导航：安全管理网>> 培训课件>> 其他>>正文

网络安全技术

		点击数：	更新时间： 2020年11月01日
下载地址：点击这里	文件大小： 1.82 MB 共340页	文档格式： PPT	下载点数： 15 点（VIP免费）

全屏查看

部分内容预览 [文件共340页]

本文件共340页，只能预览部分内容，查看全部内容需要下载。

注：预览效果可能会出现部分文字乱码（如口口口）、内容显示不全等问题，下载是正常的。

	文件大小：1.82 MB 共340页文件格式：PPT 下载点数：15 点（VIP会员免费）

下一篇：冬季防滑安全分享

上一篇：用药安全管理

文本预览

仅提取页面文字内容，供快速阅读使用。

第1章  计算机网络安全概述及环境搭建 
备注：1
1.1  计算机网络安全概述
备注：2
一、网络安全的发展史 
          20世纪80年代开始，互联网技术飞速发展。自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。
　　  1997年,随着万维网（WoldWideWeb）上Java语言的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。
备注：3
一、网络安全的发展史
        1989年，俄罗斯的EugeneKaspersky开始研究计算机病毒现象。从1991年到1997年，俄罗斯大型计算机公司KAMI的信息技术中心研发出了AVP反病毒程序。这在国际互联网反病毒领域具有里程碑的意义。
　　防火墙是网络安全政策的有机组成部分。1983年，第一代防火墙诞生。到今天，已经推出了第五代防火墙。
备注：4
一、网络安全的发展史
         进入21世纪，政府部门、金融机构、军事军工、企事业单位和商业组织对IT系统的依赖也日益加重，IT系统所承载的信息和服务的安全性就越发显得重要。
　　  2007年初，一个名叫“熊猫烧香”的病毒在极短时间内通过网络在中国互联网用户中迅速传播，曾使数百万台电脑中毒，造成重大损失。
备注：5
一、网络安全的发展史
1、网络安全问题的产生
（1）信息泄露、信息污染及信息不可控等
（2）某些个人或组织出于某种特殊目的进行信息泄露、信息破坏、信息假冒侵权和意识形态的信息渗透，甚至进行一些破坏国家、社会以及各类主体合法权益的活动。
备注：6
一、网络安全的发展史
（3）随着社会的高度信息化、社会的“命脉”和核心控制系统有可能面临恶意的攻击而导致损坏和瘫痪
（4）网络应用越来越广泛，但是控制权分散的管理问题也日益显现
备注：7
一、网络安全的发展史
2、网络安全的现状(见P2 图1-1)
（1）拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。
备注：8
一、网络安全的发展史
（2）网络仿冒
（3）网页恶意代码
（4）病毒、蠕虫或木马
（5）漏洞
（6）垃圾邮件报告
备注：9
一、网络安全的发展史
3、网络安全的发展趋势
  （1）实施网络攻击的主体的变化：由兴趣性向盈利性发展
  （2）网络攻击的主要手段的变化：由单一手段向结合多种攻击手段的综合性攻击发展
  （3）企业内部对安全威胁的认识的变化：外部管理转向内部安全管理
备注：10
二、网络安全的定义
 1、网络上的信息安全，这其中涉及到了物理器件计算机和基于这之上的网络通信，对于数据的加密等一系列的知识，因此集计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科于一体。
备注：11
二、网络安全的定义
2、计算机系统安全定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。
3、保证网络安全的目的：确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等情况。
备注：12
二、网络安全的定义
4、网络安全包含：
（1）运行系统的安全，即保证信息处理和传输系统的安全
（2）网络上系统信息的安全
（3）网络上信息传输的安全，保证信息不被窃取修改或泄漏
（4）网络上信息内容的安全
备注：13
1．2  网络安全威胁 
备注：14
一、网络安全威胁的来源
1、内部威胁
（1）内部人员因自身原因故意破坏、泄露或无意错误操作破坏数据而引起的威胁
（2）因不当使用Internet接入而降低生产率
（3）内部工作人员发送、接收和查看攻击性材料，可能会使内部感染计算机病毒。
2、外部威胁
备注：15
二、网络安全威胁的种类
1、非授权访问：一般是没有事先经过同意，通过假冒、身份攻击及系统漏洞等手段来获取系统的访问权限，从而非法进入网络系统来使用网络资源，造成资源的消耗或损坏。
2、拒绝服务
3、数据欺骗：主要包括捕获、修改和破坏可信主机上的数据，攻击者还可能对通信线路上的网络通信进行重定向。
备注：16
1．3  网络安全防御体系
备注：17
一、安全防御体系的层次结构
1、物理安全：包括通信线路的安全、物理设备的安全及机房的安全等。涉及到防火、防静电、防雷击、防电磁辐射和防盗等。
2、操作系统安全性：包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补等
备注：18
一、安全防御体系的层次结构
3、网络的安全性：包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、防火墙应用、病毒防范和入侵检测等
4、应用安全性：指网络对用户提供服务所采用的应用软件和数据的安全性
5、管理安全性：包括安全技术和设备的管理、安全管理制度及部门与人员的组织规则等。
备注：19
二、安全防御体系工作流程
1、攻击前的防范
2、攻击过程中的防范
3、攻击过程后的恢复处理
备注：20
第2章  网络协议基础
备注：21
2.1  TCP/IP协议概述
备注：22
一、TCP/IP协议模型
1、协议的基础概念：网络协议是网络通信中控制数据传输的规则。包括三要素
（1）语义（做什么）：包括用于协调和差错处理、流量控制的控制信息。
（2）语法（怎么做）：数据编码格式与信号的电平
（3）时序（何时做）：速度的匹配和排序
备注：23
一、TCP/IP协议模型
2、开放系统互连参考模型（OSI参考模型）
        设计者按照信息的流动过程将网络的整体功能分解为一个个的功能层，不同主机的同等功能层之间采用相同的协议，同一主机上的相邻功能层之间通过接口进行信息传递，形成了OSI参考模型，这样不同体系结构的计算机网络都能互连，进行信息互通。
备注：24
一、TCP/IP协议模型
OSI参考模型将网络的通信功能划分成7个层次，由高到低分别是：
（1）物理层：向下直接与物理传输介质相连接，是各种网络设备进行互联时必须遵守的底层协议，与其他协议无关。物理层定义了数据通信网络之间物理链路的电气或机械特性，以及激活、维护和关闭这条链路的各项操作。物理层的特征参数包括电压、数据传输率、最大传输距离和物理连接介质等。 
备注：25
一、TCP/IP协议模型
（2）数据链路层：它把从物理层来的原始数据组成帧 即用于传送数据的结构化的包。数据链路层负责帧在计算机之间的无差错传递。其特征参数包括物理地址、网络拓扑结构、错误警告机制、所传数据帧的排序和流量控制等。
备注：26
一、TCP/IP协议模型
（3）网络层：定义网络操作系统通信用的协议，为传送的信息确定地址，将逻辑地址和名字翻译成物理地址。同时负责确定从源计算机沿着网络到目的计算机的路由选择，处理交通问题，路由器的功能在这一层实现。网络层的主要功能是将报文分组以最佳路径通过通信子网送达目的主机。
备注：27
一、TCP/IP协议模型
（4）传输层：负责端到端的信息传输错误处理，包括错误的确认和恢复，确保信息的可靠传递。在必要时，也对信息重新打包，把过长信息分成小包发送。在接收端，再将这些小包重构成初始的信息。
备注：28
一、TCP/IP协议模型
（5）会话层：允许在不同计算机上的两个应用间建立、使用和结束会话，实现对话控制，管理何端发送、何时发送和占用多长时间等。会话层利用传输层提供的可靠信息传递服务，使得两个会话实体之间不用考虑相互间的距离、使用何种网络通信等细节，进行数据的透明传输。
备注：29
一、TCP/IP协议模型
（6）表示层：表示层则要保证所传输的数据经传送后意义不改变，它要解决的问题是如何描述数据结构并使之与机器无关。
（7）应用层：主要功能是直接为用户服务，通过应用软件实现网络与用户的直接对话。这一层是最终用户应用程序访问网络服务的地方，负责整个网络应用程序协同工作。
备注：30
一、TCP/IP协议模型
3、OSI参考模型的特点
（1）各层之间是独立的。每层只实现一种相对独立的功能，可以使网络传输的复杂程度下降。
（2）灵活性好。任何一层发生变化都不影响别的层，只要层间接口保持不变。
（3）结构上可分割，用不同技术来实现。
（4）易于实现和维护。
（5）能促进标准化工作。
备注：31
一、TCP/IP协议模型
4、TCP/IP协议模型
（1）网络接口层：网络接口层与OSI/RM的物理层、数据链路层相对应。该层中所使用的协议大多是各通信子网固有的协议。作用是传输经IP层处理过的IP信息，并提供一个主机与实际网络的接口，而具体的接口关系则可以由实际网络的类型所决定。
备注：32
一、TCP/IP协议模型
（2）互联网层：也被称为IP（Internet Protocol）层、网络层。是TCP/IP模型的关键部分。它的功能是使主机可以把IP数据包发往任何网络，并使数据报独立地传向目标（中途可能经由不同的网络）。这些数据包到达的顺序和发送的顺序可能不同，因此当需要按顺序发送和接收时，高层必须对分组排序。
备注：33
一、TCP/IP协议模型
（3）传输层：在源节点和目的节点两个进程实体之间提供可靠的、端到端的数据传输。为保证数据传输的可靠性，传输层协议规定接收端必须发回确认，若丢失必须重新发送。若同时有多个应用程序访问互联网，则传输层在每个数据包中增加识别信源和信宿应用程序的标记。
备注：34
一、TCP/IP协议模型
（4）应用层：位于传输层之上的应用层包含所有的高层协议，为用户提供所需要的各种服务。主要的服务有：远程登录（Telnet）、文件传输（FTP）、电子邮件（SMTP）、Web服务（HTTP）、域名系统（DNS）等。
备注：35
一、TCP/IP协议模型
4、TCP/IP协议的特点
（1）应用广泛
（2）能够向用户和应用程序提供通用的、统一的网络服务。
（3）网络对等性：简化了对异构网的处理
备注：36
二、TCP/IP核心协议
1、网际协议（IP协议）：属于TCP/IP模型和互联网层，提供关于数据应如何传输以及传输到何处的信息。是使TCP/IP协议可用于网络连接的子协议。是不可靠的、无连接的协议，不保证数据的可靠，若接收时发现信息不正确，则将认为数据包被破坏，则重新发送数据包。IP的数据报包含报头和数据两部分，报头包含（见P24）。
备注：37
二、TCP/IP核心协议
2、传输控制协议（TCP协议）：属于传输层，提供可靠的数据传输服务。位于IP协议的上层，通过提供校验、流控制及序列信息弥补IP协议可靠性的缺陷。是面向连接的服务。TCP协议包含了保证数据可靠性的几个组件（见P26） 
备注：38
二、TCP/IP核心协议
3、用户数据报协议（UDP）：UDP协议是一种无连接的传输服务，不保证数据包以正确的序列被接收，并且不提供错误校验或序列编号。适合用于实况录音或电视转播。
备注：39
二、TCP/IP核心协议
4、网际控制报文协议（ICMP）：位于互联网层的IP协议和传输层的TCP协议之间，不提供错误控制服务，仅报告哪个网络是不可达的，哪个数据包因分配的生存时间过期而被抛弃。
备注：40
二、TCP/IP核心协议
5、地址解析协议（ARP）：是互联网层协议，它获取主机或节点的物理地址并创建一个本地数据库以将物理地址映射到主机的逻辑地址上。和IP地址配合使用。就是将网卡地址和IP地址一一对应起来，网卡地址解析成IP地址。
备注：41
2.2  常用的网络服务原理 
备注：42
一、WWW服务
1、WWW是已联网服务器的集合，这些服务器按指定的协议和格式共享资源和交换信息。
2、采用的CS架构（服务器—客户端的架构），在服务器端需要安装外部服务器，客户机端要具备浏览器。
3、在客户机端访问服务器端需要TCP/IP协议、IP地址与Internet连接和浏览器。
备注：43
一、WWW服务
4、服务器端和客户机端通过HTTP或HTML服务传输内容，每个Web页都被统一资源定位器（URL）标识。每一个Web页的网址都是独一无二的，对应第一无二的IP地址。
5、http://jssvc.edu.cn/index.asp   https是使用的服务类型，jssvc.edu.cn是主机名，index.asp是该页下的文件。
6、常见的Web服务器软件包括（见P27） 
备注：44
二、FTP服务
1、文件传输协议：用于管理TCP/IP主机之间文件的传输
2、FTP服务是FTP服务器提供的，相当于是服务器开辟了FTP服务，提供文件夹供客户端上传或下载文件。
3、在浏览器的地址栏中输入 FTP://主机名 或 FTP://服务器IP地址，即可访问FTP服务器，相当于是向服务器发出请求，服务器始终侦听请求，当接收到这个请求的时候，立刻给予客户端响应。
备注：45
二、FTP服务
4、常见的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。
5、使用FTP必须首先登陆，输入ID和口令，在服务器上获得相应的权限后才能下载或上传文件。服务器有可能限定在同一时刻最高可供多少人同时使用。有的服务器上提供匿名FTP服务，任何人都可以使用一个公用的ID进入使用该服务器上公开的资源。

