第一章 ?緒 ?論

1、典型的網絡安全威脅

威 ?脅	描 ??????述
竊聽	網絡中傳輸的敏感信息被竊聽。
重傳	攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
偽造	攻擊者將偽造的信息發送給接收者。
篡改	攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發送給接收者。
非授權訪問	通過假冒、身份攻擊、系統漏洞等手段，獲取系統訪問權，從而使非法用戶進入網絡系統讀取、刪除、修改、插入信息等。
拒絕服務攻擊	攻擊者使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務。
行為否認	通訊實體否認已經發生的行為。
旁路控制	攻擊者發掘系統的缺陷或安全脆弱性。
電磁/射頻截獲	攻擊者從電子或機電設備所發出的無線射頻或其它電磁輻射中提取信息。
人員疏忽	授權的人為了利益或由于粗心將信息泄漏給未授權人。

?

2、計算機網絡不安全因素

偶發性因素：如電源故障、設備的機能失常、軟件開發過程中留下的某種漏洞或邏輯錯誤等。

自然災害：各種自然災害（如地震、風暴、泥石流、建筑物破壞等）。

人為因素：不法之徒利用計算機網絡或潛入計算機房，篡改系統數據、竊用系統資源、非法獲取機密數據和信息、破壞硬件設備、編制計算機病毒等。此外，管理不好、規章制度不健全、有章不循、安全管理水平低、人員素質差、操作失誤、瀆職行為等都會對計算機網絡造成威脅。

?

3、對計算機網絡的主要攻擊

3.1被動攻擊

攻擊舉例	描????述
監視明文	監視網絡，獲取未加密的信息。
解密通信數據	通過密碼分析，破解網絡中傳輸的加密數據。
口令嗅探	使用協議分析工具，捕獲用于各類系統訪問的口令。
通信量分析	不對加密數據進行解密，而是通過對外部通信模式的觀察，獲取關鍵信息。

?

3.2主動攻擊

攻擊舉例	描????述
修改傳輸中的數據	截獲并修改網絡中傳輸的數據。
重放	將舊的消息重新反復發送，造成網絡效率降低。
會話攔截	未授權使用一個已經建立的會話。
偽裝成授權的用戶	這類攻擊者將自己偽裝成他人，未授權訪問資源和信息。
利用系統軟件的漏洞	攻擊者探求以系統權限運行的軟件中存在的脆弱性。
利用主機或網絡信任	攻擊者通過操縱文件，使虛擬/遠方主機提供服務 ，從而獲得信任。
利用惡意代碼	攻擊者向系統內植入惡意代碼，或誘騙用戶去執行惡意代碼。
利用缺陷	攻擊者利用協議中的缺陷來欺騙用戶或重定向通信量。
拒絕服務	ICMP炸彈，在網絡中擴散垃圾包，向郵件中心發送垃圾郵件

?

3.3鄰近攻擊

鄰近攻擊是指未授權者可物理上接近網絡、系統或設備，從而可以修改、收集信息，或使系統拒絕訪問。接近網絡可以是秘密進入或公開，也可以是兩者都有。

攻擊舉例	描????述
修改數據或收集信息	攻擊者獲取系統管理權，從而修改或竊取信息，如：IP地址、登陸的用戶名和口令等。
系統干涉	攻擊者獲取系統訪問權，從而干涉系統的正常運行。
物理破壞	獲取系統物理設備訪問權，從而對設備進行物理破壞。

?

4、不安全的主要原因

互聯網具有不安全性、操作系統存在安全問題、數據的安全問題、傳輸線路安全問題、網絡安全管理問題。

?

5、計算機網絡安全的定義

計算機網絡安全是指利用管理控制和技術措施，保證在一個網絡環境里，信息數據的機密性、完整性及可使用性受到保護。

從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、不可否認性和可控性的相關技術和理論都是網絡安全的研究領域。

網絡安全的具體含義會隨著“角度”的變化而變化。

?

6、計算機網絡安全目標

保密性、完整性、可用性?、不可否認性、可控性?

?

6.1保密性指網絡中的保密信息只能供經過允許的人員，以經過允許的方式使用，信息不泄露給非授權用戶、實體或過程，或供其利用。

保密性的要素如下：

數據保護：防止信息內容的泄露

數據隔離：提供隔離路徑或采用過程隔離

通信流保護：數據的特征包括頻率、數量、通信流的目的地等，通信流保護是指對通信的特征信息，以及推斷信息（如命令結構等）進行保護。

?

6.2完整性指網絡中的信息安全、精確與有效，不因種種不安全因素而改變信息原有的內容、形式與流向。確保信息在存儲或傳輸過程中不被修改、不被破壞和丟失。

破壞信息的完整性有：人為因素、非人為因素。

?

6.3可用性指網絡資源在需要時即可使用，不因系統故障或誤操作等使資源丟失或妨礙對資源的使用，是被授權實體按需求訪問的特性。

避免受到攻擊、避免未授權使用、防止進程失敗

?

7、計算機網絡安全的層次

物理安全、邏輯安全、操作系統安全、聯網安全

?

8、網絡安全包括三個重要部分

先進的技術、嚴格的管理、威嚴的法律

?

9、OSI安全體系結構的安全服務

鑒別服務、訪問控制服務、數據機密性服務、數據完整性服務、抗抵賴性服務

?

10、對付典型網絡威脅的安全服務

安全威脅	安全服務
假冒攻擊	鑒別服務
非授權侵犯	訪問控制服務
竊聽攻擊	數據機密性服務
完整性破壞	數據完整性服務
服務否認	抗抵賴服務
拒絕服務	鑒別服務、訪問控制服務、數據完整性服務等

?

