计算机安全ppt课件.ppt

精选ppt,1,网 络 安 全,普通高等教育“十一五”国家级规划教材高等院校信息安全专业系列教材,胡道元 闵京华 主编,精选ppt,2,自身缺陷开放性黑客攻击,网络不安全的原因,精选ppt,3,信息:是从调查、研究和教育获得的知识，是情报、新闻、事实、数据，是代表数据的信号或字符，是代表物质的或精神的经验的消息、经验数据、图片。安全:是避免危险、恐惧、忧虑的度量和状态。 信息安全：信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。,1.1.1 网络安全的概念,精选ppt,4,计算机网络:计算机网络是地理上分散的多台自主计算机互联的集合。网络安全:是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或被非授权使用和篡改。,精选ppt,5,网络安全具有三个基本属性：机密性、完整性、可用性。1. 机密性(Confidentiality)机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。信息的机密性，对于未授权的个体而言，信息不可用,1.1.2 网络安全的属性,精选ppt,6,物理层，要保证系统实体不以电磁的方式（电磁辐射、电磁泄漏）向外泄漏信息，主要的防范措施是电磁屏蔽技术、加密干扰技术等。在运行层面，要保障系统依据授权提供服务，使系统任何时候不被非授权人所使用。在数据处理、传输层面，要保证数据在传输、存储过程中不被非法获取、解析，主要防范措施是数据加密技术。,精选ppt,7,2. 完整性(Integrity)完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。数据完整性，未被未授权篡改或者损坏；系统完整性，系统未被非法操纵，按既定的目标运行。,精选ppt,8,3. 可用性(Availability)可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。服务的连续性，即，具有按要求顺序使用的特性,精选ppt,9,网络安全的其它属性,真实性authenticity个体身份的认证，适用于用户、进程、系统等可控性Controlability授权机构可以随时控制信息的机密性可靠性Reliability行为和结果的可靠性、一致性,精选ppt,10,精选ppt,11,网络安全的目的,精选ppt,12,1.1.3 网络安全层次结构,精选ppt,13,OSI环境中的数据传输过程,精选ppt,14,OSI环境中的数据传输过程,精选ppt,15,网络安全层次图,网络安全层次,精选ppt,16,精选ppt,17,精选ppt,18,网络安全的层次体系,从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。（一）物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。（二）逻辑安全需要用口令、文件许可等方法来实现。（三）操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。（四）联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。,精选ppt,19,网络安全模型,精选ppt,20,开放网络环境中提供的安全机制和安全服务主要包含两个部分：对发送的信息进行与安全相关的转换。由两个主体共享的秘密信息，而对开放网络是保密的。为了完成安全的处理，常常需要可信的第三方。,精选ppt,21,设计网络安全系统时，该网络安全模型应完成4个基本任务：（1） 设计一个算法以实现和安全有关的转换。（2） 产生一个秘密信息用于设计的算法。（3） 开发一个分发和共享秘密信息的方法。（4） 确定两个主体使用的协议，用于使用秘密算法与秘密信息以得到特定的安全服务。,精选ppt,22,黑客攻击形成两类威胁：一类是信息访问威胁，即非授权用户截获或修改数据；另一类是服务威胁，即服务流激增以禁止合法用户使用。,精选ppt,23,对非授权访问的安全机制可分为两类：第一类是网闸功能，包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击；第二类是内部的安全控制，一旦非授权用户或软件攻击得到访问权，第二道防线将对其进行防御，包括各种内部控制的监控和分析，以检测入侵者。,精选ppt,24,网络安全评价标准,美国TCSEC可信计算机安全评估准则（又称美国橙皮书）把安全的级别分成4大类7级。,精选ppt,25,安全级别,精选ppt,26,风险分析,精选ppt,27,风险=威胁+漏洞,网络不安全的原因,精选ppt,28,风险分析的最终目标是制定一个有效的、节省的计划来看管资产。任何有效的风险分析始于需要保护的资产和资源的鉴别，资产的类型一般可分成以下4类。,2.1 资产保护 2.1.1 资产的类型,精选ppt,29,（1） 物理资源物理资源是具有物理形态的资产。（2） 知识资源（3） 时间资源（4） 信誉（感觉）资源,精选ppt,30,攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过modem池的访问等。潜在的攻击来自多方面，包括组织内部的员工、临时员工和顾问、竞争者、和组织中具有不同观点和目的的人、反对这个组织或其员工的人但是，对攻击可能性的分析在很大程度上带有主观性。,2.1.2 潜在的攻击源,精选ppt,31,资产的两类损失：即时的损失长期恢复所需花费，也就是从攻击或失效到恢复正常需要的花费特殊的：维护安全本身也是一种损失。因此还需要安全强度和安全代价的折中。考虑四个方面：,2.1.3 资产的有效保护,精选ppt,32,（1） 用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。（2） 管理的复杂性。对增加安全强度的网络系统要易于配置、管理。（3） 对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。