當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

信息安全概论笔记

發布時間：2023/12/10 编程问答 38 豆豆

生活随笔收集整理的這篇文章主要介紹了信息安全概论笔记小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

寫在前面

這篇博客是我學習信息安全概論的筆記，本篇博客所使用的教材和課程連接因審核原因無法闡明。由于鐘老師課程中未講解第八章網絡安全協議，故該筆記也不包含該部分內容。在網上查閱得知筆記應投原創，故本篇博客投的原創，但仍不清楚是否構成侵權情況。如有侵權，請聯系我刪除。

--------------------------------------***我是分界線***------------------------------------

寫在前面
概述
- 信息安全概念的理解
- - 信息與信息安全
  - 信息安全發展階段
- 信息安全的威脅
- - 信息安全威脅的基本類型
  - 信息安全威脅主要表現形式
- 互聯網安全性
- - 互聯網發展現狀
  - 互聯網安全現狀
- 信息安全體系結構
- - 面向目標的信息安全知識體系結構
  - - 圍繞CIA三元組展開的知識體系
  - 面向應用的層次型技術體系架構
  - 面向過程的信息安全保障體系
  - OSI開發系統互聯安全體系結構
密碼學基礎
- 密碼的分類
- 古典替換密碼
- - 凱撒密碼（移位密碼）
  - 乘數密碼
  - 仿射密碼
- 對稱秘鑰密碼
- - **對稱密鑰密碼加密模式**
  - - 分組密碼
  - 序列密碼（流密碼)
  - 數據加密標準DES
  - 分組密碼工作模式
  - - 電子編碼本模式
    - 鏈接模式（CBC）
    - 密碼反饋模式（CFB）
    - 輸出反饋模式（OFB）
- 公開密鑰密碼
- - 公開密鑰理論基礎
  - 加密模型
  - 認證模型
  - Diffie-Hellman密鑰交換算法
  - RSA公開密鑰算法
  - - RSA安全性
  - 其他公開密鑰密碼算法簡介
- 消息認證
- - 概述
  - 認證函數
  - - 消息加密函數
    - 消息認證碼
    - 消息編碼
  - 散列函數 *（哈希函數）*
  - 數字簽名
物理安全
- 概述
- 設備安全防護
- - 防盜
  - 防火
  - 防靜電
  - 防雷擊
- 放信息泄露
- - 電磁泄露
  - 竊聽
- 物理隔離
- - 概念
  - 表現
  - 物理隔離和邏輯隔離
  - 物理隔離基本形式
- 容錯與容災
- - 容錯
  - 容災
身份認證
- 概述
- 認證協議
- - 基于對稱密鑰的認證協議
  - - 基于挑戰-應答方式的認證協議
    - Needham-Schroeder認證協議
    - Kerbero協議
    - Windows系統的安全認證
  - 基于公開密鑰的認證協議
  - - Needham-Schroeder公鑰認證
    - 基于CA數字證書的認證協議
    - 基于數字簽名進行身份認證的過程
- 公鑰基礎設施PKI
- - 基于X.509的PKI系統
  - - PKI系統功能
訪問控制
- 概述
- 訪問控制模型
- - 自主訪問控制模型DAC
  - 強制訪問控制模型MAC
  - 基于角色的訪問控制模型RBAC
- Windows系統的安全管理
- - Windows系統安全體系結構
  - Windows系統的訪問控制
  - 活動目錄和組策略
網絡威脅
- 概述
- 計算機病毒
- - 計算機病毒發展史
  - 計算機病毒定義
  - 傳統病毒
  - 蠕蟲病毒
  - 木馬
  - 病毒防治
- 網絡入侵
- - 拒絕服務攻擊
  - 口令攻擊
  - 嗅探攻擊
  - 欺騙類攻擊
  - 利用類攻擊
- 誘騙類威脅
- - 網絡釣魚
  - 對誘騙類攻擊的防范
網絡防御
- 概述
- 防火墻
- - 防火墻主要技術
  - Netfilter/IPtables防火墻
- 入侵檢測系統
- - 入侵檢測系統分類
  - 入侵檢測技術
  - Snort系統
- 網絡防御的新技術
- - VLAN技術
  - IPS和IMS
  - 云安全
內容安全
- 概述
- - 內容保護
  - 內容監管
- 版權保護
- - DRM概述
  - 數字水印
- 內容監管
- - 網絡信息內容監管
  - 垃圾郵件處理
信息安全管理
- 概述
- 信息安全風險管理
- - 風險評估
  - 風險控制
- 信息安全標準
- 信息安全產品標準CC
- - 信息安全管理標準BS7799
  - 中國的有關信息安全標準
- 信息安全法律法規

概述

信息安全概念的理解

信息與信息安全

信息概念：
信息是通過施加于數據上的某些約定而賦予這些數據的特定含義

信息安全發展階段

通信安全階段
保證信息傳遞的安全
信息安全階段
保證信息的機密性，完整性，可用性，可控性，不可否認性
- 機密性：信息只能為授權者使用，不能泄露給未經授權者使用（不可觀看）讀權限
- 完整性：信息在存儲和傳輸過程中未經授權不能被改變（可觀看不能改）寫權限
- 可用性：保證信息隨時可以為授權者提供服務（可執行）執行權限
- 可控性：授權實體可以控制信息系統和信息使用
- 不可否認性：任何實體均無法否認其實實施過的信息行為
信息保障階段
保護，檢測，反應，恢復

信息保障三大要素

人是信息保障的基礎
技術是信息保障的核心
管理是信息保障的關鍵

信息安全的威脅

信息安全威脅的基本類型

信息泄露：信息被有意或無意泄露給某個未授權的實體
信息偽造：未授權的實體冒充其他實體發布信息，或者從事其他網絡行為
完整性破壞：非法手段竊取信息控制權，未經授權對信息修改，插入，刪除。使得信息內容發送不應有的變化
業務否決或拒絕服務：攻擊者通過對信息系統進行過量非法的訪問操作使得信息系統超載或崩潰，從而無法正常進行業務或提供服務
未經授權訪問：未授權的實體非法訪問信息資源，或授權實體越權訪問信息資源

信息安全威脅主要表現形式

攻擊原始材料
- 人員泄露，廢棄介質，竊取
破壞基礎設施
攻擊信息系統
- 物理侵入，木馬，惡意訪問
攻擊信息流
- 竊聽，業務流分析，重復
惡意偽造
- 假冒，抵賴
自身失誤
內部攻擊

互聯網安全性

互聯網發展現狀

略

互聯網安全現狀

略

信息安全體系結構

面向目標的信息安全知識體系結構

信息安全的三個基本目標（CIA三元組）：

機密性（Confidentialit）

完整性（Integrity）

可用性（Availability）

與之相對的三個威脅（DAD）

泄露（Disclosure)

篡改（Alteration）

破壞（Destruction）

圍繞CIA三元組展開的知識體系

密碼學是三個信息安全目標的技術基礎
CIA技術存在一定程度的內容交叉

面向應用的層次型技術體系架構

信息系統基本要素

人員
信息
系統

安全層次

物理安全：網絡及信息系統物理設備的保護
運行安全：對運行過程及運行狀態的保護
數據安全：對數據收集，存儲，檢索，傳輸的保護
內容安全：根據信息內涵制定安全策略及安全措施
管理安全：對人的行為的保護

面向過程的信息安全保障體系

PDRR

保護
檢測
反應
恢復

信息保障的動態過程

OSI開發系統互聯安全體系結構

安全服務

鑒別服務：確保某個實體身份可靠
訪問控制：確保只有經過授權的實體才能訪問受保護的資源
數據機密性：確保只有經過授權的實體才能理解受保護的信息
數據完整性：防止對數據的未授權修改和破壞
抗抵賴性：防止對數據源以及數據提交的否認

安全機制

加密：用于保護數據機密性
數字簽名：保證數據完整性和不可否認性
訪問控制：訪問控制對訪問請求進行處理，查看是否具有訪問所請求資源的權限
數據完整性：用于保護數據免受未經授權的修改和破壞
鑒別交換：用于實現通信雙方的身份鑒別
業務流填充：針對網絡流量分析攻擊
路由控制：指定數據報文通過網絡的路徑
公證機制：由第三方確保數據完整性，數據源，時間以及目的地正確

密碼學基礎

密碼的分類

古典替換密碼
對稱秘鑰密碼
公開秘鑰密碼

分組密碼
序列密碼

古典替換密碼

凱撒密碼（移位密碼）

加密函數 Ek（m）=（m+k) mod q
解密函數 Dk（c）=（m-k）mod q

M=C={有序字母表},q=26,k=3

乘數密碼

Ek(m)=k*m mod q, gcd(k,q) = 1
Dk?=k^-1c mod q
gcd(k,q)=1代表最大公約數為1(互素才會有逆元)

k^-1為k的乘法逆元: k^-1 *k mod q = 1

求逆元的方法:
小的數窮舉
擴展歐幾里得算法

仿射密碼

移位密碼和乘數密碼的結合

Ek(m)=(km+b) mod q
Dk?=k^-1(c-b) mod q

破解方法

基于統計的密碼分析
統計字母的使用頻率,比較正常字母使用頻度,進行匹配分析
如果密文組構成,很容易被破解

對稱秘鑰密碼

加密密鑰與解密密鑰是一個密鑰

發送方:生成密鑰,(或由第三方密鑰分頻中心分配)

明文通過密鑰加密

通過公網發送給接收方

接收方通過密鑰解密出明文

密鑰由安全信道傳遞

加密解密算法公開,密鑰不公開

攻擊者能拿到密文以及加密解密算法,但拿不到密鑰,故無法解密

安全信道成本高,只使用于傳遞少量信息,不適合傳遞大量信息

密鑰更新可以用密鑰更新算法

對稱密鑰密碼加密模式

分組密碼

將明文分成一個個塊

對每一個塊單獨加密解密

序列密碼（流密碼)

通過偽隨機數發生器產生偽隨機序列（密鑰流）

用密鑰流與明文字節流逐比特異或操作

異或規則

aba異或b

1	1	0
1	0	1
0	1	1
0	0	0

a異或b=c 則 b異或c=a

明文異或密鑰 = 密文
密文異或密鑰 = 明文

數據加密標準DES

分組密碼一種
分組長度64位，密鑰長度64位（56位有效）

標準方案

1. 算法提供高度安全性 2. 有詳細說明，易于理解 3. 安全性取決于密鑰，不依賴于算法 4. 適用于所有用戶和所有場合 5. 高效，經濟 6. 被證實有效 7. 可出口

密鑰需要足夠長，不然很容易受到密鑰窮舉攻擊，一般認為80位以上的密鑰是安全的，而DES因為密鑰長度只有56位有效，故存在缺陷

DES替代者

3-DES*（使用DES用三個不同密鑰加密三次，但因此加密解密速度慢）*
IDEA
AES*(分組長度128位，密鑰長度128/192/256)*
RC5
國密算法SM1，SM4，SM7，SSF33

分組密碼工作模式

分組密碼才有工作模式，流密碼沒有，流密碼只有逐比特異或

電子編碼本模式

明文分組切塊

每個分組獨立地加密解密

問題：相同的明文分組會被加密成相同的密文分組
導致暴露明文里的同一信息

鏈接模式（CBC）

IV：初始向量，跟分組長度一致，隨機生成的序列，不需要保密

IV與明文分組1逐比特異或，再用密鑰加密，得到密文分組1

密文分組1和明文分組2異或，再用密鑰加密，得到密文分組2

重復上述步驟，依次進行

密碼反饋模式（CFB）

密碼反饋模式反饋的是加密并逐比特異或后的密文

加密過程

IV用密鑰加密

選擇高S位與分組長度為S的明文分組逐位異或

將密文分組i放到第i+1個移位寄存器中

用密鑰加密

選擇高S位與明文分組逐比特異或

輸出反饋模式（OFB）

輸出反饋模式完全取決于IV以及密鑰，反饋的是密鑰加密后的IV前S位，其余模式與CFB相同

公開密鑰密碼

又稱為非對稱密鑰密碼或雙密鑰密碼
加密密鑰和解密密鑰兩個獨立密鑰
公開密鑰的安全性取決于私鑰的保密性
私鑰需要保密，公鑰不需要保密，每個人都可獲取
公鑰用于加密，私鑰用于解密，用公鑰加密的信息只能用私鑰解密

過程

收信人生成一對公鑰與私鑰

收信人保管好私鑰，將公鑰發送給發信人

發信人用收信人的公鑰對信息加密，然后發送給收信人

收信人用私鑰將密文解密

公開密鑰理論基礎

公開密鑰密碼核心思想

單向陷門函數：1. 給定x，計算f（x）是容易的2. 給定y，計算x使得y=f（x）是很困難的3. 存在δ，已知δ時對給定的任何y，若相應的x存在，則計算x使得y=f（x）是容易的

加密模型

如上

認證模型

收信人要確認發信人的身份
發信人獲取一個信息，用發信人密鑰加密
收信人用發信人公鑰解密，若解密成功，則身份認證成功
要點保證公鑰的真實性(而非保密性)
黑客可以假冒公鑰來進行偽造身份

Diffie-Hellman密鑰交換算法

只能用于交換密鑰，不能用于加密,可以為對稱加密算法建立安全的密鑰通道

原根
定義：如果a是素數p的原根，則a mod p，a^2 mod p，···，a^p-1 mod p 是不同的且包含1到p-1之間的所有整數（包含所有且不重復），對任意的整數b，可以找到唯一的冪i，滿足b≡a^i mod p

b≡a mod p 等價于 b mod p = a mod p 稱為b與a模p同余
素數一定存在原根

例子：
p=7 a=2
2^1 mod 7 =2
2^2 mod 7 =4
2^3 mod 7 =1
2^4 mod 7 =2
2^5 mod 7 =4
在2 4 1之間循環，故2不是7的原根
p=7 a=3
3^1 mod 7=3
3^2 mod 7=2
3^3 mod 7=6
3^4 mod 7=4
3^5 mod 7=5
3^6 mod 7=1
覆蓋了1到7的所有數，所以3是素數7的一個原根

離散對數

若a是素數p的一個原根，對于任意整數b（b mod p≠0），必然存在唯一的整數i（1≤i≤p-1），使得b≡a^i mod p，i稱為b的以a為基數且模p的冪指數，即離散對數。

對于函數y≡g^x mod p ，其中，g為素數p的原根，y與x均為正整數，一致g，x，p，計算y是容易的，而已知y，g，p，計算x是困難的，即求解y的離散對數是困難的，可作為單向陷門函數。
求解y的離散對數x是數學界公認的困難問題

運行流程

首先雙方協商好大素數p，和p的一個大整數原根g，1<g<p，p和g無需保密

收信人選取大整數x<p，并計算Y=g^x(mod P);

發信人選取大整數x’<p,并計算Y’=g^x’(mod P);

兩個互換Y與Y’

收信人計算K=Y’^x(mod p)

發信人計算K’=Y^x’(mod p)

顯而易見K=K’=g^xx’(mod p),所以雙方得到了相同的秘密值K，可作為對稱密鑰

公開的參數：p，g，Y，Y’
保密的參數:x,x’,k,k’

RSA公開密鑰算法

歐拉函數
對于任意一個正整數n，小于n且與n互素的正整數構成的集合為Zn,這個集合叫做n的完全余數集合。Zn包含的元素個數基座φ（n），稱為歐拉函數，其中φ（1）為1，但是沒有任何實質的意義。
其實歐拉函數就是比n小且互素的元素的個數

歐拉定理
正整數a與n互素，則a^φ(n）≡1 mod n

推論
給定兩個素數p和q，以及兩個整數m和n，使得n=p×q，且0<m<n，對于任意整數k滿足：
m^{(kφ（n)+1)=m}(k（p-1)(q-1)+1)≡m mod n

大整數分解
大整數分解問題：
已知p和q兩個大素數，求解N=p×q是容易的，但將N分解為p和q兩個大素數，在計算上是很困難的，其運算時間復雜度接近于不可行，其算法時間復雜度為O（2^n），為指數的。

RSA密碼體制
是一種分組密碼，明文和密文均是0到n之間的整數

步驟：

選取兩個不同的素數p和q，計算n=pq，φ(n)=(p-1)(q-1)；

選擇整數e，使得gcd(φ（n）,e)=1,且1<e<φ（n);

計算d，d≡e^-1 mod φ（n），即d為模φ（n）下e的乘法逆元

gcd(φ（n）,e)代表最大公約數為1

公鑰Pk={e，n} 私鑰=Sk{d，φ（n），p，q}
加密：c=m^e mod n
解密：m=c^d mod n
密文為c，明文為m
由公鑰計算私鑰模的是φ（n），加密解密模的是n
過程

已知p，q
得到 φ（n）=（p-1）（q-1），n =pq
選擇e
根據*φ（n）*求出來e的乘法逆元d（拓展歐幾里得算法求出e^-1,d≡e-1 mod φ（n））
根據e進行乘數密碼加密
根據e的乘法逆元d進行乘數密碼解密

例子：

p=101，q=113，n=11413,φ(n)=100*112=11200
e=3533,求得d≡e^-1 mod 11200 ≡6597 mod 11200,d=6597
公開n = 11413和e=3533
明文9726，計算9726^3533 mod 11413 = 5761,發送密文5761
密文5761時，用d=6597解密，計算5761^6597(mod 11413)=9726

RSA安全性

RSA是基于單向函數ek（x）=x^e mod n，求逆計算不可行
解密的關鍵是了解陷門信息，即能夠分解n=pq，從而得到φ（n）=（p-1）（q-1），從而解出解密密鑰d
如果要求RSA是安全的，p與q必須為足夠大的素數，使得分析者沒有辦法在多項式時間內將n分解出來
模n的求冪運算：
著名的“平方-和-乘法”方法將計算x^c mod n的模乘法的次數縮短到至多為2/,/是指數c二進制表示的位數，即log2。

其他公開密鑰密碼算法簡介

基于大整數因子分解問題
- RSA密碼，Rabin密碼
基于有限域上的離散對數問題
- Differ-Hellman公鑰交換體制，ElGamal密碼
基于橢圓曲線上的離散對數問題
- Differ-Hellman公鑰交換體制，ElGamal密碼

消息認證

概述

威脅信息完整性的行為主要包括：

偽造：假冒他人信息源向網絡中發布信息
內容修改：對信息內容插入，刪除，變化，修改
順序修改：對信息插入，刪除，重組序列
時間修改：延遲或重復
否認：接受者否認收到信息，發送者否認發送過消息

