网络安全（完整）_网络安全体系从全局,长远的角度实现什么-CSDN博客

本文链接：https://blog.csdn.net/m0_62207482/article/details/139745363

WAPI鉴别及密钥管理的方式有两种，既基于证书和基于预共享密钥PSK。若采用基于证书的方式，整个国产包括证书鉴别、单播密钥协商与组播密钥通告；若采用预共享密钥方式，整个国产则为单播密钥协商与组播密钥通告
蠕虫利用信息系统缺陷，通过网络自动复制并传播的有害程序
减小雷电损失采取的措施：设置避雷地网、设置安全防护地与屏蔽地、在做好屏蔽措施的基础上，做好穿越地雷区域界面上不同线路的保护
通过各种线路传导出去，可以将计算机系统的电源线，机房内的电话线，地线等作为媒介的数据信息泄露方式称为传导泄露
完整性是指保护数据不被未授权者修改、建立、嵌入、删除、重复传送或者由于其他原因使原始数据被更改
攻击访问是指攻击者对目标网络和系统进行合法、非法的访问
防火墙防止病毒内网向外网或者外网向内网传播，但是不能防止内网病毒传播
入侵监测系统的体系结构大致可以分为基于主机型、基于网络型、基于主体型。。。。第二版教材分为基于主机型、基于网络型和分布式三种
一次完整的网络安全扫描分为三个阶段：第一阶段（发现目标主机或网络）、第二阶段（发现目标后进一步搜集目标信息，包括系统类型、运行的服务以及服务软件的版本等、如果目标是一个网络，还可以进一步发现该网络的拓扑结构，路由设备以及各主机的信息）、第三阶段（根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞）
第四代网络隔离技术：空气开关隔离
拒绝服务攻击原理简单，实施容易，但是却难以防范，特别是与Botnet网络结合后，其攻击能力大大提高
SYN Cookie是对TCP服务器端的三次握手协议做一些修改，专门用来防范SYN Flood攻击的一种手段
不是任何利用脚本插入实现攻击的漏洞都被称为XSS，因为还有另一种攻击方式：Injection（脚本注入）。。跨站脚本攻击和脚本注入攻击的区别在于脚本注入攻击会把插入的脚本保存在被修改的远程Web页面里，跨站脚本是临时的，执行后就消失了
时间轮询技术（也可称为“外挂轮询技术”）。时间轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复
计算机病毒的生命周期一般包括潜伏阶段（休眠）、传播阶段、触发阶段、发作阶段
扫描器是反病毒软件的核心，决定着反病毒软件的杀毒效果，大多数反病毒软件同时包含多个扫描器
基于特征码的扫描技术和基于行为的检测技术都需要执行潜在的恶意代码并分析他们的特征或行为，但是这可能会给系统带来安全问题
恶意行为分析是通过对恶意样本的行为特征进行分析和建模，从中抽取恶意代码的行为特征，在应用执行过程中，判断应用的行为序列是否符合某些已知的恶意行为
入侵检测系统可以分为基于主机分析和基于网络数据包分析两种
SYN Cookie是对TCP服务器端的三次握手协议做一些修改，专门用来防范SYN Flood攻击的一种
沙箱里的资源被虚拟化或被间接化，沙箱离得不可信程序的恶意行为往往被限制在沙箱中
计算机安全的主要目标包括：防止未授权的用户获取资源、防止合法用户以未授权的方式访问、使合法用户经过授权后可以访问资源
防静电要求：穿合适的防静电衣服和防静电鞋、用表面光滑平整的办公家具、经常用湿拖布拖地
一次完整的网络安全扫描包括：发现目标主机或网络、发现目标后进一步搜集信息、根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞
所谓核心内嵌技术既密码水印技术。该技术将篡改检测模块内嵌在Web服务器软件中，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复
当一个TCP连接处于CLOSE-WAIT状态时等待程序关闭端口
主动攻击涉及修改数据流或创建数据流，它包括假冒、重放、修改消息与拒绝服务；；被动攻击只是窥探、窃取、分析重要信息，但不影响网络、服务器正常工作
渗入威胁：假冒、旁路、授权侵入；；；；植入威胁：木马、陷阱
WAPI从应用模式上分为单点式和集中式两种。WAPI的密钥管理方式包括基于证书和基于共享密钥两种；；WAPI分为WAI和WPI两部分，分别实现对用户身份的鉴别和业务数据加密。其中WAI采用公开密钥体制，进行认证；WPI采用对称密码体制实现加、解密操作。与WIFI的单向加密认证不同，WAPI采用双向均认证
防火墙技术是一种被动式安全模型，只能被动等待攻击者的攻击
SSL产生会话密钥的方式是随机由客户机产生并加密后通知服务器
入侵检测系统通常采用的形式是基于网络的入侵检测。基于网络的入侵检测系统用原始的网络包作为数据源，它将网络数据中检测主机的网卡设为混合模式，该主机实时接收和分析网络中流动的数据包，从而检测是否存在入侵行为
从安全属性对各种网络攻击进行分类，拒绝服务攻击是针对可用性的攻击
使用多种鉴别方式比单一鉴别方式相对安全
基于主机入侵检测系统为早期的入侵检测系统，其检测的目标主要是主机系统和系统本地用户，这种方式的审计信息弱点，如易受攻击、入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计
基于入侵检测技术的入侵检测系统一般由信息采集部件、入侵分析部件与入侵响应部件组成。入侵分析部件是入侵检测系统的核心部分，在接收到信息采集部件收集的格式化信息后，按照部件内部的分析引擎进行入侵分析，分析引擎的类型不同，所需要的格式化信息不同，当信息满足引擎的入侵标准时就触发了入侵响应机制
VPN依靠ISP（Internet服务供应商）和其他NSP（网络服务提供商），在公共网络中建立专用的、安全的数据通信通道的技术
TCP Xmas树扫描是向目标端口发生FIN+URG+PUSH分组。按照RFC793的规定，目标系统应该给所有关闭着的端口发送回一个RST分组
TCP FIN 扫描是向目标端口发送一个FIN分组，按照RFC793的规定，目标端口应该给所有关闭着的端口发回一个RST分组，而打开的端口往往忽略这些请求。此方法利用了TCP/IP实现上的一个漏洞来完成扫描，通常只在基于UNIX的TCP/IP协议栈上才有效
诱骗服务是指在特定IP服务端口上进行侦听，并像其他应用程序那样对各种网络请求进行应答的应用程序。诱骗服务是蜜罐的基本配置，例如，可将诱骗服务配置为Sendmail服务的模式后，当攻击者连接到蜜罐的TCP/25端口时，就会收到一个蜜罐发出的代表Sendmail版本号的标识
屏蔽子网方式配置的防火墙安全性最高
SSH协议由传输层协议、用户认证协议、连接协议三个部分组成：传输层协议（负责进行服务器认证，数据机密性、信息完整性等方面的保护，并提供作为可选项的数据压缩功能，还提供密钥交换功能）、用户认证协议（在进行用户认之前，假定传输层协议已提供了数据机密性和完整性保护。用户认证协议接受传输层协议确定的会话ID，作为本次会话过程的唯一标识，然后服务器和客户端之间进行认证）、连接协议（提供交互式登录会话（既Shell会话）），可以远程执行命令。所有会话和连接通过隧道实现
协同防御是防火墙的基本功能之一。防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全
DPI技术在分析报头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术
在我国IPSec VPN技术规范中，定义IPSec VPN网关各类性能要求的前提是以太网帧长为（64 1428）字节（IPv6为1408字节）（加解密吞吐率）表示IPSec VPN网关在丢包率为0的条件下内网口达到的双向数据最大流量
