[精选]第8章 计算机系统及网络安全7470.pptx

《[精选]第8章 计算机系统及网络安全7470.pptx》由会员分享，可在线阅读，更多相关《[精选]第8章 计算机系统及网络安全7470.pptx（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机应用基础课件，西北大学出版社，2009.11第第8章章计算机系统及网络安全计算机系统及网络安全作者：李小勇日期：2009-11-201计算机应用基础课件内容概要内容概要n n8.1计算机安全概述计算机安全概述n n8.2计算机病毒及其防范计算机病毒及其防范n n8.3防火墙技术及其应用防火墙技术及其应用n n8.4数据加密技术及其应用数据加密技术及其应用n n8.5数字签名技术及其应用数字签名技术及其应用2计算机应用基础课件8.1计算机安全概述n n8.1.1计算机安全的概念计算机安全的概念n n8.1.2计算机系统所面临的威胁计算机系统所面临的威胁n n8.1.3计算机犯罪计算机犯罪n

2、 n8.1.4计算机安全技术计算机安全技术3计算机应用基础课件8.1.1计算机安全的概念n n什么是计算机安全？国际标准化组织（国际标准化组织（ISOISO）将）将“计算机安全计算机安全”定义为：定义为：“为数据处理系统建立和采取的安全保护，保护计算机硬为数据处理系统建立和采取的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。和泄露。”从而使系统连续正常运行。从而使系统连续正常运行。安全工作的目的就是为了在安全法律、法规、政策的支安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全

3、管理措施，持与指导下，通过采用合适的安全技术与安全管理措施，维护计算机信息安全。维护计算机信息安全。4计算机应用基础课件8.1.1计算机安全的概念n n计算机信息安全涉及物理安全（实体安全）、运行安全和信息安全三个方面。1 1、物理安全（物理安全（物理安全（物理安全（PhysicalSecurityPhysicalSecurity）保护计算机设备、设施（含网络）以及其它媒体免保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。特别是避免由于电磁泄磁污染等）破坏的措施、过程。特别是

4、避免由于电磁泄漏产生信息泄露，从而干扰他人或受他人干扰。物理安漏产生信息泄露，从而干扰他人或受他人干扰。物理安全包括环境安全，设备安全和媒体安全三个方面。全包括环境安全，设备安全和媒体安全三个方面。5计算机应用基础课件8.1.1计算机安全的概念2 2、运行安全（运行安全（运行安全（运行安全（OperationSecurityOperationSecurity）为保障系统功能的安全实现，提供一套安全措施（如风险分析，审为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。3 3、信息安

5、全（、信息安全（InformationSecurityInformationSecurity）防止信息财产被故意的或偶然的非授权泄露、更改、破防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。行为。6计算机应用基础课件8.1.2计算机系统所面临的威胁计算机系统所面临的威胁俗话说有备无患，正确认识目前计算机系

6、统所面临的威胁，成为大家安俗话说有备无患，正确认识目前计算机系统所面临的威胁，成为大家安全使用计算机的重要保障。计算机系统面临的主要威胁概括起来主要全使用计算机的重要保障。计算机系统面临的主要威胁概括起来主要包含三个方面：包含三个方面：11、硬件安全、硬件安全、硬件安全、硬件安全n n(1)(1)(1)(1)非人为因素：包括自然灾害、电力故障、环境因素等不可抗原因。非人为因素：包括自然灾害、电力故障、环境因素等不可抗原因。非人为因素：包括自然灾害、电力故障、环境因素等不可抗原因。非人为因素：包括自然灾害、电力故障、环境因素等不可抗原因。n n(2)(2)(2)(2)人为因素：包括疏忽等导致的硬

