大学计算机基础：第5章 信息安全技术基础

1/56信息传递信息窃取加密技术信息冒充认证技术信息篡改完整性技术信息抵赖数字签名信息安全技术基础计算机病毒防火墙技术2/56本章简介计算机网络信息安全数字证书数字签名计算机病毒及其防治网络道德与社会责任信息加密防火墙技术简介3/565.1计算机网络信息安全AsiaAfricaAmericaEuropeOceania

计算机网络安全从本质上讲就是计算机网络系统资源的安全。从保护的角度看，就是防止计算机网络系统资源受到自然和人为因素的威胁和危害。

4/565.1.1网络安全面临的威胁

网络

计算机网络实体

计算机网络系统

网络管理漏洞内、外部泄露计算机病毒

网络黑客即指网络中的硬件设备人为设计的计算机程序通过获取密码,操作权限等手段非法进入他人计算机者分布广阔,安全漏洞多,相关法规不完善5/565.1.2网络受攻击方式1.窃取信息用户A黑客远程服务器发送请求从现实生活中或从请求信号中获取用户帐号密码以用户A身份登陆

A非授权访问

B电磁/射频截获

C攫取主机或网络信任6/56网络受攻击方式2.虚假信息(重传)用户A黑客服务器发送请求请求回应获取回应内容再次发送回应内容(重传)7/56用户A黑客服务器网络受攻击方式2.虚假信息(伪造)你好，我是你的服务器，需要你提供帐户和密码好的，我打开看看8/56网络受攻击方式2.虚假信息(篡改)用户A黑客服务器发送请求截取请求响应篡改发送9/56网络受攻击方式2.虚假信息(拒绝服务)用户A黑客服务器攻击服务器,阻止合法用户通信今天真忙10/563.恶意代码

①

恶意代码

②

刺探性代码4.干扰通信

发射干扰信号，使通信系统产生混乱，无法正常传输信息。网络受攻击方式

攻击者将恶意代码植入下载的文件或邮件中，当用户打开此类文件或邮件时，恶意代码将破坏或修改文件。例如，ActiveX和word宏病毒等。

利用网络系统安全的脆弱性，通过病毒或黑客工具刺探系统管理员账号和密码，获取高级管理权限。11/565.1.3网络安全措施

网络安全措施必须从技术和管理两个方面入手。技术方面提供比较完善的设备和安全控制方法；管理方面加强网络与信息安全方面的立法和教育。1.网络安全技术

网络安全技术：需要计算机网络、数据加密、密码和认证等多学科综合技术的支持。12/562.网络安全法规

仅靠技术远远不够,必须有比较完善的法律法规进行约束，加强网络安全意识教育。

3.网络安全标准

国际信息安全组织将计算机系统的安全性从高到低划分为A、B、C和D共4个等级。

DOS和Windows3.x/95等系统属于D级，即最不安全。WindowsNT/2000/XP、UNIX和Netware等系统属于C级，一些专用操作系统可能会达到B或A级。13/56

数字证书又称数字身份证，是包含持有者、相关信息的一种电子信息，用于证明持有者的真实身份，主要作为文件加密和数字签名的附加信息。

1．创建与删除数字证书

用户可以向商业认证授权机构或主管部门申请数字证书，也可以自己创建数字证书。

5.2数字证书14/56

①创建“

”

数字证书在Windows中，运行文件加密功能后，系统自动为当前用户颁发个人数字证书。例如：Administrator数字证书

创建数字证书

加密文件系统15/56

②创建“代码签名”数字证书单击“开始”菜单→“程序”→“Microsoft

Office”→“MicrosoftOffice工具”→“VBA项目的数字证书”，在“创建数字证书”对话框中输入证书名称：如“自建数字证书A”），最后单击“确定”按钮，便产生一个数字证书。此种证书主要用于数字签名。创建数字证书

