网络安全复习要点

  • 格式:doc
  • 大小:3.25 MB
  • 文档页数:42

第一章1、网络不安全的原因:自身缺陷+开放性+黑客攻击安全的几个概念:2、信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

网络安全:计算机网络环境下的信息安全。

3、信息的安全需求:保密性:对信息资源开放范围的控制。

(数据加密、访问控制、防计算机电磁泄漏等安全措施)完整性:保证计算机系统中的信息处于“保持完整或一种未受损的状态”。

(任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。

)可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。

●单机系统的信息保密阶段信息保密技术的研究成果:①发展各种密码算法及其应用:DES(数据加密标准)、RSA(公开密钥体制)、ECC(椭圆曲线离散对数密码体制)等。

②计算机信息系统安全模型和安全评价准则:访问监视器模型、多级安全模型等;TCSEC(可信计算机系统评价准则)、ITSEC(信息技术安全评价准则)等。

●信息保障阶段信息保障技术框架IATF:由美国国家安全局制定,提出“纵深防御策略”DiD(Defense-in-Depth Strategy)。

在信息保障的概念下,信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密,而是保护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restore)的有机结合。

信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。

4、计算机信息系统安全模型和安全评价准则:访问监视器模型、多级安全模型等;TCSEC(可信计算机系统评价准则)、ITSEC(信息技术安全评价准则)等。

5、PDRR模型的内涵:保护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restore)的有机结合。

信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。

6、PDRR安全模型(1)PDRR安全模型1.保护:采用一切手段(主要指静态防护手段)保护信息系统的五大特性2.检测:检测本地网络的安全漏洞和存在的非法信息流,从而有效阻止网络攻击3.响应:对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低4.恢复: 及时恢复系统,使其尽快正常对外提供服务,是降低网络攻击造成损失的有效途径注意:保护、检测、恢复、响应这几个阶段并不是孤立的,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。

7、信息保障体系的组成:法律与政策体系、标准与规范体系、人才培养体系、产业支撑体系、技术保障体系、组织管理体系8、WPDRRC安全体系模型:WPDRRC安全体系模型我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。

该模型全面涵盖了各个安全因素,突出了人、策略、管理的重要性,反映了各个安全组件之间的内在联系。

人——核心政策(包括法律、法规、制度、管理)——桥梁技术——落实在WPDRRC六个环节的各个方面,在各个环节中起作用●WPDRRC安全体系模型预警:根据以前掌握系统的脆弱性和了解当前的犯罪趋势,预测未来可能受到的攻击和危害。

虽然目前Internet是以光速传播的,但攻击过程还是有时间差和空间差。

如果只以个人的能力实施保护,结果永远是保障能力小于或等于攻击能力,只有变成举国体制、协作机制,才可能做到保障能力大于等于攻击能力。

保护:采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。

我国已提出实行计算机信息系统的等级保护问题,应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。

现有技术和产品十分丰富。

检测:利用高技术提供的工具来检查系统存在的,可能提供黑客攻击、病毒泛滥等等的脆弱性。

具备相应的技术工具形成动态检测制度建立报告协调机制响应:对于危及安全的事件、行为、过程,及时做出响应的处理,杜绝危害进一步扩大,使得系统力求提供正常的服务。

通过综合建立起来响应的机制,如报警、跟踪、处理(封堵、隔离、报告)等;提高实时性,形成快速响应的能力。

恢复:对所有数据进行备份,并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。

反击:利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子处理犯罪案件,要求形成取证能力和打击手段,依法打击犯罪和网络恐怖主义分子。

相关技术及工具:取证、证据保全、举证、起诉、打击、媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪。

9、安全产品类型信息保密产品、用户授权认证产品、安全平台/系统、安全检测与监控产品第二章1、网络攻击:网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。

2、常见的网络攻击手段:阻塞类攻击、控制类攻击、探测类攻击、欺骗类攻击、漏洞类攻击、破坏类攻击。

注意:在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。

3、阻塞类攻击阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。

拒绝服务攻击(DoS,Denial of Service)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。

常见的方法:TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。

4、TCP SYN 洪泛攻击5、Land攻击land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。

结果通常使存在漏洞的机器崩溃。

在Land攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。

对Land攻击反应不同,许多UNIX系统将崩溃,而Windows NT 会变的极其缓慢(大约持续五分钟)。

6、Smurf攻击Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。

这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。

更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。

7、电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。

由于这种攻击方式简单易用,也有很多发匿名邮件的工具,而且只要对方获悉你的电子邮件地址就可以进行攻击,所以这是大家最值得防范的一个攻击手段。

8、阻塞类攻击后果:DoS攻击的后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的处理速度降低。

9、控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。

最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。

口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏技术和秘密信道技术;缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。

10、口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。

只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。

如果这个用户有域管理员或root用户权限,攻击就变得极其危险。

这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。

获得普通用户帐号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。

1)猜测攻击。

首先使用口令猜测程序进行攻击。

口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。

在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。

2)字典攻击。

如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。

据有的传媒报导,对于一个有8 万个英文单词的集合来说,入侵者不到一分半钟就可试完。

所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。

3)穷举攻击如果字典攻击仍然不能成功,入侵者会采取穷举攻击。

一般从长度为1的口令开始,按长度递增进行尝试攻击。

由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。

如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。

4)混合攻击结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击5)直接破解系统口令文件所有的攻击都不能奏效时,入侵者会寻找目标主机的安全漏洞和薄弱环节,伺机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。

6)网络嗅探通过嗅探器在局域网内嗅探明文传输的口令字符串。

7)键盘记录在目标系统中安装键盘记录后门,记录操作员输入的口令字符串。

11、探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。

主要包括:扫描技术、体系结构刺探、系统信息服务收集等。

目前正在发展更先进的网络无踪迹信息探测技术。