計算機(jī)安全12的課件

1、第七章 計算機(jī)安全7.1 計算機(jī)安全概述7.2 計算機(jī)病毒有防治7.3 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)7.4 計算機(jī)安全法律與道德目 錄7.1.1 計算機(jī)信息系統(tǒng)安全 計算機(jī)信息系統(tǒng)是指計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳送、檢索等處理的人機(jī)系統(tǒng)。 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例總則的第三條指出：“計算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行?！庇纱丝梢?，計算機(jī)信息系統(tǒng)安全通常包括實體安全、信息安全

2、、運(yùn)行安全和人員安全等幾個部分。其中人員安全主要是指計算機(jī)使用人員的安全意識、法律意識、安全技能等。 7.1 計算機(jī)安全概述1.計算機(jī)信息系統(tǒng)的實體安全 計算機(jī)及其相關(guān)的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）稱為計算機(jī)信息系統(tǒng)的實體。計算機(jī)信息系統(tǒng)的實體安全是指為了保證計算機(jī)信息系統(tǒng)可靠運(yùn)行，確保計算機(jī)信息系統(tǒng)在對信息進(jìn)行采集、處理、傳輸、存儲過程中，不致受到人為（包括為授權(quán)使用計算機(jī)資源的人）或自然因數(shù)的危害，而使信息丟失、泄漏或破壞，對計算機(jī)設(shè)備，設(shè)施（包括機(jī)房建筑、供電、空調(diào)等）、環(huán)境、人員等采取適當(dāng)?shù)陌踩胧?保證計算機(jī)信息系統(tǒng)各種設(shè)備的實體安全是整個計算機(jī)信息系統(tǒng)安全的前提。計算機(jī)信息系統(tǒng)實體安全的

3、主要內(nèi)容包括環(huán)境安全、設(shè)備安全和媒體安全三個方面。2.計算機(jī)信息系統(tǒng)的信息安全 信息安全是指防止信息財產(chǎn)被故意的或偶然的泄露、更改、破壞或信息不可用的系統(tǒng)辨識、控制、策略和過程。信息安全的目的是確保信息的完整性、保密性和可用性。信息安全的研究內(nèi)容包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防治、訪問控制、加密與消息鑒別等七個方面。 3.計算機(jī)信息系統(tǒng)的運(yùn)行安全 計算機(jī)信息系統(tǒng)的運(yùn)行安全是指計算機(jī)系統(tǒng)在投入使用之后，工作人員對系統(tǒng)進(jìn)行正常使用和維護(hù)的措施，保證系統(tǒng)的安全運(yùn)行。運(yùn)行安全包括系統(tǒng)風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急等方面的內(nèi)容。系統(tǒng)的運(yùn)行安全是計算機(jī)信息系統(tǒng)安全的重要環(huán)節(jié)，是為保障系

4、統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護(hù)信息處理過程的安全，其目標(biāo)是保證系統(tǒng)能連續(xù)、正常地運(yùn)行。 7.1.2 計算機(jī)信息系統(tǒng)對安全的基本需求 1.信息系統(tǒng)對安全的基本需求 （1）保密性 （2）完整性 （3）可用性 （4）可控性 （5）可核查性 2.計算機(jī)信息系統(tǒng)安全模型 計算機(jī)信息安全系統(tǒng)并非局限于通信保密、局限于對信息加密功能要求等技術(shù)問題，它是涉及到方方面面的一項極其復(fù)雜的系統(tǒng)工程。一個完整網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施，并且三者缺一不可。三類措施如下：社會的法律政策，企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育；技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份認(rèn)證以及授權(quán)等；管理措施，包括技術(shù)措施

