第10章计算机安全

合集下载

【2019年整理】计算机专业英语第10章

modification 修改
fabricate v. 伪造
tamper v. 篡改
spurious adj. 假的
Abbreviations:
计算机专业英语
10-4
Chapter 10 Computer and Network Security
10.1 Characteristics of Computer Intrusion and Kinds of Security Breaches
involve 包含，涉及，也可不译
depositor 寄托者
vulnerability 弱点，攻击
perimeter 周围，周边 penetrate vt. 攻破，攻击
Exposure 曝光，揭露 threat n. 威胁，恐吓
asset 资产
interruption 中断，打断
interception 截取
10.1.1 入侵计算机的特点
Principle of Easiest Penetration. An intruder must be expected to use any available means of penetration. This will not necessarily be the most obvious means, nor will it necessarily be the one against which the most solid defense has been installed.
最容易攻破原理。入侵者必定要使用一种可以攻破的方法，这种方法既不可能是最常用的，也不可能是针对已经采取了最可靠的防范措施的方法。
This principle says that computer security specialists must consider all possible means of penetration, because strengthening one may just make another means more appealing to intruders. We now consider what these means of penetration are.

计算机基础及应用教程(第2版) 第10章计算机安全基础

2. 计算机病毒的分类 (1) 按寄生方式分为引导型病毒、文件型病毒和复合型病毒 (2) 按破坏性分为良性病毒和恶性病毒
3. 计算机病毒的传染途径 (1) 通过移动存储器通过使用外界被感染的U盘、软盘、移动硬盘等。由于使用这些带毒的移动存储器，首先使机器感染（如硬盘、内存），并又传染在此机器上使用的干净磁盘，这些感染病毒的磁盘再在别的机器上使用又继续传染其他机器。这种大量的磁盘交换，合法和非法的软件复制，不加控制地随便在机器上使用各种软件，构成了病毒泛滥蔓延的温床。 (2) 通过硬盘新购买的机器硬盘带有病毒，或者将带有病毒的机器维修、搬移到其他地方。硬盘一旦感染病毒，就成为传染病毒的繁殖地。 (3) 通过光盘随着光盘驱动器的广泛使用，越来越多的软件以光盘作为存储介质，有些软件在写入光盘前就已经被病毒感染。由于光盘是只读的，所以无法清除光盘上的病毒。 (4) 通过网络通过网络，尤其是通过Internet进行病毒的传播，其传播速度极快且传播区域更广。
(2) 防火墙技术防火墙技术是伴随着Internet的迅速普及和发展而出现的一种新技术。防火墙就是在可信网络（用户的内部网）和非可信网络（Internet、外部网）之间建立和实施特定的访问控制策略的系统。所有进、出的信息包都必须通过这层屏障，而只有授权的信息包（由网络访问控制策略决定）才能通过。防火墙可能由一个硬件、软件组成，也可以是一组硬件和软件构成的保护屏障。它是阻止Internet网络“黑客”攻击的一种有效手段。
3. 数字签名数字签名的方法主要有两种：利用传统密码进行数字签名和利用公开密钥密码进行数字签名。由于数字签名是基于密码技术的，因而其安全性取决于密码体系的安全程度。早期的数字签名是利用传统的密码体制来实现的，虽然复杂但难以取得良好的安全效果。自公开密钥密码体制出现以来，数字签名技术日臻成熟，已开始实际应用。

第10章计算机信息系统安全习题与答案

第10章计算机信息系统安全习题（P257-258）一、复习题1、计算机网络系统主要面临哪些威胁？答：由于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞或“后门”，还有网络内部的威胁（比如用户的误操作，资源滥用和恶意行为使得再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应）等安全问题的根源。

网络信息安全主要面临以下威胁。

非授权访问：非授权访问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

非授权访问的威胁涉及到受影响的用户数量和可能被泄露的信息。

入侵是一件很难办的事，它将动摇人的信心。

而入侵者往往将目标对准政府部门或学术组织。

信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

具有严格分类的信息系统不应该直接连接Internet。

破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

拒绝服务攻击：拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒，通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2、简述计算机网络信息系统的安全服务与安全机制。

