,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络信息安全,网络信息安全,1,计算机病毒（Computer Virus）,定义：,中华人民共和国计算机信息系统安全保护条例中被明确指出：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,形成：,病毒是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。,产生的原因：,恶作剧；报复心理；版权保护；特殊目的,计算机病毒（Computer Virus）定义：中华人民,2,计算机病毒的特征,破坏性,传染性 隐蔽性,寄生性 触发性,计算机病毒的特征,3,Windows95/98时代大名鼎鼎的CIH病毒,CIH作者陈盈豪,Windows95/98时代大名鼎鼎的CIH病毒CIH作者陈,4,Windows NT时代的白雪公主病毒,巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！,Windows NT时代的白雪公主病毒巨大的黑白螺旋占据了,5,席卷全球的NIMDA病毒,席卷全球的NIMDA病毒,6,人类为防治病毒所做出的努力及结论,网络安全,网络版,单机版,防病毒卡,结论：人类将与病毒长期共存。,人类为防治病毒所做出的努力及结论,7,特洛伊木马,特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。,特洛伊木马特洛伊木马是一个包含在一个合法程序中的非法的程序。,8,一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。,目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，如邮件、下载等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这是个木马执行文件是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。,一般的木马执行文件非常小，大都是几K到几十K，如果把木马捆绑到其它正常文件上，你很难发现的，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，在你执行这些下载的文件，也同时运行了木马。,特洛伊木马,一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于,9,木马演示,使用“冰河”进行远程控制,“冰河”包含两个程序文件，一个是服务器端，另一个是客户端。“冰河8.2”得文件列表如图所示。,木马演示使用“冰河”进行远程控制,10,防火墙的定义,防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。,防火墙的定义防火墙的本义原是指古代人们房屋之间修建的墙，这道,11,防火墙的定义,这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。,在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。,Intranet,防 火 墙,Internet,客户机,电子邮件服务器,Web服务器,数据库服务器,防火墙的定义这里所说的防火墙不是指为了防火而造的墙，而是指隔,12,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。,可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户,防止入侵者接近网络防御设施,限制内部用户访问特殊站点,防火墙的功能根据不同的需要，防火墙的功能有比较大差异，但是一,13,防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：,防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。,防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。,防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,防火墙的局限性没有万能的网络安全技术，防火墙也不例外。防火墙,14,虚拟专用网技术简介,虚拟专用网(VPN)是利用现有的公共网络环境构建的具有安全性、独占性、自成一体的虚拟网络。它实际上是一个在互联网等公用网络上的一些节点的集合。这些节点之间采用了专用加密和认证技术来相互通信，好像用专线连接起来一样。,虚拟专用网可以在两个异地子网之间建立安全的通道。,虚拟专用网技术简介虚拟专用网(VPN)是利用现有的公共网络环,15,加密技术,加密是指将数据进行编码，使它成为一种按常规不可理解的形式，这种不可理解的内容叫密文。解密是加密的逆过程，即将密文还原成原来可理解的形式。,数据加密技术的关键元素包括,加,密算法和密钥。,加,密算法是一组打乱和恢复数据的指令集或一个数学公式。密钥则是,算法,中的可变参数。,举例：,How are you,lsa evi csy。,1,加密与解密,加密技术加密是指将数据进行编码，使它成为一种按常规不可理解的,16,加密技术,对同样的明文，可使用不同的加密算法。即使使用相同的加密算法，如果使用的密钥不同也会得出不同的密文。,衡量一个加密技术的可靠性，主要取决于解密过程的难度，而这取决于密钥的长度。,广泛应用的加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。,1,加密与解密,加密技术对同样的明文，可使用不同的加密算法。