计算机信息安全与保密讲座课件

计算机信息安全与保密讲座曹效阳中山大学保密学院E-mail:caoxy@mail.sysu.edu.cn目录1.计算机及网络的发展和变化2.计算机及网络基本安全意识3.计算机及网络安全威胁4.特种木马的深度剖析5.“棱镜”事件对企业的警示6.新技术及其发展简介7.企业保密软件及工具简介计算机与网络技术的发展历程用户规模主要应用成熟期大型机小科学计算1960年代10年小型机/WAN1970年代小7年部门内部PC/LAN1980年代中5年政企之间Client/Server1990年代大4年政企商之间IntranetInternet2000-2011年政府，企业，商业应用全球无所不在加速ExtranetInternet0501001502002503003504004505002000952224154785530.2220102454856551994510075594339美国中国德国英国日本法国印度巴西俄罗斯尼日利亚印度尼西亚Internet用户数百万01000200030004000商家-顾客56080220商家-商家625012303270总计11310131034901996199820002002亿美元Internet商业应用快速增长计算机、通信、网络技术推动了Internet的发展。TCP/IP协议为计算机间互连互通，及各种通信奠定了公共标准。桌面计算机、便携计算机、手持计算机、、浏览器、高速网络、无线网络等，使得Internet获得了进一步的发展。分散式管理和商业化是Internet快速发展的最重要原因。Intern发展的主要动力目录计算机及网络的发展和变化计算机及网络基本安全意识计算机及网络安全威胁特种木马的深度剖析“棱镜”事件对企业的警示新技术及其发展简介企业保密软件及工具简介EmailWebISP门户网站E-Commerce电子政府复杂程度时间Internet变得越来越重要网络安全问题日益突出混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量为什么网络安全变得日益严重进行网络攻击变得越来越简单越来越多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识计算机的硬件组成计算机及网络的运行特征计算机中软件的运行计算机及网络的运行特征内存（进程）CPU（分时）硬盘（软件）用户（权限）操作系统驱动程序服务程序设定运行软件计算机中软件的运行计算机网络计算机及网络的运行特征以太网TCP/IPHTTP/FTP等应用软件计算机网络以太网报文计算机网络-TCP/ip头部版本：占4位（bit），指IP协议的版本号。目前的主要版本为IPV4首部长度：占4位（bit），指IP报文头的长度，最长60，此处是20服务类型：占8位（bit），用来获得更好的服务。前3位表示优先级别，后几位表示更好服务总长度：16位（bit），指报文的总长度。单位为字节，IP报文的的最大长度为65535个字节标识（identification）：该字段标记当前分片为第几个分片，在数据报重组时很有用。标志（flag）：该字段用于标记该报文是否为分片。片偏移：指当前分片在原数据报的偏移量，TTL：该字段表明当前报文还能生存多久。协议：该字段指出在上层（网络7层结构或TCP/IP的传输层）使用的协议。计算机网络-TCP/ip传输计算机网络用户网页浏览理解Internet领域Internet为什么不安全Internet的设计思想专用主义技术泄密理解Internet领域Internet的设计思想开放式、流动的和可访问异构的网络多数应用是客户机/服务器模式网络允许部分匿名用户理解Internet领域专用主义ActiveX应该进行安全检查的语言：JavaScriptVBScriptActiveX理解Internet领域技术泄密普通用户可以得到各种攻击工具对攻击行为比较感兴趣，喜欢尝试和冒险从攻击行为中牟利以攻击行为为职业Internet安全性研究的开始1988年11月3日，第一个“蠕虫”被放到Internet上。在几小时之内，数千台机器被传染，Internet陷入瘫痪。“蠕虫”的作者罗伯特·塔潘·莫里斯(RobertMorrisJ.r)被判有罪，接受三年监护并被罚款。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台（或数千台）机器，那一天标志着Internet安全性研究的开始。黑客和入侵者“黑客”（Hacker）指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他分享；并且从来没有破坏数据的企图。黑客和入侵者“入侵者”（Cracker）是指坏着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。确保以电磁信号为主要形式，在计算机网络化系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储介质中，处于静态和动态过程中的机密性，完整性，可用性与可审查性，与人、网络、环境有关的技术安全，结构安全与管理安全的总和。信息（系统）安全的定义威胁：潜在的引起系统伤害的因素。脆弱：安全系统中的缺陷。控制：一些动作，装置，程序或技术，可以减少或消除系统的脆弱点。信息（系统）安全三元组信息（系统）的威胁通信过程的威胁。存储过程的威胁。处理过程的威胁。信息（系统）的威胁的来源系统互联网使用（网页浏览等）无线网络介入IP端口（直接外部攻击）系统漏洞（直接外部攻击）数据库（网站+IP攻击）邮件（恶意附件）U盘（恶意软件）文件共享（恶意软件）外部网络内部网络硬盘最小特权原则：应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。