《篇計算機安全》PPT課件.ppt

1、中央廣播電視 大學出版社,計算機文化基礎,第7篇 計算機安全,第1章 計算機安全基本知識 1.1 信息安全概述,1.1.1信息安全的定義,1.1.2.網(wǎng)絡信息系統(tǒng)不安全的因素,信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性、可控性和不可否認性。,物理因素,網(wǎng)絡因素,系統(tǒng)因素,應用因素,自然災害、人為破壞、設備自然損壞等造成網(wǎng)絡的中斷、系統(tǒng)破壞、數(shù)據(jù)丟失等,網(wǎng)絡自身存在的安全缺陷：網(wǎng)絡協(xié)議、服務機制,軟件程序的復雜性、編程的多樣性及程序本身安全的局限性，使信息系統(tǒng)軟件中存在漏洞,信息系統(tǒng)使用過程中不正確的操作或人為破壞,1.1.3 信息安全需求,1.保密性 2.完整性 3.可用性

2、4.授權 5.抗抵賴,防止非授權用戶訪問、復制數(shù)據(jù)信息 通過加密等技術實現(xiàn) 信息不被非法修改、刪除、插入虛假信息 采用加密函數(shù)和散列函數(shù)保證數(shù)據(jù)的完整性 合法用戶不受干擾地使用各種資源， 攻擊發(fā)生后能及時正確恢復 通過加強系統(tǒng)管理和設計來提高可用性 決定哪個用戶可以訪問特定的數(shù)據(jù)資源 通過認證（實體認證和數(shù)據(jù)源認證）實現(xiàn)授權 通信者不能在通信過程完成后否認對該過程的參與,1.1.4 信息安全服務,1.保密性服務： 系統(tǒng)只對被授權的用戶提供信息服務 2.完整性服務：系統(tǒng)只允許被授權的用戶修改信息 3.可用性服務： 系統(tǒng)及時向所有用戶提供各自應得信息資源 4.可審查性服務： 系統(tǒng)內所發(fā)生與安全有關

3、的動作有詳細記錄可查,1.1.5 信息安全標準,可信計算機系統(tǒng)評估標準： 1.基于系統(tǒng)安全的制定 2.系統(tǒng)使用狀態(tài)的可審計性 3.對安全策略的準確解釋 4.實施的可靠性要求,1.2 計算機安全,1.計算機硬件安全：硬件設備、安裝和配置的安全 2.軟件安全：系統(tǒng)軟件、應用軟件和開發(fā)工具不被 非法修改、復制和感染病毒 3.數(shù)據(jù)安全性：保護數(shù)據(jù)不被非法訪問、完整性、 保密性 4.計算機運行安全性：遇到突發(fā)事件的安全處理 （停電）,1.3 計算機病毒基礎知識,1.3.1 計算機病毒的概念,人為的，隱藏在計算機系統(tǒng)中，利用系統(tǒng)資源繁殖生存，通過數(shù)據(jù)共享途徑傳染，影響計算機系統(tǒng)正常運行的特殊程序稱為計算機

4、病毒,是計算機病毒的主要目的。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產(chǎn)生不同的影響,1.隱蔽性,2.潛伏性,3.觸發(fā)性,4.傳染性,5.破壞性,病毒自我保護的手段。一是傳播的隱蔽性，二是存在的隱蔽性，,病毒傳播的條件。大部分病毒感染系統(tǒng)之后不會馬上發(fā)作，可長期隱藏在系統(tǒng)中等待滿足特定條件才啟動并傳播。一感染就發(fā)作病毒就難以傳播,傳染、攻擊和破壞的條件。病毒的發(fā)作是有激發(fā)條件的，可以是特定的日期、時間、程序的運行或程序的運行次數(shù)等,病毒程序所具有的共性，是否具有傳染性是判斷可疑程序是否是計算機病毒的最重要條件,6.非授權可執(zhí)行性,計算機病毒有正常程序的一切特性，如存儲和可執(zhí)行性。,1.3.2

5、 計算機病毒的特征,1.按表現(xiàn)性質：良性和惡性病毒 2.按激活時間：定是和隨機 3.按入侵方式 操作系統(tǒng)型:攻擊引導扇區(qū)，直接感染操作系統(tǒng)； 啟動計算機時引入內存，獲得系統(tǒng)的控權， 部分加入或替代操作系統(tǒng)的部分功能。 外殼型:載體是可執(zhí)行文件，進入內存并占領CPU附著在 可執(zhí)行文件的頭或尾部也稱為外殼型 入侵型:用自身代替正常程序中的部分模塊或堆只攻擊 某些特定程序，難被發(fā)現(xiàn)，清除難。 源碼型:在高級語言源程序編譯前插入其中， 隨源程序一起編譯、連接成可執(zhí)行文件 4.按是否有傳染性：可傳染和不可傳染病毒 5.按傳染方式：磁盤引導區(qū)、操作系統(tǒng)、應用程序 6.按攻擊的機種：微、小型計算機、工作站等

