信息安全工程师学习笔记（汇总）

发财_暴富

已于 2023-10-23 10:41:49 修改

阅读量1.6k

点赞数 8

分类专栏：信息安全工程师学习笔记文章标签：学习笔记

于 2023-10-02 09:21:18 首次发布

本文链接：https://blog.csdn.net/2301_77096172/article/details/133470162

版权

信息安全工程师学习笔记专栏收录该内容

1 篇文章

订阅专栏

2.4.2 W32.Blaster.Worm 蠕虫

3.3.2.1 RSA的三种模式—加密模式，认证模式，混合模式

3.3.2.2 相关数学基础--欧拉函数，欧几里得算法，同余，逆元

3.5.1 hash，mac和hmac的对比

6.1.2.1 单向认证—基于共享秘密、基于挑战响应

一、网络安全概述

1.网络空间（Cyberspace）是信息环境中的一个全球域，由独立且互相依存的IT基础设施和网络组成，包括互联网，电信网，计算机系统，以及嵌入式处理器和控制器。

2.网络空间安全学科内涵：网络空间安全学科是研究信息获取，信息存储，信息传输和信息处理领域中信息安全保障问题的一门新兴学科。

3.信息安全的属性主要包含：

信息的保密性：信息不被未授权者知晓的属性

信息的完整性：信息是正确的，真实的，未被篡改的，完整无缺的属性。

信息的可用性：信息可以随时正常使用的属性。

4.信息系统安全可以划分为以下四个层次：设备安全，数据安全，内容安全，行为安全。其中数据安全即是传统的信息安全。

1.3网络安全管理

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络安全风险、网络保护措施组成。

网络安全风险：避免风险，转移风险，减少威胁，消除脆弱点，减少威胁的影响，风险监测

避免风险:通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。
转移风险:购买商业保险计划或安全外包。

1.3.1网络信息安全管理流程

■网络信息安全管理一般遭循如下工作流程:

(1）确定网络**信息安全管理对象**。
(2）评估网络信息安全管理**对象的价值**。
(3）识别网络信息安全管理**对象的威胁**。
(4）识别网络信息安全管理**对象的脆弱性**。
(5）确定网络信息安全管理对象的**风险级别**。
(6）**制定**网络信息安全防范体系及**防范措施**。
(7）**实施和落实**网络信息安全**管理防范措施**。
(8）**运行/维护**网络信息安全管理设备、配置。

1.3.2网络信息安全法律与政策

网络信息安全法律与政策文件：涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。

1、《中华人民共和国国家安全法》与2015年7月1日通过，并且当日公布实施

2、《中华人民共和国网络安全法》在2016年11月7日通过，自2017年6月1日起施行。

·制定内部安全管理制度和操作规程，**确定网络安全负责人**，落实网络安全保护责任;
·采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
·采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定**留存相关的网络日志不少于六个月;**
·采取数据分类、重要数据备份和加密等措施;

3、《网络安全等级保护2.0》于2019年12月1日正式实施。

4、《中华人民共和国密码法》于2020年1月1日起实施。

5、《中华人民共和国数据安全法》于2021年9月1日正式施行。

中国网络安全审查技术与认证中心(CCRC，原中国信息安全认证中心）是负责实施网络安全审查和认证的专门机构。

网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。

1.3.3 网络信息安全部门

中国网络安全审查技术与认证中心 (CCRC，原中国信息安全认证中心）是负责实施网络安全审查和认证的专门机构。

域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告。域名是政府网站的基本组成部分和重要身份标识。

国家计算机网络应急技术处理协调中心(CNCERT或CNCERT/CC）)是中国计算机网络应急处理体系中的牵头单位，是国家级应急中心。开展互联网网络安全事件的预防、发现、预警和协调处置等工作

