第一章 ?緒 ?論

1、典型的網(wǎng)絡(luò)安全威脅

威 ?脅	描 ??????述
竊聽	網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽。
重傳	攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。
偽造	攻擊者將偽造的信息發(fā)送給接收者。
篡改	攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發(fā)送給接收者。
非授權(quán)訪問	通過假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權(quán)，從而使非法用戶進入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等。
拒絕服務(wù)攻擊	攻擊者使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶獲得服務(wù)。
行為否認	通訊實體否認已經(jīng)發(fā)生的行為。
旁路控制	攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性。
電磁/射頻截獲	攻擊者從電子或機電設(shè)備所發(fā)出的無線射頻或其它電磁輻射中提取信息。
人員疏忽	授權(quán)的人為了利益或由于粗心將信息泄漏給未授權(quán)人。

?

2、計算機網(wǎng)絡(luò)不安全因素

偶發(fā)性因素：如電源故障、設(shè)備的機能失常、軟件開發(fā)過程中留下的某種漏洞或邏輯錯誤等。

自然災(zāi)害：各種自然災(zāi)害（如地震、風暴、泥石流、建筑物破壞等）。

人為因素：不法之徒利用計算機網(wǎng)絡(luò)或潛入計算機房，篡改系統(tǒng)數(shù)據(jù)、竊用系統(tǒng)資源、非法獲取機密數(shù)據(jù)和信息、破壞硬件設(shè)備、編制計算機病毒等。此外，管理不好、規(guī)章制度不健全、有章不循、安全管理水平低、人員素質(zhì)差、操作失誤、瀆職行為等都會對計算機網(wǎng)絡(luò)造成威脅。

?

3、對計算機網(wǎng)絡(luò)的主要攻擊

3.1被動攻擊

攻擊舉例	描????述
監(jiān)視明文	監(jiān)視網(wǎng)絡(luò)，獲取未加密的信息。
解密通信數(shù)據(jù)	通過密碼分析，破解網(wǎng)絡(luò)中傳輸?shù)募用軘?shù)據(jù)。
口令嗅探	使用協(xié)議分析工具，捕獲用于各類系統(tǒng)訪問的口令。
通信量分析	不對加密數(shù)據(jù)進行解密，而是通過對外部通信模式的觀察，獲取關(guān)鍵信息。

?

3.2主動攻擊

攻擊舉例	描????述
修改傳輸中的數(shù)據(jù)	截獲并修改網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。
重放	將舊的消息重新反復發(fā)送，造成網(wǎng)絡(luò)效率降低。
會話攔截	未授權(quán)使用一個已經(jīng)建立的會話。
偽裝成授權(quán)的用戶	這類攻擊者將自己偽裝成他人，未授權(quán)訪問資源和信息。
利用系統(tǒng)軟件的漏洞	攻擊者探求以系統(tǒng)權(quán)限運行的軟件中存在的脆弱性。
利用主機或網(wǎng)絡(luò)信任	攻擊者通過操縱文件，使虛擬/遠方主機提供服務(wù) ，從而獲得信任。
利用惡意代碼	攻擊者向系統(tǒng)內(nèi)植入惡意代碼，或誘騙用戶去執(zhí)行惡意代碼。
利用缺陷	攻擊者利用協(xié)議中的缺陷來欺騙用戶或重定向通信量。
拒絕服務(wù)	ICMP炸彈，在網(wǎng)絡(luò)中擴散垃圾包，向郵件中心發(fā)送垃圾郵件

?

3.3鄰近攻擊

鄰近攻擊是指未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，從而可以修改、收集信息，或使系統(tǒng)拒絕訪問。接近網(wǎng)絡(luò)可以是秘密進入或公開，也可以是兩者都有。

攻擊舉例	描????述
修改數(shù)據(jù)或收集信息	攻擊者獲取系統(tǒng)管理權(quán)，從而修改或竊取信息，如：IP地址、登陸的用戶名和口令等。
系統(tǒng)干涉	攻擊者獲取系統(tǒng)訪問權(quán)，從而干涉系統(tǒng)的正常運行。
物理破壞	獲取系統(tǒng)物理設(shè)備訪問權(quán)，從而對設(shè)備進行物理破壞。

?

4、不安全的主要原因

互聯(lián)網(wǎng)具有不安全性、操作系統(tǒng)存在安全問題、數(shù)據(jù)的安全問題、傳輸線路安全問題、網(wǎng)絡(luò)安全管理問題。

?

5、計算機網(wǎng)絡(luò)安全的定義

計算機網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。

從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否認性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。

?

6、計算機網(wǎng)絡(luò)安全目標

保密性、完整性、可用性?、不可否認性、可控性?

?

6.1保密性指網(wǎng)絡(luò)中的保密信息只能供經(jīng)過允許的人員，以經(jīng)過允許的方式使用，信息不泄露給非授權(quán)用戶、實體或過程，或供其利用。

保密性的要素如下：

數(shù)據(jù)保護：防止信息內(nèi)容的泄露

數(shù)據(jù)隔離：提供隔離路徑或采用過程隔離

通信流保護：數(shù)據(jù)的特征包括頻率、數(shù)量、通信流的目的地等，通信流保護是指對通信的特征信息，以及推斷信息（如命令結(jié)構(gòu)等）進行保護。

?

6.2完整性指網(wǎng)絡(luò)中的信息安全、精確與有效，不因種種不安全因素而改變信息原有的內(nèi)容、形式與流向。確保信息在存儲或傳輸過程中不被修改、不被破壞和丟失。

破壞信息的完整性有：人為因素、非人為因素。

?

6.3可用性指網(wǎng)絡(luò)資源在需要時即可使用，不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用，是被授權(quán)實體按需求訪問的特性。

避免受到攻擊、避免未授權(quán)使用、防止進程失敗

?

7、計算機網(wǎng)絡(luò)安全的層次

物理安全、邏輯安全、操作系統(tǒng)安全、聯(lián)網(wǎng)安全

?

8、網(wǎng)絡(luò)安全包括三個重要部分

先進的技術(shù)、嚴格的管理、威嚴的法律

?

9、OSI安全體系結(jié)構(gòu)的安全服務(wù)

鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、抗抵賴性服務(wù)

?

