计算机基础第七章教案.ppt

第七章 信息安全与职业道德,7.1 信息安全概述 计算机系统安全计算机系统安全是一门边缘性综合学科，它涉及到计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科。计算机系统面临诸多威胁：对实体的威胁和攻击 硬件、软件 对信息的威胁和攻击 信息泄漏、信息破坏,计算机安全的概念：静态描述 为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。动态描述 计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。,计算机安全涉及三个方面：物理安全（Physical Security）保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。运行安全（Operation Security）为了保证系统功能，提供一套安全措施（如：备份与恢复、应急措施等）来保护信息处理过程的安全。,信息安全（Information Security）防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。7.1.2 信息安全概念定义：防止信息财产被故意或偶然的非授权泄露、更改、破坏或信息被非法的系统辨识、控制，即确保信息的完整性、保密性、可用性和可控性。,TCSEC（桔皮书）：可信计算机系统评价准则（Trusted Computer Standards Evaluation Criteria）将计算机系统的安全划分为4个等级、7个级别。D类无保护安全等级：D1安全等级，整个系统都不可信。D1只为文件和用户提供安全保护，对硬件没有任何保护。操作系统容易受到损害、没有身份认证。如，MS-DOS，Windows95/98操作系统，完全没有保护的网络,C类自主保护等级：该类安全等级能够提供审慎地保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类：C1系统对硬件进行某种程度的保护，将用户和数据分开，用户必须通过用户名和口令才能登陆系统，有一定权限限制，但管理员无所不能。C2系统加强了审计跟踪的要求。在连接到网络上时，用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。能够达到C2级的常见操作系统有：UNIX，Linux，Windows NT，Windows2000和Windows XP。,B类强制保护等级：B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B类安全等级可分为B1、B2和B3三类：B1称为标志安全保护，该级可设置处于强制访问控制之下的对象，即使是文件的拥有者也不允许改变其权限。B2称为结构保护，必须满足B1系统的所有要求，另外还给设备分配单个或多个安全级别。B3称为安全域保护，必须符合B2系统的所有安全需求，使用安装硬件的方式来加强安全性，要求用户通过可信任途径连接到系统上。,A类验证保护等级：A系统的安全级别最高，包括了一个严格的设计、控制和验证过程。A类安全等级只包含A1一个安全类别。A1包含了较低级别的所有特性。A1要求系统的设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。此外，各国家及国际标准化组织等都提出了很多新的安全评价准则，包括专门针对银行业务的安全准则等。,信息安全的属性 可用性（Availability）被授权访问并按需求使用的特性。可靠性（Controllability）控制授权范围内的信息流向及行为方式，对信息的传播及内容具有控制能力的特性。完整性（Integrity）信息未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被偶然或蓄意删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。,保密性（Confidentiality）确保信息不泄露给未授权用户、实体或进程，不被非法利用。不可抵赖性（Non-Repudiation）信息的行为人要对自己的信息行为负责，通常将数字签名和公证机制一同使用来保证不可否认性。,信息安全技术 硬件安全技术 软件安全技术 数据安全技术 网络安全技术 病毒防治技术 防计算机犯罪,7.2 计算机病毒,计算机病毒的定义定义：计算机病毒是一种人为制造的、能够自我复制的、具有破坏计算机资源的一组程序或指令代码的集合。,计算机病毒与生物病毒,关于第一个计算机病毒：“磁芯大战”游戏：20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个游戏，游戏中通过能吃掉对方程序的程序相互作战，这就是所谓“病毒”的第一个雏形。“计算机病毒”正式命名：1983年。佛雷德科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，被正式命名为“计算机病毒”，并在得到实验室验证。