常用信息安全技术介绍PPT课件

《常用信息安全技术介绍PPT课件》由会员分享，可在线阅读，更多相关《常用信息安全技术介绍PPT课件（71页珍藏版）》请在装配图网上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,,‹#›,,71,Click to edit Master text styles,广东石化公司信息中心,2013,年,9,月,常用信息安全技术介绍,什么是信息安全,信息本身的机密性（,Confidentiality,）、完整性（,Integrity,）和可用性（,Availability,）的保持，即防止防止未经授权使用信息、防止对信息的非法修

2、改和破坏、确保及时可靠地使用信息。,保密性：,确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用,完整性：,确保信息没有遭到篡改和破坏,可用性：,确保拥有授权的用户或程序可以及时、正常使用信息,,信息安全问题产生的根源,内因：,,信息系统复杂性：过程复杂，结构复杂，应用复杂,,外因：,,人为和环境,:,威胁与破坏,,网络不安全的根本原因,系统漏洞,,信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于信息系统的各个层次和环节之中，而且随着信息系统的变化而改变。一旦被恶意主体所利用，就会造成对信息系统的安全损害，

3、从而影响构建于信息系统之上正常服务的运行，危害信息系统及信息的安全属性。,,,,,,,网络不安全的根本原因,协议的开放性,,网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来,自物理传输线路的攻击，或是来自对,网络通信,协议的攻击，以及对计算机,软件、硬件的漏洞实施攻击。,,网络的国际性,,意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网,上其他国家的黑客，所以网络的安全面临着国际化的挑战。,,网络的自由性,,大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，,发布和获取各类信息。,计算机病毒的威胁,,由于,企业介入,用户数量较多，并且分布广泛，网络环境较为复

4、杂，,信息系统分布众多，,使得病毒的传播较为容易。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽。,黑客攻击的风险,,由于海外网络分布较广，和国内的环境相比不太相同，黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用后门程序、信息炸弹、拒绝服务、网络监听等手段，对网络进行攻击，对数据进行窃取。,黑客攻击的风险,,企业的各项数据，包括生产数据、财务数据、人员数据等，在网络中传输数据面临着各种安全风险：被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱、信息错误从而造成工作失误；非法用户假冒合法身份，发送虚假信息，给正常的经营秩序造成混乱、破坏和损失。因此，信息传递的

5、安全性日益成为企业信息安全中重要的一环。,身份认证和访问控制存在的风险,,企业信息系统一般供特定范围的用户使用，包含的信息和数据也只对一定范围的用户开放，没有得到授权的用户不能访问。由于网络的不可控性，安全的身份认证和访问控制就显得尤为重要。,常见信息安全技术,密码学,系统安全,网络安全协议,网络攻击技术,攻击实施技术,入侵检测技术,网络防御技术,计算机病毒,访问控制技术,密码学基本术语,密码学（,Cryptology,）,研究信息系统安全保密的科学。,由两个相互对立、相互斗争，而且又相辅相成、相互促进的分支科学所组成的，分别称为,密码编码学（,Cryptography,）,和,密码分析学（,

6、Cryptanalysis,）,。,古典密码体制的安全性在于保持算法本身的保密性，受到算法限制。,不适合大规模生产,不适合较大的或者人员变动较大的组织,用户无法了解算法的安全性,古典密码主要有以下几种：,代替密码（,Substitution Cipher,）,换位密码（,Transposition Cipher,）,代替密码与换位密码的组合,古典密码,对称密码算法和非对称密码算法,对称密码算法,（,Symmetric cipher,）：加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个。又称传统密码算法（,Conventional cipher),、秘密密钥算法或单密钥算法。,,DE

7、S,、,3DES,、,IDEA,、,AES,非对称密码算法（,Asymmetric cipher,） ：加密密钥和解密密钥不同，从一个很难推出另一个。又叫公钥密码算法（,Public-key cipher),。其中的加密密钥可以公开，称为公开密钥（,public key),，简称公钥；解密密钥必须保密，称为私人密钥（,private key),，简称私钥。,,RSA,、,ECC,、,ElGamal,加密（,Encryption,）,：将明文变换为密文的过程。把可懂的语言变换成不可懂的语言，这里的语言指人类能懂的语言和机器能懂的语言。,解密（,Decryption,）,：加密的逆过程，即由密文恢

