系统的安全要综合考虑这些系统的安全性。 计算机系统作为一种主要的信息处理系统，其安全性直接 影响到整个信息系统的安全。计算机系统是由 软件、硬件及数 据资源 等组成的。 计算机系统安全 就是指保护计算机软件、硬 件和数据资源不被更改、破坏及泄露，包括物理安全和逻辑安 全。物理安全就是保障计算机系统的硬件安全，具体包括计算 机设备、网络设备、存储设备等的安全保护和管理。逻辑安全 涉及信息的完整性、机密性和可用性。 信息安全 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 4 content 12.1 信息安全 目前，数据库面临的安全威胁主要有：数据库文件安全、 未授权用户窃取、修改数据库内容、授权用户的误操作等。数 据库的完整性包括 3个方面： 数据项完整性、结构完整性及 语义完整性 。数据项完整性与系统的安全是密切相关的，保证 数据项的完整性主要是通过防止非法对数据库进行插入、删除、 修改等操作，还要防止意外事故对数据库的影响。结构完整性 就是保持数据库属性之间的依赖关系，可以通过关系完整性规 则进行约束。语义完整性就是保证数据语义上的正确性，可以 通过域完整性规则进行约束。 信息安全 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 5 content 12.2 计算机网络安全 为了实现各种网络功能，互联网中采用了互联能力强、支 持多种协议的 TCP/IP协议。由于在设计 TCP/IP协议时只考虑到 如何实现各种网络功能而没有考虑到安全问题，因此，在开放 的互联网中存在许多安全隐患。 首先是网络中的各种数据，包括用户名、密码等重要信息 都是采用明文的形式传输，因此，很难保证数据在传输时不被 泄露和篡改。其次，网络节点是采用很容易修改的 IP地址作为 惟一标识，很容易受到地址欺骗等攻击。此外， TCP序列号的可 预测性、 ICMP(Internet Control Messages Protocol，互联网 网络安全问题 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 6 content 12.2 计算机网络安全 控制消息协议 )的重定向漏洞等特性都使得现有网络协议在使 用时存在很多安全问题。 网络中协议的不安全性为网络攻击者提供了方便。黑客 攻击往往是利用系统的安全缺陷或安全漏洞进行的。网络黑 客往往通过端口扫描、网络窃听、拒绝服务、 TCP/IP劫持等 方法进行攻击。 网络安全问题 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 7 content 12.2 计算机网络安全 网络安全的主要目标是保证网络中信息的机密性、可用 性、完整性、可控性及可审查性。 机密性是指信息不会泄露给未授权的用户，确保信息只 被授权用户存取。 可用性是指系统中的各种资源对授权用户必须是可用的。 完整性是指信息在存储、传输的过程中不会被未授权的用户 破坏、篡改。 可控性是指对信息的访问及传播具有控制能力，对授权 范围内的信息流向可以控制，必须对检测到的入侵现象保存 足够的信息并做出有效的反应，来避免系统受 到更大的 损失。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 8 content 12.2 计算机网络安全 可审查性是指提供记录网络安全问题的信息。 网络中信息安全面临的威胁来自很多方面：既包括自然威胁， 也包括通信传输威胁、存储攻击威胁以及计算机系统软、硬 件缺陷而带来的威胁等。 1加密技术 加密技术是信息安全的核心技术，可以有效地提高数据存 储、传输、处理过程中的安全性。 2认证 认证是系统的用户在进入系统或访问不同保护级别的系 统资源时，系统确认该用户是否真实、合法和惟一的手段。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 9 content 12.2 计算机网络安全 认证技术是信息安全的重要组成部分，是对访问系统的用户 进行访问控制的前提。目前，被应用在认证的技术主要有： 用户名 /口令技术、令牌、生物信息等。 3访问控制 访问控制是对进入系统进行的控制，其作用是对需要访 问系统及数据的用户进行识别，并对系统中发生的操作根据 一定的安全策略来进行限制。访问控制是信息系统安全的重 要组成部分，是实现数据机密性和完整性机制的主要手段。 访问控制系统一般包括主体、客体及安全访问策略。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 10 content 12.2 计算机网络安全 传统的访问控制机制有：自主访问控制 (DAC， Discretionary Access Control)和强制访问控制 (MAC， Mandatory Access Control)两种 。 4入侵检测 任何企图危害系统及资源的活动称为入侵。