《电子政务与信息安全》由会员分享,可在线阅读,更多相关《电子政务与信息安全(31页珍藏版)》请在金锄头文库上搜索。
1、计算机及网络安全蚌埠市信息中心2003.11 一、计算机及网络安全基础知识l1、计算机系统的脆弱性 1)对计算机及网络的依赖计算机信息系统已是国家政治、经济、金 融、军事等各个部门正常工作的命脉。 2)计算机系统的脆弱 A、易受环境和灾害的影响 B、易受攻击(病毒) C、易被偷取或修改信息l2、计算机犯罪及主要手段 1)扩大授权 2)线路窃收 3)偷看 4)光窃收 5)拦截(监视器屏幕向外辐射的电磁波) 6)模拟 7)清理垃圾8)窃收(窃收器截获电磁波或声波) 9)欺骗 10)顺手牵羊 11)高级对抗(人工干预程序侵犯安全控制系统 ) 12)计算机病毒(特洛伊木马、蠕虫、逻辑炸弹 、偷袭程序、
2、意大利香肠)l3、计算机及网络安全的主要内容1、实体安全 2、运行安全 3、数据安全 4、软件安全 5、通讯安全l4、计算机及网络安全的分层防护措施 1、法律、管理、伦理道德教育等 2、实体安全防护(供电、接地、防雷、防静电、温 湿度、防尘等) 3、电磁防护(屏蔽、隔离、滤波、接地等) 4、硬、软件防护 5、通讯及网络防护 通讯:线路安全、传输安全、数据加密、辐射安全 、终 端安全 网络:防火墙 6、数据加密二、信息安全保护l1、数据加密技术 C=EK(m) E是加密算法,C是密码文,K是密 钥,m是明码文(所谓密码就是一种含有参数K的 变换) 1)应用于链路层的数据加密链路层数据加密器采用标
3、准的数据加密算法(DES)-加密机 2)应用于应用层的数据加密与传输 安全协议:SSL,SHTTP,IPsec 3)两类加密算法 A、秘密密钥加密算法(DES) B、公开密钥加密算法(RSA)l2、数字签名(电子身份证和电子印章)1)数字签名是信息化发展的必然要求商用信息系统、军事指挥系统、电子转帐系统等数据加密只能防止第三方获得真实数据,报 文发送双方之间也会有以下争议:否认、伪造、 篡改、冒充。数字签名可以保证:接受者可以确 认发送者的身份;发送者以后不能否定报文。数字签名技术,就是利用数据加密技术、数 据变换技术、根据某种协议来产生一个反映被签 署文件的特征以及签署人的特性的数字化签名,
4、 以保证文件的真实性和有效性2)数字签名的基础 A、网络组成INTERNET与INTRANET B、数据加密数字签名的实现,是在网络内已具有数据加 密功能的前提下进行的,即假定第三方至多能得 到签名参与者双方交换的密码数据,而不能获得 其明文数据。 C、法律要求有一定的法律环境来支持这一技术的实际应用。 可以仲裁。三、网络安全保护l1、网络安全重要性 1)黑客、信息战(政治、经济、军事) 2)国家主要战略举措 -国家计算机网络应急处理中心(防病毒) -计算机网络入侵防范中心(防黑客) -在全国推行安全产品许可证发放制度 -启动信息安全专项的科技计划和产业发展计划 -开展信息安全专门人才的培养和
5、岗位培训 -出台一系列信息安全管理的政策法规等国家成立信息化工作领导小组,成立计算机网络 与安全管理工作办公室l2、网络安全的威胁 1)非授权访问 2)信息泄露 3)拒绝服务 4)人为的无意失误 5)人为的恶意攻击 6)网络软件的漏洞和“后门” 7)破坏数据的完整性从根本上讲,网络安全的大部分威胁来自于计算 机基本技术自身的种种隐患,主要表现在:操作 系统的脆弱性;网络协议自身的安全脆弱性;数 据库管理系统的安全脆弱性;网络配置得不规范 。l3、网络安全的解决方案 1)物理安全 2)数据安全 3)数据备份 4)防病毒 5)操作系统/数据库/应用系统的安全 6)网络系统安全结构 7)通讯系统安全
