計算機(jī)文化基礎(chǔ)(下)

1、計算機(jī)文化基礎(chǔ)(下)信息安全1第10章 信息安全10.1 信息安全概述10.2 防 火 墻 10.3 計算機(jī)病毒10.4 信息政策與法規(guī)210.1 信息安全概述10.1.0 信息安全定義10.1.1 信息安全意識 10.1.2 網(wǎng)絡(luò)道德 10.1.3 計算機(jī)犯罪10.1.3 信息安全技術(shù) 310.1.0 信息安全定義ISO(國際標(biāo)準(zhǔn)化組織)定義:信息的完整性、可用性、保密性和可靠性。通俗地說，信息安全主要是指保護(hù)信息系統(tǒng)，使其沒有危險、不受威脅、不出事故地運(yùn)行。從技術(shù)角度，信息安全的技術(shù)特征主要表現(xiàn)在系統(tǒng)的可靠性、可用性、保密性、完整性、確認(rèn)性、可控性等方面。從綜合性又表現(xiàn)在，它是一門以人為主

2、，涉及技術(shù)、管理和法律的綜合學(xué)科，同時還與個人道德、意識等方面緊密相關(guān)。4信息安全定義信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。信息安全的兩個方面：系統(tǒng)安全:包括操作系統(tǒng)管理的安全、數(shù)據(jù)存儲的安全、對數(shù)據(jù)訪問的安全等。網(wǎng)絡(luò)安全:則涉及信息傳輸?shù)陌踩?、網(wǎng)絡(luò)訪問的安全認(rèn)證和授權(quán)、身份認(rèn)證、網(wǎng)絡(luò)設(shè)備的安全等。510.1.1 信息安全意識 1建立對信息安全的正確認(rèn)識 信息安全這關(guān)系到企業(yè)、政府的業(yè)務(wù)能否持續(xù)、穩(wěn)定地運(yùn)行，關(guān)系到個人安全的保證，也關(guān)系到我們國家安全的保證。所以信息安全是國家信息化戰(zhàn)略中一個十分重要的方面。 6信

3、息安全意識2掌握信息安全的基本要素和慣例 信息安全四大要素：技術(shù)、制度、流程和人。合適的標(biāo)準(zhǔn)、完善的程序、優(yōu)秀的執(zhí)行團(tuán)隊，是一個企業(yè)單位信息化安全的重要保障。技術(shù)只是基礎(chǔ)保障，技術(shù)不等于全部，很多問題不是裝一個防火墻或者一個IDS（Intrusion Detection System，即入侵檢測系統(tǒng) ）就能解決的。制定完善的安全制度很重要，而如何執(zhí)行這個制度更為重要。信息安全先進(jìn)技術(shù)防患意識完美流程嚴(yán)格制度優(yōu)秀執(zhí)行團(tuán)隊法律保障 7信息安全意識3清楚可能面臨的威脅和風(fēng)險美國前總統(tǒng)克林頓曾說過：“網(wǎng)絡(luò)和計算機(jī)是一把雙刃劍。它給世界帶來了巨大的利益，但同時也會成為黑客和恐怖分子威力巨大的武器?！本W(wǎng)絡(luò)

4、信息安全面臨的威脅有惡劣環(huán)境的影響、偶然故障和錯誤、人為的攻擊破壞。對計算機(jī)的人為的攻擊破壞具有明顯的目的和主動性，這是計算機(jī)安全保密面臨的最主要、最危險的威脅。 我們主要討論人為的攻擊。網(wǎng)絡(luò)不安全的原因：人為攻擊+安全缺陷 + 軟件漏洞 + 結(jié)構(gòu)隱患 8網(wǎng)絡(luò)不安全的原因結(jié)構(gòu)隱患-網(wǎng)絡(luò)開放性網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的隱患和網(wǎng)絡(luò)硬件的安全缺陷業(yè)務(wù)基于公開的協(xié)議。遠(yuǎn)程訪問使得各種攻擊無需到現(xiàn)場就能得手。連接是基于主機(jī)上的社團(tuán)彼此信任的原則。安全缺陷如果網(wǎng)絡(luò)信息系統(tǒng)本身沒有任何安全缺陷，那么人為攻擊者即使本事再大也不會對網(wǎng)絡(luò)信息安全構(gòu)成威脅。遺憾的是所有的網(wǎng)絡(luò)信息系統(tǒng)都不可避免地存在著一些安全缺陷。有些安全缺陷

5、可以通過努力加以避免或者改進(jìn)，但有些安全缺陷是各種折衷必須付出的代價。 9網(wǎng)絡(luò)不安全的原因軟件漏洞：程序的復(fù)雜性和編程的多樣性，容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞。陷門：陷門是在程序開發(fā)時插入的一小段程序，目的可能是測試這個模塊，或是為了連接將來的更改和升級程序，也可能是為了將來發(fā)生故障后，為程序員提供方便。一旦被利用將會帶來嚴(yán)重的后果。數(shù)據(jù)庫的安全漏洞：某些數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲，這是不夠安全的。應(yīng)該對存儲數(shù)據(jù)進(jìn)行加密保護(hù)。TCP/IP協(xié)議的安全漏洞：TCP/IP協(xié)議在設(shè)計初期并沒有考慮安全問題。還可能存在操作系統(tǒng)的安全漏洞以及網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)、口令設(shè)置等方面的漏洞。10

