1、信息安全考試內(nèi)容和要求1了解信息安全的基本概念。2掌握信息存儲(chǔ)安全技術(shù)。3掌握各種安全防范技術(shù)的基本原理。4掌握計(jì)算機(jī)病毒的基本知識(shí)、計(jì)算機(jī)病毒的防治方法和技術(shù)。5了解網(wǎng)絡(luò)道德及相關(guān)法規(guī)。學(xué)習(xí)目標(biāo) 理解信息安全的基本概念 掌握信息存儲(chǔ)安全技術(shù) 掌握各種安全防范技術(shù)的基本原理 掌握病毒基本知識(shí)及反病毒技術(shù) 了解網(wǎng)絡(luò)道德及相關(guān)法規(guī)13.1信息安全概述 信息是社會(huì)發(fā)展的重要戰(zhàn)略資源，也是衡量國(guó)家綜合國(guó)力的一個(gè)重要參數(shù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，政治、軍事、經(jīng)濟(jì)、科學(xué)等各個(gè)領(lǐng)域的信息越來(lái)越依賴計(jì)算機(jī)的信息存儲(chǔ)方式，信息安全保護(hù)的難度也大大高于傳統(tǒng)方式的信息存儲(chǔ)模式。信息的地位與作用因信息技術(shù)的快速發(fā)展而急

2、劇上升，信息安全問(wèn)題同樣因此而日顯突出。13.1.1 信息安全和信息系統(tǒng)安全 1.信息安全 信息的安全是指信息在存儲(chǔ)、處理和傳輸狀態(tài)下能夠保證其完整性、保密性和可用性。 完整性:是指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中保持非修改、非破壞、非丟失的特性，即保持信息的原樣性。數(shù)據(jù)信息的首要安全是其完整性。 保密性:是指信息不泄漏給非授權(quán)的實(shí)體和個(gè)人，或供其使用的特性。軍用信息的安全尤為注重保密性(相比較而言，商用信息則更注重于信息的完整性。 可用性:指信息的合法使用者能夠訪問(wèn)為其提供的數(shù)據(jù)，并能正常使用或在非正常情況下，能迅速恢復(fù)并投入使用的特征。 2.信息系統(tǒng)安全 信息系統(tǒng)的安全指存儲(chǔ)信息的計(jì)算機(jī)

3、、數(shù)據(jù)庫(kù)的安全和傳輸信息網(wǎng)絡(luò)的安全。 存儲(chǔ)信息的計(jì)算機(jī)、數(shù)據(jù)庫(kù)如果受到損壞，信息將被丟失或損壞。信息的泄露、竊取和篡改也是通過(guò)破壞由計(jì)算機(jī)、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)所組成的信息系統(tǒng)的安全來(lái)進(jìn)行的。 由此可見(jiàn)，信息安全依賴于信息系統(tǒng)的安全而得以實(shí)現(xiàn)。信息安全是需要的結(jié)果，確保信息系統(tǒng)的安全是保證信息安全的手段。13.1.2 信息系統(tǒng)的不安全因素1.信息存儲(chǔ) 在以信息為基礎(chǔ)的商業(yè)時(shí)代，保持關(guān)鍵數(shù)據(jù)和應(yīng)用系統(tǒng)始終處于運(yùn)行狀態(tài)，已成為基本的要求。如果不采取可靠的措施，尤其是存儲(chǔ)措施，一旦由于意外而丟失數(shù)據(jù)，將會(huì)造成巨大的損失。 存儲(chǔ)設(shè)備故障的可能性是客觀存在的。例如:掉電、電流突然波動(dòng)、機(jī)械自然老化等。為此，需要

4、通過(guò)可靠的數(shù)據(jù)備份技術(shù)，確保在存儲(chǔ)設(shè)備出現(xiàn)故障的情況下，數(shù)據(jù)信息仍然保持其完整性。磁盤鏡像、磁盤雙工和雙機(jī)熱備份是保障主要的數(shù)據(jù)存儲(chǔ)設(shè)備可靠性的技術(shù)。 2.信息通信傳輸 信息通信傳輸威脅是反應(yīng)信息在計(jì)算機(jī)網(wǎng)絡(luò)上通信過(guò)程中面臨的一種嚴(yán)重的威脅，體現(xiàn)出數(shù)據(jù)流通過(guò)程中的一種外部威脅，主要來(lái)自人為因素。 美國(guó)國(guó)家安全局在2000年公布的信息保障技術(shù)框架IATF中定義對(duì)信息系統(tǒng)的攻擊分為被動(dòng)攻擊和主動(dòng)攻擊。 被動(dòng)攻擊:是指對(duì)數(shù)據(jù)的非法截取。主要是監(jiān)視公共媒體。它只截獲數(shù)據(jù)，但不對(duì)數(shù)據(jù)進(jìn)行篡改。例如:監(jiān)視明文、解密通信數(shù)據(jù)、口令嗅探、通信量分析等。 主動(dòng)攻擊:指避開(kāi)或打破安全防護(hù)、引入惡意代碼(如計(jì)算機(jī)病

5、毒)，破壞數(shù)據(jù)和系統(tǒng)的完整性。主動(dòng)攻擊的主要破壞有4種:篡改數(shù)據(jù)、數(shù)據(jù)或系統(tǒng)破壞、拒絕服務(wù)及偽造身份連接。13.1.3 信息系統(tǒng)的安全隱患1.缺乏數(shù)據(jù)存儲(chǔ)冗余設(shè)備 為保證在數(shù)據(jù)存儲(chǔ)設(shè)備在發(fā)生故障的情況下數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被丟失或破壞，就需要磁盤鏡像、雙機(jī)熱備份這樣的冗余存儲(chǔ)設(shè)備。財(cái)務(wù)系統(tǒng)的數(shù)據(jù)安全隱患是最普遍存在的典型例子。 目前，各行各業(yè)都在大量使用計(jì)算機(jī)作為數(shù)據(jù)處理的主要手段，多數(shù)情況下重要的數(shù)據(jù)都存放在計(jì)算機(jī)上，通過(guò)定期備份數(shù)據(jù)來(lái)保證數(shù)據(jù)安全。一旦計(jì)算機(jī)磁盤損壞，總會(huì)有沒(méi)來(lái)得及備份的數(shù)據(jù)丟失。13.1.3 信息系統(tǒng)的安全隱患 2.缺乏必要的數(shù)據(jù)安全防范機(jī)制 為保護(hù)信息系統(tǒng)的安全，就必須采用

