安全生产网络安全基础知识.docx

1、安全生产网络安全基础知识（安全生产）网络安全基础知识一、引论1、网络安全的概念：网络安全是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。2、基于IP的Internet有很多不安全的问题：1）IP安全。在Internet中，当信息分组在路由器间传递时，对任何人都是开放的，路由器仅仅搜集信息分组中的目的地址，但不能防止其内容被窥视。2）DNS安全。Internet对每台计算机的命名方案称之为域名系统（DNS）。3）拒绝服务（DoS）攻击。包括发送SYN信息分组、邮件炸弹。4）分布式拒

2、绝（DDoS）攻击。分布式拒绝服务攻击是拒绝服务群起攻击的方式。3、维护信息载体的安全就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯（如机房入侵、设备偷窃、废物搜寻、电子干扰等）、系统漏洞（如旁路控制、程序缺陷等）、网络入侵（如窃听、截获、堵塞等）、恶意软件（如病毒、蠕虫、特洛伊木马、信息炸弹等）、存储损坏（如老化、破损等）等。为抵抗对网络和系统的安全威胁，通常采取的安全措施包括门控系统、防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等。4、网络安全的三个基本属性：1）机密性（保密性）。机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密

3、码技术。2）完整性。完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。3）可用性。可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。5、国际标准化组织在开放系统互联标准中定义了7个层次的参考模型：1）物理层。2）数据链接层。3）网络层。4）传输层。5）会话层。6）表示层。7）应用层。6、粗略地，可把信息安全分成3个阶段。1）通信安全（comsec）、计算机安全（compusec）和网络安全（netsec）。7、可信计算机系统评估准则（TrustedComputerSystemEval

4、uationCriteria,TCSEC）共分为如下4类7级：1）D级，安全保护欠缺级。2）C1级，自主安全保护级。3）C2级，受控存储保护级。4）B1级，标记安全保护级。5）B2级，结构化保护级。6）B3级，安全域保护级。7）A1级，验证设计级。8、密码学研究包括两部分内容：一是加密算法的设计和研究；一是密码分析，即密码破译技术。9、对称密钥密码技术是传统的简单换位、代替密码发展而来的，从加密模式上可分为两类：1）序列密码，序列密码一直作为军事和外交场合使用的主要密码技术之一，它的主要原理是，通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流，逐位加密得到密文序列，所以，序列密码算

5、法的安全强度取决于它产生的伪随机序列的好坏。2）分组密码。分组密码的工作方式是将明文分成固定长度的组（块）（如64位一组），用同一密钥和算法对每一块加密，输出固定长度的密文。公钥密码技术：公钥技术是在密码体制中加密和解密采用两个不同的相关的密钥的技术，又称不对称密钥技术。两者的比较：因为对称密码系统具有加解密速度快、安全强度高等优点，在军事、外交及商业应用中使用得越来越普遍；由于存在密钥发行与管理方面的不足，在提供数字签名、身份验证等方面需要与公开密钥密码系统共同使用，以达到更好的安全效果。公共密钥的优点在于，也许你并不认识某一实体，但只要你的服务器认为该实体证书权威CA是可靠的，就可以进行安

6、全通信，而这正是电子商务这样的业务所要求的，如信用卡购物。二、风险分析1、攻击的类型：1）阻断攻击。2）截取攻击。3）篡改攻击。4）伪造攻击。2、主动攻击与被动攻击的区分：窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息，被动攻击包括传输报文内容的泄漏和通信流量分析。主动攻击包含对数据流的某些修改，或者生成一个假的数据流。它可以分成4类：1）伪装。2、回答（重放）。3）修改报文。4）拒绝服务。3、常见的篡改服务攻击有3种：1）改变。2）插入。3）删除。4、拒绝服务攻击可分成以下4种：1）拒绝访问信息。2）拒绝访问应用。3）拒绝访问系统。4）拒绝访问通信。5、风险的概念：风险是构

