电子科学及其技术与导论2

第十一章信息安全“十二五”普通高等教育本科国家级规划教材《电子信息科学与技术导论》第三版

第十一章信息安全2前言在当今的信息化社会，因特网（Internet）已成为覆盖全球，拥有最丰富信息资源的世界上最大的计算机网络，是人们进行信息获取、信息交流的主要平台。Internet已深入到了社会的各方面：政府办公、企业管理、商业、金融、学校、科技等。网络对社会的影响越来越大。但网络因其固有的开放性，它本身并没有多少内置的能力来保障信息的安全，因此，网络信息安全对于一个国家的信息安全，甚至一个国家的生存已构成了一种新的挑战。

信息安全的发展可以划分为经典信息安全阶段和现代信息安全阶段。经典信息安全阶段主要是通过对文字信息进行加密变换来保护信息；现代信息安全阶段则充分应用了计算机、网络通信等现代科技手段来达到信息安全目的。本章主要介绍信息安全的基本知识。第十一章网络信息安全第十一章信息安全311.1信息安全概述11.2信息隐藏与数字水印11.3计算机病毒11.4防火墙11.5其他安全技术本章小结第十一章信息安全411.1信息安全概述11.1.1经典信息安全明文密钥信源信宿解密明文加密密文安全信道不安全信道1，信息安全定义：是指信息在存储、处理和传输状态下能够保证其完整、保密和可用，即保持完整性、机密性和可用性。经典加密通信模型2，经典加密通信模型第十一章信息安全53，几个基本概念明文：发送方将要发送的消息；密文：明文被变换成看似无意义的随机消息；加密：将明文变换为密文的过程；解密：由密文恢复出原明文的过程，即加密的逆过程；加密员：对明文进行加密操作的人员，或称为密码员；加密算法：密码员对明文进行加密时所采用的一组规则接收者：传送消息的预定对象；解密算法：接收者对密文进行解密时所采用的一组规则；密钥：用来对数据进行编码和解码的一种算法；单钥或对称密码体制：加密密钥和解密密钥相同的加密体制；双钥或非对称密码体制：加密密钥和解密密钥不相同，从一个难于推出另一个。11.1.2网络信息安全1，加密技术发展及多学科交叉融合加密技术紧跟科学技术前进的步伐，已经历了几代的发展历程，形成了专门的学科——密码学：密码学的初级形式—手工阶段、中间形式—机械阶段，发展到今天的高级形式—电子与计算机阶段，形成了一套完整的密码学理论。密码分析依赖数学知识，现代密码学离不开数学。密码学涉及到数学的各个分支，例如代数、数论、概率论、信息论、几何、组合学等。不仅如此，密码学的研究还需要具有其他学科的专业知识，例如物理、电机工程、量子力学、计算机科学、电子学、系统工程、语言学等。反过来，密码学的研究也刺激了上述各个学科的发展。2，网络安全与加密技术随着计算机网络不断渗透到各个领域，密码学的应用也随之扩大，其主要的应用集中在网络安全领域，这是密码学应用的最主要的方面，也是密码学研究成为热点的主要原因之一。信息化和网络化是当今世界经济和社会发展的大趋势，但是在世界范围内，对计算机网络的攻击手段层出不穷，网络犯罪日益严重，而密码学的应用是进一步保护每个公民的隐私和国家的安全的重要手段，因此我们可以预见到随着信息化的发展，密码学的发展和应用将会越来越广泛和深入。理论技术主要分支网络信息安全网络信息安全计算机安全

