信息安全需要背的內容

網絡信息按概述安全基本屬性：機密性、完整性、可用性、抗抵賴性、可控性CIA：機密性：網絡信息不泄露給非授權用戶、實體或程序、能夠防止非授權者獲取信息 完整性：網絡信息或系統(tǒng)未經授權不能進行更改的特性可用性：指合法許可的用戶能夠及時獲取網絡信息或服務的特性網絡信息訪問控制目的：1）限制非法用戶獲取或使用網絡資源2）防止合法用戶濫用權限、越權訪問網絡資源網絡信息安全管理要素：網絡管理對象、網絡威脅、網絡脆弱性、網絡風險、網絡保護措施組成?；具^程：通過對網絡管理對象的威脅和脆弱性進行分析，確定網絡管理對象的價值，網絡管理對象威脅發(fā)生的可能性、網絡管理對象的脆弱程度，從而確定網絡管理對象的風險等級，然后據此選取合適的安全保護措施，降低網絡管理對象的風險。網絡信息安全管理流程：確定對象-評估價值-識別威脅-識別脆弱性-確定風險級別-制定防范措施-實施防范措施-運行/維護網絡信息安全術語：基礎技術類：加密encryption、解密decryption、非對稱加密算法asymetriccryptographicalgorithm、公鑰加密算算法publickeycryptographicalgonrithm、公鑰publickey風險評估技術類：拒絕服務DenialofService、分布式拒絕服務DistributedDenialofService、網頁篡改WebsiteDistortion、網頁仿冒Phishing、網頁掛馬WebsiteMaliciousCode、域名劫持DNSHijack、路由劫持RoutingHijack、垃圾郵件Spam、惡意代碼MaliciousCode、特洛伊木馬TrojanHorse、網絡蠕蟲NetworkWorm、僵尸網絡BotNet防護技術類：訪問控制AccessControl、防火墻Firewall、入侵防御系統(tǒng)IntrusionPreventionSystem檢查技術類：入侵檢測IntrusionDetection、漏洞掃描VulnerabilityScanning響應/恢復技術類：應急響應EmergencyResponse、災難恢復DisasterRecovery、備份Backup測評技術類：黑盒測試BlackBoxTesting、白盒測試WhiteBoxTesting、灰盒測試GrayBoxTesting、滲透測試PenetrationTesting、模糊測試FuzzTesting態(tài)勢感知：結合防毒軟件、防火墻、入侵檢測系統(tǒng)、安全審計對整個網絡情況進行評估，預測未來的變化趨勢四個部分：數(shù)據采集、特征提取、態(tài)勢評估、安全預警內容：1、感知網絡資產2、感知資產脆弱性3、感知安全事件4、感知網絡威脅5、感知網絡攻擊6、感知安全風險網絡攻擊原理與常用方法危害行為：1）信息泄露攻擊2）完整性破壞攻擊3）拒絕服務攻擊4）非法使用攻擊網絡攻擊過程：1）隱藏攻擊源2）收集攻擊目標信息3）挖掘漏洞信息4）獲取目標訪問權限5）隱藏攻擊行為6）實施攻擊7）開辟后門8）清除攻擊痕跡實施攻擊的目標：1、攻擊其他被信任的主機和網絡2、修改或刪除重要數(shù)據3、竊聽敏感數(shù)據4、停止網絡服務5、下載敏感數(shù)據6、刪除數(shù)據賬號7、修改數(shù)據記錄開辟后門方法：1、放寬文件許可權2、重新開放不安全的服務3、修改系統(tǒng)配置4、替換系統(tǒng)本身的共享庫文件5、修改系統(tǒng)的源代碼6、安裝嗅探器7、建立隱蔽信道清除攻擊痕跡方法：1、篡改日志文件中的審計信息2、改變系統(tǒng)時間造成日志文件數(shù)據紊亂以迷惑系統(tǒng)管理員3、刪除或停止審計服務進程4、干擾入侵檢測系統(tǒng)的正常運行5、修改完整性檢測標簽網絡攻擊常見技術方法端口掃描–找出目標系統(tǒng)上提供的服務列表完全連接掃描–三次握手，成功：端口開放，失?。憾丝陉P閉半連接掃描–只完成兩次握手，目的：不留掃描痕跡SYN掃描–發(fā)送連接請求，返回響應進行斷開，返回ACK:端口開放返回RESET:端口關閉ID頭信息掃描：SYN|ACK：端口開放RST|ACK:端口關閉隱蔽掃描:繞過IDS、防火墻SYN|ACK掃描：發(fā)送SYN|ACK數(shù)據包，返回RST，端口關閉不返回信息，端口開放FIN掃描：發(fā)送FIN數(shù)據包，返回RESET,端口關閉，不返回信息,端口開放ACK掃描：發(fā)送FIN數(shù)據包，返回TTL<64或WIN>0，端口開放返回TTL>64或WIN=0端口關閉NULL掃描：發(fā)送空數(shù)據，不返回，端口開放。