6、必要的安全機(jī)制。必要的安全機(jī)制有:訪問(wèn)控制機(jī)制、數(shù)據(jù)加密機(jī)制、操作系統(tǒng)漏洞修補(bǔ)機(jī)制和防火墻機(jī)制。缺乏必要的數(shù)據(jù)安全防范機(jī)制，或者數(shù)據(jù)安全防范機(jī)制不完整，必然為惡意攻擊留下可乘之機(jī)，這是極其危險(xiǎn)的。 (1)缺乏或不完善的訪問(wèn)控制機(jī)制 訪問(wèn)控制也稱存取控制(Access Control )，是最基本的安全防范措施之一。訪問(wèn)控制是通過(guò)用戶標(biāo)識(shí)和口令阻截未授權(quán)用戶訪問(wèn)數(shù)據(jù)資源，限制合法用戶使用數(shù)據(jù)權(quán)限的一種制。缺乏或不完善的訪問(wèn)控制機(jī)制直接威脅信息數(shù)據(jù)的安全。 (2)不使用數(shù)據(jù)加密 如果數(shù)據(jù)未加密就進(jìn)行網(wǎng)絡(luò)傳輸是非常危險(xiǎn)的。由于網(wǎng)絡(luò)的開(kāi)放性，網(wǎng)絡(luò)技術(shù)和協(xié)議是公開(kāi)的，攻擊者遠(yuǎn)程截獲數(shù)據(jù)變得非常容易。如果

7、商業(yè)、金融系統(tǒng)中的數(shù)據(jù)不進(jìn)行加密就在網(wǎng)絡(luò)中傳輸，后果是不堪設(shè)想的。13.1.3 信息系統(tǒng)的安全隱患( 3)忽視操作系統(tǒng)漏洞修補(bǔ) 對(duì)信息安全的攻擊需要通過(guò)計(jì)算機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備所使用的操作系統(tǒng)中存在的漏洞進(jìn)行。任何軟件都存在一定的缺陷，在發(fā)布后需要進(jìn)行不斷升級(jí)、修補(bǔ)。Windows 2000, WindowsXP, Windows 2003自發(fā)布以來(lái)，已經(jīng)公布了10余種補(bǔ)丁程序。通過(guò)安裝補(bǔ)丁程序來(lái)修補(bǔ)系統(tǒng)代碼漏洞，是防止網(wǎng)絡(luò)攻擊的重要手段。 用戶可以登錄到微軟公司網(wǎng)站下載系統(tǒng)補(bǔ)丁，也可以通過(guò)系統(tǒng)自帶的Windows Upgrade程序進(jìn)行升級(jí)。如果不對(duì)操作系統(tǒng)漏洞及時(shí)修補(bǔ)，會(huì)為數(shù)據(jù)和信息系統(tǒng)留下

8、巨大的安全隱患。 (4)未建立防火墻機(jī)制 防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略，阻止非法入侵的安全機(jī)制。通常，防火墻要實(shí)現(xiàn)下列功能。 過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，強(qiáng)制性實(shí)施安全策略。 管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。 對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和報(bào)警。 如果沒(méi)有建立防火墻機(jī)制，將為非法攻擊者大開(kāi)方便之門。13.1.4 信息安全的任務(wù) 信息安全的任務(wù)是保護(hù)信息和信息系統(tǒng)的安全。為保障信息系統(tǒng)的安全，需要做到下列幾點(diǎn)。 (1)建立完整、可靠的數(shù)據(jù)存儲(chǔ)冗余備份設(shè)備和行之有效的數(shù)據(jù)災(zāi)難恢復(fù)辦法。 (2)建立嚴(yán)謹(jǐn)?shù)脑L問(wèn)控制機(jī)制，拒絕非法訪問(wèn)。 (3)利用數(shù)據(jù)加密手段，防范數(shù)據(jù)被攻擊。 (4)系統(tǒng)及時(shí)升級(jí)

9、、及時(shí)修補(bǔ)，封堵自身的安全漏洞。 (5)安裝防火墻，在用戶和網(wǎng)絡(luò)之間、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立起安全屏障。 隨著計(jì)算機(jī)應(yīng)用和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息安全問(wèn)題日趨嚴(yán)重。所以必須采取嚴(yán)謹(jǐn)?shù)姆婪稇B(tài)度和完備的安全措施來(lái)保障在傳輸、存儲(chǔ)、處理過(guò)程中的信息仍具有完整性、保密性和可用性。13.2信息存儲(chǔ)安全技術(shù) 由于計(jì)算機(jī)普遍使用磁存儲(chǔ)設(shè)備保存數(shù)據(jù)，而像磁盤這樣的存儲(chǔ)設(shè)備的壽命遠(yuǎn)低于傳統(tǒng)的紙張。因此一旦存儲(chǔ)設(shè)備出現(xiàn)故障，數(shù)據(jù)丟失或損害所帶來(lái)的損失將會(huì)是災(zāi)難性的。任何重要信息都面臨著設(shè)備故障導(dǎo)致數(shù)據(jù)破壞的嚴(yán)重問(wèn)題。 為解決這樣的問(wèn)題，就需要采取冗余數(shù)據(jù)存儲(chǔ)的方案。所謂冗余數(shù)據(jù)存儲(chǔ)，就是指數(shù)據(jù)同時(shí)被存放在兩個(gè)或兩個(gè)以上

