计算机网络安全
第一章 绪 论
1、典型的网络安全威胁
| 威 胁 |
描 述 |
| 窃听 |
网络中传输的敏感信息被窃听。 |
| 重传 |
攻击者事先获得部分或全部信息,以后将此信息发送给接收者。 |
| 伪造 |
攻击者将伪造的信息发送给接收者。 |
| 篡改 |
攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。 |
| 非授权访问 |
通过假冒、身份攻击、系统漏洞等手段,获取系统访问权,从而使非法用户进入网络系统读取、删除、修改、插入信息等。 |
| 拒绝服务攻击 |
攻击者使系统响应减慢甚至瘫痪,阻止合法用户获得服务。 |
| 行为否认 |
通讯实体否认已经发生的行为。 |
| 旁路控制 |
攻击者发掘系统的缺陷或安全脆弱性。 |
| 电磁/射频截获 |
攻击者从电子或机电设备所发出的无线射频或其它电磁辐射中提取信息。 |
| 人员疏忽 |
授权的人为了利益或由于粗心将信息泄漏给未授权人。 |
2、计算机网络不安全因素
偶发性因素:如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。
自然灾害:各种自然灾害(如地震、风暴、泥石流、建筑物破坏等)。
人为因素:不法之徒利用计算机网络或潜入计算机房,篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。此外,管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网络造成威胁。
3、对计算机网络的主要攻击
3.1被动攻击
| 攻击举例 |
描 述 |
| 监视明文 |
监视网络,获取未加密的信息。 |
| 解密通信数据 |
通过密码分析,破解网络中传输的加密数据。 |
| 口令嗅探 |
使用协议分析工具,捕获用于各类系统访问的口令。 |
| 通信量分析 |
不对加密数据进行解密,而是通过对外部通信模式的观察,获取关键信息。 |
3.2主动攻击
| 攻击举例 |
描 述 |
| 修改传输中的数据 |
截获并修改网络中传输的数据。 |
| 重放 |
将旧的消息重新反复发送,造成网络效率降低。 |
| 会话拦截 |
未授权使用一个已经建立的会话。 |
| 伪装成授权的用户 |
这类攻击者将自己伪装成他人,未授权访问资源和信息。 |
| 利用系统软件的漏洞 |
攻击者探求以系统权限运行的软件中存在的脆弱性。 |
| 利用主机或网络信任 |
攻击者通过操纵文件,使虚拟/远方主机提供服务 ,从而获得信任。 |
| 利用恶意代码 |
攻击者向系统内植入恶意代码,或诱骗用户去执行恶意代码。 |
| 利用缺陷 |
攻击者利用协议中的缺陷来欺骗用户或重定向通信量。 |
| 拒绝服务 |
ICMP炸弹,在网络中扩散垃圾包,向邮件中心发送垃圾邮件 |
3.3邻近攻击
邻近攻击是指未授权者可物理上接近网络、系统或设备,从而可以修改、收集信息,或使系统拒绝访问。接近网络可以是秘密进入或公开,也可以是两者都有。
| 攻击举例 |
描 述 |
| 修改数据或收集信息 |
攻击者获取系统管理权,从而修改或窃取信息,如:IP地址、登陆的用户名和口令等。 |
| 系统干涉 |
攻击者获取系统访问权,从而干涉系统的正常运行。 |
| 物理破坏 |
获取系统物理设备访问权,从而对设备进行物理破坏。 |
4、不安全的主要原因
互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。
5、计算机网络安全的定义
计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义会随着“角度”的变化而变化。
6、计算机网络安全目标
保密性、完整性、可用性 、不可否认性、可控性
6.1保密性指网络中的保密信息只能供经过允许的人员,以经过允许的方式使用,信息不泄露给非授权用户、实体或过程,或供其利用。
保密性的要素如下:
数据保护:防止信息内容的泄露
数据隔离:提供隔离路径或采用过程隔离
通信流保护:数据的特征包括频率、数量、通信流的目的地等,通信流保护是指对通信的特征信息,以及推断信息(如命令结构等)进行保护。
6.2完整性指网络中的信息安全、精确与有效,不因种种不安全因素而改变信息原有的内容、形式与流向。确保信息在存储或传输过程中不被修改、不被破坏和丢失。
破坏信息的完整性有:人为因素、非人为因素。
6.3可用性指网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用,是被授权实体按需求访问的特性。
避免受到攻击、避免未授权使用、防止进程失败
7、计算机网络安全的层次
物理安全、逻辑安全、操作系统安全、联网安全
8、网络安全包括三个重要部分
先进的技术、严格的管理、威严的法律
9、OSI安全体系结构的安全服务
鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务
10、对付典型网络威胁的安全服务
| 安全威胁 |
安全服务 |
| 假冒攻击 |
鉴别服务 |
| 非授权侵犯 |
访问控制服务 |
| 窃听攻击 |
数据机密性服务 |
| 完整性破坏 |
数据完整性服务 |
| 服务否认 |
抗抵赖服务 |
| 拒绝服务 |
鉴别服务、访问控制服务、数据完整性服务等 |
11、OSI安全体系结构的安全机制
- 加密机制
- 数字签名机制
- 访问控制机制
