信息安全管理教材課件

1、信息安全管理（三）第二章、信息安全管理基礎(chǔ)信息安全性質(zhì)：信息技術(shù)以網(wǎng)絡(luò)化的方式應(yīng)用于社會(huì)生活各方面時(shí)，對國家、社會(huì)、個(gè)人安全利益的侵害與保護(hù)信息安全關(guān)鍵點(diǎn)：安全利益：國家、社會(huì)、個(gè)人的生存和發(fā)展的利益信息技術(shù)：對信息、信息系統(tǒng)（網(wǎng)絡(luò)化）以及信息和信息系統(tǒng)關(guān)聯(lián)的主體（國家、社會(huì)、個(gè)人）的特定安全利益的侵害與保護(hù)信息安全核心問題：信息技術(shù)：特性和過程結(jié)果可侵害或保護(hù)國家、社會(huì)、個(gè)人的安全利益信息安全是指在信息傳遞的過程中，數(shù)據(jù)被破壞、偷竊或丟失的風(fēng)險(xiǎn)性。信息安全管理體系ISMS：是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維

2、護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。ISO27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，是信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)。信息安全管理的基本原則 主要領(lǐng)導(dǎo)負(fù)責(zé) 規(guī)范定級 一人為本 適度安全信息安全管理體系黨的十五屆五中全會(huì)和第九屆人大第六次會(huì)議決定建立國家信息安全保障體系性質(zhì)：國家以國家意志和國家行為的方式，在信息技術(shù)方面所形成的用于保護(hù)其安全利益的資源和能力，這種資源和能力體現(xiàn)為特定形態(tài)和過程的技術(shù)結(jié)構(gòu)、社會(huì)結(jié)構(gòu)和人才結(jié)構(gòu)內(nèi)容技術(shù)資源管理資源人力資源信息安全管理的層次與內(nèi)容宏觀管理（政府）方針政策法

3、規(guī)標(biāo)準(zhǔn)微觀管理（信息安全機(jī)構(gòu)）規(guī)章制度策略措施信息安全管理的發(fā)展歷史發(fā)展階段管人管密碼 管密鑰管口令管配置管產(chǎn)品測評管產(chǎn)品采購管系統(tǒng)安全管等級劃分管理基礎(chǔ)安全產(chǎn)品分類編碼信息技術(shù)安全管理指南（ISO/IEC TR 13335）信息安全管理(ISO/IEC TR 17799)系統(tǒng)管理安全報(bào)警報(bào)告功能（GB 17143.7-1997 idt 10164.7-1992）安全審計(jì)跟蹤功能（GB 17143.8-1997 idt 10164.8-1993）訪問控制對象和屬性（GB 17143.9-1997 idt 10164.9-1993風(fēng)險(xiǎn)管理測評認(rèn)證信息技術(shù)安全性評估準(zhǔn)則（ISO/IEC 15408

4、:1999）（CC）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859：1999)通用測評方法(SC27 N2722|CEM)系統(tǒng)安全工程能力成熟模型(SSE-CMM)二、信息安全管理標(biāo)準(zhǔn)英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年制定BS7799信息安全管理體系標(biāo)準(zhǔn)，1999年修訂改版：77991 ： 信息安全管理操作規(guī)則77992 ： 信息安全管理系統(tǒng)規(guī)范77991已經(jīng)在2000年末被采納為國際標(biāo)準(zhǔn)，即：ISO/TEC17799信息安全管理操作規(guī)則，香港、臺(tái)灣等都采用BS7799標(biāo)準(zhǔn)。信息安全管理基礎(chǔ)： BS7799ISO/IEC 17799（ BS7799-1 ）劃分為11個(gè)主要方面：1、安全策

5、略2、組織信息安全3、資產(chǎn)分級與控制4、人員安全5、物理和環(huán)境安全6、通信和運(yùn)行管理7、訪問控制8、信息系統(tǒng)獲取、開發(fā)和維護(hù)9、信息安全事件管理10、業(yè)務(wù)連續(xù)性管理11、符合性BS 7799-2BS 7799-2第1版出版于1998年BS 7799-2第2版出版于2002年評估一個(gè)組織全面或部分信息安全管理體系的基礎(chǔ)，也可以作為一個(gè)正式認(rèn)證方案的基礎(chǔ)。BS 7799-2建立信息管理體系的要求總則建立管理框架實(shí)施文檔化文檔控制記錄BS 7799-2控制細(xì)則安全策略安全組織資產(chǎn)分級和控制人員安全物理和環(huán)境安全通信和運(yùn)行管理訪問控制系統(tǒng)開發(fā)和維護(hù)商業(yè)連續(xù)性管理符合性等10項(xiàng)要求通用準(zhǔn)則（CC ）國際

6、標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價(jià)準(zhǔn)則CC的結(jié)構(gòu)以及目標(biāo)讀者安全管理指南：ISO/IEC TR 13335信息技術(shù)安全的概念和模型信息技術(shù)安全的管理和規(guī)劃信息技術(shù)安全的管理技術(shù)信息技術(shù)安全措施的安全網(wǎng)絡(luò)安全性的管理指導(dǎo)SSE-CMM項(xiàng)目1993年4月開始醞量，1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4

