1. 信息安全概论
信息安全的定义
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
网络安全:计算机网络环境下的信息安全。
网络安全五大要素
-
保密性:对信息资源开放范围的控制。(数据加密、访问控制、防计算机电磁泄漏等安全措施)- 完整性:保证计算机系统中的信息处于“保持完整或一种未受损的状态”。(任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。)
-
可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。(系统的可用性与保密性之间存在一定的矛盾。)
-
可控性:可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
-
不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
总结
信息安全和信息安全的概念:
- 信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
- 网络安全:计算机网络环境下的信息安全。
- 信息安全的发展历程:单机系统的信息保密阶段、网络信息安全阶段、信息保障阶段
- 网络安全的五大要素:可用性、完整性、可控性、保密性和不可否认性
2. 信息隐藏
定义
信息隐藏(Information Hiding),也叫数据隐藏。简单地说,信息隐藏就是将秘密信息隐藏于另一非保密的载体之中。这里的载体可以是图像、音频、视频、文本 ,也可以是信道,甚至是某套编码体制或整个系统。
信息隐藏与传统密码学的区别
- 密码学技术主要是研究如何将机密信息进行特殊的编码,以形成不可识别的密码形式(密文)进行传递。
- 信息隐藏则主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。
- 对加密通信而言,可能的监测者或非法拦截者可通过截取密文,并对其进行破译,或将密文进行破坏后再发送,从而影响机密信息的安全;但对信息隐藏而言,监测者或非法拦截者则难以从公开信息中判断机密信息是否存在,难以截获机密信息,从而能保证机密信息的安全。
囚犯问题
1983年,Simmons把隐蔽通信问题表述为“囚犯问题”。在该模型中,囚犯Alice和Bob被关押在监狱的不同牢房里,他们准备越狱,故需通过一种隐蔽的方式交换信息,但他们之间的通信必须通过狱警Willie的检查。因此,他们必须找到一种办法,可以将秘密的信息隐藏在普通的信息里。 囚犯问题根据Willie的反应方式分为被动狱警问题、主动狱警问题及恶意狱警问题3种。
- 被动狱警问题: 狱警Willie只检查他们之间传递的信息有没有可疑的地方,一旦发现有可疑信息甚至是非法信息通过,就会立即做出相应的反应。
- 主动狱警问题: 狱警Willie在不破坏公开信息的前提下,故意去修改一些可能隐藏有机密信息的地方,以达到破坏可能的机密信息的目的。比如,对于文本数据,他可能会把其中一些词句用相近的同义词来代替,而不改变通信的内容。
- 恶意狱警问题: 狱警Willie可能彻底改变通信囚犯的信息,或者伪装成一个囚犯,隐藏伪造的机密信息,发给另外的囚犯。在这种条件下,囚犯可能就会上当,他的真实想法就会暴露无遗。对这种情况,囚犯是无能为力的。不过现实生活中,这种恶意破坏通信内容的行为一般是不允许的,有诱骗嫌疑。目前的研究工作重点是针对主动狱警问题
空域信息隐藏技术
空域隐藏技术是指在图像、视频、音频等载体的空间上进行信息隐藏。通过直接改变宿主媒体的某些像素值(采样值)来嵌入数据。
基于替换LSB的空域信息隐藏
- LSB (the Least Significant Bits)即最不重要比特位。改变LSB主要的考虑是不重要数据的调整对原始图像的视觉效果影响较小。以图像为例,图像部分像素的最低一个或者多个位平面的值被隐藏数据所替换。即载体像素的LSB平面根据要隐藏的数据改变为“1”或者不变,以此达到隐藏信息的目的。
- 基于替换的LSB的隐藏方法具有如下特点:
- 具有较大的信息隐藏容量
- 计算简单。
- 掩密图像失真小。
- 隐藏数据的鲁棒性较差。
- 分类
3. 数字水印
- 数字水印(Digital Watermark)技术是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记,这种标记通常是不可见的,只有通过专用的检测器或阅读器才能提取。
- 用于版权保护的数字水印一般称为鲁棒水印(Robust Watermarking),利用这种水印技术在多媒体内容的数据中嵌入创建者或所有者的标示信息,或者嵌入购买者的标示(即序列号)。在发生版权纠纷时,创建者或所有者的信息用于标示数据的版权所有者,而序列号用于标示违反协议而为盗版提供多媒体数据的用户。用于版权保护的数字水印要求有很强的鲁棒性,除了要求在一般图象处理(如:滤波加噪声、替换、压缩等)中生存外,还需能抵抗一些恶意攻击。目前,尚无能十分有效用于实际版权保护的鲁棒水印算法。