10、的存儲(chǔ)設(shè)備中。由于存儲(chǔ)設(shè)備同時(shí)損壞的可能性很小，因此即使發(fā)生存儲(chǔ)設(shè)備故障，數(shù)據(jù)總會(huì)從沒(méi)有出現(xiàn)故障的存儲(chǔ)設(shè)備中恢復(fù)，從而保證了數(shù)據(jù)的安全。 冗余數(shù)據(jù)存儲(chǔ)安全技術(shù)不是普通的數(shù)據(jù)定時(shí)備份。采取普通的數(shù)據(jù)定時(shí)備份方案，一旦存儲(chǔ)設(shè)備出現(xiàn)故障，會(huì)丟失未來(lái)得及備份的數(shù)據(jù)，并不能確保數(shù)據(jù)的完整性。因此，為了保障信息的可靠存儲(chǔ)，需要?jiǎng)討B(tài)地實(shí)現(xiàn)數(shù)據(jù)備份，即重要數(shù)據(jù)需要同時(shí)被存放在兩個(gè)或兩個(gè)以上的存儲(chǔ)設(shè)備中，冗余存儲(chǔ)設(shè)備中的數(shù)據(jù)需要保持高度的一致性。實(shí)現(xiàn)數(shù)據(jù)動(dòng)態(tài)冗余存儲(chǔ)的技術(shù)分為磁盤鏡像、磁盤雙工和雙機(jī)熱備份。13.2.1磁盤鏡像技術(shù)磁盤鏡像的原理是:系統(tǒng)產(chǎn)生的每個(gè)vo操作都在兩個(gè)磁盤卜執(zhí)行，而這一對(duì)磁盤看起來(lái)就像

11、一個(gè)磁盤一樣。磁盤鏡像的原理如圖13-1所示。通過(guò)安裝兩塊容量和分區(qū)一致的磁盤，在操作系統(tǒng)的控制下，只要發(fā)生向磁盤A寫操作，就同時(shí)對(duì)磁盤B也進(jìn)行同樣的寫操作即可。如果磁盤A損壞，數(shù)據(jù)可以從磁盤B中恢復(fù)。反之，如果磁盤B損壞，數(shù)據(jù)在磁盤A中仍然被完好保存著。 由于采用了磁盤鏡像技術(shù)，兩塊磁盤上存儲(chǔ)的數(shù)據(jù)高度一致，因此實(shí)現(xiàn)了數(shù)據(jù)的動(dòng)態(tài)冗余備份。 Windows 2000 Server操作系統(tǒng)中配備了支持磁盤鏡像的軟件。只需要在數(shù)據(jù)服務(wù)器上安裝兩塊硬盤，經(jīng)過(guò)對(duì)操作系統(tǒng)進(jìn)行相關(guān)配置，就可以實(shí)現(xiàn)磁盤鏡像技術(shù)。 磁盤鏡像技術(shù)也會(huì)帶來(lái)一些問(wèn)題，如無(wú)用數(shù)據(jù)占用存儲(chǔ)空間，浪費(fèi)磁盤資源，降低服務(wù)器的運(yùn)行速度等。1

12、3.2.2 磁盤雙工技術(shù)磁盤雙工技術(shù)與磁盤鏡像技術(shù)一樣，會(huì)同時(shí)在兩塊或兩塊以上的磁盤中保存數(shù)據(jù)。兩種技術(shù)的區(qū)別可以從圖13-1和圖13-2中看出:在磁盤鏡像技術(shù)中，兩塊磁盤共用一個(gè)磁盤驅(qū)動(dòng)控制器;而在磁盤雙工技術(shù)中，則需要使用動(dòng)控制器;而在磁盤雙工技術(shù)中，則需要使用兩個(gè)磁盤驅(qū)動(dòng)控制器，分別驅(qū)動(dòng)各自的硬盤。 每塊硬盤有自己獨(dú)立的磁盤驅(qū)動(dòng)控制器，就可以減少軟件控制重復(fù)寫操作的時(shí)間消耗。操作系統(tǒng)執(zhí)行磁盤寫操作時(shí)，同時(shí)向兩個(gè)磁盤驅(qū)動(dòng)器發(fā)出寫命令，輸出寫數(shù)據(jù)，因此大大提高了數(shù)據(jù)存儲(chǔ)的速度。 由此可見(jiàn)，磁盤雙工技術(shù)與磁盤鏡像技術(shù)一樣完成了冗余數(shù)據(jù)存儲(chǔ)的任務(wù)，但數(shù)據(jù)服務(wù)器速度降低的問(wèn)題得到了解決。 磁盤雙工

13、技術(shù)相對(duì)磁盤鏡像技術(shù)的優(yōu)勢(shì)是:磁盤鏡像技術(shù)中兩塊互為備份的磁盤共用一個(gè)磁盤驅(qū)動(dòng)控制器，磁盤驅(qū)動(dòng)控制器的故障會(huì)使兩個(gè)硬盤同時(shí)失去工作能力;而磁雙工技術(shù)則為每個(gè)磁盤單獨(dú)配置各自的磁盤驅(qū)動(dòng)控制器，這樣，即使一個(gè)磁盤驅(qū)動(dòng)控制器出現(xiàn)故障，由于另外的磁盤驅(qū)動(dòng)控制器和磁盤仍然在工作，因此數(shù)據(jù)服務(wù)器對(duì)用戶的數(shù)據(jù)存儲(chǔ)服務(wù)不會(huì)終止?？梢?jiàn)，磁盤雙工技術(shù)不僅保護(hù)了數(shù)據(jù)的完整性，還提供了一定的數(shù)據(jù)可用性支持。13.2.3雙機(jī)熱備份技術(shù) 雙機(jī)熱備份(Host Standby )，就是一臺(tái)主機(jī)作為工作機(jī)(Primary Server )，另一臺(tái)主機(jī)為備份機(jī)(Standby Server)。在系統(tǒng)正常情況下，工作機(jī)為系統(tǒng)提供

