第四章信息系统安全与职业道德

第四章信息系统安全与职业道德第一页，共七十四页，编辑于2023年，星期五主要内容4.1信息系统安全知识4.2计算机病毒及防治技术4.3信息安全技术4.4信息系统安全规划及管理4.5网络道德和软件知识产权2第二页，共七十四页，编辑于2023年，星期五4.1信息系统安全概述4.1.1什么是信息安全4.1.2安全威胁3第三页，共七十四页，编辑于2023年，星期五4.1.1什么是信息安全信息安全：指对信息资源实施保护，以防止其未经授权的泄漏、修改、破坏，而不管这种行为是偶然的还是故意的。表现形式及要求：随信息应用的主体、环境和要求的不同而不同。目的：对信息资源实施全面管理和控制，保证信息在存取、处理和传输过程中的机密性、完整性和可用性。4第四页，共七十四页，编辑于2023年，星期五4.1.1什么是信息安全体现在８个层面：信息安全理念、信息安全观点、信息安全机制、物理安全、运行安全、数据安全、内容安全、信息对抗 安全是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。5第五页，共七十四页，编辑于2023年，星期五4.1.2安全威胁来源：各种失误、出错、病毒、攻击以及软件和硬件设计的后门。威胁种类：6第六页，共七十四页，编辑于2023年，星期五4.2计算机病毒及防治技术一、概述1.计算机病毒概述2.计算机病毒的分类3.病毒实例分析4.计算机病毒的检测5.计算机病毒的防范6.计算机病毒的发展趋势二、网络黑客及防范7第七页，共七十四页，编辑于2023年，星期五概述定义：一段计算机程序代码，被嵌入在正常的计算机程序中，能破坏计算机功能，影响计算机正常使用，通常能自我复制。特征：隐蔽性、传染性、潜伏性、破坏性以及可触发运行性。危害：对数据信息的直接破坏、占用磁盘空间、抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒给用户造成严重的心理压力等。8第八页，共七十四页，编辑于2023年，星期五计算机病毒的分类按病毒的传染方式分：引导型病毒文件型病毒复合型病毒9第九页，共七十四页，编辑于2023年，星期五计算机病毒的分类按病毒的连接方式分：源码型病毒：攻击高级语言编写的源程序，源程序中插入病毒程序，随源程序一起编译、链接成可执行文件，此可执行文件已感染病毒。入侵型病毒：用自身代替正常程序中的部分模块或堆栈区，攻击特定程序，针对性强，难以发现、清除。操作系统型病毒：用其自身部分加入或替代操作系统的部分功能。外壳型病毒：将自身附在正常程序的开头或结尾，相当于给程序加了个外壳。10第十页，共七十四页，编辑于2023年，星期五引导型病毒定义：指寄生在磁盘引导区或主引导区的计算机病毒。危害：利用系统引导时不对主引导区内容的正确性进行判别的缺点，在引导系统的过程中侵入系统，驻留内存，监视系统运行，伺机传染和破坏。典型病毒：如大麻病毒、小球病毒等执行框图11第十一页，共七十四页，编辑于2023年，星期五引导型病毒执行框图

系统启动

引导程序

病毒跳转到内存并获得系统控制权

符合条件?

激活病毒

传染或破坏

驻留等待

执行正常的系统引导

Y

N

12第十二页，共七十四页，编辑于2023年，星期五文件型病毒定义：指能够寄生在文件中的计算机病毒。危害：感染可执行文件或数据文件。当这些文件被执行时，病毒程序也跟着被执行。典型病毒：如宏病毒。执行框图13第十三页，共七十四页，编辑于2023年，星期五文件型病毒执行框图系统启动

运行.COM，.EXE文件

病毒随文件到内存并获得系统控制权

符合条件?

激活病毒

传染或破坏

驻留等待

文件正常执行

Y

N

14第十四页，共七十四页，编辑于2023年，星期五复合型病毒定义：具有引导型病毒和文件型病毒的特性。危害：扩大了病毒程序的传染途径，既感染磁盘的引导记录，又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时，病毒都会被激活，具有相当程度的传染力，一旦发作，后果十分严重。典型病毒：如Flip病毒、新世纪病毒等。15第十五页，共七十四页，编辑于2023年，星期五病毒实例分析1、CIH病毒2、宏病毒3、网络病毒16第十六页，共七十四页，编辑于2023年，星期五CIH病毒特点：一种文件型病毒，感染Windows95/98环境下PE格式的EXE文件。主要危害：病毒发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原内容会被彻底破坏，主机无法启动。17第十七页，共七十四页，编辑于2023年，星期五宏病毒 利用软件所支持的宏命令编写成的具有复制、传染能力的宏，是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在MacintoshSystem7

