漏洞类型–分为操作系统漏洞、网络协议漏洞、数据库漏洞、网络服务漏洞
操作系统漏洞
操作系统陷门
输入输出的非法访问
访问控制的混乱
不完全的中介
网络协议漏洞--TCP/IP的目标是保证通信和传输 数据库漏洞--数据库的安全是以操作系统的安全为基础的 网络服务漏洞 匿名FTP 电子邮件 域名服务
Web服务
网络安全机制–OSI网络安全体系 书本P9
八项
加密机制
数据加密是提供信息保密的主要方法,可以保护数据存储和传输的保密性
数字签名机制 数字签名可解决传统手工签名中存在的安全缺陷,在电子商务中使用比较广泛 访问控制机制
访问控制机制可以控制哪些用户对哪些资源进行访问,以及对这些资源可以访问到什么程度 数据完整性机制
数据完整性机制保护网络系统中存储和传输的软件(程序)和数据不被非法改变,如添加、删除、修改等 交换鉴定机制 交换鉴别机制是通过相互交换信息来确定彼此的身份
信息量填充机制 攻击者将对传输信息的长度、频率等特征进行统计,以便进行信息流量分析,从中得到对其有用的信息 路由控制机制
路由控制机制可以指定通过网络发送数据的路径,采取该机制可以选择那些可信度高的结点传输信息 公证机制
公证机制就是在网络中设立一个公证机构。来中转各方交换的信息,并从中提取相关证据,以便对可能发生的纠纷做出仲裁
P2DR网络安全模型
图片模型书本 P11
P2DR模型的基本思想:在整体安全策略的控制和指导下,在综合运用防护工具(防火墙、身份认证等)的同时,利用检测工具(漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态
P2DR是美国互联网安全系统公司(ISS)提出的动态网络安全体系的代表模型,包括4个主要部分
Policy策略
在建立网络安全系统时,一个重要任务就是指定网络安全策略
Protection防护 防护是根据系统可能出现的安全问题采取一些预防措施,通过一些传统的静态安全技术及方法来实现的。
安全防护是P2DR模型中最重要的部分,通过它可以预防大多数的入侵事件 Detection检测
攻击者如果穿过防护系统,检测系统就要将其检测出来,如检测入侵者身份、攻击源点和系统损失等
检测与防护有根本的区别:防护主要是修补系统和网络缺陷,增加系统的安全性能 而检测是根据入侵事件的特征进行的 Response响应
系统一旦检测出有入侵行为,响应系统则开始响应,进行事件处理。 响应的主要工作可分为紧急响应和恢复处理两种
紧急响应就是当安全事件发生时采取的应对措施,恢复处理是指事件发生后,把系统恢复到原来状态或比原来更安全的状态
PDRR网络安全模型–模型图片在书本P13
是美国国防部提出的安全模型,它包括了四个环节
Protection防护
Detection检测
Response响应
Recovery恢复
PDRR模式是一种公认的比较完善也比较有效的网络信息安全解决方案,可用于政府、机关、企业等机构的网络系统
PDRR模型与前述的P2DR模型有很多相似之处,其中防护和检测两个环节的基本思想是相同的,P2DR模型中的响应环节包含了紧急响应和恢复处理两部分,而在PDRR模型中响应和恢复是分开的内容也有所拓展
可信计算机系统评价准则
计算机网络系统的安全评价,通常采用美国国防部计算机安全中心指定的《可信计算机系统评估准则》(TCSEC)
TCSEC中根据计算机系统所采用的安全策略、系统所具备的安全功能将系统分为A、B(B1、B2、B3)、C(C1、C2)和D等四类七个安全级别
D类(最低安全级别):该类未加任何实际的安全措施,系统软硬件都容易被攻击,这是安全级别最低的一类,不再分级
C类(被动的自主访问策略),该类又分为以下两个子类(级)
C1级(无条件的安全保护)这是C类中安全性较低的一级
C2级(有控制的访问保护级):这是C类中安全性较高的一级
B类(被动的强制访问策略类):该类要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视。该类又分为以下三个子类(级)
