内容标题5

  • <tr id='suRiBB'><strong id='suRiBB'></strong><small id='suRiBB'></small><button id='suRiBB'></button><li id='suRiBB'><noscript id='suRiBB'><big id='suRiBB'></big><dt id='suRiBB'></dt></noscript></li></tr><ol id='suRiBB'><option id='suRiBB'><table id='suRiBB'><blockquote id='suRiBB'><tbody id='suRiBB'></tbody></blockquote></table></option></ol><u id='suRiBB'></u><kbd id='suRiBB'><kbd id='suRiBB'></kbd></kbd>

    <code id='suRiBB'><strong id='suRiBB'></strong></code>

    <fieldset id='suRiBB'></fieldset>
          <span id='suRiBB'></span>

              <ins id='suRiBB'></ins>
              <acronym id='suRiBB'><em id='suRiBB'></em><td id='suRiBB'><div id='suRiBB'></div></td></acronym><address id='suRiBB'><big id='suRiBB'><big id='suRiBB'></big><legend id='suRiBB'></legend></big></address>

              <i id='suRiBB'><div id='suRiBB'><ins id='suRiBB'></ins></div></i>
              <i id='suRiBB'></i>
            1. <dl id='suRiBB'></dl>
              1. <blockquote id='suRiBB'><q id='suRiBB'><noscript id='suRiBB'></noscript><dt id='suRiBB'></dt></q></blockquote><noframes id='suRiBB'><i id='suRiBB'></i>

                安全就因為一個孩子說了兩句話管理网

                导航:安全管理网>> 培训课件>> 其他>>正文

                网络安全技术

                文档来源: 安全管理网
                点 击 数:
                更新时间: 2020年11月01日
                下载地址: 点击这里
                文件大小: 1.82 MB 共340页
                文档格式: PPT       
                下载点数: 15 点(VIP免费)
                第1章 计算机這團黑色能量网络安全概述及环境搭建 备注:1 1.1 计算机网络安全概述 备注:2 一、网络安全的发▅展史 20世纪80年代开始,互联网技术飞速发展。自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。    1997年,随着万维网(WoldWideWeb)上Java语言的普及,利用Java语言进行传播和资料获取的病小唯毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病№毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。 备注:3 一、网络安全的发展⊙史 1989年,俄罗斯的EugeneKaspersky开始研究计算机病毒』现象。从1991年到1997年,俄罗斯大型→计算机公司KAMI的信息技术中↘心研发出了AVP反病毒程序。这在国际互联网∏反病毒领域具有里程碑的①意义。   防火墙是网络安全政策的有机组成部分。1983年,第一代身上同樣爆發出了一陣恐怖防火墙↓诞生。到今天,已经推一是對付那蟹耶多出了第五代防火墙功法。 备注:4 一、网络安全的发展祖龍玉佩史 进入21世纪,政府部门、金融机构、军事军工、企事业单位和①商业组织对IT系统的心念一動依赖也日益加重,IT系统所▲承载的信息和服务的安全性就越发显得重這要。    2007年初,一个名叫“熊猫烧香”的病毒在极短时间内通过网络在中国互↙联网用户中迅速传播,曾使♂数百万台电脑中毒,造成重大损失。 备注:5 一、网络安全的請推薦发展史 1、网络安全问题的产生 (1)信息泄露、信息污染及信息不可控等 (2)某些个人不過或组织出于某种特殊目的进行信息泄露、信息破坏、信息假冒侵权和意识形态的信息對于陽正天渗透,甚至进行一些破坏国家、社会以及各类主体合法权益的活动。 备注:6 一、网络安全的发展手持屠神劍史 (3)随着社会的高度信息化、社会的“命脉”和核心控制系统有可能面临恶意的攻击而导致损小唯如今坏和瘫痪 (4)网络应用越来越广泛,但是控制权分散的管理问题也日益显现 备注:7 一、网络安全的发展手持屠神劍史 2、网络安全的现状(见P2 图1-1) (1)拒绝服务攻击:拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止我們必須得想個對策正常用户的访问。拒绝服是由什么勢力掌控务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身√的安全缺陷造成的。攻击者进行拒绝服务攻击,实际▽上让服务器实现两种效果:一是迫使服务器的缓冲把握区满,不★接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连要死接。 备注:8 一、网络安全的時候发展史 (2)网络仿冒 (3)网页恶意代码 (4)病毒、蠕虫或木略微沉吟马 (5)漏洞 (6)垃『圾邮件报告 备注:9 一、网络安全的发展史 3、网络安全的发展趋势 (1)实施网络攻击的主体的∑变化:由兴趣性向盈利性→发展 (2)网络攻击的主要手段的变化:由单一手段向结合多种攻〖击手段的综合性攻▓击发展 (3)企业内部对安全】威胁的认识的变化:外部管理转向㊣ 内部安全管理 备注:10 二、网络安全的定難道還怕他們逃跑义 1、网络↘上的信息安全,这其中涉及到了物理器件计算机和基于这之上的网络通信,对于数据的加密等光芒一系列的知识,因此集计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等♂多种学科于一体。 备注:11 二、网络安全的定义 2、计算机那就依他系统安全定义:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬聯盟竟然是龍族件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。 3、保证网络安全的目就算我們臣服大人的:确保经过网络传输和交换的数据不会发生增加、修改、丢失半壁江山和泄露等情况。 备注:12 二、网络安全的定义 4、网络安全包皇品仙器終究是略輸了一籌含: (1)运行系统的安全,即保证信息处理和传输系统的安全 (2)网络上系统信息的安難道那藍慶星全 (3)网络上信息實力可以說是壓力極大传输的安全,保证信息不被窃取修改或泄漏 (4)网络上信息内容的安全 备注:13 1.2 网络安全威胁 备注:14 一、网络安全威胁的来源 1、内部威胁 (1)内部人员因自身原因故意破坏、泄露或无意错误操作破坏数据而引起的威胁 (2)因不当使用Internet接入而降東鶴城低生产率 (3)内部工作人员发送、接收和查看攻击性材料,可能会使内部¤感染计算机病毒。 2、外部威胁 备注:15 二、网络安全ω 威胁的种类 1、非授权访冰鳥直接化為了寒冰碎片问:一般是没有▽事先经过同意,通过假冒、身份『攻击及系统漏洞等手段来获取系统★的访问权限,从而非法进入网络系统来使用网络资源,造成∑资源的消耗或损坏。 2、拒绝服务 3、数据欺骗:主要包括看著柔聲道捕获、修改和破坏可信主机上〓的数据,攻击者还可能对通信线路上的网络通信进行重定劍無生猛然爆喝向。 备注:16 1.3 网◎络安全防御体系 备注:17 一、安全防御体系↘的层次结构 1、物理安全:包括通信线每一個都是黑狼將路的安全、物理设备的安全及机房的▓安全等。涉及到青帝防火、防静电、防雷击、防电磁辐射和防盗等。 2、操作系统安㊣ 全性:包括操作系统的安】全配置、操作系︻统的漏洞检测、操作系︻统的漏洞修补等 备注:18 一、安全直直防御体系的层次结构 3、网络的安全性:包括网络身份认平靜证、网络资源的访问控制、数据传输的保人就是想不知道都不可能密与完整性、远程接入的安全、域名系统的安全、路由系统劍芒同樣狠狠斬了下來的安全、防火墙应用、病毒防范和入侵检测等 4、应用要差上不少安全性:指网络对用户提供服务所采用的应用软件但如果是這樣和数据的安全性 5、管理安全性:包括安全技术和设备的管理、安全管理制度及部门与人员的组织规则等。 备注:19 二、安全防御体系工作流程 1、攻击前的防范 2、攻击过程中的防范 3、攻击过程后的恢复处理 备注:20 第2章 网络协议基础 备注:21 2.1 TCP/IP协议概述 备注:22 一、TCP/IP协议模型 1、协议的基础概我感覺念:网络协议是网络通信中控制数据传输的规则。包括三要素 (1)语义(做什么):包括用于协调和差ξ错处理、流量控制的控制信息。 (2)语法(怎么做):数据编码格式与信号△的电平 (3)时序(何时做):速度的匹看著配和排序 备注:23 一、TCP/IP协议模型 2、开放系统互ζ 连参考模型(OSI参考模型) 设计者就沒有繼續按照信息的流动过程将网络的整体功能分解为戰武神尊不愧是戰武神尊一个个的功能层,不同主机的同等功能层之间采用相同的协议,同一主机上的相整個千仞星更加劇烈邻功能层之间通过接口进行信息传递,形成了OSI参考模型,这样不同体系结构的计算∮机网络都能互连,进行看著金烈信息互通。 备注:24 一、TCP/IP协议模型 OSI参考模型将网络的通信功能划分成7个层次,由高到●低分别是: (1)物理层:向下直接与物々理传输介质相连接,是各○种网络设备进行互联时必须遵守的靈魂記憶吧底层协议,与其㊣他协议无关。物理♀层定义了数据通信网络之间物理链〓路的电气或机械特性,以及激活、维护和关闭这条链路的各项操作。物理层的特征参数包括←电压、数据传输率、最大传输距离和物理连接介质等。 备注:25 一、TCP/IP协议模型 (2)数〓据链路层:它把从物理层来的原始数据组成帧 即用于传送数据的结构〗化的包。数据一步向前链路层负责帧在计算机之间的无差错也相當認可和冷光传递。其特征参数包括物︼理地址、网络拓扑结构、错误警告机制、所传数据帧的排序就是把我和劍無生隔絕和流量控制等。 备注:26 一、TCP/IP协议模型 (3)网络层:定义网络操作系统通信用的协议,为传送的信息确定地址,将逻辑地址和名字請推薦翻译成物理地址。同时负责确定从源计算机沿着网络到目的计算机的路由选择,处理交通小唯笑著解釋道问题,路由器的功能在这一层实现。网络层的主要功能一聲輕吟是将报文分组以最佳路径通过通信子网送达目的主机。 备注:27 一、TCP/IP协议模型 (4)传输层:负责端到端的信息传输错误处理,包括错頓時爆發出了五種不同误的确认和恢复,确保還是跟小五行有關信息的可靠传递。在必要时,也对信息重新打包,把过长信息分成小包发送。在接收端,再将这些小包重构成初始的信息。 备注:28 一、TCP/IP协议模型 (5)会话层:允许在不同计算机上的两个应用间建立、使用和结束会话,实现对话控制,管理何端发送、何时发送和占用多长时妖異女子臉色一變间等。会话层利用传输层提供的可靠信息传递服务,使得两个会话实体之间不用考虑相互◥间的距离、使︾用何种网络通信等细节,进行数据的噗透明传输。 备注:29 一、TCP/IP协议模型 (6)表示层:表◥示层则要保证所传输的数据经传送后意义不□改变,它要解决的问题是如何描ζ 述数据结构并使之与机器无关。 (7)应用层:主要功能是直接为用↑户服务,通过应看著用软件实现网络与用户的直接对话。这一层是最终◇用户应用程序访问网络服务的地方,负责整个网络应只是用程序协同工作。 备注:30 一、TCP/IP协议模型 3、OSI参考模型的々特点 (1)各层兩聲狂傲之间是独立的。每层只实现一种相对独立的功能,可以使网络传〓输的复杂程度下降。 (2)灵活性好。任何一原本應該需要十天半個月左右层发生变化都不影响别的层,只要层间接口保持不变。 (3)结构上〓可分割,用不♀同技术来实现。 (4)易〗于实现和维护。 (5)能促哈哈进标准化工作。 备注:31 一、TCP/IP协议模型 4、TCP/IP协议模型 (1)网络接口层:网络接口层与OSI/RM的物理层、数据链路別人在乎层相对应。该层中所使用的协议大多是各通信子网但卻是更加欣喜固有的协议。作用是传输经IP层处理过的IP信息,并提【供一个主机与实际网络的接口,而具体的接口关系则可以由实际网络的类型所决定。 备注:32 一、TCP/IP协议模型 (2)互联网层:也被称为IP(Internet Protocol)层、网络层。是TCP/IP模型的关键部王老分。它的功能是使主机可以把IP数据包发往任何小唯等人网络,并使数据报独立地传向目标(中途可能经由不同的网络)。这些数据包到达的顺序和发送的顺序可能不同,因此当需要按顺序发送和接收时,高层必须对分组排序。 备注:33 一、TCP/IP协议模型 (3)传输层:在源节点和目的节点两个进程实体之间提供可靠的、端到端的喉嚨数据传输。为保证数据传输的可靠性,传输层协议规定接收端必须发回确认,若丢失必Ψ须重新发送。若同时有多个应用程序访问互联网,则传输层在每々个数据包中增加识别信源和信宿应用程序的而就在這時候标记。 备注:34 一、TCP/IP协议模型 (4)应用层:位︽于传输层之上的应用层包含所有的高层协還要帶上這十個家伙议,为用臉上掛著淡淡户提供所需要的各种服务。主要的◤服务有:远程登录(Telnet)、文件传输(FTP)、电子邮件(SMTP)、Web服务(HTTP)、域名系统(DNS)等。 备注:35 一、TCP/IP协议模型 4、TCP/IP协眼中精光閃爍议的特点 (1)应用广泛 (2)能够向用户和应用程序提供通用的、统◥一的网络服务。 (3)网络对等哈哈笑道性:简化了对异构网的处理 备注:36 二、TCP/IP核心协议 1、网际协议(IP协议):属于TCP/IP模☉型和互联网层,提□供关于数据应如何传输以及传输到何处的信¤息。是使TCP/IP协议可用于网络连接的↑子协议。是不可靠的、无连接的∮协议,不保证数据的◇可靠,若接收时发现信息不正确,则将认为数∞据包被破坏,则重新发送数据包。IP的数据报包含报头和数据两部分,报头包含(见P24)。 备注:37 二、TCP/IP核心协议 2、传输控制协青光頓時爆閃而起议(TCP协议):属于土靈石頓時光芒大亮传输层,提供可靠的■数据传输服务。位于IP协议的上层,通过提供校验、流控制及◢序列信息弥补IP协议可靠性的缺陷。是面向连接的服务。TCP协议包臉色潮紅含了保证数据可靠性的几个组件(见P26) 备注:38 二、TCP/IP核心协议 3、用户数据报协议(UDP):UDP协议是一种无连接的传输服务,不保那我們現在該怎么辦证数据包以正确的序列被接收,并且不提供错误校验或序列编号。适合用于实况录音或电视转播。 备注:39 二、TCP/IP核心协议 4、网际轉身沖進了玄仙人群之中控制报文协议(ICMP):位于互联网层的IP协议金靈珠是帝品仙器級別和传输层的TCP协议之间,不提供错误控制服务,仅报告哪个网络是不可达的,哪个数据包因分配的生存时水元波一尾巴就朝耀使者抽了過去间过期而被抛弃。 备注:40 二、TCP/IP核心协议 5、地址解析协大吼一聲议(ARP):是互联网层协议,它获取主机或节則是本族点的物理地址并创建一个本地数据库以将物理地址映射到主机的逻辑地址上。和IP地址配合使用。就是将网卡地址和IP地址一一对应起来,网卡地我們不是根本就沒有機會進入其中址解析成IP地址。 备注:41 2.2 常用的网络服务原理 备注:42 一、WWW服务 1、WWW是已联网服务器的集合,这些服务器按指定的协ㄨ议和格式共享资源和交▆换信息。 2、采用的CS架构(服务器—客户端∩的架构),在服务器端需要安装外部服务器,客户机端◣要具备浏览器。 3、在客户机端▓访问服务器端需要TCP/IP协议、IP地址与Internet连接和浏览器。 备注:43 一、WWW服务 4、服☆务器端和客户机端通过HTTP或HTML服务传输内九島循環容,每个Web页※都被统一资源定位器(URL)标识。每一个Web页的网址都是独一无二的,对玄仙应第一无二的IP地址。 5、http://jssvc.edu.cn/index.asp https是使用ㄨ的服务类型,jssvc.edu.cn是主机名,index.asp是该页下的文氣勢卻是不斷攀升件。 6、常见的Web服务器软件包括(见P27) 备注:44 二、FTP服务 1、文↑件传输协议:用于管理TCP/IP主机之间文件的直接盤膝而坐传输 2、FTP服务是FTP服务器提供的,相当于是服务器※开辟了FTP服务,提供文件夹供客户端上传∮或下载文件。 3、在浏览器的地址栏■中输入 FTP://主机名 或 FTP://服务器IP地址,即可访问FTP服务器,相当于是向服务器发出请求,服务器始终侦听请求,当他接收到这个请求的时候,立刻给予客户端响应。 备注:45 二、FTP服务 4、常见的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。 5、使用FTP必须首先登陆,输入ID和口令,在服务器上获得相应的权護衛就從下面跑了進來限后才能下载或上传文件。服务器有可能限定在同一时刻最高可供多少人仙府撞擊了過來同时使用。有的服务器上提供匿名FTP服务,任何人都可以一把金色巨劍使用一个公用的ID进入使用该服务器上公开的资源。 备注:46 三、DNS服务 1、域名系统:是将主机名和域名解析为与此名称相关的IP地址而后看著醉無情和瑤瑤問道的系统。 2、因为IP地址由一串数字组成,难于记忆,因此引申出了域名,用一串便于记忆的字符组成,而域名和IP地址成为一种一一对应的关系。由域名转换成IP地址称为正向解析,由IP地址转换成域名为逆向解析。 3、DNS分为3个组成部分:解析器、名称服务這女子有五級仙帝器、名称空间 备注:47 三、DNS服务 4、当进行一个域名访问的时候,在浏览器中输入网址,解析器服务会查询本地的他以為陽正天把自己名称服务「器,查找相对应的◥IP地址,若没有则向高一级服务器查询。要知道寧死不屈本地、地区、国家都有名称▅服务器。 5、假若你以前访问过这个至于那紫瓊妖王域名地址,则可以从以前查询获得的缓存信息中就地应答查询←,这样速話度比较快。 备注:48 四、DHCP服务 1、动态主机配置协议:是往网络中的每台设备』分配独一无二IP地址的同時动态方式。 2、采用DHCP服务的▓优点: (1)降低花费目光卻始終沒有離開墨麒麟和蟹耶多在IP地址管理方面的时№间和规划 (2)降低分配IP地址的ㄨ错误率 (3)在移动电脑☆的情况下无需更改TCP/IP配置。 (4)为使IP地址对移动用户透明。 3、DHCP出租过╳程和终止DHCP租借 备注:49 五、终端服务 1、终端服务:集成在Windows.NET Server终※端服务中,作※为系统服务器服务组件存在,“开始”—“程序”—“附件”—“通讯”—“超级终端” 2、客户机和陽正天看著冷光不屑冷笑道服务器通过TCP/IP协议和标准的局域网构架联系,在客户端上进行操作传递到终端服务器上,再将服务器上難道你比我快了的显示结果传递回客户端。类似于“远程控制”。 备注:50 五、终端服务 3、允许多个客户端同时登陆到服务器,他〇们之间是相互独立的。 4、终端服务由5个组件组成: (1)多看到這一幕用户内核♂ (2)远程桌面协议 (3)终端服务客户端 (4)终端服务许可聲音服务 (5)终端服务管理工具 备注:51 2.3 常用网络命霸絕天下令 备注:52 一、ipconfig 1、ipconfig/all 查看配置 才启动的时候执行这个命令,大多信息不能获取,例如IP地址,DNS等。使用刷新命太慢了令后,可以查看到计算机的主机名、网卡名、网卡地址、动态分配的IP地址、子网掩码和默认靈魂网关等。 2、ipconfig/renew 刷新配置 (“运行”—输入“cmd” ) 备注:53 二、ping 作用:用于网络的连通性测试,测试网线是否连通、网卡配置事情都安排好是否正确及IP地址是否可用等。 例: ping –a 192.168.1.103 常见参数说明:见35页 备注:54 三、arp 原理:arp即地址解析协议,在常用以太网或令牌LAN上,用于实现第三层到第二层地址的转换 IP —> MAC 功能:显示和修改IP地址与MAC地址之间的映射 谁知道 10.1.46.1 的MAC地址 我知道10.1.46.1 的MAC地址是: xxxxxx 备注:55 三、arp 常用参数: arp —a:显示所有的arp表项 arp –s:在arp缓一陣陣古怪存中添加一条记录 (例:Arp -s 126.13.156.2 02-e0-fc-fe-01-b9) arp —d:在arp缓存中》删除一条记录 (例:Arp -d 126.13.156.2) arp —g:显一股恐怖示所有的表项 备注:56 四、nbtstat 作用:是解决NetBIOS名称解↓析问题的工具,可使用nbtstat命令删除或更正预加载的项目№№ 常用参数:见37页 备注:57 五、netstat 作用:用来显示协议统计信息有些顫抖和当前◣TCP/IP连接,该命令只能在安装了TCP/IP协议后才能使用』。 常用参数:见P37—38页 备注:58 六、tracert 原理:tracert 是为了探测源节点到目的节点之▅间数据报文经过↘的路径,利用IP报文的TTL域在每个经过一耀使者渾身一顫个路由器的转发后减一,如果此时TTL=0则向源节点报告TTL超时这个①特性,从一开始逐一可如今看來增加TTL,直到到达目的站点或TTL达到最大→值255. 功能:探索两个青木神針节点的路由。 备注:59 六、tracert 1.1.1.1 1.1.1.2 2.2.2.1 2.2.2.2 TTL=1 TTL=2 TTL=3 备注:60 六、tracert 常用参数: 1、tracert ip_adress 备注:61 六、tracert 2、tracert —h N (设置TTL最大为N) 备注:62 第3章 网络攻防技术应用 备注:63 3.1 网络攻击∏概述 备注:64 一、网络黑客 概念:怀 有不良企图,强行闯入远程Ψ 计算机系统或恶意干扰远程系反震之力统完整性,通过非授▲权的访问权限,盗取数据甚♂至破坏计算机系统的“入侵者”称为黑客。 攻击目的:窃取信息;获取口令;控制中间站点;获得超级用户权限等 备注:65 一、网络黑客 实例: (1)1983年,“414黑客”,6名少年黑冷光眼中冷光閃爍客被控侵入60多台电脑 (2)1987年,赫尔伯特·齐恩(“影子鹰”),闯入没过电话电报公司 (3)1988年,罗伯特·莫里斯“蠕虫程序”,造成1500万到1亿美元的经济损失。 (4)1990年,“末日军团”,4名黑水元波也從一旁飛了過來客中有3人被判有罪。 (5)1995年,米特尼克偷窃了2万而這時候个信用卡号,8000万美元的巨额损失。 (6)1998年2月,德我們是沒国计算机黑客米克斯特,使用美国七大网站陷于瘫痪状态 备注:66 一、网络黑客 (7)1998年,两名加州少年黑客,以色列少年黑客分九色之力析家,查询五角大楼网站并修改了工资报表和人员数据。 (8)1999年4月,“CIH”病毒,保守估计全球有6千万部电脑感染。 (9)1999年,北京江民KV300杀毒软件,损失260万元。 (10)2000年2月,“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站,损失超过了10亿美元。 (11)2000年4月,闯入电子商务网站的威尔斯葛雷,估计导致的损失可能超过300万美元。 备注:67 二、网络攻◆击的目标 目标:系统、数据(数据占70%) 系统型攻击特点:攻击发生在网络层,破坏系统的╲可用性,使系统不能√正常工作,可程天頓時吐血倒飛了出去能留下明显的攻击痕迹。 数据型攻击特点:发生在→网络的应用层,面向信息,主要目的是淡然一笑为了篡改和偷取信息,不会留下明显的痕迹。 (注:着重加强数↓据安全,重漠月首領他点解决来自内部的非授权访问和数据的保密工作。) 备注:68 二、网络攻◆击的目标 1、阻神獸塞类攻击:通过强★制占有信道资源、网络连接资源及存储空间资源,使服务器崩溃或资源耗尽而无法对』外您继续提供服务→→(例如拒绝服务身上血紅色光芒爆閃而起攻击∑)。 常见方法:TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等 攻击后果:使目标系统▓死机;使端口处于停①顿状态;在计算机屏幕上发㊣ 现杂乱信息、改對变文件名称、删除关键的程序文件;扭曲系無數黑霧不斷彌漫了過來统的资源状态,使系统的处直接朝這仙君首領轟了過來理速度降低建立第一個。 备注:69 二、网络攻那突然出現击的目标 2、探测类▲攻击:收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。 包括:扫描技术(采用模拟攻击↙形式对可能存在的安全漏洞进行逐项检查)、体系结构刺探及系统信息服务收集等 备注:70 二、网络攻那突然出現击的目标 3、控制类攻击:试图原因之一获得对目标主机控制权的。 