信息安全保障概述

1、第一章信息安全保障概述信息安全的基本屬性：完整性、性、可用性、可控制性、不可否認(rèn)性信息安全保障體系框架生命周期：規(guī)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)、廢棄保障要素：技術(shù)、管理、工程、人員安全特征：性、完整性、可用性信息系統(tǒng)安全模型P2DR安全模型：策略、防護(hù)、檢測(cè)、響應(yīng) 信息保障技術(shù)框架IATF核心思想是縱深防御戰(zhàn)略二個(gè)主要核心要素：人、技術(shù)和操作。四個(gè)技術(shù)框架焦點(diǎn)區(qū)域支撐性基礎(chǔ)設(shè)施:保護(hù)本地計(jì)算機(jī)環(huán)境、保護(hù)區(qū)域邊界、保護(hù)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、保護(hù)一|5.信息安全保障工作容： 息安全監(jiān)控確定安全需求、設(shè)計(jì)和實(shí)施安全方案、進(jìn)行信息安全評(píng)測(cè)、實(shí)施信第二章信息安全基礎(chǔ)技術(shù)與原理密碼技術(shù)、認(rèn)證技術(shù)、訪問控

2、制技術(shù)、審計(jì)和監(jiān)控技術(shù)A、密碼技術(shù)明文、密文、加密、解密信息空間M密文空間C密鑰空間K加密算法E、解密算法D加密密鑰、解密密鑰密碼體系分為對(duì)稱密鑰體系、非對(duì)稱密鑰體系對(duì)稱密鑰體系1對(duì)稱密鑰優(yōu)點(diǎn)：加解密處理速度快和度高。缺點(diǎn)：密鑰管理和分發(fā)負(fù)責(zé)、代價(jià)高，數(shù)字簽名困難對(duì)稱密鑰體系分類：分組（塊）密碼（DES/IDEA/AES）和序列密碼（RC4/SEAL）3傳統(tǒng)的加密方法：代換法、置換法 |5、 攻擊密碼體系的方法：窮舉攻擊法（128位以上不再有效）和密碼分析法針對(duì)加密系統(tǒng)的密碼分析攻擊類型分為以下四種：惟密文攻擊在惟密文攻擊中，密碼分析者知道密碼算法，但僅能根據(jù)截獲的密文進(jìn)行分析，以得出明文或密

3、鑰。由于密碼分析者所能利用的數(shù)據(jù)資源僅為密文，這是對(duì)密碼分析者最不 利的情況。已知明文攻擊已知明文攻擊是指密碼分析者除了有截獲的密文外，還有一些已知的“明文一密文對(duì)”來破譯密碼。密碼分析者的任務(wù)目標(biāo)是推出用來加密的密鑰或某種算法，這種算法可以對(duì)用該密鑰加密的任何新的消息進(jìn)行解密。選擇明文攻擊選擇明文攻擊是指密碼分析者不僅可得到一些“明文一密文對(duì)”，還可以選擇被加密的明文，并獲得相應(yīng)的密文。這時(shí)密碼分析者能夠選擇特定 的明文數(shù)據(jù)塊去加密，并比較明文和對(duì)應(yīng)的密文，已分析和發(fā)現(xiàn)更多的與密鑰相關(guān)的信息。密碼分析者的任務(wù)目標(biāo)也是推出用來加密的密鑰或某種算法，該算法可以對(duì)用該密鑰加密的任何新的消息進(jìn)行解密

4、。選擇密文攻擊選擇密文攻擊是指密碼分析者可以選擇一些密文，并得到相應(yīng)的明文。密碼分析者的任務(wù)目標(biāo)是推出密鑰。這種密碼分析多用于攻擊公鑰密碼體制。衡量密碼系統(tǒng)攻擊的復(fù)雜性主要考慮三個(gè)方面的因素：數(shù)據(jù)復(fù)雜性用做密碼攻擊所需要輸入的數(shù)據(jù)量；處理復(fù)雜性完成攻擊所需要花費(fèi)的時(shí)間；存儲(chǔ)需求進(jìn)行攻擊所需要的數(shù)據(jù)存儲(chǔ)空間大小。攻擊的復(fù)雜性取決于以上三個(gè)因素的最小復(fù)雜度，在實(shí)際實(shí)施攻擊時(shí)往往要考慮這三種復(fù)雜性的折衷，如存儲(chǔ)需求越大，攻擊可能越快。擴(kuò)散和混淆是對(duì)稱密碼設(shè)計(jì)的基本思想。乘積迭代的方法數(shù)據(jù)加密標(biāo)準(zhǔn)DES加密原理DES使用一個(gè)56位的密鑰以及附加的8位奇偶校驗(yàn)位，產(chǎn)生最大64位的分組大小。這是一個(gè)迭代

5、的分組密碼，使用稱為Feistel的技術(shù)，其中將加密的文本塊分成兩半。使用子密鑰對(duì)其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進(jìn)行“異或”運(yùn)算；接著交換這兩半，這一過程會(huì)繼續(xù)下去，但最后一個(gè)循環(huán)不交換。DES使用16個(gè)循環(huán)，使用異或，擴(kuò)展置換，壓縮代換（S盒），換位置換（移位p盒）操作四種基本運(yùn)算。 擴(kuò)展:3DES國際數(shù)據(jù)加密算法（IDEA） 128位密鑰對(duì)64位明文加密產(chǎn)生子密鑰也很容易。這個(gè)算法用了 52個(gè)子密鑰（8輪中的每一輪需要6個(gè)，其他4個(gè)用與輸出變換）。 首先，將128-位密鑰分成8個(gè)16-位子密鑰。這些是算法的第一批8個(gè)子密鑰（第一輪六個(gè)，第二輪的頭 兩個(gè)）。然后，密鑰向左環(huán)移25位

