课件9第九章信息安全

1、大学计算机基础华南农业大学:信息学院主讲教师:郑婵Email : 第九章 信息安全与社会责任第九章 信息安全与社会责任本章主要介绍： 信息存在的安全威胁及常用的安全技术； 数据加密，运用逆向思维来完善计算机系统； 黑客与入侵检测、网络攻击、防火墙技术、计算机病毒等。信息安全：指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科相互交叉的综合性学科。 信息安全是以网络安全为基础，然而信息安全与网络安全又是有区别

2、的。 9.1 信息安全基础9.1.1 信息安全概述信息安全的四个特征： 安全是一个系统的概念 安全不仅是技术问题，更联系道德、管理和人们的行为模式 安全是相对的 没有永远攻不破的安全系统 安全是有代价的 安全和速度 安全是发展的、动态的 此消彼长、道高一尺魔高一丈9.1 信息安全基础信息面临的安全威胁：信息在公共通信网络上存储、共享和传输的过程中，会被非法窃听、截取、篡改或毁坏而导致不可估量的损失。威胁可以宏观地分为人为威胁和自然威胁。 自然威胁可能来自各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰以及设备自然老化等。 人为威胁又分为两种：一种是以操作失误为代表的无意威胁(偶然事故)，另一种

3、是以计算机犯罪为代表的有意威胁(恶意攻击) 。9.1 信息安全基础为保障网络信息系统的安全，限制对网络信息系统的访问和接触是重要措施之一。网络信息系统的安全也可采用“安全管理机制”和“访问控制技术”来保障。 制定安全管理制度和措施。 限制对网络系统的物理接触。限制对信息的在线访问。 设置用户权限。 9.1 信息安全基础9.1.2 信息安全技术访问控制技术 9.1 信息安全基础9.1.2 信息安全技术数据加密技术加密：用某种方法伪装消息并隐藏它的内容。解密：把密文转变成明文的过程 。密码系统：用于加密与解密的系统。密钥：从字面上解释，密钥是密秘信息的钥匙。具体来说，密钥是一组信息编码，对密码起特

4、殊控制作用，掌握了密钥就可以获得保密的信息。明文加密密文解密原来的明文加密秘钥解密秘钥加密技术在网络中应用一般采用两种类型：“对称式”加密法和“非对称式”加密法。 “对称式”加密就是加密和解密使用同一密钥，因此，通信双方必须获得这一密钥，并保持密钥的秘密。“非对称式”加密法的加密密钥和解密密钥是两个不同的密钥，一个称为“公开密钥”，另一个称为“私有密钥”。前者可以公诸于众，任何人都可以用“公开密钥”加密信息；后者归发布方所有，是不公开的，只有掌握“私有密钥”的一方才可以将众人用“公开密钥”加密的信息进行还原。 加密实例：例9.19.3 (自阅)9.1 信息安全基础计算机犯罪是指利用计算机作为犯

5、罪工具进行的犯罪活动，比如说利用计算机网络窃取国家机密、盗取他人信用卡密码、传播复制色情内容等。计算机犯罪作为一类特殊的犯罪，具有与传统犯罪相同的许多共性特征。犯罪的智能性；犯罪的隐蔽性；犯罪侵害目标较集中；犯罪的广地域性；犯罪的强危害性；诉讼的困难性。 9.1 信息安全基础9.1.3 计算机犯罪黑客 (Hacker)，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员，是那些检查(网络)系统完整性和安全性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。 现在，网络黑客一般指计算机网络的非法入侵者(以前叫“骇客”)。他们大都是程序员，对计算机技术和网络技术

6、非常精通，了解系统漏洞及其原因所在，喜欢非法闯入并以此作为一种智力挑战而沉醉其中，也有的是为了窃取机密的信息，盗用系统资源或出于报复心理而恶意毁坏某个信息系统等。9.2 网络安全9.2.1 黑客与黑客工具黑客工具，是指编写出来用于网络安全方面的软件，包括端口扫描、检测系统等（常见的有木马程序、病毒程序、炸弹程序等）；或为破解某些软件或系统的密码而编写的程序。 9.2 网络安全 “攻击”是指任何的非授权行为。 攻击的法律定义是“攻击仅仅发生在入侵行为完全完成而且入侵者已经在目标网络内”，但专家的观点则是“可能使一个网络受到破坏的所有行为都被认定为攻击”。 网络攻击可以分为被动攻击、主动攻击、物理

