信息安全基础精简版强ppt课件.ppt-得力文库

资源描述

《信息安全基础精简版强ppt课件.ppt》由会员分享，可在线阅读，更多相关《信息安全基础精简版强ppt课件.ppt（98页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、湖南工业大学计算机与通信学院湖南工业大学计算机与通信学院1了解计算机安全相关的概念。了解计算机安全相关的概念。 2了解计算机病毒及其预防。了解计算机病毒及其预防。 3了解信息安全基本技术。了解信息安全基本技术。课前思考题课前思考题8.1 8.1 信息安全概述信息安全概述8.2 计算机病毒及其预防计算机病毒及其预防 68.1 8.1 信息安全概述信息安全概述 8.1.1 信息安全及其相关概念 1 1信息安全的概念信息安全的概念信息安全是指信息信息安全是指信息网络网络的的硬件硬件、软件软件及其系统中的数据及其系统中的数据受到保护，不受偶然的或者恶受到保护，不受偶然的或者恶意的原因而遭到破坏、更

2、改、意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运泄露，系统连续可靠正常地运行，信息服务不中断。行，信息服务不中断。确保信确保信息的机密性、完整性、抗否认息的机密性、完整性、抗否认性和可用性。性和可用性。 7信息安全的特征信息安全的特征v（1 1）机密性（）机密性（ConfidentialityConfidentiality）。）。保证机密信保证机密信息不被窃听，或窃听者不能了解信息的真实含义。息不被窃听，或窃听者不能了解信息的真实含义。v（2 2）完整性（）完整性（IntegrityIntegrity）。）。保证数据的一致性，保证数据的一致性，防止数据被非法用户篡改。防止数据被非法用户

3、篡改。v（3 3）抗否认性（）抗否认性（Non-RepudiationNon-Repudiation）。）。建立有效建立有效的责任机制，防止用户否认其行为，这一点在电的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。子商务中是极其重要的。v（4 4）可用性（）可用性（AvailabilityAvailability）。）。保证合法用户对保证合法用户对信息和资源的使用不会被不正当地拒绝。信息和资源的使用不会被不正当地拒绝。信息系统面临的威胁信息系统面临的威胁计算机计算机依附载体依附载体数据数据表现形式表现形式程序程序处理工具处理工具网络网络传递媒介传递媒介管理管

4、理人为因素人为因素物理威胁物理威胁漏洞、病毒、木马漏洞、病毒、木马网络攻击网络攻击管理漏洞管理漏洞v自然灾害威胁自然灾害威胁v滥用性威胁滥用性威胁v有意人为威胁有意人为威胁2 2对信息安全的威胁对信息安全的威胁 3.3.信息安全是保护什么信息安全是保护什么（1 1）硬件）硬件工作站、磁盘、网络工作站、磁盘、网络（2 2）软件）软件源代码、程序、操作系统、通信系统源代码、程序、操作系统、通信系统（3 3）数据）数据备份数据、审计数据、通信数据备份数据、审计数据、通信数据（4 4）人）人管理员、用户、来访者管理员、用户、来访者 4.4.信息安全的组成信息安全的组成Network Networ

5、k SecuritySecurity网络安全网络安全Computer Computer SecuritySecurity计算机安全计算机安全CryptologyCryptology密码安全密码安全Information SecurityInformation Security信息安全信息安全5.5.信息安全涉及的知识领域信息安全涉及的知识领域 v 信息安全是一门涉及计算机科学、网络技术、通信技术信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。等多种学科的综合性学科。 138.

6、1.2 计算机硬件安全v1.硬件设备的物理安全v2.计算机使用环境安全148.1.3 计算机软件安全计算机软件方面的安全主要分为设置安全和软件系统的安全防护措施两部分。 158.1.4 计算机网络安全知识 1 1网络的不安全因素网络的不安全因素（1）自然灾害、意外事故。（2）计算机犯罪。（3）人为错误，比如使用不当，安全意识差等。（4）“黑客” 行为。（5）信息丢失。（6）电子谍报，比如信息流量分析、信息窃取等。（7）网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。162 2网络安全的相关概念网络安全的相关概念网络安全是指网络系统的网络安全是指网络系统的硬件硬件、软件软件及其系及

