计算机安全知识讲座.ppt

计算机安全知识讲座,2009年11月,一、信息安全及安全事件处置,1.1 信息安全的内涵,信息安全就是实现信息网络系统的正常运行，确保信息在产生、传输、使用、存储等过程中保密、完整、可用、真实和可控，即信息的保密性(信息的内容不能被泄漏)、完整性(存储在计算机上或在网络上流动的信息没有被破坏和恶意篡改)、可用性(合法用户提出访问时能及时响应)、不可否认性(在网络环境下，信息的发送者不可否认其发送行为，信息的接受者不可否认其已经接受信息的行为)和可控性(信息处理可以监督和管理)等。,1.2 信息安全面临的威胁,(1)非授权访问。如有意避开系统访问控制机制，对网络资源进行非正常使用，或擅自扩大权限，越权访问信息。 (2)信息泄露或丢失。指敏感数据在有意或无意中被泄露或丢失。如通过对信息流向、流量、通信频度和长度等参数的分析，推断出诸如用户的用户名、口令等重要信息；信息在存储介质中丢失或泄漏，通过建立隐蔽通道等窃取敏感信息。 (3)破坏数据完整性。以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。 (4)计算机病毒传播。通过网络传播计算机病毒，往往在极短的时间内发生大范围的感染，破坏性很大。 (5)攻击网络服务系统。对网络服务系统进行干扰，改变其正常的作业流程；执行攻击程序，使系统响应减慢甚至瘫痪，影响正常用户的使用。 (6)间谍软件。未经用户同意安装于用户终端的一种实施数据窃取或远程监控的恶意程序。,1.3 我国已颁布的信息安全法律法规,我国十分重视信息化法制建设，并运用法律手段保障和促进信息网络的健康发展，从1994年国务院令147号发布中华人民共和国计算机信息系统安全保护条例开始，国务院与相关部委陆续发布了中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、计算机病毒防治管理办法、互联网信息服务管理办法、中华人民共和国电子签名法等多部法规文件。,1.4 国家信息安全保障的战略方针： 积极防御、综合防范,积极防御：是指用发展的思路来解决信息安全问题，充分认识信息安全面临的风险和威胁，立足于安全保护、加强预警和应急处置，从更深层次和长远考虑，提高隐患发现、安全保护、应急反应、信息对抗四个能力，实现对网络和信息系统的安全可控，削减网络和系统的脆弱性，在发生突发信息安全事件情况下，努力使遭受损害程度最小化，所需恢复时间最短化。,1.5 不得从事的危害信息安全的活动,计算机信息网络国际联网安全保护管理办法明确规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动： 一、未经允许进人计算机信息网络或者使用计算机信息网络资源； 二、未经允许对计算机信息网络功能进行删除、修改或者增加； 三、未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加； 四、故意制作、传播计算机病毒等破坏性程序及其它危害计算机信息网络安全的活动。,对违反法律、行政法规，犯有上述行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下罚款，对单位可以并处15000元以下罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，按照治安管理处罚条例的规定处罚；构成犯罪的依法追究刑事责任。,1.6 常见的信息安全事故,下列异常情况可确认为信息安全事故： (1)设备、信息遭破坏、篡改、丢失或泄露，设置被更改； (2)大面积感染计算机病毒； (3)来自外部的对本单位信息系统的扫描、入侵、攻击； (4)服务器、用户终端被植入木马、系统崩溃； (5)内部计算机向外发送大量垃圾邮件； (6)内部越权非法访问重要数据和文件； (7)来自内部的对本单位信息系统的扫描、入侵、攻击、散布计算机病毒。,1.7 信息安全事故处置,一旦发生信息安全事故，信息安全管理人员应及时向上级汇报，根据问题性质的严重性请示启动信息安全应急处置预案，按照预案组织力量和设备，并按照预案处置流程进行各项处置工作。