代码签名16/56

③删除数字证书

从数字证书的右击菜单中选择“删除”，在提问的对话框中，单击“是”按钮即可。

2．安装和查看数字证书

①打开“证书”窗口单击“开始”菜单的“运行”，在“运行”对话框中执行：Certmgr.msc

命令，在“证书”窗口中选定“个人”选项中的“证书”文件夹，在右窗格中显示数字证书的相关信息。

17/56

②查看数字证书内容

双击右窗格中的数字证书，弹出证书窗口，选择详细信息选项卡，可看到数字证书的详细信息。在数据证书中，并不包含用于解密的私钥。

③安装数字证书新颁发的数字证书不受信任，要使其受信任，需要安装到“受信任的根证书颁发机构”的“证书”文件夹中。

查看

安装方法：先从右窗格数字证书的右键菜单中选择“复制”，再从“受信任的根证书颁发机构”中“证书”的右键菜单中选择“粘贴”，在“安全警告”对话框中单击“是”按钮即可。安装18/56

3.数字证书的导入/导出

每个数字证书中的信息不同，删除一个数字证书后，将导致永远无法打开由此数据证书加密的文件，即使重建同名的数据证书也是如此。因此，需要备份数据证书和私钥。

①导出数据证书和私钥

②导入数据证书和私钥

从右窗格数字证书的右键菜单中选择“所有任务”→“导出”，按向导提示可以导出私钥和数字证书。

从左窗格“个人”选项的“证书”右键菜单中选择“所有任务”→“导入”，按“导入”向导输入或选择证书文件名（PFX）即可。

信息安全技术主要由信息加密、用户认证和数字签名技术构成。它是实现信息的保密性、认证性和完整性功能的基础。信息加密技术是信息安全的基石，以较小的代价，对信息提供一种强有力的安全保护措施。加密技术已成为身份认证、数字签名和访问控制等安全机制的基础。5.3信息加密20/56

5.3.1基本概念

加密技术基本思想是伪装信息，使非法介入者无法读懂信息真正含义。所谓伪装就是对信息进行一组可逆的数字变换。发送者网络接收者加密算法Ke解密算法Kd密文21/561、常用术语⑴明文：加密前的信息。⑵密文：通过加密算法处理后的信息。⑶加密：将明文变成密文的过程。⑷解密：将密文恢复为明文的过程。⑸密钥：控制加密、解密过程的字符串。⑹加密算法：在加密密钥的控制下，对明文进行加密的一组数学变换。⑺解密算法：在解密密钥的控制下，对密文进行解密的一组数学变换。22/562.加密的作用加密的作用是增强信息的保密性和真实性。⑴明文的保密性：在密文存储或传输过程中，只有在解密的密钥控制下才能获得明文。

⑵密文的真实性：在无加密的密钥情况下，对伪造或篡改的明文无法加密成密文，使密文真实可靠。23/56

加密的作用

一个加密的例子:

HELLOJGNNQK=2

加密意味着发送者将信息从最初的格式改变为另一种格式，将最终不可阅读的消息通过网络发送出去。只有授权的接收者可以通过逆变换恢复出明文。密钥k24/56

5.3.2加密算法HK=2J伪装前伪装伪装后明文加密算法密文解密K=2若加密解密时密钥(K)相同，则称为对称密钥体系Y=x+k主要有对称密钥和非对称密钥两种加密算法

若加密解密时密钥(K)不同，则称为对非对称密钥体系25/56

1.对称密钥算法

加密和解密具有相同的密钥，需要对通信双方公开密钥。算法：密钥－<字符ASCII码>；密钥：127

加密COMPUTER→<02/*+:-解密<02/*+:-→COMPUTER对称密钥算法的保密性取决于密钥的安全性。26/56

2.非对称密钥算法

加密与解密具有不同密钥,一个密钥对通信双方公开，简称公钥；另一个密钥对通信对方保密，简称私钥。通常将加密密钥公开,解密密钥保密。

发送者A网络接收者BEKeBDKdB密文B的加密密钥B的解密密钥27/565.3.3Windows的文件加密

在Windows操作系统中，可以用文件加密功能对NTFS文件系统中的文件进行加密。

1.

