2009-7-25 徐州工程学院 1
第 10章 计算机信息安全技术徐州工程学院
2009-7-25 徐州工程学院 2
第 10章 计算机信息安全技术
10.1信息安全基本概念
10.1.1 安全问题概述
10.1.3 信息安全与法律
10.2 信息保密技术
10.2.1 信息加密措施
10.2.2 信息认证技术
10.2.3 安全协议
2009-7-25 徐州工程学院 3
第 10章 计算机信息安全技术
10.3 防御技术
10.3.1 防火墙的概念
10.3.2 防火墙产品分类
10.3.3 防火墙设计策略
10.3.4 防火墙实现技术
2009-7-25 徐州工程学院 4
第 10章 计算机信息安全技术
10.4 计算机病毒
10.4.1计算机病毒的定义
10.4.2计算机病毒的特性
10.4.3计算机病毒的新特点
10.4.4计算机病毒的传播
10.4.5计算机病毒防范措施
10.4.6 反病毒软件
2009-7-25 徐州工程学院 5
10.1信息安全基本概念
信息安全大致可以分成两大类:一类是指具体的信息技术系统的安全;而另一类则是指某一特定信息体系(如一个国家的银行信息系统、
军事指挥系统等)的安全。
信息安全也可以定义为:一个国家的社会信息化状态不受外来的威胁与侵害,一个国家的信息技术体系不受外来的威胁与侵害。信息安全,
首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下,是否稳定的问题,其次才是信息技术安全的问题。
2009-7-25 徐州工程学院 6
10.1.1 安全问题概述
信息安全的需求在过去的几十年中发生了很大的变化。在计算机广泛应用以前,企业、公司等单位主要通过物理手段和管理制度来保证信息的安全。各单位一般是通过加锁的铁柜来保存敏感信息,通过对工作人员政治素质等方面的考察确保信息的不泄漏。
随着计算机技术的发展,人们越来越依赖于计算机等自动化设备来储存文件和信息,但是计算机储存的信息、特别是分布式系统信息都面临安全威胁。
2009-7-25 徐州工程学院 7
1.信息安全属性和分类
不管信息入侵者怀有什么样的阴谋诡计、采用什么手段,但他们都要通过攻击信息的以下几种安全属性来达到目的。
信息安全技术的含义就是保证在客观上杜绝对信息安全属性的安全威胁,使得信息拥有者在主观上对其信息源放心。信息安全的内在含义就是指采用一切可能的方法和手段,来千方百计保住信息基本属性安全。信息安全的基本属性有:完整性、可用性、保密性、可控性和可靠性。
2009-7-25 徐州工程学院 8
2.信息系统安全基本原则
国际,经济合作与发展组织,( OECD)于
1992年 11月 26日一致通过了,信息系统安全指南,。
该指南共制定了九项安全原则,欧美各国已明确表示在建设国家信息基础设施 NII时都要遵从这一指南的九项原则,它们分别是:负责原则、知晓原则、道德原则、多方原则、配比原则、综合原则、及时原则、重新评价原则、民主原则。
2009-7-25 徐州工程学院 9
3,OSI信息安全体系结构
ISO7498标准是目前国际上普遍遵循的计算机信息系统互连标准,1989年 12月 ISO颁布了该标准的第二部分,即 ISO7498-2标准,
并首次确定了开放系统互连( OSI)参考模型的信息安全体系结构。
我国将其作为 GB/T9387-2标准,并予以执行。
ISO7498-2标准包括了五大类安全服务以及提供这些服务所需要的八大类安全机制。
2009-7-25 徐州工程学院 10
3,OSI信息安全体系结构
( 1)安全服务
安全服务是由参与通信的开放系统的某一层所提供的服务,它确保了该系统或数据传输具有足够的安全性。 ISO7498-2确定了五大类安全服务,即:鉴别、访问控制、数据保密性、
数据完整性和不可否认。
( 2)安全机制
ISO7498-2确定了八大类安全机制,即:
加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。
2009-7-25 徐州工程学院 11
3,OSI信息安全体系结构
( 3)安全服务、安全机制和 OSI参考模型各层关系
一种安全服务可以通过某种安全机制单独提供,
也可以通过多种安全机制联合提供,而且一种安全机制还可用于提供一种或多种安全服务。
ISO748-2标准确定了安全服务和安全机制的相互关系以及 OSI参考模型内部可以提供这些服务和机制的位置,表 10-3概括了这种关系。
2009-7-25 徐州工程学院 12
10.1.2 信息安全管理体系
信息安全的建设是一个系统工程,它需要对整个网络中的各个环节进行统一的综合考虑。规划和构架,并要时时兼顾组织内不断发生的变化。任何单个环节上的安全缺陷都会对系统的整体安全构成威胁。
据权威机构统计表明:网络与信息安全事件中大约有 70%以上的问题都是由管理方面的原因造成的,这正应了人们常说的,三分技术,七分管理,的箴言。因此,解决网络与信息安全的问题,不仅仅应从技术方面着手,同时更应该加强网络与信息安全的管理工作。
2009-7-25 徐州工程学院 13
1.信息安全管理体系定义
2000年 12月,经包括中国在内的国际标准化组织成员国投票表决通过,目前已将该标准的第一部分正式转化为国际标准。该标准提供了
127种安全控制指南,并对计算机网络与信息安全的控制措施作出了详尽地描述。
具体说来,该标准的内容主要包括:信息安全政策、信息安全组织、信息资产分类与管理,
个人信息安全,物理和环境安全,通信和操作安全管理,存取控制,信息系统的开发和维护,
持续运营管理等。
2009-7-25 徐州工程学院 14
2.信息安全管理体系构建
国际标准化组织将,计算机安全,定义为,为进行数据处理而建立和采取的技术和管理保护措施,以保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改和泄露,。
从上述定义可以看出,信息安全的基本目标就是保证网络和信息的保密性、完整性和可用性。
为了高效地建设组织的信息安全管理体系,
就遵循一套国际上通行的并适合中国实际的程序,这样就可以使 ISMS的建设更有效、更顺利,并起到事半功倍的效果。
2009-7-25 徐州工程学院 15
2.信息安全管理体系构建
( 1)建立信息安全管理框架
信息安全管理框架的搭建必须按照适当的程序来进行。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架的 ISMS。
同时在 ISMS的基础上,建立各种与信息安全管理框架相一致的相关文档、文件,并对其进行严格的管理。对在具体实施 ISMS过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的反馈流程和制度。
2009-7-25 徐州工程学院 16
2.信息安全管理体系构建
( 2)具体实施构架的 ISMS
ISMS管理框架的建设只是建设 ISMS的第一步。在具体实施 ISMS的过程中,还必须充分考虑其他方方面面的因素,如实施的各项费用因素(培训费、报告费等)、与组织员工原有工作习惯的冲突、
不同部门 /机构之间在实施过程中的相互协作问题等。
2009-7-25 徐州工程学院 17
2.信息安全管理体系构建
( 3)在 ISMS基础上建立相关的文档、文件
在 ISMS建设和实施的过程中,还必须建立起各种相关的文档、文件,如 ISMS管理范围中所规定的文档内容、对管理框架的总结、在
ISMS管理范围内规定的管制采取过程,ISMS
管理和具体操作地过程等。文档可以以各种形式进行保存,但必须划分为不同的等级或类型。
同时,为了今后信息安全认证工作的顺利进行,
文档还必须能够非常容易地被指定的第三方访问和理解。
2009-7-25 徐州工程学院 18
2.信息安全管理体系构建
( 4)安全事件的记录、反馈
我们还必须对实施 ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现 ISMS具有很重要的作用,
它为组织进行信息安全政策的定义、安全管制措施的选择等修正提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易地挽救。
2009-7-25 徐州工程学院 19
3.信息安全测评认证体系
信息技术安全性评估通用准则,通常简称为通用准则( CC),是评估信息技术产品和系统安全特性的基础准则。建立信息技术安全性评估的通用准则库,就使得其评估结果能被更多的人所理解和信任,并让各种独立的安全评估结果具有可比性,从而达到了互相认可的目的。
2009-7-25 徐州工程学院 20
3.信息安全测评认证体系
1999年 12月 11正式将 CC2.0作为国际标准 --ISO15408发布。在 CC中充分突出了,保护轮廓,,并将评估过程分为
,功能,和,保证,两部分。此通用准则是目前最全面的信息技术安全评估准则。此标准是现阶段中最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、
