网络安全浅谈最新文档.doc

《网络安全浅谈最新文档.doc》由会员分享，可在线阅读，更多相关《网络安全浅谈最新文档.doc（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全浅谈最新文档(可以直接使用，可编辑 最新文档，欢迎下载）中国 大学信息技术导论课论文论文题目 网络安全浅谈学生姓名学生学号学生班级所在院系日期 2021年5月网络安全浅谈摘要：本文主要阐述的网络安全产生的定义，以及网络安全所包含的内容，详细论述了威胁网络安全的因素，还有如何保证网络安全和作为计算机的使用者维护网络安全的措施关键词：网络安全，网络攻防，病毒，安全策略，发展方向随着计算机网络的高速发展，网络在整个社会中扮演着重要的角色，它不仅涉及到人们的日常生活，同时也涉及到国家的政治，经济文化以及军事。但是伴随着网络的发展，网络安全的问题也日益严重，现阶段网络安全已经成为一个重要的研究课

2、题，本文论述网络安全的各个方面，对网络安全有个全面的认识。1. 网络安全的定义及属性1.1 网络安全的定义网络安全是指保护网络系统的硬件、软件及其数据受偶然或者恶意的原因所导致的破坏、更改、泄露，使系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的机密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。1.2 网络安全基本属性11.11.21.2.1 机密性防止非法获取关键的敏感信息，避免机密信息的泄露。通常采用加密来保证数据的机密性。1.2.2 完整性完整性包括软件完整性和数据完整性两方面内容。软件完整

3、性：防止对程序的修改，如病毒和特洛伊木马；数据完整性：保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏，保持数据整体的完整。 1.2.3 可用性可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应，即无论何时，只要用户需要，系统和网络资源必须是可用的；保证可用性的难点：在系统软件和上层应用软件中出现了大量的问题和漏洞；解决办法：解决网络和系统中存在的各种破坏可用性的问题，选择可靠的网络设备、编写更为强壮的软件。1.2.4 可控性对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控，如密码的托管政策。2. 网络安全所面临的威胁22.1 黑客攻击黑客是利

4、用技术手段进入其权限以外的电脑系统的非法侵入者。一般的黑客攻击方法有：猎取访问路线，探索系统漏洞；猎取口令；强力闯入；偷取额外特权；使用一个结点作为中继，攻击其它结点；引入“特洛伊木马”软件掩盖其真实企图；引入命令过程或程序“蠕虫”，希望把自己寄生在特权用户上；进行突破网络防火墙行动；通过隐蔽信道进行非法活动；清理磁盘等。122.12.2 口令攻击UNIX操作系统通常用一个普通用户可以阅读的文件保存了口令的密文。这样，一个普通用户或攻击者可以用简单拷贝的方法来获取这个重要的文件。一旦攻击者获得这些文件，他们就可以运行口令攻击程序。如果用户口令强度不高，比如小于8个字符，或者是一个英文单词，那么

5、攻击者就获得正确的口令访问系统了。2.3 路由攻击路由攻击的方式主要有：注入假的路由到路由系统；从定向业务流到黑洞；从定向业务留到慢的链接；从定向业务流到可以分析与修改的地址。2.4 特洛伊木马特洛伊木马是在其所攻击对象系统内部隐藏了某种隐蔽功能的程序，并不传染，但“木马”投放者可利用其隐藏的功能达到自己的目的，如寻找网络上的漏洞或窃取某些信息。2.5 后门调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。维护后门：为方便远程维护所设置的后门，被黑客恶意利用。恶意后门：由设计者故意设置的机关，用以监视用户的秘密乃至破坏用户的系统。2.6 信息丢失、篡改、销毁具体的有如下几种情况：信

6、息在传输过程中丢失；信息在存储过程中丢失；改变信息流的次序、时序、流向；未授权篡改、销毁信息内容。2.7 计算机病毒122.12.22.32.42.52.62.72.7.1 计算机病毒简介计算机病毒是指编造者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。计算机病毒一般具有破坏性，它能降低计算机或网络系统正常的工作效率，窃取数据及口令、假冒合法用户、获取访问特权，修改、删除数据，破坏硬盘、摧毁系统。2.7.12.7.2 计算机病毒的分类计算机病毒按照感染的对象不同分类可以分为：引导型病毒，如Monkey、CMOS destronger等；

