《计算机系统安全与数据备份技术优秀PPT.ppt》由会员分享,可在线阅读,更多相关《计算机系统安全与数据备份技术优秀PPT.ppt(91页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、计算机系统安全与数据备份技术现在学习的是第1页,共91页 何为“计算机安全”?国际标准化委员会对计算机安全的定义提出建议,即“为数据处理系统建立和采取的技术的和管理的安全保护,保护计算机硬件、软件,数据不因偶然的或恶意的原因而遭破坏、更改、显露”。计算机安全包括:实体安全,软件安全,数据安全和运行安全。从内容来看,包括计算机安全技术、计算机安全管理、计算机安全评价、计算机犯罪与侦查、计算机安全法律以及计算机安全理论与政策等内容。另一方面,计算机网络是现代人类生活最重要的组成部份,而网络安全最根本的任务是计算机系统的安全,只有当计算机系统的安全得到了有效的保证,才能有效的保证数据的安全和网络的安
2、全。本章着重介绍的就是计算机系统的安全保护技术,包括计算机硬件安全技术、计算机软件的安全技术以及计算机口令安全技术。现在学习的是第2页,共91页计算机安全的类型:计算机安全的类型:造成计算机中存储数据丢失的原因主要是:病毒侵蚀、人为窃取、计算机电磁辐射、计算机存储器硬件损坏等等。到目前为止,已发现的计算机病毒近万种。恶性病毒可使整个计算机软件系统崩溃,数据全毁。欲防止病毒侵袭主要是加强行政管理,杜绝行动外来的软件并定期对系统进行检测,也可以在计算机中插入防病毒卡或使用清病毒软件清除已发现的病毒。人为窃取是指盗用者以合法身份,进入计算机系统,私自提取计算机中的数据或进行修改转移、复制等等。防止的
3、办法一是增设软件系统安全机制,使盗窃者不能以合法身份进入系统。如增加合法用户的标志识别,增加口令,给用户规定不同的权限,使其不能自由访问不该访问的数据区等。二是对数据进行加密处理,即使盗窃者进入系统,没有密钥,也无法读懂数据。三是在计算机内设置操作日志,对重要数据的读、写、修改进行自动记录,这个日志是一个黑匣子,只能极少数有特权的人才能打开,可用来侦破盗窃者。由于计算机硬件本身就是向空间辐射的强大的脉冲源,如和一个小电台差不多,频率在几十千周到上百兆周。盗窃者可以接收计算机辐射出来的电磁波,进行复原,获取计算机中的数据。为此,计算机制造厂家增加了防辐射的措施,从芯片,电磁器件到线路板、电源、转
4、盘、硬盘、显示器及连接线,都全面屏蔽起来,以防电磁波辐射。更进一步,可将机房或整个办公大楼都屏蔽起来,如没有条件建屏蔽机房,可以使用干扰器,发出干扰信号,使接收者无法正常接收有用信号。计算机存储器硬件损坏,使计算机存储数据读不出来也是常见的事。防止这类事故的发生有几种办法,一是将数据定期复制保存,一旦机器故障可及时恢复。二是在计算机中做热备份,可使用双机热备份或双硬盘热备份,保证计算机连续运行。计算机安全的另外一项技术就是加固技术,经过加固技术生产的计算机防震、防水、防化学腐蚀,可以使计算机在野外全天候运行。现在学习的是第3页,共91页3.1计算机硬件安全技术计算机硬件安全技术本节内容 3.1
5、.1 硬件安全内容及硬件保护机制 3.1.2 计算机主设备安全 3.1.3 计算机外部辅助设备安全 现在学习的是第4页,共91页3.1.1 3.1.1 硬件安全内容及硬件保护机制硬件安全内容及硬件保护机制 1.1.计算机硬件安全内容计算机硬件安全内容 l计算机(含服务器及终端计算机);l存储设备(硬盘、光盘、磁带等);l网络通信线缆(光缆、双绞线、同轴电缆等);l网络连接设备(交换机、路由器、防火墙、调制解调器等);l灾难:防雷、电、雨、水、火;l环境:静电、烟、灰尘、温度、湿度;l破坏:人、盗、鼠、病毒;l供电:UPS;l主机:双机热备份、异地备份(冗余备份);l存储:磁盘镜像、磁盘阵列、光
