个人总结,仅供参考,欢迎加好友一起讨论
文章目录
- 架构 - 信息安全技术基础知识
- 考点摘要
- 信息安全基础知识
- 信息安全系统的组成框架
- 信息加密技术
- 对称加密(共享密钥)
- 非对称加密(公开密钥)
- 信息摘要
- 数字签名
- 数字信封
- PKI公钥体系
- 数字证书
- 签证机构CA
- 场景案例
- 访问控制技术
- 访问控制矩阵(ACM)
- 访问控制表(ACL)
- 能力表
- 授权关系表
- 信息安全抗攻击技术
- 密钥选择
- 拒绝服务攻击与防御
- 欺骗攻击与防御
- ARP欺骗
- DNS欺骗
- IP欺骗
- 端口扫描
- 强化TCP/IP堆栈以抵御拒绝服务攻击
- 系统漏洞扫描
- 信息安全的保障体系
- 系统安全保护等级
- 安全风险管理
- 网络安全
- 安全协议
- 网络威胁与攻击
- 防火墙
- 功能
- 分类
- 实现模式
- 入侵检测技术与入侵防护技术
- 补充
- 国家密码算法
- 系统安全体系结构
架构 - 信息安全技术基础知识
考点摘要
- 信息安全基础(★★)
- 信息加密解密技术(★★★)
- 密钥管理技术(★★)
- 访问控制及数字签名技术(★★★)
- 信息安全的保障体系(★)
信息安全基础知识
信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。
| 名称 | 说明 |
|---|---|
| 机密性 | 机密性是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。 |
| 完整性 | 完整性是指网络信息或系统未经授权不能进行更改的特性。 |
| 可用性 | 可用性是指合法许可的用户能够及时获取网络信息或服务的特性。 |
| 可控性 | 可控性是指可以控制授权范围内的信息流向及行为方式。 |
| 可审查性 | 可审查性是指对出现的信息安全问题提供调查的依据和手段。 |
信息安全的范围包括:设备安全、数据安全、内容安全和行为安全。
| 名称 | 说明 |
|---|---|
| 设备安全 | 设备的安全是信息系统安全的首要问题,是信息系统安全的物质基础。 包括3个方面:设备的稳定性、可靠性、可用性。 |
| 数据安全 | 数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏。 包括3个方面:数据的秘密性、完整性、可用性。 |
| 内容安全 | 内容安全是信息安全在政治、法律、道德层次上的要求。 包括3个方面:信息内容政治上健康、符合国家法律法规、符合道德规范。 |
| 行为安全 | 信息系统的服务功能是指最终通过行为提供给用户,确保信息系统的行为安全,才能最终确保系统的信息安全。 行为安全的特性包括:行为的秘密性、完整性、可控性。 |
信息的存储安全包括:信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。
| 名称 | 说明 |
|---|---|
| 信息使用的安全 | 包括用户的标识与验证、用户存取权限限制 |
| 系统安全监控 | 系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和填补安全及保密的漏洞。还应当建立完善的审计系统和日志管理系统,利用日志和审计功能对系统进行安全监控。 |
| 计算机病毒防治 | 计算机网络服务器必须加装网络病毒自动检测系统,以保护网络系统的安全,防范计算机病毒的侵袭,并且必须定期更新网络病毒检测系统。 |
| 数据的加密 | 通信数据需要进行加密操作,确保数据的保密性。 |
| 防止非法攻击 | 需要采取非法攻击的防护与预防。 |
网络安全主要包括:网络安全隐患、网络安全威胁和安全措施的目标。.