7、月出版了評定方法的第一個(gè)版本。1999年4月出版了第二版。正在申報(bào)國際標(biāo)準(zhǔn)ISO/IEC 21827。NIST SP 800 (Special Publication 800-series)SP 800-12, 計(jì)算機(jī)安全手冊（Computer Security Handbook)SP 800-14, 公認(rèn)【安全】原則與操作（Generally Accepted Security Principles & Practices）SP 800-18, 安全計(jì)劃開發(fā)指南（Guide for Developing Security Plans）SP 800-23,聯(lián)邦機(jī)構(gòu)安全保障和采購指南/使用可信或

8、經(jīng)評估的產(chǎn)品指南（Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products)SP 800-26,IT系統(tǒng)自我評估指南 (Self-Assessment Guide for IT Systems)我國信息安全標(biāo)準(zhǔn)工作2001年10月11日成立國家標(biāo)準(zhǔn)化委員會(huì)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱信息安全標(biāo)委會(huì)，TC260）于2002年4月15日在北京正式成立。信息安全標(biāo)委會(huì)工作組設(shè)置 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）內(nèi)容安全分級及標(biāo)識(shí)工作組（WG2

9、） PKI/PMI工作組（WG4） 信息安全評估工作組（WG5） 應(yīng)急處理工作組（WG6） 信息安全管理（含工程與開發(fā)）工作組（WG7） 電子證據(jù)及處理工作組（WG8） 身份標(biāo)識(shí)與鑒別協(xié)議工作組（WG9） 操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG10） 三、信息安全策略信息安全策略是一組經(jīng)過高級管理員批準(zhǔn)，正式發(fā)布和實(shí)施的綱領(lǐng)性文件，描述了一個(gè)企業(yè)、組織的高層安全目標(biāo)。是為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。有三個(gè)基本原則：確定性、完整性和有效性。信息安全涉及的主要問題 網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題安全漏洞與安全對策問題信息安全保密問題系統(tǒng)內(nèi)部安全防范問題防病毒問題數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)

10、問題主要的信息安全策略物理安全網(wǎng)絡(luò)安全數(shù)據(jù)安全軟件安全系統(tǒng)管理災(zāi)難恢復(fù)1、口令策略 所有系統(tǒng)都需要口令，以擁有易于實(shí)現(xiàn)的第一級別的訪問安全性。為確保網(wǎng)絡(luò)安全運(yùn)行，保護(hù)所擁有的權(quán)益不受侵害，可以制定如下管理策略： 網(wǎng)絡(luò)服務(wù)器口令的管理： （1）服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場設(shè)定。 （2）服務(wù)器的口令需部門負(fù)責(zé)人在場時(shí)，由系統(tǒng)管理員記錄封存。 （3）口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。 （4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報(bào)告部門負(fù)責(zé)人，有關(guān)部門負(fù)責(zé)人報(bào)告安全部門，同時(shí)，要盡量保護(hù)好現(xiàn)場并記錄，須接到上一級主管

11、部門批示后再更換口令。 用戶口令的管理： （1）對于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案。 （2）在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)管理部門提交申請單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對用戶檔案做更新記載。 （3）如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。2、計(jì)算機(jī)病毒和惡意代碼防治策略 計(jì)算機(jī)病毒是一種能夠通過改變其他程序而使它們“感染”的程序。 病毒防護(hù)策略必須具備下列準(zhǔn)則： （1）拒絕

12、訪問能力：來歷不明的入侵軟件（尤其是通過網(wǎng)絡(luò)傳過來的）不得進(jìn)入系統(tǒng)。 （2）病毒檢測能力：病毒總是有可能進(jìn)入系統(tǒng)的，系統(tǒng)中應(yīng)設(shè)置檢測病毒的機(jī)制。除了檢測已知類病毒外，能否檢測未知病毒是一個(gè)重要的指標(biāo)。 （3）控制病毒傳播的能力：沒有一種方法能檢測出所有的病毒，一旦病毒進(jìn)入了系統(tǒng)，應(yīng)不讓病毒在系統(tǒng)中到處傳播。系統(tǒng)一定要有控制病毒傳播的能力。 （4）清除能力：如果病毒突破了系統(tǒng)的防護(hù)，即使它的傳播受到了控制，也要有相應(yīng)的措施將它清除掉。對于已知類病毒，可以使用專用殺毒軟件；對于未知類病毒，在發(fā)現(xiàn)后使用軟件工具對它進(jìn)行分析，盡快編寫出消毒軟件。當(dāng)然，如果有后備文件，也可使用它直接覆蓋受感染文件，但一

13、定要查清楚病毒的來源。 （5）恢復(fù)能力：有可能在清除病毒以前，病毒就破壞了系統(tǒng)中的數(shù)據(jù)，系統(tǒng)應(yīng)提供一種高效的方法來恢復(fù)這些數(shù)據(jù)。 （6）替代操作：可能會(huì)遇到這種情況，問題發(fā)生時(shí)，手頭沒有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作，等問題解決以后再換回來。這一準(zhǔn)則對于戰(zhàn)時(shí)的軍事系統(tǒng)是必須的。3、安全教育與培訓(xùn)策略 在安全教育策略具體實(shí)施過程中應(yīng)該有一定的層次性： （1）主管信息安全工作的高級負(fù)責(zé)人或各級管理人員：重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。 （2）負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)

