1、計算機文化基礎(下)信息安全1第10章 信息安全10.1 信息安全概述10.2 防 火 墻 10.3 計算機病毒10.4 信息政策與法規(guī)210.1 信息安全概述10.1.0 信息安全定義10.1.1 信息安全意識 10.1.2 網(wǎng)絡道德 10.1.3 計算機犯罪10.1.3 信息安全技術 310.1.0 信息安全定義ISO(國際標準化組織)定義:信息的完整性、可用性、保密性和可靠性。通俗地說，信息安全主要是指保護信息系統(tǒng)，使其沒有危險、不受威脅、不出事故地運行。從技術角度，信息安全的技術特征主要表現(xiàn)在系統(tǒng)的可靠性、可用性、保密性、完整性、確認性、可控性等方面。從綜合性又表現(xiàn)在，它是一門以人為主

2、，涉及技術、管理和法律的綜合學科，同時還與個人道德、意識等方面緊密相關。4信息安全定義信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。信息安全的兩個方面：系統(tǒng)安全:包括操作系統(tǒng)管理的安全、數(shù)據(jù)存儲的安全、對數(shù)據(jù)訪問的安全等。網(wǎng)絡安全:則涉及信息傳輸?shù)陌踩⒕W(wǎng)絡訪問的安全認證和授權、身份認證、網(wǎng)絡設備的安全等。510.1.1 信息安全意識 1建立對信息安全的正確認識 信息安全這關系到企業(yè)、政府的業(yè)務能否持續(xù)、穩(wěn)定地運行，關系到個人安全的保證，也關系到我們國家安全的保證。所以信息安全是國家信息化戰(zhàn)略中一個十分重要的方面。 6信

3、息安全意識2掌握信息安全的基本要素和慣例 信息安全四大要素：技術、制度、流程和人。合適的標準、完善的程序、優(yōu)秀的執(zhí)行團隊，是一個企業(yè)單位信息化安全的重要保障。技術只是基礎保障，技術不等于全部，很多問題不是裝一個防火墻或者一個IDS（Intrusion Detection System，即入侵檢測系統(tǒng) ）就能解決的。制定完善的安全制度很重要，而如何執(zhí)行這個制度更為重要。信息安全先進技術防患意識完美流程嚴格制度優(yōu)秀執(zhí)行團隊法律保障 7信息安全意識3清楚可能面臨的威脅和風險美國前總統(tǒng)克林頓曾說過：“網(wǎng)絡和計算機是一把雙刃劍。它給世界帶來了巨大的利益，但同時也會成為黑客和恐怖分子威力巨大的武器?！本W(wǎng)絡

4、信息安全面臨的威脅有惡劣環(huán)境的影響、偶然故障和錯誤、人為的攻擊破壞。對計算機的人為的攻擊破壞具有明顯的目的和主動性，這是計算機安全保密面臨的最主要、最危險的威脅。 我們主要討論人為的攻擊。網(wǎng)絡不安全的原因：人為攻擊+安全缺陷 + 軟件漏洞 + 結(jié)構隱患 8網(wǎng)絡不安全的原因結(jié)構隱患-網(wǎng)絡開放性網(wǎng)絡拓撲結(jié)構的隱患和網(wǎng)絡硬件的安全缺陷業(yè)務基于公開的協(xié)議。遠程訪問使得各種攻擊無需到現(xiàn)場就能得手。連接是基于主機上的社團彼此信任的原則。安全缺陷如果網(wǎng)絡信息系統(tǒng)本身沒有任何安全缺陷，那么人為攻擊者即使本事再大也不會對網(wǎng)絡信息安全構成威脅。遺憾的是所有的網(wǎng)絡信息系統(tǒng)都不可避免地存在著一些安全缺陷。有些安全缺陷

5、可以通過努力加以避免或者改進，但有些安全缺陷是各種折衷必須付出的代價。 9網(wǎng)絡不安全的原因軟件漏洞：程序的復雜性和編程的多樣性，容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞。陷門：陷門是在程序開發(fā)時插入的一小段程序，目的可能是測試這個模塊，或是為了連接將來的更改和升級程序，也可能是為了將來發(fā)生故障后，為程序員提供方便。一旦被利用將會帶來嚴重的后果。數(shù)據(jù)庫的安全漏洞：某些數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲，這是不夠安全的。應該對存儲數(shù)據(jù)進行加密保護。TCP/IP協(xié)議的安全漏洞：TCP/IP協(xié)議在設計初期并沒有考慮安全問題。還可能存在操作系統(tǒng)的安全漏洞以及網(wǎng)絡軟件與網(wǎng)絡服務、口令設置等方面的漏洞。10

6、人為攻擊人為攻擊-黑客（HACKER)在無所不在的網(wǎng)絡世界里，無網(wǎng)不入的“黑客”是網(wǎng)絡安全最大也是最嚴重的威脅。定義：“非法入侵者”；起源： 60年代。目的： 基于興趣入侵，基于利益入侵，信息戰(zhàn)等。人為攻擊方法非法訪問：非法登錄系統(tǒng)，非法讀取系統(tǒng)的數(shù)據(jù)，竊聽網(wǎng)絡通信數(shù)據(jù)信息泄漏：數(shù)據(jù)泄漏，狀態(tài)泄漏；破壞數(shù)據(jù)：破壞系統(tǒng)配置數(shù)據(jù)，破壞通信數(shù)據(jù)（插入、刪除、篡改）。欺騙：IP地址欺騙、身份欺騙；抵賴：源抵賴、目的抵賴；系統(tǒng)可用性：占用資源攻擊，拒絕服務攻擊；11人為攻擊誰是攻擊者大專院校的學生和青少年單位工作人員競爭者計算機地下組織的侵襲者職業(yè)竊賊和工業(yè)間諜成就感者無所事事者軍事目的間諜12信息安全

