計算機信息安全與保密講座課件

1、計算機信息安全與保密講座課件計算機信息安全與保密講座課件目目 錄錄n計算機及網(wǎng)絡(luò)的發(fā)展和變化計算機及網(wǎng)絡(luò)的發(fā)展和變化n計算機及網(wǎng)絡(luò)基本安全意識計算機及網(wǎng)絡(luò)基本安全意識n計算機及網(wǎng)絡(luò)安全威脅計算機及網(wǎng)絡(luò)安全威脅n特種木馬的深度剖析特種木馬的深度剖析n“棱鏡棱鏡”事件對企業(yè)的警示事件對企業(yè)的警示n新技術(shù)及其發(fā)展簡介新技術(shù)及其發(fā)展簡介n企業(yè)保密軟件及工具簡介企業(yè)保密軟件及工具簡介用戶規(guī)模主要應(yīng)用成熟期大型機小科學(xué)計算1960年代10年小型機/WAN1970年代小7年部門內(nèi)部PC / LAN1980年代中5年政企之間Client / Server1990年代大4年政企商之間IntranetIntern

2、et2000-2011年政府，企業(yè)，商業(yè)應(yīng)用 全球無所不在加速ExtranetInternet百萬億美元計算機、通信、網(wǎng)絡(luò)技術(shù)推動了Internet的發(fā)展。 TCP/IP協(xié)議為計算機間互連互通，及各種通信奠定了公共標(biāo)準(zhǔn)。桌面計算機、便攜計算機、手持計算機、WWW、瀏覽器、高速網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等，使得Internet獲得了進一步的發(fā)展。分散式管理和商業(yè)化是Internet快速發(fā)展的最重要原因。目目 錄錄n計算機及網(wǎng)絡(luò)的發(fā)展和變化計算機及網(wǎng)絡(luò)的發(fā)展和變化n計算機及網(wǎng)絡(luò)基本安全意識計算機及網(wǎng)絡(luò)基本安全意識n計算機及網(wǎng)絡(luò)安全威脅計算機及網(wǎng)絡(luò)安全威脅n特種木馬的深度剖析特種木馬的深度剖析n“棱鏡棱鏡”事件

3、事件對企業(yè)對企業(yè)的警示的警示n新技術(shù)及其發(fā)展簡介新技術(shù)及其發(fā)展簡介n企業(yè)保密軟件及工具簡介企業(yè)保密軟件及工具簡介EmailWebISP門戶網(wǎng)站E-Commerce電子政府復(fù)雜程度時間Internet 變得越來越重要網(wǎng)絡(luò)安全問題日益突出混合型威脅 (Red Code, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量為什么網(wǎng)絡(luò)安全變得日益嚴(yán)重為什么網(wǎng)絡(luò)安全變得日益嚴(yán)重n進行網(wǎng)絡(luò)攻擊變得越

4、來越簡單n越來越多的個人或公司連入Internetn并不是所有的用戶都具有基本的安全知識n計算機的硬件組成計算機及網(wǎng)絡(luò)的運行特征計算機及網(wǎng)絡(luò)的運行特征n計算機中軟件的運行計算機及網(wǎng)絡(luò)的運行特征計算機及網(wǎng)絡(luò)的運行特征內(nèi)存（進程）CPU（分時）硬盤（軟件）用戶（權(quán)限）操作系統(tǒng)驅(qū)動程序服務(wù)程序設(shè)定運行軟件計算機中軟件的運行計算機中軟件的運行n計算機網(wǎng)絡(luò)計算機及網(wǎng)絡(luò)的運行特征計算機及網(wǎng)絡(luò)的運行特征以太網(wǎng)TCP/IPHTTP/FTP等應(yīng)用軟件計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)n以太網(wǎng)報文計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)-TCP/ip頭部頭部版本：占4位（bit），指IP協(xié)議的版本號。目前的主要版本為IPV4首部長度：占4位（bi

5、t），指IP報文頭的長度，最長60，此處是20服務(wù)類型：占8位（bit），用來獲得更好的服務(wù)。前3位表示優(yōu)先級別，后幾位表示更好服務(wù)總長度：16位（bit），指報文的總長度。單位為字節(jié)，IP報文的的最大長度為65535個字節(jié)標(biāo)識（identification）：該字段標(biāo)記當(dāng)前分片為第幾個分片，在數(shù)據(jù)報重組時很有用。標(biāo)志（flag）：該字段用于標(biāo)記該報文是否為分片。片偏移：指當(dāng)前分片在原數(shù)據(jù)報的偏移量，TTL：該字段表明當(dāng)前報文還能生存多久。協(xié)議：該字段指出在上層（網(wǎng)絡(luò)7層結(jié)構(gòu)或TCP/IP的傳輸層）使用的協(xié)議。計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)-TCP/ip傳輸傳輸計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)n用戶網(wǎng)頁瀏覽理解In

