《安全生产_网络信息安全概述》由会员分享,可在线阅读,更多相关《安全生产_网络信息安全概述(32页珍藏版)》请在金锄头文库上搜索。
1、4.5 网络信息安全,4.6.1 概述 4.6.2 数据加密 4.6.3 数字签名 4.6.4 身份鉴别与访问控制 4.6.5 防火墙与入侵检测 4.6.6 计算机病毒防范,4.5.1 概述,网络信息安全受到的威胁及对策,2 保证数据完整性:所传输的交易信息中途不被篡改,一旦遭到篡改很快就能发现,3 真实性鉴别:对交易双方的身份进行认证,保证交易双方的身份正确无误,1 数据加密:即使数据在网络传输过程中被他人窃取,也不会泄露秘密,4 防止否认:交易完成后,应保证交易的任何一方无法否认已发生的交易,确保信息安全的技术措施,(1)真实性鉴别:对通信双方的身份和所传送信息的真伪能准确地进行鉴别 (2
2、)访问控制:控制用户对信息等资源的访问权限,防止未经授权使用资源 (3)数据加密:保护数据秘密,未经授权其内容不会显露 (4)保证数据完整性:保护数据不被非法修改,使数据在传送前、后保持完全相同 (5)保证数据可用性:保护数据在任何情况(包括系统故障)下不会丢失 (6)防止否认:防止接收方或发送方抵赖 (7)审计管理:监督用户活动、记录用户操作等,4.5.2 数据加密,数据加密的基本概念,加密前的原始数据,加密后的数据,只有收/发方知道的 用于加密和解密的信息,密码(cipher):将明文与密文进行相互转换的算法,解密后恢复的数据,目的:即使被窃取,也能保证数据安全 重要性:数据加密是其他信息
3、安全措施的基础 基本概念:,加密算法的基本思想,改变明文中符号的排列,或按照某种规律置换明文中的符号 例1 移位式 help me变成ehpl em 例2 替代式(恺撒密码):,phhw ph diwhu wkh fodvv,meet me after the class,对称密钥加密方法,特点: 加密的密钥也用于解密 密钥越长,安全性越好 计算量适中,速度快,适用于对大数据量消息加密,对称密钥加密方法的标准 DES算法(密钥长度56位): 共有2567.2 1016种可能,1998年使用穷举法仅花费了22小时15分钟就攻破DES 现在广泛使用AES(高级加密标准),其密钥长度为:128、19
4、2 或256位 计算安全性(Computationally) 破解的代价超过了消息本身的价值 破解的时间超过了消息本身的有效期,非对称密钥加密方法公钥加密,甲方使用乙的公钥进行加密,乙方利用自己的私钥解密,使用公钥无法恢复明文,也无法推断出私钥,乙用私钥加密的消息,甲只有使用乙的公钥才能解密,只要密钥长度足够长,用RSA加密的信息目前还不能被破解 网上银行使用的RSA算法,其密钥长度为1024或2048位,选讲: 公钥加密举例(RSA算法),产生密钥对: 选择两个素数p和q, 且 pq 计算:n = pq, z = (p-1)(q-1) 选择一个比z小的整数e, 使得 e和 z互质 计算d,使
5、得ed-1能被z整除 于是公钥为: e,n 私钥为: d,n 使用: 加密: C = Me mod n 解密: M = Cd mod n,选择: p=5, q=7 计算:n = 35, z = 24 选择: e = 5 , 5和24互质 选择:d = 29, ( 因为(5x29-1)/24=0 ) 于是公钥为: 5, 35 私钥为: 29, 35 使用举例:设明文中的字母为L,即M=12 加密: C = 125 mod 35 = 17 解密: M = 1729 mod 35 = 12,由于n = pq是公开的,所以,为了防止攻击者利用n推算出p和q,必须选择足够大的素数p和q,使n达到1024
