软考辅导网络安全.ppt
《软考辅导网络安全.ppt》由会员分享,可在线阅读,更多相关《软考辅导网络安全.ppt(38页珍藏版)》请在冰豆网上搜索。
第第7章章:
网络安全网络安全网络管理员考试培训第7章:
网络安全基础知识网络安全基础知识v可信计算机系统评估准则v网络安全漏洞v网络安全控制技术v服务器安全技术v防火墙基本原理v入侵检测系统的功能和基本原理v漏洞扫描系统的功能和基本原理v网络防病毒系统的功能和基本原理vCA中心建设的概念和基本原理v容灾系统v应急处理的常用方法和技术1.网络安全概念,内容v网络安全5要素:
机密性,完整性,可用性,可控性,可审查性v网络不安全5要素:
非授权访问,信息泄密或丢失,破坏数据完整性,DoS,病毒v常规安全技术6措施:
防火墙技术,加密,用户识别,访问控制,反病毒,漏洞扫描,入侵检测系统(IDS)v常见攻击:
口令入侵,木马,DOS,端口扫描,网络监听,欺骗(WEB,ARP,IP),电子邮件攻击可信计算机系统评估准则v可信任计算机系统评估标准可信任计算机基础(TCB):
计算机硬件与支持不可信应用及不可信用用户操作系统的组合体。
v可信计算机安全评估准则(TCSEC)美国国防部标准TCSEC将计算机系统的安全划分为4个等级、8个级别。
可信计算机系统评估准则v
(1)D类安全等级:
D类安全等级只包括D1一个级别。
D1是安全等级最低的一个级别。
D1系统只为文件和用户提供安全保护。
v
(2)C类安全等级:
该类安全等级能够提供审慎的保护,并为用户的行为和责任提供审计能力。
C类安全等级可划分为C1和C2两类。
C1系统的可信计算基础体制通过将用户和数据分开来达到安全的日的。
在连接到网络上时,C2系统的用户分别对各自的行为负责。
C2系统比C1系统加强了可调的审慎控制。
可信计算机系统评估准则v(3)B类安全等级:
B类安全等级可分为B1、B2和B33类。
B类系统具有强制性保护功能。
强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
B1B2B3v(4)A类安全等级:
A系统的安全级别最高。
目前,A类安全等级只包含A1一个安全类别。
A1类与B3类相似,对系统的结构和策略不作特别要求。
A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。
对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。
可信计算机系统评估准则v我国计算机信息系统安全保护等级划分准则(1999年9月13日由国家质量技术监督局审查通过并正式批准发布,已于2001年1月1日起执行。
)第1级:
用户自主保护级(对应TCSEC的C1级)。
第2级:
系统审计保护级(对应TCSEC的C2级)。
第3级:
安全标记保护级对应用于TCSEC的B1级)。
第4级:
结构化保护级(对应TCSEC的B2级)。
第5级:
访问验证保护级对应TCSEC的B3级)。
网络安全漏洞v安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
网络安全控制技术v网络安全控制技术为了保护网络信息的安全可靠,除了运用法律和管理手段外,还需依靠技术方法来实现。
网络安全控制技术目前有:
防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
网络安全包含了网络信息的可用性、保密性、完整性和网络通信对象的真实性。
其中,数字签名是对(8)的保护。
A可用性B保密性C连通性D真实性分析:
网络安全的特征:
【答案:
D】机密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性;完整性:
只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改;可用性:
可被授权实体访问并按需求使用的特性。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;网络通信对象的真实性:
网络通信对象对信息的内容及传播具有控制能力。
数字签名是一种类似写在纸上的普通的物理签名,使用了公开密钥体系,使用的是发送方的密钥,保证了的信息的完整性是很容易验证的,而且数字签名还具有不可抵赖性,显然是对网络通信对象的真实性的保护。
服务器安全技术v硬件系统的安全防护1、物理安全2、设置安全v软件系统的安全防护1、安装补丁程序2、安装和设置防火墙3、安装网络杀毒软件4、账号和密码保护5、监测系统日志6、关闭不需要的服务和端口7、定期对服务器进行备份如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,这种手段属于(7)攻击。
A拒绝服务B口令入侵C网络监听DIP欺骗分析:
拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的工作流程,执行无关的程序使系统响应减慢甚至瘫痪,影响正常用户的使用。
口令入侵是指使用某些合法用户的账号和口令登录到主机,然后再实施攻击活动。
网络监控是主机的一种工作模式,在这种模式下,主机可以接收本网段在同一物理通道上传输的所有信息,如果两台通信的主机没有对信息加密,只要使用某些网络监听工具就可以很容易地截取包括口令和账户在内的信息资料。
IP欺骗是黑客选定目标主机,找到一个被目标主机信任的主机,然后使得被信任的主机失去工作能力,同时采样目标主机发出的TCP序列号,猜出它的数据序列号。
然后伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。
【答案:
A】v下列选项中,防范网络监听最有效的方法是(9)。
vA.安装防火墙B采用无线网络传输vC数据加密D漏洞扫描分析:
当信息以明文形式在网络上传输时,监听并不是一件难事,只要将所使用的网络端口设置成(镜像)监听模式,便可以源源不断地截获网上传输的信息。
但是,网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域局上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。
