《2022年网络安全资料 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全资料 .pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第 1 页 共 16 页第一章网络安全概述1-14=14 1.1 网络安全:1、概念:指网络系统的硬件、软件及系统中的数据受到保护,不因无意或故意的威胁而遭到泄露、更改、破坏,保证网络系统正常、可靠、连续地运行。2、信息与网络安全的目标:进不来、拿不走、看不懂、改不了、跑不了。3、网络安全的特征保密性:信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。完整性:数据在未经授权时,不能被改变的特性,即信息在存储或传输过程中不被修改、不被破坏和丢失的特性。可用性:可被已授权实体访问并按需求使用的特性。可控性:对信息的内容及传播具有控制能力。1.2 网络面临的不安全因素1、网络系统的脆弱性(漏
2、洞 ) 2、网络系统的威胁:无意威胁、故意威胁,被动攻击、主动攻击3、网络结构的安全隐患被动攻击:指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动。主动攻击: 指攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、删除、复制或延迟这些信息。被动攻击和主动攻击有四种具体类型:窃听、中断、篡改、伪造1.3P2DR 模型 (网络安全模型) Policy( 安全策略 )、 Protection(防护 )、Detection(检测 )、Response(响应 ) 弱点:忽略了内在的变化因素。第四章网络扫描与网络监听15-33=19 4.1 黑客攻击的三个阶段1、信息收集目的:
3、进入所要攻击的目标网络的数据库。收集驻留在网络系统中的各主机系统相关信息的工具:SNMP 协议、 Whois 协议、 Finger协议、 Ping 程序、 TraceRoute 程序、 DNS 服务器。2、系统安全弱点的探测探测网络上的主机,寻求该系统的安全漏洞或安全弱点。扫描方式:自编程序、利用公开的工具。3、网络攻击攻击方式:(1)试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。(2)在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet 和 FTP 的账号名
4、和口令等。(3)进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。4.2 黑客入侵1、 “ 被侵入 ” 指网络遭受到非法闯入的情况。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 16 页 - - - - - - - - - 第 2 页 共 16 页入侵程度:(1)入侵者只获得访问权(一个登录名和口令) (2)入侵者获得访问权,并毁坏、侵蚀或改变数据(3)入侵者获得访问权,并获得系统一部分或整个系统控制权,拒绝拥有特权用户的访问(4
5、)入侵者没有获得访问权,而是用不良的程序,引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。2、对付黑客入侵(1)发现黑客若黑客破坏了站点的安全性,则应进行追踪。 在 Windows NT 平台上, 定期检查 Event Log中的 Security Log 来寻找可疑行为。(2)应急操作估计形势A、黑客是否已成功闯入站点?B、黑客是否还滞留在系统中?若是,需尽快阻止他们。C、可以关闭系统或停止有影响的服务( FTP 、Gopher、Telnet 等),甚至可能需要关闭因特网连接。D、侵入是否有来自内部威胁的可能呢?若如此,除授权者之外,别让其他人知道你的解决方案。E、是否
6、了解入侵者身份?若想知道这些,可预先留出一些空间给入侵者,从中了解一些入侵者的信息。切断连接A、能否关闭服务器?需要关闭它吗?若有能力,可以这样做。 若不能, 可关闭一些服务。B、是否关心追踪黑客?若打算如此,则不要关闭因特网连接,因为这会失去入侵者的踪迹。C、若关闭服务器,是否能承受得起失去一些必须的有用系统信息的损失?分析问题必须有一个计划,合理安排时间。当系统已被入侵时,应全盘考虑新近发生的事情,当已识别安全漏洞并将进行修补时,要保证修补不会引起另一个安全漏洞。采取行动3、抓住入侵者抓住入侵者是很困难的,特别是当他们故意掩藏行迹的时候。机会在于你是否能准确击中黑客的攻击。这将是偶然的,而
