信息技术主管助理AIO综合知识要点整理第三章计算机信息安全基础知识.docx
《信息技术主管助理AIO综合知识要点整理第三章计算机信息安全基础知识.docx》由会员分享,可在线阅读,更多相关《信息技术主管助理AIO综合知识要点整理第三章计算机信息安全基础知识.docx(10页珍藏版)》请在冰豆网上搜索。
![信息技术主管助理AIO综合知识要点整理第三章计算机信息安全基础知识.docx](https://file1.bdocx.com/fileroot1/2022-11/24/573bf2b3-8deb-423f-8464-8d7ec1606a4e/573bf2b3-8deb-423f-8464-8d7ec1606a4e1.gif)
信息技术主管助理AIO综合知识要点整理第三章计算机信息安全基础知识
第三部分计算机信息安全基础知识
第一节、计算机信息安全概述
1、信息开放和限制信息访问之间的矛盾:
计算机网络的目的就是为了信息的开放、为信息的共享和发布提供方便,然而恰恰是这个目的是的那些对网络系统不怀好意的人有了可乘之机,使系统处于岌岌可危的状态。
为了防止系统受到攻击,我们不得不限制信息的可访问性,这与建立网络的目的相互矛盾。
2、信息网络的应用领域和范围:
个人和公司财务系统,公司业务管理系统,信用卡处理系统,自动取款机系统(ATM),公共电话系统,电力、水利、煤气系统,医疗系统,公共交通系统等。
3、计算机系统面临的威胁
所被威胁的对象是:
计算机硬件、计算机软件和数据资料。
1)对硬件的威胁:
针对计算机硬件本身、外围设备、网络通信电缆等实体而言,威胁主要来源于自然灾害、人为破坏、盗窃、电磁干扰、误操作等。
后果就是财产物质上的损失,有些可能造成软件和数据资料的损坏
2)对软件程序和数据资料的威胁:
来源于病毒程序、黑客的攻击、操作失误或内部人员有意破坏和泄密行为等。
后果不仅是经济上的损失,可能导致服务器崩溃,中断正常的营业和业务,丢失重要的数据,大大降低了公司在客户心目中的信用度,重者甚至可能导致公司破产。
3)“软硬兼施”的威胁:
来源于病毒程序,它同时对计算机的硬件和软件实施破坏程序。
4、安全问题的根源
安全问题的根源主要表现在:
1)通信网络的弱点;2)信息的聚集性;3)剩磁效应(删文件为什么比复制快?
)和电磁泄漏;4)系统配置不当:
主要由网络打印工具、远程系统工具、文件共享工具等的配置不当和默认的口令、样本CGI程序和脚本;5)系统所存在的漏洞;6)厂商对软件缺陷反应的延迟性、缺少对软件的质量评价:
一般都是先有漏洞后有补丁,复活节彩蛋可能就是漏洞;7)用户缺乏安全意识,信息安全专业人才难觅。
第二节、信息安全技术基础知识
1、单向函数加密方法与传统加密方法最大的不同点就是:
不存在解密过程,不仅在程序中不存在,连数学原理上都不存在。
如IBM开发的DES(dataencryptionstandard)没有逆向算法来解密。
2、口令的破译方法及成功的可能性:
1)偷窥;2)根据用户名和用户资料进行猜测;3)电脑屏幕上用星号表示的已保存口令;4)在你的电脑上植入木马程序,自动截取登陆信息;5)获取你的口令文件,使用专门的工具破解文件中的口令密文,如JohntheRipper;6)在登陆界面上进行口令的强行攻击。
3、口令的组成与保护:
尽可能选择长口令,多于6字符;避免使用与用户名相似、单一的特殊意义字符串;口令中交叉出现大小写变换和特殊字符;用自己容易记住,别人难以分析猜测的字符串;BIOS设置开机密码。
4、资源共享带来的危险及正确设定资源共享的方法:
1)资源共享所用到的协议是否已绑定在你直接连接internet的设备上(网卡绑定共享协议,NetBIOS,139端口打印机和文件共享协议);
2)你所有的共享资源是不是都不需要口令就能访问;
3)资源共享的权限是否为“完全控制”
5、计算机病毒总体特征:
1)夺取系统控制权:
在系统中写一个自动引导项目,使系统在启动后立刻运行病毒体,控制系统,如DOS,WINDOWS的Config.sys和autoexec.bat两个文件中的命令行,开始\程序\启动的快捷方式,Win.ini文件[windows]段load和run中的可执行文件行,system.ini的boot段中的可执行文件行,系统注册表中的自启项目,WindowsNT系列的服务service。
引导型病毒修改中断入口地址从而控制中断。
2)自我复制能力:
隐藏于引导扇区的引导型病毒在系统被引导时对硬盘进行复制传播;在系统在访问某个文件时,立刻对该文件进行感染,将自身复制寄身于该文件;在系统中(或通过网络)定期自动寻找一定数目的目标进行复制。
3)隐藏性:
选择合适的地方藏身:
DOS的引导扇、硬盘主引导扇区MBR(masterbootrecord);可寄身于可执行文件、动态连接库文件、批命令、可携带宏语言的数据文件(doc\xls等)、可携带脚本语言的网页文件等一系列地方。
病毒代码的变形(多态性)、加密和反跟踪技术:
为了对付反病毒软件,使反病毒软件不容易侦测到病毒的存在,给杀毒工作增加难度。
4)潜伏性:
常见的触发器:
系统时钟触发器,自带计数器触发器,对某些特定的操作作为触发器。
5)占用资源、人为破坏:
良性病毒和恶性病毒。
6)不可预见性:
6、蠕虫病毒的特征和分类:
蠕虫一种通过永久性的网络进行自我复制传播的程序,根据传播方式以及激活方式可分为:
1)通过电子邮件传播的蠕虫病毒。
2)通过非邮件协议(IRC/DCC、FTP、TCP/IP)传播的蠕虫病毒。
3)自激活型的蠕虫病毒。
不需要被害者参与(阅读邮件、执行程序)就可以进行传播,它利用的是目标主机操作系统中的漏洞,直接从网上进攻。
如KAK和BubbleBoy。
4)用户激活型的蠕虫病毒。
诱导目标主机的用户阅读邮件、执行附件程序,然后进行传播。
如MyDoom。
5)混合激活型的蠕虫病毒。
目前许多蠕虫病毒同时采取了上述两种激活方式,就变成了混合型病毒。
复合型威胁,不仅删除、偷取被害者主机的数据,而且还将该主机做为踏板进行更多的攻击。
如红色代码CodeRed,Nimda等
7、木马
木马是一种设计被用来藏在受害者电脑中进行特定工作的程序,偷取数据文件和个人隐私资料、受黑客的控制,代替黑客干他们想干的事情。
木马与病毒的不同之处:
木马一般不采用自动复制自己本身的方法,也没有定时炸弹的自动破坏特性。
从运作方式和所处的地位来讲,是一种服务程序,是C/S模式中的服务端,而客户端程序存在于黑客的电脑中。
8、杀毒软件
基本功能:
静态检测、动态检测、行为监控、删除病毒、删除被感染文件、隔离被感染文件等。
局限性:
有时病毒不能删除也不能隔离,因为被感染的文件(特别是系统文件)正在运行中,无法关掉。
解决办法:
一般杀毒软件都提供制作启动盘救援盘的功能,用该启动救援盘启动查杀病毒,因为此时可以保证硬盘中任何程序都保持在静止的不运行状态,而且启动系统的杀毒软件的干净盘片。
误杀率
常用的软件:
金山毒霸,瑞星,熊猫卫士,行天,北信源,东方卫士,KV3000,NortonAnti-Virus,McAfee,F-PROTAnti-Virus,PC-Cillin,eSafe,AVP,Dr.Web,Norman
9、对抗计算机病毒和木马程序
主动防卫:
1)在CMOS中将病毒开关设定为开启(enable)可以恶意程序对硬盘总引导扇区MBR的修改,但安装系统时要关闭,因为安装过程要改写MBR);2)将系统引导盘设定成直接硬盘启动;3)将硬盘进行分区;4)病毒防火墙应始终处于运行状态;5)在外来存储介质的内容进入系统前先进行杀毒扫描;6)不要轻易打开电子邮件的附件(将word文件变成RTF格式进行传送,不含宏指令);7)关闭系统的自动执行功能(windowsscriptinghost);8)关闭自动执行宏指令;9)使用还原工具;10)制作备份。
被动防卫:
杀毒、系统还原、重装系统。