7、文件型病毒，例如Hongkong、宏病毒、CIH等；混合型病毒，例如One half、V3783等。按照感染系统不同分类分为：DOS病毒，如Stone、“幽灵”、“黑色星期五等；宏病毒，如Tw No.1、Setmd、CAP等；Windows95/98病毒，如CIH病毒。2.7.3 计算机病毒传播途径1、由软盘、ROM、硬盘等介质引起的病毒传播;2、由计算机网络通信引起的病毒传播;3、通过文件交换进行传播的 Armagidon（Word 宏病毒）；4、通过电子邮件的附件传播的BO病毒、爱虫（I LOVE YOU）病毒；5、通过Internet的聊天室传播，并能实施远程控制的计算机病毒Babylo

8、nia；6、通过点对点通信系统和无线通道传播；7、调制解调器、无线电收发机、串并接口。2.8 分布式拒绝服务攻击122.12.22.32.42.52.62.72.82.92.10攻击方式：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。于是服务器暂时等候(有时超过一分钟)，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。122.12.22.32.42.52.62.72.82.92.102.10.12.9 利用电磁辐射窃取信息22.

9、112.9.1 窃取原理：信息系统在输入、输出、加工处理信息过程中，必然会产生电磁辐射。在离工作间几十米甚至上百米处就可探测到计算机等设备的工作状况。收集到的电磁辐射信号,通过专用仪器就能还原成正在处理的信息和显示装置上正在显示的内容，轻而易举窃取到秘密信息。1.2.2.12.22.32.42.52.62.72.82.92.102.112.122.12.13. 网络安全策略1233.1加强网络安全教育和管理：对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题，进行安全教育，提高工作人员的安全观念和责任心；加强业务、技术的培训，提高操作技能；教育工作人员严格遵守操作规程和各项保密规定，

10、防止人为事故的发生。同时，要保护传输线路安全。对于传输线路，应有露天保护措施或埋于地下，并要求远离各种辐射源，以减少各种辐_射引起的数据错误；线缆铺设应当尽可能使用光纤，以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况，以检测是否有搭线窃听、非法外连或破坏行为。3.2 运用网络加密技术：网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密数据传输主要有三种：1、链接加密。在网络节点间加密，在节点间传输加密的信息，传送到节点后解密，不同节点间用不同的密码。2、节点加密。与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加

11、密硬件进行解密和重加密，这种专用硬件通常放置在安全保险箱中。3、首尾加密。对进入网络的数据加密，然后待数据从网络传送出后再进行解密。网络的加密技术很多，在实际应用中，人们通常根据各种加密算法结合在一起使用，这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击，又可以防止非授权用户的访问。3.3 加强计算机网络访问控制：访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非正常访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全

12、控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同，可灵活地设置访问控制的种类和数量。3.4 使用防火墙技术：采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制，并且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效地监控内部网和In

13、ternet 之间的任何活动，保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行，它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。4.总结总之，网络安全是一个综合性的课题，涉及技术、管理、使用等诸多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施。因此，只有综合采取多种防范措施，制定严格的保密政策和明晰的安全策略，才能完好、实时地保证信息的机密性、完整性和可用性，为网络提供强大的安全保证。网络安全网络安全基础一、信息安全管理基础1.1 信息安全概述1。1。1 信息安全面临的主要问题1、人员问题：

14、信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题 特权人员越权访问,如：系统管理员，应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等2、技术问题： 病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作3、法律方面 网络滥用：员工发表政治言论、访问非法网站 法制不健全，行业不正当竞争(如：窃取机密，破坏企业的业务服务）1.1。2 信息安全的相对性安全没有100%,完美的健康状态永远也不能达到。安全工作的目标：将风险降到最低.第2章计算机病毒及防范技术2.1计算机病毒介绍2.1。1 计算机病毒定义什么是病毒

