網絡安全基礎知識網絡安全基礎知識/網絡安全基礎知識網絡安全基本知識網絡安全：是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。計算機病毒()在《""中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。木馬：利用計算機""程序漏洞侵入后竊取文件的程序被稱為木馬。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序，多不會直接對電腦產生危害，而是以控制為主。防火墻(英文：)是一項協助確保""信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。后門：指房間的背后的可以自由出入的門，相對于明顯的前門。也可以指繞過軟件的安全性控制而從比較隱秘的通道獲取對程序或系統訪問權的方法。入侵檢測（），顧名思義，就是對入侵行為的發覺。他通過對""計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。數據包監測：可以被認為是一根竊聽電話線在計算機網絡中的等價物。當某人在“監聽”網絡時，他們實際上是在閱讀和解釋網絡上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求下載一個網頁，這些操作都會使數據通過你和數據目的地之間的許多計算機。這些傳輸信息時經過的計算機都能夠看到你發送的數據，而數據包監測工具就允許某人截獲數據并且查看它。：是的縮寫，即網絡入侵檢測系統，主要用于檢測或通過網絡進行的入侵行為。的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息，比如、路由器。是：建立連接時使用的握手信號。在客戶機和服務器之間建立正常的網絡連接時，客戶機首先發出一個消息，服務器使用應答表示接收到了這個消息，最后客戶機再以消息響應。這樣在客戶機和服務器之間才能建立起可靠的連接，數據才可以在客戶機和服務器之間傳遞。加密技術：是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數據變為""亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術的應用是多方面的，但最為廣泛的還是在電子商務和上的應用，深受廣大用戶的喜愛。一、引論1、網絡安全的概念：網絡安全是在分布式網絡環境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據、信息內容或能力被非授權使用、篡改或拒絕服務。2、基于的有很多不安全的問題：1）安全。在中，當信息分組在路由器間傳遞時，對任何人都是開放的，路由器僅僅搜集信息分組中的目的地址，但不能防止其內容被窺視。2）安全。對每臺計算機的命名方案稱之為域名系統（）。3）拒絕服務（）攻擊。包括發送信息分組、郵件炸彈。4）分布式拒絕（）攻擊。分布式拒絕服務攻擊是拒絕服務群起攻擊的方式。3、維護信息載體的安全就要抵抗對網絡和系統的安全威脅。這些安全威脅包括物理侵犯（如機房入侵、設備偷竊、廢物搜尋、電子干擾等）、系統漏洞（如旁路控制、程序缺陷等）、網絡入侵（如竊聽、截獲、堵塞等）、惡意軟件（如病毒、蠕蟲、特洛伊木馬、信息炸彈等）、存儲損壞（如老化、破損等）等。為抵抗對網絡和系統的安全威脅，通常采取的安全措施包括門控系統、防火墻、防病毒、入侵檢測、漏洞掃描、存儲備份、日志審計、應急響應、災難恢復等。4、網絡安全的三個基本屬性：1）機密性（保密性）。機密性是指保證信息與信息系統不被非授權者所獲取與使用，主要防范措施是密碼技術。2）完整性。完整性是指信息是真實可信的，其發布者不被冒充，來源不被偽造，內容不被篡改，主要防范措施是校驗與認證技術。3）可用性。可用性是指保證信息與信息系統可被授權人正常使用，主要防范措施是確保信息與信息系統處于一個可靠的運行狀態之下。5、國際標準化組織在開放系統互聯標準中定義了7個層次的參考模型：1）物理層。2）數據鏈接層。3）網絡層。4）傳輸層。5）會話層。6）表示層。7）應用層。6、粗略地，可把信息安全分成3個階段。1）通信安全（）、計算機安全（）和網絡安全（）。