第8章++计算机信息安全-课件-1

第一部分，计算机信息安全的基本知识、包括计算机信息安全的定义、属性、内容；同时讲述了信息安全的主要技术，包括身份验证、访问控制、数据加密和防火墙等，以及关于系统更新与系统还原的基本知识

一．计算机信息安全基本概述

信息系统安全是指保护计算机信息系统中的资源免受破坏、替换、盗窃或丢失。信息安全在信息社会里有着极为重要的意义，将直接关系到国家安全、经济发展、社会稳定和人们的日常生活。 1．信息安全的基本概念

计算机信息安全的定义是：使计算机系统的硬件、软件、存储介质、网络设备和数据受到保护，不因偶然和恶意的原因而遭到毁坏、更改、盗窃、泄露；同时，系统能连续正常运行。 2．信息安全基本属性

计算机信息安全有4个基本属性，分别是：保密性、完整性、有效性、不可抵赖性（又称不可否认性），其含义分别如下：

① 保密性是指确保信息不暴露给未经授权的实体。

② 完整性是防止对信息的不当删除、修改、伪造、插入等破坏。 ③ 有效性（又称为可用性和可靠性），是要求信息和系统资源在需要的时候可以得到服务，而且授权用户可以随时随地以他所喜爱的格式存取和访问资源。 ④ 不可抵赖性是指通信双方对其收发过的信息均不可抵赖。

对于网络信息安全而言，除了保密性、完整性、有用性、不可抵赖性，还需要考虑可控性。所谓可控性是指对信息的传播及内容具有可控制能力。 3．信息安全的基本内容

信息安全包括了信息本身安全、物理安全和运行安全三个方面。

信息本身的安全是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。

物理安全（又称实体安全）是指保护计算机主机、计算机的网络设备、以及其他媒体（如传输介质、存储介质）等免遭地震、水灾、火灾等自然灾害、以及其他环境事故（如电磁污染等）破坏的措施和过程。

运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全，它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失。

三．计算机信息安全技术

为了保障信息的保密性、完整性、有效性和不可抵赖性而采用的技术措施称为信息安全技术。下面将给予扼要的介绍。 1．身份验证、访问控制和数据加密

（1）身份验证

身份验证是对计算机用户或使用网络的终端用户进行识别的验证，它对于开放环境中的各种信息系统的安全有重要的作用。

身份验证包含识别和验证两个部分，识别是对用户声称的标志进行对比，看是否符合条件；验证是对用户的身份进行验证，其验证的方法有口令、信物及人类生物特征等。

口令验证身份的方法是一种简单而实用的验证方式，因此使用的场合比较多，例如登录授权系统查询信息，通过银行卡取款等都使用口令进行身份验证。但口令验证身份的安全性不够高，一旦口令泄露则任何人都可以假冒。口令可能会通过以下途径受到攻击：在输入口令时被人偷看；被口令破解程序破解；被网络分析工具或其他工具窃听等。

（2）访问控制

访问控制是对信息系统资源的访问范围以及方式进行限制策略。访问控制的目的是决定谁能够访问系统、能访问系统的何种资源以及访问这些资源时所具备的权限。这里的权限是指浏览数据、读取数据，更改数据，运行数据的权限。以保证计算机系统在合法范围内使用。

访问控制有两个重要的过程：

① 通过“鉴别”来检验主体的合法身份；

② 通过“授权”来限制用户对资源的访问级别。 根据实现的技术不同，访问控制可分为以下三种： ① 强制访问控制； ② 自主访问控制；

③ 基于角色的访问控制。

根据应用环境的不同，访问控制主要有以下三种： ① 网络访问控制

② 主机、操作系统访问控制； ③ 应用程序访问控制。 （3）数据加密

随着计算机网络的发展，大量的数据在网上传输，为了保证重要数据在网上传输时不被窃取和篡改，就有必要对传输的数据进行加密。所谓数据加密就是将被传输的数据转换成表面杂乱无章的数据，只有合法的接收者通过“密钥”才能恢复数据的本来面目，而对于非法用户来说，即使窃取数据也无法读懂。我们把没有加密的原始数据叫明文，将加密以后的数据称为密文，把明文向密文的转化称为加密，加密的逆过程叫做解密。

（a）单钥密码体制：传统的加密技术以数据的发送者和接收者使用相同的密钥为基础，加密和解密采用相同的密钥，称为单钥密码体制。发送方用该密钥对发送消息进行加密，而接收方再用相同的密钥对收到的消息进行解密。单钥密码体制的优缺点看p.291。

（b）双钥密码体制

这种技术使用一对密钥，分别称为公开密钥和私有密钥，公开密钥是可以让其他用户知道的，而私有密钥是保密的。数据在传输之前用接收者的公开密钥进行加密，接收者则用自己的私有密钥进行解密。 2．防火墙

防火墙（FireWall）这个名称来源于建筑行业，现在被借用在计算机和网络系统上，是指为了防止被非法访问而设置的“屏障”。放火墙可以通过硬件实现也可以通过软件实现，或者由两者结合而成。目前，防火墙已经成为一种行之有效的网络安全技术。图8-1所示是一个防火墙示意图。

（1）防火墙的概念

防火墙是指一种位于两个或多个网络之间，实施网络之间访问控制的组件的集合。对于普通用户来说，所谓“防火墙”指的是一种被放置在自己的计算机与外界网络之间的防御系统。从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算机的保护功能。

