計(jì)算機(jī)文化基礎(chǔ)第10章信息安全

第十章

信息安全

——大學(xué)IT——第10章信息安全10.1信息安全概述10.2防火墻10.3計(jì)算機(jī)病毒10.4電子商務(wù)和電子政務(wù)安全10.5信息安全政策與法規(guī)1/12/20231——大學(xué)IT——10.1信息安全概述

近年來，我國(guó)信息化進(jìn)程不斷推進(jìn)，信息系統(tǒng)在政府和大型行業(yè)、企業(yè)組織中得到了日益廣泛的應(yīng)用。隨著各部門對(duì)其信息系統(tǒng)依賴性的不斷增長(zhǎng)，信息系統(tǒng)的脆弱性日益暴露。由于信息系統(tǒng)遭受攻擊使得其運(yùn)轉(zhuǎn)及運(yùn)營(yíng)受負(fù)面影響事件不斷出現(xiàn)，信息系統(tǒng)安全管理已經(jīng)成為政府、行業(yè)、企業(yè)管理越來越關(guān)鍵的部分，信息系統(tǒng)安全建設(shè)成為信息化建設(shè)所面臨的一個(gè)迫切問題。

1/12/20232——大學(xué)IT——信息安全概述信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。國(guó)際標(biāo)準(zhǔn)化組織已明確將信息安全定義為“信息的完整性、可用性、保密性和可靠性”。從技術(shù)角度來講，信息安全的技術(shù)特征主要表現(xiàn)在系統(tǒng)的可靠性、可用性、保密性、完整性、確認(rèn)性、可控性等方面。同時(shí)，信息安全的綜合性又表現(xiàn)在，它是一門以人為主，涉及技術(shù)、管理和法律的綜合學(xué)科，同時(shí)還與個(gè)人道德、意識(shí)等方面緊密相關(guān)。1/12/20233——大學(xué)IT——10.1某些方面信息安全概述10.1.1信息安全意識(shí)10.1.2網(wǎng)絡(luò)禮儀與道德10.1.3計(jì)算機(jī)犯罪10.1.3信息安全技術(shù)

返回1/12/20234——大學(xué)IT——10.1.1信息安全意識(shí)1．建立對(duì)信息安全的正確認(rèn)識(shí)

當(dāng)今，信息產(chǎn)業(yè)的規(guī)模越來越大，網(wǎng)絡(luò)基礎(chǔ)設(shè)施越來越深入到社會(huì)的各個(gè)方面、各個(gè)領(lǐng)域，信息技術(shù)應(yīng)用已成為我們工作、生活、學(xué)習(xí)、國(guó)家治理和其他各個(gè)方面必不可少的關(guān)鍵的組件，信息安全的重要性也日益突出，這關(guān)系到企業(yè)、政府的業(yè)務(wù)能否持續(xù)、穩(wěn)定地運(yùn)行，關(guān)系到個(gè)人安全的保證，也關(guān)系到我們國(guó)家安全的保證。所以信息安全是我們國(guó)家信息化戰(zhàn)略中一個(gè)十分重要的方面。1/12/20235——大學(xué)IT——信息安全意識(shí)信息安全包括四大要素：技術(shù)、制度、流程和人。合適的標(biāo)準(zhǔn)、完善的程序、優(yōu)秀的執(zhí)行團(tuán)隊(duì)，是一個(gè)企業(yè)單位信息化安全的重要保障。技術(shù)只是基礎(chǔ)保障，技術(shù)不等于全部，很多問題不是裝一個(gè)防火墻或者一個(gè)IDS就能解決的。制定完善的安全制度很重要，而如何執(zhí)行這個(gè)制度更為重要。如下信息安全公式能清楚地描述出他們之間關(guān)系：信息安全＝先進(jìn)技術(shù)＋防患意識(shí)＋完美流程＋嚴(yán)格制度＋優(yōu)秀執(zhí)行團(tuán)隊(duì)＋法律保障2.掌握信息安全的基本要素和慣例1/12/20236——大學(xué)IT——3．清楚可能面臨的威脅和風(fēng)險(xiǎn)信息安全所面臨的威脅來自于很多方面。這些威脅大致可分為自然威脅和人為威脅。自然威脅指那些來自于自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備自然老化等的威脅。自然威脅往往帶有不可抗拒性，因此這里主要討論人為威脅。信息安全意識(shí)1/12/20237——大學(xué)IT——1）人為攻擊人為攻擊是指通過攻擊系統(tǒng)的弱點(diǎn)，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，使得網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成經(jīng)濟(jì)上和政治上不可估量的損失。人為攻擊又分為偶然事故和惡意攻擊兩種。偶然事故雖然沒有明顯的惡意企圖和目的，但它仍會(huì)使信息受到嚴(yán)重破壞。惡意攻擊是有目的的破壞。信息安全意識(shí)信息安全所面臨的人為威脅1/12/20238——大學(xué)IT——人為攻擊—惡意攻擊惡意攻擊又分為被動(dòng)攻擊和主動(dòng)攻擊兩種。（1）被動(dòng)攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下，進(jìn)行偵收、截獲、竊取、破譯和業(yè)務(wù)流量分析及電磁泄露等。（2）主動(dòng)攻擊是指以各種方式有選擇地破壞信息，如修改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。被動(dòng)攻擊因不對(duì)傳輸?shù)男畔⒆鋈魏涡薷?，因而是難以檢測(cè)的，所以抗擊這種攻擊的重點(diǎn)在于預(yù)防而非檢測(cè)。絕對(duì)防止主動(dòng)攻擊是十分困難的，因?yàn)樾枰S時(shí)隨地對(duì)通信設(shè)備和通信線路進(jìn)行物理保護(hù)，因此抗擊主動(dòng)攻擊的主要措施是檢測(cè)，以及對(duì)攻擊造成的破壞進(jìn)行恢復(fù)。信息安全意識(shí)1/12/20239——大學(xué)IT——信息安全所面臨的人為威脅2）安全缺陷如果網(wǎng)絡(luò)信息系統(tǒng)本身沒有任何安全缺陷，那么人為攻擊者即使本事再大也不會(huì)對(duì)網(wǎng)絡(luò)信息安全構(gòu)成威脅。但是，遺憾的是現(xiàn)在所有的網(wǎng)絡(luò)信息系統(tǒng)都不可避免地存在著一些安全缺陷。有些安全缺陷可以通過努力加以避免或者改進(jìn)，但有些安全缺陷是各種折衷必須付出的代價(jià)。信息安全意識(shí)1/12/202310——大學(xué)IT——信息安全所面臨的人為威脅3）軟件漏洞由于軟件程序的復(fù)雜性和編程的多樣性，在網(wǎng)絡(luò)信息系統(tǒng)的軟件中很容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞。軟件漏洞同樣會(huì)影響網(wǎng)絡(luò)信息的安全。

