1、什么是网络安全:网络系统的硬件 软件机器系统中的数据受到保护,不遭受偶然的或者恶意破坏 更改 泄漏,系统连续 可靠 正常的运行,网络服务不中断。网络安全的基本特征:保密性 完整性 可用性 可控性 可靠性 不可抵赖性影响网络安全的因素:1.技术因素:硬件系统的安全缺陷 软件系统饿安全漏洞 系统安全配置不当造成的其他安全漏洞2.管理因素3.人为因素:人为的无意失误 人为的恶意攻击信息传输面临的威胁:截获 中断 篡改 伪造 网络安全的威胁:网络协议中的缺陷 窃取信息 非法访问 恶意攻击 黑客行为 计算机病毒 电子间谍活动 信息战 认为行为 主动攻击: 攻击者通过网络线路将虚假信息或计算机病毒传入信息
2、系统内路,破坏信息的真实性 完整性及系统服务的可用性,即通过中断 伪造 篡改和重排信息内容造成信息破坏,是系统无法正常运行被动攻击:攻击者非法截获 窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露却无法察觉,从而给用户带来巨大的损失PPDR:PPDR 模型是一个可适应网络动态安全模型。PPDR 模型中包括 4 个重要环节:策略 防护 检测 响应 ISO/OSI 安全体系结构:这种结构定义了一组安全服务,主要包括认证服务 访问控制服务 数据保密服务 抗否认性服务ISO/OSI 安全机制:加密机制:根据加密所在的层次及加密对象的不同,而采用不同的加密方式数字签名机制:是确保数据真实性的基本方法
3、,可进行用户的身份认证和消息认证访问控制机制:访问控制按照事先确定的规则主体对客体的访问是否合法,当主体试图非法使用一个未经授权的客体时,访问控制机制将拒绝这一企图,给出报警并记录日志档案数据完整性机制 认证机制 业务流填充机制 路由控制机制 公正机制网络监听:以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包主机的正确地址,因为只有与数据包中的目标一致的那台主机才能接收到信息包,但是若主机工作在监听模式下,则不管数据包中的目标物理地址是什么,主机都将可以收到。-在监听模式下,则所有的数据帧都将被交给上层协议软件处理。当连接到同一电缆或集线器上的主机被
4、逻辑的分为几个子网时,若有一台主机在监听模式下,它还可以接收到发向与自己不在同一子网的主机数据包,在同一个物理信道上传输的所有信息都可以收到。保护网络安全。拒绝服务攻击:即 DOS 攻击,通常能导致合法用户不能进行正常的网络服务行为都是拒绝服务攻击。它的目地就是让合法用户不能正常的进行网络服务。TCP 会话劫持:A 向 B 发包 B 回应 A 一个包 A 向 B 回应一个包 B 向 A 回应一个包 攻击者 C 冒充主机 A 给主机 B 发送一个包 B 回应 A 一个包,主机 B 执行了攻击者 C冒充主机 A 发送过来的命令,并且发挥给 A 一个包但是主机 A 并不能识别主机 B 发送回来的包,
5、所以主机 A 会以期望的序列号返回给主机 B 一个数据包,随机形成 ACK 风暴,如果成果解决 ACK 风暴就可以成功进行 TCP 会话劫持了。网络扫描:包括端口扫描 :TCP connect 扫描 TCP SYN 扫描 TCP FIN 扫描 TCP 反向 ident 扫描 FTP 返回攻击扫描 操作系统探测技术:应用层探测技术 TCP/IP 堆栈特征探测技术 漏洞扫描技术。IPSec 的安全特性:不可否认性 抗重播性 数据完整性 数据保密性 IPSec 的体系结构: 包含安全协议验证头 AH 封装安全载荷 ESP 安全关联 密匙管理 IKE 加密算法 验证算法 。加密算法和验证算法是其实现安
