网络安全基本知识
网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
后门:指房间的背后的可以自由出入的门,相对于明显的前门。也可以指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
数据包监测:可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
NIDS:是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
SYN是:TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP 网络连接时,客户机首先发出一个SYN消息,服务器使用SYN-ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
加密技术:是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,深受广大用户
一、引论
1、网络安全的概念:网络安全是在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。
2、基于IP的Internet有很多不安全的问题:1)IP安全。在Internet中,当信息分组在路由器间传递时,对任何人都是开放的,路由器仅仅搜集信息分组中的目的地址,但不能防止其内容被窥视。2)DNS安全。Internet对每台计算机的命名方案称之为域名系统(DNS)。3)拒绝服务(DoS)攻击。包括发送SYN信息分组、邮件炸弹。4)分布式拒绝(DDoS)攻击。分布式拒绝服务攻击是拒绝服务群起攻击的方式。
3、维护信息载体的安全就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯(如机房入侵、设备偷窃、废物搜寻、电子干扰等)、系统漏洞(如旁路控制、程序缺陷等)、网络入侵(如窃听、截获、堵塞等)、恶意软件(如病毒、蠕虫、特洛伊木马、信息炸弹等)、存储损坏(如老化、破损等)等。为抵抗对网络和系统的安全威胁,通常采取的安全措施包括门控系统、防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等。
4、网络安全的三个基本属性:1)机密性(保密性)。机密性是指保证信息与信息系统不被非授权者所获取与使用,主要防范措施是密码技术。2)完整性。完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改,主要防范措施是校验与认证技术。3)可用性。可用性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型:1)物理层。2)数据链接层。3)网络层。4)传输层。5)会话层。6)表示层。7)应用层。
6、粗略地,可把信息安全分成3个阶段。1)通信安全(comsec)、计算机安全(compusec)和网络安全(netsec)。
7、可信计算机系统评估准则(Trusted Computer System Evaluation Criteria, TCSEC)共分为如下4类7级:1)D级,安全保护欠缺级。2)C1级,自主安全保护级。3)C2级,受控存储保护级。4)B1级,标记安全保护级。5)B2级,结构化保护级。6)B3级,安全域保护级。7)A1级,验证设计级。
8、密码学研究包括两部分内容:一是加密算法的设计和研究;一是密码分析,即密码破译
9、对称密钥密码技术是传统的简单换位、代替密码发展而来的,从加密模式上可分为两类:1)序列密码。序列密码一直作为军事和外交场合使用的主要密码技术之一,它的主要原理是,通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流,逐位加密得到密文序列,所以,序列密码算法的安全强度取决于它产生的伪随机序列的好坏。2)分组密码。分组密码的工作方式是将明文分成固定长度的组(块)(如64位一组),用同一密钥和算法对每一块加密,输出固定长度的密文。
公钥密码技术:公钥技术是在密码体制中加密和解密采用两个不同的相关的密钥的技术,又称不对称密钥技术。
两者的比较:因为对称密码系统具有加解密速度快、安全强度高等优点,在军事、外交及商业应用中使用得越来越普遍;由于存在密钥发行与管理方面的不足,在提供数字签名、身份验证等方面需要与公开密钥密码系统共同使用,以达到更好的安全效果。公共密钥的优点在于,也许你并不认识某一实体,但只要你的服务器认为该实体证书权威CA是可靠的,就可以进行安全通信,而这正是电子商务这样的业务所要求的,如信用卡购物。
二、风险分析
1、攻击的类型:1)阻断攻击。2)截取攻击。3)篡改攻击。4)伪造攻击。
2、主动攻击与被动攻击的区分:窃听、监听都具有被动攻击的本性,攻击者的目的是获取正在传输的信息,被动攻击包括传输报文内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改,或者生成一个假的数据流。它可以分成4类:1)伪装。2、回答(重放)。3)修改报文。4)拒绝服务。
3、常见的篡改服务攻击有3种:1)改变。2)插入。3)删除。
4、拒绝服务攻击可分成以下4种:1)拒绝访问信息。2)拒绝访问应用。3)拒绝访问系统。4)拒绝访问通信。
5、风险的概念:风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。
威胁+漏洞=风险
6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资金、时间、资源、信誉及丢失生意等。
三、安全策略
1、系统管理程序:1)软件更新。2)漏洞扫描。3)策略检查。4)登录检查。5)常规监控。
2、一个恰当的灾难恢复计划应考虑各种故障的级别:单个系统、数据中心、整个系统。
件。4)灾难恢复计划的测试。
3、安全策略的生成步骤:1)确定重要的策略。2)确定可接受的行为。3)征求建议。4)策略的开发。
四、网络信息安全服务
*1、机密性服务包括:1)文件机密性。2)信息传输机密性。3)通信流机密性。
*2、完整性服务包括:1)文件完整性。2)信息传输完整性。
