《信息安全基础》PPT课件.ppt

2019/7/30,1,信息安全理论与技术,成都信息工程学院 网络工程学院 （College of Network Engineering ，Chengdu University of Information and Technology）,张仕斌,2019/7/30,2,教学目的与要求,信息安全理论与技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。通过学习，使学生能够比较全面地掌握网络信息安全原理和实践技术，理解和掌握信息安全基础知识、密码技术、密钥管理技术、数字签名与认证技术、访问控制技术、恶意代码及防范技术、网络攻击与防御技术、系统安全技术、安全审计技术、PKI技术、VPN、信息安全存储技术、信息安全体系结构、信息安全评估、信息安全策略与安全协议和信息安全风险与管理等内容。同时，通过本课程的学习，也为进一步学习和研究网络信息安全技术的研究打下坚实的基础；并通过实践培养学生综合运用知识和分析开发应用系统的初步能力。,2019/7/30,3,学习本课程之前，应具备操作系统原理、应用密码学、计算机网络、面向对象程序设计、TCP/IP原理及应用等基础知识。在识记、领会、分析应用三个能力层次上，对学生学习和掌握本课程知识有如下要求： （1）识记：能识记现代信息安全理论与技术中的基本概念、原理和方法的涵义，并能表述和判断其是与非。 （2）领会：在识记的基础上，能较全面地掌握信息安全理论与技术的基本概念、基本原理和基本技术，能表达基本内容和基本原理，分析相关问题的区别与联系。 （3）分析应用：在领会的基础上，能运用信息安全理论与技术的基本概念、基本原理、基本方法、协议和技术，解决一般安全网络环境中如何利用信息安全理论与技术的工作原理，分析并能应用信息安全理论与技术的具体实现过程和方法。,2019/7/30,4,本课程内容简介,本课程主要涵盖信息安全理论、技术和管理三大体系。通过学习信息安全基础知识、密码技术、密钥管理技术、数字签名与认证技术、访问控制技术、恶意代码及防范技术、网络攻击与防御技术、系统安全技术、安全审计技术、PKI技术、VPN、信息安全存储技术、信息安全体系结构、信息安全评估、信息安全策略与安全协议和信息安全风险与管理等内容；有助于学生信息安全理念和解决方案的形成，也为后续进一步学习与研究信息安全理论与技术或从事网络安全技术与管理工作奠定理论和技术基础。,2019/7/30,5,教材,信息安全理论与技术，李飞等编著，西安电子科技大学出版社（高等学校计算机类专业规划教材），2010.08,2019/7/30,6,教学参考书目,1张仕斌等编著网络安全技术M北京：清华大学出版社，2004.8 2刘远生等编著，计算机网络安全M清华大学出版社，2006.05 3谢建全编著，信息系统安全防护技术M中国宇航出版社，2006.07 4中国信息安全产品测评认证中心编著，信息安全理论与技术M人民邮电出版社 5范红等编著，信息安全风险评估方法与应用M清华大学出版社，2006.05 6马宜兴网络安全与病毒防范M上海：上海交通大学出版社，2008,2019/7/30,7,7贺雪晨信息对抗与网络安全M北京：清华大学出版社，2010 8北京大学计算机系统信息安全研究室：http:/infosec.cs. / 9中国计算机学会计算机安全专业委员会：/ 10Cisco公司网站： 11CVE漏洞网站： 12nmap 程序员联合开发网站：http:/www. /namp 13绿盟科技网站： 14RAID网站： 15SHPHOS网站：/virusinfo/analyses/ 16中国互联网信息中心网站：/,2019/7/30,8,17CERT网站： 18信息安全网站： 19信息系统安全管理网站： 20IT审计员网站： 21ZDNet网站： 22系统日志分析网站： 23Linux安全资源网站： 24Win2000安全资源网站： 25防火墙介绍和评论网站：http:/www. 26Symantec公司网站： 27McAFee网站： 28Check Point公司网站： 29PGP网站：,2019/7/30,9,30ISS公司网站： 31IETF工作组网站： 32绿色软件站： 33黒鹰安全网：/ 34瑞星网站：/ 35反垃圾邮件技术解析：/ network_security_zone/2007/0820/ 460866.shtml 36国家计算机病毒应急处理中心：,2019/7/30,10,第1章 信息安全基础,2019/7/30,11,学习重点： 网络与信息安全基础知识 信息安全体系结构与模型 信息安全管理体系 信息安全评测认证体系 信息安全与法律,难点： 信息安全与网络安全的关系与区别 信息安全体系结构与模型,2019/7/30,12,1.1 信息与信息的特征,信息是当今社会发展的重要战略资源，也衡量一个国家综合国力的一个重要指标。对信息的开发、控制和利用已经成为国家间利用争夺的重要内容；同时信息的地位和作用也在随着信息技术的快速发展而急剧上升，信息的安全问题也同样因此而日益突出。