《信息安全基础》PPT课件.ppt

2020 3 2 1 信息安全理论与技术 成都信息工程学院网络工程学院 CollegeofNetworkEngineering ChengduUniversityofInformationandTechnology 张仕斌 2020 3 2 2 教学目的与要求 信息安全理论与技术是一门涉及计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等多种学科的综合性学科 通过学习 使学生能够比较全面地掌握网络信息安全原理和实践技术 理解和掌握信息安全基础知识 密码技术 密钥管理技术 数字签名与认证技术 访问控制技术 恶意代码及防范技术 网络攻击与防御技术 系统安全技术 安全审计技术 PKI技术 VPN 信息安全存储技术 信息安全体系结构 信息安全评估 信息安全策略与安全协议和信息安全风险与管理等内容 同时 通过本课程的学习 也为进一步学习和研究网络信息安全技术的研究打下坚实的基础 并通过实践培养学生综合运用知识和分析开发应用系统的初步能力 2020 3 2 3 学习本课程之前 应具备 操作系统原理 应用密码学 计算机网络 面向对象程序设计 TCP IP原理及应用 等基础知识 在识记 领会 分析应用三个能力层次上 对学生学习和掌握本课程知识有如下要求 1 识记 能识记现代信息安全理论与技术中的基本概念 原理和方法的涵义 并能表述和判断其是与非 2 领会 在识记的基础上 能较全面地掌握信息安全理论与技术的基本概念 基本原理和基本技术 能表达基本内容和基本原理 分析相关问题的区别与联系 3 分析应用 在领会的基础上 能运用信息安全理论与技术的基本概念 基本原理 基本方法 协议和技术 解决一般安全网络环境中如何利用信息安全理论与技术的工作原理 分析并能应用信息安全理论与技术的具体实现过程和方法 2020 3 2 4 本课程内容简介 本课程主要涵盖信息安全理论 技术和管理三大体系 通过学习信息安全基础知识 密码技术 密钥管理技术 数字签名与认证技术 访问控制技术 恶意代码及防范技术 网络攻击与防御技术 系统安全技术 安全审计技术 PKI技术 VPN 信息安全存储技术 信息安全体系结构 信息安全评估 信息安全策略与安全协议和信息安全风险与管理等内容 有助于学生信息安全理念和解决方案的形成 也为后续进一步学习与研究信息安全理论与技术或从事网络安全技术与管理工作奠定理论和技术基础 2020 3 2 5 教材 信息安全理论与技术 李飞等编著 西安电子科技大学出版社 高等学校计算机类专业规划教材 2010 08 2020 3 2 6 教学参考书目 1 张仕斌等编著 网络安全技术 M 北京 清华大学出版社 2004 8 2 刘远生等编著 计算机网络安全 M 清华大学出版社 2006 05 3 谢建全编著 信息系统安全防护技术 M 中国宇航出版社 2006 07 4 中国信息安全产品测评认证中心编著 信息安全理论与技术 M 人民邮电出版社 5 范红等编著 信息安全风险评估方法与应用 M 清华大学出版社 2006 05 6 马宜兴 网络安全与病毒防范 M 上海 上海交通大学出版社 2008 2020 3 2 7 7 贺雪晨 信息对抗与网络安全 M 北京 清华大学出版社 2010 8 北京大学计算机系统信息安全研究室 2020 3 2 8 17 CERT网站 http www cert org 18 信息安全网站 19 信息系统安全管理网站 20 IT审计员网站 http www itaudit org 21 ZDNet网站 22 系统日志分析网站 23 Linux安全资源网站 24 Win2000安全资源网站 25 防火墙介绍和评论网站 26 Symantec公司网站 27 McAFee网站 28 CheckPoint公司网站 29 PGP网站 2020 3 2 9 30 ISS公司网站 31 IETF工作组网站 http www ieft org 32 绿色软件站 33 黒鹰安全网 2020 3 2 10 第1章信息安全基础 2020 3 2 11 学习重点 网络与信息安全基础知识信息安全体系结构与模型信息安全管理体系信息安全评测认证体系信息安全与法律 难点 信息安全与网络安全的关系与区别信息安全体系结构与模型 2020 3 2 12 1 1信息与信息的特征 信息是当今社会发展的重要战略资源 也衡量一个国家综合国力的一个重要指标 对信息的开发 控制和利用已经成为国家间利用争夺的重要内容 同时信息的地位和作用也在随着信息技术的快速发展而急剧上升 信息的安全问题也同样因此而日益突出 究竟什么是信息 目前尚无定论 前公认的 信息是客观世界中各种事物的变化和特征的最新反映 是客观事物之间联系的表征 也是客观事物状态经过传递后的再现 因此 信息是主观世界联系客观世界的桥梁 在客观世界中 不同的事物具有不同的特征 这些特征给人们带来不同的信息 而正是这些信息使人们能够认识客观事物 2020 3 2 13 信息的特性 1 普遍性和可识别性 2 储存性和可处理性 3 时效性和可共享性 4 增值性和可开发性 5 可控性和多效用性 此外 信息还具有转换性 可传递性 独立性和可继承性等特征 同时 信息还具有很强的社会功能 主要表现在资源功能 启迪功能 教育功能 方法论功能 娱乐功能和舆论功能等 信息的这些社会功能都是由信息的基本特征所决定和派生的 由此 可以看到保证信息的安全的重要性 2020 3 2 14 1 2信息安全与网络安全 安全 并没有统一的定义 但基本含义可以解释为 客观上不存在威胁 主观上不存在恐惧 信息安全的定义 信息安全 同样也没有公认和统一的定义 但国内外对信息安全的论述大致可以分成两大类 广义上 一是指具体的信息系统的安全 二是指某一特定信息体系 比如一个国家的金融系统 军事指挥系统等 的安全 但现在很多专家都认为这两种定义均失之于过窄 目前公认的 信息安全 的定义 一个国家的 信息化状态和信息技术体系不受外来的威胁与侵害 