计算机文化基础第10章.ppt

大学IT,第 10 章 信 息 安 全,大学IT,1,第 10 章 信 息 安 全,10.1 信息安全概述10.2 防 火 墙 10.3 计算机病毒10.4 信息政策与法规,大学IT,2,10.1 信息安全概述,信息安全的需求主要表现在两个方面：系统安全和网络安全。系统安全包括操作系统管理的安全、数据存储的安全、对数据访问的安全等而网络安全则涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备的安全等。如果不能很好地解决信息安全这个基本问题，必将阻碍信息化发展的进程。,大学IT,3,信息安全概述,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。“信息的完整性、可用性、保密性和可靠性”。通俗地说，信息安全主要是指保护信息系统，使其没有危险、不受威胁、不出事故地运行。从技术角度来讲，信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。信息安全的综合性又表现在，它是一门以人为主，涉及技术、管理和法律的综合学科，同时还与个人道德、意识等方面紧密相关。,大学IT,4,10.1 某些方面信息安全概述,10.1.1 信息安全意识 10.1.2 网络道德 10.1.3 计算机犯罪 信息安全技术,返 回,大学IT,5,10.1.1 信息安全意识,1建立对信息安全的正确认识 当今，信息产业的规模越来越大，网络基础设施越来越深入到社会的各个方面、各个领域，信息技术应用已成为我们工作、生活、学习、国家治理和其他各个方面必不可少的关键的组件，信息安全的重要性也日益突出，这关系到企业、政府的业务能否持续、稳定地运行，关系到个人安全的保证，也关系到我们国家安全的保证。所以信息安全是我们国家信息化战略中一个十分重要的方面。,大学IT,6,信息安全意识,2掌握信息安全的基本要素和惯例 信息安全包括四大要素：技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队，是一个企业单位信息化安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS就能解决的。制定完善的安全制度很重要，而如何执行这个制度更为重要。如下信息安全公式能清楚地描述出他们之间关系：信息安全先进技术防患意识完美流程严格制度优秀执行团队法律保障,大学IT,7,信息安全意识,3清楚可能面临的威胁和风险 信息安全所面临的威胁来自于很多方面。这些威胁大致可分为自然威胁和人为威胁。自然威胁指那些来自于自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等的威胁。自然威胁往往带有不可抗拒性，因此这里主要讨论人为威胁。,大学IT,8,信息安全意识,1）人为攻击 人为攻击是指通过攻击系统的弱点，以便达到破坏、欺骗、窃取数据等目的，使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量的损失。人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的，但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。恶意攻击又分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。,大学IT,9,信息安全意识,被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要措施是检测，以及对攻击造成的破坏进行恢复。2）安全缺陷 如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再大也不会对网络信息安全构成威胁。但是，遗憾的是现在所有的网络信息系统都不可避免地存在着一些安全缺陷。有些安全缺陷可以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的代价。,大学IT,10,信息安全意识,3）软件漏洞 由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞同样会影响网络信息的安全。下面介绍一些有代表性的软件安全漏洞。（1）陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。通常应在程序开发后期去掉这些陷门，但是由于各种原因，陷门可能被保留，一旦被利用将会带来严重的后果。