11、OSI安全體系結構的安全機制

• 加密機制
• 數字簽名機制
• 訪問控制機制
• 數據完整性機制
• 鑒別交換機制
• 通信業務流填充機制
• 路由控制
• 公證機制

?

12、P2DR模型

安全策略（Protection）、防護（Policy）、檢測（Detection）、響應（Response）

?

13、網絡安全技術

13.1物理安全措施

物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境因素；人為操作失誤；及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：

• 環境安全：對系統所在環境的安全保護措施，如區域保護和災難保護；
• 設備安全：設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護技術和措施等；
• 媒體安全：媒體數據的安全及媒體本身的安全技術和措施。

?

13.2數據傳輸安全技術

• 數據傳輸加密技術：對傳輸中的數據流進行加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。三個不同層次來實現，即鏈路加密、節點加密、端到端加密。 ?
• 數據完整性鑒別技術
• 防抵賴技術包括對源和目的地雙方的證明，常用方法是數字簽名。?

?

13.3內外網隔離技術

采用防火墻技術可以將內部網絡的與外部網絡進行隔離，對內部網絡進行保護。

?

13.4入侵檢測技術

入侵檢測的目的就是提供實時的檢測及采取相應的防護手段，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為，阻止黑客的入侵。

?

13.5訪問控制技術

訪問控制是維護計算機網絡系統安全、保護計算機資源的重要手段，是保證網絡安全最重要的核心策略之一。

?

13.6安全性檢測技術

網絡安全檢測（漏洞檢測）是對網絡的安全性進行評估分析，通過實踐性的方法掃描分析網絡系統，檢查系統存在的弱點和漏洞，提出補求措施和安全策略的建議，達到增強網絡安全性的目的。

?

13.7防病毒技術

計算機病毒的防范是網絡安全性建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和消除病毒三種技術。

?

14、計算機網絡安全技術發展趨勢

14.1網絡安全威脅發展趨勢

• 與Internet更加緊密地結合，利用一切可以利用的方式（如郵件、局域網、遠程管理、即時通信工具等）進行傳播；?
• 所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強；其擴散極快，而更加注重欺騙性；
• 利用系統漏洞將成為病毒有力的傳播方式；
• 無線網絡技術的發展，使的遠程網絡攻擊的可能性加大；
• 各種境外情報、諜報人員將越來越多地通過信息網絡渠道收集情報和竊取資料；
• 各種病毒、蠕蟲和后門技術越來越智能化，并出現整合趨勢，形成混合性威脅；
• 各種攻擊技術的隱秘性增強，常規防范手段難以識別；
• 分布式計算技術用于攻擊的趨勢增強，威脅高強度密碼的安全性；
• 一些政府部門的超級計算機資源將成為攻擊者利用的跳板；
• 網絡管理安全問題日益突出；

?

14.2網絡安全主要實用技術的發展

網絡安全技術的發展是多維、全方面的，主要有：

• • ?物理隔離
  • ?邏輯隔離
  • ?防御來自網絡的攻擊
  • ?防御網絡上的病毒
  • ?身份認證
  • ?加密通信和虛擬專用網
  • ?入侵檢測和主動防衛（IDS）
  • ?網管、審計和取證

?

?

第二章 物理安全

1、物理安全概述

物理安全是整個計算機網絡系統安全的前提，是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞的過程。

物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面：

• 機房環境安全
• 通信線路安全
• 設備安全
• 電源安全

?

2、機房安全技術與標準

機房的安全等級分為A類、B類和C類3個基本類別：

A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。

???? B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。

???? C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。

?

3、計算機機房安全要求?：

?

4、機房的安全要求

減少無關人員進入機房的機會是計算機機房設計時首先要考慮的問題。計算機機房在選址時應避免靠近公共區域，避免窗戶直接鄰街。計算機機房最好不要安排在底層或頂層，在較大的樓層內，計算機機房應靠近樓層的一邊安排布局。保證所有進出計算機機房的人都必須在管理人員的監控之下。 ?

?

5、機房的三度要求

溫度、濕度和潔凈度并稱為三度。

溫度：18~22℃

濕度：40~60%

潔凈度：塵埃直徑小于0.5μm，每升塵埃量小于1萬顆

?

6、接地與防雷

6.1地線種類可分為：

• 保護地。
• 直流地。
• 屏蔽地。
• 靜電地。
• 雷擊地。

?

6.2接地系統

計算機房的接地系統是指計算機系統本身和場地的各種地線系統的設計和具體實施。接地系統可分為：

• 各自獨立的接地系統
• 交、直流分開的接地系統
• 共地接地系統
• 直流地、保護地共用地線系統
• 建筑物內共地系統

?

6.3接地體

接地體的埋設是接地系統好壞的關鍵。通常使用的接地體有：

• 地樁
• 水平柵網
• 金屬板
• 建筑物基礎鋼筋等

?

6.4防雷措施

機房外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。

機房內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施。

?

7、機房的防火、防水措施

機房內應有防火、防水措施。如機房內應有火災、水災自動報警系統，如果機房上層有用水設施需加防水層；機房內應放置適用于計算機機房的滅火器，并建立應急計劃和防火制度等。

?

8、電磁兼容和電磁輻射的防護

電磁干擾可通過電磁輻射和傳導兩條途徑影響電子設備的工作。

?

對輻射的防護措施可分為以下兩種：

• • 第一種是采用各種電磁屏蔽措施；
  • 第二種是干擾的防護措施。

?

9、國標GB2887－2000將供電方式分為了3類

• 一類供電：需建立不間斷供電系統。
• 二類供電：需建立帶備用的供電系統。
• 三類供電：按一般用戶供電考慮。

?

