1、第一章绪论1.1.1、计算机网络面临的主要威胁:计算机网络实体面临威胁(实体为网络中的关键设备)计算机网络系统面临威胁(典型安全威胁)恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:窃听重传伪造篡改非授权访问拒绝服务攻击行为否认旁路控制电磁/ 射频截获 人员疏忽1.2.1 计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。 (2 )自然灾害:各种自然灾害对计算机系统构成严重的威胁。(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
2、可分为几个方面:被动攻击主动攻击邻近攻击内部人员攻击分发攻击1.2.2 不安全的主要原因:互联网具有不安全性操作系统存在的安全问题数据的安全问题传输线路安全问题网络安全管理的问题1.3 计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。1.3.1 计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的) 。1.3.2 计算机网络安全的目标:保密
3、性完整性可用性不可否认性可控性1.3.3 计算机网络安全的层次:物理安全逻辑安全操作系统安全联网安全1.3.4 网络安全包括三个重要部分:先进的技术严格的管理威严的法律1.4 计算机网络安全体系结构1.4.1 网络安全基本模型:(P27 图) 1.4.2OSI 安全体系结构:术语安全服务安全机制五大类安全服务,也称安全防护措施(P29):鉴别服务数据机密性服务访问控制服务数据完整性服务抗抵赖性服务1.4.3PPDR 模型 (P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection( 检测)和Response(响应)。防护、检测和响应组成了一个完整的、
4、动态的安全循环。PPDR 模型通过一些典型的数学公式来表达安全的要求:PtDt+RtEt=Dt+Rt,如果 Pt01.4.4 网络安全的典型技术:物理安全措施数据传输安全技术内外网隔离技术入侵检测技术访问控制技术审计技术安全性检测技术防病毒技术备份技术终端安全技术1.6.1 网络安全威胁的发展趋势:与 Internet 更加紧密结合,利用一切可以利用的方式进行传播;所有病毒都有混合型特征,破坏性大大增强;扩散极快,更加注重欺骗性;利用系统漏洞将成为病毒有力的传播方式;无线网络技术的发展,使远程网络攻击的可能性加大;各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情况和窃取资料;各种病毒、
5、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁;各种攻击技术的隐秘性增强,常规防范手段难以识别;分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性;一些政府部门的超级计算机资源将成为攻击者利用的跳板;11)网络管理安全问题日益突出。1.6.2 网络安全主要实用技术的发展物理隔离逻辑隔离防御来自网络的攻击防御网络上的病毒身份认证加密通信和虚拟专用网入侵检测和主动防卫网管、审计和取证课后题:2、分析计算机网络的脆弱性和安全缺陷3、分析计算机网络的安全需求(P24)4、计算机网络安全的内涵和外延是什么?(P24)内涵:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,
6、信息数据的机密性、完整性及可使用性受到保护。外延:从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义随着“角度”的变化而变化。5、论述 OSI 安全体系结构(P28)OSI 安全体系结构中定义了鉴别、访问控制、数据机密性、数据完整性和抗抵赖五种网络安全服务,以及加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制八种基本的安全机制。6、简述 PPDR 安全模型的结构(P30)7、简述计算机网络安全技术及其应用(P32)8、简述网络安全管理意义和主要内容(P34
7、)第二章 物理安全2.1 物理安全主要包括: 机房环境安全 通信线路安全设备安全 电源安全2.1.1 机房的安全等级分为三个基本类别:A 类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。B 类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。C 类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。2.1.1 机房安全要求(P42)和措施:机房的场地,选址避免靠近公共区域,避免窗户直接邻街,机房布局应使工作区在内,生活辅助区在外;机房不要在底层或顶层。措施:保证所有进出计算机机房的人都必须在管理人员的监控之下,外来人员进入机房,要办理相关手续,并检查随
