前言:本文用于网络安全课期末复习资料,都是从老师上课讲的ppt和课本总结的,可能不太全,后面有一部分习题(填空和简答)。如果需要word版可以找我要。
信息安全的属性:机密性、完整性、可用性。
机密性:对信息资源开放范围的控制。机密性是指保证信息与信息系统不被非授权者所获取与使用。
完整性:保证计算机系统中的信息处于“保持完整或一种未受损的状态”。完整性是指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。为确保数据的完整性,系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。
可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。可用性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
网络防御模型:P2DR模型、APPDRR模型、网络加密模型。
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。
APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
安全攻击分类:被动攻击、主动攻击。
被动攻击:对所传输的信息进行监听和监测,攻击者的目标是获得线路上所传输的信息。常见例子:窃听攻击、流量分析。
主动攻击:指恶意篡改数据流或伪造数据流等攻击行为。主要分为四类:伪装攻击、重放攻击、消息篡改、拒绝服务攻击。
防止重放攻击的方法:时间戳、序号、提问与应答。
网络攻击:攻击者利用网络通信协议设计上的缺陷、操作系统、应用软件或硬件设计上的漏洞、管理上的安全隐患等,通过使用网络命令、下载的攻击软件或攻击者自己编写的程序,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。
常见的网络攻击手段:阻塞类攻击、控制类攻击、探测类攻击、欺骗类攻击、漏洞类攻击、破坏类攻击。
阻塞类攻击通过强制占有网络连接资源、系统资源,使服务器崩溃或资源耗尽无法对外继续提供服务。
**拒绝服务攻击(DoS)**是典型的阻塞类攻击。
目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
控制类攻击是一类试图获得对目标机器控制权的攻击。
最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。
口令截获与破解:是最有效的口令攻击手段,下一步的发展应该是研制功能更强的口令破解程序。
木马技术目前重点研究更新的隐藏技术和秘密信道技术。
缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。
探测类攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。主要包括:扫描技术、结构刺探、系统信息服务收集等。
信息搜集:黑客完成入侵任务的第一步;在本阶段,黑客通过各种途径尽可能地搜集到与攻击目标相关的所有信息。
搜集内容包括:IP地址、地理位置、网络拓扑、用户列表、服务列表,甚至网络管理员的教育背景、家庭背景、作息时间等;以便对目标系统进行总体安全评估,进而拟定出目标系统可能存在的安全缺陷。
欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。
漏洞类攻击:外部攻击者主要利用系统提供的网络服务中的脆弱性进行攻击;内部攻击者主要利用系统内部服务及其配置上的脆弱性。
破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。
密码体制(这个部分应该子在密码学复习),主要考查(能够判断是什么类型的加密):分为对称加密和非对称加密。对称加密:DES、AES;非对称加密:RSA;签名:RSA、DSA;消息认证。
PKI的基本概念:PKI(公钥基础设施 Public Key Infrastructure)是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。
PKI的目的:解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
PKI的任务:确立可信任的数字身份。
PKI的组成:证书机构、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口。
证书机构CA
负责发放和管理数字证书;提供网络身份认证服务、负责证书签发及签发后证书生命周期中的所有方面的管理;跟踪证书状态;在证书需要撤销时发布证书撤销通知;维护证书档案和证书相关的审计。
注册机构RA是数字证书注册审批机构,是认证中心的延伸。RA按照特定政策与管理规范对用户的资格进行审查,并执行“是否同意给该申请者发放证书、撤销证书”等操作。
证书发布库:用于集中存放CA颁发证书和证书撤销列表;支持分布式存放,以提高查询效率;LDAP目录服务支持分布式存放,是大规模PKI系统成功实施的关键,也是创建高效的认证机构的关键技术。
密钥的备份与恢复:密钥备份和恢复只能针对加/解密密钥,而无法对签名密钥进行备份。数字签名是用于支持不可否认服务的,有时间性要求,因此不能备份/恢复签名密钥。如果注册声明公/私钥对是用于数据加密的,则CA即可对该用户的私钥进行备份。当用户丢失密钥后,可通过可信任的密钥恢复中心或CA完成密钥恢复。
证书撤销:利用周期性发布机制,如证书撤销列表(CRL,Certificate Revocation List);在线查询机制,如在线证书状态协议(OCSP,Online Certificate StatusProtocol)。
PKI的应用:认证服务、数据完整性服务、数据保密性服务、不可否认服务、公证服务。
数字证书:一个用户的身份与其所持有的公钥的结合,由一个可信任的权威机构CA来证实用户的身份,然后由该机构对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。
数字证书的标准:X.509。
注册机构:提供服务:接收与验证最终用户的注册信息、为最终用户生成密钥、接收与授权证书撤销请求
证书机构:负责签发证书。
数字证书的生成步骤:密钥生成、注册、验证、证书生成。
密钥生成:○1主体生成密钥对、○2注册机构为主体生成密钥对。
注册:主体将公钥与证明材料发送给注册机构。
