第四章信息系统安全与职业道德

《第四章信息系统安全与职业道德》由会员分享，可在线阅读，更多相关《第四章信息系统安全与职业道德（74页珍藏版）》请在金锄头文库上搜索。

1、第四章第四章 信息系统安全与职业道德信息系统安全与职业道德 主要内容主要内容 4.1 4.1 4.1 4.1 信息系统安全知识信息系统安全知识信息系统安全知识信息系统安全知识4.2 4.2 4.2 4.2 计算机病毒及防治技术计算机病毒及防治技术计算机病毒及防治技术计算机病毒及防治技术4.3 4.3 4.3 4.3 信息安全技术信息安全技术信息安全技术信息安全技术4.4 4.4 4.4 4.4 信息系统安全规划及管理信息系统安全规划及管理信息系统安全规划及管理信息系统安全规划及管理4.5 4.5 4.5 4.5 网络道德和软件知识产权网络道德和软件知识产权网络道德和软件知识产权网络道德和软件知

2、识产权2 2 2 24.1 4.1 信息系统安全概述信息系统安全概述4.1.1 4.1.1 4.1.1 4.1.1 什么是信息安全什么是信息安全什么是信息安全什么是信息安全4.1.2 4.1.2 4.1.2 4.1.2 安全威胁安全威胁安全威胁安全威胁3 3 3 34.1.1 4.1.1 什么是信息安全什么是信息安全信信信信息息息息安安安安全全全全：指指指指对对对对信信信信息息息息资资资资源源源源实实实实施施施施保保保保护护护护，以以以以防防防防止止止止其其其其未未未未经经经经授授授授权权权权的的的的泄泄泄泄漏漏漏漏、修修修修改改改改、破破破破坏坏坏坏，而而而而不不不不管管管管这这这这种种种种

3、行为是偶然的还是故意的。行为是偶然的还是故意的。行为是偶然的还是故意的。行为是偶然的还是故意的。表表表表现现现现形形形形式式式式及及及及要要要要求求求求：随随随随信信信信息息息息应应应应用用用用的的的的主主主主体体体体、环环环环境境境境和要求的不同而不同。和要求的不同而不同。和要求的不同而不同。和要求的不同而不同。目目目目的的的的：对对对对信信信信息息息息资资资资源源源源实实实实施施施施全全全全面面面面管管管管理理理理和和和和控控控控制制制制，保保保保证证证证信信信信息息息息在在在在存存存存取取取取、处处处处理理理理和和和和传传传传输输输输过过过过程程程程中中中中的的的的机机机机密密密密性性性

4、性、完整性和可用性。完整性和可用性。完整性和可用性。完整性和可用性。4 4 4 44.1.1 4.1.1 什么是信息安全什么是信息安全体体体体现现现现在在在在个个个个层层层层面面面面：信信信信息息息息安安安安全全全全理理理理念念念念、信信信信息息息息安安安安全全全全观观观观点点点点、信信信信息息息息安安安安全全全全机机机机制制制制、物物物物理理理理安安安安全全全全、运运运运行行行行安安安安全全全全、数据安全、内容安全、信息对抗数据安全、内容安全、信息对抗数据安全、内容安全、信息对抗数据安全、内容安全、信息对抗安安安安全全全全是是是是人人人人员员员员、技技技技术术术术、操操操操作作作作三三三三者

5、者者者紧紧紧紧密密密密结结结结合合合合的的的的系系系系统统统统工工工工程程程程，是是是是不不不不断断断断演演演演进进进进、循循循循环环环环发发发发展展展展的的的的动动动动态态态态过过过过程。程。程。程。5 5 5 54.1.2 4.1.2 安全威胁安全威胁来来来来源源源源：各各各各种种种种失失失失误误误误、出出出出错错错错、病病病病毒毒毒毒、攻攻攻攻击击击击以以以以及及及及软软软软件和硬件设计的后门。件和硬件设计的后门。件和硬件设计的后门。件和硬件设计的后门。威胁种类：威胁种类：威胁种类：威胁种类：6 6 6 64.2 4.2 计算机病毒及防治技术计算机病毒及防治技术一、概述一、概述一、概述一

6、、概述1 1 1 1. . . . 计算机病毒概述计算机病毒概述计算机病毒概述计算机病毒概述2. 2. 2. 2. 计算机病毒的分类计算机病毒的分类计算机病毒的分类计算机病毒的分类3. 3. 3. 3. 病毒实例分析病毒实例分析病毒实例分析病毒实例分析4. 4. 4. 4. 计算机病毒的检测计算机病毒的检测计算机病毒的检测计算机病毒的检测5. 5. 5. 5. 计算机病毒的防范计算机病毒的防范计算机病毒的防范计算机病毒的防范6. 6. 6. 6. 计算机病毒的发展趋势计算机病毒的发展趋势计算机病毒的发展趋势计算机病毒的发展趋势二、二、二、二、网络黑客及防范网络黑客及防范网络黑客及防范网络黑客及

7、防范 7 7 7 7概述概述定定定定义义义义：一一一一段段段段计计计计算算算算机机机机程程程程序序序序代代代代码码码码，被被被被嵌嵌嵌嵌入入入入在在在在正正正正常常常常的的的的计计计计算算算算机机机机程程程程序序序序中中中中，能能能能破破破破坏坏坏坏计计计计算算算算机机机机功功功功能能能能，影影影影响响响响计计计计算算算算机机机机正正正正常使用，通常能自我复制。常使用，通常能自我复制。常使用，通常能自我复制。常使用，通常能自我复制。特特特特征征征征：隐隐隐隐蔽蔽蔽蔽性性性性、传传传传染染染染性性性性、潜潜潜潜伏伏伏伏性性性性、破破破破坏坏坏坏性性性性以以以以及及及及可可可可触发运行性。触发运行

8、性。触发运行性。触发运行性。危危危危害害害害：对对对对数数数数据据据据信信信信息息息息的的的的直直直直接接接接破破破破坏坏坏坏、占占占占用用用用磁磁磁磁盘盘盘盘空空空空间间间间、抢抢抢抢占占占占系系系系统统统统资资资资源源源源、影影影影响响响响计计计计算算算算机机机机运运运运行行行行速速速速度度度度、计计计计算算算算机机机机病病病病毒毒毒毒错错错错误误误误与与与与不不不不可可可可预预预预见见见见的的的的危危危危害害害害、计计计计算算算算机机机机病病病病毒毒毒毒给给给给用用用用户户户户造造造造成严重的心理压力等。成严重的心理压力等。成严重的心理压力等。成严重的心理压力等。8 8 8 8计算机病毒

9、的分类计算机病毒的分类1 1按病毒的传染方式分：按病毒的传染方式分：按病毒的传染方式分：按病毒的传染方式分：1.1.1.1.引导型病毒引导型病毒引导型病毒引导型病毒2.2.2.2.文件型病毒文件型病毒文件型病毒文件型病毒 3.3.3.3.复合型病毒复合型病毒复合型病毒复合型病毒 9 9 9 9计算机病毒的分类计算机病毒的分类2 2按病毒的连接方式分：按病毒的连接方式分：按病毒的连接方式分：按病毒的连接方式分：1.1.1.1.源源源源码码码码型型型型病病病病毒毒毒毒：攻攻攻攻击击击击高高高高级级级级语语语语言言言言编编编编写写写写的的的的源源源源程程程程序序序序，源源源源程程程程序序序序中中中中

10、插插插插入入入入病病病病毒毒毒毒程程程程序序序序，随随随随源源源源程程程程序序序序一一一一起起起起编编编编译译译译、链链链链接接接接成成成成可可可可执执执执行行行行文文文文件件件件，此此此此可执行文件已感染病毒。可执行文件已感染病毒。可执行文件已感染病毒。可执行文件已感染病毒。2.2.2.2.入入入入侵侵侵侵型型型型病病病病毒毒毒毒：用用用用自自自自身身身身代代代代替替替替正正正正常常常常程程程程序序序序中中中中的的的的部部部部分分分分模模模模块块块块或或或或堆堆堆堆栈栈栈栈区，攻击特定程序，针对性强，难以发现、清除。区，攻击特定程序，针对性强，难以发现、清除。区，攻击特定程序，针对性强，难以