答：通常将为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施称为安全服务。

ISO7498-2中定义的5类安全服务是：数据完整性，鉴别，数据保密，访问控制，不可否认，这5类安全服务同面的安全目标的5个方面基本对应。

安全机制是实现安全服务的技术手段，表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。

信息系统的安全是一个系统的概念，为了保障整个系统的安全可以采用多种机制。

第10章计算机网络安全

选用口令应遵循的原则增强口令安全性措施其他方法

选择性访问控制技术
2013年7月
计算机网络基础
14
设备安全
调制解调器安全通信介质的安全计算机与网络设备的物理安全

2013年7月
计算机网络基础
15
防火墙技术

使用防火墙可用于“安全隔离”，其实质就是限制什么数据可以“通过”防火墙进入到另一个网络防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部到外部，其中包括的信息有电子邮件消息、文件传输、登录到系统以及类似的操作等。
第10章计算机网络安全
本章主要内容

计算机网络安全的概念；计算机网络对安全性的要求；访问控制技术和设备安全；防火墙技术；网络安全攻击及解决方法；计算机网络安全的基本解决方案。
2013年7月
计算机网络基础
2
计算机网络安全概述
背景介绍对计算机网络安全性问题的研究总是围绕着信息系统进行，其主要目标就是要保护计算资源，免受毁坏、替换、盗窃和丢失，而计算资源包括了计算机及网络设备、存储介质、软硬件、信息数据等。
无安全防卫；模糊安全防卫；主机安全防卫；网络安全防卫；

2013年7月
计算机网络基础
27
常用的安全措施原则

建立最小特权；多种安全机制；控制点原则；解决系统的弱点；失败时的安全策略；全体人员的共同参与；
2013年7月
计算机网络基础
28
2013年7月
计算机网络基础
7
计算机网络安全的要求——可用性

计算机安全技术概论

·30·
返回本章首页
第1章计算机安全技术概论
3.实体安全的内容（1）环境安全（2）物理隔离（3）电磁防护（4）安全管理
·31·
返回本章首页
第1章计算机安全技术概论
2.2 计算机房安全的环境条件
2.2.1 计算机房场地环境选择 2.2.2 计算机房内的环境条件要求
·32·
返回本章首页
第1章计算机安全技术概论
4.防火墙的脆弱性（1）不能防范来自网络内部的攻击和威胁（2）不能防范绕过防火墙的攻击和威胁（3）不能阻止感染病毒文件的传输
·13·
返回本章首页
第1章计算机安全技术概论
5. 研究信息安全的社会意义（1）信息安全与政治（2）信息安全与经济（3）信息安全与军事（4）信息安全与国家安全
美国著名未来学家阿尔温·托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界”。
本学期课程涉及到的主要信息安全技术如图1-1所示：
·18·
返回本章首页
·19·
第1章计算机安全技术概论
环境安全
物理安全
设备安全
媒体安全
计
算
机
风险分析
系
运行安全
统
审计跟踪备份与恢复
安
应急
全
操作系统安全
软件安全
加密和数字签名
信息安全
数据库安全网络安全
病毒防护
防火墙技术
访问15·
返回本章首页
第1章计算机安全技术概论
2.计算机安全涉及的方面
（1）物理安全（Physical Security）：保护计算机设备、设施（含网络）以及其他媒免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

计算机网络基础10章-园区网安全

授人以鱼不如授人以渔
ACL工作原理及规则 ACL工作原理及规则
ACL放置在什么位置 ACL放置在什么位置: 放置在什么位置:
宣传教育
授人以鱼不如授人以渔
课程议题
朱明工作室
zhubob@
交换机端口安全
授人以鱼不如授人以渔
交换机端口安全概述
朱明工作室
zhubob@
交换机的端口安全机制是工作在交换机二层端口上的一个安全特性
只允许特定MAC地址的设备接入到网络中，只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网地址的设备接入到网络中络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。
设置端口从“err-disabled” 设置端口从“err-disabled”状态自动恢复所等待的时间
Switch(conifg)#
errdisable recovery interval time
授人以鱼不如授人以渔
朱明工作室
zhubob@
Switch(conifg-if)#
switchport port-security aging{static | time time }
配置安全地址的老化时间
Switch(conifg-if)#
关闭一个接口的安全地址老化功能（ time 关闭一个接口的安全地址老化功能（老化时间为0 no switchport port-security aging老化时间为0）
Switch(conifg-if)# 使老化时间仅应用于动态学习到的安全地址
授人以鱼不如授人以渔
端口安全的配置
Switch(conifg-if)#

