計算機(jī)安全技術(shù)課件

第7章計算機(jī)安全技術(shù)本章學(xué)習(xí)目標(biāo)

本章主要講述與計算機(jī)安全有關(guān)的背景知識和防范措施。通過本章學(xué)習(xí)，應(yīng)掌握以下內(nèi)容：

l計算機(jī)系統(tǒng)安全的概念

l信息加密技術(shù)和防御技術(shù)

l虛擬專用網(wǎng)

l計算機(jī)病毒

l計算機(jī)職業(yè)道德和計算機(jī)犯罪第7章計算機(jī)安全技術(shù)本章學(xué)習(xí)目標(biāo)17.1

計算機(jī)系統(tǒng)安全的概念7.2

信息加密技術(shù)7.3

防御技術(shù)7.5

計算機(jī)病毒7.4

虛擬專用網(wǎng)第7章計算機(jī)安全技術(shù)7.6

計算機(jī)職業(yè)道德與計算機(jī)犯罪7.1計算機(jī)系統(tǒng)安全的概念7.2信息加密技術(shù)7.27.1計算機(jī)系統(tǒng)安全的概念

從20世紀(jì)90年代開始，隨著信息時代的到來，計算機(jī)通信被廣泛應(yīng)用，人們對計算機(jī)軟硬件的功能和組成以及各種開發(fā)、維護(hù)工具的了解，對信息重要性的認(rèn)識，都達(dá)到了相當(dāng)高的水平；同時，各種計算機(jī)犯罪事件也頻頻發(fā)生。因此，計算機(jī)安全已經(jīng)成為各國政府和軍隊、機(jī)關(guān)、企事業(yè)單位關(guān)注的熱點，我國也不例外。多年來，我國公安部在國內(nèi)外眾多說法的基礎(chǔ)上，提出了計算機(jī)安全的概念如下：計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)連續(xù)正常運(yùn)行。反過來，計算機(jī)的不安全稱為計算機(jī)危害。對照計算機(jī)安全的概念，計算機(jī)危害的概念就是：計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)未受到保護(hù)，因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運(yùn)行。返回7.1計算機(jī)系統(tǒng)安全的概念返回37.2信息加密技術(shù)

在今天的信息社會里，通信安全保密問題的研究已不僅僅出于軍事、政治和外交上的需要。科學(xué)技術(shù)的研究和發(fā)展及商業(yè)等方面，無一不與信息相關(guān)。由于信息是共享的，信息的擴(kuò)散會產(chǎn)生社會影響，所以保護(hù)信息的安全是信息時代的迫切需要。因此，密碼學(xué)從此也成為一門新的學(xué)科，引起了數(shù)學(xué)家和計算機(jī)科學(xué)工作者日益濃厚的興趣。

l

7.2.1密碼的目的和用途

l

7.2.2基本術(shù)語

l

7.2.3加密方法

l

7.2.4加密標(biāo)準(zhǔn)的必要性

l

7.2.5密碼分析學(xué)

返回7.2信息加密技術(shù)返回4

7.2.1

密碼的目的和用途

信息在傳輸過程中受到的安全威脅，要比信息存儲和處理過程中更大。因為傳輸信息的通信線路難以沿線在實體上防護(hù)。在線路本身并不安全的環(huán)境下，所傳輸信息經(jīng)過加密變換處理而成密碼，是最為有效安全的措施。

1．密碼的目的(1)保護(hù)線路所傳輸信息機(jī)密性。(2)保護(hù)線路所傳輸信息完整性。(3)保護(hù)線路所傳輸信息真實性。

2．密碼的用途(1)局域網(wǎng)絡(luò)中信息保護(hù)。

(2)軟盤信息保護(hù)。

(3)文件保密。

(4)識別真?zhèn)蔚蔫b定保護(hù)

。返回7.2.1密碼的目的和用途5

7.2.2基本術(shù)語密碼技術(shù)的基本思想是偽裝信息，使不是授權(quán)者無法理解它的真正意義。所謂偽裝就是對信息進(jìn)行一組可逆的數(shù)字變換。偽裝前的原始信息稱為明文，偽裝后的信息稱為密文，偽裝的過程成為加密。加密在加密密鑰的控制下進(jìn)行。用于對數(shù)據(jù)加密的一組數(shù)字變換稱為加密算法。發(fā)信者將明文數(shù)據(jù)加密成密文，然后將密文數(shù)據(jù)送入數(shù)據(jù)通信網(wǎng)絡(luò)或存入計算機(jī)文件。授權(quán)的收信者接到密文后，運(yùn)用與加密時相逆的變換，去掉密文的偽裝恢復(fù)出明文，這一過程成為解密。解密在解密密鑰控制下進(jìn)行。用于解密的一組數(shù)字變換稱為解密算法。因為數(shù)據(jù)以密文的形式存儲在計算機(jī)文件中，或在數(shù)據(jù)通信網(wǎng)絡(luò)中傳輸。因此，即使數(shù)據(jù)被不是授權(quán)者非法截獲或因系統(tǒng)故障和操作人員誤操作而造成數(shù)據(jù)泄密，未授權(quán)者也不能真正理解它的真正含義，從而達(dá)到數(shù)據(jù)保密的目的。同樣，未授權(quán)者也不能偽造合理的密文，因而不能篡改數(shù)據(jù)，從而達(dá)到確保數(shù)據(jù)真實性的目的。返回7.2.2基本術(shù)語密碼技術(shù)的67.2.3加密方法從密碼學(xué)誕生開始到現(xiàn)在，產(chǎn)生了許許多多的加密方法。在這里，簡單地介紹一些常用的加密方法。1.置換密碼

