计算机安全防简答

.筒述计算机系统有哪些安全威胁。窃听伪造篡改非授权访问拒绝服务攻击行为否认人员疏忽.计算机安全的概念计算机安全是指利用管理控制和技术措施，保证计算机信息数据的机密性、完整性及可使用性受到保护。.计算机安全的目标保密性，完整性，可用性，不可否认性，可控性.对计算机攻击的五种情况被动攻击，主动攻击，临近攻击，内部人员攻击，分发攻击第一章绪论•内容提要：计算机面临的主要威胁计算机不安全因素计算机安全概念计算机安全威胁发展的趋势幻灯片7本章学习目标（D正确理解计算机安全的重要性和了解计算机系统所面临的典型威胁。（0理解对计算机的常见的5种攻击的概念。（3掌握计算机安全的概念。（4理解和领会计算机安全的目标。（，了解计算机安全威胁的发展趋势。幻灯片81计算机安全的威胁1.1.1计算机受到威胁的实体（硬件）：各类计算机（PC、服务器和工作站等）网络通信设备（路由器、交换机、集线器、调制解调器和加密机等）存放数据的媒体（硬盘、U盘和光盘等）传输线路、供配电系统幻灯片9•1.1.2计算机系统面临威胁（软件）计算机系统可能会受到非法入侵者的攻击网络中传输的数据有可能被窃听或修改典型的安全威胁如下：幻灯片10典型的安全威胁名称描 述窃听非法获取网络中传输的敏感信息。伪造将伪造信息发送给接收者。篡改对传输中的发送者的信息进行修改、删除、插入，再发送给接收者。非授权访问通过假冒身份、系统漏洞等手段，获取系统访问权。拒绝服务攻击攻击者通过某种手段使系统响应变慢甚至瘫痪，使系统资源耗尽（比如让CPU满负荷或占满内存）影响正常用户对系统的访问。行为否认攻击者已经实施的行为否认，逃避责任。人员疏忽授权人为了利益或由于粗心将信息泄漏幻灯片11•1.1.3恶意程序的威胁计算机病毒可以严重破坏程序和数据、使网络的效率和作用大大降低、使许多功能无法正常使用、导致计算机系统的瘫痪。全球已发现几百万余种计算机病毒据统计，计算机病毒所造成的损失，占由于网络问题造成的经济损失的76%,仅“爱虫”病毒发作在全球造成的经济损失就累计达96亿美元。幻灯片12典型的计算机病毒和黑客事件1988年11月由美国的一个大学研究生莫里斯编写的病毒，造成了数千台计算机停机，称互联网络蠕虫（worm）事件，也称莫里斯蠕虫案。1999年4月26日，CIH病毒爆发，俄罗斯十多万台电脑瘫痪，韩国二十四万多台电脑受影响，马来西亚十二个股票交易所受侵害。幻灯片132000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutlook电子邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含一个附件。2006年10月16日，中国骇客李俊发布熊猫烧香木马。并在短短时间内，致使中国数百万用户受到感染，并波及到周边国家，比如日本。他于2007年2月12日被捕。X幻灯片142007年，中国一名QQ网名为TheSilent's（折羽鸿鹄hu）的黑客成功入侵微软中国的服务器，并在6月至11月成功侵入包括CCTV、163、T0M等中国大型门户服务器。2008年11月8日午夜，一个全球性的黑客组织，攻破了RBSWorldPay银行系统，取得了数据库内的银行卡信息，并在,利用团伙作案从世界49个城市总计超过130台ATM机上提取了900w美元。最关键的是，目前FBI还没破案，甚至据说连一个嫌疑人还没找到。2009年7月7日-9日韩国国家情报院和国民银行网站无法被访问，韩国国会、国防部、外交通商部等机构的网站一度无法打开！这是韩国遭遇的有史以来最强的一次黑客攻击。幻灯片152010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，网民访问百度时，会被定向到一个位于荷兰的IP地址，百度旗下所有子域名均无法正常访问。这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击。