第9章.网络安全技术
第九章.网络安全技术
1.网络安全的定义:从狭义的保护角度来看.网络安全是指网络系统资源和信息资源不受自然和人为有害因素的威胁和危害.从广义来说,凡是涉及到网络上信息的保密性,完整性,可用性,真实性和可防控性的相关技术和理论都是网络安全的研究领域..
2.网络系统所面临的威胁有哪些?及其表现形式?
来源:天灾(不可控制的自然灾害:如地震.雷击);人祸(人为的恶意攻击,违纪,违法和犯罪);系统本身的原因(如硬件系统的故障,软件的后门,软件的漏洞等).
表现形式:伪装;非法连接;非授权访问;拒绝服务;抵赖;信息泄露;业务流分析;改动信息流;篡改或破坏数据;推断或演绎信息;非法篡改程序.
3.网络系统的脆弱性主要表现:
a.操作系统安全的脆弱性(操作系统结构体制本身的缺陷,操作系统的程序是可以动态链接的;操作系统支持在网络上传输文件,在网络上加载与安装程序,包括可执行的文件;创建进程和激活的权利,等同安装"间谍"软件;通常有一些守护进程常被黑客利用;都提供远程调用服务,而安全验证功能有限;提供的网络文件系统服务若存在重大设置问题,则几乎等于将系统管理权拱手交出;Debug和Wizard功能若被黑客利用,几乎可以做想做的事;无口令入口可能被黑客利用;隐蔽的信道,存在潜在的危险;系统某一漏洞可能会使所有安全控制无价值);
b.网络安全的脆弱性(使用TCP/IP协议的网络所提供的FTP、E-mail、NFS都包含不安全因素,存在漏洞;网络的普及,使信息被暴露的机会增多;数据处理的可访问性和资源共享的目的性之间矛盾可造成计算机系统的难保密性);
c.数据库管理系统安全的脆弱性(数据库系统在安全方面考虑很少;数据库管理系统安全必须与操作系统的安全相配套,实践中往往不是);
d.防火墙的局限性(防火墙防外不防内;防火墙难于管理和配置.易造成安全漏洞;很难为用户在防火墙内外提供一致的安全策略;防火墙只实现了粗粒的访问控制);
e.其他方面的原因(计算机领域中任何重大的技术进步都对安全性构成新的威胁;安全性的地位总是列在计算机网络系统总体设计规划的最后面;易受环境和灾害的影响;电子技术基础薄弱;剩磁效应和电磁泄漏的不可避免).
4.网络安全的三个层次的具体内容:安全立法、安全管理、安全技术措施.
5.OSI安全体系结构的安全技术标准:
5种安全服务项目:鉴别、访问控制、数据保密、数据完整性、抗否认.
8种安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由控制、公证机制.
6.简述可信计算机系统评价
准则及等级..
1983年美国国防部提出一套可信计算机系统评估标准,将计算机标准等级划分为D,C,B A,四类七级.由低到高.D级暂时不分子级.C级分为C1,C2 C2比C1提供更多保护,B及分为B1,B2,B3三个子级.由低到高.A级暂时不分子级.D级是最低的安全形式,整个计算机是不信任的.
7.7层协议的安全服务?实现机制?
①物理层提供的安全服务:连接机密性;通信业务流机密性(两种形式:全通信业务流机密性;有限通信业务流机密性).
实现机制:采用数据加密和业务填充机制来实现.
②数据链路层的安全服务:连接机密性;无连接机密性.
实现机制:加密机制用来提高数据链路层的安全服务.
③网络层提供执行的协议:子网访问;与了网有关的收敛;与子网无关的收敛;中继与路由选择.安全服务:1对等实体鉴别;2数据源发鉴别;3访问控制服务;4连接机密性;5无连接机密性;6通信业务流机密性;7不带恢复的连接完整性;78无连接完整性.实现机制:1服务由密码导出的或受保护的鉴别交换、受保护口令交换与签名的适当配合来提供;2服务由加密签名机制提供;3服务通过恰当使用特定的访问控制机制来提供;4和5服务由加密机制与路由选择控制提供;6服务有通信业务填充机制,并配以网络层或在网络层以下的一种机密性服务或路由选择控制来获得;7和8服务通过使用数据完整性机制,有时配合加密机制来提供.
