《计算机安全d》PPT课件.ppt

计算机安全,第 11 章,11.1 计算机病毒概述,11.2 计算机的防毒杀毒,11.3 网络与系统安全,11.4 防火墙,11.5 保护计算机安全的常用措施,11.1.1 计算机病毒的种类,11.1.2 常见危害最大的计算机病毒,11.1.3 计算机病毒的主要症状,11.1 计算机病毒概述,11.1.4 常见计算机病毒的解决方案,计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒和生物医学上的“病毒”一样，具有一定的传染性、破坏性、再生性。在满足一定条件时，它开始干扰电脑的正常工作，搞乱或破坏已有储存信息，甚至引起整个电脑系统不能正常工作。通常计算机病毒都具有很强的隐蔽性，有时某种新的计算机病毒出现后，现有的杀毒软件很难发现并消除掉，只有等待病毒库的升级和更新后，才能杀除掉。,11.1.1 计算机病毒的种类,计算机病毒概述,按照病毒的破坏性分类 良性病毒：是指不包含立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。但良性病毒取得系统控制权后，会导致整个系统和应用程序争抢CPU的控制权，导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。因此不能轻视良性病毒对计算机系统造成的损害。 恶性病毒：是指包含损伤和破坏计算机系统操作的代码，在其传染或发作时会对系统产生直接的破坏作用。有的病毒还会对硬盘做格式化等破坏。有些病毒是故意损坏用户的文件或分区甚至是系统和主机。因此这类恶性病毒是很危险的，应当注意防范。,11.1.1 计算机病毒的种类,计算机病毒的种类,按照病毒存在的媒体进行分类 网络病毒：通过计算机网络传播感染网络中的可执行文件 文件病毒：感染计算机中的文件（如COM、EXE、DOC等） 引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（MBR） 混合型病毒：如多型病毒（文件和引导型），这类病毒通常具有复杂的算法，使用非常规的办法侵入系统。,11.1.1 计算机病毒的种类,计算机病毒的种类,按照病毒传染的方法进行分类 驻留型病毒：感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这部分程序挂接系统调用并合并到操作系统中去，处于激活状态，一直到关机或重新启动。 非驻留型病毒：指在得到机会激活时并不感染计算机内存或是一些病毒在内存中留有小部分，但是并不通过这一部分进行传染。,按照计算机病毒特有的算法 伴随型病毒：根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM）。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒：依附在系统的引导扇区或文件中，通过系统的功能进行传播。 诡秘型病毒：一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，利用DOS空闲的数据区进行工作。 变型病毒（又称幽灵病毒）：使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,11.1.1 计算机病毒的种类,计算机病毒的种类,1系统病毒 这种病毒共有的特性是感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒也称切尔诺贝利病毒，该病毒发作时，破坏计算机系统Flash Memory芯片中的BIOS系统程序，导致系统主板损坏，同时破坏硬盘中的数据。CIH病毒是首例直接攻击、破坏硬件系统的计算机病毒，是迄今为止破坏力最为严重的病毒之一。系统病毒的前缀为：Win32、PE、Win95、W32、W95等。,11.1.2 常见危害最大的计算机病毒,2蠕虫病毒 这种病毒的共有特性是通过网络或者系统漏洞进行传播，大部分蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。如冲击波病毒，它运行时，会不停地利用IP扫描技术寻找网络上系统为Windows 2000或Windows XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常，不停重启甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。