1 / 96

第 6 章 网络安全

第 6 章 网络安全. 主 要 内 容. 第一节 网络安全概述 第二节 威胁网络安全的因素 第三节 网络遭受攻击的形式 第四节 网络安全防范措施 第五节 网络安全解决方案 第六节 防火墙实用技术 第七节 MS Proxy Server 的安全 第八节 Windows NT 中的 Web 安全. 第一节 网络安全概述. 主 要 内 容. 网络安全的含义 网络安全的标准 网络安全的特征 网络安全的结构层次 主要的网络安全威胁. 6.1.1 网络安全的含义.

lael-walters
Download Presentation

第 6 章 网络安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第6章 网络安全

  2. 主 要 内 容 • 第一节 网络安全概述 • 第二节 威胁网络安全的因素 • 第三节 网络遭受攻击的形式 • 第四节 网络安全防范措施 • 第五节 网络安全解决方案 • 第六节 防火墙实用技术 • 第七节 MS Proxy Server的安全 • 第八节 Windows NT中的Web安全

  3. 第一节网络安全概述

  4. 主 要 内 容 • 网络安全的含义 • 网络安全的标准 • 网络安全的特征 • 网络安全的结构层次 • 主要的网络安全威胁

  5. 6.1.1 网络安全的含义 网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。

  6. 6.1.2 网络安全的标准 1.运行系统安全,即保证信息处理及传输系统的安全。 2.网络上系统信息的安全:包括口令鉴别、 权限控制、病毒防治等。 3.网络上信息传播的安全,即信息传播后的安全,包括信息过滤等。侧重于非法信息的传播。 4.网络上信息内容的安全:侧重于信息的保密性、真实性和完整性。

  7. 6.1.3 网络安全的特征 网络安全应具有以下四个方面的特征: l保密性:指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 l完整性:指数据未经授权不能进行改变的特性,即信息在存储和传 输过程中保持不被修改、不被破坏和丢失的特性。 l可用性:指可被实休访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 l可控性:指对信息的传播即内容具有控制能力。

  8. 6.1.5 主要的网络安全威胁 1.网络安全威胁的表现形式 l自然灾害、意外事故。 l计算机犯罪。 l人为行为,例如使用不当,安全意识差等。 l“黑客”行为,由于黑客的入侵或侵扰。 l内部泄密。 l外部泄密。 l信息丢失。 l电子谍报,例如信息流量分析、信息窃取等。 l信息战。 l网络协议中的缺陷。

  9. l 假冒合法用户 l非授权访问 l干扰系统的正常运行 l破坏数据完整 l传播病毒 l窃听 l重传 l伪造 l篡改 l服务封锁攻击 l行为否认 6.1.5 主要的网络安全威胁 2.网络安全威胁的特征

  10. 第二节威胁网络安全的因素

  11. 主 要 内 容 • 内部因素 • 各种外部威胁 • 病毒简介

  12. 6.2.1 内部因素 1.操作系统的脆弱性: a、体系结构本身就是不安全的一种因素 b、可以创建进行又是一个不安全的因素 c、远程过程调用服务(RPC)以及它所安排的无口令入口也是黑客的一个通道 2.计算机系统的脆弱性 : 主要来自于操作系统的不安全性和通信协议的不安全性 3.协议安全的脆弱性 :网络中使用的TCP/IP协议以及FTP、E-mail、NFS等都包含着影响网络安全的因素。

  13. 安全的因素。黑客经常采用SOCK、TCP预测或使用远程访问(RPC)进行直接扫描等方法对防火墙进行攻击。安全的因素。黑客经常采用SOCK、TCP预测或使用远程访问(RPC)进行直接扫描等方法对防火墙进行攻击。 4.数据库管理系统安全的脆弱性:它必须与操作系统的安全配套,可见它是一个先天足儿。 5.人为因素 :缺少安全管理员,特别是高素质的网络管理员。缺少安全管理规范,缺少安全检查、测试,缺少安全监控等因素。

  14. 6.2.2 各种外部威胁 1.物理威胁:指用于保护计算机硬件和存储介质的装置和工作程序。常见物理安全有偷窃、废物搜寻和间谍活动等。它是计算机安全的最重要方面。 2.网络威胁: (1)电子窃听 (2)拨号的安全问题 (3)冒名顶替现象

  15. 3.身份鉴别:是计算机判断一种是否有权使用 它的过程。目前的监别一般是以口令形式的,但是它十分脆弱,却实现简单,所以仍被广泛使用。 a、口令圈套,b、密码字典 4.病毒感染 5.系统漏洞:也被称为陷阱,它通常是由操作系统的开发者有意设置的,这样它们就能够在用户失去了对系统的所有访问权时仍能进入系统。TCP/IP中存在的很多的安全漏洞

  16. 病毒简介 病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分: 复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。 (1)病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒 、宏病毒 (2)病毒的传播方式 病毒一旦进入系统以后,通常用以下两种方式传播: l通过磁盘的关键区域:主要感染工作站。 l通过可执行文件:主要感染服务器。 (3)病毒的工作方式 变异 、触发 、破坏

