第7大学计算机基础

1、大学计算机基础大学计算机基础第第7 7章章 计算机的信息安全维护计算机的信息安全维护大学计算机基础大学计算机基础目目 录录信息安全恶意代码密码技术防火墙技术入侵检测技术 教学目的：教学目的： 通过本章学习，使学生初步了解信息安全的概念，掌握信息安全相关知识。对计算机病毒的概念及病毒防治、密码学基础知识，防火墙的概念及相关技术、入侵检测概念及方法有较深理解。大学计算机基础大学计算机基础案例一 信息安全任务一 认识信息安全信息（information）：是经过加工（获取、推理、分析、计算、存储等）的特定形式数据，是物质运动规律的总和。信息的主要特点具有时效性、新知性和不确定性，信息是有价值的。信息

2、安全(Information Security)：“数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。大学计算机基础大学计算机基础信息安全的基本属性：完整性保密性可控性可用性不可否认性大学计算机基础大学计算机基础任务二 了解信息安全的目标大学计算机基础大学计算机基础l机密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。l完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。l可用性(Availa

3、bility)是指授权主体在需要信息时能及时得到服务的能力。大学计算机基础大学计算机基础任务三 了解信息安全的研究内容l信息安全基础理论研究 密码研究 安全理论研究l信息安全应用技术研究安全实现技术研究安全平台技术研究l信息安全管理研究安全标准安全策略安全测评大学计算机基础大学计算机基础恶意代码具有如下共同特征：恶意的目的本身是程序通过执行发生作用案例二 恶意代码大学计算机基础大学计算机基础计算机病毒有以下几个主要特征:传染性潜伏性隐蔽性多态性破坏性任务1 了解计算机病毒的特征大学计算机基础大学计算机基础 目前计算机病毒多达十几万种，可以分为以下几种基本类型:感染文件型病毒感染引导区型病毒宏病

4、毒恶作剧电子邮件变形病毒任务2 了解计算机病毒的分类大学计算机基础大学计算机基础1. 计算机病毒的结构 计算机病毒在结构上有着共同性，一般由三个模块构成： 引导模块 感染模块 破坏模块。任务3 了解计算机病毒的结构和原理大学计算机基础大学计算机基础(1)引导模块 引导模块是计算机病毒的控制中心，它的主要作用是当程序开始工作时将病毒程序从外存引入内存，使病毒的感染模块处于活动状态，以监视系统运行。当满足触发条件时，病毒会按照设计的程序去调用破坏模块发动攻击。大学计算机基础大学计算机基础（2）感染模块 感染模块用于实现计算机病毒的扩散功能。它寻找到感染目标后，判断目标是否已被感染，若目标未被感染则

5、完成感染工作。（3）破坏模块 破坏模块是计算机病毒的核心部分，它用于完成设计者的破坏初衷。首先判断程序运行过程中是否出现了满足病毒触发条件的情况，若满足则调用破坏程序的功能，比如删除程序、改写磁盘上的文件内容等。大学计算机基础大学计算机基础2. 计算机病毒的原理l引导型病毒工作过程 引导型病毒感染的不是文件，而是磁盘引导区，病毒将自身写入引导区，这样，只要磁盘被读写病毒就首先被读取入内存。接着系统执行引导区内容，首先被执行的是病毒的引导模块，引导模块将病毒的全部代码放到内存某段位置，并对这一段内存进行监控。然后，引导模块会修改系统参数，为病毒的传染和迫害设置触发条件。最后，病毒会执行系统的正常

6、引导过程，完成系统的引导工作，在内存中的病毒等待满足触发条件的时刻，一旦满足条件则完成其破坏功能。大学计算机基础大学计算机基础l文件型病毒工作过程 对于可执行文件，计算机病毒在传染的时候，首先要将病毒代码植入被传染的程序（也称宿主）中，并修改宿主程序的入口地址，使之分别指向病毒的感染模块和破坏模块，这样当执行宿主程序时，病毒代码会首先执行感染和破坏功能，完成后再将程序的执行权交给宿主程序，使用户觉察不到宿主程序中病毒的存在。大学计算机基础大学计算机基础大学计算机基础大学计算机基础l宏病毒工作过程 宏病毒是一类主要感染Word、Excel等办公软件的病毒，是利用了一些数据处理系统内置宏命令编程语

