2023年信息安全等級測評師培訓(xùn)教程初級學(xué)習(xí)筆記

第一章網(wǎng)絡(luò)安全測評

1.1網(wǎng)絡(luò)全局

1.1.1結(jié)構(gòu)安全

a）應(yīng)保證重要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)解決能力有冗余空間，滿足業(yè)務(wù)高峰期需要

b）應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；

c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問途徑；

d）應(yīng)繪制與當(dāng)前運營情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

e）應(yīng)根據(jù)各部分的工作職能、重要性和所涉及信息的重要限度等因素，劃分不同的子網(wǎng)和

網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分派地址段

f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之

間采用可靠的技術(shù)隔離手段

g）應(yīng)按照對業(yè)務(wù)服務(wù)的重要順序來制定帶寬分派優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保

護重要主機。

1.1.2邊界完整性檢查

a）應(yīng)可以對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)擬定位，并對其進行有效阻

斷；

技術(shù)手段:網(wǎng)絡(luò)接入控制，關(guān)閉網(wǎng)絡(luò)設(shè)備未使用的端口、IP/MAC地址綁定等

管理措施;進入機房全程陪同、紅外視頻監(jiān)控等

b）應(yīng)可以對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)擬定位，并對其進行有效阻

斷;

1.1.3入侵防范

a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下襲擊行為：端口掃描、強力襲擊、木馬后門襲擊、拒絕服務(wù)襲

擊、緩沖區(qū)溢出襲擊、IP碎片襲擊和網(wǎng)絡(luò)蠕蟲襲擊等；

b）當(dāng)檢測到襲擊行為時，記錄襲擊源IP、襲擊類型、襲擊目的、襲擊時間，在發(fā)生嚴(yán)重入侵

事件時應(yīng)提供報警

1.1.4惡意代碼防范

a）應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；

b）應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新

1.2路由器

1.2.1訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備，啟用訪問控制功能；

可以起訪問控制功能的設(shè)備有：網(wǎng)閘、防火墻、路由器和三層路由互換機等

b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

c）應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)相應(yīng)用層HTTP,FTP,TELNET,SMTP,POP

3等協(xié)議命令級的控制

d）應(yīng)在會話處在非活躍一定期間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

路由器可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量；

根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)

路由器的帶寬策略一般采用分層的帶寬管理機制，管理員可以通過設(shè)立細(xì)粒度的帶寬策

略，對數(shù)據(jù)報文做帶寬限制和優(yōu)先級別設(shè)定，還可以通過源地址、目的地址、用戶和協(xié)議

4個方面來限制帶寬

f）重要網(wǎng)段應(yīng)采用技術(shù)手段防止地址欺騙

地址欺騙中的地址可以使MAC地址，也可以使IP地址。目前發(fā)生比較多的是ARP地址欺

騙,ARP地址欺騙是MAC地址欺騙的一種。ARP（AddressReso1utionProtocol,

地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個IP地址解析成相應(yīng)

的MAC地址。

ARP欺騙分為2種，一種是對網(wǎng)絡(luò)設(shè)備ARP表的欺騙，另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

解決方法：1在網(wǎng)絡(luò)設(shè)備中把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫IP-MAC綁

定；

2.在內(nèi)網(wǎng)所有PC上設(shè)立網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PCIP-MAC綁定。

一般規(guī)定2個工作都要做，稱為IP-MAC雙向綁定

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控

制粒度為單個用戶

h）應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量

1.2.2安全審計

a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運營狀況、網(wǎng)絡(luò)流量、用戶行為等進行日記記錄；

b）審計記錄應(yīng)涉及：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相

關(guān)的信息；

c）應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等;

1.2.3網(wǎng)絡(luò)設(shè)備防護

a）應(yīng)對登陸網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；

一一用戶登錄路由器的方式涉及：

&1運用控制臺端口（Conso⑹通過串口進行本地連接登錄；

&2運用輔助端口（AUX）通過MODEM進行遠程撥號連接登錄

&3運用虛擬終端（VTY）通過TCP/IP網(wǎng)絡(luò)進行遠程登錄

——無論哪一種登錄方式，都需要對用戶身份進行鑒別，口令是路由器用來防止非授權(quán)訪

問的常用手段，是路由器安全的一部分。

一一需要加強對路由器口令的管理，涉及口令的設(shè)立和存儲，最佳的口令存儲方式是保存

在TACACS+或RADIUS認(rèn)證服務(wù)器上。

檢查方法：

1）在特權(quán)模式下輸入命令showrunning.config會輸出該路由器相關(guān)配置信息

2）檢查配置信息中是否存在類似如下的配置信息

Linevty04（虛擬終端）

Login

Passwordxxxxx

Lineaux0（輔助端口）

Login

Passwordxxxxxx

Linecon0（控制臺端口）

Login

Passwordxxxxx

3）為特權(quán)用戶設(shè)立口令時，應(yīng)當(dāng)使用enableseeret命令

該命令用于設(shè)定具有管理員權(quán)限的口令，enab1esecret命令采用的是MD5算法,這種算

法比enablepassword加密算法強，不容易被破解。

4）假如設(shè)備啟用了AAA認(rèn)證，則查看配置信息應(yīng)當(dāng)存在類似如下配置信息

aaanew-model

tacacs-serverhost1single-connecting

tacacs-serverkeysharedl

aaanew-modeI

radius-serverhos1

radius—serverkeysharedl

1inevty04

aaaauthorization1ogin

b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)記應(yīng)唯一；

d）重要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進行身份鑒別；

雙因子鑒別還需要訪問者擁有鑒別特性：采用令牌、智能卡、數(shù)字證書和生物信息等

e）身份鑒別信息應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度規(guī)定并定期更換；

f）應(yīng)具有登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時

自動退出等措施；

g）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采用必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊

聽；

不應(yīng)當(dāng)使用明文傳送的Telnet、http服務(wù)，應(yīng)當(dāng)采用SSH、HTTPS等加密協(xié)議等方式

來進行交互式管理

h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離;

1.3互換機

1.3.1訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級

c）應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)相應(yīng)用層HTTP、FTP、Te1net、SMTP、

POP3等協(xié)議命令級的控制

d）應(yīng)在會話處在非活躍一定期間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)

互換機可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量；

根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)

互換機的帶寬策略一般采用分層的帶寬管理機制，管理員可以通過設(shè)立細(xì)粒度的帶寬策略，

對數(shù)據(jù)報文做帶寬限制和優(yōu)先級別設(shè)定，還可以通過源地址、目的地址、用戶和協(xié)議4個

方面來限制帶寬

f）重要網(wǎng)段應(yīng)采用技術(shù)手段防止地址欺騙

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制

粒度為單個用戶。

1.3.2安全審計

a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運營狀況、網(wǎng)絡(luò)流量、用戶行為等進行日記記錄；

b）審計記錄應(yīng)涉及：時間的日期和時間、用戶、事件類型、事件是否成功及其他與審計相

關(guān)的信息；

c）應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表

d）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或者覆蓋等

1.3.3網(wǎng)絡(luò)設(shè)備保護

a）應(yīng)對登陸網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；

b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登陸地址進行限制

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)記須唯一

d）重要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇2種或者2種以上組合的鑒別技術(shù)來進行身份鑒別；

e）身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度規(guī)定并定期更換；

f）應(yīng)具有登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超

時自動退出等措施；

g）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時,應(yīng)采用必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離