14、支持，備份機(jī)監(jiān)視工作機(jī)的運(yùn)行情況(工作機(jī)同時(shí)監(jiān)視備份機(jī)是否工作正常)。當(dāng)工作機(jī)出現(xiàn)異常，備份機(jī)主動(dòng)接管工作機(jī)的工作，繼續(xù)支持運(yùn)營(yíng)，從而保障信息系統(tǒng)能夠不間斷地運(yùn)行。待工作機(jī)修復(fù)正常后，系統(tǒng)管理員通過(guò)系統(tǒng)命令或自動(dòng)方式，將備份機(jī)的工作切換回工作機(jī)，也可以激活監(jiān)視程序，監(jiān)視備份機(jī)的運(yùn)行。此時(shí)備份機(jī)和工作機(jī)的地位相互轉(zhuǎn)換了。 對(duì)于高度重要的數(shù)據(jù)，不僅需要同時(shí)將數(shù)據(jù)存儲(chǔ)在不同的存儲(chǔ)設(shè)備中，還需要將不同的存儲(chǔ)設(shè)備遠(yuǎn)距離分開(kāi)放置，以避免火災(zāi)、地震這樣的意外破壞。雙機(jī)熱備份技術(shù)的優(yōu)勢(shì)是主數(shù)據(jù)服務(wù)器和備份服務(wù)器之間的距離可以很遠(yuǎn)，充分滿足數(shù)據(jù)安全的要求。 雙機(jī)熱備份技術(shù)還可以保證當(dāng)工作機(jī)出現(xiàn)故障時(shí)，備份機(jī)能夠

15、迅速及時(shí)地啟動(dòng)，替代工作機(jī)，承擔(dān)起數(shù)據(jù)提供任務(wù)。由于大型網(wǎng)絡(luò)上的服務(wù)器故障會(huì)造成直接的經(jīng)濟(jì)損失，帶來(lái)嚴(yán)重的后果，因此雙機(jī)熱備份技術(shù)承擔(dān)了保障數(shù)據(jù)可靠性的重要任務(wù)。13.3 信息安全防范技術(shù)13.3.1訪問(wèn)控制技術(shù) 訪問(wèn)控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它通過(guò)某種途徑顯式的管理對(duì)所有資源的訪問(wèn)請(qǐng)求。根據(jù)安全策略的要求，訪問(wèn)控制對(duì)每個(gè)資源請(qǐng)求做出許可或限制訪問(wèn)的判斷，可以有效地防止非授權(quán)的訪問(wèn)。訪問(wèn)控制是最基本的安全防范措施。訪問(wèn)控制技術(shù)是通過(guò)用戶注冊(cè)和對(duì)用戶授權(quán)進(jìn)行審查的方式實(shí)施的。用戶訪問(wèn)信息資源，需要首先通過(guò)用戶名和密碼的核對(duì)。然后，訪問(wèn)控制系統(tǒng)要監(jiān)視該用戶所有訪問(wèn)操作，并拒絕越權(quán)訪問(wèn)。

16、13.3.1訪問(wèn)控制技術(shù) 1.密碼認(rèn)證(Password Based)方式密碼認(rèn)證方式普遍存在于各種操作系統(tǒng)中，例如登錄系統(tǒng)或使用系統(tǒng)資源前，用戶需先出示其用戶名和密碼，以通過(guò)系統(tǒng)的認(rèn)證。 密碼認(rèn)證的工作機(jī)制是，用戶將自己的用戶名和密碼提交給系統(tǒng)，系統(tǒng)核對(duì)無(wú)誤后，承認(rèn)用戶身份，允許用戶訪問(wèn)所需資源，如圖13-4所示。 密碼認(rèn)證使用的方法不是一個(gè)可靠的訪問(wèn)控制機(jī)制。因?yàn)槠涿艽a在網(wǎng)絡(luò)中是以明文傳送的，沒(méi)有受到任何保護(hù)，所以攻擊者可以很輕松地截獲口令，并偽裝成授權(quán)用戶進(jìn)入安全系統(tǒng)。13.3.1訪問(wèn)控制技術(shù)2.加密認(rèn)證(Cryptographic)方式加密認(rèn)證方式可以彌補(bǔ)密碼認(rèn)證的不足，在這種認(rèn)證方式

17、中，雙方使用請(qǐng)求與響應(yīng)( Challenge & Response)的認(rèn)證方式。 加密認(rèn)證的工作機(jī)制是，用戶和系統(tǒng)都持有同一密鑰K，系統(tǒng)生成隨機(jī)數(shù)R，發(fā)送給用戶，用戶接收到R，用戶用K加密，得到X，然后回傳給系統(tǒng)，系統(tǒng)接收X，用K解密得到K，然后與R對(duì)比，如果相同，允許用戶訪問(wèn)所需資源，如圖13一5所示。13.3.2數(shù)據(jù)加密技術(shù)1.加密和解密 數(shù)據(jù)加密的基本思想就是偽裝信息，使非法接入者無(wú)法理解信息的真正含義。借助加密手段，信息以密文的方式歸檔存儲(chǔ)在計(jì)算機(jī)中，或通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，即使發(fā)生非法截獲數(shù)據(jù)或數(shù)據(jù)泄漏，非授權(quán)者也不能理解數(shù)據(jù)的真正含義，從而達(dá)到信息的保密目的。同理，非授權(quán)者也不能偽造有