6、后再分成8個(gè)子密鑰。開始4個(gè)用在第二輪，后面4個(gè)用在第三輪。密 鑰再次向左環(huán)移25位產(chǎn)生另外8個(gè)子密鑰，如此進(jìn)行D算法結(jié)束。10高級(jí)加密標(biāo)準(zhǔn)AES分組密碼工作模式電子密碼本模式（ECB密碼分組鏈模式CBC密碼反饋模式CFB輸出反饋模式 OFB計(jì)數(shù)模式CTR非對(duì)稱密碼體系優(yōu)缺點(diǎn)：根本上克服了對(duì)稱密碼密鑰分配上的困難，且易于實(shí)現(xiàn)數(shù)字簽名，安全性高。但降低了加解密效率。對(duì)稱密碼體系實(shí)現(xiàn)密碼加密，公鑰密碼體制實(shí)現(xiàn)密鑰管理RSA算法基于大合數(shù)分解難得問題設(shè)計(jì)elgamal基于離散對(duì)數(shù)求解難ecc橢圓曲線離散對(duì)數(shù)求解困難哈希函數(shù)（hash）（散列函數(shù)、雜湊函數(shù)）單向密碼體制不可逆映射將任意長(zhǎng)度的輸入經(jīng)過變

7、換后得到固定長(zhǎng)度的輸出原消息的散列或信息摘要散列值/哈希值性質(zhì)：壓縮易計(jì)算單向性抗碰撞性高靈敏性應(yīng)用：消息認(rèn)證數(shù)字簽名口令的安全性數(shù)據(jù)的完整性典型的兩類：消息摘要算法安全散列算法消息摘要算法MD5 128位安全散列算法SHA數(shù)字簽名以電子形式存在于數(shù)據(jù)信息之中的，或作為其附件的或邏輯上與之有聯(lián)系的數(shù)據(jù)，可用于辨別數(shù)據(jù)簽署人的身份，并表明簽署人對(duì)數(shù)據(jù)信息中包含的信息的認(rèn)可。數(shù)字簽名體制包括簽名和驗(yàn)證簽名兩個(gè)過程。應(yīng)用：鑒權(quán)完整性不可抵賴密鑰管理指處理密鑰自產(chǎn)生到最終銷毀的有關(guān)問題的全過程種類：基本密鑰或初始密鑰、會(huì)話密鑰、密鑰加密密鑰、主機(jī)主密鑰密鑰產(chǎn)生密鑰分配：人工密鑰分發(fā)、基于中心的密鑰分發(fā)

8、（密鑰分發(fā)中心KDC密鑰轉(zhuǎn)換中心KTC最典型的密鑰交換協(xié)議：diffie-hellman算法公開密鑰分配：公開發(fā)布、公用目錄、公鑰授權(quán)、公鑰證書B、認(rèn)證技術(shù)消息認(rèn)證消息認(rèn)證碼（MAC哈希函數(shù)驗(yàn)證所收到的消息確實(shí)來自真正的發(fā)送方，并且未被篡改的過程產(chǎn)生認(rèn)證碼的函數(shù)類型 ：消息加密（對(duì)稱與非對(duì)稱）身份認(rèn)證可追究責(zé)任機(jī)制：認(rèn)證授權(quán)審計(jì)認(rèn)證：在做任何動(dòng)作之前必須有方法來識(shí)別動(dòng)作執(zhí)行者的真實(shí)身份，又稱鑒別、確認(rèn)身份認(rèn)證系統(tǒng)由認(rèn)證服務(wù)器認(rèn)證系統(tǒng)客戶端和認(rèn)證設(shè)備組成認(rèn)證手段：靜態(tài)密碼方式動(dòng)態(tài)口令認(rèn)證usb key認(rèn)證生物識(shí)別技術(shù)認(rèn)證協(xié)議：基于口令的認(rèn)證協(xié)議基于對(duì)稱密碼的認(rèn)證（需要KDQ基于公鑰的認(rèn)證C、訪問

9、控制技術(shù)保護(hù)系統(tǒng)安全的基礎(chǔ)：認(rèn)證訪問控制審計(jì)訪問控制是在身份認(rèn)證的基礎(chǔ)上，依據(jù)授權(quán)對(duì)提出的資源訪問請(qǐng)求加以控制主體客體可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC分類：自主訪問控制DAC強(qiáng)制訪問控制MAC基于角色的訪問控制RBAC自主訪問控制DAC行訪問能力表CL列訪問控制表ACL訪問矩陣強(qiáng)制訪問控制MAC安全標(biāo)簽訪問控制標(biāo)簽列表TS S C U訪問模式向下讀RD向上讀RU向下寫WD向上寫WUBell-lapadula模型不上讀不下寫B(tài)iba模型不下讀不上寫訪問控制技術(shù)：集中式訪問控制非集中式訪問控制集中式訪問控制認(rèn)證、授權(quán)、審計(jì)（AAA）管理網(wǎng)絡(luò)接入服務(wù)器（NASAAA管理協(xié)議包括撥號(hào)用戶遠(yuǎn)程認(rèn)證服務(wù)R