- 数据完整性机制
- 鉴别交换机制
- 通信业务流填充机制
- 路由控制
- 公证机制
12、P2DR模型
安全策略(Protection)、防护(Policy)、检测(Detection)、响应(Response)
13、网络安全技术
13.1物理安全措施
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境因素;人为操作失误;及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
- 环境安全:对系统所在环境的安全保护措施,如区域保护和灾难保护;
- 设备安全:设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等;
- 媒体安全:媒体数据的安全及媒体本身的安全技术和措施。
13.2数据传输安全技术
- 数据传输加密技术:对传输中的数据流进行加密,以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现,即链路加密、节点加密、端到端加密。
- 数据完整性鉴别技术
- 防抵赖技术包括对源和目的地双方的证明,常用方法是数字签名。
13.3内外网隔离技术
采用防火墙技术可以将内部网络的与外部网络进行隔离,对内部网络进行保护。
13.4入侵检测技术
入侵检测的目的就是提供实时的检测及采取相应的防护手段,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为,阻止黑客的入侵。
13.5访问控制技术
访问控制是维护计算机网络系统安全、保护计算机资源的重要手段,是保证网络安全最重要的核心策略之一。
13.6安全性检测技术
网络安全检测(漏洞检测)是对网络的安全性进行评估分析,通过实践性的方法扫描分析网络系统,检查系统存在的弱点和漏洞,提出补求措施和安全策略的建议,达到增强网络安全性的目的。
13.7防病毒技术
计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消除病毒三种技术。
14、计算机网络安全技术发展趋势
14.1网络安全威胁发展趋势
- 与Internet更加紧密地结合,利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播;
- 所有的病毒都具有混合型特征,集文件传染、蠕虫、木马、黑客程序的特点于一身,破坏性大大增强;其扩散极快,而更加注重欺骗性;
- 利用系统漏洞将成为病毒有力的传播方式;
- 无线网络技术的发展,使的远程网络攻击的可能性加大;
- 各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料;
- 各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁;
- 各种攻击技术的隐秘性增强,常规防范手段难以识别;
- 分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性;
- 一些政府部门的超级计算机资源将成为攻击者利用的跳板;
- 网络管理安全问题日益突出;
14.2网络安全主要实用技术的发展
网络安全技术的发展是多维、全方面的,主要有:
-
- 物理隔离
- 逻辑隔离
- 防御来自网络的攻击
- 防御网络上的病毒
- 身份认证
- 加密通信和虚拟专用网
- 入侵检测和主动防卫(IDS)
- 网管、审计和取证
第二章 物理安全
1、物理安全概述
物理安全是整个计算机网络系统安全的前提,是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。
物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面:
- 机房环境安全
- 通信线路安全
- 设备安全
- 电源安全
2、机房安全技术与标准
机房的安全等级分为A类、B类和C类3个基本类别:
A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
3、计算机机房安全要求 :
4、机房的安全要求
减少无关人员进入机房的机会是计算机机房设计时首先要考虑的问题。计算机机房在选址时应避免靠近公共区域,避免窗户直接邻街。计算机机房最好不要安排在底层或顶层,在较大的楼层内,计算机机房应靠近楼层的一边安排布局。保证所有进出计算机机房的人都必须在管理人员的监控之下。
5、机房的三度要求
温度、湿度和洁净度并称为三度。
温度:18~22℃
湿度:40~60%
洁净度:尘埃直径小于0.5μm,每升尘埃量小于1万颗
6、接地与防雷
6.1地线种类可分为:
- 保护地。
- 直流地。
- 屏蔽地。
- 静电地。
- 雷击地。
6.2接地系统
计算机房的接地系统是指计算机系统本身和场地的各种地线系统的设计和具体实施。接地系统可分为:
- 各自独立的接地系统
- 交、直流分开的接地系统
- 共地接地系统
- 直流地、保护地共用地线系统
- 建筑物内共地系统
6.3接地体
接地体的埋设是接地系统好坏的关键。通常使用的接地体有:
- 地桩
- 水平栅网
- 金属板
- 建筑物基础钢筋等
6.4防雷措施
机房外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。
