专升本计算机信息安全

1、信息安全 信息的安全指信息的完整性、可用性、保密性和可靠性。 完整性是指网络信息未经授权不能加以改变的特性。 可靠性是指网络信息能够在规定条件下和规定时间内完成规定功能的特性。 保密性是指网络信息不被泄密给非授权用户、实体或过程，或不能被其使用的特性。 信息安全要研究的问题： 1、系统安全：操作系统管理的安全、数据存储的安全、对数据访问的安全等。 2、网络安全：涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备 的安全等。 3、更高层次的是信息战，牵扯到国家安全。 信息安全问题产生的原因 网络本身的松散结构加人了对它进行有效管理的难度，给了黑客可乘之机。 每个网络上都或多或少的有

2、一些自行开发的应用软件在运行，自身并不完备。网络协议复杂, 系统没有缺陷和漏洞是不可能的。 既缺少有效的技术手段，又缺乏相应的社会环境。所以信息安全的难度较人。 信息安全所面临的威胁 自然威胁： 来自自然灾害、恶劣的场地坏境、电磁辐射、电磁干扰、网络设备自然老化等。自然威胁往 往不可抗拒。 人为威胁： 人为攻击，安全缺陷，软件漏洞如陷门、数据库的安全漏洞、TCP/IP协议的安全漏洞等， 此外还有结构隐患。 信息安全意识 1）人为攻击 人为攻击是指通过攻击系统的弱点，以便达到破坏、欺骗、窃取数据等目的，使得网络信 息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量

3、的损失。 人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的，但 它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。 恶意攻击又分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的 情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种 方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。 信息安全意识 被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于 预防而非检测。 绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护, 因此抗击主动攻击的主

4、要措施是检测，以及对攻击造成的破坏进行恢复。 2）安全缺陷 如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再人也不会对网络信 息安全构成威胁。但是，遗憾的是现在所有的网络信息系统都不可避免地存在着一些安全缺 陷。有些安全缺陷町以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的 代价。 信息安全意识 3）软件漏洞 由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留 下一些不易被发现的安全漏洞。软件漏洞同样会影响网络信息的安全。 下面介绍一些有代表性的软件安全漏洞。 （1）陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为

5、 了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。通常应 在程序开发后期去掉这些陷门，但是由于各种原因，陷门可能被保留，一旦被利用将会带来 严重的后果。 （2）数据库的安全漏洞：某些数据库将原始数据以明文形式存储，这是不够安全的。 实际上，入侵者可以从计算机系统的内存中导出所需的信息，或者采用某种方式进入系统, 从系统的后备存储器上窃取数据或篡改数据，因此，必要时应该对存储数据进行加密保护。 信息安全意识 （3）TCP/IP协议的安全漏洞：TCP/IP协议在设计初期并没有考虑安全问题。现在，用 户和网络管理员没有足够的精力专注于网络安全控制，操作系统和应用程序越来越复

6、杂，开 发人员不可能测试出所有的安全漏洞，因而连接到网络的计算机系统受到外界的恶意攻击和 窃取的风险越来越大。 另外，还可能存在操作系统的安全漏洞以及网络软件与网络服务、II令设置等方面 的漏洞。 信息安全意识 4）结构隐患 结构隐患一般指网络拓扑结构的隐患和网络硬件的安全缺陷。网络的拓扑结构本身有 可能给网络的安全带来问题。作为网络信息系统的躯体，网络硬件的安全隐患也是网络结构 隐患的重要方面。 基于各国的不同国情，信息系统存在的其他安全问题也不尽相同。对于我国而言，由 于我国还是一个发展中国家，网络信息安全系统除了具有上述普遍存在的安全缺陷之外，还 存在因软、硬件核心技术掌握在别人手中而造

7、成的技术被动等方面的安全隐患。 安全习惯 良好的密码设置习惯： 建议密码长度在8位以上，混合字母和符号，定期更换密码。 网络和个人计算机安全： 电子邮件安全 使用安全的电子邮件，通过使用数字证书对邮件进行数字签名和加密，识别恶意邮件，对于 有疑问或不知道来源的邮件，不要查看或回复，更不要打开可疑的附件。 打印机和其他媒介安全 物理安全（硬盘） 网络道德 涉及内容：用来约束从业人员的言行，指导他们思想的一整套道德规范。 网络发展对道德的影响： 淡化了人们的道德意识：人-网络-人” 冲击了现实的道德规范：“只要你自己肯定的，什么都是可以的” 导致道德行为的失范：网络犯罪 加强网络道德建设对维护网络

