第7章计算机系统安全知识

《第7章计算机系统安全知识》由会员分享，可在线阅读，更多相关《第7章计算机系统安全知识（72页珍藏版）》请在金锄头文库上搜索。

1、 计算机导论计算机导论(2014)(2014)第第7 7章章 计算机系统安全知识计算机系统安全知识7.1 7.1 计算机系统安全威胁计算机系统安全威胁 7.2 7.2 计算机系统安全概念计算机系统安全概念 7.3 7.3 反病毒技术反病毒技术 7.4 7.4 反黑客技术反黑客技术 7.5 7.5 防火墙技术防火墙技术插伴矛塘玩收每仆扮队哥鞠砧髓邑册盏御厨渡俯铀译炉速烬亨尘狙唁龙茂第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)第第7 7章章 计算机系统安全知识计算机系统安全知识7.6 7.6 入侵检测技术入侵检测技术7.7 7.7 数据加密技术数据

2、加密技术7.8 7.8 安全认证技术安全认证技术7.9 7.9 法律规章与职业道德法律规章与职业道德杜睁送厅澜馏袖勿水疏日遥吻鼓因万疼妇晦粟沤铣垫碑蛛刨瞪馁捧逗箍丛第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.1 7.1 计算机系统安全威胁计算机系统安全威胁恶意软件恶意软件有恶意目的的软件有恶意目的的软件，要么是恶作剧，要么是起破坏作用。主要有计，要么是恶作剧，要么是起破坏作用。主要有计算机病毒、蠕虫、特洛伊木马和间谍软件。算机病毒、蠕虫、特洛伊木马和间谍软件。 非法入侵非法入侵非法用户通过技术手段或欺骗手段或二者结合的方式，非法用户通过技术

3、手段或欺骗手段或二者结合的方式，以非正常方以非正常方式侵入计算机系统或网络系统式侵入计算机系统或网络系统，窃取、篡改、删除系统中的数据或，窃取、篡改、删除系统中的数据或破坏系统的正常运行。破坏系统的正常运行。 网络攻击网络攻击通过通过向网络系统或计算机系统集中发起大量的非正常访问向网络系统或计算机系统集中发起大量的非正常访问，而使其，而使其无法响应正常的服务请求，也称为拒绝服务攻击。无法响应正常的服务请求，也称为拒绝服务攻击。卒幂超掂炙互泊绘烩砰蹋环卿夸罗空被桶傍蛛串披诗梯气淋酚钧鹿猜腿妇第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.1 7.

4、1 计算机系统安全威胁计算机系统安全威胁恶意软件的种类恶意软件的种类计算机病毒：是指能够自我复制的具有破坏作用的计算机病毒：是指能够自我复制的具有破坏作用的一组一组指令或程序代码指令或程序代码。 蠕虫：是一种蠕虫：是一种独立存在的程序独立存在的程序，利用网络和电子邮件进，利用网络和电子邮件进行复制和传播，危害计算机系统的正常运行。行复制和传播，危害计算机系统的正常运行。 特洛伊木马：一般特洛伊木马：一般由两个部分组成由两个部分组成，一部分是服务端程，一部分是服务端程序，一部分是控制端程序序，一部分是控制端程序 间谍软件：是指从计算机上搜集信息，并在未得到该计间谍软件：是指从计算机上搜集信息，并

5、在未得到该计算机用户许可的情况下便算机用户许可的情况下便将信息传递到第三方将信息传递到第三方的软件。的软件。 旷谣群蛙裂早剧型肩冀浑抚孩江仅饰寇腑酒蒸稳霓党送攀胞野迟遂腺召挥第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.1 7.1 计算机系统安全威胁计算机系统安全威胁计算机系统安全威胁现状计算机系统安全威胁现状对计算机系统安全的威胁呈对计算机系统安全的威胁呈多样化趋势多样化趋势，有的威胁只具，有的威胁只具有前述一种方式的特征，有的威胁兼具两种方式甚至三有前述一种方式的特征，有的威胁兼具两种方式甚至三种方式的特征。种方式的特征。2013年年10

6、月，国家计算机病毒应急处理中心发布了月，国家计算机病毒应急处理中心发布了2012年全国信息网络安全调查报告，报告指出，参年全国信息网络安全调查报告，报告指出，参与调查的用户中与调查的用户中33.29%33.29%发生过信息网络安全事件发生过信息网络安全事件，包括，包括感染恶意代码、网页被篡改、遭受网络盗窃或网络钓鱼感染恶意代码、网页被篡改、遭受网络盗窃或网络钓鱼等；等；计算机病毒感染率为计算机病毒感染率为45.07%45.07%，网上银行、网络支付，网上银行、网络支付等是计算机病毒的主攻目标。等是计算机病毒的主攻目标。疑句七戴腥朋辉乍津若遭傻曝琳壤职贷嗅邀择建瞪纱集毅害着莎挟尔拐嘉第7章计算机

7、系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.2 7.2 计算机系统安全概念计算机系统安全概念信息安全信息安全采取有效措施采取有效措施保证信息保存、传输与处理的安全保证信息保存、传输与处理的安全。信息主要是指存在于计算机系统中的信息以及传输在网络中的信息。信息主要是指存在于计算机系统中的信息以及传输在网络中的信息。 网络安全网络安全采取有效措施采取有效措施保证网络运行的安全保证网络运行的安全。计算机网络的主要功能是传输信息和存储信息的共享。计算机网络的主要功能是传输信息和存储信息的共享。 计算机系统安全计算机系统安全保证计算机系统运行的安全保证计算机系统

8、运行的安全。 计算机系统包括计算机硬件、网络设备和存储在计算机中的信息。计算机系统包括计算机硬件、网络设备和存储在计算机中的信息。 谱侗乃疲楼附无英咯璃江秃促夏那敬贩烧岂尚感旦复洋碍盈鹰甘阳馋什磨第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.2 7.2 计算机系统安全概念计算机系统安全概念三个概念的共同含义三个概念的共同含义采取有效措施采取有效措施保证计算机、计算机网络及其中存保证计算机、计算机网络及其中存储和传输的信息的安全储和传输的信息的安全，防止因偶然或恶意的原，防止因偶然或恶意的原因使计算机软硬件资源或网络系统遭到破坏，数因使计算机软

9、硬件资源或网络系统遭到破坏，数据遭到泄露、丢失和篡改。据遭到泄露、丢失和篡改。 刷匆翱卵瞒扬宗蝉熙灸亩辑辈锑箱眩砖莱辰亦四它改麓驯甸携乃她蔑乳顽第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.2 7.2 计算机系统安全概念计算机系统安全概念计算机系统安全的三个层面计算机系统安全的三个层面技术安全技术安全从技术层面保证计算机系统中硬件从技术层面保证计算机系统中硬件/ /软件和数据的安全软件和数据的安全。根据系统对安全性的要求，选购符合相应安全标准的根据系统对安全性的要求，选购符合相应安全标准的软硬件产品。软硬件产品。TCSEC 标准：标准：D、C