7、件损坏和盗窃等刑事案件。人为因素：包括疏忽等导致的硬件损坏和盗窃等刑事案件。人为因素：包括疏忽等导致的硬件损坏和盗窃等刑事案件。人为因素：包括疏忽等导致的硬件损坏和盗窃等刑事案件。22、软件安全、软件安全、软件安全、软件安全 软件安全是指对计算机中所安装的操作系统、应用软件以及存储的相软件安全是指对计算机中所安装的操作系统、应用软件以及存储的相软件安全是指对计算机中所安装的操作系统、应用软件以及存储的相软件安全是指对计算机中所安装的操作系统、应用软件以及存储的相关数据信息的保全、加密、防窃。关数据信息的保全、加密、防窃。关数据信息的保全、加密、防窃。关数据信息的保全、加密、防窃。33、网络安全

8、、网络安全、网络安全、网络安全从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可是涉及到计算机网络上信

9、息的保密性、完整性、可用性、真实性和可是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关问题都是计算机网络安全的范畴。控性的相关问题都是计算机网络安全的范畴。控性的相关问题都是计算机网络安全的范畴。控性的相关问题都是计算机网络安全的范畴。7计算机应用基础课件8.1.3计算机犯罪计算机犯罪计算机犯罪的概念有广义和狭义之分：广义的计算机犯计算机犯罪的概念有广义和狭义之分：广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、贪污、

10、挪用公款、利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其它犯罪行为的总称；狭义的计算机犯窃取国家秘密或其它犯罪行为的总称；狭义的计算机犯罪仅指行为人违反国家规定，故意侵入国家事务、国防罪仅指行为人违反国家规定，故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏、制作、传播计算机病毒，影响计算机系序等进行破坏、制作、传播计算机病毒，影响计算机系统正常运行且造成严重后果的行为。统正常运行且造成严重后果的行

11、为。8计算机应用基础课件8.2计算机病毒及其防范计算机病毒及其防范n n8.2.1计算机病毒的基本概念计算机病毒的基本概念n n8.2.1计算机病毒的基本概念计算机病毒的基本概念n n8.2.3计算机病毒的传播方式计算机病毒的传播方式n n8.2.5计算机病毒的发展趋势计算机病毒的发展趋势n n8.2.6计算机病毒的防治计算机病毒的防治9计算机应用基础课件8.2.1计算机病毒的基本概念1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我

12、复制的一组计算机指令或者程序代码。”根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能够传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的拷贝并将其插入其他的程序中，对计算机系统进行恶意的破坏。10计算机应用基础课件8.2.2计算机病毒的特征1.破坏性破坏性2.根据病毒对计算机系统造成破坏的程度，我们可以把病毒分为良性病毒与恶性病毒。2.隐蔽性隐蔽性3.病毒程序大多隐藏在正常程序之中，很难被发现3.潜伏性潜伏性1.大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。4.传染性传染性5.计算机病毒的传染性是指病

13、毒具有把自身复制到其他程序中的特性。11计算机应用基础课件8.2.3计算机病毒传播方式传播方式根据计算机病毒所具有的特点，并通过对当前流行计算机根据计算机病毒所具有的特点，并通过对当前流行计算机病毒的分析，一般情况下计算机病毒程序具有三个主要部病毒的分析，一般情况下计算机病毒程序具有三个主要部分：病毒安装模块、病毒传染模块、病毒激发模块。分：病毒安装模块、病毒传染模块、病毒激发模块。计算机病毒的传染方式，大体上可归纳为以下方式：计算机病毒的传染方式，大体上可归纳为以下方式：1.不可移动的计算机硬件设备不可移动的计算机硬件设备2.移动存储设备移动存储设备3.计算机网络计算机网络12计算机应用基础

14、课件8.2.4计算机病毒的类型的类型1.文件型病毒文件型病毒2.文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上。文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上。2.引导扇区病毒引导扇区病毒引导扇区病毒改变每一个用引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。格式来格式化的磁盘的第一个扇区里的程序。3.混合型病毒混合型病毒混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。4.变形病毒变形病毒变形病毒随着每次复制而发生变化，通过在可能被感染的文件中搜索简单的、变形病毒随着每次复制而发生变化