6、ternet領(lǐng)域nInternet為什么不安全為什么不安全nInternet的設(shè)計思想的設(shè)計思想n專用主義專用主義n技術(shù)泄密技術(shù)泄密理解Internet領(lǐng)域nInternet的設(shè)計思想的設(shè)計思想n開放式、流動的和可訪問開放式、流動的和可訪問n異構(gòu)的網(wǎng)絡(luò)異構(gòu)的網(wǎng)絡(luò)n多數(shù)應(yīng)用是客戶機多數(shù)應(yīng)用是客戶機/服務(wù)器模式服務(wù)器模式n網(wǎng)絡(luò)允許部分匿名用戶網(wǎng)絡(luò)允許部分匿名用戶理解Internet領(lǐng)域n專用主義專用主義nActiveXn應(yīng)該進行安全檢查的語言：應(yīng)該進行安全檢查的語言：nJavaScriptnVBScriptnActiveX理解Internet領(lǐng)域n技術(shù)泄密技術(shù)泄密n普通用戶可以得到各種攻擊工具普通

7、用戶可以得到各種攻擊工具n對攻擊行為比較感興趣，喜歡嘗試和冒險對攻擊行為比較感興趣，喜歡嘗試和冒險n從攻擊行為中牟利從攻擊行為中牟利n以攻擊行為為職業(yè)以攻擊行為為職業(yè)Internet安全性研究的開始安全性研究的開始n202X年年11月月3日，第一個日，第一個“蠕蟲蠕蟲”被放到被放到Internet上。上。n在幾小時之內(nèi)，數(shù)千臺機器被傳染，在幾小時之內(nèi)，數(shù)千臺機器被傳染，Internet陷入癱瘓。陷入癱瘓。n“蠕蟲蠕蟲”的作者羅伯特的作者羅伯特塔潘塔潘莫里斯莫里斯(Robert Morris J.r)被判有罪，被判有罪，接受三年監(jiān)護并被罰款。接受三年監(jiān)護并被罰款。n“Morris蠕蟲蠕蟲”的出現(xiàn)

8、改變了許多人對的出現(xiàn)改變了許多人對Internet安全性的看法。安全性的看法。一個單純的程序有效地摧毀了數(shù)百臺（或數(shù)千臺）機器，那一個單純的程序有效地摧毀了數(shù)百臺（或數(shù)千臺）機器，那一天標(biāo)志著一天標(biāo)志著Internet安全性研究的開始。安全性研究的開始。黑客和入侵者黑客和入侵者 “黑客黑客”（Hacker）指對于任何計算機操）指對于任何計算機操作系統(tǒng)奧秘都有強烈興趣的人。作系統(tǒng)奧秘都有強烈興趣的人。“黑客黑客”大都是程序員，他們具有操作系統(tǒng)和編程大都是程序員，他們具有操作系統(tǒng)和編程語言方面的高級知識，知道系統(tǒng)中的漏洞語言方面的高級知識，知道系統(tǒng)中的漏洞及其原因所在；他們不斷追求更深的知識，及其

9、原因所在；他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他分享；并且從并公開他們的發(fā)現(xiàn)，與其他分享；并且從來沒有破壞數(shù)據(jù)的企圖。來沒有破壞數(shù)據(jù)的企圖。黑客和入侵者黑客和入侵者“入侵者入侵者”（Cracker）是指壞著不良企圖，）是指壞著不良企圖，闖入甚至破壞遠程機器系統(tǒng)完整性的人。闖入甚至破壞遠程機器系統(tǒng)完整性的人?！叭肭终呷肭终摺崩毛@得的非法訪問權(quán)，破利用獲得的非法訪問權(quán)，破壞重要數(shù)據(jù)，拒絕合法用戶服務(wù)請求，壞重要數(shù)據(jù)，拒絕合法用戶服務(wù)請求，或為了自己的目的制造麻煩。或為了自己的目的制造麻煩?！叭肭终呷肭终摺焙苋菀鬃R別，因為他們的目的是惡意的。很容易識別，因為他們的目的是惡意的。n確保以電

