【文章內(nèi)容簡介】 證信息等。常用手段：搭線監(jiān)聽、無線截獲和其他截獲。 2) 主動攻擊。 包括：中斷、假冒、重放、篡改消息和拒絕服務(wù)。 3)物理臨近攻擊。 4)內(nèi)部人員攻擊。 有統(tǒng)計數(shù)據(jù)表明， 80%的攻擊和入侵來自組織內(nèi)部。 5)軟、硬件裝配攻擊。 有害程序威脅 上一張 下一張 結(jié) 束 信 息 安 全 第 29 /70頁 ⑶有害程序的威脅 1)程序后門 后門是指信息系統(tǒng)中未公開的通道。后門的形成可能有幾種途徑：黑客設(shè)置和非法預(yù)留。 2)特洛伊木馬程序 這種稱謂是借用于古希臘傳說中的著名計策木馬計。它是冒充正常程序的有害程序，它將自身程序代碼隱藏在正常程序中，在預(yù)定時間或特定事件中被激活起破壞作用。 3)“ 細(xì)菌 ” 程序 本身沒有破壞性，只是通過不斷地自我復(fù)制，能耗盡系統(tǒng)資源，造成系統(tǒng)死機(jī)或拒絕服務(wù)。 4） 蠕蟲程序 莫里斯蠕蟲病毒。 安全標(biāo)準(zhǔn) 上一張 下一張 結(jié) 束 信 息 安 全 第 30 /70頁 國內(nèi)、外信息安全標(biāo)準(zhǔn) ? 美國國防部于公布的《可信任計算機(jī)標(biāo)準(zhǔn)評估準(zhǔn)則 —— TCSEC》， 1985年。將計算機(jī)系統(tǒng)的可信程度劃分為 7個安全級別，從低到高依次為D C C B B B3和 A1級。 ? 歐洲信息技術(shù)安全評估規(guī)則 ITSEC。 發(fā)表于1991年。它以超越 TCSEC為目的，它適用于軍隊、政府和商業(yè)部門。 ? 1996年國際標(biāo)準(zhǔn)化組織（ ISO） 在 TCSEC和ITSEC的基礎(chǔ)上，公布了具有統(tǒng)一標(biāo)準(zhǔn)、能被廣泛接受的信息技術(shù)安全通用準(zhǔn)則 CC。 CC是目前最全面的信息技術(shù)安全評估準(zhǔn)則。 ? 1999年我國正式頒布了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》， GB178951999。 安全技術(shù)問題提出 上一張 下一張 結(jié) 束 信 息 安 全 第 31 /70頁 ? 主觀上認(rèn)為 “ 安全 ” （根據(jù)什么得到這個結(jié)論？?。?，那么客觀上到底安全嗎？ ? 主觀認(rèn)為不安全，那么不安全因素來自哪些方面？ ? 有沒有方法和技術(shù)來保障安全？ 信息安全技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 32 /70頁 ? 信息安全技術(shù)概述 ? 訪問控制技術(shù) ? 數(shù)據(jù)加密技術(shù) ? 數(shù)字簽名技術(shù) ? 數(shù)字證明書技術(shù) ? 身份認(rèn)證技術(shù) ? 防火墻技術(shù) ? 網(wǎng)絡(luò)信息安全解決方案 ? 個人網(wǎng)絡(luò)信息安全策略 訪問控制技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 33 /70頁 訪問控制技術(shù) ? 建立制定安全管理制度和措施 ? 限制對網(wǎng)絡(luò)系統(tǒng)的物理接觸 ? 限制對信息的在線訪問 ? 設(shè)置用戶權(quán)限 數(shù)據(jù)加密 上一張 下一張 結(jié) 束 信 息 安 全 第 34 /70頁 數(shù)據(jù)加密的概念 ? 數(shù)據(jù)加密是防止非法使用數(shù)據(jù)的最后一道防線。 ? 數(shù)據(jù)加密技術(shù)涉及到的術(shù)語： 明文 ：原本數(shù)據(jù)； 密文： 偽裝后的數(shù)據(jù)； 密鑰 ：用它控制加密、解密的過程； 加密： 把明文轉(zhuǎn)換為密文的過程； 加密算法： 加密所采用的變換方法； 解密： 對密文實施與加密相逆的變換，從而獲得明文的過程。 信源 明文 密文加密信宿解密密文 明文傳輸信源信源 明文明文 密文密文加密信宿解密密文密文 明文傳輸單密鑰 上一張 下一張 結(jié) 束 信 息 安 全 第 35 /70頁 相同密鑰 方案 amp。 amp。 