《网络安全与病毒防范》
教学概述
本教程围绕目前遇到的两大安全威胁——黑客与病毒展开论述,详细地描述了黑客攻击原理和计算机病毒原理。深入阐述了应对计算机安全威胁的防御措施,对常见的信息安全技术与产品做了概括性介绍,同时对如何有效构建完整的安全防护体系提供了参考建议。本教程还对计算机病毒的攻击方法、危害与影响、发展趋势和防护策略作了权威的论述,同时介绍了业界最新的病毒防护技术。
课程内容
课程目标
课时计划
●第一章 网络安全概述 2
●第二章 计算机网络基础 2
●第三章 黑客攻防剖析 6
●第四章 数据加密与身份认证 2
●第五章 访问控制与防火墙 2
●第六章 入侵检测技术 2
●第七章 虚拟专用网 1
●第八章 漏洞评估产品 1
●第九章 计算机病毒分析 1
●第十章 病毒机理分析 1
●第十一章 传统计算机病毒 2
●第十二章 网络时代的病毒威胁 2
●第十三章 病毒防护策略 2
●附录1 常见防毒产品介绍 1
●附录2 病毒常见问题解答 1
●附录3 某公司防病毒解决方案案例
●总结及综合复习 1
考核及成绩组成
●平时成绩:30%
(课堂提问,课后作业)
●期末考试:70%
(闭卷考试)
1
本章概要
本章介绍信息安全的定义、安全网络的基本特征以及计算机网络面临的威胁。 ●信息安全的定义;
●安全网络的基本特征;
●计算机网络面临的威胁。
课程目标
●了解信息安全的定义及其涵盖的范围;
●了解计算机网络面临的威胁主要来自哪些方面;
●了解安全的计算机网络的基本特征。
1.1 信息安全背景
1.1.2 信息安全事件类型
1.1.3信息安全问题的严重性
1.2 信息安全威胁与弱点
1.2.1 信息安全威胁
信息安全面临的风险来源
1.2.2 信息系统的弱点
针对网络安全的攻击
1.3 信息安全的定义
信息安全体系结构
1.4.1 网络系统现状
1.4.2 网络系统安全风险分析
1.4.3 提出安全需求,建立安全目标
1.4.9 安防工作是一个过程
1.5 操作系统安全级别
网络用户的法律规范
网络服务业的法律规范
网络信息传播安全管理制度
●2000年9月20日公布施行《互联网信息服务管理办法》。
●《办法》中把互联网信息服务分为经营性和非经营性两类。
●经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
●非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
本章概要
本章详细阐述了计算机网络的基本知识,主要涉及的内容有:
●OSI的七层模型及各层的主要功能
●TCP/IP协议
●局域网和广域网技术
课程目标
2.1 计算机网络的分层结构 社会上存在的邮政系统
2.1.1 OSI的七层模型及各层的主要功能 物理层的主要功能:
●利用传输介质为通信的网络结点之间建立、管
● 理和释放物理连接;
●实现比特流的透明传输,为数据链路层提供数
● 据传输服务;
●物理层的数据传输单元是比特。 数据链路层的主要功能: 网络层的主要功能:
●通过路由选择算法为分组通过通信子网选择最适当的路径;
●为数据在结点之间传输创建逻辑链路;
●实现拥塞控制、网络互连等功能。 传输层的主要功能:
●向用户提供可靠端到端(end-to-end)服务;
●处理数据包错误、数据包次序,以及其他一些关键传输问题;
●传输层向高层屏蔽了下层数据通信的细节,是计算机通信体系结构中关键的一层。 会话层的主要功能:
●负责维护两个结点之间的传输链接,以便确保点到点传输不中断;
●管理数据交换。 表示层的主要功能:
●用于处理在两个通信系统中交换信息的表示方式;
●数据格式变换;
●数据加密与解密;
●数据压缩与恢复。 应用层的主要功能
●为应用程序提供了网络服务;
●应用层需要识别并保证通信对方的可用性,使得协同工作的应用程序之间的同步; ●建立传输错误纠正与保证数据完整性的控制机制。
2.1.2 TCP/IP 协议栈
●在TCP/IP协议研究时,并没有提出参考模型;
●1974年Kahn定义了最早的TCP/IP参考模型;
●80年代Leiner、 Clark等人对TCP/IP参考模型进一步的研究;
●TCP/IP协议一共出现了6个版本,后3个版本是版本4、版本5与版本6;
●目前我们使用的是版本4,它的网络层IP协议一般记作IPv4 ;
●版本6的网络层IP协议一般记作IPv6(或IPng, IP next generation);
●IPv6被称为下一代的IP协议。
●开放的协议标准;
●独立于特定的计算机硬件与操作系统;
●独立于特定的网络硬件,可以运行在局域网、
广域网,更适用于互连网中;
● 统一的网络地址分配方案,使得整个TCP/IP
设备在网中都具有唯一的地址;
●标准化的高层协议,可以提供多种可靠的用户
服务。
TCP/IP参考模型各层的功能
●应用层(application layer)
●传输层(transport layer)
●互连层(internet layer)
●主机-网络层(host-to-network layer)
主机-网络层
●参考模型的最低层,负责通过网络发送和接收IP数据报;
●允许主机连入网络时使用多种现成的与流行的协议,如局域网的Ethernet、令牌网、分组交换网的X.25、帧中继、ATM协议等;
●当一种物理网被用作传送IP数据包的通道时,就可以认为是这一层的内容;
●充分体现出TCP/IP协议的兼容性与适应性,它也为TCP/IP的成功奠定了基础。 互连层
●相当OSI参考模型网络层无连接网络服务;
●处理互连的路由选择、流控与拥塞问题;
●IP协议是无连接的、提供“尽力而为”服务的网络层协议。 传输层
●主要功能是在互连网中源主机与目的主机的对等实体间建立用于会话的端-端连接; ●传输控制协议TCP是一种可靠的面向连接协议;
●用户数据报协议UDP是一种不可靠的无连接协议。 应用层
应用层协议主要有:
●网络终端协议Telnet
●文件传输协议FTP
●简单邮件传输协议SMTP
●域名系统DNS
●简单网络管理协议SNMP
●超文本传输协议HTTP
2.2 常用的网络协议和网络服务
常见的Internet服务
●电子邮件
●文件传输
●Telnet
●WWW服务
●Usenet服务
●域名服务
●网络管理服务
●网络文件服务
●拨号访问服务
2.3 常用的网络协议和网络技术
通常按其所覆盖的地理区域被分为局域网(LAN)和广域网(WAN),这两种网络的主要分类如下:
局域网——这些网络连接设备彼此都在一个局部的地区(最多到5KM)
广域网——这些网络覆盖一个非常大的地理区域,它允许在不同的设备间相互通讯
2.3.1 局域网技术(LAN)
Ethernet网卡结构 令牌环网的工作原理
光纤分布式数据接口——FDDI
2.3.2 广域网技术(WAN)
●SDLC协议和HDLC高层数据链路协议
●Frame Relay(帧中继)
●PPP 点到点协议
●ISND 综合业务数字网协议
●ADSL 非对称数字用户线
2.4 常见网络设备
常见网络设备
2.5 虚拟局域网技术(VLAN)
虚拟网络的概念
●虚拟网络建立在局域网交换机之上;
●以软件方式实现对逻辑工作组的划分与管理;
●逻辑工作组的结点组成不受物理位置的限制;
●一个逻辑工作组的结点可以分布在不同的物理网段上,但它们之间的通信就像在同一个物理网段上一样。
虚拟局域网的组网方法
●用交换机端口号定义虚拟局域网
●用 MAC地址定义虚拟局域网
●用网络层地址定义虚拟局域网
●IP广播组虚拟局域网 虚拟局域网的优点
●方便网络用户管理
●减少网络管理开销
●提供更好的安全性
●改善网络服务质量
2.6 无线局域网
无线局域网的应用
●作为传统局域网的扩充
●建筑物之间的互连
●漫游访问
●特殊网络 典型的无线局域网结构
蓝牙技术组建无线网络
蓝牙(Bluetooth)技术是由爱立信、诺基亚、Intel、IBM 和东芝5家公司于1998年5月共同提出开发的。蓝牙技术的本质是设备间的无线联接,主要用于通信与信息设备。
第二章 结束
第三章 黑客攻防剖析
本章概要
●黑客的定义
●基于协议的攻击手法和防御手段
●常见的漏洞分析
课程目标
●了解当前主要网络安全弱点
●了解黑客攻击手段,提升防范能力
3.1 “黑客”与“骇客”
黑客——Hacker
黑客起源于20世纪50年代美国著名高校的实验室中,他们智力非凡、技术高超、精力充沛,热衷于解决一个个棘手的计算机网络难题。
骇客——Cracker
一部分人不能恪守“黑客”文化信条,恶意破坏计算机网络,盗窃信息系统。人们把这部分主观上有恶意企图的人称为“骇客”
3.2 黑客攻击分类
攻击方法的分类是安全研究的重要课题,对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。
1. 按照TCP/IP协议层次进行分类
这种分类是基于对攻击所属的网络层次进行的,TCP/IP协议传统上分为四层,攻击类型可以分成四层
(1)针对数据链路层的攻击(ARP,RARP)
(2)针对网络层的攻击(ICMP,IP,IGMP)
(3)针对传输层的攻击(TCP,UDP)
(4)针对应用层的攻击(DNS,FTP,SMTP)
2. 按照攻击者目的分类
1)DOS(拒绝服务攻击)和DDOS(分布式拒绝 服务攻击)
2)Sniffer监听
3)会话劫持于网络欺骗
4)获得被攻击主机的控制权
3. 按危害范围分类
●局域网范围
●广域网范围
3.3 基于协议的攻击手法与防范
重点介绍以下几种:
●ARP协议漏洞攻击
●ICMP协议漏洞攻击
●TCP协议漏洞攻击
●各种协议明文传输攻击
3.3.1 ARP协议漏洞
漏洞描述
ARP协议(地址解析协议)工作在TCP/IP协议的第二层——数据链路层,用于将IP地址转换为网络接口的硬件地址(MAC地址),无论是任何高层协议的通讯,最终都将转换为数据链路层硬件地址的通讯。
漏洞描述
●每台主机的内存中,都有一个ARP→MAC的转换表,保存最近获得的IP与MAC地址对应。
●ARP转换表可以被攻击者人为地更改欺骗,可以针对交换式及共享式进行攻击
攻击实现
攻击实现的具体步骤
(1)利用工具,进行拒绝式服务攻击(Ar free),让主机C宕掉,暂时停止工作。
(2)这段时间里,入侵者把自己的IP改成192.168.0.3。
(3)用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的ARP转换表。
(4)主机更新了ARP表中关于主机C的IP->MAC对应关系。
(5)防火墙失效了,入侵的IP变成合法的MAC地址,可以Telnet了。
ARP欺骗防范
●不要把你的网络安全信息关系建立在IP地址的基础上或硬件MAC地址基础上(RARP同样存在欺骗问题),较为理想的信任关系应该建立在IP+MAC基础上。
●设置在本机和网关设置静态的MAC->IP对应表,不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。
●除非很有必要,否侧停止使用ARP,将ARP作为永久条目保存在对应表中。
●在本机地址使用ARP,发送外出的通信使用代理网关。
●修改系统拒收ICMP重定向报文。
3.3.2 ICMP协议漏洞
漏洞描述
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写,是传输层的重要协议。它是TCP/IP协议簇的一个子协议,用于IP主机、路由之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。所以许多系统和防火墙并不会拦截ICMP报文,这给攻击者带来可乘之机。
攻击实现
●ICMP转向连接攻击
●ICMP数据包放大
●死ping 攻击
●ICMP Ping 淹没攻击
●ICMP nuke 攻击
●通过ICMP进行攻击信息收集
LINUX TTL=64
windows95/98/Me TTL=32
windows2000/NT TTL=128
ICMP 攻击的防范
●策略一: 对ICMP数据包进行过滤
●策略二:修改TTL值,巧妙骗过黑客
@echo REGEDIT4>>ChangeTTL.reg
@echo.>>ChangeTTL.reg
@echo[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>>ChangeTTL.reg
@echo “DefaultTTL”=“dword:000000”>>ChangeTTL.reg
@REGEDIT/S/C ChangeTTL.reg
3.3.3 TCP协议漏洞
漏洞描述