15、，通过在可能被感染的文件中搜索简单的、专门的字节序列，是不能检测到这种病毒的。专门的字节序列，是不能检测到这种病毒的。5.宏病毒宏病毒宏病毒不只是感染可执行文件，它可以感染一般软件文件。宏病毒不只是感染可执行文件，它可以感染一般软件文件。13计算机应用基础课件8.2.5计算机病毒的发展趋势的发展趋势随着随着Internet的发展和计算机网络的日益普及，计算机病毒出现的发展和计算机网络的日益普及，计算机病毒出现了一系列新的发展趋势：了一系列新的发展趋势：1.无国界无国界2.多样化多样化3.破坏性更强破坏性更强4.智能化智能化5.更加隐蔽化更加隐蔽化14计算机应用基础课件8.2.6计算机病毒的防治

16、的防治不管是安全专业人士还是非专业人士对不管是安全专业人士还是非专业人士对系统进行安全检查较常采用的方式就是使系统进行安全检查较常采用的方式就是使用杀毒软件查杀病毒，通过防火墙软件连用杀毒软件查杀病毒，通过防火墙软件连接网络、程序访问等来判断系统是否存在接网络、程序访问等来判断系统是否存在木马程序。下面就以国产杀毒软件金山毒木马程序。下面就以国产杀毒软件金山毒霸为例进行介绍和讲解，掌握了这些方法霸为例进行介绍和讲解，掌握了这些方法可以大大降低被攻击或者感染病毒的几率。可以大大降低被攻击或者感染病毒的几率。15计算机应用基础课件8.2.6计算机病毒的防治的防治步骤步骤1：安装杀毒软件。：安装杀毒

17、软件。说明：(1)安装杀毒软件前，尽量确保系统是安全或者说是干净的。(2)毒软件安装完毕后一般会要求重启计算机，有的杀毒软件需要重启计算机后才能进行后续操作。16计算机应用基础课件8.2.6计算机病毒的防治的防治图图8.2金山毒霸金山毒霸2009主控界面主控界面17计算机应用基础课件8.2.6计算机病毒的防治的防治步骤步骤2：升级病毒库。：升级病毒库。说明：(1)要确保杀毒软件在杀毒前病毒库是最新的，这样才能查杀一些最新出现的木马病毒。(2)升级病毒库有快速升级和自定义升级两种模式式，如果要自定义升级则需要在杀毒软件安装完成后进行设置。(3)不同的杀毒软件，其升级设置可能有所不同。18计算机应

18、用基础课件8.2.6计算机病毒的防治的防治图8.3金山毒霸升级病毒库19计算机应用基础课件8.2.6计算机病毒的防治的防治步骤步骤3：查杀病毒。：查杀病毒。说明:(1)杀毒软件查出病毒后会给出相应的提示，一般情况下，如果出现病毒会以红色字体显示提示信息。(2)杀毒软件在杀毒结束后，会给出查杀结果。(3)有一些杀毒软件查出病毒或者可疑软件后，会进行病毒样本上报，这时可以选择上报或者不上报。(4)如果杀毒软件查出病毒后，一定要谨慎处理，如果发现有木马病毒，查出病毒后，立即断开网络，进行相应处理后才重新连结网络。20计算机应用基础课件8.2.6计算机病毒的防治的防治图8.4 金山毒霸对文件进行杀毒2

19、1计算机应用基础课件8.2.6计算机病毒的防治的防治步骤步骤4：查看监控日志。：查看监控日志。注意:(1)在进行安全检查时，一定要注意杀毒软件的实时监控是否打开，如果以前打开过，而在进行安全检查时发现实时监控被关闭了，这个时候说明系统极有可能被入侵了，这时就需要进行系统的全面安全检查。(2)如果经常访问网络上的一些网站，则需要定期对系统进行杀毒，防止系统感染网页木马。22计算机应用基础课件图 8.5 金山毒霸查看监控日志8.2.6计算机病毒的防治的防治23计算机应用基础课件8.3防火墙技术及其应用防火墙技术及其应用8.3.1防火墙技术概述防火墙技术概述8.3.2防火墙技术常用术语防火墙技术常用

