第七章 計算機(jī)網(wǎng)絡(luò)安全

計算機(jī)網(wǎng)絡(luò)安全2021/5/91計算機(jī)網(wǎng)絡(luò)安全的概念計算機(jī)網(wǎng)絡(luò)對安全性的要求訪問控制技術(shù)防火墻技術(shù)秘密密鑰與公開密鑰本章學(xué)習(xí)要點：2021/5/927．1計算機(jī)網(wǎng)絡(luò)安全概述7．2訪問控制技術(shù)7．3防火墻技術(shù)7.4網(wǎng)絡(luò)信息安全

2021/5/937．1計算機(jī)網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

計算機(jī)網(wǎng)絡(luò)最重要的功能是向用戶提供信息服務(wù)及其擁有的信息資源。與此同時，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會的焦點中的焦點.2021/5/94網(wǎng)絡(luò)的安全應(yīng)具有以下四個方面的特征：保密性指信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。完整性指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯灾缚杀皇跈?quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等，都屬于對可用性的攻擊?？煽匦灾笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。2021/5/957．1．1網(wǎng)絡(luò)安全涉及的范圍7．1．2常見的網(wǎng)絡(luò)攻擊7．1．3計算機(jī)網(wǎng)絡(luò)的安全要求7．1．4常用的安全技術(shù)7．1．5安全級別2021/5/96保護(hù)系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞。明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞的地方。對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)的各種威脅有充分的估計。要開發(fā)并實施有效的安全策略，盡可能減少可能面臨的各種風(fēng)險。準(zhǔn)備適當(dāng)?shù)膽?yīng)急計劃，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或攻擊后能夠盡快恢復(fù)正常工作。定期檢查各種安全管理措施的實施情況與有效性。計算機(jī)網(wǎng)絡(luò)安全包括廣泛的策略7．1．1網(wǎng)絡(luò)安全涉及的范圍計算機(jī)網(wǎng)絡(luò)安全包括以下幾方面的內(nèi)容：2021/5/977．1．2常見的網(wǎng)絡(luò)攻擊1．拒絕服務(wù)攻擊2．郵件炸彈3．過載攻擊4．入侵5．信息竊取6．病毒2021/5/98

拒絕服務(wù)(DoS)攻擊是一種破壞性攻擊 其主要目的是通過對目標(biāo)主機(jī)實施攻擊，占用大量的共享資源，降低目標(biāo)系統(tǒng)資源的可用性，甚至使系統(tǒng)暫時不能響應(yīng)用戶的服務(wù)請求。 另外攻擊者還破壞資源，造成系統(tǒng)癱瘓，使其它用戶不能再使用這些資源。雖然入侵者不會得到任何好處，但是拒絕服務(wù)攻擊會給正常用戶和站點的形象帶來較大的影響。1．拒絕服務(wù)攻擊2021/5/992．郵件炸彈

郵件炸彈是指反復(fù)收到大量無用的電子郵件。過多的郵件會加劇網(wǎng)絡(luò)的負(fù)擔(dān)，消耗大量的存儲空間，造成郵箱的溢出，使用戶不能再接收任何郵件，導(dǎo)致系統(tǒng)日志文件變得十分龐大，甚至造成文件系統(tǒng)溢出。同時，大量郵件的到來將消耗大量的處理器時間，妨礙了系統(tǒng)正常的處理活動。

識別郵件炸彈的源頭，跟蹤信息來源；配置路由器，拒收源端主機(jī)發(fā)送的郵件，或保證外面的SMTP連接只能到達(dá)指定服務(wù)器，而不能影響其它系統(tǒng)解決郵件炸彈的方法有：2021/5/910

過載攻擊是使一個共享資源或者服務(wù)處理大量的請求，從而導(dǎo)致無法滿足其他用戶的請求。過載攻擊包括進(jìn)程攻擊和磁盤攻擊等幾種方法。進(jìn)程攻擊實際上就是產(chǎn)生大量的進(jìn)程，磁盤攻擊包括磁盤滿攻擊、索引節(jié)點攻擊、樹結(jié)構(gòu)攻擊、交換空間攻擊、臨時目錄攻擊等幾種方法。3．過載攻擊

end2021/5/9114．入侵

緩沖區(qū)溢出(2)口令破譯(3)利用上層服務(wù)配置問題入侵(4)網(wǎng)絡(luò)欺騙入侵2021/5/912

所謂緩沖區(qū)溢出是指程序沒有檢查拷貝到緩沖區(qū)的字符串長度，而將一個超過緩沖區(qū)長度的字符串拷貝到緩沖區(qū)，造成了緩沖區(qū)空間的字符串覆蓋了與緩沖區(qū)相鄰的內(nèi)存區(qū)域，這是編程的常見錯誤。(1)緩沖區(qū)溢出