1.3.3網(wǎng)絡(luò)設(shè)備防護

a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別

b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)記應(yīng)唯一；

d）重要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進行身份鑒別

e）身邊鑒別信息應(yīng)當(dāng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜限度規(guī)定并定期更換；

f）應(yīng)具有登錄失敗解決的功能，可采用結(jié)束會話，限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超

時自動退出的措施；

g）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時,應(yīng)采用必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離

1.4防火墻

1.4.1訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能；

b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

防火墻的安全策略的配置應(yīng)當(dāng)根據(jù)信息系統(tǒng)的應(yīng)用進行配置，只允許授權(quán)的1P地址、協(xié)

議、端口通過,對于沒有明確允許通過的數(shù)據(jù)流默認(rèn)應(yīng)當(dāng)是被嚴(yán)禁的。同時可以通過配置

NAT、靜態(tài)地址映射、IP地址綁定等措施隱藏內(nèi)部網(wǎng)絡(luò)信息，以最大限度地保證被保護網(wǎng)絡(luò)

的安全

c）應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)相應(yīng)用層HTTP,FTP,Telnet,SMTP,POP3

等協(xié)議命令級的控制

d）應(yīng)在會話處在非活躍一定期間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f）重要網(wǎng)段應(yīng)采用技術(shù)手段防止地址欺騙

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,

控制粒度為單個用戶

h）應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量

1.4.2安全審計

a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運營狀況、網(wǎng)絡(luò)流量、用戶行為等進行日記記錄；

b）審計記錄涉及:事件的日期和時間、用戶、事件類型、事件是否成功及其他審計相關(guān)的信

息；

c）應(yīng)能根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等;

1.4.3網(wǎng)絡(luò)設(shè)備防護

a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別

b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

需要對遠程管理防火墻的登錄地址進行限制，可以是某一特定的IP地址，也可以來自某'

子網(wǎng)、地址范圍或地址組

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)記應(yīng)唯一；

d）重要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進行身份鑒別

e）身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜限度規(guī)定并定期更換；

f）應(yīng)具有登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時

自動退出等措施；

g）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采用必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離

1.5入侵檢測/防御系統(tǒng)

1.5.1訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界部署控制設(shè)備，啟用訪問控制；

此處的訪問控制重要指入侵防御系統(tǒng)具有的訪問控制功能，入侵檢測系統(tǒng)IDS不具有此功

能

b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級

c）應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)相應(yīng)用層HTTP、FTP、Telnet,SMTP.PO

P3等協(xié)議命令級的控制；

d）應(yīng)在會話處在非活躍一定期間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)

f）重要網(wǎng)段應(yīng)采用技術(shù)手段防止地址欺騙

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,

控制粒度為單個用戶；

h）應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量

1.5.2安全審計

a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進行運營狀況、網(wǎng)絡(luò)流量、用戶行為等進行日記記錄；

b）審計記錄應(yīng)涉及：事件的日期和時間、用戶、事件類型、事件是否成功及其他審計相關(guān)

的信息；

c）應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等；

1.5.3網(wǎng)絡(luò)設(shè)備防護

a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別

b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)記應(yīng)唯一；

d）重要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇2種或者2種以上組合的鑒別技術(shù)來進行身份鑒別

e）身邊鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜限度規(guī)定并定期更換；

f）應(yīng)具有登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時

自動退出等措施

h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離

第2章主機安全測評

2.1操作系統(tǒng)測評

2.1.1身份鑒別

a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)記和鑒別

b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜

度規(guī)定并定期更換；

WindowsOS中查看“本地安全策略一賬戶策略一密碼策略”中的相關(guān)項目：

1、設(shè)立密碼歷史規(guī)定（此設(shè)立可保證用戶無法復(fù)用密碼）：24

2、設(shè)立密碼最長使用期限:70天

3、設(shè)立密碼最短使用期限：2天

4、設(shè)立最短密碼長度：8個字符

5、設(shè)立密碼復(fù)雜性規(guī)定:啟用

6,啟用密碼可逆加密:不啟用

LinuxOS:

PASS_MAX_DAYS90

PASS_MIN_DAYS0

PASS_MIN_LEN8

PASS_WARN_AGE7登錄密碼過期提前7天提醒修改

FAIL_DELAY10登錄錯誤時等待時間10秒

FAILL0G_ENABYES登錄錯誤記錄到日記

FAILLOG_SU_ENABYES當(dāng)限定超級用戶管理日記時使用

FAILLOG_SG_ENABYES當(dāng)限定超級用戶組管理日記時使用

MD5CRYPTENABYES當(dāng)使用md5為密碼的加密方法時使用

c）應(yīng)啟用登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施

d）當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采用必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分派不同的用戶名，保證用戶名具有唯一性

f）應(yīng)采用2種或2種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別

2.1.2訪問控制

a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

訪問控制是安全防范和保護的重要策略，它不僅應(yīng)用與網(wǎng)絡(luò)層面，同樣也合用于主機層

面，它的重要任務(wù)是保證系統(tǒng)資源不被非法合用和訪問，合用訪問控制的目的在于通過限

制用戶對特定資源的訪問來保護系統(tǒng)資源。

重要涉及2個方面的內(nèi)容：文獻系統(tǒng)和默認(rèn)共享

文獻權(quán)限：

在windows系統(tǒng)中，重要目錄不能對“everyone”賬戶開放，在權(quán)限控制方面,特別要

注意文獻權(quán)限更改后對于應(yīng)用系統(tǒng)的影響；

在Linux系統(tǒng)中，應(yīng)堅持Linux系統(tǒng)重要目錄的權(quán)限設(shè)立情況，對于配置文獻權(quán)限制不能

大于644,對于可執(zhí)行文獻不能大于755。

以r。ot身份登錄Linux,使用"Ls-I文獻名”查看重要文獻和目錄權(quán)限設(shè)立是否合理

默認(rèn)共享：

WindowsOS的默認(rèn)共享功能的設(shè)計初衷是為了方便網(wǎng)管通過網(wǎng)絡(luò)對計算機進行遠程管理

而設(shè)的，它的存在依賴于系統(tǒng)服務(wù)的“server"。為保證系統(tǒng)安全性,通常我們可以將其關(guān)

閉。LinuxOS通常不存在默認(rèn)共享

1）在命令模式下輸入netshare,查看共享

2）查看注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restr

ictanonymous值是否為"0"（0表達共享啟動）

b）應(yīng)根據(jù)管理用戶的角色分派權(quán)限,實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最

小權(quán)限；

c）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

d）應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令

e）應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在

f）應(yīng)對重要信息資源設(shè)立敏感標(biāo)記；

g）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作

2.1.3安全審計

a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

b）審計內(nèi)容應(yīng)涉及重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)

重要的安全相關(guān)事件；

c）審計記錄應(yīng)涉及事件的日期、時間、類型、主體標(biāo)記、客體標(biāo)記和結(jié)果等；

d）應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

e）應(yīng)保護審計進程，避免受到未預(yù)期的中斷；

f）應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；

2.1.4剩余信息保護

a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分派給其他

用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中

b）應(yīng)保證系統(tǒng)內(nèi)的文獻、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分派給其

他用戶前得到完全清除;