7、其系统中的统中的数据数据受到保护，不因偶然的或者恶意的原受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。常地运行，网络服务不中断。网络安全从其本质网络安全从其本质上来讲就是网络上的上来讲就是网络上的信息安全信息安全。冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃

8、听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁3.3.网络安全威胁的类型网络安全威胁的类型188.2 计算机病毒及其预防 8.2.1 8.2.1 计算机病毒的概念计算机病毒的概念1 1、计算机病毒的定义、计算机病毒的定义计算机病毒计算机病毒是人为利用计算机软、硬件所固是人为利用计算机软、硬件所固有的脆弱性，编制有的脆弱性，编制具有特殊功能的程序具有特殊功能的程序。它与生。它与生物医学上的物医学上的“病毒病毒”同样同样有传染和破坏的特性有传染和破坏的特性。 192计算机病毒的特点计算机病毒的特点（1 1）传染性传染性（2 2）

9、隐蔽性隐蔽性（3 3）潜伏性潜伏性（4 4）破坏性破坏性（5 5）衍生性衍生性（6 6）寄生性寄生性（7 7）针对性针对性（8 8）不可预见性不可预见性计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。病毒

10、程序往往是由几部分组成，修改其中的某个模块能衍生出新的不同于原病毒的计算机病毒。病毒程序一般不独立存在，而是寄生在文件中。计算机病毒是针对特定的计算机和特定的操作系统的。计算机病毒的千差万别，新病毒预测难度的加大，新病毒技术的不断涌现，反病毒软件滞后于病毒。203 3病毒的主要传播途径病毒的主要传播途径（1 1）硬盘硬盘（2 2）U U 盘盘（3 3）光盘光盘（4 4）网络网络214 4病毒感染症状病毒感染症状（1 1）系统运行异常。）系统运行异常。（2 2）磁盘文件异常。）磁盘文件异常。（3 3）屏幕画面异常。）屏幕画面异常。（4 4）内存或磁盘可用空间异常）内存或磁盘可用空间异常

11、用户可用内存空间用户可用内存空间突然减少；磁盘可用空间减少；磁盘出现固定坏突然减少；磁盘可用空间减少；磁盘出现固定坏扇区。扇区。（5 5）外围设备异常。）外围设备异常。除了上述的直接观察法外，还可以利用除了上述的直接观察法外，还可以利用DEBUGDEBUG等软件工具通过检测软件来进行检查。等软件工具通过检测软件来进行检查。224 4计算机病毒的危害计算机病毒的危害（1 1）破坏文件分配表）破坏文件分配表FATFAT，使用户存在磁盘上的文件丢失。，使用户存在磁盘上的文件丢失。（2 2）改变内存分配，减少系统可用的有效存储空间。）改变内存分配，减少系统可用的有效存储空间。（3 3）修改磁盘分

12、配，造成数据写入错误。）修改磁盘分配，造成数据写入错误。（4 4）对整个磁盘或磁盘的特定磁道或扇区进行格式化。）对整个磁盘或磁盘的特定磁道或扇区进行格式化。（5 5）在磁盘上制造坏扇区，并隐藏病毒程序内容，减少磁）在磁盘上制造坏扇区，并隐藏病毒程序内容，减少磁盘可用空间。盘可用空间。（6 6）更改或重写磁盘卷标。）更改或重写磁盘卷标。（7 7）删除磁盘上的可执行文件和数据文件。）删除磁盘上的可执行文件和数据文件。（8 8）修改和破坏文件中的数据。）修改和破坏文件中的数据。（9 9）影响内存常驻程序的正常执行。）影响内存常驻程序的正常执行。（1010）修改或破坏系统中断向量，干扰系统正常运行，低

13、系）修改或破坏系统中断向量，干扰系统正常运行，低系统运行速度。统运行速度。238.2.2 病毒的种类及预防措施 1 1计算机病毒的类型计算机病毒的类型从计算机病毒设计者的意图和病毒程序对计从计算机病毒设计者的意图和病毒程序对计算机系统的破坏程度来看，已发现的计算机病毒算机系统的破坏程度来看，已发现的计算机病毒大致可分为大致可分为“良性良性”病毒病毒和和恶性病毒恶性病毒两大类。两大类。24恶性病毒大致可分为恶性病毒大致可分为4 4种种：v 操作系统病毒（操作系统病毒（Operating System VirusesOperating System Viruses） v 外壳病毒（外壳病毒（S