信息安全意識(shí)1/12/202311——大學(xué)IT——一些有代表性的軟件安全漏洞（1）陷門：陷門是在程序開發(fā)時(shí)插入的一小段程序，目的可能是測(cè)試這個(gè)模塊，或是為了連接將來的更改和升級(jí)程序，也可能是為了將來發(fā)生故障后，為程序員提供方便。通常應(yīng)在程序開發(fā)后期去掉這些陷門，但是由于各種原因，陷門可能被保留，一旦被利用將會(huì)帶來嚴(yán)重的后果。（2）數(shù)據(jù)庫(kù)的安全漏洞：某些數(shù)據(jù)庫(kù)將原始數(shù)據(jù)以明文形式存儲(chǔ)，這是不夠安全的。實(shí)際上，入侵者可以從計(jì)算機(jī)系統(tǒng)的內(nèi)存中導(dǎo)出所需的信息，或者采用某種方式進(jìn)入系統(tǒng)，從系統(tǒng)的后備存儲(chǔ)器上竊取數(shù)據(jù)或篡改數(shù)據(jù)，因此，必要時(shí)應(yīng)該對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密保護(hù)。信息安全意識(shí)1/12/202312——大學(xué)IT——

（3）TCP/IP協(xié)議的安全漏洞：TCP/IP協(xié)議在設(shè)計(jì)初期并沒有考慮安全問題?，F(xiàn)在，用戶和網(wǎng)絡(luò)管理員沒有足夠的精力專注于網(wǎng)絡(luò)安全控制，操作系統(tǒng)和應(yīng)用程序越來越復(fù)雜，開發(fā)人員不可能測(cè)試出所有的安全漏洞，因而連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)受到外界的惡意攻擊和竊取的風(fēng)險(xiǎn)越來越大。另外，還可能存在操作系統(tǒng)的安全漏洞以及網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)、口令設(shè)置等方面的漏洞。信息安全意識(shí)一些有代表性的軟件安全漏洞1/12/202313——大學(xué)IT——一些有代表性的軟件安全漏洞4）結(jié)構(gòu)隱患結(jié)構(gòu)隱患一般指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的隱患和網(wǎng)絡(luò)硬件的安全缺陷。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)本身有可能給網(wǎng)絡(luò)的安全帶來問題。作為網(wǎng)絡(luò)信息系統(tǒng)的軀體，網(wǎng)絡(luò)硬件的安全隱患也是網(wǎng)絡(luò)結(jié)構(gòu)隱患的重要方面?；诟鲊?guó)的不同國(guó)情，信息系統(tǒng)存在的其他安全問題也不盡相同。對(duì)于我國(guó)而言，由于我國(guó)還是一個(gè)發(fā)展中國(guó)家，網(wǎng)絡(luò)信息安全系統(tǒng)除了具有上述普遍存在的安全缺陷之外，還存在因軟、硬件核心技術(shù)掌握在別人手中而造成的技術(shù)被動(dòng)等方面的安全隱患。信息安全意識(shí)1/12/202314——大學(xué)IT——4．養(yǎng)成良好的安全習(xí)慣