7、成安全基础的基本观念。风险是丢失需要保护的资产的可能性。威胁+漏洞=风险6、风险测量必须识别出在受到攻击后该组织需要付出的代价。代价包括资金、时间、资源、信誉及丢失生意等。三、安全策略1、系统管理程序：1）软件更新。2）漏洞扫描。3）策略检查。4）登录检查。5）常规监控。2、一个恰当的灾难恢复计划应考虑各种故障的级别：单个系统、数据中心、整个系统。灾难恢复计划应考虑：1）单个系统或设备故障。2）数据中心事件。3）场地破坏事件。4）灾难恢复计划的测试。3、安全策略的生成步骤：1）确定重要的策略。2）确定可接受的行为。3）征求建议。4）策略的开发。四、网络信息安全服务*1、机密性服务包括：1）文件

8、机密性。2）信息传输机密性。3）通信流机密性。*2、完整性服务包括：1）文件完整性。2）信息传输完整性。*3、可用性服务包括：1）后备。2）在线恢复。3）灾难恢复。4、网络环境下的身份鉴别：1）身份认证技术（常见的有口令技术和采用物理形式的身份认证标记进行身份认证的鉴别技术）。2）身份认证协议（会话密钥、共享密钥认证和公钥认证。）5、访问控制：访问控制是确定来访实体有否访问权以及实施访问权限的过程。五、安全体系结构1、可信系统体系结构概述：如果保护在硬件层实现，保护机制更简单，可提供广泛的通用的保护。越是层次向上升，越是增加复杂性，而功能则更加专门和细粒度。最高层也最复杂，因为它直接向用户提供

9、广泛的功能和选项。功能和安全复杂性增加，则越靠近用户。复杂性增加，则安全机制的级别越低。*2、网络体系结构的观点（课本P74）3、加密机制。1）加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用。2）加密算法可以是可逆的，也可以是不可逆的。3）除了某些不可逆加密算法的情况外，加密机制的存在便意味着要使用密钥管理机制。4、大多数应用不要求在多个层加密，加密层的选取主要取决于下列几个因素：1）如果要求全通信业务流机密性，那么选取物理层加密，或传输安全手段（如适当的扩频技术）。2）如果要求细粒度保护（即对不同应用提供不同的密钥），和抗否认或选

10、择字段保护，那么将选取表示层加密。3）如果希望实现所有客户端系统通信的简单块保护，或希望有一个外部的加密设备（例如，为了给算法和密钥加物理保护，或防止错误软件），那么将选取网络层加密。4）如果要求带恢复的完整性，同时又具有细粒度保护，那么将选取传输层加密。5）对于今后的实施，不推荐在数据链接层上加密。6、数字签名机制的特点：1）签名过程使用签名者的私有信息作为密钥，或对数据单元进行加密，或产生出该数据单元的一个密码校验值。2）验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。3）签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而，当该签名得到验证后，它能

11、在事后的任何时候向第三方（例如法官或仲裁人）证明只有那个私有信息的唯一拥有者才能产生这个签名。六、Internet安全体系结构之一1、局域网LAN的安全。防御方法：1）防火墙。2）特权区（privilegedzones）。3）LAN连接。2、无线网面临着一系列有线网没有的不安全风险，包括：1）分组嗅测（packetsniffing）。2)服务集标识SSID（theservicesetidentifier）信息。3)假冒(inpersonation)。4）寄生者（parasites）。5）直接安全漏洞（directsecuritybreaches）。3、风险缓解的方法：1)SSID打标签。2）广

12、播SSID。3）无线放置。4）MAC过滤。5）WEP。6）其他密码系统。7）网络体系结构。4、课本P107图6-3CHAP处理。5、ARP和RARP的风险课本P110图6-4作为MitM攻击的ARP受损。6、所有的分段机制有两个主要风险：丢失分段和组装数据的容量。此外分段管理的类型能导致丢失数据分段。分段的风险：1）丢失分段攻击。2）最大的不分段大小。3）分段重组。7、IP风险：1）地址冲突。2）IP拦截。3）回答攻击。4）分组风暴。5）分段攻击。）6）转换通道。七、Internet安全体系结构之二1、TCPDoS攻击：1）SYN攻击。2）RST和FIN攻击。3）ICMP攻击。4）LAND攻击

