大学计算机（第二版）冯博琴 水电大基2版_第9章 信息安全新

第9章信息安全本章目标了解信息安全的概念理解信息安全涉及的问题掌握主要的信息安全技术理解计算机病毒及防治方法191信息安全概述911信息安全、计算机安全和网络安全1信息安全信息安全包含两方面的内容，信息本身即数据的安全和信息系统的安全。（1）数据安全是指对所处理数据的机密性、完整性和可用性的保证（2）信息系统安全是指构成信息系统的三大要素的安全，即信息基础设施安全、信息资源安全和信息管理安全。22计算机安全国际标准化组织对计算机安全的定义所谓计算机安全，是指为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄密。33网络安全计算机网络系统是由网络硬件、网络软件以及网络系统中的共享数据组成的。网络安全就是保护网络系统中的硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄密，网络安全的关键是网络中的信息安全。4912网络信息系统中的不安全因素1网络信息系统的脆弱性（1）网络系统的开放性（2）软件系统的自身缺陷（3）黑客攻击2对安全的攻击（1）被动攻击（2）主动攻击（3）物理临近攻击（4）内部人员攻击（5）软、硬件装配攻击3有害程序的威胁（1）程序后门（2）特洛伊木马程序（3）“细菌”程序（4）蠕虫程序（5）逻辑炸弹程序5913网络安全的技术问题（1）网络运行系统安全包括系统处理安全和传输系统安全（2）网络系统信息安全用户身份鉴别、用户存取权限控制、数据访问权限和方式控制、安全审计、安全问题跟踪、病毒防治和数据加密（3）网络信息传播安全信息过滤、防止大量自由传输的信息失控、非法窃听（4）网络信息内容安全保证信息的保密性、真实性和完整性692网络安全常用的技术网络安全的常用技术访问控制技术数据加密技术防火墙技术7921访问控制技术主要内容1制定安全管理制度和措施2设置用户标识和口令3设置用户权限8922数据加密技术数据加密是将原文信息进行变换处理加密和解密的过程9加密和解密涉及到的常用术语明文传输的原始数据密文经过变换后的数据加密明文转换为密文的过程加密算法加密所采用的变换方法解密密文还原为明文的过程解密算法解密所采用的变换方法密钥控制加密、解密过程，有加密密钥和解密密钥10（1）对称式加密法加密和解密使用同一个密钥典型的对称式加密法替代加密算法L用一组密文字母代替一组明文字母L凯撒密码就是其中的一种优点安全性高，加密速度快。缺点密钥的管理困难对称密钥密码体制1977年美国国家标准局颁布的DES（DATAENCRYPTIONSTANDARD数据加密标准）11示例凯撒密码又称移位代换密码，加密方法L将26个英文字母AZ分别用DZ、A、B、C代换，就是将每个字母用其后第3个字母进行循环替换L加密方法中的密钥为3例如，明文“HELLO”对应的密文为“KHOOR”解密时，将每个字母用其前面第3个进行循环替换即可凯撒密码仅有25个可能的密钥，密码很容易破解12（2）非对称式加密法也称为公钥加密法，加密密钥和解密密钥不同一个是“公开密钥”、另一个是“私有密钥”两种基本使用模型加密模型和认证模型认证的目的信源识别，验证发送者是真实的完整性验证，保证信息在传送过程中没有被篡改过13非对称加密的缺点加密、解密速度太慢主要用途数字签名、密钥管理和认证实际应用中，对称密钥和公钥密钥相结合使用加密、解密采用对称密钥密码公钥密钥用于传递对称的加密密钥RSA算法是最有影响的非对称密钥密码体制14923防火墙技术1防火墙的基本概念是一种专门用于保护网络内部安全的系统，在局域网内部和网络外部之间构建网络通信的监控系统，用于监控所有进、出网络的数据流和来访者。152防火墙的功能（1）实现网间的安全控制，保障网间通信安全。（2）能有效记录网络活动情况。（3）隔离网段，限制安全问题扩散。（4）自身具有一定的抗攻击能力。（5）综合运用各种安全措施，使用先进的信息安全技术。16防火墙的局限性（1）它能保障系统的安全，但不能保障数据安全，因为它无法理解数据内容。（2）由于执行安全检查，会带来一定的系统开销，导致传输延迟、对用户不透明等问题。（3）无法阻止绕过防火墙的攻击。（4）防火墙无法阻止来自内部的威胁。