第7章计算机信息安全技术应用基础.docx
《第7章计算机信息安全技术应用基础.docx》由会员分享,可在线阅读,更多相关《第7章计算机信息安全技术应用基础.docx(16页珍藏版)》请在冰豆网上搜索。
第7章计算机信息安全技术应用基础
第7章计算机信息安全技术应用基础
教学对象
非计算机专业学生
教学班级
教学学期
问题引出
计算机网络是计算机技术和通信技术紧密结合的产物,它的诞生使计算机体系结构发生了巨大变化。
在当今社会发展中,计算机网络起着非常重要的作用,它不仅改变了人们的生产和生活方式,并对人类社会的进步做出了巨大贡献。
从某种意义上讲,计算机网络的发展水平不仅反映了一个国家的计算机科学和通信技术的水平,而且也是衡量其国力及现代化程度的重要标志之一。
计算机网络的应用遍布于各个领域,并已成为人们社会生活中不可缺少的一个重要组成部分。
教学重点
计算机网络基本概念与结构组成。
教学难点
Internet的组成、协议、IP地址与域名的构成。
教学目标
掌握计算机网络的基本概念和基础知识;熟悉计算机网络的基本结构组成和Internet网络的基本应用;了解计算机网络安全的基本概念和网络安全技术防护措施。
建议学时
6课时
教学教具
多媒体教学系统
教学方法
讲授(PPT)
教学设计
以文档编辑案例引入
本章各节教学内容及教学思想
章节内容
§7.1计算机信息安全概述
7.1.1计算机安全概念
7.1.2信息安全威胁
7.1.3信息安全策略
7.1.4信息安全管理
7.1.5信息安全法律法规
教学思想
随着计算机及其网络的广泛使用,如何确保信息安全已成为一个重要的研究课题。
通过本节教学,必须使学生了解并掌握信息安全技术的重要意义。
7.1.1计算机安全概念
1.计算机安全的定义
计算机安全(Computersecurity)是随着电子技术、信息采集技术、数据处理技术的飞速发展,在自然科学与社会科学的交叉地带融会了系统科学、思维科学等基本概念而形成的高度综合性学科。
国际标准化委员会(ISO)的定义是:
计算机安全是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、更改、显露。
我国公安部计算机管理监察司的定义是:
计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
2.计算机安全的主要内容
从上述定义可知,计算机安全的研究范围十分广泛,主要包括以下4个方面的内容:
(1)物理安全(PhysicalSecurity):
指系统设施及相关设施,包括各种硬件设备、环境、建筑、电磁辐射、数据媒体、灭火报警等。
(2)软件安全(SoftwareSecurity):
指软件(包括操作系统软件、数据库管理软件、网络软件、应用软件及相关资料)完整,包括软件开发规程、软件安全测试、软件的修改与复制。
(3)数据安全(DataSecurity):
指系统拥有和产生的数据或信息完整、有效,使用合法,不被破坏或泄露,包括输入、输出、识别用户、存取控制、加密、审计与追踪、备份与恢复。
(4)运行安全(OperationSecurity):
系统资源和信息资源使用合法,包括电源、人事、机房管理出入控制、数据与媒体管理、运行管理。
7.1.2信息安全威胁
目前,Internet上存在的对计算机(网络)安全的威胁主要表现在以下4个方面。
1.非授权访问
非授权访问是指在未经同意的情况下使用他人计算机资源,如对网络设备及资源进行非正常使用、擅自扩大权限,越权访问信息等违法操作。
2.信息泄漏或丢失
信息泄漏或丢失是指重要数据信息有意或无意中被泄漏出去或丢失。
例如,信息在传输过程中丢失或泄漏;信息在存储介质中丢失或泄漏;窃取者通过建立隐蔽隧道等方式窃取敏感信息等。
3.破坏数据完整性
