1、1第9章 信息安全 9.1 概述 9. 計算機安全（病毒及其防治） 9. 網絡安全（黑客攻防、防火墻技術） 9. 信息安全技術（加密解密、數字簽名、數字證書）2EmailEmailWebWebISPISP門戶網站門戶網站E-CommerceE-Commerce電子交易電子交易復雜程度復雜程度時間時間9.1 9.1 概述概述Internet 變得越來越重要變得越來越重要安全問題日益突出電子商務電子商務WWW站點和WWW服務，它提供了一系列豐富的資源和服務，諸如電子郵件、論壇、搜索引擎、在線購物等。3計算機病毒計算機病毒 1988年11月美國康乃爾大學（Cornell University）的研究

2、生羅伯特.莫里斯(Robert Morris)利用UNIX操作系統的一個漏洞，制造出一種蠕蟲病毒，造成連接美國國防部、美軍軍事基地、宇航局和研究機構的6000多臺計算機癱瘓數日，整個經濟損失達9600萬美元。莫里斯于1990年1月21日被美聯邦法庭宣判有罪，處以5年監禁和25萬美元的罰款。 病毒芯片4病毒芯片病毒芯片 1991年海灣戰爭期間，美國特工得知伊拉克軍隊的防空指揮系統要從法國進口一批電腦，便將帶有計算機病毒的芯片隱蔽地植入防空雷達的打印機中。美軍在空襲巴格達之前，將芯片上的病毒遙控激活，使病毒通過打印機侵入伊拉克軍事指揮中心的主計算機系統，導致伊軍指揮系統失靈，整個防空系統隨即癱瘓，

3、完全陷入了被動挨打的境地。黑客入侵5黑客非法入侵黑客非法入侵英國電腦奇才貝文，14歲就成功非法侵入英國電信公司電腦系統，大打免費電話。后來他出、入世界上防范最嚴密的系統如入無人之境，如美國空軍、美國宇航局和北約的網絡。1996年因涉嫌侵入美國空軍指揮系統，被美國中央情報局指控犯有非法入侵罪。1998年8月21日，來自上海某著名大學的碩士研究生楊某，擅自非法闖入上海某大型信息平臺，并盜用上網時間，他以“破壞計算機信息系統”罪被逮捕。2003年10月甘肅省會寧縣郵政局的系統維護人員張某，破解數道密碼，進入郵政儲蓄專用網絡，盜走80多萬元，這起利用網絡進行遠程金融盜竊的案件暴露出目前網絡系統存在許多

4、安全漏洞。信息安全6信息安全的威脅主要來自于 自然災害的威脅 系統故障 操作失誤 人為的蓄意破壞信息安全是什么？信息安全是什么？信息安全是指信息的保密性、完整性和可用性的保持。 保密性：保障信息僅僅為那些被授權使用的人所獲取。完整性：保護信息及其處理方法的準確性和完整性。可用性：保障授權使用人在需要時可以獲取和使用信息。計算機安全通過加強管理和采取各種技術手段來解決。對于病毒的破壞和黑客的攻擊等人為的蓄意破壞則需要進行綜合防范。7信息安全信息安全信息安全、計算機安全和網絡安全的關系信息安全、計算機安全和網絡安全的關系 信息、計算機和網絡是信息、計算機和網絡是三位一體、不可分割三位一體、不可分割

5、的整體。信息的整體。信息的采集、加工、存儲是以計算機為載體的，而信息的共享、的采集、加工、存儲是以計算機為載體的，而信息的共享、傳輸、發布則依賴于網絡系統。傳輸、發布則依賴于網絡系統。 如果能夠保障計算機的安全和網絡系統的安全，就可以保如果能夠保障計算機的安全和網絡系統的安全，就可以保障和實現信息的安全，因此，障和實現信息的安全，因此，信息系統的安全內容包含了信息系統的安全內容包含了計算機安全和網絡安全的內容計算機安全和網絡安全的內容。8計算機安全計算機安全 計算機安全計算機安全（ ISO，國際標準化組織的定義）是指為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數據不因

