信息安全與道德規(guī)范.ppt

《信息安全與道德規(guī)范.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全與道德規(guī)范.ppt（73頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第7章信息安全與道德規(guī)范 7 2 第七章信息安全與職業(yè)道德 7 1信息安全概述7 2計(jì)算機(jī)病毒7 3計(jì)算機(jī)網(wǎng)絡(luò)安全7 4計(jì)算機(jī)職業(yè)道德 7 3 7 1信息安全概述 一 計(jì)算機(jī)系統(tǒng)安全1 計(jì)算機(jī)系統(tǒng)也稱(chēng)為計(jì)算機(jī)信息系統(tǒng) ComputerInformationSystem 是由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備 設(shè)施 含網(wǎng)絡(luò) 構(gòu)成的 并按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集 加工 存儲(chǔ) 檢索等處理的人機(jī)系統(tǒng) 7 4 7 1信息安全概述 2 計(jì)算機(jī)系統(tǒng)面臨的諸多威脅 計(jì)算機(jī)系統(tǒng) 計(jì)算機(jī)硬件 計(jì)算機(jī)軟件 數(shù)據(jù) 實(shí)體 信息 對(duì)實(shí)體的威脅和攻擊 對(duì)信息的威脅和攻擊 信息泄露 信息破壞 1 對(duì)實(shí)體的威脅和攻擊硬件軟件 2 對(duì)信息的威脅和攻擊信息泄漏信息破壞 7 5 7 1信息安全概述 信息泄漏 指故意或偶然地偵收 截獲 竊取 分析和收到系統(tǒng)中的信息 特別是系統(tǒng)中的機(jī)密和敏感信息 造成泄密事件 7 6 7 1信息安全概述 信息破壞 指由于偶然事故或人為因素破壞信息的機(jī)密性 完整性 可用性及真實(shí)性 偶然事故包括 計(jì)算機(jī)軟硬件事故 工作人員的失誤 自然災(zāi)害的破壞 環(huán)境的劇烈變化等引起的各種信息破壞 人為因素的破壞指 利用系統(tǒng)本身的脆弱性 濫用特權(quán)身份或不合法地使用身份 企圖修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù) 從而達(dá)到不可告人的目的 7 7 7 1信息安全概述 3 計(jì)算機(jī)安全概念靜態(tài)描述 ISO 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件數(shù)據(jù)不因偶然和惡意的原因遭到破壞 更改和泄露 動(dòng)態(tài)描述計(jì)算機(jī)的硬件 軟件和數(shù)據(jù)受到保護(hù) 不因偶然和惡意的原因而遭到破壞 更改和泄露 系統(tǒng)連續(xù)正常運(yùn)行 7 8 7 1信息安全概述 計(jì)算機(jī)安全涉及的方面物理安全 PhysicalSecurity 保護(hù)計(jì)算機(jī)設(shè)備 設(shè)施 含網(wǎng)絡(luò) 以及其他媒體免遭地震 水災(zāi) 火災(zāi) 有害氣體和其他環(huán)境事故 如電磁污染等 破壞的措施 過(guò)程 運(yùn)行安全 OperationSecurity 為了保證系統(tǒng)功能 提供一套安全措施 如 風(fēng)險(xiǎn)分析 審計(jì)跟蹤 備份與恢復(fù) 應(yīng)急等 來(lái)保護(hù)信息處理過(guò)程的安全 信息安全 InformationSecurity 防止信息財(cái)產(chǎn)被故意地或偶然地非授權(quán)泄露 更改 破壞或使信息被非法的系統(tǒng)辨識(shí) 控制 7 9 7 1信息安全概述 計(jì)算機(jī)系統(tǒng)安全的內(nèi)容 7 10 7 1信息安全概述 二 信息安全的概念1 信息安全的定義信息安全是指防止信息財(cái)產(chǎn)被故意或偶然的非授權(quán)泄露 更改 破壞或信息被非法的系統(tǒng)辨識(shí) 控制 即確保信息的完整性 保密性 可用性和可控性 2 信息安全產(chǎn)品和系統(tǒng)的安全評(píng)價(jià)信息系統(tǒng)采取分級(jí)保護(hù)和評(píng)價(jià) 7 11 7 1信息安全概述 TCSEC 可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則 TrustedComputerStandardsEvaluationCriteria 四個(gè)安全等級(jí) 七個(gè)級(jí)別 無(wú)保護(hù)級(jí) D類(lèi) 自主保護(hù)級(jí) C類(lèi) 強(qiáng)制保護(hù)級(jí) B類(lèi) 驗(yàn)證保護(hù)級(jí) A類(lèi) 7 12 7 1信息安全概述 TCSEC標(biāo)準(zhǔn)體系 7 13 7 1信息安全概述 無(wú)保護(hù)級(jí) D類(lèi) D1的安全等級(jí)最低 說(shuō)明整個(gè)系統(tǒng)是不可信的 D1系統(tǒng)只為文件和用戶(hù)提供安全保護(hù) 對(duì)硬件沒(méi)有任何保護(hù) 操作系統(tǒng)容易受到損害 沒(méi)有身份認(rèn)證 D1系統(tǒng)最普通的形式是本地操作系統(tǒng) 如MS DOS Windows95 98 或者是一個(gè)完全沒(méi)有保護(hù)的網(wǎng)絡(luò) 7 14 7 1信息安全概述 自主保護(hù)級(jí) C類(lèi) 該類(lèi)安全等級(jí)能夠提供審慎的保護(hù) 并為用戶(hù)的行動(dòng)和責(zé)任提供審計(jì)能力 C類(lèi)安全等級(jí)可劃分為C1和C2兩類(lèi) C1系統(tǒng)對(duì)硬件進(jìn)行某種程度的保護(hù) 