由于认证、 访问控制等机制不能完全地杜绝入侵行为，在黑客成功地突 破了前面几道安全屏障后，必须有一种技术能尽可能及时地 发现入侵行为，它就是入侵检测 (Intrusion Detection)。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 11 content 12.2 计算机网络安全 5安全审计 信息系统安全审计主要是指对与安全有关的活动及相关 信息进行识别、记录、存储和分析；审计的记录用于检查网 络上发生了哪些与安全有关的活动，谁 (哪个用户 )对这个活 动负责。其主要功能包括：安全审计自动响应、安全审计数 据生成、安全审计分析、安全审计浏览、安全审计事件存储 和安全审计事件选择等。 安全审计能够记录系统运行过程中的各类事件、帮助发 现非法行为并保留证据。审计策略的制定对系统的安全性具 有重要影响。安全审计系统是一个完整的安全体系结构中必 不可少的环节，是保证系统安全的最后一道屏障。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 12 content 12.2 计算机网络安全 6数字签名 签名的目的是标识签名人及其本人对文件内容的认可。 在电子商务及电子政务等活动中普遍采用的电子签名技术是 数字签名技术。因此，目前电子签名中提到的签名，一般指 的就是数字签名。数字签名是如何实现的呢 ?简单地说，就是 通过某种密码运算生成一系列符号及代码来代替书写或印章 进行签名。通过数字签名可以验证传输的文档是否被篡改， 能保证文档的完整性、真实性。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 13 content 12.2 计算机网络安全 7数字证书 数字证书的作用类似于日常生活中的身份证，是用于 证明网络中合法身份的。数字证书是证书授权 (Certificate Authority)中心发行的，在网上可以用对方的数字证书识别 其身份。数字证书是一个经证书授权中心数字签名的、包含 公开密钥拥有者信息及公开密钥的文件。最简单的数字证书 包含一个公开密钥、名称以及证书授权中心的数字签名。 网络安全技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 14 content 12.2 计算机网络安全 1技术保护手段 网络信息系统遭到攻击和侵入，与其自身的安全技术不 过关有很大的关系。特别是我国网络安全信息系统建设还处 在初级阶段，安全系统有其自身的不完备性及脆弱性，给不 法分子造成可乘之机。网络信息系统的设立以高科技为媒介， 这使得信息环境的治理工作面临着更加严峻的挑战，只有采 取比网络入侵者更加先进的技术手段，才能清除这些同样是 高科技的产物。每个时代，高科技总有正义和邪恶的两面， 二者之间的斗争永远不会结束。 网络安全网络安的保护手段 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 15 content 12.2 计算机网络安全 2法律保护手段 为了用政策法律手段规范信息行为，打击信息侵权和信 息犯罪，维护网络安全，各国已纷纷制定了法律政策。 我国于 1997年 3月通过的新刑法首次规定了计算机犯罪。同年 5月，国务院公布了经过修订的 中华人民共和国计算机信息 网络国际管理暂行规定 。这些法律法规的出台，为打击计 算机犯罪提供了法律依据。 网络安全网络安的保护手段 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 16 content 12.2 计算机网络安全 3管理保护手段 从管理措施上下工夫确保网络安全也显得格外重要。在 这一点上，主要指加强计算机及系统本身的安全管理，如机 房、终端、网络控制室等重要场所的安全保卫，对重要区域 或高度机密的部门应引进电子门锁、自动监视系统、自动报 警系统等设备。对工作人员进行识别验证，保证只有授权的 人员才能访问计算机系统和数据。常用的方法是设臵口令和 密码。系统操作人员、管理人员、稽查人员分别设臵，相互 制约，避免身兼数职的管理人员权限过大。 网络安全网络安的保护手段 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 17 content 12.2 计算机网络安全 4伦理道德保护手段 5四种保护手段分析 技术、法律、管理三种保护手段分别通过技术超越、政 策法规、管理机制对网络安全进行保护，具有强制性，可称 之为硬保护。伦理道德保护手段则通过信息人的内心准则对 网络安全进行保护，具有自觉性，称之为软保护。硬保护以 强硬的技术、法律制裁和行政管理措施为后盾，对网络安全 起到最有效的保护，其保护作用居主导地位；软保护则是以 信息人的内心信念、传统习惯与社会舆论来维系，是一种发 自内心深处的自觉保护，不是一种制度化的外在调节机制， 其保护作用范围广、层次深，是对网络安全的最根本保护。 