信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程初級(jí)學(xué)習(xí)筆記

第頁(yè)網(wǎng)絡(luò)平安測(cè)評(píng)1.1網(wǎng)絡(luò)全局1.1.1構(gòu)造平安a〕應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理實(shí)力有冗余空間，滿意業(yè)務(wù)頂峰期須要b〕應(yīng)保證網(wǎng)絡(luò)各個(gè)局部的帶寬滿意業(yè)務(wù)頂峰期須要；c〕應(yīng)在業(yè)務(wù)終端及業(yè)務(wù)效勞器之間進(jìn)展路由限制建立平安的訪問(wèn)路徑；d〕應(yīng)繪制及當(dāng)前運(yùn)行狀況相符的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖；e〕應(yīng)依據(jù)各局部的工作職能,重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)和網(wǎng)段，并依據(jù)便利管理和限制的原那么為各子網(wǎng),網(wǎng)段安排地址段f〕應(yīng)防止將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段及其他網(wǎng)段之間實(shí)行牢靠的技術(shù)隔離手段g〕應(yīng)依據(jù)對(duì)業(yè)務(wù)效勞的重要次序來(lái)制定帶寬安排優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先愛(ài)護(hù)重要主機(jī)。1.1.2邊界完整性檢查a〕應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)展檢查，精確定位，并對(duì)其進(jìn)展有效阻斷；技術(shù)手段：網(wǎng)絡(luò)接入限制，關(guān)閉網(wǎng)絡(luò)設(shè)備未運(yùn)用的端口,IP/MAC地址綁定等管理措施：進(jìn)入機(jī)房全程陪伴,紅外視頻監(jiān)控等b〕應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)展檢查，精確定位，并對(duì)其進(jìn)展有效阻斷；1.1.3入侵防范a〕應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描,強(qiáng)力攻擊,木馬后門攻擊,拒絕效勞攻擊,緩沖區(qū)溢出攻擊,IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；b〕當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP,攻擊類型,攻擊目的,攻擊時(shí)間，在發(fā)生嚴(yán)峻入侵事務(wù)時(shí)應(yīng)供應(yīng)報(bào)警1.1.4惡意代碼防范a〕應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)展檢測(cè)和去除；b〕應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新1.2路由器1.2.1訪問(wèn)限制a〕應(yīng)在網(wǎng)絡(luò)邊界處部署訪問(wèn)限制設(shè)備，啟用訪問(wèn)限制功能；能夠起訪問(wèn)限制功能的設(shè)備有：網(wǎng)閘,防火墻,路由器和三層路由交換機(jī)等b〕應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供應(yīng)明確的允許/拒絕訪問(wèn)的實(shí)力，限制粒度為端口級(jí)；c〕應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層,FTP,TELNET,SMTP,POP3等協(xié)議命令級(jí)的限制d〕應(yīng)在會(huì)話處于非活潑確定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)連接；e〕應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；路由器可依據(jù)IP地址,端口,協(xié)議來(lái)限制應(yīng)用數(shù)據(jù)流的最大流量；依據(jù)IP地址來(lái)限制網(wǎng)絡(luò)連接數(shù)路由器的帶寬策略一般采納分層的帶寬管理機(jī)制，管理員可以通過(guò)設(shè)置細(xì)粒度的帶寬策略，對(duì)數(shù)據(jù)報(bào)文做帶寬限制和優(yōu)先級(jí)別設(shè)定，還可以通過(guò)源地址,目的地址,用戶和協(xié)議4個(gè)方面來(lái)限制帶寬f〕重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址欺瞞地址欺瞞中的地址可以使MAC地址，也可以使IP地址。目前發(fā)生比擬多的是ARP地址欺瞞，ARP地址欺瞞是MAC地址欺瞞的一種。ARP〔AddressResolutionProtocol，地址解析協(xié)議〕是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP欺瞞分為2種，一種是對(duì)網(wǎng)絡(luò)設(shè)備ARP表的欺瞞，另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺瞞。解決方法：1在網(wǎng)絡(luò)設(shè)備中把全部PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫IP-MAC綁定；2.在內(nèi)網(wǎng)全部PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PCIP-MAC綁定。一般要求2個(gè)工作都要做，稱為IP-MAC雙向綁定g〕應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么，確定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn)，限制粒度為單個(gè)用戶h〕應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量1.2.2平安審計(jì)a〕應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,網(wǎng)絡(luò)流量,用戶行為等進(jìn)展日志記錄；b〕審計(jì)記錄應(yīng)包括：事務(wù)的日期和時(shí)間,用戶,事務(wù)類型,事務(wù)是否勝利及其他及審計(jì)相關(guān)的信息；c〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；d〕應(yīng)對(duì)審計(jì)記錄進(jìn)展愛(ài)護(hù)，防止受到未預(yù)期的刪除,修改或覆蓋等；1.2.3網(wǎng)絡(luò)設(shè)備防護(hù)a〕應(yīng)對(duì)登陸網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別；——用戶登錄路由器的方式包括：&1利用限制臺(tái)端口〔Console〕通過(guò)串口進(jìn)展本地連接登錄；&2利用協(xié)助端口〔AUX〕通過(guò)MODEM進(jìn)展遠(yuǎn)程撥號(hào)連接登錄&3利用虛擬終端〔VTY〕通過(guò)TCP/IP網(wǎng)絡(luò)進(jìn)展遠(yuǎn)程登錄——無(wú)論哪一種登錄方式，都須要對(duì)用戶身份進(jìn)展鑒別，口令是路由器用來(lái)防止非授權(quán)訪問(wèn)的常用手段，是路由器平安的一局部?！氁訌?qiáng)對(duì)路由器口令的管理，包括口令的設(shè)置和存儲(chǔ)，最好的口令存儲(chǔ)方式是保存在TACACS+或RADIUS認(rèn)證效勞器上。檢查方法：在特權(quán)模式下輸入命令showrunning-config會(huì)輸出該路由器相關(guān)配置信息檢查配置信息中是否存在類似如下的配置信息Linevty04〔虛擬終端〕LoginPasswordxxxxxLineaux0〔協(xié)助端口〕LoginPasswordxxxxxxLinecon0〔限制臺(tái)端口〕LoginPasswordxxxxx為特權(quán)用戶設(shè)置口令時(shí)，應(yīng)當(dāng)運(yùn)用enablesecret命令該命令用于設(shè)定具有管理員權(quán)限的口令，enablesecret命令采納的是MD5算法，這種算法比enablepassword加密算法強(qiáng)，不簡(jiǎn)單被破解。假如設(shè)備啟用了AAA認(rèn)證，那么查看配置信息應(yīng)當(dāng)存在類似如下配置信息aaanew-modeltacacs-serverhostsingle-connectingtacacs-serverkeyshared1aaanew-modelradius-serverkeyshared1linevty04aaaauthorizationloginb〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)展限制；c〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別；雙因子鑒別還須要訪問(wèn)者擁有鑒別特征：采納令牌,智能卡,數(shù)字證書和生物信息等e〕身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難度要求并定期更換；f〕應(yīng)具有登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；g〕當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；不應(yīng)當(dāng)運(yùn)用明文傳送的Telnet,效勞，應(yīng)當(dāng)采納SSH,S等加密協(xié)議等方式來(lái)進(jìn)展交互式管理h〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離；1.3交換機(jī)1.3.1訪問(wèn)限制a〕應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)限制設(shè)備，啟用訪問(wèn)限制功能；b〕應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供應(yīng)明確的允許/拒絕訪問(wèn)的實(shí)力，限制粒度為端口級(jí)c〕應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層,,SMTP,POP3等協(xié)議命令級(jí)的限制d〕應(yīng)在會(huì)話處于非活潑確定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)連接；e〕應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)交換機(jī)可依據(jù)IP地址,端口,協(xié)議來(lái)限制應(yīng)用數(shù)據(jù)流的最大流量；依據(jù)IP地址來(lái)限制網(wǎng)絡(luò)連接數(shù)交換機(jī)的帶寬策略一般采納分層的帶寬管理機(jī)制，管理員可以通過(guò)設(shè)置細(xì)粒度的帶寬策略，對(duì)數(shù)據(jù)報(bào)文做帶寬限制和優(yōu)先級(jí)別設(shè)定，還可以通過(guò)源地址,目的地址,用戶和協(xié)議4個(gè)方面來(lái)限制帶寬f〕重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址欺瞞g〕應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么，確定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn)，限制粒度為單個(gè)用戶。