- 主动攻击的目的并不是破解数字水印,而是篡改或破坏水印,使合法用户也不能读取水印信息。
- 被动攻击则试图破解数字水印算法。相比之下,被动攻击的难度要大得多,但一旦成功,则所有经该水印算法加密的数据全都失去了安全性。
4. 消息认证
认证的种类
- 消息认证:消息来源和内容的合法性
- 数字签名:手写签名的电子化
- HASH函数:消息的完整性
- 身份认证:实体所宣称与实体本身的相符性
哈希函数
- 也称散列函数、杂凑函数、数字摘要和数字指纹。
- 它是一种单向密码体制,即它是一个从明文到密文的不可逆映射,即只有加密过程,不能解密。同时,Hash函数可以将任意长度的输入经过变换以后得到固定长度的输出。
- Hash函数的这种单向特征和输出数据的长度固定的特征使得它可以生成消息或其他数据块的“数据指纹”(也称消息摘要或散列值),因此在数据完整性认证和数字签名等领域有广泛的应用的,哈希函数在现代密码学中起着重要作用。
- 理论定义:理想的Hash函数是从所有可能的输入值到有限可能的输出值集合的一个随机映射
- 安全性要求
- 单向性──由消息的散列值倒算出消息在计算上不可行
- 抗弱碰撞性──对于任何给定消息及其散列值,不可能找到另一个能映射出该散列值的消息(任何给定原像都找不到其等价原像)
- 抗强碰撞性──对于任何两个不同的消息,它们的散列值必定不同(没有任何一对等价原像)
- 哈希函数可以用来作为消息认证码
消息认证码
- 消息认证具有两层含义: 一是检验消息的来源是真实的,即对消息的发送者的身份进行认证; 二是检验消息是完整的,即验证消息在传送或存储过程中未被篡改、删除或插入等。
- 如果在消息中加入时间及顺序信息,则可以完成对时间和顺序的认证
- 用户认证方案:
- 发方将消息和认证密钥输入认证算法,得到消息的认证标签;
- 一起发送消息和认证标签;
- 收方将同样的认证密钥和收到的消息输入认证算法;
- 检验计算结果是否与收到的认证标签相同,若相同,则认为消息未经篡改,否则认为消息被入侵者篡改。
数字签名
- 由来:消息认证无法防止通信双方的相互攻击(欺骗、抵赖等)
- 假定A发送一个带鉴别的消息给B,双方之间的争议可能有多种形式,例如: B伪造一个不同的消息,但声称是从A收到的。 A可以否认发过该消息,B无法证明A确实发了该消息。 在这些情况下,发方和收方存在欺骗和抵赖,因此除鉴别外还需要其他机制,这就是数字签名技术。数字签名最简单的说法就是笔迹签名的模拟 (这里一般结合非对称密码学进行验证)
- 数字签名与消息认证(MAC)的差别
- 消息认证不要求通信双方以外的任何人能有效地验证认证标签的真实性。
- 数字签名方案是消息认证的一种方式,但消息认证方案不必构成数字签名方案。
PKI
-
PKI,Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。
-
PKI是一种标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。
- 功能
-
认证:采用数字签名技术,签名作用于相应的数据之上 被认证的数据 —— 数据源认证服务
用户发送的远程请求 —— 身份认证服务 远程设备生成的challenge信息 —— 身份认证
-
完整性
PKI 采用了两种技术:数字签名和 MAC
3. 保密性 用公钥分发随机密钥,然后用随机密钥对数据加密
-
不可否认性 发送方的不可否认一数字签名 接受方的不可否认 ― 收条+数字签名
-
PKI的组成
- CA(认证中心)、RA(注册中心)和RS(业务办理点)
- 证书库、证书废除列表
- PKI应用接口系统
- 密钥备份及恢复系统
-
- 认证中心(CA):
- 一个值得信赖的公正的第三方机构,PKI的核心
- 管理数字证书:证书签发(把用户的公钥和用户的其他信息捆绑在一起)等
- 在网上验证用户的身份 :证书废除列表管理等 - 注册机构(RA):
- CA的组成部分,实现CA功能的一部分
- CA面向用户的窗口,接受用户申请、审核用户身份
- 代表CA发放证书
- RS:
- 管理所辖受理点的用户资料、受理用户证书业务、审核用户身份、向受理中心或RA中心申请签发证书和将RA中心或受理中心制作的证书介质分发给用户
- 证书库。
- 证书库是CA 颁发证书和撤销证书的集中存放地,它像网上的“白页“一样,是网上的一种公共信息库,供广大公众进行开放式查询。
- 这是非常关键的一点,因为我们构建CA 的最根本目的就是获得他人的公钥。目前通常的做法是将证书和证书撤消信息发布到一个数据库中,成为目录服务器。
- LDAP(Lightweight Directory Access Protocol)目录服务器用于存取证书以及证书撤销列表(CRL,Certificate Revocation List),用户可通过LDAP目录服务器将整个CRL下载到本地的机器上,再根据下载的CRL查询用户的证书状态。
-
另一个重要的概念是证书的撤消。
