计算机网络安全与应用技术期末复习资料.doc

计算机网络安全技术信息安全： 广义的：防止信息财产的泄露、破坏等，即取保信息的保密性、可用性、完整性和可控性 狭义的：网络安全。 一般可以认为网络安全包括物理安全、运行安全和数据安全三个层次，它们涵盖的范围如图1-1所示。 网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。 课程知识体系一、 基本概念信息安全，网络安全，黑客，密码技术，防火墙，入侵检测系统(IDS)， 密钥，数字签名 ，识别（辨认;辨别;区分,分辨 ），验证（主要指模型的输出和观察值是否相符)，漏洞(广义的漏洞：非法用户未经授权获的访问或提高其访问层次的硬件或软件特征)，计算机病毒（能够实现自我复制且借助一定的载体存在的，具有潜伏性，传染性，和破坏性的程序），木马，端口扫描，电子商务安全，Internet安全。DES， CIH，VPN，RSA ，CA， DDoS ，ActiveX1、信息安全 广义的：防止信息财产的泄露、破坏等，即取保信息的保密性、可用性、完整性和可控性。 狭义的：网络安全 。 2 网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。3.黑客: “黑客”是一个精通计算机技术的特殊群体。可分为3类： “侠客（Hackers）”，他们多是好奇者和爱出风头者； “骇客（Crackers）”，他们是一些不负责的恶作剧者； “入侵者（Intruder），他们是有目的的破坏者。4.密码技术是保护信息安全的主要手段之一。他不仅有数字签名.身份验证.秘密分存.系统安全等功能。所以密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和正确性，防止信息被篡改.伪造或假冒。5.防火墙：是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。6.入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。7、数字签名（Digital Signature）是数字世界中的一种信息认证技术，它利用数据加密技术、数据变换技术，根据某种协议来产生一个反映被签署文件的特征和签署人特征，以保证文件的真实性和有效性的数字技术，同时也可用来核实接收者是否有伪造、篡改行为。8、密钥是用来加密、解密的一些特殊的信息。9、CA机构，又称为证书授权中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。包括两大部门： 一是审核授权部门（RA）， 另一个是证书操作部门（CP）。 10、RSA即公开密钥密码算法，RSA算法是第一个能同时用于加密和数字签名的算法。 RSA是被研究得最广泛的公钥算法，是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。11、 特洛伊木马是一种恶意的程序，它隐藏在正常的程序里。12、计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。13.特洛伊木马是一种恶意的程序，它隐藏在正常的程序里。一旦被引入到用户的系统中，木马程序便会运行在系统中。完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。14.端口扫描：就是利用某种程序自动依次检测目标计算机上的所有端口，根据端口的响应情况判断端口上运行的服务。15.电子商务安全：电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全等。计算机网络安全是商务安全的基础，一个完整的电子商务系统应建立在安全的网络的基础设施之上。商务交易安全保障电子商务过程的顺利进行，即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可抵赖性。16. Internet安全：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。17. Des：des算法是对称的，既可以用于加密又可以用于解密。DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。18. CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。19. VPN：虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。20. Ddos：DDOS全名是Distributed Denial of service (分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击，DDOS 最早可追溯到1996年最初，在中国2002年开始频繁出现，2003年已经初具规模。21. ActiveX 是一个开放的集成平台，为开发人员、 用户和 Web生产商提供了一个快速而简便的在 Internet 和 Intranet 创建程序集成和内容的方法二、重要结论n 我国计算机犯罪的增长速度超过了传统的犯罪。n 中国已经发布实施计算机信息系统安全保护等级划分准则，将计算机信息系统安全保护等级划分为五个级别的安全保护能力。n 信息安全技术的主要任务是研究计算机系统和通信网络内信息的保护方法，以实现系统内信息的安全、保密、真实和完整。n 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的。 n 现在应用最广泛的各类操作系统并不很安全，它们在安全性方面有很多漏洞。n 数据库主要的安全要求是数据库的完整性、可靠性、保密性、可用性，其中完整性包括物理完整性、逻辑完整性和元素完整性。n 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。n 与加密不同，数字签名的目的是为了保证信息的真实性和完整性。n 美国的可信任的计算机安全评估标准为计算机安全制定了7级标准，其中A级是最安全的。n 一般可以认为网络安全包括物理安全、运行安全和数据安全三个层次。n 病毒前缀是指一个病毒的种类，不同的种类的病毒，其前缀不相同。比如我们常见的木马的前缀是Trojan，蠕虫的前缀是Worm。n 为了提高无线网络的安全性，在IEEE802.11b协议中包含了一些基本的安全措施，包括：无线网络设备的服务区域认证ID (ESSID)、MAC地址访问控制以及WEP加密等技术。n 网络安全保密实践历史告诉我们，安全保密是一个动态过程，安全事件是一种随机事件，很难做到百分之百安全。n Windows 2000/2003身份认证分两部分过程执行，即交互式登陆，和网络身份认证。n 在数据库物理完整性方面，要求从硬件或环境方面保护数据库的安全，防止数据被破坏或不可读。n 1992年，开发出了基于动态包过滤技术的第四代防火墙。n 按TCSEC安全级别的划分，D级安全只具有文件和用户提供安全保护。n 防止用户被冒名所欺骗的方法是对信息源发方进行身份验证。n 能够在主机系统的审计日志寻找攻击特征的入侵检测方式是基于主机的入侵检测方式。n 计算机系统的脆弱性主要来自于原因是操作系统的不安全性。n 涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离 。n 电子政务安全保障体系由六要素组成，即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素。n 保护帐户口令和控制访问权限可以提高操作系统的安全性能。