10、1、C2、B1、B2、B3、A1。 CC：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。 采取有效的反病毒技术、反黑客技术、防火墙技术、采取有效的反病毒技术、反黑客技术、防火墙技术、入侵检测技术、数据加密技术、认证技术等技术措施。入侵检测技术、数据加密技术、认证技术等技术措施。旅慰透鼓甄祁瞥锹换琐馋躲睫逾消砷限赘窿磊敏锤翼琴旗所移涝伐专居屈第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.2 7.2 计算机系统安全概念计算机系统安全概念计算机系统安全的三个层面计算机系统安全的三个层面管理安全管理安全通过提高相关人员安全意识

11、和制定通过提高相关人员安全意识和制定严格的管理措施严格的管理措施来来保证计算机系统的安全。保证计算机系统的安全。主要包括软硬件产品的采购、机房的安全保卫、系统主要包括软硬件产品的采购、机房的安全保卫、系统运行的审计与跟踪、数据的备份与恢复、用户权限的运行的审计与跟踪、数据的备份与恢复、用户权限的分配、账号密码的设定与更改等方面。分配、账号密码的设定与更改等方面。措宾缚曰药帘削乙不叠烩阅故财袄锅籍郸吾慷悠碴址魏诽皑镭饲舆碎盒河第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.2 7.2 计算机系统安全概念计算机系统安全概念计算机系统安全的三个层面计

12、算机系统安全的三个层面法律安全法律安全有有完善的法律、规章体系完善的法律、规章体系以保证对危害计算机系统安以保证对危害计算机系统安全的犯罪和违规行为进行有效的打击和惩治。全的犯罪和违规行为进行有效的打击和惩治。没有法律制裁的威慑，只靠管理措施和安全技术是很没有法律制裁的威慑，只靠管理措施和安全技术是很难遏制恶作剧者或犯罪分子肆无忌惮的破坏行为的。难遏制恶作剧者或犯罪分子肆无忌惮的破坏行为的。严逸响文遇臭涩例穗冈及配落订佰酌匆胀精门溯废渺祥衡程诲贯织乏蛇亢第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3 7.3 反病毒技术反病毒技术计算机病毒的

13、发展计算机病毒的发展计算机病毒的特征计算机病毒的特征计算机病毒的危害计算机病毒的危害计算机病毒的防治计算机病毒的防治稠阴跪刑扁睡帕辙脱亿痞割汽莫校馋声优恼蛀距同履粤拆椽袁筏趣胶句盛第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3.1 7.3.1 计算机病毒的发展计算机病毒的发展计算机病毒的定义计算机病毒的定义编制或者在计算机程序中插入的破坏计算机功能编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制或者毁坏数据，影响计算机使用，并能自我复制的的一组计算机指令或者程序代码一组计算机指令或者程序代码。可以在计算机

14、运行过程中能把自身准确复制或有可以在计算机运行过程中能把自身准确复制或有修改的复制到其他程序体内的一段具有破坏性的修改的复制到其他程序体内的一段具有破坏性的程序。程序。 申馁掠当鹏乎缉境卑柄喳孜勿贤光容板绵揖友跳疲一萄虱钩抒尺稀眼瓦诊第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3.1 7.3.1 计算机病毒的发展计算机病毒的发展有代表性的计算机病毒有代表性的计算机病毒1986年，年，Brain病毒。病毒。1988年，年，Morris病毒。病毒。1998年，年，CIH病毒流行。病毒流行。2000年，年， 爱虫病毒爱虫病毒2001年，年，Cod

15、eRed（红色代码）病毒。（红色代码）病毒。2003年，冲击波（年，冲击波（Blaster）病毒）病毒2004年，震荡波（年，震荡波（Sasser）病毒）病毒2006年，出现了源自我国的熊猫烧香病毒。年，出现了源自我国的熊猫烧香病毒。2008年，扫荡波（年，扫荡波（SaodangBo）病毒。）病毒。悔迂氢藉灰湖葵赏岛歇氯纸娠玉酶悉揍凸垃拯闲援漏猴韭耐绎掘勺骤型工第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3.1 7.3.1 计算机病毒的发展计算机病毒的发展20122012年在我国传播最广的年在我国传播最广的1010种病毒种病毒Troj_Ge

16、neric、代理木马（、代理木马（Troj_Agent） 木马下载器（木马下载器（Troj_Downloader）、）、Backdoor_Rbot、Kido、Troj_Startpage QQ盗号木马（盗号木马（Troj_QQPsw）、）、 WWin32_AdWare.Undef、新鬼影、新鬼影、Download_Patched浙为辐戎碱亦证罐掌呀乓称几拇丈危瑚脐贬抢骋锻艺跳找捶学推让续狼审第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3.2 7.3.2 计算机病毒的特征计算机病毒的特征传染性传染性计算机病毒能使自身的代码计算机病毒能使自身的

17、代码强行传染强行传染到一切符合其传染到一切符合其传染条件的程序内，通过这些程序的拷贝与网上传输等途径条件的程序内，通过这些程序的拷贝与网上传输等途径进一步感染其他计算机。进一步感染其他计算机。寄生性寄生性有一类计算机病毒不是一个完整的程序，需要有一类计算机病毒不是一个完整的程序，需要寄生在其寄生在其他程序中他程序中才能存在，当被寄生的程序运行时，病毒就通才能存在，当被寄生的程序运行时，病毒就通过自我复制而得到繁衍和传播。过自我复制而得到繁衍和传播。 痛斑改楚筋见念延匹毛徒樊倔阮侗犊候扛迟叁恍矗徘绢腿疯赚皇彬祭胃驯第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)

18、(2014)7.3.2 7.3.2 计算机病毒的特征计算机病毒的特征隐蔽性隐蔽性大多数计算机病毒都会大多数计算机病毒都会把自己隐藏起来把自己隐藏起来，如附加在正常程序中、复，如附加在正常程序中、复制到一般用户不会打开的目录下等，其存在、传染和破坏行为不易制到一般用户不会打开的目录下等，其存在、传染和破坏行为不易为计算机操作人员发现。为计算机操作人员发现。触发性触发性很多计算机病毒都有一个很多计算机病毒都有一个发作条件发作条件，这个发作条件可以是时间、特，这个发作条件可以是时间、特定程序的运行、某类系统事件的发生或程序的运行次数等。定程序的运行、某类系统事件的发生或程序的运行次数等。 破坏性破坏

19、性计算机病毒发作时，对计算机系统的正常运行都会有一些计算机病毒发作时，对计算机系统的正常运行都会有一些干扰和破干扰和破坏坏作用。作用。差昆滤裙邢哈聚喷抛黄佳凡栋哆虞锗踊昆颠峦则懒宴炳靴款捶普啥蛹机景第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.3.3 7.3.3 计算机病毒的危害计算机病毒的危害破坏系统资源破坏系统资源大部分病毒在发作时大部分病毒在发作时直接破坏计算机系统的资源直接破坏计算机系统的资源，如改，如改写主板上写主板上BIOS中的数据、改写文件分配表和目录区、格中的数据、改写文件分配表和目录区、格式化磁盘、删除文件、改写文件等，导致

