计算机系统安全知识

第七章计算机系统平安知识计算机导论第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.1计算机系统平安威胁1、恶意软件有恶意目的的软件。恶意软件的种类①计算机病毒：指能够自我复制的具有破坏作用的一组指令或程序代码。②蠕虫：一种独立存在的程序，利用网络和电子邮件进行复制和传播，危害计算机系统的正常运行。7.1计算机系统平安威胁恶意软件的种类③特洛伊木马：一般由两个局部组成，一局部是效劳端程序，一局部是控制端程序④间谍软件：是指从计算机上搜集信息，并在未得到该计算机用户许可的情况下便将信息传递到第三方的软件。7.1计算机系统平安威胁2、非法入侵非法用户通过技术手段或欺骗手段或二者结合的方式，以非正常方式侵入计算机系统或网络系统，窃取、篡改、删除系统中的数据或破坏系统的正常运行。3、网络攻击通过向网络系统或计算机系统集中发起大量的非正常访问，而使其无法响应正常的效劳请求，也称为拒绝效劳攻击。7.1计算机系统平安威胁计算机系统平安威胁现状对计算机系统平安的威胁呈多样化趋势，有的威胁只具有前述一种方式的特征，有的威胁兼具两种方式甚至三种方式的特征。2021年5月，我国公安部门的调查结果显示，85.5%的计算机用户感染过计算机病毒，62.7%的被调查单位发生过信息网络平安事件。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.2计算机系统平安概念信息平安采取有效措施保证信息保存、传输与处理的平安。信息主要是指存在于计算机系统中的信息以及传输在网络中的信息。网络平安采取有效措施保证网络运行的平安。计算机网络主要功能是传输信息和存储信息的共享。计算机系统平安保证计算机系统运行的平安。计算机系统包括计算机硬件、网络设备和存储在计算机中的信息。7.2计算机系统平安概念三个概念的共同含义采取有效措施保证计算机、计算机网络及其中存储和传输的信息的平安，防止因偶然或恶意的原因使计算机软硬件资源或网络系统遭到破坏，数据遭到泄露、丧失和篡改。7.2计算机系统平安概念计算机系统平安的三个层面①技术平安从技术层面保证计算机系统中硬件/软件和数据的平安。根据系统对平安性的要求，选购符合相应平安标准的软硬件产品。TCSEC美国可信计算机系统评估标准：

D、C1、C2、B1、B2、B3、A1。CCISO通用标准：

EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。采取有效的反病毒技术、反黑客技术、防火墙技术、入侵检测技术、数据加密技术、认证技术等技术措施。7.2计算机系统平安概念②管理平安通过提高相关人员平安意识和制定严格的管理措施来保证计算机系统的平安。包括软硬件产品的采购、机房平安保卫、系统运行的审计与跟踪、数据的备份与恢复、用户权限的分配、账号密码的设定与更改等方面。7.2计算机系统平安概念③法律平安有完善的法律、规章体系以保证对危害计算机系统平安的犯罪和违规行为进行有效的打击和惩治。没有法律制裁的威慑，只靠管理措施和平安技术是很难遏制恶作剧者或犯罪分子肆无忌惮的破坏行为的。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.3反病毒技术计算机病毒的开展计算机病毒的特征计算机病毒的危害计算机病毒的防治7.3.1计算机病毒的开展计算机病毒的定义编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。可以在计算机运行过程中能把自身准确复制或有修改的复制到其他程序体内的一段具有破坏性的程序。

7.3.1计算机病毒的开展有代表性的计算机病毒1986年，Brain病毒。1988年，Morris病毒。1998年，CIH病毒流行。2000年，爱虫病毒2001年，CodeRed〔红色代码〕病毒。7.3.1计算机病毒的开展有代表性的计算机病毒2003年，冲击波〔Blaster〕病毒2004年，震荡波〔Sasser〕病毒2006年，出现了源自我国的熊猫烧香病毒。2021年，扫荡波〔SaodangBo〕病毒。7.3.1计算机病毒的开展2021年度最流行的10种病毒7.3.2计算机病毒的特征⑴传染性计算机病毒能使自身的代码强行传染到一切符合其传染条件的程序内，通过这些程序的拷贝与网上传输等途径进一步感染其他计算机。⑵寄生性有一类计算机病毒不是一个完整的程序，需要寄生在其他程序中才能存在，当被寄生的程序运行时，病毒就通过自我复制而得到繁衍和传播。

