《第四章信息系统安全与职业道德精选文档.ppt》由会员分享,可在线阅读,更多相关《第四章信息系统安全与职业道德精选文档.ppt(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第四章信息系统安全与职业道德第四章信息系统安全与职业道德本讲稿第一页,共七十四页主要内容主要内容 4.1 4.1 信息系统安全知识信息系统安全知识4.2 4.2 计算机病毒及防治技术计算机病毒及防治技术4.3 4.3 信息安全技术信息安全技术4.4 4.4 信息系统安全规划及管理信息系统安全规划及管理4.5 4.5 网络道德和软件知识产权网络道德和软件知识产权2 2 2 2本讲稿第二页,共七十四页4.1 4.1 信息系统安全概述信息系统安全概述4.1.1 4.1.1 什么是信息安全什么是信息安全4.1.2 4.1.2 安全威胁安全威胁3 3 3 3本讲稿第三页,共七十四页4.1.1 4.1.1
2、 什么是信息安全什么是信息安全信信息息安安全全:指指对对信信息息资资源源实实施施保保护护,以以防防止止其其未未经经授授权权的的泄泄漏漏、修修改改、破破坏坏,而而不不管管这这种种行为是偶然的还是故意的。行为是偶然的还是故意的。表表现现形形式式及及要要求求:随随信信息息应应用用的的主主体体、环环境境和要求的不同而不同。和要求的不同而不同。目目的的:对对信信息息资资源源实实施施全全面面管管理理和和控控制制,保保证证信信息息在在存存取取、处处理理和和传传输输过过程程中中的的机机密密性性、完整性和可用性。完整性和可用性。4 4 4 4本讲稿第四页,共七十四页4.1.1 4.1.1 什么是信息安全什么是信
3、息安全体体现现在在个个层层面面:信信息息安安全全理理念念、信信息息安安全全观观点点、信信息息安安全全机机制制、物物理理安安全全、运运行行安安全全、数据安全、内容安全、信息对抗数据安全、内容安全、信息对抗安安全全是是人人员员、技技术术、操操作作三三者者紧紧密密结结合合的的系系统统工工程程,是是不不断断演演进进、循循环环发发展展的的动动态态过过程。程。5 5 5 5本讲稿第五页,共七十四页4.1.2 4.1.2 安全威胁安全威胁来来源源:各各种种失失误误、出出错错、病病毒毒、攻攻击击以以及及软软件和硬件设计的后门。件和硬件设计的后门。威胁种类:威胁种类:6 6 6 6本讲稿第六页,共七十四页4.2
4、 4.2 计算机病毒及防治技术计算机病毒及防治技术一、概述一、概述1.1.计算机病毒概述计算机病毒概述2.2.计算机病毒的分类计算机病毒的分类3.3.病毒实例分析病毒实例分析4.4.计算机病毒的检测计算机病毒的检测5.5.计算机病毒的防范计算机病毒的防范6.6.计算机病毒的发展趋势计算机病毒的发展趋势二、二、网络黑客及防范网络黑客及防范 7 7 7 7本讲稿第七页,共七十四页概述概述定定义义:一一段段计计算算机机程程序序代代码码,被被嵌嵌入入在在正正常常的的计计算算机机程程序序中中,能能破破坏坏计计算算机机功功能能,影影响响计计算算机机正正常使用,通常能自我复制。常使用,通常能自我复制。特特征
5、征:隐隐蔽蔽性性、传传染染性性、潜潜伏伏性性、破破坏坏性性以以及及可可触发运行性。触发运行性。危危害害:对对数数据据信信息息的的直直接接破破坏坏、占占用用磁磁盘盘空空间间、抢抢占占系系统统资资源源、影影响响计计算算机机运运行行速速度度、计计算算机机病病毒毒错错误误与与不不可可预预见见的的危危害害、计计算算机机病病毒毒给给用用户户造造成严重的心理压力等。成严重的心理压力等。8 8 8 8本讲稿第八页,共七十四页计算机病毒的分类计算机病毒的分类1 1 1 1按病毒的传染方式分:按病毒的传染方式分:1.1.1.1.引导型病毒引导型病毒2.2.2.2.文件型病毒文件型病毒 3.3.3.3.复合型病毒复
6、合型病毒 9 9 9 9本讲稿第九页,共七十四页计算机病毒的分类计算机病毒的分类2 2 2 2按病毒的连接方式分:按病毒的连接方式分:1.1.1.1.源源码码型型病病毒毒:攻攻攻攻击击击击高高高高级级级级语语语语言言言言编编编编写写写写的的的的源源源源程程程程序序序序,源源源源程程程程序序序序中中中中插插插插入入入入病病病病毒毒毒毒程程程程序序序序,随随随随源源源源程程程程序序序序一一一一起起起起编编编编译译译译、链链链链接接接接成成成成可可可可执执执执行行行行文文文文件件件件,此此此此可可可可执执执执行行行行文文文文件件件件已已已已感感感感染染染染病毒。病毒。病毒。病毒。2.2.2.2.入入
