第十二章——資訊保安與多媒體基礎知識(3分)

第十二章 資訊保安與多媒體基礎知識(3分)

12.1 網路安全基本概念

計算機網路安全是指計算機、網路系統的硬體、軟體以及系統中的資料受到保護，不因偶然的或惡意的原因而遭到破壞、更改、洩露，確保系統能連續和可靠地執行，使網路服務不中斷。廣義地說，凡是涉及網路上資訊的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網路安全所要研究的領域。

網路安全涉及的主要內容包括執行系統的安全、資訊系統的安全、資訊傳播的安全和資訊內容的安全。資訊系統對安全的基本需求有保密性、完整性、可用性、可控性和可核查性。

資訊系統安全屬性：

1. 保密性：確保資訊不暴露給未授權的實體或程序。
2. 完整性：只有得到允許的人才能修改資料，並且能夠判別出資料是否已被篡改
3. 可用性：得到授權的實體在需要時可訪問資料，即攻擊者不能佔用所有的資源而阻礙授權者的工作。
4. 可控性：可以控制授權範圍內的資訊流向及行為方式,
5. 可審查性：對出現的資訊保安問題提供調查的依據和手段。

12.2 網路安全威脅

1. 物理威脅：指計算機硬體和儲存介質受到的偷竊、廢物搜尋及線路劫取活動的威脅。
2. 網路攻擊：計算機網路的使用對資料造成了新的安全威脅，攻擊者可透過網路利用電子竊聽、入侵撥號入網、冒名頂替等方式進行入侵攻擊、偷竊和篡改。
3. 身份鑑別：由於身份鑑別通常是用設定口令的手段實現的，入侵者可透過口令圈套、密碼破譯等方式擾亂身份鑑別。
4. 程式設計威脅：指透過病毒進行攻擊的一種方法
5. 系統漏洞：也稱程式碼漏洞，是作業系統設計者有意設定的，目的是為了使使用者在失去對系統的訪問權時仍有機會進入系統。入侵者可使用掃描器發現系統漏洞，從而進行攻擊。

威脅名稱	描述
重放攻擊(ARP）	所截獲的某次合法的通訊資料複製，出於非法的目的而被重新傳送。
拒絕服務(DOS）	對資訊或其它資源的合法訪問被無條件地阻止。
竊聽	用各種可能的合法或非法的手段竊取系統中的資訊資源和敏感資訊，例如對通訊線路中傳輸的訊號進行搭線監聽，或者利用通訊裝置在工作過程中產生的電磁洩露擷取有用資訊等。
業務流分析	透過對系統進行長期監聽，利用統計分析方法對諸如通訊頻度、通訊的資訊流向、通訊總量的變化等引數進行研究，從而發現有價值的資訊和規律。
資訊洩露	資訊被洩露或透露給某個非授權的實體。
破壞資訊的完整性	資料被非授權地進行增刪、修改或破壞而受到損失。
非授權訪問	某一資源被某個非授權的人、或以非授權的方式使用。
假冒	透過欺騙通訊系統(或使用者)達到非法使用者冒充成為合法使用者，或者特權小的使用者冒充成為特權大的使用者的目的。駭客大多是採用假冒進行攻擊
旁路控制	攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如，攻擊者透過各種攻擊手段發現原本應保密，但是卻又暴露出來的一些系統“特性”。利用這些“特性”，攻擊者可以繞過防線守衛者侵入系統的內部。
授權侵犯	被授權以某一目的使用某一系統或資源的某個人，卻將此許可權用於其它非授權的目的，也稱作“內部攻擊”。
特洛伊木馬	軟體中含有一個察覺不出的或者無害的程式段，當它被執行時，會破壞使用者的安全。
陷阱門	在某個系統或某個部件中設定了“機關”，使得當提供特定的輸入資料時允許違反安全策略。
抵賴	這是一種來自使用者的攻擊，比如否認自己曾經發布過的某條訊息、偽造一份對方來信等。

12.3 網路攻擊

駭客(Hacker)常用的攻擊手段主要有口令入侵、放置特洛伊木馬、DoS攻擊、埠掃描、網路監聽、欺騙攻擊、電子郵件攻擊等。

1、口令入侵
是指駭客使用某些合法使用者的賬號和口令登入到目的主機，然後再實施攻擊活動。使用這種方法的前提是必須先得到該主機上的某個合法使用者的賬號，然後再進行合法使用者的口令的破譯。
2、放置特洛伊木馬
在計算機領域裡，有一類特殊的程式，駭客可以透過它來遠端控制別人的計算機，這類程式稱為特洛伊木馬程式。特洛伊木馬程式一般分為伺服器端(Server)和客戶端(Client)。
3、DoS攻擊
DoS即拒絕服務，其攻擊目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路頻寬攻擊和連通性攻擊。
4、埠掃描
埠掃描就是利用Socket程式設計與目標主機的某些埠建立TCP連線、進行傳輸協議的驗證等，從而獲知目標主機的掃描埠是否處於啟用狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等。常用的掃描方式有TCP connect()掃描、TCP SYN掃描、TCPFIN掃描、IP段掃描、FTP返回攻擊等。
5、網路監聽
網路監聽是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有資訊，而不管這些資訊的傳送方和接收方是誰。
Sniffer是一款著名的監聽工具，可以監聽到網上傳輸的所有資訊。Sniffer可以是硬體也可以是軟體，主要用來接收在網路上傳輸的資訊。
6、欺騙攻擊
欺騙攻擊是指攻擊者創造一個易於誤解的上下文環境，以誘使受攻擊者進入並且做出缺乏安全考慮的決策。常見的欺騙攻擊有Web欺騙、ARP欺騙、IP欺騙。
7、電子郵件攻擊
電子郵件攻擊主要表現為向目標信箱傳送電子郵件炸彈。所謂的郵件炸彈實質上就是傳送地址不詳且容量龐大的垃圾郵件。由於郵件信箱容量是有限的，當龐大的垃圾郵件到達信箱時，就會把信箱擠爆。

