第7章计算机信息安全技术应用基础

1、第7章计算机信息安全技术应用基础教学对象非计算机专业学生教学班级教学学期问题引出计算机网络是计算机技术和通信技术紧密结合的产物，它的诞生使计算机体系结构发生了巨大变化。在当今社会发展中，计算机网络起着非常重要的作用， 它不仅改变了人们的生产和生活方式，并对人类社会的进步做岀了巨大贡献。从 某种意义上讲，计算机网络的发展水平不仅反映了一个国家的计算机科学和通信 技术的水平，而且也是衡量其国力及现代化程度的重要标志之一。计算机网络的 应用遍布于各个领域，并已成为人们社会生活中不可缺少的一个重要组成部分。教学重点计算机网络基本概念与结构组成。教学难点In ternet的组成、协议、IP地址与域名的构

2、成。教学目标掌握计算机网络的基本概念和基础知识；熟悉计算机网络的基本结构组成和In ternet网络的基本应用；了解计算机网络安全的基本概念和网络安全技术防护 措施。建议学时6课时教学教具多媒体教学系统教学方法讲授（PPT）教学设计以文档编辑案例引入本章各节教学内容及教学思想早节内容7.1计算机信息安全概述7.1.1计算机安全概念教学思想随着计算机及其网络的广泛使用，如何确保信息安全已7.1.2 信息安全威胁7.1.3 信息安全策略7.1.4 信息安全管理7.1.5 信息安全法律法规成为一个重要的研究课题。通过本节教学，必须使学生 了解并掌握信息安全技术的 重要意义。7.1.1计算机安全概念1

3、. 计算机安全的定义计算机安全(Computer security )是随着电子技术、信息采集技术、数据处理技术的飞速 发展，在自然科学与社会科学的交叉地带融会了系统科学、思维科学等基本概念而形成的高度 综合性学科。国际标准化委员会(ISO)的定义是：计算机安全是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、 更改、显露。我国公安部计算机管理监察司的定义是：计算机安全是指计算机资产安全，即计 算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。2 计算机安全的主要内容从上述定义可知，计算机安全的研究范围十分广泛，主要包括以下

4、4个方面的内容：(1) 物理安全(Physical Security ):指系统设施及相关设施，包括各种硬件设备、环境、建 筑、电磁辐射、数据媒体、灭火报警等。(2) 软件安全(Software Security ):指软件(包括操作系统软件、数据库管理软件、网络软 件、应用软件及相关资料)完整，包括软件开发规程、软件安全测试、软件的修改与复制。(3) 数据安全(Data Security):指系统拥有和产生的数据或信息完整、有效，使用合法， 不被破坏或泄露，包括输入、输出、识别用户、存取控制、加密、审计与追踪、备份与恢复。(4) 运行安全(Operation Security ):系统资源和

5、信息资源使用合法，包括电源、人事、机 房管理出入控制、数据与媒体管理、运行管理。7.1.2信息安全威胁目前，In ter net上存在的对计算机(网络)安全的威胁主要表现在以下4个方面。1 非授权访问非授权访问是指在未经同意的情况下使用他人计算机资源，如对网络设备及资源进行非正常使用、擅自扩大权限，越权访问信息等违法操作。2 信息泄漏或丢失信息泄漏或丢失是指重要数据信息有意或无意中被泄漏出去或丢失。例如，信息在传输过 程中丢失或泄漏；信息在存储介质中丢失或泄漏；窃取者通过建立隐蔽隧道等方式窃取敏感信 息等。3 破坏数据完整性破坏数据完整性是指以非法手段窃得对数据的使用权，删除和更新计算机中某些