6、盘塔、磁带。现在学习的是第5页,共91页计算机硬件安全计算机硬件安全1 1:计算机硬件是指计算机所用的芯片、板卡及输入输出设备,CPU、内存条、南桥、北桥、BIOS等都属于芯片。硬件也包括显卡、网卡、声卡、控制卡等属于板卡。键盘、显示器、打印机、扫描仪等,属于输入输出设备。这些芯片和硬件设备也会对系统安全构成威胁。(北桥负责CPU和内存、显卡之间的数据交换,南桥负责CPU和PCI总线以及外部设备的数据交换)。CPU会造成电脑性能安全的最大威胁。电脑中的CPU内部集成有运行系统的指令集,这些指令代码是都是保密的,人们并不知道它的安全性如何。据有关资料透漏,国外曾经针对中国所用的CPU集成陷阱指令
7、、病毒指令,并设有激活办法和无线接收指令机构。他们随时可以利用无线代码激活CPU内部指令,造成计算机内部信息外泄、计算机系统灾难性崩溃。还比如显示器、键盘、打印机,它的电磁辐射会把电脑信号扩散到几百米甚至达到一公里以外的地方,针式打印机的辐射甚至达到GSM手机的辐射量。情报人员可以利用专用接收设备把这些电磁信号接收,然后还原,从而实时监视您在电脑上的所有操作,并窃取相关信息。在一些板卡里,比如显卡,甚至声卡的指令集里,都可以集成有病毒程序,这些程序以一定的方式激活,同样会造成电脑系统被遥控或系统崩溃。现在学习的是第6页,共91页计算机硬件安全计算机硬件安全2:还有一些其它芯片,比如在使用现代化
8、武器的战争中,一个国家可能通过给敌对国提供武器的武器制造商,将带有自毁程序的芯片植入敌国的武器装备系统内,也可以将装有木马或逻辑炸弹程序预先置入敌方计算机系统中。需要时,只需激活预置的自毁程序或病毒、逻辑炸弹就可使敌方武器实效、自毁或失去攻击力,或使敌国计算机系统瘫痪。在海湾战争爆发前,美国情报部门获悉,敌对国伊拉克从法国购买了一种用于防空系统的新型电脑打印机,正准备通过约旦首都安曼偷偷运到伊拉克首都巴格达。美国在安曼的特工人员立即行动,偷偷把一套带有病毒的同类芯片换装到了这种电脑打印机内,从而顺利地通过电脑打印机将病毒侵入到了伊拉克军事指挥中心的主机。据称,该芯片是美国马里兰州米德堡国家安全
9、局设计的,该病毒名为AFgl。当美国领导的多国部队空袭伊拉克时发动“沙漠风暴时”,美军就用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。硬件泄密甚至涉及了电源。电源泄密的原理是通过市电电线,把电脑产生的电磁信号沿电线传出去,特工人员利用特殊设备从电源线上就可以把信号截取下来还原。硬件泄密也涉及输入输出设备,如扫描仪,将得到信息通过电源线泄露出去。千万不要以为硬件设备没有生命、不可控,所以就安全。其实,计算机里的每一个部件都是千万不要以为硬件设备没有生命、不可控,所以就安全。其实,计算机里的每一个部件都是可控的,所以叫做可编程控制芯片,如果掌握了控制芯片的程序,就控制了电脑芯片。
10、只要能控制,可控的,所以叫做可编程控制芯片,如果掌握了控制芯片的程序,就控制了电脑芯片。只要能控制,那么它就是不安全的。因此,我们在使用计算机时首先要注意做好电脑硬件的安全防护。那么它就是不安全的。因此,我们在使用计算机时首先要注意做好电脑硬件的安全防护。现在学习的是第7页,共91页 2.2.硬件保护机制硬件保护机制 硬件是组成计算机的基础。硬件保护包括两个方面:一方面指在计算机硬件(包括CPU、内存、缓存、输入/输出通道、外围设备等)上采取的安全防护措施,另一方面是指通过增加硬件设备而达到安全保密的措施。随着计算机技术的发展,超大规模集成电路的广泛应用使计算机的功能越来越完善,更新换代也越来
11、越快。由于硬件安全防护措施的开销大,且不易随着设备的更新换代而改变,因此,许多安全防护功能是由软件来实现的。软件保护措施灵活、易实现、易改变,但它占用资源多、系统开销大,并且运行起来会降低计算机的功能。此外,完全依赖软件的一些保密手段(比如磁盘加密程序)易被软件破译,增加硬件保护才能保证安全可靠。由于这种原因,硬件防护措施仍是计算机安全防护技术中不可缺少的一部分。特别是对于重要的系统,需将硬件防护同系统软件的支持相结合,以确保安全。例如,虚拟存储器保护是一种硬件防护措施,但是其动态地址转换功能需要有一套虚拟存储空间的表格结构,这就需要操作系统的支持。现在学习的是第8页,共91页3.1.2 3.