10、邮件病毒的危险性、对抗邮件病毒的方法
11、系统漏洞存在的普遍性以及由此带来的危害
1)过于简单的文件共享密码漏洞:
涉及的操作系统:
windows9x\me。
形成条件:
在连接局域网的网卡上绑定了文件共享协议,使用了打印机和文件共享协议,在连接Internet的通讯设备(网卡或调制解调器,视连接方式而定)上绑定了文件共享协议。
威胁:
可以反复重试密码,造成黑客偷取文件、植入病毒、木马、删除文件等。
解决办法:
可到微软网站上下补丁来解决;用于直接对Internet连接而又要提供共享服务的操作系统。
2)阅读e-mail或浏览网页时的危险:
涉及系统及软件:
Windows9x\me\nt\2000\2000+sp1下使用ie5.x,outlookexpress5.x和outlook5.x.。
原因:
MIME(multipurposeinternetmailextension)的自动运行漏洞,黑客修改文件扩展名;ActiveX的修改注册表及运行程序漏洞:
攻击者可以在HTML格式的网页或信件中,使用Vbscript脚本(可修改系统参数或读写系统中的文件)结合ActiveX控件,可以将远程修改注册表代码和运行程序的代码放入网页中,被害者打开网页就运行;ActiveX的恶意控件、Safeforscripting标志;JAVA的漏洞。
威胁:
中毒和被植入木马程序;注册表被修改;网页自动运行被害者电脑主机中程序。
解决办法:
不用IE、outlook系列软件;升级操作系统;升级IE等;使用过滤软件如诺顿
3)上网经常死机或重启
涉及操作系统:
Windows9x\nt3.x\nt4.x.
原因:
数据包的溢出漏洞;特殊设备名漏洞(CON\AUX\PRN\CON等作为文件名使用)。
威胁:
文件丢失;系统被破坏。
解决办法:
数据包溢出的漏洞可以下载补丁;关闭共享;升级操作系统。
4)磁盘驱动器被损坏
原因:
软件的漏洞。
威胁:
如果启动软盘引导安全功能,而且启动了,硬盘卷将永久性被破坏,任何常规手段(包括引导软盘、SCSI驱动器、CD-ROM或其他方法)都不能够访问磁盘。
解决办法:
升级,打补丁。
5)远程用户能访问驱动器和网络(改掉默认口令ZYZZY)
6)端口溢出的拒绝服务
原因:
系统TCP/IP的漏洞,容易受到拒绝服务DoS攻击(DenialofService。
CPU达到100%。
解决:
使用Opentransport1.2修复。
12、跳板的概念及危害,防止当作跳板的方法
特点:
跳板主机没有被植入普通木马的各种奇怪症状;有固定ip的上网主机容易当成跳板。
原因:
攻击者在你的主机系统中安置一个跳板服务器程序(可以叫木马的一种),该跳板服务器始终在你机器中运行,接收攻击者的指令,去攻击别的受害者。
解决办法:
用杀毒软件扫描,利用工具去查看、删除可疑的自启动程序和服务
13、安全上网须知
Cookie的概念:
一种服务网页(serverpage)在打开网页的用户磁盘上自动写入的数据文件,这些数据都是用户的个人信息,如用户名、用户喜欢的网页类型、用户的口令等。
14、防火墙的形式和种类
防火墙是被网络用作网络级访问控制机制的设备。
可以是纯软件、纯硬件或软件和硬件的组合。
目的:
防止外部网络对内部网络的入侵,防止内部网络的对外网络的非法访问。
分类:
1)包过滤防火墙:
它控制数据包的位置在网络层和传输层,在网络的出入口队通过的数据包筛选。
通过指定应用程序、端口、通信协议、内外部ip地址、数据传输方向来设定过滤条件。
如:
通常的路由器、CiscoIOS、Skynet天网、金山网镖、NortonPersonalFirewall、NortonIntenretsecurity等。
2)可陈述的包过滤防火墙
3)代理服务防火墙。
位于应用层,通过内部网络访问internet所用的服务器中的代理服务器程序Proxy。
