網(wǎng)絡(luò)信息安全知識(shí)點(diǎn)

1、精品好資料學(xué)習(xí)推薦1.什么是信息安全為了防止未經(jīng)授權(quán)就對(duì)知識(shí)、實(shí)事、數(shù)據(jù)或能力進(jìn)行使用、濫用、修改、破壞、拒絕使用或使信息被非法系統(tǒng)辨識(shí)、控制而采取的措施。建立在網(wǎng)絡(luò)基礎(chǔ)之上的信息系統(tǒng)，其安全定位較為明確，那就是：保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。 2.安全隱患 a) 硬件的安全隱患；b) 操作系統(tǒng)安全隱患；c) 網(wǎng)絡(luò)協(xié)議的安全隱患；d) 數(shù)據(jù)庫(kù)系統(tǒng)安全隱患；e) 計(jì)算機(jī)病毒；f) 管理疏漏，內(nèi)部作案。3. 安全管理實(shí)施：風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)4. 信息安全技術(shù)典型地應(yīng)該包括以下幾個(gè)方面的內(nèi)容：物理安全技術(shù)

2、、系統(tǒng)安全技術(shù) 、網(wǎng)絡(luò)安全技術(shù)、應(yīng)用安全技術(shù) 、數(shù)據(jù)加密技術(shù) 、認(rèn)證授權(quán)技術(shù) 、訪問控制技術(shù) 、掃描評(píng)估技術(shù) 、審計(jì)跟蹤技術(shù) 、病毒防護(hù)技術(shù) 、備份恢復(fù)技術(shù) 、安全管理技術(shù) 5. 信息安全通常強(qiáng)調(diào)所謂CIA 三元組的目標(biāo)，即保密性、完整性和可用性。6.安全威脅：對(duì)安全的一種潛在的侵害。威脅的實(shí)施稱為攻擊。計(jì)算機(jī)系統(tǒng)安全面臨的威脅主要表現(xiàn)在三類： 泄漏信息：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏，信息在存儲(chǔ)介質(zhì)中丟失或泄漏。破壞信息：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正

3、常使用。 拒絕服務(wù)：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。 7.安全的體系結(jié)構(gòu)物理層的安全：物理層信息安全，主要防止物理通路的損壞、竊聽、干擾等。鏈路層的安全：鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層的安全：網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。操作系統(tǒng)的安全：操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)的安全：應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)

4、系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)的安全：應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目標(biāo)為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計(jì)等手段。網(wǎng)絡(luò)信息系統(tǒng)的安全體系包含：訪問控制：通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞：通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。攻擊監(jiān)控：通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，

5、可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，救護(hù)及緊急情況服務(wù)。 第二章1.密碼學(xué)是研究如何實(shí)現(xiàn)秘密通信的科學(xué)，包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)是對(duì)信息進(jìn)行編碼實(shí)現(xiàn)信息保密性的科學(xué)。密碼分析學(xué)是研究、分析、破譯密碼的科學(xué)。2. 加密算法的三個(gè)發(fā)展階段：經(jīng)典密碼

6、體制 對(duì)稱密鑰密碼（即：?jiǎn)舞€密碼體制） 公鑰密鑰密碼（即：雙鑰密碼體制）3.數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。4.數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。5.數(shù)據(jù)加密算法經(jīng)歷了以下三個(gè)階段。n 1）古典密碼：包括代換加密、置換加密。n 2）對(duì)稱密鑰密碼：包括DES和AES。n 3）公開密鑰密碼：包括RSA 、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal D_H等。6.計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效

7、方法之一。o 一般的數(shù)據(jù)加密可以在通信的三個(gè)層次來(lái)實(shí)現(xiàn)：鏈路加密、節(jié)點(diǎn)加密和端到端加密。7密碼學(xué)基本概念n 密文：明文經(jīng)過密碼變換后的消息。n 加密：由明文到密文的變換。n 解密：從密文恢復(fù)出明文的過程。n 破譯：非法接收者試圖從密文分析出明文的過程。n 加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則。n 解密算法：對(duì)密文進(jìn)行解密時(shí)采用的一組規(guī)則。n 密鑰：加密和解密時(shí)使用的一組秘密信息。8.分組密碼設(shè)計(jì)原理9.分組密碼的一般結(jié)構(gòu)一般有兩種：Feistel網(wǎng)絡(luò)結(jié)構(gòu) 由Feistel發(fā)明，被DES采用SP網(wǎng)絡(luò)結(jié)構(gòu)1）可逆函數(shù)S，置換作用P，是一種重要的結(jié)構(gòu)2）AES標(biāo)準(zhǔn)采用此結(jié)構(gòu)10.Feistel

