13三月2024信息安全與職業(yè)道德培訓課件8.1信息系統(tǒng)安全概述8.1.1信息系統(tǒng)安全的基本概念

8.1.2信息安全要求

信息系統(tǒng)安全概述 計算機網絡安全的概念計算機網絡系統(tǒng)面臨的威脅計算機網絡系統(tǒng)的脆弱性計算機網絡安全技術的研究內容和發(fā)展過程計算機網絡安全的概念 計算機網絡安全的定義從狹義的保護角度來看，計算機網絡安全是指計算機及其網絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義來說，凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。計算機網絡安全的重要性成為敵對勢力、不法分子的攻擊目標。存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)?？涨芭蛎洠魏坞[含的缺陷、失誤都能造成巨大損失。計算機系統(tǒng)使用的場所正在轉向工業(yè)、農業(yè)、野外、天空、海上、宇宙空間、核輻射環(huán)境，……，這些環(huán)境都比機房惡劣，出錯率和故障的增多必將導致可靠性和安全性的降低。隨著計算機系統(tǒng)的廣泛應用，操作人員、編程人員和系統(tǒng)分析人員的失誤或缺乏經驗都會造成系統(tǒng)的安全功能不足。計算機網絡安全問題涉及許多學科領域，是一個非常復雜的綜合問題，隨著系統(tǒng)應用環(huán)境的變化而不斷變化。從認識論的高度看，人們往往首先關注對系統(tǒng)的需要、功能，然后才被動地從現(xiàn)象注意系統(tǒng)應用的安全問題。計算機網絡系統(tǒng)面臨的威脅 計算網絡系統(tǒng)面臨的威脅安全威脅的來源 威脅的具體表現(xiàn)形式計算網絡系統(tǒng)面臨的威脅1．對硬件實體的威脅和攻擊2．對信息的威脅和攻擊3．同時攻擊軟、硬件系統(tǒng)4．計算機犯罪安全威脅的來源天災人禍系統(tǒng)本身的原因威脅的具體表現(xiàn)形式偽裝非法連接非授權訪問拒絕服務抵賴信息泄露業(yè)務流分析改動信息流篡改或破壞數(shù)據推斷或演繹信息非法篡改程序計算機網絡系統(tǒng)的脆弱性操作系統(tǒng)安全的脆弱性網絡安全的脆弱性數(shù)據庫管理系統(tǒng)安全的脆弱性防火墻的局限性其他方面的原因操作系統(tǒng)安全的脆弱性操作系統(tǒng)結構體制本身的缺陷。在網絡上傳輸文件，加載與安裝程序，包括可執(zhí)行的文件。在于創(chuàng)建進程，甚至可以在網絡的節(jié)點上進行遠程的創(chuàng)建和激活。操作系統(tǒng)中有一些守護進程，實際上是一些系統(tǒng)進程，它們總是在等待一些條件的出現(xiàn)。操作系統(tǒng)都提供遠程過程調用（RPC）服務，而提供的安全驗證功能卻很有限。操作系統(tǒng)提供網絡文件系統(tǒng)（NFS）服務，NFS系統(tǒng)是一個基于RPC的網絡文件系統(tǒng)。操作系統(tǒng)的debug和wizard功能。操作系統(tǒng)安全的脆弱性操作系統(tǒng)安排的無口令入口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也可能被黑客利用。操作系統(tǒng)還有隱蔽的信道，存在著潛在的危險。盡管操作系統(tǒng)的缺陷可以通過版本的不斷升級來克服，但系統(tǒng)的某一個安全漏洞就會使系統(tǒng)的所有安全控制毫無價值。操作系統(tǒng)安全的脆弱性網絡安全的脆弱性 使用TCP/IP協(xié)議的網絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在著許多漏洞。同時，網絡的普及，使信息共享達到了一個新的層次，信息被暴露的機會大大增多。特別是Internet網絡就是一個不設防的開放大系統(tǒng)。另外，數(shù)據處理的可訪問性和資源共享的目的性之間是一對矛盾。它造成了計算機系統(tǒng)保密性難。數(shù)據庫管理系統(tǒng)安全的脆弱性當前，大量的信息存儲在各種各樣的數(shù)據庫中，然而，這些數(shù)據庫系統(tǒng)在安全方面的考慮卻很少。而且，數(shù)據庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。例如，DBMS的安全級別是B2級，那么操作系統(tǒng)的安全級別也應該是B2級，但實踐中往往不是這樣做的。防火墻的局限性盡管利用防火墻可以保護安全網免受外部黑客的攻擊，但它只是能夠提高網絡的安全性，不可能保證網絡絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經過防火墻的攻擊。另外，防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅。其他方面的原因 計算機領域中重大技術進步都對安全性構成新的威脅。安全性的地位總是列在計算機網絡系統(tǒng)總體設計規(guī)劃的最后面，勿略了網絡系統(tǒng)的安全。易受環(huán)境和災害的影響。電子技術基礎薄弱，抵抗外部環(huán)境較弱。剩磁效應和電磁泄漏的不可避免。其他有害程序程序后門

