第1章

網(wǎng)絡攻防概述1第一章網(wǎng)絡攻防概述1.1黑客1.2網(wǎng)絡安全概述1.3網(wǎng)絡安全面臨的威脅1.4網(wǎng)絡攻擊的一般步驟1.5網(wǎng)絡防范措施1.6網(wǎng)絡攻防大賽概述1.1黑客提到網(wǎng)絡攻擊，大家可能首先就會想到“黑客”。什么是黑客？什么是黑客精神？今天，人們一談到“黑客”（Hacker）往往都帶著貶斥的意思，但是“黑客”的本來含義卻并非如此。一般認為，黑客起源于20世紀50年代美國著名高校的實驗室中，他們智力非凡、技術高超、精力充沛，熱衷于解決一個個棘手的計算機網(wǎng)絡難題。60、70年代，“黑客”一詞甚至于極富褒義，從事黑客活動意味著以計算機網(wǎng)絡的最大潛力進行智力上的自由探索，所謂的“黑客”文化也隨之產(chǎn)生了。美國學者StevenLevy在其《黑客電腦史》(Hackers:HerosoftheComputerRevolution)一書中提出了“黑客道德準則”，其中包括通往電腦的路不只一條，進入（訪問）計算機應該是不受限制的和絕對的，總是服從于手指的命令；一切信息都應該是免費的；懷疑權威，促進分權；應該從黑客的高超技術水平角度來評價黑客，而非用什么正式組織的或者他們的不恰當?shù)臉藴蕘砼袛啵挥嬎銠C能夠使生活變得更美好。黑客精神包含了：探索、創(chuàng)新、求實、懷疑和自由精神等黑客道德準則并不包括為了利益而進行的敲詐、勒索或惡意的進行破壞等行為。1.1黑客然而并非所有的人都能恪守“黑客”文化的信條，專注于技術的探索。惡意的計算機網(wǎng)絡破壞者、信息系統(tǒng)的竊密者隨后層出不窮，人們把這部分主觀上有惡意企圖的人稱為“駭客”（Cracker），試圖區(qū)別于“黑客”。同時也誕生了諸多的黑客分類方法，如“白帽、黑帽、灰帽”等。白帽，也稱“道德黑客”，指因為非惡意原因侵犯網(wǎng)絡安全的黑客。比如受雇于公司來檢測內部網(wǎng)絡系統(tǒng)的安全性，也包括在合同協(xié)議允許下對公司網(wǎng)絡進行滲透測試和漏洞評估的人。新加坡國防部2017年底曾推出漏洞懸賞計劃,雇用白帽黑客“攻擊”新加坡國防部八個連接互聯(lián)網(wǎng)的重要系統(tǒng)。200多名海內外高手“入侵”新加坡國防部屬下的網(wǎng)絡系統(tǒng),三個星期里抓到35個漏洞。2021年12月，北京冬奧組委招募500名白帽黑客作為“冬奧網(wǎng)絡安全衛(wèi)士”。1.1黑客灰帽，指行為介于白帽和黑帽之間的技術嫻熟的黑客。不為惡意或個人利益攻擊計算機或網(wǎng)絡，但為了達到更高的安全性，可能會在發(fā)現(xiàn)漏洞過程中打破法律界限。在發(fā)現(xiàn)安全漏洞后，灰帽通常同時“告知黑客社區(qū)以及供應商，然后看結果”或告知供應商后收取一定的修復費用。

喬納森·詹姆斯阿德里安·拉莫1.1黑客黑帽，就是人們常說的“黑客”或“駭客”了。指那些因為惡意（破壞、報復等）或個人利益破壞計算機安全，侵入計算機網(wǎng)絡，或實施計算機犯罪的電腦黑客。凱文·米特尼克(KevinMitnick)被稱為世界上"頭號電腦黑客“巡游五角大樓，登錄克里姆林宮，進出全球所有計算機系統(tǒng)，摧垮全球金融秩序和重建新的世界格局，誰也阻擋不了我們的進攻，我們才是世界的主宰。--凱文·米特尼克

阿德里安·拉莫（左）和凱文·米特尼克（中）、凱文·鮑爾森（右）1.1黑客灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機為人民服務漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設計新系統(tǒng)打破常規(guī)精研技術勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由1.1黑客不論主觀意圖如何，“黑客”的攻擊行為在客觀上會造成計算機網(wǎng)絡極大的破壞，同時也是對隱私權的極大侵犯，所以在今天人們把那些侵入計算機網(wǎng)絡的不速之客都稱為“黑客”。