8、結(jié)構(gòu)：每輪處理一半數(shù)據(jù)，加解密相似。SP 結(jié)構(gòu)（替代置換網(wǎng)絡(luò)）： 每輪處理整個(gè)分組數(shù)據(jù)，加解密不相似。SP結(jié)構(gòu)是Feistel結(jié)構(gòu)的推廣，結(jié)構(gòu)更加清晰，S 一般稱為混淆層，主要起混淆作用； P 一般稱為擴(kuò)散層，主要起擴(kuò)散作用。11.DES的結(jié)構(gòu)明文分組： 64 bit 密文分組： 64 bit密鑰：64 bit，其中8bit為校驗(yàn)位，實(shí)際 56 bit輪數(shù)： 16 輪（圈）加密函數(shù)： 直接異或，8個(gè) 6-4 S盒。第三章1.散列函數(shù)(又稱hash函數(shù)，雜湊函數(shù))是將任意長(zhǎng)度的輸入消息M映射成一個(gè)固定長(zhǎng)度散列值h的特殊函數(shù)：hH(M)其中M是變長(zhǎng)的輸入消息， hH(M)是定長(zhǎng)的散列值(或稱為消息

9、摘要)。散列函數(shù)H是公開的，散列值在信源處被附加在消息上，接收方通過重新計(jì)算散列值來(lái)確認(rèn)消息未被篡改。由于函數(shù)本身公開，傳送過程中對(duì)散列值需要另外的加密保護(hù)(如果沒有對(duì)散列值的保護(hù)，篡改者可以在修改消息的同時(shí)修改散列值，從而使散列值的認(rèn)證功能失效)2.散列函數(shù)要具有單向性，必須滿足如下特性：n 給定M，很容易計(jì)算h；n 給定h，根據(jù)H(M)=h，反推M很難；n 給定M，要找到另一個(gè)消息M，并滿足H(M)=H(M)是很難的。o 單向散死函數(shù)是從全體消息集合到一個(gè)肯有固定長(zhǎng)度的消息摘要的變換。o 帶密鑰的哈希函數(shù)可用于認(rèn)證、密鑰共享、軟件保護(hù)等方面。3.MD5 算法邏輯 輸入：任意長(zhǎng)度的消息；輸出

10、：128位消息摘要；處理：以512位輸入數(shù)據(jù)塊為單位4.SHA-1 算法邏輯輸入：最大長(zhǎng)度為264位的消息；輸出：160位消息摘要；處理：輸入以512位數(shù)據(jù)塊為單位處理 第四章1.公鑰密碼與對(duì)稱鑰密碼的比較：公鑰密碼：不需共享密鑰；理論基礎(chǔ)堅(jiān)實(shí)；產(chǎn)生數(shù)字簽名; 速度慢、密鑰長(zhǎng). 對(duì)稱鑰密碼：速度快，密鑰短，可作為基本單元構(gòu)建，各種密碼工具如偽隨機(jī)數(shù)產(chǎn)生器、Hash函數(shù)； 需要實(shí)現(xiàn)共享密鑰、密鑰管理困難；沒有可證明安全性；公鑰密碼有效的數(shù)字簽名和密鑰管理；少量數(shù)據(jù)的加密； 公鑰常用于加密對(duì)稱密鑰。這樣的系統(tǒng)稱為混合密碼系統(tǒng)。 對(duì)稱鑰密碼有效的大量數(shù)據(jù)加密和一些數(shù)據(jù)完整性應(yīng)用。 2.公鑰密碼體制概