- 由于现实生活中的一些原因,比如说私钥的泄漏,当事人的失踪死亡等情况的发生,应当对其证书进行撤消。这种撤消应该是及时的,因为如果撤消延迟的话,会使得不再有效的证书仍被使用,将造成一定的损失。在CA 中,证书的撤消使用的手段是证书撤消列表或称为CRL。即将作废的证书放入CRL 中,并及时的公布于众,根据实际情况不同可以采取周期性发布机制和在线查询机制两种方式。
- 目录服务
- 目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它成树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。目录服务是由目录数据库和一套访问协议组成的系统。现在国际上的目录服务标准有两个,一个是较早的X.500标准,一个是较新的LDAP标准。
- 但无论是哪一个,证书和证书吊销列表(CRL)的存储(主要针对X.509格式来说) 是X.500和目录服务标准的主题。
- LDAP目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。
- 目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它成树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。目录服务是由目录数据库和一套访问协议组成的系统。现在国际上的目录服务标准有两个,一个是较早的X.500标准,一个是较新的LDAP标准。
-
什么是数字证书:
数字证书如同日常生活中使用的身份证,它是持有者在网络上证明自己身份的凭证。在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据 一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件
-
数字证书的作用 证书一方面可以用来向系统中的其他实体证明自己的身份,网络通信的身份证明,解决相互间信任问题 另一方面由于每份证书都携带证书持有者的公钥,所以证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
-
数字证书的结构
- 版本:用于识别证书版本号,版本号可以是V1、V2和V3,目前常用的版本是V3
- 序列号:是由CA分配给证书的唯一的数字型标识符。当证书被取消时,将此证书的序列号放入由CA签发的CRL中
- 签名算法标识:用来标识对证书进行签名的算法和算法所需的参数。
- 协议规定,这个算法同证书格式中出现的签名算法必须是同一个算法
- 签发者:为CA的名称
- 有效期:是一对日期——起始日期和结束日期,证书在这段日期之内有效
- 主体:为证书持有者的名称
- 主体的公开密钥:包括算法名称,需要的参数和公开密钥
- 可选项:签发者唯一标识、主体唯一标识和扩展项都是可选项,可根据具体需求进行选择
-
CA的作用(认证机构)
权威、可信、第三方机构,为认证需求提供数字证书相关服务
CA是PKI的核心,CA负责产生、分配并管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。
概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA的核心功能就是发放和管理数字证书
-
注册机构(RA)RA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。在RA的下层还可以有多个业务受理点(RS)。
-
证书
-
证书获取 证书的获取可以有多种方式,如发送者发送签名信息时附加发送自己的证书,或以另外的单独信息发送证书,或者可以通过访问证书发布的目录服务器来获得,或者直接从证书相关的实体处获得。在一个PKI体系中,可以采取某种或某几种上述方式获得证书。
-
验证 在电子商务系统中,证书的持有者可以是个人用户、企事业单位、商家、银行等。无论是电子商务中的哪一方,在使用证书验证数据时都遵循同样的验证流程。
一个完整的验证过程有以下几步:
-
密钥管理 任何密钥都不能无限期地使用,它应当能够自动失效。在密钥泄漏的情况下,将产生新的密钥和新的证书。在并未泄漏的情况下,密钥也应该定时更换。这种更换的方式也有多种。PKI体系中的各实体可以在同一天,也可以在不同的时候更换密钥。
相应地,每个证书都有一个有效期截止时间,与签发者和被签发者的密钥作废时间中较早者保持一致。如果CA和其下属的密钥同时到达有效期截止日期,则CA和其下属同时更换密钥,CA用自己的新私钥为下属成员的新公钥签发证书。 如果CA和其下属的密钥不是同时到达有效期截止日期,当用户的密钥到期后,CA将用它当前的私钥为用户的新公钥签发证书,而到达CA密钥的截止日期时,CA用新私钥为所有用户的当前公钥重新签发证书。
-
-
5. 网络安全威胁
典型攻击步骤
- 预攻击检测
- 发现漏洞,采取攻击行为
- 获得攻击目标的控制权系统
- 安装系统后门
- 继续渗透网络,直至获取机密信息
- 消灭踪迹