13、。*2、缓解对TCP攻击的方法：1）改变系统框架。2）阻断攻击指向。3）识别网络设备。4）状态分组校验。5）入侵检测系统（IDS）。6）入侵防御系统（IPS）。*3、UDP攻击：1）非法的进入源。2）UDP拦截。3）UDP保持存活攻击。4）UDPSmurf攻击。5）UDP侦察。4、DNS风险：1）直接风险（无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组）。2）技术风险（DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS）。3）社会风险（相似的主机名、自动名字实现、社会工程、域更新）。#5、缓解风险的方法：1）直接威胁缓解。基本的维护和网络分段能限制直接威胁的影响。1、补丁

14、：DNS服务器的增强版经常会发布，DNS服务器和主机平台应定期打补丁和维护。2、内部和外部域分开：DNS服务器应该是分开的。大的网络应考虑在内部网络分段间分开设置服务器，以限制单个服务器破坏的影响，且能够平衡DNS负载。3、限制域或转换：域的转换限制于特定的主机，且由网络地址或硬件地址标识。这个方案对MAC和IP的伪装攻击是脆弱的，但对任意的主机请求域转换确实是有用的。4、鉴别的域转换：采用数字签名和鉴别域转换能减少来自域转换拦截和破坏的影响。5、有限的缓冲间隔：缓冲间隔减少至低于DNS回答规定的值，可以减少缓冲器受损的损坏装口。6、拒绝不匹配的回答：假如缓冲DNS服务器接到多个具有不同值的回

15、答，全部缓冲器应刷新。虽然这会影响缓冲器性能，但它消除了长期缓冲器受损的风险。2）技术威胁的缓解。技术风险预防方法包括网络、主机和本地环境。1、加固服务器：限制远程可访问进程的数量，就能限制潜在攻击的数量。加固服务器可降低来自技术攻击的威胁。2、防火墙：在DNS服务器前放置硬件防火墙限制了远程攻击的数量。3）侦察威胁的缓解。1、限制提供DNS信息：这可以缓解攻击者侦察的威胁，虽然DNS不能完全做到，但可限制提供信息的类型和数量。2、限制域转换：域的转换仅限于鉴别过的主机。虽然不能组织蛮力主机的查找，但可组织侦察。3、限制请求：限制DNS请求的数量可由任何单个网络地址完成。虽然不能防止蛮力域监听

16、，但是可设置障碍。4、去除反向查找：假定反向查找不是必须的，那么去除它。这可限制蛮力域监听的影响。5、分开内部和外部域：DNS域服务器应该是分开的，以确保LAN的信息保持在LAN。特别是内部主机名应该不允许外部可观察。6、去除额外信息：不是直接为外部用户使用的信息应该去除，例如TXT，CHAME，HINFO这些信息。7、隐藏版本：对允许本地登录或远程状态报告的DNS服务器，这些DNS版本可能被泄漏。因为不同的版本和不同的利用相关，应该修改版本以报告假信息或将其去除。4）社会威胁缓解。除了对用户进行培训，防止相似主机名和自动名字完成的风险，还有：1、监控相似域：经常搜索域名的变化。当发现有相似主

17、机名的标识，DNS提供者要求他们关掉。虽然这是一个复杂的耗时的任务，但这是监控相似域名的一种专门服务。2、锁住域：使用支持域名锁定的域注册者。这需要一些附加信息，诸如账户信息、转换域名的口令。3、使用有效联系：在域注册中提供一个或多个有效联系方法，以允许用户和注册者联系域主。但不需要专门的人名或个人信息，以免攻击者使用这些信息攻击域主。4、不间断支持：选择一天24小时，一周7天不间断支持的域注册者。这样在任何时候可和注册者联系，以解决有关域的问题。5、自己主持：大的单位应选择称为拥有管理自己域的注册者。5）优化DNS设置。6）确定可信的回答。6、P133图7-2SSL协议会话过程示意图。八、防

18、火墙1、防火墙一般安防在被保护网络的边界，必须做到以下几点，才能使防火墙起到安全防护的作用：1）所有进出被保护网络的通信必须通过防火墙。2）所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。3）防火墙本身是不可被侵入的。*2、防火墙的功能：1）访问控制功能。2）内容控制功能。3)全面的日志功能。4）集中管理功能。5）自身的安全和可用性。3、拒绝服务攻击主要有以下几种形式：（记住四种解释）a) SynFlood:该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYNACK后并不回应，这样目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这