验证:RA要求用户采用私钥对证书签名请求进行数字签名。RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户。若用户能用其私钥解密,则验证通过。RA将数字证书采用用户公钥加密后,发送给用户。用户需要用与公钥匹配的私钥解密方可取得明文证书。
证书生成:RA将用户细节传递给证书机构、证书机构验证后生成数字证书、证书机构将证书发给用户、在CA维护的证书目录中保留一份证书记录。
交叉证书:首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书﹐从而决定对方用户是否可信。
AC:属性证书(AC)是PMI的基本概念,它是权威签名的数据结构,将权限和实体信息绑定在一起。属性证书中包含了用户在某个具体的应用系统中的角色信息,
而该角色具有什么样的权限是在策略中指定的。
AA:属性证书的签发者被称为属性权威AA,属性权威AA的根称为SOA。
ARA:属性证书的注册申请机构称为属性注册权威ARA。
LDAP:用来存储签发的属性证书和属性证书撤销列表。
防火墙:指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一种访问控制设备。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略,控制(允许、拒绝、监测、记录)出入网络的信息流,且本身具有较强的抗攻击能力。
防火墙=过滤器+安全策略
目的:保护本地计算机或内网免遭来自外网的威胁和入侵
核心思想:在不安全的网际环境中构造一个相对安全的子网环境。
防火墙的三个区域:内网、外网、DMZ区。
内网(内联网):采用因特网技术构建的可支持企事业内部业务处理和信息交流的综合网络信息系统。
外网:一般指Internet网络。
内网是安全的(可信的)、外网是不安全的(扩展:不同安全域)
防火墙不能防止内部攻击和旁路攻击。
包过滤防火墙
包过滤技术:对数据包进行过滤(筛选),是最早、最基本的访问控制技术,又称报文过滤技术。
作用是执行边界访问控制功能。按事先定义的过滤规则(访问控制列表),检查每一个通过的网络包,执行(丢弃或放行)。
包过滤技术的工作对象是数据包。对TCP/IP协议族来说,包过滤技术主要对其数据包包头的部分字段进行操作。
包过滤防火墙的优缺点
优点:实现简单。在路由器上安装过滤模块实现;速度快。检查规则相对简单,耗时短,效率高,对用户性能影响小。
缺点:安全性差。过滤判断条件受限,前后报文和检测无关,安全性差;应用层控制能力弱;不能实现用户级控制。
※防火墙过滤规则(一定要会写)
例一
例二
规则集1:防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备
规则集2:允许信任网络向外的所有通信
规则集3:允许外部主机访问DMZ中WWW服务,并允许内部主机访问WWW服务
规则集4:SMTP是一个基于TCP的服务,使用端口25,客户机使用任意大于1023的端口
规则集5:禁止在公共网络上对所有内部服务器的Telnet访问,但允许内部使用Telnet
规则集6:默认拒绝,表名该防火墙的默认方式是拒绝任意形式的连接,即阻止其他规则没有明确允许的请求
状态检测防火墙
由包过滤防火墙演变而来,工作在传输层。
使用各种状态表(state tables)来追踪活跃的TCP会话。
根据会话连接状态信息动态地建立和维持一个连接状态表,用来跟踪和处理后续报文。
一次会话中的后续报文,首先通过状态连接表的检测,再决定是否需要通过安全过滤规则。
状态检测防火墙增加检测TCP的序号和确认号字段,以保证TCP Session的连接状态不被猜测到。
状态检测防火墙优缺点
优点:具备动态包过滤所有优点,同时具有更高的安全性;没有打破客户/服务器模型;提供集成的动态包过滤功能;运行速度更快。
缺点:采用单线程进程,对防火墙性能产生很大影响;没有打破客户/服务器结构,会产生不可接受的安全风险;不能满足对高并发连接数量的要求;仅能提供较低水平的安全性。
什么是缓冲区?
是程序运行期间,由操作系统或编译器在内存中分配的,包含相同数据类型实例的一个连续的内存存储区域。
什么是溢出?
填充的数据超出了原定的缓冲区边界。
什么是缓冲区溢出?
向固定长度的缓冲区中写入超出其预先分配长度的内容,从而覆盖缓冲区周围的内存空间,造成缓冲区中数据的溢出。
缓冲区溢出攻击特点:不需要太多的先决条件;杀伤力很强;技术性强。
缓冲区溢出的破坏性强和隐蔽性高,成为黑客宜采用和普及的原因之一。
缓冲区区域结构
程序中发生函数调用时,计算机做如下操作:
(1)把指令寄存器EIP(它指向当前CPU将要运行的下一条指令的地址)中的内容压入栈,作为程序的返回地址(可用RET表示)。
(2)基址寄存器EBP入栈,它指向当前函数栈帧的底部。
(3)把当前的栈指针ESP拷贝到EBP,作为新的基地址。
(4)为本地变量存储分配留出一定空间,并把ESP减去适当的数值。
缓冲区溢出的原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
拒绝服务攻击
拒绝服务攻击(DoS)定义:任何对服务的干涉如果使得其可用性降低或者失去可用性,都称为DoS。
造成DoS的攻击行为称为DoS攻击。即:凡是能导致合法用户不能够访问正常服务的行为都算是拒绝服务攻击。
拒绝服务攻击的目的:使计算机或网络系统无法提供正常的服务。
分布式拒绝服务攻击:指攻击者通过控制不同地点的一定数量的PC机、路由器及其他网络设备,同时向一个或者数个目标发起攻击,致使攻击目标不能为合法用户提供服务的攻击类型。由于攻击的发出点是分布在不同地方的,因此称这类攻击为分布式拒绝服务攻击。
常见的DoS攻击:Ping of Death,TearDrop,NewTear,Bonk,SynDrop,Chargen,WinNuke,Land和Jolt2。
常见的DDoS攻击:smurf攻击。
僵尸网络:通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者可利用这样大规模的僵尸网络实施各种大规模的攻击活动。
僵尸网络危害:僵尸网络是网络安全的最大威胁。僵尸网络将蠕虫、木马、后门等威胁形态溶于一体;僵尸程序有很强的传播能力;僵尸网络可以控制数量庞大的计算机来执行恶意操作;被控制计算机的信息安全荡然无存。
拒绝服务攻击的防范:拒绝服务攻击的源端防御、拒绝服务攻击的终端防御、拒绝服务攻击的中端防御。
拒绝服务攻击的源端防御:在发出攻击性数据包的源端所采取的防御措施。
优势:避免攻击数据流引起的网络拥塞,对攻击源的追踪更容易。
不足:数据包标本少,导致检测算法复杂。
方法:出口过滤。
