网络信息安全培训教程文档格式.docx
《网络信息安全培训教程文档格式.docx》由会员分享,可在线阅读,更多相关《网络信息安全培训教程文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
有些系统提供认证和匿名两种方式,所以如何区分服务方式和如何进行系统的初始化配置非常关键。
1.3.3身份鉴别威胁
1.假冒
假冒的身份通常是用一个模仿的程序代替真正的程序登录界面,设置口令圈套,以窃取口令。
2.密码暴力破解
按照密码学的观点,任何密码都可以被破解出来,任何密码都只能在一段时间内保持系统的安全性。
1.3.4病毒和黑客威胁
病毒是一段可执行的恶意程序,它可以对计算机的软件和硬件资源进行破坏。
计算机病毒寄生在系统内部,不易被发现,具有很强的的传染性,一但病毒被激活,就可能对系统造成巨大的危害。
由于TCP/IP协议的脆弱性和Internet的管理问题,目前,互联网成为病毒的最重要的传播途径。
计算机病毒已成为计算机与网络安全的重要因素。
黑客威胁是目前网络的又一大威胁,黑客是指非法入侵别人计算机系统的人,他们通常带有某种目的,通过系统漏洞非法入侵。
【实例1-1】简述物理防护在计算机系统安全方面的作用。
解析物理防护主要是针对计算机硬件上的弱点进行防护,防止人为因素或自然因素造成计算机系统的损坏,预防措施如下:
(1)防止计算机设备丢失。
(2)防止非授权人员和破坏者进入计算机的工作环境。
(3)规划对外通信的出口,阻止非法接线。
(4)防止设备或数据损失。
(5)防止电磁辐射。
局域网的安全措施
局域网基于广播技术构建。
由于广播原理,局域网的数据截取和窃取成了安全的主要问题,另外,ARP地址欺骗、泛洪等很多问题,还有TCP/IP协议固有的不安全因素,网络操作系统的安全缺陷等,都使得基于局域网的安全防范非常关键。
2.2.1网络本身的安全设置
1.网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
如:
192.168.1.0与192.168.2.0,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
2.组建交换式局域网
对局域网的中心交换机进行网络分段后,由于使用共享式集线器,当用户与主机进行数据通信时,两台计算机之间的数据包会被同一台集线器上的其他用户所侦听。
因此,应该以交换式集线器代替共享式集线器,建立交换式局域网,可以使单播包仅在两个节点之间传送,从而防止非法侦听。
3.虚拟局域网
采用交换式局域网技术组建的局域网,可以运用VIAN(虚拟网络)技术来加强内部网络管理。
4.网络访问权限设置
如果不对局域网中的主机访问进行权限和用户身份设置,则可以完全被网络中的其他用户访问,所以在局域网中设置访问权限,实现数据的加密服务非常重要。
权限控制是针对网络非法操作所提出的一种安全保护措施,对用户和用户组赋予一定的权限,可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问,可以限制用户对共享文件、目录和共享设备的操作。
5.网络设备安全控制
局域网中的路由器和三层交换机基本上都内置防火墙功能,且可通过设置IP访问列表与MAC地址绑定等方案对网络中的数据进行过滤,限制出入网络的数据,从而增强网络安全性。
6.防火墙控制
防火墙是目前最为流行也是使用最广泛的一种网络安全技术,防火墙作为一个分离器、限制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网和Internet。
之间的任何活动,既可为内部网络提供必要的访问控制,又不会造成网络瓶颈,并通过安全策略控制进出系统的数据,保护网络内部的关键资源。
2.2.2
网络操作系统的安全
1.安全密码控制
操作系统安装完成后,设置一个足够强壮的账号和密码非常关键,并最好将不用的匿名用户都删除。
windowsXP操作系统是通过用户级别来设置用户的操作权限,所以配置安全策略十分必要。
配置安全策略的步骤如下:
(1)在“控制面板”中打开“管理工具”窗口,双击“计算机 管理”图标,打开“计算机管理”窗口,依次展开“系统工具”一“本地用户和组”一“用户”,在右边窗口中的空白处右击,弹出一个快捷菜单,如图2—2所示。
图2—2“计算机管理”窗口
(2)在该快捷菜单中选择“新用户”命令,弹出“新用户”对话框,如图2—3所示。
在该对话框中输入用户名和密码等信息,并选中“密码永不过期”复选框,单击“创建”按钮,即可添加一个新用户。
添加新用户.