6、偶然和惡意的原因而遭到破壞、更改和泄密。 物理安全：物理安全：指計算機系統設備受到保護，免于被破壞、丟失等。 邏輯安全：邏輯安全：指保障計算機信息系統的安全，即保障計算機中處理信息的完整性、保密性和可用性。 網絡安全9網絡安全網絡安全網絡安全網絡安全：本質上講是：本質上講是網絡上的信息安全網絡上的信息安全，是指網絡，是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷統連續可靠正常地運行，網絡服務不中斷。109.9.計算

7、機安全（病毒及其防治）計算機安全（病毒及其防治）主要是概念,了解病毒的相關知識,具有防衛意識病毒的定義和特點傳統病毒傳統病毒:單機單機現代病毒現代病毒:網絡網絡蠕蟲病毒蠕蟲病毒木馬病毒木馬病毒 確診病毒確診病毒清除病毒清除病毒預防病毒預防病毒殺毒軟件殺毒軟件專殺工具專殺工具手工清除手工清除根據具體病毒特征根據具體病毒特征網上免費查毒網上免費查毒111 1計算機病毒的定義、特點及危害計算機病毒的定義、特點及危害 計算機病毒計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者

8、程序代碼。計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。主要特點：破壞性，傳染性，隱蔽性，可觸發性主要特點：破壞性，傳染性，隱蔽性，可觸發性 主要危害主要危害: : 占用系統資源，破壞程序或數據，影響系統運行占用系統資源，破壞程序或數據，影響系統運行 注意：雖然機器上存在病毒，但只要病毒代碼不被執行，那么病毒就不會注意：雖然機器上存在病毒，但只要病毒代碼不被執行，那么病毒就不會起作用。起作用。病毒病毒(程序或一組指令程序或一組指令)病毒進程病毒進程其他文件其他文件磁盤、磁盤、U盤等盤等其他計算機其他計算機破壞數據破壞數據消耗系統資源消耗系統資源入侵并竊取機密信息入侵并竊取機密信息 磁

9、盤、磁盤、U盤等外存中盤等外存中內存中內存中傳染傳染破壞破壞病毒的觸發12一組固化到主板ROM芯片中的程序，保存了計算機最重要的基本輸入輸出的程序、系統設置信息、開機自檢程序和系統啟動自舉程序。 2 2計算機病毒的分類計算機病毒的分類（1 1）傳統病毒傳統病毒 （單機環境下）（單機環境下）引導型病毒：系統一啟動時病毒就被激活。如“小球”病毒,影響屏幕顯示 。文件型病毒：病毒寄生在可執行程序體內，只要程序被執行，病毒就被激活，并將自身駐留在內存，進行傳染與破壞。如“CIH病毒” ,破壞系統的BIOS。宏病毒：打開帶有宏病毒的office文檔，病毒就被激活，并駐留在NormalNormal模板上模

10、板上，所有自動保存的文檔都會感染上這種宏病毒，如“Taiwan NO.1”宏病毒,提示用戶操作,影響系統運行 ?；旌闲筒《荆杭雀腥究蓤绦形募指腥敬疟P引導記錄的病毒。13（2 2）現代病毒（網絡環境下）現代病毒（網絡環境下） 特點：傳染方式多：網頁瀏覽、郵件收發、文件下載等傳播速度快：能迅速傳到世界各地（通過Internet）破壞性強： 占用網絡帶寬，造成網絡擁塞甚至網絡系統癱瘓清除難度大：涉及整個網絡14 現代病毒（網絡環境下）現代病毒（網絡環境下）兩大類： ）蠕蟲病毒：1988年11月美國康奈爾大學的學生Robert Morris（羅伯特.莫里斯）編寫的“莫里斯蠕蟲”病毒蔓延，造成了數千臺