7、侵侵型型病病毒毒:用用用用自自自自身身身身代代代代替替替替正正正正常常常常程程程程序序序序中中中中的的的的部部部部分分分分模模模模块块块块或或或或堆堆堆堆栈栈栈栈区区区区,攻击特定程序,针对性强,难以发现、清除。攻击特定程序,针对性强,难以发现、清除。攻击特定程序,针对性强,难以发现、清除。攻击特定程序,针对性强,难以发现、清除。3.3.3.3.操操作作系系统统型型病病毒毒:用用用用其其其其自自自自身身身身部部部部分分分分加加加加入入入入或或或或替替替替代代代代操操操操作作作作系系系系统统统统的的的的部部部部分分分分功能。功能。功能。功能。4.4.4.4.外外壳壳型型病病毒毒:将将将将自自自自
8、身身身身附附附附在在在在正正正正常常常常程程程程序序序序的的的的开开开开头头头头或或或或结结结结尾尾尾尾,相相相相当当当当于于于于给程序加了个外壳。给程序加了个外壳。给程序加了个外壳。给程序加了个外壳。10101010本讲稿第十页,共七十四页引导型病毒引导型病毒定定义义:指指寄寄生生在在磁磁盘盘引引导导区区或或主主引引导导区区的的计计算算机机病毒。病毒。危危害害:利利用用系系统统引引导导时时不不对对主主引引导导区区内内容容的的正正确确性性进进行行判判别别的的缺缺点点,在在引引导导系系统统的的过过程程中中侵侵入入系系统统,驻留内存,监视系统运行,伺机传染和破坏。驻留内存,监视系统运行,伺机传染和
9、破坏。典型病毒:典型病毒:如大麻病毒、小球病毒等如大麻病毒、小球病毒等 执行框图执行框图11111111本讲稿第十一页,共七十四页引导型病毒执行框图引导型病毒执行框图 系统启动 引导程序 病毒跳转到内存并获得系统控制权 符合条件?激活病毒 传染或破坏 驻留等待 执行正常的系统引导 Y N 12121212本讲稿第十二页,共七十四页文件型病毒文件型病毒定义:定义:指能够寄生在文件中的计算机病毒。指能够寄生在文件中的计算机病毒。危危害害:感感染染可可执执行行文文件件或或数数据据文文件件。当当这这些些文文件件被执行时,病毒程序也跟着被执行。被执行时,病毒程序也跟着被执行。典型病毒:典型病毒:如宏病毒
10、。如宏病毒。执行框图执行框图13131313本讲稿第十三页,共七十四页文件型病毒执行框图文件型病毒执行框图 系统启动 运行.COM,.EXE文件 病毒随文件到内存并获得系统控制权 符合条件?激活病毒 传染或破坏 驻留等待 文件正常执行 Y N 14141414本讲稿第十四页,共七十四页复合型病毒复合型病毒定义:定义:具有引导型病毒和文件型病毒的特性。具有引导型病毒和文件型病毒的特性。危危害害:扩扩大大了了病病毒毒程程序序的的传传染染途途径径,既既感感染染磁磁盘盘的的引引导导记记录录,又又感感染染可可执执行行文文件件。当当染染有有此此种种病病毒毒的的磁磁盘盘用用于于引引导导系系统统或或调调用用执
11、执行行染染毒毒文文件件时时,病病毒毒都都会会被被激激活活,具具有有相相当当程程度度的的传传染染力力,一一旦旦发发作作,后果十分严重。后果十分严重。典型病毒:典型病毒:如如FlipFlip病毒、新世纪病毒等。病毒、新世纪病毒等。15151515本讲稿第十五页,共七十四页病毒实例分析病毒实例分析1、CIH病毒病毒 2、宏病毒宏病毒3、网络病毒网络病毒16161616本讲稿第十六页,共七十四页CIHCIH病毒病毒 特特点点:一一种种文文件件型型病病毒毒,感感染染Windows95/98环环境下境下PE格式的格式的EXE文件。文件。主主要要危危害害:病病毒毒发发作作后后,硬硬盘盘数数据据全全部部丢丢失
12、失,甚甚至至主主板板上上的的BIOS中中的的原原内内容容会会被被彻彻底底破破坏坏,主主机机无法启动。无法启动。17171717本讲稿第十七页,共七十四页宏病毒宏病毒利利用用软软件件所所支支持持的的宏宏命命令令编编写写成成的的具具有有复复制制、传传染染能能力力的的宏宏,是是一一种种新新形形态态的的计计算算机机病病毒毒,也也是是一一种种跨跨平平台台的的计计算算机机病病毒毒,可可以以在在Macintosh System 7 Windows、Windows 9X、NT/2000和和OS/2等操作系统上执行。等操作系统上执行。18181818本讲稿第十八页,共七十四页网络病毒网络病毒专专指指在在网网络络