6、位以上,才能不被破解,4.5.3 数字签名,用于认证消息的真实性,消息认证(Message Authentication),在通信过程中,应防止发生: 伪造消息(无中生有) 窜改消息内容 消息认证:对收到的消息进行验证,验证它确实来自声称的发送方(消息的真实性),且没有被修改过(消息的完整性) 常规解决方案:签字盖章,人工检验有无涂改迹象 与被签文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 计算机网络的解决方案:数字签名,什么是数字签名?,数字签名的含义: 数字签名是与消息一起发送的一串代码,它无法伪造,并能发现消息内容的任何变化 数字签名的目的: 让对方相信消息的真实性 数
7、字签名的用途: 在电子商务和电子政务中用来鉴别消息的真伪 对数字签名的要求: 无法伪造 能发现消息内容的任何变化,数字签名的处理过程,数字签名中的双重加密,用接收方的公钥对已添加了数字签名的消息再进行加密,用接收方的私钥对接收的消息解密并取出数字签名,用发送方的私钥加密信息摘要,得到数字签名,用发送方的公钥解密数字签名,得到信息摘要,4.5.4 身份鉴别与访问控制,身份鉴别(认证),身份鉴别的含义: 证实某人的真实身份是否与其所声称的身份相符,以防止欺诈和假冒 什么时候进行? 在用户登录某个系统,或者在访问/传送重要消息时进行 身份鉴别的依据(方法): 鉴别对象本人才知道的信息(如口令、私钥、
8、身份证号等) 鉴别对象本人才具有的信物(例如磁卡、IC卡、USB钥匙等) 鉴别对象本人才具有的生理特征(例如指纹、手纹等),通常在注册时记录在案,口令(密码)容易被猜、被盗、被偷窥,电脑中植入的木马程序会记录操作者的键入数据,发送给黑客进行分析,以查找密码 双因素认证(口令+磁卡,口令+U盾)大大提高了安全性!,选讲: 例:网上银行的身份认证/信息安全,网上银行:使用因特网完成银行的各种金融服务,如账户查询、转账、网上支付等 网上银行的组成: 客户端:电脑(手机),以及USB Key、口令卡等 通信网络:使用HTTPS协议保证传输过程中不被窃听 服务器:高效和安全地处理各种网上银行业务 网上银
9、行用户身份认证的3种方式: 用户名+口令(仅适合账户查询) 用户名+口令+文件证书(数字证书在浏览器中) 用户名+口令+USB证书(数字证书在U盾中),选讲: 数字证书,数字证书是一组数据构成的电脑文件,包含用户的身份信息、颁证机构、有效期及一个公钥。凭借数字证书,拥有人可在互联网交往中互相识别对方的身分,确保信息安全 数字证书从数字证书认证中心(CA中心)获得,获得的证书可存放在:浏览器、U盾、IC卡中,数字证书用途: 证实用户身份 验证网站(或软件)是否可信 进行数字签名,确保通信真实、不可抵赖,选讲: U盾(USB Key),U盾外形像U盘,它包含有嵌入式处理器与数字证书等 嵌入式处理器
10、负责进行数据加密/解密和数字签名处理,采用1024位非对称RSA加密算法,它为为用户产生一个私钥(唯一序列号) U盾使用前需把权威机构(CA中心)颁发的数字证书下载到U盾中,数字证书包含有客户身份信息及相应的公钥 U盾在使用网上银行进行交易时的2个作用: 使用U盾中的数字证书进行用户身份认证,借助嵌入式处理器对交易数据进行数字签名,确保信息不被篡改和交易不可抵赖,选讲: 例:网上银行交易过程,1 客户输入本人账号、口令,登录网上银行,选择汇款操作 2 输入收款人账号、姓名、开户行名称、汇款金额等数据(明文) 3 插入U盾,输入U盾口令启动U盾工作,银行服务器验证U盾中的证书,确认客户身份(需查
11、询证书有效期和是否列入黑名单),取得客户的公钥 4 U盾使用客户的私钥对上述汇款信息进行数字签名,附加于汇款信息 5 U盾随机产生一个密钥,使用对称密钥加密算法对汇款信息和数字签名进行加密,形成交易密文 6 U盾使用银行的公钥对随机产生的密钥进行加密,然后随同交易密文一起发送给银行 7 银行接收到信息后使用银行自己的私钥进行解密,得到客户端随机产生的对称密钥 8 银行使用对称密钥对交易密文解密,得到汇款数据的明文和附加的数字签名 9 银行使用客户的公钥对数字签名进行验证,若正确则进行汇款处理,否则拒绝交易,通知客户,选讲: 使用网银安全须知,1、尽量使用各大银行提供的安全系数高的方式进行网银操
