网络安全与管理复习
第一章
十个常用网络密码安全保护技巧:
1、使用复杂的密码
2、使用软键盘
3、使用动态密码(一次性密码)
4、网络钓鱼的防范
5、使用加密防范Sniffer
6、尽量不要保存密码在本地
7、使用USB Key
8、个人密码管理
9、密码分级
10、生物特征识别
防范网络钓鱼网站的方法:首先是要提高警惕,不登录不熟悉的网站,不要打开陌生人的电子邮件,安装杀毒软件并及时升级病毒知识库和操作系统补丁。使用安全的邮件系统,发送重要邮件要加密,将钓鱼邮件归为垃圾邮件。
网络攻击方式分为主动攻击和被动攻击
主动攻击,指攻击者对某个连接的中的数据进行各种处理(更改、删除、迟延、复制、伪造等) 主要有:阻断攻击、篡改攻击、伪造攻击、重放攻击、拒绝服务攻击。可以检测,但难以防范。
被动攻击:主要是收集信息而不是进行访问,包括嗅探、信息收集等攻击方法。
网络安全的主要目标:(1)可用性指信息或者信息系统可合法用户访问,并按其要求运行的特性。(“进步来”、“改不了”、“拿不走”)(2)机密性将对敏感数据的访问权限限制在那些经授权的个人,只有他们才能查看数据。(“进不来”、“看不懂”)(3)完整性指防止数据未经授权或意外改动,包括数据插入、删改和修改等。(“改不了”、“拿不走”)(4)不可抵赖性防止个人否认先前已执行的动作,其目标是确保数据的接受方能够确信发送方的身份。(“跑不掉”)
信息安全的任务:
机密性、完整性、不可否认性、易用性
黑客攻击的防范
(1)“预防为主,防治结合”
(2)及时升级操作系统版本
(3)定期备份重要数据
(4)尽量使用加密机制传输机密信息
(5)防范木马
(6)防网络嗅探
(7)防漏洞攻击
(8)建立有效的管理制度
(9)用户操作系统常见安全设置
第二章
网络监控软件的主要目标:
1、防止并追查重要资料、机密文件等外泄;
2、监督、审查、限制、规范网络使用行为;
3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;
4、备份重要网络资源文件(比如业务邮件);
5、监视QQ/MSN聊天记录内容和行为过程;
6、流量限制以及网站访问统计,用于分析员工使用网络情况;
网络监控软件的分类:
1.监听模式通过抓取总线MAC层数据帧方式而获得监听数据,并利用网络通信协议原理而实现控制的方法。(1)通过共享hub(集线器)(2)通过镜像交换机(3)通过代理/网关服务器
2.网关模式按照管理目标区分为内网监控和外网监控
(1)内网监控的主要目标是管理网内计算机的所有资源和使用过程。比如网内的计算机硬件资源(有什么设备、是否允许使用)、软件资源(安装了什么软件、是否允许使用)、数据资源(有什么重要资料文件、数据、是否合法使用)、行为操作(对工作的评估、使用计算机的合法性、干了一些什么事情),等等。
(2)外网监控的主要目标是监视网内计算机的上网内容和管理上网行为。比如网络监控、邮件监控、上网监控、网页监控、FTPj监控、MSN聊天记录监控、游戏监控、流量监控和限制QQ/MSN等行为监控、自定义监控、TCP/UDP等全系列双向端口监视和控制、BT完全禁止等等。
1.什么是端口镜像?
把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
2.为什么需要端口镜像?
交换机的工作原理与HUB有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部CAM表(通常也称IP-MAC表)进行数据转发,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
注:Sniffer软件的使用、拓扑、主要应用
网路岗软件的使用、拓扑、主要应用参考课件第二章ppt
第三章
计算机安全评价标准(TCSEC)
TCSEC将计算机系统的安全划分为4个等级、7个级别。
D类D类安全等级只包括D1一个级别。
D1的安全等级最低,D1系统只为文件和用户提供安全保护。
C类(C1, C2)该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。B类(B1, B2, B3)B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
A类(A1)A1系统的设计者必须按照一个正式的设计规范来分析系统。系统管理员必须从开发者那里接收到一个安全策略的正式模型,所有的安装操作都必须由系统管理员进行,系统管理员进行的每一步安装操作都必须有正式文档。
安全操作系统的基本特征
1.最小特权原则
应限定网络中每个主题所必需的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小
2.自主访问控制和强制访问控制
自主访问控制是一个接入控制服务,它执行基于系统实体身份和它们到系统资源的接入授权。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。
3.安全审计功能
具体包括两方面的内容:一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,及时响应并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄露。
4.安全域隔离功能
NTFS权限及使用原则:
(1)权限最大原则
当一个用户同时属于多个组,而这些组又有可能被对某种资源赋予了不同的访问权限,则用户对该资源最终有效权限是在这些组中最宽松的权限,即加权限,将所有的权限加在一起即为该用户的权限(“完全控制”权限为所有权限的总和)。
(2)文件权限超越文件夹权限原则
当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限,即文件权限超越文件的上级文件夹的权限,用户访问该文件夹下的文件不受文件夹权限的限制,而只受被赋予的文件权限的限制。
(3)拒绝权限超越其他权限原则
当用户对某个资源有拒绝权限时,该权限覆盖其他任何权限,即在访问该资源的时候只有拒绝权限是有效的。当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。
Windows2003的加密机制