15、?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。 什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序2。1.2 计算机病毒起源和发展史计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出1983年 美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。 1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、

16、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 、1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2。1.3 传统计算机病毒分类传统计算机病毒分为: 引导型病毒 DOS病毒 Windows病毒 宏病毒 脚本病毒2.1。4 现代计算机病毒介绍特洛伊木马：特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。玩笑程序:玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计

17、算机用户开玩笑.这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。病毒或恶意程序Droppers：病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后,可以感染文件和对系统造成破坏。后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略.DDos攻击程序：DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。如下图所示：图：DDOS攻击示意图2.1。5 网络病毒介绍网络病毒的概念：利用网络协议及网络的体系结构作为传

18、播的途径或传播机制,并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害:破坏性强、传播性强、针对性强、扩散面广、传染方式多网络病毒同黑客攻击技术的融合为网络带来了新的威胁.攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力.网络攻击的程序可以通过病毒经由多种渠道广泛传播,攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。2.2计算机病毒分析与防护2。2.1 病毒的常见症状及传播途径（一）病毒的常见症状 电脑运行比平常迟钝 程序载

19、入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少 可执行程序的大小改变了 内存内增加来路不明的常驻程序 文件奇怪的消失 文件的内容被加上一些奇怪的资料 文件名称，扩展名，日期，属性被更改过（二）病毒的常见传播途径 文件传输介质：例如CIH病毒,通过复制感染程序传播 电子邮件:例如梅丽莎病毒,第一个通过电子邮件传播的病毒 网络共享：例如WORM_OPASERV。F病毒可以通过网络中的可写共享传播 文件共享软件:例如WORM_LIRVA。C病毒可以通过Kazaa点对点文件共享软件传播2.2.2 病毒传播或感染途

20、径病毒感染的常见过程:通过某种途径传播，进入目标系统，自我复制，并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。 打开后门等待连接 发起DDOS攻击 进行键盘记录除引导区病毒外,所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。1、利用电子邮件感染病毒:邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快2、利用网络共享感染病毒： 病毒会搜索本地网络中存在的共享，如ADMIN$ ，IPC$，E ,D$,C 通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表 将自身复制到网络共享

21、文件夹中，通常以游戏，CDKEY等相关名字命名 利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT 等病毒3、利用P2P共享软件感染病毒： 将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装，诱使用户下载 WORM_PEERCOPY。A等病毒4、利用系统漏洞感染病毒: 由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。 病毒往往利用系统漏洞进入系统, 达到快速传播的目的。 常被利用的漏洞： RPCDCOM 缓冲区溢出 （MS03

22、-026) Web DAV （MS03-007) LSASS (MS04-011）2.2。3 病毒自启动方式 修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件 自动加载 服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件注册表项目之注册表启动项:l HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOncel HKEY_CURRENT_USERSoft

23、wareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices以上这些键一般用于在系统启动时执行特定程序。注册表项目之文件关联项:HKEY_CLASSES_ROOT下： exefileshellopencommand =”%1” * comfileshellopencommand =”1 ” batfileshellopencommand =%1 * htafileShellOpenCommand =”1 %” piffileshellopencommand =”1 %* 病毒将1 改为 “virus。exe 1 %” virus.ex

24、e将在打开或运行相应类型的文件时被执行注册表项目之系统服务项：在如下键值下面添加子键即可将自身注册为服务,随系统启动而启动：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项目之BHO项在如下键值下面添加子键(ClSID键)即可将自身注册为BHO,随IE浏览器启动而启动：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects将自身添加到启动文件夹： 当前用户的启动文件夹 可以通过如下注册表键获得： SoftwareMicr

25、osoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项 公共的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。2。2.4 病毒的隐性行为 下载特性 自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控

26、 信息收集特性 收集私人信息，特别是帐号密码等信息，自动发送 自身隐藏特性 使用Rootkit技术隐藏自身的文件和进程 文件感染特性 感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。 典型 PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击2.2。5 计算机病毒防御图：计算机病毒防御体系图例（一）计算机病毒手工处理 重装系统? 系统还原？ Ghost还原？ 大多数情况下,可以直接根

