信息安全复习资料hsd.docx

1、信息安全复习资料hsd第一章 网络安全概述1.1信息安全背景1.1.2 信息安全事件类型经常有网站遭受黑客攻击用户数据的泄漏网络攻击事件与日俱增网络病毒在全球范围内迅速扩散手机病毒来势汹汹黑客攻击技术与网络病毒日趋融合企业内部的网络攻击1.1.3信息安全问题的严重性 信息安全隐患到处存在 信息安全问题造成的巨大损失1.2 信息安全威胁与弱点(大题)计算机网络所面临的威胁包括对网络中信息的威胁和对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；还可能是外来黑客对网络系统资源的非法使用等。 网络安全威胁：物理威胁；系统漏洞；身份鉴别

2、威胁；线缆连接威胁；有害程序物理风险： 设备防盗，防毁； 链路老化，人为破坏，被动物咬断等； 网络设备自身故障； 停电导致网设备无法工作； 机房电磁辐射； 其他。网络风险： 安全拓扑；安全路由；其他。系统风险：信息风险： 信息存储安全；信息传输安全；信息访问安全；其他。应用风险： 身份鉴别；访问授权；机密性；完整性；不可否认性；可用性。管理风险： 是否制定了健全、完善的信息安全制度； 是否成立了专门的机构来规范和管理信息安全。其他风险： 计算机病毒； 黑客攻击； 误操作导致数据被删除、修改等； 其他没有想到的风险。网络安全性风险主要有四种基本的安全威胁：信息泄露、完整性破坏、拒绝服务、非法使用

3、。主要的可实现的威胁包括：渗入威胁，如假冒、旁路、授权侵犯；植入威胁，如特洛伊木马、陷门。目前，计算机互联网络面临的安全性威胁表现形式主要有以下几个方面。1.2.2 信息系统的弱点（大题）常见的漏洞类型： 网络协议的安全漏洞； 操作系统的安全漏洞； 应用程序的安全漏洞从信息处理过程看信息系统的弱点：信息在整个生命周期过程中都存在着相应的弱点，这些弱点往往被黑客或者内部攻击者加以利用，从而造成信息安全事件信息存储安全：指信息在静态存储状态下的安全。 数据丢失 数据无法访问信息传输安全：指信息在动态传输过程中的安全。信息访问安全：指信息是否会被非授权调用。弱点：信息被非法访问。1.3 信息安全的定

4、义（掌握）信息安全（InfoSec， Information Security）： 就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。计算机网络安全：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性1.网络拓扑 1.3.1 信息安全属性 （知道明白记住）网络的安全属性主要表现在以下几个方面： 保密性（Secrecy）：信息不泄露给非授权的用户、实体或进程。 完整性（Integrity）：信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性（Available）：可被授权实体

5、访问并按需求使用的特性。 真实性（Authenticity）（认证性、不可抵赖性）：在信息交互过程中，确信参与者的真实同一性，所有参与者都不能否认和抵赖曾经完成的操作和承诺。 可控性（Controllable）：对信息的传播路径、范围及其内容所具有的控制能力。1.4.2 信息安全方案设计基本原则（掌握） 木桶原则“木桶效应”原本是一个经济学术语，说对于一个沿口不齐的木桶来说，它盛水的多少，不在于木桶上那块最长的木板，而在于木桶上最短的那块木板。 多重保护原则 注重安全层次和安全级别 动态化原则 预防为主原则第二章 计算机网络基础2.1 计算机网络的分层结构2.1.1 OSI的七层模型及各层的主

6、要功能 （知道OSI模型七层以及TCP/IP对应关系以及每层包含的协议要求掌握）应用层的主要功能: 在用户程序和网络间提供接口表示层的主要功能： 用于处理在两个通信系统中交换信息的表示方式，将机器特有格式转为国际标准格式； 数据格式变换； 数据加密与解密； 数据压缩与恢复。会话层的主要功能： 负责维护两个结点之间的传输链接，以便确保点到点传输不中断，同步会话； 管理数据交换。 类似于电话系统间自动拨号连接。传输层的主要功能： 向用户提供可靠端到端（end-to-end）服务； 处理数据包错误、数据包次序，以及其他一些关键传输问题，防止数据丢失； 确保数据到达正确的目的地。网络层的主要功能： 通