1.3.2平安審計(jì)a〕應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,網(wǎng)絡(luò)流量,用戶行為等進(jìn)展日志記錄；b〕審計(jì)記錄應(yīng)包括：時(shí)間的日期和時(shí)間,用戶,事務(wù)類型,事務(wù)是否勝利及其他及審計(jì)相關(guān)的信息；c〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表d〕應(yīng)對(duì)審計(jì)記錄進(jìn)展愛(ài)護(hù)，防止受到未預(yù)期的刪除,修改或者覆蓋等1.3.3網(wǎng)絡(luò)設(shè)備愛(ài)護(hù)a〕應(yīng)對(duì)登陸網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別；b〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登陸地址進(jìn)展限制c〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)須唯一d〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或者2種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別；e〕身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難度要求并定期更換；f〕應(yīng)具有登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；g〕當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)h〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離1.3.3網(wǎng)絡(luò)設(shè)備防護(hù)a〕應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別b〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)展限制；c〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別e〕身邊鑒別信息應(yīng)當(dāng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難程度要求并定期更換；f〕應(yīng)具有登錄失敗處理的功能，可實(shí)行完畢會(huì)話，限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出的措施；g〕當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)h〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離1.4防火墻1.4.1訪問(wèn)限制a〕應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)限制設(shè)備，啟用訪問(wèn)限制功能；b〕應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供應(yīng)明確的允許/拒絕訪問(wèn)的實(shí)力，限制粒度為端口級(jí)；防火墻的平安策略的配置應(yīng)當(dāng)依據(jù)信息系統(tǒng)的應(yīng)用進(jìn)展配置，只允許授權(quán)的IP地址,協(xié)議,端口通過(guò)，對(duì)于沒(méi)有明確允許通過(guò)的數(shù)據(jù)流默認(rèn)應(yīng)當(dāng)是被制止的。同時(shí)可以通過(guò)配置NAT,靜態(tài)地址映射,IP地址綁定等措施隱藏內(nèi)部網(wǎng)絡(luò)信息，以最大限度地保證被愛(ài)護(hù)網(wǎng)絡(luò)的平安c〕應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層,FTP,Telnet,SMTP，POP3等協(xié)議命令級(jí)的限制d〕應(yīng)在會(huì)話處于非活潑確定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)連接；e〕應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f〕重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址欺瞞g〕應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么，確定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn)，限制粒度為單個(gè)用戶h〕應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量1.4.2平安審計(jì)a〕應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,網(wǎng)絡(luò)流量,用戶行為等進(jìn)展日志記錄；b〕審計(jì)記錄包括：事務(wù)的日期和時(shí)間,用戶,事務(wù)類型,事務(wù)是否勝利及其他審計(jì)相關(guān)的信息；c〕應(yīng)能依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；d〕應(yīng)對(duì)審計(jì)記錄進(jìn)展愛(ài)護(hù)，防止受到未預(yù)期的刪除,修改或覆蓋等；1.4.3網(wǎng)絡(luò)設(shè)備防護(hù)a〕應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別b〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)展限制；須要對(duì)遠(yuǎn)程管理防火墻的登錄地址進(jìn)展限制，可以是某一特定的IP地址，也可以來(lái)自某一子網(wǎng),地址范圍或地址組c〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別e〕身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難程度要求并定期更換；f〕應(yīng)具有登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；g〕當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)h〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離1.5入侵檢測(cè)/防衛(wèi)系統(tǒng)1.5.1訪問(wèn)限制a〕應(yīng)在網(wǎng)絡(luò)邊界部署限制設(shè)備，啟用訪問(wèn)限制；此處的訪問(wèn)限制主要指入侵防衛(wèi)系統(tǒng)具有的訪問(wèn)限制功能，入侵檢測(cè)系統(tǒng)IDS不具有此功能b〕應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供應(yīng)明確的允許/拒絕訪問(wèn)的實(shí)力，限制粒度為端口級(jí)c〕應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層,，SMTP,POP3等協(xié)議命令級(jí)的限制；d〕應(yīng)在會(huì)話處于非活潑確定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)連接；e〕應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)f〕重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址欺瞞g〕應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么，確定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn)，限制粒度為單個(gè)用戶；h〕應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量1.5.2平安審計(jì)a〕應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)展運(yùn)行狀況,網(wǎng)絡(luò)流量,用戶行為等進(jìn)展日志記錄；b〕審計(jì)記錄應(yīng)包括：事務(wù)的日期和時(shí)間,用戶,事務(wù)類型,事務(wù)是否勝利及其他審計(jì)相關(guān)的信息；c〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；d〕應(yīng)對(duì)審計(jì)記錄進(jìn)展愛(ài)護(hù)，防止受到未預(yù)期的刪除,修改或覆蓋等；1.5.3網(wǎng)絡(luò)設(shè)備防護(hù)a〕應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別b〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)展限制；c〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或者2種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別e〕身邊鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難程度要求并定期更換；f〕應(yīng)具有登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施h〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離第2章主機(jī)平安測(cè)評(píng)2.1操作系統(tǒng)測(cè)評(píng)2.1.1身份鑒別a〕應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)展身份標(biāo)識(shí)和鑒別b〕操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難度要求并定期更換；WindowsOS中查看“本地平安策略—賬戶策略—密碼策略〞中的相關(guān)工程：設(shè)置密碼歷史要求〔此設(shè)置可確保用戶無(wú)法復(fù)用密碼〕：24設(shè)置密碼最長(zhǎng)運(yùn)用期限：70天設(shè)置密碼最短運(yùn)用期限：2天設(shè)置最短密碼長(zhǎng)度：8個(gè)字符設(shè)置密碼困難性要求：?jiǎn)⒂脝⒂妹艽a可逆加密：不啟用LinuxOS：PASS_MAX_DAYS90PASS_MIN_DAYS0PASS_MIN_LEN8PASS_WARN_AGE7登錄密碼過(guò)期提前7天提示修改FAIL_DELAY10登錄錯(cuò)誤時(shí)等待時(shí)間10秒FAILLOG_ENABYES登錄錯(cuò)誤記錄到日志FAILLOG_SU_ENABYES當(dāng)限定超級(jí)用戶管理日志時(shí)運(yùn)用FAILLOG_SG_ENABYES當(dāng)限定超級(jí)用戶組管理日志時(shí)運(yùn)用MD5_CRYPT_ENABYES當(dāng)運(yùn)用md5為密碼的加密方法時(shí)運(yùn)用c〕應(yīng)啟用登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和自動(dòng)退出等措施d〕當(dāng)對(duì)效勞器進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)e〕應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶安排不同的用戶名，確保用戶名具有唯一性f〕應(yīng)采納2種或2種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)展身份鑒別2.1.2訪問(wèn)限制a〕應(yīng)啟用訪問(wèn)限制功能，依據(jù)平安策略限制用戶對(duì)資源的訪問(wèn)；訪問(wèn)限制是平安防范和愛(ài)護(hù)的主要策略，它不僅應(yīng)用及網(wǎng)絡(luò)層面，同樣也適用于主機(jī)層面，它的主要任務(wù)是保證系統(tǒng)資源不被非法適用和訪問(wèn)，適用訪問(wèn)限制的目的在于通過(guò)限制用戶對(duì)特定資源的訪問(wèn)來(lái)愛(ài)護(hù)系統(tǒng)資源。