信息安全考试重点

第1章信息安全概述被动攻击：攻击者在未被授权的情况下，非法获取信息或数据文件，但不对数据信息作任何修改。被动攻击手段：搭线监听、无线截获、其他截获、流量分析阻止被动攻击：加密对付被动攻击的重点是预防，不是检测被动攻击使得机密信息被泄露，破坏了信息的机密性主动攻击：包括对数据流进行篡改或伪造主动攻击四种类型：伪装、重放、消息篡改、拒绝服务伪装、重放、消息篡改，破坏了信息的完整性，拒绝服务，破坏了信息系统的可用性信息安全的目标：机密性：Confidentiality，指保证信息不被非授权访问。完整性：Integrity，指信息在生成、传输、存储和使用过程中不应被第三方篡改。可用性：Availability，指授权用户可以根据需要随时访问所需信息。其它信息安全性质：可靠性，不可抵赖性，可审查性，可控性信息安全基础研究的主要内容：密码学研究和网络信息安全基础理论研究密码理论是信息安全的基础，信息安全的机密性，完整性和抗否认性都依赖密码算法密码学的主要研究内容是：加密算法（保护信息机密性）消息认证算法（保护信息的完整性）数字签名算法（保护信息的抗否认性）密钥管理网络攻击方式：泄密：将消息透露给未被授权的任何人或程序传输分析：分析通信双方的通信模式伪装：欺诈源向网络中插入一条消息内容修改：对消息内容进行插入、删除、转换或修改顺序修改：对通信双方的消息顺序进行插入、删除或重新排序计时修改：对消息的延时和重放发送方否认：发送方否认发过来某消息接收方否认：接收方否认接收到某消息安全理论的主要内容：身份认证、授权和访问控制、安全审计和安全协议安全技术：防火墙技术、漏洞扫描和分析、入侵检测、防病毒等平台安全：物理安全、网络安全、系统安全、数据安全、用户安全和边界安全物理安全是指保障信息网络物理设备不受物理损害，或是损坏时能及时修复或替换，通常是针对设备的自然损害、人为破坏或灾害损害而提出的网络安全的目标是防止针对网络平台的实现和访问模式的安全威胁信息安全管理研究：安全策略研究，主要内容包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等安全策略是安全系统设计、实施、管理和评估的依据安全标准研究，主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等安全测评研究，主要内容有测评模型、测评方法、测评工具、测评规程等第2章密码学基础1.研究各种加密方案的学科称为密码编码学，加密方案则被称为密码体制或者密码，研究破译密码的学科称为密码分析学数据安全基于密钥而不是算法的保密，也就是说，对于一个密码体制，其算法是可以公开的，但具体对于某次加密过程中所使用的密钥则是保密的根据密钥的使用方式分类：对称密码体制（秘密钥密码体制）和非对称密码体制（公钥密码体制）对称密码体制分为两类：序列密码或流密码，分组密码攻击密码体制一般有两种方法：密码分析和穷举攻击穷举攻击是指攻击者对一条密文尝试所有可能的密钥，直到把它转化成为可读的有意义明文4.攻击类型攻击者拥有的资源惟密文攻击（难度最大）加密算法截获的部分密文已知明文攻击加密算法，截获的部分密文和相应的明文选择明文攻击加密算法加密黑盒子，可加密任意明文得到相应的密文选择密文攻击加密算法解密黑盒子，可解密任意密文得到相应的明文如果无论有多少可以使用的密文，都不足以唯一地确定在该体制下地密文所对应的明文，则此加密体制是无条件安全的加密算法应该至少满足下面的两个条件之一：破译密码的代价超出密文信息的价值破译密码的时间超出密文信息的有效期满足上述两个条件之一的密码体制被称为在计算上是安全的第3章对称密码体制雪崩效应：明文或密钥的微小改变将对密文产生很大的影响弱密钥：DES算法在每次迭代时都有一个子密钥供加密用，如果一个外部密钥所产生的所有子密钥都是一样的，则这个密钥就称为弱密钥。AES，RC4，IDEA，CLIPPER，Blowfish，Twofish，CAST-128，GOST第4章公钥密码体制公钥密码体制有4个组成部分：明文，密文，公钥和私钥，加密、解密算法持有公钥的任何人都可以加密消息，但却无法解密。只有持有私钥的人才能够解密。