推荐阅读:http://t.csdn.cn/nQfIY
网络安全与信息安全【知识点】:
是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
计算机网络安全层次:物理安全、逻辑安全、操作系统安全、联网安全
(1) 保密性-保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性;
(2)完整性-是指网络中的信息安全、精确与有效,不因种种不安全因素而改变信息原有的内容、形式与流向;
(3)可用性-是指网络资源在需要使用时即可使用,不因系统故障或误等使资源丢失或妨碍对资源的使用,使被授权实体按需求访问的特性;
(4)不可否认性-也称不可抵赖性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺;
(5)可控性-可控性是对网络信息的传播及内容具有控制能力的特性。
实现的方式:机密性:通过数据加密实现;完整性:通过数据加密、散列或数字签名来实现;不可否定性(抗抵赖性):通过对称加密或非对称加密,以及数字签名等,并借助可信的注册机构或证书机构的辅助来实现。
(1)多人负责原则
(2)任期有限原则
(3)职责分离原则
(1)物理隔离
(2)逻辑隔离
(3)防御来自网络的攻击
(4)防御网络上的攻击
(5)身份认证(鉴别、授权和管理(AAA))
(6)加密通信和虚拟专用网
(7)入侵检测和主动防卫
(8)网管、审计和取证。
机房三度要求:
(1)温度-温度超过规定范围时,每升高10度,机器可靠性下降25%,机房温度一般应控制在1 8~22度;
(2)湿度-机房内的相对湿度一般控制在40%~60%为宜;
(3)洁净度-要求机房尘埃颗粒直径小于0.5ym,平均每升空气含尘量小于1万颗。
加密方法一般是文字替换,使用手工或机械变换的方式实现,代表技术-凯撒密码。
近代密码:是建立在数学的基础上。非对称密钥密码算法是基于数学上大质数不易分解的原理,代表算法**-RSA** 。
(1)根据存在形式(软件防火清、硬件防火清);
(2)根据保护对象(单机防火墙 、网络防火墙);
(3)根据实现技术(包过滤防火墙、状态检测防火墙、代理防火墙、应用级网关)
(1)双重宿主主机体系结构;
(2)屏蔽主机体系结构
(3)屏蔽体系子网结构;(具体看图)
(1)包过滤技术、
(2)代理服务技术
(3)状态检测
(4)NAT技术
NAT的三种类型:静态NAT、动态地址NAT、网络端口转换NAT
入侵检测可在不影响网络性能的情况下对内部攻击、外部攻击和误操作进行实时保护,使防火墙的合理补充
(1)基于主机的入侵检测系统;
(2)基于网络的入侵检测系统;
(3)分布式入侵检测系统
分为四类七级
D类:不细分级别(最小保护 如:DOS系统)
C类:C1级(如:Windows98) ,C2级(如:Windows XP,Windows server 2000、Netware 4.0以上、RedHat)
B类:B1级,B2级,B2级
A类:A1级(美国—橘皮书、中国—白皮书)其中D类的安全级别最低,A类最高
创建一个名为Administrator的本地账户,将其权限设置成最低,并为其设置一个超过10位的超级复杂密码。入侵者将会花很大的代价破解一个无任何价值的陷阱账户。
(1)隧道技术-是一种数据封装方式,被封装的数据只有客户端的网络可以识别;
(2)加密技术:保证链路安全,使数据在传输过程中不被第三方看见。
(3)认证:采用HASH函数将一段长的报文 通过函数变换,映射为一段短的报文摘要。报文摘要在VPN中还用于验证数据的完整性
在这一块至少要知道HTTP、FTP、Telnet、SNMP这些协议不安全是因为数据或账户名密码是明文传输的,以及它们对应的端口号。
HTTP:80
HTTPS:443
FTP:20、21
SSH:22
Telnet:23
SNMP:161
DNS:53
SMTP:25
是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
是计算机病毒。
由服务器端和客户端组成,服务器端放在受害者机上(俗称肉机)。特点-有效性、隐蔽性、顽固性、易植人性和开启一些特别端口
网络蠕虫是一种可以自我复制的完全独立的程序,其传播过程不需要借助于被感染主机中的其他程序。
特点:主动传播、传播迅速、利用漏洞、发复感染。
(1)隐藏IP-利用被侵入的主机作为跳板或电话转接技术隐藏黑客的位置;
(2)踩点扫描-主要是通过各种途径对所要攻击的目标进行多方了解,确保信息准确,确定攻击时间和地点;
(3)获得特权-即获得管理权限,获得权限可分为6种方式*由系统或软件漏洞获得系统权限*由管理漏洞获取管理员权限*由监听获取敏感信息,进一步获得相应权限*以弱口令或穷举法获得远程管理员的用户密码*以攻破与目标主机有信任关系的另一台计算机,进而得到目标主机的控制权*由欺骗获得权限以及其他方法;
(4)种植后门-黑客利用程序漏洞进入系统后安装后门程序,以便日后可不被察觉地再次进入系统;
(5)隐身退出-黑客一旦确认自己是安全的,就开始侵袭网络,为了避免被发现,黑客在入侵完毕后会及时清除登录日志以及其他相关日志,隐身退出
主动式扫描一般可以分成:
(1)活动主机探测;
(2)ICMP查询;
(3)网络PING扫描;
(4)端口扫描;
(5)标识UDP和TCP服务;
(6)指定漏洞扫描;
(7)综合扫描。
扫描方式可以分成两大类:慢速扫描和乱序扫描。