④传输层安全服务:1对等实体鉴别;2数据源发鉴别;3.访问控制服务;4.连接机密性;5.无连接机密性;6.带恢复的连接完整性;7.不带恢复的连接完整性;8.无连接完整性.实现机制:1服务由密码导出的或受保护的鉴别交换、受保护口令交换与签名的适当配合来提供;服务由加密签名机制提供;3服务通过恰当使用特定的访问控制机制来提供;4和5服务由加密机制提供;6,7和8服务的提供是使用数据完整性机制,有时由加密机制与之配合.
⑤会话层不提供安全服务.
⑥表示层安全服务:1.通信业务流机密性;2.对等实体鉴别;3.数据源发鉴别;4.带恢复的连接完整性;5.不带恢复的连接完整性;6.选择字段连接完整性;7.无完整连接性;8.选择字段无连接完整性;9.数据源发证明的抗抵赖;10.交付证明的抗抵赖.
实现机制:2服务能够由语法变换机制支持;3服务能够由加密或签名机制支持;连接机密性、无连接机制性、选择字段机密性和1服务能够由加密机制支持;4,5,6,7,8服务能够由数据完整性机制支持,有时由加密机制与之支持;9,10服务能够由数据完整性、签名与公证机制的适当结合来支持.
⑦应用层安全服务:用户需要什么安全服务.由用户决定.
8.常用的网络安全
技术:物理安全技术;容错计算机和安全操作系统;密码技术;网络控制技术;数据库系统安全技术;网络防病毒技术;反黑客技术.
9.网络的物理安全技术:环境设备安全;网络信息安全(包括防止电磁信息的泄漏,线路截获.抗电磁干扰。措施:屏蔽、滤波、隔离、接地);存储介质安全(存储介质自身和数据的安全);硬件防护策略(包括存储器保护和输入/输出通道控制).
10.简述网络的电磁防护措施:目前主要电磁防护措施有两类.一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的波器,减小传办理阴抗和导线间的交叉耦合.另一类是对辐射的防护,这类防护措施又可分为以下两种,一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管,暖气管和金属门窗进行屏蔽和隔离.第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装备产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征.为提高电子设备的抗干扰力,除在芯片,部件上提高抗干扰能力外,主要的措施有屏蔽,隔离,滤波,吸波,接地等.其中屏蔽是应用最多的.方法.
11.容错计算机的基本特点:稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等.
容错系统模块组成:由故障检测、故障隔离、运行恢复和动态冗余切换.
12.常用的安全操作系统:Honeywell公司的SCOMP系统、UCLA安全UNIX操作系统、内核化的VM/370等.
13.SCOMP系统的软件设计的特征:①操作系统的设计采用环域结构,它由四个环组成:0号环和1号环构成系统的安全核,2号环驻留普通操作系统的常用功能.3号环驻留用户使用的应用程序;②系统的安全核由内核和外核组成。真正的安全特性由内核实现,但内核必须依靠外核可信软件为其提供实现安全策略所需的数据;③较小特权的进程可以调用较大特权的模块来请求服务.较大特权的模块可以使用调用它的那个进程的访问权限去访问传送给它的变量;④采用了两种访问控制机制:强制访问控制和任意访问控制;⑤在系统中设置了用户直接访问系统安全核的外核可信软件的可信路径。
14.密码技术的定义?加密的目的?
密码技术是保障网络安全的最基本,最核心的技术措施.加密过程由形形色色的加密算法来具体实施.它以很小的代价提供很大的安全保护.在多数情况下,加密技术是保证信息机密性的唯一方法.
加密的目的是保护网内的数据,文件,口令和控制信息,保护网上传输的数据.加密技术用于网络安全有两种方式.一是面向网络.一是面向服务.密码技术是网络安全最有效的技
术之一..
