一、概述

1.网络信息安全基本概念

信息安全：是指信息网络中的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露、否认等，系统连续可靠正常的运行，信息服务不中断。

密码学：是结合数学、计算机科学、电子与通信等学科于一体的交叉学科，研究信息系统安全的科学。起源于保密通信技术。具体来讲，研究信息系统安全保密和认证的一门科学。

密码学是信息安全的核心和关键技术。

2.信息安全威胁隐患分类：硬件的安全隐患（CPU）、操作系统安全隐患、网络协议的安全隐患、数据库系统安全隐患（直接攻击和间接攻击）、计算机病毒（能够进行自我复制）、管理疏漏，内部作案。

3.攻击：仅仅发生在入侵行为完全完成，且入侵者已进入目标网络内的行为称为攻击。或者所有可能使一个网络受到破坏的行为都称为攻击。

攻击分类：泄露信息、破坏信息和拒绝服务

攻击的主要手段：口令入侵、后门软件攻击、监听法、E-mail技术、电子欺骗和Dos

信息安全要素：机密性、完整性和可用性、可控性、可靠性和不可否认性

4.信息安全典型技术：信息加密技术、防火墙技术、漏洞扫描技术、入侵检测技术、防病毒技术、网络安全隧道技术

TCP/IP的安全体系接口：链路层、网络层、传输层、应用层

二、信息加密技术

1.密码学发展历史：古典密码体制（手工密码、机械密码）、近代密码体制（电子机内密码）、

现代密码体制（计算机密码）

2.置换密码：根据一定的规则重新排列明文，打破明文的结构特性。其特点是保持明文的所有字符不变，只是打乱了明文字符的位置和次序。具体例子：scytale列置换

3.代换密码：代换，就是将明文中的一个字母由其他字母、数字或者符号替代的一种方法。

常见的代换密码：单表代换密码（Caesar）、多表代换密码.

4.密码系统组成：由明文、密文、加密算法、解密算法、密钥五部分组成

明文M：作为加密输入的原始信息，即消息的原始形式

密文C：明文经加密变换后的结果，即消息被加密处理后的形式

密钥K：是参与密码变换的参数

加密算法E：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程

解密算法D：是将密文恢复为明文的变换函数，相应的变换过程称为解密。

加密：C=E（M,Ke）

解密：M=D(C,Kd)

三、古典密码体制

1.单表代换密码：对明文消息中出现的同一个字母，在加密时使用同一个固定字母来代换，不管它出现在什么地方。Caesar

2.多表代换密码：明文消息中出现的同一个字母，在加密时不是完全被同一个固定的字母代换，而是根据其出现的位置次序，用不同的字母代换。

Vigenere密码：选择词组作为密钥，第一个密钥字母加密明文的第一个字母，第二个密钥加密明文的第二个字母，等所有密钥字母使用完后，密钥再次循环使用。例题如下:

Playfair密码:将明文中的双字母组合成一个单元,并将这些单元替换为密文双字母组合.替换基于一个5*5的矩阵,该矩阵使用一个密钥(关键词,或一段话)来构造

此加密方法约定如下规则,表中第一列看作是第五列的右边一列,第一行看作是第五行的下一行.

将每一对明文字母的加密方法如下:

若同行,则对应的密文分别是紧靠其右端的字母(解密反向)

若同列,则对应的密文分别是紧靠其下方的字母(解密反向)

若不同行,不同列,则对应的密文分别是由明文字母确定的对角线的其他两角的字母,且按其同行对应(解密方法相同)

若两字母相同,则在重复字母之间插入一个事先约定好的字母(如Q),再按上述方法执行.

若明文字母数为奇数,则在末尾添加一个约定好的字母(如Q)

Hill密码：基本加密思想将明文字母通过线性变换，将它们转换为密文字母。解密只需一次逆变换即可。

四、对称密码体制

 (1)对称密码体制

        如果一个密码算法的加密密钥和解密密钥相同，或由其中一个很容易推导出另一个，该算法就是对称密码算法。

(2)对称密码的优缺点

        优点：加密解密处理速度快；保密度高

        缺点：如何能把密钥安全地送到收信方，是对称密码算法的突出问题。对称密码算法的密钥分发过程复杂，所花代价高。

(3)对称密码分类

        对称密码体制分为两类：一类是对明文的单个位（或字节）进行运算的算法，称为序列密码算法，也称为流密码算法。另一类算法是把明文信息划分成不同的块结构，分别对每个块进行加密和解密，称为分组密码算法。