蠕虫病毒的前缀是：Worm,3木马/黑客病毒 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒一般成对出现，木马病毒负责侵入用户的电脑，而黑客病毒通过木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。如QQ消息尾巴木马 Trojan.QQ3344 ，还有针对网络游戏的木马病毒Trojan.LMir.PSW.60 。木马病毒其前缀是：Trojan，黑客病毒前缀一般为 Hack 。,11.1.2 常见危害最大的计算机病毒,4宏病毒 宏病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如著名的美丽莎（Macro.Melissa）。该类病毒具有传播极快、制作和变种方便、破坏可能性极大以及兼容性不高等特点。宏病毒的前缀是：Macro，第二前缀一般是：Word、Word97、Excel、Excel97其中之一。,11.1.2 常见危害最大的计算机病毒,5破坏性程序病毒 这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。破坏性程序病毒的前缀是：Harm。,（1）计算机运行速度下降。 （2）由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。 （3）由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量增大。 （4）由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。 （5）由于病毒本身或其复制品不断侵占系统空间，使可用系统空间变小。 （6）由于病毒程序的异常活动，造成异常的磁盘访问。 （7）由于病毒程序附加或占用引导部分，使系统引导变慢。 （8）丢失数据和程序。 （9）中断向量发生变化。,11.1.3 计算机病毒的主要症状,（10）死机现象增多。 （11）打印出现问题。 （12）生成不可见的表格文件或特定文件。 （13）系统出现异常动作，如突然死机，又在无任何外界介入下，自行起动。 （14）出现一些无意义的画面问候语等显示。 （15）程序运行出现异常现象或不合理的结果。 （16）磁盘的卷标名发生变化。 （17）系统不认识磁盘或硬盘不能引导系统等。 （18）异常要求用户输入口令。,11.1.3 计算机病毒的主要症状,1. 给系统打补丁 很多计算机病毒都是利用操作系统的漏洞进行感染和传播的。用户可以在系统正常状况下，登录微软的Windows网站进行有选择的更新。 Windows2000/XP 操作系统在连接网络的状态下，可以实现自动更新。设置Windows XP操作系统的自动更新，可以通过“开始”“设置”“控制面板”操作后，打开“自动更新”进行设置，,11.1.4 常见计算机病毒的解决方案,2. 更新或升级杀毒软件及防火墙 正版的杀毒软件及防火墙都提供了在线升级功能，使病毒库（包括程序）升级到最新，然后进行病毒搜查。如果在Windows下不能将病毒杀除干净，可以通过制作杀毒软件的DOS杀毒盘的方式在纯DOS环境下杀毒。,11.1.4 常见计算机病毒的解决方案,3. 访问杀毒软件网站 在瑞星、金山毒霸、江民、赛门铁克等各大软件网站中，都提供了许多病毒专杀工具，可免费下载。除此之外，还提供了完整的查杀病毒解决方案，用户可以参考这些方案进行查杀操作。,除了以上介绍的常用病毒解决方案外，建议用户不要访问来历不明的网站；不要随便安装网站提示的来历不明软件；在接收邮件时，不要随便打开或运行陌生人发送的邮件附件，可以直接将其作为垃圾邮件删除。,11.2.1 常用计算机杀毒软件,11.2.2 瑞星杀毒软件的使用,11.2 计算机的防毒杀毒,1. 瑞星 瑞星杀毒软件（Rising Antivirus）（也简称RAV）采用获得欧盟及中国专利的六项核心技术，形成全新软件内核代码，是目前国内外同类产品中很具实用价值和安全保障的一个。依靠其获得欧盟和中国专利的“病毒行为分析判断技术”，瑞星杀毒软件可以从未知程序的行为方式判断其是否有害并予以相应的防范。