网络安全的八大机制_网络安全机制-优快云博客

本文链接：https://blog.youkuaiyun.com/2401_88750910/article/details/146117001

🍅 点击文末小卡片 ，免费获取网络安全全套资料，资料在手，涨薪更快

文章目录

第一章网络安全概述与环境配置
第二章网络安全协议基础
第四章网络扫描与网络监听
第五章网络入侵
第六章网络后门与网络隐身
第八章操作系统安全基础
第九章密码学与信息加密
第十章防火墙与入侵检测
第十一章 IP安全和WEB安全

第一章网络安全概述与环境配置

1.狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全。广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。
2信息安全的基本要求
①机密性②完整性③可用性④不可否认性
3信息保障的核心思想是对系统或者数据的4个方面的要求：保护（protect），检测（detect），反应（react）和恢复（restore）。
利用4个单词首字母表示为PDRR，称之为PDRR保障体系。
4.从层次体系上，可以将网络安全分成4个层次的安全：物理安全，逻辑安全，操作系统安全和联网安全。
5.1999年10月经过国家质量监督局批准发布将计算机安全保护级别分为5个级别。
①用户自主保护级②系统审计保护级③安全标记保护级④结构化保护级⑤访问验证保护级
6.计算机安全级国际评价标
C1 C2 B1 B2 B3 A
D级是最低的安全级别，属于这个级别的操作系统有DOS和Windows98。
C2级别的常见操作系统有几种：UNIX系统；Novell 3.X或者更高版本；Windows NT,Windows 2000和Windows2003以上版本。

第二章网络安全协议基础

1.OSI模型将通信会话需要的各种进程划分成7个相对独立的层次。
①物理层②数据链路层③网络层④传输层⑤会话层⑥表示层⑦应用层
2.TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。
3.IPv4的IP地址分成5类：A、B、C、D、E
4.TCP协议的头结构都是固定的。
①源端口:16位的源端口包含初始化通信的端口号。源端口和IP地址的作用是标识报文的返回地址。
②目的端口：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。
③序列号：TCP连线发送方向接收方的封包顺序号。
④确认序号：接收方回发的应答顺序号。
⑤头长度：表示TCP头的双四字节数，如果转化为字节个数需要乘以4.
⑥URG:是否使用紧急指针，0为使用，1为不使用。
⑦ACK:请求-应答状态。0为请求，1为应答。
⑧PSH：以最快的速度传输数据。
⑨RST：连线复位，首先断开连接，然后重建。
⑩SYN:同步连线序号，用来建立连线。
（11）FIN:结束连线。0为结束连线请求，1为表示结束连线。
（12）窗口大小：目的机使用16位的域告诉源主机，他想收到的每个TCP数据段大小。
（13）校验和：这个校验和与IP的校验和有所不同，它不仅对头数据进行校验还对封包内容校验。
（14）紧急指针:当URG为1时才有效。TCP的紧急方式是发送紧急数据的一种方式。
5.在下列情况中通常自动发送ICMP消息。
①IP数据报无法访问目标。
②IP路由器（网关）无法按当前的传输速率转发数据报。
③IP路由器将发送主机重定向为使用更好的到达目的的路。
6.常用的网络命令。
①判断主机是否联通的Ping命令
②查看IP地址配置情况的ipconfig指令
③查看网络连接状态的netstat指令
④进行网络操作的net指令
⑤进行定时器操作的at指令

第四章网络扫描与网络监听

1.黑客攻击五部曲
①隐藏IP
②踩点扫描
③获得系统与管理员权限
④种植后门
⑤在网络中隐身
2.网络踩点
踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。
常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的收集和目标IP地址范围的查询。
踩点的目的就是探查对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。
3.网络扫描
网络扫描的原理是利用操作系统提供的connect（）系统调用，与每一个感兴趣的目标计算机的端口进行连接。如果端口处于工作状态，那么CONNECT（）就能成功。这个技术的一个最大优点是不需要任何权限，系统中的任何用户都有权利使用这个调用。
黑客攻击五部曲中第二步踩点扫描中的扫描，一般分成两种策略：一种是主动式策略，另一种是被动式策略。
被动策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。
4.网络监听器Sniffer(嗅探)的原理是
在局域网中与其他计算机进行数据交换时，数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接受到的数据包中目的地址是什么，主机都将其接受下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以同一网段所有的数据包，不能监听不同网段的计算机传输的信息。

