《大学IT演讲稿.ppt》由会员分享,可在线阅读,更多相关《大学IT演讲稿.ppt(90页珍藏版)》请在三一办公上搜索。
1、2006-7-10,大学IT,1,大 学 I T,山东省教育厅组编,2006-7-10,大学IT,2,第8章 网络信息安全,2006-7-10,大学IT,3,本章要点,8.1 网络信息安全概述 8.2 密码学 8.3 计算机病毒 8.4 防火墙 8.5 入侵检测,2006-7-10,大学IT,4,本章概要,本章将介绍网络信息安全的有关内容,并提供一些常用的防范措施,其中将主要介绍网络的加密技术及网络中防火墙的应用。读者还将在本章中学到有关计算机病毒和入侵检测的相关知识。学完本章,你将能够:列出网络安全的对策;列出一些著名的密码算法;叙述常用的病毒预防措施;描述流行的三种防火墙体系结构;介绍入侵
2、检测的概念及原理。,2006-7-10,大学IT,5,8.1 网络信息安全概述,8.1.1 网络信息安全的含义 8.1.2 网络信息安全的结构层次 8.1.3 网络信息安全面临的威胁 8.1.4 网络信息安全对策,2006-7-10,大学IT,6,8.1.1 网络信息安全的含义,通俗地说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。概括地说,网络信息安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储消息的保密
3、性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等。,2006-7-10,大学IT,7,保密性,保密性即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。,2006-7-10,大学IT,8,完整性,完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。,2006-7-10,大学IT,9,真实性,真实性是防止系统内的信息感染病毒或遭受恶意攻击,以确保信息的真实可靠。,2006-7-10,大学IT,10,可靠性,可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠性是系统
4、安全的最基本要求之一,是所有网络信息系统的建设和运行目标。,2006-7-10,大学IT,11,可用性,这是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性。可用性是网络信息系统面向用户的安全性能。,2006-7-10,大学IT,12,不可抵赖性,也称作不可否认性。在网络信息系统的信息交互过程中,确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。,2006-7-10,大学IT,13,可控性,可控性是对网络信息的传播及内容具有控制能力的特性。,2006-7-10,大学IT,14,8.1.2 网络信息安全的结构层次,网络信息
5、安全的结构层次主要包括:物理安全、安全控制和安全服务。网络信息安全是一个很复杂的问题,它与被保护对象密切相关。网络信息安全的本质是在安全期内保证数据在网络上传输或存储时不被非授权用户非法访问,但授权用户却可以访问。,2006-7-10,大学IT,15,物理安全,是指在物理介质层次上对存储和传输的网络信息的安全保护。目前,该层次上常见的不安全因素包括三大类:(1)自然灾害、物理损坏、设备故障;(2)电磁辐射(比如侦听微机操作过程)、乘机而入(比如合法用户进入安全进程后半途离开)、痕迹泄露(比如口令密钥等保管不善,被非法用户获得)等;(3)操作失误、意外疏漏。,2006-7-10,大学IT,16,
6、安全控制,是指在网络信息系统中对存储和传输的信息的操作和进程进行控制和管理,重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次:(1)操作系统的安全控制;(2)网络接口模块的安全控制;(3)网络互联设备的安全控制。,2006-7-10,大学IT,17,安全服务,是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别,满足用户的安全需求,防止和抵御各种安全威胁和攻击手段。安全服务的主要内容包括:安全机制、安全连接、安全协议、安全策略等,2006-7-10,大学IT,18,8.1.3 网络信息安全面临的威胁,网络信息安全面临的威胁主要来自于人为或自然威
