一.网络不安全的主要因素:1.互联网具有的不安全性 2.操作系统存在的安全问题 3.数据的安全问题:数据的安全性、完整性、并发控制 4.传输线路的安全问题 5.网络安全管理问题:缺少安全管理人员,缺少安全管理的技术规范,缺少定期的安全测试与检查,缺少安全监控 二.计算机网络安全:是通过采用各种技术和管理措施,保证在一个网络环境里,信息数据的机密性、完整性及可用性受到保护。 二.网络安全五大特征:完整性、保密性、可用性、可控性、可审查性
三.网络安全的主要威胁: 1.木马 2.黑客攻击 3.后门,隐蔽通道 4.计算机病毒 5.信息丢失,篡改,销毁 6.逻辑7.蠕虫8.内部,外部
泄密9.拒绝服务攻击(人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄漏或丢、破坏数据完整性)四.网络安全威胁类型:1.物理威胁:窃取、废物搜寻、间谍行为、假冒 2.系统漏洞威胁:不安全服务、配置和初始化错误 3.身份鉴别威胁:口令圈套、口令破解、算法考虑不周、编辑口令4线缆连接威胁:窃听、拨号进入、冒名顶替 5.有害程序威胁:病毒、逻辑、
特洛伊木马、间谍软件
五.安全策略:1.物理安全策略2.访问控制策略:目的:对要访问系统的用户进行识别,对访问权限进 行必要的控制。 3.加密策略 4.防火墙控制策略
六.常用的网络安全管理技术及新技术: 1物理安全技术 2 安全隔离 3 访问控制 4 加密通道 5 入侵检测 6 入侵保护7 安全扫描8 蜜罐技术9 物理隔离技术10 灾难恢复和备份技术11 上网行为管理12 统一威胁管理
七.蜜罐技术: 1.定义:蜜罐是一种被侦听、被攻击或已经被入侵的资源目的:是使系统处于被侦听、被攻击状态 2.作用:蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动攻击技术。 3.分类:牺牲型蜜罐、外观型蜜罐、测量型蜜罐
八.上网行为管理(EIM)和统一威胁管理(UTM)
1.员工上网行为管理(Employee Internet Management,EIM)可以为政府监管部门、各行业信息主管部门及企业管理用户提供帮助,能
有效平衡员工上网所带来的影响,在开放网络资源的同时,最大限度地保障网络资源不被滥用。
第一个阶段是IAC(访问控制);第二个阶段是IAM(访问管理)。第三个阶段即EIM。属于真正的上网行为管理阶段
EIM功能:控制功能、监控与审计功能、报表分析功能、流量控制与带宽管理
2. UTM包括了防火墙、入侵检测与防护(IDS/IPS)、网关防病毒等功能。
UTM功能:整合网络安全、降低技术复杂度、简化网络管理
数据传输加密技术
1)链路加密:不但要加密报文,还要加密报头。要传输到下一个节点必须解密再加密,直到到达目的节点。
2)节点对节点加密:在传输中的节点设置一个加、解密保护装置完成密钥转换。除保护装置外不出现明文。
3)端到端加密:在发送、接收端才加、解密,中间节点不解密
数据加密算法经历了以下三个阶段:
1)古典密码:2)对称密钥3)非对称秘钥算法
1.替换加密:明文中每个字符被替换成密文中的另一个字符
2.置换加密:按照某一规则重新排列字母的顺序,而不是隐藏它们。
广州塔吊倒塌3.一次一密:每个密钥仅对一个消息使用一次
DES算法:明文输入(64位码)--->初始变换--->乘积变换--->逆初始变换--->输出密文(64位码)
总结:是使用16轮操作的Feistel结构密码;分组长度为64位;使用56位的密钥;每一轮使用48位的子密钥,每一个子密钥都是由56位的密钥的子集组成的。S盒为DES提供了最好的安全性。
1、加密:用公开密钥加密的数据(消息)只有使用相应的私有密钥才能解密的过程。
2、解密:使用私有密钥加密的数据(消息)也只有使用相应的公开密钥才能解密的过程。
4、RSA密钥算法的描述
1)生成两个大素数p和q,计算n=p*q;
2)计算z=(p-1)*(q-1),并出一个与z互质的数e;
3)利用欧拉函数计算出e的逆d,使其满足e*d mod(p-1)(q-1)=1,mod为模运算;
4)公开密钥为:PK=(n, e),用于加密,可以公开出去。
5)秘密密钥为:SK=(n, d),用于解密,必须保密。
RSA加解密过程:
1)加密过程:设m为要传送的明文,利用公开密钥(n, e)加密,c为加密后的密文。则加密公式为:c= m^e mod n,(0≤c<n);
2)解密过程:利用秘密密钥(n, d)解密。则解密公式为:m= c^d mod n,(0≤m<n)。
RSA的缺点:
1)密钥生成难2)安全性有欠缺3)速度太慢
RSA签名和RSA加密的异同点
相同点:都使用一对密钥:公钥和私钥
不同点:RSA加密:用对方公钥加密,用自己私钥解密RSA签名:用自己私钥签名,用对方公钥验证
报文鉴别:它使得通信的接收方能够验证所收到的报文真伪。
报文摘要(Message Digests)是单向的散列函数,它以变长的信息为输入,把其压缩成一个定长的值输出。这种将任意长的报文映射为定
长的消息摘要的函数叫Hash函数。
MD5算法简要的叙述为:md5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的
输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
公钥管理的方法:公开发布,公用目录表,公钥管理机构
PKI (公钥基础设施)是硬件、软件、策略和人组成的系统,当完全并且正确的实施后,能够提供一整套的信息安全保障,这些保障对保
护敏感的通信和交易是非常重要的。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下应用PKI提供的服务,从而实现网上传输数据的机密性、完整性、真实性和有效性。
普适性:只要遵循必要的原则,就能使用提供的服务。安全服务:公钥密码的功能、密码的功能等。
PKI是一个完整系统:维持一个可靠的网络环境提供:非对称式加密算法、数字签名;可向许多不同类型的应用提供服务
PKI意味着:密钥管理证书管理
张悦然十爱
PKI作用:认证:采用数字签名技术,签名作用于相应的数据之上
保密性:用公钥分发随机密钥,然后用随机密钥对数据加密
不可否认:发送方的不可否认----- 数字签名
其他:性能问题、使用方式问题等
PKI系组成:认证中心CA(Certificate Authority)、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等
1.CA是PKI的核心,它是数字证书的签发机构。
CA的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。
CA主要由安全服务器、CA服务器、注册机构RA (负责证书申请受理审核)、数据库服务器、LDAP目录服务器等部分组成。
5.应用接口
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此,一个完整的PKI必须提供良好的应用接口系统,使得各种各样的
应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。
PKI关键技术:数字证书证书认证中心(CA)证书废除机制CA信任模式
数字证书:一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据;一个经证书认证中心(CA)签名的包括公钥拥有
者信息及公钥信息的文件
作用:网络通信的身份证明,解决相互间信任问题;用户公钥信息用于数据加密,保证数据保密性、用户身份的不可抵赖性
证书的申请:在线申请,离线申请。
CA的功能:证书的申请证书的审批和颁发证书的更新证书的查询证书的注销证书的归档CA自身的管理
CA信任模式:级联模式(层次信任模型)、网状模型(分布式信任模型)、桥接模式、Web信任模型
授权管理基础设施(PMI)提供用户身份到应用授权的映射功能,PKI以公钥证书为基础,实现用户身份的统一管理;PMI以属性证书为基础,实现用户权限的统一管理。
PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理。同PKI相比,两者主要区别在于PKI证明用户是谁,而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。
PMI组成:属性权威(AA)、属性证书(AC)、属性证书库.
