大學(xué)計(jì)算機(jī)（第二版）馮博琴 水電大基2版_第9章 信息安全新

第9章信息安全本章目標(biāo)了解信息安全的概念理解信息安全涉及的問題掌握主要的信息安全技術(shù)理解計(jì)算機(jī)病毒及防治方法191信息安全概述911信息安全、計(jì)算機(jī)安全和網(wǎng)絡(luò)安全1信息安全信息安全包含兩方面的內(nèi)容，信息本身即數(shù)據(jù)的安全和信息系統(tǒng)的安全。（1）數(shù)據(jù)安全是指對(duì)所處理數(shù)據(jù)的機(jī)密性、完整性和可用性的保證（2）信息系統(tǒng)安全是指構(gòu)成信息系統(tǒng)的三大要素的安全，即信息基礎(chǔ)設(shè)施安全、信息資源安全和信息管理安全。22計(jì)算機(jī)安全國際標(biāo)準(zhǔn)化組織對(duì)計(jì)算機(jī)安全的定義所謂計(jì)算機(jī)安全，是指為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄密。33網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是由網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)軟件以及網(wǎng)絡(luò)系統(tǒng)中的共享數(shù)據(jù)組成的。網(wǎng)絡(luò)安全就是保護(hù)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄密，網(wǎng)絡(luò)安全的關(guān)鍵是網(wǎng)絡(luò)中的信息安全。4912網(wǎng)絡(luò)信息系統(tǒng)中的不安全因素1網(wǎng)絡(luò)信息系統(tǒng)的脆弱性（1）網(wǎng)絡(luò)系統(tǒng)的開放性（2）軟件系統(tǒng)的自身缺陷（3）黑客攻擊2對(duì)安全的攻擊（1）被動(dòng)攻擊（2）主動(dòng)攻擊（3）物理臨近攻擊（4）內(nèi)部人員攻擊（5）軟、硬件裝配攻擊3有害程序的威脅（1）程序后門（2）特洛伊木馬程序（3）“細(xì)菌”程序（4）蠕蟲程序（5）邏輯炸彈程序5913網(wǎng)絡(luò)安全的技術(shù)問題（1）網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全包括系統(tǒng)處理安全和傳輸系統(tǒng)安全（2）網(wǎng)絡(luò)系統(tǒng)信息安全用戶身份鑒別、用戶存取權(quán)限控制、數(shù)據(jù)訪問權(quán)限和方式控制、安全審計(jì)、安全問題跟蹤、病毒防治和數(shù)據(jù)加密（3）網(wǎng)絡(luò)信息傳播安全信息過濾、防止大量自由傳輸?shù)男畔⑹Э亍⒎欠ǜ`聽（4）網(wǎng)絡(luò)信息內(nèi)容安全保證信息的保密性、真實(shí)性和完整性692網(wǎng)絡(luò)安全常用的技術(shù)網(wǎng)絡(luò)安全的常用技術(shù)訪問控制技術(shù)數(shù)據(jù)加密技術(shù)防火墻技術(shù)7921訪問控制技術(shù)主要內(nèi)容1制定安全管理制度和措施2設(shè)置用戶標(biāo)識(shí)和口令3設(shè)置用戶權(quán)限8922數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密是將原文信息進(jìn)行變換處理加密和解密的過程9加密和解密涉及到的常用術(shù)語明文傳輸?shù)脑紨?shù)據(jù)密文經(jīng)過變換后的數(shù)據(jù)加密明文轉(zhuǎn)換為密文的過程加密算法加密所采用的變換方法解密密文還原為明文的過程解密算法解密所采用的變換方法密鑰控制加密、解密過程，有加密密鑰和解密密鑰10（1）對(duì)稱式加密法加密和解密使用同一個(gè)密鑰典型的對(duì)稱式加密法替代加密算法L用一組密文字母代替一組明文字母L凱撒密碼就是其中的一種優(yōu)點(diǎn)安全性高，加密速度快。