SSL VPN非对称加密算法：ECC椭圆曲线密码算法（256位）、SM9、RSA（1024位）
COPS：扫描UNIX系统漏洞及配置问题。；；Tiger：Shell脚本程序，检查UNIX系统配置。MBSA基于Windows的安全基准分析。Nmap：端口扫描工具
恶意代码生存技术包含反跟踪技术、加密技术、模糊变换技术与变形技术、自动生产技术、三线程技术、进程注入技术、通信隐藏技术等
使用端口复用技术的木马在保证端口默认服务正常工作的条件下复用，具有很强的欺骗性，可欺骗防火墙等安全设备，可通过IDS和安全扫描系统等安全工具。其中，Executor用80端口传递控制信息和数据；WinSpy等木马复用25端口
隐蔽通道技术能有效隐藏通信内容和通信状态，目前常见的能提供隐蔽通道方式进行通信的后门有：BO2K、Code Red II、Nimida和Covert TCP等
蜜罐的优点：使用简单、资源占用少、数据价值高蜜罐的缺点：数据收集面狭窄、给使用者带来风险
一般来说，利用人的生理特征参数进行认证的安全性高，但技术要求也高
Syslog是Linux系统默认的日志守护进程。Syslog可以记录系统事件，可以写到一个文件或设备，或用户发送一个信息，他能记录本地事件或通过网络记录另一个主机上的事件
分布式拒绝服务攻击是指借助于客户机/服务器将多个计算机联合起来作为攻击平台，对一个或多个目标发动Dos攻击，从而成倍的提高拒绝服务攻击的威力
网络设备安全描述：为了方便管理，重要设备采用双因素认证；详细记录管理人员对管理设备的操作和更改配置；网络管理人员离岗，应立刻更换密码
攻击工具包括：用户命令（攻击者在命令行状态下或者以图形用户接口方式输入攻击命令）、脚本或程序（利用脚本和程序挖掘弱点）、自治主体（攻击者初始化一个程序或者程序片段独立执行漏洞挖掘）、电磁泄露（通过电子信号分析方法，实施电磁泄露攻击）
网络攻击是指损害网络系统安全属性的危害行为。网络攻击效果中，（窃取服务）是未授权使用计算机或网络服务；（信息泄露）是窃取或公布敏感信息
攻击树方法起源于（故障树）分析方法，Schneier首先提出了攻击树的概念
网络攻击过程模型中，（隐藏攻击行为）是隐藏在目标系统中的操作，防止入侵行为被发现；（实施攻击）是进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击
作为一个入侵者，攻击者总是唯恐自己的行踪被发现，所以在进入系统后，聪明的攻击者要做的第一件事就是隐藏自己的行踪。不属于连接隐藏的技术有（使用重定向技术减少ps给出的信息量）；不属于文件隐蔽的技术有（特洛伊木马代替ps程序）
（完全连接扫描）利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。（SYN扫描）首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况
同步包风暴（SYN Flood）攻击者假造源网址发送多个同步数据包（SYN Packet）给服务器，服务器因无法收到确认数据包（ACK Packet），使TCP/IP协议三次握手无法顺利完成，因而无法建立连接。其原理是发送大量半连接状态的服务请求，使服务主机无法处理正常的连接请求，因而影响正常运作
泪滴攻击暴露出IP数据包分解与重组的弱点，当IP数据包在网络中传输时，会被分解成许多不同的包传送，并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果
密码分析者只拥有一个或多个用同一个密钥加密的密文，没有其他可利用的信息属于（唯密文攻击）；密码分析者仅知道当前密钥下的一些明文及所对应的密文属于（已知明文攻击）；密码分析者对于任何选定的密文，能得到该密文是否合法的判断属于（密文验证攻击）
IDEA是国际数据加密算法的简记，是一个分组加密处理算法，其明文和密文分组都是64比特，密钥长度为128比特。该算法已在PGP中得到应用
SM3杂凑算法，杂凑值长度为256比特
SM1算法是一种对称加密算法；SM2算法基于椭圆曲线，应用于公钥密码系统；SM3属于杂凑算法；SM4是一种分组加密算法
Linux系统一般提供SSH服务，SSH服务进程端口通常为22
一般来说，网络安全体系的主要特征：1整体性（网络安全体系从全局、长远的角度实现安全保障，网络安全单元按照一定的规则，相互依赖，相互约束，相互作用从而形成人机物一体化的网络安全保护方式）；2协同性（网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案）；3过程性（针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期）；4全面性（网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能）；5适应性（网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求）
BLP模型用于防止非授权信息的扩散，从而保证系统的安全。BLP模型有两个特征：简单安全特性（主体只能向下读，不能向上读）；*特性（主体只能向上写，不能向下写）
信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取，通过分析信息流分析以及发现隐蔽通道，阻止信息泄露途径
PDRR改进了传统的只有保护的单一安全防御思想，强调信息安全保障的四个重要环节。保护（Protection：加密机制，数字签名机制，访问控制机制，认证机制，信息隐藏，防火墙技术等）检测（Detection：入侵检测，系统脆弱性检测，数据完整性检测，攻击性检测等）。恢复（Recovery：数据备份，数据修复，系统恢复等）。响应（Response：应急策略，应急机制，应急手段，入侵过程分析及安全状态评估等）
网络生存性是指在网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要服务的能力，目前，国际上的网络信息生存模型遵循“3R”的建立方法。首先将系统划分为不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出相应的3R策略（抵抗Resistance、识别Recognition、恢复Recovery）
在建立网络安全防范体系时，应特别强调系统的整体安全性，也就是人们常说的“木桶原则”，既木桶的最大容积取决于最短的一块木板“属于系统性和动态性原则”，俗话说尺有所短，寸有所长。网络安全防范技术都有各自的优点和局限性，各种网络安全技术之间应当相互补充，互相配合，在统一的安全策略与配置下，发挥各自的优点。属于纵深防护与协作性原则。网络安全不是绝对的，网络安全体系要正确处理需求，风险与代价的关系，做到安全性与可用性，做到组织上可执行。属于网络安全风险和分级保护原则
每一项与安全有关的活动，都必须有两人或多人在场。要求相关人员忠诚可靠能胜任此项工作，并签署工作情况记录以证明安全工作已得到保障。一般以下各项安全工作应由多人负责处理：访问控制使用证件的发放与回收、信息处理系统使用的媒介发放与回收、处理保密信息、硬件和软件的维护、系统软件的设计实现和修改、重要程序和数据的删除和销毁等
利用控制系统的软件漏洞，修改物理实体的配置参数，使得物理实体处于非正常运行状态，从而导致物理实体受到破坏。“震网病毒”就是一个攻击物理实体的真实案例
基于环境攻击计算机实体：利用计算机系统所依赖的外部环境缺陷，恶意破坏或改变计算机系统的外部环境，如电磁波、磁场、温度、空气湿度等，导致计算机系统运行出现问题
机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁等措施，属于提高系统的环境安全
