信息安全与职业道德-湖南第一师范学院.ppt

8.1 信息安全技术概述,8.2.2 计算机病毒的预防,8.2.3 计算机病毒的检测与清除,8.1.2 信息安全面临的威胁及防范策略,8.1.1 信息安全的定义,8.2 计算机病毒及其防治,8.2.1 计算机病毒的基本知识,第33讲 信息安全与职业道德(一),8.3 网络安全技术,8.3.5 缓冲区溢出攻击,8.3.3 源路由欺骗攻击,8.3.2 源IP地址欺骗攻击,8.3.1 网络攻击的一般步骤,8.4 数据加密技术,8.3.4 拒绝服务攻击,8.4.2 典型的现代密码算法介绍,8.4.1 加密技术概述,第33讲 信息安全与职业道德(一),第33讲 信息安全与职业道德(一),了解信息安全面临的威胁及防范策略，掌握计算机病毒的基本知识和计算机病毒预防的措施，初步掌握网络攻击的一般步骤和攻击的方法，掌握数据加密技术的概念，了解几种常见的密码算法。,教学目标及基本要求,教学重点,计算机病毒及其防治，网络攻击的步骤和方法。,教学难点,网络攻击的方法。,信息安全的定义 信息安全面临的威胁及防范策略 计算机病毒及防治 网络攻击的步骤及攻击的方法 加密技术 典型的现代密码算法,教学内容,第33讲 信息安全与职业道德(一),1学时,教学时间,第33讲 信息安全与职业道德(一),8.1.1 信息安全技术概述,1信息的保密性,2信息的完整性,3信息的真实性,8.1 信息安全技术概述,计算机网络的快速发展与普及为信息的传播提供了便捷的途径，但同时也带来了极大的安全威胁。从本质上说，威胁信息安全的根源可分为两大类：,8.1 信息安全技术概述,8.1.2 信息安全面临的威胁及防范策略,8.1.2 信息安全面临的威胁及防范策略,信息系统的物理损坏,信息数据的破坏,作为信息系统物质基础的计算机硬件损坏。,指在计算机硬件系统完好的情况下，因人们无意或恶意的操作而导致的信息泄密、信息错乱以及信息被删改等 。,8.1.2 信息安全面临的威胁及防范策略,目前信息安全面临的威胁主要有以下几个方面：,1. 非授权访问,是指没有得到系统管理员的同意，擅自使用网络或计算机资源。,2. 信息泄漏,指一些敏感数据在有意或无意中被泄漏出去或丢失。常见的信息泄漏有：信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道窃取敏感信息等。,8.1.2 信息安全面临的威胁及防范策略,3. 破坏数据完整性,是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。,4. 传播病毒,计算机病毒的最主要传播方式就是通过计算机网络。,8.1.2 信息安全面临的威胁及防范策略,当前的网络环境中有效地保护好自己的重要信息提出一些安全策略,做好对用户的管理 及时安装操作系统的“补丁 ” 尽量关闭不需要的组件和服务程序,（1）操作系统的安全设置,8.1.2 信息安全面临的威胁及防范策略,（2）控制出入网络的数据,（3）查杀计算机病毒,安装防病毒软件，更新病毒信息，升级防病毒功能，全面查杀病毒,计算机病毒是指破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,8.2 计算机病毒及其防治,8.2.1 计算机病毒的基本知识,1计算机病毒的特征,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。,（1）传染性,计算机病毒的特征,（2）隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，它通常总是想方设法隐藏自身，防止用户察觉。,计算机病毒具有依附于其它媒体而寄生的能力，这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力，病毒可以悄悄隐藏起来，然后在用户不察觉的情况下进行传染。,（3）潜伏性,计算机病毒的特征,无论何种病毒程序一旦侵入系统，都会对操作系统及应用程序的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图像，影响系统的正常运行，还有一些病毒程序删除文件，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。,（4）破坏性,计算机病毒的特征,病毒的制作技术不断提高，从病毒的检测角度看，病毒具有不可预见性，病毒对反病毒软件来讲是超前的。,（5）不可预见性,计算机病毒的特征,（6）寄生性,这是病毒最基本的特征，指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制，使之进行传染；或者激活病毒的表现部分或破坏部分。,（7）触发性,计算机病毒的特征,第一代计算机病毒,在19861989年之间。这一期间出现的病毒称为传统病毒，是计算机病毒的萌芽和滋生期。病毒没有大量流行，病毒的种类也很有限，病毒的清除工作相对比较容易。,2计算机病毒的演变,8.2.1 计算机病毒的基本知识,第一代计算机病毒特点,（1）病毒攻击目标比较单一，或者是传染磁盘引导扇区，或者是传染可执行文件。 （2）病毒传染目标以后特征比较明显，如可执行文件长度增加、文件建立日期发生变化等。 （3）病毒不具备自我保护措施，容易被人们分析和解剖，从而编制出相应的杀毒软件。,计算机病毒的演变,第二代计算机病毒,又称为“混合型病毒”，其产生的年限可以认为在19891991年之间，是计算机病毒由简单到复杂、由单纯走向成熟的阶段。由于网络系统尚未有安全防护意识，给计算机病毒带来了第一次流行高峰。,计算机病毒的演变,第二代计算机病毒特点,（1）病毒攻击的目标趋于混合型，一种病毒既可传染引导扇区，又可以传染可执行文件。 （2）病毒感染目标后没有明显特征。 （3）病毒采取了自我保护措施。 （4）出现许多病毒的变种，这些变种较原病毒的传染性更隐蔽，破坏性更大。,计算机病毒的演变,第三代计算机病毒,在19921995年之间，常称为“多态性”病毒或“自我变形”病毒。这种病毒每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。,计算机病毒的演变,第四代计算机病毒,出现于20世纪90年代中后期，随着远程网、远程访问服务的开通，病毒的流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。随着Internet的大量普及和E-mail的广泛使用，夹杂于电子邮件内的Word宏病毒、网页脚本病毒及木马病毒等已经成为计算机病毒新的流行趋势 。,计算机病毒的演变,3. 计算机病毒的分类,该病毒攻击高级语言编写的程序，在程序编译前插入到源程序中，经编译成为合法程序的一部分。,（1） 按照计算机病毒的链接方式分类, 源码型病毒,8.2.1 计算机病毒的基本知识, 嵌入型病毒,该病毒是将自身嵌入到现有程序中，把计算机病毒的主题程序与其攻击的对象以插入的方式链接。, 操作系统型病毒,将其自身包裹在主程序周围，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般只要测试文件的大小即可发现病毒。,用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统瘫痪。, 外壳型病毒,按照计算机病毒的链接方式分类,用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导扇区隐藏在磁盘的其他地方，这种病毒在系统启动时就能获得系统的控制权，其传染性较大。,（2） 按照计算机病毒的寄生部位或传染对象分类, 感染磁盘引导扇区的计算机病毒,计算机病毒的分类, 感染操作系统的计算机病毒,计算机病毒的分类,该类病毒是利用操作系统所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就随时处在被触发状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性和传染性提供了方便。, 感染可执行文件的计算机病毒,计算机病毒的分类,这类病毒通常寄生在可执行文件中，一旦程序被执行，病毒也就被激活。病毒抢先执行，并将自身驻留内存，然后设置触发条件，进行传染。, 混合型病毒,计算机病毒的分类,既具有操作系统型病毒的特点，又具有文件型病毒的特点。这种病毒既可以感染引导扇区，又可以感染可执行文件，因此危害极大。, 蠕虫病毒,计算机病毒的分类,是一种独立运行的程序，采用主动攻击的传染机制对整个网络的计算机进行攻击，使网络造成拒绝服务。可以在短时间内造成网络瘫痪。此病毒通常可分两类：,一类是针对企业用户和局域网的，这类病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性后果。,另一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页等形式）迅速传播蠕虫病毒。, 宏病毒,按照计算机病毒的寄生部位或传染对象分类,该病毒是一种寄存在Office文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，其他计算机上的用户打开了感染病毒的文档，宏病毒就会传染到此计算机上。, 脚本病毒,按照计算机病毒的寄生部位或传染对象分类,类似于宏病毒，不过它执行的环境不再限于Microsoft Office应用程序，而是将脚本语言和视窗操作系统日益紧密的结合扩展到网页，甚至是文本文件中。, 木马病毒,按照计算机病毒的寄生部位或传染对象分类,又称特洛伊木马病毒。随着网络的普及，木马病毒的危害变得十分强大，它像间谍一样潜入用户的计算机，使远程计算机可以通过网络控制用户的计算机。,4. 计算机病毒的危害,（1）硬盘无法启动，数据丢失。 （2）系统文件丢失或被破坏。 （3）文件目录发生混乱。 （4）部分文档丢失或被破坏。 （5）部分文档自动加密。 （6）系统主板的BIOS程序混乱，主板被破坏。 （7）网络瘫痪，无法提供正常服务。,8.2.1 计算机病毒的基本知识,网络,8.2 计算机病毒及其防治,8.2.2 计算机病毒的预防,1病毒的传播渠道,接收电子邮件、下载软件、浏览网页以及使用QQ等即时通信软件，还有利用未关闭的端口进行入侵的后门程序。,可移动硬盘,软盘、U盘、移动硬盘以及光盘等可移动存储设备,2系统的预防措施,8.2.2 计算机病毒的预防,对于个人计算机来说，安装好操作系统后，在没有连接网络的情况下，应该紧接着安装有效的防杀毒软件和防火墙软件，并对其进行合理设置。