>
系统安全名词列表(2)

系统安全名词列表(2)

DOS攻击

DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多 么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效 率的网站,拒绝服务攻击会使所有的资源变得非常渺小。

一次性口令

为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:One Time Password)的密码体制,以保护关键的计算资源。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。例如:登录密码=MD5(用户名+密码 +时间),系统接收到登录口令后做一个验算即可验证用户的合法性。

黑客程序

是一种专门用于进行黑客攻击的应用程序,它们有的比较简单,有的功能较强。功能较强的黑客程序一般至少有服务器和客户机两部分。黑客程序的服务器部分实际上是一个间谍程序,黑客程序的客户机部分是黑客发动攻击的控制台。利用病毒原理以及发送电子邮件、提供 免费软件等手段,将服务器悄悄安装到用户的计算机中。在实施黑客攻击时,有客户机与远程已安装好的服务器进行里应外合,达到攻击的目的。利用黑客程序进行黑客攻击,由于整个攻击过程已经程序化了,不需要高超的操作技巧,不需要高深的专业计算机软件知识,只 需要一些最基本的计算机知识便可实施,因此,其危害性非常大。较有名的黑客程序有BO、YAI以及“拒绝服务”攻击工具等。

域名系统(DNS)

是Internet上其他服务的基础,E-mail是Internet上最重要的服务。但是DNS和E-mail系统也是Internet上安全漏洞最多的地方,DNS是Internet上其它服务的基础。它处理DNS客户机的请求:把名字翻译成IP地址 ;把IP地址翻译成名字;并提供特定主机的其它已公布信息(如MX记录)。下面介绍DNS使用中业已知晓的两个安全问题,并给出相应的解决方法。

COOKIE欺骗

现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。按照浏览器的约定,只有来自同一域名的cookie才可以读写,而 cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径:
1、跳过浏览器,直接对通讯数据改写
2、修改浏览器,让浏览器从本地可以读写任意域名cookie
3、使用签名脚本,让浏览器从本地可以读写任意域名cookie(有安全问题)
4、欺骗浏览器,让浏览器获得假的域名

缓冲区溢出

缓冲区溢出漏洞是指通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。

DOS攻击

这是拒绝服务攻击(Denial of Service)的简称,一个非常致命(并且低级)的攻击概念。DoS一般被用于一些很使用的目的,一般人会用它来显示自己的能力和技巧,尽管这种攻击方法几乎不需要什么技巧。我认为DoS有用的唯一原因是因为它可以用于欺骗目的:当局部网中一台系统瘫痪 时,你可以把你自己的地址改成那台已经瘫痪掉的电脑的,并且中途截取类似用户名和密码等重要的信息。

ISO安全体系结构标准

在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提 供这些服务与机制的位置。

联合公共准则(CC)

CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版,但目前仍未付诸实施。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障分离,并将功能需求分为9类 63族,将保障分为7类 29族。

美国联邦准则(FC)安全标准

该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则。

加拿大CTCPEC安全标准

该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。

欧洲ITSEC ITSEC安全标准

与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质 )到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1~B3级非常相似。

美国TCSEC(桔皮书)安全标准

该标准是美国国防部制定的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。

智能卡技术

智能卡就是密钥的一种媒体, 一般就像信用卡一样, 由授权用 户所持有并由该用户赋与它一个口令或密码字。该密码与内部网 络服务器上注册的密码一致。当口令与身份特征共同使用时, 智 能卡的保密性能还是相当有效的。

数据加密技术

数据加密技术主要分为数据传输、数据存储、数据完整性的鉴  别以及密钥管理技术四种。

SSN

安全服务器网络(SSN)。为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,第四代防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离 。这就是安全服务网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN的方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之 间也有防火墙保护,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下。

主机认证

主机认证是用IP地址来标志允许或禁止一个客户端。一旦有一个用户登录到X server上,一个叫做xhost的程序用来控制来自那个IP的客户允许连接。但是大多数主机支持多个一台客户机上用户,所以不可能控制在某一台客户机,允许他上而别人不行。

身份认证技术

对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的ACACS +以及业界标准的RADIUS。

加密技术

加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。

SMTP协议

SMTP-简单邮件传输协议(Simple Mail Transfer Protocol),是定义邮件传输的协议,它是基于TCP服务的应用层协议,由RFC0821所定义。SMPT协议规定的命令是以明文方式进行的。

