这次也是压线过嘤嘤嘤,先说一下感想叭,上午的题目出的中规中矩,70%~80%的知识点都是以往卷子里出过的,认真背书刷题的话上午及格不难,下午的题目和以往试卷比出的很笼统,过不过不是取决于评分者的判分,真的纯靠运气辽。
考场缺考的人还蛮多的,三个半小时还是几个小时的考试时间,不允许中途出来,我差不多半个多小时写完了,然后就只能在考场睡觉,无语子。
目录
历史和法规
- 1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级:
第一级:用户自主保护级;
计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏
第二级:系统审计保护级;
粒度更细的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源,是用户对自己的行为负责
第三级:安全标记保护级;
提供有关安全策略模型、数据标记以及主体对客体强制访问的非形式化描述,具有准确标记输出信息的能力,这个级别的特点是计算机信息系统可信计算基,对所有主体以及所控制的客体实施强制访问控制。该级别要求为主体以及客体提供敏感标记,这类标记为等级以及非等级分类组合,是实施强制访问控制的依据
第四级:结构化保护级;
计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,还要考虑隐蔽通道
第五级:访问验证保护级。
访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,必须足够小,能够分析和测试
定级四个要素:
信息系统所属类型、业务数据类型、信息系统服务范围、业务自动化处理程序
- 国家密码局 于2006年公布了“无线局域网产品使用的系列密码算法”,其中
签名算法是ECDSA
对称密码算法是SMS4密钥协商算法是ECDH
杂凑算法是SHA-256
其中ECDA和ECDH密码算法需要使用国家密码管理局指定的椭圆曲线和算法 - 2016年11月7日,十二届全国常委会第二十四次会议以154票赞成1票弃权,表决通过了《中华人民共和国网络安全法》。该法律由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起实施
- 2017年6月1日《中华人民共和国网络安全法》开始实施
第二十一条:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月 - 2018年10月,含有我国SM3杂项密码算法的ISO/IEC10118-3:1028《信息安全技术杂凑函数 第3部分:专用杂凑函数》最新一版由国际标准化组织(ISO)发布,SM3算法正式成为国际标准。2018年11,明确了国家落实网络安全的职能部门和职责,其中明确规定由国家网信部门负责统筹协调网络安全工作和相关监督管理工作月,作为补篇2017年纳入国际标准化的SM2/SM9数字签名算法,以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名的SM2/SM9 数字签名 第3部分:基于离散对数的机制》最新一版发布。
SM9:标识密码算法是一种基于双线性对的标识密码算法,它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名,数据加密、密钥交换以及身份认证等。SM9算法不需要申请数字证书、适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全
SM3:密码杂凑算法,分组长度为512比特
SM2:椭圆曲线公钥密码算法(替换RSA)
橙皮书(正式名称为可信任计算机标准评估标准)包括计算机安全级别的分类。
D1 级:
这是计算机安全的最低一级。整个计算机系统是不可信任的,硬件和操作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验证,也就是任何人都可以使用该计算机系统而不会有任何障碍。系统不要求用户进行登记(要求用户提供用户名)或口令保护(要求用户提供唯一字符串来进行访问)。任何人都可以坐在计算机前并开始使用它。
D1级的计算机系统包括:MS-Dos、MS-Windows3.xe及Windows95(不在工作组方式中、Apple的System7.x
C1 级
C1级系统要求硬件有一定的安全机制(如硬件带锁装置和需要钥匙才能使用计算机等),用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力,经应当允许系统管理员为一些程序或数据设立访问许可权限。C1级防护不足之处在于用户直接访问操作系统的根。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统的数据任意移走。
常见的C1级兼容计算机系统如下所列:UNIX 系统、XENIX 、Novell3.x或更高版本、Windows NT
C2 级
C2级在C1级的某些不足之处加强了几个特性,C2级引进了受控访问环境(用户权限级别)的增强特性。这一特性不仅以用户权限为基础,还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够分用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限以个人为单位授权用户对某一程序所在目录的访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”,如登录(成功和失败的),以及系统管理员的工作,如改变用户访问和口令。