14、的技術(shù)人員：重點(diǎn)是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。 （3）用戶：重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。4、可接受使用策略AUP 在完成了大部分策略的編制工作后，需要對其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為可接受使用策略AUP，該文檔是整體安全策略的總結(jié)，其中，概括了用戶對于信息安全的責(zé)任，AUP以終端用戶作為閱讀對象，具有簡短而突出重點(diǎn)的特點(diǎn)。 AUP通常包含以下主要內(nèi)容： （1）概述：描述什么是AUP，企業(yè)、組織發(fā)布AUP的目的，制定AUP的原則以及一些必要的法律聲明等。 （2）安全策略說明

15、：說明制定AUP所依據(jù)的信息安全策略，提示用戶信息安全策略的更改會(huì)影響到AUP的修訂，并且告訴用戶從哪里可以獲得詳細(xì)的信息安全策略文檔。 （3）術(shù)語說明：將AUP中涉及的術(shù)語名詞，以及AUP簽署生效的有效時(shí)間進(jìn)行說明。 （4）用戶責(zé)任：對信息安全策略中所有涉及到用戶的信息安全責(zé)任內(nèi)容，應(yīng)當(dāng)進(jìn)行總結(jié)和提煉，以簡單明了的語言進(jìn)行闡述，使得用戶充分了解自己對于企業(yè)、組織信息安全所承擔(dān)的責(zé)任和義務(wù)。 介紹cisco公司信息安全管理實(shí)例訂單系統(tǒng) - 95% 的訂單通過 - 平均$33,441.78/分鐘客戶支持系統(tǒng) - 80%的技術(shù)支持通過電話系統(tǒng) Cisco AVVID架構(gòu)知識(shí)產(chǎn)權(quán)解決的問題利用安全域

16、設(shè)置，構(gòu)建自防御數(shù)據(jù)中心應(yīng)用安全管理策略（DMZ、Email等）入侵檢測IDS抵抗蠕蟲企業(yè)信息安全策略的制定四、信息網(wǎng)絡(luò)的物理安全物理安全就是保護(hù)信息網(wǎng)絡(luò)免受各種自然災(zāi)害和人為操作錯(cuò)誤等因素的破壞，使信息網(wǎng)絡(luò)可以維持正常運(yùn)行的狀態(tài)。物理安全分為：環(huán)境安全、設(shè)備安全和媒體安全三類；環(huán)境安全是指保障信息網(wǎng)絡(luò)所處環(huán)境安全的技術(shù)；設(shè)備安全是指保障構(gòu)成信息網(wǎng)絡(luò)的各種設(shè)備、網(wǎng)絡(luò)線路、供電連接、各種媒體數(shù)據(jù)本身以及存儲(chǔ)介質(zhì)等安全的技術(shù)。媒體安全是指包括媒體數(shù)據(jù)的安全及媒體本身的安全。物理環(huán)境涉及到的標(biāo)準(zhǔn)：計(jì)算站場地安全要求（GB9361-88）計(jì)算站場地技術(shù)要求（GB2887-2000）計(jì)算機(jī)信息系統(tǒng)防雷保

17、安器（GA173-98）計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件（GB6650-86）軍用通信設(shè)備及系統(tǒng)安全要求（GJZB663）環(huán)境安全的保障要求計(jì)算機(jī)場地通用規(guī)范（GB/T 2887：2000）計(jì)算機(jī)場地安全要求（GB 9361：1988）計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件(GB6650-1986)電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范(GB50174-1993)計(jì)算機(jī)信息系統(tǒng)防雷保安器(GA173-98)電磁泄露發(fā)射電磁兼容低壓電氣及電子設(shè)備發(fā)出的諧波電流限值（設(shè)備每相輸入電流16A）(GB 17625.1-1998)電磁兼容-限值-對額定電流不大于16A的設(shè)備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動(dòng)和閃爍的限制(GB17625.

18、2-1999)電磁干擾信息技術(shù)設(shè)備的無線電騷擾極限值和測量方法(GB 9254-1998)信息技術(shù)設(shè)備抗擾度限值和測量方法(GB 17618-1998) 計(jì)算站場地是計(jì)算機(jī)系統(tǒng)的安置地點(diǎn)，計(jì)算機(jī)供電、空調(diào)以及該系統(tǒng)的維修人員和工作人員的工作場所。計(jì)算機(jī)機(jī)房安全等級劃分A類，有完善的計(jì)算機(jī)機(jī)房安全措施B類，有較完善的計(jì)算機(jī)機(jī)房安全措施C類，有基本的計(jì)算機(jī)機(jī)房安全措施環(huán)境安全計(jì)算機(jī)機(jī)房場地選址時(shí)應(yīng)符合電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、計(jì)算站場地安全要求主要應(yīng)考慮的問題：1、場地防火，包括防火報(bào)警系統(tǒng),滅火系統(tǒng)等2、場地防水、防潮，控制濕度40%65%3、場地供電，設(shè)置電源保護(hù)裝置，如浪涌濾波器、零地電壓調(diào)整

