一、安全掃描技術

1.1 安全掃描技術概念

1、安全掃描技術指手工或使用特定的軟體工具(安全掃描器)，對系統脆弱性進行評估，尋找可能對系統造成損害的安全漏洞。

2、安全掃描技術分為系統掃描和網路掃描兩大類。
（1）系統掃描：側重於主機系統的平臺安全性及基於此平臺應用系統的安全。掃描器與待查系統處於同一結點，進行自身檢查。
（2）網路掃描：側重於系統提供的網路應用和服務及相關的協議分析。掃描器與待查系統處於不同結點，通過網路遠端探測目標結點，尋找安全漏洞。

3、安全掃描的目的：通過特定的手段和方法發現系統或網路存在的隱患，及時修補漏洞或利用漏洞攻擊敵方。

4、安全掃描技術可以有效地提高安全性：
（1）提前告警存在的漏洞，從而預防入侵和誤用。
（2）檢查系統中由於入侵或誤操作產生的新漏洞。

1.2 安全掃描技術分析

1、掃描器工作流程：
（1）發現目標主機或網路。
（2）發現目標後，進一步發現目標系統型別及配置等資訊，包括確認目標主機作業系統型別、執行的服務及服務軟體版本等。如果目標是一個網路，還可以進一步發現該網路的拓撲結構、路由設定及網路主機等。
（3）測試哪些服務具有安全漏洞。

2、埠掃描技術：
（1）根據掃描方法不同，埠掃描技術可分為：全開掃描、半開掃描、祕密掃描和區段掃描。
（2）這幾種掃描方法都可以用來查詢伺服器開啟的埠，從而發現伺服器對外開放的服務。
（3）能否成功還受限於遠端目標網路的拓撲結構、IDS、日誌機制等配置。

3、全開掃描：
（1）通過與目標主機建立標準的TCP連線(3次握手)，檢查目標主機相應埠是否開啟。
（2）優點：快速、準確、不需要特殊許可權。
（3）缺點：很容易被檢測到。

4、半開掃描：(SYN掃描)
（1）“半開”含義：client端在TCP三次握手尚未完成就單方面終止連線過程。
（2）由於完整連線尚未建立，通常不會被server方記錄下來。同時也可避開部分IDS的監測。

5、祕密掃描：
（1）祕密掃描意指可以避開IDS和系統日誌記錄的掃描。滿足要求的掃描技術有很多，以SYN|ACK掃描為例說明。
（2）SYN|ACK掃描省掉了三次握手的第一步，直接傳送SYN|ACK包到server端，根據server 的應答推測埠是否開啟。

6、系統型別測試技術：
（1）由於許多安全漏洞都與作業系統密切相關，所以探測系統型別對於攻擊者很重要。
（2）攻擊者先收集目標系統的資訊並存儲，當某一系統的新漏洞被發現，就可在儲存的資訊中查詢，並對匹配的系統進行攻擊。
（3）檢測系統型別主要有三種方法：系統旗標、DNS資訊、TCP/IP堆疊指紋。

7、系統旗標：利用系統服務給出的資訊，如：telnet、ftp、www、mail等。最簡單的檢測方法就是直接登入該系統提供的服務。

8、DNS資訊：主機資訊有時可能通過DNS記錄洩露。

9、TCP/IP堆疊指紋：作業系統在實現TCP/IP協議時的一些特有的實現特徵，處在系統底層，修改困難。

二、病毒防治技術

2.1 病毒的概念與起源

1、具有傳染和破壞的特徵，與生物醫學上的”病毒”在很多方面都很相似，習慣上將這些“具有特殊功能的程式”稱為”計算機病毒”。

2、從廣義上講，凡能夠引起計算機故障、破壞或竊取計算機資料、非法控制他人計算機的程式統稱為計算機病毒。

2.2 病毒的主要特徵

1、傳染性
（1）這是病毒的基本特徵。計算機病毒會通過各種渠道從已被 感染的計算機擴散到未被感染的計算機。
（2）計算機病毒程式程式碼一旦進入計算機並得以執行，會搜尋其他符合其傳染條件的程式或儲存介質，確定目標後再將自身程式碼插入其中，達到自我繁殖的目的。
（3）正常的計算機程式一般是不會將自身的程式碼強行連線到其它程式之上的。是否具有傳染性是判別一個程式是否為計算機病毒的重要條件。