| 名称 | 说明 |
|---|---|
| 网络安全隐患 | 物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理。 |
| 网络安全威胁 | 非授权的访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。 |
| 安全措施的目标 | 访问控制、认证、完整性、审计、保密。 |
信息安全系统的组成框架
技术体系:从实现技术上来看,信息安全系统涉及以下技术:
- 基础安全设备包括密码芯片、加密卡、身份识别卡等,此外还涵盖运用到物理安全的物理环境保障技术,建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全,通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。
- 计算机网络安全指信息在网络传输过程中的安全防范,用于防止和监控未经授权破坏更改和盗取数据的行为。通常涉及物理隔离,防火墙及访问控制,加密传输、认证、数字签名、摘要,隧道及VPN技术,病毒防范及上网行为管理,安全审计等实现技术。
- 操作系统安全是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等,能防止非法用户对计算机资源的非法存取,一般用来表达对操作系统的安全需求。操作系统的安全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制,等等。
- 数据库安全可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分,主要涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证可用性、推理控制、多级保护以及消除隐通道等相关技术。
- 终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。
组织机构体系:组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事机构三个模块构成一个体系。
- 机构的设置分为3个层次:决策层、管理层和执行层。
- 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
- 人事机构是根据管理机构设定的岗位,对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。
管理体系:管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理3个部分组成。所谓“三分技术,七分管理”。
- 法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
- 制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。
- 培训管理是确保信息系统安全的前提。
信息加密技术
对称加密(共享密钥)
| 对称加密算法也称为私钥加密算法。是指加密密钥和解密密钥相同。 1 加密强度不高,但效率高,适合较大数据加密 2 密钥分发困难 3 对消息明文进行加密传送 | |
| DES | 替换+移位、56位密钥、64位数据块、速度快、密钥易产生、共享密钥 三重DES:三次加密DES,112位密钥 |
| RC-5 | RSA数据安全公司的很多产品都使用了RC-5 |
| IDEA | 128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低 |
| AES | 高级加密标准,又称Rijndael加密法,是美国政府采用的一种区块加密标准。 |
非对称加密(公开密钥)
| 非对称加密算法也称为公钥加密算法,是指加密密钥和解密密钥完全不同,其中一个为公钥,另一个为私钥,并且不可能从任何一个推导出另一个。它的优点在于可以适应开放性的使用环境,可以实现数字签名与验证。 1 公钥加密,私钥解密 2 加密速度慢 3 可用做数字签名 | |
| RSA | 2048位(或1024位)密钥、计算量极大、难破解,算法的密钥长度为512位 |
| Elgamal | 安全性依赖于计算有限域上离散对数这一难题 |
| ECC | 椭圆曲线算法 |
信息摘要
信息摘要:单向散列函数、固定长度的散列值。(信息摘要的算法不能用来加密解密)
常用的消息摘要算法有MD5,SHA等,市场上广泛使用的MD5,SHA算法的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性高于MD5.
数字签名
目前主要是使用基于非对称加密算法的数字签名,包括普通数字签名和特殊数字签名
数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生,数字签名为了证明自己发的,用私钥加密,公钥解密
- 接收者能够核实发送者对数据的签名,这个过程称为鉴别
- 发送者事后不能抵赖对数据的签名,这称为不可否认(不能抵赖)
- 接收者不能伪造对数据的签名,这称为数据的完整性
- 生成摘要的目的是防止被篡改(无法篡改)
- 对摘要进行加密的目的是为了防止抵赖
发送者发送数据时,使用发送者的私钥进行加密,接收者收到数据后,只能使用发送者的公钥进行解密,这样就能唯一确定发送方,这也是数字签名的过程,但无法保证机密性。
数字信封
用接收者的公钥去加密一个对称密钥,并发送给对方去,同时原文使用公钥加密公钥是数字,这个数字是否被黑客改过都不知道。通过数字证书把公钥保护起来。
数字信封就是发送方将原文用对称密钥进行加密,将对称密钥用非对称方式加密后传给接收方的过程。
接收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得到原文。
数字信封运用了对称加密技术和非对称加密技术,本质是使用对称密钥加密数据,非对称密钥加密对称密钥,解决了对称密钥的传输问题。
PKI公钥体系
公钥基础设施PKI,是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
