網(wǎng)絡(luò)安全基礎(chǔ)試卷教案

網(wǎng)絡(luò)安全

—網(wǎng)絡(luò)安全基礎(chǔ)

一、信息安全管理基礎(chǔ)

1.1信息安全概述

1。1。1信息安全面臨的主要問題

1、人員問題：

?信息安全意識(shí)薄弱的員工誤操作、誤設(shè)置造成系統(tǒng)宕機(jī)、數(shù)據(jù)丟失,信息泄漏

等問題

?特權(quán)人員越權(quán)訪問,如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問、傳播敏感數(shù)據(jù)

?內(nèi)部員工和即將離職員工竊取企業(yè)秘密，尤其是骨干員工流動(dòng)、集體流動(dòng)等

2、技術(shù)問題：

?病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務(wù)運(yùn)作

3、法律方面

?網(wǎng)絡(luò)濫用：?jiǎn)T工發(fā)表政治言論、訪問非法網(wǎng)站

?法制不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)(如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）

1.1。2信息安全的相對(duì)性

安全沒有100%,完美的健康狀態(tài)永遠(yuǎn)也不能達(dá)到。

安全工作的目標(biāo)：將風(fēng)險(xiǎn)降到最低.

第2章計(jì)算機(jī)病毒及防范技術(shù)

2.1計(jì)算機(jī)病毒介紹

2.1。1計(jì)算機(jī)病毒定義

什么是病毒?

醫(yī)學(xué)上的病毒定義：是一類比較原始的、有生命特征的、能夠自我復(fù)制和在細(xì)胞內(nèi)寄生

的非細(xì)胞生物。

什么是計(jì)算機(jī)病毒?

計(jì)算機(jī)病毒通常是指可以自我復(fù)制，以及向其他文件傳播的程序

2。1.2計(jì)算機(jī)病毒起源和發(fā)展史

計(jì)算機(jī)病毒的來源多種多樣,有的是計(jì)算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制

造出來的，有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰

“計(jì)算機(jī)病毒"這一概念是1977年由美國(guó)著名科普作家“雷恩”在一部科幻小說《P1的

青春》中提出

1983年美國(guó)計(jì)算機(jī)安全專家“考因”首次通過實(shí)驗(yàn)證明了病毒的可實(shí)現(xiàn)性。

1987年世界各地的計(jì)算機(jī)用戶幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM

圣誕樹、黑色星期五等等

1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗,其中“米開朗基羅”病毒給許多計(jì)算機(jī)用戶

造成極大損失。、

1991年在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)

1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新

的增長(zhǎng)點(diǎn)。

……

2。1.3傳統(tǒng)計(jì)算機(jī)病毒分類

傳統(tǒng)計(jì)算機(jī)病毒分為:

?引導(dǎo)型病毒

?DOS病毒

?Windows病毒

?宏病毒

腳本病毒

2.1。4現(xiàn)代計(jì)算機(jī)病毒介紹

特洛伊木馬：特洛伊木馬程序往往表面上看起來無害，但是會(huì)執(zhí)行一些未預(yù)料或未經(jīng)授

權(quán)，通常是惡意的操作。

玩笑程序:玩笑程序是普通的可執(zhí)行程序，這些程序建立的目的是用于和計(jì)算機(jī)用戶開

玩笑.這些玩笑程序設(shè)計(jì)時(shí)不是致力于破壞用戶的數(shù)據(jù)，但是某些不知情的用戶可能會(huì)引發(fā)

不正當(dāng)?shù)牟僮?，從而?dǎo)致文件的損壞和數(shù)據(jù)的丟失。

病毒或惡意程序Droppers：病毒或惡意程序Droppers被執(zhí)行后，會(huì)在被感染系統(tǒng)中植入

病毒或是惡意程序，在病毒或惡意程序植入后,可以感染文件和對(duì)系統(tǒng)造成破壞。

后門程序：后門程序是一種會(huì)在系統(tǒng)中打開一個(gè)秘密訪問方式的程序，經(jīng)常被用來饒過

系統(tǒng)安全策略.