常见的C2级操作系统有:UNIX 系统、XENIX、Novell3.x或更高版本、Windows NT
B1 级:
B1级系统支持多级安全,多级是指这一安全保护安装在不同级别的系统中(网络、应用程序、工作站等),它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别。
B2 级
这一级别称为结构化的保护(Structured Protection)。B2 级安全要求计算机系统中所有对象加标签,而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。如用户可以访问一台工作站,但可能不允许访问装有人员工资资料的磁盘子系统。
B3 级
B3级要求用户工作站或终端通过可信任途径连接网络系统,这一级必须采用硬件来保护安全系统的存储区。
A 级
这是橙皮书中的最高安全级别,这一级有时也称为验证设计(ve-rified design)。与前面提到各级级别一样,这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求,合格的安全个体必须分析并通过这一设计。另外,必须采用严格的形式化方法来证明该系统的安全性。而且在A级,所有构成系统的部件的来源必须安全保证,这些安全措施还必须担保在销售过程中这些部件不受损害。例如,在A级设置中,一个磁带驱动器从生产厂房直至计算机房都被严密跟踪。
-
机密性:确保信息未经非授权的访问,避免信息泄露(不适用只针对机密性)、完整性(防止信息非法的修改和毁坏,包括信息的不可抵赖性和真实性)、可用性(保证信息及时且可靠的访问和使用)
个人web服务器的信息{(机密性,NA)、(完整性,M)、(可用性,M)}
公开的股票信息{(机密性,NA)、(完整性,H)、(可用性,H)} -
《信息安全等级保护管理方法》 第二十七条 涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。 网络运营者应当制定 网络安全事件应急预案 及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险 第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 电子认证服务者拟暂停或者终止电子认证服务的,应当在暂停或终止服务六十日前向国务院信息产业主管部门报告 《刑法》 第二百八十五条规定:对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役 第二百八十六条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的;处五年以上有期徒刑 《商用密码管理条例》第三条,商用密码技术属于国家秘密,国家对商用密码的科研、生产、销售和使用实行专控管理。 《中华人民共和国电子签名法》 第二十四条,电子认证服务者应当妥善保存与认证有关的信息,信息保存期限至少为电子签名认证失效后五年。 第三十一条电子认证服务者不遵守认证业务规则、未妥善保存与认证相关的信息,或者其他违法行为的 ,由国务院信息产业主管部门责令限期修正;逾期未修正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门 《中华人民共和国保守国家秘密法》 第十四条,机关、单位对产生的国家秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定保密期限和知悉范围。 第十五条,国家秘密的保密期限,应当根据事项的性质和特点,按照维护国家安全和利益的需要,限定在必要的期限内;不能确定期限的,应当确定解密的条件。 核心涉密人员脱密期为3至5年 《中华人民共和国网络安全法》第五十八条规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院 -
SC27(信息安全通用方法及技术标准化工作的分技术委员会)是ISO和IEC组成的JTC1(第一技术联合委员会)下的分技术委员会
第一工作组 (WG1):需求、安全服务及技术工作组 二 (WG2):安全技术与机制工作组 三 (WG3):安全评估准则工作组
攻击
主动攻击
主动攻击: 假冒、重放、修改消息和拒绝服务
信息泄露
数据窃听、流量分析
陷门
在某个系统或者文件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略
鲁棒性攻击:
减少消除数字水印为目的,包括像素值失真攻击、敏感性分析攻击和梯度下降攻击,可能损坏水印信息
表达攻击:
让图像水印变形使水印存在检测性失败,包括置乱攻击、同步攻击,试图让水印检测器与嵌入的信息不同步
重放攻击:
又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。
它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者拦截并重复发该数据到目的主机进行。攻击者利用网络监听或者其他方式盗取认证凭据,一般是cookies或者一些的认证session会话,进行一定的处理后,再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止明文数据被监听,但是却防止不了重放攻击。S/key口令可对抗。能够预防重放攻击的只有时间戳、Nonce(一个只能被使用一次的任意或者非重复的随机数值)、序号
渗入威胁
包括假冒、旁路和授权侵犯
勒索软件端口
445
邮件欺骗
可采用端口25
病毒的生命周期
潜伏、传播、触发、发作
保护
网络安全防护体系
