網(wǎng)絡(luò)安全資料

第一章網(wǎng)絡(luò)安全概述1-14=141.1網(wǎng)絡(luò)安全：1、概念：指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不因無意或故意的威脅而遭到泄露、更改、破壞，保證網(wǎng)絡(luò)系統(tǒng)正常、可靠、連續(xù)地運行。2、信息與網(wǎng)絡(luò)安全的目標(biāo)：進不來、拿不走、看不懂、改不了、跑不了。3、網(wǎng)絡(luò)安全的特征保密性：信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)在未經(jīng)授權(quán)時，不能被改變的特性，即信息在存儲或傳輸過程中不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀灰咽跈?quán)實體訪問并按需求使用的特性。可控性：對信息的內(nèi)容及傳播具有控制能力。1.2網(wǎng)絡(luò)面臨的不安全因素1、網(wǎng)絡(luò)系統(tǒng)的脆弱性(漏洞)2、網(wǎng)絡(luò)系統(tǒng)的威脅：無意威脅、故意威脅，被動攻擊、主動攻擊3、網(wǎng)絡(luò)結(jié)構(gòu)的安全隱患被動攻擊：指攻擊者只通過觀察網(wǎng)絡(luò)線路上的信息，而不干擾信息的正常流動。主動攻擊：指攻擊者對傳輸中的信息或存儲的信息進行各種非法處理，有選擇地更改、插入、刪除、復(fù)制或延遲這些信息。被動攻擊和主動攻擊有四種具體類型：竊聽、中斷、篡改、偽造1.3P2DR模型(網(wǎng)絡(luò)安全模型)Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應(yīng))弱點：忽略了內(nèi)在的變化因素。第四章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽15-33=194.1黑客攻擊的三個階段1、信息收集目的：進入所要攻擊的目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫。收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各主機系統(tǒng)相關(guān)信息的工具：SNMP協(xié)議、Whois協(xié)議、Finger協(xié)議、Ping程序、TraceRoute程序、DNS服務(wù)器。2、系統(tǒng)安全弱點的探測探測網(wǎng)絡(luò)上的主機，尋求該系統(tǒng)的安全漏洞或安全弱點。掃描方式：自編程序、利用公開的工具。3、網(wǎng)絡(luò)攻擊攻擊方式：(1)試圖毀掉攻擊入侵的痕跡，并在受到損害的系統(tǒng)上建立另外的新的安全漏洞或后門，以便在先前的攻擊點被發(fā)現(xiàn)之后，繼續(xù)訪問這個系統(tǒng)。(2)在目標(biāo)系統(tǒng)中安裝探測器軟件，包括特洛伊木馬程序，用來窺探所在系統(tǒng)的活動，收集黑客感興趣的一切信息，如Telnet和FTP的賬號名和口令等。(3)進一步發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級，這樣黑客就可以通過該系統(tǒng)信任級展開對整個系統(tǒng)的攻擊。4.2黑客入侵1、“被侵入”指網(wǎng)絡(luò)遭受到非法闖入的情況。入侵程度：(1)入侵者只獲得訪問權(quán)(一個登錄名和口令)(2)入侵者獲得訪問權(quán)，并毀壞、侵蝕或改變數(shù)據(jù)(3)入侵者獲得訪問權(quán)，并獲得系統(tǒng)一部分或整個系統(tǒng)控制權(quán)，拒絕擁有特權(quán)用戶的訪問(4)入侵者沒有獲得訪問權(quán)，而是用不良的程序，引起網(wǎng)絡(luò)持久性或暫時性的運行失敗、重新啟動、掛起或其它無法操作的狀態(tài)。2、對付黑客入侵(1)發(fā)現(xiàn)黑客若黑客破壞了站點的安全性，則應(yīng)進行追蹤。在WindowsNT平臺上，定期檢查EventLog中的SecurityLog來尋找可疑行為。(2)應(yīng)急操作①估計形勢A、黑客是否已成功闖入站點？B、黑客是否還滯留在系統(tǒng)中？若是，需盡快阻止他們。C、可以關(guān)閉系統(tǒng)或停止有影響的服務(wù)(FTP、Gopher、Telnet等)，甚至可能需要關(guān)閉因特網(wǎng)連接。D、侵入是否有來自內(nèi)部威脅的可能呢？若如此，除授權(quán)者之外，別讓其他人知道你的解決方案。E、是否了解入侵者身份？若想知道這些，可預(yù)先留出一些空間給入侵者，從中了解一些入侵者的信息。②切斷連接A、能否關(guān)閉服務(wù)器？需要關(guān)閉它嗎？若有能力，可以這樣做。若不能，可關(guān)閉一些服務(wù)。B、是否關(guān)心追蹤黑客？若打算如此，則不要關(guān)閉因特網(wǎng)連接，因為這會失去入侵者的蹤跡。C、若關(guān)閉服務(wù)器，是否能承受得起失去一些必須的有用系統(tǒng)信息的損失？③分析問題必須有一個計劃，合理安排時間。當(dāng)系統(tǒng)已被入侵時，應(yīng)全盤考慮新近發(fā)生的事情，當(dāng)已識別安全漏洞并將進行修補時，要保證修補不會引起另一個安全漏洞。