[工学]计算机文化基础第5版[李秀]清华大学出版社-第7章 计算机网络使用基础4 网络安全

,计算机网络使用基础,网 络 安 全,内容提要,网络安全的概念,安全案例,安全威胁的内外因,Windows系统安全,怎样检测系统入侵,信息时代人类共同面临的挑战,“在不到一代人的时间里，信息革命以及电脑进入了社会的每一领域，这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种美好的新时代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果，这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹，现在他们可以把手提电脑变成有效武器，造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处，继续使国家安全和经济繁荣得到保障，就必须保护计算机控制系统，使它们免受攻击。”,摘自保护信息系统国家计划美国,我国2004年网络安全状况调查,发生过信息网络安全事件：58% 7%（1次22%、2次13%、3次以上23%）安全事件类型：计算机病毒、蠕虫和木马程序破坏79%垃圾邮件36%拒绝服务、端口扫描和篡改网页等网络攻击43%2003年5月至2004年5月数据统计（7072）,2004年网络安全状况调查技术分析报告/pub/article/c230_a154918_p1.html,我国2004年网络安全状况调查,2004年网络安全状况调查技术分析报告/pub/article/c230_a154918_p1.html,网络安全产品,82%,81%,22%,18%,27 %,11%,12%,17%,18%,12 %,安全技术措施,67%,31%,15%,60%,16 %,49%,26%,44%,3%,55 %,安全事件原因,什么是网络安全,网络安全是指信息安全和控制安全两部分。,信息安全是定义为“信息的完整性、可用性、保密性和可靠性”；,控制安全指身份认证、不可否认性、授权和访问控制。；,安全是最大程度地减少数据和资源被攻击的可能性,信息安全的基本要求,安全案例（密码）,CMOS密码Windows密码（输入法漏洞）文件口令破解（Office ） 通过网络监听获取密码,CMOS密码,SETUP密码：计算机能正常引导，不能进入BIOS设置。在DOS状态下启动DEBUG，输入如下命令手工清除密码：- o 70 16- o 71 16- q 下载专门破除CMOS密码的工具软件Cmospwd。在DOS中启动该程序 (Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS)。,CMOS密码,SYSTEM密码：若没有密码根本不能启动计算机（即设置了SYSTEM密码）。,唯一的方法就是打开机箱，给CMOS放电，然后重新开机进行设置。另外，有些主板设置了CMOS密码清除跳线，将该跳线短接也可达到同样的目的。,Windows密码,Windows2000输入法漏洞在登录窗口中将鼠标光标移到用户名输入框中，按“Ctrl+Shift”组合键切换输入法，当选择全拼、郑码或微软拼音等中文输入法时，在默认出现的输入法状态条上右击鼠标，选择快捷选单中的“帮助/操作指南(或“输入法入门)”、“帮助”命令时，会出现输入法的帮助窗口。在窗口标题栏上右击鼠标，在出现的快捷选单中选择“跳至URL”命令，会出现一个对话框，在“跳至该URL”框中可以输入你硬盘中存在的任何路径，例如输入“C:”，在帮助窗口的右侧会出现类似资源管理器的窗口，并显示C盘的所有文件和文件夹。虽然我们还没有登录到中文Windows2000，但已具有了系统管理员的所有权限，可以对数据做任何操作。,输入法漏洞,Windows的输入法漏洞,修补该安全漏洞的三种方法转移帮助文件 修改注册表 ：由于英文输入法没有提供帮助功能，而智能ABC输入法的帮助功能在登录时无法使用，所以通过修改注册表，在登录窗口中只提供英文和智能ABC两种输入法，可以消除登录安全漏洞。 下载补丁程序,OFFICE文件口令恢复,网络监听获取密码,防范举例,,安全案例（内容监视举例）,安全案例（内容监视举例）续,安全案例（内容监视举例）续,安全案例（网页恶意代码 ）,IE标题栏和起始主页被修改IE菜单被修改IE默认搜索引擎被修改右键菜单被修改注册表被禁用浏览网页后“开始”菜单被修改，导致“运行” 、“关闭系统” 等消失，桌面、硬盘被隐藏等，如著名的恶意网页“万花谷”就是这样干的。,瑞星信息安全站点/antivirus/net_virus/spiteful/spiteful_main.htm,网页恶意代码的预防（1）,不去自己不熟悉网站，不要随便点击论坛中别人贴出的网址。 对于所有用户，都建议安装Norton AntiVirus等杀毒软件，此软件已经把这类恶意修改注册表的代码定义为Trojan.Offensive，并增加了Script Blocking功能，它会对此类恶作剧进行监控并予以拦截。下载恢复工具软件：安装超级兔子魔法设置软件，如果出现问题，可以用它来恢复。禁用IE ActiveX插件和控件：执行“工具Internet选项”命令，在“安全”选项卡中设置。,网页恶意代码的预防（2）,注册表加锁方法：运行打开注册表编辑器命令regedit.exe进入注册表，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，增加名为DisableRegistryTools的DWORD值项，将其值改为“1”，即可禁止使用注册表编辑器命令regedit.exe。,解锁方法如下：用记事本编辑一个任意名字的.reg文件，比如unlock.reg，内容如下：REGEDIT4 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools=dword:00000000 如果要使用注册表编辑器，则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”写为Windows Registry Editor Version 5.00。