硬件木马检测方法有反向分析法、功耗分析法、侧信道分析法：反向分析法（通过逆向工程方法将封装芯片电路打开，逐渐扫描拍照电路，然后使用图形分析软件和电路提取软件重建电路结构图，将恢复出的设计与原始设计进行对比分析，以检测硬件木马）、功耗分析法（通过获取芯片的功耗特征，通过生成芯片指纹，再将待测芯片与“纯净芯片”的功耗特征进行比对，以判断芯片是否被篡改）、侧信道分析法是通过比对电路中的物理特性和旁路信息的不同，发现电路的变化，其技术原理是任意硬件电路的变化都会反映在一些电路参数上，如功率、时序、电磁、热等
目前，常见的认证依据主要有四类：1所掌握的秘密信息（实体所掌握的秘密信息，如用户口令、验证码等）、2所拥有的实物凭证（实体所持有的不可伪造的物理设备，如智能卡，U盾等）、3所具有的生物特征（实体所具有的生物特征，如指纹、声音、虹膜、人脸等）、4所表现的行为特征（实体所表现的行为特征，如鼠标使用习惯，键盘敲击力度，地理位置等）
认证机制：1验证对象是需要鉴别的实体、2认证协议是验证对象和鉴别实体之间进行认证信息交换所遵从的规则、3鉴别实体根据验证对象所提供的认证依据给出身份的真实性或熟悉判断、4认证机制由验证对象，认证协议，鉴别实体构成
按照对验证对象要求的认证凭据的类型数量，认证可以分成单因素认证，双因素认证，多因素认证
多因素认证有利于提升认证的安全强度
根据认证依据所利用的时间长度，认证可分为一次性口令，持续认证
多因素认证有利于提升认证的安全强度
一次性口令用于保护口令安全，防止口令重用攻击
持续认真是一种新兴的认证方法，其标志是将对事件的身份验证转变为对过程的身份验证。持续认证增强了认证机制的安全强度，有利于防止身份假冒攻击、钓鱼攻击、身份窃取攻击、社会工程攻击、中间人攻击
持续认证所使用的鉴定因素主要是认知因素、物理因素、上下文因素
认知因素主要有验收协调、应用行为模式、使用偏好、设备交互模式等
物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用
上下文因素主要有事务、设备和网络模式。例如一些网站的访问根据地址位置信息来判断来访者的身份，以确认是否授权访问
Kerberos系统涉及四个基本实体：1Kerberos客户机（用户用来访问服务器设备）、2AS（认证服务器，识别用户身份并提供TGS会话密钥）、3（TGS票据发放服务器、未申请服务的用户授予票据）、4（应用服务器，为用户提供服务的设备或系统）
一般来说，PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体、客户端、目录服务器
身份认证网关产品的技术特点是利用数字证书、根据同步、网络服务重定向登记书，提供集中、统一的认证服务，形成身份认证中心，具有单点登录、安全审计等安全服务功能
访问者又称为主体可以是用户、进程、应用程序等；资源对象又称为客体，既被访问的对象，可以是文件，应用程序，数据等
访问控制是指对资源对象的访问者授权，控制的方法及运行机制
授权是访问者可以对资源对象进行访问的方式，如文件的读、写、删除、追加或电子邮件服务的接受、发送等
控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策，如拒绝访问、授权许可、禁止操作等
自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问
基于使用的访问控制模型用于隐私保护、敏感信息安全限制、知识产权保护
基于地理位置的访问控制模型可用于移动互联网应用授权控制，如打车服务这种的地理位置授权使用
基于属性的访问控制是一个新兴的访问控制方法，其主要提供分布式网络环境和Web服务的模型访问控制
基于行的自主访问控制方法是在每个主题上都附一个该主体可访问的客体的明细表，根据表中信息的不同又分为三种形式，既能力表、前缀表和口令
基于列的自主访问控制机是在每个客体上都附一个可访问它的主体的明细表，它有两种形式，既保护位和访问控制表
基于角色的访问控制（RBA）就是指根据完成某些职责任务所需要的访问权限来进行授权和管理，RBAC由用户（U）、角色（R）、会话（s）、权限（P）四个基本的因素组成
特权是用户超越系统访问控制所拥有的权限
特权的管理应按最小化机制，防止特权误用
最小化特权原则是指系统中每一个主体组织能拥有完成任务所必要的权限集
特权的分配原则是“按需使用”，这条原则保证系统不会将权限过多的分配给用户，从而可以限制特权造成的危害
防火墙无法有效防范内部威胁，处于防火墙保护的内网用户一旦操作失误，网络攻击者就能利用内部用户发起主动网络连接，从而可以躲避防火墙的安全控制
应用服务代理技术的缺点是：速度比包过滤慢、对用户不透明、与特定应用协议相关联，代理服务器并不能支持所有的网络协议
DPI（深度包检测技术），是一种用于对包的数据内容及包头信息进行检查分析的技术方法
DPI运用模式（特征）匹配，协议异常检测等方法对包的数据内容进行分析
传统检查只针对包的头部信息，而DPI对包的内容进行检查，深入应用层分析
DPI已经被应用到下一代防火墙，Web防火墙、数据库防火墙、工控防火墙等中、属于防火墙的核心技术之一
评估防火墙性能的指标中，并发连接数是检查（防火墙在单位时间内所能建立的最大TCP连接数）；并发连接数（防火墙在单位时间内所能建立的最大TCP连接数，每秒的连接数）
Internet协议安全性（IPSec）是通过对IP协议的分组进行加密和认证，保护IP协议的网络传输协议簇（一些相互关联的协议的集合）。IPSec工作在TCP/IP协议栈的网络层，为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务
IPSec的两种工作模式分别是传输模式和隧道模式
隧道技术可以用来解决TCP/IP协议的某种安全威胁问题
隧道技术的本质是用一种协议来传输另外一种协议
虚拟专用网中可以采用隧道技术
IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发
传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下的AH和ESP处理后需要新封装一个新的IP头
SSL协议可分为两层，处于下层的是SSL记录
SSL握手协议，由三种协议组合而成，包含握手协议、密码规格变更协议及报警协议。其用途是在两个应用程序开始传送或接收数据前，为其提供服务器和客户端间相互认证的服务，并相互协商决定双方通信使用的加密算法及加密密钥
属于第二层隧道协议的是PPTP和L2TP，第二层隧道协议中必须要求TCP/IP支持的是PPTP
IPSec VPN中，密码杂凑算法使用SHA-1算法，SM3密码杂凑算法，用于对称密钥生成和完整性校验。其中SM3算法的输出为256比特
SSL VPN算法及使用方法如下：非对称密码算法包括256位群阶ECC圆曲线密码算法SM2IBC标识密码算法SM9和1024位以上RSA算法
分组密码算法为SM1算法，用于密码协商数据的加密保护和报文数据加密保护。该算法的工作模式为CBC模式
密码杂凑算法包括SM3算法和SHA-1算法，用于密码生成和完整性校验
状态迁移方法利用状态图标识攻击特征，不同状态刻画了系统某一时刻的特征
基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。目前大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例