2.1.5入侵防范

a）應(yīng)可以檢測到對重要服務(wù)器進行入侵的行為，可以記錄入侵的源IP,襲擊的類型、目

的、時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；

b）應(yīng)可以對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；

c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)立升級服務(wù)器

等方式保持系統(tǒng)補丁及時得到更新

2.1.6惡意代碼防范

a）應(yīng)安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫；

b）主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫

c）應(yīng)支持防惡意代碼的統(tǒng)一管理

2.1.7資源控制

a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

b）應(yīng)根據(jù)安全策略設(shè)立登錄終端的操作超時鎖定；

c）應(yīng)對重要服務(wù)器進行監(jiān)視，涉及監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情

況；

d）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；

e）應(yīng)可以對系統(tǒng)的服務(wù)水平減少到預(yù)先規(guī)定的最小值進行檢測和報警

2.2數(shù)據(jù)庫系統(tǒng)測評

2.2.1身份鑒別

a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)記和鑒別；

b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)記應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜限度

規(guī)定并定期更換；

c）應(yīng)啟用登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施

d）當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采用必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分派不同的用戶名，保證用戶名具有唯一性；

f）應(yīng)采用2種或2種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別

2.2.2訪問控制

a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

b）應(yīng)根據(jù)管理用戶的角色分派權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最

小權(quán)限；

c）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

d）應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令；

e）應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在；

f）應(yīng)對重要信息資源設(shè)立敏感標(biāo)記；

g）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；

2.2.3安全審計

a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;Elb）審計

內(nèi)容應(yīng)涉及重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安

全相關(guān)事件

c）審計記錄應(yīng)涉及事件的日期、時間、類型、主體標(biāo)記、客體標(biāo)記和結(jié)果等

d）應(yīng)能根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

e）應(yīng)保護審計進程，避免受到未預(yù)期的中斷；

f）應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；

2.2.4資源控制

a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

b）應(yīng)根據(jù)安全策略設(shè)立登錄終端的操作超時鎖定；

c）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度

第3章應(yīng)用安全測評

3.1身份鑒別

a）應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)記和鑒別；

b）應(yīng)對同一用戶采用2種或者2種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；

c）應(yīng)提供用戶身份標(biāo)記唯一和鑒別信息復(fù)雜度檢測功能,保證應(yīng)用系統(tǒng)中不存在反復(fù)用戶身

份標(biāo)記，身份鑒別信息不易被冒用；

d）應(yīng)提供登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

e）應(yīng)啟用身份鑒別、用戶身份標(biāo)記唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查，以及登錄

失敗解決功能，并根據(jù)安全策略配置相關(guān)參數(shù)；

3.2訪問控制

a）應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文獻、數(shù)據(jù)庫表等客體的訪問;

b）訪問控制的覆蓋范圍應(yīng)涉及與資源訪問相關(guān)的主體、客體及它們之間的操作;

c）應(yīng)有授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；

d）應(yīng)授予不同賬戶為完畢各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成互相制約的關(guān)

系；

e）應(yīng)具有對重要信息資源設(shè)立敏感標(biāo)記的功能；

f）應(yīng)根據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；

3.3安全審計

a）應(yīng)提供覆蓋到每個用戶的安全審計功能，相應(yīng)用系統(tǒng)重要安全事件進行審計；

b）應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；

c）審計記錄的內(nèi)容至少應(yīng)涉及事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；

d）應(yīng)提供對審計記錄數(shù)據(jù)進行記錄、查詢、分析及生成審計報表的功能

3.4剩余信息保護

a）應(yīng)保證用戶鑒別信息所在的存儲空間唄釋放或再分派給其他用戶前被完全清除，無論這

些信息是存放在硬盤上還是在內(nèi)存中；

b）應(yīng)保證系統(tǒng)內(nèi)的文獻、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間唄釋放或重新分派給其

他用戶前得到完全清除；

3.5通信完整性

a）應(yīng)采用密碼技術(shù)保證通信過程中的數(shù)據(jù)的完整性;

3.6通信保密性

a）在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)運用密碼技術(shù)進行會話初始化驗證；

b）應(yīng)對通信過程中的整個報文或會話過程進行加密；

3.7抗抵賴

a）應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接受者提供數(shù)據(jù)原發(fā)證據(jù)的功能：

b）應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接受者提供數(shù)據(jù)接受證據(jù)的功能；

3.8軟件容錯

a）應(yīng)提供數(shù)據(jù)有效性檢查功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或

長度符合系統(tǒng)設(shè)定規(guī)定；

b）應(yīng)提供自動保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)，保證系統(tǒng)可以進行恢復(fù)；

3.9資源控制

a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方面可以自動結(jié)束會

話；

b）應(yīng)可以對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c）應(yīng)可以對單個賬戶的多重并發(fā)會話進行限制；

d）應(yīng)可以對一個時間段內(nèi)也許的并發(fā)會話連接數(shù)進行限制；

e）應(yīng)可以對一個訪問賬戶或一個請求進程占用的資源分派最大限額和最小限額；

f）應(yīng)可以對系統(tǒng)服務(wù)水平減少到預(yù)先規(guī)定的最小值進行檢測和報警；

g）應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問賬戶或請求進程的優(yōu)先

級，根據(jù)優(yōu)先級分派系統(tǒng)資源;

第4章數(shù)據(jù)安全測評

4.1數(shù)據(jù)完整性

a）應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性受到破

壞,并在檢測到完整性錯誤時采用必要的恢復(fù)措施；

b）應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破

壞，并在檢測到完整性錯誤時采用必要的恢復(fù)措施；

4.2數(shù)據(jù)保密性

a）應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;

b）應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性;

4.3備份和恢復(fù)

a）應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少天天一次,備份介質(zhì)場外存放;

b）應(yīng)提供異地數(shù)據(jù)備份功能，運用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定期批量傳送至備用場地；

c）應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；

d）應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)解決系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性

第7章工具測試

7.1測試目的

工具測試，是運用各種測試工具，通過對目的系統(tǒng)的掃描、探測等操作,使其產(chǎn)生特定

的響應(yīng)等活動，查看、分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效

實行的一種方法

7.2測試內(nèi)容

運用工具測試，不僅可以直接獲取到目的系統(tǒng)自身存在的系統(tǒng)、應(yīng)用等方面的漏洞，同

時，也可以通過在不同的區(qū)域接入測試工具所得到的測試結(jié)果，判斷不同區(qū)域之間的訪問控

制情況。

7.3測試流程

7.3.1收集信息

1）網(wǎng)絡(luò)設(shè)備

目的網(wǎng)絡(luò)設(shè)備的基本信息，如路由器、互換機型號等；

需要了解目的系統(tǒng)網(wǎng)絡(luò)設(shè)備的物理端口情況，是否具有接入測試工具的條件；

目的網(wǎng)絡(luò)設(shè)備的IP地址

2）安全設(shè)備

目的安全設(shè)備的基本信息，比如防火墻,IDS或者特殊安全設(shè)備型號等；

目的安全設(shè)備的IP地址，注意防火墻,IDS等也許工作在透明模式或沒有IP地址

3）主機

目的主機的基本信息,涉及主機操作系統(tǒng)，運營的重要應(yīng)用等

目的主機的IP地址

目的主機的重要業(yè)務(wù)時間段，為選擇工具測試時間段做準(zhǔn)備

4）網(wǎng)絡(luò)拓?fù)浣Y(jié)果

目的系統(tǒng)的網(wǎng)絡(luò)結(jié)果，直接影響到測試時的接入點的設(shè)立。

需要了解目的系統(tǒng)的網(wǎng)絡(luò)區(qū)域劃分，比如應(yīng)用區(qū)，數(shù)據(jù)庫區(qū)等；

目的系統(tǒng)各個網(wǎng)絡(luò)設(shè)備、安全設(shè)備的位置；

擬定目的系統(tǒng)不同區(qū)域之間的關(guān)系，比如區(qū)域級別的關(guān)系及區(qū)域之間的大約業(yè)務(wù)數(shù)據(jù)流