13、上上传传播播、并并对对网网络络进进行行破破坏坏的的病病毒毒;也也指指HTML病病毒毒、E-mail病病毒毒、Java病病毒毒以以及及与因特网有关的病毒等。与因特网有关的病毒等。19191919本讲稿第十九页,共七十四页计算机病毒的检测计算机病毒的检测1.1.1.1.异常情况判断异常情况判断2.2.2.2.计算机病毒的检测手段计算机病毒的检测手段1.1.1.1.特征代码法特征代码法特征代码法特征代码法2.2.2.2.校验和法校验和法校验和法校验和法3.3.3.3.行为监测法行为监测法行为监测法行为监测法20202020本讲稿第二十页,共七十四页特征代码法特征代码法检测已知病毒的最简单、开销最小的
14、方法。检测已知病毒的最简单、开销最小的方法。实现步骤:实现步骤:1.1.1.1.采集已知病毒样本采集已知病毒样本采集已知病毒样本采集已知病毒样本2.2.2.2.在病毒样本中,抽取特征代码在病毒样本中,抽取特征代码在病毒样本中,抽取特征代码在病毒样本中,抽取特征代码3.3.3.3.打开被检测文件,在文件中搜索病毒特征代码。打开被检测文件,在文件中搜索病毒特征代码。打开被检测文件,在文件中搜索病毒特征代码。打开被检测文件,在文件中搜索病毒特征代码。缺缺点点:速速度度慢慢,误误报报警警率率低低,不不能能检检查查多多形形性性病毒,并且不能对付隐蔽性病毒。病毒,并且不能对付隐蔽性病毒。21212121本
15、讲稿第二十一页,共七十四页校验和法校验和法对对正正常常文文件件的的内内容容计计算算校校验验和和,并并将将结结果果写写入入文文件件中中。使使用用时时,定定期期对对文文件件当当前前内内容容的的校校验验和和进进行行计计算算,与与保保存存的的原原值值比比较较,查查看看是是否否一一致,以发现文件是否被感染。致,以发现文件是否被感染。优优点点:方方法法简简单单,能能发发现现文文件件的的细细微微变变化化,能能发现未知病毒;发现未知病毒;缺缺点点:会会误误报报警警,不不能能识识别别病病毒毒名名称称,不不能能对对付隐蔽型病毒。付隐蔽型病毒。22222222本讲稿第二十二页,共七十四页行为监测法行为监测法监监测测
16、是是否否有有程程序序试试图图改改变变计计算算机机系系统统中中的的一一些些关键数据。关键数据。优优点点:能能发发现现未未知知病病毒毒,可可相相当当准准确确地地预预报报未未知的多数病毒;知的多数病毒;缺缺点点:可可能能误误报报警警,不不能能识识别别病病毒毒名名称称,同同时时实现时有一定难度。实现时有一定难度。23232323本讲稿第二十三页,共七十四页计算机病毒的防范计算机病毒的防范防范计算机病毒采用有效的技术策略防范计算机病毒采用有效的技术策略电子邮件病毒的防治电子邮件病毒的防治不要轻易打开来信中的附件文件不要轻易打开来信中的附件文件 防范计算机病毒的几种方法防范计算机病毒的几种方法常用软件查杀
17、病毒常用软件查杀病毒 24242424本讲稿第二十四页,共七十四页计算机病毒的发展趋势计算机病毒的发展趋势1.1.计算机病毒呈现的新特性计算机病毒呈现的新特性利用微软操作系统漏洞主动传播;利用微软操作系统漏洞主动传播;2.2.计算机病毒发展的趋势计算机病毒发展的趋势与与InternetInternet和和IntranetIntranet紧紧密密地地结结合合,利利用用一一切可以利用的方式进行传播;切可以利用的方式进行传播;25252525本讲稿第二十五页,共七十四页4.2.2 网络黑客及防范网络黑客及防范 定定义义:网网络络黑黑客客是是指指掌掌握握相相当当高高的的网网络络技技术术的的一一群网络群
18、网络“罪犯罪犯”。危危害害:篡篡改改网网页页,使使网网站站崩崩溃溃,诱诱骗骗合合法法用用户户的的机密信息。机密信息。1.1.网络黑客常见的攻击步骤网络黑客常见的攻击步骤2.2.网络主要攻击网络主要攻击3.3.网络主要防范举例网络主要防范举例26262626本讲稿第二十六页,共七十四页网络黑客常见的攻击步骤网络黑客常见的攻击步骤1.1.1.1.攻攻击击前前奏奏:锁锁定定目目标标 、了了解解目目标标的的网网络络结结构构、收集系统信息收集系统信息 2.2.2.2.实施攻击实施攻击3.3.3.3.巩固控制巩固控制4.4.4.4.继续深入继续深入27272727本讲稿第二十七页,共七十四页网络主要攻击网
19、络主要攻击 1.1.1.1.木木马马攻攻击击,防防范范:通通过过防防火火墙墙采采用用适适当当的的规规则则并及时查杀入侵木马。并及时查杀入侵木马。2.2.2.2.IPIP地址欺骗攻击;地址欺骗攻击;3.3.3.3.恶意流量攻击;恶意流量攻击;4.4.4.4.简单简单DoS DoS 攻击攻击(拒绝服务拒绝服务)5.5.5.5.联合联合DoSDoS攻击攻击6.6.6.6.DDoSDDoS攻击攻击28282828本讲稿第二十八页,共七十四页网络主要防范举例网络主要防范举例 1.1.1.1.IPIP地址过滤地址过滤;2.2.2.2.MACMAC地址过滤地址过滤;3.3.3.3.HTTPHTTP过滤过滤4
