网络安全与病毒防范

网络安全与病毒防范第一章信息安全概述主讲人：李彦主讲人信息信息网络中心：李彦邮箱地址：sdlgzyly@163.com电话：15954719044办公地点：图书馆1楼南大厅卡务中心课程信息上课地点：上课时间：课程考核方法：1.期末考试成绩：70%2.平时考勤：15%3.作业：15%课程综述课程内容：本课程以分析计算机网络面临的安全威胁为起点，阐述了常用的网络安全技术，首先介绍主流网络安全产品和常用网络安全策略，并着重强调内容安全（防病毒）在网络安全中的重要地位。随后，着重介绍病毒及病毒防护相关知识，并就目前业界最先进的病毒防护理念展开深入说明。课程涉及内容1.计算机网络面临的安全威胁2.常用的计算机网络安全技术3.主要的网络安全产品类型4.企业网络安全策略5.病毒，恶意代码与垃圾邮件的基础知识6.计算机病毒的危害与防范措施7.病毒的发展趋势8.传统病毒防范技术的不足9.趋势科技企业防护战略课程目标本课程的目标是提高学员的网络安全意识和病毒防范水平，使学员熟悉基本的网络安全理论知识和常用网络安全产品，了解部署整个网络安全的防护系统和策略的方法，尤其是病毒防护的相关策略。在此基础上，让学员充分了解病毒防范的重要性和艰巨性，了解“内部人员的不当使用”和“病毒”是整个网络系统中最难对付的两类安全问题。课程内容1.基本的网络弱点2.安全技术原理3.各类安全技术的产品及实现方式4.内容安全（防病毒）的难度及在网络安全中日益重要的地位5.病毒防范技术和病毒防护体系的实施第一章:信息安全概述本章摘要：1.信息安全威胁2.信息安全弱点3.信息安全定义4.安全网络基本特征5.信息安全体系结构6.操作系统的安全级别信息安全背景1.2007年，“ARP欺骗”病毒肆虐，国内某著名高校百余宿舍网络端口被封，只因内网有电脑感染l了病毒，导致所有用户网页挂马攻击。2.2008年，美国东海岸连锁超市（EastCoast）的母公司HaanafordBros.称，该超市的用户数据系统遭到黑客入侵，造成400多万张银行卡帐户信息泄露，因此导致了1800起与银行卡有关的欺诈事件。3.2010年1月12日，占据中国75%市场份额的搜索引擎“百度”突然无法打开，网站下的所有服务、子域名、包括新闻、贴吧、知道、空间等等全部无法访问。网站遭受黑客攻击用户数据泄露手机病毒由于大多数手机都能够收发短信，而且智能手机操作系统越来越普及，这就使它们很容易受到一些病毒的攻击，而新型手机的使用方式也给病毒的传播创造了有利条件，当用户参加约会服务或者玩网络游戏时，手机就可能传播恶意代码。黑客攻击技术与网络病毒日益融合黑客攻击技术与网络病毒日趋融合是目前网络攻击的发展趋势，并且随着攻击工具日益先进，攻击者需要的技能日益下降，网络受到攻击的可能性将越来越大。融合黑客技术与病毒技术于一身的“新一代主动式恶意代码”不断诞生。其特征是：在极短的时间内，利用优化扫描的方法，感染数以万计的有漏洞的计算机系统，同时，能够确定并记录是否被感染，分析掌握受害者信息，为持续的有目的的攻击建立畅通的渠道，进而实施更为严厉的破坏行为。黑客攻击技术与网络病毒日益融合大量网络计算机用户头疼不已的Nimda(尼姆达)、CodeRed(红色代码)、Founlove.4099、Sircam病毒纷纷粉墨登场，而且破坏力惊人。黑客攻击技术与网络病毒日益融合“蠕虫病毒”的名称，很容易让公众认为这只是“病毒”的一种，但是权威网络安全专家指出：网络蠕虫病毒，更应该称为黑客技术与病毒技术融合后形成的“恶意代码”。以红色代码为例，感染后的机器的web目录的\scripts下会生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。Funlove病毒开创了在局域网内主动扫描传播的新方式；Codered病毒开创了利用微软系统漏洞传播病毒的先河，而Nimda病毒则综合了该两种方式，成为超级病毒。