DDos攻擊程序：DDos攻擊程序用于攻擊并禁用目標(biāo)服務(wù)器的web服務(wù)，導(dǎo)致合法用戶

無法獲得正常服務(wù)。如下圖所示：

圖：DDOS攻擊示意圖

2.1。5網(wǎng)絡(luò)病毒介紹

網(wǎng)絡(luò)病毒的概念：利用網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)的體系結(jié)構(gòu)作為傳播的途徑或傳播機(jī)制,并對(duì)網(wǎng)

絡(luò)或聯(lián)網(wǎng)計(jì)算機(jī)造成破壞的計(jì)算機(jī)病毒稱為網(wǎng)絡(luò)病毒。

網(wǎng)絡(luò)病毒的特點(diǎn)及危害:破壞性強(qiáng)、傳播性強(qiáng)、針對(duì)性強(qiáng)、擴(kuò)散面廣、傳染方式多

網(wǎng)絡(luò)病毒同黑客攻擊技術(shù)的融合為網(wǎng)絡(luò)帶來了新的威脅.攻擊者可以用病毒作為網(wǎng)絡(luò)攻

擊的有效載體，呈幾何級(jí)地?cái)U(kuò)大破壞能力.

網(wǎng)絡(luò)攻擊的程序可以通過病毒經(jīng)由多種渠道廣泛傳播,攻擊程序可以利用病毒的隱蔽性

來逃避檢測(cè)程序的搜查，病毒的潛伏性和可觸發(fā)性使網(wǎng)絡(luò)攻擊防不勝防，許多病毒程序可以

直接發(fā)起網(wǎng)絡(luò)攻擊，植入攻擊對(duì)象內(nèi)部的病毒與外部攻擊里應(yīng)外合，破壞目標(biāo)系統(tǒng)。

2.2計(jì)算機(jī)病毒分析與防護(hù)

2。2.1病毒的常見癥狀及傳播途徑

（一）病毒的常見癥狀

?電腦運(yùn)行比平常遲鈍

?程序載入時(shí)間比平常久

?對(duì)一個(gè)簡(jiǎn)單的工作，磁盤似乎花了比預(yù)期長(zhǎng)的時(shí)間

?不尋常的錯(cuò)誤信息出現(xiàn)

?硬盤的指示燈無緣無故的亮了

?系統(tǒng)內(nèi)存容量忽然大量減少

?可執(zhí)行程序的大小改變了

?內(nèi)存內(nèi)增加來路不明的常駐程序

?文件奇怪的消失

?文件的內(nèi)容被加上一些奇怪的資料

?文件名稱，擴(kuò)展名，日期，屬性被更改過

（二）病毒的常見傳播途徑

?文件傳輸介質(zhì)：例如CIH病毒,通過復(fù)制感染程序傳播

?電子郵件:例如梅麗莎病毒,第一個(gè)通過電子郵件傳播的病毒

?網(wǎng)絡(luò)共享：例如WORM_OPASERV。F病毒可以通過網(wǎng)絡(luò)中的可寫共享傳播

?文件共享軟件:例如WORM_LIRVA。C病毒可以通過Kazaa點(diǎn)對(duì)點(diǎn)文件共享軟件

傳播

2.2.2病毒傳播或感染途徑

病毒感染的常見過程:通過某種途徑傳播，進(jìn)入目標(biāo)系統(tǒng)，自我復(fù)制，并通過修改系統(tǒng)

設(shè)置實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng)，激活病毒負(fù)載的預(yù)定功能。

·打開后門等待連接

·發(fā)起DDOS攻擊

·進(jìn)行鍵盤記錄

除引導(dǎo)區(qū)病毒外,所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能

實(shí)現(xiàn)感染系統(tǒng)的目的。

1、利用電子郵件感染病毒:郵件附件為病毒壓縮文件，HTML正文可能被嵌入惡意腳本，

利用社會(huì)工程學(xué)進(jìn)行偽裝，增大病毒傳播機(jī)會(huì)，傳播速度非常快

2、利用網(wǎng)絡(luò)共享感染病毒：

?病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，如ADMIN$，IPC$，E＄,D$,C＄

?通過空口令或弱口令猜測(cè)，獲得完全訪問權(quán)限，有的病毒自帶口令猜測(cè)列表

?將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中，通常以游戲，CDKEY等相關(guān)名字命名

?利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶執(zhí)行并感染。例如：WORM_SDBOT等

病毒

3、利用P2P共享軟件感染病毒：

?將自身復(fù)制到P2P共享文件夾，通常以游戲,CDKEY等相關(guān)名字命名

?通過P2P軟件共享給網(wǎng)絡(luò)用戶

?利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶下載

?WORM_PEERCOPY。A等病毒

4、利用系統(tǒng)漏洞感染病毒:

?由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致惡意用戶可以通過畸形的方式利用這

些缺陷,達(dá)到在目標(biāo)機(jī)器上執(zhí)行任意代碼的目的,這就是系統(tǒng)漏洞。

?病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng),達(dá)到快速傳播的目的。

?常被利用的漏洞：

·RPC—DCOM緩沖區(qū)溢出（MS03-026)

·WebDAV（MS03-007)

·LSASS(MS04-011）

2.2。3病毒自啟動(dòng)方式

?修改系統(tǒng)

–修改注冊(cè)表

?啟動(dòng)項(xiàng)

?文件關(guān)聯(lián)項(xiàng)

?系統(tǒng)服務(wù)項(xiàng)

?BHO項(xiàng)

–將自身添加為服務(wù)

–將自身添加到啟動(dòng)文件夾

–修改系統(tǒng)配置文件

?自動(dòng)加載

–服務(wù)和進(jìn)程－病毒程序直接運(yùn)行

–嵌入系統(tǒng)正常進(jìn)程－DLL文件和OCX文件等

–驅(qū)動(dòng)－SYS文件

注冊(cè)表項(xiàng)目之注冊(cè)表啟動(dòng)項(xiàng):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：

?RunServices

?RunServicesOnce

?Run

?RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：

?Run

?RunOnce

?RunServices

以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序。

注冊(cè)表項(xiàng)目之文件關(guān)聯(lián)項(xiàng):

HKEY_CLASSES_ROOT下：

?exefile\shell\open\command]@=”"%1”％*"

?comfile\shell\open\command］＠=””％1"％＊”

?batfile\shell\open\command]@=""%1"％*"

?htafile\Shell\Open\Command］＠=”"％1"%＊”

?piffile\shell\open\command]@="”％1"%*"

?……

病毒將"％1％＊"改為“virus。exe％1%＊”

?virus.exe將在打開或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行

注冊(cè)表項(xiàng)目之系統(tǒng)服務(wù)項(xiàng)：

在如下鍵值下面添加子鍵即可將自身注冊(cè)為服務(wù),隨系統(tǒng)啟動(dòng)而啟動(dòng)：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

注冊(cè)表項(xiàng)目之BHO項(xiàng)

在如下鍵值下面添加子鍵(ClSID鍵)即可將自身注冊(cè)為BHO,隨IE瀏覽器啟動(dòng)而啟動(dòng)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows

erHelperObjects

將自身添加到啟動(dòng)文件夾：

?當(dāng)前用戶的啟動(dòng)文件夾

可以通過如下注冊(cè)表鍵獲得：

Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp項(xiàng)

?公共的啟動(dòng)文件夾

可以通過如下注冊(cè)表鍵獲得:

Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的Common

StartUp項(xiàng)

病毒可以在該文件夾中放入欲執(zhí)行的程序，

或直接修改其值指向放置有要執(zhí)行程序的路徑。

2。2.4病毒的隱性行為

?下載特性

–自動(dòng)連接到Internet某Web站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版

本/其他變種

?后門特性

–開啟并偵聽某個(gè)端口，允許遠(yuǎn)程惡意用戶來對(duì)該系統(tǒng)進(jìn)行遠(yuǎn)程操控

?信息收集特性

–收集私人信息，特別是帳號(hào)密碼等信息，自動(dòng)發(fā)送

?自身隱藏特性

–使用Rootkit技術(shù)隱藏自身的文件和進(jìn)程

?文件感染特性

–感染系統(tǒng)中部分/所有的可執(zhí)行文件,使得系統(tǒng)正常文件被破壞而無法運(yùn)行,

或使系統(tǒng)正常文件感染病毒而成為病毒體。

–典型

?PE_LOOKED維京

?PE_FUJACKS熊貓燒香

?網(wǎng)絡(luò)攻擊特性

–針對(duì)微軟操作系統(tǒng)或其他程序存在的漏洞進(jìn)行攻擊

–修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置

–向網(wǎng)絡(luò)中其它計(jì)算機(jī)發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)

–典型

?震蕩波

?ARP攻擊

2.2。5計(jì)算機(jī)病毒防御

圖：計(jì)算機(jī)病毒防御體系圖例

（一）計(jì)算機(jī)病毒手工處理

?重裝系統(tǒng)?