网络信息安全领域四大顶级学术会议是: S&P，CCS，NDSS，USENIX Security。

1.3.4 网络信息安全术语

常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应／恢复技术类、测评技术类等

1、基础技术类

基础技术类术语常见的是密码。加密 (encryption) 、解密 (decryption) 、非对称加密算法 ( asymmetric cryptographic algorithm) 、公钥加密算法 (public key cryptographic algorithm) 、公钥 (public key) 等。

2、风险评估技术类

风险评估技术类术语包括拒绝服务 (Denial of Service) 、分布式拒绝服务 (Distributed Denial of Service) 、网页篡改 (Website Distortion) 、网页仿冒 (Phishing) 、网页挂马（ Website Malicious Code) 、域名劫持 (DNS Hijack) 、路由劫持 (Routing Hijack) 、垃圾邮件 (Spam) 、恶意代码(Malicious Code) 、特洛伊木马 (Trojan Horse) 、网络蠕虫 (Network Worm) 、僵尸网络（CBotNet) 等。

3、防护技术类

访问控制 (Access Control) 、防火墙 (Firewall) 、入侵防御系统 (Intrusion Prevention System) 等。

4、检测技术类

检测技术类术语包括入侵检测 (Intrusion Detection) 、漏洞扫描 (Vulnerability Scanning) 等。

5、响应／恢复技术类

响应／恢复技术类术语包括应急响应(Emergency Response ）、灾难恢复(Disaster Recovery) 、备份 (Backup) 等。

6、测评技术类

黑盒测试 (Black Box Testing) 、白盒测试 (White Box Testing) 、灰盒测试 (Gray Box Testing) 、渗透测试 (Penetration Testing) 、模糊测试 (Fuzz Testing)

二、网络攻击原理与常用方法

2.1 网络攻击

2.1.1网络攻击概述

常见的危害行为有四个基本类型：（机密性，完整性，可用性）

(1) 信息泄露攻击； (2) 完整性破坏攻击； (3) 拒绝服务攻击； (4) 非法使用攻击

2.1.2网络攻击模型

攻击树模型

攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析。经过扩展用 AND-OR 形式的树结构对目标对象进行网络安全威胁分析。攻击树方法可以被 Red Team 用来进行渗透测试，同时也可以被 Blue Team 用来研究防御机制。

攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行有效分析或者概率分析；能够建模非常复杂的攻击场景。

攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。
MITRE ATT & CK 模型

根据真实观察到的网络攻击数据提炼形成攻击矩阵模型 ，该模型把攻击活动抽象为初始访问 (Initial Access) 、执行 (Execution) 、持久化(Persistence) 、特权提升 (Privilege Escalation) 、躲避防御 (Defense Evasion) 、凭据访问 (Credential Access) 、发现（新主机） (Discovery) 、横向移动 (Lateral Movement) 、收集 (Collection) 、指挥和控制 (Command and Control) 、外泄 (Exfiltration) 、影响 (Impact) ，然后给出攻击活动的具体实现方式，常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
网络杀伤链 (Kill Chain) 模型

该模型将网络攻击活动分成目标侦察（信息收集）、武器构造（构造载荷）、载荷投送、漏洞利用、安装植入、指挥和控制目标行动等七个阶段。（七伤剑）

2.1.3 网络攻击发展趋势

网络攻击攻击智能化、自动化网络

攻击者群体普适化

网络攻击目标多样化和隐蔽性

网络攻击计算资源获取方便（DDOS/利用云计算进行口令破解)

网络攻击活动持续化强(APT攻击)

网络攻击速度加快

网络攻击影响扩大

网络攻击主体组织化

2.2网络攻击一般过程

2.3 黑客常用工具分析

2.4 网络攻击案例

2.4.1 DDOS 分布式拒绝服务攻击

2.4.2 W32.Blaster.Worm 蠕虫

2.4.3 网络安全导致停电事件

1、APT攻击

三、密码学基础理论

3.1密码学体制分类

密码学主要由密码编码和密码分析两个部分组成。 《中华人民共和国密码法》于2020年1月1日起实施。2005年4月1日起国家施行《中华人民共和国电子签名法》。

密码学相关概念: 明文、密文、加密、解密（由密文恢复出原明文的过程）、加密算法（加密过程所使用的一组操作运算规则）、解密算法、密钥：加密和解密算法的操作通常都是在密钥控制下进行的，分别称为加密密钥和解密密钥。