消息認知是保證信息完整性的重要措施
目的包括：

證明信息的信源和信宿的真實性
消息內容是否曾受篡改
消息的序號和時間性是否正確

消息認證是由具有認證功能的函數實現的

消息加密，用消息的完整密文作為消息的認證符
消息認證碼MAC，也稱為密碼校驗和，使用密碼對消息加密，生成固定長度的認證符
消息編碼，是針對信源消息的編碼函數，使用編碼抵抗針對消息的攻擊

認證函數

認證計算功能上分為兩層

下層包含一個產生認證符的函數，認證符是一個用來認證消息的值。
上層是以認證函數為原語，接收方可以通過認證函數來驗證消息的真偽。

消息加密函數

對稱密鑰密碼對消息加密，不僅有機密性，同時有可認證性
公開密鑰密碼本身提供認證功能，即私鑰加密，公鑰解密的特性

消息認證碼

基本思想：
利用事先約定的密碼，加密生成一個固定長度的短數據塊MAC，并將MAC附加到消息之后，一起發送給接受者
接受者使用相同密碼對消息原文進行加密得到新的MAC，比較新的MAC和隨消息一同發過來的MAC，如果相同則沒有被篡改

生成消息認證碼的方法
基于加密函數的認證碼和消息摘要（散列函數）

消息認證符可以是整個64位的On，也可以是On最左邊的M位

消息編碼

基本思想：
引入冗余度，使得通過信道傳輸可能序列集M（編碼集）,大于消息集S（消息集）。
發送方從M中選出代表信息的可用序列Li，即對信息進行編碼。
接收方根據編碼規則，進行解碼，還原出發送方按此規則向他傳來的信息。
竄擾者不知道被選定的編碼規則，因而所偽造的假碼字多是M中的禁用序列，接收方將以很高的概率將其檢測出來，并拒絕通過認證。

散列函數（哈希函數）

目的：
將任意長的消息映射為一個固定長度的散列值（hash值），也稱為消息摘要。消息摘要可以作為認證符，完成消息認證
散列函數的健壯性：

弱無碰撞特性
- 在明文空間中給定消息x∈X，在計算上找不到相同的x’∈X，使得h（x）=h（x’）
強無碰撞特性
- 在計算上難以找到與x相異的x’，滿足h(x)=h(x’)，x’可以不屬于X
單向性
- 通過h的你函數h^-1來求得散列值h(x)的消息原文x，在計算上不可行

消息摘要的長度應不低于128位

第一段為消息

第二段為填充值

第三段為消息長度

進行切塊，每一塊長度為512位

然后依次與IV進行壓縮，最后得到散列值

常用的散列函數

MD5（128位）
SHA-1（160位）
SHA-2(sh2-224,sh2-256,sh2-384,sh2-512)
SHA-3(sh3-224,sh3-256,sh3-384,sh3-512)
SM3(256位)

數字簽名

Digital Signature

定義：通過某種密碼運算，生成一系列符號和代碼，用于確認數據單元來源以及完整性

兩種形式：

一種是對整個消息的簽名
一種是對壓縮消息的簽名
他們都是附加在被簽名信息之后某一特定位置上的一段數據信息

目的：保證接收方能夠確認或驗證發送方的簽名，但不能偽造；發送方發出簽名消息后，不能否認所簽發的消息。

三點目的：

收信人可以驗證發信人身份
對消息完整性進行認證
抗抵賴服務

數字簽名滿足以下條件

簽名基于一個待簽名信息的位串模板

簽名使用對發送方來說是唯一的消息，不能重復

易于生成，識別和驗證數字簽名

偽造數字簽名在計算復雜性意義上具有不可行性

數字簽名的生成和驗證

消息報文散列后用私鑰加密，得到數字簽名

將消息報文與數字簽名連接，發送給對方

另一方得到消息后將消息報文散列，并將數字簽名用公鑰解密

對比散列后的消息報文與解密后的數字簽名是否相同

相同則消息完整，不同則無法驗證發送者及完整性

物理安全

概述

物理安全：實體安全與環境安全
實體安全：

防火
防盜
防靜電
防雷擊

環境安全：

防電磁泄露
防竊聽
物理隔離

解決兩個方面問題：
對信息系統實體的保護
對可能造成信息泄露的物理問題進行防范

物理安全技術包括：
防盜，防火，防靜電，防雷擊，防信息泄露，物理隔離
基于物理環境的容災技術也屬于物理安全技術范疇

物理安全是信息安全的必要前提

設備安全防護

防盜

安全保護設備：紅外報警器，微波報警器、
根據系統安全等級安裝相應報警系統
防盜技術
- 標識
- 防盜接線板
- 火災報警系統
- 監控

防火

原因：電氣原因，人為因素，外部火災蔓延
措施：

計算機中心選址
建筑物耐火等級
不間斷供電系統，自備供電系統
防雷設施，抗靜電地板
嚴禁存放腐蝕性或易燃易爆物品
禁止吸煙

防靜電

略

防雷擊

措施：

接閃
接地
分流
屏蔽

放信息泄露

電磁泄露

電磁干擾EMI：一切與信號無關的對電器及電子設備產生不良影響的電磁發射
防止EMI：減少設備電磁發射；提高設備電磁兼容性EMC

電磁兼容性EMC：電子設備在自己正常工作時產生的電磁環境，與其他設備之間不相互影響的電磁特性

TEMPEST技術：
了解即可

防電磁信息泄露

抑制電磁發射，減小紅區電路電磁發射

屏蔽隔離，在周圍用屏蔽材料使紅信號電磁發射場衰減到足夠小

相關干擾，采取措施使相關電磁發射泄露即使被接受到也無法識別

竊聽

檢測：主動檢查是否存在竊聽器（電纜加壓技術，電磁輻射檢測法，激光檢測技術）

防御：對原始信息進行加密處理，電磁信號屏蔽。

物理隔離

概念

早期為斷開線路
現在指通過制造物理的豁口，達到物理隔離的目的

表現

阻斷網絡的直接鏈接

阻斷網絡的Internet邏輯鏈接

隔離設備的傳輸機制有不可編程的特性

任何數據都是通過兩級移動代理的方式完成

隔離設備具有審查的功能

隔離設備為傳輸的原始數據，不具有攻擊或對網絡安全有害的特性

強大的管理和控制功能

從隔離的內容看，隔離分為網絡隔離和數據隔離

物理隔離和邏輯隔離

物理隔離：
不安全就不聯網，要保證絕對安全
邏輯隔離：
在保證網絡正常使用下，盡可能安全

內部網和外網之間實現物理隔離，外網和公網之間實現邏輯隔離

物理隔離基本形式

內外網絡無連接

客戶端物理隔離

網絡設備端物理隔離

服務端物理隔離

容錯與容災

容錯

保證信息系統可靠性三條途徑：

避錯：完善設計和制造，設計一個故障盡量少的系統

糾錯：出現故障，則通過檢測，排除來消除故障

容錯：即使出現了錯誤，系統也可執行一組規定的程序，來減少錯誤造成的損失

容錯系統可分為五種類型：

高可用度系統：可用度用系統在某時刻可以運行的概率衡量，用于執行無法預測的用戶程序，主要面向商業市場

長壽命系統：在其生命期內不能進行人工維修，常用于航天領域

延遲維修系統：一段時間內不需要維修，也用于航天領域

高性能系統：對故障非常敏感，要求具有瞬間故障的自行恢復能力

關鍵人物系統：出錯可能造成重大損失，要求確保無誤，故障恢復時間短

常用的數據容錯技術：

空閑設備：也叫雙件熱備，備份兩套相同的部件

鏡像：一個工作交給兩個相同的部件執行

復現：兩個系統，源系統和輔助系統，輔助系統接受數據存在一定延遲

負載均衡：將一個任務分解為多個子任務，分配給不同的服務器執行。

容災

解決方案：

對服務的維護與恢復
保護或恢復丟失的，被破壞的或被刪除的信息
數據和系統的備份和還原

身份認證

概述

什么是身份認證？
身份認證是證實用戶的真實身份和其所聲稱的身份是否相符的過程
身份認證的依據應包含只有該用戶特有的，并可以驗證的特定信息

用戶所知道或所掌握的信息，如密碼，口令(基于口令的認證技術)
用戶所擁有的特定東西，如身份證，護照，密鑰（基于密碼學的認證技術）
用戶所擁有的個人特征，如指紋，虹膜，DNA,人臉等（基于生物特征的認證技術）

身份認證的分類
根據認證條件的數目分類：
單因子認證，雙因子認證，多因子認證
根據認證數據的狀態來看：

靜態數據認證：用于識別用戶身份的認證數據事先已產生并保存在特定的存儲介質上，如密碼
動態數據認證：用于識別用戶身份的認證數據不斷動態變化，每次認證使用不同的認證數據，即動態密碼，如驗證碼

認證協議

以網絡為背景的認證技術的核心技術是密碼學，對稱密碼和公開密碼是主要技術
實現認證必須要求示證方和驗證方遵循一個特定的規則來實施認證，這個規則叫做認證協議
認證過程的安全取決于認證協議的完整性和健壯性

基于對稱密鑰的認證協議

示證方和驗證方共享密鑰，通過共享密鑰來維系彼此的信任關系，實際上認證就是建立某種信任關系的過程
在只有少量用戶的封閉式網絡系統中，共享密鑰的數量有限，可以采用挑戰-應答方式實現認證
在規模較大的網絡系統，采用密鑰服務器實現認證，即依靠可信的第三方完成認證

基于挑戰-應答方式的認證協議

A->B:IDa||IDb 用戶a給用戶b發送了a和b的ID表示通信請求

B->A:Nb 用戶b驗證用戶a的身份，生成一個隨機數Nb發送給a

**A->B:Ek（Nb）**用戶a用共享密鑰Ek加密Nb發回給b

b用共享密鑰Ek解密a發給它的信息，解密后與Nb相同則說明有相同的共享密鑰，證明對方為a，挑戰應答成功

Needham-Schroeder認證協議

所有的使用者信任一個公正的第三方，第三方被稱為認證服務
每個使用者需要在認證服務器AS上完成注冊
AS保存每一個用戶的信息并與每一個用戶共享一個對稱密鑰

**A->KDC: IDa||IDb||N1 **

A通知KDC（AS，密鑰分配中心）要與B進行通信，同時發送隨機數N1

KDC->A:Eka[Ks||IDb||N1||Ekb[Ks||IDa]]

KDC應答A一組用a的密鑰加密的信息，包含A與B通話的密鑰Ks，用戶b的ID，隨機數N1，用用戶b密鑰加密的Ks以及用戶A的ID

A->B: Ekb[Ks||IDa]

用戶a解密KDC發過來的信息，得到共享密鑰Ks，并將其中的Ekb[Ks||IDa]原樣不動地發給用戶b（用戶a轉發KDC給b的內容）

B->A: Eks[N2]

用戶b用ks加密挑戰值N2，并發送給A等待A的回復認證信息

A->B: Eks[f(N2)]

用戶A還原N2后，根據事先約定好的約定f（x），計算f（N2），再用Ks加密后，發給N2，回應b的挑戰，完成認證，隨后a和b使用Ks進行加密通信

該協議的漏洞

攻擊方C掌握a和吧之間的一個老的會話密鑰Ks
C可以在第三步冒充A用老的會話密鑰欺騙b，以a的身份與b進行會話重放攻擊

Kerbero協議

Kerberos是通過對稱密鑰系統為用戶機/服務器應用程序提供強大的第三方認證服務

每個用戶或應用服務器與Kerberos分享一個對稱密鑰
由兩部分組成：
- 認證服務器AS
- 票據授予服務器TGS
允許一個用戶通過交換加密信息在整個網絡與另一個用戶或應用服務器互相證明身份，Kerberos為通訊雙方提供對稱密鑰
票據Ticket是客戶端用于證明自己身份并可以傳遞通訊會話密鑰的認證資料
- AS負責簽發訪問TGS服務器的票據
- TGS負責簽發訪問其他應用服務器的票據

第一階段：身份驗證服務交換（完成身份認證，獲得訪問TGS的票據）

C->AS: IDc||IDtgs||TS1
- 用戶c向as發送c和tgs的id，代表訪問tgs的請求，TS1是時間戳，代表發送請求的時間，用于防止重放攻擊
AS->C: Ekc[KC,tgs||Dtgs||TS2||Lifetime2||Tickettgs]
- as收到請求后返回用Kc（as和用戶c的共享密鑰）加密的信息，第一條Kc，tgs是用戶c和tgs通信的會話密鑰，第二個IDtgs是tgs的ID，第二個是as返回消息的時間戳，Lifetime是這一條消息的有效時間，Tickettgs是用戶c訪問tgs的票據
Tickettgs = Ektgs[Kc,tgs||IDc||ADc||IDtgs||TS2||Lifetime2]
- 用戶c用于訪問tgs的票據，用EKtgs加密，用戶c無法解密，第一條是用戶Kc，tgs是用戶c和tgs通信的會話密鑰，第二條IDc是用戶c的ID，ADc是用戶c的網絡地址，IDtgs是tgs的ID，TS2是as返回用戶c的時間戳，Lifetime是有效時間，用于防止重放攻擊

第二階段：票據授予服務交換（獲取訪問服務器V的票據）

C->TGS: IDv||Tickettgs||Authenticator
- 用戶c向TGS發送消息，用于申請訪問服務器v，第一條IDv代表用戶要訪問服務器v，第二條是as簽發的訪問票據，Authenticatorc是由Ekc（as簽發的c與tgs之間的會話密鑰）加密的信息。
TGS->C: EKc,tgs[Kc,v||IDv||TS4||Ticketv]
- TGS向用戶c回復了c和tgs會話密鑰加密的信息，第一部分Kc,v是用戶c與服務器v的會話密鑰，第二部分IDv是服務器v的id，第三部分TS4是這一條消息的時間戳，Ticketv是用戶c訪問服務器v的票據
Authenticatorc=EKc,tgs[IDc||ADc||TS3]
- 用于驗證時效性
Ticketv=Ekv[Ec,v||IDc||ADc||IDv||TS4||Lifetime4]
- 用服務器v的密鑰加密，第一條消息Kc，v是用戶c與服務器v之間通信的會話密鑰，IDc是用戶c的id，ADc是用戶c的網絡地址，IDv是服務器v的id，TS4是tgs向用戶c返回消息的時間戳，Lifetime是有效時間，用于防止重放攻擊

第三階段：用戶與服務器身份驗證交換

C->V: Ticketv||Authenticatorc
- 用戶c向服務器v發送訪問服務器v的票據以及驗證時效性的信息，作為服務請求
V->C: Ekc,v[TS5+1]
- 客戶端v向用戶c發起可選的身份驗證，用于實現雙向認證
Authenticatorc=EKc,v[IDc||ADc||TS5]

Windows系統的安全認證

兩種類型：
- 本機登錄（不聯網）
- 登錄域服務器
客戶端與域控制器有共享口令
用戶如想登錄操作系統，首先創建賬號，賬號信息保留在系統內部，每次登錄由Winlogon輸入用戶名口令
口令會被散列函數求散列值，同時Winlogon向域控制器請求登錄
域控制器取用戶口令散列，然后產生8字節的質詢，向客戶端發送質詢
客戶端收到挑戰后用口令的散列值對質詢進行散列，然后把散列后的值發給域控制器
同時域控制器也對用戶口令散列，對質詢進行散列
然后域控制器比對兩個散列值，如果相同，登錄成功，否則失敗。
用戶登錄時的口令并沒有在網絡上傳輸，極大地提高了安全性

基于公開密鑰的認證協議

基于公開密鑰身份認證協議有兩種形式：

方式一是實體a需要認證實體b，a發送一個明文挑戰消息（挑戰因子，通常是隨機數）給b，b收到挑戰后，用自己私鑰對挑戰明文消息加密，稱為簽名，b將簽名消息發送給a，a使用b的公鑰來解密簽名消息，稱為驗證簽名，以此來確定b是否具有合法身份
方式二是實體a將挑戰因子用實體b的公鑰加密后發送給b，b收到后用自己的私鑰解密還原出挑戰因子，并將挑戰因子原文發還給a，a可以根據挑戰因子內容的真偽來核實b的身份

Needham-Schroeder公鑰認證

不需要可信的第三方

A->B:EK∪b[IDa||Ra]

a給b發送用b的公鑰加密的a的id IDa和挑戰因子Ra，確保只有b才能使用私鑰解密，即a對b進行挑戰應答

B->A:Ek∪a[Ra||Rb]

b用自己私鑰解密出Ra后用a的公鑰加密，并給a發送用a的公鑰加密的a的挑戰因子Ra和b的挑戰因子Rb，確保只有a才能使用私鑰解密，即b回復a的挑戰應答，同時b對a進行挑戰應答

A->B:Ek∪b[Rb]

a用自己私鑰解密出Rb后用b的公鑰加密，發送給b，即回復b的挑戰應答。這樣，雙向的挑戰應答完成。

有一個問題：如何確定對方的公鑰是真實的？
如果黑客用自己的公鑰替代b的公鑰，則可以冒充b的身份

基于CA數字證書的認證協議

數字證書是一個經過權威的可信賴的公正的第三方機構（CA認證中心）簽名的包含擁有者信息及公開密鑰的文件

范疇內容

-	版本，證書序列號
簽名算法標識	算法，參數
-	簽發者
有效期	生效時間，終止時間
主題公鑰信息	算法，參數，密鑰
-	發行商唯一標識
-	證書主體唯一標識
-	拓展
簽名	算法，參數，密鑰

基于數字簽名進行身份認證的過程

示證方向CA中心申請數字證書

CA向示證方頒發數字證書

A簽名的信息+A的數字證書發送給驗證方

驗證方從CA獲取示證方公鑰

驗證方驗證數字證書和簽名信息

公鑰基礎設施PKI

公鑰基礎設施PKI是一種遵循一定標準的密鑰管理基礎平臺，為所有網絡應用提供加密和數字簽名等密碼服務所必須的密鑰和證書管理

PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施
用戶可利用PKI平臺提供的服務進行安全的電子交易，通信和互聯網上的各種活動

最外層是PKI應用接口，面向應用程序和面向用戶提供密鑰和證書管理服務的接口
中間一層是PKI組成部分
- 認證機構CA
- 證書庫
- 證書撤銷處理
- 密鑰備份以及恢復
核心是公鑰算法和數字證書

基于X.509的PKI系統

X.509是數字證書標準格式

包含一組按預定義排列的強制字段
還包括可選拓展字段
它為大多數數字段提供了多種編碼方案

分層次，A為上層，BHP為中層，依次往下

用戶a的證書鏈：KRa < CAb > KRb < CAc > KRc < CAd > KRd < CAa >
其實是A->B->C->D->a

一種典型的PKI模型

RA服務器處理證書申請，證書審核
安全服務器負責監控RA和CA的安全
數據庫服務器用于存儲用戶信息和密鑰
LDAP是輕量級分布式目錄訪問協議，用于實現證書下載和查詢
CRL是證書撤銷列表，查詢CRL可以得知證書是否撤銷

