全國(guó)計(jì)算機(jī)等級(jí)考試三級(jí)信息安全系統(tǒng)技術(shù)知識(shí)點(diǎn)總結(jié)材料

1、第一章 信息安全保障概述1.1 信息安全保障背景1.1.1 信息技術(shù)及其發(fā)展階段信息技術(shù)兩個(gè)方面：生產(chǎn)：信息技術(shù)產(chǎn)業(yè)；應(yīng)用：信息技術(shù)擴(kuò)散信息技術(shù)核心：微電子技術(shù)，通信技術(shù)，計(jì)算機(jī)技術(shù)，網(wǎng)絡(luò)技術(shù) 第一階段，電訊技術(shù)的發(fā)明；第二階段，計(jì)算機(jī)技術(shù)的發(fā)展；第三階段，互聯(lián)網(wǎng)的使用1.1.2 信息技術(shù)的影響積極：社會(huì)發(fā)展，科技進(jìn)步，人類生活消極：信息泛濫，信息污染，信息犯罪1.2 信息安全保障基礎(chǔ)1.2.1 信息安全發(fā)展階段通信階段( 20 世紀(jì)四十年代) ：性，密碼學(xué)計(jì)算機(jī)安全階段( 20 世紀(jì)六十和七十年代) ：性、訪問(wèn)控制與認(rèn)證，公鑰密碼學(xué)( DiffieHellman , DES)，計(jì)算機(jī)安全標(biāo)準(zhǔn)

2、化(安全評(píng)估標(biāo)準(zhǔn))信息安全保障階段：信息安全保障體系(IA)， PDRR 模型：保護(hù)( protection )、檢測(cè)( detection )、響應(yīng) (response) 、恢復(fù)( restore )，我國(guó) PWDRRC 模型：保護(hù)、預(yù)警( warning )、 監(jiān)測(cè)、應(yīng)急、恢復(fù)、反擊( counter-attack )， BS/ISO 7799 標(biāo)準(zhǔn)(有代表性的信息安全管 理體系標(biāo)準(zhǔn)) ：信息安全管理實(shí)施細(xì)則、信息安全管理體系規(guī)1.2.2 信息安全的含義一是運(yùn)行系統(tǒng)的安全，二是系統(tǒng)信息的安全： 口令鑒別、 用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限 方式控制、審計(jì)跟蹤、數(shù)據(jù)加密等 信息安全的基本屬性：

3、完整性、性、可用性、可控制性、不可否認(rèn)性1.2.3 信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)1.2.4 信息安全問(wèn)題產(chǎn)生的根源：信息系統(tǒng)的復(fù)雜性，人為和環(huán)境的威脅1.2.5 信息安全的地位和作用1.2.6 信息安全技術(shù)核心基礎(chǔ)安全技術(shù)：密碼技術(shù) 安全基礎(chǔ)設(shè)施技術(shù)：標(biāo)識(shí)與認(rèn)證技術(shù)，授權(quán)與訪問(wèn)控制技術(shù) 基礎(chǔ)設(shè)施安全技術(shù)：主機(jī)系統(tǒng)安全技術(shù)，網(wǎng)絡(luò)系統(tǒng)安全技術(shù)應(yīng)用安全技術(shù)： 網(wǎng)絡(luò)與系統(tǒng)安全攻擊技術(shù)， 網(wǎng)絡(luò)與系統(tǒng)安全防護(hù)與響應(yīng)技術(shù)， 安全審計(jì)與責(zé) 任認(rèn)定技術(shù)，惡意代碼監(jiān)測(cè)與防護(hù)技術(shù)支撐安全技術(shù)：信息安全評(píng)測(cè)技術(shù)，信息安全管理技術(shù)1.3 信息安全保障體系1.3.1 信息安全保障體系框架 生命周期：規(guī)劃組織，開(kāi)發(fā)采購(gòu)，實(shí)施交付

4、，運(yùn)行維護(hù)，廢棄 保障要素：技術(shù)，管理，工程，人員安全特征：性，完整性，可用性1.3.2 信息系統(tǒng)安全模型與技術(shù)框架P2DR 安全模型：策略（ policy ），防護(hù)，檢測(cè)，響應(yīng)；防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí) 間，安全目標(biāo)暴露時(shí)間 =檢測(cè)時(shí)間 + 響應(yīng)時(shí)間，越小越好；提高系統(tǒng)防護(hù)時(shí)間，降低檢測(cè)時(shí) 間和響應(yīng)時(shí)間信息保障技術(shù)框架（ IATF ）：縱深防御策略（） ：人員，技術(shù)，操作；技術(shù)框架焦點(diǎn)域：保護(hù) 本地計(jì)算機(jī)，保護(hù)區(qū)域邊界，保護(hù)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施，保護(hù)支撐性基礎(chǔ)設(shè)施1.4 信息安全保障基本實(shí)踐1.4.1 國(guó)外信息安全保障工作概況1.4.2 信息安全保障工作的容 確定安全需求，設(shè)計(jì)和實(shí)施安全方案