7、意識4養(yǎng)成良好的安全習慣 1）良好的密碼設置習慣 2）網(wǎng)絡和個人計算機安全 3）電子郵件安全 4）打印機和其他媒介安全 5）物理安全 1310.1.2 網(wǎng)絡道德 網(wǎng)絡道德概念：計算機網(wǎng)絡道德是用來約束網(wǎng)絡從業(yè)人員的言行，指導他們的思想的一整套道德規(guī)范。涉及內(nèi)容計算機網(wǎng)絡道德可涉及到計算機工作人員的思想意識、服務態(tài)度、業(yè)務鉆研、安全意識、待遇得失及其公共道德等方面。自學此節(jié)！1410.1.3 計算機犯罪 1. 計算機犯罪的概念指行為人以計算機作為工具或以計算機資產(chǎn)作為攻擊對象實施的嚴重危害社會的行為。利用計算機 或 攻擊計算機資產(chǎn)行為。2. 計算機犯罪的特點 1）犯罪智能化 2）犯罪手段隱蔽 3

8、）跨國性 4）犯罪目的多樣化 5）犯罪分子低齡化 6）犯罪后果嚴重 15計算機犯罪3. 計算機犯罪的手段 1）制造和傳播計算機病毒 2）數(shù)據(jù)欺騙 3）特洛伊木馬 4）意大利香腸戰(zhàn)術 5）超級沖殺 6）活動天窗 7）邏輯炸彈 8）清理垃圾 9）數(shù)據(jù)泄漏 10）電子嗅探器 還有社交方法，電子欺騙技術，瀏覽，順手牽羊和對程序、數(shù)據(jù)集、系統(tǒng)設備的物理破壞等犯罪手段。16計算機犯罪4. 黑客黑客已成為一個廣泛的社會群體，其主要觀點是：所有信息都應該免費共享；信息無國界，任何人都可以在任何時間地點獲取他認為有必要了解的任何信息；通往計算機的路不止一條；打破計算機集權；反對國家和政府部門對信息的壟斷和封鎖。

9、黑客的行為會擾亂網(wǎng)絡的正常運行，甚至會演變?yōu)榉缸铩?710.1.4 信息安全技術 目前信息安全技術主要有：密碼技術、防火墻技術、虛擬專用網(wǎng)（VPN）技術、病毒與反病毒技術以及其他安全保密技術。1. 密碼技術1）基本概念：密碼技術是網(wǎng)絡信息安全與保密的核心和關鍵。通過密碼技術的變換或編碼，將機密、敏感的消息變換成難以讀懂的亂碼型文字。目的一，防止解密；目的二，防止偽造或篡改加密的信息。研究密碼技術的學科稱為密碼學。分支：密碼編碼學和密碼分析學。兩者相互對立，又相互促進。18信息安全技術明文：發(fā)送方要發(fā)送的消息。密文：明文被變換成看似無意義的隨機消息。加密：明文到密文的變換過程。解密：合法接收者從

10、密文恢復出明文的過程。破譯：非法接收者試圖從密文分析出明文的過程。加密算法：對明文進行加密時采用的一組規(guī)則。解密算法：對密文解密時采用的一組規(guī)則。密鑰：控制加密算法和解密算法的一組僅有合法用戶知道的該密碼。加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰。 19信息安全技術2）單鑰加密與雙鑰加密傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，或從一個可以推出另一個，被稱為單鑰或?qū)ΨQ密碼體制。若加密密鑰和解密密鑰不相同，從一個難以推出另一個，則稱為雙鑰或非對稱密碼體制。單鑰密碼的優(yōu)點是加、解密速度快。缺點是隨著網(wǎng)絡規(guī)模的擴大，密鑰的管理成為一個難點；無法解決消息確認問題；缺乏自動檢測密鑰泄露的能力

11、。采用雙鑰體制的每個用戶都有一對選定的密鑰：一個是可以公開的，可以像電話號碼一樣進行注冊公布；另一個則是秘密的，因此雙鑰體制又稱作公鑰體制。由于雙鑰密碼體制的加密和解密不同，且能公開加密密鑰，而僅需保密解密密鑰，所以雙鑰密碼不存在密鑰管理問題。雙鑰密碼還有一個優(yōu)點是可以擁有數(shù)字簽名等新功能。雙鑰密碼的缺點是雙鑰密碼算法一般比較復雜，加、解密速度慢。20信息安全技術 網(wǎng)絡中的加密普遍采用雙鑰和單鑰密碼相結(jié)合的混合加密體制，即加、解密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加、解密速度的問題。 21信息安全技術3）著名密碼算法介紹（1）分組密碼算法： 數(shù)據(jù)加密標