PKI系統功能

接收驗證用戶數字證書的申請
確定是否接收用戶數字證書的申請
向申請者頒發或拒絕頒發數字證書
接收，處理用戶的數字證書更新請求
接收用戶數字證書的查詢和撤銷
產生和發布數字證書的有效期
數字證書的歸檔
密鑰歸檔
歷史數據歸檔

訪問控制

概述

身份認證：識別用戶是誰的問題
訪問控制：管理用戶對資源的訪問

訪問控制模型基本構成：主題，客體，訪問控制策略

主體：是指提出訪問請求的實體，是動作的發起者，但不一定是動作的執行者。主體可以是用戶或其他代理用戶行為的實體（如進程，作業和程序等）
客體：是指可以接收主體訪問的被動實體。客體的內涵很廣泛，凡是可以被操作的信息，資源對象都可以認為是客體（如音視頻服務，打印服務，文件服務，數據庫服務）
訪問控制策略：是指主體對客體的操作行為和約束條件的關聯集合。簡單地說，訪問策略是主體對客體的訪問規則集合，這個規則集合可以直接決定主體是否可以對客體實施特定的操作

訪問控制模型

可信計算機系統評估準則TCSEC描述了兩種著名的訪問控制模型
- 自主訪問控制DAC（Discretionary Access Control）
- 強制訪問控制MAC（Mandatory Access Control）
基于角色的訪問控制RBAC(Role Based Access Control)模型

自主訪問控制模型DAC

根據自主訪問策略建立的一種模型
允許合法用戶以用戶或用戶組的身份來訪問系統控制策略許可的客體，同時組織非授權用戶訪問客體
某些用戶還可以自主地把自己所擁有的的客體訪問權限授予其他用戶
在UNIX,LINUX,Windows NT 等操作系統都提供自主訪問控制的功能

訪問權限信息存儲

訪問控制表ACL（Access Control Lists）
訪問控制能力表ACCL（Access Control Capability Lists）
訪問控制矩陣ACM（Access Control Matrix）

訪問控制列表ACL
以訪問客體為觀察對象，考察各個訪問主體（用戶）對其的權限（讀，寫，執行）

訪問控制能力表ACCL
以訪問主體（用戶）為觀察對象，考察它對各個訪問客體的權限（讀，寫，執行）

訪問控制矩陣ACM
從訪問客體和訪問主體兩個維度共同考察權限

強制訪問控制模型MAC

強制訪問控制MAC是一種多級訪問控制策略

系統事先給訪問主體和受控客體分配不同的安全級別屬性
在實施訪問控制時，系統先對訪問主體和受控客體的安全級別進行比較，再決定訪問主體能否訪問該受控客體

MAC模型形式化描述

主體類S和客體類O
安全類SC（x）=<L,C>
- L為有層次的安全級別Level
- C為無層次的安全范疇Category

主體和客體均可以用安全類進行形式化描述

訪問的四種形式

向下讀（RD，Read Down）

主體安全級別高于客體信息資源的安全級別時SC（s）≥SC（o），允許讀操作

向上讀（RU，Read Up）

主體安全級別低于客體信息資源的安全級別時SC（s）≤SC（o），允許讀操作

向下寫（WD，Write Down）

主體安全級別高于客體信息資源的安全級別時SC（s）≥SC（o），允許寫操作

向上寫（WU，Write Up）

主體安全級別低于客體信息資源的安全級別時SC（s）≤SC（o），允許寫操作

MAC的兩種常用模型

Bell-LaPadula模型

向下讀
向上寫
防止信息向下級泄露，包含機密性

Bida模型

向下寫
向上讀
保護數據完整性

基于角色的訪問控制模型RBAC

組Group的概念，一般認為Group是具有某些相同特質的用戶集合
在UNIX操作系統中Group可以被看成是擁有相同訪問權限的用戶集合

定義用戶組時會為該組授予相應的訪問權限
如果一個用戶加入了該組，則該用戶具有了該用戶組的訪問權限

角色Role是一個與特定工作活動相關聯的行為和責任的集合

Role不是用戶的集合，這就與組Group不同
當一個角色與一個組綁定，這個組就擁有了該角色擁有的特定工作的行為能力和責任
組Group和用戶User都可以看成是角色分配的單位和載體
而一個角色Role可以看成具有某種能力或某些屬性的主體的一個抽象

引入角色Role的目的

為了隔離User與Privilege
Role作為一個用戶與權限的代理層，所有的授權應該授予Role而不是直接給User或Group
RBAC模型的基本思想是將訪問權限分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權

例子
在一個公司中，用戶角色Role可以定義為經理，會計，出納員，審計員，具體的權限如下：

經理：允許查詢公司的經營情況和財務信息，但不允許修改具體的財務信息，必要時可以根據財務憑證支付和收取現金，并編制銀行帳和現金帳
會計：允許根據實際情況編制各種財務憑證和賬簿，但不包括銀行帳和現金帳
出納員：允許根據財務憑證支付和收取現金，并編制銀行帳和現金賬
審計員：允許查詢審查公司的經營狀況和財務信息，但不允許修改任何賬目

RBAC的策略陳述易于被非技術的組織策略者理解，既具有基于身份策略的特征，也具有基于規則策略的特征
在基于組或角色的訪問控制中，一個用戶可能不只是一個組或角色的成員，有時又可能有所限制
例如經理也可以充當出納員的角色，但不能負責會計工作，即各角色直接存在相容和相斥的關系

制定訪問控制策略的三個基本原則
最小特權原則

是指主體執行操作時，按照主體所需權利的最小化原則分配給主體權利
最小權限原則的優點是最大限度地限制了主體實施授權行為，可以減少來自突發事件和錯誤操作帶來的危險

最小泄露原則

是指主體執行任務時，按照主體所需要的最小化原則分配給主體訪問權限

多級安全策略

是指主體和客體間的數據流方向必須受到安全等級的約束。多級安全策略的優點是避免敏感信息的擴散
對于具有安全級別的信息資源，只有安全級別比他高的主體才能對其訪問

Windows系統的安全管理

Windows系統安全體系結構

最外層是用戶認證，驗證用戶的身份，誰能登錄，誰不能登錄（基礎）
最內層是安全策略，決定了系統安全各個組件如何配合工作（核心）
第二層是加密和訪問控制，加密實現用戶和系統直接通信的機密性，訪問控制能決定主體對客體的訪問權限，誰能做什么，誰能訪問什么資源（重要組成部分）
第三層管理和審計，管理是系統配置，提供用戶控制系統的接口，審計是在發生安全事件時追責，通過查看日志查看安全事件是如何發生的

安全主體
Windows系統的安全性主要圍繞安全主體展開，保護其安全性
安全主體包括用戶，組，計算機，域

用戶是Windows系統中操作計算機資源的主體，每個用戶必須先行加入Windows操作系統，并被指定為唯一的用戶
組是用戶賬戶集合的一種容器，同時組也被授予了一定的訪問權限，防盜一個組中的所有賬戶都會繼承這些權限
計算機是指一臺獨立計算機的全部主體和客體資源的集合，也是Windows系統管理的獨立單元
域是使用域控制器（DC，Domain Controller）進行集中管理的網絡，域控制器是共享的域信息的安全存儲倉庫，同時也作為域用戶認證的中央控制機構

安全子系統

windows安全服務由安全子系統提供
最底層交安全參考監視器SRM，運行在內核模式，是Windows安全子系統核心，負責身份認證，訪問控制和審計
上部分交本地安全機構LSA，運行在用戶模式，主要有系統登錄進程WInlogon，本地安全機構子系統LSASS
Winlogon是負責用戶登錄的進程，會調用圖形化識別和認證進程Gina（就是登錄界面）
本地安全機構子系統由SAM服務，NetLogon和LSA服務組成
- SAM服務是一個數據庫，用于存儲用戶賬戶和口令（密碼）信息的數據庫
- NetLogon是進行域登錄，網絡登錄的數據庫
- LSA服務負責訪問控制和審計，審計是通過一定策略記錄系統中發生的事件，故用到事件記錄器
- 他們調用了兩個dll文件：
  - Mav1_0.dll負責登錄
  - Kerberos負責網絡身份認證

Windows登錄認證流程

Winlogon調用GINA進行（圖形化登錄進程）
GINA調用本地安全服務LSA實現登錄認證
本地安全服務會加載認證包（Authentication Packages）
認證包提供認證服務
SSPI安全服務提供者接口是用于登錄的接口
SAM安全賬戶管理器
Netlogon網絡登錄

Windows系統的訪問控制

訪問控制的組成：

訪問令牌（AccessToken）和安全描述符（Security Descriptor），他們分別被訪問者和被訪問者持有。通過訪問令牌和安全描述符的內容，Windows可以確定持有令牌的訪問者能否訪問持有安全描述符的對象

訪問控制的基本控制單元“賬戶”

賬戶是一種參考上下文，是一個具有特定約束條件的容器，也可以理解為背景環境
操作系統在這個上下文描述符上運行該賬戶的大部分代碼
那些在登錄之前就運行的代碼（例如服務）運行在一個賬戶（特殊的本地系統賬戶SYSTEM）的上下文中

安全標識符SID
Windows中的每個賬戶或賬戶組都有一個安全標識符SID（Security Identity）
Administrator和Users等賬戶或者賬戶組在Windows內部均采用SID來標識的
每個SID在同一個系統中都是唯一的

例如S-1-5-21-1507001333-1204550764-1011284298-500就是一個完整的SID
第一個數字1是修訂版本編號
第二個數字5是標識符頒發機構代碼
4個子頒發機構代碼
最后一個數叫相對標識符RID（Relative Identifier）RID 500代表Administrator賬戶，RID501是Guest賬戶，從1000開始的RID代表用戶賬戶

訪問令牌

每個訪問令牌都與特定的Windows賬戶相關聯，訪問令牌包含該賬戶的SID，所屬組的SID以及賬戶的特權信息
查看當前登錄用戶訪問令牌的命令whoami /all
當一個賬戶登錄的時候，LSA從內部數據庫里讀取該用戶的信息，然后使用這些信息生成一個訪問令牌
令牌相當于用戶訪問系統資源的票證，在該用戶環境中啟動的進程或線程，都會獲得這個令牌的一個副本
當用戶試圖訪問系統資源時，需要將令牌提供給SRM，SRM檢查用戶試圖訪問的資源的ACL如果用戶允許訪問該資源，會給用戶分配適當的權限

兩個訪問者線程A和B，他們分別具有對應的訪問令牌
線程A有Smith和組ABC的訪問令牌
線程B有Bob和組A的訪問令牌
左部分是安全描述符，包括對象擁有者的SID，范圍控制列表（自主訪問控制列表，系統訪問控制列表）
- 禁止Smith讀寫執行
- 允許組A讀
- 允許所有人讀執行

活動目錄和組策略

活動目錄AD

活動目錄AD（Active Directory）是一個面向網絡對象管理的綜合目錄服務
網絡對象包括用戶，用戶組，計算機，打印機，應用服務器，域，組織單元（OU）以及安全策略等
AD提供的是各種網絡對象的索引集合，可以看做是數據存儲的視圖
將分散的網絡對象有效地組織起來，建立網絡對象索引目錄，并存儲在活動目錄的數據庫內

活動目錄AD的管理劃分

組策略GP

活動目錄AD是Windows網絡中重要的安全管理平臺，組策略GP是其安全性的重要體現。
組策略可以理解為依據特定的用戶或計算機的安全需求定制的安全配置規則
管理員針對每個組織單元OU定制不同的組策略，并將這些組策略存儲在活動目錄的相關數據庫內，可以強制推送到客戶端實施組策略
活動目錄AD可以使用組策略命令來通知和改變已經登錄的用戶的組策略，并執行相關安全配置

組策略工作流程
網絡管理員根據組策略模板定制組策略，生成組策略庫，為域中的每個OU制定不同的組策略，制定好后推送給每臺計算機

組策略的實施

注冊表是Windows系統中保存系統應用軟件配置的數據庫
很多配置都是可以自定義設置的，但這些配置會發布在每個注冊表的各個角落，如果是手工配置，會非常的困難繁瑣
組策略可以將系統中重要的配置功能匯集成一個配置集合，管理人員通過配置并實施組策略，達到直接管理計算機的目的
簡單的說，實施組策略就是修改注冊表中的相關配置

組策略和活動目錄AD配合

組策略分為基于活動目錄的和基于本地計算機的兩種
- AD組策略存儲在域控制器上活動目錄AD的數據庫中，它的定制實施由域管理員來執行，而本地組策略存放在本地計算機內，由本地管理員來定制實施
- AD組策略實施的對象是整個組織單元OU，本地組策略只負責本地計算機
組策略和活動目錄AD配合
- 組策略部署在OU，站點或域的范圍內，也可以部署在本地計算機上，部署在本地計算機時，組策略不能發揮其全部功能，只有和AD配合，組策略才可以發揮出全部潛力

組策略的主要工作

部署軟件

設置用戶權利

軟件限制策略：管理員可以通過配置組策略，限制某個用戶只能運行特定的程序或執行特定的任務

控制系統設置：允許管理員統一部署網絡用戶的Windows服務

設置登錄，注銷，關機，開機腳本

通用桌面控制

安全策略：批量待定客戶端計算機的安全選項，包括密碼設置，審核，IP安全策略等

重定向文件夾

基于注冊表的策略設置

網絡威脅

概述

威脅：使用威力逼迫恫嚇使人屈服
網絡威脅：是網絡安全受到威脅，存在著危險
隨著互聯網的不斷發展，網絡安全威脅也呈現了一種新的趨勢
- 最初的病毒，比如“CIH”，“大麻”等傳統病毒
- 逐漸發展成為包括特洛伊木馬，后門程序，流氓軟件，間諜軟件，廣告軟件，網絡釣魚，垃圾郵件等等
- 目前的網絡威脅往往是集多種特征于一體的混合型威脅

網絡威脅的三個階段

第一階段：1998年以前，網絡威脅主要來源于傳統的計算機病毒，特征是通過媒介復制進行傳染，以破壞個人電腦為目的
第二階段：1998年以后，網絡威脅主要以蠕蟲病毒和黑客攻擊為主，其表現為蠕蟲病毒通過網絡大面積爆發及黑客攻擊一些服務網站
第三階段：2005年以來，網絡威脅多樣化，多數以偷竊資料，控制利用主機等手段謀取經濟利益為目的

網絡威脅分類
從攻擊發起者的角度來看：

一類是主動攻擊型威脅，如網絡監聽和黑客攻擊等，這些威脅都是對方人為通過網絡通信連接進行的
另一類是被動型威脅，一般是用戶通過某種途徑訪問了不當的信息而受到的攻擊

依據攻擊手段及破壞方式進行分類

第一類以傳統病毒，蠕蟲，木馬為代表的計算機病毒
第二類是以黑客攻擊為代表的網絡入侵
第三輪是以間諜軟件，廣告軟件，網絡釣魚軟件為代表的欺騙類威脅

分別對應三小節

計算機病毒

計算機病毒發展史

略

計算機病毒定義

病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”

計算機病毒特征：

非授權性

寄生性

傳染性

潛伏性

破壞性

觸發性

計算機病毒新的發展趨勢

無國界

多樣化

破壞性更強

智能化

更加隱蔽化

計算病毒可以根據其工作原理和傳播方式劃分成

傳統病毒

蠕蟲病毒

木馬

傳統病毒

代表：巴基斯坦智囊Brain，大麻病毒，磁盤殺手，CIH
傳統病毒一般有三個主要模塊組成，包括啟動模塊，傳染模塊，破壞模塊

CIH病毒

傳染Windows95/98環境下PE格式的EXE文件
病毒發作時直接攻擊和破壞計算機硬件系統
該病毒通過文件復制進行傳播
計算機開機后，運行了帶病毒的文件，其病毒就駐留在Windows核心內存里
組成：初始化駐留模塊，傳染模塊和破壞模塊

蠕蟲病毒

蠕蟲和傳統病毒的區別：

傳統病毒需要寄生的，通過感染其他文件進行傳播
蠕蟲病毒一般不需要寄生在宿主文件中，傳播途徑主要包括局域網內的共享文件夾，電子郵件，網絡中的惡意網頁和大量存在著漏洞的服務器等
可以說蠕蟲病毒以計算機為載體，以網絡為攻擊對象
蠕蟲病毒能夠利用漏洞，分為軟件漏洞和人為缺陷
軟件漏洞主要指程序員由于習慣不規范，錯誤理解或想當然，在軟件中留下存在安全隱患的代碼
人為缺陷主要指計算機用戶的疏忽，這就是所謂的社會工程學問題

一般利用漏洞傳播

尼姆達病毒
尼米達病毒激活后，使用其副本替換系統文件，將系統的各驅動器設為開發共享，降低系統安全性，創建Guest賬戶并將其加入到管理員組中，安裝Guest用戶后門

由于尼姆達病毒通過網絡大量傳播，產生大量異常的網絡流量和大量的垃圾郵件，網絡性能受到嚴重影響

尼姆達病毒可以通過web服務器，郵件服務器，本地網絡共享區傳播

通過web服務器傳播，通過攻擊代碼感染主頁，通過訪問主頁感染本地PE格式文件
通過郵件服務器傳播，依靠病毒郵件
通過本地網絡共享區傳播，依靠病毒文件

木馬

木馬病毒，潛伏偽裝的網絡病毒

木馬是有隱藏性，傳播性的可用被用來進行惡意行為的程序，因此，也被看做是一種計算機病毒
木馬一般不會直接對計算機產生危害，以控制電腦為目的，當然電腦一旦被木馬所控制，后果不堪設想

木馬的傳播方式

主要通過電子郵件附件，被掛載木馬的網頁以及捆綁了木馬程序的應用軟件
木馬被下載安裝后完成修改注冊表，駐留內存，安裝后門程序，設置開機加載項等，甚至能夠使殺毒程序，個人防火墻等防范軟件失效

木馬病毒分類

盜號類木馬

網頁點擊類木馬

下載類木馬

代理類木馬

木馬病毒程序組成

控制端程序（客戶端）
- 是黑客常用來控制遠程計算機中的木馬的程序
木馬程序（服務器端）
- 是木馬病毒的核心，是潛入被感染的計算機內部，獲取其操作權限的程序
木馬配置程序
- 通過修改木馬名稱，圖標等來偽裝隱藏木馬程序，并配置端口號，回送地址等信息確定反饋信息的傳播路徑

