中职 信息技术（基础模块）（下册）任务2防范信息系统恶意攻击教学课件.pptx

中职 信息技术（基础模块）（下册）任务2 防范信息系统恶意攻击教学课件 工信版第7章 信息安全基础目录 目录Contents7.2.1 了解黑客行为的危害性、违法性7.2.2 防范恶意攻击7.2.3 使用“360安全卫士”清除木马7.2.4 了解网络安全管理的基本方法7.2.5 了解信息系统安全等级保护第7章 信息安全基础 防范信息系统恶意攻击近年来，攻击信息系统事件接连不断，黑客入侵的触角几乎无处不在，其社会危害性十分严重。由于黑客网站不断增加，使学习黑客技术、获得黑客攻击工具变得轻而易举。据报道，黑客每年给全世界带来的经济损失估计高达100亿美元，而攻击一个国家的政治、军事系统所造成的损失更是难以用金钱来衡量。第7章 信息安全基础任务情景小华经常参与学校计算机中心信息系统的管理和维护工作，协助老师进行软件升级、安装，自己的计算机操作水平也在不断提升。一天，有老师反映，自己存储在学校服务器中的一些教学资料丢失了许多，不知道是什么原因造成的，丢失的资料能否找回来？老师让小华协助查找原因。小华认真检查了计算机信息系统，发现计算机中莫名其妙地增加了一些文件。他请教老师，老师复查小华发现的那些文件后告诉小华，学校的计算机系统受到了黑客的恶意攻击。对“黑客”一词小华并不陌生，对于黑客他甚至还有些“崇拜”。老师发现小华对黑客的认识存在问题，认真引导说：你只看到了黑客令人羡慕的高技术手段，没有深入想想黑客行为可能造成的后果。对学校老师来说，教学资料丢失会影响他的教学，如果是国家重要信息资料丢失呢？第7章 信息安全基础任务分析小华认真反思了老师的那些话，觉得自己对黑客的认识仅仅停留在肤浅的表面，既不知道黑客到底采用什么手段侵入系统，也不知道黑客行为会造成什么危害，对黑客是一种盲目崇拜。因此，他决定从了解最基本的黑客行为开始，逐步深入，全面了解黑客恶意攻击手段，学习防范攻击的基本技能，学会安全管理方法，全力保障网络设施的安全运行。第7章 信息安全基础7.2.1 了解黑客行为的危害性、违法性“黑客”一词来自英文Hacker的音译，在不同的人群和环境中，也出现了不同的解释。媒体经常提及的黑客是指专门入侵他人系统进行不法行为的人。第7章 信息安全基础1了解黑客行为的危害性黑客行为的表现形式多样，结果多呈现破坏性，有商业机密、国家和军事情报窃取，有巨额资金盗窃，也有严重破坏经济秩序、干扰经济建设、危及国家安全的入侵破坏行为。黑客危害的主要表现形式有五种。（1）非法入侵机密信息系统或金融、商业系统，盗取机密信息或商业信息，由此可能危害国家安全或造成重大经济损失。（2）充当政治工具。攻击政府网络，在网上进行反政府、反社会活动，如在微博、朋友圈散布不当言论等。（3）利用黑客手段在网络中肆意传播有害信息。如宣扬封建迷信、传播邪教言论、传播色情信息、教唆犯罪及传播其他一些危害国家安全、破坏社会安定的有害信息。（4）获取别人隐私，破坏他人电子邮箱，攻击信息系统等。（5）充当战争工具。在战争中利用黑客手段侵入对方信息系统，获取军事信息，发布假信息，扩散计算机病毒，扰乱对方系统等。第7章 信息安全基础2认识黑客行为的违法性尽管许多黑客声称，侵入网络系统并不是要进行破坏活动，只是想探测网络系统中的漏洞，帮助完善系统。也有人称黑客行为多是恶作剧，甚至还有人把黑客行为分为“善意”探测和恶意入侵两种。然而现实情况绝非如此，许多黑客及黑客行为，已经不再是个人编程能力的“炫耀”，或小小的“恶作剧”，许多黑客行为毫无善意可言，而是一种极不道德的、违法犯罪的行为。在网络这个虚拟世界中，非法入侵就如同现实世界中私闯民宅，对此行为法律会予以严厉惩治。第7章 信息安全基础中国的计算机信息系统安全保护法律、法规对黑客行为有严格限制。（1）根据公安部颁布的计算机信息网络国际联网安全保护管理办法第六条的规定，任何单位和个人不得从事下列危害计算机安全的活动，其中第六条第一款所列就是“未经允许，进入计算机信息网络或者使用计算机信息网络资源的；”显然，触犯此条规定就是违法。（2）根据中华人民共和国刑法第二百八十五、第二百八十六条的规定，对违反国家规定，侵入国家事务、国防建设、尖端科学技术领域计算机信息系统的，要受到刑罚；即使侵入的是一般信息系统，如果造成严重后果，同样也要受到刑罚，显然，黑客行为达到一定程度就是犯罪。