計算思維導論07-信息安全的基本思維課件

1、7 信息安全的基本思維天津科技大學計算機公共基礎系1目 錄7.1 信息安全概述7.2 信息安全防范措施7.3 計算機病毒和木馬7.4 黑客與計算機犯罪7.5 信息道德與法規(guī)7.1.1 信息安全的含義信息安全兩個含義：（1）信息的安全（2）信息系統(tǒng)的安全1信息的安全信息的安全主要包括保證數據的保密性、真實性和完整性，避免意外損壞或丟失以及非法用戶的竊聽、冒充、欺騙等行為；保證信息傳播的安全，防止和控制非法、有害信息的傳播，維護社會道德、法規(guī)和國家利益。信息的安全信息安全的信息包括三個方面：（1）需要保密的信息。 個人信息， 企業(yè)、事業(yè)、機關單位等需要保密的信息 有關國家安全的信息（2）需要防止丟

2、失或損壞的信息。（3）需要防止冒充和欺騙的信息。信息的安全【例7.1】 信息安全事件案例1。2013年6月曝光的美國“棱鏡門”事件。信息的安全【例7.2】 信息安全事件案例2。2005年，同學錄網站5460（/）發(fā)生信息泄露，信息的安全【例7.3】 信息安全事件案例3。假冒網上銀行、網上證券網站，騙取用戶賬號密碼并實施盜竊2信息系統(tǒng)的安全信息系統(tǒng)安全是指保證信息處理和傳輸系統(tǒng)的安全，它重在保證系統(tǒng)正常運行，避免因系統(tǒng)故障而對系統(tǒng)存儲、處理和傳輸的信息造成破壞和損失，避免信息泄露、干擾他人。主要包括計算機機房的安全、硬件系統(tǒng)的可靠運行和安全、網絡的安全、操作系統(tǒng)安全、應用軟件安全、數據庫系統(tǒng)安全

3、等。7.1.2 信息安全的風險來源信息安全的風險主要包括非法授權訪問、假冒合法用戶身份、破壞數據、干擾系統(tǒng)的正常運行、病毒破壞、通信線路竊聽等。信息安全的威脅，主要來源于信息系統(tǒng)自身的缺陷、人為的威脅與攻擊以及物理環(huán)境的缺陷。1信息系統(tǒng)自身缺陷信息系統(tǒng)自身的安全問題包括硬件系統(tǒng)、軟件系統(tǒng)、網絡和通信協議的缺陷等。（1）來源于設計疏忽，存在缺陷和漏洞。（2）來自于生產者主觀故意。信息系統(tǒng)自身缺陷【例7.4】 信息安全事件案例4。1991年，海灣戰(zhàn)爭爆發(fā)前，美國情報部門在打印機種植入病毒Afgl。信息系統(tǒng)自身缺陷【例7.5】 信息安全事件案例5。2010年2月2日，瑞星公司聲稱發(fā)現360安全衛(wèi)士在

4、安裝進用戶電腦時會偷偷開設后門。2人為因素人為因素主要包括內部攻擊和外部攻擊兩大類。（1）內部攻擊。指系統(tǒng)內合法用戶故意、非故意操作造成的隱患或破壞。（2）外部攻擊。指來自系統(tǒng)外部的非法用戶的攻擊。3物理環(huán)境物理環(huán)境的安全問題，主要包括自然災害、輻射、電力系統(tǒng)故障、蓄意破壞等造成的安全問題。7.1.3 信息安全等級保護信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。信息安全等級保護中華人民共和國信息安全等級保護管理辦法規(guī)

5、定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息安全等級保護將信息系統(tǒng)的安全保護等級分為五級，7.2 信息安全防范措施安全防范措施，主要包括數據備份、雙機熱備份、數據加密、數字簽名、身份認證、防火墻、補丁程序、提高物理安全等。7.2.1 數據備份數據備份是為了預防操作失誤或系統(tǒng)故障導致的數據丟失，而將全部或部分數據從主機的硬盤復制到其他存儲介質的過程。原始數據被誤刪除、破壞，硬盤損壞，計算機系統(tǒng)崩潰，

