中、高職計算機(jī)專業(yè)計算機(jī)網(wǎng)絡(luò)《計算機(jī)網(wǎng)絡(luò)安全》課件

計算機(jī)網(wǎng)絡(luò)安全任務(wù)一認(rèn)識網(wǎng)絡(luò)安全當(dāng)今社會對計算機(jī)網(wǎng)絡(luò)的依賴日益增強(qiáng)，人們建立了各種各樣完備的信息系統(tǒng)，使得人類社會的一些機(jī)密和財富高度集中于計算機(jī)。而這些信息系統(tǒng)都是依靠計算機(jī)網(wǎng)絡(luò)接收和處理信息，實(shí)現(xiàn)其相互間的聯(lián)系和對目標(biāo)的管理、控制。以網(wǎng)絡(luò)方式獲得信息和交流信息已成為現(xiàn)代信息社會的一個重要特征。隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)程度的逐漸增大，黑客入侵、網(wǎng)絡(luò)詐騙等信息安全事件也呈現(xiàn)出逐年上升的趨勢，網(wǎng)絡(luò)信息安全面臨著嚴(yán)峻挑戰(zhàn)，網(wǎng)絡(luò)信息安全問題正成為人們關(guān)注的焦點(diǎn)。1.1網(wǎng)絡(luò)信息安全概述網(wǎng)絡(luò)信息安全主要是保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，使其不受偶然的或者惡意的破壞、更改、泄露，從而使系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，保證網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全一般包括如下幾個要素：(1)完整性。指信息在存儲或傳輸時不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等，即不能為未授權(quán)的第三者修改。信息的完整性是信息安全的基本要求。(2)可用性。保護(hù)信息或資源免受非法限制，即指網(wǎng)絡(luò)、系統(tǒng)、硬件和軟件是可事的，即使有中斷服務(wù)的發(fā)生，也能快速地恢復(fù)正常。(3)保密性。指網(wǎng)絡(luò)信息不被泄露給非授權(quán)個人或?qū)嶓w，信息的內(nèi)容只為授權(quán)用戶使用，不被第三者所知。(4)非否認(rèn)性。非否認(rèn)性在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中確信參與者的真實(shí)同一性，即用戶不能否認(rèn)信息或者文件的來源地，也不能否認(rèn)接收了信息或者文件。1.2常見的網(wǎng)絡(luò)安全威脅歸納起來，針對網(wǎng)絡(luò)安全的威脅主要有軟件漏洞、配置不當(dāng)、安全意識不強(qiáng)，病毒和黑客等。1.軟件漏洞每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的，這就使我們的計算機(jī)處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。2.配置不當(dāng)安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。1.2常見的網(wǎng)絡(luò)安全威脅3.安全意識不強(qiáng)用戶口令選擇不慎，或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。4.病毒目前網(wǎng)絡(luò)信息安全的頭號大敵是計算機(jī)病毒，計算機(jī)病毒能影響計算機(jī)軟件、硬件的正常運(yùn)行并且能夠進(jìn)行自我復(fù)制和傳播，具有傳染性、寄生性、隱蔽性、潛伏性等特點(diǎn)。提高對病毒的防范刻不容緩。5.黑客電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計算機(jī)系統(tǒng)，其危害性非常大，從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。1.3網(wǎng)絡(luò)安全對策為了實(shí)現(xiàn)網(wǎng)絡(luò)安全，一般采用以下一些安全機(jī)制。1.殺毒軟件殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機(jī)防御系統(tǒng)的重要組成部分。2.防火墻技術(shù)“防火墻”是一種形象的說法，其實(shí)它是計算機(jī)硬件和軟件的組合，是在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立的一個安全網(wǎng)關(guān)(SecurityGateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常是局域網(wǎng)或城域網(wǎng))隔開的屏障。1.3網(wǎng)絡(luò)安全對策3.加密技術(shù)與防火墻配合使用的安全技術(shù)還有加密技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同，加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)4種。

4.數(shù)字簽名技術(shù)“數(shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。所謂“數(shù)字簽名”就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章。它能驗證出文件的原文在傳輸過程中有無變動，以確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。1.3網(wǎng)絡(luò)安全對策

5.訪問控制技術(shù)訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，通常包括如下幾個手段:(1)入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間以及在哪臺工作站入網(wǎng)。(2)權(quán)限控制。權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，控制用戶和用戶組可以訪問的目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。1.3網(wǎng)絡(luò)安全對策

(3)目錄級安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問，用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。

(4)屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性，屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。

