搜索
计算机网络使用基础网络安全内容提要网络安全的概念安全案例安全威胁的内外因Windows系统安全怎样检测系统入侵保护Protect检测Detect恢复Restore反应ReactIA信息时代人类共同面临的挑战“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新时代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”摘自《保护信息系统国家计划》——美国我国2004年网络安全状况调查发生过信息网络安全事件:58%7%(1次22%、2次13%、3次以上23%)安全事件类型:计算机病毒、蠕虫和木马程序破坏79%垃圾邮件36%拒绝服务、端口扫描和篡改网页等网络攻击43%2003年5月至2004年5月数据统计(7072)2004年网络安全状况调查技术分析报告我国2004年网络安全状况调查2004年网络安全状况调查技术分析报告网络安全产品82%81%22%18%27%11%12%17%18%12%安全技术措施67%31%15%60%16%49%26%44%3%55%……安全事件原因什么是网络安全网络安全是指信息安全和控制安全两部分。信息安全是定义为“信息的完整性、可用性、保密性和可靠性”;控制安全指身份认证、不可否认性、授权和访问控制。;安全是最大程度地减少数据和资源被攻击的可能性信息安全的基本要求安全保密完整性/精确性有效性防止对信息的非授权访问。信息在存储或传输过程中不被破坏、不丢失、或不被未经授权的恶意的或偶然的修改。计算机系统的硬件和软件保持有效的运行,并且系统在发生灾难时能够快速完全的恢复。安全案例(密码)CMOS密码Windows密码(输入法漏洞)文件口令破解(Office)通过网络监听获取密码CMOS密码SETUP密码:计算机能正常引导,不能进入BIOS设置。在DOS状态下启动DEBUG,输入如下命令手工清除密码:-o7016-o7116-q下载专门破除CMOS密码的工具软件Cmospwd。在DOS中启动该程序(Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARDBELL、PHOENIX、ZENITHAMI等多种BIOS)。CMOS密码SYSTEM密码:若没有密码根本不能启动计算机(即设置了SYSTEM密码)。唯一的方法就是打开机箱,给CMOS放电,然后重新开机进行设置。另外,有些主板设置了CMOS密码清除跳线,将该跳线短接也可达到同样的目的。Windows密码Windows2000输入法漏洞在登录窗口中将鼠标光标移到用户名输入框中,按“Ctrl+Shift”组合键切换输入法,当选择全拼、郑码或微软拼音等中文输入法时,在默认出现的输入法状态条上右击鼠标,选择快捷选单中的“帮助/操作指南…(或“输入法入门…)”、“帮助”命令时,会出现输入法的帮助窗口。在窗口标题栏上右击鼠标,在出现的快捷选单中选择“跳至URL”命令,会出现一个对话框,在“跳至该URL”框中可以输入你硬盘中存在的任何路径,例如输入“C:”,在帮助窗口的右侧会出现类似资源管理器的窗口,并显示C盘的所有文件和文件夹。虽然我们还没有登录到中文Windows2000,但已具有了系统管理员的所有权限,可以对数据做任何操作。输入法漏洞Windows的输入法漏洞修补该安全漏洞的三种方法转移帮助文件修改注册表:由于英文输入法没有提供帮助功能,而智能ABC输入法的帮助功能在登录时无法使用,所以通过修改注册表,在登录窗口中只提供英文和智能ABC两种输入法,可以消除登录安全漏洞。下载补丁程序OFFICE文件口令恢复网络监听获取密码防范举例安全案例(内容监视举例)安全案例(内容监视举例)续安全案例(内容监视举例)续安全案例(网页恶意代码)IE标题栏和起始主页被修改IE菜单被修改IE默认搜索引擎被修改右键菜单被修改注册表被禁用浏览网页后“开始”菜单被修改,导致“运行”、“关闭系统”等消失,桌面、硬盘被隐藏等,如著名的恶意网页“万花谷”就是这样干的。瑞星信息安全站点网页恶意代码的预防(1)不去自己不熟悉网站,不要随便点击论坛中别人贴出的网址。对于所有用户,都建议安装NortonAntiVirus等杀毒软件,此软件已经把这类恶意修改注册表的代码定义为Trojan.Offensive,并增加了ScriptBlocking功能,它会对此类恶作剧进行监控并予以拦截。下载恢复工具软件:安装超级兔子魔法设置软件,如果出现问题,可以用它来恢复。禁用IEActiveX插件和控件:执行“工具→Internet选项”命令,在“安全”选项卡中设置。网页恶意代码的预防(2)注册表加锁方法:运行打开注册表编辑器命令regedit.exe进入注册表,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,增加名为DisableRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。