1、CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件电子科技大学电子工程学院电子科技大学电子工程学院防火墙与病毒防火墙与病毒课件课件CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件防火墙与病毒万里冰2010年10月CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件教学大纲教学内容(共计:32学时)计算机系统及网络安全概述(2学时)计算机病毒(2学时)病毒基本原理、病毒的分类、传播途径常见病毒与防治(2学时)文件病毒、系统病毒、网络病毒、木马
2、程序等的防治防火墙技术(6学时)主机防火墙、网络防火墙及相关技术密码学基础(2学时)密码学基本概念、数据加密技术及加密算法介绍CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件教学大纲教学内容网络安全技术(4学时)internet服务的安全、网络攻击技术、网络欺骗与伪装计算机平台安全(2学时)系统访问控制、系统漏洞、系统安全级别数据安全(2学时)数据完整性、数据库安全2、课时分配理论教学(22学时),上机(8学时)习题(1学时),复习(1学时)CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课
3、件第一章 系统概述计算机系统安全1、发展现状2、安全问题、隐患3、计算机系统的脆弱性4、计算机安全需求5、计算机安全技术及相关标准安全等级的划分相关法规CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全1、现状信息技术成为信息时代的核心技术和中坚力量,它影响和决定着现代技术的走向,信息技术正是各科技术的领头羊。信息产业 电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。网上资源越来越丰富Co
4、pyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全1、现状网络的复杂性 局域网联入广域企业网中。向商业伙伴(客户、供应商)开放自己的网络。外部网接入Internet。内部网络资源提供给日益增多的机构内部、外部人员。随着接触网络的人增加,保护网络资源免受侵犯成为最为关注的问题。网络越来越庞大 CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全1、现状Internet的四个特点:国际化、社会化、开放化、个人化。国际化 网络的攻击不仅仅来自本地网络的用户,它可以来自
5、Internet上的任何一个机器。社会化 全球信息化飞速发展,信息化系统已经成为国家关键基础设施,诸如电信、电子商务、金融网络等,社会对计算机网络的依赖日益增强。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全1、现状开放化网络的技术是全开放的,任何一个人、团体都可能获得。开放性和资源共享是网络安全的根源。个人化随着网络应用的深入,人类的生活越来越离不开网络,人们可以自由地访问网络,自由地使用和发布各种类型的信息,但同时也面临着来自网络的安全威胁CopyRight by Wan Libing 2009.10电子科技大学电子
6、工程学院防火墙与病毒课件一、计算机系统安全2、安全问题1986 年Basit和Amjad两兄弟编写的Pakistan 病毒(brain)。1988年美国康乃尔大学Morris编制的蠕虫病毒通过英特网传播1996年8月17日,美国司法部网页被改为“不公正部”,希特勒1996年9月18日,“中央情报局”“中央愚蠢局”CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全2、安全问题1996年12月,黑客侵入美国空军的全球网网址并将其主页肆意改动,迫使美国国防部一度关闭了其他80多个军方网址。1998年10月27日,刚刚开通的“中国人
7、权研究会”网页,被“黑客”严重纂改。2000年春节期间黑客攻击以Yahoo和新浪等为代表的国内外著名网站,造成重大经济损失。E-mail侵权案件、泄密事件不断游戏帐号、QQ帐号、信用卡帐号被盗CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全2、安全问题2001年南海撞机事件引发中美黑客大战CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全2、安全问题(最新资料)黑客攻击全球最大招聘网站M 数十万用户资料被窃取 东方早报 2007-8-23 相关连接:ht
8、tp:/ 狂盗二十二亿游戏金币 深圳商报 2007-8-17 相关链接:http:/ by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患CPUIntel公司在奔腾III CPU中加入处理器序列号,因此Intel涉嫌干涉个人隐私,但要害问题则是政府机关、重要部门非常关心由这种CPU制造的计算机在处理信息或数据时所带来的信息安全问题,即这种CPU内含有一个全球唯一的序列号,计算机所产生的文件和数据都会附着此序列号,因而由此序列号可以追查到产生文件和数据的任何机器。CopyRight by Wan Libing 2009.10电子科技大学
9、电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患网络设备的安全隐患我国计算机网络使用的绝大部分网络设备,如路由器、集线器、交换机、服务器、以及网络软件等都是进口的,其安全隐患不容忽视。一些交换机和路由器具有远程诊断和服务功能,既然可以远程进入系统服务、维修故障,也就可以远程进入系统了解情报、越权控制。更有甚者,国外一著名网络公司以跟踪服务为由,在路由器中设下机关、可以将网络中用户的包信息同时送一份到其公司总部。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患操作系统安全隐患计算机操作系统历来被美国一些