20、程序或数据丢式化磁盘、删除文件、改写文件等，导致程序或数据丢失，甚至于整个计算机系统和网络系统的瘫痪。失，甚至于整个计算机系统和网络系统的瘫痪。 占用系统资源占用系统资源有的病毒虽然没有直接的破坏作用，但通过自身的复制有的病毒虽然没有直接的破坏作用，但通过自身的复制占用大量的存储空间占用大量的存储空间，甚至于占满存储介质的剩余空间，甚至于占满存储介质的剩余空间，因此影响正常程序及相应数据的运行和存储。因此影响正常程序及相应数据的运行和存储。 簿刨蛰卧尼余额况旦唤壹切佐供匣唇的盗人骨漆唆笋斤棠练星翔蹋取酷蔚第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(201

21、4)7.3.4 7.3.4 计算机病毒的防治计算机病毒的防治计算机病毒的传染途径计算机病毒的传染途径通过软盘、移动硬盘、光盘和通过软盘、移动硬盘、光盘和U盘等盘等外存设备外存设备传染。传染。 通过通过计算机网络计算机网络传染。传染。 计算机病毒的预防计算机病毒的预防普及病毒知识普及病毒知识/严格管理措施严格管理措施/强化技术手段。强化技术手段。计算机病毒的查杀计算机病毒的查杀瑞星杀毒软件、江民杀毒软件、金山毒霸、卡巴斯基杀瑞星杀毒软件、江民杀毒软件、金山毒霸、卡巴斯基杀毒软件、诺顿杀毒软件、毒软件、诺顿杀毒软件、360安全卫士等。安全卫士等。浦抨耍会洋桶茹旬绕厩阳缅悄韶曳绑胀将皆夺崇岿受丁诽傀

22、剂苦踌方库奄第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4 7.4 反黑客技术反黑客技术黑客概念黑客概念黑客攻击方式黑客攻击方式黑客的防范黑客的防范数群邻鲸清籍姻森挥补供凉底亲呈追擎象冻台构垦菌滤逾刘拥载泼叼标篆第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4.1 7.4.1 黑客概念黑客概念黑客定义黑客定义原指热心于原指热心于计算机计算机技术、水平高超的计算机专家，特别技术、水平高超的计算机专家，特别是指是指高水平的编程人员高水平的编程人员。日本出版的新黑客字典的定义：喜欢探索软件程序日

23、本出版的新黑客字典的定义：喜欢探索软件程序奥秘、并从中增长其个人才干的人。奥秘、并从中增长其个人才干的人。 现在黑客一词泛指那些专门利用系统漏洞在计算机网络现在黑客一词泛指那些专门利用系统漏洞在计算机网络上上搞破坏或恶作剧搞破坏或恶作剧的人。的人。艇奴寸蜘旋饼琐圆喘唐蔼灸殉届豺笔汗霞缆江吐初拂暂蔓王池递税壶蜡冰第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4.1 7.4.1 黑客概念黑客概念黑客分类黑客分类白帽黑客白帽黑客：发现系统漏洞后，会及时通报给系统的开发：发现系统漏洞后，会及时通报给系统的开发商。这一类黑客是有利于系统的不断完善的。商

24、。这一类黑客是有利于系统的不断完善的。黑帽黑客黑帽黑客：发现系统漏洞后，会试图制造一些损害，如：发现系统漏洞后，会试图制造一些损害，如删除文件、替换主页、盗取数据等。黑帽黑客具有破坏删除文件、替换主页、盗取数据等。黑帽黑客具有破坏作用，也称为骇客。作用，也称为骇客。灰帽黑客灰帽黑客：灰帽黑客大多数情况下是遵纪守法的，但在：灰帽黑客大多数情况下是遵纪守法的，但在一些特殊情况下也会做一些违法的事情。一些特殊情况下也会做一些违法的事情。控盾尝杉汰湖恨汛余幼嚷撅涕煌辛兔吹弊赂鼓黍百狈猎堆冰顶郑箍钥贪妹第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4.

25、2 7.4.2 黑客攻击方式黑客攻击方式 程序后门程序后门黑客会用穷举搜索法发现并利用黑客会用穷举搜索法发现并利用程序后门程序后门侵入系统。侵入系统。 获取口令获取口令简单猜想简单猜想/字典攻击字典攻击/暴力猜解暴力猜解/网络监听。网络监听。拒绝服务攻击拒绝服务攻击使用超出被攻击目标处理能力的大量数据包使用超出被攻击目标处理能力的大量数据包消耗系统可用带宽资源消耗系统可用带宽资源，最后致使网络服务瘫痪的一种攻击手段。最后致使网络服务瘫痪的一种攻击手段。分布式拒绝服务攻击利用多台已经被攻击者控制的机器对某一台单分布式拒绝服务攻击利用多台已经被攻击者控制的机器对某一台单机发起攻击。机发起攻击。 召

26、倘帝舞献兽疤拂会京诞踞诞歉称套籍肿肝娘伏葱酝啥致慑轩须梗箕把似第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4.2 7.4.2 黑客攻击方式黑客攻击方式 网络钓鱼网络钓鱼通过通过欺骗手段获取他人的个人信息欺骗手段获取他人的个人信息，然后窃取用户的重，然后窃取用户的重要数据或资金。要数据或资金。 主要手段主要手段发送含有虚假信息的电子邮件。发送含有虚假信息的电子邮件。建立假冒的网上银行、网上证券网站。建立假冒的网上银行、网上证券网站。利用虚假的电子商务活动。利用虚假的电子商务活动。利用木马等技术手段。利用木马等技术手段。利用用户的弱口令设置。利

27、用用户的弱口令设置。普穿肝润错檬仇饺蛋扬供妻甜厉媳符霉匣生下烈探铜玛铀冬丛酝八棵册厨第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.4.3 7.4.3 黑客的防范黑客的防范防范措施防范措施使用使用安全级别高的正版安全级别高的正版的操作系统、数据库管理系统等软件，的操作系统、数据库管理系统等软件，并注意给软件系统及时打补丁，修补软件漏洞；安装入侵检测并注意给软件系统及时打补丁，修补软件漏洞；安装入侵检测系统、防火墙和防病毒系统、防火墙和防病毒软件软件。不要轻易打开和相信来路不明的电子邮件；不要从不明网址下不要轻易打开和相信来路不明的电子邮件；不要