程。

7.3.2規(guī)劃接入點

工具測試的首要原則是在不影響目的系統(tǒng)正常運營的前提下嚴(yán)格按照方案選定范圍進

行測試。

接入點規(guī)劃的，基本的、共性的原則：

（1）由低檔別系統(tǒng)向高級別系統(tǒng)探測；

（2）同一系統(tǒng)同等重要限度功能區(qū)域之間要互相探測；

（3）由較低重要限度區(qū)域向較高重要限度區(qū)域探測；

（4）由外聯(lián)接口向系統(tǒng)內(nèi)部探測；

（5）跨網(wǎng)絡(luò)隔離設(shè)備（涉及網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測；

7.3.3編制《工具測試作業(yè)指導(dǎo)書》

《工具測試作業(yè)指導(dǎo)書》是工具測試順利進行、測試證據(jù)準(zhǔn)確獲取的重要保證，是對

之前各個準(zhǔn)備階段中獲取到信息的總結(jié)，也是對我們進行現(xiàn)場工具測試的指導(dǎo)文獻。

7.3.4現(xiàn)場測試

現(xiàn)場測試，是工具測試的一個重要實行階段，也是取得工具測試證據(jù)的重要階段。

測試過程中，必須具體記錄每一接入點測試的起止時間、接入IP地址（涉及接入設(shè)備的IP

地址配置,掩碼、網(wǎng)管配置等）。假如測試過程中出現(xiàn)異常情況，要及時記錄。測試結(jié)果要

及時整理、保存，重要驗證環(huán)節(jié)要抓圖為證，為測試結(jié)果的整理準(zhǔn)備充足必要的證據(jù)。

7.3.5結(jié)果整理

從整理的結(jié)果中，可以分析出被測系統(tǒng)中各個被測個體存在的漏洞情況，也可以根據(jù)

各個接入點測試結(jié)果的記錄整理，分析出各個區(qū)域之間的訪問控制策略配置情況。

7.4注意事項

1）工具測試接入測試設(shè)備之前，一方面要有被測系統(tǒng)人員擬定測試條件是否具有。測試條件

涉及被測網(wǎng)絡(luò)設(shè)備、主機、安全設(shè)備等是否都在正常運營，測試時間段是否為可測試時間段;

2）接入系統(tǒng)的設(shè)備、工具的IP地址等配置要通過被測系統(tǒng)相關(guān)人員確認(rèn)

3）對于測試過程也許導(dǎo)致的對目的系統(tǒng)的網(wǎng)絡(luò)流量及主機性能等方面的影響（例如口令探

測也許會導(dǎo)致的賬號鎖定等情況），要事先告知被測系統(tǒng)相關(guān)人員。

4）對于測試過程中的關(guān)鍵環(huán)節(jié)、重要證據(jù)，要及時運用抓圖等取證工具取證.

5）對于測試過程中出現(xiàn)的異常情況（服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷等）要及時記錄。

6）測試結(jié)束后,需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后離場。

附錄A信息安全技術(shù)

A.1標(biāo)記與鑒別

A.1.1技術(shù)簡介

標(biāo)記是指用戶（設(shè)備）向信息系統(tǒng)（或?qū)Φ葘嶓w）表白其身份的行為;

鑒別是指信息系統(tǒng)運用單一或者多重鑒別機制對用戶（設(shè)備）所聲稱身份的真實性進行驗證

的過程

1）基于用戶所知的信息

例如：個人標(biāo)記號（PIN）,口令等

2）基于用戶所持有的物品

例如:門卡、智能卡、硬件令牌等

記憶令牌、智能令牌

3）基于用戶特性

例如：指紋、虹膜、視網(wǎng)膜掃描結(jié)果或者其他生物特性等特有信息

A.1.2典型產(chǎn)品

1）硬件令牌

基于時間的動態(tài)令牌:在一定的時間間隔內(nèi)根據(jù)口令計算器（令牌）通過某種算法和其他要素

動態(tài)生成一個口令，認(rèn)證端根據(jù)相同的算法和要素計算出同一時刻的口令，進行比對。

基于挑戰(zhàn)應(yīng)答的令牌：其在實現(xiàn)原理上與時間令牌相似，同樣是認(rèn)證端隨機生成挑戰(zhàn)數(shù)，客戶

端對其進行加密運算并回傳，與認(rèn)證端相比對。

2）數(shù)字證書

數(shù)字證書是由認(rèn)證中心生成并經(jīng)認(rèn)證中心數(shù)字簽字的，標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系

列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中辨認(rèn)通信各方的身份。

A.2訪問控制

A.2.1技術(shù)簡介

1）按訪問控制策略劃分

自主訪問控制、強制訪問控制、基于角色的訪問控制（Role-BasedAccessContro1,RB

AC）

自主訪問控制

使用自主訪問控制機制的系統(tǒng)允許資源所有者（主體）自主決定誰可以訪問、如何訪問

其資源（客體）

強制訪問控制

強制訪問控制是一種不允許主體干涉的訪問控制類型，在強制訪問控制機制下,系統(tǒng)內(nèi)

的每一個用戶或主體被賦予一個訪問標(biāo)簽以表達他對敏感性客體的訪問許可級別，同樣，

系統(tǒng)內(nèi)的每一個客體也被賦予一個敏感性標(biāo)簽以反映該信息的敏感性級別，系統(tǒng)內(nèi)的“引

用監(jiān)視器”通過比較主客體相應(yīng)的標(biāo)簽來決定是否授予一個主體隊客體的訪問請求。

一一主體對客體的訪問必須滿足以下條件：

A主體的安全級別不低于客體的安全級別；

B主體的類別包含客體的類別

基于角色的訪問控制（R。1e-BasedAccessControl,RBAC）

系統(tǒng)定義了各種角色，每種角色可以完畢一定的職能，不同的用戶根據(jù)其職能和責(zé)任被

賦予響應(yīng)的角色，一旦某個用戶稱為某角色的成員，則此用戶可以完畢該角色所具有的職

能

2）按層面劃分

網(wǎng)絡(luò)訪問控制

重要限制網(wǎng)絡(luò)設(shè)備或主機設(shè)備可以與哪些設(shè)備建立什么樣的連接以及通過網(wǎng)絡(luò)傳輸什么

樣的數(shù)據(jù)