10、磁信號為主要形式，在計算機網(wǎng)絡(luò)化系統(tǒng)中進行自動通信、處理和利用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲介質(zhì)中，處于靜態(tài)和動態(tài)過程中的機密性，完整性，可用性與可審查性，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全，結(jié)構(gòu)安全與管理安全的總和。信息（系統(tǒng)）安全的定義信息（系統(tǒng)）安全的定義n威脅：潛在的引起系統(tǒng)傷害的因素。n脆弱：安全系統(tǒng)中的缺陷。n控制：一些動作，裝置，程序或技術(shù)，可以減少或消除系統(tǒng)的脆弱點。信息（系統(tǒng)）安全三元組信息（系統(tǒng)）安全三元組信息（系統(tǒng)）的威脅信息（系統(tǒng)）的威脅n通信過程的威脅。n存儲過程的威脅。n處理過程的威脅。信息（系統(tǒng)）的威脅的來源信息（系統(tǒng)）的威脅的來源系統(tǒng)互聯(lián)網(wǎng)使用（網(wǎng)頁瀏覽

11、等）無線網(wǎng)絡(luò)介入IP端口（直接外部攻擊）系統(tǒng)漏洞（直接外部攻擊）數(shù)據(jù)庫（網(wǎng)站+IP攻擊）郵件（惡意附件）U盤（惡意軟件）文件共享（惡意軟件）外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)硬盤n最小特權(quán)原則：應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確保可能的事故、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小 。n有效性原則：控制是高效的，易用和適當(dāng)?shù)摹?n最弱環(huán)節(jié)原則：信息的安全不會強于最弱環(huán)節(jié)。 信息安全防御策略的原則什么是最小特權(quán)原則系統(tǒng)管理員系統(tǒng)功能調(diào)用安裝軟件運行軟件系統(tǒng)設(shè)置管理權(quán)限文件訪問使用頻率使用頻率系統(tǒng)用戶權(quán)限的最小化受限用戶系統(tǒng)功能調(diào)用安裝軟件運行軟件系統(tǒng)設(shè)置管理權(quán)限文件訪問使用頻率使用頻率系統(tǒng)用戶權(quán)限最少化的實

12、現(xiàn)方式改變系統(tǒng)用戶：新建標(biāo)準(zhǔn)用戶，受限用戶指定可訪問磁盤的用戶指定用戶的權(quán)限類型系統(tǒng)用戶權(quán)限最少化的實現(xiàn)方式權(quán)限最小化帶來的安全防護提升受限用戶的軟件運行限制文件修改限制權(quán)限最小化帶來的安全防護提升瀏覽器用戶設(shè)置受限權(quán)限最小化帶來的安全防護提升插入u盤：需要重新安裝權(quán)限最小化帶來的安全防護提升提示輸入管理員密碼才能安裝權(quán)限最小化帶來的安全防護提升什么是基本安全意識？n理解計算機硬件運行規(guī)律n理解計算機軟件運行方式n理解計算機網(wǎng)絡(luò)通信方式n理解安全威脅的來源n理解與運用安全防御原則目目 錄錄n計算機及網(wǎng)絡(luò)的發(fā)展和變化計算機及網(wǎng)絡(luò)的發(fā)展和變化n計算機及網(wǎng)絡(luò)基本安全意識計算機及網(wǎng)絡(luò)基本安全意識n計算

13、機及網(wǎng)絡(luò)安全威脅計算機及網(wǎng)絡(luò)安全威脅n特種木馬的深度剖析特種木馬的深度剖析n“棱鏡棱鏡”事件事件對企業(yè)對企業(yè)的警示的警示n新技術(shù)及其發(fā)展簡介新技術(shù)及其發(fā)展簡介n企業(yè)保密軟件及工具簡介企業(yè)保密軟件及工具簡介特種木馬深度剖析-木馬的起源特洛伊木馬公元前13世紀(jì)，據(jù)說希臘斯巴達有一個舉世罕見的美女，名叫海倫，后來，斯巴達王阿特柔斯的兒子墨涅依斯與海倫成親。特洛伊王子帕里斯到來，海倫對他一見鐘情，竟鬼迷心竅地和帕里斯一起逃回特洛伊城，希臘為復(fù)仇，與特洛伊發(fā)生戰(zhàn)爭。結(jié)果連打九年沒有攻克。第十年，希臘聯(lián)軍的戰(zhàn)艦突然揚帆離開了，特洛伊人以為希臘人撤軍回國了，他們跑到城外，卻發(fā)現(xiàn)海灘上留下一只巨大的木馬，經(jīng)過