11、念每個(gè)用戶都有一對(duì)預(yù)先選定的密鑰：一個(gè)是公鑰，以k1表示，另一個(gè)是私鑰，以k2表示，公鑰k1是公開的，任何人都可以得到，私鑰是其擁有者自己保存。3.非對(duì)稱密碼算法原理非對(duì)稱密鑰密碼，也稱公開密鑰密碼，由Diffie, Hellman 1976年提出 使用兩個(gè)密鑰，對(duì)于密鑰分配、數(shù)字簽名、認(rèn)證等有深遠(yuǎn)影響基于數(shù)學(xué)函數(shù)而不是代替和換位，密碼學(xué)歷史上唯一的一次真正的革命 每個(gè)通信實(shí)體有一對(duì)密鑰（公鑰，私鑰）。公鑰公開，用于加密和驗(yàn)證簽名，私鑰保密，用作解密和簽名4公鑰密碼系統(tǒng)的應(yīng)用n 三種用途：加密/解密：數(shù)字簽名：發(fā)送方用自己的私鑰簽署報(bào)文，接收方用對(duì)方的公鑰驗(yàn)證對(duì)方的簽名；密鑰交換：雙方協(xié)商會(huì)話

12、密鑰n 5.數(shù)字簽名(digital signature)是指利用數(shù)學(xué)方法及密碼算法對(duì)電子文檔進(jìn)行防偽造或防篡改處理的技術(shù)。就象日常工作中在紙介質(zhì)的文件上進(jìn)行簽名或按手印一樣，它證明了紙介質(zhì)上的內(nèi)容是簽名人認(rèn)可過的，可以防偽造或篡改。n 6.數(shù)字簽名的作用：保證信息完整性；提供信息發(fā)送者的身份認(rèn)證。n 7.與傳統(tǒng)簽名的區(qū)別：需要將簽名與消息綁定在一起。通常任何人都可驗(yàn)證。要考慮防止簽名的復(fù)制、重用。n 8.數(shù)字簽名(Digital Signature) 信息發(fā)送者使用公開密鑰算法技術(shù)，產(chǎn)生別人無(wú)法偽造的一段數(shù)字串。n 9.發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后

13、，就可確定消息來(lái)自于誰(shuí)，同時(shí)也是對(duì)發(fā)送者發(fā)送的信息的真實(shí)性的一個(gè)證明。發(fā)送者對(duì)所發(fā)信息不能抵賴n 10.數(shù)字簽名必須保證：可驗(yàn)證：簽字是可以被確認(rèn)的；防抵賴：發(fā)送者事后不承認(rèn)發(fā)送報(bào)文并簽名；防假冒：攻擊者冒充發(fā)送者向收方發(fā)送文件；防篡改：收方對(duì)收到的文件進(jìn)行篡改；防偽造：收方偽造對(duì)報(bào)文的簽名。簽名對(duì)安全、防偽、速度要求比加密更高。n 11.數(shù)字簽名的特性n 簽名是可信的：任何人都可以方便地驗(yàn)證簽名的有效性。n 簽名是不可偽造的：除了合法的簽名者之外，任何其他人偽造其簽名是困難的。這種困難性指實(shí)現(xiàn)時(shí)計(jì)算上是不可行的。n 簽名是不可復(fù)制的：對(duì)一個(gè)消息的簽名不能通過復(fù)制變?yōu)榱硪粋€(gè)消息的簽名。如果一個(gè)

14、消息的簽名是從別處復(fù)制的，則任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性，從而可以拒絕簽名的消息。通過增加時(shí)間戳實(shí)現(xiàn)。n 12.數(shù)字簽名的過程：n 假設(shè)A要發(fā)送一個(gè)電子文件給B。 n 1系統(tǒng)初始化：選擇簽名所需的算法、參數(shù)n 2. 產(chǎn)生簽名：A用其私鑰加密文件并發(fā)送給B ；n 3簽名驗(yàn)證：B用A的公鑰解開A送來(lái)的文件 n 簽名體制的構(gòu)成：簽名算法；驗(yàn)證算法n 13.簽名與加密n 簽名提供真實(shí)性(authentication) 先簽名,后加密n 加密提供保密性(confidentiality)先加密,后簽名:n “簽名+加密”提供“真實(shí)性+保密性”n 14.認(rèn)證與簽名的區(qū)別 認(rèn)證能驗(yàn)證消息來(lái)源及完整

