系统安全名词列表(转)

/ns/cn/zs/data/20020731033930.htm

转帖
来源不明


UID

用户身份证明(User Identification)的缩写。 在NFS中,UID (也拼做 uid)是文件所有者的用户 ID。

漏洞

漏洞是系统中的安全缺陷,漏洞可以导致入侵者获取信息并导致不正确的访问。

病毒

病毒是一种软件,它可以感染您的系统并将自己隐藏在现有的程序、系统或文档中。一旦执行了受感染的项目,病毒代码就被激活,并将自己发送给系统中的其它程序。受感染的项目又将病毒复制给其它项目。

VPN

虚拟专用网(VPN)是一种在公用网络中配置的专用网络。公共运营商 多年以来已经建立了许多 VPN,这些 VPN 对于客户而言,是一种专用的内部或外部网络,但实际上是与其它客户共享主干网。已经基于 X.25、Switched 56、帧中继和 ATM 构建了许多 VPN。现在的潮流是在 Internet 上构建 VPN。VPN 使用访问控制和加密在公共环境中保护隐私。

Windows NT 注册表漏洞

这一类型的漏洞允许攻击者远程访问 Windows NT 机器的注册表。可以检查 Windows NT Remote Access Service (RAS)、Local Security Authority (LSA)、自动登录、可更改的注册表文件关联、DCOM 权限、IP 转发、以及多种丢失的补丁程序。

Windows NT 用户漏洞

这一类型的漏洞允许用户通过检查可猜测的密码、遗失的密码、密码历史、不安全的策略、注销设置和锁定设置,从而检索 Windows NT 用户帐户和密码,达到访问系统的目的。

SYN 包

TCP连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。

文件型病毒

在数千种已知的病毒中,大多数属文件型,例如friday the 13th(黑色星期五)病毒。文件型病毒的传染机制是:将自身附加到其他文件上,宿主文件主要是以EXE或COM为扩展名的可执行文件。这类病毒可以修改宿主代码,将其自身代码插入到文件的任何位置,在某个时刻扰乱程序的正常执行过程,以使病毒代码在合法程序之前被抢先执行。

SYS

用于诸如 admind 或 sadmind 等程序的认证安全级别。
在这个安全级别上,服务器从客户端系统收到初始的用户和组识别信息,并将它们用做验证检查。没有任何检查来确定用户的 UID 在服务器系统上代表同一个用户。这就是说,假定 Administrator 已经使 UID 和 GID 在网络中的所有系统中保持一致。要进行检查,以确定该用户有权限执行该请求。

TCP/IP

传输控制协议/Internet 协议。由美国国防部签约开发的一种用于内部网络系统的通讯协议。它实际上是 Unix 标准,作为一种 Internet 的协议,并被所有平台广泛支持。它也是一种常用的速记方式,指的是运行在 IP 上的传输和应用程序协议的集合。
TCP/IP 的 TCP 部分提供传输功能,保证发送的所有字节都能在另一端正确接收。TCP/IP 的 IP 部分提供路由机制。TCP/IP 是一个可路由的协议,这意味着所传输的信息包含目标网络的地址以及目标站。TCP/IP 消息可以发送到公司内部或全世界的多个网络,因此可以在 Internet 中使用。

超级用户

一个有不受限制的访问权限的计算机帐户,可以在计算机上执行任何操作。

SSL

加密套接字协议层(Secure Sockets Layer)是 Internet 上领先的安全协议。当 SSL 会话开始后,Web 浏览器将公共密钥发送给 Web 服务器,这样服务器可以很安全地将私人密钥发送给浏览器。浏览器和服务器在会话期间,用私人密钥加密交换数据。SSL 是由 Netscape 开发的,SSL 可能与由IETF提出的协议和验证方法并入名为 Transaction Layer Security (TLS) 的新协议。

Ssh

Ssh (Secure Shell) 是一种程序,用于从网络登录到其他计算机、执行远程机器上的命令、以及将文件从一台计算机移到另一台计算机上。它提供了对于不安全频道的强身份验证和安全通信。它监听端口 22 的连接。
SshSsh 可以完全替代 rlogin、rsh、rcp 和 rdist。 在很多情况下,该程序可以替换 telnet。

Spoofing

假冒传输信息的发送地址,以非法进入安全系统。掠取或假冒另一个用户的 IP 地址通常剥夺了该用户使用该 IP 地址的权力。

SNMP

简单网络管理协议(Simple Network Management Protocol)广泛用于网络监视和控制协议。数据从 SNMP 代理发出,代理将每个网络设备(集线器、路由器、桥等等)的活动报告给监视整个网络的工作站控制台。代理返回的信息包含在 MIB (Management Information Base)中,MIB 是一个定义可从设备获取的以及可控制的(打开、关闭等等)的数据结构。SNMP 起源于 Unix,现在已经广泛用于所有主要平台上。

Sniffing

捕捉用于网络上其它机器的信息。Sniffing 是攻击者最长使用的攻击形式。
例如,可以配置 Ethernet 网中的机器以接收所有的包,不管其包头中的目的地如何。由于经常以明码方式传输帐户和密码信息,入侵者很容易攻击网络中的所有机器。

Shadow 密码

包含用户名和加密密码的文件。 防止用户读取其他用户的密码,但是需要合法访问的程序可访问阴影密码文件。
在 Unix 系统中,shadow 密码方案替代在密码文件框中的星号(*)或无意义的字符。

安全区域

在 Windows NT 和 Windows 95/98 中,当您使用网络或访问已认为是可信的 web 站点时,“安全区”提供对您的计算机和隐私的保护,而不用重复的警告中断您。公司“管理员”特征允许公司设置自动边界,因此用户不必使安全决策基于个例的基础。
根据指定 Web 站点的安全区域,Internet Explorer 4.x 提供不同级别的安全。例如,您很可能信任公司 intranet 中的站点,因此您很可能想允许所有类型的活动内容在此处运行。您可能对 Internet 中站点感觉不太信任,因此可以指定它们到“未信任”区,防止活动内容运行和防止代码下载到您的计算机。
关于“安全区”的更多信息,请参阅“Internet Explorer 功能概览”的“安全区交付能力和保护”,网址是:http://www.microsoft.com/ie/ie40/fe...s/sec-zones.htm

扫描

扫描运行扫描策略,执行检测系统中弱点和漏洞的检查。

RFC

RFC(备注请求)是一个公开发表的文档,描述了建议的技术的规格说明。 Internet Engineering Task Force (IETF) 和其他的标准团体使用 RFC。RFC 可从很多来源获得,包括 http://www.yahoo.com/Computers_and_...Standards/RFCs/

缓冲溢出

缓冲溢出指所传递参数的长度超出了某个函数所定义的范围。该函数没有校验参数的长度是否小于或等于其定义范围。然后将整个参数(过长)复制到一段长度很短的存储区域中,从而引起该函数的某部分存储区域被覆盖,通常是改变了参数栈/调用栈。

缓冲

指对数据进行处理之前或处理期间用于保存它们的一段存储区域。

强力攻击漏洞

这种类型的漏洞允许攻击者可以通过很多次的尝试轰击系统以进入该系统,常用的方法是通过使用各种可能的服务进行登录。这种方法基于假设用户不会经常更改他们的密码,或者使用了脆弱的密码,最终强力攻击将会破解这些密码。