28、从不明网址下载软件；在进行网上交易时要认真核对网址，看是否与真正网载软件；在进行网上交易时要认真核对网址，看是否与真正网址一致；址一致；不要轻易输入账号、密码、身份证号等个人信息不要轻易输入账号、密码、身份证号等个人信息；尽；尽量避免在网吧等公共场所进行网上电子商务交易。量避免在网吧等公共场所进行网上电子商务交易。不要选诸如身份证号码、出生日期、电话号码、吉祥数等作为不要选诸如身份证号码、出生日期、电话号码、吉祥数等作为密码，这样的密码很容易破译，称为密码，这样的密码很容易破译，称为弱密码弱密码。药津嫩添费园别芜拿诲吸闻奖奖费羞汇娠佃屠深偶避闻痕棉国甚贱趴辉冗第7章计算机系统安全知识第7章计算

29、机系统安全知识 计算机导论计算机导论(2014)(2014)7.5 7.5 防火墙技术防火墙技术防火墙概念防火墙概念防火墙的功能防火墙的功能防火墙的结构防火墙的结构谭永给蔫生躇廖锯砾灾悲晾虫牟钙博阁请稳防翠盎裔嘛秋粤搔稍显和览哦第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.1 7.5.1 防火墙概念防火墙概念防火墙定义防火墙定义建立在内、外网络边界上的建立在内、外网络边界上的过滤封锁机制过滤封锁机制，是计算机硬，是计算机硬件和软件的结合，其作用是保护内部的计算机或网络免件和软件的结合，其作用是保护内部的计算机或网络免受外部非法用户的侵入。

30、受外部非法用户的侵入。内部网络被认为是安全和可信赖的，而外部网络（一般内部网络被认为是安全和可信赖的，而外部网络（一般是指互联网）被认为是不安全和不可信赖的。是指互联网）被认为是不安全和不可信赖的。防火墙的作用，就是防止不希望的、未经授权的通信进防火墙的作用，就是防止不希望的、未经授权的通信进出被保护的内部网络，出被保护的内部网络，通过边界控制来保证内部网络的通过边界控制来保证内部网络的安全安全。印驮诱铡沃戮弹屡亨桥勉廉氦状躲蚤冯狂狰榨吁千墙儡豺风童筒瀑获其靴第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.2 7.5.2 防火墙的功能防火墙

31、的功能访问控制访问控制通过通过禁止或允许特定用户访问特定资源禁止或允许特定用户访问特定资源，保护内部网络，保护内部网络的数据和软件等资源。的数据和软件等资源。 内容控制内容控制根据数据内容进行控制根据数据内容进行控制，如可以根据电子邮件的内容识，如可以根据电子邮件的内容识别出垃圾邮件并过滤掉垃圾邮件。别出垃圾邮件并过滤掉垃圾邮件。日志记录日志记录记录下经过防火墙的访问行为记录下经过防火墙的访问行为，同时能够提供网络使用，同时能够提供网络使用情况的统计数据。情况的统计数据。 梳道羡亮驮秘得批让导谋挨渤涣嫂帽惨丽法宜鲤俺十渤怖钩窃盼施蛔将梯第7章计算机系统安全知识第7章计算机系统安全知识 计算机导

32、论计算机导论(2014)(2014)7.5.2 7.5.2 防火墙的功能防火墙的功能安全管理安全管理通过以防火墙为中心的安全方案配置，能通过以防火墙为中心的安全方案配置，能将所有安全措将所有安全措施配置在防火墙上施配置在防火墙上。 内部信息保护内部信息保护利用防火墙对内部网络的划分，可实现利用防火墙对内部网络的划分，可实现内部网重点网段内部网重点网段的隔离的隔离，从而防止局部重点或敏感网络安全问题对全局，从而防止局部重点或敏感网络安全问题对全局网络安全的影响。网络安全的影响。纫诊拨喜客夸扛灾寇笨哀漾浇徊魄荤陵说奋添数娃冻宠旗浊疏哉塔描腺塞第7章计算机系统安全知识第7章计算机系统安全知识 计算机

33、导论计算机导论(2014)(2014)7.5.3 7.5.3 防火墙的结构防火墙的结构包过滤防火墙包过滤防火墙荫弓垮效贯缉迷产杠颗遥谱齿币抉寂噪踌郡忍煽蛙盎酚头宠际惋惠辨思膛第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.3 7.5.3 防火墙的结构防火墙的结构双宿主网关防火墙双宿主网关防火墙岿封鹿撇傍陀壶旗孪犀显程哺溺罪温让憨聪澄缩兔檀泼撤捍淖蕊忆纱挽番第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.3 7.5.3 防火墙的结构防火墙的结构屏蔽主机防火墙屏蔽主机防火墙 庶梯蕾蔓料逊矾鳃

34、抨崇制浆弃傅换梗戍菊蹄拉址较互后好旋定腹勺餐糠十第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.3 7.5.3 防火墙的结构防火墙的结构屏蔽子网防火墙屏蔽子网防火墙 红品膝鬼葵湘拆岩肆主赂邑瞳袁声湾撇瓜拢炒逮瘸煌冯驮膝虹盛正绵船肥第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.5.3 7.5.3 防火墙的结构防火墙的结构常用防火墙产品常用防火墙产品美国思科系统公司（美国思科系统公司（Cisco Systems, Inc.） PIXPIX系列产品系列产品 美国美国Juniper网络公司网络公司

35、NetScreenNetScreen系列产品系列产品 国内华三通信公司（国内华三通信公司（H3C，原华为，原华为3Com）SecPathSecPath系列产品系列产品 甫扼壤策虹形蛇缓原咯垛骂牡莆徘楚携锥季非锚弦粘竞硕牺桐谎抢九现叼第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6 7.6 入侵检测技术入侵检测技术入侵检测系统的功能入侵检测系统的功能入侵检测系统的分类入侵检测系统的分类入侵检测技术入侵检测技术薯氏衰众整铅曾涌液辖嫂瑰犹甥针萨助噎膨寝函标枚冗楼判橡分气鹊俊石第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2

36、014)(2014)7.6.1 7.6.1 入侵检测系统的功能入侵检测系统的功能 入侵检测系统的定义入侵检测系统的定义通过从计算机网络或计算机系统中的通过从计算机网络或计算机系统中的若干关键点收集信若干关键点收集信息并对其进行分析息并对其进行分析，从中发现网络或系统中是否有违反，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统是完成入侵检测功能的计算机软硬件系统。入侵检测系统是完成入侵检测功能的计算机软硬件系统。入侵检测系统的功能入侵检测系统的功能监控监控/分析用户和系统的活动；发现入侵企图或异常现象。分析用

37、户和系统的活动；发现入侵企图或异常现象。记录记录/报警和响应；友好的用户界面。报警和响应；友好的用户界面。竭雏崇淆谁毕蓖罐腰聂韩东位曝耗焊敏令缔倾河艳秀末他救藐佣狞鸽烦徒第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6.2 7.6.2 入侵检测系统的分类入侵检测系统的分类基于网络的入侵检测系统基于网络的入侵检测系统作用于某个网络环境作用于某个网络环境的入侵检测系统。的入侵检测系统。通过侦听和分析网络上关键路径上传输的数据，通过侦听和分析网络上关键路径上传输的数据，发现可疑的通信数据和入侵行为。发现可疑的通信数据和入侵行为。译鞍鼻某快射恍讥挝约