1.1黑客從系統(tǒng)安全的角度可以把網(wǎng)絡安全的研究內容分為兩大體系：網(wǎng)絡攻擊和網(wǎng)絡防御。1.1黑客網(wǎng)絡安全定義網(wǎng)絡安全指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)、可靠地運行，服務不中斷。BruceSchneier布魯斯·施奈爾“如果把一封信鎖在保險柜中，把保險柜藏起來，然后告訴你去看這封信，這并不是安全，而是隱藏；相反，如果把一封信鎖在保險柜中，然后把保險柜及其設計規(guī)范和許多同樣的保險柜給你，以便你和世界上最好的開保險柜的專家能夠研究鎖的裝置，而你還是無法打開保險柜去讀這封信，這才是安全…”--------安全的概念1.2網(wǎng)絡安全概述網(wǎng)絡安全定義網(wǎng)絡安全簡單的說是在網(wǎng)絡環(huán)境下能夠識別和消除不安全因素的能力。對用戶（個人、企業(yè)等）個人隱私和商業(yè)數(shù)據(jù)安全對網(wǎng)絡運行和管理者本地網(wǎng)絡環(huán)境安全對安全保密部門防止泄密，避免損失，維護社會穩(wěn)定和國家安全網(wǎng)絡安全的基本要素保密性完整性抗抵賴性…可用性指信息不泄露給非授權用戶、實體、過程或供其利用的特性。指數(shù)據(jù)未經(jīng)授權不能進行改變的特性。指可被授權實體訪問并按需求使用的特性。網(wǎng)絡安全的基本要素包括保密性、完整性和可用性，此外還包括其他一些要素如可控性、不可否認性等完整性可用性可控性不可抵賴性......保密性2015.6，高校設立網(wǎng)絡空間安全一級學科，加快網(wǎng)絡空間安全高層次人才培養(yǎng);2015.7.1，《國家安全法》正式頒布，明確提出國家建設網(wǎng)絡與信息安全保障體系;2015.11，《刑法修正案(九)》表決通過，加大打擊網(wǎng)絡犯罪力度;2015.12.27，《反恐怖主義法》正式通過，規(guī)定了電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)服務提供者在反恐中應承擔的義務;2015.7.6，《網(wǎng)絡安全法(草案)》向社會各界公開征求意見;2016.11.7，十二屆全國人大常委會第二十四次會議經(jīng)表決，通過了《中華人民共和國網(wǎng)絡安全法》；2017年6月1日起施行;

我國互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境2019年，我國網(wǎng)絡安全頂層設計不斷完善，《中華人民共和國密碼法》、《信息安全技術網(wǎng)絡安全等級保護基本要求》（網(wǎng)絡安全等級保護2.0）等多項網(wǎng)絡安全相關法律法規(guī)、配套制度及有關標準陸續(xù)向社會發(fā)布。政府部門或行業(yè)組織圍繞網(wǎng)絡安全舉辦的會議、賽事、宣傳活動等豐富多樣，反映了國家、社會和企業(yè)對信息安全的重視。XCTF聯(lián)賽全稱XCTF全國網(wǎng)絡安全技術對抗聯(lián)賽由360舉辦的世界黑客大師賽(WCTF)信息安全鐵人三項賽分為“個人計算環(huán)境安全對抗”、“企業(yè)計算環(huán)境安全對抗”和“信息安全數(shù)據(jù)分析對抗”騰訊信息安全爭霸賽(TCTF)我國互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境《網(wǎng)絡安全法》是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，是我國網(wǎng)絡空間法治建設的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡風險的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運行的重要保障。