第10章 信息安全技术基础.ppt

《第10章 信息安全技术基础.ppt》由会员分享，可在线阅读，更多相关《第10章 信息安全技术基础.ppt（48页珍藏版）》请在三一办公上搜索。

1、第10章 信息安全技术基础,本章要点,信息安全的概念、特征和信息安全面临的威胁及策略。计算机病毒的特点、分类和计算机病毒的防治。恶意软件的特征和分类。保护信息安全的数据加密技术、数字签名等技术。黑客和防火墙的概念以及防火墙的分类。我国关于网络安全的法律法规和计算机职业道德规范。,10.1.1 信息安全的概念1 信息安全的概念,10.1信息安全概述,所谓网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,网络安全从其本质上来讲就是网络上的信息安全，信息安全的根本目的是使一个国家的信息技术体系不受

2、外来的威胁和侵害。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,2 网络信息安全的特征,网络安全的目的是保证网络数据的三个特性：可用性、完整性和保密性。具体说网络信息安全的特征可以包括以下几个方面：,（1）保密性。保密性是指隐藏信息或资源，不将信息泄露给非授权的用户，只提供给授权用户使用。保密性包括信息内容的加密和隐藏数据的存在性。常用的保密技术有防侦收、防辐射、信息加密、物理保密等。（2）完整性。完整性是指数据和资源未被改变，真实可信。完整性机制分为预防机制和检测机制。常用的保障信息完整性方法有：协议、纠错编码方法、密码校验

3、、数字签名、公证等。,（3）可用性。可用性指网络信息或资源可以被访问和使用的特性。网络信息系统最基本的功能是向用户提供服务，用户需要可以存取所需的信息。可用性是网络安全服务的重要方面，破坏系统的可用性被称为拒绝服务攻击。,（4）可控性。可控性指对信息的传播及内容具有控制能力的特性。,（5）不可否认性。不可否认性指在网络信息交互过程中，用户不能否认曾经完成的动作。用户不能否认已经发出的信息，也不能否认曾经接到对方的信息。建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。,（6）可保护性。可保护性是指保护网络的软、硬件资源不被非法占有，保护服务、资源和信息的正常传输，保护结点

4、和用户的安全性。,1信息安全的威胁,10.1.2 信息安全的威胁及策略,（1）病毒。通过网络传播的计算机病毒，破坏性非常高，而且用户很难防范，是计算机系统最直接的威胁。,（2）网络犯罪和黑客对网络攻击。利用计算机网络破坏计算机信息系统，传播计算机病毒、黄色淫秽图像，窃取国家秘密或企业商业机密等，其动机有些是政治原因，也有一些仅仅是为了炫耀自己的技术。,（3）拒绝服务攻击。攻击服务系统，使得合法用户对信息或其他资源的合法访问被无条件地拒绝。,（4）信息泄漏。指信息被泄漏给非授权的人。,（5）非授权访问。未经系统授权的人使用网络或计算机资源。,（6）窃取。非法用户通过数据窃听的手段获得敏感信息。,

5、（7）截取：非法用户首先获得信息，再将此信息发送给真实接收者。,（8）伪造：将伪造的信息发送给接收者。,（9）篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。,（10）假冒。一个实体假装成另外一个不同的实体。,（11）行为否认。参与信息交换的一方，事后否认曾经发生的行为。,信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。计算机网络信息安全涉及信息传输、信息存储和网络传输内容等各个环节，为了保证信息的保密性、完整性、可用性和可控性，要从技术、管理、立法三个层次上采取有效的措施。为保证网络信息的的安全，具体可以采取以下方法：,2 网络信息安全策略,（1）保护物理安全。

6、物理安全指在物理介质层次上对存储和传输的网络信息保护安全。,（2）访问控制策略。访问控制是保障网络安全的主要策略，它的主要任务是防止对资源的非授权访问，防止以非授权的方式使用某一资源。具体说可以包括入网访问控制、网络的权限控制和客户端安全防护策略等。,（3）保护信息安全传输。信息在网络上传输的过程中，有可能被拦截、读取，甚至破坏和篡改封包的信息，应使用加密、数字签名等技术确保信息传输的安全。,（4）为服务器安装安全操作系统。给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。,（5）防止黑客