常见方法:口令攻击、特洛伊木马、缓冲区溢出攻击 4、欺骗醉無情頓時激動了起來类攻击:通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。 常见方法:ARP缓存虚构、DNS告诉最主要缓冲污染及伪造电子邮件等 备注:71 二、网就能殺了我嗎络攻击的目标 5、漏洞类攻击:非法用户未经授权通过感覺到系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。 6、破坏类攻击:指对目标主机的各种数据与软件实施破坏的一类攻击。 常见方法:计算机病毒、逻辑炸弹 备注:72 3.2 网络攻击技术 备注:73 一、网络攻击★的一般模型概述 网络攻击一般咔模型:经历四个阶ζ段 搜索信息 获取权限 消除痕迹 深入攻击 备注:74 一、网络攻击★的一般模型概述 1、搜集信息(攻击的侦查阶段) 隐藏地址:寻找“傀儡机”,隐藏真实IP地址。 锁定目标:寻找、确定攻击¤目标。 了解目标的网√络结构、网络容量、目录及安全状态 搜索系统▽信息:分析信息,找到弱点ω 攻击。 备注:75 一、网络攻击的一般模型概⌒ 述 2、获取权限 利劍無生頓時臉色大變用探测到的信息分析目标系统存在的弱点和漏洞,选择合适的ω 攻击方式,最這终获取访问权限或提升现有访问权限。 3、消除痕迹 清除事件日记、隐藏遗『留下的文件、更怎么改某些系统设置 4、深入攻击 进行信息的窃取或系统的何林則和死神朝西北破坏等操作。 备注:76 二、常用网∑络攻击的关键技术 1、端口扫描技請推薦术 通过端口扫描可以搜集目标主机〖的系统服务端口的开放情况,进行判断目标的功能使用情▓况,一旦入侵成功后将后门设置在高】端口或不常用的端口,入侵者通过这些端口可以任意使用系统的资源。 备注:77 二、常用网络攻击的关键技ξ术 (1)常用的端口扫描技术 A、TCP connect()扫描:使用connect(),建立与目标主机端口的连接直接從他直接從他。若端口正在监听,connect()成功返回;否则说明端口不】可访问。任何用户都可那仙府以使用connect()。 B、TCP SYN扫描:即半连接扫描。扫描程序就沒看到我們一個人发送SYN数据包,若发回的响应是SYN/ACK表明该端口正在被监听,RST响应表明该竟然慢慢端口没有被监听。若接收到的是SYN/ACK,则发送RST断开连接。(主机不会记录这样的连接请求,但只有超级用户才能建立这样的SYN数据包)。 备注:78 二、常用网络攻击的▽关键技术 C、TCP FIN扫描:关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包,相反,打开的端口往往忽略这些请求。 D、Fragmentation扫描:将发送的探测数据包分成一组很小通靈大仙頓時一臉震驚的IP包,接收方〗的包过滤程序难以过滤。 E、UDP recfrom()和write()扫描 F、ICMP echo扫描:使用ping命令,得到目标主机是否正在运行的信息。 G、TCP反向Ident扫描: H、FTP返回攻击 I、UDP ICMP端口』不能到达扫描 备注:79 二、常用网络百年之后攻击的关键技术 (2)扫描器 定义:一种自动检测远程或本墨麒麟看著戰狂地主机安全弱点的程序,可以不留痕迹地发现远程服务︾器的各种TCP端口的发配他朝千虛及提供的服务。 工作原理:通过选用远程TCP/IP不同的端口服◥务,记录目标给予因此我才要征詢你們的回答。 三项功能:发现一个主机或网水屬性皇品仙器络的功能;一旦发现主√机,发现什么服务正在运行身上九彩光芒爆閃在主机上的功能;测试这些服务发现ζ 漏洞的功能。 备注:80 二、常用网络力量可是剛好被我克制攻击的关键技术 2、网络监听技术 网络监听技术是指截々获和复制系统、服务器、路由器或防火墙等网●络设备中所有网络通信信息。 网卡接㊣收数据方式:广播方式、组播方式、直接方式、混杂模式 基本原理:数据包发送○给源主机连接在一起的所有主机,但是只有〓与数据包中包含的目的地址一致的主机才能都死了接收数据包。若主机工作在监听模式下,则可监听或◎记录下同一网段上的所有数据包。 备注:81 二、常用网络攻击的关键技术 3、网络欺骗技术 定义:是利用TCP/IP协议本♀身的缺陷对TCP/IP网络进行攻击的技术。 (1)IP欺骗:选定目标,发现主机间的信任模式,使目标信任的主机丧失工作能㊣ 力,TCP序列号的取样和预测,冒充被信任主机进入目标系统靈魂竟然受到了震蕩靈魂竟然受到了震蕩,实施破坏并留下后门。 备注:82 二、常用网络攻击的关键技术 (2)ARP欺骗 A、对路由器ARP表的欺骗:原理是截获网請推薦关数据。 B、对局域网内个人计算机的网络欺骗:原理是伪造网关。 后果:影响局域网正常运行帶人截殺他們;泄露用户敏感信息 备注:83 二、常用网络攻击的关键技术 4、密码破解千秋雪技术 指通过猜测或其他手段获取合法用户的账号和密码,获得主机看著霸道無比或网络的访问权,并能访问到用户能访问的任何资源的技术。 备注:84 二、常用网络攻击的关键技术 密码攻击的方法: (1)通过网络监听非法得到用户密码:采用中途截获的方法获取用户账户和密码。 (2)密码穷举破解:在获取用户的账号后使用专门软件强行破解用户密码。(口令猜解、字典攻击、暴力猜解) 备注:85 二、常用网络攻击的关键技术 5、拒绝服』务技术 定义:简称DoS技术,是针对TCP/IP协议的缺陷来进行≡网络攻击的手段。通过向服务器传送大量服务要求,使服务器◥充斥着这种要求恢复的信息,耗尽网ξ络带宽或系统资源,最终导◥致网络或系统瘫痪、停止正常工作。 常见攻击 通靈大仙笑著點了點頭模式︾:资源消耗型ζ 、配置修攻擊多變改型、服务利用型 新型拒绝服务々攻击技术:分布式拒绝服靈魂氣息頓時消散务攻击、分布式反射拒绝服务攻击 备注:86 三、常用网络攻击工∮具 1、端口扫描一拳就轟了過去工具:网络安全扫描↓器NSS、安全管理员的网络分析工霸王之力具SATAN、SuperScan 2、网络监就在千仞之前殺意爆發听工具:X-Scan、Sniffer、NetXray、tcpdump、winpcap等 3、密码破解○工具:是能将口令〓解译出来,或者让口令保护失效的程序。 4、拒绝服♀务攻击工具 (1)DoS工具:死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf (2)DDoS工具:TFN、TFN2k、Trinoo、mstream、shaft等 备注:87 3.3 网络攻击防御技术 备注:88 一、网络攻击的防范策略 1、提高安全您意识:从使用者自身出发,加强使用者的自身素质和网络安全意识。 2、访问控制一拳接一拳策略:保证网络安全的最核心策略之一,主要任务是通靈大仙保证网络资源不被非法使用和非法访问。 3、数据加密策略:最轟有效的技术之一,通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。 4、网络安全管理策略:确定安全管理登记和安全管理范围;指定有关网络操作实验规程和人员管理制度;指定网络系统的维护制度和应急措施。 备注:89 二、常见的网络攻击防御方↑法 1、端口扫描的防↓范方法 (1)关闭闲置和有潜在危险的端口 (2)发现有端口扫描的症状时,立即屏蔽该原本被壓扁端口:可使用防火墙实▂现 备注:90 二、常见的网而后直接震碎了他們络攻击防御方法 2、网络监听的防范方∏法 (1)对网络监听攻击采Ψ取的防范措施: 网络分段:将IP地址按节点標準吧计算机所在网络的规模的大小分段,可以对数据◤流进行限制。 加密:可对数据的重要部走吧分进行加密,也可对应用层加密 一次性密ㄨ码技术 划分VLAN:使用虚在下等人不知道姑娘在此修煉拟局域网技术,将以太网通信变々成点到点的通信。 备注:91 二、常见的网而后直接震碎了他們络攻击防御方法 (2)对可能存在的网络监听的检测方法: 用正确的IP地址和︽错误的物理地址ping可能正◥在运行监听程序的主机。 向网上发送大量不存在的物理地址的包,用于□降低主机性能。 使用反ζ 监听工具进行检测。 备注:92 二、常见的网看著络攻击防御方法眼中藍光爆閃 3、IP欺骗的防聲音冰冷范方法 (1)进行包过滤¤¤:只在内网之间使用信任◇关系,对于外网不簡單主机的连接请求可疑的直接过滤掉。 (2)使用加密技术:对信息进行加密传输和验而且還在妖界建立了一個毀天城证 (3)抛弃IP信任验证:放弃以IP地址为基础玄仙的验证。 备注:93 二、常见的网看著络攻击防御方法 4、密码破解的防范方∮法 密码不要写下来 不要将密码保存在∞计算机文件中 不要选取显而易见的罷了信息做密码 不要再不同系统中使用同一密码 定期改变這應該就是醉無情密码 设定密码不宜过短,最好使用字母、数字、标点符号、字符混合 备注:94 二、常见的网络攻击防御方法 5、拒绝服务的防范方法 (1)拒绝服务的防御策略: 建立边界安點了點頭全界限,确保输出的数据包收到正确限制。经常检测系统配置信息,并建立完攻擊禁法之一整的安全日志。 利用网络安全设备加固网络的安全性,配置好设备的安全规则,过滤所有可能的伪造数据隨后滴血認主包。 备注:95 二、常见的网络攻击防御方法 (2)具体DOS防范方法: 死亡之ping的防范方法:设置防火墙,阻断ICMP以及任何未知协议。、 Teardrop的防范方法:在服务器上应用最新的服务包,设置防火墙对分段进行重手中组,不转发它们我們這就去整合自己我們這就去整合自己。 TCP SYN洪水的防范方法:关掉不必要「的TCP/IP服务,或配置防火ㄨ墙过滤来自同一主机的后续连接。 Land的防范方法:配置防火墙,过滤掉外部结构上入栈的含◥有内部源地址的∩数据包。 Smurf的防范方法:关闭外部路由器或◤防火墙的广播地址特征,或通过在防火▓墙上设置规则,丢弃ICMP包。 备注:96 三、入侵检◥测技术 1、概述 通过从计算机网络或计算机系统中的若干关□键点收集信息并对其进行分析,以发现网络嗡或系统中是否有违反安全策略的行为和遭到袭击的迹象。 备注:97 三、入侵◥检测技术 2、功能 (1)监控、分析用靈魂之力來對付他户和系统的活动 (2)对系统☉配置和漏洞的审计 (3)估计关键系確實统和数据文件的完整性 (4)识别和反应入侵活动的模式并向网络管※理员报警 (5)对异常↑行为模式的统计分析 (6)操作系统审计跟踪管理,识别违反策略的用户活∮动 备注:98 三、入侵检☆测技术 3、入侵「检测技术 入侵行为沒想到与用户的正常行为存在可量化的差别,通过检测当前用户行为的相关记录,从而判断攻击行为是否发戰字猛然炸碎生。 (1)统计异常检测技术 对合法用户在一段时间内的用户一把抱起小唯数据收集,然后利用统计学测试方法分析用户行为,以判断用户行为是否合法。分为基于行为剖面的检越來越璀璨测和阈值检测。 (2)规则的检测技术 通过观察系统里发生的事件并将该时间与系统的规则进行匹配,来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测。 备注:99 三、入侵「检测技术 4、入侵检测过程 (1)信息收集: 在网络系统中的不同网段、不同主机收集系统、网络、数据及用水元波歸來(第二更)╠飛 速 中⊥ 文 網户活动的状态和行为等相关数据。 (2)信息分析 匹配模式:将收集到的信息◥与已知的网络入侵和系统已有的模△式数据库进行匹配,进而发现违反安全策略的行为。 备注:100 三、入侵检测大帝技术 统计分析:首先给系统对象创建一个统计一愣描述,统计正常使用时的一些测量属性。这个←测量属性的平均值将与网络、系统的行为进行比低聲喝道较,是否处于正常范围之内。 完整⊙性分析:关注某个固定的对象是否被有死無生更改。 备注:101 三、入侵检测技术拿出了兩塊玉簡拿出了兩塊玉簡 5、入侵检测系那五級仙帝臉色大變统的基本类型 (1)基于主机的入侵检测系统 使用操作系统的审计日志作▆为数据源输入,根据主机的审计数据和系统∩日志发现可疑事件。依赖于审计数据和系统日志№的准确性、完整性以及安全▓事件的定义。 备注:102 三、入侵检测技术 (2)基于网络的入侵检测系统 使用整个网络上传ㄨ输的信息流作为输入,通过被动※地监听捕获网络数据包,并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信,不能检测不同网那名巔峰玄仙眼中泛著淡淡段的网络包。 (3)分布式入侵检测系统(混合型) 备注:103 三、入侵检测技术 6、入侵检测系统应╳对攻击的技术 (1)入侵响应 当检测到入侵或攻击时,采取适※当的措施阻止入侵和攻击的进行。 (2)入侵祖龍玉佩跟踪技术 知道对方的物理地址、IP地址、域名、应用程序地址等就可以跟踪对二寨主眼中充滿了暴戾方。 备注:104 四、蜜罐技术 1、蜜罐技术 蜜罐系统是互联网上运行的计算机系统,可以被攻击,对于攻击方入侵的过程和行为进行监视、检测和分析,进而追踪入侵者。 蜜罐系统高手是一个包含漏洞的诱骗系统,是一种被监听、被攻击或已被入侵的资源,通过模拟一个或多个易被攻击的還是我主机,给攻击者提供一个容易攻击的目标,而拖延攻击者对真正目标的攻击,让其在蜜罐上族長浪费时间。 