10、ADIUS（ 3種返回消息：訪問拒絕、需要進(jìn)行挑戰(zhàn)、訪問接受）終端訪問控制器訪問控制系統(tǒng)TACACSDiameter支持移動(dòng)ip非集中式訪問控制分布式訪問控制需要解決跨域訪問問題三種方法：?jiǎn)吸c(diǎn)登錄SSO所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)（不是只有一個(gè)）；所有應(yīng)用系統(tǒng)能夠識(shí)別和提取ticket信息Kerberos協(xié)議密碼分發(fā)服務(wù)器kdc票據(jù)kdc兼具認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)TGS兩個(gè)功能票據(jù)獲取憑證TGT客戶端會(huì)話密鑰SesameD/審計(jì)和監(jiān)控技術(shù)審計(jì)系統(tǒng)通常由日志記錄器（通常調(diào)用于收集數(shù) syslog記錄）分析器和通告器組成，分別用 據(jù)、分析數(shù)據(jù)及通報(bào)結(jié)果。惡意行為監(jiān)控監(jiān)控方式分為主機(jī)監(jiān)控和

11、網(wǎng)絡(luò)監(jiān)控蜜罐技術(shù)是一種網(wǎng)絡(luò)監(jiān)控技術(shù)，它將未使用地址空間偽裝成活動(dòng)網(wǎng)絡(luò)空間，通過與入侵者的主動(dòng)交互獲得入 侵詳細(xì)信息，以達(dá)到對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)盒分析的目的。網(wǎng)絡(luò)信息容監(jiān)控主要方法為網(wǎng)絡(luò)輿情分析（輿情分析引擎自動(dòng)信息采集功能數(shù)據(jù)清理功能）網(wǎng)絡(luò)信息容審計(jì)技術(shù)主要有網(wǎng)絡(luò)信息容的獲取技術(shù)（嗅探技術(shù)）和網(wǎng)絡(luò)容還原分析技術(shù)不良信息容監(jiān)控方法：網(wǎng)址過濾技術(shù)網(wǎng)頁容過濾技術(shù)圖片容過濾技術(shù)第三章系統(tǒng)安全A/操作系統(tǒng)安全操作系統(tǒng)是控制其他程序運(yùn)行，管理系統(tǒng)資源并為用戶提供操作界面的系統(tǒng)軟件的集合用戶模式與核模式觸發(fā)一個(gè)特殊的硬件自陷用戶接口是為方便用戶使用計(jì)算機(jī)資源所建立的用戶與計(jì)算機(jī)之間的聯(lián)系非為作用級(jí)接口和

12、程序級(jí)接口操作系統(tǒng)的功能：資源管理用戶接口進(jìn)程管理容管理最常見的保護(hù)環(huán)結(jié)構(gòu)：0操作系統(tǒng)核1操作系統(tǒng)其他部分2 I/O驅(qū)動(dòng)程序和實(shí)用工具3應(yīng)用程序和用戶活動(dòng)守護(hù)進(jìn)程：脫離于終端并且在后臺(tái)運(yùn)行的進(jìn)程in etd進(jìn)程監(jiān)視網(wǎng)絡(luò)請(qǐng)求的守護(hù)進(jìn)程文件權(quán)限一個(gè)文件通常屬于創(chuàng)建它的用戶及該用戶的基本分組；每個(gè)文件和目錄有3組權(quán)限與之有關(guān)，擁有者，文件所屬分組成員，其他所有用戶；每組權(quán)限有3個(gè)權(quán)限標(biāo)志位r w x （可執(zhí)行）；9位合起來稱為模式位，通常用一列10個(gè)字符表示，還有一位指明文件類型SUID SGID設(shè)置用戶ID和分組ID屬性，分別表現(xiàn)在所有者或同組用戶權(quán)限的可執(zhí)行位上用chmod命令改變文件的權(quán)限設(shè)置

13、女口 chmod 666 myfile （絕對(duì)模式）chmod g+rfoo （符號(hào)模式）表示給文件foo的分組讀權(quán)限系統(tǒng)啟動(dòng)過程：預(yù)引導(dǎo)階段引導(dǎo)階段載入核階段初始化核階段登陸階段進(jìn)程安全管理方法：任務(wù)管理器Msinfo32 、dos命令行系統(tǒng)服務(wù)服務(wù)是一種在系統(tǒng)后臺(tái)運(yùn)行的應(yīng)用程序類型服務(wù)控制管理器netstart/Stop命令sc命令用戶權(quán)利與授權(quán)網(wǎng)絡(luò)安全性依賴于給用戶或組所授予的能力，包括權(quán)限（文件系統(tǒng)能力、權(quán)利（系統(tǒng)上完成特定動(dòng)作的授權(quán)）、共享（通過網(wǎng)絡(luò)使用文件夾）windows有3種類型的事件日志：系統(tǒng)日志應(yīng)用程序日志安全日志。安全策略：密碼策略鎖定策略審核策略用戶權(quán)力指派安全選項(xiàng)裝載

14、自定義安全模板windows加密文件系統(tǒng)可信計(jì)算技術(shù)可信計(jì)算基TB可信約等于安全+可靠可信計(jì)算機(jī)系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計(jì)算機(jī)系統(tǒng)。信任根到硬件 信任根和信任鏈從 平臺(tái)到操作系統(tǒng)到應(yīng)用可信信任模塊TCM是可信計(jì)算平臺(tái)的信任根可信網(wǎng)絡(luò)連接TNC 中國的：可信密碼模塊B/數(shù)據(jù)庫安全數(shù)據(jù)庫是一個(gè)長(zhǎng)期存儲(chǔ)在計(jì)算機(jī)的、有組織的、有共享的、統(tǒng)一管理的數(shù)據(jù)集合。結(jié)構(gòu)化查詢語言SQL數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)庫安全性控制的方法包括用戶標(biāo)識(shí)和鑒定、存取控制、審計(jì)、數(shù)據(jù)加密等視圖與數(shù)據(jù)性數(shù)據(jù)完整性就是確保數(shù)據(jù)庫中的數(shù)據(jù)的一致性