IP欺骗
- IP欺骗:IP欺骗指攻击者假冒他人IP地址,发送数据包
- 因为IP协议不对数据包中的IP地址进行认证, 因此任何人不经授权就可伪造IP包的源址。
ARP攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ICMP攻击
-
ICMP利用攻击:由于主机对ICMP数据报不作认证,使得攻击者可以伪造ICMP包使源主机产生 错误的动作从而达到特定的攻击效果。
-
ICMP主机不可达和TTL超时报文:此类报文一般由IP数据报传输路径中的路由器发现错误时 发送给源主机的,主机接收到此类报文后会重新建立TCP 连接。攻击者可以利用此类报文干扰正常的通信。
-
ICMP重定向报文:TCP/IP体系不提供认证功能,攻击者可以冒充初始网关向 目标主机发送ICMP重定向报文, 诱使目标主机更改寻径 表,其结果是到达某一IP子网的报文全部丢失或都经过一 个攻击者能控制的网关。
电子邮件欺骗
-
攻击者伪装为系统管理员给用户发送邮件要求用户修改口令或者伪造一个友好的发件人地址,在貌似正常的附件中加载病毒或其他木马程序。
-
对于伪造电子邮件地址防范方法是使用加密的签名技术,像PGP来验证邮件,通过验证可以保护到信息是从正确的地方发来的,而且在传送过程中不被修改。
DNS域名欺骗
参照长城防火墙原理即可(即建立一个假的的DNS服务器,给予假的DNS信息)
ping of Death
- 攻击者:发送长度超过65535的ICMP Echo Request的碎片分组
- 目标机:重组分片时会造成事先分配的65535 字节缓冲区溢出,导致TCP/IP堆栈崩溃
Unicode输入验证攻击
当微软IIS 4.0/5.0(远东地区版本)在处理包含有不完整的双字节编码字符的HTTP命令请求时,会导致 Web目录下的文件内容被泄漏给远程攻击者。
“%c1%hh”→”0xc10xhh”→”/”
“%c0%hh”→”0xc00xhh”→”\”
sql注入
SQL注入是一种利用用户输入构造SQL语句的攻击。
漏洞扫描基本方法
漏洞扫描的基本方法有两类:
- 漏洞特征库匹配
- 模拟攻击
拒绝服务攻击
- Ping flooding的原理是:在某一时刻,多台主机对目标主机使用Ping程序,以耗尽 目标主机的网络带宽和处理能力,达到攻击目标的目的。
- SYN Flood 原理:TCP连接的三次握手和半开连接 攻击者:发送大量伪造的TCP连接请求 方法1:伪装成当时不在线的IP地址发动攻击 方法2:在主机或路由器上阻截目标机的SYN/ACK分组 目标机:堆栈溢出崩溃或无法处理正常请求
- 电子邮件炸弹。指的是用伪造的IP地址或电子邮件地址向同一信箱发送数以千计的内容相同或者不同的垃圾邮件,致使受害人邮箱的容量无法承受这些邮件,严重的可能会导致电子邮 件服务器操作系统瘫痪。
分布式拒绝服务攻击
定义
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击 指借助于客户/服务器技术, 将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
攻击准备
1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。
2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”),并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。
发起攻击
3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。
4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃。
检测方法
-
根据异常情况分析
网络的通讯量突然急剧增长,超过平常的极限值时; 网站的某一特定服务总是失败; 发现有特大型的ICMP和UDP数据包通过或数据包内容可疑。
-
使用DDOS检测工具
扫描系统漏洞是攻击者最常进行的攻击准备
防御策略
- 及早发现系统存在的攻击漏洞,及时安装系统补丁程序。
- 经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。
病毒
- 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能够自我复制的一组计算机指令或者程序代码
- 特征:传染性 非授权性 隐蔽性 潜伏性 破坏性 不可预见性
木马
木马( Trojan horse )是一种基于远程控制的黑客 工具,具有:隐蔽性、潜伏性、危害性、非授权性。
木马与病毒的区别 1. 病毒程序是以自发性的破坏为目的 2. 木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密数据、个人隐私等行为。 3. 隐蔽、非授权性
蠕虫
计算机蠕虫是指一种利用安全漏洞,在网络中主动传 播,并造成信息泄漏、系统破坏或拒绝服务等后果的 有害程序。
