网络安全基础试卷教案

网络安全

—网络安全基础

一、信息安全管理基础

1.1信息安全概述

1。1。1信息安全面临的主要问题

1、人员问题：

➢信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏

等问题

➢特权人员越权访问,如：系统管理员，应用管理员越权访问、传播敏感数据

➢内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等

2、技术问题：

➢病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作

3、法律方面

➢网络滥用：员工发表政治言论、访问非法网站

➢法制不健全，行业不正当竞争(如：窃取机密，破坏企业的业务服务）

1.1。2信息安全的相对性

安全没有100%,完美的健康状态永远也不能达到。

安全工作的目标：将风险降到最低.

第2章计算机病毒及防范技术

2.1计算机病毒介绍

2.1。1计算机病毒定义

什么是病毒?

医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生

的非细胞生物。

什么是计算机病毒?

计算机病毒通常是指可以自我复制，以及向其他文件传播的程序

2。1.2计算机病毒起源和发展史

计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制

造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚

“计算机病毒"这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的

青春》中提出

1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。

1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM

圣诞树、黑色星期五等等

1989年全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户

造成极大损失。、

1991年在“海湾战争”中，美军第一次将计算机病毒用于实战

1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新

的增长点。

……

2。1.3传统计算机病毒分类

传统计算机病毒分为:

➢引导型病毒

➢DOS病毒

➢Windows病毒

➢宏病毒

脚本病毒

2.1。4现代计算机病毒介绍

特洛伊木马：特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授

权，通常是恶意的操作。

玩笑程序:玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开

玩笑.这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发

不正当的操作，从而导致文件的损坏和数据的丢失。

病毒或恶意程序Droppers：病毒或恶意程序Droppers被执行后，会在被感染系统中植入

病毒或是恶意程序，在病毒或恶意程序植入后,可以感染文件和对系统造成破坏。

后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过

系统安全策略.

DDos攻击程序：DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户

无法获得正常服务。如下图所示：

图：DDOS攻击示意图

2.1。5网络病毒介绍

网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制,并对网

络或联网计算机造成破坏的计算机病毒称为网络病毒。

网络病毒的特点及危害:破坏性强、传播性强、针对性强、扩散面广、传染方式多

网络病毒同黑客攻击技术的融合为网络带来了新的威胁.攻击者可以用病毒作为网络攻

击的有效载体，呈几何级地扩大破坏能力.

网络攻击的程序可以通过病毒经由多种渠道广泛传播,攻击程序可以利用病毒的隐蔽性

来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以

直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。

2.2计算机病毒分析与防护

2。2.1病毒的常见症状及传播途径

（一）病毒的常见症状

•电脑运行比平常迟钝

•程序载入时间比平常久

•对一个简单的工作，磁盘似乎花了比预期长的时间

•不寻常的错误信息出现

•硬盘的指示灯无缘无故的亮了

•系统内存容量忽然大量减少

•可执行程序的大小改变了

•内存内增加来路不明的常驻程序

•文件奇怪的消失

•文件的内容被加上一些奇怪的资料

•文件名称，扩展名，日期，属性被更改过

（二）病毒的常见传播途径

•文件传输介质：例如CIH病毒,通过复制感染程序传播

•电子邮件:例如梅丽莎病毒,第一个通过电子邮件传播的病毒

•网络共享：例如WORM_OPASERV。F病毒可以通过网络中的可写共享传播

•文件共享软件:例如WORM_LIRVA。C病毒可以通过Kazaa点对点文件共享软件

传播

2.2.2病毒传播或感染途径

病毒感染的常见过程:通过某种途径传播，进入目标系统，自我复制，并通过修改系统

设置实现随系统自启动，激活病毒负载的预定功能。

·打开后门等待连接

·发起DDOS攻击

·进行键盘记录

除引导区病毒外,所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能

实现感染系统的目的。

1、利用电子邮件感染病毒:邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，

利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快

2、利用网络共享感染病毒：

➢病毒会搜索本地网络中存在的共享，如ADMIN$，IPC$，E＄,D$,C＄

➢通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表

➢将自身复制到网络共享文件夹中，通常以游戏，CDKEY等相关名字命名

➢利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT等

病毒

3、利用P2P共享软件感染病毒：

➢将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名

➢通过P2P软件共享给网络用户

➢利用社会工程学进行伪装，诱使用户下载

➢WORM_PEERCOPY。A等病毒

4、利用系统漏洞感染病毒:

➢由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这

些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。

➢病毒往往利用系统漏洞进入系统,达到快速传播的目的。

➢常被利用的漏洞：

·RPC—DCOM缓冲区溢出（MS03-026)