灰鴿子木馬

被動植入是指植入過程必須依賴受害用戶的手工操作
主動植入是將灰鴿子程序通過程序自動安裝到目標系統

灰鴿子病毒的隱藏技術（服務器端程序）

隱藏文件
隱藏進程
隱藏通迅
- 通訊端口復用技術是將自己的通訊直接綁定到正常用戶進程的端口，接收數據后，根據數據包的格式判斷是不是木馬的，如果是，自己處理，否則通過127.0.0.1的地址交給真正的服務器應用進行處理
- 反彈端口技術是指木馬程序啟動后主動連接客戶，為了隱蔽起見，控制端的被動端口一般設置為80端口，對內部網絡到外部網絡的訪問請求，防火墻一般不進行過于嚴格的檢查，加之其連接請求有可能偽造成對外部資源的正常訪問，因此可以通過防火墻

客戶端程序
定制生成服務器端程序

首先利用客戶端程序配置生成一個服務器端程序文件，服務器端文件的名字默認為G_Server.exe，然后開始在網絡中傳播植入這個程序
控制遠程的服務器端
當木馬植入成功后，系統啟動是木馬就會加載運行，然后反彈窗口技術主動連接客戶控制端
客戶控制端程序的功能：
對遠程計算機文件管理
遠程捕獲命令
捕獲屏幕，實時控制
注冊表模擬器

病毒防治

病毒防治技術略滯后于病毒技術
對于大多數計算機用戶來說，防治病毒首先需要選擇一個有效的防病毒產品，并及時進行升級
計算機病毒防治技術主要包括：
- 檢測，清除，預防和免疫
- 檢測和清除是根治病毒的有力手段
- 預防和免疫也是保證計算機系統安全的重要措施

檢測

病毒檢測方法主要包括：特征代碼法，校驗和法，行為檢測法以及軟件模擬法等。
特征代碼法
- 特征代碼查毒就是檢查文件中是否含有病毒數據庫中的病毒特征代碼
校驗和法
- 對正常狀態下的重要文件進行計算，取得其校驗和，以后定期檢查這些文件的校驗和與原來保存的校驗和是否一致
行為檢測法
- 利用病毒的特有行為特征來監測病毒的方法，稱為行為檢測法。當一個可疑程序運行時，監測其行為，如果發現了病毒行為，立即報警
軟件模擬法
- 軟件模擬法是為了對付多態型病毒。軟件模擬法是通過模擬病毒的執行環境，為其構造虛擬機，然后在虛擬機中執行病毒引擎解碼程序，安全地將多態型病毒解開并還原其本來面目，再加以掃描。軟件模擬法的優點是可以識別未知病毒，病毒定位準確，誤報率低，缺點是檢測速度受到一定影響，消耗系統資源較高

計算機中毒的常見癥狀

系統運行速度減慢
系統經常無故死機
文件長度發生變化
存儲容量異常減少
丟失文件或文件損壞
屏幕上出現異常提示
系統的蜂鳴器出現異常聲響
磁盤卷標發生變化
系統不識別磁盤
對存儲系統異常訪問
鍵盤輸入異常
文件的日期，時間，屬性等發生變化
文件無法正確讀取，復制或打開
命令執行出現錯誤
Windows操作系統無故頻繁出現錯誤
系統異常重新啟動
一些外部設備工作異常
出現異常的程序駐留內存

清除
清除病毒主要分為：

使用防病毒軟件和手工清除病毒兩種方法
防病毒軟件由安全廠商精心研制，可以有效查殺絕大多數計算機病毒，多數用戶應采用防病毒軟件來清除病毒
防病毒軟件對檢測到的病毒一般采取三種處理方案，分別是清除，隔離和刪除
清除是指在發現文件被感染病毒時，采取的清除病毒并保留文件的動作
隔離是指在發現病毒后，無法確認清除動作會帶來什么后果，又不想直接刪除文件，故采取監視病毒并阻止病毒運行的方法
某類病毒清除失敗，刪除失敗，隔離失敗，對個人用戶來講，格式化硬盤，重建系統可能是最后的有效選擇

蠕蟲，木馬病毒的清除

結束所有可能的進程
刪除病毒文件并恢復注冊表
內核級后門的清除
重啟后掃描
除了以上三步，隨后需要重啟啟動系統，并使用帶有最新病毒庫的防病毒軟件對全盤進行掃描

預防

安裝殺毒軟件
- 打開你的防毒軟件的自動升級服務，定期掃描計算機
注意軟盤，光盤，U盤等存儲媒介
- 在使用軟盤，光盤，U盤等活動硬盤前，病毒掃描
關注下載安全
- 下載要從比較可靠的網站進行，下載后做病毒掃描
關注電子郵件安全
- 來歷不明的郵件決不要打開，絕不要輕易運行附件
使用基于客戶端的防火墻
警惕欺騙性的病毒
備份

免疫
計算機病毒免疫

提高計算機系統對計算機病毒的抵抗力，從而達到防止病毒侵害的目的
一是提高計算機系統的健壯性，二是給計算機注射“病毒疫苗”
提高系統健壯性的主要途徑包括以下內容：
- 及時升級操作系統，保證系統安裝最新的補丁
- 安裝防病毒軟件，及時升級病毒定義文件和防病毒引擎
- 定期掃描系統和磁盤文件
- 打開個人防火墻
- 使用軟盤或U盤寫保護
- 重要的數據信息寫入只讀光盤

注射病毒疫苗
實施免疫的主要方法包括以下幾個方面：

感染標識免疫
- 人為地為正常對象加上病毒感染標識，使計算機病毒誤以為已經感染從而達到免疫的目的
文件拓展名免疫
- 將拓展名改為非COM，EXE，SYS，BAT等形式
- 將系統默認的可執行文件后綴名改為非COM，EXE,SYS,BAT等形式
外部加密免疫
- 外部加密免疫是指在文件的存儲權限和存取路徑上進行加密保護，以防止文件被非法閱讀和修改
內部加密免疫
- 對文件內容加密變換后進行存儲，在使用時再進行解密

網絡入侵

入侵是指在非授權的情況下，試圖存取消息，處理消息和破壞系統，以使系統不可靠或不可用的故意行為
網絡入侵一般是指具有熟練編寫，調試和使用計算機程序的技巧的人，利用這些技巧來獲得非法或未授權的網絡或文件的訪問，進入內部網的行為
對信息的非授權訪問一般被稱為破解cracking

網絡攻擊三個階段
一般分為：前期準備，實施入侵，后期處理

準備階段需要完成的工作主要包括明確入侵目的，確定入侵對象，選擇入侵手段
- 入侵目的一般分為控制主機，癱瘓主機和癱瘓網絡
- 入侵對象一般分為主機和網絡兩類
- 根據目的和后果分為：拒絕服務攻擊，口令攻擊，嗅探攻擊，欺騙攻擊，利用型攻擊
實施入侵階段是真正的攻擊階段，主要包括掃描探測和攻擊
- 掃描探測主要用來收集信息，為下一步攻擊奠定基礎
- 攻擊：根據入侵目的，采用相應的入侵手段向入侵對象實施入侵
后期處理主要是指由于大多數入侵攻擊行為都會留下痕跡，攻擊者為了清除入侵痕跡而進行現場清理

拒絕服務攻擊

拒絕服務攻擊DoS（Denial of Service）
- DoS并不是某一種具體的攻擊方式，而是攻擊所表現出來的結果最終使得目標系統因遭受某種程度的破壞而不能繼續提供正常的服務，甚至導致物理上的癱瘓或崩潰
通常拒絕服務攻擊可分為兩種類型
- 第一類攻擊是利用網絡協議的缺陷，通過發送一些非法數據包致使主機系統癱瘓
- 第二類攻擊是通過構造大量的網絡流量致使主機通訊或網絡堵塞，使系統或網絡不能響應正常的服務

Ping of Death

TCP/IP的規范，一個包的長度最大為65536字節
利用多個IP包分片的疊加能做到構造長度大于65536的IP數據包
攻擊者通過修改IP分片中的偏移量和段長度，使系統在接收到全部分段后重組報文時總的長度超過了65535字節
一些操作系統在對這類超大數據包的處理上存在缺陷，當安裝這些操作系統的主機收到了長度大于65536字節的數據包時，會出現內存分配錯誤，從而導致TCP/IP堆棧崩潰，造成死機

Tear drop

IP數據包在網絡傳輸是，數據包可能被分成更小的IP分片
攻擊者可以通過發送兩個或多個IP分片數據包來實現Tear drop攻擊
第一個IP分片包偏移量為0，長度為N，第二個分片包的偏移量小于N，未超過第一個IP分片包的尾部，就出現了偏移量重疊現象
一下操作系統無法處理這些偏移量重疊的IP分片的重組，TCP/IP堆棧會出現內存分配錯誤，造成操作系統崩潰

Syn Flood

攻擊者偽裝TCP的連接請求，向被攻擊的設備正在監聽的端口發送大量的SYN連接請求報文
被攻擊的設備按照正常的處理過程，回應這個請求報文，同時為它分配了相應的資源
攻擊者不需要建立TCP連接，因此服務器根本不會接收到第三個ACK報文，現有分配的資源只能等待超時釋放
如果攻擊者能夠在超時時間到達之前發出足夠多的攻擊報文，被攻擊的系統所預留所有TCP緩存將被耗盡

Smurf攻擊

Smurf攻擊是以最初發動這種攻擊的程序Smurf來命名的，這種攻擊方法，結合使用了IP地址欺騙和ICMP協議
當一臺網絡主機通過廣播地址將ICMP ECHO請求包發送給網絡中的所有機器，網絡主機接收到請求數據包后，會回應一個ICMP ECHO相應包，這樣發送一個包會接受到許多的相應包
Smurf構造并發送原地址為受害主機地址，目的地址為廣播地址的ICMP ECHO請求包，收到請求包的網絡主機會同時相應并發送大量的信息給受害主機，致使受害主機崩潰
如果Smurf攻擊將回復地址設置為受害網絡的廣播地址，則網絡中會充斥大量的ICMP ECHO響應包，導致網絡堵塞

電子郵件炸彈
實施電子郵件炸彈攻擊的特殊程序稱為Email Bomber

郵箱容量是有限的，用戶在短時間內收到成千上萬封電子郵件，美國電子郵件容量也較大，那么經過一輪郵件炸彈轟炸后電子郵箱的容量可能被占滿
另一方面，這些電子郵件炸彈所攜帶的大容量信息不斷在網絡上來回傳輸，很容易堵塞網絡
而且郵件服務器需要不停地處理大量的電子郵件，如果承受不了這樣的疲勞工作，服務器隨時有崩潰的可能

分布式拒絕服務攻擊DDoS

DDoS攻擊就是很多DoS攻擊源疫情攻擊某臺服務器或網絡，迫使服務器停止提供服務或網絡堵塞
DDoS攻擊需要眾多攻擊源，而黑客獲得攻擊源的主要途徑就是傳播木馬，網絡計算機一旦中了木馬，這臺計算機就會被后臺操作的人控制，也就成為了所謂的肉雞，即黑客的幫兇
使用肉雞進行DDoS攻擊還可以在一定程度上保護攻擊者，使其不易被發現

對DoS的防御

及時為系統升級，減少系統漏洞，很多DoS攻擊對應新的操作系統已經失效，如Ping of Death攻擊
關掉主機或網絡中不必要的服務和端口，如對于非WEB主機關掉80端口
局域網應該加強防火墻和入侵檢測系統的應用和管理，過濾掉非法的網絡數據包

口令攻擊

口令攻擊過程一般包括以下幾個步驟

步驟一，獲取目標系統的用戶賬戶和其他有關信息
- 獲取目標系統的用戶賬號及其他有關信息一般可以利用一些網絡服務來實現，如Finger，Whois，LDAP等信息服務
步驟二，根據用戶信息猜測用戶口令
步驟三，采用字典攻擊方式探測口令
- 使用一些程序，自動地從電腦字典中取出一個單詞，作為用戶的口令輸入給遠端的主機，進入系統
- 如果口令錯誤，就按序取出下一個單詞，進行下一個嘗試，并一直循環下去，直到找到正確的口令或字典的單詞試完為止
- 由于這個破譯過程由計算機程序自動完成，幾個小時就可以把字典的所有單詞都試一遍
步驟四，探測目標系統的漏洞，伺機取得口令文件，破解取得用戶口令

系統中可以用作口令的有95個：

10個數字，33個標點符號，52個大小寫字母
采用任意5個字母加上一個數字或符號則可能的排列數為163億
這個數字對于每秒可以進行上百萬次浮點運算的計算機不是什么難事，也就是說一個6位的口令將是不安全的
一般建議使用十位以上并且是字母數字加上標點符號的混合體

防范口令攻擊的方法

口令長度不少于10個字符

口令中要有一些非字母

口令不在英文字典中

不要將口令寫下來

不要將口令存于電腦文件中

不要選擇易猜測的信息做口令

不要在不同系統上使用同一口令

不要讓其他人得到口令

經常改變口令

用于不要對自己口令過于自信

嗅探攻擊

嗅探攻擊又稱為網絡嗅探，是指利用計算機的網絡接口截獲目的地為其他計算機的數據包的一種手段
網絡嗅探的工具被稱為嗅探器（sniffer），是一種常用的收集網絡上傳輸的有用的數據的方法
嗅探攻擊一般是指黑客利用嗅探器獲取網絡傳輸中的重要數據。網絡嗅探也形象的稱為網絡竊聽

共享網絡環境
以太網有四種工作模式：

廣播模式：網卡能夠接收網絡中的廣播數據
組播模式：網卡能夠接收組播數據
直接模式：只有目的網卡才能接收該數據
混雜模式：網卡能夠接收一切通過它的數據

如果攻擊者獲得其中一臺主機的root權限，并將其網卡置于混雜模式，這就意味著不必打開配線盒來安裝偷聽設備，就可以在對共享環境下的其他計算機的通信進行竊聽，在共享網絡中網絡通信沒有任何安全性可言

交換網絡環境
Arp協議
實現網絡地址到物理地址映射
當主機接收到ARP應答數據包的時候，就使用應答數據包的數據對本地的ARP緩存進行更新或添加

Arp欺騙

欺詐服務器D向服務器ABC發送192.16.1.13->ee-ee-ee-ee-ee-ee，則AB認為網絡地址192.16.1.13是物理地址ee-ee-ee-ee-ee-ee，然后服務器D把自己的物理地址改為ee-ee-ee-ee-ee-ee，就可以達到冒充服務器C的目的
當其他服務器發送信息給C時，會發送到ee-ee-ee-ee-ee-ee，故會被欺詐服務器D截獲，然后再發回給cc-cc-cc-cc-cc-cc服務器C，防止被發現。從而達到截獲信息的目的。

防范嗅探攻擊

嗅探檢測器
- 檢測混雜模式網卡來檢查嗅探器的存在，AntiSniff
安全的拓撲結構
- 嗅探器只能在當前網絡段上進行數據捕獲，將網絡分段工作進行的越細，嗅探器能夠收集到的信息越少
會話加密
- 計時嗅探器嗅探到數據報文，也不能識別其內容
地址綁定
- 在客戶端使用arp命令綁定網關的真實MAC地址
- 在交換器上做端口與MAC地址的靜態綁定
- 在路由器上做IP地址與MAC地址的靜態綁定
- 用靜態的ARP信息代替動態的ARP信息

欺騙類攻擊

欺騙類攻擊是指構造虛假的網絡消息，發送給網絡主機或網絡設備，企圖用假消息替代真實消息，實現對網絡及主機正常工作的干擾破壞
常見的假消息攻擊有IP欺騙，ARP欺騙，DNS欺騙，偽造電子郵件等

IP欺騙

IP欺騙簡單地說就是一臺主機冒充另外一臺主機的IP地址與其他設備通信
IP欺騙主要是基于遠程過程調用RPC的命令，比如rlogin，rcp，rsh等
這些命令僅僅根據信源IP地址進行用戶身份確認，以便允許或拒絕用戶RPC
IP欺騙的目的主要是獲取遠程主機的信任和訪問特權

IP欺騙攻擊主要步驟

選定主機并發現被該主機信任的其他主機

使得被信任的主機喪失工作能力（例如采用SYN flood攻擊）

使用被目標主機信任的主機的IP地址，偽造建立TCP連接的SYN請求報文，試圖以此數據報文建立與目標主機的TCP連接

序列號取樣和猜測

使用被目標主機信任的主機的IP地址和計算出的TCP序列號，構造TCP連接的ACK報文，發送給目標主機，建立起與目標主機基于地址驗證的應用連接

如果成功，攻擊者可以使用一種簡單的命令放置一個系統后門，以進行非授權操作

TCP連接三次握手：

攻擊人主機向目標主機發送SYN包
目標主機返回SYN+ACT包給被信任的主機
被信任主機已經癱瘓
攻擊人主機截獲SYN+ACT包
攻擊人主機以被信任主機IP地址給目標主機回ACT包，目標主機認為TCP連接建立成功

DNS欺騙

DNS服務器轉換url（www.baidu.com）到ip地址(202.108.22.5)，稱為DNS應答
DNS欺騙分為兩種：監聽式主機欺騙，DNS服務器污染
監聽式主機欺騙
- 欺騙者用ARP欺騙，成為中間人
- 受害者發送DNS請求，獲得查詢ID和端口號
- 欺騙者偽造并發送DNS應答
- 欺騙者轉發DNS請求給真實的DNS服務器
- DNS把可能的真實的DNS應答
DNS服務器污染
- 欺騙者向DNS發送大量的請求數據包
- 本地DNS向上級DNS發送DNS請求數據包
- 在上級DNS回答之前，欺騙者向本地DNS發送偽造的DNS應答數據包
- 本地DNS根據偽造的DNS應答數據包更新自己緩存
- 在上級DNS回答之前，如果有主機請求DNS解析，本地DNS就會把假的地址發送給主機

偽造電子郵件

由于SMTP并不對郵件的發送者身份進行鑒定，攻擊者可以冒充別的郵件地址偽造電子郵件
攻擊者偽造電子郵件的目的包括
- 攻擊者想隱藏自己的身份，匿名傳播虛假消息，如造謠中傷某人
- 攻擊者想假冒別人身份，提高可信度，如冒充領導發布通知
- 偽造用戶可能關注的發件人的郵件，引誘收件人接收并閱讀，如傳播病毒，木馬等

對欺騙類攻擊的防范方法

拋棄基于地址的信任策略，不允許使用r類遠程調用命令
配置防火墻，拒絕網絡外部與本網內具有相同IP地址的連接請求，過濾掉入站的DNS更新
地址綁定，在網關上綁定IP地址和MAC地址，在客戶端使用arp命令綁定網關的真實MAC地址命令
使用PGP等安全工具并安裝電子郵件證書