12、準是迄今世界上最為廣泛使用和流行的一種分組密碼算法。它的產(chǎn)生被認為是20世紀70年代信息加密技術發(fā)展史上的兩大里程碑之一。 DES是一種單鑰密碼算法，它是一種典型的按分組方式工作的密碼。其基本思想是將二進制序列的明文分成每64位一組，用長為56位的密鑰對其進行16輪代換和換位加密，最后形成密文。DES的巧妙之處在于，除了密鑰輸入順序之外，其加密和解密的步驟完全相同，這就使得在制作DES芯片時，易于做到標準化和通用化，這一點尤其適合現(xiàn)代通信的需要。在DES出現(xiàn)以后，經(jīng)過許多專家學者的分析論證，證明它是一種性能良好的數(shù)據(jù)加密算法，不僅隨機特性好，線性復雜度高，而且易于實現(xiàn)，因此，DES在國際上得到

13、了廣泛的應用。22信息安全技術 但是，最近對DES的破譯取得了突破性的進展。破譯者能夠用窮舉法借助網(wǎng)絡計算在短短的二十余小時就攻破56位的DES，所以，在堅定的破譯者面前，可以說DES已經(jīng)不再安全了。 其他的分組密碼算法還有IDEA密碼算法、LOKI算法、Rijndael算法等。 23信息安全技術（2）公鑰密碼算法： 最著名的公鑰密碼體制是RSA算法。 RSA算法是一種用數(shù)論構造的、也是迄今理論上最為成熟完善的一種公鑰密碼體制，該體制已得到廣泛的應用。它的安全性基于“大數(shù)分解和素性檢測”這一已知的著名數(shù)論難題基礎，而體制的構造則基于數(shù)學上的Euler定理。但是，由于RSA涉及高次冪運算，用軟件

14、實現(xiàn)速度較慢，尤其是在加密大量數(shù)據(jù)時，所以，一般用硬件來實現(xiàn)RSA。RSA中的加、解密變換是可交換的互逆變換。RSA還可用來做數(shù)字簽名，從而完成對用戶的身份認證。 著名的公鑰密碼算法還有Diffie-Hellman密鑰分配密碼體制、Elgamal公鑰體制、Knapsack體制等，由于涉及較深的數(shù)學理論，在此不再贅述。24信息安全技術2. 防火墻技術 當構筑和使用木制結(jié)構房屋的時侯，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物被稱為防火墻。在今天的電子信息世界里，人們借助了這個概念，使用防火墻來保護計算機網(wǎng)絡免受非授權人員的騷擾與黑客的入侵，不過這些防火墻是由先

15、進的計算機系統(tǒng)構成的。在本章第二節(jié)中將詳細學習防火墻的有關知識。25信息安全技術3. 虛擬專用網(wǎng)（VPN）技術 虛擬專網(wǎng)是虛擬私有網(wǎng)絡（VPN，Virtual Private Network）的簡稱，它是一種利用公用網(wǎng)絡來構建的私有專用網(wǎng)絡。目前，能夠用于構建 VPN 的公用網(wǎng)絡包括Internet和服務提供商（ISP）所提供的DDN專線（Digital Data Network Leased Line）、幀中繼（Frame Relay）、ATM等，構建在這些公共網(wǎng)絡上的VPN將給企業(yè)提供集安全性、可靠性和可管理性于一身的私有專用網(wǎng)絡?！疤摂M”的概念是相對傳統(tǒng)私有專用網(wǎng)絡的構建方式而言的，對于

16、廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號和專線連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴。26信息安全技術1）VPN的三種類型 VPN有三種類型，即：訪問虛擬專網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（Intranet VPN）、擴展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）。 2）VPN的優(yōu)點 利用公用網(wǎng)絡構建虛擬私有網(wǎng)絡是個新型的網(wǎng)絡概念，它給服務提供商（ISP）和VPN用戶都將帶來不少的益處。 對ISP而言，通過向企業(yè)提供VPN這種增值服務，可以與企業(yè)建立更加

17、緊密的長期合作關系，同時充分利用現(xiàn)有網(wǎng)絡資源，提高業(yè)務量。 對于VPN用戶而言，利用Internet組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費用，而且，企業(yè)甚至可以不必維護自己的廣域網(wǎng)系統(tǒng)，交由專業(yè)的ISP來幫你完成；VPN用戶的網(wǎng)絡地址可以由企業(yè)內(nèi)部進行統(tǒng)一分配、VPN組網(wǎng)的靈活、方便性等特性將大大方便企業(yè)的網(wǎng)絡管理；另外，在VPN應用中，通過遠端用戶驗證以及隧道數(shù)據(jù)加密等技術使得通過公用網(wǎng)絡傳輸?shù)乃接袛?shù)據(jù)的安全性得到了很好的保證。 27信息安全技術4病毒與反病毒技術 計算機病毒的發(fā)展歷史悠久,從20世紀80年代中后期廣泛傳播開來至今，據(jù)統(tǒng)計世界上已存在的計算機病毒

18、有5000余種，并且每月以平均幾十種的速度增加。 計算機病毒是具有自我復制能力的計算機程序，它能影響計算機軟、硬件的正常運行，破壞數(shù)據(jù)的正確性與完整性，造成計算機或計算機網(wǎng)絡癱瘓，給人們的經(jīng)濟和社會生活造成巨大的損失并且成上升的趨勢。統(tǒng)計數(shù)據(jù)表明：1999年電腦病毒造成的全球經(jīng)濟損失為36億美元，2003年則達到了280億美元。 計算機病毒的危害不言而喻，人類面臨這一世界性的公害采取了許多行之有效的措施：如加強教育和立法，從產(chǎn)生病毒源頭上杜絕病毒；加強反病毒技術的研究，從技術上解決病毒傳播和發(fā)作。本章第三節(jié)將深入分析病毒的原理與特點。 28信息安全技術5. 其他安全與保密技術1）實體及硬件安全