备注：46
三、DNS服务
1、域名系统：是将主机名和域名解析为与此名称相关的IP地址的系统。
2、因为IP地址由一串数字组成，难于记忆，因此引申出了域名，用一串便于记忆的字符组成，而域名和IP地址成为一种一一对应的关系。由域名转换成IP地址称为正向解析，由IP地址转换成域名为逆向解析。
3、DNS分为3个组成部分：解析器、名称服务器、名称空间
备注：47
三、DNS服务
4、当进行一个域名访问的时候，在浏览器中输入网址，解析器服务会查询本地的名称服务器，查找相对应的IP地址，若没有则向高一级服务器查询。要知道本地、地区、国家都有名称服务器。
5、假若你以前访问过这个域名地址，则可以从以前查询获得的缓存信息中就地应答查询，这样速度比较快。
备注：48
四、DHCP服务
1、动态主机配置协议：是往网络中的每台设备分配独一无二IP地址的动态方式。
2、采用DHCP服务的优点：
  （1）降低花费在IP地址管理方面的时间和规划
  （2）降低分配IP地址的错误率
  （3）在移动电脑的情况下无需更改TCP/IP配置。
  （4）为使IP地址对移动用户透明。
3、DHCP出租过程和终止DHCP租借 
备注：49
五、终端服务
1、终端服务：集成在Windows.NET Server终端服务中，作为系统服务器服务组件存在，“开始”—“程序”—“附件”—“通讯”—“超级终端”
2、客户机和服务器通过TCP/IP协议和标准的局域网构架联系，在客户端上进行操作传递到终端服务器上，再将服务器上的显示结果传递回客户端。类似于“远程控制”。
备注：50
五、终端服务
3、允许多个客户端同时登陆到服务器，他们之间是相互独立的。
4、终端服务由5个组件组成：
  （1）多用户内核
  （2）远程桌面协议
  （3）终端服务客户端
  （4）终端服务许可服务
  （5）终端服务管理工具
备注：51
2．3  常用网络命令
备注：52
一、ipconfig
1、ipconfig/all 查看配置
          才启动的时候执行这个命令，大多信息不能获取，例如IP地址，DNS等。使用刷新命令后，可以查看到计算机的主机名、网卡名、网卡地址、动态分配的IP地址、子网掩码和默认网关等。
2、ipconfig/renew  刷新配置
  （“运行”—输入“cmd” ）
备注：53
二、ping
作用：用于网络的连通性测试，测试网线是否连通、网卡配置是否正确及IP地址是否可用等。
例： ping –a 192.168.1.103
常见参数说明：见35页
备注：54
三、arp
原理：arp即地址解析协议，在常用以太网或令牌LAN上，用于实现第三层到第二层地址的转换 IP —> MAC
功能：显示和修改IP地址与MAC地址之间的映射
谁知道
10.1.46.1
的MAC地址
我知道10.1.46.1
的MAC地址是:
xxxxxx
备注：55
三、arp
常用参数： 
  arp —a：显示所有的arp表项
  arp –s：在arp缓存中添加一条记录
（例：Arp  -s 126.13.156.2  02-e0-fc-fe-01-b9）
  arp —d：在arp缓存中删除一条记录
          （例：Arp  -d 126.13.156.2）
  arp —g：显示所有的表项
备注：56
四、nbtstat
作用：是解决NetBIOS名称解析问题的工具，可使用nbtstat命令删除或更正预加载的项目
常用参数：见37页
备注：57
五、netstat
作用：用来显示协议统计信息和当前TCP/IP连接，该命令只能在安装了TCP/IP协议后才能使用。
常用参数：见P37—38页
备注：58
六、tracert
原理：tracert 是为了探测源节点到目的节点之间数据报文经过的路径，利用IP报文的TTL域在每个经过一个路由器的转发后减一,如果此时TTL=0则向源节点报告TTL超时这个特性，从一开始逐一增加TTL,直到到达目的站点或TTL达到最大值255.
功能：探索两个节点的路由。
备注：59
六、tracert

1.1.1.1
1.1.1.2
2.2.2.1
2.2.2.2
TTL=1
TTL=2
TTL=3
备注：60
六、tracert
常用参数：
1、tracert ip_adress

备注：61
六、tracert
 2、tracert —h N   
              （设置TTL最大为N）

备注：62
第3章  网络攻防技术应用
备注：63
3．1  网络攻击概述
备注：64
一、网络黑客
概念：怀有不良企图，强行闯入远程计算机系统或恶意干扰远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为黑客。
攻击目的：窃取信息；获取口令；控制中间站点；获得超级用户权限等 
备注：65
一、网络黑客
实例：
     （1）1983年，“414黑客”，6名少年黑客被控侵入60多台电脑
     （2）1987年，赫尔伯特·齐恩（“影子鹰”），闯入没过电话电报公司
     （3）1988年，罗伯特·莫里斯“蠕虫程序”，造成1500万到1亿美元的经济损失。
     （4）1990年，“末日军团”，4名黑客中有3人被判有罪。
     （5）1995年，米特尼克偷窃了2万个信用卡号，8000万美元的巨额损失。
     （6）1998年2月，德国计算机黑客米克斯特，使用美国七大网站陷于瘫痪状态
备注：66
一、网络黑客
     （7）1998年，两名加州少年黑客，以色列少年黑客分析家，查询五角大楼网站并修改了工资报表和人员数据。
     （8）1999年4月，“CIH”病毒，保守估计全球有6千万部电脑感染。
     （9）1999年，北京江民KV300杀毒软件，损失260万元。
     （10）2000年2月，“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站，损失超过了10亿美元。
     （11）2000年4月，闯入电子商务网站的威尔斯葛雷，估计导致的损失可能超过300万美元。

备注：67
二、网络攻击的目标
目标：系统、数据（数据占70%）
系统型攻击特点：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作，可能留下明显的攻击痕迹。
数据型攻击特点：发生在网络的应用层，面向信息，主要目的是为了篡改和偷取信息，不会留下明显的痕迹。
（注：着重加强数据安全，重点解决来自内部的非授权访问和数据的保密工作。）
备注：68
二、网络攻击的目标
1、阻塞类攻击：通过强制占有信道资源、网络连接资源及存储空间资源，使服务器崩溃或资源耗尽而无法对外继续提供服务（例如拒绝服务攻击）。
常见方法：TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等
攻击后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降低。
备注：69
二、网络攻击的目标
2、探测类攻击：收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。
包括：扫描技术（采用模拟攻击形式对可能存在的安全漏洞进行逐项检查）、体系结构刺探及系统信息服务收集等
备注：70
二、网络攻击的目标
3、控制类攻击：试图获得对目标主机控制权的。
常见方法：口令攻击、特洛伊木马、缓冲区溢出攻击
4、欺骗类攻击：通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。
常见方法：ARP缓存虚构、DNS告诉缓冲污染及伪造电子邮件等

备注：71
二、网络攻击的目标
5、漏洞类攻击：非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。
6、破坏类攻击：指对目标主机的各种数据与软件实施破坏的一类攻击。
常见方法：计算机病毒、逻辑炸弹
备注：72
3．2  网络攻击技术
备注：73
一、网络攻击的一般模型概述
网络攻击一般模型：经历四个阶段
搜索信息
获取权限
消除痕迹
深入攻击
备注：74
一、网络攻击的一般模型概述
1、搜集信息（攻击的侦查阶段）
隐藏地址：寻找“傀儡机”,隐藏真实IP地址。
锁定目标：寻找、确定攻击目标。
了解目标的网络结构、网络容量、目录及安全状态
搜索系统信息：分析信息，找到弱点攻击。
备注：75
一、网络攻击的一般模型概述
2、获取权限
      利用探测到的信息分析目标系统存在的弱点和漏洞，选择合适的攻击方式，最终获取访问权限或提升现有访问权限。
3、消除痕迹
      清除事件日记、隐藏遗留下的文件、更改某些系统设置 
4、深入攻击
     进行信息的窃取或系统的破坏等操作。
备注：76
二、常用网络攻击的关键技术
1、端口扫描技术
          通过端口扫描可以搜集目标主机的系统服务端口的开放情况，进行判断目标的功能使用情况，一旦入侵成功后将后门设置在高端口或不常用的端口，入侵者通过这些端口可以任意使用系统的资源。
备注：77
二、常用网络攻击的关键技术
（1）常用的端口扫描技术
A、TCP connect（）扫描：使用connect（），建立与目标主机端口的连接。若端口正在监听，connect（）成功返回；否则说明端口不可访问。任何用户都可以使用connect（）。
B、TCP SYN扫描：即半连接扫描。扫描程序发送SYN数据包，若发回的响应是SYN/ACK表明该端口正在被监听，RST响应表明该端口没有被监听。若接收到的是SYN/ACK，则发送RST断开连接。（主机不会记录这样的连接请求，但只有超级用户才能建立这样的SYN数据包）。
备注：78
二、常用网络攻击的关键技术
C、TCP FIN扫描：关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包，相反，打开的端口往往忽略这些请求。
D、Fragmentation扫描：将发送的探测数据包分成一组很小的IP包，接收方的包过滤程序难以过滤。
E、UDP recfrom（）和write（）扫描
F、ICMP echo扫描：使用ping命令，得到目标主机是否正在运行的信息。
G、TCP反向Ident扫描：
H、FTP返回攻击
I、UDP ICMP端口不能到达扫描