,究竟什么是信息？目前尚无定论！,前公认的信息是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。因此，信息是主观世界联系客观世界的桥梁。在客观世界中，不同的事物具有不同的特征，这些特征给人们带来不同的信息，而正是这些信息使人们能够认识客观事物。,2019/7/30,13,信息的特性：,1 普遍性和可识别性。 2 储存性和可处理性。 3 时效性和可共享性。 4 增值性和可开发性。 5 可控性和多效用性。,此外，信息还具有转换性、可传递性、独立性和可继承性等特征。同时，信息还具有很强的社会功能，主要表现在资源功能、启迪功能、教育功能、方法论功能、娱乐功能和舆论功能等。信息的这些社会功能都是由信息的基本特征所决定和派生的。,由此，可以看到保证信息的安全的重要性！,2019/7/30,14,1. 2 信息安全与网络安全,“安全”并没有统一的定义，但基本含义可以解释为：客观上不存在威胁，主观上不存在恐惧。,信息安全的定义：,“信息安全”同样也没有公认和统一的定义，但国内外对信息安全的论述大致可以分成两大类（广义上）：一是指具体的信息系统的安全；二是指某一特定信息体系（比如一个国家的金融系统、军事指挥系统等）的安全。但现在很多专家都认为这两种定义均失之于过窄，目前公认的“信息安全”的定义：（一个国家的）信息化状态和信息技术体系不受外来的威胁与侵害。因为：信息安全，首先应该是一个国家宏观的社会信息化状态是否处于自控之下，是否稳定的问题；其次才是信息技术的安全问题。,2019/7/30,15,在网络出现以前，信息安全指对信息的机密性、完整性和可控性的保护面向数据的安全。,互联网出现以后，信息安全除了上述概念以外，其内涵又扩展到面向用户的安全鉴别、授权、访问控制、抗否认性和可服务性以及内容的个人隐私、知识产权等的保护。 这两者的结合，即是现代信息安全体系结构。,狭义上：,因此，在现代信息安全的体系结构中：信息安全包括面向数据的安全和面向用户的安全；即信息安全是指在信息在产生、传输、处理和存储过程中不被泄露或破坏，确保信息的可用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。,2019/7/30,16,不管攻击者采用什么样的手段，他们都要通过攻击信息的基本属性来达到攻击的目的。在技术层次上，信息安全应是保证在客观上杜绝对信息的安全威胁，使得信息的拥有者在主观上对其信息的本源性放心。信息安全根据其本质的界定，应具有以下的基本属性： 保密性（Confidentiality）：保密性是指信息不泄漏给非授权的个人、实体和过程，或供其使用的特性。 完整性（Integrity）：完整性是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。对网络信息安全进行攻击其最终目的就是破坏信息的完整性。,信息安全的特征,2019/7/30,17, 可用性（Avaliability）：可用性是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到所需信息及相关资产。对可用性的攻击就是阻断信息的可用性，如破坏网络和有关系统的正常运行就属于这类攻击。 可控性（Controlability）：可控性是指授权机构对信息的内容及传播具有控制能力的特性，可以控制授权范围内的信息流向以及方式。 可审查性（Auditability）：在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。 可靠性（Reliability）：是指信息以用户认可的质量连续服务于用户的特性（包括信息的准确、迅速和连续地传输、转移等），但也有一些专家认为可靠性是人们对信息系统而不是对信息本身的要求。,2019/7/30,18,1 系统安全（实体安全），即系统运行的安全 2 系统中信息的安全，即通过对用户权限的控制、数据加密等确保信息不被非授权者获取和篡改。 3 管理安全，即综合运用各种手段对信息资源和系统运行安全进行有效的管理。,由此，（现代）信息安全应包含3层含义：,2019/7/30,19,网络安全，从本质上讲就是网络上信息的安全，即网络上信息保存、传输的安全，指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然和或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,网络安全的定义：,网络安全所涉及的领域相当广泛。因为目前的公用通信网络中存在各种各样的安全漏洞和威胁。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性和可控性等的相关技术和理论，都是网络安全所要研究的领域。