2011年7月29日黑客袭击了韩国一家门户网站和一家博客网站，涉及高达3500万名用户的个人信息。这是韩国迄今为止遭到的最大网络攻击案。2012年7月12日消息，据外国媒体报道，一个并不知名的黑客组织通过网络宣布，该组织已经从雅虎服务器盗取了45万多个用户的帐户和密码等信息，并将相关的详情公开在网络上。幻灯片161.1.4计算机安全威胁的潜在对手对手描述恶意攻击国家国家经营，组织精良，并得到很好的财政资助，收集别国的机密黑客利用系统的漏洞或缺陷，进行信息收集和系统破坏。计算机恐怖份子/组织各种恐怖分子或极端势力，以强迫或恐吓政府或社会以满足其需要为目的。其他犯罪成员犯罪群体的其他部分，通常是由少量成员构成，或是单

独行动的个人。国际新闻社收集和发布消息，并将其服务出售给出版社和娱乐媒体。工业竞争在竞争市场中营运的国内或外国公司，它们经常以商业间谍的形式，从竞争对手或外国政府那里非法收集情报。雇员具有访问系统条件，能够对系统轻易实施内部威胁。非恶意员工缺乏训练，或者粗心大意导致信息系统损坏。幻灯片171.2计算机不安全因素1.2.1不安全的主要因素偶然因素：如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。客观因素：各种自然灾害（如地震、风暴和水灾等）和硬件老化。人为因素：利用计算机网络或潜入计算机房，篡改目标系统的数据、窃用资源、非法获取机密数据和信息等。此外，规章制度不健全、安全管理水平低、人员素质差、操作失误等都会对计算机造成威胁。人为因素对计算机的攻击分为5个方面幻灯片18人为对计算机的主要攻击（五种）1.被动攻击监视和获取在网络上传送的信息攻击举例描述窃听监视网络，获取未加密的信息。解密破解网络中传输的加密数据。口令嗅探捕获用于各类系统访问的口令。幻灯片19对计算机的主要攻击2.主动攻击利用病毒，破坏数据和系统的完整性攻击举例描述修改截获并修改网络中传输的数据。重放将旧的消息重新反复发送，造成网络效率降低。伪装这类攻击者将自己伪装成他人，未授权访问资源和信息。恶意代码攻击者向系统内植入恶意代码，或诱骗用户

去执行恶意代码。漏洞攻击者利用各种系统协议的缺陷来实施非法目的幻灯片20对计算机的主要攻击3.邻近攻击邻近攻击是指未授权者可物理上接近目标网络、系统或设备，从而可以修改、收集相关信息。接近方式可以是秘密或公开攻击举例描述修改或收集信息攻击者获取系统管理权，从而修改或窃取信息，如：IP地址、登陆的用户名和口令等。物理破坏获取系统物理设备访问权，从而对设备进行物理破坏。幻灯片21对计算机的主要攻击4.内部人员攻击攻击举例描述恶修改数据内部人员直接使用网络，具有系统的访问权。因此，内部人员攻击者比较容易实施未授权操作或破坏数据。物理损坏或破坏对系统具有物理访问权限地工作人员，对系统故意破坏或损坏。非恶意修改数据由于缺乏知识或粗心大意，修改或破坏数据或系统信息。物理损坏或破坏由于渎职或违反操作规程，对系统的物理设备造成意外损坏或破坏。幻灯片22对计算机的主要攻击5.分发攻击软件和硬件开发时，或安装前当从一个地方送到其他地方时，攻击者恶意的修改软硬件。攻击举例描述在设备生产时修改软硬件当软件和硬件在生产线上时，通过修改软硬件配置来实施这类攻击。在产品分发时修改软硬件在产品分发期内修改软硬件配置（如安装窃听设备）。幻灯片231.2.2不安全的主要原因（五点）.互联网具有不安全性开放性的网络，导致网络的技术是全开放的，使得网络所面临的破坏和攻击来自多方面。TCP/IP等协议存在安全漏洞。幻灯片241.2.2不安全的主要原因2.操作系统存在安全问题操作系统软件自身的不安全性，以及系统设计时的疏忽或考虑不周而留下的“破绽”操作系统的安全依靠打补丁，这种动态的连接方式容易为黑客利用，给计算机病毒的产生制造了可趁之机。幻灯片251.2.2不安全的主要原因.数据的安全问题数据库存在着许多不安全性。用户越权访问，并对数据进行更改。.