11、发现、清除。区，攻击特定程序，针对性强，难以发现、清除。3.3.3.3.操操操操作作作作系系系系统统统统型型型型病病病病毒毒毒毒：用用用用其其其其自自自自身身身身部部部部分分分分加加加加入入入入或或或或替替替替代代代代操操操操作作作作系系系系统统统统的部分功能。的部分功能。的部分功能。的部分功能。4.4.4.4.外外外外壳壳壳壳型型型型病病病病毒毒毒毒：将将将将自自自自身身身身附附附附在在在在正正正正常常常常程程程程序序序序的的的的开开开开头头头头或或或或结结结结尾尾尾尾，相相相相当当当当于给程序加了个外壳。于给程序加了个外壳。于给程序加了个外壳。于给程序加了个外壳。10101010引导型病毒

12、引导型病毒定定定定义义义义：指指指指寄寄寄寄生生生生在在在在磁磁磁磁盘盘盘盘引引引引导导导导区区区区或或或或主主主主引引引引导导导导区区区区的的的的计计计计算算算算机机机机病毒。病毒。病毒。病毒。危危危危害害害害：利利利利用用用用系系系系统统统统引引引引导导导导时时时时不不不不对对对对主主主主引引引引导导导导区区区区内内内内容容容容的的的的正正正正确确确确性性性性进进进进行行行行判判判判别别别别的的的的缺缺缺缺点点点点，在在在在引引引引导导导导系系系系统统统统的的的的过过过过程程程程中中中中侵侵侵侵入入入入系系系系统统统统，驻留内存，监视系统运行，伺机传染和破坏。驻留内存，监视系统运行，伺机传

13、染和破坏。驻留内存，监视系统运行，伺机传染和破坏。驻留内存，监视系统运行，伺机传染和破坏。典型病毒：典型病毒：典型病毒：典型病毒：如大麻病毒、小球病毒等如大麻病毒、小球病毒等如大麻病毒、小球病毒等如大麻病毒、小球病毒等 执行框图执行框图执行框图执行框图11111111引导型病毒执行框图引导型病毒执行框图 系统启动 引导程序 病毒跳转到内存并获得系统控制权 符合条件? 激活病毒 传染或破坏 驻留等待 执行正常的系统引导 Y N 12121212文件型病毒文件型病毒定义：定义：定义：定义：指能够寄生在文件中的计算机病毒。指能够寄生在文件中的计算机病毒。指能够寄生在文件中的计算机病毒。指能够寄生在文

14、件中的计算机病毒。危危危危害害害害：感感感感染染染染可可可可执执执执行行行行文文文文件件件件或或或或数数数数据据据据文文文文件件件件。当当当当这这这这些些些些文文文文件件件件被执行时，病毒程序也跟着被执行。被执行时，病毒程序也跟着被执行。被执行时，病毒程序也跟着被执行。被执行时，病毒程序也跟着被执行。典型病毒：典型病毒：典型病毒：典型病毒：如宏病毒。如宏病毒。如宏病毒。如宏病毒。执行框图执行框图执行框图执行框图13131313文件型病毒执行框图文件型病毒执行框图 系统启动 运行.COM，.EXE文件 病毒随文件到内存并获得系统控制权 符合条件? 激活病毒 传染或破坏 驻留等待 文件正常执行 Y

15、 N 14141414复合型病毒复合型病毒定义：定义：定义：定义：具有引导型病毒和文件型病毒的特性。具有引导型病毒和文件型病毒的特性。具有引导型病毒和文件型病毒的特性。具有引导型病毒和文件型病毒的特性。危危危危害害害害：扩扩扩扩大大大大了了了了病病病病毒毒毒毒程程程程序序序序的的的的传传传传染染染染途途途途径径径径，既既既既感感感感染染染染磁磁磁磁盘盘盘盘的的的的引引引引导导导导记记记记录录录录，又又又又感感感感染染染染可可可可执执执执行行行行文文文文件件件件。当当当当染染染染有有有有此此此此种种种种病病病病毒毒毒毒的的的的磁磁磁磁盘盘盘盘用用用用于于于于引引引引导导导导系系系系统统统统或或或

16、或调调调调用用用用执执执执行行行行染染染染毒毒毒毒文文文文件件件件时时时时，病病病病毒毒毒毒都都都都会会会会被被被被激激激激活活活活，具具具具有有有有相相相相当当当当程程程程度度度度的的的的传传传传染染染染力力力力，一一一一旦旦旦旦发作，后果十分严重。发作，后果十分严重。发作，后果十分严重。发作，后果十分严重。典型病毒：典型病毒：典型病毒：典型病毒：如如如如FlipFlipFlipFlip病毒、新世纪病毒等。病毒、新世纪病毒等。病毒、新世纪病毒等。病毒、新世纪病毒等。15151515病毒实例分析病毒实例分析1 1、CIHCIH病毒病毒病毒病毒 2 2、宏病毒宏病毒宏病毒宏病毒3 3、网络病毒网

17、络病毒网络病毒网络病毒16161616CIHCIH病毒病毒 特特特特点点点点：一一一一种种种种文文文文件件件件型型型型病病病病毒毒毒毒，感感感感染染染染Windows95/98Windows95/98环环环环境下境下境下境下PEPE格式的格式的格式的格式的EXEEXE文件。文件。文件。文件。主主主主要要要要危危危危害害害害：病病病病毒毒毒毒发发发发作作作作后后后后，硬硬硬硬盘盘盘盘数数数数据据据据全全全全部部部部丢丢丢丢失失失失，甚甚甚甚至至至至主主主主板板板板上上上上的的的的BIOSBIOS中中中中的的的的原原原原内内内内容容容容会会会会被被被被彻彻彻彻底底底底破破破破坏坏坏坏，主主主主机机

18、机机无法启动。无法启动。无法启动。无法启动。17171717宏病毒宏病毒利利利利用用用用软软软软件件件件所所所所支支支支持持持持的的的的宏宏宏宏命命命命令令令令编编编编写写写写成成成成的的的的具具具具有有有有复复复复制制制制、传传传传染染染染能能能能力力力力的的的的宏宏宏宏，是是是是一一一一种种种种新新新新形形形形态态态态的的的的计计计计算算算算机机机机病病病病毒毒毒毒，也也也也是是是是一一一一种种种种跨跨跨跨平平平平台台台台的的的的计计计计算算算算机机机机病病病病毒毒毒毒，可可可可以以以以在在在在Macintosh Macintosh System System 7 7 WindowsWin

19、dows、 Windows Windows 9X9X、NT/2000NT/2000和和和和OS/2OS/2等操作系统上执行。等操作系统上执行。等操作系统上执行。等操作系统上执行。18181818网络病毒网络病毒专专专专指指指指在在在在网网网网络络络络上上上上传传传传播播播播、并并并并对对对对网网网网络络络络进进进进行行行行破破破破坏坏坏坏的的的的病病病病毒毒毒毒；也也也也指指指指HTMLHTML病病病病毒毒毒毒、E-mailE-mail病病病病毒毒毒毒、JavaJava病病病病毒毒毒毒以以以以及及及及与因特网有关的病毒等。与因特网有关的病毒等。与因特网有关的病毒等。与因特网有关的病毒等。191

