【正文】 ?TCP序列號(hào)欺騙和攻擊（ TCP Sequence Number Spoofing and Attack） ,基本有三種： ? 偽造 TCP序列號(hào)，構(gòu)造一個(gè)偽裝的 TCP封包，對(duì)網(wǎng)絡(luò)上可信主機(jī)進(jìn)行攻擊； ? SYN攻擊（ SYN Attack）。 ? 飛客：這不是一個(gè)黑客組織，而是對(duì)電話(huà)黑客的統(tǒng)稱(chēng)。根據(jù)所用操作系統(tǒng)的不同可以使用的內(nèi)存檢查命令對(duì)內(nèi)存里易滅失數(shù)據(jù)獲取，力求不要對(duì)硬盤(pán)進(jìn)行任何讀寫(xiě)操作，以免更改數(shù)據(jù)原始性。這些應(yīng)用可能在分布式或集中環(huán)境中使用。 ? 密鑰的產(chǎn)生應(yīng)該由軟件或操作系統(tǒng)自動(dòng)、后臺(tái)完成，而不是由人工執(zhí)行。 0－ 3，其中 0環(huán)級(jí)別最高、權(quán)限最大。 ? 事件處理提供了可對(duì)惡意技術(shù)威脅和進(jìn)行快速有效響應(yīng)的能力。這些資源包括人，他們工作的設(shè)備，數(shù)據(jù)，裝備，支持系統(tǒng)，媒質(zhì)和他們應(yīng)用的供給。 ? 電力事件：電磁干擾（ EMI）一般是由于三項(xiàng)線(xiàn)中的火線(xiàn)、地線(xiàn)和零線(xiàn)中的不平衡產(chǎn)生的，一般可由閃電、發(fā)電機(jī)能誘使 EMI產(chǎn)生；射頻干擾（ RFI），是由于電子元器件產(chǎn)生，電線(xiàn)、熒光燈（通過(guò)屏蔽電線(xiàn)可以避免）可能會(huì)誘使 RFI產(chǎn)生。包含三個(gè)內(nèi)容： ? 自然訪(fǎng)問(wèn)控制：利用人行道、燈光、隔離柱（防止汽車(chē)炸彈襲擊）、景觀(guān)綠化等對(duì)人的行為進(jìn)行引導(dǎo)； ? 自然監(jiān)視：利用低灌木叢、高大顯眼的入口等，對(duì)罪犯心里進(jìn)行一種警告和威懾；（與自然監(jiān)控向?qū)?yīng)的是：組織方面（保安）、技術(shù)方面（閉路電視）） ? 邊界加強(qiáng)：利用籬笆、圍墻、人行道、景觀(guān)綠化、燈光等對(duì)公司的邊界進(jìn)行劃分強(qiáng)化。 確定 TOE 的保 證和評(píng)估 PP 和 ST 時(shí)，作為強(qiáng) 制描述。 確定 TOE 符合 聲明的安全功 能時(shí)，作評(píng)估準(zhǔn) 則的強(qiáng)制描述。造價(jià)較高，一般用于數(shù)據(jù)處理中心。 物理安全 (CBK10) ? 內(nèi)部支持系統(tǒng) ? 電源：電源對(duì)于現(xiàn)代企業(yè)越來(lái)越重要，對(duì)電源故障的防護(hù)一般有兩種：發(fā)電機(jī)、 UPS。它的主要職責(zé)是保護(hù)互聯(lián)網(wǎng)正常運(yùn)行，為所有使用互聯(lián)網(wǎng)的用戶(hù)提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境。這些影響可能是金融上的，在金錢(qián)方面的損失，或運(yùn)作上，沒(méi)有能力交付。 ? 操作系統(tǒng)結(jié)構(gòu)：操作系統(tǒng)是管理計(jì)算機(jī)各種資源（ CPU/RAM/CDROM/IDE硬盤(pán)和 I/O設(shè)備等）的一種管理軟件，提供人機(jī)交互界面的平臺(tái)。需要整個(gè)鏈路的數(shù)據(jù)包經(jīng)過(guò)的所有節(jié)點(diǎn)設(shè)備對(duì)加密的數(shù)據(jù)包進(jìn)行解密、加密過(guò)程（需要讀取路由信息）。 ? 風(fēng)險(xiǎn)管理是對(duì)不確定事件和風(fēng)險(xiǎn)相關(guān)損失的鑒定，度量，控制和最小化的損失。獲取物理證據(jù)是最重要的工作，保證原始數(shù)據(jù)不受任何破壞。