14、一番爭論，特洛伊人把木馬拉進城里.。特種木馬深度剖析-木馬的定義特洛伊木馬是一種基于遠程控制的工具，類似于遠端管理軟件，其特點是具有隱蔽性和非授權(quán)性。特種木馬深度剖析-木馬的原理計算機的一對多的控制Windows系統(tǒng)的遠程桌面一個專門用于遠程控制的軟件叫PCANYWHERE，QQ的遠程協(xié)助。公開的，授權(quán)的植入（）木馬工作流程隱藏（2）欺騙（4）工作（5）啟動恢復(fù)升級特種木馬深度剖析-木馬植入木馬植入：通過欺騙的手段在被控制計算機進行安裝的過程。具有很強隱蔽性、欺騙性與快速化。1）偽裝成一般的軟件讓你下載安裝與運行2）捆綁在正常的軟件中讓你下載安裝與運行“最新火辣辣小電影！”“C u t e F

15、 T P 5 . 0 完全解密版！”3）發(fā)送郵件帶圖片附件將文件名設(shè)為*.特種木馬深度剖析-木馬植入4）習(xí)慣性文件夾點擊多層文件夾讓你習(xí)慣性點擊5）危險下載網(wǎng)站黑進大下載量軟件網(wǎng)站捆綁6）冒名郵件夾帶附件假冒你親朋好友，上級的郵件7）網(wǎng)站鏈接郵件將郵件寄給目標(biāo)用戶特種木馬深度剖析-木馬隱藏1）程序文件的硬盤隱藏：隱藏文件夾與文件查隱藏文件與文件夾的命令：dir /ah /s /p2）程序文件的偽裝隱藏：將文件改成與系統(tǒng)文件的名字相同3）程序文件的捆綁隱藏：將文件與系統(tǒng)文件捆綁4）直接啟動：修改注冊表將木馬設(shè)為每次開機運行的程序5）關(guān)聯(lián)運行：將使用率最高的文件（如.txt）鍵值修改6）附著或替換

16、欺騙：將文件與系統(tǒng)文件捆綁或替換，換取合法工作7）網(wǎng)絡(luò)連接隱藏：復(fù)用正常網(wǎng)絡(luò)端口，捆綁正常程序，修改系統(tǒng)調(diào)用8）工作負載與網(wǎng)絡(luò)流量：木馬由于頻繁工作，占用處理與網(wǎng)絡(luò)Perfmon命令：顯示處理器的占用率，網(wǎng)絡(luò)的狀況特種木馬深度剖析-木馬種類1）破壞型：破壞并且刪除文件，可以自動的刪除電腦上的 DLL、INI、EXE文件。2）密碼發(fā)送型：可以找到隱藏密碼并把它們發(fā)送到指定的信箱。3）遠程訪問型：最廣泛的特洛伊木馬，只需有人運行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實現(xiàn)遠程控制。4）鍵盤記錄型：記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。5）DoS攻擊型：受害者作為Dos攻擊的工

17、具。6）代理木馬型：受害者作為Dos攻擊的代理，以隱藏真正操控者7）安全程序殺手型：專門刪除、關(guān)閉與修改安全軟件。8）反彈端口型：木馬在分析受害者有防火墻等安全措施，采用受害機器主動連出，達到工作的目的特種木馬：是以上這些類型的綜合，并且偽裝、隱藏、啟動、恢復(fù)以及效率更優(yōu)的木馬。目目 錄錄n計算機及網(wǎng)絡(luò)的發(fā)展和變化計算機及網(wǎng)絡(luò)的發(fā)展和變化n計算機及網(wǎng)絡(luò)基本安全意識計算機及網(wǎng)絡(luò)基本安全意識n計算機及網(wǎng)絡(luò)安全威脅計算機及網(wǎng)絡(luò)安全威脅n特種木馬的深度剖析特種木馬的深度剖析n“棱鏡棱鏡”事件事件對企業(yè)對企業(yè)的警示的警示n新技術(shù)及其發(fā)展簡介新技術(shù)及其發(fā)展簡介n企業(yè)保密軟件及工具簡介企業(yè)保密軟件及工具簡介

18、“棱鏡”事件對企業(yè)保密的警示“棱鏡”事件爆料者：前CIA雇員信息過濾黑客攻擊監(jiān)聽網(wǎng)絡(luò)戰(zhàn)“棱鏡”事件-誰是攻擊者？“棱鏡”事件-誰是攻擊者？國家安全局下屬的一個高度機密、名為“獲取特定情報行動辦公室（TAO）”，其任務(wù)很簡單：通過秘密入侵計算機和通信系統(tǒng)，破譯密碼，破壞保護目標(biāo)計算機的安全系統(tǒng)，盜取存儲在電腦硬盤中的數(shù)據(jù)，然后復(fù)制目標(biāo)郵件和短信系統(tǒng)中的所有信息和通過的數(shù)據(jù)流量，來獲取關(guān)于境外目標(biāo)的情報。以便一旦總統(tǒng)下令，美國就有實力發(fā)動一場網(wǎng)絡(luò)襲擊來破壞外國的計算機和通信系統(tǒng)。美國網(wǎng)絡(luò)司令部負責(zé)發(fā)動類似的網(wǎng)絡(luò)襲擊。獲取特定情報行動辦公室（TAO）棱鏡計劃（PRISM）：是一項由美國國家安全局（N

