計算機信息安全技術(shù)

計算機信息平安技術(shù)整理課件本章主要介紹計算機信息平安技術(shù)的根底知識。通過本章的學習，讀者應(yīng)該掌握平安管理和日常維護原理，知道計算機病毒的根本概念、計算機病毒防護方法、網(wǎng)絡(luò)平安主要技術(shù)與防范方法、加密與防御技術(shù)、防火墻和虛擬專用網(wǎng)以及審計與監(jiān)控技術(shù)的根本概念。整理課件9.1計算機信息平安綜述一直以來，電腦病毒、文件誤刪除、互聯(lián)網(wǎng)黑客和惡意程序等平安問題都困擾著投入個人電腦懷抱的人群。如何讓自己的系統(tǒng)鞏固無比，如何讓自己的應(yīng)用穩(wěn)如泰山？因此，有必要對電腦平安的各個方面給予充分的注意，以提高自身的應(yīng)用水平，維護系統(tǒng)的正常運行。計算機信息平安技術(shù)具體包括如下幾方面的含義。整理課件〔1〕保密性〔confidentiality〕信息或數(shù)據(jù)經(jīng)過加密變換后，將明文變成密文形式，外表上無法識別，只有那些經(jīng)過授權(quán)的合法用戶，掌握了密鑰，才能通過解密算法將密文復原成明文。而未授權(quán)的用戶因為不知道密鑰，而無法獲得原明文的信息，起到對信息的保密作用。整理課件〔2〕完整性〔integrity〕完整性指的是將信息或數(shù)據(jù)附加上特定的信息塊，系統(tǒng)可以用這個信息塊檢驗數(shù)據(jù)信息的完整性，特點是信息塊的內(nèi)容通常是原信息或數(shù)據(jù)的函數(shù)。只有那些經(jīng)過授權(quán)的用戶，才允許對數(shù)據(jù)或信息進行增加、刪除和修改。而未經(jīng)過授權(quán)的用戶，只要對數(shù)據(jù)或信息進行改動就立刻會被發(fā)現(xiàn)，同時使系統(tǒng)自動采取保護措施。整理課件〔3〕可用性〔availability〕可用性指的是平安系統(tǒng)能夠?qū)τ脩羰跈?quán)，提供其某些效勞，即經(jīng)過授權(quán)的用戶可以得到系統(tǒng)資源，并且享受到系統(tǒng)提供的效勞。防止非法抵抗或拒絕對系統(tǒng)資源或系統(tǒng)效勞的訪問和利用，增強系統(tǒng)的效用。整理課件〔4〕真實性〔authenticity〕真實性指的是防止系統(tǒng)內(nèi)的信息感染病毒。由于計算機病毒的泛濫，已很難保證計算機系統(tǒng)內(nèi)的信息不被病毒侵害，因此信息平安技術(shù)必須包括反病毒技術(shù)，采用人工方法和高效反病毒軟件，隨時監(jiān)測計算機系統(tǒng)內(nèi)部和數(shù)據(jù)文件是否感染病毒，一旦發(fā)現(xiàn)應(yīng)及時去除掉，以確保信息的真實可靠。整理課件9.1.1計算機系統(tǒng)面臨的威脅影響計算機系統(tǒng)的平安因素很多，有些因素可能是有意的，也可能是無意的；可能是天災(zāi)，也困難是人禍。歸結(jié)起來，對平安的威脅主要有三種形式。1．天災(zāi)2．人禍人禍可分為有意和無意。3.系統(tǒng)本身的原因〔1〕計算機硬件系統(tǒng)的故障〔2〕軟件的漏洞整理課件對于天災(zāi)和系統(tǒng)本身的原因，可以通過設(shè)備的高級化和技術(shù)進步，使其影響限制在較小的程度；至于人為的無意失誤，可以想方法減少，如通過增強全民的法律和道德意識，尤其是業(yè)務(wù)人員對規(guī)章制度、平安知識的學習等；人為的有意破壞是最棘手的，它涉及到計算機犯罪的問題，是信息社會的重要社會問題之一，是保衛(wèi)和進攻的角逐場。