2.簡單代替密碼

3.現(xiàn)代密碼體制

4.序列密碼體制

5.分組密碼體制

（1）DES密碼體制。

（2）公鑰密碼體制（RSA加密算法）。返回7.2.3加密方法從77.2.4加密標(biāo)準(zhǔn)的必要性一個公認(rèn)的標(biāo)準(zhǔn)，必然要有公開的知識。加密標(biāo)準(zhǔn)顯然與密碼學(xué)的傳統(tǒng)觀點背道而馳。多少年來人們力圖把加密算法具體實現(xiàn)當(dāng)作—種機(jī)密。顯然，數(shù)據(jù)加密標(biāo)準(zhǔn)就必然要公開算法本身。對此，一個數(shù)據(jù)加密標(biāo)準(zhǔn)的基本要求是：●

它必須有高保密度。●

它必須有完整說明并易于理解。●

此算法的安全性，并非建立于算法本身保密性。●

它必須能為所有用戶和制造商所用?！?/p>

它必須適合于各種應(yīng)用環(huán)境?！?/p>

在電子設(shè)備實現(xiàn)上它必須是經(jīng)濟(jì)和高效?！?/p>

它必須經(jīng)得起實際驗證?！袼仨毰c國際有關(guān)標(biāo)準(zhǔn)相兼容。

返回7.2.4加密標(biāo)準(zhǔn)的必要性一個公認(rèn)87.2.5密碼分析學(xué)密碼分析學(xué)是研究在不掌握密鑰的情況下，利用密碼體制的弱點來恢復(fù)明文的一門學(xué)科。對密碼的攻擊主要可分為以下幾種：1．密文攻擊，即竊碼分析者僅僅掌握若干密文。不言而喻，這些密文都是用同一加密算法和密鑰加密的。密碼分析者的任務(wù)是盡可能多地恢復(fù)明文或推算出密鑰。找出密鑰就可以—勞永逸地紉出其它被加密的信息。2．已知明文攻擊。密碼分析者不僅掌握若干的密文，還知道對應(yīng)的明文本身。密碼分析者利用它推出用來加密的密鑰或?qū)С黾用芩惴āｏ@然，已知明文攻擊較之唯密文攻擊有更強(qiáng)的攻擊力，掌握的關(guān)于該密碼的信息也更多。3．選擇明文攻擊。密碼分析者不僅獲得若干密文及其相應(yīng)的明文，而且掌握的明文還加以挑選。明文是經(jīng)過選擇的，必然提供了更多可供破譯的信息，攻擊力更強(qiáng)了。

返回7.2.5密碼分析學(xué)密碼分析學(xué)是研究9

7.3防御技術(shù)

縱觀目前現(xiàn)有的計算機(jī)安全技術(shù)，如端到端的加密、解密、密鑰的管理等都已經(jīng)能夠保障用戶端到端的安全傳輸。但對于Internet這樣一個全球性的大網(wǎng)絡(luò)，由于用戶的數(shù)量太大，使得為每一個用戶都維護(hù)一個很好的安全保障系統(tǒng)比較困難，對于一個用戶集團(tuán)，希望用戶子網(wǎng)內(nèi)部的成員進(jìn)入Internet網(wǎng)絡(luò)時，受到某種約束，同時也能夠保護(hù)資源不會流失，于是在計算機(jī)的防御技術(shù)中提出了“防火墻”的概念，既在用戶子網(wǎng)中將所有用戶安全控制交給一個獨立的設(shè)備來進(jìn)行，使其資源不受網(wǎng)絡(luò)外的環(huán)境影響。l

7.3.1防火墻的概念l

7.3.2防火墻技術(shù)l

7.3.3防火墻的結(jié)構(gòu)

返回7.3防御技術(shù)107.3.1防火墻的概念防火墻的核心思想是在不安全的Internet環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。其目的就是保護(hù)一個網(wǎng)絡(luò)不受另一個網(wǎng)絡(luò)的攻擊。通常說來，被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的．而所要防備的網(wǎng)絡(luò)則是一個外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的。因此，對于破壞安全的網(wǎng)上攻擊，應(yīng)采取的防御保護(hù)措施就包括兩點：一是拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)；二是允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。防火墻的基本原理就源于這兩個思想，可以把防火墻想象成一對開關(guān)，一個開關(guān)用來阻止傳輸，不允許數(shù)據(jù)分組流入、流出；另一個開關(guān)用來允許傳輸，讓數(shù)據(jù)在兩個網(wǎng)絡(luò)之間自由通過。所以，防火墻是一種獲取安全性的方法，是保障網(wǎng)絡(luò)安全的手段，它有助于建立一個比較廣泛的網(wǎng)絡(luò)安全性策略，并通過網(wǎng)絡(luò)配置、主機(jī)系統(tǒng)、路由器以及諸如身份證等手段來實現(xiàn)該安全策略，以便確定允許提供的服務(wù)和訪問。

