计算机安全课件

优选计算机安全课件1当前第1页\共有92页\编于星期三\15点自身缺陷＋开放性＋黑客攻击网络不安全的原因2当前第2页\共有92页\编于星期三\15点信息:是从调查、研究和教育获得的知识，是情报、新闻、事实、数据，是代表数据的信号或字符，是代表物质的或精神的经验的消息、经验数据、图片。安全:是避免危险、恐惧、忧虑的度量和状态。信息安全：信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。1.1.1网络安全的概念

3当前第3页\共有92页\编于星期三\15点计算机网络:计算机网络是地理上分散的多台自主计算机互联的集合。网络安全:是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或被非授权使用和篡改。4当前第4页\共有92页\编于星期三\15点网络安全具有三个基本属性：机密性、完整性、可用性。1.机密性(Confidentiality)机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。信息的机密性，对于未授权的个体而言，信息不可用1.1.2网络安全的属性5当前第5页\共有92页\编于星期三\15点物理层，要保证系统实体不以电磁的方式（电磁辐射、电磁泄漏）向外泄漏信息，主要的防范措施是电磁屏蔽技术、加密干扰技术等。在运行层面，要保障系统依据授权提供服务，使系统任何时候不被非授权人所使用。在数据处理、传输层面，要保证数据在传输、存储过程中不被非法获取、解析，主要防范措施是数据加密技术。6当前第6页\共有92页\编于星期三\15点2.完整性(Integrity)完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。数据完整性，未被未授权篡改或者损坏；系统完整性，系统未被非法操纵，按既定的目标运行。7当前第7页\共有92页\编于星期三\15点3.可用性(Availability)可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。服务的连续性，即，具有按要求顺序使用的特性8当前第8页\共有92页\编于星期三\15点网络安全的其它属性真实性authenticity 个体身份的认证，适用于用户、进程、系统等可控性Controlability 授权机构可以随时控制信息的机密性可靠性Reliability 行为和结果的可靠性、一致性9当前第9页\共有92页\编于星期三\15点信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名10当前第10页\共有92页\编于星期三\15点网络安全的目的11当前第11页\共有92页\编于星期三\15点1.1.3网络安全层次结构12当前第12页\共有92页\编于星期三\15点OSI环境中的数据传输过程13当前第13页\共有92页\编于星期三\15点OSI环境中的数据传输过程14当前第14页\共有92页\编于星期三\15点网络安全层次图网络安全层次15当前第15页\共有92页\编于星期三\15点16当前第16页\共有92页\编于星期三\15点防火墙安全网关VPN网络安全层反病毒风险评估入侵检测审计分析系统安全层用户/组管理单机登录身份认证用户安全层访问控制授权应用安全层加密数据安全层存储备份物理安全层17当前第17页\共有92页\编于星期三\15点网络安全的层次体系从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。（一）物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。（二）逻辑安全需要用口令、文件许可等方法来实现。（三）操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。（四）联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。18当前第18页\共有92页\编于星期三\15点网络安全模型19当前第19页\共有92页\编于星期三\15点开放网络环境中提供的安全机制和安全服务主要包含两个部分：对发送的信息进行与安全相关的转换。由两个主体共享的秘密信息，而对开放网络是保密的。为了完成安全的处理，常常需要可信的第三方。20当前第20页\共有92页\编于星期三\15点设计网络安全系统时，该网络安全模型应完成4个基本任务：（1）设计一个算法以实现和安全有关的转换。（2）产生一个秘密信息用于设计的算法。（3）开发一个分发和共享秘密信息的方法。（4）确定两个主体使用的协议，用于使用秘密算法与秘密信息以得到特定的安全服务。21当前第21页\共有92页\编于星期三\15点黑客攻击形成两类威胁：一类是信息访问威胁，即非授权用户截获或修改数据；另一类是服务威胁，即服务流激增以禁止合法用户使用。22当前第22页\共有92页\编于星期三\15点对非授权访问的安全机制可分为两类：第一类是网闸功能，包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击；第二类是内部的安全控制，一旦非授权用户或软件攻击得到访问权，第二道防线将对其进行防御，包括各种内部控制的监控和分析，以检测入侵者。23当前第23页\共有92页\编于星期三\15点网络安全评价标准美国TCSEC－可信计算机安全评估准则（又称美国橙皮书）把安全的级别分成4大类7级。24当前第24页\共有92页\编于星期三\15点安全级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构,较好的抗渗透能力B3安全区域存取监控、高抗渗透能力A验证设计形式化的最高级描述和验证25当前第25页\共有92页\编于星期三\15点风险分析26当前第26页\共有92页\编于星期三\15点风险=威胁+漏洞

网络不安全的原因27当前第27页\共有92页\编于星期三\15点风险分析的最终目标是制定一个有效的、节省的计划来看管资产。任何有效的风险分析始于需要保护的资产和资源的鉴别，资产的类型一般可分成以下4类。2.1资产保护

