2009-7-28 1
第十二章 信息系统的安全
12.1 网络黑客及防范
12.2 计算机病毒
12.3 数据加密与数字签名
12.4 防火墙技术
12.5 网络道德建设
2009-7-28 2
12.1 网络黑客及防范
1.什么是网络黑客?
网络黑客 ( Hacker) 一般指的是计算机网络的非法入侵者,他们大都是程序员,对计算机技术和网络技术非常精通
,了解系统的漏洞及其原因所在,喜欢非法闯入并以此作为一种智力挑战而沉醉其中 。 有些黑客仅仅是为了验证自己的能力而非法闯入,并不会对信息系统和网络系统产生破坏作用,但也有很多黑客非法闯入是为了窃取机密的信息,盗用系统资源或出于报复心理而恶意毁坏某个信息系统等 。
2009-7-28 3
2.黑客常用的攻击方式
( 1) 黑客的攻击步骤
隐藏自己的位置
寻找目标主机并分析目标主机
获取帐号和密码,登录主机
获得控制权
窃取网络资源和特权
( 2) 黑客的攻击方式
口令入侵
放置特洛伊木马程序
WWW的欺骗技术
2009-7-28 4
黑客的攻击方式
电子邮件攻击
通过一个节点来攻击其他节点
网络监听
利用黑客软件攻击
安全漏洞攻击
端口扫描攻击
拒绝服务攻击
2009-7-28 5
3,防止黑客攻击的策略
提高安全意识
设置防火墙
设置代理服务器,隐藏自己的 IP地址
信息加密
审计
其他安全防范措施
2009-7-28 6
12.2 计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 。
1.病毒的定义
2009-7-28 7
2.计算机病毒的特点和表现形式
计算机病毒的特点:
传染性隐蔽性潜伏性破坏性针对性不可预见性
病毒的表现形式文件长度发生变化系统运行异常或者瘫痪改变磁盘分配使磁盘的存储不正常内存空间减少机器速度明显变慢
2009-7-28 8
3,计算机病毒的分类
1)按病毒攻击的操作系统来分类
攻击 DOS系统的病毒
攻击 Windows系统的病毒 成为计算机病毒攻击的主要对象。首例破坏计算机硬件的 CIH病毒
攻击 UNIX系统的病毒 UNIX病毒的破坏性很大
攻击 OS/2系统的病毒 该类病毒比较少见
2009-7-28 9
2)按病毒攻击的机型来分类
攻击微型计算机的病毒 传播最为广泛的病毒
攻击小型机的计算机病毒
攻击工作站的计算机病毒
3)按计算机病毒的链结方式分类
源码型病毒
嵌入型病毒
外壳型病毒
操作系统型病毒
2009-7-28 10
( 4)按病毒的破坏情况分类
良性病毒
恶性病毒
( 5)按照计算机病毒的寄生方式和传染对象来分类
引导型病毒 寄生在磁盘的引导区或硬盘的主引导扇区
文件型病毒 寄生在文件内的计算机病毒
混合型病毒 同时具有引导型和文件型病毒的寄生方式
宏病毒 一般指寄生在文档上的宏代码
( 6)按照传播媒介来分类
单机病毒
网络病毒
2009-7-28 11
4,计算机病毒的防治
1) 计算机病毒的预防 病毒防治的关键是做好预防工作
2) 计算机病毒的检测 通过一定的技术手段判定出计算机病毒
3) 计算机病毒的清除选择一个合适的防杀毒软件应该考虑的因素:
能够查杀的病毒种类越多越好
对病毒具有免疫功能 ( 即能预防未知病毒 )
具有实现在线检测和即时查杀病毒的能力
能不断对杀毒软件进行升级服务
2009-7-28 12
12.3数据加密与数字签名
1.数据加密技术加密技术=加密算法+密钥明文 没有加密的原文 密文 原文经过加密加密密钥 一串数字 加密算法 一个数学函数密文通过解密算法与解密密钥还原为明文解密密钥加密密钥明文加密算法明文 密文 解密算法窃取者发送 接收
2009-7-28 13
对称密钥密码体系加密密钥与解密密钥使用相同的算法明文明文发送明文明文密文接收
n个用户的网络,需要 n(n- 1)/2个密钥
(密钥密码体系 )
2009-7-28 14
非对称密码体系 (公钥密钥体系 )
明文明文其他人明文明文密文本人公共密钥 PK
私有密钥 SK
加密密钥与解密密钥使用不同的密钥
2009-7-28 15
2,数字签名数字签名应满足的条件:
( 1)签名者事后不能否认自己的签名
( 2)其他任何人均不能伪造签名,也不能对接受或发送的信息进行窜改、伪造和冒充。
( 3)签名必须能够由第三方验证,以解决争议。
2009-7-28 16
3,数字证书一个标准的 X.509数字证书包含以下一些内容:
( 1)证书的版本信息;
( 2)证书的序列号,每个证书都有一个唯一的证书序列号;
( 3)证书所使用的签名算法;
( 4)证书的发行机构名称,命名规则一般采用 X.500格式;
( 5)证书的有效期,现在通用的证书一般采用 UTC时间格式,它的计时范围为 1950-2049;
( 6)证书所有人的名称,命名规则一般采用 X.500格式;
( 7)证书所有人的公开密钥;
( 8)证书发行者对证书的签名。
2009-7-28 17
12.4 防火墙技术
1,防火墙概述安全技术上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,通常是软件和硬件的组合体 。;或者说,防火墙 (Firewall)是用来在一个可信网络(如内部网)与一个不可信网络(如外部网)间起保护作用的一整套装置,在内部网和外部网之间的界面上构造一个保护层。它强制所有的访问或连接都必须经过这一保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵 。
2009-7-28 18
2,防火墙的主要类型
数据包过滤防火墙在网络层对数据包进行分析、选择和过滤。
2009-7-28 19
防火墙的主要类型
应用级网关应用级网关 (Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
代理服务代理服务 (Proxy Service)也称链路级网关或 TCP通道 (Circuit Level
Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 " 链接 ",由两个终止代理服务器上的,链接,来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
2009-7-28 20
3,防火墙的局限性
( 1)防火墙防外不防内。
( 2)防火墙难于管理和配置,易造成安全漏洞。
( 3)很难为用户在防火墙内外提供一致的安全策略。
( 4)防火墙只实现了粗粒度的访问控制。
2009-7-28 21
安全问题及相应对策对来访的流量进行过滤和限制防火墙专用网络未经授权擅自访问冒名发送数据或发送后抵赖数据被泄露或篡改加密数据以防非法读取或篡改对称加密非对称加密对信息的发送者进行身份验证数字签名身份认证
2009-7-28 22
12.5 网络道德建设
1.网络社会责任与计算机职业道德规范美国计算机伦理学会的十条戒律:
1,不应用计算机去伤害别人;
2,不应干扰别人的计算机工作;
3,不应窥探别人的文件;
4,不应用计算机进行偷窃;
5,不应用计算机作伪证;
6,不应使用或拷贝你没有付钱的软件;
7,不应未经许可而使用别人的计算机资源;
8,不应盗用别人智力成果;
9,应该考虑你所编的程序的社会后果
10,应该以深思熟虑和慎重的方式来使用计算机。
2009-7-28 23
2.国家有关计算机安全的法律法规和软件知识产权
1)有关法律法规
1994年 2月 18日,中华人民共和国计算机信息系统安全保护条例,。
1996年 1月 29日公安部制定的,关于对与国际联网的计算机信息系统进行备案工作的通知,。
1996年 2月 1日出台,中华人民共和国计算机信息网络国际互联网管理暂行办法,。并与 1997年 5月 20日作了修订。
1997年 12月 30日,公安部颁发了经国务院批准的,计算机信息网络国际互联网安全保护管理办法,。
2009-7-28 24
2)软件知识产权
① 软件的版权将受到法律保护,不允许未经授权的使用。
②除非正版软件运行失败或已损坏(即出于存档的目的对软件备份复制是允许的)以外,其他对软件的备份复制行为不允许使用(这里将把软件安装到计算机的行为确定未对软件备份复制)。
③在未经版权所有人授权的情况下,不允许对软件进行修改。
④在未经版权所有人允许的情况下,禁止对软件目标程序进行解密或逆向工程的行为。
⑤未经版权所有人的许可,不允许软件的持有者在该软件的基础上开发新的软件等。
第十二章 信息系统的安全
12.1 网络黑客及防范
12.2 计算机病毒
12.3 数据加密与数字签名
12.4 防火墙技术
12.5 网络道德建设
2009-7-28 2
12.1 网络黑客及防范
1.什么是网络黑客?
