已阅读5页,还剩5页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
复习总结信息安全的定义是什么?简述信息安全的需求背景,举出信息安全的几个例子。答:信息安全的定义:“客观上不存在威胁,主观上不存在恐惧” ,不受外来的威胁和侵害。信息安全的需求背景是:计算机的广泛应用,计算机网络的迅速发展,特别是因特网的广泛应用。信息安全的例子有:1. 国家信息体系(银行、军事指挥系统)2. 国家信息技术安全3. 电子商务的应用等等。第 1 章 网络安全基础1.1.1 信息安全技术的目的网络安全一般是指网络信息的可用性(Availability)完整性(Integrity)保密性(Confidentiality)真实性(Authenticity)和安全保证(Assurance)。网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络攻击和网络防御分别包括哪些内容网络攻击1. 网络监听2. 网络扫描3. 入侵系统4. 建立后门5. 隐藏踪迹网络防御1. 操作系统的安全配置2. 加密技术3. 防火墙技术4. 入侵检测和审计技术 1.2.1 网络安全存在的问题1. 协议设计存在的问题2. 软件实作存在的问题3. 人员操作存在的问题4. 系统维护存在的问题1.2.2 网络安全的层次体系从层次体系上,可以将网络安全分成物理安全逻辑安全操作系统安全联网安全四个层次。1.2.3 对网络安全的攻击类型根据粗略的统计,目前网络攻击手段大约有两三千种之多,而且每时每刻都有可能出现新的攻击类型。常见的攻击类型有:(1)网络监听和网络扫描 (2)入侵系统 (3)建立后门 (4)隐藏踪迹(5)拒绝服务攻击或信息炸弹网络安全模型对网络的被动攻击和主动攻击 在网络系统中,当信息从信源向信宿流动时,受到攻击的类型包括中断、截取、修改和伪造。中断属于对可用性的攻击,截取属于对保密性的攻击,修改属于对完整性的攻击,伪造属于对真实性的攻击 截获篡改伪造中断被动攻击主 动 攻 击目的站源站源站源站源站目的站目的站目的站1.2.4 网络安全机制应具有的功能一个网络安全系统应有如下的功能:(1)身份识别。(2)存取权限控制。(3)数字签名。(4)保护数据完整性。(5)审计追踪。(6)密钥管理。1.2.5 网络安全常用技术保障网络安全的方法有两大类:以“防火墙”技术为代表的被动防卫型建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。常见的防御技术包括四大方面:1. 防火墙技术2. 操作系统的安全配置3. 加密技术4. 攻击防御和入侵检测1.2.6 所谓安全协议,就是使用密码学技术的密码协议(cryptographic protocol)。在网络通信中最常用的、基本的密码协议按照其完成的功能可以分成以下三类:(1)密钥交换协议(2)认证协议(3)认证和密钥交换协议虚拟企业网络(虚拟专用网络) VPN可以在防火墙与防火墙或移动的client间对所胡网络传输的内容加密,建立一个虚拟通道,让两者间在同一个网络上,可以安全且不受拘束地互相存取。 1.3 网络安全标准及安全等级桔皮书(Orange Book“可信任计算机标准评价准则”(“橙皮书”)安全标准“橙皮书”中,计算机安全级别定义为7级。D级,为不可信级。如DOS、Windows 98等;C1级,为选择性安全保护级。描述了典型的用在Unix系统上的安全级别。对系统硬件有一定保护作用,用户拥有对文件和目录的访问权,但不能控制进入系统的用户的访问权限;C2级,为访问控制级。如Unix、Windows NT等;B1级,为标志安全保护级。系统安全措施由操作系统决定;B2级,为结构保护级。系统中的所有对象有标签,对设备分配1个或多个安全级别;B3级,安全域级。通过安装硬件来加强域的安全;A级,为验证设计级。包括严格的设计、控制和验证过程。安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即威严的法律、先进的技术、严格的管理。安全策略是建立安全系统的第一道防线 给予资源合理的保护 确保安全策略不与公司目标和实际活动相抵触1.4 练习与思考1.1 网络攻击和防御分别包括哪些内容?1.2 从层次上,网络安全可以分成哪几层,每层有什么特点?1.3 为什么要研究网络安全?1.4 请分别举两个例子说明对于网络安全与政治、经济、社会稳定和军事的联系。1.6 网络安全桔皮书指的是什么?包括哪些内容?第 2 章 网络协议与安全2.1 试述网络自身存在的安全缺陷。1. 协议设计存在的问题(1)制定协议时常忽视安全问题 (2)协议的基础问题 (3)协议流程处理方式不当(4)协议设计错误 2. 软件实作存在的问题(1)实作错误 (2)程序错误 3. 人员操作存在的问题4. 系统维护存在的问题 (1)默认值不安全 (2)未修补系统 (3)在信任的领域里存在不够安全的系统 2.2为什么说,TCPIP协议天生就是不安全的?TCP/IP协议在1966年创建时,创始者注重的是网络的功能,并没有过多的考虑安全性。所以,当前互联网不可信任的主要原因是:(1)协议安全性差,源接入地址不真实,源数据难标识和验证。(2)没有完整的信任体系结构,难以实现可信接入和端点安全保护;用户、控制、管理三大信息流难以实现安全可信。2.4 练习与思考2.3 TCP建立连接的过程称为“三次握手”,如果对“三次握手”的过程进行修改会出现什么样的情况?答:3次握手完成两个重要功能,既要双方做好发送数据的准备工作(双方都知道彼此已准备好),也要允许双方就初始序列号进行协商,这个序列号在握手过程中被发送与确认。如果在把三次握手改成仅需要两次握手,可能发生死锁或其他不安全的情况。 