接受内部网络的internet访问请求,判断访问是否合法,代用户访问internet,并将访问结果返回给内部网络,同时可提供缓冲功能,将被频繁访问的内容缓冲在服务器硬盘中,供下次用户访问时使用,以提高访问速度。
如:
WinGate,ProxyServer,Raptor等。
使用防火墙,要注意进行正确的设置,经常升级。
15、服务器的概念和工作模式
服务器与个人计算机的差别:
服务器中运行的操作系统通常是操作系统的服务器版;服务器中运行各种服务程序,为众多的个人计算机(客户机)提供服务;一般把服务器设定为专用模式,一般不安装事务性应用程序(如office,photoshop等);不关机或少关机。
16、服务器攻击类型:
拒绝服务攻击DoS:
大容量数据包攻击(消耗内存、网络带宽和CPU资源)和分布式攻击DDoS(多台机器同时对某网站攻击)。
电子邮件攻击:
数量极多的垃圾邮件形成邮件炸弹,极大浪费用户下载邮件的时间和资源,阻碍正常邮件的传递和接收,同时使得邮件系统的log文件巨大无比,甚至可能溢出,造成系统瘫痪。
缓冲区溢出(bufferoverflow)攻击:
超大型的数据项超出缓冲区所有空间的大小,占据附近的内存区域,覆盖掉该区域数据或代码,造成程序运行错误或系统崩溃。
这三种都是“超多”原理
网络监听威胁:
嗅探器(sniffer)是指利用计算机的网络接口截获其它计算机的数据或口令的设备。
17、服务器系统漏洞
1)windows2000server的登录界面形同虚设:
涉及的操作系统:
windows2000server、windows2000advancedserver
原因:
提供了终端服务,远程用户可以通过终端客户端程序通过internet直接连到服务器上进行登陆,登陆窗口中的输入法允许进行帮助,显示帮助的是浏览器,可输入URL.只要在URL中输入服务器的盘号和路径就可访问。
解决:
安装sp2以上版本或是输入法专用补丁。
2)telnet漏洞:
涉及软件:
unix上使用telnet服务。
原因:
等同于windows的终端服务(terminalservice),端口23。
威胁:
口令泄密,篡改被截获的数据包中的信息并发送。
解决:
使用SSH(secureshell)协议(保护网上交互式远程终端通信或文件传输的一种安全协议,很强的安全认证并对通信数据进行对称或非对称加密)
3)SSH漏洞
涉及软件:
基于SSH协议的服务软件。
原因:
用嗅探器探测SSH保护的流量,通过流量分析攻击能显示internet上输入的密码长度和命令。
破坏数据流量。
暴露SSH回话时所用的密钥。
解决:
通过在数据中填充一些大小不等的空字节;使用客户端认证证书;讲SSH协议升级到SSH2。
4)FTP漏洞
涉及软件:
unix上的FTP服务。
原因:
FTP是文件传输协议,使用20、21端口,分别是处理命令和传输数据。
无法防止‘中间人’的攻击。
威胁:
文件不安全,如设置不当,就容易遭到修改,感染病毒或木马程序。
服务器容易被利用形成跳板。
解决:
将他与其他服务器分离,使用单独的系统;正确设置ftp;使用替代产品如SSH2协议的sftp。
5)SMTP漏洞(25端口)
涉及系统软件:
Unix上使用的sendmail。
原因:
现在接受发送电子邮件的服务器都采用POP(postofficeprotocol)和SMTP(simplemailtransportprotocol)协议。
威胁:
攻击者用telnet直接连接到系统SMTP25端口,直接手工键入ASCII命令,能编造发信者的邮件地址,特殊软件可以利用漏洞发出损坏sendmail的指令,执行黑客的命令。
解决办法:
不要用root运行sendmail;用Qmail或Postfix代替。
6)极度危险的RPC漏洞(remoteprocedurecall)
涉及系统:
windowsNT4.0\4.0Terminalserveredition\2000\xp\server2003。
