《信息安全培训讲义.ppt》由会员分享,可在线阅读,更多相关《信息安全培训讲义.ppt(71页珍藏版)》请在三一办公上搜索。
1、国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。,信息安全的定义,安全领域,为什么信息系统存在安全问题,攻击与破坏的动机,我们需要保护什么?,答案并不总是明确的:打算破坏或占有一台主机的黑客通常将对该主机全部资源进行访问:文件、存储设备、电话线等。某些黑客最感兴趣的是滥用主机标识,而不是过分触及主机的专门资源,他们利用这些标识,暗渡陈仓,向外连接其他可能更感兴趣的目标。有些人可能对机器中的数据感兴趣,不管它们是否是公司的敏感材料或政府机密。,电脑黑客操作系统安全应用服务安全网络设备安全网络
2、传输安全网络的普及使学习网络进攻变得容易,信息安全的威胁,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现,信息安全的威胁,信息安全的威胁,非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问。信息泄漏或丢失敏感数据在有意或无意中被泄漏出去或丢失破坏数据完整性 以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应恶意添加,修改数据,以干扰用户的正常使用,拒绝服务攻击 不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络
3、系统或不能得到相应的服务。,信息安全的威胁,利用网络传播病毒 通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。,信息安全的威胁,网络的整体安全是由安全的操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,但是每一个单独的组件只能完成其中部分功能,而不能完成全部功能。,信息与网络安全组件,防止计算机病毒以及恶性程序的入侵提供垃圾邮件以及邮件内容过滤的功能目前安工院已采用2台Fortigate300系列防火墙产品,一台对安工院互联网出口,一台对中石化总部。对防病毒、入侵检测、网络特征事件的攻击、垃圾邮件等已有较为针对
4、性的防御。但由于内部应用的需要必须打开一些端口,如HTTP协议的80端口,DNS服务的53端口,FTP协议的21端口等等,因此病毒仍可因为这些端口和协议的开放而攻入网络,尤其是http协议,即浏览网页时,病毒可通过网页下载到计算机上。,防毒墙网关,IDS(Intrusion Detection System)入侵检测的主要功能包括:检测并分析用户在网络中的活动,识别已知的攻击行为,统计分析异常行为,核查系统配置和漏洞,评估系统关键资源和数据文件的完整性,管理操作系统日志,识别违反安全策略的用户活动等。,核心交换机4507,计算机病毒,计算机病毒是指那些具有自我复制能力的计算机程序,它能影响计算
5、机软硬件的正常运行,破坏数据的正确与完整性。,占用系统资源影响系统效率删除、破坏数据干扰正常操作阻塞网络进行反动宣传,文件共享服务器,邮件服务器,Client,网关,防火墙,現今email病毒都具有利用电子邮件系统自动快速散播的特性,迅速造成重大损失,病毒利用应用层服务进入内网传播,蠕虫与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。首先,它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫,蠕虫即可独自传播。,病毒实例剖析一、蠕虫病毒,最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样
6、的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时,它们传播的速度非常快。它们堵塞网络并可能导致您(以及其他每个人)等很长的时间才能查看 Internet 上的网页。,蠕虫的破坏性,蠕虫发作的一些特点和发展趋势 利用操作系统和应用程序的漏洞主动进行攻击传播方式多样 可利用的传播途径包括文件、电子邮件、Web服务器、网络中共享文件夹所使用的端口、恶意网页等等。病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。与黑客技术相结合潜在的威胁和损失更大
7、以红色代码为例,感染后的机器的web目录的scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。,对个人用户产生直接威胁的蠕虫病毒对于利用Email传播的蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段诱惑用户点击的方式进行传播 恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作 通过共享文件夹所打开的端口进行攻击和传播,蠕虫病毒,sql蠕虫 攻击的是微软数据库系统 Microsoft SQL Server 2000利用了MSSQL2000服务远
8、程堆栈缓冲区溢出漏洞此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想 安装了该数据库的计算机一定要安装补丁,目前版本为service pack 4(可从管理平台下载),sql蠕虫,二、木马病毒,木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。传染方式:通过电子邮件附件发出,捆绑在其他的程序中。病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。,木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,
9、定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。防范措施:用户提高警惕,不随意浏览网页,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。,三、流氓软件,什么是流氓软件?“流氓软件”是介于病毒和正规软件之间的软件。计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用,并能够自我复制。正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等
10、)和恶意行为(弹广告、开后门等),给用户带来实质危害。,流氓软件的分类根据不同的特征和危害,困扰广大计算机用户的流氓软件主要有如下几类:1、广告软件(Adware)定义:广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。危害:此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。,2、间谍软件(Spyware)
