软考辅导网络安全PPT课件.ppt

第7章 网络安全 网络管理员考试培训 1 第7章 网络安全基础知识 可信计算机系统评估准则网络安全漏洞网络安全控制技术服务器安全技术防火墙基本原理入侵检测系统的功能和基本原理漏洞扫描系统的功能和基本原理网络防病毒系统的功能和基本原理CA中心建设的概念和基本原理容灾系统应急处理的常用方法和技术 2 1 网络安全概念 内容 网络安全5要素 机密性 完整性 可用性 可控性 可审查性网络不安全5要素 非授权访问 信息泄密或丢失 破坏数据完整性 DoS 病毒常规安全技术6措施 防火墙技术 加密 用户识别 访问控制 反病毒 漏洞扫描 入侵检测系统 IDS 常见攻击 口令入侵 木马 DOS 端口扫描 网络监听 欺骗 WEB ARP IP 电子邮件攻击 3 可信计算机系统评估准则 可信任计算机系统评估标准可信任计算机基础 TCB 计算机硬件与支持不可信应用及不可信用用户操作系统的组合体 可信计算机安全评估准则 TCSEC 美国国防部标准TCSEC将计算机系统的安全划分为4个等级 8个级别 4 可信计算机系统评估准则 1 D类安全等级 D类安全等级只包括D1一个级别 D1是安全等级最低的一个级别 D1系统只为文件和用户提供安全保护 2 C类安全等级 该类安全等级能够提供审慎的保护 并为用户的行为和责任提供审计能力 C类安全等级可划分为C1和C2两类 C1系统的可信计算基础体制通过将用户和数据分开来达到安全的日的 在连接到网络上时 C2系统的用户分别对各自的行为负责 C2系统比C1系统加强了可调的审慎控制 5 可信计算机系统评估准则 3 B类安全等级 B类安全等级可分为B1 B2和B33类 B类系统具有强制性保护功能 强制性保护意味着如果用户没有与安全等级相连 系统就不会让用户存取对象 B1 B2 B3 4 A类安全等级 A系统的安全级别最高 目前 A类安全等级只包含A1一个安全类别 A1类与B3类相似 对系统的结构和策略不作特别要求 A1系统的显著特征是 系统的设计者必须按照一个正式的设计规范来分析系统 对系统分析后 设计者必须运用核对技术来确保系统符合设计规范 6 可信计算机系统评估准则 我国计算机信息系统安全保护等级划分准则 1999年9月13日由国家质量技术监督局审查通过并正式批准发布 已于2001年1月1日起执行 第1级 用户自主保护级 对应TCSEC的C1级 第2级 系统审计保护级 对应TCSEC的C2级 第3级 安全标记保护级对应用于TCSEC的B1级 第4级 结构化保护级 对应TCSEC的B2级 第5级 访问验证保护级对应TCSEC的B3级 7 网络安全漏洞 安全漏洞是在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 从而可以使攻击者能够在未授权的情况下访问或破坏系统 8 网络安全控制技术 网络安全控制技术为了保护网络信息的安全可靠 除了运用法律和管理手段外 还需依靠技术方法来实现 网络安全控制技术目前有 防火墙技术 加密技术 用户识别技术 访问控制技术 网络反病毒技术 网络安全漏洞扫描技术 入侵检测技术等 9 网络安全包含了网络信息的可用性 保密性 完整性和网络通信对象的真实性 其中 数字签名是对 8 的保护 A 可用性B 保密性C 连通性D 真实性 分析 网络安全的特征 答案 D 机密性 信息不泄露给非授权用户 实体或过程 或供其利用的特性 完整性 只有得到允许的人才能修改数据 并能够判别出数据是否已被篡改 可用性 可被授权实体访问并按需求使用的特性 例如网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 网络通信对象的真实性 网络通信对象对信息的内容及传播具有控制能力 数字签名是一种类似写在纸上的普通的物理签名 使用了公开密钥体系 使用的是发送方的密钥 保证了的信息的完整性是很容易验证的 而且数字签名还具有不可抵赖性 显然是对网络通信对象的真实性的保护 10 服务器安全技术 硬件系统的安全防护1 物理安全2 设置安全软件系统的安全防护1 安装补丁程序2 安装和设置防火墙3 安装网络杀毒软件4 账号和密码保护5 监测系统日志6 关闭不需要的服务和端口7 定期对服务器进行备份 11 如果使用大量的连接请求攻击计算机 使得所有可用的系统资源都被消耗殆尽 最终计算机无法再处理合法用户的请求 