一个入侵检测系统主要由以下功能模块组成：数据采集模块（为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等）、入侵分析模块（依据辅助模块提供的信息<如攻击模式>根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生告警）、应急处理模块（发生入侵后，提供紧急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等）、管理配置模块（为其他模块提供配置服务，是IDS系统中的模块与用户的接口）和相关的辅助模块（协助入侵分析引擎模块等工作，为它提供相应的信息，例如攻击特征库、漏洞信息等）
恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同。尽管是同一种恶意代码，但仍然具有多个不同样本，几乎不存在稳定的代码，只采用基于特征的检测工具一般无法有效识别它们。模糊变换技术主要有：指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术。
恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力，使检测与清除恶意代码的难度大大增加
恶意代码的分析方法由静态分析方法和动态分析方法两部分构成。其中，静态分析方法有反恶意代码软件的检查、字符串分析和静态反编译分析等；动态分析方法包括文件监测、进程监测、注册表监测和动态反汇编分析等
计算机病毒由三部分组成：复制传染部件、隐藏部件、破坏部件
恶意代码防护产品的主要技术指标有恶意代码检测能力、恶意代码检测准确性、恶意代码阻断能力
流量检测技术利用分布式多核硬件技术，基于深度数据包检测技术监测、快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗
流量回注是指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响
当监测到网络攻击流量时，如大规模的DDOS攻击，流量牵引技术将目标系统的流量动态转发到流量清洗中心进行清洗。流量清洗既拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统
蜜罐主机技术包括空系统、镜像系统、虚拟系统
数字水印利用人类的听觉、视觉系统的特点在图像、音频、视频中加入特定的信息，使人难觉察，而通过特殊方法和步骤又能提取所加入的特定信息。数字水印应用领域有：数字版权保护、票据防伪、证据篡改鉴定、数据侦测和跟踪、数据真伪鉴别等
移动用户的隐私数据包括：用户身份信息、口令、用户位置信息、终端设备信息
公众运营商信息属于公开信息，不需要被保护
目前，隐私保护方法主要有k-匿名方法和查分隐私方法
K-匿名方法要求数据中的所有元组进行泛化处理，使得其不再与任何人一一对应，且要求泛化后数据中的每一条记录都要与至少多条其他记录完全一致
域名劫持。黑客通过各种手段控制了域名管理密码和域名管理邮箱，然后将该域名的DNS记录指向黑客可以控制的服务器
假设价值为40万的网站受到黑客攻击的概率为0.8，经济影响为2万元人民币，则该公司的网站安全风险量化值为1.6万元人民币
网络安全风险评估准备的首要工作是确定评估对象和范围
网络资产鉴定给出评估所考虑的具体对象，确认网络资产种类和清单，使整个评估工作的基础
网络资产价值估算是某一具体资产在网络系统中的重要程度确认
常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面
计算机信息系统安全保护等级划分准则（GB 17859--1999）第四级结构化保护级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体
信息理论包含信息论、控制论、系统论、不包含博弈论
木桶原则就是“木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击
严禁直接使用境外的密码设备
尽量避免使用境外的密码设备，必须采用境外信息安全产品时，该产品必须通过国家信息安全测评机构的认可
严禁使用未经过国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备
严禁使用未经国家信息安全测评机构认可的信息安全产品
端口扫描工具，如Nmap（开源）
通用漏洞扫描工具，如X-Scan（开源）、绿盟极光（商用）、启明星辰天镜脆弱性扫描与管理系统（商用）、Nessus（开源）等
数据库扫描，如SQLMap（开源）、Pangolin（开源）等
Web漏洞扫描，如AppScan（商用）、Acunetix Web Vulnerability Scanner（商用）等
网络安全渗透测试是指在法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。常见的渗透测试集成工具箱有BackTrack5，Metasploit，Cobalt Strike等
常用于进行入侵监测的工具和系统如下：网络协议分析器（Tcpdump，Wireshark）、入侵监测系统（开源入侵检测系统Snort，Suricata，Bro）、Windows系统注册表监测（regedit）、恶意代码检测（RootkitRevealer，ClamAV）、文件完整性检查（Tripwire，MD5sumo）
桌面应急演练是指参演人员利用地图沙盘、离成都、计算机moni/ship会议等辅助手段，针对事先假定的演练情景，讨论和推演应急决策及现场处置的过程，从而促进相关人员行我应急预案中所规定的职责和程序，提高指挥决策和协同配合能力
路由器是连接网络中各类局域网和广域网的设备，他会根据信道的情况自动选择和设定路由，以最佳路径按前后顺序发送信号的设备
IEEE802.3规定最小帧长为64字节，这个帧长是指从目标地址到校验和的长度
针对网络信息系统的容灾恢复问题，国家制定和颁布了《信息安全技术信息系统灾难恢复规范（GB/T 20988-2007）》，该规范定义了六个灾难恢复等级和技术要求：第一级基本支持（要求至少每周做一次完全数据备份，并且备份介质场外存放）、第二级备用场地支持（第二级在第一级的基础上，还要求配备灾难发生后能正在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备）、第三级电子传输和部分设备支持、第四级电子传输及完整设备支持、第五级实时数据传输及完整设备支持、第六级数据领丢失和远程集群支持
网络安全取证：1（取证现场保护，保护受害系统或设备的完整性、，防止证据信息丢失）、2（识别证据，识别可获取的证据信息类型，应用适当的获取技术与工具）、3（传输证据，将获取的信息安全地传送到取证设备）、4（保存证据，存储证据，并确保存储的数据与原始数据一致）、5（分析证据，将有关证据进行关联分析，构成证据链，重现攻击过程）、6（提交证据，向管理者、律师或者法院提交证据）
硬件探针是一种获取网络流量的硬件设备，将他串接在需要监控流量的链路上，分析链路信息从而得到流量信息。一个硬件探针可以监听单个子网的流量信息，全网流量分析则需部署多个探针。这种方式受限于探针接口速率，因此合适做单链路流量分析。
网络流量监控分析的基础是协议识别技术，流量监控不能有效实现敏感数据的过滤
3DES是DES的扩展，是执行了三次的DES。3DES安全强度较高，可以抵抗穷举攻击，但是用软件实现起来速度比较慢。
3DES有两种加密方式：第一、三次加密使用同一密钥，这种方式密钥长度128位（112位有效）；；；三次加密使用不同密钥，这种方式密钥长度192位（168位有效）
