计算机科学概论 第10章 计算机信息系统安全.ppt

第第1010章章 计算机信息系统安全计算机信息系统安全计算机科学概论教 学 目 的理解安全问题的根源和网络信息安全面临的威胁；理解安全问题的根源和网络信息安全面临的威胁；描述网络攻击的常见形式；描述网络攻击的常见形式；理解并掌握计算机信息系统安全的目标、安全服务和安全机制，理解并掌握计算机信息系统安全的目标、安全服务和安全机制，还有安全策略；还有安全策略；理解密钥、对称与非对称密码算法、编码等密码学基础，还有理解密钥、对称与非对称密码算法、编码等密码学基础，还有加解密技术；加解密技术；描述计算机病毒的破坏行为、特征和分类；描述计算机病毒的破坏行为、特征和分类；理解计算机病毒的结构模式和工作机理；理解计算机病毒的结构模式和工作机理；理解并掌握计算机病毒防治的一般方法；理解并掌握计算机病毒防治的一般方法；描述并理解防火墙的基本概念和工作原理；描述并理解防火墙的基本概念和工作原理；描述并理解入侵检测系统的工作原理、分类和结构，及其发展描述并理解入侵检测系统的工作原理、分类和结构，及其发展趋势。趋势。1计算机信计算机信息系统安息系统安全概述全概述 2数据加密数据加密3计算机计算机病毒病毒防火墙和防火墙和入侵检测入侵检测4教教 学学 内内 容容学学 习习 重重 点点计算机信息系统安全面临的威胁计算机信息系统安全面临的威胁网络攻击的常见形式网络攻击的常见形式数据加密的方法数据加密的方法计算机病毒的机理和防治计算机病毒的机理和防治防火墙技术和入侵检测防火墙技术和入侵检测第一节第一节 计算机信息系统安全概述计算机信息系统安全概述1 计算机信息系统安全概述计算机信息系统安全就是实现计算机信息网络系统的正常计算机信息系统安全就是实现计算机信息网络系统的正常运行，确保信息在产生、传输、使用、存储等过程中保密、运行，确保信息在产生、传输、使用、存储等过程中保密、完整、可用、真实和可控。信息安全保障的战略方针是积完整、可用、真实和可控。信息安全保障的战略方针是积极防御、综合防范，积极应对信息安全面临的威胁，努力极防御、综合防范，积极应对信息安全面临的威胁，努力使遭受损害程度最小化，所需恢复时间最短化。使遭受损害程度最小化，所需恢复时间最短化。1.1 1.1 安全威胁安全威胁 1.信息系统安全领域存在的挑战信息系统安全领域存在的挑战 (1)(1)系统太脆弱，太容易受攻击；系统太脆弱，太容易受攻击；(2)(2)被攻击时很难及时发现和制止；被攻击时很难及时发现和制止；(3)(3)有组织有计划的入侵无论在数量上还是在质量有组织有计划的入侵无论在数量上还是在质量 上都呈现快速增长趋势；上都呈现快速增长趋势；(4)(4)在规模和复杂程度上不断扩展网络而很少考虑在规模和复杂程度上不断扩展网络而很少考虑 其安全状况的变化情况；其安全状况的变化情况；(5)(5)因信息系统安全导致的巨大损失并没有得到充因信息系统安全导致的巨大损失并没有得到充 分重视，而有组织的犯罪、情报和恐怖组织却分重视，而有组织的犯罪、情报和恐怖组织却 深谙这种破坏的威力。深谙这种破坏的威力。1 计算机信息系统安全概述2.2.计算机网络存在的六大问题计算机网络存在的六大问题:无主管的自由王国无主管的自由王国 （有害信息、非法联络、违规行为）（有害信息、非法联络、违规行为）不设防的网络空间不设防的网络空间 （国家安全、企业利益、个人隐私）（国家安全、企业利益、个人隐私）法律约束脆弱法律约束脆弱 （黑客犯罪、知识侵权、避税）（黑客犯罪、知识侵权、避税）跨国协调困难跨国协调困难 （过境信息控制、跨国黑客打击、关税）（过境信息控制、跨国黑客打击、关税）民族化和国际化的冲突民族化和国际化的冲突 （文化传统、价值观、语言文字）（文化传统、价值观、语言文字）网络资源紧缺（网络资源紧缺（IPIP地址、域名、带宽）地址、域名、带宽）1 计算机信息系统安全概述文化安全文化安全信息安全信息安全系统安全系统安全物理安全物理安全计算机系统信息安全涉及哪些因素计算机系统信息安全涉及哪些因素?1 计算机信息系统安全概述计算机的安全涉及的因素计算机的安全涉及的因素系统安全系统安全系统安全系统安全信息安全信息安全信息安全信息安全文文化化安安全全物理安全物理安全物理安全物理安全又称实体安全又称实体安全又称运行安全又称运行安全又称数据安全又称数据安全又称内容安全又称内容安全1 计算机信息系统安全概述几种典型的安全威胁几种典型的安全威胁1 计算机信息系统安全概述 1.2 1.2 安全目标安全目标保护计算机和网络系统中的资源免受破坏、窃取和丢失保护计算机和网络系统中的资源免受破坏、窃取和丢失计算机；计算机；网络设备；网络设备；存储介质；存储介质；软件和程序；软件和程序；各种数据；各种数据；数据库；数据库；通信资源：信道、端口、带宽通信资源：信道、端口、带宽 ；。