信息安全工程师教程学习笔记(一)

信息安全工程师教程学习笔记（一）全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。官方教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记，供大家参考学习。网站安全威胁网站安全问题原因何在？总结种种形式，目前网站安全存在以下威胁：服务器系统漏洞利用系统漏洞是网站遭受攻击的最常见攻击方式。网站是基于计算机网络的，而计算机运行又是少不了操作系统的。操作系统的漏洞会直接影响到网站的安全，一个小小的系统漏洞可能就是让系统瘫痪，比如常见的有缓冲区溢出漏洞、iis漏洞、以及第三方软件漏洞等。注意：虚拟机用户注意了，请选择稳定、安全的空间，这个尤为重要！网站程序设计缺陷网站设计，往往只考虑业务功能和正常情况下的稳定，考虑满足用户应用，如何实现业务需求。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。网站源程序代码的安全也对整个网站的安全起到举足轻重的作用。若代码漏洞危害严重，攻击者通过相应的攻击很容易拿到系统的最高权限，那时整个网站也在其掌握之中，因此代码的安全性至关重要。目前由于代码编写的不严谨而引发的漏洞很多，最为流行攻击方法示意图如下：（1）注入漏洞攻击（2）上传漏洞攻击（3）CGI漏洞攻击（4）XSS攻击（5）构造入侵（6）社会工程学（7）管理疏忽安全意识薄弱很多人都认为，部署防火墙、IDS、IPS、防毒墙等基于网络的安全产品后，通过SSL加密网络、服务器、网站都是安全的。实事上并不是如此，基于应用层的攻击如SQL注入、跨站脚本、构造入侵这种特征不唯一的网站攻击，就是通过80端口进行的，并且攻击者是通过正常GET、POST等正常方式提交，来达到攻击的效果，基于特征匹配技术防御攻击，不能精确阻断攻击，防火墙是无法拦截的。SSL加密后，只能说明网站发送和接受的信息都经过了加密处理，但无法保障存储在网站里面的信息安全。同时还有管理人员的安全意识不足，默认配置不当，使用弱口令密码等。提示：防火墙等安全产品是拦截基于网络的攻击（如DDOS、端口扫描等），可以限制不必对外开放的端口，可以方便集中管理、分划网络拓扑。网络欺骗网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。主要技术HoneyPot和分布式HoneyPot网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法，最早采用的网络欺骗是HoneyPot技术，它将少量的有吸引力的目标（我们称之为HoneyPot）放置在入侵者很容易发现的地方，以诱使入侵者上当。这种技术的目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集中到HoneyPot而不是其它真正有价值的正常系统和资源中。HoneyPot技术还可以做到一旦入侵企图被检测到时，迅速地将其切换。但是，对稍高级的网络入侵，HoneyPot技术就作用甚微了。因此，分布式HoneyPot技术便应运而生，它将欺骗（HoneyPot）散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗，从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果，一是将欺骗分布到更广范围的IP地址和端口空间中，二是增大了欺骗在整个网络中的百分比，使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。尽管如此，分布式HoneyPot技术仍有局限性，这体现在三个方面：一是它对穷尽整个空间搜索的网络扫描无效；二是只提供了相对较低的欺骗质量；三是只相对使整个搜索空间的安全弱点减少。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中，处于观察（如嗅探）而非主动扫描阶段时，真正的网络服务对入侵者已经透明，那么这种欺骗将失去作用．主要形式欺骗空间技术欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而达到安全防护的目的。利用计算机系统的多宿主能力（multi－homedcapability），在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机，而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费极低。实际上，现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。这意味着利用16台计算机组成的网络系统，就可做到覆盖整个B类地址空间的欺骗。尽管看起来存在许许多多不同的欺骗，但实际上在一台计算机上就可实现。从效果上看，将网络服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工作量，因为他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是这样的4万个以上IP地址都放置了伪造网络服务的系统。而且，在这种情况下，欺骗服务相对更容易被扫描器发现，通过诱使入侵者上当，增加了入侵时间，从而大量消耗入侵者的资源，使真正的网络服务被探测到的可能性大大减小。当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时，还可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。当然，采用这种欺骗时网络流量和服务的切换（重定向）必须严格保密，因为一旦暴露就将招致攻击，从而导致入侵者很容易将任一已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺骗区分开来增强欺骗质量面对网络攻击技术的不断提高，一种网络欺骗技术肯定不能做到总是成功，必须不断地提高欺骗质量，才能使入侵者难以将合法服务和欺骗区分开来。网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗是有效增强网络欺骗质量的几种主要方法，下面分别予以介绍。网络流量仿真产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺骗系统与真实系统十分相似，因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量，使入侵者可以发现和利用。网络动态配置真实网络是随时间而改变的，如果欺骗是静态的，那么在入侵者长期监视的情况下就会导致欺骗无效。因此，需要动态配置欺骗网络以模拟正常的网络行为，使欺骗网络也象真实网络那样随时间而改变。为使之有效，欺骗特性也应该能尽可能地反映出真实系统的特性。例如，如果办公室的计算机在下班之后关机，那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑，否则入侵者将很可能发现欺骗。多重地址转换（multipleaddresstranslation）地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的计算机替换低可信度的欺骗，增加了间接性和隐蔽性。其基本的概念就是重定向代理服务（通过改写代理服务器程序实现），由代理服务进行地址转换，使相同的源和目的地址象真实系统那样被维护在欺骗系统中。右图中，从m.n.o.p进入到a.b.c.g接口的访问，将经过一系列的地址转换——由a.f.c.g发送到10.n.o.p再到10.g.c.f，最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上，从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。如需了解更多信息安全工程师考试资讯，请看希赛软考学院！出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之明；故五月渡泸，深入不毛。今南方已定，兵甲已足，当奖率三军，北定中原，庶竭驽钝，攘除奸凶，兴复汉室，还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益，进尽忠言，则攸之、祎、允之任也。愿陛下托臣以讨贼兴复之效，不效，则治臣之罪，以告先帝之灵。若无兴德之言，则责攸之、祎、允等之慢，以彰其咎；陛下亦宜自谋，以咨诹善道，察纳雅言，深追先帝遗诏。臣不胜受恩感激。今当远离，临表涕零，不知所言。