后门

有时也称陷门。一种用于获得对程序或在线服务访问权限的秘密方式。它是由程序的开发者内置于程序中,通过它可以对特定的功能进行特殊的访问。例如,内置于操作系统中的某个后门可能会允许运行该操作系统的任何计算机进行不受限制的访问。

AUSCERT

Australian Computer Emergency Response Team (AUSCERT) ,位于澳大利亚,为计算机社团解决计算机事故和预防提供可信任的单独服务。AUSCERT 的宗旨是减少安全攻击的可能性,减少组织的安全的直接成本,最小化由于成功的攻击而引发的安全风险。
AUSCERT 是 Incident Response and Security Teams (FIRST) 论坛的成员,并和 CERT Coordination Center (CCC) 以及其他国际的 Incident Response Teams (IRTs) 和 Australian Federal Police 有紧密的联系。
AUSCERT 提供匿名 FTP 服务,网址为:ftp://ftp.auscert.org.au/pub/。这里包含过去的 SERT 和 AUSCERT Advisories,以及其他计算机安全信息。AUSCERT 同时也支持 World Wide Web 服务,网址为:http://www.auscert.org.au/

匿名 FTP

在其他计算机上使用 FTP 而无需拥有在其上的帐号或口令的功能。此时,您作为匿名登录。因此,这种从其他计算机上存放或取回文件的方式称为 匿名 ftp

Alerter服务

一种 Windows NT 服务,通知选定的用户和计算机在一台计算机上发生了管理警告。由“Server”服务和其他服务调用。需要Messenger 服务。

Admind 或 Sadmind

一种分布式系统管理守护程序,用于在管理任务通过网络执行时执行安全任务。 SunOS 5.4 和更低版本使用 admind,而 SunOS 5.5 和更高版本使用 sadmind。
任何时间接收到一个请求后,守护程序即通过 inetd 自动运行,也可从命令行运行。在遵循这一请求之前,守护程序必须先到服务器鉴别该客户端。当客户端身份得到核实后,该守护程序使用此身份允许授权。
Admind 默认的安全等级为 SYS。 您可以使用更安全的 DES 安全等级,方法是:首先确定在域中所有的服务器已正确的设置为使用 DES 安全等级,然后在调用该守护程序时,指定 -S 2 选项。

访问控制列表(ACL)

一系列和文件、目录或其他资源相关的值,定义了用户和/或组对其进行存取的权限。

AAA

鉴定、授权和记帐(Authentication、Authorization 和 Accounting,读作:“triple a”)网络安全服务是一种 Cisco 协议,它提供了用于在路由器或存取服务器上建立访问控制的主要框架。

字典攻击

一种强制力方法,指使用常用的术语或单词列表进行认证。例如,攻击者发现密码可能是使用传统字典加上名字列表,于是使用两个源对脆弱的密码进行攻击。

DES

数据加密标准(Data Encryption Standard)是一种 NIST 标准安全密钥加密方法,使用的密钥为 56 位。DES 的基础是 IBM 算法,U.S. National Security Agency (NSA) 对其进行了进一步开发。它使用了块密码算法,在加密文本前将其分成许多 64 位的块。有几种 DES 加密算法。最常见的模式是将每一个明文块与前一个加密块相“或”。
DES 算法速度很快,使用范围也很广。密钥可以安全地存放并能再次使用。或者,密钥可以由每一次会话随机产生,这种情况下,新密钥采用公用密钥加密算法(例如 RSA)送到收信人处。

攻击者使用 DoS 攻击包括下列一些原因:

需要重新启动以激活新安装的特洛伊木马。
攻击者想要覆盖攻击痕迹、或者通过随机的崩溃隐藏 CPU 活动。
管理员使用 DoS 攻击的可能原因是:
确保他们的计算机安装了最新的补丁后没有漏洞。
终止一台无法访问的计算机,例如运行失去控制的进程并且引起了问题的计算机。

拒绝服务

拒绝服务 (DoS) 是一种攻击行为,指系统入侵者通过发送大量的信息包使系统严重受限或崩溃,这些信息包中包含过长的数据段、错误报头信息或过量的服务请求。

守护程序

发音类似于"demon"。指运行在后台的 Unix 程序,需要的时候它将执行相应的操作。守护程序功能类似于操作系统的扩展,通常是自动的进程,在启动时初始化。典型的守护程序有打印脱机、电子邮件处理、或者在指定时间运行其他进程的调度程序。这一词语源自希腊神话,意为“guardian spirit”。

常见漏洞和弱点(CVE)

“常见漏洞和弱点(CVE)”数据库由 MITRE Corporation (http://www.cve.mitre.org)维护和修订。

密文

密文是在当前格式下不可读的数据。密文是在加密过程 中生成,用于安全的数据传输。

CGI

公共网关接口(Common Gateway Interface)是一种用脚本语言(例如 Perl)编写的小程序,用于实现 HTML 页面和 Web server 上其他程序之间的通信。例如,一种 CGI 脚本,它能把在 Web 页面中输入的搜索关键字发送给数据库。还能将搜索结果格式化到一个 HTML 页面上,返回给用户。

CHAP

Challenge Handshake Authentication Protocol 是一种对用户的 ID 和密码动态地进行加密的访问控制协议。在用户的机器上的登录程序从 CHAP 服务器上获得一个密匙,该密匙将在发送用户名和密码前对其进行加密。

数字证书

也称为“digital ID”,证书等于一张数字的身份证。它由认证权威机构(CA),例如 VeriSign, Inc.,对某个拥有者的公钥进行核实之后发布。证书是由 CA 进行数字签名的公钥。证书通过加密的邮件发送以证明发信人确实和其宣称的身份一致。

范围检查

范围检查,也叫做参数验证,是一种用于防止对无效参数进行操作的技术。在没有执行参数验证时,可能由用户(可能是远程用户,也可能是匿名用户)使用无效参数激活该功能,导致拒绝服务、数据丢失,或更加严重的安全问题。GetAdmin exploit for Windows NT 是一个很好的示例,该示例通过使用 Win32 API 参数验证中的缺陷(特别是欠缺验证),破坏了验证。
范围错误可导致多个溢出,如超出矩阵索引限度或内存地址,或当您输入一个常数时,没有这一类型的数据。但是,有些语言不将溢出视为错误。 在很多 C 的实例中,数学溢出导致结果降低-例如,如果 m 是最大的整型值,而 s 是最小的,则 m + 1 => s。
在复杂系统中执行被请求的操作前,如果没有考虑到用户权限,也可能发生范围错误。这就是说,FTP 服务器在允许用户重命名前不检查写权限,(如 wu-ftpd 中的 FTP RNFR 漏洞),在某中意义上说,就是范围检查错误。 另一个示例是,Win32 中的一个函数在不检查调用者的权限前,允许它们对系统中的内存进行写操作。(GetAdmin 漏洞) 缓冲区溢出也与范围检查相关。

PWL 文件

Windows 95、Windows for Workgroups 以及用于 DOS 计算机的 Microsoft Client 上的密码缓存文件。包含最近或经常访问系统的密码。由于远程攻击者经常可以访问 PWL 文件,而且其密码的加密很弱,因此被视为一种风险。