原因:
rpc服务在某些情况下不能正确验查消息输入造成的。
威胁:
攻击可以进行安装程序、更改网页、查看、更改或删除数据、重新格式化硬盘,或者创建拥有完全权限的新账户。
解决:
将rpc服务关掉,在防火墙上封堵135端口。
立刻打补丁。
7)DNS漏洞
涉及系统:
unix上的bind。
原因:
DNS是域名服务器,基于udp和tcp协议,端口号是53。
8)iis面对的严重威胁
9)IEEE802.11无限局域网受到的威胁
Wardriving攻击:
无线技术,无线网络嗅探器程序,探测SSID(servicesetidentifier服务集标识),也就是无线局域网的网络名,然后用SSID获取入网权限,有可能立刻获取DHCP所分配的IP地址。
对付方法:
限制MAC
18、攻击者和防卫者的工具
扫描器:
尽可能将当前系统中存在的漏洞找出,并输出相应的报告。
分为端口扫描器和漏洞扫描器。
存在的缺陷:
完整性,时间性,准确性。
19、入侵监测系统IDS(instrusiondetectionsystem)
定义:
主要是指检测怀有敌意的攻击者试图获得授权访问的行为。
IDS不提供访问控制能力,只是一个报警器,不像防火墙是一把锁或一道门。
分类:
有基于网络的入侵监测系统NIDS、基于主机的入侵监测系统HIDS、基于一场行为的入侵监测系统。
20、日志:
记录系统中的各种事件。
利用日至可以解决:
报告系统的异常、错误;可以跟踪入侵者的踪迹,还可以作为法庭证据。
21、备份策略:
备份方式:
磁盘镜像,硬盘双工,另外的数据备份。
考虑因素:
备份周期、制作备份方式、备份范围、备份分数、缩减容量办法、制作备份的工具、备份介质、自动或手动方式、备份的机器及人员、存放地点等因素。
21、对信息加密的必要性:
保护措施就是在数据在传输前对其进行加密,一旦到达目的地后,再对其解密,就算是中途被窃,偷窃者得到的也只是一堆加密过的密文(乱码)。
密码学研究的内容:
密码编码和密码分析。
计算机密码技术的加密方法:
专用密钥加密,又称对称加密(加密密钥与解密密钥相同)。
公共密钥加密,又称非对称加密(加密密钥与解密密钥不相同)。
对称加密:
速度快、破解困难,适合大量数据的加密,DES(dataencryptionstandard数据加密标准),美国新加密标准AES(advancedencryptionstandard)。
非对称加密:
RSA算法,在传输信息时使用方式(公共密钥和私有密钥成对出现;每个人拥有自己的私有密钥,不像其他人透露,用于他人发给自己信息的解密;每个人拥有自己的公共密钥,向每个和你联系的公开,他人用此加密发给自己的信息;每个人可以拥有他人的公共密钥,用于向他人发送信息时加密)
综合应用利用对称加密和非对称加密。
22、电子邮件加密手段:
邮件信息加密,数字签名
23、Web传输加密
加密协议:
SSL(securitysocketlayer),在会话层使用RSA加密,独立于应用协议。
集中在握手协议上。
如果服务器上运行SSL,加密后的internet地址以https:
//开始。
第三节、信息安全管理知识
1、安全教育的重要性:
网络很普及,成为整个社会不可缺少的一部分,用户对网络安全知识的需求程度取决于他在社会中的角色。
2、安全教育的三个重要领域:
公司内部的信息安全教育,政府机关内部的信息安全教育,学校内部的信息安全教育。
3、对计算机网络系统所提出的安全需求:
保密性,安全性,软件的完整性,数据的完整,服务的可用性,有效性和合法性,信息流的保护。
4、计算机系统安全对策的一般原则:
1)综合平衡代价原则2)整体综合分析与分级授权原则3)方便用户原则4)灵活适应性原则5)可评估原则。
5、计算机系统安全的基本措施:
安全立法;行政管理;技术措施。
6、计算机系统安全技术标准
各级别应用领域,当前常用操作系统所属的级别:
四类七级由低到高D1,C1,C2,B1,B2,B3,A1.
