Download
1 / 32
320 likes | 463 Views
计算机安全. 第六章. 本章简介. 计算机安全控制系统 计算机病毒 反病毒软件及其应用 计算机黑客与防火墙 数据加密技术. 计算机网络安全威胁. ISO 对 OSI 环境定义了以下几种威胁: (1)伪装 (2)非法连接 (3)非授权访问 (4)拒绝服务 (5)信息泄露 (6)通信量分析 (7)篡改/破坏数据 (8)抵赖. 网络面临的安全攻击. 网络攻击的特点 主要有: (1) 隐蔽性强 (2) 破坏性大 (3) 传播快,范围广. 安全攻击的形式.
E N D
计算机安全 第六章
本章简介 • 计算机安全控制系统 • 计算机病毒 • 反病毒软件及其应用 • 计算机黑客与防火墙 • 数据加密技术
计算机网络安全威胁 ISO对OSI环境定义了以下几种威胁: (1)伪装 (2)非法连接 (3)非授权访问 (4)拒绝服务 (5)信息泄露 (6)通信量分析 (7)篡改/破坏数据 (8)抵赖
网络面临的安全攻击 网络攻击的特点主要有: (1) 隐蔽性强 (2) 破坏性大 (3) 传播快,范围广
安全攻击的形式 (1) 中断:未经授权非法中止通信双方的通信过程。 (2) 截取:未经授权非法获得访问权,截取通信双方的通信内容。 (3) 修改:未经授权非法截获通信内容后,进行恶意修改 (4) 捏造:未经授权向系统中插入伪造的对象,传递欺骗性消息。
被动攻击和主动攻击 • 被动攻击:是窃听或者监视信息的传送,目的在于获取正在传送的信息。被动攻击中,攻击者只是观察和分析PDU,而不干扰信息流。被动攻击不改变数据,很难被检测到,因此预防是重点。 • 主动攻击:指攻击者对某个连接中通过的PDU进行各种处理,涉及对数据的修改或创建。主动攻击比被动攻击容易检测,但难预防,因此重在检测 PDU:协议数据单元,不同系统对等层实体间交换的数据单位,包含该层用户数据和该层的协议控制信息PCI
计算机网络安全体系 • 1989年ISO/TC97技术委员会制订了ISO7498-2国际标准 • 从体系结构的观点,描述了实现OSI参考模型间安全通信必须提供的安全服务和安全机制,建立了OSI标准的安全体系结构框架。
可供选择的安全服务: • 身份认证——双向认证 • 访问控制——访问权限 • 数据保密——数据加密 • 数据完整性——修改、删除、插入、替换或重发 • 防止否认——数字签名
与安全服务有关的安全机制: • 加密机制 • 数字签名机制 • 访问控制机制 • 数据完整性机制 • 认证交换机制 • 路由控制机制 • 业务流填充机制——隐蔽真实流量 • 公证机制——公证机构
计算机病毒 计算机病毒:能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的特点 (1)传染性 (2)破坏性 (3)隐蔽性 (4)潜伏性
计算机病毒的分类 按破坏性分: (1)良性病毒 (2)恶性病毒 (3)极恶性病毒 (4)灾难性病毒 按传染方式分: (1)引导型病毒 (2)文件型病毒 (3)混合型病毒 (4)宏病毒 (5)网络病毒
按连接方式分: (1)源码型病毒 (2)入侵型病毒 (3)操作系统型病毒 (4)外壳型病毒
病毒的防治 • 基于单机的防范 • l软件防治 • l在工作站上插防病毒卡 • 在网络接口卡上安装防病毒芯片 (2) 基于服务器的防范 基于网络服务器的实时扫描病毒的防护技术 • (3) 加强对计算机网络的管理
反病毒软件 反病毒软件应具备的功能有: (1)查毒 (2)杀毒 (3)防毒 许多新的反病毒软件往往将杀毒功能和其他功能结合到一起,如反病毒功能和网络防火墙功能、反病毒功能和系统优化功能,对硬盘数据的恢复功能等
注意:经常更新病毒库 国内最常见的杀毒软件: 瑞星、江民、诺顿、金山毒霸等 例:介绍一种杀毒软件
计算机黑客 黑客Hacker 骇客Cracker 保护网络安全的常用方法: • 取消文件夹隐藏共享 • 拒绝恶意代码 • 及时打上补丁 • 隐藏IP地址 • 关闭不必要的端口 • 安装必要的安全软件
防火墙 • 防火墙是一种计算机硬件和软件相结合的,在因特网和内部网之间的一个安全网关。 • 是一个内部网与因特网隔开的屏障 • 主要用来解决内部网和外部网的安全问题。 • 从实现方式上来分为软件防火墙和硬件防火墙之分 • 硬件防火墙如果从技术上来分又可分为两类,即标准防火墙和双归属网关防火墙