15、和正確性。數(shù)據(jù)庫提供了約束、規(guī)則和默認(rèn)事務(wù)處理等功 能保證數(shù)據(jù)完整性。默認(rèn)值，如 create default con3 as 20Create rule R1As con diti on-expressi on 綁定規(guī)則ij exec sp- （ un） bindrule r1 table8.c1 事務(wù)處理（transaction ）回退（rollback ）提交（commit）保留點(diǎn)（savepoint）事務(wù)處理的特性：原子性一致性隔離性持久性類型：自動(dòng)處理事務(wù)隱式事務(wù) 用戶定義事務(wù) 分布式事務(wù)數(shù)據(jù)庫威脅：過分特權(quán)濫用合法特權(quán)濫用特權(quán)提升平臺(tái)漏洞sql注入不健全審計(jì)拒絕服務(wù)數(shù)據(jù)庫通信協(xié)議漏

16、洞不健全的認(rèn)證（暴力社會(huì)工程直接竊取備份數(shù)據(jù)暴露數(shù)據(jù)庫安全防護(hù)：事前檢查事中監(jiān)控事后審計(jì)數(shù)據(jù)庫安全特性檢測(cè)對(duì)數(shù)據(jù)庫的靜態(tài)安全防護(hù)有3個(gè)層次，分別為端口掃描（服務(wù)發(fā)現(xiàn)）滲透測(cè)試（容：監(jiān)聽器安全特性分析，用戶名和密碼滲透、漏洞分析）部安全檢測(cè) 數(shù)據(jù)庫運(yùn)行安全監(jiān)控主要由網(wǎng)絡(luò)嗅探器、數(shù)據(jù)庫分析器、sql分析器和安全審計(jì)組成。第四章網(wǎng)絡(luò)安全基礎(chǔ)A/網(wǎng)絡(luò)安全基礎(chǔ)1、 TCP/IP開放模型：物理和數(shù)據(jù)層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)協(xié)議2、數(shù)據(jù)層協(xié)議ARP協(xié)議是Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo) 主機(jī)的MAC地址的。在

17、以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。RARP協(xié)議逆向地址轉(zhuǎn)換協(xié)議3、網(wǎng)絡(luò)層協(xié)議IP協(xié)議是英文In ternet Protocol （網(wǎng)絡(luò)之間互連的協(xié)議）的縮寫，中文簡(jiǎn)稱為“網(wǎng)協(xié)”，也就是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。在因特網(wǎng)中，它是能使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的一套規(guī)則，規(guī)定了計(jì)算機(jī)在因特網(wǎng)上

18、進(jìn)行通信時(shí)應(yīng)當(dāng)遵守的規(guī)則。任何廠家生產(chǎn)的計(jì)算機(jī)系統(tǒng)，只要遵守IP協(xié)議就可以與因特網(wǎng)互連互通。IP地址具有唯一性，根據(jù)用戶性質(zhì)的不同，可以分為5類。另外，IP還有進(jìn)入防護(hù)，知識(shí)產(chǎn)權(quán)，指針寄存器等含義。 如今的IP網(wǎng)絡(luò)使用32位地址，以點(diǎn)分十進(jìn)制 表示，如。 地址格式為：IP地址=網(wǎng)絡(luò)地址+主機(jī)地址 或IP地址=網(wǎng)絡(luò)地址+子網(wǎng)地址+主機(jī)地址。A類地址（1）A類地址網(wǎng)絡(luò)號(hào)7位，主機(jī)號(hào)24位。它的第1個(gè)字節(jié)的第一位固定為0.B類地址（1）B類地址網(wǎng)絡(luò)號(hào)14位，其它2個(gè)字節(jié)為主機(jī)地址。它的第1個(gè)字節(jié)的前兩位固定為10.C類地址（1）C類地址第1字節(jié)、第2字節(jié)和第3個(gè)字節(jié)為網(wǎng)絡(luò)地址，第4個(gè)字節(jié)為主機(jī)地址。

19、另外第1 個(gè)字節(jié)的前三位固定為110。D類地址（1） D類地址不分網(wǎng)絡(luò)地址 和主機(jī)地址，它的第1個(gè)字節(jié)的前四位固定為1110。（2）多個(gè)目的地址的地址廣播E類地址（1）E類地址不分網(wǎng)絡(luò)地址和主機(jī)地址，它的第1個(gè)字節(jié)的前四位固定為1111。 暫時(shí)保留A/B/C類主機(jī)號(hào)全為0的地址表示一個(gè)網(wǎng)絡(luò)的本網(wǎng)絡(luò)地址，為1的為直接廣播地址受限廣播地址：32為全 為1自環(huán)地址：ICMP協(xié)議ICMP 是(In ternet Con trol Message Protocol) In ternet控制報(bào)文協(xié)議。它是TCP/IP 協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵?網(wǎng)絡(luò)通不通、主

20、機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。傳輸層協(xié)議TCP協(xié)議傳輸控制協(xié)議TCP是因特網(wǎng)中的傳輸層協(xié)議，使用三次握手協(xié)議 建立連接。當(dāng)主動(dòng)方發(fā)出SYN連接請(qǐng)求后，等待對(duì)方回答SYN ACK這種建立連接的方法可以防止產(chǎn)生錯(cuò)誤的連接，TCP使用的流量控制協(xié)議是可變大小的滑動(dòng)窗口協(xié)議。第一次握手：建立連接時(shí)，客戶端發(fā)送5 丫包(SEQ=X到服務(wù)器，并進(jìn)入SYN SEN狀態(tài)，等待服務(wù)器確認(rèn)。第二次握手：服務(wù)器收到SYN包，必須確認(rèn)客戶的SYN(ACK=x+1,同時(shí)自己也送一個(gè)5 丫包(SEQ=)即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入S