解锁方法如下:用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]DisableRegistryTools=dword:00000000如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为WindowsRegistryEditorVersion5.00。安全威胁来自哪里计算机系统自身的脆弱性各种外部威胁操作系统的不安全性硬件故障物理威胁网络威胁身份鉴别系统漏洞编程威胁的普遍性网络的开放性管理的困难性Windows家族DOSWindows3.1WindowsforWorkgroupWindows95Windows98WindowsNTWorkstation/ServerWindowsMeWindows2000Professional/ServerWindowsXPHome/ProfessionalWindows2003ServerWindows系统安全强制用户登录密码设置安全口令禁用Guest,administrator改名禁用不必要的服务安装补丁程序订阅安全公告强制用户登录密码登录前按Ctrl-Alt-Delete设置安全口令口令应该不少于6个字符;不包含字典里的单词、不包括姓氏的汉语拼音;同时包含多种类型的字符,比如大写字母(A,B,C,..Z)小写字母(a,b,c..z)数字(0,1,2,…9)标点符号(@,#,!,$,%,&…)禁用Guest,administrator改名禁用不必要的服务ipc$共享入侵安装所有的安全补丁•Windows系统版本几乎都有一些安全漏洞•补丁:–Hotfix:热补丁–ServicePack:服务包–•自动更新––不包括大型应用系统的自动更新•安全公告:–securbas@microsoft.com订阅微软安全公告–CCERT:订阅安全公告订阅CCERT安全公告非对称密码明文公钥密文私钥明文甲密钥算法的条件:产生一对密钥是计算可行的已知公钥和明文,产生密文是计算可行的接收方利用私钥来解密密文是计算可行的对于攻击者,利用公钥来推断私钥是计算不可行的已知公钥和密文,恢复明文的计算不可行的Windows系统安全检查清单安装所有的安全补丁删除或停用不使用的帐号对所有的帐号设置安全的密码加强用户登录的安全性禁用不必要的服务安装防病毒软件使用个人防火墙为所有驱动器使用NTFS格式检查所有目录的NTFS权限检查所有的网络共享使用屏幕保护备份怎样检测系统入侵Ctrl+Alt+Del任务管理器NetstatFPORT查看系统进程自启动的程序查看网络连接查找后门程序监控端口防火墙查看网络连接命令格式:Netstat-a-e-n-o-s-a表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口-e表示显示以太网发送和接收的字节数、数据包数等-n表示只以数字形式显示所有活动的TCP连接的地址和端口号-o表示显示活动的TCP连接并包括每个连接的进程ID(PID)-s表示按协议显示各种连接的统计信息,包括端口号通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。打开的端口C:\netstat-anActiveConnectionsProtoLocalAddressForeignAddressState……TCP0.0.0.0:58000.0.0.0:0LISTENINGTCP0.0.0.0:59000.0.0.0:0LISTENINGTCP127.0.0.1:439580.0.0.0:0LISTENINGTCP202.112.100.20:1390.0.0.0:0LISTENINGTCP202.112.100.20:1667155.186.170.0:445SYN_SENTTCP202.112.100.20:1673155.186.170.6:445SYN_SENT……TCP202.112.100.20:167463.226.170.0:445SYN_SENTTCP202.112.100.20:168063.226.170.3:445SYN_SENT……TCP202.112.100.20:218163.226.170.255:445SYN_SENTTCP202.112.100.20:273861.182.210.26:83ESTABLISHEDTCP202.112.100.20:4899166.111.232.177:3332ESTABLISHEDTCP202.112.100.20:4948166.111.232.177:139TIME_WAITTCPx.x.x.x:4505210.159.30.250:6667CLOSE_WAIT……TCPx.x.x.x:4811198.65.147.245:6667CLOSE_WAITTCPx.x.x.x:4887149.156.91.2:6667CLOSE_WAITTCPx.x.x.x:4976198.65.147.245:6667CLOSE_WAIT……查找后门程序(1)是查看系统进程与端口关联的命令。Fport常见木马和对应端口