10、對付典型網(wǎng)絡(luò)威脅的安全服務(wù)

安全威脅	安全服務(wù)
假冒攻擊	鑒別服務(wù)
非授權(quán)侵犯	訪問控制服務(wù)
竊聽攻擊	數(shù)據(jù)機密性服務(wù)
完整性破壞	數(shù)據(jù)完整性服務(wù)
服務(wù)否認	抗抵賴服務(wù)
拒絕服務(wù)	鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)完整性服務(wù)等

?

11、OSI安全體系結(jié)構(gòu)的安全機制

• 加密機制
• 數(shù)字簽名機制
• 訪問控制機制
• 數(shù)據(jù)完整性機制
• 鑒別交換機制
• 通信業(yè)務(wù)流填充機制
• 路由控制
• 公證機制

?

12、P2DR模型

安全策略（Protection）、防護（Policy）、檢測（Detection）、響應(yīng)（Response）

?

13、網(wǎng)絡(luò)安全技術(shù)

13.1物理安全措施

物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境因素；人為操作失誤；及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：

• 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護措施，如區(qū)域保護和災(zāi)難保護；
• 設(shè)備安全：設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護技術(shù)和措施等；
• 媒體安全：媒體數(shù)據(jù)的安全及媒體本身的安全技術(shù)和措施。

?

13.2數(shù)據(jù)傳輸安全技術(shù)

• 數(shù)據(jù)傳輸加密技術(shù)：對傳輸中的數(shù)據(jù)流進行加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。三個不同層次來實現(xiàn)，即鏈路加密、節(jié)點加密、端到端加密。 ?
• 數(shù)據(jù)完整性鑒別技術(shù)
• 防抵賴技術(shù)包括對源和目的地雙方的證明，常用方法是數(shù)字簽名。?

?

13.3內(nèi)外網(wǎng)隔離技術(shù)

采用防火墻技術(shù)可以將內(nèi)部網(wǎng)絡(luò)的與外部網(wǎng)絡(luò)進行隔離，對內(nèi)部網(wǎng)絡(luò)進行保護。

?

13.4入侵檢測技術(shù)

入侵檢測的目的就是提供實時的檢測及采取相應(yīng)的防護手段，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為，阻止黑客的入侵。

?

13.5訪問控制技術(shù)

訪問控制是維護計算機網(wǎng)絡(luò)系統(tǒng)安全、保護計算機資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

?

13.6安全性檢測技術(shù)

網(wǎng)絡(luò)安全檢測（漏洞檢測）是對網(wǎng)絡(luò)的安全性進行評估分析，通過實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查系統(tǒng)存在的弱點和漏洞，提出補求措施和安全策略的建議，達到增強網(wǎng)絡(luò)安全性的目的。

?

13.7防病毒技術(shù)

計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預防病毒、檢測病毒和消除病毒三種技術(shù)。

?

14、計算機網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢

14.1網(wǎng)絡(luò)安全威脅發(fā)展趨勢

• 與Internet更加緊密地結(jié)合，利用一切可以利用的方式（如郵件、局域網(wǎng)、遠程管理、即時通信工具等）進行傳播；?
• 所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強；其擴散極快，而更加注重欺騙性；
• 利用系統(tǒng)漏洞將成為病毒有力的傳播方式；
• 無線網(wǎng)絡(luò)技術(shù)的發(fā)展，使的遠程網(wǎng)絡(luò)攻擊的可能性加大；
• 各種境外情報、諜報人員將越來越多地通過信息網(wǎng)絡(luò)渠道收集情報和竊取資料；
• 各種病毒、蠕蟲和后門技術(shù)越來越智能化，并出現(xiàn)整合趨勢，形成混合性威脅；
• 各種攻擊技術(shù)的隱秘性增強，常規(guī)防范手段難以識別；
• 分布式計算技術(shù)用于攻擊的趨勢增強，威脅高強度密碼的安全性；
• 一些政府部門的超級計算機資源將成為攻擊者利用的跳板；
• 網(wǎng)絡(luò)管理安全問題日益突出；

?

14.2網(wǎng)絡(luò)安全主要實用技術(shù)的發(fā)展

網(wǎng)絡(luò)安全技術(shù)的發(fā)展是多維、全方面的，主要有：

• • ?物理隔離
  • ?邏輯隔離
  • ?防御來自網(wǎng)絡(luò)的攻擊
  • ?防御網(wǎng)絡(luò)上的病毒
  • ?身份認證
  • ?加密通信和虛擬專用網(wǎng)
  • ?入侵檢測和主動防衛(wèi)（IDS）
  • ?網(wǎng)管、審計和取證

?

?

第二章 物理安全

1、物理安全概述

物理安全是整個計算機網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞的過程。

物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等。物理安全在整個計算機網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：

• 機房環(huán)境安全
• 通信線路安全
• 設(shè)備安全
• 電源安全

?

2、機房安全技術(shù)與標準

機房的安全等級分為A類、B類和C類3個基本類別：

A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。

???? B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。

???? C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。

?

3、計算機機房安全要求?：

?

4、機房的安全要求

減少無關(guān)人員進入機房的機會是計算機機房設(shè)計時首先要考慮的問題。計算機機房在選址時應(yīng)避免靠近公共區(qū)域，避免窗戶直接鄰街。計算機機房最好不要安排在底層或頂層，在較大的樓層內(nèi)，計算機機房應(yīng)靠近樓層的一邊安排布局。保證所有進出計算機機房的人都必須在管理人員的監(jiān)控之下。 ?

?

5、機房的三度要求

溫度、濕度和潔凈度并稱為三度。

溫度：18~22℃

濕度：40~60%

潔凈度：塵埃直徑小于0.5μm，每升塵埃量小于1萬顆

?

6、接地與防雷

6.1地線種類可分為：

• 保護地。
• 直流地。
• 屏蔽地。
• 靜電地。
• 雷擊地。

?

6.2接地系統(tǒng)

計算機房的接地系統(tǒng)是指計算機系統(tǒng)本身和場地的各種地線系統(tǒng)的設(shè)計和具體實施。接地系統(tǒng)可分為：

• 各自獨立的接地系統(tǒng)
• 交、直流分開的接地系統(tǒng)
• 共地接地系統(tǒng)
• 直流地、保護地共用地線系統(tǒng)
• 建筑物內(nèi)共地系統(tǒng)

?