8、身物品。机房的防盗要求,对重要的设备和存储媒体应采取严格的防盗措施。措施:早期采取增加质量和胶粘的防盗措施,后国外发明了一种通过光纤电缆保护重要设备的方法,一种更方便的措施类似于超市的防盗系统,视频监视系统是一种更为可靠的防盗设备,能对计算机网络系统的外围环境、操作环境进行实时的全程监控。机房的三度要求(温度(18-22 度) 、湿度(40%-60%为宜) 、洁净度(要求机房尘埃颗粒直径小于0.5m) )为使机房内的三度达到规定的要求,空调系统、去湿机和除尘器是必不可少的设备。防静电措施:装修材料避免使用挂毯、地毯等易吸尘,易产生静电的材料,应采用乙烯材料,安装防静电地板并将设备接地。接地与防
9、雷要求:1.地线种类:A 保护地 B 直流地 C 屏蔽地 D 静电地 E 雷击地 2.接地系统:A 各自独立的接地系统 B 交、直流分开的接地系统 C 共线接地系统 D 直流地、保护地共用地线系统 E 建筑物内共地系统 3、接地体:A 地桩 B 水平栅网 C 金属接地板 D 建筑物基础钢筋 4.防雷措施,使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地线,机房本身有避雷设备和装置。机房的防火、防水措施:为避免火灾、水灾,应采取的措施为:隔离、火灾报警系统、灭火设施(灭火器,灭火工具及辅助设备) 、管理措施2.3.1 硬件设备的使用管理:要根据硬件设备的具体配置情况,制定切实可靠的硬件
10、设备的操作使用规程,并严格按操作规程进行操作;建立设备使用情况日志,并严格登记使用过程的情况;建立硬件设备故障情况登记表,详细记录故障性质和修复情况;坚持对设备进行例行维护和保养,并指定专人负责。2.3.2 电磁辐射防护的措施:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,又分为两种:一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。为提高电子设备的抗干扰能力,主要措施有屏蔽滤波隔离接地,其中屏蔽是应用最多的方法。2.4.电源对电设备安全的潜在威胁:脉动与噪声电磁干扰2.4 供电要求(P53) ,供电方式分为三类:
11、一类供电:需建立不间断供电系统二类供电:需建立带备用的供电系统三类供电:按一般用户供电考虑。课后题:1、简述物理安全在计算机网络信息系统安全中的意义。2、物理安全主要包含哪些方面的内容?(2.1)3、计算机机房安全等级的划分标准是什么?(2.1.1)4、计算机机房安全技术主要包含哪些方面的内容?(2.1.1)5、保障通信线路安全技术的主要技术措施有哪些?电缆加压技术对光纤等通信线路的防窃听技术(距离大于最大长度限制的系统之间,不采用光纤线通信;加强复制器的安全,如用加压电缆、警报系统和加强警卫等措施)6、电磁辐射对网络通信安全的影响主要体现在哪些方面,防护措施有哪些?影响主要体现在:计算机系统
12、可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。防护措施:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,又分为两种:一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。为提高电子设备的抗干扰能力,主要措施有屏蔽滤波隔离接地,其中屏蔽是应用最多的方法。电磁防护层主要是通过上述种种措施,提高计算机的电磁兼容性,提高设备的抗干扰能力,使计算机能抵抗强电磁干扰,同时将计算机的电磁泄漏发射降到最低,使之不致将有用的信息泄漏出去。7、保障信息存储安全的主要措施有哪些?(52) 存放数据的盘,应妥善保管;对
13、硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时加密,以确保数据的安全;存放数据的盘,管理须落实到人,并登记;对存放重要数据的盘,要备份两份并分两处保管;打印有业务数据的打印纸,要视同档案进行管理;凡超过数据保存期的,须经过特殊的数据清除处理;凡不能正常记录数据的盘,需经测试确认后由专人进行销毁,并做好登记;对需要长期保存的有效数据,应质量保证期内进行转存,并保证转存内容正确。8、简述各类计算机机房对电源系统的要求。 (53)电源系统安全应该注意电源电流或电压的波动可能会对计算机网络系统造成的危害。、类安全机房要求,C 类安全机房要求。第三章 信息加密与 PKI信息加密技术是利用密码学
14、的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。3.1.1 密码学的发展历程大致经历了三个阶段:古代加密方法、古典密码和近代密码。3.1.2 密码学的基本概念:密码学作为数学的一个分支,是研究信息系统安全保密的科学,是密码编码学和密码分析学的统称。在密码学中,有一个五元组:明文,密文,密钥,加密算法,解密算法,对应的加密方案称为密码体制。明文(Plaintext):是作为加密输入的原始信息,即消息的原始形式,通常用 m 或 p 表示。所有可能明文的有限集称为明文空间,通常用 M 或 P 来表示。密文(Ciphertext):是明文经加密变换后的
