信息系统安全与职业道德.ppt

第四章信息系统安全与职业道德 2 主要内容 4 1信息系统安全知识4 2计算机病毒及防治技术4 3信息安全技术4 4信息系统安全规划及管理4 5网络道德和软件知识产权 3 4 1信息系统安全概述 4 1 1什么是信息安全4 1 2安全威胁 4 4 1 1什么是信息安全 信息安全 指对信息资源实施保护 以防止其未经授权的泄漏 修改 破坏 而不管这种行为是偶然的还是故意的 表现形式及要求 随信息应用的主体 环境和要求的不同而不同 目的 对信息资源实施全面管理和控制 保证信息在存取 处理和传输过程中的机密性 完整性和可用性 5 4 1 1什么是信息安全 体现在 个层面 信息安全理念 信息安全观点 信息安全机制 物理安全 运行安全 数据安全 内容安全 信息对抗安全是人员 技术 操作三者紧密结合的系统工程 是不断演进 循环发展的动态过程 6 4 1 2安全威胁 来源 各种失误 出错 病毒 攻击以及软件和硬件设计的后门 威胁种类 7 4 2计算机病毒及防治技术 一 概述1 计算机病毒概述2 计算机病毒的分类3 病毒实例分析4 计算机病毒的检测5 计算机病毒的防范6 计算机病毒的发展趋势二 网络黑客及防范 8 概述 定义 一段计算机程序代码 被嵌入在正常的计算机程序中 能破坏计算机功能 影响计算机正常使用 通常能自我复制 特征 隐蔽性 传染性 潜伏性 破坏性以及可触发运行性 危害 对数据信息的直接破坏 占用磁盘空间 抢占系统资源 影响计算机运行速度 计算机病毒错误与不可预见的危害 计算机病毒给用户造成严重的心理压力等 9 计算机病毒的分类 按病毒的传染方式分 引导型病毒文件型病毒复合型病毒 10 计算机病毒的分类 按病毒的连接方式分 源码型病毒 攻击高级语言编写的源程序 源程序中插入病毒程序 随源程序一起编译 链接成可执行文件 此可执行文件已感染病毒 入侵型病毒 用自身代替正常程序中的部分模块或堆栈区 攻击特定程序 针对性强 难以发现 清除 操作系统型病毒 用其自身部分加入或替代操作系统的部分功能 外壳型病毒 将自身附在正常程序的开头或结尾 相当于给程序加了个外壳 11 引导型病毒 定义 指寄生在磁盘引导区或主引导区的计算机病毒 危害 利用系统引导时不对主引导区内容的正确性进行判别的缺点 在引导系统的过程中侵入系统 驻留内存 监视系统运行 伺机传染和破坏 典型病毒 如大麻病毒 小球病毒等执行框图 12 引导型病毒执行框图 13 文件型病毒 定义 指能够寄生在文件中的计算机病毒 危害 感染可执行文件或数据文件 当这些文件被执行时 病毒程序也跟着被执行 典型病毒 如宏病毒 执行框图 14 文件型病毒执行框图 15 复合型病毒 定义 具有引导型病毒和文件型病毒的特性 危害 扩大了病毒程序的传染途径 既感染磁盘的引导记录 又感染可执行文件 当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时 病毒都会被激活 具有相当程度的传染力 一旦发作 后果十分严重 典型病毒 如Flip病毒 新世纪病毒等 16 病毒实例分析 1 CIH病毒2 宏病毒3 网络病毒 17 CIH病毒 特点 一种文件型病毒 感染Windows95 98环境下PE格式的EXE文件 主要危害 病毒发作后 硬盘数据全部丢失 甚至主板上的BIOS中的原内容会被彻底破坏 主机无法启动 18 宏病毒 利用软件所支持的宏命令编写成的具有复制 传染能力的宏 是一种新形态的计算机病毒 也是一种跨平台的计算机病毒 可以在MacintoshSystem7Windows