公共密钥

公共密钥加密系统的两个部分中的公开部分,例如 RSA。只有所有者才知道私用部分的内容。

私用密钥

公共密钥加密系统的两个部分中的私有部分,诸如 RSA。私有密钥是保密的,不通过网络传输。

PPTP

点对点的报文封装协议将其它在 IP 网络上传输信息的协议封装起来。例如,可以用它在 Internet 上发送 NetWare IPX/SPX 包。它的 RSA 加密方式在公用 Internet 中创建虚拟专用网 (VPN)时,非常有用。远程用户可以从任何服务器支持 PPTP 的 ISP 处,访问公司网络。

PPP

点对点协议是一种数据链接协议,提供通过串形线的拨号访问。它可以在包括 POTS、ISDN以及高速线路上 (T1, T3, etc.)的 全双工 链接上运行。由 Internet Engineering Task Force (IETF) 在 1991 年开发,已经在 Internet 访问中广泛应用,成为运行更高级别协议的方法。
专用 Network Control Protocol 包的 PPP 封装协议;例如,IPCP (PPP 上的 IP)以及 IPXCP (PPP 上的 IPX)。可以用该协议替换网络适配器驱动程序,使远程用户可以像在家中一样登录网络。PPP 可以在通话质量很低时,挂断电话重拨。
PPP 还用口令验证协议 (PAP) 和更加严格的竞争握手确认协议 (CHAP)提供密码保护。

端口

进出计算机的路径。个人计算机的串口和并口是用于插接通讯线、modem 和打印机的外部插槽。在编程过程中,端口可以是符号接口,也可来自于应用程序或实用工具。
每个服务器应用程序都分配了一个端口号,以将数据发送给相应的服务。
修改软件,以运行在不同的计算机环境中。 “将程序发送给 Windows NT”意味着程序员修改了应用程序,使之能在 Windows NT 下运行。

明文

普通的未加密的文本,可以用文本编辑器和字处理程序读取。

Ping 炸弹

持续 ping 另一个用户,主要是通过 IRC 进行的,试图将用户踢下网络或使机器崩溃。

Ping

Packet INternet Groper 的缩写。一种网络实用程序,可以确定特定的 IP 地址 是否活动。该程序通过向特定 IP 地址发送包并等待回应,测试并调试网络。

Keyserv

keyserv 服务存储所有登录用户使用集成安全性的网络服务的个人密钥,如安全的 NFS 和 NIS+。

Kerberos

Massachusetts Institute of Technology (MIT) 开发的一种用于验证用户的安全系统。它在登录时建立鉴别,并贯穿会话始终。它不提供对服务或数据库的验证。

FTP

文件传输协议(FTP)允许某一主机的用户通过 TCP/IP 网络访问另一主机或与之进行文件传输。它提供登录到网络、列出目录、复制文件等功能。FTP 操作可通过在命令提示符处键入命令的方式来实现,也可通过运行在图形界面(如 Windows)上的 FTP 程序来实现。 FTP 传输也可通过在浏览器中键入以ftp://开头的 URL 实现。

防火墙

用于网络安全的硬件或软件。防火墙可以通过一个过滤数据包的路由器实现,也可由多个路由器、代理服务器和其他设备组合而成。防火墙通常用于将公司的公共服务器和内部网络分隔开来,使相关的用户可以安全的访问互联网。有时防火墙也用于内部网段的安全。例如:人力资源子网和研发或财务子网相隔离以防止来自内部的非授权访问。

误报

误报发生于以下情况:系统将一个操作归类为可能的入侵,而它是合法的操作。

漏报

漏报发生于以下情况:实际的入侵已经发生,但是系统系统允许它作为非入侵行为通过。

Exploit

一个安全漏洞或者一个利用安全漏洞的示例。 Exploit 指尝试找出系统中所有漏洞的一种方法。ISS 产品(如 System Scanner 和 Internet Scanner)可能会在扫描过程中在系统上运行 exploit。

Exception

一种情形,通常指错误,引起程序、操作系统或微处理器将控制转给服务程序。在出错的情况下,系统将会通过 Unix 应急错误、内核异常或 Windows NT 蓝屏死机进行终止。

加密

出于安全目的而对数据进行编码。

分布式拒绝服务工具

一种新的拒绝服务 (DoS) 攻击形式,比从前所有在 Internet 上出现过的 DoS 攻击功能更强大。 拒绝服务攻击通过用海量的流量淹没一个网络使其宕掉。 这种 DoS 攻击使用一系列已危及的系统发动针对单个目标的分布式淹没攻击。 这种攻击已经证明是非常成功的并且难以防范。

Password 文件

在 Unix 环境中,/etc/passwd 文件通常包括用户信息和相应的加密密码。 除了使用 password 命令以外,所有用户对密码文件的权限都是只读。目前的 Unix 系统通过将密码存储到 Trusted Computing Base (TCB) 或影子密码文件中,将攻击者获得密码的可能性降到最低。
Windows 95 系统用 .pwl 密码列表文件存储网络或拨号密码。密码列表文件的内容加密很弱,被破解后还能获得密码信息。
位于 http://support.microsoft.com/suppor...q140/5/57.asp的 Microsoft Knowledge Base Article Q140557 “Microsoft Windows 95 Password List Security Issue”推荐您使用 Mspwlupd.exe 增强安全修补文件升级或禁用密码缓存,以达到最高的安全性。
位于 http://support.microsoft.com/suppor...s/Q132/8/07.asp Microsoft Knowledge Base Article Q132807 “Enhanced Encryption for Windows 95 Password Cache”中说明了 Mspwlupd.exe 修补文件的情况。修补文件位于 http://support.microsoft.com/downlo...es/Mspwlupd.exe (326304 字节)。

密码技巧描述

经常更改密码----- 您使用的密码的时间越长,丢失密码的危险越大。
使用好的密码----- 不要使用人、地点或其它能表示您的名称做密码。
不要暴露密码----- 您的密码与所保护的信息价值相同。
检查您的数据----- 如果怀疑有人已经篡改了您的文件,立即报告。
不要使终端处于无人职守的状态----- 离开时,总是注销或锁定您的终端。
对计算机可疑的滥用情况进行报告----- 不管是否针对于您,滥用或误用计算机资源只能拖延您按时完成任务。

密码

一个用来检查对系统或数据未经验证访问的安全性的术语或短语。在选择密码时,请考虑这些提示.

PAP

密码验证协议(PAP)是用于登录网络的基本访问控制协议。服务器上存储了用户名和密码表。当用户登录时,PAP 向服务器发送用户名和密码,以供验证。CHAP 也提供同样的功能,但在发送前,要对用户名和密码进行加密。

操作系统

运行计算机的主要控制程序。操作系统是打开计算机后,加载的第一个程序,而它的主要部分,称做内核,一直驻留在内存中。 它既可以由计算机供应商提供,也可以由第三方提供。
操作系统由于设置了运行在系统上的应用程序的标准,因此是计算机系统的重要组件。所有程序必须与操作系统共同运行。
操作系统与网络操作系统的主要区别是其多用户性能。如 DOS 和 Windows 95 等操作系统是单用户的,是供单用户在桌面计算机使用的。Windows NT 和 Unix 是网络操作系统,它们是用来同时管理多个用户请求的。