15、性，防范第三者； 簽名在收發(fā)雙方產(chǎn)生利害沖突時(shí)，解決糾紛。第五章1.PKI (Pubic Key Infrastructure)的概念PKI是經(jīng)過多年研究形成的一套完整的Internet安全解決方案。它用公鑰技術(shù)和規(guī)范提供用于安全服務(wù)的具有普適性的基礎(chǔ)設(shè)施。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全通信。2.PKI系統(tǒng)由五個(gè)部分組成：認(rèn)證中心CA，注冊(cè)機(jī)構(gòu)RA、證書庫(kù)CR 、證書申請(qǐng)者、證書信任方。前三部分是PKI的核心，證書申請(qǐng)者和證書信任方則是利用PKI進(jìn)行網(wǎng)上交易的參與者。3.什么是數(shù)字證書：一段包括用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)，一個(gè)經(jīng)證書認(rèn)證中心（CA）簽名的包

16、括公鑰擁有者信息及公鑰信息的文件4.數(shù)字證書的作用1）網(wǎng)絡(luò)通信的身份證明，解決相互間信任問題2）用戶公鑰信息用戶數(shù)據(jù)加密，保證數(shù)據(jù)保密性、用戶身份的不可抵賴性5.CA：n 一個(gè)值得信賴的公正的第三方機(jī)構(gòu)，PKI的核心n 管理數(shù)字證書：證書簽發(fā)（把用戶的公鑰和用戶的其他信息捆綁在一起）等n 在網(wǎng)上驗(yàn)證用戶的身份 ：證書廢除列表管理等6.RA：n CA的組成部分，實(shí)現(xiàn)CA功能的一部分n CA面向用戶的窗口，接受用戶申請(qǐng)、審核用戶身份n 代表CA發(fā)放證書7.RS：n 管理所轄受理點(diǎn)的用戶資料、受理用戶證書業(yè)務(wù)、審核用戶身份、向受理中心或RA中心申請(qǐng)簽發(fā)證書和將RA中心或受理中心制作的證書介質(zhì)分發(fā)給用

17、戶 8.CA的作用n 權(quán)威、可信、第三方機(jī)構(gòu)，為認(rèn)證需求提供數(shù)字證書相關(guān)服務(wù)第六章1.實(shí)現(xiàn)信息隱藏的基本要求o 載體對(duì)象是正常的，不會(huì)引起懷疑o 偽裝對(duì)象與載體對(duì)象無(wú)法區(qū)分，無(wú)論從感觀上，還是從計(jì)算機(jī)的分析上o 安全性取決于第三方有沒有能力將載體對(duì)象和偽裝對(duì)象區(qū)別開來(lái)o 對(duì)偽裝對(duì)象的正常處理，不應(yīng)破壞隱藏的信息2.信息隱藏的應(yīng)用o 數(shù)據(jù)保密n 防止信息被截獲o 數(shù)據(jù)的不可抵賴性n 電子商務(wù)、數(shù)字水印技術(shù)o 數(shù)據(jù)的完整性n 防篡改o 數(shù)字作品的版權(quán)保護(hù)n 是數(shù)字水印技術(shù)的一種重要應(yīng)用o 防偽n 票據(jù)的防偽，數(shù)字票據(jù)可打印、可掃描3.數(shù)字水印是信息隱藏技術(shù)的重要分支數(shù)字水印是永久鑲嵌在其他數(shù)據(jù)（宿