7、临近攻击、内部人员攻击、分发攻击。9.2 网络安全9.2.2 网络攻击网络攻击的一般步骤：信息收集探测分析系统的安全弱点 实施攻击 9.2 网络安全常用的网络攻击手段 利用扫描工具批量ping一个段的地址，判断存活主机 扫描所开放端口 判断主机的操作系统和决定攻击方式 尝试攻击，分为漏洞攻击、溢出攻击、密码破解攻击 进入系统，想办法提升权限 获得最高权限后进行破坏行为实施 9.2 网络安全网络攻击应对策略：预防为主，将重要的数据备份并时刻注意系统运行状况。 提高安全意识。 使用防毒、防黑等防火墙软件。 设置代理服务器，隐藏自已的IP地址。 将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒

8、软件保持在常驻状态，以彻底防毒。 9.2 网络安全防火墙作为网络安全的的一道门户，可以实现内部网(可信任网络)与外部不可信网络(如因特网)之间或是内部网不同网络安全区域的隔离与访问控制，保证网络系统及网络服务的可用性。9.2 网络安全9.2.3 防火墙技术 防火墙是一种综合性的技术，涉及到计算机网络技术，密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面。 防火墙可以是一个独立的系统，也可以在一个进行网络互联的路由器上实现防火墙。防火墙可以通过软件实现，也可以由专门的设备实现。 9.2 网络安全防火墙的分类（原理上分为如下两种）： 包过滤技术书上图9.6

9、代理服务器技术 9.2 网络安全防火墙产品： 软件防火墙如360防火墙、瑞星防火墙等防火墙软件。 硬件防火墙将防火墙软件和硬件高度集成，作为网络设备来使用，无需安装管理软件，通过Web界面来管理。 9.2 网络安全9.3 计算机病毒与预防9.3.1 计算机病毒 计算机病毒是由人编写的一种小程序，能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，影响计算机的使用。就象生物病毒一样，计算机病毒有独特的复制能力，它把自身附着在各种类型的文件上，随同文件一起蔓延。 计算机病毒的特点：传染性是计算机病毒的基本特征。 传染性 寄生性 隐蔽性 触发性 破坏性9.3 计算机病毒与预防根

10、据中国大陆地区2007年电脑病毒疫情和互联网安全报告，2007年瑞星公司共截获新病毒样本917839个 。2007年病毒情况分析 了解9.3 计算机病毒与预防2008年病毒情况2008年病毒情况分析 了解9.3 计算机病毒与预防2008年病毒、木马的特点分析 2008年是病毒、木马异常活跃的一年。从病毒传播的角度看，2008年大量的病毒通过网页挂马方式进行传播，主要利用的是realplay，adobe flash和IE漏洞进行传播。从病毒的运作模式看，2008年大量病毒采用的方式是下载器对抗安全软件，关闭安全软件然后下载大量盗号木马到用户电脑-盗取用户网游的账号发送到黑客的数据库。从病毒的危害

11、来看，2008年绝大多数流行的病毒都为网游盗号类木马，其次是远程控制类木马。 1、病毒制造进入“机械化”时代 这种“机械化”很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。“病毒制造机”是网上流行的一种制造病毒的工具，病毒作者不需要任何专业技术就可以手工制造生成病毒。病毒傻瓜式制作导致病毒进入“机械化”时代。 了解9.3 计算机病毒与预防2008年病毒、木马的特点分析 2、病毒制造的模块化、专业化特征明显 在专业化方面，病毒制造业被自然的分割成以下几个环节：病毒制作者、病毒批发商、病毒传播者、“箱子”批发商、“信封”批发商、“信封”零售终端。每个环节各司其职，专业化趋势明显。 病毒作者

12、包括有“资深程序员”，甚至可能有逆向工程师。病毒批发商购买病毒源码，并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去，以盗取有价值的QQ号码、游戏帐号、装备等。“箱子”批发商通过出租或者销售“箱子”(即可以盗取虚拟资产的木马，可以将盗取的号码收集起来)牟利，他们往往拥有自己的木马或者木马生成器。“信封”批发商通过购买或者租用“箱子”，通过出售收获的信封牟利。“信封”零售终端负责过滤“信封”中收集到的有价值的虚拟资产并进行销售。了解9.3 计算机病毒与预防2008年病毒、木马的特点分析 3、病毒“运营”模式互联网化 病毒团伙经过2008一年的运营已经完全转向互联网，攻击的方式一般为