文件加密系统(EFS) 提供一种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储已加密的文件。使用文件加密系统(EFS),用户可以对文件进行加密和解密。以保证文件的安全,防止那些未经许可的入侵者访问存储的敏感资料(例如,通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料)。用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。EFS 用户如果是加密者本人,系统会在用户访问这些文件和文件夹时将其自动解密。但是,不允许入侵者访问任何已加密的文件或文件夹。
Windows2003文件和数据备份
据备份的类型大致分为以下几种:
(1)副本备份,可以复制所有选定的文件,但不将这些文件标记为已经备份(换言之,不清除存档属性)。
(2)每日备份,用于复制执行每日备份的当天修改过的所有选定文件。备份的文件将不会标记为已经备份。
(3)差异备份,用于复制自上次正常或增量备份以来所创建或更改的文件。它不将文件标记为已经备份。
(4)增量备份,仅备份自上次正常或增量备份以来创建或更改的文件。它将文件标记为已经备份。
(5)正常备份,用于复制所有选定的文件,并且在备份后标记每个文件。
第四章
密码体制
密码体制目前分为单钥(对称密钥)密码和双钥密码(公共钥匙)体制
(一)单钥密码体制
也称为对称密码体制,其加密密钥和解密密钥相同,或者在实质上等同,即从一个很容易得出另一个。(DES 、IDEA)
特点:加密密钥和解密密钥相同。
(二)双密钥体制
也称非对称密码体制,其加密密钥与解密密钥不相同,从一个很难得出另一个。(RSA)特点:加密和解密能力分开,可实现多个用户加密的信息只能由一个用户解读(多对一),或者一个用户加密的信息可以由多个用户解读(一对多)。
前者可以用于公共网络中实现保密通信,后者可用于认证系统中对信息进行数字签名。由于该体制大大减少了多用户之间通信所需的密钥数,方便了密钥管理,这种体制特别适合多用户通信网络。
特性:
加密与解密由不同的密钥完成
加密: X Y: Y = EKU(X)
解密: Y X: X = DKR(Y) = DKR(EKU(X))
知道加密算法,从加密密钥得到解密密钥在计算上是不可行的
两个密钥中任何一个都可以用作加密而另一个用作解密(不是必须的)
X = DKR(EKU(X)) = EKU(DKR(X))
PGP软件的主要功能:
(1)使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。
(2)使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。
(3)使用公开密钥加密技术对文件或电子邮件作数字签名,鉴定人可以用起草人的公开密钥鉴别真伪。
PKI
PKI(Public Key Infrustructure)又称为公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
PKI的安全服务功能:
(1)网上身份安全认证
(2) 保证数据完整性
(3)保证网上交易的抗否认性
(4)提供时间戳服务
(5)保证数据的公正性
数字证书的作用及分类
数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(CA机构)的数字签名,可以用来强力验证某个用户或某个系统的身份及其公开密钥。
分类
1)服务器证书
服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。SSL证书主要用于服务器的数据传输链路加密和身份认证,绑定网站域名,不同的产品对于不同价值的数据和要求不同的身份认证。
(2)电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。
(3)客户端个人证书
客户端证书主要被用来进行身份验证和电子签名。安全的客户端证书被存储于专用的usbkey 中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。Hash算法
哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个较小的二进制值称为哈希值,用于检验数据的完整性。
常用的哈希算法有MD5和SHA-1。
CA的功能:
1、证书颁发
2、证书更新
3、证书撤销
4、证书和证书撤销列表(CRL)的公布
5、证书状态的在线查询
6、证书认证
7、制定政策等。
数字签名
数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换,允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。注:工作原理参考课件第四章ppt (p64)
注:凯撒(Caesar)密码参考课件第四章ppt (p5)
第五章
计算机病毒定义、特点、分类
定义:
人为编制干扰计算机正常运行并造成计算机软硬件故障、破坏计算机数据、可自我复制的计算机程序
特点:
1.非授权执行性
并不是管理员赋予的许可
2.隐蔽性
伪装自身
逃避防病毒系统的检查
3.传染性
自身不断繁殖并传染给其他计算机
4.潜伏性
长期隐藏在系统中
特定条件下启动
5.破坏性
破坏数据或删除文件
6.可触发性
被激活的计算机病毒才能破坏计算机系统
分类:
病毒类型特征危害
文件型感染DOS下的COM,EXE
文件随着DOS的消失已逐步消失,危害越来越小
引导型启动DOS系统时,病毒
被触发随着DOS的消失已逐步消失,危害越来越小
宏病毒针对Office的一种病毒,由
Office的宏语言编写只感染Office文档,其中以Word文档为主
VB脚本病毒通过IE浏览器激活用户浏览网页时会感染,清
除较容易
蠕虫有些采用电子邮件附件的方
式发出,有些利用操作系统漏
洞进行攻击破坏文件、造成数据丢失,使系统无法正常运行,是目前危害性最大的病毒
木马通常是病毒携带的一个附属
程序
夺取计算机控制权
黑客程序一个利用系统漏洞进行入侵
的工具通常会被计算机病毒所携带,用以进行破坏
木马与蠕虫的工作原理及区别
木马程序从表面上看是正常程序,可以执行明显的正常功能,但也会执行受害者没有预料到的或不期望的动作。它通常被用作在远程计算机之间建立连接,潜入用户的计算机,通过网络控制计算机。