11、計算機停機，蠕蟲病毒開始現身于網絡。 利用網絡的通信功能將自身不斷地從一個結點發送到另一個結點，并且能夠自動啟動的程序 ，這樣不僅消耗了大量的本機資源，而且大量占用了網絡的帶寬，導致網絡堵塞而使網絡服務被拒絕，最終造成整個網絡系統的癱瘓。15例如：“沖擊波”病毒利用Windows系統中的RPC漏洞(遠程過程調用) 進行傳染。破壞：機器會莫名其妙地死機或重新啟動計算機，IE瀏覽器不能正常地打開鏈接，不能進行復制粘貼，應用程序出現異常，如Word無法正常使用，上網速度變慢。特征：在任務管理器中可以找到一個“msblast.exe”的進程在運行。16 2）木馬病毒：實質是一段計算機程序，木馬程序由兩

12、部分組成，客戶端（一般由黑客控制）和服務端（隱藏在感染了木馬的用戶機器上），服務端的木馬程序會在用戶機器上打開一個或多個端口與客戶端進行通信，這樣黑客就可以竊取用戶機器上的賬號和密碼等機密信息，甚至可以遠程控制用戶的計算機，如刪除文件、修改注冊表、更改系統配置等。例如 :安哥病毒（Backdoor.Agobot）(木馬 + 蠕蟲) 利用系統的安全漏洞進行攻擊 危害：造成計算機無法進行復制、粘貼等操作，無法正常使用如Office和IE瀏覽器等軟件，并且大量浪費系統資源，使系統速度變慢甚至死機，該病毒還利用在線聊天軟件開啟后門盜取用戶正版軟件的序列號等重要信息。 預防：更新系統、安裝系統補丁17提

13、高計算機安全性的措施1. 安裝殺毒軟件安裝殺毒軟件 作用：檢查計算機是否感染上病毒，消除已感染的部作用：檢查計算機是否感染上病毒，消除已感染的部分病毒分病毒購買或者從網絡下載殺毒軟件購買或者從網絡下載殺毒軟件 金山毒霸金山毒霸： http:/ 瑞星殺毒軟件：瑞星殺毒軟件：http:/ 諾頓防毒軟件：諾頓防毒軟件：http:/ 江民殺毒軟件：江民殺毒軟件：http:/查毒、殺毒查毒、殺毒實時監控實時監控防火墻防火墻182. 打補丁打補丁這是提高計算機安全性最有效的方法之一這是提高計算機安全性最有效的方法之一 方法一：方法一：“開始開始 所有程序所有程序 | Windows Update”方法二：

14、幫助系統方法二：幫助系統193. 免費在線查毒免費在線查毒首先確診病毒類型，首先確診病毒類型，然后調用專殺工具然后調用專殺工具例如：例如：HTTP:/WWW.RISING.COM.CN/ 204. 手工清除手工清除 要求了解病毒的相關知識要求了解病毒的相關知識 通過通過Internet查閱病毒的有關知識及清除方法查閱病毒的有關知識及清除方法例如：新歡樂時光（例如：新歡樂時光（VBS.KJ）病毒）病毒 特征特征： 文件夾中存在：文件夾中存在：DESKTOP.INI、 FOLDER.HTT 這兩個文件具有隱藏屬性這兩個文件具有隱藏屬性 打開任一個文件夾，上述兩個文件就進入該文件夾打開任一個文件夾，

15、上述兩個文件就進入該文件夾 清除方法清除方法： 搜索計算機上所有的搜索計算機上所有的DESKTOP.INI和和FOLDER.HTT后，后， 然后刪除然后刪除21病毒的預防：病毒的預防： 預防為主，防治結合預防為主，防治結合病毒進入計算機的主要途徑：病毒進入計算機的主要途徑：電子郵件的附件電子郵件的附件附件為附件為html和和exe文件等文件等不要隨便打開附件不要隨便打開附件（電子郵件服務商采取了（電子郵件服務商采取了措施后這種病毒越來越少）措施后這種病毒越來越少）安裝插件程序安裝插件程序執行執行EXE文件文件使用盜版游戲程序使用盜版游戲程序通過局域網傳播通過局域網傳播如：沖擊波、振蕩波病毒如：

