信息安全概论笔记-FreeNAS中文网

admin 管理员组

文章数量: 887017

写在前面

这篇博客是我学习信息安全概论的笔记，本篇博客所使用的教材和课程连接因审核原因无法阐明。由于钟老师课程中未讲解第八章网络安全协议，故该笔记也不包含该部分内容。在网上查阅得知笔记应投原创，故本篇博客投的原创，但仍不清楚是否构成侵权情况。如有侵权，请联系我删除。

--------------------------------------***我是分界线***------------------------------------

写在前面
概述
- 信息安全概念的理解
- - 信息与信息安全
  - 信息安全发展阶段
- 信息安全的威胁
- - 信息安全威胁的基本类型
  - 信息安全威胁主要表现形式
- 互联网安全性
- - 互联网发展现状
  - 互联网安全现状
- 信息安全体系结构
- - 面向目标的信息安全知识体系结构
  - - 围绕CIA三元组展开的知识体系
  - 面向应用的层次型技术体系架构
  - 面向过程的信息安全保障体系
  - OSI开发系统互联安全体系结构
密码学基础
- 密码的分类
- 古典替换密码
- - 凯撒密码（移位密码）
  - 乘数密码
  - 仿射密码
- 对称秘钥密码
- - **对称密钥密码加密模式**
  - - 分组密码
  - 序列密码（流密码)
  - 数据加密标准DES
  - 分组密码工作模式
  - - 电子编码本模式
    - 链接模式（CBC）
    - 密码反馈模式（CFB）
    - 输出反馈模式（OFB）
- 公开密钥密码
- - 公开密钥理论基础
  - 加密模型
  - 认证模型
  - Diffie-Hellman密钥交换算法
  - RSA公开密钥算法
  - - RSA安全性
  - 其他公开密钥密码算法简介
- 消息认证
- - 概述
  - 认证函数
  - - 消息加密函数
    - 消息认证码
    - 消息编码
  - 散列函数 *（哈希函数）*
  - 数字签名
物理安全
- 概述
- 设备安全防护
- - 防盗
  - 防火
  - 防静电
  - 防雷击
- 放信息泄露
- - 电磁泄露
  - 窃听
- 物理隔离
- - 概念
  - 表现
  - 物理隔离和逻辑隔离
  - 物理隔离基本形式
- 容错与容灾
- - 容错
  - 容灾
身份认证
- 概述
- 认证协议
- - 基于对称密钥的认证协议
  - - 基于挑战-应答方式的认证协议
    - Needham-Schroeder认证协议
    - Kerbero协议
    - Windows系统的安全认证
  - 基于公开密钥的认证协议
  - - Needham-Schroeder公钥认证
    - 基于CA数字证书的认证协议
    - 基于数字签名进行身份认证的过程
- 公钥基础设施PKI
- - 基于X.509的PKI系统
  - - PKI系统功能
访问控制
- 概述
- 访问控制模型
- - 自主访问控制模型DAC
  - 强制访问控制模型MAC
  - 基于角色的访问控制模型RBAC
- Windows系统的安全管理
- - Windows系统安全体系结构
  - Windows系统的访问控制
  - 活动目录和组策略
网络威胁
- 概述
- 计算机病毒
- - 计算机病毒发展史
  - 计算机病毒定义
  - 传统病毒
  - 蠕虫病毒
  - 木马
  - 病毒防治
- 网络入侵
- - 拒绝服务攻击
  - 口令攻击
  - 嗅探攻击
  - 欺骗类攻击
  - 利用类攻击
- 诱骗类威胁
- - 网络钓鱼
  - 对诱骗类攻击的防范
网络防御
- 概述
- 防火墙
- - 防火墙主要技术
  - Netfilter/IPtables防火墙
- 入侵检测系统
- - 入侵检测系统分类
  - 入侵检测技术
  - Snort系统
- 网络防御的新技术
- - VLAN技术
  - IPS和IMS
  - 云安全
内容安全
- 概述
- - 内容保护
  - 内容监管
- 版权保护
- - DRM概述
  - 数字水印
- 内容监管
- - 网络信息内容监管
  - 垃圾邮件处理
信息安全管理
- 概述
- 信息安全风险管理
- - 风险评估
  - 风险控制
- 信息安全标准
- 信息安全产品标准CC
- - 信息安全管理标准BS7799
  - 中国的有关信息安全标准
- 信息安全法律法规

概述

信息安全概念的理解

信息与信息安全

信息概念：
信息是通过施加于数据上的某些约定而赋予这些数据的特定含义

信息安全发展阶段

通信安全阶段
保证信息传递的安全
信息安全阶段
保证信息的机密性，完整性，可用性，可控性，不可否认性
- 机密性：信息只能为授权者使用，不能泄露给未经授权者使用（不可观看）读权限
- 完整性：信息在存储和传输过程中未经授权不能被改变（可观看不能改）写权限
- 可用性：保证信息随时可以为授权者提供服务（可执行）执行权限
- 可控性：授权实体可以控制信息系统和信息使用
- 不可否认性：任何实体均无法否认其实实施过的信息行为
信息保障阶段
保护，检测，反应，恢复

信息保障三大要素

人是信息保障的基础
技术是信息保障的核心
管理是信息保障的关键

信息安全的威胁

信息安全威胁的基本类型

信息泄露：信息被有意或无意泄露给某个未授权的实体
信息伪造：未授权的实体冒充其他实体发布信息，或者从事其他网络行为
完整性破坏：非法手段窃取信息控制权，未经授权对信息修改，插入，删除。使得信息内容发送不应有的变化
业务否决或拒绝服务：攻击者通过对信息系统进行过量非法的访问操作使得信息系统超载或崩溃，从而无法正常进行业务或提供服务
未经授权访问：未授权的实体非法访问信息资源，或授权实体越权访问信息资源

信息安全威胁主要表现形式

攻击原始材料
- 人员泄露，废弃介质，窃取
破坏基础设施
攻击信息系统
- 物理侵入，木马，恶意访问
攻击信息流
- 窃听，业务流分析，重复
恶意伪造
- 假冒，抵赖
自身失误
内部攻击

互联网安全性

互联网发展现状

略

互联网安全现状

略

信息安全体系结构

面向目标的信息安全知识体系结构

信息安全的三个基本目标（CIA三元组）：

机密性（Confidentialit）
完整性（Integrity）
可用性（Availability）

与之相对的三个威胁（DAD）

泄露（Disclosure)
篡改（Alteration）
破坏（Destruction）

围绕CIA三元组展开的知识体系

密码学是三个信息安全目标的技术基础
CIA技术存在一定程度的内容交叉

面向应用的层次型技术体系架构

信息系统基本要素

人员
信息
系统

安全层次

物理安全：网络及信息系统物理设备的保护
运行安全：对运行过程及运行状态的保护
数据安全：对数据收集，存储，检索，传输的保护
内容安全：根据信息内涵制定安全策略及安全措施
管理安全：对人的行为的保护

面向过程的信息安全保障体系

PDRR

保护
检测
反应
恢复

信息保障的动态过程

OSI开发系统互联安全体系结构

安全服务

鉴别服务：确保某个实体身份可靠
访问控制：确保只有经过授权的实体才能访问受保护的资源
数据机密性：确保只有经过授权的实体才能理解受保护的信息
数据完整性：防止对数据的未授权修改和破坏
抗抵赖性：防止对数据源以及数据提交的否认

安全机制

加密：用于保护数据机密性
数字签名：保证数据完整性和不可否认性
访问控制：访问控制对访问请求进行处理，查看是否具有访问所请求资源的权限
数据完整性：用于保护数据免受未经授权的修改和破坏
鉴别交换：用于实现通信双方的身份鉴别
业务流填充：针对网络流量分析攻击
路由控制：指定数据报文通过网络的路径
公证机制：由第三方确保数据完整性，数据源，时间以及目的地正确

密码学基础

密码的分类

古典替换密码
对称秘钥密码
公开秘钥密码

分组密码
序列密码

古典替换密码

凯撒密码（移位密码）

加密函数 Ek（m）=（m+k) mod q
解密函数 Dk（c）=（m-k）mod q

M=C={有序字母表},q=26,k=3

乘数密码

Ek(m)=k*m mod q, gcd(k,q) = 1
Dk©=k^-1c mod q
gcd(k,q)=1代表最大公约数为1(互素才会有逆元)

k^-1为k的乘法逆元: k^-1 *k mod q = 1

求逆元的方法:
小的数穷举
扩展欧几里得算法

仿射密码

移位密码和乘数密码的结合

Ek(m)=(km+b) mod q
Dk©=k^-1(c-b) mod q

破解方法

基于统计的密码分析
统计字母的使用频率,比较正常字母使用频度,进行匹配分析
如果密文组构成,很容易被破解

对称秘钥密码

加密密钥与解密密钥是一个密钥
发送方:生成密钥,(或由第三方密钥分频中心分配)
1. 明文通过密钥加密
2. 通过公网发送给接收方
3. 接收方通过密钥解密出明文
密钥由安全信道传递
加密解密算法公开,密钥不公开
攻击者能拿到密文以及加密解密算法,但拿不到密钥,故无法解密
安全信道成本高,只使用于传递少量信息,不适合传递大量信息
密钥更新可以用密钥更新算法

对称密钥密码加密模式

分组密码

将明文分成一个个块
对每一个块单独加密解密

序列密码（流密码)

通过伪随机数发生器产生伪随机序列（密钥流）
用密钥流与明文字节流逐比特异或操作
异或规则

a	b	a异或b
1	1	0
1	0	1
0	1	1
0	0	0

a异或b=c 则 b异或c=a
明文异或密钥 = 密文
密文异或密钥 = 明文

数据加密标准DES

分组密码一种
分组长度64位，密钥长度64位（56位有效）

标准方案

1. 算法提供高度安全性
2. 有详细说明，易于理解
3. 安全性取决于密钥，不依赖于算法
4. 适用于所有用户和所有场合
5. 高效，经济
6. 被证实有效
7. 可出口

密钥需要足够长，不然很容易受到密钥穷举攻击，一般认为80位以上的密钥是安全的，而DES因为密钥长度只有56位有效，故存在缺陷

DES替代者

3-DES*（使用DES用三个不同密钥加密三次，但因此加密解密速度慢）*
IDEA
AES*(分组长度128位，密钥长度128/192/256)*
RC5
国密算法SM1，SM4，SM7，SSF33

分组密码工作模式

分组密码才有工作模式，流密码没有，流密码只有逐比特异或

电子编码本模式

明文分组切块
每个分组独立地加密解密
问题：相同的明文分组会被加密成相同的密文分组
导致暴露明文里的同一信息

链接模式（CBC）

IV：初始向量，跟分组长度一致，随机生成的序列，不需要保密
IV与明文分组1逐比特异或，再用密钥加密，得到密文分组1
密文分组1和明文分组2异或，再用密钥加密，得到密文分组2
重复上述步骤，依次进行

密码反馈模式（CFB）

密码反馈模式反馈的是加密并逐比特异或后的密文

加密过程

IV用密钥加密
选择高S位与分组长度为S的明文分组逐位异或
将密文分组i放到第i+1个移位寄存器中
用密钥加密
选择高S位与明文分组逐比特异或

输出反馈模式（OFB）

输出反馈模式完全取决于IV以及密钥，反馈的是密钥加密后的IV前S位，其余模式与CFB相同

公开密钥密码

又称为非对称密钥密码或双密钥密码
加密密钥和解密密钥两个独立密钥
公开密钥的安全性取决于私钥的保密性
私钥需要保密，公钥不需要保密，每个人都可获取
公钥用于加密，私钥用于解密，用公钥加密的信息只能用私钥解密

过程

收信人生成一对公钥与私钥
收信人保管好私钥，将公钥发送给发信人
发信人用收信人的公钥对信息加密，然后发送给收信人
收信人用私钥将密文解密

公开密钥理论基础

公开密钥密码核心思想

单向陷门函数：
	1. 给定x，计算f（x）是容易的
	2. 给定y，计算x使得y=f（x）是很困难的
	3. 存在δ，已知δ时对给定的任何y，若相应的x存在，则计算x使得y=f（x）是容易的

加密模型

如上

认证模型

收信人要确认发信人的身份
发信人获取一个信息，用发信人密钥加密
收信人用发信人公钥解密，若解密成功，则身份认证成功
要点保证公钥的真实性(而非保密性)
黑客可以假冒公钥来进行伪造身份

Diffie-Hellman密钥交换算法

只能用于交换密钥，不能用于加密,可以为对称加密算法建立安全的密钥通道

原根
定义：如果a是素数p的原根，则a mod p，a^2 mod p，···，a^p-1 mod p 是不同的且包含1到p-1之间的所有整数（包含所有且不重复），对任意的整数b，可以找到唯一的幂i，满足b≡a^i mod p

b≡a mod p 等价于 b mod p = a mod p 称为b与a模p同余
素数一定存在原根

例子：
p=7 a=2
2^1 mod 7 =2
2^2 mod 7 =4
2^3 mod 7 =1
2^4 mod 7 =2
2^5 mod 7 =4
在2 4 1之间循环，故2不是7的原根
p=7 a=3
3^1 mod 7=3
3^2 mod 7=2
3^3 mod 7=6
3^4 mod 7=4
3^5 mod 7=5
3^6 mod 7=1
覆盖了1到7的所有数，所以3是素数7的一个原根

离散对数

若a是素数p的一个原根，对于任意整数b（b mod p≠0），必然存在唯一的整数i（1≤i≤p-1），使得b≡a^i mod p，i称为b的以a为基数且模p的幂指数，即离散对数。

对于函数y≡g^x mod p ，其中，g为素数p的原根，y与x均为正整数，一致g，x，p，计算y是容易的，而已知y，g，p，计算x是困难的，即求解y的离散对数是困难的，可作为单向陷门函数。
求解y的离散对数x是数学界公认的困难问题

运行流程

首先双方协商好大素数p，和p的一个大整数原根g，1<g<p，p和g无需保密
收信人选取大整数x<p，并计算Y=g^x(mod P);
发信人选取大整数x’<p,并计算Y’=g^x’(mod P);
两个互换Y与Y’
收信人计算K=Y’^x(mod p)
发信人计算K’=Y^x’(mod p)
显而易见K=K’=g^xx’(mod p),所以双方得到了相同的秘密值K，可作为对称密钥

公开的参数：p，g，Y，Y’
保密的参数:x,x’,k,k’

RSA公开密钥算法

欧拉函数
对于任意一个正整数n，小于n且与n互素的正整数构成的集合为Zn,这个集合叫做n的完全余数集合。Zn包含的元素个数基座φ（n），称为欧拉函数，其中φ（1）为1，但是没有任何实质的意义。
其实欧拉函数就是比n小且互素的元素的个数

欧拉定理
正整数a与n互素，则a^φ(n）≡1 mod n

推论
给定两个素数p和q，以及两个整数m和n，使得n=p×q，且0<m<n，对于任意整数k满足：
m(kφ（n)+1)=m(k（p-1)(q-1)+1)≡m mod n

大整数分解
大整数分解问题：
已知p和q两个大素数，求解N=p×q是容易的，但将N分解为p和q两个大素数，在计算上是很困难的，其运算时间复杂度接近于不可行，其算法时间复杂度为O（2^n），为指数的。

RSA密码体制
是一种分组密码，明文和密文均是0到n之间的整数

步骤：

选取两个不同的素数p和q，计算n=pq，φ(n)=(p-1)(q-1)；
选择整数e，使得gcd(φ（n）,e)=1,且1<e<φ（n);
计算d，d≡e^-1 mod φ（n），即d为模φ（n）下e的乘法逆元

gcd(φ（n）,e)代表最大公约数为1

公钥Pk={e，n} 私钥=Sk{d，φ（n），p，q}
加密：c=m^e mod n
解密：m=c^d mod n
密文为c，明文为m
由公钥计算私钥模的是φ（n），加密解密模的是n
过程

已知p，q
得到 φ（n）=（p-1）（q-1），n =pq
选择e
根据*φ（n）*求出来e的乘法逆元d（拓展欧几里得算法求出e-1,d≡e-1 mod φ（n））
根据e进行乘数密码加密
根据e的乘法逆元d进行乘数密码解密

例子：

p=101，q=113，n=11413,φ(n)=100*112=11200
e=3533,求得d≡e^-1 mod 11200 ≡6597 mod 11200,d=6597
公开n = 11413和e=3533
明文9726，计算9726^3533 mod 11413 = 5761,发送密文5761
密文5761时，用d=6597解密，计算5761^6597(mod 11413)=9726

RSA安全性

RSA是基于单向函数ek（x）=x^e mod n，求逆计算不可行
解密的关键是了解陷门信息，即能够分解n=pq，从而得到φ（n）=（p-1）（q-1），从而解出解密密钥d
如果要求RSA是安全的，p与q必须为足够大的素数，使得分析者没有办法在多项式时间内将n分解出来
模n的求幂运算：
著名的“平方-和-乘法”方法将计算x^c mod n的模乘法的次数缩短到至多为2/,/是指数c二进制表示的位数，即log2。

其他公开密钥密码算法简介

基于大整数因子分解问题
- RSA密码，Rabin密码
基于有限域上的离散对数问题
- Differ-Hellman公钥交换体制，ElGamal密码
基于椭圆曲线上的离散对数问题
- Differ-Hellman公钥交换体制，ElGamal密码

消息认证

概述

威胁信息完整性的行为主要包括：

伪造：假冒他人信息源向网络中发布信息
内容修改：对信息内容插入，删除，变化，修改
顺序修改：对信息插入，删除，重组序列
时间修改：延迟或重复
否认：接受者否认收到信息，发送者否认发送过消息

