第10章计算机安全

第十章1基本要求了解信息安全与计算机安全、网络安全的联系及区别了解信息安全技术在网络信息安全中的作用了解网络信息安全的解决反感及个人网络信息安全的策略了解计算机病毒的概念、种类、主要传播途径及预防措施了解病毒防范的基本方法理解使用计算机技术时应该遵守的道德规范及应该具备的防护意识2主要内容10.1计算机病毒及其防治10.2网络安全技术10.3信息安全技术10.4网络社会责任与计算机职业道德规范310.1计算机病毒及其防治10.1.1计算机病毒基本知识10.1.2计算机病毒的防治410.1.1计算机病毒基本知识计算机病毒的定义

破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。计算机病毒代码进入内存后才能传染和破坏病毒的破坏能力不在于病毒代码的长短，取决于病毒的再生机制计算机病毒的特点破坏性传染性隐蔽性可触发性51.计算机病毒的分类传统单机病毒--病毒攻击的主要对象是单机环境下的计算机系统，一般通过软盘或光盘来传播，病毒大都寄生在文件内，这种病毒现在仍然存在并威胁着计算机系统的安全现代网络病毒--网络环境下的病毒主要通过计算机网络来传播，病毒程序一般利用了操作系统的漏洞，通过电子邮件和恶意网页浏览等方式来传播62.传统单机病毒的分类--根据病毒寄生方式的不同，分为以下四种类型引导型病毒：寄生在磁盘的引导区或硬盘的主引导扇区文件型病毒：寄生在可执行文件内的计算机病毒宏病毒：一般指寄生在文档上的宏代码混合型病毒：同时具有引导型和文件型病毒的寄生方式73.现代网络病毒的分类--根据网络病毒破坏机制的不同，分为两类：蠕虫病毒--蠕虫病毒以计算机为载体，以网络为攻击对象，利用网络的通信功能将自身不断地从一个结点发送到另一个结点，并且能够自动地启动病毒程序--消耗本机资源，浪费网络带宽，造成系统瘫痪木马病毒--一般通过电子邮件、及时通信工具和恶意网页等方式感染用户的计算机，多数都是利用了操作系统中存在的漏洞。810.1.2计算机病毒的防治计算机病毒的预防病毒防治的关键是做好预防工作计算机病毒的清除使用杀毒软件--常用的杀毒软件有金山毒霸（）瑞星杀毒软件（）诺顿防毒软件（）江民杀毒软件（http://）使用专杀工具手动清除病毒910.2网络安全技术10.2.1黑客攻防技术10.2.2防火墙技术1010.2.1黑客攻防技术网络黑客（Hacker）一般指的是计算机网络的非法入侵者大都为程序员精通计算机技术和网络技术了解系统的漏洞及其原因所在喜欢非法闯入并以此作为一种智力挑战有些黑客仅仅是为了验证自己的能力而非法闯入，并不会对信息系统或网络系统产生破坏作用，但也有很多黑客非法闯入是为了窃取机密的信息、盗用系统资源或出于报复心理而恶意毁坏某个信息系统等。111.黑客的攻击步骤及攻击方式黑客的攻击步骤信息收集通常利用相关的网络协议或实用程序来收集探测分析系统的安全弱点实施攻击黑客的攻击方式密码破解

IP嗅探（Sniffing）与欺骗(Spoofing)

系统漏洞端口扫描122.防止黑客攻击的策略

数据加密--保护系统的数据、文件、口令和控制信息等身份验证--对用户身份的正确识别与检验建立完善的访问控制策略--设置入网访问权限、网络共享资源的访问权限、目录安全等级控制审计--记录系统中和安全有关的事件,保留日志文件其他安全措施--安装具有实时检测、拦截和查找黑客攻击程序用的工具软件，做好系统的数据备份工作，及时安装系统的补丁程序1310.2.2防火墙技术1.防火墙概述防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合对内部和外部网络之间的通信进行控制通过监测和限制跨越防火墙的数据流，尽可能地对外部网络屏蔽网络内部的结构、信息和运行情况是一种行之有效的网络安全技术14防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。152.防火墙的主要类型

包过滤防火墙在网络层对数据包进行分析、选择和过滤应用代理防火墙网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该数据包是接受还是拒绝。163.包过滤防火墙在网络层对数据包进行分析、选择和过滤。174.防火墙的局限性

防火墙防外不防内防火墙很难解决内部网络人员的安全问题防火墙难于管理和配置，容易造成安全漏洞由于防火墙的管理和配置相当复杂，对防火墙管理人员的要求比较高，除非管理人员对系统的各个设备（如路由器、代理服务器、网关等）都有相当深刻的了解，否则在管理上有所疏忽是在所难免的。1810.3信息安全技术10.3.1数据加密技术10.3.2数字签名技术10.3.3数字证书1910.3.1数据加密技术

数据加密就是将被传输的数据转换成表面上杂乱无章的数据，合法的接收者通过逆变换可以恢复成原来的数据，而非法窃取者得到的是毫无意义的数据。两种加密体系对称密钥密码体系(密钥密码体系)非对称密钥密码体系(公钥密钥体系)201.数据加密技术加密技术＝加密算法＋密钥明文--没有加密的原文

密文--原文经过加密加密密钥--一串数字

加密算法--一个数学函数密文通过解密算法与解密密钥还原为明文

解密密钥加密密钥明文加密算法明文密文解密算法窃取者发送接收212.对称密钥密码体系加密密钥与解密密钥使用相同的算法明文明文发送明文明文密文接收n个用户的网络，需要n(n－1)/2个密钥223.非对称密钥密码体系明文明文其他人明文明文密文本人公共密钥PK私有密钥SK加密密钥与解密密钥使用不同的密钥2310.3.2数字签名技术概念数字签名(DigitalSignature)就是通过密码技术对电子文档形成的签名,类似现实生活中的手写签名,但它并不是手写签名的数字图像化,而是加密后得到的一串数据。目的保证发送信息的真实性和完整性，解决网络通信中双方身份的确认，防止欺骗和抵赖行为的发生。方法采用非对称加密方式，发送方用自己的私钥来加密，接收方则利用发送方的公钥来解密。241.数字签名数字签名接收方能够确认发送者的身份发送方不能抵赖接收方不能伪造报文2510.3.3数字证书概念数字证书就是包含了用户的身份信息,由权威认证中心签发,主要用于数字签名的一个数据文件,相当于一个网上身份证,能够帮助网络上各终端用户表明自己的身份和识别对方身份。数字证书的内容数字证书的作用用于实现数字签名和信息的保密传输数字证书的管理26安全问题及相应对策对来访的流量进行过滤和限制未经授权擅自访问冒名发送数据或发送后抵赖数据被泄露或篡改加密数据以防非法读取或篡改对称加密非对称加密对信息的发送者进行身份验证数字签名身份认证2710.4网络社会责任

与计算机职业道德规范10.4.1网络道德建设10.4.2国家有关计算机安全的法律法规和软件知识