Tripwire

Tripwire是一个用来检验文件完整性的非常有用的工具,你能定义哪些文件/目录需要被检验,不过默认设置能满足大多数的要求,它运行在四种模下:数据库生成模式,数据库更新模式,文件完整性检查,互动式数据库更新。当初始化数据库生成的时候,它生成对现有文件的各种信息的数据库文件,万一以后你的系统文件或者各种配置文件被意外 地改变,替换,删除,它将每天基于原始的数据库对现有文件进行比较发现哪些文件被更改,你能根据email的结果判断是否有系统入侵等意外事件。

Logcheck

Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Linux log文件,象 /var/log/messages, /var/log/secure,/var/log/maillog等等,然后生成一个可能有安全问题的问题报告自动发送email给管理员。你能设置它基于每小时,或者每天用crond来自动运行。logcheck工具的主页在http://www.psionic.com/abacus/logcheck/

nmap

nmap 是用来对一个比较大的网络进行端口扫描的工具,它能检测该服务器有哪些tcp/ip端口目前正处于打开状态。你可以运行它来确保已经禁止掉不该打开的不安全的端口号。nmap的主页在http://www.insecure.org/nmap/index.html

ttysnoop

ttysnoop是一个重定向对一个终端号的所有输入/输出到另一个终端的程序。

DDoS

DDoS(分布拒绝服务),这是一种分布,协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门。攻击者进入许多系统后都要留下安装一个客户端程序。预打包的拒绝服务的黑客程序象Trinoo/Tribal Flood,Stacheldraht,和Mstream都可以远程控制,允许黑客们有组织的进行攻击。

sudo

sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性,如果你需要每天以root身份做一些日常工作,经常执行一些固定的几个只有root身份才能执行的命令,那么用sudo对你是非常适合的。

TCP SYN攻击

是在一个TCP连接开始时,发送方机器要发送一个SYN请求,接受方机器收到这个请求要回送ACK,发送方机器收到回应也要发一个ACK确认。TCP SYN攻击就是在SYN帧中填入一个不可到达的IP地址,因此接收方计算机向一个并不存在的计算机回应ACK信号,它当然永远收不到回应的ACK信号。攻击者利用这种攻击方式,持续不断的与你的服务器建立SYN连接,但是不回送ACK信号,这使服务器有上 百个,甚至上千个半开放的连接一直保持着,耗费系统的资源。

传染

病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。
病毒表现

表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。

病毒触发

计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。

病毒激活

是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用--自我复制到传染对象中, 进行各种破坏活动等。

传染媒介

病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。

传染源

病毒总是依附于某些存储价质, 例如软盘、 硬盘等构成传染源。

计算机病毒

不是我们说熟悉的生物病毒,计算机病毒是一个程序,一段可执行代码。但是,计算机病毒就像生物病毒一样,有独特的复制能力。同生物病毒一样计算机病毒可以很快地蔓延,而且常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到 另一个用户时,它们就随同文件一起蔓延开来。

数据驱动攻击

黑客或攻击者把一些具有破坏性的数据藏匿在普通数据中传送到因特网主机上,当这些数据被激活时就会发生数据驱动攻击。例如修改主机中与安全有关的文件,留下下次更容易进入该系统的后门。

报文攻击

黑客或攻击者有时利用重定向报文进行攻击。重定向报文可改变路由器,路由器根据这些报文建议主机走另一条“更好”的路径。黑客或攻击者利用重定向报文把连接转向一个黑客或攻击者控制的主机,或使所有报文通过他们控制的主机来转发。

电污染攻击

据有关资料显示,有九成计算机出现的误码、死机、芯片损坏等现象来自“电污染”。究其原因是,(1)电流在传导过程中会受到诸如电磁、无线电等因素的干扰,形成电子噪声,导致可执行文件或数据文件出错;(2)有时由于电流突然回流,造成短时间内电压急剧升 高,出现了电涌现象,这种电浪涌不断冲击会导致设备元件出现故障,所以恶意攻击者可以利用“电污染”手段损坏或摧毁防火墙。

社会工程攻击

社会工程攻击有时又叫系统管理员失误攻击。黑客或攻击者同公司内部人员套近乎,获取有用信息,尤其系统管理人员失误(如WWW服务器系统的配置错误),扩大了普通用户的权限,同时也给黑客或攻击者以可趁之机。