④采取行動3、抓住入侵者抓住入侵者是很困難的，特別是當(dāng)他們故意掩藏行跡的時候。機會在于你是否能準(zhǔn)確擊中黑客的攻擊。這將是偶然的，而非有把握的。然而，盡管擊中黑客需要等待機會，遵循如下原則會大有幫助。(1)注意經(jīng)常定期檢查登錄文件。特別是那些由系統(tǒng)登錄服務(wù)和wtmp文件生成的內(nèi)容。(2)注意不尋常的主機連接及連接次數(shù)通知用戶。(3)注意那些原不經(jīng)常使用卻突然變得活躍的賬戶。應(yīng)該禁止或干脆刪去這些不用的賬戶。(4)預(yù)計黑客經(jīng)常光顧的時段里，每隔10分鐘運行一次shellscript文件，記錄所有的過程及網(wǎng)絡(luò)聯(lián)接。4.3掃描器(Scanner)掃描器：是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件，通過與目標(biāo)主機TCP/IP端口建立連接和并請求某些服務(wù)，記錄目標(biāo)主機的應(yīng)答，搜集目標(biāo)主機相關(guān)信息，從而發(fā)現(xiàn)目標(biāo)主機存在的安全漏洞。安全評估工具：管理員用來確保系統(tǒng)的安全性黑客攻擊工具：黑客用來探查系統(tǒng)的入侵點1、掃描器的基本工作原理掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進行逐項檢查。掃描器測試TCP/IP端口和服務(wù)，并記錄目標(biāo)的回答。通過這種方法，可以搜集到關(guān)于目標(biāo)主機的有用信息。2、掃描器的功能發(fā)現(xiàn)一個主機和網(wǎng)絡(luò)的能力發(fā)現(xiàn)系統(tǒng)運行的服務(wù)通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力進一步的功能：如操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別3、掃描器的典型掃描過程輸入:掃描目標(biāo)對象掃描網(wǎng)絡(luò)檢驗操作系統(tǒng)端口掃描收集服務(wù)類型/版本掃描漏洞產(chǎn)生報表輸出:系統(tǒng)漏洞列表。4.4網(wǎng)絡(luò)監(jiān)聽在一個共享式網(wǎng)絡(luò)，可以聽取所有的流量。是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況。開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況。黑客可以用來刺探網(wǎng)絡(luò)情報。1、可用以下方法檢測系統(tǒng)是否運行網(wǎng)絡(luò)監(jiān)聽軟件：方法一：對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址，而處于監(jiān)聽狀態(tài)的機器則能接收。方法二：往網(wǎng)上發(fā)送大量不存在的物理地址的信息包，由于監(jiān)聽程序處理這些包，將導(dǎo)致性能下降。通過比較該機器前后的性能加以判斷。但這種方法難度比較大。方法三：使用反監(jiān)聽工具(如antisniffer等)進行檢測。2、網(wǎng)絡(luò)嗅探器(sniffer)sniffer(網(wǎng)絡(luò)嗅探器，也叫網(wǎng)絡(luò)分析儀)是一種常用的收集和分析網(wǎng)絡(luò)數(shù)據(jù)的工具(程序)。它接收和分析的數(shù)據(jù)可以是用戶的賬號和密碼，也可以是一些商用機密數(shù)據(jù)等。隨著Internet及電子商務(wù)的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色之一的sniffer已受到人們越來越多的關(guān)注。網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對協(xié)議進行分析。監(jiān)聽器Sniffer的原理：在局域網(wǎng)中與其他計算機進行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機，也就是廣播，在報頭中包含目標(biāo)機的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才會接收數(shù)據(jù)包，其他的機器都會將包丟棄。但是，當(dāng)主機工作在監(jiān)聽模式下時，無論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機都將其接收下來。然后對數(shù)據(jù)包進行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺計算機可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計算機傳輸?shù)男畔?。第五章網(wǎng)絡(luò)入侵34-37=45.1社會工程學(xué)攻擊1、概念：社會工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學(xué)。2、攻擊的兩種方式：打請求密碼和偽造Email。5.2物理攻擊與防范物理安全：保護一些比較重要的設(shè)備不被接觸。物理安全比較難防止，因為攻擊往往來自能夠接觸到物理設(shè)備的用戶。5.3緩沖區(qū)溢出攻擊的原理通過制造緩沖區(qū)溢出使程序運行一個用戶shell，在通過shell執(zhí)行其他命令，有管理員權(quán)限的shell能對系統(tǒng)進行任意操作。第六章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身38-45=86.1入侵過程的三個重要步驟1、隱藏IP、2、種植后門、3、在網(wǎng)絡(luò)中隱身