即使使用相同的加,17,简单的加密,朴素的密码：,天王盖地虎-宝塔镇河妖,凯撒密码：hello-jgnnq,凯撒密码的字母对应关系：a b c d e f g h i x y z c d e f g h I j k z a b,棋盘密码：,12345,1ABCDE,2FGHI JK,3LMNOP,4QRSTU,5VWXYZ,简单的加密朴素的密码：天王盖地虎-宝塔镇河妖,18,加密技术,2,对称密钥加密体制,对称密钥加密技术使用相同的密钥对数据进行加密和解密，发送者和接收者用相同的密钥。,加密技术2对称密钥加密体制 对称密钥加密技术使用相同的密钥,19,加密技术,非对称密钥加密系统，又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。,3,非对称密钥加密体制,加密技术非对称密钥加密系统，又称公钥和私钥系统。其特点是加密,20,加密技术,非对称加密系统的关键是寻找对应的公钥和私钥，并运用某种数学方法使得加密过程不可逆，即用公钥加密的信息只能用与该公钥配对的私钥才能解密；反之,亦然,。,非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律，其安全性是基于大数分解的困难性。,3,非对称密钥加密体制,加密技术非对称加密系统的关键是寻找对应的公钥和私钥，并运用某,21,加密技术,RSA,的,加密方法：,（1）发送保密信息。发送者用接受者的公钥加密，接受者用自己的私钥解密。由于别人不知道接受者的私钥，无法窃取信息。,（2）确认发送者的身份。发送者用自己的私钥加密，接受者用发送者的公钥解密。由于别人不知道发送者的私钥，无法发出能用其公钥解开的信息，因此发送者无法抵赖。,3,非对称密钥加密体制,加密技术RSA的加密方法：3非对称密钥加密体制,22,加密技术,优点：,(1)解决了密钥管理问题，通过特有的密钥发放体制，使得当用户数大幅度增加时，密钥也不会向外扩散；,(2)由于密钥已事先分配，不需要在通信过程中传输密钥，安全性大大提高；,(3)具有很高的加密强度。,缺点：加密、解密的速度慢,3,非对称密钥加密体制,加密技术优点：3非对称密钥加密体制,23,山东大学王小云喜摘陈嘉庚科学奖 获30万奖金,密码专家王小云令世界震惊,国际著名密码学家、,图灵奖获得者兼公钥加密算法,RSA的创始人Rivest：,“SHA-1的破译令人吃惊!“,“数字签名的安全性在降低，,这再一次提醒需要替换算法!,“,“现在美国国家标准技术研究院,可能需要将更新密码的日程提前!”,“中国的这几位研究人员太疯狂了！,“,中国政府怎么可以不知道王小云？！,王小云破解MD5，我们白白葬送了一个致命性战略武器!,山东大学王小云喜摘陈嘉庚科学奖 获30万奖金密码专家王小云令,24,认证技术,(1)数字摘要,做法：,数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要，并在传输信息时将之加入文件一同送给接收方；接收方收到文件后，用相同的方法进行变换运算得到另一个摘要；然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。,1,常用的安全认证技术,认证技术(1)数字摘要1常用的安全认证技术,25,认证技术,1,常用的安全认证技术,认证技术1常用的安全认证技术,26,认证技术,(2)数字签名,数字签名是指发送方以电子形式签名一个消息或文件，表示签名人对该消息或文件的内容负有责任。,数字签名综合使用了数字摘要和非对称加密技术，可以在保证数据完整性的同时保证数据的真实性。,1,常用的安全认证技术,认证技术(2)数字签名 1常用的安全认证技术,27,认证技术,1,常用的安全认证技术,认证技术1常用的安全认证技术,28,认证技术,(3)数字证书,数字证书(Digital ID)含有证书持有者的有关信息，是在网络上证明证书持有者身份的数字标识，它由认证中心,(,CA,),颁发。,CA是一个专门验证交易各方身份的权威机构，它向涉及交易的实体颁发数字证书。,数字证书由CA做了数字签名，任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。,1,常用的安全认证技术,认证技术(3)数字证书 1常用的安全认证技术,29,认证技术,数字证书的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：,数字证书拥有者的姓名 数字证书拥有者的公共密钥 公共密钥的有效期 颁发数字证书的单位 数字证书的序列号(Serial number)颁发数字证书单位的数字签名,1,常用的安全认证技术,认证技术数字证书的内部格式是由CCITT X.509国际标准,30,认证技术,数字证书的申请和签发步骤：,申请者向某CA申请数字证书后，下载并安装该CA的“自签名证书”或更高级,的,CA向该CA签发的数字证书，验证CA身份的真实性。,申请者的计算机随机产生一对公私密钥。,申请者把私钥留下，把公钥和申请明文用CA的公钥加密，发送给CA。,CA受理证书申请并核实申请者提交的信息.,CA用自己的私钥对颁发的数字证书进行数字签名，并发送给申请者。,经CA签名过的数字证书安装在申请方的计算机上。,1,常用的安全认证技术,认证技术数字证书的申请和签发步骤：1常用的安全认证技术,31,认证技术,数字证书的验证过程(以A、B双方进行安全通信时B验证A的数字证书为例)：,B要求A出示数字证书。,A将自己的数字证书发送给B。,B首先验证签发该证书的CA是否合法。,B用CA的公钥解密A证书的数字签名，得到A证书的数字摘要。,B用摘要算法对A的证书明文制作数字摘要。,B将两个数字摘要进行对比。如相同，则说明A的数字证书合法。,1,常用的安全认证技术,认证技术数字证书的验证过程(以A、B双方进行安全通信时B验证,32,认证技术,认证中心(Certificate Authority)是承担网上安全电子交易认