第一是某個程序存在緩沖區(qū)溢出問題； 其次，該程序是一個SUIDroot程序。利用緩沖區(qū)溢出攻擊系統(tǒng)需要兩個條件：2021/5/913有兩種方法可以破譯口令:一種稱為字典遍歷法 使用一個口令字典，逐一比較得到的加密數(shù)據(jù)和口令文件的加密項，一種方法是根據(jù)算法解密 目前發(fā)明的加密算法絕大多數(shù)都能被破譯，(2)口令破譯2021/5/914

用上層服務(wù)入侵非常普遍，包括利用NFS、FTP、WWW等服務(wù)設(shè)計和配置過程中存在的問題。(3)利用上層服務(wù)配置問題入侵2021/5/915

絡(luò)欺騙入侵包括IP欺騙、ARP欺騙、DNS欺騙和WWW欺騙四種方式，它們的實現(xiàn)方法有入侵者冒充合法用戶的身份，騙過目標(biāo)主機(jī)的認(rèn)證，或者入侵者偽造一個虛假的上下文環(huán)境，誘使其他用戶泄露信息。關(guān)于網(wǎng)絡(luò)欺騙入侵更詳細(xì)的資料，感興趣的讀者請參閱相關(guān)文獻(xiàn)。(4)網(wǎng)絡(luò)欺騙入侵2021/5/916

窺探是一種廣泛使用的信息竊取方法。惡意用戶也可以利用這種混雜方式截獲網(wǎng)絡(luò)上傳輸?shù)年P(guān)鍵數(shù)據(jù)，如口令、賬號、機(jī)密信息等，它對計算機(jī)系統(tǒng)或關(guān)鍵部門等將造成極大的威脅。5．信息竊取2021/5/917

病毒實際上是一段可執(zhí)行的程序，它常常修改系統(tǒng)中另外的程序，將自己復(fù)制到其他程序代碼中，感染正常的文件。病毒可以分為以下3類。(1)文件類病毒(2)操作系統(tǒng)類病毒(3)宏病毒6．病毒2021/5/918

文件類病毒使用可執(zhí)行文件作為傳播的媒介，感染系統(tǒng)中的COM、EXE和SYS文件。當(dāng)用戶或操作系統(tǒng)執(zhí)行被感染的程序時，病毒將首先執(zhí)行，并得到計算機(jī)的控制權(quán)，然后它立即開始尋找并感染系統(tǒng)中其他的可執(zhí)行文件，或把自己建立為操作系統(tǒng)的內(nèi)存駐留服務(wù)程序，隨時感染其它的可執(zhí)行文件。(1)文件類病毒2021/5/919

操作系統(tǒng)類病毒的攻擊目標(biāo)是系統(tǒng)的引導(dǎo)程序，它們通常覆蓋硬盤或軟盤上的引導(dǎo)記錄，當(dāng)系統(tǒng)啟動時，它們就完全控制了機(jī)器，并能感染其它的文件，甚至造成系統(tǒng)的癱瘓。(2)操作系統(tǒng)類病毒2021/5/920

宏病毒的感染目標(biāo)是帶有宏的數(shù)據(jù)文件，最常見的是帶有模板的doc文件，(3)宏病毒2021/5/921

計算機(jī)網(wǎng)絡(luò)安全的本質(zhì)就是要保證這些因素避免各種偶然的和人為的破壞與攻擊，并且要求這些資源在被攻擊的狀況下能夠盡快恢復(fù)正常的工作，以保證系統(tǒng)的安全可靠性。7．1．3計算機(jī)網(wǎng)絡(luò)的安全要求1．安全性2．完整性3．保密性4．可用性2021/5/922

