大学精品课件：第8章 信息系统安全.ppt

1、第第8章章 信息系统安全信息系统安全 8.1 信息系统的安全架构 8.2 计算机病毒与防治 8.3 防火墙 8.4 数据加密技术 8.5 数字签名 8.6 信息安全政策与法规 8.1 信息系统的安全架构信息系统的安全架构 本节主要内容本节主要内容 8.1.1 信息安全的含义 8.1.2 信息安全的保障体系 8.1.3 信息系统的安全评估标准与安全等级划分 第第8 8章章8.18.1节节 8.1.1 信息安全的含义信息安全的含义 信息的可靠性信息的可靠性 网络信息系统能够在规定条件下和规定的时间内完成规定的功能，是系统安全的 最基本要求之一。 信息的可用性信息的可用性 网络信息可被授权实体访问并

2、按需求使用。 信息的保密性信息的保密性 网络信息不被泄露给非授权的用户、实体或过程，或供其利用 信息的完整性信息的完整性 网络信息未经授权不能进行改变。 信息的不可抵赖性信息的不可抵赖性 所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 信息的可控性信息的可控性 对信息的传播及内容具有控制能力 第第8 8章章8.18.1节节8.1.18.1.1 8.1.2 信息安全的保障体系信息安全的保障体系 国家“863”信息安全专家组提出了适合中国国情的信息系统安全保 障体系建设模型，简称PDRR模型，主要包括： 保护保护(Protect) 保障信息的保密性、完整性、可用性、可控性和不可否认性 检测（检

3、测（Detect） 检测信息系统存在的安全漏洞，检查系统在黑客攻击、计算机犯罪、 病毒泛滥方面存在的脆弱性 响应（响应（React） 对危及安全的事件、行为、过程及时做出响应处理 恢复（恢复（Restore） 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务 第第8 8章章8.18.1节节8.1.28.1.2 信息安全的保障模型 8.1.3 信息系统的安全评估标准信息系统的安全评估标准 与安全等级划分与安全等级划分 第第8 8章章8.18.1节节8.1.38.1.3 类 级别 名称 主要特征 D D 低级保护 没有安全保护 C C1 自主安全保护 自主存储控制 C2 安控存储控制 单独的

4、可查性，安全标识 B B1 标识的安全保 护 强制存取控制，安全标识 B2 结构化保护 面向安全的体系结构，较好的抗 渗透能力 B3 安全区域 存取控制，高抗渗透能力 A A 验证设计 形式化的最高级描述和验证 TCSEC的安全等级划分的安全等级划分 8.2 计算机病毒与防治计算机病毒与防治 本节主要内容本节主要内容 8.2.1 什么是计算机病毒 8.2.2 计算机病毒的传播途径 8.2.3 计算机病毒的特征 8.2.4 病毒的工作原理 8.2.5 网络病毒 8.2.6 计算机病毒的预防措施 第第8 8章章8.28.2节节 8.2.1 什么是计算机病毒什么是计算机病毒 计算机病毒就是能够通过某

5、种途径潜伏在计算机存储介质（或程序）计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序） 里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的 一组程序或指令集合。一组程序或指令集合。 从广义上讲，凡能够影响计算机使用，破坏计算机数据的程序统称为从广义上讲，凡能够影响计算机使用，破坏计算机数据的程序统称为 计算机病毒。计算机病毒。 第第8 8章章8.28.2节节8.2.18.2.1 8.2.2 计算机病毒的传播途径计算机病毒的传播途径 存储介质传播存储介质传播 活动硬盘、U盘、光盘 网络传播网络传播 第第8 8章章8.

