第一章 网络安全概述
1 网络不安全的主要因素:互联网具有的不安全性、操作系统存在的安全问题、数据的安全问题、传输线路的安全的问题、网络安全管理问题。
2 互联网的不安全因素主要表现在如下方面:
1) 网络互联技术是全开放的使得网络所面临的破坏
和攻击来自各方面。
2) 网络的国际性意味着网络的攻击不仅来自本地网
络的用户,而且可以来自互联网上得任何一台机器,也就是说,网络安全面临的是国际化的挑战。 3) 网络的自由性意味着最初网络对用户的使用并没
有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。
3 网络安全威胁和攻击机制的发展将具有以下特点: (1)与互联网更加紧密地结合,利用一切可以利用的方式进行传播。
(2)所有的病毒都具有混合型特征,集文件传染、蠕虫、木马、黑客程序的特点于一身,破坏性大大增强。 (3)扩散极快,而且更加注重欺骗性。
(4)利用系统漏洞将成为病毒有力的传播方式。 (5)无线网络技术的发展使远程网络攻击的可能性加大。
(6)各种境外情报、谍报人员将越来越多地通过信息网络渠道搜集情报和窃取资料。
(7)各种病毒、蠕虫、和后门技术越来越智能化,并呈现整合趋势,形成混合性威胁。
(8)各种攻击技术的隐秘性增强,常规手段不能识别。
(9)分布式计算机技术用于攻击的趋势增强,威胁高强度密码的安全性。
(10)一些政府部门的超级计算机资源将成为攻击者利用的跳板。
(11)网络管理安全问题日益突出。
4 网络安全技术的发展是多维、全方位的,主要有以下几方面:(1)物理隔离(2)逻辑隔离(3)防御来自网络的攻击(4)防御网络上的病毒(5)身份验证(6)加密通信和虚拟专用网(7)入侵检测和主动防卫(8)网管、审计和取证
第二章 操作系统安全配置
1 我国操作系统分成5个级别,分别是用户自护保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
2 操作系统安全配置主要是用户安全配置和密码安全配置
3 用户安全配置: (1)新建用户(2)账户授权(3)停用Guest用户(4)系统Administrator账号改名(5)把共享文件的权限从Everyone组改成授权用户(6)不让系统显示上次登录的用户名(8)限制用户数量(9)多个管理员账号(10)开启用户策略(复位账户锁定计数器 30分钟、战虎锁定时间 30分钟、账户锁定阈值 5次):当某一用户连续登录5次都失败后将自动锁定该账户,30分钟之后自动复位被锁定的账户。 4 密码安全配置: (1)安全密码:安全期内无法破解出来的密码就是安全密码,也就是说,如果得到了密码档案,必须花43天或更长的时间才能破解出来。 (2)开启密码策略:“密码必须符合复杂性要求”是
要求设置的密码必须是数字和字母的组合;“密码长度
最小值”是要求密码长度至少为几位;“密码最长存留期”是要求当该密码使用超过几天后,就自动要求用户修改密码;“强制密码历史”是要求当前设置的密码不能和前面几次的密码相同。
5 开启审核策略的原因:安全审核是Windows最基本的入侵检测方法。
第三章 信息加密技术
1、RSA公开密钥密码原理:非对称密钥密码体制,由公开密钥和私密密钥组成。
2、一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。 3、DH算法是用于密钥交换的最早最安全的算法之一。 4、DH算法的基本工作原理是:通信双方公开或半公开交换一些准备用来生成密钥的“材料数据”,在彼此交换过密钥生成“材料”后,两端可以各自生成出完全一样的共享密钥。
第四章 数字签名与CA认证技术
1 数字签名的种类:(1)手写签名或图章的模式识别(2)生物识别技术(3)密码、密码代号或个人识别码(4)基于量子力学的计算机(5)基于PKI的电子签名
2 数据完整性鉴别:报文鉴别、校验和、加密校验和、消息完整性编码MIC
3 数字证书能解决的问题:保密性、完整性、身份认证、不可否认性
4 数字证书的工作原理:数字证书采用PKI—公开密钥基础构架技术,利用一对相互匹配的密钥进行加密和解密。
第五章 防火墙技术与配置
1、网络防火墙的目的:(1)限制访问者进入一个被严格控制的点(2)防止进攻者接近防御设备(3)限制访问者离开一个被严格控制的点(4)检查、筛选、过滤和屏蔽信息流中得有害服务,防止对计算机系统进行蓄意破坏
2、网络防火墙的主要作用:(1)有效地收集和记录互联网上的活动和网络误用情况(2)能有效隔离网络中的多个网段,能有效地过滤、筛选和屏蔽有害的信息和服务(3)防火墙作为一个防止不良现象发生的“警察”,能执行和强化网络的安全策略。
3、防火墙的基本类型:包过滤型、代理服务器型、电路层网关、混合型、应用层网关、自适应代理技术。
第六章 网络病毒与防治
1、计算机病毒的特征:自我复制能力、夺取系统控制权、隐藏性、破坏性、潜伏性、不可预见性。
2、计算机病毒按传染方式分类:引导型病毒、文件型病毒、混合型病毒。