18、主數(shù)據(jù)）中具有可鑒別性的數(shù)字信號(hào)或模式，并且不影響宿主數(shù)據(jù)的可用性4.數(shù)字水印不等同于信息隱藏，概念有區(qū)別n 數(shù)字水印注重水印，用于版權(quán)保護(hù)，可公開n 信息隱藏注重隱藏，不可見/不可察覺，要保密5.數(shù)字水印的應(yīng)用o 版權(quán)保護(hù)：表明對(duì)數(shù)字產(chǎn)品的所有權(quán)o 數(shù)字指紋：用于防止數(shù)字產(chǎn)品被非法復(fù)制和散發(fā)o 認(rèn)證和完整性校驗(yàn)：驗(yàn)證數(shù)字內(nèi)容未被修改或假冒 o 內(nèi)容標(biāo)識(shí)和隱藏標(biāo)識(shí)：多媒體內(nèi)容檢索o 使用控制：控制復(fù)制次數(shù) o 內(nèi)容保護(hù)：保護(hù)內(nèi)容不被濫用第七章1.認(rèn)證（Authentication）就是對(duì)于證據(jù)的辨認(rèn)、核實(shí)、鑒別，以建立某種信任關(guān)系。2.兩類認(rèn)證：報(bào)文認(rèn)證 身份認(rèn)證3.報(bào)文認(rèn)證，包括報(bào)文源、報(bào)文

19、內(nèi)容和報(bào)文時(shí)間性的認(rèn)證；4.身份認(rèn)證的概念：n 證實(shí)用戶的真實(shí)身份與其所聲稱的身份是否相符的過程n 包括：識(shí)別、驗(yàn)證5.身份認(rèn)證系統(tǒng)三部分：1）認(rèn)證服務(wù)器2）認(rèn)證系統(tǒng)用戶端3）認(rèn)證設(shè)備6.身份認(rèn)證協(xié)議：雙向、單向、其它協(xié)議（略）7.常見的身份認(rèn)證技術(shù)o 生物特征n 指紋、虹膜和視網(wǎng)膜、DNAo 零知識(shí)證明n 交互式、非交互式8.訪問控制（Access Control）是對(duì)信息系統(tǒng)資源的訪問范圍以及方式進(jìn)行限制的策略。簡(jiǎn)單地說，就是防止合法用戶的非法操作。9.訪問控制的三要素：主體和客體都是訪問控制系統(tǒng)中的實(shí)體。 主體是發(fā)出訪問請(qǐng)求的主動(dòng)方，通常是用戶或用戶進(jìn)程。 客體是被訪問的對(duì)象，通常是被調(diào)

20、用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對(duì)客體的訪問。 安全策略，就是對(duì)這些訪問進(jìn)行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全目的而采取的步驟進(jìn)行描述。 10.自主訪問控制配置的粒度小配置的工作量大，效率低11.強(qiáng)制訪問控制配置的粒度大缺乏靈活性第八章1.入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。2.入侵檢測(cè)是指“通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企

21、圖”（參見國(guó)標(biāo)GB/T18336）。3.入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持4.入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。5.進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，簡(jiǎn)稱IDS）。6.入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。7.入侵檢測(cè)（Intru

22、sion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉?lái)阻斷攻擊（與防火墻聯(lián)動(dòng)）。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 8.入侵檢測(cè)系統(tǒng)（IDS）由入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘

23、門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。IDS執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： 1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。 2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。 3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。 4）異常行為模式的統(tǒng)計(jì)分析。 5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 9.入侵的方法和手段p 端口掃描與漏洞攻擊p 密碼攻擊網(wǎng)絡(luò)監(jiān)聽拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊欺騙攻擊10.入侵檢測(cè)的實(shí)現(xiàn)方式 入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來(lái)源的不同，采用不用的實(shí)現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用?；谥鳈C(jī)的入

24、侵檢測(cè)系統(tǒng)（HIDS）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）混合型入侵檢測(cè)系統(tǒng)（Hybrid IDS）11.主機(jī)IDS： 運(yùn)行于被檢測(cè)的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。 安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動(dòng) 占用一定的系統(tǒng)資源12.主機(jī)IDS優(yōu)勢(shì)(1) 精確地判斷攻擊行為是否成功。(2) 監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況(3) 能夠檢測(cè)到NIDS無(wú)法檢測(cè)的攻擊(4) 適用加密的和交換的環(huán)境。(5) 不需要額外的硬件設(shè)備。13.主機(jī)IDS的劣勢(shì)(1) 對(duì)被保護(hù)主機(jī)的影響。(2) 安全性受到宿主操作系統(tǒng)的限制。(3