,第一个在世界上流行的计算机病毒：20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”（C-BRAIN）的病毒，该病毒传染软盘引导区。第一个计算机病毒：25年前,一名15岁的学生里奇斯克伦塔编写了世界上第一个计算机病毒“ElkCloner”现年40岁的斯克伦塔说:它只是个愚蠢的小恶作剧。我想,如果必须在因此出名或是不出名中做选择,我宁愿因此出名。,计算机病毒的发展：,萌芽滋生阶段,第一次流行高峰,病毒自我变异,快速流行破坏性强,7.2 计算机病毒,计算机病毒的特征 程序性（可执行性）：计算机病毒是一段可执行程序，寄生在其他可执行程序上。它总是抢在其宿主程序执行前运行自己，以抢夺系统的控制权。计算机病毒只有在计算机内运行时，才具有破坏作用。程序性决定了计算机病毒的可防治性、可清除性。,传染性：由于病毒一词来源于生物学，传染性也相应成了计算机病毒最基本的特性。它具有自我复制、自我繁殖和再生的能力。是否具有传染性，是判断一个程序是否为计算机病毒的首要依据。它决定了计算机病毒的可判断性。潜伏性：编制精巧的病毒程序进入系统后一般不会立即发作。潜伏性越好，在系统中存在的时间越长，传染范围就越大。表现一：需专用检测软件来检测。表现二：需某种触发机制来激活。,可触发性：计算机病毒既要隐蔽自己，又要维持杀伤力，就必须具有可触发性。当触发条件不满足时，计算机病毒除了传染外不做什么破坏。“PETER-2”在每年2月27日提出3个问题，答错后会将硬盘加密；“黑色星期五”在逢每月13日的星期五发作。触发条件越多，破坏性越强。,破坏性：计算机病毒会对计算机系统造成不同程度的破坏，如降低系统工作效率、占用系统资源、数据丢失、系统崩溃等。破坏性取决于计算机病毒编写者的编写目的。如CHI病毒可以破坏磁盘中的全部数据，使之无法恢复；GENP、小球、W-BOOT等则属于“良性病毒”。针对性：计算机病毒是针对特定的计算机和操作系统的。如CHI病毒只能在Windows 9x中爆发。,衍生性：经过对原病毒的改动，从而又衍生出新的病毒（又称为变种），这就是计算机病毒的“衍生性”。衍生病毒有可能是人为结果，也有可能是病毒自身智能变异的结果。分析计算机病毒的结构，可以掌握病毒的传染破坏目的，但也为好事者提供了创造新病毒的捷径。非授权性（夺取系统的控制权）：病毒要实施传染破坏必须取得系统控制权，主动攻击。某种程度上，系统防护不论多严密，也不可能彻底排除病毒的攻击。,寄生（隐蔽）性：计算机病毒程序一般不独立存在，而是嵌入到正常程序中，依靠宿主程序而存在。病毒程序会对宿主程序进行一定的修改，一旦宿主程序运行，病毒就被激活，进行自我复制或繁衍。不可预见性：计算机病毒种类繁多，病毒代码千差万别，反病毒软件预防措施和技术手段总是滞后病毒的产生速度，决定了计算机病毒的不可预见性。,诱惑欺骗性：引诱、欺骗用户不自觉地触发、激活病毒。如情书病毒的变种之一（Virus.Warning）传播该病毒的邮件附件名为“”，主题为“Dangerous virus warning”，其内容“There is a dangerous virus circulating.Please click attached picture to view it and learn to avoid it.(目前病毒正在泛滥，请点击附图观看并学习如何避开病毒)”，引诱用户点击VBS脚本而非JPG图片。持久性：即使病毒程序被发现，数据、程序乃至操作系统的恢复都非常困难。,计算机病毒的种类按照病毒的链接方式分类：源码型病毒：病毒在源程序编译之前插入其中，并随源程序一起编译、链接成为可执行文件，成为合法程序的一部分，使之直接带毒。存在于语言处理程序或链接（Link）程序中。第一例感染C语言的病毒是Srevir病毒。,嵌入型病毒：嵌入型病毒将自身嵌入到被感染的目标程序当中，使病毒与目标程序成为一体。针对某些特定程序编写的，侵入宿主程序后，较难清除。外壳（Shell）型病毒：外壳型病毒附着在宿主程序的头部或尾部，对原来的程序不做修改，相当于给正常程序加了一个外壳。此类病毒最为常见，易于发现和清除。,操作系统型病毒：病毒用其自身程序部分加入或代替操作系统的某些功能，一般情况下并不感染磁盘文件而是直接感染操作系统，危害大、可以导致整个操作系统崩溃。按照病毒的引导方式分类：引导型病毒：引导型病毒也称开机病毒，隐藏在硬盘或软盘的引导扇区，利用磁盘的启动原理工作，在系统引导时运行。如，大麻（Stoned）、小球等病毒。,文件型病毒：文件型病毒寄生在其他文件中，使用可执行文件作为传播的媒介，此类病毒可以感染.com、.exe、.ovl文件，也可以感染obj、doc、dot等文件，是主流病毒。带毒文件一旦执行，病毒首先运行，并常驻内存，传染其他文件。混合型病毒：混合型病毒既有引导型病毒的特点又具有文件型病毒的特点，既感染引导区又感染文件，一旦中毒，就会经开机或执行可执行文件而感染其他的磁盘或文件。此种病毒算法复杂，破坏力更大，且难以清除。