返回7.3.1防火墻的概念防火墻的核心思想是11

7.3.2防火墻技術(shù)1.設(shè)計策略防火墻系統(tǒng)的設(shè)計、安裝和使用直接受到兩個層次的網(wǎng)絡(luò)策略的影響。高層次的策略特定于一個出口，稱為網(wǎng)絡(luò)訪問策略。它定義保護(hù)網(wǎng)絡(luò)中哪些服務(wù)是允許的，哪些服務(wù)是明確禁止的，這些服務(wù)是怎樣被使用的以及對這個策略進(jìn)行例外處理的條件。低層次的策略描述了防火墻實施中實際上是怎樣體現(xiàn)實施高層次的策略，即怎樣去限制訪問和過濾服務(wù)，稱為設(shè)計策略。2.過濾技術(shù)包過濾用于控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)，哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。IP包過濾通常是由包過濾路由器來完成，這種路由器除了完成通常情況下的路徑選擇外，還可以根據(jù)路由器中的包過濾規(guī)則做出是否允許該包通過的決定。3.應(yīng)用網(wǎng)關(guān)為了克服包過濾路由器的弱點，防火墻需要使用一些應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾網(wǎng)絡(luò)所提供服務(wù)的連接，這種服務(wù)有時稱為代理服務(wù)（Proxyservice），而運(yùn)行代理服務(wù)的主機(jī)稱為應(yīng)用網(wǎng)關(guān)。返回7.3.2防火墻技術(shù)1.設(shè)計策略返127.3.3防火墻的結(jié)構(gòu)1.包過濾防火墻包過濾防火墻在小型、不復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)中最常使用，也非常容易安裝。2.雙宿主網(wǎng)關(guān)防火墻

雙宿主網(wǎng)關(guān)防火墻由一個帶有兩個網(wǎng)絡(luò)接口的主機(jī)系統(tǒng)組成。3.過濾子網(wǎng)防火墻

過濾子網(wǎng)防火墻能在一個分割的系統(tǒng)上放置防火墻的每一個組件。4.過濾主機(jī)防火墻過濾主機(jī)防火墻由一個包過濾路由器和一個位于路由器旁邊保護(hù)子網(wǎng)的應(yīng)用網(wǎng)關(guān)組成。5.調(diào)制解調(diào)器池

很多站點允許分布在各地點的調(diào)制解調(diào)器通過站點進(jìn)行撥號訪問，這是一個潛在的“后門”，它能使防火墻提供的防護(hù)失效。處理調(diào)制解調(diào)器的一種較好方法就是把它們集中在一個調(diào)制解調(diào)器池中，然后撥號用戶先連接到終端服務(wù)器上后通過它進(jìn)行安全連接到其它主機(jī)系統(tǒng)，這里的終端服務(wù)器是指把調(diào)制解調(diào)器連接到網(wǎng)絡(luò)的專用計算機(jī)。

返回7.3.3防火墻的結(jié)構(gòu)1.包過濾防火墻返回137.4虛擬專用網(wǎng)

隨著信息安全問題，尤其是計算機(jī)安全問題越來越突出，各大公司、企事業(yè)單位都將保護(hù)計算機(jī)安全作為首要任務(wù)。但是，對于擁有眾多地理分散分支機(jī)構(gòu)的大型企業(yè)和公司，建立物理上的專用網(wǎng)非常困難，它們必須通過公眾網(wǎng)進(jìn)行聯(lián)系，這就要求企業(yè)選擇基于電信服務(wù)商提供的公眾網(wǎng)建立虛擬的專用網(wǎng)。l

7.4.1虛擬專用網(wǎng)的定義l

7.4.2虛擬專用網(wǎng)的作用返回7.4虛擬專用網(wǎng)隨著信息安全問14

虛擬專用網(wǎng)（VPN—VirtualPrivateNetwork）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬專用網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如INTERNET等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中進(jìn)行傳輸。

7.4.1虛擬專用網(wǎng)的定義7.4虛擬專用網(wǎng)

返回虛擬專用網(wǎng)（VPN—Virtual15

基于Internet建立的VPN的功能有:通過隧道或虛擬電路實現(xiàn)網(wǎng)絡(luò)互聯(lián)；支持用戶安全管理；能夠進(jìn)行網(wǎng)絡(luò)監(jiān)控、故障診斷。根據(jù)不同功能的需要，可以構(gòu)造不同類型的VPN。不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用也是不一樣的。目前主要有三種結(jié)構(gòu)的VPN：在公司總部和它的分支機(jī)構(gòu)之間建立的VPN，稱為IntranetVPN；在公司總部和遠(yuǎn)地員工或旅行中的員工之間建立的VPN，稱為遠(yuǎn)程訪問VPN；在公司和商業(yè)伙伴、顧客、供應(yīng)商、投資者之間建立的VPN，稱為外部網(wǎng)VPN。

7.4.2虛擬專用網(wǎng)的作用7.4虛擬專用網(wǎng)

返回基于Internet建立的VPN的功能有:通過隧16

7.5計算機(jī)病毒

7.5.1計算機(jī)病毒的定義計算機(jī)病毒是一種“計算機(jī)程序”，它不僅能破壞計算機(jī)系統(tǒng)，而且還能夠傳染到其他系統(tǒng)。傳染是指修改其它程序，并把自身或變種復(fù)制進(jìn)去的這一過程。病毒通常隱藏在其它看起來無害的程序中，能生成自身的拷貝并將其插入其它的程序中，執(zhí)行惡意的行動。

