网络安全学习笔记

计算机网络的不安全因素：一般来说，计算机网络本身的脆弱性受到非法的窃取、复制、篡改和毁坏；再有，计算机网络硬件的自然造成计算机网络系统内信息的损坏、丢失和安全事故。不安全的因素：偶发因素、自然灾害、人为因素。人为因素又分为被动攻击、主动攻击、邻近攻击、内部人员攻击。互联网的不安全性：互联网是开放的、国际的、自由性的网络。计算机网络安全，广义上说是凡是涉及网络上信息的保密性、完网络环境里，信息数据的机密性、完整性及可使用性受到保护。计算机网络安全的目标：保密性、完整性、可用性、不可否认性、可控性。OSI安全体系结构中定义了五大类安全服务，也称为安全防护措施，分别为鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。PPDR模型具体内容是安全策略（、保护（Protection)、检测（Detection)和响应（Response)1网络安全技术可从以下几个方面来分析：一、物理安全措施：环境安全、设备安全、媒体安全。二、数据传输安全技术：通常采用的加密技术可从三个不同的层次来分别，分别是链路加密、节点加密、的方法是数字签名。三、：受托者指派和继承权限屏蔽是实现这种技术的两种方式。四、防病毒技术包括预防病毒、检测病毒、消除病毒。网络安全威胁和攻击机制的发展趋势：一、与INTERNET更加紧密地结合，利用一切可以利用的方式进行传播。二、所有的病毒都具有混合型特征，集文件传染、蠕虫、木马和黑客程序的特点于一身，破坏性大大增强。三、其扩散极快，而更加注重欺骗性。四、利用系统漏洞将成为病毒有力的传播方式。五、无疑网络技术的发展，使远程网络攻击的可能性加大。六、各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。七、各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁。八、各种攻击技术的隐秘性增强，常规防范手段难以识别。九、分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性。十、一些政府部问题日益突出。2配套的法律。物理安全设备安全、电源安全。计算机机房安全技术措施主要包括防盗报警、实时监控、安全门禁等。计算机机房的安全等级分为A类、B类、C类三个等级。通信线路安全的实现技术：电缆加压技术。电磁干扰可以通过两个途径来影响电子设备的工作。一条是电子是通过连接的导线、电源线、信号线等耦合而引起相互之间的干扰。其防护措施：屏蔽、隔离、滤波、吸波及接地等，其中屏蔽是应用最多的方法。密码学的发展大致经历了三个阶段：古代加密方法、古典密码、近代密码。密码体制从原理上可分为两大类：单钥或对称密码体制和双钥或非对称密码体制。单钥密码体制的算法有DES算法，它的优点是加密、解密处理速度快、保密度高等，其缺点主要是密钥是保密通信安全的关键，发信方必须安全、妥善地把密钥护送到收信方，不能泄露更加复杂化；通信双方必须统一密钥，才能发送保密的信息；还存在3数字签名困难问题。双密钥体制典型的算法是RSA密码体制。加密算法就其发展经历了三个阶段：古典密码、对称密钥密码和码。常见的网络数据加密方式主要有链路加密、节点加密、端到端加密。链路加密是对网络中两个相邻节点之间传输的数据进行加密保加密是指对一对用户之间的数据连续地提供保护。认证的目的有三个：一是消息完整性认证；二是身份认证；三是消息的序号和操作时间等的认证。认证技术可以分为三个别层次：安全管理协议、认证体制、密码体制。数字签名是一种实现消息完整性认证和身份认证的重要技术。身直接身份认证和间接身份认证。PKI（公开密钥基础设施）是一个用公钥密码算法原理和技术来提PKI平台提供的安全服务4进行安全通信，它主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。CA是PKI的核心。PKI的特点：一是节省费用；二是互操作性；三是开放性；四是一致的解决方案；五是可验证性；六是可选择性。防火墙是一种将内部网络和外部网络分开的方法，是提供信息安保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。防火墙的功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。对网络攻击检测和告警的体现：一是控制不安全的服务；二是站点访问控制；三是集中安全服务；四是强化私有权；五是网络连接的日志记录及使用统计。防火墙的局限性：一是网络的安全性通常是以网络服务的开放性和灵活性为代价；二是防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。屏蔽子网体系结构。从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙，它们的实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。包过滤技术工作在网络层，它的缺陷：一是5差；四是一些应用协议不适合于数据包过滤；五是管理功能弱。代理自适应代理服务器和动态包过滤器。代理技术的优点：代理易于配置、代理能生成各项记录、代理能灵活、完全地控制进出流量和内容、代理能过滤数据内容、代理能为缺点：一是代理速度较路由器慢；二是代理对用户不透明；三是对于有协议弱点的限制；五是代理不能改进底层协议的安全性。状态检测技术的优点：高安全性、高效性、可伸缩性和易扩展性、有大量的过滤网络通信的规则存在。NAT技术是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT就是在局域网内部网络中使用内部地址，而当内部节点要而在外部公网上正常使用。NATNATNAT。6NATIP地址对外面的人来说是隐藏的；二是如果因为某种原因公共IP地址资源比较短缺的话，NAT技术可以使整个内部网络共享一个IP地址；三是可以启用基本的包过NAT进行外部连接，就像它可以穿过包过滤防火墙一样容易。