6.3接地體

接地體的埋設(shè)是接地系統(tǒng)好壞的關(guān)鍵。通常使用的接地體有：

• 地樁
• 水平柵網(wǎng)
• 金屬板
• 建筑物基礎(chǔ)鋼筋等

?

6.4防雷措施

機房外部防雷應(yīng)使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。

機房內(nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術(shù)措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設(shè)備本身也應(yīng)有避雷裝置和設(shè)施。

?

7、機房的防火、防水措施

機房內(nèi)應(yīng)有防火、防水措施。如機房內(nèi)應(yīng)有火災(zāi)、水災(zāi)自動報警系統(tǒng)，如果機房上層有用水設(shè)施需加防水層；機房內(nèi)應(yīng)放置適用于計算機機房的滅火器，并建立應(yīng)急計劃和防火制度等。

?

8、電磁兼容和電磁輻射的防護

電磁干擾可通過電磁輻射和傳導兩條途徑影響電子設(shè)備的工作。

?

對輻射的防護措施可分為以下兩種：

• • 第一種是采用各種電磁屏蔽措施；
  • 第二種是干擾的防護措施。

?

9、國標GB2887－2000將供電方式分為了3類

• 一類供電：需建立不間斷供電系統(tǒng)。
• 二類供電：需建立帶備用的供電系統(tǒng)。
• 三類供電：按一般用戶供電考慮。

?

10、電源對用電設(shè)備安全的潛在威脅

• 脈動與噪聲?
• 電磁干擾

?

?

第三章 信息加密與PKI

1、密碼學的發(fā)展

密碼學是一門古老而深奧的科學，它以認識密碼變換為本質(zhì)，以加密與解密基本規(guī)律為研究對象。密碼學的發(fā)展歷程大致經(jīng)歷了三個階段：

• 古代加密方法
• 古典密碼
• 近代密碼

?

2、密碼學的基本概念

密碼學（cryptology）作為數(shù)學的一個分支，是研究信息系統(tǒng)安全保密的科學，是密碼編碼學和密碼分析學的統(tǒng)稱。

密碼編碼學（cryptography）是使消息保密的技術(shù)和科學。密碼編碼學是密碼體制的設(shè)計學，即怎樣編碼，采用什么樣的密碼體制保證信息被安全地加密。

密碼分析學（cryptanalysis）是與密碼編碼學相對應(yīng)的技術(shù)和科學，即研究如何破譯密文的科學和技術(shù)。密碼分析學是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。

?

在密碼學中，有一個五元組：{明文、密文、密鑰、加密算法、解密算法}，對應(yīng)的加密方案稱為密碼體制。

明文（Plaintext）：是作為加密輸入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集稱為明文空間，通常用M或P來表示。

密文（Ciphertext）：是明文經(jīng)加密變換后的結(jié)果，即消息被加密處理后的形式，通常用c表示。所有可能密文的有限集稱為密文空間，通常用C來表示。

密鑰（Key）：是參與密碼變換的參數(shù)，通常用k表示。一切可能的密鑰構(gòu)成的有限集稱為密鑰空間，通常用K表示。

加密算法（Encryption Algorithm）：是將明文變換為密文的變換函數(shù)，相應(yīng)的變換過程稱為加密，即編碼的過程（通常用E表示，即c=Ek(p)）。

解密算法（Decryption Algorithm）：是將密文恢復為明文的變換函數(shù)，相應(yīng)的變換過程稱為解密，即解碼的過程（通常用D表示，即p=Dk(c)）。

?

一般地，密碼系統(tǒng)的模型如下：

?

?

3、加密體制分類

密碼體制從原理上可分為兩大類：

• 單鑰或?qū)ΨQ密碼體制（One-Key or Symmetric Cryptosystem）
• 雙鑰或非對稱密碼體制（Two-Key or Asymmetric Cryptosystem）

?

4、單鑰密碼體制

單鑰密碼體制的本質(zhì)特征是所用的加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，從一個可以推出另外一個。單鑰體制不僅可用于數(shù)據(jù)加密，也可用于消息的認證，最有影響的單鑰密碼是1977年美國國家標準局頒布的DES算法。單鑰系統(tǒng)對數(shù)據(jù)進行加解密的過程如圖3-2所示，其中系統(tǒng)的保密性主要取決于密鑰的安全性。

?

如何將密鑰安全可靠地分配給通信對方，包括密鑰產(chǎn)生、分配、存儲、銷毀等多方面的問題統(tǒng)稱為密鑰管理（Key Management），這是影響系統(tǒng)安全的關(guān)鍵因素。

?

古典密碼作為密碼學的淵源，其多種方法充分體現(xiàn)了單鑰加密的思想，典型方法如代碼加密、代替加密、變位加密、一次性密碼薄加密等。

????單鑰密碼體制的優(yōu)點是保密度高且加解密速度快，其缺點主要體現(xiàn)在以下方面:

• 密鑰是保密通信安全的關(guān)鍵，密鑰分發(fā)過程十分復雜，所花代價高。
• 多人通信時密鑰組合的數(shù)量會出現(xiàn)爆炸性膨脹。
• 通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。
• 單鑰密碼算法還存在數(shù)字簽名困難問題。

?

4.1數(shù)據(jù)加密標準DES

DES即數(shù)據(jù)加密標準（Data Encryption Standard），它于1977年由美國國家標準局公布，是IBM公司研制的一種對二元數(shù)據(jù)進行加密的分組密碼，數(shù)據(jù)分組長度為64bit（8byte），密文分組長度也是64bit，沒有數(shù)據(jù)擴展。密鑰長度為64bit，其中有效密鑰長度56bit，其余8bit為奇偶校驗。DES的整個體制是公開的，系統(tǒng)的安全性主要依賴密鑰的保密，其算法主要由初始置換IP、16輪迭代的乘積變換、逆初始置換 以及16個子密鑰產(chǎn)生器構(gòu)成，見圖3-5所示。

• ?

?

4.2國際數(shù)據(jù)加密算法IDEA

IDEA是International Data Encryption Algorithm的縮寫，即國際數(shù)據(jù)加密算法。它是根據(jù)中國學者來學嘉博士與著名密碼學家James Massey于1990年聯(lián)合提出的建議標準算法PES（Proposed Encryption Standard）改進而來的。它的明文與密文塊都是64bit，密鑰長度為128bit，作為單鑰體制的密碼，其加密與解密過程雷同，只是密鑰存在差異，IDEA無論是采用軟件還是硬件實現(xiàn)都比較容易，而且加解密的速度很快。

?

