ch11信息安全技术基础

第十一章信息技术导论（第3版）信息安全技术基础普通高等教育“十一五”国家级规划教材01信息安全基础基本概念信息安全是一个广泛而抽象的概念，主要包括信息的保密性、真实性、完整性、未授权复制和寄生系统的安全性五方面内容。不同领域不同方面对其概念的阐述有所不同。其定义分为两大类：一是具体信息系统的安全，信息系统安全是信息安全的一部分，信息安全具有更普遍、更广泛的含义；二是某一特定信息体系（如一个国家的金融系统、军事指挥系统等）的安全。信息安全是一个国家的信息化状态和信息技术体系不受外来的威胁与侵害，保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏。基本概念信息安全包括以下5个基本要素或特性。①保密性：信息不泄露给非授权的个人、实体，不供非授权使用。常用的保密技术有防帧收、防辐射、信息加密、物理保密等。②完整性：数据和资源未被改变，真实可靠。保障信息完整性的常用方法有协议、纠错编码、密码校验、数字签名、公证等。③可用性：授权用户可以根据需要随时访问所需信息。④可靠性：系统在规定的条件和时间内完成规定功能的概率。⑤不可抵赖性：也称为不可否认性，是指面向通信双方（人、实体或进程）的信息真实同一，且收发双方均不可抵赖。常用信息安全防御技术1.被动防御技术被动防御技术主要是在网络层（ip）设防，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的。这种技术手段只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络或计算机系统之外。其防护能力是静态的，设备的功能完全依靠人工配置实现。常用信息安全防御技术1.被动防御技术(1)防火墙技术防火墙是一种特殊网络互连设备，用来加强网络之间的访问控制安全，按照一定的安全策略，对两个或多个网络之间传输的数据包和连接方式进行检查，以决定是否允许网络之间的通信。(2)入侵检测技术入侵检测技术是一种能够及时发现并报告系统中非授权行为或异常现象的技术，用于检测计算机网络中违反安全策略的行为，从而保证计算机系统的安全。常用信息安全防御技术2.主动防御技术主动防御技术就是在增强和保证本地网络安全性的同时，及时发现正在进行的网络攻击，预测和识别未知攻击，并主动采取措施，使攻击者不能达到目的的技术手段。主动防御已成为网络安全防护技术的重要发展方向。(1)入侵防御技术入侵防御系统(IntrusionPreventionSystem,IPS)是一种新的计算机安全技术，采取积极主动的措施阻止外部的攻击，克服了入侵检测系统只能发现和报告己经发生的攻击行为，但不能主动抵御入侵的局限性。(2)虚拟专用网络技术虚拟专用网络(VirtualPrivateNetwork,VPN)是指在公用网络上建立专用网络的技术。网络安全1.网络安全威胁网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等学科的综合性学科。网络安全是指网络系统的软件、硬件及系统中的数据受到保护，不因偶然的或者恶意的原因遭受破坏、更改和泄露，系统能够在网络服务不中断的情况下连续可靠正常地运行。其实质就是计算机网络上的信息安全。网络安全威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有假冒合法用户、旁路控制、非授权访问、病毒与恶意攻击等，植入威胁主要有特洛伊木马、陷门。网络安全2.网络安全措施网络安全措施主要包括以下几方面。①物理措施：如保护网络关键设备(如交换机、大型计算机等)及安装不间断电源(UPS)等措施。②访问控制：对用户访问网络资源的权限进行严格的认证和控制。③数据加密：加密是保护数据安全的重要手段，加密的作用是保障信息被恶意截获后不能被解读。④防止计算机网络病毒：安装网络防病毒系统。⑤其他措施包括：信息过滤、容错、数据镜像、数据备份和审计等。02计算机病毒及防治计算机病毒的概念与特征计算机病毒是人为制造的、在计算机运行中对计算机系统或信息起破坏作用的程序。