大學計算機基礎：第5章 信息安全技術(shù)基礎

1/56信息傳遞信息竊取加密技術(shù)信息冒充認證技術(shù)信息篡改完整性技術(shù)信息抵賴數(shù)字簽名信息安全技術(shù)基礎計算機病毒防火墻技術(shù)2/56本章簡介計算機網(wǎng)絡信息安全數(shù)字證書數(shù)字簽名計算機病毒及其防治網(wǎng)絡道德與社會責任信息加密防火墻技術(shù)簡介3/565.1計算機網(wǎng)絡信息安全AsiaAfricaAmericaEuropeOceania

計算機網(wǎng)絡安全從本質(zhì)上講就是計算機網(wǎng)絡系統(tǒng)資源的安全。從保護的角度看，就是防止計算機網(wǎng)絡系統(tǒng)資源受到自然和人為因素的威脅和危害。

4/565.1.1網(wǎng)絡安全面臨的威脅

網(wǎng)絡

計算機網(wǎng)絡實體

計算機網(wǎng)絡系統(tǒng)

網(wǎng)絡管理漏洞內(nèi)、外部泄露計算機病毒

網(wǎng)絡黑客即指網(wǎng)絡中的硬件設備人為設計的計算機程序通過獲取密碼,操作權(quán)限等手段非法進入他人計算機者分布廣闊,安全漏洞多,相關(guān)法規(guī)不完善5/565.1.2網(wǎng)絡受攻擊方式1.竊取信息用戶A黑客遠程服務器發(fā)送請求從現(xiàn)實生活中或從請求信號中獲取用戶帳號密碼以用戶A身份登陸

A非授權(quán)訪問

B電磁/射頻截獲

C攫取主機或網(wǎng)絡信任6/56網(wǎng)絡受攻擊方式2.虛假信息(重傳)用戶A黑客服務器發(fā)送請求請求回應獲取回應內(nèi)容再次發(fā)送回應內(nèi)容(重傳)7/56用戶A黑客服務器網(wǎng)絡受攻擊方式2.虛假信息(偽造)你好，我是你的服務器，需要你提供帳戶和密碼好的，我打開看看8/56網(wǎng)絡受攻擊方式2.虛假信息(篡改)用戶A黑客服務器發(fā)送請求截取請求響應篡改發(fā)送9/56網(wǎng)絡受攻擊方式2.虛假信息(拒絕服務)用戶A黑客服務器攻擊服務器,阻止合法用戶通信今天真忙10/563.惡意代碼

①

惡意代碼

②

刺探性代碼4.干擾通信

發(fā)射干擾信號，使通信系統(tǒng)產(chǎn)生混亂，無法正常傳輸信息。網(wǎng)絡受攻擊方式

攻擊者將惡意代碼植入下載的文件或郵件中，當用戶打開此類文件或郵件時，惡意代碼將破壞或修改文件。例如，ActiveX和word宏病毒等。

利用網(wǎng)絡系統(tǒng)安全的脆弱性，通過病毒或黑客工具刺探系統(tǒng)管理員賬號和密碼，獲取高級管理權(quán)限。11/565.1.3網(wǎng)絡安全措施

網(wǎng)絡安全措施必須從技術(shù)和管理兩個方面入手。技術(shù)方面提供比較完善的設備和安全控制方法；管理方面加強網(wǎng)絡與信息安全方面的立法和教育。1.網(wǎng)絡安全技術(shù)

網(wǎng)絡安全技術(shù)：需要計算機網(wǎng)絡、數(shù)據(jù)加密、密碼和認證等多學科綜合技術(shù)的支持。12/562.網(wǎng)絡安全法規(guī)

僅靠技術(shù)遠遠不夠,必須有比較完善的法律法規(guī)進行約束，加強網(wǎng)絡安全意識教育。

3.網(wǎng)絡安全標準

國際信息安全組織將計算機系統(tǒng)的安全性從高到低劃分為A、B、C和D共4個等級。

DOS和Windows3.x/95等系統(tǒng)屬于D級，即最不安全。WindowsNT/2000/XP、UNIX和Netware等系統(tǒng)屬于C級，一些專用操作系統(tǒng)可能會達到B或A級。13/56

數(shù)字證書又稱數(shù)字身份證，是包含持有者、相關(guān)信息的一種電子信息，用于證明持有者的真實身份，主要作為文件加密和數(shù)字簽名的附加信息。