7、利用系统漏洞攻击。及时安装系统安全漏洞的补丁程序，防止黑客入侵。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。系统安全漏洞与系统攻击活动之间有紧密的关系，发现系统漏洞，及时安装补丁程序进行补救是防止黑客入侵的必要手段。,（6）口令机制是资源访问的第一道屏障。攻破了这到屏障，就获得了进入系统的第一道大门。所以口令攻击是入侵者最常用的攻击手段。为了防止黑客破解系统口令，口令长度不应该少于6个字符，而且最好是字母、文字、标点等的组合。另外，应该定期更改口令。,（7）安装防火墙。防火墙是防止黑客入侵的有利屏障。好的防火墙能极大的提高内

8、部网络的安全性，防止内部信息的泄漏。,（8）网络安全管理。要想加强网络的安全管理，就要制定有关规章制度，确保网络的安全、可靠运行。具体说网络安全管理包括确定安全管理的等级和范围，制定网络操作规程，网络系统的维护制度，应急措施等。,10.2 计算机病毒,10.2.1计算机病毒的定义 计算机病毒这个称呼借用了生物病毒的概念，计算机病毒本身是一种特殊的计算机程序，由于计算机病毒具有与生物学病毒相类似的特征，都具有传染性、破坏性、变迁性和进化性等，所以人们用生物学上的病毒来称呼它。计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机

9、程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,10.2.2 计算机病毒的特点,（1）寄生性。计算机病毒不是一个单独的程序，它在计算机系统中是寄生在其他可执行程序中或寄生在硬盘的主引导扇区中，称为文件型病毒和引导型病毒。,（2）传染性。传染性是病毒的根本属性，计算机病毒的传染性是指病毒具有把自身复制到其它程序中，从一个程序传染到另一个程序，从一台计算机传染到另一台计算机，从一个计算机网络传染到另一个计算机网络，不断传播蔓延的特性。,（3）潜伏性。计算机病毒侵入系统后一般不会马上发作，它什么时间发作是预先设计好的。在发作条件满足前，病毒可能在系

10、统中没有表现症状，不影响系统的正常运行。像定时炸弹一样，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。,（4）隐蔽性。计算机病毒具有很强的隐蔽性，传染速度快。在传播时多数没有外部表现，有的可以通过病毒软件检查出来，有的根本就查不出来，当病毒发作时，多数已经扩散使系统遭到破坏。,（5）破坏性。计算机中毒后，可能会破坏文件或数据，干扰系统的正常运行。不同的计算机病毒破坏程度不同，有的影响计算机工作，有的占用系统资源，有的破坏计算机硬件等。,（6）可触发性。计算机病毒一般可以有几个触发条件，在一定条件下病毒被激活，对计算机发起攻击。这些条件可能是时间、日期、文件类型或某些特定的数据等。,（7）

11、不可预见性。由于新的计算机病毒不断出现，反病毒软件只能应对已有的病毒，不能预测新病毒，具有滞后性。所以病毒对于反病毒软件来说具有不可预见性。,10.2.3 计算机病毒的分类,（1）按病毒的传染方式 引导型病毒。这类病毒驻留在计算机引导区，每次系统启动，引导型病毒都用自己代替正常的引导记录，这就使得系统每次启动首先要运行病毒程序，然后才能执行原来的引导记录。引导型病毒在系统启动后就隐藏起来，等待时机发起进攻，因此具有很大的传染性和危害性。文件型病毒。文件型病毒也称为寄生病毒，是专门感染可执行文件的病毒。它运行在计算机存储器中，与可执行文件链接，当被感染的文件运行时，就会激活病毒。通常它感染的文件

12、扩展名为COM、EXE、BAT、OVL、SYS等。混合型病毒。这类病毒具有文件型病毒和引导型病毒的特征，它既可以传染计算机引导区，又可以传染可执行文件。,（2）按病毒的连接方式,源码型病毒。源码型病毒主要攻击高级语言编写的源程序，在源程序编译之前插入到里面，随源程序一起编译且在编译后成为合法程序的一部分。,嵌入型病毒。嵌入型病毒将自身嵌入到正常程序中，病毒主体与被攻击对象用插入的方式链接。外壳型病毒。外壳型病毒将自身附在正常程序的开头或结尾，对原来程序不作修改，相当于给正常程序加了个外壳。外壳型病毒比较常见，目前大多数文件型的病毒属于这一类。操作系统型病毒。操作系统型病毒用自己的代码加入或取代

