信息安全工程師考試要點(diǎn)

第一章:1.3.2：1、 GB17859-1999標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即:用戶資助保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。2、 目前正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分析保護(hù)管理規(guī)范》。3、 涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí)，可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)(增強(qiáng))、絕密級(jí)三個(gè)等級(jí)：4、 秘密級(jí)，信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求，并且還必須符合分級(jí)保護(hù)的保密技術(shù)的要求。機(jī)密級(jí)，信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)(增強(qiáng))的要求：信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國(guó)防、外交、國(guó)家安全、軍工等要害部門。信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多；信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高；絕密級(jí)，信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求。5、 安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機(jī)安全監(jiān)控1.3.3信息安全風(fēng)險(xiǎn)評(píng)估與管理1、一般可通過(guò)以下途徑達(dá)到降低風(fēng)險(xiǎn)的目的：避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、減少威脅、減少脆弱性、減少威脅可能的影響、檢測(cè)以外事件，并做出響應(yīng)和恢復(fù)。1.4信息安全標(biāo)準(zhǔn)化知識(shí)1、 國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件，其代號(hào)為“GB/Z”；推薦性國(guó)家標(biāo)準(zhǔn)代號(hào)為“GB/T”2、 目前國(guó)際上兩個(gè)重要的標(biāo)準(zhǔn)化組織，即國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IECoISO和IEC成立了第一聯(lián)合技術(shù)委員會(huì)JTC1制定信息技術(shù)領(lǐng)域國(guó)際標(biāo)準(zhǔn)；SC27是JTC1中專門從事信息安全通用方法及技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)。3、 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)，主要負(fù)責(zé)研究信息安全標(biāo)準(zhǔn)體系、跟蹤國(guó)際信息安全標(biāo)準(zhǔn)發(fā)展態(tài)勢(shì)，研究、分析國(guó)內(nèi)信息安全標(biāo)準(zhǔn)的應(yīng)用需求，研究并提出了新工作項(xiàng)目及設(shè)立新工作組的建議、協(xié)調(diào)各工作組項(xiàng)目。涉密信息系統(tǒng)安全保密工作組(WG2)、密碼工作組(WG3)和鑒別與授權(quán)工作組(WG4)o信息安全測(cè)評(píng)工作組(WG5)，負(fù)責(zé)調(diào)研國(guó)內(nèi)外測(cè)評(píng)標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢(shì)，研究提出了我國(guó)統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)體系的思路和框架，研究提出了系統(tǒng)和網(wǎng)絡(luò)的安全測(cè)評(píng)標(biāo)準(zhǔn)思路和框架，研究提出了急需的測(cè)評(píng)標(biāo)準(zhǔn)項(xiàng)目和制定計(jì)劃。1.5信息安全專業(yè)英語(yǔ)1、 cryptography:密碼；plaintext明文；ciphertext密文；concealment隱藏；cryptology密碼學(xué)；2、 symmetric-key對(duì)稱密鑰；Symmetric-keycryptographyreferstoencryptionmethodsinwhichboththesenderandreceiversharethesamekey(or,lesscommonly,inwhichtheirkeysaredifferent,butrelatedinaneasilycomputableway).對(duì)稱密鑰加密是指加密方法，在該方法中，發(fā)送者和接收者共享相同的密鑰3、 asymmetrickey非對(duì)稱密鑰；Digitalsignatures數(shù)字簽名RSAandDSAaretwoofthemostpopulardigitalsignatureschemes4、 ellipticcurvecryptography橢圓曲線密碼5、 Cryptanalysis密碼分析；quantumcomputer量子計(jì)算機(jī)；6、 Antivirussoftware殺毒軟件Network-attachedstorage(NAS,網(wǎng)絡(luò)附加存儲(chǔ))：isfile-levelcomputerdatastorageconnectedtoacomputernetworkprovidingdataaccesstoheterogeneousnetworkclients.7、 PenetrationTestingTools滲透測(cè)試工具第二章：密碼學(xué)2.1密碼學(xué)的基本概念1、密碼學(xué)的安全目標(biāo)包括三個(gè)重要方面：保密性、完整性和可用性2.1.2密碼體制1、一個(gè)密碼系統(tǒng)，通常簡(jiǎn)稱為密碼體制，由五部分組成。明文空間M，它是全體明文的集合。密文空間C，它是全體密文的集合。密鑰空間K，它是全體密鑰的集合。其中每一個(gè)密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即K=<Ke,Kd>.加密算法E，它是一族由M到C的加密交換。解密算法D，它是一族由C到M的解密交換。對(duì)于明文空間M中的每一個(gè)明文M，加密算法E在密鑰Ke的控制下將明文M加密成密文C：C=E(M,Ke).而解密算法D在密鑰Kd的控制下將密文C解密出同一明文M：M=D(C,Kd)=D(E(M,Ke),Kd)如果一個(gè)密碼體制的Kd=Ke,或由其中一個(gè)很容易推出另一個(gè)，則稱為單密鑰密碼體制或?qū)ΨQ密碼體制或傳統(tǒng)密碼體制。否則稱為雙密鑰密碼體制。進(jìn)而，如果在計(jì)算上Kd不能由Ke推出，這樣將Ke公開(kāi)也不會(huì)損害Kd的安全，于是便可將Ke公開(kāi)。