5、，進(jìn)行信息安全評(píng)測(cè)，實(shí)施信息安全監(jiān)控第二章 信息安全基礎(chǔ)技術(shù)與原理2.1 密碼技術(shù)2.1.1 對(duì)稱密碼與非對(duì)稱密碼對(duì)稱密鑰密碼體制：發(fā)送方和接收方使用相同的密鑰 非對(duì)稱密鑰密碼體制：發(fā)送方和接收方使用不同的密鑰對(duì)稱密鑰體制： 加密處理速度快、度高，密鑰管理分發(fā)復(fù)雜代價(jià)高、數(shù)字簽名困難 分組密碼：一次加密一個(gè)明文分組：DES , IDEA , AES;序列密碼：一次加密一位或者一個(gè)字符： RC4 ， SEAL加密方法：代換法：?jiǎn)伪泶鷵Q密碼，多表代換;置換法安全性：攻擊密碼體制：窮舉攻擊法（對(duì)于密鑰長(zhǎng)度 128 位以上的密鑰空間不再有效） ，密 碼分析學(xué);典型的密碼攻擊：唯密文攻擊，已知明文攻擊，

6、選擇明文攻擊（加密算法一般要 能夠抵抗選擇明文攻擊才認(rèn)為是最安全的，分析方法：差分分析和線性分析），選擇密文攻擊基本運(yùn)算：異或，加，減，乘，查表 設(shè)計(jì)思想：擴(kuò)散，混淆;乘積迭代：乘積密碼，常見(jiàn)的乘積密碼是迭代密碼，DES， AES數(shù)據(jù)加密標(biāo)準(zhǔn) DES :基于Feistel網(wǎng)絡(luò)，3DES，有效密鑰位數(shù)：56國(guó)際數(shù)據(jù)加密算法 IDEA ：利用 128 位密鑰對(duì) 64 位的明文分組，經(jīng)連續(xù)加密產(chǎn)生 64 位的 密文分組高級(jí)加密標(biāo)準(zhǔn) AES：SP 網(wǎng)絡(luò)分組密碼：電子密碼本模式ECB，密碼分組鏈模式 CBC，密碼反饋模式 CFB，輸出反饋模式OFB，計(jì)數(shù)模式CTF非對(duì)稱密碼：基于難解問(wèn)題設(shè)計(jì)密碼是非對(duì)稱

7、密碼設(shè)計(jì)的主要思想，NP 問(wèn)題 NPC 問(wèn)題克服密鑰分配上的困難、易于實(shí)現(xiàn)數(shù)字簽名、安全性高，降低了加解密效率RSA ：基于大合數(shù)因式分解難得問(wèn)題設(shè)計(jì)；既可用于加密，又可用于數(shù)字簽名；目前應(yīng)用最廣泛ElGamal ：基于離散對(duì)數(shù)求解困難的問(wèn)題設(shè)計(jì)橢圓曲線密碼ECC :基于橢圓曲線離散對(duì)數(shù)求解困難的問(wèn)題設(shè)計(jì)通常采用對(duì)稱密碼體制實(shí)現(xiàn)數(shù)字加密，公鑰密碼體制實(shí)現(xiàn)密鑰管理的混合加密機(jī)制2.1.2 哈希函數(shù) 單向密碼體制，從一個(gè)明文到密文的不可逆的映射，只有只有加密過(guò)程，沒(méi)有解密過(guò)程 可將任意長(zhǎng)度的輸入經(jīng)過(guò)變換后得到固定長(zhǎng)度的輸出（原消息的散列或消息摘要） 應(yīng)用：消息認(rèn)證（基于哈希函數(shù)的消息認(rèn)證碼） ，數(shù)