第五章网络入侵

1.目前社会工程学攻击主要包括两种方式。
①打电话请求密码
②伪造E-msil
2.最常见的DOS攻击是计算机网络带宽攻击和连通性攻击。
3.比较著名的拒绝服务攻击包括：SYN风暴，Smurf攻击和利用处理程序错误进行攻击。
4.Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。任何链接到互联网上的主机或者其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。
5.利用处理程序错误进行攻击
①ping of death攻击
②Teardrop攻击
③Land攻击

第六章网络后门与网络隐身

1.木马
木马是一种可以驻留在对方服务器系统中的一种程序，木马程序一般由两部分组成：服务器端程序和客户端程序。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。
2.本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登陆对方的主机。

第八章操作系统安全基础

1.常用操作系统概述及特点
目前服务器常用的操作系统有4类：FreeBSD、UNIX、Linux和Windows NT/2000/2003 Server。
这些操作系统都是符合C2以上安全级别的操作系统，但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的安全措施，就会使操作系统安全暴露给入侵者。所有的应用都运行在操作系统上，稳固的操作系统是网络安全的基石。
2.安全操作系统和操作系统安全是不同的概念，如果操作系统的源代码内置了特定的安全策略，通常称之为安全操作系统，而操作系统安全则指的是一些设置等操作，使操作系统更加可靠。
3.Multics是开发安全操作系统最早期的尝试。1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统，
4.1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（Access Matrix）的思想第一次对访问控制问题进行了抽象。主体是访问操作中的主动实体，客体是访问操作中被动实体，主体对客体进行访问。访问矩阵以主体为行索引、以客体为列索引，矩阵中的每个一元素表示一组访问方式，是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第J个客体Oj的访问方式，比如Mjj={read,Write}表示Si可以对Oj进行读和写操作。
5.主体与客体
操作系统中的每一个实体组件都必须是主体或者客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基本的主体应该是用户（包括一般用户和系统管理员、系统安全员、系统审计员等特殊用户）。每个进入系统的用户必须是唯一标识的并经过鉴别确定为真实的。系统中所有事件要求，几乎全是由用户激发的。进程是系统中最活跃的实体，用户的所有事件要求都要通过进程的运行来处理。在这里，进程作为用户的客体，同时又是其访问对象的主体。
客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。操作系统中的进程（包括用户进程和系统进程）一般有着双重身份。当一个进程运行时，它必定为某一用户服务—直接或间接地处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进城的客体（这时另一进城则是该用户的客体）。
6.安全策略和安全模型
安全策略和安全模型是计算机安全理论中容易相互混淆的两个概念。安全策略是指由关管理、保护和发布敏感信息的法律、规定的实施细则。
说一个操作系统是安全的，是指它满足某一给定的安全策略。安全策略由一套严密的规则组成，这些确定授权存取的规则是决定存取控制的基础。
安全模式则是对于安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述如何把特定的机制应用与系统中，从而实现某一特定安全策略所需的安全保护。
7.标识与鉴别
标识与鉴别涉及系统和用户。标识就是系统要标识用户的身份，并未每个用户取一个系统可以识别的内部名称----用户标识符。用户标识符必须是唯一的且不能伪造，将用户标识符和用户联系的过程成为鉴别，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息任何其他用户都不能拥有他。
在操作系统中，鉴别一般是在用户登录时发生的，系统提示用户输入口令，然后判断用户输入的口令是否与系统中存在的用户的口令一致。较为安全的口令应该是不小于6个字符并同时含有数字和字母的口令，并且限定一个人口令的生存周期。另外生物技术是一种比较有前途的鉴别用户身份的方法，如利用指纹、视网膜等。
8.访问控制一般涉及两种形式
①自主访问控制DAC②强制访问控制MAC
9.安全配置方案初级篇主要介绍常规的操作系统安全配置，包括12条基本配置原则：物理安全、停止Guest账号、限制用户数量、创建多个管理员账号、管理员账号改名、陷阱账号、更改默认权限、设置安全密码、屏幕保护密码、使用NTFS分区、运行防毒软件和确保备份盘安全。
10.安全配置方案中级篇主要介绍操作系统的安全策略配置，包括10条基本配置原则：操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启账户策略、备份敏感文件、不显示上次登录名、禁止建立空连接和下载最新的补丁。