*3、可用性服务包括:1)后备。2)在线恢复。3)灾难恢复。
4、网络环境下的身份鉴别:1)身份认证技术(常见的有口令技术和采用物理形式的身份认证标记进行身份认证的鉴别技术)。2)身份认证协议(会话密钥、共享密钥认证和公钥认证。)
5、访问控制:访问控制是确定来访实体有否访问权以及实施访问权限的过程。
五、安全体系结构
1、可信系统体系结构概述:如果保护在硬件层实现,保护机制更简单,可提供广泛的通用的保护。越是层次向上升,越是增加复杂性,而功能则更加专门和细粒度。最高层也最复杂,因为它直接向用户提供广泛的功能和选项。功能和安全复杂性增加,则越靠近用户。复杂性增加,则安全机制的级别越低。
*2、网络体系结构的观点(课本P74)
3、加密机制。1)加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用。2)加密算法可以是可逆的,也可以是不可逆的。3)除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。
4、大多数应用不要求在多个层加密,加密层的选取主要取决于下列几个因素:1)如果要求全通信业务流机密性,那么选取物理层加密,或传输安全手段(如适当的扩频技术)。2)如果要求细粒度保护(即对不同应用提供不同的密钥),和抗否认或选择字段保护,那么将选取表示层加密。3)如果希望实现所有客户端系统通信的简单块保护,或希望有一个外部的加密设备(例如,为了给算法和密钥加物理保护,或防止错误软件),那么将选取网络层加密。4)如果要求带恢复的完整性,同时又具有细粒度保护,那么将选取传输层加密。5)对于今后的实施,不推荐在数据链接层上加密。
6、数字签名机制的特点:1)签名过程使用签名者的私有信息作为密钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。2)验证过程使用公开的规程与信息来决定
者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的唯一拥有者才能产生这个签名。
六、Internet安全体系结构之一
1、局域网LAN的安全。防御方法:1)防火墙。2)特权区(privileged zones)。3)LAN 连接。
2、无线网面临着一系列有线网没有的不安全风险,包括:1)分组嗅测(packet sniffing)。2)服务集标识SSID(the service set identifier)信息。3)假冒(inpersonation)。4)寄生者(parasites)。5)直接安全漏洞(direct security breaches)。
3、风险缓解的方法:1)SSID打标签。2)广播SSID。3)无线放置。4)MAC过滤。5)WEP。6)其他密码系统。7)网络体系结构。
4、课本P107图6-3 CHAP处理。
5、ARP和RARP的风险
课本P110图6-4 作为MitM攻击的ARP受损。
6、所有的分段机制有两个主要风险:丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。
分段的风险:1)丢失分段攻击。2)最大的不分段大小。3)分段重组。
7、IP风险:1)地址冲突。2)IP拦截。3)回答攻击。4)分组风暴。5)分段攻击。)6)转换通道。
七、Internet安全体系结构之二
1、TCP DoS攻击:1)SYN攻击。2)RST和FIN攻击。3)ICMP攻击。4)LAND攻击。
*2、缓解对TCP攻击的方法:1)改变系统框架。2)阻断攻击指向。3)识别网络设备。4)状态分组校验。5)入侵检测系统(IDS)。6)入侵防御系统(IPS)。
*3、UDP攻击:1)非法的进入源。2)UDP拦截。3)UDP保持存活攻击。4)UDP Smurf攻击。5)UDP侦察。
4、DNS风险:1)直接风险(无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组)。2)技术风险(DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS)。3)社会风险(相似的主机名、自动名字实现、社会工程、域更新)。
#5、缓解风险的方法:
1)直接威胁缓解。基本的维护和网络分段能限制直接威胁的影响。
和维护。
2、内部和外部域分开:DNS服务器应该是分开的。大的网络应考虑在内部网络分
段间分开设置服务器,以限制单个服务器破坏的影响,且能够平衡DNS负载。
3、限制域或转换:域的转换限制于特定的主机,且由网络地址或硬件地址标识。这
个方案对MAC和IP的伪装攻击是脆弱的,但对任意的主机请求域转换确实是有用的。
4、鉴别的域转换:采用数字签名和鉴别域转换能减少来自域转换拦截和破坏的影响。
5、有限的缓冲间隔:缓冲间隔减少至低于DNS回答规定的值,可以减少缓冲器受
损的损坏装口。
6、拒绝不匹配的回答:假如缓冲DNS服务器接到多个具有不同值的回答,全部缓
冲器应刷新。虽然这会影响缓冲器性能,但它消除了长期缓冲器受损的风险。
2)技术威胁的缓解。技术风险预防方法包括网络、主机和本地环境。
1、加固服务器:限制远程可访问进程的数量,就能限制潜在攻击的数量。加固服务
器可降低来自技术攻击的威胁。
2、防火墙:在DNS服务器前放置硬件防火墙限制了远程攻击的数量。
3)侦察威胁的缓解。
1、限制提供DNS信息:这可以缓解攻击者侦察的威胁,虽然DNS不能完全做到,
但可限制提供信息的类型和数量。
2、限制域转换:域的转换仅限于鉴别过的主机。虽然不能组织蛮力主机的查找,但
可组织侦察。
3、限制请求:限制DNS请求的数量可由任何单个网络地址完成。虽然不能防止蛮
力域监听,但是可设置障碍。
4、去除反向查找:假定反向查找不是必须的,那么去除它。这可限制蛮力域监听的
影响。
5、分开内部和外部域:DNS域服务器应该是分开的,以确保LAN的信息保持在
LAN。特别是内部主机名应该不允许外部可观察。
6、去除额外信息:不是直接为外部用户使用的信息应该去除,例如TXT,CHAME,HINFO这些信息。
7、隐藏版本:对允许本地登录或远程状态报告的DNS服务器,这些DNS版本可能被泄漏。因为不同的版本和不同的利用相关,应该修改版本以报告假信息或将其去除。
1、监控相似域:经常搜索域名的变化。当发现有相似主机名的标识,DNS提供者
