大学计算机1、网络安全的含义与特征 网络安全是指网络系统的硬件、软件及系统中的数据受到保护,不因偶然或恶意的原因而遭受到破坏、更改、泄露
,系统连续、可靠、正常地运行,网络服务不中断。从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理
论都是网络安全的研究领域。网络安全的4个特征①保密性:信息不泄露给非授权用户、实体或过程。 ②完整性:数据未经授权不能进行改变,即
信息在存储或传输过程中保持不被修改、不被破坏和丢失。 ③可用性:在任意时刻满足合法用户的合法需求。④可控性:对信息的传播及内容具有
控制能力。网络面临的威胁⑴黑客攻击黑客使用专业工具采取各种入侵手段进入和攻击网络,非法使用网络资源。黑客攻击手段可分为非破坏性攻击
和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹等手段;破坏性攻击是以侵入
他人电脑系统、盗窃系统保密信息、破坏目标系统中的数据为目的。常用的攻击手段:后门程序、信息炸弹、拒绝服务、网络监听⑵计算机病毒计算
机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。(3)网络漏洞网络漏洞是在硬件、软件、协议的具体实
现或系统安全策略设计上本身具有缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。(4)网络安全破坏①中断 ②窃取③篡改
④假冒网络安全措施在网络设计和运行中应考虑一些必要的安全措施,以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制
、传输安全和网络安全管理等4个方面进行考虑。(1)物理安全物理安全包括机房的安全、所有网络的网络设备(服务器、工作站、通信线路、路
由器、网桥、存储器和打印机等)的安全,以及防火、防水、防盗、防雷等。物理安全除在网络系统设计中必须考虑之外,还要在网络运行中建立安
全管理制度。(2)访问控制措施访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。安全策略应确定对网络资源访问控制的标准
要求。(3)网络通信安全措施建立物理安全的传输媒介(如采用防电磁干扰介质);对传输数据进行加密技术等。(4)网络安全管理措施除了技
术措施外,还应该加强网络的安全管理、制定相关的规章制度、确定安全管理等级、明确安全管理范围、采取系统维护方法和应急措施等。数据加密
是指将原始信息进行重新编码,通常将原始信息称为明文,经过加密的数据称为密文。密文即便在网上传输中被第三方获取,也很难根据得到的密文
破译出原始信息,只有接收端通过解密得到原始信息。加密技术不仅能保障数据信息在公共网络传输过程中的安全性,同时也是实现用户身份鉴别和
数据完整性保障等安全机制的基础。数据加密技术加密技术包括两个元素:算法和密钥。算法是指将普通文本(明文)与一串数字(密钥)进行运算
,产生不可理解的密文的步骤。根据加密和解密的密钥是否相同。加密算法可分为对称加密和非对称加密。加密的基本模型:对称加密算法,又称传
统密码算法,就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称加密算法中,加密密钥和解
密密钥是相同的,所以也称这种加密算法为单密钥算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称加密算法的安全性依赖于密钥
,泄漏密钥就意味着有人可以对他们发送出的信息进行解密,所以密钥的保密性对通信的安全性至关重要。⑴对称加密也就是说,在对称加密中,数
据发送方对明文(原始信息)和加密密钥经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。接收方收到密文后,若想解读原文,则需要
使用加密密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密
钥对数据进行加密和解密。对称加密算法优缺点对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。对称加密算法的缺点是在数
据传送前,发送方和接收方必须商定好密钥,然后使双方都能保存好密钥。其次如果一方的密钥被泄露,那么加密信息也就不安全了。另外,每对用
户每次使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。⑵非对
称加密公钥和私钥两个密钥成对出现,互不可推导。如下图所示(甲给乙发送信息),甲乙之间使用非对称加密的方式完成了重要信息的安全传输。