在设计时实现的基本原则有纵深防御原则、安全性与代价平衡原则 、最小权限原则、开放设计原则、全面防御原则、权限分开原则、最小公用原则、心理接受性、代码重用性、充分考虑软件运行环境、选择安全的加密算法、充分考虑不安全条件、失效防护
分布式访问控制(Distributed access control)
通常对某个网络的访问进行控制,其作用相当于高速公路上的入口,因此,集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制,就需要用到分布式访问控制方法。目前广泛使用的三种分布式访问控制方法为 单点登录、Kerberos协议和SESAME
目前访问控制模型主要分为3种:
自主访问控制模型(DAC),
强制访问控制模型(MAC)
基于角色的访问控制模型(RBAC)。
自主访问控制模型(Discretionary Access Control)
允许资源的拥有者显示的指定其他用户是否可以访问或者不可以访问该资源,DAC模型一般采用访问控制矩阵和访问控制列表来存放各个主体之间的访问控制信息,从而限制各个主体的访问权限。由于模型没有明确指定冗长的访问规则,因此显得非常灵活,使得它得到了非常广泛的应用。包括Jones取予模型(Take-grant)模型、HRU模型、动作-实体模型
但该控制模型在拥有它无可比拟的优点的同时,也有其本身设计带来的缺点:
(1)在大型系统中,无论是访问矩阵还是列表都将变得非常庞大,但其中很多元素是空的,因此造成了资源的浪费;
(2)由于客体的拥有者能够授予或取消其它主体对该客体的访问权限。这就造成了很难预测访问权限在系统中是如何传播的,给系统的管理造成了很大的困难;
(3)不能防范“特洛伊木马”,无法实现多级安全策略。
强制访问控制模型(Mandatory Access Control)
系统强制各个主体遵守系统制定的访问控制策略。用户和资源都被赋予一定的安全级别,在执行访问控制时,系统先对访问主体和资源的安全级别进行比较,再决定访问主体能否访问该资源。它对访问主体和受控对象表示俩个安全标签:一个是具有偏序关系的安全等级标签,另一个是非等级分类标签。包括BLP模型、Clark-Wilson模型、BN模型
该模型的优点显而易见,它的缺点是:
(1)模型赋予系统中每个用户一个唯一的UID号和唯一的安全级标签,认为该用户用受此安全级标签支配的安全级登录均可,而这会造成系统中的用户均可以写访问系统中的安全级为最低的信息,而这些信息通常是公共信息,应该是“只读不可写”的信息模型;
(2)只处理了具有安全等级分类的信息的访问控制,而对无等级关系的信息并没有给出相应的处理模型,如Chinese-Wall模型中提到的“利益冲突”问题;
(3)模型过于严格,在实现时无法对系统进行安全、有效的管理;
虽然在保持信息的机密性的Bell-Lapadula模型中加入了一个“可信主体盯的概念,但其权限太大,没能实现“最小特权,而这在现代系统中是非常不安全的。因为一旦黑客入侵系统并获得此“可信主体”的权限,系统的安全性就变得不堪一击。
角色访问控制模型(Role-based Access)
模型的要素包括用户、角色和许可等基本定义。将访问权限与角色相联系,通过给用户分配适合的角色,让用户和访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的,根据用户在企业中的职权和责任来设定,用户可以在角色间进行转换,系统可以添加、删除角色,还可以对角色的权限进行添加、删除,这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。
它把现实和计算机访问控制策略更好的结合起来,并且易于实现复杂、动态的安全访问控制策略。缺点是对有些没有角色区别的机构不适合,需要人为的构造一些虚构的人物角色。
隐私保护技术:
基于数据失真的隐私保护技术(随机化优化过程修改敏感数据)
基于数据加密的隐私保护技术(基于泛化的隐私保护技术)
基于数据隐匿化的隐私保护技术(安全多方计算隐私保护技术)
集中式体系结构、客户/服务器体系结构、分布式体系结构
数字水印
特点:
透明性:水印后图像不能有视觉质量的下降,与原始图像对比,很难发现二者的区别
鲁棒性:图像中的水印进过变换操作,不会丢失水印信息,仍然可以清晰地提取
安全性:数字水印可以抵抗各种攻击,任何第三方不能伪造他人的水印信息
LSB算法将信息嵌入随机选择的图像点中最不重要的像素位上,可保证嵌入的水印是不可见的
PatchWork算法利用像素的统计特征将信息嵌入像素的亮度值中
防范缓冲溢出
系统管理防范策略:关闭不必要的特权程序、及时打好系统补丁
软件开发的防范策略:正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针完整性检查、堆栈向搞地质反向增长等
防范DDOS
- 购买运营商流量清洗服务
- 采购防DDOS设备
- 修复系统漏洞,关闭不必要开放的端口
- 购买云加速服务
- 增加出口带宽,提升硬件性能
- CDN加速
消息认证:
消息认证(message authentication)就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义:一是验证信息的发送者是真正的而不是冒充的,即数据起源认证;二是验证信息在传送过程中未被篡改、重放或延迟等。不能预防发送方否认。
数字签名:
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
一个数字签名体制包括俩个过程,签名和验证签名
数字签名是个加密的过程,数字签名验证是个解密的过程。
S-SDLC
实现了三种安全措施:
1.为主流编程语言提供了安全代码规范
2. 筛选出了安全函数库
3. 提供了代码审计方法
1.使用批准工具:编写安全代码