6、28.2节节8.2.28.2.2 8.2.3 计算机病毒的特征计算机病毒的特征 传染性传染性 病毒具有把自身复制到其他程序中的特性。 是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 非授权性非授权性 窃取系统的控制权 隐蔽性隐蔽性 病毒通常附在正常程序中或磁盘较隐蔽的地方，或者以隐含文件形式 出现，目的是不让用户发现它的存在。 潜伏性潜伏性 病毒可以长期隐藏在系统中，只有满足特定条件时才启动、进行广泛 传播 破坏性破坏性 占用系统资源、降低计算机的工作效率；破坏数据、删除文件等 第第8 8章章8.28.2节节8.2.38.2.3 8.2.4 病毒的工作原理病毒的工作原理 驻入内存:

7、病毒停留在内存中，件事系统的运行，选择机 会进行感染 判断感染条件：传染模块被激活后，会马上对攻击目标进 行判断，决定是否传染 传染：通过适当的方式把病毒写入磁盘或向网络传播 病毒传染的前提是必须把专家复制到内存中，存储介质中的带毒文件 或网络中的邮件如果没有打开，是不会传染的。 第第8 8章章8.28.2节节8.2.48.2.4 8.2.5 网络病毒网络病毒 木马病毒木马病毒 蠕虫病毒蠕虫病毒 黑客程序黑客程序 网页病毒网页病毒 手机病毒手机病毒 第第8 8章章8.28.2节节8.2.58.2.5 8.2.6 计算机病毒的预防措施计算机病毒的预防措施 及时修补系统和应用软件安全漏洞及时修补系

8、统和应用软件安全漏洞 在网络环境中应用防火墙在网络环境中应用防火墙 重要资料，必须备份重要资料，必须备份 及时、可靠升级反病毒产品及时、可靠升级反病毒产品 可移动存储设备防毒可移动存储设备防毒 尊重知识产权、使用正版软件尊重知识产权、使用正版软件 若硬盘资料已遭到破坏，不必绝望若硬盘资料已遭到破坏，不必绝望 第第8 8章章8.28.2节节8.2.68.2.6 8.3 防火墙防火墙 本节主要内容本节主要内容 8.3.1 什么是防火墙 8.3.2 防火墙的功能 8.3.3 防火墙的基本准则 8.3.4 防火墙的种类 8.3.5 防火墙的部署 8.3.6 部署个人防火墙 第第8 8章章8.38.3节

9、节 8.3.1 什么是防火墙什么是防火墙 防火墙（防火墙（Firewall），实际上是一种隔离技术，），实际上是一种隔离技术， 将内部网和公众访问网分开的方法。将内部网和公众访问网分开的方法。 第第8 8章章8.38.3节节8.3.18.3.1 防火墙 8.3.2 防火墙的功能防火墙的功能 防火墙是网络安全的屏障防火墙是网络安全的屏障 防火情可以强化网络安全策略防火情可以强化网络安全策略 防火墙能有效地记录网络上的活动防火墙能有效地记录网络上的活动 防止内部网受到侵害防止内部网受到侵害 第第8 8章章8.38.3节节8.3.28.3.2 8.3.3 防火墙的基本准则防火墙的基本准则 一切未被允

10、许的就是禁止的一切未被允许的就是禁止的 一切未被禁止的就是允许的一切未被禁止的就是允许的 第第8 8章章8.38.3节节8.3.38.3.3 8.3.4 防火墙的种类防火墙的种类 包过滤防火墙包过滤防火墙 应用级网关（代理服务器）应用级网关（代理服务器） 状态监测防火墙状态监测防火墙 第第8 8章章8.38.3节节8.3.48.3.4 8.3.5 防火墙的部署防火墙的部署 防火墙位于内、外部网络的边界，是内、外部网防火墙位于内、外部网络的边界，是内、外部网 络的唯一通道，进出的数据必须通过防火墙来传络的唯一通道，进出的数据必须通过防火墙来传 输。输。 个人防火墙软件主要有：诺顿、个人防火墙软件

11、主要有：诺顿、360防火墙等防火墙等 第第8 8章章8.38.3节节8.3.58.3.5 8.4 数据加密技术数据加密技术 本节主要内容本节主要内容 8.4.1 信息论与密码学理论 8.4.2 加密与加密系统 8.4.3 古典加密技术 8.4.4 对称密钥密码系统 8.4.5 公开密钥密码系统非对称密钥密码系统 第第8 8章章8.48.4节节 8.4.1 信息论与密码学理论信息论与密码学理论 第第8 8章章8.48.4节节8.4.18.4.1 信源 加密器 信道 解密器 接受者 分析者 m c m c 密钥k 香农提出的加密系统结构 8.4.2 加密与加密系统加密与加密系统 加密系统由一个五元