,2019/7/30,20,从用户（个人、企业等）的角度来说，他们希望所涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免他人或对手利用窃听、冒充、篡改和抵赖等手段对用户的利益和隐私造成损坏和侵犯，同时也希望当用户的信息保存在某个计算机系统上时，不受其他非法用户的非授权访问和破坏。,从网络运行和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源的非法占用及非法控制等威胁，制止和防御网络“黑客”的攻击。,从安全保密部门的角度来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免其通过网络泄露、避免由于这类信息的泄露对社会产生危害，给国家造成巨大的经济损失，甚至威胁到国家安全。,2019/7/30,21,从社会教育和意识形态的角度来说，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。,1 运行系统安全，即保证信息处理和传输系统的安全，本质上是保护系统的合法操作和正常运行。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，电磁信息泄露的防护等，它侧重于保证系统正常的运行，避免因系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免因电磁泄露，产生信息泄露，干扰他人（或受他人干扰）。,由此，（现代）网络安全应包含4层含义：,2019/7/30,22,2 网络上系统信息的安全，包括用口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。,3 网络上信息传播的安全，即信息传播后的安全。包括信息过滤技术。它侧重于防止和控制非法、有害的信息进行传播后的后果；避免公用通信网络上大量自由传输的信息失控，本质上是维护道德、法则或国家利益。,4 网络上信息内容的安全，它侧重于网络信息的保密性、真实性和完整性；避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损用户的行为，本质上是保护用户的利益和隐私。,2019/7/30,23,由此可见，网络安全与其所保护的信息对象有关，本质上是信息的安全期内保证其在网络上流动时或静态存储时不被非法用户所访问，但授权用户可以访问。,因此，网络安全的结构层次包括：物理安全、安全控制和安全服务。,网络安全的主要特征：,1 保密性：指网络上的信息不泄露给非授权用户、实体或过程，或供合法用户使用的特性。,2 完整性：指信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，也即未经授权不能进行改变的特性。,2019/7/30,24,3 可用性：指当需要时应能存取所需的信息，也即可以被授权实体访问并按需求使用的特性。网络环境下的拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。,4 可控性：指对信息的传播及内容具有控制的能力。,因此，网络安全、信息安全研究的内容是紧密相关的，其发展是相辅相成的。但是信息安全研究领域包括网络安全的研究领域。,2019/7/30,25,主机安全技术 身份认证技术 访问控制技术 加密技术 防火墙与网络隔离技术 入侵检测与安全审计技术 黑客与病毒防范技术 操作系统安全技术 数据库安全技术 数据安全技术 信息安全管理技术,信息安全的关键技术 ：,2019/7/30,26,信息安全分类：,2019/7/30,27,2019/7/30,28,1.3 安全威胁与攻击类型,目前，主要以下有10个方面的网络安全问题急需解决： (1) 信息应用系统与网络的关系日益紧密，人们对网络的依赖性增强，因而网络安全的影响范围日益扩大，建立可信的网络信息环境已成为一个迫切的需求。 (2) 网络系统中安全漏洞日益增多，不仅技术上有漏洞，管理上也有漏洞。 (3) 恶意代码危害性高。 (4) 网络攻击技术日趋复杂，而攻击操作容易完成，攻击工具广为流行。 (5) 网络安全建设缺乏规范操作，常常采取“亡羊补牢”的方式进行维护，导致信息安全共享难度递增，并留下安全隐患。,2019/7/30,29,(6) 网络系统有着种类繁多的安全认证方式，一方面使得用户应用时不方便，另一方面也增加了安全管理的工作难度。 (7) 国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。 (8) 网络系统中软硬件产品的单一性，易造成大规模网络安全事件的发生，特别是网络蠕虫安全事件的发生。 (9) 网络安全建设涉及人员众多，安全和易用性特别难以平衡。 (10) 网络安全管理问题依然是一个难题，主要有：,* 用户安全防范意识不强。 * 网络服务配置不当，开放了过多的网络服务。 * 安装有漏洞的软件包。 * 缺省配置。 * 网络系统中软件不打补丁或补丁不全。,2019/7/30,30,* 网络安全敏感信息泄露。