2022年《网络安全技术 .pdf

网络安全技术第一章网络安全概论1.1 网络安全的概述1.1.1 网络安全案例1.1.2 网络安全的含义1.1.3 安全网络的特征1.1.4 网络的安全威胁1.2 网络安全体系结构1.2.1 OSI 安全服务1.2.2 OSI 安全机制1.2.3 OSI 安全服务的层配置1.3 网络安全体系结构模型第二章网络安全协议2.1 基本协议的安全2.1.1 物理层协议的安全2.1.2 数据链路层协议的安全2.1.3 网络层协议的安全2.1.4 传输层协议的安全2.2 高级协议的安全2.2.1 SMTP 协议的安全2.2.2 FTP 协议的安全2.2.3 HTTP 协议的安全2.2.4 TELNET 协议的安全2.2.5 DNS 协议的安全2.2.6 SNMP 协议的安全2.2.7 Finger 和 Whois 协议的安全第三章操作系统安全技术与应用3.1 操作系统的安全问题3.1.1 操作系统安全概念3.1.2 计算机操作系统安全评估3.1.3 国内的安全操作系统评估3.1.4 操作系统的安全配置3.1.5 操作系统的安全漏洞3.2 操作系统安全配置实验3.2.1 用户安全配置3.2.2 密码安全配置3.2.3 系统安全配置3.2.4 服务安全配置3.2.5 注册表配置3.2.6 数据恢复软件第 4 章信息加密技术4.1 概述4.1.1数据加密技术4.112数据加密算法名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 10 页 - - - - - - - - - 4.1.3数据加密技术的发展. 4.2数据加密标准DES 与 IDEA 4.2.1数据加密标准DES 思想4.2.2IDEA 算法4.3公开密钥算法4.3.1RSA 公开密钥密码系统4.3.2RSA 的实用性4.3.3RSA 的实用考虑4.4计算机网络的加密技术4.4.1链路加密4.4.2节点加密4.4.3端到端加密4.5密钥管理与交换技术4.5.1密钥的管理问题4.5.2 Diffie.Hellman密钥交换技术4.5.3RSA 密钥交换技术4.6密码分析与攻击4.6.1基于密文的攻击4.6.2基于明文的密码攻击4.6.3中间人攻击4.7信息加密解密应用实验第 5 章数字签名技术与CA 认证技术3.1 PKI 的概述3.1.1 什么是 PKI 3.1.2 为什么需要PKI 3.1.3 PKI 的功能3.1.4 PKI 技术发展现状及趋势3.2 PKI 的组成3.2.1 证书签发机构3.2.2 证书注册机构3.2.3 证书库3.2.4 密钥备份及恢复3.2.5 证书废除处理系统3.2.6 应用系统接口3.3 PKI 的信任模式3.3.1 什么是 ” 信任 ”3.3.2 级连模式3.3.3 网状模式3.3.4 混合模式3.3.5 桥接模式3.3.6 多根模式3.4 PKI 技术标准3.4.1 ITU-T X.509及相关标准名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 10 页 - - - - - - - - - 3.4.2 PKIX 系列标准3.4.3 WPKI 标准3.4.4 PMI 标准3.5 PKI 的应用3.5.1 Web 安全3.5.2 安全电子邮件3.5.3 VPN 3.5.4 PKI 案例第 6 网络病毒与防治第 7 章 网络攻击与防范技术第 8 章防火墙技术4.1 防火墙的概述4.1.1 防火墙的概念4.1.2 防火墙的历史4.1.3 防火墙的功能4.2 防火墙体系结构4.2.1 双路由器体系结构4.2.2 双端口主机体系结构4.2.3 筛选主机体系结构4.2.4 筛选子网体系结构4.3 防火墙技术4.3.1 包过滤技术4.3.2 应用网关技术4.3.3 电路网关技术4.3.4 状态检测技术4.4 常见防火墙4.4.1 网络层防火墙4.4.2 应用层防火墙4.5 防火墙产品的选购4.5.1 防火墙选型的基本原则4.5.2 防火墙产品选型的具体标准4.6 防火墙发展的新技术趋势4.6.1 新需求引发的技术走向4.6.2 黑客攻击引发的技术走向第 9 章入侵检测技术5.1 入侵检测的概述5.1.1 入侵检测的产生与发展5.1.2 入侵检测的概念5.1.3 入侵检测的作用5.1.4 研究入侵检测的必要性5.2 入侵检测系统的设计原理5.2.1 基于主机入侵检测系统5.2.2 基于网络入侵检测系统5.3 入侵检测的分类名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 10 页 - - - - - - - - - 5.3.1 按照数据来源分类5.3.2 按照分析（或检测）方法分类5.3.3 按照系统各模块的运行方式分类5.4 蜜罐和蜜网技术5.4.1 蜜罐技术5.4.1.1 什么是蜜罐5.4.1.2 蜜罐的特点5.4.1.3 蜜罐的主要技术5.4.2 蜜网技术5.4.2.1 什么是蜜网5.4.2.2 蜜网的特点5.4.2.3 蜜网的主要技术5.4.3 蜜罐蜜网的研究方向5.4.3.1 动态蜜罐5.4.3.2 蜜场5.4.3.3 Honeytoken 5.4 入侵检测产品的选购标准5.5 入侵检测系统的发展趋势5.5.1 分布式入侵检测与CIDF 5.5.2 智能入侵检测第10 章 VPN 技术6.1 VPN 的概述6.1.1 VPN 的概念6.1.2 VPN 的特点6.1.3 VPN 的体系结构6.1.4 VPN 的应用领域6.2 VPN 的分类6.2.1 传统的 VPN 6.2.2 基于用户设备的VPN 6.2.3 提供者指配的VPN 6.2.4 基于会话的VPN 6.3 实现 VPN的技术6.3.1 实现 VPN的隧道技术6.3.2 实现 VPN 的隧道协议6.3.3 实现 VPN 的加密技术6.3.4 实现 VPN 的 QoS 技术 6.4 VPN产品的选购标准6.4.1 优秀 VPN的基本素质6.4.2 VPN 的选购方法 6.5 VPN的发展趋势6.5.1 协议标准的同化趋势6.5.2 VPN 在无线网中的应用第 11章无线网技术名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 10 页 - - - - - - - - - 7.1 无线网的概述7.1.1 无线网的发展7.1.2 无线网的概念7.1.3 无线网的特点7.1.3 无线网的应用7.2 无线网的安全7.2.1 无线网的协议7.2.2 WEP 协议7.2.3 无线网的安全威胁7.2.4 无线网的安全防范7.3 局域无线网的安全搭建7.3.1 局域无线网设备选型7.3.2 局域无线网的技术指标7.3.3 局域无线网的拓扑规划7.3.4 局域无线网的实施方案第 12 章 电子商务安全技术12.1 电子商务的安全要求12.1.1 电子商务所面临的安全问题12.1.2 电子商务的安全需求12.1.3 电子商务的安全内容12.2 电子商务的安全技术（常见的病毒防范技术、身份识别技术、防火墙技术、VPN ）12.3 交易安全技术（加密技术、信息摘要、数字签名、数字证书及CA 认证）12.4 电子商务交易的安全标准（安全套接层协议SSL 及 SET 协议）第 13 章网络安全评估计算机网络安全教程前言第一章网络安全概述与环境配置第二章网络安全协议基础第三章网络安全编程基础名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 10 页 - - - - - - - - - 第四章网络扫描与网络监听第五章网络入侵第六章网络后门与网络隐身第七章操作系统安全配置方案第八章密码学与信息加密第九章防火墙与入侵检测第十章网络安全方案设计投稿者 :刘棣华教授数据库系统安全技术框架综述作者：林育生曹磊 张尧弼1. 