网络安全信息方面.docx
《网络安全信息方面.docx》由会员分享,可在线阅读,更多相关《网络安全信息方面.docx(21页珍藏版)》请在冰豆网上搜索。
网络安全信息方面
一、网络信息安全的概念
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。
信息安全:
防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识与控制。
网络安全:
保证网络系统的硬件、软件及其系统中的数据资源得到完整、准确、连续运行和服务不受到干扰破坏和非授权使用。
信息安全与网络安全间的关系:
网络安全是信息安全在网络时代的扩展,信息安全包括网络安全、计算机安全和通信安全。
二、网络信息安全的特点保密性;完整性;可用性;不可否认性;可控性
三、网络信息安全的趋势
集团化、产业化趋势。
不再安于破坏系统,销毁数据,更关注财产和隐私电子商务成为热点,针对网络银行的攻击更加明显
四、网络信息安全威胁—5类
1.物理威胁,包括偷窃,废物搜寻,身份识别错误,间谍行为。
2.漏洞威胁,包括不安全服务,配置和初始化错误。
3.身份鉴别威胁,包括口令圈套,口令破解,编辑口令,算法考虑不周。
4.有害程序威胁,包括病毒,特洛伊木马,代码炸弹。
5.网络连接威胁,包括窃听,冒充,拨号进入。
五、常见的网络信息安全技术1.4
1.主动防御技术
1)密码技术,包括加密技术和数字签名技术。
2)CA认证,CA中心是具有权威性和公正生的第三方信任机构,提供网络身份认证服务。
3)访问控制,分为自主访问控制和强制访问控制。
即,通过身份谁控制用户对资源的访问和通过规定主体对客体的操作权限来保证信息的安全。
4)虚拟网络技术
5)入侵检测,使用软件(或硬件)技术监视和分析网络信息系统中发生的事件,当系统受到攻击时,它可检测并做出积极响应。
2.被动防御技术
1)防火墙技术,置于可信与不可信网络之间的安全防身系统,用于控制非授权的访问进出。
2)安全扫描,可自动检测远程或本地主机安全弱点的程序,用于观察网络的工作情况,收集主机信息。
3)密码检查器,口令验证程序检查薄弱的口令。
4)安全审计。
记录与安全相关事件的日志文件,可供日后查看,发现系统安全弱点和漏洞。
5)路由过滤。
过滤哭对所接收的数据包根据包括过滤规则做出允许或拒绝的决定。
6)安全管理技术,制定安全规章制度和条例。
二、信息加密技术
信息加密技术——采用数学方法与一串数字(密钥)对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(密文)。
加密(Encryption):
明文Ë密文。
解密(Decryption):
密文Ë明文。
加密和解密过程中,涉及信息、算法和密钥三项内容。
信息:
包括明文和密文。
算法:
是加密或解密的过程采用的数学方法,包括加密算法和解密算法。
密钥(Key):
是用来对原始信息进行编码和解码的一串数字,包括加密密钥和解密密钥。
三、密码体制分类
按加密密钥和解密密钥是否相同,加密体制可分为:
单钥加密体制——对称密钥加密双钥加密体制——非对称密钥加密
对称密钥加密又称私有密钥加密,专用密钥加密,即发送和接收数据的双方都必须使用相同的密钥对明文进行加密和解密运算。
优势:
加|解密速度快,适合于对大数据量进行加密。
缺陷:
密钥管理困难;其规模无法适应互联网大环境的要求;无法鉴别交易者的身份。
2.非对称密钥加密(PublicKeyEncryption)又称公开密钥加密,每人有一对唯一对应的密钥:
一个公开发布,称为公开密钥(公钥Public-Key);另一个由用户自己秘密保存,称为私人密钥(私钥Private-Key)。
这两个密钥可以互相并且只能为对方加密或解密。
如:
用信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。
优势:
密码分配简单,密钥保存量少,保密性高,可以完成数字签名和数字鉴别。
缺点:
加解密速度较慢。
2.1数据加密典型算法
数据加密算法发展历程:
古典密码阶段,包括替代加密和转换加密。
公开密钥密码阶段,包括RSA,背包密码,Diffie-Hellman。
对称密钥密码阶段,包括DES,AES,IDEA.