归根结底，其最终目标是保护信息的安全。归根结底，其最终目标是保护信息的安全。各种安全技术都围绕着信息安全的核心。各种安全技术都围绕着信息安全的核心。1 计算机信息系统安全概述保密性保密性 (Confidentiality)(Confidentiality)信息不泄露给非授权用户信息不泄露给非授权用户/实体实体/过程，不被非法利用。过程，不被非法利用。完整性完整性 (Integrity)(Integrity)数据未经授权不能进行改变的特性，即信息在存储或传输过程中数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失。保持不被修改、不被破坏和丢失。可用性可用性 (Availability)(Availability)可被授权实体访问并按需求使用的特性，即当需要时总能够存取可被授权实体访问并按需求使用的特性，即当需要时总能够存取所需的信息。所需的信息。网络环境下，拒绝服务、破坏网络和有关系统的正常运行等网络环境下，拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。都属于对可用性的攻击。可控性可控性 (Controllability)(Controllability)对信息的传播及内容具有控制能力。对信息的传播及内容具有控制能力。不可否认性（抗否性不可否认性（抗否性 non-repudiationnon-repudiation）发送者不能否认其发送的信息。发送者不能否认其发送的信息。1 计算机信息系统安全概述 信息系统安全评估标准信息系统安全评估标准信息技术安全评估准则发展过程信息技术安全评估准则发展过程 可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）可信网络解释可信网络解释（TNI）通用准则通用准则CC 计算机信息系统安全保护等级划分准计算机信息系统安全保护等级划分准则则 信息安全保证技术框架信息安全保证技术框架 信息系统安全保护等级应用指南信息系统安全保护等级应用指南1 计算机信息系统安全概述1.3 1.3 安全服务安全服务ISO 7498-2ISO 7498-2中的安全服务中的安全服务 五大类可选的安全服务：五大类可选的安全服务：鉴别（鉴别（AuthenticationAuthentication）包括对等实体鉴别和数据源鉴别；包括对等实体鉴别和数据源鉴别；访问控制（访问控制（Access ControlAccess Control）；）；数据保密（数据保密（Data ConfidentialityData Confidentiality）；）；数据完整性（数据完整性（Data IntegrityData Integrity）；）；不可否认（不可否认（Non-RepudiationNon-Repudiation）。）。1 计算机信息系统安全概述安全服务的实施位置安全服务的实施位置1 计算机信息系统安全概述1.4 1.4 安全机制安全机制ISO 7498-2中的八类安全机制中的八类安全机制q加密机制（加密机制（Encryption Encryption）；）；q数字签名机制（数字签名机制（Digital Signature MechanismsDigital Signature Mechanisms）；）；q访问控制机制（访问控制机制（Access Control MechanismsAccess Control Mechanisms）；）；q数据完整性机制（数据完整性机制（Data Integrity MechanismsData Integrity Mechanisms）；）；q鉴别交换机制（鉴别交换机制（Authentication Mechanisms Authentication Mechanisms）；）；q通信业务填充机制（通信业务填充机制（Traffic Padding MechanismsTraffic Padding Mechanisms）；）；q路由控制机制（路由控制机制（Routing Control MechanismsRouting Control Mechanisms）；）；q公证机制（公证机制（Notarization MechanismsNotarization Mechanisms）。）