计算机网络安全
2023-03-31 11:09:03 14 举报AI智能生成
计算机网络安全——自考信息指南,看完包过。
作者其他创作
大纲/内容
不安全
诱发原因:
开放性、
国际性、
自由性
开放性、
国际性、
自由性
3大因素
偶发因素
电源故障
设备失常
软件漏洞
自然因素
自然灾害
人为因素
被动攻击
监视明文
解密通信数据
口令嗅探
通信量分析
临近攻击
分发攻击
内部人员攻击
主动攻击
5个问题
互联网原生的不安全性
操作系统的安全问题
数据的安全问题
传输线路的安全问题
网络安全管理问题
实体面临的10个威胁
窃听
主动攻击威胁
重传
伪造
非授权访问
行为否认
拒绝服务攻击
篡改
旁路控制
电磁/射频截获
人员疏忽
安全体系结构
网络安全模型
1.收、发双方建立一条逻辑通道.
2.为信息提供安全机制和安全服务.
3.一个可信的第三方,负责向通信双方分发秘密信息,或仲裁.
2.为信息提供安全机制和安全服务.
3.一个可信的第三方,负责向通信双方分发秘密信息,或仲裁.
一:对传输的数据进行安全转换。
二:收发双方共享的数据,除了对可信任的第三方公开外,对其他用户是保密的。
二:收发双方共享的数据,除了对可信任的第三方公开外,对其他用户是保密的。
OSI安全体系结构
5大服务 | 8种机制
5大服务 | 8种机制
数据完整性服务
抗抵赖服务
访问控制服务
鉴别服务
数据机密性服务
安全机制
①加密机制、②数字签名机制、③访问控制机制、④数据完整性机制、
⑤鉴别交换机制、⑥通信业务流填充机制、⑦路由控制、⑧公证机制。
⑤鉴别交换机制、⑥通信业务流填充机制、⑦路由控制、⑧公证机制。
完整的网络信息保护体系
PPDR模型
Policy安全策略
Protection防护
Detection检测
Response响应
恢复Restore
网络安全解决方案
需求分析
安全管理
内部安全管理
网络安全管理
应用安全管理
确立意识
危险意识
集成意识
相对意识
权衡意识
方案设计
互联网
路由器
防火墙
服务器
交换机
N(工作站)
网管计算机
单机用户网络安全解决方案
防电子邮件攻击
防网站攻击
防病毒与木马
防网络攻击
安全措施的层次/防线 划分
漏洞与病毒的防范
漏洞的防范
漏洞的概念
是指计算机系统具有的某种可能被入侵者恶意利用的属性,又称脆弱性。
漏洞的产源
1.软件或协议涉及的瑕疵。2.实现中的弱点。3.软件本身的瑕疵。4.系统和网络的错误配置。
漏洞的威胁等级
3级严重度
漏洞分类
按照直接威胁分类(因)
按照漏洞成因分类(果)
探测技术分类
端口扫描
TCP端口扫描
全连接扫描
TCP Connect 扫描、TCP反向ident扫描
半连接扫描
TCP SYN半连接扫描
间接扫描
秘密扫描
FIN、Xmas、Null、ftp proxy、分段扫描
UDP端口扫描
主要用来确定在目标主机上有哪些UDP端口是开放的
实现思想
是发送0字节的UDP信息包到目标计算机的各个端口,
若收到一个ICMP端口不可达的回应,则表示该UDP端口是关闭的,
否则该端口是开放的。
若收到一个ICMP端口不可达的回应,则表示该UDP端口是关闭的,
否则该端口是开放的。
TCP和UDP的区别
操作系统检测
ICMP响应分析探测技术
基于TCP/IP协议栈的操作系统指纹探测技术
获取标识信息探测技术
安全漏洞探测
信息型漏洞探测
顺序扫描技术、多重服务检测技术
攻击型漏洞探测
基于目标
基于应用
基于主机
基于网络
恶意代码|病毒
病毒的防范
病毒的概念
Fred Cohen博士对计算机病毒的定义:
通过修改其他程序来插入或进行自身拷贝,从而感染其他程序的一段程序。
通过修改其他程序来插入或进行自身拷贝,从而感染其他程序的一段程序。
病毒的特征
传染性
隐蔽性
潜伏性
非授权可执行性
触发性
破坏性
病毒的3功能模块/逻辑结构
引导模块
传染模块
发作模块
病毒的分类
按病毒攻击的系统分类
① 攻击DOS系统 ②攻击windows系统 ③攻击UNIX系统 ④攻击OS/2系统。