返回RET，端口關閉XMAS掃描：發(fā)送1，不返回，端口開放。返回RET，端口關閉口令破解、緩沖區(qū)溢出惡意代碼-計算機病毒、網絡蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網絡拒絕服務、網絡釣魚、網絡竊聽、SQL注入、社交工程、電子監(jiān)聽、會話劫持、漏洞掃描、代理技術、數(shù)據加密DDOS攻擊的步驟：1、掃描大量主機，尋找可攻擊目標2、攻擊有安全漏洞主機，獲取控制權3、安裝攻擊程序4、利用主機繼續(xù)掃描和攻擊5、遙控所有攻擊客戶端進行目標攻擊密碼學基本理論DES分組64位，密鑰長度56位，每輪子密鑰48位IDEA分組64位，密鑰長度128位AES分組128位，密鑰長度128、192、256RSA非對稱算法國產密碼：SM1：對稱加密，分組、密鑰長度128位SM2:非對稱加密SM3:雜湊算法，分組512，雜湊值長度256SM4：對稱加密，分組、密鑰長度128SM9：標識密碼Hash算法：MD5(512位數(shù)據塊，產生128位的哈希值)、SHA（512位數(shù)據塊，產生160位的哈希值）、SM3（512位數(shù)據塊，產生256位的哈希值）數(shù)字簽名：滿足三個條件：非否認、真實性、可鑒別性密鑰管理：三個方面：密鑰管理、密鑰管理政策、密碼評測密鑰管理周期：生成-存儲-分發(fā)-使用-更新-撤銷-備份-恢復-銷毀-審計第4章網絡安全體系與網絡安全模型網絡體系的主要特征：整體性、協(xié)同性、過程性、全面性、適應性、BLP模型：機密性下讀上寫B(tài)iBa模型：完整性上讀下寫PDRR模型：保護Protection、檢測Detection、恢復Recovery、響應ResponseP2DR模型：策略Policy、保護Protection、檢測Detection、響應ResponseWPDRRC模型：預警、保護、檢測、響應、恢復和反擊構成縱深防御模型：4道防線：安全保護、安全監(jiān)測、實時響應、恢復網絡網絡生存模型3R策略：抵抗Resistance、識別Recognition、恢復Recovery網絡安全建設的主要內容：1、網絡安全策略及標準規(guī)范制定和實施2、網絡安全組織管理機構的設置和崗位人員配件3、網絡安全項目規(guī)劃、設計、實施4、網絡安全方案設計和部署5、網絡安全工程項目驗收評測和交付使用網絡安全等級保護工作：定級、備案、建設整改、等級測評、監(jiān)督檢查第5章物理與環(huán)境安全技術機房等級要求：A級：中斷后，對國家安全、社會秩序、公共利益造成嚴重損害 B級：中斷后，對國家安全、社會秩序、公共利益造成較大損害 C級：不屬于A和B數(shù)據中心建設：超大型數(shù)據中心-大于等于10000個標準機架大型數(shù)據中心—大于等于3000個小于10000個標準機架中小型數(shù)據中心—小于3000個標準機架IDC機房要求：R1級一定冗余能力，可用性不應小于99.5% R2級具備冗余能力，可用性不應小于99.9%R3級具備容錯能力，可用性不應小于99.99%硬件木馬檢測：反向分析法、功耗分析法、側信道分析法容錯容災存儲技術：磁盤陣列、雙機在線備份、離線備份第6章認證技術原理與應用認證：標識和鑒別組成認證分類：單向認證、雙向認證、第三方認證認證技術方法：口令認證技術、智能卡技術、基于生物特征認證技術、kerberos認證技術PKI安全服務：身份認證、完整性保護、數(shù)字簽名、會話加密、密鑰恢復CA:證書頒發(fā)、廢止、更新、簽發(fā)、管理、測寫RA：輔助CA（前臺）第7章訪問控制技術原理與應用主體：訪問者客體：資源對象授權：訪問者對資源對象的訪問方式目標：防止非法用戶進入系統(tǒng)阻止合法用戶越權訪問訪問控制參考模型組成：主體、參考監(jiān)視器、客體、訪問控制數(shù)據庫、審計庫訪問控制模型發(fā)展自主訪問控制模型DiscretionaryAccessControlDAC,客體的所有者按照自己的安全策略授予系統(tǒng)中其他用戶對其的訪問權基于行的自主訪問控制：能力表（讀寫執(zhí)行）、前綴表（權限）、口令表（口令）