網絡安全學習筆記

1、學習好資料歡迎下載計算機網絡的不安全因素：一般來說，計算機網絡本身的脆弱性和通信設施的脆弱性共同構成了計算機網絡的潛在威脅。一方面，計算機網絡的硬件和通信設施極易遭受自然環(huán)境的影響，以及自然災害和人為的物理破壞；另一方面，計算機網絡的軟件資源和數據信息易 受到非法的竊取、復制、篡改和毀壞；再有，計算機網絡硬件的自然 損耗和自然失效，以及軟件的邏輯錯誤，同樣會影響系統(tǒng)的正常工作， 造成計算機網絡系統(tǒng)內信息的損壞、丟失和安全事故。不安全的因素：偶發(fā)因素、自然災害、人為因素。人為因素又分 為被動攻擊、主動攻擊、鄰近攻擊、內部人員攻擊?；ヂ摼W的不安全性：互聯網是開放的、國際的、自由性的網絡。計算機網絡

2、安全，廣義上說是凡是涉及網絡上信息的保密性、完 整性、可用性、不可否認性和可控性的相關技術和理論都是網絡安全 的研究領域；具體上來說是指利用管理控制和技術措施， 保證在一個 網絡環(huán)境里，信息數據的機密性、完整性及可使用性受到保護。計算機網絡安全的目標：保密性、完整性、可用性、不可否認性、 可控性。OSI安全體系結構中定義了五大類安全服務，也稱為安全防護措 施，分別為鑒別服務、訪問控制服務、數據機密性服務、數據完整性 服務、抗抵賴性服務。PPDR模型具體內容是安全策略(Policy)、保護(Protection)、檢 測(Detection)和響應(Response)。學習好資料歡迎下載網絡安全

3、技術可從以下幾個方面來分析：一、 物理安全措施：環(huán) 境安全、設備安全、媒體安全。二、數據傳輸安全技術：通常采用的 是數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。數據傳輸 加密技術可從三個不同的層次來分別，分別是鏈路加密、節(jié)點加密、 端到端加密。一般常用的是鏈路加密和端到端加密。 防抵賴技術常用 的方法是數字簽名。三、訪問控制技術：受托者指派和繼承權限屏蔽 是實現這種技術的兩種方式。四、 防病毒技術包括預防病毒、檢測病 毒、消除病毒。網絡安全威脅和攻擊機制的發(fā)展趨勢：一、與INTERNET更加緊 密地結合，利用一切可以利用的方式進行傳播。二、所有的病毒都具 有混合型特征，集文件傳染、蠕蟲、

4、木馬和黑客程序的特點于一身， 破壞性大大增強。三、其擴散極快，而更加注重欺騙性。四、利用系 統(tǒng)漏洞將成為病毒有力的傳播方式。五、無疑網絡技術的發(fā)展，使遠 程網絡攻擊的可能性加大。六、各種境外情報、諜報人員將越來越多 地通過信息網絡渠道收集情報和竊取資料。七、各種病毒、蠕蟲和后 門技術越來越智能化，并出現整合趨勢，形成混合性威脅。八、各種 攻擊技術的隱秘性增強，常規(guī)防范手段難以識別。九、分布式計算技 術用于攻擊的趨勢增強，威脅高強度密碼的安全性。十、一些政府部 門的超級計算機資源將成為攻擊者利用的跳板。 十一、網絡管理安全 問題日益突出。要確保計算機網絡的安全，就必須依靠先進的技術、嚴格的管理、

5、學習好資料歡迎下載配套的法律。物理安全主要包括以下幾個方面：機房環(huán)境安全、通信線路安全、設備安全、電源安全。計算機機房安全技術措施主要包括防盜報警、實時監(jiān)控、安全門 禁等。計算機機房的安全等級 分為A類、B類、C類三個等級。通信線路安全的實現技術：電纜加壓技術。電磁干擾可以通過兩個途徑來影響電子設備的工作。一條是電子設備輻射的電磁波通過電路耦合到另一臺電子設備中引起干擾；一條是通過連接的導線、電源線、信號線等耦合而引起相互之間的干擾。其防護措施：屏蔽、隔離、濾波、吸波及接地等，其中屏蔽是應用最 多的方法。密碼學的發(fā)展大致經歷了三個階段：古代加密方法、古典密碼、 近代密碼。密碼體制從原理上可分為

6、兩大類： 單鑰或對稱密碼體制和 雙鑰或 非對稱密碼體制。單鑰密碼體制的算法有DES算法，它的優(yōu)點是加 密、解密處理速度快、保密度高等，其缺點主要是密鑰是保密通信安 全的關鍵，發(fā)信方必須安全、妥善地把密鑰護送到收信方，不能泄露 其內容；多人通信時密鑰組合的數量會出現爆炸性膨脹， 使密鑰分發(fā) 更加復雜化；通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息；還存在學習好資料歡迎下載數字簽名困難問題。雙密鑰體制的優(yōu)點是可以公開加密密鑰，適應網 絡的開放性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡單， 還可以用于數字簽名等新功能。缺點是算法比較復雜，加解密速度慢， 典型的算法是RSA密碼體制。加密算法就其發(fā)