?系統(tǒng)還原？

?Ghost還原？

?大多數(shù)情況下,可以直接根據(jù)經(jīng)驗(yàn)來迅速清除各種病毒

–木馬病毒和后門程序

–間諜軟件、廣告軟件和灰色軟件

–蠕蟲病毒

–文件型病毒母體

?處理過程包括

–修復(fù)病毒修改的注冊(cè)表/文件內(nèi)容

–刪除病毒文件

病毒處理建議步驟：

?處理病毒問題時(shí),若病毒進(jìn)程在系統(tǒng)中運(yùn)行，則可能會(huì)出現(xiàn)無法刪除文件、無法刪除

注冊(cè)表主鍵/鍵值的情況,也可能出現(xiàn)刪除注冊(cè)表鍵值或文件后，被刪除的內(nèi)容會(huì)再

次出現(xiàn)的情況.

?最好在安全模式下操作

?終止所有可疑進(jìn)程和不必要的進(jìn)程

?關(guān)閉系統(tǒng)還原

（二）檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)

?檢查啟動(dòng)項(xiàng):

–刪除不必要的啟動(dòng)項(xiàng)鍵值,如發(fā)現(xiàn)指向不正常或不認(rèn)識(shí)的程序的鍵值，可將

該鍵值刪除。

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run

–HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run

?檢查服務(wù):

–在[控制面板］-［管理工具］—［服務(wù)]中，查看是否存在可疑服務(wù)。若無法

確定服務(wù)是否可疑，可直接查看該服務(wù)屬性,檢查服務(wù)所指向的文件。隨后

可以檢查該文件是否為正常文件（文件檢查方法稍后會(huì)介紹）。對(duì)于不正常

的服務(wù)，可直接在注冊(cè)表中刪除該服務(wù)的主鍵。

–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

?檢查Winlogon加載項(xiàng)

–在注冊(cè)表中檢查Winlogon相關(guān)加載項(xiàng):

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

–Shell=Explorer.exe(默認(rèn)）

–Userinit=C：\WINDOWS\system32\userinit.exe,（默認(rèn))

–以上Shell和Userinit鍵值為默認(rèn),若發(fā)現(xiàn)被修改，可直接將其修改為默認(rèn)鍵值。

?檢查Winlogon加載項(xiàng)

–在注冊(cè)表中檢查WinlogonNotify相關(guān)加載項(xiàng)：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify

–在Notify下會(huì)有多個(gè)主鍵（目錄)，每個(gè)主鍵中的DllName鍵值將指向一個(gè)DLL

文件。若發(fā)現(xiàn)有指向可疑的DLL文件時(shí)，請(qǐng)先確認(rèn)其指向的DLL是否正常。

若不正常，可直接刪除這個(gè)主鍵.

?檢查其他加載項(xiàng)

–在注冊(cè)表中檢查以下注冊(cè)表加載項(xiàng)鍵值：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows

–AppInit_DLLs=“"

–HKEY_CURRENT_USER\Software\Microsoft\Windows

NT\CurrentVersion\Windows

–Load=“”

–該鍵值默認(rèn)為空.若鍵值被修改,可直接將鍵值內(nèi)容清空。

（三）檢查注冊(cè)表中的BHO項(xiàng)

?檢查BrowserHelpObject（BHO）項(xiàng)

–BHO項(xiàng)在注冊(cè)表中包含以下主鍵的內(nèi)容：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\BrowserHelperObjects

–HKEY_CLASSES_ROOT\CLSID\

–可以在HKEY_CLASSES_ROOT\CLSID\下的InprocServer32主鍵中查看BHO

項(xiàng)所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時(shí),可直接刪除以上注冊(cè)表路徑下

所有包含了該CLSID的主鍵。

?使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項(xiàng)。

(四）查看系統(tǒng)中的可疑文件

?如何判斷文件是否可疑？

–查看文件版本信息

–Google之

?所有的Windows正常系統(tǒng)文件都包含完整的版本信息。若文件無版本信息或版本信

息異常，則可判斷為可疑文件。

?如何迅速查找這些可疑文件？

–%SystemRoot％\

–%SystemRoot％\System32\

–%SystemRoot％\System32\drivers\

?對(duì)于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時(shí)間的文件：

–可執(zhí)行文件。EXE，。COM,.SCR,.PIF

–DLL文件和OCX文件

–LOG文件——有一些病毒會(huì)將DLL文件偽裝成LOG后綴的文件，可以直接雙

擊打開查看其內(nèi)容是否為文本。若為亂碼，則可疑。

病毒文件被隱藏,如何查找？

?工具-〉文件夾選項(xiàng)