簡單地說，計算機(jī)病毒就是一小段程序或指令集合，它能將自身拷貝或覆蓋在其它較大的宿主程序上、并取得程序執(zhí)行時的控制權(quán)。當(dāng)宿主程序執(zhí)行時，病毒便被啟動并繼續(xù)其傳染工作，當(dāng)某些持定條件符合時，病毒便會發(fā)作，破壞數(shù)據(jù)與資料，危害計算機(jī)系統(tǒng)。

返回7.5計算機(jī)病毒7.5.1177.5.2計算機(jī)病毒的產(chǎn)生計算機(jī)病毒的產(chǎn)生是以計算機(jī)技術(shù)迅猛發(fā)展為背景的，它是一種計算機(jī)犯罪的新的演化形式，其根本的技術(shù)原因是計算機(jī)系統(tǒng)軟硬件的脆弱性。同時，計算機(jī)的普及應(yīng)用給計算機(jī)病毒的傳播提供了廣闊的天地，特別是Internet的廣泛應(yīng)用，更促進(jìn)了計算機(jī)病毒的空前活躍。計算機(jī)病毒是以如此秘密的方式潛入計算機(jī)這一領(lǐng)域的，以致于沒有人能準(zhǔn)確說出它產(chǎn)生的具體時間，那么是誰首先編制了這種令人頭痛的東西就更不得而知了。數(shù)學(xué)家馮·諾伊曼在1940年提出了復(fù)雜機(jī)械的自動復(fù)制理論，這也許就是計算機(jī)病毒產(chǎn)生的最早的理論基礎(chǔ)吧。隨后在1950年，貝爾實驗室和施樂公司的專家們開發(fā)出了CoreWar的游戲程序，它能攻擊其他程序。進(jìn)入1960年Coway設(shè)計的“活的”程序可以根據(jù)自身環(huán)境的變化而變化。此后，美國的Unix系統(tǒng)專家KenTbompson在一次演講中把程序復(fù)制理論的秘密公之于眾，到1984年，F(xiàn)redCohen博士最終證明了計算機(jī)病毒傳染的可能性，并在1987年的著作中做出了論證，計算機(jī)病毒才開始受到世界范圍內(nèi)的普遍重視。

返回7.5.2計算機(jī)病毒的產(chǎn)生計算機(jī)病毒的產(chǎn)生是以187.5.3計算機(jī)病毒的來源渠道計算機(jī)病毒的來源渠道主要從以下5個方面：1．盜版軟件盜版軟件在互相拷貝流傳的過程中，根本無法保證不會被病毒所寄生。2．公開軟件無論是完全開放的公開軟件或是半開放的共享軟件都是容許人們隨便拷貝的。3．電子公告欄在使用電子公告欄（BBS）時要注意，由于任何人都可以隨便地從公告欄載上或錄下文件，所以根本無法保證錄下來的程序是否有病毒寄生。4．通訊與網(wǎng)絡(luò)與電子公告欄的情況相似，我們無法保證傳來的程序，或遠(yuǎn)程請求的程序有沒有病毒寄生或感染。5．正版軟件有些軟件公司，為了避免被盜版使用，會在其產(chǎn)品中放入口令暗號檢查的程序，這種程序可促動早已準(zhǔn)備好的類病毒病發(fā)，對盜用者示以懲戒。返回7.5.3計算機(jī)病毒的來源渠道計算機(jī)病毒的來源渠道主要19

7.5.4計算機(jī)病毒的分類按照計算機(jī)病毒的不同特征，可對計算機(jī)病毒分類如下：1．按攻擊的機(jī)種類型分（1）攻擊微型計算機(jī)的病毒。（2）攻擊小型機(jī)的病毒。（3）攻擊工作站的病毒。2．按寄生方式分（1）操作系統(tǒng)類。（2）文件類。（3）網(wǎng)絡(luò)類。3．按破壞情況分（1）良性計算機(jī)病毒。（2）惡性計算機(jī)病毒。4．按是否駐留內(nèi)存分（1）內(nèi)存駐留型病毒。（2）內(nèi)存不駐留型病毒。

返回7.5.4計算機(jī)病毒的分類按照計算機(jī)病毒的不同特207.5.5計算機(jī)病毒的預(yù)防

自從計算機(jī)病毒蔓延以來，人們提出許多計算機(jī)病毒防御措施，但這些措施不盡人意。面對數(shù)千種計算機(jī)病毒，我們不能只是被動地查毒和消毒，而應(yīng)積極地進(jìn)行預(yù)防。計算機(jī)病毒的預(yù)防可分為兩個方面：管理方法上的預(yù)防和技術(shù)上的預(yù)防。兩種方法相輔相成，兩者的結(jié)合對防止計算機(jī)病毒的傳染是行之有效的。1．用管理手段預(yù)防計算機(jī)病毒的傳染。

2．用技術(shù)手段預(yù)防計算機(jī)病毒的傳染。

返回7.5.5計算機(jī)病毒的預(yù)防返回217.5.6計算機(jī)病毒的清除清除病毒的前提條件是已經(jīng)正確識別出系統(tǒng)帶有病毒的類型，如果判斷錯誤而盲目地進(jìn)行消毒，則將造成不必要的損失。在這里將介紹通用的病毒清除方法。1．消除引導(dǎo)區(qū)病毒