主要涉及2個(gè)方面的內(nèi)容：文件系統(tǒng)和默認(rèn)共享文件權(quán)限：在windows系統(tǒng)中，重要目錄不能對(duì)“everyone〞賬戶開(kāi)放，在權(quán)限限制方面，尤其要留意文件權(quán)限更改后對(duì)于應(yīng)用系統(tǒng)的影響；在Linux系統(tǒng)中，應(yīng)堅(jiān)持Linux系統(tǒng)主要目錄的權(quán)限設(shè)置狀況，對(duì)于配置文件權(quán)限制不能大于644，對(duì)于可執(zhí)行文件不能大于755。以root身份登錄Linux，運(yùn)用〞Ls-l文件名〞查看重要文件和目錄權(quán)限設(shè)置是否合理默認(rèn)共享：WindowsOS的默認(rèn)共享功能的設(shè)計(jì)初衷是為了便利網(wǎng)管通過(guò)網(wǎng)絡(luò)對(duì)計(jì)算機(jī)進(jìn)展遠(yuǎn)程管理而設(shè)的，它的存在依靠于系統(tǒng)效勞的“server〞。為保證系統(tǒng)平安性，通常我們可以將其關(guān)閉。LinuxOS通常不存在默認(rèn)共享在命令模式下輸入netshare，查看共享查看注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否為“0〞〔0表示共享開(kāi)啟〕b〕應(yīng)依據(jù)管理用戶的角色安排權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限別離，僅授予管理用戶所需的最小權(quán)限；c〕應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限別離；d〕應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令e〕應(yīng)及時(shí)刪除多余的,過(guò)期的賬戶，防止共享賬戶的存在f〕應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；g〕應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對(duì)有敏感標(biāo)記重要信息資源的操作2.1.3平安審計(jì)a〕審計(jì)范圍應(yīng)覆蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；b〕審計(jì)內(nèi)容應(yīng)包括重要用戶行為,系統(tǒng)資源的異樣運(yùn)用和重要系統(tǒng)命令的運(yùn)用等系統(tǒng)內(nèi)重要的平安相關(guān)事務(wù)；c〕審計(jì)記錄應(yīng)包括事務(wù)的日期,時(shí)間,類型,主體標(biāo)識(shí),客體標(biāo)識(shí)和結(jié)果等；d〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；e〕應(yīng)愛(ài)護(hù)審計(jì)進(jìn)程，防止受到未預(yù)期的中斷；f〕應(yīng)愛(ài)護(hù)審計(jì)記錄，防止受到未預(yù)期的刪除,修改或覆蓋等；2.1.4剩余信息愛(ài)護(hù)a〕應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再安排給其他用戶前得到完全去除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中b〕應(yīng)確保系統(tǒng)內(nèi)的文件,目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新安排給其他用戶前得到完全去除；2.1.5入侵防范a〕應(yīng)能夠檢測(cè)到對(duì)重要效勞器進(jìn)展入侵的行為，能夠記錄入侵的源IP，攻擊的類型,目的,時(shí)間，并在發(fā)生嚴(yán)峻入侵事務(wù)時(shí)供應(yīng)報(bào)警；b〕應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)展檢測(cè)，并在檢測(cè)到完整性受到破壞后具有復(fù)原的措施；c〕操作系統(tǒng)應(yīng)遵循最小安裝的原那么，僅安裝須要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新2.1.6惡意代碼防范a〕應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；b〕主機(jī)防惡意代碼產(chǎn)品應(yīng)具有及網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)c〕應(yīng)支持防惡意代碼的統(tǒng)一管理2.1.7資源限制a〕應(yīng)通過(guò)設(shè)定終端接入方式,網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b〕應(yīng)依據(jù)平安策略設(shè)置登錄終端的操作超時(shí)鎖定；c〕應(yīng)對(duì)重要效勞器進(jìn)展監(jiān)視，包括監(jiān)視效勞器的CPU,硬盤,內(nèi)存,網(wǎng)絡(luò)等資源的運(yùn)用狀況；d〕應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小運(yùn)用限度；e〕應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)展檢測(cè)和報(bào)警2.2數(shù)據(jù)庫(kù)系統(tǒng)測(cè)評(píng)2.2.1身份鑒別a〕應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)展身份標(biāo)識(shí)和鑒別；b〕操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有困難程度要求并定期更換；c〕應(yīng)啟用登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和自動(dòng)退出等措施d〕當(dāng)對(duì)效勞器進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)實(shí)行必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)e〕應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶安排不同的用戶名，確保用戶名具有唯一性；f〕應(yīng)采納2種或2種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)展身份鑒別2.2.2訪問(wèn)限制a〕應(yīng)啟用訪問(wèn)限制功能，依據(jù)平安策略限制用戶對(duì)資源的訪問(wèn)；b〕應(yīng)依據(jù)管理用戶的角色安排權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限別離，僅授予管理用戶所需的最小權(quán)限；c〕應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限別離；d〕應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令；e〕應(yīng)及時(shí)刪除多余的,過(guò)期的賬戶，防止共享賬戶的存在；f〕應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；g〕應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；2.2.3平安審計(jì)a〕審計(jì)范圍應(yīng)覆蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；

b〕審計(jì)內(nèi)容應(yīng)包括重要用戶行為,系統(tǒng)資源的異樣運(yùn)用和重要系統(tǒng)命令的運(yùn)用等系統(tǒng)內(nèi)重要的平安相關(guān)事務(wù)c〕審計(jì)記錄應(yīng)包括事務(wù)的日期,時(shí)間,類型,主體標(biāo)識(shí),客體標(biāo)識(shí)和結(jié)果等d〕應(yīng)能依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；e〕應(yīng)愛(ài)護(hù)審計(jì)進(jìn)程，防止受到未預(yù)期的中斷；f〕應(yīng)愛(ài)護(hù)審計(jì)記錄，防止受到未預(yù)期的刪除,修改或覆蓋等；2.2.4資源限制a〕應(yīng)通過(guò)設(shè)定終端接入方式,網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b〕應(yīng)依據(jù)平安策略設(shè)置登錄終端的操作超時(shí)鎖定；c〕應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小運(yùn)用限度第3章應(yīng)用平安測(cè)評(píng)3.1身份鑒別a〕應(yīng)供應(yīng)專用的登錄限制模塊對(duì)登錄用戶進(jìn)展身份標(biāo)識(shí)和鑒別；b〕應(yīng)對(duì)同一用戶采納2種或者2種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；c〕應(yīng)供應(yīng)用戶身份標(biāo)識(shí)唯一和鑒別信息困難度檢測(cè)功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；d〕應(yīng)供應(yīng)登錄失敗處理功能，可實(shí)行完畢會(huì)話,限制非法登錄次數(shù)和自動(dòng)退出等措施；e〕應(yīng)啟用身份鑒別,用戶身份標(biāo)識(shí)唯一性檢查,用戶身份鑒別信息困難度檢查，以及登錄失敗處理功能，并依據(jù)平安策略配置相關(guān)參數(shù)；3.2訪問(wèn)限制a〕應(yīng)供應(yīng)訪問(wèn)限制功能，依據(jù)平安策略限制用戶對(duì)文件,數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；b〕訪問(wèn)限制的覆蓋范圍應(yīng)包括及資源訪問(wèn)相關(guān)的主體,客體及它們之間的操作；c〕應(yīng)有授權(quán)主體配置訪問(wèn)限制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