6、甚至整個機房或建筑遭到毀滅時，可以通過備份盡可能地恢復數據，將損失降到最低。備份需要考慮備份的時機、存儲介質和安全三個要素。1備份的時機每次備份都要花費一定的時間和成本。人們經常根據數據的重要程度考慮數據備份的頻率，一般越重要的數據備份的間隔越短。2備份的存儲介質數據備份 的存儲設備和介質，如軟盤、本地硬盤、光盤、移動硬盤、移動存儲設備以及磁帶機等。在網絡中，可以設置專門的備份服務器，3備份的安全備份主要用于在災難發(fā)生時恢復數據，降低損失，所以必須將備份安全存放。（1）將備份保存在本地硬盤中（2）備份保存在同一建筑的文件柜中（3）將備份保存在另一個建筑中（4）將備份保存在銀行的保險柜里（5）通

7、過網絡保存在其他城市的數據中心4備份的操作備份的操作過程：（1）數據從本地硬盤中復制到其他存儲介質（2）數據通過Internet上傳到遠程的存儲空間中，如百度云盤（3）使用Ghost工具備份的操作（4）使用Windows的備份和還原工具。7.2.2 雙機熱備份如果服務器出現故障，要求在最短的時間內排除故障、恢復工作或者保證系統(tǒng)連續(xù)工作，此時可以采用雙機熱備份。雙機熱備份是一種軟硬件結合的容錯應用方案。由兩臺服務器系統(tǒng)和一個外接共享磁盤陣列及相應的雙機熱備份軟件組成，雙機熱備份雙機熱備份系統(tǒng)采用“心跳”方法保證主從服務器之間的聯系。7.2.3 數據加密數據加密是將明文加密成密文后進行傳輸和存儲，

8、它主要用于防止信息在傳輸和存儲過程中被非法用戶閱讀。加密技術包括對稱密鑰體系和非對稱密鑰體系。數據加密【例7.6】 凱撒大帝的加密術古羅馬戰(zhàn)爭中，為了避免信件在傳輸中被敵方截獲，凱撒大帝設計了一套加密方法。明文為“GOOD MORNING”，密文為“JRRG PRUQLQJ”數據加密為了提高算法的復雜度，可以考慮將對照表中的字母的對應關系打亂1對稱密鑰體系傳統(tǒng)加密技術的工作模式是對稱密鑰體系，加密和解密使用相同密鑰。在這種工作方式下，密碼需要從發(fā)送者傳送到接收者。在傳輸密碼的過程中，有可能被攻擊者截獲。加密的算法不變，而密鑰不斷變化，可能破解密碼。密碼的長度決定破解密碼的困難程度。加密方法（1

9、）使用Winrar在壓縮時加密，加密和解密的密碼相同?！纠?.7】 使用Winrar將文件夾壓縮并設置解壓縮的密碼。加密方法（2）使用Windows的NTFS的加密。【例7.8】 使用Windows系統(tǒng)中的NTFS加密文件夾。加密方法（3）使用加密軟件，如神盾加密、加密大師等。2非對稱密鑰體系非對稱密鑰體系是指加密和解密使用不同密鑰的方法接收方有一對密鑰：（1）公開密鑰（2）私有密鑰。數字證書數字證書是一個由證書授權機構（CA）簽發(fā)的包含公開密鑰擁有者信息、公開密鑰的文件?？梢詫W絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。數字證書中國

10、的證書頒發(fā)機構包括：中國金融認證中心（簡稱CFCA，網址為）、上海市數字證書認證中心（簡稱CTCA，網址為）、天津市電子認證中心（網址為/）等。CA認證中心一般可以提供域名證書、代碼簽名證書、個人證書、單位證書、VPN證書等，HTTPSHTTPS（Hyper Text Transfer Protocol over Secure Socket Layer，即安全超文本傳輸協議）由Netscape開發(fā)并內置于瀏覽器中，對數據進行加密和解密操作，并返回網絡上傳送回的結果。HTTPS是以安全為目標的HTTP通道，其中加入了SSL層，用于進行安全的HTTP數據加密傳輸，用戶還可以確認發(fā)送者身份。HTTP