2.禁用不安全函数:禁用C语言中有隐患的函数
3.静态分析:检查程序指针的完整性
WPA认证方式:
有WPA、WPA-PSK、WPA2、WPA2-PSK
SSL和TLS
SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。SSL协议结合了对称密码技术和公开密码技术,提供保密性、完整性、可认证性服务
SSL 证书就是遵守 SSL协议的服务器数字证书,由受信任的证书颁发机构(CA机构),验证服务器身份后颁发,部署在服务器上,具有网站身份验证(包括S/key口令协议、kerberos、X.509)和加密传输双重功能。
SSL协议提供的服务主要有:
1.认证用户和服务器,确保数据发送到正确的客户机和服务器;
2.加密数据以防止数据中途被窃取;
3.维护数据的完整性,确保数据在传输过程中不被改变。
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:
SSL记录协议(SSL RecordProtocol):建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL HandshakeProtocol):建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。
在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据(长度不为0)组成的。所有的SSL通信都使用SSL记录层,记录协议封装上层的握手协议、报警协议、修改密文协议。SSL记录协议包括记录头和记录数据格式的规定。
SSL记录协议定义了要传输数据的格式,它位于一些可靠的传输协议之上(如TCP),用于各种更高层协议的封装。主要完成分组和组合、压缩和解压缩,以及消息认证和加密等。
风险评估:
包括风险评估准备、风险因素识别、风险程度分析、风险等级评价
输出文档:
准备阶段:《系统调研报告》《风险评估方案》
识别阶段:《资产价值分析报告》《威胁分析报告》《安全技术脆弱性分析报告》《安全管理脆弱性分析报告》《已有安全措施分析报告》
风险分析:《风险评估报告》
风险处置:《安全整改建议》
深度流检测技术
组成部分通常包括 流特征选择、流特征提取、分类器
审计系统三大功能模块:
审计事件的收集及过滤,审计事件的记录及查询、审计事件分析及响应报警系统
电子邮件协议
1.标准的电子邮件协议使用SMTP、POP3或IMAP。
2.安全的电子邮件协议使用PGP加密
IPsec协议:
IPSec(IP Security)协议产生于IPv6的制定之中,用于提供IP层的安全性。介于第三层隧道协议。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。
IPSec提供了两种安全机制:认证(采用ipsec的AH)和加密(采用ipsec的ESP)。
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。
加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。
IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语SA(Security Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个"连接"。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。要实现AH和ESP,都必须提供对SA的支持。通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。ESP协议基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别
IKE创建在ISAKMP协议定义的框架上,沿用了Oakley协议的密钥交换模式和SKEME协议的共享密钥和密钥组成技术.IKE使用俩阶段协商安全参数.第一阶段交换IKE,主要通过俩种模式实现,第二阶段利用第一阶段建立的安全关联来创建其他协议的安全关联,用于IPSec协议时,创建SA
IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是隧道模式,另一种是传输模式。
BLP规则俩条基本规则:
简单安全特性规则:主体只能向下读,不能向上读
特性规则:主题只能向上写,不能向下写
安全电子交易(SET)
采用公钥密码体制和X.509数字证书标准,关心应用的互通性,提供了消费者、商家和银行之间的认证,安全程度很高,结合了DES、RSA.SSL、S—HTTP,使用了秘密密钥、公共密钥、数字信封、多密钥对、双重签名、
PKI系统 (Public Key Infrastructure/公钥基础设施)
PKI 采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信 息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传 输。
因 此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一 个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性(确保信息)、完整性、有效性。数据的机密性是指数据在传 输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一 个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统 中,除证书的创建和发布,特别是证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统,将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中,PKI系统必须有能力为一个用户管理多对密钥和证书;能够提供安 全策略编辑和管理工具,如密钥周期和密钥用途等。