被判刑 5年。 TCP/IP服務(wù)攻擊原理 現(xiàn)將 TCP/IP攻擊的常用原理介紹如下： ? 源地址欺騙（ Source Address Spoofing）、 IP欺騙（ IP Spoofing）和 DNS欺騙（ DNS Spoofing） . ? 其基本原理：是利用 IP地址并不是出廠(chǎng)的時(shí)候與 MAC固定在一起的，攻擊者通過(guò)自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的 IP地址，冒充某個(gè)可信節(jié)點(diǎn)的 IP地址，進(jìn)行攻擊。字典攻擊可以利用重復(fù)的登陸或者收集加密的口令并且試圖同加密后的字典中單詞匹配。 ? ping、 traceroute等命令是網(wǎng)絡(luò)管理員經(jīng)常使用的 ， 二者都使用了 TCP/IP協(xié)議棧中的 icmp協(xié)議來(lái)實(shí)現(xiàn)各種功能 。 ? 僵尸網(wǎng)絡(luò)工作原理： 首先利用網(wǎng)絡(luò)蠕蟲(chóng)病毒 “ bot”不斷感染 Inter大量的計(jì)算機(jī)。 ? 隨著立法機(jī)構(gòu)、執(zhí)法機(jī)構(gòu)及其他信息安全組織機(jī)構(gòu)的通力合作，社會(huì)各界的信息安全意識(shí)逐漸增強(qiáng)，對(duì)計(jì)算機(jī)犯罪行為的打擊力度也在持續(xù)加強(qiáng)。 ? 需要采取措施保障計(jì)算機(jī)日志、其他證據(jù)沒(méi)有被破壞。 ? 應(yīng)試者應(yīng)弄清楚通信和網(wǎng)絡(luò)安全，它涉及語(yǔ)音通信；數(shù)據(jù)通信包括本地，廣域和遠(yuǎn)程訪(fǎng)問(wèn)；Inter/Intra/Extra包括防火墻，路由和 TCP/IP；以及護(hù)偵通信安全管理和技術(shù)包括預(yù)防，檢測(cè)和糾正手段。它與 oime pad加密方式類(lèi)似，都是通過(guò)與明文長(zhǎng)度相同的 key逐個(gè) bit相互 XOR操作，生成密文。分為兩種： – 基本寄存器：存儲(chǔ)變量和臨時(shí)結(jié)果； – 特殊寄存器：存儲(chǔ)程序計(jì)數(shù)器、堆棧指針、程序狀態(tài)字等信息； ? 控制單元：是用來(lái)協(xié)調(diào)各個(gè)進(jìn)程、程序?qū)?CPU、內(nèi)存資源的調(diào)用。 ? 業(yè)務(wù)連續(xù)性計(jì)劃可消除商務(wù)活動(dòng)的中斷，可用于保護(hù)關(guān)鍵的商務(wù)活動(dòng)不受主要失敗和災(zāi)難的而影響。 ? 計(jì)算機(jī)道德協(xié)會(huì)：規(guī)定了 10條應(yīng)該和不應(yīng)該的行為準(zhǔn)則。 ? 數(shù)據(jù)中心的門(mén)應(yīng)該是超外開(kāi)啟，避免撞擊內(nèi)部的設(shè)備。 ? 手工滅火器被放置的位置距離設(shè)備最遠(yuǎn)不超過(guò) 50英尺，并且至少一季度檢查一次。 第 2 部 分 安全功能要求，建立 一系列功能組件作為 表達(dá) TOE 功能要求的 標(biāo)準(zhǔn)方法。 ? 包括控制目標(biāo)、審計(jì)指導(dǎo)方針、績(jī)效衡量標(biāo)準(zhǔn)、重要成功因素和成熟模式。國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果； ? 1993年開(kāi)始， 1996年出 V , 1998年出 V ， 1999年 6月正式成為國(guó)際標(biāo)準(zhǔn)， 1999年12月 ISO出版發(fā)行 ISO/IEC 15408； ? 主要思想和框架取自 TCSEC（著名的 “ 橘皮書(shū) ” ，分為 7個(gè)安全等級(jí)： D、 C C BB B A ）、 ITSEC和 FC（美國(guó)聯(lián)邦準(zhǔn)則）； ? 充分突出 “ 保護(hù)輪廓 ” ，將評(píng)估過(guò)程分 “ 功能 ” 和 “ 保證 ” 兩部分； ? 