第四章信息系统安全与职业道德.pptVIP

第四章 信息系统安全与职业道德 主要内容 4.1 信息系统安全知识 4.2 计算机病毒及防治技术 4.3 信息安全技术 4.4 信息系统安全规划及管理 4.5 网络道德和软件知识产权 4.1 信息系统安全概述 4.1.1 什么是信息安全 4.1.2 安全威胁 4.1.1 什么是信息安全 信息安全：指对信息资源实施保护，以防止其未经授权的泄漏、修改、破坏，而不管这种行为是偶然的还是故意的。 表现形式及要求：随信息应用的主体、环境和要求的不同而不同。 目的：对信息资源实施全面管理和控制，保证信息在存取、处理和传输过程中的机密性、完整性和可用性。 4.1.1 什么是信息安全 体现在８个层面：信息安全理念、信息安全观点、信息安全机制、物理安全、运行安全、数据安全、内容安全、信息对抗 安全是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。 4.1.2 安全威胁 来源：各种失误、出错、病毒、攻击以及软件和硬件设计的后门。 威胁种类： 4.2 计算机病毒及防治技术 一、概述 1. 计算机病毒概述 2. 计算机病毒的分类 3. 病毒实例分析 4. 计算机病毒的检测 5. 计算机病毒的防范 6. 计算机病毒的发展趋势 二、网络黑客及防范 概述 定义：一段计算机程序代码，被嵌入在正常的计算机程序中，能破坏计算机功能，影响计算机正常使用，通常能自我复制。 特征：隐蔽性、传染性、潜伏性、破坏性以及可触发运行性。 危害：对数据信息的直接破坏、占用磁盘空间、抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒给用户造成严重的心理压力等。 计算机病毒的分类 按病毒的传染方式分： 引导型病毒 文件型病毒 复合型病毒 计算机病毒的分类 按病毒的连接方式分： 源码型病毒：攻击高级语言编写的源程序，源程序中插入病毒程序，随源程序一起编译、链接成可执行文件，此可执行文件已感染病毒。 入侵型病毒：用自身代替正常程序中的部分模块或堆栈区，攻击特定程序，针对性强，难以发现、清除。 操作系统型病毒：用其自身部分加入或替代操作系统的部分功能。 外壳型病毒：将自身附在正常程序的开头或结尾，相当于给程序加了个外壳。 引导型病毒 定义：指寄生在磁盘引导区或主引导区的计算机病毒。 危害：利用系统引导时不对主引导区内容的正确性进行判别的缺点，在引导系统的过程中侵入系统，驻留内存，监视系统运行，伺机传染和破坏。 典型病毒：如大麻病毒、小球病毒等 执行框图 引导型病毒执行框图 文件型病毒 定义：指能够寄生在文件中的计算机病毒。 危害：感染可执行文件或数据文件。当这些文件被执行时，病毒程序也跟着被执行。 典型病毒：如宏病毒。 执行框图 文件型病毒执行框图 复合型病毒 定义：具有引导型病毒和文件型病毒的特性。 危害：扩大了病毒程序的传染途径，既感染磁盘的引导记录，又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时，病毒都会被激活，具有相当程度的传染力，一旦发作，后果十分严重。 典型病毒：如Flip病毒、新世纪病毒等。 病毒实例分析 1、CIH病毒 2、宏病毒 3、网络病毒 CIH病毒 特点：一种文件型病毒，感染Windows95/98环境下PE格式的EXE文件。 主要危害：病毒发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原内容会被彻底破坏，主机无法启动。 宏病毒 利用软件所支持的宏命令编写成的具有复制、传染能力的宏，是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在Macintosh System 7 Windows、 Windows 9X、NT/2000和OS/2等操作系统上执行。 网络病毒 专指在网络上传播、并对网络进行破坏的病毒；也指HTML病毒、E-mail病毒、Java病毒以及与因特网有关的病毒等。 计算机病毒的检测 异常情况判断 计算机病毒的检测手段 特征代码法 校验和法 行为监测法 特征代码法 检测已知病毒的最简单、开销最小的方法。 实现步骤： 采集已知病毒样本 在病毒样本中，抽取特征代码 打开被检测文件，在文件中搜索病毒特征代码。 缺点：速度慢，误报警率低，不能检查多形性病毒，并且不能对付隐蔽性病毒。 校验和法 对正常文件的内容计算校验和，并将结果写入文件中。使用时，定期对文件当前内容的校验和进行计算，与保存的原值比较，查看是否一致，以发现文件是否被感染。 优点：方法简单，能发现文件的细微变化，能发现未知病毒； 缺点：会误报警，不能识别病毒名称，不能对付隐蔽型病毒。 行为监测法 监测是否有程序试图改变计算机系统中的一些关键数据。 优点：能发现未知病毒，可相当准确地预报未知的多数病毒； 缺点：可能误报警，不能识别病毒名称，同时实现时有一定难度。 计算机病毒的防范 防范计