7、展經歷了三個階段：古典密碼、對稱密鑰密碼和 公開密鑰密碼。按加密模式來分，對稱算法又分為序列密碼和分組密 碼。常見的網絡數據加密方式 主要有鏈路加密、節(jié)點加密、端到端加 密。鏈路加密是對網絡中兩個相鄰節(jié)點之間傳輸的數據進行加密保 護；節(jié)點加密是指在信息傳輸路過的節(jié)點處進行解密和加密；端到端加密是指對一對用戶之間的數據連續(xù)地提供保護。認證的目的有三個：一是消息完整性認證；二是身份認證；三是消息的序號和操作時間等的認證。認證技術可以分為三個別層次：安全管理協議、認證體制、密碼體制。數字簽名是一種實現消息完整性認證和身份認證的重要技術。身份認證的目的是驗證信息收發(fā)方是否持有合法的身份認證符，可分為直

8、接身份認證和間接身份認證。PKI （公開密鑰基礎設施）是一個用公鑰密碼算法原理和技術來提 供安全服務的通用型基礎平臺，用戶可利用PKI平臺提供的安全服務學習好資料歡迎下載進行安全通信，它主要包括認證機構 CA、證書庫、密鑰備份、證書 作廢處理系統(tǒng)和PKI應用接口系統(tǒng)等。CA是PKI的核心。PKI的特點：一是節(jié)省費用；二是互操作性；三是開放性；四是 一致的解決方案；五是可驗證性；六是可選擇性。防火墻是一種將內部網絡和外部網絡分開的方法，是提供信息安 全服務、實現網絡和信息系統(tǒng)安全的重要基礎設施，主要用于限制被 保護的內部網絡與外部網絡之間進行的信息存取及信息傳遞等操作。防火墻的功能：過濾進、出網

9、絡的數據；管理進、出網絡的訪問 行為；封堵某些禁止的業(yè)務；記錄通過防火墻的信息內容和活動；對 網絡攻擊的檢測和告警。對網絡攻擊檢測和告警的體現：一是控制不安全的服務；二是站 點訪問控制；三是集中安全服務；四是強化私有權；五是網絡連接的 日志記錄及使用統(tǒng)計。防火墻的局限性：一是網絡的安全性通常是以網絡服務的開放性 和靈活性為代價；二是防火墻只是整個網絡安全防護體系的一部分， 而且防火墻并非萬無一失。防火墻的體系結構：雙重宿主主機體系結構、屏蔽主機體系結構、屏蔽子網體系結構。從工作原理角度看，防火墻主要可以分為網絡層防火墻和應用層 防火墻，它們的實現技術主要有包過濾技術、代理服務技術、狀態(tài)檢 測技

10、術和NAT技術等。包過濾技術工作在網絡層，它的缺陷：一是學習好資料歡迎下載不能徹底防止地址欺騙；二是無法執(zhí)行某些安全策略；三是安全性較 差；四是一些應用協議不適合于數據包過濾；五是管理功能弱。代理服務技術是一種較新型的防火墻技術， 工作在應用層，它分為應用型 網關和電路層網關，應用層網關防火墻是傳統(tǒng)代理型防火墻， 核心技 術就是代理服務器技術，它是基于軟件的，通常安裝在專用工作站系 統(tǒng)上；電路層網關一般采用自適應代理技術，這種技術的要素有兩個： 自適應代理服務器和動態(tài)包過濾器。代理技術的優(yōu)點：代理易于配置、代理能生成各項記錄、代理能 靈活、完全地控制進出流量和內容、代理能過濾數據內容、代理能為

11、 用戶提供透明的加密機制、代理可以方便地與其他安全手段集成； 其 缺點：一是代理速度較路由器慢；二是代理對用戶不透明；三是對于 每項服務代理可能要求不同的服務器；四是代理服務不能保證免受所 有協議弱點的限制；五是代理不能改進底層協議的安全性。狀態(tài)檢測技術的優(yōu)點：高安全性、高效性、可伸縮性和易擴展性、 應用范圍廣；它有不足：在對大量狀態(tài)信息的處理過程可能會造成網 絡連接的某種遲滯，特別是在同時有許多連接被激活的時候， 或者是 有大量的過濾網絡通信的規(guī)則存在。NAT技術是一種把內部私有IP地址翻譯成合法網絡IP地址的技 術。NAT就是在局域網內部網絡中使用內部地址，而當內部節(jié)點要 與外部網絡進行通