5、雙鑰密碼體制

雙鑰體制是由Diffie和Hellman于1976年提出的，雙鑰密碼體制的主要特點是將加密和解密能力分開，它既可用于實現(xiàn)公共通信網(wǎng)的保密通信，也可用于認證系統(tǒng)中對消息進行數(shù)字簽名。為了同時實現(xiàn)保密性和對消息進行確認，在明文消息空間和密文消息空間等價，且加密、解密運算次序可換情況下，可采用雙鑰密碼體制實現(xiàn)雙重加、解密功能

?

?

?

雙鑰密碼體制的優(yōu)點是可以公開加密密鑰，適應(yīng)網(wǎng)絡(luò)的開放性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡單。此外，雙鑰密碼可以用于數(shù)字簽名等新功能。最有名的雙鑰密碼體系是1977年由Rivest，Shamir和Adleman人提出的RSA密碼體制。雙鑰密碼的缺點是雙鑰密碼算法一般比較復雜，加解密速度慢。

????實際應(yīng)用時多采用雙鑰和單鑰密碼相結(jié)合的混合加密體制，即加解密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。

雙鑰密碼體制的加解密密鑰不同，一個是可公開的公鑰，另一個則是需要保密的私鑰。雙鑰密碼體制的特點是加密和解密能力是分開的。

????雙鑰密碼體制大大簡化了復雜的密鑰分配管理問題，但雙鑰算法要比單鑰算法慢得多（約1000倍）。在實際通信中，雙鑰密碼體制主要用于認證（比如數(shù)字簽名、身份識別等）和密鑰管理等，而消息加密仍利用單鑰密碼體制。

下面介紹雙鑰密碼體制的杰出代表RSA加密算法和ElGamal算法。

?

5.1 RSA算法

RSA作為傳送會話密鑰和數(shù)字簽名的標準算法。

RSA算法的安全性建立在數(shù)論中“大數(shù)分解和素數(shù)檢測”的理論基礎(chǔ)上。

?

5.2 ElGamal算法

RSA算法是基于素數(shù)因子分解的雙鑰密碼，而ElGamal算法則是基于離散對數(shù)問題的另一種類型的雙鑰密鑰，它既可用于加密，也可用于簽名。

?

6、信息加密技術(shù)應(yīng)用

網(wǎng)絡(luò)數(shù)據(jù)加密常見的方式有鏈路加密、節(jié)點加密和端到端加密。

?

6.1鏈路加密

鏈路加密（又稱在線加密）是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護，所有消息在被傳輸之前進行加密，每個節(jié)點對接收到的消息解密后，再使用下一個鏈路的密鑰對消息進行加密，然后才進行傳輸。到達目的地之前，消息可能經(jīng)多條通信鏈路的傳輸。

?

6.2節(jié)點加密

節(jié)點加密是指在信息傳輸路過的節(jié)點處進行解密和加密。盡管節(jié)點加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性，但它在操作方式上與鏈路加密是類似的：兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩?#xff0c;都在中間節(jié)點先對消息進行解密，然后進行加密。因要對所有傳輸?shù)臄?shù)據(jù)進行加密，故加密過程對用戶是透明的。與鏈路加密不同的是，節(jié)點加密不允許消息在網(wǎng)絡(luò)節(jié)點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程在節(jié)點上的一個安全模塊中進行。

?

6.3端到端加密

端到端加密（又稱脫線加密）是指對一對用戶之間的數(shù)據(jù)連續(xù)地提供保護，如圖3-12所示。它允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在。消息在到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即使有節(jié)點被損壞也不會使消息泄露。

?

7、認證技術(shù)

加密是為了隱蔽消息的內(nèi)容，而認證的目的有三個：消息完整性認證、身份認證、消息的序號和操作時間。

• • 一是消息完整性認證，即驗證信息在傳送或存儲過程中是否被篡改；
  • 二是身份認證，即驗證消息的收發(fā)者是否持有正確的身份認證符，如口令、密鑰等；
  • 三是消息的序號和操作時間（時間性）等的認證，其目的是防止消息重放或延遲等攻擊。

?

8、認證技術(shù)的分層模型

認證技術(shù)分為三層：安全管理協(xié)議、認證體制和密碼體制。

?

9、認證體制的要求與模型

一個安全的認證體制應(yīng)該至少滿足以下要求：

• • 意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性。
  • 消息的發(fā)送者對所發(fā)的消息不能抵賴，有時也要求消息的接收者不能否認收到的消息。
  • 除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。

?

11、數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是一種實現(xiàn)消息完整性認證和身份認證的重要技術(shù)。

?

12、消息認證技術(shù)

消息認證目的包括：消息內(nèi)容認證（即消息完整性認證）、消息的源和宿認證（即身份認證）及消息的序號和操作時間認證。

?

13、從參與電子政務(wù)與電子商務(wù)的用戶實體出發(fā)，應(yīng)用系統(tǒng)常規(guī)的安全需求通常包括：

• 認證需求：提供某個實體（人或系統(tǒng)）的身份保證。
• 訪問控制需求：保護資源，以防止被非法使用和操作。
• 保密需求：保護信息不被泄漏或暴露給非授權(quán)的實體。
• 數(shù)據(jù)完整性需求：保護數(shù)據(jù)以防止未經(jīng)授權(quán)的增刪、修改和替代。
• 不可否認需求：防止參與某次通信交換的一方事后否認本次交換曾經(jīng)發(fā)生過。

?

14、公開密鑰基礎(chǔ)設(shè)施（PKI）

公鑰基礎(chǔ)設(shè)施主要包括：認證機構(gòu)CA、證書庫、密鑰備份（即恢復系統(tǒng)）、證書作廢處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)

?

14.1 ?CA是數(shù)字證書的簽發(fā)機構(gòu)，是PKI的核心。并且是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機構(gòu)。

?

?

15、PKI的特點

PKI是一個用公鑰概念與技術(shù)來提供一套具有通用性的安全服務(wù)，其特點是：

• • 節(jié)省費用；
  • 互操作性；
  • 開放性；
  • 一致的解決方案；
  • 可驗證性；
  • 可選擇性。

?

?