7、胁、安全缺陷、软件漏洞、病毒和黑客入侵等方面。人为或自然威胁 安全缺陷 软件漏洞 黑客和病毒,2006-7-10,大学IT,19,人为或自然威胁,自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件,有时会直接威胁网络信息安全,影响信息的存储媒体。人为威胁通过攻击系统暴露的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的经济和政治上的损失。人为威胁又分为两种:一种是以操作失误为代表的无意威胁(偶然事故);另一种是以计算机犯罪为代表的有意威胁(恶意攻击)。,2006-7-10,大学IT,20,安全缺陷,
8、网络信息系统是计算机技术和通信技术的结合,计算机系统的安全缺陷和通信链路的安全缺陷构成了网络信息系统的潜在安全缺陷。网络信息系统的安全缺陷通常包括物理网络的安全缺陷、过程网络的安全缺陷以及通信链路的安全缺陷三种。,2006-7-10,大学IT,21,软件漏洞,网络信息系统由硬件和软件组成。由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。下面介绍一些有代表性的软件安全漏洞与其防范:陷门与防范操作系统的安全漏洞与防范 数据库的安全漏洞与防范 TCP/IP协议的安全漏洞与防范,2006-7-10,大学IT,22,陷门与防范,所谓陷门是一个程序
9、模块的秘密的未记入文档的入口。一般陷门是在程序开发时插入的一小段程序,其目的是为了测试这个模块或是为了连接将来的更改和升级程序,或者是为了将来发生故障后,为程序员提供方便等。通常在程序开发后期将去掉这些陷门,但是由于各种有意或无意的原因,陷门也可能被保留下来,一旦被原来的程序员利用,或者被无意或有意的人发现将会带来严重的安全后果。,2006-7-10,大学IT,23,操作系统的安全漏洞与防范,操作系统是硬件和软件应用程序之间接口的程序模块,是整个网络信息系统的核心控制软件,系统的安全体现在整个操作系统之中。操作系统的安全漏洞主要有:输入/输出(I/O)非法访问、访问控制的混乱、不完全的中介、操
10、作系统陷门等。,2006-7-10,大学IT,24,数据库的安全漏洞与防范,有些数据库将原始数据以明文形式存储于数据库中,这是不够安全的。实际上,高明的入侵者可以从计算机系统的内存中导出所需的信息,或者采用某种方式打入系统,从系统的后备存储器上窃取数据或篡改数据,因此,必要时应该对存储数据进行加密保护。数据库的加密应该采用独特的加密方法和密钥管理方法,因为数据的生命周期一般较长,密钥的保存时间也相应较长。,2006-7-10,大学IT,25,TCP/IP协议的安全漏洞与防范,TCP/IP通信协议在设计初期并没有考虑到安全性问题,因而连接到网络上的计算机系统就可能受到外界的恶意攻击和窃取。,20
11、06-7-10,大学IT,26,黑客和病毒,黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的人。许多黑客入侵仅仅是为了炫耀他的技术能力各种安全措施对他无能为力。怀着恶意的黑客入侵造成的损失是巨大的。黑客一般利用黑客程序来侵入信息系统,他们也不拒绝利用信息系统的缺陷和漏洞来达到目的。实际上,市场上卖的许多软件中的漏洞就是他们发现的。病毒是一种具有繁殖力、破坏力的程序,它们经常伪装成无害的程序,侵入人们的系统,破坏资料和程序。了解它们的工作原理有助于我们采取有效的预防措施。下面有一节专门介
12、绍病毒及其预防。,2006-7-10,大学IT,27,8.1.4 网络信息安全对策,网络信息安全是要想达到安全的目的,必须同时从法规政策、管理、技术这三个层次上采取有效措施,高层的安全功能为低层的安全功能提供保护。但是安全问题遵循“木桶”原则,取决于最薄弱环节,任何单一层次上的安全措施都不可能提供真正的全方位安全。这里仅从网络系统的角度介绍OSI安全服务和安全机制。,2006-7-10,大学IT,28,8.1.4 网络信息安全对策,OSI安全体系结构要求的安全服务 为了适应网络技术的发展,国际标准化组织ISO的计算机专业委员会根据开放系统互连参考模型OSI制定了一个网络安全体系结构,包括安全服
13、务和安全机制。该模型主要解决网络信息系统中的安全问题。OSI安全体系结构要求的安全服务是针对网络系统受到的威胁为了实现上述各种OSI安全服务,ISO建议了八种安全机制,2006-7-10,大学IT,29,OSI安全体系结构要求的安全服务,对等实体鉴别服务访问控制服务数据保密服务数据完整性服务数据源鉴别服务。禁止否认服务,2006-7-10,大学IT,30,ISO建议的八种安全机制,加密机制、数字签名机制、访问控制机制、数据完整性机制、交换鉴别机制、业务流量填充机制(这种机制采用的方法一般是由保密装置在无信息传输时连续发出伪随机序列,使得非法者不知哪些是有用信息、哪些是无用信息)、路由控制机制(