特洛伊木馬

“細菌”程序

蠕蟲

8.2信息安全技術概述8.2.1應用系統(tǒng)安全8.2.2數(shù)據庫系統(tǒng)安全8.2.3操作系統(tǒng)安全8.2.4硬件層安全8.3.5計算機網絡安全

計算機網絡安全技術的研究內容 （1）實體硬件安全（2）軟件系統(tǒng)安全（3）網絡安全防護（4）數(shù)據信息安全（5）病毒防治技術（6）網絡站點安全1、應用系統(tǒng)安全計算機系統(tǒng)不受惡意程序的攻擊，避免因編程不當引起的漏洞，采用開發(fā)安全的應用系統(tǒng)的編程方法以及安全軟件工程技術。2、數(shù)據庫系統(tǒng)安全數(shù)據庫的安全性是指數(shù)據庫系統(tǒng)不受到惡意侵害，或未經授權的使用與修改。一般數(shù)據庫的破壞來自下列幾個方面： （1）系統(tǒng)故障； （2）同時使用一個數(shù)據庫所引起的數(shù)據的不一致； （3）人為的破壞，例如，數(shù)據被黑客非法訪問，甚或破壞。比如銀行數(shù)據庫內存放儲戶的存款金額與密碼，如果被非法使用，后果不堪設想。3、操作系統(tǒng)安全操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎，如果操作系統(tǒng)安全得不到保障，就不可能保障數(shù)據庫安全、網絡安全和應用軟件安全。威脅操作系統(tǒng)安全的主要問題：（1）黑客等惡意用戶的破壞使系統(tǒng)不能正常運行或破壞系統(tǒng)的某些功能（2）在多用戶操作系統(tǒng)中，各用戶程序執(zhí)行過程中相互間會產生不良影響，用戶之間會相互干擾。4、硬件層安全計算機硬件安全主要指防止硬件被非法使用、防復制、電磁輻射等。5、計算機網絡安全8.3網絡安全技術8.3.1黑客及常見的黑客攻擊8.3.2防火墻技術黑客的攻擊包括主動攻擊和被動攻擊主動攻擊首先截獲通訊中的信息假冒、重放、篡改消息和拒絕服務被動攻擊是在未經用戶同意和認可的情況下將信息或數(shù)據文件泄露給系統(tǒng)攻擊者，但不對數(shù)據信息做任何修改8.3.1黑客及常見的黑客攻擊8.3.2防火墻技術防火墻是設置在可信網絡(TrustedNetwork)和不可信任的外界之間的一道屏障。常見的防火墻技術有三種1、包(分組)過濾技術位于內部網絡和外部網絡的邊界上，是內外網絡通信的唯一出入點，2、代理技術代理服務是運行在防火墻主機上的專門的應用程序或者服務器程序。3、狀態(tài)檢測技術將屬于同一連接的所有包作為一個整體的數(shù)據流看待，對接收到的數(shù)據包進行分析，判斷其是否屬于當前合法連接，從而進行動態(tài)的過濾。過濾進、出網絡的數(shù)據管理進、出網絡的訪問行為封堵某些禁止的業(yè)務記錄通過防火墻的信息內容和活動對網絡攻擊進行檢測和告警防火墻的功能：8.3.2防火墻技術8.4計算機病毒及其防治8.4.1計算機病毒的定義8.4.2計算機病毒的特點8.4.3計算機病毒的預防8.4.1計算機病毒的定義計算機病毒是隱藏在計算機系統(tǒng)中，利用系統(tǒng)資源進行繁殖并生存．能夠影響計算機系統(tǒng)的正常運行，并可通過系統(tǒng)資源共享的途徑進行傳染的程序計算機病毒概述