属性权威(AA)也称为“授权管理中心”或“属性权威机构”,是整个PMI系统的核心,它为不同的用户和机构进行属性证书(AC)创建、存储、签发和撤销,负责管理AC的整个生命周期。
传统的访问控制机制:自主访问控制(DAC)和强制访问控(MAC)。
1)自主访问控制(基于身份的访问控制)主要思想:系统的主体可以自主地将其拥有的对客体的访问权限授予其他主体,且这种授予具
有可传递性。特点:灵活性高,但授权管理复杂,安全性低。
2)强制访问控制(基于规则的访问控制)主要思想:将主体和客体分级,根据主体和客体的级别标识来决定访问控制。特点:便于管理,
但灵活性差,完整性方面控制不够。
3)基于角的访问控制主要思想:根据用户在组织内的职称、职务及所属的业务部门等信息来定义用户拥有的角。
特点:减少授权管理的复杂度,降低管理开销,提高访问控制的安全性,而且能够实现基于策略的授权管理和访问控制。
PMI系统中的基于角的授权管理模式优势:(1)授权管理的灵活性。(2)授权操作与业务操作相分离。(3)多授权模型的灵活支持。
PKI与PMI关系:PKI负责公钥信息的管理,PKI负责权限的管理
身份认证:身份的识别和验证,身份识别就是确定某一实体的身份,知道这个实体是谁;身份验证就是对声称是谁的声称者的身份进行或
检验的过程。
身份认证的基本途径:基于所知道的(知识、口令、密码);基于所拥有的(身份证、信用卡、钥匙、智能卡、令牌等);基于个人特征(指纹,笔迹,声音,手型,脸型,视网膜,虹膜);双因素、多因素认证
SSL安全套接层协议是一种在客户端和服务器端之间建立安全通道的协议,主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。
SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:(1) 秘密性(2) 完整性(3) 认证性
SSL安全协议组成:SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。
SSL协议分为:(1)SSL握手协议:主要用来建立客户机与服务器之间的连接,并协商会话密钥。(2)SSL记录协议:定义了数据的传输格式。计算机病毒(Computer Virus),是一种具有自我复制能力的计算机程序,它不仅能破坏计算机系统,而且还能传播、感染到其他的系统,
能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。
计算机病毒特征:1)传染性(基本特征) 2)夺取系统控制权
3)隐蔽性4)破坏性5)潜伏性6)可触发性7)不可预见性
计算机病毒传染方式:驻入内存、寻传染机会、进行传染
虚拟实验室按破坏性分类:良性病毒,恶性病毒
按传染方式分类:系统引导型,文件型病毒,混合型病毒
按连接方式:源码行病毒,入侵性病毒,操作系统病毒,外壳病毒
按广义病毒概念:蠕虫、逻辑、特洛伊木马、陷门
病毒的特点:计算机病毒是编写的一段程序,它可以在未经用户许可,甚至在用户不知情的情况下改变计算机的运行方式
病毒科进行自行执行、自我复制螨类
与蠕虫相比,病毒可破坏计算机硬件、软件和数据。
2.蠕虫的特点:蠕虫的传播无需人为干预,并可通过网络进行自我复制,在复制过程中可能有改动。与病毒相比,蠕虫可消耗内存或网
络带宽,并导致计算机停止响应。
与病毒类似,蠕虫也在计算机与计算机之间自我复制,但蠕虫可自动完成复制过程,因为它接管了计算机中传输文件或信息的功能。
蠕虫的工作方式一般是:扫描→攻击→复制
病毒蠕虫
存在形式寄生独立个体
复制机制插入到宿主程序(文件)中自身的拷贝
传染机制宿主程序运行系统存在漏洞
传染目标) 针对本地文件针对网络上的其它计算机
触发传染计算机使用者程序自身
影响重点文件系统网络性能、系统性能
计算机使用者角病毒传播中的关键环节无关
防治措施从宿主程序中摘除为系统打补丁
特洛伊木马(Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计
算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制
鼠标、监视/控制键盘,或窃取用户信息
特点:不感染其他的文件、不破坏计算机系统、不进行自我复制
主要作用:作为远程控制、窃取密码的工具,它是一个具有内外连接功能的后门程序。
传播途径:、文件下载
木马组成:客户端、服务器端
木马系统软件:木马配置程序、控制程序、木马程序(服务器程序)
木马攻击步骤:配置木马(伪装木马)→传播木马(通过文件下载或等方式)→运行木马(自动安装并运行)→信息泄露→建立