限；d〕應(yīng)授予不同賬戶為完成各自承當(dāng)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；e〕應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；f〕應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；3.3平安審計(jì)a〕應(yīng)供應(yīng)覆蓋到每個(gè)用戶的平安審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要平安事務(wù)進(jìn)展審計(jì)；b〕應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除,修改或覆蓋審計(jì)記錄；c〕審計(jì)記錄的內(nèi)容至少應(yīng)包括事務(wù)的日期,時(shí)間,發(fā)起者信息,類型,描述和結(jié)果等；d〕應(yīng)供應(yīng)對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)展統(tǒng)計(jì),查詢,分析及生成審計(jì)報(bào)表的功能3.4剩余信息愛(ài)護(hù)a〕應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間唄釋放或再安排給其他用戶前被完全去除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；b〕應(yīng)保證系統(tǒng)內(nèi)的文件,目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間唄釋放或重新安排給其他用戶前得到完全去除；3.5通信完整性a〕應(yīng)采納密碼技術(shù)保證通信過(guò)程中的數(shù)據(jù)的完整性；3.6通信保密性a〕在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)展會(huì)話初始化驗(yàn)證；b〕應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)展加密；3.7抗抵賴a〕應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供應(yīng)數(shù)據(jù)原發(fā)證據(jù)的功能；b〕應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供應(yīng)數(shù)據(jù)接收證據(jù)的功能；3.8軟件容錯(cuò)a〕應(yīng)供應(yīng)數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b〕應(yīng)供應(yīng)自動(dòng)愛(ài)護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)愛(ài)護(hù)當(dāng)前全部狀態(tài)，保證系統(tǒng)能夠進(jìn)展復(fù)原；3.9資源限制a〕當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方面能夠自動(dòng)完畢會(huì)話；b〕應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)展限制；c〕應(yīng)能夠?qū)蝹€(gè)賬戶的多重并發(fā)會(huì)話進(jìn)展限制；d〕應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)展限制；e〕應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)賬戶或一個(gè)懇求進(jìn)程占用的資源安排最大限額和最小限額；f〕應(yīng)能夠?qū)ο到y(tǒng)效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)展檢測(cè)和報(bào)警；g〕應(yīng)供應(yīng)效勞優(yōu)先級(jí)設(shè)定功能，并在安裝后依據(jù)平安策略設(shè)定訪問(wèn)賬戶或懇求進(jìn)程的優(yōu)先級(jí)，依據(jù)優(yōu)先級(jí)安排系統(tǒng)資源；第4章數(shù)據(jù)平安測(cè)評(píng)4.1數(shù)據(jù)完整性a〕應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù),鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)實(shí)行必要的復(fù)原措施；b〕應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù),鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)實(shí)行必要的復(fù)原措施；4.2數(shù)據(jù)保密性a〕應(yīng)采納加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù),鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；b〕應(yīng)采納加密或其他愛(ài)護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù),鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性；4.3備份和復(fù)原a〕應(yīng)供應(yīng)本地?cái)?shù)據(jù)備份及復(fù)原功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；b〕應(yīng)供應(yīng)異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；c〕應(yīng)采納冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)錁?gòu)造，防止關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d〕應(yīng)供應(yīng)主要網(wǎng)絡(luò)設(shè)備,通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性第7章工具測(cè)試7.1測(cè)試目的工具測(cè)試，是利用各種測(cè)試工具，通過(guò)對(duì)目標(biāo)系統(tǒng)的掃描,探測(cè)等操作，使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看,分析響應(yīng)結(jié)果，獲得證據(jù)以證明信息系統(tǒng)平安愛(ài)護(hù)措施是否得以有效實(shí)施的一種方法7.2測(cè)試內(nèi)容利用工具測(cè)試，不僅可以直接獲得到目標(biāo)系統(tǒng)本身存在的系統(tǒng),應(yīng)用等方面的漏洞，同時(shí)，也可以通過(guò)在不同的區(qū)域接入測(cè)試工具所得到的測(cè)試結(jié)果，推斷不同區(qū)域之間的訪問(wèn)限制狀況。7.3測(cè)試流程7.3.1收集信息1〕網(wǎng)絡(luò)設(shè)備目標(biāo)網(wǎng)絡(luò)設(shè)備的根本信息，如路由器,交換機(jī)型號(hào)等；須要了解目標(biāo)系統(tǒng)網(wǎng)絡(luò)設(shè)備的物理端口狀況，是否具備接入測(cè)試工具的條件；目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址2〕平安設(shè)備目標(biāo)平安設(shè)備的根本信息，比方防火墻，IDS或者特殊平安設(shè)備型號(hào)等；目標(biāo)平安設(shè)備的IP地址，留意防火墻，IDS等可能工作在透亮模式或沒(méi)有IP地址主機(jī)目標(biāo)主機(jī)的根本信息，包括主機(jī)操作系統(tǒng)，運(yùn)行的主要應(yīng)用等目標(biāo)主機(jī)的IP地址目標(biāo)主機(jī)的主要業(yè)務(wù)時(shí)間段，為選擇工具測(cè)試時(shí)間段做打算網(wǎng)絡(luò)拓?fù)浣Y(jié)果目標(biāo)系統(tǒng)的網(wǎng)絡(luò)結(jié)果，直接影響到測(cè)試時(shí)的接入點(diǎn)的設(shè)置。須要了解目標(biāo)系統(tǒng)的網(wǎng)絡(luò)區(qū)域劃分，比方應(yīng)用區(qū)，數(shù)據(jù)庫(kù)區(qū)等；目標(biāo)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備,平安設(shè)備的位置；確定目標(biāo)系統(tǒng)不同區(qū)域之間的關(guān)系，比方區(qū)域級(jí)別的關(guān)系及區(qū)域之間的或許業(yè)務(wù)數(shù)據(jù)流程。7.3.2規(guī)劃接入點(diǎn)工具測(cè)試的首要原那么是在不影響目標(biāo)系統(tǒng)正常運(yùn)行的前提下嚴(yán)格依據(jù)方案選定范圍進(jìn)展測(cè)試。接入點(diǎn)規(guī)劃的，根本的,共性的原那么：由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測(cè)；同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測(cè)；由較低重要程度區(qū)域向較高重要程度區(qū)域探測(cè)；由外聯(lián)接口向系統(tǒng)內(nèi)部探測(cè)；跨網(wǎng)絡(luò)隔離設(shè)備〔包括網(wǎng)絡(luò)設(shè)備和平安設(shè)備〕要分段探測(cè)；7.3.3編制工具測(cè)試作業(yè)指導(dǎo)書工具測(cè)試作業(yè)指導(dǎo)書是工具測(cè)試順當(dāng)進(jìn)展,測(cè)試證據(jù)精確獲得的重要保證，是對(duì)之前各個(gè)打算階段中獲得到信息的總結(jié)，也是對(duì)我們進(jìn)呈現(xiàn)場(chǎng)工具測(cè)試的指導(dǎo)文件。7.3.4現(xiàn)場(chǎng)測(cè)試現(xiàn)場(chǎng)測(cè)試，是工具測(cè)試的一個(gè)重要實(shí)施階段，也是取得工具測(cè)試證據(jù)的重要階段。測(cè)試過(guò)程中，必需具體記錄每一接入點(diǎn)測(cè)試的起止時(shí)間,接入IP地址〔包括接入設(shè)備的IP地址配置，掩碼,網(wǎng)管配置等〕。假如測(cè)試過(guò)程中出現(xiàn)異樣狀況，要及時(shí)記錄。測(cè)試結(jié)果要及時(shí)整理,保存，重要驗(yàn)證步驟要抓圖為證，為測(cè)試結(jié)果的整理打算足夠必要的證據(jù)。7.3.5結(jié)果整理從整理的結(jié)果中，可以分析出被測(cè)系統(tǒng)中各個(gè)被測(cè)個(gè)體存在的漏洞狀況，也可以依據(jù)各個(gè)接入點(diǎn)測(cè)試結(jié)果的統(tǒng)計(jì)整理，分析出各個(gè)區(qū)域之間的訪問(wèn)限制策略配置狀況。7.4考前須知1〕工具測(cè)試接入測(cè)試設(shè)備之前，首先要有被測(cè)系統(tǒng)人員確定測(cè)試條件是否具備。