【正文】 第 1章 計(jì)算機(jī)信息系統(tǒng)安全概述 計(jì)算機(jī)信息系統(tǒng)的定義 計(jì)算機(jī)信息系統(tǒng)安全簡(jiǎn)介 計(jì)算機(jī)信息系統(tǒng)安全的定義 信息系統(tǒng)自身的安全脆弱性 對(duì)信息系統(tǒng)安全的威脅 Windows信息系統(tǒng)安全機(jī)制簡(jiǎn)介 Windows 2023安全機(jī)制簡(jiǎn)介 SQL Server 2023安全機(jī)制簡(jiǎn)介 Windows信息系統(tǒng)面臨的安全威脅 安全威脅之系統(tǒng)破解 安全威脅之計(jì)算機(jī)病毒 安全威脅之惡意攻擊 計(jì)算機(jī)信息系統(tǒng)的定義 信息系統(tǒng) 是指用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和。 信息系統(tǒng) （ Information System） 是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 計(jì)算機(jī)信息系統(tǒng)安全簡(jiǎn)介 計(jì)算機(jī)信息系統(tǒng)安全的定義 信息系統(tǒng)安全 定義為：確保以電磁信號(hào)為主要形式的、在計(jì)算機(jī)網(wǎng)絡(luò)化（開(kāi)放互聯(lián)）系統(tǒng)中進(jìn)行自動(dòng)通信、處理和利用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過(guò)程中的機(jī)密性、完整性、可用性、可審查性和抗抵賴(lài)性，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。 信息系統(tǒng)自身的安全脆弱性 1．硬件組件 2．軟件組件 3．網(wǎng)絡(luò)和通信協(xié)議 信息系統(tǒng)硬件組件的安全隱患多來(lái)源于設(shè)計(jì)，主要表現(xiàn)為物理安全方面的問(wèn)題。 軟件組件的安全隱患來(lái)源于設(shè)計(jì)和軟件工程中的問(wèn)題。 （ 1）缺乏對(duì)用戶(hù)身份的鑒別 （ 2）缺乏對(duì)路由協(xié)議的鑒別認(rèn)證 （ 3） TCP/UDP的缺陷 對(duì)信息系統(tǒng)安全的威脅 1．基本威脅 （ 1）信息泄露 （ 2）完整性破壞 （ 3）服務(wù)拒絕 （ 4）未授權(quán)訪問(wèn) 2．威脅信息系統(tǒng)的主要方法 （ 1）冒充 （ 2）旁路控制 （ 3）破壞信息的完整性 攻擊者可以從以下三方面破壞信息的完整性： 篡改 ： 改變信息流的次序、時(shí)序、流向、內(nèi)容和形式。 刪除 ： 刪除消息全部或其中一部分。 插入 ： 在消息中插入一些無(wú)意義的或有害的消息。 （ 4）破壞系統(tǒng)的可用性 （ 5）重放 （ 6）截取和輻射偵測(cè) （ 7）陷門(mén) （ 8）特洛伊木馬 （ 9）抵賴(lài) 3．威脅和攻擊的來(lái)源 （ 1）內(nèi)部操作不當(dāng) （ 2）內(nèi)部管理不嚴(yán)造成系統(tǒng)安全管理失控 （ 3）來(lái)自外部的威脅和犯罪 ① 黑客 ② 信息間諜 ③ 計(jì)算機(jī)犯罪 Windows信息系統(tǒng)安全機(jī)制簡(jiǎn)介 Windows 2023安全機(jī)制簡(jiǎn)介 Windows NT Windows NT應(yīng)用于企業(yè)級(jí)服務(wù)時(shí)，如果不使用那些繁冗的附加軟件產(chǎn)品，便無(wú)法提供分布式 SSO（單點(diǎn)登錄）服務(wù)。委派功能（將針對(duì)限定賬號(hào)集合的有限管理優(yōu)選權(quán)指派給另一用戶(hù)的能力）則更是少得可憐。同樣無(wú)法借助平面化 Windows NT域就組織層次和管理結(jié)構(gòu)進(jìn)行適當(dāng)規(guī)劃。 Windows NT 賬號(hào)有關(guān)的應(yīng)用程序?qū)Ｓ眯畔⑻峁┐鎯?chǔ)位置。而Windows NT所具備的 PKI功能（最多只能算雛形狀態(tài)）則僅被限定于 Web環(huán)境，并只能面向基于 Microsoft Exchange Server的通信任務(wù)提供部分支持，但 PKI功能本身卻沒(méi)有實(shí)現(xiàn)全面集成化。 