连接→远程控制。
恶意程序:依赖于主机程序的恶意程序(不能独立于应用程序或系统程序,即存在宿主)独立于主机程序的恶意程序(能在操作系统上运
三讲一落实
行的、独立的程序)
黑客精神:“Free“精神,探索与创新的精神,反传统的精神,合作精神。黑客攻击的目的:窃取信息、获取口令、控制中间站点、获得
超级用户权限
黑客攻击步骤:隐藏IP、踩点扫描、获得系统或管理员权限、种植后门、在网络中隐身
获得系统或管理员权限:目的是连接到远程计算机,对其进行控制,达到自己攻击目的。获得的方法:通过系统漏洞获得系统权限;
通过管理漏洞获得管理员权限;通过软件漏洞得到系统权限;通过监听获得敏感信息进一步获得相应权限;通过弱口令获得远程管理员的
用户密码;通过穷举法获得远程管理员的用户密码;通过攻破与目标机有信任关系另一台机器进而得到目标机控制权;通过欺骗获得权限
以及其他有效的方法。
常用的黑客攻击方法:端口扫描;口令破解;特洛伊木马;缓冲区溢出攻击;拒绝服务攻击。
拒绝服务攻击DoS原理:DoS通过抢占目标主机系统资源使系统过载或崩溃,破坏和拒绝合法用户对网络、服务器等资源的访问,达到阻
止合法用户使用系统的目的。(破坏型攻击)
DoS引起的原因:网络部件的物理损坏;网络负荷超载;不正确的使用网络协议
DoS攻击基本形式:目标资源匮乏型和网络带宽消耗型。
目标资源匮乏型攻击又可分为服务过载和消息流两种。
网络带宽消耗型攻击的目标是整个网络,攻击使目标网络中充斥着大量无用的、假的数据包,而使正常的数据包得不到正常的处理。
拒绝服务攻击发生时的特点:1、消耗系统或网络资源,使系统过载或崩溃。2、难以辨别真假。3、使用不存在的非法数据包来达到拒绝
服务攻击的目的。4、有大量的数据包来自相同的源。
拒绝服务攻击分类: 1.死亡之Ping 2.泪滴(teardrop)攻击
3. UDP洪水(UDP flood,循环攻击)
概览: UDP端口7为回应端口(echo),当该端口接收到一个数据包时,会检查有效负载,再将有效负载数原封不动的回应给源地址。UDP 端口19为字符生成端口(chargen,character generator字符生成),此端口接收到数据包时,以随机字符串作为应答。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置,阻断来自Internet的请求及这些服务的UDP请求;
4、Land攻击 5.Smurf攻击 6. SYN洪水(SYN flood) 7、ICMP泛洪
分布式拒绝服务攻击(DDoS):DDoS是一种分布、协作的大规模攻击方式,主要用于对一些大型的网站或系统进行攻击。利用一批受控
制的主机向一台主机发起攻击。
入侵检测的定义(IDS):入侵检测即是对入侵行为的发觉;入侵检测系统是入侵检测的软件与硬件的有机组合;入侵检测系统是处于防
火墙之后对网络活动的实时监控;入侵检测系统是不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动
入侵检测主要内容:独占资源、恶意使用,试图闯入或成功闯入/冒充其他用户,违反安全策略、合法用户的泄露
入侵检测系统的作用:监控网络和系统、发现入侵企图或异常现象实时报警、主动响应、审计跟踪
IDS的基本结构:IDS控制中心、IDS引擎
IDS划分为四个基本部分:数据采集子系统(又称探测器)、数据分析子系统(数据采集分析中心)控制台子系统、数据库管理子系统(控制管理中心)。
分类1)基于网络的入侵检测系统(NIDS)2)基于主机的入侵检测系统(HIDS)3)混合型入侵检测系统(Hybrid IDS):
网络IDS优势:(1) 实时分析网络数据,检测网络系统的非法行为;
(2) 网络IDS系统单独架设,不占用其它计算机系统的任何资源;
(3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;(4) 它既可以用于实时监测系统,也是记录审计
系统,可以做到实时保护,事后分析取证;(5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。
网络IDS的劣势: (1)不适合交换环境和高速环境(2)不能处理加密数据(3) 资源及处理能力局限(4) 系统相关的脆弱性
主机IDS优势: (1) 精确地判断攻击行为是否成功。(2) 监控主机上特定用户活动、系统运行情况(3) HIDS能够检测到NIDS无法检测的
攻击(4) HIDS适用加密的和交换的环境。(5) 不需要额外的硬件设备。