這種密碼體制稱為公開(kāi)密鑰密碼體制，簡(jiǎn)稱為公鑰密碼體制。2、密碼分析者攻擊密碼的方法主要有三種：窮舉攻擊、數(shù)學(xué)分析攻擊、基于物理的攻擊；2.2.2DES算法1、 DES算法的設(shè)計(jì)目標(biāo)是，用于加密保護(hù)靜態(tài)存儲(chǔ)和傳輸信道中的數(shù)據(jù)，安全使用10-15年。2、 DES是一種分組密碼。明文、密文和密鑰的分組長(zhǎng)度都是64位。3、 3DES密鑰長(zhǎng)度是168位，完全能夠抵抗窮舉攻擊。3DES的根本缺點(diǎn)在于用軟件實(shí)現(xiàn)該算法的速度比較慢。第三章：3.1計(jì)算機(jī)網(wǎng)絡(luò)基本知識(shí)1、 由于Internet規(guī)模太大，所以常把它劃分成許多較小的自治系統(tǒng)(AutonomousSystemAS).通常把自治系統(tǒng)內(nèi)部的路由協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，自治系統(tǒng)之間的協(xié)議稱為外部網(wǎng)關(guān)協(xié)議。常見(jiàn)的內(nèi)部網(wǎng)關(guān)協(xié)議有RIP協(xié)議和OSPF協(xié)議；外部網(wǎng)關(guān)協(xié)議有BGP協(xié)議。2、 路由信息協(xié)議RIP(RoutingInformationProtocol)是一種分布式的基于距離向量的路由選擇協(xié)議，它位于應(yīng)用層，該協(xié)議所定義的距離就是經(jīng)過(guò)的路由器的數(shù)目，距離最短的路由就是最好的路由。它允許一條路徑最多只能包含15個(gè)路由器。3、 開(kāi)放最短路徑有限協(xié)議OSPF(OpenShortestPathFirst)是分布式的鏈路狀態(tài)路由協(xié)議。鏈路在這里代表該路由器和哪些路由器是相鄰的，即通過(guò)一個(gè)網(wǎng)絡(luò)是可以連通的。鏈路狀態(tài)說(shuō)明了該通路的連通狀態(tài)以及距離、時(shí)延、帶寬等參數(shù)。在該協(xié)議中，只有當(dāng)鏈路狀態(tài)發(fā)生變化時(shí)，路由器采用洪范法向所有路由器發(fā)送路由信息。4、 外部網(wǎng)關(guān)協(xié)議BGP(BorderGatewayProtocol)是不同自治系統(tǒng)的路由器之間的交換路由信息的協(xié)議。由于資質(zhì)系統(tǒng)之間的路由選擇，要尋找最佳路由是不現(xiàn)實(shí)的。因此，BGP只是盡力尋找一條能夠達(dá)目的網(wǎng)絡(luò)的比較好的路由。5、 因特網(wǎng)組管理協(xié)議(InternetGroupManagementProtocol,IGMP)是在多播環(huán)境下使用的協(xié)議。IGMP使用IP數(shù)據(jù)報(bào)傳遞其豹紋，同時(shí)它也向IP提供服務(wù)。6、 ARP協(xié)議：根據(jù)IP地址獲取MAC地址；RARP協(xié)議：根據(jù)MAC地址獲取IP地址；7、 Internet控制報(bào)文協(xié)議ICMP(InternetControlMessageProtocol):ICMP協(xié)議允許路由器報(bào)告差錯(cuò)情況和提供有關(guān)異常情況的報(bào)告。8、 TCP是面向連接的協(xié)議，提供可靠的、全雙工的、面向字節(jié)流的，端到端的服務(wù)。9、 TCP使用三次握手來(lái)建立連接，大大增強(qiáng)了可靠性。具體過(guò)程如下：S￥N-I.上號(hào)X淬寇2求一一 …??…—— —SYN-I,ACK-I.，味嶺一"醐認(rèn)序號(hào)-X+卜— 跚AACK-1..哼號(hào)-XT.瞞認(rèn)序?qū)慺F墮/ - ?圖.%17TCP-.次握手連接建立過(guò)港TCP連接釋放機(jī)制TCP的釋放分為：半關(guān)閉和全關(guān)閉兩個(gè)階段。半關(guān)閉階段是當(dāng)A沒(méi)有數(shù)據(jù)再向B發(fā)送時(shí)，A向B發(fā)出釋放連接請(qǐng)求，B收到后向A發(fā)回確認(rèn)。這時(shí)A向B的TCP連接就關(guān)閉了。但B仍可以繼續(xù)向A發(fā)送數(shù)據(jù)。當(dāng)B也沒(méi)有數(shù)據(jù)向A發(fā)送時(shí)，這時(shí)B就向A發(fā)出釋放連接的請(qǐng)求，同樣，A收到后向B發(fā)回確認(rèn)。至此為止B向A的TCP連接也關(guān)閉了。當(dāng)B確實(shí)收到來(lái)自A的確認(rèn)后，就進(jìn)入了全關(guān)閉狀態(tài)。如圖所示。A土機(jī) 3主機(jī)FlN=l.序?qū)慩再放連接清茨 ——，ACK-I.序號(hào)Y.確認(rèn)序號(hào)-X+1*-一 褊認(rèn)l'TM=l,ACK-I.序耳=Y,撕認(rèn).號(hào)=X+!— 釋放連接請(qǐng)求ACK=L.序號(hào)"-Xi:■呻認(rèn)序號(hào)-Yi!確認(rèn).一―?—一.―一...— . 圖3-18TCF釋放連接的過(guò)程10、TCP的擁塞控制主要有以下四種方法：慢開(kāi)始、擁塞避免、快重傳和快恢復(fù)。為了防止cwnd增長(zhǎng)過(guò)大引起網(wǎng)絡(luò)擁塞，還需設(shè)置一個(gè)慢開(kāi)始門限ssthresh狀態(tài)變量。ssthresh的用法如下：當(dāng)cwnd<ssthresh時(shí)，使用慢開(kāi)始算法。當(dāng)cwnd>ssthresh時(shí)，改用擁塞避免算法。當(dāng)cwnd=ssthresh時(shí)，慢開(kāi)始與擁塞避免算法任意。

慢開(kāi)始 慢開(kāi)始圖5點(diǎn)5慢升始和擁塞避免算法的實(shí)現(xiàn)舉例快重傳配合使用的還有快恢復(fù)算法，有以下兩個(gè)要點(diǎn)：當(dāng)發(fā)送方連續(xù)收到三個(gè)重復(fù)確認(rèn)時(shí)，就執(zhí)行“乘法減小”算法，把ssthresh門限減半。但是接下去并不執(zhí)行慢開(kāi)始算法。考慮到如果網(wǎng)絡(luò)出現(xiàn)擁塞的話就不會(huì)收到好幾個(gè)重復(fù)的確認(rèn)，所以發(fā)送方現(xiàn)在認(rèn)為網(wǎng)絡(luò)可能沒(méi)有出現(xiàn)擁塞。所以此時(shí)不執(zhí)行慢開(kāi)始算法，而是將cwnd設(shè)置為ssthresh的大小，然后執(zhí)行擁塞避免算法。如下圖：快情垣蚩開(kāi)始融塞避免“加法崩火'S5-27從連壤收到三個(gè)重度的確認(rèn)轉(zhuǎn)入擁塞避免的初始iSi—16新的顧嵌由便一12快情垣蚩開(kāi)始融塞避免“加法崩火'S5-27從連壤收到三個(gè)重度的確認(rèn)轉(zhuǎn)入擁塞避免的初始iSi—16新的顧嵌由便一12慢開(kāi)始0,佬輸輪魏cwnd收到3個(gè)垂復(fù)的通認(rèn)執(zhí)行快重住算拄擁塞避色 aTCP髭皿版本法堆大：TCPTaLoe煩本舊廢棄不用）3.2.3暗網(wǎng)1、暗網(wǎng)是指那些存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)里，不能通過(guò)超鏈接訪問(wèn)而需要通過(guò)動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)訪問(wèn)的資源集合，不屬于那些可以被標(biāo)準(zhǔn)搜索引擎索引的表面網(wǎng)絡(luò)。