大學計算機基礎

第十章

信息系統(tǒng)安全與道德2023/2/61

信息系統(tǒng)安全與道德10.1計算機信息系統(tǒng)的安全10.2計算機病毒、蠕蟲和特洛伊木馬10.3網(wǎng)絡黑客及防范10.4信息安全技術10.5防火墻10.6網(wǎng)絡入侵檢測技術10.7網(wǎng)絡社會責任和網(wǎng)絡道德2023/2/6210.1計算機信息系統(tǒng)的安全根據(jù)《中華人民共和國人民警察法》及《中華人民共和國計算機信息系統(tǒng)安全保護條例》有關規(guī)定，公安機關主管計算機信息系統(tǒng)安全保護工作。公安機關公共信息網(wǎng)絡安全監(jiān)察部門為計算機信息系統(tǒng)安全保護監(jiān)督管理的具體職能部門。2023/2/63我國的《計算機信息安全保護等級劃分準則》明確規(guī)定，計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。10.1.1計算機信息系統(tǒng)2023/2/6410.1.2計算機信息系統(tǒng)的脆弱性1、計算機信息系統(tǒng)本身的脆弱性2、計算機犯罪3、安全意識和管理2023/2/6510.1.3計算機信息系統(tǒng)的安全

《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定，計算機信息系統(tǒng)的安全，應當保障計算機及其相關的和配套的設備、設施（含網(wǎng)絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。計算機信息系統(tǒng)安全保護的內(nèi)容主要包括以下：

計算機信息系統(tǒng)的實體安全計算機信息系統(tǒng)的運行安全計算機信息系統(tǒng)的信息安全2023/2/66環(huán)境安全：對計算機信息系統(tǒng)所在環(huán)境的安全保護，主要包括受災防護和區(qū)域防護。設備安全：對計算機信息系統(tǒng)設備的安全保護。如設備防盜、防雷擊、防電磁泄漏、防線路截獲、抗電磁干擾及電源保護等。媒體安全：對媒體數(shù)據(jù)和媒體本身即保存數(shù)據(jù)的軟盤、硬盤、光盤等的安全保護保證計算機信息系統(tǒng)的實體安全包括：2023/2/67保證計算機信息系統(tǒng)的運行安全包括：風險分析：對計算機信息系統(tǒng)進行人工或自動的風險分析。審計跟蹤：對計算機信息系統(tǒng)進行人工或自動的審計跟蹤、保存審計記錄和維護詳盡的審計日志。備份與恢復：對系統(tǒng)設備和系統(tǒng)數(shù)據(jù)的備份與修復。應急：緊急時間或安全事故發(fā)生時，保障計算機信息系統(tǒng)繼續(xù)運行或緊急修復所需軟件和應急設施兩個方面。2023/2/68操作系統(tǒng)安全：對計算機信息系統(tǒng)的硬件和軟件資源的有效控制，能夠為所管理的資源提供相應的安全保護。數(shù)據(jù)庫安全：對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護。網(wǎng)絡安全：訪問網(wǎng)絡資源或使用網(wǎng)絡服務的安全保護。計算機病毒防護：對計算機病毒的防護。訪問控制：保證系統(tǒng)的外部用戶或內(nèi)部用戶對系統(tǒng)資源的訪問以及對敏感信息的訪問方式符合組織安全策略。加密：提供數(shù)據(jù)加密和密鑰管理鑒別：提供身份鑒別和信息鑒別。保證計算機信息系統(tǒng)的信息安全包括：2023/2/6910.2計算機病毒、蠕蟲和特洛伊木馬惡意程序通常指帶有攻擊意圖所編寫的一段程序惡意程序主要包括特洛伊木馬、蠕蟲、病毒等惡意程序需要宿主程序的獨立的特洛伊木馬蠕蟲病毒2023/2/61010.2.1病毒、蠕蟲和特洛伊木馬的定義及特征計算機病毒定義

《中華人民共和國計算機信息系統(tǒng)安全保護條例》中明確定義，計算機病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。簡單說計算機病毒是一種人為編制的特殊的計算機程序。