惡意代碼：是一種程序，通過將代碼在不被察覺的情況下寄宿到另一段程序中，從而達到破壞被感染計算機數(shù)據(jù)、運行入侵性或破壞性的程序、破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。按工作機理和傳播方式區(qū)分有：普通病毒、木馬、蠕蟲、移動代碼和復(fù)合型病毒五類。6.2木馬1、特洛伊木馬概述一種秘密潛伏的能夠通過遠(yuǎn)程網(wǎng)絡(luò)進行控制的惡意程序。2、木馬的特性：隱蔽性、潛伏性、再生性。3、木馬的原理木馬程序運行時會隱藏行蹤。大多數(shù)木馬程序都有一個獨立的可執(zhí)行文件。木馬通常不容易被發(fā)現(xiàn)，因為它以一個正常應(yīng)用的身份在系統(tǒng)中運行的。木馬也采用客戶機/服務(wù)器工作模式。客戶端放在木馬控制者的計算機中，服務(wù)器端放置在被入侵的計算機中，木馬控制者通過客戶端與被入侵計算機的服務(wù)器端建立遠(yuǎn)程連接。一旦連接建立，木馬控制者就可通過向被入侵計算機發(fā)送指令來傳輸和修改文件。攻擊者利用一種稱為綁定程序的工具將服務(wù)器部分綁定到某個合法軟件上，誘使用戶運行合法軟件。6.3蠕蟲蠕蟲病毒以計算機為載體，以網(wǎng)絡(luò)為攻擊對象。蠕蟲病毒與一般病毒的區(qū)別補充一計算機病毒46-66=21+1.1計算機病毒概述1、計算機病毒的概念《計算機信息系統(tǒng)安全保護條例》明確定義：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。2、計算機病毒的特征破壞性、傳染性、隱蔽性、潛伏性、不可預(yù)見性、針對性。3、計算機病毒的分類按破壞強弱程度分：良性病毒和惡性病毒。按傳染方式分：文件型病毒、引導(dǎo)型病毒和混合型病毒。按連接方式分：源碼型病毒、嵌入型病毒、操作系統(tǒng)型病毒和外殼型病毒。+1.2計算機病毒的原理計算機病毒的邏輯結(jié)構(gòu)(3個功能模塊)1、傳統(tǒng)病毒傳統(tǒng)病毒一般指早期的DOS病毒，通常分為引導(dǎo)類型、文件型和混合型。引導(dǎo)型病毒的工作流程文件型病毒的工作流程2、宏病毒宏：一些列組合在一起的命令和指令，形成一個命令，以實現(xiàn)任務(wù)執(zhí)行的自動化。宏病毒：是一種存儲于文檔、模塊或加載宏程序中的計算機病毒。特點：只感染微軟數(shù)據(jù)(文檔)文件機制：用VB高級語言編寫的病毒代碼，直接混雜在文件中，并加以傳播，當(dāng)打開受感染的文件或執(zhí)行觸發(fā)宏病毒的操作時，病毒就會被激活，并存儲到Normal.dt模版或Personal.xls文件中，以后保存的每個文檔都會自動被病毒感染。宏病毒的工作流程：+1.3網(wǎng)絡(luò)病毒的檢測1、概述病毒靜態(tài)時存儲于磁盤，激活時駐留在內(nèi)存，對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。2、病毒的檢查方法(1)比較法比較法：進行原始的或正常的特征與被檢測對象的特征比較。由于病毒的感染會引起文件長度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)差異，從而判斷病毒的有無。優(yōu)點：簡單、方便，不需專用軟件。缺點：無法確認(rèn)計算機病毒的種類和名稱。(2)掃描法掃描法：用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。特征串選擇的好壞，對于病毒的發(fā)現(xiàn)具有決定作用。如何提取特征串，則需要足夠的相關(guān)知識。優(yōu)點：檢測準(zhǔn)確、快速，可識別病毒名稱和類別，誤報警率低，容易清除病毒缺點：被掃描的文件很長時，掃描時間長；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新型計算機病毒；不易識別變形計算機病毒等。(3)特征字識別法計算機病毒特征字的識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫。它是基于特征串掃描法發(fā)展起來的一種新方法。優(yōu)點：檢測準(zhǔn)確、速度更快，可識別病毒名稱和類別，誤報警率低，容易清除病毒缺點：不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新型計算機病毒；不易識別變形計算機病毒等。(4)分析法本方法是運用相應(yīng)技術(shù)分析被檢測對象，確認(rèn)是否為病毒的。分析法的目的在于：確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒；確認(rèn)病毒的類型和種類，是否新病毒；弄清病毒體的大致結(jié)構(gòu)，提取字節(jié)串或特征字，用于增添到病毒代碼庫；詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。