消息认知是保证信息完整性的重要措施
目的包括：

证明信息的信源和信宿的真实性
消息内容是否曾受篡改
消息的序号和时间性是否正确

消息认证是由具有认证功能的函数实现的

消息加密，用消息的完整密文作为消息的认证符
消息认证码MAC，也称为密码校验和，使用密码对消息加密，生成固定长度的认证符
消息编码，是针对信源消息的编码函数，使用编码抵抗针对消息的攻击

认证函数

认证计算功能上分为两层

下层包含一个产生认证符的函数，认证符是一个用来认证消息的值。
上层是以认证函数为原语，接收方可以通过认证函数来验证消息的真伪。

消息加密函数

对称密钥密码对消息加密，不仅有机密性，同时有可认证性
公开密钥密码本身提供认证功能，即私钥加密，公钥解密的特性

消息认证码

基本思想：
利用事先约定的密码，加密生成一个固定长度的短数据块MAC，并将MAC附加到消息之后，一起发送给接受者
接受者使用相同密码对消息原文进行加密得到新的MAC，比较新的MAC和随消息一同发过来的MAC，如果相同则没有被篡改

生成消息认证码的方法
基于加密函数的认证码和消息摘要（散列函数）

消息认证符可以是整个64位的On，也可以是On最左边的M位

消息编码

基本思想：
引入冗余度，使得通过信道传输可能序列集M（编码集）,大于消息集S（消息集）。
发送方从M中选出代表信息的可用序列Li，即对信息进行编码。
接收方根据编码规则，进行解码，还原出发送方按此规则向他传来的信息。
窜扰者不知道被选定的编码规则，因而所伪造的假码字多是M中的禁用序列，接收方将以很高的概率将其检测出来，并拒绝通过认证。

散列函数（哈希函数）

目的：
将任意长的消息映射为一个固定长度的散列值（hash值），也称为消息摘要。消息摘要可以作为认证符，完成消息认证
散列函数的健壮性：

弱无碰撞特性
- 在明文空间中给定消息x∈X，在计算上找不到相同的x’∈X，使得h（x）=h（x’）
强无碰撞特性
- 在计算上难以找到与x相异的x’，满足h(x)=h(x’)，x’可以不属于X
单向性
- 通过h的你函数h^-1来求得散列值h(x)的消息原文x，在计算上不可行

消息摘要的长度应不低于128位

第一段为消息
第二段为填充值
第三段为消息长度
进行切块，每一块长度为512位
然后依次与IV进行压缩，最后得到散列值

常用的散列函数

~~MD5（128位）~~
SHA-1（160位）
SHA-2(sh2-224,sh2-256,sh2-384,sh2-512)
SHA-3(sh3-224,sh3-256,sh3-384,sh3-512)
SM3(256位)

数字签名

Digital Signature

定义：通过某种密码运算，生成一系列符号和代码，用于确认数据单元来源以及完整性

两种形式：

一种是对整个消息的签名
一种是对压缩消息的签名
他们都是附加在被签名信息之后某一特定位置上的一段数据信息

目的：保证接收方能够确认或验证发送方的签名，但不能伪造；发送方发出签名消息后，不能否认所签发的消息。

三点目的：

收信人可以验证发信人身份
对消息完整性进行认证
抗抵赖服务

数字签名满足以下条件

签名基于一个待签名信息的位串模板
签名使用对发送方来说是唯一的消息，不能重复
易于生成，识别和验证数字签名
伪造数字签名在计算复杂性意义上具有不可行性

数字签名的生成和验证

消息报文散列后用私钥加密，得到数字签名
将消息报文与数字签名连接，发送给对方
另一方得到消息后将消息报文散列，并将数字签名用公钥解密
对比散列后的消息报文与解密后的数字签名是否相同
相同则消息完整，不同则无法验证发送者及完整性

物理安全

概述

物理安全：实体安全与环境安全
实体安全：

防火
防盗
防静电
防雷击

环境安全：

防电磁泄露
防窃听
物理隔离

解决两个方面问题：
对信息系统实体的保护
对可能造成信息泄露的物理问题进行防范

物理安全技术包括：
防盗，防火，防静电，防雷击，防信息泄露，物理隔离
基于物理环境的容灾技术也属于物理安全技术范畴

物理安全是信息安全的必要前提

设备安全防护

防盗

安全保护设备：红外报警器，微波报警器、
根据系统安全等级安装相应报警系统
防盗技术
- 标识
- 防盗接线板
- 火灾报警系统
- 监控

防火

原因：电气原因，人为因素，外部火灾蔓延
措施：

计算机中心选址
建筑物耐火等级
不间断供电系统，自备供电系统
防雷设施，抗静电地板
严禁存放腐蚀性或易燃易爆物品
禁止吸烟

防静电

略

防雷击

措施：

接闪
接地
分流
屏蔽

放信息泄露

电磁泄露

电磁干扰EMI：一切与信号无关的对电器及电子设备产生不良影响的电磁发射
防止EMI：减少设备电磁发射；提高设备电磁兼容性EMC

电磁兼容性EMC：电子设备在自己正常工作时产生的电磁环境，与其他设备之间不相互影响的电磁特性

TEMPEST技术：
了解即可

防电磁信息泄露

抑制电磁发射，减小红区电路电磁发射
屏蔽隔离，在周围用屏蔽材料使红信号电磁发射场衰减到足够小
相关干扰，采取措施使相关电磁发射泄露即使被接受到也无法识别

窃听

检测：主动检查是否存在窃听器（电缆加压技术，电磁辐射检测法，激光检测技术）
防御：对原始信息进行加密处理，电磁信号屏蔽。

物理隔离

概念

早期为断开线路
现在指通过制造物理的豁口，达到物理隔离的目的

表现

阻断网络的直接链接
阻断网络的Internet逻辑链接
隔离设备的传输机制有不可编程的特性
任何数据都是通过两级移动代理的方式完成
隔离设备具有审查的功能
隔离设备为传输的原始数据，不具有攻击或对网络安全有害的特性
强大的管理和控制功能
从隔离的内容看，隔离分为网络隔离和数据隔离

物理隔离和逻辑隔离

物理隔离：
不安全就不联网，要保证绝对安全
逻辑隔离：
在保证网络正常使用下，尽可能安全

内部网和外网之间实现物理隔离，外网和公网之间实现逻辑隔离

物理隔离基本形式

内外网络无连接
客户端物理隔离
网络设备端物理隔离
服务端物理隔离

容错与容灾

容错

保证信息系统可靠性三条途径：

避错：完善设计和制造，设计一个故障尽量少的系统
纠错：出现故障，则通过检测，排除来消除故障
容错：即使出现了错误，系统也可执行一组规定的程序，来减少错误造成的损失

容错系统可分为五种类型：

高可用度系统：可用度用系统在某时刻可以运行的概率衡量，用于执行无法预测的用户程序，主要面向商业市场
长寿命系统：在其生命期内不能进行人工维修，常用于航天领域
延迟维修系统：一段时间内不需要维修，也用于航天领域
高性能系统：对故障非常敏感，要求具有瞬间故障的自行恢复能力
关键人物系统：出错可能造成重大损失，要求确保无误，故障恢复时间短

常用的数据容错技术：

空闲设备：也叫双件热备，备份两套相同的部件
镜像：一个工作交给两个相同的部件执行
复现：两个系统，源系统和辅助系统，辅助系统接受数据存在一定延迟
负载均衡：将一个任务分解为多个子任务，分配给不同的服务器执行。

容灾

解决方案：

对服务的维护与恢复
保护或恢复丢失的，被破坏的或被删除的信息
数据和系统的备份和还原

身份认证

概述

什么是身份认证？
身份认证是证实用户的真实身份和其所声称的身份是否相符的过程
身份认证的依据应包含只有该用户特有的，并可以验证的特定信息

用户所知道或所掌握的信息，如密码，口令(基于口令的认证技术)
用户所拥有的特定东西，如身份证，护照，密钥（基于密码学的认证技术）
用户所拥有的个人特征，如指纹，虹膜，DNA,人脸等（基于生物特征的认证技术）

身份认证的分类
根据认证条件的数目分类：
单因子认证，双因子认证，多因子认证
根据认证数据的状态来看：

静态数据认证：用于识别用户身份的认证数据事先已产生并保存在特定的存储介质上，如密码
动态数据认证：用于识别用户身份的认证数据不断动态变化，每次认证使用不同的认证数据，即动态密码，如验证码

认证协议

以网络为背景的认证技术的核心技术是密码学，对称密码和公开密码是主要技术
实现认证必须要求示证方和验证方遵循一个特定的规则来实施认证，这个规则叫做认证协议
认证过程的安全取决于认证协议的完整性和健壮性

基于对称密钥的认证协议

示证方和验证方共享密钥，通过共享密钥来维系彼此的信任关系，实际上认证就是建立某种信任关系的过程
在只有少量用户的封闭式网络系统中，共享密钥的数量有限，可以采用挑战-应答方式实现认证
在规模较大的网络系统，采用密钥服务器实现认证，即依靠可信的第三方完成认证

基于挑战-应答方式的认证协议

A->B:IDa||IDb 用户a给用户b发送了a和b的ID表示通信请求
B->A:Nb 用户b验证用户a的身份，生成一个随机数Nb发送给a
**A->B:Ek（Nb）**用户a用共享密钥Ek加密Nb发回给b
b用共享密钥Ek解密a发给它的信息，解密后与Nb相同则说明有相同的共享密钥，证明对方为a，挑战应答成功

Needham-Schroeder认证协议

所有的使用者信任一个公正的第三方，第三方被称为认证服务
每个使用者需要在认证服务器AS上完成注册
AS保存每一个用户的信息并与每一个用户共享一个对称密钥

**A->KDC: IDa||IDb||N1 **
- A通知KDC（AS，密钥分配中心）要与B进行通信，同时发送随机数N1
KDC->A:Eka[Ks||IDb||N1||Ekb[Ks||IDa]]
- KDC应答A一组用a的密钥加密的信息，包含A与B通话的密钥Ks，用户b的ID，随机数N1，用用户b密钥加密的Ks以及用户A的ID
A->B: Ekb[Ks||IDa]
- 用户a解密KDC发过来的信息，得到共享密钥Ks，并将其中的Ekb[Ks||IDa]原样不动地发给用户b（用户a转发KDC给b的内容）
B->A: Eks[N2]
- 用户b用ks加密挑战值N2，并发送给A等待A的回复认证信息
A->B: Eks[f(N2)]
- 用户A还原N2后，根据事先约定好的约定f（x），计算f（N2），再用Ks加密后，发给N2，回应b的挑战，完成认证，随后a和b使用Ks进行加密通信

该协议的漏洞

攻击方C掌握a和吧之间的一个老的会话密钥Ks
C可以在第三步冒充A用老的会话密钥欺骗b，以a的身份与b进行会话重放攻击

Kerbero协议

Kerberos是通过对称密钥系统为用户机/服务器应用程序提供强大的第三方认证服务

每个用户或应用服务器与Kerberos分享一个对称密钥
由两部分组成：
- 认证服务器AS
- 票据授予服务器TGS
允许一个用户通过交换加密信息在整个网络与另一个用户或应用服务器互相证明身份，Kerberos为通讯双方提供对称密钥
票据Ticket是客户端用于证明自己身份并可以传递通讯会话密钥的认证资料
- AS负责签发访问TGS服务器的票据
- TGS负责签发访问其他应用服务器的票据

第一阶段：身份验证服务交换 （完成身份认证，获得访问TGS的票据）
- C->AS: IDc||IDtgs||TS1
  - 用户c向as发送c和tgs的id，代表访问tgs的请求，TS1是时间戳，代表发送请求的时间，用于防止重放攻击
- AS->C: Ekc[KC,tgs||Dtgs||TS2||Lifetime2||Tickettgs]
  - as收到请求后返回用Kc（as和用户c的共享密钥）加密的信息，第一条Kc，tgs是用户c和tgs通信的会话密钥，第二个IDtgs是tgs的ID，第二个是as返回消息的时间戳，Lifetime是这一条消息的有效时间，Tickettgs是用户c访问tgs的票据
- Tickettgs = Ektgs[Kc,tgs||IDc||ADc||IDtgs||TS2||Lifetime2]
  - 用户c用于访问tgs的票据，用EKtgs加密，用户c无法解密，第一条是用户Kc，tgs是用户c和tgs通信的会话密钥，第二条IDc是用户c的ID，ADc是用户c的网络地址，IDtgs是tgs的ID，TS2是as返回用户c的时间戳，Lifetime是有效时间，用于防止重放攻击
第二阶段：票据授予服务交换 （获取访问服务器V的票据）
- C->TGS: IDv||Tickettgs||Authenticator
  - 用户c向TGS发送消息，用于申请访问服务器v，第一条IDv代表用户要访问服务器v，第二条是as签发的访问票据，Authenticatorc是由Ekc（as签发的c与tgs之间的会话密钥）加密的信息。
- TGS->C: EKc,tgs[Kc,v||IDv||TS4||Ticketv]
  - TGS向用户c回复了c和tgs会话密钥加密的信息，第一部分Kc,v是用户c与服务器v的会话密钥，第二部分IDv是服务器v的id，第三部分TS4是这一条消息的时间戳，Ticketv是用户c访问服务器v的票据
- Authenticatorc=EKc,tgs[IDc||ADc||TS3]
  - 用于验证时效性
- Ticketv=Ekv[Ec,v||IDc||ADc||IDv||TS4||Lifetime4]
  - 用服务器v的密钥加密，第一条消息Kc，v是用户c与服务器v之间通信的会话密钥，IDc是用户c的id，ADc是用户c的网络地址，IDv是服务器v的id，TS4是tgs向用户c返回消息的时间戳，Lifetime是有效时间，用于防止重放攻击
第三阶段：用户与服务器身份验证交换
- C->V: Ticketv||Authenticatorc
  - 用户c向服务器v发送访问服务器v的票据以及验证时效性的信息，作为服务请求
- V->C: Ekc,v[TS5+1]
  - 客户端v向用户c发起可选的身份验证，用于实现双向认证
- Authenticatorc=EKc,v[IDc||ADc||TS5]

Windows系统的安全认证

两种类型：
- 本机登录（不联网）
- 登录域服务器
客户端与域控制器有共享口令
用户如想登录操作系统，首先创建账号，账号信息保留在系统内部，每次登录由Winlogon输入用户名口令
口令会被散列函数求散列值，同时Winlogon向域控制器请求登录
域控制器取用户口令散列，然后产生8字节的质询，向客户端发送质询
客户端收到挑战后用口令的散列值对质询进行散列，然后把散列后的值发给域控制器
同时域控制器也对用户口令散列，对质询进行散列
然后域控制器比对两个散列值，如果相同，登录成功，否则失败。
用户登录时的口令并没有在网络上传输，极大地提高了安全性

基于公开密钥的认证协议

基于公开密钥身份认证协议有两种形式：

方式一是实体a需要认证实体b，a发送一个明文挑战消息（挑战因子，通常是随机数）给b，b收到挑战后，用自己私钥对挑战明文消息加密，称为签名，b将签名消息发送给a，a使用b的公钥来解密签名消息，称为验证签名，以此来确定b是否具有合法身份
方式二是实体a将挑战因子用实体b的公钥加密后发送给b，b收到后用自己的私钥解密还原出挑战因子，并将挑战因子原文发还给a，a可以根据挑战因子内容的真伪来核实b的身份

Needham-Schroeder公钥认证

不需要可信的第三方

A->B:EK∪b[IDa||Ra]
- a给b发送用b的公钥加密的a的id IDa和挑战因子Ra，确保只有b才能使用私钥解密，即a对b进行挑战应答
B->A:Ek∪a[Ra||Rb]
- b用自己私钥解密出Ra后用a的公钥加密，并给a发送用a的公钥加密的a的挑战因子Ra和b的挑战因子Rb，确保只有a才能使用私钥解密，即b回复a的挑战应答，同时b对a进行挑战应答
A->B:Ek∪b[Rb]
- a用自己私钥解密出Rb后用b的公钥加密，发送给b，即回复b的挑战应答。这样，双向的挑战应答完成。

有一个问题：如何确定对方的公钥是真实的？
如果黑客用自己的公钥替代b的公钥，则可以冒充b的身份

基于CA数字证书的认证协议

数字证书是一个经过权威的可信赖的公正的第三方机构（CA认证中心）签名的包含拥有者信息及公开密钥的文件

范畴	内容
-	版本，证书序列号
签名算法标识	算法，参数
-	签发者
有效期	生效时间，终止时间
主题公钥信息	算法，参数，密钥
-	发行商唯一标识
-	证书主体唯一标识
-	拓展
签名	算法，参数，密钥

基于数字签名进行身份认证的过程

示证方向CA中心申请数字证书
CA向示证方颁发数字证书
A签名的信息+A的数字证书发送给验证方
验证方从CA获取示证方公钥
验证方验证数字证书和签名信息

公钥基础设施PKI

公钥基础设施PKI是一种遵循一定标准的密钥管理基础平台，为所有网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理

PKI就是利用公钥理论和技术建立的提供安全服务的基础设施
用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动

最外层是PKI应用接口，面向应用程序和面向用户提供密钥和证书管理服务的接口
中间一层是PKI组成部分
- 认证机构CA
- 证书库
- 证书撤销处理
- 密钥备份以及恢复
核心是公钥算法和数字证书