PKI发展的一个重要方面就是标准化问题,它也是建立互操作性的基础。目前,PKI标准化主要有两个方面:一是RSA公司的公钥加密标准PKCS(Public Key Cryptography Standards),它定义了许多基本PKI部件,包括数字签名和证书请求格式等;二是由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组PKIX(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥基础设施协议。在今后很长的一段时间内,PKCS和PKIX将会并存,大部分的PKI产品为保持兼容性,也将会对这两种标准进行支持。
一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。
PKI信任模型类型有:单级CA信任模型、严格层次结构模型、分布式(网状)信任模型结构、web模型、桥CA信任模型、用户为中心的信任模型
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构–CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。接受客户证书申请并进行审核注册的的机构被称为RA。X.509是最基本的证书存储格式。
内容包括:证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的一系列数字签名。CA通过发布证书黑名单,公开发布已经废除的的证书
物理隔离
思想是内外网隔开,但分时对已存储设备进行读和写,间接实现信息交换。网闸的主要实现技术包括实时开关技术、单向连接、网络开关
IDS
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS) 袭击。由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS (HIDS)。NIDS(Network Intrusion System):网络入侵系统,主要用于监测Hacker或Cracker通过网络进行的入侵行为,其主要包括时间探测器和控制台俩部分。
(1)按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。
(2)按入侵检测的技术基础可分为两类:一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测(anomaly-based)。
(3) 按输入入侵检测系统的数据的来源来分,可以分为三类:
-
基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;
-
基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;
-
采用上述两种数据来源的分布式入侵检测系统它能够同时分析来源于系统的审计日志和来源于网络的信息流,这种系统一般由多个部件组成。
(4)按入侵检测所采用的技术方法又可将其细分为下面四种方法:
一是基于用户行为概率统计模型的入侵检测方法:
这种入侵检测方法是在对用户历史行为建模或在早期的证据或模型的基础上,实时检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,立即保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。
二是基于神经网络的入侵检测方法:
这种方法是利用神经网络技术来进行入侵检测。这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出是否有入侵行为的判断。但该方法还不成熟,目前还没有出现较为完善的产品。
三是基于专家系统的入侵检测技术:
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统,由此专家系统自动进行对所涉及的入侵行为进行分析。该系统可以随着经验的积累而不断自我学习,并进行规则的扩充和修正。
四是基于模型推理的入侵检测技术:
该技术根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。
IPS
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的解释。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。是
在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。是主动防御系统。
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)(对计算机中文件的完整性进行前后比较,发现被篡改的系统文件)和网路入侵预防系统(NIPS: Network Intrusion Prevension System) =两种类型。
流量监控
基础是协议分析,包括端口识别、DPI(深度包检测)和DFI(深度流检测)
VPN