6、重要信 息，以干扰用户的正常使用。4 拒绝服务拒绝服务是指网络服务系统在受到干扰的情况下正常用户的使用受到影响，甚至使合法用户不能进入计算机网络系统或不能得到相应的服务。7.1.3信息安全策略为了保证In ternet上的计算机能相对安全的工作，应提供一个特定的环境，即安全保护所 必须遵守的规则，也就是计算机安全策略，其内容主要有以下3个方面。1 威严的法律社会法律、法规与手段是安全的基石，通过建立与信息安全相关的法律、法规，使非法分 子慑于法律，不敢轻举妄动。2先进的技术先进的安全技术是信息安全的根本保障，用户对需要保护的信息选择相应的安全机制，然 后集成先进的安全技术。In ternet上

7、的安全技术有防火墙技术、加密技术、鉴别技术、数字签名 技术、审计监控技术和病毒防治技术等。3 严格的管理各网络使用机构、企业和单位都应建立相应的信息安全管理办法，加强内部管理，建立审 计和跟踪体系，提高整体信息安全意识。实现信息安全管理的措施有访问控制机制、加密机制、认证交换机制、数字签名机制和路由控制机制等。7.1.4信息安全管理计算机系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范，具体工作主要包括以下5个方面。1 确定安全管理等级(1) 根据工作的重要程度，确定该系统的安全等级。(2) 根据确定的安全等级，确定安全管理的范围。2 严格的机房管理

8、制度为了计算机的安全，必须建立严格的机房管理制度，主要体现在以下方面：(1) 做好三防：一是防火，应注意人走灯灭，断开电源；二是防盗，注意关好门窗；三是 防泄，计算机处理的数据可能有很大一部分是本单位的机密或是非常重要的原始数据。所以， 存放数据的软盘必须由专人管理，而装有数据管理系统的硬盘应该设置口令等保密措施，防止 数据丢失或泄密。(2) 分区控制：对有安全要求的系统要实行分区控制，要根据职责分离的原则，限制工作 人员岀入与己无关的区域。无关人员不许进入机房，并采用证件识别或安装自动识别登记系统， 如采用磁卡、身份卡等手段对进入机房的人员进行识别、登记管理。(3) 安全教育：加强对机房工作

9、人员的安全教育，不断提高计算机操作人员的技术水平和 职业道德，以防人为的破坏。特别要禁止玩电子游戏，因为很多病毒就是由电子游戏软件引 入的。对日夜有人上机的机房，要有严格的交接班制度，并作好机器运行的有关详细记录。3 严格的操作规程严格遵守计算机的操作规程。开机时，先开显示器，后开主机；关机时，先关主机，后关显示器。不能带电操作。在开机状态下不要随意插拨各种接口卡、部件和外设电缆。4 完备的系统维护制度对系统进行维护时， 应采取数据保护措施， 如数据备份等。维护时首先要经主管部门批准, 并有安全管理人员在场，故障的原因、维护内容和维护前后的情况都要详细记录。5 行之有效的应急措施要制订系统在发

10、生故障的情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。7.1.5信息安全的法律法规1 信息产业的规范管理为了约束人们使用计算机以及在计算机网络专利权上的行为，我国制定了一系列信息产业规范管理工业产权y商标专用权的法律法规。知识产权Y反不正当竞争权2.知识产权保护匚著作权知识产权是指人类通过创造性的智力劳动而图7-1知识产权的法律框架获得的一项智力性财产权，是一种典型的由人的创造性劳动“知识产品”。因此，知识产权也称为“智力成果权”、“智慧财产权”，它是人类通过创造性的智力劳动而获得的一项权利。按 照国际惯例，知识产权的框架如图

11、7-1所示。相关法律法规的具体内容可以浏览中国网：http:/www.chi .c n/chi ness/i ndex.htm3 关于盗版为了促进正版软件市场的发展，打击盗版软件，整顿和规范软件市场秩序，近几年来，中 国政府不断出台了一系列政策措施。4.学生的安全法规意识作为信息时代的大学生，应该懂得专利权的主要形式、专利保护的方法以及触犯专利时的惩罚，重视以这些权益为基础的道德价值防病毒技术病毒的定义与机理在教学过程中必须使学生懂得病毒的危害性，并且懂得预防早节内谷7.2.2病毒的特征与特点教学思想病毒的重要性，并不是有了杀7.2.3病毒的类型与症状毒软件就能删除