5、與社會措施。 計算機(jī)信息系統(tǒng)所面臨的威脅 計算機(jī)信息系統(tǒng)所面臨的威脅大體可分為兩種：一是對系統(tǒng)中信息的威脅；二是對系統(tǒng)中設(shè)備的威脅。影響計算機(jī)系統(tǒng)的因素很多，有些因素可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的或是自然環(huán)境所造成的。歸結(jié)起來，針對計算機(jī)信息系統(tǒng)安全的威脅如下：1.人為的無意失誤2.人為的惡意攻擊3.網(wǎng)絡(luò)軟件的漏洞和“后門”4.電磁干擾 7.1.4 計算機(jī)犯罪 1.計算機(jī)犯罪的概念界定 廣義的計算機(jī)犯罪是指行為人故意直接對計算機(jī)實施侵入或破壞或者利用計算機(jī)實施有關(guān)金融詐騙、盜竊貪污、挪用公款、竊取國家秘密或其它犯罪行為的總稱。 狹義的計算機(jī)犯罪僅指行為人違反國家規(guī)

6、定故意侵入國家事務(wù)國防建設(shè)尖端科學(xué)技術(shù)等計算機(jī)信息系統(tǒng)或者利用各種技術(shù)手段對計算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)應(yīng)用程序等進(jìn)行破壞，制作傳播計算機(jī)病毒，影響計算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。1.計算機(jī)犯罪的概念界定 它分為兩類形式：一是以計算機(jī)信息系統(tǒng)為犯罪工具；二是以計算機(jī)信息系統(tǒng)為犯罪對象。在作案手段上又有暴力和非暴力之分，暴力手段是對計算機(jī)設(shè)備進(jìn)行物理破壞；非暴力是指利用計算機(jī)技術(shù)知識進(jìn)行犯罪活動。 2.計算機(jī)犯罪的特點(diǎn)分析（1）作案手段智能化隱蔽性強(qiáng)（2）犯罪侵害的目標(biāo)較集中（3）偵查取證困難破案難度大，存在較高的犯罪黑數(shù)（4）犯罪后果嚴(yán)重社會危害性大3.當(dāng)前計算機(jī)犯罪的現(xiàn)狀 （1）非

7、法侵入計算機(jī)信息系統(tǒng) （2）破壞計算機(jī)信息系統(tǒng)功能 該類犯罪從形式上可以分為三種： 1）破壞計算機(jī)信息系統(tǒng)功能2）破壞計算機(jī)信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序 3）制作和傳播計算機(jī)病毒等破壞性程序 （3）利用計算機(jī)網(wǎng)絡(luò)進(jìn)行的政治型犯罪行為 3.當(dāng)前計算機(jī)犯罪的現(xiàn)狀 （4）利用互聯(lián)網(wǎng)傳播個人隱私（5）利用計算機(jī)散布有損企業(yè)形象、信譽(yù)的謠言，造謠、誹謗、損害他人商業(yè)信譽(yù)（6）利用計算機(jī)網(wǎng)絡(luò)進(jìn)行金融犯罪 （7）互聯(lián)網(wǎng)上淫穢色情活動的現(xiàn)狀 （8）其他與互聯(lián)網(wǎng)相關(guān)的犯罪形式 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中，將計算機(jī)病毒（以下簡稱為病毒）明確定義為：編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，

8、影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。從以上定義中我們可以看出： 病毒是一種特殊計算機(jī)程序 病毒通常寄生在別的程序中 病毒具有惡意 病毒具有自我復(fù)制的功能 計算機(jī)病毒概述 7.2 計算機(jī)病毒及其防治1.按傳染方式分類 傳染是計算機(jī)病毒的一個主要特征。計算機(jī)病毒按其傳染方式可分為三種類型，分別是引導(dǎo)型、文件型和混合型病毒。（1）引導(dǎo)型病毒（2）文件型病毒（3）混合型病毒 計算機(jī)病毒概述 2.按寄生方式分類 寄生是計算機(jī)病毒賴以存在的方式。計算機(jī)病毒按其寄生方式可分為四種類型： （1）代替型計算機(jī)病毒（2）鏈接型計算機(jī)病毒（3）轉(zhuǎn)儲型計算機(jī)病毒（4）源碼病毒 3.按危害程度分