TCP(传输控制协议)是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的,主机交换数据必须建立一个会话。
TCP协议是攻击者攻击方法的思想源泉,主要问题存在于TCP的三次握手协议上。 正常的TCP三次握手过程
(1)请求端A发送一个初始序号为ISNa的SYN报文
(2)被请求端B收到A的SYN报文后,发送给A自己的初始序列号为ISNb,同时将ISNa+1作为确认SYN+ACK报文
(3)A对SYN+ACK报文进行确认,同时将ISNa+1,ISNb+1发送给B,TCP连接完成。 SYN Flood攻击实现
黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。
半连接队列很快就会填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防御方法
(一) 通过防火墙、路由器等过滤网关防护
(二)通过加固TCP/IP协议栈防范
3.3.4 其他协议明文传输漏洞
漏洞描述
TCP/IP协议数据流采用明文传输,是网络安全的一大隐患,目前所使用的Ftp、http、pop和telnet服务在本质上都是不安全的,因为他们在网络上用明文传送口令和数据,攻击者可以很容易地通过嗅探等方式获取这些口令和数据。
攻击实现
●网络抓包工具很多。
●黑客经常使用该工具来修改网络发送和接受数据,协助完成很多网页脚本的入侵工作。 例:使用Winsock Expert 获取Sina网站的邮箱
用户名及密码信息。
防御方法
●从逻辑或物理上对网络分段
●以交换式集线器代替共享式集线器
●使用加密技术
●划分VLAN(虚拟局域网)技术
●使用动态口令技术,使得侦听结果再次使用时无效
3.4 操作系统漏洞攻击
无论是UNIX、windows,还是其他操作系统,都存在着安全漏洞。
3.4.1 输入法漏洞
漏洞描述
Microsoft 自Windows 2000 开始,支持中文用户名。这些随系统装入的输入法可以在系
统登录界面中使用,以便用户能使用基于中文字符的用户标识和密码登录到系统。
进而,一些别有用心的用户可以通过直接操作该系统的登录界面得到当前系统权限。 攻击实现
攻击防范
●给windows 2000 打补丁到SP4
●删除输入法帮助文件和多余的输入法
●防止别人恶意利用net.exe
3.4.2 IPC$攻击
漏洞描述
IPC$是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
漏洞防范
(1)禁止空连接进行枚举
(2)禁止默认共享
3.4.3 Remote Procedure Call (RPC)漏洞
漏洞描述:
远程过程调用是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。
使用RPC的 程序不必了解支持通信的网络协议的情况,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
漏洞防范:
(1)通过防火墙关闭135端口
(2)更新最新补丁
3.5 WEB应用漏洞
3.5.1 针对数据库漏洞
MS SQL-SERVER空口令入侵
在微软的MS SQL—Server7.0以下的版本在默认安装时,其SA(System Administrator)账户口令为空,所开端口为1433,一个入侵者只要使用一个MS SQL客户端与SA口令为空的服务器连接就可以获得System的权限。
Access 数据库下载漏洞
Access数据操作灵活,转移方便,运行环境简单,对于小型网站的数据库处理能力效果还不错,是很多小型网站建站优先选择。但缺点是:数据库如果没有经过严格防护,很容易被攻击者利用特殊手段进行下载。
●黑客的攻击思路过程(参见教材P50)
●漏洞的防范:
(1)更改数据库名;
(2)更改数据库里面常用字段成复杂字段,避免注入。
(实施难度较大)
(3)给数据库关键字段加密,对于管理员账户设置复杂密码;
(4)在数据库文件中建一个表,表中取一个字段名叫:antihack,在表名建一个字段,字段中填写任意不能正确执行的语句。
(5)如果有机器管理权限,可将数据库放到IIS以外的目录。
3.5.2 Cookie 攻击
Cookie或称Cookies,指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。
有些网站存放用户名和密码的Cookie是明文的,黑客只要读取Cookie文件就可以得到账户和密码;有些Cookie是通过Md5加密的,用户仍然可以通过破解得到关键信息。 ●Cookie利用
Cookie对黑客来说作用非常巨大,除了修改本地Hosts.sam文件以便对修改的Cookie提交,从而得到一些特殊权限外,还可能有多种利用。
●Cookie攻击防范策略
客户端——如将IE安全级别设为最高级,以阻止Cookid进入机器,并形成记录 服务端——尽量缩短定义Cookie在客户端得存活时间。
3.5.3 上传漏洞
所谓上传漏洞,起初是利用Web系统对上传的文件格式验证不全,从而导致上传一些恶意Web程序,随着Web程序编写者的技术提高,因为文件格式验证的基础漏洞逐渐减少,攻击者发现一种新的上传漏洞利用方法。
将一些木马文件通过修改文件后缀名或者利用字符串结束标志“\0”上传到网络服务空间,然后通过Url访问获得Webshell权限。(详见P56)
对于上传漏洞提出的解决思路:
(1)一般的上传时把上传路径作为一个变量来处理,我们的对策就是把filepath变成常量
(2)加强对空格的处理,以前常用的办法就是独到这里就结束,现应继续读直到下一个变量开始的地方再进行处理。
3.5.4 跨站攻击 XSS&XFS
XSS定义:
XSS来自于Cross Site Scirpt,中文翻译为跨网站的脚本,为避免和层叠式样式表CSS混淆,而改称XSS,所有针对CSS的攻击称为跨站式攻击。
形成:
跨站漏洞是由于程序员在编写一些支持用户互动反馈的程序如论坛,留言本,Blog,新闻评论等,对用户输入数据没有作充分过滤。直接把html标签、SQL语句提交到数据库并且再返回页面显示以及执行。
XSS的入侵:
利用跨站漏洞黑客可以在网站中插入任意代码,这些代码的功能包括获取网站管理员或普通用户的Cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘,只要脚本代码能够实现的功能,跨站攻击都能够达到!
XFS攻击及防范
Cross Frame Script 也叫XFS,它是Cross Site Script后一个新的盗取客户资料的方法。 Cross Frame Script原理
利用浏览器允许框架(frame)跨站包含其他页面的漏洞,在主框架的代码中加入script,监视、盗取用户输入。
Cross Frame Script危害
一个恶意的站点可以通过用框架页面包含真的网银或者在线支付网站进行钓鱼,获取用户账号和密码,且合法用户不宜觉察,因为提供的服务完全正常。
解决方案
作为用户,应留心浏览器地址,不在带框架页面中输入用户信息
作为网站管理员,在页面中加入以下JavaScript代码可以避免网站被XFS
If(top!=self){
Top.location=self.location;
}
3.5.5 注入攻击
所谓SQL注入,就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,查询数据库,获取想得到的资料。
常见的注入式攻击的手段
●一些网站的管理登陆页面对输入的用户名和密码没有做AQL过滤,导致网站被攻击。 ●查询语句在有注入漏洞的服务器上被恶意利用也会导致严重后果。
●PHPSql注入
●通过注入获得管理员账户密码
●通过工具进行注入攻击测试
3.5.6 搜索攻击
Google是全世界最流行和最强大的搜索引擎。
攻击者能使用它得到服务器的信息 ,包含敏感信息的文件和检测出“暗藏的”登陆页、服务器日志文、以及很多其他的内容。
搜索攻击语句示例
●常用Google黑客搜索攻击语句(见教材)
●利用“index of”语句来查找开放目录浏览的站点
●利用“inyrl”或“sllinurl”寻找缺陷站点或服务器
●利用“intitle”或“allintitle”寻找缺陷站点或服务器。
防止搜索引擎攻击的策略
(1)巩固服务器,并将其与外部环境隔离
(2)设置robote.txt文件,禁止Google索引自己的网页
(3)将高度机密的信息从公众服务器上去除
(4)保证自己的服务器是安全的
(5)删除管理系统的特征字符
3.6 针对IIS漏洞攻击
Microsoft IIS是允许在公共Intrant或Internet上发布信息的Web服务器,IIS可以提供HTTP、FTP、gopher服务。
常见IIS漏洞
●3.6.1 Unicode漏洞
●3.6.2 IDA&IDQ缓冲区溢出漏洞
●3.6.3 Printer溢出漏洞入侵
3.7 黑客攻击的思路
3.8 黑客攻击防范
●物理安全、停止Guest账号、限制用户数量
●创建多个管理员账号、管理员账号改名
●陷阱账号、更改默认权限、设置安全密码
●屏幕保护密码、使用NTFS分区
●运行防毒软件和确保备份盘安全
●关闭不必要的端口、开启审核策略
●操作系统安全策略、关闭不必要的服务
●开启密码策略、开启账户策略、备份敏感文件
不显示上次登录名、禁止建立空连接和下载最新的补丁
第三章 结束
第四章 数据加密与身份认证
本章概要
●数据加密技术
●身份认证技术
●包过滤技术
●资源授权使用
●内容安全(防病毒)技术
课程内容
●了解常用的网络安全及其适用范围
●了解内容安全(防病毒)技术在网络安全领域的重要地位
4.1 数据加密技术
信息安全技术是一门综合的学科,它涉及信息论、计算机科学和密码学等多方面知识,它的主要任务是研究计算机系统的通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。
其中,信息安全的核心是密码技术。
4.1.1 数据加密的概念
数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。
密码是实现秘密通信的主要手段,是隐蔽语言、文字、图像的特种符号。
凡是用特种符号按照通信双方约定的方法把电文的原型隐藏起来,不为第三者所识别的通信方式称为密码通讯。
密码系统的组成:
●未加密的报文,也称明文
●加密后的报文,也称密文
●加密解密设备或算法
●加密解密的密钥
数据加密模型的五要素
1.明文 2.密文 3.密钥 4.加密 5.解密
4.1.2 密码的分类
4.1.3 数据加密技术的应用
数据加密技术可以应用在系统安全的各个方面:
A.数据保密
B.身份验证
C.保持数据完整性
D.确认事件的发生
数据加密作为一项基本技术是所有通信安全的基石。
对称密钥加密(保密密钥法)
非对称密钥加密(公开密钥加密)
若加密密钥和解密密钥不相同,从其中一个难以推出另一个,则称为不对称密码技术或双钥密码技术。不对称密码算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称密码算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成
对明文的加密和解密过程。
不对称密码算法基本原理
混合加密系统
●混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合
●混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷 哈希(hash)算法
散列(Hash)函数可验证的完整性,如密钥等,它对不同长度的输入消息,产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”(Message digest)。散列是信息的提炼,通常其长度要比信息小得多,且为一个固定长度。加密性强的散列一定是不可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。同时,一般也不能找出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。
散列算法基本原理
散列算法也被称为散列函数,是用来产生一些数据片段(例如消息或会话项)的散列值的算法。散列算法具有在输入数据中的更改可以更改结果散列值中每个比特的特性,因此,散列对于检测在诸如消息或者密钥等信息对象中的任何微小变化很有用。典型的散列算法包括 MD2、MD4、MD5 和 SHA-1。
一个安全的哈希函数H必须具有以下属性:
●对于不定长度的输入有一个固定的输出。
●对干任意给定的x,H(x)的计算相对简单。
●对于任意给定的代码h,要发现满足H(x)=h的x在计算上是不可行的。
●对于任意给定的x,要发现满足H(y)=H(x)而y=x在计算上是不可行的。满足H(x)=H(y)的(x,y)在计算上是不可行的。
常见散列算法
●(1)MD2算法。
●(2)MD4算法。
●(3)MD5算法。
●(4)SHA/SHA-1算法。
数字签名
通过某种加密算法,在一条地址消息的尾部添加一个字符串而收信人可以根据这个字符串验明发信人的身份,并可以进行数据完整性检查。
认证中心(CA)
发放和管理数字正式:
数字证书
用来强力验证某个用户或某个系统的身份及其公开密钥。
4.1.4 数据传输的加密
●链路加密方式
●节点加密
●端对端加密方式
网络通信中的加密传输
4.1.5 常用加密协议
●SSL协议
●TLS协议
●IPSec协议(VPN加密标准)
●其他加密协议与标准:
(1)SSH
(2)DNSSEC
(3)GSSAPI
(4)PGP协议
4.2 身份鉴别技术
4.2.1 身份鉴别技术的提出
用户的身份鉴别是开放网络安全的关键问题之一。
身份鉴别是指判断一个网络实体是否是其所声称的身份的处理过程。
4.2.2 常用的身份鉴别技术
●基于用户名和密码的身份验证
●基于对称密钥密码体制的身份鉴别技术
●基于KDC的身份鉴别技术
●基于非对称密钥密码体制的身份鉴别技术
●基于证书的身份鉴别技术
4.2.3 资源使用授权
当用户登陆到系统时,其任何动作都要受到一些条件的约束
实例分析(详见教材)
第四章 结束
第五章 访问控制与防火墙
本章概要
●防火墙的分类
●防火墙的工作原理
●防火墙的不足
●防火墙的部署方式
课程目标
●了解访问控制与防火墙的基本原理
●防火墙的部署方式
●主流防火墙产品
5.1 网络防火墙的基本概念
古时候,建造和使用木质结构的房屋,为了在火灾发生时,防止火势蔓延,人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障,这种防护构筑物被称之为防火墙。在今天的网络世界里,人们借用了防火墙这个概念,把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层,并迫使所有的连接和访问都通过这一保护层,以便接受检查。只有被授权信息流才能通过保护层,进入内部网,从而保护内部网免受非法入侵。
5.2 防火墙的主要技术
5.2.1 包过滤技术的基本概念
5.2.2 状态包检测技术
状态包检测技术是包过滤技术的延伸,常被称为“动态包过滤”,是一种与包过滤相类似但更为有效地安全控制方法。
主要特点:
●高安全性
●高效性
●可伸缩和易扩展
●应用范围广
5.2.3 代理服务技术
5.3 防火墙的功能
5.4 防火墙的不足
●防火墙不能防备病毒
●防火墙对不通过它的连接无能为力
●防火墙不能防备内部人员的攻击
●限制有用的网络服务
●防火墙不能防备新的网络安全问题
5.5 防火墙的体系结构
双重宿主主机体系结构
被屏蔽主机体系结构
被屏蔽子网体系结构
5.6 防火墙的构筑原则
●体系结构的设计
●安全策略的制定
安全策略的实施
5.7 防火墙产品
AXENT Raptor
CyberGuard Firewall
CyberGuard Firewall是由CyberGuard 公司制作的,其主要结构是基于CX/SX多层式安全操作系统,它的操作相当容易上手。CyberGuard Firewall跟其他防火墙产品不同的地方在于,它提供一种可以安装在防火墙上的界面卡。通过界面卡,可以进行硬件加密。这对于整体效果有显著的提高。另外,它还有网络地址转译、支持Sock、分割式的DNS等特点。
Cisco PIX 535
联想“超五”千兆线速防火墙—NFW4000
联想“超五”千兆线速防火墙——NFW4000是一款无操作系统、多机集群并基于NP(网络处理器)的4GB千兆线速防火墙,也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权,并已取得国家十多项技术专利,不仅在国内同类产品中名列前茅,而且在国际上也属领先水平。
第六章 入侵检测系统
本章概要
●入侵检测系统的概念
●入侵检测系统的主要技术
●入侵检测系统的类型
●入侵检测系统的优缺点
●入侵检测系统的部署方式
课程目标
●了解入侵检测系统工作基本原理
●了解入侵检测系统在整个安全防护体系中的作用
●掌握入侵检测系统的部署方式
6.1 入侵检测系统的概念
有权威机构做过入侵行为统计,发现有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,相当一部分黑客攻击中,黑客都能轻易地绕过防火墙而攻击网站服务器。
从而,人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节——入侵检测系统。
6.1.1 什么是入侵检测系统
入侵检测系统
Intrusion detection system,简称IDS
是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。
入侵检测系统是防火墙的合理补充。
入侵检测系统是防火墙后的又一道防线。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。
6.1.2 入侵检测系统的特点
●不需要人工干涉即可不间断地运行
●有容错功能
●不需要占用大量的系统资源
●能够发现异于正常行为的操作。
●能够适应系统行为的长期变化
●判断准确
●灵活定制
●保持领先
6.1.3 入侵行为的误判
入侵行为判断的准确性是衡量IDS是否高效的重要技术指标,因为,
IDS系统很容易出现判断失误,这些判断失误分为:正误判、负误判和失控误判三类。 正误判
概念:把一个合法操作判断为异常行为
特点:导致用户不理会IDS的报警
6.2 入侵检测的主要技术——入侵分析技术
入侵分析技术主要有三大类:
签名、统计及数据完整性。
几种分析技术在IDS中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案。
6.2.1 签名分析法
签名分析法主要是用来检测有无对系统的已知弱点进行的攻击行为。
6.2.2 统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
6.2.3 数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过。
6.4 入侵检测系统的主要类型
6.3.1 应用软件入侵检测
在应用软件级收集信息
优点:
具有很高的可控性
缺点:
需要支持的应用软件数量多
只能保护一个组建
6.3.2 基于主机的入侵检测
采用察看针对可疑行为的审计记录来执行。
它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。
优点:
监视所有系统行为;适应交换和加密;不要求额外的硬件
缺点:
看不到网络活动的状况;运行审计功能要占用额外系统资源;主机监视感应器对不同的平台不能通用;管理和实施比较复杂。
6.3.3 基于网络的入侵检测
使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。
优点:
花费较低;检查所有的包头来识别恶意和可疑行为;主机比较坚固;具有更好的实时性;检测不成功的攻击和恶意企图;不依赖于被保护主机的操作系统。
缺点:
对加密通信无能为力;对高速网络无能为力;不能预测命令的执行后果。
6.3.4 集成入侵检测
综合了上面介绍的几种技术的入侵检测方法。
优点:
具有每一种检测技术的优点,并试图弥补各自的不足;能够更容易看清长期攻击和跨网攻击的模式;稳定性好;节约成本
缺点:
在安防问题上不思进取;把不同供应商的组件集成在一起较困难。
6.4 入侵检测系统的优点和不足
优点:
使现有的安防体系更完善;更好地掌握系统的情况;追踪攻击者的攻击线路;界面友好,
便于建立安防体系;能够抓住肇事者。
●不足:
不能在没有用户参与的情况下对攻击行为展开调查;不能在没有用户参与的情况下阻止攻击行为的发生;不能克服网络协议方面的缺陷;不能克服设计原理方面的缺陷;响应不够及时,签名数据库更新得不够快。
6.5 带入侵检测功能的网络体系结构
详见教材
6.6 入侵检测系统的发展
入侵检测系统的发展方向是攻击防范技术和更好的攻击识别技术,也就是入侵防范技术。
IDP (Intrusion Detection & Prevention)
可以认为是IDS系统的替代品。
最大特点:
(1)不但能检测,而且有能力终止入侵
(2)能够从不断更新的模式库中发现新的入侵方法,更智能的保护,减少漏报和误报。
6.7 入侵检测产品
●Cisco system: NetRanger
●Network associate:CyberCop
●Internet Security System:Real Secure
●Intrusion Detection: Kane Sevurity Monitor
●Axent Technologies: OmniGuard/Intruder Alert
●中科网威:天眼
●启明星辰:SkyBell
第七章 虚拟专用网
本章概要
●虚拟专用网的作用
●虚拟专用网的分类方法
●虚拟专用网的工作原理
●虚拟专用网常用协议
课程目标
●了解虚拟专用网的应用范围和分类
●了解虚拟专用网的工作原理
7.1 虚拟专用网的基本概念
7.1.1 什么是虚拟专用网
VPN技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是企业网络发展的趋势。
7.1.2 VPN的功能
●保证数据的真实性
●保证数据的完整性
●保证通道的机密性
●提供动态密钥交换功能
●提供安全防护措施和访问控制
7.1.3 VPN的分类
●内部VPN
●远程访问VPN
●外联网VPN
7.2 VPN常用的协议
●SOCK v5
●IPSec
●PPTP/L2TP
7.2.1 SOCK v5
SOCK v5 是一个需要认证的防火墙协议,当SOCK同SSL协议配合使用,可作为建立高度安全的VPN的基础。
SOCK 5协议的优势在于更细致的访问控制,因此适合于安全性要求很高的VPN。
7.2.2 IPSec
IPSec是一个应用范围广泛的开放的第三层VPN协议标准。
IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、完整性校验、数据内容的加密和防重演保护等。
7.2.3 PPTP/L2TP
点对点隧道协议PPTP是微软公司提出的,是数据链路层的协议,被用于微软的路由和远程访问服务。PPTP用IP包来封装PPP协议。用简单的包过滤和微软域网络控制来实现访问控制。
7.3 基于IPSec协议的VPN体系结构
IPSec协议主要应用于网络层
7.4 VPN产品
●Cisco
●NetScreen
●Check Point
●天融信
●东软
第八章 漏洞评估产品
本章概要
●漏洞评估的作用和意义
●漏洞评估产品的分类
●漏洞评估产品的选型原则
●常见的漏洞评估产品
课程目标
●了解漏洞评估的作用和意义
●了解进行漏洞评估的方法和作用
8.1 漏洞评估的概念
如何在网络黑客动作之前及早采取措施发现网络上的安全漏洞,是网络管理员日常工作中很重要的任务。
漏洞评估技术通过对系统进行动态的试探和扫描,找出系统中各类潜在的弱点,给出相应的报告,建议采取相应的补救措施或自动填补某些漏洞。
8.2 漏洞评估产品的分类
●网络型安全漏洞评估产品
●主机型安全漏洞评估产品
●数据库安全漏洞评估产品
8.3 漏洞评估产品的选择原则
●是否具有针对网络和系统的扫描系统
●产品的扫描能力
●产品的评估能力
●产品的漏洞修复能力及报告格式
8.4 常见的漏洞评估产品
●Internet Security System
●Axent Technologies
●北京网盾
本章概要
病毒、恶意代码和垃圾邮件是计算机系统中常见的安全威胁,这些安全威胁有以下共性:
1、它们都是来自网络以外
2、它们使用或破坏计算机资源
3、它们通常在用户不知情或无意的情况下进入计算机系统。
课程目标
●定义恶意代码
●描述恶意代码的一半特性
●识别几种计算机恶意代码并能列举范例
●识别几种特殊类型恶意代码并了解其特性
●解释各种类型的恶意代码是如何进入计算机系统,以及是如何在计算机系统中传播的,了解可能感染恶意代码的系统所表现出的常见症状及行为
9.1 什么是病毒?