19、技術 實體及硬件安全是指保護計算機設備、設施（含網(wǎng)絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環(huán)境事故（包括電磁污染等）破壞的措施和過程。實體安全是整個計算機系統(tǒng)安全的前提，如果實體安全得不到保證，則整個系統(tǒng)就失去了正常工作的基本環(huán)境。另外，在計算機系統(tǒng)的故障現(xiàn)象中，硬件的故障也占到了很大的比例。正確分析故障原因，快速排除故障，可以避免不必要的故障檢測工作，使系統(tǒng)得以正常運行。29信息安全技術2）數(shù)據(jù)庫安全技術 數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關重要，關系到企業(yè)興衰、國家安全。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)

20、成為業(yè)界人士探索研究的重要課題之一。 數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機制外，還與外部網(wǎng)絡環(huán)境、應用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關，因此，從廣義上講，數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次：30信息安全技術（1）網(wǎng)絡系統(tǒng)層次： 從廣義上講，數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡系統(tǒng)?？梢哉f網(wǎng)絡系統(tǒng)是數(shù)據(jù)庫應用的外部環(huán)境和基礎，數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強大作用離不開網(wǎng)絡系統(tǒng)的支持。網(wǎng)絡系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡系統(tǒng)開始的。 網(wǎng)絡系統(tǒng)層次的安全防范技術有很多種，大致可以分為防火墻、入侵檢測、協(xié)作式入侵檢測技術等。 31信息安全技術（2）宿主操作系統(tǒng)層次： 操作系統(tǒng)是大型數(shù)據(jù)

21、庫系統(tǒng)的運行平臺，為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護。目前操作系統(tǒng)平臺大多數(shù)集中在Windows NT和Unix，安全級別通常為C1、C2級。主要安全技術有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。數(shù)據(jù)安全主要體現(xiàn)在以下幾個方面：數(shù)據(jù)加密技術、數(shù)據(jù)備份、數(shù)據(jù)存儲、數(shù)據(jù)傳輸?shù)陌踩缘?。可以采用的技術很多，主要有Kerberos認證、IPSec、SSL等技術。32信息安全技術（3）數(shù)據(jù)庫管理系統(tǒng)層次： 數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機制非常強大，則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。目前市場上流行的是關系式數(shù)據(jù)庫管理系統(tǒng)，其安全性功能很弱，這就導致數(shù)據(jù)庫系統(tǒng)

22、的安全性存在一定的威脅。解決這一問題的有效方法之一是數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件進行加密處理，使得即使數(shù)據(jù)不幸泄露或者丟失，也難以被人破譯和閱讀。 這三個層次構筑成數(shù)據(jù)庫系統(tǒng)的安全體系，與數(shù)據(jù)安全的關系是逐步緊密的，防范的重要性也逐層加強，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。 返 回3310.2 防 火 墻 防火墻是近年發(fā)展起來的一種保護計算機網(wǎng)絡安全的訪問控制技術。它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障，在網(wǎng)絡邊界上，通過建立起網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，以阻擋通過外部網(wǎng)絡的入侵。 3410.2 防 火 墻10.2.1 防火墻的概念10.2.2 防火墻的類型 10.2.3

23、防火墻的體系結(jié)構 返 回3510.2.1 防火墻的概念 防火墻是用于在企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)之間實施安全策略的一個系統(tǒng)或一組系統(tǒng)。它決定網(wǎng)絡內(nèi)部服務中哪些可被外界訪問，外界的哪些人可以訪問哪些內(nèi)部服務，同時還決定內(nèi)部人員可以訪問哪些外部服務。所有來自和去往因特網(wǎng)的業(yè)務流都必須接受防火墻的檢查。防火墻必須只允許授權的業(yè)務流通過，并且防火墻本身也必須能夠抵抗?jié)B透攻擊，因為攻擊者一旦突破或繞過防火墻系統(tǒng)，防火墻就不能提供任何保護了。 36防火墻的概念1. 防火墻的基本功能 一個有效的防火墻應該能夠確保：所有從Internet流出或流入的信息都將經(jīng)過防火墻；所有流經(jīng)防火墻的信息都應接受檢查。設置防火墻的目

24、的是在內(nèi)部網(wǎng)與外部網(wǎng)之間設立惟一的通道，簡化網(wǎng)絡的安全管理。 從總體上看，防火墻應具有如下基本功能：過濾進出網(wǎng)絡的數(shù)據(jù)包；管理進出網(wǎng)絡的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡攻擊進行檢測和告警。 37防火墻的概念2. 防火墻存在的缺陷 防火墻可能存在如下一些缺陷：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻不能防止感染了病毒的軟件或文件的傳輸；防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。 返 回3810.2.2 防火墻的類型 按照防火墻保護網(wǎng)絡使用方法的不同，可將其分為三種類型： 1)網(wǎng)絡層防火墻 2)應用層防火墻 3)鏈路層防火墻。3910.2.3 防火墻的體系結(jié)構防火墻的體