2.1.1资产的类型28当前第28页\共有92页\编于星期三\15点（1）物理资源 物理资源是具有物理形态的资产。（2）知识资源（3）时间资源（4）信誉（感觉）资源29当前第29页\共有92页\编于星期三\15点攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过modem池的访问等。潜在的攻击来自多方面，包括组织内部的员工、临时员工和顾问、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其员工的人但是，对攻击可能性的分析在很大程度上带有主观性。2.1.2潜在的攻击源30当前第30页\共有92页\编于星期三\15点资产的两类损失：即时的损失长期恢复所需花费，也就是从攻击或失效到恢复正常需要的花费特殊的：维护安全本身也是一种损失。因此还需要安全强度和安全代价的折中。考虑四个方面：2.1.3资产的有效保护31当前第31页\共有92页\编于星期三\15点（1）用户的方便程度。

不应由于增加安全强度给用户带来很多麻烦。（2）管理的复杂性。

对增加安全强度的网络系统要易于配置、管理。（3）对现有系统的影响。

包括增加的性能开销以及对原有环境的改变等。（4）对不同平台的支持。

网络安全系统应能适应不同平台的异构环境的使用。32当前第32页\共有92页\编于星期三\15点图2.1安全强度和安全代价的折中33当前第33页\共有92页\编于星期三\15点从安全属性来看，攻击类型可分为阻断攻击、截取攻击、篡改攻击、伪造攻击4类。2.2攻击

2.2.1攻击的类型

34当前第34页\共有92页\编于星期三\15点正常情况下的信息流动：（1）阻断攻击使信息系统被毁坏或不能使用，即，对可用性进行攻击如部分硬件（硬盘）的毁坏，通信线路的切断，文件管理系统的瘫痪等。

35当前第35页\共有92页\编于星期三\15点（2）截取攻击一个非授权方介入系统的攻击，破坏保密性(confidentiality).这种攻击包括搭线窃听，文件或程序的不正当拷贝。密码窃听，会话劫持。36当前第36页\共有92页\编于星期三\15点（3）篡改攻击一个非授权方不仅介入系统而且在系统中进行篡改的攻击，破坏完整性（integrity）。这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。对协议的攻击，缓冲区溢出。37当前第37页\共有92页\编于星期三\15点（4）伪造攻击一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。冒充，phishing(电子邮件欺诈;网上银行、网上证券网站;虚假电子商务信息;)。38当前第38页\共有92页\编于星期三\15点攻击分类：被动攻击与主动攻击 •被动攻击，如窃听或者偷窥，非常难以被检测到，但可以防范 releaseofmessagecontent报文内容的泄露 trafficanalysis流量分析主动攻击，常常是对数据篡改及破坏，可以被检测到，难以防范 Masquerade伪装Replay重放 modificationofmessage消息篡改 denialofservice拒绝服务2.2.2主动攻击与被动攻击39当前第39页\共有92页\编于星期三\15点被动攻击常见的被动攻击：窃听、监听攻击者的目的是获取正在传输的信息。40当前第40页\共有92页\编于星期三\15点2.主动攻击主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可分成4类：（1）伪装伪装是一个实体假装成另一个实体。（2）重放重放攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。41当前第41页\共有92页\编于星期三\15点攻击目的动机：1、破坏目标工作2、窃取目标信息3、控制目标计算机4、利用假消息欺骗对方目的：1、破坏2、入侵42当前第42页\共有92页\编于星期三\15点入侵者进入系统的主要途径有：l

物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。l

本地侵入:这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。l

远程侵入:这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。43当前第43页\共有92页\编于星期三\15点入侵的级别1级：邮件炸弹、简单服务拒绝2级：本地用户获得非授权读访问3级、本地用户获得非授权写权限、远程用户获得非授权的帐号4级：远程用户获得特权文件的读权限5级：远程用户获得了特权文件的写权限6级：远程用户拥有了根（root）权限（黑客已攻克系统）。44当前第44页\共有92页\编于星期三\15点网络攻击的步骤攻击的准备阶段攻击的实施阶段攻击的善后阶段45当前第45页\共有92页\编于星期三\15点

确定攻击目的收集目标信息隐藏自己位置利用各种手段登陆对方主机检查漏洞、后门，获取控制权，…..消除痕迹，植入后门，退出攻击的准备阶段攻击的实施阶段攻击的善后阶段攻击过程准备供给工具46当前第46页\共有92页\编于星期三\15点网络攻击步骤详解1攻击的准备阶段1.确定攻击目的社会工程学攻击2.准备攻击工具(1)选择熟悉的工具(2)优先考虑多种工具的配合使用(3)选择扫描工具时要慎重(4)尽量使用自己编写的软件。3.收集目标信息47当前第47页\共有92页\编于星期三\15点网络攻击步骤详解2攻击的实施阶段第一步：隐藏自已的位置（IP）第二步：利用收集到的信息获取账号和密码，登录主机第三步：利用漏洞或者其它方法获得控制权并窃取网络资源和特权48当前第48页\共有92页\编于星期三\15点网络攻击步骤详解3攻击的善后阶段日志：