8、字簽名（對(duì)消息摘要進(jìn)行數(shù)字簽名口令 的安全性，數(shù)據(jù)完整性）消息摘要算法 MD5 ： 128 位安全散列算法 SHA ：160 位SHA 比 MD5 更安全， SHA 比 MD5 速度慢了 25% ， SHA 操作步驟較 MD5 更簡(jiǎn)單2.1.3 數(shù)字簽名通過(guò)密碼技術(shù)實(shí)現(xiàn)，其安全性取決于密碼體制的安全程度普通數(shù)字簽名： RSA ，ElGamal ，橢圓曲線數(shù)字簽名算法等 特殊數(shù)字簽名：盲簽名，代理簽名，群簽名，不可否認(rèn)簽名，具有消息恢復(fù)功能得簽名等 常對(duì)信息的摘要進(jìn)行簽名美國(guó)數(shù)字簽名標(biāo)準(zhǔn) DSS :簽名算法DSA應(yīng)用：鑒權(quán)：重放攻擊；完整性：同形攻擊；不可抵賴2.1.4 密鑰管理 包括密鑰的生成

9、，存儲(chǔ)，分配，啟用與停用，控制，更新，撤銷與銷毀等諸多方面密鑰的分 配與存儲(chǔ)最為關(guān)鍵借助加密，認(rèn)證，簽名，協(xié)議和公證等技術(shù) 密鑰的秘密性，完整性，真實(shí)性 密鑰產(chǎn)生: 噪聲源技術(shù) （基于力學(xué)， 基于電子學(xué)， 基于混沌理論的密鑰產(chǎn)生技術(shù)） ；主密鑰， 加密密鑰，會(huì)話密鑰的產(chǎn)生密鑰分配:分配手段:人工分發(fā)（物理分發(fā)） ，密鑰交換協(xié)議動(dòng)態(tài)分發(fā) 密鑰屬性:秘密密鑰分配，公開(kāi)密鑰分配 密鑰分配技術(shù):基于對(duì)稱密碼體制的密鑰分配，基于公鑰密碼體制的密鑰分配 密鑰信息交換方式:人工密鑰分發(fā)，給予中心密鑰分發(fā)，基于認(rèn)證密鑰分發(fā) 人工密鑰分發(fā):主密鑰基于中心的密鑰分發(fā)： 利用公開(kāi)密鑰密碼體制分配傳統(tǒng)密碼的密鑰； 可

10、信第三方： 密鑰分發(fā)中心KDC，密鑰轉(zhuǎn)換中心 KTC;拉模型，推模型；密鑰交換協(xié)議：Diffie-Hellman 算法公開(kāi)密鑰分配：公共發(fā)布；公用目錄；公約授權(quán)：公鑰管理機(jī)構(gòu)；公鑰證書(shū)：證書(shū)管理機(jī)構(gòu)CA ，目前最流行密鑰存儲(chǔ)：公鑰存儲(chǔ)私鑰存儲(chǔ)： 用口令加密后存放在本地軟盤(pán)或硬盤(pán)； 存放在網(wǎng)絡(luò)目錄服務(wù)器中： 私鑰存儲(chǔ)服務(wù)PKSS;智能卡存儲(chǔ)；USB Key存儲(chǔ)2.2 認(rèn)證技術(shù)2.2.1 消息認(rèn)證產(chǎn)生認(rèn)證碼的函數(shù)：消息加密：整個(gè)消息的密文作為認(rèn)證碼消息認(rèn)證碼（ MAC ）：利用密鑰對(duì)消息產(chǎn)生定長(zhǎng)的值，并以該值作為認(rèn)證碼；基于DES 的MAC 算法哈希函數(shù)：將任意長(zhǎng)的消息映射為定長(zhǎng)的哈希值，并以該哈

11、希值作為認(rèn)證碼2.2.2 身份認(rèn)證身份認(rèn)證系統(tǒng)：認(rèn)證服務(wù)器、認(rèn)證系統(tǒng)客戶端、認(rèn)證設(shè)備 系統(tǒng)主要通過(guò)身份認(rèn)證協(xié)議（單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議）和認(rèn)證系統(tǒng)軟硬件進(jìn)行實(shí)現(xiàn)認(rèn)證手段：靜態(tài)密碼方式動(dòng)態(tài)口令認(rèn)證：動(dòng)態(tài)短信密碼，動(dòng)態(tài)口令牌（卡）USB Key 認(rèn)證：挑戰(zhàn) /應(yīng)答模式，基于 PKI 體系的認(rèn)證模式 生物識(shí)別技術(shù)認(rèn)證協(xié)議：基于口令的認(rèn)證協(xié)議，基于對(duì)稱密碼的認(rèn)證，基于公鑰密碼的認(rèn)證2.3 訪問(wèn)控制技術(shù) 訪問(wèn)控制模型： 自主訪問(wèn)控制（DAC ）:訪問(wèn)矩陣模型：訪問(wèn)能力表（ CL）,訪問(wèn)控制表（ACL）;商業(yè)環(huán)境 中，大多數(shù)系統(tǒng)，如主流操作系統(tǒng)、防火墻等強(qiáng)制訪問(wèn)控制（ DAC ） ：安全標(biāo)簽：具有偏序