16、沖擊波、振蕩波病毒解決方法：打補丁、安裝防火墻解決方法：打補丁、安裝防火墻瀏覽惡意網頁瀏覽惡意網頁通過通過U盤傳播盤傳播只只能能注注意意229. 網絡安全技術網絡安全技術以概念為主，了解黑客攻擊的大概過程 了解防火墻的基本概念及其作用信息收集信息收集探測分析系統的探測分析系統的安全弱點安全弱點 金山防火墻金山防火墻 瑞星防火墻瑞星防火墻Windows自帶的防火墻自帶的防火墻 實施攻擊實施攻擊(2)防火墻技術什么是防火墻什么是防火墻防火墻的作用防火墻的作用常用防火墻常用防火墻(1)黑客攻擊技術231. 黑客的攻防黑客的攻防 黑客（黑客（Hacker）：一般指的是計算機網絡的非法入侵者，他們大都是

17、程序員，對計算機技術和網絡技術非常精通，了解系統的漏洞及其原因所在，喜歡非法闖入并以此作為一種智力挑戰而沉迷其中。 黑客攻擊目的黑客攻擊目的u 獲取超級用戶的訪問權限u 竊取機密信息（如帳戶和口令）u 控制用戶的計算機u 破壞系統24黑客的攻擊方式1. 信息的收集信息的收集：利用相關的網絡協議或實：利用相關的網絡協議或實用程序來收集預攻擊目標的詳細信息用程序來收集預攻擊目標的詳細信息2. 探測分析系統的安全弱點探測分析系統的安全弱點，尋找安全漏，尋找安全漏洞洞3. 實施攻擊實施攻擊25 防止黑客攻擊的策略1）數據加密：提高了數據傳輸的安全性。）數據加密：提高了數據傳輸的安全性。2 2）身份認證

18、：只對確認了身份的用戶給予相應的訪問權限）身份認證：只對確認了身份的用戶給予相應的訪問權限 。3 3）建立完善的訪問控制策略：設置入網訪問權限、網絡共享）建立完善的訪問控制策略：設置入網訪問權限、網絡共享 資源的訪問權限、目錄安全等級控制等。資源的訪問權限、目錄安全等級控制等。 4 4）端口保護：不隨便打開計算機的端口。）端口保護：不隨便打開計算機的端口。5 5）審計：記錄與安全有關的事件，保存在日志文件以備查詢。）審計：記錄與安全有關的事件，保存在日志文件以備查詢。6 6）保護）保護IPIP地址：代理服務器、路由器，屏蔽內部網絡的結構地址：代理服務器、路由器，屏蔽內部網絡的結構和地址。和地址

19、。7 7）其他安全防護措施：）其他安全防護措施： 不隨便從不隨便從Internet上下載軟件上下載軟件 不運行來歷不明的軟件不運行來歷不明的軟件 不隨便打開陌生人發來的郵件附件不隨便打開陌生人發來的郵件附件 不隨意去點擊具有欺騙誘惑性的網頁超級鏈接不隨意去點擊具有欺騙誘惑性的網頁超級鏈接 262. 防火墻技術防火墻技術 防火墻防火墻是是設置在被保護的內部網絡和外部網絡之間的軟件和硬件設備的組合，對內部網絡和外部網絡之間的通信進行控制，通過監測和限制跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的結構、信息和運行情況。 防火墻的作用防火墻的作用n 監控進出內部網絡或計算機的信息，保護內部網絡或計