將用戶(hù)和數(shù)據(jù)分開(kāi) C2系統(tǒng)比C1系統(tǒng)加強(qiáng)了審計(jì)跟蹤的要求 能夠達(dá)到C2級(jí)的常見(jiàn)操作系統(tǒng)有 UNIX Linux WindowsNT Windows2000和WindowsXP 7 15 7 1信息安全概述 強(qiáng)制保護(hù)級(jí) B類(lèi) B類(lèi)安全等級(jí)可分為B1 B2和B3三類(lèi) B類(lèi)系統(tǒng)具有強(qiáng)制性保護(hù)功能 如果用戶(hù)沒(méi)有與安全等級(jí)相連 系統(tǒng)就不會(huì)讓用戶(hù)存取對(duì)象 B1稱(chēng)為標(biāo)志安全保護(hù) 即使是文件的擁有者也不允許改變其權(quán)限 B2稱(chēng)為結(jié)構(gòu)保護(hù) 必須滿(mǎn)足B1系統(tǒng)的所有要求 另外還給設(shè)備分配單個(gè)或多個(gè)安全級(jí)別 B3稱(chēng)為安全域保護(hù) 必須符合B2系統(tǒng)的所有安全需求 使用安裝硬件的方式來(lái)加強(qiáng)安全性 要求用戶(hù)通過(guò)一條可信任途徑連接到系統(tǒng)上 7 16 7 1信息安全概述 驗(yàn)證保護(hù)級(jí) A類(lèi) A系統(tǒng)的安全級(jí)別最高 包括了一個(gè)嚴(yán)格的設(shè)計(jì) 控制和驗(yàn)證過(guò)程 目前 A類(lèi)安全等級(jí)只包含A1一個(gè)安全類(lèi)別 A1包含了較低級(jí)別的所有特性 A1要求系統(tǒng)的設(shè)計(jì)必須是從數(shù)學(xué)角度上經(jīng)過(guò)驗(yàn)證的 而且必須進(jìn)行秘密通道和可信任分布的分析 7 17 7 1信息安全概述 三 信息安全的概念 完整性是指信息未經(jīng)授權(quán)不能進(jìn)行改變的特性 即信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意刪除 修改 偽造 亂序 重放 插入等破壞和丟失的特性 可用性是指可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性 可靠性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式 對(duì)信息的傳播及內(nèi)容具有控制能力的特性 保密性是指確保信息不泄露給未授權(quán)用戶(hù) 實(shí)體或進(jìn)程 不被非法利用 不可抵賴(lài)性又稱(chēng)為不可否認(rèn)性或真實(shí)性 是指信息的行為人要對(duì)自己的信息行為負(fù)責(zé) 不能抵賴(lài)自己曾經(jīng)有過(guò)的行為 也不能否認(rèn)曾經(jīng)接到對(duì)方的信息 通常將數(shù)字簽名和公證機(jī)制一同使用來(lái)保證不可否認(rèn)性 可用性 Availability 可靠性 Controllability 完整性 Integrity 不可抵賴(lài)性 Non Repudiation 保密性 Confidentiality 7 18 7 1信息安全概述 信息安全的基本屬性與安全效果 7 19 7 1信息安全概述 其他的安全屬性可控性 可控性就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控 管理機(jī)構(gòu)對(duì)危害國(guó)家信息的來(lái)往 使用加密手段從事非法的通信活動(dòng)等進(jìn)行監(jiān)視審計(jì) 對(duì)信息的傳播及內(nèi)容具有控制能力 可審查性 使用審計(jì) 監(jiān)控 防抵賴(lài)等安全機(jī)制 使得使用者 包括合法用戶(hù) 攻擊者 破壞者 抵賴(lài)者 的行為有證可查 并能夠?qū)W(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題提供調(diào)查依據(jù)和手段 7 20 7 1信息安全概述 四 信息安全的技術(shù)硬件安全技術(shù)軟件安全技術(shù)數(shù)據(jù)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)病毒防治技術(shù)防計(jì)算機(jī)犯罪 7 21 7 2計(jì)算機(jī)病毒 一 計(jì)算機(jī)病毒的定義1 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù) 影響計(jì)算機(jī)使用并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 2 最重要的特征破壞性傳染性 7 22 7 2計(jì)算機(jī)病毒 3 計(jì)算機(jī)病毒 的提出1983年 佛雷德 科恩博士研制出一種運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序 倫 艾德勒曼將它命名為計(jì)算機(jī)病毒 并在每周一次的安全討論會(huì)上正式提出 4 發(fā)展史 7 23 計(jì)算機(jī)病毒程序一般不獨(dú)立存在 而是嵌入到正常的程序當(dāng)中 依靠程序而存在 計(jì)算機(jī)病毒一般是具有很高編程技巧 短小精悍的程序 計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在兩個(gè)方面 一是傳染的隱蔽性 二是病毒程序存在的隱蔽性 計(jì)算機(jī)病毒未經(jīng)授權(quán)而執(zhí)行 它隱藏在正常程序中 當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán) 先于正常程序執(zhí)行 病毒的動(dòng)作 目的對(duì)用戶(hù)是未知的 是未經(jīng)用戶(hù)允許的 傳染性是計(jì)算機(jī)病毒最重要的特征 