常用信息安全技術介紹

1、廣東石化公司信息中心2013年9月,常用信息安全技術介紹,什么是信息安全,信息本身的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未經授權使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用信息。,保密性：確保信息沒有非授權的泄漏，不被非授權的個人、組織和計算機程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權的用戶或程序可以及時、正常使

2、用信息,信息安全問題產生的根源,內因： 信息系統復雜性：過程復雜，結構復雜，應用復雜外因： 人為和環(huán)境: 威脅與破壞,網絡不安全的根本原因,系統漏洞 信息安全漏洞是信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環(huán)節(jié)之中，而且隨著信息系統的變化而改變。一旦被惡意主體所利用，就會造成對信息系統的安全損害，從而影響構建于信息系統

3、之上正常服務的運行，危害信息系統及信息的安全屬性。,網絡不安全的根本原因,協議的開放性 網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網絡通信協議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。網絡的國際性 意味著對網絡的攻擊不僅是來自于本地網絡的用戶，還可以是互聯網上其他國家的黑客，所以網絡的安全面臨著國際化的挑戰(zhàn)。網絡的自由性

4、 大多數的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，發(fā)布和獲取各類信息。,計算機病毒的威脅,由于企業(yè)介入用戶數量較多，并且分布廣泛，網絡環(huán)境較為復雜，信息系統分布眾多，使得病毒的傳播較為容易。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽。,黑客攻擊的風險,由于海外網絡分布較廣，和國內的環(huán)境相比不太相同，黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷，采用后門程序、信息炸彈、拒絕服務、網絡監(jiān)聽等手段，

5、對網絡進行攻擊，對數據進行竊取。,黑客攻擊的風險,企業(yè)的各項數據，包括生產數據、財務數據、人員數據等，在網絡中傳輸數據面臨著各種安全風險：被非法用戶截取從而泄露企業(yè)機密；被非法篡改，造成數據混亂、信息錯誤從而造成工作失誤；非法用戶假冒合法身份，發(fā)送虛假信息，給正常的經營秩序造成混亂、破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。,身份認證和訪問控制存在的風險,企業(yè)信息系統一般供特定范圍的用戶使用，包含的信息和數據也

6、只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。由于網絡的不可控性，安全的身份認證和訪問控制就顯得尤為重要。,常見信息安全技術,密碼學基本術語,古典密碼體制的安全性在于保持算法本身的保密性，受到算法限制。不適合大規(guī)模生產不適合較大的或者人員變動較大的組織用戶無法了解算法的安全性古典密碼主要有以下幾種：代替密碼（Substitution Cipher）換位密碼（Transposition Cipher）代替密碼與換位密碼

7、的組合,古典密碼,對稱密碼算法和非對稱密碼算法,對稱密碼算法（Symmetric cipher）：加密密鑰和解密密鑰相同，或實質上等同，即從一個易于推出另一個。又稱傳統密碼算法（Conventional cipher)、秘密密鑰算法或單密鑰算法。 DES、3DES、IDEA、AES 非對稱密碼算法（Asymmetric cipher） ：加密密鑰和解密密鑰不同，從一個很難推出另一個。又叫公鑰密碼算法（Public-ke

8、y cipher)。其中的加密密鑰可以公開，稱為公開密鑰（public key)，簡稱公鑰；解密密鑰必須保密，稱為私人密鑰（private key)，簡稱私鑰。 RSA、ECC、ElGamal,加密（Encryption）：將明文變換為密文的過程。把可懂的語言變換成不可懂的語言，這里的語言指人類能懂的語言和機器能懂的語言。解密（Decryption）：加密的逆過程，即由密文恢復出原明文的過程。把不可懂的語言變換成可懂的語言。,加密和

9、解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(Encryption Key) 和解密密鑰(Decryption Key)。,加密和解密,PGP加密,PGP是目前最優(yōu)秀，最安全的加密方式。這方面的代表軟件是美國的PGP加密軟件。這種軟件的核心思想是利用邏輯分區(qū)保護文件，比如，邏輯分區(qū)E:是受PGP保護的硬盤分區(qū)，那么，每次打開這個分區(qū)的時候，需要輸入密碼才能打開這個分區(qū)，在這個分區(qū)內的文件是絕對安全的。不再需要這個分區(qū)

