信息安全与职业道德.doc

第8章 信息安全与职业道德第33讲 信息安全与职业道德（一）教学目标及基本要求：1、了解信息安全面临的威胁及防范策略2、掌握计算机病毒的基本知识和计算机病毒预防的措施3、初步掌握网络攻击的一般步骤和攻击的方法4、掌握数据加密技术的概念5、了解几种常见的密码算法。教学重点：计算机病毒及其防治，网络攻击的步骤和方法。 1、教学难点：网络攻击的方法。 1、教学内容：1、信息安全的定义2、信息安全面临的威胁及防范策略3、计算机病毒及防治4、网络攻击的步骤及攻击的方法5、加密技术6、典型的现代密码算法教学时间：1学时主要内容：8.1 信息安全技术概述8.1.1 信息安全的定义1信息的保密性2信息的完整性3信息的真实性8.1.2 信息安全面临的威胁及防范策略计算机网络的快速发展与普及为信息的传播提供了便捷的途径，但同时也带来了很大的安全威胁。从本质上说，威胁信息安全的根源可分为两大类：信息系统的物理损坏和信息数据的破坏，前者主要指作为信息系统物质基础的计算机硬件损坏；而后者则指在计算机硬件系统完好的情况下，因为人们无意或恶意的操作而导致的信息泄密、信息错乱以及信息被删改等，本章所讲的信息安全主要指后一种意义。目前信息安全面临的威胁主要表现在以下几个方面。1非授权访问非授权访问是指没有得到系统管理员的同意，擅自使用网络或计算机资源，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等。2信息泄漏信息泄漏指一些敏感数据在有意或无意中被泄漏出去或丢失。常见的信息泄漏有：信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道窃取敏感信息等。3破坏数据完整性破坏数据完整性是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。4传播病毒计算机病毒的最主要传播方式就是通过计算机网络。下面我们就广大的个人计算机用户来说，如何在当前的网络环境中有效地保护好自己的重要信息提出一些安全策略。（1）操作系统的安全设置 做好对用户的管理 及时安装操作系统的“补丁 ” 尽量关闭不需要的组件和服务程序 （2）控制出入网络的数据（3）查杀计算机病毒安装防病毒软件，更新病毒信息，升级防病毒功能，全面查杀病毒。8.2 计算机病毒及其防治8.2.1 计算机病毒的基本知识1计算机病毒的特征计算机病毒是指破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。（1）传染性：传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。（2）隐蔽性：计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，它通常总是想方设法隐藏自身，防止用户察觉。（3）潜伏性：计算机病毒具有依附于其它媒体而寄生的能力，这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力，病毒可以悄悄隐藏起来，然后在用户不察觉的情况下进行传染。（4）破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由病毒的破坏性特征可将病毒分类为良性病毒与恶性病毒。良性病毒可能只显示些画面、出点音乐和无聊的语句，恶性病毒则有明确的目的，如破坏数据、删除文件、加密磁盘甚至格式化硬盘。（5）不可预见性：由于病毒的制作技术不断提高，从病毒的检测角度看，病毒具有不可预见性，病毒对反病毒软件来讲永远是超前的。（6）寄生性：是指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这是病毒最基本的特征。（7）触发性：是指病毒的发作一般都有一个触发条件，即一个条件控制。这个条件根据病毒编制者的设计可以是时间、特定程序的运行或程序的运行次数等。2计算机病毒的演变第一代病毒可以认为在19861989年之间。这一期间出现的病毒称为传统病毒，是计算机病毒的萌芽和滋生期。由于当时计算机应用的软件少，并且大都是单机运行环境，因此病毒没有大量流行，病毒的种类也很有限，病毒的清除工作相对来说比较容易。这一阶段的计算机病毒具有如下特点。（1）病毒攻击目标比较单一，或者是传染磁盘引导扇区，或者是传染可执行文件。（2）病毒传染目标以后特征比较明显，如可执行文件长度增加、文件建立日期发生变化等。（3）病毒不具备自我保护措施，容易被人们分析和解剖，从而编制出相应的杀毒软件。第二代病毒又称为“混合型病毒”，其产生的年限可以认为在19891991年之间，是计算机病毒由简单到复杂、由单纯走向成熟的阶段。计算机局域网开始应用并普及，许多单机软件开始转向网络环境，应用软件更加丰富。由于网络系统尚未有安全防护意识，给计算机病毒带来了第一次流行高峰。这一阶段的计算机病毒具有如下特点。（1）病毒攻击的目标趋于混合型，一种病毒既可传染引导扇区，又可以传染可执行文件。（2）病毒感染目标后没有明显特征，如可执行文件长度不增加、文件建立日期不发生变化等。（3）病毒采取了自我保护措施，如加密技术、反跟踪技术等。（4）出现许多病毒的变种，这些变种较原病毒的传染性更隐蔽，破坏性更大。第三代病毒可以认为在19921995年之间，常称为“多态性”病毒或“自我变形”病毒。