6、人為攻擊人為攻擊-黑客（HACKER)在無所不在的網(wǎng)絡(luò)世界里，無網(wǎng)不入的“黑客”是網(wǎng)絡(luò)安全最大也是最嚴(yán)重的威脅。定義：“非法入侵者”；起源： 60年代。目的： 基于興趣入侵，基于利益入侵，信息戰(zhàn)等。人為攻擊方法非法訪問：非法登錄系統(tǒng)，非法讀取系統(tǒng)的數(shù)據(jù)，竊聽網(wǎng)絡(luò)通信數(shù)據(jù)信息泄漏：數(shù)據(jù)泄漏，狀態(tài)泄漏；破壞數(shù)據(jù)：破壞系統(tǒng)配置數(shù)據(jù)，破壞通信數(shù)據(jù)（插入、刪除、篡改）。欺騙：IP地址欺騙、身份欺騙；抵賴：源抵賴、目的抵賴；系統(tǒng)可用性：占用資源攻擊，拒絕服務(wù)攻擊；11人為攻擊誰是攻擊者大專院校的學(xué)生和青少年單位工作人員競爭者計算機(jī)地下組織的侵襲者職業(yè)竊賊和工業(yè)間諜成就感者無所事事者軍事目的間諜12信息安全

7、意識4養(yǎng)成良好的安全習(xí)慣 1）良好的密碼設(shè)置習(xí)慣 2）網(wǎng)絡(luò)和個人計算機(jī)安全 3）電子郵件安全 4）打印機(jī)和其他媒介安全 5）物理安全 1310.1.2 網(wǎng)絡(luò)道德 網(wǎng)絡(luò)道德概念：計算機(jī)網(wǎng)絡(luò)道德是用來約束網(wǎng)絡(luò)從業(yè)人員的言行，指導(dǎo)他們的思想的一整套道德規(guī)范。涉及內(nèi)容計算機(jī)網(wǎng)絡(luò)道德可涉及到計算機(jī)工作人員的思想意識、服務(wù)態(tài)度、業(yè)務(wù)鉆研、安全意識、待遇得失及其公共道德等方面。自學(xué)此節(jié)！1410.1.3 計算機(jī)犯罪 1. 計算機(jī)犯罪的概念指行為人以計算機(jī)作為工具或以計算機(jī)資產(chǎn)作為攻擊對象實施的嚴(yán)重危害社會的行為。利用計算機(jī) 或 攻擊計算機(jī)資產(chǎn)行為。2. 計算機(jī)犯罪的特點(diǎn) 1）犯罪智能化 2）犯罪手段隱蔽 3

8、）跨國性 4）犯罪目的多樣化 5）犯罪分子低齡化 6）犯罪后果嚴(yán)重 15計算機(jī)犯罪3. 計算機(jī)犯罪的手段 1）制造和傳播計算機(jī)病毒 2）數(shù)據(jù)欺騙 3）特洛伊木馬 4）意大利香腸戰(zhàn)術(shù) 5）超級沖殺 6）活動天窗 7）邏輯炸彈 8）清理垃圾 9）數(shù)據(jù)泄漏 10）電子嗅探器 還有社交方法，電子欺騙技術(shù)，瀏覽，順手牽羊和對程序、數(shù)據(jù)集、系統(tǒng)設(shè)備的物理破壞等犯罪手段。16計算機(jī)犯罪4. 黑客黑客已成為一個廣泛的社會群體，其主要觀點(diǎn)是：所有信息都應(yīng)該免費(fèi)共享；信息無國界，任何人都可以在任何時間地點(diǎn)獲取他認(rèn)為有必要了解的任何信息；通往計算機(jī)的路不止一條；打破計算機(jī)集權(quán)；反對國家和政府部門對信息的壟斷和封鎖。

9、黑客的行為會擾亂網(wǎng)絡(luò)的正常運(yùn)行，甚至?xí)葑優(yōu)榉缸铩?710.1.4 信息安全技術(shù) 目前信息安全技術(shù)主要有：密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、病毒與反病毒技術(shù)以及其他安全保密技術(shù)。1. 密碼技術(shù)1）基本概念：密碼技術(shù)是網(wǎng)絡(luò)信息安全與保密的核心和關(guān)鍵。通過密碼技術(shù)的變換或編碼，將機(jī)密、敏感的消息變換成難以讀懂的亂碼型文字。目的一，防止解密；目的二，防止偽造或篡改加密的信息。研究密碼技術(shù)的學(xué)科稱為密碼學(xué)。分支：密碼編碼學(xué)和密碼分析學(xué)。兩者相互對立，又相互促進(jìn)。18信息安全技術(shù)明文：發(fā)送方要發(fā)送的消息。密文：明文被變換成看似無意義的隨機(jī)消息。加密：明文到密文的變換過程。解密：合法接收者從

10、密文恢復(fù)出明文的過程。破譯：非法接收者試圖從密文分析出明文的過程。加密算法：對明文進(jìn)行加密時采用的一組規(guī)則。解密算法：對密文解密時采用的一組規(guī)則。密鑰：控制加密算法和解密算法的一組僅有合法用戶知道的該密碼。加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰。 19信息安全技術(shù)2）單鑰加密與雙鑰加密傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，或從一個可以推出另一個，被稱為單鑰或?qū)ΨQ密碼體制。若加密密鑰和解密密鑰不相同，從一個難以推出另一個，則稱為雙鑰或非對稱密碼體制。單鑰密碼的優(yōu)點(diǎn)是加、解密速度快。缺點(diǎn)是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，密鑰的管理成為一個難點(diǎn)；無法解決消息確認(rèn)問題；缺乏自動檢測密鑰泄露的能力

11、。采用雙鑰體制的每個用戶都有一對選定的密鑰：一個是可以公開的，可以像電話號碼一樣進(jìn)行注冊公布；另一個則是秘密的，因此雙鑰體制又稱作公鑰體制。由于雙鑰密碼體制的加密和解密不同，且能公開加密密鑰，而僅需保密解密密鑰，所以雙鑰密碼不存在密鑰管理問題。雙鑰密碼還有一個優(yōu)點(diǎn)是可以擁有數(shù)字簽名等新功能。雙鑰密碼的缺點(diǎn)是雙鑰密碼算法一般比較復(fù)雜，加、解密速度慢。20信息安全技術(shù) 網(wǎng)絡(luò)中的加密普遍采用雙鑰和單鑰密碼相結(jié)合的混合加密體制，即加、解密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加、解密速度的問題。 21信息安全技術(shù)3）著名密碼算法介紹（1）分組密碼算法： 數(shù)據(jù)加密標(biāo)