是目前最全面的評(píng)價(jià)準(zhǔn)則 ? CC內(nèi)容介紹 ? CC定義了一套能滿(mǎn)足各種需求的 IT安全準(zhǔn)則，共分為三部分： ? 第一部分 —— 簡(jiǎn)介和一般模型 ? 第二部分 —— 安全功能要求 ? 第三部分 —— 安全保證要求 CC組成部分 內(nèi)容 用戶(hù) 開(kāi)發(fā)者 評(píng)估者 第 1 部 分 簡(jiǎn)介和一般模型，定 義了 IT 安全評(píng)估的 一般概念和原理，提 出評(píng)估的一般模型。保護(hù)器可以將多余的電壓引入地下，從而保護(hù)電器。 ? 計(jì)算機(jī)和設(shè)備間，主要討論關(guān)于數(shù)據(jù)中心的防護(hù)： ? 數(shù)據(jù)中心一般不在最高、最低層，便于在緊急時(shí)刻進(jìn)入數(shù)據(jù)中心、避免洪水侵襲。這就可能造成計(jì)算機(jī)犯罪的舉證、量刑的難度的增加。 ? CPU首先判斷進(jìn)程的保護(hù)環(huán)級(jí)別，然后再讓操作系統(tǒng)將其放置相應(yīng)級(jí)別環(huán)內(nèi)執(zhí)行 。 安全體系模型 (CBK6) ? 安全體系模型（ CBK6） ? 概述： ? 安全構(gòu)架和模型這一領(lǐng)域包括安全 (Secure)概念，原理，結(jié)構(gòu)和用來(lái)設(shè)計(jì)，應(yīng)用，監(jiān)控，保護(hù)和操作系統(tǒng)，設(shè)備，網(wǎng)絡(luò)，應(yīng)用和用于加強(qiáng)各種級(jí)別的機(jī)密性，完整性和可用性的控制的標(biāo)準(zhǔn)。 ? 主要知識(shí)域： ? 安全加密兩種算法 ? 對(duì)稱(chēng)算法 DES、 3DES、 AES、 Browfish 、 RC RC RC6等 ? 非對(duì)稱(chēng)算法 ： diffiehellman 、 DSA、 RSA、 ECC、 LUC等 ? 安全加密其他用途 ? 消息認(rèn)證 ? 數(shù)字簽名 密碼學(xué) (CBK5) ? 分組密碼和流密碼 ? 流密碼比分組密碼消耗更多的處理能力，適合硬件執(zhí)行；而分組加密適合軟件執(zhí)行。委員會(huì)鑒定該知識(shí)體的邊界和主題領(lǐng)域。 計(jì)算機(jī)犯罪取證、證據(jù)保存 ? 計(jì)算機(jī)犯罪取證、證據(jù)保存： ? 重啟系統(tǒng)、瀏覽文件等都可能破壞證據(jù)，有時(shí)需要將內(nèi)存內(nèi)容保存到文件中，以便收集更精確的證據(jù)（需要特殊工具支持）。 ? Teardrop攻擊 (Teardrop Attack)和 Land攻擊 (Land Attack)。電子郵件詐騙者會(huì)向沒(méi)有防范的用戶(hù)發(fā)送一些貌似來(lái)自銀行或零售商的電子郵件，聲稱(chēng)收件者的賬戶(hù)需要更新或有新產(chǎn)品待售，目的在于釣?。?fishing）客戶(hù)的賬戶(hù)資料或信用卡號(hào)碼。 信息安全理論基礎(chǔ)知識(shí)培訓(xùn) 目錄 ?計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?計(jì)算機(jī)犯罪學(xué)基礎(chǔ)理論知識(shí) ?CISSP基礎(chǔ)理論知識(shí) ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識(shí) ?Cobit基礎(chǔ)知識(shí) 計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?信息安全加密技術(shù) ?