大學(xué)計算機(jī)基礎(chǔ)

第十章

信息系統(tǒng)安全與道德2023/2/61

信息系統(tǒng)安全與道德10.1計算機(jī)信息系統(tǒng)的安全10.2計算機(jī)病毒、蠕蟲和特洛伊木馬10.3網(wǎng)絡(luò)黑客及防范10.4信息安全技術(shù)10.5防火墻10.6網(wǎng)絡(luò)入侵檢測技術(shù)10.7網(wǎng)絡(luò)社會責(zé)任和網(wǎng)絡(luò)道德2023/2/6210.1計算機(jī)信息系統(tǒng)的安全根據(jù)《中華人民共和國人民警察法》及《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》有關(guān)規(guī)定，公安機(jī)關(guān)主管計算機(jī)信息系統(tǒng)安全保護(hù)工作。公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門為計算機(jī)信息系統(tǒng)安全保護(hù)監(jiān)督管理的具體職能部門。2023/2/63我國的《計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》明確規(guī)定，計算機(jī)信息系統(tǒng)是由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。10.1.1計算機(jī)信息系統(tǒng)2023/2/6410.1.2計算機(jī)信息系統(tǒng)的脆弱性1、計算機(jī)信息系統(tǒng)本身的脆弱性2、計算機(jī)犯罪3、安全意識和管理2023/2/6510.1.3計算機(jī)信息系統(tǒng)的安全

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，計算機(jī)信息系統(tǒng)的安全，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運行。計算機(jī)信息系統(tǒng)安全保護(hù)的內(nèi)容主要包括以下：

計算機(jī)信息系統(tǒng)的實體安全計算機(jī)信息系統(tǒng)的運行安全計算機(jī)信息系統(tǒng)的信息安全2023/2/66環(huán)境安全：對計算機(jī)信息系統(tǒng)所在環(huán)境的安全保護(hù)，主要包括受災(zāi)防護(hù)和區(qū)域防護(hù)。設(shè)備安全：對計算機(jī)信息系統(tǒng)設(shè)備的安全保護(hù)。如設(shè)備防盜、防雷擊、防電磁泄漏、防線路截獲、抗電磁干擾及電源保護(hù)等。媒體安全：對媒體數(shù)據(jù)和媒體本身即保存數(shù)據(jù)的軟盤、硬盤、光盤等的安全保護(hù)保證計算機(jī)信息系統(tǒng)的實體安全包括：2023/2/67保證計算機(jī)信息系統(tǒng)的運行安全包括：風(fēng)險分析：對計算機(jī)信息系統(tǒng)進(jìn)行人工或自動的風(fēng)險分析。審計跟蹤：對計算機(jī)信息系統(tǒng)進(jìn)行人工或自動的審計跟蹤、保存審計記錄和維護(hù)詳盡的審計日志。備份與恢復(fù)：對系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與修復(fù)。應(yīng)急：緊急時間或安全事故發(fā)生時，保障計算機(jī)信息系統(tǒng)繼續(xù)運行或緊急修復(fù)所需軟件和應(yīng)急設(shè)施兩個方面。2023/2/68操作系統(tǒng)安全：對計算機(jī)信息系統(tǒng)的硬件和軟件資源的有效控制，能夠為所管理的資源提供相應(yīng)的安全保護(hù)。數(shù)據(jù)庫安全：對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護(hù)。網(wǎng)絡(luò)安全：訪問網(wǎng)絡(luò)資源或使用網(wǎng)絡(luò)服務(wù)的安全保護(hù)。計算機(jī)病毒防護(hù)：對計算機(jī)病毒的防護(hù)。訪問控制：保證系統(tǒng)的外部用戶或內(nèi)部用戶對系統(tǒng)資源的訪問以及對敏感信息的訪問方式符合組織安全策略。加密：提供數(shù)據(jù)加密和密鑰管理鑒別：提供身份鑒別和信息鑒別。保證計算機(jī)信息系統(tǒng)的信息安全包括：2023/2/6910.2計算機(jī)病毒、蠕蟲和特洛伊木馬惡意程序通常指帶有攻擊意圖所編寫的一段程序惡意程序主要包括特洛伊木馬、蠕蟲、病毒等惡意程序需要宿主程序的獨立的特洛伊木馬蠕蟲病毒2023/2/61010.2.1病毒、蠕蟲和特洛伊木馬的定義及特征計算機(jī)病毒定義