（4） 对不同平台的支持。网络安全系统应能适应不同平台的异构环境的使用。,精选ppt,33,图2.1 安全强度和安全代价的折中,精选ppt,34,从安全属性来看，攻击类型可分为阻断攻击、截取攻击、篡改攻击、伪造攻击 4类。,2.2 攻击 2.2.1 攻击的类型,精选ppt,35,正常情况下的信息流动：（1） 阻断攻击使信息系统被毁坏或不能使用，即，对可用性进行攻击如部分硬件（硬盘）的毁坏，通信线路的切断，文件管理系统的瘫痪等。,精选ppt,36,（2） 截取攻击一个非授权方介入系统的攻击，破坏保密性(confidentiality).这种攻击包括搭线窃听，文件或程序的不正当拷贝。密码窃听，会话劫持。,精选ppt,37,（3） 篡改攻击一个非授权方不仅介入系统而且在系统中进行篡改的攻击，破坏完整性（integrity）。这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。对协议的攻击，缓冲区溢出。,精选ppt,38,（4） 伪造攻击一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。冒充，phishing(电子邮件欺诈 ;网上银行、网上证券网站 ;虚假电子商务信息 ;)。,精选ppt,39,攻击分类：被动攻击与主动攻击 被动攻击，如窃听或者偷窥，非常难以被检测到，但可以防范release of message content报文内容的泄露traffic analysis流量分析主动攻击，常常是对数据篡改及破坏 ，可以被检测到，难以防范Masquerade伪装 Replay重放modification of message消息篡改denial of service 拒绝服务,2.2.2 主动攻击与被动攻击,精选ppt,40,被动攻击常见的被动攻击：窃听、监听攻击者的目的是获取正在传输的信息。,精选ppt,41,2. 主动攻击主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可分成4类：（1） 伪装伪装是一个实体假装成另一个实体。（2） 重放重放攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。,精选ppt,42,攻击目的,动机： 1、破坏目标工作 2、窃取目标信息 3、控制目标计算机 4、利用假消息欺骗对方目的： 1、破坏 2、入侵,精选ppt,43,入侵者进入系统的主要途径有：,l物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。 l本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 l远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。,精选ppt,44,入侵的级别,1级：邮件炸弹、简单服务拒绝2级：本地用户获得非授权读访问3级、本地用户获得非授权写权限、远程用户获得非授权的帐号4级：远程用户获得特权文件的读权限5级：远程用户获得了特权文件的写权限6级：远程用户拥有了根（root）权限（黑客已攻克系统）。,精选ppt,45,网络攻击的步骤,攻击的准备阶段攻击的实施阶段攻击的善后阶段,精选ppt,46,精选ppt,47,网络攻击步骤详解1,攻击的准备阶段1.确定攻击目的社会工程学攻击2.准备攻击工具(1)选择熟悉的工具(2)优先考虑多种工具的配合使用(3)选择扫描工具时要慎重(4)尽量使用自己编写的软件。3.收集目标信息,精选ppt,48,网络攻击步骤详解2,攻击的实施阶段第一步：隐藏自已的位置（IP）第二步：利用收集到的信息获取账号和密码，登录主机第三步：利用漏洞或者其它方法获得控制权并窃取网络资源和特权,精选ppt,49,网络攻击步骤详解3,攻击的善后阶段 日志： *删除日志文件 *修改日志文件中有关自己的那一部分 植入木马，留下后门,精选ppt,50,典型的网络攻击示意图,精选ppt,51,总结一下：攻击五部曲,一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP或IP欺骗2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身,精选ppt,52,1、隐藏IP,假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用IP欺骗的攻击手段。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。,精选ppt,53,1、隐藏IP,第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。对目标的攻击威胁通常通过代理实现，而代理需要的特性包括：1、访问目标的能力 2、对目标发出威胁的动机3、有关目标的知识,精选ppt,54,2、踩点扫描,踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。,精选ppt,55,3、获得系统或管理员权限,得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。,精选ppt,56,4、种植后门,为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。,精选ppt,57,5、在网络中隐身,一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。,精选ppt,58,常见攻击实例分析,当你感觉到你的Windows运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，最有可能受到了拒绝服务攻击。,精选ppt,59,总结,攻击技术主要包括以下几个方面。（1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。,精选ppt,60,总结,防御技术主要包括以下几个方面。