3.1.1 对称密码体制

3.1.2 非对称密码体制

3.1.3 混合密码体制

3.2 对称加密算法

3.2.1 对称加密算法

3.2.2 国产密码算法

3.3 非对称加密算法

3.3.1 公钥密码分类

目前公认的比较安全的公钥密码有两类：

基于大素数因子分解困难性：RSA

基于离散对数问题困难性：DH、Elgamal、ECC(椭圆曲线密码)

3.3.2 RSA算法

3.3.2.1 RSA的三种模式—加密模式，认证模式，混合模式

3.3.2.2 相关数学基础--欧拉函数，欧几里得算法，同余，逆元

3.3.2.3 RSA计算步骤及例题

3.4 Hash算法

3.4.1 hash的应用

1、文件完整性校验

2、账号密码存储（盐--时间）

3、用户身份认证

3.5 MAC--消息认证码

3.5.1 hash，mac和hmac的对比

1、Hash能验证数据完整性，无法进行用户身份认证，计算过程无密钥参与。

2、MAC能保证数据完整性，同时可以进行用户身份验证，有key参与。可以采用Hash或对称加密算法两种技术产生MAC值。

3、HMAC是MAC的一种，可以验证数据完整性，也可以验证数据是由原始发送方发出的，使用hash函数来构造，HMAC输出长度与Hash长度一样。

3.6 数字签名

3.7 数字证书

1、数字证书中包含的基本元素

3.7.1 PKI系统结构

3.7.2 Kerberos服务器

3.8 密钥管理与应用

3.8.1 密钥管理

1、密码管理主要可以分成三个方面内容，即密钥管理、密码管理政策、密码测评。

2、密钥管理：包括密钥生成—存储—分发—使用—更新—撤销—备份—恢复—销毁—审计。

3、密钥管理政策：《中华人民共和国密码法》密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理。

4、密码测评：是指对相关密码产品及系统进行安全性、合规性评估

3.8.2 安全协议

1、Diffie-Hellman 密钥交换协议：基于求解离散对数问题的困难性，常用于IPSec密钥交换。

2、SSH (Secure Shell，安全外壳)：基于公钥的安全应用协议，基于TCP 22端口，包含SSH传输层协议、SSH用户认证协议和SSH连接协议三个子协议，实现加密、认证、完整性检查等多种安全服务。

SSH传输层协议：提供算法协商和密钥交换，并实现服务器的认证，最终形成一个加密的安全连接，该安全连接提供完整性、保密性和压缩选项服务。

SSH用户认证协议：口令认证、公钥认证、主机认证等多种机制认证用户。

SSH连接协议：利用已建立的认证连接并将其分解为多种不同的并发逻辑通道，支持注册会话隧道和TCP转发，而且能为这些通道提供流控服务以及通道参数协商机制。

3.9 密码技术应用场景

3.9.1 密码技术应用场景

认证，加密，数字签名

3.9.2 路由器安全应用

3.9.3 密码学安全应用

四、网络安全体系与安全模型

4.1 网络安全体系概述

4.2 网络安全模型

4.2.1 BLP机密性模型

4.2.2 Biba模型

4.2.3 信息流模型

4.2.4 信息保障模型

4.2.5 能力成熟度模型

4.2.6 其他安全模型

4.2.7 网路安全原则

4.3 网络安全体系架构和建设内容

4.3.1 网络安全体系架构

4.3.2 网络安全等级保护2.0

等保项目流程

4.3.3 智慧城市安全体系应用参考

五、物理与环境安全技术

5.1 物理安全概述

1、传统物理安全：包括环境、设备和记录介质在内的所有支持网络信息系统运行硬件的总体安全

2、广义物理安全则指由硬件，软件，操作人员，环境组成的人、机、物融合的网络信息物理系统的安全。

自然安全威胁：地震、洪水、水灾、鼠害、雷电

人为安全威胁：盗窃、爆炸、毁坏、硬件攻击

5.1.1 物理安全威胁

5.1.2 物理安全保护

5.2 机房安全分析与防护

1、机房功能分区

机房组成：机房可选用下列房间(允许一室多用或酌情增减)