25、) 數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。(4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。(5) 維護(hù)/升級(jí)不方便。14.網(wǎng)絡(luò)IDS： 網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備(或一個(gè)專用主機(jī))，通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中的非法使用者信息。 安裝在被保護(hù)的網(wǎng)段中分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)15. 網(wǎng)絡(luò)IDS優(yōu)勢(shì)(1) 實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為；(2) 網(wǎng)絡(luò)IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；(3) 網(wǎng)絡(luò)IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，因此其本身的安全性高；(4) 既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析

26、取證；(5) 通過與防火墻的聯(lián)動(dòng)，不但可以對(duì)攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。(6)不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)16.網(wǎng)絡(luò)IDS的劣勢(shì)(1)不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)(3) 資源及處理能力局限(4) 系統(tǒng)相關(guān)的脆弱性17.目前入侵檢測(cè)方法有三種分類依據(jù)：n 1、根據(jù)物理位置進(jìn)行分類。n 2、根據(jù)建模方法進(jìn)行分類。n 3、根據(jù)時(shí)間分析進(jìn)行分類。常用的方法有三種：靜態(tài)配置分析、異常性檢測(cè)方法和基于行為的檢測(cè)方法。18.入侵檢測(cè)系統(tǒng)的作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測(cè)的三個(gè)基本步驟：n 信息收集

27、n 數(shù)據(jù)分析n 響應(yīng)19.入侵檢測(cè)方法o 特征檢測(cè)o 統(tǒng)計(jì)檢測(cè)n 操作模型n 方差模型n 多元模型n 馬爾可夫過程模型n 時(shí)間序列分析模型o 專家系統(tǒng)20.入侵檢測(cè)的分類o 按系統(tǒng)分析的數(shù)據(jù)源分類n 基于主機(jī)、基于網(wǎng)絡(luò)、混合式o 按體系結(jié)構(gòu)分類n 集中式、層次式、分布式o 按分析方法分類n 異常、誤用(漏報(bào)率?，誤報(bào)率? )o 按響應(yīng)方式分類n 主動(dòng)的、被動(dòng)的21.CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)（IDS）的通用模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：n 事件產(chǎn)生器（Eventgenerators），用E盒表示；n 事件分析器（Eventanalyzers），用A盒表示；n 響應(yīng)單元（Respo

28、nseunits），用R盒表示；n 事件數(shù)據(jù)庫(kù)（Eventdatabases），用D盒表示。第九章1.防火墻一般是指在兩個(gè)網(wǎng)絡(luò)間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，是架設(shè)在用戶內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間的屏障，提供兩個(gè)網(wǎng)絡(luò)之間的單點(diǎn)防御，對(duì)其中的一個(gè)網(wǎng)絡(luò)提供安全保護(hù)。 2.從軟、硬件形式上可以把防火墻分為如下3類：l 軟件防火墻l 硬件防火墻l 芯片級(jí)防火墻3.按照防火墻在網(wǎng)絡(luò)協(xié)議棧進(jìn)行過濾的層次不同，可以把防火墻分為如下3類：l 包過濾防火墻，工作在網(wǎng)絡(luò)層l 電路級(jí)網(wǎng)關(guān)防火墻，工作在會(huì)話層l 應(yīng)用層網(wǎng)關(guān)防火墻，代理服務(wù)器型4.按照防火墻在網(wǎng)絡(luò)中的應(yīng)用部署位置，可以將防火墻分為如下3類：l 邊界

29、防火墻l 個(gè)人防火墻l 混合防火墻5.防火墻的功能（1）Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來(lái)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。（2）在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。（3）防火墻可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的邏輯地址。（4）防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。（5）防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。6.防火墻的設(shè)計(jì)原則（1）防火墻的安全策略 拒絕沒有特別允許的任何事情（No規(guī)則） 假定防火墻應(yīng)該阻塞所有的信息，只允許符合開放規(guī)則的信息進(jìn)出。 允許沒有特別拒絕的任何事情（Yes規(guī)則）假定防火墻只禁止符合屏蔽規(guī)則的信息，而轉(zhuǎn)發(fā)所有其他的信息。第

