計算思維與計算機導論 課件 07-信息安全技術(shù)

7信息安全技術(shù)天津科技大學計算機基礎(chǔ)與新技術(shù)部1主要內(nèi)容信息安全概述信息安全防范措施 計算機病毒和木馬信息社會的道德規(guī)范知識產(chǎn)權(quán)保護2信息安全的含義信息安全包括兩個方面：信息的安全信息系統(tǒng)的安全3信息的安全信息的安全主要包括保證數(shù)據(jù)的保密性、真實性和完整性，避免意外損壞或丟失以及非法用戶的竊聽、冒充、欺騙等行為；保證信息傳播的安全，防止和控制非法、有害信息的傳播，維護社會道德、法規(guī)和國家利益。包括3個方面：（1）需要保密的信息（2）需要防止冒充和欺騙的信息（3）需要防止丟失或損壞的信息4信息的安全【例7.1】信息安全事件案例1。2005年，某網(wǎng)站發(fā)生信息泄露，造成9000多萬注冊用戶的資料泄露，包括用戶的姓名、電話、單位、單位地址、家庭地址、照片等。信息的安全【例7.2】信息安全事件案例2。假冒網(wǎng)上銀行、網(wǎng)上證券平臺，騙取用戶賬號、密碼并實施盜竊6信息的安全2013年6月曝光的美國“棱鏡門”事件，美國國家安全局的“棱鏡”計劃（PRISM）7信息系統(tǒng)的安全信息系統(tǒng)的安全是指保證信息處理和傳輸系統(tǒng)的安全，它重在保證系統(tǒng)正常運行，避免因系統(tǒng)故障而對系統(tǒng)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免信息泄露、干擾他人。信息系統(tǒng)的安全主要包括計算機機房的安全、硬件系統(tǒng)的可靠運行和安全、網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用軟件的安全以及數(shù)據(jù)庫系統(tǒng)的安全等。8信息安全的風險來源信息安全的主要風險來源于：信息系統(tǒng)自身的缺陷人為的威脅與攻擊物理環(huán)境的安全問題9信息系統(tǒng)自身的缺陷信息系統(tǒng)自身的缺陷包括硬件系統(tǒng)、軟件系統(tǒng)、網(wǎng)絡(luò)和通信協(xié)議的缺陷等。（1）信息系統(tǒng)的安全隱患來源于設(shè)計上的疏忽，存在一定缺陷和漏洞。①硬件系統(tǒng)：計算機硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)②軟件系統(tǒng)：操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫管理系統(tǒng)等10信息系統(tǒng)自身的缺陷（2）信息系統(tǒng)的安全隱患還可能來自生產(chǎn)者主觀故意。11【例7.3】信息安全事件案例3。人為的威脅與攻擊人為的威脅與攻擊，包括：（1）內(nèi)部攻擊（2）外部攻擊12人為的威脅與攻擊（1）內(nèi)部攻擊：指系統(tǒng)內(nèi)合法用戶故意、非故意操作造成的隱患或破壞。①內(nèi)部人員與外部人員勾結(jié)犯罪②口令管理混亂③內(nèi)部人員違規(guī)操作④內(nèi)部人員的誤操作⑤內(nèi)部人員盜取設(shè)備，獲取重要信息。人為的威脅與攻擊（2）外部攻擊，指來自系統(tǒng)外部的非法用戶的攻擊。冒充授權(quán)用戶身份、冒充系統(tǒng)組成部分；利用系統(tǒng)漏洞侵入系統(tǒng)，竊取數(shù)據(jù)、破壞系統(tǒng)安全；通過植入木馬或病毒程序，竊取或篡改數(shù)據(jù)。3．物理環(huán)境的安全問題物理環(huán)境的安全問題，主要包括：自然災(zāi)害輻射電力系統(tǒng)故障蓄意破壞15信息安全防范措施為了消除信息安全的各種隱患，降低損失，可以采取多種信息安全防范措施。