9、類 嚴(yán)格地說，只要是計算機(jī)病毒，就會對系統(tǒng)造成一定的危害性，只是不同的計算機(jī)病毒造成的危害程度不同。計算機(jī)病毒按其危害程度可分為三種類型，分別為良性病毒、惡性病毒和中性病毒。 4.按攻擊對象劃分（1）攻擊DOS的病毒（2）攻擊Windows的病毒（3）攻擊網(wǎng)絡(luò)的病毒 1.通常病毒具有以下一些共性（1）傳染性（2）隱蔽性（3）潛伏性（4）觸發(fā)性（5）破壞性 7.2.2 計算機(jī)病毒特點(diǎn) 2.網(wǎng)絡(luò)時代，計算機(jī)病毒的特點(diǎn) 隨著計算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)病毒呈現(xiàn)出一些新的特點(diǎn)。（1）入侵計算機(jī)網(wǎng)絡(luò)的病毒形式多樣（2）傳播性強(qiáng)，擴(kuò)散面廣，傳播速度快，難徹底清除 （3）不需要寄主（4）傳播途徑日趨多

10、樣化（5）利用操作系統(tǒng)安全漏洞主動攻擊 病毒的繁衍方式、傳播方式不斷地變化，反病毒技術(shù)也應(yīng)該在與病毒對抗的同時不斷推陳出新?，F(xiàn)在，防治感染病毒主要有兩種手段：一是用戶遵守和加強(qiáng)安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢，把防病毒納入到網(wǎng)絡(luò)安全體系之中，形成一套完整的安全機(jī)制，使病毒無法逾越計算機(jī)安全保護(hù)的屏障，病毒便無法廣泛傳播。實踐證明，通過這些防護(hù)措施和手段，可以有效地降低計算機(jī)系統(tǒng)被病毒感染的幾率，保障系統(tǒng)的安全穩(wěn)定運(yùn)行。 計算機(jī)病毒的防治 計算機(jī)病毒要從以下幾個方面著手。1.在思想和制度方面（1）加強(qiáng)立法、健全管

11、理制度（2）加強(qiáng)教育和宣傳，打擊盜版 2.在技術(shù)措施方面 除管理方面的措施外，防止計算機(jī)病毒的感染和蔓延還應(yīng)采取有效的技術(shù)措施。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機(jī)制對病毒進(jìn)行隔離，這是保護(hù)計算機(jī)系統(tǒng)免遭病毒危害的有效方法。內(nèi)部控制和外部控制相結(jié)合，設(shè)置相應(yīng)的安全策略。常用的方法有系統(tǒng)安全、軟件過濾、文件加密、生產(chǎn)過程控制、后備恢復(fù)和安裝防病毒軟件等措施。 2.在技術(shù)措施方面 （1）系統(tǒng)安全 對病毒的預(yù)防依賴于計算機(jī)系統(tǒng)本身的安全，而系統(tǒng)的安全又首先依賴于操作系統(tǒng)的安全。 1）正確安裝使用防病毒軟件 2）修改系統(tǒng)配置、增強(qiáng)系統(tǒng)自身安全性 3）修補(bǔ)系統(tǒng)漏洞，加強(qiáng)預(yù)警 4）定期安全檢

12、查2.在技術(shù)措施方面 （2）軟件過濾（3）軟件加密（4）備份恢復(fù)（5）建立嚴(yán)密的病毒監(jiān)視體系（6）在內(nèi)部網(wǎng)絡(luò)出口進(jìn)行訪問控制 3.防范計算機(jī)網(wǎng)絡(luò)病毒的措施1）在計算機(jī)網(wǎng)絡(luò)中，盡量多用無盤工作站，不用或少用有軟驅(qū)的工作站。這樣只能執(zhí)行服務(wù)器允許執(zhí)行的文件，而不能裝入或下載文件，避免了病毒入侵系統(tǒng)的機(jī)會，保證了安全。工作站是網(wǎng)絡(luò)的門戶，把好這一關(guān)，可以有效地防止病毒入侵。2）在計算機(jī)網(wǎng)絡(luò)中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級用戶。超級用戶登錄后將擁有服務(wù)器目錄下的全部訪問權(quán)限，一旦帶入病毒，將產(chǎn)生更為嚴(yán)重的后果。少用“超級用戶”登錄，建立用戶組或功能化的用戶，適當(dāng)將其部分權(quán)限下放