评估和认可。
2009-7-25 徐州工程学院 21
3.信息安全测评认证体系
2000年,荷兰、西班牙、意大利、挪威、芬兰、瑞典和希腊等国也加入了该互认协定,日本、韩国、以色列等国也正在积极准备加入此协定。
从目前已建立的 CC信息安全测评认证体系的有关国家来看,每个国家都具有自己的国家信息安全测评认证体系,而且基本上都成立了专门的信息安全测评认证机构,并由认证机构管理通过了实验室认可的多个 CC评估 /测试实验室,认证机构一般受国家安全或情报部门和国家标准化部门控制。
2009-7-25 徐州工程学院 22
3.信息安全测评认证体系
在这样的组织结构中,认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可
/授权下,负责对安全产品的安全性实施评估和认证,并颁发认证证书。
认证机构作为公正的第三方,它的存在对于规范信息安全市场、强化产品生产者和使用者的安全意识都将起到积极的作用。我们可以利用社会上的资源和技术力量、商业机构的实验室,
在认证机构的监督管理下,对安全产品进行检测或对信息系统进行评估,并将结果提交给认证机构。
2009-7-25 徐州工程学院 23
3.信息安全测评认证体系
中国国家信息安全测评认证中心是经国家授权,
依据国家认证的法律、法规和信息安全管理的政策,并按照国际通用准则建立的中立的技术机构。它代表国家对信息技术、信息系统。
信息安全产品以及信息安全服务的安全性实施测试、评估和认证,为社会提供相关的技术服务,为政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。,中华人民共和国国家信息安全认证,是国家对信息安全技术、产品或系统安全质量的最高认可。
2009-7-25 徐州工程学院 24
10.1.3 信息安全与法律
随着计算机网络应用的日益普及,发达国家已经比较早地开始研究有关计算机网络应用方面的法律问题,并陆续制定了一系列有关的法律法规,以规范计算机在社会和经济活动中的应用。
然而,计算机网络进入人类社会及经济活动的时间相对还比较短,因此有关法律法规的制定工作仍然存在着许多的问题和困难。下面,我们从网络立法现状与思考、计算机记录的法律价值、用户的行为规范和中国信息安全相关政策法规四个方面进行阐述。
2009-7-25 徐州工程学院 25
1.网络立法的现状与思考
信息安全与法律问题目前还处于探讨阶段。最近,我国的有关部门对互联网的行政管理已经做出了几项管理规定。这是对互联网进行法律规制的一个尝试,也是探索性立法的第一步。
这些规定,虽然属于行政法的范畴,是以部门规章的形式出现的,但还是一种级别很低的
,法律,,它的性质仍然属于管理型的法规。
还有就是最高人民法院关于网络作品著作权的司法解释,它属于私法性质,是对网络主体权利的规定;
2009-7-25 徐州工程学院 26
1.网络立法的现状与思考
在理论上的探索和研究,还处于立法的前期准备阶段。在学者和专家的研究中,对信息安全法律的问题研究,已经达到了一定的程度,对立法的框架、立法的主要内容、应当建立的基本制度,已经有了初步的设想。
但是,若要达到全面建设网络信息安全法的程度,还需要一些时日。因为网络本身就是比较复杂的,因此涉及到网络的法律问题更是复杂。
对其进行认识,不是短短几年就能够搞清楚的。
2009-7-25 徐州工程学院 27
1.网络立法的现状与思考
在现行的法律中,有些规定对网络和网络行为也是适用的。当然,我们也应当考虑虚拟世界网络立法的特殊性。因此,
制定一部专门的网络法律,势在必行。
正因为如此,网络法律研究也就给予人们以研究的极大空间,学者、专家在这里都可以大展才华,为中国网络法律研究的繁荣做出自己的贡献。
2009-7-25 徐州工程学院 28
2.网络立法的内容
( 1)公法的内容
这一部分的内容是对网络进行管理的行政法内容,是对网络纠纷进行裁决的诉讼法内容和对网络犯罪行为进行规制和追究的刑法、刑事诉讼法内容。
它的作用,是使国家能够对网络依法进行管理,
并对侵害网络权利、违背网络义务的行为进行制裁和处理,以维护社会的正常秩序、维护网络的正常秩序。当前正在制定的关于对网络进行规制的部门规章,就是属于这一部分的内容。
2009-7-25 徐州工程学院 29
2.网络立法的内容
( 2)私法内容
这一部分的内容是从民法的角度,对网络主体、
网络主体的权利义务关系(包括网站的权利义务)、网络行为、网络违法行为的民事责任做出的规定。
这种规定,是维护网络世界正常关系的必要条件,是网络主体正当行使网络权利、履行网络义务和依法实施网络行为的法律保障。
2009-7-25 徐州工程学院 30
2.网络立法的内容
( 3)网络利用的法律问题
其主要内容是对现实社会中的人们利用网络的便捷和迅速,进行网络以外的活动做出法律规定。
规定人们怎样进行这种利用活动,并需要遵守哪些规则,若出现争议时应当依据怎样的规则进行处理等等。网络利用形式,包括利用网络进行商务交易,利用网络进行文学创作,利用网络进行远程教学,利用网络进行研究(包括进行法律研究)等等。
2009-7-25 徐州工程学院 31
3.计算机记录的法律价值
信息社会的飞速发展使得经济活动在计算机网络上发生的也越来越多。此外,在军事、政治、
外交等方面也大量地使用了 Internet。所以,
发达国家较早就开展了相关计算机应用的法律问题的研究。
其中较重要的一个方面就是对计算机记录的法律价值的认可。它牵涉到数据分类标准:即什么是敏感数据没有统一的定义;对于远距离犯罪,用谁的法律去判定?
2009-7-25 徐州工程学院 32
3.计算机记录的法律价值
( 1)不同证据制度
①对证据形式开放的体系。
荷兰、丹麦、德国和葡萄牙等国在法律上对可接受证据的形式没有特殊的要求,因此计算机数据记录作为证据是可以接受的。
②要求特殊证据形式的体系。
分两种情况:一种是法律要求有书面的文件。
如比利时、法国和意大利等国在交易达到一定数额后,法律就要求有一个起证据作用的书面文件。
2009-7-25 徐州工程学院 33
3.计算机记录的法律价值
( 1)不同证据制度
③普通法体系。
英国、美国和爱尔兰等国实行普通法。他们的证据制度遵循,传闻法则,,即以证人的证言为基础。
计算机记录是作为第二手材料,在法律上不能接受作为证据,因为它可被篡改而不留下痕迹。
随着计算机应用的日益普及,英国和美国于对世纪幼年代都相应地修改或重新制定了法律来承认计算机记录的法律地位。
2009-7-25 徐州工程学院 34
3.计算机记录的法律价值
( 2)举证责任的转移
一般而言,证据是由形式和实质这两个要素所组成的,即可以合法接受的证据方式和证据方式的可信度。
计算机记录的法律价值与证据的方式有关,而证据方式的可信度则与举证责任有关。一个实际上是正确的、但具有举证责任的当事人有可能因无法提供法庭所要求的证据而败诉。
2009-7-25 徐州工程学院 35
3.计算机记录的法律价值
( 2)举证责任的转移
已经有许多国家开始倾向于将举证的责任转移到提供计算机网络服务的这一方,因为他们具有更多的机会来获得证据,从而也要求他们保留完整的运行记录。
例如,银行具有可靠的计算机系统和应用系统,
具有良好的系统处理日志和备份能力。因此,
它们完全可以拥有完备的操作记录,在有争议时可提供比较充分的材料;相反,用户则没有足够的技术力量和经济力量来提供这种备份或使用记录。
2009-7-25 徐州工程学院 36
4.用户的行为规范
Inemet最初的教育科研背景对
Internet文化的形成起到了重要的作用,
这种文化已规定了网络用户的行为规范。
这种网络文化与技术(如网络协议)有着很大的关系,因此,要求用户遵守某些行为规范,就能够使网络有效地工作。
例如,电子邮件协议对于用户身份认证的功能很弱,这就要求用户要自觉地约束自己的行为,不要在网上滥发邮件。
2009-7-25 徐州工程学院 37
4.用户的行为规范
随着 Internet的迅速发展和商业化,
Internet的社会背景有了很大变化,但它所依托的技术和所施加的种种限制却依然存在。
由于新出现的商业用户缺乏必要的相关技术背景知识,因此,对于应有的网络文化缺乏了解,
就会导致传统的 Internet网络文化和行为规范并没有被新加入的商业用户很好地遵守。
2009-7-25 徐州工程学院 38
4.用户的行为规范
概括起来,网络用户的行为规范主要表现在一对一通信、一对多通信和信息服务提供等三个方面。
其中,一对一通信的最主要形式是电子邮件;而一对多通信的主要形式是邮件分发表和电子新闻;而信息服务提供的例子则是 WWW和 FTP。
2009-7-25 徐州工程学院 39
5.我国的信息安全政策法规
中华人民共和国计算机信息网络国际联网管理暂行规定
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
中国互联网络域名注册暂行管理办法
中国互联网络域名注册实施细则
中华人民共和国计算机信息系统安全保护条例
关于加强计算机信息系统国际联网备案管理的通告