21、YN_REC狀態(tài)。第三次握手：客戶端收到服務(wù)器的SYN+AC包，向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=y+1,此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入Established狀態(tài)，完成三次握手。1建立一個(gè)連接需要三次握手，而終止一個(gè)連接要經(jīng)過四次握手，這是由TCP的半關(guān)閉(half-close )造成的。UDP協(xié)議用戶數(shù)據(jù)報(bào)協(xié)議，是OSI (開放式系統(tǒng)互聯(lián))參考模型中一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)，IETF RFC 768是UDP的正式規(guī)。UDP是OSI參考模型中一種無連接的傳輸層協(xié)議，它主要用于不要求分組順序到達(dá)的傳輸中，八亦人心AEA* 5 E!=r 1 一一*一 / 、分

22、組傳輸順序的檢查與排序由應(yīng)用層完成1,提UDP協(xié)議基本上是IP協(xié)議與上層協(xié)議的接口。UDP協(xié)議適用端口分別運(yùn)行在同一臺(tái)設(shè)備上的多個(gè)應(yīng)用程序。應(yīng)用層協(xié)議HTTP協(xié)議超文本傳輸協(xié)議一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。由請(qǐng)求和響應(yīng)構(gòu)成，是一個(gè)標(biāo)準(zhǔn)的客戶端服務(wù)器模型。HTTP是一個(gè)無狀態(tài)的協(xié)議。SMT( Simple Mail Transfer Protocol)即簡(jiǎn)單傳輸協(xié)議，它是一組用于由源地址到目的地址傳送的規(guī)則，由它來控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議族，它幫助每臺(tái)計(jì)算機(jī)在發(fā)送或中轉(zhuǎn)信件時(shí)找到下一個(gè)目的地。通過SMTF

23、協(xié)、議所指定的服務(wù)器，就可以把E-mail寄到收信人的服務(wù)器上了，整個(gè)過程只要幾分鐘。SMTP服務(wù)器則是遵循SMTF協(xié)、議的發(fā)送服務(wù)器，用來發(fā)送或中轉(zhuǎn)發(fā)出的電子。POP3協(xié)議(Post Office Protocol 3)即郵局協(xié)議的第3個(gè)版本，它是規(guī)定個(gè)人計(jì)算機(jī)如何連接到互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行收發(fā)的協(xié)議。它是因特網(wǎng)電子的第一個(gè)離線協(xié)議標(biāo)準(zhǔn)，POP3協(xié)議允許用戶從服務(wù) 器上把存儲(chǔ)到本地主機(jī)(即自己的計(jì)算機(jī))上，同時(shí)根據(jù)客戶端的操作刪除或保存在服務(wù)器上的，而POP3服務(wù)器則是遵循POP3協(xié)議的接收服務(wù)器，用來接收電子的。POP3協(xié)議是TCP/IP協(xié)議族中的一 員，由RFC1939定義。本協(xié)議主要用

24、于支持使用客戶端遠(yuǎn)程管理在服務(wù)器上的電子DNS協(xié)議域名系統(tǒng)DNS是域名系統(tǒng)（Domain NameSystem）的縮寫，是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地 址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。B/網(wǎng)絡(luò)安全威脅技術(shù)攻擊流程：準(zhǔn)備階段（掃描技術(shù)）具體網(wǎng)絡(luò)攻擊階段（網(wǎng)絡(luò)嗅探 協(xié)議分析 誘騙式攻擊 漏洞攻擊決絕服務(wù)攻擊web攻擊）成功入侵后的控制階段（植入木馬）掃描技術(shù)互聯(lián)網(wǎng)信息的收集IP地址掃描網(wǎng)絡(luò)端口掃描（TCP全連接掃描、tcp syn掃描、tcp fin掃描、udp的icmp 端口不可達(dá)掃描、icmp掃描、亂序掃描和

25、慢速掃描）漏洞掃描（網(wǎng)絡(luò)漏洞掃描主機(jī)漏洞掃描）弱口令掃描（基于字典攻擊的弱口令掃描技術(shù)和基于窮舉攻擊的）綜合漏洞掃描防技術(shù)：防火墻 安全檢測(cè)工具網(wǎng)絡(luò)嗅探技術(shù)利用網(wǎng)絡(luò)嗅探工具獲得目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，就可以通過對(duì)數(shù)據(jù)包按照協(xié)議進(jìn)行還原和分析，從而獲取目標(biāo)計(jì)算機(jī)傳輸?shù)拇罅啃畔ⅰ?工具： wireshark/s niffer pro/omni peek/ netxray 網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密利用網(wǎng)絡(luò)設(shè)備的物理或者邏輯隔離的手段防止信息泄露網(wǎng)絡(luò)協(xié)議欺騙Ip地址欺騙arp欺騙（實(shí)施中間人欺騙偽裝成網(wǎng)關(guān)的欺騙）tcp欺騙（非盲攻擊盲攻擊dns欺騙（基于dns服務(wù)器基于用戶計(jì)算機(jī)的欺騙欺騙式攻擊掛馬：