加密的时候可以用公钥也可以用私钥公钥加密体制的特点和优点加密和解密能力分开多个用户加密的消息只能由一个用户解读，可用于公共网络中实现保密通信用私钥加密的消息可以用对应的公钥解密，所以由一个用户加密消息而使多个用户可以解读，可用于认证系统中对消息进行数字签字无需事先分配密钥密钥持有量大大减少提供了对称密码技术无法或很难提供的服务：如与哈希函数联合运用可生成数字签名，可证明的安全伪随机数发生器的构造，零知识证明等公钥密码体制目前主要用于密钥管理和数字签名RSA算法的可靠性基于大素数的因子分解问题RSA算法流程：选两个保密的大素数p和q。计算n=pXq,e(n)=(p-1)(q-1),其中祖(n)是n的欧拉函数值。选一整数e,满足1<e<l(n)，且gcd(祖(n),e)=1。计算d,满足d・e三1mode(n),即d是e在模^(n)下的乘法逆元，因e与祖(n)互素，由模运算可知，它的乘法逆元一定存在。以｛e,n｝为公开钥,｛d,n｝为秘密钥。ElGamal密码椭圆曲线密码体制(ECC)是基于椭圆曲线数学的一种公钥密码的方法第5章消息认证认证与加密的区别：加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听。这种被动攻击只是获取和破译数据，并不对传输中的数据进行篡改。认证用以确保报文发送者和接受者的真实性以及保文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。认证往往是应用系统中安全保护的第一道防线，极为重要。消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程认证函数可分为三类：消息加密，消息认证码MAC，Hash函数(用的最多)图2内部错误控制内部错误控制图解：根据明文M和公开的函数F产生FCS，即错误检测码，或帧校验序列，校验和把M和FCS合在一起加密，并传输。接收端把密文解密，得到M。根据得到的M，按照F计算FCS，并与接收到的FCS比较是否相等。F值有唯一性和单向性

F(我(M))图3外部错误控制消息认证码，也是一种认证技术，它把一个密钥和需要认证的消息一起代入一个函数，计算出一个固定长度的短数据块，称为MAC或密码校验，并把MAC附加在消息后，一起发送给接收方图4消息认证码的基本用法MAC图4消息认证码的基本用法MAC函数与加密函数类似，都需要明文、密钥和算法的参与。但MAC算法不要求可逆性，K1：用于生成MACK2：用于加密CK[eCK[ek(M)J1 2图6与密文有关的认证图解：A和B共享K1和K2K1：用于生成MACK2：用于加密散列函数(Hash),又称为哈希函数或杂凑函数，是对不定长的输入产生定长输出的一种特殊函数，可以表达为h=H(M)，M为消息，其长度不定，h被称为散列值、Hash值、散列码或哈希值，长度一定，一般为128位或160位。假定两次输入同样的数据，那么散列函数应该能够生成相同的散列值。输入数据中的一位发生了变化，会导致生成的散列值完全不一样。散列函数有个非常重要的特性为单向性，也就是从M计算h容易，而从h计算M不可能。散列函数H必须满足以下几个性质H对于任何大小的数据分组，都能产生定长的输出。对于任何给定的M，H(M)要相对易于计算。单向性：对于任何给定的hash值h，计算出M在计算上不可行。弱无碰撞性：对任何给定的M1，寻找M2，使H(M1)=H(M2)在计算上不可行。强无碰撞性：寻找任何的(M1，M2)，使H(M1)=H(M2)在计算上不可行。8.常用Hash算法：MD5，SHA算法，MD4，RIPEMD算法9.对Hash函数的攻击可分三个级别：预映射攻击(PreimageAttack)，次预映射攻击(SecondPreimageAttack)，碰撞攻击(CollisionAttack)第6章身份认证与数字签名1.身份认证是验证主体的真实身份与其所声称的身份是否符合的过程身份认证和消息认证的区别：身份认证一般都是实时的，消息认证一般不提供时间性。另外身份认证只证实实体的身份，消息认证除了消息的合法和完整外，还需要知道消息的含义。身份认证方式：单向认证(One-wayAuthentication)，双向认证(Two-wayAuthentication)和信任的第三方认证(TrustedThird-partyAuthentication)①EgKJ②E(RRa)K)②E(RRa)K)图1基于对称密码的单向认证图解：双方共享的密钥KSS随机数ra随机数ra•A.②Egg)图2基于非对称密码的单向认证图解：随机数raB的私钥KrSbE(Ra?Ks)(a\_.®E(Ra||RbKs)__?B③E(Rg图3基于对称密码的双向认证图解：A产生一个随机数RA双方共享的密钥KSB产生一个随机数RrB①Ra③E(Rb,Ksa)③E(Rb,Ksa)图4基于非对称密码的双向认证图解：A产生一个随机数RaB产生一个随机数RrBB的私钥KrSBA的私钥KsaSA®E(N2?®E(N2?Pkb)图5第三方认证机制图解：skau:管理员的私钥PKB:B的公钥PKA:A的公钥