(4)序列密码分类

       同步序列密码：同步序列密码要求发送方和接收方必须是同步的，在同样的位置用同样的密钥才能保证正确地解密。如果在传输过程中密文序列有被篡改、删除、插入等错误导致同步失效，则不可能成功解密，只能通过重新同步来实现解密、恢复密文。在传输期间， 一个密文位的改变只影响该位的恢复，不会对后继位产生影响。

     自同步序列密码：自同步序列密码的密钥的产生与密钥和已产生的固定数量的密文位有关。因此，密文中产生的一个错误会影响到后面有限位的正确解密。

(5)线性反馈移位寄存器

     产生密钥流序列的硬件是反馈移位寄存器，一个反馈移位寄存器由移位寄存器和反馈函数组成。

(6)DES加密流程

        DES对64位的明文分组进行操作。通过一个初始置换，将明文分组分成左半部分和右半部分，各32位长，然后进行16轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密钥结合。经过16轮后，左、右半部分合在一起，经过一个末置换（初始置换的逆置换），即算法完成。

总体流程图：

1.初始置换IP：将64位明文的位置顺序打乱

2.乘积变换（16轮迭代）：将初始置换得到的64位结果分为两半，记为L0和R0，各32位。设初始密钥为64位，经密钥扩展算法产生16个48位的子密钥，记为K1,K2,…,K16,每轮迭的逻辑关系为：

f变换:输入32，经过扩展变换为48位，与子密钥进行异或运算，选择S盒替换，将48位压缩还原成32位，再进行P盒替换，输出32位。

 

 DES子密钥生成过程：

3.逆初始置换IP-1

(7)AES加密流程

         AES属于分组加密算法，明文长度固定为128位，密钥长度可以是128，192，256位。

         备注：最后一轮无列混合步骤 

         初始变换：明文矩阵和子密钥矩阵进行异或

         字节代换：每个元素的前4位指定行，后四位指定列。

         行移位：第一行不变，第二行左移一位，第三行左移两位，第四行左移三位。

         列混合：将输入的4*4矩阵左乘一个给定的4*4矩阵

         轮密钥加：将得到的结果与子密钥进行异或。

子密钥扩展成轮密钥：

         

备注：针对不是4的倍数需要关注T函数；T函数的过程包括字循环、字节代换和轮常量异或。

（字循环：将b0,b1,b2,b3变换为b1,b2,b3,b0;字节代换：S盒代换；轮常量异或：给定数据） 

【AES加密算法】| AES加密过程详解| 对称加密| Rijndael-128| 密码学| 信息安全_哔哩哔哩_bilibili

五、信息隐藏技术：

1.基于传统密码学理论的加解密系统的缺点

       明确提示攻击者哪些是重要信息

       攻击技术的发展传统的加密算法的安全性受到了严重挑战

2.信息隐藏

       信息隐藏是将秘密信息隐藏再另一非机密的载体信息中，通过公共信道进行传递。

       攻击者无从判断是否有秘密信息，也无法提取或去除秘密信息。

       信息隐藏的最大优势在于它并不限制对主信号的存取和访问，而是致力于签字信号的安全保密性。

3.信息隐藏研究的内容

        信息隐藏算法、数字水印、隐秘通道技术和匿名通信。

(4)实现信息隐藏的基本要求

        载体对象是正常的，不会引起怀疑。

        伪装对象与载体对象无法区分，无论从感官上，还是从计算机的分析上。

        安全性取决于第三方有没有能力将载体对象和伪装对象区别开来。

        对伪装对象的正常处理，不应破坏隐藏的信息。

(5)数字水印三要素

        水印本身的结构、水印嵌入算法和水印检测算法。

(6)数字水印的应用

         版权保护、数字指纹、认证和完整性检验、内容标识和隐藏标识、使用控制和内容保护

(7)数字水印的性能评价

        不可感知性、

        对载体的破坏程度、

        主观评价

        客观评价、

        水印容量、不可感知性、健壮性三者之间的平衡。

六、应用层安全技术

 web服务的安全决定着多种网络服务的安全,也决定着整个windows系统的安全

(1)什么是IIS?

      IIS即intenet信息服务,是一个用于配置应用程序池或网站,FTP站点,SMTP或NNTP站点的工具,功能十分强大.利用IIS管理器,管理员可以配置IIS安全、性能和可靠性功能,可添加或删除站点,启动、停止和暂停站点,备份和还原服务器配置,创建虚拟目录以改善内容管理等.

(2)为什么需要电子邮件?

      传输速度快,内容和形式多样,成本低廉,高效可靠,使用方便(采取的是异步工作的方式,不受时间和空间的限制.)

(3)什么是电子邮件?

       电子邮件是Internet上应用最广同时也是最基本的服务之一.只要能够连接因特网,拥由一个E-mail账号,就可以通过电子邮件系统,用非常低廉的价格,非常快的速度,与世界上任何一个角落的网络用户联络.