基于X.509的PKI系统

X.509是数字证书标准格式

包含一组按预定义排列的强制字段
还包括可选拓展字段
它为大多数数字段提供了多种编码方案

分层次，A为上层，BHP为中层，依次往下

用户a的证书链：KRa < CAb > KRb < CAc > KRc < CAd > KRd < CAa >
其实是A->B->C->D->a

一种典型的PKI模型

RA服务器处理证书申请，证书审核
安全服务器负责监控RA和CA的安全
数据库服务器用于存储用户信息和密钥
LDAP是轻量级分布式目录访问协议，用于实现证书下载和查询
CRL是证书撤销列表，查询CRL可以得知证书是否撤销

PKI系统功能

接收验证用户数字证书的申请
确定是否接收用户数字证书的申请
向申请者颁发或拒绝颁发数字证书
接收，处理用户的数字证书更新请求
接收用户数字证书的查询和撤销
产生和发布数字证书的有效期
数字证书的归档
密钥归档
历史数据归档

访问控制

概述

身份认证：识别用户是谁的问题
访问控制：管理用户对资源的访问

访问控制模型基本构成：主题，客体，访问控制策略

主体：是指提出访问请求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是用户或其他代理用户行为的实体（如进程，作业和程序等）
客体：是指可以接收主体访问的被动实体。客体的内涵很广泛，凡是可以被操作的信息，资源对象都可以认为是客体（如音视频服务，打印服务，文件服务，数据库服务）
访问控制策略：是指主体对客体的操作行为和约束条件的关联集合。简单地说，访问策略是主体对客体的访问规则集合，这个规则集合可以直接决定主体是否可以对客体实施特定的操作

访问控制模型

可信计算机系统评估准则TCSEC描述了两种著名的访问控制模型
- 自主访问控制DAC（Discretionary Access Control）
- 强制访问控制MAC（Mandatory Access Control）
基于角色的访问控制RBAC(Role Based Access Control)模型

自主访问控制模型DAC

根据自主访问策略建立的一种模型
允许合法用户以用户或用户组的身份来访问系统控制策略许可的客体，同时组织非授权用户访问客体
某些用户还可以自主地把自己所拥有的的客体访问权限授予其他用户
在UNIX,LINUX,Windows NT 等操作系统都提供自主访问控制的功能

访问权限信息存储

访问控制表ACL（Access Control Lists）
访问控制能力表ACCL（Access Control Capability Lists）
访问控制矩阵ACM（Access Control Matrix）

访问控制列表ACL
以访问客体为观察对象，考察各个访问主体（用户）对其的权限（读，写，执行）

访问控制能力表ACCL
以访问主体（用户）为观察对象，考察它对各个访问客体的权限（读，写，执行）

访问控制矩阵ACM
从访问客体和访问主体两个维度共同考察权限

强制访问控制模型MAC

强制访问控制MAC是一种多级访问控制策略

系统事先给访问主体和受控客体分配不同的安全级别属性
在实施访问控制时，系统先对访问主体和受控客体的安全级别进行比较，再决定访问主体能否访问该受控客体

MAC模型形式化描述

主体类S和客体类O
安全类SC（x）=<L,C>
- L为有层次的安全级别Level
- C为无层次的安全范畴Category

主体和客体均可以用安全类进行形式化描述

访问的四种形式

向下读（RD，Read Down）
- 主体安全级别高于客体信息资源的安全级别时SC（s）≥SC（o），允许读操作
向上读（RU，Read Up）
- 主体安全级别低于客体信息资源的安全级别时SC（s）≤SC（o），允许读操作
向下写（WD，Write Down）
- 主体安全级别高于客体信息资源的安全级别时SC（s）≥SC（o），允许写操作
向上写（WU，Write Up）
- 主体安全级别低于客体信息资源的安全级别时SC（s）≤SC（o），允许写操作

MAC的两种常用模型

Bell-LaPadula模型
- 向下读
- 向上写
- 防止信息向下级泄露，包含机密性
Bida模型
- 向下写
- 向上读
- 保护数据完整性

基于角色的访问控制模型RBAC

组Group的概念，一般认为Group是具有某些相同特质的用户集合
在UNIX操作系统中Group可以被看成是拥有相同访问权限的用户集合

定义用户组时会为该组授予相应的访问权限
如果一个用户加入了该组，则该用户具有了该用户组的访问权限

角色Role是一个与特定工作活动相关联的行为和责任的集合

Role不是用户的集合，这就与组Group不同
当一个角色与一个组绑定，这个组就拥有了该角色拥有的特定工作的行为能力和责任
组Group和用户User都可以看成是角色分配的单位和载体
而一个角色Role可以看成具有某种能力或某些属性的主体的一个抽象

引入角色Role的目的

为了隔离User与Privilege
Role作为一个用户与权限的代理层，所有的授权应该授予Role而不是直接给User或Group
RBAC模型的基本思想是将访问权限分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权

例子
在一个公司中，用户角色Role可以定义为经理，会计，出纳员，审计员，具体的权限如下：

经理：允许查询公司的经营情况和财务信息，但不允许修改具体的财务信息，必要时可以根据财务凭证支付和收取现金，并编制银行帐和现金帐
会计：允许根据实际情况编制各种财务凭证和账簿，但不包括银行帐和现金帐
出纳员：允许根据财务凭证支付和收取现金，并编制银行帐和现金账
审计员：允许查询审查公司的经营状况和财务信息，但不允许修改任何账目

RBAC的策略陈述易于被非技术的组织策略者理解，既具有基于身份策略的特征，也具有基于规则策略的特征
在基于组或角色的访问控制中，一个用户可能不只是一个组或角色的成员，有时又可能有所限制
例如经理也可以充当出纳员的角色，但不能负责会计工作，即各角色直接存在相容和相斥的关系

制定访问控制策略的三个基本原则
最小特权原则

是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权利
最小权限原则的优点是最大限度地限制了主体实施授权行为，可以减少来自突发事件和错误操作带来的危险

最小泄露原则

是指主体执行任务时，按照主体所需要的最小化原则分配给主体访问权限

多级安全策略

是指主体和客体间的数据流方向必须受到安全等级的约束。多级安全策略的优点是避免敏感信息的扩散
对于具有安全级别的信息资源，只有安全级别比他高的主体才能对其访问

Windows系统的安全管理

Windows系统安全体系结构

最外层是用户认证，验证用户的身份，谁能登录，谁不能登录（基础）
最内层是安全策略，决定了系统安全各个组件如何配合工作（核心）
第二层是加密和访问控制，加密实现用户和系统直接通信的机密性，访问控制能决定主体对客体的访问权限，谁能做什么，谁能访问什么资源（重要组成部分）
第三层管理和审计，管理是系统配置，提供用户控制系统的接口，审计是在发生安全事件时追责，通过查看日志查看安全事件是如何发生的

安全主体
Windows系统的安全性主要围绕安全主体展开，保护其安全性
安全主体包括用户，组，计算机，域

用户是Windows系统中操作计算机资源的主体，每个用户必须先行加入Windows操作系统，并被指定为唯一的用户
组是用户账户集合的一种容器，同时组也被授予了一定的访问权限，防盗一个组中的所有账户都会继承这些权限
计算机是指一台独立计算机的全部主体和客体资源的集合，也是Windows系统管理的独立单元
域是使用域控制器（DC，Domain Controller）进行集中管理的网络，域控制器是共享的域信息的安全存储仓库，同时也作为域用户认证的中央控制机构

安全子系统

windows安全服务由安全子系统提供
最底层交安全参考监视器SRM，运行在内核模式，是Windows安全子系统核心，负责身份认证，访问控制和审计
上部分交本地安全机构LSA，运行在用户模式，主要有系统登录进程WInlogon，本地安全机构子系统LSASS
Winlogon是负责用户登录的进程，会调用图形化识别和认证进程Gina（就是登录界面）
本地安全机构子系统由SAM服务，NetLogon和LSA服务组成
- SAM服务是一个数据库，用于存储用户账户和口令（密码）信息的数据库
- NetLogon是进行域登录，网络登录的数据库
- LSA服务负责访问控制和审计，审计是通过一定策略记录系统中发生的事件，故用到事件记录器
- 他们调用了两个dll文件：
  - Mav1_0.dll负责登录
  - Kerberos负责网络身份认证

Windows登录认证流程

Winlogon调用GINA进行（图形化登录进程）
GINA调用本地安全服务LSA实现登录认证
本地安全服务会加载认证包（Authentication Packages）
认证包提供认证服务
SSPI安全服务提供者接口是用于登录的接口
SAM安全账户管理器
Netlogon网络登录

Windows系统的访问控制

访问控制的组成：

访问令牌（AccessToken）和安全描述符（Security Descriptor），他们分别被访问者和被访问者持有。通过访问令牌和安全描述符的内容，Windows可以确定持有令牌的访问者能否访问持有安全描述符的对象

访问控制的基本控制单元“账户”

账户是一种参考上下文，是一个具有特定约束条件的容器，也可以理解为背景环境
操作系统在这个上下文描述符上运行该账户的大部分代码
那些在登录之前就运行的代码（例如服务）运行在一个账户（特殊的本地系统账户SYSTEM）的上下文中

安全标识符SID
Windows中的每个账户或账户组都有一个安全标识符SID（Security Identity）
Administrator和Users等账户或者账户组在Windows内部均采用SID来标识的
每个SID在同一个系统中都是唯一的

例如S-1-5-21-1507001333-1204550764-1011284298-500就是一个完整的SID
第一个数字1是修订版本编号
第二个数字5是标识符颁发机构代码
4个子颁发机构代码
最后一个数叫相对标识符RID（Relative Identifier）RID 500代表Administrator账户，RID501是Guest账户，从1000开始的RID代表用户账户

访问令牌

每个访问令牌都与特定的Windows账户相关联，访问令牌包含该账户的SID，所属组的SID以及账户的特权信息
查看当前登录用户访问令牌的命令whoami /all
当一个账户登录的时候，LSA从内部数据库里读取该用户的信息，然后使用这些信息生成一个访问令牌
令牌相当于用户访问系统资源的票证，在该用户环境中启动的进程或线程，都会获得这个令牌的一个副本
当用户试图访问系统资源时，需要将令牌提供给SRM，SRM检查用户试图访问的资源的ACL如果用户允许访问该资源，会给用户分配适当的权限

两个访问者线程A和B，他们分别具有对应的访问令牌
线程A有Smith和组ABC的访问令牌
线程B有Bob和组A的访问令牌
左部分是安全描述符，包括对象拥有者的SID，范围控制列表（自主访问控制列表，系统访问控制列表）
- 禁止Smith读写执行
- 允许组A读
- 允许所有人读执行

活动目录和组策略

活动目录AD

活动目录AD（Active Directory）是一个面向网络对象管理的综合目录服务
网络对象包括用户，用户组，计算机，打印机，应用服务器，域，组织单元（OU）以及安全策略等
AD提供的是各种网络对象的索引集合，可以看做是数据存储的视图
将分散的网络对象有效地组织起来，建立网络对象索引目录，并存储在活动目录的数据库内

活动目录AD的管理划分

组策略GP

活动目录AD是Windows网络中重要的安全管理平台，组策略GP是其安全性的重要体现。
组策略可以理解为依据特定的用户或计算机的安全需求定制的安全配置规则
管理员针对每个组织单元OU定制不同的组策略，并将这些组策略存储在活动目录的相关数据库内，可以强制推送到客户端实施组策略
活动目录AD可以使用组策略命令来通知和改变已经登录的用户的组策略，并执行相关安全配置

组策略工作流程
网络管理员根据组策略模板定制组策略，生成组策略库，为域中的每个OU制定不同的组策略，制定好后推送给每台计算机

组策略的实施

注册表是Windows系统中保存系统应用软件配置的数据库
很多配置都是可以自定义设置的，但这些配置会发布在每个注册表的各个角落，如果是手工配置，会非常的困难繁琐
组策略可以将系统中重要的配置功能汇集成一个配置集合，管理人员通过配置并实施组策略，达到直接管理计算机的目的
简单的说，实施组策略就是修改注册表中的相关配置

组策略和活动目录AD配合

组策略分为基于活动目录的和基于本地计算机的两种
- AD组策略存储在域控制器上活动目录AD的数据库中，它的定制实施由域管理员来执行，而本地组策略存放在本地计算机内，由本地管理员来定制实施
- AD组策略实施的对象是整个组织单元OU，本地组策略只负责本地计算机
组策略和活动目录AD配合
- 组策略部署在OU，站点或域的范围内，也可以部署在本地计算机上，部署在本地计算机时，组策略不能发挥其全部功能，只有和AD配合，组策略才可以发挥出全部潜力

组策略的主要工作

部署软件
设置用户权利
软件限制策略：管理员可以通过配置组策略，限制某个用户只能运行特定的程序或执行特定的任务
控制系统设置：允许管理员统一部署网络用户的Windows服务
设置登录，注销，关机，开机脚本
通用桌面控制
安全策略：批量待定客户端计算机的安全选项，包括密码设置，审核，IP安全策略等
重定向文件夹
基于注册表的策略设置

网络威胁

概述

威胁：使用威力逼迫恫吓使人屈服
网络威胁：是网络安全受到威胁，存在着危险
随着互联网的不断发展，网络安全威胁也呈现了一种新的趋势
- 最初的病毒，比如“CIH”，“大麻”等传统病毒
- 逐渐发展成为包括特洛伊木马，后门程序，流氓软件，间谍软件，广告软件，网络钓鱼，垃圾邮件等等
- 目前的网络威胁往往是集多种特征于一体的混合型威胁

网络威胁的三个阶段

第一阶段：1998年以前，网络威胁主要来源于传统的计算机病毒，特征是通过媒介复制进行传染，以破坏个人电脑为目的
第二阶段：1998年以后，网络威胁主要以蠕虫病毒和黑客攻击为主，其表现为蠕虫病毒通过网络大面积爆发及黑客攻击一些服务网站
第三阶段：2005年以来，网络威胁多样化，多数以偷窃资料，控制利用主机等手段谋取经济利益为目的

网络威胁分类
从攻击发起者的角度来看：

一类是主动攻击型威胁，如网络监听和黑客攻击等，这些威胁都是对方人为通过网络通信连接进行的
另一类是被动型威胁，一般是用户通过某种途径访问了不当的信息而受到的攻击

依据攻击手段及破坏方式进行分类

第一类以传统病毒，蠕虫，木马为代表的计算机病毒
第二类是以黑客攻击为代表的网络入侵
第三轮是以间谍软件，广告软件，网络钓鱼软件为代表的欺骗类威胁

分别对应三小节

计算机病毒

计算机病毒发展史

略

计算机病毒定义

病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”

计算机病毒特征：

非授权性
寄生性
传染性
潜伏性
破坏性
触发性

计算机病毒新的发展趋势

无国界
多样化
破坏性更强
智能化
更加隐蔽化

计算病毒可以根据其工作原理和传播方式划分成

传统病毒
蠕虫病毒
木马

传统病毒

代表：巴基斯坦智囊Brain，大麻病毒，磁盘杀手，CIH
传统病毒一般有三个主要模块组成，包括启动模块，传染模块，破坏模块

CIH病毒

传染Windows95/98环境下PE格式的EXE文件
病毒发作时直接攻击和破坏计算机硬件系统
该病毒通过文件复制进行传播
计算机开机后，运行了带病毒的文件，其病毒就驻留在Windows核心内存里
组成：初始化驻留模块，传染模块和破坏模块

蠕虫病毒

蠕虫和传统病毒的区别：

传统病毒需要寄生的，通过感染其他文件进行传播
蠕虫病毒一般不需要寄生在宿主文件中，传播途径主要包括局域网内的共享文件夹，电子邮件，网络中的恶意网页和大量存在着漏洞的服务器等
可以说蠕虫病毒以计算机为载体，以网络为攻击对象
蠕虫病毒能够利用漏洞，分为软件漏洞和人为缺陷
软件漏洞主要指程序员由于习惯不规范，错误理解或想当然，在软件中留下存在安全隐患的代码
人为缺陷主要指计算机用户的疏忽，这就是所谓的社会工程学问题

一般利用漏洞传播

尼姆达病毒
尼米达病毒激活后，使用其副本替换系统文件，将系统的各驱动器设为开发共享，降低系统安全性，创建Guest账户并将其加入到管理员组中，安装Guest用户后门

由于尼姆达病毒通过网络大量传播，产生大量异常的网络流量和大量的垃圾邮件，网络性能受到严重影响

尼姆达病毒可以通过web服务器，邮件服务器，本地网络共享区传播

通过web服务器传播，通过攻击代码感染主页，通过访问主页感染本地PE格式文件
通过邮件服务器传播，依靠病毒邮件
通过本地网络共享区传播，依靠病毒文件

木马

木马病毒，潜伏伪装的网络病毒

木马是有隐藏性，传播性的可用被用来进行恶意行为的程序，因此，也被看做是一种计算机病毒
木马一般不会直接对计算机产生危害，以控制电脑为目的，当然电脑一旦被木马所控制，后果不堪设想

木马的传播方式

主要通过电子邮件附件，被挂载木马的网页以及捆绑了木马程序的应用软件
木马被下载安装后完成修改注册表，驻留内存，安装后门程序，设置开机加载项等，甚至能够使杀毒程序，个人防火墙等防范软件失效

木马病毒分类

盗号类木马
网页点击类木马
下载类木马
代理类木马

木马病毒程序组成

控制端程序（客户端）
- 是黑客常用来控制远程计算机中的木马的程序
木马程序（服务器端）
- 是木马病毒的核心，是潜入被感染的计算机内部，获取其操作权限的程序
木马配置程序
- 通过修改木马名称，图标等来伪装隐藏木马程序，并配置端口号，回送地址等信息确定反馈信息的传播路径