现代密码理论现代信息安全理论技术3，现代信息安全理论技术11.1.3网络空间安全1，网络空间（Cyberspace）网络空间已成为全球政治、经济、军事、文化、外交、科技等活动信息的载体，是人类物理活动空间的延展，被认为是继陆、海、空、天之后的人类第五维空间。网络空间是指由组成各类网络系统的计算机硬件、通信设备和物理基础设施等所构成的物理世界，还可以认为是指由计算机系统软件、网络操作系统、数据库系统以及众多应用软件所构成的网络虚拟世界。从某种程序上来讲，一个国家的网络空间会涵盖包括互联网、通信网、电力网、交通网、太空卫星网、军事指挥网等在内的各类网络系统，这些网络系统可以统称为国家的IT（informationtechnology）网络。2，网络空间安全网络空间安全（CyberspaceSecurity）是指网络空间中信息安全、攻击防御和基础设施防护等安全问题的总称。对于一个国家来说，IT网络是国家的关键基础设施。由于社会对网络的日渐依赖，使得国家的IT网络如果一旦遭到破坏就将对这个国家造成灾难性的后果。可以说，当今社会，一个国家的网络空间安全，即等同于国家的安全，这就更加突显出网络空间安全的重要性。为实施国家安全战略，加快网络空间安全人才培养，国务院学位委员会和教育部于2015年6月决定在“工学”门类增设“网络空间安全”一级学科，以强化网络空间安全的人才培养，加强网络空间安全的学术地位和促进网络空间安全的技术发展。2016年我国颁布了《中华人民共和国网络安全法》。2017年外交部和国家互联网信息办公室共同发布了《国家网络空间国际合作战略》。2019年我国颁布《中华人民共和国密码法》。网络空间安全事关国家安全、社会稳定、经济发展和公众利益。我们必须加快国家网络空间安全保障体系建设，确保我国的网络空间安全。11.1.4信息安全研究的主要内容1，信息安全的目标信息安全是指信息在存储、处理和传输状态下能够保证其完整、保密和可用，即保持完整性、机密性和可用性。无论在计算机上存储、处理和应用，还是在通信网络上传输，信息都可能被非授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而导致否认，也可能被阻塞拦截而导致无法存取。这些破坏可能是有意的，如黑客攻击、病毒感染；也可能是无意的，如误操作、程序错误等。信息安全的目标就是保护信息的机密性、完整性和可用性，即CIA（Confidentiality，Integrity，Availability）。另外还应该包括抗否认性（Non-reputation）。机密性完整性可用性抗否认性（Confidentiality）（Integrity）（Availability）（Non-reputation）目标要求示意第十一章信息安全132，信息安全研究内容信息安全信息保密信息加密信息隐藏数字签名认证技术数字水印技术消息认证、身份认证DES、RSA、AES、ECC网络信息安全病毒攻击及防御防火墙技术入侵检测技术虚拟专用网技术机密性完整性、防抵赖11.1.5信息安全技术的发展1，新的信息安全技术研究网络的普及和发展，使信息安全面临越来越严重的挑战，传统的信息安全技术已很难满足现代网络信息安全的需要。美国等西方发达国家于本世纪初就制订有新的称之为“网络空间安全发展战略”计划，并认为：网络安全漏洞主要来自软件，而无穷无尽的软件补丁并不是好的解决问题的办法，提出要研究新的基础性安全模型和技术；要组织网络安全基础性研究团队和加速网络安全研究的成果转化。2，可信免疫的计算机体系统结构研究可信免疫计算（TrustedComputing）是一种新的计算模式。它采用计算和防御并行的双体系构架，在计算的同时进行安全防御；同时其计算过程可测可控，不会被干扰。对比当前大部分网络安全系统主要是由防火墙、入侵检测和病毒防护的被动防御手段，而可信计算是一种主动免疫，它能使缺陷和漏洞不被攻击者利用；可信免疫计算和传统防御手段的综合应用，就能使攻击者进不去、非授权者重要信息拿不到、窃取的保密数据看不懂、系统信息篡改不成、系统无法被瘫痪、攻击者的行踪被记录，攻击者的行为无法抵赖，这就完善了信息安全系统结构，从而有效保障网络空间的信息安全。3，我国的可信计算技术研究我国启动可信计算的研究略早于国际，经过长期攻关研究，已在可信计算平台密码方案、可信平台控制模块、计算机可信主板、可信基础支撑软件、可信网络连接等方面取得一系列成果。当前我国的可信计算已具备了产业化条件，它包括芯片、主板、整机、软件及网络连接设备等。预计，今后将有中国品牌的成套可信计算机产品推向市场，构成我国的安全计算产业。4，可信云计算技术研究随着云计算技术的发展，云计算已经成为互联网的新型IT基础设施，它提供的基础设施服务、平台服务和应用服务为越来越多的组织、企业和个人所使用，云服务安全和隐私问题日益突出。传统的网络信息安全技术方案已不能有效满足云计算的安全需求，因此，基于可信计算技术，研究一种自底向上的可信云计算体系架构，实现云计算的安全可信，是未来可信计算的一个发展方向。第十一章信息安全1711.2信息隐藏与数字水印11.2.1信息隐藏技术的应用与分类1.信息隐藏（InformationHiding)顾名思义就是将秘密信息秘密地隐藏于另一非机密的文件内容之中，使加入隐藏信息后的媒体目标的降质尽可能小，使人无法看到和听到隐藏的数据，达到令人难以察觉的目的。第十一章信息安全18

