大學(xué)信息技術(shù)基礎(chǔ)課件：第8章 信息系統(tǒng)安全

第8章信息系統(tǒng)安全主要內(nèi)容：§8.1信息系統(tǒng)的安全構(gòu)架§8.2計算機(jī)病毒與防治§8.3防火墻§8.4數(shù)據(jù)加密技術(shù)§8.5電子簽名*§8.6信息安全政策與法規(guī)本章小結(jié)思考與練習(xí)§8.1信息系統(tǒng)的安全構(gòu)架8.1.1信息安全的含義計算機(jī)信息系統(tǒng)安全保護(hù)是指：保障計算機(jī)及相關(guān)配套設(shè)施（含網(wǎng)絡(luò)）安全，運(yùn)行環(huán)境安全，信息安全，計算機(jī)功能正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行?！?.1信息系統(tǒng)的安全構(gòu)架信息安全包括如下含義：1.信息的可靠性2.信息的可用性3.信息的保密性4.信息的完整性5.信息的不可抵賴性6.信息的可控性§8.1信息系統(tǒng)的安全構(gòu)架8.1.2信息安全保障體系我國信息安全法規(guī)我國信息安全保障體系模型PDRR保護(hù)：保護(hù)上述特性檢測：利用高級技術(shù)提供的工具檢查系統(tǒng)存在的可能的黑客攻擊、計算機(jī)犯罪、病毒攻擊.反應(yīng)：對危及安全的事件、行為及時作出響應(yīng)處理。恢復(fù)：一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能?！?.2計算機(jī)病毒與防治8.2.1什么是計算機(jī)病毒計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。從廣義上定義，凡能夠影響計算機(jī)使用，破壞計算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計算機(jī)病毒。§8.2計算機(jī)病毒與防治8.2.2計算機(jī)病毒的傳播途徑計算機(jī)病毒的傳播主要是通過：存儲介質(zhì)網(wǎng)絡(luò)傳播等方式進(jìn)行，具體主要傳播途徑：

1.U盤2.光盤3.網(wǎng)絡(luò)8.2.3計算機(jī)病毒的特征1.傳染性、2.非授權(quán)性3.隱蔽性4.潛伏性5.破壞性§8.2計算機(jī)病毒與防治8.2.4病毒的工作原理病毒的傳染過程：駐入內(nèi)存。判斷傳染條件。傳染。計算機(jī)病毒的作用過程§8.2計算機(jī)病毒與防治傳播潛伏觸發(fā)運(yùn)行病毒程序設(shè)計8.2.5網(wǎng)絡(luò)病毒利用網(wǎng)絡(luò)傳播的病毒1.木馬病毒首先悄悄植入，向外發(fā)信息一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序：服務(wù)器端程序即木馬程序首先悄悄植入，客戶端程序遠(yuǎn)程操控、攻擊2.蠕蟲病毒（Worm）存在于內(nèi)存而不在文件，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，從而造成網(wǎng)絡(luò)癱瘓?！?.2計算機(jī)病毒與防治3.黑客程序（Hack）【趨與木馬整合了】