測(cè)試條件包括被測(cè)網(wǎng)絡(luò)設(shè)備,主機(jī),平安設(shè)備等是否都在正常運(yùn)行，測(cè)試時(shí)間段是否為可測(cè)試時(shí)間段；2〕接入系統(tǒng)的設(shè)備,工具的IP地址等配置要經(jīng)過(guò)被測(cè)系統(tǒng)相關(guān)人員確認(rèn)3〕對(duì)于測(cè)試過(guò)程可能造成的對(duì)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量及主機(jī)性能等方面的影響〔例如口令探測(cè)可能會(huì)造成的賬號(hào)鎖定等狀況〕，要事先告知被測(cè)系統(tǒng)相關(guān)人員。4〕對(duì)于測(cè)試過(guò)程中的關(guān)鍵步驟,重要證據(jù)，要及時(shí)利用抓圖等取證工具取證。5〕對(duì)于測(cè)試過(guò)程中出現(xiàn)的異樣狀況〔效勞器出現(xiàn)故障,網(wǎng)絡(luò)中斷等〕要及時(shí)記錄。6〕測(cè)試完畢后，須要被測(cè)方人員確認(rèn)被測(cè)系統(tǒng)狀態(tài)正常并簽字后離場(chǎng)。附錄A信息平安技術(shù)A.1標(biāo)識(shí)及鑒別A.1.1技術(shù)簡(jiǎn)介標(biāo)識(shí)是指用戶〔設(shè)備〕向信息系統(tǒng)〔或?qū)Φ葘?shí)體〕說(shuō)明其身份的行為；鑒別是指信息系統(tǒng)利用單一或者多重鑒別機(jī)制對(duì)用戶〔設(shè)備〕所聲稱身份的真實(shí)性進(jìn)展驗(yàn)證的過(guò)程基于用戶所知的信息例如：個(gè)人標(biāo)識(shí)號(hào)〔PIN〕，口令等2〕基于用戶所持有的物品例如：門卡,智能卡,硬件令牌等記憶令牌,智能令牌3〕基于用戶特征例如：指紋,虹膜,視網(wǎng)膜掃描結(jié)果或者其他生物特征等特有信息A.1.2典型產(chǎn)品1〕硬件令牌基于時(shí)間的動(dòng)態(tài)令牌：在確定的時(shí)間間隔內(nèi)依據(jù)口令計(jì)算器〔令牌〕通過(guò)某種算法和其他要素動(dòng)態(tài)生成一個(gè)口令，認(rèn)證端依據(jù)一樣的算法和要素計(jì)算出同一時(shí)刻的口令，進(jìn)展比對(duì)?；谔魬?zhàn)應(yīng)答的令牌：其在實(shí)現(xiàn)原理上及時(shí)間令牌相像，同樣是認(rèn)證端隨機(jī)生成挑戰(zhàn)數(shù)，客戶端對(duì)其進(jìn)展加密運(yùn)算并回傳，及認(rèn)證端相比對(duì)。數(shù)字證書數(shù)字證書是由認(rèn)證中心生成并經(jīng)認(rèn)證中心數(shù)字簽字的，標(biāo)記網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通信中識(shí)別通信各方的身份。A.2訪問(wèn)限制A.2.1技術(shù)簡(jiǎn)介1〕按訪問(wèn)限制策略劃分自主訪問(wèn)限制,強(qiáng)制訪問(wèn)限制,基于角色的訪問(wèn)限制〔Role-BasedAccessControl，RBAC〕自主訪問(wèn)限制運(yùn)用自主訪問(wèn)限制機(jī)制的系統(tǒng)允許資源全部者(主體)自主確定誰(shuí)可以訪問(wèn),如何訪問(wèn)其資源〔客體〕強(qiáng)制訪問(wèn)限制強(qiáng)制訪問(wèn)限制是一種不允許主體干預(yù)的訪問(wèn)限制類型，在強(qiáng)制訪問(wèn)限制機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶或主體被給予一個(gè)訪問(wèn)標(biāo)簽以表示他對(duì)敏感性客體的訪問(wèn)許可級(jí)別，同樣，系統(tǒng)內(nèi)的每一個(gè)客體也被給予一個(gè)敏感性標(biāo)簽以反映該信息的敏感性級(jí)別，系統(tǒng)內(nèi)的“引用監(jiān)視器〞通過(guò)比擬主客體相應(yīng)的標(biāo)簽來(lái)確定是否授予一個(gè)主體隊(duì)客體的訪問(wèn)懇求?！黧w對(duì)客體的訪問(wèn)必需滿意以下條件：A主體的平安級(jí)別不低于客體的平安級(jí)別；B主體的類別包含客體的類別基于角色的訪問(wèn)限制〔Role-BasedAccessControl，RBAC〕系統(tǒng)定義了各種角色，每種角色可以完成確定的職能，不同的用戶依據(jù)其職能和責(zé)任被給予響應(yīng)的角色，一旦某個(gè)用戶稱為某角色的成員，那么此用戶可以完成該角色所具有的職能2〕按層面劃分網(wǎng)絡(luò)訪問(wèn)限制主要限制網(wǎng)絡(luò)設(shè)備或主機(jī)設(shè)備可以及哪些設(shè)備建立什么樣的連接以及通過(guò)網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù)主機(jī)訪問(wèn)限制主要是指OS和DB供應(yīng)的訪問(wèn)限制功能；它是限制OS或DB用戶或進(jìn)程可以訪問(wèn)哪些文件系統(tǒng),系統(tǒng)設(shè)備或數(shù)據(jù)表，以及可以對(duì)它們進(jìn)展哪些訪問(wèn)操作〔如讀,寫,執(zhí)行等〕應(yīng)用訪問(wèn)限制訪問(wèn)限制往往嵌入應(yīng)用程序〔或中間件〕中以供應(yīng)更細(xì)粒度的數(shù)據(jù)訪問(wèn)限制。通過(guò)內(nèi)置的訪問(wèn)限制模型，應(yīng)用程序可以限制用戶對(duì)功能模塊和數(shù)據(jù)的訪問(wèn)，以及對(duì)它們可以進(jìn)展哪些操作等物理訪問(wèn)限制它主要是限制用戶對(duì)物理環(huán)境和設(shè)備的物理訪問(wèn)，具體方式有給房間加鎖,安裝電子門禁系統(tǒng)，以及給設(shè)備加上防損設(shè)施等A.2.2典型產(chǎn)品1〕交換機(jī)網(wǎng)絡(luò)交換機(jī)主要是通過(guò)其虛擬局域網(wǎng)〔VLAN〕功能實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)限制；VLAN技術(shù)是基于鏈路層和網(wǎng)絡(luò)層之間的隔離技術(shù)三層交換機(jī)由于集成了路由模塊，也可以通過(guò)路由的訪問(wèn)限制列表實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)限制功能，具體實(shí)現(xiàn)原理及路由器的實(shí)現(xiàn)原理一樣2〕路由器路由器工作在網(wǎng)絡(luò)層，主要是通過(guò)訪問(wèn)限制列表來(lái)實(shí)現(xiàn)訪問(wèn)限制功能。訪問(wèn)限制列表是一種基于簡(jiǎn)單的包過(guò)濾的流向限制技術(shù)，在路由器上讀取網(wǎng)絡(luò)層及傳輸層包頭中的信息來(lái)源地址,目的地址,源端口,目的端口等，依據(jù)預(yù)先定義好的規(guī)那么對(duì)包進(jìn)展過(guò)濾，從而到達(dá)訪問(wèn)限制的目的標(biāo)準(zhǔn)訪問(wèn)限制列表的具體格式為access-listACL號(hào)permit/denyhostIP也可以對(duì)某個(gè)網(wǎng)段進(jìn)展過(guò)濾access-list10deny55〔將來(lái)自/24的全部計(jì)算機(jī)數(shù)據(jù)包進(jìn)展過(guò)濾丟棄〕參見(jiàn)PS13〕防火墻防火墻是最常見(jiàn)和成熟的網(wǎng)絡(luò)訪問(wèn)限制產(chǎn)品，它一般部署在網(wǎng)絡(luò)系統(tǒng)的邊界處，屬于網(wǎng)絡(luò)邊界的平安愛(ài)護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界是采納不同平安策略的2個(gè)網(wǎng)絡(luò)連接處，比方用戶網(wǎng)路和互聯(lián)網(wǎng)之間連接，和其他業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接，用戶內(nèi)網(wǎng)不同部門之間的連接等。依據(jù)防火墻的性能和功能，它的訪問(wèn)限制可以到達(dá)不同的級(jí)別&連接限制，限制哪些應(yīng)用程序終結(jié)點(diǎn)之間可建立連接；&協(xié)議限制，限制用戶通過(guò)一個(gè)應(yīng)用程序可以進(jìn)展什么操作；&數(shù)據(jù)限制，防火墻可以限制應(yīng)用數(shù)據(jù)流的通過(guò)包過(guò)濾防火墻依據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)識(shí)確定是否允許數(shù)據(jù)包通過(guò)，所依據(jù)的信息來(lái)源于IP,TCP或UDP包頭。只有滿意過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包那么被從數(shù)據(jù)流中丟棄應(yīng)用代理防火墻它作用在應(yīng)用層，分別及客戶端和效勞器建立單獨(dú)的連接，徹底隔斷內(nèi)網(wǎng)及外網(wǎng)的直接通信。它在應(yīng)用層能夠供應(yīng)強(qiáng)大的數(shù)據(jù)包內(nèi)容過(guò)濾的功能，主要包括&堵塞URL地址&關(guān)鍵字過(guò)濾&阻擋Java，ActiveX和JavaScript等不平安內(nèi)容的傳輸&防止特洛伊木馬的傳輸&防止郵件緩存溢出狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)技術(shù)是繼“包過(guò)濾〞技術(shù)和“應(yīng)用代理〞技術(shù)后開(kāi)展起來(lái)的防火墻技術(shù)。它在保存了對(duì)每個(gè)數(shù)據(jù)包的頭部,協(xié)議,地址,端口等信息進(jìn)展分析的根底上，進(jìn)一步開(kāi)展了“會(huì)話功能〞，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的全部信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)展4〕網(wǎng)閘由于防火墻缺乏對(duì)未知網(wǎng)絡(luò)協(xié)議漏洞造成的平安問(wèn)題有效解決，并且無(wú)法檢測(cè)基于內(nèi)容的網(wǎng)絡(luò)攻擊，而互聯(lián)網(wǎng)上病毒泛濫,信息恐驚,計(jì)算機(jī)犯罪等威脅日益嚴(yán)峻，由此誕生了基于協(xié)議對(duì)內(nèi)容進(jìn)展檢查的產(chǎn)品——網(wǎng)閘網(wǎng)閘是運(yùn)用帶有多種限制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接2個(gè)獨(dú)立主機(jī)系統(tǒng)的信息平安設(shè)備。常見(jiàn)的網(wǎng)閘產(chǎn)品主要分為2類：空氣開(kāi)關(guān)型和專用交換通道型。5〕平安操作系統(tǒng)或操作系統(tǒng)加固產(chǎn)品A.3密碼技術(shù)A.3.1技術(shù)簡(jiǎn)介1〕對(duì)稱密鑰加密〔私鑰加密〕信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。最大優(yōu)勢(shì)是加/解密速度快，適合于大數(shù)據(jù)量進(jìn)展加密。對(duì)稱密鑰的加密算法有DES,3DES,AES等〔3S〕對(duì)于具有n個(gè)用戶的網(wǎng)絡(luò)，須要n〔n-1〕/2個(gè)密鑰〔即Cn2〕2〕非對(duì)稱密鑰加密〔公鑰加密〕須要運(yùn)用一對(duì)密鑰來(lái)分別完成加密和解密操作，一個(gè)公開(kāi)，即公開(kāi)密鑰，另一個(gè)由用戶自己隱私保存，即私用密鑰。信息發(fā)送者用公開(kāi)密鑰去加密，而信息接收者用私用密鑰去解密。