①乙方生成一对密钥(公钥和私钥)并将公钥向其它方公开。②得到该公钥的甲方使用该公钥对信息进行加密后再发送给乙方。③乙方再用自己保存
的另一把专用私钥对加密后的信息进行解密。在传输过程中,即使攻击者截获了传输的密文,并得到了乙的公钥,也无法破解密文,因为只有乙的私
钥才能解密密文。同样,如果乙要回复加密信息给甲,那么需要甲预先公布甲的公钥给乙用于加密,甲自己保存甲的私钥用于解密。非对称加密优缺
点非对称加密与对称加密相比,其安全性更好:对称加密的通信双方使用相同的密钥,如果一方的密钥遭泄露,那么整个通信就会被破解。而非对称
加密使用一对密钥,一个用来加密,一个用来解密,而且公钥是公开的,私钥是自己保存的,不需要像对称加密那样在通信之前要先同步密钥。非对
称加密的缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密。所谓认证,是指证实被认证对象是否属实和是否有效的一个过程。认
证的基本思想是通过验证被认证对象的属性来确认被认证对象是否真实有效。认证常被用于通信双方相互确认身份,以保证通信的安全。认证技术身
份认证:通过某些安全机制对通信对方的身份加以鉴别和确认,从而证实对方通信身份的真实和有效性。消息认证技术:就是指接收者能够检查收到
的消息是否真实的方法。认证可以分为:消息认证和身份认证。(1)消息认证消息认证就是接收者能够检查收到的消息是否真实的方法。消息认证
又称为完整性校验。消息认证的主要内容:①证实消息的信源和信宿②消息内容是否受到偶然或有意的篡改③消息的序号和时间性是否正确消息认证
实际上是对消息本身产生一个冗余的消息认证码,它对于保护的信息来说是惟一的,因此可以有效地保护信息的完整性,以及实现发送方消息的不可
否认和不能伪造。消息认证模型发送方将明文采用安全散列函数运算得到“消息摘要”,将明文和消息摘要经过网络传输给接收方,接收方收到明文
再用安全散列函数运算得到新的“消息摘要”,利用这个新的消息摘要和接收到的消息摘要进行比较来判断接收到的明文的完整性。比较相同:代表
信息没有被修改,接收成功;比较不相同:代表信息被修改,接收失败。安全单向散列函数具有以下基本特性① 一致性:相同的输入一定产生相同
的输出。② 单向性:只能由明文产生消息摘要,而不能由消息摘要推出明文。③ 唯一性:不同的明文产生的消息摘要不同④易于实现高速计算(
2)身份认证技术身份认证是指计算机及网络系统确认操作者身份的过程。身份认证经历了从软件认证到硬件认证、从静态认证到动态认证的过程。
①口令认证:认证方要求被认证对象提交口令,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认认证对象是否为合法访问者。②
一次口令机制:采用动态口令技术,是一种让用户的密码按照时间或使用次数不断动态变化,且每个密码只能使用一次。这个密码是采用专用硬件产
生的,因为只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。③生物特征认证:是指采用每个人独一无二的生
物特征来验证用户身份的技术。例如指纹。在网络通信中,无法防止通信双方之间的互相攻击,例如:Y方伪造一个消息,声称是从X方收到的;或
者X方向Z方发送了消息,但X方否认发送过该消息,为此,需要有一种新的技术来解决这样的问题,数字签名技术就提供了一种解决这样问题的方
案。数字签名技术数字签名将信息发送人的身份与信息结合起来传送,以保证信息在传输过程中的完整性,并提供信息发送者的身份认证,以防止信
息发送者抵赖行为的发生。数字签名本质上讲就是一条加密过的消息摘要。 数字签名的基本过程数字签名的基本过程:数据源发送方通过散列函数
对原文运算产生一个消息摘要,用自己的私钥对消息摘要进行加密处理,产生数字签名,数字签名与原文一起传送给接收者。接收者使用发送方的公
钥解密数字签名,得到消息摘要,若能解密,则证明信息不是伪造的,实现了发送者的认证。然后用散列函数对收到的原文运算产生一个新的消息摘
要,与解密的消息摘要对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改;否则说明信息被修改过,因此数字签名能够验证信
息的完整性安全方法的综合应用发送方加密接收方解密发送方:①对称密钥 加密(接收方公钥)→密文1②明文 加密(对称加
密) →密文2③明文→消息摘要 加密(发送方私钥)→数字签名接收方:①密文1 解密(接收方私钥) →对称密钥②密文2 解密(对
称密钥) →明文→新的消息摘要 (单向散列函数)③数字签名 解密(发送方公钥) →消息摘要
(能解密确认发送者,否则假冒) (消息摘要比较,相同,消息没有修改,接收成功,
