《911第六章 网络信息安全.ppt》由会员分享,可在线阅读,更多相关《911第六章 网络信息安全.ppt(26页珍藏版)》请在三一办公上搜索。
1、第六章 网络信息安全,中国石油大学出版社,Add your company slogan,中国石油大学出版社,LOGO,本章概要,人们在享受网络的方便快捷的同时,也受到了网络安全问题的困扰。本章将介绍网络信息安全的有关内容,并提供一些常用的防范措施。读者将在本章中学习到有关数据加密技术、防火墙、计算机病毒和入侵检测的相关知识。学完本章,你将能够:列举出网络安全的常见对策;列举出一些著名的密码算法;掌握常用的病毒预防措施;描述三种流行的防火墙体系结构;掌握入侵检测的概念及原理;掌握日常信息安全技术的使用方法,中国石油大学出版社,LOGO,本章要点,中国石油大学出版社,LOGO,6.1 网络信息安
2、全概述,6.1.1 网络信息安全的含义一般来说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性和可控性等方面。,中国石油大学出版社,LOGO,6.1.2 网络信息安全的结构层次,网络信息安全的结构层次主要包括:物理安全、安全控制和安全服务。物理安全:在物理介质层次上对存储和传输的网络信息的安全保护:安全控制包括以下三种:1)操作系统的安全控制。2)网络接口模块的安全控制。3)网络互联设备的安全控制。安全服务:在应用程序层对网络信息的保密性、完整性和信源的真实性进行保
3、护和鉴别,以满足用户的安全需求。,中国石油大学出版社,LOGO,6.1.3 网络信息安全面临的威胁,网络信息安全面临的威胁主要来自于人为或自然威胁、安全缺陷、软件漏洞、病毒和黑客入侵等方面。,中国石油大学出版社,LOGO,6.1.4 网络信息安全对策,安全问题遵循“木桶短板”原则,系统的安全性取决于系统的最薄弱环节,任何单一层次上的安全措施都不可能提供真正的安全。网络信息安全是一个涉及面很广的问题,要想达到安全的目的,必须同时从技术、法规政策和管理这三个方面入手。,中国石油大学出版社,LOGO,6.2 密码理论简介,为了保证通信网络能正常、安全地运行,就要求系统能够对信息实施有效保护,对合法用
4、户进行认证并能准确地鉴别出非法用户,这些都需要借助于密码学的力量。密码学就是研究密码技术的学科,它包含两个分支,即密码编码学和密码分析学。前者旨在对信息进行编码实现信息隐蔽,后者旨在研究分析破译密码,两者相互对立而又相互促进。,中国石油大学出版社,LOGO,6.2.1 基本概念,采用密码技术可以隐蔽和保护机密消息,使未授权者不能获取信息。被隐蔽的消息称作明文,通常以m表示。密码可将明文变换成一种隐蔽形式,称为密文,通常以c表示。由明文到密文的变换称为加密。由合法接收者从密文恢复出明文的过程称为解密。非法接收者试图从密文分析出明文的过程称为破译。对明文进行加密时采用的一组规则称为加密算法,通常用
5、E表示。对密文解密时采用的一组规则称为解密算法,通常用D表示。加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的,该秘密信息称为密钥,加密和解密过程中使用的密钥分别称为加密密钥(通常以k1表示)和解密密钥(通常以k2表示)。加密和解密过程可分别用下面两个数学表达式表示:c=Ek1(m);m=Dk2(c),中国石油大学出版社,LOGO,6.2.1 基本概念,如果以密钥为标准,可将密码系统分为单钥密码系统(又称为对称密码或私钥密码)和双钥密码系统(又称为非对称密码或公钥密码)。如果以密码算法对明文的处理方式为标准,则可将密码系统分为分组密码和序列密码。,中国石油大学出版社,LOGO
6、,6.2.2 网络通信中的加密方式,基于密码算法的数据加密技术是网络上所有通信安全所依赖的基本技术。目前网络通信加密主要有三种方式:链路加密方式、节点对节点加密方式和端对端加密方式。,中国石油大学出版社,LOGO,6.2.3 著名密码算法举例,数据加密标准(DES)IDEA密码算法Rijndael算法 RSA算法,中国石油大学出版社,LOGO,6.3 计算机病毒,计算机病毒在中华人民共和国计算机信息系统安全保护条例中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,中国石油大学出版社,LOGO,6.3.1