7、言的特性而形成的。这些数据处理系统内置宏编程语言，使得宏病毒有机可乘。病毒可以把特定的宏命令代码附加在指定文件上，当Word等文档被打开时，隐藏在宏命令中的病毒就被激活，用于监视文档的操作，一旦到达触发点就进行破坏。如果文档关闭，宏病毒随着宏命令退出，不会驻留内存。大学计算机基础大学计算机基础1.蠕虫病毒 蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。任务4 了解什么是蠕虫病毒大学计算机基础大学计算机基础蠕虫病毒和一般病毒的区别大学计算机基础大学计算机基础l蠕虫病毒的工作原理 蠕虫病毒程序一般由两部分组成，主程序和引导

8、程序。主程序一旦在计算机上建立就会搜索与当前计算机联网的其他计算机的信息。它能通过读取公共配置文件，并运行显示当前网上联机状态信息的系统使用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷，在这些远程计算机上建立引导程序，把蠕虫病毒程序传染给每台计算机。大学计算机基础大学计算机基础(1)蠕虫病毒的工作流程 蠕虫病毒的工作流程一般可分为漏洞扫描、攻击、现场处理、复制4个阶段。当蠕虫病毒扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫病毒进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括隐藏、信息搜素等。不同的蠕虫病毒采用的网络地址生成策略可能并不同，甚至随机生

9、成。各个步骤的繁简程度也不同，有的十分复杂，有的则很简单。大学计算机基础大学计算机基础（2）蠕虫病毒的工作方式 随机产生一个网络地址；判断对应此网络地址的计算机是否满足感染条件，如果满足则感染，否则持续循环扫描检测。（3）蠕虫病毒的行为特征 蠕虫的活动行为特征一般包括主动攻击，行踪隐蔽，利用系统、网络应用服务漏洞，造成网络拥塞，降低系统性能，产生安全隐患具有反复性和破坏性。大学计算机基础大学计算机基础（4）蠕虫病毒的传播方式 蠕虫病毒一般使用3种网络工具进行传播：电子邮件设备、远程执行工具、远程登录工具。蠕虫病毒可以将自身的副本以电子邮件的形式发送到网络的其他计算机上，在其他计算机上执行自身复

10、制，以用户身份进入远程系统，然后使用命令将自身从一台计算机复制到另外一台计算机。大学计算机基础大学计算机基础l木马的特征伪装性 木马程序的服务器端会被攻击者伪装成合法程序，比如伪装成常用的各种文件形式，或者捆绑在正常的程序中。这样诱惑用户执行它，木马代码就会在未经授权的情况下植入到系统中运行。隐蔽性 木马程序与病毒程序一样具有隐蔽性，一般在计算机启动时悄悄运行，不会暴露在系统进程管理器中，以躲避各种安全工具的检测，用户往往觉察不到。任务5 了解什么是特洛伊木马大学计算机基础大学计算机基础破坏性 通过对客户端程序的远程控制，攻击者可以对被控制的计算机中的文件进行删除、编辑等破坏操作。除此之外，木

11、马程序能够窥视被入侵计算机上的所有资料，不仅包括硬盘上的文件，还包括显示器中的画面，使用者在计算机操作过程中输入的密码等，盗取使用者信息进行违法活动。大学计算机基础大学计算机基础l木马的工作原理从过程上看木马入侵大致可分为以下6步：配置木马传播木马运行木马信息泄露建立连接远程控制大学计算机基础大学计算机基础l木马的分类 根据木马程序所执行的功能差异，大致可以将其分为以下几类。远程访问型窃取信息型修改系统配置型破坏型大学计算机基础大学计算机基础l计算机病毒的防治 计算机病毒的防治技术大致可分为3个方面：预防病毒、检测病毒和清除病毒。(1)预防病毒 预防病毒从技术和管理的角度出发，应采取如下措施。

12、配置好的计算机首先安装杀毒软件，对硬盘和软件进行查杀操作后再使用。经常对数据进行备份，避免病毒修改后无法恢复。不要赋予用户账户管理员权限，禁止别人使用计算机导致恶意软件被引入在没有安装杀毒软件的计算机上，尽可能避免使用U盘等移动硬盘。对于可疑的文件、网页和邮件，不要轻易打开。安装一套比较好的反病毒软件，进行实时监控，及时升级。任务6 恶意代码的防治大学计算机基础大学计算机基础（2）检测病毒常用的检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法大学计算机基础大学计算机基础（3）清除病毒 病毒的清除可以手工进行，也可以用专用的杀毒软件。对于引导型病毒，由于其攻击部位主要在Boot扇区、