。1 计算机信息系统安全概述安全服务与安全机制的关系安全服务与安全机制的关系 机制机制服务服务机密性机密性完整性完整性鉴别鉴别访问控制访问控制不可否认不可否认加密加密YYY-数字签名数字签名-YY-Y访问控制访问控制-Y-数据完整性数据完整性-Y-Y鉴别鉴别-Y-业务填充业务填充Y-路由控制路由控制Y-公证公证-Y1 计算机信息系统安全概述1.5 1.5 安全策略安全策略安全策略是指在一个特定的环境中，为保证提供一定级别的安全保安全策略是指在一个特定的环境中，为保证提供一定级别的安全保护所必须遵守的规则。护所必须遵守的规则。系统安全策略将决定采用何种方式和手段来保证安全。系统安全策略将决定采用何种方式和手段来保证安全。一些具体策略：一些具体策略：采用什么样的安全保障体系；采用什么样的安全保障体系；确定网络资源的职责划分；确定网络资源的职责划分；制定使用规则；制定使用规则；制定日常维护规程；制定日常维护规程；确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。1 计算机信息系统安全概述两个重要部分两个重要部分：先进的技术先进的技术严格的管理严格的管理安全策略内容：安全策略内容：程序策略、信息程序策略、信息/资源分级策略、标准访问定义策略、密资源分级策略、标准访问定义策略、密码管理策略、码管理策略、InternetInternet使用策略、网络安全策略、远程访使用策略、网络安全策略、远程访问策略、桌面策略、服务器平台策略、应用程序安全策略问策略、桌面策略、服务器平台策略、应用程序安全策略等。等。1 计算机信息系统安全概述第二节第二节 数据加密数据加密2 2 数据加密数据加密保证信息安全的一个非常重要的手段就是数据加密技术，保证信息安全的一个非常重要的手段就是数据加密技术，它的思想核心就是既然计算机信息系统本身并不安全可靠，它的思想核心就是既然计算机信息系统本身并不安全可靠，那么所有重要信息就全部通过加密处理。那么所有重要信息就全部通过加密处理。2.1 2.1 密码学基础密码学基础1.密码学相关概念密码学相关概念密码学密码学(Cryptology)：是研究密码编制、密码破译和密码系统设是研究密码编制、密码破译和密码系统设计的的一门综合性科学，其包括密码编码学和密码分析学。计的的一门综合性科学，其包括密码编码学和密码分析学。密码编码学密码编码学(Cryptography)：主要研究对信息进行编码主要研究对信息进行编码,实现对实现对信息的隐蔽。信息的隐蔽。密码分析学密码分析学(Cryptanalytics)：主要研究加密消息的破译或消息主要研究加密消息的破译或消息的伪造。的伪造。2 数据加密数据加密编码学研究的主要内容：编码学研究的主要内容：序列密码序列密码算法的编码技术算法的编码技术分组密码分组密码算法的编码技术算法的编码技术公钥密码公钥密码体制的编码技术体制的编码技术 加密算法、加密算法、数字签名方案、数字签名方案、密钥分配方案密钥分配方案 认证方案认证方案 单向函数等单向函数等 传统且主流的研传统且主流的研究方向究方向2 数据加密数据加密密码分析学研究的主要内容密码分析学研究的主要内容（1）密码算法密码算法的安全性分析和破译的理论、方法、技术和实践的安全性分析和破译的理论、方法、技术和实践（2）密码协议密码协议的安全性分析的理论与方法的安全性分析的理论与方法（3）安全保密系统安全保密系统的安全性分析和攻击的理论、方法、技术和实践的安全性分析和攻击的理论、方法、技术和实践2 数据加密数据加密密码学是干什么的密码学是干什么的?密码学要解决的基本问题密码学要解决的基本问题:(1)信息的保密传输和存储问题信息的保密传输和存储问题;(2)信息的认证问题信息的认证问题.