20、91919计算机病毒的检测计算机病毒的检测1.1.异常情况判断异常情况判断异常情况判断异常情况判断2.2.计算机病毒的检测手段计算机病毒的检测手段计算机病毒的检测手段计算机病毒的检测手段1.1.特征代码法特征代码法特征代码法特征代码法2.2.校验和法校验和法校验和法校验和法3.3.行为监测法行为监测法行为监测法行为监测法20202020特征代码法特征代码法检测已知病毒的最简单、开销最小的方法。检测已知病毒的最简单、开销最小的方法。检测已知病毒的最简单、开销最小的方法。检测已知病毒的最简单、开销最小的方法。实现步骤：实现步骤：实现步骤：实现步骤：1.1.1.1.采集已知病毒样本采集已知病毒样本采

21、集已知病毒样本采集已知病毒样本2.2.2.2.在病毒样本中，抽取特征代码在病毒样本中，抽取特征代码在病毒样本中，抽取特征代码在病毒样本中，抽取特征代码3.3.3.3.打开被检测文件，在文件中搜索病毒特征代码。打开被检测文件，在文件中搜索病毒特征代码。打开被检测文件，在文件中搜索病毒特征代码。打开被检测文件，在文件中搜索病毒特征代码。缺缺缺缺点点点点：速速速速度度度度慢慢慢慢，误误误误报报报报警警警警率率率率低低低低，不不不不能能能能检检检检查查查查多多多多形形形形性性性性病毒，并且不能对付隐蔽性病毒。病毒，并且不能对付隐蔽性病毒。病毒，并且不能对付隐蔽性病毒。病毒，并且不能对付隐蔽性病毒。21

22、212121校验和法校验和法对对对对正正正正常常常常文文文文件件件件的的的的内内内内容容容容计计计计算算算算校校校校验验验验和和和和，并并并并将将将将结结结结果果果果写写写写入入入入文文文文件件件件中中中中。使使使使用用用用时时时时，定定定定期期期期对对对对文文文文件件件件当当当当前前前前内内内内容容容容的的的的校校校校验验验验和和和和进进进进行行行行计计计计算算算算，与与与与保保保保存存存存的的的的原原原原值值值值比比比比较较较较，查查查查看看看看是是是是否否否否一一一一致，以发现文件是否被感染。致，以发现文件是否被感染。致，以发现文件是否被感染。致，以发现文件是否被感染。优优优优点点点点：

23、方方方方法法法法简简简简单单单单，能能能能发发发发现现现现文文文文件件件件的的的的细细细细微微微微变变变变化化化化，能能能能发现未知病毒；发现未知病毒；发现未知病毒；发现未知病毒；缺缺缺缺点点点点：会会会会误误误误报报报报警警警警，不不不不能能能能识识识识别别别别病病病病毒毒毒毒名名名名称称称称，不不不不能能能能对对对对付隐蔽型病毒。付隐蔽型病毒。付隐蔽型病毒。付隐蔽型病毒。22222222行为监测法行为监测法监监监监测测测测是是是是否否否否有有有有程程程程序序序序试试试试图图图图改改改改变变变变计计计计算算算算机机机机系系系系统统统统中中中中的的的的一一一一些些些些关键数据。关键数据。关键数

24、据。关键数据。优优优优点点点点：能能能能发发发发现现现现未未未未知知知知病病病病毒毒毒毒，可可可可相相相相当当当当准准准准确确确确地地地地预预预预报报报报未未未未知的多数病毒；知的多数病毒；知的多数病毒；知的多数病毒；缺缺缺缺点点点点：可可可可能能能能误误误误报报报报警警警警，不不不不能能能能识识识识别别别别病病病病毒毒毒毒名名名名称称称称，同同同同时时时时实现时有一定难度。实现时有一定难度。实现时有一定难度。实现时有一定难度。23232323计算机病毒的防范计算机病毒的防范防范计算机病毒采用有效的技术策略防范计算机病毒采用有效的技术策略防范计算机病毒采用有效的技术策略防范计算机病毒采用有效的

25、技术策略电子邮件病毒的防治电子邮件病毒的防治电子邮件病毒的防治电子邮件病毒的防治不要轻易打开来信中的附件文件不要轻易打开来信中的附件文件不要轻易打开来信中的附件文件不要轻易打开来信中的附件文件 防范计算机病毒的几种方法防范计算机病毒的几种方法防范计算机病毒的几种方法防范计算机病毒的几种方法常用软件查杀病毒常用软件查杀病毒常用软件查杀病毒常用软件查杀病毒 24242424计算机病毒的发展趋势计算机病毒的发展趋势1.1.1.1.计算机病毒呈现的新特性计算机病毒呈现的新特性计算机病毒呈现的新特性计算机病毒呈现的新特性利用微软操作系统漏洞主动传播；利用微软操作系统漏洞主动传播；利用微软操作系统漏洞主动

26、传播；利用微软操作系统漏洞主动传播；2.2.2.2.计算机病毒发展的趋势计算机病毒发展的趋势计算机病毒发展的趋势计算机病毒发展的趋势与与与与InternetInternetInternetInternet和和和和IntranetIntranetIntranetIntranet紧紧紧紧密密密密地地地地结结结结合合合合，利利利利用用用用一一一一切可以利用的方式进行传播；切可以利用的方式进行传播；切可以利用的方式进行传播；切可以利用的方式进行传播；252525254.2.2 网络黑客及防范网络黑客及防范 定定定定义义义义：网网网网络络络络黑黑黑黑客客客客是是是是指指指指掌掌掌掌握握握握相相相相当当当

27、当高高高高的的的的网网网网络络络络技技技技术术术术的的的的一一一一群网络群网络群网络群网络“罪犯罪犯罪犯罪犯”。危危危危害害害害：篡篡篡篡改改改改网网网网页页页页，使使使使网网网网站站站站崩崩崩崩溃溃溃溃，诱诱诱诱骗骗骗骗合合合合法法法法用用用用户户户户的的的的机密信息。机密信息。机密信息。机密信息。1. 1. 1. 1. 网络黑客常见的攻击步骤网络黑客常见的攻击步骤网络黑客常见的攻击步骤网络黑客常见的攻击步骤2. 2. 2. 2. 网络主要攻击网络主要攻击网络主要攻击网络主要攻击3. 3. 3. 3. 网络主要防范举例网络主要防范举例网络主要防范举例网络主要防范举例26262626网络黑客常

28、见的攻击步骤网络黑客常见的攻击步骤1.1.1.1.攻攻攻攻击击击击前前前前奏奏奏奏：锁锁锁锁定定定定目目目目标标标标 、了了了了解解解解目目目目标标标标的的的的网网网网络络络络结结结结构构构构、收集系统信息收集系统信息收集系统信息收集系统信息 2.2.2.2.实施攻击实施攻击实施攻击实施攻击3.3.3.3.巩固控制巩固控制巩固控制巩固控制4.4.4.4.继续深入继续深入继续深入继续深入27272727网络主要攻击网络主要攻击 1.1.1.1.木木木木马马马马攻攻攻攻击击击击，防防防防范范范范：通通通通过过过过防防防防火火火火墙墙墙墙采采采采用用用用适适适适当当当当的的的的规规规规则则则则并及时

29、查杀入侵木马。并及时查杀入侵木马。并及时查杀入侵木马。并及时查杀入侵木马。 2.2.2.2.IPIPIPIP地址欺骗攻击地址欺骗攻击地址欺骗攻击地址欺骗攻击；3.3.3.3.恶意流量攻击；恶意流量攻击；恶意流量攻击；恶意流量攻击；4.4.4.4.简单简单简单简单DoSDoSDoSDoS 攻击攻击攻击攻击( ( ( (拒绝服务拒绝服务拒绝服务拒绝服务) ) ) ) 5.5.5.5.联合联合联合联合DoSDoSDoSDoS攻击攻击攻击攻击6.6.6.6.DDoSDDoSDDoSDDoS攻击攻击攻击攻击28282828网络主要防范举例网络主要防范举例 1.1.1.1.IPIPIPIP地址过滤地址过滤