在最新的2009版本中，相比以前的版本，在杀毒、查杀、监控、提示等方面都做了很大的改进，可以更有效的查杀更多病毒，并更加方便用户的使用。,11.2.1 常用计算机杀毒软件,2. 金山毒霸 金山毒霸中包含金山毒霸、金山网镖和金山清理专家，集成两大领先技术（数据流杀毒技术和主动实时升级技术）、三大核心引擎（反间谍、反钓鱼和主动漏洞修复）、四大利器（隐私保护、抢先加载、文件粉碎、和应急U盘）。金山毒霸核心的技术亮点之一是采用了三维互联网防御体系，所谓三维互联网防御体系即在传统病毒库、主动防御的基础上，引用了全新的“互联网可信认证”技术，让用户的网络生活更安全。金山毒霸最新版本是2009，它沿用了2008版所采取的“病毒库+主动防御+互联网可信认证技术”三重防护，但是进行了进一步的增强，形成了“超大病毒库+智能主动防御+互联网可信认证（增强）”的模式，,3. 江民 江民杀毒软件是由国内知名的计算机反病毒软件公司江民科技开发研制的具有自主知识产权的杀毒软件，其最新的版本KV2009创新推出了启发式扫描、“沙盒”（Sandbox）技术、虚拟机脱壳、内核级自我保护、智能主动防御、网页防木马墙、ARP攻击防护、互联网安检、系统安全检测、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术，具有防毒、杀毒、防黑、系统加固、系统一键恢复、隐私保护、反垃圾邮件、网址过滤等三十余项安全防护功能，全面防护电脑数据、互联网应用、系统安全等涉及电脑应用的全方位安全。,11.2.1 常用计算机杀毒软件,4. 赛门铁克(Symantec) 赛门铁克是互联网安全技术的全球领导厂商，他旗下的诺顿品牌是个人安全产品全球零售市场的领导者，诺顿（Norton）防病毒软件集成了智能主动防御功能，具有行为阻截、协议异常防护、病毒扼杀及通用漏洞阻截四大技术，全面的安全防护保护计算机免受病毒、黑客、间谍软件和邮件的侵扰。它可以自动检测并杀除病毒、除去计算机中不受欢迎的间谍软件，还可扫描电子邮件和即时通信附件中的威胁，支持自动更新。最新推出的诺顿防病毒软件Norton AntiVirus 2009，在保持了上一代产品的优势外，又有超过300项的产品改进及60多项创新设计，实现了性能和防护的完美统一，同时实现了对系统资源最小消耗。,5. 卡巴斯基 卡巴斯基单机版是俄罗斯著名数据厂商Kaspersky Labs专为我国个人用户开发的反病毒产品。其功能包括：病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序，时刻监控一切病毒可能入侵的途径，能够有效查杀“冲击波”、Welchia、Sobig.F等病毒及其他8万余种病毒，并可防范未知病毒。另外，该软件界面简单、集中管理、提供多种定制方式、自动化程度高，而且几乎所有的功能都是在后台模式下运行，系统资源占用率低。其最新的2009版杀毒软件新增了“扫描操作系统和已安装程序中的漏洞”和“阻止链接到恶意程序网站”功能，可以更方便用户使用。,11.2.1 常用计算机杀毒软件,6. 迈克菲 迈克菲（VirusScan）是McAfee生产的专业版防病毒软件，可以快速有效的扫描电子邮件、附件、共享磁盘、下载文件和网上冲浪，当发现病毒会立即清除或隔离，有效阻止病毒和间谍软件的侵扰，是一款令人信赖的电脑防护软件。McAfee 2009安全套件是其最新的版本，其主要亮点是通过Active Protection技术，提供世界上最快速的恶意软件检测；与以往的产品相比，对系统启动速度的影响进一步降低，扫描时间大幅缩短；提供了强大的企业级垃圾邮件防护；为家庭环境提供更好的保护；提供更全面的防护，包括针对敏感财务文档的“文件保护”，以及在网上购物中避免身份信息被盗和信用卡欺诈的“安全商店”。,1. 瑞星杀毒软件主界面 安装瑞星杀毒软件之后，执行“开始”“程序”“瑞星杀毒软件”“瑞星杀毒软件”命令，或是双击桌面上的“瑞星杀毒软件”快捷图标，或是单击快速启动栏中的“瑞星杀毒软件”图标，启动“瑞星杀毒软件”， 弹出瑞星杀毒软件主界面，,11.2.2 瑞星杀毒软件的使用,2. 查杀病毒 首先，选定“杀毒” 选项卡，在窗口左侧显示“查杀目标”列表框，包括当前待扫描的所有目标对象，如磁盘、文件夹、内存、引导区、邮箱；右侧显示“杀毒”时一些设置。 然后，单击“开始查杀”按钮。“信息栏”中显示当前已查杀的文件数、病毒数。