备注：79
二、常用网络攻击的关键技术
（2）扫描器
定义：一种自动检测远程或本地主机安全弱点的程序，可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。
工作原理：通过选用远程TCP/IP不同的端口服务，记录目标给予的回答。
三项功能：发现一个主机或网络的功能；一旦发现主机，发现什么服务正在运行在主机上的功能；测试这些服务发现漏洞的功能。
备注：80
二、常用网络攻击的关键技术
2、网络监听技术
网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有网络通信信息。
网卡接收数据方式：广播方式、组播方式、直接方式、混杂模式
基本原理：数据包发送给源主机连接在一起的所有主机，但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下，则可监听或记录下同一网段上的所有数据包。 
备注：81
二、常用网络攻击的关键技术
3、网络欺骗技术
定义：是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。
（1）IP欺骗：选定目标，发现主机间的信任模式，使目标信任的主机丧失工作能力，TCP序列号的取样和预测，冒充被信任主机进入目标系统，实施破坏并留下后门。 
备注：82
二、常用网络攻击的关键技术
（2）ARP欺骗
    A、对路由器ARP表的欺骗：原理是截获网关数据。
    B、对局域网内个人计算机的网络欺骗：原理是伪造网关。
后果：影响局域网正常运行；泄露用户敏感信息
备注：83
二、常用网络攻击的关键技术
4、密码破解技术
指通过猜测或其他手段获取合法用户的账号和密码，获得主机或网络的访问权，并能访问到用户能访问的任何资源的技术。
备注：84
二、常用网络攻击的关键技术
密码攻击的方法：
   （1）通过网络监听非法得到用户密码：采用中途截获的方法获取用户账户和密码。
   （2）密码穷举破解：在获取用户的账号后使用专门软件强行破解用户密码。（口令猜解、字典攻击、暴力猜解）
备注：85
二、常用网络攻击的关键技术
5、拒绝服务技术
定义：简称DoS技术，是针对TCP/IP协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求，使服务器充斥着这种要求恢复的信息，耗尽网络带宽或系统资源，最终导致网络或系统瘫痪、停止正常工作。
常见攻击模式：资源消耗型、配置修改型、服务利用型
新型拒绝服务攻击技术：分布式拒绝服务攻击、分布式反射拒绝服务攻击
备注：86
三、常用网络攻击工具
1、端口扫描工具：网络安全扫描器NSS、安全管理员的网络分析工具SATAN、SuperScan
2、网络监听工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等
3、密码破解工具：是能将口令解译出来，或者让口令保护失效的程序。
4、拒绝服务攻击工具
（1）DoS工具：死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf
（2）DDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等
备注：87
3．3  网络攻击防御技术 
备注：88
一、网络攻击的防范策略
1、提高安全意识：从使用者自身出发，加强使用者的自身素质和网络安全意识。
2、访问控制策略：保证网络安全的最核心策略之一，主要任务是保证网络资源不被非法使用和非法访问。
3、数据加密策略：最有效的技术之一，通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。
4、网络安全管理策略：确定安全管理登记和安全管理范围；指定有关网络操作实验规程和人员管理制度；指定网络系统的维护制度和应急措施。 
备注：89
二、常见的网络攻击防御方法
1、端口扫描的防范方法
（1）关闭闲置和有潜在危险的端口
（2）发现有端口扫描的症状时，立即屏蔽该端口：可使用防火墙实现
备注：90
二、常见的网络攻击防御方法
2、网络监听的防范方法
（1）对网络监听攻击采取的防范措施：
网络分段：将IP地址按节点计算机所在网络的规模的大小分段，可以对数据流进行限制。
加密：可对数据的重要部分进行加密，也可对应用层加密
一次性密码技术
划分VLAN：使用虚拟局域网技术，将以太网通信变成点到点的通信。
备注：91
二、常见的网络攻击防御方法
（2）对可能存在的网络监听的检测方法：
用正确的IP地址和错误的物理地址ping可能正在运行监听程序的主机。
向网上发送大量不存在的物理地址的包，用于降低主机性能。
使用反监听工具进行检测。
备注：92
二、常见的网络攻击防御方法
3、IP欺骗的防范方法
（1）进行包过滤：只在内网之间使用信任关系，对于外网主机的连接请求可疑的直接过滤掉。
（2）使用加密技术：对信息进行加密传输和验证
（3）抛弃IP信任验证：放弃以IP地址为基础的验证。
备注：93
二、常见的网络攻击防御方法
4、密码破解的防范方法
密码不要写下来
不要将密码保存在计算机文件中
不要选取显而易见的信息做密码
不要再不同系统中使用同一密码
定期改变密码
设定密码不宜过短，最好使用字母、数字、标点符号、字符混合
备注：94
二、常见的网络攻击防御方法
5、拒绝服务的防范方法
（1）拒绝服务的防御策略：
建立边界安全界限，确保输出的数据包收到正确限制。经常检测系统配置信息，并建立完整的安全日志。
利用网络安全设备加固网络的安全性，配置好设备的安全规则，过滤所有可能的伪造数据包。
备注：95
二、常见的网络攻击防御方法
（2）具体DOS防范方法：
死亡之ping的防范方法：设置防火墙，阻断ICMP以及任何未知协议。、
Teardrop的防范方法：在服务器上应用最新的服务包，设置防火墙对分段进行重组，不转发它们。
TCP SYN洪水的防范方法：关掉不必要的TCP/IP服务，或配置防火墙过滤来自同一主机的后续连接。
Land的防范方法：配置防火墙，过滤掉外部结构上入栈的含有内部源地址的数据包。
Smurf的防范方法：关闭外部路由器或防火墙的广播地址特征，或通过在防火墙上设置规则，丢弃ICMP包。
备注：96
三、入侵检测技术
1、概述
          通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 
备注：97
三、入侵检测技术
2、功能
（1）监控、分析用户和系统的活动
（2）对系统配置和漏洞的审计
（3）估计关键系统和数据文件的完整性
（4）识别和反应入侵活动的模式并向网络管理员报警
（5）对异常行为模式的统计分析
（6）操作系统审计跟踪管理，识别违反策略的用户活动
备注：98
三、入侵检测技术
3、入侵检测技术
            入侵行为与用户的正常行为存在可量化的差别，通过检测当前用户行为的相关记录，从而判断攻击行为是否发生。
（1）统计异常检测技术
对合法用户在一段时间内的用户数据收集，然后利用统计学测试方法分析用户行为，以判断用户行为是否合法。分为基于行为剖面的检测和阈值检测。
（2）规则的检测技术
通过观察系统里发生的事件并将该时间与系统的规则进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测。
备注：99
三、入侵检测技术
4、入侵检测过程
（1）信息收集：
在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据。
（2）信息分析
匹配模式：将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配，进而发现违反安全策略的行为。

备注：100
三、入侵检测技术
统计分析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较，是否处于正常范围之内。
完整性分析：关注某个固定的对象是否被更改。 
备注：101
三、入侵检测技术
 5、入侵检测系统的基本类型
（1）基于主机的入侵检测系统
使用操作系统的审计日志作为数据源输入，根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义。
备注：102
三、入侵检测技术
（2）基于网络的入侵检测系统
使用整个网络上传输的信息流作为输入，通过被动地监听捕获网络数据包，并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信，不能检测不同网段的网络包。
（3）分布式入侵检测系统（混合型）
备注：103
三、入侵检测技术
6、入侵检测系统应对攻击的技术
（1）入侵响应
当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。
（2）入侵跟踪技术
知道对方的物理地址、IP地址、域名、应用程序地址等就可以跟踪对方。
备注：104
四、蜜罐技术 
1、蜜罐技术
蜜罐系统是互联网上运行的计算机系统，可以被攻击，对于攻击方入侵的过程和行为进行监视、检测和分析，进而追踪入侵者。
蜜罐系统是一个包含漏洞的诱骗系统，是一种被监听、被攻击或已被入侵的资源，通过模拟一个或多个易被攻击的主机，给攻击者提供一个容易攻击的目标，而拖延攻击者对真正目标的攻击，让其在蜜罐上浪费时间。 
备注：105
四、蜜罐技术 
蜜罐系统关键技术：服务伪装、漏洞提供
蜜罐技术缺陷：只能对针对蜜罐的攻击行为进行监视和分析，不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控。
备注：106
四、蜜罐技术
2、蜜网技术
蜜网技术又称为诱捕网络，它构成一个黑客诱捕网络体系架构，其上包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具一方便对攻击信息采集和分析。
蜜网核心需求：数据控制、数据捕获、数据分析
备注：107
第4章  操作系统安全配置方案 
备注：108
4.1  安全操作系统概述 
备注：109
一、安全操作系统的定义
1、操作系统的安全现状