15、结果,即消息被加密处理后的形式,通常用 c 表示。所有可能密文的有限集称为密文空间,通常用 C 表示。密钥(Key):是参与密码变换的参数,通常用 K 表示。一切可能的密钥构成的有限集称为密钥空间,通常用 K 表示。加密算法:是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用 E 表示,即 c=Ek(p )解密算法:是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用 D 表示,即 p=Dk(c)对于有实用意义的密码体制而言,总是要求它满足: p=Dk(Ek(p) ) ,即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。3.1.3 加密
16、体制的分类:从原理上可分为两大类:即单钥或对称密码体制和双钥或非对称密码体制单钥密码体制与双钥密码体制的区别:单钥密码体制的本质特征是所用的加密密钥和解密密钥相同,或实质上等同,从一个可以推出另一个。单钥密码的特点是无论加密还是解密都使用同一个密钥,因此,此密码体制的安全性就是密钥的安全。如果密钥泄露,则此密码系统便被攻破。最有影响的单钥密码是 1977 年美国国家标准局颁布的 DES 算法。按照加密模式的差异,单钥密码体制有序列密码和分组密码两种方式,它不仅可用于数据加密,还可用于消息认证。单钥密码的优点是:安全保密度高,加密解密速度快。缺点是:1)密钥分发过程十分复杂,所花代价高;2)多人
17、通信时密钥组合的数量会出现爆炸性膨胀,使分发更加复杂化;3 )通信双方必须统一密钥,才能发送保密的信息;4)数字签名困难。双钥密码体制的原理是,加密密钥与解密密钥不同,而且从一个难以推出另一个。两个密钥形成一个密钥对,其中一个密钥加密的结果,可以用另一个密钥来解密。双钥密码是:1976 年 W.Diffie 和M.E.Heilinan 提出的一种新型密码体制。优点:由于双钥密码体制的加密和解密不同,可以公开加密密钥,且仅需保密解密密钥,所以密钥管理问题比较简单。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是:1977 年由 Rivest,Shamir 和 Ad1eman
18、 人提出的 RSA 密码体制。双钥密码的缺点是:双钥密码算法一般比较复杂,加解密速度慢。3.2 加密算法就其发展而言,共经历了古典密码、对称密钥密码(单钥密码体制)和公开密钥密码(双钥密码体制)三个发展阶段。3.2.1 古典密码算法(P64):简单代替密码或单字母密码多名或同音代替 多表代替多字母或多码代替。现代密码按照使用密钥方式不同,分为单钥密码体制和双钥密码体制两类。3.2.2DES、IDEA、RSA 加密算法的基本原理;(P66)3.3 常见的网络数据加密方式有:链路加密、节点加密和端到端加密。3.4.1 认证技术的分层模型(P77 图)认证技术可以分为三个层次:安全管理协议、认证体制
19、和密码体制。认证的三个目的:一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符;三是消息的序号和操作时间等的认证,其目的是防止消息重放或延迟等攻击。3.4.2 认证体制应满足的条件(要求):意定的接收者能够检验和证实消息的合法性、真实性和完整性;消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;除了合法的消息发送者外,其他人不能伪造发送消息。3.4.3 手写签名与数字签名的区别:一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;二是手写签名是易被模拟的,无论哪
20、种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。3.4.6 数字签名与消息认证的区别:消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时,这种方式对防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。3.5.1PKI 的基本概念:PKI 是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用 PKI 平台提供的安全服务进行安全通信。PKI 采用标准的密钥管理规则,能够为所有应用透明地提供采
21、用加密和数字签名等密码服务所需要的密钥和证书管理。特点:节省费用互操作性开放性一致的解决方案可验证性可选择性3.5.2PKI 认证技术的组成:主要有认证机构 CA、证书库、密钥备份、证书作废处理系统和 PKI 应用接口系统等。认证机构 CA证书库证书撤销密钥备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件3.6 PGP 和 GnuPG 是两个常用的公钥加密软件, PGP 软件由于采用了专利算法受到美国政府的软件出口限制,GnuPG 作为 PGP 的代替软件,属于开源免费软件,可以自由使用。课后题:1、简述信息加密技术对于保障信息安全的重要作用。2、简述加密技术的基本原理,并