基于列的自主訪問控制：保護位、訪問控制表（ACL,從客體出發(fā)）強制訪問控制模型MandatoryAccessControlMAC主體和客體的安全屬性，用于軍事，劃分安全等級和不同類別基于角色的訪問控制模型RBAC由用戶、角色、會話、權限組成基于使用的訪問控制模型基于地理為主的訪問控制模型基于屬性的訪問控制模型AttributeBasedAccessControlABAC根據主體的屬性、客戶的屬性、環(huán)境的條件及方位策略對主體的請求操作進行授權許可或拒絕基于行為的訪問控制模型基于時態(tài)的訪問控制模型訪問控制規(guī)則基于用戶身份的訪問控制規(guī)則--賬號口令基于角色的訪問控制規(guī)則–角色權限基于地址的訪問控制規(guī)則–IP、域名、物理地址基于時間的訪問控制規(guī)則–下班時間基于異常事件的訪問控制規(guī)則–登錄3次失敗，凍結基于服務數(shù)量的訪問控制規(guī)則–服務能力的某個閥值訪問控制過程：1、明確訪問控制管理的資產（路由器、WEB服務）2、分析管理資產的安全需求（保密性、完整性、可用性要求）3、制定訪問控制策略，確定訪問控制規(guī)則及用戶權限分配4、實現(xiàn)訪問控制策略，建立用戶訪問身份認證系統(tǒng)并根據用戶類型授權用戶訪問資產5、運行和維護訪問控制系統(tǒng)，及時調整訪問策略最小特權管理：按需使用口令安全管理：口令選擇至少8個字符以上，選用大小寫字母、數(shù)字、特殊字符組合禁止使用與賬號相同的口令更換系統(tǒng)默認口令、避免使用默認口令限制賬號登錄次數(shù)、建議為3次禁止共享賬號和口令口令文件應加密存放，并只有超級用戶才能讀取禁止以明文形式在網絡傳遞口令口令應有時效機制，經常更改，并且禁止重用口令對所有賬號運行口令破解工具，檢查是否存在弱口令或沒有口令的賬號Web服務訪問控制由：網絡通信、用戶身份認證、操作系統(tǒng)、數(shù)據庫Apachehttpd保護/secret，限定ip地址，子網或域名可以訪問，則需在access.conf中加一個類似下面的目錄控制段<Directory/full/path/to/secret><LimitGETPOST>denyfromallallowfromx.y.zXXX.XXX.XXX.cnallowfroma.b.c.d</Limit></Directory>第8章防火墻技術原理與應用安全區(qū)域：公共外部網絡、內聯(lián)網、外聯(lián)網、軍事緩沖區(qū)域DMZ防火墻的訪問控制可以作用于：網絡接口層、網絡層、傳輸層、應用層訪問墻的功能：過濾非安全的網絡訪問、限制網絡訪問、網絡訪問審計、網絡帶寬控制、協(xié)同防御防火墻的風險：1）網絡安全旁路2）防火墻功能缺陷（1-不能防止感染病毒的軟件或文件傳輸2-不能防止基于數(shù)據驅動攻擊3-不能防止后門攻擊）3）防火墻安全機制形成單點故障和特權威脅4）防火墻無法有效防范內部威脅5）防火墻效用受限于安全規(guī)則防火墻類型：包過濾防火墻、代理防火墻、下一代防火墻、Web應用防火墻、數(shù)據庫防火墻、工控防火墻防火墻實現(xiàn)技術：包過濾–根據ip地址、目的IP地址、源端口、目的端口、方向進行判斷是否允許包通過優(yōu)點：低負載、高通過率、對用戶透明缺點：不能在用戶級別過濾、不能識別不同的用戶和防止IP地址的盜用狀態(tài)檢測步驟1）接收數(shù)據包2）檢查數(shù)據包的有效性，若無效丟棄3）有效，查找會話表，若找到，檢查數(shù)據包的序列號和會話狀態(tài)，若有效則進行地址轉換和路由，轉發(fā)該數(shù)據包，否擇丟棄4）當會話表中沒有新到德數(shù)據包信息時，則查找策略表，如符合策略表，則怎加會話條目到會話表，并進行地址轉換和路由，轉發(fā)該數(shù)據包，否擇，丟棄該數(shù)據包應用服務代理中間人角色（應用代理服務器、身份驗證服務程序構成）優(yōu)點：1、不允許外部主機直接訪問內部主機2、支持多種用戶認證方案3、可以分析數(shù)據包內部的應用程序4、可以提供詳細的審計記錄缺點：1、速度比包過濾慢2、對用戶不透明3、不能支持所有網絡協(xié)議網絡地址轉換：靜態(tài)NAT(一對一)、NAT池（隨機對應）、端口NAT（ip+端口）協(xié)議分析深度包檢查Web防火墻：功能：允許/禁止HTTP請求類型、HTTP協(xié)議頭各個字段的長度限制、后綴名過濾、URL內容關鍵字過濾、Web服務返回內容過濾 