连接网络后，上网安装操作系统补丁，然后启动防火墙。,3宏病毒的预防,8.2.2 计算机病毒的预防,设置宏的安全级别，为宏添加数字签名。,4邮件及脚本病毒的预防,对邮件要先用文本方式查看，并限制脚本运行，禁止未签名的ActiveX执行。,5重要的数据文件要有备份,8.2 计算机病毒及其防治,8.2.3 计算机病毒的检测与清除,1计算机病毒的检测方法,根据计算机病毒具有潜伏期的特点，如果能在病毒的潜伏期发现病毒，就可以尽早对计算机系统进行处理，从而减少甚至避免损失。因此，计算机病毒的检测在计算机病毒防治系统中有着非常重要的地位。使用计算机时常通过手动查毒和软件查毒两种方式进行病毒检查。,（1）通过杀毒软件进行查毒,安装最新的杀毒软件通常是检查计算机病毒的必备手段。杀毒软件的技术和功能不断更新，用户只要随着杀毒软件不断升级就可以完成对多数病毒的检查。,（2）手动方式进行查毒,杀毒软件并不会解决所有的病毒问题。尤其是对目前常见的病毒类型，采用手动检查方式更为有效。如宏病毒、脚本病毒、邮件病毒及木马等。,计算机病毒的检测方法, 宏病毒检查,由于宏病毒离不开其运行的系统软件（Word、Power Point等Office软件），所以检测非常容易。, 脚本病毒、邮件病毒及木马病毒的检查,脚本病毒或邮件病毒多种多样，都是以某些方式启动自己，以达到感染和破坏的目的。木马病毒也常常采用这种方式。所以可以通过检查注册表的方法发现病毒的踪迹。,手动方式进行查毒,2计算机病毒的清除及系统的修复,8.2.3 计算机病毒的检测与清除,发现系统感染病毒后首先应对系统遭受破坏程度有一个全面了解，根据破坏的程度采用有效的办法和对策。 修复前，尽可能再次备份重要的数据文件。 利用防杀病毒软件清除病毒，如果病毒不能被清除，应将其删除，然后再重新安装相应的应用程序。 杀毒完成后，重启计算机，再次用杀病毒软件检查系统，并确认被感染破坏的数据确实被完全恢复。,8.3 网络安全技术,基本信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。攻击者可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。,8.3.1 网络攻击的一般步骤,1攻击者在实施攻击之前，必须花大量的时间去收集目标的信息,（1）Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。 （2）TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。,利用公开协议或工具,（3）SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。 （4）Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。,利用公开协议或工具,（1）慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样攻击者可以通过使用扫描速度慢一些的扫描软件进行扫描。,主要的探测方式,（2）体系结构探测 攻击者利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都不一样，攻击者利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。,主要的探测方式,（3）利用公开的工具软件 如利用审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等工具对整个网络或子网进行扫描，寻找安全方面的漏洞。,主要的探测方式,攻击者根据前一步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在合适的时机，对目标主机实施攻击。,2具体实施网络攻击,8.3.1 网络攻击的一般步骤,3留后门与清除脚印,8.3.1 网络攻击的一般步骤,对于某些攻击，在攻击者成功入侵目标主机并取得目标主机的控制权后，他们会做两件事：清除记录和留下后门。更改某些系统设置，在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需设法修改时间和权限就可以使用了。在完成这些工作后，攻击者最后会清除日志，删除一些备份文件，以防止管理员发现自己的行踪。,8.3.2 源IP地址欺骗攻击,8.3 网络安全技术,许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。 假设同一网段内有两台主机A和B，另一网段内有主机X。B授予A某些特权。X为获得与A相同的特权，必做欺骗攻击。,保护系统免受源IP地址欺骗攻击的措施,（1）抛弃基于地址的信任策略 阻止这类攻击的一种十分简单的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts文件；清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段。,保护系统免受源IP地址欺骗攻击的措施,（2）使用加密方法 在包发送到网络上之前，可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。