12、所有病毒。7.2.4病毒的预防与整治7.2.1病毒的定义与机理1 什么是计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用 并能够自我复制的一组计算机指令或者程序代码。2. 病毒的机理计算机病毒的工作过程一般经过六个环节，即病毒源、传染媒介、激活、注入内存、触发 和表现。7.2.2病毒的特征与特点1 .网络病毒的特征 根据计算机病毒的来源、定义、表现形式和破坏行为进行分析，可以抽象岀病毒所具有的 一般特征。(1) 传染性：(2) 潜伏性：(3) 隐蔽性：(4) 激活性：(5) 破坏性：2网络病毒的特点(1) 感染方式多：(2) 感染速度快：(3) 清除难度

13、大：(4) 破坏性强：(5) 激发形式多样：7.2.3病毒的类型与症状1. 网络病毒的类型(1) GPI (Get Password I)病毒(2) 电子邮件病毒(3) 网页病毒(4) 网络蠕虫程序2. 病毒的症状(1) 屏幕上显示的异常现象：显示一些莫名其妙的提示信息、特殊字符、不正常的画面。(2) 系统运行时的异常现象：机器不能引导启动，有时还显示与系统引导无关的信息。(3) 存储容量发生异常现象：存储存储容量异常地减少，使正常的数据或文件不能存储。(4) 打印机工作的异常现象：打印机速度减慢、打印异常字符或发生锁机现象。7.2.4病毒的预防与整治1 网络病毒的预防(1) 从管理上作好预防

14、：一是加强对磁盘的管理；二是要对机器中的信息采取防护措施。(2) 从技术上作好预防：根据常见病毒的特点采用一些技术措施，以避免某些病毒入侵。 2病毒的整治自从计算机病毒的岀现，人们不断地研制各种预防、检测和清除病毒的工具软件，我国研 制的这类工具软件有360安全卫士、瑞星杀毒软件、金山毒霸等。7.3防黑客技术7.3.1计算机黑客的概念7.3.2计算机黑客的入侵7.3.3计算机黑客的预防章节内容教学思想在教学过程衡中，首先让学生 了解什么是黑客，黑客形成的 背景，黑客入侵的途径。 然后, 了解如何预防黑客。731计算机黑客的概念1. 什么是黑客“黑客”是指那些利用通讯软件通过网络非法进入公共和他

15、人的计算机系统，截获或篡改 计算机中的信息，危害信息系统安全的计算机入侵者，其入侵行为称为“黑客”行为。2. 黑客的分类黑客可分为两类：一类是协助人们研究系统安全性，岀于改进的愿望，在微观的层次上考 察系统，发现软件漏洞和逻辑缺陷，编程检查软件的完整性和远程机器的安全体系，而没有任 何破坏系统和数据的企图。这类黑客是计算机网络的“捍卫者”。另一类是专门窥探他人隐私、任意篡改数据、进行网上诈骗活动的，他们是计算机网络的 “入侵者（或称攻击者）”。3. 黑客的产生黑客起源于20世纪50年代麻省理工学院的实验室，黑客（ Hacker） 词是早期麻省理工 学院的校园俚语，是手法巧妙、技术高明的“恶作剧

16、”之意。4 黑客的行为黑客在网络上自由驰骋，他们喜欢不受束缚，挑战任何技术制约和人为限制。认为所有的 信息都应当是免费的和公开的，黑客行为的核心是要突破对信息本身所加的限制。7.3.2计算机黑客的入侵1 黑客怎样进入用户计算机黑客是通过什么途径进入到用户计算机中的呢？黑客是通过特洛伊木马软件进入用户计 算机中的。2.黑客攻击的步骤黑客攻击总是先分析目标系统正在运行哪些应用程序，目前可以获取哪得权限，有哪些漏 洞可以加以利用，并最终利用这些漏洞获取超级用户权限，以达到他们攻击的目的。3黑客入侵后的特征黑客入侵用户的计算机后总会有某种动作，这样就会留下蛛丝马迹，用户就可以发现它的 存在。7.3.3