（2）数据库的安全漏洞：某些数据库将原始数据以明文形式存储，这是不够安全的。实际上，入侵者可以从计算机系统的内存中导出所需的信息，或者采用某种方式进入系统，从系统的后备存储器上窃取数据或篡改数据，因此，必要时应该对存储数据进行加密保护。,大学IT,11,信息安全意识,（3）TCP/IP协议的安全漏洞：TCP/IP协议在设计初期并没有考虑安全问题。现在，用户和网络管理员没有足够的精力专注于网络安全控制，操作系统和应用程序越来越复杂，开发人员不可能测试出所有的安全漏洞，因而连接到网络的计算机系统受到外界的恶意攻击和窃取的风险越来越大。另外，还可能存在操作系统的安全漏洞以及网络软件与网络服务、口令设置等方面的漏洞。,大学IT,12,信息安全意识,4）结构隐患 结构隐患一般指网络拓扑结构的隐患和网络硬件的安全缺陷。网络的拓扑结构本身有可能给网络的安全带来问题。作为网络信息系统的躯体，网络硬件的安全隐患也是网络结构隐患的重要方面。基于各国的不同国情，信息系统存在的其他安全问题也不尽相同。对于我国而言，由于我国还是一个发展中国家，网络信息安全系统除了具有上述普遍存在的安全缺陷之外，还存在因软、硬件核心技术掌握在别人手中而造成的技术被动等方面的安全隐患。,大学IT,13,信息安全意识,4养成良好的安全习惯 1）良好的密码设置习惯 2）网络和个人计算机安全 3）电子邮件安全 4）打印机和其他媒介安全 5）物理安全,返 回,大学IT,14,10.1.2 网络道德,1.网络道德概念及涉及内容 计算机网络道德是用来约束网络从业人员的言行，指导他们的思想的一整套道德规范。计算机网络道德可涉及到计算机工作人员的思想意识、服务态度、业务钻研、安全意识、待遇得失及其公共道德等方面。,大学IT,15,网络道德,2.网络的发展对道德的影响 1）淡化了人们的道德意识 2）冲击了现实的道德规范 3）导致道德行为的失范,大学IT,16,网络道德,3.网络信息安全对网络道德提出了新的要求 1）要求人们的道德意识更加强烈，道德行为更加自主自觉 2）要求网络道德既要立足于本国，又要面向世界 3）要求网络道德既要着力于当前，又要面向未来,大学IT,17,网络道德,4.加强网络道德建设对维护网络信息安全的作用 加强网络道德建设对维护网络信息安全的作用主要体现在两个方面：作为一种规范，网络道德可以引导和制约人们的信息行为；作为一种措施，网络道德对维护网络信息安全的法律措施和技术手段可以产生积极的影响。1）网络道德可以规范人们的信息行为2）网络道德可以制约人们的信息行为 3）加强网络道德建设，有利于加快信息安全立法的进程 4）加强网络道德建设，有利于发挥信息安全技术的作用,返 回,大学IT,18,10.1.3 计算机犯罪,1.计算机犯罪的概念 所谓计算机犯罪，是指行为人以计算机作为工具或以计算机资产作为攻击对象实施的严重危害社会的行为。由此可见，计算机犯罪包括利用计算机实施的犯罪行为和把计算机资产作为攻击对象的犯罪行为。2.计算机犯罪的特点 1）犯罪智能化 2）犯罪手段隐蔽 3）跨国性 4）犯罪目的多样化 5）犯罪分子低龄化 6）犯罪后果严重,大学IT,19,计算机犯罪,3.计算机犯罪的手段 1）制造和传播计算机病毒 2）数据欺骗 3）特洛伊木马 4）意大利香肠战术 5）超级冲杀 6）活动天窗 7）逻辑炸弹 8）清理垃圾 9）数据泄漏 10）电子嗅探器 除了以上作案手段外，还有社交方法，电子欺骗技术，浏览，顺手牵羊和对程序、数据集、系统设备的物理破坏等犯罪手段。,大学IT,20,计算机犯罪,4.黑客 黑客一词源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的人。目前黑客已成为一个广泛的社会群体，其主要观点是：所有信息都应该免费共享；信息无国界，任何人都可以在任何时间地点获取他认为有必要了解的任何信息；通往计算机的路不止一条；打破计算机集权；反对国家和政府部门对信息的垄断和封锁。黑客的行为会扰乱网络的正常运行，甚至会演变为犯罪。,大学IT,21,计算机犯罪,黑客行为特征可有以下几种表现形式：1）恶作剧型 2）隐蔽攻击型 3）定时炸弹型 4）制造矛盾型 5）职业杀手型 6）窃密高手型 7）业余爱好型,大学IT,22,计算机犯罪,为了降低被黑客攻击的可能性，要注意以下几点：（1）提高安全意识，如不要随便打开来历不明的邮件。（2）使用防火墙是抵御黑客程序入侵的非常有效的手段。（3）尽量不要暴露自己的IP地址。（4）要安装杀毒软件并及时升级病毒库。（5）作好数据的备份。总之，我们应认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。