方案 發(fā)方 收方 明文 密文 明文 密文 單鑰加密體制 算法 ? DES ? IDEA ? AES 加密技術(shù) —— 密碼體制 雙密鑰 上一張 下一張 結(jié) 束 信 息 安 全 第 36 /70頁 加密密鑰 方案 amp。 amp。 方案 發(fā)方 收方 明文 密文 明文 密文 雙鑰加密體制 解密密鑰 認(rèn)證中心 公鑰（證書） 私鑰（智能卡） 代表算法 ? RSA ? 橢圓曲線 防護(hù)技術(shù) —— 加密：密碼體制 數(shù)字加密技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 37 /70頁 數(shù)據(jù)加密技術(shù) ? 數(shù)字簽名技術(shù) ? 數(shù)字證明書技術(shù) ? 身份認(rèn)證技術(shù) ? 防火墻技術(shù) 數(shù)字簽名技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 38 /70頁 數(shù)字簽名技術(shù) ? 數(shù)字簽名是模擬現(xiàn)實生活中的筆跡簽名，它要解決如何有效的防止通信雙方的欺騙和抵賴行為。與加密不同，數(shù)字簽名的目的是為了保證信息的完整性和真實性。 ? 為使數(shù)字簽名能代替?zhèn)鹘y(tǒng)的簽名，必須保證能夠?qū)崿F(xiàn)以下功能： ⑴ 接受者能夠核實發(fā)送者對消息的簽名。 ⑵ 簽名具有無可否認(rèn)性。 ⑶ 接受者無法偽造對消息的簽名。 數(shù)字簽名功能 上一張 下一張 結(jié) 束 信 息 安 全 第 39 /70頁 數(shù)字簽名功能的說明 ? 假設(shè) A和 B分別代表一個股民和他的股票經(jīng)紀(jì)人。A委托 B代為炒股，并指令當(dāng)他所持的股票達(dá)到某個價位時，立即全部拋出。 ? B首先必須認(rèn)證該指令確實是由 A發(fā)出的，而不是其他人在偽造指令。這需要第一個功能。 ? 假設(shè)股票剛一賣出，股價立即猛升， A后悔不己。如果A不誠實，他要控告 B， 宣稱他從未發(fā)出過任何賣出股票的指令。這時 B可以拿出有 A自己簽名的委托書作為證據(jù)。這又需要第二個功能。 ? 另一種可能是 B玩忽職守，當(dāng)股票價位合適時沒有立即拋出，不料此后股價一路下跌，客戶損失慘重。為了推卸責(zé)任， B可能試圖修改委托書中關(guān)于股票臨界價位為某一個實際上不可能達(dá)到的值。為了保障客戶的權(quán)益，需要第三個功能。 數(shù)字證明書技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 40 /70頁 數(shù)字證明書技術(shù) ? 誰來證明公開密鑰的持有者是合法的？目前通行的做法是采用數(shù)字證明書來證實。 ? 數(shù)字證明書的作用如同司機(jī)的駕駛執(zhí)照、出國人員的護(hù)照、專業(yè)人員的專業(yè)資格證明書。 ? 通過一個可信的第三方機(jī)構(gòu)，審核用戶的身份信息和公開鑰信息，然后進(jìn)行數(shù)字簽名。其他用戶可以利用該可信的第三方機(jī)構(gòu)的公開鑰進(jìn)行簽名驗證。從而確保用戶的身份信息和公鑰信息的一一對應(yīng)。 ? 由用戶身份信息、用戶公鑰信息以及可信第三方機(jī)構(gòu)所作的簽名構(gòu)成用戶的身份數(shù)字證書。 ? 可信的第三方機(jī)構(gòu)，一般稱為數(shù)字證書認(rèn)證中心 CA（ Certificate Authority）。 身份認(rèn)證技術(shù) 上一張 下一張 結(jié) 束 信 息 安 全 第 41 /70頁 身份認(rèn)證技術(shù) ? 在網(wǎng)絡(luò)環(huán)境中，通過對用戶身份的控制來保障網(wǎng)絡(luò)資源的安全性是一條非常重要的策略。 ? 主要采用的認(rèn)證方法有三種 : 1． 基于主體特征的認(rèn)證 ? 磁卡和 IC卡 ? 指紋、視網(wǎng)膜等信息 2． 口令機(jī)制 ? 一次性口令 \加密口令 \限定次數(shù)口令 3． 基于公開密鑰的認(rèn)證 ? 身份認(rèn)證協(xié)議 Kerberos、 安全套接層協(xié)議 SSL、 安全電子交易協(xié)議 SET