因为 信息安全 首先应该是一个国家宏观的社会信息化状态是否处于自控之下 是否稳定的问题 其次才是信息技术的安全问题 2020 3 2 15 在网络出现以前 信息安全指对信息的机密性 完整性和可控性的保护 面向数据的安全 互联网出现以后 信息安全除了上述概念以外 其内涵又扩展到面向用户的安全 鉴别 授权 访问控制 抗否认性和可服务性以及内容的个人隐私 知识产权等的保护 这两者的结合 即是现代信息安全体系结构 狭义上 因此 在现代信息安全的体系结构中 信息安全包括面向数据的安全和面向用户的安全 即信息安全是指在信息在产生 传输 处理和存储过程中不被泄露或破坏 确保信息的可用性 保密性 完整性和不可否认性 并保证信息系统的可靠性和可控性 2020 3 2 16 不管攻击者采用什么样的手段 他们都要通过攻击信息的基本属性来达到攻击的目的 在技术层次上 信息安全应是保证在客观上杜绝对信息的安全威胁 使得信息的拥有者在主观上对其信息的本源性放心 信息安全根据其本质的界定 应具有以下的基本属性 保密性 Confidentiality 保密性是指信息不泄漏给非授权的个人 实体和过程 或供其使用的特性 完整性 Integrity 完整性是指信息未经授权不能被修改 不被破坏 不被插入 不延迟 不乱序和不丢失的特性 对网络信息安全进行攻击其最终目的就是破坏信息的完整性 信息安全的特征 2020 3 2 17 可用性 Avaliability 可用性是指合法用户访问并能按要求顺序使用信息的特性 即保证合法用户在需要时可以访问到所需信息及相关资产 对可用性的攻击就是阻断信息的可用性 如破坏网络和有关系统的正常运行就属于这类攻击 可控性 Controlability 可控性是指授权机构对信息的内容及传播具有控制能力的特性 可以控制授权范围内的信息流向以及方式 可审查性 Auditability 在信息交流过程结束后 通信双方不能抵赖曾经做出的行为 也不能否认曾经接收到对方的信息 可靠性 Reliability 是指信息以用户认可的质量连续服务于用户的特性 包括信息的准确 迅速和连续地传输 转移等 但也有一些专家认为可靠性是人们对信息系统而不是对信息本身的要求 2020 3 2 18 1 系统安全 实体安全 即系统运行的安全 2 系统中信息的安全 即通过对用户权限的控制 数据加密等确保信息不被非授权者获取和篡改 3 管理安全 即综合运用各种手段对信息资源和系统运行安全进行有效的管理 由此 现代 信息安全应包含3层含义 2020 3 2 19 网络安全 从本质上讲就是网络上信息的安全 即网络上信息保存 传输的安全 指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然和或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 网络安全的定义 网络安全所涉及的领域相当广泛 因为目前的公用通信网络中存在各种各样的安全漏洞和威胁 从广义上讲 凡是涉及到网络上信息的保密性 完整性 可用性和可控性等的相关技术和理论 都是网络安全所要研究的领域 2020 3 2 20 从用户 个人 企业等 的角度来说 他们希望所涉及个人隐私或商业利益的信息在网络上传输时受到机密性 完整性和真实性的保护 避免他人或对手利用窃听 冒充 篡改和抵赖等手段对用户的利益和隐私造成损坏和侵犯 同时也希望当用户的信息保存在某个计算机系统上时 不受其他非法用户的非授权访问和破坏 从网络运行和管理者的角度来说 他们希望对本地网络信息的访问 读写等操作受到保护和控制 避免出现病毒 非法存取 拒绝服务和网络资源的非法占用及非法控制等威胁 制止和防御网络 黑客 的攻击 从安全保密部门的角度来说 他们希望对非法的 有害的或涉及国家机密的信息进行过滤和防堵 避免其通过网络泄露 避免由于这类信息的泄露对社会产生危害 给国家造成巨大的经济损失 甚至威胁到国家安全 2020 3 2 21 从社会教育和意识形态的角度来说 网络上不健康的内容 会对社会的稳定和人类的发展造成阻碍 必须对其进行控制 1 运行系统安全 即保证信息处理和传输系统的安全 本质上是保护系统的合法操作和正常运行 包括计算机系统机房环境的保护 法律 政策的保护 计算机结构设计上的安全性考虑 硬件系统的可靠安全运行 计算机操作系统和应用软件的安全 电磁信息泄露的防护等 它侧重于保证系统正常的运行 避免因系统的崩溃和损坏而对系统存储 处理和传输的信息造成破坏和损失 避免因电磁泄露 产生信息泄露 干扰他人 或受他人干扰 由此 现代 网络安全应包含4层含义 2020 3 2 22 2 网络上系统信息的安全 包括用口令鉴别 用户存取权限控制 数据存取权限 方式控制 安全审计 安全问题跟踪 计算机病毒防治 数据加密等 3 网络上信息传播的安全 即信息传播后的安全 包括信息过滤技术 它侧重于防止和控制非法 有害的信息进行传播后的后果 避免公用通信网络上大量自由传输的信息失控 本质上是维护道德 法则或国家利益 4 网络上信息内容的安全 它侧重于网络信息的保密性 真实性和完整性 避免攻击者利用系统的安全漏洞进行窃听 冒充和诈骗等有损用户的行为 本质上是保护用户的利益和隐私 2020 3 2 23 由此可见 网络安全与其所保护的信息对象有关 本质上是信息的安全期内保证其在网络上流动时或静态存储时不被非法用户所访问 但授权用户可以访问 因此 网络安全的结构层次包括 物理安全 安全控制和安全服务 网络安全的主要特征 1 保密性 指网络上的信息不泄露给非授权用户 实体或过程 或供合法用户使用的特性 2 完整性 指信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 也即未经授权不能进行改变的特性 2020 3 2 24 3 可用性 指当需要时应能存取所需的信息 也即可以被授权实体访问并按需求使用的特性 