30、地址过滤地址过滤; ; ; ;2.2.2.2.MACMACMACMAC地址过滤地址过滤地址过滤地址过滤; ; ; ;3.3.3.3.HTTPHTTPHTTPHTTP过滤过滤过滤过滤4.4.4.4.FTPFTPFTPFTP过滤模块过滤模块过滤模块过滤模块5.5.5.5.SMTP/POP3SMTP/POP3SMTP/POP3SMTP/POP3过滤过滤过滤过滤292929294.3 4.3 信息安全技术信息安全技术4 4 4 4.3.1 .3.1 .3.1 .3.1 防火墙技术防火墙技术防火墙技术防火墙技术4.3.24.3.24.3.24.3.2 入侵检测技术入侵检测技术入侵检测技术入侵检测技术（新

31、的信息安全技术）（新的信息安全技术）（新的信息安全技术）（新的信息安全技术）4.3.3 4.3.3 4.3.3 4.3.3 数据加密技术数据加密技术数据加密技术数据加密技术 4 4 4 4.3.4 .3.4 .3.4 .3.4 数字签名数字签名数字签名数字签名303030304.3.1 4.3.1 防火墙技术防火墙技术1. 1. 1. 1. 概念概念概念概念2. 2. 2. 2. 防火墙的主要体系结构防火墙的主要体系结构防火墙的主要体系结构防火墙的主要体系结构3. 3. 3. 3. 防火墙的技术分类防火墙的技术分类防火墙的技术分类防火墙的技术分类4. 4. 4. 4. 如何选择防火墙如何选择防

32、火墙如何选择防火墙如何选择防火墙5. 5. 5. 5. 防火墙的维护防火墙的维护防火墙的维护防火墙的维护31313131防火墙的概念防火墙的概念定定定定义义义义：防防防防止止止止网网网网络络络络外外外外部部部部的的的的恶恶恶恶意意意意攻攻攻攻击击击击对对对对网网网网络络络络内内内内部部部部造造造造成成成成不良影响而设置的安全防护设施。不良影响而设置的安全防护设施。不良影响而设置的安全防护设施。不良影响而设置的安全防护设施。防防防防火火火火墙墙墙墙是是是是一一一一种种种种访访访访问问问问控控控控制制制制技技技技术术术术，是是是是在在在在某某某某个个个个机机机机构构构构的的的的网网网网络络络络和和

33、和和不不不不安安安安全全全全的的的的网网网网络络络络之之之之间间间间设设设设置置置置的的的的一一一一组组组组组组组组件件件件（软软软软件件件件或或或或硬件设备的组合）。硬件设备的组合）。硬件设备的组合）。硬件设备的组合）。作作作作用用用用：对对对对两两两两个个个个网网网网络络络络之之之之间间间间的的的的通通通通信信信信进进进进行行行行控控控控制制制制，通通通通过过过过强强强强制制制制实实实实施施施施统统统统一一一一的的的的安安安安全全全全策策策策略略略略，防防防防止止止止对对对对重重重重要要要要信信信信息息息息资资资资源源源源的的的的非法存取和访问，保护系统安全。非法存取和访问，保护系统安全。

34、非法存取和访问，保护系统安全。非法存取和访问，保护系统安全。 32323232防火墙的概念防火墙的概念性质：性质：性质：性质：1 1 1 1、只允许本地安全策略授权的通信信息通过。、只允许本地安全策略授权的通信信息通过。、只允许本地安全策略授权的通信信息通过。、只允许本地安全策略授权的通信信息通过。2 2 2 2、双双双双向向向向通通通通信信信信信信信信息息息息必必必必须须须须通通通通过过过过防防防防火火火火墙墙墙墙，控控控控制制制制信信信信息息息息的的的的流流流流通通通通，但但但但会会会会增增增增大大大大网网网网络络络络管管管管理理理理开开开开销销销销，减减减减慢慢慢慢了了了了信信信信息息息

35、息传传传传递递递递速速速速率。率。率。率。 示意图示意图示意图示意图33333333防火墙示意图防火墙示意图34343434防火墙的主要体系结构防火墙的主要体系结构1.1.1.1.双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构2.2.2.2.屏蔽主机体系结构屏蔽主机体系结构屏蔽主机体系结构屏蔽主机体系结构 3.3.3.3.屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构 35353535双重宿主主机体系结构双重宿主主机体系结构一一一一种种种种拥拥拥拥有有有有两两两两个个个个或或或或多多多多个个个个连连连连接接接接到到到到不不不不同同同同网网网网

36、络络络络上上上上的的的的网网网网络络络络接接接接口的防火墙。口的防火墙。口的防火墙。口的防火墙。组组组组成成成成：一一一一台台台台装装装装有有有有两两两两块块块块或或或或多多多多块块块块网网网网卡卡卡卡的的的的堡堡堡堡垒垒垒垒主主主主机机机机做做做做防防防防火墙，每块网卡各自与受保护网和外部网相连。火墙，每块网卡各自与受保护网和外部网相连。火墙，每块网卡各自与受保护网和外部网相连。火墙，每块网卡各自与受保护网和外部网相连。体系结构示意图体系结构示意图体系结构示意图体系结构示意图特特特特点点点点：禁禁禁禁止止止止主主主主机机机机的的的的路路路路由由由由功功功功能能能能，两两两两个个个个网网网网络

37、络络络之之之之间间间间的的的的通通通通信通过应用代理服务来完成。信通过应用代理服务来完成。信通过应用代理服务来完成。信通过应用代理服务来完成。缺缺缺缺点点点点：黑黑黑黑客客客客侵侵侵侵入入入入堡堡堡堡垒垒垒垒主主主主机机机机并并并并使使使使其其其其具具具具有有有有路路路路由由由由功功功功能能能能时时时时，防火墙失效。防火墙失效。防火墙失效。防火墙失效。36363636双重宿主机体系结构示意图双重宿主机体系结构示意图 37373737屏蔽主机体系结构屏蔽主机体系结构 组成：组成：组成：组成：由防火墙和内部网络的堡垒主机组成。由防火墙和内部网络的堡垒主机组成。由防火墙和内部网络的堡垒主机组成。由防

38、火墙和内部网络的堡垒主机组成。体系结构示意图体系结构示意图体系结构示意图体系结构示意图特特特特点点点点：堡堡堡堡垒垒垒垒主主主主机机机机安安安安装装装装在在在在内内内内网网网网上上上上，在在在在路路路路由由由由器器器器上上上上设设设设立立立立过过过过滤滤滤滤规规规规则则则则，并并并并使使使使堡堡堡堡垒垒垒垒主主主主机机机机成成成成为为为为外外外外网网网网唯唯唯唯一一一一可可可可直直直直接接接接到到到到达达达达的的的的主主主主机机机机，保保保保证证证证了了了了内内内内网网网网不不不不被被被被未未未未经经经经授授授授权权权权的的的的外外外外部部部部用用用用户户户户的攻击。的攻击。的攻击。的攻击。3

39、8383838屏蔽主机体系结构示意图屏蔽主机体系结构示意图39393939屏蔽子网体系结构屏蔽子网体系结构 组组组组成成成成：两两两两个个个个包包包包过过过过滤滤滤滤器器器器和和和和一一一一个个个个堡堡堡堡垒垒垒垒主主主主机机机机，在在在在内内内内外外外外网网网网间建立了一个被隔离的子网，称作间建立了一个被隔离的子网，称作间建立了一个被隔离的子网，称作间建立了一个被隔离的子网，称作周边网络周边网络周边网络周边网络。体系结构示意图体系结构示意图体系结构示意图体系结构示意图特特特特点点点点：内内内内外外外外网网网网均均均均可可可可访访访访问问问问屏屏屏屏蔽蔽蔽蔽子子子子网网网网，但但但但禁禁禁禁止