一、对称加密算法
DES是一种分组加密算法,密钥长度为64位(56位实际密钥+每个字节的第8位的奇偶校验码)。
它以64位为一组,将明文分成若干个分组,每次利用56位密钥对64位的二进制明文分组进行16轮数据加密,产生64位的密文。
DES算法的密钥可以是任意的一个56位的数,且可在任意的时候改变。
1.数据加密标准算法(DataEncryptionStandard,DES)
一、数字签名的概念
数字签名(DigitalSignature)是通过一个意向函数对要传送的报文进行处理行到的用以认证报文来源并核实报文是否民生变化的一个字母数字串。
二、常见的签名体制
数字签名主要有3种应用广泛的方法:
RSA签名、DSS签名和Hash签名。
Hash签名是最主要的数字签名方法,也称数字摘要法(DigitalDigest)或数字指纹法(DigitalFingerPrint),它将数字签名与要发送的信息捆在一起,报文的发送方采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文(数字摘要)。
数字签名具有易更换、难伪造、可进行远程线路传递等优点。
二、身份认证的基本方法
1.基于密码的认证
采用用户名/密码方式是最基本的认证方式,特点是灵活简单。
但此方法的安全性完全依赖于密码,但密码易泄露,且很易被木马程序或监听工具截获。
2.基于智能卡的认证
又称IC卡(IntegratedCircuitCard)。
它把集成电路芯片封装入塑料基片中,智能卡芯片可写入数据与存储数据。
3.基于一次性口令的认证
也称动态口令技术,是让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术
4.基于生物特征的认证
生物特征认证是指采用每个人独一无二的生物特征(如指纹、虹膜、脸部、掌纹等)来验证用户身份技术。
1)指纹2)手形3)虹膜4)视网膜5)面孔6)声音7)红外温谱图8)DNA
5.基于USBKey的认证
基于USBKey的身份认证是采用软硬件结合、一次一密的强双因子认证模式。
USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于USBKey身份认证系统主要有两种应用模式:
一是基于冲击/响应的认证模式;二是基于PKI体系的认证模式。
三、认证机构与数字证书
1.认证中心(CertificateAuthority—CA)
CA主要承担网上安全电子交易的认证服务。
它能受理数字证书的申请、签发和管理数字证书,并能确认用户身份。
三、认证机构与数字证书
2)认证中心的职能:
证书发放;证书更新;证书撤消;证书验证。
数字证书的类型分为两类:
SSL(SecureSocketsLayer安全套接层)证书—服务于银行对企业或企业对企业的电子商务活动;作用是通过公开密钥证明持证人的身份。
SET(SecureElectronicTransaction安全电子交易)证书—服务于持卡消费、网上购物;作用是通过公开密钥证明持证人在指定银行确实拥有该信用卡账号,同时也证明了持卡人的身份。
4.2常见的黑客攻防技术一般分为攻击前奏,实话攻击,巩固控制,继续深入。
常见的黑客攻击步骤:
1)攻击前奏:
包括黑客锁定目标、了解目标的网络结构,收集各种目标系统的信息等。
–锁定目标:
利用域名和IP地址都可找到主机
–了解目标的网络结构:
最简单地是用tracert命令追踪路由
–收集系统信息:
对主机进行全面系统分析,以寻求安全漏洞,特别会寻找开放的端口
2)实施攻击
根据网络结构、系统情况而采用不同的攻击手段。
一般,黑客攻击的终极目的是能控制目标系统,窃取其中的机密文件,但有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作。
3)巩固控制
黑客为能长久保留和巩固其对系统的控制权,不被管理员发现,会清除记录(删除日志或用假日志覆盖)和留下后门(置入特洛伊木马或其他一些远程操纵程序)。
4)继续深入
1)网络监听的概念:
又称网络嗅探,主要协助网络管理员检测网络传输数据,排除网络故障等。
但另一方面其也给以太网安全带来了极大隐患,如造成口令失窃、敏感数据被截获等连锁性安全事件。
2)局域网监听的基本原理
网络接口不能识别IP地址。
在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:
以太帧的帧头。