包括：數(shù)據(jù)備份雙機熱備份數(shù)據(jù)加密數(shù)字簽名身份認證防火墻補丁程序提高物理安全16數(shù)據(jù)備份數(shù)據(jù)備份是為了預(yù)防操作失誤或系統(tǒng)故障導致的數(shù)據(jù)丟失，而將數(shù)據(jù)從主機的硬盤復(fù)制到其他存儲介質(zhì)的過程當原始數(shù)據(jù)被誤刪除、破壞，硬盤損壞，計算機系統(tǒng)崩潰，甚至整個機房或建筑遭到毀滅時，仍然可以通過備份盡可能地恢復(fù)數(shù)據(jù)，從而降低損失。17數(shù)據(jù)備份數(shù)據(jù)備份的3個要素：備份的時機備份的存儲介質(zhì)備份的安全存放18備份的時機每次備份都要花費一定的時間和成本，所以需要考慮數(shù)據(jù)備份的時機。根據(jù)數(shù)據(jù)的重要程度決定數(shù)據(jù)備份的時機，一般越重要的數(shù)據(jù)備份的間隔越短。例如：個人手機數(shù)據(jù)小公司的數(shù)據(jù)金融、證券等數(shù)據(jù)19備份的存儲介質(zhì)在進行數(shù)據(jù)備份的時候，可以選擇適當?shù)拇鎯橘|(zhì)：（1）本地硬盤、光盤、各種移動存儲設(shè)備（2）備份服務(wù)器（3）

網(wǎng)絡(luò)備份，如網(wǎng)絡(luò)云盤20備份的安全存放根據(jù)數(shù)據(jù)的重要程度，決定備份的存放方式：（1）將備份保存在本地硬盤中（2）將備份保存在同一建筑的文件柜中（3）將備份保存在另一個建筑中（4）將備份保存在銀行的保險柜中（5）通過網(wǎng)絡(luò)保存在其他城市的數(shù)據(jù)中心21數(shù)據(jù)備份的具體實施（1）數(shù)據(jù)從本地硬盤中復(fù)制到本地硬盤、光盤或移動存儲設(shè)備中（2）數(shù)據(jù)保存到云盤中（3）使用Ghost工具，備份分區(qū)22數(shù)據(jù)備份的具體實施（4）使用Windows自帶的備份和還原工具可以進行數(shù)據(jù)的備份和還原23雙機熱備份在在金融、保險等行業(yè)中，如果系統(tǒng)出現(xiàn)故障導致業(yè)務(wù)長期中斷，那么將造成巨大損失。為了確保在系統(tǒng)出現(xiàn)故障后，仍然能夠連續(xù)工作，可以采用雙機熱備份。雙機熱備份是一種軟硬件結(jié)合的容錯應(yīng)用方案。24雙機熱備份由兩臺服務(wù)器系統(tǒng)和一個共享的磁盤陣列及相應(yīng)的雙機熱備份軟件組成。主服務(wù)器和備份服務(wù)器同步進行相同的操作，在主服務(wù)器出現(xiàn)故障時，備份服務(wù)器接管主服務(wù)器的服務(wù)，從而在不需要人工干預(yù)的情況下，保證系統(tǒng)能連續(xù)提供服務(wù)。25雙機熱備份雙機熱備份系統(tǒng)采用“心跳”方法保證主從服務(wù)器之間的聯(lián)系。26數(shù)據(jù)加密數(shù)據(jù)加密是將明文加密成密文后進行傳輸和存儲，它主要用于防止信息在傳輸和存儲過程中被非法閱讀。加密技術(shù)包括:對稱密鑰體系非對稱密鑰體系27數(shù)據(jù)加密【例7.4】凱撒大帝的加密術(shù)。古羅馬戰(zhàn)爭，凱撒大帝字母對照表28明文是“GOODMORNING”密文是“JRRGPRUQLQJ”。對稱密鑰體系傳統(tǒng)加密技術(shù)采用對稱秘鑰體系，即加密和解密使用相同密鑰密碼可能被攻擊者截獲。算法不變，而密鑰不斷變化密碼的長度決定了破解密碼的困難程度29對稱密鑰體系WinRAR在壓縮時加密，加密和解密的密碼相同。【例7.5】使用WinRAR壓縮文件或文件夾，設(shè)置密碼30對稱密鑰體系（2）使用Windows的NTFS進行加密。用戶以賬號User1登錄進入Windows，加密NTFS分區(qū)的文件夾，只有該賬號User1才能解密該文件夾31非對稱密鑰體系非對稱密鑰體系指加密和解密使用不同密鑰的方法。接收方有一對密鑰，即公開密鑰和私有密鑰。