企业官网建设流程全解析

北京网站建设公司收购,win2008 网站服务器,钙网logo设计,公司网站网站不备案原文链接 第1章 信息安全基础知识 1.信息安全定义 一个国家的信息化状态和信息技术体系不受外来的威胁与侵害 2.信息安全(网络安全)特征(真保完用控审靠去掉第1个和最后一个) 保密性(confidentiality)#xff1a;信息加密、解密#xff1b;信息划分密级#xff0c;对用…原文链接第1章 信息安全基础知识1.信息安全定义一个国家的信息化状态和信息技术体系不受外来的威胁与侵害2.信息安全(网络安全)特征(真保完用控审靠去掉第1个和最后一个)保密性(confidentiality)信息加密、解密信息划分密级对用户分配不同权限对不同权限的用户访问的对象进行访问控制防止硬件辐射泄露、网络截获、窃听等完整性(integrity)严格控制对系统中数据的写访问。只允许许可的当事人进行更改可用性(availability)可以保证合法用户在需要时可以访问信息及相关资产。在坚持严格的访问控制机制的条件下为用户提供方便和快速的访问接口。提供安全性的访问工具。即使在突发事件下依然能够保障数据和服务的正常使用例如可防范病毒及各种恶意代码攻击包括DDos攻击可进行灾难备份3.网络安全4层含义运行系统安全系统本身网络上系统信息的安全系统权限网络上信息传播的安全防止有害信息传播网络上信息内容的安全防止利用安全漏洞进行窃听冒充和诈骗4.网络安全结构层次物理安全安全控制安全服务5.网络信息安全策略(物访防信安)物理安全策略保护计算机系统等硬件设备面手攻击验证身份和使用权限访问控制策略网络安全防范和保护的主要策略。保证网络资源不被非法使用和访问入网访问控制网络权限控制目录级安全控制属性安全控制网络服务器安全控制网络检测和锁定控制网络端口和节点的安全控制防火墙控制信息加密策略保护网上传输的数据网络安全管理策略6.ISO/OSI安全体系3个组成ISO国际标准化组织OSI开放系统互连通信参考模型安全服务5类认证访问控制数据保密性数据完整性不可否认性安全机制8类加密数字签名访问控制数据完整性鉴别交换业务填充路由控制公证安全管理3类系统安全管理安全服务管理安全机制管理7.网络安全体系2个模型PDRRProtection, Detection, Response, Recovery保护检测响应恢复P 2 D R P^2DR P2DRPolicy Protection, Detection, Response安全策略防护检测响应8.信息系统安全5个等级(自系安结访)自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级9.安全评测认证体系TCSEC(可信任计算机标准评估准则)现行的网络安全准则分为3个部分简介和一般模型安全功能要求安全保证要求7种评估保证级(功结功系半半形)评估保证级别1(EAL1)功能测试EAL2结构测试3功能测试和校验4系统地设计测试和评审5半形式化设计和测试6半形式化验证的设计和测试7形式化验证的设计和测试第2章密码学基本理论1.密码体制5部分明文空间P密文空间C密钥空间K加密算法E解密算法D2.对称密码体制**优点**加密解密速度快保密度高缺点对称密码算法的密钥分发过程十分复杂代价高多人通信时密钥组合数量急剧加大密钥分发更加复杂只有通信双方统一密钥才能互相发送保密的消息数字签名难(接收双方均可伪造签名)**代表算法**DES3DESIDEA(国际数据加密算法)AES3.非对称密码体制优点密钥少便于管理密钥分配简单不需秘密的通道和复杂的协议可以实现数字签名**缺点**加密解密速度慢同等安全强度下公钥密码体制的密钥位数要求多一些**代表算法**RSA(基于分解大整数的困难性假定)Diffie-Hellman密钥交换协议EIGamal公钥密码技术第3章密钥管理技术1.密钥类型会话密钥保护传输数据称为数据加密密钥保护文件称为文件密钥供通信双方使用称为专用密钥使用对称密码算法生成密钥加密密钥对会话密钥或下层密钥进行保护也称为次主密钥二级密钥主密钥基本密钥(初始密钥/用户密钥)用户选定或系统分配可在较长时间内由一对用户所专用2.