7、可信計算機系統評估準則（,）共分為如下4類7級：1）D級，安全保護欠缺級。2）C1級，自主安全保護級。3）C2級，受控存儲保護級。4）B1級，標記安全保護級。5）B2級，結構化保護級。6）B3級，安全域保護級。7）A1級，驗證設計級。8、密碼學研究包括兩部分內容：一是加密算法的設計和研究；一是密碼分析，即密碼破譯技術。9、對稱密鑰密碼技術是傳統的簡單換位、代替密碼發展而來的，從加密模式上可分為兩類：1）序列密碼。序列密碼一直作為軍事和外交場合使用的主要密碼技術之一，它的主要原理是，通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流，逐位加密得到密文序列，所以，序列密碼算法的安全強度取決于它產生的偽隨機序列的好壞。2）分組密碼。分組密碼的工作方式是將明文分成固定長度的組（塊）（如64位一組），用同一密鑰和算法對每一塊加密，輸出固定長度的密文。 公鑰密碼技術：公鑰技術是在密碼體制中加密和解密采用兩個不同的相關的密鑰的技術，又稱不對稱密鑰技術。 兩者的比較：因為對稱密碼系統具有加解密速度快、安全強度高等優點，在軍事、外交及商業應用中使用得越來越普遍；由于存在密鑰發行與管理方面的不足，在提供數字簽名、身份驗證等方面需要與公開密鑰密碼系統共同使用，以達到更好的安全效果。公共密鑰的優點在于，也許你并不認識某一實體，但只要你的服務器認為該實體證書權威是可靠的，就可以進行安全通信，而這正是電子商務這樣的業務所要求的，如信用卡購物。二、風險分析1、攻擊的類型：1）阻斷攻擊。2）截取攻擊。3）篡改攻擊。4）偽造攻擊。2、主動攻擊與被動攻擊的區分：竊聽、監聽都具有被動攻擊的本性，攻擊者的目的是獲取正在傳輸的信息，被動攻擊包括傳輸報文內容的泄漏和通信流量分析。主動攻擊包含對數據流的某些修改，或者生成一個假的數據流。它可以分成4類：1）偽裝。2、回答（重放）。3）修改報文。4）拒絕服務。3、常見的篡改服務攻擊有3種：1）改變。2）插入。3）刪除。4、拒絕服務攻擊可分成以下4種：1）拒絕訪問信息。2）拒絕訪問應用。3）拒絕訪問系統。4）拒絕訪問通信。5、風險的概念：風險是構成安全基礎的基本觀念。風險是丟失需要保護的資產的可能性。 威脅+漏洞=風險6、風險測量必須識別出在受到攻擊后該組織需要付出的代價。代價包括資金、時間、資源、信譽及丟失生意等。三、安全策略1、系統管理程序：1）軟件更新。2）漏洞掃描。3）策略檢查。4）登錄檢查。5）常規監控。2、一個恰當的災難恢復計劃應考慮各種故障的級別：單個系統、數據中心、整個系統。 災難恢復計劃應考慮：1）單個系統或設備故障。2）數據中心事件。3）場地破壞事件。4）災難恢復計劃的測試。3、安全策略的生成步驟：1）確定重要的策略。2）確定可接受的行為。3）征求建議。4）策略的開發。四、網絡信息安全服務*1、機密性服務包括：1）文件機密性。2）信息傳輸機密性。3）通信流機密性。*2、完整性服務包括：1）文件完整性。2）信息傳輸完整性。*3、可用性服務包括：1）后備。2）在線恢復。3）災難恢復。4、網絡環境下的身份鑒別：1）身份認證技術（常見的有口令技術和采用物理形式的身份認證標記進行身份認證的鑒別技術）。2）身份認證協議（會話密鑰、共享密鑰認證和公鑰認證。）5、訪問控制：訪問控制是確定來訪實體有否訪問權以及實施訪問權限的過程。五、安全體系結構1、可信系統體系結構概述：如果保護在硬件層實現，保護機制更簡單，可提供廣泛的通用的保護。越是層次向上升，越是增加復雜性，而功能則更加專門和細粒度。最高層也最復雜，因為它直接向用戶提供廣泛的功能和選項。功能和安全復雜性增加，則越靠近用戶。復雜性增加，則安全機制的級別越低。*2、網絡體系結構的觀點（課本P74）3、加密機制。1）加密既能為數據提供機密性，也能為通信業務流信息提供機密性，并且是其他安全機制中的一部分或對安全機制起補充作用。2）加密算法可以是可逆的，也可以是不可逆的。3）除了某些不可逆加密算法的情況外，加密機制的存在便意味著要使用密鑰管理機制。 4、大多數應用不要求在多個層加密，加密層的選取主要取決于下列幾個因素：1）如果要求全通信業務流機密性，那么選取物理層加密，或傳輸安全手段（如適當的擴頻技術）。2）如果要求細粒度保護（即對不同應用提供不同的密鑰），和抗否認或選擇字段保護，那么將選取表示層加密。