讲稿第3讲信息安全.doc

第3讲：信息安全时间：5分钟【导 入】1我们身边的网络安全问题。例如：QQ号被盗、银行帐户被盗、计算机病毒和木马、军队保密文件的失窃密等等。时间：5分钟【内容讲授】一、信息安全内容包括五方面：A 完整性（integrity）。【解释】指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性，保证真实的信息从真实的信源无失真地到达真实的信宿。对于军事信息来说，完整性被破坏可能意味着延误战机、自相残杀或闲置战斗力。破坏信息的完整性是对信息安全发动攻击的重要目的之。B保密性(confidentiality)。【解释】信息的产生、传输、处理和存储的各个环节都有泄密的可能。是指严密控制各个可能泄密的环节，使信息在产生、传输、处理和存储的各个环节不泄漏给非授权的个人和实体。C可用性(availability)。【解释】可用性是指保证信息确实能为授权使用者所用，即保证合法用户在需要时可以使用所需信息，防止由于主客观因素造成系统拒绝服务，防止因系统故障或误操作等使信息丢失或妨碍对信息的使用。网络可用性还包括在某些不正常条件下继续运行的能力。D可控性（controllability）。【解释】可控性是指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下。如：对境外向我传播的不良信息以及企图入侵内部网的非法用户进行有效地监控和抵制；对越权利用网络资源的行为进行控制；必要时可依法对网络中流通与存储的信息进行监视。E不可否认性(incontestable)。【解释】不可否认性是指保证信息行为人不能否认自己的行为。时间：5分钟二、信息系统面临的威胁1信息通信过程中的威胁信息系统的用户在进行通信的过程中，常受到两方面的攻击。被动攻击【解释】攻击者非法截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄漏而无法察觉，给用户带来巨大的损失。l 截获l (Interception)。是指某个威胁源未经允许而获得了对一个资源的访问，并从中盗窃了有用的信息或服务。主动攻击【解释】攻击者通过网络线路将虚假信息或计算机病毒，卷入信息系统内部，破坏信息的真实性和完整性和系统服务的可用性；即通过中断、伪装、篡改、造和重排信息内容，造成信息破坏，使系统无法正常运行，严重的甚至使系统处于瘫痪；l 中断(Interruption)。是指威胁源使系统的资源受损或不能使用，从而暂停数据的流动或服务。l 篡改(Modification)。即某个威胁源未经许可却成功地访问并改动了某项资源，因而篡改了所提供的信息服务。l 伪造(Fabrication)。是指某个威胁源未经许可而在系统中制造出了假消息源、虚假的信息或服务。截获(侦听)中断(干扰)伪造篡改 2信息存储过程中的威胁【解释】存储于计算机系统中的信息，易于受到与通信线路同样的威胁。非法用户在获取系统访问控制权后，浏览存储介质上的保密数据或专利软件，并且对有价值的信息进行统计分析，推断出所有的数据。使信息的保密性、真实性、完整性遭到破坏。3信息加工处理中的威胁【解释】信息系在进行信息处理过程中，通常都是以源码出现，加密保护对处理中的信息不起作用。因此，在这个期间有意攻击和意外操作都极易使系统遭受破坏，造成损失。除此之外，信息系统还会因为计算机硬件的缺陷、软件的脆弱、电磁辐射和客观环境等原因造成损害，威胁计算机信息系统的安全。时间：10分钟三、数字签名1数字签名的概念数字签名：是指利用数学方法及密码算法对电子文档进行防伪造或防篡改处理的技术，是一种包括防止源点或终点否认的认证技术。性质：（1）必须能证实作者签名和签名的日期和时间。（2）在签名时必须能对内容进行认证。（3）签名必须能被第三方证实以便解决争端。数字签名的要求：（1）签名必须是依赖于要签名消息的比特模式。（2）签名必须使用对发送者来说是惟一的信息，以防伪造和否认。（3）数字签名的产生必须相对简单。（4）数字签名的识别和证实必须相对简单。（5）伪造个数字签名在计算上是不可行的，无论是通过对已有的数字签名来构造新消息，还是对给定的消息构造一个虚假的数字签名。（6）保留一个数字签名的备份在存储上是现实可行的。数字签名解决信息安全的“改不了”和“跑不了”问题。手写签名与数字签名的主要差别：签署文件方面 手写签名与被签的文件在物理上不可分割。 数字签名能与所签文件“绑定”。验证方面 手写签名通过与一个真实的手写签名相比较。 数字签名通过公开的验证算法来验证。“拷贝”方面 手写签名不易拷贝。 数字签名容易拷贝。