信息隐藏技术的主要分支关系图2.信息隐藏技术分类与应用第十一章信息安全193.信息隐藏与加密的比较

101010111011101110110001100加密(b)(c)(a)@#￥%*&￥%@！&*&#@%101010111011101110110001100隐藏101010111011101110110001100加密@#￥%*&￥%@！&*&#@%隐藏第十一章信息安全204.对信息隐藏系统的要求鲁棒性（Robustness）不可检测性（Undetectability）透明性（Invisibility）安全性（Security）自恢复性第十一章信息安全2111.2.2数字水印技术概述

数字水印(DigitalWatermark)技术是信息隐藏技术的一个重要分支，是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测器或阅读器才能提取。数字水印的特性：隐蔽性隐藏位置的安全性鲁棒性水印容量第十一章信息安全22

数字图像水印系统的通用模型被标识图像标识图像密钥嵌入算法标识或原始图像测试图像密钥检测算法标识或检测系数一般数字图像水印嵌入方法

一般数字图像水印检测方法

第十一章信息安全23原始Lena图像检测结果

原始水印图像嵌入水印后的Lena图像数字图像水印实例

：第十一章信息安全24空域算法（LSB法）：此算法首先把一个密钥输入一个m序列发生器来产生水印信号，然后排列成2维水印信号，按象素点逐一插入到原始图像象素值的最低位。由于水印信号被安排在了最低位上，它是不可见的，基于同样的原因，它可以轻易地被移去，因此不够强壮。

典型的图像数字水印算法第十一章信息安全25空域水印实例:图像的位平面表示87654321第十一章信息安全26Lena原图：8-bit灰度BMP图像第十一章信息安全27第一个位平面与去掉第1个位平面的Lena:第十一章信息安全28第二个位平面与去掉第1-2个位平面的Lena:第十一章信息安全29第三个位平面与去掉第1-3个位平面的Lena:第十一章信息安全30第四个位平面与去掉第1-4个位平面的Lena:第十一章信息安全31第五个位平面与去掉第1-5个位平面的Lena:第十一章信息安全32第六个位平面与去掉第1-6个位平面的Lena:第十一章信息安全33第七个位平面与去掉第1-7个位平面的Lena:第十一章信息安全34第八个位平面Lena:总结：根据图象位平面和能量分布情况，第1,第2,甚至第3个位平面完全可以用其它的比特矩阵去替换，而不影响图象的视觉效果。而高位平面不可隐藏信息。优点：操作简单,隐藏信息量大。缺点：隐藏的信息易被破坏。改进：选择位置，加密第十一章信息安全3511.2.3数字水印的攻击

攻击的目的在于使相应的数字水印系统的检测工无法正确地恢复水印信号，或不能检测到水印信号的存在。

IBM攻击StirMark攻击马赛克攻击共谋攻击跳跃攻击第十一章信息安全3611.2.4数字水印的应用数字作品的知识产权保护商务交易中的票据防伪证件真伪鉴别标志信息保密隐蔽通信及其对抗第十一章信息安全37

11.2.5

数字水印研究状况与展望数字水印的理论研究主要包括建立更好的理论模型，分析各种媒体中隐藏数字水印信息的容量(带宽)，分析算法的安全性和鲁棒性等性能，还需要重视对数字水印攻击方法的研究来验证和提升数字水印的实用效果。在数字水印的许多应用场景中，算法的鲁棒性是首要考虑的问题，而算法的抗攻击能力仍然是算法付诸应用的关键。数字水印要得到更广泛的应用，就必须在政府和企业的组织下，建立起一系列标准和协议。一个完备的数字水印应用解决方案还需要其他相关的信息安全技术的支持和配合，比如密码学、数字签名、数字证书等。数字水印是当前数字信号处理、图像处理、密码学应用、通信理论、计算机等学科的交叉领域，是数字多媒体信息安全研究的新途径，已成为国内外学术界的研究热点。第十一章信息安全3811.3计算机病毒11.3.1什么是计算机病毒1.计算机病毒的定义计算机病毒（ComputerVirus）（《中华人民共和国计算机信息系统安全保护条例》中定义）：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