网络黑客 ( Hacker) 一般指的是计算机网络的非法入侵者,他们大都是程序员,对计算机技术和网络技术非常精通
,了解系统的漏洞及其原因所在,喜欢非法闯入并以此作为一种智力挑战而沉醉其中 。 有些黑客仅仅是为了验证自己的能力而非法闯入,并不会对信息系统和网络系统产生破坏作用,但也有很多黑客非法闯入是为了窃取机密的信息,盗用系统资源或出于报复心理而恶意毁坏某个信息系统等 。
2009-7-28 3
2.黑客常用的攻击方式
( 1) 黑客的攻击步骤
隐藏自己的位置
寻找目标主机并分析目标主机
获取帐号和密码,登录主机
获得控制权
窃取网络资源和特权
( 2) 黑客的攻击方式
口令入侵
放置特洛伊木马程序
WWW的欺骗技术
2009-7-28 4
黑客的攻击方式
电子邮件攻击
通过一个节点来攻击其他节点
网络监听
利用黑客软件攻击
安全漏洞攻击
端口扫描攻击
拒绝服务攻击
2009-7-28 5
3,防止黑客攻击的策略
提高安全意识
设置防火墙
设置代理服务器,隐藏自己的 IP地址
信息加密
审计
其他安全防范措施
2009-7-28 6
12.2 计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 。
1.病毒的定义
2009-7-28 7
2.计算机病毒的特点和表现形式
计算机病毒的特点:
传染性隐蔽性潜伏性破坏性针对性不可预见性
病毒的表现形式文件长度发生变化系统运行异常或者瘫痪改变磁盘分配使磁盘的存储不正常内存空间减少机器速度明显变慢
2009-7-28 8
3,计算机病毒的分类
1)按病毒攻击的操作系统来分类
攻击 DOS系统的病毒
攻击 Windows系统的病毒 成为计算机病毒攻击的主要对象。首例破坏计算机硬件的 CIH病毒
攻击 UNIX系统的病毒 UNIX病毒的破坏性很大
攻击 OS/2系统的病毒 该类病毒比较少见
2009-7-28 9
2)按病毒攻击的机型来分类
攻击微型计算机的病毒 传播最为广泛的病毒
攻击小型机的计算机病毒
攻击工作站的计算机病毒
3)按计算机病毒的链结方式分类
源码型病毒
嵌入型病毒
外壳型病毒
操作系统型病毒
2009-7-28 10
( 4)按病毒的破坏情况分类
良性病毒
恶性病毒
( 5)按照计算机病毒的寄生方式和传染对象来分类
引导型病毒 寄生在磁盘的引导区或硬盘的主引导扇区
文件型病毒 寄生在文件内的计算机病毒
混合型病毒 同时具有引导型和文件型病毒的寄生方式
宏病毒 一般指寄生在文档上的宏代码
( 6)按照传播媒介来分类
单机病毒
网络病毒
2009-7-28 11
4,计算机病毒的防治
1) 计算机病毒的预防 病毒防治的关键是做好预防工作
2) 计算机病毒的检测 通过一定的技术手段判定出计算机病毒
3) 计算机病毒的清除选择一个合适的防杀毒软件应该考虑的因素:
能够查杀的病毒种类越多越好
对病毒具有免疫功能 ( 即能预防未知病毒 )
具有实现在线检测和即时查杀病毒的能力
能不断对杀毒软件进行升级服务
2009-7-28 12
12.3数据加密与数字签名
1.数据加密技术加密技术=加密算法+密钥明文 没有加密的原文 密文 原文经过加密加密密钥 一串数字 加密算法 一个数学函数密文通过解密算法与解密密钥还原为明文解密密钥加密密钥明文加密算法明文 密文 解密算法窃取者发送 接收
2009-7-28 13
对称密钥密码体系加密密钥与解密密钥使用相同的算法明文明文发送明文明文密文接收
n个用户的网络,需要 n(n- 1)/2个密钥
(密钥密码体系 )
2009-7-28 14
非对称密码体系 (公钥密钥体系 )
明文明文其他人明文明文密文本人公共密钥 PK
私有密钥 SK
加密密钥与解密密钥使用不同的密钥
2009-7-28 15
2,数字签名数字签名应满足的条件:
( 1)签名者事后不能否认自己的签名
( 2)其他任何人均不能伪造签名,也不能对接受或发送的信息进行窜改、伪造和冒充。
( 3)签名必须能够由第三方验证,以解决争议。
2009-7-28 16