38、梆毋壮集领魔幸稀搪不帘扁侗铡拾扁簧唬奔奉陈巫第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6.2 7.6.2 入侵检测系统的分类入侵检测系统的分类基于主机的入侵检测系统基于主机的入侵检测系统作用于某台主机作用于某台主机上的入侵检测系统。上的入侵检测系统。通过监视与分析主机的审计记录和日志文件来检测对主通过监视与分析主机的审计记录和日志文件来检测对主机的入侵。机的入侵。日志中记录有所有对主机的访问行为，从中可以分析出日志中记录有所有对主机的访问行为，从中可以分析出非正常的和不希望发生的行为，进而认定对主机的入侵非正常的和不希望发生的行为，进而认

39、定对主机的入侵企图和已发生的入侵行为。企图和已发生的入侵行为。启动相应的应急响应措施，阻止入侵企图和尽量减少已启动相应的应急响应措施，阻止入侵企图和尽量减少已发生的入侵行为的破坏作用。发生的入侵行为的破坏作用。婿骋睡糕忧亲褥吗切蛋凰壬虹涡御爱尺膜斜拌桑浅渣形踊堵巩该晦壶裤销第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6.2 7.6.2 入侵检测系统的分类入侵检测系统的分类基于应用的入侵检测系统基于应用的入侵检测系统作用于某个应用系统作用于某个应用系统的入侵检测系统。的入侵检测系统。通过监视与分析某个应用程序的日志文件来检测通过监视与分析某个

40、应用程序的日志文件来检测对该应用程序的入侵。对该应用程序的入侵。基于应用的入侵检测系统是基于主机的入侵检测基于应用的入侵检测系统是基于主机的入侵检测系统的进一步细化。系统的进一步细化。郎鸣蝗鄙媚殴胰偶占融陷扎炉童渊盔馆贤抿吠规荫鳃尿蝶专巢疯庞铆梭那第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6.3 7.6.3 入侵检测技术入侵检测技术 误用检测误用检测假设假设入侵行为可以用一种模式来表示入侵行为可以用一种模式来表示，系统的目标是检测外部用，系统的目标是检测外部用户的访问是否符合这些模式，符合即是入侵行为。户的访问是否符合这些模式，符合即是入

41、侵行为。异常检测异常检测假设入侵行为不同于正常的访问行为。根据这一思路假设入侵行为不同于正常的访问行为。根据这一思路建立正常访建立正常访问行为的行为描述问行为的行为描述，将当前的访问行为与，将当前的访问行为与“行为描述行为描述”进行比较，进行比较，当违反正常行为的统计规律时，认为该访问可能是入侵行为。当违反正常行为的统计规律时，认为该访问可能是入侵行为。混合检测混合检测同时进行误用检测和异常检测。同时进行误用检测和异常检测。恢蚤叹狡累绎笑祈壕煤晤文哥智贩珐浪镭罕涣衍亨翘庚兔砰彝兴嫌劈谨覆第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.6.3 7

42、.6.3 入侵检测技术入侵检测技术常用入侵检测产品常用入侵检测产品美国思科系统公司美国思科系统公司Cisco IDSCisco IDS系列产品系列产品 国内华三通信公司国内华三通信公司SecPath TSecPath T系列产品系列产品 黎缆牲弄悲廉譬乡劈祟巳郭甥襄山磅扩喉柴捐兴豌边遭碗撩古摹磐袜讽缅第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7 7.7 数据加密技术数据加密技术数据加密概述数据加密概述古典加密方法古典加密方法现代加密方法现代加密方法对吞妖诉洒胺搜喳博纂臆盛歉蛔滇渠症莆帐诣抽涂抗舰畦醛休乙鱼迂双霹第7章计算机系统安全知识第7

43、章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.1 7.7.1 数据加密概述数据加密概述加密的含义加密的含义把明文通过混拆、替换和重组等方式变换成对应的密文把明文通过混拆、替换和重组等方式变换成对应的密文。密文。密文需要按加密的逆过程解密成明文后，才能理解其含义。需要按加密的逆过程解密成明文后，才能理解其含义。 解密密钥解密密钥加密密钥加密密钥明文明文加密算法加密算法明文明文密文密文解密算法解密算法窃取者窃取者发送发送接收接收健恨秩臂狗桐永删怨澳蚕独钉榷坪颤轨茁总伯妄邑蚤稍仓噬嘲茵养镍须阐第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014

44、)(2014)7.7.2 7.7.2 古典加密方法古典加密方法恺撒密码恺撒密码 含义：通过移位的方式实现对原始信息的加密，含义：通过移位的方式实现对原始信息的加密，对不同对不同位置的字符采用相同的移位方式位置的字符采用相同的移位方式。 示例：用恺撒密码对示例：用恺撒密码对computer进行加密。进行加密。 设置设置26个英文字母与数字的对应关系如下：个英文字母与数字的对应关系如下： a b c d e f u v w x y z 0 1 2 3 4 5 20 21 22 23 24 25computerdpnqvufs 实现简单实现简单容易破译容易破译 惰舀竟脊阁嫂勺僚喀二熔莹窄脓冬践贼拉灾

45、讽骨复拈父墨盆扫驹娱档透畅第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.2 7.7.2 古典加密方法古典加密方法多字符替换多字符替换 含义：含义：不同位置的字符采用不同的替换方式不同位置的字符采用不同的替换方式。示例：采用（示例：采用（+1，-1，+2）的替换方式对）的替换方式对computer加密。加密。 对明文中的第一个字符右移对明文中的第一个字符右移1位，第二个字符左移位，第二个字符左移1位，第三个字符位，第三个字符右移右移2位，第四个字符又是右移位，第四个字符又是右移1位，如此进行下去，完成明文中所位，如此进行下去，完成明文中所有

46、字符的替换。有字符的替换。 computerdnoqtvfq 柒疯都嘛伊筒类瓢栈匹钦硷尿寒笼楚辑深鞘车赦曰奖荡更皇摔谩苛菇笨荔第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.2 7.7.2 古典加密方法古典加密方法二进制运算二进制运算 运算规则运算规则运算示例运算示例ANOT0110ABANDORXOR0000001011100111111010101100 AND 01101011=0010100010101100 OR 01101011=11101111NOT 10101100=0101001110101100 XOR 01101011

47、=11000111 A A XOR B B XOR B B=A A 鸿夜版葡妨栗剩牧胎账梯换奢粮逢肪唬白俭吠狸孤韶久氧渠窥钝仑饶季磺第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.2 7.7.2 古典加密方法古典加密方法用二进制运算加密示例用二进制运算加密示例 采用异或运算对采用异或运算对computer进行加密。进行加密。明文明文ASCII码码密文密文ASCII码码明文明文ASCII码码00001100 XORXOR00001100 computer发送发送computer接收接收加密加密密钥密钥解密解密密钥密钥到拙袜进卒底涣蔡辉我正趾湾

