1、2018年10月6日星期六,大学计算机基础,第6章 计算机信息安全,信息化社会面临着计算机系统安全问题带来的严重威胁。本章主要介绍计算机病毒及其防治、网络安全和信息安全技术等知识。,2,本章主要内容,3,6.1 计算机病毒及其防治,6.1.1 病毒基本知识 6.1.2 病毒防治技术,4,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,6.1.1 病毒基本知识,1. 计算机病毒的定义,5,6.1.1 病毒基本知识(续),2. 计算机病毒的起源与发展 计算机病毒来源于早期的特洛伊木马程序一些程序开发者利用这一思想开发
2、出一种外表上很有魅力而且显得很可靠的程序,但是这些程序在被用户使用一段时间或者执行一定次数后,便会产生故障,出现各种问题。,科学幻想起源说 恶作剧起源说,6,6.1.1 病毒基本知识(续),计算机病毒的发展历史可以划分为4个阶段。 第一代病毒(19861989)这一期间出现的病毒称为传统的病毒,是计算机病毒的萌芽和滋生时期。 第二代病毒(19891991)第二代病毒又称为混合型病毒,是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。 第三代病毒(19921995)第三代病毒称为“多态性”病毒或“自我变形”病毒。这个时期是病毒的成熟发展阶段。 第四代病毒(1996年至今)第四代病毒是20世纪9
3、0年代中后期产生的病毒。随着Internet的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制。,6.1.1 病毒基本知识(续),由各大病毒软件的2013上半年计算机病毒相关报告来看,计算机病毒主要以木马病毒为主,这是由于盗号、隐私信息贩售两大黑色产业链已形成规模。QQ、网游账密、个人隐私及企业机密都已成为黑客牟取暴利的主要渠道。与木马齐名的蠕虫病毒也有大幅增长的趋势。后门病毒复出,综合蠕虫、黑客功能于一体,其危害不容小觑,例如今年流行的Backdoor.Win32.Rbot.byb,会盗取FTP、Tftp 密码、及电子支付软件的密码,造成用户利益损失。,7,8,6.1.1 病毒基本知识
4、(续),3. 计算机病毒的分类,良性病毒:通常表现为显示信息、发出声响,能自我复制,但是不影响系统运行。 恶性病毒:是用户无法正常工作,甚至中止系统的运行。 极恶性病毒:造成死机、系统崩溃、删除程序或系统文件,破坏系统配置导致无法重启。 灾难性病毒:破坏分区表信息等,甚至格式化硬盘,9,6.1.1 病毒基本知识(续),引导区型病毒:主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的“主引导记录”。 文件型病毒:是文件感染者,也称为寄生病毒。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。 混合型病毒:具有引导区型病毒和文件型病毒两者的特点。 宏
5、病毒:宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。,10,6.1.1 病毒基本知识(续),源码型病毒:攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。 入侵型病毒:用自身代替正常程序中的部分模块或堆栈区。只攻击某些特定程序,针对性强。一般情况下难以被发现,清除起来较困难。 操作系统型病毒:用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性较大。 外壳型病毒:通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。,11,6.1
6、.1 病毒基本知识(续),4. 计算机病毒的特点 (1)传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。病毒可以附着在程序上,通过磁盘、光盘、计算机网络等载体进行传染,被传染的计算机又成为病毒的生存的环境及新传染源。 (2)潜伏性 计算机病毒的潜伏性是指计算机病毒具有依附其他媒体而寄生的能力。计算机病毒可能会长时间潜伏在计算机中,病毒的发作是由触发条件来确定的,在触发条件不满足时,系统没有异常症状。,12,6.1.1 病毒基本知识(续),(3)破坏性 计算机系统被计算机病毒感染后,一旦病毒发作条件满足时,就在计算机上表现出一定的症状。其破坏性包括:占用CPU时间,占用内存空
7、间,破坏数据和文件,干扰系统的正常运行。病毒破坏的严重程度取决于病毒制造者的目的和技术水平。 (4)变种性 某些病毒可以在传播过程中自动改变自己的形态,从而衍生出另一种不同于原版病毒的新病毒,这种新病毒称为病毒变种。有变形能力的病毒能更好地在传播过程中隐蔽自己,使之不易被反病毒程序发现及清除。有的病毒能产生几十种变种病毒。,13,6.1.1 病毒基本知识(续),5. 计算机病毒的表现形式 破坏硬盘的主引导扇区,使计算机无法启动。 破坏文件中的数据,删除文件。 对磁盘或磁盘特定扇区进行格式化,使磁盘中信息丢失。 产生垃圾文件,占据磁盘空间,使磁盘空间逐步减少。 占用CPU运行时间,使运行效率降低
8、。 破坏屏幕正常显示,破坏键盘输入程序,干扰用户操作。 破坏计算机网络中的资源,使网络系统瘫痪。 破坏系统设置或对系统信息加密,使用户系统紊乱。,14,6.1.1 病毒基本知识(续),6. 计算机病毒的发展趋势 病毒与黑客程序相结合 蠕虫病毒更加泛滥 病毒破坏性更大 制作病毒的方法更简单 病毒传播速度更快,传播渠道更多 病毒的实时检测更困难,15,6.1.2 病毒防治技术,1. 计算机病毒检测 人工检测 人工检测计算机是否感染病毒是保证系统安全必不可少的措施。利用某些实用工具软件(如DOS中的DEBUG、PC TOOLS、NORTON等)提供的有关功能,可以进行病毒的检测。这种方法的优点是可以