19、變壓器、UPS緊急供電等4、防靜電，采用防靜電地板；5、防雷擊，機(jī)房應(yīng)設(shè)在建筑物中間位置，做好接地與等電位連接；6、電磁防護(hù)，采用電磁屏蔽。設(shè)備安全1、設(shè)備防盜、防毀，采用門禁防盜系統(tǒng)2、設(shè)備防靜電3、設(shè)備防電磁干擾廣義定義: 能夠引起計(jì)算機(jī)故障,破壞計(jì)算數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。標(biāo)準(zhǔn)定義： 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 計(jì)算機(jī)病毒防護(hù)病毒歷史及發(fā)展趨勢的演變病毒年表年代病毒情況198311月，第一例病毒被專家們在試驗(yàn)中證實(shí) 1986出現(xiàn)攻擊MS-DOS的Brain病毒1987 引導(dǎo)型病毒開

20、始在世界上傳播 ，并受到重視1989 我國首次發(fā)現(xiàn)病毒1989可執(zhí)行文件型病毒出現(xiàn)1992出現(xiàn)直接修改系統(tǒng)關(guān)鍵中斷的內(nèi)核的EWDIR2病毒1992伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。年代病毒情況1994變形病毒出現(xiàn)1996我國發(fā)現(xiàn)“病毒生成機(jī)軟件”1996感染Lotus AmiPro 的文件的宏病毒 (APM/GreenStripe) 出現(xiàn) 1997 采用JAVA、ACTIVE技術(shù)的惡意程序出現(xiàn) 19982月，臺(tái)灣省的陳盈豪編寫出了CIH-1.2版19992月，“美麗殺”病毒爆發(fā)2000I-WORM/Love Letter“愛蟲”網(wǎng)絡(luò)蠕蟲病毒2003沖擊波病毒病毒發(fā)展演變

21、趨勢圖 典型的計(jì)算機(jī)病毒一般由三個(gè)功能模塊組成，即：引導(dǎo)模塊，傳染模塊，破壞模塊。 但是，不是所有的病毒均由此結(jié)構(gòu)組成，如有的SQL甚至沒有病毒體（即病毒文件），只駐留于內(nèi)存。 典型病毒的結(jié)構(gòu)引導(dǎo)模塊：將病毒主體導(dǎo)入內(nèi)存并為傳染模塊提供運(yùn)行環(huán)境。傳染模塊：將病毒代碼傳到其它的載體上去.一般情況下傳染模塊分為兩部分，前部是一個(gè)條件判別程序，后部才是傳染程序主體。破壞模塊：同傳染模塊一樣，破壞模塊也帶有條件判別部分，因病毒均有潛伏期，破壞模塊只在符合條件時(shí)才進(jìn)行活動(dòng)。 計(jì)算機(jī)病毒的分類按照通常習(xí)慣分為一下幾種：A）引導(dǎo)型B）文件型C）腳本病毒D）宏病毒E）蠕蟲病毒F）木馬病毒G）邏輯炸彈引導(dǎo)型病毒

22、1感染目標(biāo)：通過文件感染硬盤的引導(dǎo)區(qū)部分；2傳播途徑：通過軟盤,光盤等介質(zhì)進(jìn)行傳播；3典型病毒：Stone文件型病毒1感染目標(biāo)：通過可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；2傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；3. 典型病毒：幽靈王腳本語言: 腳本語言是介于HTML和Java、C+和Visual Basic之間的語言。它的語法和規(guī)則沒有可編譯的編程程序那樣嚴(yán)謹(jǐn)和復(fù)雜。 腳本病毒就是指在腳本語言中加入病毒代碼，利用網(wǎng)頁的等腳本載體傳播的病毒。 腳本型病毒宏病毒 MicrosoftWord中對宏定義為：“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易。”感染目標(biāo)

23、：通過可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；蠕蟲病毒 蠕蟲是指具有通過網(wǎng)絡(luò)進(jìn)行自我繁殖功能的程序，傳染機(jī)理是利用網(wǎng)絡(luò)和電子郵件進(jìn)行復(fù)制和傳播。這一病毒利用了微軟視窗操作系統(tǒng)或者其他軟件系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播和網(wǎng)絡(luò)攻擊。 木馬病毒 特洛伊木馬病毒，也叫黑客程序或后門病毒，病毒通過一套隱藏在合法程序中的命令，指示計(jì)算機(jī)進(jìn)行不合法的運(yùn)作。換句話說就是指采用正常用戶無法察覺的方法潛入到對方內(nèi)部實(shí)施某種破壞（盜竊）行為。木馬程序的本質(zhì)就是一個(gè)遠(yuǎn)程控制軟件：遠(yuǎn)程控制軟件是在遠(yuǎn)方機(jī)器知道，允許的情況下，

