网络安全知识点

网络安全知识点
【篇一：网络安全知识点】
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，
不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续
可靠正常地运行，网络服务不中断。

一、基本概念
网络安全的具体含义会随着角度的变化而变化。

比如：从用户(个人、企业等)的角度来说，他们希望涉及个人隐私或商业利益的信息在网
络上传输时受到机密性、完整性和真实性的保护，避免其他人或对
手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

二、主要特性
网络安全应具有以下五个方面的特征：
保密性：信息不甚露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。

即信息在存储或传输
过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需求使用的特性。

即当需要时能否
存取所需的信息。

例如网络环境下拒绝服务、破坏网络和有关信息
的正常运行等都属于对可用性的攻击;
可控性：对信息的传播及内容具有控制能力。

可审查性：出现的安全问题时提供依据与手段。

从网络运行和管理者角度说，他们希望对本地网络信息的访问、读
写等操作受到保护和控制，避免出现陷门、病毒、拒绝服务和网络
资源非常占用和非常控制等威胁，制止和防御网络黑客的攻击。

对
安全保密部门来说，他们希望对非常的、有害的或涉及国家机密的
信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，
对国家造成巨大损失。

从社会教育和意识形态角度来讲，网络上不
健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进
行控制。

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机
的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、等发展到基于复杂的内部网(intranet)、企业外部网(extranet)、全球互联网(internet)的企业级计算机处理和世界范围内的信息共享和业
务处理。

在处理能力提高的同时，连接能力也在不断的提高。

但在
连接能力信息、流通能力提高的同时，基于网络连接的安全问题也
日益突出，整体的网络安全主要表现在以下几个方面：网络的物理
安全、网络拓扑结构安全、网络安全、应用安全和网络管理的安全等。

因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到
防范于未然。

甚至不会想到你自己也会成为目标的时候，威胁已经
出现了，一旦发生，常常措手不及，造成极大的损失。

三、它与网络性能和功能的关联
通常，安全与性能和功能是一对矛盾的关联。

如果某个关联不向外
界提供任何服务(断开)，外界是不可能构成安全威胁的。

但是，企业
接入国际互连网络，提供网上商店和电子商务等服务，等于一个内
部的网络建成了一个开放的网络环境，各种安全问题也随之产生。

构建网络安全，一方面由于要进行认证、加密、监听，分析、记录
等工作，由此影响网络效率，并且降低客户应用的灵活性;另一方面
也增加了管理费用。

但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关
键业务时，网络安全是首先要解决的问题。

选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安
全的情况下，提供灵活的网络服务通道。

采用适当的安全体设计和管理计划，能够有效降低网络安全对网络
性能的影响并降低管理费用。

全方位的安全：
访问控制：通过对特定网段、服务建立的访问控制体系，绝大多数
攻击阻止在到达攻击目标之前。

检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击
目标，也可使绝大多数攻击无效。

攻击监控：通过对特定网段、服务建立的攻击监控，可实时检测出
绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。

加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。

认证：良好的认证可防止攻击者假冒合法用户。

备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，较快
地恢复数据和系统服务。

多幂防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。

隐藏内部信息，使攻击者不能了解系统内的基本情况。

设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。

四、网络安全分析物理安全分析
网络的物理安全是整个网络系统安全的前提。

在工程建设中，由于网络系统弱电工程，耐压值很低。

因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖渔管道及冷热空渔管道之间的距离;考虑布线系统和绝缘线及接地与焊接的安全;必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。

总体来说物理安全的风险主要有，地震、渴灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。

网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。

假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。

透过网络传播，还会影响到连上internet/intrant的其他的网络;影响所及，还可能涉及金融等安全敏感领域。

因此，我们在设计时有必要对公开服务器(web、dns、email等)和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外漏;同时还要对外网的服务清查加以过滤，只允许正常通信的数据包到达相应主机，其它的服务在到达主机之前都应该遭到拒绝。