7、 病毒的原理、特点与传播途径,病毒是一种特殊的计算机程序,它可以隐藏在其他程序中,也可以生成自身的拷贝并插入到其他程序中。它通常会进行一些恶意的破坏活动,使用户的网络或信息系统遭受浩劫,如格式化用户的硬盘、删除程序文件、破坏磁盘上的目录和FAT表,甚至摧毁计算机硬件等。病毒是一种基于硬件和操作系统的程序,任何一种病毒都是针对某种处理器和操作系统编写的。计算机病毒概括起来有下列几个特点:破坏性、传染性、隐藏性、可激活性和针对性。计算机病毒的主要传播途径有U盘、硬盘、光盘和网络。,中国石油大学出版社,LOGO,6.3.2 病毒的类型,系统引导型病毒文件型病毒宏病毒混合型病毒 网络蠕虫病毒木马病毒,
8、中国石油大学出版社,LOGO,6.3.3 病毒的预防,“预防为主、治疗为辅”这一方针也完全适合于计算机病毒的处理。为了预防计算机感染病毒,要注意以下几个方面:(1)养成良好的安全习惯,不打开来路不明的邮件和附件,不登录一些不太了解的网站,不安装和使用非正版软件。(2)关闭或删除系统中不需要的服务工具。(3)经常升级操作系统的安全补丁。(4)迅速隔离被病毒感染的计算机。(5)安装正版的计算机防病毒软件和防火墙软件。,中国石油大学出版社,LOGO,6.3.4 病毒的清除,清除病毒的原则 计算机病毒的清除工作最好在无毒的环境中进行。把启动系统系统盘和杀毒软件盘加上写保护,以防止被病毒感染。在清除病毒
9、前,一定要确认系统或文件确实被感染病毒并准确判断病毒的类型。尽可能地找出病毒的宿主程序。检测病毒时注意不要激活病毒。清除工作要深入而全面。不能用病毒标识免疫方法清除病毒。对于那些既感染文件又感染引导区的病毒,在清除文件病毒之后,还应该清除引导区中的病毒代码。在对文件的病毒清除之后,必须检查系统中其他同类文件是否也感染了此病毒。,中国石油大学出版社,LOGO,6.4 防火墙与入侵检测,6.4.1 防火墙的概念 防火墙是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它能增强机构内部网络的安全性,如图6-1所示。,中国石油大学出版社,LOGO,6.4
10、.2 防火墙体系结构,防火墙的体系结构有很多种,当前最流行的有三种:双宿网关、屏蔽主机和屏蔽子网。,中国石油大学出版社,LOGO,6.4.3 入侵检测的概念,入侵检测系统(IDS)是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未经授权的访问和其他异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测从计算机网络中的若干关键点收集并分析信息,查看网络中是否有违反安全策略的行为和网络遭到袭击的迹象。,中国石油大学出版社,LOGO,6.4.4 入侵检测系统的工作原理和分类,工作原理入侵检测系统的工作流程通常分为三个步骤,即信息收集、数据分析、响应,其中数据分析
11、是核心。分类 根据不同的标准,入侵检测系统有不同的分类方法,若以检测对象为标准,主要分为三类:基于主机的入侵检测系统、基于网络的入侵检测系统和混合入侵检测系统。,中国石油大学出版社,LOGO,6.5 信息安全应用,6.5.1 社会信息安全 信息技术的进步,促成了因特网的爆炸式发展。从对人类社会影响的深度与广度看,因特网超过了迄今为止任何一项科学技术。网络社会的出现,引起了人类生产方式、生活方式、思想观念的巨大变化,极大地推动了人类社会的发展和人类文明的进步。在网络与信息系统变成“金库”的同时,当然也会吸引大批非法的“淘金者”,所以网络信息的安全与保密问题显得越来越重要。,中国石油大学出版社,L
12、OGO,6.5.2 信息安全技术的应用,为了保证网络环境的安全,要安装能够满足要求的防病毒软件和防火墙软件,并根据要求合理配置,及时升级,对检测到的入侵或可疑信息进行及时处理。为了保证存储和传送的文件、数据不被盗用,要对其进行加密处理。简单的可设置文件读取口令,对于安全性要求高的文件,必须使用专业加密软件进行加密处理。为了能够正常识别通信用户或终端的个人身份,要利用密码(尤其是公钥密码)技术或专业软件进行身份识别。防止传输或存储的信息被有意或无意篡改,要采取密码技术对信息进行运算,生成一个定长的一组数据,附在信息之后发出,以便检验信息是否被篡改和伪造。,中国石油大学出版社,LOGO,6.5.3 信息安全技术的操作与实践,面对网络信息安全问题,信息安全专家们采取了很多安全技术,但由于绝大多数防范技术被包装在软件系统或硬件系统内部,普通用户感觉不到它们的存在。对一般用户来讲,需要掌握和直接使用的信息安全技术主要有数据加密、防火墙、防病毒和数字签名等。,中国石油大学出版社,LOGO,小 结,网络信息安全概述密码理论简介计算机病毒防火墙与入侵检测信息安全应用,Thank You!,