传输线路安全问题从安全的角度来说，没有绝对安全的通讯线路。.网络安全管理问题缺少安全管理人员和技术规范幻灯片261.3计算机安全概念•1.3.1计算机安全的定义• 计算机安全是指利用管理控制和技术措施，保证计算机信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到计算机信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。幻灯片271.3.2计算机安全目标1.保密性指网络中的保密信息只能供经过允许的人员以经过允许的方式使用，信息不泄露给非授权用户，或供其利用。通常采用的方法：加密、监控和专人负责幻灯片281.3.2计算机安全目标2.完整性指计算机信息的精确与有效，保证信息原有的内容、形式与流向不发生改变，确保信息在存储或传输过程中不被修改、破坏和丢失。破坏信息的完整性有人为因素非人为因素方法：校验法（例如MD5）幻灯片291.3.2计算机安全目标.可用性指资源在需要时即可使用，不因系统故障或误操作等使资源丢失而妨碍对资源的使用。保证可用性的最有效的方法是提供一个安全服务的安全环境。有效方法：备份技术.不可否认性在由收发双方所组成的系统中，确保任何一方无法抵赖自己曾经作过的操作，从而防止中途欺骗的特性。方法：数字签名幻灯片301.3.2计算机安全目标5.可控性指对信息的传播及信息内容具有控制能力，对通信双方进行授权和监控管理,确保通信双方身份的真实性。有效方法：身份认证和入侵检测幻灯片311.4计算机安全技术发展趋势计算机安全威胁发展趋势与Internet更加紧密地结合；所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；其扩散极快，无线网络技术的发展，使的远程攻击的可能性加大各种攻击技术的隐秘性增强，常规防范手段难以识别；网络管理安全问题日益突出；第二章InternetExplorer安全设置内容提要：上网安全策略IE安全设置清除上网痕迹浏览器修复幻灯片22.1上网安全设置2.1.1警惕网络钓鱼陷阱：欺诈邮件虚假电子商务假冒网站木马窃取弱口令幻灯片32.1.2防范间谍软件调高浏览器安全级别安装杀毒软件谨慎下载和安装软件幻灯片42.1.3有效的安全策略良好的上网习惯慎选交易对象掌握一定的安全措施幻灯片52.2IE安全设置2.2.1设置Internet安全级别2.2.2管理好Cookie所谓"第一方Cookies",指的是信息来自当前正在访问的网站;所谓“第三方Cookies”,指的是信息来自当前访问网站以外的站点，最常见的就是那些在被访问站点放置广告的第三方站点o幻灯片6Cookies应用Cookies最典型的应用是根据用户的需要决定是否保留用户信息在以便下一次进入此网站时简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies,以便在最后付款时提取信息。幻灯片72.2.3阻止弹出窗口（“安全”选项卡）2.2.4关闭自动完成（“内容”选项卡）2.2.5禁止更改安全级别设置regeditHKEY_CURRENT_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\字符串Security_options_edit键值，其值为1幻灯片82.2.6禁止更改浏览器的主页打开本地组策略编辑器gpedit.msc用户配置/管理模板/window组件/internetexplorer2.2.7禁止IE的下载浏览器选项的“安全”选项卡找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3子键，在窗口右侧将“1803”键值项改为“3”幻灯片92.3清除上网痕迹•2.3.1删除浏览器临时文件浏览器“常规设置”2.3.2删除浏览器Cookie和历史访问记录浏览器“常规设置”2.3.3删除密码记录浏览器“内容”幻灯片102.4浏览器修复2.4.1首页被篡改HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main子项项值StartPage修改为自己信任的网站即可。