10、時，可以把這個分區(qū)關閉并使其從桌面上消失，當再次打開時，需要輸入密碼。沒有密碼，軟件開發(fā)者本人也無法解密！PGP是全世界最流行的文件夾加密軟件。它的源代碼是公開的，經受住了成千上萬頂尖黑客的破解挑戰(zhàn)，事實證明PGP是目前世界上最安全的加密軟件。它的唯一缺點是PGP目前還沒有中文版，而且正版價格極其昂貴。PGP技術是美國國家安全部門禁止出口的技術。,密碼學的應用---VPN,VPN,1、未使用VPN時，分布在各地的組織機構需要用專用網絡來

11、保證數據傳輸安全。其特點1）安全性好2）價格昂貴3）難擴展、不靈活2、TCP/IP采用分組交換方式傳遞數據，其特點1）安全性差2）價格便宜3）易擴展，普遍使用,密碼學的應用---VPN,加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制，不同的用戶有不同的訪問權限。,密碼學的應用---VPN,VPN基本功能,PKI 指的是

12、公鑰基礎設施, CA指的是認證中心. 公鑰基礎設施（Public Key Infrastructure）利用公開密鑰技術建立的提供信息安全服務的在線基礎設施。它利用加密、數字簽名、數字證書來保護應用、通信或事務處理的安全。如同電力基礎設施為家用電器提供電力一樣，PKI為各種應用提供安全保障 PKI/CA 是一組建立在公開密鑰技術基礎上的硬件、軟件、人員和應用程序的集合，它具備生產、管理、存儲、核發(fā)和廢止證書的能力，從運營

13、、管理、規(guī)范、法律、人員等多個角度來解決網絡信任問題。,密碼學的應用---PKI/CA,PKI/CA技術在信息安全中的作用,安全漏洞,信息安全漏洞是信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環(huán)節(jié)之中，而且隨著信息系統的變化而改變。一旦被惡意主體所利用，就會造成對信息系統的安全損害，從而影響構建于信息系統之上正常服務的運行，危害信息系統及信息的安全屬性。

14、,安全模型,注冊表(Registry)整合、集成了全部系統和應用程序的初始化信息。 其中包含硬件設備的說明、相互關聯的應用程序與文檔文件、窗口顯示方式、網絡連接參數、甚至關系到電腦安全的網絡設置。 病毒、木馬、黑客程序等攻擊用戶電腦時，都會對注冊表進行一定的修改，因此注冊表的安全設置非常重要。,注冊表安全,抵御后門程序破環(huán)禁用控制面板鎖定桌面禁止遠程修改注冊表禁止病毒啟動服務禁止病毒自

15、行啟動,注冊表安全,1、比較原始的竊密技術是暴力破解，也叫密碼窮舉。如果黑客事先知道了賬戶號碼，如網上銀行賬號，而恰巧你的密碼又十分簡單，比如用簡單的數字組合，黑客使用暴力破解工具很快就可以破釋出密碼來?！?2、在大部分用戶意識到簡單的密碼在黑客面前形同虛設后，人們開始把密碼設置的盡可能復雜一些，這就使得破解工具開始無計可施。這時候，黑客開始在木馬病毒身上做文章，他們在木馬程序里設計了鉤子程序，一旦用戶的電腦感染了這種特制的病毒，系統

16、就被種下了“鉤子”，黑客通過“鉤子”程序監(jiān)聽和記錄用戶的擊鍵動作，然后通過自身的郵件發(fā)送模塊把記錄下的密碼發(fā)送到黑客的指定郵箱。　3、軟鍵盤輸入使得使用擊鍵記錄技術的木馬失去了作用。這時候，黑客仍不甘心，又開始琢磨出通過屏幕快照的方法來破解軟鍵盤輸入。病毒作者已考慮到軟鍵盤輸入這種密碼保護技術，病毒在運行后，會通過屏幕快照將用戶的登陸界面連續(xù)保存為兩張黑白圖片，然后通過自帶的發(fā)信模塊發(fā)向指定的郵件接受者。黑客通過對照圖片中鼠標的點擊位