15.密码体制分类:
①对称密码体制:是从传统的简单换位发展而来的.主要特点是 加解密双方在加解密过程中要使用完全相同或本质上等同的密钥,即加密密钥与解密密钥是相同的.
②非对称密钥密码体制:是现代密码学最重要的发明和进展.在该体制中,密钥成对出来,一个人加密密钥,可以公之于众,谁都可以使用.另一个为解密密钥,只有解密人自己知道.这两个密钥在数字上相关但不同,且不可能从其中一个推导出另一个。
优点:a.用户可以把用于加密的密钥公开地颁发给任何人;b.由于公开密钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大地简化了密钥管理;c.公开密钥加密不仅改进了传统的加密方法,还提供了传统加密方法不具备的应用,这就是数字签名系统.
③混合加密体制:用公开的密钥密码技术在通信双方之间传送秘密密钥,而用秘密密钥来对实际传输的数据加密解密.这样就解决了密钥分发的困难,又解决了加,解密的速度问题.这无疑是目前解决网络上传输信息安全的一种较好的可行方法 16.DES加密算法:DES是对称密钥加密算法.原是IBM公司为保护产品机密于1961~1962年研制成功的.
DES算法大于可以分成四个部分,初始置换,迭代过程,逆置换和子密钥生成.
DES使用56位密钥并对64位的输入数据块进行加密.
DES算法加密时把明文以64位为单位分成块.
DES算法是对称的,既可用于加密,又可用于解密.解密时的过程和加密时相似,但密钥的顺序正好相反.
17.常用的网络控制技术有哪些:防火墙技术…访问控制技术…审计技术..安全协议,,,信息确认技术…
18.防火墙的定义,作用,类型.
定义:是设置在被保护网络和外部网络之间的一道屏障, 是不同网络或网络安全域之间信息的唯一入口,能根据受保护的网络的安全政策控制出入网络信息流,尽可能地对外部屏蔽网络内部的信息,结构和运行状态,以此来实现网络的安全保护,以防止发生不可预测的,潜在破坏性的侵入.
作用:防火墙是一种允许接入外部网络,但又能够识别和抵抗非授权访问的网络安全技术,本身具有较强的抗攻击和.它是提供信息安全服务,实现网络和信息安全的基础设施.
类型:包过滤防火墙、代理防火墙、双缩主机防火墙.
19.试比较代理与包过滤这两种防火墙技术.
代理防火墙:又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙.它将过滤路由器和软件代理技术结合在一起.过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器.代理服务器无法快速支持一些新出现的业务,如多媒体.包过滤
防火墙:设置在网络层,可以在路由器上实现包过滤.这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型.但包过滤技术不能识别有危险的信息包,无法实施对应级协议的处理,也无法处理UDP,RPS或动态的协议.
20.常用的网络访问控制技术:入网访问控制;网络的权限控制;目录级安全控制;属性安全控制;网络器服务器安全控制;网络监测和锁定控制;网络商品和节点的安全控制.
21.入网访问控制,网络的权限控制,目录级安全控制这三种访问控制技术的区别主要在哪里?
入网访问控制:为网络访问提供了第一层访问控制.它控制哪些用户能够登陆到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网.用户的入网访问控制要分为三个步骤.用户名的识别与验证,用户口令的识别与验证.用户账号的默认限制检查.三产关卡只要任何一个未过,该用户就不能进入该网络.
网络权限控制:是针对网络非法操作所提出的一种安全保护措施.用户和用户组被赋予一定的权限.网络控制用户和用户组可以访问哪些目录,子目录,文件和其他资源可以用户对这些文件,目录,设备能够执行哪些操作.
目录级安全控制:网络就允许控制用户对目录,文件,设备的访问权限,用户在目录一级被指定的权限对所有文件和子目录有效,用户还可被进一步指定对下的子目录和文件的权限.
22对目录和文件的访问权限有八种:系统管理员权限.读权限,写权限.创建权限.删除权限,修改权限,文件查找权限,存取控制权限.