傳染性又稱(chēng)為自我復(fù)制 自我繁殖 感染或再生等 是判斷一個(gè)計(jì)算機(jī)程序是否為計(jì)算機(jī)病毒的首要依據(jù) 這也決定了計(jì)算機(jī)病毒的可判斷性 計(jì)算機(jī)病毒是一段具有特定功能的計(jì)算機(jī)程序 程序性既是計(jì)算機(jī)病毒的基本特征 也是計(jì)算機(jī)病毒的最基本的一種表現(xiàn)形式 任何感染了計(jì)算機(jī)病毒的計(jì)算機(jī)系統(tǒng)都會(huì)受到不同程度的危害 危害的程度取決于計(jì)算機(jī)病毒編寫(xiě)者的編寫(xiě)目的 計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)之后 一般情況下并不會(huì)立即發(fā)作 就像其他沒(méi)有執(zhí)行的程序一樣 靜靜地潛伏在系統(tǒng)中 不影響系統(tǒng)的正常運(yùn)行 就像生物病毒會(huì)進(jìn)行變異 生成傳染性 毒性 適應(yīng)能力更強(qiáng)的新病毒一樣 計(jì)算機(jī)病毒本身具有的這種 衍生性 將導(dǎo)致產(chǎn)生新的計(jì)算機(jī)病毒 任何計(jì)算機(jī)病毒都要靠一定的觸發(fā)條件才能發(fā)作 當(dāng)觸發(fā)條件不滿(mǎn)足時(shí) 計(jì)算機(jī)病毒除了傳染外不做什么破壞 而條件滿(mǎn)足時(shí) 要么對(duì)其他程序體進(jìn)行傳染 要么運(yùn)行自身的表現(xiàn)模塊表現(xiàn)自己的存在或進(jìn)行破壞活動(dòng) 計(jì)算機(jī)病毒種類(lèi)繁多 病毒代碼千差萬(wàn)別 反病毒軟件預(yù)防措施和技術(shù)手段總是滯后病毒的產(chǎn)生速度 決定了計(jì)算機(jī)病毒的不可預(yù)見(jiàn)性 計(jì)算機(jī)病毒得以執(zhí)行 必須要有適合該病毒發(fā)作的特定的計(jì)算機(jī)軟 硬件環(huán)境 即 計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)和特定的操作系統(tǒng)的 7 2計(jì)算機(jī)病毒 二 計(jì)算機(jī)病毒的特征 程序性 傳染性 破壞性 潛伏性 可觸發(fā)性 針對(duì)性 非授權(quán)性 衍生性 寄生性 隱蔽性 不可預(yù)見(jiàn)性 7 24 7 2計(jì)算機(jī)病毒 三 計(jì)算機(jī)病毒的種類(lèi)按照計(jì)算機(jī)病毒攻擊對(duì)象的機(jī)型分類(lèi)按病毒攻擊計(jì)算機(jī)的操作系統(tǒng)分類(lèi)按照計(jì)算機(jī)病毒的鏈接方式分類(lèi)按計(jì)算機(jī)病毒的傳染方式分類(lèi)按照計(jì)算機(jī)病毒的破壞能力分類(lèi)按照計(jì)算機(jī)病毒的傳播途徑分類(lèi) 7 25 7 2計(jì)算機(jī)病毒 按照計(jì)算機(jī)病毒的鏈接方式分類(lèi) 此類(lèi)病毒攻擊用計(jì)算機(jī)高級(jí)語(yǔ)言編寫(xiě)的源程序 病毒在源程序 宿主程序 編譯之前插入其中 并隨源程序 宿主程序 一起編譯 鏈接成為可執(zhí)行文件 成為合法程序的一部分 使之直接帶毒 嵌入型病毒又稱(chēng)為入侵型病毒 是將自身嵌入到被感染的目標(biāo)程序 宿主程序 當(dāng)中 使病毒與目標(biāo)程序 宿主程序 成為一體 外殼型病毒在實(shí)施攻擊時(shí) 并不修改攻擊目標(biāo) 宿主程序 而是把自身添加到宿主程序的頭部或尾部 就像給正常程序加了一個(gè)外殼 操作系統(tǒng)型病毒用其自身部分加入或代替操作系統(tǒng)的某些功能 一般情況下并不感染磁盤(pán)文件而是直接感染操作系統(tǒng) 危害大 可以導(dǎo)致整個(gè)操作系統(tǒng)崩潰 源碼型病毒 外殼型病毒 嵌入型病毒 操作系統(tǒng)型病毒 7 26 7 2計(jì)算機(jī)病毒 按計(jì)算機(jī)病毒的傳染方式分類(lèi) 引導(dǎo)型病毒 文件型病毒 混合型病毒 引導(dǎo)型病毒隱藏在硬盤(pán)或軟盤(pán)的引導(dǎo)扇區(qū) 利用磁盤(pán)的啟動(dòng)原理工作 在系統(tǒng)引導(dǎo)時(shí)運(yùn)行 文件型病毒寄生在其他文件中 使用可執(zhí)行文件作為傳播的媒介 此類(lèi)病毒可以感染com文件 exe文件 也可以感染obj doc dot等文件 混合型病毒既有引導(dǎo)型病毒的特點(diǎn)又具有文件型病毒的特點(diǎn) 既感染引導(dǎo)區(qū)又感染文件 一旦中毒 就會(huì)經(jīng)開(kāi)機(jī)或執(zhí)行可執(zhí)行文件而感染其他的磁盤(pán)或文件 7 27 7 2計(jì)算機(jī)病毒 四 計(jì)算機(jī)病毒的命名 六大方法 按病毒發(fā)作的時(shí)間命名按病毒發(fā)作的癥狀命名按病毒自身包含的標(biāo)志命名按病毒發(fā)現(xiàn)地命名按病毒的字節(jié)長(zhǎng)度命名按國(guó)際慣例命名 Worm Sasser b就是指振蕩波蠕蟲(chóng)病毒的變種B 7 28 7 2計(jì)算機(jī)病毒 五 計(jì)算機(jī)病毒的傳播1 計(jì)算機(jī)病毒的傳播過(guò)程在系統(tǒng)運(yùn)行時(shí) 計(jì)算機(jī)病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器 常駐內(nèi)存 該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行 當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿(mǎn)足條件時(shí) 便從內(nèi)存中將自身鏈接入被攻擊的目標(biāo) 從而將病毒進(jìn)行傳播 7 29 7 