25、系結(jié)構多種多樣。當前流行的體系結(jié)構主要有三種： 1)雙宿網(wǎng)關 2)屏蔽主機 3)屏蔽子網(wǎng)。4010.3 計算機病毒 計算機病毒（Virus）是一組人為設計的程序，這些程序隱藏在計算機系統(tǒng)中，通過自我復制來傳播，滿足一定條件即被激活，從而給計算機系統(tǒng)造成一定損害甚至嚴重破壞。這種程序的活動方式與生物學上的病毒相似，所以被稱為計算機“病毒”?，F(xiàn)在的計算機病毒已經(jīng)不單單是計算機學術問題，而成為一個嚴重的社會問題。 10.3.1 病毒的原理與特點 10.3.2 病毒的類型10.3.3 病毒的預防 10.3.4 病毒的清除 4110.3.1 病毒的原理與特點定義是：計算機病毒，是指編制或者在計算機程序中

26、插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒特點：1）可執(zhí)行性2）破壞性3）傳染性4）潛伏性5）針對性6）衍生性7）抗反病毒軟件性4210.3.2 病毒的類型計算機病毒的分類方法很多，微機上的計算機病毒通?？煞譃? 1)引導區(qū)型 2)文件型 3)混合型 4)宏病毒等四類。4310.3.3 病毒的預防預防計算機病毒，應該從管理和技術兩方面進行。 1）從管理上預防病毒（1）謹慎地使用公用軟件或硬件。（2）任何新使用的軟硬件必須先檢查。（3）定期檢測計算機上的磁盤和文件并及時消除病毒。（4）對系統(tǒng)中的數(shù)據(jù)和文件要定期進行備份。（5）對所有系統(tǒng)

27、盤和文件等關鍵數(shù)據(jù)要進行寫保護。2）從技術上預防病毒硬件預防：通過增加硬件設備來保護系統(tǒng)，監(jiān)視RAM中的常駐程序，阻止對外存儲器的異常寫操作。軟件預防：方法是使用計算機病毒疫苗（程序）。監(jiān)視系統(tǒng)的運行，當發(fā)現(xiàn)某些病毒入侵時可防止病毒入侵，當發(fā)現(xiàn)非法操作時及時警告用戶或直接拒絕這種操作，使病毒無法傳播。4410.3.4 病毒的清除如果發(fā)現(xiàn)計算機感染了病毒，應立即清除。通常用人工處理或反病毒軟件方式進行清除。人工處理的方法有：用正常的文件覆蓋被病毒感染的文件；刪除被病毒感染的文件；重新格式化磁盤等。這種方法有一定的危險性，容易造成對文件的破壞。用反病毒軟件對病毒進行清除是一種較好方法。常用的反病毒

28、軟件有瑞星、KV、NORTON等，需要特別注意的是要及時對反病毒軟件進行升級更新，才能保持軟件的良好殺毒性能。4510.4 信息政策與法規(guī)（自學）國家信息政策與法規(guī)的研究起源于20世紀50年代末至60年代，60年代之后，逐漸受到各國政府的重視，各國政府紛紛出臺一些信息政策和信息法規(guī)，指導本國各時期的信息工作，促進本國信息事業(yè)的發(fā)展。對各國政府在制定本國信息政策和信息法規(guī)時的背景、立法目標、制定原則進行研究，有助于為我國制定信息政策法規(guī)提供理論依據(jù)，促進國家信息政策和法規(guī)體系的建立和完善。10.4.1 信息系統(tǒng)安全保護規(guī)范化與法制化10.4.2 計算機信息系統(tǒng)安全調(diào)查 4610.4.1 信息系統(tǒng)

29、安全保護規(guī)范化與法制化1. 信息系統(tǒng)安全法規(guī)的基本內(nèi)容與作用（1）計算機違法與犯罪懲治。顯然是為了震懾犯罪，保護計算機資產(chǎn)。（2）計算機病毒治理與控制。在于嚴格控制計算機病毒的研制、開發(fā)，防止、懲罰計算機病毒的制造與傳播，從而保護計算機資產(chǎn)及其運行安全。（3）計算機安全規(guī)范與組織法。著重規(guī)定計算機安全監(jiān)察管理部門的職責和權利以及計算機負責管理部門和直接使用的部門的職責與權利。（4）數(shù)據(jù)法與數(shù)據(jù)保護法。其主要目的在于保護擁有計算機的單位或個人的正當權益，包括隱私權等。47信息系統(tǒng)安全保護規(guī)范化與法制化2. 國外計算機信息系統(tǒng)安全立法簡況 發(fā)達國家關注計算機安全立法是從20世紀60年代后期開始的。

30、 瑞典早在1973年就頒布了數(shù)據(jù)法，這大概是世界上第一部直接涉及計算機安全問題的法規(guī)。隨后，丹麥等西歐國家都先后頒布了數(shù)據(jù)法或數(shù)據(jù)保護法。1991年，歐共體12個成員國批準了軟件版權法等。在美國，國防部早在20世紀80年代就針對計算機安全保密問題開展了一系列有影響的工作。針對竊取計算機數(shù)據(jù)和對計算機信息系統(tǒng)的種種危害，于1981年成立了國家計算機安全中心（NCSC）；1983年，美國國家計算機安全中心公布了可信計算機系統(tǒng)評測標準（TCSEC）；作為聯(lián)邦政府，1986年制定了計算機詐騙條例；1987年又制定了計算機安全條例。 48信息系統(tǒng)安全保護規(guī)范化與法制化3. 國內(nèi)計算機信息系統(tǒng)安全立法簡況