安全哈希算法主要适用于数字签名标准里面定义的数字签名算法，对于长度小于2^64位的消息，SHA1会产生一个160位的消息摘要。当接收到消息的时候，这个消息摘要可以用来验证数据的完整性。在传输过程中，数据很可能会发生变化，那么这时候就会产生不同的消息摘要，如果原始的消息长度超过了512，我们需要将它补成512的倍数，然后我们把整个消息分成一个一个512的数据块，分别处理每一个数据块，从而得到消息摘要
字节代换是按字节进行的代替变换，也称为S盒变换。他是作用在状态之中每个字节上的一种非线性字节变换
64位密钥经过置换选择1、循环左移、置换选择2，产生16个长48位的子密钥
蠕虫利用信息系统缺陷，通过网络自动复制并传播的有害程序
网络攻击是指损害网络系统安全属性的危害行为。网络攻击效果包括：破坏信息（删除或修改系统中存储的信息或者网络中传送的信息）、信息泄密（窃取或公布敏感信息）、窃取服务（未授权使用计算机或网络服务）、拒绝服务（干扰系统和网络正常服务，降低系统和网络性能，甚至使系统和网络崩溃）
攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析，后扩展为软件故障树，用于辅助识别软件设计和实现中的错误。Schneier首先基于软件故障树方法提出了攻击树的概念，用AND-OR形式的树结构对目标对象进行网络安全威胁分析
隐藏攻击源：隐藏黑客主机位置使得系统管理无法追踪
收集攻击目标信息：确认攻击目标并收集目标系统的有关信息
挖掘漏洞信息：从收集到的目标信息中提取可使用的漏洞信息
获取目标访问权限：获取目标系统的普通或特权账户的权限
隐蔽攻击行为：隐蔽在目标系统中的操作，防止入侵行为被发现
实施攻击：进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击
开辟后门：在目标系统中开辟后门，方便以后入侵
清除攻击痕迹：避免安全管理员的发现、追踪以及法律部门取证
隐藏技术：连接隐藏（冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等）、进程隐藏（使用重定向技术减少ps给出的信息量，用特洛伊木马带皮ps程序等）、文件隐藏（利用字符串相似麻痹系统管理员，或修改文件属性使得普通显示方法无法看到、利用操作系统可加载模块特性，隐瞒攻击时所产生的信息）
完全连接扫描利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的链接。如果连接成功，则表明该端口开放，否则，表明该端口关闭
SYN扫描，首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况
拒绝服务攻击（DOS），既攻击者想办法让目标机器停止提供服务或资源访问。TCP SYN Flooding建立大量出于半连接状态的TCP连接就是一种使用SYN分组的DOS攻击
泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络传输时，会被分解成许多不同的片段传送，并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果
根据密码分析者在破译时已具备的前提条件，人们通常将密码分析攻击类型分为五种：唯密文攻击（密码分析者只拥有一个或多个用同一个密钥加密的密文，没有其他可利用的信息）、已知明文攻击（密码分析者仅知道当前密钥下的一些明文及所对应的密文）、选择明文攻击（密码分析者能够得到当前密钥下自己选定的明文所对应的密文）、密文验证攻击（密码分析者对于任何选定的密文，能够得到该密文“是否合法”的判断）、选择密文攻击（除了挑战密文外，密码分析者能够得到任何选定的密文所对应的明文）
IDEA是国际数据加密算法的简记，是一个分组加密处理算法，其明文和密文分组都是64比特，密钥长度为128比特。该算法已在PGP中得到应用
机密性、完整性以及可用性就是信息安全的基本属性，既CIA属性
用户登陆网站时，通过验证CA的签名，可确认该数字证书的有效性，从而验证该网站的真伪
陷门：实在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略
授权侵犯：又称内部威胁，授权用户将其权限用于其他未授权的目的
旁路控制：攻击者通过各种手段发现本应保密却又暴露出来的一些系统的“特征”，利用这些“特征”、攻击者绕过防线守卫者渗透进入系统内部
任何木马程序成功入侵到主机后都要和攻击者进行通信。计算机感染特洛伊木马后的典型现象就是有未知的程序试图建立网络连接
BLP模型用于防止非授权信息的扩散，从而保证系统的安全。BLP模型有两个特性：简单安全特性（主体只能向下读，不能向上读）、*特性（主体只能向上写、不能向下写）
信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取，通过信息流分析以发现隐蔽通道，组织信息泄露途径
网络生存性是指在网络信息系统遭入侵的情形下，网络信息系统仍然能够持续提供必要服务的能力。目前，国际上的网络信息生存模型遵循“3R”的建立方法，首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出相应的3R策略，既抵抗（Resistance）、识别（Recognition）和恢复（Recovery）
TCP协议是一种可靠的、面向连接的协议，通信双方使用三次握手机制来建立连接。当一方收到对方的连接请求时，回答一个同意连接的报文，这两个报文中的SYN=1，并且返回的报文当中还有一个ACK=1的信息，表示是一个确认报文
在建立网络安全防范体系时，应当特别强调系统的整体安全性，也就是人们常说的“木桶原则”既木桶的最大容积取决于最短的一块板，属于系统性和动态性原则
俗话说，尺有所短寸有所长。网络安全防范技术都有各自的优点和局限性，各种网络安全技术之间应当互相补充，互相配合，在统一的安全策略与配置下，发挥各自的优点。属于纵深防护与协作性原则
网络安全不是绝对的，网络安全体系要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。属于网络安全风险和分级保护原则
利用控制系统的软件漏洞，修改物理实体的配置参数，使得物理实体处于非正常运行状态，从而导致物理实体受到破坏。震网病毒就是一个攻击物理实体的真实案例
基于环境攻击计算机实体：利用计算机系统所依赖的外部环境缺陷，恶意破坏或改变计算机系统的外部环境，如电磁波、磁场、温度、空气湿度等，导致计算机系统运行出现问题
在对乌克兰电力公司的攻击中，黑客首先利用欺骗手段，诱导电力公司员工（网络钓鱼）下载了携带“黑暗力量”病毒的文件，并最终获得了主控电脑的控制权
网络安全目标可以分为宏观的网络安全目标和微观的网络安全目标。通常来说，宏观的网络安全目标指的是网络信息系统满足国家安全需求特性，符合国家法律法规政策要求，如网络主权、网络合规等；而微观的网络安全目标指网络信息系统的具体安全要求
被动攻击是指攻击者从网络上窃取他人的通信内容，一般进行流量分析，截获就是典型的被动攻击
蠕虫病毒具有信息搜集、漏洞利用、复制传播、目标选择等能力，其中“红色代码”、“冲击波”、“永恒之蓝”等网络蠕虫可以在网络信息系统中自动扩散；；；；“方程式”、“白象”、“白莲花”、“绿斑”、“蔓灵花”都是目前已发现和公布的高级安全威胁APT行为主体
通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他命令。攻击者就有机会控制程序的执行流程，从而得到主机的控制权
SSH协议是Secure Shell的缩写，既“安全外壳”，它是基于公钥的安全应用协议，由ssh传输层协议，ssh用户认证协议和ssh连接协议三个子协议组成，各协议分工合作、实现加密、认证、完整性检查等多种安全服务。加密服务可以防止网络窃听，认证可以防止伪造，完整性检查可以防止篡改。。。。但是无法防御中间人攻击（APT）和拒绝服务攻击（DOS）
