1. 网络安全特征 网络系统的安全性可包括系统的可靠性、软件及数据的完整性、可用性和保密性等几个特征。 2. 计算机网络面临的不安全因素 内因:漏洞,外因:黑客 计算机网络本身存在一些固有的弱点,非授权用户利用这些脆弱性可对网络系统进行非法访问,这种非法访问会使系统内的数据的完整性受到威胁,也可能使信息遭到破坏而不能继续使用,更为严重的是有价值的信息被窃取而不留任何痕迹。 网络系统的脆弱性:操作系统的脆弱性,计算机系统本身的脆弱性,电磁泄露,数据的可访问性,通信系统和通信协议的弱点,数据库系统的脆弱西你,网络存储介质的脆弱 网络系统的威胁:无意威胁,故意威胁 故意威胁分为:被动攻击和主动攻击(窃取、中断、篡改、伪造) 3. 网络系统漏洞 网络系统硬件缺陷、软件安全漏洞(应用软件漏洞、操作系统的安全漏洞、数据库的安全漏洞、通信协议的安全漏洞、网络软件与网络服务漏洞) 4. 用户名和口令验证 每个用户在进行网络注册时,都要有系统指定或由用户自己选择一个用户帐户和用户口令。这些用户帐户急口令信息都被存储于系统的用户信息数据库中。也就是说,每个要入网的合法用户都有一个系统认可的用户名和用户口令。 一般对口令的选取有一定的限制:口令长度尽量长,口令不能是一个普通的英文单词、英文名字、昵称或其变形;口令中要含有一些特殊字符;口令中要字母、数字、和其他字符交叉混用;不要使用系统的默认口令;不要选择用户的明显标识(电话号码、出生日期、自己或家人姓名的拼音组合、自家的门牌号)作为口令。这样的口令选取限制可有效减少口令被猜中的可能性。 一般进行口令保护的方式有:不要将口令告诉别人,不要与别人共用同一个口令,不要将其记录在笔记本或计算机等明显位置,要定期或不定期地更改口令,使用系统安全程序测试口令的安全性,重要的口令要进行加密处理等。 5. 对称密码概念 对称密钥密码体制也叫传统密钥密码体制,其基本思想就是“加密密钥和解密密钥相同或相近”,有其中一个可以推导出另一个。使用时两个密钥均需保密,因此该体制也叫单密钥密码体制。(DES,TDEA,IDEA,AES) 6. 公开密钥密码体制 公开密钥密码系统采用两个不同的密钥来对信息加密和解密。加密密钥与解密密钥不同,由其中一个不容易得到另一个。通常,在这种密码系统中,加密密钥是公开的,解密密钥是保密的,加密和解密的算法都是公开的。每个用户有一个对外公开的加密密钥Ke(公钥)和对外保密的解密密钥Kd(私钥)。因此这种密码体质又叫做非对称密码体制、公开密钥密码体制。(RSA) 7. 鉴别 鉴别的目的就是验证用户身份的合法性和用户间传输信息的完整性与真实性。报文鉴别是为了确保数据的完整性和真实性,对报文的老远、时间及目的地进行验证。 8. 数字证书 a) 工作原理 数字证书是一个经CA认证中心数字签名的、包含公钥拥有者信息及公钥的文件。最简单的证书包含一个公钥、名称以及CA中心的数字签名。一般情况下数字证书还包括密钥的有效时间、发证机关的名称和该证书的序列号等信息。 数字证书利用一堆互相匹配的密钥进行加密和解密。每个用户自己设定一个特定的仅为本人所知的四月,用它进行解密和签名;同时设定一个公钥并公开以便为公众所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接受方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地。通过数字的手段保证加密过程是一个不可逆的过程,即只有用私钥才能解密。 b) 数字证书的功能 数字证书认证是基于国际PKI(公开密钥基地设施)标准的网上身份认证系统进行的。数字证书以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助网上各个交易实体识别对方身份和标明自己的身份,具有真实性和防抵赖功能。与物理身份证不同的是,数字证书还具有安全、保密、防篡改的特性,可对网上传输的信息进行有效的保护和安全传输。 四大功能:保证信息的保密性,保证信息的完整性,保证交易者身份的真实性,保证交易的不可否认性。 9. 加密软件PGP PGP是一个广泛应用于电子邮件和文件加密的软件,推出后收到众多用户的支持,已成为电子邮件加密的事实上的标准。 PGP把RSA公钥体系的密钥管理方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。虽然PGP主要是基于公钥加密体系的,但它不是一种完全的公钥加密体系,而是一种混合加密算法。它是由一个对称加密算法(IDEA)、一个非对称加密算法(RSA)、一个单向散列算法(MD5)以及一个随机数产生器组成的,每种算法都是PGP不可分割的组成部分。