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義，計算機(jī)病毒是指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。簡單說計算機(jī)病毒是一種人為編制的特殊的計算機(jī)程序。

2023/2/611計算機(jī)病毒的特征病毒的可執(zhí)行性病毒的傳染性病毒的潛伏性病毒的可觸發(fā)性病毒的破壞性病毒的隱蔽性病毒的衍生性病毒的寄生性病毒的欺騙性病毒的持久性2023/2/6122、蠕蟲計算機(jī)蠕蟲是自包含的程序，它能傳播它自身功能的拷貝到其他的計算機(jī)系統(tǒng)中。通常，蠕蟲傳播無需人為干預(yù)，它可通過網(wǎng)絡(luò)自我復(fù)制。蠕蟲程序是一種使用網(wǎng)絡(luò)連接從一個系統(tǒng)傳播到另一個系統(tǒng)的感染病毒程序。蠕蟲危害最大的是可大量復(fù)制，從而消耗內(nèi)存和網(wǎng)絡(luò)資源，導(dǎo)致計算機(jī)停止響應(yīng)。什么是蠕蟲？2023/2/613蠕蟲的特點蠕蟲表現(xiàn)出與計算機(jī)病毒同樣的特征：潛伏、繁殖、觸發(fā)和執(zhí)行期。蠕蟲與病毒不同的是，蠕蟲不需要將其自身附著到宿主程序。也就是說蠕蟲的傳播不必通過“主機(jī)”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠(yuǎn)程操控您的計算機(jī)。2023/2/6143、特洛伊木馬特洛伊木馬是一個有用的或表面上有用的程序或命令過程，包含了一段隱藏的、激活時能進(jìn)行某種不想要的或者有害的功能的代碼。2023/2/615計算機(jī)感染了病毒、蠕蟲或特洛伊木馬后經(jīng)常有如下表現(xiàn)：可以使用的內(nèi)存總數(shù)降低屏幕顯示特殊的信息或圖像系統(tǒng)運行速度減慢，經(jīng)常無故死機(jī)磁盤出現(xiàn)異常文件、磁盤文件內(nèi)容被修改、磁盤文件長度無故加長、磁盤文件無故消失、程序裝入時間比平常長、異常要求用戶輸入口令可用存儲空間突然變小、文件的日期發(fā)生變化等發(fā)出異常聲音等2023/2/616病毒、蠕蟲和特洛伊木馬主要有下面三種傳播途徑：通過網(wǎng)絡(luò)傳染

通過移動存儲設(shè)備（軟盤、U盤或移動硬盤等）傳染

用帶病毒的系統(tǒng)盤引導(dǎo)系統(tǒng)紅外線等無線方式2023/2/617網(wǎng)絡(luò)時期計算機(jī)病毒、蠕蟲、特洛伊木馬的新特點種類、數(shù)量激增傳播途徑更多，傳播速度更快電子郵件成為主要傳播媒介造成的破壞日益嚴(yán)重2023/2/61810.2.2計算機(jī)病毒、蠕蟲、特洛伊木馬的防范我國《計算機(jī)病毒防治管理辦法》規(guī)定：計算機(jī)信息系統(tǒng)的使用單位在計算機(jī)病毒防治工作中應(yīng)當(dāng)采取計算機(jī)病毒安全技術(shù)防治措施；及時檢測、清除計算機(jī)信息系統(tǒng)中的計算機(jī)病毒；使用具有計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機(jī)病毒防治產(chǎn)品；對因計算機(jī)病毒引起的計算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時向公安機(jī)關(guān)報告，并保護(hù)現(xiàn)場；任何單位和個人在從計算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購置、維修、借入計算機(jī)設(shè)備時，應(yīng)當(dāng)進(jìn)行計算機(jī)病毒檢測。2023/2/619正確工作規(guī)范安裝正版殺病毒軟件，經(jīng)常升級，定期進(jìn)行病毒檢測。堅持以硬盤引導(dǎo)，，應(yīng)確保軟盤、光盤無病毒。不要輕易下載免費的軟件和文檔，如需下載，應(yīng)先下載到本地機(jī)，用查病毒軟件檢查無誤后才能安裝和使用；不要隨便打開E-mail中的附件；及時刪除查出的帶病毒的附件程序。對可移動存儲設(shè)備，做到先檢測、后使用，軟盤寫保護(hù)。堅持經(jīng)常性的數(shù)據(jù)備份工作。重要部門的計算機(jī)，盡量專機(jī)專用與外界隔絕。