12、關(guān)系的等級(jí)分類標(biāo)簽，非等級(jí)分類標(biāo)簽，比較 主體和客體的安全標(biāo)簽等級(jí) ,，訪問(wèn)控制安全標(biāo)簽列表（ACSL L ） ；訪問(wèn)級(jí)別：最高秘密級(jí)，秘密級(jí)， 級(jí)，無(wú)級(jí)別及； Bell-Lapadula 模型： 只允許向下讀、 向上寫(xiě)， 保證數(shù)據(jù)的性， Biba 不允許向下讀、向上寫(xiě)，保護(hù)數(shù)據(jù)完整性； Chinese Wall 模型：多邊安全系統(tǒng)中的模型， 包括了 MAC 和 DAC 的屬性 基于角色的訪問(wèn)控制（ RBAC ） ：要素：用戶，角色，許可；面向企業(yè)，大型數(shù)據(jù)庫(kù)的權(quán)限 管理；用戶不能自主的將訪問(wèn)權(quán)限授權(quán)給別的用戶；MAC 基于多級(jí)安全需求， RBAC 不是2.3.2 訪問(wèn)控制技術(shù) 集中訪問(wèn)控制：

13、 認(rèn)證、授權(quán)、審計(jì)管理（ AAA 管理） 撥號(hào)用戶遠(yuǎn)程認(rèn)證服務(wù) RADIUS ：提供集中式 AAA 管理； 客戶端 / 服務(wù)器協(xié)議， 運(yùn)行在應(yīng)用 層，使用 UDP 協(xié)議；組合認(rèn)證與授權(quán)服務(wù)終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)TACACS : TACACS+使用TCP;更復(fù)雜的認(rèn)證步驟；分隔認(rèn)證、授權(quán)、審計(jì)Diameter ：協(xié)議的實(shí)現(xiàn)和 RADIUS 類似，采用 TCP 協(xié)議，支持分布式審計(jì)非集中式訪問(wèn)控制：?jiǎn)吸c(diǎn)登錄 SSOKerberos ：使用最廣泛的身份驗(yàn)證協(xié)議；引入可信的第三方。 Kerberos 驗(yàn)證服務(wù)器；能提供網(wǎng)絡(luò)信息的性和完整性保障；支持雙向的身份認(rèn)證SESAME ：認(rèn)證過(guò)程類似于 Ke

14、rberos2.4 審計(jì)和監(jiān)控技術(shù)2.4.1 審計(jì)和監(jiān)控基礎(chǔ)審計(jì)系統(tǒng)：日志記錄器：收集數(shù)據(jù)，系統(tǒng)調(diào)用 Syslog 收集數(shù)據(jù)；分析器：分析數(shù)據(jù)；通告器：通報(bào)結(jié)果2.4.2 審計(jì)和監(jiān)控技術(shù)惡意行為監(jiān)控： 主機(jī)監(jiān)測(cè)：可監(jiān)測(cè)的地址空間規(guī)模有限； 網(wǎng)絡(luò)監(jiān)測(cè)： 蜜罐技術(shù)（軟件 honeyd ），蜜網(wǎng)（誘捕網(wǎng)絡(luò)） ：高交互蜜罐、低交互蜜罐、主機(jī)行為監(jiān)視模塊網(wǎng)絡(luò)信息容審計(jì)： 方法：網(wǎng)絡(luò)輿情分析： 輿情分析引擎、 自動(dòng)信息采集功能、 數(shù)據(jù)清理功能； 技術(shù)：網(wǎng)絡(luò)信息容獲取技術(shù)（嗅探技術(shù)） 、網(wǎng)絡(luò)容還原分析技術(shù)；模型：流水線模型、分段 模型；不良信息容監(jiān)控方法：網(wǎng)址、網(wǎng)頁(yè)容、圖片過(guò)濾技術(shù)第三章 系統(tǒng)安全3.1 操