3、按连接方式分类:源码型病毒、入侵型病毒、操作系统型病毒、外壳性病毒。 4、计算机病毒的破坏行为:(1)攻击系统数据区(2)攻击文件(3)攻击内存(4)干扰系统运行(5)计算机速度下降(6)攻击磁盘(7)扰乱屏幕显示(8)攻击键盘(9)攻击扬声器(10)攻击COMS(11)干扰打印机
5、防毒原则:
(1)不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
(2)写保护所有系统盘,绝不把用户数据写到系统盘
上。
(3)安装真正有效的防毒软件,并经常进行升级。 (4)新购买的计算机要在使用之前首先进行病毒检查,以免机器带毒。
(5)准备一张干净的系统盘,并将常用的工具软件复制到该软盘上,加以保存,此后一旦系统受病毒侵犯,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。
(6)对外来程序要使用尽可能多查毒软件进行检查,未经检查的可执行文件不能复制到硬盘,更不能使用。 (7)尽量不要使用软盘启动计算机。
(8)一定要将硬盘引导区和主引导扇区备份下来,并经常对重要数据进行备份,防患于未然。
(9)随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软件仔细检查。
第七章 黑客的攻击与防范
1、黑客的定义:人们通常认为黑客是指在计算机技术上有一定特长,并凭借自己掌握的技术知识,采用非法的手段逃过计算机网络系统的存取控制,而获得进入计算机网络进行未授权和非法的访问的人。 2、黑客攻击的目的:(1)窃取信息(2)获取口令(3)控制中间站点(4)获得超级用户权限 3、黑客攻击的步骤:攻击前奏、实施攻击、巩固控制、继续深入。
4、TCP SYN扫描:这种技术通常认为是“半开放”扫描,这是因为扫描程序不需要打开一个完全的TCP链接。扫描程序发送的是一个SYN数据包,好像准备打开一个实际的链接并等待反应一样。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回表示端口没有处于侦听状态。如果收到一个SYN|ACK,则扫描程序必须再发送一个RST信号来关闭这个链接过程。
5、TCP FIN扫描:这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包,另外,打开的端口会忽略对FIN数据包的回复。
6、IP段扫描:它并不直接发送TCP探测数据包,而是将数据包分成两个较小的IP段,这样就将一个TCP头分成好几个数据包,从而过滤器就很难探测到。 7、特洛伊木马的工作原理:
第一步:木马服务端程序的植入。
第二步:木马将入侵主机信息发送给攻击者。 第三步:木马程序启动并发挥作用。
8、特洛伊木马的特性:隐藏性、自动运行性、功能特殊性、自动恢复性、能自动打开特别的端口。 9、缓冲溢出攻击的原理:缓冲区是程序运行的时候机器内存中得一个连续块,它保存了给定类型的数据,随着动态分配变量会出现问题。大多数时候威力不占用太多的内存,一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样下去的话,如果要给程序在动态分配缓冲区放入超长的数据,它就会溢出了。
10、缓冲区溢出攻击的防范技术:(1)编写正确的代码(2)非执行的缓冲区(3)数组边界检查(4)程序指针完整性检查。
11、拒绝服务攻击原理:拒绝服务简称DoS,由于它的不易觉察性和简易性,因而一直是网络安全的最大隐患。它是一种技术含量低,攻击效果明显的攻击方法,受到攻击时,服务器在长时间内不能提供服务,
使得合法用户不能得到服务,特别是分布式拒绝服务DDoS,它的效果很明显,并且难以找到真正的攻击源,很难找到行之有效的解决方法。
12、Land攻击:这是利用TCP/IP的漏洞,发送大量的源地址与目的地址相同的数据包,从而造成服务器解析Land包时占用大量的处理资源,当收到的包到一定程度时,就会形成拒绝服务攻击。 13、Smurf攻击:Smurf攻击结合了IP欺骗和ICMP回复方法,使大量网络传输充斥目标系统,导致目标系统拒绝为正常系统服务。
14、Teardrop攻击:数据链路层的最大传输单元MTU限制了数据帧的最大长度,不同的网络类型都有一个上限值,可以用Netstat-i命令查看这个值,以太网的MTU是1500。
15、防范黑客入侵的措施:(1)安全口令(2)实施存取控制(3)确保数据的安全(4)定期分析系统日志(5)进行动态站点监控(7)用安全管理软件测试自己的站点(8)做好数据的备份工作(9)使用防火墙 16、防范黑客入侵的步骤:(1)选好操作系统(2)补丁升级(3)关闭无用的服务(4)隐藏IP(5)查找本机漏洞(6)防火墙软件保平安。
第八章 Web服务的安全性