可抵御攻擊：SQL注入、XSS跨站腳本攻擊、Web應用掃描、webshell、Cookie注入攻擊、CSRF攻擊數(shù)據庫防火墻：源地址、目標地址、源端口、目標端口、SQL語句，阻斷違規(guī)SQL操作下一代防火墻：功能：1、應用識別和管控2、入侵防護（IPS）3、數(shù)據防泄露4、惡意代碼防護5、URL分類與過濾6、帶寬管理和Qos優(yōu)化7、加密通信分析雙宿主主機防火墻兩個網卡代理型防火墻（屏蔽主機）:位于內部網絡優(yōu)點：代理型比雙宿主主機結構提供更好的安全保護，操作簡單缺點：攻破了代理主機，就可以偵聽到內部網絡的所有信息屏蔽子網防火墻：DMZ區(qū)優(yōu)點：安全級別更高缺點：成本高、配置復雜第9章VPN技術原理和應用主要安全服務：保密性服務（防止被監(jiān)聽）、完整性服務（防止被修改）、認證服務（防止非法接入）VPN類型：鏈路層VPN、網絡層VPN、傳輸層VPNVPN實現(xiàn)技術：密碼算法、密鑰管理、認證訪問控制、IPSec(網絡層)、SSL（應用層和網絡層之間）、PPTP、L2TPVPN采用的多種安全機制：隧道技術、加密技術、身份認證技術、密鑰管理技術、訪問控制隧道的實質是一種封裝第二層隧道：PPTP第三層隧道：IPSecIP安全協(xié)議IPSec工作模式：傳輸模式、隧道模式SLL:傳輸層的安全協(xié)議，介于應用層和TCP層之間PPTP:提供認證、壓縮。它是點到點的安全隧道協(xié)議IPSecVPN功能：隨機數(shù)生成、密鑰協(xié)商、安全報文封裝、NAT穿越、身份鑒別SSLVPN功能：隨機數(shù)生成、密鑰協(xié)商、安全報文傳輸、身份鑒別、訪問控制、密鑰更新、客戶端主機安全檢查VPN應用場景：遠程訪問虛擬網（AccessVPN）--解決遠程用戶安全辦公問題、企業(yè)內部虛擬網（IntranetVPN）、企業(yè)擴展虛擬網（ExtranetVPN）第10章入侵檢測技術原理與應用入侵檢測的作用：發(fā)現(xiàn)受保護系統(tǒng)中的入侵行為或異常行為檢驗安全保護措施的有效性分析受保護系統(tǒng)所面臨的威脅有利阻止安全事件擴大，及時報警出發(fā)網絡安全應急響應可以為網絡愛不起策略的制定提供重要指導報警信息可用作網絡犯罪取證入侵檢測的技術基于誤用的入侵檢測技術--特征匹配基于條件概率的誤用檢測方法、基于狀態(tài)遷移的誤用檢測方法、基于鍵盤監(jiān)控的誤用檢測方法、基于規(guī)則的誤用檢測方法基于異常的入侵檢測技術---與正常的數(shù)值比，表現(xiàn)異常的優(yōu)點：1、符合數(shù)據異常變化理論，適合事務的發(fā)展規(guī)律 2、檢測算法普適化，對變量跟蹤不需要大量的內存3、有能力檢測與響應某些新的攻擊缺點：1、數(shù)據假設可能不合理，加權算法在統(tǒng)計意義上可能不準確 2、對突發(fā)事件容易引起誤判3、對長期、穩(wěn)定的攻擊方法的靈敏度低基于統(tǒng)計的異常檢測方法、基于模式預測的異常檢測方法、基于文本分類的異常檢測方法、基于貝葉斯推理的異常檢測方法入侵檢測系統(tǒng)組成：數(shù)據采集模塊、入侵分析引擎模塊、應急處理模塊、管理配置模塊、相關輔助模塊基于主機的入侵檢測系統(tǒng)HIDS，收集日志文件，調用系統(tǒng)資源、網絡通信、用戶使用信息，分析是否包含攻擊特征入侵檢測的指標：可靠性、可用性、可擴展性、時效性、準確性和安全性入侵檢測的部署：1、確定要監(jiān)測的對象或網段2、安裝IDS探測器，采集網絡入侵檢測所需的信息3、制定相應的檢測策略4、選用合適的IDS結構類型5、配置入侵檢測規(guī)則6、測試驗證是否正常執(zhí)行7、允許和維護IDS第11章網絡物理隔離技術原理與應用分類：單點隔離、區(qū)域分離技術：專用計算上網、多PC、外網代理服務、內外網線切換器、單硬盤內外分區(qū)、雙硬盤、網閘、協(xié)議隔離、單向傳輸、信息擺渡、物理斷開第12章網絡安全審計技術原理與應用標準：TCSEC：C2級開始提出安全審計要求B3級之后更高級別不再變化國家標準GB17859：第二級開始要求提供審計安全機制計算機系統(tǒng)安全保護能力等級：主席愛街坊 