12、作 2、采用文件证书时,证书文件不要备份存在电脑中 3、U盾网银用户,在每次完成网银操作后,要尽快拔下U盾 4、安装安全软件并定期进行打补丁和查杀,封堵住木马入侵的通道,确保电脑中没有木马。 5、避免在网吧等公用电脑上使用网银 6、为网银设置专门的密码,不使用简单密码 7、切勿通过链接或网上搜索引擎登录网上银行 8、登入网上银行前,先关闭其他所有浏览器窗口,保护好银行卡号、登录密码、U盾和U盾密码,千万不能同时丢失!,选讲: 无线路由器的信息安全,避免他人“蹭网” : 身份认证,使用有一定强度的口令(密码) 关闭SSID广播 使用“MAC地址过滤”来限制他人连接 增强数据通信安全: WEP加密
13、 WPA加密 WPA2加密 个人模式(WPA-PSK / WPA2-PSK) 企业模式(WPA / WPA2) 修改设置路由器的默认口令,什么是访问控制?,访问控制的含义: 计算机对系统内的每个信息资源规定各个用户(组)对它的操作权限(是否可读、是否可写、是否可修改等) 访问控制是在身份鉴别的基础上进行的 访问控制的任务: 对所有信息资源进行集中管理 对信息资源的控制没有二义性(各种规定互不冲突) 有审计功能(记录所有访问活动,事后可以核查),文件的访问控制举例,4.5.5 防火墙与入侵检测,网络会遭受多种攻击,因特网防火墙,什么是因特网防火墙(Internet firewall)? 用于将因
14、特网的子网(最小子网是1台计算机)与因特网的其余部分相隔离, 以维护网络信息安全的一种软件或硬件设备 防火墙的原理: 防火墙对流经它的信息进行扫描,确保进入子网和流出子网的信息的合法性,它还能过滤掉黑客的攻击,关闭不使用的端口,禁止特定端口流出信息, 等等,入侵检测,入侵检测(Intrusion Detection)是主动保护系统免受攻击的一种网络安全技术 原理:通过在网络若干关键点上监听和收集信息并对其进行分析,从中发现问题,及时进行报警、阻断和审计跟踪 入侵检测是防火墙的有效补充: 可检测来自内部的攻击和越权访问,防火墙只能防外 可以有效防范利用防火墙开放的服务进行的入侵,4.5.6 计算
15、机病毒防范,什么是计算机病毒?,计算机病毒是有人蓄意编制的一种具有自我复制能力的、寄生性的、破坏性的计算机程序 计算机病毒能在计算机中生存,通过自我复制进行传播,在一定条件下被激活,从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源 病毒程序的特点: 破坏性 隐蔽性 传染性和传播性 潜伏性,木马病毒能偷偷记录用户的键盘操作,盗窃用户账号(如游戏账号,股票账号, 网上银行账号)、密码和关键数据,甚至使“中马”的电脑被别有用心者所操控,安全和隐私完全失去保证,计算机病毒的表现和危害,破坏文件内容,造成磁盘上的数据破坏或丢失 删除系统中一些重要的程序,使系统无法正常工作,甚至无法启动
16、修改或破坏系统中的数据,造成不可弥补的损失 盗用用户的账号、口令等机密信息 在磁盘上产生许多“坏”扇区,减少磁盘可用空间 占用计算机内存,造成计算机运行速度降低 破坏主板BIOS芯片中存储的程序或数据 .,杀毒软件的功能与缺陷,杀毒软件的功能: 检测及消除内存、BIOS、文件、邮件、U盘和硬盘中的病毒 例如:Norton,瑞星,江民,金山毒霸,卡巴斯基等 杀毒软件的缺陷: 开发与更新总是滞后于新病毒的出现,因此无法确保百分之百的安全 需要不读更新,才能保证其有效性 占用系统资源,预防计算机病毒侵害的措施,不使用来历不明的程序和数据 不轻易打开来历不明的电子邮件,特别是附件 及时修补操作系统及其捆绑软件的漏洞 确保系统的安装盘和重要的数据盘处于“写保护”状态 在机器上安装杀毒软件(包括病毒防火墙软件),使启动程序运行、接收邮件和下载Web文档时自动检测与拦截病毒等。 经常和及时地做好系