网络环境下的拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 4 可控性 指对信息的传播及内容具有控制的能力 因此 网络安全 信息安全研究的内容是紧密相关的 其发展是相辅相成的 但是信息安全研究领域包括网络安全的研究领域 2020 3 2 25 主机安全技术身份认证技术访问控制技术加密技术防火墙与网络隔离技术入侵检测与安全审计技术黑客与病毒防范技术操作系统安全技术数据库安全技术数据安全技术信息安全管理技术 信息安全的关键技术 2020 3 2 26 信息安全分类 2020 3 2 27 2020 3 2 28 1 3安全威胁与攻击类型 目前 主要以下有10个方面的网络安全问题急需解决 1 信息应用系统与网络的关系日益紧密 人们对网络的依赖性增强 因而网络安全的影响范围日益扩大 建立可信的网络信息环境已成为一个迫切的需求 2 网络系统中安全漏洞日益增多 不仅技术上有漏洞 管理上也有漏洞 3 恶意代码危害性高 4 网络攻击技术日趋复杂 而攻击操作容易完成 攻击工具广为流行 5 网络安全建设缺乏规范操作 常常采取 亡羊补牢 的方式进行维护 导致信息安全共享难度递增 并留下安全隐患 2020 3 2 29 6 网络系统有着种类繁多的安全认证方式 一方面使得用户应用时不方便 另一方面也增加了安全管理的工作难度 7 国内信息化技术严重依赖国外 从硬件到软件都不同程度地受制于人 8 网络系统中软硬件产品的单一性 易造成大规模网络安全事件的发生 特别是网络蠕虫安全事件的发生 9 网络安全建设涉及人员众多 安全和易用性特别难以平衡 10 网络安全管理问题依然是一个难题 主要有 用户安全防范意识不强 网络服务配置不当 开放了过多的网络服务 安装有漏洞的软件包 缺省配置 网络系统中软件不打补丁或补丁不全 2020 3 2 30 网络安全敏感信息泄露 例如DNS服务信息泄露 网络安全防范缺乏体系 网络信息资产不明 缺乏分类 分级处理 网络安全管理信息单一 缺乏统一分析与管理平台 重技术 轻管理 黑客技术 黑客 Hacker 的定义 黑客 起源于美国麻省理工学院 最初是指技术通常十分高超的有强制力的计算机程序员 现在则指一批掌握计算机知识和技能 能破解加密程序 窃取或破坏信息并以此作为业余爱好或半职业 职业手段的人 实际上 对这些人的正确英文叫法是Cracker 有人翻译成 骇客 黑客和骇客根本的区别是 黑客们建设 而骇客们破坏 2020 3 2 31 对于一个骇客来说 他们只追求入侵的快感 不在乎技术 他们不会编程 不知道入侵的具体细节 现状 在Internet网上 黑客组织有自己的公开网站 免费提供黑客工具软件 介绍黑客袭击方法 出版网上黑客杂志和书籍等等 黑客技术 是对计算机系统和网络的缺陷和漏洞的发现 以及针对这些缺陷实施攻击的技术 这里说的缺陷 包括软件缺陷 硬件缺陷 网络协议缺陷 管理缺陷和人为的失误 黑客的特点 一般为男性 很少有女性 主要是年轻人 计算机迷 聪明 工作狂 对理解 预测和控制极端感兴趣 2020 3 2 32 黑客的类型 恶作剧型隐蔽攻击型定时炸弹型矛盾制造型职业杀手型窃密高手型业余爱好型事后报复型 2020 3 2 33 黑客技术的种类和传播方式 1 挂马网站 2 利用第三方漏洞例1例2 3 网游木马 4 网络钓鱼 已经发生过的仿冒网络银行的钓鱼网址有 www bank off 仿冒中国银行 中国银行真实网址为 www bank of 2020 3 2 34 例1 利用WindowsXP的AutoRun漏洞删除硬盘文件 AutoRun是指在WindowsXP系统的计算机中插入光盘后 光盘中的Autorun inf指定的程序被自动运行的现象 利用WindowsXP的AutoRun漏洞进行攻击的过程如下 新建一个文本文件 输入以下内容 AutoRun Open run delc test1 txt 保存文件 将该文件重名为Autorun inf 使用光盘刻录工具刻录一张光盘 在光盘的根目录下加入Autorun inf文件 在C盘的根目录下新建test1 txt文件 插入光盘并让其自动运行 光盘自动运行结束后 查看C盘根目录 发现test1 txt文件已被删除 2020 3 2 35 例2 利用Foxmail的漏洞取消保护口令 其步骤如下 运行Foxmail 右击账户名 比如cuitzsb 执行 设置账户访问口令 命令 出现如图4 1所示的对话框 在其对话框中输入口令 单击 确定 按钮 图4 1设置账户访问口令图4 2访问口令生效 2020 3 2 36 关闭重新打开Foxmail 双击被保护的账户 出现如图4 2所示的对话框 表示访问口令设置已经生效 单击 取消 按钮 然后关闭Foxmail 通过 我的电脑 进入Foxmail程序的安装目录 再进入mail test文件夹 找到保存账户配置信息的Account stg文件 将其删除 运行Foxmail 双击被保护的账户cuitzsb 发现对该账户的所有操作均可进行 这是由于Account stg文件被删除后 Foxmail会自动新建一个空的Account stg文件 而新建文件的账户口令为空值 所以删除Account stg文件后可以直接访问被保护的账户 2020 3 2 37 目前 网上一些利用 网络钓鱼 手法 如建立假冒网站或发送含有欺诈信息的电子邮件 盗取网上银行 网上证券或其他电子商务用户的账户密码 从而窃取用户资金的违法犯罪活动不断增多 钓鱼网站是与正规的交易网站外观极其相似的欺骗性非法网站 根据中国反钓鱼网站联盟中心统计 目前每天活跃在网上的钓鱼网站数量超过10万家 自2005年开始全球 钓鱼 案件正在以每年高于20 的速度增长 受骗用户高达5 造成巨大的经济损失 1 网络钓鱼的主要手段 1 发送电子邮件 以虚假信息引诱用户中圈套 诈骗分子以垃圾邮件的形式大量发送欺诈性邮件 这些邮件多以中奖 顾问 对帐等内容引诱用户在邮件中填入金融账号和密码 或是以各种紧迫的理由要求收件人登录某网页提交用户名 