網(wǎng)絡(luò)安全主題班會(huì)課件16

安全現(xiàn)狀及關(guān)鍵技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)人:XXXX時(shí)間:202X.X01網(wǎng)絡(luò)安全事件02網(wǎng)絡(luò)攻擊類(lèi)型與解決03保障網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)CONTENT目錄網(wǎng)絡(luò)安全事件wangluoanquanshijian01網(wǎng)絡(luò)安全事件的有關(guān)報(bào)道

據(jù)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。

據(jù)美國(guó)金融時(shí)報(bào)報(bào)道，世界上平均每20秒就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，三分之一的防火墻被突破。

美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆?塞特爾稱(chēng)：給我精選10名“黑客”，組成個(gè)小組，90天內(nèi)，我將使美國(guó)趴下。

超過(guò)50%的攻擊來(lái)自?xún)?nèi)部，其次是黑客。案例一：某電子商務(wù)網(wǎng)站被攻擊主服務(wù)器遭到黑客攻擊后癱瘓?jiān)趩⒂脗浞莘?wù)器后，數(shù)據(jù)大部分被刪除有CheckPoint防火墻，但防火墻行同虛設(shè)主機(jī)上沒(méi)有作過(guò)多配置，存在大量的服務(wù)安裝了pcAnywhere遠(yuǎn)程控制軟件

現(xiàn)象案例一的教訓(xùn)在遭到黑客攻擊后應(yīng)采取的措施關(guān)鍵數(shù)據(jù)的備份主機(jī)日志檢查與備份主機(jī)的服務(wù)端口的關(guān)閉主機(jī)可疑進(jìn)程的檢查主機(jī)帳號(hào)的修改防火墻的策略修改啟用防火墻日志詳細(xì)記錄避免使用的危險(xiǎn)進(jìn)程利用DiskRecovery技術(shù)對(duì)硬盤(pán)數(shù)據(jù)進(jìn)行恢復(fù)案例二：中國(guó)電信信息港被攻擊遭到黑客DDOS攻擊服務(wù)器被癱瘓，無(wú)法提供正常的服務(wù)來(lái)源地址有3000多個(gè)，多數(shù)來(lái)自與國(guó)內(nèi)有一部分攻擊主機(jī)是電信內(nèi)部的IP地址

案例加強(qiáng)對(duì)骨干網(wǎng)設(shè)備的監(jiān)控減少骨干網(wǎng)上主機(jī)存在的漏洞在受到攻擊時(shí)，迅速確定來(lái)源地址，在路由器和防火墻上作一些屏蔽實(shí)現(xiàn)IDS和防火墻的聯(lián)動(dòng)

教訓(xùn)02網(wǎng)絡(luò)攻擊類(lèi)型與解決wangluogongjileixingyujiejue案例一：某電子商務(wù)網(wǎng)站被攻擊1、信息的收集

入侵者攻擊的第一步就是盡一切可能對(duì)攻擊目標(biāo)進(jìn)行信息收集以獲取充足的資料。采取的方法包括：使用whois工具獲取網(wǎng)絡(luò)注冊(cè)信息；使用nslookup或dig工具搜索DNS表以確定機(jī)器名稱(chēng)；確定了攻擊目標(biāo)的基本屬性（站點(diǎn)地址、主機(jī)名稱(chēng)），入侵者將對(duì)它們進(jìn)行深入剖析。使用ping工具探尋“活”著的機(jī)器；對(duì)目標(biāo)機(jī)器執(zhí)行TCP掃描以發(fā)現(xiàn)是否有可用服務(wù)。黑客入侵的步驟2、實(shí)施攻擊

列舉兩種攻擊方法：（1）通過(guò)發(fā)送大量數(shù)據(jù)以確定是否存在緩沖區(qū)溢出漏洞。所謂緩沖區(qū)溢出：指入侵者在程序的有關(guān)輸入項(xiàng)目中了輸入了超過(guò)規(guī)定長(zhǎng)度的字符串，超過(guò)的部分通常就是入侵者想要執(zhí)行的攻擊代碼，而程序編寫(xiě)者又沒(méi)有進(jìn)行輸入長(zhǎng)度的檢查，最終導(dǎo)致多出的攻擊代碼占據(jù)了輸入緩沖區(qū)后的內(nèi)存而執(zhí)行。（2）嘗試使用簡(jiǎn)單口令破解登錄障礙。3、安裝后門(mén),清除日志對(duì)于入侵者而言，一旦成功地入侵了網(wǎng)絡(luò)中的一臺(tái)機(jī)器，入侵者現(xiàn)在要做的就是隱藏入侵痕跡并制造日后再攻的后門(mén)，這就需要對(duì)日志文件或其他系統(tǒng)文件進(jìn)行改造，或者安裝上木馬程序、或者替換系統(tǒng)文件為后門(mén)程序。SQLInjection攻擊的原理漏洞分析─Script描述語(yǔ)言ASP程序語(yǔ)言為一種Script描述語(yǔ)言。Script描述語(yǔ)言的特點(diǎn)：