例例例例:我收到你写给我我收到你写给我我收到你写给我我收到你写给我1 1封信封信封信封信,那末我问那末我问那末我问那末我问:-信的内容是否被改动信的内容是否被改动信的内容是否被改动信的内容是否被改动?-是否真是你写的信是否真是你写的信是否真是你写的信是否真是你写的信?-是否真是写给我信是否真是写给我信是否真是写给我信是否真是写给我信?-有没有人看过这封信？有没有人看过这封信？有没有人看过这封信？有没有人看过这封信？2 数据加密数据加密密码学能够解决的问题密码学能够解决的问题1.信息系统的安全与保密问题；信息系统的安全与保密问题；2.电子商务、电子政务中的安全和保密问题；电子商务、电子政务中的安全和保密问题；3.银行系统、证券系统、保险系统等的安全问题；银行系统、证券系统、保险系统等的安全问题；4.商品、票据、信用卡等的防伪与审核问题。商品、票据、信用卡等的防伪与审核问题。2 数据加密数据加密2 数据加密数据加密明文：明文：被隐蔽的消息称作明文，通常用被隐蔽的消息称作明文，通常用m表示。其英文为表示。其英文为Message和和Plaintext 明文就是没有被加密的消息明文就是没有被加密的消息.密文：密文：将明文隐蔽后的结果称作密文或密报，通常用将明文隐蔽后的结果称作密文或密报，通常用c表示。其英文表示。其英文为为Ciphertext 密文就是加密后的结果密文就是加密后的结果.加密（加密（Encryption）：）：将明文变换成密文的过程称作加密，该过将明文变换成密文的过程称作加密，该过程表示为程表示为脱密（脱密（Decryption）：）：由密文由密文恢复恢复出明文的过程称作脱密出明文的过程称作脱密,该过该过程表示为程表示为密钥密钥(key)：控制或参与控制或参与密码变换的密码变换的可变可变参数称为密钥。参数称为密钥。密钥又密钥又分为分为加密密钥加密密钥和和脱密密钥脱密密钥。加密密钥是加密密钥是加密加密时用的密钥时用的密钥;脱密密钥是脱密密钥是脱密脱密时用的密钥时用的密钥;2 数据加密数据加密2 2 传统密码传统密码 密码学还不是科学密码学还不是科学,而是艺术而是艺术 出现一些密码算法和加密设备出现一些密码算法和加密设备 密码算法的基本手段密码算法的基本手段出现出现，针对的是字符，针对的是字符 简单的密码分析手段出现简单的密码分析手段出现 主要特点：数据的安全基于算法的保密主要特点：数据的安全基于算法的保密2 数据加密数据加密两类基本编码技术两类基本编码技术两类基本编码技术两类基本编码技术(1)(1)(1)(1)代替密码代替密码代替密码代替密码 利用预先设计的利用预先设计的利用预先设计的利用预先设计的代替规则代替规则代替规则代替规则,对明文对明文对明文对明文逐逐逐逐字符字符字符字符或或或或逐逐逐逐字符组字符组字符组字符组进行代替的密码进行代替的密码进行代替的密码进行代替的密码.分为分为分为分为单表代替单表代替单表代替单表代替和和和和多表代替多表代替多表代替多表代替两种两种两种两种(2)(2)(2)(2)移位密码移位密码移位密码移位密码 对各对各对各对各字符字符字符字符或或或或字符组字符组字符组字符组进行进行进行进行位置移动位置移动位置移动位置移动的密码的密码的密码的密码.2 2 数据加密数据加密1 1、单表代替密码：、单表代替密码：利用预先设计的利用预先设计的固定固定代替规则代替规则,对明文对明文逐逐字符字符或或逐逐字符组字符组进行代替的密码进行代替的密码.字符组称为一个代替单位字符组称为一个代替单位.这里这里代替规则代替规则又称为又称为代替函数代替函数、代替表代替表或或S S盒。盒。它它的的固定性固定性是指这个代替规则与是指这个代替规则与密钥因素密钥因素和被加密的和被加密的明文字符的明文字符的序号序号无关。无关。即即相同的相同的明文字符组产生明文字符组产生相同的相同的密文字符组密文字符组.2 2 数据加密数据加密 例例1:1:汉字和符号的区位码汉字和符号的区位码(单表代替单表代替)22112211227722772 2 数据加密数据加密 例例例例2:2:2:2:标准字头密码标准字头密码标准字头密码标准字头密码(又称密钥字密码又称密钥字密码又称密钥字密码又称密钥字密码)这是一种对这是一种对英文字母英文字母的典型逐字母加密的密码的典型逐字母加密的密码,它利用一个它利用一个密钥字密钥字来构造代替表。来构造代替表。