这种手段属于 7 攻击 A 拒绝服务B 口令入侵C 网络监听D IP欺骗 分析 拒绝服务攻击不断对网络服务系统进行干扰 改变其正常的工作流程 执行无关的程序使系统响应减慢甚至瘫痪 影响正常用户的使用 口令入侵是指使用某些合法用户的账号和口令登录到主机 然后再实施攻击活动 网络监控是主机的一种工作模式 在这种模式下 主机可以接收本网段在同一物理通道上传输的所有信息 如果两台通信的主机没有对信息加密 只要使用某些网络监听工具就可以很容易地截取包括口令和账户在内的信息资料 IP欺骗是黑客选定目标主机 找到一个被目标主机信任的主机 然后使得被信任的主机失去工作能力 同时采样目标主机发出的TCP序列号 猜出它的数据序列号 然后伪装成被信任的主机 同时建立起与目标主机基于地址验证的应用连接 答案 A 12 下列选项中 防范网络监听最有效的方法是 9 A 安装防火墙B 采用无线网络传输C 数据加密D 漏洞扫描 分析 当信息以明文形式在网络上传输时 监听并不是一件难事 只要将所使用的网络端口设置成 镜像 监听模式 便可以源源不断地截获网上传输的信息 但是 网络监听是很难被发现的 因为运行网络监听的主机只是被动地接收在局域局上传输的信息 不主动的与其他主机交换信息 也没有修改在网上传输的数据包 防范网络监听目前有这样几种常用的措施 从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 使用加密技术和划分虚拟局域网 答案 C 13 公司面临的网络攻击来自多方面 一般通过安装防火墙来防范 50 安装用户认证系统来防范 51 A 外部攻击B 内部攻击C 网络监听D 病毒入侵 51 A 外部攻击B 内部攻击C 网络监听D 病毒入侵 参考答案A B 14 计算机感染特洛伊木马后的典型现象是 9 A 程序异常退出B 有未知程序试图建立网络连接C 邮箱被垃圾邮件填满D Windows系统黑屏 分析 特洛伊木马是黑客用来盗取其他用户的个人信息 甚至是远程控制对方的计算机而加壳制作 然后通过各种手段传播或者骗取目标用户执行该程序 以达到盗取密码等各种数据资料等目的 感染后的现象有很多 比如屏幕上出现奇怪的对话框或消息框 无法在计算机上安装防病毒程序 或安装的防病毒程序无法运行等 其中最典型的就是有未知程序试图建立网络连接 答案 B 15 防火墙基本原理 防火墙系统决定了哪些内部服务可以被外界访问 外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问 防火墙必须只允许授权的数据通过 而且防火墙本身也必须能够免于渗透 根据防火墙实现原理的不同 通常将防火墙分为包过滤防火墙 应用层网关防火墙和状态检测防火墙3类 16 防火墙基本原理 包过滤防火墙中每个IP包的字段都会被检查 例如源地址 目的地址 协议 端口等 防火墙将基于这些信息应用过滤规则 与规则不匹配的包就被丢弃 如果有理由让该包通过 就要建立规则来处理它 包过滤防火墙是通过规则的组合来完成复杂策略的 包过滤技术的优点是简单实用 实现成本较低 在应用环境比较简单的情况下 能够以较小的代价在一定程度上保证系统的安全 但包过滤技术的缺陷也是明显的 包过滤技术是一种完全基于网络层的安全技术 只能根据数据包的来源 目标和端口等网络信息进行判断 无法识别基于应用层的恶意侵入 如恶意的Java小程序以及电子邮件中附带的病毒 应用层网关防火墙又称代理 Proxy 实际上并不允许在它连接的网络之间直接通信 相反 它是接受来自内部网特定用户应用程序的通信 然后建立与公共网络服务器单独的连接 状态检测防火墙又称动态包过滤防火墙 可见其应用的广泛性 相对于状态检测包过滤 将传统的包过滤称为静态包过滤 静态包过滤将每个数据包进行单独分析 固定的根据其包头信息进行匹配 这种方法在遇到利用动态端口应用协议时会发生因难 17 入侵检测系统的功能和基本原理 入侵检测系统的功能 1 监测并分析用户和系统的活动 2 核查系统配置和漏洞 3 评估系统关键资源和数据文件的完整性 4 识别已知的攻击行为 5 统计分析异常行为 6 操作系统日志管理 并识别违反安全策略的用户活动 18 入侵检测系统的功能和基本原理 入侵检测系统基本原理1 信息收集入侵检测的基础是信息收集 内容包括系统 网络 数据及用户活动的状态和行为 2 