12、準(zhǔn)是迄今世界上最為廣泛使用和流行的一種分組密碼算法。它的產(chǎn)生被認(rèn)為是20世紀(jì)70年代信息加密技術(shù)發(fā)展史上的兩大里程碑之一。 DES是一種單鑰密碼算法，它是一種典型的按分組方式工作的密碼。其基本思想是將二進(jìn)制序列的明文分成每64位一組，用長為56位的密鑰對其進(jìn)行16輪代換和換位加密，最后形成密文。DES的巧妙之處在于，除了密鑰輸入順序之外，其加密和解密的步驟完全相同，這就使得在制作DES芯片時，易于做到標(biāo)準(zhǔn)化和通用化，這一點(diǎn)尤其適合現(xiàn)代通信的需要。在DES出現(xiàn)以后，經(jīng)過許多專家學(xué)者的分析論證，證明它是一種性能良好的數(shù)據(jù)加密算法，不僅隨機(jī)特性好，線性復(fù)雜度高，而且易于實現(xiàn)，因此，DES在國際上得到

13、了廣泛的應(yīng)用。22信息安全技術(shù) 但是，最近對DES的破譯取得了突破性的進(jìn)展。破譯者能夠用窮舉法借助網(wǎng)絡(luò)計算在短短的二十余小時就攻破56位的DES，所以，在堅定的破譯者面前，可以說DES已經(jīng)不再安全了。 其他的分組密碼算法還有IDEA密碼算法、LOKI算法、Rijndael算法等。 23信息安全技術(shù)（2）公鑰密碼算法： 最著名的公鑰密碼體制是RSA算法。 RSA算法是一種用數(shù)論構(gòu)造的、也是迄今理論上最為成熟完善的一種公鑰密碼體制，該體制已得到廣泛的應(yīng)用。它的安全性基于“大數(shù)分解和素性檢測”這一已知的著名數(shù)論難題基礎(chǔ)，而體制的構(gòu)造則基于數(shù)學(xué)上的Euler定理。但是，由于RSA涉及高次冪運(yùn)算，用軟件

14、實現(xiàn)速度較慢，尤其是在加密大量數(shù)據(jù)時，所以，一般用硬件來實現(xiàn)RSA。RSA中的加、解密變換是可交換的互逆變換。RSA還可用來做數(shù)字簽名，從而完成對用戶的身份認(rèn)證。 著名的公鑰密碼算法還有Diffie-Hellman密鑰分配密碼體制、Elgamal公鑰體制、Knapsack體制等，由于涉及較深的數(shù)學(xué)理論，在此不再贅述。24信息安全技術(shù)2. 防火墻技術(shù) 當(dāng)構(gòu)筑和使用木制結(jié)構(gòu)房屋的時侯，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱為防火墻。在今天的電子信息世界里，人們借助了這個概念，使用防火墻來保護(hù)計算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵，不過這些防火墻是由先

15、進(jìn)的計算機(jī)系統(tǒng)構(gòu)成的。在本章第二節(jié)中將詳細(xì)學(xué)習(xí)防火墻的有關(guān)知識。25信息安全技術(shù)3. 虛擬專用網(wǎng)（VPN）技術(shù) 虛擬專網(wǎng)是虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network）的簡稱，它是一種利用公用網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)。目前，能夠用于構(gòu)建 VPN 的公用網(wǎng)絡(luò)包括Internet和服務(wù)提供商（ISP）所提供的DDN專線（Digital Data Network Leased Line）、幀中繼（Frame Relay）、ATM等，構(gòu)建在這些公共網(wǎng)絡(luò)上的VPN將給企業(yè)提供集安全性、可靠性和可管理性于一身的私有專用網(wǎng)絡(luò)?！疤摂M”的概念是相對傳統(tǒng)私有專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對于

16、廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號和專線連接來實現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠(yuǎn)程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴。26信息安全技術(shù)1）VPN的三種類型 VPN有三種類型，即：訪問虛擬專網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（Intranet VPN）、擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）。 2）VPN的優(yōu)點(diǎn) 利用公用網(wǎng)絡(luò)構(gòu)建虛擬私有網(wǎng)絡(luò)是個新型的網(wǎng)絡(luò)概念，它給服務(wù)提供商（ISP）和VPN用戶都將帶來不少的益處。 對ISP而言，通過向企業(yè)提供VPN這種增值服務(wù)，可以與企業(yè)建立更加

17、緊密的長期合作關(guān)系，同時充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。 對于VPN用戶而言，利用Internet組建私有網(wǎng)，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和Internet費(fèi)用，而且，企業(yè)甚至可以不必維護(hù)自己的廣域網(wǎng)系統(tǒng)，交由專業(yè)的ISP來幫你完成；VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配、VPN組網(wǎng)的靈活、方便性等特性將大大方便企業(yè)的網(wǎng)絡(luò)管理；另外，在VPN應(yīng)用中，通過遠(yuǎn)端用戶驗證以及隧道數(shù)據(jù)加密等技術(shù)使得通過公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性得到了很好的保證。 27信息安全技術(shù)4病毒與反病毒技術(shù) 計算機(jī)病毒的發(fā)展歷史悠久,從20世紀(jì)80年代中后期廣泛傳播開來至今，據(jù)統(tǒng)計世界上已存在的計算機(jī)病毒