恶意代码或Malware
是一个可以中断或破坏计算机网络的程序或代码
病毒是恶意代码的一种形式。
他们只感染可执行程序。
9.2 病毒简史
●20世纪60 年代初,“磁芯大战”——病毒的第一个雏形
●20世纪70年代,《P1的青春》——第一次称之为“计算机病毒”
●1983年11月,第一个计算机病毒诞生在实验室中
●20世纪80年代,“巴基斯坦智囊”——最早在世界上流行的一个真正的病毒
●1995年,“病毒生产机”
●1998年底,“HAPPY99”——世界性的第一个大规模在网上传播的网络蠕虫病毒。
9.3 病毒危害
计算机病毒的危害主要表现在3个方面:
1、破坏文件或数据,造成用户数据丢失或毁损
2、抢占系统网络资源,造成网络阻塞或系统瘫痪
3、破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动
9.4 病毒流行趋势
用户遭攻击数量继续上升
病毒本身变得越来越复杂
更有针对性
传播速度加快
本章概要
●病毒自启动技术
●病毒传播技术
●可疑系统分析
●可疑文件的查找
●受感染系统的清理
课程目标
●了解病毒的工作原理
●掌握可以文件的搜集方法
●对被感染的系统有清理的能力
10.1 病毒传染机制
病毒的行为会经历这样的步骤:
●首先,通过一定的传播渠道进入目标系统
●其次,修改系统设定,以帮助自身在系统启动时执行
●最后,执行自身设定的功能,如发起自身的传播、感染文件、发起ddos攻击等。 病毒的传播渠道
A。电子邮件
B。网络共享
C。P2P共享软件
D。即时通信软件
E。系统中程序的漏洞缺陷
10.1.1 电子邮件传播方式
病毒可以使用电子邮件的快捷传播特性作为传播渠道,html格式的信件正文可以嵌入病毒脚本。而邮件附件更是可以附带各种不同类型的病毒文件。
10.1.2 网络共享传播方式
主要是通过搜索局域网中所有具有写权限的网络共享,然后将自身进行复制进行传播。更进一步,病毒还可自带口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。
10.1.3 系统漏洞传播方式
系统漏洞是操作系统的一些缺陷,这些缺陷可以导致哟个恶意用户通过精心设计,利用该漏洞执行任意的代码。
10.1.4 P2P共享软件传播方式
P2P软件的出现,使得处于互联网不同位置的人员,进行文件的共享称为可能。
使用传播此种手段的病毒,往往在生成自身拷贝时使用一些吸引人或是容易被人搜索到的名称,以获得被他人下载的机会。
10.1.5 即时通信软件传播方式
多数即使通信软件都带有文件的传输功能,导致病毒可以利用这一功能,将自身快速地在即时通信软件之间快速传送。
10.2 病毒触发机制
目前病毒采用的触发条件主要有以下几种:
1、日期触发
2、时间触发
3、键盘触发
4、感染触发
5、启动触发
6、访问磁盘次数触发
7、调用中断功能触发
8、CPU型号/主板型号触发
通常病毒通过以下几种方式保证自身的启动:
1、 修改系统注册表
2、修改系统配置文件
3、添加自身为系统服务
4、系统启动文件夹
5、其它方式
10.3 可疑系统诊断
通常对一个怀疑有病毒的系统检查从以下几个方面着手:
A。 用户帐号
B。 网络共享
C。 安全设定
D。 漏洞扫描
10.4 被感染系统的清理
在确定了病毒文件名称后,通常可以使用以下的方法进行感染系统的清理:
A。 终止恶意程序
B。 删除注册表中的自启动项目
C。 删除恶意程序生成文件
第十一章 传统计算机病毒
课程目标
●掌握病毒的定义
●描述计算机病毒的种类的特征
●了解系统可能被病毒感染所表现出的常见的症状
●解释不同类型的病毒是如何进入系统和传播的
11.1 概述
病毒有广义和狭义上的概念:
广义上:包含蠕虫、木马、后门程序等恶意代码
狭义上:依附于宿主程序
我们讨论的是狭义上的病毒:
一种自己不能执行的寄生代码
目前,87%的病毒是通过电子邮件进入系统的
11.2一般病毒术语和概念
有效负载:
在野病毒:如果一种病毒正在互联网上传播并正在日常的运行中感染着用户,我们就称其为在野病毒。
内存病毒:
隐密型病毒:
11.3 引导扇区病毒
引导扇区病毒会用自己的代码代替MBR中的信息,因此,当计算机读取第一个扇区时,病毒会在操作系统之前被加载到内存中。
它们已不再象以前那样造成严重的威胁。软盘已不再是共享文件和信息的主要方法,而更多的是通过网络、电子邮件和基于WEB的方法。
11.4 文件感染病毒
●DOS病毒
●Windows病毒
●宏病毒
●脚本病毒
●Java病毒
●Shockwave病毒
11.5 DOS病毒
DOS病毒通过将自己的复制文件附着在宿主程序的末尾来感染程序,称为appending indection。
11.6 Windows病毒
●Windows病毒统称向宿主程序附着一个以上的拷贝,将其代码隐藏在程序代码的开始、中间或末尾。
●当一个Windows病毒常驻时,
它通常出现在任务管理器中。
11.7 宏病毒
●宏病毒是应用程序的宏语句编写的,它们通常利用宏的自动化功能,在用户不参与的情况下便能够运行被感染的宏。
●宏病毒的特征和行为:
● 在以前不含有宏的文件中出现了宏
● 该应用程序将所有文件保存为模板
● 该应用程序会经常提醒用户保存那些只是被查看了但是没有被修改的文件。
11.8 脚本病毒
●脚本是指从一个数据文档中进行一个任务的一组指令。
●与宏相同,脚本也是嵌入到一个静止的文件中的,他们的指令是由一个应用程序而不是计算机的处理器运行的。
●脚本病毒主要是通过电子邮件和网页传播。
11.9 Java病毒
●Java病毒很难创建
●会消耗网络带宽,造成系统运行缓慢
●能窃取、删除或修改信息
11.10 Shockwave病毒
●Shockwave(SWF)文件是由 Macromedia Flash应用创建的。
●由于Flash具有脚本功能,因此,它很容易受到病毒感染。
●目前唯一 一个已知的可能感染SWF文件的病毒——SWF_LFM.926
11.11 复合型病毒
●复合型病毒采用多种技术来感染系统,包括引导扇区、可执行文件和文档感染。
●复合型病毒是最难被发现、清除和清理的病毒之一,它们可以通过多种途径来传播。 11.12 在野病毒
参见教材
第十一章 结束
第十二章 网络时代的病毒威胁
课程目标
●识别几种计算机恶意代码并能列举范例;
●识别几种特殊类型代码并了解其特性;
●解释各种类型的恶意代码是如何进入计算机系统,以及是如何在计算机系统中传播的; ●了解可能感染恶意代码的系统所表现出的常见症状或行为
12.1 特洛伊木马
与病毒不同 ,特洛伊木马不复制自己。
●由于特洛伊木马是一个非自我复制的恶意代码,因此它们要依靠用户向其他人发送它们自己的拷贝。
●特洛伊会从互联网上更新自己,也就是说,在到达了目标的计算机后它的任务可能会改变。 12.2 网络蠕虫
●蠕虫和病毒是两种最常见的恶意代码形式。两种形式都是通过复制自己来达到破坏的目的,并且都可以通过电子邮件传播的。然而,病毒要求一个宿主来传播,而蠕虫是独立的。 ●蠕虫是能够复制自己的一个程序或一组程序,蠕虫有时会携带病毒,当蠕虫被激活时,病毒就会被释放到计算机系统中,或该蠕虫本身能够破坏信息和资源。
●蠕虫能够不在用户的参与下自己传播。
12.3 钓鱼程序
●网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,是常见的网络欺诈行为。 ●“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点进行诈骗活动,受骗者往往会泄露自己的重要数据,如信用卡号,账户用户名,口令和社保编号等内容。
●“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其连接和要求填入个人重要资料,资料将被传送到诈骗者手中。 12.4 间谍软件
常见的Spyware表现症状:
1.不断弹出广告
2.设定被修改并且无法有效恢复
3.浏览器被安装了所不认识的额外组件
4.计算机运行变迟缓
12.5 垃圾邮件
●Spam:垃圾邮件
●与恶意代码和病毒不同,垃圾邮件不包含恶意代码,不会破坏系统。
●垃圾邮件可通过大量的业务造成服务器的过载,并消耗带宽和网络存储空间,降低公司发送和接收合法邮件的能力。
●防范方法:
1)不轻易留下电子邮件地址
2)使用电子邮件的过滤功能
12.6 即时通信软件
●腾讯QQ
●网易泡泡
●雅虎通
●朗玛UC
●微软MSN:Microsoft Servers Network
目前病毒攻击即时通信软件主要有两种形式:
1)偷盗用户号码
2)利用即时通信软件的活链接功能来进行传播
12.7 手机病毒
●手机病毒也是一种计算机程序,和其他计算机病毒(程序)一样具有传染性、破坏性。手机病毒可以利用发送短信、彩信,电子邮件。浏览网站,下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至还会毁损SIM卡,芯片等硬件。
●工作原理:手机中的软件,嵌入式操作系统,相当与一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中还包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞入侵手机的。
●手机病毒要传播和运行,必要条件是移动服务商要提供数据传输功能,而且手机需要支持JAVA等高级程序写入功能。现在许多具备上网及下载等功能的手机都可能会被手机病毒入侵。
●危害:窃取用户信息;传播非法信息;破坏手机软硬件;造成通信网络瘫痪。
●防范:通常病毒的防范战略:多层保护,基于点的保护,集成方案,被动型和主动型,基于订购的防毒支持服务。
第十二章
结束
《网络安全与病毒防范》
教学概述
本教程围绕目前遇到的两大安全威胁——黑客与病毒展开论述,详细地描述了黑客攻击原理和计算机病毒原理。深入阐述了应对计算机安全威胁的防御措施,对常见的信息安全技术与产品做了概括性介绍,同时对如何有效构建完整的安全防护体系提供了参考建议。本教程还对计算机病毒的攻击方法、危害与影响、发展趋势和防护策略作了权威的论述,同时介绍了业界最新的病毒防护技术。
课程内容
课程目标
课时计划
●第一章 网络安全概述 2
●第二章 计算机网络基础 2
●第三章 黑客攻防剖析 6
●第四章 数据加密与身份认证 2
●第五章 访问控制与防火墙 2
●第六章 入侵检测技术 2
●第七章 虚拟专用网 1
●第八章 漏洞评估产品 1
●第九章 计算机病毒分析 1
●第十章 病毒机理分析 1
●第十一章 传统计算机病毒 2
●第十二章 网络时代的病毒威胁 2
●第十三章 病毒防护策略 2
●附录1 常见防毒产品介绍 1
●附录2 病毒常见问题解答 1
●附录3 某公司防病毒解决方案案例
●总结及综合复习 1
考核及成绩组成
●平时成绩:30%
(课堂提问,课后作业)
●期末考试:70%
(闭卷考试)
1
本章概要
本章介绍信息安全的定义、安全网络的基本特征以及计算机网络面临的威胁。 ●信息安全的定义;
●安全网络的基本特征;
●计算机网络面临的威胁。
课程目标
●了解信息安全的定义及其涵盖的范围;
●了解计算机网络面临的威胁主要来自哪些方面;
●了解安全的计算机网络的基本特征。
1.1 信息安全背景
1.1.2 信息安全事件类型
1.1.3信息安全问题的严重性
1.2 信息安全威胁与弱点
1.2.1 信息安全威胁
信息安全面临的风险来源
1.2.2 信息系统的弱点
针对网络安全的攻击
1.3 信息安全的定义
信息安全体系结构
1.4.1 网络系统现状
1.4.2 网络系统安全风险分析
1.4.3 提出安全需求,建立安全目标
1.4.9 安防工作是一个过程
1.5 操作系统安全级别
网络用户的法律规范
网络服务业的法律规范
网络信息传播安全管理制度
●2000年9月20日公布施行《互联网信息服务管理办法》。
●《办法》中把互联网信息服务分为经营性和非经营性两类。