系统的安全分析
所踓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。

目前恐怕没有绝对安全的操作系统可以选择，无论是microsfot 的windowsnt或者其它任何商用unix操作系统，其开发厂商必然有其back-door。

因此，我们可以得出如下结论：没有完全安全的操作系统。

不同的用户应从不同的方面对其网络作详细的分析，选择安全性能可能高的操作系统。

因此不但要选用可靠的操作绻统和硬件平台，并对操作系统进行安全配置。

而且，必须加强登录过程的认证(特别是在到达服务器主机之前的认证)，确保用户的合法性;其次应该严格限制登录者的操作权限，完成的操作限制在最佳的范围内。

应用系统的安全分析
应用系统的安全跟具体的应用有关，它涉及面广。

应用系统的安全
是动态的、不断变化的。

应用的安全性也涉及到信息的安全性，它
包括很多方面。

应用系统的安全是动态的、不断变化的。

信息的安全性涉及到机密信息泄漏、未经授权的访问、破坏信息完
整性、假冒、破坏系统的可用性等。

在某些网络系统中，涉及到很
多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会
影响和政治影响都是很严重的。

因此，对用户使用计算机必须进行
身份认证，对于重要信息的通讯必须授权，传输必须加密。

采用多
幂次的访问控制与权限控制手段，实现对数据的安全保护;采用加密
技术，保证网上传输的信息(包括管理员口令与帐户、上传信息等)的
机密性与完整性。

管理的安全风险分析
管理是网络中安全最最重要的部分。

责权不明，安全管理制度不健
全及缺乏可操作性等都可能引起管理安全的风险。

当网络出现攻击
行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无
法进行实时的检测、监控、报告与预警。

同时，当事故发生后，也
无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可
控性与可审查性。

这就要求我们必须对站点的访问活动进行多幂次
的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。

保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性
和易管理性的信息网络便成为了首要任务。

一旦上述的安全隐患成
为事实，所造成的对整个网络的损失都是难以估计的。

因此，网络
的安全建设是校园网建设过程中重要的一环。

五、网络安全措施安全技术手段物理措施：例如，保护网络关键设
备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取
防辐射、防火以及安装不间断电源(ups)等措施。

访问控制：对用户访问网络资源的权限进行严格的认证和控制。

例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问
目录和文件的权限，控制网络设备配置的权限，等等。

数据加密：加密是保护数据安全的重要手段。

加密的作用是保障信
息被人截获后不能读懂其含义。

防止计算机网络病毒，安装网络防
病毒系统。

网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一
种是采用网络安全隔离网闸实现的。

隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的
隔离。

其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和
审计等。

近年来，围绕网络安全问题提出了许多解决办法，例如数
据加密技术和防火墙技术等。

数据加密是对网络中传输的数据进行
加密，到达目的地后再解密还原为原始数据，目的是防止非法用户
截获后盗用信息。

防火墙技术是通过对网络的隔离和限制访问等方
法来控制网络的访问权限。

安全防范意识
拥有网络安全意识是保证网络安全的重要前提。

许多网络安全事件
的发生都和缺乏安全防范意识有关。

六、网络安全案例概况。

随着计算机技术的飞速发展，信息网络已
经成为社会发展的重要保证。

有很多是敏感信息，甚至是国家机密。

所以难免会吸引来自世界各地的各种人为攻击(例如信息漏洞、信息
窃取、数据篡改、数据删添、计算机病毒等)。

同时，网络实体还要
经受诸如渴灾、火灾、地震、电磁辐射等方面的考验。

计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。

据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯
罪类型之一，每笔犯罪的平均金额为45000美元，每年计算机犯罪
造成的经济损失高达50亿美元。

国外
1996年初，据美国旧金山的计算机安全协会与联邦调查局的一次联
合调查统计，有53%的企业受到过计算机病毒的侵害，42%的企业
的计算机系统在过去的12个月被非法使用过。

而五角大楼的一个研
究小组称美国一年中遭受的攻击多达25万次之多。

1996年8月17日，美国司法部的网络服务器遭到黑客入侵，并对
美国司法部的主页改为美国不公正部，把司法部部长的照片换成了阿道夫?希特勒，对司法部徽章换成了纳纹党徽，并加上一幅色情女
郎的图片作为司法部部长的助手。

此外还留下了很多攻击美国司法
政策的文字。

1996年9月18日，黑客又光顾美国中央情报局的网络服务器，把
其主页由中央情报局改为中央愚蠢局。

1996年12月29日，黑客侵入美国空军的全球网网址并把其主页肆
意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的
黄色录像，且声称美国政府所说的一切都是谎言。

迫使美国国防部
一度关闭了其他80多个军方网址。

国内
1996年2月，刚开通不久的chinanet受到攻击，且攻击得逞。

1997年初，北京某isp被黑客成功侵入，并在清华大学渴木清华bbs站的黑客与解密讨论区张贴有关如何免费通过该isp进入internet的文章。

1997年4月23日，美国德克萨斯州内查德逊地区西南贝帔互联网络公司的某个ppp用户侵入中国互联网络信息中心的服务器，破译该系统的shutdown帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。