13、主引导区或FAT表，这种情况要注意不同区的重写问题。对于文件型病毒，则必须仔细识别病毒特征代码，将特征代码从原有的程序中清除掉。大学计算机基础大学计算机基础l其他恶意代码的防治下面以特洛伊木马为例，介绍木马病毒的防治对策断开网络。检查进程，立即杀掉可疑的进程。检查注册表。在注册表及与系统启动有关的文件里查找木马启动文件，通常木马会在注册表的RUN、RUN SERVER、LOAD等项下加入键值，使其能在系统启动时自动加。在系统中找到木马文件，删除文件并删除注册表或系统启动文件中关于木马的信息。安全处理。更改用户名和密码，包括登录Network的用户名、密码、邮箱和QQ密码等，大学计算机基础大学计

14、算机基础任务任务1 1 了解密码学的基本概念了解密码学的基本概念1、密码体制基本组成一个密码系统，通常简称为密码体制，由五部分组成。明文空间（M）：全体明文的集合。密文空间（C）： 全体密文的集合。加密算法（E）：一组由M到C的加密变换解密算法（D）：一组由C到M的解密变换密钥空间（K）：全体密钥的集合，其中加密密钥用Ke表示，解密密钥用Kd表示。加密就是明文在密钥和加密算法的共同作用下生成密文的过程：C=E(M, Ke)。案例3 密码技术大学计算机基础大学计算机基础信息加密传输的过程如图所示：大学计算机基础大学计算机基础2、算法设计的公开原则 密码的设计应当遵循公开设计原则，但并不等于所有的

15、密码在应用时都要公开加密算法。大学计算机基础大学计算机基础 根据不同的分类标准，密码系统有以下3种常用的分类。1、根据密码使用方式分类 （1）对称密码体制 （2）非对称加密体制2、根据明文和密文的处理方式分类 （1）分组密码 （2）序列密码3、 根据加密算法是否变化分类 （1）固定算法密码体制 （2）变化算法密码体制任务2 了解密码系统的分类大学计算机基础大学计算机基础 如果能够根据对密文的分析确定明文或密钥，或能够根据明文-密文对确定密钥，则说这个密码是可破译的。破译过程称为密码分析。 攻击密码体制一般有两种方法：密码分析和穷举攻击。任务3 密码分析大学计算机基础大学计算机基础（1）密码分析

16、 对公开密钥加密体制的分析称之为数学分析攻击。密码分析者针对加解密算法的数学基础和某些密码学特征，通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种公开密钥加密体制的主要威胁。为了对抗这种数学分析攻击，应当选用具有坚实数学基础和足够复杂的加解密算法。（2）穷举攻击 穷举攻击指攻击者对一条密文尝试所有可能的密钥，直到把密文转化成为可读的有意义的明文。平均而言，获得成功至少要尝试所有可能密钥的一半。大学计算机基础大学计算机基础 经典密码采用的两种基本的技术，分别为代换技术和置换技术。 代换是将明文字母替换成其他字母、数字或符号的方法。 置换技术中，明文的字母保持相同，但顺序被打乱了。

17、任务4 经典密码学大学计算机基础大学计算机基础任务任务1 1 了解防火墙的概念了解防火墙的概念 防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件： （1）内部和外部之间的所有网络数据流必须经过防火墙。 （2）有符合安全政策的数据流才能通过防火墙。 （3）防火墙自身能抗攻击。案例4 防火墙技术大学计算机基础大学计算机基础防火墙示意图：大学计算机基础大学计算机基础1、根据防火墙形式分类软件防火墙硬件防火墙芯片级防火墙2、根据防火墙结构分类单一主机防火墙路由器集成式防火墙分布式防火墙任务2 了解防火墙的分类大学计算机基础大学计算机基础3、按照防火墙应用部署分类网络防

18、火墙、基于主机的防火墙大学计算机基础大学计算机基础1、包过滤防火墙任务3 防火墙技术分析包过滤防火墙实例大学计算机基础大学计算机基础包过滤防火墙的优缺点 包过滤类型的防火墙具有以下优点：性能优于其他防火墙，因为他执行的计算较少，并且容易用硬件方式实现。规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络。不需要对客户端计算机进行专门配置。 其缺点也很明显：对管理员的知识要求高。不能阻止应用层的攻击。只对某些类型的TCP/IP攻击比较敏感。不支持用户的连接认证。只有有限的日志功能。大学计算机基础大学计算机基础2、状态防火墙（1）状态防火墙的原理 防火墙的状态检