计算机病毒可以通过复制、修改自身来感染其他程序，破坏计算机功能或者毁坏数据，影响计算机的使用。计算机病毒主要具有以下特征。①非授权可执行性：计算机病毒具有正常程序的一切特性，隐蔽在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取系统控制权，先于正常程序执行。②广泛传染性：计算机病毒通过各种渠道，从已经被感染的文件扩散到其他文件，从已经被感染的计算机扩散到其他计算机，这就是病毒的传染性。传染性是衡量一种程序是否为病毒的首要条件。计算机病毒的概念与特征③潜伏性：计算机病毒的潜伏性是指病毒隐蔽在合法的文件中的寄生能力。可触发性：病毒的发作一般都有一个激发条件，即一个条件控制。⑤破坏性：病毒最根本的目的是攻击和破坏目标，干扰计算机系统正常运行或恶意的修改数据。⑥衍生性：计算机病毒可以被攻击者模仿，对计算机病毒的几个模块进行修改，使之成为一种不同于原病毒的计算机病毒。⑦攻击的主动性：为了表明自己的存在并达到某种目的计算机病毒迟早要发作。⑧隐蔽性：病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现，又是难以预料的。⑨寄生性：计算机病毒是一种可直接或间接执行的文件，是没有文件名的秘密程序，它不能以独立文件形式存在，必须附着在现有的软件或硬件资源上。计算机病毒的分类与常见症状01计算机病毒的分类按照传染方式，计算机病毒分为引导型病毒、文件型病毒和混合型病毒。①引导型病毒：嵌入磁盘主引导记录（主引导区病毒）或引导记录（引导区病毒）中，当系统引导时就进入内存，从而控制系统，进行传播和破坏活动。②文件型病毒：指病毒将自身附着在一般的可执行文件上，以感染文件。目前绝大多数的病毒都属于文件型病毒。③混合型病毒：一种既可以嵌入到磁盘引导区中又可以嵌入可执行程序中的病毒。计算机病毒的分类与常见症状01计算机病毒的分类按连接方式分，计算机病毒又可以分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。①源码病毒。源码病毒较为少见，亦难编写。它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。②入侵型病毒。入侵型病毒可用自身代替正常程序中的部分模块或堆栈区，因此只攻击某些特定程序，针对性强，一般情况下难以被发现，清除起来也比较困难。③操作系统病毒。操作系统病毒可以其自身部分加入或替代操作系统的部分功能。④外壳病毒。外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了外壳。计算机病毒的分类与常见症状02计算机中病毒的常见症状不同的病毒类变种和原病毒可能导致计算机感染病毒的症状不同。常见的症状有：操作系统无法正常启动，关闭计算机后自动重启；经常无缘无故地死机；运行速度明显变慢；能正常运行的软件，运行时却提示内存不足；打印机的通信发生异常，无法进行打印操作，或打印出来的是乱码；未使用软件，但自动出现读写操作。计算机病毒传播方式和途径计算机病毒主要通过文件复制或传送以及程序运行等方式进行。它的传播方式和传播途径主要分为移动媒介和网络传播。移动媒介包括以下几种。①光盘媒介：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。②U盘媒介：一般是U盘被插入一台已感染病毒的计算机上，而感染的计算机上的U盘病毒趁机植入U盘，而用户将该U盘再插入其他计算机，其他计算机就中毒了。③硬盘传播：带病毒的硬盘在本地或移动到其他地方使用或维修等，被病毒传染并将其扩散。计算机病毒传播方式和途径网络传播主要包括以下几种。①电子邮件。病毒制作者将病毒放在电子邮件的附件中寄给受害者，引诱受害者打开电子邮件附件而传染病毒。②蠕虫病毒。蠕虫病毒是一种常见的网络病毒，它利用网络进行复制和传播。③漏洞型病毒。即使你没有运行非法软件、没有打开邮件浏览，然而只要你连接到网络中，漏洞型病毒就会利用操作系统的漏洞进入你的计算机。④网页病毒。