計算機病毒的定義

計算機病毒的發(fā)展歷史

計算機病毒的分類

計算機病毒的特點

計算機病毒的隱藏之處和入侵途徑

現(xiàn)代計算機病毒的流行特征

計算機病毒的破壞行為

計算機病毒的作用機制返回本章首頁計算機病毒的定義“計算機病毒”最早是由美國計算機病毒研究專家F.Cohen博士提出的?！坝嬎銠C病毒”有很多種定義，國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。返回本節(jié)計算機病毒的發(fā)展歷史1．計算機病毒發(fā)展簡史

世界上第一例被證實的計算機病毒是在1983年，出現(xiàn)了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設計思想；1984年，美國人Thompson開發(fā)出了針對UNIX操作系統(tǒng)的病毒程序。1988年11月2日晚，美國康爾大學研究生羅特·莫里斯將計算機病毒蠕蟲投放到網絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯(lián)網的計算機都受到影響，直接經濟損失近億美元。2．計算機病毒在中國的發(fā)展情況

在我國，80年代末，有關計算機病毒問題的研究和防范已成為計算機安全方面的重大課題。1982年“黑色星期五”病毒侵入我國；1985年在國內發(fā)現(xiàn)更為危險的“病毒生產機”，生存能力和破壞能力極強。這類病毒有1537、CLME等。進入90年代，計算機病毒在國內的泛濫更為嚴重。CIH病毒是首例攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可造成網絡的癱瘓。計算機病毒的發(fā)展歷史3．計算機病毒發(fā)展的10個階段（1）DOS引導階段（2）DOS可執(zhí)行文件階段（3）混合型階段（4）伴隨型階段（5）多形型階段（6）生成器，變體機階段（7）網絡，蠕蟲階段（8）Windows階段（9）宏病毒階段（10）Internet階段返回本節(jié)計算機病毒的分類按寄生方式和傳染方式引導型、文件型、混合型和宏病毒按連接方式源碼型、入侵型、操作系統(tǒng)型和外殼型病毒按破壞性良性病毒和惡性病毒網絡病毒返回本節(jié)典型例子：

Michelangelo是一種引導區(qū)病毒。它會感染引導區(qū)內的磁盤及硬盤內的MBR。當此電腦病毒常駐內存時，便會感染所有讀取中及沒有寫入保護的磁盤。除此以外，Michelangelo會于3月6日當天刪除受感染電腦內的所有文件。8.4.2計算機病毒的特點傳播性隱藏性觸發(fā)性破壞性計算機病毒的特點 （1）刻意編寫，人為破壞

（2）自我復制能力

（3）奪取系統(tǒng)控制權

（4）隱蔽性

（5）潛伏性

（6）不可預見性

返回本節(jié)計算機病毒的隱藏之處和入侵途徑1．病毒的隱藏之處（1）可執(zhí)行文件。（2）引導扇區(qū)。（3）表格和文檔。（4）Java小程序和ActiveX控件。2．病毒的入侵途徑

（1）傳統(tǒng)方法（2）Internet返回本節(jié)現(xiàn)代計算機病毒的流行特征1．攻擊對象趨于混合型2．反跟蹤技術3．增強隱蔽性4．加密技術處理5．病毒繁衍不同變種計算機病毒的破壞行為 （1）攻擊系統(tǒng)數(shù)據區(qū)（2）攻擊文件（3）攻擊內存（4）干擾系統(tǒng)運行，使運行速度下降（5）干擾鍵盤、喇叭或屏幕（6）攻擊CMOS（7）干擾打印機（8）網絡病毒破壞網絡系統(tǒng)返回本節(jié)（a）引導型病毒（b）文件型病毒病毒的傳播、破壞過程返回本節(jié)特洛伊/特洛伊木馬

