信息技术基础7(4)--网络安全.ppt

计算机网络使用基础 网络安全 内容提要 网络安全的概念 安全案例 安全威胁的内外因 Windows系统安全 怎样检测系统入侵 信息时代人类共同面临的挑战 在不到一代人的时间里 信息革命以及电脑进入了社会的每一领域 这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式 然而 这种美好的新时代也带有它自身的风险 所有电脑驱动的系统都很容易受到侵犯和破坏 对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果 这种危险是客观存在的 过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹 现在他们可以把手提电脑变成有效武器 造成非常巨大的危害 如果人们想要继续享受信息时代的种种好处 继续使国家安全和经济繁荣得到保障 就必须保护计算机控制系统 使它们免受攻击 摘自 保护信息系统国家计划 美国 我国2004年网络安全状况调查 发生过信息网络安全事件 58 7 1次22 2次13 3次以上23 安全事件类型 计算机病毒 蠕虫和木马程序破坏79 垃圾邮件36 拒绝服务 端口扫描和篡改网页等网络攻击43 2003年5月至2004年5月数据统计 7072 2004年网络安全状况调查技术分析报告 我国2004年网络安全状况调查 2004年网络安全状况调查技术分析报告 网络安全产品 82 81 22 18 27 11 12 17 18 12 安全技术措施 67 31 15 60 16 49 26 44 3 55 安全事件原因 什么是网络安全 网络安全是指信息安全和控制安全两部分 信息安全是定义为 信息的完整性 可用性 保密性和可靠性 控制安全指身份认证 不可否认性 授权和访问控制 安全是最大程度地减少数据和资源被攻击的可能性 信息安全的基本要求 安全案例 密码 CMOS密码Windows密码 输入法漏洞 文件口令破解 Office 通过网络监听获取密码 CMOS密码 SETUP密码 计算机能正常引导 不能进入BIOS设置 在DOS状态下启动DEBUG 输入如下命令手工清除密码 o7016 o7116 q下载专门破除CMOS密码的工具软件Cmospwd 在DOS中启动该程序 Cmospwd支持Acer AMI AWARD COMPAQ DELL IBM PACKARDBELL PHOENIX ZENITHAMI等多种BIOS CMOS密码 SYSTEM密码 若没有密码根本不能启动计算机 即设置了SYSTEM密码 唯一的方法就是打开机箱 给CMOS放电 然后重新开机进行设置 另外 有些主板设置了CMOS密码清除跳线 将该跳线短接也可达到同样的目的 Windows密码 Windows2000输入法漏洞在登录窗口中将鼠标光标移到用户名输入框中 按 Ctrl Shift 组合键切换输入法 当选择全拼 郑码或微软拼音等中文输入法时 在默认出现的输入法状态条上右击鼠标 选择快捷选单中的 帮助 操作指南 或 输入法入门 帮助 命令时 会出现输入法的帮助窗口 在窗口标题栏上右击鼠标 在出现的快捷选单中选择 跳至URL 命令 会出现一个对话框 在 跳至该URL 框中可以输入你硬盘中存在的任何路径 例如输入 C 在帮助窗口的右侧会出现类似资源管理器的窗口 并显示C盘的所有文件和文件夹 虽然我们还没有登录到中文Windows2000 但已具有了系统管理员的所有权限 可以对数据做任何操作 输入法漏洞 Windows的输入法漏洞 修补该安全漏洞的三种方法转移帮助文件修改注册表 由于英文输入法没有提供帮助功能 而智能ABC输入法的帮助功能在登录时无法使用 所以通过修改注册表 在登录窗口中只提供英文和智能ABC两种输入法 可以消除登录安全漏洞 下载补丁程序 OFFICE文件口令恢复 网络监听获取密码 防范举例 安全案例 内容监视举例 安全案例 内容监视举例 续 安全案例 内容监视举例 续 安全案例 网页恶意代码 IE标题栏和起始主页被修改IE菜单被修改IE默认搜索引擎被修改右键菜单被修改注册表被禁用浏览网页后 开始 菜单被修改 导致 运行 关闭系统 等消失 桌面 硬盘被隐藏等 如著名的恶意网页 万花谷 就是这样干的 瑞星信息安全站点 网页恶意代码的预防 1 不去自己不熟悉网站 不要随便点击论坛中别人贴出的网址 对于所有用户 都建议安装NortonAntiVirus等杀毒软件 此软件已经把这类恶意修改注册表的代码定义为Trojan Offensive 并增加了ScriptBlocking功能 它会对此类恶作剧进行监控并予以拦截 下载恢复工具软件 安装超级兔子魔法设置软件 如果出现问题 可以用它来恢复 禁用IEActiveX插件和控件 执行 工具 Internet选项 命令 在 安全 选项卡中设置 网页恶意代码的预防 2 注册表加锁方法 运行打开注册表编辑器命令regedit exe进入注册表 在HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System下 增加名为DisableRegistryTools的DWORD值项 将其值改为 1 即可禁止使用注册表编辑器命令regedit exe 解锁方法如下 用记事本编辑一个任意名字的 reg文件 比如unlock reg 内容如下 REGEDIT4 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools dword 00000000如果要使用注册表编辑器 则双击unlock reg即可 请注意如果你是Win2000或WinXP用户 请将 REGEDIT4 写为WindowsRegistryEditorVersion5 00 安全威胁来自哪里 计算机系统自身的脆弱性 各种外部威胁 操作系统的不安全性 硬件故障 物理威胁 网络威胁 身份鉴别 系统漏洞 编程 威胁的普遍性网络的开放性管理的困难性 Windows家族DOSWindows3 1WindowsforWorkgroupWindows95Windows98WindowsNTWorkstation ServerWindowsMeWindows2000Professional ServerWindowsXPHome ProfessionalWindows2003Server