网络信息安全概述.ppt

网络信息安全概述 10.2.1网络安全隐患与对策 网络安全所面临的威胁： （1）网络中信息的威胁 （2）对网络中设备的威胁 造成网络威胁的来源： （1）人为的无意失误 （2）人为的恶意攻击 积极攻击和消极攻击 （3）系统以及网络软件的漏洞和“后门” 网络安全策略 （1）物理安全策略 确保通信设备实体和通信链路不受破坏； 良好的电磁兼容工作环境，采用电磁屏蔽技术和干扰技术； 完备的安全管理制度； （2）访问控制策略 保证网络资源不被非法使用和非常访问 入网访问控制，网络登陆的控制，通过增加网络口令的复杂性和加密 网络权限的控制 对网络资源分级，不同级别的用户对不同的网络资源有不同的访问权限。 目录安全控制 对目录和文件的属性进行控制，以使不同用户对相同的目录和文件具有不同的读、修改、删除、写的权限。 属性安全控制 网络资源中的文件、目录应设置合适的属性。 网络服务器的安全控制 设置对网络服务器的使用，包括接入口令、访问时间等 网络监测和锁定控制 记录对网络资源、网络服务器的访问记录。 网络端口和结点的安全控制 对网络端口和结点的接入、操作信息的传输采用加密和安全认证措施。 防火墙控制 采用防火墙技术隔离内网和外网。 （3）信息加密策略 对网内存储和传输的数据、口令、控制信息进行加密。加密方式包括链路加密、结点加密和端到端加密。 （4）非技术性安全管理策略 通过规章制度、行政手段、职业操守教育等措施，降低非技术原因导致的安全隐患。 10.2.2病毒与防范 病毒的传播伴随着信息资源的共享。 10.3数据加密算法 数据加密是计算机安全的重要部分。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输，防止文件被看到或劫持。 电子邮件给人们提供了一种快捷便宜的通信方式，但电子邮件是不安全的，很容易被别人偷看或伪造。为了保证电子邮件的安全，人们采用了数字签名这样的加密技术，并提供了基于加密的身份认证技术，这样就可以保证发信人就是信上声称的人。数据加密也使因特网上的电子商务成为可能。 10.3.1数据加密的一般原理 数据加密的基本过程包括对称为明文的可读信息进行处理，形成称为密文或密码的代码形式。该过程的逆过程称为解密，即将该编码信息转化为其原来的形式的过程。 数据加密的基本概念： 明文，加密密钥，加密算法， 密文，解密密钥，解密算法 （1）对称密钥加密 在保密密钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密。这种加密算法的问题是，用户必须让接收人知道自己所使用的密钥，这个密钥需要双方共同保密，任何一方的失误都会导致机密的泄露，而且在告诉收件人密钥过程中，还需要防止任何人发现或偷听密钥，这个过程被称为密钥发布。 对称密钥算法：DES及各种变种、IDEA等 （2）公开密钥加密 公用／私有密钥，与单独的密钥不同，它使用相互关联的一对密钥，一个是公用密钥，任何人都可以知道，另一个是私有密钥，只有拥有该对密钥的人知道。如果有人发信给这个人，他就用收信人的公用密钥对信件进行过加密，当收件人收到信后，他就可以用他的私有密钥进行解密，而且只有他持有的私有密钥可以解密。这种加密方式的好处显而易见。密钥只有一个人持有，也就更加容易进行保密，因为不需在网络上传送私人密钥，也就不用担心别人在认证会话初期截获密钥。 ①公用密钥和私有密钥有两个相互关联的密钥； ②公用密钥加密的文件只有私有密钥能解开； ③私有密钥加密的文件只有公用密钥能解开 。 公开密钥算法：RSA等。 密文的传输 （1）链路加密 在一条链路上传输的信息均被加密，包括报头和路由信息。链路加密采用逐段加密，在链路节点上明文会短暂存在。 （2）节点加密 在链路上传输的数据是加密的，但报头和路由信息不加密。 （3）端到端加密 对传输的分组逐个加密，加密的分组在网络中不进行解密。报头和路由信息不加密。 DES 数据加密标准（Data Encryption Standard，DES）是美国国家标准局开始研究除国防部以外的其它部门的计算机系统的数据加密标准。 DES是一个分组加密算法，它以64位为分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES是一个对称算法：加密和解密用的是同一算法。密钥的长度为56位。（密钥通常表示为64位的数，但每个第8位都用作奇偶校验，可以忽略。）密钥可以是任意的56位的数，且可在任意的时候改变。其中极少量的数被认为是弱密钥，但能容易地避开它们。所有的保密性依赖于密钥。 IDEA 国际数据加密算法（International Data Encryption Algorithm）IDEA与DES一样，也是一种使用一个密钥对64位数据块进行加密的常规共享密钥加密算法。同样的密钥用