–選擇“顯示所有文件"

–取消“隱藏受保護(hù)的系統(tǒng)文件”

?仍然無法顯示隱藏文件

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\NOHIDDEN

CheckedValue=2

DefaultValue=2

?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=1

DefaultValue=2

（五）檢查并修復(fù)host文件

?修復(fù)被病毒修改的host文件

–一些病毒會(huì)修改系統(tǒng)的host文件，使用戶無法訪問某些網(wǎng)站，或在用戶訪問

某些網(wǎng)站時(shí)，重定向到某些惡意站點(diǎn)。

?檢查文件:

–%SystemRoot%\System32\drivers\etc\host

–使用文本編輯工具打開該文件檢查。默認(rèn)該文件包含一條host記錄

?127.0.0。1localhost

–若有其他可疑的host記錄,可以直接刪除多余的記錄

(六）刪除所有臨時(shí)文件

?病毒經(jīng)常存在于臨時(shí)目錄中

–％SystemRoot%\Temp

–C:\Temp

–Internet臨時(shí)文件

–C:\DocumentsandSettings\〈用戶名〉\LocalSettings\Temp

?清空所有以上的目錄

（七)病毒防護(hù)常用工具

常用病毒查殺工具一覽：

?SIC，HijackThis系統(tǒng)診斷

?ProcessExplorer分析進(jìn)程

?TCPView分析網(wǎng)絡(luò)連接

?Regmon，InstallRite監(jiān)視注冊(cè)表

?Filemon，InstallRite監(jiān)視文件系統(tǒng)

?IceSword

?Ntsd

?pskill

第4章安全評(píng)估

4。1安全評(píng)估概述

4。1.1安全評(píng)估目的

風(fēng)險(xiǎn)評(píng)估的目的:

?了解組織的安全現(xiàn)狀

?分析組織的安全需求

?建立信息安全管理體系的要求

?制訂安全策略和實(shí)施安防措施的依據(jù)

?組織實(shí)現(xiàn)信息安全的必要的、重要的步驟

4。1。2安全評(píng)估要素

風(fēng)險(xiǎn)的四個(gè)要素：

?資產(chǎn)及其價(jià)值

?威脅

?脆弱性

?現(xiàn)有的和計(jì)劃的控制措施

1、資產(chǎn)的分類：

?電子信息資產(chǎn)

?軟件資產(chǎn)

?物理資產(chǎn)

?人員

?公司形象和名譽(yù)

2、威脅舉例：

?黑客入侵和攻擊

?病毒和其他惡意程序

?軟硬件故障

?人為誤操作

?自然災(zāi)害如：地震、火災(zāi)、爆炸等

?盜竊

?網(wǎng)絡(luò)監(jiān)聽

?供電故障

?后門

?未授權(quán)訪問……

3、脆弱性：

?是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。

?脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威

脅加以利用來對(duì)信息資產(chǎn)造成危害.

脆弱性舉例：

?系統(tǒng)漏洞

?程序Bug

?專業(yè)人員缺乏

?不良習(xí)慣

?系統(tǒng)沒有進(jìn)行安全配置

?物理環(huán)境不安全

?缺少審計(jì)

?缺乏安全意識(shí)

?后門

?……

圖：風(fēng)險(xiǎn)評(píng)估要素模型

4.1。2安全評(píng)估過程

4.1.4安全評(píng)估工具

評(píng)估工具目前存在以下幾類：

?掃描工具：包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描，用于分析系統(tǒng)的常見漏洞；

?入侵檢測(cè)系統(tǒng)（IDS）:用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)；

?滲透性測(cè)試工具：黑客工具，用于人工滲透，評(píng)估系統(tǒng)的深層次漏洞；

?主機(jī)安全性審計(jì)工具：用于分析主機(jī)系統(tǒng)配置的安全性；

?安全管理評(píng)價(jià)系統(tǒng):用于安全訪談，評(píng)價(jià)安全管理措施；

?風(fēng)險(xiǎn)綜合分析系統(tǒng)：在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上,定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn)，并且提供分

類統(tǒng)計(jì)、查詢、TOPN查詢以及報(bào)表輸出功能;

