計(jì)算機(jī)網(wǎng)絡(luò)與系統(tǒng)安全資料整理

安全策略是允許什么、禁止什么的陳述。安全機(jī)制是實(shí)施安全策略的方法、工具或者規(guī)程。機(jī)制與策略獨(dú)立，可允許安全機(jī)制的重用在計(jì)算機(jī)網(wǎng)絡(luò)中，主要的安全防護(hù)措施被稱作安全服務(wù)。網(wǎng)絡(luò)通信中目前主要有五種安全服務(wù)認(rèn)證服務(wù)：提供實(shí)體的身份的保證訪問控制服務(wù)：防止對(duì)資源的非授權(quán)使用機(jī)密性服務(wù)：對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露完整性服務(wù)：保護(hù)數(shù)據(jù)防止未授權(quán)的改變、刪除或替代非否認(rèn)服務(wù)：提供憑證，防止發(fā)送者否認(rèn)或接收者抵賴已接收到相關(guān)的信息非否認(rèn)服務(wù)包括：有數(shù)據(jù)源發(fā)證明的不可否認(rèn)有交付證明的不可否認(rèn)主動(dòng)威脅：對(duì)信息非授權(quán)的泄漏，并改變了系統(tǒng)的狀態(tài)被動(dòng)威脅：對(duì)信息非授權(quán)的泄漏，而沒有改變系統(tǒng)的狀態(tài)安全機(jī)制主要包括：加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制（順序檢測(cè)、序列號(hào)、時(shí)戳、密碼檢驗(yàn)和等）認(rèn)證交換機(jī)制業(yè)務(wù)流量填充機(jī)制（防止業(yè)務(wù)量分析）路由控制機(jī)制公證機(jī)制安全策略都建立在授權(quán)的基礎(chǔ)之上■ 基于身份的安全策略的基礎(chǔ)是用戶的身份和屬性以及被訪問的資源或客體的身份和屬性?！龌谝?guī)則的安全策略的基礎(chǔ)是強(qiáng)加于全體用戶的總安全策略。在一個(gè)安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記。代表用戶進(jìn)行活動(dòng)的進(jìn)程可以得到與其原發(fā)者相應(yīng)的安全標(biāo)記?！龌诮巧陌踩呗詾槊總€(gè)個(gè)體分配角色，按角色分配許可。重放：拷貝認(rèn)證信息然后重放社交工程：比如冒充是處長(zhǎng)或局長(zhǎng)騙取管理員信任得到口令等等。冒充合法用戶發(fā)送郵件或打電話給管理人員，以騙取用戶口令等。垃圾搜索：攻擊者通過搜索被攻擊者的廢棄物，得到與攻擊系統(tǒng)有關(guān)的信息，如用戶將口令寫在紙上又隨便丟棄。CAPTCHA圖形碼、驗(yàn)證碼： 抵抗在線字典攻擊 防止惡意注冊(cè)機(jī)密性安全策略Bell-LaPadula模型不上讀/不下寫保證保密性例：防火墻所實(shí)現(xiàn)的單向訪問機(jī)制內(nèi)部網(wǎng)絡(luò)機(jī)密的，外部網(wǎng)絡(luò)公開的。不上讀：阻止Internet對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不下寫：限制進(jìn)入內(nèi)部的數(shù)據(jù)流只能經(jīng)由由內(nèi)向外發(fā)起的連接流入完整性安全策略Biba模型不下讀/不上寫保證完整性例：對(duì)WEB服務(wù)器的訪問過程Internet上的用戶只能讀取服務(wù)器上的數(shù)據(jù)而不能更改它混合安全策略一基于角色訪問控制（RBAC）角色激活：用戶是一個(gè)靜態(tài)的概念，會(huì)話則是一個(gè)動(dòng)態(tài)的概念會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集?；钴S角色集決定了本次會(huì)話的許可集。靜態(tài)角色互斥：只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)角色互斥：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。角色限制：包括角色互斥與角色基數(shù)限制。角色基數(shù)限制是指在創(chuàng)建角色時(shí)，要指定角色的基數(shù)。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。訪問控制的基本原則最小特權(quán)原則：在完成某種操作時(shí)所賦予每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)（只給予主體“必不可少”的特權(quán)）多人負(fù)責(zé)原則：即授權(quán)分散化，對(duì)于關(guān)鍵的任務(wù)必須在功能上進(jìn)行劃分，由多人來共同承擔(dān)，保證沒有任何個(gè)人具有完成任務(wù)的全部授權(quán)或信息。如將責(zé)任作分解使得沒有一個(gè)人具有重要密鑰的完全拷貝。職責(zé)分離是指將不同的責(zé)任分派給不同的人員以期達(dá)到互相牽制，消除一個(gè)人執(zhí)行兩項(xiàng)不相容的工作的風(fēng)險(xiǎn)。隱通道是系統(tǒng)的一個(gè)用戶以違反系統(tǒng)安全策略的方式傳送信息給另一用戶的機(jī)制。它往往通過系統(tǒng)原本不用于數(shù)據(jù)傳送的系統(tǒng)資源來傳送信息，并且這種通信方式往往不被系統(tǒng)的訪問控制機(jī)制所檢測(cè)和控制。隱通道：不可避免，可通過帶寬控制機(jī)密性就是防止信息經(jīng)過這些信息通道被泄露出去。完整性是保護(hù)數(shù)據(jù)以免被未授權(quán)的改變、刪除、替代。所有的數(shù)據(jù)完整性服務(wù)都能夠?qū)Ω缎略龌蛐薷臄?shù)據(jù)的企圖，但未必能夠?qū)Ω稄?fù)制。非否認(rèn)服務(wù)與其他安全服務(wù)有本質(zhì)區(qū)別。主要目的是保護(hù)通信用戶免遭來自系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅。起源的否認(rèn)：關(guān)于‘某特定的一方是否產(chǎn)生了某一特定的數(shù)據(jù)項(xiàng)’的糾紛或產(chǎn)生時(shí)間的糾紛。傳遞的否認(rèn)：關(guān)于‘某一特定數(shù)據(jù)項(xiàng)是否被傳送給某特定一方’的糾紛或關(guān)于傳遞時(shí)間的糾紛。