13、：通过网站入侵写入恶意攻击代码利用成为新型网络病毒传播的主要方式，网民访问带有挂马代码的正常网站时，会受到漏洞攻击而不知不觉中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益，进行销售分成)。 此外，病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广，黑客网站也是推广的重要渠道，此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化，销售的典型渠道包括：公开拍卖网站，比如淘宝、易趣等。还有通过QQ直销，或者通过专门网站进行销售。 了解9.3 计算机病毒与预防2008年病毒、木马的特点分析 4、病毒团伙对于“新”漏洞的

14、利用更加迅速IE 0day漏洞被利用成2008年最大安全事件。2008年底出现的IE0day漏洞，挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。此外，2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因，存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中，通过漏洞下载木马病毒入侵用户系统，进行远程控制、盗窃用户帐号和密码等，从而使用户遭受损失。5、 病毒与安全软件的对抗日益激烈在病毒产业链分工中，下载器扮演了黑社会的角色，它结束并破坏杀

15、毒软件，穿透还原软件，保护盗号木马顺利下载到用户机器上，通过保护费和下载量分脏。下载者在2008年充当了急先锋，始终跑在对抗杀毒软件的第一线，出尽风头且获得丰厚回报。 病毒与杀毒软件对抗特征主要表现为对抗频率变快，周期变短，各个病毒的新版本更新非常快，一两天甚至几个小时更新一次来对抗杀毒软件。了解9.3 计算机病毒与预防2009年病毒、木马的特点分析及趋势预测 1、0Day漏洞将与日俱增2008年安全界关注的最多的是0Day 漏洞，这些漏洞由于处在系统更新的空白期，使得所有的电脑都处于无补丁的可补的危险状态。黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘，2

16、009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞)，病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。2、网页挂马现象日益严峻网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成网络财产的损失。2008年，网站被挂马现象屡见不鲜，大到一些门户网站，小到某地方电视台的网站，都曾遭遇挂马问题。伴随着互联网的日益普及，网页挂马已经成为木马、病毒传播的主要途径之一的今天，金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻，更多的网站

17、将遭遇木马攻击。了解9.3 计算机病毒与预防2009年病毒、木马的特点分析及趋势预测 3、病毒与反病毒厂商对抗将加剧随着反病毒厂商对于安全软件自保护能力的提升，病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件，隐藏和局部寄生系统文件的弱对抗性病毒将会大量增加。4、新平台上的尝试病毒、木马进入新经济时代后，肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在2009年，我们可以预估vista系统，windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传播手段。 5

18、、经济利益驱使，病毒魔爪伸向网游帐号 2008年上半年，网游盗号类病毒疫情大幅上升，此类病毒占据了病毒排行榜前四，此类病毒无一例外的把目标对准目前流行的网络游戏，盗取目标除了帐号密码外，还包括游戏分值、虚拟装备、游戏币、游戏点卡、仓库密码、角色等级、金钱数量、所在区服、计算机名称等所有的信息资料。包括“征途”“天堂”“魔兽世界”“完美世界Online”“剑侠情缘IIOnline”等几乎所有的流行网游都被病毒盯上，严重威胁广大网络游戏玩家的帐号、密码安全。了解9.3 计算机病毒与预防在计算机病毒的生存期内，典型的病毒一般经历潜伏阶段、繁殖阶段、触发阶段、执行阶段。病毒类型的分类主要有以下几种。

19、寄生病毒：将自己附加到可执行文件中，当被感染的程序执行时，通过找到其他可执行文件并感染之。 存储器驻留病毒：寄宿在主存中，作为驻留程序的一部分，感染每个执行的程序。 引导区病毒：感染主引导记录或引导记录，当系统从包含了病毒的磁盘启动时则进行传播。 隐形病毒：能够在反病毒软件检测时隐藏自己。 多形病毒：每次感染时会产生变异的病毒。 现代病毒：蠕虫病毒、木马病毒。9.3 计算机病毒与预防计算机病毒的危害 计算机病毒既破坏软件也可能破坏硬件! 对计算机数据信息的直接破坏 占用磁盘空间 抢占系统资源 影响计算机运行速度 9.3 计算机病毒与预防9.3.2 计算机病毒的预防关键是做好预防工作，即防患于未