12、信時，就在網關處將內部地址替換在公用地址， 從 而在外部公網上正常使用。NAT有三種類型：靜態(tài)NAT、動態(tài)NAT、網絡地址端口轉換 NAPT。學習好資料歡迎下載NAT技術的優(yōu)點：一是所有內部的IP地址對外面的人來說是隱藏 的；二是如果因為某種原因公共IP地址資源比較短缺的話，NAT技 術可以使整個內部網絡共享一個IP地址；三是可以啟用基本的包過 濾防火墻安全機制。雖然可以保障內部網絡的安全，但是一些類似的 局限，另外內部網絡利用現在流傳比較廣泛的木馬程序可以通過NAT進行外部連接，就像它可以穿過包過濾防火墻一樣容易。個人防火墻的IP數據包過濾功能可以分為三種數據包過濾：ICMP 數據包過濾、U

13、DP數據包過濾、TCP數據包過濾。個人防火墻的優(yōu)點：一是增加了保護級別，不需要額外的硬件資 源；二是個人防火墻除了可以抵擋外來攻擊的同時， 還可以抵擋內部 的攻擊；三是個人防火墻是對公共網絡中的單個系統(tǒng)提供了保護，能夠為用戶隱藏暴露在網絡上的信息。 其缺點：一是個人防火墻對公共 網絡只有一個物理接口，導致個人防火墻本身容易受到威脅； 二是個 人防火墻在運行時需要占用個人計算機的內存、CPU時間等資源；三是個人防火墻只能對單機提供保護，不能保護網絡系統(tǒng)。防火墻發(fā)展動態(tài)和趨勢：優(yōu)良的性能、可擴展的結構和功能、簡 化的安裝和管理、主動過濾、防病毒和防黑客、發(fā)展聯動技術。入侵檢測就是用于檢測任何損害或

14、企圖損害系統(tǒng)的保密性、完整 性或可用性的一種網絡安全技術。入侵檢測在體系結構上主要由事件提取、入侵分析、入侵響應、學習好資料歡迎下載遠程管理四個部分組成。入侵檢測系統(tǒng)按基于數據源的分類方法可以分為基于主機、基于 網絡、混合入侵檢測、基于網關的入侵檢測系統(tǒng)及文件完整性檢查系 統(tǒng)；按基于檢測理論的分類方法可以分為異常檢測和誤用檢測， 異常 檢測是根據使用者的行為或資源使用狀況的正常程度來判斷是否入 侵，而不依賴于具體行為是否出現來檢測， 誤用檢測是運用已知攻擊 方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來 檢測，異常檢測用于檢測系統(tǒng)日志，誤用檢測用于檢測網絡數據包。誤用檢測是按照預

15、定模式搜尋事件數據的，最適用于對已知模式 的可靠檢測。執(zhí)行誤用檢測主要依賴于可靠的用戶活動記錄和分析事 件的方法。分布式入侵檢測具體的處理方法有兩種：分布式信息收集、集中 處理；分布式信息收集、分布式處理。分布式入侵檢測的優(yōu)勢：檢測大范圍的攻擊行為、提高檢測的準 確度、提高檢測效率、協調響應措施。分布式入侵檢測的技術難點：事件產生及存儲、狀態(tài)空間管理及 規(guī)則復雜度、知識庫管理和推理技術。安全威脅是指所有能夠對計算機網絡信息系統(tǒng)的網絡服務和網絡 信息的機密性、可用性和完整性產生阻礙、破壞或中斷的各種因素。穿透測試可分為無先驗知識穿透測試和有先驗知識穿透測試。網絡安全漏洞檢測主要包括端口掃描、操作

16、系統(tǒng)探測和安全漏洞 探測。通過端口掃描可以掌握系統(tǒng)都開放了哪些端口、提供了哪些網學習好資料歡迎下載絡報務；通過操作系統(tǒng)探測可以掌握操作系統(tǒng)的類型信息；通過安全 漏洞探測可以發(fā)現系統(tǒng)中可能存在的安全漏洞。端口掃描原理：向目標主機的TCP/IP端口發(fā)送探測數據包，并記 錄目標主機的響應，通過分析響應來判斷端口是打開還是關閉等狀態(tài) 信息。端口掃描可分為TCP端口掃描和UDP端口掃描，TCP端口掃 描可分為全連接掃描技術、半連接掃描技術、間接掃描技術和秘密掃 描技術。安全漏洞按漏洞的可利用方式可分為信息型漏洞和攻擊型漏洞探 測，按漏洞探測的技術特征可分為基于應用的探測技術、基于主機的探測技術、基于目標