NetBus

NetBus 是一种用于 Windows 95 和 Windows NT 的 后门程序,据 NetBus Web 页面所述,攻击者能对您的机器执行以下操作:
打开/关闭 CD-ROM。
显示 BMP/JPG 格式的图象。
切换鼠标按钮。
启动应用程序。
播放 .wav 音频文件。
控制鼠标。
显示不同类型的消息。
关闭 Windows。
下载文件。
转至 Internet 上的 URL 目标。
监听并发送击键。
捕获屏幕图象。
增大或减小音量。
用麦克风录制声音。
上传文件。
每次按下键时,发出敲击的声音。
如果发现了 NetBus,应立刻去除。

NetBIOS

网络基本输入/输出系统是针对 PC 局域网的网络协议。 NetBIOS 通常用于一个网段或公司中,但若没有其他协议的帮助将无法通过路由器实现数据传输。 一般来说 NetBIOS 地址就是计算机的名称,因此简化了连网和从用户处进行寻址的任务。
NetBIOS 提供会话并传输服务(OSI 模型 的第 4 层和第 5 层),但是不提供通过网络传输的标准格式。 NetBIOS 的不同实现已经正式集成到 NetBEUI 中,用于所有支持连网的 Windows 操作系统。

LDAP

轻量级目录访问协议(Lightweight Directory Access Protocol)。一个使用 Web 浏览器和与 LDAP 兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望 LDAP 提供搜索 Internet 上的电子邮件地址的通用方法,最终带来一个全球性的白页。
LDAP 在 Internet Engineering Task Force (IETF) 中定义,以推动对 X.500 目录的采用。LDAP 是一种相对简单的协议,它用于更新和搜索基于 TCP/IP 运行的目录。对于简单的 Internet 客户机的使用来说,LDAP 以前的“目录访问协议 (DAP)”太复杂。
LDAP 目录项是带有名称的属性集合。称为识别名称 (DN)。DN 清楚的指明是项目。 各项目的属性包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串,如 cn 指常见名称,或 mail 指电子邮件地址。值取决于类型。
LDAP 目录项以一种等级结构排列,它反映了政治的、地理的、和/或组织边界。代表国家的项出现在该树的最顶端,随后是代表州或国家组织的项,然后是代表民族、组织单位、打印机和文档等的项。

Land 攻击

land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。

KDC

Key Distribution Centers (KDCs) 发行 Kerberos 票。每一个 KDC 包含 Kerberos 数据库的一个副本。主 KDC 包含数据库的主副本,它以固定的间隔向从 KDC 复制自身。所有的数据库更改(如密码更改)都作用于主 KDC。从 KDC 提供 Kerberos 票许可服务,但是没有数据库访问。这可使客户在主 KDC 不可用时持续获得票。

前缀扫描攻击

黑客和攻击者可以利用军用拨号器(war-dialer)扫描调制调解器线路,这些调制解调器线路绕过网络防火墙,可以作为闯入系统的后门,最滑稽的事情是公司在安全软件上花了大量的钱财,到头来对各种攻击却仍然是门洞大开,其原因盖出于它忘记了保护它的所有调制解调器……。

特洛伊木马

特洛伊木马是一种看似合法的程序,实际上在其运行时执行不合法的活动。 该程序可用于查找密码信息,使系统出现更多漏洞、或者只是单纯破坏程序和硬盘数据。

引导型病毒

引导型病毒驻留于系统内存中,伺机传染所访问的每一张磁盘,直到机器重新启动。这类病毒是驻留内存的,因此,我们可以使用chkdsk命令查看系统内存,并观察正常的内存总量是否减少了几千字节,以确定系统是否感染有病毒。

分区型病毒

分区型病毒将硬盘的分区住处表转移到另外一个扇区,然后用自身的病毒代码代替原分区信息表,以此入侵硬盘。在读写软盘时,这类病毒可以从分区信息表传染到软盘的引导扇区。

黑客

是英文hacker的译音。在Internet上有一批熟谙网络技术的人,其中不乏网络天才,经常用网络上现存的一些漏洞,想方设法进入他人的计算机系统。有些人只是为了一饱眼福,或纯粹出于个人兴趣,喜欢探人隐私,这些人通常不会造成一些危害。但也有一些人是存着不良动机侵入他人计算机系统的,通常会偷窥机密信息,或将其计算机系统捣毁。这部分人我们就称其为Internet上的 “黑客”

CIH病毒

是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。

欺骗病毒

它被激活时,它会隐藏它对文件或引导记录所做的修改, 这种修改是通过监视系统功能来完成的,这种系统功能是用于从存储介质读取文件或扇区,并且伪装成调用了这种功能的结果。 这意味着所读取的被感染的文件和扇区似乎与未被感染的一样。因此病毒所做的修改可以不被反病毒程序检测到。然而,为了达到这一点,在反病毒程序被执行的时候,它必须驻留内存,所以通过这点,它可以被反病毒程序检测到。

计算机蠕虫

是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫不需要将其自身附着到宿主程序。有两种类型的蠕虫---主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在他们运行的计算机中,并且使用网络的连接仅将其自身拷贝到其它的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止他自身。(因此在任意给定的时刻,只有一个蠕虫的拷贝运行) 这种蠕虫有时也叫“野兔”。

网络蠕虫由许多部分组成。而且每一个部分运行在不同的机器上 (可能进行不同的动作)并且使用网络来达到一些通信的目的。从一台机器上繁殖一部分到另一台机器上仅是那些目的的一种。网络蠕虫有一主段,这个主段与其他段的工作相协调匹配,有时叫做“章鱼”。

CERT

计算机应急小分队(Computer Emergency ResponseTeam)是由美国联邦政府资助专门研究计算机及网络安全的组织,它们随时提供最新发现的计算机及网络安全问题,并提供一些解决方法。

远程攻击

远程攻击是这样一种攻击,其攻击对象是攻击者还无法控制的计算机;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一子网还是有千里之遥)。“远程 计算机”此名词最确切的定义是:“一台远程计算机是这样一台机器,它不是你正在其上工作的平台,而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。

幽灵病毒

幽灵病毒(又叫多形型病毒)是这样的病毒:它产生了与它自身不同的,但是操作可用的拷贝,其目的是希望病毒扫描程序将不能检测到所有的病毒的情况。

宏病毒

是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

隐形病毒

隐形病毒将其附加到文件或引导扇区中,但是检测宿主软件时,却显示正常无误。隐形病毒运行后即藏匿于内存中,然后玩起它的鬼把戏。在内存中病毒监控并截获系统的DOS调用。若系统想打开一个带毒文件,病毒会立刻“冲上前来”对文件解毒,允许DOS打开该文件,一切均显正常。DOS关闭文件后,病毒进行相反的操作,重新将其感染。

变异型病毒

这类病毒内部包含一个加密子程序,借此帮助病毒躲避检查;另外还有一个解密程序,以使病毒在发作时得以复原。变异型病毒可以感染各种宿主软件。这类病毒多为文件型病毒,但是感染引导区的变异型病毒也已经被发现。

复合型病毒

这类病毒综合了文件病毒与引导型病毒最恶劣的特点,可以感染任何宿主软件模块。传统的引导型病毒仅仅通过已感染病毒的软盘传播,而复合型病毒却可以像文件型病毒那样自由传染,同时还可以将病毒程序写入到引导扇区及分区信息表。因此,这类病毒尤其难以清除。例如,Tequlia就是一种复合型病毒。

ASP

Active Server Pages,服务器端脚本编写环境,使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。

ASP脚本是一系列按特定语法(目前支持vbscript和jscript两种脚本语言)编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时,WEB浏览器将向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后,自动通过ISAPI接口调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容,通过WEB服务器"原路"返回给WEB浏览器,由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。

