-
1 学习内容
-
2 课件
-
3 视频
-
4 科技前沿
-
5 练习
9.2 计算机信息系统的安全
1.信息系统安全的基本知识
信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭到占用、破坏、更改、泄露,系统连续、可靠正常地运行,系统服务不中断。
信息系统安全的目标:保密性、完整性、可用性、可控性、不可抵赖性、可存活性、真实性、实用性和占有性。
信息系统安全的内容:
l 实体安全,计算机及其相关设备设施的环境安全、设备安全和媒体安全。
l 运行安全,为保障系统功能的安全实现,提供一套安全措施(风险分析、审计跟踪、备份恢复、应急)来保护信息处理过程的安全。
l 信息安全,操作系统、数据、网络安全,病毒防护,访问控制,加密与鉴别。
信息系统安全威胁来自方方面面,如计算机病毒、黑客入侵与攻击、人为操作失误、自然灾害、信息泄露、信息完整性被破坏、非法使用、拒绝服务、窃听、假冒、授权侵犯、抵赖、业务流被分析、旁路控制、信息安全法律法规不完善等不胜枚举。
2.计算机犯罪
所谓计算机犯罪,就是在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统,对国家、团体或个人造成危害,依据法律规定,应当予以刑罚处罚的行为。计算机犯罪分为三大类:
l 以计算机为犯罪对象的犯罪,如行为人针对个人电脑或网络发动攻击,这些攻击包括“非法访问存储在目标计算机或网络上的信息,或非法破坏这些信息;窃取他人的电子身份等”。
l 以计算机作为攻击主体的犯罪,如当计算机是犯罪现场、财产损失的源头、原因或特定形式时,常见的有黑客、特洛伊木马、蠕虫、传播病毒和逻辑炸弹等。
l 以计算机作为犯罪工具的传统犯罪,如使用计算机系统盗窃他人信用卡信息,或者通过连接互联网的计算机存储、传播淫秽物品、传播儿童色情等传播病毒也属于计算机犯罪包括两个方面:利用计算机实施的犯罪行为和以计算机资产作为攻击对象的犯罪行为。
黑客:在未经许可的情况下通过技术手段登录到他人的网络服务器或者用户计算机,并对网络进行一些未经授权的操作,泛指专门利用计算机搞破坏或恶作剧的人。
黑客的观点:所有信息都应该免费共享;信息无国界,任何人都可以任何时间、地点获取他认为有必要了解的信息;通往计算机的路不止一条;打破计算机集权;反对国家和部门对信息的垄断和封锁。
黑客网络行为的表现:恶作剧型、隐蔽攻击型、定时炸弹型、制造矛盾型、职业杀手型、窃密高手型、业余爱好型。
为降低被黑客攻击的风险,要注意以下几点:提高安全意识,不打开来历不明的邮件;使用防火墙;不暴露自己的IP地址;安装杀毒软件并及时升级病毒库;做好数据备份。
计算机犯罪的特点:犯罪智能化、犯罪手段隐蔽、跨国性、犯罪目的多样化犯罪分子低龄化、犯罪后果严重。
计算机犯罪手段:
l 数据欺骗。非法篡改数据或输人假数据。
l 特洛伊木马术。非法装入秘密指令或程序,由计算机执行犯罪活动。
l 香肠术。利用计算机从金融银行信息系统上一点一点地窃取存款,如窃取各户头上的利息尾数,这种方法就像吃香肠一样,每次偷吃一小片,积少成多。
l 逻辑炸弹。输入犯罪指令,以便在指定的时间或条件下抹除数据文件,或者破坏系统功能。
l 线路截收。从系统通信线路上截取信息。
l 陷阱术。利用程序中用于调试、修改或增加程序功能而特设的断点插入犯罪指令,或在硬件中相应的地方增设某种供犯罪用的装置。总之是利用软件和硬件的某些断点或接口插入犯罪指令或装置。
l 寄生术。用某种方式紧跟授有特权的用户打入系统,或者在系统中装入“寄生虫”。
l 超级冲杀。用共享程序突破系统防护,进行非法存取或破坏数据及系统功能。
l 异步攻击。将犯罪指令掺杂在正常作业程序中以获取数据文件。
l 废品利用。从废弃的资料、磁带、磁盘中提取有用的信息或可供进一步进行犯罪活动的密码等。
l 截获电磁波辐射信息。用必要的接收设备接收计算机设备和通信线路辐射出来的信息。
l 计算机病毒。将具有破坏系统功能和系统服务与破坏或抹除数据文件的病毒程序装入系统某个功能程序中,让系统在运行期间将病毒程序自动拷贝给其他系统,使其像传染性病毒一样四处蔓延。
l 伪造证件。如伪造他人的信用卡、磁卡、存折等。
3.信息安全技术
密码技术
密码技术是信息安全与保密的核心和关键。
密码学包含两个分支:密码编码学和密码分析学。
密码技术的儿个概念:
l 明文:发送方要发送的消息。
l 密文:明文被变换成看似无意义的随机消息。
l 加密:由明文到密文的变换过程。
l 解密:由合法接收者从密文恢复出明文的过程;破译:由非法接收者从密文分析出明文的过程。