17、的探測技術（被動的、非破壞性）、基于網絡的 探測技術（積極的、非破壞性）等。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能 或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或 程序代碼。其特征：非授權可執(zhí)行性、隱蔽性、傳染性、潛伏性、破 壞性、可觸發(fā)性。計算機病毒的邏輯結構分為引導模塊、傳染模塊、發(fā)作模塊，引 導模塊從系統(tǒng)獲取控制權，引導病毒的其他部分工作；傳染模塊擔負 著計算機病毒的擴散傳染任務，它是判斷一個程序是否是病毒的首要 條件，是各種病毒必不可少的模塊。文件型病毒可分為以下幾種：高端駐留型、常規(guī)駐留型、內存控 制鏈駐留型、設備程序補丁駐留型、不駐留內存型學習好資料

18、歡迎下載計算機病毒的作用機制可分為以下幾部分： 引導機制、傳染機制、 破壞機制。計算機病毒的分類：按病毒攻擊的系統(tǒng)分為攻擊DOS系統(tǒng)的病毒、攻擊 WINDOWS系統(tǒng)的病毒、攻擊UNIX系統(tǒng)的病毒、攻擊OS/2 系統(tǒng)的病毒；按病毒的攻擊機型分為攻擊微型計算機的病毒、攻擊小型機的計算機病毒、攻擊工作站的計算機病毒；按病毒的鏈接方式分 為源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒；按病毒 的破壞情況分為良性計算機病毒和惡性計算機病毒；按病毒的寄生方式分為引導型病毒、文件型病毒、復合型病毒；按病毒的傳播媒介分 為單機病毒和網絡病毒。WORD宏病毒的特征：一是 WORD宏病毒會感染.doc文檔和

19、.dot 模板文件；二是WORD宏病毒的傳染通常是 WORD在打開一個帶宏 病毒的文檔或模板時，激活宏病毒；三是多數 WORD宏病毒包信 AUTOOPEN、AUTOCLOSE、AUTONEW、AUTOEXIT 等自動宏， 通過這些自動宏病毒取得文檔或模板的操作權；四是 WORD宏病毒 中總是含有對文檔讀寫操作的宏命令；五是 WORD宏病毒在.doc文 檔、.dot模板中以BEF格式存放，這是一種加密壓縮格式，不同WORD 版本格式可能不兼容。計算機病毒的檢測方法：一是特征代碼法的特點：速度慢、誤報 警率低、不能檢查多形性病毒、不能對付隱蔽性病毒；二是 檢驗和法 的優(yōu)點：方法簡單能發(fā)現未知病毒、

20、被查文件的細微變化也能發(fā)現。 但會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒；三是 行為監(jiān)學習好資料歡迎下載測法的優(yōu)點：可發(fā)現未知病毒、可相當準確地預報未知的多數病毒， 但可能誤報警、不能識別病毒名稱、實現時有一定難度；四是 軟件模 擬法。計算機病毒的防范從嚴格的 管理、有效的技術兩方面著手。嚴 格的管理。制定相應的管理制度，避免蓄意制造、傳播病毒的事件發(fā) 生。有效的技術。1）將大量的消毒/殺毒軟件匯集一體，檢查是否 存在已知病毒。2）檢測一些病毒經常要改變的系統(tǒng)信息，以確定是 否存在病毒行為；3）監(jiān)測寫盤操作，對引導區(qū)或主引導區(qū)的寫操作 報警。4）對計算機系統(tǒng)中的文件形成一個密碼檢驗碼和實

21、現對程序 完整性的驗證，在程序執(zhí)行前或定期對程序進行密碼校驗， 如有不匹 配現象即報警。5）智能判斷型：設計病毒行為過程判定知識庫，應 用人工智能技術，有效區(qū)別正常程序與病毒程序的行為。6）智能監(jiān)察型：設計病毒特征庫，病毒行為知識庫，受保護程序存取行為知識 庫等多個知識庫及相應的可變推理機。計算機病毒的新特點：一是變形病毒成為下一代病毒的首要特點； 二是與INTERNET和INTRANET更加緊密結合，可利用一切可以利 用的方式進行傳播；三是病毒往往具有混合特征，集文件傳染、蠕蟲、 木馬、黑客程序的特點于一身，破壞性大大增強，病毒編寫者不再單 純炫耀技術，獲取經濟利益開始成為編寫病毒的主要目的； 四是因其 擴散性極快，不再追求隱藏性，而更加注重欺騙性；利用系統(tǒng)和應用 程序漏洞將成為病毒有力的傳播方式。惡意代碼：是一種程序，通常在人們沒有察覺的情況下把代碼寄學習好資料歡迎下載宿到另一段程序中，從而達到破壞被感染計算機的數據，運行具有入 侵性或破壞性的程序，破壞被感染系統(tǒng)數據的安全性和完整性的目 的。惡意代碼的關鍵技術有生存技術、攻擊技術、隱藏技術。生存 技術主要包括4個方面：反跟蹤技