模块五:网络管理与安全2007.06主要学习内容•5-1网络安全的概念及面临的威胁•5-2计算机网络系统的安全等级•5-3计算机网络安全的体系结构•5-4实训:Win2000系统的安全防范•5-5病毒与反病毒•5-6实训:杀毒软件和防火墙的安装、使用•5-7有关黑客•5-8网络安全的其它常用防范技术5-1网络安全的概念及面临的威胁•5-1-1网络安全的概念•5-1-2网络常见攻击方式•5-1-3网络系统存在的脆弱性•5-1-4网络系统面临的威胁5-1-1网络安全的概念•网络安全(NetworkSecurity)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。5-1-1网络安全的概念•网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,确保系统能练习可靠正常地运行,网络服务不中断。5-1-2网络中常见的攻击方式•窃取机密攻击•电子欺骗攻击•拒绝服务攻击IP电子欺骗;ARP电子欺骗;DNS电子欺骗•社会工程•恶意代码攻击窃取机密攻击:是指未经授权的攻击者非法访问网络,窃取机密信息的情况。电子欺骗:是指攻击者伪造源于一个可信任地址的数据包以使机器信任另一台机器的电子攻击手段。IP电子欺骗:是攻击者攻克Internet防火墙系统最常用的方法,也是许多其他攻击方法的基础。它是通过伪造某台主机的IP地址,使得某台主机能够伪装成另外一台主机,而这台主机往往具有某种特权或被其他的主机所信任。ARP电子欺骗:一种更改ARPCache的技术。Cache中含有IP物理地址的映射信息,如果攻击者更改了ARPCache的IP与物理地址连接,来自目标的数据包就能直接被发送到攻击者的物理地址。DNS电子欺骗:是攻击者危害DNS服务器并明确的更改主机名和IP地址映射表。当这些改变被写入DNS服务器上的转换表后,当一个客户机请示查询时,用户只能得到这个伪造的地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器上,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。拒绝服务攻击(DOS)主要目的是拒绝服务访问,破坏组织的正常运行,最终使系统的部分Internet连接和网络系统失效。最基本的DOS攻击是利用合理的服务请求来占用过多的服务资源,从而使合法的用户无法得到服务。分布式拒绝服务是一种分布、协作的大规模攻击方式,利用一批受控制的机器向一台机器发起进攻,具有很大的破坏性。社会工程:是一种低技术含量的破坏网络安全的方法,被大家认为是黑客群体中最无赖的方法。这种技术是利用说服或欺骗的方式,让网络内部的人来提供必要的信息从而获得对信息系统的访问。恶意代码攻击:是对信息最大的威胁,恶意代码包括计算机病毒、蠕虫病毒、特洛伊木马程序、移动代码及间谍软件等。5-1-3计算机网络系统的脆弱性•计算机系统本身的脆弱性•通信设施的脆弱性•数据库安全的脆弱性计算机系统本身的脆弱性原因:a.操作系统的程序支持程序与数据的动态连接,包括I/O的驱动程序与系统服务都可以用打“补丁”的方式进行动态连接;b.操作系统的支持在网络上传输文件的功能也带来不安全因素;c.操作系统可以创建进程,更重要的是被创建的进程可以继承创建进程的权力,这一点同网络上加载程序结合就可以在远端服务器上安装“间谍”软件;d.操作系统有无口令入口;e.操作系统有隐蔽通道。5-1-4计算机网络系统面临的威胁表现方面:a.非授权访问b.泄漏信息c.破坏信息d.拒绝服务e.计算机病毒5-2网络系统的安全等级四类七级:D1、C1、C2、B1、B2、B3、AD1:最低保护C级有两个安全子级别:C1和C2级;C1级又称为自选安全保护系统,C2级除了包含C1级的特性外,C2级还包含了创建受控访问环境的安全特征B级包含三个级别:B1有标签的安全保护,系统支持多级安全;B2级又被称为结构化安全保护;B3级:安全域机制,该级要求用户工作站或终端必须通过可信任途径连接到网络系统,同时必须采用硬件来保护安全系统的存储区。A级是最高级别,又称验证设计。我国也在2001年1月1日实施了《计算机信息系统安全保护等级划分准则》,该准则将信息系统安全分为5个等级:自主保护级——〉C1,它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏;系统审计保护级——〉C2,除具备第一级的安全保护功能外,要求创建和维护访问的审计跟踪纪录,是所有用户对自己的行为的合法性负责;安全标记保护级——〉B1,属强制保护;访问验证保护级——〉B3~A,增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。5-3网络安全的基本体系•物理安全•网络安全•信息安全鉴别数据传输安全系统数据存储安全系统•安全管理5-3-1物理安全•物理安全指网络系统中各通信计算机设备以及相关设备的物理保护。•物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。--〉机房机箱硬盘通电正常顺序:先开显示器电源--〉再开主机电源断电正常顺序:先断主机电源--〉再断显示器电源5-4实训:Win2000系统的安全防范•安装系统补丁:WindowsUpdate•设置安全密码•安装、设置杀毒软件和防火墙及时升级•设置本地安全策略•安全使用计算机5-4实训:Win2000系统的安全防范•练习任务一:本地安全策略的使用•练习任务二:IE浏览器的安全设置5-5病毒与反病毒本章主要内容:1.计算机病毒2.计算机病毒的传播3.计算机病毒的特点及破坏行为5-5-1什么是计算机病毒?•计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。