l 单钥或对称密码体制:所用的加密密钥和解密密钥相同,或从一个密钥可以推出另一个密钥。优点:加密、解密速度快;缺点:密钥管理难,无法解决确认问题,缺乏自动检测密钥泄露能力。
l 双钥或非对称密码体制:加密密钥和解密密钥不同,从一个密钥很难推出另一个密钥。优点:只需保密解密密钥,不存在密钥管理问题,可以拥有数字签名功能;缺点:算法复杂,加密、解密速度慢。
数据加密标准(DES)是迄今为止世界上最为广泛使用和流行的分组密码算法,是一种单钥密码算法。最著名的公钥密码算法(RSA)是迄今为止理论上最为成熟的公钥密码体制,加密密码和解密密码不同。
虚拟专用网(Virual Private Network,VPN)是为企业提供集安全性、可靠性和可管理性于一身的私有专用网络,是对企业内部网的扩展。
防火墙技术
防火墙是一种保护计算机网络安全的访间控制技术,用于阻止网络黑客非法访问。
防火墙是用于企业内部网和因特网之间实施安全策略的一个或一组系统,是由硬件和软件组合而成的。它决定网络内部服务中哪些可被外界访问外界的哪些人可访问内部服务,同时还决定内部人员可访向哪些外部服务。
按照防火墙防护网络使用方法的不同可分为网络层防火墙、应用层防火墙、链路层防火墙。
防火墙的优点:能强化安全策略;能有效记录Internet上的活动;限制暴露用户点;是安全策略的检查点。
防火墙的缺点:不能防范恶意知情者;不能防范不经过它的链接;不能防范全部威胁;不能防范病毒。
反病毒技术
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
常见的反病毒技术有:
l 特征码技术:基于对已知病毒分析、查解的反病毒技术。
目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行,亦即在查病毒时采用特征码查毒,在杀病毒时采用人工编制解毒代码。
l 虚拟机技术:启发式探测未知病毒的反病毒技术。
虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性,而这个标准是不易被使用和实现的,如果病毒已经传染了才判定是它是病毒,定会给病毒的清除带来麻烦。
反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全,防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口,可以真正将病毒抵御于网络之外,为企业网络提供了一个坚固的保护层。
l 虚拟现实,未来的反病毒技术,分级制测定并对其使用反病毒程序。
4.信息安全技术在电子商务中的应用
近些年来电子商务越来越流行,而确保电子商务正常进行的数据的可靠性、真实性、保密性越来越受到人们的关注。这些问题都可以归结到信息安全技术之中。
电子商务中主要存在的安全隐患有以下几个方面:
l 对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
l 对信息的窃取。攻击者在网络的传输信道上,通过技术手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。
l 对信息的篡改。当攻击者熟悉了网络信息格式以后,通过各种技术法和手段对网络传输的信息进行截获后篡改其内容、并发往目的地、从而破坏信息的完整性。改变信息流的次序、更改信息的内容,如购买商品的出货地址、删除某个消息或消息的某些部分,在消息中插入一些信息、让收方读不懂或接收错误的信息。
l 拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻,例如使一个业务口被滥用而使其他用户不能正常工作。
l 对发出的信息予以否认。某些用户被滥用而使其他用户不能正常工作。
l 非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。
电子商务的安全需求
l 有效性。电子商务系统应有效防止系统延迟和拒绝服务情况的发生,要对潜在威胁加以控制和预防,保证交易数据在确定的时刻、确定的地点是有效的。目前,如何保障支付和交易的安全可靠是一个全球性问题,电子商务要有大的发展,就必须管好这些瓶颈。
l 保密性。系统应能对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或窃取,防止通过非法拦截会话数据获得账户有效信息。
l 完整性。电子商务系统应防止对交易信息的随意生成、修改和删除,同时防止数据传输过程中交易信息的丢失和重复,并保证信息传递次序的统一。