7.3.2计算机病毒的特征⑶隐蔽性大多数计算机病毒都会把自己隐藏起来，如附加在正常程序中、复制到一般用户不会翻开的目录下等，其存在、传染和破坏行为不易发现。⑷触发性很多计算机病毒都有一个发作条件，这个发作条件可以是时间、特定程序的运行、某类系统事件的发生或程序的运行次数等。⑸破坏性计算机病毒发作时，对计算机系统的正常运行都会有一些干扰和破坏作用。7.3.3计算机病毒的危害1、破坏系统资源大局部病毒在发作时直接破坏计算机系统的资源，如改写主板上BIOS中的数据、改写文件分配表和目录区、格式化磁盘、删除文件、改写文件等，导致程序或数据丧失，甚至于整个计算机系统和网络系统的瘫痪。2、占用系统资源有的病毒虽然没有直接的破坏作用，但通过自身的复制占用大量的存储空间，甚至于占满存储介质的剩余空间，因此影响正常程序及相应数据的运行和存储。

7.3.4计算机病毒的防治1、计算机病毒的传染途径通过软盘、移动硬盘、光盘和U盘等外存设备传染。通过计算机网络传染。2、计算机病毒的预防普及病毒知识严格管理措施强化技术手段3、计算机病毒的查杀瑞星杀毒软件、江民杀毒软件、金山毒霸、诺顿杀毒软件、360平安卫士等。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.4反黑客技术黑客概念黑客攻击方式黑客的防范7.4.1黑客概念黑客定义〔hacker〕原指热心于计算机技术、水平高超的计算机专家，特别是指高水平的编程人员。日本出版的?新黑客字典?的定义：喜欢探索软件程序奥秘、并从中增长其个人才干的人。现在黑客一词泛指那些专门利用系统漏洞在计算机网络上搞破坏或恶作剧的人。7.4.1黑客概念黑客分类⑴白帽黑客：发现系统漏洞后，会及时通报给系统的开发商。这一类黑客是利于系统的不断完善的。⑵黑帽黑客：发现系统漏洞后，会试图制造一些损害，如删除文件、替换主页、盗取数据等。黑帽黑客具有破坏作用，也称为骇客〔cracker〕。⑶灰帽黑客：灰帽黑客大多数情况下是遵纪守法的，但在一些特殊情况下也会做一些违法的事情。7.4.2黑客攻击方式

⑴程序后门黑客会用穷举搜索法发现并利用后门侵入系统。⑵获取口令简单猜测/字典攻击/暴力猜解/网络监听。⑶拒绝效劳攻击拒绝效劳攻击使用超出被攻击目标处理能力的大量数据包消耗系统可用带宽资源，最后致使网络效劳瘫痪的一种攻击手段。分布式拒绝效劳攻击(洪水攻击)利用多台已经被攻击者控制的机器对某一台单机发起攻击。7.4.2黑客攻击方式⑷网络钓鱼通过欺骗手段获取他人的个人信息，然后窃取用户的重要数据或资金。主要手段发送含有虚假信息的电子邮件。建立假冒的网上银行、网上证券网站。利用虚假的电子商务活动。利用木马等技术手段。利用用户的弱口令设置。7.4.3黑客的防范防范措施⑴使用平安级别比较高的正版的操作系统、数据库管理系统等软件，并注意给软件系统及时打补丁，修补软件漏洞；安装入侵检测系统、防火墙和防病毒软件。⑵不要轻易翻开和相信来路不明的电子邮件；不要从不明网址下载软件；在进行网上交易时要认真核对网址，看是否与真正网址一致；不要轻易输入账号、密码、身份证号等个人信息；尽量防止在网吧等公共场所进行网上电子商务交易。⑶不要选诸如身份证号码、出生日期、号码等作为密码，这样的密码很容易破译，称为弱密码。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.5防火墙技术防火墙概念防火墙的功能防火墙的结构7.5.1防火墙概念防火墙定义建立在内、外网络边界上的过滤封锁机制，是计算机硬件和软件的结合，其作用是保护内部的计算机或网络免受外部非法用户的侵入。内部网络被认为是平安和可信赖的，而外部网络(一般是指互联网)被认为是不平安和不可信赖的。防火墙的作用，就是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制来保证内部网络的平安。7.5.2防火墙的功能⑴访问控制通过禁止或允许特定用户访问特定资源，保护内部网络的数据和软件等资源。

