>>>>>网络信息安全工程师在线辅导

  说明数字证书的结构和PKI的基本构成
  数字证书是一种性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由机构----CA证书授权(Certificate，Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为、公正的、可信赖的第三方，其作用是至关重要的。
  数字证书的结构：
  1.Certificate(证书)：
  (1).CommonName(证书所有人姓名，简称CN，其实就是证书的名字，如第一幅图看到的：ABA.ECOMRoot....)
  (2).Version(版本，现在一般是V3了)
  (3).Issuer(发证机关)
  (4).Validity(有效日期)
  (5).Subject(证书信息，你会发现它和Issuer里面的内容是一样的)
  (6).Subject's，Public，Key，Info(证书所有人公钥，刚才所说的公钥就是这个!)
  (7).Extension(扩展信息)
  (8).Certificate，Signature，Algorithm(公钥加密算法)、
  以上这几项就是上面所说的证书内容(F)。
  2.Certificate，Signature，Algorithm:
  这是描述证书的加密算法，就是上所说的加密算法(A)，看它的Fireld，Value，一般会写：PKCS#1SHA-1，With，RSA，Encryption
  3.Certificate，Signature，Value:
  PKI的基本构成：完整的PKI系统必须具有认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。认证机构（CA）：即数字证书的申请及签发机关，CA必须具备性的特征；字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个常用的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。
  通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。
  比较说明自主访问控制、强制访问控制、基于角色访问控制策略的差别和适用场景。
  自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。基于角色的访问控制，是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。
  自主访问控制（DAC）
  自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。自主访问控制中，用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有一个角色；每个客体都拥有一个限定主体对其访问权限的访问控制列表（ACL）；每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。
  在商业环境中，你会经常遇到自主访问控制机制，由于它易于扩展和理解。大多数系统仅基于自主访问控制机制来实现访问控制，如主流操作系统(WindowsNTServer,UNIX系统)，防火墙（ACLs）等。
  强制访问控制（MAC）
  用来保护系统确定的对象，对此对象用户不能进行更改。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。
  在强制访问控制系统中，所有主体（用户，进程）和客体（文件，数据）都被分配了安全标签，安全标签标识一个安全等级。
  　主体(用户,进程)被分配一个安全等级
  　客体(文件,数据)也被分配一个安全等级
  　访问控制执行时对主体和客体的安全级别进行比较
 说明X-Scan扫描器进行端口扫描和弱口令扫描的原理
  scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。
  剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。
  在图形界面下我们看到了程序连接地址“.\xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。
  现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan211.100.8.87-port
  这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下：
  Initializedynamiclibrarysucceed.
  Scanning211.100.8.87......
  [211.100.8.87]:Scaning，port，state...
  [211.100.8.87]:Port，21，is，listening!!!
  [211.100.8.87]:Port，25，is，listening!!!
  [211.100.8.87]:Port，53，is，listening!!!
  [211.100.8.87]:Port，79，is，listening!!!
  [211.100.8.87]:Port，80，is，listening!!!
  [211.100.8.87]:Port，110，is，listening!!!
  [211.100.8.87]:Port，3389，is，listening!!!
  [211.100.8.87]:Port，scan，completed,found，7.
  [211.100.8.87]:All，done.
  这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出)
  然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。
  漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan61.135.50.1-61.135.50.255-cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。
