計算機導論陳勃bo.chen@第10章計算機信息安全技術內容提要信息安全問題數據加密數據驗證防火墻計算機病毒信息安全問題

系統的信息安全性出現問題可表現為：系統的服務機能或其中的信息遭到破壞系統用戶的隱秘信息被泄露系統和用戶被虛假的信息所欺騙系統受到其他未造成危害的非授權訪問或操縱造成以上后果的行為都可能被視為計算機犯罪。信息安全問題

人為造成以上安全問題的非物理手段主要有：竊取：非法獲得存儲在系統內的隱秘信息截取：在信息傳輸過程中將其捕獲偽造：捏造虛假信息以及信息來源篡改：將具有合法來源的信息修改后傳播給受眾拒絕服務攻擊（DoS）：采用消耗式或非消耗式方法攻擊服務系統，使其癱瘓非授權訪問：未經系統授權而訪問及使用系統資源行為否認：合法用戶否認或隱瞞已發生的行為利用病毒：制造或傳播計算機病毒以達到各種破壞系統安全性的目的信息安全問題

破壞

泄密

欺騙

拒絕訪問攻擊（DoS）竊取截取偽造篡改行為否認非授權訪問傳播病毒黑客工具防火墻數據加密驗證殺毒防火墻數據加密

明文是指有意義可理解的數據形式。密文是明文數據經過加密處理（可逆函數）后轉換為的不可直接理解的數據形式。將密文數據還原為明文數據的過程稱作解密。在儲存和傳輸數據過程中使用密文可起到保密作用。明文密文儲存、傳輸階段創作、使用階段加密解密數據加密

數據加密技術分為對稱加密（對稱密碼體制）和非對稱加密（公鑰密碼體制）對稱加密：加密和解密時使用相同的密鑰k和互逆的函數

f和f-1

加密過程——密文=f(明文,k)

解密過程——明文=f-1(密文,k)函數f可以公開，但密鑰k是保密的。此種機制可以允許所有擁有密鑰k的用戶加密和解密數據典型的對稱加密技術如DES加密數據加密

非對稱加密：同時創建一對密鑰e和d，加密和解密時分別使用其中的一個以及兩個函數f和g（可能相同）

加密過程——密文=f(明文,e)

解密過程——明文=g(密文,d)函數f和g可以公開，并可以公開密鑰e和d的其中一個作為公鑰（另一個為私鑰），以此分別控制不同用戶加密和解密的權限對于一個安全的非對稱加密算法，應當函數f和g的逆的計算在現實中不可行通過e求解d在現實中不可行，反之亦然典型的非對稱加密技術如RSA加密數據驗證

數據驗證用于防止數據欺騙和數據錯誤，常見的類型有：數據校驗：通過校驗碼發現和修正數據錯誤散列（Hash）摘要技術用于防止數據被篡改或發生錯誤常見的散列技術有MD5、SHA-1等報文T’短代碼（散列碼C=f(T)）長數據段（報文T）散列碼C普通渠道安全渠道散列函數ff(T’)=C?數據驗證

數字簽名技術綜合運用散列摘要技術（MD5、SHA-1等）和非對稱加密技術（RSA等），可鑒別偽造、篡改、錯誤的數據防火墻是一種構建在網絡基礎之上的對網絡上的主機起到安全保護屏障作用的抽象概念。它可以是一臺專屬的硬件設備也可以是架設在一般主機上的一套軟件。在架設有防火墻的網絡上，主機間的信息傳輸流經防火墻時被檢查和分析，并根據一定的安全策略加以篩選過濾，某些帶有危險行為模式的訪問請求或數據包被識別和阻攔。于是網絡主機能夠免于受到這類非法訪問或攻擊的危害。防火墻

計算機病毒

一段計算機程序能夠被稱作病毒一般需要具備以下特征：隱蔽性和非授權訪問——病毒常常被植入到正常程序中，它的存在不易被系統管理者察覺，病毒運行時對系統實施隱蔽的或顯式的帶有各種目的的非授權訪問。復制和傳染——病毒運行時會復制自身代碼，并散播到任何可能訪問到的位置（存儲器、網絡等）上，也可能隨正常程序在人不知情的情況下被復制并散播。計算機病毒

病毒的存在方式：引導寄生——植入到系統的引導扇區或其他引導相關程序，隨系統的啟動而運行，在讀寫其他外存時感染到它們的引導扇區上可執行程序寄生——植入到普通可執行程序中，隨程序的運行而運行，能夠自我復制并植入到其他可執行程序宏病毒——用word宏代碼編寫，存在于word文檔中，在執行宏代碼時運行計算機病毒

獨立存在的“病毒程序”——作為獨立的程序存在，常使用某些機制使它們自動被系統運行（例如修改系統配置、利用自動執行機制等）并難以刪除（例如利用守護進程）；這類程序常被稱作“惡意程序”而非病毒網頁及郵件病毒——用網頁腳本語言編寫，存在于網頁或郵件中，在瀏覽網頁或郵件時隨腳本代碼運行。此類病毒可直接經由受感染的計算機在網絡上繼續散播（郵件），也可能對受感染的計算機實施修改或為其下載并運行其他病毒或惡意程序計算機病毒

病毒進行非授權訪問的目的主要有：破壞系統內的數據或服務機能為黑客工具或其他病毒的后續攻擊制造或尋找系統漏洞（木馬、后門）竊取用戶隱秘信息（木馬、后門）惡作劇、信息傳播等計算機病毒

防范計算機病毒的方法有：不打開可疑的文件或郵