3）如果希望實現所有客戶端系統通信的簡單塊保護，或希望有一個外部的加密設備（例如，為了給算法和密鑰加物理保護，或防止錯誤軟件），那么將選取網絡層加密。4）如果要求帶恢復的完整性，同時又具有細粒度保護，那么將選取傳輸層加密。5）對于今后的實施，不推薦在數據鏈接層上加密。6、數字簽名機制的特點：1）簽名過程使用簽名者的私有信息作為密鑰，或對數據單元進行加密，或產生出該數據單元的一個密碼校驗值。2）驗證過程使用公開的規程與信息來決定該簽名是否是用簽名者的私有信息產生的。3）簽名機制的本質特征為該簽名只有使用簽名者的私有信息才能產生出來。因而，當該簽名得到驗證后，它能在事后的任何時候向第三方（例如法官或仲裁人）證明只有那個私有信息的唯一擁有者才能產生這個簽名。六、安全體系結構之一1、局域網的安全。防御方法：1）防火墻。2）特權區（）。3）連接。2、無線網面臨著一系列有線網沒有的不安全風險，包括：1）分組嗅測（）。2)服務集標識（）信息。3)假冒()。4）寄生者（）。5）直接安全漏洞（）。3、風險緩解的方法：1)打標簽。2）廣播。3）無線放置。4）過濾。5）。6）其他密碼系統。7）網絡體系結構。4、課本P107圖6-3處理。5、和的風險 課本P110圖6-4作為攻擊的受損。6、所有的分段機制有兩個主要風險：丟失分段和組裝數據的容量。此外分段管理的類型能導致丟失數據分段。 分段的風險：1）丟失分段攻擊。2）最大的不分段大小。3）分段重組。7、風險：1）地址沖突。2）攔截。3）回答攻擊。4）分組風暴。5）分段攻擊。）6）轉換通道。七、安全體系結構之二1、攻擊：1）攻擊。2）和攻擊。3）攻擊。4）攻擊。*2、緩解對攻擊的方法：1）改變系統框架。2）阻斷攻擊指向。3）識別網絡設備。4）狀態分組校驗。5）入侵檢測系統（）。6）入侵防御系統（）。*3、攻擊：1）非法的進入源。2）攔截。3）保持存活攻擊。4）攻擊。5）偵察。4、風險：1）直接風險（無身份鑒別的響應、緩存受損、盲目攻擊、破壞分組）。2）技術風險（域攔截、服務器攔截、更新持續時間、動態）。3）社會風險（相似的主機名、自動名字實現、社會工程、域更新）。#5、緩解風險的方法：1）直接威脅緩解。基本的維護和網絡分段能限制直接威脅的影響。 1、補丁：服務器的增強版經常會發布，服務器和主機平臺應定期打補丁 和維護。 2、內部和外部域分開：服務器應該是分開的。大的網絡應考慮在內部網絡分 段間分開設置服務器，以限制單個服務器破壞的影響，且能夠平衡負載。 3、限制域或轉換：域的轉換限制于特定的主機，且由網絡地址或硬件地址標識。這 個方案對和的偽裝攻擊是脆弱的，但對任意的主機請求域轉換確實是有用的。 4、鑒別的域轉換：采用數字簽名和鑒別域轉換能減少來自域轉換攔截和破壞的影響。 5、有限的緩沖間隔：緩沖間隔減少至低于回答規定的值，可以減少緩沖器受損的損壞裝口。 6、拒絕不匹配的回答：假如緩沖服務器接到多個具有不同值的回答，全部緩 沖器應刷新。雖然這會影響緩沖器性能，但它消除了長期緩沖器受損的風險。2）技術威脅的緩解。技術風險預防方法包括網絡、主機和本地環境。 1、加固服務器：限制遠程可訪問進程的數量，就能限制潛在攻擊的數量。加固服務 器可降低來自技術攻擊的威脅。 2、防火墻：在服務器前放置硬件防火墻限制了遠程攻擊的數量。3）偵察威脅的緩解。 1、限制提供信息：這可以緩解攻擊者偵察的威脅，雖然不能完全做到， 但可限制提供信息的類型和數量。 2、限制域轉換：域的轉換僅限于鑒別過的主機。雖然不能組織蠻力主機的查找，但 可組織偵察。 3、限制請求：限制請求的數量可由任何單個網絡地址完成。雖然不能防止蠻 力域監聽，但是可設置障礙。 4、去除反向查找：假定反向查找不是必須的，那么去除它。這可限制蠻力域監聽的 影響。 5、分開內部和外部域：域服務器應該是分開的，以確保的信息保持在 。特別是內部主機名應該不允許外部可觀察。 6、去除額外信息：不是直接為外部用戶使用的信息應該去除，例如，，這些信息。 7、隱藏版本：對允許本地登錄或遠程狀態報告的服務器，這些版本可 能被泄漏。因為不同的版本和不同的利用相關，應該修改版本以報告假信息或將其去 除。4）社會威脅緩解。除了對用戶進行培訓，防止相似主機名和自動名字完成的風險，還有： 1、監控相似域：經常搜索域名的變化。