破坏数据完整性是指以非法手段窃得对数据的使用权,删除和更新计算机中某些重要信息,以干扰用户的正常使用。
4.拒绝服务
拒绝服务是指网络服务系统在受到干扰的情况下正常用户的使用受到影响,甚至使合法用户不能进入计算机网络系统或不能得到相应的服务。
7.1.3信息安全策略
为了保证Internet上的计算机能相对安全的工作,应提供一个特定的环境,即安全保护所必须遵守的规则,也就是计算机安全策略,其内容主要有以下3个方面。
1.威严的法律
社会法律、法规与手段是安全的基石,通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
2.先进的技术
先进的安全技术是信息安全的根本保障,用户对需要保护的信息选择相应的安全机制,然后集成先进的安全技术。
Internet上的安全技术有防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术和病毒防治技术等。
3.严格的管理
各网络使用机构、企业和单位都应建立相应的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
实现信息安全管理的措施有访问控制机制、加密机制、认证交换机制、数字签名机制和路由控制机制等。
7.1.4信息安全管理
计算机系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范,具体工作主要包括以下5个方面。
1.确定安全管理等级
(1)根据工作的重要程度,确定该系统的安全等级。
(2)根据确定的安全等级,确定安全管理的范围。
2.严格的机房管理制度
为了计算机的安全,必须建立严格的机房管理制度,主要体现在以下方面:
(1)做好三防:
一是防火,应注意人走灯灭,断开电源;二是防盗,注意关好门窗;三是防泄,计算机处理的数据可能有很大一部分是本单位的机密或是非常重要的原始数据。
所以,存放数据的软盘必须由专人管理,而装有数据管理系统的硬盘应该设置口令等保密措施,防止数据丢失或泄密。
(2)分区控制:
对有安全要求的系统要实行分区控制,要根据职责分离的原则,限制工作人员出入与己无关的区域。
无关人员不许进入机房,并采用证件识别或安装自动识别登记系统,如采用磁卡、身份卡等手段对进入机房的人员进行识别、登记管理。
(3)安全教育:
加强对机房工作人员的安全教育,不断提高计算机操作人员的技术水平和职业道德,以防人为的破坏。
特别要禁止玩电子游戏,因为很多病毒就是由电子游戏软件引入的。
对日夜有人上机的机房,要有严格的交接班制度,并作好机器运行的有关详细记录。
3.严格的操作规程
严格遵守计算机的操作规程。
开机时,先开显示器,后开主机;关机时,先关主机,后关显示器。
不能带电操作。
在开机状态下不要随意插拨各种接口卡、部件和外设电缆。
4.完备的系统维护制度
对系统进行维护时,应采取数据保护措施,如数据备份等。
维护时首先要经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况都要详细记录。
5.行之有效的应急措施
要制订系统在发生故障的情况下,如何尽快恢复的应急措施,使损失减至最小。
建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
7.1.5信息安全的法律法规
1.信息产业的规范管理
为了约束人们使用计算机以及在计算机网络上的行为,我国制定了一系列信息产业规范管理的法律法规。
2.知识产权保护
知识产权是指人类通过创造性的智力劳动而获得的一项智力性财产权,是一种典型的由人的创造性劳动“知识产品”。
因此,知识产权也称为“智力成果权”、“智慧财产权”,它是人类通过创造性的智力劳动而获得的一项权利。
按照国际惯例,知识产权的框架如图7-1所示。
相关法律法规的具体内容可以浏览中国网:
http:
/
3.关于盗版
为了促进正版软件市场的发展,打击盗版软件,整顿和规范软件市场秩序,近几年来,中国政府不断出台了一系列政策措施。
4.学生的安全法规意识
作为信息时代的大学生,应该懂得专利权的主要形式、专利保护的方法以及触犯专利时的惩罚,重视以这些权益为基础的道德价值。
章节内容
§7.2防病毒技术
7.2.1病毒的定义与机理
7.2.2病毒的特征与特点
7.2.3病毒的类型与症状
7.2.4病毒的预防与整治
教学思想
在教学过程中必须使学生懂得病毒的危害性,并且懂得预防病毒的重要性,并不是有了杀毒软件就能删除所有病毒。
7.2.1病毒的定义与机理
1.什么是计算机病毒
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并能够自我复制的一组计算机指令或者程序代码。
2.病毒的机理
计算机病毒的工作过程一般经过六个环节,即病毒源、传染媒介、激活、注入内存、触发和表现。
7.2.2病毒的特征与特点
1.网络病毒的特征
根据计算机病毒的来源、定义、表现形式和破坏行为进行分析,可以抽象出病毒所具有的一般特征。
(1)传染性:
(2)潜伏性:
(3)隐蔽性:
(4)激活性:
(5)破坏性:
2.网络病毒的特点
(1)感染方式多:
(2)感染速度快:
(3)清除难度大:
(4)破坏性强:
(5)激发形式多样:
7.2.3病毒的类型与症状
1.网络病毒的类型
(1)GPI(GetPasswordI)病毒
(2)电子邮件病毒
(3)网页病毒
(4)网络蠕虫程序
2.病毒的症状
(1)屏幕上显示的异常现象:
显示一些莫名其妙的提示信息、特殊字符、不正常的画面。
(2)系统运行时的异常现象:
机器不能引导启动,有时还显示与系统引导无关的信息。
(3)存储容量发生异常现象:
存储存储容量异常地减少,使正常的数据或文件不能存储。
(4)打印机工作的异常现象:
打印机速度减慢、打印异常字符或发生锁机现象。
7.2.4病毒的预防与整治
1.网络病毒的预防
(1)从管理上作好预防:
一是加强对磁盘的管理;二是要对机器中的信息采取防护措施。
(2)从技术上作好预防:
根据常见病毒的特点采用一些技术措施,以避免某些病毒入侵。
2.病毒的整治
自从计算机病毒的出现,人们不断地研制各种预防、检测和清除病毒的工具软件,我国研制的这类工具软件有360安全卫士、瑞星杀毒软件、金山毒霸等。
章节内容
§7.3防黑客技术
7.3.1计算机黑客的概念
7.3.2计算机黑客的入侵
7.3.3计算机黑客的预防
教学思想
在教学过程衡中,首先让学生了解什么是黑客,黑客形成的背景,黑客入侵的途径。
然后,了解如何预防黑客。
7.3.1计算机黑客的概念
1.什么是黑客
“黑客”是指那些利用通讯软件通过网络非法进入公共和他人的计算机系统,截获或篡改计算机中的信息,危害信息系统安全的计算机入侵者,其入侵行为称为“黑客”行为。
2.黑客的分类
黑客可分为两类:
一类是协助人们研究系统安全性,出于改进的愿望,在微观的层次上考察系统,发现软件漏洞和逻辑缺陷,编程检查软件的完整性和远程机器的安全体系,而没有任何破坏系统和数据的企图。
这类黑客是计算机网络的“捍卫者”。
另一类是专门窥探他人隐私、任意篡改数据、进行网上诈骗活动的,他们是计算机网络的“入侵者(或称攻击者)”。
3.黑客的产生
黑客起源于20世纪50年代麻省理工学院的实验室,黑客(Hacker)一词是早期麻省理工学院的校园俚语,是手法巧妙、技术高明的“恶作剧”之意。
4.黑客的行为
黑客在网络上自由驰骋,他们喜欢不受束缚,挑战任何技术制约和人为限制。
认为所有的信息都应当是免费的和公开的,黑客行为的核心是要突破对信息本身所加的限制。
7.3.2计算机黑客的入侵
1.黑客怎样进入用户计算机
黑客是通过什么途径进入到用户计算机中的呢?
