信息安全概论
2012-1
中国电力出版社
李红娇
《信息安全概论》为普通高等教育“十二五”规划教材。《信息安全概论》共分十二章,从信息安全技术体系出发介绍信息安全的基础理论和基本技术,主要内容包括信息安全基本概念、密码基础、认证与密钥管理技术、访问控制技术、操作系统安全、数据库安全、计算机网络安全、计算机病毒原理与防范、安全审计、信息安全管理和信息安全风险评估等信息安全学科的基础知识及其最新进展,最后介绍了电力信息网络安全规划与设计,以及面向智能电网的信息安全技术,并给出了电力信息安全的典型案例。《信息安全概论》涵盖了信息安全学科较全面的基础知识,有一定的深度,还具有一定的电力行业特色。
《信息安全概论》可作为普通高等院校本科生和研究生信息安全课程的教材,也可供电力行业相关工程技术人员参考。
前言
第一章 绪论
第二章 密码基础
第三章 认证与密钥管理技术
第四章 访问控制技术
第五章 操作系统安全
第六章 数据库安全
第七章 计算机网络安全
第八章 计算机病毒原理与防范
第九章 安全审计
第十章 信息安全管理
第十一章 信息安全风险评估
第十二章 电力信息网络安全规划与设计
附录A 一种电力系统网络安全典型解决方案
参考文献
版权页: 插图: 7.6 典型攻击与防范技术简介 目前常用的网络攻击手段有社会工程学攻击、物理攻击、暴力攻击、利用Unicode漏洞攻击和利用缓冲区溢出漏洞进行攻击等技术。 7.6.1 社会工程学攻击 社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多地了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 例如,一组高中学生曾经想要进入一个当地公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速地进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 目前社会工程学攻击主要包括打电话请求密码和伪造E—mail两种方式。 1.打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。 2.伪造E—mail 使用Telnet,一个黑客可以截取任何一个身份发送E—mail的全部信息,这样的E—mail消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松地获得大量的信息,黑客就能实施他们的恶意阴谋。 7.6.2物理攻击与防范 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击往往来自能够接触到物理设备的用户。 1.获取管理员密码 系统管理员登录系统以后,离开计算机时没有锁定计算机,或者直接以自己的账号登录,然后让别人使用,这是非常危险的,因为这样可以轻易获取管理员密码。例如,获取管理员密码。用户登录以后,所有的用户信息都存储在系统进程winlogon.exe中,可以利用程序将当前登录用户的密码解码出来。例如,可使用FindPass等工具对该进程进行解码,然后将当前用户的密码显示出来。所以,只要可以侵入某个系统,获取管理员或者超级用户的密码就是可能的。 2.权限提升 有时候,管理员为了安全,给其他用户建立一个普通用户账号,认为这样就安全了。其实不然,用普通用户账号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。 例如,普通用户建立管理员账号。建立一个账号Hacker,该用户为普通用户。用Hacker账户登录系统,在系统中执行程序GetAdmin.exe,程序自动读取所有用户列表,新建一个管理员组的用户名“IAMHacker”。注销当前用户,使用“IAMHacker”登录,密码为空,登录以后可看到所在用户组就是Administrators组。这样一个普通用户就成功新建了一个管理员账号。所以只要物理上接触了某计算机系统,就可以马上获得该系统超级用户的权限。
《普通高等教育"十二五"规划教材:信息安全概论》可作为普通高等院校本科生和研究生信息安全课程的教材,也可供电力行业相关工程技术人员参考。