7、非有把握的。然而,尽管击中黑客需要等待机会,遵循如下原则会大有帮助。(1)注意经常定期检查登录文件。特别是那些由系统登录服务和wtmp 文件生成的内容。(2)注意不寻常的主机连接及连接次数通知用户。(3)注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户。(4)预计黑客经常光顾的时段里,每隔10 分钟运行一次shell script 文件,记录所有的过程及网络联接。4.3 扫描器 (Scanner) 扫描器:是检测远程或本地系统安全脆弱性的软件,通过与目标主机TCP/IP 端口建立连接和并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机存在的安全
8、漏洞。安全评估工具:管理员用来确保系统的安全性黑客攻击工具:黑客用来探查系统的入侵点名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 16 页 - - - - - - - - - 第 3 页 共 16 页1、扫描器的基本工作原理扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。扫描器测试TCP/IP 端口和服务,并记录目标的回答。通过这种方法,可以搜集到关于目标主机的有用信息。2、扫描器的功能发现一个主机和网络的能力发现系统运行的服务通过测试这些服务,发现漏
9、洞的能力进一步的功能:如操作系统辨识、应用系统识别3、扫描器的典型扫描过程输入 :扫描目标对象扫描网络检验操作系统端口扫描收集服务类型 /版本扫描漏洞产生报表输出 :系统漏洞列表。4.4 网络监听在一个共享式网络,可以听取所有的流量。是一把双刃剑管理员可以用来监听网络的流量情况。开发网络应用的程序员可以监视程序的网络情况。黑客可以用来刺探网络情报。1、可用以下方法检测系统是否运行网络监听软件:方法一:对于怀疑运行监听程序的机器,用正确的IP 地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,而处于监听状态的机器则能接收。方法二:往网上发送大量不
10、存在的物理地址的信息包,由于监听程序处理这些包,将导致性能下降。通过比较该机器前后的性能加以判断。但这种方法难度比较大。方法三:使用反监听工具(如 anti sniffer 等)进行检测。2、网络嗅探器(sniffer) sniffer( 网络嗅探器, 也叫网络分析仪)是一种常用的收集和分析网络数据的工具(程序)。它接收和分析的数据可以是用户的账号和密码,也可以是一些商用机密数据等。随着Internet 及电子商务的日益普及,Internet 的安全也越来越受到重视。在Internet 安全隐患中扮演重要角色之一的sniffer 已受到人们越来越多的关注。网络监听的目的是截获通信的内容,监听的
11、手段是对协议进行分析。监听器 Sniffer 的原理:在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。第五章网络入侵34-37=4 5.1 社会工程学攻击1、概念:社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。2、攻击的
12、两种方式:打电话请求密码和伪造Email。5.2 物理攻击与防范物理安全:保护一些比较重要的设备不被接触。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 16 页 - - - - - - - - - 第 4 页 共 16 页物理安全比较难防止,因为攻击往往来自能够接触到物理设备的用户。5.3 缓冲区溢出攻击的原理通过制造缓冲区溢出使程序运行一个用户shell ,在通过shell 执行其他命令,有管理员权限的shell 能对系统进行任意操作。第六章网络后门与网络隐身38-4
13、5=8 6.1 入侵过程的三个重要步骤1、隐藏 IP、2、种植后门、 3、在网络中隐身恶意代码:是一种程序,通过将代码在不被察觉的情况下寄宿到另一段程序中,从而达到破坏被感染计算机数据、运行入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。按工作机理和传播方式区分有:普通病毒、木马、蠕虫、移动代码和复合型病毒五类。6.2 木马1、特洛伊木马概述一种秘密潜伏的能够通过远程网络进行控制的恶意程序。2、木马的特性:隐蔽性、潜伏性、再生性。3、木马的原理木马程序运行时会隐藏行踪。大多数木马程序都有一个独立的可执行文件。木马通常不容易被发现,因为它以一个正常应用的身份在系统中运行的。木马
14、也采用客户机/服务器工作模式。客户端放在木马控制者的计算机中,服务器端放置在被入侵的计算机中,木马控制者通过客户端与被入侵计算机的服务器端建立远程连接。一旦连接建立,木马控制者就可通过向被入侵计算机发送指令来传输和修改文件。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。6.3 蠕虫蠕虫病毒以计算机为载体,以网络为攻击对象。蠕虫病毒与一般病毒的区别补充一计算机病毒46-66=21 +1.1 计算机病毒概述1、计算机病毒的概念计算机信息系统安全保护条例明确定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我