引導(dǎo)區(qū)病毒在系統(tǒng)啟動時立即裝入內(nèi)存，所以需用干凈的DOS或引導(dǎo)區(qū)去替換。2．操作系統(tǒng)病毒首先關(guān)掉系統(tǒng)再重新打開，用干凈的DOS引導(dǎo)系統(tǒng)；之后運(yùn)行病毒掃描程序，識別出受感染的文件，用一張寫保護(hù)的原DOS磁盤把受感染的文件原程序重新寫入硬盤即可。3．清除應(yīng)用程序病毒一種方法是用殺毒工具來殺毒，但文件型病毒十分復(fù)雜可能不易查出病毒，那么只好刪除感染病毒的文件。返回7.5.6計算機(jī)病毒的清除清除病毒的前提條件22

7.6計算機(jī)職業(yè)道德與計算機(jī)犯罪

7.6.1計算機(jī)職業(yè)道德計算機(jī)安全技術(shù)的特殊性，決定了從事計算機(jī)安全技術(shù)的人員至少必須具備良好的職業(yè)道德。然而，良好的職業(yè)道德的培養(yǎng)就要通過開展計算機(jī)安全教育來完成。所以搞好計算機(jī)安全教育是增強(qiáng)人們安全意識、提高人員安全素質(zhì)和職業(yè)道德的有效辦法。但教育不是萬能的，必須輔以工作紀(jì)律的約束和管理措施，規(guī)范人員的行為，使其人員具有必要的工作責(zé)任心和不危害他人的公德。7.6.2計算機(jī)犯罪

計算機(jī)犯罪已經(jīng)對國家安全、社會穩(wěn)定、經(jīng)濟(jì)建設(shè)、各單位的日常工作及個人的隱私權(quán)利構(gòu)成了與日俱增的威脅，必將成為未來信息社會主要的犯罪形式之一。1．計算機(jī)犯罪的定義利用計算機(jī)或計算機(jī)知識，造成觸犯有關(guān)法律規(guī)范的效果的行為，稱為計算機(jī)犯罪。返回7.6計算機(jī)職業(yè)道德與計算機(jī)犯罪返回23

7.6計算機(jī)職業(yè)道德與計算機(jī)犯罪2．計算機(jī)犯罪的分類根據(jù)現(xiàn)有的各種計算機(jī)犯罪，可大體劃分為：（1）詐騙其中有貪污、私吞、冒領(lǐng)、盜竊和敲詐等，如修改儲蓄存款開戶日期，侵吞多余利息。（2）竊取、泄露或擴(kuò)散機(jī)密機(jī)密所及可能是軍事、政治、經(jīng)濟(jì)、技術(shù)或個人隱私；侵犯所在則為國家、單位或個人的合法權(quán)益。（3）侵權(quán)、盜用（4）破壞破壞的目的，可以是計算機(jī)資產(chǎn)，也可能是社會。

其實計算機(jī)犯罪還有其它許多形式，這里不一一列舉。

本章結(jié)束返回7.6計算機(jī)職業(yè)道德與計算機(jī)犯罪2．計算機(jī)犯罪的分類本24

第7章計算機(jī)安全技術(shù)本章學(xué)習(xí)目標(biāo)

本章主要講述與計算機(jī)安全有關(guān)的背景知識和防范措施。通過本章學(xué)習(xí)，應(yīng)掌握以下內(nèi)容：

l計算機(jī)系統(tǒng)安全的概念

l信息加密技術(shù)和防御技術(shù)

l虛擬專用網(wǎng)

l計算機(jī)病毒

l計算機(jī)職業(yè)道德和計算機(jī)犯罪第7章計算機(jī)安全技術(shù)本章學(xué)習(xí)目標(biāo)257.1

計算機(jī)系統(tǒng)安全的概念7.2

信息加密技術(shù)7.3

防御技術(shù)7.5

計算機(jī)病毒7.4

虛擬專用網(wǎng)第7章計算機(jī)安全技術(shù)7.6

計算機(jī)職業(yè)道德與計算機(jī)犯罪7.1計算機(jī)系統(tǒng)安全的概念7.2信息加密技術(shù)7.267.1計算機(jī)系統(tǒng)安全的概念

從20世紀(jì)90年代開始，隨著信息時代的到來，計算機(jī)通信被廣泛應(yīng)用，人們對計算機(jī)軟硬件的功能和組成以及各種開發(fā)、維護(hù)工具的了解，對信息重要性的認(rèn)識，都達(dá)到了相當(dāng)高的水平；同時，各種計算機(jī)犯罪事件也頻頻發(fā)生。因此，計算機(jī)安全已經(jīng)成為各國政府和軍隊、機(jī)關(guān)、企事業(yè)單位關(guān)注的熱點，我國也不例外。多年來，我國公安部在國內(nèi)外眾多說法的基礎(chǔ)上，提出了計算機(jī)安全的概念如下：計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)連續(xù)正常運(yùn)行。反過來，計算機(jī)的不安全稱為計算機(jī)危害。對照計算機(jī)安全的概念，計算機(jī)危害的概念就是：計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)未受到保護(hù)，因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運(yùn)行。返回7.1計算機(jī)系統(tǒng)安全的概念返回277.2信息加密技術(shù)

在今天的信息社會里，通信安全保密問題的研究已不僅僅出于軍事、政治和外交上的需要。科學(xué)技術(shù)的研究和發(fā)展及商業(yè)等方面，無一不與信息相關(guān)。由于信息是共享的，信息的擴(kuò)散會產(chǎn)生社會影響，所以保護(hù)信息的安全是信息時代的迫切需要。因此，密碼學(xué)從此也成為一門新的學(xué)科，引起了數(shù)學(xué)家和計算機(jī)科學(xué)工作者日益濃厚的興趣。

l

7.2.1密碼的目的和用途

l

7.2.2基本術(shù)語

l

7.2.3加密方法

l

7.2.4加密標(biāo)準(zhǔn)的必要性

l

7.2.5密碼分析學(xué)