1、Web服务所面临的安全威胁可归纳为两种:一种是机密信息所面临的安全威胁,另一种是WWW服务器和浏览器主机所面临的安全威胁。其中,前一种安全威胁是因特网上各种服务所共有的,而后一种威胁则是由扩展Web服务的某些软件所带来的。这两种安全隐患不是截然分开,而是共同存在并相互作用的,尤其是后一种安全威胁的存在,使得信息保密更加困难。 2、主机面临的威胁:(1)CGI程序带来的威胁(2)Java小程序所带来的威胁(3)ASP所带来的威胁(4)Cookie所带来的威胁(5)ActivX控件所带来的威胁 3、防御措施:(1)安装防火墙(2)加密保护
第九章 电子商务的安全性
1、SSL标准主要提供了3种服务:数据加密服务、认证服务与数据完整性服务。SSL标准采用的是对称加密技术与公开密钥加密技术。
2、SSL标准的工作流程主要包括以下几步:SSL客户机向SSL服务器发出连接建立请求,SSL服务器响应SSL客户机的请求;SSL客户机与SSL服务器交换双方认可的密码,一般采用的加密算法是RSA算法;检验SSL服务器得到的密码是否正确,并验证SSL客户机的可信程度;SSL客户机与SSL服务器交换结束的信息。 填空
1、FTP协议的两种工作方式:主动方式和被动方式 2、互联网不安全的原因:网络具有开放性、网络具有国际性、网络具有自由性
3、病毒按传染方式分类:引导型病毒、文件型病毒、混合型病毒
4、信息安全的5大特征:完整性、保密性、可用性、不可否认性、可控性
5、把逻辑C盘的FA32转为NTFS:convert C :/f ntfs
6、计算机病毒的特征:自我复制能力、夺取系统控制权、隐藏性、破坏性、潜伏性、不可预见性 7、查看网络是否入侵命令:netstat -an
8、添加aaa为管理员的命令:net localgroup
administrator aaa/add
9、TCP协议头结构:SYN位表示同位连接序号,Fin位表示:结束链接
10、公开密钥分类:大整数因子分解系统(RSA)、离散对数系统(DSA)、椭圆曲线离散对数系统(ECDSA) 简述题
1、信息安全保护技术、被动防御技术有哪些?
信息安全保护技术主要有两种:主动防御技术和被动防御技术。
被动防御技术包括防火墙技术、入侵检测技术、安全扫描器、口令验证、审计跟踪、物理保护与安全管理。 2、拒绝服务攻击原理是什么? 它是一种简单的破坏性攻击,通常黑客利用TCP/IP中得某种漏洞,或者系统存在的某些漏洞,对目标系统发起大规模的攻击,使攻击目标失去工作能力,使系统不可访问因而合法使用不能及时得到应得的服务或系统资源,如CPU处理时间与宽带等。它最本质的特征是延长正常的应用服务的等待时间。 3、SET的主要目标是什么?
(1)信息传输的安全性(2)信息的相互隔离(3)多方认证的解决(4)效仿EDI贸易形式(5)交易的实时性
4、RSA密钥生成体制
RSA的安全性依赖于大数分解。公开密钥和私有密钥都是两个大素数的函数。 具体算法P46
5、全方位网络安全解决方案包含哪些方面的内容? (1)物理隔离(2)逻辑隔离(3)防御来自网络的攻击(4)防御网络上的病毒(5)身份验证(6)加密通信和虚拟专用网(7)入侵检测和主动防卫(8)网管、审计和取证 名词解释
1、数字签名:所谓数字签名就是通过某种密码运算生
成一系列符号以及代码组成电子密码进行签名,来代
替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。
2、TCP FIN扫描:这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包,另一方面,打开的端口会忽略对FIN数据包得回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开,都回复RST,这样,这种扫描方法就不适用了。并且这种方法在区分UNIX和Windows NT时是十分有用的。
3、Land攻击:这是利用TCP/IP的漏洞,发送大量的源地址与目的地址相同的数据包,从而造成服务器解析Land包时占用大量的处理资源,当收到的包达到一定程度时,就会形成拒绝服务攻击。
4、参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为中立区,即DMZ
防火墙配置
根据拓扑图中以给定的IP地址,按下列要求对防火墙进行配置:
图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口,右口为f0/0口。
1.对防火墙、路由器进行基本的命令配置。使得内网的所有机器能访问外网。
2.所有内网的主机出口使用防火墙对外的全局地址为202.161.1.2
3.所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机,此主机对外的公开地址为202.161.1.5,允许对此主机进行www、ftp访问。 实验拓扑图:
R1配置 R2配置 En en Conf t conf t Int f0/1 int f1/0
Ip add 192.168.1.1 255.255.255.0 ip add 202.1.1.2 255.255.255.0 No shut no shut Int f0/0 int f0/0