沈阳理工大学 信息系统安全 考试范围总结.doc

第一章 网络安全概述与环境配置1.1 信息安全概述1.网络安全是信息安全科学的重要组成部分。2.安全目标（管理）：机密性、完整性、抗否定性、可用性等 平台安全（标准）：物理安全、网络安全、系统安全、数据安全、边界安全、用户安全 安全理论（监控）：身份验证、访问控制、审计追踪、安全协议 安全技术（策略）：防火墙技术、漏洞扫描技术、入侵检测技术、防病毒技术 密码理论：数据加密、数字签名、消息摘要、密钥管理3.信息安全研究层次：（梯形由上到下）应用安全、系统安全、网络安全、安全协议、安全的密码算法1.1.2 信息安全的基本要求*信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性；也有观点认为是机密性，完整性和可用性（CIA）1.保密性（Confidentiality） 指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容因而不能使用2.完整性（Integrity） 指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。3.可用性（Availability） 指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。1.1.3 信息安全的发展信息保障的核心思想（PDRR）保护（Protect）采用可能采取的手段保护信息的保密性、完整性、可用性、可控性和不可否认性检测（Detect）提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。反应（React）指对危及安全的事件、行为、过程及时作出相应处理，杜绝威海的进一步蔓延扩大，力求系统上能提供正常服务。回复（Restore）指系统一旦遭到破坏，尽快恢复系统功能，尽早提供正常服务。可信计算：（了解概念）从芯片、主板等硬件结构和BIOS、OS等底层软件做起综合采取措施提高安全性，主要关注硬件软件两者安全性的协作，目的是在计算和通信中广泛使用基于硬件安全模块支持下的可信计算平台（TCP）以提高整体的安全性。 1.2 网络安全概述研究内容分成两大体系攻击和防御（图P5）攻击技术的五大方面：1.网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据2.网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备3.网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。4.网络后门：成功入侵目标计算机后，为了实现对战利品的长期控制，在目标计算机中种植木马等后门5.网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹消除，从而防止被对方管理员发现防御技术的五大方面：1.安全操作系统和操作系统的安全配置：操作系统是网络完全的关键。2.加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。3.防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵4.入侵检测：如果网络防线最终被攻破，虚空及时发出被入侵的警报。5.网络安全协议：保证传输的数据不被截获和监听。1.2.2 网络安全的层次体系1.物理安全：五大方面（防盗、防火、防静电、防雷击、防电磁泄漏）2.逻辑安全：用口令，文件许可等方法来实现3.操作系统安全：网络安全的基础4.联网安全：通过以下两方面的安全服务来达到 1）访问控制服务：用来保护计算机和联网资源不被非授权使用 2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性1.3 研究网络安全的必要性P7物理威胁：偷窃、废物搜寻（从废物中搜寻有用信息例如打印过的文件）、间谍行为、身份识别错误（非法建立文件或记录）系统漏洞威胁：乘虚而入、不安全服务、配置和初始化错误：身份鉴别威胁：口令圈套、口令破解、算法考虑不周、编辑口令线缆连接威胁：窃听、拨号进入、冒名顶替有害程序威胁：病毒：是一种把自己拷贝附着于机器中的另一程序上的一段代码。通过这种方式可以进行自我复制，并随着它所附着的程序在机器之间传播代码炸弹：是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或在机器中发生某种操作，代码炸弹就被触发并开始破坏性操作。特洛伊木马：一旦被安装到机器上，便可按照编者的意图行事。特洛伊木马能够摧毁数据，又是伪装成系统上已有的程序，有事创建新的用户名和口令第二章 网络安全协议基础（大题）2.1 OSI参考模型（很少有产品完全符OSI，但为网络结构提供了可行的机制）P281.物理层：最底层，负责传送比特流，从第二层数据链路层接收数据帧，并将帧的结构和内容穿行发送，即每次发送一个比特2.