前言随着计算机技术的飞速发展， 数据库的应用十分广泛， 深入到各个领域， 但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体， 是计算机信息系统的核心部件，其安全性至关重要， 关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性， 已经成为业界人士探索研究的重要课题之一，本文就安全防入侵技术做简要的讨论。数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、 应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次： 网络系统层次； 宿主操作系统层次； 数据库管理系统层次。这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 10 页 - - - - - - - - - 2. 网络系统层次安全技术从广义上讲，数据库的安全首先倚赖于网络系统。随着Internet的发展普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来， 面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础， 数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。 网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合，具有以下特点：a）没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便；b）通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强；c）入侵手段更加隐蔽和复杂。计算机网络系统开放式环境面临的威胁主要有以下几种类型：a) 欺骗（Masquerade ）；b)重发(Replay) ；c) 报文修改 (Modification of message)；d) 拒绝服务 (Deny of service)；e) 陷阱门 (Trapdoor) ；f) 特洛伊木马 (Trojan horse) ；g) 攻击如透纳攻击（ Tunneling Attack ）、应用软件攻击等。这些安全威胁是无时、无处不在的，因此必须采取有效的措施来保障系统的安全。从技术角度讲， 网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、协作式入侵检测技术等。防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线， 其主要作用是监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成一道防护屏障， 拦截来自外部的非法访问并阻止内部信息的外泄，但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出，但无法动态识别或自适应地调整规则，因而其智能化程度很有限。防火墙技术主要有三种：数据包过滤器(packet filter)、代理(proxy) 和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。入侵检测。入侵检测 (IDS- Instrusion Detection System)是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法， 其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 1987年，Derothy Denning 首次提出了一种检测入侵的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，IDS 系统已经成为安全防御系统的重要组成部分。入侵检测采用的分析技术可分为三大类：签名、统计和数据完整性分析法。签名分析法。 主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名， 编写到 IDS系统的代码里。 签名分析实际上是一种模板匹配操作。统计分析法。 以统计学为理论基础， 以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。数据完整性分析法。 以密码学为理论基础， 可以查证文件或者对象是否被别人修改过。IDS的种类包括基于网络和基于主机的入侵监测系统、基于特征的和基于非正常的入侵监测系统、实时和非实时的入侵监测系统等。协作式入侵监测技术独立的入侵监测系统不能够对广泛发生的各种入侵活动都做出有效的监测名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 10 页 - - - - - - - - - 和反应，为了弥补独立运作的不足， 人们提出了协作式入侵监测系统的想法。在协作式入侵监测系统中， IDS 基于一种统一的规范，入侵监测组件之间自动地交换信息，并且通过信息的交换得到了对入侵的有效监测，可以应用于不同的网络环境。3. 宿主操作系统层次安全技术操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT 和 Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、 账户锁定策略、审核策略、 IP 安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项 7 。具体可以体现在用户账户、口令、访问权限、审计等方面。