20、.4.4.4.FTPFTP过滤模块过滤模块5.5.5.5.SMTP/POP3SMTP/POP3过滤过滤29292929本讲稿第二十九页,共七十四页4.3 4.3 信息安全技术信息安全技术4 4.3.1.3.1 防火墙技术防火墙技术4.3.24.3.2 入侵检测技术入侵检测技术(新的信息安全技术)(新的信息安全技术)4.3.3 4.3.3 数据加密技术数据加密技术 4 4.3.4.3.4 数字签名数字签名30303030本讲稿第三十页,共七十四页4.3.1 4.3.1 防火墙技术防火墙技术1.1.概念概念2.2.防火墙的主要体系结构防火墙的主要体系结构3.3.防火墙的技术分类防火墙的技术分类4.
21、4.如何选择防火墙如何选择防火墙5.5.防火墙的维护防火墙的维护31313131本讲稿第三十一页,共七十四页防火墙的概念防火墙的概念定定义义:防防止止网网络络外外部部的的恶恶意意攻攻击击对对网网络络内内部部造造成成不良影响而设置的安全防护设施。不良影响而设置的安全防护设施。防防火火墙墙是是一一种种访访问问控控制制技技术术,是是在在某某个个机机构构的的网网络络和和不不安安全全的的网网络络之之间间设设置置的的一一组组组组件件(软软件件或或硬硬件设备的组合)。件设备的组合)。作作用用:对对两两个个网网络络之之间间的的通通信信进进行行控控制制,通通过过强强制制实实施施统统一一的的安安全全策策略略,防防
22、止止对对重重要要信信息息资资源源的的非非法存取和访问,保护系统安全。法存取和访问,保护系统安全。32323232本讲稿第三十二页,共七十四页防火墙的概念防火墙的概念性质:性质:1 1、只允许本地安全策略授权的通信信息通过。、只允许本地安全策略授权的通信信息通过。2 2、双双向向通通信信信信息息必必须须通通过过防防火火墙墙,控控制制信信息息的的流流通,但会增大网络管理开销,减慢了信息传递速率。通,但会增大网络管理开销,减慢了信息传递速率。示意图示意图33333333本讲稿第三十三页,共七十四页防火墙示意图防火墙示意图34343434本讲稿第三十四页,共七十四页防火墙的主要体系结构防火墙的主要体系
23、结构1.1.1.1.双重宿主主机体系结构双重宿主主机体系结构2.2.2.2.屏蔽主机体系结构屏蔽主机体系结构 3.3.3.3.屏蔽子网体系结构屏蔽子网体系结构 35353535本讲稿第三十五页,共七十四页双重宿主主机体系结构双重宿主主机体系结构一一种种拥拥有有两两个个或或多多个个连连接接到到不不同同网网络络上上的的网网络络接接口的防火墙。口的防火墙。组组成成:一一台台装装有有两两块块或或多多块块网网卡卡的的堡堡垒垒主主机机做做防防火墙,每块网卡各自与受保护网和外部网相连。火墙,每块网卡各自与受保护网和外部网相连。体系结构示意图体系结构示意图特特点点:禁禁止止主主机机的的路路由由功功能能,两两个
24、个网网络络之之间间的的通通信通过应用代理服务来完成。信通过应用代理服务来完成。缺缺点点:黑黑客客侵侵入入堡堡垒垒主主机机并并使使其其具具有有路路由由功功能能时时,防火墙失效。防火墙失效。36363636本讲稿第三十六页,共七十四页双重宿主机体系结构示意图双重宿主机体系结构示意图 37373737本讲稿第三十七页,共七十四页屏蔽主机体系结构屏蔽主机体系结构 组成:组成:由防火墙和内部网络的堡垒主机组成。由防火墙和内部网络的堡垒主机组成。体系结构示意图体系结构示意图特特点点:堡堡垒垒主主机机安安装装在在内内网网上上,在在路路由由器器上上设设立立过过滤滤规规则则,并并使使堡堡垒垒主主机机成成为为外外
25、网网唯唯一一可可直直接接到到达达的的主主机机,保保证证了了内内网网不不被被未未经经授授权权的的外外部部用用户户的的攻攻击。击。38383838本讲稿第三十八页,共七十四页屏蔽主机体系结构示意图屏蔽主机体系结构示意图39393939本讲稿第三十九页,共七十四页屏蔽子网体系结构屏蔽子网体系结构 组组成成:两两个个包包过过滤滤器器和和一一个个堡堡垒垒主主机机,在在内内外外网网间建立了一个被隔离的子网,称作间建立了一个被隔离的子网,称作周边网络周边网络。体系结构示意图体系结构示意图特特点点:内内外外网网均均可可访访问问屏屏蔽蔽子子网网,但但禁禁止止它它们们穿穿过过屏屏蔽蔽子子网网通通信信。这这样样,即