17、计算机黑客的预防1 .加强防范意识 不要轻易运行来历不明和从网上下载的软件，即使通过了一般反病毒软件的检查也不 要轻易运行。 保持警惕性，不要轻信熟人发来的E-mail没有黑客程序，如Happy 99就会自动加在E-mail附件当中。 不要在聊天室内公开自己的E-mail地址，对来历不明的 E-mail应立即清除。 不要随便下载软件(特别是不可靠的FTP站点)。 不要将重要口令和资料存放在上网的计算机里。2 设置安全口令通过获取口令对系统进行攻击，是多数黑客常用的方法。所以，攻击者进入系统时首先是 寻找系统是否存在没有口令的户头，其次是试探系统是否有容易猜岀的口令，继而用大量的词 来尝试，看是

18、否可以登录。3 黑客监视器软件 端口监视器软件 Nuke Nabber:(2)线程监视器软件 Tcpview.exe :.4计算机防火墙技术在教学过程中，重点介绍防火7.4.1防火墙的概念墙的基本概念、基本功能作用、早节内谷7.4.2防火墙的作用教学思想基本结构和基本类型。要特别7.4.3防火墙的结构强调防火墙在网络安全方面不7.4.4防火墙的不足是万能的，只是一种辅助手段。7.4.1防火墙的概念1 什么是防火墙防火墙(Firewall )是一种用来加强网络之间访问控制的特殊网络互联设备，如路由器、网关等。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，以此 决定网络之

19、间的通信是否被允许。它能有效地控制内部网络与外部网络之间的访问及数据传 送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。2 防火墙的基本特性防火墙可以看成是安装在两个网络之间的一道栅栏，所以它应具有以下3方面的特性： 所有在内部网络和外部网络之间传输的数据必须通过防火墙； 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙； 防火墙本身不受各种攻击的影响。3. 防火墙的基本准则所谓防火墙的基本准则，实际上就是设计防火墙的基本原则和应该实现的基本功能。(1)过滤不安全服务：基于这个准则，防火墙应封锁所有信息流，然后对安全服务逐项开 放，把不安全的服务或

20、可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效而实用的方法，可以形成十分安全的环境，因为只有经过仔细挑选的服务才能允许被用户使用。(2)过滤非法用户和访问特殊站点：基于这个准则，防火墙应先允许所有的用户和站点对 内部网络进行访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用 户开放，也就是能自由地设置各个用户的不同访问权限。742防火墙的作用1 保护那些易受攻击的服务防火墙负责保护因特网和内部网络之间的访问，是网络的安全屏障。2 可以强化网络安全策略防火墙不仅允许网络管理员定义一个中

21、心“扼制点”来防止非法用户(如黑客、网络破坏 者等进入网络内部)，而且能控制对特殊点的访问。3 对网络存取和访问进行监控审计所有的访问都经过防火墙后，记录下来的这些访问信息就作为日志记录记载了，同时也就 能为网络使用情况提供统计数据。4. 防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点 或敏感网络安全问题对全局网络造成的影响。5. 缓和地址空间的不足过去，因特网曾经历了地址空间危机，它造成注册的IP地址没有足够的地址资源，因而使得一些想连接因特网的机构无法获得足够的注册IP地址来满足其用户总数的需要。7.4.3防火墙的结构1. 双佰主机网关(D

22、ual Homed Gateway)双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙，这两个网络适配器中个是网卡，与内网相连，另一个根据与In ter net 的连接方式，可以是网卡、调制解调器或ISDN 卡等，其结构如图 7-3所示。2. 屏蔽主机网关 (Screened Host Gateway)分单宿堡垒主机和双宿堡垒主机两种类型，两种结构都易于实现，而且也很安全。 单宿堡垒主机。连接方式如图7-4所示。 同时一个单宿堡垒主机安装在内部网络上。 双宿堡垒主机。连接方式如图7-5所示。 网卡，一块连接内部网络，一块连接路由器。图7-3双宿堡垒主机在此方式下，一个包过滤路由器连接外部