主機訪問控制

重要是指OS和DB提供的訪問控制功能；它是限制OS或DB用戶或進程可以訪問哪些

文獻系統(tǒng)、系統(tǒng)設(shè)備或數(shù)據(jù)表，以及可以對它們進行哪些訪問操作（如讀、寫、執(zhí)行等）

應(yīng)用訪問控制

訪問控制往往嵌入應(yīng)用程序（或中間件）中以提供更細(xì)粒度的數(shù)據(jù)訪問控制。通過內(nèi)置

的訪問控制模型，應(yīng)用程序可以限制用戶對功能模塊和數(shù)據(jù)的訪問，以及對它們可以進行

哪些操作等

物理訪問控制

它重要是限制用戶對物理環(huán)境和設(shè)備的物理訪問，具體方式有給房間加鎖、安裝電子門

禁系統(tǒng)，以及給設(shè)備加上防損設(shè)施等

A.2.2典型產(chǎn)品

1）互換機

網(wǎng)絡(luò)互換機重要是通過其虛擬局域網(wǎng)（VLAN）功能實現(xiàn)網(wǎng)絡(luò)訪問控制；

VLAN技術(shù)是基于鏈路層和網(wǎng)絡(luò)層之間的隔離技術(shù)

三層互換機由于集成了路由模塊，也可以通過路由的訪問控制列表實現(xiàn)網(wǎng)絡(luò)訪問控制功

能，具體實現(xiàn)原理與路由器的實現(xiàn)原理相同

2）路由器

路由器工作在網(wǎng)絡(luò)層，重要是通過訪問控制列表來實現(xiàn)訪問控制功能。

訪問控制列表是一種基于簡樸的包過濾的流向控制技術(shù)，在路由器上讀取網(wǎng)絡(luò)層及傳輸

層包頭中的信息來源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包

進行過濾,從而達成訪問控制的目的

標(biāo)準(zhǔn)訪問控制列表的具體格式為access-1istACL號permit/denyhostIP

例如access-list10deny

也可以對某個網(wǎng)段進行過濾access-1ist10deny55（將來自

/24的所有計算機數(shù)據(jù)包進行過濾丟棄）

參見PS1

3）防火墻

防火墻是最常見和成熟的網(wǎng)絡(luò)訪問控制產(chǎn)品，它一般部署在網(wǎng)絡(luò)系統(tǒng)的邊界處，屬于網(wǎng)

絡(luò)邊界的安全保護設(shè)備。

所謂網(wǎng)絡(luò)邊界是采用不同安全策略的2個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)路和互聯(lián)網(wǎng)之間連

接，和其他業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接，用戶內(nèi)網(wǎng)不同部門之間的連接等。

根據(jù)防火墻的性能和功能,它的訪問控制可以達成不同的級別

&連接控制，控制哪些應(yīng)用程序終結(jié)點之間可建立連接；

&協(xié)議控制,控制用戶通過一個應(yīng)用程序可以進行什么操作；

&數(shù)據(jù)控制,防火墻可以控制應(yīng)用數(shù)據(jù)流的通過

包過濾防火墻

根據(jù)分組包頭源地址、目的地址和端標(biāo)語、協(xié)議類型等標(biāo)記擬定是否允許數(shù)據(jù)包通過,

所根據(jù)的信息來源于IP,TCP或UDP包頭。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的

目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄

應(yīng)用代理防火墻

它作用在應(yīng)用層，分別與客戶端和服務(wù)器建立單獨的連接，徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接

通信。它在應(yīng)用層可以提供強大的數(shù)據(jù)包內(nèi)容過濾的功能，重要涉及

&阻塞URL地址

&關(guān)鍵字過濾

&阻止Java,ActiveX和JavaScript等不安全內(nèi)容的傳輸

&防止特洛伊木馬的傳輸

&防止郵件緩存溢出

狀態(tài)檢測防火墻

狀態(tài)檢測技術(shù)是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展起來的防火墻技術(shù)。它在

保存了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口等信息進行分析的基礎(chǔ)上，進一步發(fā)展了

“會話功能”，在每個連接建立時，防火墻會為這個連接構(gòu)造一個會話狀態(tài),里面包含了這

個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行

4）網(wǎng)閘

由于防火墻缺少對未知網(wǎng)絡(luò)協(xié)議漏洞導(dǎo)致的安全問題有效解決，并且無法檢測基于內(nèi)容

的網(wǎng)絡(luò)襲擊，而互聯(lián)網(wǎng)上病毒泛濫、信息恐怖、計算機犯罪等威脅H益嚴(yán)重，由此誕生了

基于協(xié)議對內(nèi)容進行檢查的產(chǎn)品一一網(wǎng)閘

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接2個獨立主機系統(tǒng)的信息安全設(shè)

備。常見的網(wǎng)閘產(chǎn)品重要分為2類：空氣開關(guān)型和專用互換通道型。

5）安全操作系統(tǒng)或操作系統(tǒng)加固產(chǎn)品

A.3密碼技術(shù)

A.3.1技術(shù)簡介

1)對稱密鑰加密(私鑰加密)

信息的發(fā)送方和接受方用同一個密鑰去加密和解密數(shù)據(jù)。最大優(yōu)勢是加/解密速度快,

適合于大數(shù)據(jù)量進行加密。對稱密鑰的加密算法有DES,3DES,AES等(3S)

對于具有n個用戶的網(wǎng)絡(luò)，需要n(n-l)/2個密鑰(即Cn2)

2)非對稱密鑰加密(公鑰加密)

需要使用一對密鑰來分別完畢加密和解密操作，一個公開,即公開密鑰，另一個由用

戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接受者用私用密鑰去解

密。非對稱密鑰加密算法重要有RSAQSA,和ECC等(AAC)

3)單向哈希函數(shù)

A.3.2典型產(chǎn)品

VPN

1)VPN概念

2)VPN工作原理

3)VPN涉及的關(guān)鍵技術(shù)

IPSec協(xié)議

SSL協(xié)議

4)VPN的應(yīng)用領(lǐng)域

遠程訪問

組建內(nèi)聯(lián)網(wǎng)

構(gòu)建外聯(lián)網(wǎng)

A.4安全審計和監(jiān)控

A.4.1技術(shù)簡介

1）安全審計

安全審計功能

&記錄、跟蹤系統(tǒng)運營狀況

&檢測安全事件

&對潛在的襲擊者起到震懾或警告作用

安全審計的分類

系統(tǒng)級、應(yīng)用級和用戶級審計

系統(tǒng)級審計規(guī)定至少可以記錄登陸結(jié)果（成功和失?。⒌卿洏?biāo)記、登錄嘗試的日期和

時間，退出的日期和時間，所使用的設(shè)備、登錄后運營的內(nèi)容（如用戶啟動應(yīng)用的嘗試，無論

成功或失?。⑿薷呐渲梦墨I的請求等；

應(yīng)用級審計跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文獻，讀取、編輯和刪除記錄或字段的

特定操作以及打印報告之類的用戶活動。

用戶審計跟蹤通常記錄用戶直接啟動的所有命令、所有的標(biāo)記和鑒別嘗試和所訪問的文

獻和資源。

2）安全監(jiān)控

概念P276

A.4.2典型產(chǎn)品

安全審計的典型產(chǎn)品是網(wǎng)絡(luò)安全審計系統(tǒng)（i）,

安全監(jiān)控的典型產(chǎn)品是入侵檢測系統(tǒng)（2）和入侵防護系統(tǒng)（3）。

1）網(wǎng)絡(luò)安全審計系統(tǒng)

網(wǎng)絡(luò)安全審計系統(tǒng)提供了一個統(tǒng)一的集中管理平臺。對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器主