在系统中层层设防，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。,返 回,大学IT,23,10.1.4 信息安全技术,目前信息安全技术主要有：密码技术、防火墙技术、虚拟专用网（VPN）技术、病毒与反病毒技术以及其他安全保密技术。1.密码技术1）密码技术的基本概念 密码技术是网络信息安全与保密的核心和关键。通过密码技术的变换或编码，可以将机密、敏感的消息变换成难以读懂的乱码型文字，以此达到两个目的：其一，使不知道如何解密的“黑客”不可能从其截获的乱码中得到任何有意义的信息；其二，使“黑客”不可能伪造或篡改任何乱码型的信息。研究密码技术的学科称为密码学。密码学包含两个分支，即密码编码学和密码分析学。前者旨在对信息进行编码实现信息隐蔽，后者研究分析破译密码的学问。两者相互对立，又相互促进。,大学IT,24,信息安全技术,采用密码技术可以隐蔽和保护需要发送的消息，使未授权者不能提取信息。发送方要发送的消息称为明文，明文被变换成看似无意义的随机消息，称为密文。这种由明文到密文的变换过程称为加密。其逆过程，即由合法接收者从密文恢复出明文的过程称为解密。非法接收者试图从密文分析出明文的过程称为破译。对明文进行加密时采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的，该密码信息称为密钥，加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。,大学IT,25,信息安全技术,2）单钥加密与双钥加密 传统密码体制所用的加密密钥和解密密钥相同，或从一个可以推出另一个，被称为单钥或对称密码体制。若加密密钥和解密密钥不相同，从一个难以推出另一个，则称为双钥或非对称密码体制。单钥密码的优点是加、解密速度快。缺点是随着网络规模的扩大，密钥的管理成为一个难点；无法解决消息确认问题；缺乏自动检测密钥泄露的能力。采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公布；另一个则是秘密的，因此双钥体制又称作公钥体制。由于双钥密码体制的加密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。双钥密码的缺点是双钥密码算法一般比较复杂，加、解密速度慢。,大学IT,26,信息安全技术,网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制，即加、解密时采用单钥密码，密钥传送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加、解密速度的问题。,大学IT,27,信息安全技术,3）著名密码算法介绍（1）分组密码算法：数据加密标准是迄今世界上最为广泛使用和流行的一种分组密码算法。它的产生被认为是20世纪70年代信息加密技术发展史上的两大里程碑之一。DES是一种单钥密码算法，它是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64位一组，用长为56位的密钥对其进行16轮代换和换位加密，最后形成密文。DES的巧妙之处在于，除了密钥输入顺序之外，其加密和解密的步骤完全相同，这就使得在制作DES芯片时，易于做到标准化和通用化，这一点尤其适合现代通信的需要。在DES出现以后，经过许多专家学者的分析论证，证明它是一种性能良好的数据加密算法，不仅随机特性好，线性复杂度高，而且易于实现，因此，DES在国际上得到了广泛的应用。,大学IT,28,信息安全技术,但是，最近对DES的破译取得了突破性的进展。破译者能够用穷举法借助网络计算在短短的二十余小时就攻破56位的DES，所以，在坚定的破译者面前，可以说DES已经不再安全了。其他的分组密码算法还有IDEA密码算法、LOKI算法、Rijndael算法等。,大学IT,29,信息安全技术,（2）公钥密码算法：最著名的公钥密码体制是RSA算法。RSA算法是一种用数论构造的、也是迄今理论上最为成熟完善的一种公钥密码体制，该体制已得到广泛的应用。它的安全性基于“大数分解和素性检测”这一已知的著名数论难题基础，而体制的构造则基于数学上的Euler定理。但是，由于RSA涉及高次幂运算，用软件实现速度较慢，尤其是在加密大量数据时，所以，一般用硬件来实现RSA。RSA中的加、解密变换是可交换的互逆变换。RSA还可用来做数字签名，从而完成对用户的身份认证。著名的公钥密码算法还有Diffie-Hellman密钥分配密码体制、Elgamal公钥体制、Knapsack体制等，由于涉及较深的数学理论，在此不再赘述。