20、术语8.3.3防火墙的工作原理防火墙的工作原理8.3.4WindowsXP软件防火墙的配置软件防火墙的配置8.3.5常见的硬件防火墙介绍常见的硬件防火墙介绍8.3.6防火墙的优缺点防火墙的优缺点24计算机应用基础课件8.3.1防火墙技术概述防火墙技术概述防火墙是指设置在不同网络（如可信任的企业内部网和不防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对

21、外部监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，防火墙有两种，硬件防火墙和软件防火墙硬件防火墙和软件防火墙，它们都能起到，它们都能起到保护作用并筛选出网络上的攻击者。保护作用并筛选出网络上的攻击者。25计

22、算机应用基础课件8.3.2防火墙技术常用术语防火墙技术常用术语网关：网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的设备，这个术语是非常常见的。DMZ非军事化区：非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网、Internet和DMZ。吞吐量：吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。最大连接数：最大连接数：和吞吐量一样，

23、数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。26计算机应用基础课件8.3.2防火墙技术常用术语防火墙技术常用术语数据包转发率：数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。SSL：SSL（SecureSocketsLayer）是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供

24、安全支持。网络地址转换：网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域的技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。堡垒主机：堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于Internet之上，作为进入内部网络的一个检查点，以达到把整个网络的安

25、全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。27计算机应用基础课件8.3.3防火墙的工作原理防火墙的工作原理1包过滤型防火墙包过滤型防火墙图8.6 包过滤防火墙工作原理防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。28计算机应用基础课件8.3.3防火墙的工作原理防火墙的工作原理2应用网关防火墙应用网关防火墙应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。图8.7应用网关防火墙工作原理图29计算机应用基础课件8.3.3防火墙的工作原理防火

26、墙的工作原理3状态检测防火墙状态检测防火墙这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。图8.8状态检测防火墙工作原理图30计算机应用基础课件8.3.3防火墙的工作原理防火墙的工作原理4复合型防火墙复合型防火墙它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。图8.9复合型防火墙工作原理图图8.9复合型防火墙工作原理图图8.9复合型防火墙工作原理图31计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的

27、配置Windows防火墙是防火墙是WindowsXPServicePack2中经过更新的防火墙软件，用以替代原来中经过更新的防火墙软件，用以替代原来的的Internet连接防火墙连接防火墙(ICF)。Windows防火墙在默认情况下是启用的，但某些计算机防火墙在默认情况下是启用的，但某些计算机制造商和网络管理员可能会将其关闭。您不一定非要使用制造商和网络管理员可能会将其关闭。您不一定非要使用Windows防火墙，也可以按自己的喜好安装和运行任何防火墙，也可以按自己的喜好安装和运行任何其他防火墙。请考察其他防火墙的功能，然后选择符合您其他防火墙。请考察其他防火墙的功能，然后选择符合您的需要的防火

28、墙。如果您决定安装和运行其他防火墙，请的需要的防火墙。如果您决定安装和运行其他防火墙，请关闭关闭Windows防火墙。防火墙。32计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置1打开打开Windows防火墙防火墙要检查和配置防火墙设置，请按照下列步骤操作：(1)单击“开始”，单击“运行”，键入wscui.cpl，然后单击“确定”。(2)在“Windows安全中心”内单击“Windows防火墙”33计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置1打开打开Windows防火墙防火墙图8.10 Windows安全中心34计算机应用基础课

29、件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置1打开打开Windows防火墙防火墙图8.11 Windows防火墙35计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置2“常规常规”选项卡选项卡“常规”选项卡包括以下设置：(1)“启用（推荐）启用（推荐）”。选择这个选项来对“高级”选项卡上选择的所有网络连接启用windows防火墙。Windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“例外”选项卡上进行配置。(2)“不允许例外不允许例外”。单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略