这种病毒每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。第四代病毒出现于20世纪90年代中后期，随着远程网、远程访问服务的开通，病毒的流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。随着Internet的大量普及和E-mail的广泛使用，夹杂于电子邮件内的Word宏病毒、网页脚本病毒及木马病毒等已经成为计算机病毒新的流行趋势。3计算机病毒的分类（1）按照计算机病毒的链接方式分类 源码型病毒：该病毒攻击高级语言编写的程序，在程序编译前插入到源程序中，经编译成为合法程序的一部分。 嵌入型病毒：这种病毒是将自身嵌入到现有程序中，把计算机病毒的主题程序与其攻击的对象以插入的方式链接。 外壳型病毒：外壳型病毒将其自身包裹在主程序周围，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般只要测试文件的大小即可发现病毒。 操作系统型病毒：这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒。（2）按照计算机病毒的寄生部位或传染对象分类 感染磁盘引导扇区的计算机病毒：用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导扇区隐藏在磁盘的其他地方。由于引导扇区是磁盘乃至系统能正常使用的先决条件，因此，这种病毒在系统启动时就能获得系统的控制权，其传染性较大。 感染操作系统的计算机病毒：这类病毒是利用操作系统所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就随时处在被触发状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性和传染性提供了方便。 感染可执行文件的计算机病毒：这类病毒通常寄生在可执行文件中，一旦程序被执行，病毒也就被激活。病毒抢先执行，并将自身驻留内存，然后设置触发条件，进行传染。 混合型病毒：既具有操作系统型病毒的特点，又具有文件型病毒的特点。这种病毒既可以感染引导扇区，又可以感染可执行文件，因此危害极大。 蠕虫病毒：是一种独立运行的程序（有的只存在内存中）。它采用主动攻击的传染机制对整个网络的计算机进行攻击。通过对网络造成拒绝服务，网络蠕虫可以在短时间内造成网络瘫痪。通常蠕虫病毒可以分为两类：一类是针对企业用户和局域网的，这类病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性后果，以红色代码、尼姆达以及sql蠕虫王为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页等形式）迅速传播蠕虫病毒，以爱虫病毒、求职信病毒为代表。 宏病毒：宏是微软公司为其Office软件包设计的一个特殊功能，它是将一系列命令和指令组合在一起，形成一个命令，以实现执行任务的自动化。宏病毒是一种寄存在Office文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他计算机上的用户打开了感染病毒的文档，宏病毒就会传染到他的计算机上。 脚本病毒：它类似于宏病毒，不过它执行的环境不再限于Microsoft Office应用程序，而是随着微软将脚本语言（如JavaScript、VBScript）和视窗操作系统日益紧密的结合扩展到网页，甚至是文本文件中。 木马病毒：又称特洛伊木马病毒，得名于古希腊人利用内藏士兵的木马攻破特洛伊城的故事。随着网络的普及，木马病毒的危害变得十分强大，它像间谍一样潜入用户的计算机，使远程计算机可以通过网络控制用户的计算机。4计算机病毒的危害（1）硬盘无法启动，数据丢失。（2）系统文件丢失或被破坏。（3）文件目录发生混乱。（4）部分文档丢失或被破坏。（5）部分文档自动加密。（6）系统主板的BIOS程序混乱，主板被破坏。（7）网络瘫痪，无法提供正常服务。8.2.2 计算机病毒的预防1病毒的传播渠道通常病毒是通过网络及可移动存储媒体来传播的。其中来自网络的传染途径有：接收电子邮件、下载软件、浏览网页以及使用QQ等即使通信软件。另外，还有利用未关闭的端口进行入侵的后门程序。对于可移动媒介来说，现在除了软盘之外，还有U盘、移动硬盘以及光盘等可移动存储设备。我们要注意对每一种可能感染计算机病毒的渠道，并采取对应的防范措施。2系统的预防措施对于个人计算机来说，安装好操作系统后，在没有连接网络的情况下，应该紧接着安装有效的防杀毒软件和防火墙软件，并对其进行合理设置。连接网络后，上网安装操作系统补丁，然后启动防火墙。3宏病毒的预防设置宏的安全级别，为宏添加数字签名4邮件及脚本病毒的预防对邮件要先用文本方式查看，并限制脚本运行，禁止未签名的ActiveX执行。5重要的数据文件要有备份8.2.3 计算机病毒的检测与清除1计算机病毒的检测方法根据计算机病毒具有潜伏期的特点，如果能在病毒的潜伏期发现病毒，就可以尽早对计算机系统进行处理，从而减少甚至避免损失。因此，计算机病毒的检测在计算机病毒防治系统中有着非常重要的地位。人们在使用计算机时常通过手动查毒和软件查毒两种方式进行病毒检查。（1）通过杀毒软件进行查毒安装最新的杀毒软件通常是检查计算机病毒的必备手段。