拒绝服务攻击的终端防御:在最终受害者处,包括受害者主机、受害者所在网络甚至是ISP等处采取的防御措施。
主要策略:增强容忍性、提高主机或网络安全性、过滤恶意的数据包等。
拒绝服务攻击的中端防御:指在攻击型数据包的发送途中采取的防范措施研究比较少,主要借助各路由器实施过滤。
拒绝服务攻击的检测:
拒绝服务攻击的检测
·建立网络正常流量模式,偏离后判断为异常。
主机网络连接特征检测
·建立访问正常特征库,匹配判断。
伪造数据包的检测
·检测数据包是否伪造
统计检测
·如依据数据包的往返量进行统计分析
·如依据浏览进行统计分析
防范策略:
1)尽早发现系统存在的攻击漏洞,及时安装系统补丁程序;
2)在网络管理方面,要经常检查系统的设置环境,禁止那些不必要的网络服务;
3)利用网络安全设备(如防火墙)等来加固网络的安全性;
4)比较好的防御措施是与网络服务提供商协调工作,帮助用户实现路由的访问控制和对带宽总量的限制;
5)当发现主机正在遭受DDoS攻击时,应当启动应对策略,尽快追踪攻击包,并及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡已知攻击节点的流量;
6)对于潜在的DDoS攻击,应当及时清除,以免留下后患。
IP欺骗:使用其他计算机的IP来骗取连接,获得信息或者得到特权。
ARP欺骗:利用ARP协议的缺陷,把自己伪装成“中间人”,实施攻击。效果明显,威力惊人。
DNS欺骗:域名与IP地址转换过程中实现的欺骗。
Web欺骗:创造某个万维网网站的复制影像,从而达到欺骗网站用户目的的攻击。
电子邮件欺骗:电子邮件发送方地址的欺骗。
IP欺骗原理:主机A与主机B存在信任关系,主机B有对主机A进行操作的权限。通过伪装成主机B向主机A发送数据,想办法使主机A误认为是主机B在对其进行操作。
防范:
禁止基于IP地址的信任关系;安装过滤路由器,对内使用IP信任关系,外部过滤使用内部IP的数据包;在通信时要求加密传输和验证。
ARP欺骗的原理:就是欺骗者利用ARP协议的安全漏洞,通过向目标终端大量发送伪造的ARP协议报文欺骗目标终端,使目标终端误以为是与期望主机通信,而实际上是与欺骗者进行通信。
防范:
静态绑定,欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗,通过命令“arp -s IP地址MAC地址”可以实现。该方法主要应用于对安全性要求较高且较小的局域网,其操作依靠人工进行,工作量大。
使用ARP服务器,在局域网内架设ARP服务器,替代主机应答ARP包。这种方法效果明显,但配置复杂,需要改变客户端设置,而且要确保这台服务器不被黑。
使用防ARP攻击软件,下载和使用防ARP攻击的软件,如ARPFix或者是AntiARP等。这种方法简单易行,但无法保证网关不被欺骗。
DNS欺骗原理:DNS存在设计上的缺陷,仅通过序列号进行有效性鉴别。攻击者很容易通过监听,分析还原出序列号,进而伪造DNS应答包给DNS请求端,进行欺骗。DNS客户端处理应答包机制:简单的信任首先到达的数据包。这样,攻击者只要保证欺骗包先于合法包到达就可以达到欺骗的目的。
防范:
监听检测,DNS欺骗攻击,客户端至少收到两个DNS应答包。
交叉检测,客户端收到DNS应答包之后,向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字来进行判断是否一致。
钓鱼网站是不法分子利用各种技术手段,精心设计与目标网站非常相似的仿冒网站,或者利用网络服务器上的漏洞,在网站的关键页面中插入危险的网页代码,实施欺骗。
目的:骗取用户私密信息,进而盗取受害者资金;假冒受害者进行欺诈性在线交易活动;假冒受害者向好友发送信息进行行骗,从而获得非法经济利益。
钓鱼网站的传播途径:
1.群发手机短信
2.通过搜索引擎,在中小网站投放广告
3.通过模仿QQ、阿里旺旺等弹出聊天窗口
4.通过微博
5.恶意导航网站、恶意下载仿真悬浮窗口。
6.通过即时通讯工具(QQ、阿里旺旺、MSN)。
7.通过信箱论坛(Email、论坛、博客)。
8.伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户出现输入错误,就会自投落网。
9.通过二维码传播。
钓鱼网站的识别方法:
虚拟专用网络(Virtual Private Network)定义:是企业网在因特网等公共网络上的延伸,指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网,并采用认证、访问控制、保密性、数据完整性等技术,使得数据通过安全的“加密隧道”在公用网络中进行传输。
目的:提供高性能、低价位的因特网接入。
VPN的组成:VPN服务端、VPN客户机端、VPN数据通道。
VPN有3种类型:Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)、Extranet VPN(企业扩展VPN)。
Access VPN:移动VPN,适用于企业内部人员流动频繁或远程办公情况。
Intranet VPN:通过异地两个网络的VPN网关建立一个加密的VPN隧道。
Extranet VPN:也是一种网关对网关VPN。
隧道技术
隧道技术是利用一种网络协议来传输另一种网络协议的技术,通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输生成。隧道的协议有两种:第二层隧道协议和第三层隧道协议。
第二层隧道协议是在数据链路层进行的,先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种:L2F、PPTP、L2TP。
第三层隧道协议是在网络层进行的,把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议主要是:IP Sec (IP Security),是目前最常用的VPN解决方案。
IPSec(IP Security)是一由IETF设计的端到端的确保IP层通信安全的机制;
IPSec是提供网络层通信安全的一组协议;IPSec在IPv6中是强制的,在IPv4中是可选的。
IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。
IPSec的功能:
(1)作为一个隧道协议实现VPN通信;
(2)保证数据机密性;
(3)保证数据完整性;
IPSec通过验证算法功能保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。
(4)保证数据来源可靠;
