計算機安全知識講座.ppt

計算機安全知識講座,2009年11月,一、信息安全及安全事件處置,1.1 信息安全的內(nèi)涵,信息安全就是實現(xiàn)信息網(wǎng)絡(luò)系統(tǒng)的正常運行，確保信息在產(chǎn)生、傳輸、使用、存儲等過程中保密、完整、可用、真實和可控，即信息的保密性(信息的內(nèi)容不能被泄漏)、完整性(存儲在計算機上或在網(wǎng)絡(luò)上流動的信息沒有被破壞和惡意篡改)、可用性(合法用戶提出訪問時能及時響應(yīng))、不可否認性(在網(wǎng)絡(luò)環(huán)境下，信息的發(fā)送者不可否認其發(fā)送行為，信息的接受者不可否認其已經(jīng)接受信息的行為)和可控性(信息處理可以監(jiān)督和管理)等。,1.2 信息安全面臨的威脅,(1)非授權(quán)訪問。如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。 (2)信息泄露或丟失。指敏感數(shù)據(jù)在有意或無意中被泄露或丟失。如通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推斷出諸如用戶的用戶名、口令等重要信息；信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽通道等竊取敏感信息。 (3)破壞數(shù)據(jù)完整性。以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。 (4)計算機病毒傳播。通過網(wǎng)絡(luò)傳播計算機病毒，往往在極短的時間內(nèi)發(fā)生大范圍的感染，破壞性很大。 (5)攻擊網(wǎng)絡(luò)服務(wù)系統(tǒng)。對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程；執(zhí)行攻擊程序，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用。 (6)間諜軟件。未經(jīng)用戶同意安裝于用戶終端的一種實施數(shù)據(jù)竊取或遠程監(jiān)控的惡意程序。,1.3 我國已頒布的信息安全法律法規(guī),我國十分重視信息化法制建設(shè)，并運用法律手段保障和促進信息網(wǎng)絡(luò)的健康發(fā)展，從1994年國務(wù)院令147號發(fā)布中華人民共和國計算機信息系統(tǒng)安全保護條例開始，國務(wù)院與相關(guān)部委陸續(xù)發(fā)布了中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法、商用密碼管理條例、計算機病毒防治管理辦法、互聯(lián)網(wǎng)信息服務(wù)管理辦法、中華人民共和國電子簽名法等多部法規(guī)文件。,1.4 國家信息安全保障的戰(zhàn)略方針： 積極防御、綜合防范,積極防御：是指用發(fā)展的思路來解決信息安全問題，充分認識信息安全面臨的風險和威脅，立足于安全保護、加強預(yù)警和應(yīng)急處置，從更深層次和長遠考慮，提高隱患發(fā)現(xiàn)、安全保護、應(yīng)急反應(yīng)、信息對抗四個能力，實現(xiàn)對網(wǎng)絡(luò)和信息系統(tǒng)的安全可控，削減網(wǎng)絡(luò)和系統(tǒng)的脆弱性，在發(fā)生突發(fā)信息安全事件情況下，努力使遭受損害程度最小化，所需恢復(fù)時間最短化。,1.5 不得從事的危害信息安全的活動,計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法明確規(guī)定，任何單位和個人不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動： 一、未經(jīng)允許進人計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源； 二、未經(jīng)允許對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加； 三、未經(jīng)允許對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加； 四、故意制作、傳播計算機病毒等破壞性程序及其它危害計算機信息網(wǎng)絡(luò)安全的活動。