12、1.2 计算机主设备安全计算机主设备安全 1.1.计算机加锁计算机加锁 计算机加锁是将计算机的重要控制电路的通断用锁来控制。早期的加锁部分包括键盘、内存、硬盘等。由于机械锁常造成电路损坏并诱发故障,现代计算机多采用数字电路锁,将开锁的密码保存在电路中,只有知道密码才能使用设备,如CMOS口令替代了以往的键盘锁。2.2.信息保护卡信息保护卡 防拷贝卡,插座式的数据变换硬件(如安装在并行口上的加密狗等)可成为软件运行的必要条件。由于硬件的不可复制性,限制了软件的非法复制和流传。硬盘保护卡是一种能够保护硬盘数据的硬件卡,有两种主要类型:备份型保护卡和标记型保护卡。备份型保护卡将硬盘分成两部分,一部分
13、备份原始数据,另一部分供用户使用,表面上看硬盘损失了一部份,但安全性比较高。标记型保护卡不损失硬盘空间,但安全性不如备份型保护卡。现在学习的是第9页,共91页3.1.3 3.1.3 计算机外部辅助设备安全计算机外部辅助设备安全 1.1.打印机安全打印机安全 打印机属于精密机电设备,使用时一定要遵守操作规则,出现故障时一定要先切断电源,数据线不要带电插拔。打印敏感信息产生的废稿一定要及时销毁,对于重要数据部门的打印机,要有使用纪录。2.2.磁盘阵列和磁带机安全磁盘阵列和磁带机安全 对于磁盘阵列和磁带机安全要注意防磁、防尘、防潮、防冲击,避免因物理上的损坏而使数据丢失。例如灰尘容易在磁头上聚集,会
14、降低磁头的灵敏度,甚至划伤磁盘或磁带,从而会造成数据的丢失,严重时会导致硬盘或磁带的损失,或者划伤硬盘片,使硬盘报废,造成重大损失。3.3.终端安全终端安全 为了防止他人非法使用计算机终端,可以在终端上加锁,终端与主机之间的通信线路不宜过长,以免被窃听。显示敏感信息的显示器要远离公众,要防止远程偷窥;采用射频通信的显示终端还要防电磁辐射泄漏。现在学习的是第10页,共91页计算机安全违法犯罪行为及攻击手段计算机安全违法犯罪行为及攻击手段 1:(一)窃听(一)窃听1计算机向周围空间(1000米以外)辐射的电磁波可以被截收,解译以后能将信息复现。2搭线窃听是另一种窃取计算机信息和手段,特别对于跨国计
15、算机网络,很难控制和检查国境外是否有搭线窃听。美欧银行均遇到过搭线窃听并改变电子汇兑目的地址的主动式窃听,经向国际刑警组织申请协查,才在第三国查出了窃听设备。(二)越权存取(二)越权存取战争期间,敌对的国家既担心本国计算机中机密数据被他人越权存取,又千方百计窃取别国计算机中的机密。在冷战结束后,各情报机关不仅继续收集他国政治、军事情报,而且将重点转到经济情报上。在金融电子领域用计算机犯罪更加容易,更隐蔽。犯罪金额增加10倍,只不过在键盘上多敲一个“0”。深圳招商银行证券部电脑管理员孙某利用电脑作案,1993年12月至1994年4月挪用公款和贪污资金880万元人民币,被判处死刑缓期执行。(三)黑
16、客(三)黑客采取非法手段躲过计算机网络的存取控制、得以进入计算机网络的人称为黑客。尽管对黑客的定义有许多种,态度“褒”“贬”不一,但黑客的破坏性是客观存在的。黑客干扰计算机网络,并且还破坏数据,甚至有些黑客的“奋斗目标”是渗入政府或军事计算机存取其信息。有的黑客公开宣称全世界没有一台连网的计算机是他不能渗入的,美国五角大楼的计算机专家曾模仿黑客攻击了自己的计算机系统1.2万次,有88%攻击成功。现在学习的是第11页,共91页计算机安全违法犯罪行为及攻击手段计算机安全违法犯罪行为及攻击手段 2:(四)计算机病毒(四)计算机病毒计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据
17、,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。由于传染和发作都可以编制成条件方式,像定时炸弹那样,所以计算机病毒有极强的隐蔽性和突发性。目前病毒种类已有大约有近万种,主要通过DOS、Windows、Windows NT、UNIX等操作系统下传播。早期的计算机病毒主要破坏DOS引导区、文件分配表、可执行文件,后来又出现了专门针对Windows、文本文件、数据库文件的病毒。1999年令计算机用户担忧的CIH病毒,不仅破坏硬盘中的数据而且损坏主板中的BIOS芯片。计算机的网络化又增加了病毒的危害性和清除的困难性。(五)有害信息(五)有害信息这里所谓的有害信息主要是指计算机信息系统及其存
18、储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有恶意攻击党和政府,破坏民族团结等危害国家安全内容的信息;含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息。目前,这类有害信息主要形式有两种,一是通过计算机国际互联网络)进入国内,二是以计算机游戏、教学、工具等各种软件以及多媒体产品等形式流入国内。由于目前计算机软件市场盗版盛行,许多含有有害信息的软件就混杂在众多的盗版软件中。现在学习的是第12页,共91页计算机安全违法犯罪行为及攻击手段计算机安全违法犯罪行为及攻击手段 3:(六)因特网(六)因特网(Internet)带来新的安全问题)带来新的安全问题
19、目前,信息化的浪潮席卷全球,世界正经历着以计算机网络技术为核心的信息革命,信息网络将成为我们这个社会的神经系统,它将改变人类传统的生产、生活方式。但是,网络的发展也带来了一些负面影响,网络的开放性增加了网络安全的脆弱性和复杂性,信息资源的共享和分布处理增加了网络受攻击的可能性。如Internet包含了星型、总线和环型三种基本拓扑结构,而且众多子网异构纷呈,子网向下又连着子网。结构的开放性带来了复杂化,这给网络安全带来很多无法避免的问题,为了实现异构网络的开放性,不可避免要牺牲一些网络安全性。如Internet遍布世界各地,所链接的各种站点地理位置错综复杂、点多面广,通信线路质量难以得保证,可能