密码 身份证号 信用卡号等信息 继而盗窃用户资金 2020 3 2 38 2 建立假冒网上银行 网上证券网站 骗取用户帐号密码实施盗窃 犯罪分子建立起域名和网页内容都与真正网上银行系统 网上证券交易平台极为相似的网站 引诱用户输入账号密码等信息 进而通过真正的网上银行 网上证券系统或者伪造银行储蓄卡 证券交易卡盗窃资金 还有的利用跨站脚本 即利用合法网站服务器程序上的漏洞 在站点的某些网页中插入恶意Html代码 屏蔽住一些可以用来辨别网站真假的重要信息 利用cookies窃取用户信息 如曾出现过的某假冒银行网站 网址为 而真正银行网站是 犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户 又如2004年7月发现的某假公司网站 网址为 而真正网站为 诈骗者利用了小写字母l和数字1很相近的障眼法 诈骗者通过QQ散布 XX集团和XX公司联合赠送QQ币 的虚假消息 引诱用户访问 如图3 17所示 2020 3 2 39 图3 17 赠送QQ币 的虚假消息框 2020 3 2 40 一旦访问该网站 首先生成一个弹出窗口 上面显示 免费赠送QQ币 的虚假消息 而就在该弹出窗口出现的同时 恶意网站主页面在后台即通过多IE漏洞下载病毒程序lenovo exe TrojanDownloader Rlay 并在2秒钟后自动转向到真正网站主页 用户在毫无觉察中就感染了病毒 如图3 18所示 病毒程序执行后 将下载该网站上的另一个病毒程序bbs5 exe 用来窃取用户的传奇帐号 密码和游戏装备 当用户通过QQ聊天时 还会自动发送包含恶意网址的消息 图3 18 免费赠送QQ币 的虚假消息提示 2020 3 2 41 3 利用虚假的电子商务进行诈骗 此类犯罪活动往往是建立电子商务网站 或是在比较知名 大型的电子商务网站上发布虚假的商品销售信息 犯罪分子在收到受害人的购物汇款后就销声匿迹 如2003年 罪犯佘某建立 奇特器材网 网站 发布出售间谍器材 黑客工具等虚假信息 诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户 然后转移钱款的案件 除少数不法分子自己建立电子商务网站外 大部分人采用在知名电子商务网站上 如 易趣 淘宝 阿里巴巴 等 发布虚假信息 以所谓 超低价 免税 走私货 慈善义卖 的名义出售各种产品 或以次充好 以走私货充行货 很多人在低价的诱惑下上当受骗 网上交易多是异地交易 通常需要汇款 不法分子一般要求消费者先付部分款 再以各种理由诱骗消费者付余款或者其他各种名目的款项 得到钱款或被识破时 就立即切断与消费者的联系 2020 3 2 42 4 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序 当感染木马的用户进行网上交易时 木马程序即以键盘记录的方式获取用户账号和密码 并发送给指定邮箱 用户资金将受到严重威胁 如木马 证券大盗 它可以通过屏幕快照将用户的网页登录界面保存为图片 并发送给指定邮箱 黑客通过对照图片中鼠标的点击位置 就很有可能破译出用户的账号和密码 从而突破软键盘密码保护技术 严重威胁股民网上证券交易安全 5 利用用户弱口令等漏洞破解 猜测用户帐号和密码 不法分子利用部分用户贪图方便设置弱口令的漏洞 对银行卡密码进行破解 如2004年10月 三名犯罪分子从网上搜寻某银行储蓄卡卡号 然后登陆该银行网上银行网站 尝试破解弱口令 并屡屡得手 实际上 不法分子在实施网络诈骗的犯罪活动过程中 经常采取以上几种手法交织 配合进行 还有的通过手机短信 QQ MSN进行各种各样的 网络钓鱼 不法活动 2020 3 2 43 几种常用的 钓鱼 防范方法 避免使用搜索引擎 登陆网银时尽量避免使用搜索引擎或网络实名 以免混淆视听 最好在正规银行网点获取网络银行网址 妥善保管数字证书 避免在公共场所的电脑上使用网银业务 以防数字证书等机密资料外泄 警惕电子邮件等信息 不轻信不明来历的邮件 信件 电话 短信等 如收到相应信息 请先咨询银行部门是否有相应信息 然后进行操作 以防网络钓鱼袭击 设置混合密码 双密码 密码设置应避免与个人资料相关 建议选用数字 字母混合密码 提高密码破解难度并妥善保管 保证密码不易被猜测 交易密码尽量与信用卡密码不同 而且要定期更换密码 定期查看交易记录 定期检查账户余额 转账和支付等业务记录 随时掌握账户变动情况 做好病毒防范 做好防止木马攻击与入侵等安全措施 如发现异常交易及时与银行联络 2020 3 2 44 病毒技术 病毒的定义 1994年2月18日 我国正式颁布实施了 中华人民共和国计算机信息系统安全保护条例 在第二十八条中明确指出 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用并能自我复制的一组计算机指令或者程序代码 计算机病毒的特征计算机病毒的特征可以归纳为人为的特制程序 具有自我复制能力 很强的传染性 一定的隐蔽性和潜伏性 特定的触发性 很大的破坏性 不可预见性 针对性和依附性 计算机病毒的发展简史及流行趋势计算机病毒 以下简称病毒 的发展大致可以划分为初期产生 早期蓬勃发展和网络迅猛泛滥3个阶段 2020 3 2 45 初期产生 从1949年到1987年第一只电脑病毒 C BRAIN 的诞生是病毒的初期产生阶段 早期蓬勃发展 从1987年到1995年网络在世界范围内普及前 应该是病毒的早期蓬勃发展阶段 网络迅猛泛滥 1995年至今 随着网络在世界范围内普及 电脑病毒进入了网络迅猛泛滥阶段 特洛伊木马特洛伊木马 Trojanhorse 其名取自希腊神话 特洛伊木马记 是一种基于远程控制的黑客工具 简称木马 它具有隐蔽性和非授权性的特点 一旦控制端与服务端连通后 木马程序通过窃取手段获得服务端的大部分操作权限 然后大肆窃取密码 操作文件 修改注册表 控制鼠标键盘 监视系统操作等 2020 