13、操作系统的部分功能，直接感染操作系统，具有很强的破坏性，可以使系统瘫痪，危害性大。,（3）按破坏性,良性病毒。良性病毒不破坏系统和数据，它能够自我复制，运行时大量占用CPU时间和内存，降低运行速度，但是不影响系统运行。良性病毒在被清除后，可以恢复正常。恶性病毒。恶性病毒破坏系统和数据，删除文件，甚至摧毁系统，破坏系统配置导致无法重启，甚至格式化硬盘。恶性病毒的危害性大，病毒被清除后也无法修复丢失的数据。,（4）按照传播媒介分类,单机病毒：单机病毒以磁盘为传播载体。可以通过USB盘，移动硬盘等传入硬盘，再通过硬盘传播。,网络病毒：网络病毒通过网络传染病毒。网络病毒和单机病毒相比，具有传染面广、传

14、染形式多、清除难度大、破坏性强的特点。,1 计算机感染病毒后常会有如下症状,10.2.4计算机病毒的防治,（1）计算机的运行速度明显减慢。（2）系统引导速度减慢，或硬盘不能引导系统等。（3）计算机系统经常无故发生死机，或异常重新启动。（4）计算机异常要求用户输入口令密码。（5）计算机在命令执行过程中经常出现错误。（6）计算机可以使用的内存总数常会减少。（7）计算机屏幕上出现异常显示或蜂鸣器出现异常声响。（8）一些外部设备工作异常，例如打印出现问题。（9）计算机中的文件长度发生变化，通常是增加文件尺寸。（10）丢失文件、文件损坏或出现新的奇怪的文件。,2 计算机病毒的预防,（1）单台计算机系统在

15、单台计算机的环境下预防病毒，首先要做到在使用移动存储器时，应该先进行病毒检测，确定没有病毒后再使用。重要的资料要经常备份，避免资料被病毒损坏而无法恢复。另外，在使用新软件时，先用病毒扫描程序检查也可以减少中毒的机会。（2）网络中的计算机安全由于网络是病毒的重要传播途径，所以不能在互联网上随意下载软件，也不能轻易打开电子邮件的附件。病毒有可能潜伏在网络上的各种可下载程序中，或者通过电子邮件传播。即使下载了软件也应该用杀毒软件先检查，对待电子邮件的附件文件也是如此。,（3）制定预防管理策略2000年5月，中国在原来的“计算机病毒检测防治产品检测中心”的基础上，成立了“国家计算机病毒应急处理中心”，

16、专门负责统筹全国的计算机病毒的防治。另外，国家在计算机病毒防治管理办法和新修改的中华人民共和国刑法中对故意制造、传播计算机病毒的行为规定了相应的处罚办法。,3 常用杀毒软件,如果检测出计算机感染了病毒，就要使用杀毒软件进行消毒。国际权威的杀毒软BitDefender、Kaspersky（卡巴斯基）、F-Secure Anti-Virus、PC-cillin、ESET Nod32、McAfee VirusScan、Norton AntiVirus、AVG Anti-Virus、CA Antivirus、Norman Virus Control等。国内常用的杀毒软件有瑞星、金山、江民、趋势（日本）

17、、东方微点和费尔斯特等。,10.3 恶意程序10.3.1 恶意软件及特征,恶意软件：又称为流氓软件，是介于病毒和正规软件之间的软件。恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。恶意软件同时具备正常的下载、媒体播放等功能和恶意的弹广告、开后门等行为。,2007年6月15日，中国互联网协会反恶意软件协调工作组公布的“恶意软件定义”细则中明确的指出恶意软件具有如下8个特征：（1）强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。（2）难以卸载：指未提供通用的卸载方式

18、，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。（3）浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。（4）广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。,（5）恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。,（6）恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。,（7）恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。,（8）其他侵犯用户知情权、选择权的恶意行为。,10.3.2恶意软件分类,（1）蠕虫,蠕

19、虫是一种通过网络自我复制的恶意程序，它通过网络连接从一个系统传播到另一个系统，不用人为干预即可运行的攻击程序或代码。由于网络蠕虫和计算机病毒有很多相似之处，例如它们都有休眠期、传播期、触发期和执行期等，所以人们也把它称为蠕虫病毒。蠕虫病毒能够扫描和攻击网络上存在系统漏洞的节点主机，可以通过网络、电子邮件、USB盘、移动硬盘等传播，且传播速度非常快。例如“熊猫烧香”病毒就是一种蠕虫病毒。,特洛伊木马是指一段特定的程序，它在有用或表面上有用的程序或过程中包含了秘密代码，当程序被调用时，这些秘密代码会执行一些有害操作。特洛伊木马不具备自我复制功能，也不会去感染其他文件，它是一种基于远程控制的黑客工具