中華人民共和國網(wǎng)絡安全法為反映我國網(wǎng)絡安全的整體態(tài)勢，國家計算機網(wǎng)絡應急技術處理協(xié)調中心，簡稱國家互聯(lián)網(wǎng)應急中心（NationalInternetEmergencyCenter，CNCERT或CNCERT/CC），在其官方網(wǎng)站（）的態(tài)勢報告中以安全報告形式發(fā)布“網(wǎng)絡安全信息與動態(tài)周報”和“國家信息安全漏洞共享平臺（CNVD）周報”，以反映每周網(wǎng)絡安全基本態(tài)勢和信息安全漏洞威脅整體情況，對我國黨政機關、行業(yè)企業(yè)及社會了解我國網(wǎng)絡安全形勢，提高網(wǎng)絡安全意識，做好網(wǎng)絡安全工作提供了有力參考。我國互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境由CNCERT聯(lián)合國內重要信息系統(tǒng)單位、基礎電信運營商、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase，CNVD），其主要目標即建立軟件安全漏洞統(tǒng)一收集驗證、預警發(fā)布及應急處置體系，切實提升我國在安全漏洞方面的整體研究水平和及時預防能力，進而提高我國信息系統(tǒng)及國產(chǎn)軟件的安全性，帶動國內相關安全產(chǎn)品的發(fā)展。/我國互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境1.3網(wǎng)絡安全面臨的威脅網(wǎng)絡安全威脅是指任何可能對網(wǎng)絡造成潛在破壞的人、對象或事件。最大威脅網(wǎng)絡攻擊的類型和方式網(wǎng)絡攻擊是指任何非授權進入或試圖進入他人計算機網(wǎng)絡的行為。根據(jù)攻擊行為發(fā)起方式的不同，可將網(wǎng)絡攻擊分為主動攻擊和被動攻擊兩大類型。主動攻擊是一種具有破壞性的攻擊行為，攻擊者主動對需要訪問的信息進行非授權的訪問行為。針對信息安全的可用性、完整性和真實性，主動攻擊按照攻擊方法不同，可分為中斷、篡改和偽造。中斷是指截獲由源站發(fā)送的數(shù)據(jù)，將有效數(shù)據(jù)中斷，使目的站無法接收到源站發(fā)送的數(shù)據(jù)。主要通過破壞計算機硬件、網(wǎng)絡和文件管理系統(tǒng)來實現(xiàn)。問題：中斷是針對信息安全的哪個要素進行的攻擊方法？網(wǎng)絡攻擊的類型和方式篡改是指將源站發(fā)送到目的站的數(shù)據(jù)進行篡改（修改、插入、刪除等），從而影響目的站接收的信息。偽造是指在源站未發(fā)送數(shù)據(jù)的情況下，偽造數(shù)據(jù)發(fā)送到目的站，從而影響目的站。偽造是針對信息安全的真實性。偽造主要用于對身份認證和資源授權的攻擊，攻擊者在獲得合法用戶的賬戶信息后，冒充成合法用戶非法訪問授權資源或進行非法操作。例如，重放攻擊就屬于偽造。問題：篡改是針對信息安全的哪個要素進行的攻擊方法？網(wǎng)絡攻擊的類型和方式被動攻擊是一種在不影響正常數(shù)據(jù)通信的情況下，獲取由源站發(fā)送到目的站的有效數(shù)據(jù)，通過監(jiān)聽到的有效數(shù)據(jù)，從而對網(wǎng)絡造成間接的影響。被動攻擊主要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動難以覺察，檢測困難。被動攻擊主要包括嗅探和流量分析兩種方式。問題：被動攻擊是針對信息安全的哪個要素進行的攻擊？嗅探(或竊聽、監(jiān)聽)具有被動攻擊的特性，攻擊者的目的是獲取正在傳輸?shù)男畔?。嗅探的實現(xiàn)需要打破原有的工作機制，還可以用無線截獲方式得到信息。流量分析攻擊可以針對分層結構的每一層分析，獲取相關信息。網(wǎng)絡攻擊的主要手段網(wǎng)絡系統(tǒng)日益復雜，安全隱患（脆弱性）急劇增加，為黑客創(chuàng)造了客觀條件。網(wǎng)絡黑客的主要攻擊手法有：獲取口令放置木馬Web欺騙技術電子郵件攻擊網(wǎng)絡監(jiān)聽利用黑客軟件攻擊安全漏洞攻擊緩沖區(qū)溢出攻擊高級持續(xù)性威脅APT社會工程學網(wǎng)絡系統(tǒng)的復雜性增加脆弱性程度24