文件的加密方法从文件/文件夹的右击菜单中选择“属性”，在“属性”对话框的“常规”选项卡中单击“高级”按钮，在“高级属性”对话框中选定“加密内容以便保护数据”，最后单击“确定”按钮即可。28/562.加密文件/文件夹的表现形式系统用特殊的颜色（默认淡绿色）显示加密后的文件/文件夹名。其他用户或更换了加密数字证书的原用户，无权访问加密的文件。

3.文件的解密方法

解密的操作步骤与加密基本相同，只需要在“高级属性”对话框中取消“加密内容以便保护数据”复选框，最后单击“确定”按钮即可。29/56

数字签名是为被签名信息附加的、基于数字证书并加密的安全验证的数字戳。数字签名的结果不仅与数字证书有关，也与被签名的信息有关。在Windows中,需要在相关软件的控制下对信息（文件）进行数字签名。

例：WinWord中可以对DOC文件数字签名。

5.4数字签名30/56

⑴身份认证：用于验证最后签署文件人的身份（数字证书），也可查明文件的来源，避免产生抵赖问题。⑵防止篡改：数字签名与数字证书和被签名的信息都有关联，信息修改前后的数字签名结果不同，即使信息被篡改过，也无法模仿数字签名。1.数字签名的作用31/56公证数字签名发送者公证者接收者签名消息验证接收签名,完全信任32/562．验证数字签名的系统文件

Windows提供的系统文件和设备驱动程序都已由微软公司数字签名。通过Windows的“文件签名验证”工具，可以查看未经微软公司数字签名的系统文件。

验证系统文件签名的方法：单击“开始”菜单中的“运行”，在“运行”对话框中，键入Sigverif命令，在“文件签名验证”窗口中单击“开始”按钮，将看到未经微软公司数字签名的系统文件名。33/56

⑴数字签名的方法：在文档的编辑窗口，单击“工具”菜单→“选项”→“安全性”选项卡，单击“数字签名”按钮，在“数字签名”对话框中，单击“添加”按钮，选择可用的数字证书，单击“确定”按钮，即实现文档的数字签名。

⑵数字签名的文档：数字签名后的文档，其文件长度有所增加，这是因为在文档中添加了数字签名信息（如数字证书）。3．Office文档的数字签名34/565.5计算机病毒及其防范

随着计算机和网络技术的快速发展，计算机病毒也迅速传播和蔓延，对计算机系统运行带来威胁和破坏。为了保证计算机系统的正常运行和信息安全，防止病毒破坏，掌握计算机病毒的防治手段和方法将成为每个用户的必修课程。

35/565.5.1计算机病毒的特性

⑴传染性：程序之间、计算机之间，网络之间。⑵潜伏性：潜伏期传染，时机成熟发作。

⑶破坏性：屏幕异常，速度变慢，系统瘫痪。⑷不可预见性：计算机病毒的制作速度更加迅速，全球每天在数以百计地产生新病毒。36/565.5.2计算机病毒的分类1.按产生的后果分类

⑴

良性病毒

⑵

恶性病毒2.按寄生方式分类

⑴

引导型病毒

⑵

文件型病毒

⑶

复合型病毒

一般不破坏数据，如小球病毒具有较强破坏性，如CIH病毒等病毒出现在系统引导阶段，系统启动时执行病毒程序是一种专门传染文件的病毒，通常寄生在可执行文件尾部寄生于可执行文件和系统引导区中。37/563.按传播途径分类

⑴存储器传播

⑵

网络传播

38/56

5.5.3计算机病毒的防范

1．病毒的常见症状1)

屏幕上出现不正常的问候语、雪花或闪烁等。2)

系统运行速度明显变慢，经常出现死机现象等。3)

外部设备（如键盘、鼠标等）突然不能正常工作。4)

系统无法识别磁盘，空间变少，磁盘灯繁闪等。5)

文件大小突变，变为隐含文件，改变文件类型等。6)

机器蜂鸣器发生不正常的尖叫、长鸣或乐曲等。39/56

2.病毒的防范措施

1)

安装防火墙，监视和检测系统运行状况，阻止病毒流入系统。

2)

安装自动更新查杀病毒软件。

3)

及时安装操作系统的补丁程序。

4)

拒绝接收来路不明的电子邮件。

5)

对光盘、U盘和移动硬盘要先检测，后使用。

6)

对软件或数据要定期地备份。

7)

发现系统运行异常时，应及时检测和清毒。

40/565.6防火墙技术简介

对两个网络之间的通信进行控制

防火墙是网络之间执行访问控制规则，保护网络系统不受潜在破坏性访问侵扰的软件和硬件系统，是一种过滤（允许或禁止）网络通信的安全屏障，也称安全网关。

41/565.6.1Windows防火墙Windows防火墙是Windows内置的、基于主机状态检测的防火墙，主要阻止所有未授权的程序、服务和用户访问计算机资源。1.