PGP之所以得到流行,得到大家的认可,最主要它集中了集中加密算法的优点,使它们彼此得到互补。 10. 包过滤技术 网络层防火墙技术根据网络层和传输层的原则对传输的信息进行过滤。网络层技术的一个范例就是包过滤技术。因此,利用包过滤技术在网络层实现防火墙也叫包过滤防火墙。 在网络上传输的每个数据包都可分为数据和包头两部分。包过滤器是根据包头信息来判断该包是否符合网络管理员设定的规则表中的规则,以确定是否允许数据包通过。包过滤规则一般是基于部分或全部包头信息的,如IP协议雷系你、IP源地址、IP选择域的内容、TCP源端口号、TCP目标端口号等。 包过滤防火墙既可以允许授权的服务程序和主机直接访问内部网络,也可以过滤指定的端口和内部用户的Internet地址信息。大多数包过滤防火墙的功能可以设置在内部网络与外部网络之间的路由器上,作为第一道安全防线。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙软件几乎不需要任何额外的费用。 11. 木马 特洛伊木马这类代码是根据古希腊神话中的木马来命名的,如今黑客程序借用其名,有“一经潜入,后患无穷”之意。这种程序从表面上看没有什么,但是实际上却隐含着恶意企图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,还有一些木马会以软件的身份出现,但它实际上是一个窃取密码的工具。这种代码通常不容易被发现,因为它一般以一个正常饮用的身份在系统中运行。 12. 蠕虫 蠕虫是一种可以自我复制的完全独立的程序,它的传播不需要借助感染主机中的其他程序。蠕虫的自我复制不像其他的病毒,他可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。蠕虫是通过系统中存在的漏洞和设置的不安全性进行入侵的。它的自身特性可以使它以几块的速度传播. 13. 木马的预防 不随意打开来历不明的文件,阻塞可疑邮件;不随意下载来历不明的软件;及时修补漏洞和关闭可疑的端口;尽量少用共享文件夹;运行实施监控程序;经常升级系统和更新病毒库;限制使用不必要的具有传输能力的文件。 14. 蠕虫的分析和防范 与普通病毒不同的一个特征就是蠕虫能利用漏洞进行传播和攻击。这里所说的漏洞主要是软件缺陷和人为缺陷。软件缺陷,如远程溢出、微软IE和outlock的自动执行漏洞等,需要软件厂商和用户共同配合,不断地升级软件而解决。人为缺陷主要是指计算机用户的疏忽。这就是所谓的社会工程学,当收到一封带着病毒的求职信邮件时,大多数人都会去点击。对于企业用户来说,威胁主要集中在服务器和大型应用软件上;而对个人用户来说,主要防范人为缺陷。 a) 个人防范:提高防杀恶意代码的意识;购买正版的防病毒软件;经常升级病毒库;不随意查看陌生邮件尤其是有附件的邮件。 15. 网路攻击类型 a) 拒绝服务攻击 拒绝服务(DoS)工具是攻击者通过各种手段来消耗网络带宽或服务器的系统资源,最终导致被攻击服务器资源耗尽或系统被亏而无法提供正常的网络服务。这种攻击对服务器来说可能没有造成损害,但可以是人们对被攻击服务器所提供服务的信任度下降,影响公司信誉以及用户对网络的使用。 b) 利用型攻击 利用型攻击是一类试图直接对用户机器进行控制的攻击,最常见的有:口令猜测,特洛伊木马,缓冲区溢出。 c) 信息收集型攻击 信息收集型攻击是被用来为进一步入侵系统提供有用的信息。这类攻击主要包括扫描技术和利用信息服务技术等,其主要表现:地址扫描、端口扫描、反向映射、DNS域转换、Finger服务。 d) 虚假信息型攻击 虚假信息型攻击用于攻击目标配置不正确的消息,主要有高速缓存污染和伪造电子邮件两种形式。 16. IP电子欺骗 IP电子欺骗攻击是指利用TCP/IP本身的缺陷进行的入侵,即用一台主机设备冒充另外一台主机的IP地址,与其他设备通信,从而达到某种目的的过程。它不是攻击结果,二是进行攻击的手段,实际上是对两台主机之间信任关系的破坏。 IP电子欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但入侵者仍然可以使用各种手段来达到攻击的目的。这种欺骗纯属技术性的,一般都是利用TCP/IP协议本身存在的一些缺陷。当然,进行这样的欺骗也是有一定难度的。 17. IP电子欺骗的预防 抛弃基于地址的信任策略;进行包过滤;使用加密方法;使用随机的初始序列号 本文来源:https://www.wddqw.com/doc/2f6e17b652e79b89680203d8ce2f0066f5336416.html