要求他们关掉。虽然这是一个复杂的耗时的任务,但这是监控相似域名的一种专门服务。
2、锁住域:使用支持域名锁定的域注册者。这需要一些附加信息,诸如账户信息、
转换域名的口令。
3、使用有效联系:在域注册中提供一个或多个有效联系方法,以允许用户和注册者
联系域主。但不需要专门的人名或个人信息,以免攻击者使用这些信息攻击域主。
4、不间断支持:选择一天24小时,一周7天不间断支持的域注册者。这样在任何
时候可和注册者联系,以解决有关域的问题。
5、自己主持:大的单位应选择称为拥有管理自己域的注册者。
5)优化DNS设置。
6)确定可信的回答。
6、P133 图7-2 SSL协议会话过程示意图。
八、防火墙
1、防火墙一般安防在被保护网络的边界,必须做到以下几点,才能使防火墙起到安全防护的作用:1)所有进出被保护网络的通信必须通过防火墙。2)所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。3)防火墙本身是不可被侵入的。
*2、防火墙的功能:1)访问控制功能。2)内容控制功能。3)全面的日志功能。4)集中管理功能。5)自身的安全和可用性。
3、拒绝服务攻击主要有以下几种形式:(记住四种解释)
a)Syn Flood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的
主机的SYN ACK后并不回应,这样目的主机就为这些源主机建立了大量的连接队
列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向
正常请求提供服务。
b)Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的
包,并且将源地址伪装成想要攻击的主机地址。子网上所有的主机都回应广播包请
求而向被攻击主机发包,使该主机受到攻击。
c)Land-based:攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址,
然后将该数据包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地减低了系统性能。
大的IP包时将进行分片,这些IP分片到达目的主机时又重新组合起来。在Ping
of Death攻击时,各分片组合后的总长度将超过65 536B,在这种情况下会造成某
些操作的宕机。
4、防火墙的局限性:1)防火墙不能防范不经由防火墙的攻击。2)防火墙不能防止感染了病毒的软件或文件的传输。3)防火墙不能防止数据驱动式攻击。4)防火墙不能防范恶意的内部人员侵入。5)防火墙不能防范不断更新的攻击方式,防火墙制定的安全策略是在已知的攻击模式下制定的,所以对全新的攻击方式缺少阻止功能。
*5、防火墙技术:1)包过滤技术。2)应用网关技术。3)状态检测防火墙。4)电路级网关。5)代理服务器技术。
6、堡垒主机:其得名于古代战争中用于防守的坚固堡垒,它位于内部网络的最外层,像堡垒一样对内部网络进行保护。
构建堡垒主机的要点:1)选择合适的操作系统。它需要可靠性好、支持性好、可配置性好。2)堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的网络上,最好它处于一个独立网络中,比如DMZ。3)堡垒主机提供的服务。堡垒主机需要提供内部网络访问Internet的服务,内部主机可以通过堡垒主机访问Internet,另外内部网络也需要向Internet提供服务。4)保护系统日志。作为一个安全性举足轻重的主机,堡垒主机必须有完善的日志系统,而且必须对系统日志进行保护。5)监测和备份。最简单的方式是把备份存储到与堡垒主机直接相连的磁带机上。
7、防火墙的发展趋势:1)高安全性和高效率。2)数据加密技术的使用,使合法访问更安全。3)混合使用包过滤技术、代理服务技术和其他一些新技术。4)IP协议的变化将对防火墙的建立与运行产生深刻的影响。5)分布式防火墙的应用。6)对数据包的全方位的检查。
九、VPN
1、VPN的概念:VPN是Virtual Private Network的缩写,是将物理分布在不同地点的网络通过共用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
2、VPN的类型:1)Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)和Extranet VPN(企业扩展VPN)。
3、VPN的优点:1)降低成本。2)易于扩展。3)保证安全。
4、隧道技术通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。生成隧道的协议有两种:第二层隧道协议和第三层隧道协议。
十、IPSec
1、IPSec的概念:IPSec(IP Security)是一种由IETF设计的端到端的确保IP层通信安全的机制
2、IPSec的功能:1)作为一个隧道协议实现了VPN通信。2)保证数据来源可靠。3)保证数据完整性。4)保证数据机密性。
3、P188图10-1 IPSec体系结构。
*4、IPSec运行模式:1)IPSec传输模式。2)IPSec隧道模式。
十一、黑客技术
1、黑客攻击的流程,见课本P208图11-1 黑客攻击流程图。
十二、漏洞扫描
1、计算机漏洞的概念:计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。
2、存在漏洞的原因:1)软件或协议设计时的瑕疵。2)软件或协议实现中的弱点。3)软件本身的瑕疵。4)系统和网络的错误配置。
3、漏洞检测所要寻找的漏洞主要包括以下几个类别:1)操作系统漏洞。2)应用服务器漏洞。3)配置漏洞。
4、常用网络扫描工具:1)Netcat 。2)网络主机扫描程序Nmap。3)SATAN。4)
nessus 。5)X-s can
十三章、入侵检测
1、入侵检测的概念:入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象的一种机制。
*2、基于主机的入侵检测系统:1)网络连接检测。2)主机文件检测。
3、异常检测技术(——基于行为的检测)的基本原理