(4)电子邮件系统的组成

客户软件UA(User Agent):用来处理邮件.如邮件的编写、阅读和管理(删除和排序等)

服务器软件TA(Transfer Agent):用来传递邮件

电子邮件不是一种"终端到终端"的服务,而是背称为"存储转发式"

一篇文章带你快速弄清楚什么是终端 - Coding十日谈 - 博客园 (cnblogs.com)

(5)电子邮件系统收发流程

(6)什么是邮件网关?

        邮件网关指在两个不同邮件系统之间传递邮件的计算机.它能计算出消息中哪些是重要信息,如主题,发送者,接收者,并把他们翻译成其他系统所需的格式.

       负责内部与外部邮件系统的沟通，外部发送到本企业的邮件，通过Internet网站上的Mail Server先行保存着，邮件网关可以定时将这些邮件收下来，分发给邮件的接收者，同时，将发送到企业外部的邮件通过internet传送出去。

(7)邮件网关的主要功能

        预防功能，监控功能，跟踪功能，财务管理，分类统计表，邮件备份。

(8)根据邮件网关的用途可划分为

        普通邮件网关、邮件过滤网关（邮件过滤网关是一个几种检测带毒邮件的独立硬件系统，与用户的邮件系统类型无关，并支持SMTP认证）、反垃圾邮件网关（反垃圾邮件网关是基于服服务器的邮件过滤和传输系统，可以帮助企业有效管理邮件系统，防止未授权的邮件进入或发出，同时被用于阻挡垃圾邮件、禁止邮件转发和防止电子邮件炸弹。它通过消除不需要的邮件，有效降低网络资源的浪费）

(8)SMTP协议

      称为简单邮件传输协议（Simple Mail Transfer Protocal）,它是一组用于由源地址到目的地址传送邮件的规则，用来控制信件的中转方式。

     SMTP协议属于TCP/IP协议族的应用层协议，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器，我们就可以把E-mail寄到收信人的服务器上

      SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转电子邮件。

(9)POP协议

     POP协议是邮局协议（Post  Office Protocol）的缩写，是一种允许用户从邮件服务器收发邮件的协议。

     POP3（Post Office Protocol3)即邮局协议的第3个版本，它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议，是因特网电子邮件的第一个离线协议标准。POP3允许用户从服务器上把邮件存储到本机主机，同时删除保存在邮件服务器上的邮件。

(10)匿名转发

     没有发件人信息的邮件：邮件的发件人可以隐瞒自己的电子邮箱地址和其他信息，或者通过某些方法给你一些错误的发件人信息。

(11)电子邮件“欺骗”

      电子邮件“欺骗”是在电子邮件中改变名字，使之看起来是从某地或某人发来的行为。

(12)反垃圾邮件技术

      过滤技术：关键词过滤、黑白名单、HASH技术、基于规则过滤、智能和概率系统

      验证查询

      挑战

      密码术：目前电子邮件在传输中使用的是SMTP协议，它不提供加密服务，攻击者可在邮件传输中截获数据；两种端到端的安全技术：PGP和S/MIME;主要功能就是身份的认证和传输数据的加密。

(13)PGP技术

      PGP是一个基于公开密钥加密算法的应用程序，该程序创造性在于把RSA公钥体系的方便和传统加密体系的高速度结合，并在数字签名和密钥认证管理机制上有巧妙的设计。

     特点：加密速度快、可移植性出色和源代码免费

(14)PGP加密算法

     公开密钥的混合加密，其加密算法包括四个方面

    a.一个单钥加密算法（IDEA）

   IDEA是PGP加密文件时使用的算法，发送者需要传送消息时，使用该算法加密获得密文，而加密使用的密钥将由随机数产生器产生。

   b.一个公钥加密算法（RSA）

    公钥加密算法用于生成用户的私人密钥和公开密钥、加密/签名文件。

   c.一个单向散列算法（MD5）

    为了提高消息发送的机密性，在PGP中，MD5用于单向变换用户口令和对信息签名，以保证信件内容无法被修改。

    d.一个随机数产生器，PGP使用两个伪随机数发生器，一个是ANSI X917发生器，另一个是从用户击键的时间和序列中计算熵值从而引入随机性。主要用于产生对称加密算法中的密钥。

(15）S/MIME：安全的多用途Internet电子邮件扩充，

(16)S/MIME同PGP比较

a.均利用单向散列算法和公钥与单钥的加密体系。

b.S/MIME的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证。

c.S/MIME将信件内容加密 签名后作为特殊的附件传送。

(17)数据库系统的安全需求：完整性、可靠性、有效性、保密性、可审计性及存取控制及用户身份鉴定。

(18)SQL注入攻击

      随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他向得知的数据，这就是所谓的SQL Injection,即SQL注入