黑客程序一般有可視的界面，它會利用漏洞在遠(yuǎn)程控制計算機(jī)，甚至直接破壞計算機(jī)；黑客程序通常會在用戶的計算機(jī)中植入一個木馬病毒，與木馬病毒內(nèi)外勾結(jié)，對計算機(jī)安全構(gòu)成威脅。4.網(wǎng)頁病毒它存在于網(wǎng)頁之中，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的JavaApplet小應(yīng)用程序、JavaScript腳本語言程序、ActiveX軟件部件網(wǎng)絡(luò)交互技術(shù)支持可自動執(zhí)行的代碼程序，以強(qiáng)行修改用戶操作系統(tǒng)的注冊表設(shè)置及系統(tǒng)實用配置程序，或非法控制系統(tǒng)資源盜取用戶文件，或惡意刪除硬盤文件、格式化硬盤為行為目標(biāo)的非法惡意程序?！?.2計算機(jī)病毒與防治5.手機(jī)病毒可能會導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、資料被刪、向外發(fā)送垃圾郵件、撥打電話等，甚至還會損毀SIM卡、芯片等硬件。8.2.6計算機(jī)病毒的預(yù)防措施1.及時修補(bǔ)系統(tǒng)和應(yīng)用軟件的安全漏洞2網(wǎng)絡(luò)環(huán)境中應(yīng)用防火墻3.重要資料，必須備份4.及時、可靠升級反病毒產(chǎn)品5.可移動存儲設(shè)備防毒6.尊重知識產(chǎn)權(quán)，使用正版軟件7.若硬盤資料已遭到破壞，不必絕望§8.2計算機(jī)病毒與防治§8.3防火墻8.3.1什么是防火墻所謂“防火墻（Firewall）”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻阻止對信息資源的非法訪問、阻止重要信息從企業(yè)網(wǎng)絡(luò)上被非法輸出。防火墻是網(wǎng)絡(luò)間信息的唯一出入口。（可能多重）§8.3防火墻圖8-10防火墻是網(wǎng)絡(luò)安全的屏障8.3.2防火墻的功能1.防火墻是網(wǎng)絡(luò)安全的屏障2.防火墻可以強(qiáng)化【制定、執(zhí)行】網(wǎng)絡(luò)安全策略3.防火墻能有效地記錄網(wǎng)絡(luò)上的活動4.防止內(nèi)部網(wǎng)受到侵害§8.3防火墻8.3.3防火墻的基本準(zhǔn)則——

至少都會說兩個詞：Yes或者No1.一切未被允許的就是禁止的【白名單】基于該準(zhǔn)則，防火墻應(yīng)封鎖所有的信息流，然后對希望提供的服務(wù)逐項開放。2.一切未被禁止的就是允許的 【黑名單】基于此準(zhǔn)則，防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流，然后逐項屏蔽可能有害的服務(wù)?！?.3防火墻圖8-11防火墻的基本準(zhǔn)則：禁止或允許8.3.4防火墻的種類防火墻有多種形式，有以軟件形式運(yùn)行在普通計算機(jī)之上的，也有以硬件形式設(shè)計在路由器之中的。1.包過濾防火墻包過濾又稱“報文過濾”，它是防火墻基本的安全技術(shù)。防火墻的包過濾技術(shù)就是對通信過程中數(shù)據(jù)進(jìn)行過濾(又稱篩選)，使符合事先規(guī)定的安全規(guī)則(或稱“安全策略”)的數(shù)據(jù)包通過，而使那些不符合安全規(guī)則的數(shù)據(jù)包丟棄?！?.3防火墻2.應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器）代理服務(wù)器通常運(yùn)行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器，而對于外界的服務(wù)器來說，它又是一臺客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶對某站點的訪問請求后會檢查該請求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點的話，代理服務(wù)器會像一個服務(wù)者一樣去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。3.狀態(tài)監(jiān)測防火墻當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報警或給該通信加密等處理動作?！?.3防火墻8.3.6部署個人防火墻個人防火墻的作用主要是對本機(jī)系統(tǒng)與其他系統(tǒng)的通信進(jìn)行記錄和考察，一旦發(fā)現(xiàn)可疑的通信，立即報警，并阻止未經(jīng)授權(quán)的訪問。例如：360、XP的防火墻（控制面板-windows防火墻）§8.3防火墻§8.4數(shù)據(jù)加密技術(shù)8.4.1加密與加密系統(tǒng)加密就是把數(shù)據(jù)和信息轉(zhuǎn)換為不可辨識的密文的過程，欲知密文的內(nèi)容，需將其轉(zhuǎn)換為明文，這就是解密過程。加密和解密過程組成為加密系統(tǒng)，明文與密文總稱為報文，加密系統(tǒng)五元祖（P,C,K,E,D）：1）待加密的報文，也稱明文；即原始的或未加密的數(shù)據(jù)。Plaintext(P)2）加密后的報文稱為密文，是加密算法的輸出信息。

Cryptograph(C)