,11.2.2 瑞星杀毒软件的使用,3. 快捷查杀 为方便用户快捷地进行病毒查杀，瑞星杀毒软件提供了“快捷查杀”功能，用户可以从杀毒界面中选定快捷方式进行查杀。,11.2.2 瑞星杀毒软件的使用,4. 查杀设置 右键单击瑞星杀毒软件“小雨伞”图标，在弹出的快捷菜单中可以选择设置 （1）详细设置：可以进行定时查杀、开机查杀、定时升级等设置。 （2）实时监控详细设置：包括文件监控、邮件监控和网页监控，拥有这些功能瑞星杀毒软件能在用户打开陌生文件、收发电子邮件和浏览网页时查杀和截获病毒，全面保护计算机免受病毒的侵害。 （3）主动防御详细设置： 主动防御是一种阻止恶意程序运行的技术，它提供更开放高级用户自定义规则的功能，用户可以根据自己系统的特殊情况指定独特的防御规则，使主动防御最大限度地保护系统。,5. 病毒隔离系统 病毒隔离系统可以保存感染文件的备份，保存在病毒隔离系统中的染毒文件不会造成感染和破坏，用户可以根据情况处理隔离的文件。,11.2.2 瑞星杀毒软件的使用,6. 漏洞扫描工具 瑞星漏洞扫描工具是对Windows系统存在的“系统漏洞”和“安全设置缺陷”进行检查，并提供相应的补丁下载和安全设置缺陷修补工具。,7. 瑞星卡卡上网安全助手 瑞星卡卡上网安全助手是一套功能强大的信息安全辅助工具，它应用碎甲（Anti-Rootkits）等多项反病毒核心技术，集成了查杀流行木马、清除流氓软件、扫描修复系统漏洞、在线诊断、反Rootkit、系统优化加速、超强系统防护等强大功能。全面保护用户的QQ、网游、网银帐号等个人信息安全，营造一个良好的上网环境。,11.3.1 黑客常用的漏洞攻击手段,11.3.2 网络安全措施,11.3 网络与系统安全,1. 非法获取口令 黑客通常利用暴破工具对Session（会话管理）进行攻击，通过Session劫持、Session猜测和Session转帐这几个步骤，在一定的数码范围中获得有效的、激活的Sessionkey，从而盗取合法用户的Session。黑客非法获取用户帐号后，利用一些专门软件强行破解用户口令，从而实现对用户的计算机攻击。,11.3.1 黑客常用的漏洞攻击手段,2. 利用系统默认帐号进行攻击 黑客会利用操作系统提供的默认帐号和密码进行攻击，例如Windows NT/XP/2000的Guest等帐号，UNIX主机有FTP和Guest等默认帐户（其密码和帐户名相同），有的甚至没有口令。此类攻击主要是针对系统安全意识薄弱的管理员进行的。,3. SQL注入攻击 如果一个Web应用程序没有适当的进行有效性输入处理，黑客可以轻易地通过SQL攻击绕过认证机制获得未授权的访问，而且还对应用程序造成一定的损害。在SQL注入攻击中，由于应用程序在后台使用数据库，而本身对用户控制的数据没有进行正确的格式处理，很容易被SQL查询语句所代替。,11.3.1 黑客常用的漏洞攻击手段,4. 认证回放攻击 黑客利用认证设计和浏览器安全实现中的不足，在客户端浏览器中进行入侵。由于浏览器中会保留含有敏感信息的POST数据，如用户名、密码，而这些敏感数据又可以再次被提交。如果黑客访问到客户端没有关闭的浏览器，他就可以利用认证回放来重新提交认证请求。一旦没有保护机制，攻击者就能用原始用户的身份进行重新认证请求。,5. 放置木马程序 木马程序是让用户电脑提供完全服务的一个服务器程序，利用该服务可以直接控制用户的电脑并进行破坏。它常被伪装成工具程序或者游戏等引诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开并执行邮件的附件程序之后，木马程序便在每次Windows启动时悄悄在后台运行。当用户连接到Internet上时，该程序会向对方报告用户的IP以及预先设定的服务端口。对方收到信息后街可以利用客户端程序直接连接到木马程序所提供的服务端口，完全控制并监视用户的一举一动，而用户却毫不知情。,11.3.1 黑客常用的漏洞攻击手段,6. 钓鱼攻击 钓鱼攻击主要是利用欺骗性的Email邮件和伪造好的Web网站来进行诈骗活动，常用的钓鱼攻击技术主要有： 相似的域名 为了达到欺骗目的，黑客会注册一个域名、改变大小写或使用特殊字符。由于大多数浏览器都是以无衬线字体显示URL，而大多数用户缺少工具和知识来判断一个假域名是否真正被黑客所利用。 IP地址 通过IP地址隐藏服务器真实身份是最简单的方法，由于许多合法URL也包含一些不透明且不易理解的数字。