計算機(jī)網(wǎng)絡(luò)的安全性包括內(nèi)部安全和外部安全兩個方面的內(nèi)容。內(nèi)部安全:在系統(tǒng)的軟硬件中實現(xiàn)的，它包括對用戶進(jìn)行識別和認(rèn)證，防止非授權(quán)用戶訪問系統(tǒng)；確保系統(tǒng)的可靠性，以避免軟件的缺陷(Bug)成為系統(tǒng)的入侵點；對用戶實施訪問控制，拒絕用戶訪問超出其訪問權(quán)限的資源；外部安全包括:加強(qiáng)系統(tǒng)的物理安全，防止其他用戶直接訪問系統(tǒng)；保證人事安全，加強(qiáng)安全教育，防止用戶特別是內(nèi)部用戶泄密。1．安全性2021/5/923(1)軟件完整性軟件是計算機(jī)系統(tǒng)的重要組成部分，它能完成各種不同復(fù)雜程度的系統(tǒng)功能。軟件的優(yōu)點是編程人員在開發(fā)或應(yīng)用過程中可以隨時對它進(jìn)行更改，以使系統(tǒng)具有新的功能，但這種優(yōu)點給系統(tǒng)的可靠性帶來了嚴(yán)重的威脅。(2)數(shù)據(jù)完整性數(shù)據(jù)完整性是指存儲在計算機(jī)系統(tǒng)中的或在系統(tǒng)之間傳輸?shù)臄?shù)據(jù)不受非法刪改或意外事件的破壞，以保持?jǐn)?shù)據(jù)整體的完整。2．完整性2021/5/924

保密性是計算機(jī)網(wǎng)絡(luò)安全的一個重要方面，目的是防止用戶非法獲取關(guān)鍵的敏感信息，避免機(jī)密信息的泄露。 加密是保護(hù)數(shù)據(jù)的一種重要方法，也是保護(hù)存儲在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常采用加密來保證數(shù)據(jù)的保密性3．保密性2021/5/925

可用性是指無論何時；只要用戶需要，系統(tǒng)和網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計算機(jī)及網(wǎng)絡(luò)系統(tǒng)遭到非法攻擊時，它必須仍然能夠為用戶提供正常的系統(tǒng)功能或服務(wù)。為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)和系統(tǒng)中存在的各種破壞可用性的問題。4．可用性2021/5/9261.防火墻2.鑒別3．訪問控制4．加／解密技術(shù)5.審計和入侵檢測6.安全掃描7．1．4常用的安全技術(shù)2021/5/927

防火墻是一種有效的網(wǎng)絡(luò)安全機(jī)制，是保證主機(jī)和網(wǎng)絡(luò)安全必不可少的工具。防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng).防火墻的基本類型有以下幾種:(1)包過濾型 包過濾型防火墻工作在網(wǎng)絡(luò)層，它以IP包為對象，對IP源/目的地址、封裝協(xié)議、端口號等進(jìn)行篩選，阻塞或允許IP包通過。(2)代理服務(wù)器型 代理型防火墻包括兩部分：服務(wù)器端程序和客戶端程序。(3)堡壘主機(jī) 將包過濾和代理服務(wù)器兩種方法結(jié)合起來，構(gòu)造堡壘主機(jī)，對包進(jìn)行過濾，并負(fù)責(zé)提供代理服務(wù)。1.防火墻2021/5/928

身份認(rèn)證是證實信息交換過程合法有效的一種重要手段，它包括3方面的內(nèi)容(1)報文鑒別 報文鑒別是指在通信雙方建立通信聯(lián)系后，要對各自收到的信息進(jìn)行驗證，以保證所收到的信息是真實的。報文鑒別必須確定報文源、報文內(nèi)容以及報文順序的正確性。(2)身份認(rèn)證 身份認(rèn)證是指對用戶身份的正確識別和校驗，它包括識別和驗證兩方面的內(nèi)容。