如如:若选择cipher作为密钥字,则对应代替表为:明文明文 A B C D E F G H I J K L M N O P A B C D E F G H I J K L M N O P 密文密文 C I P H E RC I P H E R A B D F G J K L M N A B D F G J K L M N 2 2 数据加密数据加密例例3 3：加密变换为加密变换为:2、多表代替密码、多表代替密码 根据密钥的指示，来选择加密时使用的单表的方法，根据密钥的指示，来选择加密时使用的单表的方法，称为称为多表代替多表代替密码。密码。但但 k 不再是固定常数而是密钥。不再是固定常数而是密钥。加密算法：加密算法：明明 文：文：晨晨 五五 点点 总总 攻攻明文序列：明文序列：1931 4669 2167 5560 1505密钥序列：密钥序列：4321 5378 4322 3109 11074321 5378 4322 3109 1107密文序列：密文序列：5252 9937 6489 8669 26025252 9937 6489 8669 2602若密钥序列是随机的若密钥序列是随机的,该密码就是该密码就是绝对安全绝对安全的的.随机随机就是指序列的信号相互就是指序列的信号相互独立独立且且等概等概分布分布.2 2 数据加密数据加密代替密码的安全性分析代替密码的安全性分析 1.1.单表代替的优缺点单表代替的优缺点 优点优点:明文字符的形态一般将面目全非明文字符的形态一般将面目全非 缺点缺点:(A)明文的位置不变明文的位置不变;(B)明文字符明文字符相同相同,则则密文字符密文字符也相同也相同;从而导致从而导致:(I)若明文字符若明文字符e被加密成密文字符被加密成密文字符a,则明文中则明文中e的出现次数就是密文的出现次数就是密文中字符中字符a的出现次数的出现次数;(II)明文的跟随关系反映在密文之中明文的跟随关系反映在密文之中.因此因此,明文字符的统计规律就完全暴露在密文字符的统计规律之中明文字符的统计规律就完全暴露在密文字符的统计规律之中.形态变但位置不变形态变但位置不变2 2 数据加密数据加密2.2.多表代替的优缺点多表代替的优缺点 优点优点:只要只要 (1)多表设计合理多表设计合理,即每行中元互不相同即每行中元互不相同,每列中元互不相同每列中元互不相同.(这样的这样的表称为拉丁方表表称为拉丁方表)(2)密钥序列是随机序列密钥序列是随机序列，即具有等概性和独立性。这个多表代替就，即具有等概性和独立性。这个多表代替就是完全保密的。是完全保密的。等概性等概性:各位置的字符取可能字符的概率相同；各位置的字符取可能字符的概率相同；独立性：独立性：在其它所有字符都知道时，也判断不出未知的字符取哪个的在其它所有字符都知道时，也判断不出未知的字符取哪个的概率更大。概率更大。缺点：缺点：周期较短时可以实现唯密文攻击。周期较短时可以实现唯密文攻击。解决方案：解决方案：密钥序列有少量真随机的数按固定的算法生成，只要它密钥序列有少量真随机的数按固定的算法生成，只要它很像随机序列即可。这种序列称为伪随机序列。很像随机序列即可。这种序列称为伪随机序列。2 2 数据加密数据加密移移 位位 密密 码码 对明文字符或字符组的进行对明文字符或字符组的进行位置移动位置移动的密码的密码 例例：设：设明文明文为：为：解放军电子技术学院解放军电子技术学院 移位方式：移位方式：S9=2,5,7,3,4,8,9,1,6 即即:第第 i 个密文汉字就是第个密文汉字就是第S i个明文汉字个明文汉字.则则密文密文为为放子术军电学院解技放子术军电学院解技移位也是现代密码中必用的一种编码技术移位也是现代密码中必用的一种编码技术 2 2 数据加密数据加密移位密码的安全性分析移位密码的安全性分析 优点优点:明文字符的位置发生变化明文字符的位置发生变化;缺点缺点:(A)明文字符的形态不变明文字符的形态不变;从而导致从而导致:密文字符密文字符e的出现频次的出现频次也是明文字符也是明文字符e的出现次数的出现次数;有时直接可破有时直接可破!(如密文字母全相同如密文字母全相同)目前也有现成的破译方法目前也有现成的破译方法.移位密码优缺点总结移位密码优缺点总结:位置变位置变但但形态不变形态不变.代替密码优缺点总结代替密码优缺点总结:形态变形态变但但位置不变位置不变.2 2 数据加密数据加密3.3.