1）良好的密碼設(shè)置習(xí)慣

2）網(wǎng)絡(luò)和個(gè)人計(jì)算機(jī)安全

3）電子郵件安全

4）打印機(jī)和其他媒介安全

5）物理安全返回信息安全意識(shí)1/12/202315——大學(xué)IT——10.1.2網(wǎng)絡(luò)禮儀與道德1.網(wǎng)絡(luò)道德概念及涉及內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)道德是用來約束網(wǎng)絡(luò)從業(yè)人員的言行，指導(dǎo)他們的思想的一整套道德規(guī)范。計(jì)算機(jī)網(wǎng)絡(luò)道德可涉及到計(jì)算機(jī)工作人員的思想意識(shí)、服務(wù)態(tài)度、業(yè)務(wù)鉆研、安全意識(shí)、待遇得失及其公共道德等方面。1/12/202316——大學(xué)IT——2.網(wǎng)絡(luò)的發(fā)展對(duì)道德的影響

1）淡化了人們的道德意識(shí)

2）沖擊了現(xiàn)實(shí)的道德規(guī)范

3）導(dǎo)致道德行為的失范1/12/202317——大學(xué)IT——3.網(wǎng)絡(luò)信息安全對(duì)網(wǎng)絡(luò)道德提出新的要求

1）要求人們的道德意識(shí)更加強(qiáng)烈，道德行為更加自主自覺

2）要求網(wǎng)絡(luò)道德既要立足于本國(guó)，又要面向世界

3）要求網(wǎng)絡(luò)道德既要著力于當(dāng)前，又要面向未來1/12/202318——大學(xué)IT——4.加強(qiáng)網(wǎng)絡(luò)道德建設(shè)對(duì)維護(hù)網(wǎng)絡(luò)信息安全的作用

1）網(wǎng)絡(luò)道德可以規(guī)范人們的信息行為

2）網(wǎng)絡(luò)道德可以制約人們的信息行為

3）加強(qiáng)網(wǎng)絡(luò)道德建設(shè)，有利于加快信息安全立法的進(jìn)程

4）加強(qiáng)網(wǎng)絡(luò)道德建設(shè)，有利于發(fā)揮信息安全技術(shù)的作用返回1/12/202319——大學(xué)IT——10.1.3計(jì)算機(jī)犯罪1.計(jì)算機(jī)犯罪的概念所謂計(jì)算機(jī)犯罪，是指行為人以計(jì)算機(jī)作為工具或以計(jì)算機(jī)資產(chǎn)作為攻擊對(duì)象實(shí)施的嚴(yán)重危害社會(huì)的行為。由此可見，計(jì)算機(jī)犯罪包括利用計(jì)算機(jī)實(shí)施的犯罪行為和把計(jì)算機(jī)資產(chǎn)作為攻擊對(duì)象的犯罪行為。1/12/202320——大學(xué)IT——2.計(jì)算機(jī)犯罪的特點(diǎn)

1）犯罪智能化

2）犯罪手段隱蔽

3）跨國(guó)性

4）犯罪目的多樣化

5）犯罪分子低齡化

6）犯罪后果嚴(yán)重1/12/202321——大學(xué)IT——3.計(jì)算機(jī)犯罪的手段

1）制造和傳播計(jì)算機(jī)病毒

2）數(shù)據(jù)欺騙

3）特洛伊木馬

4）意大利香腸戰(zhàn)術(shù)

5）超級(jí)沖殺

6）活動(dòng)天窗

7）邏輯炸彈

8）清理垃圾

9）數(shù)據(jù)泄漏

10）電子嗅探器除了以上作案手段外，還有社交方法，電子欺騙技術(shù)，瀏覽，順手牽羊和對(duì)程序、數(shù)據(jù)集、系統(tǒng)設(shè)備的物理破壞等犯罪手段。1/12/202322——大學(xué)IT——4.黑客黑客一詞源于英文Hacker，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的人。目前黑客已成為一個(gè)廣泛的社會(huì)群體，其主要觀點(diǎn)是：所有信息都應(yīng)該免費(fèi)共享；信息無國(guó)界，任何人都可以在任何時(shí)間地點(diǎn)獲取他認(rèn)為有必要了解的任何信息；通往計(jì)算機(jī)的路不止一條；打破計(jì)算機(jī)集權(quán)；反對(duì)國(guó)家和政府部門對(duì)信息的壟斷和封鎖。黑客的行為會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，甚至?xí)葑優(yōu)榉缸铩?/12/202323——大學(xué)IT——黑客行為特征表現(xiàn)形式

1）惡作劇型

2）隱蔽攻擊型

3）定時(shí)炸彈型

4）制造矛盾型

5）職業(yè)殺手型

6）竊密高手型

7）業(yè)余愛好型1/12/202324——大學(xué)IT——10.1.4信息安全技術(shù)