2023/2/611計算機病毒的特征病毒的可執(zhí)行性病毒的傳染性病毒的潛伏性病毒的可觸發(fā)性病毒的破壞性病毒的隱蔽性病毒的衍生性病毒的寄生性病毒的欺騙性病毒的持久性2023/2/6122、蠕蟲計算機蠕蟲是自包含的程序，它能傳播它自身功能的拷貝到其他的計算機系統(tǒng)中。通常，蠕蟲傳播無需人為干預，它可通過網(wǎng)絡自我復制。蠕蟲程序是一種使用網(wǎng)絡連接從一個系統(tǒng)傳播到另一個系統(tǒng)的感染病毒程序。蠕蟲危害最大的是可大量復制，從而消耗內(nèi)存和網(wǎng)絡資源，導致計算機停止響應。什么是蠕蟲？2023/2/613蠕蟲的特點蠕蟲表現(xiàn)出與計算機病毒同樣的特征：潛伏、繁殖、觸發(fā)和執(zhí)行期。蠕蟲與病毒不同的是，蠕蟲不需要將其自身附著到宿主程序。也就是說蠕蟲的傳播不必通過“主機”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠程操控您的計算機。2023/2/6143、特洛伊木馬特洛伊木馬是一個有用的或表面上有用的程序或命令過程，包含了一段隱藏的、激活時能進行某種不想要的或者有害的功能的代碼。2023/2/615計算機感染了病毒、蠕蟲或特洛伊木馬后經(jīng)常有如下表現(xiàn)：可以使用的內(nèi)存總數(shù)降低屏幕顯示特殊的信息或圖像系統(tǒng)運行速度減慢，經(jīng)常無故死機磁盤出現(xiàn)異常文件、磁盤文件內(nèi)容被修改、磁盤文件長度無故加長、磁盤文件無故消失、程序裝入時間比平常長、異常要求用戶輸入口令可用存儲空間突然變小、文件的日期發(fā)生變化等發(fā)出異常聲音等2023/2/616病毒、蠕蟲和特洛伊木馬主要有下面三種傳播途徑：通過網(wǎng)絡傳染

通過移動存儲設備（軟盤、U盤或移動硬盤等）傳染

用帶病毒的系統(tǒng)盤引導系統(tǒng)紅外線等無線方式2023/2/617網(wǎng)絡時期計算機病毒、蠕蟲、特洛伊木馬的新特點種類、數(shù)量激增傳播途徑更多，傳播速度更快電子郵件成為主要傳播媒介造成的破壞日益嚴重2023/2/61810.2.2計算機病毒、蠕蟲、特洛伊木馬的防范我國《計算機病毒防治管理辦法》規(guī)定：計算機信息系統(tǒng)的使用單位在計算機病毒防治工作中應當采取計算機病毒安全技術防治措施；及時檢測、清除計算機信息系統(tǒng)中的計算機病毒；使用具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品；對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故及時向公安機關報告，并保護現(xiàn)場；任何單位和個人在從計算機信息網(wǎng)絡上下載程序、數(shù)據(jù)或者購置、維修、借入計算機設備時，應當進行計算機病毒檢測。2023/2/619正確工作規(guī)范安裝正版殺病毒軟件，經(jīng)常升級，定期進行病毒檢測。堅持以硬盤引導，，應確保軟盤、光盤無病毒。不要輕易下載免費的軟件和文檔，如需下載，應先下載到本地機，用查病毒軟件檢查無誤后才能安裝和使用；不要隨便打開E-mail中的附件；及時刪除查出的帶病毒的附件程序。對可移動存儲設備，做到先檢測、后使用，軟盤寫保護。堅持經(jīng)常性的數(shù)據(jù)備份工作。重要部門的計算機，盡量專機專用與外界隔絕。

在網(wǎng)關、服務器和客戶端都要安裝使用病毒防火墻，建立立體的病毒防護體系。

一旦遭受病毒攻擊，應采取隔離措施。2023/2/620計算機病毒的防范所有的方法都無法保證計算機完全安全。但是，樹立安全意識、保證及時更新系統(tǒng)軟件和最新的防病毒軟件應該是提高計算機系統(tǒng)安全性的最好方法?。?！

2023/2/62110.3網(wǎng)絡黑客與防范惡作劇型隱蔽攻擊型定時炸彈型職業(yè)殺手型竊密高手型業(yè)余愛好型10.3.1黑客類型2023/2/62210.3.2網(wǎng)絡黑客常用的攻擊方式1、黑客的攻擊步驟尋找目標主機并分析目標主機登錄主機得到超級用戶權限、控制主機清除記錄、設置后門2023/2/6232、黑客常用的攻擊方式獲取口令放置特洛伊木馬程序Web的欺騙技術電子郵件攻擊通過一個節(jié)點來攻擊其他節(jié)點網(wǎng)絡監(jiān)聽尋找系統(tǒng)漏洞利用帳號進行攻擊偷取特權2023/2/62410.3.3防治網(wǎng)絡黑客攻擊的策略隱藏IP地址關閉不必要的端口更換管理員帳戶杜絕guest帳戶入侵封死“黑客”后門做好IE的安全設置安裝必要的安全軟件防范木馬程序不要回陌生人的郵件及時給系統(tǒng)打補丁2023/2/62510.4信息安全技術10.4.1數(shù)字加密技術10.4.2數(shù)字簽名10.4.3數(shù)字證書2023/2/62610.4.1

數(shù)字加密技術數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)字信息(明文)，按照加密算法變換成與明文完全不同得數(shù)字信息(密文)的過程。該過程的逆過程為解密。

密鑰

密鑰

明文

密文

原始明文

加密/解密過程解密加密2023/2/627數(shù)字加密技術數(shù)字加密技術包括對稱式加密技術和非對稱式加密技術。對稱式加密技術就是加密解密使用同一個密鑰非對稱式加密技術加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們配對使用，否則不能打開加密文件一個數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，一個加密系統(tǒng)的全部安全性是基于密鑰的，不是基于算法，所以加密系統(tǒng)的密鑰管理是一個非常重要的問題