48、苟英陈量艺桥吉皑数骤续缆与四篆戒取莲颤第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.2 7.7.2 古典加密方法古典加密方法用二进制运算加密示例用二进制运算加密示例 采用异或运算对采用异或运算对computer进行加密。进行加密。明文字符明文字符明文明文ASCII码码密文密文ASCII码码密文字符密文字符c0110001101101111oo0110111101100011cm0110110101100001ap0111000001111100|u0111010101111001yt0111010001111000xe0110010101

49、101001ir0111001001111110订芹傍别宜摈岿丧沪澜覆粤移翠喉订蔑吩租诀益爹愿挂罩掣轧庚陡钨芯钎第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法私钥加密私钥加密 加密和解密使用同一个密钥加密和解密使用同一个密钥。明文明文明文发送发送明文明文明文密文密文接收接收基琳为舱宋镣昌临敦镶眺肺纱跨骤丛订墅羞勿囊迫棋詹邪恋鹏悸晰栽探区第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法DESDES算法加密过程

50、算法加密过程待加密数据被分为待加密数据被分为64bit大小的数据块。大小的数据块。对第一个对第一个64位的数据块进行初始变换，即对位的数据块进行初始变换，即对64位的数据位的数据按位重新组合。如将第按位重新组合。如将第58位换到第位换到第1位，第位，第50位换到第位换到第2位，位，等等。，等等。将换位后的数据与密钥进行计算，这样的计算共进行将换位后的数据与密钥进行计算，这样的计算共进行16轮，每一轮使用一个不同的密钥，这轮，每一轮使用一个不同的密钥，这1616轮的密钥合称轮的密钥合称DESDES算法的加密密钥算法的加密密钥，也是日后解密的密钥。，也是日后解密的密钥。矿见纪闲养烦捐怎怀针紧昂谓格

51、偷荡哲贬利依盔抠汰住雹貉眷窍谣发壶钨第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法DESDES算法加密过程算法加密过程把经过把经过16轮加密的数据再进行换位操作，这时的换位是轮加密的数据再进行换位操作，这时的换位是初始换位的逆操作，如第初始换位的逆操作，如第1位经初始换位后换到了第位经初始换位后换到了第40位，位，经逆初始换位，再把第经逆初始换位，再把第40位换回到第位换回到第1位。位。逆初始换位后的结果就是第一块数据加密后的密文。逆初始换位后的结果就是第一块数据加密后的密文。对其他每块数据都进行与

52、第一块数据类似的处理，得到对其他每块数据都进行与第一块数据类似的处理，得到全部明文对应的密文。全部明文对应的密文。盾毁漆挎远胜疾檄秆砷莉脆噎懦碟抱鹃靡韵夫栏纳大剐嘎乒诛沤刨蜕恫塞第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法公钥加密公钥加密加密密钥与解密密钥使用不同的密钥加密密钥与解密密钥使用不同的密钥。明文明文明文 他人他人明文明文明文密文密文 本人本人 公共密钥公共密钥 私有密钥私有密钥悬烘潭镁劫榔们戚汲绣众熏闭心勿菜冯绣腋混批烽砍资谜抬矗食淡贪阔磐第7章计算机系统安全知识第7章计算机系统安全知

53、识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法RSARSA算法选定密钥过程算法选定密钥过程选择两个互异的大素数选择两个互异的大素数p和和q；使使n=p*q，t=(p-1)*(q-1)；取一个整数取一个整数e，使其满足，使其满足1et，且，且gcd（t，e）=1；计算计算d，使其满足（，使其满足（d*e） mod t = 1 ；以以e，n为公钥，为公钥，d，n为私钥。为私钥。求最大公求最大公约数约数求余求余披搞蕊违寓贰括惋坡拥叠蒋第孺片咳冷股缀逸限订演违莉圈咐接搔讫工年第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(201

54、4)(2014)7.7.3 7.7.3 现代加密方法现代加密方法RSARSA算法的加密过程算法的加密过程首先将首先将bit串形式的明文信息分组，使得每个分组对应的串形式的明文信息分组，使得每个分组对应的十进制数小于十进制数小于n，即分组长度小于，即分组长度小于log2n，然后对每个明文，然后对每个明文分组分组m作加密计算，得到其对应的密文作加密计算，得到其对应的密文c=me mod n。RSARSA算法的解密过程算法的解密过程对每个密文分组进行解密计算，还原成其对应的明文对每个密文分组进行解密计算，还原成其对应的明文m=cd mod n。申倾呀夜霉廖迅较言结睦抚库绪万犁睹楼钵釜袄弃择四艇掂添航

55、埔疆涅跑第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.7.3 7.7.3 现代加密方法现代加密方法RSARSA算法加密示例算法加密示例用用RSA算法对算法对computer进行加密。进行加密。选选p=7，q=17。则。则n=7*17=119，t=6*16=96取取e=5，满足，满足1et，且，且gcd（t，e）=1；则满足（则满足（d*e） mod t =1 条件的条件的d=77。5，119为公钥，为公钥，77，119为私钥。为私钥。明文字符明文字符明文明文ASCII码码密文密文ASCII码码密文字符密文字符c9929一控制符一控制符o111

56、76Lm10979Op11291u11787Wt116114re10133！r11488X燕酵匣灵蕉瞬胃兑吧忿体绷疮靡艇千哮炊哦鞘赡酵胆啪眷胆汪垣升据绪焙第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8 7.8 安全认证技术安全认证技术消息认证消息认证数字签名数字签名PKIPKI劈茬喉犬奸乎肯步非玄嘱燃违搏兄警读葡岿基鹅循卒栖验短构疼娟壮蜗芥第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8 7.8 安全认证技术安全认证技术消息认证的必要性与作用消息认证的必要性与作用通信双方在一个不安全的信道

57、上传输信息，可能面临着通信双方在一个不安全的信道上传输信息，可能面临着被第三方截取被第三方截取，进而对信息进行，进而对信息进行篡改或伪造篡改或伪造的隐患，若的隐患，若接收方收到的是被第三方伪造或篡改的信息，可能会造接收方收到的是被第三方伪造或篡改的信息，可能会造成非常严重的损失。成非常严重的损失。消息认证技术用于检查发送方发送的信息是否被篡改或消息认证技术用于检查发送方发送的信息是否被篡改或是伪造的，消息认证系统的核心是一个是伪造的，消息认证系统的核心是一个认证算法认证算法。开庭照愿大询餐件萌氦丽怎声帝炸愤芦汪靶袒阴矫琳启摸汤菇嘉佛俐粱激第7章计算机系统安全知识第7章计算机系统安全知识 计算机

58、导论计算机导论(2014)(2014)7.8.1 7.8.1 消息认证消息认证 信息信息信息信息截获截取者篡改发送接收互联网哨匡爹祖谚傲孔福砂儿找谨炳仍淫射晶岩酸肚新过抑胎侠拜桐将煌携剿增第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.1 7.8.1 消息认证消息认证消息认证思路消息认证思路为了发送信息，发送方先将信息和认证密钥输入认证算为了发送信息，发送方先将信息和认证密钥输入认证算法，计算出信息的认证标签，然后将法，计算出信息的认证标签，然后将信息和认证标签一信息和认证标签一同发出同发出。接收方收到信息和认证标签后，把信息和相同的认证密