按F5键刷新生效2.4.2鼠标右键菜单添加了非法链接HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt子项，在右边窗口凡是属于非法链接的项值一律删除，按F5键刷新生效幻灯片112.4.3地址的下拉菜单消失或添加了非法地址依次展开HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\toolbar子项，将右侧窗格的字符串"LinkFolderName”项值的值改为“链接”第三章物理安全内容提要：3.1机房安全技术与标准3.2通信线路安全3.3设备安全3.4电源系统安全3.5计算机硬件的检测与维修小结幻灯片2物理安全概述物理安全是整个计算机系统安全的前提，是指我们采取一系列措施使得计算机及计算机相关的设备或者设施免遭破坏的过程，这些破坏可能是人为的或者自然的原因。如果物理安全得不到保证，则整个系统就失去了正常工作的基本的物质条件。幻灯片3物理安全概述（续）物理安全措施主要包括：防水、火、震、防盗、防静电、防雷、防辐射、三度要求、数据备份、应急恢复、安全制度等手段。物理安全是相对的。幻灯片4机房安全技术与标准计算机房场地环境选择为机房选择一个合适的安装场所，对计算机系统长期稳定、可靠、安全的工作是至关重要的。我们在选择计算机房场地环境时要注意（8条）：（1）应尽量满足水源充足、电源稳定可靠、自然环境清洁的条件。(2)应避开环境污染区，远离产生粉尘、油烟、有害气体等的区域。(3)应远离生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库、堆场等场所。(4)避开潮湿、落雷区域和地震频繁的地方。幻灯片5(5)应避开强振动源和强噪音源，如车间、工地、闹市、机场等。(6)应避开强电磁场的干扰，当无法避开时，可采取有效的电磁屏蔽措施。(7)机房在多层建筑或高层建筑物内宜设于第二、三层，应避免设在建筑物的高层或地下室。(8)其他的注意事项可以参阅国标GB2887-896计算站场地技术条件＞＞。这个标准是计算机场地建设的主要技术依据。幻灯片63.1.2机房安全技术机房安全技术涵盖的范围非常广泛，机房从里到外，从设备设施到管理制度都属于机房安全技术研究的范围。包括计算机机房的温度、湿度等的保持技术，机房的安全用电技术和安全管理制度等。幻灯片7机房的安全等级分为A类、B类和C类3个基本类别【GB9361-88]»A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。幻灯片8计算机机房安全要求安镖那安全项目C转全哂B类安全机房。A类安全机房+场地选择。(+A(+>防火2(+)*(+卜(+)。内部装修(+>(一A供配电系统J(+A(+A(一A空调系统。(+A(+A(一〉火灾报警及消防设施“(+A(+>(一A防火，一/(+A(一X防静电(+卜(一*防雷击。(+A(一A防鼠害。7(+A(一A电磁波的防护一。(+>(+AC表中符号说明，无需要求：，(+)：有要求或增加要求；"(―):要求。＞

尸、^安全类别「安全项目C类安全机房”B类安全机房，A类安全机房”场地选择。一一(+>(+)+防火。(+)♦(+卜(+A内部装修(+A(一A供配电系统”(+A(+A(一A空调系统。(+>(+1(一A火灾报警及消防设施(+A(+A(一A防火「7(+A(一>防静电(+A(一A防雷击Q-P(+A(一A防鼠害”7(+A(一卜电磁波的防护。一"(+A(+A表中符号说明：无需要求："(+)，有要求或增加要求；。(-):要求。。安镖那安全项目C类安全机房”B类安全机房。A类安全机房。场地选择。7(+>(+A防火。