用户账户：用户访问系统的身份证 ，只有合法用户才有账户。口令：用户的口令为用户访问系统提供一道验证。访问权限：规定用户的权限。审计：对用户的行为进行跟踪和记录， 便于系统管理员分析系统的访问情况以及事后的追查使用。安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、 网络环境需要采取的安全管理策略一般也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。数据安全主要体现在以下几个方面：数据加密技术、 数据备份、 数据存储的安全性、数据传输的安全性等。可以采用的技术很多，主要有Kerberos 认证、IPSec、SSL 、TLS 、VPN （PPTP 、L2TP ）等技术。4. 数据库管理系统层次安全技术数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大， 则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统， 其安全性功能很弱， 这就导致数据库系统的安全性存在一定的威胁。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。 这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是 B2级的安全技术措施。数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。 解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理， 使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。我们可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS 内核层和 DBMS 外层。在 OS层加密。在 OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。在 DBMS 内核层实现加密。这种加密是指数据在物理存取之前完成加/ 脱密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS 的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 10 页 - - - - - - - - - 功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载， 而且 DBMS 和加密器之间的接口需要DBMS开发商的支持。定义加密要求工具DBMS 数据库应用系统加密器（软件或硬件）在 DBMS 外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/ 脱密处理：定义加密要求工具加密器（软件或硬件）DBMS 数据库应用系统采用这种加密方式进行加密，加/ 脱密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。下面我们进一步解释在DBMS 外层实现加密功能的原理：数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加 / 脱密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加/ 脱密引擎实现对数据库表的加密、脱密及数据转换等功能。 数据库信息的加 / 脱密处理是在后台完成的，对数据库服务器是透明的。加密字典管理程序加密系统应用程序数据库加脱密引擎数据库服务器加密字典用户数据按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作；其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能；第三，加解密处理在客户端进行，不会影响数据库服务器的效率。数据库加 / 脱密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加/ 脱密处理，对应用开发人员和操作人员来说是透明的。数据加/ 脱密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中， 通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加 / 脱密引擎由三大模块组成： 加/ 脱密处理模块、 用户接口模块和数据库接口模块， 如图 4 所示。其中，数据库接口模块 的主要工作是接受用户的操作请求，并传递给 加/ 脱密处理模块 ，此外还要代替 加/ 脱密处理模块 去访问数据库服务器，并完成外部接口参数与加/ 脱密引擎内部数据结构之间的转换。 加/ 脱密处理模块 完成数据库加 / 脱密引擎的初始化、 内部专用命令的处理、 加密字典信息的检索、加密字典缓冲区的管理、SQL命令的加密变换、查询结果的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 10 页 - - - - - - - - - 脱密处理以及加脱密算法实现等功能，另外还包括一些公用的辅助函数。数据加 / 脱密处理的主要流程如下：1） 对 SQL命令进行语法分析，如果语法正确，转下一步；如不正确，则转6），直接将 SQL命令交数据库服务器处理。2） 是否为数据库加 / 脱密引擎的内部控制命令？如果是，则处理内部控制命令，然后转 7）；如果不是则转下一步。3） 检查数据库加 / 脱密引擎是否处于关闭状态或SQL命令是否只需要编译？如果是则转 6），否则转下一步。4） 检索加密字典，根据加密定义对SQL命令进行加脱密语义分析。5） SQL命令是否需要加密处理？如果是，则将SQL命令进行加密变换，替换原 SQL命令，然后转下一步；否则直接转下一步。6） 将 SQL命令转送数据库服务器处理。7） SQL命令执行完毕，清除SQL命令缓冲区。以上以一个例子说明了在DBMS 外层实现加密功能的原理。5. 结束语本文对数据库系统安全防入侵技术进行综述，提出了数据库系统的安全体系三个层次框架，并对三个层次的技术手段展开描述。文中还以在DBMS 外层实现加密功能的原理为例，详细说明了如何应用数据库管理系统层次的安全技术。数据库系统安全框架的三个层次是相辅相承的，各层次的防范重点和所采取的技术手段也不尽相同， 一个好的安全系统必须综合考虑核运用这些技术，以保证数据的安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 10 页 - - - - - - - - -