第九章密码学与信息加密

1.密码学相关科学大致可以分为三个方面：密码学、密码编码学、密码分析学。
2.原则上来说对电子数据的攻击有两种形式
①被动攻击，即非法从传输信道上截取信息，或从存储载体上偷窃信息。
②主动进攻，即对传输或存储的数据进行恶意的删除、修改等。
3.除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。
4.DES加密需要4个关键点：IP置换表和IP逆置换表，函数f，子秘钥K和S盒子的工作原理。
5.RSA算法的工作原理
RSA算法是一种基于大数不可能质因数分解假设的公钥体系。简单的说，就是找两个很大的质数，一个公开给世界，称之为“公钥”，另一个不告诉任何人，称之为“私钥”。
RSA体制可以简单描述如下：
①生成两个大素数p和q
②计算着两个素数的乘积n=p*q
③计算小于n并且与n互质的整数的个数，即欧拉函数（n）=（p-1）(q-1)
④选择一个随机数e满足1<e<（n），并且e和（n）互质，即ged(e,(n))=1
⑤计算de=1 mod(n)
⑥保密d,p和q，公开n和e
利用RSA加密时，明文以分组的方式加密，即每一个分组的比特数应该小于log2n。加密明文x时，利用公钥（e,n）计算c=X mod n就可以得到相应的密文c。解密时，通过计算X=C mod n就可以恢复明文x。在RSA系统中，（e,n）构成加密秘钥，即公钥，（d,n）构成解密秘钥，即私钥。
选取的素数p和q要足够大，从而乘积n足够大，在事先不知道p和q的情况下分解n是计算上不可行的。常用的公钥加密算法包括：RSA密码体制、EIGamal密码体制和散列函数密码体制（MD4和MD5等）。
6.数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己受到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了信息来源的真实性和数据传输的完整性。
数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接受人才能阅读信息的内容。数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接受方的公钥加密对称密码，被公钥加密后的对称密码被称为数字信封。

第十章防火墙与入侵检测

1.防火墙的局限性
①防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
②防护墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。
③防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在病毒。
2.防火墙的分类（防火墙的实现技术）
①分组过滤：作用在协议族的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。
②应用代理：也叫应用网关，它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
③状态监测：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。
3.常见的防火墙系统模型一般分为4类：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。
4.入侵检测系统的概念
入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。入侵者课分为两类：外部入侵者和内部入侵者。外部入侵着一般指来自局域网外的非法用户和访问受限制资源的内部用户；内部入侵者指假扮或其他有权访问敏感数据的内部用户或者是能够关闭系统审计的内部用户，内部入侵者不仅难以发现而且更具有危险性。
入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时，通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评价结果；来鉴别系统中行为的正常性，从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。
5.入侵检测系统的类型和性能比较
根据入侵检测的信息来源不同，可以讲如前检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。
①基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。他通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快的启动相应的应急想赢程序。
②基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，他监听网络上的所有分组来采集数据，分析可疑现象。
6.入侵检测的方法有3种分类依据：根据物理位置进行分类，根据建模方法进行分类和根据时间分析进行分类。
常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。
7入侵检测的步骤3个：信息收集、数据分析和响应。
8.数据检测
数据检测是入侵检测系统的核心，他的效率高低直接决定了整个入侵检测系统的性能的高低。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测和滥用入侵检测两类。