14、在一个大型网络中,从源节点到目的节点可能有多条线路,有些线路可能是安全的,而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由,以保证数据安全)、公证机制。,2006-7-10,大学IT,31,8.2 密码学,8.2.1 基本概念 8.2.2 网络通信中的加密方式 8.2.3 著名密码算法简介,2006-7-10,大学IT,32,8.2.1 基本概念,密码技术概述加密和解密 单钥密码和双钥密码密码系统 分类,2006-7-10,大学IT,33,密码技术概述,密码技术通过信息的变换或编码,将机密、敏感的消息变换成他人难以读懂的乱码型文字,以此达到两个目的:其一,使不知道如何解密的他人
15、不可能从其截获的乱码中得到任何有意义的信息;其二,使他人不可能伪造任何乱码型的信息。,2006-7-10,大学IT,34,加密和解密,被隐蔽的消息称作明文,通常以m表示,密码可将明文变换成另一种隐蔽形式,称为密文,通常以c表示。这种由明文到密文的变换称为加密。由合法接收者从密文恢复出明文的过程称为解密(或脱密)。非法接收者试图从密文分析出明文的过程称为破译。对明文进行加密时采用的一组规则称为加密算法,通常用E表示。对密文解密时采用的一组规则称为解密算法,通常用D表示。加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的,该秘密信息称为密钥,加密和解密过程中使用的密钥分别称为加密密
16、钥(通常以表示)和解密密钥(通常以表示)。,2006-7-10,大学IT,35,单钥密码 和双钥密码,如果以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。,2006-7-10,大学IT,36,单钥密码 和双钥密码,在单钥体制下,加密密钥与解密密钥相同或从加密密钥可以很容易推导出解密密钥,此时密钥k需经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥,因此,此密码体制的安全性就是密钥的安全。如果密钥泄露,则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。单钥密码的优点是:
17、安全性高,加、解密速度快。单钥密码缺点是:(1)随着网络规模的扩大,密钥的管理成为一个难点;(2)无法解决消息确认问题;(3)缺乏自动检测密钥泄露的能力。,2006-7-10,大学IT,37,单钥密码 和双钥密码,双钥密码是1976年W.Diffie和M.E.Hellman提出的一种新型密码体制。由于双钥密码体制的加密和解密不同,且能公开加密密钥,而仅需保密解密密钥,所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码是1977年由Rivest、Shamir和Adleman三人提出的RSA密码体制。双钥密码的缺点是:双钥密码算法一般比较复杂,加、解密
18、速度慢。,2006-7-10,大学IT,38,单钥密码 和双钥密码,网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制,即对明文加、解密时采用单钥密码,密钥传送则采用双钥密码。这样既解决了密钥管理的困难,又解决了加、解密速度的问题,这无疑是目前解决网络上传输信息安全的一种较好的可行方法。,2006-7-10,大学IT,39,密码系统 分类,如果以密码算法对明文的处理方式为标准,则可将密码系统分为分组密码和序列密码。分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行加密。序列密码的加密过程是把明文序列与等长的密钥序列进行逐位模相加。解密过程则是把密文序
19、列与等长的密钥序列进行逐位模相加。序列密码的安全性主要依赖于密钥序列。,2006-7-10,大学IT,40,8.2.2 网络通信中的加密方式,链路加密方式节点对节点加密方式 端对端加密方式,2006-7-10,大学IT,41,链路加密方式,目前,一般网络安全系统都主要采用这种方式。链路加密方式把网络上传输数据报文的每一个比特进行加密,不但对数据报文正文加密,而且把路由信息、校验等控制信息全部加密。所以,当数据报文传输到某个中间节点时,必须被解密以获得路由信息和校验,进行路由选择,差错检测,然后再被加密,发送给下一个节点,直到数据报文到达目的节点为止。它的优点在于不受由于加、解密对系统要求的变化
20、等的影响,所以容易被采用。,2006-7-10,大学IT,42,节点对节点加密方式,为了解决在节点中数据是明文的缺点,在中间节点里装有用于加、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。因而,明文除了在保护装置里出现外,在节点内是不会出现的。但是这种方式和链路加密方式一样,有一个共同的缺点:需要目前的公共网络提供者配合,修改他们的交换节点,增加安全单元或保护装置。,2006-7-10,大学IT,43,端对端加密方式,在这种方式中,由发送方加密的数据在没有到达最终目的地接受节点之前是不被解密的,加、解密只是在源、目的节点进行。因此,这种方式可以实现按通信对象的要求改变加密密钥以及