2009-7-25 徐州工程学院 40
5.我国的信息安全政策法规
中华人民共和国电信条例,中华人民共和国国务院令(第 291号)
互联网信息服务管理办法,中华人民共和国国务院令(第 292号)
从事放开经营电信业务审批管理暂行办法
电子出版物管理规定
关于对与国际联网的计算机信息系统进行备案工作的通知
2009-7-25 徐州工程学院 41
5.我国的信息安全政策法规
计算机软件保护条例
计算机信息网络国际联网出入口信道管理办法
计算机信息网络国际联网的安全保护管理办法
计算机信息系统安全专用产品检测和销售许可证管理办法
计算机信息系统国际联网保密管理规定
科学技术保密规定
商用密码管理条例
中国公用计算机互联网国际联网管理办法
2009-7-25 徐州工程学院 42
5.我国的信息安全政策法规
中国公众多媒体通信管理办法
中华人民共和国保守国家秘密法
中华人民共和国标准法
中华人民共和国反不正当竞争法
中华人民共和国公安部(批复)公复字
1996-8号
中华人民共和国国家安全法
2009-7-25 徐州工程学院 43
5.我国的信息安全政策法规
中华人民共和国海关法
中华人民共和国商标法,
中华人民共和国人民警察法
中华人民共和国刑法
华人民共和国治安管理处罚条例
中华人民共和国专利法
2009-7-25 徐州工程学院 44
10.2 信息保密技术
10.2.1 信息加密措施
密码技术是保证网络、信息安全的核心技术。
密码学包括密码编码学和密码分析学。密码体制的设计是密码学的主要内容,密码体制的破译是密码分析学的主要内容。
密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码技术要求加密解密双方拥有相同的密钥,而非对称密钥密码技术允许加密解密双方拥有不相同的密钥。
2009-7-25 徐州工程学院 45
10.2.1 信息加密措施
1.密钥密码体系
密钥密码体系又称为对称密钥密码体系,即加密密钥与解密密钥使用相同的算法。
密钥密码体系由于加密和解密使用同样的密钥,
因此,N个用户之间进行加密的话,每一对用户必须使用一个密钥,即需使用 N(N-1)/2个不同的密钥才能保证双方收发密文时,第三方无法了解他们所使用的密钥,从而无法解密。
2009-7-25 徐州工程学院 46
10.2.1 信息加密措施
2.公钥密码体系
公钥( Public key)密码体系又称不对称密钥密码体系,它出现于 1976年,
其最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥 —
— 公开密钥 PK和私人密钥 SK,而使用密钥密码体系的用户必须针对不同的对象使用不同的密钥。
2009-7-25 徐州工程学院 47
10.2.1 信息加密措施
3.数字水印简介
随着多媒体技术和网络技术的飞速发展和广泛应用,图像、音频、视频等多媒体内容的保护已成为迫切需要解决的问题。
对多媒体内容的保护分为两部分:一是版权保护;二是内容完整性(真实性)
保护,即认证。
2009-7-25 徐州工程学院 48
10.2.2 信息认证技术
认证是一种证实某人或某事为有效或名副其实的过程。在计算机系统或通信中,认证是良好的数据安全措施中的一个重要组成部分。对于确认传输的信息、存储的数据、人员和设备的身份等,密码学提供了非常可靠的手段。
在 Internet上通过视觉来认证对方身份几乎是不可能的,在视频会议产生并成为 Internet上的最佳通信方法之前,我们不得不依赖另一种方法来核实发送者和接受者的身份。
2009-7-25 徐州工程学院 49
10.2.2 信息认证技术
1.认证技术的重要性
当今世界网络、通信和信息技术飞速发展,因特网在全球迅速普及,使得商务空间发展到全球的规模,也使得任何一个企业组织都必须改变自己的思维观念、
组织结构、战略方针和运行方式来适应这种全球性的发展变化。
2009-7-25 徐州工程学院 50
10.2.2 信息认证技术
2.数字签名与身份认证
上面介绍了数字认证的一般知识,下面将详细讲解认证过程的具体方法。
在日常的生活和工作中,许多事务处理都需要当事者签名,如各种文件、商业合同等。签名能起到认证、审核的作用。在传统的以书面文件为基础的事务处理中,常采用书面签名的形式,如手签、印章、指印等。
在以计算机文件为基础的事务处理中则采用电子形式的签名,即数字签名。
2009-7-25 徐州工程学院 51
10.2.3 安全协议
安全协议是管理通信的规则,在安全协议的帮助下,信息系统可以逃过恶意攻击。如果要防御所有可能攻击的话,代价通常太昂贵了,所以安全协议一般都是在假设某些特定危险的情况下设计的。
因此,评估一个协议的优劣需要回答两个问题。首先,危险模型是现实的吗?
其次,协议能对付这些危险吗?
2009-7-25 徐州工程学院 52
10.2.3 安全协议
1,SET
SET( Secure Electronic Transaction,简称 SET),即 "安全电子交易 ",是 VISA、
MASTER两大国际卡组织和多家科技机构共同制订的进行在线交易的安全标准。
SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,用以保证支付信息的机密,支付过程的完整,商户和持卡人的合法身份,以及可操作性。
2009-7-25 徐州工程学院 53
10.2.3 安全协议
2,SSL
SSL( Secure Socket layer,安全套接层)
协议,是由网景( Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。 SSL是对计算机之间整个会话过程进行加密的协议。在 SSL中,采用了公开密匙和私有密匙两种方法。
SET协议比 SSL协议复杂,在理论上安全性也更高,因为前者不仅加密两个端点间的单人会话,还可以加密和认定三方面的多个信息,而这是 SSL协议所不能解决的问题。
2009-7-25 徐州工程学院 54
10.2.3 安全协议
3,PKI体系结构
为解决在 Internet上开展电子商务(包括交易主体之间的身份认证、交易和通信等)的安全问题,世界各国在多年研究后,初步形成了一套完整的解决方案,即目前被广泛应用的公钥基础结构( Public Key Infrastructure),
即 PKI体系结构。
PKI体系结构采用证书管理公钥,通过 CA把用户的公钥和用户的身份或其标识信息(如名称、
E-mail、身份证号等)捆绑在一起,在
Internet上验证用户的身份。
2009-7-25 徐州工程学院 55
10.3 防御技术
计算机网络的快速发展,它的内在不安全性已受到越来越多地关注。为了防御非法入侵者的创入,必须采取有效的措施来改善网络的安全,尽管防火墙不能解决全部问题,但它的重要性已得到公认,防火墙技术已成为网络安全的关键技术之一。
2009-7-25 徐州工程学院 56
10.3.1 防火墙的概念
防火墙的出现,有效地限制了数据在网络内外的自由流动,可以控制不安全的服务,只有授权的协议和服务才能通过防火墙;
防火墙能对站点进行访问控制,防止非法访问,
可把安全软件集中地放在防火墙系统中,集中实施安全保护;
防火墙强化私有权,防止攻击者截取别人的信息,能对所有的访问作出日志记录,而日志则是对一些可能的攻击进行分析和防范的十分重要的情报。
2009-7-25 徐州工程学院 57
10.3.1 防火墙的概念
将局域网置于防火墙之后就可以有效地阻止来自外界的攻击。而防火墙通常是运行在单独计算机上的一个特别的服务软件,它可以识别并屏蔽非法的请求。
防火墙的最大用处是,使网络规划清晰明了,
从而有效地防止跨越权限的数据访问。如果网络接入到 Internet却没有设置防火墙的话,那么就有可能会收到许多系统入侵的报告。
2009-7-25 徐州工程学院 58
10.3.2 防火墙产品分类
防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,防火墙的基本功能有:过滤进 /出网络的数据;管理进 /出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
在防火墙产品的开发中,人们广泛应用了网络拓扑技术、计算机操作系统技术、路由技术、
加密技术、访问控制技术和安全审计技术等成熟或先进的手段。
2009-7-25 徐州工程学院 59
10.3.2 防火墙产品分类
防火墙不是一个简单的路由器和主机系统组合,
也不是一个对网络提供安全的各系统组合,而是一种安全手段的提供。它通过定义允许访问和允许服务的安全策略实现此安全目的。同时该实现目的需要借助于一个或多个网络、主机系统、路由器和其他安全设备的策略配置。
纵观防火墙产品近年来的发展,可将其划分为四个阶段:基于路由器的防火墙、用户化防火墙工具套、建立在通用操作系统上的防火墙和具有安全操作系统的防火墙。
2009-7-25 徐州工程学院 60
10.3.3 防火墙设计策略