15、作系統(tǒng)安全3.1.1 操作系統(tǒng)安全基礎(chǔ)基本安全實(shí)現(xiàn)機(jī)制：CPU 模式和保護(hù)環(huán)：核模式、用戶模式進(jìn)程隔離：使用虛擬地址空間達(dá)到該目的3.1.2 操作系統(tǒng)安全實(shí)踐UNIX/Linux 系統(tǒng)：文件系統(tǒng)安全：所有的事物都是文件：正規(guī)文件、目錄、特殊文件（ /dev 下設(shè)備文件） 、 Sockets ；文件系統(tǒng)安全基于 i 節(jié)點(diǎn)中的三層關(guān)鍵信息： UID 、GID 、模式；模式位，權(quán)限位 的八進(jìn)制數(shù)表示；設(shè)置 SUID （使普通用戶完成一些普通用戶權(quán)限不能完成的事而設(shè)置）和SGID ，體現(xiàn)在所有者或同組用戶權(quán)限的可執(zhí)行位上； chmod 改變文件權(quán)限設(shè)置、 chown 、 chgrp ； unmask

16、創(chuàng)建文件默認(rèn)權(quán)限賬號(hào)安全管理： /etc/passwd 、/etc/shadow ；偽用戶賬號(hào)； root 賬戶管理：超級(jí)用戶賬戶 可不止一個(gè)，將 UID 和 GID 設(shè)置為 0 即可，使用可插入認(rèn)證模塊 PAM 進(jìn)行認(rèn)證登錄 日志與審計(jì)：日志系統(tǒng)：記錄連接時(shí)間的日志： /var/log/wtmp 、 /var/run/utmp ，進(jìn)程統(tǒng) 計(jì)： pacct 與 acct ，錯(cuò)誤日志： /var/log/messagesWindows 系統(tǒng)：Windows 安全子系統(tǒng)： winlogon 和圖形化標(biāo)識(shí)和驗(yàn)證 GINA 、本地安全認(rèn)證、安全支持提供者的接口 （ SSPI）、認(rèn)證包、安全支持提供者、

17、網(wǎng)絡(luò)登錄服務(wù)、安全賬號(hào)管理器（SAM ） 登錄驗(yàn)證： Kerberos用戶權(quán)力與權(quán)限：用戶權(quán)限：目錄權(quán)限、文件權(quán)限；共享權(quán)限 日志與審計(jì)：系統(tǒng)日志、應(yīng)用程序日志、安全日志 安全策略：密碼策略；鎖定策略；審核策略；用戶全力指派；安全選項(xiàng)；裝載自定義安全模 板； windows 加密文件系統(tǒng)可信計(jì)算技術(shù)：可信計(jì)算平臺(tái)聯(lián)盟（TCPA）,可信計(jì)算組織（TCG）可信PC,可新平臺(tái)模塊（TPM ）,可信軟件棧（TSS）,可信網(wǎng)絡(luò)連接（TNC ） 可信平臺(tái)模塊（ TPM ）：具有密碼運(yùn)算能力和存儲(chǔ)能力，是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部 件的小型片上系統(tǒng)；物理可信、管理可信的；可信密碼模塊（ TCM ）：中國(guó)可

18、信計(jì)算平臺(tái)：三個(gè)層次：可信平臺(tái)模塊（信任根） 、可信軟件棧、可信平臺(tái)應(yīng)用軟件；我 國(guó)：可信密碼模塊、可信密碼模塊服務(wù)模塊、安全應(yīng)用可信網(wǎng)絡(luò)連接（ TNC ）：開(kāi)放性、安全性3.2 數(shù)據(jù)庫(kù)安全3.1.1 數(shù)據(jù)庫(kù)安全基礎(chǔ)統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全 現(xiàn)代數(shù)據(jù)庫(kù)運(yùn)行環(huán)境：多層體系結(jié)構(gòu)，中間層完成對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的封裝數(shù)據(jù)庫(kù)安全功能：用戶標(biāo)識(shí)和鑒定 存取控制：自主存取控制：用戶權(quán)限有兩個(gè)要素組成：數(shù)據(jù)庫(kù)對(duì)象和操作類型，GRANT 語(yǔ)句向用戶授予權(quán)限， REVOKE 語(yǔ)句收回授予的權(quán)限，角色：權(quán)限的集合；強(qiáng)制存取控制： 主體和客體，敏感度標(biāo)記：許可證級(jí)別（主體） 、密級(jí)（客體） ，首先要實(shí)現(xiàn)自主存取控制 審計(jì)：用戶級(jí)審計(jì)

19、、系統(tǒng)審計(jì)； AUDIT 設(shè)置審計(jì)功能， NOAUDIT 取消審計(jì)功能 數(shù)據(jù)加密視圖與數(shù)據(jù)性： 將視圖機(jī)制與授權(quán)機(jī)制結(jié)合起來(lái)使用， 首先用視圖機(jī)制屏蔽一部分?jǐn)?shù)據(jù)， 然后在視圖上再進(jìn)一步定義存取權(quán)限數(shù)據(jù)完整性：語(yǔ)義完整性，參照完整性，實(shí)體完整性 約束：優(yōu)先于使用觸發(fā)器、規(guī)則和默認(rèn)值 默認(rèn)值： CREATE DEFAULT 規(guī)則： CREATE RULE，USE EXEC sp_bindefault ，DROP RULE 事務(wù)處理： BEGAIN TRANSACTION ，COMMIT ，ROLLBACK ；原子性、 一致性、 隔離性、 持久性；自動(dòng)處理事務(wù)、隱式事物、用戶定義事物、分布式事務(wù)3.