22、指出有哪些常用的加密体制及其代表算法。信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。加密体制的分类:从原理上可分为两大类:即单钥或对称密码体制(代表算法:DES 算法,IDEA 算法)和双钥或非对称密码体制(代表算法:RSA 算示,ElGamal 算法)。3、试分析古典密码对于构造现代密码有哪些启示?(P64)4、选择凯撒(Caesar)密码系统的密钥 k=6。若明文为 caesar,密文是什么。密文应为:igkygx5、DES 加密过程有几个基本步骤?试分析其安全性能。加密过程可表示为:DES(m)IP-1T16T1
23、5T2T1IP(m)DES:输入64bit 明文数据初始置换 IP乘积变换(在密钥控制下 16 次迭代)逆初始置换 IP-164bit 密文数据 RSA 算法的安全性建立在数论中的“大数分解和素数检测” 的理论基础上。6、在本章 RSA 例子的基础上,试给出 m=student 的加解密过程。 (P72)7、RSA 签名方法与 RSA 加密方法对密钥的使用有什么不同?(P74)RSA 加密方法是在多个密钥中选用一部分密钥作为加密密钥,另一些作为解密密钥。RSA 签名方法:如有 k1/k2/k3 三个密钥,可将 k1 作为 A 的签名私密钥,k2 作为 B 的签名私密钥,k3 作为公开的验证签名
24、用密钥,实现这种多签名体制,需要一个可信赖中心对 A 和 B 分配秘密签名密钥。8、试简述解决网络数据加密的三种方式。 (P75)常见的网络数据加密方式有:链路加密:对网络中两个相邻节点之间传输的数据进行加密保护。节点加密:指在信息传输路过的节点处进行解密和加密。端到端加密:指对一对用户之间的数据连续的提供保护。9、认证的目的是什么,试简述其相互间的区别。 (P77)认证的三个目的:一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符;三是消息的序号和操作时间等的认证,其目的是防止消息重放或延迟等攻击。10、什么是 PKI?其用途
25、有哪些?(P83)PKI 是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用 PKI 平台提供的安全服务进行安全通信。PKI 采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。11、简述 PKI 的功能模块组成。主要包括认证机构 CA、证书库、密钥备份、证书作废处理系统和 PKI 应用接口系统等。认证机构CA证书库证书撤销密钥备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件12、通过学习,你认为密码技术在网络安全实践中还有哪些应用领域?举例说明。 (P76)第章 防火墙技术4.1.1 防火墙的基本概念:
26、是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。4.1.2 防火墙的主要功能:过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警4.1.3 防火墙的局限性:网络的安全性通常是以网络服务的开放性和灵活性为代价防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。4.2 防火墙的体系结构:双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构。 (图见P106)4.3 防火墙可以分为网络层防火墙和应用层防火墙,这两类防火墙的具体
27、实现技术主要有包过滤技术、代理服务技术、状态检测技术和 NAT 技术等。4.3.1 包过滤技术的工作原理(P110):工作在网络层,通常基于 IP 数据包的源地址、目的地址、源端口和目的端口进行过滤。包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。4.3.1 包过滤技术的缺陷:不能彻底防止地址欺骗无法执行某些安全策略安全性较差一些应用协议不适合于数据包过滤管理功能弱4.3.2 代理服务技术是一种较新型的防火墙技术,它分为应用层网关和电路
28、层网关。4.3.2 代理服务技术的工作原理(P116):所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的 proxy 应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。4.3.2 代理技术的优点:代理易于配置代理能生成各项记录代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理能为用户提供透