特洛伊或特洛伊木馬是一個看似正當?shù)某绦?，但事實上當?zhí)行時會進行一些惡性及不正當?shù)幕顒印Ｌ芈逡量捎米骱诳凸ぞ呷ジ`取用戶的密碼資料或破壞硬盤內的程序或數(shù)據。與電腦病毒的分別是特洛伊不會復制自己。它的傳播技倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內，例如通過電子郵件上的游戲附件等

木馬它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。植入被種者電腦的是“服務器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入電腦系統(tǒng)，安全和個人隱私也就全無保障了！“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件木馬病毒的種類1.網絡游戲木馬網絡游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進程API函數(shù)等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發(fā)送電子郵件或向遠程腳本程序提交的方式發(fā)送給木馬作者。2.網銀木馬網銀木馬是針對網上交易系統(tǒng)編寫的木馬病毒，其目的是盜取用戶的卡號、密碼，甚至安全證書。3.即時通訊軟件木馬發(fā)送消息型。通過即時通訊軟件自動發(fā)送含有惡意網址的消息，目的在于讓收到消息的用戶點擊網址中毒，用戶中毒后又會向更多好友發(fā)送病毒消息。

盜號型。主要目標在于即時通訊軟件的登錄帳號和密碼。傳播自身型。2005年初，“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之后，MSN推出新版本，禁止用戶傳送可執(zhí)行文件。4.網頁點擊類木馬網頁點擊類木馬會惡意模擬用戶點擊廣告等動作，在短時間內可以產生數(shù)以萬計的點擊量。5.下載類木馬從網絡上下載其他病毒程序或安裝廣告軟件6.代理類木馬用戶感染代理類木馬后，會在本機開啟HTTP、SOCKS等代理服務功能。黑客把受感染計算機作為跳板，以被感染用戶的身份進行黑客活動，達到隱藏自己的目的。文件型電腦病毒

文件型電腦病毒，又稱寄生病毒，通常感染執(zhí)行文件(.EXE)，但是也有些會感染其它可執(zhí)行文件，如DLL,SCR等等...每次執(zhí)行受感染的文件時，電腦病毒便會發(fā)作：電腦病毒會將自己復制到其他可執(zhí)行文件，并且繼續(xù)執(zhí)行原有的程序，以免被用戶所察覺。

典型例子：

CIH會感染Windows95/98的.EXE文件，并在每月的26號發(fā)作日進行嚴重破壞。于每月的26號當日，此電腦病毒會試圖把一些隨機資料覆寫在系統(tǒng)的硬盤，令該硬盤無法讀取原有資料。此外，這病毒又會試圖破壞FlashBIOS內的資料。復合型電腦病毒

復合型電腦病毒具有引導區(qū)病毒和文件型病毒的雙重特點。宏病毒宏病毒的分類宏病毒的行為和特征宏病毒的特點宏病毒的防治和清除方法返回本章首頁典型例子：

JulyKiller這個電腦病毒通過VB宏在MSWord97文件中傳播。一但打開染毒文件，這病毒首先感染共用范本(normal.dot)，從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時，這病毒就會刪除c:\的所有文件。

宏病毒的分類公（共）用宏病毒對所有的Word文檔有效，其觸發(fā)條件是在啟動或調用Word文檔時，自動觸發(fā)執(zhí)行。兩個顯著的特點：宏名稱是用“Auto”開頭，如AutoOpen、AutoClose、AutoCopy等。附加在Word共用模板上才有“公用”作用。私用宏病毒私用宏病毒與公用宏病毒的主要區(qū)別是：前者一般放在用戶自定義的Word模板中，僅與使用這種模板的Word文檔有關，即只有使用這個特定模板的文檔，該宏病毒才有效，而對使用其他模板的文檔，私用宏病毒一般不起作用。宏病毒的分類宏病毒的行為和特征宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒。可以在Windows、Windows95/98/NT、OS/2、MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒行為。宏病毒的主要特征如下：1）宏病毒會感染.DOC文檔和.DOT模板文件。2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。宏病毒的行為和特征宏病毒的特點1．傳播極快