企业内部的网络攻击尽管企业外部的攻击可以对企业造成巨大威胁，但企业内部员工的不正确使用和恶意破坏则是一种更加危险的因素。统计显示：来自企业内部的网络破坏更加危险；员工的不正常使用也是企业内部网一个重要的不安全因素。网络攻击的主要来源0%10%20%30%40%50%60%70%80%90%100%网络攻击的主要来源国外政府21%竞争对手48%黑客72%不满的雇员89%信息安全问题的严重性1.信息安全隐患到处存在：2.信息安全问题造成的巨大损失：信息安全威胁与弱点信息安全威胁来自多个方面1.物理风险2.网络风险3.系统风险4.信息风险5.应用风险6.管理风险7.其他风险物理风险1.设备防盗，防毁2.链路老化，人为破坏，被动物咬断3.网络设备自身故障4.停电导致网络设备无法工作5.机房电磁辐射6.其他机房电磁辐射机房电磁辐射外界电磁辐射对计算机的危害主要是指电磁干扰，即电噪声干扰，计算机所受的危害程度取决于干扰场强的强度、频率和自身的电磁敏感度。当电子计算机房处在电磁干扰污染区域内，例如机房附近有大功率无线电发射台、雷达发射台、电视发射塔、高频大电流设备等，当它们工作时其空间场强超过一定数值时，则必然对计算机形成严重干扰，造成计算机系统工作的失误。网络风险1.安全拓补2.安全路由3.其他安全拓扑安全路由系统风险1.自主版权的安全操作系统2.安全数据库3.操作系统是否最新补丁或者修正程序4.系统配置安全5.系统中运行的服务安全6.其他安全数据库我们所说的安全数据库通常是指在具有关系型数据库一般功能的基础上，提高数据库安全性，达到美国TCSEC和TDI的B1（安全标记保护）级标准，或中国国家标准《计算机信息系统安全保护等级划分准则》的第三级（安全标记保护级）以上安全标准的数据库管理系统。数据库的安全性包括：机密性、完整性和可用性。安全数据库安全数据库和普通数据库的重要区别在于安全数据库在通用数据库的基础上进行了诸多重要机制的安全增强，通常包括：1.安全标记及强制访问控制（MAC）2.数据存储加密3.数据通讯加密4.强化身份鉴别5.安全审计6.三权分立等安全机制信息风险1.信息存储安全2.信息传输安全3.信息访问安全4.其他1.信息存储安全2.信息传输安全3.信息访问安全信息风险信息存储安全：指信息在静态存储状态下的安全。其主要弱点表现在磁盘以外损坏，光盘以外损坏，信息存储设备被盗从而导致数据丢失和数据无法访问信息传输安全：指信息在动态传输过程中的安全。其主要弱点表现在诸如黑客的搭线窃听等从而导致信息泄露和信息被篡改信息访问安全：指信息是否会被非授权调用（访问）等。其主要弱点表现在诸如信息被非法访问从而导致信息被越权访问和信息被非授权访问应用风险1.身份鉴别2.访问授权3.机密性4.完整性5.不可否认性6.可用性应用风险CIA模型：计算机安全的三个中心目标机密性：信息不泄露给非授权的用户、实体或者过程。完整性：信息在存储或者传输过程中保持不被修改，不被破坏和不被丢失。可用性：当需要时能否存取可用的信息。管理风险1.是否制订了健全、完善的信息安全制度2.是否成立了专门的机构来规范和管理信息安全。山东理工职业学院成立了网络信息中心，负责学校的网络使用，网络安全，信息安全等工作。网络安全管理制度第一条安全教育与培训第二条病毒检测和网络安全漏洞检测第三条电子公告系统的用户登记和信息管理第四条网络安全管理员岗位职责第五条网络违法案件报告和协助查处第六条网络帐号使用登记和操作权限第七条信息发布、审核与登记其他风险1.计算机病毒2.黑客攻击3.误操作导致数据被删除、修改等4.其他没有想到的风险信息系统的弱点1.系统存在安全方面的脆弱性：现有的操作系统都存在总总安全隐患，从Unix到wendows，无一例外。每一种操作系统都存在已被发现的，潜在的各种安全隐患2.非法用户得以获得访问权3.