防火墙是加强网络之间接入的控制系统,它能够处理所有由内到外的流量,仅允许授权的流量通过,因此系统本身对入侵具有免疫性。防火墙既可看成是一种策略,又可看成是根据网络配置、主机系统、路由器以及利用诸如高级认证手段对策略的一种实现。
防火墙系统的设计、安装和使用直接受到两个层次的网络策略的影响。高层次的策略特定于一个出口,称为服务访问策略(或网络访问策略)。
2009-7-25 徐州工程学院 61
10.3.3 防火墙设计策略
它定义受限(或保护)网络中哪些服务是允许的,哪些服务是明确禁止的,这些服务是怎样被使用的以及对这个策略进行例外处理的条件。
低层次的策略描述了防火墙实施中实际上是怎样体现实施高层次的策略,即怎样去限制访问和过滤服务,称为设计策略。
2009-7-25 徐州工程学院 62
10.3.3 防火墙设计策略
一个防火墙能实现各种各样的服务访问策略,
典型的策略主要包括:不允许从 Internet访问一个内部站点,但允许一个内部站点访问
Internet;允许来自 Internet的某些特定服务访问内部站点;允许 Internet上一些用户访问有选择的内部主机,
但是这种访问仅仅在必要的时候被许可并且要适当附加一些比较先进的认证手段。
2009-7-25 徐州工程学院 63
10.3.4 防火墙实现技术
几乎所有的防火墙都采取某种类型的 IP
分组过滤技术进行过滤,IP分组过滤技术通常对以下特性进行过滤:
源 IP地址和目的 IP地址
TIP/UDP源端口和 TCP/UDP目的端口
由于 IP分组过滤能对端口进行过滤,所以就能很好地实现上面所提到的策略并提供策略所需的灵活性。
2009-7-25 徐州工程学院 64
10.3.4 防火墙实现技术
为了克服分组过滤路由器的种种弱点,防火墙也可以用应用软件来过滤 TELNET和 FTP等服务连接,这样的应用软件称为代理服务,而运行代理服务的主机称为应用网关。
代理服务仅允许在应用网关有代理的服务通过防火墙,而阻塞其他任何没有代理的服务。使用代理服务的另一好处是能过滤协议。
2009-7-25 徐州工程学院 65
10.3.4 防火墙实现技术
分组过滤和代理服务可以结合起来使用,
以实现分组过滤功能的主机或路由器控制通信的底层,而应用网关则用于过滤应用级别的流量。
这样的结合能提供高效性和灵活性,但也只能提供有限的透明性,从安装、管理和专业的角度来看,这种结合的花费也很高。
2009-7-25 徐州工程学院 66
10.3.4 防火墙实现技术
另一种解决的办法是使用一种检测模型技术,它对使用的协议均适用,能处理从 IP层到应用层的分组数据。
它将所有层的信息部综合到一个检测点进行过滤,无论从灵活性或效率的角度来看,这种技术都比较令人满意。
2009-7-25 徐州工程学院 67
10.3.4 防火墙实现技术
无论采取什么策略和机制来实现防火墙,都必须具有极大的灵活性。因为 Internet本身是不断变动的。其中一个例子是,当 Web浏览器出现并广泛使用后,WWW业务量在很短的时间内就取代了 FTP的业务量。
因此任何机构的需求将会随着 Internet提供的新服务而改变,而且新的协议和服务也不断在
Internet出现,这都将带来新的安全问题,且新的合作伙伴和联盟将带来新的网络连接和风险,所有这些都要求策略和机制具有极大的灵活性。
2009-7-25 徐州工程学院 68
10.4 计算机病毒
10.4.1计算机病毒的定义
计算机病毒是一段很小的计算机程序,它是一种会不断自我复制及感染的程序。在传统的操作系统环境下,通常它会寄存在可执行的文件之中,或者是软盘、硬盘的引导区部分。
病毒随着被感染程序由作业系统装入内存而同时执行,因此获得系统的控制权。但在
Windows系统出现的宏病毒则是附加在文档中,且其感染的对象一般亦只限于文档。
2009-7-25 徐州工程学院 69
10.4.1计算机病毒的定义
在 1994年我国正式颁布实施的,中华人民共和国计算机信息系统安全保护条例,
中,明确给出了计算机病毒的定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,
影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2009-7-25 徐州工程学院 70
10.4.2计算机病毒的特性
① 破坏性:不同的病毒对系统的破坏性也不同,
但都会使计算机效率降低,并占用系统资源。
较为严重的会破坏系统文件或导致系统崩溃。
②潜伏性:许多病毒在进入系统后并不马上发作,而是隐藏在系统中,俏俏地传染其他文件。
潜伏期越长,传染范围越大。在病毒潜伏期,
用户很难察觉到它的存在。直到满足触发条件,
才开始实行破坏工作。
2009-7-25 徐州工程学院 71
10.4.2计算机病毒的特性
③ 传染性:病毒程序在运行时,自动搜索其他符合传染条件的程序或存储介质,并将其代码插入其中,达到自我繁殖的目的。例如,计算机系统已感染病毒,当使用软盘时.病毒自动感染软盘中的文件:软盘在其他计算机上使用时,软盘中被感染的文件又会迅速感染正在使用的计算机中的文件。
④寄生性:病毒程序附加到其他程序当中,依赖其他程序的运行而生存。
2009-7-25 徐州工程学院 72
10.4.2计算机病毒的特性
⑤ 可执行性:病毒寄生在其他程序上后,当计算机运行这些程序时,病毒程序也随之运行。
如果未感染病毒的程序运行,则不会引起病毒发作。
⑥可触发性:只有满足一定条件时,病毒才开始发作。例如,某些病毒只有在某月间日向时又是星期五时,才会发作。
⑦不可预见性:不同种类的病毒,其代码千差万别,即使有各种查杀病毒的工具软件,也很难防范不断新生的各种病毒。
2009-7-25 徐州工程学院 73
10.4.3计算机病毒的新特点
计算机病毒的类型主要有:引导型、文件型、宏病毒、特洛伊木马、恶作剧、
蠕虫病毒、邮件炸弹、协议病毒等。
计算机病毒是当今网络业发展的最大危害,通过电子邮件这个传播途径,随时都有可能让用户的整个计算机系统陷于瘫痪。
2009-7-25 徐州工程学院 74
10.4.3计算机病毒的新特点
1、种类、数量激增
2、传播途径更多,传播速度更快
3、电子邮件成为主要传播媒介
4、造成的破坏日益严重
2009-7-25 徐州工程学院 75
10.4.4计算机病毒的传播
计算机病毒一定要在计算机系统中才能传播。
病毒提供了很多的传播途径,例如如果从别的计算机下载或执行一个已经被感染的程序,这样自己的计算机亦会被病毒所传染。
病毒程序第一件要做的事通常是自我复制。病毒会把自己附在一处可以有利于自己执行的系统中。在计算机工作时,病毒可在很短的时间内把自己复制为许多次。
2009-7-25 徐州工程学院 76
10.4.4计算机病毒的传播
计算机病毒蔓延的主要方式是通过软件的共享。如果软件是通过手工传播出去的,病毒蔓延的速度会比 Internet慢得多。
现在很多电子邮件程序都会把接收到的邮件自动地放在文字处理程序中打开,
所以收件人的计算机系统是在没有选择的情况下被传染病毒。
2009-7-25 徐州工程学院 77
10.4.5计算机病毒防范措施
1.计算机病毒检查
( 1)文件大小和日期的变换。
( 2)文件莫名其妙丢失。
( 3)系统运行速度异常慢。
( 4)有特殊文件自动生成。
( 5)用 MI检查内存时,发现不该驻留的程序。
( 6)磁盘空间自动产生环区或磁盘空间减少。
2009-7-25 徐州工程学院 78
10.4.5计算机病毒防范措施
1.计算机病毒检查
( 7)系统启动时间突然变得很慢或系统异常死机次数增多。
( 8)计算机屏幕出现异常提示信息、异常滚动、异常图形显示。
( 9)中断向量表发生变化。
( 10)硬件接口出现异常,例如在打印时经常出现,No Paper”等提示信息。
2009-7-25 徐州工程学院 79
10.4.5计算机病毒防范措施
2.计算机病毒防范
( 1)安装多种防病毒软件,并经常升级。
( 2)如果软盘在其他计算机上使用过,
在自己的计算机上使用前先查毒。
( 3)不使用盗版光盘。
( 4)从局域网其他计算机复制到本地计算机的文件,先查毒再使用。
( 5)上网下载的文件,查毒后再使用。
2009-7-25 徐州工程学院 80
10.4.5计算机病毒防范措施
2.计算机病毒防范
( 6)接收到不明来历的电子邮件,具有诱惑性标题时,不要打开,并删除邮件。
( 7)电子邮件的附件,查毒后再使用。
( 8)经常备份重要的文件和数据。
( 9)制作干净的系统盘、急救盘。
( 10)如果发现计算机感染了病毒,杀毒后应立即重新启动计算机,并再次查毒。
2009-7-25 徐州工程学院 81
10.4.6 反病毒软件
为了对抗计算机病毒,许多软件公司推出了各种反病毒软件,能够有效地查出和消除计算机中的病毒。反病毒软件种类繁多,一般都具有查毒、杀毒的基本功能。较出色的软件还可以进行实时监测,随时关注系统中是否存在病毒。
目前国内常见的查 /杀毒软件有,KILL、
KV300,NAV、瑞星杀毒软件 RAV,Norton
AntiVirus 2000,McAfee VirusScan等。