  17. 病毒简介 (6)网络病毒的特点 传染方式多 、传染速度快 、清除难度大 、破坏性强 、激发形式多样 、潜在性 (7)常见的网络病毒 电子邮件病毒 、Java程序病毒 、ActiveX病毒 、网页病毒 (8)网络对病毒的敏感性 对文件病毒的敏感性 、对引导病毒的敏感性 、对宏病毒的敏感性

  18. 病毒简介 (9)网络计算机病毒的防治 第一,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件; 第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。 (10)防毒、杀毒软件的选择 选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等

  19. 目前常见网络病毒及处理 • 冲击波(Worm.Blaster)病毒 • 病毒介绍: • 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

  20. 目前常见网络病毒及处理 • 病毒发作现象: • 系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。 • 病毒详细说明: • 1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。 • 2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。

  21. 目前常见网络病毒及处理 • 3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。 • 4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。 • 5. 病毒体内隐藏有一段文本信息: • I just want to say LOVE YOU SAN!! • billy gates why do you make this possible ? Stop making money and fix your software!!

  22. 6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。 • 7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。 • 8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。

  23. 9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。 • 10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。

  24. 目前常见网络病毒及处理 • 手工清除方案: • 一、 DOS环境下清除该病毒: • 1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录. • CD C:\windows (或CDc:\winnt) • 2. 查找目录中的“msblast.exe”病毒文件。 • dir msblast.exe /s/p • 3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。 • Del msblast.exe

  25. 目前常见网络病毒及处理 • 二、 在安全模式下清除病毒 • 如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。 • 给系统打补丁方案: • 当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。

  26. 目前常见网络病毒及处理 • “硬盘杀手”病毒 • “硬盘杀手”病毒的破坏力全面超越CIH病毒:它利用网络漏洞和共享目录进行网络感染,传播能力也远远超过CIH!运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,此文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉。

  27. 1、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。1、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。 2、检查注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。 3、如果用户的机器操作系统是Windows 9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:\windows\mqbkup.exe所在的行。 4、在程序任务列表中删除mqbkup.exe。 5、如果系统已经重新启动,请立即关闭机器,切断电源,以免硬盘数据进一步丢失。

  28. 目前常见网络病毒及处理 • 特洛伊 Win32.Revcuss.H • 破坏性: 中 04年11月15 • 病毒特性: • Win32.Revcuss.H是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构,它是大小为27,136字节的Win32可执行文件。 • 感染方式: • 运行时,Win32.Revcuss.H把自己拷贝到: • " %System%\userhandler.exe • " %Windows%\winuser.exe • 病毒修改注册键值来确保每次系统运行时都执行userhandler.exe : • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UserHandler="%System%\userhandler.exe"

  29. 危害: 盗取敏感信息 最初,运行时,Revcuss利用系统Inter资源管理器PHP文件发送请求: " vb-aus.com " puterpaul.co.uk 用这个IP地址:67.15.72.14 病毒会隐藏它的特性,并创建新的'Desktop',名称是'Default000'。 它阻止的所有资源管理器有下列标题: Abbey anking Barclays Ibank ..... Transfer to another organisation – Create welcome to smile banking 一旦建立,它使用下列地址核对用户的银行帐户: https://ibank.barclays.co.uk/fp/ .... https://membership details below https://cukehb2.cd.citibank.co.uk/HomeBankingSecure/Pers/StartSession.asp https://www1.net.hsbc.com/code/public/en_US/login/poplogin.jhtml 检测/清除 KILL安全胄甲inoculateIT v23.67.28vet 11.x/8726 版可检测/清除此病毒

  30. 目前常见网络病毒及处理 • “幽灵(I-Worm.Ghost)”病毒:蠕虫病毒,通过邮件传播,依赖系统:WIN9X/NT/2000/XP。 • 病毒第一次运行时,会把自己复制到Windows系统的字体目录下,文件名随机产生。当目录下的病毒得以运行时,会把自己复制到C盘根目录下,文件名为“Windows.exe”和“Ghost.bat”。 • 在C盘根目录下的文件夹里释放一个自己的副本,文件名跟所在的文件夹名相同。复制自己的同时,生成病毒自己的“Desktop.ini”和“Folder.htt”文件,这两个文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统运行速度变慢。遍历Outlook的邮件地址列表,向这些地址发送病毒邮件。

  31. 目前常见网络病毒及处理 • 病毒名称:Win32 .Zafi.D ( 扎非) • 其他病毒名 :W32/Zafi.d@MM (McAfee) • W32.Erkez.D@mm(Symantec) • WORM_ZAFI.D(Trend Micro) • Worm.Zafi.d(金山) • I-Worm.Zafi.d(瑞星) • I-Worm/Zafi.d(江民) • 感染系统:Windows 2000, Windows 98, Windows Me, Windows NT, • Windows XP

  32. 目前常见网络病毒及处理 • 04年12月20国家计算机病毒应急处理中心通过对互联网的监测,发现病毒Worm_Zafi.d。该蠕虫通过邮件和网络共享进行传播,并将自己伪装为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊天工具 • ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。