密码体制的概念密码体制的概念:一个密码体制一个密码体制(Cryptosystem)由由四四部分组成：部分组成：(1)明文空间明文空间M;-所有可能的明文构成的集合所有可能的明文构成的集合 (2)密文空间密文空间C;-所有可能的密文构成的集合所有可能的密文构成的集合 (3)密钥空间密钥空间 -所有所有可用的密钥构成的集合密钥构成的集合 -又包括又包括加密密钥和和脱密密钥 (4)密码算法。密码算法。包括加密算法和脱密算法包括加密算法和脱密算法.00011011F0F100112 数据加密数据加密-从加密函数的角度理解密码体制的概念从加密函数的角度理解密码体制的概念-加密函数加密函数:将明文将明文m加密为密文加密为密文c,即即其其(1)定义域是明文空间定义域是明文空间M;(2)值域是密文空间值域是密文空间C;(3)加密函数就是加密算法加密函数就是加密算法;(4)控制控制参数参数 就是加密密钥就是加密密钥 2 数据加密数据加密-针对脱密函数分析针对脱密函数分析-脱密函数脱密函数:将密文将密文c 脱脱密为密为明文明文m,即即 其其(1)定义域是密文空间定义域是密文空间C;(2)值域是明文空间值域是明文空间M;(3)脱密函数就是脱密算法脱密函数就是脱密算法;(4)控制控制参数参数 就是脱密密钥就是脱密密钥.2 数据加密数据加密(1)加、脱密密钥加、脱密密钥 与与 成对使用成对使用;(2)加加密密函函数数 与与 脱脱密密函函数数互互为为逆逆函函数数，即对所有明文即对所有明文m，都有都有 一个密文只能有一个脱密结果一个密文只能有一个脱密结果!mcDmEDdedkkk=)()(2 数据加密数据加密2 数据加密数据加密2.2 2.2 加密技术加密技术对称密码算法（对称密码算法（symmetric cipher)加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个，又称秘加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个，又称秘密密钥算法或单密钥算法密密钥算法或单密钥算法非对称密钥算法（非对称密钥算法（asymmetric cipher)加密密钥和解密密钥不相同，从一个很难推出另一个加密密钥和解密密钥不相同，从一个很难推出另一个 又称公开密钥算法（又称公开密钥算法（public-key cipher)。公开密钥算法用一个密钥进行加密公开密钥算法用一个密钥进行加密,而用另一个进行解密其中的而用另一个进行解密其中的 加密密钥可加密密钥可以公开以公开,又称公开密钥（又称公开密钥（public key)，简称公钥。解密密钥必须保密简称公钥。解密密钥必须保密,又称私又称私人密钥人密钥 （private key)私钥，简称私钥私钥，简称私钥2.3 2.3 解密解密单密文型单密文型单明文，单密文型单明文，单密文型多明文，单密文多明文，单密文 单明文，多密文单明文，多密文 2 数据加密数据加密第三节第三节 计算机病毒计算机病毒3 计算机病毒3.1 3.1 计算机病毒概论计算机病毒概论计算机病毒计算机病毒，是指编制或者在计算机程序中插入的破坏计算机，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。算机指令或者程序代码。计算机病毒的概念计算机病毒的概念是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。程序。与生物医学上的与生物医学上的“病毒病毒”同样有传染和破坏的特性。同样有传染和破坏的特性。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。为计算机病毒。3 计算机病毒计算机病毒的定义计算机病毒的定义1994年年2月月18日，我国正式颁布实施了日，我国正式颁布实施了中华人民共和国计算机信息中华人民共和国计算机信息系统安全保护条例系统安全保护条例，在，在条例条例第二十八条中明确指出：第二十八条中明确指出：“计算机计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。码。”3 计算机病毒1.