1．創(chuàng)建與刪除數(shù)字證書

用戶可以向商業(yè)認證授權(quán)機構(gòu)或主管部門申請數(shù)字證書，也可以自己創(chuàng)建數(shù)字證書。

5.2數(shù)字證書14/56

①創(chuàng)建“

”

數(shù)字證書在Windows中，運行文件加密功能后，系統(tǒng)自動為當前用戶頒發(fā)個人數(shù)字證書。例如：Administrator數(shù)字證書

創(chuàng)建數(shù)字證書

加密文件系統(tǒng)15/56

②創(chuàng)建“代碼簽名”數(shù)字證書單擊“開始”菜單→“程序”→“Microsoft

Office”→“MicrosoftOffice工具”→“VBA項目的數(shù)字證書”，在“創(chuàng)建數(shù)字證書”對話框中輸入證書名稱：如“自建數(shù)字證書A”），最后單擊“確定”按鈕，便產(chǎn)生一個數(shù)字證書。此種證書主要用于數(shù)字簽名。創(chuàng)建數(shù)字證書

代碼簽名16/56

③刪除數(shù)字證書

從數(shù)字證書的右擊菜單中選擇“刪除”，在提問的對話框中，單擊“是”按鈕即可。

2．安裝和查看數(shù)字證書

①打開“證書”窗口單擊“開始”菜單的“運行”，在“運行”對話框中執(zhí)行：Certmgr.msc

命令，在“證書”窗口中選定“個人”選項中的“證書”文件夾，在右窗格中顯示數(shù)字證書的相關(guān)信息。

17/56

②查看數(shù)字證書內(nèi)容

雙擊右窗格中的數(shù)字證書，彈出證書窗口，選擇詳細信息選項卡，可看到數(shù)字證書的詳細信息。在數(shù)據(jù)證書中，并不包含用于解密的私鑰。

③安裝數(shù)字證書新頒發(fā)的數(shù)字證書不受信任，要使其受信任，需要安裝到“受信任的根證書頒發(fā)機構(gòu)”的“證書”文件夾中。

查看

安裝方法：先從右窗格數(shù)字證書的右鍵菜單中選擇“復制”，再從“受信任的根證書頒發(fā)機構(gòu)”中“證書”的右鍵菜單中選擇“粘貼”，在“安全警告”對話框中單擊“是”按鈕即可。安裝18/56

3.數(shù)字證書的導入/導出

每個數(shù)字證書中的信息不同，刪除一個數(shù)字證書后，將導致永遠無法打開由此數(shù)據(jù)證書加密的文件，即使重建同名的數(shù)據(jù)證書也是如此。因此，需要備份數(shù)據(jù)證書和私鑰。

①導出數(shù)據(jù)證書和私鑰

②導入數(shù)據(jù)證書和私鑰

從右窗格數(shù)字證書的右鍵菜單中選擇“所有任務”→“導出”，按向?qū)崾究梢詫С鏊借€和數(shù)字證書。

從左窗格“個人”選項的“證書”右鍵菜單中選擇“所有任務”→“導入”，按“導入”向?qū)л斎牖蜻x擇證書文件名（PFX）即可。

信息安全技術(shù)主要由信息加密、用戶認證和數(shù)字簽名技術(shù)構(gòu)成。它是實現(xiàn)信息的保密性、認證性和完整性功能的基礎。信息加密技術(shù)是信息安全的基石，以較小的代價，對信息提供一種強有力的安全保護措施。加密技術(shù)已成為身份認證、數(shù)字簽名和訪問控制等安全機制的基礎。5.3信息加密20/56

5.3.1基本概念

加密技術(shù)基本思想是偽裝信息，使非法介入者無法讀懂信息真正含義。所謂偽裝就是對信息進行一組可逆的數(shù)字變換。發(fā)送者網(wǎng)絡接收者加密算法Ke解密算法Kd密文21/561、常用術(shù)語⑴明文：加密前的信息。⑵密文：通過加密算法處理后的信息。⑶加密：將明文變成密文的過程。⑷解密：將密文恢復為明文的過程。⑸密鑰：控制加密、解密過程的字符串。⑹加密算法：在加密密鑰的控制下，對明文進行加密的一組數(shù)學變換。⑺解密算法：在解密密鑰的控制下，對密文進行解密的一組數(shù)學變換。22/562.加密的作用加密的作用是增強信息的保密性和真實性。⑴明文的保密性：在密文存儲或傳輸過程中，只有在解密的密鑰控制下才能獲得明文。