时间：30分钟四、网络防火墙1防火墙定义防火墙是在两个网络之间或网络的不同安全域之间实施访问控制政策略的一个或一组系统。所有进入和离开的数据都必须经过防火墙的检查，只有符合访问控制政策的数据才允许通过。（1）作用隔离外网和内网（2）功能网络安全的屏障强化网络安全策略网络存取和访问进行监控审计防止内部信息的外泄NAT路由代理流量控制、统计分析和计费。（3）防火墙分类按物理形式划分：软件防火墙、硬件防火墙按防护的范围划分：个人防火墙、网络防火墙按实现技术划分 ：包过滤技术、电路层网关、应用层代理、地址转换2防火墙体系结构（1）双宿主机双宿主机体系结构是连接两个网络的计算机系统，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。双宿主机网关是在堡垒主机中插装两块网络口卡，并在其上运行服务器软件，受保护网与Internet之间不能直接进行通信，必须经过壁垒主机。缺点：效率问题，防火墙计算机安全。（2）屏蔽主机屏蔽主机体系结构防火墙配置需要一个带数据分组过滤功能的路由器和一台堡垒主机。优点：提高了效率缺点：堡垒主机的安全性（3）屏蔽子网屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构。用两个分组过滤路由器和一个堡垒主机，在内部网络与Internet之间有一个小型的独立网络，即通过添加周边网络更进一步地把内部网络与Internet隔离开， 3防火墙技术（1）包过滤特点：1工作在TCP/IP协议的网络层和传输层。2对每个进入的IP分组使用一个规则集合，然后转发或者丢弃。3检测网络层数据包首部（IP，ICMP、TCP、UDP）原理：检查每个网络包的源IP地址、目的IP地址、协议类型、TCP/UDP源端口号和目标端口号、ICMP的消息类型、包的大小等规则：在每个集合中，规则是自顶向下应用的。字段中的“*”是一个匹配所有信息的通配符指示符，假设防火墙执行的是默认=丢弃的策略。卡巴斯基包过滤规则实例优点：防火墙可以保护所有的网络服务对应用透明具有较高的网络性能以及较低的成本缺点：无法实施细粒度的访问控制政策 规则配置复杂 安全性低（IP欺骗等）为什么IP欺骗能穿越防火墙？例如：TCP连接三次握手时，请求包SYN=1 ACK=0，当黑客截获到SYN请求包时，立即回复一个“应答包”SYN=1 ACK=1 ，且TCP包其他信息可以伪造，这时可欺骗防火墙，让此包进入。（2）代理特点：1工作在TCP/IP协议应用层，也称为应用级网关2能够做复杂一些的访问控制内容过滤命令级过滤用户认证原理：基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器需要确认该访问是否符合自己的安全规则。对符合安全控制规则的访问，代理服务器根据这一请求向服务器索取数据，然后再再将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内网。优点：能够理解应用层协议，对数据包的数据部分能够完全理解，因而能做复杂的访问控制，并做精细的注册和审核，如身份认证、命令过滤等。对于Web应用，提供内容缓存功能（cache ）。由于外部系统与内部服务器之间没有直接的数据通道，安全性更强。缺点：实现麻烦，要为每一种应用写专门的应用代理程序。使用起来缺乏“透明度”。 效率明显不如网络级防火墙 。l 当前代理服务器的协议是SOCKS5，能够提供TCP和UDP代理。SOCKS4只能提供TCP代理。（3）电路层网关特点：1电路级网关又称线路级网关，它工作TCP/IP协议的传输层。2在内、外网络主机之间建立一个虚拟电路，进行通信。 原理：监视两主机建立连接时的握手信息，如SYN、ACK和序列数据等是否合乎逻辑，信号有效后，网关仅复制、传递数据，而不进行过滤。（4）网络地址转换NAT什么是NAT？NAT是把内部私有网络地址翻译成合法外部网络IP地址。为什么需要NAT？主要目的就是为了能够地址重用。在局域网内部网络中使用私用地址，而当内部主机要与外部网络或者Internet进行通讯时，就在网关处，将内部地址替换成公用地址，从而能够在外部公网上正常使用。从internet上来的含公有IP地址信息的数据包先到达NAT，NAT通过在使用预设好的规则(包含源地址、源端口、目的地址、目的端口、协议等条件)来修改数据包的IP地址头，然后再转发给内网接受主机。为什么不会乱？内部IP+PORT 外部IP+PORT例如：192.168.0.10 3000 202.102.10.20 1001 192.168.0.10 3001 202.102.10.20 1002 192.168.0.11 1001 202.102.10.20 1003NAT怎样转换？NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT：为每一个内部的IP地址分配一个临时的外部IP地址+PORT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。 （5）不同方式防火墙比较效率：包过滤NAT电路层网关代理安全性：包过滤NAT电路层网关代理4防火墙的讨论（1）防火墙能做到什么？可以在网络边界实施访问控制策略可把局域网的安全集中地放在防火墙系统中，集中实施安全保护可以记录所有的访问可以隐藏内部网络（2）防火墙不能做什么？不会自动配置策略，需用户定义不能防止内部恶意的攻击者无法控制没有经过它的连接无法防范全新的威胁和攻击不能很好防范病毒时间：15分钟五、计算机病毒1.定义定义一：我国中华人民共和国计算机信息系统安全保护条例第二十八条：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 定义二：计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自身的拷贝并且插入其他的程序中，执行恶意的行动。 2.计算机病毒产生和发展（1）1949年计算机的创始人冯诺依曼的复杂自动机器的理论和结构论文，提出计算机程序可以在内存中进行自我复制和变异的理论。（2）1959年AT&TBell实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。（3）1983年Fred Cohen博士研制出一种在运行过程中可以复制自身破坏性程序。并在全美计算机安全会议上提出，在VAXll150机上演示，从而证实计算机病毒的存在。 （4） 1988年罗伯特莫里斯（Rober Moms）制造的蠕虫病毒首次通过网络传播病毒，是一起震撼世界的“计算机病毒侵入网络的案件”。2宏病毒举例时间：30分钟六、特洛伊木马1.什么是特洛伊木马特洛伊木马故事。定义：特洛伊木马是驻留在目标主机上的一个程序,在系统启动时或其宿主程序执行时木马程序以后台方式(不被察觉)自动启动,运行在目标主机的这部分程序作为服务器端,它可以在某一端口进行侦听，攻击者使用木马的客户端程序向目标主机的这个端口发送数据时，木马程序的服务器端收到数据，将这些数据解释为一系列的命令在目标主机上执行一些操作，比如窃取口令拷贝或删除文件或重新启动计算机等等，其工作原理如图所示。图 木马程序的工作原理2.特点：（1） 一种未经授权的程序，它独立存在并在设定的时刻自动运行，如系统启动时或打开某一类型的文件时启动。这个程序提供了一些用户不知道的(也可能是不希望实现的)功能，用户在主观上并不希望运行这个程序也不知晓它的存在。（2）包含在合法程序中的未授权代码，未授权代码执行不为用户所知的功能。软件中的漏洞可归于此类，除编程时的疏忽产生的漏洞外，也不排除在软件中故意设置后门的可能；（3）已被更改过的合法程序。用户获得的是被替换过的合法程序，而其中含有未授权代码。间谍3.组成木马程序包括两个部分：客户端和服务器端。n 服务器端：装在被控制的计算机中，通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。n 客户端：控制者用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可实现对远程计算机的控制。n 木马本身不具备繁殖性和自动感染的功能。n 木马隐藏： 文件隐藏、 在专用文件夹中隐藏、在任务管理器中隐形 ； n 木马启动 ：如启动组、win. ini、system. ini、注册表等； 4.植入通常上网，因为防火墙是不能限制WEB访问的，即80端口。n 捆绑欺骗：把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人 。 n 危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载FTP网站上，等待别人下载。n 文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个中，然后在外面再套三四个空文件夹。n zip伪装：将一个木马和一个损坏zip包捆绑在一起，然后指定捆绑后的文件zip图标。 5.木马的技术（1) 服务器端程序文件的隐藏一般的木马在服务端以进程的形式存在，监听端口以等待客户端的连接，因此这种木马容易被发现。