《中华人民共和国计算机信息系统安全保护条例》第二十八条5-5-1什么是计算机病毒通常,计算机病毒可分为下列几类。(1)文件病毒。(2)引导扇区病毒。它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录(分区扇区中插入指令)。(3)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延。5-5-1什么是计算机病毒(4)秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性。(5)异形病毒。这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式。(6)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。5-5-2计算机病毒的传播计算机病毒的由来计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序。最早被记录在案的病毒之一是1983年由南加州大学学生FredCohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到“自我破坏”。1985年病毒程序通过电子公告牌向公众提供。病毒的产生原因1.软件版权的保护2.天才程序员的自我表现和自我炫耀3.经济上的利益4.出于政治目的5.军事专家利用病毒进行“电脑战争”6.个人对社会不满或受到不公正待遇7.因宗教、民族、专利等方面的需求而专门编写的计算机病毒计算机病毒的传播计算机病毒的传播计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中,可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验室和其它共享设备。此外,也可以有其它的入侵点。病毒一旦进入系统以后,通常用以下两种方式传播:(1)通过磁盘的关键区域;(2)在可执行的文件中。病毒的传播途径•移动存储设备(软盘、光盘、磁带、ZIP、JAZ、U盘/USB活动硬盘等等)•电子函件•BBS和新闻组•Web页面•局域网和Internet(文件共享、FTP等)•...计算机病毒的传播计算机病毒的工作方式一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。1.感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上,感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒。(1)引导扇区病毒引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。计算机病毒的传播引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。计算机病毒的传播(2)文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常。计算机病毒的传播覆盖型文件病毒的一个特点是不改变文件的长度,使原始文件看起来非常正常。即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型文件病毒将病毒代码附加在可执行文件的末尾。伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。当运行.EXE文件时,控制权就转到隐藏的.com文件,病毒程序就得以运行。当执行完之后,控制权又返回到.exe文件。计算机病毒的传播2.变异变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种“功能”。变异是病毒可以创建类似于自己,但又不同于自身“品种”的一种技术,它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。3.触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先置于未触发状态。如以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。计算机病毒的传播4.破坏破坏,是大多数人所提心吊胆的。破坏的形式是多种多样的,从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。5.高级功能病毒计算机病毒经过几代的发展,在功能方面日趋高级,它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同。5-5-3计算机病毒的特点及破坏行为计算机病毒的特点根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点。1.刻意编写人为破坏2.自我复制能力3.夺取系统控制权4.隐蔽性5.潜伏性6.不可预见性5-5-3计算机病毒的特点及破坏行为计算机病毒的破坏行为(1)攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。(2)攻击文件。病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。(3)攻击内存。内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。5-5-3计算机病毒的特点及破坏行为(4)干扰系统运行,使运行速度下降。此类行为也是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。(5)干扰键盘、喇叭或屏幕。病毒干扰键盘操作,如响铃、封锁键盘、换