七、网络攻击技术

       网络攻击的目标主要有两类：系统和数据，其所对应的安全性也涉及系统安全和数据安全两个方面。网络攻击分为主动攻击和被动攻击。

 (1)网络攻击的目标

       系统型攻击的特点是：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作。可能留下明显的攻击痕迹，用户会发现系统不能工作。

       数据型攻击的特点是：发生在网络的应用层，面向信息，主要目的是篡改和偷取信息，不会留下明显的痕迹。

(2)网络攻击的手段

      当前网络攻击采用的主要手段是利用目前网络系统以及各种网络软件的漏洞，比如基于TCP/IP协议本身的不完善、操作系统的种种缺陷等。防火墙设置不当；电子欺诈；拒绝服务；网络病毒；使用黑客工具软件；利用用户自己安全意识薄弱，比如口令设置不当；或直接将口令文件放在系统里。

(3)网络攻击的分类

       a.阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击（DoS）是典型阻塞类攻击。

       b.探测型攻击：主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。

       c.控制型攻击:是一类试图获得对目标机器控制权的攻击.最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击.

       d.欺骗类攻击:包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击.主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等.

       e.漏洞:系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问或提高其访问权限.针对扫描器发现的网络系统的各种漏洞是实施相应的攻击.

        f.破坏类攻击:指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段.

(4)什么是入侵行为?

         入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为.从更广泛的意义上讲,当入侵者试图在非授权的情况下在目标机上"工作"的那个时刻起,入侵行为就已经发生了.

(5)入侵者的目的

       执行进程、获取文件和数据、获取超级用户权限、进行非授权操作、使系统拒绝服务、篡改信息、批漏信息

(6)入侵者的类型

       伪装者:未经授权使用计算机或绕开系统访问控制机制获得合法用户账户权限者

       违法者:未经授权访问数据程序或资源的合法用户,或者具有访问授权但错误使用其权力的人.

       秘密用户:拥有账户管理权限,利用这种控制来逃避审计和访问数据,或者禁止收集审计数者

 (7)常用入侵手段

       口令攻击:入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统.入侵者登录后,便可以查找系统的其他安全漏洞,来得到进一步的特权.

        拒绝服务攻击:拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能提供正常的服务,甚至导致物理上的瘫痪或崩溃.

        控制型攻击:控制型攻击是一种试图直接对主机进行控制的攻击.(特洛伊木马:表面看是有用的软件工具,而实际上却在启动后暗中安装破坏性的软件;缓冲区溢出攻击:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行一段恶意代码,以达到攻击的目的)

       信息收集型攻击:扫描技术就是常用消息收集型攻击方法,ping扫描,端口扫描,操作系统检测等3类工具和技巧.

       假消息攻击:攻击者用配置不正确的消息来欺骗目标系统.

(8)漏洞及其成因

       计算机漏洞是指计算机系统具有的某种可能被入侵者恶意利用的属性.

(9)漏洞扫描技术

       漏洞扫描技术是指在攻击者渗透入侵到用户的系统前,采用手工或使用特定的软件工具-安全扫描器,对系统脆弱点进行评估,寻找可能对系统造成损害的安全漏洞,并且对目标系统进行漏洞检测和分析,提供详细的漏洞描述,并针对安全漏洞提出修复建议和安全策略,生成完整的安全性分析报告,为网络管理员完善系统提供重要依据.

(10)漏洞扫描技术分类

       主机漏洞扫描:从系统管理员的角度,检查文件系统的权限设置、系统文件配置等主机系统的平台安全以及基于此平台的应用系统的安全.目的是增强主机系统的安全性.

       网络扫描:采用模拟黑客攻击的形式对系统提供的网络应用和服务以及相关的协议等目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全的整体水平提供重要依据.

 (11)ARP的工作原理和ARP的缺陷

        ARP(Address Resolution Protocol,地址解析协议),是以太网中计算机直接通信必须使用的协议之一;

        在以太网中,每一个网络接口都有唯一的硬件地址,即网卡的MAC地址.MAC地址和IP地址间使用ARP和RARP协议进行相互转换.

(12)DoS(Denial of Service,拒绝服务)

       "拒绝服务"的主要攻击方式是传送大量要求确认的信息到服务器,使服务器里充斥着这种无用的信息.其中所有的信息都包含需要回复的虚假地址,以至于当服务器试图回传时,却无法找到用户,服务器于是暂时等候,等超过一分钟,然后服务器再切断连接,服务器切断连接时,黑客会再度传送新一批需要确定的信息,这个过程周而复始,最终导致服务器瘫痪.