15、复制的一组计算机指令或者程序代码。2、计算机病毒的特征破坏性、传染性、隐蔽性、潜伏性、不可预见性、针对性。3、计算机病毒的分类按破坏强弱程度分:良性病毒和恶性病毒。按传染方式分:文件型病毒、引导型病毒和混合型病毒。按连接方式分:源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 16 页 - - - - - - - - - 第 5 页 共 16 页+1.2 计算机病毒的原理计算机病毒的逻辑结构(3 个功能模块 ) 1、传统病
16、毒传统病毒一般指早期的DOS 病毒,通常分为引导类型、文件型和混合型。引导型病毒的工作流程文件型病毒的工作流程2、宏病毒宏:一些列组合在一起的命令和指令,形成一个命令,以实现任务执行的自动化。宏病毒:是一种存储于文档、模块或加载宏程序中的计算机病毒。特点:只感染微软数据(文档 )文件机制:用VB 高级语言编写的病毒代码,直接混杂在文件中,并加以传播,当打开受感染的文件或执行触发宏病毒的操作时,病毒就会被激活,并存储到Normal.dt 模版名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
17、第 5 页,共 16 页 - - - - - - - - - 第 6 页 共 16 页或 Personal.xls 文件中,以后保存的每个文档都会自动被病毒感染。宏病毒的工作流程:+1.3 网络病毒的检测1、概述病毒静态时存储于磁盘,激活时驻留在内存,对计算机病毒的检测分为对内存的检测和对磁盘的检测。2、病毒的检查方法(1)比较法比较法:进行原始的或正常的特征与被检测对象的特征比较。由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现差异,从而判断病毒的有无。优点:简单、方便,不需专用软件。缺点:无法确认计算机病毒的种类和名称。(2)扫描法扫描法:用每一种病毒
18、体含有的特定字符串对被检测的对象进行扫描。特征串选择的好坏,对于病毒的发现具有决定作用。如何提取特征串,则需要足够的相关知识。优点:检测准确、快速,可识别病毒名称和类别,误报警率低,容易清除病毒缺点:被扫描的文件很长时,扫描时间长;不容易选出合适的特征串;计算机病毒代码库未及时更新时,无法识别出新型计算机病毒;不易识别变形计算机病毒等。(3)特征字识别法计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。它是基于特征串扫描法发展起来的一种新方法。优点:检测准确、速度更快,可识别病毒名称和类别,误报警率低,容易清除病毒缺点:不容易选出合适的特征串;计算机病毒代码库未及时
19、更新时,无法识别出新型计算机病毒;不易识别变形计算机病毒等。(4)分析法本方法是运用相应技术分析被检测对象,确认是否为病毒的。分析法的目的在于:确认被观察的磁盘引导区和程序中是否含有病毒;确认病毒的类型和种类,是否新病毒;弄清病毒体的大致结构,提取字节串或特征字,用于增添到病毒代码库;详细分析病毒代码,为制定相应的反病毒措施制定方案。(5)校验和法病毒校验和法:对正常文件的内容,计算其校验和,将该校验和保存起来,可供被名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 16
20、页 - - - - - - - - - 第 7 页 共 16 页检测对象对照比较,以判断是否感染了病毒。优点:可侦测到各式的计算机病毒,包括未知病毒缺点:误判率高,无法确认病毒种类利用校验和法既能发现已知病毒,也能发现未知病毒,但它不能识别病毒类型和指出病毒名称。 由于病毒感染并非文件内容改变的唯一原因,文件内容改变有可能是正常程序引起的,因此,该方法经常会产生误报警,且会影响文件的运行速度。校验和法对隐蔽型病毒无效。因为隐蔽型病毒进入内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗。对一个有毒文件能计算出正常的校验和。第八章密码学与信息加密67-97=31 8.1 密码学发展阶段:传统
21、密码学计算机密码学。传统密码学:靠人工进行信息加密、传输和破译。计算机密码学:利用计算机进行自动或半自动地加密、解密和传输。1. 传统方式计算机密码学2. 现代方式计算机密码学对称密钥密码体制公开密钥密码体制密码学包括密码编码学和密码分析学两部分。1、密码学的基本概念加密:把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程明文 (Plain Text) :原来的信息 (报文 )、消息,就是网络中所说的报文(Message) 密文 (Cipher Text) :经过加密后得到的信息解密:将密文还原为明文的过程密钥 (Key) :加密和解密时所使用的一种专门信息(工具 ) 密码