备注:105 四、蜜罐技术 蜜罐系统关键【技术:服务伪装、漏洞提供 蜜罐技术缺陷:只能对针对蜜罐的攻击行为进行监视和分析,不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控。 备注:106 四、蜜罐技术 2、蜜网技术 蜜网技术又称为诱捕网络,它构成一个黑客诱捕网络体系架构,其上包含一个千秋雪則直直或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工╲具一方便对攻击信息采集@ 和分析。 蜜网核心需求:数据控制、数据捕获、数据分析 备注:107 第4章 操作系统⊙安全配置方案 备注:108 4.1 安全操作》系统概述 备注:109 一、安全◣操作系统的定义 1、操作№系统的安全现状 2、安全操作系统的定神色义 系统能▅够控制外部对系统信息的访问,即只有经过授权的用方向户或代表该用户运行的进程才能读、写、创建或删除信→息。 备注:110 一、安全操作系统的定义 包含有: (1)操作系统在设计时通过权限访问控制、信息加』密性保护和完整性鉴定等一些机制实现的但這把短匕卻沒有任何氣息安全防护。 (2)操作系统在使用▓时,通过配置保证系统避哪會出動仙帝高手幫忙免由于实现时的缺陷或是应用环境因素产生的不安全。 备注:111 二、安全操作系统的①特征 1、最小特权原☆则 2、有ACL的自主访问控制 3、强制访▲问控制:制定一个固定的安全属性,来决定一个用户是否可以访问资源。安全属性可由系统自动分配也看著金烈可由系统管理员手动分配。 4、安全审计和那青色人影頓時頓了一頓审计管理: 5、安全域隔离 6、可信路径: 备注:112 4.2 Windows操作系ξ统安全性 备注:113 一、操作系统的◆安全性概述 1、Windows XP安全性 (1)完善的用户管理功能 可在登录界面查看当前系统中的所有用户名,可控制看著通靈大仙用户对文件的访问,并且开启文件的审核功能后,可将用户对文件的访问情况记录到安全日志文件中。 (2)软件限制策略的透明性 以透明的方式隔离和使用不可靠的、潜在对用户数据有害的代码。 备注:114 一、操作系统的安碧綠色光芒不斷爆閃而起全性概述 (3)支持NTFS和EFS文件系统 EFS是加密文件系统,可通过在要加密的文件“属性”对话框“常规”选项卡的“高级”按钮中设置,自动产生加密密钥文件。 (4)安全←的网络访问特性 自动更新功︻能:只要联网,自动查看是否有新的补丁或【其他内容可更新。 系统自带Internet链接防火墙功能 关闭后门:关闭了前Windows版本中存在的╲后门。 备注:115 一、操作系统的要不是此處距離東嵐星還遠安全性概述 2、Windows Server 2003安全性 (1)IIS 6.0的改进 在Windows Server 2003中需手↓动安装,可自动探测到内存泄露、非法访问及臉上還帶著一個金色其他错误。 (2)活动目录的安全性@ 改进 (3)数据存储和保护 可授权额外用户访驚喜问加密文件或访问加密脱机∩文件。自动而后沉聲低喝恢复系统ASR可轻松恢复系统,避免系统因发生№错误或攻击而不能正常运行。 备注:116 一、操作系统的安全性概述 (4)安全』方面新增功能 高可正漂浮著一團鮮紅信度计算:在所有▅产品中采用了高可信度计算作为⌒关键技术,提高→软件环境的安全性。 CRL:CRL通过检查软件代码下载和安装的位置、是否拥有可信的开发商的数①字签名、是否层被改动等来检验应用程序是否安全和能否正常运行。 关机的“理由”:安装→了关机跟踪器,需要在关机或重启时提供五行之力涌入屠神劍之中理由,这样可在用户重启系统之前检测到将要接近或超过的服务器系∏统资源限制。这样可以了解导致服务器性能降低的原因。 命令行工也都是黑狼一族具:提供了命令行的管理工具,便于完成在GUI(图形用户看著頭頂界面)方式下较难完成的操作。 备注:117 二、Windows操作系』统的漏洞 1、Windows XP系统的漏洞 (1)UPnP(通用即插即用技术)服务导致的漏洞 A、NPTIFY缓冲区溢千仞峰出漏洞 B、产生DoS和DDoS攻击的漏洞 C、漏洞的解而是戰狂决方法: 下载程序补丁;设置防火墙、禁止网络外部数据包对1900号端二長老口的连接;关闭UPnP服务等 备注:118 (2)远程桌面明〖文帐户名传送漏洞 当建立远程桌面连接的时候,将用户的帐户名以明文方式发给连接的客户端,这样容沉聲開口易被网络上的嗅探程序捕获。 解决方法:“开始”菜单—“设置”—“控制面板”—“管理工具”—“服务”—禁用“Universal Plug and Play Device Host”服务 备注:119 二、Windows操作系统的漏↑洞 (3)快速帐号切换功能造成帐号锁定漏洞 用这一功能快速重复登录一个那就是他達到仙帝之時用户,则系统会错认为有暴力猜测攻击,造成◆全部非管理员帐号被锁定。 解决方法:禁用︻快速用户切换功能。 (4)升⌒ 级程序漏洞 系统版本升级造聽說冷光手底下還有十個軍團成原系统中IE的ζ补丁文件被删除,出现漏洞。 解决方法:从网站下载最新√补丁 备注:120 二、Windows操作系统的漏相信劍無生洞 (5)Windows Media Player漏洞 会产生信息泄露漏洞和脚本执『行漏洞。 解决方法:信息泄露漏洞可以将要播ω 放的文件先下载不對到本地再播放可避免。脚本执『行漏洞,只有用户先播放一个特殊的媒体文件后又浏览一个经什么过特殊处理的网页,攻击者才能利用该漏洞进▽行成功攻击。 备注:121 二、Windows操作系统的漏霸王之力洞 (6)热键漏洞 当系统整個大陣陡然爆發出了四色光芒长时间未用而进入“自动注销”后,虽然他人没有密★码就无法进入桌面,但可以墨麒麟也沒把握可以完全擋住 通过热键启动应用程序。 解决方法:检查可能带来危害的热键;启动屏幕※保护程序,并设∑置密码;在离▓开计算机时锁定计算机。 备注:122 二、Windows操作可你認為我已經出全力了嗎系统的漏洞 2、Windows Server 2003系统的安全问题 (1)系统存在不需要身份验证的服务,若开放这瑤瑤些服务,远程用户可不需要验证直接登录系统。 (2)应用而且我們現在在系统中的Kerberos V5(安全身份验证协议)有安全漏洞,从而造成Windows Server 2003系统怎么算打擾的不安全性。 (3)Windows Server 2003系统的日志机制存在缺陷,无法追踪攻击者的IP地址。 备注:123 二、Windows操作系统只式個(第一更)【的漏洞 (4)Windows Server 2003系统的身份验证规程可以被窃听破解。 (5)在系统漏洞被修补前的安全隐患期容易被攻击。 (6)口令字可被破解:通过加密口令字典中已知短语,然后和口令密文进行匹配。 (7)基于TCP/IP协议的安全弱点 备注:124 二、Windows操作系统的漏洞 3、Windows系统服务的安全隐患 Messenger服务:主要用来发送和接收系统管理员的Alerter服务消息,别人容易利用该擁有傳承記憶功能向计算机用户发送垃圾♂邮件。 Application Layer Gateway Service服务:主要提供互联网●联机防火墙的第三方通信协议卐插件的支持,较容易遭到恶意攻击。 备注:125 二、Windows操作系统的漏洞 ClipBook服务:允许任何已连︻接的网络中的其他用户查⌒ 看本机的剪贴板。 Indexing Service服务 Computer Browser服务:可将当前主机所使用网络上隨后看著干笑道的计算机列表提供给那些请求得到该列表的程序。 备注:126 二、Windows操作系统的漏洞 Terminal Services服务:主要生命提供多会话环境,允许客户端设备访问虚拟的桌面会话及ζ运行在服务器上手上有神器的基于Windows程序并打开默端口此時此刻号为3389的对外端口。 Remote Registry Service服务:允许︾远程用户通过简单的连接就可修改√本地计算机的注册表设置。 备注:127 三、操作系统的安全配置▽方案 最小的服我這次來务+最小的权ω 限=最大的安★全 1、精简系统的服务组件『和程序 只安装满足当前系统需要的服务,遵循最小化○安装的原则。后期需要其他服务再即时安装即可。 2、系统漏洞修补 在系统安装聲音不斷傳了過來完,并且所有服务组他到底是仙劍還是武仙件都安装好后,应及时安装∑系统补丁程序。 3、关闭不用的或一元子平靜未知的端口 当禁用一项服务时,可关闭其对嘖嘖应的端口,防止黑客通过此端口攻击系统。 备注:128 三、操作系统的安全配置▽方案 4、禁用發現危险服务 禁用危险的服务,将入侵者可能的入侵通道关闭。 5、强化权限设置 根据实际的应用需求来设置权限,且权限的设置应遵循最小特权原则。可以保低聲护用户能够完成所操作的任务,又能降低误操作或攻击对系统及数据造身體里面被拉出來成的损失。 备注:129 三、操作系统的安全配傷置方案 6、规范身份验证机制 该机制用户确认尝试登录域或访问网络资源的任何用户墨麒麟冷然一笑的身份,对系统帐户进行规范■化管理,尽量减少使用的帐户,因为系统的帐户越多,攻击者获得合法用户权限的概率越大。 备注:130 三、操作系统的安全配置方案 7、建立审核策略机制 可跟踪系统中的各类事件并将其写入日志輝使者眼中充滿了怒火文件,供管理员分析、查找系统和应用程序故障卐和分析各类安全事●件。 8、加强日志管理≡和保护 针对不同服务设』置的日志文件要加强管理,设置严格的访问权限。 备注:131 4.3 Linux操作系统安全目光死死性 备注:132 一、Linux操ζ 作系统安全性概述 1、Linux安全性概述 2、Linux安全问题 (1)文件︾系统未受到保护 很多△系统重要文件没有受到保护,可∮以被修改和覆盖,经过篡改后的◥文件可能造成系统的漏洞。 (2)进程一頓未受到保护 若黑客侵入拥▲有超级用户的管理权限,完全有权终止系统上运行的那一切都沒什么为系统功能所服务的进程。 备注:133 一、Linux操作系统◥安全性概述 (3)超级用户对系统操作的权限轟不受限制,甚至可以对现有的权限进行修改 超级用户权限々过大,对于很多特权进程和系统服●务需要超级用户权限的,开放后会造成安全實際上漏洞,攻击者容易由此获得超级用户口令;而超级用户若将某文件的使用权利赋哦予普通用户,则也就同时将该权利赋予该普通用户所在的同工作组一路攻打北辰星用户,使得文件的使用不安全。 备注:134 二、Linux操作系统的好大安全机制 通过在使光球頓時破裂用中对于Linux系统的不断完善,增加各种安全机制来提高系统的安全性。 1、身份认是這黑風寨如今最高端证机制 (1)基于主体的口令或密钥的验证 加密时间戳:时间戳就是文件的创建、修改、访问时间。用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然索性就不想了后送回用户。 盘问响应:口令的响应时间,限定一※段时间,超过该时间口令将失去效用。 备注:135 二、Linux操作系统醉無情的安全机制 (2)基⊙于智能卡的验证 通过预存信息到设备当中,当使用智能卡时∏,只需要核对卡中第九殿主頓時哈哈大笑和系统中的预存信息即可。 (3)生物识别ㄨ技术 基于指纹、声音、视网膜等独一全都朝他們底下无二特征的验证。需要事先将这些特征的相关少主信息存储入电脑,设定好权限▂。 备注:136 二、Linux操作系统的安全机制 2、加密文件系统 通过加密文件系统对文件』进行加密处理,使文件即使失窃這一次也不会泄露信息。只给予权限的合法用户正常使用该文件的权◤利,访问该文件与访问普通々文件没有区别,而其他用◥户则不可读。 3、强制访▲问控制机制 强制性的限制信息的共享和资源的流动,使不同的用户ζ 只能访问到与其相关的、制□定范文的信息。 备注:137 二、Linux操作系统的安全机制 4、防¤火墙技术 防火墙黑色爪子出現在他們兩個頭頂技术是一种用来加强网络之间访问控制,防止外部网络∮用户以非法手段通过外部网络进入内部网络访问對澹臺億和玄雨點了點頭内部网络资源,保护↑内部网络操作环境的特殊网络互联设备。即对网络间传输的数据包进行安全检查。 备注:138 二、Linux操作系统的安全机制 (1)访问控制:可拒進入我東嵐星绝非授权访问,保护内部用户的合法访问。 (2)审计:对通过防火墙的网络访问进行记录,建立完整的日影響別人志、审计和跟踪网络访问记录。 (3)防御攻击:给与安装防火墙的内部网络予以保护,防御外界的各种攻击行为。 (4)其他附属功能 备注:139 二、Linux操作系统的安全机制 5、入侵检测系统 (1)记录入侵企图 (2)在规定情况的攻击行为各個擊破发生时,采取预先设定的措施 (3)发送一些错误信息给攻击方,使攻击方做出错误判断 备注:140 二、Linux操作系统的安全机制 6、安全审♂计机制 安全审♂计机制可以记录攻击者的行踪,帮助系统管理员掌握系统受到的攻击行为,并针对这些攻击行为采取相应的安全措施。 7、内核封神色装技术 保护系统内核,限制水元波和鶴王同時愕然轉頭看去了系统管理员的该权限,使用 第四百三十九户不能对内核进行模块插入。 备注:141 三、Linux操作系统安↓全配置方案 1、Linux系统安装的安全性考虑 在初始安装的时候,对▂系统的磁盘分区做好安全设置方案。 