8、复出原明文的过程。把不可懂的语言变换成可懂的语言。,加密算法,密钥,密文,明文,解密算法,密钥,密文,明文,加密和解密算法的操作通常都是在一组密钥的控制下进行的,,,分别称为加密密钥,(Encryption Key),和解密密钥,(Decryption Key),。,加密和解密,PGP,加密,PGP,是目前最优秀，最安全的加密方式。这方面的代表软件是美国的,PGP,加密软件。这种软件的核心思想是利用逻辑分区保护文件，比如，逻辑分区,E:,是受,PGP,保护的硬盘分区，那么，每次打开这个分区的时候，需要输入密码才能打开这个分区，在这个分区内的文件是绝对安全的。不再需要这个分区时，可以把这个分区关

9、闭并使其从桌面上消失，当再次打开时，需要输入密码。没有密码，软件开发者本人也无法解密！,PGP,是全世界最流行的文件夹加密软件。它的源代码是公开的，经受住了成千上万顶尖黑客的破解挑战，事实证明,PGP,是目前世界上最安全的加密软件。它的唯一缺点是,PGP,目前还没有中文版，而且正版价格极其昂贵。,PGP,技术是美国国家安全部门禁止出口的技术。,密码学的应用,---VPN,VPN,1,、未使用,VPN,时，分布在各地的组织机构需要用,专用网络,来保证数据传输安全。其特点,1,）安全性好,2,）价格昂贵,3,）难扩展、不灵活,2,、,TCP/IP,采用,分组交换,方式传递数据，其特点,1,）安全性

10、差,2,）价格便宜,3,）易扩展，普遍使用,密码学的应用,---VPN,加密数据,，以保证通过公网传输的信息即使被他人截获也不会泄露,信息认证和身份认证,，保证信息的完整性、合法性，并能鉴别用户的身份。,提供访问控制,，不同的用户有不同的访问权限。,,密码学的应用,---VPN,VPN,基本功能,PKI,指的是公钥基础设施,,,,CA,指的是认证中心,.,,公钥基础设施（,Public Key Infrastructure,）,利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全,。,如同电力基础设施为家用电器提供电力一样，,PK

11、I,为各种应用提供安全保障,PKI/CA,是一组建立在公开密钥技术基础上的硬件、软件、人员和应用程序的集合，它具备生产、管理、存储、核发和废止证书的能力，从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。,,,,密码学的应用,---PKI/CA,PKI/CA,技术在信息安全中的作用,安全漏洞,,信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于信息系统的各个层次和环节之中，而且随着信息系统的变化而改变。一旦被恶意主体所利用，就会造成对信息系统的安全损害，从而影响构建于信息系统之上正常服务的运行，危害信息系统及信息

12、的安全属性。,,安全模型,,注册表,(Registry),整合、集成了全部系统和应用程序的初始化信息。,,,其中包含硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。,,,病毒、木马、黑客程序等攻击用户电脑时，都会对注册表进行一定的修改，因此注册表的安全设置非常重要。,注册表安全,抵御后门程序破环,,禁用控制面板,,锁定桌面,,禁止远程修改注册表,,禁止病毒启动服务,,禁止病毒自行启动,注册表安全,1,、,比较原始的窃密技术是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如网上银行账号，而恰巧你的密码又十分简单，比如用简单的数字组合，

13、黑客使用暴力破解工具很快就可以破释出密码来。,,2,、在大部分用户意识到简单的密码在黑客面前形同虚设后，人们开始把密码设置的尽可能复杂一些，这就使得破解工具开始无计可施。这时候，黑客开始在木马病毒身上做文章，他们在木马程序里设计了钩子程序，一旦用户的电脑感染了这种特制的病毒，系统就被种下了“钩子”，黑客通过“钩子”程序监听和记录用户的击键动作，然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。,,3,、软键盘输入使得使用击键记录技术的木马失去了作用。这时候，黑客仍不甘心，又开始琢磨出通过屏幕快照的方法来破解软键盘输入。病毒作者已考虑到软键盘输入这种密码保护技术，病毒在运行后，会通过

14、屏幕快照将用户的登陆界面连续保存为两张黑白图片，然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的登陆账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上交易安全。,账号和密码安全,账号和密码安全事项,安全密码的设置,,（,1,）密码中的字符应该来自下面“字符类别”中五组中的至少三组。,,1,、小写字母,a,、,b,、,c…,,2,、大写字母,A,、,B,、,C…,,,3,、数字,0,、,1,、,2,、,3,、,4,、,5,、,6,、,7,、,8,、,9,,4,、非字母数字字符（符号）,~ ` ! @ # $ % ^ & * ( ) ?