慢速扫描:对非连续端口进行扫描,并且源地址不一致、时间间隔长没有规律的扫描。
乱序扫描:对连续的端口进行扫描,源地址一致,时间间隔短的扫描。
被动式策略是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏,而主动式扫描对系统进行模拟攻击,可能会对系统造成破坏。
-这种技术不包含标准的TCP三次握手协议的任何部分,所以很少被记录,隐蔽性强;缺点-需要自己构建数据包,要求超级用户或者授权用户访问专门的系统调用,通常适用于UNIX目标主机,因为Windows系统不支持它。
X-scan、Nessus、Nmap、shadow security scanner、X-way。
(1)热备份-热备份针对归档模式的数据库,在数据库仍旧处于工作状态时进行备份;
(2)冷备份-冷备份指在数据库关闭后,进行备份,适用于所有模式的数据库;
优点:
(1)可在表空间或数据库文件级备份,备份的时间短;
(2)备份时数据库仍可使用;可达到秒级恢复(恢复到某一时间点上);
(3)可对几乎所有数据库实体做恢复;
(4)恢复是快速的,在大多数情况下爱数据库仍工作时恢复。
不足:
(1)不能出错,否则后果严重
(2)若热备份不成功,所得结果不可用于时间点的恢复;
(3)因难于维护,所以要特别仔细小心,不允许“以失败告终”。
冷备份的优点是:
*是非常快速的备份方法(只需拷文件);
*容易归档(简单拷贝即可);
*容易恢复到某个时间点上(只需将文件再拷贝回去);
*能与归档方法相结合,做数据库“最佳状态”的恢复;*低度维护,高度安全。
但冷备份也有如下不足:
*单独使用时,只能提供到“某一时间点上”的恢复;
*再实施备份的全过程中,数据库必须要作备份而不能作其他工作;
*若磁盘空间有限,只能拷贝到磁带等其他外部存储设备上,速度会很慢;
*不能按表或按用户恢复。
Easy Recovery、PC3000 R-STUDIO、Norton NDD、DiskGenius、DATASOS、Finaldata、Winhex、recover my file、飞客raid recovery1.0、易我数据恢复向导以及Easy Undelete等.
这个图是网上找的为了你们方便记忆,考试的时候可别照着画上去,有一部分没用
第一步.开启计划任务服务
开始——>运行——>cmd进入命令行,输入net start task scheduler 回车
第二步.获取系统当前时间
继续在命令行输入:at time 回车
第三步.结束Administrator用户桌面
继续在命令行输入; taskkill /f /im \exeplore.exe 回车
第四步.在指定时间进入系统用户桌面
继续在命令行输入:at [指定时间] /interactive %system%\explore.exe 回车
(1)net user //查看系统用户
(2)net user test /add //添加一个名为test的新用户
(3)net user test 123 //为test 用户配置密码为123
从机房环境考虑:
首先需要保证机房设备安全可靠地运行,主要考虑机房的供配电系统、UPS不间断电源、防雷和接地等方面。其次要充分满足机房设备对环境的要求,主要考虑机房环境的温湿度、空气的洁净度、防静电和防电磁干扰、机房智能化等方面。因此不但要通过相应的设备(如空调、新风机等)对机房环境进行控制,而且要考虑装饰材料对机房环境的影响。另一方面针对机房的特点,还要考虑机房环境足够的照度和防眩光处理以及机房对噪声的要求。
从拓扑图考虑
安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。
在整个内网当中,根据用途可以将计算机划分为三类:
(1)内部使用的工作站与终端、
(2)对外提供服务的应用服务器,
(3)以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同:
第一,重点保护各种应用服务器,特别是要保证数据库服务的代理服务器的绝对安全,不能允许用户直接访问。对应用服务器,则要保证用户的访问是受到控制的,要能够限制能够访问该服务器的用户范围,使其只能通过指定的方式进行访问。
第二,数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三,内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器(WWW、E-mail)等隔离开。
第四,不能允许外网用户直接访问内部网络。
上述安全需求,需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全,另一方面不能对原有网络结构做太大的更改,为此建议采用以防火墙为核心的支持非军事化区的三网段(外网、内网和DMZ)安全网络拓扑结构。
(1)内网用户可以被授权访问外网和DMZ中的服务器;
(2) 外网用户只能够访问到DMZ中的相关服务器,不能访问内网;
(3)DMZ还放置各种应用服务器,应用模式中,对应的是各种Web服务器。这些服务器允许有控制地被各种用户访问,也能主动访问Internet。建议不允许DMZ服务器主动访问内网主机;
(4) 在内网某台服务器上安装网络版防病毒软件的系统中心,定制全网杀毒策略并监控网络病毒情况;
(5)通过网络版防病毒软件的漏洞检测功能可以及时发现内网机器存在的漏洞,及时查堵防患未然。