信息安全基础与ISEC项目.ppt

* 上图是一个网站的登陆界面，需要用户输入自己的用户名和密码，网站程序通过会Sql语句确定用户输入的名字和密码是否正确。 * 上图中我们输入任意的用户名，比如admin，我们输入密码a’or’1’=‘1 ，然后点“登陆”按钮，我们会发现我们便以admin用户登陆成功。 请大家思考原因，具体技术原理和分析我们在下章描述。 * PHP简介 PHP 全称 “PHP Hypertext Preprocessor” ，和ASP程序一样，属于一种程序语言。 PHP是一个基于服务端来创建动态网站的脚本语言，您可以用PHP和HTML生成网站主页。当一个访问者打开主页时，服务端便执行PHP的命令并将执行结果发送至访问者的浏览器中，这类似于ASP和CoildFusion，然而PHP和他们不同之处在于PHP开放源码和跨越平台，PHP可以运行在WINDOWS?NT和多种版本的UNIX上。它不需要任何预先处理而快速反馈结果，它也不需要mod_perl的调整来使您的服务器的内存映象减小。PHP消耗的资源较少，当PHP作为Apache?Web服务器一部分时，运行代码不需要调用外部二进制程序，服务器不需要承担任何额外的负担。 * Email炸弹 所谓的电子邮件炸弹，危害与炸弹是一样的，只不过是电子的，邮件炸弹具体说，指的是邮件发送者，利用特殊的电子邮件软件，在很短的时间内连续不断地将邮件邮寄给同一个收信人，在这些数以千万计的大容量信件面前收件箱肯定不堪重负。 口令攻击Crack是使用一种软件对口令进行破解尝试，通常情况下该软件依次列举可能的口令进行试验，知道找出口令为止。 IP地址欺骗指的是向受害主机发送一个将源IP地址设置为其它计算机或不存在的计算机的IP地址的数据包，这样使得该数据包看起来像是来自别的其它主机地址，而不是实际的源地址。 利用程序编写时处理缓冲区不当发生的软件执行某些预先设定好的代码，从而使系统执行不期望的程序获得对系统的控制权。 特洛伊木马是一种看起来具有某种有用功能，但又包含一个隐藏的具有安全风险功能的程序。最简单的例子是伪装成计算机或终端的登录程序的特洛伊木马。假设最后一个使用计算机的人没有真正退出计算机登录，而留下了一个看起来像是登录对话框的运行程序。下一个用户在这个对话框中输入它的用户名和口令，这个程序中秘密运行的那一部分将这些内容记录下来（或者发送到一个事先定义好的电子邮箱），然后在将这些信息传递给合法的登录程序。这样，这个用户也会通过验证成为系统的合法用户，他实际上并不知道他的用户名和密码已经被窃取了。 社交欺骗是一种低技术含量的破坏网络安全的方法，它是通过欺骗网络内部的用户来获取必要的信息而入侵网络的。例如下面描述的案例：李四是一个公司的雇员，某天早晨当他启动计算机时，突然发现口令错误，重复尝试了几次后仍然失败。这时他和IT部门接洽以寻求帮助，接到电话的技术支持人员对他的来电非常吃惊。因为他回忆说头天晚上他和另一个部门的张三谈过话。张三说他和李四正在工作，但他们不能登录以进行想要做的演示，他询问技术支持人员是否可以重新设置帐号口令？技术支持人员非常合作地满足了他的要求——张三使用了新口令。而李四只是在几个星期前和张三说过几句话，他永远也想不明白张三为什么需要用他的帐户来登录网络。当然，技术支持人员在查清情况后立刻修改了李四的口令。 * 恶意用户为什么总是能成功入侵系统？前提条件就是系统的安全问题有漏洞，没有百分百的安全。任何系统都会有这样那样的弱点，及时使用了最新的技术，但由于系统的用户的错误操作也会使系统产生漏洞。 恶意用户再开始攻击之前首先么收集大量的信息，以确定可以攻击的目标。这些信息包括了目标主机的硬件、软件、操作系统、应用程序等等。一般这些信息的收集通过扫描工具完成。 在确定了攻击目标后，恶意用户会根据所获得的信息考虑攻击方法。比如是利用系统现有的漏洞还是猜解口令的方式入侵系统，具体的方式根据目标主机环境的不同而不同。 成功入侵系统后，恶意用户就可以进行各种各样的活动了，既可以删除文件、读取敏感信息也可以利用它入侵其它的机器。 一般入侵者在从他所入侵的主机上撤出时都会安装上后门程序，以方便下次进入。之后入侵者要在入侵主机上清理他所留下的痕迹，以避免被管理员发现。 * * 物理安全（physical security）：为防范蓄意的和意外的威胁，而对资源提供物理保护措施。 数据机密（data confidentiality）：使信息不被泄露给非授权的实体（个人或进程），并不为其所用。 数据完整（data integrity）：确保数据没有遭受以非授权方式所作的篡改或破坏。 数据可控（data control）：得到授权的实体可以控制其授权范围内的信息流向及行为方式。 数据可用（data ava