20、然。 预防为主，防治结合计算机病毒的预防： 从管理上对病毒的预防 从技术上对病毒的预防 病毒的清除 而预防工作应包含思想认识、管理措施和技术手段三方面内容1恶意软件的定义 恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件。 具有下列特征之一的软件可以被认为是恶意软件。 (1) 强制安装 (2) 难以卸载 (3) 浏览器劫持 (4) 广告弹出 (5) 恶意收集用户信息 (6) 恶意卸载 (7) 恶意捆绑 (8) 其他侵害9.4 恶意软件与防治2恶意软件的类型 (1) 木马程序：一般被用来进行远程控制，木马程序分为服务器端和客户端两个部分

21、，服务器端程序一般被伪装并安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载，而客户端程序一般安装在控制者(黑客)计算机中。 木马程序可能在系统中提供后门，使黑客可以窃取用户数据或更改用户主机设置。 (2) 逻辑炸弹：是以破坏数据和应用程序为目的的恶意软件程序。它一般是由组织内部有不满情绪的雇员或黑客植入，当某种条件被满足时(如雇员被辞退一段时间后)，它就会发作。 9.4 恶意软件与防治 (3) 破解和嗅探程序：口令破解、网络嗅探和网络漏洞扫描是黑客经常使用的恶意软件程序，它们取得非法的资源访问权限，进行隐蔽地攻击。 (4) 键盘记录程序：使用键盘记录程序监视操作者的使用过程。黑客也

22、经常使用这种程序进行信息刺探和网络攻击。 (5) 垃圾邮件：垃圾邮件指那些未经用户同意的，用于某些产品广告的电子邮件。 (6) 广告软件：广告软件虽然不会影响到系统功能，但是，弹出式广告常常令人不快。 (7) 跟踪软件：也称为间谍软件，它可以用来在后台记录下所有用户的活动，如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。9.4 恶意软件与防治3恶意软件的攻击行为 (1) 后门：对计算机进行 的访问。最具破坏性的是删除数据。 (2) 信息窃取：它提供一种将用户信息传回恶意软件作者的机制，如用户名和密码。另一种机制是在用户计算机上提供一个后门，使攻击者可以远程控制用户

23、的计算机，或直接获取用户计算机的文件。 (3) 拒绝服务(DoS)：攻击使网络服务超负荷或停止网络服务，使特定服务在一段时间内不可用。 (4) 带宽占用：使用虚假的负载填满网络带宽，则使合法用户无法连接到Intemet中。 (5) 邮件炸弹：攻击者使用某个巨型邮件发送到用户邮箱中，试图中断合法用户的电子邮件程序或使接收者无法再收到其他信息。9.4 恶意软件与防治第九章 计算思维案例 缓存、保护、系统恢复作为算思维方式普遍应用于网络信息传输与网络安全的各个节点中。 在实际应用中，网络上的节点在等待传送信息的过程中可以储存大量信息，这一现象被称为缓冲或队列。然而，缓冲的大小取决于计算机上的可用空间

24、，如果缓冲溢出，这台计算机要么将无法接收任何信息直到缓冲队列重新为空，要么会丢失传送过来的信息。计算机中的缓冲通常能一边等待下一台计算机或网络设备准备好接收下一条信息，一边自己储存大量信息。案例1 缓存、保护、系统恢复第九章 计算思维案例 过溢的缓冲可能暴露出计算机被攻击的弱点。比如，在设计糟糕的系统中，一个“拒绝服务”(DoS)攻击会同时发送大量信息给这台计算机，一旦这台计算机的缓冲队列被填满，那么它将丢失接下来进入的信息，包括它自身需要的合法信息，这是黑客常用的攻击手段之一。通过运用各种手段软件和硬件手段，如采用防火墙、设计算法并编写防御性保护代码等，保护缓冲区免受溢出的攻击和影响。案例1 缓存、保护、系统恢复第九章 计算思维案例 人们习惯于沿着事物发展的正方向去思考问题并寻求解决办法。其实，对于某些问题，尤其是一些特殊问题，从结论往回推，倒过来思考，从求解回到已知条件，反过去想或许会使