,對違反法律、行政法規(guī)，犯有上述行為之一的，由公安機關(guān)給予警告，有違法所得的，沒收違法所得，對個人可以并處5000元以下罰款，對單位可以并處15000元以下罰款；情節(jié)嚴重的，并可以給予六個月以內(nèi)停止聯(lián)網(wǎng)、停機整頓處罰，必要時可以建議原發(fā)證、審批機構(gòu)吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格；構(gòu)成違反治安管理行為的，按照治安管理處罰條例的規(guī)定處罰；構(gòu)成犯罪的依法追究刑事責任。,1.6 常見的信息安全事故,下列異常情況可確認為信息安全事故： (1)設(shè)備、信息遭破壞、篡改、丟失或泄露，設(shè)置被更改； (2)大面積感染計算機病毒； (3)來自外部的對本單位信息系統(tǒng)的掃描、入侵、攻擊； (4)服務(wù)器、用戶終端被植入木馬、系統(tǒng)崩潰； (5)內(nèi)部計算機向外發(fā)送大量垃圾郵件； (6)內(nèi)部越權(quán)非法訪問重要數(shù)據(jù)和文件； (7)來自內(nèi)部的對本單位信息系統(tǒng)的掃描、入侵、攻擊、散布計算機病毒。,1.7 信息安全事故處置,一旦發(fā)生信息安全事故，信息安全管理人員應(yīng)及時向上級匯報，根據(jù)問題性質(zhì)的嚴重性請示啟動信息安全應(yīng)急處置預(yù)案，按照預(yù)案組織力量和設(shè)備，并按照預(yù)案處置流程進行各項處置工作。一旦本單位無法解決信息安全事故應(yīng)立即上報上級主管單位，直至公安部門。,二、計算機病毒及其防治,2.1 計算機病毒的傳播途徑,通過文件系統(tǒng)傳播； 通過電子郵件傳播； 通過網(wǎng)頁傳播； 通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播。,2.2 計算機病毒的種類,DOS病毒。 DOS病毒只能在DOS環(huán)境和早期Windows環(huán)境下運行、傳染(通過軟盤)，感染對象為DOS引導扇區(qū)和可執(zhí)行文件。 其危害性主要有：DOS不能正常引導、出現(xiàn)花屏、可執(zhí)行文件被更改、系統(tǒng)死機或程序運行異常等。,(2) Windows病毒。 Windows病毒按其感染的對象又可分為感染NE格式(Windows3X)可執(zhí)行程序的病毒；感染PE格式（Windows9598)可執(zhí)行程序的病毒。 其危害性主要有：CMOS設(shè)置被更改導致系統(tǒng)設(shè)置混亂無法正常啟動、Windows系統(tǒng)文件和文本文件被更改、BIOS被更改導致硬件系統(tǒng)癱瘓、修改硬盤內(nèi)容或分區(qū)信息導致不識硬盤甚至硬盤損壞等等。“CIH”病毒是其代表。,NE格式 與 PE格式,NE 是 New Excutable 的縮寫， “新可執(zhí)行”文件，是 16 位 Windows 可執(zhí)行文件的標準格式。 32 位 Windows 可執(zhí)行文件的格式稱為 PE ，即 Portable Excutable 。,CIH病毒：能破壞計算機硬件的病毒,CIH病毒是一種能夠破壞計算機系統(tǒng)硬件的惡性病毒。這個病毒產(chǎn)自臺灣，最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播，隨后進一步通過Internet傳播到全世界各個角落。 目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統(tǒng)存儲介質(zhì)的束縛，Internet和光盤現(xiàn)已成為加速計算機病毒傳播的催化劑。CIH病毒只感染W(wǎng)indows95/98操作系統(tǒng)，它對DOS操作系統(tǒng)沒有什么影響，這是因為它使用了Windows下的VxD（虛擬設(shè)備驅(qū)動程序）技術(shù)造成的。正是因為CIH獨特地使用了VxD技術(shù)，使得這種病毒在Windows環(huán)境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。 CIH病毒每月26日都會爆發(fā)（有一種版本是每年4月26日爆發(fā)）。CIH病毒發(fā)作時，一方面全面破壞計算機系統(tǒng)硬盤上的數(shù)據(jù)，另一方面對某些計算機主板的BIOS進行改寫。BIOS被改寫后，系統(tǒng)無法啟動，只有將計算機送回廠家修理，更換BIOS芯片。