欺骗空间技术

就是通过增加搜索空间来显著地增加入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿主能力(multi-homed capability),在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机,而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。实际上,现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。这意味着利用16台计算机组成的网络系统,就可做到覆盖整个B类地址空间的欺骗。尽管看起来存在许许多多不同的欺骗,但实际上在一台计算机上就可实现。

网络欺骗

就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。

网络欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法,最早采用的网络欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方,以诱使入侵者上当。

拒绝服务攻击

它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。

破坏数据完整性

以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。

信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。

非授权访问

没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

网络安全

是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。
  网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
  网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
  网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
  网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益。
  从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。

邮件炸弹

E-MAIL炸弹原本泛指一切破坏电子邮箱的办法,一般的电子邮箱的容量在5,6M以下,平时大家收发邮件,传送软件都会觉得容量不够,如果电子邮箱一下子被几百,几千甚至上万封电子邮件所占据,这是电子邮件的总容量就会超过电子邮箱的总容量,以至造成邮箱超负荷而崩溃。【kaboom3】【upyours4】【Avalanche v2.8】就是人们常见的几种邮件炸弹。

PGP

Pretty Good Privacy,是一个基于RSA公匙加密体系的邮件加密软件。可以用它对你的邮件保密以防止非授权者阅读,它还能对你的邮件加上数字签名从而使收信人可以确信邮件是你发来的。它让你可以安全地和你从未见过的人们通讯,事先并不需要任何保密的渠道用来传递密匙。它采用了:审慎的密匙管理,一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它的功能强大有很快的速度。而且它的源代码是免费的。

网络病毒

网络中的病毒有的是良性,不作任何破坏,仅影响系统的正常运行而已,但更多的病毒是恶性的,会发作,发作的现象各有千秋:有的格式化硬盘,有的删除系统文件,有的破坏数据库。因此,有病毒时必须要尽快医治,对网络更是如此,它对网络的破坏性远大于单机用户,损失则更不用谈了。

netstat

netstat命令用于查询与某类信息有关的子系统。打印路由选择表、活动连接、正在使用的流以及其他一些信息。

ttraceroute/tracert命令

traceroute/tracert命令用于跟踪数据包到达目标机器的路由,使用IP数据包的time-to-live(TTL)域,在数据包到达远程主机前所经过的每一个网关引发一个ICMP TIME_EXCEEDED响应。

arp命令

arp命令显示并修改Internet到以太网的地址转换表。这个表一般由地址转换协议(ARP)来维护。当只有一个主机名作为参数时,arp显示这个主机的当前ARP条目。如果这个主机不在当前ARP表中那么ARP就会显示一条说明信息。

Telnet

Telnet用于Internet的远程登录.它可以使用户坐在已上网的电脑键盘前通过网络进入的另一台电脑已上网的电脑,使它们互相连通.这种连通可以发生在同一房间里面的电脑或是在世界各范围内已上网的电脑.习惯上来说,被连通计算机,并且为网络上所有用户提供服务的计算机称之为服务器(Servers),而自己在使用的机器称之为客户机(Customer).一旦连通后,客户机可以享有服务器所提供的一切服务.用户可以运行通常的交互过程(注册进入,执行命令),也可以进入很多的特殊的服务器如寻找图书索引.网上不同的主机提供的各种服务都可以被使用。
IPSec

IP安全工具――IPSec使用了网络通信加密技术。虽然不能加密数据包的头部和尾部信息(如源/目的IP地址、端口号、CRC校验值等),但可对数据包数据进行加密。由于加密过程发生在IP层,因此可在不改变POP/WWW等协议的情况下进行网络协议的安全加密。同时它也可以用于实现局域网间(通过互联网)的安全连接。

远程联线(TELNET)

远程联线是一个不可思议的工具, 它让您超越时空一般的使用远端的电脑系统。有了远程联线, 电脑软硬体资源的分享变得很有效率, 打个比喻来说, 您可以连线载入位於某处的超级电脑(假设您有存取权), 做天体模拟运算, 当结果迅速的产生时, 您可以将资料传送到另一部图形模拟工作站, 由那里产生一份实体模拟图。在这例子中, 您先後用到了一部超级电脑以及一部图形处理工作站, 而您双手真正接触到的, 很可能是一部位於实验室的个人电脑(PC), 可是其他这两台电脑可能在什麽地方也不知道!是的, 您一点也无须知道, 通过Internet的远程联线工具, 您只需到知道那里有您要的CPU时间,以及应用软件, 如此而已。 远程联线可以应用於跨越时空的环境, 当然也同样适用於办公室区域网络间, 一台电脑模拟成另一台电脑的终端机而连线载入对方系统。

MySQL

是一个真正的多用户、多线程SQL数据库服务器。MySQL是以一个客户机/服务器结构的实现,它由一个服务器守护程序mysqld和很多不同的客户程序和库组成。由于其源码的开放性及稳定性,且与网站流行编�挥镅�PHP的完美结合,现在很多站点都利用其当作后端数据库,使其获得了广泛应用。

Strobe(超级优化TCP端口检测程序)

strobe是一个TCP端口扫描器,它可以记录指定机器的所有开放端口。strobe运行速度快(其作者声称在适中的时间内,便可扫描整个一个国家的机器)。strobe的主要特点是,它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类信息是很有限的,一次strobe攻击充其量可以提供给“入侵者”一个粗略的指南,告诉什么服务可以被攻击。但是,strobe用扩展的行命令选项弥补了这个不足。

电子邮件炸弹

英文是E-Mail Bomb,它是黑客常用的攻击手段.常见的情况是当某人或某公司的所做所为引起了某位黑客的不满时,这位黑客就会通过这种手段来发动进攻,以泄私愤.相对于其它的攻击手段来说,这种攻击方法可谓简单,见效快.呵呵,说笑了,转入正题.邮件炸弹实质上就是发送地址不详,容量宠大,充满了乱码或骂人话的恶意邮件,也可称之为大容量的邮件垃圾.由于每个人的邮件信箱都是有限的,当庞大的邮件垃圾到达信箱的时候,就会把信箱挤爆,把正常的邮件给冲掉.同时,由于它占用了大量的网络资源,常常导致网络塞车,使大量的用户不能正常地工作.所以说邮件炸弹的危害是相当大的。

NNS(网络安全扫描器)

用PERL编写,工作在Sunos4.1.3进行下面的常规的扫描Sendmail ,TFTP,匿名FTP,Hosts.equive,Xhost增强扫描Apple Talk,NovellLAN管理员网络取得指定域的列表或报告!

扫描器

扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务!和它们的软件版本!这就能让我们间接的或直观的了解到远程主机所存在的安全问题。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(比如:是否能用匿名登陆!是否有可写的FTP目录,是否能用TELNET,HTTPD是用ROOT还是nobady在跑!)