计算机病毒的行为计算机病毒的行为攻击文件、使系统操作和运行速度下降、扰乱键盘操作、浪费（消耗）攻击文件、使系统操作和运行速度下降、扰乱键盘操作、浪费（消耗）系统资源、干扰打印机的正常工作、攻击系统资源、干扰打印机的正常工作、攻击Boot、系统中断向量、系统中断向量、FAT、硬盘的主引导区和目录区、侵占和删除存储空间、改动系统配置，攻硬盘的主引导区和目录区、侵占和删除存储空间、改动系统配置，攻击击CMOS、格式化整个磁盘，格式化部分磁道和扇区、干扰、改动屏、格式化整个磁盘，格式化部分磁道和扇区、干扰、改动屏幕的正常显示、攻击内存、攻击邮件、阻塞网络、盗版、泄露军事信幕的正常显示、攻击内存、攻击邮件、阻塞网络、盗版、泄露军事信息等。息等。3 计算机病毒2.计算机病毒的特征计算机病毒的特征可执行性可执行性传染性与传播性传染性与传播性破坏性破坏性欺骗性欺骗性隐蔽性和潜伏性隐蔽性和潜伏性针对性针对性可触发性可触发性3 计算机病毒3.计算机病毒的种类计算机病毒的种类 依据不同的分类标准，计算机病毒可以做不同的归类。依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：常见的分类标准有：1.根据病毒依附的操作系统根据病毒依附的操作系统2.根据病毒的攻击方式根据病毒的攻击方式3.根据病毒的破坏情况根据病毒的破坏情况4.根据病毒的传播媒介根据病毒的传播媒介3 计算机病毒Microsoft DOSMicrosoft Windows 95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)其他操作系统其他操作系统病毒攻击的操作系统病毒攻击的操作系统3 计算机病毒病毒的传播媒介存储介质存储介质网络网络1.邮件邮件(SoBig)2.网页网页(RedLof)3.局域网局域网(Funlove)4.远程攻击远程攻击(Blaster)5.网络下载网络下载病毒网络传播方式图例(数据来源于瑞星病毒样本库)邮件邮件47%47%局域网局域网9%9%远程攻远程攻击击4%4%网页网页40%邮件网页局域网远程攻击3 计算机病毒病毒的传播和感染对象病毒的传播和感染对象感染引导区感染引导区感染文件感染文件1.可执行文件可执行文件2.OFFICE宏宏3.网页脚本网页脚本网络蠕虫网络蠕虫网络木马网络木马破坏程序破坏程序其他恶意程序其他恶意程序3 计算机病毒3.2 3.2 计算机病毒的作用机理计算机病毒的作用机理1.结构模式结构模式3 计算机病毒2.工作机理工作机理（1）病毒的引导机理）病毒的引导机理（2）病毒的传染机理）病毒的传染机理（3）病毒的破坏表现机理）病毒的破坏表现机理3 计算机病毒攻击者攻击者攻击者攻击者运行运行运行运行ServServ-U-U服务的主机服务的主机服务的主机服务的主机攻击者发送畸形超长网络数据包攻击者发送畸形超长网络数据包攻击者发送畸形超长网络数据包攻击者发送畸形超长网络数据包在目标主机上运行恶意代码在目标主机上运行恶意代码在目标主机上运行恶意代码在目标主机上运行恶意代码从网络中某个服务器上下载运行木马从网络中某个服务器上下载运行木马从网络中某个服务器上下载运行木马从网络中某个服务器上下载运行木马网络中的某网络中的某网络中的某网络中的某个服务器个服务器个服务器个服务器利用利用ServServ-U-U程序植入木马的示意图程序植入木马的示意图3.3 3.3 计算机病毒的防治计算机病毒的防治 1.查杀病毒查杀病毒检测原理检测原理病毒扫描程序病毒扫描程序完整性检查程序完整性检查程序行为封锁软件行为封锁软件3 计算机病毒2.染病毒后的恢复染病毒后的恢复修复感染的程序文件最有效的途径是用未感染的备份代替它修复感染的程序文件最有效的途径是用未感染的备份代替它如果得不到备份，就使用反病毒修复感染的可执行程序，反病如果得不到备份，就使用反病毒修复感染的可执行程序，反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。3 计算机病毒第四节第四节 防火墙与入侵检测防火墙与入侵检测4 防火墙与入侵检测信息安全门户是信息安全门户是访问控制访问控制与与防火墙技术防火墙技术。访问控制技术过。访问控制技术过去主要用于单机状态，而防火墙技术则是用于网络安全的去主要用于单机状态，而防火墙技术则是用于网络安全的关键技术。要实现系统全面防护，还必须建立一种网络防关键技术。要实现系统全面防护，还必须建立一种网络防火墙的逻辑补偿技术，即入侵检测技术。