整理課件9.1.2計算機平安評價標準為了促進信息平安產(chǎn)品的普及,美國國防部國家計算機平安中心主持了一項政府與產(chǎn)業(yè)界合作進行的工程——可信產(chǎn)品評價方案。這項方案的主要目標是根據(jù)有關(guān)標準從技術(shù)上來認定市場上商品化的計算機系統(tǒng)的平安性能。1985年,該中心代表美國國防部制定并出版了可信計算機平安評價標準,即著名的“桔皮書〞(OrangeBook)。最初桔皮書標準用于美國政府和軍方的計算機機系統(tǒng),但近年來桔皮書的影響已擴展到了商業(yè)領(lǐng)域,成為事實上大家公認的標準。各公司已經(jīng)開始給它們的產(chǎn)品打上一個個按桔皮書評定的平安級別的標記。桔皮書為計算機系統(tǒng)的平安定義了七個平安級別,最高為A級,最低為D級:整理課件A級稱為提供核查保護,只適用于軍用計算機。B級為強制保護。采用TCB(TrcustedComputingBase,可信計算基準)方法,即保持敏感性標簽的完整性并用它們形成一整套強制訪問控制規(guī)那么。B級系統(tǒng)必須在主要數(shù)據(jù)結(jié)構(gòu)中帶有敏感性標簽,系統(tǒng)中的每一個對象都帶有敏感性標簽。B級又可細為B1、B2、B3三個等級(按平安等級排序為B3,B2,B1)。B1表示被標簽的平安性。B2表示結(jié)構(gòu)化保護。B3表示平安域。C級為酌情保護。C級又細分為C1、C2兩個等級(按平安等級排序為C2,C1)。C1表示酌情平安保護。C2表示訪問控制保護。D級為最低級別。參加評估而評不上更高等級的系統(tǒng)均歸入此級別。整理課件為了針對網(wǎng)絡(luò)、平安的系統(tǒng)和數(shù)據(jù)庫的具體情況來應(yīng)用桔皮書的標準,國防部國家平安計算機中心又制定并出版了三個解釋性文件,即可信網(wǎng)絡(luò)解釋,計算機平安子系統(tǒng)解釋和可信數(shù)據(jù)庫解釋。至此,便形成了美國計算機系統(tǒng)平安評價標準系列——彩虹系列(RainbowSeries)。整理課件隨著計算機網(wǎng)絡(luò)的日益國際化,信息技術(shù)平安標準也日益成為國際上共同關(guān)心的問題。世界各國迫切希望有一個國際通用的信息技術(shù)平安標準。1993年2月,在一次歐洲聯(lián)盟主持召開的討論會上,美國、加拿大和歐洲聯(lián)盟一致同意開發(fā)“信息技術(shù)平安性通用標準〞。經(jīng)過近三年的努力,到1996年2月為止,該通用標準已有了三個主要草案,即0.6版(1994年4月),0.9版(1994年10月)和1.0版(1996年1月)。1.0版標準公布后將進入試用階段。在時機成熟時,該通用標準將遞交給國際標準化組織作為國際標準的根底。整理課件9.1.3硬件系統(tǒng)的穩(wěn)定與實體平安硬件系統(tǒng)的穩(wěn)定與否直接影響到整個系統(tǒng)的平安。因此在平時的使用中一定要注意正確對硬件進行維護。構(gòu)成電腦硬件的主要元件是硅芯片和電子元件。因此，一些通用的維護技巧是必須掌握的。比方保證正常的溫度和濕度，保證一定的通風，創(chuàng)造一個良好的散熱環(huán)境，防止陽光直射，不要把水灑在鍵盤上，在不使用電腦時蓋上罩子以免灰塵進入，熱插拔要慎重，防止將有強磁場的電器如電視機等放在電腦旁邊等措施，都是平時應(yīng)該遵守的。