19、些队列，造成了资源的大量消耗而不能向正常请求提供服务。b) Smurf:该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有的主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。c) Land-based：攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址，然后将该数据包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地减低了系统性能。d) PingofDeath:根据TCP/IP的规范，一个IP包的长度最大为65536B，但发送较大的IP包时将进行分片，

20、这些IP分片到达目的主机时又重新组合起来。在PingofDeath攻击时，各分片组合后的总长度将超过65536B，在这种情况下会造成某些操作的宕机。4、防火墙的局限性：1）防火墙不能防范不经由防火墙的攻击。2)防火墙不能防止感染了病毒的软件或文件的传输。3）防火墙不能防止数据驱动式攻击。4）防火墙不能防范恶意的内部人员侵入。5）防火墙不能防范不断更新的攻击方式，防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。*5、防火墙技术：1）包过滤技术。2）应用网关技术。3）状态检测防火墙。4）电路级网关。5）代理服务器技术。6、堡垒主机：其得名于古代战争中用于防守的坚固

21、堡垒，它位于内部网络的最外层，像堡垒一样对内部网络进行保护。构建堡垒主机的要点：1）选择合适的操作系统。它需要可靠性好、支持性好、可配置性好。2）堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的网络上，最好它处于一个独立网络中，比如DMZ。3）堡垒主机提供的服务。堡垒主机需要提供内部网络访问Internet的服务，内部主机可以通过堡垒主机访问Internet，另外内部网络也需要向Internet提供服务。4）保护系统日志。作为一个安全性举足轻重的主机，堡垒主机必须有完善的日志系统，而且必须对系统日志进行保护。5）监测和备份。最简单的方式是把备份存储到与堡垒主机直接相连的磁带机上。7、防火

22、墙的发展趋势：1）高安全性和高效率。2）数据加密技术的使用，使合法访问更安全。3）混合使用包过滤技术、代理服务技术和其他一些新技术。4）IP协议的变化将对防火墙的建立与运行产生深刻的影响。5）分布式防火墙的应用。6）对数据包的全方位的检查。九、VPN1、VPN的概念：VPN是VirtualPrivateNetwork的缩写，是将物理分布在不同地点的网络通过共用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。2、VPN的类型：1）AccessVPN(远程访问VPN)、IntranetVPN(企业内部VPN)和ExtranetVPN(企业扩展VPN)。3、VPN的优点：1)降低成本。2）

23、易于扩展。3）保证安全。4、隧道技术通过对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。生成隧道的协议有两种：第二层隧道协议和第三层隧道协议。5、课本P181图9-8L2TP控制报文。要求能判断其类型。十、IPSec1、IPSec的概念：IPSec（IPSecurity）是一种由IETF设计的端到端的确保IP层通信安全的机制2、IPSec的功能：1）作为一个隧道协议实现了VPN通信。2）保证数据来源可靠。3）保证数据完整性。4）保证数据机密性。3、P188图10-1IPSec体系结构。*4、IPSec运行模式：1）IPSec传输模式。2）IPSec隧道模式。十一

24、、黑客技术1、黑客攻击的流程，见课本P208图11-1黑客攻击流程图。十二、漏洞扫描1、计算机漏洞的概念：计算机漏洞是系统的一组特性，恶意的主体（攻击者或者攻击程序）能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。2、存在漏洞的原因：1）软件或协议设计时的瑕疵。2）软件或协议实现中的弱点。3）软件本身的瑕疵。4）系统和网络的错误配置。3、漏洞检测所要寻找的漏洞主要包括以下几个类别：1）操作系统漏洞。2）应用服务器漏洞。3）配置漏洞。4、常用网络扫描工具：1）Netcat。2）网络主机扫描程序Nmap。3）SATAN。4）nessus。5）X-scan十三章、

25、入侵检测1、入侵检测的概念：入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象的一种机制。*2、基于主机的入侵检测系统：1）网络连接检测。2）主机文件检测。3、异常检测技术（基于行为的检测）的基本原理异常检测技术也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别在于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常