31、早在1981年，我國政府就對計算機信息安全系統(tǒng)安全予以極大關注。1983年7月，公安部成立了計算機管理監(jiān)察局，主管全國的計算機安全工作。公安部于1987年10月推出了電子計算機系統(tǒng)安全規(guī)范（試行草案），這是我國第一部有關計算機安全工作的管理規(guī)范。 到目前為止，我國已經(jīng)頒布了的與計算機信息系統(tǒng)安全有關的法律法規(guī)很多 。4910.4.2 計算機信息系統(tǒng)安全調(diào)查迄今，人們對計算機安全調(diào)查這一概念仍沒有形成統(tǒng)一的認識。世界各國對計算機安全調(diào)查存在著不同的認識和見解。在我國，為對各單位、各行業(yè)的計算機信息系統(tǒng)安全性能進行評估，以便更好地提高系統(tǒng)的安全性，上級主管部門根據(jù)我國或具體地、市相關安全標準制定出

32、一整套切實可行的安全調(diào)查提綱或條款，然后計算機安全主管部門根據(jù)這一調(diào)查提綱定期對各計算機信息系統(tǒng)應用部門進行全面綜合的調(diào)查評估，這一過程稱為計算機信息系統(tǒng)安全調(diào)查。其目的主要是在系統(tǒng)未被入侵之前，對系統(tǒng)安全性能進行定期調(diào)查分析，從而最大限度地發(fā)現(xiàn)系統(tǒng)存在的安全隱患和漏洞，以便提高系統(tǒng)安全性，使其日后被攻擊的可能性降為最小。50計算機信息系統(tǒng)安全調(diào)查而在西方一些計算機事業(yè)發(fā)達國家，計算機信息系統(tǒng)安全調(diào)查指的是當某一部門或單位的計算機系統(tǒng)受到攻擊時，為挽救系統(tǒng)，盡量避免或減少損失，負責信息安全部門會介入，按照一定的法律程序并依靠一定的技術手段及管理方法對遭受攻擊的系統(tǒng)進行跟蹤調(diào)查分析，從而找出作案

33、嫌疑人，追回損失，同時發(fā)現(xiàn)系統(tǒng)安全隱患和漏洞，以降低或避免系統(tǒng)日后再被攻擊的可能性。計算機犯罪、計算機信息安全法律法規(guī)、計算機職業(yè)道德以及計算機安全調(diào)查等環(huán)節(jié)是緊密聯(lián)系、不可分割的。為促進計算機信息系統(tǒng)安全事業(yè)的進一步發(fā)展，我們還應該繼續(xù)深入研究。51網(wǎng)絡信息安全考試大綱基本要求了解信息安全的基本知識。 考試內(nèi)容信息安全面臨的威脅；計算機犯罪的概念；計算機病毒的概念；黑客的概念；密碼技術的基本概念；防火墻的基本概念。 5210.1 網(wǎng)絡信息安全概述10.1.1網(wǎng)絡信息安全的內(nèi)涵10.1.2 網(wǎng)絡信息安全面臨的威脅10.1.3 網(wǎng)絡信息安全對策10.1.4 SSL簡介5310.1.1網(wǎng)絡信息安全

34、的內(nèi)涵計算機網(wǎng)絡安全定義：計算機系統(tǒng)的硬件、軟件和數(shù)據(jù)庫受到技術和管理的安全保護，不因偶然或者惡意的原因而遭到破壞、更改和泄漏。系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。三種計算機安全實體的安全：計算機軟硬件本身的安全運行環(huán)境的安全：保證計算機在良好的環(huán)境下工作信息的安全：保障信息不會被非法閱讀、修改和泄露54網(wǎng)絡信息安全的內(nèi)涵 網(wǎng)絡安全涉及的內(nèi)容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。管理方面則側(cè)重于內(nèi)部人為因素的管理。技術方面主要側(cè)重于防范外部非法用戶的攻擊，技術特征表現(xiàn)在：可靠性、可用性、保密性、完整性、確認性、可控性、不可抵賴性?？煽啃裕壕W(wǎng)絡信息系統(tǒng)的可靠性?？?/p>

35、用性：信息可被授權的實體使用。保密性：要求通信雙方的通信內(nèi)容是保密的；這一方面要求通信的內(nèi)容不能被第三方所竊取。完整性：要保證接收到的信息是完整的。是說在傳輸?shù)倪^程中數(shù)據(jù)沒有被修改；要求接收到的信息或數(shù)據(jù)和發(fā)送方所發(fā)出的信息是完全一致的。55網(wǎng)絡信息安全的內(nèi)涵確認性：在網(wǎng)絡的通信中如何確定通信者的身份是一個重要的問題?？煽匦裕簩W(wǎng)絡信息的傳播及內(nèi)容具有控制能力的特性。不可抵賴性：網(wǎng)絡通信全部是電子形式的文檔。收到的信息經(jīng)打印機打印出來后和和一般的文檔沒有什么不同。甲給乙一份郵件，“請發(fā)貨100件”。等乙發(fā)完貨向甲收款時，甲說我沒有要你發(fā)貨。有什么辦法使甲不能抵賴所發(fā)的信息？通過身份認證、數(shù)字簽