主要隧道协议包括PPTP(第二层)、L2TP(第二层)、GRE(第三层)、IPsec(第三层)、SSL VPN(第四层)、TLS VPN(第四层)
Internet VPN:通过公网VPN
实现VPN的关键技术有隧道技术、加解密技术、秘钥管理技术和身份认证技术
RADIUS
承载于UDP协议之上,认证授权端口为1812,计费端口为1813
P2DR模型
包括四个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和 Response(响应)。
(1)策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
(2)防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
(4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
代码静态分析方法
包括模式匹配、定理证明、模式检测
安全漏洞扫描
核心技术是端口扫描技术和漏洞扫描技术
防火墙
防火墙的主要目的是实时访问控制和加强站点安全策略,访问控制包含服务控制、方向控制、用户控制和方向控制,防火墙主要有以下几种体系结构,防火墙主要包括双重宿主主机体系结构,屏蔽主机体系结构和屏蔽子网体系结构:
-
双重宿主主机体系结构,双重宿主主机是一种防火墙,这种防火墙主要有2个接口,分别连接着内部网络和外部网络,位于内外网络之间,阻止内外网络之间的IP通信,禁止一个网络将数据包发往另一个网络。两个网络之间的通信通过应用层数据共享和应用层代理服务的方法来实现,一般情况下都会在上面使用代理服务器,内网计算机想要访问外网的时候,必需先经过代理服务器的验证。这种体系结构是存在漏洞的,比如双重宿主主机是整个网络的屏障,一旦被黑客攻破,那么内部网络就会对攻击者敞开大门,所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登陆的可能性
-
屏蔽主机体系结构,防火墙由一台过滤路由器和一台堡垒主机构成,防火墙会强迫所有外部网络对内部网络的连接全部通过包过滤路由器和堡垒主机,堡垒主机就相当于是一个代理服务器,也就是说,包过滤路由器提供了网络层和传输层的安全,堡垒主机提供了应用层的安全,路由器的安全配置使得外网系统只能访问到堡垒主机,这个过程中,包过滤路由器是否正确配置和路由表是否收到安全保护是这个体系安全程度的关键,如果路由表被更改,指向堡垒主机的路由记录被删除,那么外部入侵者就可以直接连入内网
-
屏蔽子网体系结构,这是最安全的防火墙体系结构,如下图所示,由两个包过滤路由器和一个堡垒主机构成,与屏蔽主机体系结构相比,它多了一层防护体系就是周边网络,周边网络相当与是一个防护层介于外网和内网之间,周边网络内经常放置堡垒主机和对外开放的应用服务器,比如web服务器。下图中虚线框起来的地方就是屏蔽子网体系结构的防火墙,称为DMZ,通过DMZ网络直接进行信息传输是被严格禁止的,外网路由器负责管理外部网到DMZ网络的访问,为了保护内部网的主机,DMZ只允许外部网络访问堡垒主机和应用服务器,把入站的数据包路由到堡垒主机。不允许外部网络访问内网。内部路由器可以保护内部网络不受外部网络和周边网络侵害,内部路由器值允许内部网络访问堡垒主机,然后通过堡垒主机的代理服务器来访问外网。外部路由器在DMZ向外网的方向只接受由堡垒主机向外网的连接请求。在屏蔽子网体系结构中,堡垒主机位于周边网络,为整个防御系统的核心,堡垒主机运行应用级网关,比如各种代理服务器程序,如果堡垒主机遭到了入侵,那么有内部路由器的保护,可以使得其不能进入内部网络。应用代理防火墙的主要优点是安全控制更细化、更灵活
密码
-
一个密码当它能经得起已知明文攻击时才是安全的
-
选择明文攻击可得到任何明文的密文
-
Kerberos进行密钥分配时使用AES、DES等对称密钥加密,用户先向认证服务器AS申请原始票据,然后从票据授予服务器TGS获取会话密钥,使用一次性密钥和时间戳,来阻止重放攻击。
-
密码体制由以下五个部分构成 明文空间M 密文空间C 加密算法E 解密算法D 密钥空间K,非对称密码通常包括基于因子分解、基于离散对数、基于椭圆离散对数
-
秘钥管理遵循的原则有:全程安全原则、最小权利原则、责任分离原则、密钥分级原则、密钥设定与更换原则
-
对称算法分为俩类:
(1)分组算法(分组密码),常见分组密码算法:DES、IDEA、AES,
(2)序列算法(序列密码、流密码),公开的序列密码算法主要有RC4、SEAL等 -
公钥密码体制主要有RSA、DSA、ECC
-
DES分组长度为64bit,使用56bit对64bit的明文串进行16轮加密,得到64比特的密文串,子秘钥长度为48位
-
中国人民银行的智能卡规范支持3DES,其中3DES有俩种加密方法:
(1)第一三次加密使用同一密钥,这种密钥长度为128位(112位有效)
(2)三次加密使用不同密钥,这种方式密钥长度192位(168位有效) -
SHA所产生的摘要长度为160位,信息摘要算法MD5的摘要长度为128位
RSA算法选取的模至少有1024位,椭圆曲线密码,选取的参数p的规模不少于160位
WEP采用RC4算法,使用40位(出口)或64位密钥,有些厂商将密钥位数扩展到128位(WEP2),标准64位标准流使用的密钥和初始向量长度分别为40位和24位 -
ECC规定用户的私钥d为一个随机数,取值范围为0~n-1。公钥Q通过dG进行计算。ECC签名后的内容中包括原文,而RSA不包括
-
S盒变换是一种(字节代换)压缩替换,通过S盒将48位输入变为32位输出,共有8个S盒,并行作用。每个S盒有6个输入、4个输出,是非线性压缩变换
-