2023/2/62810.4.2數(shù)字簽名“數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報文進行處理得到的，用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名的工作原理是該技術在具體工作時，首先發(fā)送方對信息施以數(shù)學變換，所得的信息與原信息一一對應；在接收方進行逆變換，得到原始信息。只要數(shù)學變換方法優(yōu)良，變換后的信息在傳輸中就具有很強的安全性，很難被破譯、篡改。數(shù)字簽名的算法很多,應用最為廣泛的三種是:Hash簽名、DSS簽名和RSA簽名。數(shù)字簽名可以解決否認、偽造、篡改及冒充等問題2023/2/62910.4.3數(shù)字證書

數(shù)字證書是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)數(shù)字證書是由權威公正的第三方機構即CA中心簽發(fā)的。以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。2023/2/630數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務等網(wǎng)上安全電子事務處理和安全電子交易活動。數(shù)字證書的格式一般采用X.509國際標準。目前，數(shù)字證書主要分為安全電子郵件證書、個人和企業(yè)身份證書、服務器證書以及代碼簽名證書等幾種類型證書。10.4.3數(shù)字證書

2023/2/63110.5防火墻10.5.1防火墻概述10.5.2防火墻主要類型10.5.3防火墻形態(tài)2023/2/63210.5.1防火墻概述1、什么是防火墻（FireWall）是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。2023/2/633防火墻示意圖2023/2/6342、防火墻作用防火墻是網(wǎng)絡安全的屏障

防火墻可以強化網(wǎng)絡安全策略對網(wǎng)絡存取和訪問進行監(jiān)控審計

防止內(nèi)部信息的外泄

2023/2/63510.5.2防火墻主要類型主要分為包過濾型、應用代理型和復合型。

包過濾(Packetfiltering)型

包過濾型防火墻工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。2023/2/636包過濾型防火墻示意圖2023/2/63710.5.2防火墻主要類型應用代理(ApplicationProxy)型

應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。2023/2/638應用代理型防火墻示意圖2023/2/63910.5.2防火墻主要類型復合型防火墻把基于包過濾的方法與基于應用代理的方法結合起來形成復合型防火墻。通?；趦煞N方案

屏蔽主機防火墻體系結構

屏蔽子網(wǎng)防火墻體系結構2023/2/64010.5.3防火墻形態(tài)通常包括硬件防火墻和軟件防火墻兩種形態(tài)純硬件防火墻為電路級設計，通常使算法設計如ASIC專用芯片，效率最高，解決了防火墻效率/性能之間的矛盾，可以達到線性。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構。軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的操作系統(tǒng)的支持，一般這臺計算機就是整個網(wǎng)絡的網(wǎng)關。俗稱“個人防火墻”。2023/2/641防火墻吞吐量10M：用于分支機構，中型企事業(yè)單位。國內(nèi)終端用戶的互聯(lián)網(wǎng)接入出口均小于10M，因此10M以可滿足用戶外網(wǎng)防火墻的需求。10/100M：主要用于IDC,ISP等高接入帶寬的外網(wǎng)防火墻，以及內(nèi)網(wǎng)防火墻。1000M：僅用于骨干網(wǎng)絡中心，如電信、銀行、電力等專網(wǎng)的中心節(jié)點，或電信級防火墻的通道帶寬(Bandwidth)稱為吞吐率

2023/2/64210.6網(wǎng)絡入侵檢測技術

通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，這種技術稱為入侵檢測技術。入侵檢測技術作為一種積極主動的防御技術，提供了對內(nèi)部供給、對外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，為系統(tǒng)提供強有力的保護。2023/2/64310.6.1入侵檢測技術的功能監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。2023/2/64410.6.2入侵檢測步驟內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息；入侵檢測利用的信息一般來自以下四個方面：收集信息（1）系統(tǒng)和網(wǎng)絡日志文件

（2）目錄和文件中的不期望的改變（3）程序執(zhí)行中的不期望行為（4）物理形式的入侵信息2023/2/645對上述四類收集到的有關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，常用的三種分析技術手段

模式匹配統(tǒng)計分析完整性分析

10.6.2入侵檢測步驟信號分析2023/2/64610.7網(wǎng)絡社會責任和網(wǎng)絡道德10.7.1網(wǎng)絡社會責任與計算職業(yè)道德10.7.2計算機軟件知識產(chǎn)權10.7.3計算機安全法律法規(guī)2023/2/64710.7.1網(wǎng)絡社會責任與計算職業(yè)道德我國《公民道德建設實施綱要》(以下簡稱《綱要》)明確指出：“計算機互聯(lián)網(wǎng)作為開放式信息傳播和交流工具，是思想道德建設的新陣地。要加大網(wǎng)上正面宣傳和管理工作的力度，鼓勵發(fā)