Windows、Windows9X、NT/2000和OS/2等操作系统上执行。18第十八页，共七十四页，编辑于2023年，星期五网络病毒 专指在网络上传播、并对网络进行破坏的病毒；也指HTML病毒、E-mail病毒、Java病毒以及与因特网有关的病毒等。19第十九页，共七十四页，编辑于2023年，星期五计算机病毒的检测异常情况判断计算机病毒的检测手段特征代码法校验和法行为监测法20第二十页，共七十四页，编辑于2023年，星期五特征代码法检测已知病毒的最简单、开销最小的方法。实现步骤：采集已知病毒样本在病毒样本中，抽取特征代码打开被检测文件，在文件中搜索病毒特征代码。缺点：速度慢，误报警率低，不能检查多形性病毒，并且不能对付隐蔽性病毒。21第二十一页，共七十四页，编辑于2023年，星期五校验和法对正常文件的内容计算校验和，并将结果写入文件中。使用时，定期对文件当前内容的校验和进行计算，与保存的原值比较，查看是否一致，以发现文件是否被感染。优点：方法简单，能发现文件的细微变化，能发现未知病毒；缺点：会误报警，不能识别病毒名称，不能对付隐蔽型病毒。22第二十二页，共七十四页，编辑于2023年，星期五行为监测法监测是否有程序试图改变计算机系统中的一些关键数据。优点：能发现未知病毒，可相当准确地预报未知的多数病毒；缺点：可能误报警，不能识别病毒名称，同时实现时有一定难度。23第二十三页，共七十四页，编辑于2023年，星期五计算机病毒的防范防范计算机病毒采用有效的技术策略电子邮件病毒的防治

不要轻易打开来信中的附件文件防范计算机病毒的几种方法

常用软件查杀病毒

24第二十四页，共七十四页，编辑于2023年，星期五计算机病毒的发展趋势1.计算机病毒呈现的新特性 利用微软操作系统漏洞主动传播；2.计算机病毒发展的趋势 与Internet和Intranet紧密地结合，利用一切可以利用的方式进行传播；25第二十五页，共七十四页，编辑于2023年，星期五4.2.2网络黑客及防范定义：网络黑客是指掌握相当高的网络技术的一群网络“罪犯”。危害：篡改网页，使网站崩溃，诱骗合法用户的机密信息。1.网络黑客常见的攻击步骤2.网络主要攻击3.网络主要防范举例26第二十六页，共七十四页，编辑于2023年，星期五网络黑客常见的攻击步骤攻击前奏：锁定目标、了解目标的网络结构、收集系统信息实施攻击巩固控制继续深入27第二十七页，共七十四页，编辑于2023年，星期五网络主要攻击木马攻击，防范：通过防火墙采用适当的规则并及时查杀入侵木马。IP地址欺骗攻击；恶意流量攻击；简单DoS攻击(拒绝服务)联合DoS攻击DDoS攻击28第二十八页，共七十四页，编辑于2023年，星期五网络主要防范举例IP地址过滤;MAC地址过滤;HTTP过滤FTP过滤模块SMTP/POP3过滤29第二十九页，共七十四页，编辑于2023年，星期五4.3信息安全技术4.3.1防火墙技术4.3.2