定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全。n Unix帐号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息。n 通常使用5位或5位以下的字符作为口令，属于弱口令。n 操作系统中超级用户和普通用户的访问权限是有很大不同的。n 密码技术是让信息的截获者无法了解信号的内容；数据隐藏技术则是使信息让人难于截获。n 数据加密可以采用软件和硬件方式加密。n 安装病毒疫苗是一种被动的信息安全措施。n 在对称密钥密码体制中，加、解密双方的密钥各自拥有不同的密钥。n MD5提供了一种单向的哈希函数，是一个校验和工具，产生一个128位的“报文摘要”。n SET（安全电子交易协议）是基于信用卡在线支付的电于商务安全协议，目前它已经获得IETF标准的认可，已经成为事实上的工业标准。n 认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。n 整个电子政务的安全，涉及信息安全产品的全局配套和科学布置，产品选择应充分考虑产品的自主权和自控权。二、 原理和方法n WEB客户端和WWW服务器的安全措施。（见第十讲的PPT ）n www：包含服务器和浏览器两个方面，主要原因：服务器软件和客户端浏览器的漏洞，服务器软件：Web服务器、数据库服务器、OS等协议本身的安全性支持，身份认证：Basic Authentication, Digest Access Authentication，保密性：TLS(Transport Layer Security)，实现上的安全性，服务器端安全性，Web pages的访问控制机制，可用性：防止拒绝服务，抵御各种网络攻击，客户端安全性，个人信息的保护，防止执行恶意代码，Web Proxy Server，Man-In-The-Middle2.2对Web客户机的安全威胁：现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。n DNS服务器应采取什么样的具体安全措施（见第八讲的PPT ） 1保证DNS部署的安全2保护DNS服务器服务3保护DNS区域4DNS区域数据恢复5保护DNS资源记录6保证DNS客户端的安全n 网络安全目标。 网络安全目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。主要有：运行系统安全，即保证信息处理和传输系统的安全。网络上系统信息的安全。网络上信息传播安全，即信息传播后果的安全。网络上信息内容的安全。n WIN2000/2003等操作系统的软件安全机制： 1）用户管理的 安全性；2）访问控制；3）可信通路；4）安全审计；5）最小特权管理。 杀毒软件对被感染的文件杀毒有哪几种方式 1）清除，2）删除，3）禁止访问，4）隔离，5）不处理 口令破解的方法 1直接猜解简单口令 2字典攻击 3强力破解 4组合攻击 5Web欺骗方法 6. 社会工程学 加强口令安全的措施（见第八讲PPT) 入侵检测系统的结构 三、 综合应用1数字签名的应用；随着计算机网络的发展，过去依赖于手书签名的各种业务都可用这种电子化的数字签名代替。它是实现电子贸易，电子支票、电子货币、电子出版及知识产权保护等系统安全的重要保证数字签名已经并将继续对人们如何共享和处理网络上信息以及事务处理产生巨大的影响。 为电子形式为文档附上电子时间标签。使用电子汇款系统的人可以利用电子鉴名数字签名的使用已延伸到保护数据库的应用中2防火墙及入侵检测系统的选购与设置；防火墙选购1)防火墙的安全性2)防火墙的高效性3)防火墙的适用性4)防火墙的可管理性5)完善及时的售后服务体系设置防火墙的要素：高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。设置：1服务定义2、过滤规则设置3、nat 设置4)http 端口设置5)url 组设置6)外部服务组设置7)用户上网权限设置当您选择入侵检测系统时，要考虑的要点有： 1.系统的价格 当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。 2.特征库升级与维护的费用 象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。 3.对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少 首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。 4.该产品容易被躲避吗 有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。 5.产品的可伸缩性 系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。 6.运行与维护系统的开销 产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。7.产品支持的入侵特征数，不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。8.产品有哪些响应方法 要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。 9.是否通过了国家权威机构的评测 主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。入侵检测系统的设置主要分为哪几个基本的步骤？ 一：入侵检测系统的设置主要分为以下几个基本的步骤：（1）确定入侵检测需求。（2）设计入侵检测系统在网络中的拓扑位置。（3）配置入侵检测系统。（4）入侵检测系统磨合。（5）入侵检测系统的使用及自调节。这些步骤的操作流程如图5-2所示。 网络安全防护体系；一 安全攻击、安全机制和安全服务ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。二 网络安全防范体系框架结构为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。基于DISSP扩展的一个三维安全防范技术体系框架结构，第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。四、网络安全防范体系层次作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。3.。密码技术及其应用；口令加密技术的应用电子邮件PGP加密系统口令加密技术 口令存储到文件，对口令文件进行加密； 单向函数加密法是一种比较安全的策略。应用实例：UNIX系统的口令保存和处理四：网站（WWW，DNS，E-MAIL ）安全措施(第八讲PPT）。Emal：1加密签名2垃圾邮件过滤3病毒扫描4防火墙的设置DNS:1保证DNS部署的安全2保护DNS服务器服务3保护DNS区域4DNS区域数据恢复5保护DNS资源记录6保证DNS客户端的安全WWW：1正确配置服务器操作系统2合理配置Web服务器访问限制3谨慎组织Web服务器的内容4Web服务器设备和相关软件的安全考虑5安全管理Web服务器6安全设置客户端防火墙产品选购策略1)防火墙的安全性2)防火墙的高效性3)防火墙的适用性4)防火墙的可管理性5)完善及时的售后服务体系理解安全与不安全概念n 案例1 不知你遇到过这种事情没有？上网正在兴头上时，突然IE窗口不停地打开，最后直到资源耗尽死机？ n 案例2 前几天, 我的一位同事的QQ被盗在淘宝网上拍卖了150元钱，最后同事费尽周折，利用密码保护才要回了自己心爱的Q