,從技術(shù)角度來看，CIH病毒實現(xiàn)了與操作系統(tǒng)的完美結(jié)合。該病毒使用了Windows95/98最核心的VxD技術(shù)編制，被認為是牢固地連接到了操作系統(tǒng)底層，所以CIH病毒既不會向DOS操作系統(tǒng)傳播，也不會向WindowsNT操作系統(tǒng)擴散。CIH病毒的這一技術(shù)特點給當時傳統(tǒng)反病毒技術(shù)提出了巨大的挑戰(zhàn)，這是由于傳統(tǒng)反病毒工具基本上都是純DOS或工作在Windows95之下的仿真DOS應(yīng)用程序，它們無法深入到Windows95/98操作系統(tǒng)的底層去徹底清除CIH病毒；另一方面，由于能夠與操作系統(tǒng)底層緊密結(jié)合，CIH病毒的傳播就更為迅速、隱蔽。 防治類似CIH這種能夠與操作系統(tǒng)緊密結(jié)合的病毒最好的方法是使用本身能夠與各種操作系統(tǒng)緊密結(jié)合的反病毒軟件。 CIH病毒長駐在主存儲器之后，每次執(zhí)行時，會檢查電腦的日期是否為4月26日，如果是，它會透過你的電腦I/O部（CF8、CFD、CFE端口）修改你的電腦的某些設(shè)定，并且把你電腦硬盤的資料都毀了，甚至連硬盤數(shù)據(jù)區(qū)及引導區(qū)的資料都刪除 ，并且讓電腦當機。重新開機，屏幕會出現(xiàn)“DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER“(硬盤引導失敗，請插入系統(tǒng)盤后敲擊回車)。若是用軟盤引導開機再執(zhí)行C:指令，則出現(xiàn)“Invalid drive specification“(不可用的驅(qū)動器編號)。,(3) 混合型病毒。 隨著Windows系統(tǒng)大量使用、網(wǎng)絡(luò)技術(shù)和服務(wù)的飛速發(fā)展，破壞程度呈幾何增長的混合型病毒隨之產(chǎn)生。它結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型病毒基于網(wǎng)絡(luò)的能力，能夠快速尋找和發(fā)現(xiàn)局域網(wǎng)內(nèi)存在的安全漏洞，并進行進一步的破壞，如拒絕服務(wù)攻擊，拖垮服務(wù)器，攻擊計算機或系統(tǒng)的薄弱環(huán)節(jié)等。,混合型病毒融入了蠕蟲、木馬、后門、黑客、SMTP等技術(shù)，其傳播速度極快、危害性極大，嚴重時可在幾分鐘內(nèi)感染數(shù)萬多臺計算機，造成全球數(shù)以億計美元的損失?；旌闲筒《灸壳白罹呶：π缘谋憩F(xiàn)形式有：垃圾郵件病毒、間諜軟件等等。前者大大提高了病毒感染率，而后者使第三方得以獲取使用者的敏感信息。,2.3 計算機感染病毒的主要癥狀 計算機感染了病毒后癥狀很多，其中以下25種最為常見,(1)信息系統(tǒng)運行速度明顯減慢； (2)平時運行正常的電腦突然經(jīng)常性無緣無故地死機； (3)文件長度發(fā)生變化； (4)磁盤空間迅速減少； (5)系統(tǒng)無法正常啟動； (6)丟失文件或文件損壞； (7)屏幕上出現(xiàn)異常顯示； (8)電腦的喇叭出現(xiàn)異常聲響； (9)網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用； (10)系統(tǒng)不識別硬盤；,(11)對存儲系統(tǒng)異常訪問； (12)鍵盤輸入異常； (13)文件的日期、時間、屬性等發(fā)生變化； (14)文件無法正確讀取、復(fù)制或打開； (15)命令執(zhí)行出現(xiàn)錯誤； (16)虛假報警； (17)換當前盤，有些病毒會將當前盤切換到C盤； (18)時鐘倒轉(zhuǎn)，有些病毒會命令系統(tǒng)時間倒轉(zhuǎn)，逆向計時； (19)以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤甚至死機; (20)系統(tǒng)異常重新啟動； (21)打印和通訊發(fā)生異常； (22)異常要求用戶輸人密碼； (23)WORD或EXCEL提示執(zhí)行“宏”； (24)不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存； (25)自動鏈接到一些陌生的網(wǎng)站。