网际协议安全(IPSecurity)

IPSec 作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署 IPSec。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前,IPSec 在计算机及其远程隧道服务器之间进行协商。

安全规则

安全规则就是对你计算机所使用局域网、互联网的内制协议设置,从而达到系统的最佳安全状态。

网络入侵(hacking)

具有熟练的编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行文。 早先将对计算机的非授权访问称为破解(cracking),而hacking则指那些熟练运用计算机的高手对计算机技术的运用。而随着时间的推移,媒体宣传导致了hacking变成了入侵的含义。现在hacker则称为诸如Linus Torvalds (Linux之父)、Tim Berners-Lee (现代WWW之父)及偷窃网络信息等犯罪者的同义词。

Arp

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

嗅探器(snifffer)

就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议,而另一些可能能够分析几百种协议。

UUCP系统

UUCP系统是一组程序,完成文件传输,执行系统之间的命令,维护系统使用情况的统计,保护安全.UUCP是UNIX系统最广泛使用的网络实用系统,这其中在两个原因:第一,UUCP是各种UNIX版本都可用的唯一的标准网络系统,第二,UUCP是最便宜的网络系统.只需要一根电缆连接两个系统,然后就可建立UUCP.如果需要在相距数百或数千公里远的两个系统间传输数据,中需要两个具有拨号功能的调制解调器.

sniffit

是一个有名的网络端口探测器,你可以配置它在后台运行以检测哪些Tcp/ip端口上用户的输入/输出信息。最常用的功能是攻击者可以用它来检测你的23(telnet)和110(pop3)端口上的数据传送以轻松得到你的登录口令和mail帐号密码,sniffit基本上是被破坏者所利用的工具,但是既然想知道如何增强你的站点的安全性,首先你应该知晓闯入者们所使用的各种工具。

Smurf

(directed broadcast)。广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMP echo请求包时(例如PING),一些系统会回应一个ICMP echo回应包,也就是说,发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的,当然,它还需要一个假冒的源地址。也就是说在网络中发送源地址为要攻击主机的地址,目的地址为广播地址的包,会使许多的系统响应发送大量的信息给被攻击主机(因为他的地址被攻击者假冒了)。使用网络发送一个包而引出大量回应的方式也被叫做"放大器",这些smurf放大器可以在www.netscan.org网站上获得,一些无能的且不负责任的网站仍有很多的这种漏洞。

DOS攻击

DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源变得非常渺小。

一次性口令

为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:One Time Password)的密码体制,以保护关键的计算资源。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。例如:登录密码=MD5(用户名+密码 +时间),系统接收到登录口令后做一个验算即可验证用户的合法性。

黑客程序

是一种专门用于进行黑客攻击的应用程序,它们有的比较简单,有的功能较强。功能较强的黑客程序一般至少有服务器和客户机两部分。黑客程序的服务器部分实际上是一个间谍程序,黑客程序的客户机部分是黑客发动攻击的控制台。利用病毒原理以及发送电子邮件、提供免费软件等手段,将服务器悄悄安装到用户的计算机中。在实施黑客攻击时,有客户机与远程已安装好的服务器进行里应外合,达到攻击的目的。利用黑客程序进行黑客攻击,由于整个攻击过程已经程序化了,不需要高超的操作技巧,不需要高深的专业计算机软件知识,只需要一些最基本的计算机知识便可实施,因此,其危害性非常大。较有名的黑客程序有BO、YAI以及“拒绝服务”攻击工具等。

域名系统(DNS)

是Internet上其他服务的基础,E-mail是Internet上最重要的服务。但是DNS和E-mail系统也是Internet上安全漏洞最多的地方,DNS是Internet上其它服务的基础。它处理DNS客户机的请求:把名字翻译成IP地址;把IP地址翻译成名字;并提供特定主机的其它已公布信息(如MX记录)。下面介绍DNS使用中业已知晓的两个安全问题,并给出相应的解决方法。

COOKIE欺骗

现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径:
1、跳过浏览器,直接对通讯数据改写
2、修改浏览器,让浏览器从本地可以读写任意域名cookie
3、使用签名脚本,让浏览器从本地可以读写任意域名cookie(有安全问题)
4、欺骗浏览器,让浏览器获得假的域名

缓冲区溢出

缓冲区溢出漏洞是指通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。

DOS攻击

这是拒绝服务攻击(Denial of Service)的简称,一个非常致命(并且低级)的攻击概念。DoS一般被用于一些很使用的目的,一般人会用它来显示自己的能力和技巧,尽管这种攻击方法几乎不需要什么技巧。我认为DoS有用的唯一原因是因为它可以用于欺骗目的:当局部网中一台系统瘫痪时,你可以把你自己的地址改成那台已经瘫痪掉的电脑的,并且中途截取类似用户名和密码等重要的信息。

ISO安全体系结构标准

在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。

联合公共准则(CC)

CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版,但目前仍未付诸实施。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障分离,并将功能需求分为9类 63族,将保障分为7类 29族。

美国联邦准则(FC)安全标准

该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则。

加拿大CTCPEC安全标准

该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。

欧洲ITSEC ITSEC安全标准

与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1~B3级非常相似。

美国TCSEC(桔皮书)安全标准

该标准是美国国防部制定的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。

智能卡技术

智能卡就是密钥的一种媒体, 一般就像信用卡一样, 由授权用 户所持有并由该用户赋与它一个口令或密码字。该密码与内部网 络服务器上注册的密码一致。当口令与身份特征共同使用时, 智 能卡的保密性能还是相当有效的。

数据加密技术

数据加密技术主要分为数据传输、数据存储、数据完整性的鉴  别以及密钥管理技术四种。

SSN

安全服务器网络(SSN)。为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,第四代防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN的方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙保护,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下。

主机认证

主机认证是用IP地址来标志允许或禁止一个客户端。一旦有一个用户登录到X server上,一个叫做xhost的程序用来控制来自那个IP的客户允许连接。但是大多数主机支持多个一台客户机上用户,所以不可能控制在某一台客户机,允许他上而别人不行。

身份认证技术

对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的ACACS+以及业界标准的RADIUS。

加密技术

加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。

SMTP协议

SMTP-简单邮件传输协议(Simple Mail Transfer Protocol),是定义邮件传输的协议,它是基于TCP服务的应用层协议,由RFC0821所定义。SMPT协议规定的命令是以明文方式进行的。

Tripwire

Tripwire是一个用来检验文件完整性的非常有用的工具,你能定义哪些文件/目录需要被检验,不过默认设置能满足大多数的要求,它运行在四种模下:数据库生成模式,数据库更新模式,文件完整性检查,互动式数据库更新。当初始化数据库生成的时候,它生成对现有文件的各种信息的数据库文件,万一以后你的系统文件或者各种配置文件被意外地改变,替换,删除,它将每天基于原始的数据库对现有文件进行比较发现哪些文件被更改,你能根据email的结果判断是否有系统入侵等意外事件。

Logcheck

Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Linux log文件,象 /var/log/messages, /var/log/secure,/var/log/maillog等等,然后生成一个可能有安全问题的问题报告自动发送email给管理员。你能设置它基于每小时,或者每天用crond来自动运行。logcheck工具的主页在http://www.psionic.com/abacus/logcheck/

nmap

nmap 是用来对一个比较大的网络进行端口扫描的工具,它能检测该服务器有哪些tcp/ip端口目前正处于打开状态。你可以运行它来确保已经禁止掉不该打开的不安全的端口号。nmap的主页在http://www.insecure.org/nmap/index.html

ttysnoop

ttysnoop是一个重定向对一个终端号的所有输入/输出到另一个终端的程序。

DDoS

DDoS(分布拒绝服务),这是一种分布,协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门。攻击者进入许多系统后都要留下安装一个客户端程序。预打包的拒绝服务的黑客程序象Trinoo/Tribal Flood,Stacheldraht,和Mstream都可以远程控制,允许黑客们有组织的进行攻击。

sudo

sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性,如果你需要每天以root身份做一些日常工作,经常执行一些固定的几个只有root身份才能执行的命令,那么用sudo对你是非常适合的。