数据链路层：有发送和接收数据两个责任，还要提供数据有效传输的端到端连接。帧是该层的基本结构。在发送方，数据链路层负责将指令、数据等包装到帧中。帧中包含足够的信息，确保数据可以安全通过本地局域网到达目的地。为确保数据传送完整安全到达，要做到两点： 1.在每个帧完整无缺地被目标结点接收到时，源结点必须收到一个响应 2.在目标节点发出收到帧的响应之前，必须验证帧内容的完整性 许多情况可以导致帧不能正确完整的到达目标，数据链路层有责任检测并修正这些错误。 另外，不论哪种类型的通信都要求有第一层与第二层的参与，不管是局域还是广域网3.网络层：主要功能是完成网络中主机间的报文传输。 广域网中，这包括产生从源端到目的端的路由。 局域网中，网络层是冗余的，因为报文是在计算机之间直接传送的4.传输层：主要功能是完成网络中不同主机上的用户进程之间可靠的数据通信。最好的传输链接是一条无差错的、按顺序传送数据的管道，即传输层连接是真正端到端的。识别多条连接的信息可以放入传输层的报文头中。5.会话层：允许不同服务器上的用户之间建立会话关系。允许进行类似传输层的普通数据的传送，在某些场合还提供了一些有用的增强型服务。6.表示层：用于完成某些特定的功能，这些功能不必有每个用户自己来实现。另外，表示层以下的各层只关心从源端到目的端可靠地传送比特，儿表示层关心的是所传诵的信息的语法和语义。7.应用层：包含大量人们普遍需要的协议。对于需要通信的不同应用来说应用层的协议都是必须的。*2.2 TCP/IP协议族（P30）1.网络接口层：用于物理连接、传输的所有功能（对应OSI的物理层和数据链路层）2.网络层（Internet层）：由在两个主机之间通信必须的协议组成，通信的数据报文必须是可路由的3.传输层：功能包括：网络中对数据进行分段、执行数学检查来保证所接受的数据的完整性，为多个应用同时传输数据多路由复用数据流（传输和接收）。该层能识别特殊应用，对乱序收到的数据进行重新排序。包括传输控制协议（TCP）用户数据报协议（UDP）。4.应用层：提供远程访问和资源共享。应用包括Telnet服务，FTP服务、SMTP服务和HTTP服务等，也有很多其他应用程序驻留并运行在此层，且依赖与底层的功能。该层是最难保护的一层。*2.3 网络协议IP（P31）2.3.2 IPv4的IP地址分类（55）A：，用于支持巨型网络。A类地址较少但每个地址支持的主机数量很大第一个8位组表示网络号，后三个表示主机号B：，支持中大型网络，前两个8位组表示网络号，最后的两个8位组表示可能的主机地址C：，支持大量的小型网络， 前三个8位组表示网络号，手下的一个表示主机号，最大256个主机地址（0255），但仅有254个可用，因为0和255不是有效的主机地址。 IP地址中，0和255是保留的主机地址。IP地址中所有的主机地址为0用于标识局域网。同样。全为1表示在此网段中的广播地址。D：54，用于IP网络中的组播。一个组播地址是一个唯一的网络地址，它能知道报文到达预定义的IP地址组E：55，保留研究之用，Internet上没有可用的E类地址。子网掩码：是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。可用于判断两台计算机是否可以直接通信。*2.4 TCP（P36）*2.4.2 TCP协议的工作原理（简答）TCP提供两个网络主机之间的点对点通信。TCP从程序中接收数据并将数据处理成字节流。首先将字节流分段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先建立会话。通过“三次确认（握手）”完成初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。断开连接时需要“四次确认（挥手）”。*2.4.3 三次握手P39*2.4.4 四次挥手P402.5 用户数据报协议UDP（P42）UDP协议为应用程序提供发送和接收数据报的功能。如QQ就是用UDP协议，UDP协议在TCP/IP主机之间建立快速、轻便、不可靠的数据传输通道。*2.5.1 UDP协议和TCP协议的区别（P43图）UDP协议提供的是非连接的数据报服务，意味着UDP协议无法保证任何数据报的传递和验证。UDP和TCP传递数据的差异类似于明信片和电话之间的差异。TCP像电话，必须先验证目标是否可以访问后才开始通信；UDP像明信片，信息量很小而且每次传递成功的可能性很高，但不能完全保证传递成功。UDP协议通常由每次传输少量数据或有时是需要的程序使用。在这些清考蝶舞，UDP协议的低开销比TCP协议更适合比较：UDP/TCP不同：1).无连接的服务；在主机之间不建立会话/面向连接的服务；在主机之间建立会话 2).UDP不能确保或承认数据传递或序列化数据/TCP通过确认和按顺序传递数据来确保数据的传递 3).使用UDP的程序负责提供传输数据错徐的可靠性/使用TCP的程序能确保可狂额数据传输 4).UDP快速，具有低开销要求，且支持点对点和一点对多点的通信/TCP比较慢，有更高的开销要求，且只支持点对点通信 相同：UDP和TCP都是用端口识别每个TCP/IP程序的通信。