13、。這樣賦予組管理員某些權(quán)限與職責(zé)，既能簡化網(wǎng)絡(luò)管理，又能保證網(wǎng)絡(luò)系統(tǒng)的安全。 3.防范計算機(jī)網(wǎng)絡(luò)病毒的措施3）為工作站上用戶賬號設(shè)置復(fù)雜的密碼。目前，一些網(wǎng)絡(luò)病毒自帶破解密碼的字典，對于密碼設(shè)置過于簡單的計算機(jī)可以很容易地侵入，比如“墨菲”病毒，必須設(shè)置復(fù)雜的密碼，才能有效地防止病毒入侵。4）對非共享軟件，將其執(zhí)行文件和覆蓋文件（如*.com、*.exe、*.ovl等）定期備份，當(dāng)計算機(jī)出現(xiàn)異常時，將文件恢復(fù)到本地硬盤上進(jìn)行重寫操作。5）接收遠(yuǎn)程文件輸入時，一定要慎重，最好不要將文件直接寫入本地硬盤，而應(yīng)將遠(yuǎn)程輸入文件寫到軟盤上，然后對其進(jìn)行查毒，確認(rèn)無毒后再拷貝到本地硬盤上。 3.防范計算機(jī)

14、網(wǎng)絡(luò)病毒的措施6）工作站采用防病毒芯片，這樣可防止引導(dǎo)型病毒。7）正確設(shè)置文件屬性，合理規(guī)范用戶的訪問權(quán)限。8）關(guān)閉文件共享。當(dāng)用戶不需要使用文件共享時，就不要讓這個安全漏洞開著。如果需要在網(wǎng)絡(luò)上共享文件，用戶應(yīng)該對它設(shè)置用戶身份驗證，并選擇不太容易被破解的口令。9）目前預(yù)防病毒最好的辦法就是在計算機(jī)中安裝具有實時監(jiān)控功能的防病毒軟件，并及時升級。 3.防范計算機(jī)網(wǎng)絡(luò)病毒的措施10）安裝操作系統(tǒng)和瀏覽器的更新組件或補(bǔ)丁程序。如果操作系統(tǒng)銷售商承認(rèn)需要某個補(bǔ)丁，應(yīng)及時下載并安裝，不可掉以輕心。11）建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測。即使有了殺毒軟件

15、，也不可掉以輕心，因為沒有一個殺毒軟件可以完全殺掉所有病毒，所以仍要記住定期備份，一旦真的遭到病毒的破壞，只要將受損的數(shù)據(jù)恢復(fù)即可。12）為解決網(wǎng)絡(luò)防病毒的要求，在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)版防病毒軟件和網(wǎng)關(guān)型防病毒系統(tǒng)。 網(wǎng)絡(luò)安全就其本質(zhì)而言是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 計算機(jī)網(wǎng)絡(luò)的安全包含兩方面的內(nèi)容：一方面保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和程序等資源，以免受到有意或無意地破壞或越權(quán)