主机IDS的劣势:(1) HIDS对被保护主机的影响。(2) HIDS的安全性受到宿主操作系统的限制。(3) HIDS的数据源受到审计系统限制。(4) 被木马化的系统内核能够骗过HIDS。(5) 维护/升级不方便。
网络IDS与主机IDS的比较:
1) 如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测;2) 基于网络的IDS通过检查所有的包头来进行检测,而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击;3) NIDS可以研究数据包的内容,查特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别;而HIDS的系统无法看到负载,因此也无法识别嵌
入式的数据包攻击。
入侵防御系统(IPS):是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行
为的发生和发展,实时地保护信息系统不受实质性的攻击。
IDS关联方式部署,IPS串联方式部署。
分类:基于主机的入侵防御、基于网络的入侵防护、应用入侵防护
包过滤:设备对进出网络的数据流(包)进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。
参数网络(DMZ):为了增加一层安全控制,在内部网与外部网之间增加的一个网络,中立区,有时也称非军事区,即DMZ。
代理服务器:代表内部网络用户与外部服务器进行信息交换的计算机(软件)系统。
防火墙提供4种管理访问模式:1、非特权模式:提示符为firewall> 2、特权模式:输入enable进入特权模式,可以改变当前配置。提
示符为firewall# 3、配置模式:输入configure terminal进入此模式,配置防火墙提示符为firewall(config)# 4、监视模式: PIX防火墙在开机或重启过程中,按住管理机上的Escape键或发送一个“Break”字符,将进入监视模式。在监视模式下可以更新系统映像文件,并可
以进行口令的恢复操作。提示符为monitor>
构建网络防火墙的主要目的:限制某些访问者进入一个被严格控制的点;防止进攻者接近防御设备;限制某些访问者离开一个被严格控制
的点;检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏。
网络防火墙的作用:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;
陈大启
对网络攻击进行检测盒告警
防火墙的局限性:防火墙不能防范未通过自身的网络连接;防火墙不能防范未知的威胁;防火墙不能防范内部用户的恶意破坏;防火墙不
能防止感染病毒的软件或文件传输;防火墙本身也存在安全问题
包过滤型防火墙:1、工作原理:包过滤防火墙工作在网络层,对数据包的源及目地IP 具有识别和控制作用,对于传输层,也只能识别
数据包是TCP 还是UDP 及所用的端口信息。
2.优缺点优点:简单、方便、速度快、透明性好,对网络性能影响不大。缺点:不能防范黑客攻击;不支持应用层协议;不能处理新
的安全威胁。包过滤型防火墙的安全性较差!
代理服务器有两个部件:代理服务器+ 代理客户。 2. 优点:能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性。
缺点:可能影响网络的性能,对用户不透明,且对每一种服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂。
状态检测防火墙又称为动态包过滤防火墙,它工作在传输层,检查的不仅仅是数据包中的头部信息,而且会跟踪数据包的
状态,即不同数据包之间的共性。
状态检测防火墙的工作过程1)状态检测表:由规则表和连接状态表两部分组成。
状态监测防火墙的特点:制订规则集原则:先特殊,后一般。操作方式有:转发、丢弃、报错、备忘等。关键:实现连接的跟踪功能。
防火墙设计的准则:1)一切未被允许的访问就是禁止的2)一切未被禁止的访问就是允许的
防火墙按体系结构可以分为:(1)包过滤型防火墙结构(2)双宿主主机型结构(3)屏蔽主机型防火墙结构(4)屏蔽子网型防火墙结构(5) 通过混合组合而衍生的其他结构的防火墙
创建防火墙步骤:制定安全策略;搭建安全体系结构;制定规则次序;落实规则集;注意更换控制:做好注释工作。做好审计工作:一个好的准则是最好不要超过30条。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议