2計(jì)算機(jī)病毒 2 計(jì)算機(jī)病毒的傳播途徑不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備移動(dòng)存儲(chǔ)設(shè)備計(jì)算機(jī)網(wǎng)絡(luò)電子郵件 BBS 瀏覽頁(yè)面 下載 即時(shí)通信軟件通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通信系統(tǒng)傳播 7 30 7 2計(jì)算機(jī)病毒 六 計(jì)算機(jī)病毒的檢測(cè)與防治病毒預(yù)防 計(jì)算機(jī)病毒的預(yù)防即預(yù)防病毒侵入 是指通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)進(jìn)行傳染和破壞病毒檢測(cè) 計(jì)算機(jī)病毒檢測(cè)即發(fā)現(xiàn)和追蹤病毒 是指通過(guò)一定的技術(shù)手段判定出計(jì)算機(jī)病毒 病毒清除 計(jì)算機(jī)病毒的清除是指從感染對(duì)象中清除病毒 是計(jì)算機(jī)病毒檢測(cè)發(fā)展的必然結(jié)果和延伸 7 31 7 2計(jì)算機(jī)病毒 病毒預(yù)防的方法 保證硬盤(pán)無(wú)病毒的情況下 盡量用硬盤(pán)引導(dǎo)系統(tǒng) 不要使用來(lái)歷不明的磁盤(pán)或光盤(pán) 以RTF格式作為交換文檔文件 如果打開(kāi)的文件中含有宏 在無(wú)法確定來(lái)源可靠的情況下 不要輕易打開(kāi) 不要打開(kāi)來(lái)歷不明的電子郵件 瀏覽網(wǎng)頁(yè) 特別是個(gè)人網(wǎng)頁(yè) 時(shí)要謹(jǐn)慎 當(dāng)瀏覽器出現(xiàn) 是否要下載ActiveX控件或Java腳本 警告通知框 為安全起見(jiàn) 不要輕易下載 7 32 7 2計(jì)算機(jī)病毒 病毒預(yù)防的方法 續(xù) 從Internet上下載軟件時(shí) 要從正規(guī)的網(wǎng)站上下載 并確保無(wú)毒后才安裝運(yùn)行 了解和掌握計(jì)算機(jī)病毒發(fā)作的時(shí)間或條件 并事先采取措施 隨時(shí)關(guān)注計(jì)算機(jī)報(bào)刊或其他媒體發(fā)布的最新病毒信息及其防治方法 一旦發(fā)現(xiàn)網(wǎng)絡(luò)病毒 立即斷開(kāi)網(wǎng)絡(luò) 采取措施 避免擴(kuò)散 安裝殺毒軟件 開(kāi)啟實(shí)時(shí)監(jiān)控功能 隨時(shí)監(jiān)控病毒的侵入 定期使用殺毒軟件進(jìn)行殺毒 并定時(shí)升級(jí)病毒庫(kù) 7 33 7 2計(jì)算機(jī)病毒 病毒檢測(cè) 人工判斷 計(jì)算機(jī)啟動(dòng)變慢 反應(yīng)遲鈍 出現(xiàn)藍(lán)屏或死機(jī) 開(kāi)機(jī)后出現(xiàn)陌生的聲音 畫(huà)面或提示信息 程序的載入時(shí)間變長(zhǎng) 可執(zhí)行文件的大小改變 磁盤(pán)訪問(wèn)時(shí)間變長(zhǎng) 讀取或保存相同長(zhǎng)度的文件的速度變慢 沒(méi)有存取磁盤(pán) 但磁盤(pán)指示燈卻一直亮著 系統(tǒng)的內(nèi)存或硬盤(pán)的容量突然大幅減少 文件神秘消失 文件名稱(chēng) 擴(kuò)展名 日期 屬性等被更改 打印出現(xiàn)問(wèn)題 7 34 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 一 防火墻技術(shù)1 防火墻的定義設(shè)置在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的安全阻隔 用于保證本地網(wǎng)絡(luò)資源的安全 通常包含軟件部分和硬件部分的一個(gè)系統(tǒng)或多個(gè)系統(tǒng)的組合 2 防火墻的功能防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)通往Internet的唯一出入點(diǎn)上 它能根據(jù)一定的安全策略有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸 從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶(hù)的訪問(wèn)和對(duì)不良信息的過(guò)濾 7 35 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 3 防火墻的分類(lèi)包過(guò)濾代理服務(wù)器狀態(tài)監(jiān)視器復(fù)合型防火墻個(gè)人防火墻 7 36 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 包過(guò)濾防火墻工作在網(wǎng)絡(luò)層 其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分組傳輸技術(shù) 通過(guò)讀取數(shù)據(jù)包中的源地址 目標(biāo)地址 TCP UDP源端口和目標(biāo)端口等地址信息來(lái)判斷這些 包 是否來(lái)自可信任的安全站點(diǎn) 一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包 防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外 7 37 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 包過(guò)濾防火墻 7 38 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 