⑵内容控制根据数据内容进行控制，如可以根据电子邮件的内容识别出垃圾邮件并过滤掉垃圾邮件。⑶日志记录记录下经过防火墙的访问行为，同时能够提供网络使用情况的统计数据。

7.5.2防火墙的功能⑷平安管理通过以防火墙为中心的平安方案配置，能将所有平安措施配置在防火墙上。⑸内部信息保护利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而防止局部重点或敏感网络平安问题对全局网络平安的影响。7.5.3防火墙的结构1、包过滤防火墙检测每个网络包的源IP地址、目的IP地址、协议类型、源端口号和目标端口号、包的大小等信息，根据平安策略(包过滤规那么)决定是否允许此数据包通过。7.5.3防火墙的结构2、双宿主网关防火墙应用级防火墙禁止在网络层直接转发数据包，将数据包交给应用层软件进行处理。

7.5.3防火墙的结构3、屏蔽主机防火墙

7.5.3防火墙的结构4、屏蔽子网防火墙

7.5.3防火墙的结构常用防火墙产品美国思科系统公司〔CiscoSystems,Inc.〕PIX501、PIX515、PIX525、PIX535等。美国Juniper网络公司NetScreen-208、NetScreen-5200、NetScreen-5400等。国内华三通信公司〔H3C，原华为3Com〕SecPathF100系列、SecPathF1000系列等。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.6入侵检测技术入侵检测系统的功能入侵检测系统的分类入侵检测技术7.6.1入侵检测系统的功能

入侵检测系统的定义入侵检测是通过从计算机网络或计算机系统中的假设干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反平安策略的行为和遭到袭击的迹象的一种平安技术。入侵检测系统是完成入侵检测功能的计算机软硬件系统。7.6.1入侵检测系统的功能

入侵检测系统的功能监控、分析用户和系统的活动；发现入侵企图或异常现象。记录、报警和响应；友好的用户界面。7.6.2入侵检测系统的分类根据入侵检测实施的对象分为：基于网络的入侵检测系统基于主机的入侵检测系统基于应用的入侵检测系统7.6.2入侵检测系统的分类1、基于网络的入侵检测系统作用于某个网络环境的入侵检测系统。通过侦听和分析网络上关键路径上传输的数据，发现可疑的通信数据和入侵行为。7.6.2入侵检测系统的分类2、基于主机的入侵检测系统作用于某台主机上的入侵检测系统。通过监视与分析主机的审计记录和日志文件来检测对主机的入侵。日志中记录有所有对主机的访问行为，从中可以分析出非正常的和不希望发生的行为，进而认定对主机的入侵企图和已发生的入侵行为。启动相应的应急响应措施，阻止入侵企图和尽量减少已发生的入侵行为的破坏作用。7.6.2入侵检测系统的分类3、基于应用的入侵检测系统作用于某个应用系统的入侵检测系统。通过监视与分析某个应用程序的日志文件来检测对该应用程序的入侵。基于应用的入侵检测系统是基于主机的入侵检测系统的进一步细化。7.6.3入侵检测技术

1、误用检测(特征检测)假设入侵行为可以用一种模式来表示，系统的目标是检测外部用户的访问是否符合这些模式，符合即是入侵行为。难点是模式的设计。常用误用检测方法：专家系统、状态转移分析、基于条件概率的误用检测、基于规那么的误用检测。2、异常检测假设入侵行为不同于正常的访问行为。根据这一思路建立正常访问行为的行为描述，将当前的访问行为与“行为描述〞进行比较，当违反正常行为的统计规律时，认为该访问可能是入侵行为。7.6.3入侵检测技术

2、异常检测难点：如何建立和表示“行为描述〞，以及如何设计统计算法。常见异常检测方法：量化分析、统计度量、非参数统计度量、神经网络、3、混合检测同时进行误用检测和异常检测。常见方法：基于代理的检测、数据挖掘、免疫系统方法、遗传方法、7.6.3入侵检测技术常用入侵检测产品美国思科系统公司CiscoIDS4210、CiscoIDS4235、CiscoIDS4250等。国内华三通信公司SecPathT200、SecPathT1000、SecPathT5000等。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.7数据加密技术数据加密概述古典加密方法现代加密方法7.7.1数据加密概述加密的含义把明文通过混拆、替换和重组等方式变换成对应的密文。密文需要按加密的逆过程解密成明文后，才能理解其含义。