在程序執(zhí)行以前，所有原先是變數(shù)的地方，都會(huì)被替換成當(dāng)時(shí)輸入的值。select*fromAccountswhereId=‘輸入的密碼’

andPassword=‘輸入的密碼’因此若輸入的帳號(hào)為「a’or‘’=‘’」，輸入的密碼為「a’or‘’=‘’」，則原先的SQL指令就被改成了select*fromAccountswhereId=‘a(chǎn)’or‘’=‘’andPassword=‘a(chǎn)’or‘’=‘’SQLInjection攻擊的原理SQLInjection攻擊的原理服務(wù)器端的程序select*fromAccountswhereId=‘Id’andPassword=‘Password’惡意使用者輸入范例一：Login：'or''=‘Password：'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''andPassword=''or''=''Internet的攻擊類(lèi)型11、拒絕服務(wù)攻擊PING風(fēng)暴（PINGFlooding）PING命令是用來(lái)在網(wǎng)絡(luò)中確認(rèn)特定主機(jī)是否可達(dá)，但它也被用作攻擊主機(jī)的手段。2同步包風(fēng)暴（SYNFlooding）,同步風(fēng)暴是應(yīng)用最為廣泛的一種DOS攻擊方式。3電子郵件炸彈（E-mailBomb）。電子郵件炸彈的目的是通過(guò)不斷地向目標(biāo)E-MAIL地址發(fā)送垃圾郵件，占滿(mǎn)收信者的郵箱，使其無(wú)法正常使用。

4Land攻擊，Land攻擊的原理是：向目標(biāo)主機(jī)的某個(gè)開(kāi)放端口發(fā)送一個(gè)TCP包，并偽造TCP/IP地址，使得源IP地址等于目標(biāo)IP地址，源端口等于目標(biāo)端口，這樣，就可以造成包括WINDOWS2000在內(nèi)的很多操作平臺(tái)上的主機(jī)死機(jī)。Internet的攻擊類(lèi)型2、后門(mén)

“后門(mén)”一般隱藏在操作系統(tǒng)或軟件中，不為使用者知曉為漏洞，而它可使某些人繞過(guò)系統(tǒng)的安全機(jī)制獲取訪問(wèn)權(quán)限。黑客可利用一些“掃描機(jī)（scanners）”的小程序，專(zhuān)門(mén)尋找上網(wǎng)用戶(hù)的系統(tǒng)漏洞，例如NetBIOS及Windows“文件及打印共享”功能所打開(kāi)的系統(tǒng)后門(mén)。一旦掃描程序在網(wǎng)上發(fā)現(xiàn)了系統(tǒng)存在著漏洞，那些惡意攻擊者就會(huì)設(shè)法通過(guò)找到的“后門(mén)”進(jìn)入你的計(jì)算機(jī)，并獲取你的信息。所有的這些非法入侵行為，你可能毫無(wú)查覺(jué)。Internet的攻擊類(lèi)型3、遠(yuǎn)程緩沖溢出攻擊緩沖區(qū)溢出漏洞是一種利用了C程序中數(shù)組邊界條件、函數(shù)指針等設(shè)計(jì)不當(dāng)而造成地址空間錯(cuò)誤來(lái)實(shí)現(xiàn)的。大多數(shù)Windows、Linux、Unix、數(shù)據(jù)庫(kù)系統(tǒng)的開(kāi)發(fā)都依賴(lài)于C語(yǔ)言，而C的缺點(diǎn)是缺乏類(lèi)型安全，所以緩沖區(qū)溢出成為操作系統(tǒng)、數(shù)據(jù)庫(kù)等大型應(yīng)用程序最普遍的漏洞。4、網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的主要手段表現(xiàn)為端口掃描，端口掃描的目的是找出目標(biāo)系統(tǒng)中所提供的服務(wù)，它逐個(gè)嘗試與TCP/UDP端口建立連接，然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系，綜合服務(wù)器端的反應(yīng)來(lái)判斷目標(biāo)系統(tǒng)運(yùn)行了哪些服務(wù)。利用端口掃描，黑客可以判斷目標(biāo)主機(jī)的操作系統(tǒng)類(lèi)型及端口的開(kāi)放情況，然后實(shí)施攻擊。Internet的攻擊類(lèi)型5、特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用的攻擊手段。它通過(guò)在你的電腦系統(tǒng)隱藏一個(gè)在Windows啟動(dòng)時(shí)悄悄運(yùn)行的程序，采用服務(wù)器/客戶(hù)機(jī)的運(yùn)行方式，從而達(dá)到在你上網(wǎng)時(shí)控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅(qū)動(dòng)器、修改你的文件、注冊(cè)表等。特洛伊木馬不僅可收集信息，它還可能破壞系統(tǒng)，特洛伊木馬不能自身復(fù)制，因此，它不屬于計(jì)算機(jī)病毒。Internet的攻擊類(lèi)型6.網(wǎng)絡(luò)病毒