 (13)服务器的缓冲区队列

      服务器不会再每次接收到SYN请求就立即同客户端建立连接,而是为连接请求分配一个内存空间,建立会话,并放到一个等待队列中.

      如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,它就会根据客户端IP,把这样的连接从缓冲区队列中清除掉.这不仅对IP欺骗有影响,而且也能被利用来做DOS攻击.

(14)DDoS(分布式拒绝服务)

        攻击是利用很多台计算机一起发动攻击;

八、计算机病毒及防范

 (1)计算机病毒定义

        计算机病毒是一个程序,一段可执行码.准确定义为:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码.

  (2)计算机病毒的特征

        不能作为独立的可执行程序运行、自我复制、通过执行宿主程序来激活病毒、跨平台

  (3)计算机病毒的分类

         根据感染对象来划分:引导型病毒、文件型病毒、网络型病毒和复合型病毒

         根据病毒的破坏程度划分:良性病毒、恶性病毒、极恶性病毒、灾难性病毒

         根据病毒的攻击方式划分:良性病毒源代码嵌入攻击型、代码取代攻击型、系统修改型、外壳附加型

         根据计算机病毒的功能来划分,常见病毒:感染型病毒(危害最大)、蠕虫病毒(传播载体多,传播能力强)、后门程序(远程操控)、木马病毒(隐藏、窃取)、病毒工具(网络媒介)、病毒生成器(拼积木形式)、搞笑程序(愚弄)

(4)VBS病毒

       VBS病毒感染、搜索文件的原理:首先将计算机病毒自身代码赋给字符串变量VBscopy;然后将这个字符串覆盖到目标文件并创建一个以目标文件名为文件名前缀,以vbs为扩展名的文件副本,最后删除目标文件.

(5)蠕虫病毒原理

        蠕虫病毒一般是由主程序和引导程序两部分构成.主程序成功入侵计算机后,就会读取网络公共配置文件,同时运行显示当前网络联机状态信息的计算机系统实用程序,来获取和染毒计算机联网的其他计算机的信息.这些计算机信息包含了一些系统的缺陷,蠕虫病毒正是利用这些系统缺陷,在这些远程计算机上建立病毒引导程序.

(6)蠕虫病毒特点

       独立性较强、寻找系统漏洞实施主动攻击、传播范围更广,传播速度更快、采用高明的方法进行伪装和隐藏和使用先进的技术.

(7)木马

       木马自行加载技术通过查看开放端口判断木马或其他黑客程序的方法.

九、防火墙技术.

(1)为什么需要防火墙?

        防黑客入侵、防病毒内网传播、访问控制、"隔离"屏障.

 (2)什么是防火墙?

       "防火墙"是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术;防火墙是在两个网络进行通信时执行的一种访问控制尺度,它被用来保护计算机网络免受非授权人员的骚扰,防止黑客的入侵.

(3)防火墙基本属性

       防火墙是不同网络或网络安全域之间信息流通过的唯一出入口,所有双向数据流必须经过它;只有被授权的合法数据,即防火墙系统中安全策略允许的数据,才可以通过.逻辑上,防火墙是一个分离器、限制器,也是一个分析器,他有效地监控了内网和internet之间的所有活动,保证内网安全.

 (4)防火墙的发展

       第一代"包过滤"防火墙,主要通过数据包源地址、目的地址、端口号等参数来决定是否允许改数据包通过,并对其进行转发.无法抵御IP地址欺诈攻击,缺少审计功能.

       第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接的作用.

       第三代"状态监控功能"防火墙,它可以对每一层的数据包进行检测和监控.

       第四代防火墙结合网络安全技术的发展,可以抵御目前常用的网络攻击手段,如IP地址欺诈,特洛伊木马,蠕虫,口令暴力搜索和邮件攻击等.

  (5)防火墙的分类

        按照数据处理方法进行分类:包过滤防火墙(静态包过滤、动态包过滤)、代理防火墙(代理防火墙、自适应代理防火墙)

(6)防火墙的功能

        网络安全屏障、强化网络安全策略、对网络存取和访问进行监控审计、防止内部信息外泄、保护内网安全

(7)防火墙通过如下4种技术来控制访问和执行安全策略

        服务控制——确定可以访问的网络服务类型,防火墙可以在IP地址和TCP端口号的基础上过滤通信量.

         方向控制——确定特定的服务请求通过防火墙流动的方向

         用户控制——根据哪个用户尝试访问服务来控制对于一个服务的访问.

         行为控制——控制怎样使用特定的服务.

