《网络安全学习笔记》由会员分享,可在线阅读,更多相关《网络安全学习笔记(13页珍藏版)》请在金锄头文库上搜索。
1、计算机网络的不安全因素:一般来说,计算机网络本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。一方面,计算机网络的硬件和通信设施极易遭受自然环境的影响,以及自然灾害和人为的物理破坏;另一方面,计算机网络的软件资源和数据信息易受到非法的窃取、复制、篡改和毁坏;再有,计算机网络硬件的自然损耗和自然失效,以及软件的逻辑错误,同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。不安全的因素:偶发因素、自然灾害、人为因素。人为因素又分为被动攻击、主动攻击、邻近攻击、内部人员攻击。互联网的不安全性:互联网是开放的、国际的、自由性的网络。计算机网络安全,广义上说是凡是涉及网
2、络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域;具体上来说是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。计算机网络安全的目标:保密性、完整性、可用性、不可否认性、可控性。OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施,分别为鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。PPDR模型具体内容是安全策略(Policy)、保护(Protection)、检测(Detection)和响应(Response)。网络安全技术可从以下几个方面来分析:一、物理安全措施:环境安全、设备
3、安全、媒体安全。二、数据传输安全技术:通常采用的是数据传输加密技术、数据完整性鉴别技术及防抵赖技术。数据传输加密技术可从三个不同的层次来分别,分别是链路加密、节点加密、端到端加密。一般常用的是链路加密和端到端加密。防抵赖技术常用的方法是数字签名。三、访问控制技术:受托者指派和继承权限屏蔽是实现这种技术的两种方式。四、防病毒技术包括预防病毒、检测病毒、消除病毒。网络安全威胁和攻击机制的发展趋势:一、与INTERNET更加紧密地结合,利用一切可以利用的方式进行传播。二、所有的病毒都具有混合型特征,集文件传染、蠕虫、木马和黑客程序的特点于一身,破坏性大大增强。三、其扩散极快,而更加注重欺骗性。四、利
4、用系统漏洞将成为病毒有力的传播方式。五、无疑网络技术的发展,使远程网络攻击的可能性加大。六、各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。七、各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。八、各种攻击技术的隐秘性增强,常规防范手段难以识别。九、分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性。十、一些政府部门的超级计算机资源将成为攻击者利用的跳板。十一、网络管理安全问题日益突出。要确保计算机网络的安全,就必须依靠先进的技术、严格的管理、配套的法律。物理安全主要包括以下几个方面:机房环境安全、通信线路安全、设备安全、电源安全。计算机机房安全
5、技术措施主要包括防盗报警、实时监控、安全门禁等。计算机机房的安全等级分为A类、B类、C类三个等级。通信线路安全的实现技术:电缆加压技术。电磁干扰可以通过两个途径来影响电子设备的工作。一条是电子设备辐射的电磁波通过电路耦合到另一台电子设备中引起干扰;一条是通过连接的导线、电源线、信号线等耦合而引起相互之间的干扰。其防护措施:屏蔽、隔离、滤波、吸波及接地等,其中屏蔽是应用最多的方法。密码学的发展大致经历了三个阶段:古代加密方法、古典密码、近代密码。密码体制从原理上可分为两大类:单钥或对称密码体制和双钥或非对称密码体制。单钥密码体制的算法有DES算法,它的优点是加密、解密处理速度快、保密度高等,其缺
6、点主要是密钥是保密通信安全的关键,发信方必须安全、妥善地把密钥护送到收信方,不能泄露其内容;多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化;通信双方必须统一密钥,才能发送保密的信息;还存在数字签名困难问题。双密钥体制的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单,还可以用于数字签名等新功能。缺点是算法比较复杂,加解密速度慢,典型的算法是RSA密码体制。加密算法就其发展经历了三个阶段:古典密码、对称密钥密码和公开密钥密码。按加密模式来分,对称算法又分为序列密码和分组密码。常见的网络数据加密方式主要有链路加密、节点加密、端到端加密。链路
7、加密是对网络中两个相邻节点之间传输的数据进行加密保护;节点加密是指在信息传输路过的节点处进行解密和加密;端到端加密是指对一对用户之间的数据连续地提供保护。认证的目的有三个:一是消息完整性认证;二是身份认证;三是消息的序号和操作时间等的认证。认证技术可以分为三个别层次:安全管理协议、认证体制、密码体制。数字签名是一种实现消息完整性认证和身份认证的重要技术。身份认证的目的是验证信息收发方是否持有合法的身份认证符,可分为直接身份认证和间接身份认证。PKI(公开密钥基础设施)是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信,它主要包括认证机构
8、CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。CA是PKI的核心。PKI的特点:一是节省费用;二是互操作性;三是开放性;四是一致的解决方案;五是可验证性;六是可选择性。防火墙是一种将内部网络和外部网络分开的方法,是提供信息安全服务、实现网络和信息系统安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。防火墙的功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。对网络攻击检测和告警的体现:一是控制不安全的服务;二是站点访问控制;三是集中安全服务;四是强化私有权