网络安全设备一般至少有内网区域Trust（85）、外网区域untrust（15）、军事缓冲区域DMZ（50）、本地区域Local（100），本地区域安全级别最高
按照防火墙的实现技术及保护对象，常见的防火墙类型可分为包过滤防火墙、代理防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有：包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等
VPN分为数据链路层VPN（PPTP、L2TP）、网络层VPN（IPSec）、传输层VPN（SSL）、另外还有一种归纳为2.5层的MPLS VPN 297999154754500492
IP ESP是一种安全协议，其用途在于IP包的保密性，而IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做成加密处理，对整个IP包或IP数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方，接收方收到后，对ESP进行解密，去掉ESP头，再将原来的IP包或更高层协议的数据向普通的IP包那样进行处理
误用入侵检测通常称为基于特征的入侵检测方法是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到，显然，误用入侵检测依赖于攻击模式库。因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小，则IDS的有效性就大打折扣。而如果攻击模式库过大，则IDS的性能就会受到影响
HIDS一般适合检测以下行为：针对主机的端口或漏洞扫描、重复失败的登入尝试、远程口令破解、主机系统的用户账号添加、服务启动或停止、系统重启动、文件的完整性或许可权变化、注册表修改、重要系统启动文件变更、程序的异常调用、拒绝服务攻击
NIDS一般适合检测以下行为：同步风暴（SYN Flood）、分布式拒绝服务攻击（DDOS）、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问
业务终端位于网络末梢区域，其网络流量、系统性能等都无法满足IPS保护整个网络
根据漏洞的补丁状况，可将漏洞分为普通漏洞和零日漏洞。普通漏洞是指相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案。而零日漏洞特指系统或软件中新发现的、尚未提供补丁的漏洞。零日漏洞通常被用来试试定向攻击
依据网络信息系统构成的要素，网络安全测评可分为两大类型：技术安全测评和管理安全测评。其中，技术安全测评主要包括物理环境、网络环境、操作系统、数据库系统、应用系统数据及存储系统等相关技术方面的安全性测试和评估。管理安全测评主要包括管理机构、干礼制度、管理流程、人员管理、系统建设、系统运维等方面的安全性评估
依赖性威胁指攻击者破坏路由器所依赖的服务或环境，导致路由器非正常运行。例如，破坏路由器依赖的认证服务器，导致管理员无法正常登录到路由器
Telnet、Finger、HTTP虽然给管理带来方便，但是也留下安全隐患。SSH是安全的远程连接服务
网络流量清洗是指通过基于网络流量的异常监测技术手段，将对目标网络攻击的DOS/DDOS等恶意网络流量过滤掉，同时把正常的流量转发到目标网络中
物理环境安全是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全，是网络系统安全、可靠、不间断运行的基本保证。物理安全需求主要包括环境安全、设备安全、存储介质安全
技术层面的脆弱性主要与资产本身的属性有关，最典型的就是操作系统和应用软件的漏洞；随着网络技术的发展和光纤普及的加速，“多网合一”的技术问题得到有效的解决，管理层面的脆弱性体现在安全管理体系不完备和管理制度体系没有得到有效的贯彻执行
攻击树方法可以被Red Team用来进行渗透测试，同时也可以被Blue Team用来研究防御机制。攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景；；；；；攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来会特别复杂
SYN/ACK扫描首先向目标主机某个端口发送SYN/ACK数据包，而不是先发送SYN数据包。由于这种方法不发送SYN数据包，目标主机会认为这是一次错误的连接，从而会报错。如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态（LISTENING），则不会返回任何信息，而是直接将这个数据包抛弃掉
网络安全应以预防为主，否则亡羊补牢，为之晚矣。特别是大型的网络，一旦攻击者进入系统后，就难以控制网络安全局面。因此，我们应当遵循“安全第一，预防为主”的原则
对重要的核心网络设备，例如路由器、交换机，为了防止这些核心单点安全故障，一般采用设备冗余，既设备之间相互备份
AS验证服务器负责用户的注册、分配账号和密码，负责确认用户并发布用户和TGS之间的会话密钥
防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈，因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以至于不能指望防火墙逐个扫描每个文件查找病毒，只能在每台主机上安装反病毒软件
应用代理防火墙扮演“中间人”的角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求相应的结果返回给受保护网络的主机
防火墙配置命令 -P 策略 -p协议
VPN指的是用户通过公用网络建立的临时的、逻辑隔离的、安全的连接。可以提供身份认证和数据加密的功能
IP AH和IP ESP都有两种工作模式，既透明模式和隧道模式。透明模式只保护IP包中的数据域，而隧道模式则保护IP包的包头和数据域。因此在隧道模式下，将创建新的IP包头，并把旧的IP包（指需做安全处理的IP包）作为新的IP包数据
入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统重企图或已经违背安全策略的行为：1发现受保护系统中的入侵行为或异常行为、2检验安全保护措施的有效性、3分析受保护系统所面临的威胁、4有利于阻止安全事件扩大，及时报警触发网络安全应急响应、5、可以为网络安全策略的制定提供重要指导、6报警信息可用作网络犯罪取证
入侵检测系统的主要指标有可靠性、可用性、可扩展性、时效性、准确性和安全性。可用性指入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，入侵检测系统不能影响到主机和网络系统的性能
单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC，使得单台计算机在某一时刻只能连接到内部网或外部网
网络通信安全审计一般采用专用的审计系统，通过专用设备获取网络流量，然后进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
依据技术分类，漏洞分为：非技术性安全漏洞（这方面的漏洞来自制度、管理流程、人员、组织结构等。把哦哦阔网络安全责任主体不明确，网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备）、技术性安全漏洞（这方面的漏洞来源有设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等）