6、全数据的核心。AH 协议的两种模式:传输模式:保护的是端到端的通信,通信的终点必须是 IPSec 终点。AH 头被插在数据包中,紧跟在 IP 头之后和需要保护的上层协议之前,对这个数据包进行安全保护隧道模式:隧道模式是需要将自己保护的数据包封装起来,并且 AH 头之前另外添了个 IP 头,对整个 IP 数据包提供认证保护。AH 只用于保证收到的数据包在传输过程中不会被修改,保证由要求发送它的当事人将它发送出去,以及保证它是一个新的非重放的数据包。ESP 协议的两种模式:传输模式:传输模式仅适用于主机实现,而且仅为上层协议提供保护,而不包括 IP 头,在传输模式中,ESP 插在 IP 头之后和上
7、层协议之前,或任意其他已经插入的 IPsec 头之前。隧道模式:隧道模式可适用于之举和安全网关。整个 IP 数据项被封装在 ESP 有效载荷中,并产生一个新的 IP 头附在 ESC 头之前,隧道模式的 ESP 保护整个内部 IP 包包括源 IP 头。IKE 协议用于动态建立 SA,代表 IPsec 对 SA 进行协商,并对 SADB 进行填充。其基础是 ISAKMP(internet 安全联盟和密钥管理协议)和两种密钥交换协议(OAKLEY 和SKEME)SSL(安全套接层)协议:在传输层,有两个协议组成:SSL 握手协议和 SSL 记录协议有两个重要概念:SSL 连接和 SSL 会话SSL
8、握手协议:能使得服务器和客户端之间互相鉴别对方身份 协商加密和 MAC 算法以及用来保护咋 SSL 记录中发送数据的加密密钥。SSL 记录协议:在客户机和服务器之间传输应用数据和 SSL 控制数据,其间有可能对数据进行分段或者把多个高层协议数据组合城单个数据单元。对记录协议而言要封装的上层协议有 4 个:握手协议 修改密文协议 告警协议 应用层协议。安全的支持:密码 数字签名 访问控制协议。密码系统的组成:明文和密文。密码学的分类:对称和非对称对称密钥密码:特点是加密和解密都要有密钥的参与,加密数据的密钥解密数据的密钥相同或者两者之间有着某种明确的数学关系,它的加密密钥和解密密钥都要保密。又称
9、单钥密码体制非对称密钥密码:加密数据的密钥和解密数据的密钥不同,而且从加密的密钥无法推导出解密的密钥。而且一个密钥是公开的,另一个是保密的。又称公开密钥密码体制。分组密码:密文仅与给定的密码算法和密钥有关,与被处理的明文数据段在整个明文中所处的位置无关。分组密码技术有:DES TDEA IDEA AES 序列密码:密文不仅仅跟给定的密码算法和密钥有关,同时也是被处理的明文数据段在整个明文中所处位置的函数。单向函数:函数:X Y,如果对每一个 x 属于 X,很容易计算出 F(x)的值,对大多数的值,对大多数 y 属于 Y 确定满足 y=f(x)的 x 是计算上困难的。私钥和公钥的特点:保障密钥的
10、安全,公钥则可以发布出去,用公共密钥加密的信息只能用于专用密钥解密,公钥算法不需要联机密钥服务器,密钥分配协议简单。公钥还可以提供数字签名。认证的目的:消息完整性认证(MD5) 身份认证(RSA)认证系统应满足的条件:1.接收者能够检验和证实消息的合法性,真实性和完整性2.消息的发送者对所发消息不能抵赖,某些时候也要求接收者不能否认收到的消息3.除了合法的信息发送者外,其他人不能伪造发送信息Hash 函数的特点级概念:hash 函数就是把可变长度的输入串转换成固定长度的输出串的一种函数。性质 1.hash 函数 H 可适用于任意长度的输入数据块,产生固定长度的hash 值 2.对于每一个给定输
11、入数据 M,都能很容易算出他的 hash 值 H3.如果给定hash 值 h,要逆向推出数据 M 在计算上不可行,即 hash 函数具有单向性 4.对于给定的消息 M1 和其 hash 值 H1,找到满足 M2 不等于 M1,切 H1=H2 的 M2 在计算上是不可行的,即抗弱碰撞性。5.要找到任何满足 H1=H2 切 M1 不等于 M2 的消息对(M1,M2)在计算上是不可行的,即抗强碰撞性。举例说明什么是单项函数,作用是什么:数字签名的概念:常用的数字签名体制:DSS 和 RSA 和 DSA身份认证:指用户向系统出示自己身份的证明过程,通常是为了获得系统服务所必须通过的第一道关卡,任何一个
