新编大学计算机基础教程(第三版)-教学课件作者-贾宗福-齐景嘉-周-屹-陆璐-赵杰--第14章计算机.pptx

1、第十四章第十四章 信息安全信息安全1本章节目录本章节目录14.1 信息安全概述14.2 信息存储安全技术14.3 信息安全防范技术14.4 计算机病毒及防治14.5 网络道德与法规214.1 14.1 信息安全信息安全概述概述信息是社会发展的重要战略资源，也是衡量国家综合国力的一个重要参数。随着计算机技术与通信技术的快速发展，社会各个领域的信息越来越依赖计算机的信息存储方式及传输方式，信息安全保护的难度也大大高于传统方式的信息存储及传输模式。信息的地位与作用因信息技术的快速发展而急剧上升，信息安全已成为人们关注的重点。314.1.1 14.1.1 信息安全和信息系统信息安全和信息系统安全安全信

2、息安全可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全不再是单纯的技术问题，而是管理、技术、法律等相结合的产物。41.信息安全信息安全是指信息在存储、处理和传输状态下能够保证其保密性、完整性和可用性。2.信息系统安全信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统安全是指存储信息的计算机硬件、数据库等软件的安全和传输信息网络的安全。514.1.2 14.1.2 信息安全信息安全隐患隐患信息泄露：保护的信息被泄露或透露

3、给非授权实体。信息完整性被破坏：数据被非授权地进行增删、修改或破坏而受到损失。拒绝服务：信息使用者对信息或其他资源的合法访问被无条件地阻止。非法使用(非授权访问)：某一资源被非授权实体或以非授权的方式使用。窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或特权小的用户冒充为特权大的用户的目的。通常所说的黑客大多采用的就是假冒攻击。抵赖：用谎言或狡辩否认曾经完成的操作或作出的承

4、诺。诸如否认自己曾经发布过的消息、伪造对方来信等。614.1.3 14.1.3 信息系统不信息系统不安全因素安全因素一般来说，信息系统的不安全因素存在于计算机硬件设备、软件系统、网络和安全防范机制等方面。1硬件故障信息系统硬件运行环境应具备防火、防盗、防震、防风、防雨、防尘、防静电、防电磁干扰等条件，同时，保证其处于良好状态，使关键数据和应用系统始终处于运行模式，已成为信息系统安全的基本要求。如果不采取可靠的措施，尤其是存储措施，一旦由于意外而丢失数据，将会造成巨大的损失。72软件漏洞对信息系统的攻击通常是通过计算机服务器、网络设备所使用的系统软件中存在的漏洞进行的。任何系统软件都存在一定的缺

5、陷，在发布后需要进行不断升级、修补。应用程序设计的漏洞和错误也是安全的一大隐患，如在程序设计过程中代码本身的逻辑安全性不完善；脚本源码的泄漏，特别是连接数据库的脚本源码的泄漏等。对于一些特别的应用，从程序设计时就应考虑一些特别的安全措施，如IP地址的检验、恶意输入的控制、用户身份的安全验证等。漏洞修复的周期较长、进程缓慢，日益增多的存量漏洞和每日新增漏洞也是信息系统的主要安全隐患。83网络威胁信息在计算机网络中面临着被截取、篡改、破坏等安全隐患，这些威胁主要来自人为攻击，通常分为被动攻击和主动攻击。被动攻击：指对数据的非法截取。它只截获数据，但不对数据进行篡改。例如：监视明文、解密通信数据、口

6、令嗅探、通信量分析等。主动攻击：指避开或打破安全防护、引入恶意代码（如计算机病毒），破坏数据和系统的完整性。主要破坏方式有篡改数据、数据或系统破坏、拒绝服务及伪造身份连接等。94安全防范机制不健全（1）未建立完善的访问控制机制（2）未使用数据加密技术（3）未建立防火墙机制1014.1.4 14.1.4 信息安全信息安全任务任务信息安全的任务是保护信息和信息系统的安全。为保障信息系统的安全，需要做到下列几点：（1）建立完整、可靠的数据备份机制和行之有效的数据灾难恢复方法。（2）系统及时升级、及时修补，封堵自身的安全漏洞。（3）安装杀毒软件，规范网络行为。（4）建立严谨的安全防范机制，拒绝非法访问