N1：A的临时交互号N2：B产生的新临时交互号4.身份认证的Kerberos协议5.数字签名可以分为直接数字签名方法和仲裁数字签名方法A B图6数字签名协议原理仲裁数字签名的三种实现方法：方法一(1)X—A:MIIEk^[ID^IIH(M)](2)A—Y:EKay[IDXIIMIIEKxa[IDxIIH(M)IIT]E：单钥加密算法KxA,KAy：A与X和Y的共享密钥^X^A. •AYM：消息T：时戳IDX：X的身份H(M)：M的杂凑值在(1)中，X以ek[IDxHH(M)]作为自己对M的签名，将M及签名发往A。在(2)中A将从X收到的内容和IDX、T一起加密后发往Y,其中的T用于向Y表示所发的消息不是旧消息的重放。Y对收到的内容解密后，将解密结果存储起来以备出现争议时使用。如果出现争议，Y可声称自己收到的M的确来自X,并将eK[IDxHMIIeK[IDxHH(M)]]发给A,由A仲裁，A由KAY解密后，再用KXA对eK[IDxHH(M)懈密，并对H(M)加以XA验证，从而验证了X的签名。方法二(1)X一A:IDxIIeK[M]IIEK[IDxIIH(EK(M))]

（2）AfY:Ek[IDxIIEk[M]llEk[IDxIIH（EK（M））]llT]此方案提供了对M的保密性，和前一方案相同，仲裁者可和发方共谋否认发方曾发过的消息，也可和收方共谋产生发方的签名方法三（1）.XTA:IDxllESKx[IDxllEp、血％[M]]]（2）ATY:ESk^[IDxllEpK^[ESk^[M]]llT]第1步中，X用自己的秘密钥SKX和Y的公开钥PKy对消息加密后作为对M的签名，以这种方式使得任何第3方（包括A）都不能得到M的明文消息。A收到XA收到X发来的内容后，用X的公开钥可对eSkUDxHePKy[eSKx[M]]]解密并将解密得到的IDx与收到的IDx加以比较，从而可确信这一消息是来自于X的（因只有X有SKX）。第2步，A将X的身份IDx和X对M的签名加上一时戳后，再用自己的秘密钥加密发往Y。数字签名算法：RSA签名、DSS签名和基于ECC密码体制的ECDSA数字签名（数字签名的应用）数字签名由公钥密码发展而来，它在网络安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要应用。第7章密钥管理密钥分为初级密钥、二级密钥和主密钥。初级密钥：用于加解密数据的密钥。初级通信密钥和初级会话密钥原则上采用一个密钥只使用一次的“一次一密”方式。初级密钥在系统中不能以明文形式保存，必须用更高级的密钥进行加密保存二级密钥：用于保护初级密钥。二级密钥也不能以明文形式保存在系统中，必须接受更高级密钥的保护。主密钥：密钥管理方案中的最高级密钥，用于对二级密钥进行保护。可以以明文形式保存。主密钥的产生：用于加解密主密钥应当是高质量的真随机序列常采用物理噪声源的方法来产生。二级密钥的产生:利用真随机数产生器芯片来产生二级密钥或使用主密钥和一个强的密码算法来产生二级密钥密钥的存储形态有明文形态、密文形态、分量形态三种分量形态是指密钥以分量的形式存储，密钥分量不是密钥本身，而是用于产生密钥的部分参数，只有在所有密钥分量共同作用下才能产生出真正的密钥，而且只知道其中一个或部分分量，无法求出其他分量。密钥备份遵循的原则：密钥的备份应当是异设备备份，甚至是异地备份备份的密钥应当受到与存储密钥一样的保护，包括物理安全保护和逻辑安全保护为了减少明文形态的密钥数量，一般采用高级密钥保护低级密钥的方式来进行备份对于高级密钥，不能以密文形态备份。为了进一步增强安全，可采用多个密钥分量的形态进行备份密钥的备份应当方便恢复，密钥的恢复应当经过授权而且要遵循安全的规章制度密钥的备份和恢复都要记录日志，并进行审计具有保密性和认证的密钥分配方法①E [NIIID]图解：①A用B的公钥加密A的身份和一个一次性随机数N1后发送给B；B解密得到N1，并用A的公钥加密N1和另外一个随机数N2发送给A；A用B的公钥加密N2后发送给B；A选择一个会话密钥Ks，用A的私钥加密后再用B的公钥加密，发送给B，B用A的公钥和B的私钥解密得Ks。