个人防火墙的IP数据包过滤功能可以分为三种数据包过滤：ICMP数据包过滤、UDP数据包过滤、TCP数据包过滤。个人防火墙的优点：一是增加了保护级别，不需要额外的硬件资人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源；三是个人防火墙只能对单机提供保护，不能保护网络系统。防火墙发展动态和趋势：优良的性能、可扩展的结构和功能、简化的安装和管理、主动过滤、防病毒和防黑客、发展联动技术。入侵检测就是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。入侵检测在体系结构上主要由事件提取、入侵分析、入侵响应、7远程管理四个部分组成。入侵检测系统按基于数据源的分类方法可以分为基于主机、基于检测理论的分类检测是根据使用者的行为或资源使用状况的正常程度来判断是否入检测，异常检测用于检测系统日志，误用检测用于检测网络数据包。误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式件的方法。分布式入侵检测具体的处理方法有两种：分布式信息收集、集中处理；分布式信息收集、分布式处理。分布式入侵检测的优势：检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施。分布式入侵检测的技术难点：事件产生及存储、状态空间管理及规则复杂度、知识库管理和推理技术。安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。穿透测试可分为无先验知识穿透测试和有先验知识穿透测试。网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞8漏洞探测可以发现系统中可能存在的安全漏洞。TCP/IPTCP端口扫描和UDP端口扫描，TCP端口扫描技术。安全漏洞按漏洞的可利用方式可分为信息型漏洞和攻击型漏洞探探测技术（积极的、非破坏性）等。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能程序代码。其特征：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性、可触发性。计算机病毒的逻辑结构分为引导模块、传染模块、发作模块，引条件，是各种病毒必不可少的模块。文件型病毒可分为以下几种：高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型、不驻留内存型。9破坏机制。计算机病毒的分类：按病毒攻击的系统分为攻击DOS系统的病WINDOWSUNIXOS/2为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒；按病毒式分为引导型病毒、文件型病毒、复合型病毒；按病毒的传播媒介分为单机病毒和网络病毒。WORDWORD宏病毒会感染.doc文档和.dotWORD宏病毒的传染通常是WORD在打开一个带宏病毒的文档或模板时，激活宏病毒；三是多数WORD宏病毒包信、、、AUTOEXIT等自动宏，通过这些自动宏病毒取得文档或模板的操作权；四是WORD宏病毒中总是含有对文档读写操作的宏命令；五是WORD宏病毒在.doc文档、.dot模板中以BEFWORD版本格式可能不兼容。计算机病毒的检测方法：一是特征代码法的特点：速度慢、误报警率低、不能检查多形性病毒、不能对付隐蔽性病毒；二是检验和法的优点：方法简单能发现未知病毒、被查文件的细微变化也能发现。但会误报警、不能识别病毒名称、不能对付隐蔽型病毒；三是行为监10测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒，但可能误报警、不能识别病毒名称、实现时有一定难度；四是软件模拟法。计算机病毒的防范从严格的管理、有效的技术两方面着手。①严格的管理。制定相应的管理制度，避免蓄意制造、传播病毒的事件发生。②有效的技术。）将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒。2）检测一些病毒经常要改变的系统信息，以确定是否存在病毒行为；）监测写盘操作，对引导区或主引导区的写操作报警。）对计算机系统中的文件形成一个密码检验码和实现对程序配现象即报警。5）智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区别正常程序与病毒程序的行为。6）智能监察型：设计病毒特征库，病毒行为知识库，受保护程序存取行为知识库等多个知识库及相应的可变推理机。二是与INTERNET和INTRANET木马、黑客程序的特点于一身，破坏性大大增强，病毒编写者不再单扩散性极快，不再追求隐藏性，而更加注重欺骗性；利用系统和应用程序漏洞将成为病毒有力的传播方式。恶意代码：是一种程序，通常在人们没有察觉的情况下把代码寄11侵性或破坏性的程序，破坏被感染系统数据的安全性和完整性的目的。恶意代码的关键技术有生存技术、攻击技术、隐藏技术。①生存。技术主要包括4动生产技术。②常见的恶意代码攻击技术包括：进程注入技术、三线程技术、端口复用技术、对抗检测技术、端口反向连接技术和缓冲区藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等；通新系统，修补安全漏洞；二是设置安全策略，限制脚本程序的运行；习惯。网络安全体系通常由保护、检测、响应和恢复等手段构成。研究信息安全的困难在于：边界模糊、评估困难、安全技术滞后、管理滞后。网络安全设计的基本原则：一是需求、风险、代价平衡分析的原五是适应性、灵活性原则；六是多重保护原则。网络安全解决方案是技术、策略、管理三者的有机结合，技术是关键，策略是核心，管理是保证。网络安全风险分析有以下几个方面