第7章計(jì)算機(jī)信息安全技術(shù)應(yīng)用基礎(chǔ)

1、第7章計(jì)算機(jī)信息安全技術(shù)應(yīng)用基礎(chǔ)教學(xué)對(duì)象非計(jì)算機(jī)專業(yè)學(xué)生教學(xué)班級(jí)教學(xué)學(xué)期問(wèn)題引出計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)緊密結(jié)合的產(chǎn)物，它的誕生使計(jì)算機(jī)體系結(jié)構(gòu)發(fā)生了巨大變化。在當(dāng)今社會(huì)發(fā)展中，計(jì)算機(jī)網(wǎng)絡(luò)起著非常重要的作用， 它不僅改變了人們的生產(chǎn)和生活方式，并對(duì)人類社會(huì)的進(jìn)步做岀了巨大貢獻(xiàn)。從 某種意義上講，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展水平不僅反映了一個(gè)國(guó)家的計(jì)算機(jī)科學(xué)和通信 技術(shù)的水平，而且也是衡量其國(guó)力及現(xiàn)代化程度的重要標(biāo)志之一。計(jì)算機(jī)網(wǎng)絡(luò)的 應(yīng)用遍布于各個(gè)領(lǐng)域，并已成為人們社會(huì)生活中不可缺少的一個(gè)重要組成部分。教學(xué)重點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)基本概念與結(jié)構(gòu)組成。教學(xué)難點(diǎn)In ternet的組成、協(xié)議、IP地址與域名的構(gòu)

2、成。教學(xué)目標(biāo)掌握計(jì)算機(jī)網(wǎng)絡(luò)的基本概念和基礎(chǔ)知識(shí)；熟悉計(jì)算機(jī)網(wǎng)絡(luò)的基本結(jié)構(gòu)組成和In ternet網(wǎng)絡(luò)的基本應(yīng)用；了解計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念和網(wǎng)絡(luò)安全技術(shù)防護(hù) 措施。建議學(xué)時(shí)6課時(shí)教學(xué)教具多媒體教學(xué)系統(tǒng)教學(xué)方法講授（PPT）教學(xué)設(shè)計(jì)以文檔編輯案例引入本章各節(jié)教學(xué)內(nèi)容及教學(xué)思想早節(jié)內(nèi)容7.1計(jì)算機(jī)信息安全概述7.1.1計(jì)算機(jī)安全概念教學(xué)思想隨著計(jì)算機(jī)及其網(wǎng)絡(luò)的廣泛使用，如何確保信息安全已7.1.2 信息安全威脅7.1.3 信息安全策略7.1.4 信息安全管理7.1.5 信息安全法律法規(guī)成為一個(gè)重要的研究課題。通過(guò)本節(jié)教學(xué)，必須使學(xué)生 了解并掌握信息安全技術(shù)的 重要意義。7.1.1計(jì)算機(jī)安全概念1

3、. 計(jì)算機(jī)安全的定義計(jì)算機(jī)安全(Computer security )是隨著電子技術(shù)、信息采集技術(shù)、數(shù)據(jù)處理技術(shù)的飛速 發(fā)展，在自然科學(xué)與社會(huì)科學(xué)的交叉地帶融會(huì)了系統(tǒng)科學(xué)、思維科學(xué)等基本概念而形成的高度 綜合性學(xué)科。國(guó)際標(biāo)準(zhǔn)化委員會(huì)(ISO)的定義是：計(jì)算機(jī)安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭破壞、 更改、顯露。我國(guó)公安部計(jì)算機(jī)管理監(jiān)察司的定義是：計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全，即計(jì) 算機(jī)信息系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。2 計(jì)算機(jī)安全的主要內(nèi)容從上述定義可知，計(jì)算機(jī)安全的研究范圍十分廣泛，主要包括以下