18、有5000余種，并且每月以平均幾十種的速度增加。 計算機(jī)病毒是具有自我復(fù)制能力的計算機(jī)程序，它能影響計算機(jī)軟、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確性與完整性，造成計算機(jī)或計算機(jī)網(wǎng)絡(luò)癱瘓，給人們的經(jīng)濟(jì)和社會生活造成巨大的損失并且成上升的趨勢。統(tǒng)計數(shù)據(jù)表明：1999年電腦病毒造成的全球經(jīng)濟(jì)損失為36億美元，2003年則達(dá)到了280億美元。 計算機(jī)病毒的危害不言而喻，人類面臨這一世界性的公害采取了許多行之有效的措施：如加強(qiáng)教育和立法，從產(chǎn)生病毒源頭上杜絕病毒；加強(qiáng)反病毒技術(shù)的研究，從技術(shù)上解決病毒傳播和發(fā)作。本章第三節(jié)將深入分析病毒的原理與特點(diǎn)。 28信息安全技術(shù)5. 其他安全與保密技術(shù)1）實體及硬件安全

19、技術(shù) 實體及硬件安全是指保護(hù)計算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（包括電磁污染等）破壞的措施和過程。實體安全是整個計算機(jī)系統(tǒng)安全的前提，如果實體安全得不到保證，則整個系統(tǒng)就失去了正常工作的基本環(huán)境。另外，在計算機(jī)系統(tǒng)的故障現(xiàn)象中，硬件的故障也占到了很大的比例。正確分析故障原因，快速排除故障，可以避免不必要的故障檢測工作，使系統(tǒng)得以正常運(yùn)行。29信息安全技術(shù)2）數(shù)據(jù)庫安全技術(shù) 數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、國家安全。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)

20、成為業(yè)界人士探索研究的重要課題之一。 數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān)，因此，從廣義上講，數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次：30信息安全技術(shù)（1）網(wǎng)絡(luò)系統(tǒng)層次： 從廣義上講，數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。可以說網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應(yīng)用的外部環(huán)境和基礎(chǔ)，數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開網(wǎng)絡(luò)系統(tǒng)的支持。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。 網(wǎng)絡(luò)系統(tǒng)層次的安全防范技術(shù)有很多種，大致可以分為防火墻、入侵檢測、協(xié)作式入侵檢測技術(shù)等。 31信息安全技術(shù)（2）宿主操作系統(tǒng)層次： 操作系統(tǒng)是大型數(shù)據(jù)

21、庫系統(tǒng)的運(yùn)行平臺，為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護(hù)。目前操作系統(tǒng)平臺大多數(shù)集中在Windows NT和Unix，安全級別通常為C1、C2級。主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。數(shù)據(jù)安全主要體現(xiàn)在以下幾個方面：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份、數(shù)據(jù)存儲、數(shù)據(jù)傳輸?shù)陌踩缘??？梢圆捎玫募夹g(shù)很多，主要有Kerberos認(rèn)證、IPSec、SSL等技術(shù)。32信息安全技術(shù)（3）數(shù)據(jù)庫管理系統(tǒng)層次： 數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機(jī)制非常強(qiáng)大，則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。目前市場上流行的是關(guān)系式數(shù)據(jù)庫管理系統(tǒng)，其安全性功能很弱，這就導(dǎo)致數(shù)據(jù)庫系統(tǒng)

22、的安全性存在一定的威脅。解決這一問題的有效方法之一是數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件進(jìn)行加密處理，使得即使數(shù)據(jù)不幸泄露或者丟失，也難以被人破譯和閱讀。 這三個層次構(gòu)筑成數(shù)據(jù)庫系統(tǒng)的安全體系，與數(shù)據(jù)安全的關(guān)系是逐步緊密的，防范的重要性也逐層加強(qiáng)，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。 返 回3310.2 防 火 墻 防火墻是近年發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的訪問控制技術(shù)。它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上，通過建立起網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋通過外部網(wǎng)絡(luò)的入侵。 3410.2 防 火 墻10.2.1 防火墻的概念10.2.2 防火墻的類型 10.2.3

23、防火墻的體系結(jié)構(gòu) 返 回3510.2.1 防火墻的概念 防火墻是用于在企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)之間實施安全策略的一個系統(tǒng)或一組系統(tǒng)。它決定網(wǎng)絡(luò)內(nèi)部服務(wù)中哪些可被外界訪問，外界的哪些人可以訪問哪些內(nèi)部服務(wù)，同時還決定內(nèi)部人員可以訪問哪些外部服務(wù)。所有來自和去往因特網(wǎng)的業(yè)務(wù)流都必須接受防火墻的檢查。防火墻必須只允許授權(quán)的業(yè)務(wù)流通過，并且防火墻本身也必須能夠抵抗?jié)B透攻擊，因為攻擊者一旦突破或繞過防火墻系統(tǒng)，防火墻就不能提供任何保護(hù)了。 36防火墻的概念1. 防火墻的基本功能 一個有效的防火墻應(yīng)該能夠確保：所有從Internet流出或流入的信息都將經(jīng)過防火墻；所有流經(jīng)防火墻的信息都應(yīng)接受檢查。設(shè)置防火墻的目

24、的是在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道，簡化網(wǎng)絡(luò)的安全管理。 從總體上看，防火墻應(yīng)具有如下基本功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。 37防火墻的概念2. 防火墻存在的缺陷 防火墻可能存在如下一些缺陷：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻不能防止感染了病毒的軟件或文件的傳輸；防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。 返 回3810.2.2 防火墻的類型 按照防火墻保護(hù)網(wǎng)絡(luò)使用方法的不同，可將其分為三種類型： 1)網(wǎng)絡(luò)層防火墻 2)應(yīng)用層防火墻 3)鏈路層防火墻。3910.2.3 防火墻的體系結(jié)構(gòu)防火墻的體