11、定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。危害:用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。,3、浏览器劫持定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。危害:用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,
12、用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。,4、行为记录软件(Track Ware)定义:行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危害:危及用户隐私,可能被黑客利用来进行网络诈骗。例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构
13、,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。,5、恶意共享软件(malicious shareware)定义:恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。危害:使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。又比如某加密软件,试用期过后所有
14、被加密的资料都会丢失,只有交费购买该软件才能找回丢失的数据。,6、其它随着网络的发展,“流氓软件”的分类也越来越细,一些新种类的流氓软件在不断出现,分类标准必然会随之调整。,策略1:规范上网行为。不要浏览与工作无关的网站,不要安装与工作无关的软件。因为许多网页中暗含了木马、广告、间谍、病毒等文件,还有许多软件直接捆绑了流氓软件,而流氓软件更容易暗含着上述软件。在浏览网页时,在安装软件时,要注意不是自己需要的软件不要装。敬告:安工院的网络与计算机并不是你们的私有财产,可以不计后果任意使用,请自觉遵守安工院的各项网络管理制度。策略2:必须统一安装Symantec Antivirus Client防
15、病毒客户端程序,尤其现版本号已升级至10.1.0.394。,防病毒策略,策略3:尽量减少授权使用你计算机的人,包括:1、设置管理员administrator及登录用户的 开机密码。2、关闭共享文件夹或为共享文件夹设置长度 超过8位的密码,并且字母与数字相结合。(尤其适用于蠕虫病毒。)策略4:定期安装最新的安全补丁。包括操作系统补丁及数据库补丁,甚至还有office2003的补丁。按我们的要求配置好你的组策略,可从院内的补丁分发服务器自动获得最新补丁。(开始运行,输入gpedit.msc http:/10.206.2.70)(尤其适用于蠕虫病毒。),另外还要定期(每半个月)运行一下计算机自带的补
16、丁更新程序:开始Windows Update策略5:不要随便打开邮件的附件。策略6:从外部(U盘、软盘、光盘)获取数据前先进行检查。策略7:综合各种反病毒技术,包括安装个人防火墙及各种 专杀工具、恶意软件清除工具及手工清除注册表 里面的、WINNTSystem32、IE浏览器临时文件夹里等 等所包含的木马、间谍及病毒文件。策略8:建立一个系统恢复盘(新装机器均有,不要删除 D:C_PAN.GHO,大小约2GB左右)策略9:定期备份你的文件 策略10:镇定,具体操作:(一)为管理员帐户administrator设置密码许多用户登录计算机系统时不是用的administrator,因此不知道或者忽略
17、了administrator这个用户的密码是否设立。而病毒往往会利用这个漏洞来试探你的机器,发现你没有设立密码,很容易就攻入进来。,如果为了工作需要,临时共享一个文件夹时,请务必为该文件夹设置访问用户的权限和密码。方法如下:(1)WindowsXP Professional、为文件夹创建一个专门的用户,方法:右键点击“我的电脑”,管理,本地用户和 组,右键点击“用户”,新用户,输入用户名 和密码。,(二)严禁不设密码就共享文件夹,把“用户下次登录时需更改密码”前面的勾去掉,在“选择密码永不过期”前面打勾,然后点击“创建”。该用户即创建完毕。,2、打开“我的电脑”“工具”“文件夹选项”“查看”:
18、“使用简单文件夹共享(推荐)”前面的对勾去掉,、打开“我的电脑”,右键点击要共享的文件夹,选择“共享和安全”。,、点击“权限”按钮,一定要先删除“everyone”用户,然后点击“添加”,在弹出的窗口中选择“高级”,然后选择“立即查找”,窗口下方将出现你的系统中所有的用户,选中刚刚创建的那个新用户user,点“确定”,再“确定”。在随后的窗口中为该用户分配读写的权限,有三个选项:完全控制、更改、读取,在允许或拒绝的方框里根据需要打勾,点“确定”即可。,(2)Windows2000的用户不需要设置:“使用简单文件夹共享(推荐)”前面的对勾去掉。,这样别的用户在网络中访问你的共享文件夹时,系统会提
19、示输入用户名和密码。而不相干的人就不能轻易打开你的共享文件夹随意浏览、删除、破坏机器上的文件了,能够在一定程度上保护你的信息安全,更有利于防范蠕虫病毒在网络内大面积扩散。,(三)停用Guest帐户,为了网络和信息的安全,请一定停用Guest帐户,因为该帐户是操作系统自带的,如果不设密码就启用,病毒或黑客会利用其先进行试探性攻击,因此非常不安全。方法:右键点击“我的电脑”,管理,本地用户和组,打开“用户”,在右边窗口选中Guest,点右键选“属性”,在“帐户已停用”前打勾。,(四)在组策略里设置补丁自动安装策略:1、开始运行输入gpedit.msc,点击“确定”。2、打开“计算机配置”,“管理模
20、板”,“windows组件”,“windows update”。3、双击右边窗口里的“自动配置更新”,选择“已启用”。然后在“配置自动更新”里选择“4自动下载并计划安装”。,防毒软件是最为人所熟悉的安全工具,可以检测并清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但对于基于网络的攻击行为(如扫描、针对漏洞的攻击)却无能为力。,Symantec Antivirus 10.1防病毒客户端,Symantec10.1特点说明增强了间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力;新增了“防篡改”功能,防止防病毒客户端的进程、服务被病毒结束;增强的病毒处理能力,可以结束病毒的进程,再对病毒文件、受影响注册表键值进行处理;增加了病毒报告功能,可根据时间、病毒名称等,通过图形化报表的形式进行统计报告;防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。,管理措施,一、有病毒的机器,一经发现:1、用户姓名、IP地址公布在管理平台2、断开与院内的网络连接3、病毒第一次被记录,然后可以帮助查杀4、第二次如同一台机器,又发现病毒:(1)公布在管理平台(2)断开与院内的网络连接,二、平台有关网络安全管理方面:,专项管理工具箱:防毒软件:杀毒软件,重要补丁下载等。常用软件:办公软件下载,