公钥的分配方式：公开发布，公钥动态目录表，数字证书公钥基础设施PKI：公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公开密钥基础设施PKI。PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。PKI逻辑结构(简答)：PKI应用fTM字证书: 证书机构CA 注册机构RA 证书发布系统:I IPKI策略 软硬件系统PKI安全策略：建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则证书机构CA：是PKI的信任基础，它管理公钥的整个生命周期，作用包括发放证书、规定证书的有效期和通过发布证书撤销列表，确保必要时可以废除证书注册机构RA：提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求证书发布系统：负责证书的发放，如可以通过用户自己，或是通过目录服务数字证书：在PKI中，最重要的信息就是数字证书，可以说，PKI的所有的活动都是围绕数字证书进行的PKI应用：PKI的应用范围非常广泛，并且在不断发展之中，可以说只要需要使用到公钥的地方就要使用到PKI证书验证数据的完整验证过程：验证者将客户端发来的数据解密将解密后的数据分解成原始数据、签名数据和客户证书三个部分用CA根证书(CA的公钥)验证客户证书的签名完整性检查客户证书是否有效检查客户证书是否作废验证客户证书结构中的证书用途用客户的证书(客户的公钥)验证原始数据的签名完整性PKI的信任模型：CA的严格层次模型，CA分布式信任结构，Web模型，以用户为中心的信任模型交叉认证模型(在两个CA之间的交叉认证是指：一个CA承认另一个CA在一个名字空间中被授权颁发的证书)PKI的应用实例：虚拟专用网络，安全电子邮件，Web安全第8章访问控制访问控制是为了限制访问主体(或称为发起者，是一个主动的实体，如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限，从而使计算机系统在合法范围内使用。访问控制由两个重要过程组成：通过认证来检验主体的合法身份；通过授权(Authorization)来限制用户对资源的访问级别控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束访问控制策略：自主访问控制，强制访问控制，基于角色的访问控制，基于任务的访问控制，基于对象的访问控制自主访问控制(DAC)允许合法用户以用户或用户组的身份访问规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。自主访问控制的实现机制：访问控制矩阵，访问控制列表，访问控制能力列表强制访问控制(MAC)：是比DAC更严格的访问控制策略。每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定用户和组的访问权限基于角色的访问控制(Role-basedAccess，RBAC)：基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。基于任务的访问控制(Task-basedAccessControl，TBAC)：是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务(活动)的角度来实现安全机制，在任务处理的过程中提供动态实时的安全管理网络访问控制的应用：MAC地址过滤VLAN隔离：是为了让避免档一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的影响，确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法ACL访问控制列表：访问控制列表在路由器中被广泛采用，它是一种基于包过滤的流向控制技术。访问控制列表可以有效地在网络层上控制网络用户对网络资源的访问，它既可以细致到两台网络设备间的具体的网络应用，也可以按网段进行大范围的访问控制管理防火墙访问控制：防火墙技术在最大限度上限制了源IP地址、目的IP地址、源端口号、目的端口号的访问权限，从而限制了每一业务流的通断（5） IEEE802.1Q身份验证（6） 基于IP地址的访问控制列表第9章网络攻击技术1.