23、网络, 与单宿堡垒主机的区别是双宿堡垒主机有两块客户机单宿堡垒主机防火墙双宿堡垒主机防火墙Swich or HubInternet、互联网=眈奁WWE呂丄?25包过滤路由器客户机厂1Swich or Hub图7-5屏蔽主机网关双宿堡垒主机内部网f、InternetF互联网图7-4屏蔽主机网关单宿堡垒主机3. 屏蔽子网(Scree ned Sub net Gateway)屏蔽子网就是在内部网络与外部网络之间建立一个起隔离作用的子网。该子网通过两个包WWW、FTP、E-mail等，可安装在屏蔽子网内。屏蔽子网的结构如图7-6所示。过滤路由器分别与内部网络和外部网络连接。内部网络和外部网络均可访问屏

24、蔽子网，虽然不 能直接通信，但可以根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络之间的互访 提供代理服务。向外部网络公开的服务器如 这样，无论是外部用户还是内部用户都可以访问包过滤路由器包过滤路由器客尸机Swichita or HubIntranet服务器屏蔽主机 应用网关Internet互联网图7-6屏蔽子网防火墙4防火墙产品国外的知名产品有Checkpoint 公司的 Firewall-1 , Sonic System 公司的 Sonicwall , Net Screen公司的 NetAcreen，Alkater 公司的 In ternet Device， NAI 公司的 Gau

25、ntlet 等。国内的知名产品有天融信网络卫士防火墙、东软网眼防火墙、联想网防御防火墙等。面向个人 用户的防火墙产品，有瑞星防火墙、金山网镖、思科公司的PIX防火墙、天网防火墙等。744防火墙的不足防火墙虽然具有上述作用，但其作用毕竟是有限的。就目前来说，它还存在许多的不足， 主要体现在以下 4个方面。1 不能防范内部用户防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘上带走。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而可以不用接近防火墙。防 火墙对内部入侵者是无能为力的，只能加强内部管理。2.不能防范不通过它的连接防火墙能够有效地防止通过它进行传输的信息

26、，但不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进 行拨号入侵。3 不能防范未知的威胁一个设计很好的防火墙，可以用来防御已知的和可能岀现的威胁，但不能自动防御所有未 知的和新的威胁。4不能防范病毒防火墙不能消除网络上的PC的病毒。虽然许多防火墙扫描所有通过的信息，以决定是否允许它通过内部网络，但扫描是针对源、目标地址和端口号的，而不扫描数据的具体内容。计算机密码技术密码技术的概念在教学中，要阐述密码技术的 起源，了解数据加密技术的重早节内谷教学思想要作用，了解常用加密算法；7.5.2常用加密方法了解现代数据

27、加密技术和数字7.5.3数字认证技术认证技术。7.5.1密码技术概念1 加密和解密密码技术包括数据加密和解密两部分。其中，加密是把需要加密的报文按照以密码钥匙(简称密钥)为参数的函数进行转换，产生密码文件；解密是按照密钥参数进行解密，还原成原文 件。数据加密和解密的过程是在信源发出与进入通信之间进行加密，经过信道传输，到信宿接 收时进行解密，以实现数据通信保密。加密与解密的过程如图7-7所示。1 -v f r 破译行为1 -1密钥报文 |*力廿密1密钥解密|-原报文|明文密文传输J明文J 信源加密单元解密单元信宿图7-7加密解密过程示意图2 密钥体系加密和解密是通过密钥来实现的。如果把密钥作为加密体系标准，则可将密码系统分为单 钥密码(又称对称密码或私钥密码)体系和双钥密码(又称非对称密码或公钥密码)体系。3密码技术的基本要求使用密码技术的目的是为了信息在传递过程中不让非法接收者了解信息内容。因此，信息 的安全传递至少包括四个基本要素：保密(机密性)、可验证性、完整性和不可性否认性