信息的發(fā)送方使用接收方的公開密鑰加密明文，而接收方使用自己的私有密鑰解密不需要傳輸私有密鑰，攻擊者獲得接收方的私鑰，所以安全性更高32數(shù)字證書數(shù)字證書是一個由證書授權(quán)機構(gòu)（CertificationAuthority，CA）簽發(fā)的包含擁有者信息、公開密鑰、私有密鑰的文件，其中私有密鑰由持有者掌握?？梢允褂脭?shù)字證書對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，從而確保網(wǎng)上傳遞信息的保密性、完整性及不可抵賴。33HTTPSHTTPS（HypertextTransferProtocolSecure，超文本傳輸安全協(xié)議）是以安全為目標的HTTP通道，其中加入了SSL層，在HTTP的基礎(chǔ)上通過傳輸加密和身份認證保證傳輸過程的安全性。34HTTPS35鼠標右鍵單擊地址欄中的鎖圖案，打開“連接是安全的”窗口查看證書數(shù)字簽名數(shù)字簽名采用頒發(fā)者（CA）頒發(fā)的數(shù)字證書，針對法律文件或商業(yè)文件等保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證，防止交易中的抵賴發(fā)生。36數(shù)字簽名使用數(shù)字證書發(fā)送簽名或加密的電子郵件，可以確保郵件信息的保密性、完整性，以及確認發(fā)送方身份的真實性37

身份認證身份認證是指證實主體的真實身份與其所聲稱的身份是否相符的過程。身份認證是訪問控制的前提，用于防止假冒身份的行為，對信息安全極為重要?？诹钫J證持證認證優(yōu)盾（USBKey）生物識別38口令認證在進出門禁，進入手機、計算機系統(tǒng)，登錄網(wǎng)站、軟件系統(tǒng)等場合，經(jīng)常需要輸入通過口令來確認用戶身份。安全密碼應(yīng)該是與本人的身份信息內(nèi)容無關(guān)，基本無規(guī)律，位數(shù)足夠長，由小寫字母、大寫字母、數(shù)字字符和標點符號等組合而成，39sdhkfjh324sdF,4DHGFHFG3^&&口令認證常見的不安全的口令：①

位數(shù)較少的密碼123、111abc、②

簡單的英文單詞或漢字拼音音節(jié)hello、tianjin③

密碼只有一個字符集，如只使用小寫字母、大寫字母、數(shù)字字符集之一abc、ABC1234540口令認證④以下密碼都不安全：本人或親友的生日用戶名與密碼相同規(guī)律性太強的密碼111111、123456、aaaaaa在所有場合使用同一個密碼長時間使用同一個密碼41持證認證通過個人持有的物品，如：身份證、軍官證、電話的SIM卡、銀行IC卡、門禁卡等42優(yōu)盾優(yōu)盾是一種USB接口的硬件設(shè)備，內(nèi)置了單片機或智能卡芯片，采用高強度信息加密，數(shù)字認證和數(shù)字簽名技術(shù)，具有不可復(fù)制性，可以有效防范支付風險，確?？蛻艟W(wǎng)上支付資金安全，使用方便43生物識別生物識別依據(jù)人類自身固有的生理和行為特征進行身份認證。優(yōu)點：無法仿冒缺點：較昂貴、不夠穩(wěn)定，存在一定誤識別率44指紋識別指紋是人的手指末端的正面皮膚上凹凸不平所產(chǎn)生的紋線，它具有終身不變性和唯一性指紋識別是通過比較不同指紋的細節(jié)特征點來進行鑒別的。45手掌幾何識別手掌幾何識別是通過測量使用者的手掌和手指的物理特性來進行識別46視網(wǎng)膜識別視網(wǎng)膜是眼睛底部的血液細胞層視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面以獲得視網(wǎng)膜特征的唯一性47面部識別面部識別是使用攝像頭等裝置，以非接觸的方式獲取識別對象的面部圖像，計算機系統(tǒng)在獲取圖像后與數(shù)據(jù)庫圖像進行比對，完成識別的過程。