Windows9X NT 2000和OS 2等操作系统上执行 19 网络病毒 专指在网络上传播 并对网络进行破坏的病毒 也指HTML病毒 E mail病毒 Java病毒以及与因特网有关的病毒等 20 计算机病毒的检测 异常情况判断计算机病毒的检测手段特征代码法校验和法行为监测法 21 特征代码法 检测已知病毒的最简单 开销最小的方法 实现步骤 采集已知病毒样本在病毒样本中 抽取特征代码打开被检测文件 在文件中搜索病毒特征代码 缺点 速度慢 误报警率低 不能检查多形性病毒 并且不能对付隐蔽性病毒 22 校验和法 对正常文件的内容计算校验和 并将结果写入文件中 使用时 定期对文件当前内容的校验和进行计算 与保存的原值比较 查看是否一致 以发现文件是否被感染 优点 方法简单 能发现文件的细微变化 能发现未知病毒 缺点 会误报警 不能识别病毒名称 不能对付隐蔽型病毒 23 行为监测法 监测是否有程序试图改变计算机系统中的一些关键数据 优点 能发现未知病毒 可相当准确地预报未知的多数病毒 缺点 可能误报警 不能识别病毒名称 同时实现时有一定难度 24 计算机病毒的防范 防范计算机病毒采用有效的技术策略电子邮件病毒的防治不要轻易打开来信中的附件文件防范计算机病毒的几种方法常用软件查杀病毒 25 计算机病毒的发展趋势 1 计算机病毒呈现的新特性利用微软操作系统漏洞主动传播 2 计算机病毒发展的趋势与Internet和Intranet紧密地结合 利用一切可以利用的方式进行传播 26 4 2 2网络黑客及防范 定义 网络黑客是指掌握相当高的网络技术的一群网络 罪犯 危害 篡改网页 使网站崩溃 诱骗合法用户的机密信息 1 网络黑客常见的攻击步骤2 网络主要攻击3 网络主要防范举例 27 网络黑客常见的攻击步骤 攻击前奏 锁定目标 了解目标的网络结构 收集系统信息实施攻击巩固控制继续深入 28 网络主要攻击 木马攻击 防范 通过防火墙采用适当的规则并及时查杀入侵木马 IP地址欺骗攻击 恶意流量攻击 简单DoS攻击 拒绝服务 联合DoS攻击DDoS攻击 29 网络主要防范举例 IP地址过滤 MAC地址过滤 HTTP过滤FTP过滤模块SMTP POP3过滤 30 4 3信息安全技术 4 3 1防火墙技术4 3 2入侵检测技术 新的信息安全技术 4 3 3数据加密技术4 3 4数字签名 31 4 3 1防火墙技术 1 概念2 防火墙的主要体系结构3 防火墙的技术分类4 如何选择防火墙5 防火墙的维护 32 防火墙的概念 定义 防止网络外部的恶意攻击对网络内部造成不良影响而设置的安全防护设施 防火墙是一种访问控制技术 是在某个机构的网络和不安全的网络之间设置的一组组件 软件或硬件设备的组合 作用 对两个网络之间的通信进行控制 通过强制实施统一的安全策略 防止对重要信息资源的非法存取和访问 保护系统安全 33 防火墙的概念 性质 1 只允许本地安全策略授权的通信信息通过 2 双向通信信息必须通过防火墙 控制信息的流通 但会增大网络管理开销 减慢了信息传递速率 示意图 34 防火墙示意图 35 防火墙的主要体系结构 双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构 36 双重宿主主机体系结构 一种拥有两个或多个连接到不同网络上的网络接口的防火墙 组成 一台装有两块或多块网卡的堡垒主机做防火墙 每块网卡各自与受保护网和外部网相连 体系结构示意图特点 禁止主机的路由功能 两个网络之间的通信通过应用代理服务来完成 缺点 黑客侵入堡垒主机并使其具有路由功能时 