目前信息安全技術(shù)主要有：密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、病毒與反病毒技術(shù)以及其他安全保密技術(shù)。密碼技術(shù)是網(wǎng)絡(luò)信息安全與保密的核心和關(guān)鍵。通過密碼技術(shù)的變換或編碼，可以將機(jī)密、敏感的消息變換成難以讀懂的亂碼型文字，以此達(dá)到兩個(gè)目的：其一，使不知道如何解密的“黑客”不可能從其截獲的亂碼中得到任何有意義的信息；其二，使“黑客”不可能偽造或篡改任何亂碼型的信息。

1/12/202325——大學(xué)IT——密碼技術(shù)研究密碼技術(shù)的學(xué)科稱為密碼學(xué)。密碼學(xué)包含兩個(gè)分支，即密碼編碼學(xué)和密碼分析學(xué)。前者旨在對(duì)信息進(jìn)行編碼實(shí)現(xiàn)信息隱蔽，后者研究分析破譯密碼的學(xué)問。兩者相互對(duì)立，又相互促進(jìn)。1/12/202326——大學(xué)IT——密碼技術(shù)

采用密碼技術(shù)可以隱蔽和保護(hù)需要發(fā)送的消息，使未授權(quán)者不能提取信息。發(fā)送方要發(fā)送的消息稱為明文，明文被變換成看似無意義的隨機(jī)消息，稱為密文。這種由明文到密文的變換過程稱為加密。其逆過程，即由合法接收者從密文恢復(fù)出明文的過程稱為解密。非法接收者試圖從密文分析出明文的過程稱為破譯。對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則稱為加密算法。對(duì)密文解密時(shí)采用的一組規(guī)則稱為解密算法。加密算法和解密算法是在一組僅有合法用戶知道的秘密信息的控制下進(jìn)行的，該密碼信息稱為密鑰，加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰。1/12/202327——大學(xué)IT——密碼技術(shù)單鑰加密與雙鑰加密傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，或從一個(gè)可以推出另一個(gè)，被稱為單鑰或?qū)ΨQ密碼體制。若加密密鑰和解密密鑰不相同，從一個(gè)難以推出另一個(gè)，則稱為雙鑰或非對(duì)稱密碼體制。單鑰密碼的優(yōu)點(diǎn)是加、解密速度快。缺點(diǎn)是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，密鑰的管理成為一個(gè)難點(diǎn)；無法解決消息確認(rèn)問題；缺乏自動(dòng)檢測(cè)密鑰泄露的能力。1/12/202328——大學(xué)IT——雙鑰加密采用雙鑰體制的每個(gè)用戶都有一對(duì)選定的密鑰：一個(gè)是可以公開的，可以像電話號(hào)碼一樣進(jìn)行注冊(cè)公布；另一個(gè)則是秘密的，因此雙鑰體制又稱作公鑰體制。由于雙鑰密碼體制的加密和解密不同，且能公開加密密鑰，而僅需保密解密密鑰，所以雙鑰密碼不存在密鑰管理問題。雙鑰密碼還有一個(gè)優(yōu)點(diǎn)是可以擁有數(shù)字簽名等新功能。雙鑰密碼的缺點(diǎn)是雙鑰密碼算法一般比較復(fù)雜，加、解密速度慢。1/12/202329——大學(xué)IT——著名密碼算法介紹

（1）分組密碼算法數(shù)據(jù)加密標(biāo)準(zhǔn)是迄今世界上最為廣泛使用和流行的一種分組密碼算法。它的產(chǎn)生被認(rèn)為是20世紀(jì)70年代信息加密技術(shù)發(fā)展史上的兩大里程碑之一。

DES是一種單鑰密碼算法，它是一種典型的按分組方式工作的密碼。其基本思想是將二進(jìn)制序列的明文分成每64位一組，用長(zhǎng)為56位的密鑰對(duì)其進(jìn)行16輪代換和換位加密，最后形成密文。但是，最近對(duì)DES的破譯取得了突破性的進(jìn)展。破譯者能夠用窮舉法借助網(wǎng)絡(luò)計(jì)算在短短的二十余小時(shí)就攻破56位的DES，所以，在堅(jiān)定的破譯者面前，可以說DES已經(jīng)不再安全了。其他的分組密碼算法還有IDEA密碼算法、LOKI算法、Rijndael算法等。1/12/202330——大學(xué)IT——（2）公鑰密碼算法最著名的公鑰密碼體制是RSA算法。

