搜索
1主要内容4.1信息系统安全知识4.2计算机病毒及防治技术4.3信息安全技术4.4信息系统安全规划及管理4.5网络道德和软件知识产权24.1信息系统安全概述4.1.1什么是信息安全4.1.2安全威胁34.1.1什么是信息安全信息安全:指对信息资源实施保护,以防止其未经授权的泄漏、修改、破坏,而不管这种行为是偶然的还是故意的。表现形式及要求:随信息应用的主体、环境和要求的不同而不同。目的:对信息资源实施全面管理和控制,保证信息在存取、处理和传输过程中的机密性、完整性和可用性。44.1.1什么是信息安全体现在8个层面:信息安全理念、信息安全观点、信息安全机制、物理安全、运行安全、数据安全、内容安全、信息对抗安全是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。54.1.2安全威胁来源:各种失误、出错、病毒、攻击以及软件和硬件设计的后门。威胁种类:64.2计算机病毒及防治技术一、概述1.计算机病毒概述2.计算机病毒的分类3.病毒实例分析4.计算机病毒的检测5.计算机病毒的防范6.计算机病毒的发展趋势二、网络黑客及防范7概述定义:一段计算机程序代码,被嵌入在正常的计算机程序中,能破坏计算机功能,影响计算机正常使用,通常能自我复制。特征:隐蔽性、传染性、潜伏性、破坏性以及可触发运行性。危害:对数据信息的直接破坏、占用磁盘空间、抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒给用户造成严重的心理压力等。8计算机病毒的分类一.按病毒的传染方式分:1.引导型病毒2.文件型病毒3.复合型病毒9计算机病毒的分类二.按病毒的连接方式分:1.源码型病毒:攻击高级语言编写的源程序,源程序中插入病毒程序,随源程序一起编译、链接成可执行文件,此可执行文件已感染病毒。2.入侵型病毒:用自身代替正常程序中的部分模块或堆栈区,攻击特定程序,针对性强,难以发现、清除。3.操作系统型病毒:用其自身部分加入或替代操作系统的部分功能。4.外壳型病毒:将自身附在正常程序的开头或结尾,相当于给程序加了个外壳。10引导型病毒定义:指寄生在磁盘引导区或主引导区的计算机病毒。危害:利用系统引导时不对主引导区内容的正确性进行判别的缺点,在引导系统的过程中侵入系统,驻留内存,监视系统运行,伺机传染和破坏。典型病毒:如大麻病毒、小球病毒等执行框图11引导型病毒执行框图系统启动引导程序病毒跳转到内存并获得系统控制权符合条件?激活病毒传染或破坏驻留等待执行正常的系统引导YN12文件型病毒定义:指能够寄生在文件中的计算机病毒。危害:感染可执行文件或数据文件。当这些文件被执行时,病毒程序也跟着被执行。典型病毒:如宏病毒。执行框图13文件型病毒执行框图系统启动运行.COM,.EXE文件病毒随文件到内存并获得系统控制权符合条件?激活病毒传染或破坏驻留等待文件正常执行YN14复合型病毒定义:具有引导型病毒和文件型病毒的特性。危害:扩大了病毒程序的传染途径,既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活,具有相当程度的传染力,一旦发作,后果十分严重。典型病毒:如Flip病毒、新世纪病毒等。15病毒实例分析1、CIH病毒2、宏病毒3、网络病毒16CIH病毒特点:一种文件型病毒,感染Windows95/98环境下PE格式的EXE文件。主要危害:病毒发作后,硬盘数据全部丢失,甚至主板上的BIOS中的原内容会被彻底破坏,主机无法启动。17宏病毒利用软件所支持的宏命令编写成的具有复制、传染能力的宏,是一种新形态的计算机病毒,也是一种跨平台的计算机病毒,可以在MacintoshSystem7Windows、Windows9X、NT/2000和OS/2等操作系统上执行。18网络病毒专指在网络上传播、并对网络进行破坏的病毒;也指HTML病毒、E-mail病毒、Java病毒以及与因特网有关的病毒等。