机房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。
7、机房的防火、防水措施
机房内应有防火、防水措施。如机房内应有火灾、水灾自动报警系统,如果机房上层有用水设施需加防水层;机房内应放置适用于计算机机房的灭火器,并建立应急计划和防火制度等。
8、电磁兼容和电磁辐射的防护
电磁干扰可通过电磁辐射和传导两条途径影响电子设备的工作。
对辐射的防护措施可分为以下两种:
-
- 第一种是采用各种电磁屏蔽措施;
- 第二种是干扰的防护措施。
9、国标GB2887-2000将供电方式分为了3类
- 一类供电:需建立不间断供电系统。
- 二类供电:需建立带备用的供电系统。
- 三类供电:按一般用户供电考虑。
10、电源对用电设备安全的潜在威胁
- 脉动与噪声
- 电磁干扰
第三章 信息加密与PKI
1、密码学的发展
密码学是一门古老而深奥的科学,它以认识密码变换为本质,以加密与解密基本规律为研究对象。密码学的发展历程大致经历了三个阶段:
- 古代加密方法
- 古典密码
- 近代密码
2、密码学的基本概念
密码学(cryptology)作为数学的一个分支,是研究信息系统安全保密的科学,是密码编码学和密码分析学的统称。
密码编码学(cryptography)是使消息保密的技术和科学。密码编码学是密码体制的设计学,即怎样编码,采用什么样的密码体制保证信息被安全地加密。
密码分析学(cryptanalysis)是与密码编码学相对应的技术和科学,即研究如何破译密文的科学和技术。密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。
在密码学中,有一个五元组:{明文、密文、密钥、加密算法、解密算法},对应的加密方案称为密码体制。
明文(Plaintext):是作为加密输入的原始信息,即消息的原始形式,通常用m或p表示。所有可能明文的有限集称为明文空间,通常用M或P来表示。
密文(Ciphertext):是明文经加密变换后的结果,即消息被加密处理后的形式,通常用c表示。所有可能密文的有限集称为密文空间,通常用C来表示。
密钥(Key):是参与密码变换的参数,通常用k表示。一切可能的密钥构成的有限集称为密钥空间,通常用K表示。
加密算法(Encryption Algorithm):是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程(通常用E表示,即c=Ek(p))。
解密算法(Decryption Algorithm):是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程(通常用D表示,即p=Dk(c))。
一般地,密码系统的模型如下:
3、加密体制分类
密码体制从原理上可分为两大类:
- 单钥或对称密码体制(One-Key or Symmetric Cryptosystem)
- 双钥或非对称密码体制(Two-Key or Asymmetric Cryptosystem)
4、单钥密码体制
单钥密码体制的本质特征是所用的加密密钥和解密密钥相同,或实质上等同,从一个可以推出另外一个。单钥体制不仅可用于数据加密,也可用于消息的认证,最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。单钥系统对数据进行加解密的过程如图3-2所示,其中系统的保密性主要取决于密钥的安全性。
如何将密钥安全可靠地分配给通信对方,包括密钥产生、分配、存储、销毁等多方面的问题统称为密钥管理(Key Management),这是影响系统安全的关键因素。
古典密码作为密码学的渊源,其多种方法充分体现了单钥加密的思想,典型方法如代码加密、代替加密、变位加密、一次性密码薄加密等。
单钥密码体制的优点是保密度高且加解密速度快,其缺点主要体现在以下方面:
- 密钥是保密通信安全的关键,密钥分发过程十分复杂,所花代价高。
- 多人通信时密钥组合的数量会出现爆炸性膨胀。
- 通信双方必须统一密钥,才能发送保密的信息。
- 单钥密码算法还存在数字签名困难问题。
4.1数据加密标准DES
DES即数据加密标准(Data Encryption Standard),它于1977年由美国国家标准局公布,是IBM公司研制的一种对二元数据进行加密的分组密码,数据分组长度为64bit(8byte),密文分组长度也是64bit,没有数据扩展。密钥长度为64bit,其中有效密钥长度56bit,其余8bit为奇偶校验。DES的整个体制是公开的,系统的安全性主要依赖密钥的保密,其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始置换 以及16个子密钥产生器构成,见图3-5所示。
4.2国际数据加密算法IDEA
IDEA是International Data Encryption Algorithm的缩写,即国际数据加密算法。它是根据中国学者来学嘉博士与著名密码学家James Massey于1990年联合提出的建议标准算法PES(Proposed Encryption Standard)改进而来的。它的明文与密文块都是64bit,密钥长度为128bit,作为单钥体制的密码,其加密与解密过程雷同,只是密钥存在差异,IDEA无论是采用软件还是硬件实现都比较容易,而且加解密的速度很快。
5、双钥密码体制