6.网络访问控制
防火墙
定义
是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。(可在链路层、网络层、应用层实现)
功能
其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的,也可以是基于逻辑的;
分类
- 包过滤防火墙
- 状态防火墙
- 应用网关防火墙技术
- 地址转换防火墙技术
NAT技术
- 网络地址转换/翻译(NAT,Network Address Translation)就是将一个IP地址用另一个IP地址代替。
- NAT的主要作用:隐藏内部网络的IP地址;解决地址紧缺问题。
- NAT有3种类型:
- 静态NAT〈static NAT)
- NAT池(pooled NAT)
- 端口NAT(PAT)
体系结构
- 双重宿主主机体系结构
- 屏蔽主机体系结构
- 屏蔽子网体系结构
DMZ(非军事区):
- DMZ网络很小,处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。
- 它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
- DMZ区部署点在DMZ区的总入口上,这是IDS最常见的部署位置。在这里,入侵检测系统可以检测到所有针对向外提供服务的服务器进行攻击的行为。对于企业用户来说,防止对外服务的服务器受到攻击是极为重要的。由于DMZ区中的各个服务器是提供对外服务的,这些服务器是外网可见的,因此在这里部署IDS是非常重要的。
优缺点
- 防火墙的优点:
- 防火墙能强化安全策略。
- 防火墙能有效地记录Internet上的活动,作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
- 防火墙限制暴露用户点,能够防止影响一个网段的问题通过整个网络传播。
- 防火墙是一个安全策略的检查站,使可疑的访问被拒绝于门外。
- 缺点:
- 防火墙可以阻断攻击,但不能消灭攻击源。
- 防火墙不能抵抗最新的未设置策略的攻击漏洞。
- 防火墙的并发连接数限制容易导致拥塞或者溢出。
- 防火墙对服务器合法开放的端口的攻击大多无法阻止。
- 防火墙对待内部主动发起连接的攻击一般无法阻止。
- 防火墙本身也会出现问题和受到攻击,依然有着漏洞和Bug。
- 防火墙不处理病毒。
物理隔离
- 物理隔离的指导思想与防火墙绝然不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。
- 物理隔离技术的基本思想是:如果不存在与网络的物理连接,网络安全威胁便可大大降低。
7. 入侵检测
定义
入侵
入侵是指未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用的行为。
它企图破坏计算机资源的:1.完整性(Integrity)2.机密性(Confidentiality)3.可用性(Availability)4.可控性(Controliability)
漏洞
漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
攻击流程
收集情报,远程攻击,清除日志,留下后门。
入侵检测
定义
入侵检测,顾名思义,是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
功能
- 监控、分析用户和系统活动
- 发现入侵企图或异常现象
- 记录、报警和响应
- 审计系统的配置和弱点、评估关键系统和数据文件的完整性等
IDS的两个指标
- 漏报率指攻击事件没有被IDS检测到
- 误报率把正常事件识别为攻击并报警
CIDF模型
将IDS分为 事件产生器(Event Generators)、事件分析器(Event analyzers)、响应单元(Response units)、事件数据库(Event databases)。其以GIDO(统一入侵检测对象)格式进行数据交换
分类
基于来源
- 基于主机的入侵检测系统 定义:安装在单个主机或服务器系统上,对针对主机或服务器系统的入侵行为进行检测和响应,对主机系统进行全面保护的系统。
- 基于网络的入侵检测系统 网络入侵检测使用原始网络包作为数据源通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务。
基于检测技术
- 异常检测( Anomaly Detection ) :根据异常行为和使用计算机资源的情况检测出来的入侵。 首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵 根据异常行为和使用计算机资源的情况检测出来的入侵。
- 误用检测( Misuse Detection ) :利用已知系统和应用软件的弱点攻击模式来检测入侵。 收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵利用已知系统和应用软件的弱点攻击模式来检测入侵。