⑵密文的真實性：在無加密的密鑰情況下，對偽造或篡改的明文無法加密成密文，使密文真實可靠。23/56

加密的作用

一個加密的例子:

HELLOJGNNQK=2

加密意味著發(fā)送者將信息從最初的格式改變?yōu)榱硪环N格式，將最終不可閱讀的消息通過網(wǎng)絡發(fā)送出去。只有授權(quán)的接收者可以通過逆變換恢復出明文。密鑰k24/56

5.3.2加密算法HK=2J偽裝前偽裝偽裝后明文加密算法密文解密K=2若加密解密時密鑰(K)相同，則稱為對稱密鑰體系Y=x+k主要有對稱密鑰和非對稱密鑰兩種加密算法

若加密解密時密鑰(K)不同，則稱為對非對稱密鑰體系25/56

1.對稱密鑰算法

加密和解密具有相同的密鑰，需要對通信雙方公開密鑰。算法：密鑰－<字符ASCII碼>；密鑰：127

加密COMPUTER→<02/*+:-解密<02/*+:-→COMPUTER對稱密鑰算法的保密性取決于密鑰的安全性。26/56

2.非對稱密鑰算法

加密與解密具有不同密鑰,一個密鑰對通信雙方公開，簡稱公鑰；另一個密鑰對通信對方保密，簡稱私鑰。通常將加密密鑰公開,解密密鑰保密。

發(fā)送者A網(wǎng)絡接收者BEKeBDKdB密文B的加密密鑰B的解密密鑰27/565.3.3Windows的文件加密

在Windows操作系統(tǒng)中，可以用文件加密功能對NTFS文件系統(tǒng)中的文件進行加密。

1.

文件的加密方法從文件/文件夾的右擊菜單中選擇“屬性”，在“屬性”對話框的“常規(guī)”選項卡中單擊“高級”按鈕，在“高級屬性”對話框中選定“加密內(nèi)容以便保護數(shù)據(jù)”，最后單擊“確定”按鈕即可。28/562.加密文件/文件夾的表現(xiàn)形式系統(tǒng)用特殊的顏色（默認淡綠色）顯示加密后的文件/文件夾名。其他用戶或更換了加密數(shù)字證書的原用戶，無權(quán)訪問加密的文件。

3.文件的解密方法

解密的操作步驟與加密基本相同，只需要在“高級屬性”對話框中取消“加密內(nèi)容以便保護數(shù)據(jù)”復選框，最后單擊“確定”按鈕即可。29/56

數(shù)字簽名是為被簽名信息附加的、基于數(shù)字證書并加密的安全驗證的數(shù)字戳。數(shù)字簽名的結(jié)果不僅與數(shù)字證書有關(guān)，也與被簽名的信息有關(guān)。在Windows中,需要在相關(guān)軟件的控制下對信息（文件）進行數(shù)字簽名。

例：WinWord中可以對DOC文件數(shù)字簽名。

5.4數(shù)字簽名30/56

⑴身份認證：用于驗證最后簽署文件人的身份（數(shù)字證書），也可查明文件的來源，避免產(chǎn)生抵賴問題。⑵防止篡改：數(shù)字簽名與數(shù)字證書和被簽名的信息都有關(guān)聯(lián)，信息修改前后的數(shù)字簽名結(jié)果不同，即使信息被篡改過，也無法模仿數(shù)字簽名。1.數(shù)字簽名的作用31/56公證數(shù)字簽名發(fā)送者公證者接收者簽名消息驗證接收簽名,完全信任32/562．驗證數(shù)字簽名的系統(tǒng)文件

Windows提供的系統(tǒng)文件和設備驅(qū)動程序都已由微軟公司數(shù)字簽名。通過Windows的“文件簽名驗證”工具，可以查看未經(jīng)微軟公司數(shù)字簽名的系統(tǒng)文件。

驗證系統(tǒng)文件簽名的方法：單擊“開始”菜單中的“運行”，在“運行”對話框中，鍵入Sigverif命令，在“文件簽名驗證”窗口中單擊“開始”按鈕，將看到未經(jīng)微軟公司數(shù)字簽名的系統(tǒng)文件名。33/56

⑴數(shù)字簽名的方法：在文檔的編輯窗口，單擊“工具”菜單→“選項”→“安全性”選項卡，單擊“數(shù)字簽名”按鈕，在“數(shù)字簽名”對話框中，單擊“添加”按鈕，選擇可用的數(shù)字證書，單擊“確定”按鈕，即實現(xiàn)文檔的數(shù)字簽名。