首先 ， Microsoft在圍繞 Win2K展開(kāi)設(shè)計(jì)工作的過(guò)程中，秉承了多項(xiàng)旨在彌補(bǔ) Windows NT 自身缺陷的技術(shù)意圖，該公司將這種操作系統(tǒng)定位于終極電子商務(wù)支持平臺(tái)。 其次 ， Win2K在很大程度上依賴(lài)于行業(yè)標(biāo)準(zhǔn)和相關(guān)協(xié)議。 再次 ， Microsoft還需要提供一個(gè)有助于降低應(yīng)用程序開(kāi)發(fā)成本的軟件系統(tǒng)平臺(tái)。 最后 ，為應(yīng)對(duì)電子商務(wù)所提出的挑戰(zhàn)， Win2K已具備了在整個(gè)操作系統(tǒng)內(nèi)面向 PKI提供技術(shù)支持的能力。 1． AD組件 AD堪稱(chēng) Win2K操作系統(tǒng)的旗艦級(jí)組件，主要用來(lái)克服 Windows NT 能方面存在的伸縮性、擴(kuò)展性、開(kāi)放性和管理能力問(wèn)題。 AD為操作系統(tǒng)存儲(chǔ)賬號(hào)及控制策略信息。 AD依賴(lài)操作系統(tǒng)控制對(duì) AD對(duì)象的訪問(wèn)。 操作系統(tǒng)對(duì) AD中對(duì)象強(qiáng)制實(shí)施許可進(jìn)入。 操作系統(tǒng)的授信信息存放在 AD中。 2． CryptoAPI組件 CryptoAPI的設(shè)計(jì)目標(biāo)在于，面向基于使用可安裝加密服務(wù)提供程序之操作系統(tǒng)的全部應(yīng)用程序及其他相關(guān)組件提供針對(duì)低級(jí)加密服務(wù)的一站式“采購(gòu)”模式 A p p li c a ti o n s Ce rtif ica te S e rv e r S m a rt Ca rd S e rv ice EF S A u th e n ti c o d e S e c u re Ch a n n e l Ex c h a n g e KM CSP Cry p to S e rv ice Ce rtif ica te M a n a g e m e n t S e rv ice Cry p to A P I CryptoAPI為應(yīng)用程序提供一站式“采購(gòu)”服務(wù) 3．證書(shū)服務(wù)器 證書(shū)服務(wù)器，主要用來(lái)針對(duì)證書(shū)的申請(qǐng)、簽發(fā)、公布和管理任務(wù)提供 CA所應(yīng)具備的基本功能特性。 證書(shū)服務(wù)器可面向 Exchange Server提供許可證碼身份驗(yàn)證和安全 MIME（ S/MIME）集成特性 。 管理人員必須為針對(duì)證書(shū)服務(wù)器配置實(shí)施操控而以手工方式就文本文件進(jìn)行編輯。證書(shū)服務(wù)器缺乏對(duì)于 PKI企業(yè)級(jí)使用需求來(lái)說(shuō)是至關(guān)重要的管理特性。證書(shū)服務(wù)器具備在其他第三方目錄中實(shí)現(xiàn)證書(shū)發(fā)布的能力。 4．身份驗(yàn)證服務(wù) SSPI（ Security Support Provider Interface） 將通過(guò)另一種 API提供身份驗(yàn)證服務(wù)?？蛻?hù)端 /服務(wù)器應(yīng)用程序不僅需要對(duì)訪問(wèn)服務(wù)器的客戶(hù)端執(zhí)行身份驗(yàn)證，而且，有時(shí)甚至需要對(duì)訪問(wèn)客戶(hù)端的服務(wù)器實(shí)施驗(yàn)證。 SSPI在身份驗(yàn)證服務(wù)中所扮演的角色 5．加密服務(wù) Win2K所配備的 EFS則允許你僅僅通過(guò)選中一個(gè)復(fù)選框的簡(jiǎn)單操作即可在文件系統(tǒng)層對(duì)相關(guān)文件進(jìn)行加密。 EFS可借助面向用戶(hù)和應(yīng)用程序的完全透明度對(duì)加密和解密任務(wù)進(jìn)行處理。 Win2K主要憑借 IPSec面向用戶(hù)和應(yīng)用程序提供充分透明度，進(jìn)而跨越網(wǎng)絡(luò)系統(tǒng)對(duì)數(shù)據(jù)資料加以保護(hù)。 IPSec可面向 TCP/IP通信提供身份驗(yàn)證、機(jī)密性、數(shù)據(jù)完整性和篩選服務(wù)。 