16、修改與占用，稱為訪問技術(shù)；另一方面，為維護(hù)用戶的自身利益而對某些資源或信息進(jìn)行加密的密碼技術(shù)。 7.3 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 1.身份認(rèn)證系統(tǒng) 加強(qiáng)了原有的基于賬戶和口令的訪問控制，提供了授權(quán)、訪問控制、用戶身份識別、對等實體鑒別、抗抵賴等功能。OTP：一次一密的認(rèn)證機(jī)制。動態(tài)口令：有基于時鐘的動態(tài)口令機(jī)制。生物技術(shù)：生理特征的認(rèn)證機(jī)制，眼睛或手指。IC卡：作為身份的秘密信息存儲在IC卡。 身份認(rèn)證與口令安全 2.設(shè)置安全有效的口令選擇長的口令，口令越長，黑客猜中的概率就越低。最好的口令包括英文字母和數(shù)字的組合。用戶若可以訪問多個系統(tǒng)，則不要使用相同的口令。否則，只要一個系統(tǒng)出了問題，則另一個系

17、統(tǒng)也就不安全了。不要使用自己的名字、家人的名字或?qū)櫸锏拿值鹊?。因為這些可能是黑客最先嘗試的口令。避免使用自己不容易記的口令，以免給自己帶來麻煩。 網(wǎng)絡(luò)安全的另一個非常重要的手段就是加密技術(shù)，它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠，那么所有重要信息就全部通過加密處理。對信息進(jìn)行加密保護(hù)是在密鑰的控制下，通過密碼算法將敏感的機(jī)密明文數(shù)據(jù)變換成不可懂的密文數(shù)據(jù)，稱為加密 （Encryption）。在實際應(yīng)用中，加密主要滿足如下的需求：認(rèn)證：識別用戶身份，提供訪問許可。信息的一致性：保證數(shù)據(jù)不被非法篡改。信息的隱密性：保證數(shù)據(jù)不被非法用戶查看。信息的不可抵賴：使信息接收者無法否認(rèn)曾經(jīng)收到的信息。

18、數(shù)據(jù)加密技術(shù) 1.信息加密方式 信息加密分為信息的傳輸加密和信息的存儲加密兩種方式。 （1）信息的傳輸加密 信息的傳輸加密是面向線路的加密措施，有鏈路加密、節(jié)點(diǎn)加密和端端加密三種。 鏈路加密節(jié)點(diǎn)加密端端加密 1.信息加密方式 （2）信息的存儲加密 信息的存儲加密是面向存儲介質(zhì)的技術(shù)，有數(shù)據(jù)庫加密和文件加密。數(shù)據(jù)庫加密與文件加密的主要區(qū)別是：其加、解密是以數(shù)據(jù)記錄、數(shù)據(jù)項為單位進(jìn)行而不是以文件為單位。數(shù)據(jù)庫中明文數(shù)據(jù)之間的各種對應(yīng)關(guān)系應(yīng)在密文數(shù)據(jù)中有所對應(yīng)，以便用戶訪問數(shù)據(jù)記錄、數(shù)據(jù)項，并提供靈活的查詢、檢查、排序功能。 防火墻（ Firewall ）是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障，是一種由計

19、算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入。不同的防火墻側(cè)重點(diǎn)不同。防火墻技術(shù)簡單說就是一套身份認(rèn)證、加密、數(shù)字簽名和內(nèi)容檢查集成一體的安全防范措施。 防火墻技術(shù) 1.防火墻基本功能 防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以下五大基本功能。（1）過濾進(jìn)、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。（2）管理進(jìn)、出內(nèi)部網(wǎng)絡(luò)的訪問行為。（3）封堵某些禁止的業(yè)務(wù)。（4）記錄通過防火墻的信息內(nèi)容和活動。（5）對

20、網(wǎng)絡(luò)攻擊進(jìn)行檢測和報警。 2.防火墻的局限性（1）防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。（2）防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部，對于那些對企業(yè)心懷不滿或假意臥底的員工來說，防火墻形同虛設(shè)。防火墻可以設(shè)計為既防外也防內(nèi)，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。（3）由于防火墻性能上的限制，因此它通常不具備實時監(jiān)控入侵的能力。2.防火墻的局限性（4）防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行

21、設(shè)備。（5）防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。（6）防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。 2.防火墻的局限性（7）防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。（8）防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。（9）防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時卻無法保護(hù)自己，目前

