信息安全工程師教程學(xué)習(xí)筆記(一)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息安全工程師教程學(xué)習(xí)筆記（一）全國計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試，這門新開的分屬該考試“信息系統(tǒng)”專業(yè)，位處中級資格。官方教材信息安全工程師教程及考試大綱于7月1日出版，希賽小編整理了學(xué)習(xí)筆記，供大家參考學(xué)習(xí)。 網(wǎng)站安全威脅      網(wǎng)站安全問題原因何在？總結(jié)種種形式，目前網(wǎng)站安全存在以下威脅：      服務(wù)器系統(tǒng)漏洞      利用系統(tǒng)漏洞是網(wǎng)站遭受攻擊的最常見攻擊方式。網(wǎng)站是基于計(jì)算機(jī)網(wǎng)絡(luò)的，而計(jì)算機(jī)運(yùn)行又是少不了操作系統(tǒng)的。操作系統(tǒng)的漏洞會(huì)直接影響

2、到網(wǎng)站的安全，一個(gè)小小的系統(tǒng)漏洞可能就是讓系統(tǒng)癱瘓，比如常見的有緩沖區(qū)溢出漏洞、iis漏洞、以及第三方軟件漏洞等。      注意：虛擬機(jī)用戶注意了，請選擇穩(wěn)定、安全的空間，這個(gè)尤為重要！      網(wǎng)站程序設(shè)計(jì)缺陷      網(wǎng)站設(shè)計(jì)，往往只考慮業(yè)務(wù)功能和正常情況下的穩(wěn)定，考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)需求。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見，大多數(shù)網(wǎng)站設(shè)計(jì)開發(fā)者、網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過程中，即便存在安全漏洞，正

3、常的使用者并不會(huì)察覺。      網(wǎng)站源程序代碼的安全也對整個(gè)網(wǎng)站的安全起到舉足輕重的作用。若代碼漏洞危害嚴(yán)重，攻擊者通過相應(yīng)的攻擊很容易拿到系統(tǒng)的最高權(quán)限，那時(shí)整個(gè)網(wǎng)站也在其掌握之中，因此代碼的安全性至關(guān)重要。目前由于代碼編寫的不嚴(yán)謹(jǐn)而引發(fā)的漏洞很多，最為流行攻擊方法示意圖如下：      （1）注入漏洞攻擊      （2）上傳漏洞攻擊      （3）CGI漏洞攻擊      （4）XSS攻擊      （5）

4、構(gòu)造入侵      （6）社會(huì)工程學(xué)      （7）管理疏忽      安全意識(shí)薄弱      很多人都認(rèn)為，部署防火墻、IDS、IPS、防毒墻等基于網(wǎng)絡(luò)的安全產(chǎn)品后，通過SSL加密網(wǎng)絡(luò)、服務(wù)器、網(wǎng)站都是安全的。實(shí)事上并不是如此，基于應(yīng)用層的攻擊如SQL注入、跨站腳本、構(gòu)造入侵這種特征不唯一的網(wǎng)站攻擊，就是通過80端口進(jìn)行的，并且攻擊者是通過正常GET、POST等正常方式提交，來達(dá)到攻擊的效果，基于特征匹配技術(shù)防御攻擊，不能精確阻斷攻擊，防火墻是無法攔截的。SSL

5、加密后，只能說明網(wǎng)站發(fā)送和接受的信息都經(jīng)過了加密處理，但無法保障存儲(chǔ)在網(wǎng)站里面的信息安全。同時(shí)還有管理人員的安全意識(shí)不足，默認(rèn)配置不當(dāng)，使用弱口令密碼等。      提示：防火墻等安全產(chǎn)品是攔截基于網(wǎng)絡(luò)的攻擊（如DDOS、端口掃描等），可以限制不必對外開放的端口，可以方便集中管理、分劃網(wǎng)絡(luò)拓?fù)洹?網(wǎng)絡(luò)欺騙 網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源（當(dāng)然這些資源是偽造的或不重要的），并將入侵者引向這些錯(cuò)誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且，它允

6、許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。      主要技術(shù)      Honey Pot和分布式Honey Pot      網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性，后者包括重定向路由、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)，它將少量的有吸引力的目標(biāo)（我們稱之為Honey Pot）放置在入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。   

7、60; 這種技術(shù)的目標(biāo)是尋找一種有效的方法來影響入侵者，使得入侵者將技術(shù)、精力集中到Honey Pot而不是其它真正有價(jià)值的正常系統(tǒng)和資源中。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時(shí)，迅速地將其切換。      但是，對稍高級的網(wǎng)絡(luò)入侵，Honey Pot技術(shù)就作用甚微了。因此，分布式Honey Pot技術(shù)便應(yīng)運(yùn)而生，它將欺騙（Honey Pot）散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來充當(dāng)欺騙，從而增大了入侵者遭遇欺騙的可能性。它具有兩個(gè)直接的效果，一是將欺騙分布到更廣范圍的IP地址和端口空間中，二是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的百分比，使得欺