§8.4數(shù)據(jù)加密技術(shù)3）加密裝置或加密算法。Encrypt(E)4）用于加密和解密的鑰匙，可以是數(shù)字/詞匯/語句。key(K)5）解密裝置或解密算法。Decrypt(D)§8.4數(shù)據(jù)加密技術(shù)圖8-13加密系統(tǒng)的組成8.4.2對稱密鑰密碼系統(tǒng)（單鑰密碼）在對稱密鑰密碼體制中，其加密運(yùn)算、解密運(yùn)算使用的是同樣的密鑰，信息的發(fā)送者和信息的接收者在進(jìn)行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密碼）?！?.4數(shù)據(jù)加密技術(shù)例：將字符的ASCII碼加3取模(移位密碼)Hello→Khqqr

加密Ek(P)=CKhqqr→Hello解密Dk(C)=P §8.4數(shù)據(jù)加密技術(shù)由于加解密雙方都要使用相同的密鑰，要求通信雙方必須通過秘密信道私下商定使用的密鑰，在發(fā)送、接收數(shù)據(jù)之前，必須完成密鑰的分發(fā)。圖8-14在對稱密鑰密碼體制中，通信雙方擁有

相同的共用密鑰，并保持鑰匙的秘密§8.4數(shù)據(jù)加密技術(shù)

圖8-15對稱密鑰密碼系統(tǒng)中密鑰的數(shù)量和分發(fā)是最薄弱的環(huán)節(jié)1.移位密碼（愷撒密碼，可被窮舉密鑰搜索）例k=3:§8.4數(shù)據(jù)加密技術(shù)——8.4.3古典加密技術(shù)即取模運(yùn)算：加密變換：C=Ek（P）

=（p+k）mod26解密變換：P=Dk（C）

=（c-k）mod26其中：明文空間P={A，B，C，…，Z}、

密文空間C={A，B，C，…，Z}

密鑰空間K={0，1，2，…，25}§8.4數(shù)據(jù)加密技術(shù)——8.4.3古典加密技術(shù)2.換位密碼換位密碼又稱置換密碼，和移位密碼技術(shù)相比，沒有替換明文中的字母；而是通過改變明文字母的排列次序來達(dá)到加密的目的。常見的方法是列換位§8.4數(shù)據(jù)加密技術(shù)8.4.3公開密鑰密碼系統(tǒng)1.基本概念在公鑰密碼系統(tǒng)中，加密和解密使用的是不同的密鑰（叫做非對稱密鑰），這兩個密鑰之間存在著相互依存關(guān)系：用其中任一個密鑰加密的信息只能用另一個密鑰進(jìn)行解密；但不能根據(jù)一個密鑰計算出另一個密鑰?！?.4數(shù)據(jù)加密技術(shù)圖8-16公開密鑰密碼系統(tǒng)的基本原理2.公開密鑰密碼系統(tǒng)的基本原理加密密鑰公之于眾，誰都可以使用；解密密鑰只有解密人自己知道。它們分別稱為公鑰（PK）和秘鑰(SK)。但SK不能由PK求出。§8.4數(shù)據(jù)加密技術(shù)3.公開密鑰密碼系統(tǒng)的算法因此如何找到一個合適的算法生成合適的PK和SK，并且使得從PK不可能推導(dǎo)出SK，正是迫切需要密碼學(xué)家們解決的一道難題。RSA算法的安全性是基于大整數(shù)因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。4.公開密鑰密碼系統(tǒng)的密鑰分發(fā)問題假設(shè)Jack欲傳送一些機(jī)密信息給Allen，Jack無須自己儲存Allen的公開密鑰。他只需向鑰匙管理員索取Allen的公開密鑰。索取后，他便利用此公開密鑰將信息加密，而此加密的信息則只可借著Allen的私人密鑰才能解密，之后Jack便可將此加密的信息在互聯(lián)網(wǎng)上傳送出去。當(dāng)Allen收到此信息后，他便利用自己的私人密鑰將信息解密，同樣的公開密鑰便可以讓不同人士用作傳送機(jī)密信息給Allen?！?.4數(shù)據(jù)加密技術(shù)圖8-18公開密鑰密碼系統(tǒng)的密鑰處理問題