返回7.2信息加密技術(shù)返回28

7.2.1

密碼的目的和用途

信息在傳輸過程中受到的安全威脅，要比信息存儲和處理過程中更大。因為傳輸信息的通信線路難以沿線在實體上防護(hù)。在線路本身并不安全的環(huán)境下，所傳輸信息經(jīng)過加密變換處理而成密碼，是最為有效安全的措施。

1．密碼的目的(1)保護(hù)線路所傳輸信息機(jī)密性。(2)保護(hù)線路所傳輸信息完整性。(3)保護(hù)線路所傳輸信息真實性。

2．密碼的用途(1)局域網(wǎng)絡(luò)中信息保護(hù)。

(2)軟盤信息保護(hù)。

(3)文件保密。

(4)識別真?zhèn)蔚蔫b定保護(hù)

。返回7.2.1密碼的目的和用途29

7.2.2基本術(shù)語密碼技術(shù)的基本思想是偽裝信息，使不是授權(quán)者無法理解它的真正意義。所謂偽裝就是對信息進(jìn)行一組可逆的數(shù)字變換。偽裝前的原始信息稱為明文，偽裝后的信息稱為密文，偽裝的過程成為加密。加密在加密密鑰的控制下進(jìn)行。用于對數(shù)據(jù)加密的一組數(shù)字變換稱為加密算法。發(fā)信者將明文數(shù)據(jù)加密成密文，然后將密文數(shù)據(jù)送入數(shù)據(jù)通信網(wǎng)絡(luò)或存入計算機(jī)文件。授權(quán)的收信者接到密文后，運(yùn)用與加密時相逆的變換，去掉密文的偽裝恢復(fù)出明文，這一過程成為解密。解密在解密密鑰控制下進(jìn)行。用于解密的一組數(shù)字變換稱為解密算法。因為數(shù)據(jù)以密文的形式存儲在計算機(jī)文件中，或在數(shù)據(jù)通信網(wǎng)絡(luò)中傳輸。因此，即使數(shù)據(jù)被不是授權(quán)者非法截獲或因系統(tǒng)故障和操作人員誤操作而造成數(shù)據(jù)泄密，未授權(quán)者也不能真正理解它的真正含義，從而達(dá)到數(shù)據(jù)保密的目的。同樣，未授權(quán)者也不能偽造合理的密文，因而不能篡改數(shù)據(jù)，從而達(dá)到確保數(shù)據(jù)真實性的目的。返回7.2.2基本術(shù)語密碼技術(shù)的307.2.3加密方法從密碼學(xué)誕生開始到現(xiàn)在，產(chǎn)生了許許多多的加密方法。在這里，簡單地介紹一些常用的加密方法。1.置換密碼

2.簡單代替密碼

3.現(xiàn)代密碼體制

4.序列密碼體制

5.分組密碼體制

（1）DES密碼體制。

（2）公鑰密碼體制（RSA加密算法）。返回7.2.3加密方法從317.2.4加密標(biāo)準(zhǔn)的必要性一個公認(rèn)的標(biāo)準(zhǔn)，必然要有公開的知識。加密標(biāo)準(zhǔn)顯然與密碼學(xué)的傳統(tǒng)觀點背道而馳。多少年來人們力圖把加密算法具體實現(xiàn)當(dāng)作—種機(jī)密。顯然，數(shù)據(jù)加密標(biāo)準(zhǔn)就必然要公開算法本身。對此，一個數(shù)據(jù)加密標(biāo)準(zhǔn)的基本要求是：●

它必須有高保密度?！?/p>

它必須有完整說明并易于理解?！?/p>

此算法的安全性，并非建立于算法本身保密性。●

它必須能為所有用戶和制造商所用。●

它必須適合于各種應(yīng)用環(huán)境。●

在電子設(shè)備實現(xiàn)上它必須是經(jīng)濟(jì)和高效。●

它必須經(jīng)得起實際驗證。●它必須與國際有關(guān)標(biāo)準(zhǔn)相兼容。

返回7.2.4加密標(biāo)準(zhǔn)的必要性一個公認(rèn)327.2.5密碼分析學(xué)密碼分析學(xué)是研究在不掌握密鑰的情況下，利用密碼體制的弱點來恢復(fù)明文的一門學(xué)科。對密碼的攻擊主要可分為以下幾種：1．密文攻擊，即竊碼分析者僅僅掌握若干密文。不言而喻，這些密文都是用同一加密算法和密鑰加密的。密碼分析者的任務(wù)是盡可能多地恢復(fù)明文或推算出密鑰。找出密鑰就可以—勞永逸地紉出其它被加密的信息。2．已知明文攻擊。密碼分析者不僅掌握若干的密文，還知道對應(yīng)的明文本身。密碼分析者利用它推出用來加密的密鑰或?qū)С黾用芩惴?。顯然，已知明文攻擊較之唯密文攻擊有更強(qiáng)的攻擊力，掌握的關(guān)于該密碼的信息也更多。3．選擇明文攻擊。密碼分析者不僅獲得若干密文及其相應(yīng)的明文，而且掌握的明文還加以挑選。明文是經(jīng)過選擇的，必然提供了更多可供破譯的信息，攻擊力更強(qiáng)了。