2、隱蔽性
（1）病毒程式都具有很高程式設計技巧、短小精悍。通常附在正常程式中或磁碟較隱蔽的地方，使用者很難發現它的存在。
（2）如果不經過程式碼分析，病毒程式與正常程式是不容易區別開來的。一般在沒有防護措施的情況下，受到感染的計算機系統通常仍能正常執行，使用者不會感到異常。
（3）現在的計算機病毒一般都具有很強的反偵察能力。
（4）計算機病毒一旦被發現會迅速出現變種。

3、潛伏性：
大部分病毒感染系統之後一般不會馬上發作，長期隱藏在系統中悄悄地進行繁殖和擴散，只有在滿足特定條件時才啟動其表現（破壞）模組。

4、破壞性（表現性）：
任何病毒只要侵入系統，都會對系統及應用程式產生程度不同的影響。輕者會降低計算機工作效率，佔用系統資源，重者可導致系統崩潰。由此特性可將病毒分為良性病毒與惡性病毒。

5、不可預見性：
從病毒的檢測來看，不同種類的病毒，程式碼千差萬別，甚至某些正常程式也借鑑病毒的技術。

6、觸發性：
滿足傳染觸發條件時，病毒的傳染模組會被啟用，實施傳染操作。滿足表現觸發條件時，病毒的表現模組會被啟用，實施表現或破壞操作。

7、針對性：
有一定的環境要求，並不一定對任何系統都能感染。

2.3 病毒的一般結構與作用機理

1、病毒的一般結構：
（1）計算機病毒程式碼的結構一般包括三大功能模組，即引導模組，傳染模組和破壞（表現）模組。其中，後兩個模組各包含一段觸發條件檢查程式碼，分別檢查是否滿足傳染觸發條件和表現觸發條件。
（2）引導模組將病毒由外存引入記憶體，使後兩個模組處於活動狀態。傳染模組用來將病毒傳染到其它物件上去。破壞模組實施病毒的破壞作用。

2、病毒的作用機理：
（1）計算機病毒有兩種狀態，靜態和動態。
（2）靜態病毒是指儲存介質(如U盤、硬碟)上的計算機病毒，它沒有被載入狀態，不能執行病毒的傳染和破壞功能。
（3）動態病毒是指已進入記憶體，正處於執行狀態，它時刻監視系統的執行狀態，一旦傳染條件滿足，即呼叫傳染程式碼和破壞程式碼．使病毒得以擴散。
（4）計算機病毒的工作流程如圖下所示。病毒通過第一次非授權加栽，引導模組被執行，病毒由靜態變為動態。

3、病毒工作流程

2.4 蠕蟲病毒

1、蠕蟲病毒：是一種通過網路傳播的惡性病毒，除具有病毒的一般共性外，還具有自己的特徵，下表列出了蠕蟲病毒與普通病毒的主要區別。

2、蠕蟲病毒的傳播途徑：
（1）作業系統和系統軟體的漏洞：網路共享、域名解析、IE、RPC、IIS、SQL Server等。
（2）應用軟體的漏洞：Office、Adobe Reader、QQ、MSN
（3）電子郵件：釣魚郵件、郵件客戶端軟體。

3、蠕蟲病毒的危害：
（1）蠕蟲大量且快速的複製會佔用大量網路頻寬，造成網路擁塞甚至癱瘓。
（2）感染主機的系統管理員許可權將被竊取。

4、蠕蟲病毒的一般結構：
（1）傳播模組：負責蠕蟲的傳播。
（2）隱藏模組：侵入主機後，隱藏蠕蟲程式，防止被使用者發現。有些會主動攻擊安全系統。
（3）目的功能模組：實現對計算機的控制、監視、竊取和破壞等功能。

5、蠕蟲病毒的傳播過程：
傳播模組：由掃描模組、攻擊模組和複製模組組成。
（1）掃描模組：探測存在漏洞的主機。當向某主機發探測資訊併成功收到反饋後，就得到一個可傳播物件。
（2）攻擊模組：按漏洞攻擊步驟自動攻擊找到的物件，取得該主機的許可權，獲得一個shell。
（3）複製模組：通過主機間的互動複製蠕蟲程式並修改登錄檔得以啟動。