10、電源對用電設備安全的潛在威脅

• 脈動與噪聲?
• 電磁干擾

?

?

第三章 信息加密與PKI

1、密碼學的發展

密碼學是一門古老而深奧的科學，它以認識密碼變換為本質，以加密與解密基本規律為研究對象。密碼學的發展歷程大致經歷了三個階段：

• 古代加密方法
• 古典密碼
• 近代密碼

?

2、密碼學的基本概念

密碼學（cryptology）作為數學的一個分支，是研究信息系統安全保密的科學，是密碼編碼學和密碼分析學的統稱。

密碼編碼學（cryptography）是使消息保密的技術和科學。密碼編碼學是密碼體制的設計學，即怎樣編碼，采用什么樣的密碼體制保證信息被安全地加密。

密碼分析學（cryptanalysis）是與密碼編碼學相對應的技術和科學，即研究如何破譯密文的科學和技術。密碼分析學是在未知密鑰的情況下從密文推演出明文或密鑰的技術。

?

在密碼學中，有一個五元組：{明文、密文、密鑰、加密算法、解密算法}，對應的加密方案稱為密碼體制。

明文（Plaintext）：是作為加密輸入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集稱為明文空間，通常用M或P來表示。

密文（Ciphertext）：是明文經加密變換后的結果，即消息被加密處理后的形式，通常用c表示。所有可能密文的有限集稱為密文空間，通常用C來表示。

密鑰（Key）：是參與密碼變換的參數，通常用k表示。一切可能的密鑰構成的有限集稱為密鑰空間，通常用K表示。

加密算法（Encryption Algorithm）：是將明文變換為密文的變換函數，相應的變換過程稱為加密，即編碼的過程（通常用E表示，即c=Ek(p)）。

解密算法（Decryption Algorithm）：是將密文恢復為明文的變換函數，相應的變換過程稱為解密，即解碼的過程（通常用D表示，即p=Dk(c)）。

?

一般地，密碼系統的模型如下：

?

?

3、加密體制分類

密碼體制從原理上可分為兩大類：

• 單鑰或對稱密碼體制（One-Key or Symmetric Cryptosystem）
• 雙鑰或非對稱密碼體制（Two-Key or Asymmetric Cryptosystem）

?

4、單鑰密碼體制

單鑰密碼體制的本質特征是所用的加密密鑰和解密密鑰相同，或實質上等同，從一個可以推出另外一個。單鑰體制不僅可用于數據加密，也可用于消息的認證，最有影響的單鑰密碼是1977年美國國家標準局頒布的DES算法。單鑰系統對數據進行加解密的過程如圖3-2所示，其中系統的保密性主要取決于密鑰的安全性。

?

如何將密鑰安全可靠地分配給通信對方，包括密鑰產生、分配、存儲、銷毀等多方面的問題統稱為密鑰管理（Key Management），這是影響系統安全的關鍵因素。

?

古典密碼作為密碼學的淵源，其多種方法充分體現了單鑰加密的思想，典型方法如代碼加密、代替加密、變位加密、一次性密碼薄加密等。

????單鑰密碼體制的優點是保密度高且加解密速度快，其缺點主要體現在以下方面:

• 密鑰是保密通信安全的關鍵，密鑰分發過程十分復雜，所花代價高。
• 多人通信時密鑰組合的數量會出現爆炸性膨脹。
• 通信雙方必須統一密鑰，才能發送保密的信息。
• 單鑰密碼算法還存在數字簽名困難問題。

?

4.1數據加密標準DES

DES即數據加密標準（Data Encryption Standard），它于1977年由美國國家標準局公布，是IBM公司研制的一種對二元數據進行加密的分組密碼，數據分組長度為64bit（8byte），密文分組長度也是64bit，沒有數據擴展。密鑰長度為64bit，其中有效密鑰長度56bit，其余8bit為奇偶校驗。DES的整個體制是公開的，系統的安全性主要依賴密鑰的保密，其算法主要由初始置換IP、16輪迭代的乘積變換、逆初始置換 以及16個子密鑰產生器構成，見圖3-5所示。

• ?

?

4.2國際數據加密算法IDEA

IDEA是International Data Encryption Algorithm的縮寫，即國際數據加密算法。它是根據中國學者來學嘉博士與著名密碼學家James Massey于1990年聯合提出的建議標準算法PES（Proposed Encryption Standard）改進而來的。它的明文與密文塊都是64bit，密鑰長度為128bit，作為單鑰體制的密碼，其加密與解密過程雷同，只是密鑰存在差異，IDEA無論是采用軟件還是硬件實現都比較容易，而且加解密的速度很快。

?

5、雙鑰密碼體制

雙鑰體制是由Diffie和Hellman于1976年提出的，雙鑰密碼體制的主要特點是將加密和解密能力分開，它既可用于實現公共通信網的保密通信，也可用于認證系統中對消息進行數字簽名。為了同時實現保密性和對消息進行確認，在明文消息空間和密文消息空間等價，且加密、解密運算次序可換情況下，可采用雙鑰密碼體制實現雙重加、解密功能

?

?

?

雙鑰密碼體制的優點是可以公開加密密鑰，適應網絡的開放性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡單。此外，雙鑰密碼可以用于數字簽名等新功能。最有名的雙鑰密碼體系是1977年由Rivest，Shamir和Adleman人提出的RSA密碼體制。雙鑰密碼的缺點是雙鑰密碼算法一般比較復雜，加解密速度慢。

????實際應用時多采用雙鑰和單鑰密碼相結合的混合加密體制，即加解密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。

雙鑰密碼體制的加解密密鑰不同，一個是可公開的公鑰，另一個則是需要保密的私鑰。雙鑰密碼體制的特點是加密和解密能力是分開的。

????雙鑰密碼體制大大簡化了復雜的密鑰分配管理問題，但雙鑰算法要比單鑰算法慢得多（約1000倍）。在實際通信中，雙鑰密碼體制主要用于認證（比如數字簽名、身份識別等）和密鑰管理等，而消息加密仍利用單鑰密碼體制。

下面介紹雙鑰密碼體制的杰出代表RSA加密算法和ElGamal算法。

?