9、检测出一切病毒(包括未知的病毒),缺点是不易操作,容易出错,速度也比较慢。 自动检测 自动检测是使用专用的病毒诊断软件(包括防病毒卡)来判断一个系统或一张磁盘是否感染病毒的一种方法,具有操作方法、易于掌握、速度较快的优点,缺点是容易错报或漏报变种病毒和新病毒。 检测病毒最好的办法是人工检测和自动检测并用,先进行自动检测,而后进行人工检测,相互补充,可收到较好的效果。,16,6.1.2 病毒防治技术(续),2. 计算机病毒清除 人工处理方法 覆盖感染文件,删除被感染的文件,格式化磁盘。 反病毒软件 常用的反病毒软件有诺顿、KV3000、瑞星等。,17,6.1.2 病毒防治技术(续),3. 计算机
10、病毒的预防 机器要有专人管理负责。 对所有系统软盘、工具软盘、程序软盘要进行写保护。 对于外来的机器和软件要进行病毒检测。 不使用来历不明的软件,也不要使用非法解密或复制的软件。 谨慎地使用公用软件和共享软件。 除原始的系统盘外,尽量不用其他软盘去引导系统。 对游戏程序要严格控制。 定期检测软、硬盘上的系统区和文件并及时消除病毒。 系统中的数据盘和系统盘要定期进行备份。 网络上的用户,要遵守网络的使用规定,不能随意在网络上使用外来软件。 计算机病毒疫苗:计算机病毒疫苗是一种能够监视系统运行、可以发现某些病毒入侵时防止或禁止病毒入侵、当发现非法操作时及时警告用户或直接拒绝这种操作的不具备传染性的
11、可执行程序。,6.1.2 病毒防治技术(续),随着采用特征库的判别法疲于应付日渐迅猛的网络病毒大军。融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念的云安全服务,将成为与之抗衡的新型武器。识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。可以预见,随着云计算,云储存等一些列云技术的普及,云安全技术必将协同这些云技术一道,成为为用户系统信息安全保驾护航的有力屏障。,18,19,6.2 网络安全,6.2.1 黑客攻防 6.2.2 防火墙的应用,20,
12、6.2.1 黑客攻防,1. 什么是黑客 计算机黑客就是在别人不知情的情况下进入他人的电脑体系,并可能进而控制电脑的人。 黑客具备侵入计算机系统的基本技巧,如破解口令,开天窗,走后门,安放特洛伊木马等。 黑客攻击手段 获取口令 放置特洛伊木马程序 WWW的欺骗技术 电子邮件攻击,通过一个节点来攻击其他节点 网络监听 寻找系统漏洞 利用帐号进行攻击 偷取特权,21,6.2.1 黑客攻防(续),2. 黑客工具 所谓黑客工具一般是指由黑客或者恶意程序安装到您的计算机中,用来盗窃信息、引起系统故障和完全控制电脑的恶意程序。著名的黑客工具有:流光,x-can,明小子注入3.5等。 3. 黑客攻击的主要方式
13、 黑客对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分黑客攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下六类:,22,6.2.1 黑客攻防(续),(1)拒绝服务攻击 一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻
14、击、WinNuke攻击等。 (2)非授权访问尝试 是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。 (3)预探测攻击 在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。,23,6.2.1 黑客攻防(续),(4)可疑活动 是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。 (5)协议解码 协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要
15、进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。 (6)系统代理攻击 这种攻击通常是针对单个主机发起的,而并非整个网络,通过RealSecure系统代理可以对它们进行监视。,24,6.2.1 黑客攻防(续),4. 防止黑客攻击的策略 (1)数据加密 保护系统的数据、文件、口令和控制信息等。 (2) 身份验证 对用户身份的正确识别与检验。 (3) 建立完善的访问控制策略 设置入网访问权限、网络共享资源的访问权限、目录安全等级控制 。 (4) 审计 记录系统中和安全有关的事件,保留日志文件。 (5) 其他安全措施
16、安装具有实时检测、拦截和查找黑客攻击程序用的工具软件,做好系统的数据备份工作,及时安装系统的补丁程序。,25,6.2.1 黑客攻防(续),5. 利用计算机设置进行黑客防御的方法 (1)关闭“文件和打印共享” (2)禁用Guest账号和更改Administrator账号 (3)禁止建立空连接 (4)隐藏IP地址 (5)关闭不必要的端口 (6)安装必要的安全软件 (7)防范木马程序 (8)不要回陌生人的邮件 (9)做好IE的安全设置 (10)给自己的系统打上补丁,26,6.2.2 防火墙的应用,1. 防火墙简介 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间
17、的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,内部网中的计算机流入流出的所有网络通信和数据包均要经过此防火墙。 机制 第一种是除了非允许不可的都被禁止。安全不好用 第二种是除了非禁止不可都被允许。 好用不安全 第三种是综合体。在比较安全的前提下,提高效率,27,6.2.2 防火墙的应用(续),28,6.2.2 防火墙的应用(续),2. 防火墙的发展历程 第一阶