11、SHTTPS查看證書7.2.4 數字簽名數字簽名采用頒發(fā)者（CA）頒發(fā)的數字證書，針對法律文件或商業(yè)文件等保證信息傳輸的完整性、發(fā)送者的身份認證，防止交易中的抵賴發(fā)生。數字證書【例7.10】 數字證書能夠用于確保E-mail信息的保密性、完整性和確認發(fā)信方身份的真實性。使用數字證書發(fā)送簽名或加密的電子郵件。簽名使得對方可以對您的身份進行驗證，以保證這封郵件確實由您發(fā)出，而不是來自他人，且郵件在發(fā)送的過程中沒有被任何人篡改；加密使得您的郵件在傳輸過程中不會被除了接收方以外的任何人看到。數字證書數字證書（5）用戶A在寫郵件時，可以在電子郵件中加入用戶A的數字簽名，收件人可以通過數字簽名確認用戶A的

12、身份。（6）收件人在收到用戶A的電子郵件后，可以將用戶A的證書添加到通訊簿中。此后，在給用戶A發(fā)E-mail時，只要單擊“加密”按鈕，就可以使用用戶A的公鑰給用戶A發(fā)加密的電子郵件了。7.2.5 身份認證身份認證是指證實主體的真實身份與其所聲稱的身份是否相符的過程。身份認證是訪問控制的前提，用于防止假冒身份的行為，對信息安全極為重要。身份認證1口令認證（1）用戶名和口令認證。不安全的口令： 位數較少的密碼，比較容易被破解，如123、abc。 密碼是一個簡單的英文單詞或者漢字拼音音節(jié) 密碼只有一個字符集， 都不安全的相關信息：生日、用戶名與密碼相同、規(guī)律性太強的密碼（如111111、123456

13、、aaaaaa），在所有場合使用同一個密碼、長時間使用同一個密碼。身份認證安全的密碼應該是與本人的身份信息內容無關，基本無規(guī)律，位數足夠長，由小寫字母、大寫字母、數字字符和標點符號集組合而成，使得密碼的窮舉空間足夠大，難以被窮舉破解。身份認證（2）電子口令卡網上銀行給用戶的網銀賬號派發(fā)電子口令卡，以矩陣形式顯示口令令卡。身份認證2USB KeyUSB Key是一種USB接口的硬件設備。它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰算法實現對用戶身份的認證，身份認證3持證認證通過個人持有的物品，如身份證、軍官證、電話的SIM卡、銀行IC卡

14、、門禁卡等進行身份認證。身份認證3生物識別生物識別依據人類自身固有的生理和行為特征進行身份認證。生物識別的優(yōu)點是無法仿冒，缺點是較昂貴、不夠穩(wěn)定、識別率較低。身份認證（1）指紋識別。指紋是指人的手指末端的正面皮膚上凹凸不平所產生的紋線，具有終身不變性和唯一性。身份認證（2）手掌幾何識別手掌幾何識別是通過測量使用者的手掌和手指的物理特性來進行識別，不僅性能好，而且使用比較方便，其準確性可以非常高。身份認證（3）視網膜識別。視網膜是眼睛底部的血液細胞層，視網膜識別技術要求激光照射眼球的背面以獲得視網膜特征的唯一性身份認證（4）簽名識別。簽名識別是根據每個人自己獨特的書寫風格進行鑒別，分為在線簽名鑒

15、定和離線簽名鑒定。身份認證（5）面部識別。面部識別是使用攝像頭等裝置，以非接觸的方式獲取識別對象的面部圖像。計算機系統(tǒng)在獲取圖像后與數據庫圖像進行比對后完成識別過程身份認證（6）靜脈識別。靜脈識別系統(tǒng)實時采取靜脈圖，運用先進的濾波、圖像二值化、細化手段對數字圖像提取特征，采用復雜的匹配算法同存儲在主機中靜脈特征值進行比對匹配，從而對個人身份進行鑒定。7.2.6 防火墻防火墻指的是一個由軟件和硬件設備組合而成，在內部網和外部網、專用網與公共網、計算機和它所連接的網絡之間構造的保護屏障。防火墻的本質是允許合法而禁止非法數據往來的安全機制，防止非法入侵者侵入網絡、盜竊信息或者破壞系統(tǒng)安全。防火墻1防