5.1 RSA算法

RSA作為傳送會話密鑰和數字簽名的標準算法。

RSA算法的安全性建立在數論中“大數分解和素數檢測”的理論基礎上。

?

5.2 ElGamal算法

RSA算法是基于素數因子分解的雙鑰密碼，而ElGamal算法則是基于離散對數問題的另一種類型的雙鑰密鑰，它既可用于加密，也可用于簽名。

?

6、信息加密技術應用

網絡數據加密常見的方式有鏈路加密、節點加密和端到端加密。

?

6.1鏈路加密

鏈路加密（又稱在線加密）是對網絡中兩個相鄰節點之間傳輸的數據進行加密保護，所有消息在被傳輸之前進行加密，每個節點對接收到的消息解密后，再使用下一個鏈路的密鑰對消息進行加密，然后才進行傳輸。到達目的地之前，消息可能經多條通信鏈路的傳輸。

?

6.2節點加密

節點加密是指在信息傳輸路過的節點處進行解密和加密。盡管節點加密能給網絡數據提供較高的安全性，但它在操作方式上與鏈路加密是類似的：兩者均在通信鏈路上為傳輸的消息提供安全性，都在中間節點先對消息進行解密，然后進行加密。因要對所有傳輸的數據進行加密，故加密過程對用戶是透明的。與鏈路加密不同的是，節點加密不允許消息在網絡節點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程在節點上的一個安全模塊中進行。

?

6.3端到端加密

端到端加密（又稱脫線加密）是指對一對用戶之間的數據連續地提供保護，如圖3-12所示。它允許數據在從源點到終點的傳輸過程中始終以密文形式存在。消息在到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即使有節點被損壞也不會使消息泄露。

?

7、認證技術

加密是為了隱蔽消息的內容，而認證的目的有三個：消息完整性認證、身份認證、消息的序號和操作時間。

• • 一是消息完整性認證，即驗證信息在傳送或存儲過程中是否被篡改；
  • 二是身份認證，即驗證消息的收發者是否持有正確的身份認證符，如口令、密鑰等；
  • 三是消息的序號和操作時間（時間性）等的認證，其目的是防止消息重放或延遲等攻擊。

?

8、認證技術的分層模型

認證技術分為三層：安全管理協議、認證體制和密碼體制。

?

9、認證體制的要求與模型

一個安全的認證體制應該至少滿足以下要求：

• • 意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性。
  • 消息的發送者對所發的消息不能抵賴，有時也要求消息的接收者不能否認收到的消息。
  • 除了合法的消息發送者外，其他人不能偽造發送消息。

?

11、數字簽名技術

數字簽名技術是一種實現消息完整性認證和身份認證的重要技術。

?

12、消息認證技術

消息認證目的包括：消息內容認證（即消息完整性認證）、消息的源和宿認證（即身份認證）及消息的序號和操作時間認證。

?

13、從參與電子政務與電子商務的用戶實體出發，應用系統常規的安全需求通常包括：

• 認證需求：提供某個實體（人或系統）的身份保證。
• 訪問控制需求：保護資源，以防止被非法使用和操作。
• 保密需求：保護信息不被泄漏或暴露給非授權的實體。
• 數據完整性需求：保護數據以防止未經授權的增刪、修改和替代。
• 不可否認需求：防止參與某次通信交換的一方事后否認本次交換曾經發生過。

?

14、公開密鑰基礎設施（PKI）

公鑰基礎設施主要包括：認證機構CA、證書庫、密鑰備份（即恢復系統）、證書作廢處理系統、PKI應用接口系統

?

14.1 ?CA是數字證書的簽發機構，是PKI的核心。并且是PKI應用中權威的、可信任的、公正的第三方機構。

?

?

15、PKI的特點

PKI是一個用公鑰概念與技術來提供一套具有通用性的安全服務，其特點是：

• • 節省費用；
  • 互操作性；
  • 開放性；
  • 一致的解決方案；
  • 可驗證性；
  • 可選擇性。

?

?

第四章 防火墻技術

1、防火墻的定義

防火墻是位于被保護網絡和外部網絡之間執行訪問控制策略的一個或一組系統，包括硬件和軟件，構成一道屏障，以防止發生對被保護網絡的不可預測的、潛在破壞性的侵擾。

?

2、防火墻的五大基本功能

• 過濾進、出網絡的數據；
• ?管理進、出網絡的訪問行為；
• ?封堵某些禁止的業務；
• ?記錄通過防火墻的信息內容和活動；
• ?對網絡攻擊的檢測和告警。

?

3、防火墻的局限性

• 網絡的安全性通常是以網絡服務的開放性和靈活性為代價
• ?防火墻只是整個網絡安全防護體系的一部分，而且防火墻并非萬無一失

?

4、防火墻的體系結構

目前，防火墻的體系結構一般有以下幾種：

（1）雙重宿主主機體系結構；

（2）屏蔽主機體系結構；

（3）屏蔽子網體系結構。

?

4.1 雙重宿主主機體系結構

• 圍繞具有雙重宿主的主機計算機而構筑；
• 計算機至少有兩個網絡接口；
• 計算機充當與這些接口相連的網絡之間的路由器；
• 防火墻內部的系統能與雙重宿主主機通信；
• 防火墻外部的系統（在因特網上）能與雙重宿主主機通信。

?