l 伪装成系统进程 avpc l 采用替代系统文件的方法l 附在系统程序上 用户无法察觉，即使察觉也杀不掉（2) 隐藏端口监听端口监听也是木马的最大特点，因为木马正在使用的端口号与系统端口不同，通过检查端口的使用情况很容易被发现。l 寄生方式 就是选择一个已经打开的端口，平时只是监听从端口收到的数据包，当然其中的大量数据包是木马程序不感兴趣的，只有在遇到木马客户端通过这个端口发来的特殊格式的数据包才会解释执行。因为木马实际上是寄生在已有的系统端口上的，因此在扫描或查看系统端口的时候时不会有任何多余的端口。l 潜伏方式 是指木马的客户端和服务端之间不采用TCP/UDP 端口来进行通讯，而直接使用IP 协议族中的其他协议，从而避免被netstat 和端口扫描软件发现，一种常见的潜伏手段是使用ICMP 协议，木马会监听ICMP 报文，当出现特殊的报文(比如特殊大小的包、特殊的报文结构等)后再打开TCP 端口和客户端连接，这种木马在没有激活时是不可见的，但是一旦和客户端连接后就可以看到状态为Established 的链接(如果端口的最大连接数设为1 在远程使用Connect 方法进行端口扫描还是没有办法发现的)。 而一个真正意义上的ICMP 木马则会全部使用ICMP 协议来进行数据和控制命令的传递(数据放在ICMP 的报文中) ，在整个过程中它都不会打开新的端口。（3)主动攻击早期的木马在入侵目标主机时总是被动地等待客户端的连接，而木马也可以在客户端的控制以外主动攻击系统，例如WINNT 下的溢出型木马就利用种种系统的漏洞，设法使自己得到管理员权限ADMIN，甚至成为系统的控制者。（4) 突破防火墙的限制防火墙可以过滤输入和输出端口,木马客户端不能通过其指定的端口连接进入防火墙后面的主机。反弹端口型的木马以其隐蔽性和欺诈性使得防火墙被从内部攻破。【防火墙特点】防火墙对于连入的连接往往会进行非常严格的过滤，除内部主机开放服务的端口外，从外部进入的其他端口被禁止，而对从防火墙内部连出的端口则限制较少。【突破】反弹端口型木马的服务端(被控制端)使用主动端口向外连接客户端(控制端)，客户端（控制端）使用被动端口等待服务端来连接自己，被控制端定时监测控制端的存在，发现控制端后主动连结控制端打开的被动端口，为隐蔽起见，控制端的被动端口一般开在80 ，这样即使控制端的管理员使用端口扫描软件检查时发现有一个向外部的80 连接，理所当然地认为自己在浏览网页，防火墙也这么认为。被控制端如何得到控制端的IP 地址呢？将控制端的IP 地址固定下来，写到木马的服务器端显然不是一个好方法，一旦木马的服务器端被发现后根据这个IP 地址很容易地就可追踪到攻击者，实际上这种反弹端口的木马常常会采用固定IP 的网络服务来进行IP 地址的传递，比如被控制端定时去检查一个Web 页面，如果文件内容为空就继续等待，如果有内容就按照其中的数据计算出控制端的IP 和端口，根据这个IP 和端口向外建立连接和控制端进行交互，这样攻击者要想和控制端连接时只要上传这个Web 页面就可以通知被控制端，让它知道控判端的IP 和端口。Web 页面中的数据(IP 和端口)可以经过加密措施。除了被控制端(服务端)和控制端(客户端)，他人不能了解其中的内容。6.木马清除（1）win.ini 文件在WINDOWS节中run= 和load= 指定的程序在进入Windows系统后会自动执行，如果发现该行后面指定的路径和文件名有异常，则说明是木马程序欲利用这个入口自动启动；（2）system.ini 文件在BOOT节中有一项shell= ，正常时该行为shell= explorer.exe，如果该行为”shell= explorer.exe 程序名”，那么后面的程序就可能是木马程序；（3）autoexec.bat 文件如果发现”win 程序名”一行，那么后面的程序就可能是木马程序；（4）注册表通过regedit 命令运行注册表编辑器，在下面三个位置处：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce 查看键值中有没有异常项，在HKEY_CLASSES_ROOTexefileshellopencommand 正常的值为%1 %* 如果被修改为程序名 %1 %* 则该程序在每次执行exe 文件时都会自动调用，可能是木马程序。在键值HKEY_CURRENT_USERControl PaneldesktopwallPaper 中也会藏有木马程序，病毒happy time 就利用它作为藏身之地，每次显示桌面时就会调用这个键值中的html 脚本。七、小结1信息安全内容2信息系统面临的威胁3数字签名4网络防火墙5计算机病毒6特洛伊木马