第四章 防火墻技術(shù)

1、防火墻的定義

防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預測的、潛在破壞性的侵擾。

?

2、防火墻的五大基本功能

• 過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；
• ?管理進、出網(wǎng)絡(luò)的訪問行為；
• ?封堵某些禁止的業(yè)務(wù)；
• ?記錄通過防火墻的信息內(nèi)容和活動；
• ?對網(wǎng)絡(luò)攻擊的檢測和告警。

?

3、防火墻的局限性

• 網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價
• ?防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失

?

4、防火墻的體系結(jié)構(gòu)

目前，防火墻的體系結(jié)構(gòu)一般有以下幾種：

（1）雙重宿主主機體系結(jié)構(gòu)；

（2）屏蔽主機體系結(jié)構(gòu)；

（3）屏蔽子網(wǎng)體系結(jié)構(gòu)。

?

4.1 雙重宿主主機體系結(jié)構(gòu)

• 圍繞具有雙重宿主的主機計算機而構(gòu)筑；
• 計算機至少有兩個網(wǎng)絡(luò)接口；
• 計算機充當與這些接口相連的網(wǎng)絡(luò)之間的路由器；
• 防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信；
• 防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機通信。

?

?

4.2屏蔽主機體系結(jié)構(gòu)

• 提供安全保護的堡壘主機僅僅與被保護的內(nèi)部網(wǎng)絡(luò)相連；
• 是外部網(wǎng)絡(luò)上的主機連接內(nèi)部網(wǎng)絡(luò)的橋梁；
• 堡壘主機需要擁有高等級的安全；
• 還使用一個單獨的過濾路由器來提供主要安全；
• 路由器中有數(shù)據(jù)包過濾策略。

?

?

4.3屏蔽子網(wǎng)體系結(jié)構(gòu)

?

?

4.3.1周邊網(wǎng)絡(luò)

周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與被保護的內(nèi)部網(wǎng)絡(luò)之間的附加網(wǎng)絡(luò),提供一個附加的保護層防止內(nèi)部信息流的暴露 .

?

4.3.2堡壘主機

堡壘主機為內(nèi)部網(wǎng)絡(luò)服務(wù)的功能有：

（1）接收外來的電子郵件（SMTP），再分發(fā)給相應(yīng)的站點；

（2）接收外來的FTP連接，再轉(zhuǎn)接到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；

（3）接收外來的對有關(guān)內(nèi)部網(wǎng)站點的域名服務(wù)（DNS）查詢。

堡壘主機向外的服務(wù)功能按以下方法實施：

（1）在路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。

（2）設(shè)置代理服務(wù)器在堡壘主機上運行，允許內(nèi)部網(wǎng)的用戶間接地訪問外部網(wǎng)的服務(wù)器。也可以設(shè)置數(shù)據(jù)包過濾，允許內(nèi)部網(wǎng)的用戶與堡壘主機上的代理服務(wù)器進行交互，但是禁止內(nèi)部網(wǎng)的用戶直接與外部網(wǎng)進行通信。

?

4.3.3內(nèi)部路由器

保護內(nèi)部的網(wǎng)絡(luò)使之免受外部網(wǎng)和周邊網(wǎng)的侵犯，內(nèi)部路由器完成防火墻的大部分數(shù)據(jù)包過濾工作。?

?

4.3.4外部路由器

保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自外部網(wǎng)絡(luò)的侵犯，通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器一般由外界提供。

?

5、防火墻技術(shù)

從工作原理角度看，防火墻主要可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩種類型防火墻的具體實現(xiàn)技術(shù)主要有包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測技術(shù)、NAT技術(shù)等。

?

6、包過濾技術(shù)

• 包過濾防火墻工作在網(wǎng)絡(luò)層
• ?利用訪問控制列表（ACL）對數(shù)據(jù)包進行過濾
• ?過濾依據(jù)是TCP/IP數(shù)據(jù)包：
  • ?源地址和目的地址
  • ?所用端口號
  • ?協(xié)議狀態(tài)
• ?優(yōu)點是邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好
• ?缺點有二：
  • 一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；
  • 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

?

7、數(shù)據(jù)包過濾的主要依據(jù)有

（1）數(shù)據(jù)包的源地址；

（2）數(shù)據(jù)包的目的地址；

（3）數(shù)據(jù)包的協(xié)議類型（TCP、UDP、ICMP等）；

（4）TCP或UDP的源端口；

（5）TCP或UDP的目的端口；

（6）ICMP消息類型；

?

8、包過濾方式優(yōu)點

• 僅用一個放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡(luò)
• 包過濾工作對用戶來講是透明的。這種透明就是可在不要求用戶作任何操作的前提下完成包過濾。

?

9、包過濾防火墻的缺陷

• 不能徹底防止地址欺騙。
• 無法執(zhí)行某些安全策略
• 安全性較差
• 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾
• 管理功能弱?

?

10、代理服務(wù)技術(shù)

代理防火墻（Proxy）是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。

?

?

?

• 代理防火墻工作于應(yīng)用層；
• 針對特定的應(yīng)用層協(xié)議；
• 代理服務(wù)器（Proxy Server）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有請求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)；
• 代理客戶機（Proxy Client）負責代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)；?

?

11、應(yīng)用層網(wǎng)關(guān)型防火墻

• 核心技術(shù)就是代理服務(wù)器技術(shù)；
• 優(yōu)點就是安全，是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點；
• 最大缺點就是速度相對比較慢。

?

12、電路層網(wǎng)關(guān)防火墻

• 一般采用自適應(yīng)代理技術(shù)
• 有兩個基本要素：
  • ?自適應(yīng)代理服務(wù)器（Adaptive Proxy Server）
  • ?動態(tài)包過濾器（Dynamic Packet Filter）

?

13、代理技術(shù)的優(yōu)缺點

優(yōu)點：

• 代理易于配置
• 代理能生成各項記錄
• 代理能靈活、完全地控制進出流量、內(nèi)容
• 代理能過濾數(shù)據(jù)內(nèi)容
• 代理能為用戶提供透明的加密機制
• 代理可以方便地與其他安全手段集成

缺點：

• 代理速度較路由器慢；
• 代理對用戶不透明；
• 對于每項服務(wù)代理可能要求不同的服務(wù)器；
• 代理服務(wù)不能保證免受所有協(xié)議弱點的限制；
• 代理不能改進底層協(xié)議的安全性。?