恶意代码的分析方法由静态分析方法和动态分析方法两部分构成，其中，静态分析方法有反恶意代码软件的检查、字符串分析和静态反编译分析等；动态分析方法包括文件检测、进程监测、注册表监测和动态反汇编分析等
部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，阻碍反恶意代码软件的正常运行。。例如“广州女生”是一个国产特洛伊木马，对“金山毒霸”和“天网防火墙”采用超级管理技术进行拒绝服务攻击
细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制本身来消耗系统资源。例如，某个细菌先创建两个文件，然后以两个文件为基础进行自我复制，那么细菌以指数级的速度增长，很快就会消耗掉系统资源，包括CPU、内存、磁盘空间
网络诱骗技术就是一种主动地防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效制止攻击者的破坏行为，形成威慑攻击者的力量。目前，网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术
Linux系统的ps命令可以用来查看进程信息
根据证据信息变化的特点，可以将证据信息分为易失信息和非易失信息。由于内存断电丢失数据，所以是易失证据信息
MAC地址泛洪攻击通过伪造大量的虚假MAC地址发往交换机，由于交换机的地址表容量的有效性，当交换机的MAC地址表被填满之后，交换机将不再学习其他MAC地址，从而导致交换机泛洪转发
AAA分别为认证（Authentication）验证用户的身份与可使用的网络服务、授权（Authorization）依据认证结果开放网络服务给用户、记账（Accounting）记录用户对各种网络服务的用量，并提供给计费系统
镜像端口是指设备复制从镜像端口流经的报文并将此报文传送到指定的观察端口进行分析和监控
攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。
攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂
攻击者设计后门：放宽文件许可权、重新开放不安全的服务（REXD、TFTP等）、修改系统的配置（系统启动文件、网络服务配置等）、替换系统本身的共享库文件、修改系统的源代码（安装各种特洛伊木马）、安装嗅探器、建立隐蔽信道
被动攻击是指攻击者从网络上窃听他人的通信内容，一般进行流量分析、窃听、截获就是典型的被动攻击。主动攻击对信息进行篡改、伪造。主动攻击采用的手段是伪装、重放、篡改、拒绝服务等
半连接扫描是指在源主机和目的主机的三次握手连接过程中，只完成前两次握手，不建立一次完整的链接
SYN扫描：首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放
网络钓鱼是一种通过假冒可信方（知名银行、在线零售商和信用卡公司等可信的品牌）提供上网服务，以欺骗手段获取敏感信息（如口令、信用卡详细信息等）的攻击方式
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电；；；；人为安全威胁包括盗窃、爆炸、毁坏、硬件安全
防火墙白名单策略：只允许符合安全规则的包通过防火墙，其他通信包禁止
防火墙名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许
将入侵检测系统置于防火墙内部，使得很多对网络的攻击首先被防火墙过滤，也就是防火墙是首当其冲的，从而减少了对内部入侵检测系统的干扰，提高入侵检测系统的准确率，但是其检测能力不会变化
通过VPN技术，企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道，并得到VPN提供的多种安全服务，从而实现企业网安全。VPN主要的安全服务有三种：保密性服务（防止传输的信息被监听）、完整性服务（防止传输的信息被修改）、认证服务（提供用户和设备的访问认证，防止非法接入）
IPSec功能可分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中AH用于数据完整性认证和数据认证；ESP提供数据包的机密性服务，也包括完整性和数据源认证
SSL由Netscape开发，包含握手协议、密码规格变更协议、报警协议和记录层协议。其中，握手协议用于身份鉴别和安全参数协商；密码规格变更协议用于通知安全参数的变更；报警协议用于关闭通知和对错误进行报警；记录层协议用于传输数据的分段、压缩和解压缩、加密及解密、完整性校验等
国家密码管理局颁布了《IPSec VPN技术规范》和《SSL VPN技术规范》。其中IPSEC VPN产品的主要功能要求包括：随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别
基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为，这种方法的优点是，检测起来比较简单，但是也存在缺点，既检测收到规则库限制，无法发现新的攻击，并且容易受干扰。目前大部分IDS采用这种方法。Snort是典型的基于规则的误用检测方法的应用实例
根据入侵检测应用对象，常见的产品类型有Web IDS、数据库IDS、工控IDS等。其中Web IDS利用Web网络通信流量或Web访问日志等信息，检测常见的Web攻击；数据库IDS检测常见的针对数据库的攻击
Snot规则由两部分组成，既规则头和规则选项。规则头包含规则操作（action）、协议（protocol）、源地址和目的IP地址及网络掩码、源端口和目的端口号信息。。规则选项包含报警信息、被检查网络包的部分信息及规则应采取的动作
网闸的技术原理是一个具有控制功能的开关读写存储设备，通过开关的设置来连接或切断两个独立主机系统的数据交换，两个独立主机系统与网闸的连接是互斥的，因此，两个独立主机不存在通信的物理连接，而主机对网闸的操作只有“读”和“写”
网闸：使用一个具有控制功能的开关读写存储设备，通过开关的1设置来连接或切断两个独立主机系统的数据交换
网络入侵检测是网络安全审计引用场景类型之一，对网络设备、安全设备、应用系统的日志信息进行实时收集和分析，可检测发现黑客入侵，扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDOS攻击。系统漏洞可通过漏洞扫描设备扫描发现，并不能通过网络入侵检测发现
非技术安全漏洞：这方面漏洞来自制度、管理流程、人员、组织结构等。包括网络安全责任主体不明确，网络安全策略不完备，网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备
技术性安全漏洞：这方面漏洞来自于设计错误输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等
网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序，属于主动传播。属于被动传播的有计算机病毒、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意Active X控件、间谍软件等
文件型病毒系计算机病毒德意志，主要通过感染计算机中的可执行文件（.exe）和命令文件（.com）。把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。可以感染所有标准的DOS可执行文件：包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM/EXE可执行文件。由于HTML文件无法嵌入二进制执行代码，且是文本格式，不易隐藏代码，所以无法感染