⑵數(shù)字簽名的文檔：數(shù)字簽名后的文檔，其文件長度有所增加，這是因為在文檔中添加了數(shù)字簽名信息（如數(shù)字證書）。3．Office文檔的數(shù)字簽名34/565.5計算機病毒及其防范

隨著計算機和網(wǎng)絡技術(shù)的快速發(fā)展，計算機病毒也迅速傳播和蔓延，對計算機系統(tǒng)運行帶來威脅和破壞。為了保證計算機系統(tǒng)的正常運行和信息安全，防止病毒破壞，掌握計算機病毒的防治手段和方法將成為每個用戶的必修課程。

35/565.5.1計算機病毒的特性

⑴傳染性：程序之間、計算機之間，網(wǎng)絡之間。⑵潛伏性：潛伏期傳染，時機成熟發(fā)作。

⑶破壞性：屏幕異常，速度變慢，系統(tǒng)癱瘓。⑷不可預見性：計算機病毒的制作速度更加迅速，全球每天在數(shù)以百計地產(chǎn)生新病毒。36/565.5.2計算機病毒的分類1.按產(chǎn)生的后果分類

⑴

良性病毒

⑵

惡性病毒2.按寄生方式分類

⑴

引導型病毒

⑵

文件型病毒

⑶

復合型病毒

一般不破壞數(shù)據(jù)，如小球病毒具有較強破壞性，如CIH病毒等病毒出現(xiàn)在系統(tǒng)引導階段，系統(tǒng)啟動時執(zhí)行病毒程序是一種專門傳染文件的病毒，通常寄生在可執(zhí)行文件尾部寄生于可執(zhí)行文件和系統(tǒng)引導區(qū)中。37/563.按傳播途徑分類

⑴存儲器傳播

⑵

網(wǎng)絡傳播

38/56

5.5.3計算機病毒的防范

1．病毒的常見癥狀1)

屏幕上出現(xiàn)不正常的問候語、雪花或閃爍等。2)

系統(tǒng)運行速度明顯變慢，經(jīng)常出現(xiàn)死機現(xiàn)象等。3)

外部設備（如鍵盤、鼠標等）突然不能正常工作。4)

系統(tǒng)無法識別磁盤，空間變少，磁盤燈繁閃等。5)

文件大小突變，變?yōu)殡[含文件，改變文件類型等。6)

機器蜂鳴器發(fā)生不正常的尖叫、長鳴或樂曲等。39/56

2.病毒的防范措施

1)

安裝防火墻，監(jiān)視和檢測系統(tǒng)運行狀況，阻止病毒流入系統(tǒng)。

2)

安裝自動更新查殺病毒軟件。

3)

及時安裝操作系統(tǒng)的補丁程序。

4)

拒絕接收來路不明的電子郵件。

5)

對光盤、U盤和移動硬盤要先檢測，后使用。

6)

對軟件或數(shù)據(jù)要定期地備份。

7)

發(fā)現(xiàn)系統(tǒng)運行異常時，應及時檢測和清毒。

40/565.6防火墻技術(shù)簡介

對兩個網(wǎng)絡之間的通信進行控制

防火墻是網(wǎng)絡之間執(zhí)行訪問控制規(guī)則，保護網(wǎng)絡系統(tǒng)不受潛在破壞性訪問侵擾的軟件和硬件系統(tǒng)，是一種過濾（允許或禁止）網(wǎng)絡通信的安全屏障，也稱安全網(wǎng)關(guān)。

41/565.6.1Windows防火墻Windows防火墻是Windows內(nèi)置的、基于主機狀態(tài)檢測的防火墻，主要阻止所有未授權(quán)的程序、服務和用戶訪問計算機資源。1.

啟用Windows防火墻單擊“開始”菜單的“設置”→“控制面板”，在“控制面板”窗口中，雙擊“Windows防火墻”圖標，在“常規(guī)”選項卡，選定“啟用”選項，單擊“確定”按鈕即可。

42/562.