合法用户未经授权提高访问权限4.系统易受来自各方面的攻击常见的漏洞1.网络协议的安全漏洞2.操作系统的安全漏洞3.应用程序的安全漏洞漏洞造成的危害等量级1.A级漏洞：允许恶意入侵者访问并可能破坏整个目标系统的漏洞2.B级漏洞：允许本地用户提高访问权限，并可能使其获得系统控制的漏洞3.C级漏洞：允许用户中断、降低或者阻碍系统操作的漏洞。对系统危害最严重的是A级漏洞，其次是B级漏洞，C级漏洞是对系统正常工作进行干扰A级漏洞1.A级漏洞：它是允许恶意入侵者访问并可能会破坏整个目标系统的漏洞，如，允许远程用户未经授权访问的漏洞。A级漏洞是威胁最大的一种漏洞，大多数A级漏洞是由于较差的系统管理或配置有误造成的。同时，几乎可以在不同的地方，在任意类型的远程访问软件中都可以找到这样的漏洞。如:FTP，GOPHER，TELNET，SENDMAIL，FINGER等一些网络程序常存在一些严重的A级漏洞。B级漏洞2.B级漏洞：它是允许本地用户提高访问权限，并可能允许其获得系统控制的漏洞。例如，允许本地用户(本地用户是在目标机器或网络上拥有账号的所有用户，并无地理位置上的含义)非法访问的漏洞。网络上大多数B级漏洞是由应用程序中的一些缺陷或代码错误引起的。SENDMAIL和TELNET都是典型的例子。因编程缺陷或程序设计语言的问题造成的缓冲区溢出问题是一个典型的B级安全漏洞。据统计，利用缓冲区溢出进行攻击占所有系统攻击的80%以上C级漏洞3.C级漏洞：它是任何允许用户中断、降低或阻碍系统操作的漏洞。如，拒绝服务漏洞。拒绝服务攻击没有对目标主机进行破坏的危险，攻击只是为了达到某种目的，对目标主机进行故意捣乱。最典型的一种拒绝服务攻击是SYN-Flooder，即入侵者将大量的连接请求发往目标服务器，目标主机不得不处理这些“半开”的SYN，然而并不能得到ACK回答，很快服务器将用完所有的内存而挂起，任何用户都不能再从服务器上获得服务。。安全漏洞产生的原因1.系统和软件设计存在缺陷，通信协议不完备。如TCP/IP协议就有很多漏洞。2.技术实现不充分。如很多缓存溢出方面的漏洞就是是现实时缺少必要的检查。3.配置管理和使用不当也能产生安全漏洞。如口令过于简单，很容易被黑客猜中。Internet服务的安全漏洞网络引用服务：在网络上所开放的一些服务，常见的有Web，Mail，FTP，DNS，Telnet等，这些服务都存在漏洞。7电子邮件：冒名信件，匿名信，大量涌入的信件FTP：病毒威胁，地下站点信息安全的定义信息：信息是通过在数据上施加某些约定而赋予这些数据特殊意义。信息安全：信息安全的任务就是要采取措施（技术手段及有效管理）使这些信息资产免受威胁，或者将威胁带来的后果降低到最低程度，以此维护组织的正常运作。凡是涉及保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全研究的范畴和实现的目标。信息安全体系结构建立信息安全体系需要：1.计划（Plan）：根据业务的需要，法律法规的要求以及风险评估的结果制定符合企业自身特点的计划。2.执行（Do）：根据计划选择相应的安全产品，安全技术加以落实。3.检查（Check）：时刻检查安全策略的执行情况，发现存在的问题，并提出改进措施。4.改进措施（Action）：执行改进措施。信息安全体系结构实施检查计划信息安全风险评估风险评估是建立安防体系过程中及其关键的一步，它连接着安防重点和商业需求。它揭示了关键性商业活动对资源的保密性、集成性和可用性等方面的影响。信息安全风险评估网络系统现状分析是指对网络的现状进行分析，主要包括：1.网络的拓扑结构2.网络中的应用3.网络结构的自身特点在充分分析了信息安全存在的风险之后，通常还要对风险进行处理，结果有以下三种1.消除风险：采取一个措施彻底消除一个威胁2.减轻风险：通过某种安防措施减轻威胁的危害3.转移