用戶自主保護級、系統(tǒng)審計保護級（客體保護，阻止非授權）、安全標記保護級（讀出標記）、結構化保護級（審計隱藏）、訪問驗證保護級（監(jiān)控安全）網絡安全審計系統(tǒng)組成：審計信息獲取、審計信息存儲、審計信息分析、審計信息展示及利用、系統(tǒng)管理網絡安全審計系統(tǒng)類型：按審計對象類型分類：操作系統(tǒng)安全審計、數(shù)據庫安全審計、網絡通信安全審計、應用系統(tǒng)安全審計、網絡安全設備審計、工控安全審計、移動安全審計、互聯(lián)網安全審計、代碼安全審計Windows審計信息：注冊登錄事件、目錄服務訪問、審計賬號管理、對象訪問、審計策略變更、特權使用、進程跟蹤、系統(tǒng)事件Linux審計信息：開機自檢日志boot.log、用戶命令操作日志acct/pacct、最近登錄日志lastlog、使用su命令日志sulog、用戶當前登錄日志utmp、用戶退出日志wtmp、系統(tǒng)接收和發(fā)送郵件日志maillog、系統(tǒng)消息messages數(shù)據庫審計：讀、寫、查詢、添加、刪除、修改操作，對數(shù)據庫操作進行回放網絡通信安全審計：IP源地址、IP目的地址、源端口號、目的端口號、協(xié)議類型、傳輸內容網絡審計數(shù)據安全分析技術：字符串匹配、全文搜索、數(shù)據關聯(lián)、統(tǒng)計報表、可視化分析網絡審計數(shù)據保護技術：系統(tǒng)用戶分權管理、審計數(shù)據強制訪問、審計數(shù)據加密、審計數(shù)據隱私保護、審計數(shù)據完整性保護日志安全審計：日志采集、日志存儲、日志分析、日志查詢、事件警告、統(tǒng)計報表、系統(tǒng)管理第13章網絡安全漏洞防護技術原理與應用基于漏洞的安全威脅：敏感信息泄露、非法授權訪問、身份假冒、拒絕服務網絡安全漏洞的來源：非技術性安全漏洞--管理組織結構、管理制度、管理流程、人員管理技術性安全漏洞--網絡結構、通信協(xié)議、設備、軟件產品、系統(tǒng)配置、應用系統(tǒng)非技術性安全漏洞的主要來源：網絡安全責任主體不明確網絡安全策略不完備網絡安全操作技能不足網絡安全監(jiān)督缺失網絡安全特權控制不完備技術安全漏洞的主要來源設計錯誤輸入驗證錯誤緩沖區(qū)溢出意外情況處置錯誤訪問驗證錯誤配置錯誤競爭條件環(huán)境錯誤漏洞分類：注入、未驗證的重定向和轉發(fā)、失效的身份認證、XML外部實體（XXE）、敏感信息泄露、失效的訪問控制、安全配置錯誤、跨站腳本（XSS）、不安全的反序列化、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控、非安全加密存儲網絡安全漏洞管理過程：網絡信息系統(tǒng)資產確認網絡安全漏洞信息采集網絡安全漏洞評估網絡安全漏洞消除和控制網絡安全漏洞變化跟蹤漏洞發(fā)現(xiàn)方法：人工安全性分析、工具自動化檢測、人工智能輔助分析漏洞發(fā)現(xiàn)技術：文本搜索、詞法分析、范圍檢查、狀態(tài)機檢查、錯誤注入、模糊測試、動態(tài)污點分析、形式化驗證網絡安全漏洞利用防范技術地址空間隨機化技術--通過對程序加載到內存地址進行隨機化處理，使得攻擊者不能事先確定程序的返回地址數(shù)據執(zhí)行阻止--操作系統(tǒng)通過對特定的內存區(qū)域標注為執(zhí)行，使得代碼不能在指定的內存區(qū)域運行SEHOP–防止攻擊者利用SHE重寫堆棧保護---設置堆棧完整性標記以檢查函數(shù)調用返回地址是否被篡改，從而阻止攻擊者利用緩沖區(qū)漏洞虛擬補丁第14章惡意代碼防范技術原理惡意代碼：計算機病毒ComputerVirus、蠕蟲Worms、特洛伊木馬TrojanHorse、邏輯炸彈LogicBombs、細菌Bacteria、惡意腳本MaliciousScripts、惡意ActiveX控件、間諜軟件Spyware惡意代碼攻擊技術：進程注入技術、超級管理技術、端口反向鏈接技術、緩沖區(qū)溢出攻擊技術惡意代碼分析方法：靜態(tài)分析法（反惡意軟件檢查、字符串分析、靜態(tài)反編譯分析）、動態(tài)分析法（文件監(jiān)測、進程監(jiān)測、注冊表監(jiān)測、動態(tài)反匯編分析）特洛伊木馬防范技術：基于查看開放端口檢測特洛伊木馬技術基于重要系統(tǒng)文件檢測特洛伊木馬技術基于注冊表檢測特洛伊木馬技術檢測具有隱藏能力的特洛伊木馬技術基于網絡檢測特洛伊木馬技術基于網絡阻斷特洛伊木馬技術清除特洛伊木馬技術網絡蠕蟲防范技術網絡蠕蟲監(jiān)測與預警技術--安裝探測器網絡蠕蟲傳播抑制技術--蜜罐網絡系統(tǒng)漏洞檢測與系統(tǒng)加固技術網絡蠕蟲免疫技術–欺騙網絡蠕蟲阻斷與隔離技術--路由器、防火墻網絡蠕蟲清除技術–刪除文件、注冊表、進程僵尸網絡，構建方式：遠程漏攻擊、弱口令掃描入侵、郵件附件、惡意文檔、文件共享、網頁掛馬 