（3）中华人民共和国网络安全法第七十五条规定，境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任。第7章 信息安全基础3系统攻击中的名词术语（1）安全漏洞。安全漏洞是指信息系统中存在的不足或缺陷，有硬件、软件、协议实现疏漏导致的缺陷，也有安全管理策略不当造成的问题。（2）网络攻击。网络攻击是指利用信息系统自身存在的安全漏洞，非法进入网络系统或破坏系统，扰乱信息系统的正常运行，致使计算机网络系统崩溃、失效或错误工作。（3）渗透测试。渗透测试是测试人员通过模拟恶意攻击者的技术和方法，来评估计算机网络系统安全的一种评估方法。整个过程包括对系统任何弱点、技术缺陷或漏洞的主动分析及利用。第7章 信息安全基础说一说 为什么说黑客的行为是违法的？第7章 信息安全基础7.2.2 防范恶意攻击防范恶意攻击的前提是了解攻击，了解网络攻击方法、攻击原理、攻击过程才能有针对性地采取应对措施，更有效防止发生各种攻击事件。根据入侵的对象不同，入侵方式会有差异，相应的应对方法当然存在差别，但就入侵行为来看依然存在许多共性，防范网络恶意攻击也有章可循。1发现入侵事件发现入侵是响应入侵的前提，发现得越早，响应得越及时，损失就越小。非法入侵的特性决定了入侵的隐秘性，所以发现入侵较为困难。一般情况下，可以考虑从以下几个方面入手，争取尽早发现入侵的迹象。（1）安装入侵检测设备。（2）对Web站点的出入情况进行监视控制。（3）经常查看系统进程和日志。（4）使用专用工具检查文件修改情况。第7章 信息安全基础2响应入侵事件应急响应是针对不同的入侵事件做出的不同应对措施，以减少损失为目的，不同入侵事件的响应策略大同小异，一般包括以下内容。（1）快速估计入侵、破坏程度。尽快估计入侵造成的破坏程度是减少损失的前提，也是采取正确应急方法的基础，对于不同的入侵、破坏程度，可以使用不同的阻止方式遏制势态发展。为了便于快速得出正确结论，应事先根据网络应用情况和具体管理策略，制作出问答形式的入侵情况判断表，其中包括必须采取的应急策略。（2）决定是否需要关闭电源、切断系统连接。如果明显存在入侵证据被删除或丢失的危险，可以考虑切断电源供给，但是，严禁随意干预电力供应，避免出现因电源改变系统运行环境的现象。迅速判断系统保持连接或断开系统连接可能造成的后果，如果断开系统连接不会对正常工作和入侵证据产生影响，应立即断开系统连接，以保持系统的独立性。（3）实施应急补救措施。在系统投入运行之前，应针对各种可能出现的危害，制定出快速、可行的应急预案。危害事件发生后，应尽快实施应急补救措施，以减少危害带来的损失。第7章 信息安全基础3追踪入侵行为追踪入侵行为不但是将危害行为制造者绳之以法的前奏，也是深入分析入侵行为造成危害的基础，由于黑客会想尽办法隐匿行踪，追踪入侵行为较为困难。（1）获取可疑IP地址。基于TCP/IP协议的网络设备在网络连接时，必须有独一无二的IP地址，这样才能保证数据的准确传输。IP地址与计算机的物理地址可以无关，但它能反映连接到网络的计算机的某些信息，所以获取可疑IP地址是追踪入侵行为的重要一步。若能截获黑客侵入系统的通信信息，可从中解析IP地址，追踪使用该IP地址的用户。现在有许多IP地址查询工具可以从信息发送方发送的信息中，提取发送方的IP地址和端口号。有效使用防火墙的UDP数据包监测功能，也可以显示接收信息的IP地址和端口号。IP地址和联网设备有唯一的对应关系，且IP地址分配遵循一定的规律和规则，所以根据IP地址可以定位联网设备。（2）验证IP地址的真实性。使用各种方法获取的IP地址的真实性必须经过认真验证，真实的IP地址才具有追查价值。造成IP地址不准确的原因有很多，如从安全角度考虑隐藏IP地址造成的虚假、网络应用环境造成的IP虚假、人为伪造造成的IP虚假，不同情况应区别对待。第7章 信息安全基础说一说 制定防范攻击应急预案的重要性。第7章 信息安全基础7.2.3 使用“360安全卫士”清除木马以病毒和木马为代表的恶意代码，是影响计算机和网络应用的顽疾，使用专用工具能够有效遏止恶意代码的破坏。常用病毒查杀工具有360安全卫士、金山、瑞星、卡巴斯基等，以下是使用360安全卫士清除计算机木马的具体操作。（1）双击“360安全卫士”图标，启动360安全卫士，启动后的操作界面如图所示。