防火墙失效 37 双重宿主机体系结构示意图 38 屏蔽主机体系结构 组成 由防火墙和内部网络的堡垒主机组成 体系结构示意图特点 堡垒主机安装在内网上 在路由器上设立过滤规则 并使堡垒主机成为外网唯一可直接到达的主机 保证了内网不被未经授权的外部用户的攻击 39 屏蔽主机体系结构示意图 40 屏蔽子网体系结构 组成 两个包过滤器和一个堡垒主机 在内外网间建立了一个被隔离的子网 称作周边网络 体系结构示意图特点 内外网均可访问屏蔽子网 但禁止它们穿过屏蔽子网通信 这样 即使入侵者控制了堡垒主机 内网仍受到内部包过滤路由器的保护 41 屏蔽子网体系结构示意图 42 防火墙的技术分类 根据防范方式和侧重点的不同可分以下三类 1 包过滤防火墙2 状态监测防火墙3 代理服务器 43 包过滤防火墙 数据包过滤是一个网络安全保护机制 它对进出网络的信息进行分析 按安全策略对进出内网的信息进行限制 过滤规则是以所收到的数据包头信息为基础 检查内容优点 速度快 性能高 对应用程序透明 缺点 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 维护不直观 44 状态监测防火墙 主要部件 监测引擎 即一个在网关上执行网络安全策略的软件模块 它采用抽取有关数据的方法对网络通信的各层实施监测 提取状态信息 并动态保存作为以后执行安全策略的参考 当请求访问网关时 状态监视器抽取有关数据进行分析 结合网络配置和安全规定作出处理动作 优点 拒绝违反安全规定的访问 报告有关状态作日志记录 缺点 降低了网络速度 配置复杂 45 代理服务器 代理服务是运行在防火墙主机上的专门应用程序或者服务器程序 它把跨越防火墙的网络通信分开 外部计算机的网络链路只到代理服务器 从而隔离防火墙内外计算机系统 组成 代理服务器和代理客户 代理服务器运行在防火墙上 代理客户运行在客户机上 分类 应用级代理是已知代理服务向哪一应用提供的代理 它在应用协议中理解并解释命令 回路级代理能对各种不同的协议提供服务 46 代理服务器 优点 有相对较高的安全性 可以实现访问的身份认证 可以在应用层控制服务的等级权限 缺点 性能较差 速度慢 每种访问服务需要单独的代理服务器 用户不透明 47 如何选择防火墙 设计原则 考虑费用 资源可用 符合习惯 合法 以保证现代信息安全 具体 总拥有成本防火墙本身是安全的可扩充性防火墙的安全性能 48 防火墙的维护 四个部分 防火墙的备份 制定相应的应急措施 定期检查Syslog 日志文件保持防火墙的随时技术更新 49 4 3 2入侵检测 IntrusionDetection 技术 入侵检测 是保障网络系统安全的关键部件 它通过监视受保护系统的状态和活动 采用误用检测或异常检测方式 发现入侵行为 入侵检测系统 执行入侵检测任务的软硬件 通过实时分析 检查特定的攻击模式 系统配置 系统漏洞 存在缺陷的程序版本以及系统或用户的行为模式 监控与安全有关的活动 50 4 3 2入侵检测 IntrusionDetection 技术 需要解决的问题 如何充分并可靠地提取描述行为特征的数据 如何根据特征数据 高效并准确地判定行为的性质 入侵检测概述入侵检测原理系统结构系统分类 51 入侵检测概述 1980年 首次提出了入侵检测的概念 1987年提出了入侵检测系统 IDS 的抽象模型 首次提出了入侵检测可作为一种计算机系统安全防御措施的概念 1994年 建议使用自治代理提高IDS的可伸缩性 可维护性 效率和容错性 1996年提出 GrIDS的设计和实现 方便地检测大规模自动或协同方式的网络攻击 