非對(duì)稱密鑰加密算法主要有RSA,DSA,和ECC等〔AAC〕單向哈希函數(shù)A.3.2典型產(chǎn)品VPNVPN概念VPN工作原理VPN涉及的關(guān)鍵技術(shù)IPSec協(xié)議SSL協(xié)議VPN的應(yīng)用領(lǐng)域遠(yuǎn)程訪問(wèn)組建內(nèi)聯(lián)網(wǎng)構(gòu)建外聯(lián)網(wǎng)A.4平安審計(jì)和監(jiān)控A.4.1技術(shù)簡(jiǎn)介1〕平安審計(jì)平安審計(jì)功能&記錄,跟蹤系統(tǒng)運(yùn)行狀況&檢測(cè)平安事務(wù)&對(duì)潛在的攻擊者起到震懾或警告作用平安審計(jì)的分類系統(tǒng)級(jí),應(yīng)用級(jí)和用戶級(jí)審計(jì)系統(tǒng)級(jí)審計(jì)要求至少能夠記錄登陸結(jié)果〔勝利和失敗〕,登錄標(biāo)識(shí),登錄嘗試的日期和時(shí)間，退出的日期和時(shí)間，所運(yùn)用的設(shè)備,登錄后運(yùn)行的內(nèi)容〔如用戶啟動(dòng)應(yīng)用的嘗試，無(wú)論勝利或失敗〕,修改配置文件的懇求等；應(yīng)用級(jí)審計(jì)跟蹤監(jiān)控和記錄諸如翻開(kāi)和關(guān)閉數(shù)據(jù)文件，讀取,編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類的用戶活動(dòng)。用戶審計(jì)跟蹤通常記錄用戶直接啟動(dòng)的全部命令,全部的標(biāo)識(shí)和鑒別嘗試和所訪問(wèn)的文件和資源。2〕平安監(jiān)控概念P276A.4.2典型產(chǎn)品平安審計(jì)的典型產(chǎn)品是網(wǎng)絡(luò)平安審計(jì)系統(tǒng)〔1〕，平安監(jiān)控的典型產(chǎn)品是入侵檢測(cè)系統(tǒng)〔2〕和入侵防護(hù)系統(tǒng)〔3〕。網(wǎng)絡(luò)平安審計(jì)系統(tǒng)網(wǎng)絡(luò)平安審計(jì)系統(tǒng)供應(yīng)了一個(gè)統(tǒng)一的集中管理平臺(tái)。對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備,效勞器主機(jī),數(shù)據(jù)庫(kù),Web效勞器等通用應(yīng)用效勞系統(tǒng)以及各種特定業(yè)務(wù)系統(tǒng)在運(yùn)行過(guò)程中產(chǎn)生的日志,消息,狀態(tài)等信息進(jìn)展實(shí)時(shí)采集，在實(shí)時(shí)分析的根底上，檢測(cè)各種軟硬件系統(tǒng)的運(yùn)行狀態(tài)，發(fā)覺(jué)各種異樣事務(wù)并發(fā)出實(shí)時(shí)告警，并通過(guò)可視化的界面和報(bào)表向管理人員供應(yīng)精確,詳盡的統(tǒng)計(jì)分析數(shù)據(jù)和異樣分析報(bào)告，幫助管理人員及時(shí)發(fā)覺(jué)平安隱患，實(shí)行有效措施。包括網(wǎng)絡(luò)探測(cè)引擎,數(shù)據(jù)管理中心,審計(jì)中心3局部2〕入侵檢測(cè)系統(tǒng)〔IDS〕通常由數(shù)據(jù)采集局部,數(shù)據(jù)分析局部,限制臺(tái)局部以及日志局部幾個(gè)局部構(gòu)成，并且這幾個(gè)部件往往放在不同的主機(jī)上。數(shù)據(jù)采集局部從整個(gè)信息系統(tǒng)中獲得事務(wù)，并向系統(tǒng)的其他局部供應(yīng)此事務(wù)。數(shù)據(jù)分析局部分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。限制臺(tái)局部那么是對(duì)分析結(jié)果做出反響的功能單元，它可以做出切斷連接,改變文件屬性等劇烈反響，也可以只是簡(jiǎn)單的報(bào)警。日志局部是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是困難的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。數(shù)據(jù)采集&1系統(tǒng)和網(wǎng)絡(luò)日志文件&2目錄和文件中的不期望的改變&3程序執(zhí)行中的不期望行為&4物理形式的入侵信息數(shù)據(jù)分析目前有3種技術(shù)手段來(lái)進(jìn)展分析〔各有什么優(yōu)缺點(diǎn)〕P280-281實(shí)時(shí)的入侵檢測(cè)&模式匹配實(shí)時(shí)的入侵檢測(cè)&統(tǒng)計(jì)分析&完整性分析事后分析模式匹配：將收集到的信息及的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)展比擬，從而發(fā)覺(jué)違反平安策略的行為統(tǒng)計(jì)分析：統(tǒng)計(jì)分析的方法首先給系統(tǒng)對(duì)象〔如用戶,文件,目錄和設(shè)備等〕創(chuàng)立一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常運(yùn)用時(shí)的一些測(cè)量屬性〔如訪問(wèn)次數(shù),操作失敗次數(shù)和延時(shí)等〕。測(cè)量屬性的平均值將被用來(lái)及網(wǎng)絡(luò),系統(tǒng)的行為進(jìn)展比擬，任何視察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。完整性分析：完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這常常包括文件盒目錄的內(nèi)容及屬性，它在發(fā)生被更改的，被特洛伊化的應(yīng)用程序方面特殊有效。限制響應(yīng)方式有：記錄日志,發(fā)出報(bào)警聲,發(fā)送電子郵件通知管理員依據(jù)數(shù)據(jù)采集源的不同，IDS可分為主機(jī)型和網(wǎng)絡(luò)型2種主機(jī)型入侵檢測(cè)系統(tǒng)〔HIDS〕何時(shí)選擇,優(yōu)缺點(diǎn)網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)〔NIDS〕概念,部署的地方,優(yōu)缺點(diǎn)3〕入侵防衛(wèi)系統(tǒng)〔IPS〕基于主機(jī)的入侵防衛(wèi)系統(tǒng)〔HIPS〕基于網(wǎng)絡(luò)的入侵防衛(wèi)系統(tǒng)〔NIPS〕什么狀況下選擇IDS，還是IPS須要實(shí)地考察應(yīng)用環(huán)境。IPS比擬適合于阻擋大范圍的,針對(duì)性不是很強(qiáng)的攻擊，但對(duì)單獨(dú)目標(biāo)的攻擊阻截可能失效，自動(dòng)預(yù)防系統(tǒng)也無(wú)法阻擋特地的惡意攻擊者的操作。在金融應(yīng)用系統(tǒng)中，用戶除了關(guān)切遭惡意入侵外，更擔(dān)憂誤操作引發(fā)災(zāi)難性后果。這類系統(tǒng)中適合選擇IDS。目前IPS還不具備足夠智能識(shí)別全部對(duì)數(shù)據(jù)庫(kù)應(yīng)用的攻擊，一般能做的也就是檢測(cè)緩沖區(qū)溢出，另外IPS跟防火墻配置息息相關(guān)，假如沒(méi)有安裝防火墻，那么沒(méi)必要安裝這類在線工具。假如用戶熟知網(wǎng)段中的協(xié)議運(yùn)用并易于統(tǒng)計(jì)分析，那么可采納這類技術(shù)。A.5惡意代碼防范A.5.1技術(shù)簡(jiǎn)介蠕蟲(chóng),邏輯炸彈,特洛伊木馬等A.5.2典型產(chǎn)品1〕防病毒軟件2〕防病毒網(wǎng)關(guān)A.6備份及復(fù)原A.6.1技術(shù)簡(jiǎn)介1〕數(shù)據(jù)備份完全備份,差異備份〔不去除標(biāo)記，即：備份后不標(biāo)記為已備份文件〕,增量備份〔去除標(biāo)記〕2〕系統(tǒng)備份本地和遠(yuǎn)程2種方式：本地備份主要運(yùn)用容錯(cuò)技術(shù)和冗余配置來(lái)應(yīng)對(duì)硬件故障；遠(yuǎn)程備份主要應(yīng)對(duì)災(zāi)難事務(wù)，有熱站和冷站的選擇3〕備份及復(fù)原等級(jí)1：本地備份,本地保存的冷備份2：本地備份,異地保存的冷備份數(shù)據(jù)備份后送往異地保存，在本地要做好重要網(wǎng)絡(luò)設(shè)備,通信線路和效勞器的硬件冗余3：本地?zé)醾浞菡军c(diǎn)備份4：異地活動(dòng)互援備份主從系統(tǒng)不再固定，而是互為對(duì)方的備份系統(tǒng)，且備份中心也放在了異地。依據(jù)實(shí)際要求及資金投入，還可以選擇&2個(gè)系統(tǒng)之間只限于關(guān)鍵應(yīng)用和數(shù)據(jù)的相互備份&2個(gè)系統(tǒng)之間互為鏡像，即0數(shù)據(jù)丟失等A.6.2典型產(chǎn)品1〕雙機(jī)備份2〕單機(jī)容錯(cuò)〔可以實(shí)現(xiàn)更多的可用性〕A.7Web平安防護(hù)A.7.1技術(shù)簡(jiǎn)介常見(jiàn)的針對(duì)Web攻擊的手段有SQL注入利用現(xiàn)有應(yīng)用程序，將惡意SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的實(shí)力跨站腳本攻擊〔XSS〕它允許惡意Web用戶將代碼植入到供應(yīng)應(yīng)其他用戶運(yùn)用的頁(yè)面中。網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)掛馬指的是把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬，再上到空間里面，再加代碼使得木馬在翻開(kāi)網(wǎng)頁(yè)時(shí)運(yùn)行，網(wǎng)頁(yè)掛馬的方法多種多樣。A.7.2典型產(chǎn)品1〕Web平安檢查效勞遠(yuǎn)程網(wǎng)頁(yè)木馬檢查,遠(yuǎn)程網(wǎng)頁(yè)漏洞檢查基于Web效勞器的入侵防衛(wèi)系統(tǒng)〔WIPS〕基于攻擊特征檢測(cè)方法以SNORT為代表的這種檢測(cè)方法，類似于傳統(tǒng)的IDS，通過(guò)抽取SQL注入,XSS攻擊中的關(guān)鍵字，構(gòu)建攻擊特征庫(kù)，依據(jù)特征庫(kù)進(jìn)展比對(duì)檢測(cè)。缺點(diǎn)：漏報(bào)率很高，假如設(shè)置了過(guò)于嚴(yán)格的特征，又可能限制客戶的web業(yè)務(wù)體驗(yàn)，甚至產(chǎn)生誤報(bào)?；诋悩庸魴z測(cè)方法此方法的核心思想是通過(guò)學(xué)習(xí)期的訓(xùn)練，為Web應(yīng)用程序自動(dòng)建立各參數(shù)的正常運(yùn)用模型〔URL/COOKIE〕。在此后的檢測(cè)過(guò)程中依據(jù)此模型來(lái)推斷實(shí)際網(wǎng)絡(luò)中的各種行為是否異樣。優(yōu)勢(shì)：能夠不受限制地發(fā)覺(jué)各種異樣行為，但異樣并不意味著攻擊，其誤報(bào)率較高，實(shí)時(shí)性不夠。VXIDVXID技術(shù)〔包括針對(duì)SQL注入攻擊的VSID技術(shù)，以及針對(duì)XSS攻擊的VXSSD等技術(shù)在內(nèi)的Web應(yīng)用攻擊防護(hù)技術(shù)統(tǒng)稱〕優(yōu)勢(shì)：這種基于原理的檢測(cè)方式防止了對(duì)固化特征的匹配造成的高漏報(bào)率，也防止了由于檢測(cè)規(guī)那么過(guò)于嚴(yán)苛造成的誤報(bào)。A.8終端平安A.8.1技術(shù)簡(jiǎn)介內(nèi)網(wǎng)平安問(wèn)題，實(shí)質(zhì)上并不是因?yàn)橥{高深莫測(cè)，而是在于內(nèi)網(wǎng)平安管理有章可循，假如內(nèi)網(wǎng)平安管理制度能夠科學(xué)有效執(zhí)行下去，內(nèi)網(wǎng)平安問(wèn)題將得到根本解決。