(5)校驗和法病毒校驗和法：對正常文件的內(nèi)容，計算其校驗和，將該校驗和保存起來，可供被檢測對象對照比較，以判斷是否感染了病毒。優(yōu)點：可偵測到各式的計算機病毒，包括未知病毒缺點：誤判率高，無法確認(rèn)病毒種類利用校驗和法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但它不能識別病毒類型和指出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一原因，文件內(nèi)容改變有可能是正常程序引起的，因此，該方法經(jīng)常會產(chǎn)生誤報警，且會影響文件的運行速度。校驗和法對隱蔽型病毒無效。因為隱蔽型病毒進入內(nèi)存后，會自動剝?nèi)ト径境绦蛑械牟《敬a，使校驗和法受騙。對一個有毒文件能計算出正常的校驗和。第八章密碼學(xué)與信息加密67-97=318.1密碼學(xué)發(fā)展階段：傳統(tǒng)密碼學(xué)計算機密碼學(xué)。傳統(tǒng)密碼學(xué)：靠人工進行信息加密、傳輸和破譯。計算機密碼學(xué)：利用計算機進行自動或半自動地加密、解密和傳輸。1.傳統(tǒng)方式計算機密碼學(xué)2.現(xiàn)代方式計算機密碼學(xué)對稱密鑰密碼體制公開密鑰密碼體制密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)兩部分。1、密碼學(xué)的基本概念加密：把信息從一個可理解的明文形式變換成一個錯亂的、不可理解的密文形式的過程明文(PlainText)：原來的信息(報文)、消息，就是網(wǎng)絡(luò)中所說的報文(Message)密文(CipherText)：經(jīng)過加密后得到的信息解密：將密文還原為明文的過程密鑰(Key)：加密和解密時所使用的一種專門信息(工具)密碼算法(Algorithm)：加密和解密變換的規(guī)則(數(shù)學(xué)函數(shù))，有加密算法和解密算法加密系統(tǒng)：加密和解密的信息處理系統(tǒng)加密過程是通過某種算法并使用密鑰來完成的信息變換8.2傳統(tǒng)密碼技術(shù)1、數(shù)據(jù)的表示2、替代密碼3、移位密碼4、一次一密鑰密碼8.3對稱密鑰密碼體制也叫傳統(tǒng)密鑰密碼體制，基本思想是“加密密鑰和解密密鑰相同或相近”，由其中一個可推導(dǎo)出另一個。使用時兩個密鑰均需保密。傳統(tǒng)密鑰密碼算法有：DES、IDEA、TDEA(3DES)、MD5、RC5等，典型的算法是DES算法。加密算法要達到的四個目的。提供高質(zhì)量的數(shù)據(jù)保護，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺的修改。具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過可能獲得的利益，同時又要便于理解和掌握。DES密碼體制的安全性應(yīng)該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎(chǔ)。實現(xiàn)經(jīng)濟，運行有效，并且適用于多種完全不同的應(yīng)用。8.4公開密鑰密碼體制加密密鑰與解密密鑰不同，且由其中一個不容易得到另一個，則這種密碼系統(tǒng)是非對稱密鑰系統(tǒng)。往往其中一個密鑰是公開的，另一個是保密的。因此，相應(yīng)的密碼體制叫公開密鑰密碼體制。公開密鑰密碼體制的主要算法有RSA、背包算法、Elgamal、Rabin、DH等。1、RSA算法的演算過程：密鑰配制過程、加密、解密。P812、DES和RSA算法的特點和比較(1)DES的特點可靠性較高(16輪變化，增大了混亂性和擴散性，輸出不殘存統(tǒng)計信息)。加密/解密速度快。算法容易實現(xiàn)(可由軟件和硬件實現(xiàn)，硬件實現(xiàn)速度快)，通用性強。算法具有對稱性，密鑰位數(shù)少，存在弱密鑰和半弱密鑰，便于窮盡攻擊。密鑰管理復(fù)雜。(2)RSA算法的特點密鑰管理簡單(網(wǎng)上每個用戶僅保密一個密鑰，且不需密鑰配送)；便于數(shù)字簽名；可靠性較高(取決于分解大素數(shù)的難易程度)；算法復(fù)雜，加密/解密速度慢,難于實現(xiàn)。8.5混合加密方法原理是：在發(fā)送端先使用DES或IDEA對稱算法加密數(shù)據(jù)，然后使用公開算法RSA加密前者的對稱密鑰；到接收端，先使用RSA算法解密出對稱密鑰，再用對稱密鑰解密被加密的數(shù)據(jù)。整個系統(tǒng)需保密的只有少量RSA算法的解密密鑰。因為對稱密鑰的數(shù)據(jù)量很少(64/128位)，RSA只需對其做1~2個分組的加密/解密即可，也不會影響系統(tǒng)效率的。8.6鑒別與認(rèn)證技術(shù)1、鑒別技術(shù)概述鑒別包括報文鑒別和身份驗證。報文鑒別是為了確保數(shù)據(jù)的完整性和真實性，對報文的來源、時間性及目的地進行驗證。身份驗證是驗證進入網(wǎng)絡(luò)系統(tǒng)者是否是合法用戶，以防非法用戶訪問系統(tǒng)報文鑒別和身份驗證可采用數(shù)字簽名技術(shù)實現(xiàn)。