4、4個(gè)方面的內(nèi)容：(1) 物理安全(Physical Security ):指系統(tǒng)設(shè)施及相關(guān)設(shè)施，包括各種硬件設(shè)備、環(huán)境、建 筑、電磁輻射、數(shù)據(jù)媒體、滅火報(bào)警等。(2) 軟件安全(Software Security ):指軟件(包括操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、網(wǎng)絡(luò)軟 件、應(yīng)用軟件及相關(guān)資料)完整，包括軟件開發(fā)規(guī)程、軟件安全測(cè)試、軟件的修改與復(fù)制。(3) 數(shù)據(jù)安全(Data Security):指系統(tǒng)擁有和產(chǎn)生的數(shù)據(jù)或信息完整、有效，使用合法， 不被破壞或泄露，包括輸入、輸出、識(shí)別用戶、存取控制、加密、審計(jì)與追蹤、備份與恢復(fù)。(4) 運(yùn)行安全(Operation Security ):系統(tǒng)資源和

5、信息資源使用合法，包括電源、人事、機(jī) 房管理出入控制、數(shù)據(jù)與媒體管理、運(yùn)行管理。7.1.2信息安全威脅目前，In ter net上存在的對(duì)計(jì)算機(jī)(網(wǎng)絡(luò))安全的威脅主要表現(xiàn)在以下4個(gè)方面。1 非授權(quán)訪問(wèn)非授權(quán)訪問(wèn)是指在未經(jīng)同意的情況下使用他人計(jì)算機(jī)資源，如對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用、擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息等違法操作。2 信息泄漏或丟失信息泄漏或丟失是指重要數(shù)據(jù)信息有意或無(wú)意中被泄漏出去或丟失。例如，信息在傳輸過(guò) 程中丟失或泄漏；信息在存儲(chǔ)介質(zhì)中丟失或泄漏；竊取者通過(guò)建立隱蔽隧道等方式竊取敏感信 息等。3 破壞數(shù)據(jù)完整性破壞數(shù)據(jù)完整性是指以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除和更新計(jì)算機(jī)中某些

6、重要信 息，以干擾用戶的正常使用。4 拒絕服務(wù)拒絕服務(wù)是指網(wǎng)絡(luò)服務(wù)系統(tǒng)在受到干擾的情況下正常用戶的使用受到影響，甚至使合法用戶不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。7.1.3信息安全策略為了保證In ternet上的計(jì)算機(jī)能相對(duì)安全的工作，應(yīng)提供一個(gè)特定的環(huán)境，即安全保護(hù)所 必須遵守的規(guī)則，也就是計(jì)算機(jī)安全策略，其內(nèi)容主要有以下3個(gè)方面。1 威嚴(yán)的法律社會(huì)法律、法規(guī)與手段是安全的基石，通過(guò)建立與信息安全相關(guān)的法律、法規(guī)，使非法分 子懾于法律，不敢輕舉妄動(dòng)。2先進(jìn)的技術(shù)先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對(duì)需要保護(hù)的信息選擇相應(yīng)的安全機(jī)制，然 后集成先進(jìn)的安全技術(shù)。In ternet上

7、的安全技術(shù)有防火墻技術(shù)、加密技術(shù)、鑒別技術(shù)、數(shù)字簽名 技術(shù)、審計(jì)監(jiān)控技術(shù)和病毒防治技術(shù)等。3 嚴(yán)格的管理各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位都應(yīng)建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審 計(jì)和跟蹤體系，提高整體信息安全意識(shí)。實(shí)現(xiàn)信息安全管理的措施有訪問(wèn)控制機(jī)制、加密機(jī)制、認(rèn)證交換機(jī)制、數(shù)字簽名機(jī)制和路由控制機(jī)制等。7.1.4信息安全管理計(jì)算機(jī)系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范，具體工作主要包括以下5個(gè)方面。1 確定安全管理等級(jí)(1) 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。(2) 根據(jù)確定的安全等級(jí)，確定安全管理的范圍。2 嚴(yán)格的機(jī)房管理

8、制度為了計(jì)算機(jī)的安全，必須建立嚴(yán)格的機(jī)房管理制度，主要體現(xiàn)在以下方面：(1) 做好三防：一是防火，應(yīng)注意人走燈滅，斷開電源；二是防盜，注意關(guān)好門窗；三是 防泄，計(jì)算機(jī)處理的數(shù)據(jù)可能有很大一部分是本單位的機(jī)密或是非常重要的原始數(shù)據(jù)。所以， 存放數(shù)據(jù)的軟盤必須由專人管理，而裝有數(shù)據(jù)管理系統(tǒng)的硬盤應(yīng)該設(shè)置口令等保密措施，防止 數(shù)據(jù)丟失或泄密。(2) 分區(qū)控制：對(duì)有安全要求的系統(tǒng)要實(shí)行分區(qū)控制，要根據(jù)職責(zé)分離的原則，限制工作 人員岀入與己無(wú)關(guān)的區(qū)域。無(wú)關(guān)人員不許進(jìn)入機(jī)房，并采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)， 如采用磁卡、身份卡等手段對(duì)進(jìn)入機(jī)房的人員進(jìn)行識(shí)別、登記管理。(3) 安全教育：加強(qiáng)對(duì)機(jī)房工作