22、算法 (Algorithm) :加密和解密变换的规则(数学函数 ),有加密算法和解密算法加密系统:加密和解密的信息处理系统加密过程是通过某种算法并使用密钥来完成的信息变换8.2 传统密码技术1、数据的表示2、替代密码3、移位密码4、一次一密钥密码8.3 对称密钥密码体制也叫传统密钥密码体制,基本思想是“ 加密密钥和解密密钥相同或相近” ,由其中一个可推导出另一个。使用时两个密钥均需保密。传统密钥密码算法有:DES、IDEA 、TDEA(3DES) 、MD5 、RC5 等,典型的算法是DES 算法。加密算法要达到的四个目的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
23、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 16 页 - - - - - - - - - 第 8 页 共 16 页提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改。具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理解和掌握。DES 密码体制的安全性应该不依赖于算法的保密,其安全性仅以加密密钥的保密为基础。实现经济,运行有效,并且适用于多种完全不同的应用。8.4 公开密钥密码体制加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的,另一个是保密的。因此,
24、相应的密码体制叫公开密钥密码体制。公开密钥密码体制的主要算法有RSA、背包算法、Elgamal、Rabin、DH 等。1、 RSA 算法的演算过程:密钥配制过程、加密、解密。P81 2、 DES 和 RSA 算法的特点和比较(1)DES 的特点可靠性较高(16 轮变化,增大了混乱性和扩散性,输出不残存统计信息)。加密 /解密速度快。算法容易实现(可由软件和硬件实现,硬件实现速度快),通用性强。算法具有对称性,密钥位数少,存在弱密钥和半弱密钥,便于穷尽攻击。密钥管理复杂。(2)RSA 算法的特点密钥管理简单(网上每个用户仅保密一个密钥,且不需密钥配送);便于数字签名;可靠性较高(取决于分解大素数
25、的难易程度);算法复杂,加密/解密速度慢 , 难于实现。8.5 混合加密方法原理是:在发送端先使用DES 或 IDEA 对称算法加密数据,然后使用公开算法RSA加密前者的对称密钥;到接收端, 先使用 RSA 算法解密出对称密钥,再用对称密钥解密被加密的数据。整个系统需保密的只有少量RSA 算法的解密密钥。 因为对称密钥的数据量很少(64/128位),RSA 只需对其做12 个分组的加密/解密即可,也不会影响系统效率的。8.6 鉴别与认证技术1、鉴别技术概述鉴别包括报文鉴别和身份验证。报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。身份验证是验证进入网络系统者是否是
26、合法用户,以防非法用户访问系统报文鉴别和身份验证可采用数字签名技术实现。身份验证的方法有:口令验证、个人持证验证和个人特征验证。报文鉴别的常用方法是使用信息摘要或散列函数进行。数字摘要的使用过程:对原文使用Hash算法得到数字摘要;将数字摘要与原文一起发送;接收方将收到的原文应用单向Hash函数产生一个新的数字摘要;将新数字摘要与发送方数字摘要进行比较。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 16 页 - - - - - - - - - 第 9 页 共 16 页2
27、、数字签名和验证的过程(1)报文的发送方从原文中生成一个数字摘要,再用发送方的私钥对这个数字摘要进行加密来形成发送方的数字签名。(2)发送方将数字签名作为附件与原文一起发送给接收方。(3)接收方用发送方的公钥对已收到的加密数字摘要进行解密;(4)接收方对收到的原文用Hash 算法得到接收方的数字摘要;(5)将解密后的发送方数字摘要与接收方数字摘要进行对比,进行判断。数字签名解决了电子商务信息的完整性鉴别和不可否认性(抵赖性 )问题。3、数字签名与加密过程密钥对使用差别数字签名使用的是发送方的密钥对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明发送
28、方公司的任何一个贸易伙伴都可以验证数字签名的真伪性;密钥加密解密过程使用的是接收方的密钥对,是发送方用接收方的公钥加密,接收方用自己的私钥解密,是多对一的关系,表明任何拥有该公司公钥的人都可以向该公司发送密文,但只有该公司才能解密,其他人不能解密;第九章防火墙与入侵检测98-142=45 9.1 防火墙概述防火墙 (Firewall) 是在两个网络之间执行访问控制策略的一个或一组安全系统。1、防火墙的发展简史第一代防火墙:采用包过滤(Packet Filter)技术。第二、三代防火墙:推出电路层防火墙,和应用层防火墙的初步结构。第四代防火墙:开发基于动态包过滤技术的第四代防火墙。第五代防火墙:
29、NAI 公司推出一种自适应代理技术,可以称之为第五代防火墙。2、防火墙的功能强化网络安全策略,集中化的网络安全管理。记录和统计网络访问活动。限制暴露用户点,控制对特殊站点的访问。网络安全策略检查。3、防火墙的局限性不能防范内部人员的攻击不能防范绕过它的连接不能防备全部的威胁不能防范恶意程序9.2 防火墙技术根据防火墙的技术原理分类:包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙。1、包过滤技术包过滤防火墙通常只包括对源IP 地址和目的IP 地址及端口的检查。包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙。包过滤是在网络的
30、出口(如路由器上 )对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 16 页 - - - - - - - - - 第 10 页 共 16 页包过滤就是根据包头信息来判断该包是否符合网络管理员设定的规则,以确定是否允许数据包通过。包过滤防火墙数据包过滤技术的发展:静态包过滤、动态包过滤。包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网
31、络、数据包过滤对用户透明、过滤路由器速度快、效率高。缺点和局限性: 在机器中配置包过滤规则比较困难;对包过滤规则的配置测试也麻烦;很难找到具有完整功能的包过滤产品。包过滤防火墙是一种静态防火墙。静态包过滤防火墙是按照定义好的过滤规则审查每个数据包。过滤规则是基于数据包的报头信息制定的。2、代理服务技术代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴(Duel Homed) 主机,也可以是一些可以访问 Internet 并可被内部主机访问的堡垒主机。这些代理服务程序接受用户对Internet 服务的请求,并按安全策略转发它们的实际的
32、服务。所谓代理,就是提供替代连接并充当服务的桥梁(网关 )。代理服务的一大特点就是透明性。代理服务位于内部用户和外部服务之间。代理程序在幕后处理所有用户和Internet 服务之间的通信以代替相互间的直接交谈。对于用户, 代理服务器给用户一种直接使用“ 真正 ” 服务器的感觉; 对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象。用户将对 “ 真正 ” 服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定。如果一个请求被认可,代理服务器就代表客户将请求转发给“ 真正 ” 的服务器,并将服务器的响应返回给代理客户。3、状态检测技术状态检测防火墙
33、又称动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙是新一代的防火墙技术,也被称为第三代防火墙。9.3 常见防火墙系统模型常见防火墙系统一般按照四种模型构建:筛选路由器模型、单宿主堡垒主机(屏蔽主机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。1、包过滤结构防火墙2、双穴主机结构双穴主机有两个接口。这样的主机可担任与这些接口连接的网络路由器,并可从一个网络到另
34、一个网络发送IP 数据包。3、主机过滤结构主机过滤结构中提供安全保障的主机(堡垒主机 )在内部网中,加上一台单独的过滤路由器,一起构成该结构的防火墙。堡垒主机是Internet 主机连接内部网系统的桥梁。任何外部系统试图访问内部网系统名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 16 页 - - - - - - - - - 第 11 页 共 16 页或服务,都必须连接到该主机上。因此该主机需要高级别安全。4、子网过滤结构子网过滤体系结构添加了额外的安全层到主机过滤体系
35、结构中,即通过添加参数网络,更进一步地把内部网络与Internet 隔离开。通过参数网络将堡垒主机与外部网隔开,减少堡垒主机被侵袭的影响。子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络上,一个位于参数网与内部网之间,另一个位于参数网与外部网之间。这是一种比较复杂的结构,它提供了比较完善的网络安全保障和较灵活的应用方式。9.4 入侵检测系统1、入侵检测入侵检测 (Intrusion Detection) 技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应