任務(wù)二計算機(jī)病毒和黑客的防范由于現(xiàn)代社會對網(wǎng)絡(luò)的極大依賴性，使得網(wǎng)絡(luò)的安全受到了很大威脅。網(wǎng)絡(luò)威脅簡單地說就是指對網(wǎng)絡(luò)中軟、硬件的正常使用、數(shù)據(jù)的完整無損以及網(wǎng)絡(luò)通信的正常工作等造成的威脅。這種威脅大的可以使整個網(wǎng)絡(luò)中的PC和服務(wù)器處于癱瘓狀態(tài)，小的可能只是使網(wǎng)絡(luò)中的某臺計算機(jī)染上病毒，造成系統(tǒng)性能下降。那么，具體有哪些威脅呢?可以粗略地分為計算機(jī)病毒與黑客攻擊兩大類。前者屬于被動型威脅，一般是用戶通過某種途徑，例如使用了帶病毒的軟盤、光盤、U盤，訪問帶病毒的網(wǎng)頁，單擊了帶病毒的圖片等而感染上的。后者屬于主動攻擊型威脅，例如進(jìn)行網(wǎng)絡(luò)監(jiān)聽或植人木馬，以獲取對方計算機(jī)內(nèi)的資料為目的，這些威脅都是對方人為地通過網(wǎng)絡(luò)通信連接進(jìn)行的。2.1計算機(jī)病毒的防范計算機(jī)病毒的泛濫使病毒的預(yù)防、查殺和計算機(jī)的信息安全成為當(dāng)前計算機(jī)安全領(lǐng)域研究的重要課題。計算機(jī)病毒實(shí)質(zhì)上是指編制或者在計算機(jī)程序中插人的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒主要具有以下特點(diǎn):●寄生性。計算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的?！駛魅拘浴Ｓ嬎銠C(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其傳染速度之快令人難以預(yù)防。2.1計算機(jī)病毒的防范●潛伏性。有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。比如黑色星期五病毒，不到預(yù)定時間一點(diǎn)都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞?！耠[蔽性。計算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。2.1.1計算機(jī)病毒的分類從第一個計算機(jī)病毒出現(xiàn)至今短短二十幾年，病毒的發(fā)展已經(jīng)經(jīng)歷了三個階段：第一個階段是基于DOS、Windows等系統(tǒng)平臺的傳統(tǒng)病毒；第二個階段是基于Internet的網(wǎng)絡(luò)病毒;目前計算機(jī)病毒已經(jīng)發(fā)展到了第三個階段，用戶所面臨的不再是一個簡簡單單的病毒，而是包含了病毒、黑客攻擊、木馬、間諜軟件等多重危害于身的基于Internet的網(wǎng)絡(luò)威脅。目前計算機(jī)病毒大致可以分為如下幾類:(1)引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒是指通過感染軟盤的引導(dǎo)扇區(qū)和硬盤的引導(dǎo)扇區(qū)或者主引導(dǎo)記錄進(jìn)行傳播的病毒。當(dāng)計算機(jī)從感染了引導(dǎo)區(qū)病毒的硬盤或軟盤啟動，或從受感染的軟盤中讀取數(shù)據(jù)時，引導(dǎo)區(qū)病毒就開始發(fā)作。這種病毒很難察覺，破壞力也比較大，感染后就會造成系統(tǒng)無法正常啟動。2.1.1計算機(jī)病毒的分類（2）