利用類攻擊

利用類攻擊是通過非法技術手段，試圖獲得某網絡計算機的控制權和使用權，達到利用該機從事非法行為的一類攻擊行為的總稱
利用類攻擊常用的技術手段包括：
- 口令猜測，木馬病毒，僵尸病毒，緩沖區溢出等

僵尸病毒

僵尸病毒（Bot）是通過特定協議（如HTTP，P2P）的信道連接僵尸網絡服務器的客戶端程序
- 被安裝了僵尸程序的機器稱為僵尸主機
- 僵尸網絡（BotNet）是由這些受控的僵尸主機依據特定協議所組成的網絡
僵尸病毒的程序結構和木馬程序基本一致
- 木馬程序是被控制端連接的服務器端程序
- 僵尸程序是向控制服務器發起連接的客戶端程序
僵尸病毒的傳播和木馬相似
- 途徑包括電子郵件，含有病毒的WEB網頁，捆綁了僵尸程序的應用軟件以及利用系統漏洞攻擊加載等
黑客經常利用其發起大規模的網絡攻擊
- 如分布式拒絕服務攻擊（DDoS），海量垃圾郵件等

緩沖區溢出攻擊

緩沖區溢出是指當計算機向緩沖區內填充數據位數時超過了緩沖區本身的容量，溢出的數據覆蓋了合法數據
緩沖區溢出是一種非常普遍，非常危險的程序漏洞，在各種操作系統，應用軟件中廣泛存在
利用緩沖區溢出攻擊，可以導致程序運行失敗，系統宕機，重新啟動等后果，更為嚴重的是可以利用它執行非授權指令，甚至可以取得系統授權并控制主機，進行各種非法操作

緩沖區的理論基礎

緩沖區溢出的產生存在必然性，現代計算機程序的運行機制，c語言的開放性及編譯問題是其產生的理論基礎
- 程序在4GB或更大邏輯地址空間內運行時，一般會被裝載到相對固定的地址空間，使得攻擊者可以估算用于攻擊的代碼的邏輯地址
- 程序調用時，可執行代碼和數據共同存儲在一個地址空間中（堆棧），攻擊者可以精心編制輸入的數據，通過運行時緩沖區溢出，得到運行權
- CPU call調用時的返回地址和C語言函數使用的局部變量均在堆棧中保存，而且c語言不進行數據邊界檢查，當數據被覆蓋是也不能被發現

利用型攻擊的防范

及時更新系統，減少系統漏洞，可有效阻止木馬，僵尸，緩沖區溢出類的入侵
安裝殺毒軟件，可有效防范木馬，僵尸等病毒的入侵
加強安全防范意識，主動了解安全知識，有意識加固系統，對不安全的電子郵件，網頁進行識別抵制。

誘騙類威脅

誘騙類威脅是指攻擊者利用社會工程學的思想，利用人的弱點（如人的本能反應，好奇心，信任，貪便宜等）通過網絡散布虛假消息，誘使受害者上當受騙，從而達到攻擊者目的的一種網絡攻擊行為
準確的說，社會工程學不是一門科學，而是一門藝術與敲門，他利用人的弱點，以順從你的意愿，滿足你的欲望的方式，讓你上當受騙

網絡釣魚

phishing是英文單詞fishing和phone的綜合體，所以稱為網絡釣魚
phishing是指攻擊者通過偽造以假亂真的網站和發送誘惑受害者按攻擊者意圖執行某些操作的電子郵件等防范，使得受害者“自愿”交出重要信息（如銀行賬號和密碼）的手段

電子郵件誘騙
電子郵件服務是合法的Internet經典服務，攻擊者進行電子郵件詐騙，一般有以下步驟：

選定目標用戶群

構造欺騙性電子郵件

搭建欺騙性網站

群發郵件，等待上當的受害者

假冒網站

建立假冒網站，騙取用戶賬戶，密碼實施盜竊，這是對用戶造成經濟損失最大的惡劣手段
為了迷惑用戶，攻擊者有意把網站域名注冊成與真實機構的域名很相似

虛假電子商務

攻擊者建立電子商務網站，或者是在比較知名，大型電子商務網站上發布虛假的商品銷售信息
網上交易多是異地交易，通常需要匯款
- 不法分子一般要求消費者先付部分款，再以各種理由誘騙消費者支付其余款或者其他各種名目的款項，得到錢財或被識破時，犯罪分子就銷聲匿跡。

對誘騙類攻擊的防范

誘騙類威脅不屬于傳統信息安全的范疇，傳統信息安全辦法解決不了非傳統信息安全的威脅
- 一般認為，解決非傳統信息安全威脅需要動用社會工程學來反制
- 防范誘騙類威脅的首要方法是加強安全防范意識。
另外，用戶還應當注意以下幾點：
- 確認對方身份
- 慎重對待個人信息
- 謹防電子郵件泄密
- 注意網站的url地址

網絡防御

概述

網絡防御是一個綜合性的安全工程，不是幾個網絡安全產品能夠完成的任務

防御需要解決多個層面的問題，除了安全技術之外，安全管理也十分重要，實際上提高用戶群的安全防范意識，加強安全管理所能起到的效果遠遠高于應用幾個網絡安全產品

防火墻位于外網和內網之間，在網絡入口部署，與網絡是串聯關系
入侵檢測系統與網絡之間是并聯的關系，在核心交換機上部署
入侵防御系統與網絡之間是串聯的關系

防火墻

防火墻指的是一個由硬件和軟件設備結合而成，在內部網絡和外部網絡之間構造的安全保護屏障，從而保護內部網絡免受外部網絡非法用戶的侵入
簡單的說，防火墻是位于兩個或多個網絡之間，執行訪問控制策略的一個或一組系統，是一類防范措施的總稱
防火墻的設計目的是有效地控制內外網之間的網絡數據流量，做到御敵于外
防火墻的結構和部署考慮
- 內網和外網之間的所有網絡數據流必須經過防火墻
  - 阻塞點可以理解為連通兩個或多個網絡的唯一路徑上的點，當這個點被刪除后，各網絡之間不存在連通
- 只有符合安全策略的數據流才能通過防火墻
  - 要求防火墻具有審計和管理的功能，具有可擴展性和健壯性

分類

從應用對象上看，分為企業防火墻和個人防火墻
- 企業防火墻的主要作用是保護整個企業網絡免受外部網絡的攻擊
- 個人防火墻是保護個人計算機系統的安全
從存在形式上，可以分為硬件防火墻和軟件防火墻
- 硬件防火墻采用特殊的硬件設備，有較高性能，可作為獨立的設備部署，企業防火墻多數是硬件防火墻
- 軟件防火墻是一套安裝在某臺計算機系統上用來執行防護任務的安全軟件，個人防火墻都是軟件防火墻
  防火墻的主要作用
網絡流量過濾
- 通過在防火墻上進行安全規則配置，可以對流經防火墻的網絡流量進行過濾
網絡監控審計
- 防火墻記錄訪問生成網絡訪問日志，提供網絡使用情況的統計數據
支持NAT部署
- NAT（Network Address Translation）是網絡地址翻譯的縮寫，是用來緩解地址空間短缺的主要技術之一
支持DMZ
- DMZ是英文“Demilitarized Zone”的縮寫，它是設立在非安全系統和安全系統之間的緩沖區。目的是解決安裝了防火墻之后外部網絡不能訪問內部網絡服務器的問題
支持VPN
- 通過VPN，企業可以將分布在各地的局域網有機地練成一個整體，企業分支機構或在外出差員工可以通過VPN訪問內網服務器資源

典型企業防火墻的應用

局限性

防火墻無法檢測不經過防火墻的流量，如通過內部提供撥號服務接入公網的流量
防火墻不能防范來自內部人員的惡意攻擊
防火墻不能阻止被病毒感染的和有害的程序或文件的傳遞，如木馬
防火墻不能防止數據驅動式攻擊，如緩沖區溢出攻擊

防火墻主要技術

包過濾防火墻

面向網絡底層數據流（網絡層和傳輸層）進行審計和控管
其安全策略主要是根據數據包包頭的源地址，目的地址，端口號，協議類型等標志來制定，可見其主要工作在網絡層和傳輸層
網絡層數據包有源IP地址，目的IP地址
傳輸層數據包有端口號和協議類型

代理防火墻

基于代理（Proxy）技術，使防火墻參與到每一個內外網絡之間的連接過程
防火墻需要理解用戶使用的協議，對內部節點向外部節點的請求進行還原審查后，轉發給外部服務器
外部節點發送來的數據也需要進行還原審查，然后封裝轉發給內部節點

個人防火墻

目前普通用戶最常使用的一種，常見如天網個人防火墻
- 個人防火墻是一種能夠保護個人計算機系統安全的軟件
- 直接在用戶的計算機上運行，幫助普通用戶對系統進行監控及管理，使個人計算機免受各種攻擊

訪問控制列表ACL

Access Control List 是允許和拒絕匹配規則的集合
規則告訴防火墻那些數據包允許通過，哪些被拒絕

包過濾

包過濾分為靜態包過濾和動態包過濾
靜態包過濾是指防火墻根據定義好的包過濾規則審查每個數據包，確定其是否與某一條過濾規則匹配
動態包過濾是指防火墻采用動態配置包過濾規則的方法，根據動態需求添加或刪除ACL中的過濾規則，并通過對其批準建立的每一個連接進行追蹤，更靈活地實施對網絡連接的訪問控制，基于對話

代理網關

代理網關分為應用代理網關和電路級網關

應用代理網關

被認為是最安全的防火墻技術
應用代理網關防火墻徹底隔斷內網與外網之間的直接通信，內網用戶對外網的訪問變成防火墻對外網的訪問，外網返回的消息再由防火墻轉發給內網用戶
內網用戶在任何時候都不能與外部服務器建立直接TCP連接
兩個缺點：
- 必須能夠理解繁雜的應用層協議和不斷出現的新協議
- 為應付大量網絡連接并還原到應用層，工作量大，性能需求高，可能會成為網絡瓶頸
只適用于用戶較少同時應用較少的網絡

電路級網關（Circuit Gateway）

工作原理和應用代理網關基本相同，代理的協議以傳輸層為主，在傳輸層上實施訪問控制策略，是在內外網絡之間建立一個虛擬網絡，進行通信
代理的是傳輸層協議，不需要審計應用層數據，只需檢查內外網主機之間傳輸層數據來決定會話是否合法
工作量小于應用代理網關，安全性低于應用代理網關

NAT（Network Address Translation）

屬于廣域網接入技術
是一種將私有地址轉換為合法的IP地址的技術
即能解決IP地址不足的問題，又能有效地避免來自外網的攻擊，隱藏并保護內網的計算機
工作原理：將內網中IP包頭的內部IP地址信息用可以訪問外網的真實IP地址信息來轉換
- 靜態NAT
- 動態NAT

VPN（Virtual Private Network）

VPN：虛擬的企業內部專線，也稱為虛擬私有網
VPN是通過一個公用網絡（通常是Internet）建立一個臨時的，安全的連接
- 可以理解為一條穿過公用網絡的安全，穩定的隧道，兩臺分別處于不同網絡的機器可以通過這條隧道進行連接訪問，就像在一個內部局域網一樣
VPN的實現主要依賴于隧道技術，用一種協議來傳輸另一種協議

VPN的典型應用

在外員工訪問總部里面的信息，要用Access VPN,也被稱為APDN（虛擬私有撥號網），需要專門的VPN軟件。
企業分支機構和企業總部之間建立Internet VPN，它可以為總部及個分支機構提供一個整個企業網的訪問權限
外部合作公司與企業總部之間建立Extranet VPN，連接客戶供應商，合作伙伴到企業內網，支持對外部用戶進行相應的訪問權限設定

Netfilter/IPtables防火墻

主要為Linux防火墻

Netfilter工作在內核層，由一下信息表過濾表組成，這些信息報過濾表包含內核用來控制信息包過濾處理的規則集
Iptables工作在用戶層，是管理包過濾規則的工具，可完成插入，刪除，修改包過濾規則，包過濾規則改變后立即生效

Netfilter通用架構

是嵌入在Linux內核IP協議棧中的一個通用架構
它提供了一系列的“表”（tables）
美國表由若干“鏈”組成
每條鏈中可以有一條或數條規則
表—鏈—規則
filter表實現包過濾，決定哪些包可以放行，哪些包不可以放行
nat表實現網絡地址翻譯
mangle表實現修改網絡數據包包頭的字段

Netfilter程序流程架構

最上面第一層是TCP/IP架構的網絡接入層（鏈入層，物理層）
第二層是網絡層/IP層
第三層是傳輸層
第四層是應用層
Route是路由轉發
filter表實現包過濾，決定哪些包可以放行，哪些包不可以放行
nat表實現網絡地址翻譯
mangle表實現修改網絡數據包包頭的字段
Conntrack對收到的數據包鏈接跟蹤

Netfilter網TCP/IP協議棧里面加了若干個鉤子，通過鉤子實現數據包的過濾

IP_PRE_ROUTING

實現對收到的數據包在網絡層進行處理（在路由轉發之前）

IP_LOCAL IN

對從網絡層交到本地程序的數據進行處理

IP_FORWARD

主要控制轉發

IP_POST_ROUTING

對路由轉發之后的數據包處理

IP_LOCAL_OUT

本機應用程序生成數據包，發到網絡上時會被其處理

總結：

在TPC/IP協議棧中設置了五個鉤子（hook），每個鉤子中注冊了一些鉤子函數
系統根據這些鉤子函數的優先級，形成一條鉤子函數指針鏈
當數據包到達某個鉤子點時，被依次提交給鉤子函數指針鏈上的鉤子函數處理
數據過濾模塊Filter表只在IP_LOCAL_IN,IP_FORWARD,IP_LOCAL_OUT三個鉤子點上注冊鉤子函數，每個鉤子函數讀應一張過濾表，每張過濾表包含若干規則，一條規則包含0個或多個匹配條件和一個目標運作，這些規則由IPtables管理

規則組成

IPtables命令=工作表+使用鏈+規則操作+目標操作+匹配條件
- 工作表：指定該命令針對的表，缺省表為filter
- 使用鏈：指定表下面的某個鏈，實際上就是確定哪個鉤子點
- 規則操作：包括添加規則，插入規則，刪除規則，替代規則，列出規則
- 目標動作：有兩個，ACCEPT（繼續傳遞數據包）DROP（丟棄數據包）
- 匹配條件：指過濾檢查時，用于匹配數據包頭信息的特征信息串，比如地址，端口等

例子

入侵檢測系統

IDS（Intrusion Detection System）

一種對網絡傳輸進行即時監視，發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全系統
一般認為防火墻屬于靜態防范措施，而入侵檢測系統為動態防范措施，是對防火墻的有效補充
加入防火墻是一棟大樓的門禁，那么IDS就是這棟大樓的監視系統
發展趨勢：智能化，分布式

入侵檢測專家系統IDES模型
IDES（Intrusion Detection Expert System）

主體（Subject）：在系統上活動的實體，如用戶，進程，線程
對象（Object）：系統資源，如文件，設備，命令
審計記錄（Audit Record）：六元組
- {主體，活動，對象，異常條件，資源使用情況，時間戳}
- 活動是主體對對象做了什么事情
- 異常條件是在什么條件下認為活動是異常的
- 資源使用情況是指CPU利用率，內存所用百分比，網絡流量
- 時間戳是主體對客體執行活動的時間
活動輪廓（Activity Profile）：主體正常活動有關特征信息
異常記錄（Anomaly Record）：由事件，時間戳，輪廓組成，表示異常發生的情況
活動規則：是組成策略規則集的具體數據項，用以匹配檢測審計記錄中是否存在違反規則的行為記錄

IDES模型結構

策略規則由活動規則組成
審計數據源可以來源于主機，也可以來源于網絡
定義好活動規則，形成策略規集
統計分析系統主體的活動記錄，形成活動輪廓
將需要檢測的數據分別傳給
- 模式匹配器：根據策略規則集中的內容檢測數據源，如發現違反安全策略規則活動則報警
- 輪廓特征引擎：分析抽取數據源中主體活動輪廓，與異常檢測器一起判斷是否發生了異常
模式匹配器檢測審計數據源是否違反安全策略規則，即直接檢測是否發生了錯誤行為
輪廓特征引擎提取出正常活動特征（活動輪廓），并交由異常檢測器判斷審計數據源是否合乎正常活動特征（活動輪廓），不符合則報警。

CIDF通用入侵檢測框架

它把入侵檢測系統分成事件產生器，事件分析器，事件數據庫，響應單元
事件產生器搜集信息系統當前的行為數據，包括主機用戶行為數據及網絡上的數據包（入侵檢測的基礎）。搜集到的數據傳輸給事件分析器和事件數據庫，也可直接傳遞給響應單元
事件分析器分析事件產生器收集到的數據，查看是否有異常行為，如果有異常行為會傳遞給響應單元，如果無異常或有異常，把分析結果傳給事件數據庫
事件數據庫可以對里面數據進行分析檢測，規則檢測和規則匹配，也可產生響應
響應單元可啟動適應的響應

入侵檢測的幾個重要概念

事件：當網絡或主機遭到入侵或重大變化時，稱為發生安全事件，簡稱事件
報警：當發生事件時，IDS通過某種方式及時通知管理員事件發生情況稱為報警
響應：當IDS報警后，網絡管理員對事件及時做出處理稱為響應
誤用：誤用是指不正當使用計算機或網絡，并構成對計算機安全或網絡安全的造成威脅的一類行為
異常：對網絡或主機的正常行為進行采樣，分析，描述處正常的行為輪廓，建立行為模型，稱為行為建模，當網絡或主機上出現偏離行為模型的事件時，稱為異常
入侵特征：也稱為攻擊簽名（Attack Signature）或攻擊模式（Attack Patterns），一般指對網絡或主機的某種入侵攻擊行為（誤用行為）的事件過程進行分析提煉，形成可以分辨出該入侵攻擊事件的特征關鍵字，這些特征關鍵字被稱為入侵特征
感應器：置在網絡或主機中用于收集網絡信息或用戶行為信息的軟硬件，稱為感應器。感應器應該布置在可以及時取得全面數據的關鍵點上，其性能直接決定IDS檢測的準確率

入侵檢測系統的工作過程

信息收集

入侵檢測的第一步是信息收集，收集內容包括系統和網絡的數據及用戶活動的狀態和行為，信息收集工作一般由放置在不同網段的感應器來收集網絡中的數據信息（主要是數據包）和主機內感應器來收集該主機的信息

信息分析

將收集到的有關系和網絡的數據及用戶活動的狀態和行為等信息送到檢測引擎，檢測引擎一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。當檢測到某種入侵特征時，會通知控制臺出現了安全事件