(7)防火墙的局限性

        防火墙会限制有用的网络服务;无法防护内部网络用户的攻击;无法防范通过防火墙以外的其他途径的攻击；不能防止传送已感染病毒的软件或文件；防火墙无法防范数据驱动型的攻击；防火墙不能防备新的网络安全问题。

(8)分布式防火墙

       传统防火墙的不足：结构性限制（内外网的概念不好区分）、防外不防内（功能有限）、效率问题（容易形成网络瓶颈）、故障问题（单点故障）

      分布式防火墙：一种主机驻留式的安全系统，用于保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。

(9)分布式防火墙的结构

       主要以软件形式、“三层”过滤检查、中央策略管理服务器统一负责设置安全策略、与传统防火墙的边界不同；分布式防火墙是一个完整的系统，而不是一个单一产品，根据功能可以划分为如下几个部分：网络防火墙，主机防火墙，中心软件防火墙。

(10)分布式防火墙的特点

       主机驻留、嵌入操作系统、类似于个人防火墙

(11)分布式防火墙的优势

       适用于服务器托管（大数据中心）、增强了系统安全性（入侵检测）、消除了结构性瓶颈问题，提高了系统性能（单一的接入点）、随系统扩充（分布式特性）、应用更为广泛且支持VPN通信

(12)个人防火墙的主要功能

        防止Internet上用户的攻击、阻断木马及其他恶意软件的攻击、与其他安全产品进行集成和为移动计算机提供安全保护。

补充相关TCP/IP知识点

        TCP/IP（Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议）是指能够在多个不同网络间实施信息传输的协议簇。TCP/IP协议不仅仅指的是TCP和IP两个协议，而是指一个由FTP,SMTP,TCP,UDP,IP协议构成的协议簇，只是因为在TCP/IP协议中TCP协议和IP协议最具代表性，所以被称为TCP/IP协议。（应用层、传输层、网络层和链路层）

 十、入侵检测系统

   (1)入侵检测系统的定义

       入侵：不仅包括被发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机系统造成危害的行为。

       入侵检测：是对入侵行为的发觉，通过对计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。（系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注的是配置上的漏洞，且无法识别攻击）

       入侵检测系统：是探测计算机网络攻击行为的软件或硬件。作为防火墙的合理补充，它可以帮助网络管理员探查进入网络的入侵行为，从而扩展系统管理员的安全管理能力。

      IDS主要功能：检测并分析用户和系统的活动、检查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理，并识别违反安全策略的用户活动

  (2)入侵的方法和手段

      端口扫描与漏洞攻击、密码攻击、网络监听、拒绝服务攻击、缓冲区溢出攻击、欺骗攻击

  (3)IDS的通用模型CIDF

         

 信息收集：在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息；内容包括系统、网络、数据及用户活动的状态和行为；

(4)IDS信号分析手段

       模式匹配：将收集到的信息和已知的网络入侵和系统误用模式数据库进行对比。

       优点：准确、效率高

       缺点：需要不断更新，无法检测出未出现过的攻击

      统计分析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。任何观测值在正常范围之外的，就认为有入侵行为发生。

       优点：可检测到未知和更为复杂的入侵

       缺点：误报、漏报率高

      完整性分析：主要关注某个文件或对象是否被更改，通常采用强有力的加密机制（如Hash函数）来识别微小变换。

      优点：能发现攻击导致文件或对象发生的任何改变

      缺点：无法实时响应，只能事后分析。

(5)IDS常见的响应处理

      警告和事件报告；

      终止进程，强制用户推出；

      切断网络连接，修改防火墙设置；

      灾难评估，自动恢复；

      查找定位攻击者。

(6)IDS分类

IDS根据检测位置（数据来源）进行分类：

     基于网络的IDS：基于网络的IDS对数据包进行分析以探测针对网络的攻击，这种IDS嗅探网络数据包，这种IDS嗅探网络数据包，并将数据流与已知入侵行为的特征进行比较。

     优点：全网监控、满足各种性能需求；

     缺点：带宽要求：流量<探测器的处理能力；无法处理加密数据

    基于主机的IDS通过在主机或操作系统上检查有关信息来探测入侵行为，这种IDS通过系统调用，审计日志和错误信息等对主机进行分析。

     优点：确定一个攻击是否成功；利用主机自己的IP协议栈来防御对数据包分片重组、改变生存时间等基于网络的IDS时 

     缺点：网络监控的范围有限：不能检测针对主机的端口扫描；

     挑战：必须运行在网络的中所有操作系统上。

根据入侵检测技术分类：

     入侵检测技术对各种事件进行分析，从中发现违法安全策略的行为是IDS的核心功能。

特征检测：对于基于特征的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息，检测主要判别这类特征是否在所收集到的数据中出现。