?

14、狀態(tài)檢測技術(shù)的工作原理

基于狀態(tài)檢測技術(shù)的防火墻是由Check Point軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻?；跔顟B(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施檢測。它將抽取的狀態(tài)信息動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。檢測引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)某個連接的參數(shù)有意外變化，則立即將其終止。

?

15、狀態(tài)檢測技術(shù)的特點

狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務(wù)器防火墻的長處，克服了兩者的不足，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。

?

16、狀態(tài)檢測技術(shù)的特點

優(yōu)點 ：

• ?高安全性
• ?高效性
• ?可伸縮性和易擴展性

不足：

• ?主要體現(xiàn)在對大量狀態(tài)信息的處理過程可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。

?

17、NAT技術(shù)的工作原理

它是一個IETF（Internet Engineering Task Force, Internet工程任務(wù)組）的標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。顧名思義，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

?

18、NAT技術(shù)的類型

靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT

?

19、NAT技術(shù)的優(yōu)缺點

優(yōu)點：

• 所有內(nèi)部的IP地址對外面的人來說是隱蔽的。因為這個原因，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊。
• ?如果因為某種原因公共IP地址資源比較短缺的話，NAT技術(shù)可以使整個內(nèi)部網(wǎng)絡(luò)共享一個IP地址。
• ?可以啟用基本的包過濾防火墻安全機制，因為所有傳入的數(shù)據(jù)包如果沒有專門指定配置到NAT，那么就會被丟棄。內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò)。

缺點：

NAT技術(shù)的缺點和包過濾防火墻的缺點類似，雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全，但也存在一些類似的局限。此外，內(nèi)部網(wǎng)絡(luò)利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT進行外部連接，就像它可以穿過包過濾防火墻一樣的容易。

?

20、配置域名服務(wù)器

命令：dns

?

21、增加用戶

命令：adduser

?

22、個人防火墻概述

個人防火墻是一個運行在單臺計算機上的軟件，它可以截取進出計算機的TCP/IP網(wǎng)絡(luò)連接數(shù)據(jù)包，并使用預先定義的規(guī)則允許或禁止其連接。通常，個人防火墻安裝在計算機網(wǎng)絡(luò)接口的較低級別上，監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

?

23、個人防火墻的主要功能

• IP 數(shù)據(jù)包過濾功能
• 安全規(guī)則的修訂功能
• 對特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能
• 應(yīng)用程序網(wǎng)絡(luò)訪問控制功能
• 網(wǎng)絡(luò)快速切斷/恢復功能
• 日志記錄功能
• 網(wǎng)絡(luò)攻擊的報警功能
• 產(chǎn)品自身安全功能

?

24、個人防火墻的特點

個人防火墻的優(yōu)點：

• 增加了保護級別，不需要額外的硬件資源；
• 個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊；
• 個人防火墻是對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護，能夠為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。

個人防火墻的缺點：

• 個人防火墻對公共網(wǎng)絡(luò)只有一個物理接口，導致個人防火墻本身容易受到威脅；
• ?個人防火墻在運行時需要占用個人計算機的內(nèi)存、CPU時間等資源；
• ?個人防火墻只能對單機提供保護，不能保護網(wǎng)絡(luò)系統(tǒng)。

?

25、防火墻發(fā)展動態(tài)和趨勢

25.1防火墻的缺陷主要表現(xiàn)在：

• 不能防范不經(jīng)由防火墻的攻擊。
• 還不能防止感染了病毒的軟件或文件的傳輸。
• 不能防止數(shù)據(jù)驅(qū)動式攻擊。
• 在高流量的網(wǎng)絡(luò)中，防火墻還容易成為網(wǎng)絡(luò)的瓶頸。
• 存在著安裝、管理、配置復雜的缺點?

?

25.2防火墻的發(fā)展趨勢：

• 優(yōu)良的性能
• 可擴展的結(jié)構(gòu)和功能
• 簡化的安裝與管理
• 主動過濾
• 防病毒與防黑客
• 發(fā)展聯(lián)動技術(shù)

?

?

第五章 入侵檢測技術(shù)

1、入侵檢測系統(tǒng)（IDS）

入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

入侵檢測系統(tǒng)就是執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品。

?

2、入侵檢測系統(tǒng)需要解決兩個問題：

• 如何充分并可靠地提取描述行為特征的數(shù)據(jù)；
• 如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。

?

3、入侵檢測系統(tǒng)結(jié)構(gòu)

從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠程管理四大部分。

?

4、入侵檢測系統(tǒng)分類

入侵檢測按照不同的標準可分別從數(shù)據(jù)源、檢測理論、檢測時效三個方面來描述入侵檢測系統(tǒng)的類型。

?

5、基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

?

5.1 異常檢測指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

?

5.2誤用檢測指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

?

6、基于檢測時效的分類

在線檢測和離線檢測

?

7、入侵檢測分析模型

入侵檢測的分析處理過程可分為三個階段：構(gòu)建分析器，對實際現(xiàn)場數(shù)據(jù)進行分析，反饋和提煉過程。

?

8、誤用檢測

誤用檢測是按照預定模式搜尋事件數(shù)據(jù)的，最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方法。

1．條件概率預測法

2．產(chǎn)生式/專家系統(tǒng)

3．狀態(tài)轉(zhuǎn)換方法

4．用于批模式分析的信息檢索技術(shù)

5．Keystroke Monitor和基于模型的方法

?

9、異常檢測

異常檢測基于一個假定：用戶的行為是可預測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會適應(yīng)用戶行為的變化。

1．Denning的原始模型

2．量化分析

3．統(tǒng)計度量?

4．非參數(shù)統(tǒng)計度量

5．基于規(guī)則的方法

?

10、分布式入侵檢測的優(yōu)勢

分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機IDS具有一些明顯的優(yōu)勢：

???（1）檢測大范圍的攻擊行為

???（2）提高檢測的準確度

???（3）提高檢測效率

???（4）協(xié)調(diào)響應(yīng)措施

?

11、分布式入侵檢測的技術(shù)難點

分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀態(tài)空間管理及規(guī)則復雜度、知識庫管理、推理技術(shù)。

?

12、CIDF

CIDF的工作集中體現(xiàn)在四個方面：IDS的體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口API。

CIDF在IDES和NIDES的基礎(chǔ)上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。

?