19计算机病毒的检测1.异常情况判断2.计算机病毒的检测手段1.特征代码法2.校验和法3.行为监测法20特征代码法检测已知病毒的最简单、开销最小的方法。实现步骤:1.采集已知病毒样本2.在病毒样本中,抽取特征代码3.打开被检测文件,在文件中搜索病毒特征代码。缺点:速度慢,误报警率低,不能检查多形性病毒,并且不能对付隐蔽性病毒。21校验和法对正常文件的内容计算校验和,并将结果写入文件中。使用时,定期对文件当前内容的校验和进行计算,与保存的原值比较,查看是否一致,以发现文件是否被感染。优点:方法简单,能发现文件的细微变化,能发现未知病毒;缺点:会误报警,不能识别病毒名称,不能对付隐蔽型病毒。22行为监测法监测是否有程序试图改变计算机系统中的一些关键数据。优点:能发现未知病毒,可相当准确地预报未知的多数病毒;缺点:可能误报警,不能识别病毒名称,同时实现时有一定难度。23计算机病毒的防范防范计算机病毒采用有效的技术策略电子邮件病毒的防治不要轻易打开来信中的附件文件防范计算机病毒的几种方法常用软件查杀病毒24计算机病毒的发展趋势1.计算机病毒呈现的新特性利用微软操作系统漏洞主动传播;2.计算机病毒发展的趋势与Internet和Intranet紧密地结合,利用一切可以利用的方式进行传播;254.2.2网络黑客及防范定义:网络黑客是指掌握相当高的网络技术的一群网络“罪犯”。危害:篡改网页,使网站崩溃,诱骗合法用户的机密信息。1.网络黑客常见的攻击步骤2.网络主要攻击3.网络主要防范举例26网络黑客常见的攻击步骤1.攻击前奏:锁定目标、了解目标的网络结构、收集系统信息2.实施攻击3.巩固控制4.继续深入27网络主要攻击1.木马攻击,防范:通过防火墙采用适当的规则并及时查杀入侵木马。2.IP地址欺骗攻击;3.恶意流量攻击;4.简单DoS攻击(拒绝服务)5.联合DoS攻击6.DDoS攻击28网络主要防范举例1.IP地址过滤;2.MAC地址过滤;3.HTTP过滤4.FTP过滤模块5.SMTP/POP3过滤294.3信息安全技术4.3.1防火墙技术4.3.2入侵检测技术(新的信息安全技术)4.3.3数据加密技术4.3.4数字签名304.3.1防火墙技术1.概念2.防火墙的主要体系结构3.防火墙的技术分类4.如何选择防火墙5.防火墙的维护31防火墙的概念定义:防止网络外部的恶意攻击对网络内部造成不良影响而设置的安全防护设施。防火墙是一种访问控制技术,是在某个机构的网络和不安全的网络之间设置的一组组件(软件或硬件设备的组合)。作用:对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,保护系统安全。32防火墙的概念性质:1、只允许本地安全策略授权的通信信息通过。2、双向通信信息必须通过防火墙,控制信息的流通,但会增大网络管理开销,减慢了信息传递速率。示意图33防火墙示意图可见的IP地址PC服务器主机34防火墙的主要体系结构1.双重宿主主机体系结构2.屏蔽主机体系结构3.屏蔽子网体系结构35双重宿主主机体系结构一种拥有两个或多个连接到不同网络上的网络接口的防火墙。组成:一台装有两块或多块网卡的堡垒主机做防火墙,每块网卡各自与受保护网和外部网相连。体系结构示意图特点:禁止主机的路由功能,两个网络之间的通信通过应用代理服务来完成。缺点:黑客侵入堡垒主机并使其具有路由功能时,防火墙失效。36双重宿主机体系结构示意图内部网络1内部网络2双重宿主机互联网37屏蔽主机体系结构组成:由防火墙和内部网络的堡垒主机组成。体系结构示意图特点:堡垒主机安装在内网上,在路由器上设立过滤规则,并使堡垒主机成为外网唯一可直接到达的主机,保证了内网不被未经授权的外部用户的攻击。38屏蔽主机体系结构示意图互联网包过滤路由器堡垒主机内部网络39屏蔽子网体系结构组成:两个包过滤器和一个堡垒主机,在内外网间建立了一个被隔离的子网,称作周边网络。