ECB模式:又称电子密码本模式:Electronic codebook,是最简单的块密码加密模式,加密前根据加密块大小(如AES为128位)分成若干块,之后将每块使用相同的密钥单独加密,解密同理。
CBC模式:密码分组链接(CBC,Cipher-block chaining)模式,由IBM于1976年发明,每个明文块先与前一个密文块进行异或后,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有明文块。同时,为了保证每条消息的唯一性,在第一个块中需要使用初始化向量IV,缺点是加密会引发错误传播无界,解密引发错误传播有界,CBC不利于并行运算
CFB模式:密文反馈(CFB,Cipher feedback)模式与ECB和CBC模式只能够加密块数据不同,可以将块密码变为自同步的流密码;CFB的解密过程几乎就是颠倒的CBC的加密过程。
OFB模式(输出反馈:Output feedback):OFB是先用块加密器生成密钥流(Keystream),然后再将密钥流与明文流异或得到密文流,解密是先用块加密器生成密钥流,再将密钥流与密文流异或得到明文,由于异或操作的对称性所以加密和解密的流程是完全一样的。
PCBC模式(PCBC,Propagating cipher-block chaining)
或称为明文密码块链接(Plaintext cipher-block chaining)是一种可以使密文中的微小更改在解密时导致明文大部分错误的模式,并在加密的时候也具有同样的特性。缺点:加解密错误传播无界性,不合适磁盘文件加密2.要求数据长度是密码分组长度的整数倍,否则最后一个块需要特殊处理
-
祖冲之算法集包括祖冲之算法、加密算法128-EEA3和完整性算法128-EIA3,已经被国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的候选算法,由三个基本部分组成:1.比特重组2.非线性函数F3.线性反馈移位寄存器(LFSR)
-
SHA把信息分为512比特的分组,所产生的摘要长度为160位,信息摘要算法MD5把信息分为512比特的分组,摘要长度为128位
-
初级秘钥采取一次一密的使用形式,在将秘钥的明文传输给对方时,需要使用更高级的密钥进行加密。对方接收到加密的初级秘钥后,需要将其解密才能使用
-
基于windows的文件加密系统为EFS
-
COS包括通信管理模块、安全管理模块、应用管理模块和文件管理模块
其他
-
Linux系统的运行日志存储的目录是: /var/log
用户名 :/etc/passwd
口令 :/etc/shadow -
windows系统中从DHCP服务器获取IP地址时,可以使用ipconfig/renew命令
-
数据中心应该被合理的划分为 核心数据域 核心业务域 安全管理域
-
专用地址(私有地址):
(1)10.0.0.0——10.255.255.255
(2)172.16.0.0——172.31.255.255
(3)192.168.0.0——192.168.255.255 -
心跳包的最大取值为:64KB-1
-
Ethernet物理地址采用十六进制表示,共六个字节(48位)。其中,其三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“机构唯一的标识符”,后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一位)。一个地址块可以生成2个不同的地址。
Ethernet帧前导码与帧前定界符为8个字节,帧校验字段采用32位的CRC校验,数据字段最大长度为1500B。帧最小长度为64B,最大长度为1518B
IEEE 802.3帧结构中前导码由7字节组成,它和帧前定界符不计入帧头长度中。目的地址和源地址分别表示帧的接收结点地址与发送结点的硬件地址。数据字段的最长长度为1500B,最小长度为4B,帧校验位采用32位的CRC校验。
IEEE 802.11标准中,实现虚拟监听机制(Virtual Carrier Sense)的层次是MAC层,帧控制字段为2B。无线局域网(WLAN)的介质访问控制协议及物理层技术规范
IEEE 802.12:需求优先的介质访问控制协议
IEEE 802.15:采用蓝牙技术的无线个人网技术规范
IEEE 802.16:宽带无线连接工作组,开发2~66GHz的无线接入系统空中接口
IEEE 802.11a使用的频段是5GHZ
IEEE 802.11b使用的频段是2.4GHZ,最大传输速率11Mbps
IEEE 802.11g使用的频段是2.4GHZ,最大运输速率54Mbps
IEEE 802.11n使用的频段是5GHZ,最大运输速率100Mbps,采用介质专用接口MII
IEEE 802.3ae是10 Gigabit Ethernet标准
IEEE 802.3ba是40/100 Gigabit Ethernet标准
IEEE 802.3u最大运输速率100Mbps,是Fast Ethernet标准
IEEE 802.3z是Gigabit Ethernet标准,千兆以太网 -
安卓的系统架构从上层到下层包括应用程序层、应用框架层、系统库和安卓运行时、Linux内核。安卓其核心系统服务如安全性、内存管理、进程管理、网络协议以及驱动模型都依赖于Linux内核
-
snort三种主要模式:嗅探、包记录、网络入侵检测
-
100BASE-T2使用俩对五类无屏蔽双绞线作为传输介质
-
IEEE802.3规定的最小帧长(从目的地址到校验和的距离)是64字节
-
采用ADSL虚拟拨号接入方式中,用户需要装入PPPOE软件
-
web服务器可以使用内容安全策略严格约束并指定可信的内容来源
-
网页防篡改技术中,外挂轮询技术又被称为时间轮询技术
-