合理管理主要包含以下幾個(gè)方面〔5〕準(zhǔn)入限制終端平安檢查進(jìn)程管理外設(shè)監(jiān)控終端審計(jì)A.8.2典型產(chǎn)品管理產(chǎn)品很多，比方非法外聯(lián)監(jiān)控系統(tǒng),內(nèi)網(wǎng)平安管理系統(tǒng),內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理及審計(jì)系統(tǒng)和合規(guī)管理系統(tǒng)等這些產(chǎn)品一般由客戶端代理〔Client〕,管理效勞器〔Server〕和策略網(wǎng)關(guān)〔Checkpoint〕等部件組成附錄B網(wǎng)絡(luò)攻擊技術(shù)B.1網(wǎng)絡(luò)攻擊概述B.1.1網(wǎng)絡(luò)攻擊開(kāi)展1〕網(wǎng)絡(luò)攻擊的自動(dòng)化程度和攻擊速度不斷提高&掃描工具開(kāi)展&攻擊傳播技術(shù)開(kāi)展&攻擊工具的限制和協(xié)調(diào)變得更加簡(jiǎn)單2〕攻擊工具越來(lái)越困難攻擊工具的特征比以前更難發(fā)覺(jué)，已經(jīng)具備了反偵破，動(dòng)態(tài)行為，攻擊工具更加成熟的特點(diǎn)；3〕黑客利用平安漏洞的速度越來(lái)越快B.1.2網(wǎng)絡(luò)攻擊分類分類模式類型攻擊角度主動(dòng)攻擊和被動(dòng)攻擊攻擊目的拒絕效勞攻擊〔DoS〕,獲得系統(tǒng)權(quán)限,獲得敏感信息攻擊切入點(diǎn)緩沖區(qū)溢出,系統(tǒng)設(shè)置漏洞縱向?qū)嵤┻^(guò)程獲得初級(jí)權(quán)限攻擊,提升最高權(quán)限攻擊,后門攻擊,跳板攻擊攻擊的類型對(duì)各種OS的攻擊,對(duì)網(wǎng)絡(luò)設(shè)備的攻擊,對(duì)特定應(yīng)用系統(tǒng)的攻擊攻擊分類

在最高層次，攻擊可被分為兩類：

主動(dòng)攻擊

被動(dòng)攻擊

主動(dòng)攻擊包含攻擊者訪問(wèn)他所需信息的成心行為。比方遠(yuǎn)程登錄到指定機(jī)器的端口25找出公司運(yùn)行的郵件效勞器的信息；偽造無(wú)效IP地址去連接效勞器，使承受到錯(cuò)誤IP地址的系統(tǒng)奢侈時(shí)間去連接哪個(gè)非法地址。攻擊者是在主動(dòng)地做一些不利于你或你的公司系統(tǒng)的事情。正因?yàn)槿绱?，假如要找尋他們是很?jiǎn)單發(fā)覺(jué)的。主動(dòng)攻擊包括拒絕效勞攻擊,信息篡改,資源運(yùn)用,欺瞞等攻擊方法。

被動(dòng)攻擊主要是收集信息而不是進(jìn)展訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察到。被動(dòng)攻擊包括嗅探,信息收集等攻擊方法。

說(shuō)明：這樣分類不是說(shuō)主動(dòng)攻擊不能收集信息或被動(dòng)攻擊不能被用來(lái)訪問(wèn)系統(tǒng)。多數(shù)狀況下這兩種類型被聯(lián)合用于入侵一個(gè)站點(diǎn)。但是，大多數(shù)被動(dòng)攻擊不確定包括可被跟蹤的行為，因此更難被發(fā)覺(jué)。從另一個(gè)角度看，主動(dòng)攻擊簡(jiǎn)單被發(fā)覺(jué)但多數(shù)公司都沒(méi)有發(fā)覺(jué)，所以發(fā)覺(jué)被動(dòng)攻擊的時(shí)機(jī)幾乎是零。

再往下一個(gè)層次看，當(dāng)前網(wǎng)絡(luò)攻擊的方法沒(méi)有標(biāo)準(zhǔn)的分類模式，方法的運(yùn)用往往特別敏捷。從攻擊的目的來(lái)看，可以有拒絕效勞攻擊(Dos),獲得系統(tǒng)權(quán)限的攻擊,獲得敏感信息的攻擊；從攻擊的切入點(diǎn)來(lái)看，有緩沖區(qū)溢出攻擊,系統(tǒng)設(shè)置漏洞的攻擊等；從攻擊的縱向?qū)嵤┻^(guò)程來(lái)看，又有獲得初級(jí)權(quán)限攻擊,提升最高權(quán)限的攻擊,后門攻擊,跳板攻擊等；從攻擊的類型來(lái)看，包括對(duì)各種操作系統(tǒng)的攻擊,對(duì)網(wǎng)絡(luò)設(shè)備的攻擊,對(duì)特定應(yīng)用系統(tǒng)的攻擊等。所以說(shuō)，很難以一個(gè)統(tǒng)一的模式對(duì)各種攻擊手段進(jìn)展分類。

事實(shí)上黑客實(shí)施一次入侵行為，為到達(dá)他的攻擊目的會(huì)結(jié)合采納多種攻擊手段，在不同的入侵階段運(yùn)用不同的方法。因此在這篇攻擊方法探討中我們依據(jù)攻擊的步驟，逐一探討在每一步驟中可采納的攻擊方法及可利用的攻擊工具。B.2網(wǎng)絡(luò)攻擊過(guò)程攻擊或許分為4個(gè)步驟：信息搜集階段，入侵階段，提升權(quán)限階段，隱藏蹤跡階段B.2.1信息收集攻擊者搜集目標(biāo)信息一般采納7個(gè)根本步驟1〕找到初始信息一些常見(jiàn)的方法：&利用公開(kāi)渠道搜集——公司新聞信息,公司員工信息,新聞組&Whois〔程序〕——攻擊者會(huì)對(duì)一個(gè)域名執(zhí)行Whois程序以找到附加的信息通過(guò)查看Whois的輸出，攻擊者會(huì)得到一些特別有用的信息：得到一個(gè)物理地址,一些人名和號(hào)碼〔可利用來(lái)發(fā)起一次社交工程攻擊〕。特別重要的是通過(guò)whois可獲得攻擊域的主要的〔及次要的〕效勞器IP地址&Nslookup&找到附加IP地址的一個(gè)方法是對(duì)一個(gè)特定域詢問(wèn)DNS&另一個(gè)得到地址的簡(jiǎn)單方法是Ping域名攻擊者得到網(wǎng)絡(luò)的地址，能夠把此網(wǎng)絡(luò)當(dāng)作初始點(diǎn)2〕找到網(wǎng)絡(luò)的地址范圍當(dāng)攻擊者有了一些機(jī)器的IP地址之后，下一步須要做的就是找出網(wǎng)絡(luò)的地址范圍或者子網(wǎng)掩碼，以保證攻擊者能幾種精力應(yīng)付一個(gè)網(wǎng)絡(luò)而沒(méi)有闖入其他網(wǎng)絡(luò)攻擊者可以用2種方法找到這一信息&ARIN允許任何人搜尋whois數(shù)據(jù)庫(kù)找到“網(wǎng)絡(luò)上的定位信息,自治系統(tǒng)號(hào)碼〔ASN〕,有關(guān)網(wǎng)絡(luò)句柄和其他有關(guān)的接觸點(diǎn)〔POC〕〞。ARINwhois允許詢問(wèn)IP地址，幫忙找到關(guān)于子網(wǎng)地址和網(wǎng)絡(luò)如何被分割的策略信息&Traceroute可以知道一個(gè)數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)的路徑，因此利用這一信息，能確定主機(jī)是否在一樣的網(wǎng)絡(luò)上。攻擊者進(jìn)入和確定公司地址范圍的2種方法，既然有了地址范圍，攻擊者能接著搜集信息，下一步是找到網(wǎng)絡(luò)上活動(dòng)的機(jī)器3〕找到活動(dòng)機(jī)器知道了IP范圍之后，攻擊者想知道哪些機(jī)器是活動(dòng)的，哪些不是Ping運(yùn)用Ping可以找到網(wǎng)絡(luò)上哪些機(jī)器是活動(dòng)的【一次ping一臺(tái)機(jī)器】Pingwar一次同時(shí)Ping多臺(tái)機(jī)器〔這種技術(shù)叫PingSweeping〕Nmap其主要是一個(gè)端口掃描儀，但也能PingSweep一個(gè)地址范圍4〕找到開(kāi)放端口和入口點(diǎn)為了確定系統(tǒng)中哪一個(gè)端口是開(kāi)放的，攻擊者會(huì)運(yùn)用被稱為portscanner〔端口掃描儀〕的程序?？梢栽僖幌盗卸丝谏线M(jìn)展以找出哪些是開(kāi)放的目前流行的掃描類型是：TCPSYN掃描TCPconntect掃描FIN掃描ACK掃描常用端口掃描程序如下：Xscan：〔windows環(huán)境下〕Nmap：〔UNIX環(huán)境下〕5〕弄清操作系統(tǒng)攻擊者知道哪些機(jī)器是活動(dòng)的和哪些端口是開(kāi)放的，下一步是要識(shí)別每臺(tái)主機(jī)運(yùn)行哪種操作系統(tǒng)Nmap：目前它能檢測(cè)出接近400種不同的設(shè)備Xscan：可識(shí)別出常見(jiàn)的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備6〕弄清每個(gè)端口運(yùn)行的是哪種效勞&系統(tǒng)默認(rèn)的端口21端口—FTP效勞，25端口—郵件效勞&Telnet&漏洞掃描器7〕畫出網(wǎng)絡(luò)圖攻擊者得到了各種信息，現(xiàn)在可以畫出網(wǎng)絡(luò)圖使他能找出最好的入侵方法&Traceroute是用來(lái)確定源到目的地路徑的程序，結(jié)合這個(gè)信息，攻擊者可確定網(wǎng)絡(luò)的布局圖和每一個(gè)部件的位置&VisualPing是一個(gè)真實(shí)展示包經(jīng)過(guò)網(wǎng)絡(luò)的路線的程序，不僅向攻擊者展示了經(jīng)過(guò)的系統(tǒng)，也展示了系統(tǒng)的地理位置&Cheops利用了用于繪制網(wǎng)絡(luò)圖并展示網(wǎng)絡(luò)的圖形表示的技術(shù)，是使整個(gè)過(guò)程自動(dòng)化的程序。假如從網(wǎng)絡(luò)上運(yùn)行，能夠繪出它訪問(wèn)的網(wǎng)絡(luò)局部B.2.2入侵階段1．拒絕效勞攻擊〔DenialofServiceDoS〕分2種類型：&攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包〔系統(tǒng)無(wú)法運(yùn)用這些資源〕，使得系統(tǒng)或者網(wǎng)絡(luò)癱瘓&向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)典型的手段：2．傳統(tǒng)拒絕效勞攻擊PingofDeathTeardrop碎片攻擊的典型攻擊Land攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺瞞的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖及自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。Smurf該攻擊向一個(gè)子網(wǎng)的播送地址發(fā)一個(gè)帶有特定懇求〔如ICMP回應(yīng)懇求〕的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上全部主機(jī)都回應(yīng)播送包懇求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。SYNflood【PS:SYN〔synchronous〕是TCP/IP建立連接時(shí)運(yùn)用的握手信號(hào)。在客戶機(jī)和效勞器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)，客戶機(jī)首先發(fā)出一個(gè)SYN消息，效勞器運(yùn)用SYN+ACK應(yīng)答表示接收到了這個(gè)消息，最終客戶機(jī)再以ACK消息響應(yīng)。這樣在客戶機(jī)和效勞器之間才能建立起牢靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和效勞器之間傳遞?！?分布式拒絕效勞攻擊DDoS是攻擊者常常采納而且難以防范的攻擊手段典型的拒絕效勞攻擊工具如下：TFN2KTrinoo4口令攻擊類型：字典攻擊——運(yùn)用一個(gè)包含大多數(shù)字典單詞的文件，用這些單詞猜想用戶口令強(qiáng)行攻擊——假如有速度足夠快的計(jì)算機(jī)能嘗試字母,數(shù)字,特殊字符全部的組合，將最終能破解全部的口令。