常見的黑客攻擊及入侵技術的發(fā)展19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡管理DDOS攻擊2005高251.4網(wǎng)絡攻擊的一般步驟網(wǎng)絡攻擊過程一般可以分為本地攻擊和遠程攻擊。本地攻擊：內部人員利用自己的工作機會和權限來獲取不應該獲取的權限而進行的攻擊，攻擊者可以直接物理接觸到攻擊目標。方法：利用盤載操作系統(tǒng)破解或繞過系統(tǒng)登錄口令。如內部人員利用自己的工作機會和權限來獲得不應該獲取的權限進行攻擊，即來源于內部網(wǎng)絡的攻擊。在這里主要介紹遠程攻擊的一般過程

26遠程攻擊的一般過程：遠程攻擊的準備階段遠程攻擊的實施階段遠程攻擊的善后階段確定攻擊目的、準備攻擊工具和收集目標信息。實施具體的攻擊行動，實現(xiàn)對目標的破壞或入侵。消除攻擊的痕跡、植入后門，并退出。1.4網(wǎng)絡攻擊的一般步驟27遠程攻擊的準備階段網(wǎng)絡攻擊的準備階段是為攻擊實施階段做準備，該階段的主要任務是收集目標信息，具體工作如下：確定攻擊目的信息收集28攻擊準備1—確定攻擊目的攻擊者在進行一次完整的攻擊之前，首先要確定攻擊要達到什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。入侵型攻擊要獲得一定的權限才能達到控制攻擊目標的目的。破壞型攻擊是指只破壞攻擊目標，使之不能正常工作，而不能隨意控制目標上的系統(tǒng)運行。29攻擊準備2—信息收集黑客一般會利用下列的公開協(xié)議或工具收集相關信息：Ping實用程序可以探測目標主機是否連接在Internet中TraceRoute、Tracert、X-firewalk程序獲得到達目標主機要經(jīng)過的網(wǎng)絡節(jié)點數(shù)和路由器數(shù)Whois協(xié)議（中國互聯(lián)網(wǎng)絡信息中心/）提供所有有關的DNS域和相關的管理參數(shù)Finger協(xié)議獲取一個指定主機上的所有用戶的詳細信息SNMP協(xié)議查閱路由器的路由表，了解網(wǎng)絡拓撲結構等收集的信息主要包括目標的操作系統(tǒng)類型及版本、相關軟件的類型、版本及相關的社會信息。30攻擊準備2-1—找到初始信息攻擊者危害一臺機器需要有初始信息，比如一個IP地址或一個域名。搜集初始信息的一些方法：利用開放來源信息，如公司新聞信息、姓名地址簿等；Whois，用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息；簡單方法是ping域名。31在網(wǎng)絡中主機一般以IP地址進行標識。例如選定50這臺主機為攻擊目標，使用ping命令可以探測目標主機是否連接在Internet中。在Windows下使用ping命令測試：ping50測試結果如下頁圖所示。攻擊準備2-1—找到初始信息2025/10/17網(wǎng)絡入侵與防范講義322025/10/17網(wǎng)絡入侵與防范講義32說明此主機處于活動狀態(tài)，可能是一個可以被攻擊成功的目標。33攻擊準備2-2－找到網(wǎng)絡地址范圍當攻擊者獲取了一些機器的IP地址，下一步需要找出網(wǎng)絡的地址范圍或者子網(wǎng)掩碼。