在IPSec通信之前双方要先用IKE认证对方身份并协商密钥,只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥,因此无法冒充发送方,即使冒充,也会被接收方检测出来。
(5)重放攻击保护。
IPSec分为协议部分和密钥管理两部分。
协议部分分为:AH(验证头部协议,Authentication Header):提供完整性保护、数据源身份认证和抗重放攻击;ESP(封装安全载荷,Encapsulating Security Payload):提供机密性、完整性保护、数据源身份认证和抗重放攻击;IKE(Internet Key Exchange, Internet密钥交换):提供密钥管理。定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。
密钥管理(Key Management)
SA (Security Association,安全联盟)
ISAKMP (Internet Security AssociationKey Management Protocol,因特网安全协会密钥管理协议)定义了密钥管理框架;IKE (Internet Key Exchange,因特网密钥交换协议)是目前正式确定用于IPSec的密钥交换协议。
IPSec有两种运行模式:传输模式(Transport Mode)、隧道模式( Tunnel Mode)。
传输模式要保护的内容是IP包的载荷,可能是TCP/UDP等传输层协议,也可能是ICMP协议,还可能是AH或者ESP协议(在嵌套的情况下)。
隧道模式保护的内容是整个原始IP包。
恶意代码:是一种可造成目标系统信息泄露和资源滥用,破坏系统的完整性及可用性,违背目标系统安全策略的程序代码。它能够经过存储介质或网络进行传播,未经授权认证访问或破坏计算机系统。
恶意代码的分类:计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等。
恶意代码的危害:破坏或影响系统、威胁国家安全。
恶意代码的特征:恶意的目的、本身是程序、通过执行发生作用。
计算机病毒(virus)是一段附着在其他程序上的可以进行自我繁殖的代码。
计算机病毒是既有依附性,又有感染性。当前绝大多数恶意代码都或多或少地具有计算机病毒的特征。
病毒程序是一种特殊程序,其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制,病毒触发机制还控制了病毒的破坏动作。
病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成。
与之相对应的机制是:潜伏机制、传染机制和表现机制。
有的病毒不具备所有的模块,如“巴基斯坦智囊病毒”没有破坏模块。
感染模块是病毒进行感染动作的部分,负责实现感染机制。感染模块的主要功能:寻找一个可执行文件;检查该文件中是否有感染标记;如果没有感染标记,进行感染,将病毒代码放入宿主程序。
触发模块根据预定条件满足与否,控制病毒的感染或破坏动作。依据触发条件的情况,可以控制病毒感染和破坏动作的频率,使病毒在隐蔽的状态下,进行感染和破坏动作病毒的触发条件有多种形式,例如:日期、时间、发现特定程序、感染的次数、特定中断调用的次数等。病毒触发模块主要功能:检查预定触发条件是否满足。如果满足,返回真值;如果不满足,返回假值。
破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏动作的代码。常见破坏现象:破坏动作可能是破坏文件、数据;破坏计算机的空间效率和时间效率或者使机器运行崩溃。
主控模块在总体上控制病毒程序的运行。其基本动作如下:调用感染模块,进行感染;调用触发模块,接受其返回值;如果返回真值,执行破坏模块;如果返回假值,执行后续程序。
计算机病毒的防范:养成良好的安全习惯;安装防火墙和杀毒软件进行监控;经常升级操作系统的安全补丁;迅速隔离受感染的计算机;经常备份计算机中有价值的信息。
计算机蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。
它综合黑客技术和计算机病毒技术,通过利用系统中存在漏洞的主机,将蠕虫自身从一个节点传播到另外一个节点。
蠕虫的防范:加强网络管理员安全管理水平,提高安全防范意识;建立病毒(入侵)检测系统。能够在第一时间内检测到网络异常和病毒攻击;建立应急响应系统,将风险减少到最小;建立灾难备份系统。
蠕虫与病毒的区别:共性:如传染性、隐蔽性、破坏性等;蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,不会与其他特定程序混合。因此,与病毒感染特定目标程序不同,蠕虫感染的是系统环境。
木马是“特洛伊木马”(trojan horse)的简称,在计算机系统中,“特洛伊木马”指系统中被植入的、人为设计的程序。
目的包括通过网络远程控制其他用户的计算机系统,窃取信息资料,并可恶意致使计算机系统瘫痪。
特洛伊木马指那些表面上是有用的或必需的、实际目的却是完成一些不为人知的功能,危害计算机安全并导致严重破坏的计算机程序,具有隐蔽性和非授权性的特点。
木马与病毒、蠕虫的区别:特洛伊木马不具有自我传播能力,而是通过其他的机制来实现传播;受到特洛伊木马侵害的计算机,不同程度地受到攻击者的远程控制。
本质上说,木马大多都是客户/服务(C/S)程序的组合
木马程序一般包括控制端和服务端两部分。
控制端程序用于攻击者远程控制木马。
服务器端程序即木马程序。
攻击者把木马的服务器端程序植入受害电脑里面,进而通过木马攻击受控的计算机系统。
木马植入常用方法:网页浏览植入、利用电子邮件植入、利用网络下载植入、利用即时通工具植入、与其它程序捆绑、利用移动存储设备植入。
木马的特点:有效性、隐蔽性、顽固性、易植入性。
木马的防范:打造坚实的系统防护(用户管理策略、文件共享策略、堵住漏洞、堵住黑客的入口、关闭不必要的服务);使用安全工具软件保护系统安全;用户安全意识策略;纵深防御保护系统安全。
网络加密的方式:链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:(1)加密对用户是透明的,通过链路发送的任何信息在发送前都先被加密。(2)链路只需要一对密钥。(3)提供了信号流安全机制。
缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较高。
节点加密的优点:(1)消息的加、解密在安全模块中进行,这使消息内容不会
被泄密。(2)加密对用户透明.