3 2 46 木马的原理特洛伊木马 简称木马 是一种基于C S结构的网络应用程序 其中 木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行 攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信 进而获取目标主机上的各种信息 例如 窃取用户口令 复制或删除文件 控制目标主机的运行状态等 一个完整的木马系统由硬件部分 软件部分和具体连接部分组成 木马攻击的过程木马攻击的过程按木马攻击网络的原理大致可分为6个步骤 即配置木马 传播木马 运行木马 信息泄露 建立连接 远程控制 配置木马是为了实现木马伪装和信息反馈两个功能 2020 3 2 47 传播木马主要有两种方式 一种是通过E mail 控制端将木马程序以附件的形式夹在邮件中发送出去 收信人只要打开附件就会感染木马 另一种是软件下载 一些非正规的网站以提供软件下载为名 将木马捆绑在软件安装程序上 下载后 只要运行这些程序 木马就会自动安装 首先将自身复制到Windows的系统文件夹中 比如c Windows c Windows system或c Windows temp目录下 然后在注册表 启动组 非启动组中设置好木马的触发条件 完成木马安装 然后就可以启动木马了 信息泄漏就是指木马成功安装后会收集一些服务端的软硬件信息 并通过E mail IRC或ICO的方式告知控制端用户 只要控制端和服务端都在网上 并且服务端已经安装了木马 控制端就可以通过木马端口与服务端建立连接 木马连接成功后 控制端端口和服务端端口之间将会出现一条通道 控制端上的控制端程序可借此通道与服务端上的木马程序取得联系 并通过木马程序对服务端进行远程控制 实施破坏活动 2020 3 2 48 此外 还可以通过检查并删除木马程序的启动条件来防范 检查和清除Windows系统中木马程序的一般方法如下 在 开始 程序 启动 菜单组中 如果发现有异常程序 则可直接清除 在autoexec bat文件中 如果发现有类似 win程序名 的命令行 则在命令中的程序很可能就是木马程序 在win ini文件中 检查 windows 段上由 run 和 load 两个项目指定的程序是否有异常 如果有 很可能是木马 则应立即清除 在system ini文件中 检查 boot 段上由 shell 项指定的程序是否有异常 正常情况下 应该为 shell explorer exe 如果变成 shell explorer exe程序名 则其中的程序名很可能是木马程序 在注册表中 与启动相关的注册表项是需要注意的 可以使用regedit命令打开注册表编辑器 然后 依次检查相关的注册表项的值 如果发现异常 则需要及时修正 下列注册表项是需要重点检查的项目内容 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunHKEY CURRENT USER Software Microsoft Windows CurrentVersion RunonceHKEY CLASSES ROOT exefile shell open command一般采用对比的方法来检查注册表项 用正确的注册表与当前的注册表进行对比 从中找出可疑的内容 例如 在HKEY CLASSES ROOT exefile shell open command表项中包含的正确值为 1 如果被改为 程序名 1 则可能是木马程序名 如果发现异常程序 除了在上述文件中删除它们之外 还要找到它们所在的目录 彻底清除 否则 它们有可能还会自动添加到相应的启动位置 2020 3 2 49 病毒检测技术 1 病毒的传播途径计算机病毒主要有4种传播途径 通过不可移动的计算机硬件设备进行传播 这些设备通常有计算机的专用ASIC芯片和硬盘等 通过移动存储设备来传播 这些设备主要包括软盘 磁带 移动USB盘等 通过计算机网络进行传播 通过点对点通信系统和无线通道 如手机 来传播病毒 2 病毒的检测方法在检测病毒时 必须保证系统是 清洁 无毒的 病毒检测分为对内存检测和对磁盘检测 比如对磁盘检测必须要求内存不带毒 因为有些病毒采用反跟踪和伪装技术向检测者报告假情况 启动系统应该是上电启动而不是用Ctrl Alt Del组合键启动 因为有些病毒会截取键盘中断而将自己仍然留在内存中 病毒的检测方法主要有手工检测和自动检测两种 2020 3 2 50 目前病毒防范产品主要通过比较法 校验和法 人工智能陷阱法 感染实验法 扫描法和特征代码法完成病毒的自动检测 比较法是一种较原始的病毒检测方法 包括长度比较法 内容比较法 内存比较法 中断比较法等 比较法通过对比可疑的和正常的对象 如果发现相比较内容不一致 就认为有病毒存在 校验和法是根据文件的内容计算其校验和 并将所有文件的校验和放在资料库中 检测时将文件现有内容的校验和与资料库中的校验和做比较 若不同则判断其被染毒 其优点是可检测未知病毒和变种病毒 最大的缺点就是误判断高且无法确认是哪种病毒感染的 人工智能陷阱是一种监测计算机行为的常驻式扫描技术 它将病毒所产生的行为归纳起来 一旦发现内存有任何不正常的情况 系统就会有所警觉并告知 使用这种技术的优点是执行速度快 手续简便且可以检查到各式病毒 其缺点就是程序设计难 且不容易考虑周全 不过在千变万化的病毒世界中 人工智能陷阱扫描技术是一个至少具有保全功能完整的新观点 感染实验法是利用病毒的感染特性 在可疑系统中使用或运行 干净 的磁盘或文件 比较运行前后文件的校验和以及文件长度 若发生改变则已染毒 其优点是误报警率低 缺点是无法确定被感染的病毒类型 2020 3 2 51 实时输入输出扫描法的目的在于即时地对数据的输入 输出动作做病毒码比对的动作 希望能够在病毒尚未被执行之前 就能够防堵下来 理论上这样的即时扫描技术会影响到数据的输入输出速度 但是使用实时扫描技术文件传送进来之后就等于扫过一次毒了 