RSA算法是一種用數(shù)論構(gòu)造的、也是迄今理論上最為成熟完善的一種公鑰密碼體制，該體制已得到廣泛的應(yīng)用。它的安全性基于“大數(shù)分解和素性檢測(cè)”這一已知的著名數(shù)論難題基礎(chǔ)，而體制的構(gòu)造則基于數(shù)學(xué)上的Euler定理。但是，由于RSA涉及高次冪運(yùn)算，用軟件實(shí)現(xiàn)速度較慢，尤其是在加密大量數(shù)據(jù)時(shí)，所以，一般用硬件來實(shí)現(xiàn)RSA。RSA中的加、解密變換是可交換的互逆變換。RSA還可用來做數(shù)字簽名，從而完成對(duì)用戶的身份認(rèn)證。著名的公鑰密碼算法還有Diffie-Hellman密鑰分配密碼體制、Elgamal公鑰體制、Knapsack體制等。1/12/202331——大學(xué)IT——2.防火墻技術(shù)當(dāng)構(gòu)筑和使用木質(zhì)結(jié)構(gòu)房屋的時(shí)侯，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱為防火墻。在今天的電子信息世界里，人們借助了這個(gè)概念，使用防火墻來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵，不過這些防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。在本章第二節(jié)中將詳細(xì)學(xué)習(xí)防火墻的有關(guān)知識(shí)。1/12/202332——大學(xué)IT——3.虛擬專用網(wǎng)（VPN）技術(shù)虛擬專網(wǎng)是虛擬私有網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）的簡(jiǎn)稱，它是一種利用公用網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)。目前，能夠用于構(gòu)建VPN的公用網(wǎng)絡(luò)包括Internet和服務(wù)提供商（ISP）所提供的DDN專線（DigitalDataNetworkLeasedLine）、幀中繼（FrameRelay）、ATM等，構(gòu)建在這些公共網(wǎng)絡(luò)上的VPN將給企業(yè)提供集安全性、可靠性和可管理性于一身的私有專用網(wǎng)絡(luò)?！疤摂M”的概念是相對(duì)傳統(tǒng)私有專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對(duì)于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號(hào)和專線連接來實(shí)現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴。1/12/202333——大學(xué)IT——虛擬專用網(wǎng)（VPN）1）VPN的三種類型

VPN有三種類型，即：訪問虛擬專網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）、擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN）。2）VPN的優(yōu)點(diǎn)對(duì)ISP而言，通過向企業(yè)提供VPN這種增值服務(wù)，可以與企業(yè)建立更加緊密的長(zhǎng)期合作關(guān)系，同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。1/12/202334——大學(xué)IT——4．病毒與反病毒技術(shù)計(jì)算機(jī)病毒的發(fā)展歷史悠久,從20世紀(jì)80年代中后期廣泛傳播開來至今，據(jù)統(tǒng)計(jì)世界上已存在的計(jì)算機(jī)病毒有5000余種，并且每月以平均幾十種的速度增加。計(jì)算機(jī)病毒是具有自我復(fù)制能力的計(jì)算機(jī)程序，它能影響計(jì)算機(jī)軟、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確性與完整性，造成計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)癱瘓，給人們的經(jīng)濟(jì)和社會(huì)生活造成巨大的損失并且成上升的趨勢(shì)。計(jì)算機(jī)病毒的危害不言而喻，人類面臨這一世界性的公害采取了許多行之有效的措施：如加強(qiáng)教育和立法，從產(chǎn)生病毒源頭上杜絕病毒；加強(qiáng)反病毒技術(shù)的研究，從技術(shù)上解決病毒傳播和發(fā)作。本章第三節(jié)將深入分析病毒的原理與特點(diǎn)。1/12/202335——大學(xué)IT——5.其他安全與保密技術(shù)1）實(shí)體及硬件安全技術(shù)實(shí)體及硬件安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（包括電磁污染等）破壞的措施和過程。實(shí)體安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的前提，如果實(shí)體安全得不到保證，則整個(gè)系統(tǒng)就失去了正常工作的基本環(huán)境。另外，在計(jì)算機(jī)系統(tǒng)的故障現(xiàn)象中，硬件的故障也占到了很大的比例。正確分析故障原因，快速排除故障，可以避免不必要的故障檢測(cè)工作，使系統(tǒng)得以正常運(yùn)行。1/12/202336——大學(xué)IT——

數(shù)據(jù)庫(kù)系統(tǒng)作為信息的聚集體，是計(jì)算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、國(guó)家安全。因此，如何有效地保證數(shù)據(jù)庫(kù)系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課題之一。數(shù)據(jù)庫(kù)系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān)，從廣義上講，數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可以劃分為三個(gè)層次：（1）網(wǎng)絡(luò)系統(tǒng)層次（2）宿主操作系統(tǒng)層次（3）數(shù)據(jù)庫(kù)管理系統(tǒng)層次2）數(shù)據(jù)庫(kù)安全技術(shù)1/12/202337——大學(xué)IT——10.2防火墻防火墻是近年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的訪問控制技術(shù)。它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上，通過建立起網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋通過外部網(wǎng)絡(luò)的入侵。