12.4 防火牆技術

防火牆可分為以下幾類：

1、包過濾型防火牆
包過濾型防火牆工作在網路層，對資料包的源及目的IP具有識別和控制作用，對於傳輸層，它只能識別資料包是TCP還是UDP及所用的埠資訊。
2、應用代理閘道器防火牆
應用代理閘道器防火牆徹底隔斷內網與外網的直接通訊，內網使用者對外網的訪問變成防火牆對外網的訪問，然後再由防火牆將結果轉發給內網使用者。
3、狀態檢測技術防火牆
狀態檢測技術防火牆結合了代理防火牆的安全性和包過濾防火牆的高速度等優點，在不損失安全性的基礎上將代理防火牆的效能提高了10倍

典型防火牆的體系結構：一個防火牆系統通常是由過濾路由器和代理伺服器組成。典型防火牆的體系結構包括包過濾路由器、雙宿主主機、被遮蔽主機、被遮蔽子網等。

12.5 加密與數字簽名

資料加密的基本思想是透過變換資訊的表示形式來偽裝需要保護的敏感資訊，使非授權者不能瞭解被加密的內容。需要隱藏的資訊稱為明文，產生的結果稱為密文，加密時使用的變換規則稱為密碼演算法。

資訊保安的核心是密碼技術。根據密碼演算法所使用的加密金鑰和解密金鑰是否相同，可將密碼體制分為對稱金鑰密碼體制、非對稱金鑰密碼體制。

12.5.1 對稱金鑰密碼體制

對稱金鑰密碼體制中，傳送和接收資料的雙方必須使用相同的或對稱的金鑰對明文進行加密和解密運算。常用的對稱加密演算法有DES、IDEA、TDEA、AES、RC2、RC4、RC5等。

常見對稱金鑰加密演算法:

• DES：替換+移位、56位金鑰、64位資料塊、速度快、金鑰易產生
• 3DES(三重DES)：兩個56位的金鑰K1、K2
  • 加密：K1加密->K2解密->K1加密
  • 解密：K1解密->K2加密->K1解密
• AES：高階加密標準Rijndael加密法，是美國聯邦政府採用的一種區塊加密標準
• RC-5：RSA資料安全公司的很多產品都使用了RC-5
• IDEA演算法：128位金鑰、64位資料塊、比DES的加密性好、對計算機功能要求相對低

12.5.2 非對稱金鑰密碼體制

非對稱金鑰密碼體制也叫公開金鑰密碼體制。該體制中，每個使用者都有一對金鑰：公開金鑰(簡稱公鑰)和私有金鑰(簡稱私鑰)。公鑰對外公開，私鑰由個人秘密儲存。用其中一把金鑰來加密，另一把金鑰來解密。由於私鑰帶有個人特徵，因此可以解決資料的簽名驗證問題。

常見非對稱金鑰加密演算法：

• RSA：512位(或1024位)金鑰、計算量極大、難破解
• Elgamal：其基礎是Diffie-Hellman金鑰交換演算法。
• ECC：橢圓曲線演算法

其他非對稱演算法：

• 揹包演算法
• Rabin
• D-H

12.5.3 數字簽名

數字簽名是用於確認傳送者身份和訊息完整性的一個加密的訊息摘要。

數字簽名應滿足以下3點：

1. 接收者能夠核實傳送者。
2. 傳送者事後不能抵賴對報文的簽名
3. 接收者不能偽造對報文的簽名。

數字簽名可以利用對稱密碼體制(如DES)、公鑰密碼體制或公證體制來實現。最常用的實現方法建立在公鑰密碼體制和單向雜湊函式演算法(如MD5、SHA)的組合基礎上。

12.6 各個網路層次的安全保障

12.7 音訊相關概念

12.8 影像相關概念

12.9 多媒體的種類

• 感覺媒體：指人們接觸資訊的感覺形式。如視覺、聽覺、觸覺、嗅覺和味覺等
• 表示媒體：指資訊的表示形式。如文字、圖形、影像、動畫、音訊和影片等
• 顯示媒體(表現媒體)：表現和獲取資訊的物理裝置。如輸入顯示媒體；鍵盤、滑鼠和麥克風等；輸出顯示媒體；顯示器、印表機和音響等。
• 儲存媒體：儲存資料的物理裝置，如磁碟、光碟和記憶體等
• 傳輸媒體：傳輸資料的物理載體，如電纜、光纜和交換裝置等。

12.10 多媒體的計算問題

影像容量計算：

條件	示例
知道畫素，位數	每個畫素為16位，影像為640×480畫素，求容量：640×480×16÷8=614400B
知道畫素，色數	640×480畫素，256的色素，求容量：640×480×log2(256)÷8=307200B

1B(Byte) = 8b(bit)

音訊容量計算：

容量 = 取樣頻率(Hz) × 量化/取樣位數(位) × 聲道數 ÷ 8

影片容量計算：

容量 = 每幀影像容量(Byte) × 每秒幀數 × 時間 + 音訊容量 × 時間