?

4.2屏蔽主機體系結構

• 提供安全保護的堡壘主機僅僅與被保護的內部網絡相連；
• 是外部網絡上的主機連接內部網絡的橋梁；
• 堡壘主機需要擁有高等級的安全；
• 還使用一個單獨的過濾路由器來提供主要安全；
• 路由器中有數據包過濾策略。

?

?

4.3屏蔽子網體系結構

?

?

4.3.1周邊網絡

周邊網絡是另一個安全層,是在外部網絡與被保護的內部網絡之間的附加網絡,提供一個附加的保護層防止內部信息流的暴露 .

?

4.3.2堡壘主機

堡壘主機為內部網絡服務的功能有：

（1）接收外來的電子郵件（SMTP），再分發給相應的站點；

（2）接收外來的FTP連接，再轉接到內部網的匿名FTP服務器；

（3）接收外來的對有關內部網站點的域名服務（DNS）查詢。

堡壘主機向外的服務功能按以下方法實施：

（1）在路由器上設置數據包過濾來允許內部的客戶端直接訪問外部的服務器。

（2）設置代理服務器在堡壘主機上運行，允許內部網的用戶間接地訪問外部網的服務器。也可以設置數據包過濾，允許內部網的用戶與堡壘主機上的代理服務器進行交互，但是禁止內部網的用戶直接與外部網進行通信。

?

4.3.3內部路由器

保護內部的網絡使之免受外部網和周邊網的侵犯，內部路由器完成防火墻的大部分數據包過濾工作。?

?

4.3.4外部路由器

保護周邊網和內部網使之免受來自外部網絡的侵犯，通常只執行非常少的數據包過濾。外部路由器一般由外界提供。

?

5、防火墻技術

從工作原理角度看，防火墻主要可以分為網絡層防火墻和應用層防火墻。這兩種類型防火墻的具體實現技術主要有包過濾技術、代理服務技術、狀態檢測技術、NAT技術等。

?

6、包過濾技術

• 包過濾防火墻工作在網絡層
• ?利用訪問控制列表（ACL）對數據包進行過濾
• ?過濾依據是TCP/IP數據包：
  • ?源地址和目的地址
  • ?所用端口號
  • ?協議狀態
• ?優點是邏輯簡單，價格便宜，易于安裝和使用，網絡性能和透明性好
• ?缺點有二：
  • 一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；
  • 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，很有可能被竊聽或假冒。

?

7、數據包過濾的主要依據有

（1）數據包的源地址；

（2）數據包的目的地址；

（3）數據包的協議類型（TCP、UDP、ICMP等）；

（4）TCP或UDP的源端口；

（5）TCP或UDP的目的端口；

（6）ICMP消息類型；

?

8、包過濾方式優點

• 僅用一個放置在重要位置上的包過濾路由器就可保護整個網絡
• 包過濾工作對用戶來講是透明的。這種透明就是可在不要求用戶作任何操作的前提下完成包過濾。

?

9、包過濾防火墻的缺陷

• 不能徹底防止地址欺騙。
• 無法執行某些安全策略
• 安全性較差
• 一些應用協議不適合于數據包過濾
• 管理功能弱?

?

10、代理服務技術

代理防火墻（Proxy）是一種較新型的防火墻技術，它分為應用層網關和電路層網關。

?

?

?

• 代理防火墻工作于應用層；
• 針對特定的應用層協議；
• 代理服務器（Proxy Server）作為內部網絡客戶端的服務器，攔截住所有請求，也向客戶端轉發響應；
• 代理客戶機（Proxy Client）負責代表內部客戶端向外部服務器發出請求，當然也向代理服務器轉發響應；?

?

11、應用層網關型防火墻

• 核心技術就是代理服務器技術；
• 優點就是安全，是內部網與外部網的隔離點；
• 最大缺點就是速度相對比較慢。

?

12、電路層網關防火墻

• 一般采用自適應代理技術
• 有兩個基本要素：
  • ?自適應代理服務器（Adaptive Proxy Server）
  • ?動態包過濾器（Dynamic Packet Filter）

?

13、代理技術的優缺點

優點：

• 代理易于配置
• 代理能生成各項記錄
• 代理能靈活、完全地控制進出流量、內容
• 代理能過濾數據內容
• 代理能為用戶提供透明的加密機制
• 代理可以方便地與其他安全手段集成

缺點：

• 代理速度較路由器慢；
• 代理對用戶不透明；
• 對于每項服務代理可能要求不同的服務器；
• 代理服務不能保證免受所有協議弱點的限制；
• 代理不能改進底層協議的安全性。?

?

14、狀態檢測技術的工作原理

基于狀態檢測技術的防火墻是由Check Point軟件技術有限公司率先提出的，也稱為動態包過濾防火墻?；跔顟B檢測技術的防火墻通過一個在網關處執行網絡安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎在不影響網絡正常運行的前提下，采用抽取有關數據的方法對網絡通信的各層實施檢測。它將抽取的狀態信息動態地保存起來作為以后執行安全策略的參考。檢測引擎維護一個動態的狀態信息表并對后續的數據包進行檢查，一旦發現某個連接的參數有意外變化，則立即將其終止。

?

15、狀態檢測技術的特點

狀態檢測防火墻結合了包過濾防火墻和代理服務器防火墻的長處，克服了兩者的不足，能夠根據協議、端口，以及源地址、目的地址的具體情況決定數據包是否允許通過。

?