7、过路由选择算法为分组通过通信子网选择最适当的路径； 为数据在结点之间传输创建逻辑链路； 实现拥塞控制、网络互连等功能。数据链路层的主要功能： 在物理层提供的服务基础上，数据链路层在 通信的实体间建立数据链路连接； 传输以“帧”为单位的数据包； 采用差错控制与流量控制方法，使有差错的 物理线路变成无差错的数据链路。 物理层的主要功能： 在网络与计算机设备间建立真实的物理连接 （电缆连接）； 实现比特流的透明传输，为数据链路层提供数 据传输服务； 物理层的数据传输单元是比特。2.1.2 TCP/IP 协议栈TCP/IP 参考模型与 OSI 参考模型的对应关系主机-网络层（物理层和链路层） 参考模型

8、的最低层，负责通过网络发送和接收IP数据报;安全威胁： 搭线窃听、监听、物理线路破坏保护措施： 加密、数据标签、流量填充互联层 用来处理计算机之间的通信问题。 具体工作： 把分组封装到IP数据报中，填入首部（报头），使用路由算法选择路径。 处理接收的数据报，校验正确性。 适时发出ICMP的差错和控制报文，并处理接收到的ICMP报文。四个互联协议及安全威胁： 网际协议IP IP欺骗 地址解析协议ARPARP欺骗（演示） 网际控制消息协议ICMP：发送消息，报告错误 互联组管理协议IGMP传输层 基本任务：提供应用程序间的通信服务。 主要功能: 在互连网中源主机与目的主机的对等实体间建立用于会话的

9、端-端通信。 系统管理信息的流动，提供可靠的传输服务，确保数据无差错、无乱序到达。 办法：根据应用程序对数据流划分为小块（分组），将分组连同目的地址传给下一层。提供可靠传输的办法： 根据应用程序将数据流划分为小块（分组），将分组连同目的地址传给下一层。 对每个分组附加信息： 包括标识码（发送程序、接收的应用程序）和校验和。 协议： 传输控制协议TCP是一种可靠的面向连接协议； 用户数据报协议UDP是一种不可靠的无连接协议。 安全威胁： TCP：SYN FLOOD； TCP包头标记：SYN 、FIN、ACK（演示26）应用层 用户调用应用程序访问TCP/IP互联网络。 与各运输层协议协调工作的应

10、用程序负责接收和发送数据。 各应用程序选择适当的运输服务类型（报文或连续字节流）。 按运输层格式要求组织向下层传送。应用层协议主要有： 网络终端协议Telnet 文件传输协议FTP 简单邮件传输协议SMTP 域名系统DNS 简单网络管理协议SNMP 超文本传输协议HTTP第三章 黑客3.3 基于协议的攻击手法与防范重点介绍以下几种（掌握）：ARP协议漏洞攻击ICMP协议漏洞攻击TCP协议漏洞攻击各种协议明文传输攻击3.3.1 ARP协议漏洞漏洞描述：ARP协议（地址解析协议）工作在TCP/IP协议的第二层数据链路层，用于将IP地址转换为网络接口的硬件地址（MAC地址），无论是任何高层协议的通讯

11、，最终都将转换为数据链路层硬件地址的通讯。漏洞描述：每台主机的内存中，都有一个ARPMAC的转换表，保存最近获得的IP与MAC地址对应。ARP转换表可以被攻击者人为地更改欺骗，可以针对交换式及共享式进行攻击攻击实现攻击实现的具体步骤（知道怎么样的步骤必须掌握）（1）利用工具，进行拒绝式服务攻击（Ar free），让主机C宕掉，暂时停止工作。（2）这段时间里，入侵者把自己的IP改成192.168.0.2。（3）用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。（4）主机更新了ARP表中关于主机C的IP-M

12、AC对应关系。（5）防火墙失效了，入侵的IP变成合法的MAC地址，可以Telnet了。ARP欺骗防范：（1）不要把你的网络安全信息关系建立在IP地址的基础上或硬件MAC地址基础上（RARP同样存在欺骗问题），较为理想的信任关系应该建立在IP+MAC基础上（2）设置在本机和网关设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。除非很有必要，否侧停止使用ARP，将ARP作为永久条目保存在对应表中。 (3)禁用ARP协议 (4)在本机使用ARP，发送外出信息使用代理网关(5)拒收ICMP重定向报文3.3.2 ICMP协议漏洞 漏洞描述ICMP是“Inter