第 10章 计算机信息安全技术徐州工程学院
2009-7-25 徐州工程学院 2
第 10章 计算机信息安全技术
10.1信息安全基本概念
10.1.1 安全问题概述
10.1.3 信息安全与法律
10.2 信息保密技术
10.2.1 信息加密措施
10.2.2 信息认证技术
10.2.3 安全协议
2009-7-25 徐州工程学院 3
第 10章 计算机信息安全技术
10.3 防御技术
10.3.1 防火墙的概念
10.3.2 防火墙产品分类
10.3.3 防火墙设计策略
10.3.4 防火墙实现技术
2009-7-25 徐州工程学院 4
第 10章 计算机信息安全技术
10.4 计算机病毒
10.4.1计算机病毒的定义
10.4.2计算机病毒的特性
10.4.3计算机病毒的新特点
10.4.4计算机病毒的传播
10.4.5计算机病毒防范措施
10.4.6 反病毒软件
2009-7-25 徐州工程学院 5
10.1信息安全基本概念
信息安全大致可以分成两大类:一类是指具体的信息技术系统的安全;而另一类则是指某一特定信息体系(如一个国家的银行信息系统、
军事指挥系统等)的安全。
信息安全也可以定义为:一个国家的社会信息化状态不受外来的威胁与侵害,一个国家的信息技术体系不受外来的威胁与侵害。信息安全,
首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下,是否稳定的问题,其次才是信息技术安全的问题。
2009-7-25 徐州工程学院 6
10.1.1 安全问题概述
信息安全的需求在过去的几十年中发生了很大的变化。在计算机广泛应用以前,企业、公司等单位主要通过物理手段和管理制度来保证信息的安全。各单位一般是通过加锁的铁柜来保存敏感信息,通过对工作人员政治素质等方面的考察确保信息的不泄漏。
随着计算机技术的发展,人们越来越依赖于计算机等自动化设备来储存文件和信息,但是计算机储存的信息、特别是分布式系统信息都面临安全威胁。
2009-7-25 徐州工程学院 7
1.信息安全属性和分类
不管信息入侵者怀有什么样的阴谋诡计、采用什么手段,但他们都要通过攻击信息的以下几种安全属性来达到目的。
信息安全技术的含义就是保证在客观上杜绝对信息安全属性的安全威胁,使得信息拥有者在主观上对其信息源放心。信息安全的内在含义就是指采用一切可能的方法和手段,来千方百计保住信息基本属性安全。信息安全的基本属性有:完整性、可用性、保密性、可控性和可靠性。
2009-7-25 徐州工程学院 8
2.信息系统安全基本原则
国际,经济合作与发展组织,( OECD)于
1992年 11月 26日一致通过了,信息系统安全指南,。
该指南共制定了九项安全原则,欧美各国已明确表示在建设国家信息基础设施 NII时都要遵从这一指南的九项原则,它们分别是:负责原则、知晓原则、道德原则、多方原则、配比原则、综合原则、及时原则、重新评价原则、民主原则。
2009-7-25 徐州工程学院 9
3,OSI信息安全体系结构
ISO7498标准是目前国际上普遍遵循的计算机信息系统互连标准,1989年 12月 ISO颁布了该标准的第二部分,即 ISO7498-2标准,
并首次确定了开放系统互连( OSI)参考模型的信息安全体系结构。
我国将其作为 GB/T9387-2标准,并予以执行。
ISO7498-2标准包括了五大类安全服务以及提供这些服务所需要的八大类安全机制。
2009-7-25 徐州工程学院 10
3,OSI信息安全体系结构
( 1)安全服务
安全服务是由参与通信的开放系统的某一层所提供的服务,它确保了该系统或数据传输具有足够的安全性。 ISO7498-2确定了五大类安全服务,即:鉴别、访问控制、数据保密性、
数据完整性和不可否认。
( 2)安全机制
ISO7498-2确定了八大类安全机制,即:
加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。
2009-7-25 徐州工程学院 11
3,OSI信息安全体系结构
( 3)安全服务、安全机制和 OSI参考模型各层关系
一种安全服务可以通过某种安全机制单独提供,
也可以通过多种安全机制联合提供,而且一种安全机制还可用于提供一种或多种安全服务。
ISO748-2标准确定了安全服务和安全机制的相互关系以及 OSI参考模型内部可以提供这些服务和机制的位置,表 10-3概括了这种关系。
2009-7-25 徐州工程学院 12
10.1.2 信息安全管理体系
信息安全的建设是一个系统工程,它需要对整个网络中的各个环节进行统一的综合考虑。规划和构架,并要时时兼顾组织内不断发生的变化。任何单个环节上的安全缺陷都会对系统的整体安全构成威胁。
据权威机构统计表明:网络与信息安全事件中大约有 70%以上的问题都是由管理方面的原因造成的,这正应了人们常说的,三分技术,七分管理,的箴言。因此,解决网络与信息安全的问题,不仅仅应从技术方面着手,同时更应该加强网络与信息安全的管理工作。
2009-7-25 徐州工程学院 13
1.信息安全管理体系定义
2000年 12月,经包括中国在内的国际标准化组织成员国投票表决通过,目前已将该标准的第一部分正式转化为国际标准。该标准提供了
127种安全控制指南,并对计算机网络与信息安全的控制措施作出了详尽地描述。
具体说来,该标准的内容主要包括:信息安全政策、信息安全组织、信息资产分类与管理,
个人信息安全,物理和环境安全,通信和操作安全管理,存取控制,信息系统的开发和维护,
持续运营管理等。
2009-7-25 徐州工程学院 14
2.信息安全管理体系构建
国际标准化组织将,计算机安全,定义为,为进行数据处理而建立和采取的技术和管理保护措施,以保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改和泄露,。
从上述定义可以看出,信息安全的基本目标就是保证网络和信息的保密性、完整性和可用性。
为了高效地建设组织的信息安全管理体系,
就遵循一套国际上通行的并适合中国实际的程序,这样就可以使 ISMS的建设更有效、更顺利,并起到事半功倍的效果。
2009-7-25 徐州工程学院 15
2.信息安全管理体系构建
( 1)建立信息安全管理框架
信息安全管理框架的搭建必须按照适当的程序来进行。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架的 ISMS。
同时在 ISMS的基础上,建立各种与信息安全管理框架相一致的相关文档、文件,并对其进行严格的管理。对在具体实施 ISMS过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的反馈流程和制度。
2009-7-25 徐州工程学院 16
2.信息安全管理体系构建
( 2)具体实施构架的 ISMS
ISMS管理框架的建设只是建设 ISMS的第一步。在具体实施 ISMS的过程中,还必须充分考虑其他方方面面的因素,如实施的各项费用因素(培训费、报告费等)、与组织员工原有工作习惯的冲突、
不同部门 /机构之间在实施过程中的相互协作问题等。
2009-7-25 徐州工程学院 17
2.信息安全管理体系构建
( 3)在 ISMS基础上建立相关的文档、文件
在 ISMS建设和实施的过程中,还必须建立起各种相关的文档、文件,如 ISMS管理范围中所规定的文档内容、对管理框架的总结、在
ISMS管理范围内规定的管制采取过程,ISMS
管理和具体操作地过程等。文档可以以各种形式进行保存,但必须划分为不同的等级或类型。
同时,为了今后信息安全认证工作的顺利进行,
文档还必须能够非常容易地被指定的第三方访问和理解。
2009-7-25 徐州工程学院 18
2.信息安全管理体系构建
( 4)安全事件的记录、反馈
我们还必须对实施 ISMS过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现 ISMS具有很重要的作用,
它为组织进行信息安全政策的定义、安全管制措施的选择等修正提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易地挽救。
2009-7-25 徐州工程学院 19
3.信息安全测评认证体系
信息技术安全性评估通用准则,通常简称为通用准则( CC),是评估信息技术产品和系统安全特性的基础准则。建立信息技术安全性评估的通用准则库,就使得其评估结果能被更多的人所理解和信任,并让各种独立的安全评估结果具有可比性,从而达到了互相认可的目的。
2009-7-25 徐州工程学院 20
3.信息安全测评认证体系
1999年 12月 11正式将 CC2.0作为国际标准 --ISO15408发布。在 CC中充分突出了,保护轮廓,,并将评估过程分为
,功能,和,保证,两部分。此通用准则是目前最全面的信息技术安全评估准则。此标准是现阶段中最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、