30、，所有的连接都将受到保护，而不管“高级”选项卡上的设置如何。(3)“关闭（不推荐）关闭（不推荐）”。选择这个选项来禁用windows防火墙。不推荐这样做，特别是对于可通过Internet直接访问的网络连接。36计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置3“例外例外”选项卡选项卡“例外”选项卡使您可以添加程序和端口例外，以允许特定类型的传入通信。您可以为每个例外设置范围。对于家庭和小型办公室网络，建议在可能的条件下，将范围设定为仅限局域网内部。这样配置可以使同一个子网上的计算机可以与此计算机上的程序连接，但拒绝源自远程网络的通信。37计算机应用基础课件8.3.

31、4WindowsXP软件防火墙的配置软件防火墙的配置3“例外例外”选项卡选项卡图8.11 Windows防火墙“例外”选项卡38计算机应用基础课件8.3.4WindowsXP软件防火墙的配置软件防火墙的配置4“高级高级”选项卡选项卡“高级”选项卡允许您进行以下配置：(1)“网络连接设置”(2)“安全日志”(3)“icmp”(4)“默认设置”39计算机应用基础课件8.3.5常见的硬件防火墙介绍常见的硬件防火墙介绍1NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具

32、有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。40计算机应用基础课件8.3.5常见的硬件防火墙介绍常见的硬件防火墙介绍2.CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墙是Cisco防火墙家族中的专用防火墙设施。CiscoSecurePIX515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。41计算机应用基础课件8.3.5常见的硬件防火墙介绍常见的硬件防火墙介绍3.天融信天融信网络网络卫士卫士NGFW4000

33、-S防火墙防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统，目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定。42计算机应用基础课件8.3.5常见的硬件防火墙介绍常见的硬件防火墙介绍4东软东软NetEye4032防火墙防火墙NetEye4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。43

34、计算机应用基础课件8.3.6防火墙的优缺点防火墙的优缺点1防火墙的优点防火墙的优点(1)防火墙能强化安全策略因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。(2)防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。(3)防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。

35、这样，能够防止影响一个网段的问题通过整个网络传播。(4)防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。44计算机应用基础课件8.3.6防火墙的优缺点防火墙的优缺点2防火墙的不足之处防火墙的不足之处上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在：(1)不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求

36、加强内部管理，如主机安全和用户教育等。(2)不能防范不通过它的连接防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。(3)不能防备全部的威胁防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。(4)防火墙不能防范病毒防火墙不能消除网络上的PC机的病毒。45计算机应用基础课件8.4数据加密技术及其应用数据加密技术及其应用8.4.1数据加密技术概述数据加密技术概述8.4.2数据加密的物理层次数据加密的物理层次

37、8.4.3数据加密算法数据加密算法8.4.4数据加密的应用数据加密的应用46计算机应用基础课件8.4.1数据加密技术概述数据加密技术概述1为什么需要进行数据加密为什么需要进行数据加密随着网络技术的发展，大量的数据需要在网络上传输。Internet把全世界连在了一起，走向Internet就意味着走向了世界。一方面，Internet给人们带来了很多的方便和乐趣，也给众多的商家带来了无限的商机；另一方面Internet又是危险的，在网络上传输的数据存在着不安全的因素而变得危险，而且这种危险是TCP/IP协议所固有的，一些基于TCP/IP的服务也是极不安全的。因此，为了使Internet变得安全和充分

38、利用其商业价值，人们选择了数据加密。47计算机应用基础课件8.4.1数据加密技术概述数据加密技术概述2什么是数据加密什么是数据加密一般把受保护的原始信息称为明文，编码后的称为密文。数据加密的基本过程包括对明文进行编码，译成密文或密码的代码形式。该过程的逆过程为解密，即将该加密的编码信息转化为原来的明文形式的过程。(1)保密密钥和公开保密密钥和公开/私有密钥私有密钥48计算机应用基础课件8.4.1数据加密技术概述数据加密技术概述(1)保密密钥和公开保密密钥和公开/私有密钥私有密钥有两类基本的数据加密算法：保密密钥和公开/私有密钥。在保密密钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密，