?評(píng)估支撐環(huán)境工具:評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)。

4.1。5安全評(píng)估標(biāo)準(zhǔn)

保障信息安全有三個(gè)支柱,一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。國(guó)家的法律法

規(guī)，有專門的部門在研究和制定和推廣。根據(jù)國(guó)務(wù)院27號(hào)文件，對(duì)信息安全實(shí)施分級(jí)安全保

護(hù)的規(guī)定出臺(tái)后,各有關(guān)部門都在積極制定相關(guān)的制度和法規(guī),當(dāng)前被普遍采用的技術(shù)標(biāo)準(zhǔn)的

是CC/ISO15408，管理體系標(biāo)準(zhǔn)是ISO17799/BS7799。

4。2安全掃描

安全掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和

可被黑客利用的漏洞。顯然，安全掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理

員掌握它以后又可以有效的防范黑客入侵。因此，安全掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少

的手段，必須仔細(xì)研究利用。

安全掃描的檢測(cè)技術(shù)有:

?基于應(yīng)用的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,

發(fā)現(xiàn)安全漏洞。

?基于主機(jī)的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。

?基于目標(biāo)的漏洞檢測(cè)技術(shù)，它采用被動(dòng)的,非破壞性的辦法檢查系統(tǒng)屬性和文

件屬性，如數(shù)據(jù)庫(kù)，注冊(cè)號(hào)等。

?基于網(wǎng)絡(luò)的檢測(cè)技術(shù)，它采用積極的,非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能

被攻擊崩潰。

安全掃描在部署安全策略中處于重要地位:

?防火墻，防病毒,用戶認(rèn)證，加密，評(píng)估，記錄報(bào)告和預(yù)警，安全管理，物理

安全。

?管理這些設(shè)備和技術(shù),是安全掃描系統(tǒng)和入侵偵測(cè)軟件(入侵偵測(cè)軟件往往包含

在安全掃描系統(tǒng)中）的職責(zé)。通過監(jiān)視事件日志、系統(tǒng)受到攻擊后的行為和這

些設(shè)備的信號(hào)，作出反應(yīng)。

?安全掃描系統(tǒng)就把這些設(shè)備有機(jī)地結(jié)合在一起.因此，而安全掃描是一個(gè)完整

的安全解決方案中的一個(gè)關(guān)鍵部分，在企業(yè)部署安全策略中處于非常重要的地

位。

安全掃描系統(tǒng)具有的功能說明：

?協(xié)調(diào)了其它的安全設(shè)備之間的關(guān)系

?使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情

?跟蹤用戶進(jìn)入系統(tǒng)的行為和離開的信息

?可以報(bào)告和識(shí)別文件的改動(dòng)

?糾正系統(tǒng)的錯(cuò)誤設(shè)置

?識(shí)別正在受到的攻擊

?減輕系統(tǒng)管理員搜索最近黑客行為的負(fù)擔(dān)

?使得安全管理可由普通用戶來負(fù)責(zé)

?為制定安全規(guī)則提供依據(jù)

正確認(rèn)識(shí)安全掃描軟件：

?不能彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題

?不能彌補(bǔ)由于協(xié)議本身的問題

?不能處理所有的數(shù)據(jù)包攻擊，當(dāng)網(wǎng)絡(luò)繁忙時(shí)它也分析不了所有的數(shù)據(jù)流

?當(dāng)受到攻擊后要進(jìn)行調(diào)查，離不開安全專家的參與日志服務(wù)器。

第6章數(shù)據(jù)傳輸安全

6.1安全數(shù)據(jù)傳輸面臨的威脅

安全數(shù)據(jù)傳輸面臨的威脅主要有以下幾種：

6。2數(shù)據(jù)傳輸安全關(guān)鍵技術(shù)

6.2。1SSL和TLS

SL和TLS提供了基于公鑰與對(duì)稱密鑰的會(huì)話加密、完整性驗(yàn)證和服務(wù)器身份驗(yàn)證（對(duì)

稱和非對(duì)稱算法都用了)保護(hù)客戶端與服務(wù)器通信免受竊聽、篡改數(shù)據(jù)和消息偽造OSI（Open

StandardInterconnect，開放互連）模型的傳輸層與應(yīng)用層間。

加密特點(diǎn)是：

?身份驗(yàn)證

?保密性

?消息完整性

SSL/TLS保護(hù)數(shù)據(jù)安全的方法：

6。2。3PPTP

PPTP用于LAN、WAN或Internet進(jìn)行客戶端到服務(wù)器的安全數(shù)據(jù)傳輸,使用撥號(hào)連接

中的點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）來在連接中建立終結(jié)點(diǎn),PPTP位于OSI模型的第二層。

