计算机网络安全.doc

1、11、 网络安全的概念网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防数据，信息内容或能力拒绝服务或被非授权使用和篡改。2、 网络安全的基本属性网络安全的基本属性是机密性、完整性、可用性。机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施密码技术。 完整性是指是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改 ，主要防范措施是校验与认技术。可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。3、 可信计算机系统评估准则（TCSEC）TCSEC 共

2、分为如下 4 类 7 级：（1）D 级，安全保护欠缺层 (2) C1 级 自足安全保护级(3) C2 级，受控存取保护级 （4） B1 级 标记安全保护级（5）B2 级 结构化保护级 （6）B3 级 安全域保护级（7）A1 级 验证设计级4、网络信息安全框架（图略）1、安全特性 安全特性指的是该安全单元可解决哪些安全威胁2、系统安全 系统安全是指该安全单元解决什么系统环境的安全问题5 防火墙的概念及功能防火墙是建立在内外网络边界上的过渡封锁机制，内部网络被认为是安全和可信的，而外部网络（通常是 Internet）被认为是不安全和不可信赖的。功能如下：（1）访问控制功能 （2）内容控制功能 （3

3、）全面的日志功能（4）集中管理功能 （5）自身的安全和可用性另外防火墙还具有如下附加功能：6 P2DR 网络安全模型（图略）P2DR 模型包含 4 个主要部分：安全策略、防护、检测和响应，防护、检测和响应组成了一个所谓的“完整” ， “动态”的安全循环。1、 安全策略在考虑建立网络安全系统时，在了解了网络信息安全系统等级划分和评估网络安全风险后，接下来一个很重要的任务就是要制定一个网络安全策略。2、 防护防护就是根据系统可能出现的安全问题采取一些防预措施，通过一些传统的静态安全技术及方法来实现。3、 检测如果攻击者穿过防护系统，检测系统就会将其检测出来。4、 响应2系统一旦检测出入侵，响应系统

4、就开始响应，进行事件处理。6、 防火墙的概念及功能防火墙是建立在内外网络边界上的过渡封锁机制，内部网络被认为是安全和可信的，而外部网络（通常是 Internet）被认为是不安全和不可信赖的。功能如下：（1）访问控制功能 （2）内容控制功能 （3）全面的日志功能（4）集中管理功能 （5）自身的安全和可用性另外防火墙还具有如下附加功能：（1） 流量控制 （2）NAT （3）VPN7、 防火墙的主要技术防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术、状态检测包过滤技术，现在最常用的是状态检测包过滤技术。8、 防火墙的体系结构防火墙的体系结构有双重宿主主机体系结构、被屏蔽主机体系结构和被屏

5、蔽子网体系结构。9、 防火墙的局限性安装防火墙并不能做到绝对的安全，它有许多防范不到的地方，具体如下：（1） 防火墙不能防范不经由防火墙的攻击；（2） 防火墙不能防止感染了病毒的软件或文件的传输；（3） 防火墙不能防止数据驱动式攻击；（4） 防火墙不能防范恶意的内部人员入侵；（5） 防火墙不能防范不断更新的攻击方式；10、VPN 的概念及分类VPN 是将物理分布在不同地点的网络通过公用骨干网，尤其是 Internet 连接而成的逻辑的虚拟子网。VPN 作为一种综合性的网络安全方案，包含了很多重要的技术，最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术 4 项技术。VPN 有三种类

6、型： accessVPN(远程访问 VPN)、Intranet VPN（企业内部 VPN）和Extranet VPN(企业扩展 VPN)。11、第二层 VPN 隧道协议第二层隧道协议有：L2F、PPTP 和 L2TP 等L2F 已经过时，很少使用；PPTP 在微软的推动与支持下，已经成为一种实际上的工业标准，被广泛的实现并使用很长一段时间，目前大多数厂家均支持 PPTP；L2TP 作为下一代隧道技术，是 PPTP 和 L2F 隧道功能的集合，其隧道并不局限于TCP/IP，但是目前仅支持 IP。12、第三层 VPN 隧道协议第三层 VPN 隧道协议有如下几种：IP sec(IP Security

7、)，是目前最常用的 VPN 解决方案。GRE(General Routing Encapsulation)13、IP sec 的功能IP SEC 具有如下功能：（1） 作为一个隧道协议实现了 VPN 通信；3（2） 保证数据来源可靠在 IPsec 通信之前双方要先用 IKE 认证对方身份并协商密钥，只有 IKE 协商成立后才能通信，由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。（3） 保证数据完整性IPsec 通过验证算法功能保证数据从发送方放到接收方的传送过程中任何数据篡改和丢失都可以被检测。（4） 保证数据的机密性IPsec 通过加密

8、算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真实内容。14、IPsec 的体系结构（图略）1、封装安全在有效载荷 ESP：使用 ESP 进行包加密的报文格式和一般性问题，以及可选的认证；2、验证头 AH：使用 AH 进行包认证的报文格式和一般性问题；3、加密算法：描述各种加密算法如何用于 ESP 中；4、验证算法：描述各种身份验证算法如何用于 AH 中和 ESP 身份验证选项；5、密钥管理：密钥管理的一组方案，其中 Internet 密钥交换协议 IKE 是默认的密钥自动交换协议；6、解释域（DOI）：比此次相关各部分的标识符运作参数15、黑客攻击流程（图略）黑客攻击的流