·WebDAV（MS03-007)

·LSASS(MS04-011）

2.2。3病毒自启动方式

•修改系统

–修改注册表

•启动项

•文件关联项

•系统服务项

•BHO项

–将自身添加为服务

–将自身添加到启动文件夹

–修改系统配置文件

•自动加载

–服务和进程－病毒程序直接运行

–嵌入系统正常进程－DLL文件和OCX文件等

–驱动－SYS文件

注册表项目之注册表启动项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：

•RunServices

•RunServicesOnce

•Run

•RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：

•Run

•RunOnce

•RunServices

以上这些键一般用于在系统启动时执行特定程序。

注册表项目之文件关联项:

HKEY_CLASSES_ROOT下：

•exefile\shell\open\command]@=”"%1”％*"

•comfile\shell\open\command］＠=””％1"％＊”

•batfile\shell\open\command]@=""%1"％*"

•htafile\Shell\Open\Command］＠=”"％1"%＊”

•piffile\shell\open\command]@="”％1"%*"

•……

病毒将"％1％＊"改为“virus。exe％1%＊”

•virus.exe将在打开或运行相应类型的文件时被执行

注册表项目之系统服务项：

在如下键值下面添加子键即可将自身注册为服务,随系统启动而启动：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

注册表项目之BHO项

在如下键值下面添加子键(ClSID键)即可将自身注册为BHO,随IE浏览器启动而启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows

erHelperObjects

将自身添加到启动文件夹：

•当前用户的启动文件夹

可以通过如下注册表键获得：

Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项

•公共的启动文件夹

可以通过如下注册表键获得:

Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的Common

StartUp项

病毒可以在该文件夹中放入欲执行的程序，

或直接修改其值指向放置有要执行程序的路径。

2。2.4病毒的隐性行为

•下载特性

–自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版

本/其他变种

•后门特性

–开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控

•信息收集特性

–收集私人信息，特别是帐号密码等信息，自动发送

•自身隐藏特性

–使用Rootkit技术隐藏自身的文件和进程

•文件感染特性

–感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,

或使系统正常文件感染病毒而成为病毒体。

–典型

•PE_LOOKED维京

•PE_FUJACKS熊猫烧香

•网络攻击特性

–针对微软操作系统或其他程序存在的漏洞进行攻击

–修改计算机的网络设置

–向网络中其它计算机发送大量数据包以阻塞网络

–典型

•震荡波

•ARP攻击

2.2。5计算机病毒防御

图：计算机病毒防御体系图例

（一）计算机病毒手工处理

•重装系统?

•系统还原？

•Ghost还原？

•大多数情况下,可以直接根据经验来迅速清除各种病毒

–木马病毒和后门程序

–间谍软件、广告软件和灰色软件

–蠕虫病毒

–文件型病毒母体

•处理过程包括

–修复病毒修改的注册表/文件内容

–删除病毒文件

病毒处理建议步骤：

•处理病毒问题时,若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除

注册表主键/键值的情况,也可能出现删除注册表键值或文件后，被删除的内容会再

次出现的情况.

✓最好在安全模式下操作

✓终止所有可疑进程和不必要的进程

✓关闭系统还原

（二）检查注册表中常见的病毒自动加载项

•检查启动项:

–删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值，可将

该键值删除。

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run

–HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run

•检查服务:

–在[控制面板］-［管理工具］—［服务]中，查看是否存在可疑服务。若无法

确定服务是否可疑，可直接查看该服务属性,检查服务所指向的文件。随后

可以检查该文件是否为正常文件（文件检查方法稍后会介绍）。对于不正常

的服务，可直接在注册表中删除该服务的主键。

–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

•检查Winlogon加载项

–在注册表中检查Winlogon相关加载项:

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

–Shell=Explorer.exe(默认）

–Userinit=C：\WINDOWS\system32\userinit.exe,（默认)

–以上Shell和Userinit键值为默认,若发现被修改，可直接将其修改为默认键值。

•检查Winlogon加载项

–在注册表中检查WinlogonNotify相关加载项：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify

–在Notify下会有多个主键（目录)，每个主键中的DllName键值将指向一个DLL

文件。若发现有指向可疑的DLL文件时，请先确认其指向的DLL是否正常。

若不正常，可直接删除这个主键.