17、置，就很有可能破譯出用戶的登陸賬號和密碼，從而突破軟鍵盤密碼保護技術，嚴重威脅股民網上交易安全。,賬號和密碼安全,賬號和密碼安全事項,安全密碼的設置（1）密碼中的字符應該來自下面“字符類別”中五組中的至少三組。 1、小寫字母 a、b、c… 2、大寫字母 A、B、C…　 3、數字 0、1、2、3、4、5、6、7、8、9 4、非字母數字字符（符號） 

18、~ ` ! @ # $ % ^ & * ( ) ? / _ - | \   5、Unicode字符 ??、Γ、? 和 λ（2）密碼設置的注意事項：1.請盡量設置長密碼。請您設法設置便于記憶的長密碼，您可以使用完整的短語，而非單個的 單詞或數字作為您的密碼，因為密碼越長，則被破解的可能性就越??；2.盡量在單詞中插入符號。盡管攻擊者善于搜查密碼中的單詞，但

19、請您在設置密碼時不要放棄 使用單詞。但您需要在您的單詞中插入符號或者變?yōu)橹C音符號。如：”just for you”可以改善 為“just4y_o_u”；3.請不要在您的密碼中出現您的帳號；4.請不要使用您的個人信息作為密碼的內容。如生日、身份證號碼、親人或者伴侶的姓名等。,OSI安全體系結構,OSI安全體系結構定義了系統應當提供的五類安全服務，以及提供這些服務的八類安全機制；某種安全服務可以通過一種或多種安全機制提供，某

20、種安全機制可用于提供一種或多種安全服務。五類安全服務：1.認證（鑒別）服務：提供對通信中對等實體和數據來源的認證（鑒別）。2.訪問控制服務：用于防治未授權用戶非法使用系統資源，包括用戶身份認證和用戶權限確認。3.數據保密性服務：為防止網絡各系統之間交換的數據被截獲或被非法存取而泄密，提供機密保護。同時，對有可能通過觀察信息流就能推導出信息的情況進行防范。4.數據完整性服務：用于組織非法實體對交換數據的修改、插入、刪除以及在數

21、據交換過程中的數據丟失。5.抗抵賴服務：用于防止發(fā)送方在發(fā)送數據后否認發(fā)送和接收方在收到數據后否認收到或偽造數據的行為。,OSI安全體系結構,1.加密機制：是確保數據安全性的基本方法，在OSI安全體系結構中應根據加密所在的層次及加密對象的不同，而采用不同的加密方法。2.數字簽名機制：是確保數據真實性的基本方法，利用數字簽名技術可進行用戶的身份認證和消息認證，它具有解決收、發(fā)雙方糾紛的能力。3.訪問控制機制：從計算機系統的處理能力方

22、面對信息提供保護。訪問控制按照事先確定的規(guī)則決定主體對客體的訪問是否合法，當以主題試圖非法使用一個未經給出的報警并記錄日志檔案。4.數據完整性機制：破壞數據完整性的主要因素有數據在信道中傳輸時受信道干擾影響而產生錯誤，數據在傳輸和存儲過程中被非法入侵者篡改，計算機病毒對程序和數據的傳染等。糾錯編碼和差錯控制是對付信道干擾的有效方法。對付非法入侵者主動攻擊的有效方法是保溫認證，對付計算機病毒有各種病毒檢測、殺毒和免疫方法。5.認證機制

23、：在計算機網絡中認證主要有用戶認證、消息認證、站點認證和進程認證等，可用于認證的方法有已知信息（如口令）、共享密鑰、數字簽名、生物特征（如指紋）等。6.業(yè)務流填充機制：攻擊者通過分析網絡中有一路徑上的信息流量和流向來判斷某些事件的發(fā)生，為了對付這種攻擊，一些關鍵站點間再無正常信息傳送時，持續(xù)傳遞一些隨機數據，使攻擊者不知道哪些數據是有用的，那些數據是無用的，從而挫敗攻擊者的信息流分析。7.路由控制機制：在大型計算機網絡中，從源點到目