,保护系统免受源IP地址欺骗攻击的措施,（3）进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应把本网主机的包发送出去。路由器虽然可以封锁试图到达内部网络的特定类型的包，但也是通过分析测试源地址来实现的。所以它们仅能对声称是来自于内部网络的外来包进行过滤，若网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。,在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。,8.3.3 源路由欺骗攻击,8.3 网络安全技术,防范源路由欺骗攻击措施,（1）对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。 （2）在路由器上关闭源路由。用命令no ip source-route。,拒绝服务攻击是最容易实施的一种网络攻击，攻击者通过加载过多的服务将目标系统的资源全部使用，使得目标系统没有多余资源供其他用户使用，从而达到使目标系统瘫痪的目的。SYN Flood攻击就是一种典型的拒绝服务攻击。,8.3.4 拒绝服务攻击,8.3 网络安全技术,为了防止拒绝服务攻击，可以采取以下的预防措施： （1）建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。 （2）要防止SYN数据段攻击，应对系统设置相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。,8.3.4 拒绝服务攻击,8.3.4 拒绝服务攻击,（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击 （4）对于信息淹没攻击，应关掉可能产生无限序列的服务来防止这种攻击。比如可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。,缓冲区溢出攻击属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。,8.3.5 缓冲区溢出攻击,8.3 网络安全技术,8.3.5 缓冲区溢出攻击,缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点: （1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此，这个指针将不会被使用。,8.3.5 缓冲区溢出攻击,（2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。,8.3.5 缓冲区溢出攻击,（3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。,数据加密技术是一种用于信息保密的技术，它防止信息的非授权用户使用信息。数据加密技术是信息安全领域的核心技术，通常直接用于对数据的传输和存储过程中，而且任何级别的安全防护技术都可以引入加密概念。它能起到数据保密、身份验证、保持数据的完整性和抗否认性等作用。,8.4.1 加密技术概述,8.4 数据加密技术,数据加密技术的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权用户不能看到被保护的信息内容。,8.4.1 加密技术概述,现代计算机技术和通信技术的发展，对加密技术提出更多的要求。对于现代密码学者来说，基本原则是一切秘密应该包含于密钥之中，即在设计加密系统时，总是假设密码算法是公开的，真正需要保密的是密钥。密码算法的基本特点是已知密钥条件下的计算应该是简洁有效，而在不知道密钥条件下的解密计算是不可行的。,8.4.1 加密技术概述,8.4.1 加密技术概述,根据密码算法所使用加密密钥和解密密钥是否相同可将密码体制分为对称密码体制和非对称密码体制。其中，非对称密码体制也称为公开密钥体制。 对称密码体制在对信息进行明文/密文变换时，加密与解密使用相同的密钥。,8.4.1 加密技术概述,传统的密码体制均属于对称密码体制。它的特点是，通信双方必须事先共同约定一个密钥。 对称密码体制的保密强度高，但开放性差，需要有可靠的密钥传输渠道。 非对称密码体制，每个用户都有一对密钥，一个用于加密，一个用于解密。其中加密密钥一般为公开密钥，而解密密钥则属于用户私有。,8.4.2 典型的现代密码算法介绍,8.4 数据加密技术,1DES算法 DES（Data Encrytion Standard）是一种著名的分组解密对称式加密算法。它是由IBM公司开发的，并于1997年被美国政府正式采纳。它的应用非常广泛，尤其是在金融领域。它的基本思想是将信息分解为64位分组进行加密，所有的分组都用相同的密钥加密。解密密钥与加密密钥相同。用长度为64位的密钥对每个分组进行16轮代换和移位运算，形成密文。,DES的优点：在制造DES芯片的时候，易于实现标准化和通用化；随机特性好；线性复杂度高；易于实现。不过已经有人用穷举法借助网络计算在20多小时就攻破了弱密钥的DES。所谓弱密钥是指在所有可能的密钥中，有某几个特别的密钥会降低DES算法的安全性，所以使用者一定要避免使用这几个弱