52 入侵检测概述 近年来的主要创新有 将免疫学原理运用于分布式入侵检测领域 1998年将信息检索技术引进入侵检测 采用状态转换分析 数据挖掘和遗传算法等进行误用和异常检测 53 入侵检测原理 用于检测任何损害或企图损害系统的保密性 完整性或可用性的一种网络安全技术 原理 通过监视受保护系统的状态和活动 采用误用检测或异常检测的方式 发现非授权的或恶意的系统及网络行为 为防范入侵行为提供有效的手段 原理框图 54 入侵检测原理框图 55 入侵检测系统结构 从系统构成上看 入侵检测系统应包括事件提取 入侵分析 入侵响应和远程管理四大部分 另外还可能结合安全知识库 数据存储等功能模块 提供更为完善的安全检测及数据分析功能 入侵检测以近乎不间断的方式进行安全检测 从而可形成一个连续的检测过程 56 入侵检测系统分类 基于数据源分基于主机 基于网络 混合入侵检测 基于网关的入侵检测系统 基于检测理论的分为异常检测和误用检测 异常检测 指根据使用者的行为或资源使用状况的正常程度来判断是否入侵 误用检测 指运用已知攻击方法 根据已定义好的入侵模式 通过判断这些入侵模式是否出现来检测 基于检测时效的分为实时在线检测方式及定时对处理原始数据进行离线检测等 57 4 3 3数据加密技术 数据加密技术 发送方对数据进行加密 合法用户通过解密处理 将加密数据还原为原始数据所使用的方法 组成 明文 密文 加密算法和密钥 明文 原文数据 或原始数据 密文 加密伪装后的数据 加密算法 加密所采取的变换方法 密钥 用于控制数据加密 解密过程的字符串 分类 对称式加密法和非对称式加密法 58 1 对称式加密法 也称为单钥或常规密码技术 特点 加密和解密使用同一密钥 优点 安全性高 加密速度快 缺点 密钥难管理 同时在网络上无法解决消息确认和自动检测密钥泄密的问题 系统模型应用实例 恺撒 Caesar 密码加密 59 对称密码系统模型 其中 M表示明文 C表示密文 K表示密钥 60 2 非对称式加密法 也称公钥密码加密法 特点 采用两个密钥将加密和解密分开 配对使用有效 公钥 PublicKey 公开密钥 作为加密密钥私钥 PrivateKey 用户专用 作为解密密钥 方法 公钥加密 私钥解密 实现多个用户加密的消息由一个用户解读 用于保密通信 私钥加密 公钥解密 实现一个用户加密的消息由多个用户解读 用于数字签名 61 2 非对称式加密法 系统模型应用实例 RSA公开密钥密码算法 62 非对称式加密法模型 表示小李的公钥 表示小李的私钥 小李 小张 63 4 3 4数字签名 DigitalSignature 定义 数据接收者用来证实数据发送者确实无误的一种方法 其作用等同于纸面亲笔签名 性质 1 必须能证实作者本人的签名及签名日期和时间 2 签名时必须能对内容进行鉴别 3 签名必须能被第三方证实以便解决争端 实现 主要通过加密算法和证实协议 数字签名的应用涉及到法律问题 一些国家已经制定了数字签名法 64 4 4信息系统安全规划及管理 4 4 1传统安全解决方案的局限性4 4 2信息系统安全性要求4 4 3信息系统安全管理 65 传统安全解决方案的局限性 常用技术手段 防火墙技术 基于主机的入侵检测技术 基于网络的入侵检测技术 虚拟专用网技术 病毒防护技术 漏洞扫描技术 综合安全服务技术等 不同的网络安全产品 在安全保障上存在不同的缺陷 66 信息系统安全性要求 设计良好的安全系统应当做到 适应 简单 透明 高效 全面 协作 67 信息系统安全管理 从以下方面进行 病毒预控 防非法接入 防内部攻