（2）单击“木马查杀”按钮，进入木马查杀操作界面，如图所示。（3）单击“全盘查杀”按钮，即可开始对全部文件进行木马扫描，扫描进度显示如图所示。第7章 信息安全基础360安全卫士提供4种木马查杀方式。快速查杀：此方式仅扫描系统内存、启动对象等关键位置，由于扫描范围小，所以速度较快。按位置查杀：由用户自己指定需要扫描的范围，此方式特别适用于扫描U盘等移动存储设备。全盘查杀：此方式扫描系统内存、启动对象及全部磁盘，由于扫描范围广，速度较慢。由于木马可能会存在于系统的任何位置，用户在第一次使用360安全卫士或者已经确定系统中了木马的情况下，需要采取此种方式。强力查杀：正常模式下难以查杀的顽固病毒及木马，可使用强力查杀模式。（4）扫描完成，显示使用360查杀木马的结果，如图所示。如发现在计算机中存在木马，单击“一键处理”按钮，删除硬盘中的木马。第7章 信息安全基础说一说 为什么提倡使用多种软件交叉杀毒？第7章 信息安全基础7.2.4 了解网络安全管理的基本方法对计算机网络实施安全管理，必须有一套切实可行的网络安全管理办法。实现计算机网络安全管理的重要前提是建立安全管理制度、进行明确的责任分工，并且认真、严格执行及不断完善安全管理制度。只有这样，才可能达到网络安全管理的最终目的。第7章 信息安全基础1了解基本的网络安全管理制度建立网络安全机制，必须深刻理解网络涉及的全部内容，并根据网络环境和工作内容提出解决方案，因此，可行的安全管理策略是使用专门的安全防护技术、建立健全安全管理制度并严格执行。建立网络安全管理制度是网络安全管理中的重要组成部分，使用网络的机构、企业和单位都应建立相应的网络安全管理制度。制定网络安全管理制度的基本依据是互联网信息服务管理办法互联网站从事登载新闻业务管理暂行规定和中国互联网络域名注册暂行管理办法等法律法规。一般认为对计算机网络实施安全管理应制定以下安全管理制度。第7章 信息安全基础 计算机网络系统信息发布、审核、登记制度；计算机网络系统信息监视、保存、清除、备份制度；计算机网络病毒和漏洞检测管理制度；计算机网络违法案件报告和协助查处制度；计算机网络账号使用登记及操作权限管理制度；计算机网络系统升级、维护制度；计算机网络系统工作人员人事管理制度；计算机网络应急制度。第7章 信息安全基础2了解网络安全管理工作原则实现计算机网络安全管理所依据的基本原则是多人负责原则、任期有限原则、职责分离原则。多人负责原则，指从事每项与计算机网络有关的活动，都必须有两人或多人在场。任期有限原则，指担任与计算机网络安全工作有关的职务，应有严格的时限。职责分离原则，指在计算机网络使用、管理机构内，把各项可能危及计算机网络安全的工作拆分，并划归到不同工作人员的职责范围中。第7章 信息安全基础3了解网络安全审计网络安全审计是指对网络安全活动进行识别、记录、存储和分析，以查证是否发生安全事件的一种安全技术。它能够为管理人员提供追踪安全事件和入侵行为的有效证据，以提高网络系统的安全管理能力。网络安全审计分为审计数据收集和审计分析两部分。审计数据收集有不同的方式，包括从网络上截取数据，获取与系统、网络等有关的日志统计数据，以及利用应用系统和安全系统的审计接口获取数据等，目的是为审计分析提供基础数据。审计分析首先对收集的数据进行过滤，然后按照审计策略和规则进行数据分析处理，从而判断系统是否存在安全风险。第7章 信息安全基础说一说 实施网络安全管理的重要性。第7章 信息安全基础7.2.5 了解信息系统安全等级保护为了维护国家网络安全，有效控制网络安全风险，我国实行计算机信息系统安全等级保护制度。在计算机信息系统安全保护等级划分准则中，将计算机系统安全保护能力分成5个等级，随着安全保护等级的提高，计算机信息系统安全保护能力逐渐增强。1了解计算机信息系统安全保护等级划分计算机信息系统安全保护等级划分准则规定了安全保护的5个等级，可解决不同系统的安全保护问题，具体内容如表所示。