40、止止止它它它它们们们们穿穿穿穿过过过过屏屏屏屏蔽蔽蔽蔽子子子子网网网网通通通通信信信信。这这这这样样样样，即即即即使使使使入入入入侵侵侵侵者者者者控控控控制制制制了了了了堡堡堡堡垒垒垒垒主机，内网仍受到内部包过滤路由器的保护。主机，内网仍受到内部包过滤路由器的保护。主机，内网仍受到内部包过滤路由器的保护。主机，内网仍受到内部包过滤路由器的保护。40404040屏蔽子网体系结构示意图屏蔽子网体系结构示意图41414141防火墙的技术分类防火墙的技术分类根据防范方式和侧重点的不同可分以下三类：根据防范方式和侧重点的不同可分以下三类：根据防范方式和侧重点的不同可分以下三类：根据防范方式和侧重点的不同

41、可分以下三类：1.1.1.1.包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙2.2.2.2.状态监测防火墙状态监测防火墙状态监测防火墙状态监测防火墙3.3.3.3.代理服务器代理服务器代理服务器代理服务器42424242包过滤防火墙包过滤防火墙数数数数据据据据包包包包过过过过滤滤滤滤是是是是一一一一个个个个网网网网络络络络安安安安全全全全保保保保护护护护机机机机制制制制，它它它它对对对对进进进进出出出出网网网网络络络络的的的的信信信信息息息息进进进进行行行行分分分分析析析析，按按按按安安安安全全全全策策策策略略略略对对对对进进进进出出出出内内内内网网网网的的的的信信信信息息息息进进进进行行行

42、行限限限限制制制制，过过过过滤滤滤滤规规规规则则则则是是是是以以以以所所所所收收收收到到到到的的的的数数数数据据据据包包包包头头头头信息为基础。信息为基础。信息为基础。信息为基础。检查内容检查内容检查内容检查内容优点：优点：优点：优点：速度快，性能高，对应用程序透明。速度快，性能高，对应用程序透明。速度快，性能高，对应用程序透明。速度快，性能高，对应用程序透明。缺缺缺缺点点点点：安安安安全全全全性性性性低低低低，不不不不能能能能根根根根据据据据状状状状态态态态信信信信息息息息进进进进行行行行控控控控制制制制，不能处理网络层以上的信息，维护不直观。不能处理网络层以上的信息，维护不直观。不能处理网

43、络层以上的信息，维护不直观。不能处理网络层以上的信息，维护不直观。43434343状态监测防火墙状态监测防火墙主主主主要要要要部部部部件件件件：监监监监测测测测引引引引擎擎擎擎，即即即即一一一一个个个个在在在在网网网网关关关关上上上上执执执执行行行行网网网网络络络络安安安安全全全全策策策策略略略略的的的的软软软软件件件件模模模模块块块块，它它它它采采采采用用用用抽抽抽抽取取取取有有有有关关关关数数数数据据据据的的的的方方方方法法法法对对对对网网网网络络络络通通通通信信信信的的的的各各各各层层层层实实实实施施施施监监监监测测测测，提提提提取取取取状状状状态态态态信信信信息息息息，并并并并动动动动

44、态态态态保保保保存存存存作作作作为为为为以以以以后后后后执执执执行行行行安安安安全全全全策策策策略略略略的的的的参参参参考考考考。当当当当请请请请求求求求访访访访问问问问网网网网关关关关时时时时，状状状状态态态态监监监监视视视视器器器器抽抽抽抽取取取取有有有有关关关关数数数数据据据据进进进进行行行行分分分分析，结合网络配置和安全规定作出处理动作。析，结合网络配置和安全规定作出处理动作。析，结合网络配置和安全规定作出处理动作。析，结合网络配置和安全规定作出处理动作。 优优优优点点点点：拒拒拒拒绝绝绝绝违违违违反反反反安安安安全全全全规规规规定定定定的的的的访访访访问问问问，报报报报告告告告有有有

45、有关关关关状状状状态态态态作日志记录；作日志记录；作日志记录；作日志记录；缺点：缺点：缺点：缺点：降低了网络速度，配置复杂。降低了网络速度，配置复杂。降低了网络速度，配置复杂。降低了网络速度，配置复杂。44444444代理服务器代理服务器代代代代理理理理服服服服务务务务是是是是运运运运行行行行在在在在防防防防火火火火墙墙墙墙主主主主机机机机上上上上的的的的专专专专门门门门应应应应用用用用程程程程序序序序或或或或者者者者服服服服务务务务器器器器程程程程序序序序，它它它它把把把把跨跨跨跨越越越越防防防防火火火火墙墙墙墙的的的的网网网网络络络络通通通通信信信信分分分分开开开开。外外外外部部部部计计计

46、计算算算算机机机机的的的的网网网网络络络络链链链链路路路路只只只只到到到到代代代代理理理理服服服服务务务务器器器器，从从从从而隔离防火墙内外计算机系统。而隔离防火墙内外计算机系统。而隔离防火墙内外计算机系统。而隔离防火墙内外计算机系统。组组组组成成成成：代代代代理理理理服服服服务务务务器器器器和和和和代代代代理理理理客客客客户户户户。代代代代理理理理服服服服务务务务器器器器运运运运行行行行在防火墙上，代理客户运行在客户机上。在防火墙上，代理客户运行在客户机上。在防火墙上，代理客户运行在客户机上。在防火墙上，代理客户运行在客户机上。分类：分类：分类：分类：应应应应用用用用级级级级代代代代理理理理

47、是是是是已已已已知知知知代代代代理理理理服服服服务务务务向向向向哪哪哪哪一一一一应应应应用用用用提提提提供供供供的的的的代代代代理，它在应用协议中理解并解释命令。理，它在应用协议中理解并解释命令。理，它在应用协议中理解并解释命令。理，它在应用协议中理解并解释命令。回路级代理回路级代理回路级代理回路级代理能对各种不同的协议提供服务。能对各种不同的协议提供服务。能对各种不同的协议提供服务。能对各种不同的协议提供服务。45454545代理服务器代理服务器优优优优点点点点：有有有有相相相相对对对对较较较较高高高高的的的的安安安安全全全全性性性性、可可可可以以以以实实实实现现现现访访访访问问问问的的的的

48、身身身身份认证、可以在应用层控制服务的等级权限；份认证、可以在应用层控制服务的等级权限；份认证、可以在应用层控制服务的等级权限；份认证、可以在应用层控制服务的等级权限；缺缺缺缺点点点点：性性性性能能能能较较较较差差差差，速速速速度度度度慢慢慢慢，每每每每种种种种访访访访问问问问服服服服务务务务需需需需要要要要单单单单独的代理服务器，用户不透明。独的代理服务器，用户不透明。独的代理服务器，用户不透明。独的代理服务器，用户不透明。46464646如何选择防火墙如何选择防火墙设设设设计计计计原原原原则则则则：考考考考虑虑虑虑费费费费用用用用、资资资资源源源源可可可可用用用用、符符符符合合合合习习习习

49、惯惯惯惯、合法，以保证现代信息安全。具体：合法，以保证现代信息安全。具体：合法，以保证现代信息安全。具体：合法，以保证现代信息安全。具体：1.1.1.1.总拥有成本总拥有成本总拥有成本总拥有成本 2.2.2.2.防火墙本身是安全的防火墙本身是安全的防火墙本身是安全的防火墙本身是安全的 3.3.3.3.可扩充性可扩充性可扩充性可扩充性 4.4.4.4.防火墙的安全性能防火墙的安全性能防火墙的安全性能防火墙的安全性能47474747防火墙的维护防火墙的维护四个部分：四个部分：四个部分：四个部分：1.1.1.1.防火墙的备份；防火墙的备份；防火墙的备份；防火墙的备份；2.2.2.2.制定相应的应急措

50、施；制定相应的应急措施；制定相应的应急措施；制定相应的应急措施；3.3.3.3.定期检查定期检查定期检查定期检查SyslogSyslogSyslogSyslog；日志文件；日志文件；日志文件；日志文件4.4.4.4.保持防火墙的随时技术更新。保持防火墙的随时技术更新。保持防火墙的随时技术更新。保持防火墙的随时技术更新。484848484.3.2 入侵检测（入侵检测（Intrusion Detection）技术）技术入入入入侵侵侵侵检检检检测测测测：是是是是保保保保障障障障网网网网络络络络系系系系统统统统安安安安全全全全的的的的关关关关键键键键部部部部件件件件，它它它它通通通通过过过过监监监监视