一次完整的网络攻击包含的基本步骤攻击的步骤解释例子侦查被动或者主动获取信息的过程嗅探网络流量，察看HTML代码，社交工程，获取目标系统的一切信息扫描及漏洞分析识别所运行系统和系统上活动的服务，从中找出可攻击的弱点Ping扫描、端口扫描、漏洞扫描获取访问权限攻击识别的漏洞，以获取未授权的访问权限利用缓冲区溢出或者暴力破解口令，并登录系统保持访问权限上传恶意软件，以确保能重新进入系统在系统上安装后门消除痕迹消除恶意活动的踪迹删除或修改系统和应用日志中的数据侦查也被称为踩点，目的是发现目标。通过踩点主要收集以下可用信息：网络域名，内部网络，外部网络，目标所用的操作系统被动操作系统踩点和主动操作系统踩点的区别：被动操作系统踩点主要是通过嗅探网络上的数据包来确定发送数据包的操作系统或者可能接收到的数据包的操作系统，其优点是用被动踩点攻击或嗅探主机时，并不产生附加的数据包，主要是监听并分析，一般操作是先攻陷一台薄弱的主机，在本地网段内嗅探数据包，以识别被攻陷主机能够接触到的机器操作系统类型主动操作系统识别是主动产生针对目标机器的数据包进行分析和回复。其缺点是很容易惊动目标，把入侵者暴露给入侵检测系统端口扫描方法：❖全TCP连接❖半打开式扫描：扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求，如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手过程的失败；如果目标计算机的回应是RST，则表示该端口为“死端口”，这种情况下，扫描主机不用做任何回应❖FIN扫描❖第三方扫描漏洞扫描只能找出目标机上已经被发现并且公开的漏洞，不能找出还未被发现的漏洞，并且只能扫描出在扫描器中已经存在特征码的漏洞流光和X-Scan是国内最有名的两款扫描工具。获取访问权限：缓冲区溢出，SQL注入攻击日志系统：应用程序日志，安全性日志，系统日志拒绝服务攻击（DenialofService，简称DoS）是指攻击者利用系统的缺陷，通过执行一些恶意的操作而使合法的系统用户不能及时的得到服务或者系统资源，如CPU处理时间、存储器、网络带宽、Web服务等。特点：它本身并不能使攻击者获取什么资源，例如系统的控制权力、秘密的文件等，它只是以破坏服务为目的，仅针对暴露于网络上的服务器或客户端的软、硬件服务进行干扰，迫使目标服务暂时性的失效，具有很强的破坏性，往往把这种方式称为“攻击”而不是“入侵”常见的拒绝服务攻击方法：基于网络带宽消耗的拒绝服务攻击：攻击者有意制造大量的数据包或传输大量文件以占用有限的带宽资源，使合法用户无法正常使用网络资源，从而实现攻击者的意图消耗磁盘空间的拒绝服务攻击：利用系统的缺陷，制造大量的垃圾信息消耗CPU资源和内存的拒绝服务攻击：操作系统需要提供CPU和内存资源给许多进程共用，攻击者利用系统存在的缺陷，有意使用大量的CPU和内存资源，从而导致系统服务性能下降甚至造成系统崩溃基于系统缺陷的拒绝服务攻击：两种典型的攻击方式PingofDeath和Teardrop分布式拒绝服务(DistributedDenialofService，DDoS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力拒绝服务攻击的防范措施(简答)：确保所有服务器采用最新系统，并打上安全补丁确保管理员对所有主机进行检查，而不仅针对关键主机确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS，守护程序是否存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统甚至是受防火墙保护的系统确保运行在UNIX上的所有服务都有TCP封装程序，限制对主机的访问权限禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin、Rcp,以更加安全的协议如SSH取代限制在防火墙外与网络文件共享在防火墙上运行端口映射程序或端口扫描程序检查所有网络设备和主机/和服务器系统的日志第10章恶意代码分析恶意代码类型类型定义特征典型实例计算机病毒(Virus)感染宿主文件，例如可执行文件和文档等，自动复制。