否则,接收失败)SSL认证Secure Socket Layer(安全套接层),为Netscape所研发
,用以保障在Internet上数据传输的安全,利用数据加密技术,确保数据在网络上传输过程中不会被截取及窃听。SSL认证是指客户端到
服务器端的认证。主要用来提供对用户和服务器的认证;对传送的数据进行加密;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中
全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能。即通过它可以激
活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务
器证书验证它所访问的网站是否是真实可靠。为什么要进行SSL认证通过SSL认证后,可以实现数据信息在客户端和服务器之间的加密传输,可
以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证它所访问的网站是否是真实可靠。对于金融机构、大型购
物网站来说,高安全的加密技术及严格的身份验证机制可以确保部署SSL证书的网站安全可靠。SSL证书作为国际通用的产品,最为重要的便是
产品兼容性,因为它解决了用户登录网站的信任问题,用户可以通过SSL证书轻松识别网站的真实身份,当用户在访问某个网站的时候,如果该网
站使用了 SSL 证书,则在浏览器地址栏的小锁头标志处单击,便可查看该网站的真实身份。防火墙技术所谓“防火墙”,是指一种将内部网和
公众网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制策略,它能允许合法用户访
问网络,同时也可以将非法用户拒之门外,最大限度地阻止网络中的黑客来访问内部网络。换句话说,如果不通过防火墙,内部网络用户就无法访问
Internet,Internet上的用户也无法和内部网络用户进行通信。防火墙的一般形式防火墙通过检查所有进出内部网络的数据包的合
法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界。防火墙系统一般有两种基本形式:包过滤路由器和应用级网关。最简单的防火墙
由一个包过滤器组成,而复杂的防火墙系统的由包路由器和应用级网关组合而成。在实际应用中,由于组合方式有多种多样,防火墙系统的结构也有
多种形式。包过滤路由器包过滤是最简单的一种防火墙。传统的包过滤功能在路由器上实现。包过滤防火墙是在网络层截获网络数据包,根据防火墙
的规则要求,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)
或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数
据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层
提供较低级别的安全防护和控制。应用层网关防火墙应用层网关是针对网络应用服务协议来确定数据过滤策略。应用层网关防火墙是内部网和外部网
的隔离点,它可对应用层的通信数据流进行监控和隔绝。这种防火墙的缺点是:对用户不透明,用户访问某受保护的内部网之前进行安全登录;还有
一个较大的欠缺是:速度相对较慢,如果使用环境对内外网络网关的吞吐量要求较高时,应用层网关防火墙会成为内外网络间数据流流动的瓶颈。应
用层网关实际上是一个接受链接的程序,某用户要进行一个特定链接,首先要输入口令,系统对其进行较严格用户认证,通过后,就可完成这种链接
;对不符合预定的安全策略或规则的协议,则阻塞或抛弃。计算机病毒防治技术⑴计算机病毒概述计算机病毒是一种人为蓄意制造的、以破坏为目的
的程序。它寄生于其他应用程序或系统的可执行部分,通过部分修改或移动其他的程序,将自身复制加入其中或占据原程序的部分并隐藏起来,在条
件适当时发作,对计算机系统起破坏作用。特点:寄生性、传染性、潜伏性、破坏性、可触发性⑵计算机病毒的危害攻击内存攻击文件攻击系统数据区干扰系统正常运行瘫痪网络窃取用户数据⑶计算机病毒的分类良性病毒恶性病毒①按照其破坏情况分类②按传染方式分类引导区型病毒文件型病毒混合型病毒宏病毒。⑷杀毒软件的工作原理①特征码法相当于一个黑名单,它记录着杀毒软件已知的病毒的特征。根据这个特征,杀毒软件会对照每一个被扫描的程序,如果与特征相符,就认定为病毒。优点是误杀低,缺点是滞后性,先出现病毒才会出现相应的特征码。②虚拟机技术虚拟机的原理是能够运行具有一定规则的描述语言探测病毒。目前处理对象主要是文件型病毒。③主动防御机制主动防御机制监控每个程序的运行,发现有损计算机安全的举动就立即终止并进行相应的清理操作。 |
|