数据加密技术 • 数据加密:为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取、监听或破坏所采用的主要技术手段之一。 • 按作用不同,主要分为数据传输、数据存储、数据完整性的鉴别三种。
数据传输加密技术 目的是对传输中的数据流加密, 常用的方法有链路加密和端对端加密。 (1)链路加密 每条通信链路上的加密独立实现,使用不同的加密密钥 P:明文 K:加密密钥 D:解密密钥
(2)端到端加密 在源节点和目的节点进行加密和解密 P:明文 K:加密密钥 D:解密密钥
数据加密技术中: • 加密:将明文(原信息)→密文 • 解密:加密的逆过程,密文→明文 • 加密/解密必须遵循相互变换是惟一的、无误差的可逆变换的规则 • 根据加密密钥,分为对称数据加密技术和非对称数据加密技术
对称数据加密技术:加密密钥和解密密钥相同,需通信双方事先约定密钥对称数据加密技术:加密密钥和解密密钥相同,需通信双方事先约定密钥 • 非对称数据加密技术:加密密钥和解密密钥不同,发送方只知道加密密钥,所有向同一接收方发送信息的人使用同一个公开的加密密钥
数据存储加密技术 • 是为了防止在存储环节上的数据失密,可分为密文存储和存取控制两种。 • 密文存储一般是通过加密法转换、附加密码、加密模块等方法实现;如PGP加密软件 • 存取控制是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据,主要应用于NT系统和一些网络操作系统中,在系统中可以对不同工作组的用户赋予相应的权限以达到保护重要数据的目的。
数据完整性鉴别技术 • 目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证 • 一般包括口令、密钥、身份、数据等的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。 • 数据库系统应该根据不同用户设置不同访问权限,并对其身份及权限的完整性进行严格识别。
数字签名 • 综合应用数据加密技术产生了数字签名、数字摘要、数字时间戳、数字证书等多种应用。 • 网络安全中对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取特别的手段即数字签名。 • 在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
目前数字签名采用较多的是公钥加密技术 • 公钥加密系统采用的是非对称加密算法 • 应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名 • 数字签名是通过密码算法对数据进行加、解密变换实现的,用DES算去、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷,没有成熟的标准 • 其中Hash签名是最主要的数字签名方法
数字签名使用两对公开密钥:(k,k’)和(j,j’)数字签名使用两对公开密钥:(k,k’)和(j,j’) • k 和j是公开的加密密钥,k’ 和j’是解密密钥,k’是发送方的私钥,j’是接收方的私钥。
数字签名的作用 如果接收方对发方数字签名验证成功,可说明: (1) 该电子文件确实是由签名者的发方所发出的,电子文件来源于该发送者。因为,签署时电子签名数据由电子签名人所控制。 (2) 被签名的电子文件确实是经发方签名后发送的,说明发方用了自己的私钥做的签名,并得到验证,达到不可否认的目的。 (3) 接收方收到的电子文件在传输中没有被篡改,保持了数据的完整性,因为,签署后对电子签名的任何改动都能够被发现。 即对《电子签名法》中所规定的“安全的电子签名具有与手写签名或者盖章同等的效力”的具体体现。
数字证书 • 数字证书是网络通讯中标志通讯各方身份信息的一系列数据,类似于身份证。 • 由权威机构发行的,用于识别对方的身份。 • 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。 • 数字证书由认证中心颁发的。在用户使用数字证书之前必须首先下载和安装。认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。
证书内容主要用于身份认证、签名的验证和有效期的检查。证书内容主要用于身份认证、签名的验证和有效期的检查。 公钥证书和私钥是用加密文件存放在证书介质中