（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。（3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。（5）网络安全协议：保证传输的数据不被截获和监听。,精选ppt,61,入侵检测,精选ppt,62,入侵检测,精选ppt,63,入侵检测（IDS instruction detection system）是从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象的一种机制。,13.1 入侵检测概述 13.1.1 入侵检测的概念,精选ppt,64,入侵检测系统基本上不具有访问控制的能力，一般工作流程如下：首先对数据包流进行信息收集；然后对数据包流分析，从数据流中过滤出可疑数据；最后将上述数据与已知的入侵方式进行对比，确定入侵是否发生及入侵类型，进行报警。,精选ppt,65,入侵检测系统工作流程,（1）信息收集 （2）分析引擎 （3）响应部件,精选ppt,66,信息搜集,精选ppt,67,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点,精选ppt,68,信息收集,入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息,精选ppt,69,信息收集的来源,系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为,精选ppt,70,系统或网络的日志文件,攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,精选ppt,71,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件,精选ppt,72,分析引擎,精选ppt,73,分析引擎,模式匹配 统计分析 完整性分析，往往用于事后分析,精选ppt,74,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）,精选ppt,75,统计分析,统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生,精选ppt,76,完整性分析,完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效,精选ppt,77,响应部件,精选ppt,78,响应动作,简单报警切断连接封锁用户改变文件属性最强烈反应：回击攻击者,精选ppt,79,CIDF阐述了一个入侵检测系统的基本模型，如下图所示：,13.1.2 入侵检测系统的基本结构,精选ppt,80,根据入侵检测系统的检测对象，入侵检测系统主要分成两大类：基于主机的入侵检测系统；基于网络的入侵检测系统。,13.2 入侵检测系统分类,精选ppt,81,13.2.1 基于主机的入侵检测系统,基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。根据检测对象的不同，基于主机的入侵检测系统可以分为：网络连接检测和主机文件检测。,精选ppt,82,基于主机的入侵检测系统优缺点,优点： 检测准确度高；可以检测到没有明显行为特征的入侵；能够对不同的操作系统进行有针对性的检测；成本较低；适应加密和交换环境。缺点： 无法监视整个网段的通信 ；要求在大量的主机上安装和管理软件；实时性较差。,精选ppt,83,13.2.2 基于网络的入侵检测系统,基于网络的入侵检测系统通常是作为一个独立的个体放置在被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。,精选ppt,84,基于网络的入侵检测系统优缺点,优点 可以提供实时的网络行为检测；可以同时保护多台网络主机；具有良好的隐蔽性；有效保护入侵检测证据；不影响被保护主机的性能及服务。缺点 防入侵欺骗的能力较差；在交换式网络环境中难以配置；检测性能受硬件条件限制；不能处理加密后的数据。,精选ppt,85,恶意代码与计算机病毒,精选ppt,86,恶意代码通常是指没有作用却会带来危险的代码 。恶意代码一般具有具有如下共同特征： （1） 恶意的目的 （2） 本身是程序 （3） 通过执行发生作用,14.1 恶意代码14.1.1恶意代码的概念,精选ppt,87,分类标准一：是否需要宿主分类标准二：是否能够自我复制（1）不感染的依附性恶意代码（2）不感染的独立性恶意代码（3）可感染的依附性恶意代码（4）不感染的独立性恶意代码,14.1.2恶意代码的分类,精选ppt,88,恶意代码的分类实例,14.1.2恶意代码的分类,精选ppt,89,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒。,14.2 计算机病毒14.2.1计算机病毒的概念,精选ppt,90,计算机病毒特征,1.传染性：指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权3. 隐蔽性：通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 4. 破坏性： 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏5. 潜伏性： 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 6. 不可预见性,精选ppt,91,网络病毒新的特点,主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长变种多，容易编写，并且很容易被修改，生成很多病毒变种 融合多种网络技术，并被黑客所使用,精选ppt,92,14.2.2计算机病毒的结构,计算病毒主要由潜伏机制、传染机制、表现机制构成。,计算机病毒程序,潜伏机制模块,传染机制模块,表现机制模块,精选ppt,93,14.3计算机病毒防治措施,建立、健全法律和管理制度加强教育和宣传采取更有效的技术措施系统安全软件过滤文件加密后备恢复其它有效措施等,