图2-3添加新用户
2.安全漏洞扫描和补丁安装
目前的网络操作系统,每隔一段时问就会出现新的漏洞和安全威胁,所以用户要经常关注它的官方站点,下载系统补丁程序。
另外,选择一款系统漏洞扫描工具比较重要。
对于windows的操作系统,可以登录微软官方网站http:
//更新大部分的系统组件,修补漏洞。
瑞星杀毒软件2008版也集成了一款比较完美的漏洞检测和修复工具。
3.防火墙和杀毒软件
在局域网的构建中,安装一款优秀的杀毒软件十分重要。
对杀毒软件的要求是该杀毒软件必须要有足够强大的病毒库,并且容易升级,同时,对于一些未知病毒应该具有一定的预测能力。
目前,病毒和反病毒技术都在发展,任何杀毒软件都不能保证操作系统是绝对安全的。
防火墙可以选择硬件或者软件类型的,硬件类型的价格高、安全性好,但是设置和配置都比较麻烦。
软件防火墙的价格较低,但是安全性相对差一些。
局域网故障检测技术
局域网的故障分为软件故障和硬件故障,正确进行故障的处理和维护是网络安全非常重要的方面。
硬件故障主要表现在系统元件的损坏,如主板的烧毁、硬盘的损坏等,其解决办法一般是更换设备,对于部分硬件的损坏可以使用逻辑方式临时修复,如硬盘的划伤等,还可以使用屏蔽技术将坏道隐藏起来,但是这些方式都不是非常可靠的。
网络关注的是可靠性和稳定性,可以做临时的处理,但从长远来看,更换设备是非常有必要的。
近年来,计算机硬件技术的发展速度远远超过软件的发展速度,硬件在可靠性上大大增强了,同时,其价格在不断下降。
因此,硬件故障基本上构不成网络故障威胁,所以在网络故障中应首先考虑软件故障。
况且硬件故障的表现一般是十分明显的,而软件故障的表现却比较隐蔽。
2.5.1
网络连通性的检测
如果网络不通,应该考虑网卡是否安装正确,是否与其他设备有冲突或者网络是否损坏。
这时应该首先查看网络协议是否安装,设置的网络参数是否正确,如果没有这些问题,再检查网络线缆是否损坏。
当出现一种网络应用故障时,若无法接入Internet,首先尝试其他网络应用,如果其他网络应用可正常进行,可以排除连通性故障问题,而判定是网络的问题。
什么是IP和MAC,如何查找?
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。
只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。
数据包在这些节点之间的移动都是由ARP(AddressResolutionProtocol:
地址解析协议)负责将IP地址映射到MAC地址上来完成的。
其实人类社会和网络也是类似的,试想在人际关系网络中,甲要捎个口信给丁,就会通过乙和丙中转一下,最后由丙转告给丁。
在网络中,这个口信就好比是一个网络中的一个数据包。
数据包在传送过程中会不断询问相邻节点的MAC地址,这个过程就好比是人类社会的口信传送过程。
ip是指你上网的一个网络地址,IP是唯一的,用于识别你于网络上的位置.每台接入互联网的电脑都会根据tcp/ip协议分配一个唯一的协议地址,用来与其它的主机区分开,这个编号就是ip地址。
如192.168.0.1
mac地址也是用来将一台电脑和其他电脑区别开,但是和ip的协议分配不同,mac地址是固化在硬件上的,不可更改的,如:
如何解决MAC地址带来的安全问题
我们可以将IP地址和MAC地址捆绑起来来解决这个问题。
进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:
ARP-s10.88.56.7200-10-5C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。
这样,就不会出现IP地址被盗用而不能正常使用网络的情况,可以有效保证小区网络的安全和用户的应用。
查找本机IP及MAC:
运行---MSCONFIG/ALL
2.5.2网络检测
Windows
XP操作系统中提供了ping、tracert、netstat、pathping等相关的网络测试命令,灵活使用这些命令,实现对网络的检测和管理是比较方便的。
1、ping命令
ping命令用于测试本地主机和远程主机是否可以连通。
查看ping命令返回的信息参数,用户就可以推断网络是否连通,根据网络参数也可以了解远程主机的其他特征。
使用ping命令根据反馈报文信息推测远程主机信息,可以作为网络基本故障排除的方法。
通过ping命令测试苯地网络是否连通,可以ping、localhost或者本机的名称,图2-10所示的是连通的测试过程,如果不通,则如图2-11所示。
图2-10ping连通情况
2、tracert命令
tracert命令是实现网络路由跟踪的命令,它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来,图2-12所示的是tracert命令的测试过程。
图2-12tracert命令的使用
3、netstat命令
netstat命令用于检测网络上的连接情况,可以告知用户所有的连接及其详细的端口。
用户可以使用该命令实现实时监控,可以很清晰地排除网络上所有非法进程和用户的连接。
netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,图2-13所示的是netstat命令的运行情况,图2-14报增的上扫描系统中所有端口的情况。
