信息系统攻击与防御(第十章).ppt
《信息系统攻击与防御(第十章).ppt》由会员分享,可在线阅读,更多相关《信息系统攻击与防御(第十章).ppt(41页珍藏版)》请在三一文库上搜索。
1、第十章 安全相关专题介绍,计算机病毒 访问控制 身份和信任管理 计算机信息安全标准简介 防火墙 蜜罐介绍 IDS 介绍,内容简介,本章主要介绍了与安全相关的一些专题,包括:计算机病毒;访问控制;身份和信任管理;计算机信息安全标准简介;防火墙;蜜罐;IDS等。,10.1.计算机病毒,什么是计算机病毒: 下将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。,10.1.计算机病毒(续),什么是计算机病毒 从广义上讲,病毒可以归为2类:引导区病毒和文件型病毒。 1. 引导区病毒 引导区病毒隐藏在硬盘或软盘的引导区(Boot区),当计算机从感染了引导区病毒的硬盘或软盘启动,或是当计算
2、机从受感染的软盘里读取数据时,引导区病毒就开始发作。一旦它们把自己复制到计算机的内存里,就会感染其他磁盘的引导区或是通过网络传播到其他计算机上。 2. 文件型病毒 文件型病毒寄生在其他文件中,常常通过对它们的编码加密或是使用其他技术来隐藏。文件型病毒把用来启动主程序的可执行命令劫夺过去,当作它自己的运行命令。该病毒还常常会把控制还给主程序,为的是让计算机系统显得正常。,10.1.计算机病毒(续),什么是计算机病毒 3宏病毒和脚本病毒 宏病毒是一种特殊的文件型病毒。宏病毒是在一些软件开发商开始在他们的产品中引入宏语言,并允许这些产品生成载有宏的数据文件之后出现的。例如,微软的Office产品系列
3、包括很多的微软Visual Basic程序语言,这些语言使Microsoft Word和Microsoft Excel可以自动操作模板和文件的生成。第一个宏病毒Concept是在微软刚刚在Word中引入宏之后立刻出现的。 4多重分裂病毒 近几年来,引导区病毒和文件型病毒之间的界限变得相当的模糊。许多病毒既能感染文件,也可以感染磁盘引导区。多重分裂病毒就是这样的病毒,它可以通过被感染的文件传播,也可以在硬盘或软盘运行的时候感染它们的引导区。现代病毒很少只使用一种方法,大多都使用以上两种,有的还使用了其他的方法。 5网络蠕虫程序 网络蠕虫程序是一种通过间接方式而不是直接复制自己来传播的恶意软件。有
4、些网络蠕虫拦截E-mail系统并向世界各地发送自己的复制品,有些则出现在高速下载站点中,当然还有些同时使用这两种方法与其他技术一起传播。 蠕虫程序与病毒一样具有破坏性,传播速度比病毒还要快。蠕虫的制作者经常利用用户的心理因素,诱使用户下载并运行蠕虫。臭名昭著的“美丽莎”病毒,就是一种使用E-mail系统以惊人速度传播的蠕虫程序。它的传播速度之快史无前例,成千上万的病毒感染造成许多邮件服务器先后崩溃,人们为清除它耗费了大量的精力。,10.1.计算机病毒(续),什么是计算机病毒 6病毒的特征代码 大部分的防毒软件都使用各自的特征代码来查找某些固定的病毒。特征代码是区分病毒代码与其他文件或数据的一段
5、特殊的字节。这段代码有时是病毒内的一种数据类型,有时是加密法或者解密法,或者是其他的识别特征。有些病毒使用一种明显的信号在被它们感染的文件上挂上类似“请勿打扰”的标志,否则病毒就会重复感染文件并使文件长度无限变大,这样很容易被发觉。,10.1.计算机病毒(续),病毒传播途径与危害 计算机病毒的传播途径主要有: 1.通过文件系统传播; 2.通过电子邮件传播; 3.通过局域网传播; 4.通过互联网上即时通讯软件和点对点软件等常用工具传播; 5.利用系统、应用软件的漏洞进行传播; 6.利用系统配置缺陷传播,如弱口令、完全共享等; 7.利用欺骗等社会工程的方法传播。,10.1.计算机病毒(续),计算机
6、病毒原理 计算机病毒是一段执行程序。所谓执行程序是计算机要处理的一种数据,一般存放在内存中,可由计算机的中央处理器(CPU)逐条加以执行。 计算机病毒一定是寄生在某个有用的执行程序之上,这个有用的执行程序称之为计算机病毒的宿主。 将自身复制到其它执行程序之上是判定一个执行程序是否是计算机病毒的重要因素。,10.1.计算机病毒(续),计算机病毒的特征 1.非授权可执行性 2.隐蔽性 3.传染性 4.潜伏性 5.表现性或破坏性 6.可触发性,10.1.计算机病毒(续),用户计算机中毒的24种症状: 1.是计算机系统运行速度减慢; 2.是计算机系统经常无帮故发生死机; 3.是计算机系统中的文件长度发
7、生变化; 4.是计算机存储的容量异常减少; 5.是系统引导速度减慢; 6.是丢失文件或文件损坏; 7.是计算机屏幕上出现异常显示; 8.是计算机系统的蜂鸣器出现异常声响; 9.是磁盘卷标发生变化; 10.是系统不识别硬盘; 11.是对存储系统异常访问; 12.是键盘输入异常;,10.1.计算机病毒(续),用户计算机中毒的24种症状: 13.是文件的日期、时间、属性等发生变化; 14.是文件无法正确读取、复制或打开; 15.是命令执行出现错误; 16.是虚假报警; 17.是换当前盘。有些病毒会将当前盘切换到C盘; 18.是时钟倒转。有些病毒会命名系统时间倒转,逆向计时; 19.是WINDOWS操
8、作系统无故频繁出现错误; 20.是系统异常重新启动; 21.是一些外部设备工作异常; 22.是异常要求用户输入密码。 13.是WORD或EXCEL提示执行“宏”; 24.是不应驻留内存的程序驻留内存。,10.1.计算机病毒(续),网络蠕虫和特洛伊木马程序 : 网络蠕虫(worm)主要是利用操作系统和应用程序漏洞传播,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序,可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成:一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用
9、程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。 特洛伊木马程序(Trojan horse)是一个隐藏在合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话。 对于木马的防范可以采取以下措施: 1.不要执行任何来历不明的软件或程序: 2.不要轻易打开陌生邮件,或许当你打开的同时就已经中了别人设置的木马; 3.不要因为对方是你的好朋友就轻易执行他发过来的软件或程序,因为你不确信他是否也像你一样装上了病毒防火墙,也许你的朋友已经中了黑客程序自己却不知道!同时,你也不能担保是否有别人冒他的名给你发mail; 4.千万