Internet的開(kāi)放性，為病毒的滋生、變種和傳播提供了一個(gè)無(wú)限廣闊的空間。病毒是將自身依附于其他軟件的一段程序，目的是破壞計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)或硬件，有許多專(zhuān)業(yè)的反病毒軟件公司開(kāi)發(fā)出了很多優(yōu)秀殺毒軟件，反病毒的關(guān)鍵是找出病毒的特征碼，并且定期更新病毒數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)病毒傳播的主要途徑是電子郵件的附件，此外，下載文件、瀏覽網(wǎng)頁(yè)等也都有可能讓病毒有入侵的機(jī)會(huì)。網(wǎng)絡(luò)安全的目標(biāo)篡

改冒名傳送竊聽(tīng)否認(rèn)傳送網(wǎng)際網(wǎng)絡(luò)機(jī)密性完整性身份認(rèn)證不可否認(rèn)性使用者甲使用者乙訪問(wèn)攻擊訪問(wèn)攻擊是攻擊者企圖獲得非授權(quán)信息，這種攻擊可能發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸?shù)那闆r下，這類(lèi)攻擊是針對(duì)信息機(jī)密性的攻擊。常見(jiàn)的訪問(wèn)攻擊窺探（snooping）是查信息文件，發(fā)現(xiàn)某些對(duì)攻擊者感興趣的信息。攻擊者試圖打開(kāi)計(jì)算機(jī)系統(tǒng)的文件，直到找到所需信息。-01--02--03-

窺探竊聽(tīng)（eavesdropping）是偷聽(tīng)他人的對(duì)話(huà)，為了得到非授權(quán)的信息訪問(wèn)，攻擊者必須將自己放在一個(gè)信息通過(guò)的地方，一般采用電子的竊聽(tīng)方式。截獲（interception）不同于竊聽(tīng)，它是一種主動(dòng)攻擊方式。攻擊者截獲信息是通過(guò)將自己插入信息通過(guò)的通路，且在信息到達(dá)目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決定是否將信息送往目的站，如圖所示。

竊聽(tīng)

截獲常見(jiàn)的訪問(wèn)攻擊對(duì)傳輸中的信息可通過(guò)竊聽(tīng)獲得。在局域網(wǎng)中，攻擊者在聯(lián)到網(wǎng)上的計(jì)算機(jī)系統(tǒng)中安裝一個(gè)信息包探測(cè)程序（sniffer），來(lái)捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。竊聽(tīng)也可能發(fā)生在廣域網(wǎng)（如租用線和電話(huà)線）中，然而這類(lèi)竊聽(tīng)需要更多的技術(shù)和設(shè)備。通常在設(shè)施的接線架上采用T形分接頭來(lái)竊聽(tīng)信息。它不僅用于電纜線，也可用于光纖傳輸線，但需要專(zhuān)門(mén)的設(shè)備。03保障網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)baozhangwnagluoanquandeguanjianjishu保障網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1身份認(rèn)證技術(shù)2訪問(wèn)控制技術(shù)3密碼技術(shù)4防火墻技術(shù)5身份認(rèn)證技術(shù)6安全審計(jì)技術(shù)防火墻技術(shù)(Firewall)

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話(huà)說(shuō)，如果不能通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻防火墻（FireWall）是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的組件集合。它實(shí)際上是一種隔離技術(shù)。它能允許你“同意”的數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)你的網(wǎng)絡(luò)。

防火墻（1）過(guò)濾一些不安全的服務(wù)和非法用戶(hù)，防止未授權(quán)的用戶(hù)訪問(wèn)安全網(wǎng)絡(luò)（2）控制對(duì)特殊站點(diǎn)或端口的訪問(wèn)，防火墻可以根據(jù)安全策略允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)被外部網(wǎng)絡(luò)訪問(wèn)，而另一部分主機(jī)則被很好地保護(hù)起來(lái)。（3）作為網(wǎng)絡(luò)安全的集中監(jiān)測(cè)點(diǎn)，防火墻可以記錄所有通過(guò)它的訪問(wèn)，并提供統(tǒng)計(jì)數(shù)據(jù)、預(yù)警和審計(jì)功能。防火墻功能防火墻的局限（1）不能防范惡意的知情者從內(nèi)部攻擊（2）不能防范不通過(guò)防火墻的聯(lián)接（3）防火墻不能防范病毒入侵檢測(cè)技術(shù)(IDS)入侵檢測(cè)的概念（IntrusionDetectionSystem）通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象。入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門(mén)。知識(shí)庫(kù)待檢測(cè)的數(shù)據(jù)包入侵檢測(cè)：入侵否？響應(yīng)繼續(xù)監(jiān)聽(tīng)，檢測(cè)下一個(gè)數(shù)據(jù)包數(shù)據(jù)加密與數(shù)字認(rèn)證數(shù)據(jù)加密和數(shù)字認(rèn)證是網(wǎng)絡(luò)信息安全的核心技術(shù)。其中，數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法；數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過(guò)程中雙方身份的認(rèn)可，以防止各種敵手對(duì)信息進(jìn)行篡改的一種重要技術(shù)。數(shù)據(jù)加密和數(shù)字認(rèn)證的聯(lián)合使用，是確保信息安全的有效措施。1、密碼學(xué)與密碼技術(shù)計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的新興科學(xué),密碼技術(shù)是密碼學(xué)的具體實(shí)現(xiàn),它包括4個(gè)方面：保密(機(jī)密)、消息驗(yàn)證、消息完整和不可否認(rèn)性。