(1）主要工作房间：主机房、终端室等;

(2）第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;

(3）第二类辅助房间：资料室、维修室、技术人员办公室;

(4）第三类辅助空间：储藏室、缓冲间、技术人员休息室、盟洗室。

2、机房等级划分

计算机机房的安全等级分为A级、B级、C级三个基本级别:

A级：计算机系统运行中断后，会造成严重损害的;

B级：计算机系统运行中断后，会造成较大损害的;

C级：不属于A、B级的情况。机房要有基本安全措施。

3、机房场地选择要求

1）环境安全性：应避开危险来源区，尽量避免将机房建在易燃易爆的场所、环境污染区、避开盐雾区、落雷区域。

2）物质可靠性：应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域，避开采矿崩落区地段和开采价值的矿区，避开低洼、湖湿区域。

3）场地抗电磁干扰性：避开强电流冲击和强电磁干扰的场所

4）避开强振动源和强噪声源：远离主要通道，并避免机房窗户直接临街

5）避免设在建筑物的高层以及用水设备的下层或隔壁：计算机机房应选用专用的建筑物。如果机房是大楼的一部分，应选第二层为机房，第一层作为动力、配电、空调间等。同时，应尽量选择电力、水源充足，环境清洁，交通和通信方便的地方。

4、数据中心建设与设计要求

1）数据中心是实现对数据信息的集中处理、存储、传输、交换、管理以及为相关的电子信息设备运行提供运行环境的建筑场所。

2）按照规模大小可将数据中心分为三类:超大型数据中心、大型数据中心、中小型数据中心。

超大型数据中心：标准机柜>10000个，优先在气候寒冷、能源充足的一类地区建设，也可在气候适宜，能源充足的二类地区建设。

大型数据中心：3000个<标准机柜<10000个，鼓励优先在一类和二类地区建设，也可在气候适宜、靠近能源富集地区的三类地区建设。

中小型数据中心：标准机架<3000个，鼓励面向当地、以**实时应用为主的中小型数据中心**，在靠近用户所在地、能源获取便利的地区建设，依市场需求灵活部署。

3）数据中心等级与规范：数据中心应划分为A，B、C三级

5、数据中心强制规范

《数据中心设计规范（GB 50174-2017) 》自2018年1月1日起实施，强制性条文内容如下:

·数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等**电位联结并接地**;

·数据中心的**耐火等级不应低于二级**;

·当数据中心与其他功能用房在同一个建筑内时，数据中心与建筑内其他功能用房之间应采用耐火极限不低于2.0h的防火隔墙和1.5b的楼板隔开，隔墙上开门应采用**甲级防火门**;

·采用管网式气体灭火系统或细水雾灭火系统的主机房，应同时设置两组独立的火灾探测器，**火灾报警系统应与灭火系统和视频监控系统联动**;