1996年初chinanet受到某高校的一个研究生的攻击;96年秋，北京某isp和它的用户发生了一些矛盾，此用户便攻击该isp的服务器，致使服务中断了数小时。

2010年，google发布公告称讲考虑退出中国市场，而公告中称：造成此决定的重要原因是因为google被黑客攻击。

七.网络安全类型
运行系统安全，即保证信息处理和传输系统的安全。

它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄漏，干扰他人，受他人干扰。

网络上系统信息的安全。

包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防溻，数据加密。

网络上信息传播安全，即信息传播后果的安全。

包括信息过滤等。

它侧重于防止和控制非法、有害的信息进行传播后的后果。

避免公用网络上大量自由传输的信息失控。

网络上信息内容的安全。

它侧重于保护信息的保密性、真实性和完整性。

避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。

本质上是保护用户的利益和隐私。

八.网络安全特征
网络安全应具有以下四个方面的特征：
保密性：信息不泄漏给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。

即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需要使用的特性。

即当需要时能否存取所需的信息。

例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性：对信息的传播及内容具有控制能力。

九.威胁网络安全因素
自然灾害、意外事故;计算机犯罪; 人为行为，比如使用不当，安全意识差等;黑客行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服
务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;比如信息
流量分析、信息窃取等; 信息战;网络协议中的缺陷，例如tcp/ip协
议的安全问题等等。

网络安全威胁主要包括两种：渗入威胁和植入威胁
渗入威胁主要有：假冒、旁路控制、授权侵犯;
植入威胁主要有：特洛伊木马、陷门。

陷门：把某一特征设立于某个系统或系统部件之中，使得在提供特
定的输入数据时，允许安全策略被违反。

十、网络安全的结构幂次
1、物理安全
自然灾害(如雷电、地震、火灾等)，物理损坏(如硬盘损坏、设备使
用寿命到期等)，设备故障(如停电、电磁干扰等)，意外事故。

解决
方案是：防护措施，安全制度，数据备份等。

电磁泄漏，信息泄漏，干扰他人，受他人干扰，乘机而入(如进入安
全进程后半途离开)，痕迹泄漏(如口令密钥等保管不善)。

解决方案是：辐射防护，隐藏销毁等。

操作失误(如删除文件，格式化硬盘，线路拆除等)，意外疏漏。

解决
方案是：状态检测，报警确认，应急恢复等。

计算机系统机房环境的安全。

特点是：可控性强，损失也大。

解决方案：加强机房管理，运行管理，安全组织和人事管理。

2 、安全控制
微机操作系统的安全控制。

如用户开机键入的口令(某些微机主板有
万能口令)，对文件的读写存取的控制(如unix系统的文件控制机制)。

主要用于保护存贮在硬盘上的信息和数据。

网络接口模块的安全控制。

在网络环境下对来自其他机器的网络通
信进程进行安全控制。

主要包括：身份认证，客户权限设置与判别，审计日志等。

网络互联设备的安全控制。

对整个子网内的所有主机的传输信息和
运行状态进行安全监测和控制。

主要通过网管软件或路由器配置实现。

十一、网络加密方式
链路加密方式
节点对节点加密方式
端对端加密方式
十二、tcp/ip协议的安全问题
tcp/ip协议数据流采用明文传输。

源地址欺骗(source address spoofing)或ip欺骗(ip spoofing)。

源路由选择欺骗(source routing spoofing)。

路由选择信息协议攻击(rip attacks)。

鉴别攻击(authentication attacks)。

tcp序列号欺骗(tcp sequence number spoofing)。

tcp序列号轰炸攻击(tcp syn flooding attack)，简称syn攻击。

易欺骗性(ease of spoofing)。

十三、网络安全工具
扫描器：是自动检测远程或本地主机安全性弱点的程序，一个好的
扫描器相当于一千个口令的价值。

如何工作：tcp端口扫描器，选择tcp/ip端口和服务(比如ftp)，并
记录目标的回答，可收集关于目标主机的有用信息(是否可匿名登录，是否提供某种服务)。

扫描器告诉我们什么：能发现目标主机的内在
弱点，这些弱点可能是破坏目标主机的关键因素。

系统管理员使用
扫描器，有助于加强系统的安全性。

黑客使用它，对网络的安全不利。

目前流行的扫描器：1、nss网络安全扫描器，2、stroke超级优化tcp端口检测程序，可记录指定机器的所有开放端口。

3、satan安
全管理员的网络分析工具。

4、jakal。

5、xscan。

一般比较流行的网络安全硬件还有：入侵防御设备(ips)，入侵监测
设备(ids)，一体化安全网关(utm)，较早的安全硬件还有硬件防火墙，但该随着utm的出现，已经慢慢被替代。