20、对传输的信息数据造成失真或丢失,也给专事搭线窃听的间谍和黑客以大量的可乘之机。随着全球信息化的迅猛发展,国家的信息安全和信息主权已成为越来越突出的重大战略问题,关系到国家的稳定与发展。现在学习的是第13页,共91页从电子商务角度看计算机安全问题从电子商务角度看计算机安全问题:计算机电子商务安全从整体上可分为两大部分:计算机电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全计算机网络安全和商务交易安全 现在学习的是第14页,共91页计算机网络安全的内容:计算机网络安全的内容:(1)未进行操作系统相关安全配置)未进行操作系统相关安全配置 不论采用什么操作系统,在缺省安装的条件下都会存
21、在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。网络软件的漏洞和“后门”是进行网络攻击的首选目标。(2)未进行)未进行CGI程序代码审计程序代码审计 如果是通用的CGI(通用网关接口)问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。(3)拒绝服务)拒绝服务DoS和和分布式拒绝服务分布式拒绝服务DDoS随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传
22、统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。(4)安全产品使用不当)安全产品使用不当 虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。(5)缺少严格的网络安全管理制度)缺少严格的网络安全管理制度 网络安全最重要的还是要
23、思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。现在学习的是第15页,共91页计算机商务交易安全的内容:计算机商务交易安全的内容:(1)窃取信息)窃取信息 由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。(2)篡改信息)篡改信息 当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器
24、或网关上都可以做此类工作。(3)假冒)假冒 由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。(4)恶意破坏)恶意破坏 由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,后果是非常严重的。现在学习的是第16页,共91页计算机电子商务安全问题的对策计算机电子商务安全问题的对策:电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。现在学习的是第17页,共91页1 1计算机网络安全措施
25、计算机网络安全措施计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。现在学习的是第18页,共91页(一)保护网络安全。(一)保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:(1)全面规划网络平台的安全策略。(2)制定网络安全的管理措施。(3)使用防火墙。(4)尽可能记录网络上的一切活动。(5)注意对网络设备的物理保护。(6)检验网络平台系统的脆弱性。(7)建立可靠的识别和鉴
26、别机制。现在学习的是第19页,共91页(二)保护应用安全。(二)保护应用安全。保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访
27、问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。现在学习的是第20页,共91页(三)保护系统安全。(三)保护系统安全。保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。(3)建立详细的安全审计日志,以便检测并跟踪入侵攻
28、击等。现在学习的是第21页,共91页2商务交易安全措施商务交易安全措施商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。现在学习的是第22页,共91页(一)加密技术。(一)加密技术。加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。(1)对称加密。)对称加密。对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度
29、快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。(2)非对称加密。)非对称加密。非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。现在学习的是第23页,共91页(二)认证技术。(二)认证技术。认证
30、技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。(1)数字签名。)数字签名。数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机