程序和服務的過濾規(guī)則

“服務”是系統(tǒng)提供的一種通信手段，如：“文件與打印機共享”“遠程桌面”都是“服務”。當本機執(zhí)行“例外”列表中的程序(服務)時，允許與外部進行通信，接收數(shù)據(jù)；當執(zhí)行非“例外”列表中的程序，且嘗試接收外部數(shù)據(jù)時，系統(tǒng)將彈出“Windows安全警報”對話框。用戶可根據(jù)需要，單擊按鈕：“保持阻止”、“解除阻止”、“稍后詢問”

之一完成對話。43/56

3．端口的過濾規(guī)則程序（服務）通過某個端口與其他計算機進行通信，每個端口都有一個類似于地址的號碼。一個程序（服務）是否有固定的端口，由程序（服務）中應用的協(xié)議和制造商有關(guān)。在Windows防火墻中，可以通過打開端口的方式允許一類程序（服務）與外部進通信。單擊“添加端口”按鈕，在其對話框中，輸入端口號并為之起一個容易記憶的名稱，可以將端口添加到“例外”列表中。44/56

4．過濾用戶的規(guī)則單擊“添加程序”、“添加端口”或“編輯”按鈕后，再單擊“更改范圍”按鈕，在“更改范圍”對話框中，可以對當前程序（服務）進一步設置允許通信的計算機（用戶）。對話框中的用戶范圍為：1)任何計算機：允許網(wǎng)上所有用戶訪問。2)僅我的網(wǎng)絡：允許內(nèi)網(wǎng)所有用戶訪問。

3)自定義列表：允許列表中IP地址指定的用戶訪問。例如，只允許202.198.6.10主機上的用戶訪問。45/56

5．過濾服務的規(guī)則在“高級設置”對話框的“服務”選項卡中，可以設置允許Internet用戶訪問的內(nèi)網(wǎng)服務。例如，在郵件服務器上，允許用戶發(fā)送郵件，要選定Internet郵件服務器（SMTP）；對需要遠程維護的計算機，應該選定Telnet服務器等。46/56

6．過濾請求的規(guī)則在“高級設置”對話框的

“ICMP”選項卡中，可以設置允許Internet用戶對本機的請求。例如，在接收到用戶的數(shù)據(jù)時，如果響應用戶要求返回接收到數(shù)據(jù)時間的請求，則應該選定“允許傳入的時間戳請求”；如果不希望內(nèi)網(wǎng)偵聽公共網(wǎng)絡，則不要選定“允許傳入的掩碼請求”。47/56

7．安全日志在“高級”選項卡中，單擊“安全日志記錄”框中的“設置”按鈕，在“日志設置”對話框中，可以設置啟用Windows防火墻后要記錄的內(nèi)容和日志文件的名稱和位置等。防火墻日志文件(pfirewall.log)是文本文件，主要內(nèi)容包括：日期、時間、操作類型、協(xié)議條目、源IP地址、目的IP地址、源端口號、目的端口號和數(shù)據(jù)包大小等信息。48/565.6.2防火墻的作用1）過濾網(wǎng)絡數(shù)據(jù)：根據(jù)各種規(guī)則允許或禁止數(shù)據(jù)通信。2）管理訪問行為：限制某些程序、服務和協(xié)議的訪問方式，禁止某些行為進出網(wǎng)絡。3）記錄信息：通過濾掉的數(shù)據(jù)包、接受的請求和成功的連接，為調(diào)整各種安全規(guī)則提供依據(jù)。4）報告信息：接收不符合規(guī)則要求的外部數(shù)據(jù)或發(fā)現(xiàn)冒險行為時，進行阻止或發(fā)出報警信息。49/56因特網(wǎng)網(wǎng)絡安全廣播工業(yè)金融醫(yī)療交通電力網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大通訊控制信息對抗的威脅在增加研究安全漏洞以防之研究攻防技術(shù)以阻之安全漏洞危害在增大50/565.7網(wǎng)絡道德規(guī)范

網(wǎng)絡是把雙刃劍沉迷網(wǎng)絡，無心學業(yè)不良網(wǎng)站，毒害青少年51/56

5.7.1網(wǎng)絡道德

網(wǎng)絡的開放性和匿名性，人們可以在網(wǎng)上發(fā)表各種言論。在傳播知識的同時也傳播著一些反動的、迷信的或不健康的內(nèi)容；帶來了計算機犯罪、計算機病毒、黑客等社會問題。

網(wǎng)絡中的法律問題，除制定相關(guān)法律法規(guī)外，還應加強網(wǎng)絡道德建設，預防網(wǎng)絡犯罪。網(wǎng)絡道德教育應引起各級教育部門和相關(guān)人員的高度重視。

52/56

5.7.2