ATM防火墙

到目前为止,ATM防火墙系统的辨论者已分裂为两大阵营。一方只是在建立呼叫时要求鉴认机制;另一方认为尽管涉及的传输速度很高,但完全有可能利用分钥体制在ATM信元级进行加密。最近组建的ATM安全小组正在制定ATM安全机制的最终标准。

后防火墙时代

后防火墙时代(The post-firewall era):防火墙系统将继续覆盖全部网络至何种程度,这是个在目前很难说清楚的事情。当计算机变得日益强大,传输带宽日益增加,人们可以见到这样一个时候,即构作的计算机系统将留有足够的计算能力来利用强大的鉴认和加密机制保护自己,到那个时候,每一个单 一的系统都将有自己的防火墙。

状态监视技术

这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视 RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。

IP隧道攻击

IP隧道攻击即在端口80发送能产生穿过防墙的IP隧道的程序。如果人们利用因特网加载程序(例如经过因特网加载实音频网关),则可能引入产生IP隧道(类似于防火墙中使用的实用网关)的特洛伊木马,造成在因特网和内部网之间的无限IP防问。IP隧道攻击 是黑客在实际攻击中已经实现的一种防火墙攻击技术。

基于堡垒主机web服务器的攻击

黑客可以设想把堡垒主机web服务器转变成避开防火墙内外部路由器作用或影响的系统。它也可用于发动针对下一层保护的攻击,观察或破坏防火墙网络内的网络通信量,或者在防火墙只有一个路由器的情况下完全绕过防火墙。这种防火墙技术已被广泛应用并证明有效。

基于附加信息的攻击

基于附加信息(postscript)的攻击是一种较先进的攻击方法,它使用端口80(HTTP端口)传送内部信息给攻击者。这种攻击完全可以通过防火墙实现,因为防火墙允许HTTP通过且又没有一套完整的安全办法确定HTTP报文和非HTTP报文之间的 差异。目前有黑客利用这种攻击对付防火墙技术,虽然还不是很广泛。

IP分段攻击

通常采用数据分组分段的办法来处理仅支持给定最大IP分组长度的网络部分。一旦被发送,并不立即重新组装单个的分段,而是把它们路由到最终目的地,只在这时才把它们放在一块给出原始的IP分组。除了IP头之外,每个分组包含的全部东西就是一个ID号和一个 分组补偿值。藉以清楚地识别各分段及其顺序。因此,被分段的分组是对基于分组过滤防火墙系统的一个威胁,它们把它们的路由判决建立在TCP端口号的基础上,因为只有第一个分段标有TCP端口号,而没有TCP号的分段是不能被滤除的。

TCP序号攻击

TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一。利用因特网协议中的这种安全漏洞,可以使其访问管理依赖于分析IP发送地址的任何安全系统上当。这种攻击基于在建立TCP连续时使用的三步握手序号(three-step handshake sequence)。它假定利用前面叙述过的IP地址欺骗可以从外部把伪造的IP分组送入内部计算机系统。

IP地址欺骗

突破防火墙系统最常用的方法是因特网地址欺骗,它同时也是其他一系列攻击方法的基础。黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,则这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包 装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。

格式化字符串攻击

格式化字符串漏洞同其他许多安全漏洞一样是由于程序员的懒惰造成的。当你正在阅读本文的时候,也许有个程序员正在编写代码,他的任务是:打印输出一个字符串或者把这个串拷贝到某缓冲区内。

LKMs

LKMs就是可卸载的内核模块(Loadable Kernel Modules)。这些模块本来是Linux系统用于扩展他的功能的。使用LKMs的优点有:他们可以被动态的加载,而且不需要重新编译内核。由于这些优点,他们常常被特殊的设备(或者文件系统),例如声卡等使用。

首尾加密

对进入网络的数据加密,然后待数据从网络传送出后再进行解密.网络本身并不会知道正在传送的数据是加密数据.这一方法的优点是,网络上的每个用户(通常是每个机器的一个用户)可有不同的加密关键词,并且网络本身不需增添任何专门的加密设备.缺点是每个系统 必须有一个加密设备和相应的软件(管理加密关键词).或者每个系统必须自己完成加密工作(当数据传输率是按兆位/秒的单位计算时,加密任务的计算量是很大的).