,大学IT,30,信息安全技术,2.防火墙技术 当构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。在今天的电子信息世界里，人们借助了这个概念，使用防火墙来保护计算机网络免受非授权人员的骚扰与黑客的入侵，不过这些防火墙是由先进的计算机系统构成的。在本章第二节中将详细学习防火墙的有关知识。,大学IT,31,信息安全技术,3.虚拟专用网（VPN）技术 虚拟专网是虚拟私有网络（VPN，Virtual Private Network）的简称，它是一种利用公用网络来构建的私有专用网络。目前，能够用于构建 VPN 的公用网络包括Internet和服务提供商（ISP）所提供的DDN专线（Digital Data Network Leased Line）、帧中继（Frame Relay）、ATM等，构建在这些公共网络上的VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。“虚拟”的概念是相对传统私有专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。,大学IT,32,信息安全技术,1）VPN的三种类型 VPN有三种类型，即：访问虚拟专网（Access VPN）、企业内部虚拟专网（Intranet VPN）、扩展的企业内部虚拟专网（Extranet VPN）。2）VPN的优点 利用公用网络构建虚拟私有网络是个新型的网络概念，它给服务提供商（ISP）和VPN用户都将带来不少的益处。对ISP而言，通过向企业提供VPN这种增值服务，可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。对于VPN用户而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，而且，企业甚至可以不必维护自己的广域网系统，交由专业的ISP来帮你完成；VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活、方便性等特性将大大方便企业的网络管理；另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术使得通过公用网络传输的私有数据的安全性得到了很好的保证。,大学IT,33,信息安全技术,4病毒与反病毒技术 计算机病毒的发展历史悠久,从20世纪80年代中后期广泛传播开来至今，据统计世界上已存在的计算机病毒有5000余种，并且每月以平均几十种的速度增加。计算机病毒是具有自我复制能力的计算机程序，它能影响计算机软、硬件的正常运行，破坏数据的正确性与完整性，造成计算机或计算机网络瘫痪，给人们的经济和社会生活造成巨大的损失并且成上升的趋势。统计数据表明：1999年电脑病毒造成的全球经济损失为36亿美元，2003年则达到了280亿美元。计算机病毒的危害不言而喻，人类面临这一世界性的公害采取了许多行之有效的措施：如加强教育和立法，从产生病毒源头上杜绝病毒；加强反病毒技术的研究，从技术上解决病毒传播和发作。本章第三节将深入分析病毒的原理与特点。,大学IT,34,信息安全技术,5.其他安全与保密技术1）实体及硬件安全技术 实体及硬件安全是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（包括电磁污染等）破坏的措施和过程。实体安全是整个计算机系统安全的前提，如果实体安全得不到保证，则整个系统就失去了正常工作的基本环境。另外，在计算机系统的故障现象中，硬件的故障也占到了很大的比例。正确分析故障原因，快速排除故障，可以避免不必要的故障检测工作，使系统得以正常运行。,大学IT,35,信息安全技术,2）数据库安全技术 数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次：,大学IT,36,信息安全技术,（1）网络系统层次：从广义上讲，数据库的安全首先依赖于网络系统。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、协作式入侵检测技术等。,大学IT,37,信息安全技术,（2）宿主操作系统层次：操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。数据安全主要体现在以下几个方面：数据加密技术、数据备份、数据存储、数据传输的安全性等。可以采用的技术很多，主要有Kerberos认证、IPSec、SSL等技术。