●经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
●非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
本章概要
本章详细阐述了计算机网络的基本知识,主要涉及的内容有:
●OSI的七层模型及各层的主要功能
●TCP/IP协议
●局域网和广域网技术
课程目标
2.1 计算机网络的分层结构 社会上存在的邮政系统
2.1.1 OSI的七层模型及各层的主要功能 物理层的主要功能:
●利用传输介质为通信的网络结点之间建立、管
● 理和释放物理连接;
●实现比特流的透明传输,为数据链路层提供数
● 据传输服务;
●物理层的数据传输单元是比特。 数据链路层的主要功能: 网络层的主要功能:
●通过路由选择算法为分组通过通信子网选择最适当的路径;
●为数据在结点之间传输创建逻辑链路;
●实现拥塞控制、网络互连等功能。 传输层的主要功能:
●向用户提供可靠端到端(end-to-end)服务;
●处理数据包错误、数据包次序,以及其他一些关键传输问题;
●传输层向高层屏蔽了下层数据通信的细节,是计算机通信体系结构中关键的一层。 会话层的主要功能:
●负责维护两个结点之间的传输链接,以便确保点到点传输不中断;
●管理数据交换。 表示层的主要功能:
●用于处理在两个通信系统中交换信息的表示方式;
●数据格式变换;
●数据加密与解密;
●数据压缩与恢复。 应用层的主要功能
●为应用程序提供了网络服务;
●应用层需要识别并保证通信对方的可用性,使得协同工作的应用程序之间的同步; ●建立传输错误纠正与保证数据完整性的控制机制。
2.1.2 TCP/IP 协议栈
●在TCP/IP协议研究时,并没有提出参考模型;
●1974年Kahn定义了最早的TCP/IP参考模型;
●80年代Leiner、 Clark等人对TCP/IP参考模型进一步的研究;
●TCP/IP协议一共出现了6个版本,后3个版本是版本4、版本5与版本6;
●目前我们使用的是版本4,它的网络层IP协议一般记作IPv4 ;
●版本6的网络层IP协议一般记作IPv6(或IPng, IP next generation);
●IPv6被称为下一代的IP协议。
●开放的协议标准;
●独立于特定的计算机硬件与操作系统;
●独立于特定的网络硬件,可以运行在局域网、
广域网,更适用于互连网中;
● 统一的网络地址分配方案,使得整个TCP/IP
设备在网中都具有唯一的地址;
●标准化的高层协议,可以提供多种可靠的用户
服务。
TCP/IP参考模型各层的功能
●应用层(application layer)
●传输层(transport layer)
●互连层(internet layer)
●主机-网络层(host-to-network layer)
主机-网络层
●参考模型的最低层,负责通过网络发送和接收IP数据报;
●允许主机连入网络时使用多种现成的与流行的协议,如局域网的Ethernet、令牌网、分组交换网的X.25、帧中继、ATM协议等;
●当一种物理网被用作传送IP数据包的通道时,就可以认为是这一层的内容;
●充分体现出TCP/IP协议的兼容性与适应性,它也为TCP/IP的成功奠定了基础。 互连层
●相当OSI参考模型网络层无连接网络服务;
●处理互连的路由选择、流控与拥塞问题;
●IP协议是无连接的、提供“尽力而为”服务的网络层协议。 传输层
●主要功能是在互连网中源主机与目的主机的对等实体间建立用于会话的端-端连接; ●传输控制协议TCP是一种可靠的面向连接协议;
●用户数据报协议UDP是一种不可靠的无连接协议。 应用层
应用层协议主要有:
●网络终端协议Telnet
●文件传输协议FTP
●简单邮件传输协议SMTP
●域名系统DNS
●简单网络管理协议SNMP
●超文本传输协议HTTP
2.2 常用的网络协议和网络服务
常见的Internet服务
●电子邮件
●文件传输
●Telnet
●WWW服务
●Usenet服务
●域名服务
●网络管理服务
●网络文件服务
●拨号访问服务
2.3 常用的网络协议和网络技术
通常按其所覆盖的地理区域被分为局域网(LAN)和广域网(WAN),这两种网络的主要分类如下:
局域网——这些网络连接设备彼此都在一个局部的地区(最多到5KM)
广域网——这些网络覆盖一个非常大的地理区域,它允许在不同的设备间相互通讯
2.3.1 局域网技术(LAN)
Ethernet网卡结构 令牌环网的工作原理
光纤分布式数据接口——FDDI
2.3.2 广域网技术(WAN)
●SDLC协议和HDLC高层数据链路协议
●Frame Relay(帧中继)
●PPP 点到点协议
●ISND 综合业务数字网协议
●ADSL 非对称数字用户线
2.4 常见网络设备
常见网络设备
2.5 虚拟局域网技术(VLAN)
虚拟网络的概念
●虚拟网络建立在局域网交换机之上;
●以软件方式实现对逻辑工作组的划分与管理;
●逻辑工作组的结点组成不受物理位置的限制;
●一个逻辑工作组的结点可以分布在不同的物理网段上,但它们之间的通信就像在同一个物理网段上一样。
虚拟局域网的组网方法
●用交换机端口号定义虚拟局域网
●用 MAC地址定义虚拟局域网
●用网络层地址定义虚拟局域网
●IP广播组虚拟局域网 虚拟局域网的优点
●方便网络用户管理
●减少网络管理开销
●提供更好的安全性
●改善网络服务质量
2.6 无线局域网
无线局域网的应用
●作为传统局域网的扩充
●建筑物之间的互连
●漫游访问
●特殊网络 典型的无线局域网结构
蓝牙技术组建无线网络
蓝牙(Bluetooth)技术是由爱立信、诺基亚、Intel、IBM 和东芝5家公司于1998年5月共同提出开发的。蓝牙技术的本质是设备间的无线联接,主要用于通信与信息设备。
第二章 结束
第三章 黑客攻防剖析
本章概要
●黑客的定义
●基于协议的攻击手法和防御手段
●常见的漏洞分析
课程目标
●了解当前主要网络安全弱点
●了解黑客攻击手段,提升防范能力
3.1 “黑客”与“骇客”
黑客——Hacker
黑客起源于20世纪50年代美国著名高校的实验室中,他们智力非凡、技术高超、精力充沛,热衷于解决一个个棘手的计算机网络难题。
骇客——Cracker
一部分人不能恪守“黑客”文化信条,恶意破坏计算机网络,盗窃信息系统。人们把这部分主观上有恶意企图的人称为“骇客”
3.2 黑客攻击分类
攻击方法的分类是安全研究的重要课题,对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。
1. 按照TCP/IP协议层次进行分类
这种分类是基于对攻击所属的网络层次进行的,TCP/IP协议传统上分为四层,攻击类型可以分成四层
(1)针对数据链路层的攻击(ARP,RARP)
(2)针对网络层的攻击(ICMP,IP,IGMP)
(3)针对传输层的攻击(TCP,UDP)
(4)针对应用层的攻击(DNS,FTP,SMTP)
2. 按照攻击者目的分类
1)DOS(拒绝服务攻击)和DDOS(分布式拒绝 服务攻击)
2)Sniffer监听
3)会话劫持于网络欺骗
4)获得被攻击主机的控制权
3. 按危害范围分类
●局域网范围
●广域网范围
3.3 基于协议的攻击手法与防范
重点介绍以下几种:
●ARP协议漏洞攻击
●ICMP协议漏洞攻击
●TCP协议漏洞攻击
●各种协议明文传输攻击
3.3.1 ARP协议漏洞
漏洞描述
ARP协议(地址解析协议)工作在TCP/IP协议的第二层——数据链路层,用于将IP地址转换为网络接口的硬件地址(MAC地址),无论是任何高层协议的通讯,最终都将转换为数据链路层硬件地址的通讯。
漏洞描述
●每台主机的内存中,都有一个ARP→MAC的转换表,保存最近获得的IP与MAC地址对应。
●ARP转换表可以被攻击者人为地更改欺骗,可以针对交换式及共享式进行攻击
攻击实现
攻击实现的具体步骤
(1)利用工具,进行拒绝式服务攻击(Ar free),让主机C宕掉,暂时停止工作。
(2)这段时间里,入侵者把自己的IP改成192.168.0.3。
(3)用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的ARP转换表。
(4)主机更新了ARP表中关于主机C的IP->MAC对应关系。
(5)防火墙失效了,入侵的IP变成合法的MAC地址,可以Telnet了。
ARP欺骗防范
●不要把你的网络安全信息关系建立在IP地址的基础上或硬件MAC地址基础上(RARP同样存在欺骗问题),较为理想的信任关系应该建立在IP+MAC基础上。
●设置在本机和网关设置静态的MAC->IP对应表,不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。
●除非很有必要,否侧停止使用ARP,将ARP作为永久条目保存在对应表中。
●在本机地址使用ARP,发送外出的通信使用代理网关。
●修改系统拒收ICMP重定向报文。
3.3.2 ICMP协议漏洞
漏洞描述
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写,是传输层的重要协议。它是TCP/IP协议簇的一个子协议,用于IP主机、路由之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。所以许多系统和防火墙并不会拦截ICMP报文,这给攻击者带来可乘之机。
攻击实现
●ICMP转向连接攻击
●ICMP数据包放大
●死ping 攻击
●ICMP Ping 淹没攻击
●ICMP nuke 攻击
●通过ICMP进行攻击信息收集
LINUX TTL=64
windows95/98/Me TTL=32
windows2000/NT TTL=128
ICMP 攻击的防范
●策略一: 对ICMP数据包进行过滤
●策略二:修改TTL值,巧妙骗过黑客
@echo REGEDIT4>>ChangeTTL.reg
@echo.>>ChangeTTL.reg
@echo[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>>ChangeTTL.reg
@echo “DefaultTTL”=“dword:000000”>>ChangeTTL.reg
@REGEDIT/S/C ChangeTTL.reg
3.3.3 TCP协议漏洞
漏洞描述
TCP(传输控制协议)是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的,主机交换数据必须建立一个会话。
TCP协议是攻击者攻击方法的思想源泉,主要问题存在于TCP的三次握手协议上。 正常的TCP三次握手过程
(1)请求端A发送一个初始序号为ISNa的SYN报文
(2)被请求端B收到A的SYN报文后,发送给A自己的初始序列号为ISNb,同时将ISNa+1作为确认SYN+ACK报文
(3)A对SYN+ACK报文进行确认,同时将ISNa+1,ISNb+1发送给B,TCP连接完成。 SYN Flood攻击实现
黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。
半连接队列很快就会填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防御方法
(一) 通过防火墙、路由器等过滤网关防护
(二)通过加固TCP/IP协议栈防范
3.3.4 其他协议明文传输漏洞
漏洞描述
TCP/IP协议数据流采用明文传输,是网络安全的一大隐患,目前所使用的Ftp、http、pop和telnet服务在本质上都是不安全的,因为他们在网络上用明文传送口令和数据,攻击者可以很容易地通过嗅探等方式获取这些口令和数据。
攻击实现
●网络抓包工具很多。
●黑客经常使用该工具来修改网络发送和接受数据,协助完成很多网页脚本的入侵工作。 例:使用Winsock Expert 获取Sina网站的邮箱