16、火墻的功能（1）網絡安全的屏障。（2）強化網絡安全策略。（3）監(jiān)控網絡存取和訪問。（4）防止內部信息的外泄。防火墻2防火墻的缺陷（1）防火墻不能防范全部威脅。（2）防火墻一般不能防范內部主動發(fā)起的攻擊。（3）防火墻只能防范通過它的連接。（4）防火墻本身可能出現安全漏洞和受到攻擊。（5）防火墻不能防止感染了病毒的軟件和文件的傳輸。（6）防火墻規(guī)則設定復雜，必須由專業(yè)的安全人員來管理。防火墻3防火墻的分類防火墻包括硬件防火墻和軟件防火墻兩類。防火墻【例7.11】 Windows自帶的防火墻。防火墻7.2.7 漏洞、后門、補丁程序和安全衛(wèi)士1漏洞漏洞是在硬件、軟件和協議的具體實現或系統(tǒng)安全策略上存在

17、的缺陷，使得攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。漏洞可能來自軟件設計的缺陷或編碼錯誤，也可能來自業(yè)務處理過程的設計缺陷。后門2后門后門程序一般是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權的程序。在軟件的開發(fā)階段，程序員常常會在軟件內創(chuàng)建后門程序以便修改和維護程序。如果在發(fā)布軟件之后仍然存在后門程序，那么很容易被黑客當成漏洞進行攻擊。補丁程序3補丁程序補丁程序是為了提高系統(tǒng)的安全，軟件開發(fā)者編制并發(fā)布的專門修補軟件系統(tǒng)在使用過程中暴露的漏洞的小程序。安全衛(wèi)士4安全衛(wèi)士由于漏洞、補丁經常發(fā)布和更新，普通用戶無力管理，此時可以通過金山衛(wèi)士、360安全衛(wèi)士等工具幫助自己管理。7.2.8 提高物理

18、安全提高計算機和網絡的物理安全性，包括門禁系統(tǒng)、監(jiān)控系統(tǒng)、消防系統(tǒng)、機房專用空調CRAC、UPS電源、防靜電地板等。提高物理安全1加強環(huán)境的安全保衛(wèi)加強環(huán)境的安全保衛(wèi)，可以考慮安裝門禁系統(tǒng)、鋼鐵柵欄、紅外線報警裝置、攝像頭、設立保安等。提高物理安全2加強防災抗災能力地震、火災、爆炸、水災、輻射等災害可能造成網絡、計算機系統(tǒng)的安全問題。（1）提高樓宇防震級別，固定各種設備防止傾倒，預防地震造成的損失。（2）使用阻燃、隔熱材料裝修機房（3）選擇好機房的地理位置、高度，防止洪水等災害（4）機房滅火時，用七氟丙烷氣體滅火器。提高物理安全3使用不間斷電源和防靜電地板為了防止電力系統(tǒng)突然停電、電壓突變，導

19、致系統(tǒng)損壞、數據丟失，可以安裝不間斷電源（Uninterrupted Power Supply，UPS）。提高物理安全4物理隔離物理隔離是指內部網絡不直接或間接地連接公共網絡，其目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受人為破壞和搭線竊聽等攻擊。7.3 計算機病毒和木馬計算機病毒是一種人為設計的計算機程序，能夠自我復制和傳播，能破壞計算機系統(tǒng)、網絡和數據。計算機病毒的特點：（1）人為編寫。（2）破壞性。（3）可傳播性。（4）潛伏性。（5）頑固性。（6）變異性。病毒3病毒的危害（1）病毒直接破壞計算機數據信息。（2）占用磁盤空間。（3）搶占系統(tǒng)資源。（4）影響計算機運行速度。（

