软考中级软件设计师——信息安全篇

1.防火墙

        防火墙也称防护墙，是一种位于内部网络与外部网络之间的网络安全系统。它由软件和硬件设备组合而成，依照特定规则，允许或限制传输的数据通过，在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，保护内部网免受非法用户侵入。

        防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。

1.1包过滤防火墙

        包过滤防火墙有一个包检查块（包过滤器），处于网络层和数据链路层（即 TCP 和 IP 层）之间，通过检查数据包头部（如源地址、目的地址、协议和端口等）信息，依据包过滤规则来控制站点与站点、站点与网络、网络与网络之间的相互访问，对不符合规则的包进行报警并丢弃。

• 优点：
  • 对用户完全透明，直接转发报文，速度较快。
  • 对每条传入和传出网络的包实行低水平控制，能检查每个 IP 包字段。
  • 可识别和丢弃带欺骗性源 IP 地址的包。
  • 包过滤功能常包含在路由器数据包中，无需额外系统处理。
• 缺点：
  • 无法防范黑客攻击，难以区分可信与不可信网络界限。
  • 不支持应用层协议，访问控制粒度粗糙。
  • 不能处理新的安全威胁。

1.2应用代理网关防火墙

        彻底隔断内网与外网的直接通信，内网用户对外网的访问需先由防火墙访问外网，再转发给内网用户，所有通信都要经应用层代理软件转发，访问者不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。

• 优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力较强。
• 缺点：难以配置，处理速度非常慢。

1.3状态检测技术防火墙

        结合代理防火墙的安全性和包过滤防火墙的高速度优点，在不损失安全性的基础上提升性能。

        摒弃包过滤防火墙仅考查数据包 IP 地址等参数而不关心连接状态变化的缺点，在防火墙核心建立状态连接表，将进出网络的数据视为会话，利用状态表跟踪会话状态。检查数据包时不仅依据规则表，还考虑其是否符合会话状态，提供完整的传输层控制能力，采用优化技术提升防火墙性能，适用于各类网络环境，尤其是规则复杂的大型网络。

2.病毒

2.1计算机病毒的特征

        具有传播性、隐蔽性、感染性、潜伏性、触发性、破坏性等特征。

2.2计算机病毒的类型及代表

• 蠕虫病毒：用 “Worm” 表示，蠕虫病毒是一种能自我复制、独立运行，利用系统或网络服务器漏洞主动攻击的网络病毒，可通过多种网络途径传播，造成网络或系统性能受损。代表病毒有欢乐时光、熊猫烧香、红色代码、爱虫病毒、震网 。
• 特洛伊木马：用 “Trojan” 表示 ，木马软件如冰河、FTP 木马（唯一功能是打开 21 端口，等待用户连接）。一个完整的特洛伊木马套装程序包含服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，黑客利用客户端进入运行了服务端的电脑。运行木马程序的服务端后，会产生一个具有迷惑性名称的进程，暗中打开端口，向指定地点发送数据（如各种密码等），黑客可利用这些打开的端口进入电脑系统，进而控制目标计算机，窃取、修改或毁坏其中的文件。
• 后门病毒：用 “Backdoor” 表示，是一类通过网络传播，在用户电脑上留下安全漏洞，以便攻击者远程控制或非法访问的恶意程序。
• 宏病毒：用 “Macro” 表示，感染对象主要是文本文档、电子表格（.dox和.txt）等。

3.网络攻击

• 拒绝服务攻击（Dos 攻击）：通过不断向计算机发起请求，使其或网络无法提供正常服务。拒绝服务是通过不断向计算机发起请求来实现的。（例子：SYN Flooding攻击）
• 重放攻击：攻击者发送目的主机已接收过的报文，利用网络监听等方式盗取认证凭据，重新发送给认证服务器，破坏身份认证的正确性。
• 口令入侵攻击：使用合法用户的账号和口令登录目的主机，再实施攻击活动。
• 特洛伊木马：伪装成程序或游戏，用户下载带有木马的软件或附件后，程序向黑客发起连接请求，建立连接后黑客进行攻击。
• 端口欺骗攻击：通过端口扫描找到系统漏洞，进而实施攻击。
• 网络监听：攻击者接收某一网段在同一物理通道上传输的所有信息，轻松截取包括账号和口令在内的资料。
• IP 欺骗攻击：产生伪造源 IP 地址的 IP 数据包，冒充其他系统或发件人的身份。
• Sql 注入攻击：因程序未对用户输入数据的合法性进行判断而存在安全隐患，攻击者提交数据库查询代码，根据程序返回结果获取数据、数据库权限，进而获得用户账号口令信息或修改数据等。
• 入侵检测技术：包括专家系统、模型检测、简单匹配等。
• ARP 攻击（ARP 欺骗）：属于欺骗攻击，通过伪造 IP 地址和 MAC 地址，在网络中产生大量 ARP 通信量，可能导致网络阻塞。若伪造网关的 IP 地址和 MAC 地址对，发往网关的 IP 包会因 MAC 地址错误（一般被改为攻击主机地址）无法到达网关，最终造成无法跨网段通信。处理方法：先断开 ARP 攻击主机的网络连接，再使用 “arp -d” 命令清除受攻击影响的 ARP 缓存。