173防火墙技术分类（1）包过滤技术对所有进入网络内部的数据包按指定的过滤规则进行检查，符合指定规则的允许通行，否则被丢弃缺点不能防止假冒由于只在网络层和传输层实现包过滤，对于通过高层进行非法入侵的行为无防范能力包过滤技术只是丢弃非法数据包，不具有安全保障系统所要求的可审核性不能防止来自内部人员造成的威胁18（2）代理服务器在网络内部设置一个代理服务器，将内部网络和外部网络分隔开，通过“代理”实现内、外部之间的数据交流194WINDOWXP中使用的防火墙技术（1）WINDOWS防火墙的工作原理当INTERNET或网络上某人尝试连接到某个计算机时，这种尝试称为“未经请求的请求”。计算机收到这个请求时，如果防火墙已经启用，该连接被阻止如果正在运行的程序需要从INTERNET或网络接收信息，防火墙会发出询问，询问是阻止连接还是取消阻止连接（允许连接）20（2）在WINDOWSXP中设置防火墙1）在“控制面板”中双击“WINDOWS防火墙”，打开对话框2）对话框中有三个选项卡常规“启用”或“关闭”防火墙例外选择被允许访问INTERNET的应用程序高级启用日志记录，查看网络连接记录21924WINDOWS中的安全机制1系统安全（1）安全区域将网络划分为四大区域本地INTRANET该区域包括本单位内部的全部站点，其默认安全级为中级。可信站点区域该区域包含可信任的站点，从这些站点下载或运行文件不用担心安全问题。默认的安全级为低级。受限站点区域该区域包含有可能损害计算机系统或数据安全的网站，默认的安全级为高级。INTERNET该区域包含不属于上述3个区域中的所有网站，默认的安全级为中级。22（2）安全模型安全模型的主要特征是用户验证和访问控制。（3）公用密钥WINDOWS的公用密钥体系由数字证书、智能卡和公用密钥策略组成。（4）数据保护通过用户验证、访问控制和数据加密技术等手段相结合而实现的。232帐户和组安全为了验证用户的合法身份，系统管理员为所有要进入系统的用户建立帐户和设置使用权限。组可以包含用户、计算机和组帐户。对组设置的安全策略适用于组中所有成员。243文件系统安全WINDOWS推荐使用NTFS文件系统。NTFS支持对关键数据完整性的访问控制，通过设置访问权限可以实现对指定文件和目录的安全保护。254IP安全IP安全性是通过自动对进出该系统的IP数据包进行加密或解密来实现的。2693计算机病毒及其防治931计算机病毒常识1计算机病毒的定义中华人民共和国计算机信息系统安全保护条例计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的程序代码2计算机病毒的特性（1）感染性（2）破坏性（3）隐蔽性（4）潜伏性（5）发作性273计算机病毒的分类（1）引导型病毒利用系统启动的引导原理而设计的，典型的有大麻病毒、小球病毒等。（2）文件型病毒主要感染可执行文件（COM、EXE、OVL、SYS等）（3）混合型病毒兼有两种以上病毒类型特征的病毒28（4）宏病毒是一种寄存于文档或模板的宏中的计算机病毒。主要利用软件（如WORD、EXCEL等）本身所提供的宏功能而设计（5）网络病毒是在网络上运行并传播、破坏网络系统的病毒（6）邮件病毒主要是利用电子邮件软件（如OE）的漏洞进行传播的病毒，典型的有“MELISSA”（梅丽莎）和“NIMDA”（妮姆达）等29932计算机病毒的危害及防治1计算机病毒主要危害（1）对磁盘上数据的直接破坏（2）非法侵占磁盘空间破坏信息数据（3）抢占系统资源、影响计算机运行速度302计算机病毒的预防（1）尊重知识产权，使用正版软件。（2）建立、健全各种切实可行的预防管理规章、制度。（3）严格管理。（4）重要数据要定期与不定期地进行备份。（5）严格管理和限制用户的访问权限。（6）随时观察计算机各种异常现象，并经常用杀毒软件进行检测。313计算机病毒的检测（1）显示异常或出现异常提示；（2）计算机执行速度越来越慢；（3）原来可以执行的一些程序无故不能执行了；（4）计算机系统出现异常死机；（5）文件夹中无故多了一些重复或奇怪的文件。（6）硬盘指示灯无故闪亮，或突然出现坏块和坏道，或不能开机；（7）存储空间异常减少导致空间不足。（8）网络速度变慢或者出现一些莫名其妙的网络连接。（9）电子邮箱中有不明来路的信件。324计算机病毒的清除（1）人工消除病毒法借助工