信息安全工程师教程学习笔记

1、信息安全工程师教程学习笔记（一） 全国计算机技术与软件专业技术资格 （水平） 考试，这门新开的信息安全工 程师分属该考试“信息系统”专业，位处中级资格。官方教材信息安全工程师 教程及考试大纲于 7 月 1 日出版，希赛小编整理了 信息安全工程师教程学习 笔记，供大家参考学习。 网站安全威胁 网站安全问题原因何在？总结种种形式，目前网站安全存在以下威胁： 服务器系统漏洞 利用系统漏洞是网站遭受攻击的最常见攻击方式。网站是基于计算机网络 的，而计算机运行又是少不了操作系统的。 操作系统的漏洞会直接影响到网站的 安全，一个小小的系统漏洞可能就是让系统瘫痪， 比如常见的有缓冲区溢出漏洞、 iis 漏洞

2、、以及第三方软件漏洞等。 注意：虚拟机用户注意了，请选择稳定、安全的空间，这个尤为重要！ 网站程序设计缺陷 网站设计， 往往只考虑业务功能和正常情况下的稳定， 考虑满足用户应用， 如何实现业务需求。 很少考虑网站应用开发过程中所存在的漏洞， 这些漏洞在不 关注安全代码设计的人员眼里几乎不可见， 大多数网站设计开发者、 网站维护人 员对网站攻防技术的了解甚少； 在正常使用过程中， 即便存在安全漏洞， 正常的 使用者并不会察觉。 网站源程序代码的安全也对整个网站的安全起到举足轻重的作用。若代码 漏洞危害严重， 攻击者通过相应的攻击很容易拿到系统的最高权限， 那时整个网 站也在其掌握之中， 因此代码

3、的安全性至关重要。 目前由于代码编写的不严谨而 引发的漏洞很多，最为流行攻击方法示意图如下： （ 1）注入漏洞攻击 （2）上传漏洞攻击 （3）CGI 漏洞攻击 （4）XSS 攻击 （5）构造入侵 （ 6）社会工程学 （7）管理疏忽 安全意识薄弱 很多人都认为，部署防火墙、IDS、IPS、防毒墙等基于网络的安全产品后， 通过 SSL 加密网络、服务器、网站都是安全的。实事上并不是如此，基于应用 层的攻击如 SQL 注入、跨站脚本、构造入侵这种特征不唯一的网站攻击，就是 通过 80 端口进行的，并且攻击者是通过正常 GET、 POST 等正常方式提交，来 达到攻击的效果， 基于特征匹配技术防御攻击

4、， 不能精确阻断攻击， 防火墙是无 法拦截的。SSL加密后，只能说明网站发送和接受的信息都经过了加密处理，但 无法保障存储在网站里面的信息安全。 同时还有管理人员的安全意识不足， 默认 配置不当，使用弱口令密码等。 提示：防火墙等安全产品是拦截基于网络的攻击 （如 DDOS 、端口扫描等）， 可以限制不必对外开放的端口，可以方便集中管理、分划网络拓扑。 网络欺骗 网络欺骗就是使入侵者相信信息系统存在有价值的、 可利用的安全弱点， 并 具有一些可攻击窃取的资源 （当然这些资源是伪造的或不重要的） ，并将入侵者 引向这些错误的资源。 它能够显著地增加入侵者的工作量、 入侵复杂度以及不确 定性，从而

5、使入侵者不知道其进攻是否奏效或成功。 而且， 它允许防护者跟踪入 侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。 主要技术 Honey Pot 和分布式 Honey Pot 网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服 务、多路径和维护安全状态信息机密性， 后者包括重定向路由、 伪造假信息和设 置圈套等等。综合这些技术方法，最早采用的网络欺骗是 Honey Pot 技术，它 将少量的有吸引力的目标（我们称之为 Honey Pot ）放置在入侵者很容易发现 的地方，以诱使入侵者上当。 这种技术的目标是寻找一种有效的方法来影响入侵者， 使得入侵者将技术、 Honey 精力