20、2.2 數(shù)據(jù)庫(kù)安全實(shí)踐數(shù)據(jù)庫(kù)十大威脅：過(guò)度的特權(quán)濫用；合法的特權(quán)濫用；特權(quán)提升；平臺(tái)漏洞； SQL 注入；不健全的審計(jì)；拒 絕服務(wù)；數(shù)據(jù)庫(kù)通信協(xié)議漏洞；不健全的認(rèn)證；備份數(shù)據(jù)庫(kù)暴露 安全防護(hù)體系：事前檢查，事中監(jiān)控，事后審計(jì)數(shù)據(jù)庫(kù)安全特性檢查：端口掃描（服務(wù)發(fā)現(xiàn)） ：對(duì)數(shù)據(jù)庫(kù)開(kāi)放端口進(jìn)行掃描；滲透測(cè)試：黑盒式的安全監(jiān)測(cè)，攻擊 性測(cè)試， 對(duì)象是數(shù)據(jù)庫(kù)的身份驗(yàn)證系統(tǒng)和服務(wù)監(jiān)聽(tīng)系統(tǒng)， 監(jiān)聽(tīng)器安全特性分析、 用戶名和密 碼滲透、漏洞分析；部安全監(jiān)測(cè)：安全員數(shù)據(jù)、部審計(jì)、安全配置檢查、漏洞檢測(cè)、版本補(bǔ) 丁檢測(cè)數(shù)據(jù)庫(kù)運(yùn)行安全監(jiān)控：網(wǎng)絡(luò)嗅探器、數(shù)據(jù)庫(kù)分析器、 SQL 分析器、安全審計(jì)第四章 網(wǎng)絡(luò)安全4.1

21、網(wǎng)絡(luò)安全基礎(chǔ)體系架構(gòu)4.1.2 網(wǎng)絡(luò)協(xié)議數(shù)據(jù)鏈路層協(xié)議：地址解析協(xié)議（ ARP）,逆向地址解析協(xié)議（RARP）網(wǎng)絡(luò)層協(xié)議： IP 協(xié)議， Internet 控制報(bào)文協(xié)議（ ICMP ）：發(fā)送出錯(cuò)和控制消息，提供了一 個(gè)錯(cuò)誤偵測(cè)與回饋機(jī)制傳輸層協(xié)議： TCP 協(xié)議， UDP 協(xié)議應(yīng)用層協(xié)議： HTTP ， SMTP 和 POP3 ， DNS4.2 網(wǎng)絡(luò)安全威脅技術(shù)4.2.1 掃描技術(shù) 互聯(lián)網(wǎng)信息搜集IP 地址掃描：操作系統(tǒng)命令 ping （網(wǎng)絡(luò)故障診斷命令） 、tracer ，自動(dòng)化的掃描工具 Namp 、 Superscan端口掃描： Namp 軟件； TCP 全連接掃描， TCP SYN 掃

22、描， TCP FIN 掃描， UDP 的 ICMP 端口不可達(dá)掃描， ICMP 掃描；亂序掃描和慢速掃描 漏洞掃描：網(wǎng)絡(luò)漏洞掃描：模擬攻擊技術(shù)；主機(jī)漏洞掃描：漏洞特征匹配技術(shù)、補(bǔ)丁安裝信 息的檢測(cè) 弱口令掃描：基于字典攻擊的弱口令掃描技術(shù)、基因窮舉攻擊的弱口令掃描技術(shù) 綜合漏洞掃描： Nessus掃描防技術(shù)：防火墻，用安全監(jiān)測(cè)工具對(duì)掃描行為進(jìn)行監(jiān)測(cè)4.2.2 網(wǎng)絡(luò)嗅探 非主動(dòng)類信息獲取攻擊技術(shù)防：實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密， VPN 、SSL、SSH 等加密和傳輸?shù)募夹g(shù)和設(shè)備，利用網(wǎng)絡(luò) 設(shè)備的物理或者邏輯隔離的手段4.2.3 網(wǎng)絡(luò)協(xié)議欺騙IP 地址欺騙：和其他攻擊技術(shù)相結(jié)合ARP 欺騙：中間人欺