24、的地往往存在多條路徑，其中有些路徑是安全的，有些路徑是不安全的，路由控制機制可根據信息發(fā)送者的申請選擇安全路徑，以確保數據安全。8.公正機制：在大型計算機網絡中，并不是所有的用戶都是誠實可信的，同時也可能由于設備故障等技術原因造成信息丟失、延遲等，用戶之間很可能引起責任糾紛，為了解決這個問題，就需要有一個各方都行人的第三方以提供公證仲裁，仲裁數字簽名經濟術士這種公正機制的一種技術支持。,網絡安全協議,? 網絡層——IP 安全性(IPS

25、ec)? 傳輸層—— SSL / TLS? 應用層——S/MIME, PGP, PEM, SET, Kerberos,HTTPS,SSH,網絡安全協議,IPSec,? IPSec為在LAN、WAN和Internet上的通訊提供安全性– 分支辦公機構通過Internet互連。(Secure VPN)– 通過Internet的遠程訪問。– 與合作伙伴建立extrane

26、t與intranet的互連。– 增強電子商務安全性? IPSec的主要特征是可以支持IP層所有流量的加密和/或鑒別。因此可以增強所有分布式應用的安全性。,網絡層安全協議,? 端到端（end-end):主機到主機的安全通信? 端到路由（end-router):主機到路由設備之間的安全通信? 路由到路由（router-router):路由設備之間的安全通信，常用于在兩個網絡之間建立虛擬私有網（VPN）。,IPSec的應

27、用方式,SSL體系結構,?協議分為兩層?底層：SSL記錄協議?上層：SSL握手協議、SSL修改密文規(guī)約協議、SSL 警告協議,? SSL記錄協議– 建立在可靠的傳輸協議(如TCP)之上– 它提供連接安全性，有兩個特點? 保密性，使用了對稱加密算法? 完整性，使用HMAC算法– 用來封裝高層的協議? SSL握手協議– 客戶和服務器之間相互鑒別– 協商加密算法和密鑰– 它提供連接安全性，有三個特點? 身份鑒別，

28、至少對一方實現鑒別，也可以是雙向鑒別? 協商得到的共享密鑰是安全的，中間人不能夠知道? 協商過程是可靠的,SSL兩個主要協議,SSH的英文全稱是Secure  Shell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了， 而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。 SSH有很多功能，它既可以代

29、替telnet，又可以為ftp、pop、甚至ppp提供一個安全的“通道”。,SSH,網絡攻擊技術,信息收集分析目標實施攻擊方便再次進入清理入侵記錄,信息收集技術,獲取攻擊目標大概信息網絡信息主機信息應用部署信息……指導下一步攻擊行為 信息收集的方式社會工程學媒體（如搜索引擎、廣告介紹等）網絡工具的探測,踩點---信息收集,定位---分析目標,為什么需要分析目標確定收集信息的準確性更準確的判斷（

30、例如:index.ycs是java開發(fā)，開發(fā)人員修改了腳本后綴以迷惑攻擊者）攻擊方式及工具路徑的選擇分析目標的方法掃描漏洞庫論壇等交互應用,入侵-多種多樣的入侵方式,針對配置錯誤的攻擊－IPC$的攻擊針對應用漏洞的攻擊－Unicode緩沖區(qū)溢出攻擊－IDQ緩沖區(qū)溢出電子欺騙攻擊－ARP欺騙拒絕服務攻擊－SYN flood針對弱口令的攻擊－口令破解利用服務的漏洞-本地輸入法漏洞利用應用腳本開發(fā)的漏洞-SQL注入

31、利用人的心理-社會工程學攻擊,后門-方便下次進入,后門可以作什么方便下次直接進入監(jiān)視用戶所有行為、隱私完全控制用戶主機后門放置方式如果已經入侵簡單！如果尚未入侵手動放置利用系統漏洞，遠程植入利用系統漏洞，誘騙執(zhí)行,后門-方便下次進入,改寫訪問日志例如：IIS訪問日志位置%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log改寫日志的技巧修改系統日期刪除中間文件