异常检测技术也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
异常检测技术首先假设网络攻击行为是不常见的或是异常的,区别在于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就
4、误用检测技术入侵检测系统的基本原理:误用检测技术也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征,如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库,那么入侵检测系统就可以将当前捕获的网络行为特征与入侵信息库中的特征信息相比较,如果匹配,则当前行为就被认定为入侵行为。
5、异常检测技术和误用检测技术的比较:无论哪种入侵检测技术都需要搜集总结有关网络入侵行为的各种知识,或者系统及其用户的各种行为的知识。基于异常检测技术的入侵检测系统如果向检测到所有网络入侵行为,必须掌握被保护系统已知行为和预期行为的所有信息,这一点实际上无法做到,因此入侵检测系统必须不断学习并更新已有的行为轮廓。对于基于误用检测技术的入侵检测系统而言,只有拥有所有可能的入侵行为的先验知识,而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式,才能检测到所有的入侵行为,而这种情况也不存在,该类入侵检测系统只能检测出已有的入侵模式,必须不断地对新出现的入侵行为进行总结和归纳。在入侵系统配置方面,基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵系统所做的工作要少很多,因为异常检测需要对系统和用于的行为轮廓进行不断地学习更新,需要大量的数据分析处理工作,要求管理员能够总结出被保护系统的所有正常行为状态,对系统的已知和期望行为进行全面的分析,因此配置难度相对比较大。但是,有些基于误用检测技术的入侵系统允许管理人员对入侵特征数据库进行修改,甚至允许管理人员自己根据所发现的攻击行为创建新的网络入侵特征规则记录,这种入侵检测系统在系统配置方面的工作会显著增加。基于异常检测技术的入侵检测系统所输出的检测结果,通常是在对实际行为轮廓进行异常分析等相关处理后得出的,这类入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量,因为任何超过行为轮廓范围的时间都将被检测出来并写入报告。而大多数基于误用检测技术的入侵检测系统,是将当前行为模式与已有行为模式进行匹配后产生检测结论,其输出内容是列举出入侵行为的类型和名称,以及提供相应的处理建议。
6、入侵检测系统的优点:1)可以检测和分析系统事件以及用户的行为。2)可以检测系统设置的安全状态。3)以系统的安全状态为基础,跟踪任何对系统安全的修改操作。4)通过模式识别等技术从通信行为中检测出已知的攻击行为。5)可以对网络通信行为进行统计,并检测分析。6)管理操作系统认证和日志机制并对产生的数据进行分析处理。7)在检测到攻击的时候,通过适当的方式进行适当的报警处理。8)通过对分析引擎的配置对网络的安全进行评估和监督。9)允许非安全领域的管理人员对重要的安全时间进行有效的处理。
2)对于高负载的网络或主机,很难实现对网络入侵的实时检测、警报迅速地进行攻击响应。3)基于知识的入侵检测系统很难检测到未知的攻击行为,也就是说检测具有一定的滞后性,而对于已知的报警,一些没有明显特征的攻击行为也很难检测到,或需要付出提高误报警率的代价才能够正确检测。4)入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响,同样也会成为攻击者的目标,实现以入侵检测系统过敏自主防御为基础的攻击。5)入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为地进行处理。6)网络入侵系统在纯交互环境下无法正常工作,只有对交互环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数据进行分析处理。7、入侵检测系统主要是对网络行为进行分析检测,不能修正信息资源中存在的安全问题。
十四、恶意代码与计算机病毒的防治
#1、特洛伊木马:特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的。
解释:1):“有用的或必需的功能的程序”只是诱饵,就像典故里的特洛伊木马,表面看上去很美但实际上却暗藏杀机。2)“不为人知的功能”定义了其欺骗性,是危机所在之处,为几乎所有的特洛伊木马所必备的特点。3)“往往是有害的”定义了其恶意性,恶意企图包括:试图访问未授权资源(如盗取口令、个人隐私或企业机密);试图组织正常访问(如拒绝服务攻击);试图更改或破坏数据和系统(如删除文件、创建后门)。
2、蠕虫:计算机蠕虫是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,不会与其他特定程序混合。因此,与病毒感染特定目标程序不同,蠕虫干扰的是系统环境(如操作系统或邮件系统)。
蠕虫利用一些网络工具复制和传播自身,包括:1)电子邮件。2)远程执行。3)远程登录。
*3、计算机病毒的特征:1)传染性。2)隐蔽性。3)潜伏性。4)多态性。5)破坏性。
*4、病毒检测技术:1)特征判定技术,主要有比较法、扫描法、校验和法和分析法。2)行为判定技术。
5、病毒防治软件产品(杀软):1)国外,VirusScan、NAV、Pandaguard 。2)国内,KILL、KV、RAV、VRV。
网络安全基础知识介绍 网络让我们的生活变得更加便利了,我们在网上几乎可以找到所有问题的答案。但是有利也有弊,网络安全问题也困扰着很多人。现在如果不了解一点网络安全知识,对于网上形形色色的陷阱是很难提防的。 下面,小编就为大家介绍一下网络安全基础知识,希望能够帮助大家在网络世界里避免中毒,避免个人信息泄露。 1.什么是计算机病毒? 答:计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2.什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。 3.什么是防火墙?它是如何确保网络安全的?
答:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 4.加密技术是指什么? 答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。 5.什么叫蠕虫病毒? 答:蠕虫病毒源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪,估计损失为200万到 6000万美元。由于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。
学习网络安全技术必备的一些网络基础知 识 网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。网络可以构造地区性的网络、企事业内部网络、局域网网络,甚至家庭网络和个人网络。网络的根本特征并不一定是它的规模,而是资源共享,消除资源孤岛。 在现今各种云计算纷纭而至,各种移动终端也琳琅满目。但是,各种病毒木马也开始迎来了再一个春天。特别是在4G网络即将来临,云计算日趋成熟,信息化越来越普及的今天,网络安全,一个似乎久违了的话题再次被人们想起。 前几天看到一则消息说,已经流行起抓iPhone的鸡了。自己没去干过这档子事,信息的来源也不可靠,不知事实具体如何。不过就看来,这是相当可能的。 借此给大家普及一下学习网络安全技术的必备知识。仅作参考哈。 1、理解必要的网络模型。 学习网络安全,肯定要掌握网络模型的,这将有助于我们深层次地理解各种网络模型下,各层可能出现哪些安全隐患,以及相应的解决办法。在众多的模型中,尤其 要理解OSI、TCP/IP、Cisco和纵深防御网络模型。前两个可能大家还比较熟悉,Cisco和纵深防御大家接触的可能较少。之后阿驹的博客会对这 四个模型都做一定的解释。 2、理解第二层(链路层)相关问题。
包含冲突域、广播域、交换与集线、端口安全、生成树等等相关的知识。 3、理解第三层(网络层)相关的问题。 包括了IP路由协议;内部路由协议,如RIPv1/v2和OSPF;外部路由协议,如BGP、子网络/超网络(或者是更精确的无线网域路由);网络地址转换(NAT)和IPv6. 4、理解第四层(运输层)相关的问题。 这一层中应当理解TCP和UDP、会话的建立、报头和相关选项、端口地址转换(PAT)以及常用端口。 5、理解第五至七层(会话层、表示层、应用层)相关的问题。 这三层中包含的主要问题有应用漏洞、特洛伊/蠕虫/病毒、内容过滤和IDS/IPS/IDP。 要学习网络安全,必须学习网络,要学习网络,必须掌握以上所讲到的知识。
4.信息安全就是只遭受病毒攻击,这种说法正确吗? 不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。 信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。 5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗? 不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。 补充:信息安全事件分类 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件 3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别? 不是。 信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。 信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。 区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。 5.一个信息系统的可靠性可以从哪些方面度量? 可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。 7.为什么说信息安全防御应该是动态和可适应的? 信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。 4.什么是PKI?“PKI是一个软件系统”这种说法是否正确? PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。 正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。 5.为什么PKI可以有效解决公钥密码的技术应用? PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。 实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。
1.网络安全设计的新技术 移动网络安全、大数据、云安全、社交网络和物联网等成为新的攻击点 2.网络安全面临的主要危险 有人为因素、系统和运行环境等,其中包括网络系统问题和网络数据的威胁和隐患。 3.网络安全威胁主要表现为: 非法授权访问、窃听、黑客入侵、假冒合法用户、病毒破坏、干扰系统正常运行、篡改或破坏数据等。 4.威胁性攻击的分类,其中典型的被动攻击是什么 威胁性攻击主要分主动攻击和被动攻击,嗅探是典型的被动攻击。 5.防火墙的局限性及风险: 防火墙能够较好地阻止外网基于IP包头的攻击和非信任地址的访问,却无法阻止基于数据内容的黑客攻击和病毒入侵,也无法控制内网之间的攻击行为。 6.数据库安全的种类 数据库安全不仅包括数据库系统本身的安全,还包括最核心和关键的数据(信息)安全7.信息安全的定义 信息安全是指系统的硬件、软件及其信息受到保护,并持续正常地运行和服务。 8.信息安全的5大特征: 确保信息的保密性、完整性、可用性、可控性和可审查性 9.网络安全的定义: 网络安全是指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。 10.网络空间安全: 网络空间安全是研究网络空间中的信息在产生、传输、存储和处理等环节中所面临的威胁和防御措施,以及网络和系统本身的威胁和防护机制。 11.网络安全包含的方面: 网络系统的安全、网络信息的安全 12.网络安全涉及的内容包括: 实体安全(物理安全)、系统安全、运行安全、应用安全、安全管理 13.网络安全技术的定义 网络安全是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的技术手段。 14.网络安全主要主要包括什么 实体安全技术、网络系统安全技术、数据安全、密码及加密技术、身份认证、访问控制、防恶意代码、检测防御、管理与运行安全技术等,以及确保安全服务和安全机制的策略等。 15.主要通用的网络安全技术 身份认证、访问管理、加密、防恶意代码、加固监控、审核跟踪、备份恢复 16.常用的描述网络安全整个过程和环节的网络安全模型为 PDRR模型:防护(Protection)、检测(Detection)、响应(Reaction)、恢复(Recovery)17.实体安全的内容主要包括哪几方面: 环境安全、设备安全、媒体安全