密钥分配以下仅考虑在对称密码技术中的密钥分配集中式密钥分配体制需要密钥分配中心(KDC)或密钥转递中心(KTC)典型代表是Kerboros协议K a K_a Ka​ A和KDC的共享密钥K b K_b Kb​ B和KDC的共享密钥K s K_s Ks​A和B希望通过KDC获得的会话密钥A-KDC I D A ∣ ∣ I D B ∣ ∣ N 1 ID_A \ || \ ID_B || \ N_1 IDA​ ∣∣ IDB​∣∣ N1​A向KDC发出会话密钥请求。 N 1 N_1 N1​指时间戳计数器或随机数防止攻击者对 N 1 N_1 N1​的猜测KDC-A E K a [ K s ∣ ∣ I D A ∣ ∣ I D B ∣ ∣ N 1 ∣ ∣ E K b [ K s ∣ ∣ I D A ] ] E_{K_a}[K_s \ || \ ID_A \ || \ ID_B \ || \ N_1 \ || \ E_{K_b}[K_s \ || \ ID_A]] EKa​​[Ks​ ∣∣ IDA​ ∣∣ IDB​ ∣∣ N1​ ∣∣ EKb​​[Ks​ ∣∣ IDA​]]使用 K a K_a Ka​加密保证了只有A才能对这一消息解密且A相信这一消息是KDC发送的A-B E K b [ K s ∣ ∣ I D A ] E_{K_b}[K_s \ || \ ID_A] EKb​​[Ks​ ∣∣ IDA​]首先B可以获得 K s K_s Ks​并且通过 E K b E_{K_b} EKb​​可以确定 K s K_s Ks​确实来自KDC最后通过 I D A ID_A IDA​可以验证对方为AB-A E K s [ N 2 ] E_{K_s}[N_2] EKs​​[N2​]作用是告诉AB当前是可以通信的A-B E K s [ f ( N 2 ) ] E_{K_s}[f(N_2)] EKs​​[f(N2​)]A对B的消息进行响应告知BA已经知道B可以通信了前3步已经完成了密钥的分配后2步是认证的过程使B确定收到的信息不是重放分布式密钥分配体制M K m MK_m MKm​A与B之间共享的主密钥K s K_s Ks​A和B之间的会话密钥A-B I D A ∣ ∣ N 1 ID_A \ || \ N_1 IDA​ ∣∣ N1​A向B发送一个要求会话密钥的请求请B产生一个会话密钥用于安全通信B-A E M K m [ K s ∣ ∣ I D A ∣ ∣ I D B ∣ ∣ f ( N 1 ) ∣ ∣ N 2 ] E_{MK_m}[K_s \ || \ ID_A \ || \ ID_B \ || \ f(N_1) \ || \ N_2] EMKm​​[Ks​ ∣∣ IDA​ ∣∣ IDB​ ∣∣ f(N1​) ∣∣ N2​]f ( N 1 ) f(N_1) f(N1​)感觉是对A的请求的一个响应,主要是把会话密钥 K s K_s Ks​传递给了AA-B E K s [ f ( N 2 ) ] E_{K_s}[f(N_2)] EKs​​[f(N2​)]在集中式分配中A把ks给了BB确定了一次A又确定了一次但在分布式中B把ks给了AA确定了但B却没再确定一次第4章数字签名与认证技术1.信息摘要概念特点常见算法概念​明文相同时经过相同的消息摘要算法可以得到相同且唯一的一组数据称之为明文的消息摘要​ 消息摘要只是想保证消息的完整性不同于数字签名还会对发送者的身份起到验证作用特点无论输入消息长度多少消息摘要长度总是固定的MD5128bitSHA-1160bit SHA-256256bit消息摘要是伪随机的因为相同的消息经过相同的算法会得到相同的结果不符合随机的特点但消息摘要的内容又是毫无规律的又类似随机所以是伪随机一般不同消息的消息摘要不同相同输入必定相同输出消息摘要是单向函数只能进行正向的消息摘要无法从摘要值恢复到原消息找到两条具有相同摘要值的不同消息是不可行的常见消息摘要算法MD2, MD4, MD5, SHA2.