Windows系统安全 强制用户登录密码设置安全口令禁用Guest administrator改名禁用不必要的服务安装补丁程序订阅安全公告 强制用户登录密码 登录前按Ctrl Alt Delete 设置安全口令 口令应该不少于6个字符 不包含字典里的单词 不包括姓氏的汉语拼音 同时包含多种类型的字符 比如大写字母 A B C Z 小写字母 a b c z 数字 0 1 2 9 标点符号 禁用Guest administrator改名 禁用不必要的服务 ipc 共享入侵 安装所有的安全补丁 Windows系统版本几乎都有一些安全漏洞补丁 Hotfix 热补丁ServicePack 服务包订阅微软安全公告CCERT 订阅CCERT安全公告 微软中文安全站点 订阅安全公告 订阅CCERT安全公告 非对称密码 公钥 私钥 密钥算法的条件 产生一对密钥是计算可行的已知公钥和明文 产生密文是计算可行的接收方利用私钥来解密密文是计算可行的对于攻击者 利用公钥来推断私钥是计算不可行的已知公钥和密文 恢复明文的计算不可行的 Windows系统安全检查清单 安装所有的安全补丁删除或停用不使用的帐号对所有的帐号设置安全的密码加强用户登录的安全性禁用不必要的服务安装防病毒软件使用个人防火墙为所有驱动器使用NTFS格式检查所有目录的NTFS权限检查所有的网络共享使用屏幕保护备份 怎样检测系统入侵 Ctrl Alt Del 任务管理器 Netstat FPORT 查看系统进程自启动的程序查看网络连接查找后门程序监控端口防火墙 查看网络连接 命令格式 Netstat a e n o s a表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口 e表示显示以太网发送和接收的字节数 数据包数等 n表示只以数字形式显示所有活动的TCP连接的地址和端口号 o表示显示活动的TCP连接并包括每个连接的进程ID PID s表示按协议显示各种连接的统计信息 包括端口号 通过检查系统上开启的一些 奇怪 的端口 从而发现木马的踪迹 打开的端口 C netstat anActiveConnectionsProtoLocalAddressForeignAddressState TCP0 0 0 0 58000 0 0 0 0LISTENINGTCP0 0 0 0 59000 0 0 0 0LISTENINGTCP127 0 0 1 439580 0 0 0 0LISTENINGTCP202 112 100 20 1390 0 0 0 0LISTENINGTCP202 112 100 20 1667155 186 170 0 445SYN SENTTCP202 112 100 20 1673155 186 170 6 445SYN SENT TCP202 112 100 20 167463 226 170 0 445SYN SENTTCP202 112 100 20 168063 226 170 3 445SYN SENT TCP202 112 100 20 218163 226 170 255 445SYN SENTTCP202 112 100 20 273861 182 210 26 83ESTABLISHEDTCP202 112 100 20 4899166 111 232 177 3332ESTABLISHEDTCP202 112 100 20 4948166 111 232 177 139TIME WAITTCPx x x x 4505210 159 30 250 6667CLOSE WAIT TCPx x x x 4811198 65 147 245 6667CLOSE WAITTCPx x x x 4887149 156 91 2 6667CLOSE WAITTCPx x x x 4976198 65 147 245 6667CLOSE WAIT 查找后门程序 1 Fport是查看系统进程与端口关联的命令 Fport 常见木马和对应端口 查找后门程序 2 C dir O Dwinnt system32C winnt system32的目录 2003 03 0702 23745 984Dvldr32 exe2003 03 0707 35AdCache2003 03 0818 111 880New sys2003 03 0819 5361 440PSEXESVC EXE2003 03 0822 38684 562inst exe2003 03 0822 3836 352psexec exe2003 03 0900 1916 384Perflib Perfdata 224 dat2003 03 0900 21 2003 03 0900 21 1614个文件215 110 979字节31个目录544 190 464可用字节c dirwinnt fonts O D 2000 01 1012 00118 752webdings ttf2002 11 0615 4532 768VNCHooks dll2002 11 0615 4557 344omnithread rt dll2002 11 0617 07212 992explorer exe2002 11 0617 5829 336 GLH0003 TMP2002 11 0617 5829 336rundll32 exe151个文件418 525 005字节0个目录544 189 440可用字节 网络安全漏洞扫描器 扫描器是自动检测远程或本地主机安全性弱点的程序 真正的扫描器是TCP端口扫描器 这种程序可以选通TCP IP端口和服务 如telnet或FTP 并记录目标的回答 通过这种方法 可以收集到关于目标主机的有用信息 扫描器的主要属性有 寻找一台机器或一个网络一旦发现一台机器 可以找出机器正在运行的服务测试具有漏洞的那些服务 漏洞扫描工具 XScan 扫描结果发现绝大多数管理员帐号口令为空 漏洞扫描工具 XScan 漏洞扫描工具 XScan 端口扫描工具 SuperScan 防火墙 Firewall 防火墙的基本设计目标对于一个网络来说 所有通过 内部 和 外部 的网络流量都要经过防火墙通过一些安全策略 来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制 确定哪些服务可以被访问方向