网络安全基础知识 防火墙技术可以分为三大类型,它们分别是(1)等,防火墙系统通常由(2)组成,防止不希望的、未经授权的通信进出被保护的内部网络,它(3)内部网络的安全措施,也(4)进人防火墙的数据带来的安全问题。它是一种(5)网络安全措施。 (1)A.IP过滤、线路过滤和入侵检测 B.包过滤、入侵检测和应用代理 C.包过滤、入侵检测和数据加密 D.线路过滤、IP过滤和应用代理 (2)A.代理服务器和入侵检测系统 B.杀病毒卡和杀毒软件 C.过滤路由器和入侵检测系统 D.过滤路由器和代理服务器 (3)A.是一种 B.不能替代 C.可以替代 D.是外部和 (4)A.能够区分 B.物理隔离 C.不能解决 D.可以解决 (5)A.被动的 B.主动的 C.能够防止内部犯罪的 D.能够解决所有问题的 答案:(1)D (2)D (3)B (4)C (5)A 解析:本题主要考查防火墙的分类、组成及作用。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。 防火墙一般有三个特性: A.所有的通信都经过防火墙 B.防火墙只放行经过授权的网络流量 C.防火墙能经受的住对其本身的攻击 防火墙技术分为IP过滤、线路过滤和应用代理等三大类型; 防火墙系统通常由过滤路由器和代理服务器组成,能够根据过滤规则来拦截和检查所有出站和进站的数据;代理服务器。内部网络通过中间节点与外部网络相连,而不是直接相连。 防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制 强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制,内部的网络被认为是安全的和可信赖的。而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障,它是一种被动的网络安全措施。 ● 随着网络的普及,防火墙技术在网络作为一种安全技术的重要性越来越突出,通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(6)进行过滤,以阻挡某些非法访问。(7)是一种代理协议,使用该协议的代理服务器是一种(8)网关。另外一种可以把内部网络中的某些私有IP地址隐藏起来的代理服务器技术使用的是(9)。安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而.一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是(10)。
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。 常见攻击类型和特征 攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。 常见的攻击方法 你也许知道许多常见的攻击方法,下面列出了一些: ·字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。 · Man-in-the-middle攻击:黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。 ·劫持攻击:在双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。 ·病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。
·非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。 ·拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。 容易遭受攻击的目标 最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务,如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。 路由器 连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPv1,成为潜在的问题。许多网络管理员未关闭或加密Telnet 会话,若明文传输的口令被截取,黑客就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。 过滤Telnet 为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口 技术提示:许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉,因为路由
网络安全基础知识试题及答案 网络安全基础知识试题及答案 1. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型(A) A 、拒绝服务 B 、文件共享 C 、BIND漏洞 D 、远程过程调用 2. 为了防御网络监听,最常用的方法是(B) A 、采用物理传输(非网络) B 、信息加密 C 、无线网 D 、使用专线传输 3. 向有限的空间输入超长的字符串是哪一种攻击手段?(A) A 、缓冲区溢出; B 、网络监听 C 、拒绝服务
D 、IP 欺骗 4. 主要用于加密机制的协议是(D) A 、HTTP B 、FTP C 、TELNET D 、SSL 5. 用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码, 这是属于何种攻击手段?(B) A 、缓存溢出攻击; B 、钓鱼攻击 C 、暗门攻击; D 、DDOS攻击 6. Windows NT 和Windows 2000 系统能设置为在几次无效登录后锁定帐号, 这可以防止(B) A 、木马; B 、暴力攻击; C 、IP 欺骗; D 、缓存溢出攻击 7. 在以下认证方式中,最常用的认证方式是:(A) A 基于账户名/口令认证 B 基于摘要算法认证;
C 基于PKI 认证; D 基于数据库认证 8. 以下哪项不属于防止口令猜测的措施?(B) A 、严格限定从一个给定的终端进行非法认证的次数; B 、确保口令不在终端上再现; C 、防止用户使用太短的口令; D 、使用机器产生的口令 9. 下列不属于系统安全的技术是(B) A 、防火墙 B 、加密狗 C 、认证 D 、防病毒 10. 抵御电子邮箱入侵措施中,不正确的是( D ) A 、不用生日做密码 B 、不要使用少于 5 位的密码 C 、不要使用纯数字 D 、自己做服务器 11. 不属于常见的危险密码是( D ) A 、跟用户名相同的密码 B 、使用生日作为密码 C 、只有 4 位数的密码 D 、10 位的综合型密码
网络安全基础知识汇总 一、引论 提到网络安全,一般人们将它看作是信息安全的一个分支,信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施,说白了,信息安全就是保护敏感重要的信息不被非法访问获取,以及用来进一步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题,主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。这里提到了一些典型的网络安全问题,可以来梳理一下: 1.IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击); 2.DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量; 3.DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标崩溃,现在更为流行的其实是DDoS,多个攻击源发起的分布式拒绝攻击; 网络安全的三个基本属性:机密性、完整性与可用性,其实还可以加上可审性。机密性又叫保密性,主要是指控制信息的流出,