有兩種方法：IANAWHOISService逐級查詢/whois///https://who.is/https://www.whois.com/whois/https://whois./使用traceroute解析結果34攻擊準備2-3－找到活動的機器在知道了IP地址范圍后，攻擊者需要確定哪些機器是活動的，哪些不是。最簡單的方法就是使用ping命令，但是ping有一個缺點，即一次只能ping一臺機器。如果要同時ping多臺機器，看哪些有反應，這種技術被稱為ping掃射（pingsweeping）。網(wǎng)絡掃描器一般就具備這樣的功能，如Nmap。攻擊準備2-4－找到開放端口和入口點每個服務通常都對應一個或多個端口，可以根據(jù)目標系統(tǒng)所開放的端口號來觀察其所開放的服務。端口掃描戰(zhàn)爭撥號器端口掃描儀在一系列端口上運行以找出哪些是開放的。利用端口掃描儀能一次掃描一個地址范圍，并能設定程序掃描的端口范圍，常用端口掃描程序如ScanPort、Nmap進入網(wǎng)絡的另一個普通入口點是調制解調器，用來找到網(wǎng)絡上的Modem的程序被稱為戰(zhàn)爭撥號器（WarDialer）戰(zhàn)爭撥號器可以自動的撥叫一定范圍內的電話號碼，并且將那些成功連接到調制解調器的號碼記錄并存入一個數(shù)據(jù)庫中。36攻擊準備2-5－操作系統(tǒng)分析確定目標主機采用何種操作系統(tǒng)例如在Windows下安裝Nmap掃描工具，此工具含OSDetection的功能（使用-O選項）。打開cmd.exe，輸入命令：nmap–O50探測結果如下頁圖所示說明操作系統(tǒng)是Windows2000SP1、SP2或者SP32025/10/17網(wǎng)絡入侵與防范講義372025/10/17網(wǎng)絡入侵與防范講義37Nmap7.0運行示例Nmap7.0運行示例Nmap7.0運行示例41攻擊準備2-6－漏洞分析分析確認目標主機中可以被利用的漏洞，黑客的攻擊往往就是利用漏洞實現(xiàn)的。手動分析過程復雜、技術含量高、效率較低借助軟件自動分析需要的人為干預過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。42攻擊準備2-7－畫出網(wǎng)絡圖攻擊者收集到了目標的各種信息，可以畫出網(wǎng)絡圖以便找出最好的入侵方法?？梢允褂胻raceroute或者ping來找到這個信息，也可以使用Nmap，它可以自動地畫出網(wǎng)絡圖。Traceroute用來確定從源到目的的路徑，結合這個信息，攻擊者可確定網(wǎng)絡的布局圖和每一個部件的位置。VisualPing是一個可真實展示包經(jīng)過網(wǎng)絡路線的程序，它不僅展示了經(jīng)過的系統(tǒng)，也展示了系統(tǒng)的地理位置。Nmap也提供圖形界面窗口Zenmap，能夠顯示網(wǎng)絡圖。43遠程攻擊的實施階段作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權限。攻擊實施階段的一般步驟如下：隱藏自己的位置利用收集到的信息獲取帳號和密碼，登錄主機；或利用某些工具或系統(tǒng)漏洞登錄主機也是攻擊者常用方法。利用漏洞或者其他方法獲得控制權并竊取網(wǎng)絡資源和特權44遠程攻擊的善后階段攻擊者進入目標主機系統(tǒng)獲得控制權后，為長久享有攻擊成果，不被管理員發(fā)現(xiàn)，就會做兩件事：清除記錄和留下后門。攻擊者會更改某些系統(tǒng)設置、在系統(tǒng)中置入特洛伊木馬或其他一些遠程操控程序，以便日后能不被覺察地再次進入系統(tǒng)。攻擊者還會刪除系統(tǒng)的日志文件，以便隱藏入侵過的蹤跡。刪除日志文件雖然避免了系統(tǒng)管理員追蹤到自己，但同時也告訴了管理員系統(tǒng)已經(jīng)被入侵。最好的方法是只對日志文件中有關攻擊的那一部分做修改，可以借助日志修改工具實現(xiàn)。45入侵系統(tǒng)的常用步驟