27、据经验来迅速清除各种病毒 木马病毒和后门程序 间谍软件、广告软件和灰色软件 蠕虫病毒 文件型病毒母体 处理过程包括 修复病毒修改的注册表/文件内容 删除病毒文件病毒处理建议步骤： 处理病毒问题时,若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除注册表主键/键值的情况,也可能出现删除注册表键值或文件后，被删除的内容会再次出现的情况. 最好在安全模式下操作 终止所有可疑进程和不必要的进程 关闭系统还原（二）检查注册表中常见的病毒自动加载项 检查启动项: 删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值，可将该键值删除。 HKEY_LOCAL_MACHINESOFTWAREMi

28、crosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 检查服务: 在控制面板-管理工具服务中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性,检查服务所指向的文件。随后可以检查该文件是否为正常文件（文件检查方法稍后会介绍）。对于不正常的服务，可直接在注册表中删除该服务的主键。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 检查Winlogon加载项 在注册表中检查Winlogon相关加载项: H

29、KEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = Explorer.exe (默认） Userinit=C：WINDOWSsystem32userinit.exe,（默认) 以上Shell和Userinit键值为默认,若发现被修改，可直接将其修改为默认键值。 检查Winlogon加载项 在注册表中检查Winlogon Notify相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在No

30、tify下会有多个主键（目录)，每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的DLL文件时，请先确认其指向的DLL是否正常。若不正常，可直接删除这个主键. 检查其他加载项 在注册表中检查以下注册表加载项键值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs = “ HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Load = “” 该键值默认为空.若键值被修改,可直接将键值内容

31、清空。（三）检查注册表中的BHO项 检查Browser Help Object（BHO）项 BHO项在注册表中包含以下主键的内容： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID 可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时,可直接删除以上注册表路径下所有包含了该CLSID的主键。 使用Hijackthis工具可以迅速有效的分析系统中

32、的BHO项。(四）查看系统中的可疑文件 如何判断文件是否可疑？ 查看文件版本信息 Google之 所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信息异常，则可判断为可疑文件。 如何迅速查找这些可疑文件？ %SystemRoot %SystemRootSystem32 %SystemRootSystem32drivers 对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件： 可执行文件 。EXE，。COM,.SCR,.PIF DLL文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。

33、若为乱码，则可疑。病毒文件被隐藏,如何查找？ 工具-文件夹选项 选择“显示所有文件 取消“隐藏受保护的系统文件” 仍然无法显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue = 2DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue = 1

34、DefaultValue = 2（五）检查并修复host文件 修复被病毒修改的host文件 一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。 检查文件: %SystemRoot%System32driversetchost 使用文本编辑工具打开该文件检查。默认该文件包含一条host记录 127.0.0。1 localhost 若有其他可疑的host记录,可以直接删除多余的记录(六）删除所有临时文件 病毒经常存在于临时目录中 SystemRoot%Temp C:Temp Internet临时文件 C:Documents and Settin

35、gs用户名Local SettingsTemp 清空所有以上的目录（七)病毒防护常用工具常用病毒查杀工具一览： SIC，HijackThis 系统诊断 Process Explorer 分析进程 TCPView 分析网络连接 Regmon，InstallRite 监视注册表 Filemon，InstallRite 监视文件系统 IceSword Ntsd pskill第4章安全评估4。1 安全评估概述4。1.1 安全评估目的风险评估的目的: 了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据 组织实现信息安全的必要的、重要的步骤4。1。2 安全

36、评估要素风险的四个要素： 资产及其价值 威胁 脆弱性 现有的和计划的控制措施1、资产的分类： 电子信息资产 软件资产 物理资产 人员 公司形象和名誉2、威胁举例： 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 自然灾害如：地震、火灾、爆炸等 盗窃 网络监听 供电故障 后门 未授权访问3、脆弱性： 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害.脆弱性举例： 系统漏洞 程序Bug 专业人员缺乏 不良习惯 系统没有进行安全配置 物理环境不安全 缺少审计 缺乏安全意识 后门 图：风险评估要素模型4.