B1级(标记安全保护级):它是B类中安全性最低的一级。该级是支持秘密、绝密信息保护的最低级别。 B2级(结构安全保护级):该级是B类中安全性居中的一级
B3级(安全域保护级):该级是B类中安全性最高的一级 A类(验证安全保护级):A类是安全级别最高的一级,它包含了较低级别的所有特性。
密码学的相关概念
P91
密码的分类
1.按密码的历史发展阶段和应用技术分类
按密码的历史发展阶段和应用技术分类,可分为手工密码、机械密码、电子机内乱密码和计算机密码
手工密码是以手工完成,或以简单器具辅助完成加密和解密过程的密码
机械密码是以机械密码机或电动密码机来实现加密和解密过程的密码
电子机内乱密码是通过电子电路,以严格的程序进行逻辑加密或解密运算的密码
计算机密码是指以计算机程序完成加密或解密过程的密码
2.按密码转换的操作类型分类 按密码转换的操作类型分类,可分为替代密码和移位密码
替代密码是指将明文中的某些字符用其他的字符替换,从而将明文转换成密文的加密方式 移位密码是指将明文中的字符进行移位处理,从而将明文转换成密文的加密方式
加密算法中可以重复地使用替代和移位两种基本的加密变换 3.按明文加密时的处理方法分类 按明文加密时的处理方法分类,可分为分组密码和序列密码
分组密码的加密过程是:首先将明文序列以固定的长度为单位进行分组,每组明文用相同的密钥和算法进行变换,得到一组密文。
序列密码的加密过程是:先把报文、语音和图像等原始信息转换为明文数据序列,再将其与密钥序列进行“异或”运算,生成密文序列发送给接收者。 4.按密钥的类型分类
按密钥的类型分类,可分为对称密钥密码和非对称密钥密码
对称密钥密码也称为传统密钥密码,其加密密钥和解密密钥相同或相近,由其中一个可以很容易地得出另一个,因此加密密钥和解密密钥都是保密的
非对称密钥密码也称为公开密钥密码,其加密密钥与解密密钥不同,由其中一个很难得到另一个,在这种密码系统中通常其中一个密钥是公开的,而另一个是保密的
凯撒密码算法
行列式
公钥
公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),其中的一个向外界公开,称为公钥;另个自己保留,称为私钥,如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密
密钥
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。
对称密钥密码算法和DES算法与原理的过程需要背–书本P95–需要去书上背
对称加密的优点 ;算法实现快、密钥简短
RSA算法–P98 --需要去书上背
RSA算法不仅解决了对称密钥密码算法中密钥管理的复杂性问题,而且也便于进行数字签名
数字签名–P100
需要背的 数字签名的主要过程
发送方利用单向散列函数从报文文本中生成一个128位的散列值(信息摘要)
发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名
该数字签名将作为报文的附件和报文一起被发送给接收方
接收方从收到的原始报文中计算出128位的散列值(信息摘要)
接收方用发送方的公开密钥对报文附加的数字签名进行解密得到原散列值,如果这两个散列值相同,则接收方就能确认该数字签名是发送方的
数字证书
CA认证中心所发放的数字证书就是网络中标志通信各方身份信息的电子文件,它提供了一种在网络上验证用户身份的方式
数字证书简称证书,是PKI的核心元素,是数字签名的技术基础
证书在公钥体制中是密钥管理的媒介,不同的实体可通过证书来相互传递公钥
数字证书主要用于身份认证、签名验证和有效期的检查
数字证书通常有个人证书、企业证书和服务器证书等类型
以数字证书为核心的加密技术可以对网络上传输的信息进行加密解密、数字签名和验证,确保网上传递信息的保密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性