9、程可归纳为踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击、使用 whois DNS Google 收集目标信息利用踩点结果，查看目标系统在哪些通道使用哪些服务以及使用的是什么操作系统等根据使用扫描与特定操作系统、服务相关的技术收集用户帐户、共享资源及 export 等信息发起攻击试图成为 Admin/root 或超级用户，改变、添加、删除及复制用户数据，修改/ 删除系统日志。为以后再次入侵作准备16、拒绝服务攻击的主要目的拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这些攻击还是利用网络协议的一些薄弱环节，通过发送大量无效请求数据包

10、造成服务器进程无法短期释放，大量积累耗尽系统资源，使得服务器无法对正常的请求进行响应，造成服务的瘫痪。17、计算机漏洞的概念和产生的原因计算机漏洞是系统的一组特性，恶意的主体（攻击者或攻击程序）能够利用这组特性，通过授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。从技术角度而言，漏洞的来源主要有软件或协议设计时的瑕疵，软件或协议实现中的弱点，软件本身的瑕疵，系统和网络的错误配置。18、网络安全扫描的步骤一次完整的网络扫描主要有三个阶段：目标发现、信息攫取、漏洞检测。（1） 发现目标主机或网络(2) 发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软4件的资源等。如

11、果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由器设备以及个主机的信息。(3) 根据搜索到的信息判断或进一步检测系统是否存在安全漏洞。19、检测目标主机的方法通过发送不同类型的 ICMP 或者 TCP、UDP 请求，从多个方面检测目标主机是否存活。在这一阶段使用的技术通常称作 ping 扫射（ping sweep） ，包括 ICMP 扫射、广播 ICMP、非回显 ICMP、 TCP 扫射、UDP 扫描。20、端口扫描技术的种类端口扫描的主要技术有 TCP connect 扫描、TCP SYN 扫描、TCP ACK 扫描、TCP FIN扫描、TCP XMAS 扫描、TCP 空扫描、FIP

12、 反弹扫描（FIP Bounce Scan） 、UDP 扫描。21、探测远程操作系统类型的方法远程操作系统是别的主要方法有系统服务旗标识别、主动协议栈指纹探测（ICMP 响应分析，TCP 报文响应分析，TCP 报文延时分析）被动协议栈指纹探测。22、漏洞检测的方法漏洞检测的主要方法有直接检测（test） 、推断（Inference） 、带凭证的测试（test with credential）23、入侵检测系统的概念及方法入侵检测是从计算机网络或计算机系统中的若干关键点搜索信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。根据入侵检测系统的检测对象和工作

13、方式的不同，入侵检测系统主要有两大类：基于主机的入侵检测系统和预计网络的入侵检测系统。24、入侵检测系统的基本结构入侵检测系统主要有四个部分组成：事件产生器、事件分析器、响应单元和事件数据库。（1） 事件产生器：采集和监视被保护系统的数据，并且将数据进行保存到数据库。（2） 事件分析器：其功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的，异常的数据现象，通知响应但愿做出入侵防范；一是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。25、NIDS 的基本原理基于网络的入侵检测系统通常作为一

14、个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监事和分析所有通过网络进行传输的通信，一旦检测到攻击，入侵检测系统应答模块通过通知，报警以及中断连接等方式来对攻击做出反应。26、安全基础设施的组成安全基础设施的主要组成有四部分：网络、平台、物理设施、处理过程。27、基于网络入侵检测系统的优势与不足 基于网络的入侵检测系统有以下优点：（1）金额以提供实时的网络行为检测。（2）可以同时保护多台网络主机。（3）具有良好的隐蔽性。（4）有效保护入侵证据。5（5） 、不影响被保护主机的性能。基于网络的入侵检测系统的不足：（1）实时性较差。

15、（2）无法检测到数据包的全部（3）检测效果取决于日志系统（4）占主机资源（5）隐蔽性较差（6）如果入侵能够修改校验这种入侵，检测系统将无法起到预期作用 28、基于网络的入侵检测系统的部署基于网络入侵检测系统可以在网络的多个位置进行部署，主要指对网络入侵检测器的部署，总体来说入侵检测的部署点可以划分为 4 个位置：（1）DMZ 区（2）外网入口（3）内网入口（4）关键子网29、PKI 的主要组成与管理对象公钥基于设施（PKI）用来管理密钥和证书PKI 主要组成包括证书授权（CA） 、注册授权（RA） 、证书存储库（CR）PKI 管理的对象有密钥、证书以及证书撤销列表（CRI）大型公钥基础设施往往包含多个 CA，多个 PKI 中的 CA 是按层次结构组成的，桥 CA的作用是为多个 PKI 中的关键 CA 签发交叉认证证书。30、恶意代码分类分类标准 需要宿主 无需宿主不能自我控制 不感染的依附性恶意代码 不感染的独立性恶意代码能够自我控制 可感染的依附性恶意代码 不可感染的独立性恶意代码类别 实例不感染的依附性恶意代码 特洛伊木马、逻辑炸弹、后门或陷门不感染的独立性恶意代码 点滴器、繁殖器、恶作剧可感染的依附性恶意代码 病毒6可感染的独立性恶意代码 蠕虫、细菌