信息安全知识（第九章）

前言 

        这一章看标题就知道，都是概念性的东西，安全常识，这个比较轻松，看吧。

一、信息安全性基本概念

1. 信息系统的定义：

   • 信息系统由计算机系统和网络系统组成，包括计算机以及与之配套的各种设备、设施。
   • 信息系统是通过计算机对信息进行采集、加工和处理，可以实现特定应用目标的人机系统。

2. 信息安全服务：

   • 身份认证：身份认证的服务方式包括同层实体的身份认证、数据源身份认证、同层实体的相互身份认证。
   • 访问控制：对没有合法访问权限的用户的访问加以控制或对合法用户对系统资源的破坏行为加以控制。
   • 数据保密：保证信息在存储、传输、使用过程中不被未授权的实体访问，从而防止信息泄露。
   • 数据完整性：保证信息在存储、传输、使用过程中不被未授权的实体更改或破坏。
   • 不可否认服务：防范对话的两个实体中任一实体否认自己曾经执行过的操作。

3. 计算机病毒定义及特点：

   • 计算机病毒定义：指在计算机程序中插入或编制的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。
   • 特点：隐蔽性、传染性、破坏性、潜伏性。
   • 感染标志：通常为数字或字符串，以 ASCII 码方式存放在程序里，又称病毒签名。
   • 引导模块：当病毒的宿主程序开始工作时将病毒程序从外存引入内存，使其与宿主程序独立。
   • 感染模块：将病毒传染给其他计算机程序，使病毒向外扩散。
   • 表现模块：是病毒的核心部分，体现病毒制造者的意图，主要负责实施计算机病毒的破坏动作，其内部是实现病毒编写者预定破坏动作的代码。

4. 计算机病毒的两种状态：

   • 静态：计算机病毒存在于辅助存储介质中，病毒未被加载，未进入内存，不能获得系统执行权限。
   • 动态：病毒完成引导，进入内存，就处于运行状态，会监视系统运行状态或窃取系统控制权。病毒由静态转为动态叫病毒的启动。
   • 内存中的动态病毒又分为可激活态和激活态。处于可激活态的病毒表示可以被执行病毒代码，只能获得部分系统控制权，处于激活态的病毒正在执行病毒代码，获得全部系统控制权。

5. 计算机病毒的类型：

   • 程序型病毒：以文件扩展名为 COM、EXE、SYS、DLL、OVL 或.SCR 的程序文件作为感染目标。
   • 引导型病毒：以硬盘和软盘的系统区为感染对象。系统区是病毒从一台计算机传到另一台计算机最有效的传播途径。
   • 宏病毒：以具有宏功能的数据文件为感染对象。word 或 excel 文档和模板极易遭到攻击。
   • 特洛伊木马型的病毒：不会自我复制，但会对文件造成破坏，或在计算机中植入病毒。例：BOBO 病毒是一种特洛伊木马型的恶意程序，它会潜入计算机，窃取用户合法账户名和口令，使网络入侵者侵入用户网络。

6. 计算机病毒的传播途径：

   • 通过计算机硬件设备（硬盘、软盘、磁带等）进行传播。
   • 随单位内部计算机网络及 internet 的普及和深入，网络成为病毒传播的更快捷的途径。
   • 通过点对点通信系统和无线通道传播。

7. 计算机病毒的特点：

   • 传播速度快。
   • 危害性大。
   • 变种多。
   • 难以控制，难以根治，容易引起多次爆发。
   • 具有病毒、蠕虫和后门（黑客）程序的功能。

二、入侵检测与防范措施

1. 防火墙：

   • 是阻止网络外面的人访问网络的设备，可以是软件和硬件的组合。是网络互联中的第一道屏障。
   • 防火墙的作用：
     • 访问控制。
     • 增强保密性，阻止攻击者攻击网络系统有用信息。
     • 记录和统计网络利用数据及非法使用数据。
     • 提供流量控制和防攻击检测等手段。

2. 入侵检测：

   • 是对防火墙的补充，可以实时检测网络和主机的运行，对网络中出现的各种攻击行为给予响应，为网络安全提供实时保护。
   • 入侵检测的基础是信号收集，核心是信息分析。
   • 入侵检测的非法对象：企图潜入系统或已成功潜入者，冒充合法用户，违反安全策略，泄露合法用户的信息，资源挤占，恶意攻击或非法使用等行为。
   • 入侵检测的分析方法：
     • 异常检测模型：以正常操作具有的稳定特征作参照，用户活动与行为发生重大偏差时，被认定为异常入侵现象。
     • 误用检测模型：收集非正常操作的行为特征，并建立相关特征库，当监测的用户或系统行为与标准库中记录相匹配时，认定这种行为是入侵现象。