26、網(wǎng)絡(luò)中的網(wǎng)頁被攻擊者惡意修改后，添加了可以觸發(fā)并下載惡意程序的及惡意代碼和腳本。主要技術(shù)手 段有框架掛馬，js腳本掛馬body掛馬和偽裝欺騙掛馬。誘騙下載：多媒體類文件下載網(wǎng)絡(luò)游戲軟件和插件下載熱門應(yīng)用軟件下載電子書愛好者p2p種子文件文件捆綁方式：多文件捆綁方式資源融合捆綁方式漏洞利用捆綁方式釣魚：一種被黑客實(shí)施網(wǎng)絡(luò)欺詐的偽裝社會(huì)工程軟件漏洞攻擊利用技術(shù)操作系統(tǒng)服務(wù)就程序漏洞文件處理軟件漏洞瀏覽器軟件漏洞其他軟件漏洞利用技術(shù)：直接網(wǎng)絡(luò)攻擊誘騙式網(wǎng)絡(luò)攻擊（基于的誘騙式網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)傳播本地誘騙點(diǎn)擊攻擊）防：安裝使用新版本的操作系統(tǒng)和軟件訪問正規(guī)不隨意點(diǎn)擊通過電子或及時(shí)通信軟件發(fā)來的文件 安裝殺毒

27、軟件和主動(dòng)防御軟件拒絕服務(wù)攻擊DOS攻擊目標(biāo)是主機(jī)，目的是使目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬和資源耗盡，使其無法提供正常對(duì)外服務(wù)。實(shí)現(xiàn)方式：利用目標(biāo)主機(jī)自身存在的拒絕服務(wù)型漏洞進(jìn)行攻擊耗盡目標(biāo)主機(jī) cpu和存等計(jì)算機(jī)資源的攻擊耗盡目標(biāo)主機(jī)網(wǎng)絡(luò)帶寬攻擊分類：ip層協(xié)議的攻擊（smurf攻擊）tcp協(xié)議的攻擊（syn flood和ack flood攻 擊tcp全連接dos攻擊） udp協(xié)議攻擊應(yīng)用層協(xié)議攻擊防御措施：靜態(tài)和動(dòng)態(tài)的ddos過濾器反欺騙技術(shù)異常識(shí)別協(xié)議分析速率限制其他（提供系統(tǒng)安全性，及早發(fā) 現(xiàn)漏洞，安裝補(bǔ)丁，防護(hù)墻路由器）Web腳本攻擊xss分為反射型xss存注入攻擊（sql注入代碼注入命令注入等

28、）跨站腳本攻擊（儲(chǔ)型dom based xss）跨站點(diǎn)請(qǐng)求偽造（csrf遠(yuǎn)程控制木馬：具有遠(yuǎn)程控制、信息偷取、隱蔽傳輸功能的惡意程序。偽裝性隱藏性竊密性破壞性連接防止：傳統(tǒng)木馬的客戶端程序主動(dòng)連接服務(wù)端程序反彈式木馬是服務(wù)端主動(dòng)發(fā)起連接請(qǐng)求隱藏方式：線程插入技術(shù)dll動(dòng)態(tài)劫持技術(shù)rootkit技術(shù)Webshell一種用web腳本寫的木馬后門C/網(wǎng)絡(luò)安全防護(hù)技術(shù)防火墻可信和不可信網(wǎng)絡(luò)之間，通過設(shè)置一系列安全規(guī)則對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信數(shù)據(jù)包進(jìn)行訪問控制，檢測(cè)網(wǎng)絡(luò)交換的信息，防止對(duì)重要信息資源的非法存取和訪問，以達(dá)到保護(hù)部可信網(wǎng)絡(luò)的目的。一般部署在網(wǎng)絡(luò)邊界。防外網(wǎng)之間的分類：軟件防火墻（企業(yè)級(jí)防火提高

29、網(wǎng)絡(luò)地的防火墻能防火墻技術(shù):包過濾技術(shù)個(gè)人級(jí)安裝在操作系統(tǒng)上） np架構(gòu)的防火墻）硬件防火墻（X86架構(gòu)的功能：外網(wǎng)之間數(shù)據(jù)過濾異常網(wǎng)絡(luò)攻擊通傳輸和I訪問的數(shù)據(jù)進(jìn)行記錄和審計(jì)nat屏蔽子網(wǎng)絡(luò)體系結(jié)構(gòu)外網(wǎng)不可以訪問 病毒和部驅(qū)動(dòng)的狀態(tài)監(jiān)測(cè)技術(shù)地址翻譯技術(shù)應(yīng)用級(jí)網(wǎng)關(guān)體系架構(gòu)主要包括雙重宿主主機(jī)體系結(jié)構(gòu)和屏蔽主機(jī)體系結(jié)構(gòu)、的防火墻 安全策略：網(wǎng)可以訪問外網(wǎng)網(wǎng)可以訪問dmz （非軍事區(qū)即緩沖區(qū)）網(wǎng)外網(wǎng)可以訪問dmz dmz不能訪問網(wǎng)dma可以訪問外網(wǎng)不能防的安全威脅：網(wǎng)之間的惡意攻擊繞過防火墻通道上的攻擊木馬針對(duì)防護(hù)墻開發(fā)端口的攻擊入侵檢測(cè)系統(tǒng)工作在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵節(jié)點(diǎn)上，通過實(shí)時(shí)地收集和分析計(jì)