帖头中,有两个域分别为源主机和目的主机的物理地址,一个IP地址,必然对应一个物理地址。
但对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中,它都有一个。
发向局域网之外的帧中携带的是网关的物理地址。
以太网中,写有物理地址的帧从网络接口中发送传送到物理线路上。
当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条
线路。
于是,在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。
在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。
对于每一个到达网络接口的数据帧,都要进行这个过程。
然而,当主机工作在监听
模式下,则所有的数据帧都将被交给上层协议软件处理。
当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。
也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
通信信道共享意味计算机有可能接收发向另一台计算机的信息。
网络监听常常要保存大量的信息,对收集的信息进行大量的整理工作,因此,正在进行监的机器对用户的请求响应很慢。
4)如何检测并防范网络监听
–对可能存在的网络监听的检测
(1)检测怀疑被监听的机器,用正确的IP地址和错误的物理地址ping。
(2)向网上发大量不存在的物理地址的包,通过比较前后该机器性能加以判断。
(3)使用反监听工具如antisniffer等进行检测–对可能存在的网络监听的检测
防范:
(1)从逻辑或物理上对网络分段:
可将非法用户与敏感的网络资源相互隔离,防止可能的非法监听。
(2)以交换式集线器代替共享式集线器:
此法使单播包仅在两个节点之间传送,从而防止非法监听。
(3)使用加密技术:
数据经过加密后,显示的是乱码。
缺点是影响数据传输速度和易被攻破。
(4)划分VLAN:
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可防止大部分网络监听的入侵。
1)端口扫描的基本原理
对目标计算机进行端口扫描,能得到许多有用的信息,并发现系统的安全漏洞。
端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断服务
端口是打开还是关闭,可得知端口提供的服务或信息。
端口扫描也可通过捕获本地主机或服务器的流入流出IP数据包监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助发现目标主机的内在弱点。
2)端口扫描的类型
–经典的扫描器(全连接)是TCP端口扫描的基础,包括TCPconnect()扫描和TCP反向ident扫描等。
–SYN(半连接)扫描器(间接扫描)有TCPSYN扫描和IPID头dumb扫描等。
–秘密扫描
1)漏洞的分类
1)按照用户群体分
•大众类软件的漏洞,如Windows的漏洞、IE的漏洞等。
•专用软件的漏洞,如Oracle漏洞、Apache漏洞等。
2)按照作用范围分
(1)远程漏洞,攻击者可以利用并直接通过网络发起攻击的漏洞。
(2)本地漏洞,攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。
3)按触发条件分
•主动触发漏洞,攻击者可以主动利用该漏洞进行攻击,如直接访问他人计算机。
•被动触发漏洞,必须要计算机的操作人员配合才能进行攻击利用的漏洞。
4)从操作角度分
•文件操作类型•内存覆盖逻辑错误,可细分为:
¸条件竞争漏洞(如Ptrace漏洞、广泛存在的文件操作时序竞争)
¸策略错误,如FreeBSD的SmartIO漏洞。
¸算法问题,如历Windows95/98的共享口令可轻易获取漏洞。
¸设计的不完善,如TCP/IP协议中的3步握手导致了SYNFLOOD拒绝服务攻击。
实现中的错误
1)口令入侵是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。
2)口令攻击的主要方法
–社会工程学(SocialEngineering)攻击:
使用非技术手段获得对信息或系统XX的访问。
–猜测攻击:
自己和家人生日、电话号码、房间号码、简单数字、身份证号码、各类名字(包含宠物)等
–字典攻击:
名字库、常用口令库、词语库等,效果?