4.网络安全

• SSL（安全套接层）：由 Netscape 于 1994 年开发的传输层安全协议，用于实现 Web 安全通信。1996 年发布的 SSL 3.0 协议草案成为事实上的 Web 安全标准。端口号：443

        公共端口号（1-1023）

        HTTP端口号（80）

• TLS（传输层安全协议）：由 IETF 制定，建立在 SSL 3.0 协议规范之上，是 SSL 3.0 的后续版本。
• SSH：终端设备与远程站点建立安全连接的协议，由 IETF 制定，基于应用层和传输层的安全协议，专为远程登录会话和其他网络服务提供安全性，可防止远程管理中的信息泄露，最初用于 UNIX，后扩展到其他操作平台。
• HTTPS：以安全为目标的 HTTP 通道，即使用 SSL 加密算法的 HTTP。
• MIME（多用途互联网邮件扩展类型）：互联网标准，扩展了电子邮件标准，使其支持非 ASCII 字符文本、非文本格式附件（二进制、声音、图像等），由多部分组成消息体，包含非 ASCII 字符的头信息。
• PGP（优良保密协议）：基于 RSA 公钥加密体系的邮件加密软件，可对邮件保密以防止非授权者阅读，还能对邮件添加数字签名，使收信人确认邮件发送方。
• IPSec:为IP数据报文进行加密。
• PP2P:用于加密链路层。
• IGMP:互联网组管理协议，用于管理 多播（组播）组成员关系 的核心协议，运行在主机（多播组成员）与多播路由器（或支持多播的三层设备）之间，负责维护网络中多播组的成员信息，确保多播数据仅发送给有需求的接收者。
• Telnet:是一种 应用层网络协议，用于通过互联网或局域网远程登录到另一台计算机，实现对远程主机的交互式控制。（不安全）
• RFB:用于远程登录图形化用户界面
• Outlook Express:免费电子邮件客户端,用于收发和管理电子邮件、新闻组（Usenet）等。

优点：

1. 可以脱机处理邮件，有效利用联机时间，降低了上网费用。
2. 可以管理多个邮件账号，在同一个窗口中使用多个邮件账号。
3. 可以使用通讯簿存储和检索电子邮件地址。
4. 在邮件中添加个人签名或信纸。
5. 发送和接收安全邮件。

• 内部网关协议包括:RIP、0SPF、IS-IS、IGRP、EIGRP
• 外部网关协议包括:BGP
• UDP是不可靠、无连接的协议

5.数据库容灾

        数据库容灾是指在异地部署与本地相同的数据库，当本地数据库因自然灾害、故障等不可抗力事件无法正常工作时，异地备用数据库能立即接管，确保业务连续运行和信息安全转移。

        网络安全体系可从物理安全、网络安全、系统安全、应用安全等方面来进行，其中数据库容灾属于系统安全和应用安全。

6.信息安全存储安全

        信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性

• 机密性:确保信息不暴露给未授权的实体或进程。
• 完整性:只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
• 可用性:得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍
• 授权者的工作。
• 可控性:可以控制授权范围内的信息流向及行为方式。
• 可审查性:对出现的信息安全问题提供调查的依据和手段。信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

7.一些与网络相关的命令

• ipconfig:用于査看本机IP信息
• traceroute:是Linux下的命令对应 Windows下的命令为tracert路由跟踪命令
• netstat:是一个监控TCP/IP网络的非常有用的工具它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息
• nslookup:域名查询命令，用于查询DNS解析域名记录