·设置气体灭火系统的主机房，应配置**专用空气呼吸器或氧气呼吸器**。

5.3 通信线路/设备/存储介质安全

1、设备实体安全分析与防护

2、设备硬件攻击防护

3、存储介质安全分析与防护

六、认证技术与原理

6.1 认证技术基础与原理

认证一般由标识(Identification)和鉴别 (Authentication) 两部分组成。

●标识—对象的身份标志

●鉴别—利用口令、生物特征等凭证对实体所声称的属性进行识别验证的过程。

●鉴别的凭据/认证依据—所知道的秘密信息、所拥有的实物凭证、所具有的生物特征、所表现的行为特征。

6.1.1 认证原理

认证机制由**验证对象（客户端）、认证协议、鉴别实体(服务器端)**构成。

6.1.2 认证分类

●按需要认证凭据的类型数量，可分成：单因素认证、双因素认证和多因素认证。

●按认证双方角色和所依赖外部条件,分为：单向认证、双向认证和第三方认证。

●根据认证依据所利用的时间长度认证可分为：一次性口令（OTP）、持续认证。

1）一次性口简称OTP 防止口令重用攻击，例如短消息验证码、S/Key 口令。

2）持续认证是指对用户整个会话过程中的特征行为进行连续检测，不间断的验证用户所具有的特性。标志是将对事件的身份验证转变为对过程的身份验证。

6.1.2.1 单向认证—基于共享秘密、基于挑战响应

单向认证：验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份。

单向认证技术有两种:基于共享秘密（口令密码）和基于挑战响应。

6.1.2.2双向认证

实体双方互为验证者（SSH）

6.1.2.3 第三方认证

6.1.3 认证技术方法

1）口令认证技术：基于用户所知道的秘密而进行的认证技术

●优点：简单、易于实现。

●缺点：容易受到攻击，主要攻击方式有窃听、重放、中间人攻击、口令猜测等。

●安全措施：口令信息要安全加密存储；口令信息要安全传输；口令认证协议要抵抗攻击，符合安全协议涉及要求；口令选择要求做到避免弱口令。

2）智能卡技术：一种带有智能存储器和微处理器的集成电路卡,能够安全存储认证信息，并具有一定的计算能力。(身份证/银行卡/校园卡等)

3）生物特征认证技术：利用指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证。

6.1.4 Kerberos认证协议

优缺点：

■Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点:

●(1)可以显著减少用户密钥的密文的暴露次数

●(2) Kerberos认证过程具有单点登录(SSO)的优点，只要用户拿到了TGT并且该TGT没有过期，那么用户就可以使用该TGT通过TGS完成到任一服务器的认证

■Kerberos不足：要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机时间被更改那么这台主机就无法使用Kerberos认证协议;如果服务器的时间发生了错误，那么整台Kerberos认证系统将会瘫痪。

6.1.5 其他认证技术

■SSO (单点登录)：指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登陆的认证身份访问授权资源。

■基于人机识别认证技术：利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作，例如12306图片登录验证码。

■多因素认证技术：使用多种鉴别信息进行组合

■基于行为的身份鉴别技术：根据用户行为和风险大小而进行的身份鉴别技术，比如异地登录告警。

■快速在线认证(FIDO) ：使用标准公钥加密技术来提供强身份认证。私钥保留在用户端设备中，只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备。

6.2 认证主要产品与应用

6.2.1 认证主要产品

6.2.2 认证技术应用

认证技术常见应用场景:

(1) 用户身份验证：验证网络资源的访问者的身份，给网络系统访问授权提供支持服务。

(2) 信息来源证实：验证网络信息的发送者和接收者的真实性，防止假冒。（非对称加密）

(3) 信息安全保护：通过认证技术保护网络信息的机密性、完整性，防止泄密、篡改、重放或延迟。

1）认证技术应用—校园网应用

在校园内部建设数字证书发放和服务体系进行数字身份凭证的管理。通过对数字证书的申请、发放、吊销、更新等过程,实现数字身份凭证的管理。建立的统一认证管理系统，实现基于数字证书的身份认证，实现基于角色或资源的授权管理，实现统一的安全策略设定和维护，实现责任认定的安全设计。

2）认证技术应用—网络路由认证

■路由安全是网络安全的基础，路由器设备的访问及路由消息都需要进行认证。

(1) 用户认证: 当一个用户访问路由器时,必须经过认证通过才能被允许。

(2) 路由器邻居认证: 当两个相邻的路由器进行路由信息交换时，需要进行身份验证，以防止出现未经授权的、恶意的路由更新。路由器邻居认证的类型有OSPF认证、RIP认证、 EIGRP认证。认证模式有明文认证、消息摘要认证。明文认证不安全，口令容易被监听，所以一般推荐采用信息摘要认证。