防火墙也是一种将内部网与外部网（即Internet）分开的隔离技术。 （2）防火墙的功能

? 过滤非安全网络访问 具体内容看书p.293 ? 限制网络访问 具体内容看书p.293 ? 网络访问审计

? 防止内部信息的外泄

通过利用放火墙对内部网络的划分，可实现内部网重点网段的隔离，对外网而言被隔离的网段是不可见的。 （3）防火墙的分类

按照防火墙实现的技术的不同可以将防火墙分为以下几种主要类型： （1）过滤型防火墙（看书p.293） （2）代理型防火墙（看书p.293）

（3）检测型防火墙（看书p.293） （4）个人型防火墙（看书p.293）

3．防火墙系统更新与系统还原 （1）系统更新

任何操作系统都会存在或多或少的漏洞。所谓漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而就为病毒或其他攻击提供了条件。Windows操作系统当然也存在着漏洞。为了最大限度地减少最新病毒和其他安全威胁对计算机的攻击，微软公司建立了Windows Update网站，用户通过访问该网站可以免费地获得更新软件包，自动安装后可使自己的计算机系统更安全、更稳定。

如果需要更新系统，可以直接访问Windows Update网站。在Windows访问该网站的途径很多，其中最常用的方法是单击“开始”菜单→“Windows Update”连接到微软的更新站点进行更新。

对于一般的用户更愿意使用Windows提供的“自动更新”服务，“自动更新”的操作方法如下：

① 单击“开始”菜单→“控制面板”→“自动更新”（或者打开控制面板中的“安全中心”，即可找到“自动更新”项），弹出“自动更新”对话框，如书上p.294图所示。

② 选择“自动（推荐）”单选项。 ③ 在“自动下载推荐的更新，并安装它们”对应处，选择希望Windows安装更新的日期和时间（如图中日期为“每天”，时间为3点钟）。

④ 单击“确定”按钮确认设置。 （2）系统还原

在使用计算机过程中，如果计算机系统运行速度受到影响或者出现故障时，用户可使用Windows中的“系统还原”来撤消对计算机有害更改并还原它的设置和性能。系统还原是指利用“系统还原”工具将计算机系统恢复到一个较早时间（称为还原点）的设置，而不会丢失用户最近的工作。

（1）还原点的创建：还原点可由计算机自动创建或用户手动创建。创建手动还原点的操作步骤如下：

① 单击“开始”菜单→“所有程序”→“附件”→“系统工具”→“系统还原”命令，打开“欢迎使用系统还原”对话框，如图8-3所示选择“创建一个还原点”单选钮，单击“下一步”按钮。

② 打开“创建一个还原点”对话框，可在“还原点描述”文本框中输入还原点的描述（如书上p.295图所示），“系统还原”会自动将创建该“还原点”的日期和时间添加到此名称中。

③ 单击“创建”按钮，这时就会创建一个新的还原点。 （2）系统还原设置

如果在系统发生故障之前，用户已经创建了一个还原点，那么，当系统出现故障的时候，用户就可以利用创建“还原点”，将系统还原到原来的某个状态。其操作步骤如下：

① 单击“开始”菜单→“所有程序”→“附件”→“系统工具”→“系统还原”命令，打开“欢迎使用系统还原”窗口。如书上p.296图所示。

② 选择“恢复我的计算机到一个较早的时间”选项，然后单击“下一步”按钮，出现“选择一个还原点”对话框，如图8-5所示。

③ 在该对话框中用户可选择一个还原点，左侧的日历中以黑体显示的日期是所有还原点可用的日期，用户可以单击黑体的日期来选择还原点。

还原点有以下3种类型：它们分别是手动还原点，是指用户自己创建的还原点；系统检查点，是计算机自动创建的计划好的还原点；安装还原点：是指在特定的程序安装时系统自动创建的还原点。

④ 当用户选择一个还原点后，单击“下一步”按钮，打开“确认还原点选择”对话框，确认之前建议先保存并关闭所有打开的程序。用户确认后计算机开始收集关于所选择的还原点的信息，收集完后屏幕将出现一个“系统还原”对话框，显示了正在还原文件的进度。注意，此时不能强行关机。

⑤ 计算机重启以后，单击“确定”按钮，完成系统还原。 “系统还原”不会替代卸载程序的过程。要完全删除某一程序所安装的文件，则必须使用控制面板中的“添加或删除程序”或程序自带的卸载程序来删除程序。

现在来思考一些问题，考试时常出现。

问题1：计算机信息安全属性不包括______。

A．可靠性 B．语义正确性 C．保密性 D．完整性

（看书上如何说的，计算机信息安全有这几个属性，分别是：保密性、完整性、有效性、不可抵赖性（又称不可否认性）。

问题2：下列情况中，破坏了数据的完整性的攻击是______。

A.假冒他人地址发送数据 B.不承认做过信息的递交行为 C.数据在传输中途被篡改 D.数据在传输中途被窃听

（如何定义数据的完整性？完整性是防止对信息的不当删除、修改、伪造、插入等破坏。） 问题3：信息不被偶然或蓄意地删除、修改、伪造、插入等破坏的属性指的是____。

A．保密性 B．可用性 C．完整性 D．可靠性 问题4：下列情况中，破坏数据的保密性的攻击是_______。

A．假冒他人地址发送数据 B．不承认做过信息的递交行为 C．数据在传输中途被篡改 D．数据在传输中途被窃听 （如何定义数据的保密性？保密性是指确保信息不暴露给未经授权的实体） 问题5：通信双方对其收、发过的信息均不可抵赖的特性指的是______。

A.保密性 B.不可抵赖性 C.可用性 D.可靠性