18、效的密文數(shù)據(jù)達(dá)到篡改信息的目的，進(jìn)而確保了數(shù)據(jù)的真實(shí)性。 數(shù)據(jù)加密技術(shù)涉及常用術(shù)語(yǔ)如下。 .明文:需要傳輸?shù)脑摹?.密文:對(duì)原文加密后的信息。 .加密算法:將明文加密為密文的變換方法。 .密鑰:控制加密結(jié)果的數(shù)字或字符串。下面以具體實(shí)例描述加密解密過(guò)程，如圖13-6所示。13.3.2數(shù)據(jù)加密技術(shù) 在計(jì)算機(jī)網(wǎng)絡(luò)中，加密可分為“通信加密”(即傳輸過(guò)程中的數(shù)據(jù)加密)和“文件加密”(即存儲(chǔ)數(shù)據(jù)的加密)。 現(xiàn)代數(shù)據(jù)加密技術(shù)中，加密算法(如最為普及的DES算法、IDEA算法和RSA算法)是公開(kāi)的。密文的可靠性在于公開(kāi)的加密算法使用不同的密鑰，其結(jié)果是不可破解的。不言而喻，解密算法是加密算法的逆過(guò)程。 系

19、統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰。密鑰在加密和解密的過(guò)程中使用，它與明文一起被輸入給加密算法，產(chǎn)生密文。對(duì)截獲信息的破譯，事實(shí)上是對(duì)密鑰的破譯。密碼學(xué)對(duì)各種加密算法的評(píng)估，是對(duì)其抵御密碼被破解能力的評(píng)估。攻擊者破譯密文，不是對(duì)加密算法的破譯，而是對(duì)密鑰的破譯。理論上，密文都是可以破解的。但是，如果花費(fèi)很長(zhǎng)時(shí)間和代價(jià)，其信息的保密價(jià)值也就喪失了，因此，對(duì)其的加密也就是成功的。 13.3.2數(shù)據(jù)加密技術(shù)目前，任何先進(jìn)的破解技術(shù)都是建立在窮舉方法上的。也就是說(shuō)，仍然離不開(kāi)密鑰試探。當(dāng)加密算法不變時(shí)，破譯需要消耗的時(shí)問(wèn)長(zhǎng)短取決于密鑰的長(zhǎng)短和破譯者所使用的計(jì)算機(jī)的運(yùn)算能力。從表13

20、-1中數(shù)據(jù)可以看出，即使使用每秒可搜索100萬(wàn)次的計(jì)算機(jī)系統(tǒng)，對(duì)于128位的密鑰來(lái)說(shuō)，破譯仍是不可能的。 因此，為提高信息在網(wǎng)絡(luò)傳輸過(guò)程中的安全性，所用的策略無(wú)非是使用優(yōu)秀的加密算法和更長(zhǎng)的密鑰。13.3.2數(shù)據(jù)加密技術(shù)2.數(shù)字簽名在信息技術(shù)迅猛發(fā)展的時(shí)代，電子商務(wù)、電子政務(wù)、電子銀行、遠(yuǎn)程稅務(wù)申報(bào)這樣的應(yīng)用要求有電子化的數(shù)字簽名技術(shù)來(lái)支持。數(shù)字簽名技術(shù)是一種實(shí)現(xiàn)消息完整性認(rèn)證和身份認(rèn)證的重要技術(shù)。 數(shù)字簽名的特點(diǎn)如下。 (1)不可抵賴:簽名者事后不能否認(rèn)自己簽過(guò)的文件。 (2)不可偽造:簽名應(yīng)該是獨(dú)一無(wú)二的，其他人無(wú)法偽造簽名者的簽名。 ( 3)不可重用:簽名是消息的一部分，不能被挪用到其他

21、文件上。 從接收者驗(yàn)證簽名的方式可將數(shù)字簽名分為真數(shù)字簽名和公證數(shù)字簽名兩類。在真數(shù)字簽名中，如圖13-7所示，簽名者直接把簽名消息傳送給接收者，接收者無(wú)需借助第三方就能驗(yàn)證簽名。而公證數(shù)字簽名中，如圖13-8所示，把簽名消息經(jīng)由被稱作公證者的可信的第三方發(fā)送者發(fā)送給接收者，接收者不能直接驗(yàn)證簽名，簽名的合法性是通過(guò)公證者作為媒介來(lái)保證，也就是說(shuō)接收者要驗(yàn)證琴名必須同公證者合作。13.3.2數(shù)據(jù)加密技術(shù)數(shù)字簽名與手寫簽名的區(qū)別:手寫簽名根據(jù)不同的人而變化，而數(shù)字簽名對(duì)于不同的消息是不同的，即手寫簽名因人而異，數(shù)字簽名因消息而異。手寫簽名是模擬的，無(wú)論那種文字的手寫簽名，偽造者都容易模仿，而數(shù)字

22、簽名是在密鑰控制下產(chǎn)生，在沒(méi)有密鑰的情況下，模仿者幾乎無(wú)法模仿出數(shù)字簽名。13.3.3防火墻技術(shù)防火墻是一種將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分開(kāi)的方法，是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的重要基礎(chǔ)設(shè)施，主要用于限制被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行的信息存取、信息傳遞等操作。 1.什么是防火墻 防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對(duì)保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在的破壞性的侵?jǐn)_。防火墻放置的位置，如圖13-9所示。 通過(guò)網(wǎng)絡(luò)防火墻，還可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。 防火墻的作用就在于可以使網(wǎng)絡(luò)規(guī)劃清晰明了，從而有效地防止跨