3）认证技术应用—用户登录设备

七、访问控制技术原理与应用

7.1 访问控制概述与模型

7.1.1 访问控制参考模型

7.1.2 常见的访问控制模型

7.2访问控制策略设计与实现

7.3访问控制产品与应用

八、防火墙技术原理与应用

8.1 防火墙概述

防火墙概念：联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离，其方法是根据网络的安全信任程度和需要保护的对象，人为划分若干安全区域，包括：

        公共外部网络：如Internet；
        内联网：如某个公司或组织的专用网络，网络访问限制在组织内部；
        外联网：内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；
        军事缓冲区域，简称DMZ：常放置公共服务设备，向外提供信息服务。

工作原理：防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包。一般用来将内部网络与因特网或者其他外部网络互相隔离。

防火墙的安全策略有两种类型：白名单策略，黑名单策略

防火墙的功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御。

防火墙安全风险：网络安全旁路：防火墙对未经过它的网络通信无能为力，例如从内部直接拨号访问外网；防火墙功能缺陷，导致一些网络威胁无法阻断；防火墙安全机制形成单点故障和特权威胁，一旦防火墙自身的安全管理失效，就会对网络照成单点故障和网络安全特权失控；防火墙无法有效防范内部威胁；防火墙效用受限于安全规则。

8.2 防火墙类型与实现技术

包过滤：在IP层实现的防火墙技术，根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否运行包通过，包过滤的控制依据：是规则集。

典型的过滤规则：规则号、匹配条件、匹配操作

一般的包过滤防火墙：源IP地址、目的IP地址、源端口号、目的端口号、协议类型（UDP/TCP /ICMP）、通信方向、规则运算符，匹配操作：拒绝、转发、审计

应用服务代理：代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机。

代理服务器：采用代理服务技术的防火墙，能够提供在应用级的网络安全访问控制。通常由一组按应用分类的代理服务器程序和身份验证服务程序构成。每个代理服务程序用到一个指定的网络端口。

网络地址转换技术NAT（重要）：为了解决公开地址不足而出现的，能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，实现方法：

静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法地址；

NAT池：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络；

端口NAT（PAT）：把内部地址映射到外部网络的一个IP地址的不同端口上。

Web防火墙技术：基于保护Web服务器和Web应用的网络安全机制，对HTTP协议和内容进行过滤。

Web应用防火墙的HTTP过滤的常见功能主要有：允许/禁止HTTP请求类型；HTTP协议头各个字段的长度限制；后缀名过滤；URL内容关键字过滤；Web服务器返回内容过滤

数据库防火墙技术：用于保护数据库服务器的网络安全机制。技术原理是：基于数据通信协议深度分析和虚拟补丁，根据安全规则控制。

虚拟补丁技术：在数据库外部创建一个安全屏蔽层，监控所有数据库活动，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术：工业控制系统专用防火墙，用于保护工业设备及系统的网络安全机制。通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备，侧重于分析工控协议。

下一代防火墙技术：下一代防火墙还具有应用识别和控制、可应对安全威胁演变、监测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理。

防火墙共性关键技术：

深度包检测（DPI）：用于对包的数据内容及包头信息进行检查分析的技术方法，深入应用层分析。运用模式（特征）匹配、协议异常检测对包数据内容进行分析。

3、防火墙主要产品与技术指标

最大吞吐量：检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率；
最大连接速率：TCP新建连接速率、HTTP请求速率、SQL请求速率；
最大规则数：检查在添加大数量访问规则的情况下，防火墙性能变化状况；
并发连接数：防火墙在单位时间内所能建立的最大TCP连接数，每秒的连接数。
防火墙安全保证指标：用于测评防火墙的安全保障程度。