信息處理

當控制臺接到發生安全事件的通知，將產生報警，也可依據預先定義的相應措施進行聯動響應。如可以重新配置路由器或防火墻，終止進程，切斷連接，改變文件屬性等

IDS主要功能

監測并分析用戶，系統，網絡的活動變化
核查系統配置和漏洞
評估系統關鍵資源和數據文件的完整性
識別已知的攻擊行為
統計分析異常行為
操作系統日志管理，并識別違反安全策略的用戶活動

入侵檢測系統分類

以數據源為分類標準
- 主機型入侵檢測系統HIDS（Host-based Intrusion Detection System）
- 和網絡型入侵檢測系統NIDS（Network-based Intrusion System）
以檢測技術為分類標準
- 基于誤用檢測（Misuse Detection）的IDS
- 基于異常檢測（Anomaly Detection）的IDS

主機型入侵檢測系統

主機系統審計數據傳給檢測分析器
檢測分析器檢測依據是攻擊模式庫
如果發生異常則報警，采取應急響應
應急響應的措施反過來作用到主機系統上
攻擊模式庫，檢測分析器和應急響應都受到管理配置的管理

優點：

性價比高，不需要增加專門的硬件平臺
準確率高，主要檢測用戶在系統中的行為活動，如對敏感文件，目錄，程序，端口的訪問，這些行為能實時地準確地反映系統實時狀態
對網絡流量不敏感，數據來源于主機而不是網絡，不會因為網絡流量增加而丟掉對網絡行為的檢測
適合加密環境下工作

缺點：

與操作系統平臺相關，可移植性差
需要在每個被檢測主機上安裝，維護復雜
難以檢測針對網絡的攻擊，如DoS攻擊，端口掃描等

網絡型入侵檢測系統

上部分和主機型入侵檢測系統相同
網絡型主機檢測系統的審計數據來源是在網絡上各個節點部署的感應器采集來的網絡審計數據，一般是網絡數據包

優點：

對用戶透明，隱藏性好，使用方便，不容易遭受來自網絡的攻擊
與被檢測的系統平臺無關
利用獨立的計算機完成檢測工作，不會給運行關鍵業務的主機帶來負載增加
攻擊者不易轉移數據

缺點：

無法檢測到來自網絡內部的攻擊及合法用戶的誤用行為
無法分析網絡中加密數據的數據報文
需要對所有網絡報文進行采集分析，主機負荷較大，易受DoS攻擊

基于誤用檢測的IDS
事先定義已知入侵行為的入侵特征，將實際環境中的數據與之匹配

也稱為特征分析（Signature Analysis）或基于知識的檢測（knowledge-based Detection）
依據具體特征庫進行判斷，所以準確度很高
檢測范圍受限于已有知識的局限，無法檢測未知攻擊
將具體入侵行為抽象成知識具有一定的困難，特征庫也需要不斷維護

基于異常檢測的IDS
根據使用者行為或資源的使用狀況的程度與正常狀態下的標準特征之間的偏差判斷是否遭到入侵

不依賴于某個具體行為是否出現，通用性強，可以檢測出未知的攻擊
得到正常行為或狀態的標準特征及確定閾值具有較大困難
- 不可能對整個系統的所有用戶行為進行全面描述
- 每個用戶行為是經常改變的
- 資源使用情況也可能是由于某種特定因素發生較大變化
漏報率低，誤報率高

入侵檢測技術

入侵檢測技術研究具有綜合性，多領域的特點，技術種類繁多，涉及到許多相關學科
以誤用檢測，異常檢測，誘騙，響應等四個方面分析一下入侵檢測的主要技術方法

誤用檢測技術

專家系統
- 準確率較高，全面性和效率是主要問題
特征分析
- 模式匹配，需要不斷升級
模型推理
- 建立誤用腳本模型，根據樣本推理判斷是否發生了誤用行為
狀態轉換分析
- 難以分析過于復雜的事件，不能檢測與系統狀態無關的入侵
完整性校驗等
- 計算哈希值，與正常哈希值進行對比，因為不能一直處于校驗的狀態，所有難以實時處理

異常檢測技術

異常檢測是一種與系統相對無關，通用性較強的入侵檢測技術
通過監視系統審計記錄上系統使用的異常情況，可以檢測出違反安全的事件
通常異常檢測都與一些數學分析方法相結合，但存在著誤報率較高的問題
異常檢測主要針對用戶行為數據，系統資源使用情況進行分析判斷
統計分析
- 維護一個由用戶和系統行為模式組成的規則庫，每個模式用一系列系統度量來表示特定用戶的正常行為
- Denning的IDES中定義了三種度量：事件計數器，間隔定時器，資源測量器
- Denning的IDES提出了五種統計模型：可操作模型，均值和標準差模型，多變量模型，馬爾可夫模型，時間序列模型
預測模型
- 為克服Denning模型中未考慮事件發生順序的特點，1990年Henry提出了預測模型
系統調用檢測
基于人工智能的異常檢測技術
- 數據挖掘，神經網絡，模糊證據等

入侵誘騙技術

入侵誘騙是指用通過偽裝成具有吸引力的網絡主機來吸引攻擊者，同時對攻擊者的各種攻擊行為進行分析，進而找到有效的應對方法。
具有通過吸引攻擊者，從而保護重要的網絡服務系統的目的
常見的入侵誘騙技術有蜜罐（Honeypot ）技術和蜜網（Honeynet）技術等

響應技術
入侵檢測系統的響應技術可以分為主動響應和被動響應

主動響應是系統自動隔斷攻擊過程或以其他方式影響攻擊過程
- 利用防火墻或網關阻止來自入侵IP的數據包
- 發送TCP RST包阻斷網絡連接
- 發送ICMP Destination Unreachable包阻斷網絡連接
- 發送郵件給入侵主機所在網絡的管理員請求協助處理
被動響應是報告和記錄發生的事件，無法阻止入侵行為，只是起到縮短系統管理人員反應時間的作用

Snort系統

Snort入侵檢測系統是一個開放源代碼的輕量級實時網絡入侵檢測系統
Snort遵循CIDF模型，使用誤用檢測的方法來識別發現違反系統和網絡安全策略的網絡行為
Snort系統包括數據包捕獲模塊，預處理模塊，檢測引擎和輸出模塊四部分組
數據包捕獲模塊從網絡適配器（網卡）上抓包
抓到的數據包經過預處理模塊對數據包進行預處理
然后經過檢測引擎里面定義的大量的規則發現異常
然后經由輸出模塊輸出日志并報警
數據包捕獲模塊：在物理鏈路層上捕獲原始數據包
預處理模塊：插件形式
- 模擬TCP/IP協議堆棧功能用的插件：IP碎片重組，TCP流重組
- 解碼插件：HTTP解碼，Unicode解碼
- 規則匹配無法進行攻擊檢測時所用的插件：端口掃描檢測插件，ARP欺騙檢測插件
核心引擎模塊：snort的核心部件，實現規則分析和特征檢測

Snort規則庫：Snort將所有已知的入侵行為以規則的形式存放在規則庫中，并以三維鏈表結構進行組織

規則鏈表集RL（RuleLists）：由五個規則鏈表節點RLN（RuleListNode）組成，根據規則行為來分（Alert，Log，Pass，Activate，Dynamic）
每個規則鏈表節點指向一個規則鏈表頭RLH（RuleListHead），每個規則鏈表頭RLH默認包含四棵規則協議樹（Iplist,Tcplist,Udplist,Icmplist），RLH可擴展，添加新的規則協議樹
每個規則協議樹由規則樹節點RTN（RuleTreeNode）組成
規則樹節點down頭指向規則選項節點OTN（OptTreeNode）
一個規則樹節點和附帶的若干個規則選項節點合在一起叫一條規則，代表一種異常行為

Snort規則
Snort規則由一個規則頭（RTN）和一個規則選項（OTN）鏈表組成

RTN包含運作選項，數據包類型，源地址，源端口，目的地址，目的端口，數據流動方向等
OTN包含報警信息和匹配內容等選項，每個OTN包含一組用來實現匹配操作的函數指針，當數據與某個OTN匹配時，判斷此數據包為攻擊數據包

例子

alert tcp any any->10.1.1.0/24 80(content:“/cgi-bin/phf”; msg:“PHF probe！”；)
括號左面為規則頭，括號中間的部分為規則選項，規則選項中冒號前的部分為選項關鍵字（Option Keyword）
規則頭由規則行為，協議字段，地址和端口信息三部分組成。Snort定義了五種可選的行為：
- Alert：使用設定的警告方法生成警告信息，并記錄這個數據報文
- Log：使用設定的記錄方法來記錄這個數據報文
- Pass：忽略這個數據報文
- Activate：進行alert，然后激活另一個dynamic規則
- Dynamic：等待被一個activate規則激活，被激活后就作為一條log規則執行

網絡防御的新技術

VLAN技術

VLAN（Virtual Local Area Network）虛擬局域網
定義為：虛擬局域網VLAN是由一些局域網網段構成的與物理位置無關的邏輯組，而每個邏輯組中的成員具有某些相同的需求
VLAN是用戶和網絡資源的邏輯組合，是局域網給用戶提供的一種服務，而并不是一種新型局域網
VLAN使管理員可以根據實際應用需求，把同一物理局域網內的不同用戶劃分為不同的廣播域，每個VLAN包含一組具有相同需求的計算機工作站
每個VLAN幀有一個明確的標識符，指明發送這個幀的工作站屬于那個VLAN
同一個VLAN內的工作站可以在不同的物理網中

VLAN的劃分方式

基于端口的VLAN劃分：把一個或多個交換機上的幾個端口劃分成一個邏輯組，這是最簡單，最有效的劃分方法。缺點是用戶從一個端口移動到另一個端口時需要重新配置
基于MAC地址的VLAN劃分：按MAC地址把一些節點劃分為一個邏輯子網，使得網絡節點不會因為地理位置的變化而改變其所屬的網絡，從而解決了網絡節點的變更問題。缺點是用戶更換網卡時需要重新配置
基于IP子網的VLAN劃分：通過所連計算機的IP地址，來決定其所屬的VLAN。缺點是可能受到IP地址盜用攻擊

VLAN的安全性

廣播風暴的防范
- 物理網絡分段和VLAN的邏輯分段，同一VLAN處于相同的廣播域，通過VLAN的劃分可以有效地阻隔網絡廣播，縮小廣播域，控制廣播風
- 規劃好各個VLAN成員，將網絡內頻繁通信的用戶放在一個VLAN內，可以減少網間流量，節約網絡帶寬，提高網絡效率
信息隔離
- 同一個VLAN內的計算機之間便可以直接通信，不同VLAN間的通信則要通過路由器進行路由選擇，轉發，這樣就能隔離基于廣播的信息（如機器名，DHCP信息），防止非法訪問
控制IP地址盜用
- 該VLAN內任何一臺計算機的IP地址必須在分配給該VLAN的Ip地址范圍內，否則將無法通過路由器的審核，也就不能進行通信

VLAN存在的問題

容易受到欺騙攻擊和硬件依賴性問題
- 欺騙攻擊主要包括MAC地址欺騙，ARP欺騙以及IP盜用轉網等問題
- 硬件依賴是指VLAN的組建需要使用交換機，并且不同主機之間的信息交換要經過交換機，所有VLAN的安全性在很大程度上依賴于所使用的的交換機，以及對交換機的配置

IPS和IMS

入侵防御系統IPS

入侵防御系統IPS（Intrusion Prevention System）：串聯部署在內外網之間的關鍵路徑上，基于包過濾的存儲轉發機制工作，深度感知并檢測流經網絡的流量，對惡意數據包丟棄以阻斷攻擊
流量分析器對數據流輸入進行流量捕捉
將捕捉到的流量輸入到檢測引擎，進行基于異常的檢測和基于誤用的檢測
檢測結果決定響應模塊的反應
并進行流量調整

IPS與IDS相比具有許多先天優勢

具備檢測和防御功能
可檢測到IDS檢測不到的攻擊行為，在應用層內容檢測的基礎上加上主動響應和過濾功能
黑客較難破壞入侵攻擊數據，IPS檢測攻擊行為時具有實時性，因此可在入侵發生時予以檢測防御，避免入侵攻擊行為記錄被破壞
具有雙向檢測防御功能，可以對內網和外網兩個方向的攻擊入侵行為做到檢測和防御

IPS的缺點

串聯接入，易成為網絡性能瓶頸，必須做到高性能，高可靠性，高安全性

入侵管理系統IMS

把入侵行為分為三個階段，入侵發生前，入侵發生過程中，入侵發生后
入侵發生前：預防攻擊
- 風險評估
- 漏洞通告
- 補丁建議
入侵發生過程中：檢測并阻斷攻擊
- 記錄
- 阻斷
- 病毒檢測
- 誤用檢測
- 異常檢測
入侵發生后：分析加固系統
- 事件分析
- 趨勢分析
- 系統加固
- 入侵檢測

云安全

“云”是近幾年來出現的概念，云計算（Cloud Compute），云存儲（Cloud Storage）以及云安全（Cloud Security）也隨之相繼產生
最早受到IBM，微軟，Google等巨頭追捧的“云計算”模式，是將計算資源放置在網絡中，供許多終端設備來使用，其關鍵是分布處理，并行處理以及網格計算，云可以理解為網絡中所有可計算，可共享的資源，這是個共享資源的概念
“云安全”可以理解為基于“云計算”的安全服務，即讓服務器端（云端）承擔與安全相關的計算，而讓客戶端承擔掃描和防護任務
云安全是通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬，惡意程序的最新消息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。目前“云安全”也被稱為“云殺毒”

云安全用戶會部署客戶端數據采集程序，把可疑信息上報給云端的云安全系統的服務器
云安全系統實現在線查殺，數據分析，建議惡意程序，病毒木馬的特征庫
經過分析以后，把云安全解決方案發送給云安全用戶
降低了云安全用戶在計算上的壓力

好處：

作為云端服務器，可以掌握大量的惡意程序腳本，可以從總體上進行安全的判斷，提供病毒木馬查殺的針對性，在整體上對網絡安全進行把握
減低客戶端計算壓力

建立“云安全”需要解決的問題

需要海量的客戶端
- 只有擁有海量客戶端才能對互聯網上出現的病毒，木馬，掛馬網站有靈敏的感知能力，在第一時間做出反應
需要專業的反病毒技術和經驗
- 沒有反病毒技術和經驗積累，無法及時處理海量的上報信息，并將處理結果共享給云安全系統中的每個成員
需要大量的資金和技術投入
- 需要大量的服務器和網絡帶寬
開放的系統
- 云的原始定義中包含了資源共享，云安全系統必須是一個具有開放性的系統，其獲得的信息應該最大程度地為廣大用戶所使用

內容安全

概述

信息內容安全有兩方面內容：
- 一方面是針對合法的信息內容加以安全保護，如對合法的音像制品及軟件的版權保護
- 另一方面是指針對非法的信息內容實施監管，如對網絡色情信息的過濾等
- 內容保護：數字水印，版權控制
- 內容監管：內容識別，內容過濾

內容保護

互聯網的發展與普及使電子出版物的傳播和交易變得便捷，侵權盜版活動也呈現日益猖獗之勢
為了打擊盜版犯罪
- 一方面要通過立法來加強對知識產權的保護
- 另一方面要有先進的技術手段來保障法律的實施
針對內容保護技術大多數都是基于密碼學和隱寫術發展起來的
- 如數據鎖定，隱寫標記，數字水印和數字版權管理DRM等技術，其中最具有發展前景和實用價值的是數字水印和數字版權管理

信息隱藏和信息加密的區別

信息隱藏和信息加密都是為了保護秘密信息的存儲和傳輸，使之免遭敵手的破壞和攻擊，但兩者之間有著顯著的區別
- 信息加密是利用對稱密鑰密碼或公開密鑰密碼把明文轉換成密文，信息加密所保護的是信息的內容
- 信息隱藏是將秘密信息嵌入到表面上看上去無害的宿主信息中，攻擊者無法直觀地判斷他所監視的信息中是否含義秘密信息，換句話說，具有隱匿信息的宿主信息不會引起別人的注意和懷疑，同時隱匿信息又能夠為版權者提供一定的版權保護

版權保護技術

數據鎖定是指出版商把多個軟件或電子出版物集成到一張光盤上出售，盤上的所有內容均被分別進行加密鎖定，不同的用戶買到的均是相同的光盤，每個用戶只需付款買它所需內容的相應密鑰，即可利用該密鑰對所需內容解除鎖定，而其余不需要的內容仍處于鎖定狀態，用戶是無法使用的
數字水印是鑲嵌在數據中，并且不影響數據合法使用的具有可鑒別性的數據，它一般應當具有不可察覺性，抗擦除性，穩健性和可解碼性。為了保護版權，可以在數字視頻內容中嵌入水印信號，如果制定某種標準，可以使數字視頻播放機能夠鑒別到水印，一旦發現在可寫光盤上有“不許拷貝”的水印，表面這是一張經非法拷貝的光盤，因而拒絕播放。還可以使數字視頻拷貝機檢測水印信息，如果發現“不許拷貝”的水印，就不去拷貝相應內容
數字版權管理DRM（Digital Right Management）技術是專門用來保護數字化版權的產品。DRM的核心是數據加密和權限管理，同時包含了上述提到的幾種技術。DRM特別適合基于互聯網應用的數字版權保護，目前已經成為數字媒體的主要版權保護手段

內容監管

在對合法信息進行有效的內容保護的同時，針對大量的充斥暴力色情等非法內容的媒體信息（特別是網絡媒體信息）的內容監管也十分必要
面向網絡信息內容的監管主要涉及兩類
- 一類是靜態信息，主要是存在于各個網站中的數據信息，例如掛馬網站的有關網頁，色情網站上的有害內容以及釣魚網站上的虛假信息等
- 另一類是動態信息，主要是在網絡中流動的數據信息，例如網絡中傳輸的垃圾郵件，色情及虛假網頁信息等

內容監管技術

針對靜態信息的內容監管技術主要包括網站數據獲取技術，內容分析技術，控管技術
對于動態信息進行內容監管所采取的技術主要包括網絡數據獲取技術，內容分析技術，控管技術等
有關內容分析技術和控管技術部分基本上與靜態信息采取的處理技術相同

版權保護

版權（著作權）保護是內容保護的重要部分，其最終目的不是“如何防止使用”，而是“如何控制使用”，版權保護的實質是一種控制版權作品使用的機制
數字版權保護技術DRM就是以一種安全算法實現對數字內容的保護
- DRM的目的是從技術上防止數字內容的非法復制，用戶必須在得到授權后才能使用數字內容
- DRM涉及的主要技術包括數字標識技術，安全加密技術以及安全存儲技術等
- DRM技術方法主要有兩類，一類是采用數字水印技術，另一類是以數據加密和防拷貝為核心的DRM技術

