大学课程《互联网金融信息安全》PPT教学课件：3.1网络环境下的安全隐患.pptxVIP

项目3互联网金融安全技术;《互联网金融信息安全》

;;网络安全隐患及网络攻击技术;信息安全威胁是指某些因素（人、物、事件、方法或概念等）对某些信息资源或者信息系统的安全使用可能造成的危害。一般来说，把可能威胁信息安全的行为称为攻击。一个系统在运行过程中可能受到各种各样的攻击，只有认识到这些攻击，才能采取相应的安全措施进行防范。通常，在开放的网络环境中，常见的信息安全威胁主要有以下几种类型。

;信息泄露

;篡改消息

;重放

;伪造

;否认

;非授权访问

;网络与系统攻击;恶意代码

;灾害、故障与人为破坏

;系统漏洞是导致网络不安全的根本原因之一。系统漏洞又被称为陷阱，它通常是由操作系统开发者有意设置的，这样他们就能够在用户失去了对操作系统的所有访问权时仍能进入操作系统，这就像汽车上的安全门一样，平时不使用，在发生灾难或正常门被封死的特殊情况下，人们可以从安全门逃生。例如BIOS有万能密码，维护人员可以用这个口令进入计算机。但是系统漏洞一旦为非法入侵者所知，后果将不堪设想。他们会利用所知的系统漏洞，对信息和系统进行攻击、篡改、截取、破坏等操作，轻则修改数据，重则盗取数据并进行违法活动，给用户与银行带来不可挽回的损失。;当前，计算机网络系统都使用TCP/IP协议以及FTP、E-mail、NFS等。它们在设计过程中没有对具体的安全问题给予详细分析，导致现行的IP网络都包含许多影响网络安全的因素，存在许多漏洞，成为攻击者攻击网络系统的重要手段。攻击者通常采用Sock、TCP预测或者使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。

;人为因素包括两个方面，一方面是网络管理员自身的操作失误造成口令泄露等，另一方面是一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒等。

（1）人为的偶然失误。

（2）网络病毒。

（3）黑客攻击

;网络信息安全的模型及技术;网络信息安全技术有如下几种：

（1）密钥管理技术。密钥管理技术是指通过公开密钥加密??术实现对称密钥管理的技术，可以使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。密钥管理包括对称密钥管理和公开密钥管理/数字证书。对称密钥管理是基于共同保守秘密来实现的。采用对称加密技术的双方必须保证其采用的是相同的密钥，而且彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这种密钥管理比较繁琐而且潜在风险也很大。所以就出现了公开密钥管理/数字证书。通过公开密钥加密技术可以实现对密钥的管理和使用变得简单而且安全。

;网络信息安全技术有如下几种：

（2）身份认证技术。在信息系统中出现的主体包括人、进程或系统等实体。从信息安全的角度看，需要对实体进行身份鉴别，这类技术称为身份认证技术。身份认证技术就是鉴别实体身份的技术，主要包括口令技术、公钥认证技术、在线认证服务技术、生物认证技术与公钥基础设施技术等，还包括对数据起源的验证。随着电子商务和电子政务等分布式安全系统的出现，公钥认证及基于它的公钥基础设施技术在经济和社会生活中的作用越来越大。

;网络信息安全技术有如下几种：

（3）访问控制技术。访问控制技术是常用的授权技术。为了使得合法用户正常使用信息系统，需要给已通过认证的用户授予相应的操作权限，这个过程被称为授权。在信息系统中，可授予的权限包括读/写文件、运行程序和网络访问等，实施和管理这些权限的技术称为授权技术。访问控制在操作系统、数据库和应用系统的安全管理中具有重要作用，从应用目的上看，网络防护中的防火墙技术也有访问控制的功能，但由于实现方法与普通的访问控制有较大不同，一般将防火墙技术归入网络防护技术。

;网络信息安全技术有如下几种：

（4）应用层安全协议技术。应用层安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。所以就出现了安全协议，它是网络安全的一个重要组成部分，通过安全协议可以进行实体之间的认证、在实体之间安全地分配密钥等。

;（1）网络信息安全的木桶原则。

（2）网络信息安全的整体性原则。

（3）安全性评价与平衡原则。

（4）标准化与一致性原则。

（5）技术与管理相结合的原则。

（6）统筹规划，分步实施原则。

（7）等级性原则。

（8）动态发展原则。

（9）易操作性原则。

;THANKYOU