黑客是通过特洛伊木马软件进入用户计算机中的。
2.黑客攻击的步骤
黑客攻击总是先分析目标系统正在运行哪些应用程序,目前可以获取哪得权限,有哪些漏洞可以加以利用,并最终利用这些漏洞获取超级用户权限,以达到他们攻击的目的。
3.黑客入侵后的特征
黑客入侵用户的计算机后总会有某种动作,这样就会留下蛛丝马迹,用户就可以发现它的存在。
7.3.3计算机黑客的预防
1.加强防范意识
①不要轻易运行来历不明和从网上下载的软件,即使通过了一般反病毒软件的检查也不要轻易运行。
②保持警惕性,不要轻信熟人发来的E-mail没有黑客程序,如Happy99就会自动加在E-mail附件当中。
③不要在聊天室内公开自己的E-mail地址,对来历不明的E-mail应立即清除。
④不要随便下载软件(特别是不可靠的FTP站点)。
⑤不要将重要口令和资料存放在上网的计算机里。
2.设置安全口令
通过获取口令对系统进行攻击,是多数黑客常用的方法。
所以,攻击者进入系统时首先是寻找系统是否存在没有口令的户头,其次是试探系统是否有容易猜出的口令,继而用大量的词来尝试,看是否可以登录。
3.黑客监视器软件
(1)端口监视器软件NukeNabber:
(2)线程监视器软件Tcpview.exe:
章节内容
§7.4计算机防火墙技术
7.4.1防火墙的概念
7.4.2防火墙的作用
7.4.3防火墙的结构
7.4.4防火墙的不足
教学思想
在教学过程中,重点介绍防火墙的基本概念、基本功能作用、基本结构和基本类型。
要特别强调防火墙在网络安全方面不是万能的,只是一种辅助手段。
7.4.1防火墙的概念
1.什么是防火墙
防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络互联设备,如路由器、网关等。
它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,以此决定网络之间的通信是否被允许。
它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
2.防火墙的基本特性
防火墙可以看成是安装在两个网络之间的一道栅栏,所以它应具有以下3方面的特性:
①所有在内部网络和外部网络之间传输的数据必须通过防火墙;
②只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;
③防火墙本身不受各种攻击的影响。
3.防火墙的基本准则
所谓防火墙的基本准则,实际上就是设计防火墙的基本原则和应该实现的基本功能。
(1)过滤不安全服务:
基于这个准则,防火墙应封锁所有信息流,然后对安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。
这是一种非常有效而实用的方法,可以形成十分安全的环境,因为只有经过仔细挑选的服务才能允许被用户使用。
(2)过滤非法用户和访问特殊站点:
基于这个准则,防火墙应先允许所有的用户和站点对内部网络进行访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。
这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。
7.4.2防火墙的作用
1.保护那些易受攻击的服务
防火墙负责保护因特网和内部网络之间的访问,是网络的安全屏障。
2.可以强化网络安全策略
防火墙不仅允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客、网络破坏者等进入网络内部),而且能控制对特殊点的访问。
3.对网络存取和访问进行监控审计
所有的访问都经过防火墙后,记录下来的这些访问信息就作为日志记录记载了,同时也就能为网络使用情况提供统计数据。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
5.缓和地址空间的不足
过去,因特网曾经历了地址空间危机,它造成注册的IP地址没有足够的地址资源,因而使得一些想连接因特网的机构无法获得足够的注册IP地址来满足其用户总数的需要。
7.4.3防火墙的结构
1.双宿主机网关(DualHomedGateway)
双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙,这两个网络适配器中一个是网卡,与内网相连,另一个根据与Internet的连接方式,可以是网卡、调制解调器或ISDN卡等,其结构如图7-3所示。
2.屏蔽主机网关(ScreenedHostGateway)
分单宿堡垒主机和双宿堡垒主机两种类型,两种结构都易于实现,而且也很安全。
①单宿堡垒主机。
连接方式如图7-4所示。
在此方式下,一个包过滤路由器连接外部网络,同时一个单宿堡垒主机安装在内部网络上。
②双宿堡垒主机。
连接方式如图7-5所示。
与单宿堡垒主机的区别是双宿堡垒主机有两块网卡,一块连接内部网络,一块连接路由器。
3.屏蔽子网(ScreenedSubnetGateway)
屏蔽子网就是在内部网络与外部网络之间建立一个起隔离作用的子网。
该子网通过两个包过滤路由器分别与内部网络和外部网络连接。