评估和认可。
2009-7-25 徐州工程学院 21
3.信息安全测评认证体系
2000年,荷兰、西班牙、意大利、挪威、芬兰、瑞典和希腊等国也加入了该互认协定,日本、韩国、以色列等国也正在积极准备加入此协定。
从目前已建立的 CC信息安全测评认证体系的有关国家来看,每个国家都具有自己的国家信息安全测评认证体系,而且基本上都成立了专门的信息安全测评认证机构,并由认证机构管理通过了实验室认可的多个 CC评估 /测试实验室,认证机构一般受国家安全或情报部门和国家标准化部门控制。
2009-7-25 徐州工程学院 22
3.信息安全测评认证体系
在这样的组织结构中,认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可
/授权下,负责对安全产品的安全性实施评估和认证,并颁发认证证书。
认证机构作为公正的第三方,它的存在对于规范信息安全市场、强化产品生产者和使用者的安全意识都将起到积极的作用。我们可以利用社会上的资源和技术力量、商业机构的实验室,
在认证机构的监督管理下,对安全产品进行检测或对信息系统进行评估,并将结果提交给认证机构。
2009-7-25 徐州工程学院 23
3.信息安全测评认证体系
中国国家信息安全测评认证中心是经国家授权,
依据国家认证的法律、法规和信息安全管理的政策,并按照国际通用准则建立的中立的技术机构。它代表国家对信息技术、信息系统。
信息安全产品以及信息安全服务的安全性实施测试、评估和认证,为社会提供相关的技术服务,为政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。,中华人民共和国国家信息安全认证,是国家对信息安全技术、产品或系统安全质量的最高认可。
2009-7-25 徐州工程学院 24
10.1.3 信息安全与法律
随着计算机网络应用的日益普及,发达国家已经比较早地开始研究有关计算机网络应用方面的法律问题,并陆续制定了一系列有关的法律法规,以规范计算机在社会和经济活动中的应用。
然而,计算机网络进入人类社会及经济活动的时间相对还比较短,因此有关法律法规的制定工作仍然存在着许多的问题和困难。下面,我们从网络立法现状与思考、计算机记录的法律价值、用户的行为规范和中国信息安全相关政策法规四个方面进行阐述。
2009-7-25 徐州工程学院 25
1.网络立法的现状与思考
信息安全与法律问题目前还处于探讨阶段。最近,我国的有关部门对互联网的行政管理已经做出了几项管理规定。这是对互联网进行法律规制的一个尝试,也是探索性立法的第一步。
这些规定,虽然属于行政法的范畴,是以部门规章的形式出现的,但还是一种级别很低的
,法律,,它的性质仍然属于管理型的法规。
还有就是最高人民法院关于网络作品著作权的司法解释,它属于私法性质,是对网络主体权利的规定;
2009-7-25 徐州工程学院 26
1.网络立法的现状与思考
在理论上的探索和研究,还处于立法的前期准备阶段。在学者和专家的研究中,对信息安全法律的问题研究,已经达到了一定的程度,对立法的框架、立法的主要内容、应当建立的基本制度,已经有了初步的设想。
但是,若要达到全面建设网络信息安全法的程度,还需要一些时日。因为网络本身就是比较复杂的,因此涉及到网络的法律问题更是复杂。
对其进行认识,不是短短几年就能够搞清楚的。
2009-7-25 徐州工程学院 27
1.网络立法的现状与思考
在现行的法律中,有些规定对网络和网络行为也是适用的。当然,我们也应当考虑虚拟世界网络立法的特殊性。因此,
制定一部专门的网络法律,势在必行。
正因为如此,网络法律研究也就给予人们以研究的极大空间,学者、专家在这里都可以大展才华,为中国网络法律研究的繁荣做出自己的贡献。
2009-7-25 徐州工程学院 28
2.网络立法的内容
( 1)公法的内容
这一部分的内容是对网络进行管理的行政法内容,是对网络纠纷进行裁决的诉讼法内容和对网络犯罪行为进行规制和追究的刑法、刑事诉讼法内容。
它的作用,是使国家能够对网络依法进行管理,
并对侵害网络权利、违背网络义务的行为进行制裁和处理,以维护社会的正常秩序、维护网络的正常秩序。当前正在制定的关于对网络进行规制的部门规章,就是属于这一部分的内容。
2009-7-25 徐州工程学院 29
2.网络立法的内容
( 2)私法内容
这一部分的内容是从民法的角度,对网络主体、
网络主体的权利义务关系(包括网站的权利义务)、网络行为、网络违法行为的民事责任做出的规定。
这种规定,是维护网络世界正常关系的必要条件,是网络主体正当行使网络权利、履行网络义务和依法实施网络行为的法律保障。
2009-7-25 徐州工程学院 30
2.网络立法的内容
( 3)网络利用的法律问题
其主要内容是对现实社会中的人们利用网络的便捷和迅速,进行网络以外的活动做出法律规定。
规定人们怎样进行这种利用活动,并需要遵守哪些规则,若出现争议时应当依据怎样的规则进行处理等等。网络利用形式,包括利用网络进行商务交易,利用网络进行文学创作,利用网络进行远程教学,利用网络进行研究(包括进行法律研究)等等。
2009-7-25 徐州工程学院 31
3.计算机记录的法律价值
信息社会的飞速发展使得经济活动在计算机网络上发生的也越来越多。此外,在军事、政治、
外交等方面也大量地使用了 Internet。所以,
发达国家较早就开展了相关计算机应用的法律问题的研究。
其中较重要的一个方面就是对计算机记录的法律价值的认可。它牵涉到数据分类标准:即什么是敏感数据没有统一的定义;对于远距离犯罪,用谁的法律去判定?
2009-7-25 徐州工程学院 32
3.计算机记录的法律价值
( 1)不同证据制度
①对证据形式开放的体系。
荷兰、丹麦、德国和葡萄牙等国在法律上对可接受证据的形式没有特殊的要求,因此计算机数据记录作为证据是可以接受的。
②要求特殊证据形式的体系。
分两种情况:一种是法律要求有书面的文件。
如比利时、法国和意大利等国在交易达到一定数额后,法律就要求有一个起证据作用的书面文件。
2009-7-25 徐州工程学院 33
3.计算机记录的法律价值
( 1)不同证据制度
③普通法体系。
英国、美国和爱尔兰等国实行普通法。他们的证据制度遵循,传闻法则,,即以证人的证言为基础。
计算机记录是作为第二手材料,在法律上不能接受作为证据,因为它可被篡改而不留下痕迹。
随着计算机应用的日益普及,英国和美国于对世纪幼年代都相应地修改或重新制定了法律来承认计算机记录的法律地位。
2009-7-25 徐州工程学院 34
3.计算机记录的法律价值
( 2)举证责任的转移
一般而言,证据是由形式和实质这两个要素所组成的,即可以合法接受的证据方式和证据方式的可信度。
计算机记录的法律价值与证据的方式有关,而证据方式的可信度则与举证责任有关。一个实际上是正确的、但具有举证责任的当事人有可能因无法提供法庭所要求的证据而败诉。
2009-7-25 徐州工程学院 35
3.计算机记录的法律价值
( 2)举证责任的转移
已经有许多国家开始倾向于将举证的责任转移到提供计算机网络服务的这一方,因为他们具有更多的机会来获得证据,从而也要求他们保留完整的运行记录。
例如,银行具有可靠的计算机系统和应用系统,
具有良好的系统处理日志和备份能力。因此,
它们完全可以拥有完备的操作记录,在有争议时可提供比较充分的材料;相反,用户则没有足够的技术力量和经济力量来提供这种备份或使用记录。
2009-7-25 徐州工程学院 36
4.用户的行为规范
Inemet最初的教育科研背景对
Internet文化的形成起到了重要的作用,
这种文化已规定了网络用户的行为规范。
这种网络文化与技术(如网络协议)有着很大的关系,因此,要求用户遵守某些行为规范,就能够使网络有效地工作。
例如,电子邮件协议对于用户身份认证的功能很弱,这就要求用户要自觉地约束自己的行为,不要在网上滥发邮件。
2009-7-25 徐州工程学院 37
4.用户的行为规范
随着 Internet的迅速发展和商业化,
Internet的社会背景有了很大变化,但它所依托的技术和所施加的种种限制却依然存在。
由于新出现的商业用户缺乏必要的相关技术背景知识,因此,对于应有的网络文化缺乏了解,
就会导致传统的 Internet网络文化和行为规范并没有被新加入的商业用户很好地遵守。
2009-7-25 徐州工程学院 38
4.用户的行为规范
概括起来,网络用户的行为规范主要表现在一对一通信、一对多通信和信息服务提供等三个方面。
其中,一对一通信的最主要形式是电子邮件;而一对多通信的主要形式是邮件分发表和电子新闻;而信息服务提供的例子则是 WWW和 FTP。
2009-7-25 徐州工程学院 39
5.我国的信息安全政策法规
中华人民共和国计算机信息网络国际联网管理暂行规定
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
中国互联网络域名注册暂行管理办法
中国互联网络域名注册实施细则
中华人民共和国计算机信息系统安全保护条例
关于加强计算机信息系统国际联网备案管理的通告