经常需要人们交互感染复制CIH和梅里莎病毒蠕虫(Worm)通过网络传播，自动复制，通常无需人们交互感染传播Nimda、莫里斯蠕虫、冲击波恶意移动代码移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root账号，通常用于编写移动代码的工具包括JavaApplets、ActiveX、JavaScript和VBScriptCrossSiteScripting特洛伊木马(TrojanHorse)将自己伪装成有用的程序掩饰恶意目的Hydan、冰河RootKit替换或修改系统管理员和用户使用的可执行程序。甚至控制操作系统的内核LinuxRootKit(LRK)系列组合恶意代码组合上述不同技术以增强破坏力Lion、Bugbear.B2.蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干涉就能传播。蠕虫和病毒的区别与联系：蠕虫与病毒在实质上是相关的，在开始蔓延时都是自我复制。然而，蠕虫特征是通过网络传输，而病毒不一定要通过网络传播。病毒的主要特征是感染主文件，例如文档或者可执行文件，而蠕虫没有这个必要，它不需要宿主文件。3.蠕虫的组成探测装置传播引擎目标选择算法扫描引擎有效载荷探测装置：获得目标计算机的访问权传播引擎：传输自身的其他部分到目标机目标选择算法：寻找新的攻击目标扫描引擎：对潜在的目标慢慢传送一个或者多个数据包，以此权衡蠕虫的弹头是否可以在这台计算机上工作有效载荷：蠕虫进入目标机后所做的事情防御蠕虫：安装反病毒软件，及时配置补丁，阻断任意的输出连接，建立事故响应机制恶意移动代码可能的攻击形式：拒绝服务攻击，浏览器劫持，窃取Cookie值，跨网站脚本攻击后门的类型：本地权限的提升:这类后门使得对系统有访问权的攻击者突然变换权限等级成为管理员，有了这些超级用户权限，攻击者可以重新设置系统或访问存储在系统中的文件单个命令的远程执行：利用这种类型的后门，攻击者可以向目标计算机发送消息。每次执行一个单独的命令，并且返回输出远程命令行访问：这是一种远程的shell(remoteshell)，这种类型的后门允许攻击者通过网络快速直接地键入受害计算机的命令远程控制GUI:这是最彻底的远程控制，可以让攻击者看到目标计算机的桌面，看到受害者对计算机的所有操作和内容特洛伊木马分成三个模式：潜伏在正常的程序应用中，附带执行独立的恶意操作。潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作。完全覆盖正常的程序应用，执行恶意操作RootKit是一种特洛伊木马工具，通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中。和传统的特洛伊木马的区别：它获取运行在目标计算机上与操作系统相关联的常规程序，用恶意版本替代它们。防御方法：定期地对重要系统文件的完整性进行核查，像Tripwire第11章防火墙1.防火墙的基本功能服务控制：确定哪些服务可以被访问；方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙；用户控制：根据用户来控制对服务的访问；行为控制：控制一个特定的服务的行为。防火墙的实施策略一切未被禁止的就是允许的(Yes规则)：确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。一切未被允许的就是禁止的(No规则)：确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。防火墙根据实现原理分类包过滤(PacketFiltering)型：工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。应用代理(ApplicationProxy)型:工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。根据防火墙结构分类：单一主机防火墙，路由器集成式防火墙，分布式防火墙按照防火墙应用部署分类：边界防火墙，个人防火墙，混合式防火墙数据包过滤技术：数据包过滤原理(在网络的适当位置，根据系统设置的过滤规则。对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃)静态包过滤类型防火墙，状态监测防火墙(动态包过滤防火墙)静态与动态的区别：静态包过滤防火墙的优点是逻辑简单，对网络网络性能的影响较小，有较强的透明性。