中国无线局域网鉴别与保密基础结构(WAPI:采用公钥密码技术,鉴权服务器AS负责证书的颁发、验证和撤销),美国无线安全标准IEEE 802.11i
-
NAT(网络地址翻译技术)
静态NAT、NAT池和端口地址转换PAT -
ICMP是网络层协议,封装在IP数据包内传输的
-
TCP报头包括端口号、目标端口号、顺序号和校验号,UDP报头不包括顺序号字段
-
Telnet采用客户端/服务器工作方式,采用NVT格式实现客户端和服务器的数据传输
-
RAID技术中,磁盘容量利用率最高的是RAID0
-
网络化存储的有NAS(网络接入存储)和SAN(存储区域网络)
-
网络应用层和传输层之间提供加密方案的协议是SSL
-
SMTP命令指令 HELO: 客户端为标识自己的身份而发送的命令 EHLO: 是服务器可以表明自己支持扩展简单邮件传输协议(ESMTP)命令 MAIL FROM:表示邮件的发件人 RCRT TO :表示邮件的收件人 TURE :允许客户端和服务器交换角色,并在相反的方向发送邮件,而不用重新建立连接 ATRN :可以选择将一个或者多个域作为参数,如果该会话通过身份验证,则ATRN命令一定会被拒绝 -
A 将DNS域名映射到IPV4的32位地址上 AAAA 将DNS域名映射到IPV4的128位地址上 CNAME 规范名资源记录,允许多个名称对应到同一个主机 MX 邮件交换器资源,其后的数字首选参数值(0-65535)指明与其他邮件交换服务器的优先级 NS 域名服务器记录,指明该域名由哪台服务器来解析 RTP 指针,用于将一个IP地址映为一个主机名 -
PIX配置语句: fixup protocol ftp 21 //启用ftp协议,允许21端口的数据通过 nameif eth0 outside security 0 //eth0 接口命名为outside,安全级别设置为0 ip address outside 61.144.51.42 255.255.255.0 //配置outside 接口IP地址与掩码 global(outside)1 61.144.51.46 //经outside接口去外网的数据,地址转换为61.144.51.46,全局地址池标志为1 nat(inside)1 0.0.0.0 0.0.0.0 //所有地址按地址池1定义进行地址转换 route outside 0.0.0.0 0.0.0.0 61.144.51.46 //设置默认路由,所有数据通过61.144.51.46转发
Tcp协议三次握手
ACK标志位说明确认序列号有效,PSH标志位表示请求接收端主机尽快将数据包交付给应用层,FIN标志位用于释放TCP链接,SYN标志位说明建立一个同步连接。其中TCP的半连接扫描也称为TCP SYN扫描.未完成三次握手可减少对方主机或者防火墙记录这样的扫描行为
存储区域网络
存储区域网络(Storage Area Network,简称SAN)采用网状通道(Fibre Channel ,简称FC,区别与Fiber Channel光纤通道)技术,通过FC交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。SAN经过十多年历史的发展,已经相当成熟,成为业界的事实标准(但各个厂商的光纤交换技术不完全相同,其服务器和SAN存储有兼容性的要求)。
内存结构
计算
2.
4.
5.
安全事件
-
2018年12月14日下午,一款通过“驱动人生”升级通道进行传播的木马突然爆发,在短短两个小时的时间内就感染了十万台电脑。通过后续调查发现,这是一起精心策划的供应链入侵事件。(Xshell后门)
-
永恒之蓝:
是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
SMB工作原理:
(1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。
(2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。
(3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。
(4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。
- ZipperDown通用漏洞:
ZipperDown漏洞并非iOS平台自身问题,而是与Zip文件解压有关。iOS平台没有提供官方的unzipAPI函数,而是引用了第三方库来实现解压功能,由于现有的iOS App基本上采用SSZipArchive或Ziparchive来实现解压,因此漏洞是来自使用第三方Zip库解压Zip文件的过程中没有对Zip内文件名做校验导致的。如果文件名中含有“…/”则可以实现目录的上一级跳转,从而实现应用内任意目录的跳转,进一步可以实现文件覆盖,如果把App的hotpatch文件覆盖替换了,可以达到执行黑客指定指令,从而按照黑客的意图实现任意应用内攻击。
攻击条件:
使用了第三方解压库。
Zip包在解压时没有做完整性校验。
APP使用了JSPatch或其他执行引擎,且本地脚本没有加密,只要把脚本放指定目录即可执行 ,本地脚本未做合法性校验。
连接不可靠的WIFI热点进行通信。
-
Memcache DDoS
memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。 -
勒索软件凶猛:“罗宾汉”打瘫美国市政府,在于一个名为“Robbin Hood”的勒索软件病毒,Robbin Hood的中文译名,是“罗宾汉”。这个“侠盗”病毒,让巴尔的摩市政府的网络陷入瘫痪,攻击者索要13个比特币才肯交出密钥。(与互联网物理隔绝,实行严格的安全等级保护,以及对重要系统和数据进行备份。)