依据响应方式
- 主动响应
对被攻击系统实施控制和对攻击系统实施控制。 - 被动响应
只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。
IDS部署
对IDS的部署,唯一的要求是: IDS应当挂接在所有所关注流量都必须流经的链路上
蜜罐技术
Honeypot是一种资源,它的价值是被攻击或攻陷。
8. 网络通信安全
VPN
定义
虚拟专用网是在公共网络中建立的安全网络连接,这个网络连接和普通意义上的网络连接不同之处在于,它采用了专有的隧道协议,实现了数据的加密和完整性检验、用户的身份认证,从而保证了信息在传输中不被偷看、篡改、复制,从网络连接的安全性角度来看,就类似于在公共网络中建立了一个专线网络一样,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网。
功能
- 数据加密:保证通过公共网络传输的数据即使被他人截获也不至于泄露信息。
- 信息认证和身份认证:保证信息的完整性、合法性和来源可靠性(不可抵赖性)。
- 访问控制:不同的用户应该分别具有不同的访问权限。
组成
一个典型VPN系统的具体组成:
- VPN服务器:接受来自VPN客户机的连接请求;
- VPN客户机:可以是终端计算机也可以是路由器;
- 隧道:数据传输通道,在其中传输的数据必须经过封装;
- VPN连接:在VPN连接中,数据必须经过加密;
- 隧道协议:封装数据、管理隧道的通信标准;
- 传输数据:经过封装、加密后在隧道上传输的数据;
- 公共网络:如互联网,也可以是其他共享型网络。
IPSec协议
它主要包括以下内容:
- 认证头(Authentication Head,AH)协议
- 封装安全载荷(Encapsulating Security Payload,ESP)协议
- 因特网密钥交换(Internet Key Exchange,IKE)协议:
- 安全关联-SA
IKE
功能
在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥,IKE代表IPSec对SA进行协商,并对SAD进行填充。
特点
IKE的特点就是它永远不在不安全的网络上直接传送密钥
组成
IKE协议是Oakley和SKEME协议的混合,在由ISAKMP规定的一个框架内运作。
9. 数据库
定义
数据库(Database,简称DB)是长期储存在计算机内、有组织的、可共享的大量数据的集合。
特点
- 数据结构化
- 数据的共享性高,冗余度低,易扩充
- 数据独立性高
- 数据由DBMS统一管理和控制
什么是DBMS
- 位于用户与操作系统之间的一层数据管理软件。
- 是基础软件,是一个大型复杂的软件系统
DBMS的用途
科学地组织和存储数据、高效地获取和维护数据
一些概念
-
关系(Relation)
一个关系对应通常说的一张表
- 元组(Tuple) 表中的一行即为一个元组
- 属性(Attribute) 表中的一列即为一个属性,给每一个属性起一个名称即属性名
- 主码(Key) 表中的某个属性组,它可以唯一确定一个元组。
- 域(Domain) 属性的取值范围。
- 分量 元组中的一个属性值。
- 关系模式 对关系的描述
- 关系名(属性1,属性2,…,属性n) 学生(学号,姓名,年龄,性别,系,年级) 关系必须是规范化的,满足一定的规范条件
- 最基本的规范条件:
- 关系的每一个分量必须是一个不可分的数据项
- 不允许表中还有表
数据库系统的组成
- 数据库
- 数据库管理系统(及其开发工具)
- 应用系统
- 数据库管理员
- 硬件平台及数据库
- 软件
- 人员
存取控制
存取控制机制组成
- 定义用户权限,并将用户权限登记到数据字典中。用户权限是指不同的用户对于不同的数据对象允许执行的操作权限.系统必须提供适当的语言定义用户权限,这些定义经过编译后存放在数据字典中,被称作安全规则或授权规则。
- 合法权限检查,每当用户发出存取数据库的操作请求后(请求一般应包括操作类型、操作对象和操作用户等信息),DBMS 查找数据字典,根据安全规则进行合法权限检查,若用户的操作请求超出了定义的权限,系统将拒绝执行此操作。
常用存取控制方法
-
自主存取控制(Discretionary Access Control ,简称DAC)
在自主存取控制方法中,用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,而且用户还可将其拥有的存取权限转授给其他用户。因此自主存取控制非常灵活。
-
强制存取控制(Mandatory Access Control,简称 MAC) 在强制存取控制方法中,每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证。对于任意一个对象,只有具有合法许可证的用户才可以存取。强制存取控制因此相对比较严格.