数字证书
数字证书又称为数字标识,是由认证中心(Certificate Authority, CA)签发的对用户的公钥的认证。数字证书的内容应包括CA的信息、用户信息、用户公钥、CA签发时间和有效期等。目前,国际上对证书的格式和认证方法遵从X.509体系标准。
Https有效地解决了钓鱼网站的问题。银行使用的USBKey就是数字证书,USBKey里面还包括了你的私钥信息
数字证书内容:
- 证书的版本信息
- 证书的序列号,每个证书都有一个唯一的证书序列号
- 证书所使用的签名算法
- 证书的发行机构名称,命名规则一般采用X.500格式
- 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049
- 证书所有人的名称,命名规则一般采用X.500格式
- 证书所有人的公开密钥
- 证书发行者对证书的签名
签证机构CA
负责签发证书、管理和撤销证书。是所有注册用户所信赖的权威机构,CA在给用户签发证书时要加上自己的数字签名,以保证证书信息的真实性。任何机构可以用CA的公钥来验证该证书的合法性。
场景案例
场景描述:
- 客户访问银行服务器,首先先从银行服务器下载CA中心给银行服务器的证书
- 下载证书后,提取证书的公钥,前提需要验证数字证书是否可信
- 在客户机会生成随机密钥(对称密钥),用提取的公钥进行加密,再传递给银行服务器
- 银行服务器接收到随机密钥,之后所有的操作都通过随机密钥加密传输,提升安全性
基本结构:
- CA下有RA进行注册审批
- RA下会有受理点进行业务受理
访问控制技术
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素,即主体、客体和控制策略。
访问控制包括认证、控制策略实现和审计3方面的内容。
访问控制矩阵(ACM)
访问控制矩阵(ACM)是通过矩阵形式表示访问控制规则和授权用户权限的方法。主体作为行,客体作为列。
访问控制表(ACL)
访问控制表(ACL)目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵。
能力表
能力表对应于访问控制表,这种实现技术实际上是按行保存访问矩阵。每个主体有一个能力表,是该主体对系统中每一个客体的访问权限信息。使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限。
授权关系表
授权关系表每一行(或者说元组)就是访问矩阵中的一个非空元素,是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序,查询时就可以得到能力表的效率;如果按客体排序,查询时就可以得到访问控制表的效率。
信息安全抗攻击技术
密钥选择
为对抗攻击者的攻击,密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。
拒绝服务攻击与防御
拒绝服务攻击有许多种,网络的内外部用户都可以发动这种攻击。
- 内部用户可以通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。
- 外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。
- 分布式拒绝服务DDoS攻击是传统DoS攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DoS受网络资源的限制和隐蔽性两大缺点。
拒绝服务攻击的防御方式:
- 加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串,就可以确定攻击服务器和攻击者的位置。
- 设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。
- 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
- 尽可能的修正己经发现的问题和系统漏洞。
欺骗攻击与防御
ARP欺骗
正常ARP原理:
主机A想知道局域网内主机B的MAC地址,那么主机A就广播发送ARP请求分组,局域网内主机都会收到,但只有B收到解析后知道是请求自己的MAC地址,所以只有B会返回单播的响应分组,告诉A自己的MAC地址。A收到响应分组后,会建立一个B的IP地址和MAC地址映射,这个映射是动态存在的,如果一定时间AB不再通信,那么就会清空这个地址映射,下次如果还要通信,则重复这个过程。
ARP欺骗原理:
上述过程主机A是不管其有没有发送过请求广播分组的,而是只要收到了返回的分组信息,就会刷新lP地址和MAC地址的映射关系,这样就存在安全隐患,假设有主机C,模拟返回分组格式,构造正确的IP地址和自己的MAC地址映射,A收到后也会刷新映射关系,那么当A再次向B发送信息时,实际就发送到了C的MAC地址,数据就被C监听到了。
ARP欺骗的防范措施:
- 在winxp下输入命令: arp-s gate-way-ip gate-way-mac固化arp表,阻止arp欺骗。
- 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
- 采用双向绑定的方法解决并且防止ARP欺骗。
- ARP防护软件“ARPGuard”。通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。
DNS欺骗
DNS欺骗原理:
DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,改掉了域名和IP地址的对应关系。
DNS欺骗的检测:
- 被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了DNS欺骗攻击。
- 虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗攻击者。如果向一个非DNS服务器发送请求包,正常来说不会收到任何应答,如果收到了应答包,则说明受到了攻击。
- 交叉检查查询:在客户端收到DNS应答包之后,向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字,如果二者一致说明没有受到攻击,否则说明被欺骗。
