2018年度网络与信息安全深刻复习提纲及归纳材料.doc
《2018年度网络与信息安全深刻复习提纲及归纳材料.doc》由会员分享,可在线阅读,更多相关《2018年度网络与信息安全深刻复习提纲及归纳材料.doc(90页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、,附件6:2018年全省广播电视系统技术能手竞赛复习大纲(网络与信息安全类)1基础理论1.1 掌握信息安全三要素1.2 了解信息系统的弱点(漏洞的分类)主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。在攻击网络之前,攻击者首先要寻找网络的安全漏洞,然后分析和利用这些安全漏洞来入侵网络系统,网络安全漏洞可分为如下几类:1.软件漏洞:任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性.。这种安全漏洞可分为两种/一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一咱是应用软件程序安全漏洞,很常见,更要
2、引起广泛关注。2.结构漏洞:网络中忽略了安全问题,没有采取有效的网络安全措施,使网络系统处于不设防的状态;另外,在一些重要网段中,交换机和集线器等网络设备设置不当,造成网络流量被监听和获取。3.配置漏洞:网络中忽略了安全策略的制定,即使采取了网络安全措施,但由于安全配置不合理或不完整,安全没有发挥任用在网络发生变化后,没有及时更改系统内部安全配置而造成安全漏洞。4.管理漏洞:网络管理者不小心和麻痹造成的安全漏洞,如管理员口令太短或长期不更换密码,造成口令攻击;两台服务器共用同一个用户名和口令,如果一个服务器被入侵,则中一个服务器也很危险。5.信任漏洞:过分地信任外来合作者的机器,一旦这个机器被
3、入侵,则网络安全受到严重危险。从这些安全漏洞来看,既有技术因素,也有管理因素,实际上攻击者正是分析了相关的技术因素和管理因素,寻找其中安全漏洞来入侵系统。因此,堵塞安全漏洞必须从技术手段和管理制度等方面采取有效措施。在网站建设中,迅美也要求客户选用稳定的服务器,在网站的后台密码设置中,一方面尽量长另一方面尽量频繁地更换下密码。1.3 了解OSI 7层协议、TCP/IP 4层协议TCP/IPOSI应用层Telnet,FTP,SMTP,SNMP.应用层表示层会话层传输层TCP,UDP,UGP传输层网络层(IP)(又称互联层) IP,ICMP,IGMP网络层网络接口层(又称链路层) ARP,RARP
4、数据链路层物理层1.4 了解黑客攻击的手段及DOS攻击的定义黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段。1、后门程序由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如
5、将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。2、信息炸弹信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向系统发送特定组合的数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱撑爆等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。3、拒绝服务拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网
6、络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。4、网络监听网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级
7、用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。5、密码破解当然也是黑客常用的攻击手段之一。DDOS分布式拒绝服务攻击使用与普通的拒绝服务攻击相同的方法,但是发起攻击的源是多个。它利用TCP/IP协议本身的缺陷和漏洞。通过消耗带宽、CPU和内存等资源,达到使被攻击者的性能下降甚至瘫痪和四级,从而造成其他合法用户无法正常访问。和DoS比较起来,起破坏性和危害程度更大,涉及范围更广,也更难发现攻击者。DDoS攻击的原理如图7.2.1所示,这个过程可以分为以下几个步骤:1) 探测扫
8、描大量主机来寻找可以入侵的目标主机;2) 入侵有安全漏洞的主机并且获取控制权;3) 在每台入侵主机中安装攻击程序;4) 利用已经入侵的主机继续进行扫描和入侵。1.5 理解防火墙的定义,掌握防火墙的4种体系结构 1.6 了解入侵检测IDS的定义,了解入侵检测IDS的主要技术IDS是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是
9、:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上Internet接入路由器之后的第一台交换机上重点保护网段的局域网交换机上入侵检测系统的原理模型如图所示。入侵检测系统的工作流程大致分为以下几个步骤:1.信息收集 入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。2.信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两
10、种方法用于实时的入侵检测,而完整性分析则用于事后分析。具体的技术形式如下所述:1).模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手
11、法,不能检测到从未出现过的黑客攻击手段。2).统计分析分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之
12、中。3).完整性分析完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。这种方式主要应用于基于主机的入侵检测系统(HIDS)。3.实时记录、报警或有限度反击IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。-IPS是入侵防御系统。随
13、着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等,如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。1.7 掌握VPN的三种分类
14、方式1.8 理解系统漏洞的定义 系统漏洞(System vulnerabilities)是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。漏洞会影响到的范围很大,包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间
15、,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。 漏洞会影响到的范围很大,包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。1.9 了解漏洞评估产品的选择原则(1)是否具有针对网络和系统的扫描系统。(2)产品的扫描能力是脆弱性扫描产品的基础能力。(3)产品的评估能力。(4)产品的漏洞修复能力及报告格式漏洞评估产品在选择
16、时应注意( )。 A.是否具有针对网络、主机和数据库漏洞的检测功能 B.产品的评估能力 C.产品的漏洞修复能力 D.以上都正确 1.10 理解计算机病毒的特征 1.11 了解蠕虫、木马的工作原理及传染机制“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃
17、”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。 病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软
18、件和信息。 与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。 “木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破
19、坏、信息丢失甚至令系统瘫痪。 一、木马的特性 特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。 木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后
20、上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。 二、木马发作特性 在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出这些不正常现象表明:您的计算机中了木马病毒。 五、木马的防御 随着网络的普及和网
21、络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已) 1、不要下载、接收、执行任何来历不明的软件或文件 很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。 2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。
22、) 3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。 4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。 5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心
23、了。 6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。 1.12 掌握加密技术中的术语(加密,解密,明文,密文,对称密钥,公开密钥);掌握加密方法(简单替换密码,双换位密码,一次性密码本);以及了解加密技术的分类加密:将明文转换成密文的实施过程。解密:将密文转换成明文的实施过程。明文:没有进行加密,能够直接代表原文含义的信息。密文:经过加密处理处理之后,隐藏原文含义的信息。对称密钥加密又叫专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。对称密钥加密
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2018 年度 网络 信息 安全 深刻 复习 提纲 归纳 材料
限制150内