即保证信息与信息不被非授权者所获取与使用,主要防范措施是密码技术;完整性是指信息的可靠性,即信息不会被伪造、篡改,主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行,例如数据链路层负责建立点到点通信,网络层负责路由寻径,传输层负责建立端到端的通信信道。 最早的安全问题发生在计算机平台,后来逐渐进入网络层次,计算机安全中主要由主体控制客体的访问权限,网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼,电子政务、电子商务、电子理财迅速发展,这些都为应对安全威胁提出了挑战。 密码学在网络安全领域中的应用主要是机密性和身份认证,对称密码体制如DES,非对称密码体制如RSA,一般的做法是RSA保护DES密钥,DES负责信息的实际传输,原因在于DES 实现快捷,RSA相比占用更多的计算资源。 二、风险分析 风险分析主要的任务时对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定,包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源,如内部的员工,外部的敌对者等;第三步要针对以上分析指定折中的安全策略,因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁,漏
第2章网络安全技术基础 1. 选择题 (1)SSL协议是()之间实现加密传输的协议。 A.物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的()。 A.可靠性和安全性 B.保密性和可控性 C.完整性和安全性 D.保密性和完整性 (3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。 A.物理层 B.网络层 C. 传输层 D.应用层 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。 A.认证服务 B.数据保密性服务 C.数据完整性服务 D.访问控制服务 (5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。 A.数据保密性 B.数据完整性 C.访问控制服务 D.认证服务 解答:(1)C (2)D (3)D (4)B (5)B 2. 填空题 (1)应用层安全分解成、、的安全,利用各种协议运行和管理。 解答:(1)网络层、操作系统、数据库、TCP/IP (2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。 (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)ISO对OSI规定了、、、、五种级别的安全服务。 对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)一个VPN连接由、和三部分组成。一个高效、成功的VPN具有、、、四个特点。 客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 解答:(1)网络层、操作系统、数据库、TCP/IP (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)对象认证、访问控制、数据保密性、数据完整性、防抵赖 (5)客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 3.简答题 (1)TCP/IP的四层协议与OSI参考模型七层协议的对应关系是什么? Internet现在使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的协议族,这四层协议分别是:物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP 组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示。 (2)简述IPV6协议的基本特征及与IPV4的IP报头格式的区别? TCP/IP的所有协议的数据都以IP数据报的形式传输,TCP/IP协议簇有两种IP版本:IPv4和IPv6。 IPv4的IP地址是TCP/IP网络中唯一指定主机的32位地址,一个IP包头占20字节包括IP版本号、长度、服务类型和其他配置信息及控制字段。IPv4在设计之初没有考虑安全性,IP包本身并不具有任何安全特性。
网络安全基础知识问答 问:什么是网络安全? 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。 问:什么是计算机病毒? 答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 问:什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。 问:什么是防火墙?它是如何确保网络安全的? 答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 问:什么是后门?为什么会存在后门? 答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。 问:什么叫入侵检测? 答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 问:什么叫数据包监测?它有什么作用?
网络安全知识入门 下面是对于网络安全的一些了解。 网络安全的知识体系非常庞大,想要系统的完成学习非简单的几天就可以完成的。所以这篇文章是以实际需求为出发点,把需要用到的知识做系统的串联起来,形成知识体系,便于理解和记忆,使初学者可以更快的入门。 1、什么是网络安全 首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。简单来说就是,保护网络不会因为恶意攻击而中断。了解了网络安全的职责,我们就可以从网络攻击的方式,网络攻击检测手段等几个方面来处理。在实际的学习中,我发现直接上手去学习效率并不是很好,因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。 2、网络安全名词解释 1. IRC服务器:RC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。IRC 的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。 2. TCP协议:TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议(握手机制略)。 3. UDP协议:UDP 是User Datagram Protocol的简称,UDP协议全称是用户数据报协议,在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议。其特点是无须连接,快速,不安全,常用于文件传输。 4. 报文:报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。 5. DNS:DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS协议运行在UDP协议之上,使用端口号53。DNS是网络攻击中的一个攻击密集区,需要重点留意。 6. ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容
(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀3、及时安装系统补丁
4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级
4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件