计算机病毒是一段程序，而且不是一段普通的程序，它是隐藏在计算机系统内的一段破坏性程序。第十一章信息安全39寄生性传染性潜伏性隐蔽性破坏性计算机病毒的特性：第十一章信息安全402.计算机病毒的命名采用病毒体字节数病毒体内或传染过程中的特征字符发作的现象发作的时间以及相关的事件病毒的发源地特定的传染目标通常还会加上某些指明病毒属性的前后缀

此外，对病毒的命名除了标准名称外，还可以有“别名”，也就是说可以通过上述的几种命名方式来对一个病毒进行命名，以便记忆。

第十一章信息安全413.计算机病毒的分类按破坏性：恶性病毒、良性病毒按所攻击的操作系统：DOS病毒、Windows病毒、

Linux病毒、UNIX病毒等按病毒的表观：简单病毒、变形病毒等按病毒的感染途径以及所采用的技术：引导型病毒、文件型病毒和混合型病毒等；

随着科学技术的不断进步，还有手机病毒、PDA病毒、PALM病毒等新的分类。

第十一章信息安全4220世纪60年代初，美国贝尔实验室三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中的一方通过复制自身来摆脱对方的控制，这就是所谓“计算机病毒第一个雏形。20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。11.3.2计算机病毒的发展历史

到了20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟（也就是现在的程序员），他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正的病毒。1988年至1989年，我国也相继出现了能感染硬盘和软盘引导区的Stoned（石头）病毒，该病毒替代码中有明显的标志“YourPcisnowStoned！”。第十一章信息安全43被感染的文件大小明显增加病毒代码主体没有加密访问文件的日期得到更新很容易被debug工具跟踪20世纪90年代以前病毒的弱点：第十一章信息安全4420世纪内，绝大多数病毒是基于DOS系统的，有80%的病毒能在Windows中传染。宏病毒的出现，代表有美丽莎,台湾一号等病毒生产机现身，1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”出现了一些能对自身进行简单加密的病毒，譬如当内存有1741病毒，用DIR列目录表的时候，这个病毒就会掩盖被感染文件后增加的字节数，使人看起来文件的大小没有什么变化。1992年以后，出现了是一种叫做DIR2的病毒，这种病毒非常典型，并且其整个程序大小只有263个字节。20世纪90年代以后病毒的特点：第十一章信息安全45

Internet的广泛应用，激发了病毒的活力。病毒通过网络的快速传播和破坏，为世界带来了一次一次的巨大灾难。1998年2月，台湾省的陈盈豪，编写出了破坏性极大的恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏。陈盈豪：当时台湾的一个大学生1998年2月，1.2版1998年4月26日，台湾少量发作1999年4月26日，全球发作破坏主板BIOS第十一章信息安全46CIH特点通过网络（软件下载）传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件的病毒全球直接经济损失超过10亿美元第十一章信息安全471999年2月，“美丽莎”病毒席卷了整个欧美大陆，这是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。“美丽莎”病毒大卫.史密斯，美国新泽西州工程师在16小时内席卷全球互联网至少造成10亿美元的损失！通过email传播传播规模（50的n次方，n为传播的次数）第十一章信息安全482000年5月，在欧美又爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒属于vbs脚本病毒，可以通过html，email进行大量的传播。菲律宾“AMA”电脑大学计算机系的学生一个星期内就传遍5大洲微软、Intel等在内的大型企业网络系统瘫痪全球经济损失达几十亿美元第十一章信息安全49爱虫病毒特点：通过电子邮件传播，向地址本中所有用户发带毒邮件通过聊天通道IRC、VBS、网页传播能删除计算机内的部分文件制造大量新的电子邮件，使用户文件泄密、网络负荷剧增一年后出现的爱虫变种VBS／LoveLetter．CM它还会在Windows目录下驻留一个染有CIH病毒的文件，并将其激活。第十一章信息安全50再后来就出现有更多的网络蠕虫。譬如，红色代码，蓝色代码、求职者病毒、尼姆达（Nimda）、FUN_LOVE，新欢乐时光等等。2001年7月18日午夜，红色代码病毒大面积暴发，被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国，11%在韩国，5%在中国，其余分散在世界各地。2001年7月19日，“红色代码”病毒开始疯狂攻击美国白宫网站，白宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址，才幸免于难。第十一章信息安全51红色代码的特点：该病毒通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。它只存在于内存，传染时借助这个服务器的网络连接攻击其它的服务器，直接从一台电脑内存传到另一台电脑内存。它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日，向美国白宫网站发动攻击。将WWW英文站点改写为“Hello!Welcometowww.W!HackedbyChinese!”。第十一章信息安全522001年9月18日出现的尼姆达病毒2001年最为凶猛的恶意蠕虫病毒，岂今为止已给全球带来不可估量的经济损失。该病毒不仅传播速度快、危害性强，而且自我繁殖能力更是位居各大病毒之首。已有五种新变种相继粉墨登场，作恶不可谓不大。利用unicode漏洞，与黑客技术相结合。第十一章信息安全532001年9月18日，首先在美国出现，当天下午，有超过130，000台服务器和个人电脑受到感染。（北美洲）2001年9月18日晚上，在日本、香港、南韩、新加坡和中国都收到了受到感染的报告。（亚洲）2001年9月19日，有超过150000个公司被感染，西门子在他的网络受到渗透之后，被迫关掉服务器。（欧洲）尼姆达的四种传播方式：文件感染EmailWWW局域网第十一章信息安全54求职信病毒特征：“求职信”系列变种病毒利用微软系统的漏洞，可以自动感染，无须打开附件，因此危害性很大。