2、安全操作系统的定义
系统能够控制外部对系统信息的访问，即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。
备注：110
一、安全操作系统的定义
包含有：
（1）操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。
（2）操作系统在使用时，通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全。 
备注：111
二、安全操作系统的特征
1、最小特权原则
2、有ACL的自主访问控制
3、强制访问控制：制定一个固定的安全属性，来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。
4、安全审计和审计管理：
5、安全域隔离
6、可信路径：
备注：112
4.2  Windows操作系统安全性 
备注：113
一、操作系统的安全性概述
1、Windows XP安全性
（1）完善的用户管理功能
可在登录界面查看当前系统中的所有用户名，可控制用户对文件的访问，并且开启文件的审核功能后，可将用户对文件的访问情况记录到安全日志文件中。
（2）软件限制策略的透明性	
以透明的方式隔离和使用不可靠的、潜在对用户数据有害的代码。 
备注：114
一、操作系统的安全性概述
（3）支持NTFS和EFS文件系统
EFS是加密文件系统，可通过在要加密的文件“属性”对话框“常规”选项卡的“高级”按钮中设置，自动产生加密密钥文件。
（4）安全的网络访问特性
自动更新功能：只要联网，自动查看是否有新的补丁或其他内容可更新。
系统自带Internet链接防火墙功能
关闭后门：关闭了前Windows版本中存在的后门。
备注：115
一、操作系统的安全性概述
2、Windows Server 2003安全性
（1）IIS 6.0的改进
在Windows Server 2003中需手动安装，可自动探测到内存泄露、非法访问及其他错误。
（2）活动目录的安全性改进
（3）数据存储和保护
可授权额外用户访问加密文件或访问加密脱机文件。自动恢复系统ASR可轻松恢复系统，避免系统因发生错误或攻击而不能正常运行。
备注：116
一、操作系统的安全性概述
（4）安全方面新增功能
高可信度计算：在所有产品中采用了高可信度计算作为关键技术，提高软件环境的安全性。
CRL：CRL通过检查软件代码下载和安装的位置、是否拥有可信的开发商的数字签名、是否层被改动等来检验应用程序是否安全和能否正常运行。
关机的“理由”：安装了关机跟踪器，需要在关机或重启时提供理由，这样可在用户重启系统之前检测到将要接近或超过的服务器系统资源限制。这样可以了解导致服务器性能降低的原因。
命令行工具：提供了命令行的管理工具，便于完成在GUI（图形用户界面）方式下较难完成的操作。
备注：117
二、Windows操作系统的漏洞
1、Windows XP系统的漏洞
（1）UPnP（通用即插即用技术）服务导致的漏洞
A、NPTIFY缓冲区溢出漏洞
B、产生DoS和DDoS攻击的漏洞
C、漏洞的解决方法：
         下载程序补丁；设置防火墙、禁止网络外部数据包对1900号端口的连接；关闭UPnP服务等
备注：118
（2）远程桌面明文帐户名传送漏洞
当建立远程桌面连接的时候，将用户的帐户名以明文方式发给连接的客户端，这样容易被网络上的嗅探程序捕获。
解决方法：“开始”菜单—“设置”—“控制面板”—“管理工具”—“服务”—禁用“Universal Plug and Play Device Host”服务 
备注：119
二、Windows操作系统的漏洞
（3）快速帐号切换功能造成帐号锁定漏洞
用这一功能快速重复登录一个用户，则系统会错认为有暴力猜测攻击，造成全部非管理员帐号被锁定。
解决方法：禁用快速用户切换功能。
（4）升级程序漏洞
系统版本升级造成原系统中IE的补丁文件被删除，出现漏洞。
解决方法：从网站下载最新补丁
备注：120
二、Windows操作系统的漏洞
（5）Windows Media Player漏洞
会产生信息泄露漏洞和脚本执行漏洞。
解决方法：信息泄露漏洞可以将要播放的文件先下载到本地再播放可避免。脚本执行漏洞，只有用户先播放一个特殊的媒体文件后又浏览一个经过特殊处理的网页，攻击者才能利用该漏洞进行成功攻击。
备注：121
二、Windows操作系统的漏洞
（6）热键漏洞
当系统长时间未用而进入“自动注销”后，虽然他人没有密码就无法进入桌面，但可以通过热键启动应用程序。
解决方法：检查可能带来危害的热键；启动屏幕保护程序，并设置密码；在离开计算机时锁定计算机。
备注：122
二、Windows操作系统的漏洞
2、Windows Server 2003系统的安全问题
（1）系统存在不需要身份验证的服务，若开放这些服务，远程用户可不需要验证直接登录系统。
（2）应用在系统中的Kerberos V5（安全身份验证协议）有安全漏洞，从而造成Windows Server 2003系统的不安全性。
（3）Windows Server 2003系统的日志机制存在缺陷，无法追踪攻击者的IP地址。
备注：123
二、Windows操作系统的漏洞
（4）Windows Server 2003系统的身份验证规程可以被窃听破解。
（5）在系统漏洞被修补前的安全隐患期容易被攻击。
（6）口令字可被破解：通过加密口令字典中已知短语，然后和口令密文进行匹配。
（7）基于TCP/IP协议的安全弱点
备注：124
二、Windows操作系统的漏洞
3、Windows系统服务的安全隐患
Messenger服务：主要用来发送和接收系统管理员的Alerter服务消息，别人容易利用该功能向计算机用户发送垃圾邮件。
Application Layer Gateway Service服务：主要提供互联网联机防火墙的第三方通信协议插件的支持，较容易遭到恶意攻击。
备注：125
二、Windows操作系统的漏洞
ClipBook服务：允许任何已连接的网络中的其他用户查看本机的剪贴板。
Indexing Service服务
Computer Browser服务：可将当前主机所使用网络上的计算机列表提供给那些请求得到该列表的程序。
备注：126
二、Windows操作系统的漏洞
Terminal Services服务：主要提供多会话环境，允许客户端设备访问虚拟的桌面会话及运行在服务器上的基于Windows程序并打开默端口号为3389的对外端口。
Remote Registry Service服务：允许远程用户通过简单的连接就可修改本地计算机的注册表设置。 
备注：127
三、操作系统的安全配置方案
  最小的服务+最小的权限=最大的安全
1、精简系统的服务组件和程序
只安装满足当前系统需要的服务，遵循最小化安装的原则。后期需要其他服务再即时安装即可。
2、系统漏洞修补
在系统安装完，并且所有服务组件都安装好后，应及时安装系统补丁程序。
3、关闭不用的或未知的端口
当禁用一项服务时，可关闭其对应的端口，防止黑客通过此端口攻击系统。
备注：128
三、操作系统的安全配置方案
4、禁用危险服务
禁用危险的服务，将入侵者可能的入侵通道关闭。
5、强化权限设置
根据实际的应用需求来设置权限，且权限的设置应遵循最小特权原则。可以保护用户能够完成所操作的任务，又能降低误操作或攻击对系统及数据造成的损失。
备注：129
三、操作系统的安全配置方案
6、规范身份验证机制
该机制用户确认尝试登录域或访问网络资源的任何用户的身份，对系统帐户进行规范化管理，尽量减少使用的帐户，因为系统的帐户越多，攻击者获得合法用户权限的概率越大。
备注：130
三、操作系统的安全配置方案
7、建立审核策略机制
可跟踪系统中的各类事件并将其写入日志文件，供管理员分析、查找系统和应用程序故障和分析各类安全事件。
8、加强日志管理和保护
针对不同服务设置的日志文件要加强管理，设置严格的访问权限。
备注：131
4.3  Linux操作系统安全性 
备注：132
一、Linux操作系统安全性概述 
1、Linux安全性概述
2、Linux安全问题
（1）文件系统未受到保护
很多系统重要文件没有受到保护，可以被修改和覆盖，经过篡改后的文件可能造成系统的漏洞。
（2）进程未受到保护
若黑客侵入拥有超级用户的管理权限，完全有权终止系统上运行的为系统功能所服务的进程。 
备注：133
一、Linux操作系统安全性概述 
（3）超级用户对系统操作的权限不受限制，甚至可以对现有的权限进行修改
超级用户权限过大，对于很多特权进程和系统服务需要超级用户权限的，开放后会造成安全漏洞，攻击者容易由此获得超级用户口令；而超级用户若将某文件的使用权利赋予普通用户，则也就同时将该权利赋予该普通用户所在的同工作组用户，使得文件的使用不安全。 
备注：134
二、Linux操作系统的安全机制
           通过在使用中对于Linux系统的不断完善，增加各种安全机制来提高系统的安全性。
1、身份认证机制
（1）基于主体的口令或密钥的验证
加密时间戳：时间戳就是文件的创建、修改、访问时间。用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。
盘问响应：口令的响应时间，限定一段时间，超过该时间口令将失去效用。
备注：135
二、Linux操作系统的安全机制
（2）基于智能卡的验证
通过预存信息到设备当中，当使用智能卡时，只需要核对卡中和系统中的预存信息即可。
（3）生物识别技术
基于指纹、声音、视网膜等独一无二特征的验证。需要事先将这些特征的相关信息存储入电脑，设定好权限。
备注：136
二、Linux操作系统的安全机制
2、加密文件系统
通过加密文件系统对文件进行加密处理，使文件即使失窃也不会泄露信息。只给予权限的合法用户正常使用该文件的权利，访问该文件与访问普通文件没有区别，而其他用户则不可读。
3、强制访问控制机制
强制性的限制信息的共享和资源的流动，使不同的用户只能访问到与其相关的、制定范文的信息。
备注：137
二、Linux操作系统的安全机制
4、防火墙技术
防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。即对网络间传输的数据包进行安全检查。
备注：138
二、Linux操作系统的安全机制
（1）访问控制：可拒绝非授权访问，保护内部用户的合法访问。
（2）审计：对通过防火墙的网络访问进行记录，建立完整的日志、审计和跟踪网络访问记录。
（3）防御攻击：给与安装防火墙的内部网络予以保护，防御外界的各种攻击行为。
（4）其他附属功能
备注：139
二、Linux操作系统的安全机制
5、入侵检测系统
（1）记录入侵企图
（2）在规定情况的攻击行为发生时，采取预先设定的措施
（3）发送一些错误信息给攻击方，使攻击方做出错误判断
备注：140
二、Linux操作系统的安全机制
6、安全审计机制
安全审计机制可以记录攻击者的行踪，帮助系统管理员掌握系统受到的攻击行为，并针对这些攻击行为采取相应的安全措施。
7、内核封装技术
保护系统内核，限制了系统管理员的该权限，使用户不能对内核进行模块插入。
备注：141
三、Linux操作系统安全配置方案
1、Linux系统安装的安全性考虑
在初始安装的时候，对系统的磁盘分区做好安全设置方案。
2、安装系统补丁
安装完系统后及时查看系统漏洞，寻找相应的解决方案弥补系统安全缺陷。
3、关闭不需要的服务端口
4、为LILO增加开机口令
备注：142
三、Linux操作系统安全配置方案
5、用户帐户及口令的管理
可以通过设置口令的最小长度（修改/etc/login.defs中PASS_MIN_LEN参数）、口令的使用时间（修改/etc/login.defs中PASS_MIN_DAYS参数），增加用户帐户口令的安全性。
6、禁止和允许远程访问
通过修改hosts.deny和dosts.allow两个文件来禁止和允许远程主机对本地主机的访问。
7、磁盘空间维护
定期检查系统的磁盘空间的使用情况。
备注：143
第5章  计算机病毒及防治技术 
备注：144
5.1  计算机病毒概述 
备注：145
一、计算机病毒的发展 
1、计算机病毒的发展史
第一阶段：原始病毒阶段（1986—1989年）
特点：传染目标单一，主要通过截获系统中断向量的方式检视系统的运行状态。感染后磁盘上出现坏扇区、文件长度增加、文件建立时间发生改变等。没有自我保护措施，容易被发现与删除。
备注：146
一、计算机病毒的发展
第二阶段：混合型病毒阶段（1989—1991年）
特点：病毒程序驻留内存和传染目标更为隐蔽，传染后没有明显特征，病毒本身有自我保护措施，而且容易产生变种病毒，具有更大的破坏性。
第三阶段：多态性病毒阶段（1992—1995年）
特点：病毒开始向多维化、多态化或自我变形化发展。即病毒程序大多都是可变的，同一个病毒的多个样本的程序代码大多是不同的。 
备注：147
一、计算机病毒的发展
第四阶段：网络病毒阶段（20世纪90年代中后期开始）
特点：利用网络作为主要的传播途径，传播速度快、隐蔽性强、破坏性大。
第五阶段：主动攻击型病毒（2000年至今）
特点：病毒利用操作系统的漏洞进行攻击型的扩散，不需要任何媒介或操作。
备注：148
一、计算机病毒的发展
2、计算机病毒的定义
计算机病毒是编写的或在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并能自我复制的一组计算机指令或程序代码。 
备注：149
一、计算机病毒的发展
3、计算机病毒发展的趋势
（1）网络化：病毒的传播与网络紧密结合
（2）功能的综合化：集合文件传染、蠕虫、木马和黑客程序特点
（3）传播渠道多样化：通过网络共享、网络漏洞、网络浏览、电子邮件等传播
（4）病毒的多平台化：出现跨操作系统平台的病毒
备注：150
二、计算机病毒的特点 
1、传染性
2、潜伏性
3、触发性
4、破坏性
5、非授权性
6、隐蔽性
7、衍生性
备注：151
三、计算机病毒的类型
1、按计算机病毒攻击的操作系统不同分类
（1）攻击DOS系统的病毒
（2）攻击Windows系统的病毒
（3）攻击Unix系统的病毒
（4）攻击OS/2系统的病毒
（5）攻击NetWare系统的病毒
（6）攻击Linux系统的病毒
备注：152
三、计算机病毒的类型
2、按病毒的攻击机型不同分类
（1）攻击微型计算机的病毒
（2）攻击小型机的病毒
（3）攻击工作站的病毒
备注：153
三、计算机病毒的类型
3、按计算机病毒的链接方式不同分类
（1）源码型病毒：通过攻击高级语言编写的程序，在程序编译前插入源程序中，经编译成为合法程序的一部分。
（2）嵌入型病毒：是将病毒嵌入现有程序，把病毒主体程序与攻击对象以插入的方式链接。
备注：154
三、计算机病毒的类型
（3）外壳型病毒：病毒将自身包围在合法程序的周围，对程序不做修改，只是会增加文件的大小
（4）操作系统型病毒：将病毒的程序代码加入或替换部分操作系统文件。
备注：155
三、计算机病毒的类型
4、按计算机病毒的破坏情况不同分类
（1）良性计算机病毒：指对计算机系统不产生直接破坏作用的代码，只占用内存资源或CPU的控制权等。
（2）恶性计算机病毒：指代码中包含有损伤或破坏计算机系统的操作，在感染或发作时会对系统产生直接的破坏作用。 
备注：156
三、计算机病毒的类型
5、按传播媒介不同分类
（1）单机病毒：通过可移动存储设备在系统间传染病毒
（2）网络病毒：通过网络进行传播
备注：157
三、计算机病毒的类型
6、按传染方式不同分类
（1）引导型病毒：主要感染磁盘的引导区
（2）文件型病毒：主要感染磁盘上的可执行文件com、exe等，附着于可执行文件，成为文件的外壳或部件。当运行受感染的文件时，才会将病毒引导入内存。
（3）混合型病毒：兼有引导型和文件型的特点，扩大感染途径。
备注：158
三、计算机病毒的类型
7、按病毒特有的算法不同分类
（1）伴随型病毒：根据算法产生和原执行文件名字相同、扩展名不同的执行文件，病毒将自身写入伴随文件中，而不改变原执行文件，当执行时优先执行伴随文件，后再由伴随体加载执行原文件。
备注：159
三、计算机病毒的类型
（2）蠕虫型病毒：通过网络传播，一般除了占用内存，不改变文件。
（3）寄生型病毒：除了伴随型病毒和蠕虫病毒，剩余的全部可称为寄生型病毒。
备注：160
四、计算机病毒的工作方式
1、计算机病毒的传播途径
（1）通过不可移动的计算机硬件设备进行传播
（2）通过磁盘、U盘和移动硬盘等可移动的存储介质传播
（3）通过计算机网络进行传播
（4）通过无线电等无线通信介质进行传播
备注：161
四、计算机病毒的工作方式
2、计算机病毒的触发条件
（1）时间触发：包括特定的时间触发、感染后累计工作时间触发及文件最后写入时间触发等。
（2）键盘触发：包括击键次数触发、组合键触发和热启动触发等。
备注：162
四、计算机病毒的工作方式
（3）感染触发：病毒的感染需要某些条件触发，而病毒又以感染有关的信息作为破坏行为的触发条件。包括运行感染文件个数触发、感染序数触发、感染磁盘数触发和感染失败触发等。
（4）启动触发：对主机的启动次数计数，将此作为触发条件。
备注：163
四、计算机病毒的工作方式
（5）访问磁盘次数触发：对磁盘I/O访问的次数进行计数，以预定次数作为触发条件。
（6）调用中断功能触发：以中断调用次数达到预定次数作为触发条件。
（7）CPU型号/主板型号触发：以预定的CPU型号/主板型号为触发条件。
备注：164
四、计算机病毒的工作方式
3、计算机病毒感染的表现
计算机运行迟钝、程序载入时间长、存储空间不足、CUP占用率高等
备注：165
5.2  计算机病毒的防治技术
备注：166
一、计算机病毒的防治技术 
          计算机病毒防治：通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。主要分为：
备注：167
一、计算机病毒的防治技术
1、病毒防范技术：防止病毒对系统进行传染和破坏的技术手段。
措施：识别文件类型和后缀，不打开不明文件；安装防毒软件并保持更新；对移动存储介质打开前先杀毒；不从不可靠的渠道下载软件；尽量使用防火墙。
备注：168
一、计算机病毒的防治技术
2、病毒检测技术：通过一定的技术手段判断出计算机病毒的技术。
（1）特征代码法
（2）校验和法
（3）行为检测法
（4）软件模拟法
（5）实时I/O扫描
（6）网络检测法
备注：169
一、计算机病毒的防治技术
3、病毒清除技术：在检测发现特定的计算机病毒的基础上，根据具体病毒的消除方法，从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息的技术。
方法：手工清除、利用杀毒软件自动清除、低级格式化
4、病毒免疫技术：免疫技术基于对新病毒的检测能力，需要不断的更新进而阻止新病毒的传播。
备注：170
二、主机病毒的防治方法
1、安装防杀病毒软件
2、应用安全更新
3、系统漏洞测试
4、启用基于主机的防火墙
5、合理设置权限
6、限制可疑的应用程序
7、重要数据定期备份
备注：171
三、网络病毒的防治
1、网络病毒
特点：传播方式复杂、传播速度快、传播范围广、清除难度大、破坏危害大、病毒变种多及病毒功能多样化等。
（1）蠕虫病毒：通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒不需要“宿主”，只在内存中维持一个活动副本，不需要在硬盘中写入病毒程序。
备注：172
三、网络病毒的防治
（2）木马病毒：在正常程序中存放秘密指令，在执行程序时，寻找发现系统漏洞，窃取重要信息。木马病毒对计算机进行跟踪监视、控制、查看及修改等操作，具有很强的隐蔽性、突发性和攻击性。
传播方式：通过E-mail传播；通过软件下载；通过通信软件发送文件传播等。
备注：173
三、网络病毒的防治
2、防治方法
（1）建立严格的规章制度和操作规范
（2）防火墙与防毒软件结合
（3）正确选择网络防杀病毒软件产品
（4）建立多层次防御：病毒检测、数据保护和实时监控
备注：174
5.3  常见杀毒软件简介
备注：175
一、国内典型杀毒软件
1、瑞星杀毒软件
         瑞星杀毒软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其“整体防御系统”可将所有互联网威胁拦截在用户电脑以外。深度应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”等技术保证将病毒彻底拦截和查杀。再结合“云安全”系统的自动分析处理病毒流程，能第一时间极速将未知病毒的解决方案实时提供给用户。
备注：176
一、国内典型杀毒软件
A、查杀病毒
后台查杀、断点续杀、异步杀毒处理、空闲时段查杀、嵌入式查杀、开机查杀。
B、智能启发式检测技术+云安全
根据文件特性进行病毒的扫描，最大范围发现可能存在的未知病毒并极大程度避免误报给用户带来的烦恼。
C、瑞星的智能主动防御技术
系统加固、木马入侵拦截、木马行为防御
备注：177
一、国内典型杀毒软件
D、瑞星实时监控
文件监控：提供高效的实时文件监控系统。
邮件监控：提供支持多种邮件客户端的邮件病毒防护体系。
E、安全检测
电脑体检：针对用户系统进行有效评估，帮助用户发现安全隐患。
备注：178
一、国内典型杀毒软件
F、软件安全
密码保护：防止用户的安全配置被恶意修改。
自我保护：防止病毒对瑞星杀毒软件进行破坏。
G、工作模式
家庭模式：适用于用户在游戏、视频播放、上网等情况，为用户自动处理安全问题。
专业模式：用户拥有对安全事件的处理权。
H、“云安全”（Cloud Security）计划
与全球瑞星用户组成立体监测防御体系，最快速度发现安全威胁，解决安全问题，共享安全成果。
备注：179
一、国内典型杀毒软件
2、江民杀毒软件
3、金山毒霸
    