3,数字证书一个标准的 X.509数字证书包含以下一些内容:
( 1)证书的版本信息;
( 2)证书的序列号,每个证书都有一个唯一的证书序列号;
( 3)证书所使用的签名算法;
( 4)证书的发行机构名称,命名规则一般采用 X.500格式;
( 5)证书的有效期,现在通用的证书一般采用 UTC时间格式,它的计时范围为 1950-2049;
( 6)证书所有人的名称,命名规则一般采用 X.500格式;
( 7)证书所有人的公开密钥;
( 8)证书发行者对证书的签名。
2009-7-28 17
12.4 防火墙技术
1,防火墙概述安全技术上所说的防火墙,是指在两个网络之间加强访问控制的一整套装置,通常是软件和硬件的组合体 。;或者说,防火墙 (Firewall)是用来在一个可信网络(如内部网)与一个不可信网络(如外部网)间起保护作用的一整套装置,在内部网和外部网之间的界面上构造一个保护层。它强制所有的访问或连接都必须经过这一保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵 。
2009-7-28 18
2,防火墙的主要类型
数据包过滤防火墙在网络层对数据包进行分析、选择和过滤。
2009-7-28 19
防火墙的主要类型
应用级网关应用级网关 (Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
代理服务代理服务 (Proxy Service)也称链路级网关或 TCP通道 (Circuit Level
Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 " 链接 ",由两个终止代理服务器上的,链接,来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
2009-7-28 20
3,防火墙的局限性
( 1)防火墙防外不防内。
( 2)防火墙难于管理和配置,易造成安全漏洞。
( 3)很难为用户在防火墙内外提供一致的安全策略。
( 4)防火墙只实现了粗粒度的访问控制。
2009-7-28 21
安全问题及相应对策对来访的流量进行过滤和限制防火墙专用网络未经授权擅自访问冒名发送数据或发送后抵赖数据被泄露或篡改加密数据以防非法读取或篡改对称加密非对称加密对信息的发送者进行身份验证数字签名身份认证
2009-7-28 22
12.5 网络道德建设
1.网络社会责任与计算机职业道德规范美国计算机伦理学会的十条戒律:
1,不应用计算机去伤害别人;
2,不应干扰别人的计算机工作;
3,不应窥探别人的文件;
4,不应用计算机进行偷窃;
5,不应用计算机作伪证;
6,不应使用或拷贝你没有付钱的软件;
7,不应未经许可而使用别人的计算机资源;
8,不应盗用别人智力成果;
9,应该考虑你所编的程序的社会后果
10,应该以深思熟虑和慎重的方式来使用计算机。
2009-7-28 23
2.国家有关计算机安全的法律法规和软件知识产权
1)有关法律法规
1994年 2月 18日,中华人民共和国计算机信息系统安全保护条例,。
1996年 1月 29日公安部制定的,关于对与国际联网的计算机信息系统进行备案工作的通知,。
1996年 2月 1日出台,中华人民共和国计算机信息网络国际互联网管理暂行办法,。并与 1997年 5月 20日作了修订。
1997年 12月 30日,公安部颁发了经国务院批准的,计算机信息网络国际互联网安全保护管理办法,。
2009-7-28 24
2)软件知识产权
① 软件的版权将受到法律保护,不允许未经授权的使用。
②除非正版软件运行失败或已损坏(即出于存档的目的对软件备份复制是允许的)以外,其他对软件的备份复制行为不允许使用(这里将把软件安装到计算机的行为确定未对软件备份复制)。
③在未经版权所有人授权的情况下,不允许对软件进行修改。
④在未经版权所有人允许的情况下,禁止对软件目标程序进行解密或逆向工程的行为。
⑤未经版权所有人的许可,不允许软件的持有者在该软件的基础上开发新的软件等。