8、騙比安全弱點(diǎn)被入侵者掃描器發(fā)現(xiàn)的可能性增大。      盡管如此，分布式Honey Pot技術(shù)仍有局限性，這體現(xiàn)在三個(gè)方面：一是它對窮盡整個(gè)空間搜索的網(wǎng)絡(luò)掃描無效；二是只提供了相對較低的欺騙質(zhì)量；三是只相對使整個(gè)搜索空間的安全弱點(diǎn)減少。而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中，處于觀察（如嗅探）而非主動(dòng)掃描階段時(shí)，真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明，那么這種欺騙將失去作用      主要形式      欺騙空間技術(shù)   

9、  欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量，從而達(dá)到安全防護(hù)的目的。利用計(jì)算機(jī)系統(tǒng)的多宿主能力（multihomed capability），在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上就能實(shí)現(xiàn)具有眾多IP地址的主機(jī)，而且每個(gè)IP地址還具有它們自己的MAC地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙，且花費(fèi)極低。實(shí)際上，現(xiàn)在已有研究機(jī)構(gòu)能將超過4000個(gè)IP地址綁定在一臺(tái)運(yùn)行Linux的PC上。這意味著利用16臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng)，就可做到覆蓋整個(gè)B類地址空間的欺騙。盡管看起來存在許許多多不同的欺騙，但實(shí)際上在一臺(tái)計(jì)算機(jī)上就可實(shí)現(xiàn)。     

10、從效果上看，將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量，因?yàn)樗麄冃枰獩Q定哪些服務(wù)是真正的，哪些服務(wù)是偽造的，特別是這樣的4萬個(gè)以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)。而且，在這種情況下，欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn)，通過誘使入侵者上當(dāng)，增加了入侵時(shí)間，從而大量消耗入侵者的資源，使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小。      當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時(shí)，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來的遠(yuǎn)程訪問變成這個(gè)欺騙的繼續(xù)。      當(dāng)然，采用這種欺騙時(shí)網(wǎng)絡(luò)

11、流量和服務(wù)的切換（重定向）必須嚴(yán)格保密，因?yàn)橐坏┍┞毒蛯⒄兄鹿?，從而?dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來      增強(qiáng)欺騙質(zhì)量      面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來。      網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強(qiáng)網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法，下面分別予以介紹。      

12、網(wǎng)絡(luò)流量仿真      產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似，因?yàn)樗械脑L問連接都被復(fù)制了。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使入侵者可以發(fā)現(xiàn)和利用。      網(wǎng)絡(luò)動(dòng)態(tài)配置      真實(shí)網(wǎng)絡(luò)是隨時(shí)間而改變的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無效。因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也象真實(shí)網(wǎng)絡(luò)那樣隨時(shí)間而改變。為使之有

13、效，欺騙特性也應(yīng)該能盡可能地反映出真實(shí)系統(tǒng)的特性。例如，如果辦公室的計(jì)算機(jī)在下班之后關(guān)機(jī)，那么欺騙計(jì)算機(jī)也應(yīng)該在同一時(shí)刻關(guān)機(jī)。其它的如假期、周末和特殊時(shí)刻也必須考慮，否則入侵者將很可能發(fā)現(xiàn)欺騙。      多重地址轉(zhuǎn)換      （multiple address translation）      地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開來，這樣就可利用真實(shí)的計(jì)算機(jī)替換低可信度的欺騙，增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)（通過改寫代理服務(wù)器程序?qū)崿F(xiàn)），由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，

14、使相同的源和目的地址象真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。右圖中，從m.n.o.p進(jìn)入到a.b.c.g接口的訪問，將經(jīng)過一系列的地址轉(zhuǎn)換由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f，最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實(shí)機(jī)器上的a.b.c.g。并且還可將欺騙服務(wù)綁定在與提供真實(shí)服務(wù)主機(jī)相同類型和配置的主機(jī)上，從而顯著地提高欺騙的真實(shí)性。還可以嘗試動(dòng)態(tài)多重地址轉(zhuǎn)換。 如需了解更多信息安全工程師考試資訊，請看希賽軟考學(xué)院！ 出師表：先帝創(chuàng)業(yè)未半而中道崩殂，今天下三分，益州疲弊，此誠危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠宜開張圣聽

15、，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。侍中、侍郎郭攸之、費(fèi)祎、董允等，此皆良實(shí)，志慮忠純，是以先帝簡拔以遺陛下：愚以為宮中之事，事無大小，悉以咨之，然后施行，必能裨補(bǔ)闕漏，有所廣益。將軍向?qū)?，性行淑均，曉暢軍事，試用于昔日，先帝稱之曰“能”，是以眾議舉寵為督：愚以為營中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所。 親賢臣，遠(yuǎn)小人，此先漢所以興隆也；親小人，遠(yuǎn)賢臣，此后漢所以傾頹也。先帝在時(shí)，每與臣論此事，未嘗不嘆息痛恨于桓、靈也。侍中、尚書、長史、參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計(jì)日而待也。臣本布衣，躬耕于南陽，茍全性命于亂世，不求聞達(dá)于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當(dāng)世之事，由是感激，遂許先帝以驅(qū)馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來二十有一年