原信息安全课件

单击以编辑母版文本样式,第二级,第三级,*,*,第,9,章 信息安全与职业道德,单击以编辑母版标题样式,目录,上页,下页,结束,信息安全与职业道德,一、,信息安全概述,教学目的,了解信息安全的基本概念,掌握信息安全技术在网络,安全中的作用,掌握防范病毒及其他恶意,代码攻击的常规方法,了解与信息安全相关的法,律法规,二、,信息安全技术,三、,病毒及其防治,四、,职业道德及法规,五、习题与选作实验,2024/11/11,2,一、,信息安全概述,1.1,信息安全基本概念,1,信息安全,信息安全是向合法的服务对象提供准确、及时、可靠的信息服务，而对其他人员都要保持最大限度的信息不透明性、不可获取性、不可干扰性和不可破坏性，而且不论信息是在静止的存储状态，还是在动态的传输过程中。,2,网络安全问题综述,网络安全问题最终需要通过相关的法律法规、管理和技术三个层面的协调配合来解决。,2024/11/11,3,1.2,信息安全标准,信息安全标准,信息安全标准在对已存在的信息系统的评估中可以给出该系统的信息安全等级的评判，以使某个信息系统能够根据其自身的安全能力正确地定位其应用领域。对于将要研制的新的信息系统产品来说，信息安全标准可以用来定位系统的安全目标，从而制造出符合预期使用环境的、相应安全级别的产品。,2024/11/11,4,二、,信息安全技术,2.1,信息安全技术概述,信息安全技术是信息安全服务的核心，是实施信息安全措施的技术保障。信息安全技术主要可以分为两大类，一类是信息传递过程中的安全技术，另一类是对信息进行存储和访问时的安全技术。,信息在通信过程中的安全技术：,数据加密技术,鉴别技术：数字签名、报文摘要、身份认证、数字证书,访问存放在系统中信息的安全技术：,访问控制技术,防火墙技术,计算机病毒的防治,2024/11/11,5,信息传递过程中的安全问题,1,情景一：信息的保密,2,情景二：信息的完整性,3,情景三：通信双方的身份确认,2024/11/11,6,2.2,数据加密技术,1,加密技术概述,数据加密技术是一种对信息进行保密处理的技术，它防止非授权用户使用信息。它能起到数据保密、身份验证、保持数据的完整性和抗否认性等作用。,数据加密技术的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权用户不能了解被保护的信息内容。下面先介绍有关数据加密技术中涉及的常规术语。,明文：信息原文。,密文：对明文加密后产生的结果。,加密：将明文进行伪装的操作过程。,解密：将密文还原成明文的操作过程。,密码算法：加密或解密时使用的信息变换规则（如数学公式、法则或程序）。,密钥：密码算法中的可变参数。,密码体制：一个加密系统采用的基本工作方式，密码体制的基本要素是密码算法和密钥。,2024/11/11,7,2.2,数据加密技术,2,对称密码体制和公开密码体制,密码体制分为两种类型，一种是对称密码体制，另一种是非对称密码体制。如果密码算法所使用的加密密钥和解密密钥相同，则称该密码体制为对称密码体制；如果密码算法所使用加密密钥和解密密钥不相同，则称该密码体制为非对称密码体制。非对称密码体制也称为公开密钥体制。,在非对称密码体制中，每个用户都有一对密钥：一个密钥向其他用户公开，称为公钥；另一个密钥为用户自己私有，称为私钥。当发信人使用接收者的公开密钥加密信息并传送时，该信息只能够由接收者用自己的私钥进行解密，从而有效地保证了信息的保密性和完整性；当发信人用自己的密钥进行信息加密并发送时，接收者如果可以用发信人的公钥解密该信息，则表明该信息一定是发信人所发，并且中途没有被修改过。这样就保证了信息的完整性和抗否认性。这种公开密钥体制的特点是适用于开放的使用环境，密钥管理相对简单，但工作效率一般低于对称密码体制。,2024/11/11,8,2.3,鉴别技术,在网络通信过程中，信息的真伪鉴别，通信对方的真实身份鉴别是保证通信过程中信息安全的关键。通常这方面的安全是通过数字签名、报文摘要、身份认证和数字证书等技术来具体实现的，这些技术统称其为鉴别技术。