信号分析入侵检测的核心是信号分析 针对上述4类收集到的有关系统 网络 数据及用户活动的状态和行为的信息 一般通过3种技术手段进行分析 模式匹配 统计分析和完整性分析 其中前两种方法用于实时的入侵检测 而完整性分析则用于事后分析 19 漏洞扫描系统的功能和基本原理 漏洞扫描系统的功能漏洞扫描系统的功能是一种自动检测远程或本地主机安全性弱点的程序 通过使用漏洞扫描系统 系统管理员能够发现所维护的Web服务器的各种TCP端口的分配 提供的服务 Web服务软件版本和这些服务及软件呈现在因特网上的安全漏洞 漏洞扫描是对系统脆弱性的分析评估 能够检查 分析网络范围内的设备 网络服务 操作系统 数据库等系统的安全性 从而为提高网络安全的等级提供决策的支持 系统管理员利用漏洞扫描技术对局域网络 Web站点 主机操作系统 系统服务以及防火墙系统的安全漏洞进行扫描 可以了解在运行的网络系统中存在的不安全的网络服务 在操作系统上存在的可能导致黑客攻击的安全漏洞 还可以检测主机系统中是否被安装了窃听程序 防火墙系统是否存在安全漏洞和配置错误等 网络管理员可以利用安全扫描软件 及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补 从而提高网络的安全性 20 漏洞扫描系统的功能和基本原理 漏洞扫描系统的工作原理当用户通过控制平台发出了扫描命令之后 控制平台即向扫描模块发出相应的扫描请求 扫描模块在接到请求之后立即启动相应的子功能模块 对被扫描主机进行扫描 通过对从被扫描主机返回的信息进行分析判断 扫描模块将扫描结果返回给控制平台 再由控制平台最终呈现给用户 21 下面关于漏洞扫描系统的叙述 错误的是 7 A 漏洞扫描系统是一种自动检测目标主机安全弱点的程序B 黑客利用漏洞扫描系统可以发现目标主机的安全漏洞C 漏洞扫描系统可以用于发现网络入侵者D 漏洞扫描系统的实现依赖于系统漏洞库的完善 分析 漏洞是在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 从而可以使攻击者能够在未授权的情况下访问或破坏系统 漏洞扫描针对的是系统漏洞的防御 防止恶意程序通过系统漏洞侵入系统 入侵检测系统是一种对网络传输进行即时监视 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 选项C是入侵检测系统的功能 答案 C 22 网络防病毒系统的功能和基本原理 计算机病毒的特性 1 传染性 2 隐蔽性 8 未知性 3 潜伏性 4 破坏性 5 针对性 6 衍生性 7 寄生性 计算机病毒的分类1 文件型计算机病毒 1 驻留型计算机病毒 2 主动型计算机病毒 3 覆盖型计算机病毒 4 伴随型计算机病毒 2 引导型计算机病毒3 宏病毒4 目录 链接 计算机病毒 23 网络防病毒系统的功能和基本原理 网络病毒相对于传统的计算机病毒 其特点及危害性主要表现在以下几个方面 1 破坏性强 2 传播性强 3 具有潜伏性和可激发性 4 针对性更强 5 扩散面广 6 传播速度快 7 难以彻底清除 24 网络防病毒系统的功能和基本原理 基于网络的防病毒系统1 网络防病毒需求 1 网络的典型结构 2 网络的典型应用1 文件和打印共享 2 办公自动化 OA 应用 3 企业管理信息系统 MIS 4 企业因特网应用 3 病毒在网络中的传播过程2 网络病毒防护策略 1 防毒一定要实现有全方位 多层次防毒 2 网关防毒是整体防毒的首要防线 3 没有管理的防毒系统是无效的防毒系统 4 服务是整体防毒系统中极为重要的一环 25 网络防病毒系统的功能和基本原理 3 网络防病毒系统组织形式 1 系统中心统一管理 2 远程安装升级 3 一般客户端的防毒 4 防病毒过滤 网关 5 硬件防病毒网关 高效稳定 操作简单 管理方便 接入方式简单易行 免维护 容错与集群 系统通过集群模块 在容错的同时 线性地增加处理能力 满足高带宽的网关杀毒需要 26 宏病毒一般感染以 8 为扩展名的文件 A EXEB COMC DOCD DLL 分析 宏病毒是一种寄存在文档或模板的宏中的计算机病毒 它利用了在Word和其他办公软件中发现的特征 可感染Word Excel等文件 DOC是Word文档的扩展名 答案 C 网络安全强化 27 杀毒软件报告发现病毒Macro Melissa 由该病毒名称可以推断病毒类型是 