  33. 目前常见网络病毒及处理 • 病毒特征: • 1、生成病毒文件 • 病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。 • (其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32) • 病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。 • 2、修改注册表项 • 病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加值“Wxp4” = “%System%\Norton Update.exe”。这样可以在每次开机时自动运行,文件名伪装为 Norton 的升级程序。同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。

  34. 3、通过电子邮件传播 • 病毒电子邮件特征如下: • 主题:(为下列名称之一) • Merry Christmas! boldog karacsony.. Feliz Navidad! ecard.ru • Christmas Kort! Christmas Vykort! Christmas Postkort! Christmas postikorti! Christmas - Kartki! Weihnachten card. Prettige rstdagen! • Christmas pohlednice Joyeux Noel! Buon Natale! • 正文:(为以下之一) • Happy HollyDays! :) [Sender] Kellemes Unnepeket! :) [Sender] • Feliz Navidad! :) [Sender] :) [Sender] Glaedelig Jul! :) [Sender] • God Jul! :) [Sender] God Jul! :) [Sender] Iloista Joulua! :) [Sender] • Naulieji Metai! :) [Sender] Wesolych Swiat! :) [Sender] Fr?hliche Weihnachten! :) [Sender] Prettige Kerstdagen! :) [Sender] Veselé Vánoce! :) [Sender] Joyeux Noel! :) [Sender] Buon Natale! • 附件:(包含以下扩展名) .bat .cmd .com .pif .zip

  35. 目前常见网络病毒及处理 • 4、病毒运行 • 当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框: • 为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程: • msconfig • reged • task • 5、后门功能 • 该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。

  36. 目前常见网络病毒及处理 • 手工清除病毒: • 1、 结束病毒进程 • 打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下 • CTRL+ALT+DELETE • 在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签 在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE ,结束该进程,即可。 • 2、删除病毒文件 • 右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中,输入:Norton Update.exe和s.cm ,找到文件然后选择删除。 • 3、修改注册表 • 打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,找到右侧面板中"Wxp4" = "%System%\Norton Update.exe",并将其删除。 • 依次双击左边的面板,双击并删除下面的项目 • HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4

  37. 目前常见网络病毒及处理 • qq病毒 • “爱情森林”病毒和“QQ伪装专家” • 病毒类型:木马病毒 • “QQ窃手”病毒 蠕虫病毒

  38. 目前常见网络病毒及处理 • RedLof病毒(红色结束符)简介 • 此病毒感染脚本类型的文件。该病毒能够疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,而病毒每激活一次,在内存中就复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,使计算机运行速度越来越慢,而且其还会随着信件模板,进行网络传播。

  39. 病毒发作现象: 一、 如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。 二、 病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。 三、 该病毒会使计算机运行速度变慢。 解决方案: 1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是用《瑞星杀毒软件2003版》的最新版本进行彻底清除。

  40. 2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。 3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。 4、在杀完毒之后应立即重新启动计算机。 5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。

  41. 目前常见网络病毒及处理 • Win32.Atak.D(艾塔克) 04年12月06 • 病毒名:Win32.Atak.D类型: 蠕虫 • 病毒特性:Win32.Atak.D是通过邮件传染的蠕虫病毒。它是大小为12,037字节的 FSG Win32 可执行 程序。 • 感染方式:执行时,Atak.D 拷贝自己到%System%\a1g.exe并且编辑 win.ini 以确保每次系统运行时执行这个文件:[WINDOWS]load = %System%\a1g.exe在Windows NT/2000/XP/2003中,可以自动转化,修改下列注册键值: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\a1g.exe"注:'%System%'是一个可变的路径.病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32.

  42. 传染方式:通过邮件传播检测与清除:KILL安全胄甲InoculateIT 23.67.54 Vet 11.x/8778 可检测并清除。

  43. 第三节网络遭受攻击的形式

  44. 6.3.1 服务封-锁攻击 • 服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是CPU时间、磁盘空间、MODEM、打印机,甚至是系统管理员的时间。 • 服务封锁攻击是针对IP的核心进行的。 • 服务封锁攻击的方式很多

  45. 6.3.2 电子邮件攻击 现在的电子邮件攻击主要表现如下形式: l窃取、篡改数据 l伪造邮件 l服务封锁 l病毒

  46. 6.3.3 缓冲区溢出攻击 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。 攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限

  47. 6.3.4 网络监听攻击 在网络中,当信息进行传播的时候,可以利用 某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。

  48. 第四节网络安全防范措施

  49. 6.4.1 物理安全防范 1、电梯和楼梯不可直接进入机房。 2、要有足够照明,防止非法进入的设备 3、外部容易进出口处要设置栅栏或者监控设备及报警系统。 4、供电系统要独立 5、微机室100m内不得有危险设施(易燃易爆物品等) 6、设备要加锁或是胶粘等 7、防静电、防尘、放火、防水措施(地线、隔离墙等)

More Related