除此之外，一些具有特殊要求的部件如CPU、硬盤等，還應(yīng)該更細心地呵護，如正在對硬盤讀寫時不能關(guān)掉電源，防止硬盤受大的震動，每隔一段時間對硬盤進行一次掃描以及時發(fā)現(xiàn)壞道等，以免這些關(guān)鍵性部件突然罷工而帶來無法估量的損失。整理課件實體平安〔PhysicalSecurity〕又叫物理平安，是保護計算機設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故〔如電磁污染〕破壞的措施和過程。影響實體平安的主要因素有：計算機及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素；各種自然災(zāi)害導致的平安問題；由于人為的錯誤操作及各種計算機犯罪導致的平安問題。因此實體平安包括的主要內(nèi)容有四個方面，即環(huán)境平安、設(shè)備平安、存儲媒體平安和硬件防護。整理課件9.1.4用戶平安管理如果是單機用戶，通?？梢詫⒅匾奈募嚎s加密，以防止自己不在電腦前的時候文件被別人偷看；如果覺得不放心，還可以對注冊表進行修改，徹底隱藏某個分區(qū)，不熟悉情況的人完全看不到；當然最好是在BIOS中設(shè)置開機密碼，使沒有經(jīng)過授權(quán)的用戶不能啟動系統(tǒng)。對公用計算機來說，也根據(jù)需要，將用戶級別進行嚴格限制。這樣，某些用戶就無法訪問一些敏感數(shù)據(jù)或文件，從而保證了公司的機密不被外人知道。更多的還是要通過平時加強對人的教育與管理，健全機構(gòu)和崗位責任制，完善平安管理規(guī)章制度幾方面來杜絕這種危害甚大的系統(tǒng)平安問題。整理課件9.1.5數(shù)據(jù)備份計算機中的數(shù)據(jù)包括一切存儲在計算機中的信息，包括文檔、聲音文件、視頻文件等，它是計算機正常運行所需要的根本保證。但數(shù)據(jù)并不是完全平安的，它會受到磁道損壞或病毒侵害等影響，尤其當系統(tǒng)崩潰的時候，數(shù)據(jù)的喪失是無法完全防止的。而數(shù)據(jù)備份，就是將這些文件通過手動或自動的方式復制到一個平安的地方，以備不時之需，這樣在數(shù)據(jù)發(fā)生損壞時，才不會手足無措。用數(shù)據(jù)備份保護數(shù)據(jù)，可以使系統(tǒng)在平安性上更上一層樓。整理課件9.2計算機病毒整理課件9.2.1計算機病毒的根本概念及特點國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在?中華人民共和國計算機信息系統(tǒng)平安保護條例?中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼〞。整理課件世界上第一例被證實的計算機病毒是在1983年，出現(xiàn)了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設(shè)計思想；1984年，美國人Thompson開發(fā)出了針對UNIX操作系統(tǒng)的病毒程序。

1988年11月2日晚，美國康爾大學研究生羅特·莫里斯將計算機病毒蠕蟲投放到網(wǎng)絡(luò)中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯(lián)網(wǎng)的計算機都受到影響，直接經(jīng)濟損失近億美元。整理課件在我國，80年代末，有關(guān)計算機病毒問題的研究和防范已成為計算機平安方面的重大課題。1982年“黑色星期五〞病毒侵入我國；1985年在國內(nèi)發(fā)現(xiàn)更為危險的“病毒生產(chǎn)機〞，生存能力和破壞能力極強。