ch13计算机安全.ppt

出于玩笑或恶作剧，编制的“病毒性”程序。这类病 毒一般都是良性的，不会有破坏操作 出于报复心理，一些编程高手编制一些危险的程序 出于版权保护，有些软件开发商在自己的产品中制 作了一些特殊程序 出于特殊目的，某组织或个人，对政府机构、单位 的特殊系统进行宣传或破坏 计算机病毒编制的目的 传染性 破坏性 隐蔽性 潜伏性 非授权性 不可预见性 计算机病毒的特点 根据病毒存在的媒体：网络病毒，文件病毒，引导 型病毒 根据病毒传染的方法：驻留型病毒和非驻留型病毒 根据病毒破坏的能力：无害型、无危险型、危险型 、非常危险型 根据病毒的算法：伴随型病毒、“蠕虫”型病毒、寄 生型病毒、变型病毒 计算机病毒的类型 日期触发 时间触发 键盘/鼠标触发 感染触发 启动触发 磁盘访问次数触发 调用中断功能触发 CPU/主板型号触发 组合条件触发 计算机病毒的触发条件 攻击系统数据区 攻击文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 干扰键盘操作 攻击CMOS 干扰打印机 计算机病毒的破坏行为 实时反病毒技术 主动内核技术 数字免疫系统 监控病毒源技术 分布式处理技术 反病毒技术 云查杀 13.4 防火墙系统 防火墙：是一种由计算机硬件和软件组成的，一 个或一组系统,用于增强内部网络和Internet之 间的访问控制 Internet 防火墙 内部网 防火墙的优点： 保护那些易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 对网络存取访问进行记录和统计 防火墙的缺点： 不能防范不经由防火墙的攻击 如果内部网用户与Internet服务提供商建立直接的SLIP或 　PPP连接,则绕过防火墙系统所提供的全保护 不能防范人为因素的攻击 不能防止受病毒感染的软件或文件的传输 不能防止数据驱动式的攻击,当有些表面看来无害的数据邮 　寄或拷贝到内部网的主机上并执行时,可能会发生数据驱动 　式的攻击。例如, 一种数据驱动式的攻击可以使主机修改 　与系统安全有关的配置文件，从而使入侵者下一次更容易 　攻击该系统 第一代防火墙：基于路由器的防火墙 第二代防火墙：用户化的防火墙工具套 第三代防火墙：基于通用操作系统的防火墙 第四代防火墙：具有安全操作系统的防火墙 你最喜欢哪个防火墙：天网、瑞星、360、江民？ 防火墙产品中，国外主流厂商为思科、NetScreen、CheckPoint等，国内主流厂商为东软、天融信、网御神州、联想、方正 防火墙的发展 13.5 入侵检测系统 入侵检测：是对入侵行为的发觉。它通过从计算 机网络或计算机系统的关键点收集信息并进行分 析，从中发现网络或系统中违反安全策略的行为 和被攻击的迹象 杀毒软件可以做入侵检测吗？ 防火墙软件可以做入侵检测吗？ 入侵检测的作用 通过检测和记录网络中的安全违规行为，惩罚网络 犯罪，防止网络入侵事件的发生 检测其它安全措施未能阻止的攻击或安全违规行为 检测黑客在攻击前的探测行为，预先给管理员发出 警报 报告计算机系统或网络中存在的安全威胁 提供有关攻击的信息，帮助管理员诊断网络中存在 的安全弱点，利于其进行修补 在大型、复杂的计算机网络中布置入侵检测系统， 可以显著提高网络安全管理的质量 Internet 防火墙 IDS1 IDS2 IDS4 HUB 带主机IDS感应器的服务器 服务器 子网B IDS3 HUB 子网A 客户机 工作站 IDS在网络安防体系中的角色 13.6 物理隔离系统 逻辑隔离并不是将连接切断，其安全思路：在保 证网络正常使用的情况下，尽可能安全 逻辑隔离是从网络安全等级上考虑划分合理的网 络安全边界，使不同安全级别的网络或信息媒介 不能相互访问 物理隔离是指内部网不直接或间接地连接公共网 物理隔离的解决思路是：不安全就不连网，要绝 对保证安全 什么是物理隔离 思考:政府部门、军队、金融系统如何保证网络安全 最彻底的物理隔离方法：安装两套网络和计算机 设备，一套对应内部办公环境，一套连接外部互 联网，两套网络互不干扰 物理隔离的层次：网络隔离 + 数据隔离 第一代隔离技术：双机双网技术 第二代隔离技术：双硬盘隔离卡技术 第三代隔离技术：单硬盘隔离卡技术 第四代物理隔离技术：动态隔断技术 第五代物理隔离技术：反射隔离技术 物理隔离技术 13.7 honeypot Honeypot（蜜罐系统） 诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多 　个易受攻击的主机，给黑客提供一个容易攻击的目标 由于蜜罐没有其它任务需要完成，因此所有连接的尝试都 　应被视为是可疑的 蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让 　攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受 　到了保护，真正