25、系結(jié)構(gòu)多種多樣。當(dāng)前流行的體系結(jié)構(gòu)主要有三種： 1)雙宿網(wǎng)關(guān) 2)屏蔽主機(jī) 3)屏蔽子網(wǎng)。4010.3 計算機(jī)病毒 計算機(jī)病毒（Virus）是一組人為設(shè)計的程序，這些程序隱藏在計算機(jī)系統(tǒng)中，通過自我復(fù)制來傳播，滿足一定條件即被激活，從而給計算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種程序的活動方式與生物學(xué)上的病毒相似，所以被稱為計算機(jī)“病毒”。現(xiàn)在的計算機(jī)病毒已經(jīng)不單單是計算機(jī)學(xué)術(shù)問題，而成為一個嚴(yán)重的社會問題。 10.3.1 病毒的原理與特點(diǎn) 10.3.2 病毒的類型10.3.3 病毒的預(yù)防 10.3.4 病毒的清除 4110.3.1 病毒的原理與特點(diǎn)定義是：計算機(jī)病毒，是指編制或者在計算機(jī)程序中

26、插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒特點(diǎn)：1）可執(zhí)行性2）破壞性3）傳染性4）潛伏性5）針對性6）衍生性7）抗反病毒軟件性4210.3.2 病毒的類型計算機(jī)病毒的分類方法很多，微機(jī)上的計算機(jī)病毒通?？煞譃? 1)引導(dǎo)區(qū)型 2)文件型 3)混合型 4)宏病毒等四類。4310.3.3 病毒的預(yù)防預(yù)防計算機(jī)病毒，應(yīng)該從管理和技術(shù)兩方面進(jìn)行。 1）從管理上預(yù)防病毒（1）謹(jǐn)慎地使用公用軟件或硬件。（2）任何新使用的軟硬件必須先檢查。（3）定期檢測計算機(jī)上的磁盤和文件并及時消除病毒。（4）對系統(tǒng)中的數(shù)據(jù)和文件要定期進(jìn)行備份。（5）對所有系統(tǒng)

27、盤和文件等關(guān)鍵數(shù)據(jù)要進(jìn)行寫保護(hù)。2）從技術(shù)上預(yù)防病毒硬件預(yù)防：通過增加硬件設(shè)備來保護(hù)系統(tǒng)，監(jiān)視RAM中的常駐程序，阻止對外存儲器的異常寫操作。軟件預(yù)防：方法是使用計算機(jī)病毒疫苗（程序）。監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)發(fā)現(xiàn)某些病毒入侵時可防止病毒入侵，當(dāng)發(fā)現(xiàn)非法操作時及時警告用戶或直接拒絕這種操作，使病毒無法傳播。4410.3.4 病毒的清除如果發(fā)現(xiàn)計算機(jī)感染了病毒，應(yīng)立即清除。通常用人工處理或反病毒軟件方式進(jìn)行清除。人工處理的方法有：用正常的文件覆蓋被病毒感染的文件；刪除被病毒感染的文件；重新格式化磁盤等。這種方法有一定的危險性，容易造成對文件的破壞。用反病毒軟件對病毒進(jìn)行清除是一種較好方法。常用的反病毒

28、軟件有瑞星、KV、NORTON等，需要特別注意的是要及時對反病毒軟件進(jìn)行升級更新，才能保持軟件的良好殺毒性能。4510.4 信息政策與法規(guī)（自學(xué)）國家信息政策與法規(guī)的研究起源于20世紀(jì)50年代末至60年代，60年代之后，逐漸受到各國政府的重視，各國政府紛紛出臺一些信息政策和信息法規(guī)，指導(dǎo)本國各時期的信息工作，促進(jìn)本國信息事業(yè)的發(fā)展。對各國政府在制定本國信息政策和信息法規(guī)時的背景、立法目標(biāo)、制定原則進(jìn)行研究，有助于為我國制定信息政策法規(guī)提供理論依據(jù)，促進(jìn)國家信息政策和法規(guī)體系的建立和完善。10.4.1 信息系統(tǒng)安全保護(hù)規(guī)范化與法制化10.4.2 計算機(jī)信息系統(tǒng)安全調(diào)查 4610.4.1 信息系統(tǒng)

29、安全保護(hù)規(guī)范化與法制化1. 信息系統(tǒng)安全法規(guī)的基本內(nèi)容與作用（1）計算機(jī)違法與犯罪懲治。顯然是為了震懾犯罪，保護(hù)計算機(jī)資產(chǎn)。（2）計算機(jī)病毒治理與控制。在于嚴(yán)格控制計算機(jī)病毒的研制、開發(fā)，防止、懲罰計算機(jī)病毒的制造與傳播，從而保護(hù)計算機(jī)資產(chǎn)及其運(yùn)行安全。（3）計算機(jī)安全規(guī)范與組織法。著重規(guī)定計算機(jī)安全監(jiān)察管理部門的職責(zé)和權(quán)利以及計算機(jī)負(fù)責(zé)管理部門和直接使用的部門的職責(zé)與權(quán)利。（4）數(shù)據(jù)法與數(shù)據(jù)保護(hù)法。其主要目的在于保護(hù)擁有計算機(jī)的單位或個人的正當(dāng)權(quán)益，包括隱私權(quán)等。47信息系統(tǒng)安全保護(hù)規(guī)范化與法制化2. 國外計算機(jī)信息系統(tǒng)安全立法簡況 發(fā)達(dá)國家關(guān)注計算機(jī)安全立法是從20世紀(jì)60年代后期開始的。

30、 瑞典早在1973年就頒布了數(shù)據(jù)法，這大概是世界上第一部直接涉及計算機(jī)安全問題的法規(guī)。隨后，丹麥等西歐國家都先后頒布了數(shù)據(jù)法或數(shù)據(jù)保護(hù)法。1991年，歐共體12個成員國批準(zhǔn)了軟件版權(quán)法等。在美國，國防部早在20世紀(jì)80年代就針對計算機(jī)安全保密問題開展了一系列有影響的工作。針對竊取計算機(jī)數(shù)據(jù)和對計算機(jī)信息系統(tǒng)的種種危害，于1981年成立了國家計算機(jī)安全中心（NCSC）；1983年，美國國家計算機(jī)安全中心公布了可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（TCSEC）；作為聯(lián)邦政府，1986年制定了計算機(jī)詐騙條例；1987年又制定了計算機(jī)安全條例。 48信息系統(tǒng)安全保護(hù)規(guī)范化與法制化3. 國內(nèi)計算機(jī)信息系統(tǒng)安全立法簡況