9、;五是网络连接的日志记录及使用统计。防火墙的局限性:一是网络的安全性通常是以网络服务的开放性和灵活性为代价;二是防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。防火墙的体系结构:双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙,它们的实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。包过滤技术工作在网络层,它的缺陷:一是不能彻底防止地址欺骗;二是无法执行某些安全策略;三是安全性较差;四是一些应用协议不适合于数据包过滤;五是管理功能弱。代理服务技术是一种较新型的防火墙技术,工作在应用层,它分
10、为应用型网关和电路层网关,应用层网关防火墙是传统代理型防火墙,核心技术就是代理服务器技术,它是基于软件的,通常安装在专用工作站系统上;电路层网关一般采用自适应代理技术,这种技术的要素有两个:自适应代理服务器和动态包过滤器。代理技术的优点:代理易于配置、代理能生成各项记录、代理能灵活、完全地控制进出流量和内容、代理能过滤数据内容、代理能为用户提供透明的加密机制、代理可以方便地与其他安全手段集成;其缺点:一是代理速度较路由器慢;二是代理对用户不透明;三是对于每项服务代理可能要求不同的服务器;四是代理服务不能保证免受所有协议弱点的限制;五是代理不能改进底层协议的安全性。状态检测技术的优点:高安全性、
11、高效性、可伸缩性和易扩展性、应用范围广;它有不足:在对大量状态信息的处理过程可能会造成网络连接的某种迟滞,特别是在同时有许多连接被激活的时候,或者是有大量的过滤网络通信的规则存在。NAT技术是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关处将内部地址替换在公用地址,从而在外部公网上正常使用。NAT有三种类型:静态NAT、动态NAT、网络地址端口转换NAPT。NAT技术的优点:一是所有内部的IP地址对外面的人来说是隐藏的;二是如果因为某种原因公共IP地址资源比较短缺的话,NAT技术可以使整个内部网络共享一
12、个IP地址;三是可以启用基本的包过滤防火墙安全机制。虽然可以保障内部网络的安全,但是一些类似的局限,另外内部网络利用现在流传比较广泛的木马程序可以通过NAT进行外部连接,就像它可以穿过包过滤防火墙一样容易。个人防火墙的IP数据包过滤功能可以分为三种数据包过滤:ICMP数据包过滤、UDP数据包过滤、TCP数据包过滤。个人防火墙的优点:一是增加了保护级别,不需要额外的硬件资源;二是个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;三是个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐藏暴露在网络上的信息。其缺点:一是个人防火墙对公共网络只有一个物理接口,导致个人防火墙本身容易受到
13、威胁;二是个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源;三是个人防火墙只能对单机提供保护,不能保护网络系统。防火墙发展动态和趋势:优良的性能、可扩展的结构和功能、简化的安装和管理、主动过滤、防病毒和防黑客、发展联动技术。入侵检测就是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。入侵检测在体系结构上主要由事件提取、入侵分析、入侵响应、远程管理四个部分组成。入侵检测系统按基于数据源的分类方法可以分为基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统;按基于检测理论的分类方法可以分为异常检测和误用检测,异常检测是根据使用者的行为或
14、资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测,误用检测是运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测,异常检测用于检测系统日志,误用检测用于检测网络数据包。误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测主要依赖于可靠的用户活动记录和分析事件的方法。分布式入侵检测具体的处理方法有两种:分布式信息收集、集中处理;分布式信息收集、分布式处理。分布式入侵检测的优势:检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施。分布式入侵检测的技术难点:事件产生及存储、状态空间管理及规则复杂度、知识库管理和
15、推理技术。安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。穿透测试可分为无先验知识穿透测试和有先验知识穿透测试。网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络报务;通过操作系统探测可以掌握操作系统的类型信息;通过安全漏洞探测可以发现系统中可能存在的安全漏洞。端口扫描原理:向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应,通过分析响应来判断端口是打开还是关闭等状态信息。端口扫描可分为TCP端口扫描和UDP端口扫描,TCP端口扫描可分为全连接扫
16、描技术、半连接扫描技术、间接扫描技术和秘密扫描技术。安全漏洞按漏洞的可利用方式可分为信息型漏洞和攻击型漏洞探测,按漏洞探测的技术特征可分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术(被动的、非破坏性)、基于网络的探测技术(积极的、非破坏性)等。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。其特征:非授权可执行性、隐蔽性、传染性、潜伏性、破坏性、可触发性。计算机病毒的逻辑结构分为引导模块、传染模块、发作模块,引导模块从系统获取控制权,引导病毒的其他部分工作;传染模块担负着计算机病毒的扩散传染任务,它是判断一个程序是否是病毒的首要条件,是各种病毒必不可少的模块。文件型病毒可分为以下几种:高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型、不驻留内存型。计算机病毒的作用机制