6、集中到 Honey Pot 而不是其它真正有价值的正常系统和资源中 Pot 技术还可以做到一旦入侵企图被检测到时，迅速地将其切换 但是，对稍高级的网络入侵， Honey Pot 技术就作用甚微了。因此，分布 式 Honey Pot 技术便应运而生，它将欺骗( Honey Pot )散布在网络的正常系 统和资源中， 利用闲置的服务端口来充当欺骗， 从而增大了入侵者遭遇欺骗的可 能性。它具有两个直接的效果，一是将欺骗分布到更广范围的 IP 地址和端口空 间中，二是增大了欺骗在整个网络中的百分比， 使得欺骗比安全弱点被入侵者扫 描器发现的可能性增大。 尽管如此，分布式 Honey Pot 技术仍有局

7、限性，这体现在三个方面：一是 它对穷尽整个空间搜索的网络扫描无效； 二是只提供了相对较低的欺骗质量； 三 是只相对使整个搜索空间的安全弱点减少。 而且，这种技术的一个更为严重的缺 陷是它只对远程扫描有效。 如果入侵已经部分进入到网络系统中， 处于观察 (如 嗅探)而非主动扫描阶段时， 真正的网络服务对入侵者已经透明， 那么这种欺骗 将失去作用 主要形式 欺骗空间技术 欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而 达到安全防护的 目的 。利 用计 算机系统 的多 宿主能力 ( multi homed capability )，在只有一块以太网卡的计算机上就能实现具有众多 IP

8、 地址的主机， 而且每个 IP 地址还具有它们自己的 MAC 地址。这项技术可用于建立填充一大 段地址空间的欺骗，且花费极低。实际上，现在已有研究机构能将超过 4000 个 IP 地址绑定在一台运行 Linux 的 PC 上。这意味着利用 16 台计算机组成的网络 系统，就可做到覆盖整个 B 类地址空间的欺骗。尽管看起来存在许许多多不同 的欺骗，但实际上在一台计算机上就可实现。 从效果上看，将网络服务放置在所有这些 IP 地址上将毫无疑问地增加了入 侵者的工作量， 因为他们需要决定哪些服务是真正的， 哪些服务是伪造的， 特别 是这样的 4 万个以上 IP 地址都放置了伪造网络服务的系统。而且，

9、在这种情况 下，欺骗服务相对更容易被扫描器发现， 通过诱使入侵者上当， 增加了入侵时间， 从而大量消耗入侵者的资源，使真正的网络服务被探测到的可能性大大减小。 当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时， 还可将扫描器所有的网络流量重定向到欺骗上， 使得接下来的远程访问变成这个 欺骗的继续。 当然，采用这种欺骗时网络流量和服务的切换（重定向）必须严格保密， 因为一旦暴露就将招致攻击， 从而导致入侵者很容易将任一已知有效的服务和这 种用于测试入侵者的扫描探测及其响应的欺骗区分开来 增强欺骗质量 面对网络攻击技术的不断提高， 一种网络欺骗技术肯定不能做到总是成功， 必须不断地提

10、高欺骗质量，才能使入侵者难以将合法服务和欺骗区分开来。 网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗是有效增强 网络欺骗质量的几种主要方法，下面分别予以介绍。 网络流量仿真 产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿 真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量， 这使得欺骗系统与真实系统十分相似， 因为所有的访问连接都被复制了。 第二种 方法是从远程产生伪造流量，使入侵者可以发现和利用。 网络动态配置 真实网络是随时间而改变的，如果欺骗是静态的，那么在入侵者长期监视 的情况下就会导致欺骗无效。 因此，需要动态配置欺骗网络以模拟正常的网络

11、行 为，使欺骗网络也象真实网络那样随时间而改变。 为使之有效， 欺骗特性也应该 能尽可能地反映出真实系统的特性。 例如，如果办公室的计算机在下班之后关机， 那么欺骗计算机也应该在同一时刻关机。 其它的如假期、 周末和特殊时刻也必须 考虑，否则入侵者将很可能发现欺骗。 多重地址转换 ( multiple address translation ) 地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的 计算机替换低可信度的欺骗， 增加了间接性和隐蔽性。 其基本的概念就是重定向 代理服务(通过改写代理服务器程序实现)，由代理服务进行地址转换，使相同 的源和目的地址象真实系统那样被维护在欺骗系统中。 右图中，从 m.n.o.p 进入 到 a.b.c.g 接口的访问， 将经过