機、數(shù)據(jù)庫、Web服務(wù)器等通用應(yīng)用服務(wù)系統(tǒng)以及各種特定業(yè)務(wù)系統(tǒng)在運營過程中產(chǎn)生的

日記、消息、狀態(tài)等信息進行實時采集,在實時分析的基礎(chǔ)上，檢測各種軟硬件系統(tǒng)的運營狀

態(tài)，發(fā)現(xiàn)各種異常事件并發(fā)出實時告警，并通過可視化的界面和報表向管理人員提供準(zhǔn)確、

詳盡的記錄分析數(shù)據(jù)和異常分析報告，協(xié)助管理人員及時發(fā)現(xiàn)安全隱患，采用有效措施。

涉及網(wǎng)絡(luò)探測引擎、數(shù)據(jù)管理中心、審計中心3部分

2）入侵檢測系統(tǒng)（IDS）

通常由數(shù)據(jù)采集部分、數(shù)據(jù)分析部分、控制臺部分以及”記部分幾個部分構(gòu)成，并且

這幾個部件往往放在不同的主機上。

數(shù)據(jù)采集部分從整個信息系統(tǒng)中獲得事件，并向系統(tǒng)的其他部分提供此事件。

數(shù)據(jù)分析部分分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

控制臺部分則是對分析結(jié)果做出反映的功能單元，它可以做出切斷連接、改變文獻屬

性等強烈反映，也可以只是簡樸的報警。

日記部分是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是

簡樸的文本文獻。

數(shù)據(jù)采集

&1系統(tǒng)和網(wǎng)絡(luò)日記文獻

&2目錄和文獻中的不盼望的改變

&3程序執(zhí)行中的不盼望行為

&4物理形式的入侵信息

數(shù)據(jù)分析

目前有3種技術(shù)手段來進行分析（各有什么優(yōu)缺陷）P280—281

&模式匹配1

實時的入侵

&記錄分析

&完整性分析事后分析

模式匹配：

將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違反安全

策略的行為

記錄分析：

記錄分析的方法一方面給系統(tǒng)對象（如用戶、文獻、目錄和設(shè)備等）創(chuàng)建一個記錄描

述，記錄正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的

平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀測值在正常值范圍之外時，就認(rèn)為有

入侵發(fā)生。

完整性分析：

完整性分析重要關(guān)注某個文獻或?qū)ο笫欠癖桓?，這經(jīng)常涉及文獻盒目錄的內(nèi)容及屬

性，它在發(fā)生被更改的，被特洛伊化的應(yīng)用程序方面特別有效。

控制

響應(yīng)方式有：記錄日記、發(fā)出報警聲、發(fā)送電子郵件告知管理員

根據(jù)數(shù)據(jù)采集源的不同，IDS可分為主機型和網(wǎng)絡(luò)型2種

主機型入侵檢測系統(tǒng)（HIDS）何時選擇、優(yōu)缺陷

網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）概念、部署的地方、優(yōu)缺陷

3）入侵防御系統(tǒng)（IPS）

基于主機的入侵防御系統(tǒng)（HIPS）

基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（NIPS）

什么情況下選擇IDS,還是IPS

需要實地考察應(yīng)用環(huán)境?IPS比較適合于阻止大范圍的、針對性不是很強的襲擊，但對

單獨目的的襲擊阻截也許失效，自動防止系統(tǒng)也無法阻止專門的惡意襲擊者的操作。在金

融應(yīng)用系統(tǒng)中，用戶除了關(guān)心遭惡意入侵外，更緊張誤操作引發(fā)劫難性后果。這類系統(tǒng)中適

合選擇IDS。

目前IPS還不具有足夠智能辨認(rèn)所有對數(shù)據(jù)庫應(yīng)用的襲擊，一般能做的也就是檢測緩沖

區(qū)溢出，此外IPS跟防火墻配置息息相關(guān),假如沒有安裝防火墻，則沒必要安裝這類在線工

具。假如用戶熟知網(wǎng)段中的協(xié)議運用并易于記錄分析，則可采用這類技術(shù)。

A.5惡意代碼防范

A.5.1技術(shù)簡介

蠕蟲、邏輯炸彈、特洛伊木馬等

A.5.2典型產(chǎn)品

1）防病毒軟件

2）防病毒網(wǎng)關(guān)

A.6備份與恢復(fù)

A.6.1技術(shù)簡介

1）數(shù)據(jù)備份

完全備份、差異備份（不清除標(biāo)記，即:備份后不標(biāo)記為已備份文獻）、增量備份（清除標(biāo)

記）

2）系統(tǒng)備份

本地和遠程2種方式：

本地備份重要使用容錯技術(shù)和冗余配置來應(yīng)對硬件故障；

遠程備份重要應(yīng)對劫難事件，有熱站和冷站的選擇

3）備份與恢復(fù)等級

1：本地備份、本地保存的冷備份

2:本地備份、異地保存的冷備份

數(shù)據(jù)備份后送往異地保存，在本地要做好重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器的硬件冗余

3：本地?zé)醾浞菡军c備份

4：異地活動互援備份

主從系統(tǒng)不再固定，而是互為對方的備份系統(tǒng)，且備份中心也放在了異地。

根據(jù)實際規(guī)定與資金投入，還可以選擇

&2個系統(tǒng)之間只限于關(guān)鍵應(yīng)用和數(shù)據(jù)的互相備份

&2個系統(tǒng)之間互為鏡像，即0數(shù)據(jù)丟失等

A.6.2典型產(chǎn)品

1）雙機備份

2）單機容錯（可以實現(xiàn)更多的可用性）

A.7Web安全防護

A.7.1技術(shù)簡介

常見的針對Web襲擊的手段有

SQLA

運用現(xiàn)有應(yīng)用程序，將惡意SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力

跨站腳本襲擊（XSS）

它允許惡意Web用戶將代碼植入到提供應(yīng)其他用戶使用的頁面中。

網(wǎng)頁掛馬

網(wǎng)頁掛馬指的是把一個木馬程序上傳到一個網(wǎng)站里面然后用木馬生成器生一個網(wǎng)馬，再上

到空間里面，再加代碼使得木馬在打開網(wǎng)頁時運營，網(wǎng)頁掛馬的方法多種多樣。

A.7.2典型產(chǎn)品

1）Web安全檢查服務(wù)