备注：180
二、国外典型杀毒软件
1、卡巴斯基
三项技术共同协作提供全天候保护：1）平均每小时自动更新反病毒数据库，2）在独立的、安全的区域启动程序，3）监控并分析系统进程以防止恶意行为。 
个人防火墙：含有默认设置的新一代防火墙能够自动监控常用程序的行为，防止任何未经授权将私密数据传送给第三方的企图。使用隐身模式，您可以进行网上冲浪却不被潜在的攻击者发现井作为攻击目标。 
备注：181
二、国外典型杀毒软件
隐私控制：许多恶意程序的目的是从Windows的保护存储区获取用户账户和密码，包括在线银行、网上拍卖、支付系统、在线游戏等。卡巴斯基互联网安全套装监控并阻止所有试图从该存储区收集或转发用户个人资料的行为。 
应急磁盘：使用卡巴斯基互联网安全套装自带的向导可快速简单的创建应急磁盘。如果计算机受到病毒攻击，可以使用它来修复已受损的操作系统。 
备注：182
二、国外典型杀毒软件
家长控制：家长可以通过创建黑名单来防止其子女误入不良网站。创建黑名单可依据具体网址，或者指明禁止内容的类别，名单可根据用户类型而定义。另外，家长还能通过限制儿童在线时间来防止儿童过度上网。 
反垃圾邮件：使用多种过滤模式使邮箱免受垃圾邮件的烦恼。
备注：183
二、国外典型杀毒软件
2、诺顿
3、NOD32
4、McAfee

备注：184
第6章  密码技术应用
备注：185
6.1  密码学概述
备注：186
一、密码学中基本概念 
1、明文：未被加密的原始信息。
2、密文：加密后的信息。
3、加密：用某种方法伪装信息以隐藏它的内容的过程。
4、解密：把密文转变为明文的过程。
5、密钥：参与加密和解密的关键数据。
备注：187
一、密码学中基本概念
6、密码员：对明文进行加密操作的人员。
7、密码算法：用于加密和解密的数学函数。
8、加密算法：密码员对明文进行加密操作时所采用的一组规则。
9、接收者：传送消息的预定对象。
10、解密算法：接收者对密文解密所采用的一组规则。
备注：188
二、密码技术理论基础
明文经过加密密钥生成的加密算法的加工生成密文，密文经过解密密钥生成的解密算法的加工还原成明文。 
备注：189
6.2  数据加密技术
备注：190
一、古典密码体制
1、代替密码：就是明文中的每个字符用另一个字符替换而形成密文。接收者对密文做反向替换就可以恢复明文。
        E（m）=（m+k）mod n
2、置换密码：又称换位密码，就是明文字母保持相同，但字符在明文中的顺序打乱，实现明文信息的加密。
备注：191
二、对称密码体制
1、概念：也称共享密钥，对称密码算法是指加密密钥为同一密钥或虽然不相同，但是由其中任意一个可以很容易推导出另一个的密码算法。
2、对称密码技术原理
通过同一密钥，得出对称的加密和解密算法，进行加密和解密操作。 
备注：192
二、对称密码体制
3、DES加密算法
（1）入口参数：
Key占8个字节，有效密钥长度为56位，8位用于奇偶校验；
Data占8个字节，内容为要被加密或解密的数据；
Mode为DES的工作方式，加密或解密。 
备注：193
二、对称密码体制
（2）工作原理：
将明文的64位数据块按位重新组合，进行前后置换操作，后经过迭代运算生成新的64位数据块，进行与初始置换相反的逆置换，最终得到密文输出。