缺點(diǎn)密鑰的管理困難對(duì)稱密鑰密碼體制1977年美國國家標(biāo)準(zhǔn)局頒布的DES（DATAENCRYPTIONSTANDARD數(shù)據(jù)加密標(biāo)準(zhǔn)）11示例凱撒密碼又稱移位代換密碼，加密方法L將26個(gè)英文字母AZ分別用DZ、A、B、C代換，就是將每個(gè)字母用其后第3個(gè)字母進(jìn)行循環(huán)替換L加密方法中的密鑰為3例如，明文“HELLO”對(duì)應(yīng)的密文為“KHOOR”解密時(shí)，將每個(gè)字母用其前面第3個(gè)進(jìn)行循環(huán)替換即可凱撒密碼僅有25個(gè)可能的密鑰，密碼很容易破解12（2）非對(duì)稱式加密法也稱為公鑰加密法，加密密鑰和解密密鑰不同一個(gè)是“公開密鑰”、另一個(gè)是“私有密鑰”兩種基本使用模型加密模型和認(rèn)證模型認(rèn)證的目的信源識(shí)別，驗(yàn)證發(fā)送者是真實(shí)的完整性驗(yàn)證，保證信息在傳送過程中沒有被篡改過13非對(duì)稱加密的缺點(diǎn)加密、解密速度太慢主要用途數(shù)字簽名、密鑰管理和認(rèn)證實(shí)際應(yīng)用中，對(duì)稱密鑰和公鑰密鑰相結(jié)合使用加密、解密采用對(duì)稱密鑰密碼公鑰密鑰用于傳遞對(duì)稱的加密密鑰RSA算法是最有影響的非對(duì)稱密鑰密碼體制14923防火墻技術(shù)1防火墻的基本概念是一種專門用于保護(hù)網(wǎng)絡(luò)內(nèi)部安全的系統(tǒng)，在局域網(wǎng)內(nèi)部和網(wǎng)絡(luò)外部之間構(gòu)建網(wǎng)絡(luò)通信的監(jiān)控系統(tǒng)，用于監(jiān)控所有進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)流和來訪者。152防火墻的功能（1）實(shí)現(xiàn)網(wǎng)間的安全控制，保障網(wǎng)間通信安全。（2）能有效記錄網(wǎng)絡(luò)活動(dòng)情況。（3）隔離網(wǎng)段，限制安全問題擴(kuò)散。（4）自身具有一定的抗攻擊能力。（5）綜合運(yùn)用各種安全措施，使用先進(jìn)的信息安全技術(shù)。16防火墻的局限性（1）它能保障系統(tǒng)的安全，但不能保障數(shù)據(jù)安全，因?yàn)樗鼰o法理解數(shù)據(jù)內(nèi)容。（2）由于執(zhí)行安全檢查，會(huì)帶來一定的系統(tǒng)開銷，導(dǎo)致傳輸延遲、對(duì)用戶不透明等問題。（3）無法阻止繞過防火墻的攻擊。（4）防火墻無法阻止來自內(nèi)部的威脅。173防火墻技術(shù)分類（1）包過濾技術(shù)對(duì)所有進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包按指定的過濾規(guī)則進(jìn)行檢查，符合指定規(guī)則的允許通行，否則被丟棄缺點(diǎn)不能防止假冒由于只在網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)包過濾，對(duì)于通過高層進(jìn)行非法入侵的行為無防范能力包過濾技術(shù)只是丟棄非法數(shù)據(jù)包，不具有安全保障系統(tǒng)所要求的可審核性不能防止來自內(nèi)部人員造成的威脅18（2）代理服務(wù)器在網(wǎng)絡(luò)內(nèi)部設(shè)置一個(gè)代理服務(wù)器，將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分隔開，通過“代理”實(shí)現(xiàn)內(nèi)、外部之間的數(shù)據(jù)交流194WINDOWXP中使用的防火墻技術(shù)（1）WINDOWS防火墻的工作原理當(dāng)INTERNET或網(wǎng)絡(luò)上某人嘗試連接到某個(gè)計(jì)算機(jī)時(shí)，這種嘗試稱為“未經(jīng)請(qǐng)求的請(qǐng)求”。計(jì)算機(jī)收到這個(gè)請(qǐng)求時(shí)，如果防火墻已經(jīng)啟用，該連接被阻止如果正在運(yùn)行的程序需要從INTERNET或網(wǎng)絡(luò)接收信息，防火墻會(huì)發(fā)出詢問，詢問是阻止連接還是取消阻止連接（允許連接）20（2）在WINDOWSXP中設(shè)置防火墻1）在“控制面板”中雙擊“WINDOWS防火墻”，打開對(duì)話框2）對(duì)話框中有三個(gè)選項(xiàng)卡常規(guī)“啟用”或“關(guān)閉”防火墻例外選擇被允許訪問INTERNET的應(yīng)用程序高級(jí)啟用日志記錄，查看網(wǎng)絡(luò)連接記錄21924WINDOWS中的安全機(jī)制1系統(tǒng)安全（1）安全區(qū)域?qū)⒕W(wǎng)絡(luò)劃分為四大區(qū)域本地INTRANET該區(qū)域包括本單位內(nèi)部的全部站點(diǎn)，其默認(rèn)安全級(jí)為中級(jí)。