节点加密

与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常旋转在安全保险箱中.

链接加密

在网络节点间加密,在节点间传输加密,传送到节点后解密,不同节点对间用不同的密码.

PAM

(pluggable Authentication modules)是一套共享库,他为系统管理进行用户确认提供广泛的严密控制,本身不是一个工具。他提供一个前端函数库(一个API)用来确认用户的应用程序。PAM库可以用一个单独的文件/etc/pam.conf来配置,也可以通过位于/etc/pam.d/下的一组配置文件来配置。使事情对用户容易是PAM的核心目标。PAM可以配置成提供单一的或完整的登录过程,使用户输入一条口令就能访问多种服务。例如,ftp程序传统上依靠/etc/passwd机制来确认一个希望开始进行ftp会议的用户。配置了PAM的系统把ftp确认请求发送给PAM API,后者根据pam.conf或相关文件中的设置规则来回复。系统管理员可以设置PAM使一个或多个认证机制能插入到PAM API中。PAM的优点之处在于其灵活性,系统管理员可以精心调整整个认证方案而不用担心破坏应用程序。

su和newgrp命令

(1)su命令:可不必注销户头而将另一用户又登录进入系统,作为另一用户工作. 它将启动一新的shell并将有效和实际的UID和GID设置给另一用户.因此必须严 格将root口令保密. (2)newgrp命令:与su相似,用于修改当前所处的组名.

umask命令

umask设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入 .profile文件,就可控制该用户后续所建文件的存取许可.umask命令与chmod命 令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可.

DES鉴别系统

DES鉴别系统的安全性建立在发送者对当前时间的编码能力上,它使接收 者能解码并对照自己的时钟来进行检验.时钟标记也使用DES编码.这样的机制 要工作有两件事是必须的: 发送者和接收者双方必须对什么是当前时间进行约定;发送者和接收者必须使用同样的编码关键字. 如果网络有时间同步机制,那么客户机服务器之间的时间同步将自己执行。 如果没有这样的机制,时间标记将按服务器的时间来计算。为计算时间,客户机在开始RPC调用之前必须向服务器询问时间,然后计算自己和服务器之间的时间差,当计算时间标记时,这个差值将校正客户方面的时钟.一旦客户机和服务器时钟不同步,服务器就开始拒绝 客户机的请求,并且DES鉴别系统将使它们的时间同步.
UNIX鉴别机制

SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名, 用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先, 最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络 (特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够 的, 因为NFS仍然无法识别用户号ID. 另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有的站都使用UNIX系统是不现实的.因为NFS可运行于MS-DOS和VMS系统的机器上, 但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没有用户号的概念. 由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核 对器.这就如像DES鉴别系统.

RPC

远程过程调用(RPC)鉴别,RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器(credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址, 出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.

shutdown命令

用shutdown命令关系统,shutdown shell程序发送警告通知所有用户离开 系统,在“给定的期限时间“到了后,就终止进程,拆卸文件系统,进入单用户方 式或关机状态.一旦进入单用户方式,所有的gettys停止运行,用户再不能登录. 进入关机状态后可将系统关电. shutdown仅能由作为root登录的用户从系统控制台上运行.所以任何的 shutdown运行的命令仅能对root可写.

ncheck命令

用于检查文件系统,只用一个磁盘分区名作为参数,将列出i节点号及相应 的文件名.i节点相同的文件为建链文件. 注意:所列出的清单文件名与mount命令的第一个域相同的文件名前部分 将不会列出来.因为是做文件系统内部的检查,ncheck并不知道文件系统安装 点以上部分的目录. 也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件,使用 -s选项来完成此项功能.

secure程序

系统管理员应当做一个程序以定期检查系统中的各个系统文件,包括检查 设备文件和SUID,SGID程序,尤其要注意检查SUID,SGID程序,检查/etc/passwd 和/etc/group文件,寻找久未登录的户头和校验各重要文件是否被修改.