(3)數(shù)字簽名 數(shù)字簽名可以保證接收方收到的報文內(nèi)容是真實的，2.鑒別2021/5/929

訪問控制的基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)以及合法用戶對系統(tǒng)資源的非法使用，訪問控制包括兩個處理過程：識別與認(rèn)證用戶，這是身份認(rèn)證的內(nèi)容，通過對用戶的識別和認(rèn)證，可以確定該用戶對某一系統(tǒng)資源的訪問權(quán)限。 目前，有3種訪問控制方法：自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制。3．訪問控制2021/5/930計算機(jī)數(shù)據(jù)的保護(hù)包括3個層次的內(nèi)容盡量避免非授權(quán)用戶獲取數(shù)據(jù)保證即使用戶獲取了數(shù)據(jù)保證用戶竊取了數(shù)據(jù)后不能修改數(shù)據(jù) 加/解密的基本思想是“偽裝”信息，使非授權(quán)者不能理解信息的真實含義，而授權(quán)者卻能夠理解“偽裝”信息的真正含義。 加密算法通常分為對稱密碼算法和非對稱密碼算法兩類。對稱密碼算法使用的加密密鑰和解密密鑰相同，非對稱加密算法正好相反，它使用不同的密鑰對數(shù)據(jù)進(jìn)行加密和解密，4．加／解密技術(shù)2021/5/931

審計實際上是通過事后追查的手段來保證系統(tǒng)的安全。侵檢測能夠?qū)τ脩舻姆欠ú僮骰蛘`操作做實時的監(jiān)控，并且將該事件報告給管理員。5.審計和入侵檢測2021/5/932

安全掃描是一種新的安全解決思路，它的基本思想是模仿黑客的攻擊方法，從攻擊者的角度來評估系統(tǒng)和網(wǎng)絡(luò)的安全性。掃描器是實施安全掃描的工具，它通過模擬的攻擊來查找目標(biāo)系統(tǒng)和網(wǎng)絡(luò)中存在的各種安全漏洞，并給出相應(yīng)的處理辦法，從而提高系統(tǒng)的安全性。6.安全掃描2021/5/9331．D級：D級是最低的安全級別，擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子，任何人可以自由進(jìn)出，是完全不可信的。2．C1級：C1級又稱選擇性安全保護(hù)系統(tǒng)，它描述了一種典型的用在Unix系統(tǒng)上的安全級別。3．C2級：除了C1級包含的特性外，C2級別應(yīng)具有訪問控制環(huán)境權(quán)力。4．B1級（B級中有三個級別）：B1級即標(biāo)志安全保護(hù)，是支持多級安全(例如秘密和絕密)的第一個級別，這個級別說明處于強(qiáng)制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。7．1．5安全級別2021/5/9345．B2級：B2級，又叫做結(jié)構(gòu)保護(hù)，它要求計算機(jī)系統(tǒng)中所有的對象都要加上標(biāo)簽，而且給設(shè)備(磁盤、磁帶和終端)分配單個或多個安全級別。它是提供較高安全級別對象與較低安全級別對象相通信的第一個級別。6．B3級：B3級又稱安全域級別，使用安裝硬件的方式來加強(qiáng)域的安全。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。7．A級：A級又稱驗證設(shè)計是當(dāng)前橙皮書的最高級別，它包括了一個嚴(yán)格的設(shè)計、控制和驗證過程。與前面所提到的各級別一樣，該級別包含了較低級別的所有特性。2021/5/9357．2訪問控制技術(shù)7．2．１基于口令的訪問控制技術(shù)７．２．２選擇性訪問控制技術(shù)

訪問控制的作用是對訪問系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識別，并檢驗其身份兩個主要的問題，即用戶是誰?該用戶的身份是否真實?

訪問控制的常用方法是：對沒有合法用戶名及口令的任何人進(jìn)行限制，禁止訪問系統(tǒng)。2021/5/936口令是實現(xiàn)訪問控制的一種最簡單和有效的方法。1．選用口令應(yīng)遵循的原則2．增強(qiáng)口令安全性措施3．其它方法4．應(yīng)當(dāng)注意的事項７．２．１基于口令的訪問控制技術(shù)2021/5/937

最有效的口令應(yīng)該使用戶很容易記住，而“黑客”很難猜測或破解的字符串。 一個有效的口令應(yīng)遵循下列規(guī)則：選擇長口令。最好的口令是包括字母和數(shù)字字符的組合。不要使用有明確意義的英語單詞。在用戶訪問的各種系統(tǒng)上不要使用相同的口令。不要簡單地使用個人名字，特別是用戶的實際姓名、家庭成員的姓名等。不要選擇不容易記住的口令。1．選用口令應(yīng)遵循的原則2021/5/938