身份驗證的方法有：口令驗證、個人持證驗證和個人特征驗證。報文鑒別的常用方法是使用信息摘要或散列函數(shù)進行。數(shù)字摘要的使用過程：①對原文使用Hash算法得到數(shù)字摘要；②將數(shù)字摘要與原文一起發(fā)送；③接收方將收到的原文應(yīng)用單向Hash函數(shù)產(chǎn)生一個新的數(shù)字摘要；④將新數(shù)字摘要與發(fā)送方數(shù)字摘要進行比較。2、數(shù)字簽名和驗證的過程(1)報文的發(fā)送方從原文中生成一個數(shù)字摘要，再用發(fā)送方的私鑰對這個數(shù)字摘要進行加密來形成發(fā)送方的數(shù)字簽名。(2)發(fā)送方將數(shù)字簽名作為附件與原文一起發(fā)送給接收方。(3)接收方用發(fā)送方的公鑰對已收到的加密數(shù)字摘要進行解密；(4)接收方對收到的原文用Hash算法得到接收方的數(shù)字摘要；(5)將解密后的發(fā)送方數(shù)字摘要與接收方數(shù)字摘要進行對比，進行判斷。數(shù)字簽名解決了電子商務(wù)信息的完整性鑒別和不可否認(rèn)性(抵賴性)問題。3、數(shù)字簽名與加密過程密鑰對使用差別數(shù)字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進行加密，接收方用發(fā)送方的公鑰對數(shù)字簽名解密，是一對多的關(guān)系，表明發(fā)送方公司的任何一個貿(mào)易伙伴都可以驗證數(shù)字簽名的真?zhèn)涡?；密鑰加密解密過程使用的是接收方的密鑰對，是發(fā)送方用接收方的公鑰加密，接收方用自己的私鑰解密，是多對一的關(guān)系，表明任何擁有該公司公鑰的人都可以向該公司發(fā)送密文，但只有該公司才能解密，其他人不能解密；第九章防火墻與入侵檢測98-142=459.1防火墻概述防火墻(Firewall)是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組安全系統(tǒng)。1、防火墻的發(fā)展簡史第一代防火墻：采用包過濾(PacketFilter)技術(shù)。第二、三代防火墻：推出電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：開發(fā)基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：NAI公司推出一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。2、防火墻的功能強化網(wǎng)絡(luò)安全策略，集中化的網(wǎng)絡(luò)安全管理。記錄和統(tǒng)計網(wǎng)絡(luò)訪問活動。限制暴露用戶點，控制對特殊站點的訪問。網(wǎng)絡(luò)安全策略檢查。3、防火墻的局限性不能防范內(nèi)部人員的攻擊不能防范繞過它的連接不能防備全部的威脅不能防范惡意程序9.2防火墻技術(shù)根據(jù)防火墻的技術(shù)原理分類：包過濾防火墻、代理服務(wù)器防火墻、狀態(tài)檢測防火墻和自適應(yīng)代理防火墻。1、包過濾技術(shù)包過濾防火墻通常只包括對源IP地址和目的IP地址及端口的檢查。包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網(wǎng)絡(luò)層，因此包過濾防火墻又叫網(wǎng)絡(luò)層防火墻。包過濾是在網(wǎng)絡(luò)的出口(如路由器上)對通過的數(shù)據(jù)包進行檢測，只有滿足條件的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務(wù)對內(nèi)部網(wǎng)進行攻擊。包過濾就是根據(jù)包頭信息來判斷該包是否符合網(wǎng)絡(luò)管理員設(shè)定的規(guī)則，以確定是否允許數(shù)據(jù)包通過?！锇^濾防火墻數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。缺點和局限性：在機器中配置包過濾規(guī)則比較困難；對包過濾規(guī)則的配置測試也麻煩；很難找到具有完整功能的包過濾產(chǎn)品。包過濾防火墻是一種靜態(tài)防火墻。靜態(tài)包過濾防火墻是按照定義好的過濾規(guī)則審查每個數(shù)據(jù)包。過濾規(guī)則是基于數(shù)據(jù)包的報頭信息制定的。2、代理服務(wù)技術(shù)代理服務(wù)是運行在防火墻主機上的特定的應(yīng)用程序或服務(wù)程序。防火墻主機可以是具有一個內(nèi)部網(wǎng)接口和一個外部網(wǎng)接口的雙穴(DuelHomed)主機，也可以是一些可以訪問Internet并可被內(nèi)部主機訪問的堡壘主機。這些代理服務(wù)程序接受用戶對Internet服務(wù)的請求，并按安全策略轉(zhuǎn)發(fā)它們的實際的服務(wù)。所謂代理，就是提供替代連接并充當(dāng)服務(wù)的橋梁(網(wǎng)關(guān))。代理服務(wù)的一大特點就是透明性。代理服務(wù)位于內(nèi)部用戶和外部服務(wù)之間。代理程序在幕后處理所有用戶和Internet服務(wù)之間的通信以代替相互間的直接交談。對于用戶，代理服務(wù)器給用戶一種直接使用“真正”服務(wù)器的感覺；對于真正的服務(wù)器，代理服務(wù)器給真正服務(wù)器一種在代理主機上直接處理用戶的假象。