常見(jiàn)網(wǎng)絡(luò)攻擊與防范技術(shù) OSI 七層參考模型 OSI 七層參考模型 Application Presentation Session Transport Network Data Link Physical Data Link Network Transport Session Presentation Application Physical 比特流 幀（ Frame） 包（ Packet） 分段（ Segment） 會(huì)話(huà)流 代碼流 數(shù)據(jù) OSI模型與 TCP/IP協(xié)議族對(duì)應(yīng) OSI模型與 TCP/IP協(xié)議族對(duì)應(yīng) 傳輸層 數(shù)據(jù)連路層 網(wǎng)絡(luò)層 物理層 應(yīng)用層 會(huì)話(huà)層 表示層 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 物理層 HTTP、 FTP、 SMTP、 SNMP、 POP、 TELNET、 RIP、 NNTP等 TCP和 UDP IP、 ICMP、 IGMP、 ARP、 RARP等 Ether、 ATM、 FDDI、 、 ISDN等 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) ? IANA國(guó)際組織使用特定的端口來(lái)標(biāo)識(shí)在 TCP上運(yùn)行的標(biāo)準(zhǔn)服務(wù) ， 包括 FTP、HTTP、 TELNET、 SMTP等 ， 這些端口號(hào)碼范圍為 01023。 網(wǎng)絡(luò)釣魚(yú) ? 網(wǎng)絡(luò)釣魚(yú)介紹： 也叫 Phishing，本質(zhì)上就是一種電子郵件欺詐。但是其原理基本一致，讓 TCP協(xié)議無(wú)法完成三次握手協(xié)議 。隨著數(shù)字電話(huà)系統(tǒng)的應(yīng)用，這種飛客的攻擊行為沒(méi)有用武之地啦。委員會(huì)成員從相關(guān)領(lǐng)域中最有經(jīng)驗(yàn)的和知名的領(lǐng)軍人物中選取。 ? 應(yīng)試者應(yīng)該了解密碼學(xué)的基本概念；在應(yīng)用和使用方面的公鑰和私鑰算法軟件；算法構(gòu)造，密鑰分發(fā)和管理，以及攻擊方法；數(shù)字簽名的應(yīng)用，構(gòu)造和使用，它提供了電子交易的認(rèn)證和涉及的當(dāng)事人的抗抵賴(lài)性。（應(yīng)用軟件應(yīng)該有恢復(fù)、備份密鑰的功能） ? 密鑰恢復(fù)時(shí)需要遵守的流程，并且需要多個(gè)人員共同完成密鑰恢復(fù)。級(jí)別高的主體可以訪(fǎng)問(wèn)同級(jí)、低級(jí)的客體；相反則不能訪(fǎng)問(wèn)。 ? 主要知識(shí)域 ? 法律 (Laws) ? 由于計(jì)算機(jī)是一個(gè)迅速發(fā)展的高科技行業(yè)，需要法律、法規(guī)的制訂落后于技術(shù)的發(fā)展。 ? 主要知識(shí)域 ? 管理控制 ? 規(guī)章、制度及流程 ? 授權(quán)批準(zhǔn) ? 技術(shù)控制 ? Smart/Dumb Cards ? 審計(jì)跟蹤 /訪(fǎng)問(wèn)日志 ? 入侵檢測(cè) ? 生物測(cè)定訪(fǎng)問(wèn)控制 物理安全 (CBK10) ? 物理控制 ? 限制區(qū) /工作區(qū) (Restricted Areas/Work Areas) ? 陪同需求 /訪(fǎng)問(wèn)者控制 (Escort Requirements/Visitor Control) ? Fences,Gates,Turnstiles,Mantraps ? 安全門(mén)衛(wèi) /狗 (Security Guard/Dogs) ? 證章 (Badging) ? 鑰匙和組合鎖 ? 照明 ? 站點(diǎn)選擇，設(shè)備設(shè)計(jì)和設(shè)置 (Site Selection, Facility Design, and Configuration) ? 活動(dòng)探測(cè)器，傳感器和警報(bào) ? CCTV（有線(xiàn)電視） 物理安全 (CBK10) ? 機(jī)房安全防護(hù)措施 ? 內(nèi)部隔離：隔墻、天花板等是建筑物內(nèi)的有效隔離措施，其中天花板是最大的安全