简要说明防火墙的作用及其技术途径
  防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等
  个人防火墙的两种技术实现：
  墙的工作是监控网络进出的数据流，对用户认为危险或者有害的数据流向进行禁止或者监控，其核心功能是网络数据包的监控于分析过滤。从底层看，NDIS的中间驱动由于是在网卡驱动程序和传输驱动程序之间插入了一层，所以可以截获较为底层的封包，可以完成更为低级(最底层的是在网卡驱动程序层截获，但前面阐述过在网卡驱动程序层做网络数据包截获没有实现价值)的操作，不会有网络数据包从这里旁路，因此其最大的优点是安全系数高，但需要指出的是，NDIS层次上的网络操作不采用标准的I/O模式(IRP)形式，因此不能确定某个网络操作是由哪个进程引起的。个人用户看不到网络数据是源于哪个进程，就不容易让用户自定义过滤包规则，这是个非常大的遗憾和缺陷。当然。越靠近底层的驱动程序编写可移植性和健壮性越难保证，编码复杂也是其一个缺点。
  过滤驱动程序，由于采用标准的WindowsI/O请求(IRP)，它没有NDIS中间层驱动的不能得到进程信息的缺点，但由于它工作在传输驱动程序Tcpip.sys之上，由Tepip.sys接收后直接处理的数据包是不会传递到上层TDI过滤驱动程序的，如ICMP协议的应答包。Ping和Traeert就是利用ICMP来探测网络的可达性和跟踪路由。
  NDIS中间驱动和TDI过滤驱动，都是32位Windows平台上才提供的方法。整个NDIS规范和TDI的概念，是在Win.dowsNT平台上提出和得到发展的，以后的Windows2000，WindowsXP都支持，但以前的Windows98和WindOWSMe都不支持。因此如果要开发一个通用的Windows平台下的个人防火墙软件，这两种方法是不适合的。
  对于用户态下的SPI方法，它使用DLL监控使用Winsock调用进行网络通信的网络数据包。它工作在TDI客户之上，所有的用户进程之下，因此对于用户进程交给它的网络请求和意图非常清楚——在经过底层的分段(IP分段)之前，对用户进程的行为，目的可以更直观的了解，非常适合做内容过滤。并且其截获的所有Winsock调用广泛地被所有Windows平台支持。另外编程相对简单，平台适应性好。其最大的缺点是有的网络程序使用TDI接口提供的一些函数例程直接发起通信的发送和接收，用户态的数据包截获技术对此类程序无能为力。另外，和TDI方法一样，对那些由Tcpip.sys接收后直接处理的数据包，如利用ICMP协议的应答包进行探测网络可达性的Ping和Tracert等，由于它位于TDI的更上层，用户态的数据包截获技术对此旁路无能为力。
  合项目目标，要实现通用于Windows平台的个人防火墙系统只有采用SPI滤技术路线进行开发。另外，个人防火墙系统应能详细记录各种进程的访问网络信息，而应用层截获能最早得到应用层进程的发送数据包信息，能得到最完整的接收方发送的数据包信息，因而能实现记录最丰富网络访问信息的个人防火墙系统。或者可以认为，若须记录最详细的进程访网信息，必须使用SPI滤技术。
  千兆防火墙的两种技术实现
  要实现真正的千兆防火墙，目前的技术途径基本上有两条：一种是采用网络处理器，另一种是采用ASIC。下面我们来分析一下这两种技术架构各自的特点。
  网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。它具有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，最近在国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。
  第二种方案是采用基于ASIC技术的架构。Netscreen是采用该技术的代表厂家。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干级应用的技术方案。Netscreen公司也因此取得了令人瞩目的成功。但ASIC技术开发成本高、开发周期长且难度大，一般的防火墙厂商难以具备相应的技术和资金实力。
  说明入侵检测系统的部署模式、数据来源和检测方法。
  为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion，Detection，Working，Group（IDWG）和Common，Intrusion，Detection，Framework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Eventdatabases），用D盒表示。
  CIDF模型的结构如下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（generalized，Intrusionde，tection，objects，通用入侵检测对象）和CISL（commonin，trus，ionspec，ification，language，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。
  技术划分：
  （1）异常检测模型（Anomaly，Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。
  （2）误用检测模型（Misuse，Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。
  基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。
  基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。
  混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。
  数据来源：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
  检测方法：特征检测，统计检测

 了解更多知识请关注希赛网！

  相关推荐
  信息安全工程师考试大纲

  信息安全工程师希赛网答疑

  信息安全工程师技术能力有哪些