這類病毒有1537、CLME等。進入90年代，計算機病毒在國內(nèi)的泛濫更為嚴重。CIH病毒是首例攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可造成網(wǎng)絡(luò)的癱瘓。整理課件2000年12月的初步統(tǒng)計：整理課件計算機病毒具有以下特點〔1〕破壞性〔2〕自我復制能力〔3〕隱蔽性〔4〕可激活性〔5〕針對性〔6〕不可預見性整理課件9.2.2病毒的構(gòu)成及表現(xiàn)大多數(shù)的計算機病毒一般都包含四個程序功能局部。〔1〕程序引導局部〔2〕檢測激活局部〔3〕傳染局部傳染局部用來進行病毒自身的復制并附加到未染毒的引導區(qū)或代碼中。〔4〕表現(xiàn)局部整理課件9.2.3病毒的防范病毒的防御措施應(yīng)該包含兩重含義，一是建立法律制度，提高教育素質(zhì)，從管理方法上防范；二是加大技術(shù)投入與研究力度，開發(fā)和研制出更新的防治病毒的軟件、硬件產(chǎn)品，從技術(shù)方法上防范。只有將這兩種方法結(jié)合起來考慮，才能行之有效地防止計算機病毒的傳播。

整理課件1.防止計算機病毒的管理措施·任何情況下，應(yīng)該保存一張寫保護的、無病毒的、帶有各種DOS命令文件的系統(tǒng)啟動盤，用于去除計算機病毒和維護系統(tǒng)?！ぷ詈貌灰密洷P引導系統(tǒng)，這樣可以較好的防止引導區(qū)傳染的計算機病毒的傳播?！げ灰S意下載軟件，即使下載，也要使用最新的防病毒軟件來掃描。·不要使用任何解密版的盜版軟件，要尊重知識產(chǎn)權(quán)，使用正版軟件。·不要使用來歷不明的軟盤或移動存儲器，防止翻開不明來歷的e-mail?！浞葜匾獢?shù)據(jù)，數(shù)據(jù)備份是防止數(shù)據(jù)喪失的最徹底途徑?！ぶ攸c保護數(shù)據(jù)共享的網(wǎng)絡(luò)效勞器，控制寫的權(quán)限，不在效勞器上運行可疑軟件和不知情軟件?！けM量不要訪問沒有平安保障的小網(wǎng)站；不要隨便翻開陌生人發(fā)來的鏈接，不要隨便接受陌生人傳過來的文件或程序。·加強教育和宣傳工作，使廣闊的計算機用戶都認識到編制計算機病毒軟件是不道德的犯罪行為。從倫理和社會輿論上扼殺病毒的產(chǎn)生?！そ?、健全各種法律制度，保障計算機系統(tǒng)的平安性。總之，完善的管理制度，可以人為的鏟除或減少病毒的制造源和傳染源。整理課件2.防止計算機病毒的技術(shù)措施〔1〕硬件防御。硬件防御是指通過計算機硬件的方法預防計算機病毒侵入系統(tǒng)，主要采用防病毒卡。防病毒卡作為ROM插件，在系統(tǒng)啟動時就可獲得控制權(quán)，使機器具有了免疫力，只要系統(tǒng)中運行的程序帶有病毒，防病毒卡就會發(fā)現(xiàn)，給出警告信息，并在內(nèi)存中將其去除掉?！?〕軟件防御。是指通過計算機軟件的方法預防計算機病毒侵入系統(tǒng)，或徹底去除已經(jīng)感染的病毒；對于暫時無法徹底去除的病毒，軟件會自動將其隔離，不影響正常文件的操作，這是較為常用和普及率較高的方法，常用的防病毒軟件有NortonAntiVirus、TurboAntiVirus、SoftwareConceptDesign、KILL、kv3000、瑞星、金山毒霸、LANProtect和LANClearforNetWare等等。整理課件9.2.4正確使用殺毒軟件整理課件〔2〕使用病毒防火墻整理課件9.3網(wǎng)絡(luò)平安9.3.1網(wǎng)絡(luò)面臨的平安威脅9.3.2網(wǎng)絡(luò)平安的目標9.3.3網(wǎng)絡(luò)平安防范的主要技術(shù)和常用手段9.3.4網(wǎng)絡(luò)平安防范的一些建議整理課件9.4加密技術(shù)9.4.1加密的概念