39、这类算法有DES和IDEA。这种加密算法的问题是，用户必须让接收人知道自己所使用的密钥，这个密钥需要双方共同保密，任何一方的失误都会导致机密的泄露。而且在告诉收件人密钥过程中，还需要的防止其他人发现或偷听密钥，这个过程被称为密钥发布。有些认证系统在会话初期用明文传送密钥，这就存在密钥被截获的可能性，所以后来用保密密钥对信息加密。另一类加密技术是公开/私有密钥，与单独的密钥不同，它使用相互关联的一对密钥，一个是公开密钥，任何人都可以知道，另一个是私有密钥，只有拥有该对密钥的人知道。如果有人发信给有私有密钥的人，他就用他的私有密钥进行解密，而且只有他持有的私有密钥可以解密。这种加密方式的好处显而易

40、见，密钥只有一个人持有，也就更加容易进行保密，因为不需在网络上传送私人密钥，也就不用担心别人在认证会话初期劫持密钥。49计算机应用基础课件8.4.1数据加密技术概述数据加密技术概述(2)摘要函数摘要函数(MD2、MD4和和MD5)摘要是一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质，如果改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的改变，也就是说所输入消息的每一位对输出摘要都有影响。总之，摘要算法从给定的文本块中产生一个数字签名（fingerprint或messagedigest），数字签

41、名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容。摘要算法的数字签名原理在很多加密算法中都被使用，如S/KEY和PGP（prettygoodprivacy）。50计算机应用基础课件8.4.1数据加密技术概述数据加密技术概述(2)摘要函数摘要函数(MD2、MD4和和MD5)MD2摘要算法的设计是出于下面的考虑：利用32位RISC结构来最大其吞吐量，而不需要大量的替换表（substitutiontable）。现在流行的摘要函数有MD4和MD5。无论是MD4还是MD5，客户机和服务器必须使用相同的算法，因此MD4客户机不能和MD5服务器交互。MD4算法将消息的给予对长度作为输入，产生一个

42、128位的“指纹”或“消息化”。产生两个具有相同消息化的文字块或者产生任何具有预先给定“指纹”的消息，都被认为在计算上是不可能的。MD5摘要算法是个数据认证标准。MD5的设计思想是要找出速度更快但更不安全的MD4中潜在的不安全因素，MD5的设计者通过使MD5在计算速度上慢下来，以及对这些计算做了一些基础性的改动来解决这个问题。MD5在RFC1321中给出了文档描述，其实是MD4算法的一个扩展。51计算机应用基础课件8.4.2数据加密物理层次数据加密物理层次1链路加密链路加密链路加密能为在两个网络节点间的某一次通信链路上传输的数据提链路加密能为在两个网络节点间的某一次通信链路上传输的数据提供安全

43、保证。对于链路加密（又称在线加密），所有消息在被传输供安全保证。对于链路加密（又称在线加密），所有消息在被传输之前都进行加密，在每一个节点对接收到的消息进行解密，然后先之前都进行加密，在每一个节点对接收到的消息进行解密，然后先使用下一个链路的密钥对消息进行加密，再进行传输。在到达目的使用下一个链路的密钥对消息进行加密，再进行传输。在到达目的地之前，一条消息可能要经过许多通信链路的传输。地之前，一条消息可能要经过许多通信链路的传输。52计算机应用基础课件8.4.2数据加密物理层次数据加密物理层次2节点加密节点加密节点加密能给网络数据提供较高的安全性，它在操作方节点加密能给网络数据提供较高的安全性

44、，它在操作方式上与链路加密是类似的。两者均在通信链路上为传输式上与链路加密是类似的。两者均在通信链路上为传输的消息提供安全性；都在中间节点先对消息进行解密，的消息提供安全性；都在中间节点先对消息进行解密，然后进行加密。因为要对所有传输的数据进行加密，所然后进行加密。因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。以加密过程对用户是透明的。然而，与链路加密不同，节点加密不允许消息在网络节然而，与链路加密不同，节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上采用另一