13、net Control Message Protocol”（Internet控制消息协议）的缩写，是传输层的重要协议。它是TCP/IP协议簇的一个子协议，用于IP主机、路由之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。所以许多系统和防火墙并不会拦截ICMP报文，这给攻击者带来可乘之机。攻击实现ICMP转向连接攻击ICMP数据包放大死ping 攻击ICMP Ping 淹没攻击ICMP nuke 攻击通过ICMP进行攻击信息收集 LINUX TTL=64 windows95/98/Me TTL=32 windows2000/NT TTL=1283.3.3 T

14、CP协议漏洞（重点）（必须掌握三次握手就是：掌握图）漏洞描述 TCP（传输控制协议）是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。TCP协议是攻击者攻击方法的思想源泉，主要问题存在于TCP的三次握手协议上。正常的TCP三次握手过程： （1）请求端A发送一个初始序号为ISNa的SYN报文（2）被请求端B收到A的SYN报文后，发送给A自己的初始序列号为ISNb，同时将ISNa+1作为确认SYN+ACK报文（3）A对SYN+ACK报文进行确认，同时将ISNa+1，ISNb+1发送给B，TCP连接完成。 黑客机器向受害主机发送大量伪造源地址的TCP SYN报

15、文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。半连接队列很快就会填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。防御方法（一）通过防火墙、路由器等过滤网关防护（二）通过加固TCP/IP协议栈防范3.3.4 其他协议明文传输漏洞漏洞描述TCP/IP协议数据流采用明文传输，是网络安全的一大隐患，目前所使用的Ftp、http、pop和telnet服务在本质上都是不安全的，因为他们在网络上用明文传送口令和数据，攻击者可以很容易地通过嗅探等方式获取这些口令和数据。攻击实现网络抓包工具很多。黑客经常使用该工具来修改网络

16、发送和接受数据，协助完成很多网页脚本的入侵工作。例：使用Winsock Expert 获取Sina网站的邮箱 用户名及密码信息。第四章 访问控制与防火墙4.1 网络防火墙的基本概念 防火墙是一种高级访问控制设备，是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合，是不同网络安全域间通信流的通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。（定义知道掌握） 它是网络的第一道防线，也是当前防止网络系统被人恶意破坏的一个主要网络安全设备。 它本质上是一种保护装置，在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层，并在此接受检查和连接，

17、只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。防火墙设计目标:内部和外部之间的所有网络数据流必须经过防火墙；只有符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击； 防火墙 = 硬件 + 软件 + 控制策略防火墙的主要技术防火墙的主要技术种类 应用层代理技术 (Application Proxy);包过滤技术 (Packet Filtering)4.2.1包过滤技术的基本概念（概念记住其余了解）包过滤技术指在网络中适当的位置对数据包有选择的通过，选择的依据是系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则从数据

18、流中删除。包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤路由器，是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。 包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。包过滤技术具有以下优点： 用户透明； 传输性能高； 实现简单，成本较低。同样，包过滤技术也存在着以下几方面的不足： 该技术是安防强度最弱的防火墙技术； 虽然有一些维护工具，但维护起来十分困难； IP包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息 只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对

19、外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗； 如果外部用户被允许访问内部主机，则他就可以直接访问内部网络上的任何主机。4.2.2状态包检测技术 状态包检测技术是包过滤技术的延伸，常被称为“动态包过滤”，是一种与包过滤相类似但更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。 状态包检测技术有以下主要特点： a.高安全性：工作在数据链路层和网络层之间，确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较

20、低层，但可以监视所有应用层的数据包，从中提取有用的信息，安全性得到较大提高。 b.高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。 c.可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的规则，而无需另外写代码，因而具有很好的可伸缩和易扩展。 d.应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。4.2.3 代理服务技术 代理(Proxy)服务技术又称为应用层网关(Applicationgateway)技术，是运行于内部网络与外部网络之间的主机(堡

21、垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器将代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。4.3 防火墙的功能（掌握四点）利用防火墙保护内部网主要有以下几个主要功能：1.控制对网点的访问和封锁网点信息的泄露 防火墙可看作检查点，所有进出的信息都必须穿过它，为网络安全起把关作用，有效地阻挡外来的攻击，对进出的数据进行监视，只允许授权的通信通过；保护网络中脆弱的服务。2.能限制被保护子网的泄露 为防止影响一个网段的问题穿过整个网络传播，防火墙可隔