1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內(nèi)容。2驗(yàn)證（authentication）：安全通信僅僅靠消息的機(jī)密性是不夠的，必須加以驗(yàn)證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認(rèn)證只是安全通信中的兩個(gè)基本要素，還必須保持消息的完整,即消息在傳送過(guò)程中不發(fā)生改變。4不可否認(rèn)（nonrepudiation）：安全通信的一個(gè)基本要素就是不可否認(rèn)性，防止發(fā)送者抵賴(lài)（否定）。2、加密和解密密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。加密是把需要加密的報(bào)文按照以密碼鑰匙（簡(jiǎn)稱(chēng)密鑰）為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件。數(shù)據(jù)加密和解密過(guò)程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過(guò)信道傳輸,到信宿接收時(shí)進(jìn)行解密,以實(shí)現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過(guò)程如圖所示。加密密鑰報(bào)文解密原報(bào)文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿3、密鑰體系加密和解密是通過(guò)密鑰來(lái)實(shí)現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為單鑰密碼（又稱(chēng)對(duì)稱(chēng)密碼或私鑰密碼）體系和雙鑰密碼（又稱(chēng)非對(duì)稱(chēng)密碼或公鑰密碼）體系。在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對(duì)方），所以密碼體制的安全完全取決于密鑰的安全。雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來(lái)傳送密鑰，可以公開(kāi)加密密鑰，僅需保密解密密鑰。4、傳統(tǒng)加密方法保持明文的次序，而把明文字符隱藏起來(lái)。

轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。2、轉(zhuǎn)換密碼法⑴單字母加密方法：是用一個(gè)字母代替另一個(gè)字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。⑵多字母加密方法：密鑰是簡(jiǎn)短且便于記憶的詞組。

1、代換密碼法就是用一頁(yè)上的代碼來(lái)加密一些詞，再用另一頁(yè)上的代碼加密另一些詞，直到全部的明文都被加密。4、一次性密碼簿加密法把明文中的字母重新排列,字母本身不變，但位置變了。常見(jiàn)的有簡(jiǎn)單變位法、列變位法和矩陣變位法。3、變位加密法現(xiàn)代加密方法

1、DES加密算法

DES加密算法是一種通用的現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在56位密鑰控制下,將每64位為一個(gè)單元的明文變成64位的密碼。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒(méi)有。

2、IDEA加密算法

相對(duì)于DES的56位密鑰，它使用128位的密鑰，每次加密一個(gè)64位的塊。這個(gè)算法被加強(qiáng)以防止一種特殊類(lèi)型的攻擊,稱(chēng)為微分密碼密鑰。

IDEA的特點(diǎn)是用了混亂和擴(kuò)散等操作,主要有三種運(yùn)算：異或、模加、模乘，并且容易用軟件和硬件來(lái)實(shí)現(xiàn)。IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密。現(xiàn)代加密方法郵件內(nèi)容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機(jī)加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開(kāi)密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件取得收信人的分開(kāi)密鑰KRP3、RSA公開(kāi)密鑰算法RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點(diǎn)在于它可以產(chǎn)生一對(duì)密鑰,一個(gè)人可以用密鑰對(duì)中的一個(gè)加密消息，另一個(gè)人則可以用密鑰對(duì)中的另一個(gè)解密消息。任何人都無(wú)法通過(guò)公匙確定私匙，只有密鑰對(duì)中的另一把可以解密消息?，F(xiàn)代加密方法

4、Hash－MD5加密算法

Hash函數(shù)又名信息摘要（MessageDigest）函數(shù)，是基于因子分解或離散對(duì)數(shù)問(wèn)題的函數(shù)，可將任意長(zhǎng)度的信息濃縮為較短的固定長(zhǎng)度的數(shù)據(jù)。這組數(shù)據(jù)能夠反映源信息的特征，因此又可稱(chēng)為信息指紋（MessageFingerprint)。Hash函數(shù)具有很好的密碼學(xué)性質(zhì),且滿(mǎn)足Hash函數(shù)的單向、無(wú)碰撞基本要求。