因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑。 欺骗性的超链接 一个超链接的标题是完全独立于它所实际指向的URL。黑客利用这种表面显示和运行间的内在差异，在链接的标题中显示一个URL，而在其背后却使用了一个完全不同的URL。,11.3.1 黑客常用的漏洞攻击手段,7. 电子邮件攻击 电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹。指的是用伪造的IP地址和电子邮件地址向同一个信箱发送数以千计万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪。,11.3.1 黑客常用的漏洞攻击手段,8. 通过一个节点来攻击其它节点 黑客在突破一台主机后，往往以此主机作为根据地，攻击其它主机。他们可以使用网络监听的方法，尝试破解同一网络内的其它主机，也可以通过IP欺骗和机主的信任关系，攻击其它主机。,9. 寻找系统漏洞 即使是公认的最安全、最稳定的操作系统，也存在漏洞(Bugs)，其中一些是操作系统自身或系统安装的应用软件本身的漏洞，这些漏洞在补丁程序未被开发出来之前很难防御黑客的破坏，除非将网线拔掉。所以，建议用户在新补丁程序发布后，一定要及时下载并安装。否则黑客可能会用自己编辑的程序通过漏洞攻入用户计算机系统进行破坏。,网络安全应该从程序级和应用级进行防御 程序级即从开发人员的角度，加强Session管理机制、输入/输出有效性处理、 “POST”变量提交、页面缓存清除等技术上进行有效的处理，从根本上加强网络的安全性。 应用级通过安全认证技术增强Web应用程序的安全性，如身份认证、访问控制、一次性口令、双因子认证等技术。,11.3.2 网络安全措施,身份认证也称身份鉴别，其目的是鉴别通信伙伴的身份，或者在对方声明自己的身份之后，能够进行验证。 访问控制的目的是保证网络资源不被未授权的访问和使用。 一次性口令（One-Time-Password OTP）认证技术的基本原理是在登录过程中加入不确定因子，使用户在每次登录过程中提交给认证系统的认证数据都不相同 双因子认证指的是用两个独立的方式来建立身份认证和权限。,11.4.1 防火墙概述,11.4.2 个人防火墙,11.4 防火墙,防火墙（Firewall）是指设置在不同网络或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 防火墙启动后经过它的网络信息都必须经过扫描，这样可以滤掉一些攻击，它还可以关闭不使用的端口，禁止特定端口流出通信，可以锁定特洛伊木马。除此之外，防火墙还可以禁止来自特殊站点的访问，从而防止不明者的入侵。 防火墙有不同类型，从技术上可分为包过滤型、代理服务器型、复合型以及其它类型（双宿主主机型、主机过滤及加密路由器）防火墙。从使用范围上可分为硬件防火墙、专业级防火墙和个人防火墙。 硬件级防火墙可以是硬件自身的一部分，可以将网络连接和计算机都接入硬件防火墙中。专业级防火墙可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。个人防火墙是指可直接在计算机上使用的防火墙软件。,11.4.1 防火墙概述,个人防火墙是指安装在个人计算机中的一段能够把计算机和网络分割开的“代码墙”。在不影响用户正常上网的同时，阻止Internet上其他用户对该计算机进行非法访问。下面以“瑞星个人防火墙”为例，简单介绍使用方法。,11.4.2 个人防火墙,1.瑞星个人防火墙 “瑞星个人防火墙”是由瑞星公司独立开发的，安装瑞星个人防火墙后必须重新启动计算机设置才会生效。重启计算机后瑞星个人防火墙会自动运行，并在系统托盘中显示“瑞星个人防火墙”图标，双击该图标或选择“开始”菜单中的“程序”命令，在出现的级联菜单中选择“瑞星个人防火墙”|“瑞星个人防火墙”命令，即可打开“瑞星个人防火墙”的主界面,2瑞星个人防火墙的安全设置 （1）规则设置 通过配置防火墙的过滤规则，可以针对不同类型的规则进行设置，如黑名单、白名单、端口开关、可信区、IP规则等 （2）恶意网址拦截 依托“云安全”计划，每日随时更新恶意网址库，阻断网页木马、钓鱼网站等对计算机的侵害。 （3）ARP欺骗防御 用户可通过设置ARP规则，保护计算机的正常通信。 （4）网络攻击拦截 入侵检