12、想要访问系统资源的人都必须先向系统证明自己的合法身份,然后才能得到相应的权限。常用的身份认证技术有三种:1 基于密码的身份认证 2.双因子身份认证 3.生物特征身份认证访问控制技术:是针对越权使用资源的防御措施,即判断使用的者是否有权限使用或更改某一项资源,并且防止非授权的使用者滥用资源。访问控制模型:12 种访问控制的种类:主要有强制访问控制 MAC 自主访问控制 DAC 基于角色访问控制 RBAC 基于任务访问控制 TBAC VPN 的基本概念:是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络。在虚拟网络中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用
13、公众网的资源动态组成,虚拟专用网对用户端透明,用户好像使用一条专用线路进行通信。VPN 技术要求:安全保障 服务质量保证 可扩展性和灵活性 可管理性VPN 安全技术:隧道技术:它是 VPN 的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道实质是一种封装,它把一种协议 A 封装在另一种协议 B 中传输,实现协议 A 对公共网的透明性。隧道根据相应的隧道协议来创建。防火墙的概念:防火墙是指隔离在本地网络和外界网络之间的一个执行访问控制策略的防御系统,是这一类防范措施的总称。防火墙的种类:包过滤防火墙 应用网关防火墙 状态监测型防火墙防火墙的体系结构:屏蔽
14、路由器 双宿主机网关 被屏蔽主机网关 被屏蔽子网(最安全的)为什么被屏蔽子网是最安全的:由两台屏蔽路由器将受保护的网络和外部网络隔离开,中间形成一个隔离区,就构成了被屏蔽子网结构。隔离区可以被外部网络访问,这是由靠近外部网络的屏蔽路由器控制的。为了让受保护的主机可以和外露网络主机通信,一般会在隔离区增加一台堡垒主机,这台堡垒主机可以被内部网络访问也可以访问外部网络,此事堡垒主机起到了网关的作用。他将受保护网络的主机和提供服务的服务器隔离起来使外部网络无法直接到达内部,从而增加了入侵受保护网的难度。防火墙的功能:包过滤 审计和报警 代理 NAT(网络地址转换):源地址转换 SNAT目的地址转换
15、DNAT VPN(虚拟专用网络) 流量统计和控制入侵:入侵是指所有试图破坏网络信息的完整性,保密性,可用性,可信任性的行为,入侵是一个广义的概念,不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等危害计算机网络的行为。入侵有一下几种:外部渗透 内部渗透 不法使用入侵检测:一种试图通过观察行为,安全日志或审计资料来检测发现针对计算机或网络入侵的技术,这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成入侵检测的分类:特征检测:任何与已知入侵模型符合的行为都是入侵行为。它要求首先对已知的入侵行为建立签名,然后将当前用户行为和系统状态与数据库中的签名进行
16、匹配。通过收集入侵攻击和系统缺陷的相关知识构成入侵系统的知识库,然后利用这些知识寻找那些企图利用这些系统缺陷的攻击行为来识别系统中的入侵行为。特点是:检测正确率高而覆盖率低,它的弱点是只能发现已知入侵行为。因为现在大部分入侵行为都是已知的攻击方法,所以还是可以抵御大部分攻击的。异常入侵检测:特点在于能够发现未知的入侵,并能够对用户活动进行适应性的学习,以发现内部用户的渗透和异常,有成熟的概率论理论基础。不足之处是统计检测对事件发生的次序不敏感,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。基于主机和网络的入侵监测系统:基于主机的入侵检测系统从单个主机上提取资料最为入侵分析的资料源,而