环境适应性指标：用于评估防火墙的部署和正常运行所需要的条件。

防火墙防御体系结构
基于双宿主主机防火墙结构：是最基本的防火墙结构，将一个内部网络和外部网络分别连接在不同的网卡上，使内外网不能直接通信。对发送过来的IP包进行安全检查，合法则转发到另一块网卡上，不合法则阻止通信。内外网络直接的IP数据流完全在双宿主主机的控制之中。

基于代理型防火墙结构：由一台主机同外部网连接，该主机代理内部网和外部网的通信。在这种结构中，代理主机位于内部网络，过滤路由器可按如下规则配置：

允许其他内部主机为某些类型的服务请求与外部网络建立直接连接；
任何外部网（或Internet）的主机只能与内部网络的代理主机建立连接；
任何外部系统对内部网络的操作都必须经过代理主机，代理主机本身要有较全面的安全保护。
优点：代理型结构比双宿主结构提供更好的安全保护，同时操作也更加简便。
缺点：只要攻击者设法攻破了代理主机，那整个内部网络与代理主机之间就没有任何障碍了。

基于屏蔽子网的防火墙结构：屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机和内部网。攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息。

8.3 防火墙技术应用

防火墙应用场景类型：上网保护、网站保护、数据保护、网络边界保护、终端保护、网络安全应急响应

九、VPN技术原理与应用

9.1 VPN概述

9.2 IPSec与SSL

9.3 VPN产品与应用

十、入侵检测技术原理与应用

10.1 入侵检测概述

1、具有入侵检测功能的系统称为入侵检测系统,简称为IDS。

2、入侵检测通过**收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。**

3、通用入侵检测模型CIDF，把入侵检测系统分成:**事件产生器、事件分析器、响应单元和事件数据库。**

4、入侵检测的作用：

入侵检测系统扮演 “预警机” 或 “安全巡逻人员” 的角色，通过检测技术来发现系统中企图或已经违背安全策略的行为，主要作用:
. (1）发现受保护系统中的入侵行为或异常行为;
. (2）检验安全保护措施的有效性;
. (3)分析受保护系统所面临的威胁;
. (4)有利于阻止安全事件扩大，及时报警触发网络安全应急响应;
. (5)可以为网络安全策略的制定提供重要指导;
. (6）报警信息可用作网络犯罪取证。
入侵检测技术还常用于安全态势感知(日志分析，流量分析），以获取网络信息系统的安全状况。

安全态势感知功能：终端异常检测，行为异常检测，流量异常检测，模型异常检测，企业自定义可疑行为检测

10.2 入侵检测技术原理

1、误用检测：又称基于特征库的入侵检测方法，高度依赖特征库，检测不出新的攻击。

2、异常检测：通过统计分析，建立系统正常行为的“轨迹”，将系统运行时的数值与定义的“正常”情况相比较，得出否有被攻击。【异常登录】存在较多误报，可以检测出新的攻击。

10.3 入侵检测分类

1、基于主机的入侵检测系统

（简称HIDS，收集主机系统的日志文件，分析主机的信息)

HIDS软件：SWATCH(实施监视日志的程序)，Tripwire (文件和目录完整性检测工具软件包)，网页防篡改系统(防止网页文件被入侵者非法修改)

2、基于网络的入侵检测系统

(简称NIDS，扫描网络通信数据包)

1、NIDS基于网络的入侵检测系统通过**侦听网络系统，捕获数据包**，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。

2、NIDS能够检测：同步风暴(SYN Flood)、分布式拒绝服务攻击(DDoS)；网络扫描；缓冲区溢出攻击；协议攻击；流量异常；非法网络访问。

3、NIDS通常分为两部分:探测器和管理控制器。

4、基于网络的入侵检测系统的优点

   ·可以监控大型网络的安全状况;
   ·对网络影响很小，它们只监听网络而不干扰网络的正常运作;
   ·很好地避免攻击，对于攻击者甚至是不可见的。

5、基于网络的入侵检测系统的缺点

·在高速网络中，NIDS很难处理所有的网络包，因此有可能出现漏检现象;
·交换机可以将网络分为许多小单元VLAN，而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围;
·如果网络流量被加密，NIDS中的探测器无法对数据包中的协议进行有效的分析;
·NIDS仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功。