16、狀態檢測技術的特點

優點 ：

• ?高安全性
• ?高效性
• ?可伸縮性和易擴展性

不足：

• ?主要體現在對大量狀態信息的處理過程可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。

?

17、NAT技術的工作原理

它是一個IETF（Internet Engineering Task Force, Internet工程任務組）的標準，允許一個整體機構以一個公用IP地址出現在互聯網上。顧名思義，它是一種把內部私有IP地址翻譯成合法網絡IP地址的技術。

?

18、NAT技術的類型

靜態NAT、動態地址NAT、網絡地址端口轉換NAPT

?

19、NAT技術的優缺點

優點：

• 所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因，網絡之外沒有人可以通過指定IP地址的方式直接對網絡內的任何一臺特定的計算機發起攻擊。
• ?如果因為某種原因公共IP地址資源比較短缺的話，NAT技術可以使整個內部網絡共享一個IP地址。
• ?可以啟用基本的包過濾防火墻安全機制，因為所有傳入的數據包如果沒有專門指定配置到NAT，那么就會被丟棄。內部網絡的計算機就不可能直接訪問外部網絡。

缺點：

NAT技術的缺點和包過濾防火墻的缺點類似，雖然可以保障內部網絡的安全，但也存在一些類似的局限。此外，內部網絡利用現流傳比較廣泛的木馬程序可以通過NAT進行外部連接，就像它可以穿過包過濾防火墻一樣的容易。

?

20、配置域名服務器

命令：dns

?

21、增加用戶

命令：adduser

?

22、個人防火墻概述

個人防火墻是一個運行在單臺計算機上的軟件，它可以截取進出計算機的TCP/IP網絡連接數據包，并使用預先定義的規則允許或禁止其連接。通常，個人防火墻安裝在計算機網絡接口的較低級別上，監視傳入傳出網卡的所有網絡通信。

?

23、個人防火墻的主要功能

• IP 數據包過濾功能
• 安全規則的修訂功能
• 對特定網絡攻擊數據包的攔截功能
• 應用程序網絡訪問控制功能
• 網絡快速切斷/恢復功能
• 日志記錄功能
• 網絡攻擊的報警功能
• 產品自身安全功能

?

24、個人防火墻的特點

個人防火墻的優點：

• 增加了保護級別，不需要額外的硬件資源；
• 個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內部的攻擊；
• 個人防火墻是對公共網絡中的單個系統提供了保護，能夠為用戶隱蔽暴露在網絡上的信息，比如IP地址之類的信息等。

個人防火墻的缺點：

• 個人防火墻對公共網絡只有一個物理接口，導致個人防火墻本身容易受到威脅；
• ?個人防火墻在運行時需要占用個人計算機的內存、CPU時間等資源；
• ?個人防火墻只能對單機提供保護，不能保護網絡系統。

?

25、防火墻發展動態和趨勢

25.1防火墻的缺陷主要表現在：

• 不能防范不經由防火墻的攻擊。
• 還不能防止感染了病毒的軟件或文件的傳輸。
• 不能防止數據驅動式攻擊。
• 在高流量的網絡中，防火墻還容易成為網絡的瓶頸。
• 存在著安裝、管理、配置復雜的缺點?

?

25.2防火墻的發展趨勢：

• 優良的性能
• 可擴展的結構和功能
• 簡化的安裝與管理
• 主動過濾
• 防病毒與防黑客
• 發展聯動技術

?

?

第五章 入侵檢測技術

1、入侵檢測系統（IDS）

入侵檢測是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性的一種網絡安全技術。它通過監視受保護系統的狀態和活動，采用誤用檢測或異常檢測的方式，發現非授權的或惡意的系統及網絡行為，為防范入侵行為提供有效的手段。

入侵檢測系統就是執行入侵檢測任務的硬件或軟件產品。

?

2、入侵檢測系統需要解決兩個問題：

• 如何充分并可靠地提取描述行為特征的數據；
• 如何根據特征數據，高效并準確地判定行為的性質。

?

3、入侵檢測系統結構

從系統構成上看，入侵檢測系統應包括事件提取、入侵分析、入侵響應和遠程管理四大部分。

?

4、入侵檢測系統分類

入侵檢測按照不同的標準可分別從數據源、檢測理論、檢測時效三個方面來描述入侵檢測系統的類型。

?

5、基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

?

5.1 異常檢測指根據使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現來檢測。

?

5.2誤用檢測指運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。

?

6、基于檢測時效的分類

在線檢測和離線檢測

?

7、入侵檢測分析模型

入侵檢測的分析處理過程可分為三個階段：構建分析器，對實際現場數據進行分析，反饋和提煉過程。

?

8、誤用檢測

誤用檢測是按照預定模式搜尋事件數據的，最適用于對已知模式的可靠檢測。執行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方法。

1．條件概率預測法

2．產生式/專家系統

3．狀態轉換方法

4．用于批模式分析的信息檢索技術

5．Keystroke Monitor和基于模型的方法

?

9、異常檢測

異常檢測基于一個假定：用戶的行為是可預測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會適應用戶行為的變化。

1．Denning的原始模型

2．量化分析

3．統計度量?

4．非參數統計度量

5．基于規則的方法

?

10、分布式入侵檢測的優勢

分布式入侵檢測由于采用了非集中的系統結構和處理方式，相對于傳統的單機IDS具有一些明顯的優勢：

???（1）檢測大范圍的攻擊行為

???（2）提高檢測的準確度

???（3）提高檢測效率

???（4）協調響應措施

?

11、分布式入侵檢測的技術難點

分布式入侵檢測必須關注的關鍵問題：事件產生及存儲、狀態空間管理及規則復雜度、知識庫管理、推理技術。

?