TCP SYN攻击

是在一个TCP连接开始时,发送方机器要发送一个SYN请求,接受方机器收到这个请求要回送ACK,发送方机器收到回应也要发一个ACK确认。TCP SYN攻击就是在SYN帧中填入一个不可到达的IP地址,因此接收方计算机向一个并不存在的计算机回应ACK信号,它当然永远收不到回应的ACK信号。攻击者利用这种攻击方式,持续不断的与你的服务器建立SYN连接,但是不回送ACK信号,这使服务器有上百个,甚至上千个半开放的连接一直保持着,耗费系统的资源。

传染

病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。

病毒表现

表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。

病毒触发

计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。

病毒激活

是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用--自我复制到传染对象中, 进行各种破坏活动等。

传染媒介

病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。

传染源

病毒总是依附于某些存储价质, 例如软盘、 硬盘等构成传染源。

计算机病毒

不是我们说熟悉的生物病毒,计算机病毒是一个程序,一段可执行代码。但是,计算机病毒就像生物病毒一样,有独特的复制能力。同生物病毒一样计算机病毒可以很快地蔓延,而且常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。

数据驱动攻击

黑客或攻击者把一些具有破坏性的数据藏匿在普通数据中传送到因特网主机上,当这些数据被激活时就会发生数据驱动攻击。例如修改主机中与安全有关的文件,留下下次更容易进入该系统的后门。

报文攻击

黑客或攻击者有时利用重定向报文进行攻击。重定向报文可改变路由器,路由器根据这些报文建议主机走另一条“更好”的路径。黑客或攻击者利用重定向报文把连接转向一个黑客或攻击者控制的主机,或使所有报文通过他们控制的主机来转发。

电污染攻击

据有关资料显示,有九成计算机出现的误码、死机、芯片损坏等现象来自“电污染”。究其原因是,(1)电流在传导过程中会受到诸如电磁、无线电等因素的干扰,形成电子噪声,导致可执行文件或数据文件出错;(2)有时由于电流突然回流,造成短时间内电压急剧升高,出现了电涌现象,这种电浪涌不断冲击会导致设备元件出现故障,所以恶意攻击者可以利用“电污染”手段损坏或摧毁防火墙。

社会工程攻击

社会工程攻击有时又叫系统管理员失误攻击。黑客或攻击者同公司内部人员套近乎,获取有用信息,尤其系统管理人员失误(如WWW服务器系统的配置错误),扩大了普通用户的权限,同时也给黑客或攻击者以可趁之机。

ATM防火墙

到目前为止,ATM防火墙系统的辨论者已分裂为两大阵营。一方只是在建立呼叫时要求鉴认机制;另一方认为尽管涉及的传输速度很高,但完全有可能利用分钥体制在ATM信元级进行加密。最近组建的ATM安全小组正在制定ATM安全机制的最终标准。

后防火墙时代

后防火墙时代(The post-firewall era):防火墙系统将继续覆盖全部网络至何种程度,这是个在目前很难说清楚的事情。当计算机变得日益强大,传输带宽日益增加,人们可以见到这样一个时候,即构作的计算机系统将留有足够的计算能力来利用强大的鉴认和加密机制保护自己,到那个时候,每一个单一的系统都将有自己的防火墙。

状态监视技术

这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。

IP隧道攻击

IP隧道攻击即在端口80发送能产生穿过防墙的IP隧道的程序。如果人们利用因特网加载程序(例如经过因特网加载实音频网关),则可能引入产生IP隧道(类似于防火墙中使用的实用网关)的特洛伊木马,造成在因特网和内部网之间的无限IP防问。IP隧道攻击是黑客在实际攻击中已经实现的一种防火墙攻击技术。

基于堡垒主机web服务器的攻击

黑客可以设想把堡垒主机web服务器转变成避开防火墙内外部路由器作用或影响的系统。它也可用于发动针对下一层保护的攻击,观察或破坏防火墙网络内的网络通信量,或者在防火墙只有一个路由器的情况下完全绕过防火墙。这种防火墙技术已被广泛应用并证明有效。

基于附加信息的攻击

基于附加信息(postscript)的攻击是一种较先进的攻击方法,它使用端口80(HTTP端口)传送内部信息给攻击者。这种攻击完全可以通过防火墙实现,因为防火墙允许HTTP通过且又没有一套完整的安全办法确定HTTP报文和非HTTP报文之间的差异。目前有黑客利用这种攻击对付防火墙技术,虽然还不是很广泛。

IP分段攻击

通常采用数据分组分段的办法来处理仅支持给定最大IP分组长度的网络部分。一旦被发送,并不立即重新组装单个的分段,而是把它们路由到最终目的地,只在这时才把它们放在一块给出原始的IP分组。除了IP头之外,每个分组包含的全部东西就是一个ID号和一个分组补偿值。藉以清楚地识别各分段及其顺序。因此,被分段的分组是对基于分组过滤防火墙系统的一个威胁,它们把它们的路由判决建立在TCP端口号的基础上,因为只有第一个分段标有TCP端口号,而没有TCP号的分段是不能被滤除的。

TCP序号攻击

TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。利用因特网协议中的这种安全漏洞,可以使其访问管理依赖于分析IP发送地址的任何安全系统上当。这种攻击基于在建立TCP连续时使用的三步握手序号(three-step handshake sequence)。它假定利用前面叙述过的IP地址欺骗可以从外部把伪造的IP分组送入内部计算机系统。

IP地址欺骗

突破防火墙系统最常用的方法是因特网地址欺骗,它同时也是其他一系列攻击方法的基础。黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,则这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。

格式化字符串攻击

格式化字符串漏洞同其他许多安全漏洞一样是由于程序员的懒惰造成的。当你正在阅读本文的时候,也许有个程序员正在编写代码,他的任务是:打印输出一个字符串或者把这个串拷贝到某缓冲区内。

LKMs

LKMs就是可卸载的内核模块(Loadable Kernel Modules)。这些模块本来是Linux系统用于扩展他的功能的。使用LKMs的优点有:他们可以被动态的加载,而且不需要重新编译内核。由于这些优点,他们常常被特殊的设备(或者文件系统),例如声卡等使用。

首尾加密

对进入网络的数据加密,然后待数据从网络传送出后再进行解密.网络本身并不会知道正在传送的数据是加密数据.这一方法的优点是,网络上的每个用户(通常是每个机器的一个用户)可有不同的加密关键词,并且网络本身不需增添任何专门的加密设备.缺点是每个系统必须有一个加密设备和相应的软件(管理加密关键词).或者每个系统必须自己完成加密工作(当数据传输率是按兆位/秒的单位计算时,加密任务的计算量是很大的).

节点加密

与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常旋转在安全保险箱中.

链接加密

在网络节点间加密,在节点间传输加密,传送到节点后解密,不同节点对间用不同的密码.