5、量子加密系統(tǒng)

量子加密系統(tǒng)是加密技術(shù)的新突破。量子加密法的先進(jìn)之處在于這種方法依賴(lài)的是量子力學(xué)定律。傳輸?shù)墓饬孔又辉试S有一個(gè)接收者，如果有人竊聽(tīng)，竊聽(tīng)動(dòng)作將會(huì)對(duì)通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽(tīng)，隨即結(jié)束通信，生成新的密鑰。

破密方法

1.密鑰窮盡搜索

就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會(huì)有一個(gè)密鑰讓破譯者得到原文。

2.密碼分析

密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。常見(jiàn)的密碼分析有如下兩種：

⑴已知明文的破譯方法：是當(dāng)密碼分析員掌握了一段明文和對(duì)應(yīng)的密文,目的是發(fā)現(xiàn)加密的密鑰。在實(shí)際應(yīng)用中,獲得某些密文所對(duì)應(yīng)的明文是可能的。

⑵選定明文的破譯方法：密碼分析員設(shè)法讓對(duì)手加密一段分析員選定的明文，并獲得加密后的結(jié)果,以獲得確定加密的密鑰。

破密方法

3、防止密碼破譯的措施

為了防止密碼破譯,可以采取一些相應(yīng)的技術(shù)措施。目前通常采用的技術(shù)措施以下3種。

⑴好的加密算法：一個(gè)好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長(zhǎng)就會(huì)比較安全。20世紀(jì)70～80年代密鑰長(zhǎng)通常為48～64位，90年代,由于發(fā)達(dá)國(guó)家不準(zhǔn)許出口64位加密產(chǎn)品，所以國(guó)內(nèi)大力研制128位產(chǎn)品。

⑵保護(hù)關(guān)鍵密鑰（KCK：KEYCNCRYPTIONKEY）。

⑶動(dòng)態(tài)會(huì)話(huà)密鑰：每次會(huì)話(huà)的密鑰不同。

動(dòng)態(tài)或定期變換會(huì)話(huà)密鑰是有好處的，因?yàn)檫@些密鑰是用來(lái)加密會(huì)話(huà)密鑰的，一旦泄漏，被他人竊取重要信息，將引起災(zāi)難性的后果。數(shù)字認(rèn)證技術(shù)1、數(shù)字簽名

“數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用的認(rèn)證技術(shù)。在日常工作和生活中，人們對(duì)書(shū)信或文件的驗(yàn)收是根據(jù)親筆簽名或蓋章來(lái)證實(shí)接收者的真實(shí)身份。在書(shū)面文件上簽名有兩個(gè)作用：一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確定了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰讉蚊?，從而確定了文件是真實(shí)的這一事實(shí)。但是，在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決的問(wèn)題。

數(shù)字認(rèn)證是一種安全防護(hù)技術(shù)，它既可用于對(duì)用戶(hù)身份進(jìn)行確認(rèn)和鑒別,也可對(duì)信息的真實(shí)可靠性進(jìn)行確認(rèn)和鑒別,以防止冒充、抵賴(lài)、偽造、篡改等問(wèn)題。數(shù)字認(rèn)證技術(shù)包括數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書(shū)和認(rèn)證中心等。數(shù)字認(rèn)證技術(shù)Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件數(shù)字簽名的驗(yàn)證及文件的竄送過(guò)程在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說(shuō)明發(fā)送的信息原文在傳送過(guò)程中沒(méi)有被破壞或篡改,從而得到準(zhǔn)確的原文。傳送過(guò)程如下圖所示。數(shù)字簽名技術(shù)隨著信息時(shí)代的來(lái)臨，人們希望通過(guò)數(shù)字通信網(wǎng)絡(luò)迅速傳遞貿(mào)易合同，數(shù)字簽名應(yīng)運(yùn)而生了。

數(shù)字簽名必須保證以下三點(diǎn)：a、接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；b、發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；c、接收者不能偽造對(duì)報(bào)文的簽名。

2、數(shù)字時(shí)間戳（DTS）

在電子交易中,同樣需要對(duì)交易文件的日期和時(shí)間信息采取安全措施，數(shù)字時(shí)間戳就是為電子文件發(fā)表的時(shí)間提供安全保護(hù)和證明的。DTS是網(wǎng)上安全服務(wù)項(xiàng)目,由專(zhuān)門(mén)的機(jī)構(gòu)提供。數(shù)字時(shí)間戳是一個(gè)加密后形成的憑證文檔,它包括三個(gè)部分：

◆需要加時(shí)間戳的文件的摘要

◆DTS機(jī)構(gòu)收到文件的日期和時(shí)間

◆DTA機(jī)構(gòu)的數(shù)字簽名

數(shù)字時(shí)間戳的產(chǎn)生過(guò)程：用戶(hù)首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要，然后將這個(gè)摘要發(fā)送到DTS機(jī)構(gòu)，DTS機(jī)構(gòu)在加入了收到文件摘要的日期和時(shí)間信息后，再對(duì)這個(gè)文件加密（數(shù)字簽名），然后發(fā)送給用戶(hù)。數(shù)字認(rèn)證技術(shù)