缺点:(1)某些信息(如报头和路由信息)必须以明文形式传输。(2)因为所有节点都必须有密钥,密钥分发和管理变的困难。
端到端加密的优点:(1)对两个终端之间的整个通信线路进行加密。(2)只需要2台加密机,1台在发端,1台在收端。(3)从发端到收端的传输过程中,报文始终以密文存在。(4)消息报头(源/目的地址)不能加密,以明文传送。(5)比链路和节点加密更安全可靠,更容易设计和维护。
缺点:不能防止业务流分析攻击。
混合加密的是链路和端到端混合加密组成。优点:从成本、灵活性和安全性来看,一般端到端加密方式较有吸引力。对于某些远程机构,链路加密可能更为合适。
缺点:信息的安全设计较复杂。
密钥管理是处理密钥从产生到最终销毁的整个过程中的有关问题,包括系统的初始化及密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、撤销和销毁等内容。
密钥的种类:基本密钥、会话密钥、密钥加密密钥、主机主密钥、数据加密密钥。
基本密钥:是由用户选定或由系统分配给他的、可在较长时间内由一对用户所专用的秘密钥。记为kp。
会话密钥:两个通信终端用户在一次通话或交换数据时所用的密钥。记为ks。
密钥加密密钥:用于对所传送的会话或文件密钥进行加密的密钥,也称次主密钥记为ke。
主机主密钥:它是对密钥加密钥进行加密的密钥,存储于主机处理器中。记为km
数据加密密钥:也称为工作密钥。
双钥体制下,有公钥和私钥、签名密钥和证实密钥之分。
好的密钥:真正随机、0/1等概,如掷硬币、骰子等;避免使用特定算法的弱密钥;双钥系统的密钥必须满足一定的数学关系;采用密钥揉搓或杂凑技术,将易记的长句子经单向杂凑函数变换成伪随机数。
密钥分配方案研究的是密码系统中密钥的分发和传送问题。从本质上讲,密钥分配为通信双方建立用于信息加密、解密、签名等操作的密钥,以实现保密通信或认证签名等。
密钥分配的基本工具:认证技术:认证技术是安全密钥分配的保障;协议技术:协议技术是实现认证必须遵循的流程。
密钥分配的基本方法:利用安全信道实现密钥传递;利用双钥体制建立安全信道传递;利用量子技术实现密钥传递。
双钥体制:使用两个密钥,一个是公钥,一个是私钥。公钥是公开的,通信一方可采用公钥对会话密钥加密,然后再将密文传递给另一方。收方接收到密文后,用其私钥解密即可获得会话密钥。
运算量大,不适合对实时数据进行加解密;适合用来进行密钥的分配;采用Diffie-Hellman或RSA、ECC等公钥体制实现;采用可信密钥管理中心(KDC)进行密钥分配。
密钥分配的三种基本模式:点-点密钥分配、密钥分配中心(KDC)、密钥传递中心(KTC)。
密钥的存储:每个用户都有一个用户加密文件备用;存入ROM钥卡或磁卡中;难以记忆的密钥可用加密形式存储,利用密钥加密密钥来做;用确定性算法生成密钥,易于记忆的口令启动密钥产生器。
密钥的备份:交给安全人员放在安全的地方保管;采用共享密钥协议。
密钥的安全是协议、算法和密码技术设备安全的基本条件。
密钥注销与销毁:对于不再需要的密钥或已被注销(从所有记录中除名)的用户密钥,要将其所有副本销毁。
密钥恢复:若密钥丧失但未被泄露(如设备故障),就可以用安全方式从密钥备份中恢复。
密钥撤销:如果密钥丢失,或因其它原因在密钥未过期之前,需要将其从正常使用的集合中删除,即密钥吊销。
入侵检测 (Intrusion Detection ):是指对入侵行为的发现,通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(Intrusion Detection System ,IDS ):使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害,是进行入侵检测的软件与硬件的组合。
入侵检测相关术语:
误报:检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。检测系统在检测过程中出现误报的概率称为系统的误报率。
漏报:检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统的漏报率。
蜜罐:模拟脆弱性主机诱惑攻击者在其上浪费时间,延缓对真正目标的攻击。
混杂模式:网卡的一种接收模式;在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
IDS的基本结构:事件产生器、事件分析器、响应单元、事件数据库。
事件产生器的目的是从整个所保护的环境中获得事件,并向系统的其他部分提供此事件。收集内容:系统、网络数据及用户活动的状态和行为。可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。因此,入侵检测很大程度上依赖于收集信息的可靠性和正确性。
事件分析器对事件进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;一是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析。
响应单元:根据分析结果做出反应,是IDS中的主动武器。可做出:强烈反应:切断连接、改变文件属性等;简单的报警;和其它安全设备进行联动,如和防火墙实现联动,作出切断连接。
事件数据库存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。
两类检测方法:异常检测和误用检测。
异常检测:建立系统正常模型不方便;可以检测到未知攻击;误报率高;漏报率低。
误用检测:更好的确定能力;开发特征库更方便;只能检测已知攻击;误报率低;漏报率高。
三个性能指标:有效性、可用性、安全性。
有效性:指入侵检测系统针对各种攻击行为的检则处理能力和判断的可信性。
可用性:指入侵检测系统对数据的处理能力。
安全性:指入侵检测系统本身的抗攻击能力。
一次性口令认证的主要设计思路是在登录过程中加入不确定因素,通过某种运算(通常是单向函数,如MD-5和SHA)使每次登录时用户所使用的密码都不相同,以此增强整体身份认证过程的安全性。
1、信息安全的3个基本目标是:机密性、完整性和可用性 。此外,还有一个不可忽视的目标是:合法使用。
2、网络中存在的 4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和非法使用。