2.7 常用网络服务和网络命令（P4554，选择填空）第四章 网络扫描与网络监听（p110）*攻击五部曲：1.隐藏IP：两种方式：首先入侵互联网上的一台计算机（肉鸡），利用这台计算机进行攻，击，即使被发现也是肉鸡的IP地址；第二种为多跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址2.踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确保信息准确后，确定攻击的时间地点。扫描的目的是利用各种工具在攻击目标IP地址或地址段的主机上寻找漏洞。3.获得系统或管理员权限：得到管理员权限的目的是连接远程计算机，对其进行控制，达到自己的攻击目的。方法包括：通过系统漏洞获得管理员权限、通过管理漏洞、通过监听获得敏感信息进一步获得相应权限、通过穷举法获得管理员账号密码等方法4.种植后门：为了保持长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门5.在网络中隐身：一次成功入侵后，一般在对方的计算机上已经存储了相关的登陆日志，容易被管理员发现。在入侵完毕后需要清除登陆日志及其他相关日志。4.3 网络扫描P111120两大策略：主动式策略、被动式策略*两大扫描方式： 1.慢速扫描：对非连续端口进行的，源地址不一致，时间间隔长而没有规律的扫描 2.乱序扫描：队连续的端口进行的，源地址一致，时间间隔短的扫描。*4.4 网络监听（基本原理 简答）P121网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。*监听器Sniffer的原理： 在局域网中与其他计算机进行数据交换时，数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包，其它机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来，然后对数据包进行分析，就得到了局域网中的通信数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息第五章 网络入侵5.3.1 字典攻击&字典文件字典攻击：暴力攻击的一种，通过仅仅使用某种具体的密码来缩小尝试的范围，由于大多数用户使用标准单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破解密码。强壮的密码则通过结合大小写字母、数字和通配符来击败字典攻击字典文件：一次字典攻击能否成功，很大因素上决定于字典文件。一个好的字典文件可以高效快速地得到系统的密码。根据攻击的目标可以对目标针对性的设计字典文件如生日、姓氏等作为字典文件的一部分，公司及部门的简称一般也可作为字典文件的一部分，可大大提高破解效率。 一个字典文件本身就是一个标准的文本文件，其中每一行代表一个可能的密码，目前有许多工具软件专门用来创建字典文件。5.4 Unicode漏洞（P132）5.5 其他漏洞攻击5.6缓冲区溢出攻击（P138P141）*5.7 拒绝服务攻击（选择、简答P149P153）5.7.1 SYN风暴（SY风暴攻击手段、分析和对抗 简答P150） 分析和对抗：基于SYN风暴攻击的特显，可以在多个层次上展开对抗，常规方法有五个1.优化系统配置：缩短超时时间，是的无效的半连接能够尽快释放，但是可能导致超过该阙值得合法连接失败；增加半连接队列的长度，使得系统能够同时处理更多的半连接；关闭不重要的服务，减小被攻击的可能。2.优化路由器配置：配置路由器的外网卡，丢弃那些来自外部网而源IP地址具有内部网络地址的包；配置路由器的内网卡，丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。虽不能完全杜绝SYN风暴攻击，但是能有效减少攻击的可能。3.完善基础设施：现有的网络体系结构没有对源IP地址进行检查的机制，同时也不具备追踪网络包的物理传输路径的机制。很多攻击手段都是利用现有网络协议的缺陷，因此，对整个网络体系结构的再改造十分重要。4.使用防火墙：现在许多尝试的防火墙产品实现了半透明网关技术，能够有效的防范SYN风暴攻击，同时保证了很好的性能。5.主动监视：记载网络的关键点上安装监视软件，这些软件持续见识TCP/IP流量，手机通信控制信息，分析通信状态，辨别攻击行为，并及时作出反应。5.8 分布式拒绝服务攻击（基本原理 P153156）5.9 防范拒绝服务攻击（简答 P156）不同攻击方式的不同方案：1.破坏物理设备：例行检查物理实体的安全；使用容错和冗余网络硬件的方法，必要时迅速实现物理设备切换从而保证提供正常的应用服务2.破坏配置文件：首先正确被指系统及相关软件的配置信息，并将这些敏感信息备份到软盘等安全介质上；利用应用软件工具的帮助及时发现配置文件的变化，并快速恢复这些配置信息保证系统和网络的正常运行。3.利用网络协议或系统设计弱点和实现漏洞：重新设计协议层，加入更多的安全控制机制。