数字签名数字签名解决的问题​ 解决通信双方在通信时的欺骗或伪造行为​ 消息摘要只是为了保证消息的完整性但数字签名在保证消息完整性的同时还会对发送方的身份起到验证作用同时具有不可抵赖性如果加上了加密算法还可以起到保密性加上了消息摘要和加密算法的数字签名流程设发送方为A接收方为BA的私钥为 S K A SK_A SKA​A的公钥为 P K A PK_A PKA​B的私钥为 S K B SK_B SKB​B的公钥为 P K B PK_B PKB​待发送消息为M加密算法为E()(既可以实现数字签名又可以实现消息加密)解密算法为D()(既可以实现签名验证又可以实现消息解密)进行消息摘要的哈希算法为H()A计算签名计算消息的摘要值H(M)计算签名 E S K A ( H ( M ) ) E_{SK_A}(H(M)) ESKA​​(H(M))A进行加密将签名和消息用B的公钥加密 E P K B ( M ∣ ∣ E S K A ( H ( M ) ) E_{PK_B}(M \ || \ E_{SK_A}(H(M)) EPKB​​(M ∣∣ ESKA​​(H(M))A向B发送结果将上述计算结果发送给BB解密首先对A发送过来的消息进行解密 D S K B ( E P K B ( M ∣ ∣ E S K A ( H ( M ) ) ) D_{SK_B}(E_{PK_B}(M \ || \ E_{SK_A}(H(M))) DSKB​​(EPKB​​(M ∣∣ ESKA​​(H(M)))获得 M ∣ ∣ E S K A ( H ( M ) ) M \ || \ E_{SK_A}(H(M)) M ∣∣ ESKA​​(H(M))B验证签名使用A的公钥对签名进行解密 D P K A ( E S K A ( H ( M ) ) D_{PK_A}(E_{SK_A}(H(M)) DPKA​​(ESKA​​(H(M))获得H(M)B计算消息摘要获得H(M)’B进行比较如果 H ( M ) H ( M ) ′ H(M) H(M)’ H(M)H(M)′说明M未被篡改保证了消息的完整性同时根据数字签名保证了发送方的不可否认性由于加上了加密算法所以同时具有了保密性常用算法​ RSA3.身份认证要解决的问题​ 保证操作者的物理身份与数字身份相对应身份认证的4种方法所知个人所知道的或所掌握的知识如密码、口令等所有个人所具有的东西如身份证、信用卡、钥匙等个人生物特征如指纹声音视网膜等上下文信息认证实体所处的环境信息地理位置时间等例如IP地址4.Kerberos技术用途​ 对网络上通信的实体进行相互身份认证(还能阻止旁听和重放)细节包含一个认证服务器(Authentication Server-AS) 一个票据许可服务器(Ticket Granting Server-TGS)一个应用服务器(Application Server)。从加密算法上来讲其验证是建立在对称加密DES的基础上的用户通过向AS发送请求获得票据许可票据TGT(Ticket Granting Ticket)用来向TGS表明身份TGS为用户分发到目的服务器(就是上面所说的应用服务器)的服务许可票据(Service granting ticket)用户使用服务许可票据与目的服务器进行通信AS和TGS统称为KDC(Key Distribution Center-密钥分发中心)注图中的 T i c k e t t g s Ticket_{tgs} Tickettgs​是票据许可票据 T i c k e t v Ticket_{v} Ticketv​是服务许可票据优点使用AS和TGS两重认证的2点优点减少用户密钥中密文的暴露次数减少攻击者对有关用户密钥中密文的积累Kerberos认证过程具有**单点登录(Single Sign-OnSSO)**的优点。所谓单点登录是指只要用户拿到了TGT且尚未过期那么用户可以使用该TGT通过TGS完成到任一服务器的认证而不需要重新输入密码缺点需要解决 各主机节点时间同步 和 抗拒服务攻击的问题第5章PKI技术1. 基础知识概念PKI(Public Key Infrastructure)公钥基础设施支持公开密钥管理并提供真实性保密性完整性和可追究性服务的基础设施PKI提供的几种安全服务及对应的技术向一个实体确认另一个实体是自己。使用数字签名实现完整性向一个实体确保数据没有被修改。使用数字签名和消息认证码(MAC)MAC使用对称分组密码或密码杂凑函数机密性向一个实体确保除了接收者无人可读懂数据的关键部分。采用对称密码加密需要建立密钥交换和密钥传输协议不可否认性使用数字签名实现应用PKI的几种协议IPSec处在网络层架设VPNS/MIME处在应用层安全的电子邮件协议SSL处在传输层保证浏览器和服务器之间的加密通信2.