3.3.2網(wǎng)絡(luò)監(jiān)聽(tīng)1、網(wǎng)卡有幾種接受數(shù)據(jù)幀的狀態(tài)，如unicast,broadcast,multicast,promiscU§Usunicast是指網(wǎng)卡在工作時(shí)接收目的地址是本機(jī)硬件地址的數(shù)據(jù)幀。Broadcast是指接收所有類型為廣播報(bào)文的數(shù)據(jù)幀。Multicast是指接收特定的組播報(bào)文。Promiscuous即混雜模式，是指對(duì)報(bào)文中的目的硬件地址不加任何檢查，全部接收的工作模式。2、 Sniffer的工作前提是：網(wǎng)絡(luò)必須是共享以太網(wǎng)。把本機(jī)上的網(wǎng)卡設(shè)置成混雜模式；3、 檢測(cè)網(wǎng)絡(luò)監(jiān)聽(tīng)的手段：反應(yīng)時(shí)間、DNS測(cè)試、利用ping進(jìn)行監(jiān)測(cè)、利用ARP數(shù)據(jù)包進(jìn)行監(jiān)測(cè)。3.3.3口令破解1、常用的一些破解工具：InsideproSAMInside可以有效破解windows口令，QQ殺手2008版可以破解QQ密碼，Cain可以破解屏保AccessDatebase和CiscoPIXFirewall等口令，MessenPass可以恢復(fù)出MSN和YahooMessenger等的口令。3.3.4拒絕服務(wù)攻擊1、 要對(duì)服務(wù)器實(shí)施拒絕服務(wù)攻擊，實(shí)質(zhì)上的方式就是兩個(gè)：服務(wù)器的緩沖區(qū)滿，不接受新的請(qǐng)求、使用ip欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。2、 SYNFlooding（同步包風(fēng)暴）攻擊：它是通過(guò)創(chuàng)建大量的“半連接”來(lái)進(jìn)行攻擊，任何連接收到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)的主機(jī)和路由器都可能成為這種攻擊的目標(biāo)。3、 利用處理程序錯(cuò)誤的拒絕服務(wù)攻擊，這些攻擊包括PingofDeath攻擊、Teardrop攻擊、Winnuke攻擊、以及Land攻擊等。4、 Teardrop攻擊就是利用IP包的分段/重組技術(shù)在系統(tǒng)實(shí)現(xiàn)中的一個(gè)錯(cuò)誤，即在組裝IP包時(shí)只檢查了每段數(shù)據(jù)是否過(guò)長(zhǎng)，而沒(méi)有檢查包中有效數(shù)據(jù)的長(zhǎng)度是否過(guò)小。5、 Winnuke攻擊針對(duì)Windows系統(tǒng)上一般都開(kāi)放的139端口，這個(gè)端口由netBIOS使用。只要往該端口發(fā)送1字節(jié)TCPOOB數(shù)據(jù)，就可以使Windows系統(tǒng)出現(xiàn)藍(lán)屏錯(cuò)誤，并且網(wǎng)絡(luò)功能完全癱瘓。除非重新啟動(dòng)，否則不能再用。6、 Land攻擊：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。3.3.8網(wǎng)絡(luò)欺騙1、 ARP原理：某機(jī)器A要向主機(jī)C發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到C的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播一個(gè)ARP請(qǐng)求報(bào)文（攜帶主句A的IP地址Ia----物理地址AA:AA:AA:AA），請(qǐng)求IP地址為Ic的主機(jī)C回答物理地址Pc,網(wǎng)上所有的主機(jī)包括C都收到ARP請(qǐng)求，但只有主機(jī)C識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有C的MAC地址CC:CC:CC:CC，A接收到C的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)Mac地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。2、 ARP欺騙：ARP協(xié)議并不只是在發(fā)送了ARP請(qǐng)求后才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，局域網(wǎng)中的機(jī)器B首先攻擊C使C癱瘓，然后向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的，就會(huì)更新本地的ARP緩存，這樣在A看來(lái)C的IP地址沒(méi)有變，而它的MAC地址已經(jīng)變成B的了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是根據(jù)MAC地址進(jìn)行傳輸。如此就造成A傳送給C的數(shù)據(jù)實(shí)際上是傳送到B。這就是一個(gè)簡(jiǎn)單的ARP欺騙，如圖：

MAC-aMAC-3、 ARP欺騙的防范：（1）在winxp下輸入命令：arp-sgate-way-ipgate-way-mac固話arp表，阻止arp欺騙（2）使用arp服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)化表來(lái)響應(yīng)其他機(jī)器的Arp廣播。（3）采用雙向綁定的方法來(lái)解決并組織ARP欺騙°（4）ARP防護(hù)軟件一ARPGuard.4、 DNS欺騙原理：DNS欺騙首先是冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶想要取得的網(wǎng)站的主頁(yè)了，這就是DNS欺騙的基本原理。5、 IP攻擊的步驟：（1）首先使主機(jī)hostb的網(wǎng)絡(luò)暫時(shí)癱瘓，以免對(duì)攻擊造成干擾；（2）然后連接到目標(biāo)機(jī)hosta的某個(gè)端口來(lái)猜測(cè)ISN基值和增加規(guī)律；（3）接下來(lái)把源地址偽裝成主機(jī)hostb,發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接；（4）然后等待目標(biāo)機(jī)hosta發(fā)送SYN+ACK包給已經(jīng)癱瘓的主機(jī)，因?yàn)楝F(xiàn)在看不到這個(gè)包；（5）最后再次偽裝成主機(jī)hostb向目標(biāo)主機(jī)hosta發(fā)送的ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)的目標(biāo)機(jī)ISN+1，（6）連接簡(jiǎn)歷，發(fā)送命令請(qǐng)求（3?4網(wǎng)絡(luò)安全防御3.4.1防火墻1、 防火墻的目的是實(shí)施訪問(wèn)控制和加強(qiáng)站點(diǎn)安全策略，其訪問(wèn)控制包含四個(gè)方面或?qū)哟蔚膬?nèi)容：服務(wù)控制、方向控制、用戶控制、行為控制。2、 防火墻可以實(shí)現(xiàn)的功能如下：（1）防火墻設(shè)立了單一阻塞點(diǎn)，它使得未授權(quán)的用戶無(wú)法進(jìn)入網(wǎng)絡(luò)，禁止了潛在的易受攻擊的服務(wù)進(jìn)入或是離開(kāi)網(wǎng)絡(luò)，同時(shí)防止了多種形式的IP欺騙和路由攻擊。