网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在HTML网页中的JavaApplet小应用程序、JavaScript脚本语言程序、ActiveX软件部件以及网络交互技术支持的可自动执行的代码程序而入侵计算机。计算机病毒传播方式和途径⑤局域网传播：组成局域网的每台计算机都能连接到其他计算机，如果发送方的数据感染了计算机病毒，接收方的计算机将自动被感染，因此有可能在很短的时间内感染整个网络中的计算机。⑥通过即时通信软件传播：由于即时通信软件的用户数量众多及软件本身的安全缺陷，使得病毒可以方便地获取传播目标，使其成为病毒的攻击目标。系统安全软件01杀毒软件前期的杀毒软件主要都是被动防御型的，即釆用传统的“特征码技术”，根据从病毒体中提取的该病毒特有的特征码，逐个与程序文件比较，从而识别出已知病毒。当下流行的杀毒软件均具有主动防御功能，就是根据程序的行为主动分析其是否有威胁。目前，市面上杀毒软件很多，国产的有360杀毒、瑞星、金山毒霸、腾讯电脑管家二合一杀毒等，国外的主要有诺顿、卡巴斯基等杀毒软件。系统安全软件02系统防御软件360安全卫士的使用360安全卫士是当前功能比较全面，用户普遍使用的上网安全软件。目前4.2亿中国网民中，首选安装360的已超过3亿。360安全卫士拥有查杀木马、清理插件、修复漏洞等计算机病毒防治功能，具备开机加速、垃圾清理等多种系统优化功能，可加快计算机运行速度，内含的360软件管家还可帮助用户轻松下载、升级和强力卸载计算机上的软件。下面介绍360安全卫士的主要功能。系统安全软件02系统防御软件360安全卫士的使用（1）电脑体验打开360安全卫士，如图11.1所示，在“电脑体检”选项卡中单击“立即体检”按钮，体验开始，如图1L2所示。通过“电脑体检”可以全面、快速地了解计算机情况，并且会提醒用户进行一些必要的维护，如木马查杀、垃圾清理、漏洞修复等。系统安全软件（2）木马查杀在“木马查杀”选项卡中可以运行木马检测，定期进行木马查杀。木马查杀按照系统区域位置划分，分为快速扫描、全盘完整扫描、自定义区域扫描三种扫描模式，如图11.3所示。单击“快速扫描”按钮，检测进程如图11.4所示，扫描结束后若出现疑似木马，可以选择删除或加入信任区，木马查杀可以有效保护各种系统的账户安全。系统安全软件（3）漏洞修复系统漏洞可以被不法分子或者黑客利用，通过植入木马、病毒等方式攻击或控制整个计算机，从而窃取计算机中的重要资料和信息，甚至破坏系统，因此应该及时修复系统漏洞，以保证系统安全。在“系统漏洞”选项卡中可对系统进行漏洞检测。（4）系统修复浏览器主页、“开始”菜单、桌面图标、文件夹、系统设置等出现异常时，可以使用系统修复功能，找出出现问题的原因并修复它。系统修复有“常规修复”和“电脑门诊”两项。单击“常规修复”，系统将进行扫描，出现如图11.5所示的结果，选择需要修复的项目后单击“立即修复”。系统安全软件(5)电脑清理“电脑清理”功能主要用于清除计算机中的垃圾文件。垃圾文件是指系统工作过程中产生的临时或剩余文件，虽然每个垃圾文件所占系统资源并不多，但是垃圾文件长时间堆积会使计算机的运行速度和上网速度变慢，浪费硬盘空间。在“电脑清理”选项卡中选择“清理垃圾”,然后勾选需要清理的选项，单击“开始扫描”按钮，扫描的结果如图11.6所示。如果不清楚哪些文件该清理，哪些文件不该清理，可单击“推荐选择”，让360安全卫士来选择。系统安全软件（6）优化加速优化加速是360安全卫士中能够帮助全面优化计算机系统并提升计算机速度的一个重要功能。切换到“优化加速”选项卡，软件会自动检测可优化项目，出现如图11.7所示的结果，单击“立即优化”按钮，即可进行优化。03网络攻击防范黑客概述“黑客”即hacker,原意是开辟、开创，意即黑客是开辟道路的人。黑客起源于20世纪70年代麻省理工学院的实验室，通常会去寻找网络中漏洞，但往往并不会盗取数据或者信息，也不会破坏计算机系统。他们以工作为生活的乐趣，以科学成就来评定自身价值，并且相信自由及共享主义。人们现在普遍观念中的“黑客”对应的英文应该是“cracker”，往往会通过计算机系统漏洞侵入系统。他们也具备广泛的计算机知识，但他们以破坏为目的。有人将其翻译成“骇客”。