8、信息安全的作用 网络道德可以规范人们的信息行为：道德底线” 网络道德可以制约人们的信息行为 有利于加快信息安全立法的进程 有利于发挥信息安全技术的作用 计算机犯罪 概念：指行为人以计算机作为工具或以计算机资产作为攻击对象实施的严重危害社会的行 为。 特点： 犯罪智能化 犯罪手段隐蔽 跨国性 犯罪目的多样化 犯罪分子低龄化 犯罪后果严重：美国每年150多亿美元 犯罪手段 制造和传播计算机病毒 病毒就是隐藏在可执行程序或数据文件中，在计算机内部运行的一种干扰程序。 数据欺骗： 非法篡改计算机输入、处理和输出过程中的数据，从而实现犯罪目的。 特洛伊木马 在计算机中隐藏作案的计算机程序，在计算机仍然能

9、完成原有任务的前提下，执行非授权功 能。不依附于任何载体而存在。 意大利香肠战术 行为人通过逐渐侵吞少量财产的方式窃取人量财产的犯罪行为。 超级冲杀： 人多数IBM计算机中心使用的公用程序，是一个仅在特殊情况卞方可使用的高级计算机系 统干预程序，被非授权用户使用，会构成对系统的潜在威胁。 活动天窗:程序设计者为了对软件进行测试或维护故意设置的计算机软件系统的入I I点。通 过这些入口，可以绕过程序提供的正常安全检查进入软件系统 逻辑炸弹:在计算机系统中有意设置并插入某些程序编码，只有在特定时间或条件才会激活, 破坏系统功能或使系统陷入瘫痪状态 清理垃圾:有目的、有选择的从废弃的资料、磁带、磁盘

10、中搜寻具有潜在价值的数据、信息、 密码等，用于实施犯罪行为。 数据泄漏:有意转移或窃取数据的手段：如将关键数据混在一般报表之中，予以提取。在CPU 上安装微型无线电发射机，计算机处理信息可以传给几公里以外的接收机。 电子嗅探器:截取和收藏在网络上传输的信息的软件或硕件。 其他：除了以上作案手段外，还有社交方法，电子欺骗技术，浏览，顺手牵羊和对程序、数 据集、系统设备的物理破坏等犯罪手段。 计算机安全 什么是计算机病毒 计算机病毒(Computer Viruses)是一种人为编制的，具有干扰和破坏计算机正常工作的小 程序。 这些程序隐藏在系统中，通过自我复制传播，满足一定条件激活，给计算机造成损

11、害甚至严 重破坏。 计算机病毒的主要特点 1. 传染性 传染性是计算机病毒的主要特征。计算机病毒将自身的复制代码通过内存、磁盘、网络等传 染给其他文件或系统，使其它文件或系统也带有这种病毒，并成为新的传染源。 2. 潜伏性：计算机系统被病毒感染后，病毒的触发是由病毒表现及破坏部分的判断条件来确 定的。病毒在触发条件满足前没有明显的表现症状，不影响系统的正常运行，一旦触发条件 具备就发作，给计算机系统带来不良影响。 3. 激发性 激发性是指病毒的发作都有一个特定的激发条件，当外界条件满足计算机病毒发作的条件 时，计算机病毒就被激活，并开始传染和破坏。激发条件可以是某个特定的口期(CIH)或 时间

12、、文件名、特定的程序或文件的运行次数及系统的启动次数等。 4. 破坏性 破坏性指病毒在激发条件满足后，对计算机中的系统文件、数据文件的增、删、改、占有系 统资源或对系统运行的干扰，甚至破坏整个系统。 5. 可执行性： 计算机病毒可以直接或间接的执行。隐藏在可执行程序和数据文件中运行而不易被察觉，在 运行时与合法程序争夺系统的控制权和资源，从而降低计算机的工作效率。 6. 针对性 一种计算机病毒并不能传染所有的计算机系统或程序，通常病毒文件也具有一定的针对性。 如有传染.com文件的，有传染.doc文件的。 其他还有如：衍生性、抗反病毒软件性。 病毒的主要危害 破坏文件分配表或目录区 删除文件、

13、修改或破坏文件中的数据 大量复制自身，减少磁盘可用的存储空间 修改或破坏系统信息 非法格式化磁盘，非法解密或加密用户文件 在磁盘上产生坏扇区 降低系统运行速度 计算机病毒的分类 1. 按破坏的程度分类 良性病毒：不破坏数据，只占用计算机资源，降低计算机速度。如小球病毒。 恶性病毒：CIH病毒、黑色星期五病毒、磁盘杀手属于恶性病毒。CIH病毒破坏CMOS,黑 色星期五病毒的发作时间是星期五。磁盘杀手内含计数器，硬盘染毒后累计开机时间48小 时内激活，改写硬盘数据。 按传染对象分类 窃密高手型 业余爱好型 黑客及预防策略 照客的定义：喜欢探索软件程序奥秘、并从中增长其才干的人。他们不像大多数计算机