,安全威胁来自哪里,计算机系统自身的脆弱性,各种外部威胁,操作系统的不安全性,硬件故障,物理威胁,网络威胁,身份鉴别,系统漏洞,编程,威胁的普遍性网络的开放性管理的困难性,Windows 家族DOSWindows 3.1 Windows for WorkgroupWindows 95Windows 98Windows NT Workstation/ServerWindows MeWindows 2000 Professional/ServerWindows XP Home/ ProfessionalWindows 2003 Server,Windows系统安全,强制用户登录密码设置安全口令禁用Guest ，administrator改名禁用不必要的服务安装补丁程序订阅安全公告,强制用户登录密码,登录前按Ctrl-Alt-Delete,设置安全口令,口令应该不少于6个字符；不包含字典里的单词、不包括姓氏的汉语拼音；同时包含多种类型的字符，比如大写字母（A,B,C,.Z ） 小写字母（a,b,c.z ） 数字（ 0,1,2,9）标点符号（,#,!,$,%,& ）,禁用Guest ，administrator改名,禁用不必要的服务,ipc$共享入侵,安装所有的安全补丁,Windows 系统版本几乎都有一些安全漏洞补丁：Hotfix:热补丁Service Pack: 服务包/technet/security/current.asp自动更新不包括大型应用系统的自动更新安全公告：订阅微软安全公告CCERT: 订阅CCERT安全公告,微软中文安全站点/china/technet/security/default.asp,订阅安全公告,订阅CCERT安全公告,非对称密码,公钥,私钥,密钥算法的条件：产生一对密钥是计算可行的已知公钥和明文，产生密文是计算可行的接收方利用私钥来解密密文是计算可行的对于攻击者，利用公钥来推断私钥是计算不可行的已知公钥和密文，恢复明文的计算不可行的,Windows 系统安全检查清单,安装所有的安全补丁删除或停用不使用的帐号对所有的帐号设置安全的密码加强用户登录的安全性禁用不必要的服务安装防病毒软件使用个人防火墙为所有驱动器使用NTFS格式检查所有目录的NTFS权限检查所有的网络共享使用屏幕保护备份,怎样检测系统入侵,Ctrl + Alt +Del 任务管理器,Netstat,FPORT,查看系统进程自启动的程序查看网络连接查找后门程序监控端口防火墙,查看网络连接,命令格式：Netstat a e n o sa 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口e 表示显示以太网发送和接收的字节数、数据包数等n 表示只以数字形式显示所有活动的TCP连接的地址和端口号o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）s 表示按协议显示各种连接的统计信息，包括端口号,通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。,打开的端口,C:netstat -anActive ConnectionsProto Local Address Foreign Address State TCP :5800 :0 LISTENING TCP :5900 :0 LISTENING TCP :43958 :0 LISTENING TCP 0:139 :0 LISTENING TCP 0:1667 :445 SYN_SENT TCP 0:1673 :445 SYN_SENTTCP 0:1674 :445 SYN_SENT TCP 0:1680 :445 SYN_SENT TCP 0:2181 55:445 SYN_SENT TCP 0:2738 6:83 ESTABLISHED TCP 0:4899 77:3332 ESTABLISHED TCP 0:4948 77:139 TIME_WAITTCP x.x.x.x:4505 50:6667 CLOSE_WAIT TCP x.x.x.x:4811 45:6667 CLOSE_WAITTCP x.x.x.x:4887 :6667 CLOSE_WAITTCP x.x.x.x:4976 45:6667 CLOSE_WAIT,查找后门程序（1）,/tools/index.php,Fport是查看系统进程与端口关联的命令。,Fport,常见木马和对应端口/faq/show.php?handle=37,查找后门程序（2）,C: dir /O:D winntsystem32C:winntsystem32 的目录.2003-03-07 02:23 745,984 Dvldr32.exe2003-03-07 07:35 AdCache2003-03-08 18:11 1,880 New.sys2003-03-08 19:53 61,440 PSEXESVC.EXE2003-03-08 22:38 684,562 inst.exe2003-03-08 22:38 36,352 psexec.exe2003-03-09 00:19 16,384 Perflib_Perfdata_224.dat2003-03-09 00:21 .2003-03-09 00:21 . 1614 个文件 215,110,979 字节 31 个目录 544,190,464 可用字节c:dir winntfonts /O:D.2000-01-10 12:00 118,752 webdings.ttf2002-11-06 15:45 32,768 VNCHooks.dll2002-11-06 15:45 57,344 omnithread_rt.dll2002-11-06 17:07 212,992 explorer.exe2002-11-06 17:58 29,336 GLH0003.TMP2002-11-06 17:58 29,336 rundll32.exe 151 个文件 418,525,005 字节 0 个目录 544,189,440 可用字节,网络安全漏洞扫描器,扫描器是自动检测远程或本地主机安全性弱点的程序。真正的扫描器是TCP端口扫描器，这种程序可以选通TCP/IP端口和服务（如telnet或FTP），并记录目标的回答。通过这种方法，可以收集到关于目标主机的有用信息。扫描器的主要属性有： 寻找一台机器或