20、。当某个用户将它下载并运行后，他的电脑就会有一个或几个端口被打开，使得黑客可以通过这些端口进入电脑系统，这样电脑系统中的文件有可能被毁坏，安全和个人隐私也无从谈起了。由于木马具有隐蔽性的特点，他的设计者采用多种手段隐藏木马，所以用户在中毒后很难发觉。,（2）特洛伊木马,后门程序是指绕过访问控制的安全性检查而获取对程序或系统的访问权限的程序方法。后门程序原本是程序员为了调试和测试程序在软件内创建的，是进入程序的一个秘密入口。但是，如果这些后门被其他人知道，被用来获得非授权访问时，就会被黑客当成漏洞进行攻击。后门程序和病毒的区别在于后门程序不一定有自我复制的动作，未必感染其它电脑。后门程序跟木马都

21、是隐藏在用户系统中，具有一定权限，能向外发送信息，实现远程控制。它们的区别在于木马一般是一个完整的软件，后门体积较小且功能单一。,（3）后门程序,（4）广告软件（Adware）,广告软件是指没有经用户允许就自动下载并安装在用户电脑上；或者和别的软件捆绑，通过弹出式广告或其他形式进行商业广告宣传的程序。用户被强制安装了广告软件后，会造成系统运行缓慢，干扰计算机的正常使用，而且广告软件很难清除。,（5）间谍软件(Spyware),间谍软件是指能够在计算机使用者不知情的情况下，在用户电脑上安装后门程序的软件。间谍软件是目前网络安全的重要隐患之一。,（6）浏览器劫持,浏览器劫持是一种恶意程序，通过浏览

22、器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使得用户浏览器在访问正常网站时被转向到恶意网页，使得用户的浏览器配置不正常，使得IE浏览器的主页、搜索页等被修改，强行引导到商业网站。,（7）行为记录软件（Track Ware）,行为记录软件是指没有经过用户的许可窃取、分析用户的隐私数据，记录用户使用电脑的习惯、浏览网络的习惯等个人行为的软件。行为记录软件会危害到用户的隐私，可能被黑客利用来进行网络诈骗。,（8）恶意共享软件(malicious shareware),恶意共享软件是指某些共享软件为了获取利益采用不正当的捆绑或不透明的方式，强制将一些恶意插件安

23、装在用户的计算机上。恶意共享软件一旦被安装就很难被卸载，而且可能会造成用户浏览器被劫持、隐私被窃取等。,10.4.1 数据加密技术,10.4数据加密与数字签名,密码技术是一种保密技术，是电子商务采取的主要安全保密措施，是最常用的安全保密手段。通过某种函数进行变换，把正常数据报文转换为谁也看不懂的形式的过程称为加密。相应的将加密后的内容恢复成换来形式的过程称为解密。方便起见，把加密前的内容称为原文（Plaintext），加密后的内容称为密文（Ciphertext，也称密码）。,1经典加密算法,经典加密算法中用到了3种技术：（1）替换加密（2）换位加密（3）一次性填充,2现代密码体制,（1）对称加

24、密（2）非对称加密,数字签名（Digital Signature）是在数字文档上进行身份认证的技术，类似于在纸张上的手写签名，是无法伪造的。它利用数据加密技术，按照某种协议来产生一个反映被签署文件的特征和签署人特征，以保证文件的真实性和有效性的数字技术。另外，利用数字签名，也可用来核实接收者是否有伪造、篡改数字文件的行为。,10.4.2 数字签名,实现数字签名的方法很多，既可以利用3DES和RS4等对称加密算法实现签名，也可以利用RSA等非对称加密算法实现。目前用的比较多的是利用公开密钥体制来进行数字签名。,数字证书是由权威机构颁发给网上用户的一组数字信息，包含用户身份信息、用户公开密钥、签名

25、算法标识、证书有效期、证书序列号、颁证单位、扩展项等。其中负责颁发数字证书的权威机构称为认证中心（Certificate Authority，CA）。CA必须是可以信赖的第三方机构，因为证书的产生、分配和管理都是由它负责的。,10.4.3 数字证书,数字证书颁发过程一般为：用户首先产生自己的公有密钥和私有密钥，并将公有密钥和部分个人身份信息传送给CA。CA在接收到请求后，需要核实用户身份，以确信请求的真实性。接下来，CA将发给用户一个数字证书，该证书内包含了用户的个人信息和他的公钥信息，另外还包含了CA的签名信息。接下来，用户就可以使用自己的数字证书进行相关的各种活动。,10.4.4 消息摘要