當發現有相似主機名的標識，提供者 要求他們關掉。雖然這是一個復雜的耗時的任務，但這是監控相似域名的一種專門服 務。 2、鎖住域：使用支持域名鎖定的域注冊者。這需要一些附加信息，諸如賬戶信息、 轉換域名的口令。 3、使用有效聯系：在域注冊中提供一個或多個有效聯系方法，以允許用戶和注冊者 聯系域主。但不需要專門的人名或個人信息，以免攻擊者使用這些信息攻擊域主。 4、不間斷支持：選擇一天24小時，一周7天不間斷支持的域注冊者。這樣在任何 時候可和注冊者聯系，以解決有關域的問題。 5、自己主持：大的單位應選擇稱為擁有管理自己域的注冊者。5）優化設置。6）確定可信的回答。6、P133圖7-2協議會話過程示意圖。八、防火墻1、防火墻一般安防在被保護網絡的邊界，必須做到以下幾點，才能使防火墻起到安全防護的作用：1）所有進出被保護網絡的通信必須通過防火墻。2）所有通過防火墻的通信必須經過安全策略的過濾或者防火墻的授權。3）防火墻本身是不可被侵入的。*2、防火墻的功能：1）訪問控制功能。2）內容控制功能。3)全面的日志功能。4）集中管理功能。5）自身的安全和可用性。拒絕服務攻擊主要有以下幾種形式：（記住四種解釋）:該攻擊以多個隨機的源主機地址向目的主機發送包，而在收到目的主機的后并不回應，這樣目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。:該攻擊向一個子網的廣播地址發一個帶有特定請求（如回應請求）的包，并且將源地址偽裝成想要攻擊的主機地址。子網上所有的主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。：攻擊者將一個數據包的源地址和目的地址都設置為目標主機的地址，然后將該數據包通過欺騙的方式發送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環，從而很大程度地減低了系統性能。:根據的規范，一個包的長度最大為65536B，但發送較大的包時將進行分片，這些分片到達目的主機時又重新組合起來。在攻擊時，各分片組合后的總長度將超過65536B，在這種情況下會造成某些操作的宕機。4、防火墻的局限性：1）防火墻不能防范不經由防火墻的攻擊。2)防火墻不能防止感染了病毒的軟件或文件的傳輸。3）防火墻不能防止數據驅動式攻擊。4）防火墻不能防范惡意的內部人員侵入。5）防火墻不能防范不斷更新的攻擊方式，防火墻制定的安全策略是在已知的攻擊模式下制定的，所以對全新的攻擊方式缺少阻止功能。*5、防火墻技術：1）包過濾技術。2）應用網關技術。3）狀態檢測防火墻。4）電路級網關。5）代理服務器技術。6、堡壘主機：其得名于古代戰爭中用于防守的堅固堡壘，它位于內部網絡的最外層，像堡壘一樣對內部網絡進行保護。 構建堡壘主機的要點：1）選擇合適的操作系統。它需要可靠性好、支持性好、可配置性好。2）堡壘主機的安裝位置。堡壘主機應該安裝在不傳輸保密信息的網絡上，最好它處于一個獨立網絡中，比如。3）堡壘主機提供的服務。堡壘主機需要提供內部網絡訪問的服務，內部主機可以通過堡壘主機訪問，另外內部網絡也需要向提供服務。4）保護系統日志。作為一個安全性舉足輕重的主機，堡壘主機必須有完善的日志系統，而且必須對系統日志進行保護。5）監測和備份。最簡單的方式是把備份存儲到與堡壘主機直接相連的磁帶機上。7、防火墻的發展趨勢：1）高安全性和高效率。2）數據加密技術的使用，使合法訪問更安全。3）混合使用包過濾技術、代理服務技術和其他一些新技術。4）協議的變化將對防火墻的建立與運行產生深刻的影響。5）分布式防火墻的應用。6）對數據包的全方位的檢查。九、1、的概念：是的縮寫，是將物理分布在不同地點的網絡通過共用骨干網，尤其是連接而成的邏輯上的虛擬子網。2、的類型：1）(遠程訪問)、(企業內部)和(企業擴展)。3、的優點：1)降低成本。2）易于擴展。3）保證安全。4、隧道技術通過對數據進行封裝，在公共網絡上建立一條數據通道（隧道），讓數據包通過這條隧道傳輸。生成隧道的協議有兩種：第二層隧道協議和第三層隧道協議。5、課本P181圖9-8L2控制報文。要求能判斷其類型。十、1、的概念：（）是一種由設計的端到端的確保層通信安全的機制2、的功能：1）作為一個隧道協議實現了通信。2）保證數據來源可靠。3）保證數據完整性。4）保證數據機密性。