3、访问控制策略可以划分为:强制性访问控制策略和自主性访问控制策略。
4、安全性攻击可以划分为:被动攻击和主动攻击。
5、数字证书将用户与其公钥相联系。
6、用户的私钥不能出现在数字证书中。
7、CA可以签发数字证书。
8、X.509标准定义数字证书结构。
9、 RA可以签发数字证书。
10、CA使用自己的私钥签名数字证书。
11、要解决信任问题,需使用数字证书。
12、CRL是脱机的。
13、OCSP是联机的。
14、最高权威的CA称为SOA。
15、网络加密方式有4种,它们分别是链路加密、节点加密、端到端加密和混合加密。
16、在通信网的数据加密中,密钥可分为基本密钥、会话密钥、密钥加密密钥、主机主密钥。
17、密钥分配的基本方法有,利用安全信道实现密钥传输、利用双钥体制建立安全信道传递和利用特定的物理现象实现密钥传递等
18、在网络中,可信第三方TTP的角色可以由密钥服务器、密钥管理设备、密钥查阅服务和时戳代理等来承担。
19、按照协议的功能分类,密码协议可以分为认证建立协议、密钥建立协议、认证的密钥建立协议。
20、Diffie-Hellman密钥交换协议不能抵抗中间人的攻击。
21、 Kerberos提供加密。
22、在 Kerberos中,允许用户访问不同应用程序或服务器的服务器称为AS。
23、在 Kerberos中,TGS与系统中的每个用户共享唯一一个口令。
24、防火墙应位于公司网络与外部网络。
25、应用网关的安全性超过包过滤防火墙。
26、防火墙可以分为静态包过滤、动态包过滤、电路级网关、应用级网关、状态检查包过滤、切换代理和空气隙7种类型。
27、静态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号。
28、动态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号。
29、电路级网关工作于OSI模型的会话层上,它检查数据包中的数据分别为源地址、目的地址、应用或协议、源端口号、目的端口号和握手信息及序列号。
30、应用级网关工作于OSI模型的应用层上,它可以对整个数据包进行检查,因此其安全性最高。
31、状态检测防火墙工作于OSI模型的网络层上,所以在理论上具有很高的安全性,但是现有的大多数状态检测防火墙只工作于网络层上,因此其安全性与包过滤防火墙相当。
32、切换代理在连接建立阶段工作于OSI模型的会话层上,当连接建立完成值后,再切换到动态包过滤模式,即工作于OSI模型的网络层上。
33、空气隙防火墙也称作安全网闸,它在外网和内网之间实现了真正的隔离。
34、根据数据源的来源不同,IDS可分为基于网络NID3、基于主机HIDS和两种都有DIDS类型。
35、一个通用的IDS模型主要由数据收集、检测器、知识库和控制器4部分组成。
36、入侵检测分为3个步骤,分别为信息收集、数据分析和响应。
37、一个NIDS的功能结构上至少包含事件提取、入侵分析、入侵响应和远程管理4部分功能
38、DIDS通常由数据采集构建、通信传输构建、入侵检测分析、应急处理的构建和用户管理构建5个构建组成。
39、IDS控制台主要由日志检索、探测器管理、规则管理、日志报表和用户管理5个功能模块构成。
40、HIDS常安装于被保护的主机,NIDS常安装于网络入口处。
41、潜在人侵者的可以通过检查蜜罐日志来获取。
42、吸引潜在攻击者陷阱为蜜罐。
43、根据访问方法的不同,VPN可以分为远程访问VPN和网关-网关 VPN两种类型。
44、VPN的关键技术包括隧道技术、加/解密技术、密钥管理技术、身份认证技术和访问控制等。
45、第2层隧道协议主要有PPTP、L2F 和L2TP 3个协议。
46、第3层隧道协议主要有IPSec、GRE 和MPLS 3个协议。
47、IPSec的主要功能是实现加密、认证和密钥交换,这3个功能分别由AH 、ESP和IKE 3个协议来实现
48、IPSec VPN主要由管理模块﹑密钥分配和生成模块、身份认证模块、数据加/解密模块和数据分组封装/分解模块5个模块组成。
48、IPSec在OSI参考模型的网络层提供安全性。
49、ISAKMP/Oakley 与IPSec相关。
50、IPSec中的加密是由ESP完成的。
51、在信道模式情况下,IP头才需要加密。
52、确定用户身份的技术称为认证。
53、口令是最常用的认证机制。
54、种子是认证令牌随机性的基础。
55、基于口令的认证是单因子认证。
56、基于时间的令牌的可变因子是当前的时间。
57、基于事件的令牌的可变因子是计数器值。
58、生物认证基于人的特性。
59、在单向认证中,只有一方认证另一方。
60、身份认证方式口令认证系统、个人生物特征的身份认证技术、一次性口令认证技术、基于证书的认证。
1、基本的安全威胁有哪些?主要的渗入类型威胁是什么?主要的植入类型威胁时什么?请列出几种最主要的威胁。
答:基本的安全威胁有:信息泄露、完整性破坏、拒绝服务、非法使用。
主要的渗入类型威胁有:假冒、旁路、授权侵犯。
主要的植入威胁有:特洛伊木马、陷门
最主要安全威胁:授权侵犯、假冒攻击、旁路控制、特洛伊木马或陷阱、媒体废弃物。
2、什么是安全策略?安全策略有几个不同的等级?
答:安全策略是指在某个安全区域内,施加给所有与安全相关活动的一套规则。安全策略的等级:1安全策略目标;2机构安全策略;3系统安全策略。
3、主动攻击和被动攻击的区别是什么?请举例说明。
答:区别:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实性。
主动攻击的例子:伪装攻击、重放攻击、消息篡改、拒绝服务。被动攻击的例子:消息泄漏、流量分析。
4、数字证书的典型内容什么?
答:数字证书的概念:一个用户的身份与其所持有的公钥的结合,由一个可信任的权威机构CA来证实用户的身份,然后由该机构对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。
一般包括:
(1)证书的版本信息;
(2)证书的序列号,每个证书都有一个唯一的证书序列号;
(3)证书所使用的签名算法;
(4)证书的发型机构名称;
(5)证书的有效期;
(6)证书所有人名称;
(7)证书所有人的公开密钥;
(8)证书发行者对证书的签名。
5、简述撤销数字证书的原因?