防范网络监听目前有这样几种常用的措施:
从逻辑或物理上对网络分段,以交换式集线器代替共享式集线器,使用加密技术和划分虚拟局域网。
【答案:
C】公司面临的网络攻击来自多方面,一般通过安装防火墙来防范(50),安装用户认证系统来防范(51)。
A外部攻击B内部攻击C网络监听D病毒入侵(51)A外部攻击B内部攻击C网络监听D病毒入侵参考答案参考答案A,B计算机感染特洛伊木马后的典型现象是(9)。
A程序异常退出B有未知程序试图建立网络连接C邮箱被垃圾邮件填满DWindows系统黑屏分析:
特洛伊木马是黑客用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。
感染后的现象有很多,比如屏幕上出现奇怪的对话框或消息框、无法在计算机上安装防病毒程序、或安装的防病毒程序无法运行等,其中最典型的就是有未知程序试图建立网络连接。
【答案:
B】防火墙基本原理v防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。
防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
v根据防火墙实现原理的不同,通常将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙3类。
防火墙基本原理v包过滤防火墙中每个包过滤防火墙中每个IP包的字段都会被检查,例如源地址、目的地包的字段都会被检查,例如源地址、目的地址、协议、端口等,防火墙将基于这些信息应用过滤规则,与规则不址、协议、端口等,防火墙将基于这些信息应用过滤规则,与规则不匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。
匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。
包过滤防火墙是通过规则的组合来完成复杂策略的。
包过滤防火墙是通过规则的组合来完成复杂策略的。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。
包过滤技术是一种完全基于网但包过滤技术的缺陷也是明显的。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。
小程序以及电子邮件中附带的病毒。
v应用层网关防火墙又称代理(应用层网关防火墙又称代理(Proxy),实际上并不允许在它连接的),实际上并不允许在它连接的网络之间直接通信,相反,它是接受来自内部网特定用户应用程序的网络之间直接通信,相反,它是接受来自内部网特定用户应用程序的通信,然后建立与公共网络服务器单独的连接通信,然后建立与公共网络服务器单独的连接。
v状态检测防火墙又称动态包过滤防火墙,可见其应用的广泛性。
相对状态检测防火墙又称动态包过滤防火墙,可见其应用的广泛性。
相对于状态检测包过滤,将传统的包过滤称为静态包过滤,静态包过滤将于状态检测包过滤,将传统的包过滤称为静态包过滤,静态包过滤将每个数据包进行单独分析,固定的根据其包头信息进行匹配,这种方每个数据包进行单独分析,固定的根据其包头信息进行匹配,这种方法在遇到利用动态端口应用协议时会发生因难。
法在遇到利用动态端口应用协议时会发生因难。
入侵检测系统的功能和基本原理v入侵检测系统的功能
(1)监测并分析用户和系统的活动;
(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
入侵检测系统的功能和基本原理v入侵检测系统基本原理1信息收集入侵检测的基础是信息收集,内容包括系统、网络、入侵检测的基础是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。
数据及用户活动的状态和行为。
2信号分析入侵检测的核心是信号分析。
针对上述4类收集到的有关系统、网络、数据及用户活动的状态和行为的信息,一般通过3种技术手段进行分析:
模式匹配,统计分析和完整性分析。
其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
漏洞扫描系统的功能和基本原理v漏洞扫描系统的功能漏洞扫描系统的功能是一种自动检测远程或本地主机安全性弱点的程序。
通过使用漏洞扫描系统,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在因特网上的安全漏洞。
漏洞扫描是对系统脆弱性的分析评估,能够检查、分析网络范围内的设备、网络服务、操作系统、数据库等系统的安全性,从而为提高网络安全的等级提供决策的支持。
系统管理员利用漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可能导致黑客攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误等。
网络管理员可以利用安全扫描软件,及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补,从而提高网络的安全性。
漏洞扫描系统的功能和基本原理v漏洞扫描系统的工作原理当用户通过控制平台发出了扫描命令之后,控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。
通过对从被扫描主机返回的信息进行分析判断,扫描模块将扫描结果返回给控制平台,再由控制平台最终呈现给用户。
下面关于漏洞扫描系统的叙述,错误的是(7)。
A漏洞扫描系统是一种自动检测目标主机安全弱点的程序B黑客利用漏洞扫描系统可以发现目标主机的安全漏洞C漏洞扫描系统可以用于发现网络入侵者D漏洞扫描系统的实现依赖于系统漏洞库的完善分析:
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
漏洞扫描针对的是系统漏洞的防御,防止恶意程序通过系统漏洞侵入系统,入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
选项C是入侵检测系统的功能。
【答案
升级会员 