31、早在1981年，我國政府就對計算機(jī)信息安全系統(tǒng)安全予以極大關(guān)注。1983年7月，公安部成立了計算機(jī)管理監(jiān)察局，主管全國的計算機(jī)安全工作。公安部于1987年10月推出了電子計算機(jī)系統(tǒng)安全規(guī)范（試行草案），這是我國第一部有關(guān)計算機(jī)安全工作的管理規(guī)范。 到目前為止，我國已經(jīng)頒布了的與計算機(jī)信息系統(tǒng)安全有關(guān)的法律法規(guī)很多 。4910.4.2 計算機(jī)信息系統(tǒng)安全調(diào)查迄今，人們對計算機(jī)安全調(diào)查這一概念仍沒有形成統(tǒng)一的認(rèn)識。世界各國對計算機(jī)安全調(diào)查存在著不同的認(rèn)識和見解。在我國，為對各單位、各行業(yè)的計算機(jī)信息系統(tǒng)安全性能進(jìn)行評估，以便更好地提高系統(tǒng)的安全性，上級主管部門根據(jù)我國或具體地、市相關(guān)安全標(biāo)準(zhǔn)制定出

32、一整套切實可行的安全調(diào)查提綱或條款，然后計算機(jī)安全主管部門根據(jù)這一調(diào)查提綱定期對各計算機(jī)信息系統(tǒng)應(yīng)用部門進(jìn)行全面綜合的調(diào)查評估，這一過程稱為計算機(jī)信息系統(tǒng)安全調(diào)查。其目的主要是在系統(tǒng)未被入侵之前，對系統(tǒng)安全性能進(jìn)行定期調(diào)查分析，從而最大限度地發(fā)現(xiàn)系統(tǒng)存在的安全隱患和漏洞，以便提高系統(tǒng)安全性，使其日后被攻擊的可能性降為最小。50計算機(jī)信息系統(tǒng)安全調(diào)查而在西方一些計算機(jī)事業(yè)發(fā)達(dá)國家，計算機(jī)信息系統(tǒng)安全調(diào)查指的是當(dāng)某一部門或單位的計算機(jī)系統(tǒng)受到攻擊時，為挽救系統(tǒng)，盡量避免或減少損失，負(fù)責(zé)信息安全部門會介入，按照一定的法律程序并依靠一定的技術(shù)手段及管理方法對遭受攻擊的系統(tǒng)進(jìn)行跟蹤調(diào)查分析，從而找出作案

33、嫌疑人，追回?fù)p失，同時發(fā)現(xiàn)系統(tǒng)安全隱患和漏洞，以降低或避免系統(tǒng)日后再被攻擊的可能性。計算機(jī)犯罪、計算機(jī)信息安全法律法規(guī)、計算機(jī)職業(yè)道德以及計算機(jī)安全調(diào)查等環(huán)節(jié)是緊密聯(lián)系、不可分割的。為促進(jìn)計算機(jī)信息系統(tǒng)安全事業(yè)的進(jìn)一步發(fā)展，我們還應(yīng)該繼續(xù)深入研究。51網(wǎng)絡(luò)信息安全考試大綱基本要求了解信息安全的基本知識。 考試內(nèi)容信息安全面臨的威脅；計算機(jī)犯罪的概念；計算機(jī)病毒的概念；黑客的概念；密碼技術(shù)的基本概念；防火墻的基本概念。 5210.1 網(wǎng)絡(luò)信息安全概述10.1.1網(wǎng)絡(luò)信息安全的內(nèi)涵10.1.2 網(wǎng)絡(luò)信息安全面臨的威脅10.1.3 網(wǎng)絡(luò)信息安全對策10.1.4 SSL簡介5310.1.1網(wǎng)絡(luò)信息安全

34、的內(nèi)涵計算機(jī)網(wǎng)絡(luò)安全定義：計算機(jī)系統(tǒng)的硬件、軟件和數(shù)據(jù)庫受到技術(shù)和管理的安全保護(hù)，不因偶然或者惡意的原因而遭到破壞、更改和泄漏。系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。三種計算機(jī)安全實體的安全：計算機(jī)軟硬件本身的安全運(yùn)行環(huán)境的安全：保證計算機(jī)在良好的環(huán)境下工作信息的安全：保障信息不會被非法閱讀、修改和泄露54網(wǎng)絡(luò)信息安全的內(nèi)涵 網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。管理方面則側(cè)重于內(nèi)部人為因素的管理。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，技術(shù)特征表現(xiàn)在：可靠性、可用性、保密性、完整性、確認(rèn)性、可控性、不可抵賴性?？煽啃裕壕W(wǎng)絡(luò)信息系統(tǒng)的可靠性?？?/p>

35、用性：信息可被授權(quán)的實體使用。保密性：要求通信雙方的通信內(nèi)容是保密的；這一方面要求通信的內(nèi)容不能被第三方所竊取。完整性：要保證接收到的信息是完整的。是說在傳輸?shù)倪^程中數(shù)據(jù)沒有被修改；要求接收到的信息或數(shù)據(jù)和發(fā)送方所發(fā)出的信息是完全一致的。55網(wǎng)絡(luò)信息安全的內(nèi)涵確認(rèn)性：在網(wǎng)絡(luò)的通信中如何確定通信者的身份是一個重要的問題?？煽匦裕簩W(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。不可抵賴性：網(wǎng)絡(luò)通信全部是電子形式的文檔。收到的信息經(jīng)打印機(jī)打印出來后和和一般的文檔沒有什么不同。甲給乙一份郵件，“請發(fā)貨100件”。等乙發(fā)完貨向甲收款時，甲說我沒有要你發(fā)貨。有什么辦法使甲不能抵賴所發(fā)的信息？通過身份認(rèn)證、數(shù)字簽