用户名及密码信息。
防御方法
●从逻辑或物理上对网络分段
●以交换式集线器代替共享式集线器
●使用加密技术
●划分VLAN(虚拟局域网)技术
●使用动态口令技术,使得侦听结果再次使用时无效
3.4 操作系统漏洞攻击
无论是UNIX、windows,还是其他操作系统,都存在着安全漏洞。
3.4.1 输入法漏洞
漏洞描述
Microsoft 自Windows 2000 开始,支持中文用户名。这些随系统装入的输入法可以在系
统登录界面中使用,以便用户能使用基于中文字符的用户标识和密码登录到系统。
进而,一些别有用心的用户可以通过直接操作该系统的登录界面得到当前系统权限。 攻击实现
攻击防范
●给windows 2000 打补丁到SP4
●删除输入法帮助文件和多余的输入法
●防止别人恶意利用net.exe
3.4.2 IPC$攻击
漏洞描述
IPC$是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
漏洞防范
(1)禁止空连接进行枚举
(2)禁止默认共享
3.4.3 Remote Procedure Call (RPC)漏洞
漏洞描述:
远程过程调用是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。
使用RPC的 程序不必了解支持通信的网络协议的情况,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
漏洞防范:
(1)通过防火墙关闭135端口
(2)更新最新补丁
3.5 WEB应用漏洞
3.5.1 针对数据库漏洞
MS SQL-SERVER空口令入侵
在微软的MS SQL—Server7.0以下的版本在默认安装时,其SA(System Administrator)账户口令为空,所开端口为1433,一个入侵者只要使用一个MS SQL客户端与SA口令为空的服务器连接就可以获得System的权限。
Access 数据库下载漏洞
Access数据操作灵活,转移方便,运行环境简单,对于小型网站的数据库处理能力效果还不错,是很多小型网站建站优先选择。但缺点是:数据库如果没有经过严格防护,很容易被攻击者利用特殊手段进行下载。
●黑客的攻击思路过程(参见教材P50)
●漏洞的防范:
(1)更改数据库名;
(2)更改数据库里面常用字段成复杂字段,避免注入。
(实施难度较大)
(3)给数据库关键字段加密,对于管理员账户设置复杂密码;
(4)在数据库文件中建一个表,表中取一个字段名叫:antihack,在表名建一个字段,字段中填写任意不能正确执行的语句。
(5)如果有机器管理权限,可将数据库放到IIS以外的目录。
3.5.2 Cookie 攻击
Cookie或称Cookies,指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。
有些网站存放用户名和密码的Cookie是明文的,黑客只要读取Cookie文件就可以得到账户和密码;有些Cookie是通过Md5加密的,用户仍然可以通过破解得到关键信息。 ●Cookie利用
Cookie对黑客来说作用非常巨大,除了修改本地Hosts.sam文件以便对修改的Cookie提交,从而得到一些特殊权限外,还可能有多种利用。
●Cookie攻击防范策略
客户端——如将IE安全级别设为最高级,以阻止Cookid进入机器,并形成记录 服务端——尽量缩短定义Cookie在客户端得存活时间。
3.5.3 上传漏洞
所谓上传漏洞,起初是利用Web系统对上传的文件格式验证不全,从而导致上传一些恶意Web程序,随着Web程序编写者的技术提高,因为文件格式验证的基础漏洞逐渐减少,攻击者发现一种新的上传漏洞利用方法。
将一些木马文件通过修改文件后缀名或者利用字符串结束标志“\0”上传到网络服务空间,然后通过Url访问获得Webshell权限。(详见P56)
对于上传漏洞提出的解决思路:
(1)一般的上传时把上传路径作为一个变量来处理,我们的对策就是把filepath变成常量
(2)加强对空格的处理,以前常用的办法就是独到这里就结束,现应继续读直到下一个变量开始的地方再进行处理。
3.5.4 跨站攻击 XSS&XFS
XSS定义:
XSS来自于Cross Site Scirpt,中文翻译为跨网站的脚本,为避免和层叠式样式表CSS混淆,而改称XSS,所有针对CSS的攻击称为跨站式攻击。
形成:
跨站漏洞是由于程序员在编写一些支持用户互动反馈的程序如论坛,留言本,Blog,新闻评论等,对用户输入数据没有作充分过滤。直接把html标签、SQL语句提交到数据库并且再返回页面显示以及执行。
XSS的入侵:
利用跨站漏洞黑客可以在网站中插入任意代码,这些代码的功能包括获取网站管理员或普通用户的Cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘,只要脚本代码能够实现的功能,跨站攻击都能够达到!
XFS攻击及防范
Cross Frame Script 也叫XFS,它是Cross Site Script后一个新的盗取客户资料的方法。 Cross Frame Script原理
利用浏览器允许框架(frame)跨站包含其他页面的漏洞,在主框架的代码中加入script,监视、盗取用户输入。
Cross Frame Script危害
一个恶意的站点可以通过用框架页面包含真的网银或者在线支付网站进行钓鱼,获取用户账号和密码,且合法用户不宜觉察,因为提供的服务完全正常。
解决方案
作为用户,应留心浏览器地址,不在带框架页面中输入用户信息
作为网站管理员,在页面中加入以下JavaScript代码可以避免网站被XFS
If(top!=self){
Top.location=self.location;
}
3.5.5 注入攻击
所谓SQL注入,就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,查询数据库,获取想得到的资料。
常见的注入式攻击的手段
●一些网站的管理登陆页面对输入的用户名和密码没有做AQL过滤,导致网站被攻击。 ●查询语句在有注入漏洞的服务器上被恶意利用也会导致严重后果。
●PHPSql注入
●通过注入获得管理员账户密码
●通过工具进行注入攻击测试
3.5.6 搜索攻击
Google是全世界最流行和最强大的搜索引擎。
攻击者能使用它得到服务器的信息 ,包含敏感信息的文件和检测出“暗藏的”登陆页、服务器日志文、以及很多其他的内容。
搜索攻击语句示例
●常用Google黑客搜索攻击语句(见教材)
●利用“index of”语句来查找开放目录浏览的站点
●利用“inyrl”或“sllinurl”寻找缺陷站点或服务器
●利用“intitle”或“allintitle”寻找缺陷站点或服务器。
防止搜索引擎攻击的策略
(1)巩固服务器,并将其与外部环境隔离
(2)设置robote.txt文件,禁止Google索引自己的网页
(3)将高度机密的信息从公众服务器上去除
(4)保证自己的服务器是安全的
(5)删除管理系统的特征字符
3.6 针对IIS漏洞攻击
Microsoft IIS是允许在公共Intrant或Internet上发布信息的Web服务器,IIS可以提供HTTP、FTP、gopher服务。
常见IIS漏洞
●3.6.1 Unicode漏洞
●3.6.2 IDA&IDQ缓冲区溢出漏洞
●3.6.3 Printer溢出漏洞入侵
3.7 黑客攻击的思路
3.8 黑客攻击防范
●物理安全、停止Guest账号、限制用户数量
●创建多个管理员账号、管理员账号改名
●陷阱账号、更改默认权限、设置安全密码
●屏幕保护密码、使用NTFS分区
●运行防毒软件和确保备份盘安全
●关闭不必要的端口、开启审核策略
●操作系统安全策略、关闭不必要的服务
●开启密码策略、开启账户策略、备份敏感文件
不显示上次登录名、禁止建立空连接和下载最新的补丁
第三章 结束
第四章 数据加密与身份认证
本章概要
●数据加密技术
●身份认证技术
●包过滤技术
●资源授权使用
●内容安全(防病毒)技术
课程内容
●了解常用的网络安全及其适用范围
●了解内容安全(防病毒)技术在网络安全领域的重要地位
4.1 数据加密技术
信息安全技术是一门综合的学科,它涉及信息论、计算机科学和密码学等多方面知识,它的主要任务是研究计算机系统的通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。
其中,信息安全的核心是密码技术。
4.1.1 数据加密的概念
数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。
密码是实现秘密通信的主要手段,是隐蔽语言、文字、图像的特种符号。
凡是用特种符号按照通信双方约定的方法把电文的原型隐藏起来,不为第三者所识别的通信方式称为密码通讯。
密码系统的组成:
●未加密的报文,也称明文
●加密后的报文,也称密文
●加密解密设备或算法
●加密解密的密钥
数据加密模型的五要素
1.明文 2.密文 3.密钥 4.加密 5.解密
4.1.2 密码的分类
4.1.3 数据加密技术的应用
数据加密技术可以应用在系统安全的各个方面:
A.数据保密
B.身份验证
C.保持数据完整性
D.确认事件的发生
数据加密作为一项基本技术是所有通信安全的基石。
对称密钥加密(保密密钥法)
非对称密钥加密(公开密钥加密)
若加密密钥和解密密钥不相同,从其中一个难以推出另一个,则称为不对称密码技术或双钥密码技术。不对称密码算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称密码算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成
对明文的加密和解密过程。
不对称密码算法基本原理
混合加密系统
●混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合
●混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷 哈希(hash)算法
散列(Hash)函数可验证的完整性,如密钥等,它对不同长度的输入消息,产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”(Message digest)。散列是信息的提炼,通常其长度要比信息小得多,且为一个固定长度。加密性强的散列一定是不可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。同时,一般也不能找出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。
散列算法基本原理
散列算法也被称为散列函数,是用来产生一些数据片段(例如消息或会话项)的散列值的算法。散列算法具有在输入数据中的更改可以更改结果散列值中每个比特的特性,因此,散列对于检测在诸如消息或者密钥等信息对象中的任何微小变化很有用。典型的散列算法包括 MD2、MD4、MD5 和 SHA-1。
一个安全的哈希函数H必须具有以下属性:
●对于不定长度的输入有一个固定的输出。
●对干任意给定的x,H(x)的计算相对简单。
●对于任意给定的代码h,要发现满足H(x)=h的x在计算上是不可行的。
●对于任意给定的x,要发现满足H(y)=H(x)而y=x在计算上是不可行的。满足H(x)=H(y)的(x,y)在计算上是不可行的。
常见散列算法
●(1)MD2算法。
●(2)MD4算法。
●(3)MD5算法。
●(4)SHA/SHA-1算法。
数字签名
通过某种加密算法,在一条地址消息的尾部添加一个字符串而收信人可以根据这个字符串验明发信人的身份,并可以进行数据完整性检查。
认证中心(CA)
发放和管理数字正式:
数字证书
用来强力验证某个用户或某个系统的身份及其公开密钥。