获取用户公钥的流程(包含CA)Bob生成公私钥对向注册机构(Register Authority-RA)提出公钥注册申请RA审查Bob若通过审查RA向证书颁发机构(Certificate Authority-CA)提出证书申请CA为Bob签发证书内容包括Bob的身份信息和公钥CA对证书的签名结果Alice需要与Bob通信时在证书发布系统查找Bob的证书使用CA的公钥验证证书上的数字签名是否有效验证证书后Alice即可使用证书上的公钥与Bob进行通信3.证书撤销列表(CRL)CA签发证书为用户的身份和公钥进行解绑撤销证书的原因用户身份姓名的改变私钥被窃或泄露用户与其所属企业关系变更等4.数字证书由于数字证书本身应由CA颁发所以数字证书本身应有CA的签名标准数字证书是 X . 509 X.509 X.509公钥证书的同义词符合 I T U − T X . 509 V 3 ITU-TX.509V3 ITU−TX.509V3协议内容证书版本号(Version)证书序列号(Serial Number)签名算法标识符(Signature)签发机构名(Issuer)有效期(Validity)证书用户名(Subject)证书持有者公开密钥信息(Subject Public Key Info)签发者唯一标识符(Issuer Unique Identifier)证书持有者唯一标识符(Subject Unique Identifier)签名值(Issuer‘s Signature)证书认证过程证书拆封使用CA的公钥验证证书的数字签名验证证书是否为CA所颁发序列号验证验证证书的真伪有效期验证撤销列表查询证书的更新序列号会发生改变同时私钥公钥对也会发生改变并非仅修改一个有效期第6章网络攻击与防御技术攻击的第1步漏洞与信息收集(扫描技术和嗅探技术)1.扫描技术3个目的查看哪些主机存活Ping命令(IP扫描)SING(发送定制的ICMP数据包的命令行工具)Nmap(网络连接端口扫描软件)查看存活的主机有哪些开放的端口(或者说运行了哪些服务)TCP扫描UDP扫描查看主机提供的服务是否存在漏洞具有漏洞的应用程序对一些请求作答时与无漏洞应用程序不同。常用工具NessusOpenVASX-Scan2.嗅探技术需要将网卡调至混杂模式HUB与交换机的区别HUB(多端口转发器)把接收到的数据帧直接发送到除数据源以外的所有端口(暴力转发)交换机交换机中存储有接口与主机物理地址MAC之间的端口映射表只允许目标物理地址匹配的数据包通过ARP欺骗交换型网络最常用的一种嗅探技术ARP协议根据IP地址找MAC地址分类1.对路由器ARP cache表的欺骗(截获网关数据)2.对内网PC的网关欺骗(伪造网关)欺骗实现原因1.ARP协议没有安全性保证任何计算机均可发送ARP数据包2.ARP协议是无状态的3.ARP cache需要定时更新攻击者有了可乘之机欺骗实现条件局域网攻击者必须先获得进入局域网的合法身份才能进行欺骗常用的嗅探工具TcpDump嗅探器软件Wireshark网络数据包分析工具3.口令攻击攻击方式字典攻击(主动攻击)暴力破解(主动攻击)窃听(被动)重放(被动)防范措施(选防设采使)选择安全密码防止口令猜测攻击设置安全策略采用加密的通信协议使用软键盘输入口令4.缓冲区溢出攻击概念用户输入的数据长度超出了程序为其分配的内存空间这些数据会覆盖程序为其他数据分配的内存空间形成缓冲区溢出3种类型栈溢出特点缓冲区在栈中分配拷贝数据过长覆盖了函数的返回地址其他一些重要数据结构或函数指针堆溢出特点缓冲区在堆中分配拷贝数据过长覆盖了堆管理结构其他溢出类型最典型是整数溢出5.拒绝服务攻击概念服务系统提供的用户需求的一些功能拒绝服务(DoS)对服务的干涉使其可用性降低或失去可用性拒绝服务攻击造成DoS的攻击行为目的是使计算机或网络无法提供正常服务分布式拒绝服务攻击(DDoS)不同位置的多个攻击者同时向一个或数个目标发起攻击 || 一个或多个攻击者控制不同位置的多台机器对受害者实施攻击第7章恶意代码与防范技术1.种类计算机病毒单机病毒不能独立存在需要依靠宿主通过复制蠕虫病毒网络病毒传播渠道有网络电子邮件U盘移动硬盘系统漏洞代表熊猫烧香莫里斯病毒(首个蠕虫病毒)逻辑炸弹合法应用程序加入的”恶意功能“例如为了版权保护应用程序在运行后自动删除木马服务器端和客户端(控制器端)植入到目标机中的属于服务器端(服务器端还是客户端是对于木马所有者而言的)传播方式捆绑扫描二维码代表特洛伊木马永恒之蓝下载器病毒破坏杀毒软件下载病毒和木马代表机器狗渠道商玩笑程序打断计算机正常行为创造令人讨厌的东西代表女鬼2.