PAM

(pluggable Authentication modules)是一套共享库,他为系统管理进行用户确认提供广泛的严密控制,本身不是一个工具。他提供一个前端函数库(一个API)用来确认用户的应用程序。PAM库可以用一个单独的文件/etc/pam.conf来配置,也可以通过位于/etc/pam.d/下的一组配置文件来配置。使事情对用户容易是PAM的核心目标。PAM可以配置成提供单一的或完整的登录过程,使用户输入一条口令就能访问多种服务。例如,ftp程序传统上依靠/etc/passwd机制来确认一个希望开始进行ftp会议的用户。配置了PAM的系统把ftp确认请求发送给PAM API,后者根据pam.conf或相关文件中的设置规则来回复。系统管理员可以设置PAM使一个或多个认证机制能"插入"到PAM API中。PAM的优点之处在于其灵活性,系统管理员可以精心调整整个认证方案而不用担心破坏应用程序。

su和newgrp命令

(1)su命令:可不必注销户头而将另一用户又登录进入系统,作为另一用户工作. 它将启动一新的shell并将有效和实际的UID和GID设置给另一用户.因此必须严 格将root口令保密. (2)newgrp命令:与su相似,用于修改当前所处的组名.

umask命令

umask设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入 .profile文件,就可控制该用户后续所建文件的存取许可.umask命令与chmod命 令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可.

DES鉴别系统

DES鉴别系统的安全性建立在发送者对当前时间的编码能力上,它使接收 者能解码并对照自己的时钟来进行检验.时钟标记也使用DES编码.这样的机制 要工作有两件事是必须的: 发送者和接收者双方必须对什么是当前时间进行约定;发送者和接收者必须使用同样的编码关键字. 如果网络有时间同步机制,那么客户机服务器之间的时间同步将自己执行。 如果没有这样的机制,时间标记将按服务器的时间来计算。为计算时间,客户机在开始RPC调用之前必须向服务器询问时间,然后计算自己和服务器之间的时间差,当计算时间标记时,这个差值将校正客户方面的时钟.一旦客户机和服务器时钟不同步,服务器就开始拒绝客户机的请求,并且DES鉴别系统将使它们的时间同步.

UNIX鉴别机制

SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名, 用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先, 最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络 (特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够的, 因为NFS仍然无法识别用户号ID. 另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有的站都使用UNIX系统是不现实的.因为NFS可运行于MS-DOS和VMS系统的机器上, 但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没有用户号的概念. 由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核 对器.这就如像DES鉴别系统.

RPC

远程过程调用(RPC)鉴别,RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器(credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址, 出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.

shutdown命令

用shutdown命令关系统,shutdown shell程序发送警告通知所有用户离开 系统,在“给定的期限时间“到了后,就终止进程,拆卸文件系统,进入单用户方 式或关机状态.一旦进入单用户方式,所有的gettys停止运行,用户再不能登录. 进入关机状态后可将系统关电. shutdown仅能由作为root登录的用户从系统控制台上运行.所以任何的 shutdown运行的命令仅能对root可写.

ncheck命令

用于检查文件系统,只用一个磁盘分区名作为参数,将列出i节点号及相应 的文件名.i节点相同的文件为建链文件. 注意:所列出的清单文件名与mount命令的第一个域相同的文件名前部分 将不会列出来.因为是做文件系统内部的检查,ncheck并不知道文件系统安装 点以上部分的目录. 也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件,使用 -s选项来完成此项功能.

secure程序

系统管理员应当做一个程序以定期检查系统中的各个系统文件,包括检查 设备文件和SUID,SGID程序,尤其要注意检查SUID,SGID程序,检查/etc/passwd 和/etc/group文件,寻找久未登录的户头和校验各重要文件是否被修改.

计算机病毒攻击

计算机病毒是一种把自身拷贝为更大的程序并加以改变的代码段。它只是在程序开始运行时执行,然后复制其自身,并在复制中影响其他程序。病毒可以通过防火墙,它们可以驻留在传送给网络内部主机的E-Mail消息内。

包过滤技术

包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力的。

Finger

可以用Finger来获取一个指定主 机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。

RSA

Rivest-Shamir-Adleman公开密钥算法,公开密钥算法是在1976年由当时在美国斯坦福大学的迪菲(Diffie)和赫尔曼(Hellman)两人首先发明的(论文"New Direction in Cryptography")。但目前最流行的RSA是1977年由MIT教授Ronald L.Rivest,Adi Shamir和Leonard M.Adleman共同开发的,分别取自三名数学家的名字的第一个字母来构成的。公钥加密算法也称非对称密钥算法,用两对密钥:一个公共密钥和一个专用密钥。用户要保障专用密钥的安全;公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。由于公钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大简化了密钥管理。除加密功能外,公钥系统还可以提供数字签名。

Satan

Satan是从系统外部进行检查系统是否存在安全问题的程序,它能对网络存在的脆弱性自动进行搜索、分析并提供安全报告。这种从外部分析系统的软件一般称为扫描器,由于Satan功能强大并提供了可扩展的框架,因此在Internet上十分流行。它的另一个特点就是它通过Web浏览器工作,使用者只需指明要搜索的主机以及搜索深度和相近规则的级别,Satan就能自动收集尽可能多的目标信息。

cops

是一个由系统管理员运行,检查系统内部设置的程序。它针对已知的Unix存在问题进行检查,如检查系统中是否存在没有口令的帐户,是否有非法SetUID程序,以及是否存在Internet上已经报告过的系统漏洞,是否存在有问题的软件等等。系统管理员能使用cops来检查系统的配置有无问题。

IP地址广播

这种广播能跨越路由器,但这也是造成广播风暴的一种主要形式(如广播地址202.120.127.255)。

Arp/Rarp广播

是一种为了获取目标IP地址的Mac地址用的一种机制。属于TCP/IP网络层上的广播。这种广播能跨越网桥进行传播,但不能跨越路由器。

SR

是一个多端口的IP路由器;代理服务器则是代表网络内部用户的代理者,它实际上是一个应用层上的网关。当用户使用TCP/IP应用时,给Proxy提供合法身份和授权信息,Proxy 就和被访问主机联系,并在两个通信点之间中继传递IP数据包。IP包处理的过程对用户是透明的。SR的优点是简单,成本低;缺点是很难准确地设置包过滤器,缺乏用户级的授权,路由器供应商正致力于解决这一问题,并提出了标准化的用户级授权协议Radius。Proxy的优点是有用户级的授权;缺点是对所有的应用程序须建立一个应用层信关,这会严重影响新应用程序的部署。

应用级网关

应用级网关(Application Level Gateways):是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。

防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。

NAT

网络地址转换(Network Address Translation)是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。

指针保护

编译器生成程序指针完整性检查。指针保护是堆栈保护针对这种情况的一个推广。通过在所有的代码指针之后放置附加字节来检验指针在被调用之前的合法性。如果检验失败,会发出报警信号和退出程序的执行,就如同在堆栈保护中的行为一样。

Purify

是C程序调试时查看存储器使用的工具而不是专用的安全工具。Purify使用“目标代码插入”技术来检查所有的存储器存取。通过用Purify连接工具连接,可执行代码在执行的时候数组的所有引用来保证其合法性。这样带来的性能上的损失要下降3-5倍。

堆栈保护

是一种提供程序指针完整性检查的编译器技术,通过检查函数活动纪录中的返回地址来实现。堆栈保护作为gcc的一个小的补丁,在每个函数中,加入了函数建立和销毁的代码。加入的函数建立代码实际上在堆栈中函数返回地址后面加了一些附加的字节,如图2示。而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到