双钥体制是由Diffie和Hellman于1976年提出的,双钥密码体制的主要特点是将加密和解密能力分开,它既可用于实现公共通信网的保密通信,也可用于认证系统中对消息进行数字签名。为了同时实现保密性和对消息进行确认,在明文消息空间和密文消息空间等价,且加密、解密运算次序可换情况下,可采用双钥密码体制实现双重加、解密功能
双钥密码体制的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单。此外,双钥密码可以用于数字签名等新功能。最有名的双钥密码体系是1977年由Rivest,Shamir和Adleman人提出的RSA密码体制。双钥密码的缺点是双钥密码算法一般比较复杂,加解密速度慢。
实际应用时多采用双钥和单钥密码相结合的混合加密体制,即加解密时采用单钥密码,密钥传送则采用双钥密码。这样既解决了密钥管理的困难,又解决了加解密速度的问题。
双钥密码体制的加解密密钥不同,一个是可公开的公钥,另一个则是需要保密的私钥。双钥密码体制的特点是加密和解密能力是分开的。
双钥密码体制大大简化了复杂的密钥分配管理问题,但双钥算法要比单钥算法慢得多(约1000倍)。在实际通信中,双钥密码体制主要用于认证(比如数字签名、身份识别等)和密钥管理等,而消息加密仍利用单钥密码体制。
下面介绍双钥密码体制的杰出代表RSA加密算法和ElGamal算法。
5.1 RSA算法
RSA作为传送会话密钥和数字签名的标准算法。
RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。
5.2 ElGamal算法
RSA算法是基于素数因子分解的双钥密码,而ElGamal算法则是基于离散对数问题的另一种类型的双钥密钥,它既可用于加密,也可用于签名。
6、信息加密技术应用
网络数据加密常见的方式有链路加密、节点加密和端到端加密。
6.1链路加密
链路加密(又称在线加密)是对网络中两个相邻节点之间传输的数据进行加密保护,所有消息在被传输之前进行加密,每个节点对接收到的消息解密后,再使用下一个链路的密钥对消息进行加密,然后才进行传输。到达目的地之前,消息可能经多条通信链路的传输。
6.2节点加密
节点加密是指在信息传输路过的节点处进行解密和加密。尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性,都在中间节点先对消息进行解密,然后进行加密。因要对所有传输的数据进行加密,故加密过程对用户是透明的。与链路加密不同的是,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程在节点上的一个安全模块中进行。
6.3端到端加密
端到端加密(又称脱线加密)是指对一对用户之间的数据连续地提供保护,如图3-12所示。它允许数据在从源点到终点的传输过程中始终以密文形式存在。消息在到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
7、认证技术
加密是为了隐蔽消息的内容,而认证的目的有三个:消息完整性认证、身份认证、消息的序号和操作时间。
-
- 一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
- 二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
- 三是消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放或延迟等攻击。
8、认证技术的分层模型
认证技术分为三层:安全管理协议、认证体制和密码体制。
9、认证体制的要求与模型
一个安全的认证体制应该至少满足以下要求:
-
- 意定的接收者能够检验和证实消息的合法性、真实性和完整性。
- 消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。
- 除了合法的消息发送者外,其他人不能伪造发送消息。
11、数字签名技术
数字签名技术是一种实现消息完整性认证和身份认证的重要技术。
12、消息认证技术
消息认证目的包括:消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)及消息的序号和操作时间认证。
13、从参与电子政务与电子商务的用户实体出发,应用系统常规的安全需求通常包括:
- 认证需求:提供某个实体(人或系统)的身份保证。
- 访问控制需求:保护资源,以防止被非法使用和操作。
- 保密需求:保护信息不被泄漏或暴露给非授权的实体。
- 数据完整性需求:保护数据以防止未经授权的增删、修改和替代。
- 不可否认需求:防止参与某次通信交换的一方事后否认本次交换曾经发生过。
14、公开密钥基础设施(PKI)
公钥基础设施主要包括:认证机构CA、证书库、密钥备份(即恢复系统)、证书作废处理系统、PKI应用接口系统
14.1 CA是数字证书的签发机构,是PKI的核心。并且是PKI应用中权威的、可信任的、公正的第三方机构。
15、PKI的特点
PKI是一个用公钥概念与技术来提供一套具有通用性的安全服务,其特点是:
-
- 节省费用;
- 互操作性;
- 开放性;
- 一致的解决方案;
- 可验证性;
- 可选择性。
第四章 防火墙技术
1、防火墙的定义
防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
2、防火墙的五大基本功能
- 过滤进、出网络的数据;
- 管理进、出网络的访问行为;
- 封堵某些禁止的业务;