2009-7-25 徐州工程学院 40
5.我国的信息安全政策法规
中华人民共和国电信条例,中华人民共和国国务院令(第 291号)
互联网信息服务管理办法,中华人民共和国国务院令(第 292号)
从事放开经营电信业务审批管理暂行办法
电子出版物管理规定
关于对与国际联网的计算机信息系统进行备案工作的通知
2009-7-25 徐州工程学院 41
5.我国的信息安全政策法规
计算机软件保护条例
计算机信息网络国际联网出入口信道管理办法
计算机信息网络国际联网的安全保护管理办法
计算机信息系统安全专用产品检测和销售许可证管理办法
计算机信息系统国际联网保密管理规定
科学技术保密规定
商用密码管理条例
中国公用计算机互联网国际联网管理办法
2009-7-25 徐州工程学院 42
5.我国的信息安全政策法规
中国公众多媒体通信管理办法
中华人民共和国保守国家秘密法
中华人民共和国标准法
中华人民共和国反不正当竞争法
中华人民共和国公安部(批复)公复字
1996-8号
中华人民共和国国家安全法
2009-7-25 徐州工程学院 43
5.我国的信息安全政策法规
中华人民共和国海关法
中华人民共和国商标法,
中华人民共和国人民警察法
中华人民共和国刑法
华人民共和国治安管理处罚条例
中华人民共和国专利法
2009-7-25 徐州工程学院 44
10.2 信息保密技术
10.2.1 信息加密措施
密码技术是保证网络、信息安全的核心技术。
密码学包括密码编码学和密码分析学。密码体制的设计是密码学的主要内容,密码体制的破译是密码分析学的主要内容。
密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码技术要求加密解密双方拥有相同的密钥,而非对称密钥密码技术允许加密解密双方拥有不相同的密钥。
2009-7-25 徐州工程学院 45
10.2.1 信息加密措施
1.密钥密码体系
密钥密码体系又称为对称密钥密码体系,即加密密钥与解密密钥使用相同的算法。
密钥密码体系由于加密和解密使用同样的密钥,
因此,N个用户之间进行加密的话,每一对用户必须使用一个密钥,即需使用 N(N-1)/2个不同的密钥才能保证双方收发密文时,第三方无法了解他们所使用的密钥,从而无法解密。
2009-7-25 徐州工程学院 46
10.2.1 信息加密措施
2.公钥密码体系
公钥( Public key)密码体系又称不对称密钥密码体系,它出现于 1976年,
其最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥 —
— 公开密钥 PK和私人密钥 SK,而使用密钥密码体系的用户必须针对不同的对象使用不同的密钥。
2009-7-25 徐州工程学院 47
10.2.1 信息加密措施
3.数字水印简介
随着多媒体技术和网络技术的飞速发展和广泛应用,图像、音频、视频等多媒体内容的保护已成为迫切需要解决的问题。
对多媒体内容的保护分为两部分:一是版权保护;二是内容完整性(真实性)
保护,即认证。
2009-7-25 徐州工程学院 48
10.2.2 信息认证技术
认证是一种证实某人或某事为有效或名副其实的过程。在计算机系统或通信中,认证是良好的数据安全措施中的一个重要组成部分。对于确认传输的信息、存储的数据、人员和设备的身份等,密码学提供了非常可靠的手段。
在 Internet上通过视觉来认证对方身份几乎是不可能的,在视频会议产生并成为 Internet上的最佳通信方法之前,我们不得不依赖另一种方法来核实发送者和接受者的身份。
2009-7-25 徐州工程学院 49
10.2.2 信息认证技术
1.认证技术的重要性
当今世界网络、通信和信息技术飞速发展,因特网在全球迅速普及,使得商务空间发展到全球的规模,也使得任何一个企业组织都必须改变自己的思维观念、
组织结构、战略方针和运行方式来适应这种全球性的发展变化。
2009-7-25 徐州工程学院 50
10.2.2 信息认证技术
2.数字签名与身份认证
上面介绍了数字认证的一般知识,下面将详细讲解认证过程的具体方法。
在日常的生活和工作中,许多事务处理都需要当事者签名,如各种文件、商业合同等。签名能起到认证、审核的作用。在传统的以书面文件为基础的事务处理中,常采用书面签名的形式,如手签、印章、指印等。
在以计算机文件为基础的事务处理中则采用电子形式的签名,即数字签名。
2009-7-25 徐州工程学院 51
10.2.3 安全协议
安全协议是管理通信的规则,在安全协议的帮助下,信息系统可以逃过恶意攻击。如果要防御所有可能攻击的话,代价通常太昂贵了,所以安全协议一般都是在假设某些特定危险的情况下设计的。
因此,评估一个协议的优劣需要回答两个问题。首先,危险模型是现实的吗?
其次,协议能对付这些危险吗?
2009-7-25 徐州工程学院 52
10.2.3 安全协议
1,SET
SET( Secure Electronic Transaction,简称 SET),即 "安全电子交易 ",是 VISA、
MASTER两大国际卡组织和多家科技机构共同制订的进行在线交易的安全标准。
SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,用以保证支付信息的机密,支付过程的完整,商户和持卡人的合法身份,以及可操作性。
2009-7-25 徐州工程学院 53
10.2.3 安全协议
2,SSL
SSL( Secure Socket layer,安全套接层)
协议,是由网景( Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。 SSL是对计算机之间整个会话过程进行加密的协议。在 SSL中,采用了公开密匙和私有密匙两种方法。
SET协议比 SSL协议复杂,在理论上安全性也更高,因为前者不仅加密两个端点间的单人会话,还可以加密和认定三方面的多个信息,而这是 SSL协议所不能解决的问题。
2009-7-25 徐州工程学院 54
10.2.3 安全协议
3,PKI体系结构
为解决在 Internet上开展电子商务(包括交易主体之间的身份认证、交易和通信等)的安全问题,世界各国在多年研究后,初步形成了一套完整的解决方案,即目前被广泛应用的公钥基础结构( Public Key Infrastructure),
即 PKI体系结构。
PKI体系结构采用证书管理公钥,通过 CA把用户的公钥和用户的身份或其标识信息(如名称、
E-mail、身份证号等)捆绑在一起,在
Internet上验证用户的身份。
2009-7-25 徐州工程学院 55
10.3 防御技术
计算机网络的快速发展,它的内在不安全性已受到越来越多地关注。为了防御非法入侵者的创入,必须采取有效的措施来改善网络的安全,尽管防火墙不能解决全部问题,但它的重要性已得到公认,防火墙技术已成为网络安全的关键技术之一。
2009-7-25 徐州工程学院 56
10.3.1 防火墙的概念
防火墙的出现,有效地限制了数据在网络内外的自由流动,可以控制不安全的服务,只有授权的协议和服务才能通过防火墙;
防火墙能对站点进行访问控制,防止非法访问,
可把安全软件集中地放在防火墙系统中,集中实施安全保护;
防火墙强化私有权,防止攻击者截取别人的信息,能对所有的访问作出日志记录,而日志则是对一些可能的攻击进行分析和防范的十分重要的情报。
2009-7-25 徐州工程学院 57
10.3.1 防火墙的概念
将局域网置于防火墙之后就可以有效地阻止来自外界的攻击。而防火墙通常是运行在单独计算机上的一个特别的服务软件,它可以识别并屏蔽非法的请求。
防火墙的最大用处是,使网络规划清晰明了,
从而有效地防止跨越权限的数据访问。如果网络接入到 Internet却没有设置防火墙的话,那么就有可能会收到许多系统入侵的报告。
2009-7-25 徐州工程学院 58
10.3.2 防火墙产品分类
防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,防火墙的基本功能有:过滤进 /出网络的数据;管理进 /出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
在防火墙产品的开发中,人们广泛应用了网络拓扑技术、计算机操作系统技术、路由技术、
加密技术、访问控制技术和安全审计技术等成熟或先进的手段。
2009-7-25 徐州工程学院 59
10.3.2 防火墙产品分类
防火墙不是一个简单的路由器和主机系统组合,
也不是一个对网络提供安全的各系统组合,而是一种安全手段的提供。它通过定义允许访问和允许服务的安全策略实现此安全目的。同时该实现目的需要借助于一个或多个网络、主机系统、路由器和其他安全设备的策略配置。
纵观防火墙产品近年来的发展,可将其划分为四个阶段:基于路由器的防火墙、用户化防火墙工具套、建立在通用操作系统上的防火墙和具有安全操作系统的防火墙。
2009-7-25 徐州工程学院 60
10.3.3 防火墙设计策略