网络安全网络安的保护手段 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 18 content 12.2 计算机网络安全 1认证机制 Windows中的认证机制有两种：产生一个本地会话的交互 式认证和产生一个网络会话的非交互式认证。 进行交互式认证时，登录处理程序 winlogon调用 GINA模 块负责获取用户名、口令等信息并提交给本地安全授权机构 (LSA)处理。 进行非交互式认证时，服务器和客户端的数据交换要使用通 信协议。 2安全审核机制 安全审核机制将某些类型的安全事件 (如登录事件等 )记 Windows的安全机制 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 19 content 12.2 计算机网络安全 录到计算机上的安全日志中，从而帮助发现和跟踪可疑事件。 3内存保护机制 内存保护机制监控已安装的程序，帮助确定这些程序是 否正在安全地使用系统内存。这一机制是通过硬件和软件实 施的 DEP(Data Execution Prevention，数据执行保护 )技术 实现的。 4访问控制机制 Windows的访问控制功能可用于对特定用户、计算机或用 户组的访问权限进行限制。 Windows的安全机制 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 20 content 12.3 计算机病毒及防范 从广义上定义，凡能够引起计算机故障、破坏计算机数 据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹、 蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算 机病毒也做过不尽相同的定义，但一直没有公认的明确定义。 直至 1994年 2月 18日，我国正式颁布实施了 中华人民共和国 计算机信息系统安全保护条例 ，在 条例 第二十八条中 明确指出： “ 计算机病毒，是指编制或者在计算机程序中插 入的破坏计算机功能或者毁坏数据，影响计算机使用，并能 自我复制的一组计算机指令或者程序代码。 ” 此定义具有法 律性和权威性。 计算机病毒的概念 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 21 content 12.3 计算机病毒及防范 计算机病毒的发展经历了 DOS引导阶段、 DOS可执行阶段、 伴随和批次型阶段、幽灵和多形阶段、生成器和变体机阶段、 网络和蠕虫阶段、视窗阶段、宏病毒阶段、互联网阶段、 Java和邮件炸弹阶段等。 病毒的产生其过程可分为：程序设计传播潜伏触发运行 实行攻击。究其产生的原因不外乎以下几种： 1开个玩笑或恶作剧 2产生于个别人的报复心理 3用于版权保护 计算机病毒的产生 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 22 content 12.3 计算机病毒及防范 1传染性 2隐蔽性 3触发性 4潜伏性 5破坏性 计算机病毒的特性 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 23 content 12.3 计算机病毒及防范 计算机病毒分类方法很多，通常使用以下两种分类方法： 1按造成危害的程度分类 ： 无害型：除了感染后减少磁盘的可用空间外，对系统 没有其他影响。 无危险型：这类病毒仅仅是减少内存、显示图像、发 出声音及同类音响。 危险型：这类病毒在发作时计算机系统中造成严重的 错误。 非常危险型：这类病毒删除程序、破坏数据、对硬盘 格式化甚至毁坏机器。 计算机病毒的分类 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 24 content 12.3 计算机病毒及防范 2按病毒的感染方式和病毒算法分类： 引导型病毒：主要是感染软盘、硬盘的引导扇区或主 引导扇区，在用户对软盘、硬盘进行读写动作时进行感染活动。 可执行文件病毒：它主要是感染可执行文件。被感染 的可执行文件在执行的同时，病毒被加载并向其他正常的可执 行文件传染。像特洛伊木马、 CIH等病毒都属此列。 混合型病毒：以上两种病毒的混合。 宏病毒 (Macro Virus)：是利用高级语言 宏语言编 制的病毒，与前两种病毒存在很大的区别。宏病毒充分利用宏 命令强大的系统调用功能，实现某些涉及系统底层操作的破坏。 计算机病毒的分类 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 25 content 12.3 计算机病毒及防范 Internet语言病毒：随着 Internet的发展，某些不良 用心之徒于是利用 Java、 VB和 ActiveX的特性来撰写病毒。这 些病毒会通过带毒网页在世界范围内迅速传播。 3按连接方式 分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型 病毒等。 