（2）防火墻提供了一個(gè)監(jiān)控安全事件的地點(diǎn)。對(duì)于安全問(wèn)題的檢查和警報(bào)可以在防火墻系統(tǒng)上實(shí)施。（3）防火墻還可以提供一些其他功能，比如地址轉(zhuǎn)換器，它把私有地址映射為Internet地址，又如網(wǎng)絡(luò)管理功能，它用來(lái)審查和記錄Internet的使用。（4）防火墻可以作為IPSec的平臺(tái)。防火墻可以用來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)。3、 按照防火墻實(shí)現(xiàn)的技術(shù)不同可以分為：數(shù)據(jù)包過(guò)濾、應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)。4、 包過(guò)濾技術(shù)可能存在的攻擊有：IP地址欺騙、源路由攻擊、微分片攻擊；5、 狀態(tài)檢查技術(shù)是包過(guò)濾技術(shù)的一種增強(qiáng)，其主要思想就是利用防火墻已經(jīng)驗(yàn)證通過(guò)的連接，建立一個(gè)臨時(shí)的狀態(tài)表。狀態(tài)表的生成過(guò)程是：對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，省策劃生成狀態(tài)表。

6、防火墻的經(jīng)典體系結(jié)構(gòu)主要有三種形式：雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)；3.4.2入侵檢測(cè)與防護(hù)1、 入侵檢測(cè)與防護(hù)的技術(shù)主要有兩種：入侵檢測(cè)系統(tǒng)(InstrusionDetectionSystem,IDS)和入侵防護(hù)系統(tǒng)(InstrusionPreventionSystem,IPS)2、 入侵檢測(cè)的基本模型是PDR模型，其思想是防護(hù)時(shí)間大于檢測(cè)時(shí)間和響應(yīng)時(shí)間。3、 針對(duì)靜態(tài)的系統(tǒng)安全模型提出了“動(dòng)態(tài)安全模型(P2DR)”.P2DR模型包含4個(gè)主要部分：(1^ElectionI防護(hù):Protection')應(yīng)\(Responsej/圖3-57P2DR模型安全策略：P心底刃Policy(安全策略^Protection(1^ElectionI防護(hù):Protection')應(yīng)\(Responsej/圖3-57P2DR模型安全策略：P心底刃4、 入侵檢測(cè)技術(shù)主要分為兩大類型：異常入侵檢測(cè)和誤用入侵檢測(cè)。5、入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)大致可以分為 基于主機(jī)型(Host-Based)、基于網(wǎng)絡(luò)型(Network-Based)和基于主體型(Agent-Based)三種。6、 基于主機(jī)入侵檢測(cè)系統(tǒng)的檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)或單獨(dú)的主機(jī)上。7、 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測(cè)入侵，如Netstat檢測(cè)就是基于網(wǎng)絡(luò)型的。8、 基于主體的入侵檢測(cè)系統(tǒng)主要的方法是采用相互獨(dú)立運(yùn)行的進(jìn)程組(稱為自治主體)分別負(fù)責(zé)檢測(cè)，通過(guò)訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來(lái)，并將檢測(cè)結(jié)果傳送到檢測(cè)中心。9、 異常檢測(cè)的方法有統(tǒng)計(jì)方法、預(yù)測(cè)模式生成、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、用戶意圖識(shí)別、數(shù)據(jù)挖掘和計(jì)算機(jī)免疫學(xué)方法等。10、 誤用檢測(cè)一般是由計(jì)算機(jī)安全專家首先對(duì)攻擊情況和系統(tǒng)漏洞進(jìn)行分析和分類，然后手工的編寫相應(yīng)的檢測(cè)規(guī)則和特征模型。11、 Snort的配置有3個(gè)主要模式：嗅探(Sniffer)、包記錄(PacketLogger)和網(wǎng)絡(luò)入侵檢測(cè)(NetworkInstrusionDetection).嗅探模式主要是讀取網(wǎng)絡(luò)上的數(shù)據(jù)包并在控制臺(tái)上用數(shù)據(jù)流不斷地顯示出來(lái)；包記錄模式把數(shù)據(jù)包記錄在磁帶上；網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜最難配置的，它可以分析網(wǎng)流量與用戶定義的規(guī)則設(shè)置進(jìn)行匹配然后根據(jù)結(jié)果指行相應(yīng)的操作。3.4.3虛擬專用網(wǎng)絡(luò)VPN1、 VPN架構(gòu)中采用了多種安全機(jī)制，如隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)(Authentication)等。2、 VPN可以通過(guò)ISAKMP/IKE/Oakley協(xié)商確定可選的數(shù)據(jù)加密算法，其中包括DES(數(shù)據(jù)加密標(biāo)準(zhǔn))，3DES(三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn))和AES(高級(jí)加密標(biāo)準(zhǔn))等。3、 DES該密碼用56位的密鑰對(duì)64位的數(shù)據(jù)塊進(jìn)行加密。當(dāng)被加密的數(shù)據(jù)大于64位時(shí)，需要把加密的數(shù)據(jù)分割成多個(gè)64位的數(shù)據(jù)塊；當(dāng)被加密數(shù)據(jù)不足64位時(shí)，需要把它填充到64位。為了增強(qiáng)安全性，一般使用3DES。4、 三種最常見(jiàn)也是最為廣泛實(shí)現(xiàn)的隧道技術(shù)是：點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP，Point-toPointTunnelingProtocoD，第2層隧道協(xié)議(L2Tp,Layer2TunnelingProtocol),IP安全協(xié)議(IPSec)o除了這三種技術(shù)以外還有通用路由封裝(GRE,GenericRouteEncapsulation)、L2F以及SOCK協(xié)議等。5、 IPSec是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，是一個(gè)協(xié)議包。它工作在七層OSI協(xié)議中的網(wǎng)絡(luò)層，用于保護(hù)IP數(shù)據(jù)包，由于工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)之間或主機(jī)與網(wǎng)關(guān)之間愛(ài)你。