大学信息技术基础课件：第8章 信息系统安全

第8章信息系统安全主要内容：§8.1信息系统的安全构架§8.2计算机病毒与防治§8.3防火墙§8.4数据加密技术§8.5电子签名*§8.6信息安全政策与法规本章小结思考与练习§8.1信息系统的安全构架8.1.1信息安全的含义计算机信息系统安全保护是指：保障计算机及相关配套设施（含网络）安全，运行环境安全，信息安全，计算机功能正常发挥，以维护计算机信息系统的安全运行。§8.1信息系统的安全构架信息安全包括如下含义：1.信息的可靠性2.信息的可用性3.信息的保密性4.信息的完整性5.信息的不可抵赖性6.信息的可控性§8.1信息系统的安全构架8.1.2信息安全保障体系我国信息安全法规我国信息安全保障体系模型PDRR保护：保护上述特性检测：利用高级技术提供的工具检查系统存在的可能的黑客攻击、计算机犯罪、病毒攻击.反应：对危及安全的事件、行为及时作出响应处理。恢复：一旦系统遭到破坏，尽快恢复系统功能。§8.2计算机病毒与防治8.2.1什么是计算机病毒计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。从广义上定义，凡能够影响计算机使用，破坏计算机数据的程序统称为计算机病毒。§8.2计算机病毒与防治8.2.2计算机病毒的传播途径计算机病毒的传播主要是通过：存储介质网络传播等方式进行，具体主要传播途径：

1.U盘2.光盘3.网络8.2.3计算机病毒的特征1.传染性、2.非授权性3.隐蔽性4.潜伏性5.破坏性§8.2计算机病毒与防治8.2.4病毒的工作原理病毒的传染过程：驻入内存。判断传染条件。传染。计算机病毒的作用过程§8.2计算机病毒与防治传播潜伏触发运行病毒程序设计8.2.5网络病毒利用网络传播的病毒1.木马病毒首先悄悄植入，向外发信息一般的木马都有客户端和服务器端两个执行程序：服务器端程序即木马程序首先悄悄植入，客户端程序远程操控、攻击2.蠕虫病毒（Worm）存在于内存而不在文件，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，从而造成网络瘫痪。§8.2计算机病毒与防治3.黑客程序（Hack）【趋与木马整合了】

黑客程序一般有可视的界面，它会利用漏洞在远程控制计算机，甚至直接破坏计算机；黑客程序通常会在用户的计算机中植入一个木马病毒，与木马病毒内外勾结，对计算机安全构成威胁。4.网页病毒它存在于网页之中，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、JavaScript脚本语言程序、ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。§8.2计算机病毒与防治5.手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等，甚至还会损毁SIM卡、芯片等硬件。8.2.6计算机病毒的预防措施1.及时修补系统和应用软件的安全漏洞2网络环境中应用防火墙3.重要资料，必须备份4.及时、可靠升级反病毒产品5.可移动存储设备防毒6.尊重知识产权，使用正版软件7.若硬盘资料已遭到破坏，不必绝望§8.2计算机病毒与防治§8.3防火墙8.3.1什么是防火墙所谓“防火墙（Firewall）”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙阻止对信息资源的非法访问、阻止重要信息从企业网络上被非法输出。防火墙是网络间信息的唯一出入口。（可能多重）§8.3防火墙图8-10防火墙是网络安全的屏障8.3.2防火墙的功能1.防火墙是网络安全的屏障2.防火墙可以强化【制定、执行】网络安全策略3.防火墙能有效地记录网络上的活动4.防止内部网受到侵害§8.3防火墙8.3.3防火墙的基本准则——

至少都会说两个词：Yes或者No1.一切未被允许的就是禁止的【白名单】基于该准则，防火墙应封锁所有的信息流，然后对希望提供的服务逐项开放。2.一切未被禁止的就是允许的 【黑名单】基于此准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。§8.3防火墙图8-11防火墙的基本准则：禁止或允许8.3.4防火墙的种类防火墙有多种形式，有以软件形式运行在普通计算机之上的，也有以硬件形式设计在路由器之中的。1.包过滤防火墙包过滤又称“报文过滤”，它是防火墙基本的安全技术。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选)，使符合事先规定的安全规则(或称“安全策略”)的数据包通过，而使那些不符合安全规则的数据包丢弃。§8.3防火墙2.应用级网关（代理服务器）代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会像一个服务者一样去那个站点取回所需信息再转发给客户。3.状态监测防火墙当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。§8.3防火墙8.3.6部署个人防火墙个人防火墙的作用主要是对本机系统与其他系统的通信进行记录和考察，一旦发现可疑的通信，立即报警，并阻止未经授权的访问。例如：360、XP的防火墙（控制面板-windows防火墙）§8.3防火墙§8.4数据加密技术8.4.1加密与加密系统加密就是把数据和信息转换为不可辨识的密文的过程，欲知密文的内容，需将其转换为明文，这就是解密过程。加密和解密过程组成为加密系统，明文与密文总称为报文，加密系统五元祖（P,C,K,E,D）：1）待加密的报文，也称明文；即原始的或未加密的数据。Plaintext(P)2）加密后的报文称为密文，是加密算法的输出信息。