用戶將對“真正”服務(wù)器的請求交給代理服務(wù)器，代理服務(wù)器評價來自客戶的請求，并作出認(rèn)可或否認(rèn)的決定。如果一個請求被認(rèn)可，代理服務(wù)器就代表客戶將請求轉(zhuǎn)發(fā)給“真正”的服務(wù)器，并將服務(wù)器的響應(yīng)返回給代理客戶。3、狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻又稱動態(tài)包過濾防火墻。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包，抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被中止。狀態(tài)檢測防火墻是新一代的防火墻技術(shù)，也被稱為第三代防火墻。9.3常見防火墻系統(tǒng)模型常見防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型、單宿主堡壘主機(屏蔽主機防火墻)模型、雙宿主堡壘主機模型(屏蔽防火墻系統(tǒng)模型)和屏蔽子網(wǎng)模型。1、包過濾結(jié)構(gòu)防火墻2、雙穴主機結(jié)構(gòu)雙穴主機有兩個接口。這樣的主機可擔(dān)任與這些接口連接的網(wǎng)絡(luò)路由器，并可從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。3、主機過濾結(jié)構(gòu)主機過濾結(jié)構(gòu)中提供安全保障的主機(堡壘主機)在內(nèi)部網(wǎng)中，加上一臺單獨的過濾路由器，一起構(gòu)成該結(jié)構(gòu)的防火墻。堡壘主機是Internet主機連接內(nèi)部網(wǎng)系統(tǒng)的橋梁。任何外部系統(tǒng)試圖訪問內(nèi)部網(wǎng)系統(tǒng)或服務(wù)，都必須連接到該主機上。因此該主機需要高級別安全。4、子網(wǎng)過濾結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。通過參數(shù)網(wǎng)絡(luò)將堡壘主機與外部網(wǎng)隔開，減少堡壘主機被侵襲的影響。子網(wǎng)過濾體系結(jié)構(gòu)的最簡單的形式為兩個過濾路由器，每一個都連接到參數(shù)網(wǎng)絡(luò)上，一個位于參數(shù)網(wǎng)與內(nèi)部網(wǎng)之間，另一個位于參數(shù)網(wǎng)與外部網(wǎng)之間。這是一種比較復(fù)雜的結(jié)構(gòu)，它提供了比較完善的網(wǎng)絡(luò)安全保障和較靈活的應(yīng)用方式。9.4入侵檢測系統(tǒng)1、入侵檢測入侵檢測(IntrusionDetection)技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對于正在進行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙?與防火墻聯(lián)動)，以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。(1)入侵檢測系統(tǒng)(IDS)由入侵檢測的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)：①監(jiān)視、分析用戶及系統(tǒng)活動。②系統(tǒng)構(gòu)造和弱點的審計。③識別反映已知進攻的活動模式并向相關(guān)人士報警。④異常行為模式的統(tǒng)計分析。⑤評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。⑥操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。2、入侵檢測過程：信息收集、信息分析、結(jié)果處理。3、入侵檢測系統(tǒng)的作用：監(jiān)控網(wǎng)絡(luò)和系統(tǒng)、發(fā)現(xiàn)入侵企圖或異常現(xiàn)象、實時報警、主動響應(yīng)、審計跟蹤。4、入侵檢測系統(tǒng)的結(jié)構(gòu)入侵檢測系統(tǒng)的主要功能模塊有：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元。9.5入侵檢測的原理與技術(shù)1、入侵檢測的實現(xiàn)方式基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)：檢測內(nèi)容：包頭信息+有效數(shù)據(jù)部分基于主機的入侵檢測系統(tǒng)(HIDS)：檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志混合型入侵檢測系統(tǒng)(HybridIDS)：2、IDS采用的技術(shù)入侵檢測技術(shù)有：靜態(tài)配置分析技術(shù)、異常檢測技術(shù)、誤用檢測技術(shù)。靜態(tài)配置分析技術(shù)：通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征(系統(tǒng)配置信息)，而不是系統(tǒng)中的活動。