14、hell VirusesShell Viruses） v 嵌入型病毒（入侵病毒）（嵌入型病毒（入侵病毒）（Intrusive VirusesIntrusive Viruses） v 源码病毒（源码病毒（Source Code VirusesSource Code Viruses）后面三类病毒以攻击文件为目标，故又统称为后面三类病毒以攻击文件为目标，故又统称为文件型病毒。目前出现得最多的病毒是操作系统文件型病毒。目前出现得最多的病毒是操作系统类病毒和外壳类病毒，尤以外壳类病毒最多。类病毒和外壳类病毒，尤以外壳类病毒最多。恶性病毒恶性病毒（1 1）操作系统型病毒操作系统型病毒病毒用它自己的程

15、序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。代表病毒小球病毒、大麻病毒巴基斯坦病毒、Ashar病毒幽灵病毒、Ghost Boot VersionTypo 病毒、Typo Boot 病毒（2 2）外壳型病毒）外壳型病毒外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现。代表病毒耶路撒冷病毒、数据库病毒哥伦布日病毒、中国病毒nVIR病毒、Scores病毒（3 3）嵌入型病毒）嵌入型病毒这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵

16、入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。（4 4）源码型病毒）源码型病毒该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。代表病毒Rush Hour 、Vienna、Win32.WinuxWin/prolinaa 2. 2. 计算机病毒的传染方式分类计算机病毒的传染方式分类（1）引导型病毒（2）文件型病毒（3）混合型病毒计算机病毒依其传染方式（或寄生方式）可分为以下几类：（1 1）引导型病毒）引导型病毒引导型病毒是一种在ROM BIOS之后，系统引导时出

17、现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒会去改写磁盘上的引导扇区的内容，或是改写硬盘上的分区表，从而在启动时引导病毒发作。代表病毒小球病毒、Stoned病毒、巴基斯坦病毒、6.4病毒、香港病毒、3APA3A病毒、（2 2）文件型病毒）文件型病毒文件型病毒就是通过操作系统的文件系统实施感染的病毒，这类病毒可以感染com文件、exe文件；也可以感染obj、doc、dot等文件。1986年12月VirDem病毒攻击DOS文件。1994年初出现感染obj文件的shifter病毒。（3 3）混合型病毒）混合型病毒混合型病毒通常都具有复杂的算法，使用非常规的方法攻击计算机

18、系统。这类病毒既具有引导型病毒的特点，又有文件型病毒的特点，即它是同时能够感染文件和磁盘引导扇区的“双料”复合型病毒。代表病毒蒸馏酒病毒、变形虫病毒新世纪病毒、33（1 1）AVAV终结者终结者（2 2）熊猫烧香）熊猫烧香（3 3）灰鸽子）灰鸽子（4 4）艾妮）艾妮（5 5）QQQQ尾巴尾巴（6 6）魔兽木马）魔兽木马（7 7）征途木马）征途木马（8 8）维金变种）维金变种（9 9）网游盗号木马）网游盗号木马（1010）罗姆）罗姆2.2.典型病毒典型病毒34v计算机病毒防治工作，计算机病毒防治工作，涉及到法律、道德、管理涉及到法律、道德、管理、技术等诸多问题、技术等诸多问题，涉及到使用计算机的

19、系统、，涉及到使用计算机的系统、单位和个人，因而是一项需要全社会关注的系统单位和个人，因而是一项需要全社会关注的系统工程，应成为各级单位和全体公民的义务。工程，应成为各级单位和全体公民的义务。v计算机病毒的防治工作的基本任务是，在计算机计算机病毒的防治工作的基本任务是，在计算机的使用管理中，的使用管理中，利用各种行政和技术手段，防止利用各种行政和技术手段，防止计算机病毒的入侵、存留、蔓延。其主要工作包计算机病毒的入侵、存留、蔓延。其主要工作包括：预防、检测、清除等。括：预防、检测、清除等。v计算机病毒的防治工作，应坚持统一组织、统一计算机病毒的防治工作，应坚持统一组织、统一规章、预防为主、防治