24、對遠(yuǎn)方機(jī)器進(jìn)行遠(yuǎn)程控制的軟件。 邏輯炸彈 指被設(shè)置在合法程序中，通過事件或條件引發(fā)后，會(huì)破壞程序和數(shù)據(jù)的子程序段。 新出現(xiàn)的病毒JAVA等網(wǎng)頁病毒；利用P2P軟件傳播的病毒；PDA等掌上電腦病毒；手機(jī)病毒等。 造成數(shù)據(jù)毀壞、丟失； 破壞系統(tǒng)如硬盤、主板等硬件；影響網(wǎng)絡(luò)正常功能，甚至網(wǎng)絡(luò)癱瘓；破壞系統(tǒng)軟件；為系統(tǒng)留“后門”，為黑客竊取數(shù)據(jù)提供途徑； 降低計(jì)算機(jī)系統(tǒng)性能。計(jì)算機(jī)病毒的危害年份病毒名稱感染數(shù)量損失金額（美元）2000愛蟲88億2001尼姆達(dá)8百萬臺(tái)60億2001紅色代碼1百萬臺(tái)26億2002求職信6百萬臺(tái)90億2003SQL Slammer20萬臺(tái)約9.512億2003沖擊波140萬

25、臺(tái)損失還在繼續(xù)近年病毒爆發(fā)的情況及損失傳染性： 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序上，而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。 隱蔽性： 病毒通常附在正常程序中或磁盤隱蔽處，與正常程序通常是難以區(qū)分的。 計(jì)算機(jī)病毒的特性潛伏性：大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。 破壞性：任何病毒只要侵入系統(tǒng)，都會(huì)對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。 不可預(yù)見性：從對病毒的檢測方面來看，病毒還有不可預(yù)見性。 計(jì)算機(jī)病毒的特性1.密碼破解技術(shù) 應(yīng)用此技術(shù)的病毒可對win2000以上

26、的操作系統(tǒng)的密碼進(jìn)行破解。此類病毒一般會(huì)帶有約幾百單詞數(shù)量（有時(shí)會(huì)更大的）的字典庫 ，可對“弱口令”進(jìn)行破解，因此需要至少六位的數(shù)字字母混合的系統(tǒng)口令。例：愛情后門病毒目前病毒新技術(shù)和新特點(diǎn)2. 漏洞技術(shù) 利用操作系統(tǒng)和軟件系統(tǒng)（主要是微軟的軟件系統(tǒng)）漏洞進(jìn)行攻擊;即發(fā)送不正常的數(shù)據(jù)包，使獲得的系統(tǒng)出現(xiàn)錯(cuò)誤，從而使病毒奪取對方電腦的控制權(quán)。 例：沖擊波利用rpc漏洞，震蕩波利用LSASS漏洞 3.端口監(jiān)聽技術(shù)（原多見于木馬程序）Moodown.y病毒利用自身的SMTP發(fā)信引擎來發(fā)送病毒郵件，監(jiān)聽82端口，等待攻擊者連接，可自動(dòng)下載并執(zhí)行新的病毒。振蕩波病毒的最新變種監(jiān)聽1023端口（支持USE

27、R、PASS、PORT、RETR和QUIT命令），并實(shí)現(xiàn)一個(gè)tftp服務(wù)器，并進(jìn)行攻擊。4.多線程掃描技術(shù) 現(xiàn)在常見病毒多采用此技術(shù)，此技術(shù)可加速網(wǎng)絡(luò)病毒的傳播速度。 如I-Worm.Sasser.e（振蕩波.e）開辟128個(gè)線程掃描網(wǎng)絡(luò) ，傳播病毒。主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播傳播速度極快 擴(kuò)散面廣 變種多、快網(wǎng)絡(luò)時(shí)代病毒的新特性：使用傳統(tǒng)手段難于根治、容易引起多次疫情 具有病毒、蠕蟲和后門（黑客）程序的多種特性病毒向能對抗反病毒軟件和有特定目的的方向發(fā)展目前存在病毒的傳播途徑網(wǎng)絡(luò)病毒攻擊圖工作站工作站網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器郵件中惡意附件攻破多個(gè)網(wǎng)站服務(wù)器以前攻破的網(wǎng)站服務(wù)器瀏覽器進(jìn)攻文件共享I

28、nternethub路由器有防護(hù)的辦公網(wǎng)絡(luò)中的病毒傳播病毒傳入途徑：終端漏洞導(dǎo)致病毒傳播；郵件接收導(dǎo)致病毒傳播；外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)部用戶繞過邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入；網(wǎng)頁中的惡意代碼傳入； 大型內(nèi)部網(wǎng)絡(luò)，一般均有防火墻等邊界防護(hù)措施，但是還經(jīng)常會(huì)出現(xiàn)病毒，病毒是如何傳入的呢？系統(tǒng)漏洞傳播；系統(tǒng)郵件傳播；儲(chǔ)存介質(zhì)傳播；共享目錄傳播；病毒在此類網(wǎng)絡(luò)內(nèi)的傳播途徑目前網(wǎng)絡(luò)防病毒可能需要面臨的問題：難以確定網(wǎng)絡(luò)內(nèi)設(shè)備的用戶聯(lián)網(wǎng)狀況;無法快速準(zhǔn)確定位病毒源;了解病毒源后，無法方便的對病毒源進(jìn)行阻斷。難以監(jiān)控系統(tǒng)安全補(bǔ)丁安裝情況;缺乏有效的技術(shù)手段保證管理制度的