其变种具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性。

在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源。第十一章信息安全55能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击。

利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒。在网络上出现的一些“求职信”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒把电脑一起“杀死”的情况。第十一章信息安全56从2004年起，特洛依木马、间谍软件等恶意软件数量呈现几何级数的增长。聊天工具（比如QQ、MSN、ICQ等）和各类网络帐号（比如银行账号、信用卡、游戏账号、邮箱账号等）成为病毒重灾区。病毒的传播范围更大，变种更频繁。

2005起Rootkit技术开始被恶意软件利用，成为众多恶意软件的藏身工具，在其掩护下恶意软件可轻易逃脱反病毒及反间谍软件的监控。2005年是特洛伊木马流行的一年，即包括经典木马：BO2K，冰河，灰鸽子等，也包括很多新型的木马，如“闪盘窃密者”和“外挂陷阱”木马病毒；2006年，我国爆发了大规模的“熊猫烧香”病毒（Worm.Nimaya.w），该病毒是蠕虫病毒的多次变种，具有极大的破坏性；2007年出现了主动攻击杀毒软件的病毒-AV终结者（帕虫/U盘寄生虫），感染近十万用户。2008年，危害较大并广泛传播的病毒有机器狗、磁碟机等病毒，应用软件漏洞成为“网页挂马”新途径，各种即时通讯聊天工具漏洞、漏洞播放器、网络电视播放软件漏洞，甚至搜索工具条漏洞都被大量利用。2009年，U盘等移动存储介质成为病毒传播的主要途径之一。2010年，许多病毒通过“增肥”的方式，把病毒文件增大至几十上百兆，以逃避杀毒软件“云查杀”技术。这一年，首次出现专门针对工业控制系统的破坏性病毒（Stuxnet），这是一种蠕虫病毒，利用windows和西门子SIMATICWinCC系统的漏洞进行攻击，病毒代码设计非常精密，病毒曾对伊朗核电站发起攻击，并导致核电设施瘫痪。此外，随着网络购物的兴起，网购木马初露端倪，网银木马较2009年增长了约一倍。2011年最具影响力的病毒是“鬼影”病毒，该病毒可以感染硬盘主引导记录．释放驱动程序替换系统文件，干扰或阻止杀毒软件运行，恶意修改主页，下载多种盗号木马，甚至感染电脑特定型号的主板BIOS芯片，使病毒的消除更加困难。第十一章信息安全58根据瑞星《2012年上半年中国信息安全报告》的统计、研究数据和分析资料表明：病毒将其破坏行为转变为“地下操作”，用户传统观念中的中毒后“计算机死机”、“无法上网”等现象不再是主流病毒采取的方式、64位的操作系统、苹果Mac操作系统均不断遭受病毒攻击，以往用户心目中相对安全的系统的概念不复存在。假冒银行、中奖信息、购物网站仍然是钓鱼网站的主要手段，金融行业成为黑客攻击的重灾区。彩票类钓鱼网站成为黑客新宠，同时节假日及热点事件成为黑客们关注的焦点。Android病毒成为移动互联网用户的最大威胁。