1/12/202338——大學(xué)IT——10.2防火墻10.2.1防火墻的概念10.2.2防火墻的類型10.2.3防火墻的體系結(jié)構(gòu)返回1/12/202339——大學(xué)IT——10.2.1防火墻的概念防火墻是用于在企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)之間實(shí)施安全策略的一個(gè)系統(tǒng)或一組系統(tǒng)。它決定網(wǎng)絡(luò)內(nèi)部服務(wù)中哪些可被外界訪問，外界的哪些人可以訪問哪些內(nèi)部服務(wù)，同時(shí)還決定內(nèi)部人員可以訪問哪些外部服務(wù)。所有來自和去往因特網(wǎng)的業(yè)務(wù)流都必須接受防火墻的檢查。防火墻必須只允許授權(quán)的業(yè)務(wù)流通過，并且防火墻本身也必須能夠抵抗?jié)B透攻擊，因?yàn)楣粽咭坏┩黄苹蚶@過防火墻系統(tǒng)，防火墻就不能提供任何保護(hù)了。1/12/202340——大學(xué)IT——1.

防火墻的基本功能一個(gè)有效的防火墻應(yīng)該能夠確保：所有從Internet流出或流入的信息都將經(jīng)過防火墻；所有流經(jīng)防火墻的信息都應(yīng)接受檢查。設(shè)置防火墻的目的是在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。從總體上看，防火墻應(yīng)具有如下基本功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

1/12/202341——大學(xué)IT——2.防火墻存在的缺陷防火墻可能存在如下一些缺陷：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻不能防止感染了病毒的軟件或文件的傳輸；防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。

返回1/12/202342——大學(xué)IT——10.2.2防火墻的類型按照防火墻保護(hù)網(wǎng)絡(luò)使用方法的不同，可將其分為三種類型：

1）網(wǎng)絡(luò)層防火墻

2）應(yīng)用層防火墻

3）鏈路層防火墻返回1/12/202343——大學(xué)IT——10.2.3防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)多種多樣。當(dāng)前流行的體系結(jié)構(gòu)主要有三種：

1）雙宿網(wǎng)關(guān)

2）屏蔽主機(jī)

3）屏蔽子網(wǎng)返回1/12/202344——大學(xué)IT——10.3計(jì)算機(jī)病毒計(jì)算機(jī)病毒（Virus）是一組人為設(shè)計(jì)的程序，這些程序侵入到計(jì)算機(jī)系統(tǒng)中，通過自我復(fù)制來傳播，滿足一定條件即被激活，從而給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種程序的活動(dòng)方式與生物學(xué)上的病毒相似，所以被稱為計(jì)算機(jī)“病毒”。現(xiàn)在的計(jì)算機(jī)病毒已經(jīng)不單單是計(jì)算機(jī)學(xué)術(shù)問題，而成為一個(gè)嚴(yán)重的社會(huì)問題。1/12/202345——大學(xué)IT——計(jì)算機(jī)病毒10.3.1病毒的定義與特點(diǎn)10.3.2病毒的傳播途徑10.3.3病毒的類型10.3.4幾種常見的計(jì)算機(jī)病毒10.3.5病毒的預(yù)防10.3.6病毒的清除返回1/12/202346——大學(xué)IT——10.3.1病毒的定義與特點(diǎn)

1994年出臺(tái)的《中華人民共和國(guó)計(jì)算機(jī)安全保護(hù)條例》對(duì)病毒的定義是：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。返回1/12/202347——大學(xué)IT——10.3.1病毒的定義與特點(diǎn)計(jì)算機(jī)病毒具有如下特點(diǎn)：

1）可執(zhí)行性

2）破壞性

3）傳染性

4）潛伏性

5）針對(duì)性

6）衍生性

7）抗反病毒軟件性1/12/202348——大學(xué)IT——10.3.2病毒的傳播途徑

（1）通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這些設(shè)備通常有計(jì)算機(jī)的專用ASIC芯片和硬盤等。這種病毒雖然極少，但破壞力卻極強(qiáng)，目前沒有較好的監(jiān)測(cè)手段。（2）通過移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行傳播，這些設(shè)備包括軟盤、優(yōu)盤、移動(dòng)硬盤等。光盤使用不當(dāng)，也會(huì)成為計(jì)算機(jī)病毒傳播和寄生的“溫床”。（3）通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。傳統(tǒng)的計(jì)算機(jī)病毒可以隨著正常文件通過網(wǎng)絡(luò)進(jìn)入一個(gè)又一個(gè)系統(tǒng)，而新型的病毒不需要通過宿主程序，便可以獨(dú)立存在而傳播千里。毫無疑問，網(wǎng)絡(luò)是目前病毒傳播的首要途徑，從網(wǎng)上下載文件、瀏覽網(wǎng)頁、收看電子郵件等，都有可能會(huì)中毒。（4）通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通道傳播。比如最近發(fā)現(xiàn)的QQ連發(fā)器病毒，能夠通過QQ這種點(diǎn)對(duì)點(diǎn)的聊天程序進(jìn)行傳播。返回1/12/202349——大學(xué)IT——10.3.3病毒的類型