組合攻擊——運(yùn)用詞典單詞，并在單詞尾部串接幾個(gè)字母和數(shù)字其他攻擊類型口令攻擊工具〔破解〕&L0phtcrack&NTSweep&NTCrack&PWDump2&Crack&JohntheRipper5欺瞞攻擊IP欺瞞,電子郵件欺瞞,Web欺瞞,非技術(shù)類欺瞞IP欺瞞根本地址變化，IP欺瞞的最根本形式是搞清晰一個(gè)網(wǎng)絡(luò)的配置，然后改變自己的IP地址，偽裝成別人機(jī)器的IP地址。運(yùn)用源路由選擇截取數(shù)據(jù)包，利用UNIX機(jī)器上的信任關(guān)系電子郵件欺瞞Web欺瞞非技術(shù)類欺瞞6緩沖區(qū)溢出攻擊B.2.3保存階段〔1〕后門和特洛伊木馬〔2〕Netcat一個(gè)能讓系統(tǒng)將數(shù)據(jù)發(fā)送給別人的計(jì)算機(jī)并且從別的系統(tǒng)得到數(shù)據(jù)的程序B.2.4隱藏蹤跡階段須要隱藏4個(gè)方面的信息&日志文件&文件信息&另外的信息&網(wǎng)絡(luò)通信流量工具：elsave.exePSPs1子網(wǎng)掩碼子網(wǎng)掩碼(subnetmask)又叫網(wǎng)絡(luò)掩碼,地址掩碼,子網(wǎng)絡(luò)遮罩，它是一種用來(lái)指明一個(gè)IP地址的哪些位標(biāo)識(shí)的是主機(jī)所在的子網(wǎng)以及哪些位標(biāo)識(shí)的是主機(jī)的位掩碼。子網(wǎng)掩碼不能單獨(dú)存在，它必需結(jié)合IP地址一起運(yùn)用。子網(wǎng)掩碼只有一個(gè)作用，就是將某個(gè)IP地址劃分成網(wǎng)絡(luò)地址和主機(jī)地址兩局部。子網(wǎng)掩碼(subnetmask)是每個(gè)運(yùn)用互聯(lián)網(wǎng)的人必須要駕馭的根底知識(shí)，只有駕馭它，才能夠真正理解TCP/IP協(xié)議的設(shè)置。子網(wǎng)掩碼——屏蔽一個(gè)IP地址的網(wǎng)絡(luò)局部的“全1〞比特模式。對(duì)于A類地址來(lái)說(shuō)，默認(rèn)的子網(wǎng)掩碼是；對(duì)于B類地址來(lái)說(shuō)默認(rèn)的子網(wǎng)掩碼是255.255.0.0；對(duì)于C類地址來(lái)說(shuō)默認(rèn)的子網(wǎng)掩碼是。利用子網(wǎng)掩碼可以把大的網(wǎng)絡(luò)劃分成子網(wǎng)，即VLSM〔可變長(zhǎng)子網(wǎng)掩碼〕，也可以把小的網(wǎng)絡(luò)歸并成大的網(wǎng)絡(luò)即超網(wǎng)。構(gòu)成要想理解什么是子網(wǎng)掩碼，就不能不了解IP地址的構(gòu)成?；ヂ?lián)網(wǎng)是由很多小型網(wǎng)絡(luò)構(gòu)成的，每個(gè)網(wǎng)絡(luò)上都有很多主機(jī)，這樣便構(gòu)成了一個(gè)有層次的構(gòu)造。IP地址在設(shè)計(jì)時(shí)就考慮到地址安排的層次特點(diǎn)，將每個(gè)IP地址都分割成網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)兩局部，以便于IP地址的尋址操作。IP地址的網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)各是多少位呢？假如不指定，就不知道哪些位是網(wǎng)絡(luò)號(hào),哪些是主機(jī)號(hào)，這就須要通過(guò)子網(wǎng)掩碼來(lái)實(shí)現(xiàn)。規(guī)那么子網(wǎng)掩碼的設(shè)定必需遵循確定的規(guī)那么。及二進(jìn)制IP地址一樣，子網(wǎng)掩碼由1和0組成，且1和0分別連續(xù)。子網(wǎng)掩碼的長(zhǎng)度也是32位，左邊是網(wǎng)絡(luò)位，用二進(jìn)制數(shù)字“1〞表示，1的數(shù)目等于網(wǎng)絡(luò)位的長(zhǎng)度；右邊是主機(jī)位，用二進(jìn)制數(shù)字“0〞表示，0的數(shù)目等于主機(jī)位的長(zhǎng)度。這樣做的目的是為了讓掩碼及ip地址做AND運(yùn)算時(shí)用0遮住原主機(jī)數(shù)，而不改變?cè)W(wǎng)絡(luò)段數(shù)字，而且很簡(jiǎn)單通過(guò)0的位數(shù)確定子網(wǎng)的主機(jī)數(shù)〔2的主機(jī)位數(shù)次方-2，因?yàn)橹鳈C(jī)號(hào)全為1時(shí)表示該網(wǎng)絡(luò)播送地址，全為0時(shí)表示該網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)，這是兩個(gè)特殊地址〕。只有通過(guò)子網(wǎng)掩碼，才能說(shuō)明一臺(tái)主機(jī)所在的子網(wǎng)及其他子網(wǎng)的關(guān)系，使網(wǎng)絡(luò)正常工作。作用子網(wǎng)掩碼是一個(gè)32位地址，是及IP地址結(jié)合運(yùn)用的一種技術(shù)。它的主要作用有兩個(gè)，一是用于屏蔽IP地址的一局部以區(qū)分網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)，并說(shuō)明該IP地址是在局域網(wǎng)上，還是在遠(yuǎn)程網(wǎng)上。二是用于將一個(gè)大的IP網(wǎng)絡(luò)劃分為假設(shè)干小的子網(wǎng)絡(luò)。運(yùn)用子網(wǎng)是為了減少IP的奢侈。因?yàn)殡S著互聯(lián)網(wǎng)的開(kāi)展，越來(lái)越多的網(wǎng)絡(luò)產(chǎn)生，有的網(wǎng)絡(luò)多那么幾百臺(tái)，有的只有區(qū)區(qū)幾臺(tái)，這樣就奢侈了很多IP地址，所以要?jiǎng)澐肿泳W(wǎng)。運(yùn)用子網(wǎng)可以提高網(wǎng)絡(luò)應(yīng)用的效率。通過(guò)IP地址的二進(jìn)制及子網(wǎng)掩碼的二進(jìn)制進(jìn)展及運(yùn)算，確定某個(gè)設(shè)備的網(wǎng)絡(luò)地址和主機(jī)號(hào)，也就是說(shuō)通過(guò)子網(wǎng)掩碼辨別一個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)局部和主機(jī)局部。子網(wǎng)掩碼一旦設(shè)置，網(wǎng)絡(luò)地址和主機(jī)地址就固定了。子網(wǎng)一個(gè)最顯著的特征就是具有子網(wǎng)掩碼。及IP地址一樣，子網(wǎng)掩碼的長(zhǎng)度也是32位，也可以運(yùn)用十進(jìn)制的形式。例如，為二進(jìn)制形式的子網(wǎng)掩碼：11111111.11111111.11111111.00000000，采納十進(jìn)制的形式為：。通過(guò)計(jì)算機(jī)的子網(wǎng)掩碼推斷兩臺(tái)計(jì)算機(jī)是否屬于同一網(wǎng)段的方法是，將計(jì)算機(jī)十進(jìn)制的IP地址和子網(wǎng)掩碼轉(zhuǎn)換為二進(jìn)制的形式，然后進(jìn)展二進(jìn)制“及〞(AND)計(jì)算〔全1那么得1，不全1那么得0〕，假如得出的結(jié)果是一樣的，那么這兩臺(tái)計(jì)算機(jī)就屬于同一網(wǎng)段。計(jì)算方式由于子網(wǎng)掩碼的位數(shù)確定于可能的子網(wǎng)數(shù)目和每個(gè)子網(wǎng)的主機(jī)數(shù)目。在定義子網(wǎng)掩碼前，必需弄清晰原來(lái)運(yùn)用的子網(wǎng)數(shù)和主機(jī)數(shù)目。依據(jù)子網(wǎng)數(shù)利用子網(wǎng)數(shù)來(lái)計(jì)算在求子網(wǎng)掩碼之前必需先搞清晰要?jiǎng)澐值淖泳W(wǎng)數(shù)目，以及每個(gè)子網(wǎng)內(nèi)的所需主機(jī)數(shù)目。1)將子網(wǎng)數(shù)目轉(zhuǎn)化為二進(jìn)制來(lái)表示2)取得該二進(jìn)制的位數(shù)，為N3)取得該IP地址的類子網(wǎng)掩碼，將其主機(jī)地址局部的的前N位置1即得出該IP地址劃分子網(wǎng)的子網(wǎng)掩碼。如欲將B類IP地址劃分成27個(gè)子網(wǎng)：1)27=110112)該二進(jìn)制為五位數(shù)，N=5主機(jī)地址即為劃分成27個(gè)子網(wǎng)的B類IP地址的子網(wǎng)掩碼〔事實(shí)上是劃成了32-2=30個(gè)子網(wǎng)〕。這一段介紹的是舊標(biāo)準(zhǔn)下計(jì)算的方法，關(guān)于舊的標(biāo)準(zhǔn)后文在介紹，在新標(biāo)準(zhǔn)中那么可以先將27減去1，因?yàn)橛?jì)算機(jī)是從0開(kāi)場(chǎng)計(jì)算的，從0到27事實(shí)上是有28個(gè)，所以說(shuō)假如須要27個(gè)就須要將27減去1。依據(jù)主機(jī)數(shù)利用主機(jī)數(shù)來(lái)計(jì)算1)將主機(jī)數(shù)目轉(zhuǎn)化為二進(jìn)制來(lái)表示2)假如主機(jī)數(shù)小于或等于254〔留意去掉保存的兩個(gè)IP地址〕，那么取得該主機(jī)的二進(jìn)制位數(shù)，為N，這里確定N<8。假如大于254，那么N>8，這就是說(shuō)主機(jī)地址將占據(jù)不止8位。主機(jī)地址位數(shù)全部置1，然后從后向前的將N位全部置為0，即為子網(wǎng)掩碼值。如欲將B類IP地址劃分成假設(shè)干子網(wǎng)，每個(gè)子網(wǎng)內(nèi)有主機(jī)700臺(tái)：1)700=10101111002)該二進(jìn)制為十位數(shù)，N=10主機(jī)地址即。這就是該欲劃分成主機(jī)為700臺(tái)的B類IP地址的子網(wǎng)掩碼。/24表示網(wǎng)段是，子網(wǎng)掩碼是24位，子網(wǎng)掩碼為：，用二進(jìn)制表示為：11111111111111111111111100000000，這里為什么是24呢，就是因?yàn)樽泳W(wǎng)掩碼里面的前面連續(xù)的“1〞的個(gè)數(shù)為24個(gè)，確定要連續(xù)的才行。再給你舉個(gè)例子，/28表示的意思是網(wǎng)段是，子網(wǎng)掩碼為：40，用二進(jìn)制表示為：11111111111111111111111111110000。這時(shí)候你或許就懷疑了，就是24和28兩個(gè)字不一樣，為什么網(wǎng)段是一樣的呢？24位說(shuō)明網(wǎng)絡(luò)位是24位，那么主機(jī)位就是32-24=8位了，那么子網(wǎng)的IP個(gè)數(shù)是254個(gè)，即是從00000001到11111110.28位說(shuō)明網(wǎng)絡(luò)位是28位，那么主機(jī)位4位，那么子網(wǎng)的IP個(gè)數(shù)是14個(gè)，即是從00000001到00001110.增量計(jì)算法子網(wǎng)ID增量計(jì)算法〔即計(jì)算每個(gè)子網(wǎng)的IP范圍〕其根本計(jì)算步驟如下：第1步，將所需的子網(wǎng)數(shù)轉(zhuǎn)換為二進(jìn)制，如所需劃分的子網(wǎng)數(shù)為“4〞，那么轉(zhuǎn)換成成二進(jìn)制為00000100；第2步，取子網(wǎng)數(shù)的二進(jìn)制中有效位數(shù)，即為向缺省子網(wǎng)掩碼中參與的位數(shù)〔既向主機(jī)ID中借用的位數(shù)〕。如前面的00000100，有效位為“100〞，為3位〔在新標(biāo)準(zhǔn)中只須要2位就可以了〕；第3步，確定子網(wǎng)掩碼。如IP地址為B類網(wǎng)絡(luò)，那么缺省子網(wǎng)掩碼為：，借用主機(jī)ID的3位以后變?yōu)椋?55.255.224〔11100000〕0，即將所借的位全表示為1，用作子網(wǎng)掩碼。第4步，將所借位的主機(jī)ID的起始位段最右邊的“1〞轉(zhuǎn)換為十進(jìn)制，即為每個(gè)子網(wǎng)ID之間的增量，如前面的借位的主機(jī)ID起