计算机病毒的分类 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 26 content 12.3 计算机病毒及防范 从目前发现的病毒来看，计算机病毒的主要症状有： 电脑动作比平常迟钝，程序载入时间比平常长。 硬盘的指示灯无缘无故地亮了。 系统存储容量忽然大量减少。 磁盘可利用的空间突然减少。 可执行文件的长度增加了。 坏磁道增加。 死机现象增多或系统异常动作。 文档奇怪地消失，文档内容被加一些奇怪的资料，文 档名称、扩展名、日期或属性被更改过。 病毒发作症状 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 27 content 12.3 计算机病毒及防范 病毒在计算机之间传播的途径主要有两种：一种是通过存 储媒体载入计算机，比如硬盘、软盘、盗版光盘、网络等；另 一种是在网络通信过程中，通过不同计算机之间的信息交换， 造成病毒传播。 建议用户采取以下措施清除： 要重点保护好系统盘，不要写入用户的文件。 尽量不使用外来软盘，必须使用时要进行病毒检测 安装对病毒进行实时检测的软件，发现病毒及时报告， 以便用户做出正确的处理。 病毒的防御和清除 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 28 content 12.3 计算机病毒及防范 使用网络下载的软件，应先确认其不带病毒，可用防 病毒软件检查。 对重要的软件和数据定时备份，以便在发生病毒感染 而遭破坏时，可以恢复系统。 定期对计算机进行检测，及时清除 (杀掉 )隐蔽的病毒。 病毒的防御和清除 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 29 content 12.3 计算机病毒及防范 下面介绍目前较为流行的 宏病毒、木马病毒和蠕虫病毒 。 宏病毒是寄存在 Microsoft Office文档或模板的宏中的病 毒。在打开感染了宏病毒的文档时，宏病毒程序被激活并传播 到计算机上。 木马病毒其实是一个后门程序，往往隐藏在软件、程序中， 如免费下载的软件、电子邮件附件中的更新程序等。 蠕虫病毒是危害网络安全的一种恶性病毒，常见的有：红 色代码、冲击波、震荡波等。蠕虫病毒是通过扫描网络中计算 机漏洞，并感染存在该漏洞的计算机来传播的。 几种常见的病毒 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 30 content 12.3 计算机病毒及防范 从总体上看，计算机病毒呈现如下几个特点。 1计算机病毒的数量急剧增加 2计算机病毒的传播途径更多、速度更快 早期的计算机病毒主要通过软盘和硬盘传播，因而传播速 度较慢。随着计算机技术的发展，计算机病毒的传播增加了光 盘、网络、 Internet、电子邮件等途径，传播速度也快得多。 3计算机病毒更有针对性 从新病毒的研究中可以发现，越来越多的病毒针对的是近 年内特别是一年内发现的安全漏洞。 计算机病毒的现状 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 31 content 12.3 计算机病毒及防范 计算机病毒就是人为编写的一段程序代码或是指令集合， 必须存在于一定的存储介质上。 计算机病毒为了更好地潜伏下去，往往附着在其他程序或 文件之中。被附着的其他程序或文件如引导程序、可执行文件、 文本文件及数据文件等。然而，计算机病毒感染其他程序或文 件并不是天衣无缝的，而是要通过修改或者替代原程序或文件 的一部分代码才能够隐藏下来。因此，检查是否被病毒感染就 是检查有没有被病毒更改过的痕迹。 计算机病毒的原理 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 32 content 12.4 网络黑客及防范 1什么是网络黑客 黑客（ hacker）是指采用各种手段获得进入计算机的口令， 闯入系统后为所欲为的人，他们会频繁光顾各种计算机系统， 截取数据、窃取情报、篡改文件，甚至扰乱和破坏系统。黑客 程序是指一类专门用于通过网络对远程的计算机设备进行攻击， 进而控制、盗取、破坏信息的软件程序，它不是病毒，但可任 意传播病毒。 2网络黑客攻击方法 下面我们就来研究一下那些黑客是如何找到你计算机中的 安全漏洞的： 网络黑客攻击方法 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 33 content 12.4 网络黑客及防范 (1) 获取口令 (2) 放臵特洛伊木马程序 (3) WWW的欺骗技术 (4) 电子邮件攻击 (5) 通过一个节点来攻击其他节点 (6) 网络监听 (7) 寻找系统漏洞 (8) 利用账号进行攻击 (9) 偷取特权 网络黑客攻击方法 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 34 content 12.4 网络黑客及防范 3防范措施 (1) 经常做 telnet、 ftp等需要传送口令的重要机密信息应 用的主机应该单独设立一个网段，以避免某一台个人机被攻破， 被攻击者装上 sniffer，造成整个网段通信全部暴露。