按病毒的攻击机型分类
①攻击微型计算机 ②攻击小型机 ③攻击工作部
按病毒的链接方式分类
①源码型病毒 ②嵌入型病毒 ③外壳型病毒 ④操作系统型病毒
按病毒的破坏情况分类
①良性计算机病毒 ②恶性计算机病毒
按病毒的寄生方式分类
①引导型病毒 ②文件型病毒 ③复合型病毒
按病毒的传播媒介分类
①单机病毒 ②网络病毒
病毒的危害
①直接破坏计算机数据信息、②占用磁盘空间、③抢占系统资源、④影响计算机运行速度
⑤计算机病毒错误与不可预见的危害、⑥计算机病毒的兼容性对系统运行的影响、⑦给用户造成严重的心理压力
检测手段
1.特征代码法;2.校验和法;3.行为监控法;4.软件模拟法;
恶意代码
关键技术
生存技术
反跟踪技术、加密技术、模糊变换技术和自动生产技术
攻击技术
进程注入技术、三线程技术、端口复用技术、对抗检测技术、端口反向连接技术和缓冲区溢出攻击技术
隐藏技术
本地隐藏
文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏
通信隐藏
通信内容隐藏、传输通道隐藏
特征
①恶意的目的②本身是程序③通过执行发生作用
恶意程序
计算机病毒
网络蠕虫
间谍软件
木马程序
安全的内容
先进的技术
信息的安全传输所包含的内容
严格的管理
审计和管理措施
威严的法律
社会法律、规章制度
安全的5目标
保密性 | 完整性 | 可用性 | 可控性 | 不可否认性(应用层)
信息安全的5个要素
保密性 | 完整性 | 可用性 | 可控性 | 可审查性
安全的层次
物理安全(前提)
机房环境安全
三类安全等级:严格、较严格、基本
三度:温度、湿度、清洁度
扩展:温度升高10°,可靠性下降25%。
设计考虑:1.减少无关人员进入机房的机会
设备安全
措施
屏蔽(电磁辐射)、滤波、隔离、接地
通信线路安全
目的:防窃听
措施:电缆加压技术、对光纤等通信线路的防窃听技术
电源安全
三类供电方式
一类:建立不间断供电系统
二类:建立备用供电系统
三类:建立普通供电
电源威胁
脉动与噪声
电磁干扰
逻辑安全
操作系统安全
联网安全
安全措施
数据加密(点)
数据认证
3认证目的
消息完整性认证
消息在传输和存储过程中是否被篡改
身份认证
消息的收发者是否有正确的身份认证符
消息的序号和操作时间的认证
防止消息重放和延迟攻击
分3层认证模型(1协议2体制)
安全管理协议
CMIP公共管理信息协议
SNMP简单网络管理协议
DSM分布式安全管理协议
认证体制
典例
Kerberos体制
X.509体制
Light Kryptonight体制
满足条件
1.意定的接收者可以检验消息的完整性、真实性、合法性
2.消息的发送者对所发消息不可抵赖、接收者对所发消息不可否认
3.除了合法的消息发送者外,其他人不能伪造消息发送
密码体制
DES体制(单钥)
RSA体制(双钥)
相关技术
数字签名技术
目的
实现消息完整性认证和身份认证的技术
与手写签名的不同
1.手写签名 容易模仿,数字签名 不可模仿
2.手写签名 因人而异(不变的),数字签名 因消息而异(变化的)
消息认证技术
目的
提供消息完整性方面的判断依据
信息标记算法
哈希算法:MD5、SHA-1
PKI(公开秘钥基础设施)
概念
用公钥密码算法原理和技术来提供安全服务的通用型基础平台。
(用户可以通过PKI平台提供的安全服务进行安全通信;)
(用户可以通过PKI平台提供的安全服务进行安全通信;)
5个组成
PKI应用接口系统、认证机构CA、证书库、证书作废、秘钥备份、
技术
信息加密
密码学
发展历程
古代加密方法、古典密码、近代密码
五元组
明文、密文、加密算法、解密算法、秘钥
加密体制
单钥密码体制DES
优缺点
优点
保密度高,加密速度快
缺点
秘钥分发困难
多人通信时秘钥组合数量多,分发更加复杂
通信双发必须统一秘钥,才能发送保密的信息
数字签名困难
扩展
子秘钥产生器个数:16
国际数据加密算法IDEA
DES算法核心:乘积变换(进行迭代运算)