(+)+(+”(+〉内部装修一。(+A(一A供配电系统“(+A(+A(一〉空调系统。(+A(+A(-A火灾报警及消防设施“(+A(+A(一A防火」7(+A(一A防静电7(+A(一〉防雷击。-P(+>(一A防鼠害”-P(+A(-A电磁波的防护，7(+A(+A表中符号说明：-»无需要求：，(+).有要求或增加要求；。(-):要求。，幻灯片9(1)机房的安全要求防止无关人员进入机房是计算机机房设计时首先要考虑的问题。计算机机房在选址时应避免靠近公共区域，避免窗户邻街。最好不要安排在底层或顶层，在较大的楼层内，计算机机房应靠近楼层的一边安排布局。保证所有进出计算机机房的人都必须在管理人员的监控之下。幻灯片10(2)防盗早期：永久固定现在：机壳加锁；贴磁性标签；视频监控DR幻灯片11(3)三度要求温度、湿度和洁净度并称为三度。为使机房内的三度达到规定的要求，空调系统、力口、去湿机、除尘器是必不可少的设备。幻灯片12A.温度我国《计算机站场地技术要求》(GB2887-89)中对机房环境温度做了具体规定：A级B级C级夏季冬季开机时22±2℃20±2℃15—30℃10—35℃关机时5—35℃5—35℃5—40℃幻灯片13B.湿度(相对湿度)我国《计算机站场地技术要求》(GB2887-89)中对机房环境相对湿度做了具体规定:A级B级C级开机时45%—65%40%—70%30%—80%关机时45%—70%20%—80%8%—80%绝对湿度：每单位容积的气体所含水分的重量。相对湿度：某温度时空气的绝对湿度P跟同一温度下水的饱和汽压PS的百分比。幻灯片14C.洁净度对机房环境洁净度一般规定:A级B级漂浮粒径大于或等于0.5Um(微米，1微米相当于1米的一百万分之一)个数<=10000粒/立方分米<=18000粒/立方分米幻灯片15(4)防静电措施不同物体间的相互磨擦、接触就会产生静电。计算机系统的CPU、ROM(readonlymemory,只读存储器)、RAM(randomaccessmemory,随机存储器)等关键部件大都是采用MOS工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。幻灯片16防静电措施主要有：机房的内装修材料采用乙烯材料。机房内安装防静电地板，并将地板和设备接地。机房内的重要操作台应有接地平板。•工作人员的服装和鞋最好用低阻值的材料制作。机房内应保持一定湿度。幻灯片17(5)接地与防雷接地是保护计算机网络系统和工作场所安全的重要安全措施，它可以为计算机设备提供一个稳定的0伏参考电位，从而可以保证设备和人身的安全.雷电具有巨大能量，可以瞬间电压达到百万伏，接地可以有效防雷。幻灯片18(6)机房的防火、防水一防火：A要有合理的建筑构造，这是防火的基本。B完善电气设备的安装与维护，这是防火的关键。C建立完善消防设施，这是减少火灾损失的保障。C加强消防管理工作，消除火灾隐患幻灯片19二防水：机房防水工作是机房建设和日常运行管理的重要内容之一，应采取必要的防护措施：(1)机房不应设置在建筑物底层或地下室，设防水层，并设漏水检查装置。(2)机房内应避免铺设水管或蒸汽管道。已铺设的管道，必须采取防渗漏措施。(3)机房应具备必要的防水、防潮设备。（4）机房应指定专人定期对管道、阀门进行维护检修幻灯片20通信线路安全（1）电缆加压技术（防偷、防破坏）通信电缆密封在塑料套管中，并在线缆的两端充气加压。线上连接了带有报警器的监示器，用来测量压力。如果压力下降，则意味电缆可能被破坏了，技术人员还可以进一步检测出破坏点的位置，以便及时进行修复。幻灯片21（2）光纤通信技术（防窃听）光纤没有电磁辐射，所以不能用电磁感应窃密，曾被认为是不能被窃听的。但是光纤的最大长度有限制，长于这一长度的光纤必须定期地放大（复制）信号。完成这一目标的设备（放大器）是光纤通信系统的安全薄弱环节。幻灯片22设备安全.硬件设备的维护和管理计算机系统的硬件设备一般价格较贵，一旦被损坏而又不能及时修复，可能会产生严重的后果。