若要在现有的网络构架中弥补这些缺点，可以采用上面介绍的般透明网关或主动监视技术。4.消耗系统资源：1).及时的给系统打补丁，设置正确的安全策略 2).定期检查系统安全，是否存在后门等 3).建立资源分配模型，设置阙值，统计敏感资源的使用情况。 4).优化路由器配置 5).运用第三方日志系统 6).使用DNS来跟踪匿名攻击 7).对于重要的WEB服务器，为一个域名建立多个镜像主机第六章 网络后门与网络隐身6.1.2 常见后门工具的使用（P159P169）简答*6.2 木马一种可以驻留在对方服务器系统中的一种程序。木马程序一般由两部分组成：服务器端程序和客户端程序。驻留在对方服务器的成为木马的服务器端，远程的可以连接到木马的程序称作客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。*6.2.1 木马和后门的区别木马程序表面上看上去对计算机没有任何损害 ，实际上隐藏着可以控制用户整个计算机系统、打开系统后门等威海系统安全的功能。本质上，木马和后门都是提供网络后门的功能。但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够对方的主机。*6.3 网络代理跳板（了解P177）入侵五部曲的第一部，功能是不把自己的IP地址暴露出来。6.4 清除日志（简答P181P192）第七章 恶意代码分析与防治*7.2.1恶意代码相关定义：计算机病毒：编制这在计算机中植入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。 特点：潜伏、传染和破坏计算机蠕虫：通过计算机网络自我复制、消耗系统资源和网络资源的程序 特点：扫描、攻击和扩展木马：一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序 特点：欺骗，隐蔽和信息窃取逻辑炸弹：一段嵌入计算机系统程序的通过特殊的数据或时间作为条件触发，试图完成一定破坏功能的程序 特点：潜伏和破坏病菌：不依赖于系统软件、能够自我复制和传播，以消耗系统资源为目的的程序 特点：传染和拒绝服务用户级RootKit：通过替代或者修改被系统管理员或普通用户执行的程序进入系统，从而实现隐藏和创建后门的程序 特点：隐蔽、潜伏核心级RootKit：嵌入操作系统内核进行隐藏和创建后门的程序。特点同上*7.2.2恶意代码攻击机制（简答P197）恶意代码种类虽多但基本作用机制大体相同，其整个作用过程分为6部分。1.侵入系统：是恶意代码实现的其恶意目的的必要条件。恶意代码入侵的途径包括接收含有恶意代码的电子邮件等2.维持或提升现有特权：恶意代码的传播与破坏必须到用用户或者进程的合法权限才能完成3.隐蔽策略：为了不让系统发现恶意代码已经入侵，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己4.潜伏：恶意代码入侵系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动5.破坏：恶意代码本质具有破坏性，其目的是造成信息丢失，泄密，破坏系统完整性等6.重复15对新的目标实施攻击过程。攻击模型（P198图7-2）7.3.1 &恶意代码生存技术*P198P2041.反跟踪技术：提高自身的伪装能力和防破译能力，增加监测与清除恶意代码的难度2.加密技术：现代恶意代码自我保护的一种手段，与反跟踪技术配合使用，使得分析者无法正常调试和阅读恶意代码，不地道恶意代码的工作原理，也无法抽取特征串3.模糊变换技术：利用模糊变换技术，恶意代码没感染一个卡团体对象时，潜入宿主程序的代码互不相同。同一种代码具有多个不同样本，几乎没有稳定代码，采用基于特征的检测工具一般不能识别它们。 模糊变换技术主要分5类：指令替换、指令压缩、指令扩展、伪指令、重编译技术4.自动生成技术：专门针对人工分析技术。例如“计算机病毒生成器”，“多态发生器”7.3.2 恶意代码攻击技术（P200）：进程注入技术，三线程技术，端口复用技术，超级管理技术，端口反向链接技术7.3.3 恶意代码的隐蔽技术（P201）*本地隐藏：只为了防止本地系统管理员察觉而采取的隐蔽手段。一般分为三类手段：1.将恶意代码隐蔽（附着，捆绑或者替换）在合法程序中，可避过简单管理命令的检查。2.若恶意代码能够修改和替换相应的管理命令，也就是将管理命令恶意代码化，使相应的输出信息经过处理以后再显示给用户，便可以很容易的蒙骗管理人员并隐藏自身3.分析管理命令的检查执行机制，利用管理命令本身的弱点巧妙地避过管理命令，可以达到既不修改管理命令，又可以隐藏自身的目的*网络隐藏：P2027.4 网络蠕虫（P203）7.5 恶意代码防范方法（基本思想，P240）第八章 安全操作系统基础*8.3.3 访问监控器安全内核（P219）引用验证机制三原则;1.具有自我保护能力2.总是处于活跃状态3.须设计的足够小，以利于分析和测试，从而能够证明它的实现是正确的*8.3.4 可信计算基（TCB）P220*由7部分组成：1.操作系统的安全内核2.具有特权的程序