网络信息安全B

网络信息安全主讲：韩彤波汉中市政府信息中心htb@hanzhong.gov.cn目录•1.信息系统面临的安全威胁•2.网络信息安全概述•3.初步入门：保护自己的隐私•4.计算机病毒防御入门•5.计算机木马防御入门•6.计算机蠕虫防御入门•7.杀毒软件的使用(瑞星)•8.WindowsXPSP2防火墙一.信息系统面临的安全威胁•1.信息系统面临的安全威胁概述•互联网的基本特点是全球性的广泛连接。这种广泛的连接使信息资源的作用得到了极其充分的发挥，但也正是这种广泛连接又导致了众多不安全因素的进入。•A.网络系统是为使用而设计的，不是为破坏而设计。就象汽车挡风玻璃不能防止打砸一样，只要你去破坏，总能成功；•B.网络系统是为实用而设计，不是为理想而设计。绝对安全的系统是不存在的，也是没必要的，剑走偏峰也会成功；•C.网络系统是为大众而设计，不是为个别人设计。所有信息网络安全防范技术也是为大众设计，只防君子而不防小人；•第四，网络系统是为经济而设计，不是为奢华而设计。在市场、实用性、安全性与普适性之间，安全性是排在最后的，安全只能是相对的。•2.威胁的动机•恶作剧闲极无聊又具备一定的技能，总想访问所有感兴趣的站点•扬名证明自己的实力，得到同类的尊敬与认可•报复被停职，解雇，降职或不公正的待遇，进行报复，后果很可怕•无知正在学习计算机和网络，无意中发现一个弱点漏洞可能导致数据摧毁或执行误操作•利益驱动为获巨额报酬受雇于人，帮人攻入目标系统盗窃或篡改信息•政治目的破坏，窃取情报，信息战•3.威胁的方式方法•计算机病毒•特洛伊木马/后门程序•黑客入侵•蓄意破坏•来自内部的攻击（90%相关）•线路窃听/截取•辐射窃密•其它犯罪ApplicationTransportNetworkLink•4.网络攻击的一般过程•确定攻击目标→网络或网络主机•收集目标相关信息→帐号、路由、域名及自治系统•目标的前期侦察与摸底→服务、弱点漏洞、防护情况•试探式攻击→取得初步进入目标系统的条件•实施攻击→获取足够的访问权•访问系统→获取信息•周边系统分析→信任主机分析、网络拓扑结构分析•后门的安插与隐蔽→嗅探器、后门、特洛伊木马等•消去痕迹→日志、审计、网络监控等清理潜伏代码满足条件否？满足而爆炸满足而爆炸•5.安全事件趋势统计二.网络信息安全概述•1.安全的概念•安全（security）的定义是“防范潜在的危机”。•安全不是纯粹的技术问题，是一项复杂的系统工程—信息安全工程论•安全是策略，技术与管理的综合组织人才政策法规安全技术安全策略管理•2.通俗的安全•“进不来”→→→使用访问控制机制，阻止非授权用户进入网络进不来•“拿不走”→→→使用授权机制，实现对用户的权限控制，即不该拿走的拿不走•“看不懂”→→→使用加密机制，确保信息不暴漏给未授权的实体或进程看不懂•“改不了”→→→使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人改不了•“走不脱”→→→使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者走不脱•3.个人电脑常见的被入侵方式•(1)被他人盗取密码；•(2)系统中被中木马；•(3)浏览网页时被恶意的javascrpit程序攻击；•(4)QQ被攻击或泄漏信息供他人攻击；•(5)病毒感染；•(6)系统存在漏洞使他人攻击自己。•4.网络上的密码•超过80%的安全侵犯都是由于选用了拙劣的口令而导致的。这样，80%的入侵可以通过选择好的口令来阻止。因此我们在设定密码的时候应该遵循以下的几个原则：•口令应该包括大小写字母，最好能加上控制符和数字•口令不要太常规，例如111、aaa、123、用户名称、生日、电话号码、常用单词等等；•不要在很多的账户中使用同一个口令；•应保守口令秘密并经常改变口令，不要循环使用旧的口?•在外面的网吧或是在公司的机器上上网时会遇到IE提示的是否保存密码，这时我们一定不能选择保存密码三、初步入门：保护自己的隐私•1.彻底的删除文件•2.隐藏曾经使用过的文档•3.对重要文档进行密码保护•4.清除网页访问历史记录•5.设置帐户权限和口令•6.暂时离开时设置屏保密码四.计算机病毒防御入门•1.什么是计算机病毒•计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。•所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。•3.计算机病毒的特点•A.程序性计算机病毒与其他合法程序一样，是一段可执行程序•B.传染性正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上•C.潜伏性病毒程序不用专用检测程序是检查不出来•D.触发性计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏•E.破坏性所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源•F.主动性病毒对系统的攻击是主动的，不以人的意志为转移的•G.针对性计算机病毒是针对特定的计算机和特定的操作系统的•H.非授权性病毒的动作、目的对用户是未知的，是未经用户允许的•I.隐蔽性通常附在正常程序中或磁盘较隐蔽的地方•J.衍生性衍生出不同于原版本的新的计算机病毒（又称为变种）K.寄生性依赖于宿主程序的执行而生存L.不可预见性、欺骗性、持久性•4.计算机病毒的工作过程•A.传染源：病毒总是依附于某些存储价质，例如软盘、硬盘等构成传染源。•B.