6拒绝服务攻击技术
这是一种破坏网络服务的技术方式,其根本目的是使受害主机或网络失去及时接受处理外界请求,或无法及时回应外界请求。
拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。
具体表现方式有:
–SYNFlood攻击
•这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
–Land攻击
•利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。
•此法将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址,这样创建起一个空连接并暂存在服务器中,当队列足够长时,正常连接请求被丢弃,造成服务器拒绝服务的现象。
–Smurf攻击(ICMP直接广播)
•Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。
•这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。
•攻击的过程是:
Attacker向一个具有大量主机和Internet连接的网络的广播地址发送一个欺骗性Ping分组(echo请求),这个目标网络被称为反弹站点,而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。
–UDP攻击
•指通过发送UDP数据包来发动攻击,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至资源耗尽、系统死机。
–Fraggle
•基本概念及方法与Smurf类似,但它采用的是UDP应答消息而非ICMP信息。
分布式拒绝服务攻击使用了分布式客户服务器功能,加密技术及其它类的功能,它能被用于控制任意数量的远程机器,产生随机匿名的拒绝服务攻击和远程访问。
2)分布式拒绝服务攻击(DistributedDenialofservice)
最常使用的分布式拒绝服务攻击程序包括4种:
Trinoo、TFN、TFN2K和Stacheldraht。
8缓冲区溢出
1)缓冲溢出的概念
基本方法是利用一些软件所存在缓冲区溢出漏洞(超出内存长度,破坏堆栈),将初始入侵代码(入侵程序)作为软件运行参数带入,这些入侵代码利用软件所存在的缓冲区溢出漏洞得以非法运行并获得被攻击系统的控制权。
10木马(TrojanHorse)
指包含在合法程序里的未授权的代码,未授权代码执行不为用户所知(或不希望)的功能。
特洛伊木马工作原理
特洛伊木马的结构包括硬件部分(服务器和客户端),软件部分(控制端,木马,木马配置程序),连接部分(网络接入,控制端IP,控制端端口)
特洛伊木马的门包括端口(客户端和服务器端)和漏洞(IE,系统和网络)
入侵步骤:
配置木马(伪装),传播木马,运行木马,信息泄漏,建立连接,远程控制。
4)特洛伊木马的防范
–连接域扫描–检查连接–检查注册表–寻找档案(如特征档案kernl32.exe和
sysexlpr.exe)
3.几个与计算机病毒相关的概念
•木马,利用系统漏洞或用户操作不当进入用户的计算机系统,通过修改启动项目或捆绑进程方式自动运行,运行时有意不让用户察觉,将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序
•蠕虫,指利用网络缺陷进行繁殖的病毒程序,其原始特征之一是通过网络协议漏洞进行网络传播
•脚本病毒,利用脚本来进行破坏的病毒,其特征为本身是一个ascii码或加密的ascii码文本文件,由特定的脚本解释器执行
•恶意软件,是介于计算机病毒和正常软件之间的一种软件,中国互联网协会的定义:
指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
又叫“流氓软件”
5.计算机病毒的特点
•传染性,一旦进入计算机系统并运行,就会搜寻其他符合其传播条件的程序或者存储介质,确定目后,将其自身代码插入其中。
–挪用款项,或破坏竞争对手的电脑系统
•潜伏性,绝大多数病毒感染系统后不会马上发作,如黑色星期五
•破坏性,降低计算机工作效率、占用系统资源、导致系统崩溃等传染性是病毒的基本特征
•隐藏性,最大的病毒程序不超过1MB,一般在1KB左右。
病毒一般藏在用户不常去的系统文件中,或者和其他程序绑定到一起,实现隐藏
•可激发性,绝大多数计算机病毒具有发作的设置条件
•XX而执行,病毒隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行。
2.根据攻击的机型分类:
攻击PC机的病毒;攻击小型机的病毒(银行系统);攻击服务器的病毒(服务提供商);攻击手机的病毒。
3.根据破坏能力分类
–无害型:
减少一些磁盘空间,如一些插件
–无危险型:
减少内存等
–危险型:
对计算机系统功能和操作产生严重干扰和破坏
–非常危险型删除程序、破坏数据、清除操作系统中重要文件
4.根据病毒的链接方式分类,<重点考察>
–源码型病毒,在高级语言程序编译前插入到源程序