7、。1114.2 14.2 信息存储安全信息存储安全技术技术由于计算机通常使用存储设备保存数据，任何信息都面临着设备故障导致数据破坏的严重问题。为解决这样的问题，就需要采取冗余数据存储的方案。冗余数据存储安全技术不是普通的数据定时备份。采取普通的数据定时备份方案，一旦存储设备出现故障，会丢失未来得及备份的数据，并不能确保数据的完整性。因此，为了保障信息的可靠存储，需要动态地实现数据备份。实现数据动态冗余存储的技术有磁盘镜像、磁盘双工和双机热备份等。1214.2.1 14.2.1 磁盘镜像磁盘镜像技技术术磁盘镜像的原理是系统产生的每个I/O操作都在两个磁盘上执行，而这一对磁盘看起来就像一个磁盘一样

8、，如图14-1所示。通过安装两块容量和分区一致的磁盘，在操作系统的控制下，只要对磁盘A写操作，就同时对磁盘B也进行同样的写操作。如果磁盘A损坏，数据可以从磁盘B中恢复。反之，如果磁盘B损坏，数据在磁盘A中仍然被完好保存着。由于采用了磁盘镜像技术，两块磁盘上存储的数据高度一致，因此实现了数据的动态冗余备份。1314.2.2 14.2.2 磁盘双工磁盘双工技术技术磁盘双工技术需要使用两个磁盘驱动控制器，分别驱动各自的硬盘，如图所示。每块硬盘有自己独立的磁盘驱动控制器，就可以减少软件控制重复写操作的时间消耗。操作系统在执行磁盘写操作时，同时向两个磁盘驱动器发出写命令，输出写数据，因此大大提高了数据存

9、储的速度；若一个磁盘驱动控制器出现故障，而另一个磁盘驱动控制器和磁盘仍然在工作，因此数据服务器对用户的数据存储服务不会终止。可见，磁盘双工技术不仅保护了数据的完整性，还提供了一定的数据可用性支持。1414.2.3 14.2.3 双机热备份双机热备份技术技术双机热备份（Host standby），就是一台主机作为工作机（系统服务器），另一台主机为备份机（备份服务器）。在系统正常的情况下，工作机为系统提供支持，备份机监视工作机的运行情况（工作机同时监视备份机是否工作正常），如图所示。1514.2.4 14.2.4 快照、磁盘克隆快照、磁盘克隆技术技术快照技术（Snapshot）是用来创建某个时间点

10、的故障表述，构成某种形式的数据快照。主要是能够进行在线数据恢复，当存储设备发生应用故障或者文件损坏时，可以将数据及时恢复成快照产生时间点的状态。快照的另一个作用是为存储用户提供了另外一个数据访问通道，当原数据进行在线应用处理时，用户可以访问快照数据，还可以利用快照进行测试等工作。快照技术具有如下用途：数据备份：快照可以在数据库系统持续运行的情况下进行备份。回退保护：快照可以用来提供一种将系统回退到某个已知时刻的正常状态的方法。节省存储空间：快照的使用常常是由于缺乏足够的空间来实现完整的数据复制。1614.2.5 14.2.5 海量存储海量存储技术技术海量存储技术是指海量文件的存储方法及存储系统

11、。“海量”有两层含义：一是文件数量巨大；二是文件所需存储容量巨大(GB、TB到PB量级)。海量存储技术主要包括磁盘阵列技术与网络存储技术。171 1磁盘阵列（磁盘阵列（Redundant Arrays of Independent DiskRedundant Arrays of Independent Disk，RAIDRAID）RAID是一种把多块独立磁盘组合起来形成一个容量巨大的磁盘组，从而提供比单个磁盘更高的存储性能并提供数据备份的技术。提供了增强冗余、容量和存储性能的存储方法，有着较强的可管理性、可靠性和可用性。RAID技术分为几种不同的等级，分别可以提供不同的速度，安全性和性价比。根

12、据实际情况选择适当的RAID级别可以满足用户对存储系统可用性、性能和容量的要求。182 2网络网络存储存储：DASDAS、NASNAS、SANSAN（1）DAS（Direct Attached Storage）DAS是以服务器为中心的传统的直接存储技术。DAS技术将通用服务器的一部分作为存储设备，该服务器同时提供数据的输入/输出及应用程序的运行。（2）NAS（Network Attached Storage）NAS是以数据为中心的网络存储技术。是一种特殊的利用专门的软、硬件构造的专用数据存储服务器。它将分布的、独立的数据整合为大型集中化管理的数据中心。将存储设备与服务器分离，单独作为一个文件服