IP S e c ’s P lac e i n t h e W in 2 K A rc h it e c tu re P o li c ies Ha sh in g En c ry p ti o n Ke y g e n e ra ti o n IP S e c A c ti v e Dire c to ry Cry p to A P I IPSec在 Win2K體系結(jié)構(gòu)中所處位置 SQL Server 2023 安全機(jī)制簡(jiǎn)介 SQL Server是 Microsoft公司開(kāi)發(fā)的大型數(shù)據(jù)庫(kù)軟件，Microsoft為 SQL Server建立了一種既靈活又強(qiáng)大的安全管理機(jī)制， SQL Server的安全機(jī)制是與下層的 Win2K操作系統(tǒng)結(jié)合在一起的，它能夠?qū)τ脩?hù)訪問(wèn) SQL Server服務(wù)器系統(tǒng)和數(shù)據(jù)庫(kù)的安全進(jìn)行全面的管理。 1．驗(yàn)證方法選擇 驗(yàn)證 是指檢驗(yàn)用戶(hù)的身份標(biāo)識(shí)； 授權(quán) 是指允許用戶(hù)做些什么。 構(gòu)造安全策略的第一個(gè)步驟是確定 SQL Server用哪種方式驗(yàn)證用戶(hù)。 2． Web環(huán)境中的驗(yàn)證 IIS ，可以用四種方法驗(yàn)證用戶(hù) : 第一種方法 是為每一個(gè)網(wǎng)站和每一個(gè)虛擬目錄創(chuàng)建一個(gè)匿名用戶(hù)的 Win2K賬戶(hù) 。 第二種方法 是讓所有網(wǎng)站使用 Basic驗(yàn)證 。 在客戶(hù)端只使用 IE 、 IE 情況下，你可以使用 第三種驗(yàn)證方法 。你可以在 Web網(wǎng)站上和虛擬目錄上都啟用Win2K驗(yàn)證 。 第四種方法 是如果用戶(hù)都有個(gè)人數(shù)字證書(shū)，你可以把那些證書(shū)映射到本地域的 Win2K賬戶(hù)上。 3．設(shè)臵全局組 構(gòu)造安全策略的下一個(gè)步驟是確定用戶(hù)應(yīng)該屬于什么組。 控制數(shù)據(jù)訪問(wèn)權(quán)限最簡(jiǎn)單的方法是，對(duì)于每一組用戶(hù)，分別地為它創(chuàng)建一個(gè)滿足該組用戶(hù)權(quán)限要求的、域內(nèi)全局有效的組。除了面向特定應(yīng)用程序的組之外，我們還需要幾個(gè)基本組?；窘M的成員負(fù)責(zé)管理服務(wù)器。 4．允許數(shù)據(jù)庫(kù)訪問(wèn) 權(quán)限分配給角色而不是直接把它們分配給全局組。 創(chuàng)建了數(shù)據(jù)庫(kù)之后，我們可以用sp_grantdbaccess存儲(chǔ)過(guò)程授權(quán) DB_Name Users組訪問(wèn)它。 如果要拒絕數(shù)據(jù)庫(kù)訪問(wèn)，我們可以創(chuàng)建另外一個(gè)名為 DB_Name Denied Users的全局組，授權(quán)它訪問(wèn)數(shù)據(jù)庫(kù)，然后把它設(shè)置為db_denydatareader以及 db_denydatawriter角色的成員。 5．分配權(quán)限 實(shí)施安全策略的最后一個(gè)步驟是創(chuàng)建用戶(hù)定義的數(shù)據(jù)庫(kù)角色，然后分配權(quán)限。完成這個(gè)步驟最簡(jiǎn)單的方法是創(chuàng)建一些名字與全局組名字配套的角色。 創(chuàng)建好角色之后就可以分配權(quán)限。在這個(gè)過(guò)程中，我們只需用到標(biāo)準(zhǔn)的 GRANT、 REVOKE和 DENY命令。 接下來(lái)我們就可以加入所有 SQL Server驗(yàn)證的登錄。用戶(hù)定義的數(shù)據(jù)庫(kù)角色可以包含 SQL Server登錄以及 NT全局組、本地組、個(gè)人賬戶(hù) 。 由于內(nèi)建的角色一般適用于整個(gè)數(shù)據(jù)庫(kù)而不是單獨(dú)的對(duì)象，因此這里建議你只使用兩個(gè)內(nèi)建的數(shù)據(jù)庫(kù)角色，即db_securityadmin和 db_owner。 6．簡(jiǎn)化管理 SQL Server驗(yàn)證的登錄不僅能夠方便地實(shí)現(xiàn)，而且與 NT驗(yàn)證的登錄相比，它更容易編寫(xiě)到應(yīng)用程序里。