這些特性被稱為登錄／口令控制，對增強(qiáng)用戶口令的安全性很有效，其特性如下：口令更換系統(tǒng)要求口令更換最短長度系統(tǒng)生成口令2．增強(qiáng)口令安全性措施2021/5/939登錄時間限制限制登錄次數(shù)最后一次登錄3．其它方法2021/5/940不要將口令給別人不要將口令寫在其他人可以接觸的地方。不要用系統(tǒng)指定的口令在第一次進(jìn)入帳戶時修改口令，不要沿用許多系統(tǒng)給所有新用戶的缺省口令，經(jīng)常改變口令。4．應(yīng)當(dāng)注意的事項2021/5/941

訪問控制可以有效地將非授權(quán)的人拒之于系統(tǒng)之外。選擇性訪問控制的思想規(guī)定了對文件和數(shù)據(jù)的操作權(quán)限。通常采用3種不同種類的訪問：讀，允許讀一個文件。寫，允許創(chuàng)建和修改一個文件。執(zhí)行，運(yùn)行程序。如果擁有執(zhí)行權(quán)，就可以運(yùn)行該程序。７．２．２選擇性訪問控制技術(shù)2021/5/9427．3防火墻技術(shù)

防火墻是用于防止網(wǎng)絡(luò)被攻擊以及防止傳播病毒摧毀和破壞信息的有效方法。它用來限制信息在網(wǎng)絡(luò)之間的隨意流動。 防火墻使用硬件平臺和軟件平臺來決定什么請求可以從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部網(wǎng)絡(luò)進(jìn)入到外部網(wǎng)絡(luò)，2021/5/9437．3．1防火墻的優(yōu)缺點７．３．２防火墻的設(shè)計７．３．３防火墻的組成2021/5/9442．防火墻的局限性防火墻不能防范由于內(nèi)部用戶不注意所造成的威脅。防火墻很難防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸。防火墻很難防止數(shù)據(jù)驅(qū)動式攻擊。7．3．1防火墻的優(yōu)缺點1．防火墻的優(yōu)點 防火墻的優(yōu)點未經(jīng)授權(quán)的用戶(如黑客、攻擊者、破壞者或間諜)阻擋在受保護(hù)的內(nèi)部網(wǎng)絡(luò)之外，禁止易受攻擊的服務(wù)進(jìn)、出受保護(hù)的網(wǎng)絡(luò)，并防止各類路由攻擊。Internet防火墻通過加強(qiáng)網(wǎng)絡(luò)安全，簡化網(wǎng)絡(luò)管理。2021/5/9451．防火墻的基本準(zhǔn)則

“拒絕一切未被允許的東西,允許一切未被特別拒絕的東西”

2．機(jī)構(gòu)的安全策略 安全政策必須建立在認(rèn)真的安全分析、風(fēng)險評估和商業(yè)需要分析的基礎(chǔ)之上。

3．防火墻的費(fèi)用 防火墻的費(fèi)用取決于它的復(fù)雜程度以及要保護(hù)的系統(tǒng)規(guī)模。７．３．２防火墻的設(shè)計2021/5/9461.包過濾路由器

2.應(yīng)用網(wǎng)關(guān)(代理服務(wù)器) 3.堡壘主機(jī)７．３．３防火墻的組成2021/5/947

包過濾路由器也被稱為屏蔽路由器。一個包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。路由器逐一審查每份數(shù)據(jù)包以及它是否與某個包過濾規(guī)則相匹配。過濾規(guī)則是以IP數(shù)據(jù)包中的信息為基礎(chǔ)的.1.包過濾路由器2021/5/948(1)從屬服務(wù)過濾 包過濾規(guī)則允許路由器以一個特殊服務(wù)為基礎(chǔ)對信息流進(jìn)行取舍，因為大多數(shù)服務(wù)檢測器都監(jiān)聽TCP／UDP的默認(rèn)端口。(2)獨(dú)立于服務(wù)的過濾 有些類型的攻擊很難用基本數(shù)據(jù)包中的信息加以鑒別，因為這些攻擊與常規(guī)的服務(wù)無關(guān)。有些路由器可以用來防止這類攻擊，但過濾規(guī)則需要增加一些信息.(3)包過濾路由器的優(yōu)點 執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間。不需要在每臺主機(jī)上安裝特別的軟件。(4)包過濾路由器的局限性 定義包過濾路由器可能是一項復(fù)雜的工作另外，包過濾器不可能對通信提供足夠的控制。2021/5/949