第7章 信息安全基础等 级 名 称 要 求第一级 用户自主保护级 隔离用户与数据，使用户具备自主安全保护的能力第二级 系统审计保护级实施粒度更细的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责第三级 安全标记保护级具有系统审计保护的所有功能，还提供有关策略模型、数据标记及主体对客体强制访问控制的非形式化描述第四级 结构化保护级要求将第三级中的强制访问控制扩展到所有主体和客体，并考虑隐蔽通道第五级 访问验证保护级访问监控器仲裁主体对客体的全部访问，访问控制器具有抗篡改性，且能分析测试第7章 信息安全基础2了解信息系统安全等级保护的管理要求信息系统安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息等公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。从安全管理的角度，信息系统的安全等级保护也按照国家标准对应分为5级，具体内容如表7-3所示。第7章 信息安全基础等级 名 称 适 用 对 象 危 害 后 果 保 护 单 位第一级 自主保护级 适用于一般的信息系统该类系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益该类系统由运营、使用单位或者个人依据国家管理规范和技术标准进行保护第二级 指导保护级 适用于一般的信息系统该类系统受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全该类系统由运营、使用单位依据国家管理规范和技术标准进行保护第三级 监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统该类系统受到破坏后，会对国家安全、社会秩序和公共利益造成损害该类系统由运营、使用单位依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息系统安全等级保护工作进行监督、检查第四级 强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统该类系统受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害该类系统由运营、使用单位依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息系统安全等级保护工作进行强制监督、检查第五级 专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统该类系统受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重的损害该类系统由运营、使用单位依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息系统安全等级保护工作进行专门监督、检查第7章 信息安全基础公安机关负责信息系统安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律规范的规定进行管理。国务院信息化工作领导小组办公室及地方信息化领导小组办事机构负责等级保护工作部门间的协调。第7章 信息安全基础3了解网络安全等级保护制度和信息安全等级保护制度的关系信息安全等级保护制度是国家网络安全保障的重要制度，其核心是分清系统边界，明确系统责任，确保重点目标的安全。信息安全等级保护制度在国家网络安全保障中发挥了重要作用，但是随着云计算、大数据、物联网、移动互联网等技术的发展，系统边界日益模糊，因此，中华人民共和国网络安全法提出“实行网络安全等级保护制度”，明确了网络安全等级保护制度的基本要求，这是根据网络安全形势、特点所做的转变，标志着信息安全保护制度从1.0时代进入2.0时代的新阶段。等级保护1.0主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求，而等级保护2.0标准在对等级保护1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。第7章 信息安全基础4了解强制性国家网络安全标准强制性标准是在一定范围内通过法律、行政法规等强制性手段加以实施的标准，具有法律属性，强制性标准可分为全文强制和条文强制两种形式。全国信息安全标准化技术委员会按照中华人民共和国网络安全法的要求和网络安全工作需要，从维护国家安全、用户利益出发，对网络产品、服务制定强制性国家网络安全标准。第7章 信息安全基础说一说 为什么要实行网络安全等级保护制度？第7章 信息安全基础