特征代码法是从病毒样本中抽取特征代码 加入病毒代码库 并检查被检测的文件中是否含有病毒特征代码 若有则可确定已感染的病毒类型 病毒扫描软件由病毒代码库和利用代码库进行扫描的扫描程序两部分构成 特征代码法的优点是检测准确 快速 可识别病毒的名称 其缺点是不能检测未知病毒和变种病毒 需定期更新病毒资料库 具有滞后性 病毒防范技术计算机病毒的防范既是一个技术问题 也是一个管理问题 应从两个方面综合加以防范 计算机病毒的防范策略应该 预防为主 治疗为辅 只有这样才能真正将计算机病毒的危害降低到最低限度 1 单机下的病毒防范技术在单机环境下的病毒防范 一是要在思想上重视 管理上到位 二是技术上依靠防杀计算机病毒软件 安装和使用最新的正版防杀毒软件也许是技术防毒的最佳选择 针对国内外不同的病毒 最好同时在单机上安装两个以上防毒软件 一个应该是国内防毒软件 另一个应该是国外的防杀毒软件 需要提醒的是 新病毒与时俱进 层出不穷 任何公司的防 杀病毒产品都不是万能的 各公司防 杀毒软件应当交替使用 同时安装几个防 杀毒软件 至少两个 是非常必要的 另一方面 及时升级防 杀毒软件 一出现新病毒就升级 是非常重要也是非常必要的 2020 3 2 52 2 小型局域网的病毒防范技术小型局域网主要有NovellNetWare网 WindowsNT网 UNIX Linux网 简单网络等 实施网络防毒系统时 应当对网络内所有可能作为病毒寄居 传播及受感染的计算机进行有效防护 一方面需要对各种病毒进行有效杀 防 另一方面也要强调网络防毒在实施 操作 维护和管理中的简捷 方便和高效 Novell网防毒当前 大多数的金融 证券等机构的局域网仍然在使用Novell网 它一般由一台Novell文件服务器为中心 再带许多没有软驱 光驱和硬盘的无盘的工作站 服务器和工作站之间一般用同轴电缆或双绞线连接 在Novell网的SFT版本中 文件服务器为专用服务器 不支持并发方式 文件服务器仅需要在启动时防毒 文件服务器的 自举 启动有软盘启动 整个硬盘作为一个Netware分区 和硬盘启动 文件服务器作为一个活动的DOS分区和一个Netware分区 两种 对于Novell网来说最危险的病毒是操作系统病毒 2020 3 2 53 主要防毒措施如下 首先要保护Novell网的文件服务器 利用Novell网自身的许多功能来防毒 限制用户权限或许是最好的防毒方法 UNIX Linux网络防毒UNIX Linux网络中一般有一台或多台装有UNIX Linux操作系统的计算机作Web服务器 文件服务器或邮件服务器 工作站端计算机一般装有Windows操作系统 因此 这种UNIX Linux网络的防毒主要还是基于工作站的单机防毒 当然 UNIX Linux网络对安全性和用户权限的控制还是很严格的 但并不是说网络就没有病毒感染的可能 整个网络必须装有具有实时监控能力的杀毒软件和防止黑客攻击的黑客扫描软件 WindowsNT网络防毒更多的公司和企业的局域网是WindowsNT网络 这种网络往往由一台装有WindowsNT操作系统的网络主控制器作为中心服务器 管理用户信息和访问权限 而工作站则多采用装有Windows98 Windows2000 WindowsNT独立服务器或工作站的带有硬盘的计算机 中心服务器主要通过安装访问代理 Proxy 接入Internet网络 网络相对封闭 WindowsNT网络除了对每个工作站进行单机防毒外 还要针对WindowsNT网络的特点做好以下防毒措施 网络中心服务器必须采用NTFS分区格式 防止基于FAT16分区格式的DOS病毒的感染 严格控制共享文件 共享硬盘和共享光盘的使用 严格控制外来软盘光盘的使用 对用户的权限和文件的读写加以限制 多数文件设置为只读属性 服务器上应安装基于WindowsNT网络开发的32位的杀毒软件 防止病毒在网上传播 工作站要安装实时监视和杀毒软件 阻止病毒从工作站进入网络 像单机防毒一样 需要及时更新防 杀毒软件和防火墙 防止最新出现的病毒攻击网络 2020 3 2 54 3 大型网络的病毒防范技术大型网络如电子政务 电子商务 电信网络 银行网络 军事信息网等虽然数量不多 但由于是国家的基础设施 关系国家安危 所以大型网络防毒非常重要 大型网络面临的网络安全问题主要有内部网安全问题 外部网安全问题 应用网安全问题 网络服务器的安全问题以及网络防 杀毒软件的升级更新问题 内部网与应用业务网是物理隔离的 安全状况相对会好一些 基本不存在外部黑客攻击的问题 其最大的安全隐患是来自内部的病毒破坏与一些内部用户的非授权访问 外部网通过路由器与电信 联通的公众网络直接连接 很可能会受到公众网中的不安全因素影响 产生病毒传播 黑客攻击 网络非授权访问等安全问题 而中层应用业务网本身的网络结构复杂 核心用户众多 虽然一些重要部门之间都安装了防火墙 但防火墙只能防止黑客的恶意攻击 没有病毒防护 很容易被一些外部网的黑客型病毒或本网内的病毒攻击 外部网和应用业务网的防病毒软件正常升级相对方便 内部网与外部网和应用网络隔绝 在不改变内部网的物理隔离结构的情况下 应该研究出一个好的升级方案 做到及时升级 2020 3 2 55 大型网络一般采用一些著名公司的防 杀毒软件的网络版组建一个分布式防病毒体系 对整个网络采用分级管理 多重防护策略 外部网是整个网络的最外围 主要是面向大众访问服务 并由专业的ISP负责运行 病毒防护主要由ISP承担 一般在外部网专设一台服务器 安装服务器版网络防 杀病毒软件 对整个网络进行实时监控 除了物理的安全外 基本都是访问控制和授权方面的 当然还需要防止黑客或内部网对内部核心网络的破坏性攻击 合适的防火墙可以有效的阻断和隔离内部核心网络和外部网络 从而从根本上保证了核心网络的安全 通过入侵检测系统 可以有效地及早发现和阻断对内部核心网络的各种攻击行为 从而降低内部核心网络被攻破的可能性 中间业务 应用网一般结构复杂 网络规模大 首先 