7.PKI包括：認(rèn)證中心（認(rèn)證權(quán)威）CA，注冊(cè)權(quán)威RA，證書庫(kù)，檔案庫(kù)，PKI的用戶RA被設(shè)計(jì)用來為CA驗(yàn)證證書內(nèi)容的檔案庫(kù)是一個(gè)被用來解決將來爭(zhēng)執(zhí)的信息庫(kù)，為CA承擔(dān)長(zhǎng)期存儲(chǔ)文檔信息的責(zé)任。PKI的體系結(jié)構(gòu)可以有：?jiǎn)蝹€(gè)CA、分級(jí)（層次）結(jié)構(gòu)的CA、網(wǎng)狀結(jié)構(gòu)的CA（交叉認(rèn)證）、橋式CA。橋式CA惟一的目的是為企業(yè)PKI建立關(guān)系。OCSP證書狀態(tài)的在線查詢 CRL證書作廢表8.防火墻的體系結(jié)構(gòu)一般有屏蔽路由器結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)包過濾的依據(jù)：■如果找到一個(gè)匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行?！鋈绻业揭粋€(gè)匹配，且規(guī)則拒絕此包，這一包則被舍棄?！鋈绻麩o匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。靜態(tài)NAT把內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址動(dòng)態(tài)NAT在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)端口轉(zhuǎn)換NAT把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上9.域名劫持改變DNS服務(wù)器的數(shù)據(jù)庫(kù)，把本來要訪問網(wǎng)站的域名重定向（劫持）到一個(gè)劫持者指定的IP地址上.利用主機(jī)漏洞搭建代理攻擊者利用掃描軟件捕獲國(guó)外有漏洞的一臺(tái)普通的計(jì)算機(jī)主機(jī)，在該傀儡機(jī)上搭建加密代理（服務(wù)器）.nslookup查詢Internet上的DNS信息tracert命令顯示用于將數(shù)據(jù)包從計(jì)算機(jī)傳遞到目標(biāo)位置的一組IP路由器，以及每個(gè)躍點(diǎn)所需的時(shí)間。Ipconfig/al1：顯示所有網(wǎng)絡(luò)適配器（網(wǎng)卡、撥號(hào)連接等）的完整TCP/IP配置信息。NetStat是一個(gè)觀察網(wǎng)絡(luò)連接狀態(tài)的實(shí)用工具。Fport可以報(bào)告所有本地機(jī)上打開的TCP/IP和UDP端口，并顯示是何程序打開的端口。Route就是用來顯示、人工添加和修改路由表項(xiàng)目的。緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過向程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。10.主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。包括：開放（connet掃描）、半開放（SYN掃描）、隱蔽掃描（FIN掃描）從廣義上定義，惡意代碼指具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。惡意代碼的分類1計(jì)算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時(shí)光、求職信、惡鷹、rose…2網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼?？谄渫ㄟ^不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播?？谌缂t色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…3特洛伊木馬：是指一類看起來具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。口如冰河、網(wǎng)絡(luò)神偷、灰鴿子……4后門：使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問的一類程序?？谌鏐its、WinEggDrop、Tini.?.5RootKit：通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。口如RootKit、Hkdef、ByShell.?.6拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件，惡意網(wǎng)頁……后門：是指能夠繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的方法后門■帳號(hào)后門（建立備用的管理員帳號(hào)）■漏洞后門■木馬后門網(wǎng)絡(luò)監(jiān)聽■網(wǎng)卡工作在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀為單位進(jìn)行傳輸，在幀頭部分含有數(shù)據(jù)的目的MAC地址和源MAC地址?！銎胀Ｊ较?，網(wǎng)卡只接收與自己MAC地址相同的數(shù)據(jù)包，并將其傳遞給操作系統(tǒng)?！鲈凇盎祀s”模式下，網(wǎng)卡將所有經(jīng)過的數(shù)據(jù)包都傳遞給操作系統(tǒng)。交換網(wǎng)絡(luò)嗅探的關(guān)鍵：如何使不應(yīng)到達(dá)的數(shù)據(jù)包到達(dá)本地■MAC洪水包■利用交換機(jī)的鏡像功能■利用ARP欺騙DoS通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)。DoS是針對(duì)可用性發(fā)起的攻擊DoS是臺(tái)機(jī)器攻擊目標(biāo)，DDoSDoS是入侵檢測(cè)■按照分析方法（檢測(cè)方法）■異常檢測(cè)模型（AnomalyDetection）:首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。（異常發(fā)現(xiàn)）■誤用檢測(cè)模型（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。（特征檢測(cè)、模式發(fā)現(xiàn)）■ 按照數(shù)據(jù)來源：■基于主機(jī)：系統(tǒng)獲取數(shù)