灰鸽子木马

被动植入是指植入过程必须依赖受害用户的手工操作
主动植入是将灰鸽子程序通过程序自动安装到目标系统

灰鸽子病毒的隐藏技术（服务器端程序）

隐藏文件
隐藏进程
隐藏通迅
- 通讯端口复用技术是将自己的通讯直接绑定到正常用户进程的端口，接收数据后，根据数据包的格式判断是不是木马的，如果是，自己处理，否则通过127.0.0.1的地址交给真正的服务器应用进行处理
- 反弹端口技术是指木马程序启动后主动连接客户，为了隐蔽起见，控制端的被动端口一般设置为80端口，对内部网络到外部网络的访问请求，防火墙一般不进行过于严格的检查，加之其连接请求有可能伪造成对外部资源的正常访问，因此可以通过防火墙

客户端程序
定制生成服务器端程序

首先利用客户端程序配置生成一个服务器端程序文件，服务器端文件的名字默认为G_Server.exe，然后开始在网络中传播植入这个程序
控制远程的服务器端
当木马植入成功后，系统启动是木马就会加载运行，然后反弹窗口技术主动连接客户控制端
客户控制端程序的功能：
对远程计算机文件管理
远程捕获命令
捕获屏幕，实时控制
注册表模拟器

病毒防治

病毒防治技术略滞后于病毒技术
对于大多数计算机用户来说，防治病毒首先需要选择一个有效的防病毒产品，并及时进行升级
计算机病毒防治技术主要包括：
- 检测，清除，预防和免疫
- 检测和清除是根治病毒的有力手段
- 预防和免疫也是保证计算机系统安全的重要措施

检测

病毒检测方法主要包括：特征代码法，校验和法，行为检测法以及软件模拟法等。
特征代码法
- 特征代码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码
校验和法
- 对正常状态下的重要文件进行计算，取得其校验和，以后定期检查这些文件的校验和与原来保存的校验和是否一致
行为检测法
- 利用病毒的特有行为特征来监测病毒的方法，称为行为检测法。当一个可疑程序运行时，监测其行为，如果发现了病毒行为，立即报警
软件模拟法
- 软件模拟法是为了对付多态型病毒。软件模拟法是通过模拟病毒的执行环境，为其构造虚拟机，然后在虚拟机中执行病毒引擎解码程序，安全地将多态型病毒解开并还原其本来面目，再加以扫描。软件模拟法的优点是可以识别未知病毒，病毒定位准确，误报率低，缺点是检测速度受到一定影响，消耗系统资源较高

计算机中毒的常见症状

系统运行速度减慢
系统经常无故死机
文件长度发生变化
存储容量异常减少
丢失文件或文件损坏
屏幕上出现异常提示
系统的蜂鸣器出现异常声响
磁盘卷标发生变化
系统不识别磁盘
对存储系统异常访问
键盘输入异常
文件的日期，时间，属性等发生变化
文件无法正确读取，复制或打开
命令执行出现错误
Windows操作系统无故频繁出现错误
系统异常重新启动
一些外部设备工作异常
出现异常的程序驻留内存

清除
清除病毒主要分为：

使用防病毒软件和手工清除病毒两种方法
防病毒软件由安全厂商精心研制，可以有效查杀绝大多数计算机病毒，多数用户应采用防病毒软件来清除病毒
防病毒软件对检测到的病毒一般采取三种处理方案，分别是清除，隔离和删除
清除是指在发现文件被感染病毒时，采取的清除病毒并保留文件的动作
隔离是指在发现病毒后，无法确认清除动作会带来什么后果，又不想直接删除文件，故采取监视病毒并阻止病毒运行的方法
某类病毒清除失败，删除失败，隔离失败，对个人用户来讲，格式化硬盘，重建系统可能是最后的有效选择

蠕虫，木马病毒的清除

结束所有可能的进程
删除病毒文件并恢复注册表
内核级后门的清除
重启后扫描
除了以上三步，随后需要重启启动系统，并使用带有最新病毒库的防病毒软件对全盘进行扫描

预防

安装杀毒软件
- 打开你的防毒软件的自动升级服务，定期扫描计算机
注意软盘，光盘，U盘等存储媒介
- 在使用软盘，光盘，U盘等活动硬盘前，病毒扫描
关注下载安全
- 下载要从比较可靠的网站进行，下载后做病毒扫描
关注电子邮件安全
- 来历不明的邮件决不要打开，绝不要轻易运行附件
使用基于客户端的防火墙
警惕欺骗性的病毒
备份

免疫
计算机病毒免疫

提高计算机系统对计算机病毒的抵抗力，从而达到防止病毒侵害的目的
一是提高计算机系统的健壮性，二是给计算机注射“病毒疫苗”
提高系统健壮性的主要途径包括以下内容：
- 及时升级操作系统，保证系统安装最新的补丁
- 安装防病毒软件，及时升级病毒定义文件和防病毒引擎
- 定期扫描系统和磁盘文件
- 打开个人防火墙
- 使用软盘或U盘写保护
- 重要的数据信息写入只读光盘

注射病毒疫苗
实施免疫的主要方法包括以下几个方面：

感染标识免疫
- 人为地为正常对象加上病毒感染标识，使计算机病毒误以为已经感染从而达到免疫的目的
文件拓展名免疫
- 将拓展名改为非COM，EXE，SYS，BAT等形式
- 将系统默认的可执行文件后缀名改为非COM，EXE,SYS,BAT等形式
外部加密免疫
- 外部加密免疫是指在文件的存储权限和存取路径上进行加密保护，以防止文件被非法阅读和修改
内部加密免疫
- 对文件内容加密变换后进行存储，在使用时再进行解密

网络入侵

入侵是指在非授权的情况下，试图存取消息，处理消息和破坏系统，以使系统不可靠或不可用的故意行为
网络入侵一般是指具有熟练编写，调试和使用计算机程序的技巧的人，利用这些技巧来获得非法或未授权的网络或文件的访问，进入内部网的行为
对信息的非授权访问一般被称为破解cracking

网络攻击三个阶段
一般分为：前期准备，实施入侵，后期处理

准备阶段需要完成的工作主要包括明确入侵目的，确定入侵对象，选择入侵手段
- 入侵目的一般分为控制主机，瘫痪主机和瘫痪网络
- 入侵对象一般分为主机和网络两类
- 根据目的和后果分为：拒绝服务攻击，口令攻击，嗅探攻击，欺骗攻击，利用型攻击
实施入侵阶段是真正的攻击阶段，主要包括扫描探测和攻击
- 扫描探测主要用来收集信息，为下一步攻击奠定基础
- 攻击：根据入侵目的，采用相应的入侵手段向入侵对象实施入侵
后期处理主要是指由于大多数入侵攻击行为都会留下痕迹，攻击者为了清除入侵痕迹而进行现场清理

拒绝服务攻击

拒绝服务攻击DoS（Denial of Service）
- DoS并不是某一种具体的攻击方式，而是攻击所表现出来的结果最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃
通常拒绝服务攻击可分为两种类型
- 第一类攻击是利用网络协议的缺陷，通过发送一些非法数据包致使主机系统瘫痪
- 第二类攻击是通过构造大量的网络流量致使主机通讯或网络堵塞，使系统或网络不能响应正常的服务

Ping of Death

TCP/IP的规范，一个包的长度最大为65536字节
利用多个IP包分片的叠加能做到构造长度大于65536的IP数据包
攻击者通过修改IP分片中的偏移量和段长度，使系统在接收到全部分段后重组报文时总的长度超过了65535字节
一些操作系统在对这类超大数据包的处理上存在缺陷，当安装这些操作系统的主机收到了长度大于65536字节的数据包时，会出现内存分配错误，从而导致TCP/IP堆栈崩溃，造成死机

Tear drop

IP数据包在网络传输是，数据包可能被分成更小的IP分片
攻击者可以通过发送两个或多个IP分片数据包来实现Tear drop攻击
第一个IP分片包偏移量为0，长度为N，第二个分片包的偏移量小于N，未超过第一个IP分片包的尾部，就出现了偏移量重叠现象
一下操作系统无法处理这些偏移量重叠的IP分片的重组，TCP/IP堆栈会出现内存分配错误，造成操作系统崩溃

Syn Flood

攻击者伪装TCP的连接请求，向被攻击的设备正在监听的端口发送大量的SYN连接请求报文
被攻击的设备按照正常的处理过程，回应这个请求报文，同时为它分配了相应的资源
攻击者不需要建立TCP连接，因此服务器根本不会接收到第三个ACK报文，现有分配的资源只能等待超时释放
如果攻击者能够在超时时间到达之前发出足够多的攻击报文，被攻击的系统所预留所有TCP缓存将被耗尽

Smurf攻击

Smurf攻击是以最初发动这种攻击的程序Smurf来命名的，这种攻击方法，结合使用了IP地址欺骗和ICMP协议
当一台网络主机通过广播地址将ICMP ECHO请求包发送给网络中的所有机器，网络主机接收到请求数据包后，会回应一个ICMP ECHO相应包，这样发送一个包会接受到许多的相应包
Smurf构造并发送原地址为受害主机地址，目的地址为广播地址的ICMP ECHO请求包，收到请求包的网络主机会同时相应并发送大量的信息给受害主机，致使受害主机崩溃
如果Smurf攻击将回复地址设置为受害网络的广播地址，则网络中会充斥大量的ICMP ECHO响应包，导致网络堵塞

电子邮件炸弹
实施电子邮件炸弹攻击的特殊程序称为Email Bomber

邮箱容量是有限的，用户在短时间内收到成千上万封电子邮件，美国电子邮件容量也较大，那么经过一轮邮件炸弹轰炸后电子邮箱的容量可能被占满
另一方面，这些电子邮件炸弹所携带的大容量信息不断在网络上来回传输，很容易堵塞网络
而且邮件服务器需要不停地处理大量的电子邮件，如果承受不了这样的疲劳工作，服务器随时有崩溃的可能

分布式拒绝服务攻击DDoS

DDoS攻击就是很多DoS攻击源疫情攻击某台服务器或网络，迫使服务器停止提供服务或网络堵塞
DDoS攻击需要众多攻击源，而黑客获得攻击源的主要途径就是传播木马，网络计算机一旦中了木马，这台计算机就会被后台操作的人控制，也就成为了所谓的肉鸡，即黑客的帮凶
使用肉鸡进行DDoS攻击还可以在一定程度上保护攻击者，使其不易被发现

对DoS的防御

及时为系统升级，减少系统漏洞，很多DoS攻击对应新的操作系统已经失效，如Ping of Death攻击
关掉主机或网络中不必要的服务和端口，如对于非WEB主机关掉80端口
局域网应该加强防火墙和入侵检测系统的应用和管理，过滤掉非法的网络数据包

口令攻击

口令攻击过程一般包括以下几个步骤

步骤一，获取目标系统的用户账户和其他有关信息
- 获取目标系统的用户账号及其他有关信息一般可以利用一些网络服务来实现，如Finger，Whois，LDAP等信息服务
步骤二，根据用户信息猜测用户口令
步骤三，采用字典攻击方式探测口令
- 使用一些程序，自动地从电脑字典中取出一个单词，作为用户的口令输入给远端的主机，进入系统
- 如果口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止
- 由于这个破译过程由计算机程序自动完成，几个小时就可以把字典的所有单词都试一遍
步骤四，探测目标系统的漏洞，伺机取得口令文件，破解取得用户口令

系统中可以用作口令的有95个：

10个数字，33个标点符号，52个大小写字母
采用任意5个字母加上一个数字或符号则可能的排列数为163亿
这个数字对于每秒可以进行上百万次浮点运算的计算机不是什么难事，也就是说一个6位的口令将是不安全的
一般建议使用十位以上并且是字母数字加上标点符号的混合体

防范口令攻击的方法

口令长度不少于10个字符
口令中要有一些非字母
口令不在英文字典中
不要将口令写下来
不要将口令存于电脑文件中
不要选择易猜测的信息做口令
不要在不同系统上使用同一口令
不要让其他人得到口令
经常改变口令
用于不要对自己口令过于自信

嗅探攻击

嗅探攻击又称为网络嗅探，是指利用计算机的网络接口截获目的地为其他计算机的数据包的一种手段
网络嗅探的工具被称为嗅探器（sniffer），是一种常用的收集网络上传输的有用的数据的方法
嗅探攻击一般是指黑客利用嗅探器获取网络传输中的重要数据。网络嗅探也形象的称为网络窃听

共享网络环境
以太网有四种工作模式：

广播模式：网卡能够接收网络中的广播数据
组播模式：网卡能够接收组播数据
直接模式：只有目的网卡才能接收该数据
混杂模式：网卡能够接收一切通过它的数据

如果攻击者获得其中一台主机的root权限，并将其网卡置于混杂模式，这就意味着不必打开配线盒来安装偷听设备，就可以在对共享环境下的其他计算机的通信进行窃听，在共享网络中网络通信没有任何安全性可言

交换网络环境
Arp协议
实现网络地址到物理地址映射
当主机接收到ARP应答数据包的时候，就使用应答数据包的数据对本地的ARP缓存进行更新或添加

Arp欺骗

欺诈服务器D向服务器ABC发送192.16.1.13->ee-ee-ee-ee-ee-ee，则AB认为网络地址192.16.1.13是物理地址ee-ee-ee-ee-ee-ee，然后服务器D把自己的物理地址改为ee-ee-ee-ee-ee-ee，就可以达到冒充服务器C的目的
当其他服务器发送信息给C时，会发送到ee-ee-ee-ee-ee-ee，故会被欺诈服务器D截获，然后再发回给cc-cc-cc-cc-cc-cc服务器C，防止被发现。从而达到截获信息的目的。

防范嗅探攻击

嗅探检测器
- 检测混杂模式网卡来检查嗅探器的存在，AntiSniff
安全的拓扑结构
- 嗅探器只能在当前网络段上进行数据捕获，将网络分段工作进行的越细，嗅探器能够收集到的信息越少
会话加密
- 计时嗅探器嗅探到数据报文，也不能识别其内容
地址绑定
- 在客户端使用arp命令绑定网关的真实MAC地址
- 在交换器上做端口与MAC地址的静态绑定
- 在路由器上做IP地址与MAC地址的静态绑定
- 用静态的ARP信息代替动态的ARP信息

欺骗类攻击

欺骗类攻击是指构造虚假的网络消息，发送给网络主机或网络设备，企图用假消息替代真实消息，实现对网络及主机正常工作的干扰破坏
常见的假消息攻击有IP欺骗，ARP欺骗，DNS欺骗，伪造电子邮件等

IP欺骗

IP欺骗简单地说就是一台主机冒充另外一台主机的IP地址与其他设备通信
IP欺骗主要是基于远程过程调用RPC的命令，比如rlogin，rcp，rsh等
这些命令仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC
IP欺骗的目的主要是获取远程主机的信任和访问特权

IP欺骗攻击主要步骤

选定主机并发现被该主机信任的其他主机
使得被信任的主机丧失工作能力（例如采用SYN flood攻击）
使用被目标主机信任的主机的IP地址，伪造建立TCP连接的SYN请求报文，试图以此数据报文建立与目标主机的TCP连接
序列号取样和猜测
使用被目标主机信任的主机的IP地址和计算出的TCP序列号，构造TCP连接的ACK报文，发送给目标主机，建立起与目标主机基于地址验证的应用连接
- 如果成功，攻击者可以使用一种简单的命令放置一个系统后门，以进行非授权操作

TCP连接三次握手：

攻击人主机向目标主机发送SYN包
目标主机返回SYN+ACT包给被信任的主机
被信任主机已经瘫痪
攻击人主机截获SYN+ACT包
攻击人主机以被信任主机IP地址给目标主机回ACT包，目标主机认为TCP连接建立成功

DNS欺骗

DNS服务器转换url（www.baidu）到ip地址(202.108.22.5)，称为DNS应答
DNS欺骗分为两种：监听式主机欺骗，DNS服务器污染
监听式主机欺骗
- 欺骗者用ARP欺骗，成为中间人
- 受害者发送DNS请求，获得查询ID和端口号
- 欺骗者伪造并发送DNS应答
- 欺骗者转发DNS请求给真实的DNS服务器
- DNS把可能的真实的DNS应答
DNS服务器污染
- 欺骗者向DNS发送大量的请求数据包
- 本地DNS向上级DNS发送DNS请求数据包
- 在上级DNS回答之前，欺骗者向本地DNS发送伪造的DNS应答数据包
- 本地DNS根据伪造的DNS应答数据包更新自己缓存
- 在上级DNS回答之前，如果有主机请求DNS解析，本地DNS就会把假的地址发送给主机

伪造电子邮件

由于SMTP并不对邮件的发送者身份进行鉴定，攻击者可以冒充别的邮件地址伪造电子邮件
攻击者伪造电子邮件的目的包括
- 攻击者想隐藏自己的身份，匿名传播虚假消息，如造谣中伤某人
- 攻击者想假冒别人身份，提高可信度，如冒充领导发布通知
- 伪造用户可能关注的发件人的邮件，引诱收件人接收并阅读，如传播病毒，木马等

对欺骗类攻击的防范方法

抛弃基于地址的信任策略，不允许使用r类远程调用命令
配置防火墙，拒绝网络外部与本网内具有相同IP地址的连接请求，过滤掉入站的DNS更新
地址绑定，在网关上绑定IP地址和MAC地址，在客户端使用arp命令绑定网关的真实MAC地址命令
使用PGP等安全工具并安装电子邮件证书