51、视视视受受受受保保保保护护护护系系系系统统统统的的的的状状状状态态态态和和和和活活活活动动动动，采采采采用用用用误误误误用用用用检检检检测测测测或或或或异常检测异常检测异常检测异常检测方式，发现入侵行为。方式，发现入侵行为。方式，发现入侵行为。方式，发现入侵行为。入入入入侵侵侵侵检检检检测测测测系系系系统统统统：执执执执行行行行入入入入侵侵侵侵检检检检测测测测任任任任务务务务的的的的软软软软硬硬硬硬件件件件，通通通通过过过过实实实实时时时时分分分分析析析析，检检检检查查查查特特特特定定定定的的的的攻攻攻攻击击击击模模模模式式式式、系系系系统统统统配配配配置置置置、系系系系统统统统漏漏漏漏洞洞洞

52、洞、存存存存在在在在缺缺缺缺陷陷陷陷的的的的程程程程序序序序版版版版本本本本以以以以及及及及系系系系统统统统或或或或用用用用户户户户的行为模式，监控与安全有关的活动。的行为模式，监控与安全有关的活动。的行为模式，监控与安全有关的活动。的行为模式，监控与安全有关的活动。494949494.3.2 入侵检测（入侵检测（Intrusion Detection）技术）技术需要解决的问题：需要解决的问题：需要解决的问题：需要解决的问题：1.1.1.1.如何充分并可靠地提取描述行为特征的数据；如何充分并可靠地提取描述行为特征的数据；如何充分并可靠地提取描述行为特征的数据；如何充分并可靠地提取描述行为特征的

53、数据；2.2.2.2.如如如如何何何何根根根根据据据据特特特特征征征征数数数数据据据据，高高高高效效效效并并并并准准准准确确确确地地地地判判判判定定定定行行行行为为为为的的的的性质。性质。性质。性质。1.1.入侵检测概述入侵检测概述入侵检测概述入侵检测概述2.2.入侵检测原理入侵检测原理入侵检测原理入侵检测原理 3.3.系统结构系统结构系统结构系统结构4.4.系统分类系统分类系统分类系统分类 50505050入侵检测概述入侵检测概述1980198019801980年，首次提出了入侵检测的概念。年，首次提出了入侵检测的概念。年，首次提出了入侵检测的概念。年，首次提出了入侵检测的概念。198719

54、8719871987年年年年提提提提出出出出了了了了入入入入侵侵侵侵检检检检测测测测系系系系统统统统(IDS)(IDS)(IDS)(IDS)的的的的抽抽抽抽象象象象模模模模型型型型，首首首首次次次次提提提提出出出出了了了了入入入入侵侵侵侵检检检检测测测测可可可可作作作作为为为为一一一一种种种种计计计计算算算算机机机机系系系系统统统统安安安安全全全全防御措施的概念。防御措施的概念。防御措施的概念。防御措施的概念。1994199419941994年年年年，建建建建议议议议使使使使用用用用自自自自治治治治代代代代理理理理提提提提高高高高IDSIDSIDSIDS的的的的可可可可伸伸伸伸缩缩缩缩性性性性

55、、可维护性、效率和容错性。可维护性、效率和容错性。可维护性、效率和容错性。可维护性、效率和容错性。1996199619961996年年年年提提提提出出出出，GrIDSGrIDSGrIDSGrIDS的的的的设设设设计计计计和和和和实实实实现现现现，方方方方便便便便地地地地检检检检测测测测大规模自动或协同方式的网络攻击。大规模自动或协同方式的网络攻击。大规模自动或协同方式的网络攻击。大规模自动或协同方式的网络攻击。51515151入侵检测概述入侵检测概述近年来的主要创新有：近年来的主要创新有：近年来的主要创新有：近年来的主要创新有：将免疫学原理运用于分布式入侵检测领域；将免疫学原理运用于分布式入侵

56、检测领域；将免疫学原理运用于分布式入侵检测领域；将免疫学原理运用于分布式入侵检测领域；1998199819981998年将信息检索技术引进入侵检测；年将信息检索技术引进入侵检测；年将信息检索技术引进入侵检测；年将信息检索技术引进入侵检测；采采采采用用用用状状状状态态态态转转转转换换换换分分分分析析析析、数数数数据据据据挖挖挖挖掘掘掘掘和和和和遗遗遗遗传传传传算算算算法法法法等等等等进进进进行行行行误用和异常检测。误用和异常检测。误用和异常检测。误用和异常检测。52525252入侵检测原理入侵检测原理用用用用于于于于检检检检测测测测任任任任何何何何损损损损害害害害或或或或企企企企图图图图损损损损

57、害害害害系系系系统统统统的的的的保保保保密密密密性性性性、完完完完整性或可用性的一种网络安全技术。整性或可用性的一种网络安全技术。整性或可用性的一种网络安全技术。整性或可用性的一种网络安全技术。原原原原理理理理：通通通通过过过过监监监监视视视视受受受受保保保保护护护护系系系系统统统统的的的的状状状状态态态态和和和和活活活活动动动动，采采采采用用用用误误误误用用用用检检检检测测测测或或或或异异异异常常常常检检检检测测测测的的的的方方方方式式式式，发发发发现现现现非非非非授授授授权权权权的的的的或或或或恶恶恶恶意意意意的的的的系系系系统统统统及及及及网网网网络络络络行行行行为为为为，为为为为防防防

58、防范范范范入入入入侵侵侵侵行行行行为为为为提提提提供供供供有有有有效效效效的手段。的手段。的手段。的手段。原理框图：原理框图：原理框图：原理框图：53535353入侵检测原理框图入侵检测原理框图 54545454入侵检测系统结构入侵检测系统结构从从从从系系系系统统统统构构构构成成成成上上上上看看看看，入入入入侵侵侵侵检检检检测测测测系系系系统统统统应应应应包包包包括括括括事事事事件件件件提提提提取取取取、入入入入侵侵侵侵分分分分析析析析、入入入入侵侵侵侵响响响响应应应应和和和和远远远远程程程程管管管管理理理理四四四四大大大大部部部部分分分分，另另另另外外外外还还还还可可可可能能能能结结结结合合

59、合合安安安安全全全全知知知知识识识识库库库库、数数数数据据据据存存存存储储储储等等等等功功功功能能能能模模模模块块块块，提供更为完善的安全检测及数据分析功能。提供更为完善的安全检测及数据分析功能。提供更为完善的安全检测及数据分析功能。提供更为完善的安全检测及数据分析功能。入入入入侵侵侵侵检检检检测测测测以以以以近近近近乎乎乎乎不不不不间间间间断断断断的的的的方方方方式式式式进进进进行行行行安安安安全全全全检检检检测测测测，从从从从而可形成一个连续的检测过程。而可形成一个连续的检测过程。而可形成一个连续的检测过程。而可形成一个连续的检测过程。55555555入侵检测入侵检测系统分类系统分类 1.