29、貫徹。防病毒管理機(jī)構(gòu)組成圖建立有效的病毒防范管理機(jī)制防病毒需求分析：只有明了自己的安全需求才能有針對性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，正確的安全分析需求是保證網(wǎng)絡(luò)系統(tǒng)的安全的根源。 防病毒風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)管理是對需求分析結(jié)果中存在的威脅和業(yè)務(wù)需求進(jìn)行風(fēng)險(xiǎn)評估，以可以接受的投資，進(jìn)行最大限度的病毒防范工作。 防病毒管理機(jī)制的制定和完善制定防病毒策略:根據(jù)組織和部門的防病毒需求和風(fēng)險(xiǎn)評估的結(jié)論，制定切實(shí)可行的計(jì)算機(jī)網(wǎng)絡(luò)防病毒策略。 定期防病毒審核:安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。因?yàn)榫W(wǎng)絡(luò)防病毒是一個(gè)動(dòng)態(tài)的過程，防病毒的需求可能會(huì)發(fā)生變化；為了在防病毒需求發(fā)生變化時(shí)，策

30、略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。 病毒特征碼識(shí)別技術(shù)自動(dòng)解壓技術(shù)實(shí)時(shí)監(jiān)視技術(shù)啟發(fā)式查毒技術(shù)帶毒殺毒技術(shù)病毒隊(duì)列技術(shù) 目前主要的防病毒技術(shù)概述防病毒軟件的結(jié)構(gòu)掃描應(yīng)用掃描引擎病毒定義庫防病毒軟件的3個(gè)組成部分防病毒軟件 掃描應(yīng)用用戶接口日志文件報(bào)警功能 掃描引擎搜索病毒的邏輯算法CPU仿真器精密編程邏輯病毒定義庫：內(nèi)有病毒的特征碼防病毒網(wǎng)關(guān) 由于目前的防火墻并不能防止目前所有的病毒進(jìn)入內(nèi)網(wǎng)，所以在某些情況下，需要在網(wǎng)絡(luò)的數(shù)據(jù)出入口處和網(wǎng)絡(luò)中重要設(shè)備前配置防病毒網(wǎng)關(guān)，以防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)。防病毒網(wǎng)關(guān)按照功能上分有兩種:保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件器的防病毒網(wǎng)關(guān)防病毒網(wǎng)

31、關(guān)按照部署形式分為：透明網(wǎng)關(guān)代理網(wǎng)關(guān)透明網(wǎng)關(guān)代理網(wǎng)關(guān)郵件服務(wù)器的防病毒保護(hù)對郵件服務(wù)器系統(tǒng)自身加固郵件防病毒網(wǎng)關(guān)郵件防病毒 由于目前的病毒大部分均是通過郵件傳播的，所以對于郵件服務(wù)器的保護(hù)是十分重要的?？蛻舳朔啦《疽龑?dǎo)安全系統(tǒng)安裝安全系統(tǒng)日常加固日常使用安全服務(wù)器防病毒 服務(wù)器防病毒時(shí)，除了注意主機(jī)還應(yīng)注意防病毒應(yīng)該注意的問題外，還應(yīng)該注意到服務(wù)器的可用性和穩(wěn)定性，也需要注意對重要數(shù)據(jù)經(jīng)常備份等問題。 補(bǔ)丁加固是今年來網(wǎng)絡(luò)面臨的新問題，對于大型機(jī)關(guān)和企業(yè)網(wǎng)絡(luò)，靠有限的人力人工去進(jìn)行終端的安全加固是不現(xiàn)實(shí)的。為此，微軟提出了兩個(gè)解決方案：SMS：Microsoft System Manageme

32、nt SUS：Software Update Services 補(bǔ)丁加固 SMS技術(shù)是基于主域控制技術(shù)，通過域控制器對管轄的計(jì)算機(jī)的安全補(bǔ)丁進(jìn)行統(tǒng)一的升級和管理。此方法存在的問題是國內(nèi)一般不使用主域控制形式進(jìn)行網(wǎng)絡(luò)管理,另外，對于終端使用多操作系統(tǒng)的網(wǎng)絡(luò)使用此技術(shù)升級所需的工作量也比較大。SMS技術(shù)SUS技術(shù) 此技術(shù)應(yīng)用了當(dāng)前微軟Windows Update的技術(shù)，即客戶端可通過內(nèi)網(wǎng)建立的SUS Server自動(dòng)下載升級補(bǔ)丁。采用此方法的優(yōu)點(diǎn)是簡單方便，但是此系統(tǒng)也有不易實(shí)施的缺點(diǎn)。 病毒預(yù)警技術(shù)一般是采用分布式的結(jié)構(gòu)，進(jìn)行集中管理報(bào)警，分散控制。 病毒預(yù)警的具體可采用“數(shù)據(jù)流分析”、“病毒誘