29、明的加密机制代理可以方便地与其它安全手段集成。4.3.2 代理技术的缺点:代理速度较路由器慢代理对用户不透明对每项服务代理可能要求不同的服务器代理服务不能保证免受所有协议弱点的限制代理不能改进底层协议的安全性。4.3.3 状态检测技术的工作原理(P119):也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性,检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态,并根据这些信息决定是否允许网络数据包
30、通过防火墙。4.3.3 状态检测技术的特点:高安全性高效性可伸缩性和易扩展性应用范围广4.3.4NAT 技术的工作原理(P121):网络地址转换,是一个 internet 工程任务组的标准,允许一个整体机构以一个公用 IP 地址出现在互联网上。即是一种把内部私有 IP 地址翻译成合法网络 IP 地址的技术。NAT 有三种类型:静态 NAT、动态 NAT 和网络地址端口转换 NAPT。4.6.2 个人防火墙的主要功能:IP 数据包过滤功能安全规则的修订功能 对特定网络攻击数据包的拦截功能应用程序网络访问控制功能网络快速切断、恢复功能日志记录功能网络攻击的报警功能产品自身安全功能4.6.3 个人防
31、火墙的特点:优点:增加了保护级别,不需要额外的硬件资源;除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;是对公共网络中的单位系统提供了保护,能够为用户陷隐蔽暴露在网络上的信息,比如 IP 地址之类的信息等。缺点:对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁;在运行时需要战胜个人计算机的内存、CPU 时间等资源;只能对单机提供保护,不能保护网络系统。4.7 防火墙的发展趋势( P142): 优良的性能可扩展的结构和功能 简化的安装与管理主动过滤防病毒与防黑客发展联动技术课后题:1、简述防火墙的定义。 (P103 )2、防火墙的主要功能。 (P135 )3、防火墙的体系结构有哪几种
32、?简述各自的特点。 (P106)防火墙的体系结构:双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构。双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络往另一个网络发送数据包。双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障的,而被屏蔽主机体系结构则不同,在屏蔽主机体系结构中,提供安全保护的主机仅仅与被保护的内部网络相连.屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet 隔离开。4、简述包过滤防火墙
33、的工作机制和包过滤模型。 (P110,P111 图)包过滤型防火墙一般有一个包检查模块,可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控制传输的数据内容,因为内容是应用层数据。包过滤模型 P1115、简述包过滤的工作过程。 (P112)6、简述代理防火墙的工作原理,并阐述代理技术的优缺点。 (P116)所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的 proxy 应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请
34、求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。优点:代理易于配置代理能生成各项记录代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理能为用户提供透明的加密机制代理可以方便地与其他安全手段集成缺点:代理速度较路由器慢代理对用户不透明对于每项服务代理可能要求不同的服务器代理服务不能保证免受所有协议弱点的限制代理不能改进底层协议的安全性7、简述状态检测防火墙的特点。 (P120)状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及
35、源地址、目的地址的具体情况决定数据包是否允许通过。优点:高安全性高效性可伸缩性和易扩展性应用范围广。不足:对大量状态信息的处理过程可能会造成网络连接的某种迟滞。8、简述 NAT 技术的工作原理(P121)9、试描述攻击者用于发现和侦察防火墙的典型技巧。 (P122)攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙,或者经由拔号帐号实施攻击来避开防火墙。典型技巧:用获取防火墙标识进行攻击。凭借端口扫描和标识获取等技巧,攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。利用分组过滤