10、大公司所垄断,但这些操作系统的源程序都是不公开的,在安全机制方面存在着诸多漏洞和隐患。计算机黑客能轻而易举地从“后门”进入系统,取得系统控制权,并危及计算机处理或存储的重要数据。如Windows95存在两千多处缺陷。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患网络协议的安全隐患网络协议也都由美国等国家开发或制定标准。其安全机制也存在先天不足,协议还具有许多安全漏洞,为攻击者提供了方便,如地址欺骗等。Internet应用协议中缺乏认证、保密等措施,也使攻击者比较容易得手。TCP/IP协议安全漏洞 包监视、泄露
11、、地址欺骗、序列号攻击、路由攻击、拒绝服务、鉴别攻击。应用层安全隐患 Finger、FTP、Telnet、E-mail、SNMP、RPC、NFSCopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患计算机病毒威胁计算机病毒是一种能够进行自我复制的程序,可以通过多种方式植入计算机中,通过Internet网植入病毒更容易。病毒运行后可能损坏文件、使系统瘫痪,造成各种难以预料的后果。由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此计算机病毒的防范是网络安全性建设中重要的一环。新的病毒不仅删除文件、使数据丢失,
12、甚至破坏系统硬件,可以造成巨大损失。1998年美国“莫里斯”病毒发作,一天之内使6000多台计算机感染,损失达9000万美元。2007年上半年,瑞星统计约11万新病毒 参考连接:http:/ by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全3、安全隐患管理疏漏,内部作案。据权威资料片筑起网上长城介绍,互联网上的计算机犯罪、黑客攻击等非法行为来自于内部网络。金融、证券、邮电、科研院所、设计院、政府机关等单位几乎是天生的受攻击者,内部人员对本单位局域网的熟悉又加剧了其作案和被外部人勾结引诱的可能性。CopyRight by Wan Libing
13、2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全4、计算机系统安全及需求什么是计算机系统计算机系统是由硬件系统和软件系统组成 硬件(hardware)是指计算机系统中实际物理装置的总称 软件(sofeware)是指计算机程序和数据以及与其相关的文档资料的总称CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全4、计算机系统安全及需求计算机故障硬件故障(包括机械故障(光驱托盘故障)、电子故障)芯片故障(主板芯片组、内存、CPU等)例如:CIH造成主板损坏 设备故障(电源、存储器等)软件故障:文件损坏、数据
14、丢失、运行错误操作系统错误、外部攻击等CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全4、计算机系统安全及需求什么是计算机系统安全简单地说,就是保证一定的外部环境下,系统能够正常、安全地工作。目标是保证计算机资源免受毁坏、替换、盗窃和丢失。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全4、计算机系统安全及需求定义指为保证系统资源的安全性、完整性、可靠性、保密性、有效性和合法性,以及服务可用性,为维护正当的信息活动,而建立和采用的组织技术措施和方法的总
15、和。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全安全性标志着一个信息系统的程序和数据的安全程度。即防止非法使用的程度。包括内部安全与外部安全。内部安全:系统内部的安全机制(例如:用户鉴别、访问控制等)外部安全:物理安全:设备与设施的安全(保安、电磁)人事安全:信任的审查过程安全:操作安全CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全保密性广义的保密性指防止信息的泄露给未授权的用户、实体何过程。即只能是被授权用户使用。主要方法:物理保密:采用物理手
16、段,如限制、隔离、控制等;防窃听:防止非授权者窃听到有用信息;防辐射:防止有用信息以各种途径辐射;加密技术(狭义):在密钥的控制下,通过加密算法对信息进行加密处理。要求算法有足够的强度,有效的密钥的管理措施(防盗门与钥匙)(DES、3DES、RC4、RC5对称算法)(RSA非对称算法)CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全完整性定义标志着程序与数据的信息完整程度,使程序和数据能够满足预定要求。防止非法删改、复制和破坏。保证真实性和有效性。分为以下两个方面软件完整性防止复制(KV300)、拒绝动态跟踪(CRACK)
17、数据完整性 保证数据存储和传输不被非法插入、删改、重发或被以外事件破坏。(如密钥、口令)密码算法:MD5、SHA1CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全服务可用性定义指对符合权限的实体能够提供优质服务,是适用性、可靠性、及时性和安全保密性的综合表现。可靠性无故障、无差错可用性能够正确使用、不拒绝执行或访问(拒绝服务攻击DoS)CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全有效性和合法性信息接收方应能够证实它所收到的信息真实性。存在问题:发送
18、方 否认发送,称对方伪造(鉴别:公开密钥鉴别)接收方 否认接收即抵赖(抗抵赖:数字签名)修改信息(完整性:数字签名)伪造信息(鉴别)(例:假发票)引入第三方:公证机制(X.509证书系统,网络银行,淘宝网)对每项操作都应进行记录和审计。Kerberos可信第三方鉴别协议。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全信息流保护信息在传输过程中的保护。防止有害信息的插入,避免出现非授权的活动和破坏。信息流填充机制(使用校验、验证数据等)可以有效防止有害信息的插入。CopyRight by Wan Libing 2009.1
19、0电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准计算机安全技术a、实体硬件安全技术 指为保证计算机设备及其他设施免受危害所采取的措施。(水、火、雷击、电磁辐射、泄露等)b、软件系统安全技术 保证计算机程序和文档资料的安全。包括:口令控制、鉴别技术、软件加密、压缩技术、防复制、防跟踪技术等。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准计算机安全技术c、数据信息安全技术 指为保证计算机系统的数据库、数据文件和所有数据信息免遭破坏、修改、泄露和窃取;为防止这