23、騙（局域網(wǎng)環(huán)境實(shí)施） ，偽裝成網(wǎng)關(guān)欺騙（主要針對(duì)局域網(wǎng)部主機(jī)與外 網(wǎng)通信的情況） ；防： MAC 地址與 IP 地址雙向靜態(tài)綁定TCP 欺騙：將外部計(jì)算機(jī)偽裝成合法計(jì)算機(jī)；非盲攻擊：網(wǎng)絡(luò)嗅探，已知目標(biāo)主機(jī)的初始 序列號(hào)，盲攻擊：攻擊者和目標(biāo)主機(jī)不在同一個(gè)網(wǎng)絡(luò)上DNS 欺騙：基于 DNS 服務(wù)器的欺騙，基于用戶計(jì)算機(jī)的 DNS 欺騙4.2.4 誘騙式攻擊掛馬：攻擊者成功入侵服務(wù)器，具有了中網(wǎng)頁(yè)的修改權(quán)限技術(shù)：框架掛馬：直接加在框架代碼和框架嵌套掛馬； JS 腳本掛馬； b ody 掛馬；偽裝欺 騙掛馬防： Web 服務(wù)器，用戶計(jì)算機(jī)誘騙下載：主要方式： 多媒體類文件下載， 網(wǎng)絡(luò)游戲軟件和插件下載

24、，熱門(mén)應(yīng)用軟件下載，電子書(shū)愛(ài)好者，P2P種子文件文件捆綁技術(shù)：多文件捆綁方式，資源融合捆綁方式，漏洞利用捆綁方式釣魚(yú)社會(huì)工程4.2.5 軟件漏洞攻擊利用技術(shù)軟件漏洞：操作系統(tǒng)服務(wù)程序漏洞，文件處理軟件漏洞，瀏覽器軟件漏洞，其他軟件漏洞 軟件漏洞攻擊利用技術(shù)： 直接網(wǎng)絡(luò)攻擊； 誘騙式網(wǎng)絡(luò)攻擊：基于的誘騙式網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)傳 播本地誘騙點(diǎn)擊攻擊4.2.6 拒絕服務(wù)攻擊 實(shí)現(xiàn)方式：利用目標(biāo)主機(jī)自身存在的拒絕服務(wù)性漏洞進(jìn)行攻擊，耗盡目標(biāo)主機(jī) CPU 和存等 計(jì)算機(jī)資源的攻擊，耗盡目標(biāo)主機(jī)網(wǎng)絡(luò)帶寬的攻擊分類： IP 層協(xié)議的攻擊：發(fā)送 ICMP 協(xié)議的請(qǐng)求數(shù)據(jù)包， Smurf 攻擊； TCP 協(xié)議的攻擊：

25、 利用 TCP 本身的缺陷實(shí)施的攻擊，包括 SYN-Flood 和 ACK-Flood 攻擊，使用偽造的源 IP 地址，利用 TCP 全連接發(fā)起的攻擊，僵尸主機(jī)； UDP 協(xié)議的攻擊；應(yīng)用層協(xié)議的攻擊：腳 本洪水攻擊 分布式拒絕服務(wù)（ DDos ）：攻擊者，主控端，代理端，僵尸網(wǎng)絡(luò) 防：支持 DDos 防御功能的防火墻4.2.7Web 腳本攻擊針對(duì) Web 服務(wù)器端應(yīng)用系統(tǒng)的攻擊技術(shù)：注入攻擊： SQL 注入，代碼注入，命令注入， LDAP 注入， XPath 注入；防：遵循數(shù)據(jù)與代 碼分離的原則訪問(wèn)控制攻擊，非授權(quán)的認(rèn)證和會(huì)話攻擊針對(duì) Web 客戶端的攻擊技術(shù)：跨站腳本攻擊（XSS）:反射型