36、的脆弱点进行攻击。利用ACL 规则设计不完善的防火墙,允许某些分组不受约束的通过。 利用应用代理的脆弱点进行攻击。10、若把网络卫士防火墙 3000 部署在本单位网络出口处,试给出其应用配置。 (P129)11、简述个人防火墙的特点。 (P136 4.6.3)12、简述防火墙的发展动态和趋势。 (P141 )防火墙的发展动态:防火墙有许多防范功能,但由于互联网的开放性,它也有一些力不能及的地方,主要表现在以下方面:防火墙不能防范不经由防火墙的攻击。防火墙目前还不能防止感染了病毒的软件或文件的传输,这只能在每台主机上安装反病毒软件。防火墙不能防止数据驱动式攻击。另外,防火墙还存在着安装、管理、配
37、置复杂的缺点,在高流量的网络中,防火墙还容易成为网络的瓶颈。防火墙的发展趋势:优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客发展联动技术。第 5 章 入侵检测技术5.1.1 入侵检测的原理(P148 图):通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。5.1.2 入侵检测的系统结构组成(P148 图):从系统构成上看,入侵检测系统应包括数据提取、入侵分析、响应处理和远程管理四大部分。5.1.3 入侵检测系统的分类(P149):基于数据源的分类:按数据源所处的位置,把入侵检测系统分为五类:即基于主
38、机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统;基于检测理论分类,可分为异常检测和误用检测;基于检测时效的分类,可分为离线检测方式(采取批处理方式)和在线检测方式(实时检测) 。5.2.1 入侵检测分析模型:分析是入侵检测的核心功能,一般的,入侵检测分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能,即数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。5.2.2 误用检测(P153 ):误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动
39、记录和分析事件的方法。分为条件概率预测法产生式/专家系统状态转换方法用于批模式分析的信息检索技术Keystroke Monitor 和基于模型的方法。5.2.3 异常检测(P156 ):异常检测基于一个假定:用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由试题集来描述的。分为Denning 的原始模型量化分析统计度量非参数统计度量 基于规则的方法5.3.1 分布式入侵检测的优势(P163):分布式入侵检测由于采用了非集中的系统结构和处理方式,相对于传统的单机 IDS 具有一些明显的优势:检测大范围的攻击行为提高检测的
40、准确度提高检测效率协调响应措施5.3.2 分布式入侵检测的技术难点(P164):事件产生及存储状态空间管理及规则复杂度知识库管理推理技术5.4 入侵检测系统的标准( P166):IETF/IDWG 。IDWG 定义了用于入侵检测与响应系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。IDWG 提出了三项建议草案:入侵检测消息交换格式(IDMEF) 、入侵检测交换协议( IDXP)及隧道轮廓(Tunnel Profile)CIDF。CIDF 的工作集中体现在四个方面:IDS 的体系结构、通信机制、描述语言和应用编程接口API。5.4.2CIDF 的体系结构组成(P169 图
41、):分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。课后题:1、简述入侵检测系统的基本原理。 (5.1.1)2、简述误用检测技术的实现。 (5.2.2 )3 、简述异常检测技术的实现。 (5.2.3)4、简述入侵检测技术当前的研究热点。 (P1645、试指出分布式入侵检测技术的优势和劣势。 (5.3.1)6、你认为入侵检测的标准化工作对于当前入侵检测的研究有什么帮助。7、上网查找相关资料,整理并分析当前主流入侵检测产品的技术性能指标。8、简述 Snort 是如何检测分布式拒绝服务攻击
42、的,并在局域网内进行实验验证。 (P171 )9、针对入侵检测在实际应用中面临的困难,提出几种可能的解决方案。 (P164)10、若构建一个基于入侵检测技术和防火墙技术的联动安全系统,你是如何考虑的第 6 章 网络安全检测技术6.1 安全威胁的概念:安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用笥和完整性产生阻碍、破坏或中断的各种因素。可分为人为安全威胁和非人为安全威胁两大类。6.1.1 网络安全漏洞威胁等级的划分方法:可按风险等级进行归类(P181 图)6.1.2 网络安全漏洞的分类:漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类两大类。