IP欺骗
IP欺骗的原理和流程:
- 首先使被冒充主机host b的网络暂时瘫痪,以免对攻击造成干扰。
- 然后连接到目标机host a的某个端口来猜测ISN基值和增加规律。
- 接下来把源址址伪装成被冒充主机host b,发送带有SYN标志的数据段请求连接。
- 然后等待目标机host a发送SYN+ACK包给已经瘫痪的主机,因为现在看不到这个包。
- 最后再次伪装成主机host b向目标主机hosta 发送的ACK,此时发送的数据段带有预测的目标机的ISN+1。
- 连接建立,发送命令请求。
IP欺骗的防范:
- 可以删除UNIX中所有的/etc/hosts.equiv 、$HOME/.rhosts文件。
- 修改/etc/inetd.conf 文件,使得RPC机制无法应用。
- 还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。
端口扫描
端口扫描就是尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复(见三次握手中的第二次),则说明该端口开放,即为“活动端口”。
扫描原理分类:
-
全TCP连接。这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。
-
半打开式扫描(SYN扫描)。在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求。
如果目标计算机的回应TCP报文中SYN=1 ACK=1,则说明该端口是活动的,接着扫描主机传送一个RST给目标主机拒绝建立TCP连接,从而导致三次握手的过程失败。
如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下,扫描主机不用做任何回应。
-
FIN扫描。依靠发送FIN来判断目标计算机的指定端口是否是活动的。
发送一个FIN=1的TCP报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST 报文。
如果当FIN报文到一个活动的端口时,该报文只是被简单的丢掉,不会返回任何回应。
从FIN扫描可以看出,这种扫描没有涉及任何TCP连接部分。因此,这种扫描比前两种都安全,可以称之为秘密扫描。
-
第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的,该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。
强化TCP/IP堆栈以抵御拒绝服务攻击
- 同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。可以通过修改注册表防御SYN Flooding 攻击。
- ICMP攻击:ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如,前面提到的“Ping of Death"攻击就是利用操作系统规定的ICMP数据包的最大尺寸不超过64KB这一规定,达到使TCP/IP堆栈崩溃、主机死机的效某。寄以通过修改注册表防御ICMP攻击。
- SNMP攻击:SNMP还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,就能完全接管你的网络。可以通过修改注册表项防御。系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。
系统漏洞扫描
- 基于网络的漏铜扫描
- 基于主机的漏铜扫描
信息安全的保障体系
系统安全保护等级
安全风险管理
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。
信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
网络安全
安全协议
- 物理层的隔离:防止无线信号传播出去。
- 物理层的屏蔽:使用专用的网络,比如军用网络,公安专网。
- PPTP和L2TP:在通用的互联网基础之上开出两条安全的通道。
- IPSec是针对IP包加密的协议(互联网安全协议)。它将原有的IP包加上密之后再传,进一步提高了IP数据包的安全性。针对IPv4和IPv6。
- PGP是一套用于信息加密、验证的应用程序,基于RSA公钥加密体系的邮件加密软件。PGP既可以用于邮件,也可以用于文件加密。基于RSA的邮件加密,还可用于文件存储加密。
- SSL安全套接字协议,用户使用持有证书的因特网浏览器访问服务器,主要任务是进行数据加密,并对通信会话过程进行安全保护,用于在因特网上传输机密文件也可以用与安全电子邮件。工作在传输层至应用层。传统的Http协议和SSL的结合,就有了Https,它保证了安全性,一般用在银行网络中。
- SET,安全电子交易协议,多用于电子商务,身份认证。
- TLS,传输层安全协议。
网络威胁与攻击
| 被动攻击:收集信息为主,破坏保密性。 | ||
|---|---|---|
| 攻击类型 | 攻击名称 | 描述 |
| 被动攻击 | 窃听/网络监听 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 |
| 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 | |
| 非法登录 | 有些资料将这种方式归为被动攻击方式。 | |
| 主动攻击:中断(破坏可用性),篡改(破坏完整性),伪造(破坏真实性)。 | ||
|---|---|---|
| 攻击类型 | 攻击名称 | 描述 |
| 主动攻击 | 假冒身份 | 通过欺骗通信系统或用户达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的,黑客大多是采用假冒进行攻击。 |
| 抵赖 | 这是一种来自用户的攻击,比如否认自己曾经发布过的某条消息,伪造一份对方来信等。 | |
| 旁路控制 旁路攻击 | 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 | |