14、使用 者，只规规矩矩的了解别人制定了解的狭小部分知识。 普遍含义：对计算机系统的非法入侵。 黑客宣言：通往计算机的路不止一条；所有的信息都应该免费共享；打破计算机集权：在计 算机上创造艺术和美；信息无疆界可言；任何人都可以在任何时间地点获取他认为有必要了 解的任何信息；反对国家和政府部门对信息的垄断和封锁。 计算机犯罪 为了降低被黑客攻击的可能性，要注意以下几点： （1）提高安全意识，如不要随便打开来历不明的邮件。 （2）使用防火墙是抵御黑客程序入侵的非常有效的手段。 （3）尽量不要暴露自己的IP地址。 （4）要安装杀毒软件并及时升级病毒库。 （5）作好数据的备份。 总之，我们应认真制定有针对

15、性的策略。明确安全对彖，设置强有力的安全保障体系。 在系统中层层设防，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。 防御照客入侵的方法 实体安全的防范：控制机房、网络服务器、线路和主机等。 基础安全的防范：用授权认证的方法防止黑客和非法使用者进入网络并访问资源。用加密技 术对数据和信息传输加密。网络采用防火墙是对系统外部实施隔离的一种技术措施。 内部安全防范机制：预防和制止内部信息资源或数据的泄露。 信息安全技术 密码技术： 密文、明文、加密、解密、破译 单钥加密、双钥加密 分组密码算法：DES是单钥密码算法，按分组方式工作 公钥密码体制算法RSA：大数分解和素性检测 “数字签名”

16、是通过某种加密算法在一条地址消息的尾部添加一个字符串，而收件人可以根 据这个字符串验明发件人身份的一种技术。数字签名的作用与手写签名相同，能惟一的确定 签名人的身份，同时还能在签名后对数据内容是否又发生了变化进行验证。 网络加密的方式：链路加密，节点对节点加密，端对端加密。 10.1.4信息安全技术 1.密码技术 1）密码技术的基本概念 密码技术是网络信息安全与保密的核心和关键。 通过密码技术的变换或编码，可以将机密、敏感的消息变换成难以读懂的乱码型文字， 以此达到两个目的：其一，使不知道如何解密的“黑客”不可能从其截获的乱码中得到任何 有意义的信息；其二，使“黑客”不可能伪造或篡改任何乱码型

17、的信息。 研究密码技术的学科称为密码学。密码学包含两个分支，即密码编码学和密码分析学。 前者旨在对信息进行编码实现信息隐蔽，后者研究分析破译密码的学问。两者相互对立，又 相互促进。 信息安全技术 采用密码技术可以隐蔽和保护需要发送的消息，使未授权者不能提取信息。发送方要发 送的消息称为明文，明文被变换成看似无意义的随机消息，称为密文。这种由明文到密文的 变换过程称为加密。其逆过程，即由合法接收者从密文恢复出明文的过程称为解密。非法接 收者试图从密文分析出明文的过程称为破译。对明文进行加密时采用的一组规则称为加密算 法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法是在一组仅有合法用

18、 户知道的秘密信息的控制下进行的，该密码信息称为密钥，加密和解密过程中使用的密钥分 别称为加密密钥和解密密钥。 信息安全技术 2）单钥加密与双钥加密 传统密码体制所用的加密密钥和解密密钥相同，或从一个可以推出另一个，被称为单钥或对 称密码体制。若加密密钥和解密密钥不相同，从一个难以推出另一个，则称为双钥或非对称 密码体制。 单钥密码的优点是加、解密速度快。缺点是随着网络规模的扩人，密钥的管理成为一个难点; 无法解决消息确认问题：缺乏自动检测密钥泄露的能力。 采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样 进行注册公布：另一个则是秘密的，因此双钥体制又称作公钥体制

19、。由于双钥密码体制的加 密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问 题。双钥密码还有一个优点是可以拥有数字签名等新功能。双钥密码的缺点是双钥密码算法 一般比较复杂，力口、解密速度慢。 信息安全技术 网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制，即加、解密时采用单钥 密码，密钥传送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加、解密速度的 问题。 信息安全技术 3）著名密码算法介绍 （1）分组密码算法： 数据加密标准是迄今世界上最为广泛使用和流行的一种分组密码算法。它的产生被认 为是20世纪70年代信息加密技术发展史上的两大里程碑之一。 D