要保障应用服务器的安全 其次 是要保证应用数据库系统的安全 这些区域系统中心负责本区域内网络的病毒防护 对网络内的用户进行升级服务 统一管理本区域内的网络主机 并通过超级中心进行升级 在各个网络内部的邮件服务器部署邮件监控系统 对来自网络内部 外部的邮件进行监控 避免邮件以及其他客户端受到邮件病毒的感染 2020 3 2 56 大型网络的认证系统能提供用户身份验证服务 是最重要的安全业务 所有的其他安全业务都在某种程度上依赖于身份认证系统 随着基于PKI 公钥基础设施 技术的日益成熟 数字证书认证被认为是最理想的认证方式 数字证书不仅可以用于身份认证 还可以确保信息传输的保密性 数据交换的完整性 发送消息的不可否认性 大型网络的安全管理看似简单 却是连接整个安全方案的纽带 大型网络中运行着越来越多的安全设备 如防火墙 入侵检测系统 防病毒 PKI VPN等 虽然这些设备都在一定程度上解决了一系列的安全问题 但它们独立工作 在网络内部形成一个个安全 孤岛 由于缺少必要的安全管理措施 随着网络内外安全威胁的增加 安全状况并没有得到根本的改善 安全风险仍然居高不下 安全管理体系使大型网络以最低的成本达到可接受的安全水平 从根本上保证业务的连续性 其主要功能包括设备管理 策略管理 事件管理 协调管理 配置管理 身份和权限管理 制度管理 安全审计 事故管理等 2020 3 2 57 病毒防范产品介绍 1 病毒防范产品的分类防毒产品从总体上可以分为硬件和软件两大类 硬件主要是防病毒卡 但是由于防病毒卡价格昂贵 软件的兼容性差 升级困难 所以现在很少用 已经退出历史舞台 软件防毒产品是专门为保障计算机及其数据安全 针对病毒而设计的程序 称为防 杀 毒软件 防 杀毒软件具有价格便宜 灵活性好的优点 被广泛使用 杀毒软件种类繁多 主要分为单机版和网络版两类 前面已介绍过 单机版主要是针对非联网的单机的病毒的诊断 使用时必须对每台计算机进行独立操作 并且需人为地定期升级杀毒软件 网络版主要是针对局域网用户的 也可拓展到广域网用户 其最大特点是可以通过杀毒软件制造商提供的FTP服务自动下载最新病毒码并进行在线升级 并可根据用户制定的杀毒策略对网络中的服务器和工作站进行有重点有步骤地自动监控杀毒 因此可以减少人为干预 最大限度地提高杀毒效率 但网络版的价格也远远高于单机版 而且视网络版所能控制杀毒点的多少而价格差异较大 2020 3 2 58 2 防 杀计算机病毒软件的特点防 杀病毒软件一般都有强大的病毒扫描引擎 能够检测并清除传统的开机型 档案型 聚集型和复合型病毒 主动检测 清除基于Internet全面入侵的Java ActiveX等恶意程序 还可全面防堵电子邮件病毒入侵 过滤不良网站所有已知病毒 防 杀毒软件一般程序短小 占用内存少 有极佳的程序相容性和稳定性 杀毒界面友好 使用简单方便 防 杀毒软件有强大的技术支持和在线升级功能 能及时提供最新的病毒代码库 升级方便迅速 3 对计算机病毒防范产品的要求拥有病毒检测扫描器实时监控程序未知计算机病毒的检测病毒特征代码库升级支持FAT32和NTFS等多种分区格式注重计算机病毒检测率 2020 3 2 59 4 常见的计算机病毒防范产品目前 国内外常见的计算机病毒防范产品有很多 下面简要介绍一些常用的病毒防范产品 安全之星KV3000瑞星杀毒软件KILL金山毒霸PandaAntivirusNortonAnti VirusMcafeeVirusScanVirusBuster趋势科技防毒软件卡巴斯基防毒软件360杀毒 2020 3 2 60 网络攻击的类型 1 口令入侵 2 放置特洛伊木马程序 3 WWW的欺骗技术 4 电子邮件攻击 5 通过一个节点来攻击其他节点 6 网络监听 7 利用黑客软件攻击 8 安全漏洞攻击 9 端口扫描攻击 2020 3 2 61 E Mail 电子邮件 是Internet最流行的应用之一 目前许多信息的交流 包括一些重要的电子文档 都是通过电子邮件进行的 因此电子邮件的安全问题也是目前大家最为关注的 1 E Mail邮箱的入侵入侵E Mail的主要目的是窃取邮箱密码 入侵的方式主要有针对POP3邮箱的密码猜测攻击和针对Web邮箱的密码猜测攻击 1 针对POP3邮箱的密码猜测攻击由于在使用POP3服务时 用户发送密码信息在服务器端进行身份验证 因此攻击者可以通过发送POP3连接登录请求和密码信息来猜测用户邮箱的密码 目前 大多数POP3服务器没有采取错误连接次数控制措施 使得利用POP3服务进行字典穷举攻击变得简单易行 所以针对POP3邮箱的密码猜测攻击也是目前对E Mail邮箱最常用和最快速的攻击方法 下面说明如何利用NoPassword软件破解POP3邮箱密码 步骤如下 电子邮件的攻击与防范 2020 3 2 62 运行NoPassword软件 首先出现如图3 19所示的对话框 图3 19NoPassword新任务对话框 在 服务器地址 栏中输入POP3服务器地址 在 账号名称 栏中输入POP3邮箱的账户名 在 服务器类型 中选择POP3 单击确定按钮 将出现如图3 20所示的对话框 图3 20NoPassword程序主窗口 2020 3 2 63 执行 攻击 设定攻击线程参数 命令 将出现如图3 21所示的对话框 图3 21 设定攻击线程参数 对话框 拖动上方的 同时最大展开线程数目 至最右端 表示同时打开100个攻击线程以增加攻击速度 在 攻击线程的优先级 中选择 优先 以提高攻击的速度 单击 OK 按钮结束设置 执行 攻击 开始攻击 命令 开始进行攻击 2020 3 2 64 2 针对Web邮箱的密码猜测攻击对于以Web方式登录的E Mail服务器 虽然可以防止攻击者使用POP3服务器猜测邮箱密码 但是由于用户的账号和密码是以Http请求方式发送至E Mail服务器的 因此攻击者可以通过发送Http请求来进行密码猜测 可以使用 溯雪 软件对Web邮箱的密码进行破解 如图3 22所示 图3 22 溯雪 软件界面 