36、。对于正在进行的网络攻击,则采取适当的方法来阻断攻击 (与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。(1)入侵检测系统(IDS) 由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:监视、分析用户及系统活动。系统构造和弱点的审计。识别反映已
37、知进攻的活动模式并向相关人士报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。操作系统的审计跟踪管理,并识别用户违反安全策略的行为。2、入侵检测过程:信息收集、信息分析、结果处理。3、入侵检测系统的作用:监控网络和系统、发现入侵企图或异常现象、实时报警、主动响应、审计跟踪。4、入侵检测系统的结构入侵检测系统的主要功能模块有:事件产生器、事件分析器、事件数据库和响应单元。9.5 入侵检测的原理与技术1、入侵检测的实现方式基于网络的入侵检测系统(NIDS) :检测内容:包头信息+有效数据部分基于主机的入侵检测系统(HIDS) :检测内容:系统调用、端口调用、系统日志、安全审记、应用日志
38、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 16 页 - - - - - - - - - 第 12 页 共 16 页混合型入侵检测系统(Hybrid IDS) :2、 IDS 采用的技术入侵检测技术有:静态配置分析技术、异常检测技术、误用检测技术。静态配置分析技术:通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。异常检测技术: 通过对系统审计数据的分析建立起
39、系统主体(单个用户、 一组用户、 主机,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“ 异常检测技术 ” 。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。误用检测技术(Misuse Detection) :通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为,来检测系统中的入侵活动,是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系
40、统缺陷的模式来检测系统中的可疑行为,而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。9.6 入侵防护系统 (IPS) 1、入侵防护系统的定义入侵防护系统(IPS: Intrusion Prevention System) 则能提供主动性的防护,其设计旨在对入侵活动和攻击性网络流量进行拦截,避免其直接进入内部网络,而不是简单地在恶意流量传送时或传送后才发出警报2、入侵防护系统的原理3、 IDS 与 IPS 的区别从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层
41、防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。入侵检测系统IDS 的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵防御系统IPS 的核心价值在于对数据的
42、深度分析及安全策略的实施 对黑客行为的阻击。入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。第十章数据安全143-148=6 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 16 页 - - - - - - - - - 第 13 页 共 16 页10.1 数据完整性简介数据完整性:泛指与损坏和丢失相对的数据的状态,它通常表明数据的可靠性与
43、准确性是可以信赖的,同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据地正确性、有效性和一致性。1、正确性。数据在输入时要保证其输入值与定义这个表相应的域的类型一致。2、有效性。在保证数据有效的前提下,系统还要约束数据的有效性。3、一致性。当不同的用户使用数据库时,应该保证他们取出的数据必须一致。10.2 提高数据完整性的办法解决办法有两个方面的内容。首先,采用预防性的技术,防范危及数据完整性的事件的发生;其次,一旦数据的完整性受到损坏时采取有效的恢复手段,恢复被损坏的数据。下面所列出的是一些恢复数据完整性和防止数据丢失的方法:备份、镜像技术、归档、转储、分级存储管理、奇偶检验、灾难