防火墙是加强网络之间接入的控制系统,它能够处理所有由内到外的流量,仅允许授权的流量通过,因此系统本身对入侵具有免疫性。防火墙既可看成是一种策略,又可看成是根据网络配置、主机系统、路由器以及利用诸如高级认证手段对策略的一种实现。
防火墙系统的设计、安装和使用直接受到两个层次的网络策略的影响。高层次的策略特定于一个出口,称为服务访问策略(或网络访问策略)。
2009-7-25 徐州工程学院 61
10.3.3 防火墙设计策略
它定义受限(或保护)网络中哪些服务是允许的,哪些服务是明确禁止的,这些服务是怎样被使用的以及对这个策略进行例外处理的条件。
低层次的策略描述了防火墙实施中实际上是怎样体现实施高层次的策略,即怎样去限制访问和过滤服务,称为设计策略。
2009-7-25 徐州工程学院 62
10.3.3 防火墙设计策略
一个防火墙能实现各种各样的服务访问策略,
典型的策略主要包括:不允许从 Internet访问一个内部站点,但允许一个内部站点访问
Internet;允许来自 Internet的某些特定服务访问内部站点;允许 Internet上一些用户访问有选择的内部主机,
但是这种访问仅仅在必要的时候被许可并且要适当附加一些比较先进的认证手段。
2009-7-25 徐州工程学院 63
10.3.4 防火墙实现技术
几乎所有的防火墙都采取某种类型的 IP
分组过滤技术进行过滤,IP分组过滤技术通常对以下特性进行过滤:
源 IP地址和目的 IP地址
TIP/UDP源端口和 TCP/UDP目的端口
由于 IP分组过滤能对端口进行过滤,所以就能很好地实现上面所提到的策略并提供策略所需的灵活性。
2009-7-25 徐州工程学院 64
10.3.4 防火墙实现技术
为了克服分组过滤路由器的种种弱点,防火墙也可以用应用软件来过滤 TELNET和 FTP等服务连接,这样的应用软件称为代理服务,而运行代理服务的主机称为应用网关。
代理服务仅允许在应用网关有代理的服务通过防火墙,而阻塞其他任何没有代理的服务。使用代理服务的另一好处是能过滤协议。
2009-7-25 徐州工程学院 65
10.3.4 防火墙实现技术
分组过滤和代理服务可以结合起来使用,
以实现分组过滤功能的主机或路由器控制通信的底层,而应用网关则用于过滤应用级别的流量。
这样的结合能提供高效性和灵活性,但也只能提供有限的透明性,从安装、管理和专业的角度来看,这种结合的花费也很高。
2009-7-25 徐州工程学院 66
10.3.4 防火墙实现技术
另一种解决的办法是使用一种检测模型技术,它对使用的协议均适用,能处理从 IP层到应用层的分组数据。
它将所有层的信息部综合到一个检测点进行过滤,无论从灵活性或效率的角度来看,这种技术都比较令人满意。
2009-7-25 徐州工程学院 67
10.3.4 防火墙实现技术
无论采取什么策略和机制来实现防火墙,都必须具有极大的灵活性。因为 Internet本身是不断变动的。其中一个例子是,当 Web浏览器出现并广泛使用后,WWW业务量在很短的时间内就取代了 FTP的业务量。
因此任何机构的需求将会随着 Internet提供的新服务而改变,而且新的协议和服务也不断在
Internet出现,这都将带来新的安全问题,且新的合作伙伴和联盟将带来新的网络连接和风险,所有这些都要求策略和机制具有极大的灵活性。
2009-7-25 徐州工程学院 68
10.4 计算机病毒
10.4.1计算机病毒的定义
计算机病毒是一段很小的计算机程序,它是一种会不断自我复制及感染的程序。在传统的操作系统环境下,通常它会寄存在可执行的文件之中,或者是软盘、硬盘的引导区部分。
病毒随着被感染程序由作业系统装入内存而同时执行,因此获得系统的控制权。但在
Windows系统出现的宏病毒则是附加在文档中,且其感染的对象一般亦只限于文档。
2009-7-25 徐州工程学院 69
10.4.1计算机病毒的定义
在 1994年我国正式颁布实施的,中华人民共和国计算机信息系统安全保护条例,
中,明确给出了计算机病毒的定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,
影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2009-7-25 徐州工程学院 70
10.4.2计算机病毒的特性
① 破坏性:不同的病毒对系统的破坏性也不同,
但都会使计算机效率降低,并占用系统资源。
较为严重的会破坏系统文件或导致系统崩溃。
②潜伏性:许多病毒在进入系统后并不马上发作,而是隐藏在系统中,俏俏地传染其他文件。
潜伏期越长,传染范围越大。在病毒潜伏期,
用户很难察觉到它的存在。直到满足触发条件,
才开始实行破坏工作。
2009-7-25 徐州工程学院 71
10.4.2计算机病毒的特性
③ 传染性:病毒程序在运行时,自动搜索其他符合传染条件的程序或存储介质,并将其代码插入其中,达到自我繁殖的目的。例如,计算机系统已感染病毒,当使用软盘时.病毒自动感染软盘中的文件:软盘在其他计算机上使用时,软盘中被感染的文件又会迅速感染正在使用的计算机中的文件。
④寄生性:病毒程序附加到其他程序当中,依赖其他程序的运行而生存。
2009-7-25 徐州工程学院 72
10.4.2计算机病毒的特性
⑤ 可执行性:病毒寄生在其他程序上后,当计算机运行这些程序时,病毒程序也随之运行。
如果未感染病毒的程序运行,则不会引起病毒发作。
⑥可触发性:只有满足一定条件时,病毒才开始发作。例如,某些病毒只有在某月间日向时又是星期五时,才会发作。
⑦不可预见性:不同种类的病毒,其代码千差万别,即使有各种查杀病毒的工具软件,也很难防范不断新生的各种病毒。
2009-7-25 徐州工程学院 73
10.4.3计算机病毒的新特点
计算机病毒的类型主要有:引导型、文件型、宏病毒、特洛伊木马、恶作剧、
蠕虫病毒、邮件炸弹、协议病毒等。
计算机病毒是当今网络业发展的最大危害,通过电子邮件这个传播途径,随时都有可能让用户的整个计算机系统陷于瘫痪。
2009-7-25 徐州工程学院 74
10.4.3计算机病毒的新特点
1、种类、数量激增
2、传播途径更多,传播速度更快
3、电子邮件成为主要传播媒介
4、造成的破坏日益严重
2009-7-25 徐州工程学院 75
10.4.4计算机病毒的传播
计算机病毒一定要在计算机系统中才能传播。
病毒提供了很多的传播途径,例如如果从别的计算机下载或执行一个已经被感染的程序,这样自己的计算机亦会被病毒所传染。
病毒程序第一件要做的事通常是自我复制。病毒会把自己附在一处可以有利于自己执行的系统中。在计算机工作时,病毒可在很短的时间内把自己复制为许多次。
2009-7-25 徐州工程学院 76
10.4.4计算机病毒的传播
计算机病毒蔓延的主要方式是通过软件的共享。如果软件是通过手工传播出去的,病毒蔓延的速度会比 Internet慢得多。
现在很多电子邮件程序都会把接收到的邮件自动地放在文字处理程序中打开,
所以收件人的计算机系统是在没有选择的情况下被传染病毒。
2009-7-25 徐州工程学院 77
10.4.5计算机病毒防范措施
1.计算机病毒检查
( 1)文件大小和日期的变换。
( 2)文件莫名其妙丢失。
( 3)系统运行速度异常慢。
( 4)有特殊文件自动生成。
( 5)用 MI检查内存时,发现不该驻留的程序。
( 6)磁盘空间自动产生环区或磁盘空间减少。
2009-7-25 徐州工程学院 78
10.4.5计算机病毒防范措施
1.计算机病毒检查
( 7)系统启动时间突然变得很慢或系统异常死机次数增多。
( 8)计算机屏幕出现异常提示信息、异常滚动、异常图形显示。
( 9)中断向量表发生变化。
( 10)硬件接口出现异常,例如在打印时经常出现,No Paper”等提示信息。
2009-7-25 徐州工程学院 79
10.4.5计算机病毒防范措施
2.计算机病毒防范
( 1)安装多种防病毒软件,并经常升级。
( 2)如果软盘在其他计算机上使用过,
在自己的计算机上使用前先查毒。
( 3)不使用盗版光盘。
( 4)从局域网其他计算机复制到本地计算机的文件,先查毒再使用。
( 5)上网下载的文件,查毒后再使用。
2009-7-25 徐州工程学院 80
10.4.5计算机病毒防范措施
2.计算机病毒防范
( 6)接收到不明来历的电子邮件,具有诱惑性标题时,不要打开,并删除邮件。
( 7)电子邮件的附件,查毒后再使用。
( 8)经常备份重要的文件和数据。
( 9)制作干净的系统盘、急救盘。
( 10)如果发现计算机感染了病毒,杀毒后应立即重新启动计算机,并再次查毒。
2009-7-25 徐州工程学院 81
10.4.6 反病毒软件
为了对抗计算机病毒,许多软件公司推出了各种反病毒软件,能够有效地查出和消除计算机中的病毒。反病毒软件种类繁多,一般都具有查毒、杀毒的基本功能。较出色的软件还可以进行实时监测,随时关注系统中是否存在病毒。
目前国内常见的查 /杀毒软件有,KILL、
KV300,NAV、瑞星杀毒软件 RAV,Norton
AntiVirus 2000,McAfee VirusScan等。