例如DNS服务信息泄露。 * 网络安全防范缺乏体系。 * 网络信息资产不明，缺乏分类、分级处理。 * 网络安全管理信息单一，缺乏统一分析与管理平台。 * 重技术，轻管理。,黑客技术：,黑客（Hacker）的定义: 黑客(起源于美国麻省理工学院)最初是指技术通常十分高超的有强制力的计算机程序员。 现在则指一批掌握计算机知识和技能,能破解加密程序，窃取或破坏信息并以此作为业余爱好或半职业、职业手段的人。实际上，对这些人的正确英文叫法是Cracker，有人翻译成“骇客” 。 黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。,2019/7/30,31,对于一个骇客来说，他们只追求入侵的快感，不在乎技术，他们不会编程，不知道入侵的具体细节。 现状：在Internet网上，黑客组织有自己的公开网站，免费提供黑客工具软件，介绍黑客袭击方法，出版网上黑客杂志和书籍等等。 黑客技术： 是对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。,黑客的特点： 一般为男性，很少有女性；主要是年轻人；计算机迷； 聪明；工作狂； 对理解，预测和控制极端感兴趣。,2019/7/30,32,黑客的类型： 恶作剧型 隐蔽攻击型 定时炸弹型 矛盾制造型 职业杀手型 窃密高手型 业余爱好型 事后报复型,2019/7/30,33,黑客技术的种类和传播方式：,（1）挂马网站,（2）利用第三方漏洞 例1 例2,（3）网游木马,（4）网络钓鱼,已经发生过的仿冒网络银行的钓鱼网址有： (仿冒中国银行，中国银行真实网址为：) ，/index.jsp (仿冒中国工商银行，中国工商银行真实网址为：) ，www.cmb95555. com（仿冒招商银行，招商银行的真实网址为：）等。,2019/7/30,34,例1：利用Windows XP的AutoRun漏洞删除硬盘文件。 AutoRun是指在Windows XP系统的计算机中插入光盘后，光盘中的Autorun.inf指定的程序被自动运行的现象。利用Windows XP的AutoRun漏洞进行攻击的过程如下： 新建一个文本文件，输入以下内容： AutoRun Open = rundel c:test1.txt 保存文件，将该文件重名为Autorun.inf。 使用光盘刻录工具刻录一张光盘，在光盘的根目录下加入Autorun.inf文件。 在C盘的根目录下新建test1.txt文件。 插入光盘并让其自动运行。 光盘自动运行结束后，查看C盘根目录，发现test1.txt文件已被删除。,2019/7/30,35,例2：利用Foxmail的漏洞取消保护口令，其步骤如下： 运行Foxmail，右击账户名（比如），执行“设置账户访问口令”命令，出现如图4-1所示的对话框，在其对话框中输入口令，单击“确定”按钮。 图4-1 设置账户访问口令 图4-2 访问口令生效,2019/7/30,36, 关闭重新打开Foxmail，双击被保护的账户，出现如图4-2所示的对话框，表示访问口令设置已经生效，单击“取消”按钮，然后关闭Foxmail。 通过“我的电脑”进入Foxmail程序的安装目录，再进入mailtest文件夹，找到保存账户配置信息的Account.stg文件，将其删除。 运行Foxmail，双击被保护的账户，发现对该账户的所有操作均可进行（这是由于Account.stg文件被删除后，Foxmail会自动新建一个空的Account.stg文件，而新建文件的账户口令为空值，所以删除Account.stg文件后可以直接访问被保护的账户）。,2019/7/30,37,目前，网上一些利用“网络钓鱼”手法，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。钓鱼网站是与正规的交易网站外观极其相似的欺骗性非法网站。根据中国反钓鱼网站联盟中心统计，目前每天活跃在网上的钓鱼网站数量超过10万家，自2005年开始全球“钓鱼”案件正在以每年高于20%的速度增长，受骗用户高达5%，造成巨大的经济损失。,1网络钓鱼的主要手段 （1）发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。,2019/7/30,38,（2）建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃。 犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站， 引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；还有的利用 跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意 Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。 