因此，必须加强对计算机系统硬件设备的使用管理，坚持做好硬件设备的日常维护和保养工作。幻灯片23（1）硬件设备的使用管理严格按硬件设备的操作使用规程进行操作坚持对设备进行例行维护和保养幻灯片24常用硬件设备的维护和保养包括主机、显示器、软盘、软驱、打印机、硬盘的维护保养：网络设备如：交换机（网络层）、路由器（数据链路层）、MODEM,RJ45接头（水晶头）、网络线缆等的维护保养；还要定期检查供电系统的各种保护装置及地线是否正常。幻灯片25.信息存储媒体的安全管理计算机网络系统的信息要存储在某种媒体上，常用的存储媒体有：硬盘、磁盘、磁带、打印纸、光盘等，要作好对他们的安全管理。幻灯片263.4电源系统安全1.国内外关于电源的相关标准电源系统电压的波动、浪涌电流和突然断电等意外情况的发生还可能引起计算机系统存储信息的丢失、存储设备的损坏等情况的发生，电源系统的安全是计算机网络系统物理安全的一个重要组成部分。国内外关于电源的相关标准主要有：幻灯片27直流电源的相关标准：国际：IEC478.1—1974《直流输出稳定电源术语》：IEC478.2-1986《直流输出稳定电源额定值和性能》；IEC478.3-1989《直流输出稳定电源传导电磁干扰的基准电平和测量》：IEC478.4-1976《直流输出稳定电源除射频干扰外的试验方法》；IEC478.5-1993《直流输出稳定电源电抗性近场磁场分量的测量》。幻灯片28国内：SJ2811.1-87《通用直流稳定电源术语及定义、性能与额定值》SJ28U.2-87《通用直流稳定电源测试方法》。交流电源的相关标准：国际：国际电工委员会（IEC）于1980年颁布了IEC686-80《交流输出稳定电源》。国内：1994年，原电子工业部颁布了电子行业标准SJ/T10541—94《抗干扰型交流稳压电源通用技术条件》和SJ/T10542-94《抗干扰型交流稳压电源测试方法》。幻灯片29机房供电：

国标GB2887—2000和GB9361—88中也对机房安全供电做了明确的要求。国标GB2887一2000将供电方式分为了3类一类供电：需建立不间断供电系统。二类供电：需建立带备用的供电系统。三类供电：按一般用户供电考虑。幻灯片30UPS不间断电源幻灯片313.5计算机硬件的检测与维修.硬件故障的检测步骤及原则检测的基本步骤：检测的基本步骤通常是由大到小、由粗到细。检测的原则：(1)先静后动 (2)先外后内(3)先电源后负载 (4)先简单后复杂(5)先辅后主计算机的检测维修方法很多，因设备的不同、组件的不同，各自有不同的特点，对以上原则应灵活运用，当故障原因较为复杂时，要综合考虑。幻灯片32.硬件故障的诊断和排除要排除硬件故障，最主要的是要设法找到产生故障的原因。一旦找到原因，排除故障就很容易了。下面介绍一些寻找故障原因常用的方法：（1）清洁法（时间久）（2）直接观察法（3）拔插法（接触不良）（4）交换法（5）振动敲击法（6）降温升温法（7）程序测试法总之，为了排除故障，首先要设法查出产生故障的原因。，最主要的是要掌握故障诊断的方法，多参加实际工作，而且应从一些简单的检查方法入手，逐步运用复杂的方法进行检查。幻灯片332.5小结物理安全在整个计算机网络信息系统安全体系中占有重要地位，也是其他安全措施得以实施并发挥正常作用的基础和前提条件。本章主要讨论了机房安全技术、通信线路安全技术、计算机网络设备安全技术和电源系统安全技术等。幻灯片34本章到此结束，谢谢！幻灯片35补充材料机房安全技术标准与机房安全相关的国家标准主要有：GB/T2887-2000：《计算机场地通用规范》国家标准；GB50174-93：《电子计算机机房设计规范》国家标准；GB9361-88：《计算站场地安全要求》。幻灯片36计算机机房建设应遵循国标GB/T2887—2000《计算机场地通用规范》和GB9361-88《计算站场地安全要求》，满足防火、防磁、防水、防盗、防电击、防虫害等要求，并配备相应的设备。