15、/ _ - | \,,5,、,Unicode,字符,??,、,Γ,、,?,和,λ,,（,2,）密码设置的注意事项：,1.,请尽量设置长密码。请您设法设置便于记忆的长密码，您可以使用完整的短语，而非单个的,,单词或数字作为您的密码，因为密码越长，则被破解的可能性就越小；,2.,尽量在单词中插入符号。尽管攻击者善于搜查密码中的单词，但请您在设置密码时不要放弃,,使用单词。但您需要在您的单词中插入符号或者变为谐音符号。如：”,just for you”,可以改善,,为“,just4y_o_u”,；,3.,请不要在您的密码中出现您的帐号；,4.,请不要使用您的个人信息作为密码的内容。如生日、身份证号码

16、、亲人或者伴侣的姓名等。,,OSI,安全体系结构,,OSI,安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务。,,五类安全服务：,1.,认证（鉴别）服务：提供对通信中对等实体和数据来源的认证（鉴别）。,2.,访问控制服务：用于防治未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。,3.,数据保密性服务：为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。同时，对有可能通过观察信息流就能推导出信息的情况进行防范。,4.,数据完整性服务：用于组织非法实体对交

17、换数据的修改、插入、删除以及在数据交换过程中的数据丢失。,5.,抗抵赖服务：用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为,。,,,OSI,安全体系结构,1.,加密机制,：是确保数据安全性的基本方法，在,OSI,安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。,2.,数字签名机制,：是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。,3.,访问控制机制,：从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当以主题试图非法使用一个未经

18、给出的报警并记录日志档案。,4.,数据完整性机制,：破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证，对付计算机病毒有各种病毒检测、杀毒和免疫方法。,5.,认证机制,：在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等，可用于认证的方法有已知信息（如口令）、共享密钥、数字签名、生物特征（如指纹）等。,6.,业务流填充机制,：攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生，为了对付这种

19、攻击，一些关键站点间再无正常信息传送时，持续传递一些随机数据，使攻击者不知道哪些数据是有用的，那些数据是无用的，从而挫败攻击者的信息流分析。,7.,路由控制机制,：在大型计算机网络中，从源点到目的地往往存在多条路径，其中有些路径是安全的，有些路径是不安全的，路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全。,8.,公正机制,：在大型计算机网络中，并不是所有的用户都是诚实可信的，同时也可能由于设备故障等技术原因造成信息丢失、延迟等，用户之间很可能引起责任纠纷，为了解决这个问题，就需要有一个各方都行人的第三方以提供公证仲裁，仲裁数字签名经济术士这种公正机制的一种技术支持。,网络安全协

20、议,•,网络层,——,IP,安全性,(IPSec),,•,传输层,——,SSL / TLS,,•,应用层,——,S/MIME, PGP, PEM, SET,,Kerberos,HTTPS,SSH,网络安全协议,IPSec,•,IPSec,为在,LAN,、,WAN,和,Internet,上的通讯提供,安全性,–,分支办公机构通过,Internet,互连。,(Secure VPN),–,通过,Internet,的远程访问。,–,与合作伙伴建立,extranet,与,intranet,的互连。,–,增强电子商务安全性,•,IPSec,的主要特征是可以支持,IP,层所有流量的加,密和,/,或鉴别。因此

21、可以增强所有分布式应用的安,全性。,网络层安全协议,•,端到端,（,end-end):,主机到主机的安全通信,,•,端到路由,（,end-router):,主机到路由设备之间的安,全通信,,•,路由到路由,（,router-router):,路由设备之间的安,全通信，常用于在两个网络之间建立虚拟私有网,（,VPN,）,。,IPSec,的应用方式,SSL,体系结构,•,协议分为两层,•,底层：,SSL,记录协议,•,上层：,SSL,握手协议、,SSL,修改密文规约协议、,SSL,警告协议,•,SSL,记录协议,–,建立在可靠的传输协议,(,如,TCP),之上,–,它提供连接安全性，有两个特点,•

22、,保密性，使用了对称加密算法,•,完整性，使用,HMAC,算法,–,用来封装高层的协议,•,SSL,握手协议,–,客户和服务器之间相互鉴别,–,协商加密算法和密钥,–,它提供连接安全性，有三个特点,•,身份鉴别，至少对一方实现鉴别，也可以是双向鉴别,•,协商得到的共享密钥是安全的，中间人不能够知道,•,协商过程是可靠的,SSL,两个主要协议,SSH,的英文全称是,Secure  Shell,。通过使用,SSH,，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止,DNS,和,IP,欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度