9、人員的安全教育，不斷提高計(jì)算機(jī)操作人員的技術(shù)水平和 職業(yè)道德，以防人為的破壞。特別要禁止玩電子游戲，因?yàn)楹芏嗖《揪褪怯呻娮佑螒蜍浖?入的。對(duì)日夜有人上機(jī)的機(jī)房，要有嚴(yán)格的交接班制度，并作好機(jī)器運(yùn)行的有關(guān)詳細(xì)記錄。3 嚴(yán)格的操作規(guī)程嚴(yán)格遵守計(jì)算機(jī)的操作規(guī)程。開機(jī)時(shí)，先開顯示器，后開主機(jī)；關(guān)機(jī)時(shí)，先關(guān)主機(jī)，后關(guān)顯示器。不能帶電操作。在開機(jī)狀態(tài)下不要隨意插撥各種接口卡、部件和外設(shè)電纜。4 完備的系統(tǒng)維護(hù)制度對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)， 應(yīng)采取數(shù)據(jù)保護(hù)措施， 如數(shù)據(jù)備份等。維護(hù)時(shí)首先要經(jīng)主管部門批準(zhǔn), 并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況都要詳細(xì)記錄。5 行之有效的應(yīng)急措施要制訂系統(tǒng)在發(fā)

10、生故障的情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。7.1.5信息安全的法律法規(guī)1 信息產(chǎn)業(yè)的規(guī)范管理為了約束人們使用計(jì)算機(jī)以及在計(jì)算機(jī)網(wǎng)絡(luò)專利權(quán)上的行為，我國(guó)制定了一系列信息產(chǎn)業(yè)規(guī)范管理工業(yè)產(chǎn)權(quán)y商標(biāo)專用權(quán)的法律法規(guī)。知識(shí)產(chǎn)權(quán)Y反不正當(dāng)競(jìng)爭(zhēng)權(quán)2.知識(shí)產(chǎn)權(quán)保護(hù)匚著作權(quán)知識(shí)產(chǎn)權(quán)是指人類通過(guò)創(chuàng)造性的智力勞動(dòng)而圖7-1知識(shí)產(chǎn)權(quán)的法律框架獲得的一項(xiàng)智力性財(cái)產(chǎn)權(quán)，是一種典型的由人的創(chuàng)造性勞動(dòng)“知識(shí)產(chǎn)品”。因此，知識(shí)產(chǎn)權(quán)也稱為“智力成果權(quán)”、“智慧財(cái)產(chǎn)權(quán)”，它是人類通過(guò)創(chuàng)造性的智力勞動(dòng)而獲得的一項(xiàng)權(quán)利。按 照國(guó)際慣例，知識(shí)產(chǎn)權(quán)的框架如圖

11、7-1所示。相關(guān)法律法規(guī)的具體內(nèi)容可以瀏覽中國(guó)網(wǎng)：http:/www.chi .c n/chi ness/i ndex.htm3 關(guān)于盜版為了促進(jìn)正版軟件市場(chǎng)的發(fā)展，打擊盜版軟件，整頓和規(guī)范軟件市場(chǎng)秩序，近幾年來(lái)，中 國(guó)政府不斷出臺(tái)了一系列政策措施。4.學(xué)生的安全法規(guī)意識(shí)作為信息時(shí)代的大學(xué)生，應(yīng)該懂得專利權(quán)的主要形式、專利保護(hù)的方法以及觸犯專利時(shí)的懲罰，重視以這些權(quán)益為基礎(chǔ)的道德價(jià)值防病毒技術(shù)病毒的定義與機(jī)理在教學(xué)過(guò)程中必須使學(xué)生懂得病毒的危害性，并且懂得預(yù)防早節(jié)內(nèi)谷7.2.2病毒的特征與特點(diǎn)教學(xué)思想病毒的重要性，并不是有了殺7.2.3病毒的類型與癥狀毒軟件就能刪除