13、Snort

Snort 是一個開放源代碼的免費軟件，它基于libpcap 的數(shù)據(jù)包嗅探器。

Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部分

?

第六章 網(wǎng)絡(luò)安全檢測

1、安全威脅的定義

安全威脅是指所有能夠?qū)τ嬎銠C網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)信息的機密性、可用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。

?

2、漏洞威脅等級分類

?

4、網(wǎng)絡(luò)安全漏洞檢測技術(shù)

網(wǎng)絡(luò)安全漏洞檢測主要包括端口掃描、操作系統(tǒng)探測和安全漏洞探測。

?

5、端口掃描技術(shù)

端口掃描的原理是向目標主機的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)。通過分析響應(yīng)來判斷端口是打開還是關(guān)閉等狀態(tài)信息。

?

端口掃描技術(shù)分為：

• TCP端口掃描技術(shù)
• UDP端口掃描技術(shù)

?

5.1 TCP端口掃描技術(shù)

TCP端口掃描技術(shù)主要有全連接掃描技術(shù)、半連接（SYN）掃描技術(shù)、間接掃描技術(shù)和秘密掃描技術(shù)等。

?

5.1.1全連接掃描技術(shù)

全連接掃描的工作方式是：對目標主機上感興趣的端口進行connect()連接試探，如果該端口被監(jiān)聽，則連接成功，否則表示該端口未開放或無法到達。

?

5.1.2半連接（SYN）端口掃描技術(shù)

半連接端口掃描不建立完整的TCP連接，而是只發(fā)送一個SYN信息包，就如同正在打開一個真正的TCP連接，并等待對方的回應(yīng)一樣。

?

5.2UDP端口掃描技術(shù)

UDP端口掃描主要用來確定在目標主機上有哪些UDP端口是開放的。其實現(xiàn)思想是發(fā)送零字節(jié)的UDP信息包到目標機器的各個端口，若收到一個ICMP端口不可達的回應(yīng)，則表示該UDP端口是關(guān)閉的，否則該端口就是開放的。

?

6、操作系統(tǒng)探測技術(shù)

操作系統(tǒng)探測技術(shù)主要包括：

• 獲取標識信息探測技術(shù)
• 基于TCP/IP協(xié)議棧的指紋探測技術(shù)
• 基于ICMP響應(yīng)分析探測技術(shù)

?

7、安全漏洞探測技術(shù)

按照網(wǎng)絡(luò)安全漏洞的可利用方式來劃分，漏洞探測技術(shù)可以分為：信息型漏洞探測和攻擊型漏洞探測兩種。

按照漏洞探測的技術(shù)特征，可以劃分為：基于應(yīng)用的探測技術(shù)、基于主機的探測技術(shù)、基于目標的探測技術(shù)和基于網(wǎng)絡(luò)的探測技術(shù)等。

?

8、漏洞探測技術(shù)按其技術(shù)特征可分為：

• 基于應(yīng)用的檢測技術(shù)
• 基于主機的檢測技術(shù)
• 基于目標的漏洞檢測技術(shù)
• 基于網(wǎng)絡(luò)的檢測技術(shù)

?

?

第七章 ?計算機病毒防范技術(shù)

1、計算機病毒的定義

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

?

2、計算機病毒的特性

• 計算機病毒是一個程序；
• 計算機病毒具有傳染性，可以傳染其它程序；
• 計算機病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實現(xiàn)的。

?

3、計算機病毒的特征

• 非授權(quán)可執(zhí)行性
• 隱蔽性
• 傳染性
• 潛伏性
• 表現(xiàn)性或破壞性
• 可觸發(fā)性

?

4、計算機病毒的主要危害

• 直接破壞計算機數(shù)據(jù)信息
• 占用磁盤空間和對信息的破壞
• 搶占系統(tǒng)資源
• 影響計算機運行速度
• 計算機病毒錯誤與不可預見的危害
• 計算機病毒的兼容性對系統(tǒng)運行的影響
• 給用戶造成嚴重的心理壓力

?

5、病毒的邏輯結(jié)構(gòu)

• 病毒的引導模塊；
• 病毒的傳染模塊；
• 病毒的發(fā)作（表現(xiàn)和破壞）模塊。

?

6、計算機病毒的作用機制

（1）引導機制

（2）傳染機制

（3）破壞機制

?

8、計算機病毒的分類

8.1 按照病毒攻擊的系統(tǒng)分類

（1）攻擊DOS系統(tǒng)的病毒。

（2）攻擊Windows系統(tǒng)的病毒。

（3）攻擊UNIX系統(tǒng)的病毒。

（4）攻擊OS/2系統(tǒng)的病毒。

?

8.2 按照病毒的攻擊機型分類

（1）攻擊微型計算機的病毒。

（2）攻擊小型機的計算機病毒。

（3）攻擊工作站的計算機病毒。

?

8.3 按照病毒的鏈結(jié)方式分類

（1）源碼型病毒

（2）嵌入型病毒

（3）外殼型病毒

（4）操作系統(tǒng)型病毒

?

8.4 按照病毒的破壞情況分類

（1）良性計算機病毒

（2）惡性計算機病毒

?

8.5 按照病毒的寄生方式分類

（1）引導型病毒

（2）文件型病毒

（3）復合型病毒

?

8.6 按照病毒的傳播媒介分類

（1）單機病毒

（2）網(wǎng)絡(luò)病毒

?

9、CIH病毒

CIH病毒是一種文件型病毒，感染W(wǎng)indows95/98環(huán)境下PE格式的EXE文件。

?

10、網(wǎng)絡(luò)病毒的特點

• 傳染方式多
• 傳播速度比較快
• 清除難度大
• 破壞性強
• 潛在性深

?

11、電子郵件病毒的特點

• 傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力
• 傳播速度快
• 傳播范圍廣
• 破壞力大

?

12、計算機病毒的檢測手段

12.1 特征代碼法

特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。

特征代碼法的實現(xiàn)步驟如下：

• • 采集已知病毒樣本。
  • 在病毒樣本中，抽取特征代碼。
  • 打開被檢測文件，在文件中搜索病毒特征代碼。

特征代碼法的特點：

• • 速度慢
  • 誤報警率低
  • 不能檢查多形性病毒
  • 不能對付隱蔽性病毒

?