| 重放攻击 | 所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。加时间戳能识别并应对重放攻击。 | |
| DOS攻击 | 拒绝服务攻击,它是对信息或其他资源的合法访问被无条件地阻止。 | |
| DDOS攻击 | 分布式拒绝服务攻击,它在DOS攻击基础之上利用控制成百上千台计算机,组成一个DDOS攻击群,同一时刻对目标发起攻击。 | |
防火墙
功能
-
访问控制功能。
这是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护内部网络的资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源,包括服务控制、方向控制、用户控制和行为控制等功能。
-
内容控制功能。
根据数据内容进行控制,例如,防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地Web服务器中一部分信息。
-
全面的日志功能。
防火墙需要完整地记录网络访问情况,包括内、外网进出的访问,以检查网络访问情况。一旦网络发生了入侵或者遭到了破坏,就可以对日志进行审计和查询。
-
集中管理功能。
在一个安全体系中,防火墙可能不止一台,因此,防火墙应该是易于集中管理的。
-
自身的安全和可用性。
防火墙要保证自身的安全,不被非法侵入,保证正常的工作。如果防火墙被侵入,安全策略被修改,这样,内部网络就变得不安全。同时,防火墙也要保证可用性,否则网络就会中断,网络连接就会失去意义。
-
流量控制。
针对不同的用户限制不同的流量,可以合理使用带宽资源。
-
网络地址转换(Network Address Translation, NAT)。
NAT是通过修改数据包的源地址(端口)或者目的地址(端口)来达到节省IP地址资源,隐藏内部IP地址功能的一种技术。
-
VPN(Virtual Private Network,虚拟专用网)。
只利用数据封装和加密技术,使本来只能在私有网络上传送的数据能够通过公共网络进行传输,使系统费用大大降低。
防火墙是一种静态安全技术。网络层防火墙效率高但工作的层次较低;应用层正好相反,应用层防火墙效率低但工作层次高。防火墙工作层次:工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作者效率越低,则安全性越高。
分类
电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙
实现模式
双宿/多宿主机模式,屏蔽主机模式,屏蔽子网模式
入侵检测技术与入侵防护技术
入侵检测系统(Intrusion-detection system, IDS)一般有两种分类方法:
- 基于数据源的分类。IDS首先需要解决的问题是数据源,或者说是审计事件发生器。IDS根据其检测数据来源可分为两类,分别是基于主机的IDS和基于网络的IDS。基于主机的IDS必须具备一定的审计功能,并记录相应的安全性日志;基于网络的IDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内和对外的数据包。
- 基于检测方法的分类。从检测方法上可以将IDS分为异常检测和误用检测两种类型。异常检测也称为基于行为的检测,首先建立用户的正常使用模式(即知识库),标识出不符合正常模式的行为活动;误用检测也称为基于特征的检测,建立已知攻击的知识库,判别当前行为活动是否符合已知的攻击模式。
防火墙与入侵检测的区别:
- 入侵检测可以良好的解决对内发起的攻击,可弥补防火墙的不足。
- 入侵检测更加侧重于监控,同时监控内外部网络。
- 防火墙是被动的策略,而入侵检测采用的是以攻为守的策略,它所提供的数据不仅可用来发现合法用户是否滥用职权,还可以追究入侵者法律责任。提供有效证据。
入侵检测技术4个模块(系统个构成):
- 事件产生器
- 事件分析器
- 事件数据库
- 响应单元
入侵检测技术分析方法:
- 模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
- 统计分析:首先给系统对象建立正常使用时的特征文件,这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
- 数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
补充
国家密码算法
| 算法名称 | 特性描述 | 备注 |
|---|---|---|
| SM1 | 对称加密,分组长度和密钥长度都为128比特 | 广泛应用于电子政务、电子商务及国民经济的各个应用领域 |
| SM2 | 非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法 | 国家标准推荐使用素数域256位椭圆曲线 |
| SM3 | 杂凑算法,杂凑值长度为256比特 | v适用于商用密码应用中的数字签名和验证 |
| SM4 | 对称加密,分组长度和密钥长度都为128比特 | 适用于无线局域网产品 |
| SM9 | 标识密码算法 | 不需要申请数字证书,适用于互联网应用的各种新兴应用的安全保障 |
系统安全体系结构
| 物理环境的安全性 | 包括通信线路、物理设备和机房的安全等 |
| 操作系统的安全性 | 主要表现在3个方面,一是由操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制和系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁 |
| 网络的安全性 | 主要体现在计算机网络方面,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等 |
| 应用的安全性 | 由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。此外,还包括病毒对系统的威胁 |
| 管理的安全性 | 包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等 |