26、XSS （非持久性的跨站腳本攻擊），存儲(chǔ)型XSS （持久型的跨站腳本攻擊） ， DOM-based XSS （基于文檔對(duì)象模型的跨站腳本攻擊） ：從效果上來(lái)說(shuō)屬于 反射型 XSS跨站點(diǎn)請(qǐng)求偽造攻擊（CSRF）:偽造客戶頓請(qǐng)求；防：使用驗(yàn)證碼，在用戶會(huì)話驗(yàn)證信息中添加隨機(jī)數(shù)點(diǎn)擊劫持攻擊4.2.8 遠(yuǎn)程控制木馬：具有遠(yuǎn)程控制、 信息偷取、隱藏傳輸功能的惡意程序；通過(guò)誘騙的方式安裝；一般沒(méi)有病毒 的的感染功能；特點(diǎn)：偽裝性，隱藏性，竊密性，破壞性；連接方式： C/S 結(jié)構(gòu)；最初的網(wǎng)絡(luò)連接方法； 反彈端口技術(shù)： 服務(wù)器端主動(dòng)的發(fā)起連接請(qǐng)求， 客戶端被動(dòng)的等待連接；木馬隱藏技術(shù)：線程插入技術(shù)、 DLL

27、動(dòng)態(tài)劫持技術(shù)、 RootKit （核 隱藏技術(shù)）Wwbshell ：用 Web 腳本寫(xiě)的木馬后門(mén)， 用于遠(yuǎn)程控制服務(wù)器； 以 ASP、PHP、ASPX 、JSP 等網(wǎng)頁(yè)文件的形式存在；被管理員可利用進(jìn)行管理、服務(wù)器管理等4.3 網(wǎng)絡(luò)安全防護(hù)技術(shù)4.3.1 防火墻 一般部署在網(wǎng)絡(luò)邊界，也可部署在網(wǎng)中某些需要重點(diǎn)防護(hù)的部門(mén)子網(wǎng)的網(wǎng)絡(luò)邊界 功能： 在外網(wǎng)之間進(jìn)行數(shù)據(jù)過(guò)濾； 對(duì)網(wǎng)絡(luò)傳輸和訪問(wèn)的數(shù)據(jù)進(jìn)行記錄和審計(jì)； 防外網(wǎng)之間的 異常網(wǎng)絡(luò)行為；通過(guò)配置 NAT 提高網(wǎng)絡(luò)地址轉(zhuǎn)換功能分類：硬件防火墻： X86 架構(gòu)的防火墻（中小企業(yè)） ，ASIC 、NP 架構(gòu)的防火墻（電信運(yùn)營(yíng) 商）；軟件防火墻（個(gè)人計(jì)算

28、機(jī)防護(hù)）防火墻技術(shù)：包過(guò)濾技術(shù)：默認(rèn)規(guī)則； 主要在網(wǎng)絡(luò)層和傳輸層進(jìn)行過(guò)濾攔截，不能阻止應(yīng)用層攻擊， 也不 支持對(duì)用戶的連接認(rèn)證，不能防止 IP 地址欺騙狀態(tài)檢測(cè)技術(shù) （動(dòng)態(tài)包過(guò)濾技術(shù)） ：增加了對(duì)數(shù)據(jù)包連接狀態(tài)變化的額外考慮， 有效阻止 Dos 攻擊地址翻譯技術(shù)：靜態(tài) NAT ， NAT 池，端口地址轉(zhuǎn)換 PAT 應(yīng)用級(jí)網(wǎng)關(guān)（代理服務(wù)器） ：在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行安全規(guī)則過(guò)濾 體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)： 至少有兩個(gè)網(wǎng)絡(luò)接口， 在雙重宿主主機(jī)上運(yùn)行多種代理服務(wù)器， 有 強(qiáng)大的身份認(rèn)證系統(tǒng)屏蔽主機(jī)體系結(jié)構(gòu)： 防火墻由一臺(tái)包過(guò)濾路由器和一臺(tái)堡壘主機(jī)組成， 通過(guò)包過(guò)濾實(shí)現(xiàn)了網(wǎng) 絡(luò)層傳輸安全的同時(shí)，還通過(guò)代理服務(wù)器實(shí)現(xiàn)了應(yīng)用層的安全屏蔽子網(wǎng)體系結(jié)構(gòu)： 由兩個(gè)包過(guò)濾路由器和一臺(tái)堡壘主機(jī)組成；最安全，支持網(wǎng)絡(luò)層、 傳輸 層、應(yīng)用層的防護(hù)功能；添加了額外的保護(hù)體系，周邊網(wǎng)絡(luò)（非軍事區(qū)， DMZ ）通常放置 堡壘主機(jī)和對(duì)外開(kāi)放的應(yīng)用服務(wù)器；堡壘主機(jī)運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)防火墻的安全策略4.3.2 入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng) 入侵檢測(cè)系統(tǒng)（ IDS ）： 控制臺(tái)：在網(wǎng)中，探測(cè)器：連接交換機(jī)的網(wǎng)絡(luò)端口 分類：根據(jù)數(shù)據(jù)采集方式：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ NIDS ）、基于主機(jī)的入侵檢