,计算机病毒的命名六大方法：按病毒发作的时间命名 按病毒发作的症状命名 按病毒自身包含的标志命名 按病毒发现地命名 按病毒的字节长度命名 按国际惯例命名 如，振荡波蠕虫病毒的变种B,计算机病毒的传播 计算机病毒的传播过程：在系统运行时，计算机病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身链接入被攻击的目标，从而将病毒进行传播。,计算机病毒的传播途径：不可移动的计算机硬件设备 移动存储设备计算机网络电子邮件,BBS,浏览页面,下载,即时通信软件等,计算机病毒的检测与防治计算机病毒的检测与防治应从下面三个方面进行：病毒预防 保证硬盘无病毒的情况下，用硬盘引导系统。不要使用来历不明的磁盘或光盘。以RTF格式作为交换文档文件。为避免使用Word等宏功能及其“安全洞”病毒或恶意程序（worm），在编写文件时，人们常采用RTF格式保存文件。现在RTF格式文件也变得有机可乘了。,如果打开的文件中含有宏，在无法确定来源可靠的情况下，不要轻易打开。不要打开来历不明的电子邮件。浏览网页(特别是个人网页)时要谨慎。当浏览器出现“是否要下载ActiveX控件或Java脚本”警告通知框，为安全起见，不要轻易下载。从Internet上下载软件时，要从正规的网站上下载，并确保无毒后才安装运行。,了解和掌握计算机病毒发作的时间或条件，并事先采取措施。随时关注计算机报刊或其他媒体发布的最新病毒信息及其防治方法。一旦发现网络病毒，立即断开网络采取措施避免扩散。安装杀毒软件，开启实时监控功能。定期使用杀毒软件进行杀毒，并定时升级病毒库。,病毒检测 计算机启动变慢，反应迟钝，出现蓝屏或死机。开机后出现陌生的声音、画面或提示信息。程序的载入时间变长。可执行文件的大小改变。磁盘访问时间变长（读取或保存相同长度的文件的速度变慢）。没存取磁盘，但磁盘指示灯却一直亮着,系统内存或硬盘容量突然大幅减少。文件神秘消失。文件名称、扩展名、日期、属性等被更改。打印出现问题。病毒清除 计算机病毒的清除是指从感染对象中清除病毒，是计算机病毒检测发展的必然结果和延伸。,7.2.7 计算机病毒、蠕虫与木马：恶意程序：未经授权便干扰或破坏计算机系统/网络的程序或代码称为恶意程序。恶意程序分为两类：不能独立，存在宿主程序。能够独立在操作系统上运行。,蠕虫（Worm）：特点：非寄生性且网络传播 蠕虫是一种完全独立的可执行程序，由主程序和引导程序两部分组成。蠕虫收集与本地联网的其他计算机的信息，利用系统缺陷在远程计算机上建立引导程序，并把蠕虫带入该计算机。蠕虫传播无需用户操作，通过网络分发它自己的副本。细菌：与蠕虫类似，也是独立程序。在单机环境下自我复制，破坏计算机系统信息。,1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生。美国康奈尔大学一年级研究生Morris，为了求证计算机程序是否能在其他计算机之间自我复制传播，编写了一段代码，破解用户口令，让程序顺利进入其他计算机。早上5点，这段被称为蠕虫的程序，爬进了几千台计算机，令它们死机，造成了9600万美元的损失，也同时开启了蠕虫新纪元。,特洛伊木马（Trojan house）：特洛伊木马是指表面看似是有用的软件，实际目的是危害计算机安全并导致严重破坏的计算机程序，是一种远程计算机之间建立连接，通过网络控制本地计算机的非法程序。木马一般有客户和服务器两个执行程序。木马的入侵方式：邮件、下载等。木马程序很小，捆绑在图片程序中难以被发现。木马窃取计算机IP、端口及所有密码等，与攻击者里应外合控制被攻击者的计算机。木马是一种基于远程控制的黑客工具。,7.3 计算机网络安全 防火墙技术 防火墙必需满足二个需求：保证内部网络安全；保证内部网和外部网络的联通。功能：实施网络间访问控制；有效记录Internet上的活动；隔离网段；抗攻击。,防火墙的类型：包过滤网络层，简单、低成本；代理型防火墙分应用层和传输层，安全策略更严格。7.3.2 虚拟专用网（VPN）在不安全的公共网络上建立一个安全的专用通信网络。VPN实际上是一种服务，采用加密和认证技术，利用公共通信设施的一部分发送专用信息。,功能：数据加密；信息和身份认证；访问权限控制。分类：拨号VPN；内部网VPN；外联网VPN；,入侵检测技术入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术。功能：检测入侵行为；作出及时的判断、记录和报警。漏洞扫描技术 产生漏洞的原因：软件编写错误；软件配置不当。漏洞扫描器种类：基于网络的漏洞扫描器；基于主机的漏洞扫描器；,数据加密技术密码、明文、密文。加密：明文-密文解密：密文-明文。7.3.6 黑客技术与防范 黑客（hacher）精通计算机软硬件技术，对操作系统和计算机编程语言有深刻认识。黑客崇尚自由，反对信息垄断，恪守“永不破坏任何系统”的道德准则。反之，利用黑客技术干违法事情的一类人被称为骇客（Cracker）。,黑客攻击步骤：寻找目标主机，利用扫描端口收集主机信息；利用系统漏洞登陆主机；得到超级用户权限，控制主机；清除登陆记录，修改某些系统设置，植入木马或远程控制程序，设置后门；常用的九种攻击手段：,