20、些威胁和攻击所采取的一切技术、方法和措施。包括:身份识别,口令、指纹技术,存取控制技术和数据加密技术,以及建立备份、紧急处理和系统恢复技术,异地存放、保管技术等CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准1)计算机安全技术d、网络站点安全技术 指为保证计算机系统中网络通信和所有站点的安全而采取的各种技术措施。防火墙技术、报文鉴别技术、数字签名技术、访问控制技术、压缩加密技术、密钥管理技术 安全传输介质技术,网络跟踪、检测技术,路由控制隔离技术、流量控制分析技术等CopyRight by Wa
21、n Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准1)计算机安全技术e、运行服务安全技术 主要指安全运行的管理技术。包括:系统的使用和维护技术,随机故障维护技术,软件可靠性、可维护性保证技术,操作系统故障分析处理技术,机房环境检测维护技术,系统设备运行状态实测、分析记录等技术。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准1)计算机安全技术f、病毒防治技术 涉及计算机硬件、计算机软件、数据信息 的压缩解压技术。G、防火墙技术
22、防火墙是介于受保护网络或主机与外部网络之间的系统。目的是提供安全保护。技术:PAT、NAT、SNAT、包过滤、VPN技术h、计算机应用系统的安全评价 安全是相对,非绝对的CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准2)计算机系统安全技术标准ISO7498-2(见参考资料)OSI安全体系结构的安全服务:a、鉴别(authentication)对等实体(用户、进程)鉴别服务和数据源认证服务 确定合法性和真实性,防止假冒b、访问控制(access control)防止未授权的用户非法使用系统资源,
23、包括身份认证、权限确认等c、数据保密(data confidentiality)d、数据完整性(data integrity)防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。e、抗否认(non-reputation)CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准2)计算机系统安全技术标准为实现以上服务,制订了八种安全机制:a、加密机制(Encipherment Mechanisms)b、数字签名机制(Digital Signature)c、访问控制机制(Access C
24、ontrol)d、数据完整性机制(Data Integrity)e、鉴别机制(Authentication)f、通信填充机制(Traffic Padding)g、路由控制机制(Routing Control)h、公证机制(Notarization)CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件一、计算机系统安全5、计算机安全技术及相关标准2)计算机系统安全技术标准我国:GB/T 15843.14 信息技术 安全技术 实体鉴别 GB/T 17903.13 信息技术 安全技术 抗抵赖 GB/T 17900 网络代理服务器的安全技术要求。参考:
25、信息系统安全技术国家标准汇编CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件二、安全级别美国国防部的计算机安全标准可信任计算机系统评价准则(TCSEC),即橙皮书。1985修改版。1、美国(七级)1)D级:完全不可信任,DOS WIN98 Macintosh 7.12)C1级:选择性安全保护,UNIX 访问权限控制3)C2级:具有访问控制环境权利,可对用户进行控制、身份认证。如UNIX XENIX WINNT Novell 3.x4)B1级:标志安全保护级,支持多级安全5)B2级:结构保护级,对系统设备加标签进行多级安全管理6)B3级:安全
26、域级别,使用硬件的方式来加强域的安全、可信途径连接。如内存管理硬件、日本双组磁头硬盘。7)A级:验证设计,包括一个严格的设计、控制和验证过程。CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件二、安全级别2、中国(五级)国标GB17859-19991)用户自主保护级:D、C12)系统审计保护级:C23)安全标记保护级:B14)结构化保护级:B2、B35)访问验证保护级:ACopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件三、相关法规参考:中华人民共和国计算机信息系统安全保护条例电子计算机机房
27、设计规范计算机上软件保护条例计算机病毒防治管理办法中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网安全保护管理方法中国公用计算机互联网国际联网管理方法中华人民共和国计算机信息网络国际联网出入口信道管理方法链接:公安部网站:链接:公安部网站:http:/CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件本章要求理解计算机系统的脆弱性、理解计算机系统安全需求了解计算机系统安全技术CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件作 业你认为计算机系统的脆弱性有哪些方面?你认为计算机存在哪些安全问题?了解我国目前与计算机安全的相关法规CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件本章基本概念计算机系统计算机系统安全CopyRight by Wan Libing 2009.10电子科技大学电子工程学院防火墙与病毒课件参考资料网络安全-基础教程北京理工大学出版社 姚华等主编防火墙技术标准教程北京理工大学出版社 曾勍炜等主编计算机网络安全基础人民邮电出版社 袁津生 等著2009年上半年中国大陆地区互联网安全报告http:/