37、1。2 安全评估过程4.1.4 安全评估工具评估工具目前存在以下几类： 扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞； 入侵检测系统（IDS）:用于收集与统计威胁数据； 渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞； 主机安全性审计工具：用于分析主机系统配置的安全性； 安全管理评价系统:用于安全访谈，评价安全管理措施； 风险综合分析系统：在基础数据基础上,定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能; 评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。4.1。5 安全评估标准保障信息安全有三个支柱,一个是

38、技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。根据国务院27号文件，对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是CC/ISO 15408，管理体系标准是ISO 17799/ BS 7799。4。2 安全扫描安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术有: 基于应用

39、的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置,发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的,非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。安全扫描在部署安全策略中处于重要地位: 防火墙，防病毒,用户认证，加密，评估，记录报告和预警，安全管理，物理安全。 管理这些设备和技术,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中）的职责。通过监视事件日志、系统受到攻击后的行为和这些设备的信号，作出反应。

40、 安全扫描系统就把这些设备有机地结合在一起.因此，而安全扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。安全扫描系统具有的功能说明： 协调了其它的安全设备之间的关系 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入系统的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置 识别正在受到的攻击 减轻系统管理员搜索最近黑客行为的负担 使得安全管理可由普通用户来负责 为制定安全规则提供依据 正确认识安全扫描软件： 不能弥补由于认证机制薄弱带来的问题 不能弥补由于协议本身的问题 不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数

41、据流 当受到攻击后要进行调查，离不开安全专家的参与日志服务器。第6章数据传输安全6.1安全数据传输面临的威胁安全数据传输面临的威胁主要有以下几种：6。2数据传输安全关键技术6.2。1 SSL 和 TLSSL 和 TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证 （对称和非对称算法都用了)保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（Open Standard Interconnect，开放互连）模型的传输层与应用层间。加密特点是： 身份验证 保密性 消息完整性SSL/TLS 保护数据安全的方法：6。2。3 PPTPPPTP用于LAN、WAN 或 Internet

42、 进行客户端到服务器的安全数据传输,使用拨号连接中的点对点协议（PPP）来在连接中建立终结点,PPTP 位于 OSI 模型的第二层。PPTP的加密特点是： 身份验证（pap、ms-chap、eap)：服务器验证客户 保密性（40位的mppe：即microsoft 点对点加密，或128位的RC4） 支持通过mppc（ microsoft 点对点压缩）数据压缩 不提供消息完整性或数据源身份验证 （GFG微软)PPTP 安全流程： PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE（Generic Routing Encapsulation）对PPP帧进行封装. 封装前

43、，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。 PPTP控制连接(P217218）：控制隧道中的会话建立、释放和维护逻辑连接 封装数据：建立控制连接后，PPP数据用GRE协议来封装6.2.5 SMB 签名SMB 签名（SMB， Server Message Block,也称为CIFS）：使用带有密钥的哈希(keyed hash)来保护每个 SMB 数据包的完整性的数字签名方法，保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻击,使用消息摘要（MD5）算法对通信进行数字签名。SMB 签名的特点是: 相互的身份验证 消息完整性6.2.6 LDAP 签名LDAP 签名: 确保数

44、据来自已知的来源 数据未被篡改 数据不以明文传输加密特点： 双向身份验证 消息完整性6.2.7 WEPWEP(wired equivalent privacy):802.11委员会为无线网络数据安全传输提出的一个协议，三种密钥长度：40位、128位、256位（RC4），在工作站和无线路由器（或AP）间提供数据加密。特点： 数据加密 数据完整性WEP 加密过程： 客户端启动与无线接入点的连接 客户端使用循环冗余校验 32（CRC-32，Cyclic Redundancy Check32）算法创建数据的校验和，并将该值附到数据帧的末尾 数据包经过 RC4 算法加密并在无线网络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 CRC32 并在 LAN 上发送数据包6.2.8 WPAWPA(Wi-Fi protected Aceess, WiFi 保