返回7.2.5密碼分析學(xué)密碼分析學(xué)是研究33

7.3防御技術(shù)

縱觀目前現(xiàn)有的計算機(jī)安全技術(shù)，如端到端的加密、解密、密鑰的管理等都已經(jīng)能夠保障用戶端到端的安全傳輸。但對于Internet這樣一個全球性的大網(wǎng)絡(luò)，由于用戶的數(shù)量太大，使得為每一個用戶都維護(hù)一個很好的安全保障系統(tǒng)比較困難，對于一個用戶集團(tuán)，希望用戶子網(wǎng)內(nèi)部的成員進(jìn)入Internet網(wǎng)絡(luò)時，受到某種約束，同時也能夠保護(hù)資源不會流失，于是在計算機(jī)的防御技術(shù)中提出了“防火墻”的概念，既在用戶子網(wǎng)中將所有用戶安全控制交給一個獨立的設(shè)備來進(jìn)行，使其資源不受網(wǎng)絡(luò)外的環(huán)境影響。l

7.3.1防火墻的概念l

7.3.2防火墻技術(shù)l

7.3.3防火墻的結(jié)構(gòu)

返回7.3防御技術(shù)347.3.1防火墻的概念防火墻的核心思想是在不安全的Internet環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。其目的就是保護(hù)一個網(wǎng)絡(luò)不受另一個網(wǎng)絡(luò)的攻擊。通常說來，被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的．而所要防備的網(wǎng)絡(luò)則是一個外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的。因此，對于破壞安全的網(wǎng)上攻擊，應(yīng)采取的防御保護(hù)措施就包括兩點：一是拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)；二是允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。防火墻的基本原理就源于這兩個思想，可以把防火墻想象成一對開關(guān)，一個開關(guān)用來阻止傳輸，不允許數(shù)據(jù)分組流入、流出；另一個開關(guān)用來允許傳輸，讓數(shù)據(jù)在兩個網(wǎng)絡(luò)之間自由通過。所以，防火墻是一種獲取安全性的方法，是保障網(wǎng)絡(luò)安全的手段，它有助于建立一個比較廣泛的網(wǎng)絡(luò)安全性策略，并通過網(wǎng)絡(luò)配置、主機(jī)系統(tǒng)、路由器以及諸如身份證等手段來實現(xiàn)該安全策略，以便確定允許提供的服務(wù)和訪問。

返回7.3.1防火墻的概念防火墻的核心思想是35

7.3.2防火墻技術(shù)1.設(shè)計策略防火墻系統(tǒng)的設(shè)計、安裝和使用直接受到兩個層次的網(wǎng)絡(luò)策略的影響。高層次的策略特定于一個出口，稱為網(wǎng)絡(luò)訪問策略。它定義保護(hù)網(wǎng)絡(luò)中哪些服務(wù)是允許的，哪些服務(wù)是明確禁止的，這些服務(wù)是怎樣被使用的以及對這個策略進(jìn)行例外處理的條件。低層次的策略描述了防火墻實施中實際上是怎樣體現(xiàn)實施高層次的策略，即怎樣去限制訪問和過濾服務(wù)，稱為設(shè)計策略。2.過濾技術(shù)包過濾用于控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)，哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。IP包過濾通常是由包過濾路由器來完成，這種路由器除了完成通常情況下的路徑選擇外，還可以根據(jù)路由器中的包過濾規(guī)則做出是否允許該包通過的決定。3.應(yīng)用網(wǎng)關(guān)為了克服包過濾路由器的弱點，防火墻需要使用一些應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾網(wǎng)絡(luò)所提供服務(wù)的連接，這種服務(wù)有時稱為代理服務(wù)（Proxyservice），而運(yùn)行代理服務(wù)的主機(jī)稱為應(yīng)用網(wǎng)關(guān)。返回7.3.2防火墻技術(shù)1.設(shè)計策略返367.3.3防火墻的結(jié)構(gòu)1.包過濾防火墻包過濾防火墻在小型、不復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)中最常使用，也非常容易安裝。2.雙宿主網(wǎng)關(guān)防火墻

雙宿主網(wǎng)關(guān)防火墻由一個帶有兩個網(wǎng)絡(luò)接口的主機(jī)系統(tǒng)組成。3.過濾子網(wǎng)防火墻

過濾子網(wǎng)防火墻能在一個分割的系統(tǒng)上放置防火墻的每一個組件。4.過濾主機(jī)防火墻過濾主機(jī)防火墻由一個包過濾路由器和一個位于路由器旁邊保護(hù)子網(wǎng)的應(yīng)用網(wǎng)關(guān)組成。5.調(diào)制解調(diào)器池

很多站點允許分布在各地點的調(diào)制解調(diào)器通過站點進(jìn)行撥號訪問，這是一個潛在的“后門”，它能使防火墻提供的防護(hù)失效。處理調(diào)制解調(diào)器的一種較好方法就是把它們集中在一個調(diào)制解調(diào)器池中，然后撥號用戶先連接到終端服務(wù)器上后通過它進(jìn)行安全連接到其它主機(jī)系統(tǒng)，這里的終端服務(wù)器是指把調(diào)制解調(diào)器連接到網(wǎng)絡(luò)的專用計算機(jī)。

返回7.3.3防火墻的結(jié)構(gòu)1.包過濾防火墻返回377.4虛擬專用網(wǎng)