如曾出现过的某假冒银行网站，网址为 http:/www.1cbc. ，而真正银行网站是，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。 又如 2004年7月发现的某假公司网站（网址为 ），而真正网站为 ，诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息，引诱用户访问，如图3-17所示。,2019/7/30,39,图3-17 “赠送QQ币”的虚假消息框,2019/7/30,40,一旦访问该网站，首先生成一个弹出窗口，上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时，恶意网站主页面在后台即通过多IE漏洞下载病毒程序lenovo.exe（Trojan Downloader.Rlay），并在2秒钟后自动转向到真正网站主页，用户在毫无觉察中就感染了病毒，如图3-18所示。病毒程序执行后，将下载该网站上的另一个病毒程序 bbs5.exe，用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时，还会自动发送包含恶意网址的消息。,图3-18 “免费赠送QQ币”的虚假消息提示,2019/7/30,41,（3）利用虚假的电子商务进行诈骗。 此类犯罪活动往往是 建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如 2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款的案件。 除少数不法分子自己建立电子商务网站外，大部分人采用在知名电子商务网站上，如“易趣”、“淘宝”、“阿里巴巴”等，发布虚假信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品，或以次充好，以走私货充行货，很多人在低价的诱惑下上当受骗。网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，得到钱款或被识破时，就立即切断与消费者的联系。,2019/7/30,42,（4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。 如木马“证券大盗”，它可以通过屏幕快照将用户的网页登录界面保存为图片，并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。 （5）利用用户弱口令等漏洞破解、猜测用户帐号和密码。 不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。如 2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手。 实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。,2019/7/30,43,几种常用的“钓鱼”防范方法：, 避免使用搜索引擎：登陆网银时尽量避免使用搜索引擎或网络实名，以免混淆视听；最好在正规银行网点获取网络银行网址。 妥善保管数字证书： 避免在公共场所的电脑上使用网银业务，以防数字证书等机密资料外泄。 警惕电子邮件等信息：不轻信不明来历的邮件、信件、电话、短信等，如收到相应信息，请先咨询银行部门是否有相应信息，然后进行操作，以防网络钓鱼袭击。 设置混合密码、双密码：密码设置应避免与个人资料相关，建议选用数字、字母混合密码，提高密码破解难度并妥善保管，保证密码不易被猜测。交易密码尽量与信用卡密码不同。而且要定期更换密码。 定期查看交易记录：定期检查账户余额、转账和支付等业务记录，随时掌握账户变动情况。 做好病毒防范：做好防止木马攻击与入侵等安全措施，如发现异常交易及时与银行联络。,2019/7/30,44,病毒技术：,病毒的定义: 1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在第二十八条中明确指出：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。 计算机病毒的特征 计算机病毒的特征可以归纳为人为的特制程序、具有自我复制能力、很强的传染性、一定的隐蔽性和潜伏性、特定的触发性、很大的破坏性、不可预见性、针对性和依附性。 计算机病毒的发展简史及流行趋势 计算机病毒（以下简称病毒）的发展大致可以划分为初期产生、早期蓬勃发展和网络迅猛泛滥3个阶段。,2019/7/30,45,初期产生 （从1949年到1987年第一只电脑病毒“C-BRAIN”的诞生是病毒的初期产生阶段） 早期蓬勃发展 （从1987年到1995年网络在世界范围内普及前，应该是病毒的早期蓬勃发展阶段） 网络迅猛泛滥 （1995年至今，随着网络在世界范围内普及，电脑病毒进入了网络迅猛泛滥阶段）,特洛伊木马 特洛伊木马（Trojan horse），其名取自希腊神话“特洛伊木马记”，是一种基于远程控制的黑客工具，简称木马。