入侵检测技术（新的信息安全技术）4.3.3数据加密技术4.3.4数字签名30第三十页，共七十四页，编辑于2023年，星期五4.3.1防火墙技术1.概念2.防火墙的主要体系结构3.防火墙的技术分类4.如何选择防火墙5.防火墙的维护31第三十一页，共七十四页，编辑于2023年，星期五防火墙的概念定义：防止网络外部的恶意攻击对网络内部造成不良影响而设置的安全防护设施。防火墙是一种访问控制技术，是在某个机构的网络和不安全的网络之间设置的一组组件（软件或硬件设备的组合）。作用：对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，保护系统安全。32第三十二页，共七十四页，编辑于2023年，星期五防火墙的概念性质：1、只允许本地安全策略授权的通信信息通过。2、双向通信信息必须通过防火墙，控制信息的流通，但会增大网络管理开销，减慢了信息传递速率。示意图33第三十三页，共七十四页，编辑于2023年，星期五防火墙示意图34第三十四页，共七十四页，编辑于2023年，星期五防火墙的主要体系结构双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构35第三十五页，共七十四页，编辑于2023年，星期五双重宿主主机体系结构一种拥有两个或多个连接到不同网络上的网络接口的防火墙。组成：一台装有两块或多块网卡的堡垒主机做防火墙，每块网卡各自与受保护网和外部网相连。体系结构示意图特点：禁止主机的路由功能，两个网络之间的通信通过应用代理服务来完成。缺点：黑客侵入堡垒主机并使其具有路由功能时，防火墙失效。36第三十六页，共七十四页，编辑于2023年，星期五双重宿主机体系结构示意图37第三十七页，共七十四页，编辑于2023年，星期五屏蔽主机体系结构组成：由防火墙和内部网络的堡垒主机组成。体系结构示意图特点：堡垒主机安装在内网上，在路由器上设立过滤规则，并使堡垒主机成为外网唯一可直接到达的主机，保证了内网不被未经授权的外部用户的攻击。38第三十八页，共七十四页，编辑于2023年，星期五屏蔽主机体系结构示意图39第三十九页，共七十四页，编辑于2023年，星期五屏蔽子网体系结构组成：两个包过滤器和一个堡垒主机，在内外网间建立了一个被隔离的子网，称作周边网络。体系结构示意图特点：内外网均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。这样，即使入侵者控制了堡垒主机，内网仍受到内部包过滤路由器的保护。40第四十页，共七十四页，编辑于2023年，星期五屏蔽子网体系结构示意图41第四十一页，共七十四页，编辑于2023年，星期五防火墙的技术分类根据防范方式和侧重点的不同可分以下三类：1.包过滤防火墙2.状态监测防火墙3.代理服务器42第四十二页，共七十四页，编辑于2023年，星期五包过滤防火墙数据包过滤是一个网络安全保护机制，它对进出网络的信息进行分析，按安全策略对进出内网的信息进行限制，过滤规则是以所收到的数据包头信息为基础。检查内容优点：速度快，性能高，对应用程序透明。缺点：安全性低，不能根据状态信息进行控制，不能处理网络层以上的信息，维护不直观。43第四十三页，共七十四页，编辑于2023年，星期五状态监测防火墙主要部件：监测引擎，即一个在网关上执行网络安全策略的软件模块，它采用抽取有关数据的方法对网络通信的各层实施监测，提取状态信息，并动态保存作为以后执行安全策略的参考。当请求访问网关时，状态监视器抽取有关数据进行分析，结合网络配置和安全规定作出处理动作。优点：拒绝违反安全规定的访问，报告有关状态作日志记录；缺点：降低了网络速度，配置复杂。44第四十四页，共七十四页，编辑于2023年，星期五代理服务器代理服务是运行在防火墙主机上的专门应用程序或者服务器程序，它把跨越防火墙的网络通信分开。外部计算机的网络链路只到代理服务器，从而隔离防火墙内外计算机系统。组成：代理服务器和代理客户。代理服务器运行在防火墙上，代理客户运行在客户机上。分类：应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。回路级代理能对各种不同的协议提供服务。45第四十五页，共七十四页，编辑于2023年，星期五代理服务器优点：有相对较高的安全性、可以实现访问的身份认证、可以在应用层控制服务的等级权限；缺点：性能较差，速度慢，每种访问服务需要单独的代理服务器，用户不透明。46第四十六页，共七十四页，编辑于2023年，星期五如何选择防火墙设计原则：考虑费用、资源可用、符合习惯、合法，以保证现代信息安全。具体：总拥有成本防火墙本身是安全的可扩充性防火墙的安全性能47第四十七页，共七十四页，编辑于2023年，星期五防火墙的维护四个部分：防火墙的备份；制定相应的应急措施；定期检查Syslog；日志文件保持防火墙的随时技术更新。48第四十八页，共七十四页，编辑于2023年，星期五4.3.2入侵检测（IntrusionDetection）技术入侵检测：是保障网络系统安全的关键部件，它通过监视受保护系统的状态和活动，采用误用检测或异常检测方式，发现入侵行为。入侵检测系统：执行入侵检测任务的软硬件，通过实时分析，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监控与安全有关的活动。49第四十九页，共七十四页，编辑于2023年，星期五4.3.2入侵检测（IntrusionDetection）技术需要解决的问题：如何充分并可靠地提取描述行为特征的数据；如何根据特征数据，高效并准确地判定行为的性质。入侵检测概述入侵检测原理系统结构系统分类50第五十页，共七十四页，编辑于2023年，星期五入侵检测概述1980年，首次提出了入侵检测的概念。1987年提出了入侵检测系统(IDS)的抽象模型，首次提出了入侵检测可作为一种计算机系统安全防御措施的概念。1994年，建议使用自治代理提高IDS的可伸缩性、可维护性、效率和容错性。1996年提出，GrIDS的设计和实现，方便地检测大规模自动或协同方式的网络攻击。51第五十一页，共七十四页，编辑于2023年，星期五入侵检测概述近年来的主要创新有：将免疫学原理运用于分布式入侵检测领域；1998年将信息检索技术引进入侵检测；采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。52第五十二页，共七十四页，编辑于2023年，星期五入侵检测原理用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。原理：通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。原理框图：53第五十三页，共七十四页，编辑于2023年，星期五入侵检测原理框图54第五十四页，共七十四页，编辑于2023年，星期五入侵检测系统结构从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。入侵检测以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。55第五十五页，共七十四页，编辑于2023年，星期五入侵检测系统分类基于数据源分基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统。基于检测理论的分为异常检测和误用检测。异常检测：指根据使用者的行为或资源使用状况的正常程度来判断是否入侵；误用检测：指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。基于检测时效的分为实时在线检测方式及定时对处理原始数据进行离线检测等。56第五十六页，共七十四页，编辑于2023年，星期五4.3.3数据加密技术数据加密技术：发送方对数据进行加密，合法用户通过解密处理，将加密数据还原为原始数据所使用的方法。组成：明文、密文、加密算法和密钥。明文：原文数据（或原始数据）；密文：加密伪装后的数据；加密算法：加密所采取的变换方法；密钥：用于控制数据加密、解密过程的字符串。分类：对称式加密法和非对称式加密法。57第五十七页，共七十四页，编辑于2023年，星期五1.对称式加密法也称为单钥或常规密码技术。特点：加密和解密使用同一密钥。优点：安全性高，加密速度快。缺点：密钥难管理，同时在网络上无法解决消息确认和自动检测密钥泄密的问题。系统模型应用实例： 恺撒（Caesar）密码加密58第五十八页，共七十四页，编辑于2023年，星期五对称密码系统模型发送者加密器信道消息M密文C解密器接收者消息M分析者密文C安全信道密钥K密钥K其中：M表示明文，C表示密文，K表示密钥。59第五十九页，共七十四页，编辑于2023年，星期五2.非对称式加密法也称公钥密码加密法。特点：采用两个密钥将加密和解密分开，配对使用有效。公钥(PublicKey)：公开密钥，作为加密密钥私钥(PrivateKey)：用户专用，作为解密密钥。方法：公钥加密，私钥解密，实现多个用户加密的消息由一个用户解读，用于保密通信；私钥加密，公钥解密，实现一个用户加密的消息由多个用户解读，用于数字签名。60第六十页，共七十四页，编辑于2023年，星期五2.非对称式加密法系统模型应用实例： RSA公开密钥密码算法61第六十一页，共七十四页，编辑于2023年，星期五非对称式加密法模型表示小李的公钥，表示小李的私钥