12、所有病毒。7.2.4病毒的預(yù)防與整治7.2.1病毒的定義與機(jī)理1 什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用 并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2. 病毒的機(jī)理計(jì)算機(jī)病毒的工作過(guò)程一般經(jīng)過(guò)六個(gè)環(huán)節(jié)，即病毒源、傳染媒介、激活、注入內(nèi)存、觸發(fā) 和表現(xiàn)。7.2.2病毒的特征與特點(diǎn)1 .網(wǎng)絡(luò)病毒的特征 根據(jù)計(jì)算機(jī)病毒的來(lái)源、定義、表現(xiàn)形式和破壞行為進(jìn)行分析，可以抽象岀病毒所具有的 一般特征。(1) 傳染性：(2) 潛伏性：(3) 隱蔽性：(4) 激活性：(5) 破壞性：2網(wǎng)絡(luò)病毒的特點(diǎn)(1) 感染方式多：(2) 感染速度快：(3) 清除難度

13、大：(4) 破壞性強(qiáng)：(5) 激發(fā)形式多樣：7.2.3病毒的類型與癥狀1. 網(wǎng)絡(luò)病毒的類型(1) GPI (Get Password I)病毒(2) 電子郵件病毒(3) 網(wǎng)頁(yè)病毒(4) 網(wǎng)絡(luò)蠕蟲程序2. 病毒的癥狀(1) 屏幕上顯示的異?，F(xiàn)象：顯示一些莫名其妙的提示信息、特殊字符、不正常的畫面。(2) 系統(tǒng)運(yùn)行時(shí)的異?，F(xiàn)象：機(jī)器不能引導(dǎo)啟動(dòng)，有時(shí)還顯示與系統(tǒng)引導(dǎo)無(wú)關(guān)的信息。(3) 存儲(chǔ)容量發(fā)生異?，F(xiàn)象：存儲(chǔ)存儲(chǔ)容量異常地減少，使正常的數(shù)據(jù)或文件不能存儲(chǔ)。(4) 打印機(jī)工作的異?，F(xiàn)象：打印機(jī)速度減慢、打印異常字符或發(fā)生鎖機(jī)現(xiàn)象。7.2.4病毒的預(yù)防與整治1 網(wǎng)絡(luò)病毒的預(yù)防(1) 從管理上作好預(yù)防

14、：一是加強(qiáng)對(duì)磁盤的管理；二是要對(duì)機(jī)器中的信息采取防護(hù)措施。(2) 從技術(shù)上作好預(yù)防：根據(jù)常見(jiàn)病毒的特點(diǎn)采用一些技術(shù)措施，以避免某些病毒入侵。 2病毒的整治自從計(jì)算機(jī)病毒的岀現(xiàn)，人們不斷地研制各種預(yù)防、檢測(cè)和清除病毒的工具軟件，我國(guó)研 制的這類工具軟件有360安全衛(wèi)士、瑞星殺毒軟件、金山毒霸等。7.3防黑客技術(shù)7.3.1計(jì)算機(jī)黑客的概念7.3.2計(jì)算機(jī)黑客的入侵7.3.3計(jì)算機(jī)黑客的預(yù)防章節(jié)內(nèi)容教學(xué)思想在教學(xué)過(guò)程衡中，首先讓學(xué)生 了解什么是黑客，黑客形成的 背景，黑客入侵的途徑。 然后, 了解如何預(yù)防黑客。731計(jì)算機(jī)黑客的概念1. 什么是黑客“黑客”是指那些利用通訊軟件通過(guò)網(wǎng)絡(luò)非法進(jìn)入公共和他