但是，如果用戶(hù)的數(shù)量超過(guò) 25，或者服務(wù)器數(shù)量在一個(gè)以上，或者每個(gè)用戶(hù)都可以訪問(wèn)一個(gè)以上的數(shù)據(jù)庫(kù)，或者數(shù)據(jù)庫(kù)有多個(gè)管理員， SQL Server驗(yàn)證的登錄便不容易管理了。由于 SQL Server沒(méi)有顯示用戶(hù)有效權(quán)限的工具，要記住每個(gè)用戶(hù)具有哪些權(quán)限以及他們?yōu)楹我玫竭@些權(quán)限就更加困難。即使對(duì)于一個(gè)還要擔(dān)負(fù)其他責(zé)任的小型數(shù)據(jù)庫(kù)管理員，簡(jiǎn)化安全策略也有助其減輕問(wèn)題的復(fù)雜程度。因此，首選的方法應(yīng)該是使用NT驗(yàn)證的登錄，然后通過(guò)一些精心選擇的全局組和數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)訪問(wèn)。 Windows信息系統(tǒng)面臨的 安全威脅 安全威脅之系統(tǒng)破解 1． Windows系統(tǒng)登錄密碼破解簡(jiǎn)介 （ 1）刪除 SAM文件（僅適合于 Windows 2023） （ 2）修改賬戶(hù)密碼 （ 3）窮舉法破解賬戶(hù)密碼 2．文件級(jí)加密破解簡(jiǎn)介 （ 1） Office文件加密與破解 （ 2） FoxMail賬號(hào)加密與破解 3．軟件注冊(cè)碼破解簡(jiǎn)介 注冊(cè)碼加密保護(hù)的原理比較簡(jiǎn)單，即要求軟件安裝者必須輸入正版軟件才擁有的一組字碼（字符或數(shù)字的組合），經(jīng)軟件驗(yàn)證通過(guò)后方可完成安裝。注冊(cè)碼的驗(yàn)證方式根據(jù)不同的軟件各有不同，有的是直接明文放在軟件中，有的經(jīng)過(guò)加密或變形后再進(jìn)行比較，還有的需要通過(guò)網(wǎng)絡(luò)申請(qǐng)注冊(cè)碼，然后再進(jìn)行驗(yàn)證。不管通過(guò)哪種驗(yàn)證方式，注冊(cè)碼的破解均有一定的規(guī)律可循，即通過(guò)反匯編工具追蹤軟件的驗(yàn)證過(guò)程，在找到驗(yàn)證規(guī)律的基礎(chǔ)上實(shí)現(xiàn)破解。 安全威脅之計(jì)算機(jī)病毒 1．計(jì)算機(jī)病毒的基本特征 （ 1）傳染性 （ 2）隱蔽性 （ 3）破壞性 （ 4）可觸發(fā)性 2．計(jì)算機(jī)病毒的發(fā)展趨勢(shì) （ 1）網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳染的主要載體； （ 2）傳統(tǒng)病毒日益減少，網(wǎng)絡(luò)蠕蟲(chóng)成為最主要和破壞力最大的病毒類(lèi)型； （ 3）惡意網(wǎng)頁(yè)的泛濫； （ 4）病毒與木馬技術(shù)相互結(jié)合，出現(xiàn)帶有明顯木馬特征的病毒； （ 5）傳播方式多樣化； （ 6）跨操作系統(tǒng)的病毒； （ 7）手機(jī)病毒、信息家電病毒的出現(xiàn)。 3．計(jì)算機(jī)反病毒技術(shù)的發(fā)展趨勢(shì) （ 1）適當(dāng)增加殺毒軟件的功能 （ 2）殺毒軟件的技術(shù)革新 （ 3）操作系統(tǒng)的穩(wěn)固性 （ 4）企業(yè)病毒解決方案和個(gè)人病毒防范 安全威脅之惡意攻擊 1．源 IP地址欺騙攻擊 假設(shè)同一網(wǎng)段內(nèi)有兩臺(tái)主機(jī) A和 B，另一網(wǎng)段內(nèi)有主機(jī) X。B 授予 A某些特權(quán)。 X 為獲得與 A相同的特權(quán)，所做欺騙攻擊如下：首先， X冒充 A，向主機(jī) B發(fā)送一個(gè)帶有隨機(jī)序列號(hào)的 SYN包。主機(jī) B響應(yīng)，回送一個(gè)應(yīng)答包給 A，該應(yīng)答號(hào)等于原序列號(hào)加 1。然而，此時(shí)主機(jī) A已被主機(jī) X利用拒絕服務(wù)攻擊“淹沒(méi)”了，導(dǎo)致主機(jī) A服務(wù)失效。結(jié)果，主機(jī) A將 B發(fā)來(lái)的包丟棄。為了完成三次握手， X還需要向 B回送一個(gè)應(yīng)答包，其應(yīng)答號(hào)等于 B向 A發(fā)送數(shù)據(jù)包的序列號(hào)加