,大学IT,38,信息安全技术,（3）数据库管理系统层次：数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。,返 回,大学IT,39,10.2 防 火 墙,防火墙是近年发展起来的一种保护计算机网络安全的访问控制技术。它是一个用以阻止网络中的黑客访问某个机构网络的屏障，在网络边界上，通过建立起网络通信监控系统来隔离内部和外部网络，以阻挡通过外部网络的入侵。,大学IT,40,10.2 防 火 墙,10.2.1 防火墙的概念10.2.2 防火墙的类型 10.2.3 防火墙的体系结构,返 回,大学IT,41,10.2.1 防火墙的概念,防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统。它决定网络内部服务中哪些可被外界访问，外界的哪些人可以访问哪些内部服务，同时还决定内部人员可以访问哪些外部服务。所有来自和去往因特网的业务流都必须接受防火墙的检查。防火墙必须只允许授权的业务流通过，并且防火墙本身也必须能够抵抗渗透攻击，因为攻击者一旦突破或绕过防火墙系统，防火墙就不能提供任何保护了。,大学IT,42,防火墙的概念,1.防火墙的基本功能 一个有效的防火墙应该能够确保：所有从Internet流出或流入的信息都将经过防火墙；所有流经防火墙的信息都应接受检查。设置防火墙的目的是在内部网与外部网之间设立惟一的通道，简化网络的安全管理。从总体上看，防火墙应具有如下基本功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。,大学IT,43,防火墙的概念,2.防火墙存在的缺陷 防火墙可能存在如下一些缺陷：防火墙不能防范不经由防火墙的攻击；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能防止数据驱动式攻击。,返 回,大学IT,44,10.2.2 防火墙的类型,按照防火墙保护网络使用方法的不同，可将其分为三种类型：1)网络层防火墙 2)应用层防火墙 3)链路层防火墙。,返 回,大学IT,45,10.2.3 防火墙的体系结构,防火墙的体系结构多种多样。当前流行的体系结构主要有三种：1)双宿网关 2)屏蔽主机 3)屏蔽子网。,返 回,大学IT,46,10.3 计算机病毒,计算机病毒（Virus）是一组人为设计的程序，这些程序隐藏在计算机系统中，通过自我复制来传播，满足一定条件即被激活，从而给计算机系统造成一定损害甚至严重破坏。这种程序的活动方式与生物学上的病毒相似，所以被称为计算机“病毒”。现在的计算机病毒已经不单单是计算机学术问题，而成为一个严重的社会问题。,大学IT,47,计算机病毒,10.3.1 病毒的原理与特点 10.3.2 病毒的类型10.3.3 病毒的预防 10.3.4 病毒的清除,返 回,大学IT,48,10.3.1 病毒的原理与特点,1994年出台的中华人民共和国计算机安全保护条例对病毒的定义是：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒具有如下特点：1）可执行性 2）破坏性 3）传染性 4）潜伏性 5）针对性 6）衍生性 7）抗反病毒软件性,返 回,大学IT,49,10.3.2 病毒的类型,计算机病毒的分类方法很多，微机上的计算机病毒通常可分为:1)引导区型 2)文件型 3)混合型 4)宏病毒等四类。,返 回,大学IT,50,10.3.3 病毒的预防,预防计算机病毒，应该从管理和技术两方面进行。1）从管理上预防病毒 计算机病毒的传染是通过一定途径来实现的，为此必须重视制定措施、法规，加强职业道德教育，不得传播更不能制造病毒。另外，还应采取一些有效方法来预防和抑制病毒的传染：（1）谨慎地使用公用软件或硬件。（2）任何新使用的软件或硬件（如磁盘）必须先检查。（3）定期检测计算机上的磁盘和文件并及时消除病毒。（4）对系统中的数据和文件要定期进行备份。（5）对所有系统盘和文件等关键数据要进行写保护。,大学IT,51,病毒的预防,2）从技术上预防病毒 从技术上对病毒的预防有硬件保护和软件预防两种方法。任何计算机病毒对系统的入侵都是利用RAM提供的自由空间及操作系统所提供的相应的中断功能来达到传染的目的。因此，可以通过增加硬件设备来保护系统，此硬件设备既能监视RAM中的常驻程序，又能阻止对外存储器的异常写操作，这样就能实现预防计算机病毒的目的。软件预防方法是使用计算机病毒疫苗。计算机病毒疫苗是一种可执行程序，它能够监视系统的运行，当发现某些病毒入侵时可防止病毒入侵，当发现非法操作时及时警告用户或直接拒绝这种操作，使病毒无法传播。