20、结合的原则。规章、预防为主、防治结合的原则。3.3.计算机病毒防治计算机病毒防治35（1 1）计算机要专机专用，专盘专用。计算机要专机专用，专盘专用。（2 2）建立备份。建立备份。（3 3）系统引导固定。系统引导固定。（4 4）保存重要参数区。保存重要参数区。（5 5）充分利用写保护。充分利用写保护。（6 6）做好磁盘及其文件的分类管理。做好磁盘及其文件的分类管理。（7 7）慎用来历不明的程序。慎用来历不明的程序。（8 8）定期或经常地运行防治病毒软件。）定期或经常地运行防治病毒软件。4.4.计算机病毒防治措施计算机病毒防治措施368.2.3 8.2.3 网络黑客及其防范网络黑客

21、及其防范1 1什么是网络黑客什么是网络黑客中文名称：中文名称：黑客黑客英文名称：英文名称：hackerhacker 定义：定义：利用系统安全漏洞对网络进行攻击破坏或窃取资利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。料的人。 “ “黑客黑客”一词是由英语一词是由英语HackerHacker音译出来的，是指专门音译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知热的兴趣和执

22、着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。漏洞的方法。 372.2.网络黑客攻击方法网络黑客攻击方法（1 1）获取口令。）获取口令。（2 2）放置特洛伊木马程序。）放置特洛伊木马程序。（3 3）WWWWWW的欺骗技术。的欺骗技术。（4 4）电子邮件攻击。）电子邮件攻击。（5 5）寻找系统漏洞。）寻找系统漏洞。383 3防范措施防范措施（1 1）选用安全的口令选用安全的口令（2 2）

23、实施存取控制实施存取控制（3 3）保证数据的完整性）保证数据的完整性（4 4）确保数据的安全）确保数据的安全（5 5）使用安全的服务器系统）使用安全的服务器系统（6 6）谨慎开放缺乏安全保障的应用和端口）谨慎开放缺乏安全保障的应用和端口（7 7）定期分析系统日志）定期分析系统日志（8 8）不断完善服务器系统的安全性能）不断完善服务器系统的安全性能（9 9）谨慎利用共享软件）谨慎利用共享软件（1010）使用防火墙）使用防火墙39 8.2.4 8.2.4 杀毒软件的使用杀毒软件的使用 v一旦检测到计算机病毒，就应该想办法将病毒立一旦检测到计算机病毒，就应该想办法将病毒立即清除，由于病毒的防治技术总

24、是滞后于病毒的即清除，由于病毒的防治技术总是滞后于病毒的制作，所以并不是所有病毒都能马上得以清除。制作，所以并不是所有病毒都能马上得以清除。目前市场上的查杀毒软件有许多种，可以根据自目前市场上的查杀毒软件有许多种，可以根据自己的需要选购。己的需要选购。v常见的杀毒软件有：常见的杀毒软件有：360360，可牛，瑞星，江民，金，可牛，瑞星，江民，金山毒霸，卡巴斯基（山毒霸，卡巴斯基（Kaspersky Anti-VirusKaspersky Anti-Virus），），macfeemacfee，诺顿等。其中卡巴，诺顿等。其中卡巴，macfee，诺顿又被，诺顿又被誉为世界三大杀毒软件。誉为世界三大杀

25、毒软件。 40常见的杀毒软件常见的杀毒软件v1 1金山毒霸金山毒霸（免费使用）（免费使用）v2 2KVKV江民杀毒软件江民杀毒软件v3 3瑞星杀毒软件瑞星杀毒软件（免费使用）（免费使用）v4. 3604. 360杀毒软件杀毒软件（免费使用）（免费使用）418.3 信息安全基本技术 8.3.1 访问控制技术措施 1 1访问控制的概念访问控制的概念访问控制（访问控制（Access ControlAccess Control）是对信息系统是对信息系统资源进行保护的重要措施，决定了谁能够访问系资源进行保护的重要措施，决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资统，能访问系统的何种资源