解密密钥加密密钥明文加密算法明文密文解密算法窃取者发送接收7.7.2古典加密方法1、恺撒密码

含义：通过移位的方式实现对原始信息的加密，对不同位置的字符采用相同的移位方式。computerdpnqvufs

例如：用恺撒密码对computer进行加密。设置26个英文字母与数字的对应关系如下：abcdef…uvwxyz012345…202122232425对每个字符右移一位。实现简单容易破译

7.7.2古典加密方法2、多字符替换含义：不同位置的字符采用不同的替换方式。computerdnoqtvfq

例如：采用〔+1，-1，+2〕的替换方式对computer加密。对明文中的第一个字符右移1位，第二个字符左移1位，第三个字符右移2位，第四个字符又是右移1位，如此进行下去，完成明文中所有字符的替换。7.7.2古典加密方法3、二进制运算运算规那么运算例如ANOT0110ABANDORXOR0000001011100111111010101100AND01101011=0010100010101100OR01101011=11101111NOT10101100=0101001110101100XOR01101011=11000111AXORBXORB=A解密密钥加密密钥7.7.2古典加密方法用二进制运算加密例如采用异或运算对computer进行加密。明文ASCII码密文ASCII码明文ASCII码00001100

XORXOR00001100

computer发送computer接收7.7.2古典加密方法用二进制运算加密例如采用异或运算对computer进行加密。明文字符明文ASCII码密文ASCII码密文字符c0110001101101111oo0110111101100011cm0110110101100001ap0111000001111100|u0111010101111001yt0111010001111000xe0110010101101001ir0111001001111110~7.7.3现代加密方法1、私钥加密

加密和解密使用同一个密钥，且该密钥属于通信双方私有的、不能让第三方知道。也称单密钥加密或者对称加密。明文明文发送明文明文密文接收7.7.3现代加密方法DES〔数据加密标准〕算法加密过程①待加密数据被分为64bit大小的数据块。②对第一个64位的数据块进行初始变换，即对64位的数据按位重新组合。如将第58位换到第1位，第50位换到第2位，…，等等。③将换位后的数据与密钥进行计算，这样的计算共进行16轮，每一轮使用一个不同的密钥，这16轮的密钥合称DES算法的加密密钥，也是日后解密的密钥。7.7.3现代加密方法DES算法加密过程④把经过16轮加密的数据再进行换位操作，这时的换位是初始换位的逆操作，如第1位经初始换位后换到了第40位，经逆初始换位，再把第40位换回到第1位。⑤逆初始换位后的结果就是第一块数据加密后的密文。⑥对其他每块数据都进行与第一块数据类似的处理，得到全部明文对应的密文。7.7.3现代加密方法2、公钥加密加密密钥与解密密钥使用不同的密钥。加密密钥用于加密，是公开的，称为公钥；解密密钥用于解密，是不公开的，称为私钥。明文明文