该技术把系统安火墙的逻辑补偿技术，即入侵检测技术。该技术把系统安全管理能力扩展到安全检测、入侵识别、安全审计等范畴。全管理能力扩展到安全检测、入侵识别、安全审计等范畴。4.1 4.1 防火墙防火墙 1.防火墙的概念防火墙的概念防防火火墙墙（FirewallFirewall）既既可可以以指指运运行行在在路路由由器器或或服服务务器器上上的的程程序序，也可以指特定的、独立的网络硬件。也可以指特定的、独立的网络硬件。防防火火墙墙的的名名字字形形象象地地体体现现了了它它的的功功能能，防防火火墙墙则则被被安安装装在在受受保保护护的的内内部部网网络络与与外外部部网网络络的的连连接接点点上上，负负责责监监测测过过往往的的数数据据，将将不不利利网网络络安安全全的的数数据据阻阻拦拦下下来来，允允许许合合法法的的数数据据通通过过。其其结结构如下图所示。构如下图所示。4 防火墙与入侵检测防火墙连接内部与外部网络防火墙连接内部与外部网络 4 防火墙与入侵检测 2.工作原理工作原理 （1 1）包过滤型）包过滤型 包过滤包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，防火墙一般在路由器上实现，用以过滤用户定义的内容，如如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。与应用层无关。4 防火墙与入侵检测 （2）应用网关型）应用网关型 应用网关应用网关防火墙检查所有应用层的信息包，并将检查的内容信息防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。4 防火墙与入侵检测 （3）代理型）代理型 代理型代理型防火墙也可以被称为代理服务器，它的安全性要高于包过防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。器之间，完全阻挡了二者间的数据交流。（4）状态检测型）状态检测型 状态检测状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。4 防火墙与入侵检测4.2 4.2 入侵检测入侵检测 1.入侵检测定义入侵检测定义入侵检测是对网络系统的运行状态进行监视，发现各种攻击企图、攻入侵检测是对网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。4 防火墙与入侵检测2.入侵检测系统的工作原理入侵检测系统的工作原理入侵检测是指从计算机网络系统中的若干关键点收集信息，并分入侵检测是指从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到攻击析这些信息，检查网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测在不影响网络性能的情况下对网络进行监测，的迹象。入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统的基本结构如下图入侵检测系统的基本结构如下图 所示：所示：4 防火墙与入侵检测3.通用入侵检测模型通用入侵检测模型行为特征模块行为特征模块规则规则模块模块检查引擎检查引擎事件事件发生器发生器修改记录状态创建异常记录审记应用日志网络包更新行为特征更新规则时钟时钟4 防火墙与入侵检测4.入侵监测系统分类入侵监测系统分类按照数据来源的不同，可以将入侵检测系统分：按照数据来源的不同，可以将入侵检测系统分：基于主机基于主机 基于网络基于网络 混合型混合型根据数据分析方法（也就是检测方法）的不同，可以将入根据数据分析方法（也就是检测方法）的不同，可以将入侵检测系统分：侵检测系统分：异常检测模型异常检测模型 误用检测模型误用检测模型4 防火墙与入侵检测5.入侵监测系统的结构入侵监测系统的结构基于主机基于主机4 防火墙与入侵检测基于网络基于网络4 防火墙与入侵检测基于分布式系统的入侵检测系统基于分布式系统的入侵检测系统传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。在这种背景下，产生因此，必须发展大规模的分布式入侵检测技术。在这种背景下，产生了基于分布式的入侵检测系统。了基