自主存取控制
授权和回收
-
GRANT
GRANT语句的一般格式:
GRANT <权限>[,<权限>]... [ON <对象类型> <对象名>] TO <用户>[,<用户>]... [WITH GRANT OPTION];用户>用户>对象名>对象类型>权限>权限>
语义:将对指定操作对象的指定操作权限授予指定的用户 如果有WITH GRANT OPTION子句,则获得某种权限的用户还可以把这种权限在授予其他的用户。如果没有指定WITH GRANT OPTION子句,则获得某种权限的用户只能适用该权限,不能传播该权限。
-
REVOKE授予的权限可以由DBA或其他授权者用REVOKE语句收回
REVOKE语句的一般格式为:
REVOKE <权限>[,<权限>]... [ON <对象类型> <对象名>] FROM <用户>[,<用户>]...;用户>用户>对象名>对象类型>权限>权限>
强制存储控制
规则:
- 仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体
- 仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体这些系统规定:仅当主体的许可证级别小于或等于客体的密级时,该主体才能写相应的客体,即用户可以为写入的数据对象赋予高于自己的许可证级别的密级.这样一旦数据被写入,该用户自己也不能再读该数据对象了.这两种规则的共同点在于它们均禁止了拥有高许可证级别的主体更新低密级的数据对象,从而防止了敏感数据的泄漏。强制存取控制简单说来就是不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度区域,禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。
-
修正规则主体的许可证级别 <=客体的密级
-
主体能写客体
- 规则的共同点禁止了拥有高许可证级别的主体更新低密级的数据对象
10. 数据库的恢复
事务的定义
- 一个数据库操作序列
- 一个不可分割的工作单位
- 恢复和并发控制的基本单位
事务(ACID)特性
- 原子性(Atomicity)
- 一致性(Consistency)
- 隔离性(Isolation)
- 持续性(Durability )
事务的故障
1.事务内部的故障
分类
-
有的是可以通过事务程序本身发现的、
-
有的是非预期的
主要特征
运算溢出 并发事务发生死锁而被选中撤销该事务 违反了某些完整性限制等
恢复措施
撤消事务(UNDO
2. 系统故障
定义称为软故障,是指造成系统停止运转的任何事件,使得系统要重新启动。
特征
- 整个系统的正常运行突然被破坏
- 所有正在运行的事务都非正常终止
- 不破坏数据库
- 内存中数据库缓冲区的信息全部丢失
恢复措施
- 发生系统故障时,事务未提交。 恢复策略:强行撤消(UNDO)所有未完成事务
- 发生系统故障时,事务已提交,但缓冲区中的信息尚未完全写回到磁盘上。 恢复策略:重做(REDO)所有已提交的事务
3. 介质故障
定义称为硬故障,指外存故障
一般原因
磁盘损坏 磁头碰撞 操作系统的某种潜在错误 瞬时强磁场干扰 #### 恢复
装入数据库发生介质故障前某个时刻的数据副本重做自此时始的所有成功事务,将这些事务已提交的结果重新记入数据库
11. 无线网络的安全
蓝牙技术
蓝牙是一种近距离无线通信技术规范,用来描述各种电子产品相互之间如何用这种无线协议进行连接。
Zigbee
ZigBee技术是一种近距离、低复杂度、低功耗、低速率、低成本的双向无线通讯技术。早期也被称为 “HomeRF Lite”、“RF- EasyLink”或“fireFly”无线电技术,目前统称为ZigBee技术