在網(wǎng)關(guān)、服務(wù)器和客戶端都要安裝使用病毒防火墻，建立立體的病毒防護(hù)體系。

一旦遭受病毒攻擊，應(yīng)采取隔離措施。2023/2/620計算機(jī)病毒的防范所有的方法都無法保證計算機(jī)完全安全。但是，樹立安全意識、保證及時更新系統(tǒng)軟件和最新的防病毒軟件應(yīng)該是提高計算機(jī)系統(tǒng)安全性的最好方法！?。?/p>

2023/2/62110.3網(wǎng)絡(luò)黑客與防范惡作劇型隱蔽攻擊型定時炸彈型職業(yè)殺手型竊密高手型業(yè)余愛好型10.3.1黑客類型2023/2/62210.3.2網(wǎng)絡(luò)黑客常用的攻擊方式1、黑客的攻擊步驟尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)登錄主機(jī)得到超級用戶權(quán)限、控制主機(jī)清除記錄、設(shè)置后門2023/2/6232、黑客常用的攻擊方式獲取口令放置特洛伊木馬程序Web的欺騙技術(shù)電子郵件攻擊通過一個節(jié)點來攻擊其他節(jié)點網(wǎng)絡(luò)監(jiān)聽尋找系統(tǒng)漏洞利用帳號進(jìn)行攻擊偷取特權(quán)2023/2/62410.3.3防治網(wǎng)絡(luò)黑客攻擊的策略隱藏IP地址關(guān)閉不必要的端口更換管理員帳戶杜絕guest帳戶入侵封死“黑客”后門做好IE的安全設(shè)置安裝必要的安全軟件防范木馬程序不要回陌生人的郵件及時給系統(tǒng)打補(bǔ)丁2023/2/62510.4信息安全技術(shù)10.4.1數(shù)字加密技術(shù)10.4.2數(shù)字簽名10.4.3數(shù)字證書2023/2/62610.4.1

數(shù)字加密技術(shù)數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)字信息(明文)，按照加密算法變換成與明文完全不同得數(shù)字信息(密文)的過程。該過程的逆過程為解密。

密鑰

密鑰

明文

密文

原始明文

加密/解密過程解密加密2023/2/627數(shù)字加密技術(shù)數(shù)字加密技術(shù)包括對稱式加密技術(shù)和非對稱式加密技術(shù)。對稱式加密技術(shù)就是加密解密使用同一個密鑰非對稱式加密技術(shù)加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們配對使用，否則不能打開加密文件一個數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，一個加密系統(tǒng)的全部安全性是基于密鑰的，不是基于算法，所以加密系統(tǒng)的密鑰管理是一個非常重要的問題

2023/2/62810.4.2數(shù)字簽名“數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報文進(jìn)行處理得到的，用以認(rèn)證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名的工作原理是該技術(shù)在具體工作時，首先發(fā)送方對信息施以數(shù)學(xué)變換，所得的信息與原信息一一對應(yīng)；在接收方進(jìn)行逆變換，得到原始信息。只要數(shù)學(xué)變換方法優(yōu)良，變換后的信息在傳輸中就具有很強(qiáng)的安全性，很難被破譯、篡改。數(shù)字簽名的算法很多,應(yīng)用最為廣泛的三種是:Hash簽名、DSS簽名和RSA簽名。數(shù)字簽名可以解決否認(rèn)、偽造、篡改及冒充等問題2023/2/62910.4.3數(shù)字證書