2．制作、變種方便3．破壞可能性極大

宏病毒的防治和清除方法Word宏病毒，是近年來被人們談論得最多的一種計算機病毒。與那些用復雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。1．查看“可疑”的宏2．按使用習慣編制宏3．防備Autoxxxx宏4．小心使用外來的Word文檔5．使用選項“PrompttoSaveNormalTemplate”6．通過Shift鍵來禁止運行自動宏7．查看宏代碼并刪除8．使用DisableAutoMarcros宏9．設置Normal.dot的只讀屬性10．Normal.dot的密碼保護11．使用WordViewer或WordPad12．將文檔存儲為RTF格式網絡計算機病毒網絡計算機病毒的特點網絡對病毒的敏感性網絡計算機病毒的特點 在網絡環(huán)境中，病毒具有如下一些新的特點：（1）傳染方式多（2）傳染速度快（3）清除難度大（4）破壞性強（5）可激發(fā)性（6）潛在性8.4.3計算機病毒的預防安裝實時監(jiān)控的殺毒軟件或防毒卡，定期更新病毒庫。及時升級殺毒軟件，安裝操作系統(tǒng)的補丁程序。對重要數(shù)據進行備份。不要隨意打開來歷不明的電子郵件及附件。不要隨意打開陌生人傳來的頁面鏈接。不要隨意下載、執(zhí)行網絡上的應用程序。防止非法拷貝軟件。計算機病毒的防治計算機病毒的檢測計算機病毒的防治計算機感染病毒后的修復返回本章首頁計算機病毒的檢測1．異常情況判斷2．計算機病毒的檢查異常情況判斷計算機工作出現(xiàn)下列異常現(xiàn)象，可能感染了病毒：1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復。2）揚聲器發(fā)出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。4）硬盤不能引導系統(tǒng)。5）磁盤上的文件或程序丟失。6）磁盤讀/寫文件明顯變慢，訪問的時間加長。7）系統(tǒng)引導變慢或出現(xiàn)問題，有時出現(xiàn)“寫保護錯”提示。8）系統(tǒng)經常死機或出現(xiàn)異常的重啟動現(xiàn)象。9）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。10）打印機不能正常啟動。異常情況判斷計算機病毒的檢查（1）檢查磁盤主引導扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內存空間（6）根據特征查找返回本節(jié)計算機病毒的防治1．建立、健全法律和管理制度2．加強教育和宣傳3．采取更有效的技術措施4．網絡計算機病毒的防治采取更有效的技術措施（1）系統(tǒng)安全

（2）軟件過濾

（3）文件加密

（4）生產過程控制

（5）后備恢復

（6）其他有效措施

其他有效措施1）重要的磁盤和重要的帶后綴.COM和.EXE的文件賦予只讀功能，避免病毒寫到磁盤上或可執(zhí)行文件中。2）消滅傳染源。3）建立程序的特征值檔案。4）嚴格內存管理。5）嚴格中斷向量的管理。6）強化物理訪問控制措施7）一旦發(fā)現(xiàn)病毒蔓延，要采用可靠的殺毒軟件和請有經驗的專家處理，必要時需報告計算機安全監(jiān)察部門，特別要注意不要使其繼續(xù)擴散。防范計算機網絡病毒的一些措施盡量多用無盤工作站，少用有軟驅的工作站。要保證系統(tǒng)管理員有最高的訪問權限，避免過多地出現(xiàn)超級用戶。對非共享軟件，將其執(zhí)行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務器上，定期從服務器上拷貝到本地硬盤上進行重寫操作。接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到軟盤上，然后對其進行查毒，確認無毒后再拷貝到本地硬盤上。工作站采用防病毒芯片，這樣可防止引導型病毒。正確設置文件屬性，合理規(guī)范用戶的訪問權限。建立健全的網絡系統(tǒng)安全管理制度，嚴格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測。目前預防病毒最好的辦法就是在計算機中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網絡防病毒軟件，如LANProtect和LANClearforNetWare等。為解決網絡防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網與Internet，用戶與網絡之間進行隔離。計算機病毒的