§8.5電子簽名§8.5電子簽名8.5.1什么是電子簽名電子簽名指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。8.5.2數(shù)字簽名的概念所謂“數(shù)字簽名”就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進(jìn)行技術(shù)驗證。利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。8.5.3公開密鑰密碼系統(tǒng)的數(shù)字簽名數(shù)字簽名與公開密鑰密碼系統(tǒng)有密切的關(guān)系，還以Jack和Allen為例，來說明數(shù)字簽名基本原理（圖8-20）：假如Jack想在通過互聯(lián)網(wǎng)傳送給Allen的信息內(nèi)加上簽名，他亦可利用公開密鑰密碼系統(tǒng)來制作一個數(shù)字簽名。Jack先用自己的私人密鑰來制作一個數(shù)字簽名，再由Allen用Jack的公開密鑰來核對這個數(shù)字簽名。§8.5電子簽名§8.5電子簽名8.5.4電子簽名與認(rèn)證服務(wù)電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)。圖8-20數(shù)字簽名的基本原理§8.5電子簽名使用公開密鑰系統(tǒng)，其先決條件是所有用戶的公開密鑰必須正確，所以便利用一可靠的第三者，如認(rèn)證中心或密鑰服務(wù)器來制作各用戶的公開密鑰證書，證書內(nèi)記錄了用戶的公開密鑰和其他數(shù)據(jù)，并加上核證中心或密鑰服務(wù)器的數(shù)字簽名，此證書將用作分派公開密鑰予用戶。PKI的核心執(zhí)行機(jī)構(gòu)是電子認(rèn)證服務(wù)提供者，即通稱為認(rèn)證機(jī)構(gòu)CA，PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。它所提供的PKI服務(wù)就是認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認(rèn)性。課堂思考題1.在信息安全系統(tǒng)中，網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變特性是指信息的（

）。

A)

可靠性

B)

可用性

C)

保密性

D)

完整性

2.小張在計算機(jī)上安裝了數(shù)個防病毒軟件，結(jié)果計算機(jī)還是被病毒感染，其主要原因是（

）。

A)

防病毒軟件之間互相干擾

B)

頻繁上網(wǎng)所致

C)

防病毒軟件并不能預(yù)防所有新的病毒

D)

下載了網(wǎng)絡(luò)軟件

3.蠕蟲病毒是一種主要通過()傳播的惡性病毒。。

A)

移動硬盤

B)

軟盤

C)

網(wǎng)絡(luò)

D)

光盤

4.

下面關(guān)于防火墻的描述中錯誤的概念是（

）。

A)

防火墻可以對指定的IP地址進(jìn)行限制屏蔽。

B)

防火墻能有效地記錄網(wǎng)絡(luò)上的活動

C)

防火墻可以提高內(nèi)部網(wǎng)絡(luò)的安全性

D)

防火墻不能阻止重要信息從內(nèi)部網(wǎng)絡(luò)非法輸出

5.

下面關(guān)于公鑰密碼體制的描述中錯誤的概念是

A)

在公鑰密碼體制系統(tǒng)中，加密和解密使用的是不同的密鑰

B)

所謂公鑰是指加密密鑰和算法是公開的

C)

所謂公鑰是指解密密鑰和算法是公開的

D)

解密密鑰由收信者保管而不能公開

6.

2005年4月1日起實施的信息安全法規(guī)是（

）。

A)

計算機(jī)軟件保護(hù)條例

B)

電子簽名法

C)

互聯(lián)網(wǎng)信息服務(wù)管理法

D)

互聯(lián)網(wǎng)絡(luò)域名管理辦法

第五章數(shù)據(jù)庫技術(shù)補(bǔ)充圖5－1，概念世界

數(shù)據(jù)世界（分析概念世界的工具：）5.1,4)