1客戶(hù)證書(shū)：以證明他（她）在網(wǎng)上的有效身份。該證書(shū)一般是由金融機(jī)構(gòu)進(jìn)行數(shù)字簽名發(fā)放的，不能被其它第三方所更改。2商家證書(shū)：是由收單銀行批準(zhǔn)、由金融機(jī)構(gòu)頒發(fā)、對(duì)商家是否具有信用卡支付交易資格的一個(gè)證明。3網(wǎng)關(guān)證書(shū)：通常由收單銀行或其它負(fù)責(zé)進(jìn)行認(rèn)證和收款的機(jī)構(gòu)持有?？蛻?hù)對(duì)帳號(hào)等信息加密的密碼由網(wǎng)關(guān)證書(shū)提供。4CA系統(tǒng)證書(shū)：是各級(jí)各類(lèi)發(fā)放數(shù)字證書(shū)的機(jī)構(gòu)所持有的數(shù)字證書(shū)，即用來(lái)證明他們有權(quán)發(fā)放數(shù)字證書(shū)的證書(shū)。

3、數(shù)字證書(shū)

數(shù)字認(rèn)證從某個(gè)功能上來(lái)說(shuō)很像是密碼，是用來(lái)證實(shí)你的身份或?qū)W(wǎng)絡(luò)資源訪問(wèn)的權(quán)限等可出示的一個(gè)憑證。數(shù)字證書(shū)包括：數(shù)字認(rèn)證技術(shù)數(shù)字認(rèn)證技術(shù)持卡人CCA持卡證件商家MCA商家證件支持網(wǎng)關(guān)PCA支付網(wǎng)關(guān)證件根CA品牌CA地方CACA認(rèn)證體系的層次結(jié)構(gòu)

4、認(rèn)證中心（CA）

認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。它的主要任務(wù)是受理數(shù)字憑證的申請(qǐng)，簽發(fā)數(shù)字證書(shū)及對(duì)數(shù)字證書(shū)進(jìn)行管理。CA認(rèn)證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網(wǎng)關(guān)CA等不同層次構(gòu)成，上一級(jí)CA負(fù)責(zé)下一級(jí)CA數(shù)字證書(shū)的申請(qǐng)簽發(fā)及管理工作。身份認(rèn)證技術(shù)1、基于生理特征的身份認(rèn)證指紋、臉型、聲音等進(jìn)行身份認(rèn)證要求使用諸如指紋閱讀器，臉型掃描器，語(yǔ)音閱讀器等價(jià)格昂貴的硬件設(shè)備。由于驗(yàn)證身份的雙方一般都是通過(guò)網(wǎng)絡(luò)而非直接交互，所以該類(lèi)方法并不適合于在諸如Internet或無(wú)線應(yīng)用等分布式的網(wǎng)絡(luò)環(huán)境。身份認(rèn)證技術(shù)2、基于約定的口令進(jìn)行身份認(rèn)證用戶(hù)服務(wù)器中口令對(duì)照表用戶(hù)ID，口令該方案有兩個(gè)弱點(diǎn)：容易受到重傳攻擊；傳統(tǒng)方式是將用戶(hù)口令放在服務(wù)器的文件中，那么一旦該文件暴露，則整個(gè)系統(tǒng)將處于不安全的狀態(tài)。身份認(rèn)證技術(shù)

3、動(dòng)態(tài)口令（一次口令）身份認(rèn)證1991年貝爾通信研究中心研制出基于一次口令思想的身份認(rèn)證系統(tǒng)S/KEY，該系統(tǒng)使用MD4作為其單向hash函數(shù)目前存在很多動(dòng)態(tài)口令方案，但未存在非常完善的方案基于智能卡的動(dòng)態(tài)口令方案計(jì)算機(jī)網(wǎng)絡(luò)安全感

謝

觀

看

！培訓(xùn)人:XXXX時(shí)間:202X.X網(wǎng)絡(luò)安全宣傳20xx網(wǎng)絡(luò)安全宣傳周

網(wǎng)絡(luò)安全為人民網(wǎng)絡(luò)安全靠人民

主講：哇哇哇目錄網(wǎng)絡(luò)安全宣傳周?chē)?guó)家網(wǎng)絡(luò)安全法網(wǎng)絡(luò)安全隱患安全上網(wǎng)建議1234網(wǎng)絡(luò)安全宣傳周20xx網(wǎng)絡(luò)安全宣傳周