6、蠕蟲病毒防治
（1）正確配置作業系統和系統軟體。
（2）經常進行作業系統和系統軟體的升級。
（3）使用正版防毒軟體並保持病毒庫最新。
（4）不要開啟不明身份的郵件。
（5）留意權威網站的安全公告。

三、黑客攻擊方法與防範

3.1 黑客攻擊套路

1、確定攻擊目標：
（1）使用Google搜尋漏洞資訊：作業系統漏洞、Web伺服器漏洞、資料庫漏洞、開發工具漏洞等。
（2）使用Google搜尋敏感資訊：口令檔案、財務資訊、安全工具掃描報告等。

2、收集目標資訊：
（1）通過公開渠道、各種工具和技巧，黑客可以獲得目標的詳細資料，特別是關於安全防禦體系的資訊。
（2）網際網路資訊：域名及IP地址塊、可直接訪問的IP、作業系統型別、系統上執行的TCP和UDP服務、訪問控制等。
（3）內部網資訊：內網結構、組網協議、IP地址塊、VPN協議、身份認證方法等。

3、尋找目標漏洞：
（1）使用工具進行埠掃描：確定目標系統上有哪些埠處於LISTENING狀態。
（2）使用工具進行埠服務掃描：確定目標系統上開啟了哪些服務。
（3）使用工具探查作業系統細節：版本號、提供的各種服務名稱等。

4、進行攻擊：
系統攻擊、網路攻擊、軟體攻擊。

3.2 黑客攻擊手段及防範措施

1、系統攻擊：取得合法身份前的攻擊手段

2、網路攻擊：
（1）攻擊網路裝置。
（2）無線攻擊
（3）攻擊防火牆
（4）拒絕服務攻擊

3、軟體攻擊
（1）緩衝區溢位攻擊
（2）Web攻擊
（3）攻擊網際網路使用者

四、安全審計

1、從抽象意義上講，電腦保安審計與傳統金融和管理審計的過程完全相同，即產生、記錄並檢查按時間順序排列的系統事件的過程。

2、電腦保安審計：通過一定的策略，利用記錄和分析歷史操作事件，發現系統的漏洞並改進系統性能和安全性。

3、安全審計的目標：
（1）對潛在的攻擊者起到震懾和告警作用。
（2）對已發生的系統破壞行為，提供有效的追究責任的證據。
（3）為系統管理員提供有價值的系統使用日誌，幫助管理員及時發現入侵行為或潛在的系統漏洞。

4、安全審計的組成：審計是通過對所關心的事件進行記錄和分析來實現的，因此審計過程應包括審計發生器、日誌記錄器、日誌分析器和報告機制等部分。

5、審計發生器：在資訊系統中各事件發生時，將這些事件的關鍵要素進行抽取並形成可記錄的素材。

6、日誌記錄器：將審計發生器抽取的事件素材記錄到制定位置上從而形成日誌檔案。

7、日誌分析器：根據審計策略和規則對已形成的日誌檔案進行分析，得出某種事件發生的事實和規律，並形成日誌審計分析報告。

8、對於一個事件，日誌應包括事件發生的時間、引發事件的使用者、事件型別、事件成敗等。

五、訪問控制技術

1、訪問控制(Access Control)：規範使用者的訪問行為。解決是否可以訪問，如何訪問的問題。

2、訪問控制構成要素：
（1）主體：提出訪問請求，如使用者或其啟動的程序、服務等。
（2）客體：被訪問物件，如資訊、檔案等集合體或網路裝置等。
（3）控制策略：主體對客體訪問規則的集合，體現了授權。

3、訪問控制的主要功能：
（1）保證合法主體訪問受保護的網路資源
（2）防止非法主體進入受保護網路資源
（3）防止合法主體對受保護網路資源進行非授權訪問。

4、訪問控制的內容：
（1）認證：主客體之間進行身份鑑別，確定主體是誰。
（2）控制策略：通過合理設定控制規則，確保使用者對資訊資源在授權範圍內的合法使用，同時防止非法使用者侵權進入系統。還要防止合法使用者的越權行為。
（3）安全審計：系統自動根據使用者訪問許可權，對計算機網路環境下的有關活動進行系統、獨立地檢查驗證，並做出相應評價與審計。