答:(1)数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);
(2)CA发现签发数字证书是出错;
(3)证书持有者离职,而证书为其在职期间签发的。
6、网络加密有哪几种方式?请比较它们的优缺点。
答:网络加密的方式:链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:(1)加密对用户是透明的,通过链路发送的任何信息在发送前都先被加密。(2)链路只需要一对密钥。(3)提供了信号流安全机制。
缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较高。
节点加密的优点:(1)消息的加、解密在安全模块中进行,这使消息内容不会
被泄密。(2)加密对用户透明.
缺点:(1)某些信息(如报头和路由信息)必须以明文形式传输。(2)因为所有节点都必须有密钥,密钥分发和管理变的困难。
端到端加密的优点:(1)对两个终端之间的整个通信线路进行加密。(2)只需要2台加密机,1台在发端,1台在收端。(3)从发端到收端的传输过程中,报文始终以密文存在。(4)消息报头(源/目的地址)不能加密,以明文传送。(5)比链路和节点加密更安全可靠,更容易设计和维护。
缺点:不能防止业务流分析攻击。
混合加密的是链路和端到端混合加密组成。优点:从成本、灵活性和安全性来看,一般端到端加密方式较有吸引力。对于某些远程机构,链路加密可能更为合适。缺点:信息的安全设计较复杂。
7、密钥有哪些种类?它们各自的用途是什么?请简述它们之间的关系?
答:种类:1、基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某种算法所构造的密钥产生器,产生用于加密数据的密钥流。
2、会话密钥其用途是使人们可以不必繁琐的更换基本密钥,有利于密钥的安全和管理。
3、密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密钥,也成为次主密钥、辅助密钥或密钥传送密钥。
4、主机主密钥作用是对密钥加密密钥进行加密的密钥,存储于主机处理器中。
5、双钥体制下的公开钥和秘密钥、签名密钥、证实密钥。
关系如图:
8、密钥分配的基本模式有哪些?
答:(1)点对点密钥分配:由A直接将密钥送给B,利用A与B的共享基本密钥加密实现。
(2)密钥分配中心(KDC):A向KDC请求发送与B通信用的密钥, KDC生成k传给A,并通过A转递给B,利用A与KDC和B与KDC的共享密钥实现。
(3)密钥传递中心(KTC):A与KTC,B与KTC有共享基本密钥。
9、防火墙一般有几个接口?什么是防火墙的非军事区(DMZ)?它的作用是什么?
答:防火墙一般有3个或3个以上的接口。网关所在的网络称为‘非军事区’(DMZ)。网关的作用是提供中继服务,以补偿过滤器带来的影响。
10、为什么防火墙要具有NAT功能?在NAT中为什么要记录端口号?
答:使用NAT的防火墙具有另一个优点,它可以隐藏内部网络的拓扑结构,这在某种程度上提升了网络的安全性。在NAT中记录端口号是因为在实现端口地址转换功能时,两次NAT的数据包通过端口号加以区分。
11、应用级网关与电路级网关有何不同?简述应用级网关的优缺点。
答:与电路级网关不同的是应用级网关必须针对每个特定的服务运行一个特定的代理,它只能对特定服务所生成的数据包进行传递和过滤。
应用级网关的优点:1、在已有的安全模型中安全性较高;2、具有强大的认证功能;3、具有超强的日志功能;4、应用级网关防火墙的规则配置比较简单。
缺点: 1、灵活性差;2、配置复杂;3、性能不高。
12、防火墙有什么局限性?
答:防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力,另外,攻击者可能利用防火墙为某些业务提供的特殊通道对内部网络发起攻击,注入病毒或木马。
13、软件防火墙与硬件防火墙之间的区别是什么?
答:软件防火墙是利用CPU的运算能力进行数据处理,而硬件防火墙使用专用的芯片级处理机制。
14、入侵检测系统按照功能可分为哪几类,有哪些主要功能?
答:功能构成包含:事件提取、入侵分析、入侵响应、远程管理4个部分功能。
1、网络流量的跟踪与分析功能
2、已知攻击特征的识别功能
3、异常行为的分析、统计与响应功能
4、特征库的在线和离线升级功能
5、数据文件的完整性检查功能
6、自定义的响应功能
7、系统漏洞的预报警功能
8、IDS探测器集中管理功能
15、一个好的IDS应该满足哪些基本特征?
答: 1、可以使系统管理员时刻了解网络系统的任何变更
2、能给网络安全策略的制定提供依据
3、它应该管理、配置简单,即使非专业人员也非常容易使用
4、入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变
5、入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录
事件和报警。
16、什么是异常检测,基于异常检测原理的入侵检测方法有哪些?
答:异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络中的异常行为。通过收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。
1、统计异常检测方法
2、特征选择异常检测方法
3、基于贝叶斯网络异常检测方法
4、基于贝叶斯推理异常检测方法
5、基于模式预测异常检测方法
17、什么是误用检测,基于误用检测原理的入侵检测方法有哪些?
答:误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。
1、基于条件的概率误用检测方法
2、基于专家系统误用检测方法
3、基于状态迁移分析误用检测方法
4、基于键盘监控误用检测方法
5、基于模型误用检测方法
18、蜜网和蜜罐的作用是什么,它们在检测入侵方面有什么优势?
答:蜜罐的作用:1、把潜在入侵者的注意力从关键系统移开;2、收集入侵者的动作信息;3、设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
蜜网的作用:1、蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获
攻击行为信息;2、Honeynet向Internet 发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统
管理员发出警告信息;3、IDS 在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。
19、什么是VPN?一个好的VPN应具备哪些特点?
答:所谓虚拟专网,是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。它采用认证、访问控制、机密性、数据完整性等安全机制在公用网络上构建专用网络,使得数据通过安全的“加密管道”在公用网络中传播。这里的公用网通常指Internet。
特点:费用低、安全保障、服务质量保证(QoS)、可扩充性和灵活性、可管理性。
20、IPSec有哪两种工作模式?如何通过数据包格式区分这两种工作模式?