可信站點(diǎn)區(qū)域該區(qū)域包含可信任的站點(diǎn)，從這些站點(diǎn)下載或運(yùn)行文件不用擔(dān)心安全問題。默認(rèn)的安全級(jí)為低級(jí)。受限站點(diǎn)區(qū)域該區(qū)域包含有可能損害計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)安全的網(wǎng)站，默認(rèn)的安全級(jí)為高級(jí)。INTERNET該區(qū)域包含不屬于上述3個(gè)區(qū)域中的所有網(wǎng)站，默認(rèn)的安全級(jí)為中級(jí)。22（2）安全模型安全模型的主要特征是用戶驗(yàn)證和訪問控制。（3）公用密鑰WINDOWS的公用密鑰體系由數(shù)字證書、智能卡和公用密鑰策略組成。（4）數(shù)據(jù)保護(hù)通過用戶驗(yàn)證、訪問控制和數(shù)據(jù)加密技術(shù)等手段相結(jié)合而實(shí)現(xiàn)的。232帳戶和組安全為了驗(yàn)證用戶的合法身份，系統(tǒng)管理員為所有要進(jìn)入系統(tǒng)的用戶建立帳戶和設(shè)置使用權(quán)限。組可以包含用戶、計(jì)算機(jī)和組帳戶。對(duì)組設(shè)置的安全策略適用于組中所有成員。243文件系統(tǒng)安全WINDOWS推薦使用NTFS文件系統(tǒng)。NTFS支持對(duì)關(guān)鍵數(shù)據(jù)完整性的訪問控制，通過設(shè)置訪問權(quán)限可以實(shí)現(xiàn)對(duì)指定文件和目錄的安全保護(hù)。254IP安全I(xiàn)P安全性是通過自動(dòng)對(duì)進(jìn)出該系統(tǒng)的IP數(shù)據(jù)包進(jìn)行加密或解密來實(shí)現(xiàn)的。2693計(jì)算機(jī)病毒及其防治931計(jì)算機(jī)病毒常識(shí)1計(jì)算機(jī)病毒的定義中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的程序代碼2計(jì)算機(jī)病毒的特性（1）感染性（2）破壞性（3）隱蔽性（4）潛伏性（5）發(fā)作性273計(jì)算機(jī)病毒的分類（1）引導(dǎo)型病毒利用系統(tǒng)啟動(dòng)的引導(dǎo)原理而設(shè)計(jì)的，典型的有大麻病毒、小球病毒等。（2）文件型病毒主要感染可執(zhí)行文件（COM、EXE、OVL、SYS等）（3）混合型病毒兼有兩種以上病毒類型特征的病毒28（4）宏病毒是一種寄存于文檔或模板的宏中的計(jì)算機(jī)病毒。主要利用軟件（如WORD、EXCEL等）本身所提供的宏功能而設(shè)計(jì)（5）網(wǎng)絡(luò)病毒是在網(wǎng)絡(luò)上運(yùn)行并傳播、破壞網(wǎng)絡(luò)系統(tǒng)的病毒（6）郵件病毒主要是利用電子郵件軟件（如OE）的漏洞進(jìn)行傳播的病毒，典型的有“MELISSA”（梅麗莎）和“NIMDA”（妮姆達(dá)）等29932計(jì)算機(jī)病毒的危害及防治1計(jì)算機(jī)病毒主要危害（1）對(duì)磁盤上數(shù)據(jù)的直接破壞（2）非法侵占磁盤空間破壞信息數(shù)據(jù)（3）搶占系統(tǒng)資源、影響計(jì)算機(jī)運(yùn)行速度302計(jì)算機(jī)病毒的預(yù)防（1）尊重知識(shí)產(chǎn)權(quán)，使用正版軟件。（2）建立、健全各種切實(shí)可行的預(yù)防管理規(guī)章、制度。（3）嚴(yán)格管理。（4）重要數(shù)據(jù)要定期與不定期地進(jìn)行備份。（5）嚴(yán)格管理和限制用戶的訪問權(quán)限。（6）隨時(shí)觀察計(jì)算機(jī)各種異常現(xiàn)象，并經(jīng)常用殺毒軟件進(jìn)行檢測。313計(jì)算機(jī)病毒的檢測（1）顯示異?；虺霈F(xiàn)異常提示；（2）計(jì)算機(jī)執(zhí)行速度越來越慢；（3）原來可以執(zhí)行的一些程序無故不能執(zhí)行了；（4）計(jì)算機(jī)系統(tǒng)出現(xiàn)異常死機(jī)；（5）文件夾中無故多了一些重復(fù)或奇怪的文件。（6）硬盤指示燈無故閃亮，或突然出現(xiàn)壞塊和壞道，或不能開機(jī)；（7）存儲(chǔ)空間異常減少導(dǎo)致空間不足。（8）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些莫名其妙的網(wǎng)絡(luò)連接。（9）電子郵箱中有不明來路的信件。324計(jì)算機(jī)病毒的清除（1）人工消除病毒法借助工