它具有隐蔽性和非授权性的特点，一旦控制端与服务端连通后，木马程序通过窃取手段获得服务端的大部分操作权限，然后大肆窃取密码、操作文件、修改注册表、控制鼠标键盘、监视系统操作等。,2019/7/30,46,木马的原理 特洛伊木马（简称木马）是一种基于C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息。例如，窃取用户口令、复制或删除文件、控制目标主机的运行状态等。一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。,木马攻击的过程 木马攻击的过程按木马攻击网络的原理大致可分为6个步骤，即配置木马、传播木马、运行木马、信息泄露、建立连接、远程控制。 配置木马是为了实现木马伪装和信息反馈两个功能。,2019/7/30,47,传播木马主要有两种方式：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装，首先将自身复制到Windows的系统文件夹中（比如c:Windows、c:Windowssystem或c:Windowstemp目录下），然后在注册表、启动组、非启动组中设置好木马的触发条件，完成木马安装，然后就可以启动木马了。 信息泄漏就是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-mail，IRC或ICO的方式告知控制端用户。 只要控制端和服务端都在网上，并且服务端已经安装了木马，控制端就可以通过木马端口与服务端建立连接。 木马连接成功后，控制端端口和服务端端口之间将会出现一条通道，控制端上的控制端程序可借此通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实施破坏活动。,2019/7/30,48,此外，还可以通过检查并删除木马程序的启动条件来防范。检查和清除Windows系统中木马程序的一般方法如下： 在“开始程序启动”菜单组中，如果发现有异常程序，则可直接清除； 在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序； 在win.ini文件中，检查windows段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除； 在system.ini文件中，检查boot段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序； 在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce HKEY_CLASSES_ROOTexefileshellopencommand 一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOTexefileshellopen command表项中包含的正确值为“%1“%*”，如果被改为“程序名“%1“*”，则可能是木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的启动位置。,2019/7/30,49,病毒检测技术 (1) 病毒的传播途径 计算机病毒主要有4种传播途径: 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。 通过移动存储设备来传播，这些设备主要包括软盘、磁带、移动USB盘等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道（如手机）来传播病毒。 (2) 病毒的检测方法 在检测病毒时，必须保证系统是“清洁”无毒的。病毒检测分为对内存检测和对磁盘检测，比如对磁盘检测必须要求内存不带毒，因为有些病毒采用反跟踪和伪装技术向检测者报告假情况。启动系统应该是上电启动而不是用Ctrl + Alt + Del组合键启动，因为有些病毒会截取键盘中断而将自己仍然留在内存中。 病毒的检测方法主要有手工检测和自动检测两种。,2019/7/30,50,目前病毒防范产品主要通过比较法、校验和法、人工智能陷阱法、感染实验法、扫描法和特征代码法完成病毒的自动检测。 比较法是一种较原始的病毒检测方法，包括长度比较法、内容比较法、内存比较法、中断比较法等。比较法通过对比可疑的和正常的对象，如果发现相比较内容不一致，就认为有病毒存在。 校验和法是根据文件的内容计算其校验和，并将所有文件的校验和放在资料库中。检测时将文件现有内容的校验和与资料库中的校验和做比较，若不同则判断其被染毒。其优点是可检测未知病毒和变种病毒，最大的缺点就是误判断高且无法确认是哪种病毒感染的。 人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将病毒所产生的行为归纳起来，一旦发现内存有任何不正常的情况，系统就会有所警觉并告知。