31、制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。(2)数字证书。)数字证书。数字证书是一个经证书授权中心的数字签名,包含公钥拥有者信息以及公钥的文件,数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名。第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。现在学习的
32、是第24页,共91页三)电子商务的三)电子商务的安全协议安全协议。除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。(1)安全套接层协议)安全套接层协议SSL。SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生
33、数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。(2)安全电子交易协议)安全电子交易协议SET。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十
34、分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。现在学习的是第25页,共91页个人电脑安全防护策略个人电脑安全防护策略:一、一、杀(防)毒软件不可少杀(防)毒软件不可少病毒的发作给全球计算机系统造成巨大损失,令人们谈“毒”色变。上网的人中,很少有谁没被病毒侵害过。对于一般用户而言,首先要做的就是为电脑安装一套正版的杀毒软件。现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”,其实对待电脑病毒应当
35、是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色,即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序,应该定期升级所安装的杀毒软件(如果安装的是网络版,在安装时可先将其设定为自动升级),给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷,现在各杀毒软件厂商的病毒库更新十分频繁,应当设置每天定时更新杀毒实时监控程序的病毒库,以保证其能够抵御最新出现的病毒的攻击。每周要对电脑进行一次全面的杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒
36、。当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。如果病毒无法清除,或者杀毒软件不能做到对病毒体进行清晰的辨认,那么应该将病毒提交给杀毒软件公司,杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时,我们的第一反应应该是拔掉网络连接端口,或按下杀毒软件上的断开网络连接钮。现在学习的是第26页,共91页二、个人防火墙不可替代二、个人防火墙不可替代如果有条件,安装个人防火墙(Fire Wall)以抵御黑客的袭击。所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网
37、络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch)产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。在理想情况下,一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看,这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防
38、火墙软件,防病毒软件中都含有个人防火墙,所以可用同一张光盘运行个人防火墙安装,重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。现在学习的是第27页,共91页四、不下载来路不明的软件及程序四、不下载来路不明的软件及程序不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件(尤其是可执行文件),在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中,比如病毒。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监
39、控网上传递的信息。不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行,有些病毒就是通过电子邮件来传播的,这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件,如果您抵挡不住它的诱惑,而下载或运行了它的附件,就会受到感染,所以对于来历不明的邮件应当将其拒之门外。五、警惕五、警惕“网络钓鱼网络钓鱼”目前,网上一些黑客利用“网络钓鱼”手法进行诈骗,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕,防
40、止上当受骗。现在学习的是第28页,共91页目前目前“网络钓鱼网络钓鱼”的主要手法有以下几种方式:的主要手法有以下几种方式:(1)发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪
41、造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。(3)利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。(4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资
42、金将受到严重威胁。(5)利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。现在学习的是第29页,共91页六、防范间谍软件六、防范间谍软件(1)把浏览器调到较高的安全等级Internet Explorer预设为提供基本的安全防护,但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。(2)在计算机上安装防止间谍软件的应用程序,时常监察及清除电脑的间谍软件,以阻止软件对外进行未经许可的通讯。(3)对将要在计算机上安装的共享软件进行甄别选择,尤其是那些你并不熟悉的,可以登录其官方网
43、站了解详情;在安装共享软件时,不要总是心不在焉地一路单击“OK”按钮,而应仔细阅读各个步骤出现的协议条款,特别留意那些有关间谍软件行为的语句。现在学习的是第30页,共91页七、只在必要时共享文件夹七、只在必要时共享文件夹不要以为你在内部网上共享的文件是安全的,其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前,公众可以自由地访问您的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。一般情况下不要设置文件夹共享,以免成为居心叵测的人进入你的计算机的跳板。如果确实需要共享文件夹,一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全
44、”选项,因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的,其他机器不能写入;Windows2000的共享默认是“可写”的,其他机器可以删除和写入文件,对用户安全构成威胁。不要将整个硬盘设定为共享。例如,某一个访问者将系统文件删除,会导致计算机系统全面崩溃,无法启动。八、不要随意浏览黑客网站、色情网站八、不要随意浏览黑客网站、色情网站这点勿庸多说,不仅是道德层面,而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站,如果你访问了这些网站,而你的个人电脑恰巧又没有缜密的防范措施,哈哈,那么你十有八九会中招,接下来
45、的事情可想而知。九、定期备份重要数据九、定期备份重要数据数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!现在学习的是第31页,共91页计算机安全设置计算机安全设置:1.1.物理安全物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。2.2
46、.停掉停掉Guest Guest 帐号帐号 在计算机管理的用户里面把Guest帐号停用掉,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为Guest帐号的密码拷进去。最好Guest帐户禁用,并将其改名称和描述,然后输入一个不低于12位的密码。如何禁用 Guest账号 打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改
47、名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。现在学习的是第32页,共91页计算机安全设置计算机安全设置:3限制不必要的用户数量限制不必要的用户数量 去掉所有的duplicate user 帐户,测试用帐户,共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。4创建创建2个管理员
48、用帐号个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用“RunAS”命令来执行一些需要特权才能作的一些工作,以方便管理。现在学习的是第33页,共91页5 5把系统把系统administratoradministrator帐号改名帐号改名 大家都知道,indows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。系统管
49、理员账户最好2个,一个是最高权限,另一个只作日常维护用途,还要更改默认的管理员帐户名。(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位;可以新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。6.6.修改共享文件的权限修改共享文件的权限“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。7.7.使用安全密码使
50、用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。在“运行”中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略,将帐户设为“三次登陆无效”,“锁定时间20分钟”,“复位锁定计数设为30分钟”;(以上锁定时间和复位时间看具体情况设置)现在学习的是第34页,共91页 8.设置设置屏幕保护屏幕保护密码密码 很简单也很有必要,设置屏幕保护密码也是防
黑公网安备:91230400333293403D