網(wǎng)絡(luò)安全為人民網(wǎng)絡(luò)安全靠人民

主講：哇哇哇網(wǎng)絡(luò)安全宣傳周“國(guó)家網(wǎng)絡(luò)安全宣傳周”即“中國(guó)國(guó)家網(wǎng)絡(luò)安全宣傳周”，是為了“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”而開(kāi)展的主題活動(dòng)，圍繞金融、電信、電子政務(wù)、電子商務(wù)等重點(diǎn)領(lǐng)域和行業(yè)網(wǎng)絡(luò)安全問(wèn)題，針對(duì)社會(huì)公眾關(guān)注的熱點(diǎn)問(wèn)題，舉辦網(wǎng)絡(luò)安全體驗(yàn)展等系列主題宣傳活動(dòng)，營(yíng)造網(wǎng)絡(luò)安全人人有責(zé)、人人參與的良好氛圍。舉辦時(shí)間9月第三周第一屆2014年國(guó)家網(wǎng)絡(luò)安全法20xx網(wǎng)絡(luò)安全宣傳周

網(wǎng)絡(luò)安全為人民網(wǎng)絡(luò)安全靠人民

主講：哇哇哇國(guó)家網(wǎng)絡(luò)安全法《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》)是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律,由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日公布,自2017年6月1日起施行。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》的出臺(tái)，順應(yīng)了網(wǎng)絡(luò)空間安全化、法制化的發(fā)展趨勢(shì)。國(guó)家網(wǎng)絡(luò)安全法設(shè)立意義它意味著建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、維護(hù)和保障我國(guó)國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略任務(wù)正在轉(zhuǎn)化為一種可執(zhí)行可操作的制度性安排。不僅對(duì)國(guó)內(nèi)網(wǎng)絡(luò)空間治理有重要的作用，同時(shí)也是國(guó)際社會(huì)應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的重要組成部分，更是中國(guó)在邁向網(wǎng)絡(luò)強(qiáng)國(guó)道路上至關(guān)重要的階段性成果。它是重要的起點(diǎn)，是依法治國(guó)精神的具體體現(xiàn)，是網(wǎng)絡(luò)空間法制化的里程碑，標(biāo)志著我國(guó)網(wǎng)絡(luò)空間領(lǐng)域的發(fā)展和現(xiàn)代化治理邁出了堅(jiān)實(shí)的一步。意義一意義二意義三意義四國(guó)家網(wǎng)絡(luò)安全法原則網(wǎng)絡(luò)空間主權(quán)原則網(wǎng)絡(luò)安全與信息化發(fā)展并重原則共同治理原則《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第1條“立法目的”開(kāi)宗明義，明確規(guī)定要維護(hù)我國(guó)網(wǎng)絡(luò)空間主權(quán)。網(wǎng)絡(luò)空間主權(quán)是一國(guó)國(guó)家主權(quán)在網(wǎng)絡(luò)空間中的自然延伸和表現(xiàn)。既要推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通,鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用又要建立健全網(wǎng)絡(luò)安全保障體系,提高網(wǎng)絡(luò)安全保護(hù)能力,做到“雙輪驅(qū)動(dòng)、兩翼齊飛”。網(wǎng)絡(luò)空間安全保護(hù)需要政府、企業(yè)、社會(huì)組織、技術(shù)社群和公民等網(wǎng)絡(luò)利益相關(guān)者的共同參與。123國(guó)家網(wǎng)絡(luò)安全法六大看點(diǎn)看點(diǎn)一：不得出售個(gè)人信息。近年來(lái)警方查獲的大量案件顯示，公民個(gè)人信息的泄露、收集、轉(zhuǎn)賣(mài)，已經(jīng)形成完整的黑色產(chǎn)業(yè)鏈。詐騙分子通過(guò)非法手段獲取個(gè)人信息，包括姓名、電話(huà)、家庭住址等詳細(xì)信息后，再實(shí)施精準(zhǔn)詐騙，令人防不勝防。網(wǎng)絡(luò)安全法規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服務(wù)有收集用戶(hù)信息功能的，其提供者應(yīng)當(dāng)向用戶(hù)明示并取得同意；網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露其收集的個(gè)人信息；任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。網(wǎng)絡(luò)安全法作為網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律，聚焦個(gè)人信息泄露，不僅明確了網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者、運(yùn)營(yíng)者的責(zé)任，而且嚴(yán)厲打擊出售販賣(mài)個(gè)人信息的行為，對(duì)于保護(hù)個(gè)人信息安全，將起到積極作用。國(guó)家網(wǎng)絡(luò)安全法六大看點(diǎn)看點(diǎn)二：嚴(yán)厲打擊網(wǎng)絡(luò)詐騙《中華人民共和國(guó)網(wǎng)絡(luò)安全法》針對(duì)新型網(wǎng)絡(luò)詐騙犯罪規(guī)定：任何個(gè)人和組織不得設(shè)立用于實(shí)施詐騙，傳授犯罪方法，制作或者銷(xiāo)售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站；通訊群組，不得利用網(wǎng)絡(luò)發(fā)布與實(shí)施詐騙，制作或者銷(xiāo)售違禁物品、管制物品以及其他違法犯罪活動(dòng)的信息。這些規(guī)定，不僅對(duì)詐騙個(gè)人和組織起到震懾作用，更明確了互聯(lián)網(wǎng)企業(yè)不可推卸的責(zé)任。國(guó)家網(wǎng)絡(luò)安全法六大看點(diǎn)看點(diǎn)三：以法律形式明確“實(shí)名制”看點(diǎn)四：重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施看點(diǎn)五：懲治攻擊破壞我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的境外組織和個(gè)人看點(diǎn)六：重大突發(fā)事件可采取“網(wǎng)絡(luò)通信管制”安全法禁止的網(wǎng)絡(luò)行為不得危害網(wǎng)絡(luò)安全不得利用網(wǎng)絡(luò)從事危害國(guó)家安全、榮譽(yù)和利益的活動(dòng)不得煽動(dòng)分裂國(guó)家,破壞國(guó)家統(tǒng)一不得宣揚(yáng)恐怖主義、極端主義、民族仇恨、民族歧視不得傳播暴力、淫穢色情信息不得侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益等活動(dòng)不得利用網(wǎng)絡(luò)煽動(dòng)顛覆國(guó)家政權(quán)、推翻社會(huì)主義制度不得傳播虛假信息擾亂經(jīng)濟(jì)秩序和社會(huì)秩序發(fā)現(xiàn)他人有危害網(wǎng)絡(luò)安全的行為時(shí),我們應(yīng)該如何處理向網(wǎng)信、電信、公安等部門(mén)舉報(bào)。如發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，侵犯?jìng)€(gè)人權(quán)益的，我們有哪些權(quán)利?安全法禁止的網(wǎng)絡(luò)行為有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除個(gè)人信息發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)安全隱患20xx網(wǎng)絡(luò)安全宣傳周