其目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全。6、 IPSec的工作主要有數(shù)據(jù)驗(yàn)證(Authentication),數(shù)據(jù)完整(Integrity)和信任(Confidenticality).7、 目前IPSec協(xié)議可以采用兩種方法來(lái)對(duì)數(shù)據(jù)提供加密和認(rèn)證：ESP(EncapsulatingSecurityPayload)協(xié)議和AH(AuthenticationHeader)協(xié)議。8、 三種協(xié)議的比較，如下圖所示：表3-1。三種主要VPN隧道協(xié)漠比岐協(xié)諛迷授PPTPLJTPJPSm洞靖模式C/SC/S主機(jī)對(duì)主機(jī)的亦等蟆式使用方式通過(guò)隧道逃行遠(yuǎn)程操作通過(guò)隧道進(jìn)行近程操作Lntranet”BxUratLet利通過(guò)隧道進(jìn)行遠(yuǎn)程操作數(shù)據(jù)辯路層散據(jù)鼓路層嚅協(xié)議支持IP、IPX等IP、IPX等IIP安全加密無(wú)泳準(zhǔn)(通常與IPS既如組建VFN,所采用的加密技術(shù)也是由IPSec協(xié)議提供的*參考IPSet的扯密技術(shù)，MPPE加密技木DES.租3DES協(xié)議選舞PPTPL2TPIPSec用戶認(rèn)證采用PPP切議中拘CIIAP、MSCHAF.MS-CHAPy2等驗(yàn)證方法無(wú)標(biāo)準(zhǔn)(通常與IPSec—起組建VPN,所采用的用戶身份驗(yàn)證技術(shù)也是MIPS睥義議提供的，＞考IPSec的擊戶認(rèn)證技犬)可包認(rèn)證需特殊解決無(wú)標(biāo)準(zhǔn)ESP包加密元標(biāo)準(zhǔn)關(guān)標(biāo)準(zhǔn)ISAKMP/Oakley,SKIP密鑰管理無(wú)標(biāo)準(zhǔn)無(wú).椽準(zhǔn)IKM隧道服務(wù)|單個(gè)點(diǎn)對(duì)點(diǎn)隧道,不能同時(shí)訪問(wèn)會(huì)用網(wǎng)單十點(diǎn)府點(diǎn)隧逍.不能同時(shí)訪伺公月網(wǎng) |笏點(diǎn)隋道，同時(shí)訪問(wèn)VPN|和公用網(wǎng)3.4.4安全掃描和風(fēng)險(xiǎn)評(píng)估1、 TCPSYN掃描。這種方法也叫“半打開(kāi)掃描(Half-openScanning)”。這種掃描方法并沒(méi)有建立完整的TCP連接?？蛻舳耸紫认蚍?wù)器發(fā)送SYN分組發(fā)起連接，如果收到一個(gè)來(lái)自服務(wù)器的SYN/ACK應(yīng)答，那么可以推斷該端口處于監(jiān)聽(tīng)狀態(tài)。如果收到一個(gè)RST/ACK分組則認(rèn)為該端口不在監(jiān)聽(tīng)。而客戶端不管收到的是什么樣的分組，都向服務(wù)器發(fā)送一個(gè)RST/ACK分組，這樣并沒(méi)有建立一個(gè)完整的TCP連接，但客戶端能夠知道服務(wù)器某個(gè)端口是否開(kāi)放。該掃描不會(huì)在目標(biāo)系統(tǒng)上產(chǎn)生日志。2、 TCPACK掃描，它可以用來(lái)判斷防火墻過(guò)濾規(guī)則的涉及，測(cè)試安全策略的有效性。3、 UDP掃描，此方法往目標(biāo)端口發(fā)送一個(gè)UDP分組。如果目標(biāo)系統(tǒng)返回一個(gè)“ICMP端口

不可達(dá)”來(lái)響應(yīng)，那么此端口是關(guān)閉的。若沒(méi)有返回該響應(yīng)，則認(rèn)為此端口是打開(kāi)的oUDP是無(wú)連接不可靠的，其準(zhǔn)確性將受到外界的干擾。4、我國(guó)提出了自己的動(dòng)態(tài)安全模型----WPDRRC模型。即W預(yù)警（Warning）；C（Counterattack）就是反擊。PDRR即為PDRR模型中出現(xiàn)的保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四個(gè)環(huán)節(jié)。圖3-66WPDRRC模型的二大要素關(guān)系圖5、風(fēng)險(xiǎn)評(píng)估工具的比較：表貌合風(fēng)臉評(píng)怙與管理工具對(duì)照表T具名稱COBR.4RA1CRAMM(^RISKBDSS國(guó)家組既AmericaIJSI/BntainCCTA/BritaiaPaHsadt/AinjcriciiTheTntegratedRiskManagcmentGmup，American體系結(jié)構(gòu)客戶機(jī)/.眼名器模式單機(jī)版單機(jī)版單機(jī)版單機(jī)版名稱COBRARACRAMM@RISK果用方法育家系統(tǒng)1過(guò)程式算法過(guò)程式算法度彖系統(tǒng)"1庵家系統(tǒng)IS量%定定算定性r定最黠合定性，定量結(jié)定性r定量結(jié)定性，定量靖合定性/定最靖合數(shù)推吳集形式調(diào)查文件|唳過(guò)程調(diào)查文件調(diào)查問(wèn)卷對(duì)使.片人員的要求不溢要和’風(fēng)險(xiǎn)評(píng)估的專業(yè)知譏依靠評(píng)估人員的知識(shí)與經(jīng)驗(yàn)依靠評(píng)估人員的R俱&經(jīng)驗(yàn)不需要有風(fēng)險(xiǎn)評(píng)估的專業(yè)知識(shí)不需要有風(fēng)險(xiǎn)評(píng)咕的專業(yè)箱1很絡(luò)果輸出形式法果報(bào)告：風(fēng)險(xiǎn)等基于控紐措施風(fēng)險(xiǎn)等級(jí)與控牯措施（基F0S7799提供的控制措施）風(fēng)險(xiǎn)等級(jí)與控制措施（基于BS7799提供的控制措決策支持信息安全防護(hù)措施列表3.4.5安全協(xié)議1、 SSL協(xié)議以對(duì)稱密碼技術(shù)和公開(kāi)密碼技術(shù)相結(jié)合，提供了如下三種基本安全服務(wù)。秘密性：SSL協(xié)議能夠在客戶端和服務(wù)端之間建立起一個(gè)安全通道，所有消息都經(jīng)過(guò)加密處理以后進(jìn)行傳輸，網(wǎng)絡(luò)的非法黑客無(wú)法竊取。完整性：SSL利用密碼算法和HASH函數(shù)，通過(guò)對(duì)傳輸信息特征值的提取來(lái)保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_(dá)目的地，可以避免服務(wù)器和客戶端之間的信息受到破壞。認(rèn)證性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識(shí)別對(duì)方的身份。2、 PGP（PrettyGoodPrivacy）是美國(guó)PhilZimmermann研究出來(lái)的一個(gè)基于RSA公鑰加密體系的郵件加密軟件。PGP可以在電子郵件和文件儲(chǔ)存應(yīng)用中提供保密和認(rèn)證服務(wù)。PGP的基本原理是：先用對(duì)稱密鑰系統(tǒng)加密傳輸?shù)男畔?，再將該?duì)稱加密密鑰以接收方公開(kāi)密鑰系統(tǒng)的公鑰加密，組成電子信封，并將此密鑰交給公正的第三者保管，然后將此電子信封傳給接收方。接收方必須先以自己的私鑰將電子信封拆封，以獲得對(duì)稱密鑰解密密鑰，再以該對(duì)稱密鑰解密密鑰解出真正的信息，兼顧方便與效率。3、 SSH協(xié)議有三部分組成：傳輸層協(xié)議、用戶認(rèn)證協(xié)議、連接協(xié)議。