利用类攻击

利用类攻击是通过非法技术手段，试图获得某网络计算机的控制权和使用权，达到利用该机从事非法行为的一类攻击行为的总称
利用类攻击常用的技术手段包括：
- 口令猜测，木马病毒，僵尸病毒，缓冲区溢出等

僵尸病毒

僵尸病毒（Bot）是通过特定协议（如HTTP，P2P）的信道连接僵尸网络服务器的客户端程序
- 被安装了僵尸程序的机器称为僵尸主机
- 僵尸网络（BotNet）是由这些受控的僵尸主机依据特定协议所组成的网络
僵尸病毒的程序结构和木马程序基本一致
- 木马程序是被控制端连接的服务器端程序
- 僵尸程序是向控制服务器发起连接的客户端程序
僵尸病毒的传播和木马相似
- 途径包括电子邮件，含有病毒的WEB网页，捆绑了僵尸程序的应用软件以及利用系统漏洞攻击加载等
黑客经常利用其发起大规模的网络攻击
- 如分布式拒绝服务攻击（DDoS），海量垃圾邮件等

缓冲区溢出攻击

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖了合法数据
缓冲区溢出是一种非常普遍，非常危险的程序漏洞，在各种操作系统，应用软件中广泛存在
利用缓冲区溢出攻击，可以导致程序运行失败，系统宕机，重新启动等后果，更为严重的是可以利用它执行非授权指令，甚至可以取得系统授权并控制主机，进行各种非法操作

缓冲区的理论基础

缓冲区溢出的产生存在必然性，现代计算机程序的运行机制，c语言的开放性及编译问题是其产生的理论基础
- 程序在4GB或更大逻辑地址空间内运行时，一般会被装载到相对固定的地址空间，使得攻击者可以估算用于攻击的代码的逻辑地址
- 程序调用时，可执行代码和数据共同存储在一个地址空间中（堆栈），攻击者可以精心编制输入的数据，通过运行时缓冲区溢出，得到运行权
- CPU call调用时的返回地址和C语言函数使用的局部变量均在堆栈中保存，而且c语言不进行数据边界检查，当数据被覆盖是也不能被发现

利用型攻击的防范

及时更新系统，减少系统漏洞，可有效阻止木马，僵尸，缓冲区溢出类的入侵
安装杀毒软件，可有效防范木马，僵尸等病毒的入侵
加强安全防范意识，主动了解安全知识，有意识加固系统，对不安全的电子邮件，网页进行识别抵制。

诱骗类威胁

诱骗类威胁是指攻击者利用社会工程学的思想，利用人的弱点（如人的本能反应，好奇心，信任，贪便宜等）通过网络散布虚假消息，诱使受害者上当受骗，从而达到攻击者目的的一种网络攻击行为
准确的说，社会工程学不是一门科学，而是一门艺术与敲门，他利用人的弱点，以顺从你的意愿，满足你的欲望的方式，让你上当受骗

网络钓鱼

phishing是英文单词fishing和phone的综合体，所以称为网络钓鱼
phishing是指攻击者通过伪造以假乱真的网站和发送诱惑受害者按攻击者意图执行某些操作的电子邮件等防范，使得受害者“自愿”交出重要信息（如银行账号和密码）的手段

电子邮件诱骗
电子邮件服务是合法的Internet经典服务，攻击者进行电子邮件诈骗，一般有以下步骤：

选定目标用户群
构造欺骗性电子邮件
搭建欺骗性网站
群发邮件，等待上当的受害者

假冒网站

建立假冒网站，骗取用户账户，密码实施盗窃，这是对用户造成经济损失最大的恶劣手段
为了迷惑用户，攻击者有意把网站域名注册成与真实机构的域名很相似

虚假电子商务

攻击者建立电子商务网站，或者是在比较知名，大型电子商务网站上发布虚假的商品销售信息
网上交易多是异地交易，通常需要汇款
- 不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者支付其余款或者其他各种名目的款项，得到钱财或被识破时，犯罪分子就销声匿迹。

对诱骗类攻击的防范

诱骗类威胁不属于传统信息安全的范畴，传统信息安全办法解决不了非传统信息安全的威胁
- 一般认为，解决非传统信息安全威胁需要动用社会工程学来反制
- 防范诱骗类威胁的首要方法是加强安全防范意识。
另外，用户还应当注意以下几点：
- 确认对方身份
- 慎重对待个人信息
- 谨防电子邮件泄密
- 注意网站的url地址

网络防御

概述

网络防御是一个综合性的安全工程，不是几个网络安全产品能够完成的任务

防御需要解决多个层面的问题，除了安全技术之外，安全管理也十分重要，实际上提高用户群的安全防范意识，加强安全管理所能起到的效果远远高于应用几个网络安全产品

防火墙位于外网和内网之间，在网络入口部署，与网络是串联关系
入侵检测系统与网络之间是并联的关系，在核心交换机上部署
入侵防御系统与网络之间是串联的关系

防火墙

防火墙指的是一个由硬件和软件设备结合而成，在内部网络和外部网络之间构造的安全保护屏障，从而保护内部网络免受外部网络非法用户的侵入
简单的说，防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称
防火墙的设计目的是有效地控制内外网之间的网络数据流量，做到御敌于外
防火墙的结构和部署考虑
- 内网和外网之间的所有网络数据流必须经过防火墙
  - 阻塞点可以理解为连通两个或多个网络的唯一路径上的点，当这个点被删除后，各网络之间不存在连通
- 只有符合安全策略的数据流才能通过防火墙
  - 要求防火墙具有审计和管理的功能，具有可扩展性和健壮性

分类

从应用对象上看，分为企业防火墙和个人防火墙
- 企业防火墙的主要作用是保护整个企业网络免受外部网络的攻击
- 个人防火墙是保护个人计算机系统的安全
从存在形式上，可以分为硬件防火墙和软件防火墙
- 硬件防火墙采用特殊的硬件设备，有较高性能，可作为独立的设备部署，企业防火墙多数是硬件防火墙
- 软件防火墙是一套安装在某台计算机系统上用来执行防护任务的安全软件，个人防火墙都是软件防火墙
  防火墙的主要作用
网络流量过滤
- 通过在防火墙上进行安全规则配置，可以对流经防火墙的网络流量进行过滤
网络监控审计
- 防火墙记录访问生成网络访问日志，提供网络使用情况的统计数据
支持NAT部署
- NAT（Network Address Translation）是网络地址翻译的缩写，是用来缓解地址空间短缺的主要技术之一
支持DMZ
- DMZ是英文“Demilitarized Zone”的缩写，它是设立在非安全系统和安全系统之间的缓冲区。目的是解决安装了防火墙之后外部网络不能访问内部网络服务器的问题
支持VPN
- 通过VPN，企业可以将分布在各地的局域网有机地练成一个整体，企业分支机构或在外出差员工可以通过VPN访问内网服务器资源

典型企业防火墙的应用

局限性

防火墙无法检测不经过防火墙的流量，如通过内部提供拨号服务接入公网的流量
防火墙不能防范来自内部人员的恶意攻击
防火墙不能阻止被病毒感染的和有害的程序或文件的传递，如木马
防火墙不能防止数据驱动式攻击，如缓冲区溢出攻击

防火墙主要技术

包过滤防火墙

面向网络底层数据流（网络层和传输层）进行审计和控管
其安全策略主要是根据数据包包头的源地址，目的地址，端口号，协议类型等标志来制定，可见其主要工作在网络层和传输层
网络层数据包有源IP地址，目的IP地址
传输层数据包有端口号和协议类型

代理防火墙

基于代理（Proxy）技术，使防火墙参与到每一个内外网络之间的连接过程
防火墙需要理解用户使用的协议，对内部节点向外部节点的请求进行还原审查后，转发给外部服务器
外部节点发送来的数据也需要进行还原审查，然后封装转发给内部节点

个人防火墙

目前普通用户最常使用的一种，常见如天网个人防火墙
- 个人防火墙是一种能够保护个人计算机系统安全的软件
- 直接在用户的计算机上运行，帮助普通用户对系统进行监控及管理，使个人计算机免受各种攻击

访问控制列表ACL

Access Control List 是允许和拒绝匹配规则的集合
规则告诉防火墙那些数据包允许通过，哪些被拒绝

包过滤

包过滤分为静态包过滤和动态包过滤
静态包过滤是指防火墙根据定义好的包过滤规则审查每个数据包，确定其是否与某一条过滤规则匹配
动态包过滤是指防火墙采用动态配置包过滤规则的方法，根据动态需求添加或删除ACL中的过滤规则，并通过对其批准建立的每一个连接进行追踪，更灵活地实施对网络连接的访问控制，基于对话

代理网关

代理网关分为应用代理网关和电路级网关

应用代理网关

被认为是最安全的防火墙技术
应用代理网关防火墙彻底隔断内网与外网之间的直接通信，内网用户对外网的访问变成防火墙对外网的访问，外网返回的消息再由防火墙转发给内网用户
内网用户在任何时候都不能与外部服务器建立直接TCP连接
两个缺点：
- 必须能够理解繁杂的应用层协议和不断出现的新协议
- 为应付大量网络连接并还原到应用层，工作量大，性能需求高，可能会成为网络瓶颈
只适用于用户较少同时应用较少的网络

电路级网关（Circuit Gateway）

工作原理和应用代理网关基本相同，代理的协议以传输层为主，在传输层上实施访问控制策略，是在内外网络之间建立一个虚拟网络，进行通信
代理的是传输层协议，不需要审计应用层数据，只需检查内外网主机之间传输层数据来决定会话是否合法
工作量小于应用代理网关，安全性低于应用代理网关

NAT（Network Address Translation）

属于广域网接入技术
是一种将私有地址转换为合法的IP地址的技术
即能解决IP地址不足的问题，又能有效地避免来自外网的攻击，隐藏并保护内网的计算机
工作原理：将内网中IP包头的内部IP地址信息用可以访问外网的真实IP地址信息来转换
- 静态NAT
- 动态NAT

VPN（Virtual Private Network）

VPN：虚拟的企业内部专线，也称为虚拟私有网
VPN是通过一个公用网络（通常是Internet）建立一个临时的，安全的连接
- 可以理解为一条穿过公用网络的安全，稳定的隧道，两台分别处于不同网络的机器可以通过这条隧道进行连接访问，就像在一个内部局域网一样
VPN的实现主要依赖于隧道技术，用一种协议来传输另一种协议

VPN的典型应用

在外员工访问总部里面的信息，要用Access VPN,也被称为APDN（虚拟私有拨号网），需要专门的VPN软件。
企业分支机构和企业总部之间建立Internet VPN，它可以为总部及个分支机构提供一个整个企业网的访问权限
外部合作公司与企业总部之间建立Extranet VPN，连接客户供应商，合作伙伴到企业内网，支持对外部用户进行相应的访问权限设定

Netfilter/IPtables防火墙

主要为Linux防火墙

Netfilter工作在内核层，由一下信息表过滤表组成，这些信息报过滤表包含内核用来控制信息包过滤处理的规则集
Iptables工作在用户层，是管理包过滤规则的工具，可完成插入，删除，修改包过滤规则，包过滤规则改变后立即生效

Netfilter通用架构

是嵌入在Linux内核IP协议栈中的一个通用架构
它提供了一系列的“表”（tables）
美国表由若干“链”组成
每条链中可以有一条或数条规则
表—链—规则
filter表实现包过滤，决定哪些包可以放行，哪些包不可以放行
nat表实现网络地址翻译
mangle表实现修改网络数据包包头的字段

Netfilter程序流程架构

最上面第一层是TCP/IP架构的网络接入层（链入层，物理层）
第二层是网络层/IP层
第三层是传输层
第四层是应用层
Route是路由转发
filter表实现包过滤，决定哪些包可以放行，哪些包不可以放行
nat表实现网络地址翻译
mangle表实现修改网络数据包包头的字段
Conntrack对收到的数据包链接跟踪

Netfilter网TCP/IP协议栈里面加了若干个钩子，通过钩子实现数据包的过滤

IP_PRE_ROUTING
- 实现对收到的数据包在网络层进行处理（在路由转发之前）
IP_LOCAL IN
- 对从网络层交到本地程序的数据进行处理
IP_FORWARD
- 主要控制转发
IP_POST_ROUTING
- 对路由转发之后的数据包处理
IP_LOCAL_OUT
- 本机应用程序生成数据包，发到网络上时会被其处理

总结：

在TPC/IP协议栈中设置了五个钩子（hook），每个钩子中注册了一些钩子函数
系统根据这些钩子函数的优先级，形成一条钩子函数指针链
当数据包到达某个钩子点时，被依次提交给钩子函数指针链上的钩子函数处理
数据过滤模块Filter表只在IP_LOCAL_IN,IP_FORWARD,IP_LOCAL_OUT三个钩子点上注册钩子函数，每个钩子函数读应一张过滤表，每张过滤表包含若干规则，一条规则包含0个或多个匹配条件和一个目标运作，这些规则由IPtables管理

规则组成

IPtables命令=工作表+使用链+规则操作+目标操作+匹配条件
- 工作表：指定该命令针对的表，缺省表为filter
- 使用链：指定表下面的某个链，实际上就是确定哪个钩子点
- 规则操作：包括添加规则，插入规则，删除规则，替代规则，列出规则
- 目标动作：有两个，ACCEPT（继续传递数据包）DROP（丢弃数据包）
- 匹配条件：指过滤检查时，用于匹配数据包头信息的特征信息串，比如地址，端口等

例子

入侵检测系统

IDS（Intrusion Detection System）

一种对网络传输进行即时监视，发现可疑传输时发出警报或者采取主动反应措施的网络安全系统
一般认为防火墙属于静态防范措施，而入侵检测系统为动态防范措施，是对防火墙的有效补充
加入防火墙是一栋大楼的门禁，那么IDS就是这栋大楼的监视系统
发展趋势：智能化，分布式

入侵检测专家系统IDES模型
IDES（Intrusion Detection Expert System）

主体（Subject）：在系统上活动的实体，如用户，进程，线程
对象（Object）：系统资源，如文件，设备，命令
审计记录（Audit Record）：六元组
- {主体，活动，对象，异常条件，资源使用情况，时间戳}
- 活动是主体对对象做了什么事情
- 异常条件是在什么条件下认为活动是异常的
- 资源使用情况是指CPU利用率，内存所用百分比，网络流量
- 时间戳是主体对客体执行活动的时间
活动轮廓（Activity Profile）：主体正常活动有关特征信息
异常记录（Anomaly Record）：由事件，时间戳，轮廓组成，表示异常发生的情况
活动规则：是组成策略规则集的具体数据项，用以匹配检测审计记录中是否存在违反规则的行为记录

IDES模型结构

策略规则由活动规则组成
审计数据源可以来源于主机，也可以来源于网络
定义好活动规则，形成策略规集
统计分析系统主体的活动记录，形成活动轮廓
将需要检测的数据分别传给
- 模式匹配器：根据策略规则集中的内容检测数据源，如发现违反安全策略规则活动则报警
- 轮廓特征引擎：分析抽取数据源中主体活动轮廓，与异常检测器一起判断是否发生了异常
模式匹配器检测审计数据源是否违反安全策略规则，即直接检测是否发生了错误行为
轮廓特征引擎提取出正常活动特征（活动轮廓），并交由异常检测器判断审计数据源是否合乎正常活动特征（活动轮廓），不符合则报警。

CIDF通用入侵检测框架

它把入侵检测系统分成事件产生器，事件分析器，事件数据库，响应单元
事件产生器搜集信息系统当前的行为数据，包括主机用户行为数据及网络上的数据包（入侵检测的基础）。搜集到的数据传输给事件分析器和事件数据库，也可直接传递给响应单元
事件分析器分析事件产生器收集到的数据，查看是否有异常行为，如果有异常行为会传递给响应单元，如果无异常或有异常，把分析结果传给事件数据库
事件数据库可以对里面数据进行分析检测，规则检测和规则匹配，也可产生响应
响应单元可启动适应的响应

入侵检测的几个重要概念

事件：当网络或主机遭到入侵或重大变化时，称为发生安全事件，简称事件
报警：当发生事件时，IDS通过某种方式及时通知管理员事件发生情况称为报警
响应：当IDS报警后，网络管理员对事件及时做出处理称为响应
误用：误用是指不正当使用计算机或网络，并构成对计算机安全或网络安全的造成威胁的一类行为
异常：对网络或主机的正常行为进行采样，分析，描述处正常的行为轮廓，建立行为模型，称为行为建模，当网络或主机上出现偏离行为模型的事件时，称为异常
入侵特征：也称为攻击签名（Attack Signature）或攻击模式（Attack Patterns），一般指对网络或主机的某种入侵攻击行为（误用行为）的事件过程进行分析提炼，形成可以分辨出该入侵攻击事件的特征关键字，这些特征关键字被称为入侵特征
感应器：置在网络或主机中用于收集网络信息或用户行为信息的软硬件，称为感应器。感应器应该布置在可以及时取得全面数据的关键点上，其性能直接决定IDS检测的准确率

入侵检测系统的工作过程

信息收集
- 入侵检测的第一步是信息收集，收集内容包括系统和网络的数据及用户活动的状态和行为，信息收集工作一般由放置在不同网段的感应器来收集网络中的数据信息（主要是数据包）和主机内感应器来收集该主机的信息
信息分析
- 将收集到的有关系和网络的数据及用户活动的状态和行为等信息送到检测引擎，检测引擎一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。当检测到某种入侵特征时，会通知控制台出现了安全事件
信息处理
- 当控制台接到发生安全事件的通知，将产生报警，也可依据预先定义的相应措施进行联动响应。如可以重新配置路由器或防火墙，终止进程，切断连接，改变文件属性等