第10章计算机安全技术-PPT课件

大学计算机基础与应用
第10章计算机安全技术

计算机安全问题是目前计算机发展的一个核心问题。本章从安全技术概念开始，讨论了常见的计算机网络安全攻击问题及其工具，并给出了相关的防范建议。针对目前计算机网络上病毒的泛滥，尤其是木马病毒的猖獗，详细介绍了木马的工作原理。计算机安全防范，目前主流的方法有防火墙、反病毒软件以及数据加密技术，数据加密其核心思想是让获得信息的人如果没有对应的密钥，也无法知道信息是什么，从而有效的保护信息，而防火墙技术则是把计算机与外世界隔离，使得外部的攻击无法进来，从而有效的保护计算机上的信息不被偷窥。随着Internet与人们的生活工作越来越分不开的现实，不掌握一定的计算机安全知识，将有可能因为信息安全问题而对工作、生活带来极大的危害。
©南昌大学计算中心
2

本章目录
10.1 计算机安全概述 10.2 计算机网络攻击
10.3 木马病毒
10.4 常见安全技术简介
10.5 信息加密技术护
10.6 防火墙技术
©南昌大学计算中心
3
大学计算机基础与应用
10.1 计算机安全概述

©南昌大学计算中心
11

10.1.2 计算机安全原则
计算机安全的目的不在于系统百分之百安全，而应当使之达到相当高的水平，使入侵者的非法行为变得极为困难、危险、耗资巨大，获得的价值远不及付出的代价。一个关键的安全原则是使用有效的但是并不会给那些想要真正想要获取信息的合法用户增加负担的方案，寻找出一条实际应用此原则的途径经常是一个困难的寻求平衡举动。使用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。黑客时刻准备着和用这样一些看上去无害的行动，因此拥有一个过分繁杂的安全政策将导致比没有安全政策还要低效的安全。

大学计算机基础第10章计算机病毒与安全

4、计算机病毒
计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。
5、有害信息
这里所谓的有害信息主要是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有恶意攻击党和政府，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息。
3、可用性
可用性要求信息在需要时能够及时获得以满足业务需求。它确保系统用户不受干扰地获得诸如数据、程序和设备之类的系统信息和资源。
10.1.4 计算机安全的三大防线
防线是指用于控制和限制对计算机系统资源的访问和使用的机制。
1、第一道防线 2、第二道防线 3、最后防线
10.1.5 计算机安全违法犯罪行为及攻击手段
10.2.2 计算机病毒的特征
1、隐蔽性 2、传染性 3、潜伏性 4、表现性或破坏性 5、可触发性
10.2.3 计算机病毒的传播途径
1、移动存储设备
移动存储设备主要有软件、U盘、光盘和移动硬盘等。
2、计算机网络
10.2.4 计算机病毒的运行机制
1、病毒的藏身之处 2、计算机病毒运行机制
（1）感染（2）潜伏（3）繁殖（4）发作
10.3 常用防病毒软件简介
1、Kaspersky 2011 2、ESET Nod32 3、Norton AntiVirus 4、Avest
6、因特网带来新的安全问题
目前，信息化的浪潮席卷全球，世界正经历着以计算机网络技术为核心的信息革命，信息网络将成为我们这个社会的神经系统，它将改变人类传统的生产、生活方式。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

24

第10章信息系统安全与社会责任
1. 数字签名
数字签名 •接收方能够确认发送者的身份 •发送方不能抵赖 •接收方不能伪造报文
25

第10章信息系统安全与社会责任
10.3.3 数字证书
概念 ♫ 数字证书就是包含了用户的身份信息,由权威认证中心签发,主要用于数字签名的一个数据文件,相当于一个网上身份证,能够帮助网络上各终端用户表明自己的身份和识别对方身份。数字证书的内容数字证书的作用 ♫ 用于实现数字签名和信息的保密传输数字证书的管理
♫ 对称密钥密码体系(密钥密码体系) ♫ 非对称密钥密码体系(公钥密钥体系)
20