数字证书的应用
网上银行
网上办公
网上报税
网上交易
网上招投标
防火墙概述
为了保护网络(特别是企业内部网)资源的安全,人们创建了防火墙。防火墙能够防止外部网络上的各种危害侵入到内部网络。目前,防火墙已在Internet上得到了广泛的应用,并逐步在Internet之外得到应用
防火墙的概念及作用
防火墙是隔离在本地网络与外界网络之间的执行访问控制策略的一道防御系统,是一组由软、硬件设备构成的安全设备,其功能示意如书本P121图。防火墙可防止发生不可预测的、外界对内部网资源的非法访问或潜在的破坏性侵入
防火墙可由计算机硬件和软件系统组成,在逻辑上,防火墙就是一个分离器、限制器,可有效地监控内部网和外部网之间的任何活动,保证内部网的安全
防火墙的作用是防止不希望的、未经授权的通信进出被保护的网络。它可使企业强化自己的网络安全策略,是网络安全的屏障。从书本图P121
中可知防火墙不仅能对外部网进入内部网的信息进行过滤,对从内部网出去的信息也是有过滤的功能的
网络病毒的防范
在预防网络病毒时,一般应做到一下几点
安装防病毒软件并及时升级。在网络系统中,用户应至少安装一套先进的防病毒软件,并要及时地进行升级,以便查杀新型病毒。
不要轻易运行不明程序。不要轻易运行下载程序或别人传给的程序,哪怕是好友发来的程序,除非对方有特别的说明。因为对方有可能不知道,而是病毒程序悄悄附着上来的,或者对方的计算机有可能已经被感染,只是其不知道而已。
加载补丁程序。现在很多病毒的传播都是利用了系统的漏洞,管理员需要经常到系统厂商网站上下载并安装相应的系统漏洞补丁,减少系统被攻击的机会。
不要随意接收和打开邮件。用户接收电子邮件时需要注意,对于陌生人的邮件,不要贸然接收,更不能随意打开。如果邮件中附件文件的扩展名是EXE,那就更不能打开了,当用户收到邮件时也不要随意转发,在转发邮件前最好先确认邮件的安全性,以避免接收方接到邮件后直接打开邮件而被病毒感染,用户应尽量不用聊天系统在线接收附件,特别是陌生人的附件。有些陌生人传送的附件中有可能隐含着病毒文件,需要用杀毒软件扫描后才能打开。
从正规网站下载软件。用户可从正规网站上下载文件或工具软件,这样可减少对系统的威胁。
防火墙的特征
内部网和外部网之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时,才可以有效地保护企业内部网络不受侵害
只有符合安全策略的数据才能通过防火墙。防火墙就是要确保网络流量的合法性,只有在符合策略的前提下才能将网络的流量快速地从一条链路转发到另外的链路上
自身具有非常强的抗攻击力。由于防火墙处于网络边缘,时刻要面对黑客的攻击和入侵,这就要求防火墙自身要具有非常强的坑攻击能力。只有自身具有较高的安全性才能保证内部网络的安全
计算机病毒的类型
1.按照寄生方式分类
按照计算机病毒的寄生方式分类,可将计算机病毒分为引导型病毒、文件型病毒和混合型病毒
引导型病毒通过感染软盘的引导扇区,并进而感染硬盘和硬盘中的“主引导记录”。当硬盘被感染后,计算机就会感染每个插入计算机的软盘。引导型病毒在占据引导区后会将系统正常的引导程序放到其他位置,系统在启动时先调用引导区的病毒程序,再转向执行真正的引导程序,因而系统仍然能够正常使用,但是病毒程序实际已经启动。
文件型病毒是通过操作系统的文件进行传播和感染的病毒。文件型病毒通常隐藏在系统的存储器内,感染文件的扩展名为EXE、COM、DLL、SYS、
BIN、DOC等。文件型病毒又可分为源码型病毒、嵌入型病毒和外壳型病毒。
混合型病毒就是同时拥有引导型病毒和文件型病毒特征的病毒。该类病毒既可感染引导区也感染可执行文件。因此,这类病毒的传染性更强,清除难度也更大。清除混合型病毒时需要同时清除引导区的病毒和被感染文件的病毒,因此常常会出现清除不干净的情况。
2.按照链接方式分类