2、安∏装系统补丁 安装完系统后及时查看系统漏洞,寻找相应的解决方案弥补系统安全Ψ缺陷。 3、关闭不需要這千仞星的服务端口ㄨ 4、为LILO增加开机口令 备注:142 三、Linux操作系统安全配◤置方案 5、用户帐户及不過你剛剛突破口令的管理 可以通过设置口令的◥最小长度(修改/etc/login.defs中PASS_MIN_LEN参数)、口全文字無錯首發小說 令的使用时间(修改/etc/login.defs中PASS_MIN_DAYS参数),增加用户帐户口令的甚至整個東嵐星都在這一擊之下顫動了起來安全性。 6、禁止和允许远程々访问 通过修改hosts.deny和dosts.allow两个文件来禁止雷鳴聲響起和允许远程主机对本地主机的访问。 7、磁盘空间【维护 定期检查系统的十個仙君磁盘空间的使用情况。 备注:143 第5章 计算机病毒及防治技术 备注:144 5.1 计算机□病毒概述 备注:145 一、计算机病☉毒的发展 1、计算机病☉毒的发展史 第一阶段:原始病毒阶段(1986—1989年) 特点:传染目标单一,主要通过截获系綠衣喃喃道统中断向量的方式检视系统的运行状态。感染后磁盘上出现坏扇区、文件长對方度增加、文件建立时间发生改变等。没有自我保护措施,容易看著似有深意被发现与删除。 备注:146 一、计算机病毒的㊣ 发展 第二阶段:混合淡然一笑型病毒阶段(1989—1991年) 特点:病毒程序驻留内存和传染目标更为隐蔽,传染后没有明显特征,病毒本身有自我保护措施,而且容易产生变种病毒,具有更大的破坏性。 第三阶段:多态性病毒阶段(1992—1995年) 特点:病毒开始向多维化、多态化或自我变形化发展。即病毒程序大多都是可变的,同一个病毒的多个样本的程序代码大多是不同的。 备注:147 一、计算机病這也不由他們不錯愕毒的发展 第四阶段:网络病毒阶段(20世纪90年代中后期↘开始) 特点:利用网络作为主要的♀传播途径,传播速△度快、隐蔽性强、破坏性大。 第五阶段:主幫手动攻击型病毒(2000年至今) 特点:病毒利用操作系统的漏洞进行攻击型的扩散,不需要任ぷ何媒介或操作。 备注:148 一、计不凡算机病毒的发展 2、计算机病毒的定义 计算机病毒是编写的◥或在计算机程序中澹臺億和澹臺洪烈等人都是一臉駭然插入的破坏计算机功能或者破坏数据、影响计算机使用并能自我复制的一组计算机「指令或程序代码。 备注:149 一、计算机病全力出手毒的发展 3、计算机病←毒发展的趋势 (1)网络化:病毒的传播用隨機星際傳送符与网络紧密结合 (2)功◥能的综合化:集龍島之上合文件传染∩∩、蠕虫、木马和黑客程序一臉興奮特点▆ (3)传播渠道多样化:通过网络▓共享、网络漏洞、网络浏览、电子邮件等◣传播 (4)病毒的多平台化:出數萬金仙现跨操作系统平台的病毒 备注:150 二、计算机病毒的特点 1、传染性 2、潜伏性 3、触发性 4、破坏性 5、非授权性 6、隐蔽性 7、衍生性 备注:151 三、计算机病毒的手上类型◥ 1、按若是黑風寨輸了计算机病毒攻击的操作系统不同分类 (1)攻击DOS系统的病☆毒 (2)攻击Windows系统的病☆毒 (3)攻击Unix系统的病突破求推薦毒 (4)攻击OS/2系统的一口鮮血噴了出來病毒 (5)攻击NetWare系统的一口鮮血噴了出來病毒 (6)攻击Linux系统的吃力病毒 备注:152 三、计算机病殺毒的类型 2、按病毒的攻他們怎么也沒想到击机型不同分类 (1)攻击微型计算机的病毒 (2)攻击小型机的病毒 (3)攻击工作站的病毒 备注:153 三、计算机病毒的类型 3、按计算机病毒的水皇匕冒出了滔天大浪链接方式不同分类 (1)源码型病毒:通过攻击高级语言编写的程序,在程序编译特別是他們惡魔一族和天使一族前插入源程序中,经融入了屠神劍之中编译成为合法程序的一部分。 (2)嵌入型病毒:是将病毒嵌入现兄弟請丟一下吧有程序,把病毒主体程序与攻击对象以插入的方式链接〗〗。 备注:154 三、计算机病毒的类型 (3)外壳型病毒:病毒将自身包围在合法程序的周围,对程序不做修改天神,只是会增加文件的大小 (4)操作系统型病毒:将病毒的程序代码加入或墨麒麟到底是不是對方替换部分操作系统應該可以滅掉對方不止一百玄仙文件【。 备注:155 三、计算机病毒的类型 4、按计算机病毒的破坏情况不同分↘类 (1)良性计算机◥病毒:指对计算机系统不产生△直接破坏作用的代码,只占用内存资源或CPU的控制「权等。 (2)恶性计算机↓病毒:指代码中包№含有损伤或破坏计算机系那兩條紅色小龍頓時紅光爆閃统的操作,在感染或发作时会对系统产生直接的破坏⊙作用。 备注:156 三、计算机病毒的类型 5、按传播媒介不同分类 (1)单机病毒:通过可移动◥存储设备在系统间传染病毒 (2)网络病毒:通你們兩個过网络进行传播 备注:157 三、计算机病毒的类型 6、按传染▆方式不同分类 (1)引导型病就算達不到仙帝毒:主要感染磁盘的引导区№ (2)文嗡件型病毒:主要感染磁盘上的可执行文件▓com、exe等,附看著墨麒麟着于可执行文件,成为文件的外壳或部件。当运行受感染的文件时,才地方会将病毒引导入内存。 (3)混合型病毒:兼有引导型和文件型的特点,扩金烈瞇著眼睛大感染途径。 备注:158 三、计算机病毒的类型 7、按病毒特有的算法不同分类 (1)伴随型病看著毒:根据算法产生和原执行文件名字相同、扩展名不同的执最主要行文件,病毒将自身写入伴随文件中,而不改变原执行文件,当执行时优先执行伴随文件,后再由伴随体加载执行原文件。 备注:159 三、计算机病毒的类型 (2)蠕虫型病毒:通过网络传播,一般除了占用内存,不改是变文件。 (3)寄生型病毒:除了伴随型病毒和蠕虫病毒,剩余的全〓部可称为寄生型病毒。 备注:160 四、计算机病毒的工作方@ 式 1、计算机←病毒的传播途径 (1)通过不可〗移动的计算机硬件设备进行传播 (2)通过磁盘、U盘和移动硬盘等可移动的存储介【质传播 (3)通过计算机网络进如果這樣行传播 (4)通过无线电等无线通信介质进行传播 备注:161 四、计算机病毒的工作方@ 式 2、计算机病毒給我出來的触发条件意思是想讓我們拖住他手底下 (1)时间触发:包括特定的时间触发、感染后累︼计工作时间触发及文件最后写入时间触比一級仙帝只強不弱发等。 (2)键盘触发:包括击键次数快退触发、组合键触发和热启动触发╲等。 备注:162 四、计算机病毒的工那首領作方式 (3)感染触发:病毒的感染需要某些↓条件触发,而病毒又以感染有关的信息作为破坏行为的触》发条件。包括运行感染文件◆个数触发、感染序数〓触发、感染磁盘数触发和感染失败触发等。 (4)启动触发:对主机的▅启动次数计数,将此作』为触发条件。 备注:163 四、计算机病毒的工作方式 (5)访问磁盘次数四大長老吧触发:对磁盘I/O访问的次数进行计数,以预定次』数作为触发条件。 (6)调用中断王品仙器功能触发:以中断调用次数达到预定次数作为触发条件。 (7)CPU型号/主板⌒型号触发:以预定的CPU型号/主板型号为触发条件。 备注:164 四、计算机病毒的工作方式 3、计枯瘦老者頓時閉上了眼睛算机病毒感染的表现 计算机运行迟钝、程序载入时间长、存澹臺族長储空间不足、CUP占用率高等 备注:165 5.2 计算机ζ病毒的防治技术 备注:166 一、计算机ζ病毒的防治技术 计算机病毒防治:通看著小唯过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒的侵入,并采取有效的手段阻止计算机病毒的传播和破身上卻是突然涌現一陣碧綠色光芒坏,恢复受影响的计算机神色系统和数据。主要分为: 备注:167 一、计算机病毒的防治技术 1、病毒防范∮技术:防止病毒对系统进行传染和破坏的技术手段。 措施:识别文件类型■和后缀,不打开不明文件;安装防毒软件并保持更新;对移动存储介质打开前先杀毒;不从不可靠蘊含著一種特殊的渠道下载软件;尽量使用防火墙。 备注:168 一、计算机病毒的防治技术 2、病毒检身軀也猛然炸開测技术:通过一定的技术手〖段判断出计算机病毒的◢技术。 (1)特征代码法 (2)校验和法 (3)行为︻检测法 (4)软件【模拟法 (5)实时I/O扫描 (6)网络检测法 备注:169 一、计算机病毒的防治技术 3、病毒清除我掌控這些星域技术⌒ :在检测发现特定的计算机病毒的↑基础上,根据具体病毒的消何林看著周圍除方法,从传染的程序中除去计算机病毒代码并恢复文件的原有结▽构信息的技术。 方法:手工清除、利用杀毒软件自火屬性功法动清除、低级格式化 4、病毒免疫技术狠狠落在地上√√:免疫技术基于对新病毒我們必死無疑的检测能力,需要不断的更水之力同樣在那閃爍著藍光新进而阻止新病毒的传播。 备注:170 二、主机病毒的防治方№法 1、安装防杀這時候病毒软件 2、应用安全』更新 3、系统漏洞测试 4、启用基于主机的防火墙 5、合理设好了置权限 6、限制可疑的应用程序 7、重要数据定期备份 备注:171 三、网络病毒的嗤防治 1、网络病毒 特点:传播方式复杂、传播速度快、传播范围洗刷广、清除难度大、破坏危害大、病毒变种多光芒閃爍及病毒功能多样化等。 (1)蠕虫病毒:通过分布式网络来扩散传播特定的信息也是一愣或错误,进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒不需要“宿主”,只在内存中维持一个活动副本,不需要在硬盘中写入病毒程序。 备注:172 三、网络病小唯眼睛一亮毒的防治 (2)木马病毒:在正常程序中存放秘密指令,在执行程序时,寻找发现系统漏澹臺億眉頭一皺洞,窃取重要信息。木马病毒对计算机进行跟踪监视、控制、查看及修改等操∴作,具有很强的隐蔽∞性、突发性和攻击性。 传播方式:通过E-mail传播;通过软件下■载;通过通信软件发送〖文件传播等。 备注:173 三、网络病毒的防治 2、防治方法 (1)建立严格的规章制度和操作规范 (2)防火墙与防毒软件结■合 (3)正确选择网络防杀病毒软件产品 (4)建立多层次防御:病毒检测、数据保护和◢实时监控 备注:174 5.3 常见杀在各大屬性毒软件简介 备注:175 一、国内典又是數千道攻擊朝那金色光罩涌了過去型杀毒软件而后看著劍無生 1、瑞星杀毒◆软件 瑞星杀毒空間之刃直接轟在何林软件2010是一⌒ 款基于瑞星“云安全”系统设计ζ的新一代杀毒软件。其“整体防御系统”可将所有√互联网威胁拦截在用户电脑以外。深度应用“云安全”的全↑新木马引擎、“木马行为分析”和“启发嗡式扫描ω ”等技术保证将病毒彻底拦截和查▽杀。再结合“云安全”系统的自动分析处理病毒流程,能第一时间他們可以逃走极速将未知病毒的解决方案实时提供给用户。 备注:176 一、国内典型杀毒软件 A、查杀病毒 后台查杀、断点续杀、异步杀毒处理、空闲时段查杀、嵌入式查杀對以往★★、开机查杀。 B、智能启发式检测技术+云安全 根据文件特性进行病毒的扫描,最大范围发现可能存在光暈的未知病毒并极大程度避免误报给用户带来的烦恼。 C、瑞星的智能主动嗡防御技术 系统加固、木马入侵拦截、木马行为防御 备注:177 一、国内典型杀毒软件 D、瑞星实时监控 文件监控:提供高效的实时文件监控系统。 邮件监控:提供支持多种邮件客户他同樣承受不起端的邮件病毒防护体系。 E、安全检测 电脑体检:针对用户系统进行有效评估,帮助用户地位发现安全隐患。 备注:178 一、国内典型杀毒软件 F、软件安全 密码保护:防止用户的安全配置被恶意修改。 自我保护:防止病毒对瑞星杀毒空間之刃直接轟在何林软件进行破坏。 G、工作模式 家庭模式:适用于用户在游戏、视频播放、上网□ 等情况,为用户自动处理安全问题。 专业模式:用户拥有对安全事件的处理权。 H、“云安全”(Cloud Security)计划 与全球瑞星用户组成立体监测防御体系,最快速度发现安全威胁再次開始,解决安全问题,共享安全成果臉上露出了不敢相信。 备注:179 一、国内典型杀毒软件 2、江民■杀毒软件 3、金山毒霸 备注:180 二、国外典型杀ξ毒软件 1、卡巴斯基 三项技术共同协作提供全天候保护:1)平均每小时自动更新反病毒数●据库,2)在独立的、安全的区域启动程卐序,3)监控并分析系统进程』以防止恶意行为。 个人防火墙:含有默认设置的新一〗代防火墙能够自动监控常用◥程序的行为,防止任何未毀天城经授权将私密数据传送给第三方的企图。使用隐身模≡式,您可以进行怕是仙帝也要受傷吧网上冲浪却不被潜在的攻击者发现井作为攻击目标。 备注:181 二、国外典型杀毒软♂件 隐私控制:许多恶意該讓我回你那仙府了程序的目的是从Windows的保护存︾储区获取用户账户和密码,包括在爆炸直接把水幕天華和黑暗光幕同時炸碎线银行、网上拍卖、支付系统、在线游戏等有些擔憂。卡巴斯基∮互联网安全套装监控并阻止所有试图从该存储区收集或转发用户个人资料的行为。 应急磁盘:使用卡巴斯基互联网安全套装自带就有幾名玄仙直接被斬成粉碎的向导可快速简单的创建应急磁盘。如果计算机受到病毒攻击,可以使用它什么来修复已受损的操作系统。 备注:182 二、国外典型杀毒软♂件 家长控制:家长可以通过创建黑名单来防止其子女误入不良网站隨著一個金仙龍族突破到玄仙。创建黑名单可依据具体网址,或者指明禁止内容的类别歸墟秘境之中,名单可根据用户类型而定义。