网络安全

网络安全_网络安全



1. 网络安全协议

考点分析:各层网络安全协议、SSL/SSH/SET等协议特点、PGP协议技术原理及传输过程

物理层主要使用物理手段隔离、屏蔽物理设备等,其他层都是靠协议来保证传输的安全,具体各层的安全协议如下图示

网络安全_1024程序员节_02


  • SSL协议:用于网银交易,被设计为加强Web安全传输(HTTP/HTTPS)的协议
  • SSH协议:被设计为加强Telnet/FTP安全的传输协议
  • SET安全电子交易协议:主要应用于B2C模式中保障支付信息的安全性。协议本身比较复杂,设计比较严格,安全性高,能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善
  • PGP协议:安全电子邮件协议,多用于电子邮件传输的安全协议,是比较完美的一种安全协议。提供数据加密和数字签名两种服务,数据加密机制可以应用于本地存储的文件,也可以应用于网络上传输的电子邮件;数字签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥整数进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性验证


发送方A有三个密钥:A的私钥、B的公钥、A生成的一次性对称密钥
接收方B有两个密钥:B的私钥、A的公钥
– 发送方原理:A使用安全散列算法(Secure Hash Algorithm,SHA),将明文生成信息摘要,然后使用A的私钥,对信息摘要进行数字签名,将摘要和明文都用一次性对称密钥加密,然后将对称密钥用B的公钥加密,最终将这整套数据传输到互联网上
– 接收方原理:B接收到密文后,首先使用B的私钥解密,获取一次性对称密钥,然后使用对称密钥来解密密文,获取经过数字签名的信息摘要和明文,接着使用A的公钥核实数字签名,得到信息摘要,再使用SHA算法,将明文生成信息摘要,和接收到的信息摘要比对,若无误,则安全


网络安全_1024程序员节_03

网络安全_网络安全_04

2. 网络安全技术

考点分析:防火墙技术原理、入侵检测技术、入侵防御技术、杀毒软件

2.1 防火墙技术

防火墙是在内部网络和外部因特网之间增加的一道安全防护措施,分为网络级防火墙和应用级防火墙


  • 网络级防火墙:层次低,但是效率高,因为其使用包过滤和状态监测手段,一般只检验网络包外在属性(起始地址、状态)是否异常。若异常则过滤掉,不与内网通讯,因此对应用和用户是透明的。但是如果遇到伪装的危险数据包就没办法过滤。此时就要依靠应用级防火墙
  • 应用级防火墙:层次高,但是效率低,因为应用级防火墙会将网络包拆开,具体检查里面的数据是否有问题,会消耗大量时间,造成效率低下,但是安全强度高
    网络安全_1024程序员节_05

上图中的屏蔽子网的方法,是在内网和外网之间增加了一个屏蔽子网,相当于多了一层网络,称为DMZ(非军事区)。这样内外网通讯必须多经过一道防火墙,屏蔽子网中一般存放的是邮件服务器、WEB服务器等内外网数据交互的服务器。可以屏蔽掉一些来自内部的攻击,但是完全来自系统内部服务器的攻击还是无法屏蔽

2.2 入侵检测系统

防火墙技术主要分隔来自外围的威胁,却对来自内网的直接攻击无能为力,此时就要用到入侵检测技术(Intrusion Detection System,IDS)。入侵检测技术位于防火墙之后的第二道屏障,作为防火墙技术的补充

IDS的原理:监控当前系统/用户行为,使用入侵检测分析引擎进行分析,这里包含一个知识库系统,囊括了历史行为、特定行为模式等操作,将当前行为和知识库进行匹配,就能检测出当前行为是否是入侵行为,若是入侵,则记录证据并上报给系统和防火墙,交由它们处理

核心的入侵检测技术依赖于知识库,检测到入侵后,并不能直接处理,只能记录证据和案发现场,类似于监视器,然后上报给系统和防火墙进行处理

2.3 入侵防御系统

IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析,而入侵防御系统(Intrusion Prevention System,IPS)能够提前发现入侵行为,在其还没有进入安全网络之前就防御

2.4 杀毒软件

杀毒软件用于检测和解决计算机病毒,与防火墙和IDS要区分,计算机病毒要靠杀毒软件,防火墙是处理网络上的非法攻击

2.5 蜜罐系统

伪造一个蜜罐网络引诱黑客攻击,蜜罐网络被攻击不影响安全网络,并且可以借此了解黑客攻击的手段和原理,从而对安全系统进行升级和优化

3. 计算机病毒与木马

考点分析:计算机病毒和木马的定义和分类、代表性病毒特点

3.1 计算机病毒和木马

定义:编制或者在计算机程序中插入的破坏计算机功能或破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码

特点:具有传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性、未知性

病毒分类见下表示

类型

特征

危害

文件型

感染DOS下的COM,EXE文件

随着DOS的消失已逐步消失,危害越来越小

引导型

启动DOS系统时,病毒被触发

随着DOS的消失已逐步消失,危害越来越小

宏病毒

针对office的一种病毒,由office的宏语言编写

只感染office文件

VB脚本病毒

通过IE浏览器激活

用户浏览网页时会感染,清除较容易

蠕虫

有些采用电子邮件附件的方式发出,有些利用操作系统漏洞进行攻击

破坏文件、造成数据丢失,使系统无法正常运行,是目前危害性最大的病毒

木马

通常是病毒携带的一个附属程序

夺取计算机控制权

黑客程序

一个利用系统漏洞进行入侵的工具

通常会被计算机病毒所携带,用以进行破坏

3.2 代表性病毒实例

  • 蠕虫病毒(感染EXE文件):熊猫烧香、罗密欧与朱丽叶、恶鹰、尼姆达、冲击波、欢乐时光
  • 木马:QQ消息尾巴木马、特洛伊木马、X卧底、冰河
  • 宏病毒(感染Word/Excel等文件中的宏变量):美丽沙、台湾1号
  • CIH病毒:史上唯一破坏硬件的病毒
  • 红色代码:蠕虫病毒 + 木马