網(wǎng)絡(luò)管理員可以利用應(yīng)用網(wǎng)關(guān)執(zhí)行比包過濾路由器更為有效的安全策略。

如果網(wǎng)絡(luò)管理員使用了代理服務(wù)，則各種服務(wù)不再直接通過防火墻轉(zhuǎn)發(fā)，對這種應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)取決于代理服務(wù)器的配置。２．應(yīng)用網(wǎng)關(guān)(代理服務(wù)器)2021/5/950

堡壘主機(jī)是Internet上的主機(jī)能夠連接到的、惟一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)，它對外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)，所以任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)時，都必須連接到堡壘主機(jī)上，如圖３．堡壘主機(jī)

使用堡壘主機(jī)作為防火墻2021/5/951

應(yīng)用網(wǎng)關(guān)常常被稱作“堡壘主機(jī)”，因為它是一個被特別“加固”的、用來防范各類攻擊的專用系統(tǒng)。通常，堡壘主機(jī)具有以下一些特點： 堡壘主機(jī)的硬件平臺上運(yùn)行的是一個比較“安全”的操作系統(tǒng)，如UNⅨ操作系統(tǒng)，它防止了操作系統(tǒng)受損，同時也確保了防火墻的完整性。 只有那些有必要的服務(wù)才安裝在堡壘主機(jī)內(nèi)。一般來說，堡壘主機(jī)內(nèi)只安裝為數(shù)不多的幾個代理應(yīng)用程序子集，如Telnet、DNS、FTP、SMTP和用戶認(rèn)證等。2021/5/952７．４網(wǎng)絡(luò)信息安全

現(xiàn)代的網(wǎng)絡(luò)信息加密技術(shù)就是適應(yīng)了網(wǎng)絡(luò)安全的需要而應(yīng)運(yùn)產(chǎn)生的，它為我們進(jìn)行一般的電子商務(wù)活動提供了安全保障.7．4．1加密的概念7．4．2傳統(tǒng)密碼技術(shù)7.4.3對稱式數(shù)據(jù)加密標(biāo)準(zhǔn)7.4.4非對稱式數(shù)據(jù)加密標(biāo)準(zhǔn)7．4．5數(shù)據(jù)加密的應(yīng)用7．4．6數(shù)字簽名7．4．7

交易中用戶身份的驗證2021/5/953

加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。信息被稱為明文。用某種方法偽裝信息以隱藏它的內(nèi)容的過程稱為加密(Encryption)，被加密的信息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密(Decryption)。加密技術(shù)通常分為兩大類：“對稱式”和“非對稱式”。 對稱式加密技術(shù)是加密者和解密者使用相同的密鑰，也被稱為保密密鑰加密， 非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，7．4．1加密的概念2021/5/954數(shù)據(jù)表示方法 數(shù)據(jù)的表示有多種形式，使用最多的是文字，還有圖形、聲音、圖像等。傳統(tǒng)加密方法中的數(shù)據(jù)表示方法，主要應(yīng)用對象是對文字信息進(jìn)行加密解密。2．替代密碼 替代密碼是使用替代法進(jìn)行加密所產(chǎn)生的密碼。替代密碼就是明文中每一個字符被替換成密文中的另外一個字符。３．多表替代密碼 周期替代密碼是一種常用的多表替代密碼，又稱為維吉尼亞密碼（Vigenere）。４．換位密碼

(1)列換位法：將明文字符分割成為五個一行的分組并按一組后面跟著另一組的形式排好：

(2)矩陣換位法：這種加密是把明文中的字母按給定的順序安排在一個矩陣中，然后用另一種順序選出矩陣的字母來產(chǎn)生密文。7．4．2傳統(tǒng)密碼技術(shù)2021/5/955 保密密鑰或?qū)ΨQ密鑰加密算法DES(DataEncryptionStandard)：DES使用56位密鑰對64位的數(shù)據(jù)塊進(jìn)行加密，并對64位的數(shù)據(jù)塊進(jìn)行16輪編碼。與每輪編碼時，一個48位的“每輪”密鑰值由56位的完整密鑰得出來。７．４．３對稱式數(shù)據(jù)加密標(biāo)準(zhǔn)2021/5/956７．４．４非對稱式數(shù)據(jù)加密標(biāo)準(zhǔn)

非對稱式數(shù)據(jù)加密標(biāo)準(zhǔn)的加密算法是RSA(Rivest-Shamir-Adleman)?；诖髷?shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。就是找兩個很大的質(zhì)數(shù)。