根据2015年发布的《第十四次全国信息网络安全状况暨计算机和移动终端病毒疫情调查报告》显示，2014年88.7%的被调查者发生过网络安全事件，比2013你那增长37.5%；感染计算机病毒的比例为63.7%，比2013年增长8.8%；移动终端的病毒感染比例为31.5%，比2013年增长5.2%。无论是传统PC还是移动终端，安全事件和病毒感染率都呈现了上升的态势。2016年敲诈者病毒在全球内蔓延，它们通过给用户计算机或手机中的系统、屏幕或文件加密的方式，向目标用户进行敲诈勒索。Locky就是一种典型的敲诈者病毒。根据安恒信息《2017年度网络空间安全报告》，勒索软件在2016-2017年期间的销售量增长了约2502%，WannaCry勒索软件、“坏兔子”（BadRabbit）等在这一年大行其道。2020年瑞星发布《中国网络安全报告》，共截获病毒样本总量1.48亿个，病毒感染次数3.52亿次，病毒总体数量比2019年同期上涨43.71%。勒索软件和挖矿病毒在2020年依旧占据着重要位置。第十一章信息安全60计算机病毒的结构一般由引导模块、传染模块、表现模块三部分组成。传染条件判断传染代码传染模块表现及破坏条件判断破坏代码表现模块引导代码引导模块

11.3.3计算机病毒的原理与防范

第十一章信息安全61引导过程也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。传染过程

作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统表现过程是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。第十一章信息安全62引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒第十一章信息安全63引导型病毒引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。第十一章信息安全64引导型病毒(主引导记录（MBR）)主分区表(64字节）结束标记（2字节）引导代码及出错信息55AA主引导程序(446字节)分区1(16字节)分区2(16字节)分区3(16字节)分区4(16字节)A第十一章信息安全65引导型病毒——感染与执行过程。病毒系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。。。引导系统病毒体。。。第十一章信息安全66文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒第十一章信息安全67文件型病毒

文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常第十一章信息安全68文件型病毒——传染机理正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序正常程序程序头程序头第十一章信息安全69宏病毒宏病毒一般是指利用软件所支持的宏命令或语言（如WordBasic）书写的一段寄生在支持宏的文档（如MicrosoftOffice文档）上的、具有复制、传染能力的宏代码。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系统上执行病毒行为。虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。第十一章信息安全70宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc、dot、xls、ppt、mdb等文件（Windows）传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒“七月杀手”病毒、“美丽莎”病毒第十一章信息安全71宏病毒——工作机理

有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒第十一章信息安全72通过移动存储设备来传播（包括优盘、磁带等）防治方法：尽量避免通过这种方式传送资料，选择已有的确保安全的方式拷贝通过电子邮件防治方法：对邮箱进行相关设置，抵制垃圾邮件和一些来路不明的邮件通过网站防治方法：安装杀毒软件，不要浏览不健康的网站；下载资料最好选择那些熟悉的或者比较出名口碑较好的网站，万一没有资源而从不熟悉的网站下载了东西，一定要先杀毒；最后可以安装一些相关的监测浏览网页的软件来进行实时保护，比如超级兔子、360安全卫士等计算机病毒常见的传染途径以及对应防治方法第十一章信息安全7311.4防火墙11.4.1防火墙的概念外部网（Internet）防火墙内部网在计算机网络中，防火墙是指一种将内部网和外部网（如Internet）分开的方法，它实际上是一种隔离技术。它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。第十一章信息安全74防火墙的发展历史第一阶段：基于路由器的防火墙第二阶段：用户化的防火墙工具套第三阶段：建立在通用操作系统上的防火墙第四阶段：具有安全操作系统的第十一章信息安全7511.4.2防火墙的体系结构双宿主主机模式