23.安全协议的设计和改进方式:对现有网络协议进行修改和补充;在网络应用层和传输层之间增加安全子层(如安全协议套接字层SSL、安全超文本传输协议HTTP、专用通信协议pcp).
24.SSL安全协议提供了哪三种基本的安全服务:每一种都包含了公共密钥技术1.报文保密2.报文完整性3.互相证明.
25.信息确认技术系统分类:消息确认;身份认证;数字签名;数字凭证.
数据库系统的安全性要求:完整性、保密性和可获(用)性.
26.数据库加密技术的特点:数据库系统一般可以理解成为两部分..一部分是数据库..按一定的方式存取数据..另一部分是数据库管理系统.为用户及应用程序提供数据访问,并具有对数据库进行管理,维护等多种功能..
传统的加密以报文为单位,加密解密都是从头至尾顺序进行.数据库数据的使用方法决定了它不可能以整个数据库文件为单位进行嘧.当符合检索条件的记录被检索出来后,就必须对记录迅速解密.而该记录是数据库文件中随机的一段,无法从中间开始解密,除非从头到尾进行
一次解密,然后再去查找相应的这个记录,显然这是不合适的,必须解决随机地从数据库文件中某一段数据开始解密的问题.
27.数据库中不能加密的范围:索引字段不能加密;关系去处的比较字段不能加密;表间的连接码字段不能加密.
28.简述病毒的作用机制:引导、传染(驻入内存;判断传染条件;传染)、破坏/表现机制。
计算机病毒包括三大功能模块:即引导模块;传染模块;破坏/表现模块.其中,后两个模块各包含一段触发条件检查代码,它们分别检查是否满足传染触发的条件和表现触发的条件,只有在相应的条件满足时,病毒才会进行传染或表现/破坏.不是任何病毒都必须包括这三个模块.
29.防病毒技术:数字免疫系统(包括封闭循环自动化网络防病毒技术和启发式侦测技术);病毒源技术;主动内核技术;分布式处理技术;安全网管技术.
30.防止病毒的常用办法:使用防病毒软件.
选购防病毒软件需注意:扫描速度、正确识别率、误报率、技术支持水平、升级的难易度、可管理性和警示手段.
31.防病毒产品:趋势科技、赛门铁克、北信源、瑞星、冠群金辰等公司生产的产品.
32.反黑客技术:不安全因素最主要的.
33.黑客的攻击步骤:信息收集(目的是为了进入所有攻击的目标网络的数据库);对系统的安全弱点进行探测与分析;实施攻击.
34.信息收集常用的协议或工具:SNMP协议、TraceRoute程序、Whois协议、DNS服务器、Finger协议、Ping实用程序、自动Wardialing软件.
35.探测系统的安全弱点常用的扫描方式:自编程序、利用公开的工具.
36.实施攻击目标:可能试图会掉入侵的痕迹、可能在目标系统中安装探测器软件、通过发现受损系统在整个网络中的信任等级展开攻击、若再该受损系统获得特许访问权,会盗窃私人文件,破坏数据..
37.黑客常用的手法:
A.口令的猜测或获取(字典攻击-假登录程序-密码探测程序-修改系统);
B.窥探与IP欺骗(窥探工具:Sniffit,NetXRay..常见欺骗:路由,IP,DNS,ARP,Web欺骗);
C.扫描(工具如SATAN,ISS)
38.常用的防黑客技术:1.防字典攻击和口令保护;2.预防窥探;3.防止IP欺骗;4.建立完善的访问控制策略;5.信息加密;6.其他安全措施.
39.发现黑客后的处理对策:1.不理;2.WRITE 或者TALK工具询问他们空间想要做什么;3.跟踪这个连接,找出入侵者的来路和身份;4.管事员可以使用一些工具一监视入侵者;5.杀死这个进程来切断入侵者与系统的连接;6.找出安全漏洞并修补漏洞,再恢复系统;7.最后,根据记录的整个文件的发生发展过程,,编档保存,并从中吸取教训.