采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的46較高明的入侵步驟

端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途1.5網(wǎng)絡防范措施網(wǎng)絡防范措施主要包括網(wǎng)絡安全防護技術和系統(tǒng)管理網(wǎng)絡防范網(wǎng)絡安全防護技術系統(tǒng)管理訪問控制技術身份認證技術加密技術日志審計技術入侵檢測技術防火墻技術取證技術蜜罐技術虛擬專用網(wǎng)技術管理制度的建立安全意識的培養(yǎng)操作習慣的規(guī)范人員的合理安排1

加密技術加密技術是用來保證信息安全的基本技術之一，其本質就是利用技術手段把重要的數(shù)據(jù)變?yōu)槊芪膫鬏?，到達目的地后再用相同或不同的手段解密。加密技術包括兩個元素：算法和密鑰。加密技術的應用是多方面的，主要應用在數(shù)據(jù)保密、身份驗證、保持數(shù)據(jù)完整性和數(shù)字簽名（防抵賴）等領域。對數(shù)據(jù)加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。對稱加密以數(shù)據(jù)加密標準（DES）算法為典型代表，非對稱加密通常以RSA算法為代表。2身份認證技術如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，即保證操作者的物理身份與數(shù)字身份相對應，身份認證技術就是為了解決這個問題。身份認證是網(wǎng)絡防護的第一道關口。基于生物特征的身份認證：直接根據(jù)獨一無二的身體特征來證明你的身份（你是誰），比如指紋、面貌等。對用戶的身份認證基本方法分為三種：基于秘密信息的身份認證：根據(jù)你所知道的信息來證明你的身份（你知道什么），比如用戶密碼?；谥悄芸ǖ纳矸菡J證：根據(jù)你所擁有的東西來證明你的身份（你有什么），比如USBKey。為了達到更高的身份認證安全性，在某些場景會從上面3種挑選2種混合使用，即所謂的雙因素認證，如動態(tài)口令牌+靜態(tài)密碼、USBKey+靜態(tài)密碼、二層靜態(tài)密碼等。3訪問控制技術訪問控制技術是指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。該技術通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。主要的訪問控制類型有3種模式：自主訪問控制強制訪問控制基于角色訪問控制訪問控制包括三個要素：主體、客體和控制策略。訪問控制的主要功能包括：保證合法用戶訪問授權保護的網(wǎng)絡資源，防止非法的主體進入受保護的網(wǎng)絡資源，防止合法用戶對受保護的網(wǎng)絡資源進行非授權的訪問。4防火墻技術防火墻是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)、專用網(wǎng)與公共網(wǎng)的邊界上構造的保護屏障。它是一個系統(tǒng)，位于被保護網(wǎng)絡和其它網(wǎng)絡之間，進行訪問控制，阻止非法的信息訪問和傳遞。應用級網(wǎng)關防火墻：能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止與不受信任的主機直接建立聯(lián)系。防火墻按照不同的使用場景主要可以分成以下四類：網(wǎng)絡級防火墻（包過濾型防火墻）：一般基于源和目的地址、應用、協(xié)議以及IP包的端口來作出通過與否的判斷。電路級網(wǎng)關防火墻：監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，決定該會話是否合法。規(guī)則檢查防火墻：該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。