43、 (P182 表)6.1.2 漏洞的概念:漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。6.2.1 端口扫描的基本原理:端口扫描的原理是向目标主机的 TCP/IP 端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同,网络通信端口可以分为 TCP 端口 UDP 端口两大类,因此端口扫描技术也可相应地分为 TCP 端口扫描技术和UDP 端口扫描技术。6.2.2 操作系统类型探测的主要方法:操作系统探测技术主要包括:获取标识信息探测技术、基于TCP/IP 协议栈的操作系
44、统指纹探测技术和 ICMP 响应分析探测技术。6.2.3 信息型漏洞探测和攻击型漏洞探测技术的原理。信息型漏洞探测的原理:大部分的网络安全漏洞都与特定的目标状态直接相关,因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。攻击型漏洞探测的原理:模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。课后题:1、简述网络安全检测对保障计算机网络信息系统安全的作用。 (P181)2、什么是安全漏洞,安全漏洞产生的内在原因是什么?(P182)漏洞是在硬件、
45、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。像操作系统这样的大型软件不可避免的存在着设计上的缺陷,这些缺陷反映在安全功能上便造成了系统的安全脆弱性。3、网络安全漏洞的分类方法有哪些?漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类两大类。 (P182 表)4、网络安全漏洞检测技术分为几类,其具体作用是什么?网络安全漏洞检测技术主要包括端口扫描、操作系统探测和安全漏洞探测三类。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些服务;通过操作系统探测可
46、以掌握操作系统的类型信息;通过安全漏洞探测可以发现系统中可能存在的安全漏洞。5、端口扫描的原理是什么,根据通信协议的不同可以分为几类?(6.2.1)6、操作系统探测技术分为几类?(6.2.2)7、安全漏洞探测技术有哪些分类?(P186)按照网络安全漏洞的可利用方式来划分,漏洞探测技术可分为信息型漏洞探测和攻击型漏洞探测两种。按照漏洞探测的技术特征,又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。8、上网查找相关资料,整理并分析当前主流网络安全检测评估系统的技术性能指标第 7 章 计算机病毒与恶意代码防范技术7.1.1 计算机病毒的定义:计算机病毒是
47、指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。7.1.3 计算机病毒的特征:非授权可执行性隐蔽性传染性潜伏性破坏性触发性7.1.4 计算机病毒的主要危害(P202):直接破坏计算机数据信息占用磁盘空间和对信息的破坏抢占系统资源影响计算机运行速度计算机病毒错误与不可预见的危害计算机病毒的兼容性对系统运行的影响给用户造成严重的心理压力7.2.2 计算机病毒的分类(P208):按病毒攻击的系统分类:攻击 DOS 系统的病毒攻击 windows系统的病毒攻击 UNIX 系统的病毒 攻击 OS/2 系统的病毒。按病毒的攻击机型分类:攻
48、击微型计算机的病毒攻击小型机的计算机病毒攻击工作部的计算机病毒。按病毒的链接方式分类:源码型病毒嵌入型病毒外壳型病毒操作系统型病毒。按病毒的破坏情况分类:良性计算机病毒恶性计算机病毒。按病毒的寄生方式分类:引导型病毒文件型病毒复合型病毒。按病毒的传播媒介分类:单机病毒网络病毒。7.3.1 常用计算机病毒检测手段的基本原理(P216) 特征代码法校验和法行为监测法软件模拟法7.3.2 计算机病毒的防范手段(P216): 防范计算机病毒主要从管理和技术两方面着手:严格的管理。制定相应的管理制度,避免蓄意制造、传播病毒的事件发生。有效的技术。1)将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒。2)检测一些病毒经常要改变的系统信息,以确定是否存在病毒行为;3)监测写盘操作,对引导区或主引导区的写操作报警。4)对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。5)智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区别正常程序与病毒程序的行为。6)智能监察型:设计病毒特征库,病毒行为知识库,受保护程序存取行为知识库等多个知识库及相应的可变推理机。7.4.1 恶意代码的特征与分类:特征:恶意的目的本身是程序通过执行发生作用。分类:按恶意代码的工作原理和传输方式区分,恶意代码可分为普通病毒