10、不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑收集起来。,10.1.计算机病毒(续),计算机病毒防治策略 : 计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 1.防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而
11、言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。 2.查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。 3.解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。 解毒能力是指从感染对象中清除病毒,
12、恢复被病毒感染前的原始信息的能力。,10.1.计算机病毒(续),计算机病毒诊断方法 : 通常计算机病毒的检测方法有两种: 1.手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。 2.自动检测。是
13、指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。,10.1.计算机病毒(续),网络病毒的清理和防治 : 网络病毒的清理防治方法主要有: 1.全面地与互联网结合,对网络层、邮件客户端进行实时监控,防止病毒入侵; 2.快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案; 3.病毒防治产品完善的在线升级,随时拥有最新的防病毒能力; 4.对病毒经常攻击的应用程序提供重点保护(如Of
14、fice、Outlook、IE、ICQ/QQ等); 5.获取完整、即时的反病毒咨询,尽快了解新病毒的特点和解决方案。 。,10.2.访问控制,访问控制是网络安全防范和保护的主要核心策略,它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施,也是计算机系统最重要和最基础的安全机制。,10.2.访问控制 (续),访问控制的基本概念 : 1主体(Subject) 主体是指主动的实体,是访问的发起者,它造成了信息的流动和系统状态的改变,主体通常包括人、进程和设备。 2客体(Ob
15、ject) 客体是指包含或接受信息的被动实体,客体在信息流动中的地位是被动的,是处于主体的作用之下,对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。 3访问(Access) 访问(Access)是使信息在主体(Subject)和客体(Object)之间流动的一种交互方式。 4访问许可(Access Permissions) 访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权
16、核查、日志和审计等等。,10.2.访问控制 (续),访问控制的基本概念 : 1主体(Subject) 主体是指主动的实体,是访问的发起者,它造成了信息的流动和系统状态的改变,主体通常包括人、进程和设备。 2客体(Object) 客体是指包含或接受信息的被动实体,客体在信息流动中的地位是被动的,是处于主体的作用之下,对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。 3访问(Access) 访问(Access)是使信息在主体(Subject)和客体(Object)之间流动的一种交互方式。 4访问许可(Access Permissions) 访问控制决定了谁能够
17、访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等等。,10.2.访问控制 (续),访问控制策略 : 访问控制涉及的领域很广,方法也很多,通常访问控制策略可以划分为三种: 自主访问控制 强制访问控制 基于角色的访问控制,10.2.访问控制 (续),自主访问控制(Discretionary Access Control)是一种允许主体对访问控制施加特定限制的访问控制类型。它允许主体针对访问资源的用户设置访问控制权限
18、,用户对资源的每次访问都会检查用户对资源的访问权限,只有通过验证的用户才能访问资源。自主访问控制是基于用户的,故此具有很高的灵活性,这使得这种策略适合各类操作系统和应用程序,特别是在商业和工业领域。例如,在很多应用环境中,用户需要在没有系统管理员介入的情况下,拥有设定其他用户访问其所控制信息资源的能力,因此控制就具有很大的任意性。在这种环境下,用户对信息的访问控制是动态的,这时采用自主访问控制就比较合适。 自主访问控制包括身份型(Identity-based)访问控制和用户指定型(User-directed)访问控制,通常包括目录式访问控制,访问控制表,访问控制矩阵和面向过程的访问控制等方式。
19、,10.2.访问控制 (续),强制访问控制(Mandatory Access Control)是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制,通过比较资源的敏感性与主体的级别来确定是否允许访问。系统将所有主体和客体分成不同的安全等级,给予客体的安全等级能反映出客体本身的敏感程度;主体的安全等级,标志着用户不会将信息透露给未经授权的用户。通常安全等级可分为四个级别:最高秘密级(Top Secret)、秘密级(Secret)、机密级(Confidential)以及无级别级(Unclassified),其级别顺序为TSSCU。这些安全级别可以支配同一级别或低一级
20、别的对象。 当一个主体访问一个客体时必须符合各自的安全级别需求,特别是如下两个原则必须遵守: Read Down:主体安全级别必须高于被读取对象的级别; Write up:主体安全级别必须低于被写入对象的级别。 这些规则可以防止高级别对象的信息传播到低级别的对象中,这样系统中的信息只能在同一层次传送或流向更高一级。,10.2.访问控制 (续),基于角色的访问控制(Role Based Access Control)是指在应用环境中,通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。系统只问用户是什么角色,而不管用户是谁。角色可以理解成为其工作涉及相同行为和责任范围
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 攻击 防御 第十
链接地址:https://www.31doc.com/p-3425459.html