他人明文明文密文

本人公共密钥

私有密钥7.7.3现代加密方法RSA算法选定密钥过程选择两个互异的大素数p和q；使n=p*q，t=(p-1)*(q-1)；取整数e，使其满足1＜e＜t，且gcd(t，e)=1；计算d，使其满足〔d*e〕modt=1；以{e，n}为公钥，{d，n}为私钥。求最大公约数求余7.7.3现代加密方法RSA算法的加密过程将bit串形式的明文分组，使每个分组对应的十进制数小于n，即使每个分组长度<=log2n，然后对每个明文分组m作加密计算，得到其对应的密文c=memodn。RSA算法的解密过程对每个密文分组进行解密计算，复原成其对应的明文m=cdmodn。7.7.3现代加密方法RSA算法加密例如用RSA算法对computer进行加密。选p=7，q=17。那么n=7*17=119，t=6*16=96取e=5，满足1＜e＜t，且gcd〔t，e〕=1；那么满足〔d*e〕modt=1条件的d=77。{5，119}为公钥，{77，119}为私钥。7.7.3现代加密方法明文字符明文ASCII码密文ASCII码密文字符c9929一控制符o11176Lm10979Op11291[u11787Wt116114re10133！r11488X7.7.3现代加密方法RSA算法分析：当n大到一定程度时，由公钥〔e,n〕得到私钥〔d,n〕是非常困难的。依据，是数论领域的一个事实：把一个很大的合数分解成两个素数十分困难，目前没有高效的分解方法。目前，选择1024~2048位之间的二进制数作为n在一定时间内是平安的。第7章计算机系统平安知识7.1计算机系统平安威胁7.2计算机系统平安概念7.3反病毒技术7.4反黑客技术7.5防火墙技术7.6入侵检测技术7.7数据加密技术7.8平安认证技术7.9法律规章与职业道德7.10本章小结7.8平安认证技术消息认证数字签名PKI7.8平安认证技术消息认证的必要性与作用通信双方在一个不平安的信道上传输信息，可能面临着被第三方截取，进而对信息进行篡改或伪造的隐患，假设接收方收到的是被第三方伪造或篡改的信息，可能会造成非常严重的损失。消息认证技术用于检查发送方发送的信息是否被第三方篡改或伪造，消息认证系统的核心是一个认证算法。7.8.1消息认证消息认证思路①为了发送信息，发送方先将信息和认证密钥输入认证算法，计算出信息的认证标签〔消息认证码,MAC〕，然后将信息和认证标签一同发出。②接收方收到信息和认证标签后，把信息和相同的认证密钥输入认证算法，也计算出认证标签。③检查这个计算出的认证标签与接收到的认证标签是否相同，假设相同，认为信息不是伪造的，也未被篡改，接受该信息，假设不相同，那么认为信息是伪造的或被篡改正，舍弃该信息。7.8.2数字签名1、数字签名的定义在电子文档中附加的数字认证信息称为数字签名，也称为电子签名。数字签名就是只有信息的发送者才能产生的，与发送信息密切相关的、他人无法伪造的一个数字串，它同时也是对发送者发送的信息的真实性的一个证明。7.8.2数字签名2、数字签名过程①用户A准备好一个要发送给用户B的电子信息M。②用户A用公开的单向Hash函数对信息M进行变换，生成信息摘要MH，然后用自己的私钥DA对信息摘要MH加密，对MH加密的结果就是信息M的数字签名。③用户A将数字签名附在信息M之后，连同信息M和相应的数字签名一起发送给用户B。

7.8.2数字签名④用户B收到信息M和相应的数字签名MH后，一是使用相同的单向Hash函数对信息M进行变换，生成信息摘要，二是使用用户A的公钥EA对数字签名进行解密，得到用户A针对M生成的信息摘要。⑤用户B比较两个信息摘要，如两者相同，那么可确信信息在发送后未作任何改变，也不是伪造的，可接受来自于用户A的信息M，如不相同，说明信息M是伪造的或已经被篡改，放弃该信息。7.8.2数字签名3、Hash函数与信息摘要Hash函数用于将任意长度的信息M变换为较短的、固定长度的信息摘要MH。信息摘要是信息中所有二进制位的函数，改变信息中的任何一个或几个位，都会使信息摘要发生改变。所以，信息摘要也被形象地称为信息的数字指纹。7.8.2数字签名Hash函数的特性①函数的输入可以任意长，函数的输出是固定长。②信息M，求信息摘要MH比较容易。③MH，求H〔M〕=MH的M在计算上是不可行的，即很难根据信息摘要来反向求得原始信息，这是Hash函数的单向性。④M1，找出M2(M2≠M1)使得H(M2)=H(M1)在计算上是不可行的，即很难找到两个不同的信息会有相同的信息摘要，这是哈希函数的唯一性。7.8.2数字签名数字签名的有效性分析①难以伪造或篡改◆由Hash函数的唯一性可知，对原有信息的微小改变也会导致信息摘要的改变，所以，接收方或第三方很难伪造或篡改发送方发出的信息而使信息摘要不变。◆又由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方很难伪造加密的信息摘要(数字签名)，进而也就无法伪造信息摘要。无法伪造信息摘要，伪造或篡改的信息是很容易被识破的。7.8.2数字签名②难以抵赖由于发送方是用自己的私钥对信息摘要进行加密的，接收方或第三方是不能做此事的，所以发送方对自己发出的信息是难以抵赖的。7.8.3PKI1、PKI的含义一种提供公钥加密、数字签名和数字证书等效劳的管理平台，以保证网上传输信息的保密性、真实性、完整性和不可抵赖性。2、PKI的功能颁发证书、更新证书、撤销证书、公布证书、在线查询证书状态、认定证书、密钥产生、密钥备份和恢复、密钥更新、密钥销毁和归档等。7.8.3PKI3、PKI的组成①认证机构(CA)：负责数字证书的签发，是PKI的核心，是PKI中权威的/可信任的/公正的第三方机构。②注册机构(RA)：负责数字证书申请者的信息录入、资格审查等工作，决定是否同意由认证机构为其签发数字证书。③目录效劳器：用于存放和管