,返 回,大学IT,52,10.3.4 病毒的清除,如果发现计算机感染了病毒，应立即清除。通常用人工处理或反病毒软件方式进行清除。人工处理的方法有：用正常的文件覆盖被病毒感染的文件；删除被病毒感染的文件；重新格式化磁盘等。这种方法有一定的危险性，容易造成对文件的破坏。用反病毒软件对病毒进行清除是一种较好方法。常用的反病毒软件有瑞星、KV、NORTON等，需要特别注意的是要及时对反病毒软件进行升级更新，才能保持软件的良好杀毒性能。,返 回,大学IT,53,10.4 信息政策与法规,国家信息政策与法规的研究起源于20世纪50年代末至60年代，60年代之后，逐渐受到各国政府的重视，各国政府纷纷出台一些信息政策和信息法规，指导本国各时期的信息工作，促进本国信息事业的发展。对各国政府在制定本国信息政策和信息法规时的背景、立法目标、制定原则进行研究，有助于为我国制定信息政策法规提供理论依据，促进国家信息政策和法规体系的建立和完善。,大学IT,54,10.4 信息政策与法规,10.4.1 信息系统安全保护规范化与法制化 计算机信息系统安全调查,返 回,大学IT,55,10.4.1 信息系统安全保护规范化与法制化,1.信息系统安全法规的基本内容与作用（1）计算机违法与犯罪惩治。显然是为了震慑犯罪，保护计算机资产。（2）计算机病毒治理与控制。在于严格控制计算机病毒的研制、开发，防止、惩罚计算机病毒的制造与传播，从而保护计算机资产及其运行安全。（3）计算机安全规范与组织法。着重规定计算机安全监察管理部门的职责和权利以及计算机负责管理部门和直接使用的部门的职责与权利。（4）数据法与数据保护法。其主要目的在于保护拥有计算机的单位或个人的正当权益，包括隐私权等。,大学IT,56,信息系统安全保护规范化与法制化,2.国外计算机信息系统安全立法简况 发达国家关注计算机安全立法是从20世纪60年代后期开始的。瑞典早在1973年就颁布了数据法，这大概是世界上第一部直接涉及计算机安全问题的法规。随后，丹麦等西欧国家都先后颁布了数据法或数据保护法。1991年，欧共体12个成员国批准了软件版权法等。在美国，国防部早在20世纪80年代就针对计算机安全保密问题开展了一系列有影响的工作。针对窃取计算机数据和对计算机信息系统的种种危害，于1981年成立了国家计算机安全中心（NCSC）；1983年，美国国家计算机安全中心公布了可信计算机系统评测标准（TCSEC）；作为联邦政府，1986年制定了计算机诈骗条例；1987年又制定了计算机安全条例。,大学IT,57,信息系统安全保护规范化与法制化,3.国内计算机信息系统安全立法简况 早在1981年，我国政府就对计算机信息安全系统安全予以极大关注。1983年7月，公安部成立了计算机管理监察局，主管全国的计算机安全工作。公安部于1987年10月推出了电子计算机系统安全规范（试行草案），这是我国第一部有关计算机安全工作的管理规范。到目前为止，我国已经颁布了的与计算机信息系统安全有关的法律法规很多。,返 回,大学IT,58,10.4.2 计算机信息系统安全调查,迄今，人们对计算机安全调查这一概念仍没有形成统一的认识。世界各国对计算机安全调查存在着不同的认识和见解。在我国，为对各单位、各行业的计算机信息系统安全性能进行评估，以便更好地提高系统的安全性，上级主管部门根据我国或具体地、市相关安全标准制定出一整套切实可行的安全调查提纲或条款，然后计算机安全主管部门根据这一调查提纲定期对各计算机信息系统应用部门进行全面综合的调查评估，这一过程称为计算机信息系统安全调查。其目的主要是在系统未被入侵之前，对系统安全性能进行定期调查分析，从而最大限度地发现系统存在的安全隐患和漏洞，以便提高系统安全性，使其日后被攻击的可能性降为最小。,大学IT,59,计算机信息系统安全调查,而在西方一些计算机事业发达国家，计算机信息系统安全调查指的是当某一部门或单位的计算机系统受到攻击时，为挽救系统，尽量避免或减少损失，负责信息安全部门会介入，按照一定的法律程序并依靠一定的技术手段及管理方法对遭受攻击的系统进行跟踪调查分析，从而找出作案嫌疑人，追回损失，同时发现系统安全隐患和漏洞，以降低或避免系统日后再被攻击的可能性。计算机犯罪、计算机信息安全法律法规、计算机职业道德以及计算机安全调查等环节是紧密联系、不可分割的。为促进计算机信息系统安全事业的进一步发展，我们还应该继续深入研究。,返 回,大学IT,60,第十章 作业,教材P308 习题十 2，3，7，9，10，14实验教程P229 10.3 补充习题 一、二、三、四,大学IT,61,第十章 实验内容,实验教程P22010.2.1 杀毒软件的使用,大学IT,本章结束,