有条件的 情况下，重要主机装在交换机上，这样可以避免 sniffer偷听密 码。 (2) 专用主机只开专用功能，如运行网管、数据库重要进 程的主机上不应该运行如 sendmail这种 bug比较多的程序。 (3) 对用户开放的各个主机的日志文件全部定向到一个 syslogdserver上，集中管理。 网络黑客攻击方法 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 35 content 12.4 网络黑客及防范 (4) 网管不得访问 Internet。并建议设立专门机器使用 ftp或 www下载工具和资料。 (5) 提供电子邮件、 www、 DNS的主机不安装任何开发工具， 避免攻击者编译攻击程序。 (6) 网络配臵原则是 “ 用户权限最小化 ” ，例如关闭不必 要或者不了解的网络服务，不用电子邮件寄送密码。 (7) 下载安装最新的操作系统及其它应用软件的安全和升 级补丁，安装几种必要的安全加强工具，限制对主机的访问， 加强日志记录，对系统进行完整性检查，定期检查用户的脆弱 口令，并通知用户尽快修改。 网络黑客攻击方法 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 36 content 12.4 网络黑客及防范 (8) 定期检查系统日志文件，在备份设备上及时备份。制 定完整的系统备份计划，并严格实施。 (9) 定期检查关键配臵文件（最长不超过一个月）。 (10) 制定详尽的入侵应急措施以及汇报制度。发 网络黑客攻击方法 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 37 content 12.4 网络黑客及防范 黑客的攻击往往是利用了系统的安全漏洞或是通信协议的 安全漏洞才得以实施的。因此，对黑客的防范要从这两个方面 着手。 各种系统都会有安全漏洞，有些是由于编程人员的水平和 经验有限而导致的系统漏洞，有些则是编程过程中故意遗留的 漏洞。目前被广泛使用的 Windows操作系统就不断被发现各种 漏洞。面对不断被发现的各种漏洞，应该及时了解最新漏洞信 息并定期给系统打补丁。此外，还应该及时更新防病毒软件、 定期更改密码并提高密码的复杂程度、安装防火墙来保证系统 安全、对于不使用的端口应该及时关闭。 黑客的防范 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 38 content 12.4 网络黑客及防范 通信协议的安全漏洞也是被黑客利用来进行攻击的薄弱环 节。 从理论上讲，要完全防范黑客是不可能的。我们所能做到 的是建立完善的安全体系结构：采用认证、访问控制、入侵检 测及安全审计等多种安全技术来尽可能地防范黑客的攻击。 黑客的防范 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 39 content 12.5 防火墙技术 防火墙是当前应用比较广泛的用于保护内部网络安全的技 术，是实现网络安全的基础性设施。通过在内部网络与外部网 络之间建立的安全控制点来实现对数据流的审计和控制。防火 墙在网络中的主要作用包括：过滤网络请求服务、隔离内网与 外网的直接通信、拒绝非法访问等。 当内部网络需要与外部如 Internet连接时，通常会在它们 之间设臵防火墙，如图 12.1所示。 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 40 content 12.5 防火墙技术 图 12.1 防火墙结构 在图 12.1中，防火墙负责内部网络与外部网络的信息交换 安全。 从软、硬件形式上可以将防火墙分为：软件防火墙、硬件 防火墙和芯片级防火墙。 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 41 content 12.5 防火墙技术 1包过滤技术 在网络上传输的信息包由两部分组成：数据部分和信息头。 包过滤技术通过检测信息头来检测和限制进出网络的数据，是 较早应用到防火墙中的技术。 包过滤技术中要维护一个访问控制列表 ACL(Access Control List)，不满足 ACL的数据将被删除，满足 ACL的数据 才能被转发。 2网络地址转换技术 在内部网络中，主机的 IP地址只能在内部网络使用，不能 传统防火墙技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 42 content 12.5 防火墙技术 在互联网上使用。在数据包发送到外部网络之前，利用网络地 址转换技术可以将数据包的源地址转换为全球惟一的 IP地址。 3代理技术 代理服务器工作在应用层，通常针对特定的应用层协议， 并能在用户层和应用协议层提供访问控制。