傳輸層協(xié)議（SSH-TRANS）負(fù)責(zé)進(jìn)行服務(wù)器認(rèn)證、數(shù)據(jù)機(jī)密性、信息完整性等方面的保護(hù)，并提供作為可選項(xiàng)的數(shù)據(jù)壓縮功能，以便提高傳輸速度。用戶認(rèn)證協(xié)議（SSH-USERAUTH）是簡(jiǎn)歷在傳輸層協(xié)議智商的。連接協(xié)議（SSH-CONNECT）是運(yùn)行在SSH傳輸層協(xié)議和用戶認(rèn)證協(xié)議之上，提供交互式登錄會(huì)話（即Shell會(huì)話），遠(yuǎn)程命令的執(zhí)行，轉(zhuǎn)交TCP/IP連接以及轉(zhuǎn)交X11連接。3.4.6網(wǎng)絡(luò)蜜罐技術(shù)1、蜜罐有四種不同的配置：誘騙服務(wù)、弱化系統(tǒng)、強(qiáng)化系統(tǒng)、用戶模式服務(wù)器3.4.7匿名網(wǎng)絡(luò)（Tor）Tor是一個(gè)能夠抵御流量分析的軟件項(xiàng)目。Tor將通信信息通過(guò)一個(gè)由遍及全球的志愿者運(yùn)行的中繼（relay）所組成的分布式網(wǎng)絡(luò)轉(zhuǎn)發(fā)，以此來(lái)保護(hù)信息的安全。Tor在傳輸數(shù)據(jù)時(shí)封包不但經(jīng)過(guò)加密，傳輸過(guò)程中會(huì)經(jīng)過(guò)哪些路由也是隨機(jī)的，因此不但很難追蹤，也不易得知通信的內(nèi)容。3.4.8網(wǎng)絡(luò)備份1、 在網(wǎng)絡(luò)備份中比較常見(jiàn)的存儲(chǔ)架構(gòu)有NAS和SAN。NAS（NetworkAttachedStorage）通常譯為“網(wǎng)絡(luò)附加存儲(chǔ)”或“網(wǎng)絡(luò)連接存儲(chǔ)”意思是連接在網(wǎng)絡(luò)上的存儲(chǔ)設(shè)備。NAS是適應(yīng)信息存儲(chǔ)和共享的應(yīng)用需求而產(chǎn)生的網(wǎng)絡(luò)存儲(chǔ)技術(shù)，因其具備簡(jiǎn)便高效的特點(diǎn)而得到廣泛的應(yīng)用。NAS是利用現(xiàn)有的網(wǎng)絡(luò)環(huán)境，將網(wǎng)絡(luò)中某一臺(tái)計(jì)算機(jī)作為中心的備份方案。通過(guò)部署專業(yè)的備份軟件對(duì)網(wǎng)絡(luò)中心的計(jì)算機(jī)進(jìn)行集中備份。SAN（StorageAreaNetwork）通常譯為“存儲(chǔ)區(qū)域網(wǎng)絡(luò)”。它是一種在服務(wù)器和外部存儲(chǔ)資源或獨(dú)立的存儲(chǔ)資源之間實(shí)現(xiàn)高速可靠訪問(wèn)的專用網(wǎng)絡(luò)。2、 局域網(wǎng)安全防范策略有：（1）物理安全策略；（2）劃分VLAN防止網(wǎng)絡(luò)偵聽(tīng)；（3）網(wǎng)絡(luò)分段；（4）以交換機(jī)代替共享式集線器；（5）訪問(wèn)控制策略；（6）使用數(shù)字簽名；（7）用戶管理策略；（8）使用代理服務(wù)器；（9）防火墻控制；（10）入侵檢測(cè)系統(tǒng)；（11）定期進(jìn)行漏洞安全掃描；（12）建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制；（13）使用VPN；3?5無(wú)線網(wǎng)絡(luò)安全1、 無(wú)限公開(kāi)密鑰體系WPKI,并不是一個(gè)全新的PKI標(biāo)準(zhǔn)，它是傳統(tǒng)的PKI技術(shù)應(yīng)用于無(wú)限環(huán)境的優(yōu)化擴(kuò)展。它采用了優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書。它同樣采用證書管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)一一認(rèn)證中M(CA)驗(yàn)證用戶的身份，從而實(shí)現(xiàn)信息的安全傳輸。2、 WPA加密方式目前有四種認(rèn)證方式：WPA、WPA-PSK、WPA2、WPA2-PSK.采用的加密算法有二種：AES和TKIP第四章:信息系統(tǒng)安全基礎(chǔ)第四章:信息系統(tǒng)安全基礎(chǔ)4.2操作系統(tǒng)安全4.2.1操作系統(tǒng)安全概述1、操作系統(tǒng)安全性的主要目標(biāo)具體包括如下幾個(gè)方面：身份認(rèn)證機(jī)制：實(shí)施強(qiáng)認(rèn)證方法，比如口令、數(shù)字證書等；訪問(wèn)控制機(jī)制：實(shí)施細(xì)粒度的用戶訪問(wèn)控制，細(xì)化訪問(wèn)權(quán)限等；數(shù)據(jù)保密性：對(duì)關(guān)鍵信息，數(shù)據(jù)要嚴(yán)加保密；數(shù)據(jù)完整性：防止數(shù)據(jù)系統(tǒng)被惡意代碼破壞，對(duì)關(guān)鍵信息進(jìn)行數(shù)字簽名技術(shù)保護(hù)；系統(tǒng)的可用性：操作系統(tǒng)要加強(qiáng)應(yīng)對(duì)攻擊的能力，比如防病毒，防緩沖區(qū)一處攻擊等。審計(jì)：可以在一定程度上阻止對(duì)計(jì)算機(jī)系統(tǒng)的威脅，并對(duì)系統(tǒng)檢測(cè)，故障恢復(fù)方面發(fā)回重要作用。4.2.2操作系統(tǒng)面臨的安全威脅4.2.4操作系統(tǒng)的安全機(jī)制1、 操作系統(tǒng)的安全機(jī)制就是指在操作系統(tǒng)中利用某種技術(shù)、某些軟件來(lái)實(shí)施一個(gè)或多個(gè)安全服務(wù)的過(guò)程，主要包括，標(biāo)識(shí)與鑒別機(jī)制、訪問(wèn)控制機(jī)制、最小特權(quán)機(jī)制、可信通路機(jī)制、安全審計(jì)機(jī)制、以及存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和io保護(hù)機(jī)制。2、 一個(gè)安全的身份鑒別協(xié)議至少滿足以下兩個(gè)條件：鑒別者A能向驗(yàn)證者B證明他的確是A；在鑒別者A向驗(yàn)證者提供了證明他的身份的信息后，驗(yàn)證者B不能取得A的任何有用的信息，即B不能模仿A向第三方證明他是A。目前已設(shè)計(jì)出了許多滿足上述條件的鑒別協(xié)議，主要有以下幾類：一次一密機(jī)制；X.509鑒別協(xié)議；Kerberos鑒別協(xié)議；零知識(shí)身份鑒別等。3、 訪問(wèn)控制一般包括三種類型：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。4、 強(qiáng)制訪問(wèn)控制包括基于規(guī)則的訪問(wèn)控制和管理指定型訪問(wèn)控制。5、 安全級(jí)別一般有四級(jí)：絕密級(jí)(topSecret)，秘密級(jí)(Secret)，機(jī)密級(jí)(Confidential)，無(wú)級(jí)別級(jí)(Unclassified)；其中T>S>C>U6、 常見(jiàn)的加密文件系統(tǒng)，如基于Linux系統(tǒng)的CFS(CryptographicFileSystem)＞TCFS(TransparentCryptographicFileSystem)＞AFS(AndrewFileSystem)＞基于Windows系統(tǒng)的EFS(EncryptingFileSystem)7、 CFS是一個(gè)經(jīng)典的加密文件系統(tǒng)，使用DES來(lái)加密文件。