26、即使使入入侵侵者者控控制制了了堡堡垒垒主主机,内网仍受到内部包过滤路由器的保护。机,内网仍受到内部包过滤路由器的保护。40404040本讲稿第四十页,共七十四页屏蔽子网体系结构示意图屏蔽子网体系结构示意图41414141本讲稿第四十一页,共七十四页防火墙的技术分类防火墙的技术分类根据防范方式和侧重点的不同可分以下三类:根据防范方式和侧重点的不同可分以下三类:1.1.包过滤防火墙包过滤防火墙2.2.状态监测防火墙状态监测防火墙3.3.代理服务器代理服务器42424242本讲稿第四十二页,共七十四页包过滤防火墙包过滤防火墙数数据据包包过过滤滤是是一一个个网网络络安安全全保保护护机机制制,它它对对进
27、进出出网网络络的的信信息息进进行行分分析析,按按安安全全策策略略对对进进出出内内网网的的信信息息进进行行限限制制,过过滤滤规规则则是是以以所所收收到到的的数数据据包包头头信信息息为基础。为基础。检查内容检查内容优点:优点:速度快,性能高,对应用程序透明。速度快,性能高,对应用程序透明。缺缺点点:安安全全性性低低,不不能能根根据据状状态态信信息息进进行行控控制制,不能处理网络层以上的信息,维护不直观。不能处理网络层以上的信息,维护不直观。43434343本讲稿第四十三页,共七十四页状态监测防火墙状态监测防火墙主主要要部部件件:监监测测引引擎擎,即即一一个个在在网网关关上上执执行行网网络络安安全全
28、策策略略的的软软件件模模块块,它它采采用用抽抽取取有有关关数数据据的的方方法法对对网网络络通通信信的的各各层层实实施施监监测测,提提取取状状态态信信息息,并并动动态态保保存存作作为为以以后后执执行行安安全全策策略略的的参参考考。当当请请求求访访问问网网关关时时,状状态态监监视视器器抽抽取取有有关关数数据据进进行行分分析析,结结合合网络配置和安全规定作出处理动作。网络配置和安全规定作出处理动作。优优点点:拒拒绝绝违违反反安安全全规规定定的的访访问问,报报告告有有关关状状态态作日志记录;作日志记录;缺点:缺点:降低了网络速度,配置复杂。降低了网络速度,配置复杂。44444444本讲稿第四十四页,共
29、七十四页代理服务器代理服务器代代理理服服务务是是运运行行在在防防火火墙墙主主机机上上的的专专门门应应用用程程序序或或者者服服务务器器程程序序,它它把把跨跨越越防防火火墙墙的的网网络络通通信信分分开开。外外部部计计算算机机的的网网络络链链路路只只到到代代理理服服务务器器,从从而而隔隔离离防火墙内外计算机系统。防火墙内外计算机系统。组组成成:代代理理服服务务器器和和代代理理客客户户。代代理理服服务务器器运运行行在防火墙上,代理客户运行在客户机上。在防火墙上,代理客户运行在客户机上。分类:分类:应用级代理应用级代理应用级代理应用级代理是已知代理服务向哪一应用提供的代是已知代理服务向哪一应用提供的代是
30、已知代理服务向哪一应用提供的代是已知代理服务向哪一应用提供的代理,它在应用协议中理解并解释命令。理,它在应用协议中理解并解释命令。理,它在应用协议中理解并解释命令。理,它在应用协议中理解并解释命令。回路级代理回路级代理回路级代理回路级代理能对各种不同的协议提供服务。能对各种不同的协议提供服务。能对各种不同的协议提供服务。能对各种不同的协议提供服务。45454545本讲稿第四十五页,共七十四页代理服务器代理服务器优优点点:有有相相对对较较高高的的安安全全性性、可可以以实实现现访访问问的的身身份认证、可以在应用层控制服务的等级权限;份认证、可以在应用层控制服务的等级权限;缺缺点点:性性能能较较差差
31、,速速度度慢慢,每每种种访访问问服服务务需需要要单单独的代理服务器,用户不透明。独的代理服务器,用户不透明。46464646本讲稿第四十六页,共七十四页如何选择防火墙如何选择防火墙设设计计原原则则:考考虑虑费费用用、资资源源可可用用、符符合合习习惯惯、合法,以保证现代信息安全。具体:合法,以保证现代信息安全。具体:1.1.1.1.总拥有成本总拥有成本 2.2.2.2.防火墙本身是安全的防火墙本身是安全的 3.3.3.3.可扩充性可扩充性 4.4.4.4.防火墙的安全性能防火墙的安全性能47474747本讲稿第四十七页,共七十四页防火墙的维护防火墙的维护四个部分:四个部分:1.1.1.1.防火墙