幻灯片37二.湿度可通俗地理解为空气的潮湿程度.它有绝对湿度和相对湿度之分..绝对湿度：空气中水蒸气的压强p叫做空气的绝对湿度.空气的湿度可以用空气中所含水蒸汽的密度，即单位体积的空气中所含水蒸汽的质量来表示.由于直接测量空气中水蒸气的密度比较困难，而水蒸气的压强随水蒸气密度的增大而增大，所以通常用空气中水蒸气的压强来表示空气的湿度，这就是空气的绝对湿度.幻灯片382.相对湿度(1)概念的引入：为了表示空气中水蒸气离饱和状态的远近而引入相对湿度的概念.(2)相对湿度B：某温度时空气的绝对湿度p跟同一温度下水的饱和汽压ps的百分比叫做这时空气的相对湿度①不同温度下水的饱和汽压可以查表得到②在绝对湿度p不变而降低温度时，由于水的饱和汽压减小而使空气的相对湿度增大.第四章防火墙一、防火墙基本知识二、防火墙种类三、典型防火墙介绍幻灯片2一、防火墙基本知识1、防火墙的提出2、防火墙示意图3、防火墙概念4、防火墙功能5、争议及不足幻灯片31、防火墙的提出问题：如何把内部网与互联网的有效隔离，防止外部网络的威胁与入侵。解答：防火墙FIREWALL1.企业内网幻灯片53、防火墙概念RichKosinski(科辛斯基，InternetSecurity公司总裁)：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对该机构信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。幻灯片64、防火墙功能过滤进出网络的数据管理进出网络的访问行为记录进出网络的信息和活动对■网络攻击进行检测和告警幻灯片75、争议及不足•对用户不完全透明，可能带来传输延迟、网络阻塞等问题•不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接不能防范全新的威胁幻灯片8二、防火墙种类1、防火墙的种类2、包过滤防火墙3、代理服务防火墙4、状态检查防火墙幻灯片91、防火墙的种类防火墙的存在形式：软件(基于通用的操作系统)、硬件(基于专门的硬件)。根据具体的实现技术可分为三类：包过滤代理服务状态检查幻灯片102、包过滤防火墙数据包过滤(PacketFiltering)技术在网络层对数据包进行过滤，过滤的依据是系统内设置的,即访问控制表(AccessControlList,ACL)幻灯片112、包过滤防火墙包过滤防火墙并不是检查数据包的所有内容,它只检查数据包的包头信息以便确定其是否与访问控制表匹配，对所接收的每个数据包做允许拒绝的决定。如果匹配转发，不匹配丢弃。包头信息中包括IP源地址、IP目标端地址、包的协议类型以及源端口与目的端口等。过滤系统是一台路由器或是一台主机幻灯片122、包过滤防火墙优点：速度快，性能高对用户透明应用层网络层数据链路层物理层应用层表不层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层互连的物理介质缺点：维护比较困难（需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不能阻止来自应用层的攻击幻灯片133、代理服务防火墙代理防火墙（Proxy）是一种较新型的防火墙技术，工作在应用层，也被称为应用层网关。代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合要求，如果允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。幻灯片143、代理服务防火墙真实的客户端•代理的工作方式幻灯片153、代理服务防火墙优点：防火墙可以被配置成唯一的可被外部看见的机，这样可以保护内部主机免受外部主机的进攻。支持可靠的用户认证。代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。