6、 8)口令安全 9)软件研发安全 10)人员安全因素11)网络相关设施的设置和改造 12)安全产品的选型 13)安全策略和安全管理保障机制的设计 14)网络安全行政与法律保障体系的建立 15)长期安全顾问服务 16)时间处理机制 17)安全监控网络和安全监控中心的建立 18)安全培训等四、计算机病毒与防治1)计算机病毒的产生 1988年美国的“蠕虫病毒”事件,对病毒理论的构 思最早出现在科幻小说中,上世纪70年代美国作 家雷恩的P1的春天提到自我复制传播的计算 机程序,并称之为计算机病毒。计算机病毒的定义(中华人民共和国计算机信息 系统安全保护条理):计算机病毒是指编制或 者在计算机程序中插入
7、的破坏计算机功能或者毁 坏数据,影响计算机使用,并能自我复制的一组 计算机指令或者程序代码。2)计算机病毒产生的原因 A、开个玩笑,一个恶作剧 B、产生于个别人的报复心理 C、用于版权保护(如巴基斯坦病毒) D、用于特殊目的3)计算机病毒特征 A、传染性 B、潜伏性 C、隐蔽性 D、破坏性4)计算机病毒分类 按国外统计计算机病毒以10种/周的速度递增,我国 公安部统计国内以4种/月的速度递增。 A、按传染方式分:引导型(感染系统引导区)、文 件型(感染可执行文件)、混合型 B、按连接方式分:源码型(攻击高级语言编写的程 序)、入侵型(用自身替代正常程序中的部分模 块或堆栈区)、操作系统型、外壳
8、型(自身附在 正常程序的开头或结尾,大部分文件型病毒)。5)计算机病毒分析 最有效的方法:经常升级反病毒软件对磁盘进行全 面的检测。 其他一些简单判断: -注意内存情况。用“MEM”查看全部基本内存是否 为640K -注意常用的可执行文件的字节数,如COMMAND.COM -注意计算机运行速度、网络连接速度等是否突然无 故异常五、漏洞及入侵检测技术 1)漏洞及其分类漏洞是指任意的允许非法用户未经授权获得访 问或提高起访问权限的软件或硬件特征。它是由 系统或程序设计本身存在的缺陷,当然也有人为 对系统配置的不合理造成的。网络漏洞是黑客有 所作为的根源所在。 安全漏洞的划分: A、操作系统漏洞(先
9、天) B、应用程序漏洞(先天) C、系统配置漏洞(人为) D、工作机制漏洞(人为) E、网络系统漏洞(人为) F、管理机制漏洞(人为)2)典型漏洞及防范 A、操作系统和应用程序的默认安装 如何发现:使用端口扫描器和漏洞扫描器 如何消除:对系统进行合理设置,打补丁 B、密码为空的帐号或弱密码帐号 如何发现:检查用户列表,用专门的密码破解程序 进行试探 如何消除:删除空密码或弱密码的用户或对其密码 进行加强;制定密码规则;对人员进行强密码培 训C、无备份或备份不完全 如何发现:对系统进行风险评估,制定备份规则 如何消除:对系统进行合理设置,打补丁 D、开放了大量端口 如何发现:NETSTAT和端口
10、扫描器 如何消除:先确定必须要开放的端口。UNIX配置 INETD.CONF;WINDOWS下关闭不需要的服务和相应 端口 E、对于某些具有“正确”IP地址的数据包没有过滤 如何发现:发送欺骗数据包,查看外部防火墙和路 由器能否对其拦截 如何消除:配置防火墙,使其阻塞从外网来的、具 有内网合法地址的数据包F、无日志或不完全日志 如何发现:检查系统的日志 如何消除:对所有系统安装本地日志系统,并将日志 发至远端的日志处理中心。 G、易受攻击的CGI程序 如何发现:利用CGI漏洞扫描器(WHISPER) 如何消除:剔除不安全脚本;漏洞打补丁;删除BIN 执行目录下的查看源码脚本;IIS漏洞;SEN
11、DMAIL 漏洞;RPC的漏洞六、网络攻击手段和防护 1)攻击与攻击的信号在正式攻击之前,攻击者先进行试探性攻击, 目的是获取系统有用的信息,此时包括PING扫描 ,端口扫描,帐户扫描,DNS转换,以及恶意的IP SNIFFER(通过技术手段非法获取IP包,获得系统 的重要信息,来实现对系统的攻击),特洛依木 马程序等。 此时的信号特征:日志中比较明显的攻击信息,如SENDMAIL在25 端口发出非法命令;大量的扫描;服务端口出现 拥塞等 良好周密的日志记录以及细致的分析是预测攻击、 定位攻击和遭受攻击后追查攻击者的有力武器2)攻击手段和防护 A、收集信息攻击 -SNIFFER 可截获口令等非