20、ES是一种单钥密码算法，它是一种典型的按分组方式工作的密码。其基本思想是 将二进制序列的明文分成每64位一组，用长为56位的密钥对其进行16轮代换和换位加密, 最后形成密文。DES的巧妙之处在于，除了密钥输入顺序之外，其加密和解密的步骤完全 相同，这就使得在制作DES芯片时，易于做到标准化和通用化，这一点尤其适合现代通信 的需要。在DES出现以后，经过许多专家学者的分析论证，证明它是一种性能良好的数据 加密算法，不仅随机特性好，线性复杂度高，而且易于实现，因此，DES在国际上得到了 广泛的应用。 信息安全技术 但是，最近对DES的破译取得了突破性的进展。破译者能够用穷举法借助网络计算在短短 的

21、二十余小时就攻破56位的DES,所以，在坚定的破译者面前，可以说DES已经不再安全 To 其他的分组密码算法还有IDEA密码算法、LOKI算法、Rijndael算法等。 防火墙技术：免受非授权人员的骚扰与黑客入侵。 虚拟专用网技术（VPN）：是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet 联接而成的逻辑上的虎拟子网。VPN技术采用了鉴别、访问控制、保密性、完整性等措施, 以防信息被泻露、篡改和复制。 病毒与反病毒技术 其他安全与保密技术 实体及硬件安全 数据库安全技术 实体及硬件安全技术 实体及硬件安全是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、 有

22、害气体和其他坏境事故（包括电磁污染等）破坏的措施和过程。实体安全是整个计算机系 统安全的前提，如果实体安全得不到保证，则整个系统就失去了正常工作的基本环境。另外, 在计算机系统的故障现象中，硕件的故障也占到了很人的比例。正确分析故障原因，快速排 除故障，可以避免不必要的故障检测工作，使系统得以正常运行。 信息安全技术 2）数据库安全技术 数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系 到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完 整性和有效性，已经成为业界人士探索研究的重要课题之一。 数据库系统的安全除依赖自身内部的安全机制外

23、，还与外部网络坏境、应用坏境、从业人员 素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次： 信息安全技术 （1）网络系统层次： 从广义上讲，数据库的安全首先依赖于网络系统。可以说网络系统是数据库应用的外部坏 境和基础，数据库系统要发挥其强大作用离不开网络系统的支持。网络系统的安全是数据库 安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 网络系统层次的安全防范技术有很多种，人致可以分为防火墙、入侵检测、协作式入侵检 测技术等。 信息安全技术 （2）宿主操作系统层次： 操作系统是人型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操 作系统平台大

24、多数集中在WindowsNT和Unix,安全级别通常为Cl、C2级。主要安全技术 有操作系统安全策略、安全管理策略、数据安全等方面。数据安全主要体现在以下几个方面: 数据加密技术、数据备份、数据存储、数据传输的安全性等。可以采用的技术很多，主要有 Kerberos 认证、IPSec、SSL 等技术。 信息安全技术 （3）数据库管理系统层次： 数据库系统的安全性很大程度上依赖于数据库管理系统。如呆数据库管理系统安全机制非 常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其 安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。解决这一问题的有效方法 之一是数据库

25、管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难 以被人破译和阅读。 这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要 性也逐层加强，从外到内、由表及里保证数据的安全。 防火墙 防火墙是在网络中，为了保证内部网与因特网之间的安全所设的防护系统，主要可以在两个 网络之间进行访问控制的系统。 基本功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动；对网络攻击进行检测和警告。 防火墙可能存在如下一些缺陷：防火墙不能防范不经由防火墙的攻击；防火墙不能防止感染 了病毒的软件或文件的传输：防火墙不能

26、防止数据驱动式攻击。 体系结构：双宿网关；屏蔽主机；屏蔽子网 类型： 网络层防火墙 应用层防火墙 链路层防火墙 SSL （安全套接层）：最早由netscape公司开发的安全数据传输协议。用卞面的三种服务让用 户和服务器对他们传送的信息进行保护： 1、用数字证书实现的服务器认证； 2、加密传输信息； 3、端对端连接保证数据信息完整性。 加强信息安全法律意识 计算机信息系统国际联网保密管理规定 商业密码管理条例 我国1999年修订宪法，增加了对非法入侵重要领域计算机信息系统行为刑事处罚的明确 规定。 中国计算机保安专家认为，积极发展民族计算机工业，在技术上不受制于人，尽快发展国产 计算机和软件，可以真正防止国外黑客攻击，保障信息安全。 知识产权保护 知识产权是人类智力活动的一切成果。有三