20、算機的信息不被非授權訪問、非法竊取或破壞。n 過濾不安全的服務，提高企業內部網的安全 n 限制內部網絡用戶訪問某些特殊站點，防止內部網絡的重要數據外泄，集中化的安全管理，降低成本。 一般Mail, FTP, WWW服務能被外部訪問n 對網絡訪問進行記錄和統計 27Windows 防火墻 可以限制從其他計算機上發送來的信息，對未經允許而嘗試連接的用戶或程序（包括病毒和蠕蟲）提供了一道屏障。 Windows防火墻的功能:能做到不能做到阻止計算機病毒和蠕蟲到達用戶的計算機檢測計算機是否感染了病毒或清除已有病毒請求用戶的允許，以阻止或取消阻止某些連接請求阻止用戶打開帶有危險附件的電子郵件創建安全日志，

21、記錄對計算機的成功連接嘗試和不成功的連接嘗試阻止垃圾郵件或未經請求的電子郵件“天網個人防火墻”： 根據預先設定的過濾規則對網絡數據的流動情況進行分析、監控和管理，提高計算機的抗攻擊能力。289. 信息安全技術信息安全技術 以了解為主，掌握信息安全的基本概念和實際應用。以了解為主，掌握信息安全的基本概念和實際應用。 加密解密：加密解密：了解加密解密的基本概念和原理 數字簽名：數字簽名：了解數字簽名的作用及其應用 數字證書數字證書：了解數字證書的內容及其作用29 數據加密就是將被傳輸的數據轉換成表面上雜亂無章的數據，合法的接收者通過逆變換可以恢復成原來的數據，而非法竊取得到的則是毫無意義的數據。明

22、文:沒有加密的原始數據；密文:加密以后的數據；加密:把明文變換成密文的過程；解密:把密文還原成明文的過程；密鑰:一般是單詞、短語或一串數字 ,用于加密和解密的鑰匙；1.1.數據加密技術數據加密技術30例例9.4.1 替換加密法：就是用新的字符按照一定的規律來替換原來的字符。例如把上面一行的字母用下面一行相對應的字母進行替換，即每個字符的ASCII碼值加5并做模26的求余運算，這里密鑰為5。a b c d e f g h i j k l m n o p q r s t u v w x y zf g h i j k l m n o p q r s t u v w x y z a b c d e那么

23、： 明文： s e c r e t 密文： x j h w j y 解密時只需用相同的方法進行反向替換即可。例例9.4.2 移位加密法：就是按某一規則重新排列明文中的字符順序。如設密鑰為數字24531，那么加密時將密鑰寫成一行，然后將明文“計算機應用”寫在該數字下，按12345的順序抄寫下來“用計應算機”就是加密后的密文。 密鑰： 2 4 5 3 1明文： 計 算 機 應 用 密文： 用 計 應 算 機 解密時只需按照密鑰24531指示的順序重新抄寫一遍密文就可以了。 31 密碼學中根據密鑰使用方式的不同一般分為“對稱密鑰密碼體系”和“非對稱密鑰密碼體系” 1 1）對稱密鑰密碼體系對稱密鑰密碼

24、體系 特點：特點：1）加密速度快，比較適合于加密數據量大的文件內容）加密速度快，比較適合于加密數據量大的文件內容 2）加密的安全性取決于密鑰的安全性）加密的安全性取決于密鑰的安全性 3）加密和解密密鑰相同）加密和解密密鑰相同, 但密鑰的分發管理復雜但密鑰的分發管理復雜, n個人需要個人需要n(n-1)/2把密鑰把密鑰 4）常用算法：）常用算法：DES（美國）（美國） AES（高級）（高級） IDEA（歐洲）（歐洲）322）非對稱密鑰密碼體系非對稱密鑰密碼體系 非對稱加密使用兩個密鑰：非對稱加密使用兩個密鑰：公鑰和私鑰公鑰和私鑰 特點：特點：1）算法復雜，加密速度慢，用于加密關鍵核心數據，如加密