- 记录通过防火墙的信息内容和活动;
- 对网络攻击的检测和告警。
3、防火墙的局限性
- 网络的安全性通常是以网络服务的开放性和灵活性为代价
- 防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失
4、防火墙的体系结构
目前,防火墙的体系结构一般有以下几种:
(1)双重宿主主机体系结构;
(2)屏蔽主机体系结构;
(3)屏蔽子网体系结构。
4.1 双重宿主主机体系结构
- 围绕具有双重宿主的主机计算机而构筑;
- 计算机至少有两个网络接口;
- 计算机充当与这些接口相连的网络之间的路由器;
- 防火墙内部的系统能与双重宿主主机通信;
- 防火墙外部的系统(在因特网上)能与双重宿主主机通信。
4.2屏蔽主机体系结构
- 提供安全保护的堡垒主机仅仅与被保护的内部网络相连;
- 是外部网络上的主机连接内部网络的桥梁;
- 堡垒主机需要拥有高等级的安全;
- 还使用一个单独的过滤路由器来提供主要安全;
- 路由器中有数据包过滤策略。
4.3屏蔽子网体系结构
4.3.1周边网络
周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 .
4.3.2堡垒主机
堡垒主机为内部网络服务的功能有:
(1)接收外来的电子邮件(SMTP),再分发给相应的站点;
(2)接收外来的FTP连接,再转接到内部网的匿名FTP服务器;
(3)接收外来的对有关内部网站点的域名服务(DNS)查询。
堡垒主机向外的服务功能按以下方法实施:
(1)在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。
(2)设置代理服务器在堡垒主机上运行,允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤,允许内部网的用户与堡垒主机上的代理服务器进行交互,但是禁止内部网的用户直接与外部网进行通信。
4.3.3内部路由器
保护内部的网络使之免受外部网和周边网的侵犯,内部路由器完成防火墙的大部分数据包过滤工作。
4.3.4外部路由器
保护周边网和内部网使之免受来自外部网络的侵犯,通常只执行非常少的数据包过滤。外部路由器一般由外界提供。
5、防火墙技术
从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、NAT技术等。
6、包过滤技术
- 包过滤防火墙工作在网络层
- 利用访问控制列表(ACL)对数据包进行过滤
- 过滤依据是TCP/IP数据包:
- 源地址和目的地址
- 所用端口号
- 协议状态
- 优点是逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好
- 缺点有二:
- 一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;
- 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
7、数据包过滤的主要依据有
(1)数据包的源地址;
(2)数据包的目的地址;
(3)数据包的协议类型(TCP、UDP、ICMP等);
(4)TCP或UDP的源端口;
(5)TCP或UDP的目的端口;
(6)ICMP消息类型;
8、包过滤方式优点
- 仅用一个放置在重要位置上的包过滤路由器就可保护整个网络
- 包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。
9、包过滤防火墙的缺陷
- 不能彻底防止地址欺骗。
- 无法执行某些安全策略
- 安全性较差
- 一些应用协议不适合于数据包过滤
- 管理功能弱
10、代理服务技术
代理防火墙(Proxy)是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
- 代理防火墙工作于应用层;
- 针对特定的应用层协议;
- 代理服务器(Proxy Server)作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应;
- 代理客户机(Proxy Client)负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应;
11、应用层网关型防火墙
- 核心技术就是代理服务器技术;
- 优点就是安全,是内部网与外部网的隔离点;
- 最大缺点就是速度相对比较慢。
12、电路层网关防火墙
- 一般采用自适应代理技术
- 有两个基本要素:
- 自适应代理服务器(Adaptive Proxy Server)
- 动态包过滤器(Dynamic Packet Filter)
13、代理技术的优缺点
优点:
- 代理易于配置
- 代理能生成各项记录
- 代理能灵活、完全地控制进出流量、内容
- 代理能过滤数据内容
- 代理能为用户提供透明的加密机制
- 代理可以方便地与其他安全手段集成
缺点:
- 代理速度较路由器慢;
- 代理对用户不透明;
- 对于每项服务代理可能要求不同的服务器;
- 代理服务不能保证免受所有协议弱点的限制;
- 代理不能改进底层协议的安全性。
14、状态检测技术的工作原理
基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现某个连接的参数有意外变化,则立即将其终止。
15、状态检测技术的特点