使用这种技术的优点是执行速度快，手续简便且可以检查到各式病毒；其缺点就是程序设计难，且不容易考虑周全。不过在千变万化的病毒世界中，人工智能陷阱扫描技术是一个至少具有保全功能完整的新观点。 感染实验法是利用病毒的感染特性，在可疑系统中使用或运行“干净”的磁盘或文件，比较运行前后文件的校验和以及文件长度，若发生改变则已染毒。其优点是误报警率低，缺点是无法确定被感染的病毒类型。,2019/7/30,51,实时输入输出扫描法的目的在于即时地对数据的输入/输出动作做病毒码比对的动作，希望能够在病毒尚未被执行之前，就能够防堵下来。理论上这样的即时扫描技术会影响到数据的输入输出速度，但是使用实时扫描技术文件传送进来之后就等于扫过一次毒了。 特征代码法是从病毒样本中抽取特征代码，加入病毒代码库，并检查被检测的文件中是否含有病毒特征代码，若有则可确定已感染的病毒类型。病毒扫描软件由病毒代码库和利用代码库进行扫描的扫描程序两部分构成。特征代码法的优点是检测准确、快速、可识别病毒的名称。其缺点是不能检测未知病毒和变种病毒，需定期更新病毒资料库，具有滞后性。 病毒防范技术 计算机病毒的防范既是一个技术问题，也是一个管理问题，应从两个方面综合加以防范。计算机病毒的防范策略应该“预防为主，治疗为辅”，只有这样才能真正将计算机病毒的危害降低到最低限度。 (1) 单机下的病毒防范技术 在单机环境下的病毒防范，一是要在思想上重视、管理上到位；二是技术上依靠防杀计算机病毒软件。 安装和使用最新的正版防杀毒软件也许是技术防毒的最佳选择。针对国内外不同的病毒，最好同时在单机上安装两个以上防毒软件：一个应该是国内防毒软件，另一个应该是国外的防杀毒软件。 需要提醒的是，新病毒与时俱进，层出不穷，任何公司的防/杀病毒产品都不是万能的，各公司防/杀毒软件应当交替使用，同时安装几个防/杀毒软件（至少两个）是非常必要的。另一方面，及时升级防/杀毒软件（一出现新病毒就升级）是非常重要也是非常必要的。,2019/7/30,52,(2) 小型局域网的病毒防范技术 小型局域网主要有Novell NetWare网、Windows NT网、UNIX/Linux网、简单网络等。实施网络防毒系统时，应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进行有效防护。一方面需要对各种病毒进行有效杀、防；另一方面也要强调网络防毒在实施、操作、维护和管理中的简捷、方便和高效。 Novell网防毒 当前，大多数的金融、证券等机构的局域网仍然在使用Novell网，它一般由一台Novell文件服务器为中心，再带许多没有软驱、光驱和硬盘的无盘的工作站。服务器和工作站之间一般用同轴电缆或双绞线连接。在Novell网的SFT版本中，文件服务器为专用服务器，不支持并发方式，文件服务器仅需要在启动时防毒。文件服务器的（自举）启动有软盘启动（整个硬盘作为一个Netware分区）和硬盘启动（文件服务器作为一个活动的DOS分区和一个Netware分区）两种。对于Novell网来说最危险的病毒是操作系统病毒。,2019/7/30,53,主要防毒措施如下: 首先要保护Novell网的文件服务器。 利用Novell网自身的许多功能来防毒。 限制用户权限或许是最好的防毒方法。 UNIX/Linux网络防毒 UNIX/Linux网络中一般有一台或多台装有UNIX/Linux操作系统的计算机作Web服务器、文件服务器或邮件服务器；工作站端计算机一般装有Windows操作系统。因此，这种UNIX/Linux网络的防毒主要还是基于工作站的单机防毒。当然，UNIX/Linux网络对安全性和用户权限的控制还是很严格的，但并不是说网络就没有病毒感染的可能。整个网络必须装有具有实时监控能力的杀毒软件和防止黑客攻击的黑客扫描软件。 Windows NT网络防毒 更多的公司和企业的局域网是Windows NT网络，这种网络往往由一台装有Windows NT操作系统的网络主控制器作为中心服务器，管理用户信息和访问权限；而工作站则多采用装有Windows 98、Windows 2000、Windows NT独立服务器或工作站的带有硬盘的计算机。中心服务器主要通过安装访问代理（Proxy）接入Internet网络，网络相对封闭。Windows NT网络除了对每个工作站进行单机防毒外，还要针对Windows NT网络的特点做好以下防毒措施：网络中心服务器必须采用NTFS分区格式，防止基于FAT16分区格式的DOS病毒的感染；严格控制共享文件、共享硬盘和共享光盘的使用，严格控制外来软盘光盘的使用；对用户的权限和文件的读写加以限制，多数文件设置为只读属性；服务器上应安装基于Windows NT网络开发的32位的杀毒软件，防止病毒在网上传播；工作站要安装实时监视和杀毒软件，阻止病毒从工作站进入网络；像单机防毒一样，需要及时更新防/杀毒软件和防火墙，防止最新出现的病毒攻击网络。