計(jì)算機(jī)病毒的分類方法很多，微機(jī)上的計(jì)算機(jī)病毒通?？煞譃橐龑?dǎo)區(qū)型、文件型、混合型和宏病毒等四類。引導(dǎo)區(qū)型病毒主要通過軟盤在操作系統(tǒng)中傳播，感染軟盤的引導(dǎo)區(qū)。文件型病毒是寄生病毒，運(yùn)行在計(jì)算機(jī)存儲(chǔ)器中，通常感染擴(kuò)展名為.COM、.EXE、.SYS等類型的文件?；旌闲筒《揪哂幸龑?dǎo)區(qū)型病毒和文件型病毒兩者的特點(diǎn)。宏病毒寄存在Office文檔上，影響對(duì)文檔的各種操作。1/12/202350——大學(xué)IT——10.3.4幾種常見的計(jì)算機(jī)病毒1.蠕蟲病毒蠕蟲病毒（Worm）是一類常見的計(jì)算機(jī)病毒，源自第一種在網(wǎng)絡(luò)上傳播的病毒。蠕蟲病毒的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。2003年的“沖擊波”病毒、2004年的“震蕩波”病毒、2005年上半年的“性感烤雞”病毒都屬于蠕蟲病毒。近幾年危害很大的“尼姆亞”病毒也是蠕蟲病毒的一種。蠕蟲病毒的一般防治方法是：使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件，并及時(shí)更新病毒庫(kù)，同時(shí)注意不要輕易打開不熟悉的郵件附件。返回1/12/202351——大學(xué)IT——木馬病毒源自古希臘特洛伊戰(zhàn)爭(zhēng)中著名的“木馬計(jì)”而得名。木馬病毒的特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息。一個(gè)完整的“木馬”程序包含了兩部分：“服務(wù)器”和“控制器”。木馬病毒的傳播方式主要有兩種：一種是通過E-mail，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。對(duì)于木馬病毒防范措施主要有：用戶提高警惕，不下載和運(yùn)行來歷不明的程序，對(duì)于不明來歷的郵件附件也不要隨意打開。2.木馬病毒1/12/202352——大學(xué)IT——“熊貓燒香”其實(shí)是一種蠕蟲病毒的變種，是蠕蟲和木馬的結(jié)合體，而且是經(jīng)過多次變種而來的。由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖標(biāo)，所以被稱為“熊貓燒香”病毒。用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞、瀏覽器會(huì)莫名其妙地開啟或關(guān)閉等現(xiàn)象。同時(shí)，該病毒的某些變種可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用。3.熊貓燒香病毒1/12/202353——大學(xué)IT——熊貓病毒該病毒主要通過瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動(dòng)存儲(chǔ)設(shè)備（如U盤）等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險(xiǎn)系數(shù)較高，而通過Web和移動(dòng)存儲(chǔ)感染的風(fēng)險(xiǎn)相對(duì)較低。該病毒會(huì)自行啟動(dòng)安裝，生成注冊(cè)列表和病毒文件。對(duì)于“熊貓燒香”病毒的防范措施有：加強(qiáng)基本的網(wǎng)絡(luò)安全防范知識(shí)，培養(yǎng)良好的上網(wǎng)習(xí)慣；及時(shí)更新系統(tǒng)補(bǔ)??；為系統(tǒng)管理賬戶設(shè)置復(fù)雜無規(guī)律的密碼；關(guān)掉一些不需要卻存在安全隱患（如139，445等）的端口；同時(shí)關(guān)閉非系統(tǒng)必須的“自動(dòng)播放”功能等。1/12/202354——大學(xué)IT——預(yù)防計(jì)算機(jī)病毒，應(yīng)該從管理和技術(shù)兩方面進(jìn)行。

1）從管理上預(yù)防病毒計(jì)算機(jī)病毒的傳染是通過一定途徑來實(shí)現(xiàn)的，為此必須重視制定措施、法規(guī)，加強(qiáng)職業(yè)道德教育，不得傳播更不能制造病毒。另外，還應(yīng)采取一些有效方法來預(yù)防和抑制病毒的傳染。10.3.5病毒的預(yù)防1/12/202355——大學(xué)IT——從管理上預(yù)防病毒（1）謹(jǐn)慎地使用公用軟件或硬件。（2）任何新使用的軟件或硬件（如磁盤）必須先檢查。（3）定期檢測(cè)計(jì)算機(jī)上的磁盤和文件并及時(shí)消除病毒。（4）對(duì)系統(tǒng)中的數(shù)據(jù)和文件要定期進(jìn)行備份。（5）對(duì)所有系統(tǒng)盤和文件等關(guān)鍵數(shù)據(jù)要進(jìn)行寫保護(hù)。1/12/202356——大學(xué)IT——從技術(shù)上對(duì)病毒的預(yù)防有硬件保護(hù)和軟件預(yù)防兩種方法。任何計(jì)算機(jī)病毒對(duì)系統(tǒng)的入侵都是利用RAM提供的自由空間及操作系統(tǒng)所提供的相應(yīng)的中斷功能來達(dá)到傳染的目的，因此，可以通過增加硬件設(shè)備來保護(hù)系統(tǒng)，此硬件設(shè)備既能監(jiān)視RAM中的常駐程序，又能阻止對(duì)外存儲(chǔ)器的異常寫操作，這樣就能實(shí)現(xiàn)預(yù)防計(jì)算機(jī)病毒的目的。

