網絡信息安全概述
信息安全包括:
- 信息安全管理
- 物理場所安全
- 設備的硬件安全
- 軟件安全(操作系統/其他系統軟件應用軟件)
- 網絡信息安全
- 密碼學的應用
- 信息隱藏
- 其他不常見技術
網絡安全的研究方向:
- 攻擊技術:身份隱藏、踩點、掃描、查點、嗅探、拒絕服務攻擊、口令猜測、欺騙、會話劫持、緩衝區溢出、病毒、蠕蟲、木馬等
- 防範技術:主機加固、密碼學、防火牆、虛擬專用網、入侵檢測系統、蜜罐等
網絡安全的原則
-
安全即是平衡(要保護系統價值、網絡通暢性、方便易用性和安全級別之間)。
-
安全並非某一個產品,它是一個 完整的過程(多種機制,維護和升級)。
-
安全的最根本原則:不要把所有雞蛋都放在同一個籃子裏,即需要有多種安全機制。安全強度等同於安全鏈路中最薄弱的鏈接。
-
安全不等於加密,網絡信息安全實際上已不僅是一系列技術問題,它是一項系統的社會工程。 絕大多數攻擊不是靠破譯密碼成功的。
-
安全也不等於防火牆,只有防火牆的系統的安全性就相當於爲帳篷安裝了一扇防盜門,至少還需要有入侵檢測系統。防火牆還不能防止內部攻擊。
-
對網絡攻擊的對策措施:
保護 —— 加密、防火牆、口令
監測 —— 入侵檢測系統
反應 —— 自動改變口令、口令錯誤封鎖機制
沒有一項保護技術是完美的,監測和反應是最基本的。保護不是必須的,監測和反應是必須的。 -
首先要具有安全意識,其次才能談到安全技術。
-
網絡信息安全首先要從最底層 —— 操作系統 安全抓起,其次才能談到網絡、應用程序的安全。
但到目前爲止還沒有絕對安全的操作系統,實驗室內的安全操作系統功能過於簡單、靈活性和易用性不好。 -
複雜性 是安全的最大敵人,內部人員 對網絡危害最大。
內核膨脹 —— 駐留內存命令過多 -
在這一行,對知識的更多更新的掌握決定一切。要比入侵者更詳細地瞭解你自己的系統。
-
最小權限原則:給予用戶能夠將工作完成的最小權限,能夠將攻擊者對系統造成的危害降低到最低程度。
TCP/IP 概述
需要事先學習/自學的內容:
- ISO 的 OSI 的七層網絡互連
- TCP/IP 在廣域網協議中的地位;與 OSI 的關係
- IP、TCP、UDP 協議的數據包的格式
- TCP/IP 協議簇裏還有哪些主要協議;協議之間的相互關係
- TCP 建立連接的三次握手
- 主要服務(進程)的熟知端口
OSI 與 TCP/IP 的關係
鏈路層 由如下不同的局域網組成:
- 以太網、令牌環網、令牌總線網、無線局域網等
IP地址和協議端口
若 A 是 請求服務的客戶機,B 是 提供服務的服務器。
- B 可以向包括 A 在內的多個客戶機提供服務,所以要用 A 的 IP地址 作爲 源IP地址 加以區分;
- 同樣 A 可以向包括 B 在內的多個服務器請求服務,所以要用 B 的 IP地址 作爲 目的IP地址 加以區分。
- 此外,B 可以同時提供幾種服務,爲了對它提供的不同服務加以區分,引入 目的端口號 加以區分;
- 同樣,在 A 中引入 源端口號 區分 A 對不同的服務發起的請求。
例如,B 主機安裝了一個 Web 服務器,它就開放 80端口 偵聽其他主機對它的 Web 服務的請求;
同時,它又是個 Telnet 服務器,它就開放 23 端口偵聽其他主機對它的 Telnet 服務的請求。
常見服務及端口號:
- FTP(File Transfer Protocol,文件傳輸協議):21 端口號
- SMTP(電子郵件傳輸協議):25 端口號
- DNS(Domian Name System,域名系統):53 端口號
- …
源、目的IP地址以及源、目的端口同時確定才能確定哪臺客戶機向哪臺服務器提出請求什麼服務。
端口的分類:
- 1-1023:事先確定的服務器提供某項服務的端口;
- 1024-4999:客戶端由操作系統確定的隨機端口;
- 5000-65535:木馬的服務器端;一些特殊服務(如DBMS)的端口;用戶自定義服務器端。
IP地址:
- IPv4 —— 32位 = 8×4 點分十進制,如:
192.168.0.1(私有IP地址)
202.119..(公有IP地址) - IPv6 —— 128位 = 32×4
MAC(物理)地址:48位 = 8×6
名稱(地址)的轉換:
每存在一步轉換就存在被欺騙的可能,MAC地址被欺騙可能性最小,但用戶最難以接受,應用最難。
爲什麼Internet不安全
電話網、無線網、金融網:專門介質(專門構建),相對安全;Internet 非常不安全。
從 Internet 的發展歷史說起,從結構、功能、性能和可擴展性上說,以 TCP/IP 爲核心的 Internet 要優於同時期的其他廣域網,所以它們才發展到今天。
以前它是國防研究網絡,人們之間是相互信任的,沒有考慮也不需要考慮安全問題。後來發展成教育研究和商業網絡等,安全問題才突現出來。