IDS主要功能

监测并分析用户，系统，网络的活动变化
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别已知的攻击行为
统计分析异常行为
操作系统日志管理，并识别违反安全策略的用户活动

入侵检测系统分类

以数据源为分类标准
- 主机型入侵检测系统HIDS（Host-based Intrusion Detection System）
- 和网络型入侵检测系统NIDS（Network-based Intrusion System）
以检测技术为分类标准
- 基于误用检测（Misuse Detection）的IDS
- 基于异常检测（Anomaly Detection）的IDS

主机型入侵检测系统

主机系统审计数据传给检测分析器
检测分析器检测依据是攻击模式库
如果发生异常则报警，采取应急响应
应急响应的措施反过来作用到主机系统上
攻击模式库，检测分析器和应急响应都受到管理配置的管理

优点：

性价比高，不需要增加专门的硬件平台
准确率高，主要检测用户在系统中的行为活动，如对敏感文件，目录，程序，端口的访问，这些行为能实时地准确地反映系统实时状态
对网络流量不敏感，数据来源于主机而不是网络，不会因为网络流量增加而丢掉对网络行为的检测
适合加密环境下工作

缺点：

与操作系统平台相关，可移植性差
需要在每个被检测主机上安装，维护复杂
难以检测针对网络的攻击，如DoS攻击，端口扫描等

网络型入侵检测系统

上部分和主机型入侵检测系统相同
网络型主机检测系统的审计数据来源是在网络上各个节点部署的感应器采集来的网络审计数据，一般是网络数据包

优点：

对用户透明，隐藏性好，使用方便，不容易遭受来自网络的攻击
与被检测的系统平台无关
利用独立的计算机完成检测工作，不会给运行关键业务的主机带来负载增加
攻击者不易转移数据

缺点：

无法检测到来自网络内部的攻击及合法用户的误用行为
无法分析网络中加密数据的数据报文
需要对所有网络报文进行采集分析，主机负荷较大，易受DoS攻击

基于误用检测的IDS
事先定义已知入侵行为的入侵特征，将实际环境中的数据与之匹配

也称为特征分析（Signature Analysis）或基于知识的检测（knowledge-based Detection）
依据具体特征库进行判断，所以准确度很高
检测范围受限于已有知识的局限，无法检测未知攻击
将具体入侵行为抽象成知识具有一定的困难，特征库也需要不断维护

基于异常检测的IDS
根据使用者行为或资源的使用状况的程度与正常状态下的标准特征之间的偏差判断是否遭到入侵

不依赖于某个具体行为是否出现，通用性强，可以检测出未知的攻击
得到正常行为或状态的标准特征及确定阈值具有较大困难
- 不可能对整个系统的所有用户行为进行全面描述
- 每个用户行为是经常改变的
- 资源使用情况也可能是由于某种特定因素发生较大变化
漏报率低，误报率高

入侵检测技术

入侵检测技术研究具有综合性，多领域的特点，技术种类繁多，涉及到许多相关学科
以误用检测，异常检测，诱骗，响应等四个方面分析一下入侵检测的主要技术方法

误用检测技术

专家系统
- 准确率较高，全面性和效率是主要问题
特征分析
- 模式匹配，需要不断升级
模型推理
- 建立误用脚本模型，根据样本推理判断是否发生了误用行为
状态转换分析
- 难以分析过于复杂的事件，不能检测与系统状态无关的入侵
完整性校验等
- 计算哈希值，与正常哈希值进行对比，因为不能一直处于校验的状态，所有难以实时处理

异常检测技术

异常检测是一种与系统相对无关，通用性较强的入侵检测技术
通过监视系统审计记录上系统使用的异常情况，可以检测出违反安全的事件
通常异常检测都与一些数学分析方法相结合，但存在着误报率较高的问题
异常检测主要针对用户行为数据，系统资源使用情况进行分析判断
统计分析
- 维护一个由用户和系统行为模式组成的规则库，每个模式用一系列系统度量来表示特定用户的正常行为
- Denning的IDES中定义了三种度量：事件计数器，间隔定时器，资源测量器
- Denning的IDES提出了五种统计模型：可操作模型，均值和标准差模型，多变量模型，马尔可夫模型，时间序列模型
预测模型
- 为克服Denning模型中未考虑事件发生顺序的特点，1990年Henry提出了预测模型
系统调用检测
基于人工智能的异常检测技术
- 数据挖掘，神经网络，模糊证据等

入侵诱骗技术

入侵诱骗是指用通过伪装成具有吸引力的网络主机来吸引攻击者，同时对攻击者的各种攻击行为进行分析，进而找到有效的应对方法。
具有通过吸引攻击者，从而保护重要的网络服务系统的目的
常见的入侵诱骗技术有蜜罐（Honeypot ）技术和蜜网（Honeynet）技术等

响应技术
入侵检测系统的响应技术可以分为主动响应和被动响应

主动响应是系统自动隔断攻击过程或以其他方式影响攻击过程
- 利用防火墙或网关阻止来自入侵IP的数据包
- 发送TCP RST包阻断网络连接
- 发送ICMP Destination Unreachable包阻断网络连接
- 发送邮件给入侵主机所在网络的管理员请求协助处理
被动响应是报告和记录发生的事件，无法阻止入侵行为，只是起到缩短系统管理人员反应时间的作用

Snort系统

Snort入侵检测系统是一个开放源代码的轻量级实时网络入侵检测系统
Snort遵循CIDF模型，使用误用检测的方法来识别发现违反系统和网络安全策略的网络行为
Snort系统包括数据包捕获模块，预处理模块，检测引擎和输出模块四部分组
数据包捕获模块从网络适配器（网卡）上抓包
抓到的数据包经过预处理模块对数据包进行预处理
然后经过检测引擎里面定义的大量的规则发现异常
然后经由输出模块输出日志并报警
数据包捕获模块：在物理链路层上捕获原始数据包
预处理模块：插件形式
- 模拟TCP/IP协议堆栈功能用的插件：IP碎片重组，TCP流重组
- 解码插件：HTTP解码，Unicode解码
- 规则匹配无法进行攻击检测时所用的插件：端口扫描检测插件，ARP欺骗检测插件
核心引擎模块：snort的核心部件，实现规则分析和特征检测

Snort规则库：Snort将所有已知的入侵行为以规则的形式存放在规则库中，并以三维链表结构进行组织

规则链表集RL（RuleLists）：由五个规则链表节点RLN（RuleListNode）组成，根据规则行为来分（Alert，Log，Pass，Activate，Dynamic）
每个规则链表节点指向一个规则链表头RLH（RuleListHead），每个规则链表头RLH默认包含四棵规则协议树（Iplist,Tcplist,Udplist,Icmplist），RLH可扩展，添加新的规则协议树
每个规则协议树由规则树节点RTN（RuleTreeNode）组成
规则树节点down头指向规则选项节点OTN（OptTreeNode）
一个规则树节点和附带的若干个规则选项节点合在一起叫一条规则，代表一种异常行为

Snort规则
Snort规则由一个规则头（RTN）和一个规则选项（OTN）链表组成

RTN包含运作选项，数据包类型，源地址，源端口，目的地址，目的端口，数据流动方向等
OTN包含报警信息和匹配内容等选项，每个OTN包含一组用来实现匹配操作的函数指针，当数据与某个OTN匹配时，判断此数据包为攻击数据包

例子

alert tcp any any->10.1.1.0/24 80(content:“/cgi-bin/phf”; msg:“PHF probe！”；)
括号左面为规则头，括号中间的部分为规则选项，规则选项中冒号前的部分为选项关键字（Option Keyword）
规则头由规则行为，协议字段，地址和端口信息三部分组成。Snort定义了五种可选的行为：
- Alert：使用设定的警告方法生成警告信息，并记录这个数据报文
- Log：使用设定的记录方法来记录这个数据报文
- Pass：忽略这个数据报文
- Activate：进行alert，然后激活另一个dynamic规则
- Dynamic：等待被一个activate规则激活，被激活后就作为一条log规则执行

网络防御的新技术

VLAN技术

VLAN（Virtual Local Area Network）虚拟局域网
定义为：虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组，而每个逻辑组中的成员具有某些相同的需求
VLAN是用户和网络资源的逻辑组合，是局域网给用户提供的一种服务，而并不是一种新型局域网
VLAN使管理员可以根据实际应用需求，把同一物理局域网内的不同用户划分为不同的广播域，每个VLAN包含一组具有相同需求的计算机工作站
每个VLAN帧有一个明确的标识符，指明发送这个帧的工作站属于那个VLAN
同一个VLAN内的工作站可以在不同的物理网中

VLAN的划分方式

基于端口的VLAN划分：把一个或多个交换机上的几个端口划分成一个逻辑组，这是最简单，最有效的划分方法。缺点是用户从一个端口移动到另一个端口时需要重新配置
基于MAC地址的VLAN划分：按MAC地址把一些节点划分为一个逻辑子网，使得网络节点不会因为地理位置的变化而改变其所属的网络，从而解决了网络节点的变更问题。缺点是用户更换网卡时需要重新配置
基于IP子网的VLAN划分：通过所连计算机的IP地址，来决定其所属的VLAN。缺点是可能受到IP地址盗用攻击

VLAN的安全性

广播风暴的防范
- 物理网络分段和VLAN的逻辑分段，同一VLAN处于相同的广播域，通过VLAN的划分可以有效地阻隔网络广播，缩小广播域，控制广播风
- 规划好各个VLAN成员，将网络内频繁通信的用户放在一个VLAN内，可以减少网间流量，节约网络带宽，提高网络效率
信息隔离
- 同一个VLAN内的计算机之间便可以直接通信，不同VLAN间的通信则要通过路由器进行路由选择，转发，这样就能隔离基于广播的信息（如机器名，DHCP信息），防止非法访问
控制IP地址盗用
- 该VLAN内任何一台计算机的IP地址必须在分配给该VLAN的Ip地址范围内，否则将无法通过路由器的审核，也就不能进行通信

VLAN存在的问题

容易受到欺骗攻击和硬件依赖性问题
- 欺骗攻击主要包括MAC地址欺骗，ARP欺骗以及IP盗用转网等问题
- 硬件依赖是指VLAN的组建需要使用交换机，并且不同主机之间的信息交换要经过交换机，所有VLAN的安全性在很大程度上依赖于所使用的的交换机，以及对交换机的配置

IPS和IMS

入侵防御系统IPS

入侵防御系统IPS（Intrusion Prevention System）：串联部署在内外网之间的关键路径上，基于包过滤的存储转发机制工作，深度感知并检测流经网络的流量，对恶意数据包丢弃以阻断攻击
流量分析器对数据流输入进行流量捕捉
将捕捉到的流量输入到检测引擎，进行基于异常的检测和基于误用的检测
检测结果决定响应模块的反应
并进行流量调整

IPS与IDS相比具有许多先天优势

具备检测和防御功能
可检测到IDS检测不到的攻击行为，在应用层内容检测的基础上加上主动响应和过滤功能
黑客较难破坏入侵攻击数据，IPS检测攻击行为时具有实时性，因此可在入侵发生时予以检测防御，避免入侵攻击行为记录被破坏
具有双向检测防御功能，可以对内网和外网两个方向的攻击入侵行为做到检测和防御

IPS的缺点

串联接入，易成为网络性能瓶颈，必须做到高性能，高可靠性，高安全性

入侵管理系统IMS

把入侵行为分为三个阶段，入侵发生前，入侵发生过程中，入侵发生后
入侵发生前：预防攻击
- 风险评估
- 漏洞通告
- 补丁建议
入侵发生过程中：检测并阻断攻击
- 记录
- 阻断
- 病毒检测
- 误用检测
- 异常检测
入侵发生后：分析加固系统
- 事件分析
- 趋势分析
- 系统加固
- 入侵检测

云安全

“云”是近几年来出现的概念，云计算（Cloud Compute），云存储（Cloud Storage）以及云安全（Cloud Security）也随之相继产生
最早受到IBM，微软，Google等巨头追捧的“云计算”模式，是将计算资源放置在网络中，供许多终端设备来使用，其关键是分布处理，并行处理以及网格计算，云可以理解为网络中所有可计算，可共享的资源，这是个共享资源的概念
“云安全”可以理解为基于“云计算”的安全服务，即让服务器端（云端）承担与安全相关的计算，而让客户端承担扫描和防护任务
云安全是通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马，恶意程序的最新消息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。目前“云安全”也被称为“云杀毒”

云安全用户会部署客户端数据采集程序，把可疑信息上报给云端的云安全系统的服务器
云安全系统实现在线查杀，数据分析，建议恶意程序，病毒木马的特征库
经过分析以后，把云安全解决方案发送给云安全用户
降低了云安全用户在计算上的压力

好处：

作为云端服务器，可以掌握大量的恶意程序脚本，可以从总体上进行安全的判断，提供病毒木马查杀的针对性，在整体上对网络安全进行把握
减低客户端计算压力

建立“云安全”需要解决的问题

需要海量的客户端
- 只有拥有海量客户端才能对互联网上出现的病毒，木马，挂马网站有灵敏的感知能力，在第一时间做出反应
需要专业的反病毒技术和经验
- 没有反病毒技术和经验积累，无法及时处理海量的上报信息，并将处理结果共享给云安全系统中的每个成员
需要大量的资金和技术投入
- 需要大量的服务器和网络带宽
开放的系统
- 云的原始定义中包含了资源共享，云安全系统必须是一个具有开放性的系统，其获得的信息应该最大程度地为广大用户所使用

内容安全

概述

信息内容安全有两方面内容：
- 一方面是针对合法的信息内容加以安全保护，如对合法的音像制品及软件的版权保护
- 另一方面是指针对非法的信息内容实施监管，如对网络色情信息的过滤等
- 内容保护：数字水印，版权控制
- 内容监管：内容识别，内容过滤

内容保护

互联网的发展与普及使电子出版物的传播和交易变得便捷，侵权盗版活动也呈现日益猖獗之势
为了打击盗版犯罪
- 一方面要通过立法来加强对知识产权的保护
- 另一方面要有先进的技术手段来保障法律的实施
针对内容保护技术大多数都是基于密码学和隐写术发展起来的
- 如数据锁定，隐写标记，数字水印和数字版权管理DRM等技术，其中最具有发展前景和实用价值的是数字水印和数字版权管理

信息隐藏和信息加密的区别

信息隐藏和信息加密都是为了保护秘密信息的存储和传输，使之免遭敌手的破坏和攻击，但两者之间有着显著的区别
- 信息加密是利用对称密钥密码或公开密钥密码把明文转换成密文，信息加密所保护的是信息的内容
- 信息隐藏是将秘密信息嵌入到表面上看上去无害的宿主信息中，攻击者无法直观地判断他所监视的信息中是否含义秘密信息，换句话说，具有隐匿信息的宿主信息不会引起别人的注意和怀疑，同时隐匿信息又能够为版权者提供一定的版权保护

版权保护技术

数据锁定是指出版商把多个软件或电子出版物集成到一张光盘上出售，盘上的所有内容均被分别进行加密锁定，不同的用户买到的均是相同的光盘，每个用户只需付款买它所需内容的相应密钥，即可利用该密钥对所需内容解除锁定，而其余不需要的内容仍处于锁定状态，用户是无法使用的
数字水印是镶嵌在数据中，并且不影响数据合法使用的具有可鉴别性的数据，它一般应当具有不可察觉性，抗擦除性，稳健性和可解码性。为了保护版权，可以在数字视频内容中嵌入水印信号，如果制定某种标准，可以使数字视频播放机能够鉴别到水印，一旦发现在可写光盘上有“不许拷贝”的水印，表面这是一张经非法拷贝的光盘，因而拒绝播放。还可以使数字视频拷贝机检测水印信息，如果发现“不许拷贝”的水印，就不去拷贝相应内容
数字版权管理DRM（Digital Right Management）技术是专门用来保护数字化版权的产品。DRM的核心是数据加密和权限管理，同时包含了上述提到的几种技术。DRM特别适合基于互联网应用的数字版权保护，目前已经成为数字媒体的主要版权保护手段

内容监管

在对合法信息进行有效的内容保护的同时，针对大量的充斥暴力色情等非法内容的媒体信息（特别是网络媒体信息）的内容监管也十分必要
面向网络信息内容的监管主要涉及两类
- 一类是静态信息，主要是存在于各个网站中的数据信息，例如挂马网站的有关网页，色情网站上的有害内容以及钓鱼网站上的虚假信息等
- 另一类是动态信息，主要是在网络中流动的数据信息，例如网络中传输的垃圾邮件，色情及虚假网页信息等

内容监管技术

针对静态信息的内容监管技术主要包括网站数据获取技术，内容分析技术，控管技术
对于动态信息进行内容监管所采取的技术主要包括网络数据获取技术，内容分析技术，控管技术等
有关内容分析技术和控管技术部分基本上与静态信息采取的处理技术相同

版权保护

版权（著作权）保护是内容保护的重要部分，其最终目的不是“如何防止使用”，而是“如何控制使用”，版权保护的实质是一种控制版权作品使用的机制
数字版权保护技术DRM就是以一种安全算法实现对数字内容的保护
- DRM的目的是从技术上防止数字内容的非法复制，用户必须在得到授权后才能使用数字内容
- DRM涉及的主要技术包括数字标识技术，安全加密技术以及安全存储技术等
- DRM技术方法主要有两类，一类是采用数字水印技术，另一类是以数据加密和防拷贝为核心的DRM技术