计算机病毒要进行传播,就必须要进入系统中才能执行,进而要借助于系统内的文件建立链接。按照计算机病毒链接文件的方式不同,计算机病毒可分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病。
源码型病毒是攻击高级语言的病毒,这类病毒需要在高级语言编译时插入到高级语言程序中成为程序的一部分。
嵌入型病毒是将病毒程序代码嵌入到现有程序中,将病毒的主体程序与攻击的对象以插入的方式进行链接。
外壳型病毒是将自身程序代码包围在攻击对象的四周,但不对攻击对象做修改,只是通过攻击对象在运行时先运行外壳文件而激活病毒。
操作系统型病毒是将病毒程序取代或加入到操作系统中,当操作系统运行时就运行了病毒程序。 3.按照破坏程度分类
按照计算机病毒的破坏程度区分,计算机病毒可分为良性病毒和恶性病毒。
良性病毒是指本身不会对系统造成直接破坏的病毒。这类病毒在发作时并不会直接破坏系统或文件,一般会显示一些信息、演奏一段音乐等。良性病毒虽然在表象上不会直接破坏系统或文件,但它会占用硬盘空间,在病毒发作时会占用内存和CPU,造成其他正常文件运行缓慢,影响用户的正常工作。
恶性病毒是指破坏系统或文件的病毒。恶性病毒在发作时会对系统或文件造成严重的后果,如删除文件、破坏分区表或格式化硬盘,使系统崩溃、重启甚至无法开机,给用户工作带来严重的影响。
蠕虫病毒及其防范
蠕虫病毒的类型
蠕虫(Worm)是一种可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。蠕虫可以自动创建与它的功能完全相同的副本(自动复制),并在没人干涉的情况下自动运行。蠕虫是通过系统中存在的漏洞和设置的不安全性进行入侵的。从广义上看,蠕虫也是一种病毒,因为蠕虫具有病毒的一般性特征,如传染性、破坏性等,但蠕虫与普通病毒又有区别。
蠕虫病毒可分为企业类用户蠕虫病毒和个人类用户蠕虫病毒,企业类用户蠕虫病毒利用系统漏洞,主动进行攻击,以“红色代码”“尼姆达”"SQL蠕虫王”病毒为代表;个人类用户蠕虫病毒通过网络(主要是电子邮件、恶意网页等)迅速传播,以“爱虫”“求职信”病毒为代表。第一类具有很强的主动攻击性,第二类蠕虫病毒的传播方式比较复杂和多样
按蠕虫病毒传播和攻击特征,可将蠕虫病毒分为漏洞蠕虫、邮件蠕虫和传统蠕虫。其中以利用系统漏洞进行破坏的蠕虫病毒最多,约占总体蠕虫病毒数量的七成,邮件蠕虫病毒居第二位,传统蠕虫病毒仅占3%~4%。蠕虫病毒可以造成互联网大面积瘫痪,引起邮件服务器堵塞,最主要的症状体现在用户浏览不了互联网,或者企业用户接收不了邮件。
蠕虫病毒的特点 1.利用网络系统漏洞进行主动攻击 2.传播迅速,难以清除 3.传播方式多样 4.隐蔽性更强 5.危害性和破坏性更大 6.与黑客技术相结合
考试中病毒的防范等等 看书本P132
特洛伊木马
特洛伊木马(Trojan
Horse)是指寄宿在计算机里的一种非授权的远程控制程序,由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至获取整个计算机管理使用权限,使得它成为了黑客们最为常用的工具之一。它是一种典型的网络病毒。它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒。
肉鸡
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击。可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。
网络攻击的实施过程
有以下步骤
确定攻击目的
攻击者在进行一次完整的攻击前,要先确定攻击要达到的目的。常见的攻击目的就是破坏和入侵。破坏性攻击就是破坏攻击目标,使其不能正常工作,但不会随意控制目标的系统运行。要达到破坏性攻击的目的,主要手段是拒绝服务(Dos)攻击。
收集攻击目标信息 在确定攻击目的后,攻击者还需进一步获取有关信息,如攻击目标机的IP地址、所在网络的操作系统类型和版本、系统管理人员的邮件地址等。