第10章信息系统安全与社会责任
1. 数据加密技术
明文--没有加密的原文
加密密钥--一串数字
密文--原文经过加密
加密算法--一个数学函数
密文通过解密算法与解密密钥还原为明文
加密技术＝加密算法＋密钥
明文加密算法加密密钥密文解密算法解密密钥明文
2

第10章信息系统安全与社会责任
主要内容
10.1 计算机病毒及其防治
10.2 网络安全技术
10.3 信息安全技术 10.4 网络社会责任与计算机职业道德规范
3

第10章信息系统安全与社会责任
10.1 计算机病毒及其防治
10.1.1 计算机病毒基本知识 10.1.2 计算机病毒的防治
私有密钥SK 公共密钥PK
明文明文
其他人
密文
明文明文
本人
23

第10章信息系统安全与社会责任
10.3.2 数字签名技术
概念 ♫ 数字签名(Digital Signature)就是通过密码技术对电子文档形成的签名,类似现实生活中的手写签名,但它并不是手写签名的数字图像化,而是加密后得到的一串数据。目的 ♫ 保证发送信息的真实性和完整性，解决网络通信中双方身份的确认，防止欺骗和抵赖行为的发生。方法 ♫ 采用非对称加密方式，发送方用自己的私钥来加密，接收方则利用发送方的公钥来解密。
--常用的杀毒软件有金山毒霸（）瑞星杀毒软件（）诺顿防毒软件（）江民杀毒软件（）
♫ 使用专杀工具 ♫ 手动清除病毒
16

第10章信息系统安全与社会责任
3. 包过滤防火墙
在网络层对数据包进行分析、选择和过滤。
17

第10章信息系统安全与社会责任
4. 防火墙的局限性
防火墙防外不防内 ♫ 防火墙很难解决内部网络人员的安全问题防火墙难于管理和配置，容易造成安全漏洞 ♫ 由于防火墙的管理和配置相当复杂，对防火墙管理人员的要求比较高，除非管理人员对系统的各个设备（如路由器、代理服务器、网关等）都有相当深刻的了解，否则在管理上有所疏忽是在所难免的。
♫ 了解系统的漏洞及其原因所在
♫ 喜欢非法闯入并以此作为一种智力挑战
有些黑客仅仅是为了验证自己的能力而非法闯入，
并不会对信息系统或网络系统产生破坏作用，但也有很多黑客非法闯入是为了窃取机密的信息、盗用系统资源或出于报复心理而恶意毁坏某个信息系统等。
11

第10章信息系统安全与社会责任
6

第10章信息系统安全与社会责任
2. 传统单机病毒的分类
--根据病毒寄生方式的不同，分为以下四种类型引导型病毒：寄生在磁盘的引导区或硬盘的主引导扇区文件型病毒：寄生在可执行文件内的计算机病毒宏病毒：一般指寄生在文档上的宏代码混合型病毒：同时具有引导型和文件型病毒的寄生方式
包过滤防火墙 ♫ 在网络层对数据包进行分析、选择和过滤应用代理防火墙 ♫ 网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。状态检测防火墙 ♫ 在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该数据包是接受还是拒绝。
9

第10章信息系统安全与社会责任
10.2 网络安全技术
10.2.1 黑客攻防技术 10.2.2 防火墙技术
10

第10章信息系统安全与社会责任
10.2.1 黑客攻防技术
网络黑客（Hacker）一般指的是计算机网络的非法
入侵者
♫ 大都为程序员 ♫ 精通计算机技术和网络技术
第10章信息系统安全与社会责任
1

第10章信息系统安全与社会责任
基本要求
了解信息安全与计算机安全、网络安全的联系及区
别了解信息安全技术在网络信息安全中的作用了解网络信息安全的解决反感及个人网络信息安全的策略了解计算机病毒的概念、种类、主要传播途径及预防措施了解病毒防范的基本方法理解使用计算机技术时应该遵守的道德规范及应该具备的防护意识
木马病毒 --一般通过电子邮件、及时通信工具和恶意网页等方式感染用户的计算机，多数都是利用了操作系统中存在的漏洞。
8