备注：194
二、对称密码体制
4、对称密码的优缺点
优点：安全性较高，加密解密速度快
缺点：
（1）密钥必须秘密的分配
（2）缺乏自动检测密钥泄露的能力
（3）随着用户数的增加，密钥总数不断增加
（4）无法解决消息确认问题
备注：195
三、非对称密码体制 
 1、基本概念
    非对称密钥加密，也称为公开密钥加密，使用两个不同的密钥，一个用来加密信息，称为加密密钥；另一个用来解密信息，称为解密密钥。其中一个密钥可以是公开的，即公开密钥；另一个密钥要绝对保密，即私有密钥。 
备注：196
三、非对称密码体制
2、非对称密码技术原理
非对称密码技术的原理基于陷门单向函数的概念，即加上了一些额外信息后易于计算并易于求逆的数学函数。
目前三类安全有效的系统：
（1）大整数因子分解系统
（2）离散对数系统
（3）椭圆曲线离散对数系统
备注：197
三、非对称密码体制
3、发方公钥加密和发方私钥加密
发方公钥加密、收方私钥解密可实现多个用户加密信息，由一个用户解读。
发方私钥加密、收方公钥解密可实现一个用户加密信息，由多个用户解读。
4、非对称密码算法的特点
（1）用不同的密钥对信息进行加密和解密
（2）加密密钥不能用来解密
（3）在计算机上可以容易地产生成对的加密密钥和解密密钥
（4）从已知的加密密钥上不能推导出解密密钥
（5）加密和解密的运算可以对调
备注：198
三、非对称密码体制
5、RSA算法
选取两个长度相同的大素数p、q，两数乘积为n，n的欧拉函数为(p-1)(q-1)，取e满足max(p,q)利用私钥加密信息摘要得到数字签名—>将原文和数字签名一起发送给接收方
2、接收方验证过程
将消息中的原文和数字签名分离—>使用公钥解密数字签名得到摘要—>使用相同的哈希函数计算原文的信息摘要—>比较解密后获得的摘要和重新计算生成的摘要是否相等。
备注：221
三、数字签名算法 
1、DSA签名算法
一）代码:
p：一个素模数，其值满足: 2^(L-1) < p < 2^L，其中L是64的倍数，且满足 512 ≤ L ≤ 1024 。
q：(p-1) 的素因子，其值满足 2^159 < q < 2^160 。
g：g = powm(h, (p-1)/q, p) 。h为满足1< h < p - 1 的任意整数，从而有 powm(h, (p-1)/q, p) > 1 。
x：私钥。 x为一个随机或伪随机生成的整数，其值满足 0 < x < q 。
y：公钥。 y = powm(g, x, p) 。

备注：222
三、数字签名算法
注：1、整数 p, q, g 可以公开，也可仅由一组特定用户共享。2、私钥 x 和 公钥 y 称为一个密钥对 (x,y) ， 私钥只能由签名者本人独自持有，公钥则可以公开发布。密钥对可以在一段时间内持续使用。3、符号约定： powm(x,y,z)表示 (x^y) mod z, 即 (x的y次方) 模 z 。"mod"为求模运算符; "^" 为幂运算符; 下文的"*"为乘法运算符。
备注：223
三、数字签名算法
二）、签名产生过程如下：代码:
1、产生一个随机数k，其值满足0< k < q 。2、计算 r := powm(g, k, p) mod q ，其值满足 r >0 。3、计算 s := ( k^(-1) ( SHA(M) + x*r) ) mod q ，其值满足 s >0 。

备注：224
注：1、k^(-1) 表示整数k关于某个模数的逆元，并非指 k 的倒数。k在每次签名时都要重新生成。逆元：满足 (a*b) mod m =1 的a和b互为关于模数 m 的逆元，表示为 a=b^(-1) 或 b=a^(-1) , 如 (2*5) mod 3 = 1 ， 则 2 和 5 互为 模数3 的逆元。 2、SHA(M )：M的Hash值，M为待签署的明文或明文的Hash值。SHA是Oneway-Hash函数，DSS中选用SHA1( FIPS180: Secure Hash Algorithm )，此时SHA(M) 为160bits长的数字串（16进制），可以参与数学计算（事实上SHA1函数生成的是字符串，因此必须把它转化为数字串）。3、最终的签名就是整数对( r , s )， 它们和 M 一起发送到验证方。4、尽管 r 和 s 为 0 的概率相当小，但只要有任何一个为0, 必须重新生成 k ，并重新计算 r 和 s 。
备注：225
三、数字签名算法
三）、验证签名过程用 ( r', s', M' ) 来表示验证方通过某种途径获得的签名结果，之所以这样表示是因为你不能保证你这个签名结果一定是发送方生成的真签名，相反有可能被人窜改过，甚至掉了包。为了描述简便，下面仍用 (r ,s ,M) 代替 (r', s', M') 。为了验证( r, s, M )的签名是否确由发送方所签，验证方需要有 (g, p, q, y) ，验证过程如下： 代码:
1、计算 w := s^(-1) mod q2、计算 u1 := ( SHA( M ) * w ) mod q3、计算 u2 := ( r * w ) mod q4、计算 v := (( (g^u1) * (y^u2) ) mod p ) mod q=( (g^u1 mod p)*(y^u2 mod p) mod p ) mod q=( powm(g, u1, p) * powm(y, u2, p) mod p ) mod q5、若 v 等于 r，则通过验证，否则验证失败。
备注：226
注：1、验证通过说明： 签名( r, s )有效，即(r , s , M )确为发送方的真实签名结果，真实性可以高度信任， M 未被窜改，为有效信息。 2、验证失败说明：签名( r , s )无效，即(r, s , M) 不可靠，或者M被窜改过，或者签名是伪造的，或者M的签名有误，M 为无效信息。 
备注：227
三、数字签名算法
2、RSA算法
签名过程：
Sig(m)=(h(m))e mod n
验证过程：
Ver（m,y）=1即 h(m)=yd mod n
(e,n)公钥，(d,n)私钥
要求：p,q足够大，n至少为1024，2048
备注：228
7.3  数字证书
备注：229
一、数字证书的定义 
1、证书的概念
证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，是持有者在网络上证明自己省份的凭证。
2、证书的作用
可向接收者证实持有证书者对公开密钥的拥有权限，也起到公钥分发的作用。
3、证书存放方式
1）使用IC卡存放
2）直接存放在磁盘或自己的终端上
备注：230
二、数字证书的类型
1、按用途分类
（1）签名证书：对用户信息进行签名，保证信息的不可否认性。
（2）加密证书：对用户传送信息进行加密，保证其完整性和真实性。
2、按使用对象分类
个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书、表单签名证书等
备注：231
二、数字证书的类型
3、按数字证书遵循的标准和格式分类
X.509公钥证书、简单PKI证书、PGP证书和属性证书等
常用数字证书：
（1）SPKI：授权证书，主要用于传递许可权
（2）PGP：对电子邮件和文件进行加密和数字签名，规范了传递信息、文件和PGP密钥时的报文格式。
（3）SET：规定了在分布式网络上进行信用卡支付交易所需的标准。
（4）属性证书：用来传递一个给定主题的属性，以便于灵活、可扩展的特权管理。
备注：232
二、数字证书的类型
4、按证书的安全级别将证书分类
（1）一级证书：级别最高，由认证机构受理审核和发放，应用于系统内部的服务器和操作员证书
（2）二级证书：由业务受理点受理并审核，认证机构二次审核后发放。
（3）三级证书：通过业务受理点或网络进行证书申请，由业务受理点审核后发放。
（4）四级证书：可直接通过网络向认证机构的证书签发服务器申请。
备注：233
三、数字证书的结构 
1、申请者信息
证书拥有者的可识别名、证书拥有者的公开密钥和算法识别符、证书拥有者的唯一识别符。
2、证书信息
证书的版本号、序列号、有效期限、扩展信息
3、证书颁发者的信息
颁发者的表示信息、颁发者的唯一标识符、签名算法及相关参数
备注：234
7.4  认证中心CA
备注：235
一、认证中心的作用 
为客户提供签发公钥证书、认证证书、发配证书和管理证书的服务，为生命周期内的密钥提供管理服务。将客户的公钥与客户的名称及其他属性关联起来，并制定政策和具体步骤验证、识别用户身份，对用户证书进行签名，对客户之间的电子身份进行认证。
解决了公钥系统中的合法性问题，为网上交易各方的信息安全提供有效、可靠的保护机制。
备注：236
二、认证中心的结构
1、RA系统：证书发放的审核部门，负责对证书申请者进行资格审查。
2、RS：接收用户的证书申请请求，将之转发给CP和RA。
3、CP：负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误造成的一切后果。
4、CRL：证书作废表，记录尚未过期但已声明作废的用户证书序列号。 
备注：237
三、认证中心的功能 
1、能够验证并标识证书申请者的身份
2、能接受并处理终端用户数字证书的更新请求
3、能使用户方便地查找各种证书及已撤销的证书
4、能根据用户请求或其他相关信息撤销用户证书
5、能根据证书的有效期自动地撤销证书
6、能对证书序列号、CA标识等证书信息进行管理
7、能完成证书数据库的备份工作
备注：238
第8章  VPN技术应用 
备注：239
8.1  VPN的基本原理 
备注：240
一、VPN简介 
VPN为虚拟专用网，即临时占用公用网的一部分供使用者专用，是利用公网或专网来构建的虚拟专用网。通过特殊设计的硬件和软件直接通过共享的IP网建立的隧道来完成。
备注：241
二、VPN安全技术
1、基于公钥基础设施PKI的用户授权体系：PKI和数字证书技术
2、身份验证和数据加密：身份验证通过后分发对称会话密钥
3、数据完整性保护：数字签名技术
4、访问权限控制：采用细粒度访问权限列表
备注：242
三、VPN的优势
1、节约成本
2、增强安全性
3、支持众多网络协议
4、易扩展性
5、企业网络信息的隐藏：通过VPN隧道和加密技术可隐藏IP地址等信息。
备注：243
四、VPN的应用领域
1、Access VPN：又称拨号VPN，指企业员工或企业的小分支机构通过公共网络拨号构筑的虚拟网络。
2、Intranet VPN：总部与分支机构通过VPN机进行网络连接，因为通过公用因特网或第三方专用网络进行连接，连接简单，速度快，能够为分支机构提供整个网络的访问权。
备注：244
四、VPN的应用领域
3、Extranet VPN：使不同企业网通过公网来构筑的虚拟网，对网外用户只被许可一次机会连接进入网络，并且只有部分网络资源的访问权。