异常检测：基于异常的检测技术则是先定义一组系统”正常“情况的数值，如CPU利用率、内存利用率和文件校验等（这类数值可以人为定义，也可以通过观察系统，并用统计的办法得出）数值，然后将系统运行时的数值与所定义的”正常“情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的”正常情况“。

根据检测原理分类：

      异常检测：基于模型的检测

      规则库检测：特征检测

      混合检测：启发式特征检测

根据体系结构分类：

      集中式：一个中央入侵检测服务器，多个审计程序；

      等级式（大型网络）

      协作式：可伸缩、安全性得到提高，开销增加。

(7)IDS的发展方向：强化对多种安全信息的收集功能，提高IDS的智能化分析和报告能力，与多种安全产品形成配合。只有这样，IDS才有可能成为网络安全的重要基础设施。

 (8)漏洞检测技术

 系统的漏洞可分为：

        网络传输和协议的漏洞；

        系统的漏洞；

        管理的漏洞；

        从系统本身的结构看，系统的漏洞可分为：安全机制本身存在的安全漏洞、系统服务协议中存在的安全漏洞、系统服务管理与配置的安全漏洞、安全算法，系统协议与服务现实中存在的安全问题。

 (9)漏洞检测技术采用两种策略，即主动式策略和被动式策略

       被动式策略是基于主机的检测， 对系统中不合适的设置、脆弱的密码以及其他同安全策略相抵触的对象进行检查

        主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录其反应，从而发现其中漏洞。

十一、网络安全协议

(1)安全协议概述

      又称密码协议，是建立在密码体制基础上的一种交互通信协议，运用密码算法和协议逻辑来实现认证和密钥分配等目标。

(2)TCP/IP的安全体系结构

     应用层：SNMP,PGP,S/MIME,PEM,SET.IKE,TELNET.HTTPS.X.509,RIPv2,SNMPv3,BGP-3

     传输层：SSL,TLS.TCP,UDP

     网络层：IPsec(AH),IPsec(ESP)

     链路层：PPTP.L2TP.PPP.L2F

(3)IPsec协议组的体系结构

       

(4)VPN概念

   

(5)VPN的基本要求

      用户验证、地址管理、数据加密、密钥管理、多协议支持

(6)远程连接方法

       利用拨号技术、VPN、无线连接

(7)什么是隧道技术 

       

十二、无线网络安全

          WLAN是指以无线信道作传输媒介的计算机局域网，是有线联网方式的重要补充和延申，并逐渐成为计算机网络中一个至关重要的组成部分，广泛适用于需要可移动数据处理或无法进行物理传输介质布线的领域。随着IEEE802.11无线网络标准的制定与发展，使无线网络技术更加成熟与完善，并已成功的广泛应用于众多行业。产品主要包括：无线接入点、无限网卡、无线路由器、无线网关、无线网桥等。

(1)无线网络分类

        按连接方式分类，点对点（AD-hoc）和Infrastructure

(2)WiFi特点及组成

         由AP和无线网卡组成无线网络。

(3)无线局域网的安全威胁

        网络窃听、AP中间人欺骗、WEP破解、MAC地址欺骗、窃取网络资源

十三、计算题汇总

1.Caesar

2.Vigenere密码

 3.Playfair密码

4.Hill密码

5.

结果为：01110000 

6..

 

 7.列混淆

  

8.数字签名练习

 

十四、简答题汇总

1.对称密码体制的优缺点

      优点：加密解密速度块，保密度高（算法公开、计算量小，加密效率高）

      缺点：如何安全传递密钥、

       多人分发需要的密钥数量会急速增加、

       通信双方必须统一密钥，才能够发送保密的信息、

       数字签名困难（接收方可以伪造签名，发送方也可以否认发送过某消息）

2.AES算法的加密流程

3.DES算法的加密流程

4.公钥密码体制模型的运行过程（查、公钥加密算法、不安全信道、私钥解密）

       发送方A 查找接收方B的公钥

       A采用公钥加密算法用B的公钥对明文进行加密

       A通过不安全信道将密文发送给B

       B 受到密文后使用自己的私钥对密文解密还原出明文

5.入侵检测系统的主要功能（配置漏洞、资源数据完整性、两活动两行为）

        检测并分析用户和系统的活动、

        检查系统配置和漏洞、

        评估系统关键资源和数据文件的完整性、

        识别已知的攻击行为、

         统计分析异常行为、

         操作系统日志管理，并识别违反安全策略的用户活动

6.数据加密系统的加密过程

        就是通过加密系统把原始的数字信息(明文)，按照加密算法变换成与明文完全不同的数字信息 (密文)的过程

7.入侵检测系统分析IDS分析手段及优缺

模式匹配：将收集到的信息和已知的网络入侵和系统误用模式数据库进行对比。

       优点：准确、效率高

       缺点：需要不断更新，无法检测出未出现过的攻击

 统计分析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。任何观测值在正常范围之外的，就认为有入侵行为发生。