Cryptograph(C)

§8.4数据加密技术3）加密装置或加密算法。Encrypt(E)4）用于加密和解密的钥匙，可以是数字/词汇/语句。key(K)5）解密装置或解密算法。Decrypt(D)§8.4数据加密技术图8-13加密系统的组成8.4.2对称密钥密码系统（单钥密码）在对称密钥密码体制中，其加密运算、解密运算使用的是同样的密钥，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码（称为对称密码）。§8.4数据加密技术例：将字符的ASCII码加3取模(移位密码)Hello→Khqqr

加密Ek(P)=CKhqqr→Hello解密Dk(C)=P §8.4数据加密技术由于加解密双方都要使用相同的密钥，要求通信双方必须通过秘密信道私下商定使用的密钥，在发送、接收数据之前，必须完成密钥的分发。图8-14在对称密钥密码体制中，通信双方拥有

相同的共用密钥，并保持钥匙的秘密§8.4数据加密技术

图8-15对称密钥密码系统中密钥的数量和分发是最薄弱的环节1.移位密码（恺撒密码，可被穷举密钥搜索）例k=3:§8.4数据加密技术——8.4.3古典加密技术即取模运算：加密变换：C=Ek（P）

=（p+k）mod26解密变换：P=Dk（C）

=（c-k）mod26其中：明文空间P={A，B，C，…，Z}、

密文空间C={A，B，C，…，Z}

密钥空间K={0，1，2，…，25}§8.4数据加密技术——8.4.3古典加密技术2.换位密码换位密码又称置换密码，和移位密码技术相比，没有替换明文中的字母；而是通过改变明文字母的排列次序来达到加密的目的。常见的方法是列换位§8.4数据加密技术8.4.3公开密钥密码系统1.基本概念在公钥密码系统中，加密和解密使用的是不同的密钥（叫做非对称密钥），这两个密钥之间存在着相互依存关系：用其中任一个密钥加密的信息只能用另一个密钥进行解密；但不能根据一个密钥计算出另一个密钥。§8.4数据加密技术图8-16公开密钥密码系统的基本原理2.公开密钥密码系统的基本原理加密密钥公之于众，谁都可以使用；解密密钥只有解密人自己知道。它们分别称为公钥（PK）和秘钥(SK)。但SK不能由PK求出。§8.4数据加密技术3.公开密钥密码系统的算法因此如何找到一个合适的算法生成合适的PK和SK，并且使得从PK不可能推导出SK，正是迫切需要密码学家们解决的一道难题。RSA算法的安全性是基于大整数因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。4.公开密钥密码系统的密钥分发问题假设Jack欲传送一些机密信息给Allen，Jack无须自己储存Allen的公开密钥。他只需向钥匙管理员索取Allen的公开密钥。索取后，他便利用此公开密钥将信息加密，而此加密的信息则只可借着Allen的私人密钥才能解密，之后Jack便可将此加密的信息在互联网上传送出去。当Allen收到此信息后，他便利用自己的私人密钥将信息解密，同样的公开密钥便可以让不同人士用作传送机密信息给Allen。§8.4数据加密技术图8-18公开密钥密码系统的密钥处理问题

§8.5电子签名§8.5电子签名8.5.1什么是电子签名电子签名指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。8.5.2数字签名的概念所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证。利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。8.5.3公开密钥密码系统的数字签名数字签名与公开密钥密码系统有密切的关系，还以Jack和Allen为例，来说明数字签名基本原理（图8-20）：假如Jack想在通过互联网传送给Allen的信息内加上签名，他亦可利用公开密钥密码系统来制作一个数字签名。Jack先用自己的私人密钥来制作一个数字签名，再由Allen用Jack的公开密钥来核对这个数字签名。§8.5电子签名§8.5电子签名8.5.4电子签名与认证服务电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。图8-20数字签名的基本原理§8.5电子签名使用公开密钥系统，其先决条件是所有用户的公开密钥必须正确，所以便利用一可靠的第三者，如认证中心或密钥服务器来制作各用户的公开密钥证书，证书内记录了用户的公开密钥和其他数据，并加上核证中心或密钥服务器的数字签名，此证书将用作分派公开密钥予用户。PKI的核心执行机构是电子认证服务提供者，即通称为认证机构CA，PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。课堂思考题1.在信息安全系统中，网络信息未经授权不能进行改变特性是指信息的（