,2019/7/30,54,(3) 大型网络的病毒防范技术 大型网络如电子政务、电子商务、电信网络、银行网络、军事信息网等虽然数量不多，但由于是国家的基础设施，关系国家安危，所以大型网络防毒非常重要。 大型网络面临的网络安全问题主要有内部网安全问题、外部网安全问题、应用网安全问题、网络服务器的安全问题以及网络防/杀毒软件的升级更新问题。内部网与应用业务网是物理隔离的，安全状况相对会好一些，基本不存在外部黑客攻击的问题，其最大的安全隐患是来自内部的病毒破坏与一些内部用户的非授权访问。外部网通过路由器与电信、联通的公众网络直接连接，很可能会受到公众网中的不安全因素影响，产生病毒传播、黑客攻击、网络非授权访问等安全问题。而中层应用业务网本身的网络结构复杂，核心用户众多，虽然一些重要部门之间都安装了防火墙，但防火墙只能防止黑客的恶意攻击，没有病毒防护，很容易被一些外部网的黑客型病毒或本网内的病毒攻击。外部网和应用业务网的防病毒软件正常升级相对方便；内部网与外部网和应用网络隔绝，在不改变内部网的物理隔离结构的情况下，应该研究出一个好的升级方案，做到及时升级。,2019/7/30,55,大型网络一般采用一些著名公司的防/杀毒软件的网络版组建一个分布式防病毒体系，对整个网络采用分级管理、多重防护策略。 外部网是整个网络的最外围，主要是面向大众访问服务，并由专业的ISP负责运行。病毒防护主要由ISP承担，一般在外部网专设一台服务器，安装服务器版网络防/杀病毒软件，对整个网络进行实时监控。除了物理的安全外，基本都是访问控制和授权方面的，当然还需要防止黑客或内部网对内部核心网络的破坏性攻击。合适的防火墙可以有效的阻断和隔离内部核心网络和外部网络，从而从根本上保证了核心网络的安全。通过入侵检测系统，可以有效地及早发现和阻断对内部核心网络的各种攻击行为，从而降低内部核心网络被攻破的可能性。 （中间业务）应用网一般结构复杂、网络规模大。首先，要保障应用服务器的安全。其次，是要保证应用数据库系统的安全。这些区域系统中心负责本区域内网络的病毒防护，对网络内的用户进行升级服务，统一管理本区域内的网络主机，并通过超级中心进行升级。在各个网络内部的邮件服务器部署邮件监控系统，对来自网络内部、外部的邮件进行监控，避免邮件以及其他客户端受到邮件病毒的感染。,2019/7/30,56,大型网络的认证系统能提供用户身份验证服务，是最重要的安全业务。所有的其他安全业务都在某种程度上依赖于身份认证系统。随着基于PKI（公钥基础设施）技术的日益成熟，数字证书认证被认为是最理想的认证方式。数字证书不仅可以用于身份认证，还可以确保信息传输的保密性、数据交换的完整性、发送消息的不可否认性。 大型网络的安全管理看似简单，却是连接整个安全方案的纽带。大型网络中运行着越来越多的安全设备，如防火墙、入侵检测系统、防病毒、PKI、VPN等，虽然这些设备都在一定程度上解决了一系列的安全问题，但它们独立工作，在网络内部形成一个个安全“孤岛”。由于缺少必要的安全管理措施，随着网络内外安全威胁的增加，安全状况并没有得到根本的改善，安全风险仍然居高不下。安全管理体系使大型网络以最低的成本达到可接受的安全水平，从根本上保证业务的连续性，其主要功能包括设备管理、策略管理、事件管理、协调管理、配置管理、身份和权限管理、制度管理、安全审计、事故管理等。,2019/7/30,57,病毒防范产品介绍 (1) 病毒防范产品的分类 防毒产品从总体上可以分为硬件和软件两大类。硬件主要是防病毒卡。但是由于防病毒卡价格昂贵、软件的兼容性差、升级困难，所以现在很少用，已经退出历史舞台。软件防毒产品是专门为保障计算机及其数据安全，针对病毒而设计的程序，称为防（杀）毒软件。防/杀毒软件具有价格便宜、灵活性好的优点，被广泛使用。 杀毒软件种类繁多，主要分为单机版和网络版两类（前面已介绍过）。单机版主要是针对非联网的单机的病毒的诊断，使用时必须对每台计算机进行独立操作，并且需人为地定期升级杀毒软件。网络版主要是针对局域网用户的，也可拓展到广域网用户，其最大特点是可以通过杀毒软件制造商提供的FTP服务自动下载最新病毒码并进行在线升级，并可根据用户制定的杀毒策略对网络中的服务器和工作站进行有重点有步骤地自动监控杀毒，因此可以减少人为干预，最大限度地提高杀毒效率。但网络版的价格也远远高于单机版，而且视网络版所能控制杀毒点的多少而价格差异较大。,2019/7/30,58,（2）防/杀计算机病毒软件的特点 防/杀病毒软件一般都有强大的病毒扫描引擎，能够检测并清除传统的开机型、档案型、聚集型和复合型病毒，主动检测、清除基于Internet全面入侵的Java、ActiveX等恶意程序，还可全面防堵电子邮件病毒入侵，过滤不良网站所有已知病毒。防/杀毒软件一般程序短小，占用内存少，有极佳的程序相容性和稳定性，杀毒界面友好，使用简单方便。防/杀毒软件有强大的技术支持和在线升级功能，能及时提供最新的病毒代码库，升级方便迅速。 （3）对计算机病毒防范产品的要求 拥有病毒检测扫描器 实时监控程序 未知计算机病毒