网络安全资料.docVIP

第一章 网络安全概述 1-14=14 1.1网络安全：1、概念：指网络系统的硬件、软件及系统中的数据受到保护，不因无意或故意的威胁而遭到泄露、更改、破坏，保证网络系统正常、可靠、连续地运行。 信息与网络安全的目标：进不来、拿不走、看不懂、改不了、跑不了。 网络安全的特征 保密性：信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。 完整性：数据在未经授权时，不能被改变的特性，即信息在存储或传输过程中不被修改、不被破坏和丢失的特性。 可用性：可被已授权实体访问并按需求使用的特性。 可控性：对信息的内容及传播具有控制能力。 1.2网络面临的不安全因素 1、网络系统的脆弱性(漏洞) 2、网络系统的威胁：无意威胁、故意威胁，被动攻击、主动攻击 3、网络结构的安全隐患 被动攻击：指攻击者只通过观察网络线路上的信息，而不干扰信息的正常流动。 主动攻击：指攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、删除、复制或延迟这些信息。 被动攻击和主动攻击有四种具体类型：窃听、中断、篡改、伪造 1.3P2DR模型(网络安全模型) Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应) 弱点：忽略了内在的变化因素。 第四章 网络扫描与网络监听15-33=19 4.1黑客攻击的三个阶段 1、信息收集 目的：进入所要攻击的目标网络的数据库。 收集驻留在网络系统中的各主机系统相关信息的工具：SNMP协议、Whois协议、Finger协议、Ping程序、TraceRoute程序、DNS服务器。 2、系统安全弱点的探测 探测网络上的主机，寻求该系统的安全漏洞或安全弱点。 扫描方式：自编程序、利用公开的工具。 3、网络攻击 攻击方式： (1)试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。 (2)在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的账号名和口令等。 (3)进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。 4.2黑客入侵 1“被侵入”指网络遭受到非法闯入的情况。 入侵程度： (1)入侵者只获得访问权(一个登录名和口令) (2)入侵者获得访问权，并毁坏、侵蚀或改变数据 (3)入侵者获得访问权，并获得系统一部分或整个系统控制权，拒绝拥有特权用户的访问 (4)入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。 2对付黑客入侵 (1)发现黑客 若黑客破坏了站点的安全性，则应进行追踪。在Windows NT平台上，定期检查Event Log中的Security Log来寻找可疑行为。 (2)应急操作 ①估计形势 A黑客是否已成功闯入站点？ B黑客是否还滞留在系统中？若是，需尽快阻止他们。 C可以关闭系统或停止有影响的服务( FTP、Gopher、Telnet等)，甚至可能需要关闭因特网连接。 D侵入是否有来自内部威胁的可能呢？若如此，除授权者之外，别让其他人知道你的解决方案。 E是否了解入侵者身份？若想知道这些，可预先留出一些空间给入侵者，从中了解一些入侵者的信息。 切断连接 A能否关闭服务器？需要关闭它吗？若有能力，可以这样做。若不能，可关闭一些服务。 B是否关心追踪黑客？若打算如此，则不要关闭因特网连接，因为这会失去入侵者的踪迹。 C若关闭服务器，是否能承受得起失去一些必须的有用系统信息的损失？ 分析问题 必须有一个计划，合理安排时间。当系统已被入侵时，应全盘考虑新近发生的事情，当已识别安全漏洞并将进行修补时，要保证修补不会引起另一个安全漏洞。 采取行动 3抓住入侵者 抓住入侵者是很困难的，特别是当他们故意掩藏行迹的时候。机会在于你是否能准确击中黑客的攻击。这将是偶然的，而非有把握的。然而，尽管击中黑客需要等待机会，遵循如下原则会大有帮助。 (1)注意经常定期检查登录文件。特别是那些由系统登录服务和wtmp文件生成的内容。 (2)注意不寻常的主机连接及连接次数通知用户。 (3)注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户。 (4)预计黑客经常光顾的时段里，每隔10分钟运行一次shell script文件，记录所有的过程及网络联接。 4.3扫描器(Scanner) 扫描器是检测远程或本地系统安全脆弱性的软件，通过与目标主机TCP/IP端口建立连接和并请求某些服务，记录目标主机的应答，搜集目标主机相关信息，从而发现目标主机存在的安全漏洞。 安全评估工具：管理员用来确保系统的安全