备注：245
8.2  实现VPN的隧道协议 
备注：246
一、隧道技术
隧道技术是VPN技术的核心，利用隧道协议对隧道两端的数据进行封装的技术。类型有两种：
1、自愿隧道（主动隧道）：由客户端计算机通过发送VPN请求来创建，通信双方的计算机作为隧道的端点。
2、强制隧道：由支持VPN的拨号接入服务器来创建和配置，并将该服务器作为隧道的客户端。
备注：247
二、隧道协议分类
1、二层隧道协议：将各种网络协议封装到点对点协议中，再将数据包装入隧道协议中，这样双层封装形成的数据包靠第二层协议进行传输，主要协议有PPTP、L2F、L2TP等
2、三层隧道协议：将各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。
备注：248
三、PPTP协议 
1、PPP协议概述
PPP是点对点通信协议，在拨号网络中广泛应用，支持远程访问。
通过以下步骤完成工作：
（1）在远程计算机和服务器之间建立帧传输规则，允许进行连续的通信。
备注：249
三、PPTP协议 
（2）远程访问服务器通过PPP协议中的身份验证协议验证远程用户的身份。
（3）第二步完成后，若用户启用了回拨，则远程访问服务器将挂断并呼叫远程访问客户机。
（4）网络控制协议启用并配置远程客户机，客户机所用的LAN协议与服务器端进行PPP通信连接。
备注：250
三、PPTP协议 
2、PPTP协议概述
PPTP协议是点对点隧道协议，是第一个广泛使用建立VPN的协议，在PPP协议基础上加强了认证、压缩和加密功能。
备注：251
三、PPTP协议
3、PPTP VPN提供的主要服务
封装：使用一般路由封装头文件和IP报头数据包装PPP帧。IP包头文件用来标识与VPN客户机和VPN服务器对应的源和目标IP地址等路由信息头。
加密：通过使用从PPP协议的身份验证过程中生成的密钥，PPP帧以MPPE方式进行加密。PPTP协议本身不提供加密服务，只是对加密了的PPP帧进行封装。
备注：252
三、PPTP协议
4、PPTP VPN建立过程
PPTP作为“主动”隧道模型允许中断系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。其过程为：
（1）用户通过串口以拨号IP访问的方式与网络附加存储NAS建立连接，取得网络服务；
备注：253
三、PPTP协议
（2）用户通过路由信息定位PPTP接入服务器
（3）用户形成一个PPTP虚拟接口
（4）用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道
（5）用户通过该隧道获得VPN服务。
备注：254
四、L2TP协议
1、L2TP协议概述
L2TP为连接性隧道封装协议，是PPTP和L2F的优秀部分组成的工业标准，主要应用于Internet接纳远程用户远程访问型VPN。
L2TP可以接纳移动用户，但是每次连接都要进行用户认证；因为L2TP协议对PPP协议封装，所以也支持多种协议。
备注：255
四、L2TP协议
2、L2TP VPN提供的主要服务
先使用L2TP封装第二层数据，然后使用IPSec的ESP协议进行最后加密和提供完整性保护。
3、L2TP VPN建立过程
（1）用户通过Modem与NAS建立连接
（2）用户通过NAS的L2TP接入服务器身份认证
备注：256
四、L2TP协议
（3）在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态建立起一条L2TP隧道
（4）用户与L2TP接入服务器之间建立一条颠倒点的协议访问服务隧道
（5）用户通过隧道获得VPN服务
备注：257
五、GRE协议 
GRE主要用于源路由和终路由之间形成的隧道。即将通过隧道的报文用GRE报文头进行封装，然后带着隧道终点地址放入隧道中，当报文到达隧道终点时，GRE报文头剥除，继续原始报文的目标地址进行寻址。
备注：258
六、IPSec协议
1、IPSec协议概述
IPSec能在IP层上对所有的流量进行加密、认证处理，提供了在局域网或广域网中安全通信的性能，在此安全通道的建立、密钥算法及密钥等的协商和处理都是IPSec自动完成的。
备注：259
六、IPSec协议
2、IPSec协议体系
由认证头AH、封装安全载荷ESP、密钥管理认证IKE、加密算法等协议构成。
3、安全关联和安全策略
安全关联：它是IPSec的基础，决定通信中采用IPSec安全协议、散列函数、加密算法和密钥等安全参数。通常以（安全参数索引，目的IP地址，安全协议）这样的三元组来表示。
安全策略：指对数据包的具体处理——丢弃、旁路或应用安全保护。
备注：260
六、IPSec协议
4、认证头AH协议 
AH协议用以提供IP信报的完整性和认证，协议格式包括下一报文头、净荷长度、保留字段、安全参数索引、序列号、认证数据。
模式：
传输模式下，AH头被插入到IP头部的后面
隧道模式下，要保护的IP报文被封装在新的IP报文中，作为新报文的负载。
备注：261
六、IPSec协议
5、安全封装载荷ESP协议
ESP报文包含ESP尾部和认证数据，负载被封装在头尾之间，包含安全参数索引、序列号、净荷数据、填充字段、填充长度、下一报文头、认证数据。
6、密钥交换IKE
IKE是混合协议，功能有自身的验证加密材料生成技术和协商共享策略。建立动态安全关联机制SA。
备注：262
8.3  MLPS VPN技术
备注：263
一、MPLS技术原理
1、原理
给每个IP数据包增加一个标记，以此决定数据包的路径及优先级。发送路由器转发数据包时仅读取标记，通过虚拟电路将数据包传送给终点路由器。MPLS可减少对数据包传送的延迟。
备注：264
一、MPLS技术原理
2、MPLS头格式与协议结构
（1）MPLS头部：标记、扩展、栈底标识、生存期TTL
（2）MPLS协议结构：相关信令协议、标签分发协议LDP、基于路由受限标签分发协议CR-LDP、基于流量工程扩展的资源预留协议RSVP-TE
3、MPLS网络组成
标记边缘路由器LER、标记交换路由器LSR
备注：265
二、MPLS VPN
1、MPLS VPN依靠转发表和数据包的标记来创建VPN。
2、工作原理
备注：266
第9章  Web安全和电子商务 
备注：267
9.1  Web安全概述
备注：268
一、Web面临的安全威胁 
1、Web存在的不安全因素
（1）由于在各方面的广泛应用，一旦遭到破坏则会造成重大损失。
（2）虽然操作界面简单，但由于底层软件的复杂造成潜在的安全缺陷。
（3）Web服务器作为外界和机构内部通信的跳板，一旦服务器受到破坏，则攻击者能够获得非法权限。
（4）大多使用者对Web安全方面缺乏概念以及有效防范的工具。 
备注：269
一、Web面临的安全威胁 
2、Web面临的主要安全威胁
（1）破坏信息的完整性：篡改用户数据、特洛伊木马攻击、修改内存信息等
（2）破坏隐私和保密：窃取服务器信息、客户机信息、网络配置信息、网络窃听等
（3）拒绝服务攻击：耗尽服务器资源
（4）伪装：身份伪装、数据伪装
备注：270
二、Web安全体系结构
客户端软件的安全、运行浏览器的计算机设备及其操作系统的安全、客户端的局域网安全、网络传输的安全、服务器端的局域网安全、服务器端的计算机设备及操作系统的安全、服务器上的Web服务器的安全
备注：271
9.2安全电子交易SET协议
备注：272
一、SET概述
1、概念
SET是用来保护在Internet上付款交易的开放性规范，包含双方身份确认、个人和金融信息隐秘性以及传输数据完整性的保护。
备注：273
一、SET概述
2、特点
（1）信息的机密性：对账户和支付信息进行加密，保证该信息只提供给发卡银行。
（2）数据的完整性：保证个人与商家之间的信息在传输过程中不会被篡改。
备注：274
一、SET概述
（3）持卡者账户认证：通过验证数字证书让商家检验持卡者是否为有效卡账号的合法用户。
（4）商家认证：能够使持卡者验证商家与金融机构之间是否存在允许商家接受支付卡的业务联系。
3、SET参与者
持卡人、商家、发卡银行、代理商、支付网关、认证机构
备注：275
一、SET概述
4、SET交易类型
（1）SET支持的交易类型的种类
持卡者注册、商家注册、购买请求、支付授权、支付入账、支付入账、证书查询、购买查询、授权撤销、入账撤销、支付网关证书请求
（2）安全电子交易过程
持卡者列出订单——持卡者对贸易商的认证——发送订单和支付信息——商家请求支付授权——商家确认订单——商家提供商品和服务——商家请求支付
备注：276
二、双重签名DS
1、持卡者处双重签名的生成
将两个信息分别计算散列值，然后将两个散列值进行串接后再进行一次计算散列值操作，最后用签名私钥对最后生成的散列值进行加密
2、验证签名的过程
将已有的信息进行散列值运算，并使用公钥对持卡者发送过来的信息中的双重签名进行解密操作，然后核对两者是否相等，完成签名的验证。
备注：277
三、交易过程
1、购买请求
由4部分构成：
（1）初始请求：持卡者向商家和支付网关提供的证书，用以证明自己的真实身份和使用的信用卡信息等。
（2）初始响应：商家向持卡者发送证书和一些交易信息。
备注：278
三、交易过程
（3）购买请求：持卡者对商家和支付网关的证书验证通过之后，发送给商家的请求，由持卡者生成一个一次性对称加密密钥保护。该请求信息包括：
支付相关信息：支付信息PI、双重签名DS、订单信息的消息摘要OIMD、数字信封
订单相关信息：订单信息OI、双重签名DS、支付信息的消息摘要PIMD
持卡者证书：持卡者的相关信息和签名公钥
备注：279
三、交易过程
（4）购买响应：商家验证持卡者证书、双重签名、处理订单及向支付网关请求授权之后，返回给持卡人的消息。
备注：280
三、交易过程
2、支付授权
支付授权是商家在处理持卡者的订单过程中对支付网关进行授权。保证了交易被发卡银行所许可、商家可以得到支付的货款。包括：
（1）商家发送授权请求消息给支付网关：购买和授权相关信息
备注：281
三、交易过程
（2）支付网关完成的操作：验证证书、解密授权块中的数字证书、验证商家签名、解密支付块中的数字签名、验证双重签名、验证交易ID和支付信息PI是否匹配、请求并从发卡机构获得授权
（3）获得授权后，支付网关返回授权响应消息给商家：授权相关信息、入账通知信息、支付网关的签名密钥证书。
备注：282
三、交易过程
3、支付入账
入账请求：商家向支付网关请求获得交易货款。
入账响应：支付网关通过对请求消息的解密和验证，对入账请求和入账通知一致性检查，通过后将货款转入商家账户。
备注：283
9.3  安全套接字层协议SSL 
备注：284
一、SSL概述
1、SSL概念
SSL协议是用以确认浏览器和Web服务器之间能够安全沟通的协议，该协议在应用层前已完成加密算法、通信密钥的协商、服务器认证工作，确保通信的安全性。
备注：285
一、SSL概述
2、SSL功能
（1）客户对服务器的身份认证