32、的备份;防火墙的备份;2.2.2.2.制定相应的应急措施;制定相应的应急措施;3.3.3.3.定期检查定期检查SyslogSyslog;日志文件;日志文件4.4.4.4.保持防火墙的随时技术更新。保持防火墙的随时技术更新。48484848本讲稿第四十八页,共七十四页4.3.2 入侵检测(入侵检测(Intrusion Detection)技术)技术入入侵侵检检测测:是是保保障障网网络络系系统统安安全全的的关关键键部部件件,它它通通过过监监视视受受保保护护系系统统的的状状态态和和活活动动,采采用用误误用用检检测测或或异常检测异常检测方式,发现入侵行为。方式,发现入侵行为。入入侵侵检检测测系系统统:
33、执执行行入入侵侵检检测测任任务务的的软软硬硬件件,通通过过实实时时分分析析,检检查查特特定定的的攻攻击击模模式式、系系统统配配置置、系系统统漏漏洞洞、存存在在缺缺陷陷的的程程序序版版本本以以及及系系统统或或用用户户的的行行为模式,监控与安全有关的活动。为模式,监控与安全有关的活动。49494949本讲稿第四十九页,共七十四页4.3.2 入侵检测(入侵检测(Intrusion Detection)技术)技术需要解决的问题:需要解决的问题:1.1.1.1.如何充分并可靠地提取描述行为特征的数据;如何充分并可靠地提取描述行为特征的数据;2.2.2.2.如如何何根根据据特特征征数数据据,高高效效并并准
34、准确确地地判判定定行行为为的的性质。性质。1.1.1.1.入侵检测概述入侵检测概述入侵检测概述入侵检测概述2.2.2.2.入侵检测原理入侵检测原理入侵检测原理入侵检测原理 3.3.3.3.系统结构系统结构系统结构系统结构4.4.系统分类系统分类 50505050本讲稿第五十页,共七十四页入侵检测概述入侵检测概述19801980年,首次提出了入侵检测的概念。年,首次提出了入侵检测的概念。19871987年年提提出出了了入入侵侵检检测测系系统统(IDS)(IDS)的的抽抽象象模模型型,首首次次提提出出了了入入侵侵检检测测可可作作为为一一种种计计算算机机系系统统安安全全防御措施的概念。防御措施的概念
35、。19941994年年,建建议议使使用用自自治治代代理理提提高高IDSIDS的的可可伸伸缩缩性、可维护性、效率和容错性。性、可维护性、效率和容错性。19961996年年提提出出,GrIDSGrIDS的的设设计计和和实实现现,方方便便地地检检测大规模自动或协同方式的网络攻击。测大规模自动或协同方式的网络攻击。51515151本讲稿第五十一页,共七十四页入侵检测概述入侵检测概述近年来的主要创新有:近年来的主要创新有:将免疫学原理运用于分布式入侵检测领域;将免疫学原理运用于分布式入侵检测领域;19981998年将信息检索技术引进入侵检测;年将信息检索技术引进入侵检测;采采用用状状态态转转换换分分析析
36、、数数据据挖挖掘掘和和遗遗传传算算法法等等进进行行误用和异常检测。误用和异常检测。52525252本讲稿第五十二页,共七十四页入侵检测原理入侵检测原理用用于于检检测测任任何何损损害害或或企企图图损损害害系系统统的的保保密密性性、完完整性或可用性的一种网络安全技术。整性或可用性的一种网络安全技术。原原理理:通通过过监监视视受受保保护护系系统统的的状状态态和和活活动动,采采用用误误用用检检测测或或异异常常检检测测的的方方式式,发发现现非非授授权权的的或或恶恶意意的的系系统统及及网网络络行行为为,为为防防范范入入侵侵行行为为提提供供有有效效的的手手段。段。原理框图:原理框图:53535353本讲稿第
37、五十三页,共七十四页入侵检测原理框图入侵检测原理框图 54545454本讲稿第五十四页,共七十四页入侵检测系统结构入侵检测系统结构从从系系统统构构成成上上看看,入入侵侵检检测测系系统统应应包包括括事事件件提提取取、入入侵侵分分析析、入入侵侵响响应应和和远远程程管管理理四四大大部部分分,另另外外还还可可能能结结合合安安全全知知识识库库、数数据据存存储储等等功功能能模模块块,提提供供更为完善的安全检测及数据分析功能。更为完善的安全检测及数据分析功能。入入侵侵检检测测以以近近乎乎不不间间断断的的方方式式进进行行安安全全检检测测,从从而可形成一个连续的检测过程。而可形成一个连续的检测过程。555555