代理服務(wù)器代理內(nèi)部網(wǎng)絡(luò)用戶(hù)與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序 工作于應(yīng)用層 能實(shí)現(xiàn)比包過(guò)濾型更嚴(yán)格的安全策略 代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間 它對(duì)于客戶(hù)機(jī)來(lái)說(shuō)像是一臺(tái)真正的服務(wù)器 而對(duì)外界的服務(wù)器來(lái)說(shuō) 它又是一臺(tái)真正的客戶(hù)機(jī) 常用的是HTTP代理服務(wù)器 端口通常為80或8080 7 39 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 狀態(tài)監(jiān)視器狀態(tài)監(jiān)視器作為防火墻技術(shù) 其安全特性最佳 它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎 稱(chēng)之為檢測(cè)模塊 檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下 采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè) 抽取部分?jǐn)?shù)據(jù) 即狀態(tài)信息 并動(dòng)態(tài)地保存起來(lái)作為以后制定安全決策的參考 7 40 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻 進(jìn)一步基于ASIC 專(zhuān)用集成電路 架構(gòu) 把防病毒 內(nèi)容過(guò)濾整合到防火墻里 其中還包括VPN 虛擬專(zhuān)用網(wǎng) IDS 入侵檢測(cè)系統(tǒng) 功能 多單元融為一體 是一種新突破 它在網(wǎng)絡(luò)邊界實(shí)施第七層的內(nèi)容掃描 實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù) 內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施 7 41 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 個(gè)人防火墻個(gè)人防火墻實(shí)際上是一種應(yīng)用程序 它運(yùn)行于工作站上 用來(lái)隔離不希望 來(lái)自網(wǎng)絡(luò)的通信 是對(duì)常規(guī)防火墻功能的補(bǔ)充 已有商業(yè)個(gè)人防火墻如Symantec公司的Norton個(gè)人防火 McAfee個(gè)人防火墻 瑞星防火墻等 7 42 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 一 虛擬專(zhuān)用網(wǎng)vpn1 概念VPN virtualprivatenetwork 是指利用公共網(wǎng)絡(luò) 如公共分組交換網(wǎng) 幀中繼網(wǎng) ISDN或Internet網(wǎng)絡(luò)等的一部分來(lái)發(fā)送專(zhuān)用信息 形成邏輯上的專(zhuān)用網(wǎng)絡(luò) 7 43 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 基本功能加密數(shù)據(jù) 以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露 信息認(rèn)證和身份認(rèn)證 保證信息的完整性 合法性 并能鑒別用戶(hù)的身份 提供訪問(wèn)控制 不同的用戶(hù)有不同的訪問(wèn)權(quán)限 7 44 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 3 分類(lèi)撥號(hào)VPN AccessVPN 內(nèi)部網(wǎng)VPN IntranetVPN 外聯(lián)網(wǎng)VPN ExtranetVPN 7 45 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 四 入侵檢測(cè)預(yù)防是理想的 但檢測(cè)是必須的1 概念入侵檢測(cè)技術(shù)就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù) 是對(duì)防火墻極其有益的補(bǔ)充 入侵檢測(cè)通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息 檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象 并根據(jù)既定的策略采取一定的措施 7 46 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 入侵檢測(cè)系統(tǒng)分類(lèi) 1 根據(jù)信息來(lái)源的收集方式基于主機(jī)早期入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 檢測(cè)目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶(hù) 用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器 實(shí)時(shí)監(jiān)視可疑的連接 系統(tǒng)日志檢查 非法訪問(wèn)的闖入等 并且提供對(duì)典型應(yīng)用的監(jiān)視 如Web服務(wù)器應(yīng)用 基于網(wǎng)絡(luò)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息 主要分析網(wǎng)絡(luò)行為和過(guò)程 