一旦本单位无法解决信息安全事故应立即上报上级主管单位，直至公安部门。,二、计算机病毒及其防治,2.1 计算机病毒的传播途径,通过文件系统传播； 通过电子邮件传播； 通过网页传播； 通过互联网上即时通讯软件和点对点软件等常用工具传播。,2.2 计算机病毒的种类,DOS病毒。 DOS病毒只能在DOS环境和早期Windows环境下运行、传染(通过软盘)，感染对象为DOS引导扇区和可执行文件。 其危害性主要有：DOS不能正常引导、出现花屏、可执行文件被更改、系统死机或程序运行异常等。,(2) Windows病毒。 Windows病毒按其感染的对象又可分为感染NE格式(Windows3X)可执行程序的病毒；感染PE格式（Windows9598)可执行程序的病毒。 其危害性主要有：CMOS设置被更改导致系统设置混乱无法正常启动、Windows系统文件和文本文件被更改、BIOS被更改导致硬件系统瘫痪、修改硬盘内容或分区信息导致不识硬盘甚至硬盘损坏等等。“CIH”病毒是其代表。,NE格式 与 PE格式,NE 是 New Excutable 的缩写， “新可执行”文件，是 16 位 Windows 可执行文件的标准格式。 32 位 Windows 可执行文件的格式称为 PE ，即 Portable Excutable 。,CIH病毒：能破坏计算机硬件的病毒,CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚，Internet和光盘现已成为加速计算机病毒传播的催化剂。CIH病毒只感染Windows95/98操作系统，它对DOS操作系统没有什么影响，这是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。,从技术角度来看，CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给当时传统反病毒技术提出了巨大的挑战，这是由于传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。 防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。 CIH病毒长驻在主存储器之后，每次执行时，会检查电脑的日期是否为4月26日，如果是，它会透过你的电脑I/O部（CF8、CFD、CFE端口）修改你的电脑的某些设定，并且把你电脑硬盘的资料都毁了，甚至连硬盘数据区及引导区的资料都删除 ，并且让电脑当机。重新开机，屏幕会出现“DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER“(硬盘引导失败，请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令，则出现“Invalid drive specification“(不可用的驱动器编号)。,(3) 混合型病毒。 随着Windows系统大量使用、网络技术和服务的飞速发展，破坏程度呈几何增长的混合型病毒随之产生。它结合了传统电子邮件病毒的破坏性和新型病毒基于网络的能力，能够快速寻找和发现局域网内存在的安全漏洞，并进行进一步的破坏，如拒绝服务攻击，拖垮服务器，攻击计算机或系统的薄弱环节等。,混合型病毒融入了蠕虫、木马、后门、黑客、SMTP等技术，其传播速度极快、危害性极大，严重时可在几分钟内感染数万多台计算机，造成全球数以亿计美元的损失。混合型病毒目前最具危害性的表现形式有：垃圾邮件病毒、间谍软件等等。前者大大提高了病毒感染率，而后者使第三方得以获取使用者的敏感信息。