30、算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息來檢測(cè)是否出現(xiàn)違反安全策略的行為和是否存在入侵的跡象，進(jìn)而達(dá)到提示入侵、預(yù)防攻擊的目的?？刂婆_(tái)和探測(cè)器分類：數(shù)據(jù)采集方式：基于網(wǎng)絡(luò)的和基于主機(jī)的檢測(cè)原理：誤用檢測(cè)型和異常檢測(cè)型技術(shù)：誤用檢測(cè)技術(shù)（專家系統(tǒng)模型推理狀態(tài)轉(zhuǎn)換分析）異常檢測(cè)技術(shù)（統(tǒng)計(jì)分析神經(jīng)網(wǎng)絡(luò)）其他（模式匹配文件完整性檢驗(yàn)數(shù)據(jù)挖掘計(jì)算機(jī)免疫方法入侵防御系統(tǒng)功能：攔截惡意流量實(shí)現(xiàn)對(duì)傳輸容的深度檢測(cè)盒安全防護(hù)對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)的同時(shí)進(jìn)行過濾不足：可能造成單點(diǎn)故障可能造成性能瓶頸漏報(bào)和誤報(bào)的影響PKI （公共密鑰基礎(chǔ)設(shè)施）組成：安全策略證書認(rèn)證機(jī)構(gòu)（CA）證書注冊(cè)機(jī)構(gòu)（RA）證書分發(fā)系統(tǒng)（CDS基于pki的應(yīng)用接口數(shù)字證

31、書：經(jīng)證書認(rèn)證機(jī)構(gòu)簽發(fā)的，包含用戶身份信息、用戶公開密鑰信息和證書認(rèn)證機(jī)構(gòu)的數(shù)字簽名等信息的一個(gè)文件，這個(gè)文件可以方便地在計(jì)算機(jī)和移動(dòng)介質(zhì)中進(jìn)行存儲(chǔ)保護(hù)。VPN （虛擬專用網(wǎng)）是利用開發(fā)網(wǎng)絡(luò)的物理鏈路和專用的安全協(xié)議實(shí)現(xiàn)邏輯上網(wǎng)絡(luò)安全連接的技術(shù)。連接類型：client-lan類型的vpn Ian-Ian類型Vpn協(xié)議分類：第二次隧道協(xié)議介于第二、三之間的隧道協(xié)議第三層隧道協(xié)議（ipsec協(xié)議）傳輸層的ssl vpn協(xié)議網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)層安全協(xié)議IPSEC :包含esp協(xié)議ah協(xié)議和密鑰協(xié)商協(xié)議傳輸層安全協(xié)議ssl :記錄協(xié)議和握手協(xié)議應(yīng)用層安全協(xié)議：kerberos協(xié)議ssh協(xié)議（secure

32、 shell）shttp協(xié)議（安全超文本傳輸協(xié)議S/MIME協(xié)議（安全多用途網(wǎng)際擴(kuò)充協(xié)議）第五章應(yīng)用安全軟件漏洞漏洞是計(jì)算機(jī)系統(tǒng)中可以被攻擊者利用從而對(duì)系統(tǒng)造成較大危害的安全缺陷軟件漏洞產(chǎn)生原因：軟件設(shè)計(jì)開發(fā)運(yùn)行階段的疏漏軟件技術(shù)和代碼規(guī)模的快速發(fā)展 軟件安全測(cè)試技術(shù)的滯后 特點(diǎn)：危害性大影響廣泛存在長(zhǎng)久性隱蔽性分類：被攻擊者利用地點(diǎn)：本地利用漏洞遠(yuǎn)程利用漏洞形成原因：輸入驗(yàn)證錯(cuò)誤漏洞緩沖器溢出漏洞（堆溢出 棧溢出）設(shè)計(jì)錯(cuò)誤漏洞意外情況漏洞訪問驗(yàn)證錯(cuò)誤漏洞配置錯(cuò)誤漏洞競(jìng)爭(zhēng)條件漏洞環(huán)境錯(cuò)誤漏洞外部數(shù)據(jù)被異常執(zhí)行漏洞 生命周期不同階段：Oday 1day已公開漏洞等級(jí)劃分：緊急重要中危低危漏洞庫：

33、eve bugtraq nvdnvdvd 其他（edb 等）常見漏洞：格式化字符漏洞%s輸出對(duì)應(yīng)地址所指向的字符串%x以16進(jìn)制形式輸出堆棧的容 n將格式化函數(shù)輸出字符串的長(zhǎng)度寫入函數(shù)參數(shù)指定的位置 整數(shù)溢出漏洞（存在溢出運(yùn)算溢出符號(hào)問題）數(shù)組越界漏洞寫污點(diǎn)值到污點(diǎn)地址漏洞存地址對(duì)象破壞性調(diào)用漏洞軟件漏洞利用 shelleode代碼 漏洞利用技術(shù)：靜態(tài) shelleode 地址的利用技術(shù)動(dòng)態(tài)變化的shelleode地址的利用技術(shù)heap spray技術(shù)（堆噴灑技術(shù)）滑板指令（slide code）大量弄NOP空指令0 x90填充組成的質(zhì)量序列 防護(hù)技術(shù)：GS stack protection技

34、術(shù)是一項(xiàng)緩沖器溢出的檢測(cè)防護(hù)技術(shù)DEP數(shù)據(jù)執(zhí)行保護(hù)技術(shù)可以限制存堆棧區(qū)的代碼為不可執(zhí)行狀態(tài)，從而防溢出后代碼 的執(zhí)行。 ASLR地址空間分布隨機(jī)化技術(shù)是一項(xiàng)通過將系統(tǒng)關(guān)鍵地址隨機(jī)化，從而使攻擊者無法獲得需要跳轉(zhuǎn)的精確地址的技術(shù)。 SafeSEH是windows異常處理機(jī)制所采用的重要數(shù)據(jù)結(jié)構(gòu)鏈表。保護(hù)SHE函數(shù)不被非法利用的技術(shù)。 SEHOP結(jié)構(gòu)化異常處理覆蓋保護(hù)技術(shù)通過棧溢出或其他漏洞，使用精心構(gòu)造的數(shù)據(jù)覆 蓋SHE上面的某個(gè)函數(shù)或多個(gè)函數(shù)，從而控制EIP （控制程序執(zhí)行流程）軟件安全開發(fā)軟件開發(fā)生命周期：?jiǎn)栴}的定義與規(guī)劃需求分析軟件設(shè)計(jì)程序編碼軟件測(cè)試運(yùn)行維護(hù) 軟件開發(fā)生命周期模型：瀑布模