,2.4 如何防治計算機病毒,計算機病毒對信息網(wǎng)絡(luò)造成的破壞和危害越來越大，因此，要有足夠的警惕性來防范計算機病毒的侵擾。 要從建立健全單位各項信息安全制度上使保障單位信息安全保障管理落到實處，要從計算機病毒防范技術(shù)的掌握不斷更新上促進單位計算機病毒防范能力的提高。 防范計算機病毒常用的技術(shù)手段主要有：操作系統(tǒng)和防病毒軟件的及時升級、重要信息的及時備份以及重要信息遭破壞后的恢復(fù)。,個人防范計算機病毒的主要要求：,(1)參加安全培訓和講座，提高防范意識和技能； (2)遵守各單位結(jié)合自己情況建立的計算機病毒防治管理制度； (3)殺毒軟件由單位統(tǒng)一安裝，不要同時安裝多個后自行再安裝； (4)按要求及時升級殺毒軟件、操作系統(tǒng)和應(yīng)用軟件補丁； (5)按要求和操作規(guī)范關(guān)閉辦公電腦上不用的端口，防止各種惡意程序的進入和信息外泄； (6)在接收電子郵件時，要仔細觀察，不打開來歷不明的郵件； (7)未經(jīng)許可不在電腦中安裝其他軟件(如游戲等)； (8)及時做好重要信息的備份工作，使用存儲介質(zhì)時，要確認不帶病毒； (9)確保提供共享的信息資源不帶病毒；,發(fā)現(xiàn)感染病毒后的操作：,斷開與網(wǎng)絡(luò)的連接(拔掉網(wǎng)線)； 按Ctrl+Alt+Del調(diào)出任務(wù)管理器，觀察并記錄其中可疑的進程名； 重新啟動計算機,進入系統(tǒng)安全模式(按F8)； 打開防病毒軟件，掃描所有磁盤； 運行regedit，刪除注冊表啟動項中的所有可疑鍵值；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunOnce,RunServices) HKEY_LOCAL_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 刪除可疑的進程文件。,三、個人電腦使用規(guī)范,3.1 使用計算機應(yīng)形成良好習慣,(1)保持鍵盤、鼠標、顯示器等常用設(shè)備的清潔，防止茶水等液體進入鍵盤、顯示器等外設(shè)造成設(shè)備短路損毀； (2)暫時離開時要鎖定計算機，或使用計算機屏幕保護程序并設(shè)置口令； (3)妥善管理計算機各種用戶名(賬號)與口令； (4)使用軟件前，閱讀軟件說明書，熟悉軟件的特性及使用方式； (5)未經(jīng)許可不擅自使用他人的辦公計算機； (6)嚴禁擅自將外網(wǎng)電腦接入內(nèi)網(wǎng)，接入內(nèi)網(wǎng)的電腦必須確認沒有病毒； (7)重要文件按規(guī)定隨時備份； (8)禁止在計算機上使用來路不明的光盤； (9)外出或下班時應(yīng)關(guān)閉辦公電腦、顯示器等終端的電源。,3.2 正確設(shè)置用戶名與口令,口令至少六個字符，切忌設(shè)置空口令和與用戶名(帳號)名相同的口令。 一個好的口令首先要不易被猜出，您的名字、生日、電話號碼、password、root、admin、123456，等都不是好的口令。 第二要求口令不易被破解，以現(xiàn)今主流家用計算機的處理能力，破解8位字符純數(shù)字或純字母組成的口令只需210分鐘。所以，在能夠記住的前提下，好的口令至少應(yīng)該由大小寫字母、數(shù)字和其他字符組成，尤其在信息安全危險度較高的場合(比如，24小時開機的計算機，直接連接廣域網(wǎng)、城域網(wǎng)的服務(wù)器等)。,3.3 多種方式靈活設(shè)置口令,(1)開機口令(又稱為CMOS口令)：在計算機主機板BI0S中設(shè)定； (2)登錄用戶名(帳號)：進入操作系統(tǒng)所需鍵入的用戶名和口令；高權(quán)限用戶名(帳號)對整個操作系統(tǒng)具有控制權(quán)，甚至是整個工作組或域的控制權(quán)，是最重要的口令，須正確設(shè)置口令，妥善管理口令； (3)屏保口令：在暫時離開時要使用計算機屏幕保護程序并設(shè)置口令； (4)應(yīng)用程序口令：大部分信息管理軟件都可以設(shè)置口令功能，具有口令者才能使用； (5)常用的文檔編輯軟件； (6)電子郵件及各種網(wǎng)絡(luò)通訊軟件等等。,3.4 上網(wǎng)瀏覽的注意事項,(1)不要同時打開太多鏈接窗口； (2)當某個網(wǎng)站提出要將本網(wǎng)站設(shè)置為主頁時，要取消操作； (3)當網(wǎng)頁中彈出安裝某個插件的對話框時，如果一時不能確認，取消安裝； (4)定期清除歷史訪問信息、cookies以及Internet臨時文件。 (5)嚴禁在網(wǎng)絡(luò)上運行任何黑客軟件；若工作需要，應(yīng)在獨立的測試環(huán)境中試驗。,3.5 使用電子郵件的注意事項,(1)郵件和郵件通訊錄都要做好備份； (2)發(fā)送郵件大小不超過郵箱總?cè)萘?，附件大小?yīng)做適當控制，可先行壓縮，或分成幾個壓縮包； (3)多個文檔文件作為附件發(fā)送時，最好壓縮打包成一個文件發(fā)送； (4)群發(fā)郵件時，收件人地址之間用逗號“，”或分號“；”分隔； (5)郵件客戶端程序建議棄用Outlook Express，使用Foxmail，并設(shè)置賬戶口令； (6)以Web方式收取郵件，在閱讀完畢時，一定要退出登錄，并關(guān)閉網(wǎng)頁； (7)不要打開來歷不明、奇怪標題或者非常有誘惑性標題的電子郵件；exe、com、pif、scr、vbs為后綴的附件，或者名字很特別的TXT文件，不要輕易打開； (8)重要郵件在發(fā)送前應(yīng)做加密處理；禁止將含工作內(nèi)容的郵件通過互聯(lián)網(wǎng)上免費郵箱發(fā)送； (9)應(yīng)該及時清理自己的個人郵箱，刪除或轉(zhuǎn)移郵件，以保證郵箱的可用容量； (10)多個郵箱使用時最好做分類處理。例如，其中一個用作單位內(nèi)部工作郵箱，另一個用作單位對外聯(lián)絡(luò)郵箱； (11)嚴禁在郵件內(nèi)容中透露涉及單位和個人的重要信息內(nèi)容。如身份證號碼、銀行帳號、計算機賬號及口令等； (12)禁止任何人發(fā)送或有意接收垃圾郵件。,3.6 注意保護重要數(shù)據(jù)和文件,(1)重要數(shù)據(jù)和文件根據(jù)不同的需要按規(guī)定進行加密和設(shè)置訪問權(quán)限； (2)重要數(shù)據(jù)和文件應(yīng)及時按規(guī)定進行備份。核心數(shù)據(jù)和文件要考慮在本地備份的基礎(chǔ)上進行異地備份； (3)重要數(shù)據(jù)和文件不要放在共享文件夾內(nèi)，確因工作需要臨時設(shè)立共享文件夾的，應(yīng)設(shè)置口令，并應(yīng)針對不同的用戶名(帳號)設(shè)置不同的操作權(quán)限。臨時共享文件夾使用結(jié)束后，應(yīng)立即取消。,四、系統(tǒng)主機安全加固,4.1 安裝完系統(tǒng)立即升級補丁,安裝完Windows系統(tǒng)后，立即打上補丁。接著使用Windows update在線更新全部重要更新。（360安全衛(wèi)士有此功能，簡單易用。） 安裝過程中提示輸入管理員密碼時，密碼長度應(yīng)在8位以上，最好使用數(shù)字、字母、特殊符號等多種組合。,4.2 修改注冊表,(1)將Administrator改名。（控制面板管理工具計算機管理系統(tǒng)工具本地用戶和組用戶）。 (2)去除默認共享。（運行regedit，修改鍵值， HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Lanmanserver/parameters/，新建雙字節(jié)值A(chǔ)utoShareServer，值為0；添加雙字節(jié)值A(chǔ)utoShareWKS，值為0） (3)禁止空連接（運行regedit， HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA/RestrictAnoymous，值為1）。 (4)不允許枚舉SAM帳號（管理工具本地安全策略本地策略安全選項將“網(wǎng)絡(luò)訪問：不允許SAM帳號的匿名枚舉”、“網(wǎng)絡(luò)訪問：不允許SAM帳號和共享的匿名枚舉”均設(shè)置為“啟用”）。 (5)禁止遠程訪問注冊表（管理工具本地安全策略本地策略安全選項將“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑”中全部鍵值刪除）。,4.3 配置本地安全策略,帳戶鎖定（控制面板管理工具本地安全策略帳戶策略帳戶鎖定策略，設(shè)置賬戶鎖定值）。 設(shè)置審核策略（建議服務(wù)器進行設(shè)置，個人電腦不需要?？刂泼姘骞芾砉ぞ弑镜匕踩呗詫徍瞬呗?，全部啟用“成功”、“失敗”）。 禁用Netbios（網(wǎng)絡(luò)屬性TCP/IP屬性Wins禁用TCP/IP上的Netbios）。,4.4 禁用不安全的系統(tǒng)服務(wù),關(guān)閉危險和不必要