12、CIDF

CIDF的工作集中體現在四個方面：IDS的體系結構、通信機制、描述語言和應用編程接口API。

CIDF在IDES和NIDES的基礎上提出了一個通用模型，將入侵檢測系統分為四個基本組件：事件產生器、事件分析器、響應單元和事件數據庫。

?

13、Snort

Snort 是一個開放源代碼的免費軟件，它基于libpcap 的數據包嗅探器。

Snort在結構上可分為數據包捕獲和解碼子系統、檢測引擎，以及日志及報警子系統三個部分

?

第六章 網絡安全檢測

1、安全威脅的定義

安全威脅是指所有能夠對計算機網絡信息系統的網絡服務和網絡信息的機密性、可用性和完整性產生阻礙、破壞或中斷的各種因素。

?

2、漏洞威脅等級分類

?

4、網絡安全漏洞檢測技術

網絡安全漏洞檢測主要包括端口掃描、操作系統探測和安全漏洞探測。

?

5、端口掃描技術

端口掃描的原理是向目標主機的TCP/IP端口發送探測數據包，并記錄目標主機的響應。通過分析響應來判斷端口是打開還是關閉等狀態信息。

?

端口掃描技術分為：

• TCP端口掃描技術
• UDP端口掃描技術

?

5.1 TCP端口掃描技術

TCP端口掃描技術主要有全連接掃描技術、半連接（SYN）掃描技術、間接掃描技術和秘密掃描技術等。

?

5.1.1全連接掃描技術

全連接掃描的工作方式是：對目標主機上感興趣的端口進行connect()連接試探，如果該端口被監聽，則連接成功，否則表示該端口未開放或無法到達。

?

5.1.2半連接（SYN）端口掃描技術

半連接端口掃描不建立完整的TCP連接，而是只發送一個SYN信息包，就如同正在打開一個真正的TCP連接，并等待對方的回應一樣。

?

5.2UDP端口掃描技術

UDP端口掃描主要用來確定在目標主機上有哪些UDP端口是開放的。其實現思想是發送零字節的UDP信息包到目標機器的各個端口，若收到一個ICMP端口不可達的回應，則表示該UDP端口是關閉的，否則該端口就是開放的。

?

6、操作系統探測技術

操作系統探測技術主要包括：

• 獲取標識信息探測技術
• 基于TCP/IP協議棧的指紋探測技術
• 基于ICMP響應分析探測技術

?

7、安全漏洞探測技術

按照網絡安全漏洞的可利用方式來劃分，漏洞探測技術可以分為：信息型漏洞探測和攻擊型漏洞探測兩種。

按照漏洞探測的技術特征，可以劃分為：基于應用的探測技術、基于主機的探測技術、基于目標的探測技術和基于網絡的探測技術等。

?

8、漏洞探測技術按其技術特征可分為：

• 基于應用的檢測技術
• 基于主機的檢測技術
• 基于目標的漏洞檢測技術
• 基于網絡的檢測技術

?

?

第七章 ?計算機病毒防范技術

1、計算機病毒的定義

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

?

2、計算機病毒的特性

• 計算機病毒是一個程序；
• 計算機病毒具有傳染性，可以傳染其它程序；
• 計算機病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實現的。

?

3、計算機病毒的特征

• 非授權可執行性
• 隱蔽性
• 傳染性
• 潛伏性
• 表現性或破壞性
• 可觸發性

?

4、計算機病毒的主要危害

• 直接破壞計算機數據信息
• 占用磁盤空間和對信息的破壞
• 搶占系統資源
• 影響計算機運行速度
• 計算機病毒錯誤與不可預見的危害
• 計算機病毒的兼容性對系統運行的影響
• 給用戶造成嚴重的心理壓力

?

5、病毒的邏輯結構

• 病毒的引導模塊；
• 病毒的傳染模塊；
• 病毒的發作（表現和破壞）模塊。

?

6、計算機病毒的作用機制

（1）引導機制

（2）傳染機制

（3）破壞機制

?

8、計算機病毒的分類

8.1 按照病毒攻擊的系統分類

（1）攻擊DOS系統的病毒。

（2）攻擊Windows系統的病毒。

（3）攻擊UNIX系統的病毒。

（4）攻擊OS/2系統的病毒。

?

8.2 按照病毒的攻擊機型分類

（1）攻擊微型計算機的病毒。

（2）攻擊小型機的計算機病毒。

（3）攻擊工作站的計算機病毒。

?

8.3 按照病毒的鏈結方式分類

（1）源碼型病毒

（2）嵌入型病毒

（3）外殼型病毒

（4）操作系統型病毒

?

8.4 按照病毒的破壞情況分類

（1）良性計算機病毒

（2）惡性計算機病毒

?

8.5 按照病毒的寄生方式分類

（1）引導型病毒

（2）文件型病毒

（3）復合型病毒

?

8.6 按照病毒的傳播媒介分類

（1）單機病毒

（2）網絡病毒

?

9、CIH病毒

CIH病毒是一種文件型病毒，感染Windows95/98環境下PE格式的EXE文件。

?

10、網絡病毒的特點

• 傳染方式多
• 傳播速度比較快
• 清除難度大
• 破壞性強
• 潛在性深

?

11、電子郵件病毒的特點

• 傳統的殺毒軟件對檢測此類格式的文件無能為力
• 傳播速度快
• 傳播范圍廣
• 破壞力大

?

12、計算機病毒的檢測手段

12.1 特征代碼法

特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。

特征代碼法的實現步驟如下：

• • 采集已知病毒樣本。
  • 在病毒樣本中，抽取特征代碼。
  • 打開被檢測文件，在文件中搜索病毒特征代碼。

特征代碼法的特點：

• • 速度慢
  • 誤報警率低
  • 不能檢查多形性病毒
  • 不能對付隱蔽性病毒

?