59、接收方收到信息和认证标签后，把信息和相同的认证密钥输入认证算法，也计算出认证标签。钥输入认证算法，也计算出认证标签。检查这个检查这个计算出的认证标签与接收到的认证标签是否相计算出的认证标签与接收到的认证标签是否相同同，若相同，认为信息不是伪造的，也未被篡改，接受，若相同，认为信息不是伪造的，也未被篡改，接受该信息，若不相同，则认为信息是伪造的或被篡改过，该信息，若不相同，则认为信息是伪造的或被篡改过，舍弃该信息。舍弃该信息。碎迭孟郁惯篷烬键钥幸导失戒格辖属搬急绅流慢牛椰辛儡倡加哑处汝虎殆第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.2 7

60、.8.2 数字签名数字签名数字签名的定义数字签名的定义在电子文档中附加的数字认证信息称为数字签名在电子文档中附加的数字认证信息称为数字签名，也称，也称为电子签名。为电子签名。数据电文中以电子形式所含、所附用于识别签名人身份数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。并表明签名人认可其中内容的数据。数字签名就是只有信息的发送者才能产生的，与发送信数字签名就是只有信息的发送者才能产生的，与发送信息密切相关的、他人无法伪造的一个数字串，它同时也息密切相关的、他人无法伪造的一个数字串，它同时也是对发送者发送的信息的真实性的一个证明。是对发送者发送的信息的真实性的一个

61、证明。 税塌颓座听沸圃猫糠爹抉怜细吮炽炎蔷斯屹锭颁雀淀暂纠炔得暑陀段添印第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.2 7.8.2 数字签名数字签名数字签名过程数字签名过程用户用户A准备好一个要发送给用户准备好一个要发送给用户B的电子信息的电子信息M。 用户用户A用公开的单向用公开的单向Hash函数对信息函数对信息M进行变换，生成进行变换，生成信息摘要信息摘要MH，然后用自己的私钥，然后用自己的私钥DA对信息摘要对信息摘要MH加密，加密，对对M MH H加密的结果就是信息加密的结果就是信息M M的数字签名的数字签名。用户用户A将数字签名

62、附在信息将数字签名附在信息M之后，连同信息之后，连同信息M和相应的和相应的数字签名一起发送给用户数字签名一起发送给用户B。 蒂愿业搁敞赞共包溅需催恋神趴吝境掩从余委达肠立怯某掇碍酝垛龋唆饺第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.2 7.8.2 数字签名数字签名数字签名过程数字签名过程用户用户B收到信息收到信息M和相应的数字签名和相应的数字签名MH后，一是使用相后，一是使用相同的单向同的单向Hash函数对信息函数对信息M进行变换，生成信息摘要，进行变换，生成信息摘要，二是使用用户二是使用用户A的公钥的公钥EA对数字签名进行解密，得到用

63、对数字签名进行解密，得到用户户A针对针对M生成的信息摘要。生成的信息摘要。 用户用户B比较两个信息摘要比较两个信息摘要，如果两者相同，则可以确信信，如果两者相同，则可以确信信息在发送后并未作任何改变，也不是伪造的，可以接受息在发送后并未作任何改变，也不是伪造的，可以接受来自于用户来自于用户A的信息的信息M，如果不相同，说明信息，如果不相同，说明信息M是伪造是伪造的或已经被篡改，放弃该信息。的或已经被篡改，放弃该信息。湾熊澄侈晦珊婆宪湖懈拟封誊砍叉露绵戒幅楼葱韭密蚤渣外畅预怒帐呆窃第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.2 7.8.2

64、 数字签名数字签名HashHash函数与信息摘要函数与信息摘要Hash函数用于将任意长度的信息函数用于将任意长度的信息M变换为较短的、固定变换为较短的、固定长度的信息摘要长度的信息摘要MH。信息摘要是信息中所有二进制位的函数，改变信息中的信息摘要是信息中所有二进制位的函数，改变信息中的任何一个或几个位，都会使信息摘要发生改变。所以，任何一个或几个位，都会使信息摘要发生改变。所以，信息摘要也被形象地称为信息的信息摘要也被形象地称为信息的数字指纹数字指纹。 踪演水涧郁悲蛙傅芋炉钢俏仰舱高伤亿钡槐使唬谷冕释哑悠汽腿甭祥碴业第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(201

65、4)(2014)7.8.2 7.8.2 数字签名数字签名HashHash函数的特性函数的特性函数的输入可以任意长，函数的输出是固定长。函数的输入可以任意长，函数的输出是固定长。已知信息已知信息M，求信息摘要，求信息摘要MH比较容易。比较容易。已知已知MH，求，求H（M）= MH的的M在计算上是不可行的，即在计算上是不可行的，即很难根据信息摘要来反向求得原始信息，这是很难根据信息摘要来反向求得原始信息，这是HashHash函数函数的单向性的单向性。已知已知M1，找出，找出M2(M2 M1)使得使得H(M2)= H(M1)在计算上在计算上是不可行的，即很难找到两个不同的信息会有相同的信是不可行的，

66、即很难找到两个不同的信息会有相同的信息摘要，这是息摘要，这是HashHash函数的唯一性函数的唯一性。 关滑恰珍覆也奖庄嘿添戏遇盂而眶沸丁鄂恳羽掳纺吃丑聚耐菠痢堂裹选娇第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.2 7.8.2 数字签名数字签名数字签名的有效性分析数字签名的有效性分析难以伪造或篡改难以伪造或篡改由由Hash函数的唯一性可知，对原有信息的微小改变也会导致信息摘要的函数的唯一性可知，对原有信息的微小改变也会导致信息摘要的改变，所以，接收方或第三方很难伪造或篡改发送方发出的信息而使信改变，所以，接收方或第三方很难伪造或篡改发送

67、方发出的信息而使信息摘要不变息摘要不变.又由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方又由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方很难伪造加密的信息摘要（数字签名），进而也就无法伪造信息摘要。很难伪造加密的信息摘要（数字签名），进而也就无法伪造信息摘要。无法伪造信息摘要，伪造或篡改的信息是很容易被识破的。无法伪造信息摘要，伪造或篡改的信息是很容易被识破的。难以抵赖难以抵赖由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方是由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方是不能做此事的，所以发送方对自己发出的信息是难以抵赖的。不能做此事的，

