网络安全总复习.ppt

网络安全：从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断； 广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。 信息的安全需求 机密性 (Confidentiality)： 防止未授权者读取信息。（数据加密、访问控制、防计算机电磁泄漏等安全措施） 完整性 (Integrity)： 保证计算机系统中的信息处于“保持完整或一种未受损的状态”，禁止未经授权地对信息进行修改。 可用性 (Availability)： 合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。 信息的安全需求 不可否认性(Non-repudiation) 发送方和接收方不能抵赖所进行的传输 可控性(controllability) 对信息的传播和内容具有控制能力 钓鱼网站 一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。 通信过程中的四种攻击方式 拒绝服务攻击(DoS) DoS--Denial of Service： 用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击。 导致服务器不能正常为合法用户提供服务的攻击。 PDRR安全模型 信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 磁盘阵列（RAID）配置 简单的说，RAID是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。 组成磁盘阵列的不同方式称为RAID级别（RAID Levels）。 RAID Levels— RAID 0 RAID0 连续以位或字节为单位分割数据，并行读/写于多个磁盘上。没有校验数据，只是单纯地提高性能，并没有为数据的可靠性提供保证， RAID Levels— RAID 1 RAID1 镜像（每两个硬盘的内容一模一样 ） 需要至少两块硬盘 RAID Levels— RAID 5 RAID5 有校验数据，提供数据容错能力 至少需要3块硬盘，最好使用相同容量相同速度的硬盘 校验值分散在各个盘的不同位置，相当程度的分散了负载，故有较好的性能， IPC$入侵 Internet Process Connection 入侵前奏 第一步：建立连接 第二步：操控远程计算机 查看远程计算机的内容 向远程计算机复制文件 远程计算机上运行程序 远程计算机上的服务控制 sc 命令最常用法 附：常用手法 远程计算机上的进程查看和终止 远程计算机上的进程查看 远程计算机上的进程终止 注册表入侵 注册表入侵（regedit） 注册表入侵 注册表入侵简易防范 预留后门 重启、关闭远程计算机 清除入侵痕迹 IPC$入侵防范措施 缓冲区溢出 概念 缓冲区溢出指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 原因 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区溢出就是将一个超过缓冲区长度的字符串置入缓冲区的结果． 后果 向一个有限空间的缓冲区中置入过长的字符串可能会带来两种后果 一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃； 另一种后果是利用这种漏洞可以执行任意指令，甚至可以取得系统特权，由此而引发了许多种攻击方法。 基于堆栈的缓冲区溢出 Example (contd.) Example (contd.) 常见的防范措施 （1）使用类型安全的编程语言和相对安全的函数库 （2）打补丁 入侵检测 1. 基本概念 入侵：Anderson在1980年给出了入侵的定义。入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 入侵检测：入侵检测是一项重要的安全监控技术，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统功能 3. 入侵检测的分类 按照其检测范围分 基于主机的入侵检测系统 数据源 系统状态信息（CPU, M