杀毒软件一般采用特征代码法、实时监控法等方法对计算机进行病毒检查。当然杀毒软件的技术和功能不断更新，用户只要随着杀毒软件不断升级就可以完成对多数病毒的检查。（2）手动方式进行查毒杀毒软件并不会解决所有的病毒问题，经常会在杀毒软件正常工作的情况下，出现病毒活动的现象，并且这些异常现象往往是计算机用户最早察觉到。那么掌握一些有效的检查病毒的方法，无疑会对有效地保护自己的计算机起到帮助作用。尤其是对目前常见的病毒类型，如宏病毒、脚本病毒、邮件病毒及木马病毒，采用手动检查方式更为有效。 宏病毒检查由于宏病毒离不开其运行的系统软件（Word、PowerPoint等Office软件），所以检测非常容易。 脚本病毒、邮件病毒及木马病毒的检查脚本病毒或邮件病毒多种多样，千变万化。我们可以通过检查注册表的方法发现病毒的踪迹。常见的被病毒修改的注册表键值有：HKEYCURRENTUSERSSoftwareMicrosoftWindowsCurrentversion项下的Run、Runonce项；HKEYUSERS.DEFAULTSoftwareMicrosoftWindowsCurrentversion项下的Run、Runongce、Runonceex或Runservices项；HKEYUSERS.DEFAULTSoftwareMicrosoftWindowsCurrentversion项下的Run、Runonce项等的键值。这些键值往往是一些带有欺骗性的键值或陌生键值，很有可能是指向病毒文件。2计算机病毒的清除及系统的修复当发现系统感染计算机病毒后首先必须对系统遭受破坏的程度有一个全面了解，并根据破坏的程度采用有效的办法和对策。修复前，尽可能再次备份重要的数据文件。利用防杀计算机病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，应将其删除，然后再重新安装相应的应用程序。杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确认被感染破坏的数据确实被完全恢复。8.3 网络安全技术8.3.1 网络攻击的一般步骤1攻击者在实施攻击之前，必须花大量的时间去收集目标的信息基本信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。攻击者可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。（1）Ping实用程序可以用来确定一个指定的主机的位置或网线是否连通。（2）TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数。（3）SNMP协议用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。（4）Whois协议该协议的服务信息能提供所有有关的DNS域和相关的管理参数。在收集到一些准备要攻击目标的基本信息后，攻击者还必须花时间来探测目标网络上的每台主机，以寻求系统内部的安全漏洞。他们的主要探测方式如下。（1）慢速扫描。由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样攻击者可以通过使用扫描速度慢一些的扫描软件进行扫描。（2）体系结构探测。攻击者利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都不一样，攻击者利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。（3）利用公开的工具软件。如利用审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等工具对整个网络或子网进行扫描，寻找安全方面的漏洞。2具体实施网络攻击攻击者根据前一步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在合适的时机，对目标主机实施攻击。3留后门与清除脚印对于某些攻击，在攻击者成功入侵目标主机并取得目标主机的控制权后，他们会做两件事：清除记录和留下后门。他们会更改某些系统设置，在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需设法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。在完成这些工作后，攻击者最后会清除日志，删除一些备份文件，以防止管理员发现自己的行踪。8.3.2 源IP地址欺骗攻击许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。假设同一网段内有两台主机A和B，另一网段内有主机X。B授予A某些特权。X为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击“淹没”了，导致主机A服务失效，结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。可以采取以下措施来尽可能地保护系统免受这类攻击。（1）抛弃基于地址的信任策略。阻止这类攻击的一种十分简单的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除 .rhosts文件；清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等。