12.2 校驗和法

將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。

優(yōu)點：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)。

????缺點：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

?

12.3 行為監(jiān)測法

利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。

優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。

????缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。

?

13、計算機病毒的防范

1．嚴格的管理

2．有效的技術(shù)

3．宏病毒的防范

4．電子郵件病毒的防范

?

14、計算機病毒的新特征

• 利用微軟漏洞主動傳播
• 局域網(wǎng)內(nèi)快速傳播
• 以多種方式傳播
• 大量消耗系統(tǒng)與網(wǎng)絡(luò)資源
• 雙程序結(jié)構(gòu)
• 用即時工具傳播病毒
• 病毒與黑客技術(shù)的融合
• 應(yīng)用軟件漏洞成為網(wǎng)頁掛馬的新寵

?

15、計算機病毒發(fā)展的趨勢及對策

• 變形病毒成為下一代病毒首要的特點。
• 與Internet和Intranet更加緊密地結(jié)合，利用一切可以利用的方式進行傳播；
• 所有的病毒都具有混合型特征，破壞性大大增強；
• 因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；
• 利用系統(tǒng)漏洞將成為病毒有力的傳播方式。

?

16、惡意代碼概述

惡意代碼是一種程序，通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染計算機的數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。

?

17、惡意代碼的特征?

• 惡意的目的
• 本身是程序
• 通過執(zhí)行發(fā)生作用

?

18、惡意代碼的分類?

• 木馬
• 網(wǎng)絡(luò)蠕蟲
• 移動代碼
• 復合型病毒

?

19、惡意代碼的關(guān)鍵技術(shù)

19.1 生存技術(shù)?

• 反跟蹤技術(shù)
• 加密技術(shù)
• 模糊變換技術(shù)
• 自動生產(chǎn)技術(shù)

?

19.2 攻擊技術(shù)

• 進程注入技術(shù)
• 三線程技術(shù)
• 端口復用技術(shù)
• 對抗檢測技術(shù)
• 端口反向連接技術(shù)
• 緩沖區(qū)溢出攻擊技術(shù)

?

19.3 隱藏技術(shù)

• 本地隱藏技術(shù) ，是指為了防止本地系統(tǒng)管理人員察覺而采取的隱蔽手段。
• 通信隱藏，常見的網(wǎng)絡(luò)通信隱蔽技術(shù)有http tunnel和icmp tunnel等 。

?

20、惡意代碼的防范

• 及時更新系統(tǒng)，修補安全漏洞
• 設(shè)置安全策略，限制腳本程序的運行
• 啟用防火墻，過濾不必要服務(wù)和系統(tǒng)信息
• 養(yǎng)成良好的上網(wǎng)習慣
• 隱藏LKMs本身

?

?

第八章 網(wǎng)絡(luò)安全解決方案

1、網(wǎng)絡(luò)信息安全的基本問題

網(wǎng)絡(luò)信息安全的基本問題是眾所周知的諸要素：可用性、保密性、完整性、可控性與可審查性等。

?

網(wǎng)絡(luò)時代的信息安全有非常獨特的特征，研究信息安全的困難在于：

• 邊界模糊
• 評估困難
• 安全技術(shù)滯后
• 管理滯后

?

2、網(wǎng)絡(luò)與信息安全體系

要實施一個完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。

• 一是社會的法律政策、規(guī)章制度措施
• 二是技術(shù)措施
• 三是審計和管理措施

?

保護、檢測、響應(yīng)、恢復涵蓋了對現(xiàn)代網(wǎng)絡(luò)信息系統(tǒng)保護的各個方面，構(gòu)成了一個完整的體系，使網(wǎng)絡(luò)信息安全建筑在更堅實的基礎(chǔ)之上。

?

3、網(wǎng)絡(luò)安全設(shè)計的基本原則

在進行計算機網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：

• 需求、風險、代價平衡分析的原則
• 綜合性、整體性原則
• 一致性原則
• 易操作性原則
• 適應(yīng)性、靈活性原則
• 多重保護原則

?

4、網(wǎng)絡(luò)安全解決方案

一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。

• 技術(shù)是關(guān)鍵
• 策略是核心
• 管理是保證

在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個方面的關(guān)系。

?

5、網(wǎng)絡(luò)安全解決方案的層次劃分

• 第一部分是社會法律、法規(guī)與手段
• 第二部分為增強的用戶認證
• 第三部分是授權(quán)
• 第四部分是加密
• 第五部分為審計和監(jiān)控和數(shù)據(jù)備份

???????這五部分相輔相成、缺一不可，其中底層是上層保障的基礎(chǔ)。

?

6、網(wǎng)絡(luò)安全解決方案設(shè)計

?

?

在網(wǎng)關(guān)位置配置多接口防火墻，將整個網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)等多個安全區(qū)域，將工作主機放置于內(nèi)部網(wǎng)絡(luò)區(qū)域，將Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等服務(wù)器放置在DMZ區(qū)域，其他區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查。

在中心交換機上配置基于網(wǎng)絡(luò)的IDS系統(tǒng)，監(jiān)控整個網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)流量。

在DMZ區(qū)內(nèi)的重要服務(wù)器上安裝基于主機的IDS系統(tǒng)，對所有對上述服務(wù)器的訪問進行監(jiān)控，并對相應(yīng)的操作進行記錄和審計。

將電子商務(wù)網(wǎng)站和進行企業(yè)普通Web發(fā)布的服務(wù)器進行獨立配置，對電子商務(wù)網(wǎng)站的訪問將需要身份認證和加密傳輸，保證電子商務(wù)的安全性。

在DMZ區(qū)的電子商務(wù)網(wǎng)站配置基于主機的入侵檢測系統(tǒng)，防止來自Internet 對Http服務(wù)的攻擊行為。

在企業(yè)總部安裝統(tǒng)一身份認證服務(wù)器，對所有需要的認證進行統(tǒng)一管理，并根據(jù)客戶的安全級別設(shè)置所需要的認證方式（如靜態(tài)口令，動態(tài)口令，數(shù)字證書等）。

?

?

7、安全管理原則

計算機信息系統(tǒng)的安全管理主要基于三個原則。

• 多人負責原則
• 任期有限原則
• 職責分離原則

總結(jié)

以上是生活随笔為你收集整理的计算机网络安全的一些概念以及知识点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。