,数字签名,报文摘要,身份认证,数字证书,2024/11/11,9,1,数字签名,数字签名是一种用于信息加密的技术。该技术是对需要保密的全部信息进行加密，采用公开密钥技术来实现。它的主要作用就是鉴别信息的保密性、完整性以及用来确认信息真实来源。如图所示，小美用自己的私钥将发给小强的信息加密，称这个加密后的密文信息就是带有小美的数字签名的信息。,2024/11/11,10,2,报文摘要,通过报文摘要（,Message Digest,）技术，可以在不对全部信息进行加密的情况下满足这样的需求。报文摘要采用了一种多对一的散列函数来实现，如图所示。所谓散列函数又称哈希函数，是用于将输入信息和输出信息进行有效对应的函数关系。该函数以要发送的信息为输入，函数输出值是一个固定长度的信息，这个固定长度的输出信息称为报文摘要。若输入的信息被改变了，则输出的定长值（摘要）也会相应改变。,2024/11/11,11,报文摘要与数字签名的结合,通常报文摘要会与数字签名结合起来使用。这种用法类似于人们日常生活中用笔签名所起到的作用。由于报文摘要的长度有限，因此用于加密、解密的计算开销是可以接受的。如果对所传输的信息没有保密性的要求，就可以将信息明文和带有数字签名的报文摘要一起发给接收者，这样就可以保证数据的完整性和不可否认性。,发送带数字签名的报文,接收带数字签名的报文,2024/11/11,12,3,身份认证,在网络通信过程中，通信双方的身份确认是网络安全通信的前提。身份认证在网络通信中用于有效地确认对方的真实身份。,对称加密技术可以进行身份认证，但是通信双方在通信之前要共同协商一个共有的密钥。这个协商过程是对称加密体制的薄弱环节。,仅仅采用公开密钥体制进行身份认证是不可靠的。,解决问题的方法就是通过可信的第三方中介。,对称密码体制：通过可信中介,-,密钥分发中心（,KDC,）获取会话密钥,2024/11/11,13,4,数字证书,与对称密钥体制的情况类似，直接利用公开密钥体制来进行身份认证，也无法确定公钥拥有者的真实身份。同样也需要引入可信的第三方机构，才能有效地通过公开密钥体制实现身份认证。,认证中心,CA,（,Certification Authority,）的作用就是将公钥与特定的实体进行绑定。下图给出了数字证书的获取过程。小强将自己的识别信息和自己的公钥一起发给,CA,，,CA,对小强的信息进行验证，并确定其身份。如果通过验证，则给小强颁发带有,CA,数字签名的数字证书。,小强从具有公信力的认证中心获取数字证书,数字证书样例,2024/11/11,14,2.4,访问控制技术,网络系统也需要根据系统维护、信息保密以及信息的有偿服务等方面的因素合理地限制用户的访问权限。访问控制的主要任务是保证网络资源不被非法和越权访问。,访问控制服务一般模型,2024/11/11,15,2.5,防火墙技术,防火墙是一种系统保护措施，它能够防止外部网络的不安全因素的涌入。通常防火墙既可以作为一个独立的主机设备来设置，也可以是运行于网关、代理服务器之类的边界设备上的软件。防火墙还可以作为个人计算机的一个应用程序，来控制出入计算机的信息。,防火墙的基本功能体现在“包过滤”和“代理功能”两个方面。,（,1,）包过滤,包过滤是防火墙所要实现的最根本的,功能。包是网络层中传输的数据单元，,包过滤也就是在网络层中对所传递的数据,进行有选择的放行。,（,2,）代理功能,“代理”在这里是指用于替代用户实施,网络访问的某个计算机或程序。,2024/11/11,16,天网防火墙,天网防火墙界面,IP,规则设置界面,过滤规则设置,应用程序网络访问权限设置,2024/11/11,17,2.6,信息安全解决方案,1.,网络协议的安全,（,1,）网络层安全协议,IPSec,协议簇,为了克服,IP,协议设计中存在的安全缺陷，,IETF,的,IP,安全协议工作组（,IPSec,）研究制定了一系列基于加密技术的,IP,协议安全机制和标准，以保护使用,IP,协议的各个高层协议，如,TCP,、,UDP,协议等。