遠程網(wǎng)頁木馬檢查、遠程網(wǎng)頁漏洞檢查

2）基于Web服務(wù)器的入侵防御系統(tǒng)（WIPS）

基于襲擊特性檢測方法

以SNORT為代表的這種檢測方法，類似于傳統(tǒng)的IDS,通過抽取SQL注入、XSS襲

擊中的關(guān)鍵字，構(gòu)建襲擊特性庫,依據(jù)特性庫進行比對檢測。

缺陷：漏報率很高，假如設(shè)立了過于嚴(yán)格的特性，又也許限制客戶的web業(yè)務(wù)體驗，甚

至產(chǎn)生誤報。

基于異常襲擊檢測方法

此方法的核心思想是通過學(xué)習(xí)期的訓(xùn)練，為Web應(yīng)用程序自動建立各參數(shù)的正常使用

模型（URL/COOKIE）。在此后的檢測過程中依據(jù)此模型來判斷實際網(wǎng)絡(luò)中的各種行為是

否異常。

優(yōu)勢：可以不受限制地發(fā)現(xiàn)各種異常行為，但異常并不意味著襲擊，其誤報率較高，

實時性不夠。

VXID

VXID技術(shù)（涉及針對SQL注入襲擊的VSID技術(shù)，以及針對XSS襲擊的VXSSD等技

術(shù)在內(nèi)的Web應(yīng)用襲擊防護技術(shù)統(tǒng)稱）

優(yōu)勢:這種基于原理的檢測方式避免了對固化特性的匹配導(dǎo)致的高漏報率，也避免了由

于檢測規(guī)則過于嚴(yán)苛導(dǎo)致的誤報。

A.8終端安全

A.8.1技術(shù)簡介

內(nèi)網(wǎng)安全問題,實質(zhì)上并不是由于威脅高深莫測，而是在于內(nèi)網(wǎng)安全管理有章可循，假如

內(nèi)網(wǎng)安全管理制度可以科學(xué)有效執(zhí)行下去，內(nèi)網(wǎng)安全問題將得到主線解決。

合理管理重要包含以下幾個方面⑸

a）準(zhǔn)入控制

b）終端安全檢查

c）進程管理

d）外設(shè)監(jiān)控

e）終端審計

A.8.2典型產(chǎn)品

管理產(chǎn)品很多，比如非法外聯(lián)監(jiān)控系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)、內(nèi)網(wǎng)安全風(fēng)險管理與審計

系統(tǒng)和合規(guī)管理系統(tǒng)等

這些產(chǎn)品一般由客戶端代理（Client）、管理服務(wù)器（Server）和策略網(wǎng)關(guān)（Che

ckpoint）等部件組成

附錄B網(wǎng)絡(luò)襲擊技術(shù)

B.1網(wǎng)絡(luò)襲擊概述

B.1.1網(wǎng)絡(luò)襲擊發(fā)展

1）網(wǎng)絡(luò)襲擊的自動化限度和襲擊速度不斷提高

&掃描工具發(fā)展

&襲擊傳播技術(shù)發(fā)展

&襲擊工具的控制和協(xié)調(diào)變得更加容易

2）襲擊工具越來越復(fù)雜

襲擊工具的特性比以前更難發(fā)現(xiàn),已經(jīng)具有了反偵破，動態(tài)行為，襲擊工具更加成熟的特點;

3）黑客運用安全漏洞的速度越來越快

B.1.2網(wǎng)絡(luò)襲擊分類

分類模式類型

襲擊角度積極襲擊和被動襲擊

襲擊目的拒絕服務(wù)襲擊（DOS）、獲取系統(tǒng)權(quán)限、獲取敏感信息

襲擊切入點緩沖區(qū)溢出、系統(tǒng)設(shè)立漏洞

縱向?qū)嵭羞^程獲取初級權(quán)限襲擊、提高最高權(quán)限襲擊、后門襲擊、跳板襲擊

襲擊的類型對各種OS的襲擊、對網(wǎng)絡(luò)設(shè)備的襲擊、對特定應(yīng)用系統(tǒng)的襲

擊

襲擊分類0

在最高層次，襲擊可被分為兩類：回

積極襲擊團

被動襲擊施積極襲擊包含襲擊者訪問他所需信息的故意行為。比如遠程登錄到指定機

器的端口25找出公司運營的郵件服務(wù)器的信息；偽造無效IP地址去連接服務(wù)器，使接受到

錯誤IP地址的系統(tǒng)浪費時間去連接哪個非法地址。襲擊者是在積極地做一些不利于你或你

的公司系統(tǒng)的事情。正由于如此,假如要尋找他們是很容易發(fā)現(xiàn)的。積極襲擊涉及拒絕服務(wù)

襲擊、信息篡改、資源使用、欺騙等襲擊方法。

0被動襲擊重要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察

到。被動襲擊涉及嗅探、信息收集等襲擊方法。

說明：這樣分類不是說積極襲擊不能收集信息或被動襲擊不能被用來訪問系統(tǒng)。多數(shù)情況

下這兩種類型被聯(lián)合用于入侵一個站點。但是，大多數(shù)被動襲擊不一定涉及可被跟蹤的行

為，因此更難被發(fā)現(xiàn)。從另一個角度看，積極襲擊容易被發(fā)現(xiàn)但多數(shù)公司都沒有發(fā)現(xiàn),所以發(fā)

現(xiàn)被動襲擊的機會幾乎是零。回

再往下一個層次看，當(dāng)前網(wǎng)絡(luò)襲擊的方法沒有規(guī)范的分類模式，方法的運用往往非常靈

活。從襲擊的目的來看，可以有拒絕服務(wù)襲擊（Dos）、獲取系統(tǒng)權(quán)限的襲擊、獲取敏感信

息的襲擊；從襲擊的切入點來看，有緩沖區(qū)溢出襲擊、系統(tǒng)設(shè)立漏洞的襲擊等；從襲擊的

縱向?qū)嵭羞^程來看，又有獲取初級權(quán)限襲擊、提高最高權(quán)限的襲擊、后門襲擊、跳板襲擊

等;從襲擊的類型來看，涉及對各種操作系統(tǒng)的襲擊、對網(wǎng)絡(luò)設(shè)備的襲擊、對特定應(yīng)用系統(tǒng)

的襲擊等。所以說，很難以一個統(tǒng)一的模式對各種襲擊手段進行分類。03事實上黑客實

行一次入侵行為，為達成他的襲擊目的會結(jié)合采用多種襲擊手段，在不同的入侵階段使用不同

的方法。因此在這篇襲擊方法討論中我們按照襲擊的環(huán)節(jié)，逐個討論在每一環(huán)節(jié)中可采用的

襲擊方法及可運用的襲擊工具。

B.2網(wǎng)絡(luò)襲擊過程

襲擊大約分為4個環(huán)節(jié):信息搜集階段，入侵階段，提高權(quán)限階段，隱藏蹤跡階段

B.2.1信息收集

襲擊者搜集目的信息一般采用7個基本環(huán)節(jié)

1）找到初始信息

一些常見的方法：

&運用公開渠道搜集一一公司新聞信息、公司員工信息、新聞組

&Whois（程序）一一襲擊者會對一個域名執(zhí)行Whois程序以找到附加的信息

通過查看Wh。is的輸出，襲擊者會得到一些非常有用的信息：得到一個物理地址、一些

人名和電話號碼（可運用來發(fā)起一次社交工程襲擊）。非常重要的是通過whois可獲得襲

擊域的重要的（及次要的）服務(wù)器IP地址

&Nslookup

&找到附加IP地址的一個方法是對一個特定域詢問DNS

&另一個得到地址的簡樸方法是Ping域名

襲擊者得到網(wǎng)絡(luò)的地址，可以把此網(wǎng)絡(luò)當(dāng)作初始點

2）找到網(wǎng)絡(luò)的地址范圍

當(dāng)襲擊者有了一些機器的IP地址之后，下一步需要做的就是找出網(wǎng)絡(luò)的地址范圍或者子網(wǎng)

掩碼，以保證襲擊者能幾種精力對付一個網(wǎng)絡(luò)而沒有闖入其他網(wǎng)絡(luò)