13、务器存在，去掉了通用服务器的大多数计算功能，仅保留文件系统功能。（3）SAN（Storage Area Network）是一种将磁盘或磁带与相关服务器连接起来的高速专用网，采用可伸缩的网络拓扑结构，可以使用光纤通道连接，也可以使用IP协议将多台服务器和存储设备连接在一起。1914.2.6 14.2.6 热点存储热点存储技术技术1P2P存储P2P（Peer-to-Peer）即对等互联或点对点技术。2智能存储系统智能存储系统是一种功能丰富的RAID阵列，提供了高度优化的I/O处理能力，能够主动地进行信息采集、信息分析、自我调整等。3存储服务质量服务质量（Quality of Service，QoS

14、）是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。4存储容灾通过特定的容灾机制，能够在各种灾难损害发生后，最大限度地保障计算机信息系统不间断提供正常应用服务。5云存储云存储是在云计算概念上延伸和发展出来的一个新的概念，是指通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。2014.3 14.3 信息安全防范信息安全防范技术技术信息安全防范是当今信息社会的一个热点话题，安全防范技术是实施信息安全措施的保障，为了减少信息安全问题带来的损失，保证信息安全，可采用多种安全防范技术。

15、2114.3.1 14.3.1 访问访问控制技术控制技术访问控制技术，指系统对用户身份及其所属的预先定义的策略组进行控制，是限制其使用数据资源能力的一种手段。通常用于系统管理员控制用户对服务器、目录、文件等资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是信息安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。221 1密码认证密码认证方式方式密码认证方式普遍存在于各种系统中，例如登录系统或使用系统资源前，用户需先出示其用户名和密码，以通过系统的认证。密码认证的工作机制是用户将自己的用户名和密码提交给系统，系统核对无误后

16、，承认用户身份，允许用户访问所需资源，如图所示。232 2加密认证加密认证方式方式加密认证方式可以弥补密码认证的不足，在这种认证方式中，双方使用请求与响应的认证方式。加密认证的工作机制是用户和系统都持有同一密钥K，系统生成随机数R，发送给用户，用户接收到R，用K加密，得到X，然后回传给系统，系统接收X，用K解密得到K，然后与R对比，如果相同，则允许用户访问所需资源，如图所示。2414.3.2 14.3.2 数据加密数据加密技术技术1加密和解密数据加密的基本思想就是伪装信息，使非法接入者无法理解信息的真正含义。借助加密手段，信息以密文的方式归档存储在计算机中，或通过网络进行传输，即使发生非法截获

17、数据或数据泄漏的事件，非授权者也不能理解数据的真正含义，从而达到信息保密的目的。同理，非授权者也不能伪造有效的密文数据达到篡改信息的目的，进而确保了数据的真实性。252数字签名数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，使用公钥加密领域的技术实现，是用于鉴别数字信息的方法。数字签名是在密钥控制下产生，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。数字签名技术是一种实现消息完整性认证和身份认证的重要技术。2614.3.3 14.3.3 防火墙防火墙技术技术1防火墙防火墙是一种位于内部网络与外部网络之间的网络安全系统。防火墙主要有服务访问规则、验证工具、包过滤和应

18、用网关四个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件和硬件，该计算机流入流出的所有网络通信和数据包都要经过此防火墙。通过防火墙可以防止发生对受保护网络的不可预测的、潜在的破坏性侵扰。防火墙放置的位置，如图所示。272常用防火墙常用的防火墙有包过滤防火墙和代理服务器防火墙两种类型。2814.3.4 14.3.4 入侵检测入侵检测技术技术入侵检测系统（Intrusion Detection Systems，IDS）能依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，它扩展了系统管理员的安全管理能力，保证网络系统资源的机密

19、性、完整性和可用性。2914.3.5 14.3.5 地址转换地址转换技术技术国际互联网络信息中心（Internet NIC）为了组建企业网、局域网的方便，划定A、B、C 三类专用局域网IP地址。使用这些IP地址的计算机不能直接与互联网进行通信，要实现与互联网的通信必须采取一定的方式将局域网IP地址转化为外网地址（真实IP地址）。网络地址翻译（Network Address Translate，NAT）就是实现这种地址转换的方法之一，目前被广泛运用。NAT 用于缓解IPv4地址资源紧张的问题，实现不同地址段的透明转换，实现内网与外网间的互访。3014.3.6 Windows 714.3.6 Wi