内部网络和外部网络均可访问屏蔽子网,虽然不能直接通信,但可以根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络之间的互访提供代理服务。
向外部网络公开的服务器如WWW、FTP、E-mail等,可安装在屏蔽子网内。
这样,无论是外部用户还是内部用户都可以访问。
屏蔽子网的结构如图7-6所示。
4.防火墙产品
国外的知名产品有Checkpoint公司的Firewall-1,SonicSystem公司的Sonicwall,NetScreen公司的NetAcreen,Alkater公司的InternetDevice,NAI公司的Gauntlet等。
国内的知名产品有天融信网络卫士防火墙、东软网眼防火墙、联想网防御防火墙等。
面向个人用户的防火墙产品,有瑞星防火墙、金山网镖、思科公司的PIX防火墙、天网防火墙等。
7.4.4防火墙的不足
防火墙虽然具有上述作用,但其作用毕竟是有限的。
就目前来说,它还存在许多的不足,主要体现在以下4个方面。
1.不能防范内部用户
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘上带走。
内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而可以不用接近防火墙。
防火墙对内部入侵者是无能为力的,只能加强内部管理。
2.不能防范不通过它的连接
防火墙能够有效地防止通过它进行传输的信息,但不能防止不通过它而传输的信息。
例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3.不能防范未知的威胁
一个设计很好的防火墙,可以用来防御已知的和可能出现的威胁,但不能自动防御所有未知的和新的威胁。
4.不能防范病毒
防火墙不能消除网络上的PC的病毒。
虽然许多防火墙扫描所有通过的信息,以决定是否允许它通过内部网络,但扫描是针对源、目标地址和端口号的,而不扫描数据的具体内容。
章节内容
§7.5计算机密码技术
7.5.1密码技术的概念
7.5.2常用加密方法
7.5.3数字认证技术
教学思想
在教学中,要阐述密码技术的起源,了解数据加密技术的重要作用,了解常用加密算法;了解现代数据加密技术和数字认证技术。
7.5.1密码技术概念
1.加密和解密
密码技术包括数据加密和解密两部分。
其中,加密是把需要加密的报文按照以密码钥匙(简称密钥)为参数的函数进行转换,产生密码文件;解密是按照密钥参数进行解密,还原成原文件。
数据加密和解密的过程是在信源发出与进入通信之间进行加密,经过信道传输,到信宿接收时进行解密,以实现数据通信保密。
加密与解密的过程如图7-7所示。
2.密钥体系
加密和解密是通过密钥来实现的。
如果把密钥作为加密体系标准,则可将密码系统分为单钥密码(又称对称密码或私钥密码)体系和双钥密码(又称非对称密码或公钥密码)体系。
3.密码技术的基本要求
使用密码技术的目的是为了信息在传递过程中不让非法接收者了解信息内容。
因此,信息的安全传递至少包括四个基本要素:
保密(机密性)、可验证性、完整性和不可性否认性。
(1)保密(Privacy):
(2)验证(Authentication):
(3)完整(Integrity):
(4)不可否认性(Nonrepudiation):
7.5.2常用加密方法
1.古典加密方法
古典加密方法也称传统加密方法,加密的历史可以追溯到文字通信的开始。
常用的古典加密方法有代换加密法、置换密码法、二进制运算法等。
古典加密方法通常靠手工来实现。
(1)代换密码(SubstitutionCipher):
是用一个或一组字符代换另一个或另一组字符,以起到伪装掩饰的作用。
代换密码有单字符加密方法和多字符加密方法两种。
(2)转换密码:
不是隐藏它们,而是靠重新安排字母的次序。
2.现代加密方法
从20世纪50年代至今,被称为现代密码时期。
这一时期是以香农(Shannon)发表的《保密系统的通信理论》(CommunicationTheoryofSecrecySystem)为理论基础,代表着密码学的研究进入了新的发展轨迹。
现阶段对信息的加密和解密,通常是利用计算机来实现。
7.5.3数字认证技术
数字认证技术中涉及到数字签名、数字时间戳、数字证书和认证中心等。
1.数字签名
数字签名是指人们对书信或文件的验收时根据亲笔签名或盖章来证实接收者的真实身份。
2.数字时间戳
数字时间戳(DTS)就是为电子文件发表的时间提供安全保护和证明。
3.数字证书
数字证书是用来证实你的身份或对网络资源访问的权限等可出示的一个凭证。
4.认证中心(CA)
认证中心是承担网上安全电子交易认证服务的,是签发数字证书并能确认用户身份的服务机构。
问题讨论
1.你认为确保计算机信息安全的意义何在?
2.你认为确保计算机信息安全的关键是什么?
3.你认为计算机信息安全技术的发展趋势主要有哪些方面?
本章小结
网络的安全性和可靠性是有效使用的前提。
计算机网络安全技术包括病毒防治技术、黑客防范技术、网络防火墙技术、数据加密技术、数字认证技术、虚拟专用网技术等。
本章作业
第7章课后习题
本章实训
为了提高计算机网络和信息安全的综合应用能力,应完成以下实训内容:
1.瑞星杀毒软件2.Windows7内置防火墙3.数据加密软件PGP。
教学感悟
升级会员 