三、计算机犯罪

1. 我国最高人民检察院对计算机犯罪的分类：

   • 破坏计算机系统犯罪。
   • 非法侵入计算机系统犯罪。
   • 窃用计算机服务犯罪。
   • 计算机资产犯罪。
   • 滥用计算机犯罪。

2. 国际 “关于网络犯罪的公约” 明确规定的犯罪行为：

   • 数据欺骗：非法篡改数据或输入数据。
   • 特洛伊木马术：非法装入秘密指令或程序，由计算机实施犯罪活动。
   • 香肠术：从金融信息系统中一点点窃取存款，积少成多。
   • 超级冲杀：用共享程序突破系统防护，进行非法存取或破坏数据和系统功能。
   • 异步攻击：将犯罪指令掺杂在正常作业程序中，获取数据文件。
   • 伪造证件：伪造信用卡、磁卡、存折等。

3. 安全分类：

   • 机房安全属于物理安全。
   • 入侵检测属于网络安全。
   • 漏洞补丁管理属于系统安全。
   • 数据库安全属于应用安全。

四、习题

一、选择题

1. 信息系统由什么组成？（ ）
   A. 仅计算机系统
   B. 计算机系统和网络系统，以及与之配套的设备设施
   C. 只有网络系统
   D. 各种软件程序

答案：B

1. 以下哪种不属于信息安全服务？（ ）
   A. 数据压缩
   B. 身份认证
   C. 访问控制
   D. 数据保密

答案：A

1. 计算机病毒的特点不包括以下哪一项？（ ）
   A. 可自我修复
   B. 隐蔽性
   C. 传染性
   D. 破坏性

答案：A

1. 引导型病毒以什么为感染对象？（ ）
   A. 硬盘和软盘的系统区
   B. 特定的数据文件
   C. 内存中的程序
   D. 网络数据包

答案：A

1. 入侵检测的核心是什么？（ ）
   A. 数据收集
   B. 信息分析
   C. 网络监控
   D. 防火墙设置

答案：B

二、填空题

1. 信息安全服务包括身份认证、访问控制、数据保密、数据完整性和________。

答案：不可否认服务

1. 计算机病毒由静态转为动态被称为________。

答案：病毒的启动

1. 内存中的动态病毒分为可激活态和________。

答案：激活态

1. 防火墙是网络互联中的第一道屏障，其作用包括访问控制、增强保密性、记录和统计网络利用数据及非法使用数据、提供流量控制和________等手段。

答案：防攻击检测

1. 入侵检测的分析方法有异常检测模型和________检测模型。

答案：误用

三、简答题

1. 简述信息系统的定义。

答案：信息系统由计算机系统和网络系统组成，包括计算机以及与之配套的各种设备、设施。信息系统是通过计算机对信息进行采集、加工和处理，可以实现特定应用目标的人机系统。

1. 计算机病毒有哪些特点？

答案：计算机病毒具有隐蔽性、传染性、破坏性、潜伏性、传播速度快、危害性大、变种多、难以控制难以根治容易引起多次爆发、具有病毒蠕虫和后门（黑客）程序的功能等特点。

1. 计算机病毒有哪些类型？

答案：计算机病毒包括程序型病毒（以文件扩展名为 COM、EXE、SYS、DLL、OVL 或.SCR 的程序文件作为感染目标）、引导型病毒（以硬盘和软盘的系统区为感染对象）、宏病毒（以具有宏功能的数据文件为感染对象）、特洛伊木马型的病毒（不会自我复制，但会对文件造成破坏，或在计算机中植入病毒）。

1. 计算机病毒的传播途径有哪些？

答案：计算机病毒可以通过计算机硬件设备（硬盘、软盘、磁带等）进行传播；随单位内部计算机网络及 internet 的普及和深入，网络成为病毒传播的更快捷的途径；通过点对点通信系统和无线通道传播。

1. 简述防火墙的作用。

答案：防火墙是阻止网络外面的人访问网络的设备，可以是软件和硬件的组合。其作用包括访问控制、增强保密性，阻止攻击者攻击网络系统有用信息、记录和统计网络利用数据及非法使用数据、提供流量控制和防攻击检测等手段。