33、捕”等技術(shù)。新一代病毒預(yù)警技術(shù) 提供網(wǎng)絡(luò)數(shù)據(jù)流量的偵測模塊，通過網(wǎng)絡(luò)數(shù)據(jù)分析工具及時(shí)捕獲網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流信息，對于數(shù)據(jù)流量異常的機(jī)器進(jìn)行報(bào)警，以辨別是否為網(wǎng)絡(luò)病毒、木馬、黑客等程序所外發(fā)數(shù)據(jù)包。 數(shù)據(jù)流分析系統(tǒng) 第一時(shí)間提供病毒入侵消息，并自動(dòng)上報(bào)至病毒集中監(jiān)控中心。 病毒誘捕機(jī)具體操作：360安全衛(wèi)士補(bǔ)丁加固McAfee城域網(wǎng)殺毒軟件的分布部署McAfee郵件防病毒網(wǎng)關(guān)的部署邊界安全防護(hù)設(shè)計(jì)硬件防火墻 QOS帶寬管理系統(tǒng) MCAFEE城域網(wǎng)防護(hù)系統(tǒng)及反垃圾/病毒郵件網(wǎng)關(guān) MRTG流量監(jiān)控24小時(shí)監(jiān)控所有學(xué)校及網(wǎng)絡(luò)骨干接口的流量 IP偵測24小時(shí)記錄出口數(shù)據(jù)包的包頭信息 交換機(jī)（Switch）是

34、集線器的升級換代產(chǎn)品，從外觀上來看的話，它與集線器類似都是帶有多個(gè)端口的長方形盒狀體。但是交換機(jī)擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。它的所有的端口都掛接在這條背部總線上?？刂齐娐肥盏綌?shù)據(jù)包以后，處理端口會(huì)查找內(nèi)存中的MAC地址對照表以確定目的MAC的網(wǎng)卡掛接在哪個(gè)端口上，通過內(nèi)部交換矩陣直接將數(shù)據(jù)迅速包傳送到目的節(jié)點(diǎn)，而不是所有節(jié)點(diǎn)，目的MAC若不存在才廣播到所有的端口。 二層交換機(jī)，實(shí)現(xiàn)OSI二層交換幀不作任何修改，僅僅查一下交換表，進(jìn)行轉(zhuǎn)發(fā)。 三層交換機(jī)是指將交換機(jī)的快速交換能力和路由器的路由尋址能力結(jié)合起來，所以也稱路由交換機(jī)，它工作在網(wǎng)絡(luò)層。通過IP地址來確定是哪個(gè)子網(wǎng)的結(jié)點(diǎn)，幀

35、可能會(huì)發(fā)生變化，經(jīng)路由后變成新的幀。 三層交換機(jī)充分利用路由器的三層功能，既保留了二層交換機(jī)靈活的虛擬局域網(wǎng)（VLAN）劃分和高交換速度的優(yōu)點(diǎn)，又解決了二層網(wǎng)絡(luò)無法處理的“廣播風(fēng)暴”問題，三層交換與路由的最大區(qū)別在于：路由要對每一個(gè)數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)，而三層交換只對每次通訊的握手連接進(jìn)行路由查找，對真正的用戶數(shù)據(jù)只進(jìn)行二層轉(zhuǎn)發(fā)，速度快了很多。三層交換機(jī)能夠支持常用的路由協(xié)議。交換機(jī)設(shè)置switch: ；ROM狀態(tài)， 路由器是rommonSetup模式，以對話方式配置hostname ；用戶命令模式hostname# ；特權(quán)命令模式hostname(config)# ；全局配置模式hostnam

36、e(config-if)# ；子配置模式接口狀態(tài) 1、六種工作模式：？ 查詢命令Tab 補(bǔ)全按鍵用戶命令模式：Enable 進(jìn)入特權(quán)模式 特權(quán)命令模式：Config terminal 進(jìn)入全局配置模式 Copy 復(fù)制命令Reload 重啟設(shè)備Show 顯示命令 show running 顯示運(yùn)行配置文件內(nèi)容 show version 顯示版本信息Exit 返回命令 2、常用CLI命令全局配置模式：Hostname 設(shè)置交換機(jī)的主機(jī)名Enable password * 設(shè)置特權(quán)非密口令 Enable secret 0 * 設(shè)置特權(quán)加密口令ip address ip-address netmask

37、 設(shè)置交換機(jī)IP地址ip default-gateway ip-address 設(shè)置交換機(jī)網(wǎng)關(guān)Interface ethernet module/number 進(jìn)入接口模式子配置模式接口模式No shudown 激活端口 duplex auto|full|half 設(shè)置接口鏈路模式speed10|100|auto 設(shè)置端口速度 VLAN（Virtual LAN），翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺(tái)家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)也就是廣播域。 廣播域，指的是廣播幀所能傳遞到的范圍，亦即能夠直接通信的范圍。

38、二層交換機(jī)只能構(gòu)建單一的廣播域，不過使用VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個(gè)廣播域。 通過增加子網(wǎng)數(shù)目可以構(gòu)建更多的通路，減輕信息流量擁塞。將網(wǎng)絡(luò)拆分成多個(gè)由交換機(jī)、路由器所連接的子網(wǎng)，這樣可以劃分沖突域和廣播數(shù)據(jù)包，進(jìn)而提高網(wǎng)絡(luò)性能。 交換機(jī)操作練習(xí)：(一)、1、設(shè)置Switch的主機(jī)名 2、設(shè)置一個(gè)加密密碼 3、啟用VLAN1,設(shè)置IP地址為154 4、設(shè)置默認(rèn)網(wǎng)關(guān)為1 (二)、新建一個(gè)PC，設(shè)置IP 地址為2在PC上 屏Switch，如果能屏通則說明設(shè)置成功 接入交換機(jī)安全設(shè)置生成樹防環(huán)路：spanning-treeinterface range fastEthernet 0/2-47