幻灯片163、代理服务器（4）应用层代理的缺点应用层代理的最大缺点是对用户不透明。代理会导致访问速度慢。并不万能。幻灯片174、状态检查防火墙（1）状态检测防火墙采用的是一种基于连接（可简单理解成通道）的技术，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，来决定数据流的通过还是拒绝。其工作流程如图所示幻灯片184、状态检查防火墙（2）数据包 抛弃通过幻灯片19状态检测防火墙工作原理当数据包到达防火墙时，如果检测到这是•个发起连接的初始数据包（山SYN标志）,防火墙先将这个数据包和规则表里的规则依次进行比较，如果在检查了所有的规则后，如果不匹配，该包被丢弃；如果匹配通过了这个数据连接请求，那么本次会话被记录到状态监测表里，通常这条会话包括此连接的源IP地址、目标IP地址、源端口、目标端口、连接时间等信息。幻灯片20如果检测到没有SYN标志的数据包，防火墙就和该状态监测表的内容进行比较。如果会话是在状态表内，而且该数据包是会话的一部分，该数据包被接受。当状态监测模块检测到一个FIN（连接终止）或一个RST（连接复位）包的时候，这个状态检测表项将会被删除，连接被关闭，此次会话结束。幻灯片214、状态检查防火墙（3）状态检测的优缺点优点：安全性高。状态检测防火墙能够截取和检查所有通过网络的原始数据包。效率高。另外只有在SYN数据包到来时才和规则表比较，因此一旦某个连接建立起来,就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。缺点：一定程度上也会降低网络速度配置比较复杂幻灯片22三、典型防火墙介绍Windows防火墙1、防火墙报警2、防火墙的关闭和启用3、配置例外项目幻灯片231.防火墙报警保持阻止：下次启动该程序，还会弹出解除阻止：将该程序设为例外的程序或端口，下次不会弹出幻灯片242、防火墙的关闭和启用•点击“控制面板”的“安全中心”幻灯片253、配置例外项目（启用状态）幻灯片26• 硬件：东软、华为、网康等幻灯片27Thankyou!J 根据站点的安全策 4略来决定是否转发数据包. .(\InternetJ 包过滤路由器.一内部网络，•市场上各种软硬件防火墙：•软件：瑞星防火墙、天网防火墙、江民个人防火墙、风云防火墙等第五章打造安全的操作系统•内容提要：5.1RegistryWorkshop5.2注册表安全设置5.3组策略安全设置幻灯片2registryworkshopRegistryWorkshop是一款高级的注册表编辑工具，能够完全替代Windows系统自带的RegEdit注册表编辑器。除了注册表编辑器应有的基本功能外，RegistryWorkshop提供了很多功能来提高管理注册表的效率。例如，剪切、复制和粘贴注册表项和值，撤销和重做编辑操作，快速搜索替换注册表内容，等等。幻灯片35.2注册表安全设置5.2.1禁止危险的启动项删除某些危险的启动项禁止添加启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services将Everyone对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。幻灯片45.2.2禁止更改开始菜单路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer在右侧窗口新建DWORD值项：NoChangeStartMenu,将数值项设为15.2.3禁用自动记录密码在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies”分支中找到network子项（如果没有可自行添加），在该子项下建立一个新的双字节值，名称为disablepasswordcaching,设为1.幻灯片55.2.4禁用控制面板（作业）幻灯片65.3组策略安全设置组策略（GroupPolicy）是系统为管理员