netsta命令(不带参数)的使用
图2-14netstat命令(带a参数)的使用
4.pathping命令
pathping命令用于跟踪数据包到达目标网络所采用的路由,并显示路径中每个路由器的数据包损失的信息。
该命令只有在安装了TcP/IP协议后才可使用。
pathping命令结合了ping和tracert命令所共有的一些功能,可以对数据包进行跟踪,并且在一段时间内探测路由上的每个跃点,可以显示数据包的延迟与丢失。
图2—15所示的是pathping命令的运行结果。
图2—15pathping命令的使用
实例解析
1.ARP协议的基本概念
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2.什么是ARP地址欺骗
ARP地址欺骗是通过非法的手段来修改一个正常主机MAC地址表的过程。
当局域网中一台计算机反复想向网络中的其他计算机发送假冒的ARP应答信息包时,将导致严重的网络堵塞。
ARP欺骗一般分为两种,一种是对路由器ARP表的欺骗;
另一种是对内网PC的网关欺骗。
第一种ARP欺骗是截获网关数据,它通知路由器一系列错误的局域网MAC地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送到错误的MAC地址,造成正常的计算机无法收到信息。
第二种ARP欺骗是通过交换机的MAC地址学习机制,伪造网关。
它的原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有计算机无法访问网络。
3.ARP地址欺骗的危害
ARP地址欺骗的危害的表现形式有:
1).网络访问时断时继,掉线频繁,网络访问速度越来越慢,有时则长时间不能上网,双击任务栏中的本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接收的数据包;
2).同一网段的所有上网机器均无法正常连接网络;
3).打开·
windows任务管理器,出现可疑进程,如“MIE0.dat”等进程;
4).如果是中了ARP欺骗病毒的话,病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还可能会窃取用户密码(如QQ、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩;
5).打开路由器的系统历史记录中看到大量的MAC更换信息。
4.ARP地址欺骗的解决措施
1).指定ARP对应关系
2).使用杀毒软件进行病毒的扫描
3).编写一个批处理文件rarp.bat内容如下:
@echooffarp-darp-s192.168.16.25400-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和
MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
5.预防措施辅助
1).立即更新操作系统,打上各种系统漏洞补丁;
2).不要轻易共享各种文件夹,若不得不共享时,应设置好相应的权限,另外还可以限定只有指定的帐号或机器才能访问,文件夹最好不要设置成可写或可控制;
3).操作系统和各种帐号的密码不要设置为空,应该尽量为6位以上;
4).不要随便打开来历不明的电子邮件,尤其是打开邮件附件时要特别小心;
5).使用U盘等外来文件时,必须先对其进行病毒查杀,尽量控制病毒不进入网络系统;
6).做好重要、机密数据的备份工作,以免系统中毒后造成数据的丢失;
7).目前很多企业都可以上网,但不要轻易登陆不明网站,特别不要随意登陆需要输入自己银行帐号或手机及计算机系统帐号的不明网站,当进行网上交易时更要特别慎重;
8).加强企业员工的安全意识,经常组织各种计算机方面的培训,完善计算机使用和网络安全管理等各方面的制度,力争将病毒拒之网外。
因特网安全概述
随着Internel的发展和网上电子商务的繁荣,Internet已从最初的科研教育网络转变成了一个庞大的商业通信骨干网。
越来越多的企业、部门和组织加入进来,新的应用领域不断扩展,很多企业都希望在Internet上开展自己的业务,而个人也希望Internet能提供更多的服务。
由于人们对Internet的依赖性越来越强,Internet的安全性正成为人们关注的焦点。
病毒的基本特征
计算机病毒是人为制造的程序,它的运行是非法入侵。
随着操作系统的发展和Internet的流行,病毒技术的发展经历了由DOS向wirldows及Internet网络发展的过程。
DOS是一个安全性较差的操作系统,所以在DOS时代,计算机病毒的种类繁多。
目前DOS病毒已经大大减少。
一方面是基于DOS平台的软件越来越少,另一方面是DOS模式下的病毒基本上可以被杀毒软件检测出来。
伴随着Windows操作系统的出现,产生了大量基于windows平台的计算机病毒。
Inter-net的出现和流行,使得病毒的传染途径更为多元化,而网络已成为最重要的病毒传播途径。
7.1.1
常见的计算机病毒
1.木马病毒
木马病毒源于古希腊的特洛伊木马神话,它是把自己伪装在正常程序内部的病毒,这种病毒的伪装性强,通常使用户很难判断它到底是合法程序还是木马。