这些机制包括鉴别、完整性、访问控制、保密以及它们的组合。,（,2,）传输层安全协议,SSL,协议,SSL,协议是在,Internet,基础上提供的一种保证机密性的安全协议。它能使客户,/,服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可以选择对客户进行认证。,（,3,）应用层协议的安全,如果确实想要区分一个个具体文件的不同的安全性要求，那就必须借助于应用层的安全性。,2024/11/11,18,2.,操作系统的安全,操作系统的安全机制主要体现在身份认证和访问控制两个方面。,身份认证是要保护合法的用户使用系统，防止非法侵入。,访问控制则是要保证有约束的访问和使用系统资源。,下面以,WindowsNT/2000,的安全模型 为例进行说明：,2.6,信息安全解决方案,Windows2000,登录过程,Windows2000,访问控制,2024/11/11,19,3.,个人网络信息安全策略,（,1,）操作系统的安全设置,作为操作系统安全的第一关就是做好对用户的管理。,要及时安装操作系统的补丁。,尽量关闭不需要的组件和服务程序。,（,2,）控制出入网络的数据,为了保护网络的信息安全，目前国内许多,ISP,提供了防火墙功能，一些调制解调器生产厂家也提供了自己的防火墙软件。但是这些功能在设备的默认设置下可能被禁用，因此有必要自己通过重新更改设置来启动它们，达到对自己电脑的保护目的。由于,ISP,或,MODEM,关于防火墙或软件的使用方法各有不同，使用该功能时需按,ISP,的通知或调制解调器的说明书进行设置。另外，也可以选择安装个人版的防火墙软件，如：天网防火墙，并通过它设置相应的包过滤规则以及关闭一些不必要的端口。,（,3,）查杀计算机病毒,安装防病毒软件，更新病毒信息，升级防病毒功能，全面查杀病毒。,2.6,信息安全解决方案,2024/11/11,20,3.1,计算机病毒,早在,1949,年，计算机科学的先驱冯,诺依曼在他的一篇论文,复杂自动机组织论,中提出了计算机程序能够在内存中自我复制的概念。,10,年后，在美国电话电报公司（,AT&T,）的贝尔实验室中，三个年轻的程序员道格拉斯,麦耀莱、维特,维索斯基和罗伯特,莫里斯在工作之余想出一种叫“磁心大战”的电子游戏。,1983,年,11,月,3,日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年后计算机病毒迅速蔓延。,三、,计算机病毒及其防治,2024/11/11,21,第一代病毒可以认为在,1986,1989,年之间出现。这一期间出现的病毒称为传统病毒，是计算机病毒的萌芽和滋生期。由于当时计算机的应用软件少，并且大都是单机运行环境，因此病毒没有大量流行，病毒的种类也很有限，病毒的清除工作相对来说比较容易。,第二代病毒又称为“混合型病毒”，其产生的年限可以认为在,1989,1991,年之间，是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。计算机局域网开始应用并普及，许多单机软件开始转向网络环境，应用软件更加丰富。由于网络系统尚未有安全防护意识，给计算机病毒带来了第一次流行高峰。,第三代病毒可以认为在,1992,1995,年之间出现，常称为“多态性”病毒或“自我变形”病毒。这种病毒每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。,第四代病毒出现于,20,世纪,90,年代中后期，随着远程网、远程访问服务的开通，病毒的流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。随着,Internet,的大量普及，,E-mail,的使用，夹杂于电子邮件内的,Word,宏病毒、网页脚本病毒、木马病毒等已经成为计算机病毒新的流行趋势。,1,计算机病毒的演变,2024/11/11,22,对计算机病毒的分类方法很多，有按照计算机病毒攻击的系统类型分类的，