23、越權(quán)限的數(shù)據(jù)訪問(wèn)。13.3.3防火墻技術(shù)2.幾種常用的防火墻常用的防火墻有兩種類型，分別是:包過(guò)濾防火墻和代理服務(wù)器防火墻。 (1)包過(guò)濾防火墻 包過(guò)濾( Packet Filter)技術(shù)是所有防火墻中的核心功能，是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)設(shè)置的過(guò)濾機(jī)制，被稱為訪問(wèn)控制列表(Access Control List ACL)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素來(lái)確定是否允許該數(shù)據(jù)包。 13.3.3防火墻技術(shù) (2)代理服務(wù)器防火墻 代理(Proxy)技術(shù)是面向應(yīng)用級(jí)防火墻的一種常用技術(shù)，它提供代理服務(wù)器的主體對(duì)象必須是有能力訪問(wèn)Inter

24、net的主機(jī)，才能為那些無(wú)權(quán)訪問(wèn)Internet的主機(jī)作代理，使得那些無(wú)法訪問(wèn)Internet的主機(jī)通過(guò)代理也可以完成訪問(wèn)Internet o 這種防火墻方案要求所有內(nèi)網(wǎng)的主機(jī)需要使用代理服務(wù)器與外網(wǎng)的主機(jī)通信。代理服務(wù)器會(huì)像真墻一樣擋在內(nèi)部用戶和外部主機(jī)之間，從外部只能看見(jiàn)代理服務(wù)器，而看不到內(nèi)部主機(jī)。外界的滲透，要從代理服務(wù)器開(kāi)始，因此增加了攻擊內(nèi)網(wǎng)主機(jī)的難度。3.3.4 地址轉(zhuǎn)換技術(shù)Internet的NIC為了組建企業(yè)網(wǎng)、局域網(wǎng)的方便，劃定3個(gè)專用局域網(wǎng)IP地址。 (1) A類地址范圍10.0.0.0w 10.255.255.255 0 (2) B類地址范圍172.16.0.0-172.

25、31.255.255 0 (3) C類地址范圍192.168.0.0-192.168.255.255 0 使用這些IP地址的計(jì)算機(jī)不能直接與Internet進(jìn)行通訊，要實(shí)現(xiàn)與Internet的通信必須采取一定的方式將局域網(wǎng)IP地址轉(zhuǎn)化為外網(wǎng)地址(真實(shí)IP地址)。NAT就是實(shí)現(xiàn)這種地址轉(zhuǎn)化的方法之一，目前被廣泛運(yùn)用。NAT用于緩解IP v4地址資源緊張的問(wèn)題，實(shí)現(xiàn)不同地址段的透明轉(zhuǎn)換，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)間的互訪。 NAT ( Network Address Translate，網(wǎng)絡(luò)地址翻譯)是一個(gè)Internet標(biāo)準(zhǔn)，置于兩網(wǎng)間的邊界，由RFC 1631定義。其功能是將外網(wǎng)可見(jiàn)的公有IP地址與內(nèi)網(wǎng)所

26、用的私有IP地址相映射，這樣，每一受保護(hù)的內(nèi)網(wǎng)可重用特定范圍的IP地址(例如192.168.x.x )，而這些地址是不用于公網(wǎng)的。3.3.4 地址轉(zhuǎn)換技術(shù)如圖13-12所示，如果在邊界路由器上加裝網(wǎng)絡(luò)地址轉(zhuǎn)換程序NAT，當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)需要連接外網(wǎng)時(shí)，NAT就會(huì)隱藏其源IP地址，并動(dòng)態(tài)分配一個(gè)外部IP地址。這樣，外部用戶就無(wú)法得知內(nèi)部網(wǎng)絡(luò)的地址，想要攻擊這臺(tái)計(jì)算機(jī)是非常困難的，從而有效地避免了來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 當(dāng)內(nèi)網(wǎng)主機(jī)192.168.0.1需要訪問(wèn)外網(wǎng)主機(jī)218.10.247.2，數(shù)據(jù)流經(jīng)路由器時(shí)，路由器中的NA7，程序會(huì)將數(shù)據(jù)報(bào)頭里的源IP地址192.168

27、.0.1更換為某個(gè)公網(wǎng)的IP地址，如12.6.8.10 0并將轉(zhuǎn)換情況保存到自己內(nèi)存中如圖13-12所示的NAT表中了。外部主機(jī)218.10.247.2發(fā)往內(nèi)網(wǎng)主機(jī)192.168.0.1的數(shù)據(jù)中，其目標(biāo)IP地址會(huì)是12.6.8.10，而不是192.168.0.1。因?yàn)樗恢?92.168.0.1這個(gè)真實(shí)地址。從外網(wǎng)來(lái)的數(shù)據(jù)報(bào)，路由器中的NA7，程序通過(guò)查NAT表，會(huì)更換目標(biāo)地址為內(nèi)網(wǎng)IP地址192.168.0.1再發(fā)送到內(nèi)網(wǎng)里來(lái)。 可見(jiàn)，地址轉(zhuǎn)換NAT技術(shù)的使用也為網(wǎng)絡(luò)提供了一種安全手段3.3.4 地址轉(zhuǎn)換技術(shù)通過(guò)表13-2還可以看到192.168.0.2主機(jī)的源IP地址已經(jīng)被更換為公網(wǎng)的I