60、1.1.1.基基基基于于于于数数数数据据据据源源源源分分分分基基基基于于于于主主主主机机机机、基基基基于于于于网网网网络络络络、混混混混合合合合入入入入侵侵侵侵检测、基于网关检测、基于网关检测、基于网关检测、基于网关的入侵检测系统。的入侵检测系统。的入侵检测系统。的入侵检测系统。2.2.2.2.基于基于基于基于检测理论检测理论检测理论检测理论的分为的分为的分为的分为异常检测和误用检测异常检测和误用检测异常检测和误用检测异常检测和误用检测。异异异异常常常常检检检检测测测测：指指指指根根根根据据据据使使使使用用用用者者者者的的的的行行行行为为为为或或或或资资资资源源源源使使使使用用用用状状状状况况

61、况况的的的的正正正正常程度来判断是否入侵；常程度来判断是否入侵；常程度来判断是否入侵；常程度来判断是否入侵；误误误误用用用用检检检检测测测测：指指指指运运运运用用用用已已已已知知知知攻攻攻攻击击击击方方方方法法法法，根根根根据据据据已已已已定定定定义义义义好好好好的的的的入入入入侵模式，通过判断这些入侵模式是否出现来检测。侵模式，通过判断这些入侵模式是否出现来检测。侵模式，通过判断这些入侵模式是否出现来检测。侵模式，通过判断这些入侵模式是否出现来检测。 3.3.3.3.基基基基于于于于检检检检测测测测时时时时效效效效的的的的分分分分为为为为实实实实时时时时在在在在线线线线检检检检测测测测方方方

62、方式式式式及及及及定定定定时时时时对处理原始数据进行离线检测等。对处理原始数据进行离线检测等。对处理原始数据进行离线检测等。对处理原始数据进行离线检测等。565656564.3.3 4.3.3 数据加密技术数据加密技术数数数数据据据据加加加加密密密密技技技技术术术术：发发发发送送送送方方方方对对对对数数数数据据据据进进进进行行行行加加加加密密密密，合合合合法法法法用用用用户户户户通通通通过过过过解解解解密密密密处处处处理理理理，将将将将加加加加密密密密数数数数据据据据还还还还原原原原为为为为原原原原始数据所使用的方法。始数据所使用的方法。始数据所使用的方法。始数据所使用的方法。组成：组成：组成

63、：组成：明文、密文、加密算法和密钥。明文、密文、加密算法和密钥。明文、密文、加密算法和密钥。明文、密文、加密算法和密钥。明文：明文：明文：明文：原文数据（或原始数据）；原文数据（或原始数据）；原文数据（或原始数据）；原文数据（或原始数据）；密文：密文：密文：密文：加密伪装后的数据；加密伪装后的数据；加密伪装后的数据；加密伪装后的数据；加密算法：加密算法：加密算法：加密算法：加密所采取的变换方法；加密所采取的变换方法；加密所采取的变换方法；加密所采取的变换方法；密钥：密钥：密钥：密钥：用于控制数据加密、解密过程的字符串。用于控制数据加密、解密过程的字符串。用于控制数据加密、解密过程的字符串。用于

64、控制数据加密、解密过程的字符串。分类：分类：分类：分类：对称式加密法对称式加密法对称式加密法对称式加密法和和和和非对称式加密法非对称式加密法非对称式加密法非对称式加密法。575757571.1.对称式加密法对称式加密法也称为单钥或常规密码技术。也称为单钥或常规密码技术。也称为单钥或常规密码技术。也称为单钥或常规密码技术。特点：特点：特点：特点：加密和解密使用同一密钥。加密和解密使用同一密钥。加密和解密使用同一密钥。加密和解密使用同一密钥。l l优点：优点：优点：优点：安全性高，加密速度快。安全性高，加密速度快。安全性高，加密速度快。安全性高，加密速度快。l l缺缺缺缺点点点点：密密密密钥钥钥钥

65、难难难难管管管管理理理理，同同同同时时时时在在在在网网网网络络络络上上上上无无无无法法法法解解解解决决决决消消消消息息息息确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。系统模型系统模型系统模型系统模型应用实例：应用实例：应用实例：应用实例：恺撒（恺撒（恺撒（恺撒（CaesarCaesarCaesarCaesar）密码加密）密码加密）密码加密）密码加密58585858对称密码系统模型对称密码系统模型 发送者发送者加密器加密器信道信道消息消息M密文密文C解密器解密器接收者接收者消息消息M分析者分析者密文密文C安全信道安全信道

66、密钥密钥K密钥密钥K其中：其中：其中：其中：M M M M表示明文，表示明文，表示明文，表示明文，C C C C表示密文，表示密文，表示密文，表示密文，K K K K表示密钥。表示密钥。表示密钥。表示密钥。595959592.2.非对称式加密法非对称式加密法也称公钥密码加密法。也称公钥密码加密法。也称公钥密码加密法。也称公钥密码加密法。特特特特点点点点：采采采采用用用用两两两两个个个个密密密密钥钥钥钥将将将将加加加加密密密密和和和和解解解解密密密密分分分分开开开开，配配配配对对对对使用有效。使用有效。使用有效。使用有效。公钥公钥公钥公钥(Public Key)(Public Key)(Publ

67、ic Key)(Public Key)：公开密钥，作为加密密钥公开密钥，作为加密密钥公开密钥，作为加密密钥公开密钥，作为加密密钥私钥私钥私钥私钥(Private Key)(Private Key)(Private Key)(Private Key)：用户专用，作为解密密钥。用户专用，作为解密密钥。用户专用，作为解密密钥。用户专用，作为解密密钥。方法：方法：方法：方法：公公公公钥钥钥钥加加加加密密密密，私私私私钥钥钥钥解解解解密密密密，实实实实现现现现多多多多个个个个用用用用户户户户加加加加密密密密的的的的消消消消息息息息由由由由一个用户解读，用于保密通信；一个用户解读，用于保密通信；一个用户解

68、读，用于保密通信；一个用户解读，用于保密通信；私私私私钥钥钥钥加加加加密密密密，公公公公钥钥钥钥解解解解密密密密，实实实实现现现现一一一一个个个个用用用用户户户户加加加加密密密密的的的的消消消消息息息息由由由由多个用户解读，用于数字签名。多个用户解读，用于数字签名。多个用户解读，用于数字签名。多个用户解读，用于数字签名。606060602.2.非对称式加密法非对称式加密法系统模型系统模型系统模型系统模型应用实例：应用实例：应用实例：应用实例： RSARSARSARSA公开密钥密码算法公开密钥密码算法公开密钥密码算法公开密钥密码算法61616161非对称式加密法模型非对称式加密法模型 表示小李的

69、公表示小李的公表示小李的公表示小李的公钥钥， 表示小李的私表示小李的私表示小李的私表示小李的私钥钥 小李小李小李小李小张小张小张小张626262624 4. .3 3. .4 4 数字签名数字签名 （Digital Digital SignatureSignature）定定定定义义义义：数数数数据据据据接接接接收收收收者者者者用用用用来来来来证证证证实实实实数数数数据据据据发发发发送送送送者者者者确确确确实实实实无无无无误误误误的一种方法，其作用等同于纸面亲笔签名。的一种方法，其作用等同于纸面亲笔签名。的一种方法，其作用等同于纸面亲笔签名。的一种方法，其作用等同于纸面亲笔签名。性质：性质：性质

70、：性质：1 1 1 1、必须能证实作者本人的签名及签名日期和时间；、必须能证实作者本人的签名及签名日期和时间；、必须能证实作者本人的签名及签名日期和时间；、必须能证实作者本人的签名及签名日期和时间；2 2 2 2、签名时必须能对内容进行鉴别；、签名时必须能对内容进行鉴别；、签名时必须能对内容进行鉴别；、签名时必须能对内容进行鉴别；3 3 3 3、签名必须能被第三方证实以便解决争端。、签名必须能被第三方证实以便解决争端。、签名必须能被第三方证实以便解决争端。、签名必须能被第三方证实以便解决争端。实现：实现：实现：实现：主要通过加密算法和证实协议。主要通过加密算法和证实协议。主要通过加密算法和证实

71、协议。主要通过加密算法和证实协议。 数数数数字字字字签签签签名名名名的的的的应应应应用用用用涉涉涉涉及及及及到到到到法法法法律律律律问问问问题题题题。一一一一些些些些国国国国家家家家已已已已经经经经制定了数字签名法。制定了数字签名法。制定了数字签名法。制定了数字签名法。636363634.4 4.4 信息系统安全规划及管理信息系统安全规划及管理4 4 4 4.4.1 .4.1 .4.1 .4.1 传统安全解决方案的局限性传统安全解决方案的局限性传统安全解决方案的局限性传统安全解决方案的局限性4 4 4 4.4.2 .4.2 .4.2 .4.2 信息系统安全性要求信息系统安全性要求信息系统安全性