木马病毒带有黑客性质坨有强大的控制和破坏能力,可窃取密码、控制系统、操作文件等。
木马由客户端和服务器端两个执行程序组成,客户端程序是攻击者向远程计算机植入木马的执行程序,以达到远程控制此计算机的目的;
服务器程序是被植入的木马程序。
木马的设计者为了防止木马被发现,采用多种手段隐藏木马。
木马入侵目标计算机后,会把目标计算机的IP地址、木马端口等信息发送给入侵者,从而使入侵者利用这些信息来控制目标计算机。
木马病毒的类型包括EXE文件执行类木马、进程插入式木马和Rootkit类木马。
2.宏病毒
宏是一系列由用户编写或录制的命令和指令,用来实现任务执行的自动化。
宏病毒是使用Word的VBA编程接口编写的具有病毒特征的宏集合。
它的危害性大,以二进制文件加密压缩格式存入.doc或.dot文件中,它通过小文档或模板进行大量自我复制及传染。
一旦运行宏病毒,相应的Normal模板会被传染,所有打开的word文档都会在自动保存时被传染。
多数宏病毒包含AutoExe、AutoOpen和AutoNew等自动宏,通过这些自动宏,病毒取得文档(模板)操作权。
宏病毒的种类很多,版本也各不相同,所以查杀各类宏病毒的关键是恢复文件参数。
3.蠕虫病毒
蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它消耗大量系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
蠕虫病毒的传染目标是互联网内的所有计算机,其传播方式分为两类:
一类是利用系统漏洞主动进行攻击,另一类是通过网络服务传播。
4.PE病毒
PE(PortableExectltable)病毒是指所有感染windows操作系统中PE文件的病毒。
PE病毒大多数采用win32汇编语言编写。
该病毒感染普通PE文件(如EXE文件)并把自己的代码加到EXE文件尾部,修改原程序的入口点以指向病毒体,PE病毒没有.data段,变量和数据全部放在.code段,病毒本身没有什么危害,但被感染的文件可能被破坏。
5.脚本病毒
脚本病毒通常是用JavaScript或者VBscript代码编写的恶意代码病毒。
JavaScEipt脚本病毒通过网页进行传播,一旦用户运行了带有病毒的网页,病毒就会修改IE首页及注册表等信息,给用户使用计算机带来不便。
VBS脚本病毒是使用VBScript编写的,以宏病毒和新欢乐时光病毒为典型代表。
VBS脚本病毒编写简单,破坏力大,感染力强。
这类病毒通过.htm文档、E—mail附件或其他方式传播,因此,其传播范围很大。
6.恶意网页病毒
网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML(超文本标记语言)内的JavaApplet小应用程序、JavaScript脚本语言程序或ActiveX控件,强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源,盗取用户文件,或恶意删除硬盘文件、格式化硬盘。
这种网页病毒容易编写,使用户防不胜防,最好的防范措施是选用有网页监控功能的杀毒软件。
反病毒技术
病毒的预防措施
病毒的防范比病毒的防治更加重要,建立一套强大的防范机制可以大大提高系统的安全性。
计算机病毒的预防分为管理方法上的预防和技术上的预防两种,在一定的程度上,这两种方法是相辅相成的。
常用的预防措施如下:
(1)使用比较强壮的密码。
尽量选择难于猜测的密码,对不同的账号选用不同的密码。
(2)经常备份重要数据。
(3)不要打开来历不明的电子邮件。
(4)正确配置系统,减少病毒入侵。
充分利用系统提供的安全机制,提高系统防范病毒的能力。
(5)定期检查敏感文件。
对系统的敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
(6)慎用软盘、光盘等移动存储介质。
(7)定义浏览器安全设置,浏览网页时要谨慎,不要轻易下载ActiveX控件或Java脚本。
(8)安装最新的操作系统、应用软件的安全补丁程序。
(9)选择安装优秀的防病毒软件和防火墙,定期对整个硬盘进行病毒检测、清除工作。
(10)当计算机不使用时,不要接入互联网,一定要断掉连接。
(11)重要的计算机系统和网络一定要严格与互联网物理隔离。
这种隔离包括离线隔离,即在互联网中使用过的系统不能再用于内网。
7.4.2
常用的防病毒设置
1.禁止Windows的ScriptingHost功能
为了有效防止脚本病毒在主机上运行,可以将Windows脚本文件类型删除,这个措施可以阻止ⅥsualBasic的脚本病毒的运行。
双击“我的电脑”图标,在打开的窗口中选择"
工具"
——>
"
文件夹选项"
命令,打开"
对话框,单击“文件类型”选项卡,选择WSH、VBS、VBE、JS、JSE-WSF文件类型后单击"
删除"
按钮将其删除,如图7-1所示。
图7-1禁止ScriptingHost功能
2.设置文件和文件夹的查看方式
所有的Windows操作系统在默认情况下会隐藏已知文件类型的扩展名。
这个特性可以被恶意程序编写者或黑客利用,将病毒程序用别的文件类型伪装起来。
显示文件的扩展名的方法如下:
在如图7—1所示的“文件夹选项”对话框中,单
升级会员 