45、个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行。的一个安全模块中进行。53计算机应用基础课件8.4.2数据加密物理层次数据加密物理层次3端到端加密端到端加密端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密（又称脱线加密或包加密），消息在被传输时到达终点之前不进行解密，因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。54计算机应用基础课件8.4.3数据加密的算法数据加密的算法1.简单的加密方法：换位和置换简单的加密方法：换位和置换换位和置换（transpositionandsubstitutionciphers）是两种主要的编

46、码方法，是组成最简单的密码基础。换位很像是一种字母游戏，打乱字母的顺序，并设法用这些打乱的字母组成一个单词。在换位密码中，数据本身并没有改变，它只是被安排成另一种不同的格式，有许多种不同的置换密码，有一种是用凯撒大帝的名字JuliasCaesar命名的，即凯撒密码。它的原理是每一个字母都用其前面的第三个字母代替，如果到了最后那个字母，则又从头开始算。字母可以被在它前面的第n个字母所代替，在凯撒的密码中n就是数字355计算机应用基础课件8.4.3数据加密的算法数据加密的算法2基于密钥的密码算法基于密钥的密码算法这种算法通常有两类：对称算法和公开密钥算法。(1)对称算法对称算法对称算法，就是加密密

47、钥能够从解密密钥中推算出来，反过来也成立。大多数对称算法中，加、解密的密钥是相同的，这些算法也称为秘密密钥算法或单密钥算法。它要求发送者和接收者在安全通信之前，商定一个密钥。算法的安全性依赖于密钥，只要通信需要保密，密钥就必须保密。著名的对称密码算法有：DES（DataEncryptionStandard）数据加密标准）数据加密标准IDEA（InternationalDataEncryptionAlgorithm）国）国际数据加密算法际数据加密算法56计算机应用基础课件8.4.3数据加密的算法数据加密的算法3.公开密钥算法公开密钥算法这种算法通常有两类：对称算法和公开密钥算法。公开密钥算法公开

48、密钥算法公开密钥算法是指使用一对密钥加解密信息，加密的密钥不同于解密的密钥，而且解密的密钥不能根据密钥在合理的时间和财力内计算出来。之所以叫公开密钥算法(以下简称公钥算法)，是因为加密密钥能够公开，谁都可以使用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。著名的公开密钥算法有：(1)RSA算法算法(2)Diffe-Hellman算法算法(3)椭圆曲线椭圆曲线57计算机应用基础课件8.4.3数据加密的算法数据加密的算法4广泛运用的广泛运用的PGPPGP（PrettyGoodPrivacy）是一个基于RSA公钥加密体系的邮件加密软件，它的创始人是美国的PhilZimmermann。其创造性

49、在于把RSA公钥体系的方便和传统加密体系的高速度结合起来，可以用它对邮件保密以的邮件加上数字签名，从而使收信人可以确信邮件是用户发来的。它让用户可以安全地和从未见过的人们通信，事先并不需要任何保密的传递密钥。它采用了以下技术：审慎的密钥合算法、用于数字签名的邮件往往不加密前压缩等，还有一个良好的人机工程设计。它功能强大、速度很快，而且其源代码是免费的。实际上PGP的功能还不止上面说的，PGP可以用来加密文件，还可以用PGP代替UUencode生成RADIX64格式（就是MIME的BASE64格式）的编码文件。58计算机应用基础课件8.5数字签名技术及其应用数字签名技术及其应用8.5.1数字签名

50、的概念数字签名的概念8.5.2数字签名的含义和功能数字签名的含义和功能8.5.3数字签名的实现方法数字签名的实现方法8.5.4数字签名的发展前景数字签名的发展前景59计算机应用基础课件8.5.1数字签名的概念数字签名的概念所谓所谓“数字签名数字签名”就是通过某种密码运算生成一系列符就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。的准确度是一般手工签名和图章的验证而无法比拟的