36、名、數(shù)字信封、第三方確認(rèn)等方法，來確保網(wǎng)絡(luò)信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。5610.1.3 網(wǎng)絡(luò)信息安全對策OSI的信息安全體系結(jié)構(gòu)ISO7498-2 ，1989.2.15頒布，確立了基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)。六大類安全服務(wù)：鑒別、訪問控制、保密性、完整性、抗否認(rèn)。八類安全機(jī)制：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制、公證。5710.1.4 SSL簡介Netscape公司最早推出了安全通信協(xié)議：安全套接層協(xié)議SSL(Secure Socket Layer) ；SSL是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。利用

37、公開密鑰技術(shù)的SSL協(xié)議，并已成為Internet上保密通訊的工業(yè)標(biāo)準(zhǔn)。SSL協(xié)議提供的安全信道有以下三個特性：數(shù)字證書實現(xiàn)服務(wù)器認(rèn)證。因為盡管會話的客戶端認(rèn)證是可選的，但是服務(wù)器端始終是被認(rèn)證的。加密信息傳輸。因為在握手協(xié)議定義了會話密鑰后，所有的消息都被加密。端到端連接保證消息完整性檢查。 5810.2 計算機(jī)犯罪10.2.1 計算機(jī)犯罪10.2.2 計算機(jī)病毒10.2.3 黑客5910.2.1 計算機(jī)犯罪1、計算機(jī)犯罪的概念 所謂計算機(jī)犯罪，指行為人以計算機(jī)作為工具或以計算機(jī)資產(chǎn)作為攻擊對象，實施的嚴(yán)重危害社會的行為。2、計算機(jī)犯罪的特點(diǎn)（8點(diǎn)） 這種犯罪行為往往具有隱蔽性、智能性和嚴(yán)重

38、的社會危害性。犯罪人完全可以不受時間和空間的限制，躲在不易引人注意的角落里操縱計算機(jī)，瞬間可以使國家、組織或個人的巨額財產(chǎn)流失，國家秘密泄露，國家信息系統(tǒng)癱瘓，甚至造成社會動亂等等，危害之重，令人難以想象。 60計算機(jī)犯罪3、計算機(jī)犯罪的手段意大利香腸術(shù)這種計算機(jī)犯罪是采用他人不易覺察的手段，使對方自動做出一連串的細(xì)小讓步，最后達(dá)到犯罪的目的。如美國的一個銀行職員每次結(jié)算都截留一個四舍五入的利息尾數(shù)零頭，盜竊了一大筆款項?；顒犹齑八^活動天窗，是指程序設(shè)計者為了對軟件進(jìn)行調(diào)試和維護(hù)故意設(shè)置在計算機(jī)軟件系統(tǒng)的入口點(diǎn)。如美國底特律的幾位汽車工程師發(fā)現(xiàn)了佛羅里達(dá)商用分時服務(wù)系統(tǒng)中的一個活動天窗，查到

39、了公司總裁的口令，進(jìn)而獲取了具有重要商業(yè)價值的計算機(jī)文件。廢品利用廢品利用是指有目的或有選擇地在工作現(xiàn)場或從廢棄的資料、磁帶、磁盤中搜尋具有潛在價值的數(shù)據(jù)和信息、密碼等。61計算機(jī)犯罪數(shù)據(jù)泄露這是一種有意轉(zhuǎn)移或竊取數(shù)據(jù)的手段。如有的作案者將一些關(guān)鍵數(shù)據(jù)混雜在一般性的報表之中，然后在予以提取。間諜在計算機(jī)系統(tǒng)上安裝微型無線電發(fā)射機(jī)。如計算機(jī)和通信設(shè)備輻射出的電磁波信號可以被專用設(shè)備接收。電子嗅探器英文名稱叫sniffer的電子嗅探器是用來截獲和收藏在網(wǎng)絡(luò)上傳輸?shù)男畔⒌能浖蛴布?。冒名頂替是利用他人的訪問代碼，進(jìn)入計算機(jī)信息系統(tǒng)。口令破解程序口令破解程序是可以解開或者屏蔽口令保護(hù)的程序62計算機(jī)犯

40、罪特洛伊木馬術(shù)特洛伊木馬術(shù)是公元前1200年古希臘特洛伊戰(zhàn)爭中，希臘人為了攻陷特洛伊城，把士兵隱藏在木馬腹中進(jìn)入敵方城堡，從而贏得了戰(zhàn)爭的勝利，這種戰(zhàn)術(shù)用在計算機(jī)犯罪手段上，是以軟件程序為基礎(chǔ)進(jìn)行欺騙和破壞的方法。數(shù)據(jù)欺騙數(shù)據(jù)欺騙是指非法篡改計算機(jī)輸入、處理和輸出過程中的數(shù)據(jù)或者輸入假數(shù)據(jù)，從而實現(xiàn)犯罪目的的手段。邏輯炸彈邏輯炸彈是指在計算機(jī)系統(tǒng)中有意設(shè)置并插入的某些程序編碼，這些編碼只有在特定的時間或在特定的條件下才自動激活，從而破壞系統(tǒng)功能或使系統(tǒng)陷入癱瘓狀態(tài)。63計算機(jī)犯罪電子欺騙技術(shù)電子欺騙技術(shù)是一種利用目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，即計算機(jī)之間的相互信任關(guān)系來獲取計算機(jī)系統(tǒng)非授權(quán)訪問的一種方法