12、常秘密或专用的信息,可 以用来攻击相邻的网络。检测很困难只是被动接 收数据而不发送什么。解决:TCP/IP传送用多级 别的加密算法、网络分段技术等。 -TROJAN 是一种技术性攻击方式,可以拷贝文件、 窃取密码、重要资料传送出去,破坏系统等。检 测需要比较深入的操作系统知识,可以用防病毒 软件和加密 B、拒绝服务 利用INTERNET协议组的某些方面妨碍甚至关闭其他 用户对系统和信息的合法访问的攻击-EMAIL炸弹 反复发送给目标接收者相同的信息拥 塞目标的个人邮箱。利用邮箱的过滤功能 -邮件列表链接 产生的效果和EMAIL炸弹差不多, 将目标地址同时注册到几百个邮件列表中。尚无 快速的解决
13、办法。 -PING OF DEATH,DNSKILLER 在路由层次上对数据 进行过滤。 C、SPROOFING ATTACK 通过对HTTP,FTP,DNS等协议的攻击,可以窃取普 通用户甚至超级用户的权限,任意修改信息内容 ,造成巨大危害。解决的途径是慎重设置网络中 的主机信任关系,路由器进行安全配置。3)口令的安全性 保持口令安全的要点: -长度不小于六位,应同时包含字母和数字,以及标 点符号和控制字符。 -不要将口令写下来 -不要将口令存在电脑里 -不要在不同系统,特别是不同级别的用户上使用同 一口令 -输入口令时确认无人在身边 -定期改变口令,至少六个月要改变一次 -系统安装对口令文
14、件进行隐藏的程序或设置 -系统配置对用户口令设置情况进行检测的程序,并 强制用户定期改变口令。任何一个用户口令的脆 弱,都会影响整个系统的安全。七、蚌埠市党政网安全防护 蚌埠市党政网的网络安全包括三个子系统:入侵检测系统、 网络防病毒系统、网络管理系统。各子系统结合成为统一 的互动安全系统。 1)网络入侵检测系统 采用基于网络的入侵检测软件(ETRUST INTRUSION DETECTION),安装在WIN2000 SERVER操作系统的服务器 上,这台服务器连接在中心主交换机的侦听端口上,或连 接在交换机的映射端口上,一保证交换机的信息都能被这 台服务器监听。设置规则和策略,通过EMAIL
15、、FAX、声音 、SNMP陷阱、手机、日志文件、NT消息等多种方式将报警 消息及时通知网络管理员。同时根据制定的规则和策略自 动快速作出响应、拦截保护网络免遭非法入侵和破坏。蚌埠党政网入侵检测系统的主要作用 -防止内部机密的泄露 -控制内部人员对网络带宽的占用 -建立管理策略,使用户在制度的限制下上网 -禁止用户上不良的网站 -防止邮件病毒的传播 -防止黑客对内部网络的入侵 -生成详细的报表,报告网络运行情况2)网络防病毒系统 -采用KILL网络防病毒软件.建立KILL域的主服务器 简称S1,S1启动KILL服务,KILL将自动搜索网络 中的其他NT服务器和工作站并显示KILL服务的运 行情况
16、,如果发现某一台计算机的KILL服务未启 动,可以从S1远端启动该机的KILL服务。可以对 网络中的的所有计算机进行任务分配、自动下载 和分发、扫描设置等日常的安全维护,能够充分 保护网络中的每一个点。通过对KILL客户端的配 置可以实现客户端的自动安装和自动升级,用户 也可以通过网络登录实现工作站的KILL客户端软 件安装,从而保证网络中所有计算机都能得到 KILL的安全保护。-作用:网络立体防毒体系;快速的病毒反应能力 和及时的升级服务;实时监控能力;对压缩文件 的检测;电子邮件防毒处理机制;对恶意JAVA和 ACTIVEX小程序的检测能力;简易安装集中控管; 对内联网系统资源占用率小;能够和备份系统结 合起来协同工作 3)网管系统 -网管软件 NETWORK IT -作用:简化网络管理员任务,具有极为强大的、 以用户为主的TCP/IP和IPX网络查询、内置智能化 事件相关、性能监控等功能。可以实现预示网络 活动并协助避免宕机或不良性能表现等强大功能 ;同时在内部和外部网络,INTERNET网络,帧中 继及ATM网络中确保QOS
