信息安全基礎知識概述

第9章信息安全基礎知識河北師范大學信息技術學院主要內容9.1密碼學9.2認證9.3計算機病毒9.4黑客9.5防火墻第9章信息安全基礎知識29.1.1什么是密碼學密碼學的概念

密碼學是研究如何實現(xiàn)秘密通信的科學。它所提供的最基本的服務就是消息的發(fā)送者通過對消息進行加密，將消息變換成不可讀的方式；接收者收到消息后，用通信雙方事先約定好的方法進行變換，還原為消息的原始狀態(tài)。3加密解密過程一個消息的原始狀態(tài)稱之為明文，經過密碼學方法處理后的消息稱之為密文，將明文變換為密文的方式稱為加密，反之則稱之為解密，如圖9-1所示。第9章信息安全基礎知識4密碼系統(tǒng)密碼系統(tǒng)包括算法以及密鑰。第9章信息安全基礎知識5密鑰類似于銀行卡的密碼，開門的鑰匙。算法則是解密的方法，開門的方式。討論：密碼算法是否應該公開？雖然銀行卡的原理是眾所周知的（輸入6位秘密數(shù)字，就可以取錢或消費），但在不知道密碼的情況下，試圖從別人的銀行卡取錢并非易事。9.1.2如何加密第9章信息安全基礎知識6凱撒算法：

將信息中的每一個字母用字母表中的該字母后的第三個字母代替，如圖9-2所示。凱撒算法的改進7改進方法1在1～25之間隨機選擇一個數(shù)字作為移位個數(shù)，不再固定為3。monoalphabetic算法不采用固定移位的方式將字母變換為密文，即隨機的將一個字母替換為另一個固定字母。如我們選擇1，則APPLE被替換為BQQMF；選擇25，則APPLE被替換為ZOOKD。明碼表：ABCDEFGHIJKLMNOP…密碼表：UTXPQYOWLSZEADBI…APPLEUIIEQ9.1.3如何解密第9章信息安全基礎知識8已知密文攻擊條件：密文足夠多。難題：能否判斷解密是否成功。已知明文攻擊條件：已知部分明文-密文對。目標：推出用來加密的密鑰或算法。選擇明文攻擊條件：可任選一段明文，獲得相應密文。目標：通過使用被攻擊的加密算法加密，獲得加密算法信息Thequickbrownfoxjumpsoverthelazydog.第9章信息安全基礎知識什么是好的密碼系統(tǒng)不可破解算法可以公開適用所有元素易于實現(xiàn)，便于使用9.1.3如何解密9.1.4神奇的公鑰Thequickbrownfoxjumpsoverthelazydog.公鑰私鑰Thequickbrownfoxjumpsoverthelazydog.#*@#&*%$^&*!@~*明文密文明文竊密者不僅加密算法，甚至加密用的密鑰（公鑰）也可以公開。傳輸密文RSA體制：基于大數(shù)分解問題。AB數(shù)字簽名第9章信息安全基礎知識11數(shù)字簽名可以永久地與被簽署信息結合，無法自信息上移除。生成簽章討論：公鑰體制如何實現(xiàn)信息通信的保密性和不可否認性？9.1.5奇怪的哈希第9章信息安全基礎知識12目標文本哈希函數(shù)雜湊字串哈希（Hash）算法也稱為散列函數(shù)，是一種單向密碼體制。將任意長度的二進制值經過哈希方法映射固定長度的二進制串

它是一個從明文到密文的不可逆的映射,只有加密過程,沒有解密過程。主要內容9.1密碼學9.2認證9.3計算機病毒9.4黑客9.5防火墻第9章信息安全基礎知識139.2認證用戶認證是由計算機驗證你是否是你聲稱的那個人，這主要包括三個方面：第9章信息安全基礎知識14你所知道的內容你所擁有的東西你是誰9.2.1口令第9章信息安全基礎知識15證明自己的身份密碼泄露9.2.2猜口令口令的復雜程度實際上攻擊者只要進行足夠多的猜解嘗試，不管我們如何選擇口令，這些口令都是可以猜解的（窮舉法）。因此系統(tǒng)的用戶口令是否安全取決于需要多少次猜解，以及猜解的速度有多快。銀行卡系統(tǒng)的安全性問題第9章信息安全基礎知識16純數(shù)字順序字符臨近字符000000abcdef123qwe111111abcabcqwerty123456aaa1111Qweasd666666Abc123iloveu………………中國版“弱密碼”第9章信息安全基礎知識179.2.3貼在顯示器上的口令計算機系統(tǒng)利用攝像機獲取識別對象的面部圖像后與數(shù)據(jù)庫圖像進行比對，完成識別過程。是根據(jù)說話人的發(fā)音生理和行為特征，識別說話人身份的一種生物識別方法。

使用光學設備發(fā)出的低強度光源掃描視網膜上獨特的圖案，視網膜掃描是十分精確的。

指紋識別技術是目前最成熟、應用最為廣泛且價格便宜的生物特征識別技術。9.2.4生物特征使用設備測量用戶的生物特征并和用戶檔案進行對比。。第9章信息安全基礎知識18指紋識別視網膜掃描聲紋識別面部識別主要內容9.1密碼學9.2認證9.3計算機病毒9.4黑客9.5防火墻第9章信息安全基礎知識199.3計算機病毒9.3.1計算機病毒的定義及危害第9章信息安全基礎知識20定義