文件型病毒。文件型病毒寄生在文件中，常常通過將自身代碼插人可執(zhí)行文件來隱藏自己。它劫奪用來啟動主程序的可執(zhí)行命令，用作自身的運(yùn)行命令，同時還經(jīng)常將控制權(quán)還給主程序，偽裝計算機(jī)系統(tǒng)的正常運(yùn)行。（3）宏病毒。這是一種特殊的文件型病毒，一些軟件開發(fā)商在產(chǎn)品研發(fā)時引入宏語言，并允許這種產(chǎn)品在生成載有宏的數(shù)據(jù)文件之后出現(xiàn)。因為宏的功能十分強(qiáng)大，相當(dāng)多的軟件包中都引入了宏(如Office系統(tǒng))，這樣就給宏病毒以可乘之機(jī)。它利用宏語言的功能將自身復(fù)制并且繁殖到其他數(shù)據(jù)文件中，當(dāng)運(yùn)行感染了宏病毒的文檔時，就會自動地彈出一些未知的窗口，或者自動地進(jìn)行其他活動。2.1.1計算機(jī)病毒的分類（4）腳本病毒。它依賴種特殊的腳本語言!(如VBScript、JavaScript等)起作用，同時需要主軟件或應(yīng)用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令。腳本語言比宏語言更具有開放終端的趨勢，也使得病毒制作者對感染腳本病毒的機(jī)器可以有更多的控制權(quán)。（5）網(wǎng)絡(luò)蠕蟲程序。這是目前破壞力比較大的病毒種類。它們是一種通過網(wǎng)絡(luò)或者漏洞進(jìn)行自主傳播，向外發(fā)送帶毒郵件或通過即時通信工具等發(fā)送帶毒文件，阻塞網(wǎng)絡(luò)的病毒。蛹蟲病毒的最大特征是消耗系統(tǒng)資源，使得系統(tǒng)性能嚴(yán)重下降。2.1.1計算機(jī)病毒的分類（6）特洛伊木馬程序。特洛伊木馬程序可以直接侵人用戶的計算機(jī)并進(jìn)行破壞，它通常指偽裝成合法軟件的非感染型病毒，它不進(jìn)行自我復(fù)制。有些木馬可以模仿運(yùn)行環(huán)境，收集所需的信息。最常見的木馬是試圖竊取用戶名和密碼的登錄窗口，或者試圖從眾多的Internet服務(wù)提供商(ISP)盜竊用戶的注冊信息和賬號信息。（7）釣魚網(wǎng)站。釣魚網(wǎng)站通常指偽裝成銀行及電子商務(wù)，竊取用戶提交的銀行賬號、密碼等私密信息的網(wǎng)站，可用電腦管家進(jìn)行查殺?！搬烎~”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插人危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資產(chǎn)。2.1.2計算機(jī)病毒的傳播途徑計算機(jī)病毒具有自我復(fù)制和傳播的特點(diǎn)，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計算機(jī)病毒的傳播途徑。（1）不可移動的計算機(jī)硬件設(shè)備。如可利用專用集成電路芯片(ASIC)進(jìn)行傳播。這種計算機(jī)病毒雖然極少，但破壞力卻極強(qiáng)，目前尚沒有較好的檢測手段對付。（2）移動存儲設(shè)備(包括軟盤、磁帶等)。如可移動式磁盤包括優(yōu)盤、移動硬盤、CD-ROM等。其中U盤是使用廣泛、移動頻繁的存儲介質(zhì)，因此也成了計算機(jī)病毒寄生的“溫床”。盜版光盤上的軟件、游戲及非法復(fù)制也是傳播計算機(jī)病毒的重要途徑。（3）計算機(jī)網(wǎng)絡(luò)。組成計算機(jī)網(wǎng)絡(luò)的每臺主機(jī)都能連接到其他主機(jī)，數(shù)據(jù)也能從一臺主機(jī)發(fā)送到其他主機(jī)上。如果發(fā)送的數(shù)據(jù)感染了病毒，接收方的計算機(jī)將自動被感染，因此，有可能在很短的時間內(nèi)感染整個網(wǎng)絡(luò)中的計算機(jī)。國際互聯(lián)網(wǎng)已經(jīng)成為計算機(jī)病毒最主要的傳播途徑。2.1.3計算機(jī)病毒的防范措施從嚴(yán)格意義上來講，網(wǎng)絡(luò)上沒有絕對的安全，網(wǎng)絡(luò)攻擊的技術(shù)永遠(yuǎn)走在網(wǎng)絡(luò)防御技術(shù)的前面?？梢哉f，與網(wǎng)絡(luò)破壞分子的較量是一場“看不見硝煙的戰(zhàn)爭”。是高科技的較量。下面介紹針對以上威脅的基本防范措施。（1）提高防毒意識，不要輕易登錄陌生網(wǎng)站，因為其中很可能含有惡意代碼。（2）不要隨意查看陌生郵件，尤其是帶有附件的郵件。（3）不要隨意打開可執(zhí)行文件或來路不明的電子郵件。如擴(kuò)展名為：.vbs、.shs和.pif的郵件附件。（4）般情況下，不要將磁盤上的目錄設(shè)置為共享，如果確有必要，應(yīng)將權(quán)限設(shè)置為只讀。（5）盡量不要從任何不可靠的位置接收數(shù)據(jù)或者文件，外來文件應(yīng)該檢查后再打開，包括在線系統(tǒng)(如MISN或者QQ)發(fā)過來的文件，或者從陌生網(wǎng)站下載的軟件，來歷不明或者長期未使用的光盤，尤其是盜版光盤更加要注意。章節(jié)練習(xí)

1、下面不屬于以密碼技術(shù)為基礎(chǔ)實(shí)現(xiàn)的技術(shù)是（）A：防火墻技術(shù)B：數(shù)字簽名技術(shù)C：身份認(rèn)證技術(shù)D：秘密分存技術(shù)2、關(guān)于防火墻的說法，下列正確的是。（）A：防火墻從本質(zhì)上講使用的是一種過濾技術(shù)B：防火墻對大多數(shù)病毒有預(yù)防的能力C：防火墻是為防止計算機(jī)過熱起火D：防火墻可以阻斷攻擊，也能消滅攻擊源AA章節(jié)練習(xí)3、下面無法預(yù)防計算機(jī)病毒的做法是（）A：給計算機(jī)安裝360安全衛(wèi)士軟件B：經(jīng)常