26、以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。意或无意地获取数据。422 2访问控制的基本原则访问控制的基本原则访问控制机制是用来实施对资源访问加以限访问控制机制是用来实施对资源访问加以限制的策略，这种策略把对资源的访问只限于那些制的策略，这种策略把对资源的访问只限于那些被授权用户。被授权用户。三个基本原则：三个基本原则：（1）最小特权原则（2）多人负责原则（3）职责分离原则 43防火墙在计算机系统中的位置 8.3.2 防火墙及其使用 1. 1. 防火墙的定义防火墙的定义“防火墙防火墙”这个术语参考来自建筑这

27、个术语参考来自建筑结构里的安全技术。原指在楼宇里结构里的安全技术。原指在楼宇里用来起分隔与防火作用的墙。一旦用来起分隔与防火作用的墙。一旦某个单元起火，它会保护其它的居某个单元起火，它会保护其它的居住者。然而，多数防火墙里都有一住者。然而，多数防火墙里都有一个重要的门，允许人们出入大楼。个重要的门，允许人们出入大楼。因此，它既保护了人们的安全，又因此，它既保护了人们的安全，又同时允许必要的访问。同时允许必要的访问。原意：原意： 1. 1. 防火墙的定义防火墙的定义 firewall隔离风险又不妨碍对网络的合法使用隔离风险又不妨碍对网络的合法使用v定义：防火墙是指设置在不同网络（如可信任的防火

28、墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之企业内部网和不可信的公共网）或网络安全域之间的一系列软件和硬件设备的组合。间的一系列软件和硬件设备的组合。 2. 2. 防火墙的功能防火墙的功能v防火墙能做什么v防火墙不能防范什么防火墙能做什么防火墙能做什么防火墙并不能为网络防范一切，也不应该把它作为对所有安全问题的一个最终解决方案，所以懂得哪些工作是防火墙能做的非常重要：（1）实现安全策略（2）创建一个阻塞点（3）记录网络活动（4）限制网络暴露（1 1）实现安全策略）实现安全策略安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公

29、司服务器上的Web站点，但是不允许telnet登录到服务器上。（2 2）创建一个阻塞点）创建一个阻塞点防火墙在一个公司私有网络和外网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。没有防火墙，分散管理，效率低下没有防火墙，分散管理，效率低下使用防火墙，集中管理，效率高使用防火墙，集中管理，效率高（3 3）记录网络活动）记录网络活动防火墙还能够监视并记录网络活动，并且提供警报功能。通过防火墙记录的数据，管理员可以发现网络中的各种问题。例如，通过查看例如，通过查看安全日志，管理安全

30、日志，管理员可以找到非法员可以找到非法入侵的相关记录，入侵的相关记录，从而可以做出相从而可以做出相应的措施。应的措施。（4 4）限制网络暴露）限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。例如，防火墙的例如，防火墙的NAT功能可以隐藏内部的功能可以隐藏内部的IP地址；地址；代理服务器防火墙可代理服务器防火墙可以隐藏内部主机信息。以隐藏内部主机信息。防火墙不能做什么防火墙不能做什么总体来说，除了不能防止物理故障等错误外，防火墙本身并不能

31、防范经过授权的东西。例如，员工接收了一封例如，员工接收了一封包含木马的邮件，木马包含木马的邮件，木马是以普通程序的形式放是以普通程序的形式放在了附件里，防火墙不在了附件里，防火墙不能避免该情况的发生。能避免该情况的发生。3. 3. 防火墙的类型防火墙的类型v包过滤防火墙v状态/动态检测防火墙v应用代理防火墙v自适应代理防火墙(1) (1) 包过滤防火墙包过滤防火墙v产品：通常使用路由器或双网卡的主机来完成包过滤防火墙功能，当然，许多防火墙硬件产品也都提供了包过滤功能。 router dualhomed-host firewall(1) (1) 包过滤防火墙包过滤防火墙v简单规则例子只允许访问外

32、网WEB站点目前，路由器都有建立访问列表（目前，路由器都有建立访问列表（ACL）的功能，使用相的功能，使用相关的命令就可以建立如上表所示的规则。关的命令就可以建立如上表所示的规则。(1) (1) 包过滤防火墙包过滤防火墙v简单规则例子只允许访问外网WEB站点前面的规则只允许内网主机访问外网的前面的规则只允许内网主机访问外网的Web网站，此外不网站，此外不允许任何其他的数据交换。允许任何其他的数据交换。请求浏览请求浏览满足规则满足规则1允许通过允许通过WWW.NCIAE.EDU.CN回应的网页回应的网页满足规则满足规则2允许通过允许通过Telnet登录登录外网主机外网主机根据规则根据规则3拒绝通