39、spanning-tree bpduguard enabled 防DoS攻擊：ip deny landip deny invalid-l4port路由黑洞ip route Null 0ip route Null 0ACL訪問列表ip access-list extended 1001 deny icmp any any deny tcp any any eq 135 deny tcp any any eq 139 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 1433 deny tcp any any e

40、q 4444 deny tcp any any eq 5554 deny tcp any any eq 9996 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss permit ip any anyip access-group 1001 in網(wǎng)絡(luò)管理：snmp-server community public ro鏡像端口monitor session 1 destination interface fastEthernet 0/48monitor sess

41、ion 1 source interface fastEthernet 0/1 both網(wǎng)絡(luò)故障排查一、故障分層排查法 1、了解故障現(xiàn)象，收集信息，判斷是用戶的使用問題還是網(wǎng)絡(luò)連接問題2、根據(jù)現(xiàn)象給故障分層，到底屬于網(wǎng)絡(luò)層還是應(yīng)用層問題，3、根據(jù)分層查找故障原因，可以使用對應(yīng)的命令或網(wǎng)管工具來檢測。4、制定執(zhí)行排障計(jì)劃，對較大的排障過程一定要作記錄，以便作故障分析和對可能產(chǎn)生的新故障的原因分析故障案例分析1、網(wǎng)卡指示燈亮，但托盤區(qū)顯示網(wǎng)絡(luò)電纜沒有插好網(wǎng)卡燈亮說明網(wǎng)卡硬件安裝正常，但托盤區(qū)顯示網(wǎng)絡(luò)電纜沒有插好，基本上可以判斷是線路連接問題，首先重插網(wǎng)線兩端水晶頭，如果網(wǎng)卡另一指示燈閃爍，說明鏈路

42、已連通，托盤區(qū)提示會(huì)自動(dòng)消失。如果重插后另一指示燈仍舊不亮，可換一根網(wǎng)線或換一個(gè)上聯(lián)接口。另外如果在檢查中發(fā)現(xiàn)網(wǎng)卡兩個(gè)指示燈始終長亮，沒有閃爍，則可以判斷為網(wǎng)卡故障。2、網(wǎng)絡(luò)連接正常，仍然無法上網(wǎng)首先使用ipconfig命令查看本機(jī)網(wǎng)絡(luò)配置是否正確，如果ipconfig命令無效，則可能是本機(jī)TCP/IP協(xié)議出錯(cuò)或系統(tǒng)故障其次在本機(jī)ping同網(wǎng)段主機(jī)和網(wǎng)關(guān)地址，如果能拼通同網(wǎng)段主機(jī)，說明本機(jī)網(wǎng)絡(luò)正常，如果能拼通網(wǎng)關(guān)，說明網(wǎng)段正常最后拼網(wǎng)絡(luò)域名，如果能解析出域名對應(yīng)IP，說明網(wǎng)絡(luò)完全正常，不能上網(wǎng)是IE瀏覽器故障或網(wǎng)管控制造成的。如果無法解析出IP，則說明是DNS服務(wù)故障?？赏ㄟ^IP地址打開網(wǎng)頁，

43、如。3、交換機(jī)指示燈觀察普通交換機(jī)每個(gè)端口有3個(gè)指示燈第一個(gè)燈亮顯示鏈路連通第二個(gè)燈亮表示百兆狀態(tài)第三個(gè)燈閃爍表示數(shù)據(jù)在傳輸路由交換機(jī)端口只有一個(gè)指示燈，亮表示連通，閃爍表示數(shù)據(jù)傳輸如果開機(jī)后所有指示燈始終長亮，說明交換機(jī)自檢未通過，判斷為硬件或電源故障如自檢通過，但所有指示燈無規(guī)律快速閃動(dòng)，網(wǎng)絡(luò)無法連通，判斷為網(wǎng)絡(luò)中有回路或蠕蟲病毒發(fā)作引起。數(shù)據(jù)包分析一、網(wǎng)絡(luò)嗅探器SnifferPro Sniffer Pro是美國Network Associates公司出品的一種網(wǎng)絡(luò)分析軟件，可用于網(wǎng)絡(luò)故障檢修與性能管理，在網(wǎng)絡(luò)應(yīng)用界應(yīng)用非常廣泛，現(xiàn)已占到網(wǎng)絡(luò)分析軟件市場的76% 。其網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，能解決各種網(wǎng)絡(luò)問題。Sniffer支持的協(xié)議豐富，可以運(yùn)行在各種Windows平臺(tái)上。由于軟件比較大，運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大，否則運(yùn)行比較慢，這是它的一個(gè)缺點(diǎn)。1、安裝并運(yùn)行程序2、軟件介紹Sniffer主菜單分為監(jiān)控、捕獲、顯示、工具、數(shù)據(jù)庫、窗口等多個(gè)功能菜單在工具欄中則有儀表盤、主機(jī)表單、矩陣、應(yīng)用程序響應(yīng)時(shí)間、歷史、協(xié)議分布、整體網(wǎng)絡(luò)使用和警報(bào)等功能按鈕