36、名、數(shù)字信封、第三方確認等方法，來確保網(wǎng)絡信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。5610.1.3 網(wǎng)絡信息安全對策OSI的信息安全體系結(jié)構ISO7498-2 ，1989.2.15頒布，確立了基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構。六大類安全服務：鑒別、訪問控制、保密性、完整性、抗否認。八類安全機制：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務流填充、路由控制、公證。5710.1.4 SSL簡介Netscape公司最早推出了安全通信協(xié)議：安全套接層協(xié)議SSL(Secure Socket Layer) ；SSL是在Internet基礎上提供的一種保證私密性的安全協(xié)議。利用

37、公開密鑰技術的SSL協(xié)議，并已成為Internet上保密通訊的工業(yè)標準。SSL協(xié)議提供的安全信道有以下三個特性：數(shù)字證書實現(xiàn)服務器認證。因為盡管會話的客戶端認證是可選的，但是服務器端始終是被認證的。加密信息傳輸。因為在握手協(xié)議定義了會話密鑰后，所有的消息都被加密。端到端連接保證消息完整性檢查。 5810.2 計算機犯罪10.2.1 計算機犯罪10.2.2 計算機病毒10.2.3 黑客5910.2.1 計算機犯罪1、計算機犯罪的概念 所謂計算機犯罪，指行為人以計算機作為工具或以計算機資產(chǎn)作為攻擊對象，實施的嚴重危害社會的行為。2、計算機犯罪的特點（8點） 這種犯罪行為往往具有隱蔽性、智能性和嚴重

38、的社會危害性。犯罪人完全可以不受時間和空間的限制，躲在不易引人注意的角落里操縱計算機，瞬間可以使國家、組織或個人的巨額財產(chǎn)流失，國家秘密泄露，國家信息系統(tǒng)癱瘓，甚至造成社會動亂等等，危害之重，令人難以想象。 60計算機犯罪3、計算機犯罪的手段意大利香腸術這種計算機犯罪是采用他人不易覺察的手段，使對方自動做出一連串的細小讓步，最后達到犯罪的目的。如美國的一個銀行職員每次結(jié)算都截留一個四舍五入的利息尾數(shù)零頭，盜竊了一大筆款項?；顒犹齑八^活動天窗，是指程序設計者為了對軟件進行調(diào)試和維護故意設置在計算機軟件系統(tǒng)的入口點。如美國底特律的幾位汽車工程師發(fā)現(xiàn)了佛羅里達商用分時服務系統(tǒng)中的一個活動天窗，查到

39、了公司總裁的口令，進而獲取了具有重要商業(yè)價值的計算機文件。廢品利用廢品利用是指有目的或有選擇地在工作現(xiàn)場或從廢棄的資料、磁帶、磁盤中搜尋具有潛在價值的數(shù)據(jù)和信息、密碼等。61計算機犯罪數(shù)據(jù)泄露這是一種有意轉(zhuǎn)移或竊取數(shù)據(jù)的手段。如有的作案者將一些關鍵數(shù)據(jù)混雜在一般性的報表之中，然后在予以提取。間諜在計算機系統(tǒng)上安裝微型無線電發(fā)射機。如計算機和通信設備輻射出的電磁波信號可以被專用設備接收。電子嗅探器英文名稱叫sniffer的電子嗅探器是用來截獲和收藏在網(wǎng)絡上傳輸?shù)男畔⒌能浖蛴布Ｃ懊斕媸抢盟说脑L問代碼，進入計算機信息系統(tǒng)?？诹钇平獬绦蚩诹钇平獬绦蚴强梢越忾_或者屏蔽口令保護的程序62計算機犯

40、罪特洛伊木馬術特洛伊木馬術是公元前1200年古希臘特洛伊戰(zhàn)爭中，希臘人為了攻陷特洛伊城，把士兵隱藏在木馬腹中進入敵方城堡，從而贏得了戰(zhàn)爭的勝利，這種戰(zhàn)術用在計算機犯罪手段上，是以軟件程序為基礎進行欺騙和破壞的方法。數(shù)據(jù)欺騙數(shù)據(jù)欺騙是指非法篡改計算機輸入、處理和輸出過程中的數(shù)據(jù)或者輸入假數(shù)據(jù)，從而實現(xiàn)犯罪目的的手段。邏輯炸彈邏輯炸彈是指在計算機系統(tǒng)中有意設置并插入的某些程序編碼，這些編碼只有在特定的時間或在特定的條件下才自動激活，從而破壞系統(tǒng)功能或使系統(tǒng)陷入癱瘓狀態(tài)。63計算機犯罪電子欺騙技術電子欺騙技術是一種利用目標網(wǎng)絡的信任關系，即計算機之間的相互信任關系來獲取計算機系統(tǒng)非授權訪問的一種方法

