第九章 网络安全

特点：传染性、隐蔽性、寄生性、潜伏性、破坏性、可执行性、可触发性（激发性）、病毒的针对性

防治办法：反病毒软件、防病毒卡、主机病毒防护芯片、实时扫描病毒。

9.4网络病毒

目的：窃取信息、获取口令、控制中间站点、获得超级用户权限

阶段：确定目标、搜集信息、实施攻击

手段：使用扫描软件、利用技术和工具、利用Internet上的相关文章、利用监听程序、利用网络工具侦察、利用自己编写的工具

9.5黑客攻击

可以是硬件或者软件，电脑一般自带防火墙

功能：保护易受攻击的服务、对特殊站点的访问、对网络访问进行记录和统计

包过滤防火墙：对源和目标IP地址及端口的检查。对用户透明，网络性能影响小、易于维护

应用网关防火墙（代理服务器防火墙）：实施较强数据流监控、过滤以及记录和报告等。

状态检测防火墙：抽取网络数据对网络通信的各层进行监测、若有违反安全规定的访问就会拒绝并记录，同时向管理员报告网络状态

复合型防火墙：集防火墙、入侵检测（内核采用智能IP识别技术）、安全评估（检测内部网络、扫描主机、端口、漏洞）、虚拟专用网（VPN，使用隧道技术、加密技术、密钥管理技术、设备身份认证技术））四大功能于一体。

类型

9.6防火墙技术

定义：网络安全指网络系统中的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

保密性（机密性）

消息完整性

可用性

可控性

不可否认性（可认证性）

可审查性

基本属性

物理安全：防盗防火、防静电、防雷击、防电磁泄漏

逻辑安全：用逻辑口令、文件许可、查账等方法实现

操作系统安全：软件、一台计算机可以安装不同系统，不同系统用户不允许修改其他账户数据

联网安全：访问控制服务和通信安全服务

网络安全

无意失误：用户配置不当、将账号随意借给他人、密码设置简单等

伪装：伪装是一个实体假装成另外一个实体。伪装攻击往往连同另一类主动攻击一起进行。假如，身份鉴别的序列被捕获，并在有效地身份鉴别发生时做出回答，有可能使具有很少特权的实体得到额外的特权，这样不具有这些特权的人获得了这些特权。

回答（重放）：回答攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。

修改报文：修改报文攻击意味着合法报文的某些部分已被修改，或者报文的延迟和重新排序，从而产生非授权的效果。

拒绝服务（DoS）DoS攻击是指利用合理的服务请求来占用过多的服务资源，从而使合法的用户得不到服务响应。这种攻击行为使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停正提供正常的网络服务。拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。这种攻击可能针对专门的目标（如安全审计服务），抑制所有报文直接送到目的站；也可能破坏整个网络，使网络不可用或网络超负荷，从而降低网络性能。

分布式拒绝服务（洪水攻击）是在传统的Dos攻击基础上产生的一类攻击方式，它使许多分布的主机同时攻击一个目标，从而使目标瘫痪等。一个比较完善的DDos攻击体系分为四大部分：黑客，控制傀儡机，攻击傀儡机，受害者。

主动攻击：有选择性地  破环  信息。主要有拒绝服务攻击（DoS）、分布式拒绝服务（DDos）、信息篡改、资源使用、欺骗、伪装、重放等攻击方法。

被动攻击：窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。

恶意攻击

趁虚而入、不安全服务、配置和初始化

系统漏洞

口令圈套、口令破解、算法考虑不周、编辑口令

身份鉴别

线缆窃听、拨号进入、冒名顶替

线缆连接

病毒、代码炸弹、特洛伊木马（寄宿在计算机里的一种非授权的远程控制程序）、更新或下载

有害程序

其他威胁

安全威胁

薄弱的认证环节

监视未加密的传输口令

IP地址欺骗

利用主机间信任关系

系统配置过于复杂

对系统安全性估计不足

存在威胁的原因

9.1网络安全概述

加密机制

访问控制机制

数据完整性机制

特性：不可否认、可证实、不可伪造、不可重用

注意：hash算法（不可逆的算法）哈希算法的主要作用是用于消息摘要和签名，主要用于消息的完整性校验。大部分网站对用户密码保护也是利用哈希值不可逆这个特点。数据库只保存用户密码的哈希值，进行登录操作时，将此次输入的密码再次计算哈希值与数据库保存的哈希值对比，验证通过则认为密码正确。这样即使数据库泄露或消息被盗取，黑客也无法获知用户的真实密码。

数字签名工作过程

数字签名机制

交换鉴别机制

公证机制

流量填充机制

路由控制机制

安全机制

机房

线路

主机

实体安全

程序开发、数据库、I/O（输入/输出）

应用安全

网络通畅、网上信息安全

网络与信息安全

安全分类

网络安全法：网络空间主权原则、网络安全与信息化发展并种原则，共同治理原则。

网络安全等级保护条例：等级越高，侵害越重

网络安全法律法规

9.2计算机网络安全体系

对称加密技术（算法）：生成一个密钥对，公钥给多个用户，私钥有且仅有一把自己保存。AES（比较常用）、DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6

非对称加密技术（算法）：只生成一个密钥，每个用户拿到的都是这个密钥。RSA（比较常用）、ECC、Diffie-Hellman、El Gamal、DSA

数据加密定义：把能读懂的、识别的信息变成苦涩难懂的信息，从而达到保障信息安全的过程。

数据压缩：比如WINRAR、WINZip 、Gzip等工具

数据特点划分：完全备份、增量备份、系统备份、      数据存储介质划分：软盘备份、磁带备份、可移动存储备份、可移动硬盘备份、本机多硬盘备份、网络备份。                                                                      补充：双机热备份（用网络把两台服务器连接起来，平时互相备份，共同执行同一服务。）

数据备份：

                                                     计算机术语                                                  明文：接受方通过共同的密码破译方法将其破译解读为直接的文字或可直接理解的信息。密文：对明文施加某种伪装或变换后的输出。也可理解为不可直接理解的字符或比特集。但可通过算法还原的被打乱的消息，与明文相对。加密过程：明文转密文，与解密过程相反，俩过程可逆。密码体制：加密和解密过程都通过特定算法实现。密钥：控制明文与密文的转换，用户随机设定或选取。RAID：磁盘阵列，用多个独立的磁盘组成在一起形成一个大的磁盘系统，从而实现比单块磁盘更好的存储性能和更高的可靠性。

9.3数据安全

第九章 网络安全