）。

A)

可靠性

B)

可用性

C)

保密性

D)

完整性

2.小张在计算机上安装了数个防病毒软件，结果计算机还是被病毒感染，其主要原因是（

）。

A)

防病毒软件之间互相干扰

B)

频繁上网所致

C)

防病毒软件并不能预防所有新的病毒

D)

下载了网络软件

3.蠕虫病毒是一种主要通过()传播的恶性病毒。。

A)

移动硬盘

B)

软盘

C)

网络

D)

光盘

4.

下面关于防火墙的描述中错误的概念是（

）。

A)

防火墙可以对指定的IP地址进行限制屏蔽。

B)

防火墙能有效地记录网络上的活动

C)

防火墙可以提高内部网络的安全性

D)

防火墙不能阻止重要信息从内部网络非法输出

5.

下面关于公钥密码体制的描述中错误的概念是

A)

在公钥密码体制系统中，加密和解密使用的是不同的密钥

B)

所谓公钥是指加密密钥和算法是公开的

C)

所谓公钥是指解密密钥和算法是公开的

D)

解密密钥由收信者保管而不能公开

6.

2005年4月1日起实施的信息安全法规是（

）。

A)

计算机软件保护条例

B)

电子签名法

C)

互联网信息服务管理法

D)

互联网络域名管理办法

第五章数据库技术补充图5－1，概念世界

数据世界（分析概念世界的工具：）5.1,4)

E-R模型的表示：图5-3实体—关系图的表示方法例：图5-4系主任与院系之间的分管联系，即1∶1联系考纲5.3数据库应用系统的设计（主要掌握E-R模型）3.2操作系统操作系统的分类：p73操作系统的功能p66

2，内存管理

3，设备管理

4，文件管理1，处理机管理：进程管理（进程的三状态）、中断管理图5-7数据库系统的四个组成部分考纲5.3数据库应用系统的设计（主要掌握E-R模型）信息是一种资源，其价值性是不言而喻的，因而需要妥善保护。信息安全使信息避免一系列威胁，无论信息以何种方式表示、共享和存储，都应当适当地保护起来。现在，信息系统和网络正面临着越来越多、大范围来源的安全威胁，包括计算机犯罪、欺诈、计算机病毒、电脑黑客等行为而引起的资源破坏已变得越来越普遍、损失越来越大、情形越来越错综复杂。加强信息安全管理已经刻不容缓！信息安全涉及信息的保密性、完整性、可用性、可控性和不可否认性。综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监控。密码技术是信息安全的核心。要保证电子信息的保密性，使用密码时，对其加密是最有效的办法。本章小结要保证信息的完整性，使用密码时，技术实施数字签名，进行身份认证，对信息进行完整性校验是当前实际可行的办法。在这一章里我们用了一定的篇幅介绍信息安全的公钥加密技术。它包括一种像钥匙一样的数值，用来加密数据和解开加密数据。但是，用来加密数据的加密密匙和解密用的解密密匙不一样。知道加密密匙的人可以用此加密信息，但是他们不能解开别人加密的信息，甚至别人用的是一样的加密密匙。因此密匙可以广泛地分发而不会干扰系统安全。有了这样的加密系统，很多人都可以向同一收传人发送秘密信息，这个普通的收信人是唯一拥有解密密匙的人。像这样的加密技术构成了一个知识领域——公匙密码系统，这个名字反映出一个事实，就是用来加密信息的密匙能让公众都知道。现有的许多信息系统在设计时就注意了安全性，但是主要依靠技术手段实现安全是有限的，还应当建立相应的管理制度来支持。更重要的是树立信息安全的意识，培养与信息安全有关的信息道德与素养，遵守信息安全法规，这才是治标之本。本章小结一、思考题1.什么是信息安全？主要包括哪些内容？2.信息安全的保障体系包括哪四个方面？3.试述信息安全的重要性，举出若干个你所知道的涉及信息安全的例子。4.根据我国颁布的《信息安全等级保护管理办法》，信息安全等级保护的等级是如何划分的？5.什么是计算机病毒？结合自己在工作学习中受病毒干扰的事例，谈一下计算机病毒的危害。6.计算机病毒传播的主要途径有哪些？其特征是什么？7.目前网络病毒成为病毒传播的一种主要形式，请谈一下你对预防网络病毒有什么好的方法和建议。8.试列