CFS客戶基于網(wǎng)絡(luò)文件系統(tǒng)NFS協(xié)議運(yùn)行一個(gè)服務(wù)器保護(hù)程序，可以使用本地或網(wǎng)絡(luò)文件系統(tǒng)來(lái)進(jìn)行存儲(chǔ)。8、 TCFS是一個(gè)受CFS啟發(fā)的Linux軟件包。TCFS對(duì)數(shù)據(jù)進(jìn)行加密時(shí)，對(duì)每個(gè)文件使用不同的“文件密鑰”進(jìn)行加密，對(duì)一個(gè)文件的不同部分使用不同的“塊密鑰”進(jìn)行加密，這就保證了用戶無(wú)法通過(guò)比較兩個(gè)文件來(lái)判斷它們的明文是否相同，也無(wú)法判斷同一個(gè)文件的不同部分的明文是否相同。9、 AFS是一個(gè)分布式的加密文件系統(tǒng)，它通過(guò)一個(gè)統(tǒng)一的訪問(wèn)接口把多個(gè)服務(wù)器連接起來(lái)，形成一個(gè)龐大的數(shù)據(jù)存儲(chǔ)空間。EFS是一個(gè)由微軟Windows2000系列開(kāi)始引入的加密文件系統(tǒng)，它提供的透明的文件加密服務(wù)，以公共密鑰為基礎(chǔ)。4.2.5操作系統(tǒng)安全增強(qiáng)的實(shí)現(xiàn)方法1、 安全操作系統(tǒng)的設(shè)計(jì)優(yōu)先考慮的是隔離性、完整性和可驗(yàn)證性三個(gè)基本原則。2、 目前訪問(wèn)控制相關(guān)研究主要集中在三個(gè)方面：訪問(wèn)控制策略，策略描述與驗(yàn)證，策略支持結(jié)構(gòu)。4.3數(shù)據(jù)庫(kù)系統(tǒng)的安全4.3.1數(shù)據(jù)庫(kù)安全的概念1、 數(shù)據(jù)庫(kù)安全就是保證數(shù)據(jù)庫(kù)信息的保密性、完整性、一致性和可用性。保密性是指保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被破壞和刪除；一致性是指確保數(shù)據(jù)庫(kù)中的數(shù)據(jù)滿足實(shí)體完整性，參照完整性和用戶定義完整性要求;可用性指確保數(shù)據(jù)庫(kù)中的數(shù)據(jù)不因認(rèn)為和自然的原因?qū)κ跈?quán)用戶不可用。2、 一般而言，數(shù)據(jù)庫(kù)中需要滿足的安全策略應(yīng)該滿足以下一些原則：最小特權(quán)原則、最大共享原則、開(kāi)放系統(tǒng)原則和封閉系統(tǒng)原則。3、 數(shù)據(jù)庫(kù)安全策略的實(shí)施中通常包括以下這些方法：子模式法、SQL修改查詢法、集合法、請(qǐng)求排序法；4.4惡意代碼4.4.1惡意代碼定義與分類1、惡意代碼(MaliciousCode，有時(shí)也稱為Malware,即惡意軟件)是指一切旨在破壞計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)可靠性、可用性、安全性和數(shù)據(jù)完整性或者小號(hào)系統(tǒng)資源的惡意程序。4.4.2惡意代碼的命名規(guī)則1、惡意代碼的一般命名格式為：＜惡意代碼前綴＞.＜惡意代碼名稱＞.＜惡意代碼后綴〉惡意代碼前綴是指一個(gè)惡意代碼的種類，比如常見(jiàn)的木馬程序的前綴Trojan,網(wǎng)絡(luò)蠕蟲的前綴是Worm,后門的前綴為BackDoor，破壞性程序病毒的前綴是Harm,玩笑病毒的前綴是Joke,捆綁機(jī)病毒Binder2、卡巴斯基在對(duì)蠕蟲進(jìn)行命名分類時(shí)，主要將其劃分為：net-Worm/email-Worm/IM-Worm/IRC-Wrom/P2P-Worm等，在威脅程度上，net-Worm>Email-worm>IM-Worm>IRC-Worm/P2P-Worm.4.4.5特洛伊木馬1、 木馬的常見(jiàn)功能有：主機(jī)信息管理、文件系統(tǒng)管理、屏幕監(jiān)視和控制、密碼截獲、注冊(cè)表管理、服務(wù)管理、進(jìn)程管理、鍵盤記錄、Shell控制等功能。2、 為了清除惡意代碼，需要按照如下步驟進(jìn)行：（1）停止惡意代碼的所有活動(dòng)行為（包括停止進(jìn)程、服務(wù)、卸載DLL等）。（2）刪除惡意代碼新建的所有文件備份（包括可執(zhí)行文件文件、DLL文件、驅(qū)動(dòng)程序等）。（3）清除惡意代碼寫入的所有啟動(dòng)選項(xiàng)。（4）對(duì)被計(jì)算機(jī)病毒感染的文件，還需要對(duì)被感染文件進(jìn)行病毒清除等。4.4.9典型反病毒技術(shù)1、目前典型的反病毒技術(shù)有：特征碼技術(shù)、虛擬機(jī)技術(shù)、啟發(fā)掃描技術(shù)、行為監(jiān)控技術(shù)、主動(dòng)防御技術(shù)、云查殺技術(shù)等。4.5計(jì)算機(jī)取證1、 電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的，是法庭所能接受的。同時(shí)，電子證據(jù)與傳統(tǒng)證據(jù)不同，具有高科技性、無(wú)形性和易破壞性等特點(diǎn)。2、 針對(duì)智能卡有下面幾種常見(jiàn)的攻擊手段：物理篡改：想辦法使卡中的集成電路暴露出來(lái)，用微探針在芯片表面，直接讀出存儲(chǔ)器中的內(nèi)容。時(shí)鐘抖動(dòng)：讓時(shí)鐘工作在正常的頻率范圍，但是在某一精確計(jì)算的時(shí)間間隔內(nèi)突然注入高頻率的脈沖，導(dǎo)致處理器丟失一兩條指令。超范圍電壓探測(cè)：與超范圍時(shí)鐘頻率探測(cè)類似，通過(guò)調(diào)整電壓，使處理器出錯(cuò)。3、 智能手機(jī)的軟件操作系統(tǒng)有：WindowsCE、PalmOS、PocketPC、WindowsPhone和IOS，安卓等。第六章：網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品6.1網(wǎng)絡(luò)安全需求分析與基本設(shè)計(jì)1、網(wǎng)絡(luò)安全體系結(jié)構(gòu)則是由三個(gè)安全單元組成的，分別是安全服務(wù)，協(xié)議層次和系統(tǒng)單元。網(wǎng)絡(luò)安全體系結(jié)構(gòu)示意圖如下：