網(wǎng)絡(luò)安全為人民網(wǎng)絡(luò)安全靠人民

主講：哇哇哇網(wǎng)絡(luò)安全日常八大隱患網(wǎng)絡(luò)詐騙隱私泄露交友詐騙手機(jī)支付電腦病毒手機(jī)病毒騷擾電話(huà)垃圾短信電信詐騙典型案例案例一：歡樂(lè)購(gòu)詐騙李先生手機(jī)收到短信，稱(chēng)其獲得980元搶購(gòu)PhoneX的機(jī)會(huì)。李先生購(gòu)機(jī)后發(fā)現(xiàn),新購(gòu)手機(jī)非常不好用，明顯是山寨。案例二：貧困助學(xué)詐騙

某大學(xué)新生小徐,先接到自稱(chēng)是教育部門(mén)的電話(huà),讓她辦理助學(xué)金的相關(guān)手續(xù)。隨后又接到另一個(gè)電話(huà),稱(chēng)有一筆2600元的助學(xué)金需盡快領(lǐng)取,并要求她將9900元學(xué)費(fèi)匯入個(gè)指定賬號(hào),半小時(shí)后會(huì)返還學(xué)費(fèi)并發(fā)放助學(xué)金。小徐完成操作后發(fā)現(xiàn)對(duì)方電話(huà)關(guān)機(jī),才明白上當(dāng)受騙了。萬(wàn)分難過(guò)的她當(dāng)天晚上突然暈厥,最終經(jīng)醫(yī)院搶救無(wú)效去世。網(wǎng)絡(luò)釣魚(yú)典型案例案例一：釣魚(yú)Wi-Fi詐騙張女士在一家商場(chǎng)內(nèi)連接了一個(gè)沒(méi)設(shè)密碼的Wi-Fi,隨后在某網(wǎng)購(gòu)平臺(tái)上對(duì)商場(chǎng)一件衣服進(jìn)行比價(jià),由于價(jià)格便宜近一半,她毫不猶豫地通過(guò)手機(jī)支付在該網(wǎng)購(gòu)平臺(tái)購(gòu)買(mǎi)了這件衣服。不久,張女士的手機(jī)收到短信提示,其信用卡被盜刷4筆,總金額高達(dá)8000多元。安全提示：謹(jǐn)慎使用免費(fèi)Wi-Fi。拒絕來(lái)路不明的Wi-Fi,盡量選擇正規(guī)來(lái)源的Wi-Fi。Wⅰ-Fi連接方式建議設(shè)置為手動(dòng),或者關(guān)閉WiFi自動(dòng)連接功能。不要使用破解Wⅰ-Fi密碼的軟件,謹(jǐn)防被此類(lèi)軟件盜取隱私。使用公共場(chǎng)所的Wi-F不要輸入賬號(hào)、密碼或個(gè)人敏感信息。偽基站典型案例案例一：冒充運(yùn)營(yíng)商詐騙張先生收到號(hào)碼“10000”發(fā)來(lái)的一條短信,稱(chēng)張先生有大量積分