体系结构示意图特点:内外网均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。这样,即使入侵者控制了堡垒主机,内网仍受到内部包过滤路由器的保护。40屏蔽子网体系结构示意图互联网外部包过滤路由器堡垒主机内部网络防火墙的技术分类根据防范方式和侧重点的不同可分以下三类:1.包过滤防火墙2.状态监测防火墙3.代理服务器42包过滤防火墙数据包过滤是一个网络安全保护机制,它对进出网络的信息进行分析,按安全策略对进出内网的信息进行限制,过滤规则是以所收到的数据包头信息为基础。检查内容优点:速度快,性能高,对应用程序透明。缺点:安全性低,不能根据状态信息进行控制,不能处理网络层以上的信息,维护不直观。43状态监测防火墙主要部件:监测引擎,即一个在网关上执行网络安全策略的软件模块,它采用抽取有关数据的方法对网络通信的各层实施监测,提取状态信息,并动态保存作为以后执行安全策略的参考。当请求访问网关时,状态监视器抽取有关数据进行分析,结合网络配置和安全规定作出处理动作。优点:拒绝违反安全规定的访问,报告有关状态作日志记录;缺点:降低了网络速度,配置复杂。44代理服务器代理服务是运行在防火墙主机上的专门应用程序或者服务器程序,它把跨越防火墙的网络通信分开。外部计算机的网络链路只到代理服务器,从而隔离防火墙内外计算机系统。组成:代理服务器和代理客户。代理服务器运行在防火墙上,代理客户运行在客户机上。分类:应用级代理是已知代理服务向哪一应用提供的代理,它在应用协议中理解并解释命令。回路级代理能对各种不同的协议提供服务。45代理服务器优点:有相对较高的安全性、可以实现访问的身份认证、可以在应用层控制服务的等级权限;缺点:性能较差,速度慢,每种访问服务需要单独的代理服务器,用户不透明。46如何选择防火墙设计原则:考虑费用、资源可用、符合习惯、合法,以保证现代信息安全。具体:1.总拥有成本2.防火墙本身是安全的3.可扩充性4.防火墙的安全性能47防火墙的维护四个部分:1.防火墙的备份;2.制定相应的应急措施;3.定期检查Syslog;日志文件4.保持防火墙的随时技术更新。484.3.2入侵检测(IntrusionDetection)技术入侵检测:是保障网络系统安全的关键部件,它通过监视受保护系统的状态和活动,采用误用检测或异常检测方式,发现入侵行为。入侵检测系统:执行入侵检测任务的软硬件,通过实时分析,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监控与安全有关的活动。494.3.2入侵检测(IntrusionDetection)技术需要解决的问题:1.如何充分并可靠地提取描述行为特征的数据;2.如何根据特征数据,高效并准确地判定行为的性质。1.入侵检测概述2.入侵检测原理3.系统结构4.系统分类50入侵检测概述1980年,首次提出了入侵检测的概念。1987年提出了入侵检测系统(IDS)的抽象模型,首次提出了入侵检测可作为一种计算机系统安全防御措施的概念。1994年,建议使用自治代理提高IDS的可伸缩性、可维护性、效率和容错性。1996年提出,GrIDS的设计和实现,方便地检测大规模自动或协同方式的网络攻击。51入侵检测概述近年来的主要创新有:将免疫学原理运用于分布式入侵检测领域;1998年将信息检索技术引进入侵检测;采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。52入侵检测原理用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。原理:通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。原理框图:53入侵检测原理框图入侵检测分析引擎入侵?记录证据响应处理安全策略当前系统/用户行为知识库数据提取特定行为模式历史行为其它是否54入侵检测系统结构从系统构成上看,入侵检测系统应