26、,消息摘要（Message Digest）是一种防止改动的方法，它是利用一个Hash函数对原文进行计算，输出是一个固定长度的摘要。,消息摘要有一个非常重要的性质，那就是如果改变了原文中的任何东西，哪怕只有一个二进制位，计算得到的摘要都是完全不同的。因而，利用消息摘要可以计算出原文的数字指纹，从而防止有人改变文本信息内容。,数字水印（Digital Watermarking）是数据隐藏技术的一种，将一些标识信息(即数字水印)直接嵌入到多媒体、文档、软件等中，形成隐密载体，使非法者难于察觉其中隐藏有某些数据，或难于从中提取被隐藏数据。数字水印的嵌入，不会影响原载体的使用价值，可以达到确认内容创建者

27、、购买者、传送隐秘信息或者判断载体是否被篡改等目的。,10.4.5 数字水印,数字水印技术有如下几个特点：1不可感知性 2鲁棒性和安全性3.保密性,10.5.1 黑客,10.5 防火墙技术,在精通计算机技术的人群中有一个特殊的群体，这就是黑客（Hacker）。早期，黑客一词主要是指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但是现在黑客已经被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙，对于这些人的正确英文叫法为Cracker，也有人将其译成“骇客”。,从信息安全这个角度来说不管是黑客，还是骇客都是电脑系统的非法侵入者。黑客入侵计算机系统的目的千奇百怪，有的仅仅是满足自己的好奇心

28、，有的则是为了炫耀自己的计算机水平，还有的则是为了锻炼自己的计算机能力。但是有些黑客入侵系统，则是为了窃取情报，金钱，或是进行恶劣的报复。黑客在入侵计算机系统采用的手段多种多样。不管哪种，主要是利用系统自身的漏洞或是管理员在工作上的疏忽来进行的。为了防止黑客入侵，除了要及时安装补丁程序外，最重要的就是安装防火墙。,10.5.2 防火墙的概念,防火墙是指设置在不同网络之间的一系列软件和硬件的组合。它在内部网和外部网之间、专用网与公共网之间建立了一道保护屏障，如图10-4所示。防火墙保护了内部网和专用网免受非法用户的侵入，避免了内部信息的泄露。,图10-4防火墙,防火墙的功能主要有以下4方面：,1

29、防火墙是网络安全的屏障 2防火墙可以强化网络安全策略 3对网络存取和访问进行监控审计 4防止内部信息的外泄,10.5.3防火墙的分类,防火墙基本分为两类：网络级防火墙和应用网关防火墙。,1网络级防火墙,网络级防火墙一般是具有很强报文过滤能力的路由器。它采用包过滤技术，可以通过检查进出网络的IP包的源地址、协议、端口号和内容是否满足安全规则，从而确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,2应用级防火墙,应用级防火墙又称为应用网关。所有要访问内部网络的访问首先必须连接到网关上，然后再由网关转发给内部的服务器。访问者在任何时候都不能

30、直接建立与服务器的会话。,10.6 网络行为与职业道德规范,10.6.1我国关于网络安全的法律法规,中华人民共和国计算机信息系统安全保护条例全国人大常委会关于维护互联网安全的决定互联网上网服务营业场所管理条例计算机信息网络国际联网安全保护管理办法中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定实施办法计算机信息系统安全专用产品检测和销售许可证管理办法,计算机信息网络国际联网出入口信道管理办法中国公用计算机互联网国际联网管理办法中国公众多媒体通信管理办法计算机病毒防治管理办法互联网信息服务管理办法中华人民共和国电信条例计算机信息系统国际联网保密管理

31、规定计算机信息系统保密管理暂行规定金融机构计算机信息系统安全保护工作暂行规定互联网等信息网络传播视听节目管理办法,10.6.2计算机职业道德规范,（1）爱岗敬业、诚实守信、办事公道、服务群众、奉献社会。这些是社会主义职业道德的基本规范，作为一名合格的职业计算机工作人员首先应该遵守这些通用的职业道德规范。（2）每一位计算机职业从业人员都应该遵守国家有关法律规定，这是计算机专业人员职业道德的最基本要求。（3）自觉维护计算机安全，不破坏和损伤他人的计算机系统设备及资源，不制造和有意传播病毒程序，采取预防措施防范病毒。,（4）不得利用国际互联网制作和传播破坏宪法和法律、破坏国家统一、扰乱社会秩序、损害国家机关信誉、侮辱或诽谤他人的信息。（5）不利用电子邮件作广播型的宣传；未经允许不私自阅读他人的通讯文件，如电子邮件；不能通过破解别人的口令到他人的计算机里去窥探。（6）在工作中尊重各类著作权人的合法权利。,