状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及源地址、目的地址的具体情况决定数据包是否允许通过。
16、状态检测技术的特点
优点 :
- 高安全性
- 高效性
- 可伸缩性和易扩展性
不足:
- 主要体现在对大量状态信息的处理过程可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
17、NAT技术的工作原理
它是一个IETF(Internet Engineering Task Force, Internet工程任务组)的标准,允许一个整体机构以一个公用IP地址出现在互联网上。顾名思义,它是一种把内部私有IP地址翻译成合法网络IP地址的技术。
18、NAT技术的类型
静态NAT、动态地址NAT、网络地址端口转换NAPT
19、NAT技术的优缺点
优点:
- 所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。
- 如果因为某种原因公共IP地址资源比较短缺的话,NAT技术可以使整个内部网络共享一个IP地址。
- 可以启用基本的包过滤防火墙安全机制,因为所有传入的数据包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。
缺点:
NAT技术的缺点和包过滤防火墙的缺点类似,虽然可以保障内部网络的安全,但也存在一些类似的局限。此外,内部网络利用现流传比较广泛的木马程序可以通过NAT进行外部连接,就像它可以穿过包过滤防火墙一样的容易。
20、配置域名服务器
命令:dns
21、增加用户
命令:adduser
22、个人防火墙概述
个人防火墙是一个运行在单台计算机上的软件,它可以截取进出计算机的TCP/IP网络连接数据包,并使用预先定义的规则允许或禁止其连接。通常,个人防火墙安装在计算机网络接口的较低级别上,监视传入传出网卡的所有网络通信。
23、个人防火墙的主要功能
- IP 数据包过滤功能
- 安全规则的修订功能
- 对特定网络攻击数据包的拦截功能
- 应用程序网络访问控制功能
- 网络快速切断/恢复功能
- 日志记录功能
- 网络攻击的报警功能
- 产品自身安全功能
24、个人防火墙的特点
个人防火墙的优点:
- 增加了保护级别,不需要额外的硬件资源;
- 个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;
- 个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
个人防火墙的缺点:
- 个人防火墙对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁;
- 个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源;
- 个人防火墙只能对单机提供保护,不能保护网络系统。
25、防火墙发展动态和趋势
25.1防火墙的缺陷主要表现在:
- 不能防范不经由防火墙的攻击。
- 还不能防止感染了病毒的软件或文件的传输。
- 不能防止数据驱动式攻击。
- 在高流量的网络中,防火墙还容易成为网络的瓶颈。
- 存在着安装、管理、配置复杂的缺点
25.2防火墙的发展趋势:
- 优良的性能
- 可扩展的结构和功能
- 简化的安装与管理
- 主动过滤
- 防病毒与防黑客
- 发展联动技术
第五章 入侵检测技术
1、入侵检测系统(IDS)
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
入侵检测系统就是执行入侵检测任务的硬件或软件产品。
2、入侵检测系统需要解决两个问题:
- 如何充分并可靠地提取描述行为特征的数据;
- 如何根据特征数据,高效并准确地判定行为的性质。
3、入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分。
4、入侵检测系统分类
入侵检测按照不同的标准可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。
5、基于检测理论的分类
从具体的检测理论上来说,入侵检测又可分为异常检测和误用检测。
5.1 异常检测指根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。
5.2误用检测指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
6、基于检测时效的分类
在线检测和离线检测
7、入侵检测分析模型
入侵检测的分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。
8、误用检测
误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。
1.条件概率预测法
2.产生式/专家系统
3.状态转换方法
4.用于批模式分析的信息检索技术
5.Keystroke Monitor和基于模型的方法
9、异常检测
异常检测基于一个假定:用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加异常检测会适应用户行为的变化。
1.Denning的原始模型
2.量化分析
3.统计度量
4.非参数统计度量
5.基于规则的方法
10、分布式入侵检测的优势