小李小张62第六十二页，共七十四页，编辑于2023年，星期五4.3.4数字签名（DigitalSignature）定义：数据接收者用来证实数据发送者确实无误的一种方法，其作用等同于纸面亲笔签名。性质：1、必须能证实作者本人的签名及签名日期和时间；2、签名时必须能对内容进行鉴别；3、签名必须能被第三方证实以便解决争端。实现：主要通过加密算法和证实协议。数字签名的应用涉及到法律问题。一些国家已经制定了数字签名法。63第六十三页，共七十四页，编辑于2023年，星期五4.4信息系统安全规划及管理4.4.1传统安全解决方案的局限性4.4.2信息系统安全性要求4.4.3信息系统安全管理64第六十四页，共七十四页，编辑于2023年，星期五传统安全解决方案的局限性常用技术手段：防火墙技术、基于主机的入侵检测技术、基于网络的入侵检测技术、虚拟专用网技术、病毒防护技术、漏洞扫描技术、综合安全服务技术等。不同的网络安全产品，在安全保障上存在不同的缺陷。65第六十五页，共七十四页，编辑于2023年，星期五信息系统安全性要求 设计良好的安全系统应当做到：适应、简单、透明、高效、全面、协作。66第六十六页，共七十四页，编辑于2023年，星期五信息系统安全管理从以下方面进行： 病毒预控、防非法接入、防内部攻击系统、防内容泄密、内容过滤、设备管