數(shù)字證書是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。2023/2/630數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。目前，數(shù)字證書主要分為安全電子郵件證書、個人和企業(yè)身份證書、服務(wù)器證書以及代碼簽名證書等幾種類型證書。10.4.3數(shù)字證書

2023/2/63110.5防火墻10.5.1防火墻概述10.5.2防火墻主要類型10.5.3防火墻形態(tài)2023/2/63210.5.1防火墻概述1、什么是防火墻（FireWall）是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。2023/2/633防火墻示意圖2023/2/6342、防火墻作用防火墻是網(wǎng)絡(luò)安全的屏障

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計

防止內(nèi)部信息的外泄

2023/2/63510.5.2防火墻主要類型主要分為包過濾型、應(yīng)用代理型和復(fù)合型。

包過濾(Packetfiltering)型

包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。2023/2/636包過濾型防火墻示意圖2023/2/63710.5.2防火墻主要類型應(yīng)用代理(ApplicationProxy)型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。2023/2/638應(yīng)用代理型防火墻示意圖2023/2/63910.5.2防火墻主要類型復(fù)合型防火墻把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來形成復(fù)合型防火墻。通?；趦煞N方案

屏蔽主機(jī)防火墻體系結(jié)構(gòu)

屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)2023/2/64010.5.3防火墻形態(tài)通常包括硬件防火墻和軟件防火墻兩種形態(tài)純硬件防火墻為電路級設(shè)計，通常使算法設(shè)計如ASIC專用芯片，效率最高，解決了防火墻效率/性能之間的矛盾，可以達(dá)到線性。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)。軟件防火墻運行于特定的計算機(jī)上，它需要客戶預(yù)先安裝好的操作系統(tǒng)的支持，一般這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。2023/2/641防火墻吞吐量10M：用于分支機(jī)構(gòu)，中型企事業(yè)單位。國內(nèi)終端用戶的互聯(lián)網(wǎng)接入出口均小于10M，因此10M以可滿足用戶外網(wǎng)防火墻的需求。10/100M：主要用于IDC,ISP等高接入帶寬的外網(wǎng)防火墻，以及內(nèi)網(wǎng)防火墻。1000M：僅用于骨干網(wǎng)絡(luò)中心，如電信、銀行、電力等專網(wǎng)的中心節(jié)點，或電信級防火墻的通道帶寬(Bandwidth)稱為吞吐率

2023/2/64210.6網(wǎng)絡(luò)入侵檢測技術(shù)

通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，這種技術(shù)稱為入侵檢測技術(shù)。入侵檢測技術(shù)作為一種積極主動的防御技術(shù)，提供了對內(nèi)部供給、對外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，為系統(tǒng)提供強(qiáng)有力的保護(hù)。2023/2/64310.6.1入侵檢測技術(shù)的功能監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。2023/2/64410.6.2入侵檢測步驟內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機(jī)）收集信息；入侵檢測利用的信息一般來自以下四個方面：收集信息（1）系統(tǒng)和網(wǎng)絡(luò)日志文件

（2）目錄和文件中的不期望的改變（3）程序執(zhí)行中的不期望行為（4）物理形式的入侵信息2023/2/645對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，常用的三種分析技術(shù)手段

模式匹配統(tǒng)計分析完整性分析

10.6.2入侵檢測步驟信號分析2023/2/64610.7網(wǎng)絡(luò)社會責(zé)任和網(wǎng)絡(luò)道德10.7.1網(wǎng)絡(luò)社會責(zé)任與計算職業(yè)道德10.7.2計算機(jī)軟件知識產(chǎn)權(quán)10.7.3計算機(jī)安全法律法規(guī)2023/2/64710.7.1網(wǎng)絡(luò)社會責(zé)任與計算職業(yè)道德我國《公民道德建設(shè)實施綱要》(以下簡稱《綱要》)明確指出：“計算機(jī)互聯(lián)網(wǎng)作為開放式信息傳播和交流工具，是思想道德建設(shè)的新陣地。要加大網(wǎng)上正面宣傳和管理工作的力度，鼓勵發(fā)