步驟：1、僵尸程序傳播2、操作受害機組成網絡3、執(zhí)行攻擊僵尸網絡防范技術：威脅監(jiān)測、監(jiān)測、主動遏制、查殺第15章網絡安全主動防御技術與應用原理：通過對目標對象的網絡攻擊行為進行阻斷、從而達到保護目標對象的目的IPS/SPS作用：過濾掉有害的網絡信息流，阻斷入侵者對目標的攻擊行為IPS/SPS安全功能：1、屏蔽指定IP地址2、屏蔽指定網絡端口3、屏蔽指定域名4、封鎖指定URL、阻斷特定攻擊類型5、為零日漏洞提供熱補丁網絡流量清洗技術：清除目標對象的惡意流量，以保障正常網絡服務通信網絡流量清洗場景：畸形數(shù)據報文過濾、抗拒絕服務攻擊、Web應用保護、DDos高防IP服務網絡流量清洗技術：1、流量檢測2、流量牽引與清洗3、流量回注可信計算計算應用計算平臺安全保護--完整性度量和檢查，防止惡意代碼篡改BIOS、操作系統(tǒng)和應用軟件可信網絡連接--身份認證、完整性認證可信驗證數(shù)字水印應用場景：敏感信息增加保護、防范電子文件非授權擴散、知識產權保護、網絡攻擊活動溯源、敏感信息訪問控制數(shù)字水印技術應用：版權保護、信息隱藏、信息溯源、訪問控制網絡攻擊陷阱技術應用：惡意代碼監(jiān)測、增強抗攻擊能力、網絡態(tài)勢感知域名服務安全風險：域名信息篡改、域名解析配置錯誤、域名劫持、域名軟件安全漏洞第16章網絡安全風險評估技術原理與應用網絡安全風險評估過程：1、網絡安全風險評估準備2、資產識別3、威脅識別4、脆弱性識別5、已有的網絡安全措施封閉性6、網絡安全風險分析7、網絡安全風險處置與管理脆弱性識別方法：漏洞掃描、人工掃描、問卷調查、安全訪談、滲透測試網絡安全風險分析步驟：對資產進行識別，并對資產的價值進行賦值對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值根據威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性根據脆弱性的嚴重程度及安全事件所作用的資產價值計算安全事件的損失根據安全事件發(fā)生的可能性及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響。網絡安全風險分析方法：定性計算方法、定量計算方法、綜合計算方法網絡安全風險評估技術：資產信息收集、網絡拓撲發(fā)現(xiàn)、漏洞掃描、人工檢查、安全滲透人工智能安全風險：訓練數(shù)據安全風險、算法安全風險、系統(tǒng)代碼實現(xiàn)安全風險、技術濫用風險、高度自治智能系統(tǒng)導致社會安全風險第17章網絡安全應急響應技術原理與應用網絡安全事件類型：惡意程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件、其他信息安全事件分級：特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件網絡安全應急處理流程：安全事件報警、安全事件確認、啟動應急預案、安全事件處理、撰寫安全事件報告、應急工作總結第18章網絡安全評測技術與標準1999年，我國頒布了《計算信息系統(tǒng)系統(tǒng)安全保護等級劃分準則》測評主要包括：安全功能檢測、安全管理檢測、代碼安全審查、安全滲透、信息系統(tǒng)攻擊測試測評主要包括：技術安全測評、管理安全測評技術安全測評：物理環(huán)境、通信網絡、區(qū)域邊界、計算環(huán)境、管理中心管理安全測評：制度、機構、人員、建設、運維網絡安全滲透測試過程：用戶確認滲透性目標簽定授權書及撰寫測試方案確定滲透時間、執(zhí)行滲透方案匯總分析滲透數(shù)據，驗證安全威脅場景及安全影響撰寫滲透分析報告及安全改進建議第19章操作系統(tǒng)安全保護操作系統(tǒng)安全需求：標識與鑒別、訪問控制、系統(tǒng)資源安全、