22、离网络的一个网段和另一个网段，从而限制了局部网络安全问题对整个网络的影响。3.具有审计作用 防火墙能有效地记录Internet网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。4.能强制安全策略 Internt网上的许多服务是不安全的，防火墙是这些服务的“交通警察”，它执行站点的安全策略，仅仅允许“认可”和符合规则的服务通过。此外，防火墙还具有其他一些优点，如：监视网络的安全并产生报警；保密性好，强化私有权；提供加密和解密及便于网络实施密钥管理的能力。4.4防火墙的不足 虽然网络防火墙在网络安全中起着不可替代的作用，但它不是万能的，有

23、其自身的弱点，主要表现在：1.防火墙不能防备病毒 2.防火墙对不通过它的连接无能为力 3.防火墙不能防备内部人员的攻击 目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以，如果入侵者来自防火墙的内部，防火墙则无能为力。4.限制有用的网络服务 防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性，所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。防火墙不能防备新的网络安全问题 防火墙是一种被动式的防护手段，只能对现在已知的网络威胁起作用。随着网络攻

24、击手段的不断更新和新的网络应用的出现，不可能靠一次性的防火墙设置来解决永远的网络安全问题。4.5 防火墙的体系结构防火墙可以设置成许多不同的结构，并提供不同级别的安全，而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构：筛选路由器、双网主机式体系结构屏蔽主机式体系结构和屏蔽子网式体系结构。（结构知道以及特点）概念解释：堡垒主机：高度暴露于Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者，把敌人的火力吸引到自己身上，从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则，把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其他主机

25、的安全。堡垒主机必须有严格的安防系统，因其最容易遭到攻击。屏蔽主机：被放置到屏蔽路由器后面网络上的主机称为屏蔽主机，该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网：位于屏蔽路由器后面的子网，子网能被访问的程度取决于路由器的屏蔽规则。1.筛选路由式体系结构这种体系结构极为简单，路由器作为内部网和外部网的唯一过滤设备。2.双网主机式体系结构这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡，分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信，防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。另

26、外，使用此结构，必须关闭双网主机上的路由分配功能，这样就不会通过软件把两个网络连接在一起了。3.屏蔽主机式体系结构（好好看 出图）此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡垒主机位于内部网络，屏蔽路由器联接Internet和内部网络，构成防火墙的第一道防线。屏蔽路由器必须进行适当的配置，使所有外部到内部的连接都路由到了堡垒主机上，并且实现外部到内部的主动连接。此类型防火墙的安全级别较高，因为它实现了网络层安全(屏蔽路由器包过滤)和应用层安全(堡垒主机代理服务)。入侵者在破坏内部网络的

27、安全性之前，必须首先渗透两种不同的安全系统。 即使入侵了内部网络，也必须和堡垒主机相竞争，而堡垒主机是安全性很高的机器，主机上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地。此类型防火墙中屏蔽路由器的配置十分重要，如果路由表遭到破坏，则数据包不会路由到堡垒主机上，使堡垒主机被越过。4.屏蔽子网(ScreenedSubNet)式体系结构（好好看出图）这种体系结构本质上与屏蔽主机体系结构一样，但是增加了一层保护体系周边网络，而堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。由前可知，当堡垒主机被人侵之后，整个内部网络就处于危险之中，堡垒主机是最易受侵袭的，虽然其很坚固，

28、不易被入侵者控制，但万一被控制，仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构，入侵者将不能直接侵袭内部网络，因为内部网络受到了内部屏蔽路由器的保护。4.6 防火墙的构筑原则构筑防火墙主要从以下几个方面考虑： 体系结构的设计； 安全策略的制订； 安全策略的实施。第五章 入侵检测系统5.1 入侵检测系统的概念 5.1.1 什么是入侵检测系统（了解不足在哪里主要看不足）入侵检测系统(Intrusiondetetionsystem，简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成分，

29、入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统，例如防火墙;识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体

30、系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。不同于防火墙，IDS是一个监听设备。在实际的使用中，一般位于内部网的入口处，安装在防火墙的后面，采by-pass（旁路）方式来侦听网络上的数据流。IDS在交换式网络中的位置： 尽可能靠近攻击源； 尽可能靠近受保护资源。 即：服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上。5.1.2 入侵检测系统的特点 a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”，就不要考虑使用。 e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，IDS必须能适应这种变化。 f.判断准确。相当强的坚固性，防止被篡改而收集到错误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。5.2 入侵检测的主要技术一入侵分析技术入侵分析技术主要有三大类：签名、统计及数据完整性。5.2.1 签名分析法 签名分析法主要用来检测有无