PPTP的加密特點(diǎn)是：

?身份驗(yàn)證（pap、ms-chap、eap)：服務(wù)器驗(yàn)證客戶

?保密性（40位的mppe：即microsoft點(diǎn)對(duì)點(diǎn)加密，或128位的RC4）

?支持通過mppc（microsoft點(diǎn)對(duì)點(diǎn)壓縮）數(shù)據(jù)壓縮

?不提供消息完整性或數(shù)據(jù)源身份驗(yàn)證（GFG—微軟)

PPTP安全流程：

?PPTP通過PPTP控制連接來創(chuàng)建、維護(hù)、終止一條隧道,并使用通用路由封裝GRE

（GenericRoutingEncapsulation）對(duì)PPP幀進(jìn)行封裝.

?封裝前，PPP幀的有效載荷首先必須經(jīng)過加密、壓縮或是兩者的混合處理。

·PPTP控制連接(P217—218）：控制隧道中的會(huì)話建立、釋放和維護(hù)邏輯連接

·封裝數(shù)據(jù)：建立控制連接后，PPP數(shù)據(jù)用GRE協(xié)議來封裝

6.2.5SMB簽名

SMB簽名（SMB，ServerMessageBlock,也稱為CIFS）：使用帶有密鑰的哈希(keyedhash)

來保護(hù)每個(gè)SMB數(shù)據(jù)包的完整性的數(shù)字簽名方法，保護(hù)網(wǎng)絡(luò)通信不受中間人攻擊和

TCP/IP會(huì)話劫持攻擊,使用消息摘要（MD5）算法對(duì)通信進(jìn)行數(shù)字簽名。

SMB簽名的特點(diǎn)是:

?相互的身份驗(yàn)證

?消息完整性

6.2.6LDAP簽名

LDAP簽名:

?確保數(shù)據(jù)來自已知的來源

?數(shù)據(jù)未被篡改

?數(shù)據(jù)不以明文傳輸

加密特點(diǎn)：

?雙向身份驗(yàn)證

?消息完整性

6.2.7WEP

WEP(wiredequivalentprivacy):802.11委員會(huì)為無線網(wǎng)絡(luò)數(shù)據(jù)安全傳輸提出的一個(gè)協(xié)議，三

種密鑰長(zhǎng)度：40位、128位、256位（RC4），在工作站和無線路由器（或AP）間提供數(shù)據(jù)加

密。

特點(diǎn)：

?數(shù)據(jù)加密

?數(shù)據(jù)完整性

WEP加密過程：

?客戶端啟動(dòng)與無線接入點(diǎn)的連接

?客戶端使用循環(huán)冗余校驗(yàn)32（CRC-32，CyclicRedundancyCheck—32）算法創(chuàng)

建數(shù)據(jù)的校驗(yàn)和，并將該值附到數(shù)據(jù)幀的末尾

?數(shù)據(jù)包經(jīng)過RC4算法加密并在無線網(wǎng)絡(luò)上傳輸

?無線接入點(diǎn)收到數(shù)據(jù)包并使用密鑰將其解密

?無線接入點(diǎn)驗(yàn)證CRC—32并在LAN上發(fā)送數(shù)據(jù)包

6.2.8WPA

WPA(Wi-FiprotectedAceess,Wi—Fi保護(hù)訪問）:在802.11i中對(duì)無線局域網(wǎng)安全性改進(jìn)的

一個(gè)協(xié)議。

相對(duì)WEP來說，WPA通過TKIP(TemporalkeyIntegrityPotocol,臨時(shí)密鑰完整性協(xié)議)每發(fā)

送10K數(shù)據(jù)就動(dòng)態(tài)改變加密密鑰,而WEP沒提供安全交換加密密鑰的機(jī)制，WPA采用Michael

算法來生成消息完整性碼(MIC，messageintegritycode）來保證數(shù)據(jù)完整性。

特點(diǎn)

?數(shù)據(jù)加密

?數(shù)據(jù)完整性

?可防重放功擊

WPA加密過程（密鑰動(dòng)態(tài)變換）：

?客戶端啟動(dòng)與無線接入點(diǎn)的連接