此外，它的工作和应用层无关，无须改动任何客户主机和主机上的应用程序，易于安装和使用。最明显的缺陷是，为了实现期望的通信，它必须保持一些端口永久开放。动态包过滤防火墙的优点是减少了端口的开放时间，提供了对几乎所有服务的支持，缺点是它也允许了外部客户和内部主机的直接，不提供对用户的认证。包过滤防火墙的优缺点优点：性能优于其他防火墙，因为它执行的计算较少，并且容易用硬件方式实现；规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络；不需要对客户端计算机进行专门配置；通过NAT(网络地址转换)，可以对外部用户屏蔽内部IP缺点：无法识别协议层次，也无法对协议子集进行约束，甚至最基本的服务，如ftp中的put和get命令也无法识别；处理包内信息的能力有限，通常不能提供其他附加服务；一般无法约束由内部主机到防火墙服务器上的信息，只能控制哪些信息可以通过，从而入侵者可能访问到防火墙主机的服务，带来安全隐患；由于对众多网络服务的支持所造成的复杂性，很难对规则有效性进行测试。代理类型防火墙最突出的优点就是安全性高，最大的缺点就是速度相对比较慢电路级网关是一个通用代理服务器，通常可以认为它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层堡垒主机(BastionHost):物理内部网中唯一可供外界访问到的主机，它通常配置了严格的安全防范措施，堡垒主机为内部网和外部网之间的通信提供一个阻塞点。非军事区(DMZ)：指供外部网访问的专门区域，用于发布信息、提供服务。防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。防火墙的局限性：防火墙无法防范来自网络内部的攻击，而通过调查发现，有将近一半以上的攻击都来自网络内部，对于那些心怀不满而要破坏内部网络的内部员工来说，防火墙形同虚设防火墙无法对绕过它的通信进行限制。防火墙不能堵住来自外部网络的病毒。第12章入侵检测系统入侵检测：是通过从计算机网络系统中的若干关键节点收集信息，并分析这些信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统(IntrusionDetectionSystem,IDS)：入侵检测系统通过监视受保护系统的状态和活动，采用异常检测或滥用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段，是一个完备的网络安全体系的重要组成部分。入侵检测系统分类：基于主机的入侵检测系统，基于网络的入侵检测系统，分布式入侵检测系统入侵检测方法：滥用检测(MisuseDetection)：也被称为误用检测或者基于特征的检测。这种方法首先直接对入侵行为进行特征化描述，建立某种或某类入侵特征行为的模式，如果发现当前行为与某个入侵模式一致，就表示发生了这种入侵。指标:误报低、漏报高异常检测(AnomalyDetection)：基本思想是任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息(假定日志信息足够完全)总结出一些规律，而入侵和滥用行为则通常与正常行为会有比较大的差异，通过检查出这些差异就可以检测出入侵。指标:误报高、漏报低入侵检测前沿技术：人工神经网络技术，人工免疫技术，数据挖掘技术入侵检测系统的局限性：误报和漏报的矛盾隐私和安全的矛盾被动分析与主动发现的矛盾海量信息与分析代价的矛盾功能性和可管理性的矛盾单一产品与复杂网络应用的矛盾Snort是一个多平台的强大的网络入侵检测系统。第13章安全协议网络层协议的安全隐患：IP协议在实现通信的过程中并不能为数据提供完整性和机密性保护，缺少基于IP地址的身份认证机制，容易遭到IP地址欺骗攻击。因此IP地址假冒成为IP协议的主要安全问题。另一个安全问题是利用源路由选项进行攻击。此外，还存在重组IP分片包的威胁传输层协议的安全隐患：TCP协议的安全隐患和UDP协议的安全隐患。欺骗UDP比欺骗TCP包更加容易应用层协议的安全隐患：大部分协议以超级管理员的权限运行，一旦这些程序存在安全漏洞且被攻击者利用，极有可能取得整个系统的控制权。许多协议采用简单的身份认证方式，并且在网络中以明文方式传输。TCP/IP的安全体系结构

SNMPPGPS/MIMEPEMSETIKETELNETHTTPSX.509RIPv2SNMPv3BGP-4SNMP