22、還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護(hù)。 3. 按采用的技術(shù)分類 常見防火墻按采用的技術(shù)分類主要有包過濾防火墻、代理防火墻和狀態(tài)檢測防火墻。（1）包過濾（Packet Filtering） 包過濾是第一代防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等標(biāo)志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。 3. 按采用的技術(shù)分類 （2）應(yīng)用代理（Application Proxy） 也叫應(yīng)用網(wǎng)關(guān)（Ap

23、plication Gateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。 3. 按采用的技術(shù)分類 （3）狀態(tài)檢測（Status Detection）： 直接對分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。4.防火墻軟件 防火墻有不同類型。一個防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計算機(jī)都插入其中。防火墻也可以在一個獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計算機(jī)的代理和防火墻。直接連在因特網(wǎng)的機(jī)器可以使用個人防火墻。

24、 一個好的個人版防火墻必須是低的系統(tǒng)資源消耗，高的處理效率，具有簡單易懂的設(shè)置界面，具有靈活而有效的規(guī)則設(shè)定。 常用個人版防火墻，國內(nèi)的有天網(wǎng)個人版防火墻、藍(lán)盾個人防火墻、瑞星防火墻、江民反黑王等，國外比較有名的有LOCKDOWN、NORTON、ZONEALARM、PC CILLIN、BLACKICE等。 1.與計算機(jī)安全相關(guān)的主要法規(guī) 我國的計算機(jī)立法工作開始于20世紀(jì)80年代。1989年，我國首次在重慶西南鋁廠發(fā)現(xiàn)計算機(jī)病毒后，立即引起有關(guān)部門的重視。公安部發(fā)布了計算機(jī)病毒控制規(guī)定（草案）。1991年5月24日，國務(wù)院第八十三次常委會議通過了計算機(jī)軟件保護(hù)條例。 1994年2月18日，我國

25、政府頒布了中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例，這是我國的第一部計算機(jī)安全法規(guī)，是我國現(xiàn)行計算機(jī)信息系統(tǒng)安全工作的總綱。它的頒布和實施，標(biāo)志著我國計算機(jī)信息系統(tǒng)安全工作走上規(guī)范化、法制化、科學(xué)化的軌道，促進(jìn)了我國計算機(jī)的應(yīng)用和發(fā)展。 計算機(jī)安全法律法規(guī)7.4 計算機(jī)安全法律與道德 1.與計算機(jī)安全相關(guān)的主要法規(guī) 1996年2月1日國務(wù)院發(fā)布了中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定，提出了對國際聯(lián)網(wǎng)實行統(tǒng)籌規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、分級管理、促進(jìn)發(fā)展的基本原則。1997年5月20日，國務(wù)院對這一規(guī)定進(jìn)行了修改，國務(wù)院信息化工作領(lǐng)導(dǎo)小組制定了中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施

26、辦法，設(shè)立了國際聯(lián)網(wǎng)的主管部門，增加了經(jīng)營許可證制度，并重新發(fā)布。1997年，國務(wù)院信息化工作領(lǐng)導(dǎo)小組先后發(fā)布了中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法、中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則。1.與計算機(jī)安全相關(guān)的主要法規(guī) 2000年10月，互聯(lián)網(wǎng)信息服務(wù)管理辦法正式實施。這部法規(guī)把互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，并分別實施許可證制度和備案制度。同時，它還對“新聞、出版、教育、醫(yī)療保健、藥品和醫(yī)療器械等互聯(lián)網(wǎng)信息服務(wù)”以及“電子公告服務(wù)”作出了原則性的規(guī)定。 為了加強(qiáng)網(wǎng)絡(luò)管理、規(guī)范網(wǎng)絡(luò)運(yùn)行，2000年11月6日，國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定。同年11月7日，信息產(chǎn)業(yè)部又發(fā)布了互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定。2.與計算機(jī)