3、分布式入侵检测系统

（简称DIDS，多台主机、多个网段采集数据综合分析)

1、分布式入侵检测系统可以分成两种类型，即**基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统**。

2、基于主机检测的分布式入侵检测系统(HDIDS)，分成两个部分:**主机探测器和入侵管理控制器。**

3、基于网络的分布式入侵检测系统(NDIDS)，分成两个部分:**网络探测器和管理控制器。**

10.3 入侵检测系统产品与应用

(1）主机入侵检测系统：北信源主机监控审计系统、360安全卫士、EDR。
(2）网络入侵检测系统：商业IDS产品，所有安全厂商都有。
(3）统一威胁管理。简称UTM，集成防火墙、入侵检测、防病毒等多种功能。
(4)APT高级持续威胁检测。复杂性攻击技术，通常将恶意代码嵌入word excel,ppt,pdf文档或电子邮件中，以实现更隐蔽的网络攻击，以逃避普通的网络安全检查。
入侵检测相关指标:可靠性、可用性、可扩展性、时效性、准确性、安全性。

NIDS网络入侵检测部署

**基于NIDS的内网成胁检测**：将网络IDS的探测器接在**内部网的广播式Hub或交换机的Probe端口**。探测器通过采集内网流量，基于流量分析从而发现入侵行为。

**基于NIDS的网络边界威胁检测**:将NIDS的探测器接在网络边界处，采集出口流量，然后分析来自外部的入侵行为。

十一、网络物理隔离技术原理与应用

11.1 网络物理隔离技术（网闸）

1、网络物理隔离是既**满足内外网数据交换需求，又能防止网络安全事件出现的安全技术称为物理隔离技术**。基本**原理是避免计算机之间直接连通**，以阻断在线网络攻击。

2、网络物理隔离安全风险:

   (1）网络非法外联。
   (2) U盘摆渡攻击。攻击者利用U盘作为摆渡工具，将敏感数据拷贝到U盘中，通过U盘泄露。
   (3) 网络物理隔离产品安全隐患。网络攻击者通过构造恶意数据文档，绕过物理隔离措施，从而导致内部网络受到攻击。
   (4) 针对物理隔离的攻击新方法。将计算机中的**数据转换为声波、热量、电磁波等模拟信号后**发射出去，在接收端通过模数转换复原数据，从而达到窃取信息的目的。如**Bitwhisper窃密技术，是利用温度升降原理。**

3、物理隔离机制与实现技术

   1、专用计算机上网：指定一台计算机与外部网相连，不与内部网相连。
   2、多PC：桌面部署两台PC，一台用于外网，一台用于内网。
   3、外网代理服务：在内网指定服务器，负责专门搜集外网的指定信息，然后把外网信息手工导入内网，从而实现内部用户“上网”
   4、内外网线路切换器：在内部网中，上外网的计算机上连接一个物理线路A/B交换盒，通过交换盒的开关设置控制计算机的网络物理连接。

4、其他物理隔离机制与实现技术

   1、协议隔离技术：协议转换的定义是**协议的剥离和重建**。把基于网络的公共协议中的应用数据剥离出来，封装为系统专用协议传递至所属其他安全域的隔离产品另一端，再将专用协议剥离，并封装成需要的格式。
   2、单向传输部件：发送和接收部件只能**以单工方式工作**，两者构成可信的单向通道。
   3、信息摆渡技术：在任何时刻，**中间缓存区域只与一段安全域相连**。
   4、物理断开技术：指处于**不同安全域的网络之间不能以直接或间接的方式相连接**。在物理网络环境中，实施不同安全域的网络物理断开。物理断开通常**由电子开关实现**。