21、按应用程序进行密钥管理等,而且采用此方式可以解决文件加密问题。链路加密方式和端对端加密方式的区别在于:链路加密方式是对整个链路的通信采取保护措施,而端对端方式则是对整个网络系统采取保护措施。因此,端对端加密方式是将来的发展趋势。,2006-7-10,大学IT,44,端对端加密方式,目前具体的数据加密实现方法主要有两种:软件加密和硬件加密。软件加密一般是用户在发送信息前,先调用信息安全模块对信息进行加密,然后发送,到达接收方后,由用户用相应的解密软件进行解密,还原成明文。硬件加密可以采用标准的网络管理协议进行管理,也可以采用统一的自定义网络管理协议进行管理。因此密钥的管理比较方便,而且可以对加密
22、设备进行物理加固,使得攻击者无法对其进行直接攻击。,2006-7-10,大学IT,45,8.2.3 著名密码算法简介,数据加密标准(DES)IDEA密码算法 Rijndael算法 RSA算法,2006-7-10,大学IT,46,数据加密标准(DES),DES是一种单钥密码算法,它是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64 bit一组,用长为64 bit的密钥对其进行16轮代换和换位加密,最后形成密文。DES的巧妙之处在于,除了密钥输入顺序之外,其加密和解密的步骤完全相同,这就使得在制作DES芯片时,易于做到标准化和通用化,这一点尤其适合现代通信的需要。目前,破译
23、者能够用穷举法借助网络计算在短短的二十余小时就攻破56位的DES,所以,在坚定的破译者面前,现在可以说DES已经不再安全了。,2006-7-10,大学IT,47,IDEA密码算法,IDEA密码的前身是由中国学者来学嘉和James Messey于1990年完成的PES算法。第二年,在经Biham和Shamir的差分密码分析之后,作者们强化了PES得到了新算法,称为IPES。1992年IPES被更名为IDEA,即国际数据加密算法。IDEA是近年来提出的各种分组密码中一个很成功的方案,已在PGP加密软件中应用。,2006-7-10,大学IT,48,Rijndael算法,1997年4月15日,美国国家
24、标准技术研究所(NIST)发起征集先进加密算法(AES)的活动,并为此成立了AES工作小组,此次活动的目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法,以作为新的数据加密标准。1997年9月12日,美国联邦登记处公布了正式征集AES候选算法的通告。1998年8月12日,15个候选的AES算法被正式公布,经受全世界各机构和个人的攻击和评论。2001年10月2日美国商务部公布高级加密标准最终评估结果,比利时密码专家推荐的Rijndael算法获胜。,2006-7-10,大学IT,49,Rijndael算法,由于具有速度快、安全强度高的特点,Rijndael算法已被广泛应用于身份
25、认证、数字签名、节点加密及各种网络加密。Rijndael算法的软件产品使IC卡、手机等本来难以实现密码算法的领域可以使用密码技术来保证信息安全,Rijndael算法将成为电子商务、电子货币等应用领域中安全问题的基石。,2006-7-10,大学IT,50,RSA算法,RSA是1978年由Rivest、Shamir和Adleman提出的第一个公钥密码体制,也是迄今为止理论上最为成熟完善的一种公钥密码体制。它的安全性是基于大整数的分解困难,而体制的构造是基于数学上的Euler定理。由于RSA涉及高次幂运算,用软件实现速度较慢,尤其是在加密大量数据时。所以,一般用硬件来实现RSA,这样可以提高速度,大
26、约可以得到DES速度的1 500分之一。RSA中的加、解密变换是可交换的互逆变换,所以RSA还可用来作数字签名。,2006-7-10,大学IT,51,8.3 计算机病毒,8.3.1 病毒的原理、特点与传播途径8.3.2 病毒的类型8.3.3 病毒的预防8.3.4 病毒的清除,2006-7-10,大学IT,52,8.3.1 病毒的原理、特点与传播途径,病毒的原理病毒是一种特殊的计算机程序,它可以隐藏在看起来无害的程序中,也可以生成自身的拷贝并插入到其他程序中。病毒通常会进行一些恶意的破坏活动或恶作剧,使用户的网络或信息系统遭受浩劫。比如格式化用户的硬盘、删除程序文件、往文件中加入垃圾、破坏磁盘上
27、的目录和FAT表,甚至有摧毁计算机硬件和软件的能力等。,2006-7-10,大学IT,53,8.3.1 病毒的原理、特点与传播途径,病毒的特点病毒是一种基于硬件和操作系统的程序,任何一种病毒都是针对某种处理器和操作系统编写的,所以,一个Intel处理器上的DOS病毒就不能在Apple公司的Macintosh机器上运行。一般病毒只感染可执行代码,包括引导程序和可执行文件。当然,还有一些特殊的病毒,如Word宏病毒。,2006-7-10,大学IT,54,病毒的传播途径计算机病毒尽管在产生过程、破坏程度等方面各不相同,但其本质特点却非常相似,概括起来有下列几个特点:破坏性、传染性、隐藏性(病毒程序总