l 可靠性。由于网上的通信双方互不见面,所以在交易前必须首先确认对方的真实身份;在进行支付时,还需要确认对方的账号等信息是否真实有效。电子商务系统应该提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。
l 匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪。保证交易过程中的用户个人信息不会泄露,确保合法用户的隐私不被侵犯。
l 防抵赖性。电子商务系统应有效防止商业欺诈行为的发生,网上进行交易的各方在进行数据传输时,都必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信用和行为的不可否认性,保证交易各方对已做交易无法抵赖。
电子商务安全中的主要技术
l 网络安全技术。网络安全是电子商务安全的基础。它所涉及到最重要的就是防火墙技术。防火墙是在通信技术和信息安全技术之上、它用于在网络之间建立一个安全屏障。根据设定的策略对网络数据进行过滤、分析和审计。并对各种攻击进行有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。
利用防火墙广泛的安全策略控制信息流,可以达到访问控制、授权认证、安全检查、加密、集中管理、报警和监督记录等功能。目前使用较多的是包过滤技术防火墙和采用代理技术的防火墙。两种防火墙的结合,双重保证了系统的安全性。
l 加密技术。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。对称式加密就是加密和解密使用同一个密钥,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。目前,RSA算法是非对称加密的主要方法。
l 数字签名。通过某种密码运算生成的一系列符号及代码组成电子密码进行“签名”,来代替书写签名或印章,这种数字化的签名在技术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。
实现电子签名的技术手段目前有多种,比如基于公钥密码技术的数字签名;或用一个独一无二的以生物特征统计学为基础的识别标识,例如书签名和图章的电子图象的模式识别;表明身份的密码代号;基于量子力学的计算机等等。比较成熟的,世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术。
l 安全认证协议。安全认证协议包括安全电子商务交易协议和安全套接层协议。安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。
SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
SSL安全协议最初是由NetscapeCommunication公司设计开发的,又叫“安全套接层协议”,主要用于提高应用程序之间的数据的安全系数,是一个保证任何安装了安全套的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。
SSL安全协议主要提供三方面的服务:用户和服务器的合法性认证;加密数据以隐藏被传送的数据;保护数据的完整性。
对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题。必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它通常是一个签名文档。标记特定对象的公开密钥。电子证书由一个认证中心,CA、签发、认证中心类以于现实生活中公证人的角色。它具有权威性、是一个普遍可信的第三方。当通信双方都信任同一个CA时,两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检测。
5.信息安全在电子政务中的应用
电子政务安全是指保护电子政务网络及其服务不受未经授权的修改、破坏或泄漏,防止电子政务系统资源和信息资源受自然和人为有害因素的威胁和危害,电子政务安全就是电子政务的系统安全和信息安全。
国务院公安厅明确把信息网络分为内网(涉密网)、外网(非涉密网)和因特网,而且明确规定内网和外网要物理隔离。物理隔离方案很多,比如:
l 内网和外网之间设置防火墙。
l 双硬盘方案:内网硬盘和外网硬盘。
l 双集线器方案:内网集线器、外网集线器。
l 双交换机方案:内网交换机、外网交换机。
电子政务的安全对策是:一个基础(法律制度)、两根支柱(技术、管理)。