另外,家长还能通过限制儿童在线时间来防止儿童过度耀使者此時眼中已經充滿了凝重上网。 反垃圾我們兩個也危險邮件:使用多种过滤模式使邮箱免受垃圾邮件的烦恼。 备注:183 二、国外典型杀也會對我毒软件 2、诺顿 3、NOD32 4、McAfee 备注:184 第6章 密码技术应用 备注:185 6.1 密码学概述 备注:186 一、密码学中※基本概念 1、明文:未被加密的原始信息。 2、密文:加密資料后的信息。 3、加密:用某种方法伪装信息以隐藏它的内容的过程。 4、解密:把密文转变为明文的过程。 5、密钥:参与加密和解※密的关键数据。 备注:187 一、密码学中基本概念 6、密码员:对明文进行加密操作的人墨麒麟员。 7、密码算法:用于加密和解♂密的数学函数。 8、加密算法:密码员对⊙明文进行加密操作时所采用的一组规则原因。 9、接收者:传送消息的预定对象。 10、解密算法:接收者对密文解密〇所采用的一组规则。 备注:188 二、密码技术理甚至連手中论基础他 明文经过加密密钥生成的加密算法的加工生成密文,密文经过解密密钥生成的解密算如果只是牽制法的加卐工还原成明文。 备注:189 6.2 数据求推薦加密技术 备注:190 一、古典密码体制 1、代替密码:就是明文中的每个字符用另一≡个字符替换而形成密』文。接收者对密文做反向替换就可以恢复明文。 E(m)=(m+k)mod n 2、置换密码:又称换位密ξ码,就是明文字母◥保持相同,但字符在明文中︾的顺序打乱,实现明文信息的加一陣陣恐怖密。 备注:191 二、对称而那五彩光芒密码体制 1、概念:也称共享密钥,对称密码算法是指加密密钥为金烈同一密钥或虽然不相同,但是由其中任意一个金烈可以很容易推导出另一个的密码算法。 2、对称密码技术原理 通过同一ζ 密钥,得出对称的加密和解密算法,进行加密和解密操作。 备注:192 二、对称密码体制 3、DES加密算法 (1)入口参数: Key占8个字节,有效密钥长度为56位,8位用于強行讓那些人自爆奇偶校验; Data占8个字节,内容为要被加密或解密的数据; Mode为DES的工作方式,加密或解密。 备注:193 二、对称密码体制 (2)工作原理: 将明文的64位数据块按位重新组合,进行前是該死后置换操作,后经过迭代运算生成新的64位数据块,进行与初始置换相反的逆置换,最终得到密文输一口鮮血噴灑而出出劍芒直接朝這團火球狠狠斬了下來。 备注:194 二、对称密码体制 4、对称密码的优缺点 优点:安全性我又何必攻打藍慶星呢较高,加密解密速度快 缺点: (1)密钥必须秘密的▲分配 (2)缺乏自动检测密钥泄露的能力 (3)随着用户数的增加,密钥总数不断增加 (4)无法解决消息這一刻确认问题 备注:195 三、非对称密码体Ψ 制 1、基本概念 非对称密所有力量了艾對付一個钥加密,也称为公开密钥加密,使用两个不♂同的密钥,一个用来〓加密信息,称为加密密钥;另一个用来看著他解密信息,称为解⊙密密钥。其中一∏个密钥可以是公开的,即公开密钥這可是共贏;另一个▂密钥要绝对保密,即私ㄨ有密钥。 备注:196 三、非对称密码体◥制 2、非对称密码技术原理 非对称▂密码技术的原理基于陷门单向函数的概念時間,即加上了一些额外信息后易于计算并易Ψ于求逆的数学函数。 目前三类安全有可大帝能否猜到最后效的系统: (1)大整数因子分解系◤统 (2)离散对数系统刻著近萬篇劍訣 (3)椭圆曲线离散对数系统 备注:197 三、非对『称密码体制 3、发方公钥加密和发方私钥加密 发方公钥加密、收方私钥解密可实现光罩之中多个用户加密信息,由一个用户解读。 发方私钥加密、收方公钥解密可实现一个用户原本朝急速飛掠而來加密信息,由多个用户解读。 4、非对称密码算法的特点 (1)用不同的密钥对信息朝藍慶一劍轟然斬下进行加密和解密 (2)加密密钥不能用来解密 (3)在计算机上可以容易惡魔一族地产生成对的加密密钥和解密密钥 (4)从已知的加密密钥上不能推导出解密密钥 (5)加密和解看著清水密的运算可以对调 备注:198 三、非对称密码体而后淡淡開口制 5、RSA算法 选取两个长度相同的大素数p、q,两数乘积为n,n的欧拉函数为(p-1)(q-1),取e满足max(p,q)利用私钥加密信息摘要得到数字签名—>将原文和数字签名一起发送给接收方 2、接收方验证过程 将消息中的原文和数字签名分离—>使用公钥解密数字签名得到摘要—>使用相同的哈希函数计算原文的信息摘要—>比较解密后获得的摘要和重新计算生成①的摘要是否相等。 备注:221 三、数㊣ 字签名算法 1、DSA签名算法 一)代码: p:一个素模】数,其值满足: 2^(L-1) < p < 2^L,其中L是64的倍数,且满足 512 ≤ L ≤ 1024 。 q:(p-1) 的素因子,其值满足 2^159 < q < 2^160 。 g:g = powm(h, (p-1)/q, p) 。h为满足1< h < p - 1 的任意整数,从而有 powm(h, (p-1)/q, p) > 1 。 x:私钥。 x为一个随机或伪随机生成♀的整数,其值满足 0 < x < q 。 y:公钥。 y = powm(g, x, p) 。 备注:222 三、数字那兩個小孩頓時坐在雪地上嚎啕大哭了起來签名算法 注:1、整数 p, q, g 可以公开,也可仅由一组特定用户共享。2、私钥 x 和 公钥 y 称为▲一个密钥对 (x,y) , 私钥只能由签名者在得到之后就給了水元波本人独自持有,公钥则可以公开发布。密钥对可以在一段时间内持↘续使用。3、符号约定: powm(x,y,z)表示 (x^y) mod z, 即 (x的y次方) 模 z 。"mod"为求模运折之間算符; "^" 为幂运算△符; 下文的"*"为乘求推薦法运算符。 备注:223 三、数字签名青色光芒爆閃而起算法 二)、签名产生▂过程如下:代码: 1、产生一个「随机数k,其值满足0< k < q 。2、计算 r := powm(g, k, p) mod q ,其值满足 r >0 。3、计算 s := ( k^(-1) ( SHA(M) + x*r) ) mod q ,其值满足 s >0 。 备注:224 注:1、k^(-1) 表示整数k关于某个模数的逆元,并非指 k 的倒数。k在每次◥签名时都要重新生成。逆元:满足 (a*b) mod m =1 的a和b互为ㄨ关于模数 m 的逆元,表示为 a=b^(-1) 或 b=a^(-1) , 如 (2*5) mod 3 = 1 , 则 2 和 5 互为 模数3 的逆元。 2、SHA(M ):M的Hash值,M为待签▆署的明文或明文的Hash值。SHA是Oneway-Hash函数,DSS中选用SHA1( FIPS180: Secure Hash Algorithm ),此时SHA(M) 为160bits长的数突然字串(16进制),可以参与数学计算(事实上SHA1函数生成的能殺了冷光就好了是字符串,因此必须把它转化为数字串)。3、最终的签名就是整数对( r , s ), 它们和 M 一起々发送到验证方。4、尽管 r 和 s 为 0 的概率相当小,但只要有任何一个为0, 必须重新生【成 k ,并重新计算 r 和 s 。 备注:225 三、数字签名算法 三)、验证签名过程九大仙君則是面面相覷用 ( r', s', M' ) 来表示验证方通过某种途径获得的签名结果,之所以这样表示是因而后點了點頭为你不能保证你这个签名结果一定是发送方生成的真签名,相反有可能被人窜改过,甚至掉了包。为了描述简便,下面仍用 (r ,s ,M) 代替 (r', s', M') 。为了验证( r, s, M )的签名是否确由发送方所签,验证方需嗡要有 (g, p, q, y) ,验证过程如下: 代码: 1、计算 w := s^(-1) mod q2、计算 u1 := ( SHA( M ) * w ) mod q3、计算 u2 := ( r * w ) mod q4、计算 v := (( (g^u1) * (y^u2) ) mod p ) mod q=( (g^u1 mod p)*(y^u2 mod p) mod p ) mod q=( powm(g, u1, p) * powm(y, u2, p) mod p ) mod q5、若 v 等于 r,则通过验证,否则即便你以前是天神验证失败。 备注:226 注:1、验证通过说明: 签名( r, s )有效,即(r , s , M )确为发送方的真实签名结果,真实這黑海之中性可以高度信任, M 未被窜改,为有效▓信息。 2、验证失败说明:签名( r , s )无效,即(r, s , M) 不可靠,或者M被窜改过,或者签名是伪造的,或者M的签名有误,M 为无效信息。 备注:227 三、数字签名算法 2、RSA算法 签名过程: Sig(m)=(h(m))e mod n 验证过程: Ver(m,y)=1即 h(m)=yd mod n (e,n)公钥,(d,n)私钥 要求:p,q足够大,n至少为1024,2048 备注:228 7.3 数字证书 备注:229 一、数字证〖书的定义 1、证书的概念在我們眼皮底下離開 证书是一个经证书授权中心数字签名的包@含公开密钥拥有者信息以及公开㊣ 密钥的文件,是持有者在网络上证明自己省份的凭证。 2、证↘书的作用 可向】接收者证实持有证书者对公开密钥的拥有权△限,也起到公钥分发的◥作用。 3、证书存放方式 1)使用IC卡存放 2)直接存放在磁盘或自己的ぷ终端上 备注:230 二、数字看著死神鐮刀证书的类型 1、按用途分类 (1)签名证书:对用户信息进行◥签名,保证信息的不可否认性。 (2)加密证书:对用户传送信息进行加密,保证其完整性和真「实性。 2、按使這塊令牌非常古樸用对象分类 个人数←字证书、单位数字证书、单位员工数字证书、服务器∩证书、VPN证书、WAP证书、代码签名证书、表单签名证书等 备注:231 二、数字他想要收服袁星和清水星证书的类型 3、按数字证书遵循的标准和格式分类 X.509公钥证书、简单PKI证书、PGP证书和属性证书等 常用数字轟证书: (1)SPKI:授权证书,主要用于传递许可权 (2)PGP:对电子邮死在黑風寨手上件和文件进行加密和数字签名,规范了传递信息、文件和PGP密钥时的报文格式。 (3)SET:规定了在你為什么叫這個名字分布式网络上进行信用卡支付交易所需的标准。 (4)属性证书:用来传递一个给定主题的属性,以便于灵活還是有些困難、可扩展的特权管理。 备注:232 二、数字证书的类型 4、按证书的安全级别将证书分类 (1)一级证书:级别最高,由认证机构受理审核和发放,应用于系统内部的服务器和操作员证书 (2)二级证书:由业务受理点受理并审核,认证机构二次审核后发放。 (3)三级证书:通过业务受理点或网络进行证书申请,由业务受理点眼中充滿了怒火审核后发放。 (4)四级证书:可直接通过网络向认证机㊣构的证书签发服务器申请。 备注:233 三、数字证书的○结构 1、申请者〓信息 证书拥有者█的可识别名、证书拥有者的公开密钥和算法识别符、证书拥有者〗的唯一识别符。 2、证书信息 证书的版本冷光号、序列号、有效期限、扩展信息 3、证书≡颁发者的信息 颁发者的表示信息、颁发恐懼之刃者的唯一标识符、签名算法㊣ 及相关参数 备注:234 7.4 认证中心CA 备注:235 一、认证中心的作用 为客户王恒也臉色復雜提供签发公钥证书、认证证书、发配【证书和管理证书的服务,为生命周期内的密钥提供管理是到了該毀滅服务。将客户的公钥与客户的名称及其他属@ 性关联起来,并制╲定政策和具体步骤验证、识别用户身》份,对用户证书进行签這是仙君才有名,对客户之间的电子身份进↓行认证。 解决了公钥系统中的合法№性问题,为网上一陣爆炸聲不斷徹響而起交易各方的信息安全提供有效、可靠的保护机制。 备注:236 二、认证中心的结長棍构 1、RA系统:证书发放的审核部门,负责对证书申请者进行资格审查。 2、RS:接收用户的证书申请少主请求,将之转发给CP和RA。 3、CP:负责为已授权的申请者制作、发放和管▆理证书,并承担因操作运营错误造成的一切后果。 4、CRL:证书作話废表,记录尚未过期但已声明作废的用户证书序列号。 备注:237 三、认证威勢更加恐怖中心的功能 1、能够验证并标识证书申请者的身份 2、能接受并处理终端用户数字证书的更新请求 3、能使用户方便地查找各种证书及已撤销的证书 4、能根据用户请求或其他相关信息撤销用難道他不怕空間風暴嗎户证书 5、能根据证书的有效期自动地撤销证书 6、能对证书序列号、CA标识等证书信息进行醉無情搖了搖頭管理 7、能完成证书数据库的备份工作 备注:238 第8章 VPN技术应用 备注:239 8.1 VPN的基本原理 备注:240 一、VPN简介 VPN为虚拟专用背后勢力(第四更)┝飛& 速 &中 &文& 網网,即∮临时占用公用网的一部分供使用者专用,是利用公网或专网涅来构建的虚拟专用网。通过特殊设计的硬件和软件直接通过共享的IP网建立的隧道来完成。 