[Z一系統(tǒng)電元鬼[Z一系統(tǒng)電元鬼64網(wǎng)絡(luò)安仝體系結(jié)殉忒慮國(guó)安全胴務(wù)2、 安全服務(wù)主要包括了六個(gè)方面：認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴性、審計(jì)和可用性。3、 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)應(yīng)按照以下原則：最小權(quán)限原則、縱深防御原則、防御多樣性原則、防御整體性原則、安全性與代價(jià)平衡原則、網(wǎng)絡(luò)資源的等級(jí)性原則。6?2網(wǎng)絡(luò)安全產(chǎn)品的配置與使用1、 網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)主要包括：基于數(shù)據(jù)采集探針的流量監(jiān)控技術(shù)、基于SNMP(SimpleNetworkManagementProtocol,SNMP)/RMON(RemoteNetworkMonitoring,RMON)的流量監(jiān)控技術(shù)，基于Netflow/sFlow的流量監(jiān)控技術(shù)以及基于實(shí)時(shí)抓包的流量監(jiān)控技術(shù)等這3種常用的技術(shù)。2、 數(shù)據(jù)采集探針是專門用于獲取網(wǎng)絡(luò)鏈路流量數(shù)據(jù)的硬件設(shè)備。按實(shí)現(xiàn)方式可以分為軟件架構(gòu)和硬件架構(gòu)。使用時(shí)是通過(guò)交換機(jī)流量鏡像端口或直接將其串接在待觀測(cè)的鏈路上，對(duì)鏈路上所有的數(shù)據(jù)報(bào)文進(jìn)行處理，提取流量監(jiān)測(cè)所需的協(xié)議字段深圳全部報(bào)文內(nèi)容。3、 與其他3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但硬件探針的監(jiān)測(cè)方式受限于探針的接口速率，一般只針對(duì)1000Mb以下的速率，而且探針?lè)绞街攸c(diǎn)是單條鏈路的流量分析。4、 深度流檢測(cè)技術(shù)主要分為三部分：流特征選擇、流特征提取、分類器。常見(jiàn)的流特征有：流中數(shù)據(jù)包的個(gè)數(shù)、流中數(shù)據(jù)包的總大?。涣鞯某掷m(xù)時(shí)間；在一定的流深度，流中包的最小、最大長(zhǎng)度及均方差；在一定的流深度，流中最小、最大時(shí)間及均方差；在一定的流深度，某方向上的數(shù)據(jù)包總和。5、 常見(jiàn)的特征選擇算法有BIF(BestIndividualFeature,BIF)算法、MIFS(MutualInformationFeatureSelection,MIFS)算法、MIFS-U(MutualInformationFeatureSelection-Uncertainty,MIFS-U)算法、FCBF(FastCorrelation-basedFilter,FCBF)算法等，用于選擇影響因子最大的流特征，便于之后的攻擊流量識(shí)別。6?3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施1、 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的原則有：標(biāo)準(zhǔn)性原則、關(guān)鍵業(yè)務(wù)原則、可控性原則、最小影響原則；2、 一般將風(fēng)險(xiǎn)評(píng)估實(shí)施劃分為評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)處置四個(gè)階段；3、 常見(jiàn)的被動(dòng)攻擊包括：偵察、嗅探、監(jiān)聽(tīng)、流量分析、口令截獲等。4、 常見(jiàn)的鄰近攻擊有偷取磁盤后又放回，偷窺屏幕信息，收集作廢的打印紙，房間竊聽(tīng)，毀壞通信線路。5、 分發(fā)攻擊是指在軟件和硬件的開(kāi)發(fā)、生產(chǎn)、運(yùn)輸和安裝階段，攻擊者惡意修改設(shè)計(jì)、配置等行為。常見(jiàn)的包括：利用制造商在設(shè)備上設(shè)置隱藏功能，在產(chǎn)品分發(fā)、安裝時(shí)修改軟硬件配置，在設(shè)備和系統(tǒng)維護(hù)升級(jí)過(guò)程中修改軟硬件配置等。6、 威脅賦值分為很高、高、中等、低、很低5個(gè)級(jí)別，級(jí)別越高表示威脅發(fā)生的可能性越高。7、 脆弱性識(shí)別所采用的方法主要有：文檔查閱、問(wèn)卷調(diào)查、人工核查、工具檢測(cè)、滲透測(cè)試等。8、 風(fēng)險(xiǎn)處置方式一般包括接收、消減、轉(zhuǎn)移、規(guī)避等。安全整改是風(fēng)險(xiǎn)處置中常用的風(fēng)險(xiǎn)消減方法。風(fēng)險(xiǎn)評(píng)估序提出安全整改建議。9、 被評(píng)估組織包括：?jiǎn)挝恍畔踩鞴茴I(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門主管人員、信息技術(shù)部門主管人員、參與評(píng)估活動(dòng)的主要人員等。6?4網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用1、 半連接(SYN)掃描是端口掃描沒(méi)有完成一個(gè)完整的TCP連接，在掃描主機(jī)和目標(biāo)主機(jī)的一指定端口簡(jiǎn)歷連接時(shí)候只完成了前兩次握手，在第三步時(shí)，掃描主機(jī)中斷了本次連接，使連接沒(méi)有完全建立起來(lái)，這樣的端口掃描稱為半連接掃描，也稱為間接掃描?，F(xiàn)有的半連接掃描有TCPSYN掃描和IPID頭dumb掃描等。2、 SYN掃描的優(yōu)點(diǎn)在于即使日志中對(duì)掃描有所記錄，但是嘗試進(jìn)行連接的繼龍也要比全掃描少得多。缺點(diǎn)是在大部分操作系統(tǒng)下，發(fā)送主機(jī)需要構(gòu)造適用于這種掃描的IP包，通常情況下，構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用。3、 FIN秘密掃描就是向它的目的地一個(gè)根本不存在的連接發(fā)送FIN信息，如果這項(xiàng)服務(wù)沒(méi)有開(kāi)，那么目的地會(huì)響應(yīng)一條錯(cuò)誤信息，但如果是有這項(xiàng)服務(wù)，那么它將忽略這條信息。4、 VPN作為一種組網(wǎng)技術(shù)的概念，有三種應(yīng)用方式：遠(yuǎn)程訪問(wèn)虛擬專網(wǎng)(AccessVPN)、企業(yè)內(nèi)部虛擬專網(wǎng)(IntranetVPN)、擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)(ExtranetVPN)O5、 目前，VPN主要采用四種技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。其中，隧道技術(shù)是VPN的基本技術(shù)。6、 基于第二層隧道協(xié)議的VPN也就是OSI模型中的數(shù)據(jù)鏈路層的安全協(xié)議。從軟件方面考慮當(dāng)前在此層提供安全隧道技術(shù)的安全協(xié)議主要有：PPTP和L2P和L2TPo7、 異地備份，通過(guò)互聯(lián)網(wǎng)TCP/IP協(xié)議，將生產(chǎn)中心的數(shù)據(jù)備份到異地。備份時(shí)要注意“一個(gè)三”和“三個(gè)不原則”，必須備份到300公里以外，并且不能在同一地震帶，不能在同地電網(wǎng)，不能在同一江河流域。最好是能夠建立其“兩地三中心”的模式，既做同城備份也做異地備份，這樣數(shù)據(jù)的安全性會(huì)高得多。

第七章：信息系統(tǒng)安全工程7.1訪問(wèn)控制1、 彩虹表可以看成是一種非常有效，但有損耗的壓縮散列查找表的實(shí)現(xiàn)算法。它采用時(shí)空折中思路，引入hash鏈的每一步的使用不同的還原函數(shù)并取出了辨識(shí)點(diǎn)的思想。其基本思路為：假設(shè)有一種口令哈希函數(shù)H和一個(gè)有限口令集？，目標(biāo)是預(yù)先計(jì)算一個(gè)數(shù)據(jù)結(jié)構(gòu)，對(duì)于任意的哈希函數(shù)輸出h/r/