第10章信息系统安全与社会责任
10.1.2 计算机病毒的防治
计算机病毒的预防 ♫ 病毒防治的关键是做好预防工作计算机病毒的清除 ♫ 使用杀毒软件
发送
接收
窃取者
21

第10章信息系统安全与社会责任
2. 对称密钥密码体系
加密密钥与解密密钥使用相同的算法
明文明文发送
密文
明文明文
接收
n个用户的网络，需要n(n－1)/2个密钥
22

第10章信息系统安全与社会责任
3. 非对称密钥密码体系
加密密钥与解密密钥使用不同的密钥
13

第10 防火墙技术
1. 防火墙概述
♫ 防火墙是设置在被保护的内部网络和外部网络之
间的软件和硬件设备的组合 ♫ 对内部和外部网络之间的通信进行控制 ♫ 通过监测和限制跨越防火墙的数据流，尽可能地对外部网络屏蔽网络内部的结构、信息和运行情况 ♫ 是一种行之有效的网络安全技术
7

第10章信息系统安全与社会责任
3. 现代网络病毒的分类
--根据网络病毒破坏机制的不同，分为两类：蠕虫病毒
--蠕虫病毒以计算机为载体，以网络为攻击对象，利用网络的通信功能将自身不断地从一个结点发送到另一个结点，并且能够自动地启动病毒程序 --消耗本机资源，浪费网络带宽，造成系统瘫痪
2. 防止黑客攻击的策略
♫ 数据加密 --保护系统的数据、文件、口令和控制信息等 ♫ 身份验证 --对用户身份的正确识别与检验 ♫ 建立完善的访问控制策略 --设置入网访问权限、网络共享资源的访问权限、目录安全等级控制 ♫ 审计 --记录系统中和安全有关的事件,保留日志文件 ♫ 其他安全措施 --安装具有实时检测、拦截和查找黑客攻击程序用的工具软件，做好系统的数据备份工作，及时安装系统的补丁程序
18

第10章信息系统安全与社会责任
10.3 信息安全技术
10.3.1 数据加密技术 10.3.2 数字签名技术 10.3.3 数字证书
19

第10章信息系统安全与社会责任
10.3.1 数据加密技术
数据加密就是将被传输的数据转换成表面上
杂乱无章的数据，合法的接收者通过逆变换可以恢复成原来的数据，而非法窃取者得到的是毫无意义的数据。两种加密体系
14

第10章信息系统安全与社会责任
防火墙是一个分离器、一个限制器、也是一个
分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。
15

第10章信息系统安全与社会责任
2. 防火墙的主要类型
26

第10章信息系统安全与社会责任
安全问题及相应对策
加密数据以防非法读取或篡改对称加密非对称加密对来访的流量进行数据被泄露或篡改未经授权过滤和限制
擅自访问
冒名发送数据对信息的发送者进或发送后抵赖
行身份验证数字签名身份认证
27

第10章信息系统安全与社会责任
1. 黑客的攻击步骤及攻击方式
黑客的攻击步骤 ♫ 信息收集
通常利用相关的网络协议或实用程序来收集
♫ 探测分析系统的安全弱点
♫ 实施攻击
黑客的攻击方式 ♫ 密码破解 ♫ IP嗅探（Sniffing）与欺骗(Spoofing) ♫ 系统漏洞 ♫ 端口扫描
12

第10章信息系统安全与社会责任
计算机病毒的特点
♫ 破坏性
♫ 传染性 ♫ 隐蔽性 ♫ 可触发性
5

第10章信息系统安全与社会责任
1. 计算机病毒的分类
传统单机病毒 --病毒攻击的主要对象是单机环境下的计算机系统，一般通过软盘或光盘来传播，病毒大都寄生在文件内，这种病毒现在仍然存在并威胁着计算机系统的安全现代网络病毒 --网络环境下的病毒主要通过计算机网络来传播，病毒程序一般利用了操作系统的漏洞，通过电子邮件和恶意网页浏览等方式来传播
信息共享与信息所有
29

第10章信息系统安全与社会责任
10.4.2 国家有关计算机安全的法律法规和软件知识产权
国家有关计算机安全的法律法规
知识产权 ♫ 知识产权是指人类通过创造性的智力劳动而获得的一项智力性的财产权。