33、过拒绝通过(2) (2) 状态状态/ /动态检测防火墙动态检测防火墙v简述：与包过滤只孤立地检查每个数据包不同，状态检测防火墙会记录每一个已建立的合法连接。如果接收到的数据包属于某一个已建立的合法连接，则允许通过，否则拒绝。（特殊地，对于建立连接的包它会进行单独验证）(2) (2) 状态状态/ /动态检测防火墙动态检测防火墙工作流程图：工作流程图：接收到接收到数据包数据包是请求建立是请求建立连接的包连接的包进行认证进行认证看是否有看是否有权建立该权建立该连接连接如通过认如通过认证则允许证则允许建立连接，建立连接，否则拒绝否则拒绝该包该包记录已建

34、记录已建立连接的立连接的信息信息检查该包是否属检查该包是否属于某一个已建立于某一个已建立的连接的连接如果属于一个连如果属于一个连接则允许通过，接则允许通过，否则拒绝该包否则拒绝该包是普通的是普通的数据包数据包(2) (2) 状态状态/ /动态检测防火墙动态检测防火墙与包过滤的区别：与包过滤的区别：(2) (2) 状态状态/ /动态检测防火墙动态检测防火墙v状态检测防火墙的优点：大大减少了被伪装数据包欺骗的可能性；大大减少了被伪装数据包欺骗的可能性；具有包过滤防火墙的大部分优点；具有包过滤防火墙的大部分优点；状态检测防火墙的缺点：状态检测防火墙的缺点：所作的记录、检测和分析工作

35、会造成一些网络所作的记录、检测和分析工作会造成一些网络的迟滞，特别是有许多连接激活的时候。的迟滞，特别是有许多连接激活的时候。(3) (3) 应用代理防火墙应用代理防火墙简述：应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信。(3) (3) 应用代理防火墙应用代理防火墙类比：代理防火墙的作用类似日常生活中的律师。如果在与他人的交涉中由律师作为自己的代理，那么别人并不能直接与自己接触，当遇见麻烦时会由律师与他人交涉，显然律师比普通人更能处理相关问题。律师律师中

36、间代理、善于处理各种问题中间代理、善于处理各种问题用户用户安全得到了保证安全得到了保证他人他人只能与用户律师打交道只能与用户律师打交道(4) (4) 自适应代理防火墙自适应代理防火墙简介：自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。648.3.3 数据加密技术 1

37、1数据加密数据加密在保障信息安全各种功能特性的诸多技术中，加密技在保障信息安全各种功能特性的诸多技术中，加密技术是信息安全的核心和关键技术。术是信息安全的核心和关键技术。密码技术的起源和历史密码技术的起源和历史传统密码学阶段计算机密码学阶段采用传统方法的计算机密码学阶段采用现代方法的计算机密码学阶段数据加密标准DES公开密钥密码体制RSA靠人工对消息加密、传输和防破译靠计算机对消息加密、解密和传输沿用传统密码学的基本观念进行信息的保密沿用现代思想进行信息的保密加密和解密使用相同的密钥加密和解密使用不同的密钥密码技术介绍密码技术介绍密码技术是保护信息安全的主要手段之一，它是结合数学、计算

38、机科学、电子与通信等诸多学科于一身的交叉学科。数学计算机科学电子与通讯密码技术密码技术介绍密码技术介绍密码技术不仅具有信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性，防止信息被篡改、伪造或假冒。密码技术的功能数字签名身份验证秘密分存系统安全（1 1）密码技术基本概念）密码技术基本概念明文：信息的原始形态（plaintext，记作P）。密文：明文经过变换加密后的形式（ciphertext，记作C）。加密：由明文变成密文的过程称为加密（enciphering，记作E），加密通常由加密算法来实现