现在Hacker和Cracker5经混为一谈，人们通常将入侵计算机系统的人统称为黑客。黑客概述在信息技术飞速发展的今天，信息和网络已经成为社会发展的重要保证，许多涉及商业经济信息、股票证券、科研数据等重要信息，其中不乏敏感信息甚至国家机密，难免会引来世界各地的各种人为攻击(如信息泄露、信息窃取、数据删除与添加、计算机病毒等)。网络上黑客的攻击手段越来越丰富，令人防不胜防，对网络安全造成了很大的威胁。因此，有必要通过学习相关知识提高对黑客和网络攻击的认识、掌握防范以及应对网络攻击的措施。网络攻击常用方式01网络攻击的分类①探测类攻击：主要收集目标系统中各种与网络安全有关的信息，为下一步入侵提供帮助，主要包括扫描技术、体系结构刺探、系统信息服务收集等。②阻塞类攻击：企图通过强制占有信道资源、网络连接资源及存储空间资源，使服务器崩溃或资源耗尽，无法对外继续提供服务。拒绝服务攻击(DenialofService,DoS)是典型的阻塞类攻击。③控制类攻击：是一类试图获得对目标机器控制权的攻击，最常见的有3种：口令攻击、特洛伊木马攻击、缓冲区溢出攻击。网络攻击常用方式01网络攻击的分类④欺骗类攻击：包括IP欺骗和假消息攻击。IP欺骗是指通过冒充合法网络主机骗取敏感信息，假消息攻击主要通过配置或设置一些假信息来实施欺骗攻击。欺骗类攻击主要包括ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。⑤漏洞类攻击：系统硬件或软件存在某种形式的安全漏洞，这种脆弱性的存在将直接导致允许非法用户未经授权获得访问权或提高其访问权限。⑥破坏类攻击：指对目标计算机的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。网络攻击常用方式2.网络攻击的一般模型（1）收集信息收集信息是攻击前的侦查和准备阶段，攻击者在发动攻击前了解目标的网络结构，收集目标系统的各种信息。（2）锁定目标网络上有许多主机，攻击者的首要工作就是寻找并确定目标主机。（3）获取权限利用探测阶段提供的目标系统访问数据，分析目标系统存在的弱点和漏洞，利用系统配置错误和弱点选择合适的入侵方法。网络攻击常用方式2.网络攻击的一般模型（4）消除痕迹一般入侵成功后，为了能长时间地保留和巩固他对系统的控制权，且不被管理员发现，攻击者往往会企图掩盖他们的踪迹，清除入侵痕迹。（5）深入攻击消除入侵踪迹之后，攻击者开始下一步的行动，窃取主机上的各种敏感信息，如软件资料、客户名单、财务报表、信用卡账号等。攻击者甚至会在系统中植入特洛伊木马，利用这台已经被攻陷的主机去进行下一步的攻击（如继续入侵内部网络），或利用这台主机发动拒绝服务攻击(DenialofService,DoS),使网络瘫痪。网络攻击常用防范技术1.密码技术用户在网络的信道上相互通信，其主要危险是被非法窃听。例如，釆用搭线窃听，对线路上传输的信息进行截获；釆用电磁窃听，对用无线电传输的信息进行截获等。因此，对网络传输的报文进行数据加密，是一种很有效的反窃听手段。密码技术不仅可以保证信息的机密性，还可以保证信息的完整性和正确性，防止信息被窜改、伪造或假冒。计算机密码工作者沿用传统密码学的基本观念，即解密是加密的简单逆过程，有的可以简单地互相推导，通常加密和解密算法的操作都是在一组密钥控制下完成的，分别称为加密密钥和解密密钥。因此，无论加密密钥还是解密密钥都必须严格保密。网络攻击常用防范技术2.认证技术认证技术是一种防止对系统进行主动攻击的技术，如伪造、窜改的重要技术手段，主要包括主要数字签名技术、身份识别技术和信息的完整性校验技术等。一个安全的认证体制应满足以下要求：①消息的接收者能够检验和证实消息的合法性、真实性和完整性。②消息的发送者对所发的消息不能抵赖，有时要求消息的接收者不能否认所收到的消息。③除了合法消息发送者，其他人不能伪造合法的消息。网络攻击常用防范技术(1)数字签名现今大多数电子交易釆用两个密钥，即公开密钥PK(PublicKey)和秘密密钥SK(Secretekey)。发送数据时，将发送的数据釆用传统加密方法(如DES(DataEncryptionStandard)算法)加密得到的密文和用来解码的密