5入侵檢測技術對入侵行為作出記錄和預測的技術稱之為入侵檢測技術，入侵是對信息系統(tǒng)的非授權訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進行的操作。入侵檢測技術作為一種主動防御技術，是信息安全技術的重要組成部分。異常檢測模型：檢測用戶或系統(tǒng)的行為與可接受行為之間的偏差。漏報率低，誤報率高。入侵檢測系統(tǒng)按技術特點可以劃分異常檢測模型和誤用檢測模型兩類。誤用檢測模型：檢測用戶或系統(tǒng)的行為與已知的不可接受行為之間的匹配程度。誤報率低、漏報率高。根據(jù)數(shù)據(jù)分析對象的不同，入侵檢測系統(tǒng)可以分三類：基于主機、網(wǎng)絡和混合型入侵檢測系統(tǒng)。6日志審計技術日志審計技術是通過日志審計系統(tǒng)對日志文件進行審計和檢查，對重要的信息記錄的真實性和完整性進行考量。對于一個日志審計系統(tǒng)，從功能組成上至少應該包括信息采集、信息分析、信息存儲和信息展示四個基本功能。日志分析功能：對于采集上來的信息進行分析、審計，是日志審計系統(tǒng)的核心。日志采集功能：系統(tǒng)能夠通過某種技術手段獲取需要審計的日志信息。日志存儲功能：對于采集的原始信息，以及審計后的信息都要進行保存?zhèn)洳椋⒖梢宰鳛槿∽C的依據(jù)。信息展示功能：包括審計結果展示界面、統(tǒng)計分析報表功能、告警響應功能、設備聯(lián)動功能等。1.5.2

系統(tǒng)管理網(wǎng)絡安全是“三分技術，七分管理”，單靠技術或單靠管理都是無法實現(xiàn)的。加強系統(tǒng)管理，可從以下方面著手。完善安全管理制度安全管理包括：網(wǎng)絡安全事故在很大程度上都是由于管理的失誤造成的，所以保持憂患意識和高度警覺、建立完善的計算機網(wǎng)絡安全的各項制度和管理措施，可以極大地提高網(wǎng)絡的安全性。人員的組織管理；安全設備的管理；安全設備的訪問控制措施；機房管理制度；軟件的管理及操作的管理，建立完善的安全培訓制度。做到不讓外人隨意接觸重要部門的計算機系統(tǒng)；不要使用盜版的計算機軟件；不要隨意訪問非官方的軟件、下載網(wǎng)站；不要隨意打開來歷不明的電子郵件。1.5.2

系統(tǒng)管理網(wǎng)絡安全是“三分技術，七分管理”，單靠技術或單靠管理都是無法實現(xiàn)的。加強系統(tǒng)管理，可從以下方面著手。建立良好的安全意識不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人傳送的程序良好的網(wǎng)絡安全意識是保證網(wǎng)絡安全的重要前提，提高安全意識表現(xiàn)在：盡量避免從Internet下載不知名的軟件、游戲程序密碼設置盡可能使用字母數(shù)字混排及時下載安裝系統(tǒng)補丁程序不隨便運行黑客程序，這類程序運行時會竊取個人信息使用防毒、防黑等防火墻軟件1.5.2

系統(tǒng)管理網(wǎng)絡安全是“三分技術，七分管理”，單靠技術或單靠管理都是無法實現(xiàn)的。加強系統(tǒng)管理，可從以下方面著手。規(guī)范操作習慣對于重要的個人資料做好嚴密的保護，并養(yǎng)成及時備份資料的習慣。將防毒、防黑當成日常例行工作，定時更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。合理配置人員網(wǎng)絡安全的實現(xiàn)，必須得到各個層次人員的支持涉及的人員類型包括站點管理員、信息技術人員、公司的大型用戶管理員、安全事件相應小組、相關責任部門等。1.6網(wǎng)絡攻防大賽概述CTF（CaptureTheFlag）奪旗賽CTF是網(wǎng)絡安全技術人員間進行技術競技的一種比賽形式。CTF為團隊賽，通常以三人為限，要想在比賽中取得勝利，就要求團隊中每個人在各種類別的