20、ndows 7安全安全防范防范1.操作系统的漏洞计算机操作系统是一个庞大的软件程序集合，由于其设计开发过程复杂，操作系统开发人员必然存在认知局限，使得操作系统发布后仍然存在弱点和缺陷的情况无法避免，即操作系统存在安全漏洞，它是计算机不安全的根本原因。操作系统安全隐患一般分为两类，一类是由设计缺陷造成的，包括协议方面、网络服务方面、共享方面等的缺陷。另一类则是由于使用不当导致，主要表现为系统资源或用户账户权限设置不当。操作系统发布后，开发厂商会严密监视和搜集其软件的缺陷，并发布漏洞补丁程序来进行系统修复。312.创建系统还原 Windows 7可以利用自带的备份功能还原系统。3.操作系统安全设置

21、安全设置是指计算机操作系统中一些与安全相关的设置，如用户权限设置、共享设置、安全属性设置等。3214.4 14.4 计算机病毒及计算机病毒及防治防治计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的产物。计算机病毒是一段可执行的程序代码，它能附着在各种类型的文件上，在计算机用户间传播、蔓延，对计算机信息安全造成极大威胁。3314.4.1 14.4.1 计算机病毒计算机病毒简介简介1.计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。2.计算机病毒特征作为一段程序，病毒与正常的程序

22、一样可以执行，以实现一定的功能，达到一定的目的。但病毒一般不是一段完整的程序，而需要附着在其他正常的程序之上，并且要不失时机地传播和蔓延。所以，病毒又具有普通程序所没有的特性。（1）传染性（2）潜伏性（3）可触发性（4）破坏性（5）隐蔽性（6）衍生性（7）非授权性343 3计算机病毒计算机病毒类型类型（1）按照病毒的破坏能力分类无害型、无危险型、危险型、非常危险型（2）根据病毒特有的算法分类伴随型病毒、蠕虫型病毒、寄生型病毒、变型病毒（3）根据病毒的传染方式分类文件型病毒、系统引导型病毒、混合型病毒、宏病毒354 4常见常见病毒病毒计算机新病毒层出不穷，从各大反病毒软件的年度相关报告来看，目前

23、计算机病毒主要以木马病毒为主，蠕虫病毒也有大幅增长的趋势，新的后门病毒综合蠕虫、黑客功能于一体，它们窃取账号密码、个人隐私及企业机密，给用户造成巨大损失。下面介绍几种常见的病毒。（1）QQ群蠕虫病毒（2）比特币矿工病毒（3）秒余额网购木马（4）游戏外挂捆绑远控木马（5）文档敲诈者病毒（6）验证码大盗手机病毒3614.4.2 14.4.2 计算机病毒的计算机病毒的防治防治对于计算机病毒，需要树立以防为主、以清除为辅的观念，防患于未然。计算机病毒的清除应对症下药，即发现病毒后，才找到相应的杀毒方法，因此具有很大的被动性。而防范计算机病毒，具有主动性，重点应放在病毒的防范上。371 1防范防范计算机

24、病毒计算机病毒定期对重要的资料和系统文件进行备份；尽量使用本地硬盘启动计算机，避免使用U盘、移动硬盘或其他移动存储设备启动；可以将某些重要文件设置为只读属性，以避免病毒的寄生和入侵；重要部门的计算机，尽量专机专用与外界隔绝；安装新软件前，先用杀毒程序检查，减少中毒机会；安装杀毒软件、防火墙等工具，定期对软件升级、进行病毒查杀；及时下载最新的安全补丁，进行相关软件升级；使用复杂的密码，提高计算机的安全系数；警惕欺骗性的病毒，尽量不要将文件共享，慎用主板网络唤醒功能；一般不要在互联网上随意下载软件；合理设置电子邮件工具和系统的Internet安全选项；慎重对待邮件附件，不要轻易打开广告邮件中的附件

25、或链接；不要随意接收在线聊天系统发来的文件，尽量不要从公共新闻组、论坛、BBS中下载文件，使用下载工具时，一定要启动网络防火墙。382 2清除清除计算机病毒计算机病毒计算机病毒不仅干扰计算机的正常工作，还会继续传播、泄密、破坏系统和数据、影响网络正常运行，因此，当计算机感染了病毒后，应立即采取措施予以清除。清除病毒一般采用人工清除和自动清除两种方法。（1）人工清除借助工具软件打开被感染的文件，从中找到并摘除病毒代码，使文件复原。这种方法是专业防病毒研究人员用于清除新病毒时采用的，不适合一般用户。（2）自动清除杀毒软件是专门用于对病毒的防堵、清除的工具。自动清除就是借助杀毒软件来清除病毒。用户只