39、。（1 1）密码技术基本概念密码技术基本概念解密：将密文变成明文的过程称为解密（deciphering，记作D），解密由某种解密算法来实现。密钥：为了有效地控制加密和解密算法实现，在某处理过程中要有通讯双方掌握的专门信息参与，这种专门信息称为密钥（key，记作K）。（2 2）传统密码技术概述）传统密码技术概述在传统的加密算法中，加密密钥与解密密钥匙相同或者可以由其中一个推知另一个，称为对称密钥算法。授权用户既可以用该密钥加密信息，也可以用该密钥解密信息。（2 2）传统密码技术概述）传统密码技术概述传统加密方法的密钥由简单的字符串组成，密钥可以经常改变。因此，这种基本加密模型是稳定的

40、，是人所共知的。其好处是可以秘密而方便地变换密钥，从而达到保密的目的。传统密码技术可以分为两大类：替代密码和换位密码。传统密码技术替代密码换位密码单表替代密码单表替代密码单表替代密码的代表是凯撒密码，又叫循环移位密码。其加密方法是把明文中的所有字母都用它右边的第k个字母替代，并认为Z后面又是A。其映射关系函数为：F(a)=(a+k) mod na明文字母；n字符集字母个数；k密钥A B C D E F V W X Y Z （k=3）D E F G H I Y Z A B C多表替代密码多表替代密码周期替代密码是一种常用的多表替代密码，又叫维吉尼亚密码。其加密表是以字母表移位为基础把26个英文字

41、母进行循环移位，排列在一起，形成26*26方阵，称为维吉尼亚表。 A B C D E F G H I J K L M N O P Q R S T U V ZABZ A B C D E F G H I J K L M N O P Q R S T U V Z B C D E F G H I J K L M N O P Q R S T U V W A . Z A B C D E F G H I J K L M N O P Q R S T U Y多表替代密码多表替代密码周期替代密码在实际使用时，往往把某个容易记忆的词或词组当作密钥，然后把密钥反复写在明文下方。加密时，以明文字母选择列，以密钥字母选择行

42、，两者的交点就是加密生成的密文字母；解密时做逆操作即可。（3 3）换位密码概述）换位密码概述换位密码是采用移位法进行加密的。它把明文中的字母重新排列，本身不变，但位置变了。换位密码是靠重新安排字母的次序，而不是隐藏他们。换位加密方法有列换位法和矩阵换位法等。换位密码列换位法矩阵换位法列换位法列换位法列换位法是将明文字符分割成若干个（例如3个）一列的分组，并按一组后面跟着另一组的形式排好，不全的组用不常用的字符填满。最后取各列来产生密文。密钥为组中字符的个数。明文分组换位C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3C

43、4 C5 C6C7 C8 C9C1C4C7C2C5C8C3C6C9C1 C4 C7C2 C5 C8C3 C6 C9C1 C4 C7C2 C5 C8C3 C6 C9密文湖南工业大学计算机与通信学院湖南工业大学计算机与通信学院例例如果按某一规则排列明文中的字符顺序，即改变字符的如果按某一规则排列明文中的字符顺序，即改变字符的位置，字符本身不变，这样的加密方式称为置换加密。例位置，字符本身不变，这样的加密方式称为置换加密。例如，明文为如，明文为“国防科技大学计算机科学技术学院计算机应国防科技大学计算机科学技术学院计算机应用教研室用教研室”的文字按的文字按7 7个字一行顺序重新排，不足个字一行顺序

44、重新排，不足7 7个字时个字时，假设用，假设用“嘿嘿”填补，写成如下形式：填补，写成如下形式：国防科技大学计国防科技大学计算机科学技术学算机科学技术学院计算机应用教院计算机应用教研室嘿嘿嘿嘿嘿研室嘿嘿嘿嘿嘿发送时，按列的顺序发送时，按列的顺序“国算院研防机计室科科算嘿技学机国算院研防机计室科科算嘿技学机嘿大技应嘿学术用嘿计学教嘿嘿大技应嘿学术用嘿计学教嘿”发送。合法的接收者收到发送。合法的接收者收到这样的密文只需按一定的间隔读取一个字符即可还原成明这样的密文只需按一定的间隔读取一个字符即可还原成明文，而对非法窃取密文的来说就是一串无意义的文字。文，而对非法窃取密文的来说就是一串无意义的文字。