（2）服务器对客户的身份认证
（3）建立服务器与客户之间的安全数据通道
备注：286
一、SSL概述
3、SSL结构
SSL分为两层协议
（1）遵循TCP/IP协议
（2）SSL记录协议：对高层协议（握手协议、报警协议、密钥更新规格协议）提供安全服务
备注：287
二、SSL记录协议
1、SSL记录协议提供的服务
（1）机密性：握手协议定义一个可以用于SSL负载的传统加密共享密钥
（2）消息完整性：握手协议定义一个用户产生消息认证码的共享密钥
备注：288
二、SSL记录协议
2、SSL记录协议操作流程
发送数据前：对数据段进行分块—>进行压缩—>添加认证码—>加密—>添加SSL记录头-—>送出数据
接收到数据后：解密—>验证数据完整性—>解压缩—>数据重组
3、SSL记录头组成
内容类型、主版本、副版本、压缩后长度
备注：289
三、SSL密钥变更规格协议 
用值为1的字节组成的消息表示相关的密钥是否变更
备注：290
四、SSL报警协议
SSL报警的消息由1个字节的“严重程度”信息（分为警告和致命两种程度）和1个字节的“警报编号”信息组成。
1、致命警告消息
非预期消息、不良记录校验、解压缩失败、握手失败
2、其他警告消息
关闭通告、没有证书、证书不可用、不支持的证书、证书作废、证书过期、未知证书
备注：291
五、SSL握手协议
1、握手协议用来服务器和客户端之间的相互认证，并在数据传输前两者间确定好认证码、加密密钥等。
2、握手协议的每条消息包括三个域：消息类型、长度、内容
备注：292
五、SSL握手协议
3、建立连接的四个阶段
（1）客户端发起建立连接请求
客户端发送启动连接请求给服务器，包括：版本、随机数、会话ID、密码构件、压缩算法
服务器发送请求响应信息给客户端，包括：版本、随机数、会话ID、密码构件、压缩算法
备注：293
五、SSL握手协议
（2）服务器认证和密钥交换
服务器发送证书、密钥交换数据和证书请求给客户端，最后发送服务器结束消息表示信息发送完毕，等待客户端的响应。
（3）客户端认证和密钥交换
验证服务器证书，并根据服务器发送过来的数据进行判定是否可接收，并给出回应信息，并分发密钥。
备注：294
五、SSL握手协议
（4）完成
连接建立，客户端发送密码变更规格消息更新当前密码规则，并发送结束消息用以验证密钥交换和认证过程是否成功，而服务器也发送自己的密码变更规格消息和结束消息，握手结束。
备注：295
第10章  防火墙技术应用 
备注：296
10.1  防火墙简介
备注：297
一、防火墙概念
防火墙是设立在不同网络或网络安全与之间、根据安全策略控制进出网络的信息流的设备，是提供信息安全服务，实现网络和信息安全的基础设施。
备注：298
二、防火墙的功能及特点
1、功能
（1）所有进出网络的通信数据必须通过防火墙
（2）所有想通过防火墙的数据都必须经过安全策略及计划的确认和授权才允许通过
（3）可以方便地监视网络的安全性并报警
（4）将有限的IP地址动态或静态的与内部的IP地址对应，缓解IP地址空间不足的问题
备注：299
二、防火墙的功能及特点
2、防火墙的优点
（1）可以强化网络安全策略
（2）对网络存取和访问进行监控审计
（3）防止内部信息外泄
（4）是安全策略的检查站
备注：300
二、防火墙的功能及特点
3、防火墙的不足
（1）不能防范恶意的知情者
（2）不能防范不通过防火墙的连接
（3）不能防范全部的威胁
（4）不能防范病毒
备注：301
三、防火墙的发展历史
1、基于功能划分：
第一代防火墙：基于包过滤技术
第二代防火墙：电路层防火墙
第三代防火墙：应用层防火墙
第四代防火墙：基于动态包过滤技术
第五代防火墙：基于自适应代理技术
备注：302
三、防火墙的发展历史
2、基于实现方法划分：
第一代防火墙：建立在路由器上
第二代防火墙：具有过滤、审计、报警功能的模块化软件包
第三代防火墙：建立在通用操作系统上
第四代防火墙：具有安全操作系统的防火墙
备注：303
10.2  防火墙的工作原理
备注：304
一、双宿主主机防火墙
堡垒主机：是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。
备注：305
一、双宿主主机防火墙
在堡垒机上装两块网卡，分别与内网和外网相连，这样的双宿主主机成为内网和外网信息交流的一个阻塞点，在此机上不能转发任何网络数据流，通过运行代理程序控制数据包。用主机来取代路由器，起到过滤数据包的作用。 
备注：306
二、屏蔽主机防火墙
屏蔽主机防火墙由屏蔽路由器和堡垒主机防火墙组成。屏蔽路由器通过配置ACL（访问控制列表，是路由器和交换机接口的指令列表，用来控制端口进出的数据包）实现一部分防火墙功能。
备注：307
三、屏蔽子网防火墙
屏蔽子网防火墙由两个屏蔽路由器和一个堡垒主机防火墙组成。
备注：308
四、防火墙体系结构组成形式
1、使用多堡垒主机
2、合并内部路由器与外部路由器
3、合并堡垒主机与外部路由器
4、合并堡垒主机与内部路由器
5、使用多台内部路由器
6、使用多台外部路由器
7、使用多个周边网络
8、使用双重宿主主机与屏蔽子网
备注：309
10.4  防火墙部署的基本方法和步骤
备注：310
一、防火墙的基本配置原则
1、防火墙的默认配置策略
拒绝所有流量或允许所有流量、
2、防火墙配置的基本原则
（1）简单实用：设计简单的防火墙环境，并针对实际使用的环境进行最实用的配置
备注：311
一、防火墙的基本配置原则
（2）全面深入：采用多种防火墙相结合、多种安全措施相结合的方式建立多层安全体系。
（3）内外兼顾：通过多种手段加强内部威胁的检测和弥补。
备注：312
第11章  计算机网络攻击应急响应 
备注：313
11.1  计算机网络应急响应概述 
备注：314
一、应急响应的定义
应急响应：通常指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生事或者发生后所采取的措施。
计算机网络应急响应：对象是计算机或网络所存储、传输和处理的信息的安全事件，意外事件的起因可能来自自然界、系统自身故障、组织内部或外部人员、计算机病毒或蠕虫等因素。
备注：315
二、应急响应机构的主要服务
1、提供应急响应服务
2、提供安全咨询服务
3、提供系统评估或风险评估服务
4、提供入侵检测服务
5、发布安全公告
备注：316
二、应急响应机构的主要服务
6、发布漏洞信息
7、提供补丁下载
8、教育与培训
9、追踪与恢复
10、组织各种形式的学术交流活动
备注：317
11.2  网络安全应急响应模型
备注：318
一、PDRR网络安全应急响应模型
PDRR网络安全模型由防护（P）—检测（D）—响应（R）—恢复（R）这四个环节组成一个信息安全周期。系统通过访问控制、数据加密等手段加强防护环节，一旦攻击者通过了防御系统，检测环节就是要检测入侵者的身份等信息，检测出入侵后，响应系统进行响应处理入侵事件和其他业务。最后恢复系统是保证入侵事件发生后把系统恢复到原来状态。
备注：319
二、MPDRR网络安全应急响应模型
 MPDRR网络安全模型由管理（M）、防护（P）、检测（D）、响应（R）、恢复（R）组成。 
备注：320
三、微软纵深防御安全模型
策略、过程和意识、物理安全、周边网络、内部网络、主机、应用程序、数据
备注：321
11.3  应急响应操作流程
备注：322
一、准备阶段
以预防为主，在事件发生前做好相应的准备工作。
1、制定用于应急响应工作流程的计划以及合理的措施
2、指定预警与报警的方法
3、建立备份的体系和流程
4、建立安全的系统，按照安全政策配置安全设备和软件
5、建立支持事件响应活动的基础设施
6、建立数据汇总分析体系
备注：323
二、事件检测阶段
识别和发现各种安全的紧急事件。在事件发生前，产生安全预警报告，在紧急情况发生时，产生安全警报，并报告给应急响应中心，中心根据警报级别采取相应措施。
备注：324
三、抑制阶段
在经过第二阶段，确认了紧急事件发生的级别后，根据预先制定的规则采取相应的措施，限制攻击的范围，并且限制潜在的损失和破坏。措施有：
（1）初步分析，重点确定适当的遏制方法
（2）修改所有防火墙和路由器的过滤规则，拒绝来自可能是发起攻击的主机的数据流量
（3）提高系统或网络行为的监控级别
（4）设置蜜罐并关闭被利用的服务
（5）汇总数据，估计损失和隔离效果
备注：325
四、根除阶段
在紧急事件被抑制后，找出事件根源并彻底根除。
（1）对于病毒，要采用最新的杀毒软件清除所有病毒
（2）对于系统的入侵、非法授权访问等，应查找系统存在的漏洞。
（3）改进安全策略
（4）启动网络与应用层的审计功能
（5）分析事件发生的原因
（6）加强宣传，公布事件的危害性和解决办法
备注：326
五、恢复阶段
把所有受到侵害或破坏的系统、应用、数据库和网络设备等彻底还原到正常状态。
备注：327
六、跟踪阶段
对整个紧急事件以及应急响应过程中的情况进行总结分析。
备注：328
11.5  计算机取证
备注：329
计算机取证工作过程：
1、保护要取证的计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染
2、搜索目标系统中的所有文件
3、尽可能恢复发现的已删除文件
4、访问被保护或加密文件
5、分析在磁盘的特殊区域发现的相关数据
6、打印对目标计算机系统的全面分析结构，给出分析结论
7、给出必须的专家证明
备注：330
第12章  网络安全方案设计 
备注：331
12.1  网络安全方案概述 
备注：332
一、网络安全方案设计的目标
通过实地考察网络系统的环境，对可能遇到的安全风险和威胁做合理的量化和评估，从而实现系统的动态安全，不会因时间的推移和环境的变化而变得不安全。
备注：333
二、网络安全方案设计的原则
1、系统性原则
2、技术先进性原则
3、管理可控性原则
4、适度安全性原则
5、技术和管理相结合原则
6、测评认证原则
7、系统可伸缩性原则
备注：334
12.2  网络安全方案的框架 
备注：335
一、技术解决方案
1、防火墙
2、入侵检测和入侵防御
3、网络防病毒软件控制中心及客户端软件
4、邮件防病毒服务器
5、反垃圾邮件系统
6、动态口令认证系统
7、网络管理软件
8、QoS流量管理
9、页面防篡改系统
备注：336
二、网络安全服务解决方案
1、网络拓扑分析
2、中心机房管理制度制定及修改
3、操作系统补丁升级
4、服务器定期扫描、加固
5、防病毒软件病毒库定期升级
6、防火墙日志备份、分析
备注：337
二、网络安全服务解决方案
7、入侵检测、入侵防御等安全设备日志备份
8、服务器日志备份
9、白客渗透
10、网络硬件设备冗余系统
11、数据备份系统
12、定期总体安全分析报告
备注：338
三、技术支持解决方案
1、故障排除
2、灾难恢复
3、查找攻击源
4、实时检索日志文件
5、即时查杀病毒
6、即时网络监控
备注：339
备注：340

网友评论 more

其他最新内容

04-18