15、人的計(jì)算機(jī)系統(tǒng)，截獲或篡改 計(jì)算機(jī)中的信息，危害信息系統(tǒng)安全的計(jì)算機(jī)入侵者，其入侵行為稱為“黑客”行為。2. 黑客的分類黑客可分為兩類：一類是協(xié)助人們研究系統(tǒng)安全性，岀于改進(jìn)的愿望，在微觀的層次上考 察系統(tǒng)，發(fā)現(xiàn)軟件漏洞和邏輯缺陷，編程檢查軟件的完整性和遠(yuǎn)程機(jī)器的安全體系，而沒(méi)有任 何破壞系統(tǒng)和數(shù)據(jù)的企圖。這類黑客是計(jì)算機(jī)網(wǎng)絡(luò)的“捍衛(wèi)者”。另一類是專門窺探他人隱私、任意篡改數(shù)據(jù)、進(jìn)行網(wǎng)上詐騙活動(dòng)的，他們是計(jì)算機(jī)網(wǎng)絡(luò)的 “入侵者（或稱攻擊者）”。3. 黑客的產(chǎn)生黑客起源于20世紀(jì)50年代麻省理工學(xué)院的實(shí)驗(yàn)室，黑客（ Hacker） 詞是早期麻省理工 學(xué)院的校園俚語(yǔ)，是手法巧妙、技術(shù)高明的“惡作劇

16、”之意。4 黑客的行為黑客在網(wǎng)絡(luò)上自由馳騁，他們喜歡不受束縛，挑戰(zhàn)任何技術(shù)制約和人為限制。認(rèn)為所有的 信息都應(yīng)當(dāng)是免費(fèi)的和公開的，黑客行為的核心是要突破對(duì)信息本身所加的限制。7.3.2計(jì)算機(jī)黑客的入侵1 黑客怎樣進(jìn)入用戶計(jì)算機(jī)黑客是通過(guò)什么途徑進(jìn)入到用戶計(jì)算機(jī)中的呢？黑客是通過(guò)特洛伊木馬軟件進(jìn)入用戶計(jì) 算機(jī)中的。2.黑客攻擊的步驟黑客攻擊總是先分析目標(biāo)系統(tǒng)正在運(yùn)行哪些應(yīng)用程序，目前可以獲取哪得權(quán)限，有哪些漏 洞可以加以利用，并最終利用這些漏洞獲取超級(jí)用戶權(quán)限，以達(dá)到他們攻擊的目的。3黑客入侵后的特征黑客入侵用戶的計(jì)算機(jī)后總會(huì)有某種動(dòng)作，這樣就會(huì)留下蛛絲馬跡，用戶就可以發(fā)現(xiàn)它的 存在。7.3.3

17、計(jì)算機(jī)黑客的預(yù)防1 .加強(qiáng)防范意識(shí) 不要輕易運(yùn)行來(lái)歷不明和從網(wǎng)上下載的軟件，即使通過(guò)了一般反病毒軟件的檢查也不 要輕易運(yùn)行。 保持警惕性，不要輕信熟人發(fā)來(lái)的E-mail沒(méi)有黑客程序，如Happy 99就會(huì)自動(dòng)加在E-mail附件當(dāng)中。 不要在聊天室內(nèi)公開自己的E-mail地址，對(duì)來(lái)歷不明的 E-mail應(yīng)立即清除。 不要隨便下載軟件(特別是不可靠的FTP站點(diǎn))。 不要將重要口令和資料存放在上網(wǎng)的計(jì)算機(jī)里。2 設(shè)置安全口令通過(guò)獲取口令對(duì)系統(tǒng)進(jìn)行攻擊，是多數(shù)黑客常用的方法。所以，攻擊者進(jìn)入系統(tǒng)時(shí)首先是 尋找系統(tǒng)是否存在沒(méi)有口令的戶頭，其次是試探系統(tǒng)是否有容易猜岀的口令，繼而用大量的詞 來(lái)嘗試，看是

18、否可以登錄。3 黑客監(jiān)視器軟件 端口監(jiān)視器軟件 Nuke Nabber:(2)線程監(jiān)視器軟件 Tcpview.exe :.4計(jì)算機(jī)防火墻技術(shù)在教學(xué)過(guò)程中，重點(diǎn)介紹防火7.4.1防火墻的概念墻的基本概念、基本功能作用、早節(jié)內(nèi)谷7.4.2防火墻的作用教學(xué)思想基本結(jié)構(gòu)和基本類型。要特別7.4.3防火墻的結(jié)構(gòu)強(qiáng)調(diào)防火墻在網(wǎng)絡(luò)安全方面不7.4.4防火墻的不足是萬(wàn)能的，只是一種輔助手段。7.4.1防火墻的概念1 什么是防火墻防火墻(Firewall )是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，如路由器、網(wǎng)關(guān)等。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查，以此 決定網(wǎng)絡(luò)之