12.2 校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法。

優點：方法簡單，能發現未知病毒、被查文件的細微變化也能發現。

????缺點：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

?

12.3 行為監測法

利用病毒的特有行為特征來監測病毒的方法，稱為行為監測法。

優點：可發現未知病毒、可相當準確地預報未知的多數病毒。

????缺點：可能誤報警、不能識別病毒名稱、實現時有一定難度。

?

13、計算機病毒的防范

1．嚴格的管理

2．有效的技術

3．宏病毒的防范

4．電子郵件病毒的防范

?

14、計算機病毒的新特征

• 利用微軟漏洞主動傳播
• 局域網內快速傳播
• 以多種方式傳播
• 大量消耗系統與網絡資源
• 雙程序結構
• 用即時工具傳播病毒
• 病毒與黑客技術的融合
• 應用軟件漏洞成為網頁掛馬的新寵

?

15、計算機病毒發展的趨勢及對策

• 變形病毒成為下一代病毒首要的特點。
• 與Internet和Intranet更加緊密地結合，利用一切可以利用的方式進行傳播；
• 所有的病毒都具有混合型特征，破壞性大大增強；
• 因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；
• 利用系統漏洞將成為病毒有力的傳播方式。

?

16、惡意代碼概述

惡意代碼是一種程序，通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染計算機的數據、運行具有入侵性或破壞性的程序、破壞被感染系統數據的安全性和完整性的目的。

?

17、惡意代碼的特征?

• 惡意的目的
• 本身是程序
• 通過執行發生作用

?

18、惡意代碼的分類?

• 木馬
• 網絡蠕蟲
• 移動代碼
• 復合型病毒

?

19、惡意代碼的關鍵技術

19.1 生存技術?

• 反跟蹤技術
• 加密技術
• 模糊變換技術
• 自動生產技術

?

19.2 攻擊技術

• 進程注入技術
• 三線程技術
• 端口復用技術
• 對抗檢測技術
• 端口反向連接技術
• 緩沖區溢出攻擊技術

?

19.3 隱藏技術

• 本地隱藏技術 ，是指為了防止本地系統管理人員察覺而采取的隱蔽手段。
• 通信隱藏，常見的網絡通信隱蔽技術有http tunnel和icmp tunnel等 。

?

20、惡意代碼的防范

• 及時更新系統，修補安全漏洞
• 設置安全策略，限制腳本程序的運行
• 啟用防火墻，過濾不必要服務和系統信息
• 養成良好的上網習慣
• 隱藏LKMs本身

?

?

第八章 網絡安全解決方案

1、網絡信息安全的基本問題

網絡信息安全的基本問題是眾所周知的諸要素：可用性、保密性、完整性、可控性與可審查性等。

?

網絡時代的信息安全有非常獨特的特征，研究信息安全的困難在于：

• 邊界模糊
• 評估困難
• 安全技術滯后
• 管理滯后

?

2、網絡與信息安全體系

要實施一個完整的網絡與信息安全體系，至少應包括三類措施，并且三者缺一不可。

• 一是社會的法律政策、規章制度措施
• 二是技術措施
• 三是審計和管理措施

?

保護、檢測、響應、恢復涵蓋了對現代網絡信息系統保護的各個方面，構成了一個完整的體系，使網絡信息安全建筑在更堅實的基礎之上。

?

3、網絡安全設計的基本原則

在進行計算機網絡安全設計、規劃時，應遵循以下原則：

• 需求、風險、代價平衡分析的原則
• 綜合性、整體性原則
• 一致性原則
• 易操作性原則
• 適應性、靈活性原則
• 多重保護原則

?

4、網絡安全解決方案

一份好的網絡安全解決方案，不僅僅要考慮到技術，還要考慮到策略和管理。

• 技術是關鍵
• 策略是核心
• 管理是保證

在整個網絡安全解決方案中，始終要體現出這三個方面的關系。

?

5、網絡安全解決方案的層次劃分

• 第一部分是社會法律、法規與手段
• 第二部分為增強的用戶認證
• 第三部分是授權
• 第四部分是加密
• 第五部分為審計和監控和數據備份

???????這五部分相輔相成、缺一不可，其中底層是上層保障的基礎。

?

6、網絡安全解決方案設計

?

?

在網關位置配置多接口防火墻，將整個網絡劃分為外部網絡、內部網絡、DMZ區等多個安全區域，將工作主機放置于內部網絡區域，將Web服務器、數據庫服務器等服務器放置在DMZ區域，其他區域對服務器區的訪問必須經過防火墻模塊的檢查。

在中心交換機上配置基于網絡的IDS系統，監控整個網絡內的網絡流量。

在DMZ區內的重要服務器上安裝基于主機的IDS系統，對所有對上述服務器的訪問進行監控，并對相應的操作進行記錄和審計。

將電子商務網站和進行企業普通Web發布的服務器進行獨立配置，對電子商務網站的訪問將需要身份認證和加密傳輸，保證電子商務的安全性。

在DMZ區的電子商務網站配置基于主機的入侵檢測系統，防止來自Internet 對Http服務的攻擊行為。

在企業總部安裝統一身份認證服務器，對所有需要的認證進行統一管理，并根據客戶的安全級別設置所需要的認證方式（如靜態口令，動態口令，數字證書等）。

?

?

7、安全管理原則

計算機信息系統的安全管理主要基于三個原則。

• 多人負責原則
• 任期有限原則
• 職責分離原則

總結

以上是生活随笔為你收集整理的计算机网络安全的一些概念以及知识点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。