72、要求信息系统安全性要求4 4 4 4.4.3 .4.3 .4.3 .4.3 信息系统安全管理信息系统安全管理信息系统安全管理信息系统安全管理64646464传统安全解决方案的局限性传统安全解决方案的局限性常常常常用用用用技技技技术术术术手手手手段段段段：防防防防火火火火墙墙墙墙技技技技术术术术、基基基基于于于于主主主主机机机机的的的的入入入入侵侵侵侵检检检检测测测测技技技技术术术术、基基基基于于于于网网网网络络络络的的的的入入入入侵侵侵侵检检检检测测测测技技技技术术术术、虚虚虚虚拟拟拟拟专专专专用用用用网网网网技技技技术术术术、病病病病毒毒毒毒防防防防护护护护技技技技术术术术、漏漏漏漏洞洞洞洞

73、扫扫扫扫描描描描技技技技术、综合安全服务技术等。术、综合安全服务技术等。术、综合安全服务技术等。术、综合安全服务技术等。不不不不同同同同的的的的网网网网络络络络安安安安全全全全产产产产品品品品，在在在在安安安安全全全全保保保保障障障障上上上上存存存存在在在在不不不不同的缺陷。同的缺陷。同的缺陷。同的缺陷。65656565信息系统安全性要求信息系统安全性要求设设设设计计计计良良良良好好好好的的的的安安安安全全全全系系系系统统统统应应应应当当当当做做做做到到到到：适适适适应应应应、简单、透明、高效、全面、协作。简单、透明、高效、全面、协作。简单、透明、高效、全面、协作。简单、透明、高效、全面、协作

74、。66666666信息系统安全管理信息系统安全管理从以下方面进行：从以下方面进行：从以下方面进行：从以下方面进行：病病病病毒毒毒毒预预预预控控控控、防防防防非非非非法法法法接接接接入入入入、防防防防内内内内部部部部攻攻攻攻击击击击系系系系统统统统、防防防防内内内内容容容容泄泄泄泄密密密密、内内内内容容容容过过过过滤滤滤滤、设设设设备备备备管管管管理理理理、外外外外联联联联防防防防护护护护、远远远远程程程程监监监监控控控控、用用用用户户户户行行行行为为为为管管管管理理理理、数数数数据据据据还还还还原原原原、强制认证强制认证强制认证强制认证676767674.5 4.5 网络道德与软件知识产权网络

75、道德与软件知识产权4 4 4 4.5.1 .5.1 .5.1 .5.1 网络道德建设网络道德建设网络道德建设网络道德建设4 4 4 4.5.2 .5.2 .5.2 .5.2 软件知识产权软件知识产权软件知识产权软件知识产权保护保护保护保护68686868网络道德建设网络道德建设网络反思网络反思网络反思网络反思上上上上网网网网注注注注意意意意事事事事项项项项：适适适适度度度度上上上上网网网网、警警警警惕惕惕惕污污污污染染染染内内内内容容容容、防防防防止止止止网网网网络络络络的的的的不不不不良良良良影影影影响响响响（丧丧丧丧失失失失责责责责任任任任、网网网网络络络络犯犯犯犯罪、信息欺诈）。罪、信息

76、欺诈）。罪、信息欺诈）。罪、信息欺诈）。互联网信息服务的自律义务准则：互联网信息服务的自律义务准则：互联网信息服务的自律义务准则：互联网信息服务的自律义务准则：69696969软件知识产权保护软件知识产权保护自自自自然然然然人人人人的的的的软软软软件件件件著著著著作作作作权权权权保保保保护护护护期期期期为为为为：自自自自然然然然人人人人终终终终生生生生及及及及其其其其死死死死亡亡亡亡后后后后50505050年年年年，截截截截止止止止于于于于自自自自然然然然人人人人死死死死亡亡亡亡后后后后第第第第50505050年的年的年的年的12121212月月月月31313131日；日；日；日；软软软软件件

77、件件是是是是合合合合作作作作开开开开发发发发的的的的，截截截截止止止止于于于于最最最最后后后后死死死死亡亡亡亡的的的的自自自自然人死亡后第然人死亡后第然人死亡后第然人死亡后第50505050年的年的年的年的12121212月月月月31313131日。日。日。日。法法法法人人人人或或或或者者者者其其其其它它它它组组组组织织织织的的的的软软软软件件件件著著著著作作作作权权权权，保保保保护护护护期期期期为为为为50505050年年年年，截截截截止止止止于于于于软软软软件件件件首首首首次次次次发发发发表表表表后后后后第第第第50505050年年年年的的的的12121212月月月月31313131日日日

78、日，但但但但软软软软件件件件自自自自开开开开发发发发完完完完成成成成之之之之日日日日起起起起50505050年年年年内未发表的，条例不再保护。内未发表的，条例不再保护。内未发表的，条例不再保护。内未发表的，条例不再保护。70707070软件知识产权的基本特征软件知识产权的基本特征价值性、专有性、地域性、时间性价值性、专有性、地域性、时间性价值性、专有性、地域性、时间性价值性、专有性、地域性、时间性71717171软件知识产权法规软件知识产权法规 软软软软件件件件产产产产品品品品：指指指指向向向向用用用用户户户户提提提提供供供供的的的的计计计计算算算算机机机机软软软软件件件件、信信信信息息息息系

79、系系系统统统统或或或或设设设设备备备备中中中中嵌嵌嵌嵌入入入入的的的的软软软软件件件件、或或或或在在在在提提提提供供供供计计计计算算算算机机机机信信信信息息息息系系系系统统统统集集集集成成成成、应应应应用用用用服服服服务务务务等等等等技技技技术术术术服服服服务务务务时时时时提提提提供供供供的的的的计算机软件。计算机软件。计算机软件。计算机软件。国国国国产产产产软软软软件件件件：指指指指在在在在我我我我国国国国境境境境内内内内开开开开发发发发生生生生产产产产的的的的软软软软件件件件产产产产品品品品。进进进进口口口口软软软软件件件件是是是是指指指指在在在在我我我我国国国国境境境境外外外外开开开开发

80、发发发，以以以以各各各各种种种种形形形形式在我国生产、经营的软件产品。式在我国生产、经营的软件产品。式在我国生产、经营的软件产品。式在我国生产、经营的软件产品。不能从事的软件活动不能从事的软件活动不能从事的软件活动不能从事的软件活动72727272软件知识产权法规软件知识产权法规我国近年来的法律法规：我国近年来的法律法规：我国近年来的法律法规：我国近年来的法律法规：2000200020002000年年年年10101010月月月月8 8 8 8日起施行日起施行日起施行日起施行软件产品管理办法软件产品管理办法软件产品管理办法软件产品管理办法 2001200120012001年年年年1 1 1 1月

81、月月月1 1 1 1日起施行日起施行日起施行日起施行计算机软件保护条例计算机软件保护条例计算机软件保护条例计算机软件保护条例2001200120012001年年年年10101010月月月月27272727日日日日对对对对中中中中华华华华人人人人民民民民共共共共和和和和国国国国著著著著作作作作权权权权法法法法的的的的修修修修改改改改等等等等等等等等，对对对对网网网网络络络络和和和和数数数数字字字字化化化化条条条条件件件件下下下下的的的的软软软软件件件件知知知知识识识识产产产产权权权权（知识产权）保护予以规范。（知识产权）保护予以规范。（知识产权）保护予以规范。（知识产权）保护予以规范。73737373软件知识产权保护的常用技术软件知识产权保护的常用技术 防火墙技术防火墙技术防火墙技术防火墙技术加密技术加密技术加密技术加密技术认证技术认证技术认证技术认证技术74747474