红外技术
红外线通讯是一种廉价、近距离、无线、方向性强、保密性强的通讯方法。
IEEE802.11
第十一章 无线网络的安全 只有小题
SSID无线终端访问的服务区域认证ID(SSID)
认证方式
1. 开放认证
设计目的是允许设备快速接入网络。开放认证由认证请求和认证响应两个消息组成,允许任何设备接入。如果没有加密机制,任何知道无线接入点SSID的设备都可以接入网络。如果使用WEP加密,则WEP密钥本身是一种接入控制。如果一个设备没有正确的WEP密钥,即使认证通过,设备也不能通过无线接入点传送数据。
2. 共享认证
- 共享密钥认证则是一种基于密码学的认证方法。它是基于客户站是否知道共享的秘密来实施的挑战-响应(Challenge-Response)认证方案。
- 客户端发送一个认证请求帧Authentication Request给无线接入点要求进行共享密钥认证;无线接入点回复一个认证响应帧Authentication Response包含挑战信息;客户端使用本地配置的WEP密钥加密挑战信息,然后回复一个认证请求帧;无线接入点解密接收到的认证信息,如果得到最初的挑战信息,回复一个认证响应信息同意客户接入。
3. MAC地址认证
采用基于MAC地址过滤的访问控制方法来限制非授权用户的接入,但是容易被嗅探到合法的MAC地址,从而绕过。
攻击方式
1. 流量分析
攻击者仅需要将无线网卡设置在混杂模式,同时安装一个捕获数据报文的工具软件(如sniffle),便可以捕获到网络流量并对其进行分析,通过流量分析,攻击者可以获得4类信息:
- 是否有用户在使用网络;
- 无线接入点的位置和标识;
- 网络中传输的协议类型;
- 其他一些用户和网络的关键信息。
2. 被动窃听
被动窃听是指攻击者被动的监控无线会话。(就是直接用混杂模式直接窃听流量)
3.主动窃听
和被动窃听类似,在主动窃听中,攻击者同样需要监控无线网络,所不同的是,通过主动窃听,攻击者不仅可以监听无线会话连接,而且还可以主动地注人一些消息来帮助他们了解更多的会话内容。
4. 中间人攻击
中间人攻击的目的是从一个会话中获得用户私有数据或修改数据报文从而破坏会话的完整性。
5. 会话劫持
会话劫持攻击是对会话完整性的破坏,攻击的结果是合法的目标用户不能接收到已经被认证和授权的会话。被攻击的用户可能认为会话已经正常结束,但是不知道此次会话已经被攻击者劫持,可能会将会话的结束归于无线局域网正常的故障。一旦攻击者占有合法会话,它将会利用此次会话实现他需要的任何目的,并且会维持此会话一段时间,这也是一种实时攻击。
6. 重放攻击
在重放攻击中,首先攻击者要捕获到会话中的认证信息,然后在延迟一段时间后重新发送这些数据包。由于会话是有效的,因此攻击者便利用这些认证报文建立了一个合法的会话。如果网络中没有采取进一步的安全机制,攻击者会使用自标的身份和授权来进一步破坏网络。
7. 非授权接入
就是通过非法的方法获取访问网络的权限。(非授权接入和前面介绍的攻击技术不同,它不是针对单个用户或一组用户,其目标是针对整个网络。)
8. 拒绝服务
You know it !
防御措施
- 制定无线安全策略
- 激活WEP
- 创建访问控制列表
- 使用动态密钥交换机制
- 保持固件的更新
- 访问点的适当安装
- 给访问点设置强口令
- 改变SSID
- 禁止广播SSID(一般只需要配置这个)
- 限制无线电波的传播范围
- 布置访问控制器
- 实现个人防火墙
- 使用虚拟专用网
- 使用静态IP地址
- 控制WLAN的使用
- 所有的无线站都是不可信的
- 监视非授权访问点—
参考:
- PPT