28、P地址12.6.8.160NA7，程序的工作，需要在路由器上為其配置一定數(shù)量的公網(wǎng)IP地址。當(dāng)公網(wǎng)IP地址被全部占用的時(shí)候，無(wú)法分到公網(wǎng)IP地址的數(shù)據(jù)報(bào)將被終止傳輸。 一種稱為PAT Port Address Translation，端口地址轉(zhuǎn)換)的技術(shù)可以使有限的公網(wǎng)IP地址為更多的內(nèi)網(wǎng)主機(jī)同時(shí)提供與外網(wǎng)的通信支持。在極限的情況下，可以用一個(gè)公網(wǎng)IP地址為數(shù)白臺(tái)內(nèi)網(wǎng)主機(jī)提供支持。 在圖13-13中，內(nèi)網(wǎng)只有一個(gè)公網(wǎng)IP地址221.10.8.26。內(nèi)網(wǎng)的主機(jī)只能以這一個(gè)地址連接Internet。雖然192.168.0.1主機(jī)和192.168.0.2主機(jī)同時(shí)訪問(wèn)外網(wǎng)，但是PA7，能夠很好地用端口

29、號(hào)來(lái)判斷是哪一個(gè)主機(jī)的報(bào)文包。3.3.4 地址轉(zhuǎn)換技術(shù)13.3.5 Windows XP安全防范1.操作系統(tǒng)的漏洞 討算機(jī)操作系統(tǒng)是一個(gè)龐大的軟件程序集合，由于其設(shè)計(jì)開(kāi)發(fā)過(guò)程復(fù)雜，操作系統(tǒng)開(kāi)發(fā)人員必然存在認(rèn)知局限，使得操作系統(tǒng)發(fā)布后仍然存在弱點(diǎn)和缺陷的情況無(wú)法避免，即操作系統(tǒng)存在安全漏洞，它是計(jì)算機(jī)不安全的根本原因。 操作系統(tǒng)安全隱患一般分為兩部分:一部分是由設(shè)計(jì)缺陷造成的，包括協(xié)議方面、網(wǎng)絡(luò)服務(wù)方面、共享方面等的缺陷。另一部分則是由于使用不當(dāng)導(dǎo)致，主要表現(xiàn)為系統(tǒng)咨源或用戶賬戶權(quán)限設(shè)置不當(dāng)。 Windows XP最有名的漏洞是RPC接口漏洞。RPC(遠(yuǎn)程過(guò)程調(diào)用)提供一種程序進(jìn)程間的通信機(jī)制，

30、使得可以在一臺(tái)計(jì)算機(jī)上運(yùn)行另外一臺(tái)計(jì)算機(jī)上安裝的程序，而不必把那個(gè)程序復(fù)制到本地來(lái)運(yùn)行。大部分計(jì)算機(jī)操作系統(tǒng)都支持RPCo Windows的RPC在處理TCP/IP消息交換的部分時(shí)，存在處理異常格式消息報(bào)文的方式不正確的缺陷，為攻擊者留下了漏洞?！皼_擊波”和“震蕩波”病毒就是利用RPC的漏洞破壞系統(tǒng)的。 操作系統(tǒng)發(fā)布后，開(kāi)發(fā)廠商會(huì)嚴(yán)密監(jiān)視和搜集其軟件的缺陷，并發(fā)布漏洞補(bǔ)丁程序來(lái)進(jìn)行系統(tǒng)修復(fù)。例如，微軟公司為Windows XP發(fā)布的漏洞補(bǔ)丁程序就有10余種，用于修補(bǔ)諸如RPC溢出、IE的URL錯(cuò)誤地址分解、跨域安全模型、虛擬機(jī)安全檢查不嚴(yán)密等漏洞。常用的SP2打包補(bǔ)丁程序也起到了修補(bǔ)漏洞的功能

31、。13.3.5 Windows XP安全防范2.操作系統(tǒng)安全設(shè)置安全設(shè)置是指計(jì)算機(jī)操作系統(tǒng)中一些與安全相關(guān)的設(shè)置，如用戶權(quán)限設(shè)置、共享設(shè)置、安全屬性設(shè)置等。 1)取消自動(dòng)登錄設(shè)置 在安裝Windows時(shí)如果不經(jīng)意選擇了自動(dòng)登錄選項(xiàng)，則每當(dāng)計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)都不會(huì)要求用戶輸入用戶名和密碼，而是自動(dòng)利用用戶前次登錄使用過(guò)的用戶名和密碼進(jìn)行登錄。這樣，其他人就會(huì)很容易進(jìn)入自己的計(jì)算機(jī)，這是不安全的。 從事危害政治穩(wěn)定、損害安定團(tuán)結(jié)、破壞公共秩序的活動(dòng)，復(fù)制、傳播上述內(nèi)容的消息和文章。 (2)任意張貼帖子對(duì)他人進(jìn)行人身攻擊，不負(fù)責(zé)任地散布流言蜚語(yǔ)或偏激的語(yǔ)言，對(duì)個(gè)人、單位甚至政府造成損害。 3)竊取或泄

32、露他人秘密，侵害他人正當(dāng)權(quán)益。 (4)利用網(wǎng)絡(luò)賭博或從事有傷風(fēng)化的活動(dòng)。 (5)制造病毒，故意在網(wǎng)上發(fā)布、傳播具有計(jì)算機(jī)病毒的信息，向網(wǎng)絡(luò)故意傳播計(jì)算機(jī)病毒，造成他人計(jì)算機(jī)甚至網(wǎng)絡(luò)系統(tǒng)發(fā)生阻塞、溢出、處理機(jī)忙、死鎖、癱瘓等。 6)冒用他人IP，從事網(wǎng)上活動(dòng)，通過(guò)掃描、偵聽(tīng)、破解口令、安置木馬、遠(yuǎn)程接管、利用系統(tǒng)缺陷等手段進(jìn)入他人計(jì)算機(jī)。 (7)明知自己的計(jì)算機(jī)感染了損害網(wǎng)絡(luò)性能的病毒仍然不采取措施，妨礙網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)系統(tǒng)和其他用戶正常使用網(wǎng)絡(luò)。 (8)缺乏網(wǎng)絡(luò)文明禮儀，在網(wǎng)絡(luò)中用粗魯語(yǔ)言發(fā)言。13.5.2網(wǎng)絡(luò)安全法規(guī)為了維護(hù)網(wǎng)絡(luò)安全，國(guó)家和管理組織制定了一系列網(wǎng)絡(luò)安全政策、法規(guī)。在網(wǎng)絡(luò)操作和應(yīng)