E-R模型的表示：圖5-3實體—關(guān)系圖的表示方法例：圖5-4系主任與院系之間的分管聯(lián)系，即1∶1聯(lián)系考綱5.3數(shù)據(jù)庫應(yīng)用系統(tǒng)的設(shè)計（主要掌握E-R模型）3.2操作系統(tǒng)操作系統(tǒng)的分類：p73操作系統(tǒng)的功能p66

2，內(nèi)存管理

3，設(shè)備管理

4，文件管理1，處理機(jī)管理：進(jìn)程管理（進(jìn)程的三狀態(tài)）、中斷管理圖5-7數(shù)據(jù)庫系統(tǒng)的四個組成部分考綱5.3數(shù)據(jù)庫應(yīng)用系統(tǒng)的設(shè)計（主要掌握E-R模型）信息是一種資源，其價值性是不言而喻的，因而需要妥善保護(hù)。信息安全使信息避免一系列威脅，無論信息以何種方式表示、共享和存儲，都應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)起來?，F(xiàn)在，信息系統(tǒng)和網(wǎng)絡(luò)正面臨著越來越多、大范圍來源的安全威脅，包括計算機(jī)犯罪、欺詐、計算機(jī)病毒、電腦黑客等行為而引起的資源破壞已變得越來越普遍、損失越來越大、情形越來越錯綜復(fù)雜。加強(qiáng)信息安全管理已經(jīng)刻不容緩！信息安全涉及信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。綜合起來說,就是要保障電子信息的有效性。保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的人篡改。可用性就是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用?？煽匦跃褪菍π畔⒓靶畔⑾到y(tǒng)實施安全監(jiān)控。密碼技術(shù)是信息安全的核心。要保證電子信息的保密性，使用密碼時，對其加密是最有效的辦法。本章小結(jié)要保證信息的完整性，使用密碼時，技術(shù)實施數(shù)字簽名，進(jìn)行身份認(rèn)證，對信息進(jìn)行完整性校驗是當(dāng)前實際可行的辦法。在這一章里我們用了一定的篇幅介紹信息安全的公鑰加密技術(shù)。它包括一種像鑰匙一樣的數(shù)值，用來加密數(shù)據(jù)和解開加密數(shù)據(jù)。但是，用來加密數(shù)據(jù)的加密密匙和解密用的解密密匙不一樣。知道加密密匙的人可以用此加密信息，但是他們不能解開別人加密的信息，甚至別人用的是一樣的加密密匙。因此密匙可以廣泛地分發(fā)而不會干擾系統(tǒng)安全。有了這樣的加密系統(tǒng)，很多人都可以向同一收傳人發(fā)送秘密信息，這個普通的收信人是唯一擁有解密密匙的人。像這樣的加密技術(shù)構(gòu)成了一個知識領(lǐng)域——公匙密碼系統(tǒng)，這個名字反映出一個事實，就是用來加密信息的密匙能讓公眾都知道?，F(xiàn)有的許多信息系統(tǒng)在設(shè)計時就注意了安全性，但是主要依靠技術(shù)手段實現(xiàn)安全是有限的，還應(yīng)當(dāng)建立相應(yīng)的管理制度來支持。更重要的是樹立信息安全的意識，培養(yǎng)與信息安全有關(guān)的信息道德與素養(yǎng)，遵守信息安全法規(guī)，這才是治標(biāo)之本。本章小結(jié)一、思考題1.什么是信息安全？主要包括哪些內(nèi)容？2.信息安全的保障體系包括哪四個方面？3.試述信息安全的重要性，舉出若干個你所知道的涉及信息安全的例子。4.根據(jù)我國頒布的《信息安全等級保護(hù)管理辦法》，信息安全等級保護(hù)的等級是如何劃分的？5.什么是計算機(jī)病毒？結(jié)合自己在工作學(xué)習(xí)中受病毒干擾的事例，談一下計算機(jī)病毒的危害。6.計算機(jī)病毒傳播的主要途徑有哪些？其特征是什么？7.目前網(wǎng)絡(luò)病毒成為病毒傳播的一種主要形式，請談一下你對預(yù)防網(wǎng)絡(luò)病毒有什么好的方法和建議。8.試列