17、基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的资料源。误用和异常入侵检测系统:区别是误用入侵检测系统通常需要定义一组规则,而这种工作模式不能发现新的攻击行为,故不能提供全面的保护,但误报率很低,异常入侵检测系统所能检测到的威胁行为更多,包括已知的和未知的威胁,但这种模式会导致大量的误报。数据的存储方式:DAS 直接附加存储:是直接连接于主机服务器的一种存储方式。存储区域网 SAN:一种用高速网络连接专业主机服务器的一种存储方式。网络附加存储NAS:一种专业的网络文件存储及文件备份设备,通常是直接连接在网络上并提供资料存取服务。DAS 通常在单一的,数据交换量不大切性能要求不高的网络环
18、境下,SAN 应用在网络速度要高,对数据的可靠性和安全性要求高,对数据共享的性能要求高的网络环境下,代价高性能好。NAS 性价比高。数据备份结构:DAS-Based 备份结构 LAN-Based 备份结构 LAN-Free 备份结构 SAN-Server-Free 备份结构 数据备份策略:完全备份 增量备份 差分备份 硬件备份技术:RAID:RAID0:数据分块,是使用条技术来跨越磁盘分配数据的。目的是将容量和传输率提高到最大,但没有容错功能,一旦出现故障所有数据丢失。RAID1:镜像法,使用两个完全一样的盘,每次将数据写入两个盘,一个为工作盘另一个为镜像盘,一旦工作盘发生故障镜像盘立即顶上。
19、使系统工作不间断,可靠性高,但容量减少一半。RAID3:奇偶校验并行交错列阵每条带上都有一个奇偶位储存冗余信息,奇偶位是数据编码信息,用来恢复数据的。这种方式数据读取速度很快,但写入数据时要计算校验位来获知写入的校验磁盘,因此写入速度较慢。RAID5:旋转奇偶校验独立存取阵列,按一定规则把奇偶校验信息均匀分布在阵列中所有盘上,是一种容错能力分布合理的阵列,至少需要 3 个磁盘提供冗余。这种方式是通常使用最多的数据保护方案。RAID10:结合 RAID0 和 RAID1,通过分块镜像集实现,采用分块技术,多个磁盘可并行读写,镜像技术使得可靠性是所有磁盘阵列最高的。性能最好的但代价较高。PGP:是
20、一种网络应用,能为电子邮件系统和文件存储应用过程提供认证和保密业务,主要工作有:选择最好的加码算法来创建数据块,将密码算法集成在与操作系统和处理器独立且其命令及易于使用的应用程序中,能是软件包或者源代码等通过网络免费使用,用户可以与公司建立协议,以获得完全兼容的,低成本的商用版本。什么是恶意软件:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行侵犯用户的合法权益的软件,但已被我过现有的法律法规规定的计算机病毒除外。什么是病毒:病毒是指 编制者在计算机程序中插入的普哦花计算机功能或破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。广义上来说,
21、凡是能够引起计算机故障 破坏计算机数据的程序统称为计算机病毒。病毒的特征:非法性 隐蔽性 潜伏性 可触发性 可执行性 破坏性 传染性 针对性 什么是木马:木马是病毒的一种,与一般的病毒不同,它不会自我繁殖,也不刻意去感染其他文件,他通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,是施种者可以任意的毁坏 窃取 被种者文件,甚至远程操控被种主机。入侵检测系统的概念:是对防火墙技术的进一步补充,入侵检测系统对计算机网络和计算机系统的关键节点进行收集和分析,检测其中是否有违反安全策略的事件发生或功击迹象,并通知系统安全管理员。入侵检测系统的功能:识别常见的入侵和攻击,监控网络异常通信,鉴别对系统漏洞及后门的利用,完善网络安全管理。入侵监测系统的过程:1 。信息收集 2.信息分析:模式匹配 统计分析 完整性分析 3.结果处理 。