分布式入侵检测由于采用了非集中的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势:
(1)检测大范围的攻击行为
(2)提高检测的准确度
(3)提高检测效率
(4)协调响应措施
11、分布式入侵检测的技术难点
分布式入侵检测必须关注的关键问题:事件产生及存储、状态空间管理及规则复杂度、知识库管理、推理技术。
12、CIDF
CIDF的工作集中体现在四个方面:IDS的体系结构、通信机制、描述语言和应用编程接口API。
CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵检测系统分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库。
13、Snort
Snort 是一个开放源代码的免费软件,它基于libpcap 的数据包嗅探器。
Snort在结构上可分为数据包捕获和解码子系统、检测引擎,以及日志及报警子系统三个部分
第六章 网络安全检测
1、安全威胁的定义
安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。
2、漏洞威胁等级分类
4、网络安全漏洞检测技术
网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。
5、端口扫描技术
端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。
端口扫描技术分为:
- TCP端口扫描技术
- UDP端口扫描技术
5.1 TCP端口扫描技术
TCP端口扫描技术主要有全连接扫描技术、半连接(SYN)扫描技术、间接扫描技术和秘密扫描技术等。
5.1.1全连接扫描技术
全连接扫描的工作方式是:对目标主机上感兴趣的端口进行connect()连接试探,如果该端口被监听,则连接成功,否则表示该端口未开放或无法到达。
5.1.2半连接(SYN)端口扫描技术
半连接端口扫描不建立完整的TCP连接,而是只发送一个SYN信息包,就如同正在打开一个真正的TCP连接,并等待对方的回应一样。
5.2UDP端口扫描技术
UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口,若收到一个ICMP端口不可达的回应,则表示该UDP端口是关闭的,否则该端口就是开放的。
6、操作系统探测技术
操作系统探测技术主要包括:
- 获取标识信息探测技术
- 基于TCP/IP协议栈的指纹探测技术
- 基于ICMP响应分析探测技术
7、安全漏洞探测技术
按照网络安全漏洞的可利用方式来划分,漏洞探测技术可以分为:信息型漏洞探测和攻击型漏洞探测两种。
按照漏洞探测的技术特征,可以划分为:基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。
8、漏洞探测技术按其技术特征可分为:
- 基于应用的检测技术
- 基于主机的检测技术
- 基于目标的漏洞检测技术
- 基于网络的检测技术
第七章 计算机病毒防范技术
1、计算机病毒的定义
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的特性
- 计算机病毒是一个程序;
- 计算机病毒具有传染性,可以传染其它程序;
- 计算机病毒的传染方式是修改其它程序,把自身拷贝嵌入到其它程序中而实现的。
3、计算机病毒的特征
- 非授权可执行性
- 隐蔽性
- 传染性
- 潜伏性
- 表现性或破坏性
- 可触发性
4、计算机病毒的主要危害
- 直接破坏计算机数据信息
- 占用磁盘空间和对信息的破坏
- 抢占系统资源
- 影响计算机运行速度
- 计算机病毒错误与不可预见的危害
- 计算机病毒的兼容性对系统运行的影响
- 给用户造成严重的心理压力
5、病毒的逻辑结构
- 病毒的引导模块;
- 病毒的传染模块;
- 病毒的发作(表现和破坏)模块。
6、计算机病毒的作用机制
(1)引导机制
(2)传染机制
(3)破坏机制
8、计算机病毒的分类
8.1 按照病毒攻击的系统分类
(1)攻击DOS系统的病毒。
(2)攻击Windows系统的病毒。
(3)攻击UNIX系统的病毒。
(4)攻击OS/2系统的病毒。
8.2 按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。
(2)攻击小型机的计算机病毒。
(3)攻击工作站的计算机病毒。
8.3 按照病毒的链结方式分类
(1)源码型病毒
(2)嵌入型病毒
(3)外壳型病毒
(4)操作系统型病毒
8.4 按照病毒的破坏情况分类
(1)良性计算机病毒
(2)恶性计算机病毒
8.5 按照病毒的寄生方式分类
(1)引导型病毒
(2)文件型病毒
(3)复合型病毒
8.6 按照病毒的传播媒介分类
(1)单机病毒
(2)网络病毒
9、CIH病毒
CIH病毒是一种文件型病毒,感染Windows95/98环境下PE格式的EXE文件。
10、网络病毒的特点
- 传染方式多
- 传播速度比较快
- 清除难度大
- 破坏性强
- 潜在性深
11、电子邮件病毒的特点
- 传统的杀毒软件对检测此类格式的文件无能为力
- 传播速度快
- 传播范围广
- 破坏力大
12、计算机病毒的检测手段
12.1 特征代码法
特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