48指紋識別等傳統(tǒng)的識別方式相比：具有實時、準確、高精度、易于使用、穩(wěn)定性高、難仿冒、性價比高和非侵擾等特性靜脈識別靜脈識別系統(tǒng)實時采取靜脈圖，運用先進的濾波、圖像二值化、細化手段對數(shù)字圖像提取特征，采用復(fù)雜的匹配算法同存儲在主機中的靜脈特征值進行比對匹配，從而對個人身份進行鑒定。49簽名識別簽名識別是根據(jù)每個人自己獨特的書寫風格進行鑒別，分為在線簽名鑒定和離線簽名鑒定。50防火墻防火墻指的是一個由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)、專用網(wǎng)與公共網(wǎng)、計算機和它所連接的網(wǎng)絡(luò)之間構(gòu)造的保護屏障51防火墻防火墻的本質(zhì)是允許合法而禁止非法數(shù)據(jù)往來的安全機制，防止非法入侵者侵入網(wǎng)絡(luò)、盜竊信息或者破壞系統(tǒng)安全。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，它能允許用戶“同意”的人和數(shù)據(jù)進入網(wǎng)絡(luò)，同時將“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問用戶的網(wǎng)絡(luò)。52防火墻防火墻的功能（1）網(wǎng)絡(luò)安全的屏障（2）強化網(wǎng)絡(luò)安全策略（3）監(jiān)控網(wǎng)絡(luò)存取和訪問（4）防止內(nèi)部信息的外泄53防火墻防火墻的不足：（1）防火墻不能防范全部威脅。只能防范已知威脅（2）防火墻不能防范內(nèi)部主動發(fā)起的攻擊（3）防火墻只能防范通過它的連接（4）防火墻自身可能出現(xiàn)安全漏洞或受到攻擊（5）不能防止感染了病毒的軟件和文件的傳輸（6）防火墻規(guī)則設(shè)定復(fù)雜54防火墻防火墻分類：硬件防火墻軟件防火墻55防火墻【例7.7】Windows自帶的防火墻。56防火墻啟用或關(guān)閉WindowsDefender防火墻允許應(yīng)用或功能通過WindowsDefender防火墻57漏洞漏洞是在硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)漏洞可能來自軟件設(shè)計的缺陷或編碼錯誤漏洞容易造成信息系統(tǒng)被攻擊或控制，重要資料被竊取，用戶數(shù)據(jù)被篡改，系統(tǒng)被作為入侵其他主機系統(tǒng)的跳板等58后門后門程序一般是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的程序。在軟件的開發(fā)階段，程序員會在軟件中創(chuàng)建后門以便于修改和維護程序。后門，很容易被黑客利用進行攻擊。59補丁程序補丁程序是為了提高系統(tǒng)的安全，軟件開發(fā)者編制并發(fā)布的專門修補軟件系統(tǒng)的漏洞的小程序。如針對Windows、Office等漏洞的補丁60安全衛(wèi)士由于漏洞、補丁經(jīng)常發(fā)布和更新，普通用戶管理較為困難，此時可以通過各種安全衛(wèi)士工具幫助自己管理61提高物理安全提高計算機和網(wǎng)絡(luò)系統(tǒng)的物理安全，包括門禁系統(tǒng)、監(jiān)控系統(tǒng)、消防系統(tǒng)、空調(diào)系統(tǒng)、UPS電源、防靜電地板等的安全62提高物理安全加強環(huán)境的安全保衛(wèi)包括安裝門禁系統(tǒng)、鋼鐵柵欄、紅外線報警裝置、攝像頭、設(shè)立保安等。63提高物理安全加強防災(zāi)抗災(zāi)能力地震、火災(zāi)、爆炸、水災(zāi)、輻射等災(zāi)害可能造成網(wǎng)絡(luò)、計算機系統(tǒng)的安全問題提高樓宇防震級別，固定機柜防水使用阻燃隔熱材料機房滅火，采用七氟丙烷氣體滅火器64提高物理安全使用不間斷電源和防靜電地板為了防止電力系統(tǒng)突然停電、電壓突變，導致系統(tǒng)損壞、數(shù)據(jù)丟失，可以安裝不間斷電源靜電對系統(tǒng)可能造成故障、誤操作等，甚至損壞元器件，可以安裝防靜電地板，穿防靜電衣服65提高物理安全涉密網(wǎng)絡(luò)不能把機密數(shù)據(jù)的安全完全寄托在用概率作判斷的防護上。