（2）使用加密方法。在包发送到网络上之前，可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。（3）进行包过滤。可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包，但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。8.3.3 源路由欺骗攻击在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。为了防范源路由欺骗攻击，一般采用下面两种措施。（1）对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。（2）在路由器上关闭源路由。用命令no ip source-route。8.3.4 拒绝服务攻击拒绝服务攻击是最容易实施的一种网络攻击，攻击者通过加载过多的服务将目标系统的资源全部使用，使得目标系统没有多余资源供其他用户使用，从而达到使目标系统瘫痪的目的。SYN Flood攻击就是一种典型的拒绝服务攻击。为了防止拒绝服务攻击，可以采取以下的预防措施。（1）建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。（2）要防止SYN数据段攻击，应对系统设置相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。（4）对于信息淹没攻击，应关掉可能产生无限序列的服务来防止这种攻击。比如可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。8.3.5 缓冲区溢出攻击缓冲区溢出攻击属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点。（1）程序指针完整性检查。在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此，这个指针将不会被使用。（2）堆栈的保护。这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。（3）数组边界检查。所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储器存取检查等。8.4 数据加密技术8.4.1 加密技术概述数据加密技术是一种用于信息保密的技术，它防止信息的非授权用户使用信息。数据加密技术是信息安全领域的核心技术，通常直接用于对数据的传输和存储过程中，而且任何级别的安全防护技术都可以引入加密概念。它能起到数据保密、身份验证、保持数据的完整性和抗否认性等作用。数据加密技术的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权用户不能看到被保护的信息内容。现代计算机技术和通信技术的发展，对加密技术提出了更多的要求。对于现代密码学者来说，它的一个基本原则就是一切秘密应该包含于密钥之中，即在设计加密系统时，总是假设密码算法是公开的，真正需要保密的是密钥。密码算法的基本特点是已知密钥条件下的计算应该是简洁有效的，而在不知道密钥条件下的解密计算是不可行的。根据密码算法所使用加密密钥和解密密钥是否相同可将密码体制分为对称密码体制和非对称密码体制。其中，非对称密码体制也称为公开密钥体制。对称密码体制在对信息进行明文/密文变换时，加密与解密使用相同的密钥。传统的密码体制均属于对称密码体制。它的特点是，通信双方必须事先共同约定一个密钥。密钥的获取本身就需要相互通信，那么，密钥的安全获取就成为信息安全的关键。对称密码体制的保密强度高，但开放性差，需要有可靠的密钥传输渠道。非对称密码体制，每个用户都有一对密钥，一个用于加密，一个用于解密。其中加密密钥一般为公开密钥，而解密密钥则属于用户私有。对于公开密钥体制， 8.4.2 典型的现代密码算法介绍1DES算法DES（Data Encrytion Standard）是一种著名的分组解密对称式加密算法。它是由IBM公司开发的，并于1997年被美国政府正式采纳。它的应用非常广泛，尤其是在金融领域。通常，自动取款机（Automated Teller Machine，ATM）都使用DES。它的基本思想是将信息分解为64位分组进行加密，所有的分组都用相同的密钥加密。解密密钥与加密密钥相同。用长度为64位（其中56位为密钥，8位为奇偶校验）的密钥对每个分组进行16轮代换和移位运算，形成密文。DES的优点：在制造DES芯片的时候，易于实现标准化和通用化；随机特性好；线性复杂度高；易于实现。不过已经有人用穷举法借助网络计算在20多小时就攻破了弱密钥的DES。所谓弱密钥是指在所有可能的密钥中，有某几个特别的密钥会降低DES算法的安全性，所以使用者一定要避免使用这几个弱密钥。2RSA算法在Diffe和 Hellman的密码学新方向这篇文章提出公钥设想后两年，麻省理工学院（MIT）的Rivest、Shamir以及Adleman于1977年研制出了一种非对称密码算法，并以其三人名字的第一个字母命名为RSA算法。从此，RSA算法作为唯一被广泛接受并实现的通用