通過(guò)行為特征或異常來(lái)發(fā)現(xiàn)攻擊 檢測(cè)入侵事件 7 47 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 典型的入侵檢測(cè)系統(tǒng) 根據(jù)信息來(lái)源的收集方式 在每個(gè)網(wǎng)段和重要服務(wù)器上都安裝了入侵檢測(cè)系統(tǒng) 以保護(hù)整個(gè)系統(tǒng)的安全 7 48 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 根據(jù)分析方式分類(lèi)異常檢測(cè)異常檢測(cè)首先假設(shè)入侵者活動(dòng)都是異常于正常主體的活動(dòng) 建立主體正常活動(dòng)的輪廓模型 將當(dāng)前主體的活動(dòng)輪廓與正常活動(dòng)輪廓相比較 當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí) 認(rèn)為該活動(dòng)可能是 入侵 行為 這種能力不受系統(tǒng)以前是否知道這種入侵的限制 所以能夠檢測(cè)新的入侵行為 誤用檢測(cè)該檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示 系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式 它可以將已有的入侵方法檢查出來(lái) 但對(duì)新的入侵方法無(wú)能為力 7 49 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 四 漏洞掃描1 漏洞的分類(lèi) 軟件編寫(xiě)錯(cuò)誤造成的漏洞軟件配置不當(dāng)造成的漏洞2 漏洞掃描器的分類(lèi) 工作模式 基于網(wǎng)絡(luò)的漏洞掃描器基于網(wǎng)絡(luò)的漏洞掃描器 就是通過(guò)網(wǎng)絡(luò)來(lái)掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞 基于主機(jī)的漏洞掃描器基于主機(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理 Agent 或者是服務(wù) Services 以便能夠訪問(wèn)所有的文件與進(jìn)程 這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞 7 50 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 五 數(shù)據(jù)加密技術(shù)1 相關(guān)術(shù)語(yǔ) 密碼 密碼是實(shí)現(xiàn)秘密通訊的主要手段 是隱蔽語(yǔ)言 文字 圖像的特種符號(hào) 明文 未加密的消息稱(chēng)為明文 密文 被加密的消息稱(chēng)為密文 加密 用某種方法偽裝信息以隱藏它的內(nèi)容的過(guò)程 即把明文變?yōu)槊芪牡倪^(guò)程稱(chēng)為加密 解密 把密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程稱(chēng)為解密 7 51 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 加解密過(guò)程示意圖 凱撒密碼 7 52 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 3 密碼的分類(lèi)根據(jù)密鑰方式分 一 對(duì)稱(chēng)式密碼二 非對(duì)稱(chēng)式密碼 如 DES 如 RSA 7 53 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 4 數(shù)字簽名技術(shù)私鑰加密 公鑰解密 7 54 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 六 黑客技術(shù)與防范1 黑客攻擊系統(tǒng)的目的獲取目標(biāo)系統(tǒng)的非法訪問(wèn)獲取所需資料篡改有關(guān)數(shù)據(jù)利用有關(guān)資源 7 55 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 黑客攻擊的一般步驟 尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)登錄主機(jī)得到超級(jí)用戶(hù)權(quán)限 控制主機(jī)清除記錄 設(shè)置后門(mén) 7 56 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 3 黑客攻擊的一般手段 獲取口令放置特洛伊木馬程序WWW的欺騙技術(shù)電子郵件攻擊通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)網(wǎng)絡(luò)監(jiān)聽(tīng)尋找系統(tǒng)漏洞利用帳號(hào)進(jìn)行攻擊偷取特權(quán) 7 57 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 4 防范最基本的方法是關(guān)閉不必要的端口 1 主機(jī)與端口一臺(tái)主機(jī)提供不同的服務(wù) 通過(guò)ip地址 端口來(lái)區(qū)分一個(gè)ip地址的端口號(hào)從0 65535端口按協(xié)議分為兩類(lèi) TCP端口和UDP端口FTP服務(wù)是21端口 Telnet服務(wù)是23端口 Http服務(wù)是80端口 QQ使用的是8000和4000端口命令netstat可查看端口的使用情況關(guān)閉與開(kāi)啟常用端口 控制面板 管理工具 服務(wù) 7 58 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 