隨著信息安全問題，尤其是計算機(jī)安全問題越來越突出，各大公司、企事業(yè)單位都將保護(hù)計算機(jī)安全作為首要任務(wù)。但是，對于擁有眾多地理分散分支機(jī)構(gòu)的大型企業(yè)和公司，建立物理上的專用網(wǎng)非常困難，它們必須通過公眾網(wǎng)進(jìn)行聯(lián)系，這就要求企業(yè)選擇基于電信服務(wù)商提供的公眾網(wǎng)建立虛擬的專用網(wǎng)。l

7.4.1虛擬專用網(wǎng)的定義l

7.4.2虛擬專用網(wǎng)的作用返回7.4虛擬專用網(wǎng)隨著信息安全問38

虛擬專用網(wǎng)（VPN—VirtualPrivateNetwork）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬專用網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如INTERNET等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中進(jìn)行傳輸。

7.4.1虛擬專用網(wǎng)的定義7.4虛擬專用網(wǎng)

返回虛擬專用網(wǎng)（VPN—Virtual39

基于Internet建立的VPN的功能有:通過隧道或虛擬電路實現(xiàn)網(wǎng)絡(luò)互聯(lián)；支持用戶安全管理；能夠進(jìn)行網(wǎng)絡(luò)監(jiān)控、故障診斷。根據(jù)不同功能的需要，可以構(gòu)造不同類型的VPN。不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用也是不一樣的。目前主要有三種結(jié)構(gòu)的VPN：在公司總部和它的分支機(jī)構(gòu)之間建立的VPN，稱為IntranetVPN；在公司總部和遠(yuǎn)地員工或旅行中的員工之間建立的VPN，稱為遠(yuǎn)程訪問VPN；在公司和商業(yè)伙伴、顧客、供應(yīng)商、投資者之間建立的VPN，稱為外部網(wǎng)VPN。

7.4.2虛擬專用網(wǎng)的作用7.4虛擬專用網(wǎng)

返回基于Internet建立的VPN的功能有:通過隧40

7.5計算機(jī)病毒

7.5.1計算機(jī)病毒的定義計算機(jī)病毒是一種“計算機(jī)程序”，它不僅能破壞計算機(jī)系統(tǒng)，而且還能夠傳染到其他系統(tǒng)。傳染是指修改其它程序，并把自身或變種復(fù)制進(jìn)去的這一過程。病毒通常隱藏在其它看起來無害的程序中，能生成自身的拷貝并將其插入其它的程序中，執(zhí)行惡意的行動。

簡單地說，計算機(jī)病毒就是一小段程序或指令集合，它能將自身拷貝或覆蓋在其它較大的宿主程序上、并取得程序執(zhí)行時的控制權(quán)。當(dāng)宿主程序執(zhí)行時，病毒便被啟動并繼續(xù)其傳染工作，當(dāng)某些持定條件符合時，病毒便會發(fā)作，破壞數(shù)據(jù)與資料，危害計算機(jī)系統(tǒng)。

返回7.5計算機(jī)病毒7.5.1417.5.2計算機(jī)病毒的產(chǎn)生計算機(jī)病毒的產(chǎn)生是以計算機(jī)技術(shù)迅猛發(fā)展為背景的，它是一種計算機(jī)犯罪的新的演化形式，其根本的技術(shù)原因是計算機(jī)系統(tǒng)軟硬件的脆弱性。同時，計算機(jī)的普及應(yīng)用給計算機(jī)病毒的傳播提供了廣闊的天地，特別是Internet的廣泛應(yīng)用，更促進(jìn)了計算機(jī)病毒的空前活躍。計算機(jī)病毒是以如此秘密的方式潛入計算機(jī)這一領(lǐng)域的，以致于沒有人能準(zhǔn)確說出它產(chǎn)生的具體時間，那么是誰首先編制了這種令人頭痛的東西就更不得而知了。數(shù)學(xué)家馮·諾伊曼在1940年提出了復(fù)雜機(jī)械的自動復(fù)制理論，這也許就是計算機(jī)病毒產(chǎn)生的最早的理論基礎(chǔ)吧。隨后在1950年，貝爾實驗室和施樂公司的專家們開發(fā)出了CoreWar的游戲程序，它能攻擊其他程序。進(jìn)入1960年Coway設(shè)計的“活的”程序可以根據(jù)自身環(huán)境的變化而變化。此后，美國的Unix系統(tǒng)專家KenTbompson在一次演講中把程序復(fù)制理論的秘密公之于眾，到1984年，F(xiàn)redCohen博士最終證明了計算機(jī)病毒傳染的可能性，并在1987年的著作中做出了論證，計算機(jī)病毒才開始受到世界范圍內(nèi)的普遍重視。

返回7.5.2計算機(jī)病毒的產(chǎn)生計算機(jī)病毒的產(chǎn)生是以427.5.3計算機(jī)病毒的來源渠道計算機(jī)病毒的來源渠道主要從以下5個方面：1．盜版軟件盜版軟件在互相拷貝流傳的過程中，根本無法保證不會被病毒所寄生。2．公開軟件無論是完全開放的公開軟件或是半開放的共享軟件都是容許人們隨便拷貝的。3．電子公告欄在使用電子公告欄（BBS）時要注意，由于任何人都可以隨便地從公告欄載上或錄下文件，所以根本無法保證錄下來的程序是否有病毒寄生。4．通訊與網(wǎng)絡(luò)與電子公告欄的情況相似，我們無