讲座3network_security.pptVIP

欺骗攻击 欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息，欺骗对方，以达到攻击的目的。 拒绝服务攻击 DoS（Denial of Service，拒绝服务攻击）的目的是使计算机或网络无法提供正常的服务。常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供服务。 如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。 分发攻击 攻击者在硬件和软件的安装配置期间，利用分发过程去破坏；或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。 野蛮攻击 野蛮攻击包括字典攻击和穷举攻击。 字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。 如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。 SQL注入攻击 攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而达到攻击目的。 计算机病毒与蠕虫 计算机病毒（Computer Virus）是指编制者编写的一组计算机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。 蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统，但它在复制、传播时，不寄生于病毒宿主之中。 蠕虫病毒是能够是寄生于被感染主机的蠕虫程序，具有病毒的全部特成，通常利用计算机系统的漏洞在网络上大规模传播。 特洛伊木马 特洛伊木马简称木马，它由两部分组成：服务器程序和控制器程序，当主机被装上服务器程序，攻击者就可以使用控制器程序通过网络来控制主机。 木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。 网络安全的八大机制 数据加密机制 访问控制机制 数据完整性机制 数字签名机制 实体认证机制 业务填充机制 路由控制机制 公证机制 数据加密机制 密码技术是保障信息安全的核心技术。 消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。 加了密的消息称为密文。而把密文转变为明文的过程称为解密。 信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学主要组成部分。 访问控制机制 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。 访问控制采用最小特权原则：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。 自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC） 数据完整性机制 是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。 数据完整性机制的两个方面 单个数据单元或字段的完整性（不能防止单个数据单元的重放） 数据单元串或字段串的完整性 发送方 接收方 附加一个量 比较这个量 还要加上顺序号、时间标记和密码链 数字签名机制 传统签名的基本特点: ? 能与被签的文件在物理上不可分割 ? 签名者不能否认自己的签名 ? 签名不能被伪造 ? 容易被验证 数字签名是传统签名的数字化，基本要求: ? 能与所签文件“绑定” ? 签名者不能否认自己的签名 ? 签名不能被伪造 ? 容易被自动验证 实体认证机制 用于认证交换的技术 认证信息，如口令 密码技术 被认证实体的特征 为防止重放攻击，常与以下技术结合使用 时间戳 两次或三次握手 数字签名 路由控制机制 路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为： 路由选择 路由可以动态选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行连接和/或传输； 路由连接 在监测到持续的操作攻击时，端系统可能同志网络服务提供者另选路由，建立连接； 安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。 业务填充机制 所谓的业务填充即使在业务闲时发送无用的随机数据，增加攻