所謂計算機病毒，是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或程序代碼。危害正常的程序無法運行，計算機內的文件被刪除或受損。計算機引導扇區(qū)及BIOS、硬件環(huán)境被破壞。9.3.2計算機病毒的分類及特征第9章信息安全基礎知識21引導扇區(qū)病毒能夠替換計算機啟動時要使用的引導扇區(qū)程序，當計算機運行受感染的引導程序時，便把病毒加載到了內存之中，隨即傳染到插入該計算機中的任何磁盤上。文件病毒文件病毒依附于程序文件上或者替換掉原來的文件，這樣當其他文件訪問這個文件時，病毒便乘機傳播過去。特洛伊木馬病毒病毒偽裝成一個實用工具或者游戲甚至一個位圖文件等等，誘使用戶將其安裝在PC或者服務器上。其名稱來源于希臘神話，有“一經潛入，后患無窮”之意。1.計算機病毒分類9.3.2計算機病毒的分類及特征第9章信息安全基礎知識22宏病毒宏病毒使用像Word、電子表格之類的應用程序的宏來隱藏病毒代碼，當用戶打開一個感染宏病毒的文檔時，宏病毒便會加載到內存之中。邏輯炸彈大多數(shù)病毒，在計算機訪問或運行染毒文件或程序時就立即發(fā)作。也有一些病毒，需要特定的條件才能觸發(fā)，稱作邏輯炸彈或時間炸彈的病毒就是如此。蠕蟲病毒蠕蟲與病毒有所不同，它不把本身程序依附在其他程序之上，而是不斷地把本身程序復制到內存中或硬盤上，直到占滿所有存儲空間為止。這時計算機被迫停止工作。1.計算機病毒分類第9章信息安全基礎知識232.計算機病毒特征9.3.2計算機病毒的分類及特征傳染性寄生性觸發(fā)性隱蔽性破壞性和傳染性是絕大多數(shù)病毒的主要特點。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，用戶難以發(fā)現(xiàn)它的存在。計算機病毒侵入系統(tǒng)后，往往不是立即發(fā)作，而是有一定的潛伏期。當滿足病毒觸發(fā)條件時便會發(fā)作。病毒的代碼千差萬別，且技術不斷提高，病毒對反病毒軟件永遠是超前的。9.3.3計算機病毒的傳播方式第9章信息安全基礎知識249.3.4計算機病毒的防范

對計算機病毒采取“預防為主”的方針。25安裝反病毒軟件，定期掃描系統(tǒng)。及時給系統(tǒng)打上補丁。將不需要寫入的USB設備設置成寫保護狀態(tài)，以防止病毒的侵入。不要訪問無名和不熟悉的網站，到正規(guī)官方網站下載軟件。不輕易打開郵件附件中的文件。定期拷貝重要的軟件和數(shù)據(jù)作為備份，以免遭受病毒侵害后不能恢復。主要內容9.1密碼學9.2認證9.3計算機病毒9.4黑客9.5防火墻第9章信息安全基礎知識269.4黑客第9章信息安全基礎知識27黑客一詞，源于英文Hacker，原指癡于計算機技術、水平高超的電腦專家，尤指程序設計人員。但到了今天，黑客一詞已被用于泛指那些專門入侵破壞系統(tǒng)和盜竊系統(tǒng)中有用數(shù)據(jù)的人。9.4.1黑客攻擊的一般過程第9章信息安全基礎知識28信息的收集系統(tǒng)安全弱點的探測建立模擬環(huán)境，進行模擬攻擊具體實施網絡攻擊9.4.2黑客攻擊的手段第9章信息安全基礎知識291.協(xié)議欺騙攻擊源IP地址欺騙攻擊源路由欺騙攻擊2.DoS攻擊3.網絡嗅探攻擊4.緩沖區(qū)溢出攻擊9.4.3黑客攻擊的防范第9章信息安全基礎知識301.協(xié)議欺騙攻擊防范2.拒絕服務攻擊防范3.網絡嗅探攻擊防范4.緩沖區(qū)溢出攻擊防范拋棄基于地址的信任策略使用加密方法進行包過濾配置好路由器，拋棄那些由外部網進來的卻聲稱是內部主機的報文。建議在該網段的路由器上做些配置的調整。要防止SYN數(shù)據(jù)段攻擊，我們應對系統(tǒng)設定相應的內核參數(shù)。建議在路由器的前端做必要的TCP攔截。對于信息淹沒攻擊，我們應關掉可能產生無限序列的服務來防止這種攻擊。網絡分段加密一次性口令技術禁用雜錯節(jié)點程序指針完整性檢查堆棧的保護數(shù)組邊界檢查主要內容9.1密碼學9.2認證9.3計算機病毒9.4黑客9.5防火墻第9章信息安全基礎知識319.5防火墻防火墻是一種保護計算機網絡安全的訪問控制技術。防火墻是一個位于內部網絡與Internet之間的計算機或網絡設備中的一個功能模塊，是按照一定的安全策略建立起來的硬件和軟件的有機組成體。其目的是為內部網絡或主機提供安全保護。第9章信息安全基礎知識32

防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。1.防火墻的基本準則一切未被允許的就是禁止的

第9章信息安全基礎知識33一切未被禁止的就是允許的2.防火墻的基本功能第9章信息安全基礎知識34過濾進出網絡的數(shù)據(jù)管理進出網絡的訪問行為封堵某些禁止的業(yè)務記錄通過防火墻的信息內容和活動對網絡攻擊進行檢測和告警3.防火墻的關鍵技術包過濾技術第9章信息安全基礎知識35應用層傳輸層網際互聯(lián)層網絡接口層代理服務技術狀態(tài)監(jiān)控技術4.防火墻存在的主要問題限制服務類型和靈活性不能對抗私有網中的后門潛在危險仍然存在潛在的效率瓶頸一般不保護來自內部的攻擊第9章信息安全基礎知識365.防火墻的發(fā)展第9章信息安全基礎知識37可互操作性可管理性網絡層與應用層全面防護一體化多模塊聯(lián)動，一體化引擎云、大數(shù)據(jù)分