,2.3 计算机感染病毒的主要症状 计算机感染了病毒后症状很多，其中以下25种最为常见,(1)信息系统运行速度明显减慢； (2)平时运行正常的电脑突然经常性无缘无故地死机； (3)文件长度发生变化； (4)磁盘空间迅速减少； (5)系统无法正常启动； (6)丢失文件或文件损坏； (7)屏幕上出现异常显示； (8)电脑的喇叭出现异常声响； (9)网络驱动器卷或共享目录无法调用； (10)系统不识别硬盘；,(11)对存储系统异常访问； (12)键盘输入异常； (13)文件的日期、时间、属性等发生变化； (14)文件无法正确读取、复制或打开； (15)命令执行出现错误； (16)虚假报警； (17)换当前盘，有些病毒会将当前盘切换到C盘； (18)时钟倒转，有些病毒会命令系统时间倒转，逆向计时； (19)以前能正常运行的软件经常发生内存不足的错误甚至死机; (20)系统异常重新启动； (21)打印和通讯发生异常； (22)异常要求用户输人密码； (23)WORD或EXCEL提示执行“宏”； (24)不应驻留内存的程序驻留内存； (25)自动链接到一些陌生的网站。,2.4 如何防治计算机病毒,计算机病毒对信息网络造成的破坏和危害越来越大，因此，要有足够的警惕性来防范计算机病毒的侵扰。 要从建立健全单位各项信息安全制度上使保障单位信息安全保障管理落到实处，要从计算机病毒防范技术的掌握不断更新上促进单位计算机病毒防范能力的提高。 防范计算机病毒常用的技术手段主要有：操作系统和防病毒软件的及时升级、重要信息的及时备份以及重要信息遭破坏后的恢复。,个人防范计算机病毒的主要要求：,(1)参加安全培训和讲座，提高防范意识和技能； (2)遵守各单位结合自己情况建立的计算机病毒防治管理制度； (3)杀毒软件由单位统一安装，不要同时安装多个后自行再安装； (4)按要求及时升级杀毒软件、操作系统和应用软件补丁； (5)按要求和操作规范关闭办公电脑上不用的端口，防止各种恶意程序的进入和信息外泄； (6)在接收电子邮件时，要仔细观察，不打开来历不明的邮件； (7)未经许可不在电脑中安装其他软件(如游戏等)； (8)及时做好重要信息的备份工作，使用存储介质时，要确认不带病毒； (9)确保提供共享的信息资源不带病毒；,发现感染病毒后的操作：,断开与网络的连接(拔掉网线)； 按Ctrl+Alt+Del调出任务管理器，观察并记录其中可疑的进程名； 重新启动计算机,进入系统安全模式(按F8)； 打开防病毒软件，扫描所有磁盘； 运行regedit，删除注册表启动项中的所有可疑键值；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunOnce,RunServices) HKEY_LOCAL_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 删除可疑的进程文件。,三、个人电脑使用规范,3.1 使用计算机应形成良好习惯,(1)保持键盘、鼠标、显示器等常用设备的清洁，防止茶水等液体进入键盘、显示器等外设造成设备短路损毁； (2)暂时离开时要锁定计算机，或使用计算机屏幕保护程序并设置口令； (3)妥善管理计算机各种用户名(账号)与口令； (4)使用软件前，阅读软件说明书，熟悉软件的特性及使用方式； (5)未经许可不擅自使用他人的办公计算机； (6)严禁擅自将外网电脑接入内网，接入内网的电脑必须确认没有病毒； (7)重要文件按规定随时备份； (8)禁止在计算机上使用来路不明的光盘； (9)外出或下班时应关闭办公电脑、显示器等终端的电源。,3.2 正确设置用户名与口令,口令至少六个字符，切忌设置空口令和与用户名(帐号)名相同的口令。 一个好的口令首先要不易被猜出，您的名字、生日、电话号码、password、root、admin、123456，等都不是好的口令。 第二要求口令不易被破解，以现今主流家用计算机的处理能力，破解8位字符纯数字或纯字母组成的口令只需210分钟。所以，在能够记住的前提下，好的口令至少应该由大小写字母、数字和其他字符组成，尤其在信息安全危险度较高的场合(比如，24小时开机的计算机，直接连接广域网、城域网的服务器等)。,3.3 多种方式灵活设置口令,(1)开机口令(又称为CMOS口令)：在计算机主机板BI0S中设定； (2)登录用户名(帐号)：进入操作系统所需键入的用户名和口令；高权限用户名(帐号)对整个操作系统具有控制权，甚至是整个工作组或域的控制权，是最重要的口令，须正确设置口令，妥善管理口令； (3)屏保口令：在暂时离开时要使用计算机屏幕保护程序并设置口令； (4)应用程序口令：大部分信息管理软件都可以设置口令功能，具有口令者才能使用； (5)常用的文档编辑软件； (6)电子邮件及各种网络通讯软件等等。