DRM概述

DRM工作原理

內人經過版權處理后，變成受保護文件
受保護文件分發給客戶端
客戶端要使用查看受保護文件，客戶端要使用DRM控制器
DRM控制器向DRM服務器申請授權許可
授權許可包括密鑰+權限
如果授權申請合法，服務器將授權許可發給客戶端
客戶端拿到授權許可后從中取出權限和密鑰后就可以打開受保護的文件內容

主要版權保護產品

目前DRM所保護的內容主要分為三類
- 包括電子書，音視頻文件，電子文檔
Adobe公司的ACS（Adobe Content Server）軟件
方正的Apabi數字版權保護軟件，主要由Maker，Rights Server，Retail Server和Reader四部分組成
Microsoft公司發布的Windows Media DRM
- 最小版本的Windows Media DRM 10 系列包括了服務器和軟件開發包SDKs
RMS（Rights Management Service），Microsoft公司
- 適用于電子文檔保護的數字內容管理系統

數字水印

原始的水印Watermark是指在制作紙張過程中通過改變紙張纖維密度的方法而形成的，“夾”在紙中而不是紙的表面，迎光透視時可以清晰看到的有明暗紋理的圖像或文字
- 人民幣，購物券，有價證券，以防止造假
數字水印（digital watermark）也是用來證明一個數字產品的擁有權，真實性
- 數字水印是通過一些算法嵌入在數字產品中的數字信息，例如產品的序列號，公司圖像標志以及有特殊含義的文本等
數字水印可分為可見數字水印和不可見數字水印
- 可見水印主要用于聲明對產品的所有權，著作權和來源，起到廣告宣傳和使用約束的作用，例如電視臺播放節目的臺標即起到廣告宣傳，又可聲明所有權
- 不可見數字水印的層次更高，制作難度更大，應用面也更廣

數字水印原理

一個數字水印方案一般包括三個基本方面：水印的形成，水印的嵌入，水印的檢測
水印的形成主要是指選擇有意義的數據，以特定的形式生成水印信息，如有意義的文字，序列號，數字圖像（商標，印鑒等）或者數字音頻片段的編碼
一般水印信息可以根據需要制作成可直接閱讀的明文信息，也可以是經過加密處理后的密文

水印的嵌入

水印的嵌入與密碼體系的加密環節類似，一般分為輸入，嵌入處理和輸出三部分

原始文件通過密鑰把水印信息，在水印嵌入算法作用下，輸出帶水印的文件

水印的檢測

水印的檢測分為
水印的檢測方式主要分為盲水印檢測和非盲水印檢測
- 盲水印檢測主要指不需要原始數據（原始宿主文件和水印信息）參與，直接進行檢測水印信號是否存在
- 非盲水印檢測是指在原始數據參與下進行水印檢測

輸入可能的帶有水印的文件
通過盲水印檢測或非盲水印檢測
如果盲水印檢測，不需要原始文件，如果非盲水印檢測，需要原始文件
如果沒有水印則報告無水印
如果有水印，則進行水印提取，水印提取需要水印嵌入時的密鑰
提取出來的水印和原始水印對比，如果相同則數字水印沒有被篡改，如果不相同則數字水印已被篡改

數字水印算法

面向文本的水印算法
面向圖像的水印算法
面向音頻視頻的水印算法
NEC算法
生理模型算法

面向文本的水印算法

純文本文檔 vs 格式化文檔
- 純文本文檔不包含格式
- 格式化文檔包含格式
基于文檔結構微調的文本水印算法
- 通過文本文檔的空間域變換（字符，行，段落的結構布局，字符的形狀和顏色）來嵌入水印
基于語法的文本水印算法
- 根據語法規則對載體文本中的詞匯進行替換來隱藏水印信息
- 按照語法規則對載體文本中的標點符號進行修改
基于語意的文本水印算法
- 將一段正常的語言文字修改成包含特定詞語（如同義詞）的語言文字，在修改的過程中嵌入水印信息
基于漢字特點的文本水印算法
- 筆畫，結構，字體

面向圖像的數字水印算法

空域數字圖像水印算法主要是在圖像的像素上直接進行的，通過修改圖像的像素值嵌入數字水印
- 經典的最低有效位LSB（Least Significant Bits）空域水印算法是以人類視覺系統不易感知為準則，在原始載體數據的最不重要位置上嵌入數字水印信息，該算法的優勢是可嵌入的水印容量大，不足是嵌入的水印信息很容易被移除
變換域數字水印算法是在圖像的變換域進行水印嵌入的，將原始圖像經過正交變換，將水印嵌入到圖像的變換系數中去。常用的變換有：
- 離散傅里葉變換DFT（Discrete Fourier Transform），離散余弦變換DCT（Discrete Cosine Transform），離散小波變換DWT（Discrete Wavelet Transform）等

面向音頻視頻的水印算法

根據音頻水印載體類，音頻水印技術可分為基于原始音頻和基于壓縮音頻兩種
- 基于原始音頻方法是在未經編碼壓縮的音頻信號中直接嵌入水印
- 基于壓縮音頻方法是音頻信號在壓縮編碼過程中嵌入水印信息，輸出的是含水印的壓縮編碼的音頻信號
視頻可以任務是由一系列連續的靜止圖像在時間域上構成的序列，因此視頻水印技術和圖像水印技術在應用模式和設計方案上具有相似之處
- 數字視頻水印主要包括基于原始視頻的水印，基于視頻編碼的水印和基于壓縮視頻的水印

NEC算法

NEC算法是由NEC實驗室提出，在數字水印算法中占有重要地位
- 水印信號應該嵌入到那些人感覺最敏感的原始數據部分，在頻譜空間中，這種重要部分是低音頻分量，這樣，攻擊者在破壞水印過程中，不可避免地會引起圖像質量的嚴重下降
- 水印信號應該由具有高斯分布的獨立同分布隨機實數序列構成，這使得水印抵抗多拷貝聯合攻擊的能力大大增強
- NEC算法有較強的健壯性，安全性，透明性等

生理模型算法

人的生理模型包括
- 人類視覺系統HVS（Human Visual System）
- 人類聽覺系統HAS（Human Auditory System）
生理模型算法的基本思想是利用人類視聽覺的掩蔽現象，從人的生理模型導出可察覺差異JND（Just Noticeable Difference）
利用JND描述來確定圖像的各個部分所能容忍的數字水印信號的最大強度
人類視覺對物體的亮度和紋理有不同程度的感知性，可以調節嵌入水印信號的強度
- 光度掩蔽特性：背景越亮，所嵌入水印的可見性就越低
- 紋理掩蔽特性：背景紋理越復雜，所嵌入水印的可見性就越低

內容監管

內容監管是內容安全的另一重要方面，如果監管不善，會對社會造成極大的影響，其重要性不言而喻
內容監管涉及到很多領域，其中基于網絡的信息已經成為內容監管的首要目標，一般來說病毒，木馬，色情，反動，嚴重的虛假欺騙以及垃圾郵件等有害的網絡信息都需要進行監管

網絡信息內容監管

內容監管首先解決的是如何制定監管的總體策略
- 總體策略主要包括監管的對象，監管的內容，對違規內容如何處理等
首先如何界定違規內容（那些需要禁止的信息），即能夠禁止違規內容，又不會殃及到合法應用
其次對于可能存在一些違規消息的網站如何處理
- 一種方法是通過防火墻禁止對該網站的全部訪問，這樣比較安全，但也會禁止掉其他有用內容
- 另一種方法是允許網站部分訪問，只是對那些有害網頁信息進行攔截，但此種方法存在攔截失敗的可能性

內容監管系統模型

依據數據獲取策略從互聯網上獲取相關數據（數據獲取）
拿到數據后，對數據進行加工處理（數據調整）
從數據中依據敏感特征的定義進行敏感特征搜索（敏感特征搜索）
然后依據違規定義進行違規判定（違規判定）
如果不違規，則結束
違規則根據處理策略進行違規處理（違規處理）
違規處理作用回互聯網

內容監管策略

內容監管需求是制定內容監管策略的依據
內容監管策略是內容監管需求的形式化表示
- 數據獲取策略主要確定監管對象的范圍，采用何種方式獲取需要檢測的數據，例如爬蟲和網絡抓包
- 敏感特征定義是指用于判斷網絡信息內容是否違規的特征值，如敏感字符串，圖片等
- 違規定義是指依據網絡信息內容中包含敏感特征值的情況判斷是否違規的規則
- 違規處理策略是指對于違規載體（網站或網絡連接）的處理方法，如禁止對該網站的訪問，攔截有關網絡連接等

數據獲取

數據獲取技術分為主動式和被動式兩種形式
- 主動式數據爬取是指通過訪問有關網絡連接而獲得其數據內容
  - 網絡爬蟲是典型的主動式網絡數據獲取技術
- 被動式數據獲取是指在網絡的特定位置設置探針，獲取流經該位置的所有數據，被動式數據獲取主要解決兩個方面的問題
  - 探針位置的選擇
  - 對出入數據報文的采集

主動數據獲取的例子：爬蟲

網絡爬蟲從一個或多個初始網頁的URL開始根據一定的網頁分析算法，過濾與主體無關的鏈接，并將所需的鏈接保存在等待抓取的URL隊列中，然后，根據一定的搜索策略從URL隊列中選擇下一步要抓取的網頁URL，抓來的網頁存入數據庫，重復上述過程，直到滿足某一條件時停止

被動數據獲取的例子：探針

將探針部署到邊界路由器或防火墻上，可以抓取到子網A和子網B中的全部的網絡流量

網絡報文處理流程

網絡數據報文被探針上的網卡即網絡適配器（工作模式為混雜模式）抓捕
抓捕到的網絡數據包按照協議棧進行處理，首先對分片的IP數據報文進行重組，對TCP的流進行還原，這樣就能夠提取到應用層的數據
提取到應用層數據后可以進行數據調整及敏感信息的檢索等處理

數據調整

數據調整主要指針對數據獲取模塊（主要還是協議棧）提交的應用層數據進行篩選，組合，解碼以及文本還原等工作，數據調整的輸出結果用于敏感特征搜索等

拿到應用層數據后進行數據調整
首先進行篩選，可以根據端口進行篩選，可以按照協議類型進行篩選
不滿足篩選條件的直接丟棄
滿足篩選條件的數據進行進一步加工，例如進行組合，解碼，提取原始內容后提交給上層處理程序

敏感特征搜索

敏感特征搜索實際上就是依據實現定義好的敏感特征策略。在待查內容中識別所包含的敏感特征值，搜索的結果可以作為違規判定的依據
敏感特征值可以是文本字符串，圖像特征，音頻特征等，他們分別用于不同信息載體的內容的敏感特征識別
目前基于文本內容的識別已經比較成熟并達到可實用化，而圖像，音頻特征的識別還存在著一些問題，如識別率較低，誤報率較高等，難以實現全面有效的程序自動監管，更多時候需要人的介入
基于文本特征的敏感信息搜索最主要的是串匹配

串匹配

基于文本內容的敏感特征分為敏感字符串和敏感表達式兩種，均以串匹配為核心技術
串匹配也稱為模式匹配，指在一個字符串中查找是否包含特定子串，子串也被稱為模式或關鍵字
- 單模式匹配：在一個字符串中查找某個特定子串，找到則返回子串出現的位置，否則匹配失敗，常用的算法有BF，KMP，BM，BMH算法等
- 多模式匹配：在一個字符串中查找某些特定子串，找到則返回子串們出現的位置，否則匹配失敗，常用的算法有AC，ACBM，Manber-Wu算法

違規判斷及處理

違規判斷程序的設計思想
- 將敏感特征搜索結果與違規定義相比較，判斷該網絡信息內容是否違規
違規定義就是說明違規內容應具有的特征，即敏感特征
- 每個敏感特征由敏感特征值和特征值敏感度（某特征值對違規的影響程度，也可以看做權重）兩個屬性來描述
- 敏感特征的搜索結果具有敏感特征值的廣度（包含相異敏感特征值的數量）和敏感特征值的深度（包含同一特征值的數量）兩個指標
違規處理目前主要采用的方法與入侵檢測相似
- 報警就是通知有關人員違規事件的具體情況
- 封鎖IP一般是指利用防火墻等網絡設備阻斷對有關IP地址的訪問
- 攔截連接是針對某個特定訪問連接實施阻斷，向通訊雙方發送RST數據包阻斷TCP連接，就是常用的攔截方法

垃圾郵件處理

目前主要采用的技術有過濾，驗證查詢和挑戰
- 過濾（Filter）技術是相對來說最簡單，最直接的垃圾郵件處理技術，主要用于郵件接收系統來辨別和處理垃圾郵件
- 驗證查詢技術主要是指通過密碼驗證以及查詢等方法來判斷郵件是否為垃圾郵件
  - 包括反向查詢，雅虎的DKIM（Domain Keys Identified Mail）技術，Microsoft的SenderID技術，IBM的FairUCE（Fair use of Unsolicited Commercial Email）技術以及郵件指紋技術等
- 基于挑戰的反垃圾郵件技術是指通過延緩郵件處理過程，來阻礙發送大量郵件

基于過濾技術的反垃圾郵件系統

郵件服務器端和郵件客戶端通過POP3協議收信
可以通過網絡流量拷貝抓包，把電子郵件通過協議還原技術得到
通過上述三種方式得到待處理郵件隊列
然后進行過濾操作，過濾操作分為三步：白名單過濾，黑名單過濾，內容過濾
白名單：在白名單里面的郵件接收，不在白名單里面的繼續篩選
黑名單：在黑名單里面的郵件拒絕，不在黑名單里面的繼續篩選
內容過濾通過定義的規則和關鍵詞進行篩選過濾，命中則拒絕，否則是正常郵件

郵件內容過濾技術

關鍵詞過濾：創建一些與垃圾郵件有關的單詞表，在郵件內容中搜索是否包含單詞表中的關鍵詞
基于規則的過濾：建立一個規則庫，可以使用單詞，詞組，位置，大小，附件等特征形成過濾規則
基于貝葉斯算法的過濾：是基于評分的過濾器。首先通過垃圾郵件樣本進行機器學習，得到垃圾郵件的特征元素（最簡單的特征就是單詞,最復雜的特征就是短語）；同理，通過對大量正常郵件樣本的機器學習，得到正常郵件的特征元素，針對每個特征給出一個正分數；另一方面檢查正常郵件的特征，給出負分數。最后每個郵件整體就得到一個垃圾郵件總分，通過這個分數來判斷是否為垃圾郵件

信息安全管理

概述

當今社會已經進入到信息化社會，其信息安全是建立在信息社會的基礎設施及信息服務系統之間的互聯，互通，互操作意義上的安全需求上
安全需求可以分為安全技術需求和安全管理需求兩個方面
管理在信息安全中的重要性高于安全技術方面，“三分技術，七分管理”的理念在業界已經得到共識

信息安全管理體系

信息安全管理體系ISMS（Information Security Management System）是從管理學慣用的過程模型PDCA（Plan，Do，Check，Act）發展演化而來

Plan：建立ISMS
Do：實施和運作ISMS
Check：監視和評審ISMS
Act：維護和改進ISMS

上述四個步驟貫穿了信息安全管理體系的整個生命周期
建立的前提是相關組織部門的信息安全需求和期望
管理的效果會作用在相關組織部門，達到管理狀態下的信息安全

ISMS

信息安全管理體系（ISMS）是一個系統化，過程化的管理體系，體系的建立不可能一蹴而就，需要全面，系統，科學的風險評估，制定保證和有效監督機制
ISMS應該體現預防控制為主的思想，強調遵守國家有關信息安全的法律法規，強調全過程的動態調整，從而確保整個安全體系在有效管理控制下，不斷改進完善以適應新的安全需求
在建立信息安全管理體系的各環節中
- 安全需求的提出是ISMS的前提
- 運作實施，監視評審和維護改進是重要步驟
- 可管理的信息安全是最終目標
在各環節中，風險評估管理，標準規范管理，制度法規管理這三項工作直接影響到整個信息安全管理體系是否能夠有效實行，因此也具有非常重要的地位

風險評估

風險評估（Risk Assessment）是指對信息資產所面臨的威脅，存在的弱點，可能導致的安全事件以及這三者的綜合作用所帶來的風險進行評估
作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要手段
風險評估管理就是指在信息安全管理體系的各環節中，合理地利用風險評估技術對信息系統及資產進行安全性分析及風險管理，為規劃設計完善信息安全解決方案提供基礎資料，屬于信息安全管理體系的規劃環節

標準規范管理

標準規范管理可以理解為在規劃實施信息安全解決方案時，各項工作遵循國際或國家相關標準規范，有完善的檢查機制
國際標準可以分為互操作標準，技術與工程標準，信息安全管理與控制標準三類
- 互操作標準主要是非標準組織研發的算法和協議經過自發的選擇過程，成為了所謂的事實標準，如AES,RSA,SSL,以及通用脆弱性描述標準CVE等
- 技術與工程標準主要指有標準化組織制定的用于規范信息安全產品，技術和工程的標準，如信息技術安全評估通用評測準則（ISO 15408），安全系統工程能力成熟度模型（SSE CMM），美國信息安全白皮書（TCSEC）等
- 信息安全管理與控制標準是指有標準化組織制定的用于直到和管理信息安全解決方案實施過程的標準規范，如信息安全管理體系標準（BS-7799），信息安全管理標準（ISO 13335）以及信息和相關技術控制目標（COBIT）等

制度法規管理

制度法規管理是指宣傳國家及各部門制定的相關制度法規，并監督有關人員是否遵守這些制度法規
每個組織部門（如企事業單位，公司以及各種團體等）都有信息安全規章制度，有關人員嚴格遵守這些規章制度對于一個組織部門的信息安全來說十分重要，而完善的規章制度和健全的監管機制更是必不可少
除了有關的組織部門自己制定的相關規章制度之外，國家的信息安全法規更是有關人員必須遵守的
- 目前在計算機系統，互聯網以及其他信息領域中，國家制定了相關法律法規進行約束管理，如果觸犯，勢必受到相應的懲罰

立法現狀
略

道德規范
略

信息安全風險管理

信息安全風險管理是信息安全管理的重要部分
- 是規劃，建設及完善信息管理體系的基礎和主要目標
- 其核心內容包括風險評估和風險控制兩個部分
風險管理的概念來源于商業領域，主要指對商業行為或目的投資的風險進行分析，評估和管理，力求以最小的風險獲得最大的收益