33、用中應(yīng)自覺(jué)遵守國(guó)家的有關(guān)法律和法規(guī)，自覺(jué)遵守各級(jí)網(wǎng)絡(luò)管理部門制定的有關(guān)管理辦法和規(guī)章制度，自覺(jué)遵守網(wǎng)絡(luò)禮儀和道德規(guī)范。 1.知識(shí)產(chǎn)權(quán)保護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)中的活動(dòng)與社會(huì)上其他方式的活動(dòng)一樣，需要尊重別人的知識(shí)產(chǎn)權(quán)。由于從計(jì)算機(jī)網(wǎng)絡(luò)很容易獲取信息，就可能忽略哪些知識(shí)產(chǎn)權(quán)是受到保護(hù)的，哪些是無(wú)償提供的，人們也會(huì)無(wú)意識(shí)地侵犯他人的知識(shí)產(chǎn)權(quán)。為此，使用計(jì)算機(jī)網(wǎng)絡(luò)信息時(shí)，要注意區(qū)分哪些是受到知識(shí)產(chǎn)權(quán)保護(hù)的信息。 狹義的知識(shí)產(chǎn)權(quán)包括著作權(quán)、商標(biāo)權(quán)和專利權(quán)。通常，如果無(wú)特殊的免費(fèi)提供聲明，文字報(bào)道、論文、技術(shù)說(shuō)明、圖紙、圖片、聲音、錄像、圖表、標(biāo)志、標(biāo)識(shí)、廣告、商標(biāo)、商號(hào)、域名、版面設(shè)計(jì)、專欄目錄與名稱、內(nèi)容分類

34、標(biāo)準(zhǔn)等，均受中華人民共和國(guó)著作權(quán)法、 中華人民共和國(guó)商標(biāo)法、中華人民共和國(guó)專利法及適用之國(guó)際公約中有關(guān)著作權(quán)、商標(biāo)權(quán)、專利權(quán)其他財(cái)產(chǎn)所有權(quán)法律的保護(hù)。上述內(nèi)容是不能被擅自發(fā)行、播送、轉(zhuǎn)載、復(fù)制、重制、改動(dòng)、散布、表演和展示的，否則，就有可能侵犯別人的版權(quán)，觸犯法律。 在網(wǎng)絡(luò)中還應(yīng)注意避免侵犯別人的隱私權(quán)，不能在網(wǎng)上隨意發(fā)布、散布別人的個(gè)人資料。這不僅包括照片，還包括別人的姓名、電子信箱、生日、性別、電話、職業(yè)等內(nèi)容。 2.保密法規(guī) Internet的安全性能對(duì)用戶在進(jìn)行網(wǎng)絡(luò)互聯(lián)時(shí)如何確保國(guó)家秘密、商業(yè)秘密和技術(shù)秘密提出了挑戰(zhàn)。軍隊(duì)、軍工、政府、金融、研究院所、電信部門以及企業(yè)提出的高度數(shù)據(jù)安全

35、要求，使人們要高度提高警惕，避免因?yàn)樾姑芏鴵p害國(guó)家、企業(yè)、團(tuán)體的利益。 國(guó)家保密局2000年1月1日起頒布實(shí)施計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定，明確規(guī)定了哪些泄密行為或者哪些信息保護(hù)措施不當(dāng)造成泄密的行為觸犯了法律。如該規(guī)定中第2章保密制度的第6條規(guī)定:“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與因特網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”。 國(guó)家有關(guān)信息安全的法律、法規(guī)要求人們加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的保密管理，以確保國(guó)家、企業(yè)秘密的安全。13.5.2網(wǎng)絡(luò)安全法規(guī) 3.防止和制止網(wǎng)絡(luò)犯罪的法規(guī) 必須認(rèn)識(shí)到，網(wǎng)絡(luò)犯罪已經(jīng)不僅是不良和不道德的現(xiàn)象，而且也是觸犯法律的行為。 網(wǎng)絡(luò)犯罪與普通

36、犯罪一樣，也分為故意犯罪和過(guò)失犯罪。盡管處罰程度不同，但是這些犯罪行為都會(huì)受到法律的追究。因此，在使用計(jì)算機(jī)和網(wǎng)絡(luò)時(shí)，知道哪些事是違法行為、哪些事是不道德行為是非常重要的。 在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、中華人民共和國(guó)電信條例、互聯(lián)網(wǎng)信息服務(wù)管理辦法等法律、法規(guī)文件中都有“破壞計(jì)算機(jī)系統(tǒng)”、“非法入侵計(jì)算機(jī)系統(tǒng)”等明確的罪名。1997年新刑法第285條明確規(guī)定:“違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役”。最高人民法院于1997年12月確定上述罪行的罪名為“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”。 每個(gè)人需要學(xué)習(xí)上述法律文件和相關(guān)的文件，知法、懂法、守法，增強(qiáng)自身保護(hù)意識(shí)、防范意識(shí)，抵制計(jì)算機(jī)網(wǎng)絡(luò)犯罪的行為。 4.信息傳播條例 依據(jù)中華人民共和國(guó)相關(guān)互聯(lián)網(wǎng)信息傳播條例，網(wǎng)絡(luò)參與者如果有危害國(guó)家安全、泄露國(guó)家秘密、侵犯國(guó)家社會(huì)集體的和公民的合法權(quán)益的網(wǎng)絡(luò)活動(dòng)，將觸犯法律。制作、復(fù)制和傳播下列信息也要受到法律的追究。 (1)煽動(dòng)抗拒、破壞憲法和