,3.4 上网浏览的注意事项,(1)不要同时打开太多链接窗口； (2)当某个网站提出要将本网站设置为主页时，要取消操作； (3)当网页中弹出安装某个插件的对话框时，如果一时不能确认，取消安装； (4)定期清除历史访问信息、cookies以及Internet临时文件。 (5)严禁在网络上运行任何黑客软件；若工作需要，应在独立的测试环境中试验。,3.5 使用电子邮件的注意事项,(1)邮件和邮件通讯录都要做好备份； (2)发送邮件大小不超过邮箱总容量，附件大小应做适当控制，可先行压缩，或分成几个压缩包； (3)多个文档文件作为附件发送时，最好压缩打包成一个文件发送； (4)群发邮件时，收件人地址之间用逗号“，”或分号“；”分隔； (5)邮件客户端程序建议弃用Outlook Express，使用Foxmail，并设置账户口令； (6)以Web方式收取邮件，在阅读完毕时，一定要退出登录，并关闭网页； (7)不要打开来历不明、奇怪标题或者非常有诱惑性标题的电子邮件；exe、com、pif、scr、vbs为后缀的附件，或者名字很特别的TXT文件，不要轻易打开； (8)重要邮件在发送前应做加密处理；禁止将含工作内容的邮件通过互联网上免费邮箱发送； (9)应该及时清理自己的个人邮箱，删除或转移邮件，以保证邮箱的可用容量； (10)多个邮箱使用时最好做分类处理。例如，其中一个用作单位内部工作邮箱，另一个用作单位对外联络邮箱； (11)严禁在邮件内容中透露涉及单位和个人的重要信息内容。如身份证号码、银行帐号、计算机账号及口令等； (12)禁止任何人发送或有意接收垃圾邮件。,3.6 注意保护重要数据和文件,(1)重要数据和文件根据不同的需要按规定进行加密和设置访问权限； (2)重要数据和文件应及时按规定进行备份。核心数据和文件要考虑在本地备份的基础上进行异地备份； (3)重要数据和文件不要放在共享文件夹内，确因工作需要临时设立共享文件夹的，应设置口令，并应针对不同的用户名(帐号)设置不同的操作权限。临时共享文件夹使用结束后，应立即取消。,四、系统主机安全加固,4.1 安装完系统立即升级补丁,安装完Windows系统后，立即打上补丁。接着使用Windows update在线更新全部重要更新。（360安全卫士有此功能，简单易用。） 安装过程中提示输入管理员密码时，密码长度应在8位以上，最好使用数字、字母、特殊符号等多种组合。,4.2 修改注册表,(1)将Administrator改名。（控制面板管理工具计算机管理系统工具本地用户和组用户）。 (2)去除默认共享。（运行regedit，修改键值， HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Lanmanserver/parameters/，新建双字节值AutoShareServer，值为0；添加双字节值AutoShareWKS，值为0） (3)禁止空连接（运行regedit， HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA/RestrictAnoymous，值为1）。 (4)不允许枚举SAM帐号（管理工具本地安全策略本地策略安全选项将“网络访问：不允许SAM帐号的匿名枚举”、“网络访问：不允许SAM帐号和共享的匿名枚举”均设置为“启用”）。 (5)禁止远程访问注册表（管理工具本地安全策略本地策略安全选项将“网络访问：可远程访问的注册表路径”中全部键值删除）。,4.3 配置本地安全策略,帐户锁定（控制面板管理工具本地安全策略帐户策略帐户锁定策略，设置账户锁定值）。 设置审核策略（建议服务器进行设置，个人电脑不需要。控制面板管理工具本地安全策略审核策略，全部启用“成功”、“失败”）。 禁用Netbios（网络属性TCP/IP属性Wins禁用TCP/IP上的Netbios）。,4.4 禁用不安全的系统服务,关闭危险和不必要