26、的行为轨迹，就可以被检测出来。4、误用检测技术入侵检测系统的基本原理：误用检测技术也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统就可以将当前捕获的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。5、异常检测技术和误用检测技术的比较：无论哪种入侵检测技术都需要搜集总结有关网络入侵行为的各种知识，或者系统及其用户的各种行为的知识。基于异常检测技术的入侵检测系统如果向检测到所有网络入侵行为，必须掌握被保护系统已知行为和预期行

27、为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断学习并更新已有的行为轮廓。对于基于误用检测技术的入侵检测系统而言，只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，而这种情况也不存在，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。在入侵系统配置方面，基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵系统所做的工作要少很多，因为异常检测需要对系统和用于的行为轮廓进行不断地学习更新，需要大量的数据分析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对

28、系统的已知和期望行为进行全面的分析，因此配置难度相对比较大。但是，有些基于误用检测技术的入侵系统允许管理人员对入侵特征数据库进行修改，甚至允许管理人员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作会显著增加。基于异常检测技术的入侵检测系统所输出的检测结果，通常是在对实际行为轮廓进行异常分析等相关处理后得出的，这类入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量，因为任何超过行为轮廓范围的时间都将被检测出来并写入报告。而大多数基于误用检测技术的入侵检测系统，是将当前行为模式与已有行为模式进行匹配后产生检测结论，其输出内容是列

29、举出入侵行为的类型和名称，以及提供相应的处理建议。6、入侵检测系统的优点：1）可以检测和分析系统事件以及用户的行为。2）可以检测系统设置的安全状态。3）以系统的安全状态为基础，跟踪任何对系统安全的修改操作。4）通过模式识别等技术从通信行为中检测出已知的攻击行为。5）可以对网络通信行为进行统计，并检测分析。6）管理操作系统认证和日志机制并对产生的数据进行分析处理。7）在检测到攻击的时候，通过适当的方式进行适当的报警处理。8）通过对分析引擎的配置对网络的安全进行评估和监督。9）允许非安全领域的管理人员对重要的安全时间进行有效的处理。7、入侵检测系统的局限性：1）入侵检测系统无法弥补安全防御系统中的

30、安全缺陷和漏洞。2）对于高负载的网络或主机，很难实现对网络入侵的实时检测、警报迅速地进行攻击响应。3）基于知识的入侵检测系统很难检测到未知的攻击行为，也就是说检测具有一定的滞后性，而对于已知的报警，一些没有明显特征的攻击行为也很难检测到，或需要付出提高误报警率的代价才能够正确检测。4）入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标，实现以入侵检测系统过敏自主防御为基础的攻击。5）入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。6）网络入侵系统在纯交互环境下无法正常工作，只有对交互环境进行一定的处理，利用镜像等技术，网

31、络入侵检测系统才能对镜像的数据进行分析处理。7、入侵检测系统主要是对网络行为进行分析检测，不能修正信息资源中存在的安全问题。十四、恶意代码与计算机病毒的防治#1、特洛伊木马：特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的。解释：1）：“有用的或必需的功能的程序”只是诱饵，就像典故里的特洛伊木马，表面看上去很美但实际上却暗藏杀机。2）“不为人知的功能”定义了其欺骗性，是危机所在之处，为几乎所有的特洛伊木马所必备的特点。3）“往往是有害的”定义了其恶意性，恶意企图包括：试图访问未授权资源（如盗取口令、个人隐私或企业机密）；试图组织正常访

32、问（如拒绝服务攻击）；试图更改或破坏数据和系统（如删除文件、创建后门）。2、蠕虫：计算机蠕虫是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，不会与其他特定程序混合。因此，与病毒感染特定目标程序不同，蠕虫干扰的是系统环境（如操作系统或邮件系统）。蠕虫利用一些网络工具复制和传播自身，包括：1）电子邮件。2）远程执行。3）远程登录。*3、计算机病毒的特征：1）传染性。2）隐蔽性。3）潜伏性。4）多态性。5）破坏性。*4、病毒检测技术：1）特征判定技术，主要有比较法、扫描法、校验和法和分析法。2）行为判定技术。5、病毒防治软件产品（杀软）：1）国外，VirusScan、NAV、Pandaguard。2）国内，KILL、KV、RAV、VRV。