9.4.2加密的方法

9.4.3密碼算法

整理課件9.5防火墻和虛擬專用網(wǎng)整理課件9.5.1防火墻概述整理課件9.5.2虛擬專用網(wǎng)概述

目前VPN主要采用四項技術(shù)：1.隧道技術(shù)、2.加解密技術(shù)、3.密鑰管理技術(shù)、4.使用者與設(shè)備身份認證技術(shù)。整理課件9.6審計與監(jiān)控技術(shù)

整理課件9.6.1審計技術(shù)概述審計是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊或機密信息是否受到非法訪問，如發(fā)現(xiàn)問題后那么采取相應(yīng)措施。審計的目的是測試系統(tǒng)的控制是否恰當，保證與既定策略和操作堆積的協(xié)調(diào)一致，有助于作出損害評估，以及對在控制、策略與規(guī)程中指明的改變作出評估。審計的主要依據(jù)是“信息技術(shù)平安性評估通用準那么2.0版〞。審計跟蹤提供了一種不可無視的平安機制，它的潛在價值在于經(jīng)事后的平安審計可以檢測和調(diào)查平安的漏洞。審計的存在可對某些潛在的侵犯平安的攻擊源起到威懾作用。整理課件審計的具體要求如下：〔1〕自動收集所有與平安性有關(guān)的活動信息，這些活動是由管理員在安裝時所選定的一些事件?！?〕采用標準格式記錄信息?！?〕審計信息的建立和存儲是自動的，不要求管理員參與。〔4〕在一定平安體制下保護審計記錄，例如用根通行字作為加密密鑰對記錄進行加密，或要求出示根通行字才能訪問此記錄?！?〕對計算機系統(tǒng)的運行和性能影響盡可能地小。整理課件平安審計系統(tǒng)可由4局部組成：審計節(jié)點，審計工作站，審計信息和審計協(xié)議?！徲嫻?jié)點。審計節(jié)點是網(wǎng)上的重要設(shè)備〔效勞器，路由器，客戶機等〕。每個節(jié)點運行一個審計代理軟件，它對設(shè)備的運行情況進行監(jiān)視和審計，產(chǎn)生日志文件。·審計工作站。審計工作站是運行特殊審計軟件的通用/專用計算機。包含一個或多個進程，實現(xiàn)與網(wǎng)上審計節(jié)點的通信?！徲嬓畔⒑蛯徲媴f(xié)議。審計信息和審計協(xié)議是描述審計代理存儲的審計信息格式和傳輸規(guī)那么。整理課件審計系統(tǒng)設(shè)計的關(guān)鍵是首先要確定必須審計的事件，建立軟件記錄這些事件，并將其存儲，防止隨意訪問。審計機構(gòu)監(jiān)測系統(tǒng)的活動細節(jié)并以確定格式進行記錄。對試圖〔成功或不成功〕聯(lián)機，對敏感文件的讀寫，管理員對文件的刪除、建立、訪問權(quán)的授予等每一事件進行記錄。管理員在安裝時對要記錄的事件作出明確規(guī)定。整理課件一般選擇可審計事件的準那么如下：·使用認證和授權(quán)機制。對保護的對象或?qū)嶓w的合法或企圖非法訪問進行記錄?！び涗浽黾?、刪除和修改對象的操作。記錄對已利用平安效勞的對象的改變或刪除操作?！び涗浻嬎銠C操作員、系統(tǒng)管理員、系統(tǒng)平安人員采取的與平安相關(guān)的行動。保持一個特權(quán)人員完成動作的記錄?！ぷR別訪問事件和它的行動者。識別每次訪問事件的起始和結(jié)束時間及其行動者?！ぷR別例外條件。在事務(wù)的兩次處理其間，識別探測到的與平安相關(guān)的例外條件。