代理服务器提供过 滤危险内容、隐藏内部主机、阻断不安全的 URL(Uniform Resource Locator，统一资源定位符 )、单点访问、日志记录 等功能。 传统防火墙技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 43 content 12.5 防火墙技术 按照体系结构的不同，可以将防火墙分为：双重宿主主机 防火墙、屏蔽主机防火墙和屏蔽子网防火墙。 1双重宿主主机防火墙 双重宿主主机防火墙结构中，在内部网络和外部网络之间 设臵了一台具有两块以上网络适配器的主机来完成内部网络和 外部网络之间的数据交换，内部网络和外部网络之间的直接通 信被禁止，而只能通过双重宿主主机来进行间接的通信。双重 宿主主机防火墙是由没有安全冗余机制的单机组成，是不完善 的，但目前在 Internet中仍有应用。 防火墙的体系结构 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 44 content 12.5 防火墙技术 2屏蔽主机防火墙 屏蔽主机防火墙综合了包过滤技术、代理技术和网络地址 转换技术。 3屏蔽子网防火墙 屏蔽子网防火墙结构中，通常由双宿主机和内部、外部屏 蔽路由器等安全设备集成在一起构成防火墙。此结构中，将堡 垒主机和其他服务器定义为 DMZ(Demilitarized Zone)，即非 军事区。 防火墙的体系结构 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 45 content 12.5 防火墙技术 在具体应用防火墙技术时，还要考虑到两个方面： (1) 防火墙是不能防病毒的，尽管有不少的防火墙产品声 称其具有这个功能。 (2) 防火墙技术的另外一个弱点在于数据在防火墙之间的 更新是一个难题，如果延迟太大将无法支持实时服务请求。并 且，防火墙采用滤波技术，滤波通常使网络的性能降低 50%以 上，如果为了改善网络性能而购臵高速路由器，又会大大提高 经济预算。 总之，防火墙是企业网安全问题的流行方案，即把公共数 据和服务臵于防火墙外，使其对防火墙内部资源的访问受到限 制。 使用防火墙 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 46 content 12.6 数据加密技术 数据加密的术语有： 明文 ：即原始的或未加密的数据。通过加密算法对其进行 加密，加密算法的输入信息为明文和密钥； 密文 ：明文加密后的格式，是加密算法的输出信息。加密 算法是公开的，而密钥则是不公开的。密文，不应为无密钥的 用户理解，用于数据的存储以及传输。 在加密 /解密过程中采用的变换函数即为加密算法。密钥 作为加密算法的输入参数而参与加密的过程。根据加密和解密 使用的密钥是否相同，可以将加密技术分为对称加密技术和非 对称加密技术。 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 47 content 12.6 数据加密技术 对称加密技术中，加密和解密使用相同的密钥 (KC=KM)， 或是通过加密密钥可以很容易地推导出解密密钥 (函数 KM=h(KC) 是多项式可计算的 )。 按照加密时选取信息方式的不同，可将对称密码算法分为 分组密码算法和序列密码算法。 1分组密码算法 DES是由美国国家标准局公布的第一个分组密码算法，随 后 DES的应用范围迅速扩大至全世界。 DES密码体制在加密时， 先将明文信息的二进制代码分成等长分组 (64bit)，然后分别 对称加密技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 48 content 12.6 数据加密技术 对每一分组进行加密后组合生成密文。解密时，使用的密钥是 加密密钥的逆序排列。 DES密码体制的加密模块和解密模块除 了密钥顺序不一样之外，其他几乎一样，所以比较适合硬件实 现。 2序列密码算法 序列密码对明文的每一位用密钥流进行加密。采用分组密 码加密时，相同的明文加密后生成的密文相同。而采用序列密 码时，即使相同的明文也不会生成相同的密文，因此很难破解。 对称加密技术 计算机的起源与发展 共 29 页 第 页 2021/1/24 佳木斯大学 49 content 12.6 数据加密技术 在非对称加密技术中 ， 采用了一对密钥： 公开密钥 (公钥 ) 和 私有密钥 (私钥 )。 其中私有密钥由密钥所有人保存 ， 公开密 钥是公开的 。 如果在发送信息时 ， 采用接收方公钥加密 ， 则密 文只有接收方的私钥才能解密还原成明文 ， 这就确保了传输的 密文只有接受方才能解密 。 如果在发送信息时 ， 采用发送方私 钥加密 ， 则密文使用对应的公钥可以解密还原成明文 ， 这就确 定了发送信息者的身份 。 这种机制通常用来提供不可否认性和 数据完整性的服务 。 非对称加密算法主要有 Diffie-Hellman、 RSA、 ECC等 。 非对称加密技术 谢 谢 !