28、是隐藏在其他合法文件和程序中)、可激活性(病毒发作有一定条件,当这些条件满足时,病毒就会被激活)、针对性。计算机病毒的主要传播途径有:磁盘、光盘和网络。,8.3.1 病毒的原理、特点与传播途径,2006-7-10,大学IT,55,8.3.2 病 毒 的 类 型,系统引导型病毒文件型病毒 宏病毒 混合型病毒网络蠕虫病毒,2006-7-10,大学IT,56,系统引导型病毒,指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录
29、病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。,2006-7-10,大学IT,57,文件型病毒,文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中,并等待程序运行,病毒会驻留在内存中,企图感染其他文件,并破坏系统。当病毒已经完成工作后,其宿主程序才被运行,使系统看起来一切正常。和引导扇区病毒不同,文件型病毒把自己附着或追加在*.exe和*.com这样的可执行文件上。根据附着类型不同,可将文件型病毒分为三类:覆盖型、前/后附加型和伴随型。,2006-7
30、-10,大学IT,58,宏病毒,Windows Word宏病毒是利用Word提供的宏功能,将病毒程序插入到带有宏的doc文件或dot文件中。这类病毒种类很多,传播速度很快,往往对系统或文件造成破坏。比较典型的宏病毒是台湾号和号。当打开被它们感染的文档后,就会给出一道数学题,要求用户回答。如果用户的答案错了,将会有十余个文档窗口被打开。然后,它又给出一道题,如果再算错了,又将会有十余个文档窗口被打开。如此继续下去,直到消耗完计算机上的系统资源为止。,2006-7-10,大学IT,59,混合型病毒,指具有引导型病毒和文件型病毒寄生方式的计算机病毒,所以它的破坏性更大,传染的机会也更多,杀灭也更困难
31、。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等。,2006-7-10,大学IT,60,网络蠕虫病毒,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。在产生的破坏性上,蠕虫病毒也不
32、是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。这类病毒常见的有爱虫(I LOVE YOU)病毒、梅利莎(Melissa)、新快乐时光病毒等。,2006-7-10,大学IT,61,8.3.3 病毒的预防,在思想上有反病毒的警惕性,依靠技术和管理措施,就完全可以限制其传播。“预防为主、治疗为辅”这一方针也完全适合于计算机病毒的处理。最重要的是思想上要重视计算机病毒可能会带来的危害:轻则影响工作,重则将信息系统中存储的无价数据和程序全部破坏,引起系统瘫痪,造成无法估计的损失计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等
33、。计算机病毒的预防应该包括两个部分:对已知病毒的预防和对未来病毒的预防。目前,对已知病毒预防可以采用特征判定技术或静态判定技术,对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。,2006-7-10,大学IT,62,8.3.4 病毒的清除,清除病毒的原则:(1)计算机病毒的清除工作最好在无毒的环境中进行,以确保清除病毒的有效性。为此要求在清除病毒前用无毒的计算机系统引导盘启动系统,或清除内存的计算机病毒。(2)把启动系统的系统盘和杀毒软件盘加上写保护,以防止被感染病毒。(3)在清除病毒前,一定要确认系统或文件确实被感染病毒,并准确判断病毒的类型,以保证清毒有效,否则,可能会破坏原有的系
34、统文件。(4)尽可能地找出病毒的宿主程序,搞清病毒传染的是引导区还是文件,或者是两者都被传染,以便找准清除病毒的最佳方法。,2006-7-10,大学IT,63,8.3.4 病毒的清除,(5)不要使用激活病毒的方法检测病毒,因为在激活病毒的同时,计算机系统可能已经被破坏了。(6)清除工作要深入而全面,为保证清除工作的正确性,要对检测到的病毒进行认真分析研究,尤其对自身加密的病毒引起重视,把修改过的文件转换过来,否则清除病毒后的文件无法使用。(7)不能用病毒标识免疫方法清除病毒。(8)对于那些既感染文件又感染引导区的病毒,在清除文件病毒之后,还应该清除引导区中的病毒代码,以防止这些代码重新生成计算