30、十章1.網(wǎng)絡(luò)掃描被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞2.安全漏洞類型1）配置漏洞 配置漏洞是由于軟件的默認(rèn)配置或者不恰當(dāng)?shù)呐渲脤?dǎo)致的安全漏洞。 （2）設(shè)計(jì)漏洞 設(shè)計(jì)漏洞主要指軟件、硬件和固件設(shè)計(jì)方面的安全漏洞。（3）實(shí)現(xiàn)漏洞實(shí)現(xiàn)漏洞主要由軟件、硬件和固件的實(shí)現(xiàn)錯(cuò)誤引起的安全漏洞。如緩沖區(qū)溢出漏洞。3.兩類漏洞掃描技術(shù) 主機(jī)漏洞掃描：從系統(tǒng)管理員的角度，檢查文件系統(tǒng)的權(quán)限設(shè)置、系統(tǒng)文件配置等主機(jī)系統(tǒng)的平臺(tái)安全以及基于此平臺(tái)的應(yīng)用系

31、統(tǒng)的安全，目的是增強(qiáng)主機(jī)系統(tǒng)的安全性。 網(wǎng)絡(luò)掃描：采用模擬黑客攻擊的形式對(duì)系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)以及相關(guān)的協(xié)議等目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全的整體水平提供重要依據(jù)。第十一章1.安全協(xié)議概述o 安全協(xié)議（Security protocol，又稱密碼協(xié)議，Cryptographic protocol）。安全協(xié)議是建立在密碼體制基礎(chǔ)上的一種交互通信協(xié)議，它運(yùn)用密碼算法和協(xié)議邏輯來(lái)實(shí)現(xiàn)認(rèn)證和密鑰分配等目標(biāo)。o 安全協(xié)議可用于保障計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中信息的秘密安全傳遞與處理，確保網(wǎng)絡(luò)用戶能夠安全、方便、透明地使用系統(tǒng)中

32、的密碼資源。o 目前，安全協(xié)議在金融系統(tǒng)、商務(wù)系統(tǒng)、政務(wù)系統(tǒng)、軍事系統(tǒng)和社會(huì)生活中的應(yīng)用日益普遍。2.幾種常見安全協(xié)議簡(jiǎn)介o IPSec協(xié)議網(wǎng)絡(luò)層o IPSec (IP Security)協(xié)議是一種協(xié)議套件，它定義了主機(jī)和網(wǎng)關(guān)所提供的各種能力。IPSec協(xié)議是一種包容極廣、功能極強(qiáng)的IP安全協(xié)議，但它在定址能力上比較薄弱。 o SSL協(xié)議傳輸層o SSL協(xié)議(Secure Socket Layer)是網(wǎng)景公司推出的會(huì)話層安全協(xié)議，用來(lái)保證客戶端和服務(wù)器之間通信的保密性、可信性與身份認(rèn)證。o SET協(xié)議應(yīng)用層SET協(xié)議(Secure Electronic Transaction)是Visa、Ma

33、sterCard兩大信用卡公司以及IBM等公司共同推出的“安全電子交易”協(xié)議。 SET協(xié)議試圖提供一種網(wǎng)絡(luò)在線支付的安全手段3.IPSec保護(hù)涉及的主要組件o 安全協(xié)議o 安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (Security associations database, SAD)o 密鑰管理o 安全機(jī)制o 安全策略數(shù)據(jù)庫(kù) (Security policy database, SPD)4.IPSec協(xié)議簇中的兩個(gè)重要安全協(xié)議 o AH協(xié)議和ESP協(xié)議o AH協(xié)議（Authentication Header，驗(yàn)證頭）：可以證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重播。o ESP協(xié)議（Encapsulating Security Payload，封裝安全載荷）：具有所有AH的功能，還可以利用加密技術(shù)保障數(shù)據(jù)機(jī)密性。o 雖然AH和ESP都可以提供身份認(rèn)證，但它們有2點(diǎn)區(qū)別：o ESP要求使用高強(qiáng)度的加密算法，會(huì)受到許多限制。o 多數(shù)情況下，使用AH的認(rèn)證服務(wù)已能滿足要求，相對(duì)來(lái)說，