網絡安全、抗攻擊、自身安全操作系統(tǒng)安全機制：硬件安全、標識與鑒別、訪問控制、最小特權管理、安全審計、可信路徑、系統(tǒng)安全增強Windows系統(tǒng)安全問題：口令、惡意代碼、應用軟件漏洞、系統(tǒng)程序漏洞、注冊表安全、文件共享安全、物理臨近攻擊安全增強方法：安全漏洞打補丁停止服務或卸載軟件升級或更換程序修改配置或權限去除特洛伊等惡意程序安裝專用的安全工具軟件安全增強步驟：確認系統(tǒng)安全增加的目標和業(yè)務用途安裝最小化的操作系統(tǒng)安裝最新的系統(tǒng)補丁配置安裝的系統(tǒng)服務配置安全策略–密碼復雜度要求、用戶鎖定閥值、時間、計數(shù)器禁用NetBIOS–過濾135~139、445端口賬戶安全配置–禁用默認賬號、定期檢測賬戶、盡早發(fā)現(xiàn)可疑賬戶、關閉Guest賬戶文件系統(tǒng)安全配置–刪除不必要文件、應用程序，啟用加密文件系統(tǒng)，設置文件共享口令，修改系統(tǒng)默認的安裝目錄名配置TCP/IP篩選和ICF--過濾不使用的端口、應用層網絡服務、ICMP數(shù)據包禁用光盤或軟盤啟動使用屏幕保護口令設置應用軟件安全安裝第三方防護軟件賬號與口令管理安全增強：1、停掉guest賬號2、限制不必要的用戶數(shù)量3、把系統(tǒng)administrator賬號改名4、創(chuàng)建一個陷阱賬號5、設置安全復雜的口令6、設置屏幕保護口令7、不讓系統(tǒng)顯示上次登錄名8、開啟口令安全策略9、開啟賬號策略網絡安全增強：1）緊張建立空連接2）關閉默認共享3）關閉不必要的網絡服務和網絡端口Linux三層：硬件層、系統(tǒng)內核、應用層Linux認證：1、基于口令的認證方式2、終端認證3、主機信任機制4、第三方認證Linux系統(tǒng)安全增強方法：給安全漏洞打補丁停止不必要的服務升級或替換軟件包修改系統(tǒng)配置安裝專用的安全工具軟件Linux系統(tǒng)安全加固步驟確定系統(tǒng)的安全目標安裝最小化Linux系統(tǒng)利用Linux系統(tǒng)自身安全機制，配置安全策略利用第三方軟件包增強系統(tǒng)安全檢測Linux系統(tǒng)的安全策略的有效性或安全隱患根據系統(tǒng)安全測試，重新調整安全策略或安全措施安全檢查通過，Linux系統(tǒng)開始正常運行Linux系統(tǒng)安全增強技術安裝系統(tǒng)補丁軟件包最小化系統(tǒng)網絡服務設置系統(tǒng)開機保護口令弱口令檢查禁用默認賬號用SSH增強網絡服務安全利用tcp_wrapper增強訪問控制構筑Linux主機防火墻使用Tripwire或MD5Sum完整性檢測工具檢測LKM后門系統(tǒng)安全監(jiān)測Linux安全增強措施禁止訪問重要文件禁止不必要的SUID程序為LILO增加開機口令設置口令最小長度和最短使用時間限制遠程訪問用戶超時注銷注銷時刪除命令記錄國產操作系統(tǒng)風險：Linux內核安全風險、自主研發(fā)系統(tǒng)組件的安全、依賴第三方系統(tǒng)組件的安全、系統(tǒng)安全配置的安全、硬件安全第20章數(shù)據庫系統(tǒng)安全數(shù)據庫安全威脅：授權的誤用、邏輯判斷和匯聚、偽裝、旁路控制、隱蔽信道、SQL注入攻擊、數(shù)據庫口令密碼破解、硬件及介質攻擊數(shù)據庫安全隱患：數(shù)據庫用戶賬號和密碼隱患、數(shù)據庫系統(tǒng)擴展存儲過程隱患、數(shù)據庫系統(tǒng)軟件和應用程序漏洞、數(shù)據庫系統(tǒng)權限分配隱患、數(shù)據庫系統(tǒng)用戶安全意識薄弱、網絡通信內容是明文傳遞、數(shù)據庫系統(tǒng)安全機制不健全數(shù)據庫安全需求：標識與鑒別、訪問控制、安全審計、備份與恢復、加密、資源限制、安全加固、安全管理數(shù)據庫防火墻的安全作用：屏蔽直接訪問數(shù)據庫的通道增強認證攻擊檢測防止漏洞利用防止內部高危操作防止敏感數(shù)據泄露數(shù)據庫安全審計Oracle安全最佳實踐：增強oracle數(shù)據庫服務器的操作系統(tǒng)安全最小化安裝oracle，刪除不必要的組件安裝最新的安全補丁刪除或修改默認的用戶和密碼啟用認證機制設置好的口令密碼策略設置最小化權限限制連接oracle的IP地址傳輸加密啟用oracle