netstat命令使用舉例netstat a n tcp23號(hào)端口即telnet關(guān)閉 7 59 7 3計(jì)算機(jī)網(wǎng)絡(luò)安全 2 netstat命令使用舉例 續(xù) netstat a n tcp23號(hào)端口即telnet開(kāi)啟 7 60 7 4計(jì)算機(jī)職業(yè)道德 一 計(jì)算機(jī)用戶(hù)道德規(guī)范道德是個(gè)人的 在道德判斷中因?yàn)榱?chǎng)不同 可能沒(méi)有統(tǒng)一的對(duì)錯(cuò)標(biāo)準(zhǔn) 也不能強(qiáng)制執(zhí)行 美國(guó)計(jì)算機(jī)學(xué)會(huì)電氣電子工程師學(xué)會(huì)計(jì)算機(jī)道德學(xué)會(huì)軟件工程師道德規(guī)范網(wǎng)絡(luò)用戶(hù)道德規(guī)范 7 61 7 4計(jì)算機(jī)職業(yè)道德 軟件工程師道德規(guī)范 1 原則1 公眾 從職業(yè)角色來(lái)說(shuō) 軟件工程師應(yīng)當(dāng)始終關(guān)注公眾的利益 按照與公眾的安全健康和幸福相一致的方式發(fā)揮作用 原則2 客戶(hù)和雇主 軟件工程師的工作應(yīng)該始終與公眾的健康 安全和福利保持一致 他們應(yīng)該總是以職業(yè)的方式擔(dān)當(dāng)他們的客戶(hù)或雇主的忠實(shí)代理人和委托人 原則3 產(chǎn)品 軟件工程師應(yīng)當(dāng)盡可能地確保他們開(kāi)發(fā)的軟件對(duì)于公眾 雇主 客戶(hù)以及用戶(hù)是有用的 在質(zhì)量上是可接受的 在時(shí)間上要按期完成并且費(fèi)用合理 同時(shí)沒(méi)有錯(cuò)誤 原則4 判斷 軟件工程師應(yīng)當(dāng)完全堅(jiān)持自己獨(dú)立自主的專(zhuān)業(yè)判斷并維護(hù)其判斷的聲譽(yù) 7 62 7 4計(jì)算機(jī)職業(yè)道德 軟件工程師道德規(guī)范 續(xù) 原則5 管理 軟件工程的管理者和領(lǐng)導(dǎo)應(yīng)當(dāng)通過(guò)規(guī)范的方法贊成和促進(jìn)軟件管理的發(fā)展與維護(hù) 并鼓勵(lì)他們所領(lǐng)導(dǎo)的人員履行個(gè)人和集體的義務(wù) 原則6 職業(yè) 軟件工程師應(yīng)該提高他們職業(yè)的正直性和聲譽(yù) 并與公眾的興趣保持一致 原則7 同事 軟件工程師應(yīng)該公平合理地對(duì)待他們的同事 并應(yīng)該采取積極的步驟支持社團(tuán)的活動(dòng) 原則8 自身 軟件工程師應(yīng)當(dāng)在他們的整個(gè)職業(yè)生涯中積極參與有關(guān)職業(yè)規(guī)范的學(xué)習(xí)努力 提高從事自己的職業(yè)所應(yīng)該具有的能力 以推進(jìn)職業(yè)規(guī)范的發(fā)展 7 63 7 4計(jì)算機(jī)職業(yè)道德 網(wǎng)絡(luò)用戶(hù)道德規(guī)范不能利用郵件服務(wù)作連鎖郵件 垃圾郵件或分發(fā)給任何未經(jīng)允許接收信件的人 不傳輸任何非法的 騷擾性的 中傷他人的 辱罵性的 恐嚇性的 傷害性的 庸俗的 淫穢等信息資料 不能傳輸任何教唆他人構(gòu)成犯罪行為的資料 不能傳輸?shù)赖乱?guī)范不允許或涉及國(guó)家安全的資料 不能傳輸任何不符合地方 國(guó)家和國(guó)際法律 道德規(guī)范的資料 不得未經(jīng)許可而非法進(jìn)入其它電腦系統(tǒng) 7 64 7 4計(jì)算機(jī)職業(yè)道德 二 知識(shí)產(chǎn)權(quán)保護(hù)1 概念計(jì)算機(jī)知識(shí)產(chǎn)權(quán)是指公民或法人對(duì)自己在計(jì)算機(jī)軟件開(kāi)發(fā)過(guò)程中創(chuàng)造出來(lái)的智力成果所享有的專(zhuān)有權(quán)利 包括 著作權(quán) 專(zhuān)利權(quán) 商標(biāo)權(quán)和制止不正當(dāng)競(jìng)爭(zhēng)的權(quán)利 7 65 7 4計(jì)算機(jī)職業(yè)道德 2 計(jì)算機(jī)軟件的著作權(quán)軟件開(kāi)發(fā)者在一定的期限內(nèi)對(duì)自己軟件的表達(dá) 程序的源代碼 文檔等 享有的專(zhuān)有權(quán)利 發(fā)表權(quán) 即決定作品是否公之于眾的權(quán)利 署名權(quán) 即表明作者身份在作品上署名的權(quán)利 修改權(quán) 即修改或者授權(quán)他人修改作品的權(quán)利 保護(hù)作品完整權(quán) 即保護(hù)作品不受歪曲篡改的權(quán)利 使用權(quán)和獲得報(bào)酬權(quán) 7 66 7 4計(jì)算機(jī)職業(yè)道德 3 計(jì)算機(jī)軟件有關(guān)的發(fā)明專(zhuān)利權(quán)專(zhuān)利法是用來(lái)保護(hù)專(zhuān)利權(quán)的法律 保護(hù)的是已經(jīng)獲得專(zhuān)利權(quán) 可以在生產(chǎn)建設(shè)過(guò)程中實(shí)現(xiàn)的技術(shù)方案 專(zhuān)利局不鼓勵(lì)申請(qǐng)計(jì)算機(jī)軟件專(zhuān)利 一般來(lái)說(shuō) 計(jì)算機(jī)程序代碼被視為算法的表達(dá) 而算法是一種自然事實(shí) 不得授予專(zhuān)利 而程序代碼是著作權(quán)保護(hù)的范圍 不過(guò)軟件的技術(shù)設(shè)計(jì)如 程序的設(shè)計(jì)方案 處理問(wèn)題的方法以及各項(xiàng)有關(guān)的技術(shù)信息等具有發(fā)明創(chuàng)造 