2.4 简述什么是IP地址欺骗?IP地址欺骗(IP Spoofing)主要有三种手法:源地址欺骗(Source Address Spoofing)IP欺骗(IP Spoofing)DNS欺骗(DNS Spoofing)它可以瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器; 或实施中间人攻击; 进行DNS欺骗(DNS Spoofing)和“会话劫持”(Session Hijack)等。2.5 什么是溢出攻击?溢出攻击需要哪些条件?缓冲区溢出攻击缓冲区溢出漏洞是由于软件中的边境条件、函数指针等设计不当的造成地址空间错误。溢出攻击的原理是:如果目标操作系统存在溢出攻击漏洞,当缓冲区收到了超过了它的最大能接收的信息量的时候,这些多余的数据将使程序的缓冲区溢出,覆盖实际的程序数据,使目标系统的程序被修改。缓冲区溢出带来了两种后果,一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪,甚至造成宕机、系统或进程重启等;二是扰乱了具有某些特权的程序的功能,使得攻击者取得程序的控制权,可以让攻击者运行恶意代码,执行任意指令,甚至获得超级权限等。溢出攻击需要的条件是目标操作系统存在溢出攻击漏洞。第 3 章 加密与认证.对称加密对信息的加密与解密都使用相同的密钥的加密技术。非对称加密密钥分为公钥和私钥,公钥可以公开,加密与解密由不同的密钥完成。Kerberos认证系统Kerberos是MIT为分布式网络设计的可信第三方认证协议,它是一种受托的第三方认证服务。RSA是一种建立在分解大整数因子的困难性之上的非对称加密算法。PGP是一个基于RSA公钥加密体系的文件和邮件的加密软件。DES是一种用56位密钥来加密64位数据的对称加密算法。AES替换DES加密算法的一种高级加密算法新标准SSHSSH是互联网工程任务组IETF的网络工作组制定的一种介于传输层与应用层之间的加密通道协议,用来替代TELNET、FTP以及R命令,解决口令在网上明文传输的问题。公钥基础设施(Public Key Infrastructure,PKI)是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。PKI在公钥加密技术的基础上实现证书的产生、管理、存储、发放以及作废而必须的全部硬件、软件、人力资源,相关策略和操作程序以及为PKI体系中的成员提供的全部安全服务。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。VPN虚拟专用网(Virtual Private Network,VPN)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网。VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证了信息在传输中不被偷看、篡改、复制,保障了信息在Internet上传输的安全性 。IPSec安全IP,它与防火墙、安全网关结合可形成各种安全解决方案;与其他协议相结合将使安全性更高;能使企业将其Extranet扩展到贸易伙伴进行电子商务,而不用担心安全协议的兼容性。IPSec的安全特性IPSec的安全特性主要有: (1)不可否认性。 (2)反重放性。 (3)数据完整性。 (4)数据可靠性。 (5)认证。 第 4 章 网络入侵与攻击Hacker、Cracker黑客攻击和网络安全的关系黑客攻击五部曲1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身网络监听的目的和手段网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。什么是网络后门不通过正常登录进入系统的途径。保持对目标主机长久控制的关键策略。什么是木马木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。简述网络代理跳板的功能。系统日志有哪些?如何清除这些日志漏洞攻击系统漏洞也称安全缺陷,这些安全缺陷会被技术高低不等的入侵者所利用,从而达到控制目标主机或造成一些更具破坏性的目的。 入侵利用计算机协议处理的漏洞来非法获得本机ROOT权限或通过特殊方法来分析他人(包括系统员)的口令以达到非法操作的目的的操作过程。拒绝服务攻击DOS造成目标计算机拒绝提供服务的攻击,其目的是使目标计算机或网络无法提供正常的服务。分布式拒绝服务攻击DDOS攻击者在多台机器上或与他人合作,同时向一个目标或网络发起攻击。因为攻击来自范围广泛的IP 地址,来自每台主机的少量分组有可能被入侵检测系统(IDS)漏掉,所以检测、响应和取证就变得非常困难。第 5 章 入侵检测与蜜罐技术入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统IDS(Intrusion Detection System)IDS是一种硬件或者软件系统,该系统对系统资源的非 授权使用能够做出及时的判断、记录和报警。 入侵检测产品的分类NIDS网络入侵检测系统(Network Intrusion Detection System)HIDS主机入侵检测系统 (Host Intrusion Detection System)入侵检测系统所采用的技术可分为特征检测与异常检测两种第6章 安全审计与系统恢复审计(audit)就是发现问题, 暴露相关的脆弱性。凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。从审计的对象来划分,主要分为以下几种类型: (1)操作系统的审计; (2)应用系统的审计; (3)设备的审计; (4)网络应用的审计第 7 章 网络设备安全广播风暴交换机把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。