蠕虫是一个程序,它进入计算机网络,利用空闲的处理器去测定网络中的计算机跨度。蠕虫病毒的典型传播方式是依靠网络的漏洞,利用网络或电子邮件方式由一台计算机传播到另一台计算机,靠将自身向其他计算机提交来实现再生,并不将自身寄生在另一个程序上。
木马的功能
<1>对对方资源进行管理。
<2>远程运行程序。
<3>跟踪监视对方屏幕。
<4>直接屏幕鼠标控制,键盘输入控制。
<5>监视对方任务并终止对方任务。
<6>锁定鼠标、键盘、屏幕。
<7>远程重新启动计算机、关机。
<8>记录、监视按键顺序、系统信息等一切操作。
<9>随意修改注册表。
<10>共享被控制端的硬盘。
病毒、木马、蠕虫比较
类型电脑病毒特洛伊木马电脑蠕虫
感染其它档案会不会不会
被动散播自己是是不是
主动散播自己不是不是是
造成程序增加数目电脑使用率愈高,档
案受感染的数目愈
多不会增加取决于网路连接情
况,连接范围愈广,
散布
的数目愈多
破坏力取决于病毒作者取决于病毒作者无
对企业的影响中低高
PGPdisk的基本功能:能在随时被装配和反装备的加密的卷中安全的存储你的文件,这些卷实际上是文件,叫做PGPdisks,并能进行移动、删除、复制同类的任何文档。
SSL协议
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL提供以下服务:
①认证用户和服务器,确保数据发送到正确的客户机和服务器;
②加密数据以防止数据中途被窃取;
③维护数据的完整性,确保数据在传输过程中不被改变。
IPSec的好处:
在防火墙或路由器中实现时,可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担。
?在防火墙中实现IPSec可以防止IP旁路。
?IPSec是在传输层(TCP,UDP)之下,因此对应用透明。不必改变用户或服务器系统上的软件。
?IPSec可以对最终用户透明。无须训练用户。
?需要时IPSec可以提供个人安全性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个安全的虚拟子网是有用的。
预防“熊猫烧香”病毒的措施
(1)立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全口令是字母数字特殊符号的组合,确保自己记得住,病毒猜不到。
(2)利用组策略,关闭所有驱动器的自动播放功能。
(3)修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
(4)时刻保证操作系统获得最新的安全更新,不要随意访问来源不明的网络,特别是微软的MS06-014漏洞,应立即打好改漏洞补丁。
(5)启用Windows防火墙保护本地计算机。
第六章
防火墙的功能
(1)防火墙是网络安全的屏障
(2)防火墙可以强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
防火墙的基本特性
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(2)只有符合安全策略的数据流才能通过防火墙 (3)防火墙自身应具有非常强的抗攻击免疫力 防火墙的种类
分组过滤/包过滤(Packet filtering ):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
状态检查:状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP 地址,目的IP 地址,源端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息。 应用代理(Application Proxy ):也叫应用网关(Application Gateway ),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 防火墙三种技术路线比较
第八章
VPN 基本功能
(1)保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力。
(2)保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
(3)保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
(4)提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演的功能,保证通道不能被重演。
(5)提供安全防护措施和访问控制,要有抵抗黑客通过VPN 通道攻击企业网络的能力,并且可以对VPN 通道进行访问控制。
技术路线 比较项目 通用CPU ASIC NP
技术成熟度 成熟 成熟 基本成熟 投资成本 低 很高 较高
开发周期
短 很长 较长 处理性能 低 很高 高 灵活性 好
很差
好
总结
● 技术成熟
● 开发难度低 ● 处理性能上不去
● 处理性能很高 ● 开发周期长/投资大 ● 灵活性差 ● 处理性能高 ● 灵活性好 ● 投资较小/周期较短
VPN主要采用四项技术来保证安全,这四项技术分别为
1.隧道技术
2.加解密技术
3.密钥管理技术
4.认证技术
VPN分类
a.内部VPN:指在公司总部和其分支机构之间建立的VPN;
b.远程访问VPN:指在公司总部和远地雇员之间建立的VPN;
c.外联网VPN:指公司与商业伙伴、客户之间建立的VPN。
DMZ网络访问控制策略
1)内网可以访问外网,内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
(2)内网可以访问DMZ,此策略是为了方便内网用户使用和管理DMZ中的服务器。(3)外网不能访问内网,很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
(4)外网可以访问DMZ,DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
(5)DMZ不能访问内网,很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
(6)DMZ不能访问外网,此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。