32、刪除創(chuàng)建的用戶,漏洞攻擊,根據目標主機開放的不同應用和服務來掃描和判斷是否存在或可能存在某些漏洞意義進行網絡安全評估為網絡系統的加固提供先期準備被網絡攻擊者加以利用來獲取重要的數據信息,信息安全的“木桶理論”,對一個信息系統來說，它的安全性不在于它是否采用了最新的加密算法或最先進的設備，而是由系統本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發(fā)現，系統就有可能成為網絡攻擊的犧牲品。,欺騙攻擊,IP欺騙（IP Spoof）

33、DNS欺騙ARP欺騙TCP會話劫持路由欺騙,拒絕服務攻擊,拒絕服務式攻擊(Denial of Service)，顧名思義就是讓被攻擊的系統無法正常進行服務的攻擊方式。拒絕服務攻擊方式 利用大量數據擠占網絡帶寬 利用大量請求消耗系統性能 利用協議實現缺陷 利用系統處理方式缺陷,網絡防御技術,防火墻技術,在網絡間（內部/外部網絡、不同信息級別）提供安全連接的設備；

34、 用于實現和執(zhí)行網絡之間通信的安全策略,防火墻的功能,阻止來自不可信網絡的攻擊保護關鍵數據的完整性維護客戶對企業(yè)或機構的信任,網絡防御技術,1控制進出網絡的信息流向和數據包，過濾不安全的服務；2隱藏內部IP地址及網絡結構的細節(jié)； 3提供使用和流量的日志和審計功能；4部署NAT（Network Address Translation，網絡地址轉換）；5邏輯隔離內部網段，對外提供WEB和FTP；6實現集中

35、的安全管理；7提供VPN功能。,網絡防御技術,防火墻的功能,防火墻的分類,包過濾技術應用代理技術狀態(tài)檢測技術,網絡防御技術,防火墻系統的部署,這是最為普通的企業(yè)環(huán)境防火墻部署案例。利用防火墻將網絡分為三個安全區(qū)域，企業(yè)內部網絡，外部網絡和服務器專網(DMZ區(qū))。,網絡防御技術,入侵檢測技術,網絡防御技術,入侵檢測的概念,網絡防御技術,入侵檢測（Intrusion Detection），顧名思義，就是對入侵行為的發(fā)覺。通過對計

36、算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測的分類,攻擊的類型：網絡嗅探利用設計缺陷實現缺陷拒絕服務,網絡防御技術,攻擊針對以下方面：網絡操作系統應用,入侵檢測的步驟,預防入侵檢測入侵對入侵做出響應,網絡防御技術,計算機取證技術,計算機取證（Computer Forensics、計算機取證技術、計算機鑒識、計算機法醫(yī)學）是指運用計算

37、機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程?？衫斫鉃椤皬挠嬎銠C上提取證據”即獲取、保存、分析出示提供的證據必須可信,網絡防御技術,計算機取證概念,計算機取證是分析硬盤、光盤、軟

38、盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發(fā)現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。,可以用做計算機取證的信息源很多，如系統日志，防火墻與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監(jiān)控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交

39、換分區(qū)、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿，仍有可能恢復已經刪除的文件。,網絡防御技術,計算機取證的分類,來源取證所謂

40、來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。事實取證事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟

41、件功能分析、軟件相似性分析、日志文件分析、網絡狀態(tài)分析、網絡數據包分析等。,網絡防御技術,計算機取證的原則,計算機取證的主要原則有以下幾點： 首先，盡早搜集證據，并保證其沒有受到任何破壞； 其次，必須保證“證據連續(xù)性”（有時也被稱為“chain of custody”），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態(tài)到在法庭上出現狀態(tài)之間的任何變化，當然最好是沒有任何變化；

42、 最后，整個檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監(jiān)督。,網絡防御技術,計算機取證技術的步驟,在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：第一， 在取證檢查中，保護目標計算機系統，避免發(fā)生任何的改變、傷害、數據破壞或病毒感染；第二， 搜索目標系統中的所有文件。包括現存的正常文件，已經被刪除但仍存在于磁盤上（即還沒有被新文件