23、。,SSH,有很多功能，它既可以代替,telnet,，又可以为,ftp,、,pop,、甚至,ppp,提供一个安全的“通道”。,SSH,网络攻击技术,踩点,定位,入侵,留后门,抹去痕迹,信息收集,,分析目标,,实施攻击,,方便再次进入,,清理入侵记录,信息收集技术,获取攻击目标大概信息,网络信息,主机信息,应用部署信息,……,指导下一步攻击行为,,,信息收集的方式,,社会工程学,媒体（如搜索引擎、广告介绍等）,网络工具的探测,踩点,---,信息收集,定位,---,分析目标,为什么需要分析目标,,确定收集信息的准确性,更准确的判断（例如,:index.ycs,是,java,开发，开发人员修改了脚本

24、后缀以迷惑攻击者）,攻击方式及工具路径的选择,,分析目标的方法,,扫描,漏洞库,论坛等交互应用,入侵,-,多种多样的入侵方式,针对配置错误的攻击－,IPC$,的攻击,针对应用漏洞的攻击－,Unicode,缓冲区溢出攻击－,IDQ,缓冲区溢出,电子欺骗攻击－,ARP,欺骗,拒绝服务攻击－,SYN flood,针对弱口令的攻击－口令破解,利用服务的漏洞,-,本地输入法漏洞,利用应用脚本开发的漏洞,-SQL,注入,利用人的心理,-,社会工程学攻击,后门,-,方便下次进入,后门可以作什么,,方便下次直接进入,监视用户所有行为、隐私,完全控制用户主机,,后门放置方式,如果已经入侵,简单！,如果尚未入侵,

25、手动放置,利用系统漏洞，远程植入,利用系统漏洞，诱骗执行,后门,-,方便下次进入,改写访问日志,例如：,IIS,访问日志位置,%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log,改写日志的技巧,修改系统日期,,删除中间文件,,删除创建的用户,漏洞攻击,,根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞,,意义,进行网络安全评估,为网络系统的加固提供先期准备,被网络攻击者加以利用来获取重要的数据信息,信息安全的,“,木桶理论,”,对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，

26、即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。,欺骗攻击,IP,欺骗（,IP Spoof,）,DNS,欺骗,ARP,欺骗,TCP,会话劫持,路由欺骗,拒绝服务攻击,,拒绝服务式攻击,(Denial of Service),，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。,,拒绝服务攻击方式,,利用大量数据挤占网络带宽,利用大量请求消耗系统性能,利用协议实现缺陷,利用系统处理方式缺陷,网络防御技术,防火墙,技术,在网络间（内部,/,外部网络、不同信息级别）提供安全连接的设备；,,用于实现和执行网络之间通信的安全策略,防火墙的功能,阻止来自不可信网络的攻击,,保护关

27、键数据的完整性,,维护客户对企业或机构的信任,网络防御技术,1,控制进出网络的信息流向和数据包，过滤不安全的服务；,,2,隐藏内部,IP,地址及网络结构的细节；,,3,提供使用和流量的日志和审计功能；,,4,部署,NAT,（,Network Address Translation,，网络地址转换）；,,5,逻辑隔离内部网段，对外提供,WEB,和,FTP,；,,6,实现集中的安全管理；,,7,提供,VPN,功能。,网络防御技术,防火墙的功能,防火墙的分类,包过滤技术,,应用代理技术,,状态检测技术,网络防御技术,防火墙系统,的,部署,这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个

28、安全区域，企业内部网络，外部网络和服务器专网,(DMZ,区,),。,,,,可信网络,不可信的网络,&,服务,防火墙,路由器,Internet,Intranet,DMZ,公开可访问的服务,&,网络,网络防御技术,入侵检测技术,网络防御技术,入侵检测的概念,网络防御技术,入侵检测（,Intrusion Detection,），顾名思义，就是对入侵行为的发觉。通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。,入侵检测的分类,攻击的类型：,网络嗅探,利用,设计缺陷,实现缺陷,拒绝服务,网络防御技术,攻击针对以下方面：,网络,操

29、作系统,应用,入侵检测的步骤,预防入侵,,检测入侵,,对入侵做出响应,网络防御技术,计算机取证,技术,计算机取证（,Computer Forensics,、计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即获取、保存、分析出示提供的证据必须可信,网络防御技

30、术,计算机取证,概念,计算机取证是分析硬盘、光盘、软盘、,Zip,磁盘、,U,盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。,可以用做计算机取证的信息源很多，如系统日志，防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、,Web,浏览器数据缓冲、书签、历史记录或会话日