35、机病毒。(9)在对文件的病毒清除之后,必须检查系统中其他同类文件是否也感染了此病毒,避免清除病毒后系统再次运行时又出现此病毒。,2006-7-10,大学IT,64,8.4 防火墙,8.4.1 防火墙的概念8.4.2 防火墙的类型8.4.3 防火墙体系结构8.4.4 防火墙产品介绍,2006-7-10,大学IT,65,8.4.1 防火墙的概念,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它能增强机构内部网络的安全性。因特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃
36、取。,2006-7-10,大学IT,66,8.4.1 防火墙的概念,防火墙应具有以下五大基本功能:(1)过滤进出网络的数据包;(2)管理进出网络的访问行为;(3)封堵某些禁止的访问行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。,2006-7-10,大学IT,67,8.4.1 防火墙的概念,防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种想法,即
37、“谁”和“什么”能被允许访问本网络。“谁”和“什么”极大地影响了如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要直觉、创造和逻辑的共同作用。,2006-7-10,大学IT,68,8.4.2 防火墙的类型,按照防火墙保护网络使用方法的不同,可将防火墙分为三种类型:网络层防火墙、应用层防火墙和链路层防火墙。,2006-7-10,大学IT,69,8.4.2 防火墙的类型 网络层防火墙,网络层防火墙是一种典型的屏蔽路由器或是一种特别的计算机,它是通过检查数据包地址来决定是否允许数据包进入本地网。数据包中包含发送者和接受者的IP地址及关于数据包的其他一些信息,防火墙就是使用数据包的这些信息
38、来管理数据包的权限。,2006-7-10,大学IT,70,8.4.2 防火墙的类型 应用层防火墙,应用层防火墙通常是运行代理服务器软件的主机。所谓代理,指的是进行存取控制和过滤的程序,是位于客户机与服务器之间的中继。代理系统通常包括两部分:代理服务程序和客户程序。代理服务程序在客户程序和真正的服务器程序之间起到一个中间节点的作用。客户程序与这个中间节点(即代理)连接,然后中间节点与真正的服务器连接。内外网之间不存在直接连接。,2006-7-10,大学IT,71,8.4.2 防火墙的类型 链路层防火墙,链路层防火墙在作为代理服务器方面与应用层防火墙类似。不同的是,链路层防火墙并不要求你使用专门代
39、理客户应用程序。对于诸如FTP、HTTP等网络支持的每种服务,应用层防火墙要求有专门的代理软件,而链路层防火墙在客户机和服务器之间建立链路,但不要求每个应用程序都了解服务。换句话说,链路层防火墙是保护事务的开始,但并不干涉事务的进行。链路层防火墙的优点是:能给服务提供广泛的协议。链路层防火墙允许你的用户继续运行他们现有的软件。另外,链路层防火墙只使用单一的代理服务器,更容易维护。,2006-7-10,大学IT,72,8.4.3 防火墙体系结构,双宿网关防火墙 屏蔽主机防火墙 屏蔽子网防火墙,2006-7-10,大学IT,73,双宿网关防火墙,双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一
40、种拥有两个连接到不同网络上的网络接口的防火墙。这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。双重宿主主机是惟一的隔开内部网和外部因特网之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双重宿主主机应具有强大的身份认证系统,才可以阻挡来自外部不可信网络的非法登录。,2006-7-10,大学IT,74,屏蔽主机防火墙,屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机(一种被强化的可以防御进攻的计算机)相连接,而不让它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。在采用屏蔽主
41、机防火墙的情况下,过滤路由器是否正确配置是这种防火墙安全与否的关键。屏蔽主机这种体系结构中,堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在,所以,一旦堡垒主机被攻破,内部网将完全暴露。为了改进这一缺点,可以使用屏蔽子网。,2006-7-10,大学IT,75,屏蔽子网防火墙,屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这种防火墙系统最安全,它定义了“非军事区”网络,支持网络层和应用层安全功能。堡垒主机往往是受侵袭的对象,虽然堡垒主机很坚固,不易被入侵者控制,但万一堡垒主机被控制,如果采用了屏蔽子网体系结构,入侵者仍然不能直接侵袭内部网络,因为内部网络仍受到内部过滤路由器的保护