41、。如IP地址電子欺騙，就是偽造他人的源IP地址，其實質(zhì)就是讓一臺機(jī)器來扮演另一臺機(jī)器，籍以達(dá)到蒙混過關(guān)的目的。入侵者不用輸入用戶帳號和口令，就可以侵入目標(biāo)。利用掃描器掃描器是自動檢測遠(yuǎn)程或本地計算機(jī)主機(jī)安全性弱點(diǎn)的程序。掃描器是互聯(lián)網(wǎng)安全領(lǐng)域最出名的破解工具。利用掃描器能使行為人不留痕跡地發(fā)現(xiàn)遠(yuǎn)在他國的一臺服務(wù)器的安全性的弱點(diǎn)，從而入侵該系統(tǒng)。6410.2.2 計算機(jī)病毒計算機(jī)病毒是指編制或在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用并能自我復(fù)制的一組指令或程序代碼。它具有可執(zhí)行性、感染性、潛伏性、可觸發(fā)性、針對性、衍生性和破壞性、抗反病毒軟件性等特點(diǎn)。計算機(jī)病毒種類繁多，大

42、體可分為以下四種類型：文件型病毒，這種病毒可其代碼附加于系統(tǒng)文件上；引導(dǎo)型病毒，這種病毒大多感染磁盤的主引導(dǎo)區(qū)；混合型，上述二者的結(jié)合。宏病毒，這種病毒是由一個或多個宏組成的遞歸復(fù)制自身的集合，它不破壞可執(zhí)行文件，而是破壞數(shù)據(jù)文件。65計算機(jī)病毒計算機(jī)病毒防治管理上預(yù)防病從口入技術(shù)上預(yù)防各種預(yù)防軟件計算機(jī)病毒清除：人工清除與工具軟件6610.2.3 黑客黑客(Hacker)源于英語動詞HaCk，意為“劈、砍”，引申為“辟出、開辟”，進(jìn)一步的意思是“干了一件非常漂亮的工作”。在20世紀(jì)早期的麻省理工學(xué)院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術(shù)高明的惡作劇。黑客：計算機(jī)系統(tǒng)的非法

43、入侵者。今天的黑客可分為兩類：一類是駭客，他們只想引人注目，證明自己的能力，在進(jìn)人網(wǎng)絡(luò)系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵人行為本身獲得巨大的成功滿足感；另一類是竊客，他們的行為帶有強(qiáng)烈的目的性，早期的這些黑客主要是竊取國家情報、科研情報，而現(xiàn)在的這些黑客的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個交易過程。6710.3 密碼技術(shù)由于Internet 是一種真正意義的全球網(wǎng)，所以假如沒有加密技術(shù)的幫助，所有的通信都會毫無“秘密”可言對一家打算從事電子商務(wù)的公司而言亦即通過Internet銷售產(chǎn)品和提供服務(wù)，通信的安全是一個最基本的前提；在Internet上

44、，每個人都需要、而且有權(quán)利保護(hù)自己的個人隱私。某人上網(wǎng)之后，對隱私的這種要求并未消失。密碼技術(shù)可有效地解決這些問題。10.3.1 基本概念10.3.2 對稱密鑰密碼體系10.3.3 非對稱密鑰密碼體系10.3.4 數(shù)字簽名6810.3.1 基本概念數(shù)據(jù)加密與解密的過程密碼是含有一個參數(shù)k的數(shù)學(xué)變換，即 C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數(shù)k稱為密鑰密文C是明文m 使用密鑰k 經(jīng)過加密算法計算后的結(jié)果；加密算法可以公開，而密鑰只能由通信雙方來掌握。6910.3.2 對稱密鑰密碼體系加密過程解密過程密鑰明文密文明文傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相

45、同，也稱為對稱密碼體制701、對稱加密算法：DESDES數(shù)據(jù)加密標(biāo)準(zhǔn) DES (data encrytion standard)算法由IBM 發(fā)明，并于1976 年成為美國政府標(biāo)準(zhǔn)DES是一種數(shù)據(jù)分塊的加密算法，數(shù)據(jù)長度為64位，其中8位作為基偶校驗位，有效密碼長度為56位首先將明文數(shù)據(jù)進(jìn)行初始置換，得到64位的混亂明文組，再將其分為2段，每段32位然后進(jìn)行乘積變換，在密匙的控制下，做16次迭代最后進(jìn)行逆初始變換而得到密文712、對稱加密算法： IDEAIDEA國際數(shù)據(jù)加密算法IDEA是行之有效的加密算法中最好、最安全的一種。由瑞士聯(lián)邦科學(xué)技術(shù)學(xué)院( SFT )的Xuejia Lai 和Jam

46、es Massey 提出IDEA使用3 個64 位的塊，以進(jìn)一步防范加密分析過程。IDEA使用了密碼反饋操作，使得算法強(qiáng)度更高IDEA的密鑰長度為128 位。當(dāng)試圖破譯IDEA時，它和DES一樣沒有泄露任何明文組成的信息IDEA存在最低要求。為得到強(qiáng)有力的密文，它在一個編碼塊中需要64 位的信息文本IDEA是為有大量數(shù)據(jù)傳輸?shù)腇TP 設(shè)計的7210.3.3 非對稱密鑰密碼體系RSA算法：1978年出現(xiàn)的，其名字來源于它的發(fā)明者Ron Rivest 、Adi Shamir 以及Leonard Adleman RSA的安全依賴于大數(shù)分解假如已知兩個非常大的質(zhì)數(shù)的乘積，那么很難解析出到底是哪兩個質(zhì)數(shù)相乘的結(jié)果(因數(shù)分解)RSA 的重要特點(diǎn)是其中一個密鑰可用來加密數(shù)據(jù)，另一個密鑰可用來解密。加密過程解密過程公鑰明文密文明文私鑰73公共密鑰算法 RSA這意味著任何人都能用你的公共密鑰對一條消息進(jìn)行加密，而只有你才能對它進(jìn)行解密。另外，你也可用自己的私人密鑰對任何東西進(jìn)行加密，而拿到你的公共密鑰的任何人都能對其解密。這個概念在“非拒認(rèn)”及數(shù)字簽名中是非常重要的7410.3.4 數(shù)字簽名公共密鑰加密可用來進(jìn)行身份驗證，只需構(gòu)建一個所謂的“數(shù)字簽名”即可。RSA體制被認(rèn)為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。7