8 这类病毒主要感染目标是 9 8 A 文件型B引导型C 目录型D 宏病毒 9 A EXE或COM可执行文件B Word或Excel文件C DLL系统文件D 磁盘引导区 分析 Melissa病毒是一种快速传播的能够感染那些使用MSWord97和MSOffice2000的计算机宏病毒 即使不知道Melissa病毒是什么也没关系 因为前面有个Macro 表明这是宏病毒 答案 8 D 9 B 28 CA中心建设的概念和基本原理 CA CertificationAuthority 定义P439 它为电子商务 电子政务等网络环境中各个实体颁发数字证书 以证明各实体身份的真实性 并负责在交易中检验和管理证书 CA对数字证书的签名使得第三者不能伪造和篡改证书 它是电子商务和网上银行交易的权威性 可信赖性及公正性的第三方机构 CA的功能 1 证书的申请 申请方式可分为离线申请方式和在线申请方式 2 证书的审批 批准方式可分为离线审核方式和在线审核方式 3 证书的发放 发放方式可分为离线方式发放和在线方式发放 4 证书的归档 5 证书的撤销 6 证书的更新 更新方式可分为人工密钥更新和自动密钥更新 7 证书废止列表管理 CRL CertificateRescindList 具体包括证书废止原因编码 CRL的产生及其发布 企业证书及CRL的在线服务功能 8 CA本身的管理和CA自身密钥的管理 29 公钥体系中 私钥用于 66 公钥用于 67 66 A 解密和签名B 加密和签名C 解密和认证D 加密和认证 67 A 解密和签名B 加密和签名C 解密和认证D 加密和认证 分析 在公钥体系 亦即非对称密钥体制 中 每个用户都有一对密钥 公钥和私钥 公钥对外公开 私钥由个人秘密保存 因此通常采用公钥加密 私钥解密 认证技术用于辨别用户的真伪 有基于对称加密的认证方法 也有基于公钥的认证 在基于公钥的认证中 通信双方用对方的公钥加密 用各自的私钥解密 在签名中用私钥签名消息 公钥验证签名 答案 66 A 67 D 30 某网站向CA申请了数字证书 用户通过 9 来验证网站的真伪 9 A CA的签名B 证书中的公钥C 网站的私钥D 用户的公钥 分析 数字证书是一个经证书认证中心 CA 数字签名的包含公开密钥拥有者信息以及公开密钥的文件 它是一段包含用户身份信息 用户公钥信息及身份验证机构数字签名的数据 身份验证机构的数字签名可以确保证书信息的真实性 用户公钥信息可以保证数字信息传输的完整性 用户的数字签名可以保证数字信息的不可否认性 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明 在电子交易的各个环节 交易的各方都需验证对方数字证书的有效性 从而解决相互间的信任问题 为了保证网上信息传输双方的身份验证和信息传输安全 目前采用数字证书技术来实现 从而实现对传输信息的机密性 真实性 完整性和不可否认性 答案 A 31 用户A从CA获得用户B的数字证书 并利用 56 验证数字证书的真实性 A B的公钥B B的私钥C CA的公钥D CA的私钥 分析 数字证书采用公钥体制 即利用一对互相匹配的密钥进行加密和解密 每个用户设定一个仅为自己知道的私钥 用它进行解密和签名 同时设定一个公钥 由本人公开 为一组用户所共享 用于加密和验证 题目中要验证数字证书的真实性 因此需要使用CA的公钥 答案 C 32 从认证中心CA获取用户B的数字证书 该证书用 9 作数字签名 从用户B的数字证书中可获得B的公钥 A CA的公钥B CA的私钥C B的公钥D B的私钥 分析 数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限 数字证书是由权威机构 CA 采用数字签名技术 颁发给用户 用以在数字领域中证实用户其本身的一种数字凭证 数字签名可以用来防止电子信息被修改而作伪 或冒用别人名义发送信息 或发出后又加以否认等情况的发生 数字证书中包含认证机构的签名 该签名用的是CA的私钥 答案 B 33 容灾系统 容灾 DisasterRecovery 系统 简称DR系统 也称为灾难恢复系统 就是通过特定的容灾机制 能够在各种灾难损害发生后 仍然能够最大限度地保障提供正常应用服务的计算机信息系统 容灾系统按照所保障的内容分类 可以分为数据级容灾和应用级容灾系统 数据容灾系