44、恢复计划、故障发生前的预前分析和电源调节系统。备份是用来恢复出错系统或防止数据丢失的一种最常用的办法。10.3 什么是网络备份实际上不仅仅是指网络上各计算机的文件备份,它实际上包含了整个网络系统的一套备份体系。主要包括如下几个方面:1、文件备份和恢复。2、数据库备份和恢复。3、系统灾难恢复。4、备份任务管理。10.4 网络备份系统尽可能快地恢复计算机或计算机网络系统所需要的数据和系统信息。网络备份系统主要包括如下几个方面:1、文件备份和恢复;2、数据库备份和恢复;3、系统灾难恢复;4、备份任务管理;网络备份有如下四种基本部件组成:目标、工具、设备和SCSI 总线。设计一个典型的网络备份系统。设
45、计一份网络安全方案补充二数据库系统安全149-172=23 +2.1 数据库安全的概念数据库安全是指数据库的任何部分都没受到侵害,或未经授权的存取和修改。一般影响数据库安全的因素有:系统故障、并发事件、数据错误、人为破坏。+2.2 数据库管理系统及特性1、数据库管理系统的安全功能数据库管理系统(DBMS) :专门负责数据库管理和维护的计算机软件系统。它是数据库系统的核心,不仅负责数据库的维护工作,还能保证数据库的安全性和完整性。在安全方面,DBMS 还具有以下职能:?保证数据的安全性和完整性,抵御一定程度的物理破坏,能维护和提交数据库内容;?能识别用户,分配授权和进行访问控制,包括身份证识别和
46、验证。2、数据库的特性面对数据库的安全威胁,必须采取有效安全措施。这些措施可分为两个方面,即支持数据库的操作系统和同属于系统软件的DBMS 。DBMS 的安全使用特性有以下几点要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 16 页 - - - - - - - - - 第 14 页 共 16 页多用户网络系统上的数据库是提供给多个用户访问的。这意味着对数据库的任何管理操作,其中包括备份,都会影响到用户的工作效率,而且不仅是一个用户而是多个用户的工作效率。高可靠性网
47、络系统数据库有一个特性是高可靠性。因为,多用户的数据库要求具有较长的被访问和更新的时间,以完成成批任务处理或为其它时区的用户提供访问。频繁的更新数据库系统由于是多用户的,对其操作的频率以每秒计远远大于文件服务器。文件大数据库文件经常有几百KB 甚至几个GB。另外,数据库一般比文件有更多需要备份的数据和更短的用于备份的时间。另外,如果备份操作超过了备份窗口还会导致用户访问和系统性能方面的更多的问题,因为这时数据库要对更多的请求进行响应。数据库的安全特性为了保证数据库数据的安全可靠和正确有效,DBMS 必须提供统一的数据保护功能。数据保护也称为数据控制,主要包括数据库数据的安全性、完整性、并发控制
48、和故障恢复。+2.3 数据库的安全保护层次?数据库系统的安全框架可以划分为三个层次网络系统层次操作系统层次数据库管理系统层次?这三个层次构筑成数据库系统的安全体系,与数据库安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。?网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。操作系统是大型数据库系统的运行平台,为数据库系统提供了一定程度的安全保护。数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统的安全性机制非常强大,则数据库系统的安全性能就好。?对数据库中存储的数据实现加密是一种保护数据库数据安全的有效方法。数据库的
49、数据加密一般是在通用的数据库管理系统之上,增加一些加密/解密控件,来完成对数据本身的控制。与一般通信中加密的情况不同,数据库的数据加密通常不是对数据文件加密,而是对记录的字段加密。当然,在数据备份到离线的介质上送到异地保存时,也有必要对整个数据文件加密。?不同层次的数据库加密可以考虑在操作系统层、DBMS 内核层和DBMS 外层三个不同层次实现对数据库数据的加密。在操作系统层, 无法辨认数据库文件中的数据关系,从而无法产生合理的密钥,也无法进行合理的密钥管理和使用。所以,在操作系统层对数据库文件进行加密,对于大型数据库来说,目前还难以实现。在 DBMS 内核层实现加密,是指数据在物理存取之前完
50、成加/解密工作。这种方式势必造成DBMS 和加密器 (硬件或软件 )之间的接口需要DBMS 开发商的支持。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能, 可以实现加密功能与数据库管理系统之间的无缝耦合。但这种方式的缺点是在服务器端进行加/解密运算,加重了数据库服务器的负载。比较实际的做法是将数据库加密系统做成DBMS 的一个外层工具。采用这种名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 16 页 - - - - - - - - - 第 15