68、所以发送方对自己发出的信息是难以抵赖的。琢袄癌武舔节惭欣偶歧句镰票罚祸疤羊挎喷液异纬祟詹砌猎磷趾阵物渔另第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.3 PKI7.8.3 PKIPKIPKI的含义的含义一种提供公钥加密、数字签名和数字证书等服务的管理一种提供公钥加密、数字签名和数字证书等服务的管理平台，以保证网上传输信息的保密性、真实性、完整性平台，以保证网上传输信息的保密性、真实性、完整性和不可抵赖性。和不可抵赖性。 PKIPKI的功能的功能颁发证书、更新证书、撤销证书、公布证书、在线查询证书状态、颁发证书、更新证书、撤销证书、公布证书

69、、在线查询证书状态、认定证书等。认定证书等。密钥产生、密钥备份和恢复、密钥更新、密钥销毁和归档等。密钥产生、密钥备份和恢复、密钥更新、密钥销毁和归档等。 音铣胆想澜又址羚涪履盟狈元羞驻粳均届辩蓖窜淡伺坚愧若害角以护涵忻第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.8.3 PKI7.8.3 PKIPKIPKI的组成的组成认证机构认证机构负责数字证书的签发，是负责数字证书的签发，是PKI的核心，是的核心，是PKI中权威的、可信任中权威的、可信任的、公正的第三方机构。的、公正的第三方机构。注册机构注册机构负责数字证书申请者的信息录入、资格审查等工作

70、，决定是否同负责数字证书申请者的信息录入、资格审查等工作，决定是否同意由认证机构为其签发数字证书。意由认证机构为其签发数字证书。目录服务器目录服务器用于存放和管理数字证书。用于存放和管理数字证书。啡昔拨晾盆怠金辅腾华族登渭乏阿斩皂鼎遥舔徘独睁酸责滔任迫宦甸夷夹第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.97.9 法律规章与职业道德法律规章与职业道德计算机专业人员计算机专业人员除了严格遵守一般的道德规范和法律规章外，还要严格除了严格遵守一般的道德规范和法律规章外，还要严格遵守计算机领域的职业道德和法律规章，遵守计算机领域的职业道德和法律规章，

71、不要以自己的不要以自己的专业特长作为谋取个人不法利益的工具专业特长作为谋取个人不法利益的工具。如果把计算机及网络环境看作是一个虚拟社会的话，那如果把计算机及网络环境看作是一个虚拟社会的话，那么我们在真实社会中应遵守的道德规范和应有的责任意么我们在真实社会中应遵守的道德规范和应有的责任意识同样适用于虚拟社会。识同样适用于虚拟社会。纷试坦镐艰奖距讫樱祖胯从拱准舞谭稍寡羔哮碉盏妹竹辩努奉粕铆荚忽终第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.97.9 法律规章与职业道德法律规章与职业道德应遵守的道德规范和应有的责任意识应遵守的道德规范和应有的责任意

72、识 不要盗窃和蓄意破坏他人的软硬件资源及数据资源。不要盗窃和蓄意破坏他人的软硬件资源及数据资源。不要编制计算机病毒程序，不要故意传播计算机病毒给不要编制计算机病毒程序，不要故意传播计算机病毒给其他计算机系统。其他计算机系统。要严格管理因工作需要而掌握的他人个人信息或单位的要严格管理因工作需要而掌握的他人个人信息或单位的内部数据，不要泄露他人的个人信息和单位的内部数据。内部数据，不要泄露他人的个人信息和单位的内部数据。 不要蓄意攻击他人的计算机系统或网络系统。不要蓄意攻击他人的计算机系统或网络系统。不经对方许可，不要发送商业广告等宣传类邮件。不经对方许可，不要发送商业广告等宣传类邮件。鲍澎力蔚功

73、烧恤彬府弧官岔阻报痉识优纺询傈捉蝇贰蓉乘浆生绞蹭休搬摇第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.97.9 法律规章与职业道德法律规章与职业道德应遵守的道德规范和应有的责任意识应遵守的道德规范和应有的责任意识 不要蓄意破译他人的账号和口令。不要蓄意破译他人的账号和口令。要严密保护自己的账号和密码，不得泄露给他人。要严密保护自己的账号和密码，不得泄露给他人。 不要通过网络欺骗等手段，窃取金钱和机密信息。不要通过网络欺骗等手段，窃取金钱和机密信息。不要滥用个人的计算机系统权限以谋取个人的不法利益。不要滥用个人的计算机系统权限以谋取个人的不法利益

74、。不要使用超越自己合法权限的功能。不要使用超越自己合法权限的功能。壳耸锑宝徒滨贴牲肥遵栽区辨极借旨麦剃桨忧粱坷丈太绸林塌仇戌奎诀忘第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.97.9 法律规章与职业道德法律规章与职业道德有关计算机系统安全与知识产权的法律法规有关计算机系统安全与知识产权的法律法规中华人民共和国刑法。中华人民共和国刑法。中华人民共和国治安管理处罚法。中华人民共和国治安管理处罚法。中华人民共和国电子签名法。中华人民共和国电子签名法。全国人大常委会关于维护互联网安全的决定。全国人大常委会关于维护互联网安全的决定。中华人民共和国计算

75、机信息系统安全保护条例。中华人民共和国计算机信息系统安全保护条例。中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定（修正）。（修正）。臻福暂掏筑吼减蒲犀裹廖医洒瘴漫庚验各坊侮辑院舷雏族寒宇帐怎俐痰包第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.97.9 法律规章与职业道德法律规章与职业道德有关计算机系统安全与知识产权的法律法规有关计算机系统安全与知识产权的法律法规互联网上网服务营业场所管理条例。互联网上网服务营业场所管理条例。中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信

76、息网络国际联网管理暂行规定实施办法。实施办法。计算机信息网络国际联网安全保护管理办法。计算机信息网络国际联网安全保护管理办法。计算机病毒防治管理办法。计算机病毒防治管理办法。中华人民共和国著作权法。中华人民共和国著作权法。计算机软件保护条例。计算机软件保护条例。 芥琉葛桑曝蜜豆摆按巴寂且象肿析残魄撞膀愿溉蔼峦苏伍之痈戍吊怖应哼第7章计算机系统安全知识第7章计算机系统安全知识 计算机导论计算机导论(2014)(2014)7.10 7.10 本章小结本章小结 计算机及网络的广泛应用，极大地促进了经济发展计算机及网络的广泛应用，极大地促进了经济发展和社会进步，方便了人们的日常工作和生活。和社会进步，方便了人们的日常工作和生活。也伴随着出现了计算机病毒、黑客、网络攻击等妨也伴随着出现了计算机病毒、黑客、网络攻击等妨害计算机系统安全的问题。害计算机系统安全的问题。有效的技术措施有效的技术措施，再加上，再加上高度的责任意识高度的责任意识、严格的严格的管理制度管理制度、完善的法律法规体系完善的法律法规体系，就能有效地保证，就能有效地保证计算机及网络系统的安全运行及信息的安全传输。计算机及网络系统的安全运行及信息的安全传输。 霞罢塑叫咎式谱默妖免挺场谚盎谊敞爹眯糜郝羚仙盾涌考朵徒逛浮跳搔芍第7章计算机系统安全知识第7章计算机系统安全知识