襲擊者可以用2種方法找到這一信息

&ARIN允許任何人搜索whois數(shù)據(jù)庫找到“網(wǎng)絡(luò)上的定位信息、自治系統(tǒng)號碼

（ASN）、有關(guān)網(wǎng)絡(luò)句柄和其他有關(guān)的接觸點（POC）“。ARINwhois允許詢問IP地址，幫

助找到關(guān)于子網(wǎng)地址和網(wǎng)絡(luò)如何被分割的策略信息

&Traceroute可以知道一個數(shù)據(jù)包通過網(wǎng)絡(luò)的途徑,因此運用這一信息，能擬定主機

是否在相同的網(wǎng)絡(luò)上。

襲擊者進入和決定公司地址范圍的2種方法，既然有了地址范圍，襲擊者能繼續(xù)搜集信

息，下一步是找到網(wǎng)絡(luò)上活動的機器

3）找到活動機器

知道了IP范圍之后,襲擊者想知道哪些機器是活動的，哪些不是

Ping使用Ping可以找到網(wǎng)絡(luò)上哪些機器是活動的【一次ping一臺機器】

Pingwar一次同時Ping多臺機器（這種技術(shù)叫PingSweeping）

Nmap其重要是一個端口掃描儀，但也能PingSweep—■個地址范圍

4）找到開放端口和入口點

為了擬定系統(tǒng)中哪一個端口是開放的，襲擊者會使用被稱為portscanner（端口掃描

儀）的程序?？梢栽僖幌盗卸丝谏线M行以找出哪些是開放的

目前流行的掃描類型是:

TCPSYN掃描

TCPconntect掃描

FIN掃描

ACK掃描

常用端口掃描程序如下：

Xscan：（windows環(huán)境下）

Nmap：（UNIX環(huán)境下）

5）弄清操作系統(tǒng)

襲擊者知道哪些機器是活動的和哪些端口是開放的，下一步是要辨認(rèn)每臺主機運營哪

種操作系統(tǒng)

Nmap：目前它能檢測出接近400種不同的設(shè)備

Xscan:可辨認(rèn)出常見的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備

6）弄清每個端口運營的是哪種服務(wù)

&系統(tǒng)默認(rèn)的端口21端口一FTP服務(wù),25端口一郵件服務(wù)

&TeInet

&漏洞掃描器

7）畫出網(wǎng)絡(luò)圖

襲擊者得到了各種信息，現(xiàn)在可以畫出網(wǎng)絡(luò)圖使他能找出最佳的入侵方法

&Traceroute是用來擬定源到目的地途徑的程序，結(jié)合這個信息,襲擊者可擬定網(wǎng)絡(luò)的

布局圖和每一個部件的位置

&VisualPing是一個真實展示包通過網(wǎng)絡(luò)的路線的程序，不僅向襲擊者展示了通過的

系統(tǒng)，也展示了系統(tǒng)的地理位置

&Cheops運用了用于繪制網(wǎng)絡(luò)圖并展示網(wǎng)絡(luò)的圖形表達的技術(shù)，是使整個過程自動化

的程序。假如從網(wǎng)絡(luò)上運營,可以繪出它訪問的網(wǎng)絡(luò)部分

B.2.2入侵階段

1.拒絕服務(wù)襲擊(DenialofServiceDoS)

分2種類型：

&襲擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包(系統(tǒng)無法使用這些資源)，使得系統(tǒng)或者網(wǎng)絡(luò)癱瘓

&向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)

典型的手段：

2.傳統(tǒng)拒絕服務(wù)襲擊

(1)PingofDeath

(2)Teardrop碎片襲擊的典型襲擊

(3)Land

襲擊者將一個包的源地址和目的地址都設(shè)立為目的主機的地址，然后將該包通過IP欺騙的

方式發(fā)送給被襲擊主機，這種包可以導(dǎo)致被襲擊主機因試圖與自己建立連接而陷入死循環(huán)，從

而很大限度地減少了系統(tǒng)性能。

(4)Smurf

該襲擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如ICMP回應(yīng)請求)的包，并且

將源地址偽裝成想要襲擊的主機地址。子網(wǎng)上所有主機都回應(yīng)廣播包請求而向被襲擊主機

發(fā)包，使該主機受到襲擊。

(5)SYNflood[PS：SYN(synchronous)是TCP/IP建立連接時使用的握手信

號。在客戶機和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時，客戶機一方面發(fā)出一個

SYN消息、，服務(wù)器使用SYN+ACK應(yīng)答表達接受到了這個消息，最后客戶機再以A

CK消息響應(yīng)。這樣在客戶機和服務(wù)器之間才干建立起可靠的TCP連接，數(shù)據(jù)才可

以在客戶機和服務(wù)器之間傳遞?！?/p>

3分布式拒絕服務(wù)襲擊

DDoS是襲擊者經(jīng)常采用并且難以防范的襲擊手段

典型的拒絕服務(wù)襲擊工具如下:

（1）TFN2K

（2）Trinoo

4口令襲擊

類型：

（1）字典襲擊一一使用一個包含大多數(shù)字典單詞的文獻，用這些單詞猜測用戶口令

（2）強行襲擊一一假如有速度足夠快的計算機能嘗試字母、數(shù)字、特殊字符所有的組

合，將最終能破解所有的口令。

（3）組合襲擊一一使用詞典單詞，并在單詞尾部串接幾個字母和數(shù)字

（4）其他襲擊類型

（5）口令襲擊工具（破解）

&LOphtcrack&NTSweep&NTCrack&PWDump2&Crack&JohntheR

ipper

5欺騙襲擊

IP欺騙、電子郵件欺騙、Web欺騙、非技術(shù)類欺騙

（1）IP欺騙

基本地址變化，

IP欺騙的最基本形式是搞清楚一個網(wǎng)絡(luò)的配置，然后改變自己的IP地址，偽裝

成別人機器的IP地址。

使用源路由選擇截取數(shù)據(jù)包,

運用UNIX機器上的信任關(guān)系

(2)電子郵件欺騙

(3)Web欺騙

(4)非技術(shù)類欺騙

6緩沖區(qū)溢出襲擊

B.2.3保存階段

(1)后門和特洛伊木馬

⑵Netcat一個能讓系統(tǒng)將數(shù)據(jù)發(fā)送給別人的計算機并且從別的系統(tǒng)得到數(shù)據(jù)的程序

B.2.4隱藏蹤跡階段

需要隱藏4個方面的信息

&日記文獻

&文獻信息

&此外的信息

&網(wǎng)絡(luò)通信流量工具:elsave,exe

PS

PS1子網(wǎng)掩碼

子網(wǎng)掩碼(subnetmask)又叫網(wǎng)絡(luò)掩碼、地址掩碼、子網(wǎng)絡(luò)遮罩，它是一種用來指明一個IP

地址的哪些位標(biāo)記的是主機所在的子網(wǎng)以及哪些位標(biāo)記的是主機的位掩碼。子網(wǎng)掩碼不能

單獨存在，它必須結(jié)合IP地址一起使用?子網(wǎng)掩碼只有一個作用，就是將某個IP地址劃提成

網(wǎng)絡(luò)地址和主機地址兩部分。

子網(wǎng)掩碼（subnetmask）是每個使用互聯(lián)網(wǎng)的人必須要掌握的基礎(chǔ)知識，只有掌握

它，才可以真正理解TCP/IP協(xié)議的設(shè)立。

子網(wǎng)掩碼——