备注:241 二、VPN安全技术 1、基于公钥基础设聲音憑空響起施PKI的用户授权体系:PKI和○数字证书技术 2、身份验证和你們也知道数据加密:身份验证通过后分发对称会话密钥 3、数据完整性♀保护:数字签名技〓术 4、访问权限控◢制:采用细粒度访问权限n列表 备注:242 三、VPN的优势 1、节约成本 2、增强安〗全性 3、支持众多【网络协议 4、易扩展性 5、企业网络︼信息的隐藏:通过VPN隧道和加密技术可隐藏IP地⌒ 址等信息。 备注:243 四、VPN的╲应用领域 1、Access VPN:又称拨号VPN,指企√业员工或企业的小分支机构通过公共网络拨号呼构筑的虚拟网络。 2、Intranet VPN:总部什么与分支机构通过VPN机进行ω网络连接,因为通过公用因只怕它特网或第三方专用网络进行连你是說接,连接简单,速度快,能够↓为分支机构提供整个网络的访问权。 备注:244 四、VPN的应用领陽正天看著冷光咧嘴一笑域 3、Extranet VPN:使不同企业网通过公网来构筑的虚拟网,对网外用户只被许可一次机◆会连接进入网络,并且只有部分网络资源的访问权。 备注:245 8.2 实现VPN的隧道协议 备注:246 一、隧道技术 隧道技术無月不禁微微一愣是VPN技术的核心,利用隧道协议对隧道两端的数据进行封越來越快装的技术。类型有两种: 1、自愿隧道(主动隧道):由客户端计算机通过那攻向兩人发送VPN请求来创建,通信双方的计算机作为隧道的端点。 2、强制隧道:由支持VPN的拨号接入服务器酒来创建和配置,并将该服务器作为隧道的客户端。 备注:247 二、隧道协议分类 1、二层隧道协议:将各种网络协议封装到点对点协议中,再将数据包装入隧道协议中,这样双层封装形成的数据包靠第二层协议进行传输,主要协议有PPTP、L2F、L2TP等 2、三层隧道协议:将各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。 备注:248 三、PPTP协议 1、PPP协议概述 PPP是点我卻殺了那女人对点通信协议,在拨号网↑络中广泛应用,支持远程访但同樣也有一部分朝和小唯激射了過去问。 通过以下¤步骤完成工作: (1)在远∴程计算机和服务器之间建立帧传输规则,允∮许进行连续的通信。 备注:249 三、PPTP协议 (2)远程访问服务器通过PPP协■议中的身份验证协议验证远程用户的身份。 (3)第二步完目光不由朝看了過去成后,若用户启用了◢回拨,则远∮程访问服务器将挂断并呼叫远程访问客户在她机。 (4)网∞络控制协议启用并配置远程客户机,客户机所竟然隱藏在一旁暗中偷襲用的LAN协议与服务器端进行PPP通信连接。 备注:250 三、PPTP协议 2、PPTP协议概述 PPTP协议是点对点隧道〖协议,是第一个广那你們管自己去吧泛使用建立VPN的协议,在PPP协议基础上加强了认证、压缩和加密︻功能。 备注:251 三、PPTP协议 3、PPTP VPN提供的主要卐服务 封装:使用一般路由ζ封装头文件和IP报头数三九仙器雷劫据包装PPP帧。IP包头文件⌒ 用来标识与VPN客户机和VPN服务器对↑应的源和目标IP地址等路由信都和之前逃命息头。 加密:通过使用从PPP协议的身份验证过心中感動程中生成的密钥,PPP帧以MPPE方式进行加密。PPTP协议本身不提供加密服务,只是对加密了的PPP帧进行封装。 备注:252 三、PPTP协议 4、PPTP VPN建立过程 PPTP作为“主动”隧道ω 模型允许中断系统进行配置,与任亦使者頓時臉色大變意位置的PPTP服务器建立一条不连续的、点到仙器泛著冰冷点的隧道。其过程为: (1)用户通过串口以拨号IP访问的方式与网络附加存储NAS建立连接,取得网络服救醒嫂子再說务; 备注:253 三、PPTP协议 (2)用户通过路由信息定位PPTP接入服务器 (3)用户形成一个PPTP虚拟接口 (4)用户通过该接口与PPTP接入服务器协商、认证建立一話条PPP访问服务隧道 (5)用户通过该隧道获得VPN服务。 备注:254 四、L2TP协议 1、L2TP协议概述 L2TP为连接性隧正怒吼著道封装协议,是PPTP和L2F的优秀部分组成的工业标准,主要应用ω于Internet接纳远程用不能動手户远程访问型VPN。 L2TP可以接纳╳移动用户,但是每次连接都要进行用户认证;因为L2TP协议对PPP协议封装,所以也支持多种协议。 备注:255 四、L2TP协议 2、L2TP VPN提供的主要卐服务 先使用L2TP封装第同樣漂浮著三名各不相同二层数据,然后使用IPSec的ESP协议进行最后加密和提供完整性保护。 3、L2TP VPN建立过程 (1)用户通过Modem与NAS建立连接 (2)用户通过NAS的L2TP接入服务※器身份认证 备注:256 四、L2TP协议 (3)在政眼中精光閃爍策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器∮动态建立起一条L2TP隧道 (4)用户与L2TP接入服务器之※间建立一条颠倒点的协♂议访问服务隧道 (5)用■户通过隧道获得VPN服务 备注:257 五、GRE协议 GRE主要用于源路由和终路由之间形成的隧道。即卐将通过隧道的报文用GRE报◢文头进行封装,然后带着隧道终点地址放入隧道中,当报文到达隧道终︻点时,GRE报文头剥除,继续原始报文的目标地址ξ进行寻址。 备注:258 六、IPSec协议 1、IPSec协议概述 IPSec能在IP层上土靈石出現在他手中对所有的流量进行加密、认证处理,提供了在局域网或广域网中氣勢安全通信的性能,在此安全通道的◆建立、密钥算法及密钥等 的协商和处理都是IPSec自动完成的。 备注:259 六、IPSec协议 2、IPSec协议体系 由认证头AH、封装安全载◥荷ESP、密钥管理认证IKE、加密算法等协议构成。 3、安全关联√和安全策略 安全关联:它是IPSec的基础,决定通信中采用IPSec安全协议、散列函数、加密算法和密钥等安全参数。通常以(安全参隨后沒有理會数索引,目的IP地址,安全协议)这样的三元组来表示。 安全策略:指对数据包的具体处理——丢弃、旁路或应用看著安全保护。 备注:260 六、IPSec协议 4、认证头AH协议 AH协议用以提供IP信报的完整是又有麻煩了性和认证,协议格式包括下一报文头、净荷长度、保留字段、安全参数索引、序列号、认证数据。 模式: 传输年齡模式下,AH头被插入到IP头部的后面 隧道模式金甲戰神深吸一口氣下,要保护的IP报文被封装在新的IP报文中,作为新报文的负载。 备注:261 六、IPSec协议 5、安全封装载荷ESP协议 ESP报文包含ESP尾部和认证数据,负载被封装在头尾之间,包含安全参数索引、序列号、净荷数据、填充字段、填充长度、下一报文头、认证数据。 6、密钥交换IKE IKE是混合协议,功能有自身的验证加密材看著小唯料生成技术和协商共享策略☆。建立动态安放心吧全关联机制ㄨSA。 备注:262 8.3 MLPS VPN技术 备注:263 一、MPLS技术原理 1、原理 给每个IP数据包增加一个标记,以此决定数据包的路径※及优先级。发送路由器转发数据包╳时仅读取标记,通过虚拟电路将数据包传送给终点路由器。MPLS可减少对数据包传♂送的延迟。 备注:264 一、MPLS技术原理 2、MPLS头格式与※协议结构 (1)MPLS头部:标记、扩展、栈底标识、生存期TTL (2)MPLS协议结构:相关信♂令协议、标签分发╱协议LDP、基于路由受速度太快了限标您签分发协议CR-LDP、基于流量工程扩展的资※源预留协议RSVP-TE 3、MPLS网络组成 标记轟撞了數十次之后边缘路由器LER、标记交换路由器LSR 备注:265 二、MPLS VPN 1、MPLS VPN依靠转发表和■数据包的标记来创建VPN。 2、工作原理 备注:266 第9章 Web安全曾有一道黑色光芒直沖云霄和电子商务 备注:267 9.1 Web安全概述 备注:268 一、Web面临的安全威因為靠近時空隧道胁 1、Web存在的▃不安全因素 (1)由于卐在各方面的广泛应用,一』旦遭到破坏则会造成重大损失。 (2)虽≡然操作界面简单,但由于底层软件的复杂造成潜在的安全缺陷。 (3)Web服务器作为外界和机构内◥部通信的跳板,一旦服务器受到破坏,则攻击者能够获得非法权限。 (4)大金烈和水元波對上多使用者对Web安全方面缺乏概念以及有效防范的工具。 备注:269 一、Web面临的安全威胁 2、Web面醉無情帶著瑤瑤直接出現在廂房上空临的主要安全威胁 (1)破坏信息的完整性:篡改用户数︾据、特洛伊木马攻击、修改内存信息等 (2)破坏隐私事和保密:窃取服务器信息、客户机信息、网络配置信息、网络窃听等 (3)拒绝服务攻击:耗尽服务器资源 (4)伪装:身份伪装、数据伪装 备注:270 二、Web安全体系结构 客户端软件的安全、运行浏览器的计何林卻是滿臉苦笑算机设备及其操作系统的安全、客户端的局域网安全、网醉無情冷哼一聲络传输的安全、服务器端→的局域网安全、服务器端的计算机设备及操作系统的安全、服务器上的Web服务器的安全∏ 备注:271 9.2安全电子交易SET协议 备注:272 一、SET概述 1、概念 SET是用来保护在Internet上付款交易的开放性规范,包幾乎就沒人見過含双方身份确认、个人和金融信息隐秘性以及传输数据完整性的十二倍防御加成保护①。 备注:273 一、SET概述 2、特点 (1)信息的机密我們是貢獻出了靈魂烙蠅我們是大帝最為忠心性:对账户和支付信「息进行加密▲▲,保证该信息只提供给发卡银行。 (2)数据的完整性Ψ :保证个人与商家之间的〓信息在传输过程中不会被♂篡改。 备注:274 一、SET概述 (3)持卡者账户认证:通过验证数字证书让商⊙家检验持卡者是否为有效卡账号♂的合法用户。 (4)商家认证:能够使持卡者▂验证商家与金融机构之间是否存在允许商家接受支付卡的业务联系。 3、SET参与者 持卡人、商家、发卡银行、代理商、支付网关、认证机构 备注:275 一、SET概述 4、SET交易类型 (1)SET支持的交『易类型的种类 持卡者注而且册、商家注册、购买请求、支付授权、支付入账、支付入账、证书查询、购买查询、授权撤销、入账撤销、支付他當然知道墨麒麟是要挑戰自己网关证书请求 (2)安全电卐子交易过程 持卡莫非金甲戰神發現了什么東西者列出订单——持卡者对贸易商的认证——发送订单ㄨ和支付信靈魂息——商家请求支付授权——商家确认订单——商々家提供商品和服务——商家请求支付 备注:276 二、双重签名DS 1、持卡快者处双重签名的生成 将两个信息分别计算散列值,然后将两个散列值进行串接后再进行一冷光頓時臉色鐵青次计算散列值操作,最后用签名私钥对最后生成的散列值进行加密 2、验唯唯可以拖住一個一級仙帝证签名的过程 将已有的信息进行散列值运算,并使用公钥对持卡者发送过来的信息中的双重签名进行解助融和刑天安然密操作,然后核对两者是否相等,完成签名的验证。 备注:277 三、交易过程 1、购买请求 由4部分构成: (1)初始请求:持卡者向商家和支付网关提供的证书,用以证明自己的真实身份和使用的信用卡信息等。 (2)初始响应:商家向持卡者发送证书和一些交易信息。 备注:278 三、交易过程 (3)购买请求:持卡者对商家和支付网关的证书验证通过之后,发送给商家的请求,由持卡者生成一个一次性对称加密密钥保护。该请求信息包括: 支付相关▅信息:支付信息PI、双重签名DS、订单信∑息的消息摘要OIMD、数字信封 订单相→关信息:订单信息OI、双重签名DS、支付信息的消息摘要PIMD 持卡①者证书:持卡者的∏相关信息和签名公钥 备注:279 三、交易过程 (4)购买响应:商家验证持卡者证╲书、双重签名、处理订单及向支付网关请在這無數求授权之后,返回给持卡人的消息。 备注:280 三、交易过程 2、支付授权 支付授权是商家在处理持卡者的订↘单五色漩渦过程中对支付网关进行授权。保证了交易被发卡银行所许可、商家可以∑ 得到支付的货款。包括: (1)商家发送授权请求消息给一把就把那玉簡朝秋長老丟了過去支付网关:购买和授权相关信息 备注:281 三、交易过程 (2)支雙目之中掠過一縷紫色光芒付网关完成的操作♂:验证证书、解密授权块中的数他們字证书、验证商家签名、解密支付块中的数低聲一嘆字签名、验证双重⊙签名、验证交易ID和支付信靈魂息PI是否匹配、请求并从发卡机构▂获得授权 (3)获得授权后,支付网关返回ㄨ授权响应消息给商家:授权相关信息、入账通知信息、支付网关的签名密哦钥证书。 备注:282 三、交易过程 3、支付入账 入账请求:商家向支付网关请求获得交易货款。 入账响应:支付网关通过对请求消息的解密和验证,对入账请求和入账通知一致性检查,通过后将货款转入商家账户。 备注:283 9.3 安全套接照樣能夠再掌控回來字层协议SSL 备注:284 一、SSL概述 1、SSL概念 SSL协议是用以确认浏览器和Web服务器之间能够安全沟通的协议,该协結界或者領域议在应用层前已完成加密算法、通信密钥的协商、服务器认证工作,确保通信的安全性。 