19、SA）自202X年起開始實施的絕密電子監(jiān)聽計劃。該計劃的正式名號為“US-984XN”。“棱鏡”事件-攻擊對象是誰？網(wǎng)絡(luò)中樞（骨干網(wǎng)）：圖上的高層路由器，以及控制主機重要主機：骨干控制主機，重要信息主機?！袄忡R”事件-美國八大金剛八大金剛囊括所有網(wǎng)絡(luò)與計算機硬件與軟件“棱鏡”事件-怎么能夠做到？通過入侵骨干網(wǎng)而獲得海量信息，通過云計算或并行處理技術(shù)還原，完成信息過濾與整理。GCHQ：英國棱鏡項目甚至可以截獲通過光纖傳輸?shù)暮Ａ繑?shù)據(jù)。以系統(tǒng)的名義、或利用系統(tǒng)后門運行黑客軟件，使攻擊主機變得十分簡單?！袄忡R”事件-警示以及思考警示1：不能過多使用國外電子產(chǎn)品，尤其是核心網(wǎng)絡(luò)與主機。（國外產(chǎn)品占70%

20、）n建立對國外計算機與網(wǎng)絡(luò)產(chǎn)品的外連掃描、測試、監(jiān)控與審計機制與措施。n對國外電子設(shè)備的版本更新與維護端口進行控制。n通過第三方軟件和硬件，主要是防火墻對外連進行封堵與控制，并對外連的數(shù)據(jù)包進行分析，以獲得外連IP與站點信息。及時上報有關(guān)部門予以查處。n拆除或停止沒有必要的軟硬件功能，特別是無線功能。警示2：企業(yè)信息安全體系建設(shè)薄弱“棱鏡”事件-警示以及思考n解決系統(tǒng)管理不嚴(yán)、員工操作不當(dāng)和黑客入侵引發(fā)的安全問題。n信息安全體系建設(shè)，不只是用信息安全產(chǎn)品搭建一個堡壘，更重要的是企業(yè)自身建立一套完善的信息安全制度”，把有形的產(chǎn)品和無形的制度相互配合，才能避免核心機密被類似棱鏡項目所窺視。n展開安

21、全意識的全員培訓(xùn)，讓員工具備基本的安全意識與基本安全素養(yǎng)。警示3：薄弱的接入控制意識將成為企業(yè)信息安全的致命傷“棱鏡”事件-警示以及思考n嚴(yán)禁員工將自有的個人電腦、手機、平板電腦等終端設(shè)備接入企業(yè)內(nèi)網(wǎng)。n除密級數(shù)據(jù)外，還要將辦公數(shù)據(jù)與私人設(shè)備的物理邊界劃分清楚，杜絕員工和外來人員可以隨意接入企業(yè)網(wǎng)絡(luò)，拷貝企業(yè)文件，建立文件管理系統(tǒng)與管理制度。n建立域控制機制，嚴(yán)禁員工計算機之間發(fā)生底層互連，制定全員計算機與網(wǎng)絡(luò)安全策略。“棱鏡”事件-警示以及思考警示4：新科技、新應(yīng)用隱藏巨大安全風(fēng)險n嚴(yán)格控制智能手機的使用范圍，建立智能手機管理條例，尤其是攝像頭，錄音，無線等功能要嚴(yán)格管理。n謹慎使用云計算技術(shù)以及云端軟件的使用。不建議企業(yè)將用戶信息、辦公系統(tǒng)，乃至商業(yè)機密上傳到云端數(shù)據(jù)庫。n對新網(wǎng)絡(luò)服務(wù)，包括一般計算機，尤其是智能手機，智能終端服務(wù)進行安全評估，如QQ的視頻，語音功能，微信中的錄音與視頻功能，skype等即時通訊與IP 服務(wù)要進行有效的管理。n計算機及網(wǎng)絡(luò)的發(fā)展和變化n計算機及網(wǎng)絡(luò)基本安全意識n計算機及網(wǎng)絡(luò)安全威脅n特種木馬的深度剖析n“棱鏡”事