12、组（P,C,K,E,D）组成： 明文（明文（Plaintext） 原始的或未加密的数据，通常用P表示 密文（密文（Cryptograph） 明文经过加密变换后的形式，通常用C表示 密钥（密钥（key） 参与加密或解密变换的参数，通常用K表示 加密（加密（Encipher，encrypt） 把数据和信息转换为不可辨识的密文的过程 加密函数E作用于P得到密文C，即：EK（P）=C 解密（解密（Decipher，decrypt） 将密文还原为明文的变换过程 解密函数D作用于C得到明文P，即：DK(C)=P 第第8 8章章8.48.4节节8.4.28.4.2 8.4.3 古典加密技术古典加密技术 移位

13、密码移位密码 以英文字母符号集来说，移位密码形式地定义如下： 明文空间 P=A,B,CZ 密文空间 C=A,B,CZ 密钥空间 K=0,1,2,25 加密变换：C=EK（P）=（P+K）mod 26 解密变换：P=Dk（C）=（C-K）mod 26 凯撒密钥是K=3的情况。 第第8 8章章8.48.4节节8.4.38.4.3 例若明文为“RETURN TO ROME”，试用移位加密方法将其变换成 密文，设K=4 明码表 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密码表 E F G H I J K L M N O P Q R S T

14、U V W X Y Z A B C D 所以密文为VIXYVR XS VSQI 换位密码换位密码 把明文按某一顺序排成一个矩阵，然后 按另一个顺序选出矩阵中的字母以形成 密文，最后截成固定长度的字母组作文 密文。 最常用的换位密码是列换位密码。 例采用列换位加密方法，将明文： COMPUTER GRAPHIC 以35矩阵的 形式表示，列取出书序为12543，请写 出变换后的密文。 密文为： 1 2 3 4 5 C O M P U T E R G R A P H I C 8.4.4 对称密钥密码系统对称密钥密码系统 加密运算、解密运算使用相同的密钥。信息的发送者和接受者必须共 同持有该密码。 加

15、密：Ek(P)=C,解密： Dk(C)=P , K表示同一密钥 第第8 8章章8.48.4节节8.4.48.4.4 8.4.5 公开密钥密码系统公开密钥密码系统非对非对 称密钥密码系统称密钥密码系统 加密和解密使用不同的密钥，加密密钥（公钥）和算法是公开的，人 人都可以听过这个密钥加密文件然后发给收信者。 加密：EPK(P)=C 解密：DSK(C)=P 第第8 8章章8.48.4节节8.4.58.4.5 8.5 数字签名数字签名 本节主要内容本节主要内容 8.5.1 什么是数字签名 8.5.2 数字签名的概念 8.5.3 公钥密钥与数字签名 8.5.4 电子签名与认证服务 8.5.5 数字签名

16、在邮件系统中的应用Outlook Express 的“数字标识” 第第8 8章章8.58.5节节 8.5.1 什么是电子签名什么是电子签名 第第8 8章章8.58.5节节8.5.18.5.1节节 电子签名指数据电文以电子形式所含、所附用于识 别签名人身份并表明签名人认可其中内容的数据。 普遍使用的电子签名技术还是“数字签名”技术。 8.5.2 数字签名的概念数字签名的概念 “数字签名数字签名”是通过某种密码运算生产一系列符是通过某种密码运算生产一系列符 号及代码组成电子密码进行签名，来代替书写签号及代码组成电子密码进行签名，来代替书写签 名或印章。名或印章。 数字签名要达到确认发送者身份和验证

17、信息完整数字签名要达到确认发送者身份和验证信息完整 性的功能，必须满足以下三个要求：性的功能，必须满足以下三个要求： (1)接收方可以通过数字签名确认发送方的真实身份 (2)其他人不能伪造数字签名或篡改发送的信息 (3)发送方不能抵赖自己的数字签名 第第8 8章章8.58.5节节8.5.28.5.2节节 8.5.3 公钥密钥与数字签名公钥密钥与数字签名 数字签名与公开密钥加密和解密过程表示类似 第第8 8章章8.58.5节节8.5.38.5.3节节 8.5.4 电子签名与认证服务电子签名与认证服务 电子签名需要第三方认证电子签名需要第三方认证 第第8 8章章8.58.5节节8.5.48.5.4节节