35、型及改進(jìn)的瀑布模型螺旋模型迭代模型快速原型模型 軟件安全開發(fā)技術(shù)：建立安全威脅模型安全設(shè)計(jì)安全編碼安全測(cè)試軟件安全檢測(cè)軟件靜態(tài)安全檢測(cè)技術(shù)軟件源代碼的靜態(tài)安全檢測(cè)技術(shù)：詞法分析數(shù)據(jù)流分析污點(diǎn)傳播分析符號(hào)執(zhí)行模型檢查定理證明不需要構(gòu)建代碼運(yùn)行環(huán)境，分析效率高，資源消耗低可執(zhí)行代碼的靜態(tài)安全檢測(cè)技術(shù)：基于程序結(jié)構(gòu)的基于程序語義的軟件動(dòng)態(tài)安全檢測(cè)技術(shù)：模糊測(cè)試智能模糊測(cè)試動(dòng)態(tài)污點(diǎn)分析等軟件動(dòng)靜結(jié)合檢測(cè)技術(shù)軟件安全保護(hù)通過技術(shù)手段對(duì)受保護(hù)文件以及其運(yùn)行環(huán)境添加防護(hù)和控制措施，使得受保護(hù)的軟件在防護(hù)和控制圍無法被逆向分析，從而防止軟件被破解、篡改及盜用?；谲浖能浖踩Ｗo(hù)技術(shù)：注冊(cè)信息驗(yàn)證技術(shù)軟件防

36、篡改技術(shù)代碼混淆技術(shù)（詞法轉(zhuǎn)換控制流轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換）軟件水印技術(shù)軟件加殼技術(shù)反調(diào)試反跟蹤技術(shù)基于硬件介質(zhì)：加密狗光盤保護(hù)技術(shù)專用的計(jì)算機(jī)接口卡惡意程序分類：?jiǎn)我还δ懿《荆ㄎ募腥拘筒《竞瓴《疽龑?dǎo)型病毒型病毒），木馬蠕蟲惡意腳本綜合型病毒傳播方法：掛馬誘騙下載通過移動(dòng)存儲(chǔ)介質(zhì)傳播通過電子和即時(shí)通信軟件傳播通過局域網(wǎng)傳播破壞功能：瀏覽器配置被修改竊取工行密碼賬號(hào)等隱私信息實(shí)現(xiàn)遠(yuǎn)程控制破壞系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)行檢測(cè)查殺技術(shù)：特征碼查殺技術(shù)啟發(fā)式查殺技術(shù) 虛擬機(jī)查殺技術(shù) 主動(dòng)防御技術(shù)防：計(jì)算機(jī)自身安全防護(hù)防止瀏覽和訪問造成的惡意程序入侵防止因下載造成的惡意程序入侵防止通信類軟件造成的因移動(dòng)存儲(chǔ)介質(zhì)造成的局

37、域網(wǎng)造成的Web應(yīng)用系統(tǒng)安全遭破壞的身份認(rèn)證和會(huì)話管理不安全的直接對(duì)象引用安全配置錯(cuò)誤不安全的加密存儲(chǔ)沒有限制的url訪問傳輸層保護(hù)不足未驗(yàn)證的重定向及轉(zhuǎn)發(fā)安全防護(hù)：客戶端安全防護(hù)Web安全檢測(cè)：黑盒檢測(cè)技術(shù)通信信道安全防護(hù)服務(wù)器端安全防護(hù)白盒檢測(cè)技術(shù)第六章信息安全管理體系ISMS是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，屬于風(fēng)險(xiǎn)管理的疇，體系的建立基于系統(tǒng)、全面和科學(xué)的安全 風(fēng)險(xiǎn)評(píng)估、A、信息安全管理體系建立信息安全管理框架定義信息安全政策定義isms圍進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估確定管制目標(biāo)和選擇管制措施準(zhǔn)備信息安全適用性申明定義isms圍時(shí)，應(yīng)重點(diǎn)考慮組織機(jī)構(gòu)的如下實(shí)際情況：組織機(jī)構(gòu)現(xiàn)有部門處所 資產(chǎn)狀況所采用的技術(shù) 三種風(fēng)險(xiǎn)評(píng)估方法：基本風(fēng)險(xiǎn)評(píng)估詳細(xì)風(fēng)險(xiǎn)評(píng)估基本和詳細(xì)結(jié)合Isms構(gòu)架的具體實(shí)施建立相關(guān)文檔：一份管理框架概要（信息安全方針控制目標(biāo)適用性申明確定的實(shí)施控制方法）闡述isms管理及實(shí)施的程序 一本方針手冊(cè)（信息安全方針的闡述控制目標(biāo)與控制方法描述程序或其引用）文檔的嚴(yán)格管理安全事件記錄、回饋信息安全管理體系審核審核準(zhǔn)備（編制審核計(jì)劃收集并審核有關(guān)文件準(zhǔn)備審核工作文件一一編寫檢查表）審核實(shí)施審核報(bào)告糾正措施糾正措施實(shí)施情況跟蹤審核風(fēng)險(xiǎn)控制信息安全管理體系評(píng)審程序：編制評(píng)審計(jì)劃 準(zhǔn)備評(píng)審資料召開評(píng)審會(huì)議評(píng)審報(bào)告分發(fā)與保存評(píng)審后要求體