3、P188圖10-1體系結構。*4、運行模式：1）傳輸模式。2）隧道模式。十一、黑客技術1、黑客攻擊的流程，見課本P208圖11-1黑客攻擊流程圖。十二、漏洞掃描1、計算機漏洞的概念：計算機漏洞是系統的一組特性，惡意的主體（攻擊者或者攻擊程序）能夠利用這組特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統造成損害。2、存在漏洞的原因：1）軟件或協議設計時的瑕疵。2）軟件或協議實現中的弱點。3）軟件本身的瑕疵。4）系統和網絡的錯誤配置。3、漏洞檢測所要尋找的漏洞主要包括以下幾個類別：1）操作系統漏洞。2）應用服務器漏洞。3）配置漏洞。4、常用網絡掃描工具：1）。2）網絡主機掃描程序。3）。4）。5）十三章、入侵檢測1、入侵檢測的概念：入侵檢測是從計算機網絡或計算機系統中的若干關鍵點搜集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到襲擊的跡象的一種機制。*2、基于主機的入侵檢測系統：1）網絡連接檢測。2）主機文件檢測。3、異常檢測技術（——基于行為的檢測）的基本原理 異常檢測技術也稱為基于行為的檢測技術，是指根據用戶的行為和系統資源的使用狀況判斷是否存在網絡入侵。 異常檢測技術首先假設網絡攻擊行為是不常見的或是異常的，區別在于所有的正常行為。如果能夠為用戶和系統的所有正常行為總結活動規律并建立行為模型，那么入侵檢測系統可以將當前捕獲到的網絡行為與行為模型相對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。4、誤用檢測技術入侵檢測系統的基本原理：誤用檢測技術也稱為基于知識的檢測技術或者模式匹配檢測技術。它的前提是假設所有的網絡攻擊行為和方法都具有一定的模式或特征，如果把以往發現的所有網絡攻擊的特征總結出來并建立一個入侵信息庫，那么入侵檢測系統就可以將當前捕獲的網絡行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為就被認定為入侵行為。5、異常檢測技術和誤用檢測技術的比較：無論哪種入侵檢測技術都需要搜集總結有關網絡入侵行為的各種知識，或者系統及其用戶的各種行為的知識。基于異常檢測技術的入侵檢測系統如果向檢測到所有網絡入侵行為，必須掌握被保護系統已知行為和預期行為的所有信息，這一點實際上無法做到，因此入侵檢測系統必須不斷學習并更新已有的行為輪廓。對于基于誤用檢測技術的入侵檢測系統而言，只有擁有所有可能的入侵行為的先驗知識，而且必須能識別各種入侵行為的過程細節或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，而這種情況也不存在，該類入侵檢測系統只能檢測出已有的入侵模式，必須不斷地對新出現的入侵行為進行總結和歸納。在入侵系統配置方面，基于異常檢測技術的入侵檢測系統通常比基于誤用檢測技術的入侵系統所做的工作要少很多，因為異常檢測需要對系統和用于的行為輪廓進行不斷地學習更新，需要大量的數據分析處理工作，要求管理員能夠總結出被保護系統的所有正常行為狀態，對系統的已知和期望行為進行全面的分析，因此配置難度相對比較大。但是，有些基于誤用檢測技術的入侵系統允許管理人員對入侵特征數據庫進行修改，甚至允許管理人員自己根據所發現的攻擊行為創建新的網絡入侵特征規則記錄，這種入侵檢測系統在系統配置方面的工作會顯著增加。基于異常檢測技術的入侵檢測系統所輸出的檢測結果，通常是在對實際行為輪廓進行異常分析等相關處理后得出的，這類入侵檢測系統的檢測報告通常會比基于誤用檢測技術的入侵檢測系統具有更多的數據量，因為任何超過行為輪廓范圍的時間都將被檢測出來并寫入報告。而大多數基于誤用檢測技術的入侵檢測系統，是將當前行為模式與已有行為模式進行匹配后產生檢測結論，其輸出內容是列舉出入侵行為的類型和名稱，以及提供相應的處理建議。6、入侵檢測系統的優點：1）可以檢測和分析系統事件以及用戶的行為。2）可以檢測系統設置的安全狀態。3）以系統的安全狀態為基礎，跟蹤任何對系統安全的修改操作。4）通過模式識別等技術從通信行為中檢測出已知的攻擊行為。5）可以對網絡通信行為進行統計，并檢測分析。6）管理操作系統認證和日志機制并對產生的數據進行分析處理。7）在檢測到攻