D1:
不需要认证,MS-DOS,Windows3.x
C1:
自主安全保护级,计算机加锁,用户必须有登录,并建立了访问许可机制,但不能控制用户访问级别,如早期的unix,xenixunix,xenix及windows95/98
C2:
受控制存取保护级,引进受控访问环境(用户权限级别),进一步限制用户执行某些系统指令,采用系统审计,跟踪事件。
如unix,xenix,novellnetware3.x/4.x,windowsnt等,可用于金融、商贸行业。
B1:
标志的安全保护级。
对网络上的每一个对象都实施保护。
如IBM大型机的MVS操作系统用3个安全软件包之一配置成典型的B1安全级。
主要用于政府机构和防御承包商。
B2:
结构化保护级。
按照最小特权原则取消权利无限大的特权用户,任何人都不能享有操纵和管理计算机系统的全部权利。
B3:
安全域保护级。
根据最小特权原则,增加系统安全员,将系统管理员、系统操作员和系统安全员的职责分开,将人为因素对计算机安全威胁降到最小。
适合于绝密、机密的应用场合,即使系统崩溃也不会泄密。
A1:
验证设计级。
包括以上所有措施,并附加一个安全系统的受监视设计。
用于绝密级应用场合
第四节、信息化法律基础知识
1、我国信息化法律体系的现状:
1)在现有国家法律中针对信息化特点作相应的修改和补充,如在《刑法》中“侵犯知识产权罪”中增加关于惩治计算机犯罪的规定,在《合同法》中承认了以数据电文形式签订的电子合同等;
2)在现有法律法规的基础上另行制定专门的法规。
如《中华人民共和国计算机信息系统安全保护条例》1994,《中华人民共和国信息网络国际联网管理暂行规定》1997,《商用密码管理条例》1999。
3)我国还颁布实施了一些政府规章和政策性文件,对已经发生的但是暂时无法通过立法来调整的现实问题予以规范。
如《国务院办公厅关于解决计算机2000年问题的通知》等。
2、计算机立法的基本原则:
促进发展原则,技术中立原则,全球一体化原则。
3、《中华人民共和国电信条例》基本内容
2000年9月25日实施。
电信是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。
电信资费分为市场调节价、政府指导价和政府定价。
基础电信业务(指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务)实行政府定价、政府指导价或者市场调节价;增值电信业务(利用公共网络基础设施提供的电信与信息服务的业务)资费实行市场调节价或者政府指导价。
4、《互联网信息服务管理办法》的相关内容
2000年9月25日公布实施,互联网信息服务行为分为经营性行为(有偿)和非经营性行为(无偿)。
5、《计算机软件保护条例》的基本内容
2002年1月1日实施。
条例中规定的软件是指计算机程序及其有关文档。
软件著作权的基本内容,对数和保护期限(自然人终生及其死亡后50年),合法复制品所有人的权利和软件著作权的合理利用。
6、《中国互联网络域名管理办法》的相关内容
信息产业部与2002年8月1日发布。
我国顶级域名是CN