802.1X身份认证802.1X身份验证协议可以基于端口来对用户身份进行认证。当用户的数据流量企图通过配置了802.1X协议的端口时,必须对其进行身份的验证,合法则允许其访问网络。这样的做的优点是可以对内网的用户进行认证,并且简化配置。 ACL访问控制列表(Access Control List,ACL)。ACL的功能ACL主要有三个方面的功能:(1)限制网络流量、提高网络性能。ACL可以根据数据包的协议,指定某种类型的数据包的优先级。(2)提供网络访问的基本安全手段。ACL允许某一主机访问资源,而禁止另一主机访问同样的资源。(3)在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,允许网络的E-mail被通过,而阻止FTP通信。第8章 操作系统安全要保证操作系统安全,三个方面必不可少:需要集中式基础设施,利用数量有限、可以统一下载的镜像,自动管理企业网络的操作系统配置。 。明确规定用户访问权限、身份和许可的安全策略,针对这些操作系统对用户进行配置,用身份生命周期管理程序实现自动管理。一旦管理员制订了合适的安全策略,就要监控策略在企业里面的实施情况。事先制止可能违反安全的隐患,以免危及企业。第 9 章 防火墙技术防火墙是一种非常有效的网络安全系统,通过它可以隔离 风险区域与安全区域的连接,同时不会妨碍安全区 域对风险区域的访问。防火墙的基本功能:(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户; (2)防止入侵者接近网络防御设施; (3)限制内部用户访问特殊站点。防火墙技术一般分为两类 (1) 网络级防火墙用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。(2) 应用级防火墙从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。包过滤(Packet filtering)防火墙工作在网络层和传输层,一般直接转发报文,网络效率及对用户的透明性较好,但安全性相对较低。应用代理(Application Proxy)防火墙属于应用层的范畴,通过特定的代理程序对高层协议进行识别,并采取预先编制的相应控制策略。安全性提高,但网络的速度则明显下降。9.1 防火墙 防火墙基本作用合理划分网络,设置访问控制点,保护私有网络.防止进攻者接近内部网络限制内部用户的外部访问行为对外部隐藏内部网络细节提供内部网络和外部网络的连通防火墙的不足防火墙的不足之处:(1)不能防范恶意的知情者(2)防火墙不能防范不通过它的连接(3)防火墙不能防备全部的威胁网络地址转换技术地址转换NAT(Network Address Translate)既缓解了少量的因特网IP地址和大量主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。非军事化区(de-militarized zone,DMZ)是位于企业内部网络和外部网络之间的小网络区域,用于放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。DMZ区域可以有效地保护内部网络。应用层网关(代理服务器)的特点是防火墙作为在应用层上的网关监视包的内容,应用层网关不允许内外网主机的直接连接,所有的连接都通过防火墙。 优点:易于配置,界面友好可以隐藏内部IP地址;可以给单个用户授权;可以为用户提供透明的加密机制;可以与鉴别、授权等安全手段方便的集成。可以提供比包过滤更详细的日志记录。第 10 章 网络应用安全应用层威胁,主要包括蠕虫、间谍软件、带宽滥用、垃圾邮件、网络钓鱼和DOS/DDOS攻击几种形式。如图10.1所示。蠕虫的定义指“通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪”。从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预(如各种外部存储介质的读写)。但时至今日,蠕虫往往和病毒、木马和DDoS等各种威胁结合起来,形成混合型蠕虫。间谍软件泛指未经用户同意执行特定行为,如播放广告、搜集个人信息、或更改用户计算机配置的软件”。SQL Injection指利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。Web传输的安全安全套接字层SSL (Secure Socket Layer)为Netscape所研发,用以保障在Inter
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 建筑生态工程合同模板
- 医疗区块链招聘协议制定
- 广播电视站工程安装施工承包合同
- 工地夜间保安合同样本
- 幼儿园家校接送合同样本参考
- 电动汽车充电桩招投标授权书
- 科技创新园区房产转让范本
- 发电厂电气部分(发电厂电气设备)学习通超星期末考试答案章节答案2024年
- 课程设计英文
- 现代信息查询与利用学习通超星期末考试答案章节答案2024年
- 汉语拼音教学讲座课件
- 各种样式聘书模板范本
- H3C ONEStor存储技术白皮书
- 重大事故隐患治理方案-
- 核医学-骨髓显像
- 六年级上册数学课件-3.6 分数连除和乘除混合运算丨苏教版 (共15张PPT)
- 人工血管动静脉内瘘术后护理课件
- 图书公司仓储物流管理制度及流程
- 新三板知识测评答案
- 危险化学品MSDS(氮气)
- 腹腔镜下子宫切除手术的手术配合课件
评论
0/150
提交评论