网络安全基本知识 网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 计算机病毒( )在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。 防火墙(英文:)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 后门:指房间的背后的可以自由出入的门,相对于明显的前门。也可以指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。 入侵检测(),顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 数据包监测:可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。 :是的缩写,即网络入侵检测系统,主要用于检测或通过网络进行的入侵行为。的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如、路由器。 是:建立连接时使用的握手信号。在客户机和服务器之间建立正常的网络连接时,客户机首先发出一个消息,服务器使用应答表示接收到了这个消息,最后
1.1安全网络的概述 什么叫计算机网络? 四元素:终端、传输介质、通讯设备、网络技术 -网络安全的演进: 2001年7月,一个名为“Cord Red”的蠕虫攻击事件,震惊了全世界,当时全球约35万台主机感染了Cord Red。此蠕虫不仅使被感染的服务器停止工作,而且影响服务器所在的本地网络(这也是蠕虫和病毒的区别,下章会详细介绍)。 Cord Red为一种Dos攻击,它的出现使网络工作者的世界发生了变化。用户对网络的需求已经不仅仅是设计与构建,而更多的是维护与安全。 网络安全的威胁有两种:内部威胁和外部威胁 内网的攻击基本上可以归纳为两类:一个是Dos,另一个是欺骗(spoofing)。 Dos攻击可以使网络资源无法访问,从而达到网络可用性的攻击; 欺骗:如ARP的欺骗,通过ARP的欺骗可以对受害者的数据包进行查看,从而了解别人的信息,这也是网络机密性的攻击;如果把得到的数据进行篡改,然后再次发送出去,这就是网络完整性的攻击。 外部威胁一般使用IDS、IPS、防火墙防御等,其实在于个网络当中,外网的威胁仅占30%不到,大多的攻击来自内网。(关于内网的攻击,我们后面会有大量的篇幅来介绍)下面先了解下网络安全工具; -网络安全工具: IDS 最早的网络安全工具之一是入侵检测系统(Intrusion Detection System,IDS),诞生与1984年,它可以提供对特定类型攻击发生时的实时探测,这样网络工程师可以迅速的判断出攻击并消除,从而可以减轻攻击给网络带来得负面影响。 ISP 20世纪90年代末,入侵防御系统(Intrusion Pervention System or Sensor, IPS)诞生,它与IDS的区别在于,IPS不仅可以针对特定的攻击类型发生时进行实时探测,还能自动实时阻断攻击。 防火墙 除了IDS和IPS以外,在1988年DEC公司发明了第一台报文过滤防火墙(其实就是ACL),1989年AT&T贝尔实验室发明了第一台状态化防火墙,不同于报文过滤防火墙的区别在于,状态防火墙跟踪已经建立的连接并判断报文是否属于一个已经存在的数据流,从而提供更高的安全性和更快的处理。简单的说就是,从内部主动发起的流量允许返回,从外部主动发起的流量会被拒绝。 最早的防火墙是向已有的设备中添加软件特性,如路由器或者交换机上使用ACL。随着时间的推移,一些公司开发出独立的或专用的防火墙,如:Cisco的ASA、Juniper的SSG、微软的ISA、诺基亚等一些硬件防火墙。对于一些不需要使用专业性的公司,可以使用现在路由器,如:Cisco的ISR,一个使用高级IOS的ISR路由,可以
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
一、判断题 1.信息资源整合与汇聚是把双刃剑。(对) 2.根据本讲,未来企业要抢占主导权,首先要抢占网络空间信息主导权,通过信息流把控来优化配置资金流、人才流、技术流。 移动互联网应用(对) 4.企业角度看,信息化发展,其产品和服务要高科技、高知识、高效益。 5.“公共信息巡查义务”是网络服务提供者应履行的网络信息安全义务。 6.制定应急预案是网络运营者的义务之一。(对) (错) (对) 13台,1(错) 7.欧盟明确要求数据必须存储在本国服务器内。(对)(对)(对) 3.移动互联网应用快速发展,在网络零售、移动支付、网络社交等领域涌现出一大批 8.网络空间已经成为了控制他国经济社会命脉的重要渠道。 个为主根服务器在美国,其余 9.我国互联网关键基础设施受制于人,主要指的是根服务器,全世界只有 12个均为辅助根服务器,也全部在美国。 (对) 10.关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。 11.数据的完整性指数据是需要完整的、
也不至于丢失(对) 12.欧盟明确要求数据必须存储在本国服务器内。 13.互联网治理与管理、管制是同一概念。 15.网络空间即全球公域,二者是同一概念。 (错) 17.大数据时代要求架构云化,这对网络安全没有威胁。 失功能可能严重危害国家安全、公共利益的信息设施。(错) (对) 18.关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧(错) 以网络专门法律为补充。(对)(错) (错)可靠的,在整个的传输和加工没有被植入木马, 14.我国现行的网络安全法律体系是以传统法律为基础, 16.2003年2月,美国颁布《网络空间安全国家战略》,首次明确网络安全战略的概念。人信息权”中的哪一项权利?(请求更正权) 26.互联网+大数据时代的大烦恼是信息安全。 27.世界第一个计算机病毒是莫里斯蠕虫。 28.互联网+行动计划里谈到了将创新成果融入社会各个领域。 29.在享受互联网带来的红利、带来的便捷的同时,我们也应当履行相应的义务,是网络安全法规定的责权利相一致原则。 30.互联网治理是政府、私营部门和公民社会根据各自的作用制定和实施的,旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案。
竭诚为您提供优质的服务,优质的文档,谢谢阅读/双击去除 计算机网络安全的基本知识|计算机网 络安全技术 计算机网络技术的发展和提高给网络带来了很大的冲击,网络的安全问题成了信息社会安全问题的热点之一。下面是小编跟大家分享的是计算机网络安全的基本知识,欢迎大家来阅读学习~ 计算机网络安全的基本知识 一、计算机网络安全的定义 国际标准化组织(Iso)将“计算机安全”定义为:“为数
据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。 二、影响计算机网络安全的主要因素 1、网络系统本身的问题 目前流行的许多操作系统均存在网络安全漏洞,如uNIx,msNT和windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引
起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定;缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机; 2、来自内部网用户的安全威胁 来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取, 内?ahref="/yangsheng/kesou/"target="_blank">咳嗽庇