–嵌入型病毒,病毒主体程序嵌入攻击对象程序的内部
–外壳型病毒(大多数),病毒包围在对象主程序入口或者出口处
–操作系统型病毒,取代部分操作系统模块
6.根据病毒的寄生方式(重点)
–引导型病毒主要感染磁盘的引导区,启动计算机时,会获得系统的控制权
–文件型病毒病毒寄生在文件中,当文件被调用时,病毒驻留内存,发挥作用
–复合型病毒既感染引导区,又感染文件
•系统病毒:
前缀为:
Win32、PE、Win95、W32、W95等
–共有的特性是可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。
例如:
CIH病毒
•蠕虫病毒,(考查重点)前缀为:
Worm(自我复制能力、很强的传播性、一定的潜伏性、特定的触发性、很大的破坏性)
–共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
例如:
冲击波(阻塞网络),小邮差(发带毒邮件)等。
外加一个“熊猫烧香”
•木马病毒(特洛伊木马):
前缀为:
Trojan《考察重点》
–木马是一种特殊的程序,它们不感染文件,不自身复制和传播,甚至不破坏系统,是一个具有特定功能的可以里应外合的后门程序
•脚本病毒:
前缀为:
Script、VBS、JS
–共有特性是使用脚本语言编写,通过网页进行的传播的病毒
–如:
红色代码(Script.Redlof)、欢乐时光(VBS.Happytime)等
–特点:
跨平台、可以感染各类计算机系统
•宏病毒:
前缀为:
Macro
–是脚本病毒的一种,感染Word、Word97、Excel、Excel97等软件
宏:
Word、Excel等Office工具中提供的一个功能。
特点:
由于word、excel等文件交流频繁,病毒的传播广泛。
•后门病毒:
前缀是:
Backdoor
共有特性是通过网络传播,给系统开后门,给电脑带来安全隐患。
•病毒种植程序病毒:
前缀为:
Dropper
–共有特性是运行时会从程序内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
例如:
冰河播种者(Dropper.BingHe2.2C)
•破坏性程序病毒:
前缀为:
Harm
–有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
例如:
格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等
•玩笑病毒:
前缀为:
Joke,恶作剧病毒
–共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。
例如:
女鬼(Joke.Girlghost)病毒等。
•捆绑机病毒:
前缀为:
Binder
共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。
例如:
捆绑QQ(Binder.QQPass.QQBin),压缩软件
1.计算机病毒的逻辑结构
计算机病毒的逻辑结构(通过图掌握四种模型)
感染标志;病毒的引导模块;病毒的传染模块;病毒的发作(表现和破坏)模块。
–触发模块
三种访问控制模型
1、自主访问控制模型(DAC):
主体有自主决定权,又称任意访问控制
每个客体有一个所有者,所有者可以按照自己的意愿把客体的访问控制权限授予其他主体
控制灵活,易于管理,是目前应用最为普遍的访问控制政策
DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实,
不足在于用户可以任意传递权限强制访问控制(MAC);
用户和客体资源都被赋予一定的安全级别,用户不能改变自身和客体的安全级别,只管理员才能够确定用户和组的访问权限;无密U<秘密C<机密S<绝密TS
2、强制访问控制(MAC),MAC是一种多级访问控制策略,系统事先给主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象
3、基于角色的访问控制(RBAC),基于角色访问控制的要素包括用户、角色、许可等基本定义,基于角色的访问控制(RBAC)
RBAC的基本思想是:
授权管理
•授权给用户的访问权限由用户在组织中担当的角色来确定
•许可被授权给角色,角色被授权给用户,用户不直接与许可关联
•管理员统一管理访问权限的授权,RBAC根据用户在组织内所处的角色分配资源和操作权限•授权规定是强加给用户的,用户不能自主地将访问权限传给他人RBAC通过角色,隔离了主体和权限
3防火墙的分类
从软硬件形式软件防火墙、硬件防火墙:
由防火墙软件和运行该软件的特定计算机构成的防火墙
芯片级防火墙如ASIC芯片或网络处理器NP芯片ASIC:
ApplicationSpecificIntegratedCircuit特定用途集成电路ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用如NetScreen作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理性能ASIC最大的缺点是缺乏灵
升级会员 