風險評估

風險評估主要包括風險分析和風險評價
- 風險分析是指全面的識別風險來源及類型
- 風險評價是指依據風險評估標準估算風險水平，確定風險的嚴重性
- 一般認為，與信息安全風險有關的因素包括威脅，脆弱性，資產，安全控制等
  - 資產（Assets）是指對組織具有價值的信息資源，是安全策略保護的對象
  - 威脅（Threat）主要指可能導致資產或組織受到損害的安全事件的潛在因素
  - 脆弱性（Vulnerability）一般是指資產中存在的可能被潛在威脅所利用的缺陷或薄弱點，如操作系統漏洞等
  - 安全控制（Security Control）是指用于消除或減低安全風險所采取的某種安全行為，包括措施，程序及機制等

信息安全風險因素及相互關系

資產具有脆弱性
脆弱性和資產增加安全風險
脆弱性被利用則產生安全事件
安全事件增加安全風險并損害資產
資產會產生安全需求
安全風險增加安全需求
針對安全需求要實施安全控制
安全控制會減少安全風險并消除威脅
威脅會增加安全風險并演變為安全事件

風險描述

風險可以描述成關于威脅發生概論和發生時破壞程度的函數，用數學符號描述如下：
- A代表資產
- T代表威脅
- V代表脆弱性

由于某部門可能存在很多資產和相應的脆弱性，故該組織的資產總風險可以描述如下：

上述關于風險的數學表達式，只是給了風險評估的概念性描述

風險評估的任務

識別組織面臨的各種風險，了解總體的安全狀況

分析計算風險發生的概率，預估可能帶來的負面影響

評價組織承受風險的能力，確定各項安全建設的優先等級

推薦風險控制策略，為安全需求提供依據

風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統，特定系統組件和服務等

常見的風險評估方法

基線評估
詳細評估
組合評估

基線評估

有關組織根據實際情況（所在行業，業務環境和性質等），對信息系統進行安全基線檢查（將現有的安全措施進行比較，計算之間的差距），得出基本的安全需求，給出風險控制方案
所謂的基線就是在諸多標準規范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環境下的信息系統的基本安全需求，使信息系統達到一定的安全防護水平
組織可以采用國際標準和國家標準（BS 7799-1，ISO 13335-4），行業標準或推薦（德國聯邦安全局IT基線保護手冊）以及來自其他具有相似商務目標和規模的組織的慣例作為安全基線
基線評估的優點是需要的資源少，周期短，操作簡單，是經濟有效的風險評估途徑，缺點，比如基線水準的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到所需的安全需求

詳細評估

指組織對信息資產進行詳細識別和評價，對可能引起風險的威脅和脆弱性進行充分的評估，根據全面系統的風險評估結果來確定安全需求及控制方案
- 這種評估途徑集中體系了風險管理的思想，全面系統地評估資產風險，在充分了解信息安全具體情況下，力爭將風險降低到可接受的水平
- 詳細評估的優點在于組織可以通過詳細的風險評估對信息安全風險有較為全面的認識，能夠準確確定目前的安全水平和安全需求
- 詳細的風險評估可能是一個非常耗費資源的過程，包括時間，精力和技術，因此，組織應該仔細設定待評估的信息資產范圍，以減少工作量

組合評估

組合評估要求首先對所有的系統進行一次初步的風險評估，依據各信息資產的實際價值和可能面臨的風險，劃分出不同的評估范圍，對于具有較高重要性的資產部分采取詳細風險評估，而其他部分采用基線風險評估
- 組合評估將基線評估和詳細評估的優勢結合起來，既節省了評估所耗費的資源，又能確保獲得一個全面系統的評估結果，而且組織的資源和資金能夠應用到最能發揮作用的地方，具有高風險的信息系統能夠被優先關注
- 組合評估的缺點是如果初步的風險評估不夠準確，可能導致某些本需要詳細評估的系統被忽略

風險控制

風險控制是信息安全風險管理在風險評估完成之后的另一項重要工作
任務是對風險評估結論及建議中的各項安全措施進行分析評估，確定優先級以及具體實施的步驟
風險控制的目標是將安全風險降低到一個可接受的范圍內
- 消除所有風險往往是不切實際的，甚至也是近乎不可能的
- 安全管理人員有責任運用最小成本來實現最合適的控制，使潛在安全風險對該組織造成的負面影響最小化

風險控制手段

風險承受：指運行的信息系統具有良好的健壯性，可以接受潛在的風險并穩定運行，或采取簡單的安全措施，就可以把風險降低到一個可接受的級別
風險規避：指通過消除風險出現的必要風險（如識別出風險后，放棄系統的某項功能或關閉系統）來規避風險
風險轉移：指通過使用其他措施來補償損失，從而轉移風險，如購買保險

安全風險系統判斷過程

首先判斷資產是否存在脆弱性，沒有則無風險
如果有脆弱性，再判斷是否可能被利用，如果不能被利用，則無風險
如果可能被利用，則存在可被利用脆弱性的風險
如果同時存在威脅源，則存在威脅
如果攻擊成本大于獲利，則無風險
如果預期損失可以被接受，則無風險
否則是不可接受的風險

風險控制具體做法

當存在系統脆弱性時，減少或修補系統脆弱性，降低脆弱性被攻擊利用的可能性
當系統脆弱性可被利用時，運用層次化保護，結構化設計以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度
當攻擊成本小于攻擊可能的獲利時，運用保護措施，通過提高攻擊者成本來降低攻擊者的攻擊動機，如加強訪問控制，限制系統用戶的訪問對象和行為，降低攻擊獲利
當風險預期損失較大時，優化系統設計，加強容錯容災以及運用非技術類保護措施來限制攻擊的范圍，從而將風險降低到可接受的范圍

具體的風險控制措施

NIST SP800系列標準

第一步對實施控制的優先級進行排序，在分配資源時，對標有不可接受的高等級的風險項應該給予較高的優先級
第二步評估所建議的安全選項，風險評估結論中建議的控制措施對于具體的單位及其信息系統可能不是最合適或最可行的，因此要對所建議的控制措施的可行性和有效性進行分析，選出最適當的控制措施
第三步進行成本效益分析，為決策管理層提供風險控制措施的成本效益分析報告
第四步在成本效益分析的基礎上，確定即將實施的成本有效性最好的安全措施
第五步遴選出那些擁有合適的專長和技能，可實現所選控制措施的人員（內部人員或外部合作商），并賦予響應責任
第六步制定控制措施的實現計劃，計劃內容主要包括風險評估報告給出的風險，風險級別以及所建議的安全措施，實施控制的優先級隊列，預期安全控制列表，實現預期安全控制時所需的資源，負責人員清單，開始日期，完成日期以及維護要求等
第七步分析計算出殘余風險，風險控制可以降低風險級別，但不會根除風險，因此安全措施實施后仍然存在的殘余風險

信息安全標準

互操作，計算與工程，信息安全管理與控制三類標準
- 計算與工程標準最多也最詳細，它們有效地推動了信息安全產品的開發和國際化，如CC、SSE-CMM等標準
- 互操作標準多數Wie所謂的“事實標準”，這些標準對信息安全領域的發展同一做出了巨大的貢獻，如RSA，DES，CVE標準等
- 信息安全管理與控制標準的意義在于可以有效的直到信息安全具體實施，其中BS 7799就是這類標準的代表。

重要標準

信息技術安全性評估通用標準CC（Common Criteria）是在TCSEC,ITSEC,CTCPEC,FC等信息安全標準的基礎上演變而成，ISO/IEC15408
ISO/IEC TR 13335，早前GMITS(Guidelines for the Management of IT Security)，新版乘坐MICTS（Management of Information and Communication Technology Security），為IT安全管理提供建議和支持
SSE-CMM（System Security Engineering Capability Maturity Model）模型是由美國國家安全局NSA領導開發的專門用于系統安全工程能力成熟度模型，評估信息安全工程組織能力與資質，ISO/IEC 21827
CVE（Common Vulnerabilities & Exposures），即通用漏洞及暴露，是IDnA（Intrusion Detection and Assessment）的行業標準
- 為每個信息安全漏洞或已經暴露出來的弱點給出一個通用的名稱或標準化的描述
- 可以作為入侵檢測或漏洞掃描等工具產品與數據基準
- 2018年，已經有十萬余條記錄
BS7799是應該標準協會BSI（British Standards Institute）針對信息安全管理而制定的標準，2000年被采納為ISO/IEC 17799，2007年被采納為ISO/IEC 27001
COBIT（Control Objectives for information and related Technology，信息及其技術控制目標），由國際信息系統審計與控制協會ISACA提出，目前國際上通用的信息系統審計標準，2012年COBIT 5頒布

信息安全產品標準CC

CC標準是“The Common Criteria for information Technology security evaluation”的縮寫，《信息技術安全性通用評估標準》，在美國和歐洲等推出的測評準則上發展起來的

CC文檔結構

CC白紙提倡安全工程的思想，通過信息安全產品的開發，評價，使用全過程的各個環境的綜合考慮來確保產品的安全性
- 第一部分“簡介和一般模型”，介紹CC中的有關術語，基本概念和一般模型以及評估有關的一些框架，附錄部分主要介紹“保護輪廓”和“安全目標”的基本內容
- 第二部分“安全功能需求”，這部分以“類，子類（族），組件”的方式提出安全功能要求，對每一個“類”的具體描述除正文外，在提示性附錄中還有進一步的解釋
- 第三部分“安全保證要求”，定義了評估保證級別，介紹了“保護輪廓”和“安全目標”的評估，并同樣以“類，子類（族），組件”的方式提出安全保證要求

CC標準的內容

CC標準對安全需求的表現形式給出了一套定義方法，并將安全需求分成產品功能方面的需求和安全保證措施方面的需求兩個獨立的范疇來定義
在CC標準中，安全需求以類，族，組件的形式進行了定義，這給出了對安全需求進行分組歸類的方法

需求定義的用法

安全需求定義中的“類，族，組件”體現的是分類方法，具體安全需求由組件體現，選擇需求組件等同選擇安全需求
CC標準定義了三種類型的組織結構用于描述產品安全需求
- 安全組件包是把多個安全需求組件結合在一起所得到的組件集合
- 保護輪廓定義是一份安全需求說明書，是針對某一類安全環境確立相應的安全目標，進而定義為實現這些安全目標所需要的安全需求，保護輪廓定義的主要內容包括定義文件簡述，產品說明，安全環境，安全目標，安全需求，應用注釋和理論依據等
- 安全對象定義是一份安全需求與概要設計說明書，不同的是安全對象定義的安全需求是為某一特定的安全產品而定義的，具體的安全需求可通過引用一個或多個保護輪廓定義來定義，也可從頭定義。安全對象定義的組成部分主要包括定義簡述，產品說明，安全環境，安全目標，安全需求，產品概要說明，保護輪廓定義的引用聲明和理論依據等

CC安全可信度級別

級別定義可信度級別描述

EAL1	職能式測試級	表示信息保護問題得到了適當的處理
EAL2	結構式測試級	表示評價時需求得到開發人員的配合，該級提供低中級的獨立安全保證
EAL3	基于方法學的測試與檢查級	要求在設計階段實施積極的安全工程思想，提供中級的獨立安全保證
EAL4	基于方法學的設計，測試與審查級	要求按照商業化開發慣例實施安全工程思想，提供中高級的獨立安全保證
EAL5	半形式化的設計與測試級	要求安全嚴格的商業化開發慣例，應用專業安全工程技術及思想，提供高等級的獨立安全保證
EAL6	半形式化驗證的設計與測試級	通過在嚴格的開發環境中應用安全工程技術來獲取高的安全保證，使產品能在高度威脅的環境中使用
EAL7	形式化驗證的設計與測試級	目標是使產品能在極度危險的環境中使用，目前只限于可進行形式化分析的安全產品

安全產品的開發

CC標準體現了軟件工程和安全工程相結合的思想
信息安全產品必須按照軟件工程和安全工程的方法進行開發才能較好地獲得預期的安全可信度
安全產品從需求分析到產品的最終實現，整個開發過程可依次分為應用環境分析，明確產品安全環境，確立安全目標，形成產品安全需求，安全產品概要設計，安全產品實現幾個階段
各個階段順序進行，前一個階段的工作結果是后一個階段的工作基礎，有時前面階段的工作也需要根據后面階段工作的反饋內容進行完善拓展，形成循環往復的過程
開發出來的產品經過安全性評價和可用性鑒定后，在投入實際使用

產品安全性評價

CC標準在評價安全產品時，把待評價的安全產品及其相關指南文檔資料作為評價對象
定義了三種評價類型，分別為安全功能需求評價，安全保證需求評價和安全產品評價
- 安全功能需求評價的目的是證明安全功能需求是完全的，一致的和技術良好的，能用作可評價的安全產品的需求表示
- 安全保證需求評價的目的是證明安全保證需求是完全的，一致的和技術良好的，可作為響應安全產品評價的基礎，如果安全保證需求中含有安全功能需求一致性的聲明，還要證明安全保證需求能完全滿足安全功能需求
- 安全產品評價的目的是要證明被評價的安全產品能夠滿足安全保證的安全需求

信息安全管理標準BS7799

BS7799是英國標準協會（British Standard Institute，BSI）針對信息安全管理而制定的一個標準，分為兩個部分
- 第一部分BS7799-1是《信息安全管理實施細則》也就是國際標準化組織的ISO/IEC 17799標準的部分，主要通過給負責信息安全開發的人員參考使用，分為十一個標題，定義了一百三十三項安全控制（最佳慣例）
- 第二部分BS7799-2是《信息安全管理系統規范》即ISO/IEC 27001，其中詳細說明了建立，實施和維護信息安全管理體系的要求，可用來指導相關人員去應用ISO/IEC 17799,其最終目的是建立適合企業所需的信息安全管理體系

信息安全管理實施細則-11個方面定義

在BS7799-1《信息安全管理實施細則》中，從11個方面定義了133項控制措施
安全策略
組織信息安全
資產管理
人力資源安全，
物理和環境安全
通信和操作管理
訪問控制
信息系統獲取，開發和維護
信息安全事件管理
業務連續性管理
符合性

通信和操作管理，訪問控制，信息系統獲取，開發和維護與技術關系緊密，其余八項注重與組織整體管理與運營

建立信息安全管理體系的六個基本步驟

定義信息安全策略，信息安全策略是組織信息安全的最高防止，需要根據組織內各個部門的實際情況，分別制定不同的信息安全策略

定義ISMS的范圍，ISMS的范圍描述了需要進行信息安全管理的領域輪廓，組織根據自己的實際情況在整個范圍或個別部門構建ISMS

進行嘻嘻安全風險評估，信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產的敏感程度，所采用的評估措施應該與組織對信息資產風險的保護需求相一致

信息安全風險管理，根據風險評估的結果進行相應的風險管理

確定控制目標和選擇控制措施，控制目標的確定和控制措施的選擇原則是費用不超過風險所造成的損失

準備信息安全適用性聲明，信息安全適用性聲明記錄了組織內相關的風險控制目標和針對各種風險所采用的各種控制措施

中國的有關信息安全標準

1985年發布了第一個標準GB4943“信息技術設備的安全”，并于1994年發布了第一批信息安全技術標準
全國信息安全標準化技術委員會（簡稱信息安全標委會，TC260）于2002年4月15日在北京證書成立。委員會是在信息安全技術專業領域內，從事信息安全標準化工作的技術工作組織。委員會負責組織開展國內信息安全有關的標準化技術工作，技術委員會主要工作范圍包括：安全技術，安全機制，安全服務，安全管理，安全評估等領域的標準化技術工作

有關官網： https://www.tcc260.org.cn/front/main.html

TC260組織構架

GB17859-1999計算機信息系統安全保護等級劃分準則

在我國眾多的信息安全標準中，公安部主持制定，國家質量技術監督局發布的中華人民共和國國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》被認為是我國信息安全標準的奠基石
準則將信息系統安全分為五個等級：自主保護級，系統審計保護級。安全標記保護級，結構化保護級，訪問驗證保護級。

可信計算基

計算機系統內保護裝置的總體，包括硬件，固件，軟件和負責執行安全策略的綜合體
他建立了一個基本的保護環境并提供了一個可信計算系統所要求的附加用戶服務

五個安全等級

第一級用戶自主保護級：本級的計算機信息系統可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力，它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和其他用戶組的信息，避免其他用戶對數據的非法讀寫與破壞
第二級系統審計保護級：與用戶自主保護級相比，本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制，它通過登錄規程，審計安全性相關時間和隔離資源，使用戶對自己的行為負責
第三級安全標記保護級：本級的信息安全系統可信計算基具有系統審計保護級所有功能，還提供相關安全模型，數據表示以及主體對客體的強制訪問控制非形式化描述，具有準確的標記輸出信息的能力，消除通過測試發任何錯誤
第四級結構化保護級：本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪問控制拓展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統可信計算基的接口也必須明確定義，使其設計與實現能夠經受更充分的的測試和更完整的復審。加強了鑒別機制；支持系統管理員和操作員的職能；提供可信設施管理李增強了配置管理控制，系統具有相當的抗滲透能力
第五級訪問驗證保護級：本級的計算機信息系統可信計算基滿足訪問監控器需求，訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監控器需求，計算機信息系統可信計算基在其構造時，排除那些對實施安全策略來說并非必要的代碼；在設計和實現時，從系統工程角度將其負責性降低到最小程度。支持安全管理員職能；擴充審計機制，當發生與安全相關的事件時發出信號；提供系統恢復機制，系統具有很高的抗滲透能力

信息安全等級保護管理辦法

國家信息安全等級保護堅持自主定級，自主保護的原則
信息系統的安全保護等級應當根據信息系統在國家安全，經濟建設，社會生活中的重要程度，信息系統遭到破壞后對國家安全，社會秩序，公共利用以及公民，法人和其他組織的合法權益的危害程度等因素確定
信息系統的安全保護分為以下五個等級：
- 等級保護第一級
  - 信息系統遭受破壞后，會對公民法人和其他組織的合法權益造成損壞，但不會損壞國家安全，社會秩序和公共利益
  - 運營，使用單位應當根據國家有關管理規范和技術標準進行保護
- 等級保護第二級
  - 信息系統遭受破壞后，會對公民，法人和其他組織的合法權益產生嚴重破壞，或者對社會秩序和公共利益造成損害，但不損害國家安全
  - 運營，使用單位應該依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導
- 等級保護第三級
  - 信息系統遭受破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害
  - 運營，使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督，檢查
- 等級保護第四級
  - 信息系統遭受破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害
  - 運營，使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督，檢查
- 等級保護第五級
  - 信息系統遭受破壞后，會對國家安全造成特別嚴重損害
  - 第五級信息系統運營使用單位應當依據國家管理標準，技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督，檢查

信息安全法律法規

略

總結

以上是生活随笔為你收集整理的信息安全概论笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：圆弧齿轮啮合原理_图解八种齿轮的加工原理
下一篇： zabbix3.0.4通过jmx监控to