則可以作為方法發(fā)明申請(qǐng)專(zhuān)利 目前 虛擬存儲(chǔ) 文件管理 我國(guó)有關(guān)漢字輸入計(jì)算機(jī)的發(fā)明創(chuàng)造也獲得了專(zhuān)利權(quán) 7 67 7 4計(jì)算機(jī)職業(yè)道德 4 有關(guān)計(jì)算機(jī)軟件中的商業(yè)秘密的不正當(dāng)競(jìng)爭(zhēng)行為的制止權(quán)商業(yè)秘密保護(hù)非常適用于計(jì)算機(jī)軟件 如果一項(xiàng)軟件的技術(shù) 算法沒(méi)有獲得專(zhuān)利 而且尚未公開(kāi) 這種技術(shù)就是非專(zhuān)利的技術(shù)秘密 屬于商業(yè)秘密應(yīng)該受到保護(hù) 對(duì)于商業(yè)秘密 其擁有者具有使用權(quán)和轉(zhuǎn)讓權(quán) 可以許可他人使用 也可以將之向社會(huì)公開(kāi)或申請(qǐng)專(zhuān)利 不過(guò) 任何人都可以對(duì)他人的商業(yè)秘密進(jìn)行獨(dú)立的開(kāi)發(fā)研究 也可以采用逆向工程如 進(jìn)行反編譯或反匯編得到程序源碼 或由所有者自己泄密來(lái)掌握商業(yè)秘密 這些都是合法的 商業(yè)秘密保護(hù)規(guī)定采用不正當(dāng)方法盜竊秘密算法并應(yīng)用于其他程序中的作法為非法行為 7 68 7 4計(jì)算機(jī)職業(yè)道德 5 計(jì)算機(jī)軟件的商標(biāo)權(quán)商標(biāo)是指商品的生產(chǎn)者 經(jīng)銷(xiāo)者為了使自己的產(chǎn)品與其他人的商品相互區(qū)別而置于商品表面或商品包裝上的標(biāo)志 通常用文字 圖形組成或二者兼有 企業(yè)的標(biāo)識(shí)或產(chǎn)品的名字不一定就是商標(biāo) 只有當(dāng)這些標(biāo)識(shí)或者名稱(chēng)在商標(biāo)管理機(jī)關(guān)進(jìn)行注冊(cè) 才能成為商標(biāo) 在商標(biāo)的有效期內(nèi) 注冊(cè)者對(duì)該商標(biāo)享有專(zhuān)用權(quán) 他人未經(jīng)注冊(cè)者許可不得再使用它作為其他軟件的名稱(chēng) 否則 就構(gòu)成了冒用他人商標(biāo) 欺騙用戶(hù)的行為 我國(guó)的商標(biāo)法用于保護(hù)商標(biāo)注冊(cè)者的商標(biāo)權(quán) 7 69 7 4計(jì)算機(jī)職業(yè)道德 三 隱私和公民自由1 計(jì)算機(jī)網(wǎng)絡(luò)空間的個(gè)人隱私權(quán)指公民在網(wǎng)絡(luò)中享有的私人生活安寧與私人信息依法受到保護(hù) 不被他人非法侵犯 知悉 搜集 復(fù)制 公開(kāi)和利用的一種人格權(quán) 也指禁止在網(wǎng)上泄露某些與個(gè)人有關(guān)的敏感信息 包括事實(shí) 圖像 以及毀損的意見(jiàn)等 7 70 7 4 3隱私和公民自由 2 計(jì)算機(jī)網(wǎng)絡(luò)空間的個(gè)人隱私權(quán)的主要內(nèi)容知情權(quán) 選擇權(quán) 合理的訪問(wèn)權(quán)限 足夠的安全性 信息控制權(quán) 請(qǐng)求司法救濟(jì)權(quán) 從總體上說(shuō) 我國(guó)目前還沒(méi)有專(zhuān)門(mén)針對(duì)個(gè)人隱私保護(hù)的法律 對(duì)隱私權(quán)的保護(hù) 散見(jiàn)于一些法律 法規(guī) 規(guī)章中 7 71 7 4計(jì)算機(jī)職業(yè)道德 四 計(jì)算機(jī)犯罪1 概念因計(jì)算機(jī)技術(shù)和知識(shí)起了基本作用而產(chǎn)生的非法行為 美國(guó)司法部 2 分類(lèi)使用了計(jì)算機(jī)和網(wǎng)絡(luò)新技術(shù)的傳統(tǒng)犯罪如 故意直接對(duì)計(jì)算機(jī)實(shí)施侵入或破壞 或者利用計(jì)算機(jī)實(shí)施有關(guān)金融詐騙 盜竊 貪污 挪用公款 竊取國(guó)家秘密或從事反動(dòng)或色情等非法活動(dòng)等 計(jì)算機(jī)與網(wǎng)絡(luò)環(huán)境下的新型犯罪如 違反國(guó)家規(guī)定 故意侵入國(guó)家事務(wù) 國(guó)防建設(shè) 尖端科學(xué)技術(shù)等計(jì)算機(jī)信息系統(tǒng) 未經(jīng)授權(quán)非法使用計(jì)算機(jī) 破壞計(jì)算機(jī)信息系統(tǒng) 制作和傳播計(jì)算機(jī)病毒 影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為 7 72 7 4計(jì)算機(jī)職業(yè)道德 3 計(jì)算機(jī)犯罪的特點(diǎn)智能性隱蔽性復(fù)雜性跨國(guó)性匿名性 發(fā)現(xiàn)概率太低損失大 對(duì)象廣泛 發(fā)展迅速 涉及面廣持獲利和探秘動(dòng)機(jī)居多低齡化和內(nèi)部人員多巨大的社會(huì)危害性 7 73 7 4計(jì)算機(jī)職業(yè)道德 五 計(jì)算機(jī)法規(guī)1 中華人民共和國(guó)刑法 為了加強(qiáng)打擊計(jì)算機(jī)犯罪的力度 1997年對(duì)其修訂時(shí) 加入了計(jì)算機(jī)犯罪的條款 2 規(guī)范計(jì)算機(jī)信息安全管理的法律法規(guī)信息系統(tǒng)安全保護(hù) 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 第一個(gè)相關(guān)信息系統(tǒng)安全方面的法規(guī) 國(guó)際聯(lián)網(wǎng)管理商用密碼管理計(jì)算機(jī)病毒防治與安全產(chǎn)品檢測(cè)與銷(xiāo)售