*删除日志文件

*修改日志文件中有关自己的那一部分

植入木马，留下后门49当前第49页\共有92页\编于星期三\15点典型的网络攻击示意图

选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。50当前第50页\共有92页\编于星期三\15点总结一下：攻击五部曲一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”1、隐藏IP或IP欺骗2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身51当前第51页\共有92页\编于星期三\15点1、隐藏IP假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用IP欺骗的攻击手段。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。52当前第52页\共有92页\编于星期三\15点1、隐藏IP第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。对目标的攻击威胁通常通过代理实现，而代理需要的特性包括：1、访问目标的能力2、对目标发出威胁的动机3、有关目标的知识

53当前第53页\共有92页\编于星期三\15点2、踩点扫描踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。54当前第54页\共有92页\编于星期三\15点3、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。55当前第55页\共有92页\编于星期三\15点4、种植后门为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。56当前第56页\共有92页\编于星期三\15点5、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。57当前第57页\共有92页\编于星期三\15点常见攻击实例分析当你感觉到你的Windows运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，最有可能受到了拒绝服务攻击。58当前第58页\共有92页\编于星期三\15点总结攻击技术主要包括以下几个方面。（1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。59当前第59页\共有92页\编于星期三\15点总结防御技术主要包括以下几个方面。（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。（3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。（5）网络安全协议：保证传输的数据不被截获和监听。60当前第60页\共有92页\编于星期三\15点入侵检测61当前第61页\共有92页\编于星期三\15点入侵检测62当前第62页\共有92页\编于星期三\15点入侵检测（IDSinstructiondetectionsystem）是从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象的一种机制。13.1入侵检测概述

13.1.1入侵检测的概念63当前第63页\共有92页\编于星期三\15点入侵检测系统基本上不具有访问控制的能力，一般工作流程如下：首先对数据包流进行信息收集；然后对数据包流分析，从数据流中过滤出可疑数据；最后将上述数据与已知的入侵方式进行对比，确定入侵是否发生及入侵类型，进行报警。64当前第64页\共有92页\编于星期三\15点入侵检测系统工作流程（1）信息收集（2）分析引擎（3）响应部件65当前第65页\共有92页\编于星期三\15点信息搜集66当前第66页\共有92页\编于星期三\15点信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点67当前第67页\共有92页\编于星期三\15点信息收集入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息68当前第68页\共有92页\编于星期三\15点信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为69当前第69页\共有92页\编于星期三\15点系统或网络的日志文件攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等70当前第70页\共有92页\编于星期三\15点系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件71当前第71页\共有92页\编于星期三\15点分析引擎72当前第72页\共有92页\编于星期三\15点分析引擎模式匹配统计分析完整性分析，往往用于事后分析73当前第73页\共有92页\编于星期三\15点模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）74当前第74页\共有92页\编于星期三\15点统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生75当前第75页\共有92页\编于星期三\15点完整性分析完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效76当前第76页\共有92页\编于星期三\15点响应部件77当前第77页\共有92页\编于星期三\15点响应动作简单报警切断连接封锁用户改变文件属性最强烈反应：回击攻击者78当前第78页\共有92页\编于星期三\15点CIDF阐述了一个入侵检测系统的基本模型，如下图所示：13.1.2入侵检测系统的基本结构79当前第79页\共有92页\编于星期三\15点根据入侵检测系统的检测对象，入侵检测系统主要分成两大类：基于主机的入侵检测系统；基于网络的入侵检测系统。13.2入侵检测系统分类80当前第80页\共有92页\编于星期三\15点13.2.1基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。根据检测对象的不同，基于主机的入侵检测系统可以分为：网络连接检测和主机文件检测。81当前第81页\共有92页\编于星期三\15点基于主机的入侵检测系统优缺点优点：检测准确度高；可以检测到没有明显行为特征的入侵；能够对不同的操作系统进行有针对性的检测；成本较低；适应加密和交换环境。缺点：无法监视整个网段的通信；要求在大量的主机上安装和管理软件；实时性较差。82当前第82页\共有92页\编于星期三\15点13.2.2基于网络的入侵检测系统基于网络的入侵检测系统通常是作为一个独立的个体放置在被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。83当前第83页\共有92页\编于星期三\15点基于网络的入侵检测系统优缺点优点可以提供实时的网络行为检测；可以同时保护多台网络主机；具有良好的隐蔽性；有效保护入侵检测证据；不影响被保护主机的性能及服务。缺点防入侵欺骗的能力较差；在交换式网络环境中难以配置；检测性能受硬件条件限制；不能处理加密后的数据。84当前第84页\共有92页\编于星期三\15点