38、55本讲稿第五十五页,共七十四页入侵检测系统分类入侵检测系统分类 1.1.1.1.基基于于数数据据源源分分基基于于主主机机、基基于于网网络络、混混合合入入侵侵检测、基于网关检测、基于网关的入侵检测系统。的入侵检测系统。2.2.2.2.基于基于检测理论检测理论的分为的分为异常检测和误用检测异常检测和误用检测。异常检测:异常检测:异常检测:异常检测:指根据使用者的行为或资源使用状况的正指根据使用者的行为或资源使用状况的正指根据使用者的行为或资源使用状况的正指根据使用者的行为或资源使用状况的正常程度来判断是否入侵;常程度来判断是否入侵;常程度来判断是否入侵;常程度来判断是否入侵;误用检测:误用检测:
39、误用检测:误用检测:指运用已知攻击方法,根据已定义好的入指运用已知攻击方法,根据已定义好的入指运用已知攻击方法,根据已定义好的入指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。侵模式,通过判断这些入侵模式是否出现来检测。侵模式,通过判断这些入侵模式是否出现来检测。侵模式,通过判断这些入侵模式是否出现来检测。3.3.3.3.基基于于检检测测时时效效的的分分为为实实时时在在线线检检测测方方式式及及定定时时对处理原始数据进行离线检测等。对处理原始数据进行离线检测等。56565656本讲稿第五十六页,共七十四页4.3.3 4.3.3 数据加密技术数据加密技术数数据据加加
40、密密技技术术:发发送送方方对对数数据据进进行行加加密密,合合法法用用户户通通过过解解密密处处理理,将将加加密密数数据据还还原原为为原原始数据所使用的方法。始数据所使用的方法。组成:组成:明文、密文、加密算法和密钥。明文、密文、加密算法和密钥。l l明文:明文:明文:明文:原文数据(或原始数据);原文数据(或原始数据);原文数据(或原始数据);原文数据(或原始数据);l l密文:密文:密文:密文:加密伪装后的数据;加密伪装后的数据;加密伪装后的数据;加密伪装后的数据;l l加密算法:加密算法:加密算法:加密算法:加密所采取的变换方法;加密所采取的变换方法;加密所采取的变换方法;加密所采取的变换方
41、法;l l密钥:密钥:密钥:密钥:用于控制数据加密、解密过程的字符串。用于控制数据加密、解密过程的字符串。用于控制数据加密、解密过程的字符串。用于控制数据加密、解密过程的字符串。分类:分类:对称式加密法对称式加密法和和非对称式加密法非对称式加密法。57575757本讲稿第五十七页,共七十四页1.1.对称式加密法对称式加密法也称为单钥或常规密码技术。也称为单钥或常规密码技术。特点:特点:加密和解密使用同一密钥。加密和解密使用同一密钥。l l优点:优点:优点:优点:安全性高,加密速度快。安全性高,加密速度快。安全性高,加密速度快。安全性高,加密速度快。l l缺点:缺点:缺点:缺点:密钥难管理,同时
42、在网络上无法解决消息密钥难管理,同时在网络上无法解决消息密钥难管理,同时在网络上无法解决消息密钥难管理,同时在网络上无法解决消息确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。确认和自动检测密钥泄密的问题。系统模型系统模型应用实例:应用实例:恺撒(恺撒(CaesarCaesar)密码加密)密码加密58585858本讲稿第五十八页,共七十四页对称密码系统模型对称密码系统模型 发送者发送者加密器加密器信道信道消息消息M密文密文C解密器解密器接收者接收者消息消息M分析者分析者密文密文C安全信道安全信道密钥密钥K密钥密钥K其中:其中:其中:其中:MMMM表示明
43、文,表示明文,表示明文,表示明文,C C C C表示密文,表示密文,K K K K表示密钥。表示密钥。表示密钥。表示密钥。59595959本讲稿第五十九页,共七十四页2.2.非对称式加密法非对称式加密法也称公钥密码加密法。也称公钥密码加密法。特特点点:采采用用两两个个密密钥钥将将加加密密和和解解密密分分开开,配配对对使用有效。使用有效。l l公钥公钥公钥公钥(Public Key)(Public Key)(Public Key)(Public Key):公开密钥,作为加密密钥公开密钥,作为加密密钥公开密钥,作为加密密钥公开密钥,作为加密密钥l l私钥私钥私钥私钥(Private Key)(Pr
44、ivate Key)(Private Key)(Private Key):用户专用,作为解密密钥。用户专用,作为解密密钥。用户专用,作为解密密钥。用户专用,作为解密密钥。方法:方法:公钥加密,私钥解密,公钥加密,私钥解密,公钥加密,私钥解密,公钥加密,私钥解密,实现多个用户加密的消息由实现多个用户加密的消息由实现多个用户加密的消息由实现多个用户加密的消息由一个用户解读,用于保密通信;一个用户解读,用于保密通信;一个用户解读,用于保密通信;一个用户解读,用于保密通信;私钥加密,公钥解密,私钥加密,公钥解密,私钥加密,公钥解密,私钥加密,公钥解密,实现一个用户加密的消息由实现一个用户加密的消息由实