5、訪問控制的型別
（1）自主訪問控制(DAC)：一種接入控制服務，通過執行系統實體到系統資源的接入授權，使用者有權對其建立的檔案、資料表等物件進行訪問，並可將其訪問權授予其他使用者或收回。允許訪問物件的屬主制定針對該物件的訪問控制略，通常，通過訪問控制列表來限定針對客體可執行的操作。
（2）強制訪問控制(MAC)：指系統強制主體服從訪問控制策略。由系統對使用者所建立的物件，按照既定規則進行訪問控制。
（3）基於角色的訪問控制（RBAC）：通過對角色訪問進行控制，使許可權與角色相關聯，使用者通過成為適當角色成員而得到角色的許可權。

6、RBAC支援的三個著名安全原則：
（1）最小許可權原則：將角色配成完成任務所需的最小許可權集。
（2）責任分離原則：讓獨立、互斥的角色協同完成特定任務。
（3）資料抽象原則：通過許可權的抽象控制一些操作，如財務上的借、貸等抽象許可權，非作業系統提供的典型許可權。

7、訪問控制實現機制
（1）訪問控制列表(ACL)：
以檔案為中心建立訪問許可權表，表中記載了可訪問該檔案的使用者名稱和許可權。利用ACL，容易判斷出對特定客體的授權訪問，可訪問的主體和訪問許可權等。
（2）能力關係表：
以使用者為中心建立訪問許可權表。與ACL相反，表中規定了使用者可訪問的檔名及許可權，利用此表可方便地查詢一個主體的所有授權。

六、防火牆技術

1、防火牆從本質上講是一種訪問控制系統，除了可以用來保護與互連網相連的內部網外，還可以用於保護其他網路物件，如子網或主機。

2、防火牆示意圖

3、防火牆定義：防火牆是一個或一組實施訪問控制策略的系統。當用戶決定需要使用何種水平的安全連線時，由防火牆來保證不允許出現其他超出此範圍的訪問行為。防火牆用來保證所有使用者都遵守訪問控制策略。

4、防火牆的目的是控制網路傳輸，這一點與其他網路裝置一致。但與其他裝置不同的是：防火牆必須考慮到不是所有的分組資料都是表裡如一。

5、防火牆的設計目標：
（1）所有內外網之間的通訊量都必須經過防火牆，即從物理上阻塞所有不經過防火牆的網路訪問通道，有不同的配置方法可實現這一目標。
（2）只有被認可的通訊量，通過本地安全策略進行定義後，才允許通過防火牆。
（3）防火牆對滲透應是免疫的。防火牆自身的安全效能和執行平臺的安全性。

6、防火牆使用的通用技術：
（1）服務控制：確定可訪問的Internet服務的型別，入站的或出站的。防火牆可以根據IP地址和TCP埠號對通訊量進行過濾。
（2）方向控制：確定特定的服務請求可以發起並允許通過防火牆的流動方向。
（3）行為控制：控制怎樣使用特定的服務。如防火牆可以使得外部只能訪問一個本地WWW伺服器的一部分資訊。
（4）使用者控制：根據賦予某個使用者訪問服務的許可權來控制對一個服務的訪問。這個特徵典型地應用於防火牆邊界以內的使用者（本地使用者），也可以應用於來自外部使用者的進入通訊量；後一種情況要求某種型別的安全鑑別技術。

7、防火牆的主要功能：
（1）防火牆定義了單個阻塞點，將未授權的使用者隔離在被保護的網路之外，禁止潛在的易受攻擊的服務進入或離開網路。
（2）防火牆提供了監視與安全有關事件的場所。在防火牆系統中可以實現審計和告警。
（3）防火牆是一些與安全無關的Internet功能的方便的平臺。如：網路地址轉換。
（4）防火牆可以用作VPN的平臺。

8、防火牆的侷限性：
（1）防火牆不能對繞過防火牆的攻擊提供保護。
（2）防火牆不能對內部的威脅提供支援，例如心懷不滿的僱員或不自覺地與外部攻擊者合作的僱員。
（3）防火牆不能對病毒感染的程式或檔案的傳輸提供保護。由於邊界內部支援的作業系統和應用程式的不同性，採用防火牆來掃描所有進入的檔案、電子郵件和報文來查詢病毒是不現實的。

9、防火牆一般結構