十四、黑客常用的信息收集工具
信息收集是突破网络系统的第一步。

黑客可以使用下面几种工具来
收集所需信息：
1、snmp协议
snmp协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。

简单网络管理协议(simple network management protocol snmp)
首先是由internet工程任务组织(internet engineering task
force)(ietf)的研究帏组为了解决internet上的路由器管理问题而提出的。

snmp被设计成与协议无关，所以它可以在ip，ipx，appletalk，osi以及其他用到的传输协议上被使用。

2、traceroute程序
traceroute程序，得出到达目标主机所经过的网络数和路由器数。

traceroute程序是同van jacobson编写的能深入探索tcp\ip协议的方便可用的工具。

它能让我们看到数据报从一台主机传到另一台主机所经过的路由。

traceroute程序还可以上我们使用ip源路由选项，让源主机指定发送路由。

3、whois协议
whois协议，它是一种信息服务，能够提供有关所有dns域和负责各个域的系统管理员数据。

(不过这些数据常常是过时的)。

whois协议。

其基本内容是，先向服务器的tcp端口43建立一个连接，发送查询关键字并加上回车换行，然后接收服务器的查询结果。

4、dns服务器
dns服务器是domain name system或者domain name
service(域名系统或者域名服务)。

域名系统为internet上的主机分配域名地址和ip地址。

用户使用域名地址，该系统就会自动把域名地址转为ip地址。

域名服务是运行域名系统的internet工具。

执行域名服务的服务器称之为dns服务器，通过dns服务器来应答域名服务的查询。

5、finger协议
finger协议，能够提供特定主机上用户们的详细信息(注册名、电话号码、最后一次注册的时间等)。

6、ping实用程序
ping实用程序，可以用来确定一个指定的主机的位置并确定其是否可达。

把这个简单的工具用在扫描程序中，可以ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机清单。

它是用来检查网络是否通畅或者网络连接速度的命令。

作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的dos命令，它所利用的原理是这样的：网络上的机器都有唯一确定的ip地址，我们给目标ip地址发送一个数据包，对方就要返回一个同样大量的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等，当然，它也可用来测定连接速度和丢包率。

使用方法(xp系统下)
开始-运行-cmd-确定-输入ping 0.0.0.0-回车0.0.0.0为你需要的ip。

部分防火墙会对ping禁止，故可能会提示timed out(超时)等情况
判断操作系统，则是看返回的ttl值。

十五、 internet防火墙
internet防火墙是这样的系统(或一组系统)，它能增强机构内部网络
的安全性。

防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以
访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。

要
使一个防火墙有效，所有来自和去往internet的信息都必须经过防
火墙，接受防火墙的检查。

防火墙只允许授权的数据通过，并且防
火墙本身也必须能够免于渗透。

1、 internet防火墙与安全策略的关系
防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的
组合，防火墙是安全策略的一个部分。

安全策略建立全方位的防御体系，甚至包括：告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和
拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。

所有可
能受到攻击的地方都必须以同样安全级别加以保护。

3、 internet防火墙的作用
internet防火墙允许网络管理员定义一个中心扼制点来防止非法用户，比如防止黑客、网络破坏者等进入内部网络。

禁止存在安全脆
弱性的服务进出网络，并抗击来自各种路线的攻击。

internet防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而
不是分布在内部网络的所有主机上。

在防火墙上可以很方便的监视网络的安全性，并产生报警。

(注意：
对一个与internet相联的内部网络来说，重要的问题并不是网络是
否会受到攻击，而是何时受到攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。

如果网络管理员不能及时响应报警并审查
常规记录，防火墙就形同虚设。

在这种情况下，网络管理员永远不
会知道防火墙是否受到攻击。

internet防火墙可以作为部署nat(network address translator，网
络地址变换)的逻辑地址。

因此防火墙可以用来缓解地址空间短缺的
问题，并消除机构在变换isp时带来的重新编址的麻烦。