答:传输模式和隧道模式。传输模式要保护的内容是IP包的载荷,可能是TCP/UDP等传输层协议,也可能是ICMP协议,还可能是AH或者ESP协议。隧道模式保护的内容是整个原始IP包。
21、什么是口令认证?请简述这种方式的优缺点。
答:口令是一种根据已知事物验证身份的方法,也是一种被广泛使用的身份验证方法。优点:易记、难以被别人猜中或发现、能抵御蛮力破解分析。缺点:虽然易记,但往往带有个人特点,容易被别人推测出来。而完全随机选择的字符串又太难记忆,难以被用户接受。
22、什么是一次性口令?实现一次性口令有哪几种方案?请简述它们的工作原理。
答:一次性口令认证的主要设计思路是在登录过程中加入不确定因素,通过某种运算(通常是单向函数,如MD-5和SHA)使每次登录时用户所使用的密码都不相同,以此增强整体身份认证过程的安全性。
实现一次性口令的方案:挑战/响应机制、口令序列(S/Key)机制、时间同步机制、事件同步机制。
挑战/响应机制:不确定因素来自认证服务器,用户要求登录时,服务器产生一个随机数(挑战信息)发送给用户;用户用某种单向函数将这个随机数进行杂凑后,转换成一个密码,并发送给服务器。服务器用同样的方法进行验算即可验证用户身份的合法性。
口令序列机制:在口令重置前,允许用户登录n次,那么主机需要计算出Fn(x),并保存该值,其中F为一个单向函数。用户第一次登录时,需提供Fn-1(x)。系统计算Fn(Fn-1(x)),并验证是否等于F(x)。如果通过,则重新存储Fn-1(x)。下次登录时,则验证Fn-2(x),依此类推。为方便用户使用,主机把Fn-1(x)~F1(x)计算出来,编成短语,打印在纸条上。用户只需按顺序使用这些口令登录即可。需要注意的是,纸条一定要保管好,不可遗失。由于n是有限的,用户用完这些口令后,需要重新生成新的口令序列。
时间同步机制:用户注册时,服务器会分发给用户一个密钥(内置于令牌中),同时服务器也会在数据库中保存这个密钥。对于每一个用户来说,密钥是唯一的。当用户需要身份认证时,令牌会提取当前时间,和密钥一起作为杂凑算法的输入,得出一个口令。由于时间在不断变化,其口令也绝不会重复。用户将口令传给服务器后,服务器运行同样的算法,提取数据库中用户对应的密钥和当前时间,算出口令,与用户传过来的口令匹配,然后将匹配结果回传给用户。
事件同步机制:用户注册时,服务器会产生一个密钥Key (Key是唯一的)和一个已初始化的计数器Counter,并一起注入到用户手持的令牌中,同时服务器保存Key和 Counter 到数据库中。当用户需要身份认证时,用户触发令牌上的按钮,令牌中的Counter 加1,和预先注入的Key一起作为一个杂凑函数的输入,生成一个口令;用户把这个口令发送给服务器,服务器端根据用户名在数据库中找到相应的Key和Counter,用同样的杂凑函数进行运算,将产生的结果和用户发送过来的口令相匹配,然后返回认证结果。如果认证成功,服务器端的Counter值加1,否则Counter 不变。
23、如何解决基于事件机制令牌的失步问题?
答:事件同步机制的一个明显不足就是用户和服务器端很容易失去同步,例如,用户不小心或故意按了今牌上的按钮,但不讲行认证,今牌的Counter就会加1。由于服务器上的 Counter 还是原来的值,因此服务器和令牌就失去了同步。为了解决这个问题,服务器端设置了一个窗口值(ewindow),当用户使用令牌产生一次性口令登录服务器时,服务器会在此窗口范围内逐一匹配用户发送过来的口令,只要在窗口内的任何一个值匹配成功,服务器就会返回认证成功信息,并且更改数据库中的计数器值,使服务器和令牌再次同步。
24、木马与病毒的区别?
答:区别:木马不传染 ,病毒传染;木马主要是盗取的密码及其他资料,而病毒是不同程度不同范围的影响电脑的使用;木马的作用范围是所有使用这台有木马的人在使用电脑时的资料,但是不会传染到其他机器,但是病毒可以随着软盘,u盘,邮件等传输方式或者媒介传染到其他机器。
25、计算机病毒的危害性?
答:计算机经常性无缘无故地死机;操作系统无法正常启动;运行速度异常;内存不足的错误;打印、通信及主机接口发生异常;无意中要求对软盘(移动存储设备)U盘等移动存储设备进行写操作;―以前能正常运行的应用程序经常发生死机或者非法错误;系统文件的时间、日期和大小发生变化;打开Word文档后,另存文件时只能以模板方式保存;磁盘空间迅速减少;网络驱动器卷或共享目录无法调用;陌生人发来的电子邮件;自动链接到一些陌生的网站。
26、蠕虫与病毒的异同点?
答:共性:如传染性、隐蔽性、破坏性等;蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,不会与其他特定程序混合。因此,与病毒感染特定目标程序不同,蠕虫感染的是系统环境。
27、计算机病毒的传播方式?
通过不可移动的计算机硬件设备进行传播;通过移动存储设备进行传播;通过计算机网络进行传播;通过点对点通讯系统和无线通道传播。
28、防杀病毒软件的功能及特点?
(1)工具自身具有自诊断、自保护的能力;
(2)具有查毒、杀毒、实时监控多种功能;
(3)兼容性好;
(4)界面友好,报告内容醒目、明确,操作简单;
(5)全面地与Internet结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止计算机病毒入侵;
(6)快速反应的计算机病毒检测网,在计算机病毒爆发的第一时间即能提供解决方案;
(7)完善的在线升级服务,使用户随时拥有最新的防计算机病毒能力;
(8)对计算机病毒经常攻击的应用程序提供重点保护(如MS Office ,Outlook,IE,ICQ/QQ等);
(9)提供完整、即时的反计算机病毒咨询,提高用户的反计算机病毒意识与警觉性,尽快地让用户了解到新计算机病毒的特点和解决方案。