-
- 采集已知病毒样本。
- 在病毒样本中,抽取特征代码。
- 打开被检测文件,在文件中搜索病毒特征代码。
特征代码法的特点:
-
- 速度慢
- 误报警率低
- 不能检查多形性病毒
- 不能对付隐蔽性病毒
12.2 校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法。
优点:方法简单,能发现未知病毒、被查文件的细微变化也能发现。
缺点:会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
12.3 行为监测法
利用病毒的特有行为特征来监测病毒的方法,称为行为监测法。
优点:可发现未知病毒、可相当准确地预报未知的多数病毒。
缺点:可能误报警、不能识别病毒名称、实现时有一定难度。
13、计算机病毒的防范
1.严格的管理
2.有效的技术
3.宏病毒的防范
4.电子邮件病毒的防范
14、计算机病毒的新特征
- 利用微软漏洞主动传播
- 局域网内快速传播
- 以多种方式传播
- 大量消耗系统与网络资源
- 双程序结构
- 用即时工具传播病毒
- 病毒与黑客技术的融合
- 应用软件漏洞成为网页挂马的新宠
15、计算机病毒发展的趋势及对策
- 变形病毒成为下一代病毒首要的特点。
- 与Internet和Intranet更加紧密地结合,利用一切可以利用的方式进行传播;
- 所有的病毒都具有混合型特征,破坏性大大增强;
- 因为其扩散极快,不再追求隐藏性,而更加注重欺骗性;
- 利用系统漏洞将成为病毒有力的传播方式。
16、恶意代码概述
恶意代码是一种程序,通常在人们没有察觉的情况下把代码寄宿到另一段程序中,从而达到破坏被感染计算机的数据、运行具有入侵性或破坏性的程序、破坏被感染系统数据的安全性和完整性的目的。
17、恶意代码的特征
- 恶意的目的
- 本身是程序
- 通过执行发生作用
18、恶意代码的分类
- 木马
- 网络蠕虫
- 移动代码
- 复合型病毒
19、恶意代码的关键技术
19.1 生存技术
- 反跟踪技术
- 加密技术
- 模糊变换技术
- 自动生产技术
19.2 攻击技术
- 进程注入技术
- 三线程技术
- 端口复用技术
- 对抗检测技术
- 端口反向连接技术
- 缓冲区溢出攻击技术
19.3 隐藏技术
- 本地隐藏技术 ,是指为了防止本地系统管理人员察觉而采取的隐蔽手段。
- 通信隐藏,常见的网络通信隐蔽技术有http tunnel和icmp tunnel等 。
20、恶意代码的防范
- 及时更新系统,修补安全漏洞
- 设置安全策略,限制脚本程序的运行
- 启用防火墙,过滤不必要服务和系统信息
- 养成良好的上网习惯
- 隐藏LKMs本身
第八章 网络安全解决方案
1、网络信息安全的基本问题
网络信息安全的基本问题是众所周知的诸要素:可用性、保密性、完整性、可控性与可审查性等。
网络时代的信息安全有非常独特的特征,研究信息安全的困难在于:
- 边界模糊
- 评估困难
- 安全技术滞后
- 管理滞后
2、网络与信息安全体系
要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。
- 一是社会的法律政策、规章制度措施
- 二是技术措施
- 三是审计和管理措施
保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面,构成了一个完整的体系,使网络信息安全建筑在更坚实的基础之上。
3、网络安全设计的基本原则
在进行计算机网络安全设计、规划时,应遵循以下原则:
- 需求、风险、代价平衡分析的原则
- 综合性、整体性原则
- 一致性原则
- 易操作性原则
- 适应性、灵活性原则
- 多重保护原则
4、网络安全解决方案
一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。
- 技术是关键
- 策略是核心
- 管理是保证
在整个网络安全解决方案中,始终要体现出这三个方面的关系。
5、网络安全解决方案的层次划分
- 第一部分是社会法律、法规与手段
- 第二部分为增强的用户认证
- 第三部分是授权
- 第四部分是加密
- 第五部分为审计和监控和数据备份
这五部分相辅相成、缺一不可,其中底层是上层保障的基础。
6、网络安全解决方案设计
在网关位置配置多接口防火墙,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,将工作主机放置于内部网络区域,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查。
在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量。
在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计。
将电子商务网站和进行企业普通Web发布的服务器进行独立配置,对电子商务网站的访问将需要身份认证和加密传输,保证电子商务的安全性。
在DMZ区的电子商务网站配置基于主机的入侵检测系统,防止来自Internet 对Http服务的攻击行为。
在企业总部安装统一身份认证服务器,对所有需要的认证进行统一管理,并根据客户的安全级别设置所需要的认证方式(如静态口令,动态口令,数字证书等)。
7、安全管理原则
计算机信息系统的安全管理主要基于三个原则。
- 多人负责原则
- 任期有限原则
- 职责分离原则