43、覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件；第三， 全部（或盡可能）恢復發(fā)現的已刪除文件；第四， 最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容；第五， 如果可能并且如果法律允許，訪問被保護或加密文件的內容；第六，分析在磁盤的特殊區(qū)域中發(fā)現的所有相關數據。特殊區(qū)域至少包括下面兩類：①所 謂的未分配磁盤空間——雖然目前沒有被使用，但可能包含有先前的數據殘留；② 文件中的“slack”空間——

44、如果文件的長度不是簇長度的整數倍，那么分配給文件的最后一簇中，會有未被當前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據；第七，打印對目標計算機系統的全面分析結果，然后給出分析結論：系統的整體情況，發(fā)現的文件結構、數據、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發(fā)現的其它的相關信息；第八，給出必需的專家證明。,網絡防御技術,蜜罐技術,網絡防御技術,“蜜網項目組”（ The Hone

45、ynet Project ）的創(chuàng)始人Lance Spitzner給出了蜜網的權威定義： 蜜網是一種安全資源，其價值在于被掃描、攻擊和攻陷。蜜網的核心價值在于對攻擊活動進行監(jiān)視、檢測和分析。,蜜罐的功能,網絡防御技術,吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來，進而評估黑客攻擊的目的、使用的工具、運用的手段、造成的后果 可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊

46、 也可以進行攻擊檢測和報警,蜜罐的核心需求,網絡防御技術,蜜網有著三大核心需求：即數據控制、數據捕獲和數據分析。1.通過數據控制能夠確保黑客不能利用蜜網危害第三方網絡的安全，以減輕蜜網架設的風險；2.數據捕獲技術能夠檢測并審計黑客攻擊的所有行為數據；3.而數據分析技術則幫助安全研究人員從捕獲的數據中分析出黑客的具體活動、使用工具及其意圖。,計算機病毒,電腦病毒與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用電腦軟

47、、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學上的“病毒”概念引申而來。 從廣義上定義，凡能夠引起電腦故障，破壞電腦數據的程序統稱為電腦病毒。依據此定義，諸如邏輯炸彈，蠕蟲等均可稱為電腦病毒。在國內，專家和研究者對電腦病毒也做過不盡相同的定義，但一直沒有公認的明確定義。,概念,計算機病毒,計算機病毒的發(fā)展歷史,1949年：馮·諾依曼在《

48、復雜自動機組織論》提出概念1960年：生命游戲（約翰·康維 ） 磁芯大戰(zhàn)（道格拉斯.麥耀萊、維特.維索斯基 、羅伯.莫里斯 ）1973年：真正的惡意代碼在實驗室產生1981年-1982年:在APPLE-II的計算機游戲中發(fā)現Elk cloner1986年—第一個PC病毒：Brain virus1988年—Morris Internet worm—6000多臺1990年—第一個多態(tài)病毒1991年—v

49、irus construction set-病毒生產機1994年—Good Times(joys)1995年—首次發(fā)現macro virus1996年—netcat的UNIX版發(fā)布（nc）2002年—setiri后門2002年—SQL slammer(sqlserver)2003年—hydan的steganography工具2003年—MSBlaster/ Nachi2004年—MyDoom/ Sasser2006年—

50、熊貓燒香2010年—Stuxnet(工業(yè)蠕蟲),計算機病毒的分類,計算機病毒,計算機病毒的傳播方式,計算機病毒,計算機病毒的危害,計算機病毒,訪問控制,訪問控制：針對越權使用資源的防御措施目標：防止對任何資源（如計算資源、通信資源或信息資源）進行未授權的訪問，從而使資源在授權范圍內使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。,訪問控制的概念,訪問控制的作用,訪問控制,未授權訪問：包括未經授權的使用、泄露、修改、銷

51、毀信息以及頒發(fā)指令等。非法用戶對系統資源的使用合法用戶對系統資源的非法使用作用：機密性、完整性和可用性,訪問控制模型,訪問控制,訪問控制模型分類,訪問控制模型的分類,互聯網輿情分析的作用,從互聯網這個巨大的數據來源中獲取信息萃取為針對特定社會公共事務的情況概覽為公共事務管理者提供決策參考,互聯網輿情分析,互聯網輿情分析與信息處理技術顯然存在密不可分的關系與搜索相關的各種技術。信息采集：網頁爬蟲、Twitter /