20、5）計算機病毒錯誤與不可預見的危害。（6）計算機病毒的兼容性對系統(tǒng)運行的影響。（7）計算機病毒給用戶造成嚴重的心理壓力。病毒4病毒分類按照病毒保存的媒體，病毒可以分為：（1）網絡病毒（2）文件病毒（3）引導型病毒（4）混合型病毒病毒按照病毒傳染的方式可分為（1）駐留型病毒（2）非駐留型病毒病毒按照病毒破壞的能力，可以分為（1）無害型（2）無危險型（3）危險型7.3.2 病毒的傳播途徑病毒的主要傳播途徑：（1）硬盤、軟盤、光盤等存儲介質（2）網絡（3）盜版軟件、計算機機房和其他共享設備，也是重要的病毒傳播途徑。7.3.3 病毒防治病毒防治主要包括預防病毒感染、檢查和清除病毒兩個基本途徑。病毒防治

21、1預防病毒感染的措施預防病毒傳播的主要方法是切斷病毒的傳染途徑。（1）對新購置的計算機系統(tǒng)、軟件，使用殺毒軟件檢查已知病毒。（2）使用軟盤或USB盤時，務必注意寫保護。（3）在計算機上安裝殺毒軟件（4）經常更新系統(tǒng)軟件和應用軟件，使用補丁程序彌補操作系統(tǒng)的漏洞和缺陷。（5）了解最新的病毒預警信息，以便盡早采取措施。（6）注意查看電子郵件的標題，不隨便打開來歷不明的電子郵件。病毒防治2病毒檢查和清除檢查和清除系統(tǒng)病毒的方法主要有使用專用殺毒工具、殺毒軟件等。殺毒軟件殺毒軟件：殺毒軟件能根據病毒特征信息，檢查和清除已知病毒。而對于新出現的未知病毒，殺毒軟件則無能為力。通過向病毒庫中不斷加入新的病毒

22、特征碼，使得殺毒軟件可以查殺新病毒殺毒軟件目前的殺毒軟件，一般具有以下功能。 掃描和清除文件、文件夾或整個驅動器中的病毒。 在系統(tǒng)啟動時，自動檢查系統(tǒng)文件和引導記錄的病毒 實時監(jiān)控打開的程序，以及計算機系統(tǒng)中任何可能的病毒活動。 實時掃描從Internet下載的文件。 通過Internet自動更新病毒庫，并升級程序。 提供防火墻功能。7.3.4 對病毒的態(tài)度病毒日益成為信息安全的主要威脅，只要計算機系統(tǒng)之間存在交流，相互間就有可能傳播病毒。但是人們不能因為懼怕感染病毒而拒絕交流。只要采取有效的防護措施、加強管理，就可以降低病毒感染的機會。7.3.5 木馬木馬（Trojan）程序是目前比較流行的

23、病毒，與一般病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身進行偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者計算機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的計算機。木馬一個完整的木馬程序包括服務端和客戶端兩部分。被植入木馬的計算機是服務端，而黑客利用客戶端進入運行了木馬程序的計算機。運行了木馬程序的服務端后，會產生一個容易迷惑用戶的名稱的進程暗中打開端口，向指定地點發(fā)送數據，黑客甚至可以利用這些端口進入被控制的計算機。木馬1常見的木馬（1）網游木馬（2）網銀木馬（3）下載類（4）代理類（5）FTP木馬（6）通信軟件類。（7）網頁點擊類木馬2木馬查殺金山毒霸、360殺毒軟件、瑞星殺毒軟件等殺毒軟件都可以查殺木馬。7.4 黑客與計算機犯罪1黑客黑客（Hacker）起源于20世紀70年代美國麻省理工學院的實驗室。黑客一般指一些編程高手、計算機入侵與破壞者。黑客構成了一個復雜的群體，Internet上有很多黑客網站介紹黑客手法、提供黑客工具、出版黑客書籍和雜志，使人們可以很容易地學會網絡攻擊的方法。黑客用戶可以使用防火墻、安全檢測、掃描工具、網絡監(jiān)控工具等技術防范黑客行為；加強管理員和用戶的安全防范意識，防范