異常檢測技術(shù)：通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體(單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等)的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個入侵行為。這一檢測方法稱“異常檢測技術(shù)”。一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。誤用檢測技術(shù)(MisuseDetection)：通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。9.6入侵防護系統(tǒng)(IPS)1、入侵防護系統(tǒng)的定義入侵防護系統(tǒng)(IPS:IntrusionPreventionSystem)則能提供主動性的防護，其設(shè)計旨在對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其直接進入內(nèi)部網(wǎng)絡(luò)，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報2、入侵防護系統(tǒng)的原理3、IDS與IPS的區(qū)別從產(chǎn)品價值角度講：入侵檢測系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。入侵防御系統(tǒng)關(guān)注的是對入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測產(chǎn)品可以實施的安全策略不同，入侵防御系統(tǒng)可以實施深層防御安全策略，即可以在應(yīng)用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測產(chǎn)品所做不到的。從產(chǎn)品應(yīng)用角度來講：為了達到可以全面檢測網(wǎng)絡(luò)安全狀況的目的，入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng)，則需要在整個信息系統(tǒng)中實施分布部署，即每子網(wǎng)部署一個入侵檢測分析引擎，并統(tǒng)一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統(tǒng)安全狀況的目的。入侵檢測系統(tǒng)IDS的核心價值在于通過對全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵防御系統(tǒng)IPS的核心價值在于對數(shù)據(jù)的深度分析及安全策略的實施———對黑客行為的阻擊。入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對內(nèi)部攻擊行為無能為力。第十章數(shù)據(jù)安全143-148=610.1數(shù)據(jù)完整性簡介數(shù)據(jù)完整性：泛指與損壞和丟失相對的數(shù)據(jù)的狀態(tài)，它通常表明數(shù)據(jù)的可靠性與準(zhǔn)確性是可以信賴的，同時也意味著數(shù)據(jù)有可能是無效的或不完整的。數(shù)據(jù)完整性包括數(shù)據(jù)地正確性、有效性和一致性。1、正確性。數(shù)據(jù)在輸入時要保證其輸入值與定義這個表相應(yīng)的域的類型一致。2、有效性。在保證數(shù)據(jù)有效的前提下，系統(tǒng)還要約束數(shù)據(jù)的有效性。3、一致性。當(dāng)不同的用戶使用數(shù)據(jù)庫時，應(yīng)該保證他們?nèi)〕龅臄?shù)據(jù)必須一致。10.2提高數(shù)據(jù)完整性的辦法解決辦法有兩個方面的內(nèi)容。首先，采用預(yù)防性的技術(shù)，防范危及數(shù)據(jù)完整性的事件的發(fā)生；其次，一旦數(shù)據(jù)的完整性受到損壞時采取有效的恢復(fù)手段，恢復(fù)被損壞的數(shù)據(jù)。下面所列出的是一些恢復(fù)數(shù)據(jù)完整性和防止數(shù)據(jù)丟失的方法：備份、鏡像技術(shù)、歸檔、轉(zhuǎn)儲、分級存儲管理、奇偶檢驗、災(zāi)難恢復(fù)計劃、故障發(fā)生前的預(yù)前分析和電源調(diào)節(jié)系統(tǒng)。備份是用來恢復(fù)出錯系統(tǒng)或防止數(shù)據(jù)丟失的一種最常用的辦法。10.3什么是網(wǎng)絡(luò)備份實際上不僅僅是指網(wǎng)絡(luò)上各計算機的文件備份，它實際上包含了整個網(wǎng)絡(luò)系統(tǒng)的一套備份體系。主要包括如下幾個方面：1、文件備份和恢復(fù)。2、數(shù)據(jù)庫備份和恢復(fù)。3、系統(tǒng)災(zāi)難恢復(fù)。4、備份任務(wù)管理。10.4網(wǎng)絡(luò)備份系統(tǒng)盡可能快地恢復(fù)計算機或計算機網(wǎng)絡(luò)系統(tǒng)所需要的數(shù)據(jù)和系統(tǒng)信息。