启用Windows防火墙单击“开始”菜单的“设置”→“控制面板”，在“控制面板”窗口中，双击“Windows防火墙”图标，在“常规”选项卡，选定“启用”选项，单击“确定”按钮即可。

42/562.

程序和服务的过滤规则

“服务”是系统提供的一种通信手段，如：“文件与打印机共享”“远程桌面”都是“服务”。当本机执行“例外”列表中的程序(服务)时，允许与外部进行通信，接收数据；当执行非“例外”列表中的程序，且尝试接收外部数据时，系统将弹出“Windows安全警报”对话框。用户可根据需要，单击按钮：“保持阻止”、“解除阻止”、“稍后询问”

之一完成对话。43/56

3．端口的过滤规则程序（服务）通过某个端口与其他计算机进行通信，每个端口都有一个类似于地址的号码。一个程序（服务）是否有固定的端口，由程序（服务）中应用的协议和制造商有关。在Windows防火墙中，可以通过打开端口的方式允许一类程序（服务）与外部进通信。单击“添加端口”按钮，在其对话框中，输入端口号并为之起一个容易记忆的名称，可以将端口添加到“例外”列表中。44/56

4．过滤用户的规则单击“添加程序”、“添加端口”或“编辑”按钮后，再单击“更改范围”按钮，在“更改范围”对话框中，可以对当前程序（服务）进一步设置允许通信的计算机（用户）。对话框中的用户范围为：1)任何计算机：允许网上所有用户访问。2)仅我的网络：允许内网所有用户访问。

3)自定义列表：允许列表中IP地址指定的用户访问。例如，只允许202.198.6.10主机上的用户访问。45/56

5．过滤服务的规则在“高级设置”对话框的“服务”选项卡中，可以设置允许Internet用户访问的内网服务。例如，在邮件服务器上，允许用户发送邮件，要选定Internet邮件服务器（SMTP）；对需要远程维护的计算机，应该选定Telnet服务器等。46/56

6．过滤请求的规则在“高级设置”对话框的

“ICMP”选项卡中，可以设置允许Internet用户对本机的请求。例如，在接收到用户的数据时，如果响应用户要求返回接收到数据时间的请求，则应该选定“允许传入的时间戳请求”；如果不希望内网侦听公共网络，则不要选定“允许传入的掩码请求”。47/56

7．安全日志在“高级”选项卡中，单击“安全日志记录”框中的“设置”按钮，在“日志设置”对话框中，可以设置启用Windows防火墙后要记录的内容和日志文件的名称和位置等。防火墙日志文件(pfirewall.log)是文本文件，主要内容包括：日期、时间、操作类型、协议条目、源IP地址、目的IP地址、源端口号、目的端口号和数据包大小等信息。48/565.6.2防火墙的作用1）过滤网络数据：根据各种规则允许或禁止数据通信。2）管理访问行为：限制某些程序、服务和协议的访问方式，禁止某些行为进出网络。3）记录信息：通过滤掉的数据包、接受的请求和成功的连接，为调整各种安全规则提供依据。4）报告信息：接收不符合规则要求的外部数据或发现冒险行为时，进行阻止或发出报警信息。49/56因特网网络安全广播工业金融医疗交通电力网络对国民经济的影响在加强安全漏洞危害在增大通讯控制信息对抗的威胁在增加研究安全漏洞以防之研究攻防技术以阻之安全漏洞危害在增大50/565.7网络道德规范

网络是把双刃剑沉迷网络，无心学业不良网站，毒害青少年51/56

5.7.1网络道德

网络的开放性和匿名性，人们可以在网上发表各种言论。在传播知识的同时也传播着一些反动的、迷信的或不健康的内容；带来了计算机犯罪、计算机病毒、黑客等社会问题。

网络中的法律问题，除制定相关法律法规外，还应加强网络道德建设，预防网络犯罪。网络道德教育应引起各级教育部门和相关人员的高度重视。

52/56

5.7.2