19、間的通信是否被允許。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳 送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。2 防火墻的基本特性防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，所以它應(yīng)具有以下3方面的特性： 所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻； 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻； 防火墻本身不受各種攻擊的影響。3. 防火墻的基本準(zhǔn)則所謂防火墻的基本準(zhǔn)則，實(shí)際上就是設(shè)計(jì)防火墻的基本原則和應(yīng)該實(shí)現(xiàn)的基本功能。(1)過(guò)濾不安全服務(wù)：基于這個(gè)準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)安全服務(wù)逐項(xiàng)開 放，把不安全的服務(wù)或

20、可能有安全隱患的服務(wù)一律扼殺在萌芽之中。這是一種非常有效而實(shí)用的方法，可以形成十分安全的環(huán)境，因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才能允許被用戶使用。(2)過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)：基于這個(gè)準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì) 內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員可以針對(duì)不同的服務(wù)面向不同的用 戶開放，也就是能自由地設(shè)置各個(gè)用戶的不同訪問(wèn)權(quán)限。742防火墻的作用1 保護(hù)那些易受攻擊的服務(wù)防火墻負(fù)責(zé)保護(hù)因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)，是網(wǎng)絡(luò)的安全屏障。2 可以強(qiáng)化網(wǎng)絡(luò)安全策略防火墻不僅允許網(wǎng)絡(luò)管理員定義一個(gè)中

21、心“扼制點(diǎn)”來(lái)防止非法用戶(如黑客、網(wǎng)絡(luò)破壞 者等進(jìn)入網(wǎng)絡(luò)內(nèi)部)，而且能控制對(duì)特殊點(diǎn)的訪問(wèn)。3 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)所有的訪問(wèn)都經(jīng)過(guò)防火墻后，記錄下來(lái)的這些訪問(wèn)信息就作為日志記錄記載了，同時(shí)也就 能為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。4. 防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn) 或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。5. 緩和地址空間的不足過(guò)去，因特網(wǎng)曾經(jīng)歷了地址空間危機(jī)，它造成注冊(cè)的IP地址沒(méi)有足夠的地址資源，因而使得一些想連接因特網(wǎng)的機(jī)構(gòu)無(wú)法獲得足夠的注冊(cè)IP地址來(lái)滿足其用戶總數(shù)的需要。7.4.3防火墻的結(jié)構(gòu)1. 雙佰主機(jī)網(wǎng)關(guān)(D

22、ual Homed Gateway)雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻，這兩個(gè)網(wǎng)絡(luò)適配器中個(gè)是網(wǎng)卡，與內(nèi)網(wǎng)相連，另一個(gè)根據(jù)與In ter net 的連接方式，可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN 卡等，其結(jié)構(gòu)如圖 7-3所示。2. 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway)分單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型，兩種結(jié)構(gòu)都易于實(shí)現(xiàn)，而且也很安全。 單宿堡壘主機(jī)。連接方式如圖7-4所示。 同時(shí)一個(gè)單宿堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。 雙宿堡壘主機(jī)。連接方式如圖7-5所示。 網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。圖7-3雙宿堡壘主機(jī)在此方式下，一個(gè)包過(guò)濾路由器連接外部

23、網(wǎng)絡(luò), 與單宿堡壘主機(jī)的區(qū)別是雙宿堡壘主機(jī)有兩塊客戶機(jī)單宿堡壘主機(jī)防火墻雙宿堡壘主機(jī)防火墻Swich or HubInternet、互聯(lián)網(wǎng)=眈奩WWE呂丄?25包過(guò)濾路由器客戶機(jī)廠1Swich or Hub圖7-5屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)內(nèi)部網(wǎng)f、InternetF互聯(lián)網(wǎng)圖7-4屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī)3. 屏蔽子網(wǎng)(Scree ned Sub net Gateway)屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個(gè)起隔離作用的子網(wǎng)。該子網(wǎng)通過(guò)兩個(gè)包WWW、FTP、E-mail等，可安裝在屏蔽子網(wǎng)內(nèi)。屏蔽子網(wǎng)的結(jié)構(gòu)如圖7-6所示。過(guò)濾路由器分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏

24、蔽子網(wǎng)，雖然不 能直接通信，但可以根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪 提供代理服務(wù)。向外部網(wǎng)絡(luò)公開的服務(wù)器如 這樣，無(wú)論是外部用戶還是內(nèi)部用戶都可以訪問(wèn)包過(guò)濾路由器包過(guò)濾路由器客尸機(jī)Swichita or HubIntranet服務(wù)器屏蔽主機(jī) 應(yīng)用網(wǎng)關(guān)Internet互聯(lián)網(wǎng)圖7-6屏蔽子網(wǎng)防火墻4防火墻產(chǎn)品國(guó)外的知名產(chǎn)品有Checkpoint 公司的 Firewall-1 , Sonic System 公司的 Sonicwall , Net Screen公司的 NetAcreen，Alkater 公司的 In ternet Device， NAI 公司的 Gau

25、ntlet 等。國(guó)內(nèi)的知名產(chǎn)品有天融信網(wǎng)絡(luò)衛(wèi)士防火墻、東軟網(wǎng)眼防火墻、聯(lián)想網(wǎng)防御防火墻等。面向個(gè)人 用戶的防火墻產(chǎn)品，有瑞星防火墻、金山網(wǎng)鏢、思科公司的PIX防火墻、天網(wǎng)防火墻等。744防火墻的不足防火墻雖然具有上述作用，但其作用畢竟是有限的。就目前來(lái)說(shuō)，它還存在許多的不足， 主要體現(xiàn)在以下 4個(gè)方面。1 不能防范內(nèi)部用戶防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤上帶走。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而可以不用接近防火墻。防 火墻對(duì)內(nèi)部入侵者是無(wú)能為力的，只能加強(qiáng)內(nèi)部管理。2.不能防范不通過(guò)它的連接防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸?shù)男畔?/p>

26、，但不能防止不通過(guò)它而傳輸?shù)男畔ⅰ＠?如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn) 行撥號(hào)入侵。3 不能防范未知的威脅一個(gè)設(shè)計(jì)很好的防火墻，可以用來(lái)防御已知的和可能岀現(xiàn)的威脅，但不能自動(dòng)防御所有未 知的和新的威脅。4不能防范病毒防火墻不能消除網(wǎng)絡(luò)上的PC的病毒。雖然許多防火墻掃描所有通過(guò)的信息，以決定是否允許它通過(guò)內(nèi)部網(wǎng)絡(luò)，但掃描是針對(duì)源、目標(biāo)地址和端口號(hào)的，而不掃描數(shù)據(jù)的具體內(nèi)容。計(jì)算機(jī)密碼技術(shù)密碼技術(shù)的概念在教學(xué)中，要闡述密碼技術(shù)的 起源，了解數(shù)據(jù)加密技術(shù)的重早節(jié)內(nèi)谷教學(xué)思想要作用，了解常用加密算法；7.5.2常用加密方法了解現(xiàn)代數(shù)據(jù)

27、加密技術(shù)和數(shù)字7.5.3數(shù)字認(rèn)證技術(shù)認(rèn)證技術(shù)。7.5.1密碼技術(shù)概念1 加密和解密密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。其中，加密是把需要加密的報(bào)文按照以密碼鑰匙(簡(jiǎn)稱密鑰)為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密，還原成原文 件。數(shù)據(jù)加密和解密的過(guò)程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過(guò)信道傳輸，到信宿接 收時(shí)進(jìn)行解密，以實(shí)現(xiàn)數(shù)據(jù)通信保密。加密與解密的過(guò)程如圖7-7所示。1 -v f r 破譯行為1 -1密鑰報(bào)文 |*力廿密1密鑰解密|-原報(bào)文|明文密文傳輸J明文J 信源加密單元解密單元信宿圖7-7加密解密過(guò)程示意圖2 密鑰體系加密和解密是通過(guò)密鑰來(lái)實(shí)現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為單 鑰密碼(又稱對(duì)稱密碼或私鑰密碼)體系和雙鑰密碼(又稱非對(duì)稱密碼或公鑰密碼)體系。3密碼技術(shù)的基本要求使用密碼技術(shù)的目的是為了信息在傳遞過(guò)程中不讓非法接收者了解信息內(nèi)容。因此，信息 的安全傳遞至少包括四個(gè)基本要素：保密(機(jī)密性)、可驗(yàn)證性、完整性和不可性否認(rèn)性