有效性原则：控制是高效的，易用和适当的。最弱环节原则：信息的安全不会强于最弱环节。信息安全防御策略的原则什么是最小特权原则系统管理员系统功能调用安装软件运行软件系统设置管理权限文件访问使用频率使用频率系统用户权限的最小化受限用户系统功能调用安装软件运行软件系统设置管理权限文件访问使用频率使用频率系统用户权限最少化的实现方式改变系统用户：新建标准用户，受限用户指定可访问磁盘的用户指定用户的权限类型系统用户权限最少化的实现方式权限最小化带来的安全防护提升受限用户的软件运行限制文件修改限制权限最小化带来的安全防护提升浏览器用户设置受限权限最小化带来的安全防护提升插入u盘：需要重新安装权限最小化带来的安全防护提升提示输入管理员密码才能安装权限最小化带来的安全防护提升什么是基本安全意识？理解计算机硬件运行规律理解计算机软件运行方式理解计算机网络通信方式理解安全威胁的来源理解与运用安全防御原则目录计算机及网络的发展和变化计算机及网络基本安全意识计算机及网络安全威胁特种木马的深度剖析“棱镜”事件对企业的警示新技术及其发展简介企业保密软件及工具简介特种木马深度剖析-木马的起源特洛伊木马公元前13世纪，据说希腊斯巴达有一个举世罕见的美女，名叫海伦，后来，斯巴达王阿特柔斯的儿子墨涅依斯与海伦成亲。特洛伊王子帕里斯到来，海伦对他一见钟情，竟鬼迷心窍地和帕里斯一起逃回特洛伊城，希腊为复仇，与特洛伊发生战争。结果连打九年没有攻克。第十年，希腊联军的战舰突然扬帆离开了，特洛伊人以为希腊人撤军回国了，他们跑到城外，却发现海滩上留下一只巨大的木马，经过一番争论，特洛伊人把木马拉进城里...。特种木马深度剖析-木马的定义特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其特点是具有隐蔽性和非授权性。特种木马深度剖析-木马的原理计算机的一对多的控制Windows系统的远程桌面一个专门用于远程控制的软件叫PCANYWHERE，QQ的远程协助。公开的，授权的植入（）木马工作流程隐藏（2）欺骗（4）工作（5）启动恢复升级特种木马深度剖析-木马植入木马植入：通过欺骗的手段在被控制计算机进行安装的过程。具有很强隐蔽性、欺骗性与快速化。1）伪装成一般的软件让你下载安装与运行2）捆绑在正常的软件中让你下载安装与运行“最新火辣辣小电影！”“CuteFTP5.0完全解密版！！！”3）发送邮件带图片附件将文件名设为***.jpg.exe特种木马深度剖析-木马植入4）习惯性文件夹点击多层文件夹让你习惯性点击5）危险下载网站黑进大下载量软件网站捆绑6）冒名邮件夹带附件假冒你亲朋好友，上级的邮件7）网站链接邮件将邮件寄给目标用户特种木马深度剖析-木马隐藏1）程序文件的硬盘隐藏：隐藏文件夹与文件查隐藏文件与文件夹的命令：dir/ah/s/p2）程序文件的伪装隐藏：将文件改成与系统文件的名字相同3）程序文件的捆绑隐藏：将文件与系统文件捆绑4）直接启动：修改注册表将木马设为每次开机运行的程序5）关联运行：将使用率最高的文件（如.txt）键值修改6）附着或替换欺骗：将文件与系统文件捆绑或替换，换取合法工作7）网络连接隐藏：复用正常网络端口，捆绑正常程序，修改系统调用8）工作负载与网络流量：木马由于频繁工作，占用处理与网络Perfmon命令：显示处理器的占用率，网络的状况特种木马深度剖析-木马种类1）破坏型：破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。2）密码发送型：可以找到隐藏密码并把它们发送到指定的信箱。3）远程访问型：最广泛的特洛伊木马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。4）键盘记录型：记录受害者的键盘敲击并且在LOG文件里查找密码。5）DoS攻击型：受害者作为Dos攻击的工具。6）代理木马型：受害者作为Dos攻击的代理，以隐藏真正操控者7）安全程序杀手型：专门删除、关闭与修改安全软件。8）反弹端口型：木马在分析受害者有防火墙等安全措施，采用受害机器主动连出，达到工作的目的特种木马：是以上这些类型的综合，并且伪装、隐藏、启动、恢复以及效率更优的木马。目录计算机及网络的发展和变化计算机及网络基本安全意识计算机及网络安全威胁特种木马的深度剖析“棱镜”事件对企业的警示新技术及其发展简介企业保密软件及工具简介“棱镜”事件对企业保密的警示“棱镜”事件爆料者：前CIA雇员信息过滤黑客攻击监听网络战“棱镜”事件-谁是攻击者？“棱镜”事件-谁是攻击者？国家安全局下属的一个高度机密、名为“获取特定情报行动办公室（TAO）”，其任务很简单：通过秘密入侵计算机和通信系统，破译密码，破坏保护目标计算机的安全系统，盗取存储在电脑硬盘中的数据，然后复制目标邮件和短信系统中的所有信息和通过的数据流量，来获取关于境外目标的情报。以便一旦总统下令，美国就有实力发动一场网络袭击来破坏外国的计算机和通信系统。美国网络司令部负责发动类似的网络袭击。获取特定情报行动办公室（TAO）棱镜计划（PRISM）：是一项由美国国家安全局（NSA）自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。“棱镜”事件-攻击对象是谁？网络中枢（骨干网）：图上的高层路由器，以及控制主机重要主机：骨干控制主机，重要信息主机。“棱镜”事件-美国八大金刚八大金刚囊括所有网络与计算机硬件与软件“棱镜”事件-怎么能够做到？通过入侵骨干网而获得海量信息，通过云计算或并行处理技术还原，完成信息过滤与整理。GCHQ：英国棱镜项目甚至可以截获通过光纤传输的海量数据。以系统的名义、或利用系统后门运行黑客软件，使攻击主机变得十分简单。“