25、密鑰）算法復雜，加密速度慢，用于加密關鍵核心數據，如加密密鑰 2）加密的安全性取決于私鑰的秘密性）加密的安全性取決于私鑰的秘密性 3）密鑰分發管理簡單，）密鑰分發管理簡單，n個用戶，需個用戶，需2n個密鑰個密鑰 4）應用最廣的是）應用最廣的是RSA算法算法應用：一般應用：一般公鑰用于加密，私鑰用于解密公鑰用于加密，私鑰用于解密，如下圖所示，如下圖所示 或用私鑰實現數字簽名，而用公鑰來驗證簽名或用私鑰實現數字簽名，而用公鑰來驗證簽名 332. 2. 數字簽名技術數字簽名技術 數字簽名：通過密碼技術對電子文檔形成的簽名，它類似現實生活中的手寫簽名，但數字簽名并不是手寫簽名的數字圖像化，而是加密后得

26、到的一串數據，如十六進制形式的一串字符“A00117EFF31323CB2”。目的：保證發送信息的真實性和完整性，防止欺騙和抵賴的發生。 數字簽名要能夠實現網上身份的認證，必須滿足以下三個要求：(1) 接收方可以確認發送方的真實身份；(2) 接收方不能偽造簽名或篡改發送的信息；(3) 發送方不能抵賴自己的數字簽名。 34接收方可以確認發送方的真實身份發送方不能抵賴自己的數字簽名數字簽名例AB A發送一份簽名的電子訂單給發送一份簽名的電子訂單給B，委托，委托B按訂單要求進行生按訂單要求進行生產。產。 B收到收到A的電子訂單以后，必須首先確認電子訂單的真偽。的電子訂單以后，必須首先確認電子訂單的真

27、偽。因為因為B只能用只能用A的公鑰解密該電子訂單的公鑰解密該電子訂單，所以，所以B可以確認發可以確認發送方送方A的真實身份。的真實身份。 B按照按照A的訂單要求進行生產。假設三個月后，發生了金融的訂單要求進行生產。假設三個月后，發生了金融危機，經濟不景氣，產品賣不動，那么危機，經濟不景氣，產品賣不動，那么A可以不承認自己可以不承認自己發送的電子訂單嗎？由于發送的電子訂單嗎？由于B擁有擁有A用自己用自己私鑰私鑰簽名的電子訂簽名的電子訂單，只有單，只有A才擁有這個私鑰，所以才擁有這個私鑰，所以A無法抵賴。無法抵賴。 假設三個月后假設三個月后B沒能按照要求完成任務，沒能按照要求完成任務，B想修改訂單

28、中的想修改訂單中的產品數量，不承擔自己違約帶來的損失。由于篡改后的電產品數量，不承擔自己違約帶來的損失。由于篡改后的電子訂單不能用子訂單不能用A的的公鑰公鑰進行解密的，所以進行解密的，所以B不能修改訂單中不能修改訂單中的產品數量。也就是說接收方不能偽造簽名或篡改發送的的產品數量。也就是說接收方不能偽造簽名或篡改發送的信息。信息。 接收方不能偽造簽名或篡改發送的信息35在實際應用中，對電子文檔添加了數字簽名以后，用戶并不能看到自己的簽在實際應用中，對電子文檔添加了數字簽名以后，用戶并不能看到自己的簽名數據，簽名的過程由應用程序自動完成。名數據，簽名的過程由應用程序自動完成。例如在例如在“Outlook Express”中添加數字簽名用戶只需執行中添加數字簽名用戶只需執行“工具工具|數字簽名數字簽名”即可（前提是用戶已經擁有自己的數字證書），用戶看不到簽名的數據，即可（前提是用戶已經擁有自己的數字證書），用戶看不到簽名的數據，但是應用程序會給出提示信息，下面就是添加了數字簽名的新郵件：但是應用程序會給出提示信息，下面就是添加了數