•检查其他加载项

–在注册表中检查以下注册表加载项键值：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows

–AppInit_DLLs=“"

–HKEY_CURRENT_USER\Software\Microsoft\Windows

NT\CurrentVersion\Windows

–Load=“”

–该键值默认为空.若键值被修改,可直接将键值内容清空。

（三）检查注册表中的BHO项

•检查BrowserHelpObject（BHO）项

–BHO项在注册表中包含以下主键的内容：

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\BrowserHelperObjects

–HKEY_CLASSES_ROOT\CLSID\

–可以在HKEY_CLASSES_ROOT\CLSID\下的InprocServer32主键中查看BHO

项所指向的文件。当发现指向了可疑文件时,可直接删除以上注册表路径下

所有包含了该CLSID的主键。

•使用Hijackthis工具可以迅速有效的分析系统中的BHO项。

(四）查看系统中的可疑文件

•如何判断文件是否可疑？

–查看文件版本信息

–Google之

•所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信

息异常，则可判断为可疑文件。

•如何迅速查找这些可疑文件？

–%SystemRoot％\

–%SystemRoot％\System32\

–%SystemRoot％\System32\drivers\

•对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件：

–可执行文件。EXE，。COM,.SCR,.PIF

–DLL文件和OCX文件

–LOG文件——有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双

击打开查看其内容是否为文本。若为乱码，则可疑。

病毒文件被隐藏,如何查找？

•工具-〉文件夹选项

–选择“显示所有文件"

–取消“隐藏受保护的系统文件”

•仍然无法显示隐藏文件

–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\NOHIDDEN

CheckedValue=2

DefaultValue=2

✓HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=1

DefaultValue=2

（五）检查并修复host文件

•修复被病毒修改的host文件

–一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问

某些网站时，重定向到某些恶意站点。

•检查文件:

–%SystemRoot%\System32\drivers\etc\host

–使用文本编辑工具打开该文件检查。默认该文件包含一条host记录

✓127.0.0。1localhost

–若有其他可疑的host记录,可以直接删除多余的记录

(六）删除所有临时文件

•病毒经常存在于临时目录中

–％SystemRoot%\Temp

–C:\Temp

–Internet临时文件

–C:\DocumentsandSettings\〈用户名〉\LocalSettings\Temp

•清空所有以上的目录

（七)病毒防护常用工具

常用病毒查杀工具一览：

➢SIC，HijackThis系统诊断

➢ProcessExplorer分析进程

➢TCPView分析网络连接

➢Regmon，InstallRite监视注册表

➢Filemon，InstallRite监视文件系统

➢IceSword

➢Ntsd

➢pskill

第4章安全评估

4。1安全评估概述

4。1.1安全评估目的

风险评估的目的:

➢了解组织的安全现状

➢分析组织的安全需求

➢建立信息安全管理体系的要求

➢制订安全策略和实施安防措施的依据

➢组织实现信息安全的必要的、重要的步骤

4。1。2安全评估要素

风险的四个要素：

➢资产及其价值

➢威胁

➢脆弱性

➢现有的和计划的控制措施

1、资产的分类：

➢电子信息资产

➢软件资产

➢物理资产

➢人员

➢公司形象和名誉

2、威胁举例：

➢黑客入侵和攻击

➢病毒和其他恶意程序

➢软硬件故障

➢人为误操作

➢自然灾害如：地震、火灾、爆炸等

➢盗窃

➢网络监听

➢供电故障

➢后门

➢未授权访问……

3、脆弱性：

➢是与信息资产有关的弱点或安全隐患。

➢脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威

胁加以利用来对信息资产造成危害.

脆弱性举例：

✓系统漏洞

✓程序Bug

✓专业人员缺乏

✓不良习惯

✓系统没有进行安全配置

✓物理环境不安全

✓缺少审计

✓缺乏安全意识

✓后门

✓……

图：风险评估要素模型

4.1。2安全评估过程

4.1.4安全评估工具

评估工具目前存在以下几类：

➢扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；

➢入侵检测系统（IDS）:用于收集与统计威胁数据；

➢渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；

➢主机安全性审计工具：用于分析主机系统配置的安全性；

➢安全管理评价系统:用于安全访谈，评价安全管理措施；

➢风险综合分析系统：在基础数据基础上,定量、综合分析系统的风险，并且提供分

类统计、查询、TOPN查询以及报表输出功能;

➢评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。

4.1。5安全评估标准

保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。国家的法律法

规，有专门的部门在研究和制定和推广。根据国务院27号文件，对信息安全实施分级安全保

护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的

是CC/ISO15408，管理体系标准是ISO17799/BS7799。

4。2安全扫描

安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和

可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理

员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少

的手段，必须仔细研究利用。

安全扫描的检测技术有:

➢基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置,

发现安全漏洞。

➢基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。

➢基于目标的漏洞检测技术，它采用被动的,非破坏性的办法检查系统属性和文

件属性，如数据库，注册号等。

➢基于网络的检测技术，它采用积极的,非破坏性的办法来检验系统是否有可能

被攻击崩溃。

安全扫描在部署安全策略中处于重要地位:

➢防火墙，防病毒,用户认证，加密，评估，记录报告和预警，安全管理，物理

安全。

➢管理这些设备和技术,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含

在安全扫描系统中）的职责。通过监视事件日志、系统受到攻击后的行为和这

些设备的信号，作出反应。

➢安全扫描系统就把这些设备有机地结合在一起.因此，而安全扫描是一个完整

的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地

位。

安全扫描系统具有的功能说明：

➢协调了其它的安全设备之间的关系

➢使枯燥的系统安全信息易于理解，告诉了你系统发生的事情

➢跟踪用户进入系统的行为和离开的信息

➢可以报告和识别文件的改动

➢纠正系统的错误设置

➢识别正在受到的攻击

➢减轻系统管理员搜索最近黑客行为的负担

➢使得安全管理可由普通用户来负责

➢为制定安全规则提供依据

正确认识安全扫描软件：

➢不能弥补由于认证机制薄弱带来的问题

➢不能弥补由于协议本身的问题

➢不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流

➢当受到攻击后要进行调查，离不开安全专家的参与日志服务器。

第6章数据传输安全

6.1安全数据传输面临的威胁

安全数据传输面临的威胁主要有以下几种：

6。2数据传输安全关键技术

6.2。1SSL和TLS

SL和TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证（对

称和非对称算法都用了)保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（Open

StandardInterconnect，开放互连）模型的传输层与应用层间。

加密特点是：

➢身份验证

➢保密性

➢消息完整性

SSL/TLS保护数据安全的方法：

6。2。3PPTP

PPTP用于LAN、WAN或Internet进行客户端到服务器的安全数据传输,使用拨号连接

中的点对点协议（PPP）来在连接中建立终结点,PPTP位于OSI模型的第二层。

PPTP的加密特点是：

➢身份验证（pap、ms-chap、eap)：服务器验证客户

➢保密性（40位的mppe：即microsoft点对点加密，或128位的RC4）

➢支持通过mppc（microsoft点对点压缩）数据压缩

➢不提供消息完整性或数据源身份验证（GFG—微软)

PPTP安全流程：

➢PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE

（GenericRoutingEncapsulation）对PPP帧进行封装.

➢封装前，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。

·PPTP控制连接(P217—218）：控制隧道中的会话建立、释放和维护逻辑连接

·封装数据：建立控制连接后，PPP数据用GRE协议来封装

6.2.5SMB签名

SMB签名（SMB，ServerMessageBlock,也称为CIFS）：使用带有密钥的哈希(keyedhash)

来保护每个SMB数据包的完整性的数字签名方法，保护网络通信不受中间人攻击和

TCP/IP会话劫持攻击,使用消息摘要（MD5）算法对通信进行数字签名。

SMB签名的特点是:

➢相互的身份验证

➢消息完整性

6.2.6LDAP签名

LDAP签名:

➢确保数据来自已知的来源

➢数据未被篡改

➢数据不以明文传输

加密特点：

➢双向身份验证

➢消息完整性

6.2.7WEP

WEP(wiredequivalentprivacy):802.11委员会为无线网络数据安全传输提出的一个协议，三

种密钥长度：40位、128位、256位（RC4），在工作站和无线路由器（或AP）间提供数据加

密。

特点：

➢数据加密

➢数据完整性

WEP加密过程：

➢客户端启动与无线接入点的连接

➢客户端使用循环冗余校验32（CRC-32，CyclicRedundancyCheck—32）算法创

建数据的校验和，并将该值附到数据帧的末尾

➢数据包经过RC4算法加密并在无线网络上传输

➢无线接入点收到数据包并使用密钥将其解密

➢无线接入点验证CRC—32并在LAN上发送数据包

6.2.8WPA

WPA(Wi-FiprotectedAceess,Wi—Fi保护访问）:在802.11i中对无线局域网安全性改进的

一个协议。

相对WEP来说，WPA通过TKIP(TemporalkeyIntegrityPotocol,临时密钥完整性协议)每发

送10K数据就动态改变加密密钥,而WEP没提供安全交换加密密钥的机制，WPA采用Michael

算法来生成消息完整性码(MIC，messageintegritycode）来保证数据完整性。

特点

➢数据加密

➢数据完整性

➢可防重放功击

WPA加密过程（密钥动态变换）：

➢客户端启动与无线接入点的连接