2）從技術(shù)上預(yù)防病毒1/12/202357——大學(xué)IT——

2）從技術(shù)上預(yù)防病毒軟件預(yù)防方法是使用計(jì)算機(jī)病毒疫苗。計(jì)算機(jī)病毒疫苗是一種可執(zhí)行程序，它能夠監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)發(fā)現(xiàn)某些病毒入侵時(shí)可防止病毒入侵，當(dāng)發(fā)現(xiàn)非法操作時(shí)及時(shí)警告用戶或直接拒絕這種操作，使病毒無法傳播。1/12/202358——大學(xué)IT——10.3.6病毒的清除如果發(fā)現(xiàn)計(jì)算機(jī)感染了病毒，應(yīng)立即清除。通常用人工處理或反病毒軟件方式進(jìn)行清除。人工處理的方法有：用正常的文件覆蓋被病毒感染的文件；刪除被病毒感染的文件；重新格式化磁盤等。這種方法有一定的危險(xiǎn)性，容易造成對(duì)文件的破壞。用反病毒軟件對(duì)病毒進(jìn)行清除是一種較好的方法。常用的反病毒軟件有瑞星、KV、NORTON等。特別需要注意的是，要及時(shí)對(duì)反病毒軟件進(jìn)行升級(jí)更新，才能保持軟件的良好殺毒性能。1/12/202359——大學(xué)IT——10.4電子商務(wù)和電子政務(wù)安全

電子商務(wù)和電子政務(wù)是現(xiàn)代信息技術(shù)、網(wǎng)絡(luò)技術(shù)的應(yīng)用，它們都以計(jì)算機(jī)網(wǎng)絡(luò)為運(yùn)行平臺(tái)，在現(xiàn)代社會(huì)建設(shè)中發(fā)揮著越來越重要的作用。它們綜合利用了通信技術(shù)、網(wǎng)絡(luò)技術(shù)、安全技術(shù)等先進(jìn)技術(shù)，為個(gè)人、企業(yè)和事業(yè)單位以及政府提供便利服務(wù)。1/12/202360——大學(xué)IT——電子商務(wù)和電子政務(wù)安全10.4.1電子商務(wù)安全10.4.2電子政務(wù)安全1/12/202361——大學(xué)IT——10.4.1電子商務(wù)安全1.電子商務(wù)概述電子商務(wù)是指以電子方式進(jìn)行的商品和服務(wù)之生產(chǎn)、分配、市場(chǎng)營(yíng)銷、銷售或交付。隨著Internet的發(fā)展，越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。1/12/202362——大學(xué)IT——電子商務(wù)的安全性要求（1）交易前交易雙方身份的認(rèn)證問題。（2）交易中電子合同的法律效力問題以及完整性保密性問題。（3）交易后電子記錄的證據(jù)力問題。1/12/202363——大學(xué)IT——3.電子商務(wù)采用的主要安全技術(shù)（1）加密技術(shù)（2）數(shù)字簽名（3）認(rèn)證中心（CA，CertificateAuthority）（4）安全電子交易規(guī)范(SET)（5）虛擬專用網(wǎng)（VPN）。（6）Internet電子郵件的安全協(xié)議1/12/202364——大學(xué)IT——10.4.2電子政務(wù)安全1.電子政務(wù)概述電子政務(wù)是一國(guó)的各級(jí)政府機(jī)關(guān)或者是有關(guān)機(jī)構(gòu)借助電子信息技術(shù)而進(jìn)行的政務(wù)活動(dòng)，其實(shí)質(zhì)是通過應(yīng)用信息技術(shù)，轉(zhuǎn)變政府傳統(tǒng)的集中管理、分層結(jié)構(gòu)運(yùn)行模式，以適應(yīng)數(shù)字化社會(huì)的需求。電子政務(wù)主要由政府部門內(nèi)部的數(shù)字化辦公、政府部門之間通過計(jì)算機(jī)網(wǎng)絡(luò)而進(jìn)行的信息共享和適時(shí)通信、政府部門通過網(wǎng)絡(luò)與公眾進(jìn)行的雙向交流三部分組成。1/12/202365——大學(xué)IT——2.電子政務(wù)的安全問題從安全威脅的來源來看