4.1.4 数据传输的加密
●链路加密方式
●节点加密
●端对端加密方式
网络通信中的加密传输
4.1.5 常用加密协议
●SSL协议
●TLS协议
●IPSec协议(VPN加密标准)
●其他加密协议与标准:
(1)SSH
(2)DNSSEC
(3)GSSAPI
(4)PGP协议
4.2 身份鉴别技术
4.2.1 身份鉴别技术的提出
用户的身份鉴别是开放网络安全的关键问题之一。
身份鉴别是指判断一个网络实体是否是其所声称的身份的处理过程。
4.2.2 常用的身份鉴别技术
●基于用户名和密码的身份验证
●基于对称密钥密码体制的身份鉴别技术
●基于KDC的身份鉴别技术
●基于非对称密钥密码体制的身份鉴别技术
●基于证书的身份鉴别技术
4.2.3 资源使用授权
当用户登陆到系统时,其任何动作都要受到一些条件的约束
实例分析(详见教材)
第四章 结束
第五章 访问控制与防火墙
本章概要
●防火墙的分类
●防火墙的工作原理
●防火墙的不足
●防火墙的部署方式
课程目标
●了解访问控制与防火墙的基本原理
●防火墙的部署方式
●主流防火墙产品
5.1 网络防火墙的基本概念
古时候,建造和使用木质结构的房屋,为了在火灾发生时,防止火势蔓延,人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障,这种防护构筑物被称之为防火墙。在今天的网络世界里,人们借用了防火墙这个概念,把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层,并迫使所有的连接和访问都通过这一保护层,以便接受检查。只有被授权信息流才能通过保护层,进入内部网,从而保护内部网免受非法入侵。
5.2 防火墙的主要技术
5.2.1 包过滤技术的基本概念
5.2.2 状态包检测技术
状态包检测技术是包过滤技术的延伸,常被称为“动态包过滤”,是一种与包过滤相类似但更为有效地安全控制方法。
主要特点:
●高安全性
●高效性
●可伸缩和易扩展
●应用范围广
5.2.3 代理服务技术
5.3 防火墙的功能
5.4 防火墙的不足
●防火墙不能防备病毒
●防火墙对不通过它的连接无能为力
●防火墙不能防备内部人员的攻击
●限制有用的网络服务
●防火墙不能防备新的网络安全问题
5.5 防火墙的体系结构
双重宿主主机体系结构
被屏蔽主机体系结构
被屏蔽子网体系结构
5.6 防火墙的构筑原则
●体系结构的设计
●安全策略的制定
安全策略的实施
5.7 防火墙产品
AXENT Raptor
CyberGuard Firewall
CyberGuard Firewall是由CyberGuard 公司制作的,其主要结构是基于CX/SX多层式安全操作系统,它的操作相当容易上手。CyberGuard Firewall跟其他防火墙产品不同的地方在于,它提供一种可以安装在防火墙上的界面卡。通过界面卡,可以进行硬件加密。这对于整体效果有显著的提高。另外,它还有网络地址转译、支持Sock、分割式的DNS等特点。
Cisco PIX 535
联想“超五”千兆线速防火墙—NFW4000
联想“超五”千兆线速防火墙——NFW4000是一款无操作系统、多机集群并基于NP(网络处理器)的4GB千兆线速防火墙,也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权,并已取得国家十多项技术专利,不仅在国内同类产品中名列前茅,而且在国际上也属领先水平。
第六章 入侵检测系统
本章概要
●入侵检测系统的概念
●入侵检测系统的主要技术
●入侵检测系统的类型
●入侵检测系统的优缺点
●入侵检测系统的部署方式
课程目标
●了解入侵检测系统工作基本原理
●了解入侵检测系统在整个安全防护体系中的作用
●掌握入侵检测系统的部署方式
6.1 入侵检测系统的概念
有权威机构做过入侵行为统计,发现有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,相当一部分黑客攻击中,黑客都能轻易地绕过防火墙而攻击网站服务器。
从而,人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节——入侵检测系统。
6.1.1 什么是入侵检测系统
入侵检测系统
Intrusion detection system,简称IDS
是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。
入侵检测系统是防火墙的合理补充。
入侵检测系统是防火墙后的又一道防线。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。
6.1.2 入侵检测系统的特点
●不需要人工干涉即可不间断地运行
●有容错功能
●不需要占用大量的系统资源
●能够发现异于正常行为的操作。
●能够适应系统行为的长期变化
●判断准确
●灵活定制
●保持领先
6.1.3 入侵行为的误判
入侵行为判断的准确性是衡量IDS是否高效的重要技术指标,因为,
IDS系统很容易出现判断失误,这些判断失误分为:正误判、负误判和失控误判三类。 正误判
概念:把一个合法操作判断为异常行为
特点:导致用户不理会IDS的报警
6.2 入侵检测的主要技术——入侵分析技术
入侵分析技术主要有三大类:
签名、统计及数据完整性。
几种分析技术在IDS中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案。
6.2.1 签名分析法
签名分析法主要是用来检测有无对系统的已知弱点进行的攻击行为。
6.2.2 统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
6.2.3 数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过。
6.4 入侵检测系统的主要类型
6.3.1 应用软件入侵检测
在应用软件级收集信息
优点:
具有很高的可控性
缺点:
需要支持的应用软件数量多
只能保护一个组建
6.3.2 基于主机的入侵检测
采用察看针对可疑行为的审计记录来执行。
它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。
优点:
监视所有系统行为;适应交换和加密;不要求额外的硬件
缺点:
看不到网络活动的状况;运行审计功能要占用额外系统资源;主机监视感应器对不同的平台不能通用;管理和实施比较复杂。
6.3.3 基于网络的入侵检测
使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。
优点:
花费较低;检查所有的包头来识别恶意和可疑行为;主机比较坚固;具有更好的实时性;检测不成功的攻击和恶意企图;不依赖于被保护主机的操作系统。
缺点:
对加密通信无能为力;对高速网络无能为力;不能预测命令的执行后果。
6.3.4 集成入侵检测
综合了上面介绍的几种技术的入侵检测方法。
优点:
具有每一种检测技术的优点,并试图弥补各自的不足;能够更容易看清长期攻击和跨网攻击的模式;稳定性好;节约成本
缺点:
在安防问题上不思进取;把不同供应商的组件集成在一起较困难。
6.4 入侵检测系统的优点和不足
优点:
使现有的安防体系更完善;更好地掌握系统的情况;追踪攻击者的攻击线路;界面友好,
便于建立安防体系;能够抓住肇事者。
●不足:
不能在没有用户参与的情况下对攻击行为展开调查;不能在没有用户参与的情况下阻止攻击行为的发生;不能克服网络协议方面的缺陷;不能克服设计原理方面的缺陷;响应不够及时,签名数据库更新得不够快。
6.5 带入侵检测功能的网络体系结构
详见教材
6.6 入侵检测系统的发展
入侵检测系统的发展方向是攻击防范技术和更好的攻击识别技术,也就是入侵防范技术。
IDP (Intrusion Detection & Prevention)
可以认为是IDS系统的替代品。
最大特点:
(1)不但能检测,而且有能力终止入侵
(2)能够从不断更新的模式库中发现新的入侵方法,更智能的保护,减少漏报和误报。
6.7 入侵检测产品
●Cisco system: NetRanger
●Network associate:CyberCop
●Internet Security System:Real Secure
●Intrusion Detection: Kane Sevurity Monitor
●Axent Technologies: OmniGuard/Intruder Alert
●中科网威:天眼
●启明星辰:SkyBell
第七章 虚拟专用网
本章概要
●虚拟专用网的作用
●虚拟专用网的分类方法
●虚拟专用网的工作原理
●虚拟专用网常用协议
课程目标
●了解虚拟专用网的应用范围和分类
●了解虚拟专用网的工作原理
7.1 虚拟专用网的基本概念
7.1.1 什么是虚拟专用网
VPN技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是企业网络发展的趋势。
7.1.2 VPN的功能
●保证数据的真实性
●保证数据的完整性
●保证通道的机密性
●提供动态密钥交换功能
●提供安全防护措施和访问控制
7.1.3 VPN的分类
●内部VPN
●远程访问VPN
●外联网VPN
7.2 VPN常用的协议
●SOCK v5
●IPSec
●PPTP/L2TP
7.2.1 SOCK v5
SOCK v5 是一个需要认证的防火墙协议,当SOCK同SSL协议配合使用,可作为建立高度安全的VPN的基础。
SOCK 5协议的优势在于更细致的访问控制,因此适合于安全性要求很高的VPN。
7.2.2 IPSec
IPSec是一个应用范围广泛的开放的第三层VPN协议标准。
IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、完整性校验、数据内容的加密和防重演保护等。
7.2.3 PPTP/L2TP
点对点隧道协议PPTP是微软公司提出的,是数据链路层的协议,被用于微软的路由和远程访问服务。PPTP用IP包来封装PPP协议。用简单的包过滤和微软域网络控制来实现访问控制。
7.3 基于IPSec协议的VPN体系结构
IPSec协议主要应用于网络层
7.4 VPN产品
●Cisco
●NetScreen
●Check Point
●天融信
●东软
第八章 漏洞评估产品
本章概要
●漏洞评估的作用和意义
●漏洞评估产品的分类
●漏洞评估产品的选型原则
●常见的漏洞评估产品
课程目标
●了解漏洞评估的作用和意义
●了解进行漏洞评估的方法和作用
8.1 漏洞评估的概念
如何在网络黑客动作之前及早采取措施发现网络上的安全漏洞,是网络管理员日常工作中很重要的任务。
漏洞评估技术通过对系统进行动态的试探和扫描,找出系统中各类潜在的弱点,给出相应的报告,建议采取相应的补救措施或自动填补某些漏洞。
8.2 漏洞评估产品的分类
●网络型安全漏洞评估产品
●主机型安全漏洞评估产品
●数据库安全漏洞评估产品
8.3 漏洞评估产品的选择原则
●是否具有针对网络和系统的扫描系统
●产品的扫描能力
●产品的评估能力
●产品的漏洞修复能力及报告格式
8.4 常见的漏洞评估产品
●Internet Security System
●Axent Technologies
●北京网盾
本章概要
病毒、恶意代码和垃圾邮件是计算机系统中常见的安全威胁,这些安全威胁有以下共性:
1、它们都是来自网络以外
2、它们使用或破坏计算机资源
3、它们通常在用户不知情或无意的情况下进入计算机系统。
课程目标
●定义恶意代码
●描述恶意代码的一半特性
●识别几种计算机恶意代码并能列举范例
●识别几种特殊类型恶意代码并了解其特性
●解释各种类型的恶意代码是如何进入计算机系统,以及是如何在计算机系统中传播的,了解可能感染恶意代码的系统所表现出的常见症状及行为
9.1 什么是病毒?