DRM概述

DRM工作原理

内人经过版权处理后，变成受保护文件
受保护文件分发给客户端
客户端要使用查看受保护文件，客户端要使用DRM控制器
DRM控制器向DRM服务器申请授权许可
授权许可包括密钥+权限
如果授权申请合法，服务器将授权许可发给客户端
客户端拿到授权许可后从中取出权限和密钥后就可以打开受保护的文件内容

主要版权保护产品

目前DRM所保护的内容主要分为三类
- 包括电子书，音视频文件，电子文档
Adobe公司的ACS（Adobe Content Server）软件
方正的Apabi数字版权保护软件，主要由Maker，Rights Server，Retail Server和Reader四部分组成
Microsoft公司发布的Windows Media DRM
- 最小版本的Windows Media DRM 10 系列包括了服务器和软件开发包SDKs
RMS（Rights Management Service），Microsoft公司
- 适用于电子文档保护的数字内容管理系统

数字水印

原始的水印Watermark是指在制作纸张过程中通过改变纸张纤维密度的方法而形成的，“夹”在纸中而不是纸的表面，迎光透视时可以清晰看到的有明暗纹理的图像或文字
- 人民币，购物券，有价证券，以防止造假
数字水印（digital watermark）也是用来证明一个数字产品的拥有权，真实性
- 数字水印是通过一些算法嵌入在数字产品中的数字信息，例如产品的序列号，公司图像标志以及有特殊含义的文本等
数字水印可分为可见数字水印和不可见数字水印
- 可见水印主要用于声明对产品的所有权，著作权和来源，起到广告宣传和使用约束的作用，例如电视台播放节目的台标即起到广告宣传，又可声明所有权
- 不可见数字水印的层次更高，制作难度更大，应用面也更广

数字水印原理

一个数字水印方案一般包括三个基本方面：水印的形成，水印的嵌入，水印的检测
水印的形成主要是指选择有意义的数据，以特定的形式生成水印信息，如有意义的文字，序列号，数字图像（商标，印鉴等）或者数字音频片段的编码
一般水印信息可以根据需要制作成可直接阅读的明文信息，也可以是经过加密处理后的密文

水印的嵌入

水印的嵌入与密码体系的加密环节类似，一般分为输入，嵌入处理和输出三部分

原始文件通过密钥把水印信息，在水印嵌入算法作用下，输出带水印的文件

水印的检测

水印的检测分为
水印的检测方式主要分为盲水印检测和非盲水印检测
- 盲水印检测主要指不需要原始数据（原始宿主文件和水印信息）参与，直接进行检测水印信号是否存在
- 非盲水印检测是指在原始数据参与下进行水印检测

输入可能的带有水印的文件
通过盲水印检测或非盲水印检测
如果盲水印检测，不需要原始文件，如果非盲水印检测，需要原始文件
如果没有水印则报告无水印
如果有水印，则进行水印提取，水印提取需要水印嵌入时的密钥
提取出来的水印和原始水印对比，如果相同则数字水印没有被篡改，如果不相同则数字水印已被篡改

数字水印算法

面向文本的水印算法
面向图像的水印算法
面向音频视频的水印算法
NEC算法
生理模型算法

面向文本的水印算法

纯文本文档 vs 格式化文档
- 纯文本文档不包含格式
- 格式化文档包含格式
基于文档结构微调的文本水印算法
- 通过文本文档的空间域变换（字符，行，段落的结构布局，字符的形状和颜色）来嵌入水印
基于语法的文本水印算法
- 根据语法规则对载体文本中的词汇进行替换来隐藏水印信息
- 按照语法规则对载体文本中的标点符号进行修改
基于语意的文本水印算法
- 将一段正常的语言文字修改成包含特定词语（如同义词）的语言文字，在修改的过程中嵌入水印信息
基于汉字特点的文本水印算法
- 笔画，结构，字体

面向图像的数字水印算法

空域数字图像水印算法主要是在图像的像素上直接进行的，通过修改图像的像素值嵌入数字水印
- 经典的最低有效位LSB（Least Significant Bits）空域水印算法是以人类视觉系统不易感知为准则，在原始载体数据的最不重要位置上嵌入数字水印信息，该算法的优势是可嵌入的水印容量大，不足是嵌入的水印信息很容易被移除
变换域数字水印算法是在图像的变换域进行水印嵌入的，将原始图像经过正交变换，将水印嵌入到图像的变换系数中去。常用的变换有：
- 离散傅里叶变换DFT（Discrete Fourier Transform），离散余弦变换DCT（Discrete Cosine Transform），离散小波变换DWT（Discrete Wavelet Transform）等

面向音频视频的水印算法

根据音频水印载体类，音频水印技术可分为基于原始音频和基于压缩音频两种
- 基于原始音频方法是在未经编码压缩的音频信号中直接嵌入水印
- 基于压缩音频方法是音频信号在压缩编码过程中嵌入水印信息，输出的是含水印的压缩编码的音频信号
视频可以任务是由一系列连续的静止图像在时间域上构成的序列，因此视频水印技术和图像水印技术在应用模式和设计方案上具有相似之处
- 数字视频水印主要包括基于原始视频的水印，基于视频编码的水印和基于压缩视频的水印

NEC算法

NEC算法是由NEC实验室提出，在数字水印算法中占有重要地位
- 水印信号应该嵌入到那些人感觉最敏感的原始数据部分，在频谱空间中，这种重要部分是低音频分量，这样，攻击者在破坏水印过程中，不可避免地会引起图像质量的严重下降
- 水印信号应该由具有高斯分布的独立同分布随机实数序列构成，这使得水印抵抗多拷贝联合攻击的能力大大增强
- NEC算法有较强的健壮性，安全性，透明性等

生理模型算法

人的生理模型包括
- 人类视觉系统HVS（Human Visual System）
- 人类听觉系统HAS（Human Auditory System）
生理模型算法的基本思想是利用人类视听觉的掩蔽现象，从人的生理模型导出可察觉差异JND（Just Noticeable Difference）
利用JND描述来确定图像的各个部分所能容忍的数字水印信号的最大强度
人类视觉对物体的亮度和纹理有不同程度的感知性，可以调节嵌入水印信号的强度
- 光度掩蔽特性：背景越亮，所嵌入水印的可见性就越低
- 纹理掩蔽特性：背景纹理越复杂，所嵌入水印的可见性就越低

内容监管

内容监管是内容安全的另一重要方面，如果监管不善，会对社会造成极大的影响，其重要性不言而喻
内容监管涉及到很多领域，其中基于网络的信息已经成为内容监管的首要目标，一般来说病毒，木马，色情，反动，严重的虚假欺骗以及垃圾邮件等有害的网络信息都需要进行监管

网络信息内容监管

内容监管首先解决的是如何制定监管的总体策略
- 总体策略主要包括监管的对象，监管的内容，对违规内容如何处理等
首先如何界定违规内容（那些需要禁止的信息），即能够禁止违规内容，又不会殃及到合法应用
其次对于可能存在一些违规消息的网站如何处理
- 一种方法是通过防火墙禁止对该网站的全部访问，这样比较安全，但也会禁止掉其他有用内容
- 另一种方法是允许网站部分访问，只是对那些有害网页信息进行拦截，但此种方法存在拦截失败的可能性

内容监管系统模型

依据数据获取策略从互联网上获取相关数据（数据获取）
拿到数据后，对数据进行加工处理（数据调整）
从数据中依据敏感特征的定义进行敏感特征搜索（敏感特征搜索）
然后依据违规定义进行违规判定（违规判定）
如果不违规，则结束
违规则根据处理策略进行违规处理（违规处理）
违规处理作用回互联网

内容监管策略

内容监管需求是制定内容监管策略的依据
内容监管策略是内容监管需求的形式化表示
- 数据获取策略主要确定监管对象的范围，采用何种方式获取需要检测的数据，例如爬虫和网络抓包
- 敏感特征定义是指用于判断网络信息内容是否违规的特征值，如敏感字符串，图片等
- 违规定义是指依据网络信息内容中包含敏感特征值的情况判断是否违规的规则
- 违规处理策略是指对于违规载体（网站或网络连接）的处理方法，如禁止对该网站的访问，拦截有关网络连接等

数据获取

数据获取技术分为主动式和被动式两种形式
- 主动式数据爬取是指通过访问有关网络连接而获得其数据内容
  - 网络爬虫是典型的主动式网络数据获取技术
- 被动式数据获取是指在网络的特定位置设置探针，获取流经该位置的所有数据，被动式数据获取主要解决两个方面的问题
  - 探针位置的选择
  - 对出入数据报文的采集

主动数据获取的例子：爬虫

网络爬虫从一个或多个初始网页的URL开始根据一定的网页分析算法，过滤与主体无关的链接，并将所需的链接保存在等待抓取的URL队列中，然后，根据一定的搜索策略从URL队列中选择下一步要抓取的网页URL，抓来的网页存入数据库，重复上述过程，直到满足某一条件时停止

被动数据获取的例子：探针

将探针部署到边界路由器或防火墙上，可以抓取到子网A和子网B中的全部的网络流量

网络报文处理流程

网络数据报文被探针上的网卡即网络适配器（工作模式为混杂模式）抓捕
抓捕到的网络数据包按照协议栈进行处理，首先对分片的IP数据报文进行重组，对TCP的流进行还原，这样就能够提取到应用层的数据
提取到应用层数据后可以进行数据调整及敏感信息的检索等处理

数据调整

数据调整主要指针对数据获取模块（主要还是协议栈）提交的应用层数据进行筛选，组合，解码以及文本还原等工作，数据调整的输出结果用于敏感特征搜索等

拿到应用层数据后进行数据调整
首先进行筛选，可以根据端口进行筛选，可以按照协议类型进行筛选
不满足筛选条件的直接丢弃
满足筛选条件的数据进行进一步加工，例如进行组合，解码，提取原始内容后提交给上层处理程序

敏感特征搜索

敏感特征搜索实际上就是依据实现定义好的敏感特征策略。在待查内容中识别所包含的敏感特征值，搜索的结果可以作为违规判定的依据
敏感特征值可以是文本字符串，图像特征，音频特征等，他们分别用于不同信息载体的内容的敏感特征识别
目前基于文本内容的识别已经比较成熟并达到可实用化，而图像，音频特征的识别还存在着一些问题，如识别率较低，误报率较高等，难以实现全面有效的程序自动监管，更多时候需要人的介入
基于文本特征的敏感信息搜索最主要的是串匹配

串匹配

基于文本内容的敏感特征分为敏感字符串和敏感表达式两种，均以串匹配为核心技术
串匹配也称为模式匹配，指在一个字符串中查找是否包含特定子串，子串也被称为模式或关键字
- 单模式匹配：在一个字符串中查找某个特定子串，找到则返回子串出现的位置，否则匹配失败，常用的算法有BF，KMP，BM，BMH算法等
- 多模式匹配：在一个字符串中查找某些特定子串，找到则返回子串们出现的位置，否则匹配失败，常用的算法有AC，ACBM，Manber-Wu算法

违规判断及处理

违规判断程序的设计思想
- 将敏感特征搜索结果与违规定义相比较，判断该网络信息内容是否违规
违规定义就是说明违规内容应具有的特征，即敏感特征
- 每个敏感特征由敏感特征值和特征值敏感度（某特征值对违规的影响程度，也可以看做权重）两个属性来描述
- 敏感特征的搜索结果具有敏感特征值的广度（包含相异敏感特征值的数量）和敏感特征值的深度（包含同一特征值的数量）两个指标
违规处理目前主要采用的方法与入侵检测相似
- 报警就是通知有关人员违规事件的具体情况
- 封锁IP一般是指利用防火墙等网络设备阻断对有关IP地址的访问
- 拦截连接是针对某个特定访问连接实施阻断，向通讯双方发送RST数据包阻断TCP连接，就是常用的拦截方法

垃圾邮件处理

目前主要采用的技术有过滤，验证查询和挑战
- 过滤（Filter）技术是相对来说最简单，最直接的垃圾邮件处理技术，主要用于邮件接收系统来辨别和处理垃圾邮件
- 验证查询技术主要是指通过密码验证以及查询等方法来判断邮件是否为垃圾邮件
  - 包括反向查询，雅虎的DKIM（Domain Keys Identified Mail）技术，Microsoft的SenderID技术，IBM的FairUCE（Fair use of Unsolicited Commercial Email）技术以及邮件指纹技术等
- 基于挑战的反垃圾邮件技术是指通过延缓邮件处理过程，来阻碍发送大量邮件

基于过滤技术的反垃圾邮件系统

邮件服务器端和邮件客户端通过POP3协议收信
可以通过网络流量拷贝抓包，把电子邮件通过协议还原技术得到
通过上述三种方式得到待处理邮件队列
然后进行过滤操作，过滤操作分为三步：白名单过滤，黑名单过滤，内容过滤
白名单：在白名单里面的邮件接收，不在白名单里面的继续筛选
黑名单：在黑名单里面的邮件拒绝，不在黑名单里面的继续筛选
内容过滤通过定义的规则和关键词进行筛选过滤，命中则拒绝，否则是正常邮件

邮件内容过滤技术

关键词过滤：创建一些与垃圾邮件有关的单词表，在邮件内容中搜索是否包含单词表中的关键词
基于规则的过滤：建立一个规则库，可以使用单词，词组，位置，大小，附件等特征形成过滤规则
基于贝叶斯算法的过滤：是基于评分的过滤器。首先通过垃圾邮件样本进行机器学习，得到垃圾邮件的特征元素（最简单的特征就是单词,最复杂的特征就是短语）；同理，通过对大量正常邮件样本的机器学习，得到正常邮件的特征元素，针对每个特征给出一个正分数；另一方面检查正常邮件的特征，给出负分数。最后每个邮件整体就得到一个垃圾邮件总分，通过这个分数来判断是否为垃圾邮件

信息安全管理

概述

当今社会已经进入到信息化社会，其信息安全是建立在信息社会的基础设施及信息服务系统之间的互联，互通，互操作意义上的安全需求上
安全需求可以分为安全技术需求和安全管理需求两个方面
管理在信息安全中的重要性高于安全技术方面，“三分技术，七分管理”的理念在业界已经得到共识

信息安全管理体系

信息安全管理体系ISMS（Information Security Management System）是从管理学惯用的过程模型PDCA（Plan，Do，Check，Act）发展演化而来

Plan：建立ISMS
Do：实施和运作ISMS
Check：监视和评审ISMS
Act：维护和改进ISMS

上述四个步骤贯穿了信息安全管理体系的整个生命周期
建立的前提是相关组织部门的信息安全需求和期望
管理的效果会作用在相关组织部门，达到管理状态下的信息安全

ISMS

信息安全管理体系（ISMS）是一个系统化，过程化的管理体系，体系的建立不可能一蹴而就，需要全面，系统，科学的风险评估，制定保证和有效监督机制
ISMS应该体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程的动态调整，从而确保整个安全体系在有效管理控制下，不断改进完善以适应新的安全需求
在建立信息安全管理体系的各环节中
- 安全需求的提出是ISMS的前提
- 运作实施，监视评审和维护改进是重要步骤
- 可管理的信息安全是最终目标
在各环节中，风险评估管理，标准规范管理，制度法规管理这三项工作直接影响到整个信息安全管理体系是否能够有效实行，因此也具有非常重要的地位

风险评估

风险评估（Risk Assessment）是指对信息资产所面临的威胁，存在的弱点，可能导致的安全事件以及这三者的综合作用所带来的风险进行评估
作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要手段
风险评估管理就是指在信息安全管理体系的各环节中，合理地利用风险评估技术对信息系统及资产进行安全性分析及风险管理，为规划设计完善信息安全解决方案提供基础资料，属于信息安全管理体系的规划环节

标准规范管理

标准规范管理可以理解为在规划实施信息安全解决方案时，各项工作遵循国际或国家相关标准规范，有完善的检查机制
国际标准可以分为互操作标准，技术与工程标准，信息安全管理与控制标准三类
- 互操作标准主要是非标准组织研发的算法和协议经过自发的选择过程，成为了所谓的事实标准，如AES,RSA,SSL,以及通用脆弱性描述标准CVE等
- 技术与工程标准主要指有标准化组织制定的用于规范信息安全产品，技术和工程的标准，如信息技术安全评估通用评测准则（ISO 15408），安全系统工程能力成熟度模型（SSE CMM），美国信息安全白皮书（TCSEC）等
- 信息安全管理与控制标准是指有标准化组织制定的用于直到和管理信息安全解决方案实施过程的标准规范，如信息安全管理体系标准（BS-7799），信息安全管理标准（ISO 13335）以及信息和相关技术控制目标（COBIT）等

制度法规管理

制度法规管理是指宣传国家及各部门制定的相关制度法规，并监督有关人员是否遵守这些制度法规
每个组织部门（如企事业单位，公司以及各种团体等）都有信息安全规章制度，有关人员严格遵守这些规章制度对于一个组织部门的信息安全来说十分重要，而完善的规章制度和健全的监管机制更是必不可少
除了有关的组织部门自己制定的相关规章制度之外，国家的信息安全法规更是有关人员必须遵守的
- 目前在计算机系统，互联网以及其他信息领域中，国家制定了相关法律法规进行约束管理，如果触犯，势必受到相应的惩罚

立法现状
略

道德规范
略

信息安全风险管理

信息安全风险管理是信息安全管理的重要部分
- 是规划，建设及完善信息管理体系的基础和主要目标
- 其核心内容包括风险评估和风险控制两个部分
风险管理的概念来源于商业领域，主要指对商业行为或目的投资的风险进行分析，评估和管理，力求以最小的风险获得最大的收益