僵尸网络是指攻击者利用手段将僵尸程序植入目标计算机上，进而操纵受害机执行恶意活动的网络
ICMP风暴和Smurf攻击都是基于网络层ICMP协议的攻击；UDP风暴是基于传输层UDP的攻击；SYN Flood攻击通过创建大量“半连接”来攻击，TCP连接中的三次握手中，服务器在发出SYN+ACK应答报文后无法收到客户端的ACK报文（第三次握手无法完成），服务器将等待1分钟左右才丢弃未完成连接。
网络安全管理实际上是对网络系统中网管对象的风险进行控制:避免风险（内外网隔离）、转移风险（购买商业险或安全外包）、减少威胁（安装防病毒软件包）、消除脆弱点（给系统打补丁）、减少威胁的影响（备份或制定应急预案）、风险监测（定期进行风险分析）
攻击者常用以下技术隐藏真实的IP地址或者域名：利用被入侵的主机作为跳板、免费代理网管、伪造IP地址、假冒用户账号
ARP欺骗是针对以太网地址解析协议的一种攻击技术，通过欺骗局域网内访问者PC的网管MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通
同步包风暴：发送大量半连接状态的服务请求，使服务器无法处理正常的连接请求，因而影响正常运作
Smurf攻击：将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求作出应答，导致网络阻塞
垃圾邮件：攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹（mail bomb）程序给受害用户的信箱发送垃圾信息，消耗用户信箱的磁盘空间，使用户无法应用这个信箱
泪滴攻击：IP数据包在网络中传输中，会被分解为许多不同的片传送，并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果
网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层，其中网络安全组织的领导层由各部门的领导组成，其职责主要有：协调各部门的工作、审查与批准网络系统安全策略、审查与批准网络安全项目实施计划与预算、网络安全工作人员考察与录用
震动会对网络设备造成不同程度的损坏，特别是一些高速运转的设备。防震是保护网络设备的重要措施之一。通常采取的防震措施：网络机房所在的建筑物应具有抗地震能力、网络机柜和设备要固定牢靠，并安装防震装置、加强安全操作管理（禁止搬动在线运行的网络设备）
包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤，如不能识别不同用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以轻易通过包过滤器
应用代理防火墙扮演“中间人”角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机
根据预先定义的过滤规则和安全防护规则，对所有的访问Web服务器的HTTP请求和服务器响应，进行HTTP协议和内容过滤，进而对Web服务器和web应用提供安全防护功能。可抵御的典型攻击主要是SQL注入攻击，XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。Smurf攻击基于网络层ICMP协议的攻击
数据链路层VPN（PPTP、L2TP）
网络层VPN（IPSec）
传输层VPN（SSL）
2.5层VPN （MPLS VPN）数据链路层
IP AH和IP ESP都有两种工作模式，既透明模式和隧道模式，透明模式只保护IP包中的数据域，而隧道模式则保护IP包的包头和数据域。因此在隧道模式下，将创建新的IP包头，并把旧的IP包（指需做安全处理的IP包）作为新的IP包数据。从性能来讲，隧道模式因为有一个额外的IP包头，所以他将比传输模式占用更多带宽
SSL由Netscape开发，包含握手协议、密码规格变更协议、报警协议和记录层协议，其中，握手协议用于身份鉴别和安全参数协商；密码规格变更协议用于通知安全参数的变更；报警协议用于关闭通知和对错误进行报警；记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等
非对称密码算法使用1024比特RSA算法或256比特SM2椭圆曲线密码算法，用于实体验证、数字签名和数字信封等
对称密码算法使用128比特分组的SM1分组密码算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式
密码杂凑算法使用SHA-1算法或SM3密码杂凑算法，用于对称密钥生成和完整性校验。其中SM3算法的输出为256比特。随机数生成算法生成的随机数应能通过《随机性检测规范》规定的检测
基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。这种方法的优点是，检测起来简单，但是也存在缺点，既检测受到规则库限制，无法发起新的攻击，并且容易受到干扰，目前，大部分IDS采取的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例
入侵检测系统的主要指标有可靠性、可用性、可扩展性、时效性、准确性和安全性。可用性指入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，入侵检测系统不能影响主机和网络系统的性能
HIDS一般适合检测以下行为：针对主机的端口或漏洞扫描、重复失败的登录尝试、远程口令破解、主机系统的用户账号添加、服务启动或停止、系统重启动、文件的完整性或许可权变化、注册表修改、重要系统启动文件变更、程序的异常调用、拒绝服务攻击
NIDS一般适合检测以下行为：同步风暴（SYN FLOOD）、分布式拒绝服务攻击（DDOS）、网络扫描、缓冲区溢出、协议攻击、流量异常，非法网络访问
《计算机信息系统国际互联网保密管理规定》第二章第六条规定“涉及国家秘密的计算机信息系统，不得直接或间接的与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”物理隔离技术其基本原理是避免两台计算机之间的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动，避免敏感数据向外部泄露，保障不同网络安全域之间进行信息及数据交换
网络物理隔离有利于强化网络安全的保障，增强涉密网络的安全性，但是不能完全确保网络的安全性，采用网络物理隔离安全保护措施的网络仍然面临如网络非法外联、U盘摆渡攻击、网络隔离产品安全隐患等网络安全风险
网络通信安全审计一般采用专门的审计系统，通过专用设备获取网络流量，然后进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息，以评估其脆弱性
在委托受理阶段需要签署保密协议、合同，在网络安全渗透测试过程中的准备阶段，经理协助被测单位填写“网络信息系统渗透测试用户授权单”并通知客户做好测试前的准备工作。在结题阶段，项目组质量工作人员请客户填写客户满意度调查表，收集客户意见
网络流量清洗是指通过基于网络流量的异常监测技术手段，将对目标网络攻击的DOS/DDOS等恶意网络流量过滤掉，同时把正常的流量转发到目标网络中
WannaCry病毒利用方程式自组织工具包中的“永恒之蓝”漏洞工具，进行网络短裤扫描攻击。EternalBlue（永恒之蓝）是方程式组织开发的针对（SMB）服务进行攻击的模块
勒索软件需要利用系统服务端口号为445
病毒加密使用AES加密文件，并使用非对称加密算法RSA加密随机秘钥，每个加密文件使用一个随机秘钥