恶意代码或Malware
是一个可以中断或破坏计算机网络的程序或代码
病毒是恶意代码的一种形式。
他们只感染可执行程序。
9.2 病毒简史
●20世纪60 年代初,“磁芯大战”——病毒的第一个雏形
●20世纪70年代,《P1的青春》——第一次称之为“计算机病毒”
●1983年11月,第一个计算机病毒诞生在实验室中
●20世纪80年代,“巴基斯坦智囊”——最早在世界上流行的一个真正的病毒
●1995年,“病毒生产机”
●1998年底,“HAPPY99”——世界性的第一个大规模在网上传播的网络蠕虫病毒。
9.3 病毒危害
计算机病毒的危害主要表现在3个方面:
1、破坏文件或数据,造成用户数据丢失或毁损
2、抢占系统网络资源,造成网络阻塞或系统瘫痪
3、破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动
9.4 病毒流行趋势
用户遭攻击数量继续上升
病毒本身变得越来越复杂
更有针对性
传播速度加快
本章概要
●病毒自启动技术
●病毒传播技术
●可疑系统分析
●可疑文件的查找
●受感染系统的清理
课程目标
●了解病毒的工作原理
●掌握可以文件的搜集方法
●对被感染的系统有清理的能力
10.1 病毒传染机制
病毒的行为会经历这样的步骤:
●首先,通过一定的传播渠道进入目标系统
●其次,修改系统设定,以帮助自身在系统启动时执行
●最后,执行自身设定的功能,如发起自身的传播、感染文件、发起ddos攻击等。 病毒的传播渠道
A。电子邮件
B。网络共享
C。P2P共享软件
D。即时通信软件
E。系统中程序的漏洞缺陷
10.1.1 电子邮件传播方式
病毒可以使用电子邮件的快捷传播特性作为传播渠道,html格式的信件正文可以嵌入病毒脚本。而邮件附件更是可以附带各种不同类型的病毒文件。
10.1.2 网络共享传播方式
主要是通过搜索局域网中所有具有写权限的网络共享,然后将自身进行复制进行传播。更进一步,病毒还可自带口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。
10.1.3 系统漏洞传播方式
系统漏洞是操作系统的一些缺陷,这些缺陷可以导致哟个恶意用户通过精心设计,利用该漏洞执行任意的代码。
10.1.4 P2P共享软件传播方式
P2P软件的出现,使得处于互联网不同位置的人员,进行文件的共享称为可能。
使用传播此种手段的病毒,往往在生成自身拷贝时使用一些吸引人或是容易被人搜索到的名称,以获得被他人下载的机会。
10.1.5 即时通信软件传播方式
多数即使通信软件都带有文件的传输功能,导致病毒可以利用这一功能,将自身快速地在即时通信软件之间快速传送。
10.2 病毒触发机制
目前病毒采用的触发条件主要有以下几种:
1、日期触发
2、时间触发
3、键盘触发
4、感染触发
5、启动触发
6、访问磁盘次数触发
7、调用中断功能触发
8、CPU型号/主板型号触发
通常病毒通过以下几种方式保证自身的启动:
1、 修改系统注册表
2、修改系统配置文件
3、添加自身为系统服务
4、系统启动文件夹
5、其它方式
10.3 可疑系统诊断
通常对一个怀疑有病毒的系统检查从以下几个方面着手:
A。 用户帐号
B。 网络共享
C。 安全设定
D。 漏洞扫描
10.4 被感染系统的清理
在确定了病毒文件名称后,通常可以使用以下的方法进行感染系统的清理:
A。 终止恶意程序
B。 删除注册表中的自启动项目
C。 删除恶意程序生成文件
第十一章 传统计算机病毒
课程目标
●掌握病毒的定义
●描述计算机病毒的种类的特征
●了解系统可能被病毒感染所表现出的常见的症状
●解释不同类型的病毒是如何进入系统和传播的
11.1 概述
病毒有广义和狭义上的概念:
广义上:包含蠕虫、木马、后门程序等恶意代码
狭义上:依附于宿主程序
我们讨论的是狭义上的病毒:
一种自己不能执行的寄生代码
目前,87%的病毒是通过电子邮件进入系统的
11.2一般病毒术语和概念
有效负载:
在野病毒:如果一种病毒正在互联网上传播并正在日常的运行中感染着用户,我们就称其为在野病毒。
内存病毒:
隐密型病毒:
11.3 引导扇区病毒
引导扇区病毒会用自己的代码代替MBR中的信息,因此,当计算机读取第一个扇区时,病毒会在操作系统之前被加载到内存中。
它们已不再象以前那样造成严重的威胁。软盘已不再是共享文件和信息的主要方法,而更多的是通过网络、电子邮件和基于WEB的方法。
11.4 文件感染病毒
●DOS病毒
●Windows病毒
●宏病毒
●脚本病毒
●Java病毒
●Shockwave病毒
11.5 DOS病毒
DOS病毒通过将自己的复制文件附着在宿主程序的末尾来感染程序,称为appending indection。
11.6 Windows病毒
●Windows病毒统称向宿主程序附着一个以上的拷贝,将其代码隐藏在程序代码的开始、中间或末尾。
●当一个Windows病毒常驻时,
它通常出现在任务管理器中。
11.7 宏病毒
●宏病毒是应用程序的宏语句编写的,它们通常利用宏的自动化功能,在用户不参与的情况下便能够运行被感染的宏。
●宏病毒的特征和行为:
● 在以前不含有宏的文件中出现了宏
● 该应用程序将所有文件保存为模板
● 该应用程序会经常提醒用户保存那些只是被查看了但是没有被修改的文件。
11.8 脚本病毒
●脚本是指从一个数据文档中进行一个任务的一组指令。
●与宏相同,脚本也是嵌入到一个静止的文件中的,他们的指令是由一个应用程序而不是计算机的处理器运行的。
●脚本病毒主要是通过电子邮件和网页传播。
11.9 Java病毒
●Java病毒很难创建
●会消耗网络带宽,造成系统运行缓慢
●能窃取、删除或修改信息
11.10 Shockwave病毒
●Shockwave(SWF)文件是由 Macromedia Flash应用创建的。
●由于Flash具有脚本功能,因此,它很容易受到病毒感染。
●目前唯一 一个已知的可能感染SWF文件的病毒——SWF_LFM.926
11.11 复合型病毒
●复合型病毒采用多种技术来感染系统,包括引导扇区、可执行文件和文档感染。
●复合型病毒是最难被发现、清除和清理的病毒之一,它们可以通过多种途径来传播。 11.12 在野病毒
参见教材
第十一章 结束
第十二章 网络时代的病毒威胁
课程目标
●识别几种计算机恶意代码并能列举范例;
●识别几种特殊类型代码并了解其特性;
●解释各种类型的恶意代码是如何进入计算机系统,以及是如何在计算机系统中传播的; ●了解可能感染恶意代码的系统所表现出的常见症状或行为
12.1 特洛伊木马
与病毒不同 ,特洛伊木马不复制自己。
●由于特洛伊木马是一个非自我复制的恶意代码,因此它们要依靠用户向其他人发送它们自己的拷贝。
●特洛伊会从互联网上更新自己,也就是说,在到达了目标的计算机后它的任务可能会改变。 12.2 网络蠕虫
●蠕虫和病毒是两种最常见的恶意代码形式。两种形式都是通过复制自己来达到破坏的目的,并且都可以通过电子邮件传播的。然而,病毒要求一个宿主来传播,而蠕虫是独立的。 ●蠕虫是能够复制自己的一个程序或一组程序,蠕虫有时会携带病毒,当蠕虫被激活时,病毒就会被释放到计算机系统中,或该蠕虫本身能够破坏信息和资源。
●蠕虫能够不在用户的参与下自己传播。
12.3 钓鱼程序
●网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,是常见的网络欺诈行为。 ●“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点进行诈骗活动,受骗者往往会泄露自己的重要数据,如信用卡号,账户用户名,口令和社保编号等内容。
●“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其连接和要求填入个人重要资料,资料将被传送到诈骗者手中。 12.4 间谍软件
常见的Spyware表现症状:
1.不断弹出广告
2.设定被修改并且无法有效恢复
3.浏览器被安装了所不认识的额外组件
4.计算机运行变迟缓
12.5 垃圾邮件
●Spam:垃圾邮件
●与恶意代码和病毒不同,垃圾邮件不包含恶意代码,不会破坏系统。
●垃圾邮件可通过大量的业务造成服务器的过载,并消耗带宽和网络存储空间,降低公司发送和接收合法邮件的能力。
●防范方法:
1)不轻易留下电子邮件地址
2)使用电子邮件的过滤功能
12.6 即时通信软件
●腾讯QQ
●网易泡泡
●雅虎通
●朗玛UC
●微软MSN:Microsoft Servers Network
目前病毒攻击即时通信软件主要有两种形式:
1)偷盗用户号码
2)利用即时通信软件的活链接功能来进行传播
12.7 手机病毒
●手机病毒也是一种计算机程序,和其他计算机病毒(程序)一样具有传染性、破坏性。手机病毒可以利用发送短信、彩信,电子邮件。浏览网站,下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至还会毁损SIM卡,芯片等硬件。
●工作原理:手机中的软件,嵌入式操作系统,相当与一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中还包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞入侵手机的。
●手机病毒要传播和运行,必要条件是移动服务商要提供数据传输功能,而且手机需要支持JAVA等高级程序写入功能。现在许多具备上网及下载等功能的手机都可能会被手机病毒入侵。
●危害:窃取用户信息;传播非法信息;破坏手机软硬件;造成通信网络瘫痪。
●防范:通常病毒的防范战略:多层保护,基于点的保护,集成方案,被动型和主动型,基于订购的防毒支持服务。
第十二章
结束