双钥密码体制RSA
加解密公式
加密:m^e=c(mod n);——m为明文
解密:c^d=m(mod n);——c为密文
其中 n = p*q;(素数乘积)
de=1(modΦ(n)); (e为随机数)
Φ(n) = (p-1)*(q-1);
解密:c^d=m(mod n);——c为密文
其中 n = p*q;(素数乘积)
de=1(modΦ(n)); (e为随机数)
Φ(n) = (p-1)*(q-1);
优缺点
优点
秘钥管理简单
有数字签名功能
缺点
算法复杂,加密速度慢1000倍
算法安全性理论基础
大数分解
素数检测
混合加密
算法历程
古典密码算法
代替密码/单字母密码
多名/同音代替
多表代替
多字母/多码代替
单钥加密算法
双钥加密算法
数据加密方式
链路加密
节点加密
端到端加密
通信控制(面)
防火墙
概念
【内外网隔离技术】是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件
5防火功能
1.过滤进出网络数据。| 2.控制进出网络访问行为。| 3.封堵某些禁止业务。| 4.记录通过防火墙的信息。| 5.对网络攻击检测、告警
局限性
①网络的安全性通常以网络服务的开放性和灵活性为代价。
②防火墙只是整个网络防护体系中的一部分,且防火墙并非万无一失。
体系结构
双重宿主主机体系结构
因特网—防火墙(双重宿主主机)—内部网络
相关
围绕着至少具有两个网络接口的双重宿主主机而构成的(路由器)
缺点
内外部网络的系统之间通信被双重宿主主机完全阻隔
屏蔽主机体系结构
因特网—防火墙(路由器、堡垒主机)—内部网络
屏蔽子网体系结构
因特网—防火墙【外部路由(堡垒主机、参数网络)—内部路由】—内部网络
应用技术分类
应用层防火墙
实现技术
代理服务
概述
是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用
分类
应用层网关防火墙
电路层网关防火墙(自适应代理防火墙)
网络层防火墙
实现技术
包过滤
原理
对基于IP数据包的访问控制列表(源地址、目的地址、源端口、目的端口)进行过滤
匹配规则包含要素
数据包方向、远程IP地址、协议的匹配类型
状态检测
原理
基于连接的动态包过滤防火墙
特点
①高安全性②高效性③可伸缩性和易扩展性④应用范围广
NAT技术(网络地址转换)
静态NAT、动态NAT、网络地址端口转换NAPT
IDS入侵检测系统:
1.充分/可靠提取描述行为特征的数据.
2.高效/准确判定行为的性质.
1.充分/可靠提取描述行为特征的数据.
2.高效/准确判定行为的性质.
4个实现步骤
数据提取
提取信息包括 系统、网络、数据 以及用户活动的状态和行为
入侵分析
方法
模式识别
统计分析
完整性分析
分析过程
构建(分析器)
对实际现场数据进行分析
反馈和提炼过程
响应处理
远程管理
实现原理
通过监视受保护系统的活动和状态
采用误用检测、异常检测的方式
发现未授权或恶意的系统或网络行为
为防范入侵行为提供有效的手段
系统结构
中心检测平台
专家系统、知识库、管理员
代理服务器
系统标椎CIDF(公共入侵检测框架)
4个基本组件
【应用程序形式】1.事件产生器。2.事件分析器。3.响应单元。
【文件或数据流形式】4.事件数据库。
工作集中体现
IDS的体系结构、通信机制、描述语言和应用编程接口API
检测方式
2分类(基于检测理论)
异常检测
基于行为的检测技术,根据用户行为及系统资源的使用状况来判断入侵行为。
误用检测
基于知识的模式匹配技术,当捕获到的网络行为符合入侵信息库中的特征,即判断为攻击行为。
5分类(基于数据源)
基于主机
基于网络
混合检测
基于网关
基于文件完整性
检测时效
实现技术
分布式入侵检测技术
优势
1.可检测大范围攻击。2.提高检测精准度。3.提高检测效率。4.协调响应措施。
技术难点
1.事件产生及存储。2.状态空间管理及管着复杂度。3.知识库管理。4.推理技术。
0 条评论
下一页
