附件6：2018年全省广播电视系统技术能手竞赛复习大纲（网络与信息安全类）1．基础理论1.1 掌握信息安全三要素1.2 了解信息系统的弱点（漏洞的分类）主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。

在攻击网络之前，攻击者首先要寻找网络的安全漏洞，然后分析和利用这些安全漏洞来入侵网络系统,网络安全漏洞可分为如下几类：1.软件漏洞：任何一种软件或多或少存在一定脆弱性，安全漏洞可视作已知系统脆弱性.。

这种安全漏洞可分为两种/一种是由于操作系统本身设计缺陷带来的漏洞，它将被运行在这个系统上的应用程序所继承，另一咱是应用软件程序安全漏洞，很常见,更要引起广泛关注。

2.结构漏洞：网络中忽略了安全问题，没有采取有效的网络安全措施，使网络系统处于不设防的状态；另外，在一些重要网段中，交换机和集线器等网络设备设置不当，造成网络流量被监听和获取。

3.配置漏洞：网络中忽略了安全策略的制定，即使采取了网络安全措施，但由于安全配置不合理或不完整，安全没有发挥任用在网络发生变化后，没有及时更改系统部安全配置而造成安全漏洞。

4.管理漏洞：网络管理者不小心和麻痹造成的安全漏洞，如管理员口令太短或长期不更换密码，造成口令攻击；两台服务器共用同一个用户名和口令，如果一个服务器被入侵，则中一个服务器也很危险。

5.信任漏洞：过分地信任外来合作者的机器，一旦这个机器被入侵，则网络安全受到严重危险。

从这些安全漏洞来看，既有技术因素，也有管理因素，实际上攻击者正是分析了相关的技术因素和管理因素，寻找其中安全漏洞来入侵系统。

因此，堵塞安全漏洞必须从技术手段和管理制度等方面采取有效措施。

在建设中，迅美也要求客户选用稳定的服务器，在的后台密码设置中，一方面尽量长另一方面尽量频繁地更换下密码。

1.3 了解OSI 7层协议、TCP/IP 4层协议1.4 了解黑客攻击的手段及DOS攻击的定义黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。

非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以入他人电脑系统、盗窃系统信息、破坏目标系统的数据为目的。

下面为大家介绍4种黑客常用的攻击手段。

1、后门程序由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。

在程序开发阶段，后门便于测试、更改和增强模块功能。

正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维护）后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。

2、信息炸弹信息炸弹是指使用一些特殊工具软件，短时间向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。

比如向系统发送特定组合的数据包，会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子发送大量的垃圾将此"撑爆"等。

目前常见的信息炸弹有炸弹、逻辑炸弹等。

3、拒绝服务拒绝服务又叫分布式D.O.S攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。

作为攻击者，首先需要通过常规的黑客手段侵入并控制某个，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。

这种方式可以集量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。

比如1999年美国明尼达大学遭到的黑客攻击就属于这种方式。

4、网络监听网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用做获取用户口令。

5、密码破解当然也是黑客常用的攻击手段之一。

DDOS分布式拒绝服务攻击使用与普通的拒绝服务攻击相同的方法，但是发起攻击的源是多个。

它利用TCP/IP协议本身的缺陷和漏洞。

通过消耗带宽、CPU 和存等资源，达到使被攻击者的性能下降甚至瘫痪和四级，从而造成其他合法用户无常访问。

和DoS比较起来，起破坏性和危害程度更大，涉及围更广，也更难发现攻击者。

DDoS攻击的原理如图7.2.1所示，这个过程可以分为以下几个步骤：1)探测扫描大量主机来寻找可以入侵的目标主机；2)入侵有安全漏洞的主机并且获取控制权；3)在每台入侵主机中安装攻击程序；4)利用已经入侵的主机继续进行扫描和入侵。

1.5 理解防火墙的定义，掌握防火墙的4种体系结构1.6 了解入侵检测IDS的定义，了解入侵检测IDS的主要技术IDS是“入侵检测系统”。

专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的性、完整性和可用性。

与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署的唯一要：IDS应当挂接在所有所关注的流量都必须流经的链路上。

在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。

这些位置通常是：·服务器区域的交换机上·Internet接入路由器之后的第一台交换机上·重点保护网段的局域网交换机上入侵检测系统的原理模型如图所示。

入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，容包括网络流量的容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。

一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。

该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。

它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。

但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

2).统计分析分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的却在凌晨两点试图登录。

其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

3).完整性分析完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。

其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。

缺点是一般以批处理方式实现，不用于实时响应。

这种方式主要应用于基于主机的入侵检测系统（HIDS）。

3.实时记录、报警或有限度反击IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。

-------------------------------------------------------------------------------------------------------IPS是入侵防御系统。

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。

在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等，如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括(按照处理力度)：向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。

1.7 掌握VPN的三种分类方式1.8 理解系统漏洞的定义系统漏洞（System vulnerabilities）是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。

在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

漏洞会影响到的围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

漏洞会影响到的围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

1.9 了解漏洞评估产品的选择原则(1)是否具有针对网络和系统的扫描系统。