18、段:基于路由器的防火墙 第二阶段:用户化的防火墙工具套 第三阶段:建立在通用操作系统上的防火墙 第四阶段:具有安全操作系统的防火墙,29,6.2.2 防火墙的应用(续),3. 防火墙的作用 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警,30,6.2.2 防火墙的应用(续),4. 防火墙的主要类型 (1)包过滤防火墙 在网络层对数据包进行分析、选择和过滤。 (2)应用代理防火墙 网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。 (3)状态检测防火墙 在网络
19、层由一个检查引擎截获数据包,并抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝 。,31,6.2.2 防火墙的应用(续),包过滤防火墙,32,6.2.2 防火墙的应用(续),5. 防火墙的局限性 (1)不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以窃取数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。 (2)不能防范不通过它的连接 防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许
20、对防火墙后面的内部系统进行拨号访问,那么防火墙就没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁 防火墙是被动性的防御系统,用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁。 (4)防火墙不能防范病毒 防火墙一般不能消除网络上的病毒、木马、广告插件等。,33,6.2.2 防火墙的应用(续),6. 对于防火墙局限性的解决方法 其他的安全产品(IDS,安全审计等)与防火墙的联动。 防毒墙、反垃圾邮件墙联合使用。 防火墙部署的时候,最好不要只使用一家的防火墙,增加一道安全门。 三分技术,七分管理。,34,6.3 信息安全技术,信
21、息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。,35,6.3 信息安全技术(续),主要的信息安全威胁 窃取:非法用户通过数据窃听的手段获得敏感信息。 截取:非法用户首先获得信息
22、,再将此信息发送给真实接收者。 伪造:将伪造的信息发送给接收者。 篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者。 拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户获得服务。 行为否认:合法用户否认已经发生的行为。 非授权访问:未经系统授权而使用网络或计算机资源。 传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。,36,6.3 信息安全技术(续),安全问题及相应对策,37,6.3 信息安全技术,6.3.1 数字加密技术 6.3.2 数字签名技术 6.3.3 数字证书,38,6.3.1 数据加密技术,数据加密的目的是保护网内的数据、文件、口令和控制信息,
23、保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。 数据加密就是将被传输的数据转换成表面上杂乱无章的数据,合法的接收者通过逆变换可以恢复成原来的数据,而非法窃取者得到的是毫无意义的数据。 数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。 链路加密的目的是保护网络节点之间的链路信息安全。 节点加密的目的是对源节点到目的节点之间的传输链路提供保护。 端到端加密的目的是对源端用户到目的端用户的数据提供保护。,39,6.3.1 数据加密技术(续),明文-没有加密的原文 密文-原文经过加密加密密钥-一串数字 加密算法-一个数学函数密文通过
24、解密算法与解密密钥还原为明文加密技术加密算法密钥,40,6.3.1 数据加密技术(续),两种加密体系 对称密钥密码体系(密钥密码体系) 非对称密钥密码体系(公钥密钥体系),41,6.3.1 数据加密技术(续),对称密钥密码体系,加密密钥与解密密钥使用相同的算法,n个用户的网络,需要n(n1)/2个密钥,42,6.3.1 数据加密技术(续),非对称密钥密码体系,加密密钥与解密密钥使用不同的密钥,43,6.3.2 数字签名技术,概念 数字签名(Digital Signature)就是通过密码技术对电子文档形成的签名,类似现实生活中的手写签名,但它并不是手写签名的数字图像化,而是加密后得到的一串数据
25、。 目的 保证发送信息的真实性和完整性,解决网络通信中双方身份的确认,防止欺骗和抵赖行为的发生。 方法 采用非对称加密方式,发送方用自己的私钥来加密,接收方则利用发送方的公钥来解密。,44,6.3.2 数字签名技术(续),数字签名 接收方能够确认发送者的身份 发送方不能抵赖 接收方不能伪造报文,45,6.3.3 数字证书,概念 数字证书就是包含了用户的身份信息,由权威认证中心签发,主要用于数字签名的一个数据文件,相当于一个网上身份证,能够帮助网络上各终端用户表明自己的身份和识别对方身份。 数字证书的内容 数字证书的作用 用于实现数字签名和信息的保密传输 数字证书的管理,2014年08月30日 南昌,本章结束,