传染媒介：可能是计算机网，也可能是可移动的存储介质•C.病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始作用•D.病毒触发：计算机病毒一旦被激活，立刻就发生作用，触发的条件是多样化的，可以是内部时钟，系统的日期，用户标识符，也可能是系统一次通信等等。•E.病毒表现：表现是病毒的主要目的之一，有时在屏幕显示出来，有时则表现为破坏系统数据•F.传染：病毒复制一个自身副本到传染对象中去。•5.辩证的看待病毒•用户碰到电脑莫名其妙死机的情况，九成以上都会归结为病毒的破坏，但是实际上，这些死机更多的是硬件故障或者操作系统本身的问题造成的，真正由于病毒破坏造成的死机最多不超过50％。•数据显示，80％以上的计算机用户遭遇过病毒，而且遭遇病毒的次数都远远大于一次。但是另一方面，根据统计，实际用户在使用电脑的过程中，一半以上归结为病毒的现象，都是由于硬件故障或者对于软件的使用不当造成的。•消除对病毒的恐惧，可以坦然的对待病毒。•关于windows和病毒的关系的笑话•windows是病毒吗？当然不是，虽然他们都使用大量系统资源用于复制，使系统变慢。病毒有时会用大量垃圾充满你的硬盘，windows也会。病毒通常在用户不知道的情况下和一些有用的程序结合在一起，这一点也和windows一样。病毒经常使用户感到系统很慢，从而想升级硬件，这一点也和windows类似。到目前为止，好象windows是病毒，但是，二者有着本质的区别：病毒通常由它们的作者提供良好的支持，而且可以在所有的系统上运行，而且它们的代码短小，执行速度快，而且越来越成熟，但windows不是这样，所以，windows绝对不是病毒！！！！•6.计算机病毒的现象•①屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱；•②程序装入时间增长，文件运行速度下降；•③用户没有访问的设备出现工作信号；•④磁盘出现莫名其妙的文件和坏块，卷标发生变化；•⑤系统自行引导；•⑥丢失数据或程序，文件字节数发生变化；•⑦内存空间、磁盘空间减小；•⑧异常死机；•⑨磁盘访问时间比平时增长；•⑩系统引导时间增长。•与病毒现象类似的硬件故障•A.系统的硬件配置导致一些软件不能够正常运行•B.电源电压不稳定导致用户文件在磁盘读写时出现丢失或被破坏的现象•C.插件接触不良会使某些设备出现时好时坏的现象•D.CMOS的问题集成声卡、网卡的故障、系统的引导速度和一些程序的运行速度减慢可能与CMOS有关•与病毒现象类似的软件故障•A.软件卸载不完全导致出现类似“软件程序已被破坏”等系统提示现象或软件不能使用现象•B.不同软件之间的独占性安装导致OCX文件或DLL文件版本冲突，应用软件无法正常用•C.个别优化软件破坏系统默认设定导致一些系统功能无法使用•D.操作不当操作不当或突然断电等造成系统或软件问题•7.病毒是怎么进入我们计算机的•计算机病毒必须要“搭载”到计算机上才能感染系统，通常它们是附加在某个文件上。计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行•电子邮件网络下载光盘局域网磁盘网络浏览•8.病毒的防治策略•计算机病毒的防治要从防毒、查毒、解毒三方面来进行•A.防毒→→是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。•B.查毒→→是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。•C.解毒→→是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。•9.防病毒需知•A.确保给管理员一个高强度的口令•B.使用WindowsUpdate下载安装所有重要更新补丁•C.安装防病毒产品并保证更新最新的病毒定义码，首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描•D.使用基于客户端的防火墙或过滤措施•E.决不打开来历不明邮件的附件或你并未预期接到的附件•F.不要从任何不可靠的渠道下载任何软件•G.警惕欺骗性的病毒•H.不要用共享的软盘、优盘、移动硬盘安装软件•10.中毒后的解决办法•A.在解毒之前，要先备份重要的数据文件。•B.启动反病毒软件，并对整个硬盘进行扫描。•C.发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。同时，我们还应将病毒样本送交反病毒软件厂商的研究中心，以供详细分析。•D.某些病毒在Windows98状态下无法完全清除（如CIH病毒就是如此），此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。•2.计算机病毒的演变历史•20世纪80年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。•随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。1988年出现了第一个Internet蠕虫病毒•自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等(P2P)文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。•1.扎好自己的篱笆，看好自己的门•你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的五.计算机木马防