1.系统的一般信息,如系统的软硬件平台类型、系统的用户、系统的服务与应用等。
2.系统级服务的管理、配置信息,如系统是否禁止root远程登录,SMTP服务器是否支持decode别名等。
3.系统口令的安全性信息,如系统是否存在弱口令、默认用户的口令是否没有被改动等
4.系统提供的服务的安全性和系统整体的安全性能信息,这一点可以从该系统是否提供安全性较差的服务、系统服务的版本是否是弱安全版本以及是否存在其他的一些不安全因素来做出判断。
挖掘漏洞信息 系统或应用服务软件漏洞 主机信任关系漏洞 目标网络使用者漏洞 通信协议漏洞 网络业务系统漏洞 隐藏攻击源和行踪
盗用他人账号,以他人的名义进行攻击。 利用被入侵的主机作为跳板。 使用电话转移技术隐藏自己。 利用免费代理网关。 伪造IP地址。 **实施网络攻击**
通过猜测程序对截获的用户账号和口令进行破译 利用破译程序对截获的系统密码文件进行破译 通过得到的用户口令和系统密码远程登录网络,以获得用户的工作权限。
利用本地漏洞获取管理员权限 利用网络系统本身的薄弱环节和安全漏洞实施电子引诱(如安放木马)
修改网页进行恶作剧,或破坏系统程序,或放置病毒使系统陷人瘫痪,或窃取政治、军事、商业秘密,或进行电子邮件骚扰,或转移资金账户、窃取金钱等 **开辟后门**
(1)放宽文件许可权限。 (2)重新开放技术不安全的服务。 (3)修改系统配置,如系统启动文件、网络服务配置文件等。 (4)替换系统本身的共享库文件。
(5)修改系统源代码,安装各种木马。 (6)建立隐蔽通道。 **清除攻击痕迹** (1)篡改日志文件中的审计信息。 (2)改变系统时间,造成日志文件数据紊乱。
(3)删除或停止审计服务进程。 (4)干扰IDS正常运行。 (5)修改完整性检测标签。
网络扫描
网络扫描概念
网络扫描就是对计算机系统或其他网络设备进行相关的安全检测,相对于防火墙技术和入侵检测技术,利用扫描技术扫描系统存在的安全问题是一种更主动和积极的安全措施
网络扫描技术 可分为,主机扫描,端口扫描,传输协议扫描,漏洞扫描 主机扫描 ping ping sweep ICMP 端口扫描 TCP connect()
TCP SYN TCP FIN 网络扫描器 实现扫描功能的网络安全工具就叫扫描器,扫描器实际上是一种自动检测远程或本地主机安全性弱点的程序
网络监听
网络监听的概念
网络监听是指通过工具软件监视网络上数据的流动情况,网络管理员可以通过监听发现网络中的异常情况,从而更好的管理网络和保护网络。攻击者可以通过监听将网络中正在传输的信息进行截取或捕获,从而进行攻击
检测网络监听的方法 根据反应时间判断 利用ping模式进行监听 利用arp数据包进行监听 避免网络监听的方法 从逻辑或物理上对网络分段 使用交换式网络
使用加密技术 VLAN技术 网络入侵检测 入侵检测系统的功能 入侵检测系统IDS是用来监视和检测入侵事件的系统 还有一个IPS是入侵防御系统
IDS具有以下功能 监视网络系统的运行状况,查找非法用户的访问和合法用户的越权操作。 对系统的构造和弱点进行审计 识别分析攻击的行为特征并报警
评估重要系统和数据文件的完整性 对操作系统进行跟踪审计,并识别用户违反安全策略的行为。
容错功能。即使系统发生崩溃,也不会丢失数据,会在系统重启后重建自己的信息库 入侵检测过程 信息收集和信息分析两个过程 入侵检测可利用信息一般来自四个方面
系统和网络日志信息 目录和文件中的改变 程序执行中的行为 物理形式的入侵信息
ARP电子欺骗 书本P171
APR协议是一种将IP地址转化为MAC地址的协议。它靠在内存中保存一张转换表使IP得以在网络上被目标主机应答。通常主机在发送一个IP包之前,需要到该转换表中寻找与IP包对应的MAC地址。如果没有找到,该主机就会发送一个ARP广播包去寻找,该转换表以外的对应IP地址的主机将响应广播,应答其MAC地址。于是,主机刷新自己的ARP缓存,然后发送出该IP包