6、,1.3.3 計算機病毒的分類,1.基于工作站的防治技術 軟件防治：定期或不定期用反病毒軟件檢測工作站 插防病毒卡：實時監(jiān)測病毒，升級不方便，影響運行 在網(wǎng)絡接口卡上安裝防病毒芯片：將存取控制與病毒防 護合二為一。芯片上的軟件升級困難 2.基于服務器的防治技術 3.加強管理：,1.4.1 計算機病毒的預防,1.4 計算機病毒的預防與消除,1.4.2 計算機病毒的清除,查殺病毒前做好以下工作： 1.備份重要的數(shù)據(jù)文件 2.斷開網(wǎng)絡連接 3.制作一個DOS下的殺毒軟件 4.及時更新病毒庫，以便發(fā)現(xiàn)并清除最新的病毒,1.1 信息安全概述,第2章 網(wǎng)絡安全基本知識 2.1 網(wǎng)絡安全概述,1.網(wǎng)絡信息的

7、保密性：信息內容不被非授權者所知 2.網(wǎng)絡信息的完整性：信息在處理、存儲、傳輸中不 遺漏、不丟失、不被篡改， 保持他的一致性 3.網(wǎng)絡信息的可用性：響應合法用戶的訪問 4.網(wǎng)絡信息的可靠性：信息的可信度,1.1 信息安全概述,2.2 主動攻擊與被動攻擊,1.主動攻擊：攻擊者訪問所需信息的故意行為 2.被動攻擊：目的是收集信息而不是進行訪問 3.攻擊的目的：拒絕服務攻擊 獲取系統(tǒng)權限攻擊 獲取敏感信息攻擊 4.攻擊的切入點：緩沖區(qū)溢出攻擊 系統(tǒng)設置漏洞攻擊 5.攻擊的類型：對各種操作系統(tǒng)的攻擊 對網(wǎng)絡設備的攻擊 對特定應用系統(tǒng)的攻擊,1.1 信息安全概述,2.3 網(wǎng)絡安全解決方案 2.2.1 常

8、用安全技術,1.數(shù)據(jù)加密技術 明文：可以直觀理解的信息，如文件和消息等， 密文：經(jīng)過各種處理的亂碼形式。 加密：使用一定的算法（函數(shù)）將明文轉換為密文。 加密的過程是對信息的重組。 解密：由密文還原成明文的過程稱為解密。 加密算法：是用于隱藏和顯露信息的可計算過程。 密鑰:是為了有效地控制加密和解密的實現(xiàn)， 在其處理過程中心須要求通信雙方掌握專門的 信息參與，這種專門的信息稱為密鑰。,1.1 信息安全概述,2.3 網(wǎng)絡安全解決方案 2.2.1 常用安全技術,2.身份認證 對用戶身份的正確識別和校驗 識別：明確訪問者的身份 驗證：在訪問者聲明自己的身份后，系統(tǒng)對其身份的檢驗,1.1 信息安全概述

9、,2.3 網(wǎng)絡安全解決方案 2.2.1 常用安全技術,3.訪問控制技術 P303 基于口令的訪問控制技術 選擇性訪問控制技術,1.1 信息安全概述,2.3.2 網(wǎng)絡安全解決方案,1.安全目標 2.網(wǎng)絡結構的特點 3.系統(tǒng)安全目標 4.網(wǎng)絡安全體系與技術實現(xiàn)物理安全 網(wǎng)絡安全 系統(tǒng)安全 信息安全 應用安全 安全管理,2.1 網(wǎng)絡安全概述,第3章 計算機安全防護,3.1 防火墻,1.概念 2.特征 3.作用 4.缺點 5.系統(tǒng)組成 6.結構,是一種訪問控制技術 是重要的網(wǎng)絡防護設備 是軟件和硬件的組合體 本地網(wǎng)絡與不安全的外網(wǎng)絡間設置的 一道防御系統(tǒng),所有內部網(wǎng)絡與外部網(wǎng)絡間傳輸?shù)臄?shù)據(jù)必 須通過防

10、火墻 只有被授權的合法數(shù)據(jù)和防火墻安全策略 允許的數(shù)據(jù)可通過防火墻 防火墻 本身不受各種攻擊的影響 使用目前最新安全技術（現(xiàn)代密碼技術）,網(wǎng)絡的安全屏障：提高內網(wǎng)安全性 強化網(wǎng)絡安全策略：將安全控制設 置在防火墻上 對網(wǎng)絡存取和訪問進行監(jiān)控審計： 防火墻記錄經(jīng)過的訪問控制 防止內部信息的外泄,不能防范不經(jīng)由防火墻的攻擊，內部用戶 與Internet的ISP要建立直接連接（PPP） 則繞過防火墻系統(tǒng)提供的安全保護 不能防范人為的攻擊 不能防范受病毒感染軟件和文件的傳輸,包過濾路由器：有選擇的讓數(shù)據(jù)包 內外網(wǎng)之間進行交換。滿足過濾邏輯 的數(shù)據(jù)包才被轉發(fā)到相應的出口端 應用級網(wǎng)關：不直接與外網(wǎng)通信 提供應用層服務的控制 起到內向外網(wǎng)絡申請服務的中介作用 每部網(wǎng)絡只接受代理的服務請求， 拒絕外部網(wǎng)絡的直接請求 執(zhí)行速度慢操作系統(tǒng)容易遭到攻擊,2.1 網(wǎng)絡安全概述,3.2 系統(tǒng)更新與系統(tǒng)還原,Windows XP提供了自動更新功能。用戶通過 Internet自動鏈接到微軟站點，下載更新內容 并