传播周期设计-传播-感染-触发-运行-消亡3.零碎知识点木马侵入步骤 配置木马-传播木马-运行木马蠕虫病毒发作的阶段扫描攻击复制计算机病毒的特点隐蔽性传染性潜伏性可触发性破坏性4.触发机制日期时间键盘感染启动访问磁盘次数调用中断功能CPU型号/主板型号作为触发条件第8章访问控制技术1.分类自主访问控制(基于身份的访问控制)强制访问控制(基于规则的访问控制)基于角色的访问控制2.防火墙内网防火墙内的网络外网防火墙外的网络受信主机和非受信主机分别指内网和外网的主机内网中需要向外提供服务的服务器放在的网段即为非军事化区3.NAT工作在传输层作用解决IP地址不足的问题而且还能够有效地避免来自网络外部的攻击隐藏并保护网络内部的计算机4.防火墙结构屏蔽路由器双宿主防火墙屏蔽主机防火墙屏蔽子网防火墙5.防火墙类型分类数据包过滤路由器代理网关(应用层网关)状态检测包过滤是在网络层拦截所有信息流代理在应用层实现防火墙的功能代理服务安全性包过滤应用层的防火墙性能会有明显下降故代理服务性能包过滤*写过滤规则表表示任意值例如一个木马程序IP地址为4.4.4.4端口为333使用协议为TCP填写防止控制规则表规则方向操作源IP源端口目的IP目的端口协议A进站拒绝4.4.4.4333**TCPB出站拒绝**4.4.4.4333TCP6.入侵检测系统(IDS)基于误用(特征)的入侵检测将入侵行为按照某种方式进行特征编码与模式数据库中的内容进行模式匹配从而发现入侵行为优点只需要收集相关的数据集合减小系统负担缺点需要不断升级网络入侵和系统误用模式数据库不能检测未知的入侵方式基于异常的入侵检测对计算机或网络资源进行统计分析定义一组系统正常情况的阈值将系统运行时的数值与阈值相比较判断是否被入侵优点可检测到未知或更复杂的入侵缺点误报漏报率高不适应用户行为的突然改变第9章虚拟专用网络(VPN)1.VPN的概念和特点VPN虚拟专用网。通过一个公用网络建立一个临时的、安全的连接是一条穿过混乱的公用网络的安全、稳定的隧道特点安全保障在公用网络上建立一个逻辑的点对点的连接(建立一个隧道)并使用加密技术对隧道加密服务质量保证流量预测和流量控制策略防止阻塞发生可扩充性和灵活性支持通过Intranet和Extranet的任何类型的数据流可管理性2. 隧道技术隧道技术是指通过使用互联网络的基础设施在网络之间传递数据的一种方式被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道隧道技术包括 数据封装-传输-解包 的全过程3.不同层的隧道协议数据链路层PPTPL2TPL2F网络层IPSec运输层SSL应用层set4.VPN的4种建立方式Host 对 Host主机要支持IPSecVPN网关不需支持Host 对 VPN网关均需支持IPSecVPN 对 VPN网关主机不需支持IPSecVPN网关需支持Remote User 对 VPN网关均需支持IPSec第10章系统安全技术系统安全技术操作系统安全 数据库系统安全 网络系统安全网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。1.成长路线图学习规划要学习一门新的技术作为新手一定要先学习成长路线图方向不对努力白费。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。2.网安入门到进阶视频教程很多朋友都不喜欢晦涩的文字我也为大家准备了视频教程其中一共有21个章节每个章节都是当前板块的精华浓缩。****全套教程文末领取哈3.SRC黑客文档大家最喜欢也是最关心的SRC技术文籍黑客技术也有收录SRC技术文籍黑客资料由于是敏感资源这里不能直接展示哦****全套教程文末领取哈4.护网行动资料其中关于HW护网行动也准备了对应的资料这些内容可相当于比赛的金手指5.黑客必读书单6.网络安全岗面试题合集当你自学到这里你就要开始思考找工作的事情了而工作绕不开的就是真题和面试题。所有资料共282G朋友们如果有需要全套《网络安全入门进阶学习资源包》可以扫描下方二维码或链接免费领取~**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**