31、志、实时聊天记录等。为了防止被侦查到，具备高科技作案技能犯罪嫌疑人，往往在犯罪活动结束后将自己残留在受害方系统中的“痕迹”擦除掉，如尽量删除或修改日志文件及其他有关记录。但是，一般的删除文件操作，即使在清空了回收站后，如果不是对硬盘进行低级格式化处理或将硬盘空间装满，仍有可能恢复已经删除的文件。,网络防御技术,计算机取证的,分类,来源取证,所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的,IP,地址，则寻找,IP,地址便是来源取证。这类取证中，主要有,IP,地址取证、,MAC,地址取证、电子邮件

32、取证、软件账号取证等。,,事实取证,事实,取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据，例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。,,网络防御技术,计算机取证的,原则,计算机取证的主要原则有以下几点：,,首先，尽早搜集证据，并保证其没有受到任何破坏；,,其次，必须保证“证据连续性”（有时也被称为“,chain of custody”,），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任

33、何变化；,,,最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。,网络防御技术,计算机取证技术的,步骤,在保证以上几项基本原则的情况下，计算机取证工作一般按照下面步骤进行：,第一， 在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染；,第二， 搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件；,第三， 全部（或尽可能）恢复发现的已删除文件；,第四， 最大程度地显示操作系统或应用程序使用的隐藏文件、

34、临时文件和交换文件的内容；,第五， 如果可能并且如果法律允许，访问被保护或加密文件的内容；,第六，分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：①所 谓的未分配磁盘空间,——,虽然目前没有被使用，但可能包含有先前的数据残留；② 文件中的“,slack”,空间,——,如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据；,第七，打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及

35、在调查中发现的其它的相关信息；,第八，给出必需的专家证明。,网络防御技术,蜜罐技术,网络防御技术,“蜜网项目组,”,（,The Honeynet Project,）的创始人,Lance Spitzner,给出了蜜网的,权威定义,：,,,蜜网是一种安全资源，其价值在于被扫描、攻击和攻陷。,,蜜网的核心价值,,在于对攻击活动进行监视、检测和分析。,蜜罐,的功能,网络防御技术,吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来，进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果,,可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击,,也可以进行攻击检测和报警,蜜罐的,核心需求,

36、网络防御技术,蜜网有着三大核心需求：即数据控制、数据捕获和数据分析。,1.,通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；,2.,数据捕获技术能够检测并审计黑客攻击的所有行为数据；,3.,而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。,计算机病毒,,电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。,从广义上定义，凡能够引起电脑故障，破坏电脑数据的程序统称为

37、电脑病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为电脑病毒。在国内，专家和研究者对电脑病毒也做过不尽相同的定义，但一直没有公认的明确定义。,,,概念,计算机病毒,计算机病毒的发展历史,1949,年：冯,·,诺依曼在,《,复杂自动机组织论,》,提出概念,1960,年：生命游戏（约翰,·,康维,,）,磁芯大战（道格拉斯,.,麦耀莱、维特,.,维索斯基 、罗伯,.,莫里斯 ）,1973,年：真正的恶意代码在实验室产生,1981,年,-1982,年,:,在,APPLE-II,的计算机,游戏中发现,Elk cloner,1986,年,—,第一个,PC,病毒：,Brain virus,1988,年,—Mo

38、rris Internet worm—6000,多台,1990,年,—,第一个多态病毒,1991,年,—virus construction set-,病毒生产机,1994,年,—Good Times(joys),1995,年,—,首次发现,macro virus,1996,年,—netcat,的,UNIX,版发布（,nc,）,2002,年,—setiri,后门,2002,年,—SQL slammer(sqlserver),2003,年,—hydan,的,steganography,工具,2003,年,—MSBlaster/ Nachi,2004,年,—MyDoom/ Sasser,2006,

39、年,—,熊猫烧香,2010,年,—Stuxnet(,工业蠕虫,),,计算机病毒的,分类,分类,蠕虫,病毒,后门,木马,有害工具,流氓软件,风险程序,其他,计算机病毒,计算机病毒的,传播方式,计算机病毒,计算机病毒的,危害,计算机病毒,病毒激发对计算机数据信息的直接破坏作用,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,计算机病毒的兼容性对系统运行的影响,计算机病毒给用户造成严重的心理压力,访问控制,访问控制：针对越权使用资源的防御措施,,目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。,访问控制的概念,访问控制的作用,访问控制,未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。,非法用户对系统资源的使用,合法用户对系统资源的非法使用,,,作用：机密性、完整性和可用性,访问控制模型,访问控制,访问控制模型分类,访问控制模型的分类,互联网舆情分析的作用,从互联网这个巨大的数据来源中获取信息,,萃取为针对特定社会公共事务的情况概览,,为公共事务管理者提供决策参考,互联网舆情分析,