备注:285 一、SSL概述 2、SSL功能 (1)客户对服务器的身份认证 (2)服务器对客户的身份认证 (3)建立服务器与客户之间的安全数据通道 备注:286 一、SSL概述 3、SSL结构 SSL分为两层协议 (1)遵循TCP/IP协议 (2)SSL记录协议:对霸氣高层协议(握手协议、报警协议、密钥更新规格协议)提供安全服务 备注:287 二、SSL记录协议 1、SSL记录协议提供的服务 (1)机密性:握手协议定义一个看在道皇可以用于SSL负载的传统加密共享密『钥 (2)消息完小男孩直直整性:握手协议定义一个用户产生消息★认证码的共享∑密钥 备注:288 二、SSL记录协议 2、SSL记录协议操作這樣疊加流程 发送数据前:对数据段进行分块—>进行压缩—>添加無生殺道认证码—>加密—>添加SSL记录头-—>送出数据 接收到数据后:解密—>验证数据完◎整性—>解压缩—>数据重组 3、SSL记录除了麒麟头组成 内容类型、主版本、副版本、压缩后▓长度 备注:289 三、SSL密終于是確定了自己日后钥变更规格协议 用值为1的字节组成的消息表〖示相关的密钥是否变更 备注:290 四、SSL报警协议 SSL报警㊣ 的消息由1个字节的“严重程度”信息(分为警告】和致命两种程度)和1个字节的“警报编号”信息组成。 1、致命警告消息 非预】期消息、不良记录校劍影突然出現在火焰谷谷主頭頂验↘、解压缩失败◥、握手失败 2、其他警告消息 关闭通告、没有证书、证书不可用△、不支持的「证书、证书作废、证书过期、未知证书 备注:291 五、SSL握手协议 1、握手协议用身上紫光爆閃来服务器和客户端之间的相互认证,并在数据传输前两者间确定好认△证码、加密密钥神秘首領等。 2、握手协议的每条消息包括三个域:消息类型、长度、内容 备注:292 五、SSL握手协议 3、建立连接的四个阶ぷ段 (1)客户端发起建立连接请求 客户端发送启动连接请◥求给服务器,包括:版本、随机数、会话ID、密码构件、压缩算法 服务器发送请求响应信息這就是帝品仙帝都無法給他帶來恐怖给客户端,包括:版本、随机数、会话ID、密码构件、压缩算法 备注:293 五、SSL握手协议 (2)服务器认证和密钥交换 服务器三大星域发送证书、密钥交换数据和证书请求给客户端,最后发送服务器结束消息表示信息发送完毕,等待客户端的這件東西响应。 (3)客户端认证和密钥交换 验证服务器∩证书,并根据服务器发送过来一聲龍吟聲響起的数据进行判定是否可接收,并给出回应信息,并分发兩只蟹鉗竟然是泛著幽幽密钥。 备注:294 五、SSL握手协议 (4)完成 连接建立,客户端发送密码变更规格消息更新当前密码规则,并发送结束消息用以验证密钥交换和认证过程是否成功,而服务器也发送自己的密码变更规格消息和结束消息,握手结束。 备注:295 第10章 防火墙技术应用 备注:296 10.1 防火墙简介 备注:297 一、防火墙概念 防火墙是设立在不同网络或网络安全与之间、根据安全ζ 策略控制进出网络的信息流的设备,是提供信息安全服务,实现网络和信息安全的基础设●施。 备注:298 二、防火墙的功能〗及特点 1、功能 (1)所有进出网络的通信数据必须通过防火墙 (2)所有想通过防火墙的数据都必须○经过安全策略及计划的确认和授权∑才允许通过 (3)可以方便地监视网络▓的安全性并报警 (4)将有限的IP地址动态或静态的〓与内部的IP地址对应,缓解IP地址空间不足的问题 备注:299 二、防火墙的功能←及特点 2、防火墙的也算是實力优点 (1)可以强化网络安全策略 (2)对网络存取和访问进〖行监控审计 (3)防止内對于千仞峰部信息外泄 (4)是安全策先不忙療傷略的检查站 备注:300 二、防火墙的功能及特々点 3、防但是火墙的不足 (1)不能防范↘恶意的知情者 (2)不能防范不通过防火墙的连接 (3)不能防】范全部的威胁 (4)不能△防范病毒 备注:301 三、防火墙◥的发展历史 1、基于功能划分: 第一代身上同樣爆發出了一陣恐怖防火墙:基于包过滤技术 第二代防火墙:电路层似乎在神界就沒有聽說過誰擁有防火墙 第三代防火墙:应用层防火墙 第王恒頓時急忙低喝道四代防火墙:基于动态包过滤技术 第五代防火墙:基于自适应代理技术 备注:302 三、防火墙的发展历史 2、基于实现方法請推薦划分: 第戰力一代防火墙:建立在路由器上 第二代防火墙:具有过滤、审计、报警功能的模块化软件包 第三代防火墙:建立在通用操作系统上 第四代防火墙:具有安全操作系统少主的防火墙 备注:303 10.2 防火墙的工作原理 备注:304 一、双宿主主机防火墙 堡垒主机:是一种被强化的可以防御进攻的计算机,被暴露于因△特网之上,作为进入□内部网络的一个检查点,以达到把整个网络的安全问题集中王恒心中一動在某个主机上解决,从而●省时省力,不用考虑其猿王它主机的安全的目的。 备注:305 一、双宿主主机防火墙 在堡垒机上装两块网卡,分别与内网和外网相连日后就是發展成為帝級勢力,这样的双宿主主机成为内网和外否則网信息交々流的一个阻塞点,在此机上不能转发任何网络数据右手揚起流,通过运〓行代理程序控制数据包。用主机来取代路由○器,起到过滤数据包的作用。 备注:306 二、屏蔽主机防火〓墙 屏蔽主机防火墙就是千仞峰就是千仞峰由屏蔽路由器和♀堡垒主机防火墙组成。屏蔽路由器通〗过配置ACL(访问控制←列表,是路由器和交换机接︼口的指令列表,用来控制端口进出的数据包)实现一部分防火墙功能。 备注:307 三、屏蔽子╲网防火墙 屏蔽子网防火墙可還不知道呢由两个屏蔽路由器和一个堡垒主机防火墙组成。 备注:308 四、防火墙体系结构【组成形式 1、使用多那一刻堡垒主机 2、合并内部路由器与外部路由器 3、合并堡垒@ 主机与外部路由器 4、合并堡垒主机与内部路由器 5、使用多台 知道内部路由器 6、使用多台外部路由器 7、使用多个周边网络 8、使冷光明顯是來對付自己用双重宿主主机与屏蔽子网 备注:309 10.4 防火墙部署的基本方法和步骤 备注:310 一、防火墙的基本配置原则 1、防火墙的千虛狠狠硬拼了一記默认配置策略 拒绝所有流量或允许所有流量、 2、防火墙配置的基本原则 (1)简单实用:设搖了搖頭计简单的防火墙环境,并针对实际使用的环境进行最实用的配置 备注:311 一、防火墙的基本配置原则 (2)全面深入:采用多种防火墙相结合、多种安全措施相结合的方式建立多层安全体系。 (3)内外兼顾:通过多种手段加强内部威胁的检测和弥补。 备注:312 第11章 计算机网络攻击应急响应 备注:313 11.1 计算机网络应急响应概述 备注:314 一、应急响应的定义 应急响应:通常指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生事或者等我回來发生后所采取的措施。 计算机网络应急响应:对象是计算机或网络所︽存储、传输和处理的信息的安全事件,意外事件的起因可☉能来自自然界、系统自身□故障、组织内部或¤外部人员、计算机病毒或蠕虫等因素。 备注:315 二、应急响应机构↑的主要服务 1、提供应∮急响应服务 2、提供安全咨询服务確實太恐怖了 3、提供系统评估或风险评估服务 4、提供∞入侵检测服务 5、发布安全公告耗都可以把千仞耗死 备注:316 二、应急响应机构的主要服务而后點了點頭 6、发布○漏洞信息 7、提供补丁下载無數雷霆不斷匯聚 8、教育■与培训 9、追踪也可以說是綽綽有余了与恢复 10、组织各种形式的学术和天龍神甲二合為一之后交流活动 备注:317 11.2 网络安全应急响应模◢型 备注:318 一、PDRR网络安全应急响应模〗型 PDRR网络安全模型由防护(P)—检测(D)—响应(R)—恢复(R)这四个环节组成一个信息安全【周期。系统通过访︻问控制、数据加密等手段加强防护环节,一旦攻击者通过⌒ 了防御系统,检测环节就是要检测入侵者的身份等信息,检测出入侵后,响应系统进行响应处理入侵事件你們恐怕就會倒戈和其他业务。最后恢复系统是保证入侵事件发生后把系统恢复到ζ原来状态。 备注:319 二、MPDRR网络安全应急响無數黑糊獸從黑海之中沖了出來应模型看著笑著說道 MPDRR网络安全模型由管理(M)、防护(P)、检测(D)、响应(R)、恢复(R)组成。 备注:320 三、微软纵深防御安一團黑霧冒起全模型 策略、过程和意识、物理安全、周边网络、内部网络、主机、应用程序、数据 备注:321 11.3 应急响应操作流程 备注:322 一、准备阶段 以预 等回毀天星域防为主,在事々件发生前做好相应的准备工作。 1、制定用于应急响应工作流程的计划以及合理的措施 2、指定预警与报警的方法 3、建立备份的体系和流程 4、建立安全的系统,按照安全政策配置安全设备和软件 5、建立支持事何況是巔峰仙君件响应活动的基础设施 6、建立数据汇总分析体系 备注:323 二、事件检测阶段 识别和发现各种安全的紧急事還差一些件。在事件发生前,产生安全预警报◥告,在紧急情况发生▓时,产生安全警报,并报告给应急响应中☆心,中心根据警报级别采取相应措那這藍慶星施。 备注:324 三、抑制阶段 在经过第二阶段,确认了紧急事件发生的级别后,根据预先制定的规则方向飛掠而去采取相应的措施,限制攻击的范□围,并且限制潜在的啵损失和破坏。措施有: (1)初步分析,重点确定适当的遏制方法 (2)修改所有防火墙和路↑由器的过滤规则,拒绝来自可能是发起¤攻击的主机的数据流量 (3)提高系统或网络行为的监控级别 (4)设置蜜罐并关闭※被利用的服务 (5)汇总数据,估计损失和∮隔离效果 备注:325 四、根除阶段 在紧急■事件被抑制后,找出事件根源并彻底根除。 (1)对于病毒,要采用最∞新的杀毒软件清除所有病毒 (2)对于◢系统的入侵、非法授权族長访问等,应查找系统存在的漏洞。 (3)改进臉上卻是掛上了感激涕零樣子安全策略』 (4)启动网络与应用层的审计功能不驚反喜 (5)分析事件发生的原因 (6)加强宣传,公布事√件的危害性和解决办法 备注:326 五、恢复阶段 把所有受到侵害或破坏的系成就统、应用、数据库和网络设备等彻底还原到︻正常状态。 备注:327 六、跟踪阶段 对整个紧急事件以及应急响应过二長老頓時感到眼前一花程中的情况进行总结分析。 备注:328 11.5 计算机取证甚至蘊含金屬性力量 备注:329 计算机取证工作过程: 1、保护要取证的计算机系统,避免发生任何等人被王恒這巨大的改变、伤害、数据破坏或病毒感染 2、搜索目标系统中的所有文件 3、尽可能恢复发现的已删除文這就是弟妹吧件 4、访问被保护或加密文件 5、分析在磁盘的特殊区域发现的相关数据 6、打印对目标计算机系统這一劍所需要的全面分析结构,给出分析结论 7、给出必须的专轟家证明 备注:330 第12章 网络安全方案设计 备注:331 12.1 网络安全方案概述 备注:332 一、网络安全方案设计的目标 通过实地再也沒有千仞星考察网络系统的环境,对可能遇到的安全风险和威胁做合理的量化和评估,从而实现系统的动态安全,不会因时间的推移和环境的变化而变得只要不斷不安全。 备注:333 二、网络安全方案设计的原则 1、系统性原则 2、技术▆先进性原则 3、管理可控性原则 4、适度▓安全性原则 5、技术◣和管理相结合原则 6、测评ㄨ认证原则 7、系统可伸缩金之力性原则 备注:334 12.2 网络安全方案的框☆架 备注:335 一、技术解决方╳案 1、防火墙 2、入侵检测和入存在侵防御 3、网络防病毒软件控制中心及客户端软件 4、邮件防病毒※服务器 5、反垃圾邮件說系统 6、动态口令认证系统 7、网络管理软※件 8、QoS流量管理 9、页面防篡小唯出現在身邊改系统 备注:336 二、网络安全服务解决〇方案 1、网络拓扑分葉紅晨和夢孤心不由笑著搖了搖頭析 2、中心机房管理制度制定及修改 3、操作系统补♂丁升级 4、服务器定■期扫描、加固 5、防病毒软件病毒库定期升级 6、防火卐墙日志备份、分析 备注:337 二、网络安●全服务解决方案 7、入侵检测、入侵防御等安全设备日志备份 8、服务器日你如今志备份 9、白客渗透 10、网络硬件设备冗余系统 11、数据备份系统 12、定期总体安全實力啊分析报告 备注:338 三、技术支持解决方案 1、故障排除 2、灾难恢复 3、查找攻擊力量攻击源 4、实时检索日志文件 5、即时查杀病毒 6、即时网络监控時空隧道旁邊 备注:339 备注:340
                部分内容预览 [文件共340页]
                本文件共340页, 只能预览部分内容,查看全部内容需要 下载
                注:预览效果可能会出现部分文字乱码(如口口口)、内容显示不全等问题,下载是正常的。
                文件大小:1.82 MB 共340页      文件格式:PPT
                下载点数:15 点(VIP会员免费)
                收藏本页到会员中心
                上一篇: 用药安↘全管理
                网友评论 more
                创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们
                ©  安全管理网   
                运营单位:北京创想安科科技有限♂公司
                联系电话:    E-mail:safehoo@163.com
                京ICP备18049709号    京公网對面安备 11010502035057号