審計定期查看oracle漏洞發(fā)布信息實施Oracle災備計劃SqlServer安全機制：用戶身份認證、訪問控制、數(shù)據庫加密、備份恢復機制、安全審計SQLServer安全最佳實踐：設置好的數(shù)據庫密碼安全策略加強擴展存儲過程，刪除不必要的存儲過程網上數(shù)據加密傳輸修改數(shù)據庫默認的TCP/IP端口號對SQL數(shù)據庫訪問的網絡連接進行IP限制啟用SQLServer日志審計，記錄所有的用戶訪問和分析安全事件日志定期查看MSSQLServer漏洞發(fā)布信息，及時修補漏洞保證MSSQLServer的操作系統(tǒng)安全MSSQLServer安全檢測，制定安全容災備份計劃MySQL安全機制：用戶身份認證、授權訪問、安全審計MySQL安全最佳實踐：MySQL安裝，單獨啟動MySQL的用戶和組建立MySQLChrooting運行環(huán)境，形式沙箱保護，增強系統(tǒng)抗?jié)B透能力關閉MySQL的遠程連接禁止MySQL導入本地文件修改MySQL的root用戶ID和密碼刪除MySQL的默認用戶和db更改MySQL的用戶名，防止口令暴力破解建立應用程序獨立使用數(shù)據庫和用戶賬號安全監(jiān)測安全備份第21章網絡設備安全交換機面臨的網絡安全威脅：MAC地址泛洪、ARP欺騙、口令威脅、漏洞利用路由器面臨的網絡安全威脅：漏洞利用、口令安全威脅、路由協(xié)議安全威脅、Dos/DDos威脅、依賴性威脅安全增強：關閉非安全的網絡服務及功能、信息過濾、協(xié)議認證交換機安全增加的技術方法配置交換機訪問口令和ACL,限制安全登錄利用鏡像技術監(jiān)控網絡流量MAC地址控制技術設置最多可學習到的MAC地址數(shù)設置系統(tǒng)MAC地址老化時間安全增強關閉不需要的網絡服務創(chuàng)建本地賬號啟用SSH服務限制安全遠程訪問限制控制臺的訪問啟動登錄安全檢查安全審計限制SNMP訪問安全保存交換機IOS軟件鏡像文件關閉不必要的端口關閉控制臺及監(jiān)測的審計警示信息路由器安全增加技術方法及時升級操作系統(tǒng)和補丁關閉不需要的網絡服務禁止CDP禁止其他的TCP\UDPSmall服務禁止Finger服務明確禁止不使用的端口禁止IP直接廣播和源路由增強路由器CTX安全阻斷惡意數(shù)據包路由器口令安全傳輸加密增強路由器SNMP的安全第22章網站安全需求分析與安全保護工程網站安全：機密性、完整性、可用性、可控性網站安全威脅：非授權訪問、網頁篡改、數(shù)據泄露、惡意代碼、網站假冒、拒絕服務、網站后臺管理安全威脅ApacheWeb配置：httpd.conf-主配置、conf/srm.conf-數(shù)據配置、conf/access.conf-讀取文件控制、conf/access.conf-MIME格式ApacheWeb安全威脅：軟件程序威脅、軟件配置威脅、安全機制威脅、應用程序威脅、服務通信威脅、服務內容威脅、拒絕服務威脅ApacheWeb安全機制本地文件安全模塊管理機制認證機制鏈接耗盡應對機制–應對拒絕服務攻擊自帶分訪問機制審計和日志防范DosApacheWeb安全增強及時安裝ApacheWeb補丁啟用.htaccess文件保護網頁為ApacheWeb服務軟件設置專門的用戶和組隱蔽ApacheWeb軟件的版本號ApacheWeb目錄訪問安全增強ApacheWeb文件目錄保護刪除ApacheWeb默認目錄或不必要的文件使用第三方軟件安全增強ApacheWeb服務IIS安全威脅：非授權訪問、網絡蠕蟲、網頁篡改、拒絕服務、IIS軟件漏洞IIS安全增強：及時安裝IIS補丁啟用動態(tài)IP限制啟用URLScan啟用IISweb應用防火墻啟用SSL服務漏洞排名TOP10注入漏洞--SQL、NoSQL、OS、LDAP注入漏洞遭受破壞的認證敏感數(shù)據暴露漏洞XML-外部實體引用漏洞受損害的訪問控制漏洞安全配置錯誤跨站腳本漏洞非安全反序列化漏洞使用含有已知漏洞的組件10非充分的日志記錄和監(jiān)控WEB應用漏洞防護SQL注入漏洞分析與防護對應用程序輸入進行安全過濾設置應用程序最小化權限屏蔽應用程序錯誤提示信息對開源web應用程序做安全適應性改造文件上傳漏洞分析與防護將上傳目錄設置為不可執(zhí)行，避免上傳文件遠程觸發(fā)執(zhí)行檢查上傳文件的安全性，阻斷惡意文件上傳跨站腳本攻擊網站安全保護機制：身份鑒別