19、测就是事先确定好连接的合法过程模式，如果数据过程符合这个模式，则说明数据是合法正确的，否则就是非法数据，应该被丢弃。大学计算机基础大学计算机基础（2）状态防火墙的优缺点状态防火墙的优点是相对于包过滤防火墙而言的： 状态防火墙知晓连接的状态。 状态防火墙无须打开很大范围的端口以允许通信。 状态防火墙能比包过滤防火墙阻止更多类型的DoS攻击， 并具有更丰富的日志功能。状态防火墙的局限性在于： 配置防火墙需要管理员对网 络层和传输层的信息非常熟悉，配置起来会比较复杂；另外，由于状态防火墙依然检验的是网络层和传输层的信息而不涉及应用层，所以它仍然不能阻止应用层攻击，也不能执行任何类型的用户认证；另一个

20、主要的问题是，不是所有的协议都像TCP协议那样包含状态信息，例如，UDP和ICMP就不是有状态的，防火墙难以抽象出一个合适的“连接状态”表示这些协议发起的通信。大学计算机基础大学计算机基础3、应用网关防火墙应用网关防火墙的认证过程大学计算机基础大学计算机基础应用网关防火墙的优缺点 应用网关防火墙的优点主要在于它能够实现对用户的认 证，能够阻止绝大多数欺骗攻击。使用连接代理防火墙 能够监控连接上的所有数据，检测到应用层攻击，如不 良的URL、缓存溢出企图、未授权的访问和更多类型的 攻击，同时生成非常详细的日志。 应用网关防火墙的局限性在于它密集性的处理过程要求 大量的CPU资源和内存。另外，详尽

21、的日志能够也会占 用大量磁盘空间。应用网关防火墙通常不支持所有的应 用，基本上被限制在一种或少数几种连接类型上。最后， 应用网关防火墙有时要求在客户端安装厂商指定的软件， 用来处理认证过程和可能的连接重定向。大学计算机基础大学计算机基础 在防火墙体系结构中，堡垒主机是一个重要的角色。堡垒主机是物理内部网中唯一可供外界访问到的主机，它通常配置了严格的安全防范措施，堡垒主机为内部网和外部网之间的通信提供一个阻塞点，如果没有堡垒主机，网络之间将不能相互访问。 目前，防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。任务4 了解防火墙的体系结构大学计算机基础大学计算机基础

22、1、双重宿主主机体系结构大学计算机基础大学计算机基础2、屏蔽主机体系结构大学计算机基础大学计算机基础3、屏蔽子网体系结构大学计算机基础大学计算机基础任务任务1 1 入侵检测系统概述入侵检测系统概述 入侵检测系统由入侵检测的软件和硬件组合而成，是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。案例5 入侵检测系统入侵检测流程大学计算机基础大学计算机基础 根据系统数据来源的不同，可将入侵检测系统分成三类：基于主机的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统。任务2 了解入侵检测系统分类大学计算机基础大学计算机基础1、基于主

23、机的入侵检测系统 基于主机的入侵检测系统（Host-Based IDS，HIDS）通过监视与分析主机的审计记录，日志等信息来检测入侵。大学计算机基础大学计算机基础HIDS也有其弱点和无法检测的盲点： 首先，HIDS的检测效果取决于涉及数据或系统日志的准确性和完整性以及安全事件的定义，入侵者可以通过使用某些系统特权或调用比审计本身更低级的操作来逃避事件。 另外，HIDS并不能检测众多基于网络的攻击，例如域名欺骗、端口扫描等。同时，基于主机的入侵检测系统由于安装并运行于主机上，或多或少地会影响主机的性能。所以，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。大学计算机基础大学计算机基础2

24、、基于网络的入侵检测系统 基于网络的入侵检测系统（Network-Based IDS，NIDS）一般安装在需要保护的网段中，实时监测网段中传输的各种数据包，并对这些数据包进行分析和检测。大学计算机基础大学计算机基础 基于网络的入侵检测系统的优点在于，它的检测范围是整个网段，不仅仅是保护主机；它的防护和检测是实时的，一旦发生恶意访问或攻击，基于网络的入侵检测系统就可以随时发现；由于不需要在每台主机上安装基于网络的入侵检测系统，所以它不容易被攻击者发现；另外，NIDS不需要任何特殊的审计和登录机制，只要配备网络接口即可，不会影响其他数据源。大学计算机基础大学计算机基础 NIDS的主要不足之处在于只能检测经过本网络的活动，并且精确度较差，在交换式网络环境下难以配置，防入侵欺骗能力较差。而且无法知道主机内部的安全情况，主机内部普通用户的威胁也是网络信息系统安全的重要组成部分。另外，如果数据流进行了加密，NIDS也不能有效审查其内容，对主机上执行的命令也就难以检测。 因此，NIDS和HIDS在方法上是互补的，并且在抵制入侵的不同阶段发挥不同的作用。大学计算机基础大学计算机基础3、分布式入侵检测系统 分