风险评估

风险评估主要包括风险分析和风险评价
- 风险分析是指全面的识别风险来源及类型
- 风险评价是指依据风险评估标准估算风险水平，确定风险的严重性
- 一般认为，与信息安全风险有关的因素包括威胁，脆弱性，资产，安全控制等
  - 资产（Assets）是指对组织具有价值的信息资源，是安全策略保护的对象
  - 威胁（Threat）主要指可能导致资产或组织受到损害的安全事件的潜在因素
  - 脆弱性（Vulnerability）一般是指资产中存在的可能被潜在威胁所利用的缺陷或薄弱点，如操作系统漏洞等
  - 安全控制（Security Control）是指用于消除或减低安全风险所采取的某种安全行为，包括措施，程序及机制等

信息安全风险因素及相互关系

资产具有脆弱性
脆弱性和资产增加安全风险
脆弱性被利用则产生安全事件
安全事件增加安全风险并损害资产
资产会产生安全需求
安全风险增加安全需求
针对安全需求要实施安全控制
安全控制会减少安全风险并消除威胁
威胁会增加安全风险并演变为安全事件

风险描述

风险可以描述成关于威胁发生概论和发生时破坏程度的函数，用数学符号描述如下：
- A代表资产
- T代表威胁
- V代表脆弱性

由于某部门可能存在很多资产和相应的脆弱性，故该组织的资产总风险可以描述如下：

上述关于风险的数学表达式，只是给了风险评估的概念性描述

风险评估的任务

识别组织面临的各种风险，了解总体的安全状况
分析计算风险发生的概率，预估可能带来的负面影响
评价组织承受风险的能力，确定各项安全建设的优先等级
推荐风险控制策略，为安全需求提供依据
- 风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统，特定系统组件和服务等

常见的风险评估方法

基线评估
详细评估
组合评估

基线评估

有关组织根据实际情况（所在行业，业务环境和性质等），对信息系统进行安全基线检查（将现有的安全措施进行比较，计算之间的差距），得出基本的安全需求，给出风险控制方案
所谓的基线就是在诸多标准规范中确定的一组安全控制措施或者惯例，这些措施和惯例可以满足特定环境下的信息系统的基本安全需求，使信息系统达到一定的安全防护水平
组织可以采用国际标准和国家标准（BS 7799-1，ISO 13335-4），行业标准或推荐（德国联邦安全局IT基线保护手册）以及来自其他具有相似商务目标和规模的组织的惯例作为安全基线
基线评估的优点是需要的资源少，周期短，操作简单，是经济有效的风险评估途径，缺点，比如基线水准的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到所需的安全需求

详细评估

指组织对信息资产进行详细识别和评价，对可能引起风险的威胁和脆弱性进行充分的评估，根据全面系统的风险评估结果来确定安全需求及控制方案
- 这种评估途径集中体系了风险管理的思想，全面系统地评估资产风险，在充分了解信息安全具体情况下，力争将风险降低到可接受的水平
- 详细评估的优点在于组织可以通过详细的风险评估对信息安全风险有较为全面的认识，能够准确确定目前的安全水平和安全需求
- 详细的风险评估可能是一个非常耗费资源的过程，包括时间，精力和技术，因此，组织应该仔细设定待评估的信息资产范围，以减少工作量

组合评估

组合评估要求首先对所有的系统进行一次初步的风险评估，依据各信息资产的实际价值和可能面临的风险，划分出不同的评估范围，对于具有较高重要性的资产部分采取详细风险评估，而其他部分采用基线风险评估
- 组合评估将基线评估和详细评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被优先关注
- 组合评估的缺点是如果初步的风险评估不够准确，可能导致某些本需要详细评估的系统被忽略

风险控制

风险控制是信息安全风险管理在风险评估完成之后的另一项重要工作
任务是对风险评估结论及建议中的各项安全措施进行分析评估，确定优先级以及具体实施的步骤
风险控制的目标是将安全风险降低到一个可接受的范围内
- 消除所有风险往往是不切实际的，甚至也是近乎不可能的
- 安全管理人员有责任运用最小成本来实现最合适的控制，使潜在安全风险对该组织造成的负面影响最小化

风险控制手段

风险承受：指运行的信息系统具有良好的健壮性，可以接受潜在的风险并稳定运行，或采取简单的安全措施，就可以把风险降低到一个可接受的级别
风险规避：指通过消除风险出现的必要风险（如识别出风险后，放弃系统的某项功能或关闭系统）来规避风险
风险转移：指通过使用其他措施来补偿损失，从而转移风险，如购买保险

安全风险系统判断过程

首先判断资产是否存在脆弱性，没有则无风险
如果有脆弱性，再判断是否可能被利用，如果不能被利用，则无风险
如果可能被利用，则存在可被利用脆弱性的风险
如果同时存在威胁源，则存在威胁
如果攻击成本大于获利，则无风险
如果预期损失可以被接受，则无风险
否则是不可接受的风险

风险控制具体做法

当存在系统脆弱性时，减少或修补系统脆弱性，降低脆弱性被攻击利用的可能性
当系统脆弱性可被利用时，运用层次化保护，结构化设计以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度
当攻击成本小于攻击可能的获利时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机，如加强访问控制，限制系统用户的访问对象和行为，降低攻击获利
当风险预期损失较大时，优化系统设计，加强容错容灾以及运用非技术类保护措施来限制攻击的范围，从而将风险降低到可接受的范围

具体的风险控制措施

NIST SP800系列标准

第一步对实施控制的优先级进行排序，在分配资源时，对标有不可接受的高等级的风险项应该给予较高的优先级
第二步评估所建议的安全选项，风险评估结论中建议的控制措施对于具体的单位及其信息系统可能不是最合适或最可行的，因此要对所建议的控制措施的可行性和有效性进行分析，选出最适当的控制措施
第三步进行成本效益分析，为决策管理层提供风险控制措施的成本效益分析报告
第四步在成本效益分析的基础上，确定即将实施的成本有效性最好的安全措施
第五步遴选出那些拥有合适的专长和技能，可实现所选控制措施的人员（内部人员或外部合作商），并赋予响应责任
第六步制定控制措施的实现计划，计划内容主要包括风险评估报告给出的风险，风险级别以及所建议的安全措施，实施控制的优先级队列，预期安全控制列表，实现预期安全控制时所需的资源，负责人员清单，开始日期，完成日期以及维护要求等
第七步分析计算出残余风险，风险控制可以降低风险级别，但不会根除风险，因此安全措施实施后仍然存在的残余风险

信息安全标准

互操作，计算与工程，信息安全管理与控制三类标准
- 计算与工程标准最多也最详细，它们有效地推动了信息安全产品的开发和国际化，如CC、SSE-CMM等标准
- 互操作标准多数Wie所谓的“事实标准”，这些标准对信息安全领域的发展同一做出了巨大的贡献，如RSA，DES，CVE标准等
- 信息安全管理与控制标准的意义在于可以有效的直到信息安全具体实施，其中BS 7799就是这类标准的代表。

重要标准

信息技术安全性评估通用标准CC（Common Criteria）是在TCSEC,ITSEC,CTCPEC,FC等信息安全标准的基础上演变而成，ISO/IEC15408
ISO/IEC TR 13335，早前GMITS(Guidelines for the Management of IT Security)，新版乘坐MICTS（Management of Information and Communication Technology Security），为IT安全管理提供建议和支持
SSE-CMM（System Security Engineering Capability Maturity Model）模型是由美国国家安全局NSA领导开发的专门用于系统安全工程能力成熟度模型，评估信息安全工程组织能力与资质，ISO/IEC 21827
CVE（Common Vulnerabilities & Exposures），即通用漏洞及暴露，是IDnA（Intrusion Detection and Assessment）的行业标准
- 为每个信息安全漏洞或已经暴露出来的弱点给出一个通用的名称或标准化的描述
- 可以作为入侵检测或漏洞扫描等工具产品与数据基准
- 2018年，已经有十万余条记录
BS7799是应该标准协会BSI（British Standards Institute）针对信息安全管理而制定的标准，2000年被采纳为ISO/IEC 17799，2007年被采纳为ISO/IEC 27001
COBIT（Control Objectives for information and related Technology，信息及其技术控制目标），由国际信息系统审计与控制协会ISACA提出，目前国际上通用的信息系统审计标准，2012年COBIT 5颁布

信息安全产品标准CC

CC标准是“The Common Criteria for information Technology security evaluation”的缩写，《信息技术安全性通用评估标准》，在美国和欧洲等推出的测评准则上发展起来的

CC文档结构

CC白纸提倡安全工程的思想，通过信息安全产品的开发，评价，使用全过程的各个环境的综合考虑来确保产品的安全性
- 第一部分“简介和一般模型”，介绍CC中的有关术语，基本概念和一般模型以及评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容
- 第二部分“安全功能需求”，这部分以“类，子类（族），组件”的方式提出安全功能要求，对每一个“类”的具体描述除正文外，在提示性附录中还有进一步的解释
- 第三部分“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并同样以“类，子类（族），组件”的方式提出安全保证要求

CC标准的内容

CC标准对安全需求的表现形式给出了一套定义方法，并将安全需求分成产品功能方面的需求和安全保证措施方面的需求两个独立的范畴来定义
在CC标准中，安全需求以类，族，组件的形式进行了定义，这给出了对安全需求进行分组归类的方法

需求定义的用法

安全需求定义中的“类，族，组件”体现的是分类方法，具体安全需求由组件体现，选择需求组件等同选择安全需求
CC标准定义了三种类型的组织结构用于描述产品安全需求
- 安全组件包是把多个安全需求组件结合在一起所得到的组件集合
- 保护轮廓定义是一份安全需求说明书，是针对某一类安全环境确立相应的安全目标，进而定义为实现这些安全目标所需要的安全需求，保护轮廓定义的主要内容包括定义文件简述，产品说明，安全环境，安全目标，安全需求，应用注释和理论依据等
- 安全对象定义是一份安全需求与概要设计说明书，不同的是安全对象定义的安全需求是为某一特定的安全产品而定义的，具体的安全需求可通过引用一个或多个保护轮廓定义来定义，也可从头定义。安全对象定义的组成部分主要包括定义简述，产品说明，安全环境，安全目标，安全需求，产品概要说明，保护轮廓定义的引用声明和理论依据等

CC安全可信度级别

级别	定义	可信度级别描述
EAL1	职能式测试级	表示信息保护问题得到了适当的处理
EAL2	结构式测试级	表示评价时需求得到开发人员的配合，该级提供低中级的独立安全保证
EAL3	基于方法学的测试与检查级	要求在设计阶段实施积极的安全工程思想，提供中级的独立安全保证
EAL4	基于方法学的设计，测试与审查级	要求按照商业化开发惯例实施安全工程思想，提供中高级的独立安全保证
EAL5	半形式化的设计与测试级	要求安全严格的商业化开发惯例，应用专业安全工程技术及思想，提供高等级的独立安全保证
EAL6	半形式化验证的设计与测试级	通过在严格的开发环境中应用安全工程技术来获取高的安全保证，使产品能在高度威胁的环境中使用
EAL7	形式化验证的设计与测试级	目标是使产品能在极度危险的环境中使用，目前只限于可进行形式化分析的安全产品

安全产品的开发

CC标准体现了软件工程和安全工程相结合的思想
信息安全产品必须按照软件工程和安全工程的方法进行开发才能较好地获得预期的安全可信度
安全产品从需求分析到产品的最终实现，整个开发过程可依次分为应用环境分析，明确产品安全环境，确立安全目标，形成产品安全需求，安全产品概要设计，安全产品实现几个阶段
各个阶段顺序进行，前一个阶段的工作结果是后一个阶段的工作基础，有时前面阶段的工作也需要根据后面阶段工作的反馈内容进行完善拓展，形成循环往复的过程
开发出来的产品经过安全性评价和可用性鉴定后，在投入实际使用

产品安全性评价

CC标准在评价安全产品时，把待评价的安全产品及其相关指南文档资料作为评价对象
定义了三种评价类型，分别为安全功能需求评价，安全保证需求评价和安全产品评价
- 安全功能需求评价的目的是证明安全功能需求是完全的，一致的和技术良好的，能用作可评价的安全产品的需求表示
- 安全保证需求评价的目的是证明安全保证需求是完全的，一致的和技术良好的，可作为响应安全产品评价的基础，如果安全保证需求中含有安全功能需求一致性的声明，还要证明安全保证需求能完全满足安全功能需求
- 安全产品评价的目的是要证明被评价的安全产品能够满足安全保证的安全需求

信息安全管理标准BS7799

BS7799是英国标准协会（British Standard Institute，BSI）针对信息安全管理而制定的一个标准，分为两个部分
- 第一部分BS7799-1是《信息安全管理实施细则》也就是国际标准化组织的ISO/IEC 17799标准的部分，主要通过给负责信息安全开发的人员参考使用，分为十一个标题，定义了一百三十三项安全控制（最佳惯例）
- 第二部分BS7799-2是《信息安全管理系统规范》即ISO/IEC 27001，其中详细说明了建立，实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799,其最终目的是建立适合企业所需的信息安全管理体系

信息安全管理实施细则-11个方面定义

在BS7799-1《信息安全管理实施细则》中，从11个方面定义了133项控制措施
1. 安全策略
2. 组织信息安全
3. 资产管理
4. 人力资源安全，
5. 物理和环境安全
6. 通信和操作管理
7. 访问控制
8. 信息系统获取，开发和维护
9. 信息安全事件管理
10. 业务连续性管理
11. 符合性

通信和操作管理，访问控制，信息系统获取，开发和维护与技术关系紧密，其余八项注重与组织整体管理与运营

建立信息安全管理体系的六个基本步骤

定义信息安全策略，信息安全策略是组织信息安全的最高防止，需要根据组织内各个部门的实际情况，分别制定不同的信息安全策略
定义ISMS的范围，ISMS的范围描述了需要进行信息安全管理的领域轮廓，组织根据自己的实际情况在整个范围或个别部门构建ISMS
进行嘻嘻安全风险评估，信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致
信息安全风险管理，根据风险评估的结果进行相应的风险管理
确定控制目标和选择控制措施，控制目标的确定和控制措施的选择原则是费用不超过风险所造成的损失
准备信息安全适用性声明，信息安全适用性声明记录了组织内相关的风险控制目标和针对各种风险所采用的各种控制措施

中国的有关信息安全标准

1985年发布了第一个标准GB4943“信息技术设备的安全”，并于1994年发布了第一批信息安全技术标准
全国信息安全标准化技术委员会（简称信息安全标委会，TC260）于2002年4月15日在北京证书成立。委员会是在信息安全技术专业领域内，从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作，技术委员会主要工作范围包括：安全技术，安全机制，安全服务，安全管理，安全评估等领域的标准化技术工作

有关官网： https://www.tcc260/front/main.html

TC260组织构架

GB17859-1999计算机信息系统安全保护等级划分准则

在我国众多的信息安全标准中，公安部主持制定，国家质量技术监督局发布的中华人民共和国国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》被认为是我国信息安全标准的奠基石
准则将信息系统安全分为五个等级：自主保护级，系统审计保护级。安全标记保护级，结构化保护级，访问验证保护级。

可信计算基

计算机系统内保护装置的总体，包括硬件，固件，软件和负责执行安全策略的综合体
他建立了一个基本的保护环境并提供了一个可信计算系统所要求的附加用户服务

五个安全等级

第一级用户自主保护级：本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力，它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和其他用户组的信息，避免其他用户对数据的非法读写与破坏
第二级系统审计保护级：与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程，审计安全性相关时间和隔离资源，使用户对自己的行为负责
第三级安全标记保护级：本级的信息安全系统可信计算基具有系统审计保护级所有功能，还提供相关安全模型，数据表示以及主体对客体的强制访问控制非形式化描述，具有准确的标记输出信息的能力，消除通过测试发任何错误
第四级结构化保护级：本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制拓展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能够经受更充分的的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理李增强了配置管理控制，系统具有相当的抗渗透能力
第五级访问验证保护级：本级的计算机信息系统可信计算基满足访问监控器需求，访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其负责性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制，系统具有很高的抗渗透能力

信息安全等级保护管理办法

国家信息安全等级保护坚持自主定级，自主保护的原则
信息系统的安全保护等级应当根据信息系统在国家安全，经济建设，社会生活中的重要程度，信息系统遭到破坏后对国家安全，社会秩序，公共利用以及公民，法人和其他组织的合法权益的危害程度等因素确定
信息系统的安全保护分为以下五个等级：
- 等级保护第一级
  - 信息系统遭受破坏后，会对公民法人和其他组织的合法权益造成损坏，但不会损坏国家安全，社会秩序和公共利益
  - 运营，使用单位应当根据国家有关管理规范和技术标准进行保护
- 等级保护第二级
  - 信息系统遭受破坏后，会对公民，法人和其他组织的合法权益产生严重破坏，或者对社会秩序和公共利益造成损害，但不损害国家安全
  - 运营，使用单位应该依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导
- 等级保护第三级
  - 信息系统遭受破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
  - 运营，使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督，检查
- 等级保护第四级
  - 信息系统遭受破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
  - 运营，使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督，检查
- 等级保护第五级
  - 信息系统遭受破坏后，会对国家安全造成特别严重损害
  - 第五级信息系统运营使用单位应当依据国家管理标准，技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督，检查

信息安全法律法规

略

本文标签：信息安全概论笔记

版权声明：本文标题：信息安全概论笔记内容由网友自发贡献，该文观点仅代表作者本人，转载请联系作者并注明出处：http://www.freenas.com.cn/jishu/1726361327h944698.html，本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，一经查实，本站将立刻删除。

技术交流 – FreeNAS中文网

信息安全概论笔记