42、。若没有“非军事区”,入侵者控制了堡垒主机后就可以监听整个内部网络的对话。,2006-7-10,大学IT,76,8.4.4 防火墙产品介绍,防火墙产品众多,每种产品都具有自己独特的技术手段。选择安装防火墙产品之前,应先搞清楚自己的网络规模和具体应用需求,再充分地了解各种产品的功能及适用范围。本教材的配套实验教材介绍了瑞星防火墙的操作方法。,2006-7-10,大学IT,77,8.5 入侵检测,8.5.1 入侵检测概念8.5.2 入侵检测系统的工作原理8.5.3 入侵检测的分类,2006-7-10,大学IT,78,8.5.1 入侵检测概念,入侵检测系统(Intrusion Detection S
43、ystem,简称IDS),是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。如果把防火墙比作门卫的话,入侵检测系统则是网络中不间断的摄像机,它通过监听的方式不间断地对网络主机上的数据进行分析,判断是否有攻击的意图,如果有,则做出响应,而且它的活动对网络性能和运行影响甚微。可见,入侵检测系统不但可以检测到来自外部的攻击,而且可以发现内部的恶意破坏行为,是网络主机的第二道闸门。它与防火墙相辅相成,构成了信息安全比较完美的解决方案。,2006-7-10,大学IT,79,8.5.2 入侵检测系统的工作原理,信息收
44、集数据分析 响应,2006-7-10,大学IT,80,信息收集,信息收集的内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但来自几个源的信息的不一致性却是可疑行为或入侵的最好标识。IDS利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。,2006-7-10,大学IT,81,数据分析,对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配统计
45、分析完整性分析,2006-7-10,大学IT,82,数 据 分 析 模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒、防火墙采用的方法一样,检测准确率和效率都相当高。该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。,2006-7-10,大学IT,83,数 据 分 析 统计分析方法,统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作
46、失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。,2006-7-10,大学IT,84,数 据 分 析 完整性分析,完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性。优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不利于实时响应。,2006-7-10,大学IT,85,响 应,理想的入侵检测系统应提供起重要作用的响应模块,根据分析所得的结果选择合适的响应选项来解决以下问题:攻击追踪。追查攻击者的真实来源。躲避
47、攻击。重新配置辅助系统(如直接修改防火墙或路由器的过滤表)或切断任何尝试性连接。自愈。根据新发现的安全隐患和漏洞及相应攻击模式库,自动修正系统配置和安全缝隙。快速恢复。实现受害部位的定位和隔离,以及系统功能的重组和恢复。,2006-7-10,大学IT,86,8.5.3 入侵检测的分类,根据不同的标准,入侵检测系统有不同的分类方法。以检测对象为标准,主要分为三类:基于主机的入侵检测系统基于网络的入侵检测系统混合入侵检测系统,2006-7-10,大学IT,87,基于主机的入侵检测系统,主机型入侵检测系统通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断
48、。,2006-7-10,大学IT,88,基于网络的入侵检测系统,网络型入侵检测系统一般放在比较重要的网段内,不停的监视网段中的各种数据包,并对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。,2006-7-10,大学IT,89,混合入侵检测系统,混合入侵检测系统是上述两类入侵检测技术的无缝结合。基于网络的入侵检测技术和基于主机的入侵检测技术都有不足之处,但是,它们的缺憾是互补的。混合入侵检测系统综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。,2006-7-10,大学IT,90,谢谢使用本课件!,