41、。如IP地址電子欺騙，就是偽造他人的源IP地址，其實質(zhì)就是讓一臺機器來扮演另一臺機器，籍以達到蒙混過關的目的。入侵者不用輸入用戶帳號和口令，就可以侵入目標。利用掃描器掃描器是自動檢測遠程或本地計算機主機安全性弱點的程序。掃描器是互聯(lián)網(wǎng)安全領域最出名的破解工具。利用掃描器能使行為人不留痕跡地發(fā)現(xiàn)遠在他國的一臺服務器的安全性的弱點，從而入侵該系統(tǒng)。6410.2.2 計算機病毒計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用并能自我復制的一組指令或程序代碼。它具有可執(zhí)行性、感染性、潛伏性、可觸發(fā)性、針對性、衍生性和破壞性、抗反病毒軟件性等特點。計算機病毒種類繁多，大

42、體可分為以下四種類型：文件型病毒，這種病毒可其代碼附加于系統(tǒng)文件上；引導型病毒，這種病毒大多感染磁盤的主引導區(qū)；混合型，上述二者的結(jié)合。宏病毒，這種病毒是由一個或多個宏組成的遞歸復制自身的集合，它不破壞可執(zhí)行文件，而是破壞數(shù)據(jù)文件。65計算機病毒計算機病毒防治管理上預防病從口入技術上預防各種預防軟件計算機病毒清除：人工清除與工具軟件6610.2.3 黑客黑客(Hacker)源于英語動詞HaCk，意為“劈、砍”，引申為“辟出、開辟”，進一步的意思是“干了一件非常漂亮的工作”。在20世紀早期的麻省理工學院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術高明的惡作劇。黑客：計算機系統(tǒng)的非法

43、入侵者。今天的黑客可分為兩類：一類是駭客，他們只想引人注目，證明自己的能力，在進人網(wǎng)絡系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵人行為本身獲得巨大的成功滿足感；另一類是竊客，他們的行為帶有強烈的目的性，早期的這些黑客主要是竊取國家情報、科研情報，而現(xiàn)在的這些黑客的目標大部分瞄準了銀行的資金和電子商務的整個交易過程。6710.3 密碼技術由于Internet 是一種真正意義的全球網(wǎng)，所以假如沒有加密技術的幫助，所有的通信都會毫無“秘密”可言對一家打算從事電子商務的公司而言亦即通過Internet銷售產(chǎn)品和提供服務，通信的安全是一個最基本的前提；在Internet上

44、，每個人都需要、而且有權利保護自己的個人隱私。某人上網(wǎng)之后，對隱私的這種要求并未消失。密碼技術可有效地解決這些問題。10.3.1 基本概念10.3.2 對稱密鑰密碼體系10.3.3 非對稱密鑰密碼體系10.3.4 數(shù)字簽名6810.3.1 基本概念數(shù)據(jù)加密與解密的過程密碼是含有一個參數(shù)k的數(shù)學變換，即 C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數(shù)k稱為密鑰密文C是明文m 使用密鑰k 經(jīng)過加密算法計算后的結(jié)果；加密算法可以公開，而密鑰只能由通信雙方來掌握。6910.3.2 對稱密鑰密碼體系加密過程解密過程密鑰明文密文明文傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相

45、同，也稱為對稱密碼體制701、對稱加密算法：DESDES數(shù)據(jù)加密標準 DES (data encrytion standard)算法由IBM 發(fā)明，并于1976 年成為美國政府標準DES是一種數(shù)據(jù)分塊的加密算法，數(shù)據(jù)長度為64位，其中8位作為基偶校驗位，有效密碼長度為56位首先將明文數(shù)據(jù)進行初始置換，得到64位的混亂明文組，再將其分為2段，每段32位然后進行乘積變換，在密匙的控制下，做16次迭代最后進行逆初始變換而得到密文712、對稱加密算法： IDEAIDEA國際數(shù)據(jù)加密算法IDEA是行之有效的加密算法中最好、最安全的一種。由瑞士聯(lián)邦科學技術學院( SFT )的Xuejia Lai 和Jam

46、es Massey 提出IDEA使用3 個64 位的塊，以進一步防范加密分析過程。IDEA使用了密碼反饋操作，使得算法強度更高IDEA的密鑰長度為128 位。當試圖破譯IDEA時，它和DES一樣沒有泄露任何明文組成的信息IDEA存在最低要求。為得到強有力的密文，它在一個編碼塊中需要64 位的信息文本IDEA是為有大量數(shù)據(jù)傳輸?shù)腇TP 設計的7210.3.3 非對稱密鑰密碼體系RSA算法：1978年出現(xiàn)的，其名字來源于它的發(fā)明者Ron Rivest 、Adi Shamir 以及Leonard Adleman RSA的安全依賴于大數(shù)分解假如已知兩個非常大的質(zhì)數(shù)的乘積，那么很難解析出到底是哪兩個質(zhì)數(shù)相乘的結(jié)果(因數(shù)分解)RSA 的重要特點是其中一個密鑰可用來加密數(shù)據(jù)，另一個密鑰可用來解密。加密過程解密過程公鑰明文密文明文私鑰73公共密鑰算法 RSA這意味著任何人都能用你的公共密鑰對一條消息進行加密，而只有你才能對它進行解密。另外，你也可用自己的私人密鑰對任何東西進行加密，而拿到你的公共密鑰的任何人都能對其解密。這個概念在“非拒認”及數(shù)字簽名中是非常重要的7410.3.4 數(shù)字簽名公共密鑰加密可用來進行身份驗證，只需構建一個所謂的“數(shù)字簽名”即可。RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面。7