       优点：可检测到未知和更为复杂的入侵

       缺点：误报、漏报率高

 完整性分析：主要关注某个文件或对象是否被更改，通常采用强有力的加密机制（如Hash函数）来识别微小变换。

      优点：能发现攻击导致文件或对象发生的任何改变

      缺点：无法实时响应，只能事后分析。

8.什么是攻击？常见的攻击方法

       定义：是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。（所有可能使一个网络受到破坏的行为都被称为攻击）

      攻击方法：口令入侵、后门软件攻击、监听法、E-mail技术、电子欺骗、DoS

9.网络安全防范的基本措施

      安装防火墙、设置访问控制、采用数据加密、加强入侵检测、阻断传播途径、提高人员素质

10.常见的口令攻击技术

        弱口令、字典攻击、爆破、木马窃取

11.常见的Dos攻击方法

       TCP SYN Flood攻击

       IP欺骗攻击

       带宽攻击

12.入侵检测系统的工作原理与流程

 信息收集：

        在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息；内容包括系统、网络、数据及用户活动的状态和行为；

信息分析

         模式匹配、统计分析、完整性分析；

13.入侵检测系统IDS常见的响应处理

      警告和事件报告；

      终止进程，强制用户推出；

      切断网络连接，修改防火墙设置；

      灾难评估，自动恢复；

      查找定位攻击者。

14.计算机病毒的特点

        不能作为独立的可执行程序进行运行

        通过执行宿主程序来激活病毒

        自我复制

        跨平台

15.常见网络病毒防范措施

        加大宣传力度，强化公众的信息安全意识

        运用多种网络安全技术，为公众信息设置安全保障

         运用数据加密技术，加强网络通信安全

        加强信息安全技术管理，切实做到安全使用网络

        健全网络安全制度，强化网络安全

16.信息隐藏的特点及主要研究内容

特点：

      鲁棒性：伪装对象对隐藏信息的“兼容性”

      不可检测性：好的统计特性，无法判断是否有隐藏信息

      透明性：目标数据没有明显变化

     安全性：隐藏算法有较强的抗攻击能力

      自恢复性：少量的数据信息、恢复出隐藏信息

研究内容：

     信息隐藏算法、数字水印、隐密通道技术、匿名通信

17.数字水印技术的特点及应用

特点：

       安全性：难以篡改或伪造；较低的误检测率；数字水印随内容发生变化

       隐蔽性：不可感知，不降低使用价值

       鲁棒性：经历多种无意或有意的信号处理过程后，数字水印仍能保持部分完整性并能被准确鉴别。

       水印容量：有足够的水印容量，即载体在不发生形变的前提下可嵌入的水印信息量。

应用：

       版权保护：表明对数字产品的所有权；

       数字指纹：用于防止数字产品被非法复制和散发；

       认证和完整性校验：验证数字内容未被修改或假冒

        内容标识和隐藏标识：多媒体内容检索

       内容保护：保护内容不被滥用

18.数字水印的性能评价 （感破主客平）

       不可感知性、

        对载体的破坏程度、

        主观评价

        客观评价、

        水印容量、不可感知性、健壮性三者之间的平衡。

19.防火墙的功能与作用（屏障，策略，监控审计，内内）

功能：

        网络安全屏障、

        强化网络安全策略、

       对网络存取和访问进行监控审计、

       防止内部信息外泄、

       保护内网安全

作用：

       防黑客入侵

       防内网传播

        访问控制

        隔离屏障

20.分布式防火墙的优势有哪些（托安结扩vpn）

       适用于服务器托管（大数据中心）、

       增强了系统安全性（入侵检测）、

       消除了结构性瓶颈问题，提高了系统性能（单一的接入点）、

        随系统扩充（分布式特性）、

        应用更为广泛且支持VPN通信

21.VPN的关键技术(隧认加密)

       隧道化协议：隧道技术是分组封装的技术，它是VPN实现以内部网地址通信与多协议通信的重要功能

      认证技术：认证技术可以防止数据被伪造和篡改，采用一种被称为“摘要”的技术

       加密技术：IPSec通过ISAKMP/IKE/Oakely协商确定几种可选的数据加密算法，如DES,3DES

      密钥交换与管理：通过手工配置的方式；采用密钥交换协议动态分发。