45、矩阵换位法矩阵换位法矩阵换位法是将明文字符按给定的顺序排列在一矩阵中，然后用另一种顺序选出矩阵的字母来产生密文。密钥为矩阵的行数、列数以及给定的置换矩阵。明文矩阵换位C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3C4 C5 C6C7 C8 C9C1C4C7C2C5C8C3C6C9密文C1C4C7C2C5C8C3C6C9C3 C1 C2C6 C4 C5C9 C7 C8 C3 C1 C2 C6 C4 C5 C9 C7 C8 .C3 C1 C2 C6 C4 C5 C9 C7 C8 .（4 4）数据加密标准）数据加密标准DE

46、SDESDES是一种单钥密码算法，它是一种典型的按分组方式工作的密码，是两种基本的加密组块替代和换位的细致而复杂的结构，它通过反复依次应用这两项技术来提高其强度。DES算法是对称的，即可用于加密也可用于解密。加密E解密D明文P密文C明文P密钥KDESDES加密算法原理加密算法原理DES算法经过16轮替代和换位后，使密码分析者无法获得该算法一般特性以外更多的信息。该算法大致分为四部分：初始置换、迭代过程、逆置换、子密钥生成。初始置换64位明文（密文）64位密钥组迭代过程逆置换子密钥生成64位密文（明文）DESDES加密算法的优缺点加密算法的优缺点DES算法的优点：加密算法简便高效；密钥简短；

47、安全性高，破译极其困难，用穷举法来确定密钥的机会极小。DES算法的缺点：密钥安全地传送和保管问题严峻；无法对信息的真实性进行验证。公开密钥密码RSA很好地解决了以上问题。（5 5）公开密钥密码体制）公开密钥密码体制RSARSA公开密钥密码体制的加密和解密使用不同的密钥，即公开密钥PK和秘密密钥SK。其中，公钥即加密密钥，是公开的；私钥即解密密钥，是保密的。加密和解密算法公开，但是算法完全不同，用加密算法推断解密算法极其困难。2.2.数字签名数字签名数字签名是指通过一个单向函数对传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生改变的一个字母数字串。数字签名可以提供有力的证据，表明自从

48、数据被签名以来数据尚未发生更改，并且它可以确认对数据签名的人或实体的身份。（1 1）数字签名的特征）数字签名的特征签名是可信的，可以被确认的；签名是不能被伪造的；签名是不可重复使用的；签名后的文件是不能被更改的；签名是不能被否认的；（2 2）数字签名的功能）数字签名的功能身份认证接收方可以确定数据来源或发送方的身份。数据完整性接收方可以确定数据在传输过程中有没有被非法篡改。认可性（不可抵赖性）发送方对发送的数据不能否认，无法抵赖。（3 3）数字签名的实现方法）数字签名的实现方法数字签名的实现方法有很多种，大致可以分为由加密算法生成数字签名和由签字算法生成数字签名两类，

49、其中由加密算法生成数字签名又可以细分为单钥加密算法生成数字签名和公钥加密算法生成数字签名。87 数字证书就是标志网络用户身份信息的一系数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，列数据，用来在网络通讯中识别通讯各方的身份，即要在即要在InternetInternet上解决上解决“我是谁我是谁”的问题，就如的问题，就如同现实中我们每一个人都要拥有一张证明个人身同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份份的身份证或驾驶执照一样，以表明我们的身份或某种资格。或某种资格。3 3数字证书数字证书（1 1）数字证书定义）数字证

50、书定义数字证书也叫电子证书，是随公钥基础设施PKI的形成而新发展起来的安全机制，是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。它实现身份的鉴别与识别（认证）、完整性、保密性及不可否认性等安全服务。（2 2）数字证书概述）数字证书概述数字证书是电子商务中各实体的网上身份的证明，它证明实体所声明的身份与其公钥的匹配关系，使得实体身份与证书上的公钥相绑定；从公钥管理的机制来讲，数字证书是公钥体制密钥管理的媒体，即在公钥体制中，公钥的分发、传送是靠证书机制来实现的，所以有时也将数字证书称为公钥证书；数字证书是一种权威性的电子文档，它是由具有权威性、可信任性及公正性的第三方机构（C

展开阅读全文