網(wǎng)絡(luò)備份系統(tǒng)主要包括如下幾個方面：1、文件備份和恢復(fù)；2、數(shù)據(jù)庫備份和恢復(fù)；3、系統(tǒng)災(zāi)難恢復(fù)；4、備份任務(wù)管理；網(wǎng)絡(luò)備份有如下四種基本部件組成：目標(biāo)、工具、設(shè)備和SCSI總線。設(shè)計一個典型的網(wǎng)絡(luò)備份系統(tǒng)。設(shè)計一份網(wǎng)絡(luò)安全方案補充二數(shù)據(jù)庫系統(tǒng)安全149-172=23+2.1數(shù)據(jù)庫安全的概念數(shù)據(jù)庫安全是指數(shù)據(jù)庫的任何部分都沒受到侵害，或未經(jīng)授權(quán)的存取和修改。一般影響數(shù)據(jù)庫安全的因素有：系統(tǒng)故障、并發(fā)事件、數(shù)據(jù)錯誤、人為破壞。+2.2數(shù)據(jù)庫管理系統(tǒng)及特性1、數(shù)據(jù)庫管理系統(tǒng)的安全功能數(shù)據(jù)庫管理系統(tǒng)(DBMS)：專門負(fù)責(zé)數(shù)據(jù)庫管理和維護的計算機軟件系統(tǒng)。它是數(shù)據(jù)庫系統(tǒng)的核心，不僅負(fù)責(zé)數(shù)據(jù)庫的維護工作，還能保證數(shù)據(jù)庫的安全性和完整性。在安全方面，DBMS還具有以下職能：保證數(shù)據(jù)的安全性和完整性，抵御一定程度的物理破壞，能維護和提交數(shù)據(jù)庫內(nèi)容；能識別用戶，分配授權(quán)和進行訪問控制，包括身份證識別和驗證。2、數(shù)據(jù)庫的特性面對數(shù)據(jù)庫的安全威脅，必須采取有效安全措施。這些措施可分為兩個方面，即支持?jǐn)?shù)據(jù)庫的操作系統(tǒng)和同屬于系統(tǒng)軟件的DBMS。DBMS的安全使用特性有以下幾點要求。多用戶網(wǎng)絡(luò)系統(tǒng)上的數(shù)據(jù)庫是提供給多個用戶訪問的。這意味著對數(shù)據(jù)庫的任何管理操作，其中包括備份，都會影響到用戶的工作效率，而且不僅是一個用戶而是多個用戶的工作效率。高可靠性網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫有一個特性是高可靠性。因為，多用戶的數(shù)據(jù)庫要求具有較長的被訪問和更新的時間，以完成成批任務(wù)處理或為其它時區(qū)的用戶提供訪問。頻繁的更新數(shù)據(jù)庫系統(tǒng)由于是多用戶的，對其操作的頻率以每秒計遠(yuǎn)遠(yuǎn)大于文件服務(wù)器。文件大數(shù)據(jù)庫文件經(jīng)常有幾百KB甚至幾個GB。另外，數(shù)據(jù)庫一般比文件有更多需要備份的數(shù)據(jù)和更短的用于備份的時間。另外，如果備份操作超過了備份窗口還會導(dǎo)致用戶訪問和系統(tǒng)性能方面的更多的問題，因為這時數(shù)據(jù)庫要對更多的請求進行響應(yīng)。☆數(shù)據(jù)庫的安全特性為了保證數(shù)據(jù)庫數(shù)據(jù)的安全可靠和正確有效，DBMS必須提供統(tǒng)一的數(shù)據(jù)保護功能。數(shù)據(jù)保護也稱為數(shù)據(jù)控制，主要包括數(shù)據(jù)庫數(shù)據(jù)的安全性、完整性、并發(fā)控制和故障恢復(fù)。+2.3數(shù)據(jù)庫的安全保護層次數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次網(wǎng)絡(luò)系統(tǒng)層次操作系統(tǒng)層次數(shù)據(jù)庫管理系統(tǒng)層次這三個層次構(gòu)筑成數(shù)據(jù)庫系統(tǒng)的安全體系，與數(shù)據(jù)庫安全的關(guān)系是逐步緊密的，防范的重要性也逐層加強，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。操作系統(tǒng)是大型數(shù)據(jù)庫系統(tǒng)的運行平臺，為數(shù)據(jù)庫系統(tǒng)提供了一定程度的安全保護。數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)的安全性機制非常強大，則數(shù)據(jù)庫系統(tǒng)的安全性能就好。對數(shù)據(jù)庫中存儲的數(shù)據(jù)實現(xiàn)加密是一種保護數(shù)據(jù)庫數(shù)據(jù)安全的有效方法。數(shù)據(jù)庫的數(shù)據(jù)加密一般是在通用的數(shù)據(jù)庫管理系統(tǒng)之上，增加一些加密/解密控件，來完成對數(shù)據(jù)本身的控制。與一般通信中加密的情況不同，數(shù)據(jù)庫的數(shù)據(jù)加密通常不是對數(shù)據(jù)文件加密，而是對記錄的字段加密。當(dāng)然，在數(shù)據(jù)備份到離線的介質(zhì)上送到異地保存時，也有必要對整個數(shù)據(jù)文件加密。不同層次的數(shù)據(jù)庫加密可以考慮在操作系統(tǒng)層、DBMS內(nèi)核層和DBMS外層三個不同層次實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密。在操作系統(tǒng)層，無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系，從而無法產(chǎn)生合理的密