物理隔離是指內(nèi)部網(wǎng)絡(luò)不直接或間接地連接公共網(wǎng)絡(luò)，其目的是保護路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受人為破壞和搭線竊聽等攻擊。66提高物理安全物理隔離預(yù)防電磁泄露造成泄密，電磁干擾也可能影響系統(tǒng)工作金屬網(wǎng)屏蔽或金屬板屏蔽。計算機病毒計算機病毒是一種人為設(shè)計的計算機程序，能夠自我復(fù)制和傳播，能破壞計算機系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)。68病毒的特點計算機病毒的特點：（1）人為編寫（2）破壞性（3）可傳播性（4）潛伏性（5）頑固性（6）變異性69病毒的危害病毒的危害：（1）直接破壞計算機數(shù)據(jù)信息。（2）占用磁盤空間。（3）搶占系統(tǒng)資源。（4）影響計算機運行速度。（5）計算機病毒錯誤與不可預(yù)見的危害。（6）計算機病毒給用戶造成嚴重的心理壓力。。70病毒的分類計算機病毒的分類：（1）網(wǎng)絡(luò)病毒：通過網(wǎng)絡(luò)傳播病毒（2）文件病毒：感染文件（3）引導型病毒：感染啟動扇區(qū)和磁盤主引導記錄（4）混合型病毒：上述3種情況的混合型71病毒的傳播途徑病毒主要傳播途徑：（1）硬盤、U盤、光盤等存儲介質(zhì)（2）網(wǎng)絡(luò)。（3）盜版軟件、計算機機房和其他共享設(shè)備72病毒防治病毒防治兩個基本途徑:預(yù)防病毒感染檢查和清除病毒73病毒防治預(yù)防病毒感染的措施（1）對新購置的計算機系統(tǒng)、軟件殺毒（2）使用U盤時，注意寫保護。（3）殺毒軟件定期更新病毒代碼，全面查殺病毒（4）更新系統(tǒng)軟件和應(yīng)用軟件，使用補丁程序（5）了解病毒預(yù)警信息，盡早采取措施（6）不隨便打開來歷不明的電子郵件。74病毒防治檢查和清除病毒殺毒軟件根據(jù)病毒的特征信息，檢查和清除已知病毒。對新出現(xiàn)的未知病毒，則無能為力通過向病毒庫中不斷加入新的病毒特征碼，使殺毒軟件可以查殺新病毒。必須經(jīng)常更新病毒庫。75病毒防治殺毒軟件功能:（1）掃描和清除病毒（2）在系統(tǒng)啟動時，自動檢查系統(tǒng)文件和引導記錄的病毒（3）實時監(jiān)控打開的程序，以及病毒活動（4）實時掃描下載的文件（5）自動更新病毒庫，升級程序（6）提供防火墻功能76木馬木馬病毒（Trojan）一般是隱藏在被控制的計算機系統(tǒng)的正常程序中的一段具有特殊功能的惡意代碼，黑客可以遠程控制感染木馬病毒的計算機。77木馬病毒程序主要是尋找計算機后門，伺機竊取被控計算機中的密碼和重要文件等，還可以對被控計算機實施監(jiān)控、資料修改等非法操作。木馬一個完整的木馬程序包括服務(wù)端和客戶端兩部分78木馬對自身進行偽裝以吸引用戶下載運行，向施種木馬者提供打開被種者計算機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的計算機木馬常見的木馬（1）網(wǎng)絡(luò)游戲木馬。（2）網(wǎng)銀木馬。（3）下載類木馬。（4）代理類木馬。（5）FTP木馬。（6）通信軟件類木馬。（7）網(wǎng)頁點擊類木馬。79木馬木馬防治：（1）殺毒軟件，定期掃描、查殺木馬，（2）通過正規(guī)渠道下載軟件，不下載、安裝來歷不明的軟件。（3）不隨意掃描來歷不明的二維碼。（4）不下載、打開來歷不明的文檔。（5）不隨意打開來歷不明的鏈接、郵件等。80信息社會的道德規(guī)范信息社會的道德規(guī)范是指在信息領(lǐng)域中調(diào)整人們相互關(guān)系的行為規(guī)范、社會準則和社會風尚。主要內(nèi)容：誠實守信、實事求是；