26、需按照杀毒软件的菜单或联机帮助操作即可轻松杀毒。3914.4.3 14.4.3 常见病毒防治常见病毒防治工具工具杀毒软件，也称反病毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描、清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能。但杀毒软件不可能查杀所有病毒，杀毒软件能查到的病毒，也不一定都能杀掉。大部分杀毒软件是滞后于计算机病毒的，所以，应及时更新升级软件版本和定期扫描。目前，常用的有360杀毒、百度杀毒软件、腾讯电脑管家、金山毒霸、卡巴斯基反病毒软件、瑞星杀毒软件、诺顿防病毒软件等。通常应有针对性的安装一种防病毒软件，尽量不要

27、安装两种或两种以上，以免发生冲突。近年新兴的云安全服务，如360云安全，瑞星云安全也得到了普及，卡巴斯基、MCAFEE、趋势、SYMANTEC、江民科技、PANDA、金山等也都推出了云安全解决方案。4014.5 14.5 网络道德与网络道德与法规法规“十八大”明确提出，加快发展集成电路、下一代互联网、移动互联网、物联网等产业；加强网络安全基础设施建设。国家今后将统一领导信息安全建设，从战略部署、组织架构、法律法规、关键基础设施安全、技术产业发展、攻防能力建设等方面加强顶层设计，此外更加注重网络与信息安全领域立法。因此，要求网络活动的参加者具有良好的品德和高度的自律，努力维护网络资源，保护网络的

28、信息安全，树立和培养健康的网络道德，遵守国家有关网络的法律法规。4114.5.1 14.5.1 网络网络道德道德1网络道德的定义网络道德的定义所谓网络道德，是指以善恶为标准，通过社会舆论、内心信念和传统习惯来评价人们的上网行为，调节网络时空中人与人之间以及个人与社会之间关系的行为规范。网络道德是时代的产物，与信息网络相适应，人类面临新的道德要求和选择，于是网络道德应运而生。422 2不道德网络不道德网络行为行为从事危害政治稳定、损害安定团结、破坏公共秩序的活动，复制、传播有关上述内容的消息和文章；任意发布帖子对他人进行人身攻击，不负责任地散布流言蜚语或偏激的语言，对他人造成损害；窃取或泄露他人

29、秘密，侵害他人正当权益；利用网络赌博或从事有伤风化的活动；制造病毒、传播病毒；冒用他人IP，从事网上活动，通过扫描、侦听、破解口令、安置木马、远程接管、利用系统缺陷等手段进入他人计算机；明知自己的计算机感染病毒仍然不采取措施，妨碍网络、网络服务系统和其他用户正常使用网络；缺乏网络文明礼仪，在网络中使用粗俗语言。4314.5.2 14.5.2 网络安全法规网络安全法规为了维护网络安全，国家和管理组织制定了一系列网络安全政策、法规。在网络操作和应用中应自觉遵守国家的有关法律和法规，自觉遵守各级网络管理部门制定的有关管理办法和规章制度，自觉遵守网络礼仪和道德规范。1知识产权保护2保密法规3防止和制止

30、网络犯罪相关法规4信息传播条例44本章本章小结小结 本章主要介绍信息安全的基础理论、信息存储安全技术、信息安全防范技术、计算机病毒及防治技术，通过本章的学习应能够分析个人和企业的信息安全状况，进行信息安全基础建设，并为进一步学习打下良好的基础。最后还介绍了网络道德及国家有关计算机、网络相关法律、法规和政策等。45本章习题本章习题1信息安全有哪些威胁？信息安全的实现有哪些主要技术措施？2在信息系统的不安全因素中，设备故障会带来什么样的损失？有哪些技术可以用来解决这样的安全隐患?3解释访问控制的基本概念。4防范攻击的主要数据安全机制是什么?5什么是防火墙，为什么需要有防火墙？6试介绍预防灾难性数据破坏的常用技术的优缺点。7现代数据加密技术中的主要加密算法是哪些？哪些是公开密钥加密？哪些是不公开密钥加密？8数字签名必须保证实现对签名无法抵赖、无法伪造和可以核对的能力。试举例说明数字签名是如何实现这个能力的。9包过滤防火墙的核心是称为“访问控制列表”的配置文件。试介绍包过滤防火墙是如何实现对非法数据包进行拦截的。10试说明黑客攻击的一般流程及其技术和方法。46