2020 3 2 65 3 抵御E Mail密码攻击的方法实际上 抵御E Mail密码攻击的最佳方法是加强E Mail密码的安全性 密码要选择数字 英文字母 包括大小写 和特殊字符的组合 切忌使用所崇拜的偶像名字 生日和喜爱的数字等作为E Mail密码 同时注意定期或不定期更换密码 2 E Mail炸弹攻击与防御E Mail炸弹攻击的思路是利用特定的工具软件 在一段时间内集中向目标机发送大量垃圾信息或发送超出系统接收范围的信息 是目标出现机负载过重 网络堵塞等 从而造成目标机拒绝服务 以至系统崩溃 目前 在网络系统中常见的炸弹有 IP炸弹 是利用Windows系统协议的漏洞进行攻击 针对IP地址记下 轰炸 是目标系统断线 死机 蓝屏或重新启动 2020 3 2 66 E Mail炸弹 以容量庞大的邮件 隐藏发送地址 反复发送到被攻击的邮箱 造成信息溢出 挤爆 使被攻击邮箱不能收到邮件 严重的会使邮件服务器瘫痪 不能正常工作 Java炸弹 由于一些聊天室中可以直接发送Html语句 攻击者通过发送恶意代码 使具有漏洞的目标机蓝屏 浏览器打开无数个窗口或显示巨大的图标 最终使目标机资源耗尽而死机 硬盘炸弹 一般表现为假0道损坏 是硬盘不能启动 是炸弹中危害性最大的之一 1 E Mail炸弹攻击在各种炸弹攻击中 E Mail炸弹攻击时最常见的攻击方式 目前 各种E Mail炸弹工具广泛流传 使得任何一个刚学会上网的新手都可以很容易地实施E Mail炸弹攻击 2020 3 2 67 由于邮件需要空间来保存 而到来的邮件信息也需要邮件系统来处理 过多的邮件会加剧网络连接的负担 消耗大量的存储空间 过多的邮件投递会导致系统日志文件容量巨大 甚至溢出文件系统 这将会给操作系统带来风险 除了操作系统有崩溃的危险之外 由于大量的垃圾邮件涌来 将会占用大量的处理器时间和占据大量的带宽 造成正常用户访问速度急剧下降 因此E Mail炸弹造成的危害是严重的 此外 对于大量的个人免费邮箱来说 由于邮箱容量是有限的 一旦邮箱容量超过限定容量 邮件系统将会拒绝服务 即是所谓的邮箱被 挤爆 了 下面利用Wsbomb软件实施E Mail炸弹攻击 具体步骤如下 运行Wsbomb软件 出现如图3 23所示的运行界面 DNS服务器可自定义为高速DNS地址 也可以取本机的DNS地址 发送次数为每个邮件的重复发送次数 2020 3 2 68 在左边的 Email地址列表 中输入对方的E Mail地址 一行一个地址 也可以同时攻击多个邮箱 分别在 邮件主题 发送人 和 邮件内容 中填入相应的信息 其中 发送人 的E Mail地址可以随意更改 只要有 符号就可以了 填写完毕后 单击 发送 按钮即可 图3 23Wsbomb软件界面 2020 3 2 69 2 防御E Mail炸弹攻击排除 E Mail炸弹 的基本方法就是直接将 炸弹 邮件从邮件服务器中删除 目前 大多数邮件服务器都具有 远程邮箱管理 功能 通过该功能可以直接对邮件服务器中的邮件进行删除 收取等操作 比如Foxmail中执行 工具 远程邮箱管理 命令 出现如图3 24所示的 远程邮箱管理 界面 Foxmail连接到邮件服务器上 取回邮件服务器中邮件邮件的信息 根据得到的据以邮件信息 给服务器上的邮件打上 暂不收取 永不收取 收取 收取删除 和 删除 等5种本图的标记 而对付 E Mail邮件炸弹 直接标记为删除 就可以在服务器上直接删除 2020 3 2 70 图3 24 远程邮箱管理 界面 2020 3 2 71 4 垃圾邮件的防御垃圾邮件的种类繁多 给广大用户带来了很大的邮箱 这种影响不仅是要花费人们大量的时间 而且也带来了诸多安全问题 首先 垃圾邮件占用了大量的网络资源 一些邮件服务器因为安全性差 被作为垃圾邮件中转站而被警告 封IP地址等事件时常发生 大量消耗的网络资源使得正常的业务运作变得缓慢 其次 随着国际上反垃圾邮件的发展 组之间的黑名单共享 使得无辜的服务器被大范围的屏蔽 这无疑给正常用户的使用造成了严重的影响 更为严重的是 垃圾邮件与入侵 病毒等结合也越来越紧密 垃圾邮件俨然已成为黑客发动攻击的重要平台 比如 清醒变种H蠕虫病毒 在系统目录中释放病毒体 向外大量散发病毒邮件 传播速度极快 瑞波变种XG集蠕虫 后门 等功能于一身 恶意攻击者可以利用此病毒远程控制中毒的计算机 对外发动攻击或偷窃用户的资料等 2020 3 2 72 诈骗分子以垃圾邮件的形式大量发送欺诈性邮件 这些邮件多以中奖 顾问 对帐等内容引诱用户在邮件中填入金融账号和密码 或是以各种紧迫的理由要求收件人登录某网页提交用户名 密码 身份证号 信用卡号等信息 继而盗窃用户资金 如一种骗取美邦银行 SmithBarney 用户的帐号和密码的 网络钓鱼 电子邮件 该邮件利用了IE的图片映射地址欺骗漏洞 并精心设计脚本程序 用一个显示假地址的弹出窗口 如下图红色框 遮挡住了IE浏览器的地址栏 使用户无法看到此网站的真实地址 当用户使用未打补丁的Outlook打开此邮件时 状态栏显示的链接是虚假的 如图3 25所示 图3 25虚假网站示意图 2020 3 2 73 当用户点击链接时 实际连接的是钓鱼网站http 41 155 60 87 s 该网站页面酷似SmithBarney银行网站的登陆界面 如图3 26所示 而用户一旦输入了自己的帐号密码 这些信息就会被黑客窃取 图3 26SmithBarney银行网站的登陆界面 2020 3 2 74 1 反垃圾邮件技术目前 反垃圾邮件主要采用关键词过滤 黑名单和白名单 HASH技术 基于规则的过滤 智能和概率等技术 关键词过滤关键词过滤技术通常是创建一些简单或复杂的与垃圾邮件关联的单词表来识别和处理垃圾邮件 比如某些关键词大量出现在垃圾邮件中 如一些病毒的邮件标题 比如 test 这种方式比较类似反病毒软件利用的病毒特征一样 可以说这是一种简单的内容过滤方式来处理垃圾邮件 它的基础是必须创建一个庞大的过滤关键词列表 这种技术缺陷很明显 过