45、现一个用户加密的消息由实现一个用户加密的消息由多个用户解读,用于数字签名。多个用户解读,用于数字签名。多个用户解读,用于数字签名。多个用户解读,用于数字签名。60606060本讲稿第六十页,共七十四页2.2.非对称式加密法非对称式加密法系统模型系统模型应用实例:应用实例:RSA RSA公开密钥密码算法公开密钥密码算法61616161本讲稿第六十一页,共七十四页非对称式加密法模型非对称式加密法模型 表示小李的公表示小李的公钥钥,表示小李的私表示小李的私钥钥 小李小李小李小李小张小张小张小张62626262本讲稿第六十二页,共七十四页4 4.3 3.4 4 数字签名数字签名 (Digital Si
46、gnatureDigital Signature)定定义义:数数据据接接收收者者用用来来证证实实数数据据发发送送者者确确实实无无误误的一种方法,其作用等同于纸面亲笔签名。的一种方法,其作用等同于纸面亲笔签名。性质:性质:1 1 1 1、必须能证实作者本人的签名及签名日期和时间;、必须能证实作者本人的签名及签名日期和时间;、必须能证实作者本人的签名及签名日期和时间;、必须能证实作者本人的签名及签名日期和时间;2 2 2 2、签名时必须能对内容进行鉴别;、签名时必须能对内容进行鉴别;、签名时必须能对内容进行鉴别;、签名时必须能对内容进行鉴别;3 3 3 3、签名必须能被第三方证实以便解决争端。、签
47、名必须能被第三方证实以便解决争端。、签名必须能被第三方证实以便解决争端。、签名必须能被第三方证实以便解决争端。实现:实现:主要通过加密算法和证实协议。主要通过加密算法和证实协议。数数字字签签名名的的应应用用涉涉及及到到法法律律问问题题。一一些些国国家家已已经经制定了数字签名法。制定了数字签名法。63636363本讲稿第六十三页,共七十四页4.4 4.4 信息系统安全规划及管理信息系统安全规划及管理4 4.4.1.4.1 传统安全解决方案的局限性传统安全解决方案的局限性4 4.4.2.4.2 信息系统安全性要求信息系统安全性要求4 4.4.3.4.3 信息系统安全管理信息系统安全管理646464
48、64本讲稿第六十四页,共七十四页传统安全解决方案的局限性传统安全解决方案的局限性常常用用技技术术手手段段:防防火火墙墙技技术术、基基于于主主机机的的入入侵侵检检测测技技术术、基基于于网网络络的的入入侵侵检检测测技技术术、虚虚拟拟专专用用网网技技术术、病病毒毒防防护护技技术术、漏漏洞洞扫扫描描技技术、综合安全服务技术等。术、综合安全服务技术等。不不同同的的网网络络安安全全产产品品,在在安安全全保保障障上上存存在在不不同的缺陷。同的缺陷。65656565本讲稿第六十五页,共七十四页信息系统安全性要求信息系统安全性要求设设计计良良好好的的安安全全系系统统应应当当做做到到:适适应应、简单、透明、高效、
49、全面、协作。简单、透明、高效、全面、协作。66666666本讲稿第六十六页,共七十四页信息系统安全管理信息系统安全管理从以下方面进行:从以下方面进行:病病毒毒预预控控、防防非非法法接接入入、防防内内部部攻攻击击系系统统、防防内内容容泄泄密密、内内容容过过滤滤、设设备备管管理理、外外联联防防护护、远远程程监监控控、用用户户行行为为管管理理、数数据据还还原原、强制认证强制认证67676767本讲稿第六十七页,共七十四页4.5 4.5 网络道德与软件知识产权网络道德与软件知识产权4 4.5.1.5.1 网络道德建设网络道德建设4 4.5.2.5.2 软件知识产权软件知识产权保护保护68686868本
50、讲稿第六十八页,共七十四页网络道德建设网络道德建设网络反思网络反思上上网网注注意意事事项项:适适度度上上网网、警警惕惕污污染染内内容容、防防止止网网络络的的不不良良影影响响(丧丧失失责责任任、网网络络犯犯罪、信息欺诈)。罪、信息欺诈)。互联网信息服务的自律义务准则:互联网信息服务的自律义务准则:69696969本讲稿第六十九页,共七十四页软件知识产权保护软件知识产权保护自自然然人人的的软软件件著著作作权权保保护护期期为为:自自然然人人终终生生及及其其死死亡亡后后5050年年,截截止止于于自自然然人人死死亡亡后后第第5050年的年的1212月月3131日;日;软软件件是是合合作作开开发发的的,截