双宿/多宿主机防火墙第十一章信息安全76屏蔽主机模式

屏蔽主机防火墙第十一章信息安全77屏蔽子网模式

屏蔽子网防火墙第十一章信息安全7811.4.3防火墙技术防火墙的主要技术包过滤技术应用层网关技术动态包过滤技术自适应技术防火墙技术的几个新方向透明接入技术分布式防火墙技术以防火墙为核心的网络安全体系

机器学习嵌入，云边端协同防火墙技术第十一章信息安全79简单包过滤的实现原理第十一章信息安全80应用网关技术的实现原理第十一章信息安全81复合型实现原理第十一章信息安全8211.5其他安全技术11.5.1数字签名与认证技术数字签名技术

也叫电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

第十一章信息安全83数字签名的要求收方能够确认或证实发方的签名，但不能伪造

发方发出签名的消息送收方后，就不能再否认他所签发的消息

收方对已收到的签名消息不能否认，即有收到认证

第三者可以确认收发双方之间的消息传送，但不能伪造这一过程

第十一章信息安全84

数字签名的使用第十一章信息安全85数字证书简介数字证书是由认证机构颁发的、包含了公开密钥持有者信息以及公开密钥的文件，证书上还有认证机构的数字签名数字证书系统通过认证机构为公-私密钥对的持有者发放和管理数字证书数字证书类型个人数字证书服务器证书开发者证书第十一章信息安全86

利用数字证书实现信息安全发送方的工作第十一章信息安全87接收方的工作

利用数字证书实现信息安全第十一章信息安全88数字证书的格式基本数字证书格式第十一章信息安全89X.509版本3数字证书格式

数字证书的格式第十一章信息安全90数字证书的申请和发放数字证书管理机构

认证机构CA又称认证中心、证书授予机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。注册机构RA完成认证机构与其用户或数字证书申请人间的交互工作数字证书的申请注册数字证书的生成数字证书的更新第十一章信息安全91

认证技术信息认证

信息认证的目的：确认信息发送者的身份；验证信息的完整性。身份认证身份认证是判明和确认网上交易双方真实身份的重要环节。用户网上身份认证的基本方式：户名密码方式、IC卡认征、生物特征认证、USRKey认证、动态口令密等。特别是，生物特征识别中的指纹识别、声纹识别、虹膜识别及人脸识别等技术越来越成熟。第十一章信息安全92数字摘要工作原理

常用的信息认证技术1）数字摘要第十一章信息安全932)数字信封数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。做法：信息发送方用对称密钥加密信息，然后再用接收方的公钥加密此对称密钥(这部分称为数字信封)，再将它和信息一起发送给接收方；接收方先用相应的私钥打开数字信封，得到对称密钥，然后使用对称密钥再解开信息。作用：信息保密3)数字签名数字签名是指发送方以电子形式签名一个文件，表示签名人对该文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术，可以在保证信息完整性的同时保证信息的真实性。第十一章信息安全94数字签名工作原理第十一章信息安全954)数字时间戳数字时间戳服务(DTS)是提供电子文件发表时间认证的网络安全服务。它由专门的机构(DTS)提供。数字时间戳的产生过程第十一章信息安全9611.5.2入侵检测入侵检测的基本概念所谓入侵检测，顾名思义便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。主要功能

监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；管理操作系统日志和识别违反安全策略的用户活动第十一章信息安全97入侵检测过程信息收集信息分析结果处理第十一章信息安全981）信息收集：

内容包括系统、网络、数据及用户活动的状态和行为2）信息来源：

系统和网络日志文件；目录和文件中的不期望的改变；程序执行中的不期望行为；物理形式的入侵信息

3）信息分析的技术手段:

模式匹配统计分析完整性分析第十一章信息安全99

入侵检测的实现方式

入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。•基于网络的入侵检测系统（NIDS）•基于主机的入侵检测系统（HIDS）•混合型入侵检测系统（HybridIDS）第十一章信息安全100Internet网络服务器1客户端网络服务器2X检测内容：

系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS基于主机入侵检测系统工作原理第十一章信息安全101InternetNIDS基于网络入侵检测系统工作原理网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：

包头信息+有效数据部分第十一章信息安全102

入侵检测技术的发展方向

分布式入侵检测

智能化入侵检测

全面的安全防御方案第十一章信息安全10311.5.3虚拟专用网虚拟专用网(VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。它是一种通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑企业