计算机病毒攻击

计算机病毒是一种把自身拷贝为更大的程序并加以改变的代码段。它只是在程序开始运行时执行,然后复制其自身,并在复制中影响其他程序。病毒可以通过防火墙,它们可以驻留在传送给网络内部主机的E-Mail消息内。

包过滤技术

包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等 信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力的。

Finger

可以用Finger来获取一个指定主 机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。

RSA

Rivest-Shamir-Adleman公开密钥算法,公开密钥算法是在1976年由当时在美国斯坦福大学的迪菲(Diffie)和赫尔曼(Hellman)两人首先发明的(论文New Direction in Cryptography)。但目前最流行的RSA是1977年由MIT教授Ronald L.Rivest,Adi Shamir和Leonard M.Adleman共同开发的,分别取自三名数学家的名字的第一个字母来构成的。公钥加密算法也称非对称密钥算法,用两对密钥:一个公共密钥和一个专用密钥。用户要保障专用密钥的安全;公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的,用公共密 钥加密的信息只能用专用密钥解密,反之亦然。由于公钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大简化了密钥管理。除加密功能外,公钥系统还可以提供数字签名。

Satan

Satan是从系统外部进行检查系统是否存在安全问题的程序,它能对网络存在的脆弱性自动进行搜索、分析并提供安全报告。这种从外部分析系统的软件一般称为扫描器,由于Satan功能强大并提供了可扩展的框架,因此在Internet上十分流行。它的另一 个特点就是它通过Web浏览器工作,使用者只需指明要搜索的主机以及搜索深度和相近规则的级别,Satan就能自动收集尽可能多的目标信息。

cops

是一个由系统管理员运行,检查系统内部设置的程序。它针对已知的Unix存在问题进行检查,如检查系统中是否存在没有口令的帐户,是否有非法SetUID程序,以及是否存在Internet上已经报告过的系统漏洞,是否存在有问题的软件等等。系统管理员能 使用cops来检查系统的配置有无问题。

IP地址广播

这种广播能跨越路由器,但这也是造成广播风暴的一种主要形式(如广播地址202.120.127.255)。

Arp/Rarp广播

是一种为了获取目标IP地址的Mac地址用的一种机制。属于TCP/IP网络层上的广播。这种广播能跨越网桥进行传播,但不能跨越路由器。

SR

是一个多端口的IP路由器;代理服务器则是代表网络内部用户的代理者,它实际上是一个应用层上的网关。当用户使用TCP/IP应用时,给Proxy提供合法身份和授权信息,Proxy 就和被访问主机联系,并在两个通信点之间中继传递IP数据包。IP包处理的过程对用户是透明的。SR的优点是简单,成本低;缺点是很难准确地设置包过滤器,缺乏用户级的授权,路由器供应商正致力于解决这一问题,并提出了标准化的用户级授权协议Radius 。Proxy的优点是有用户级的授权;缺点是对所有的应用程序须建立一个应用层信关,这会严重影响新应用程序的部署。

应用级网关

应用级网关(Application Level Gateways):是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。

防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。

NAT

网络地址转换(Network Address Translation)是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。

指针保护

编译器生成程序指针完整性检查。指针保护是堆栈保护针对这种情况的一个推广。通过在所有的代码指针之后放置附加字节来检验指针在被调用之前的合法性。如果检验失败,会发出报警信号和退出程序的执行,就如同在堆栈保护中的行为一样。

Purify

是C程序调试时查看存储器使用的工具而不是专用的安全工具。Purify使用“目标代码插入”技术来检查所有的存储器存取。通过用Purify连接工具连接,可执行代码在执行的时候数组的所有引用来保证其合法性。这样带来的性能上的损失要下降3-5倍。

堆栈保护

是一种提供程序指针完整性检查的编译器技术,通过检查函数活动纪录中的返回地址来实现。堆栈保护作为gcc的一个小的补丁,在每个函数中,加入了函数建立和销毁的代码。加入的函数建立代码实际上在堆栈中函数返回地址后面加了一些附加的字节,如图2示。而在 函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。

--------------------------------------------------------------------------------


上一篇:系统安全名词列表(1)
下一篇:一个安全保障体系的整套解决方案

相关文章: 无相关信息
热门文章:

  • ·H3C交换机查看光功率、收发光情况的命
  • ·Mac OS X 通过Terminal和shell修改DNS
  • ·无线路由器的设置使用方法
  • ·常用交换机状态查询命令
  • ·巧设无线路由获得更稳定信号
  • ·CISCO路由器的端口聚合功能详解
  • ·H3C 交换机的基础配置和命令行与无线路
  • ·云主机配置OpenStack使用spice的方法
  • ·VMware VSAN 入门与配置VSAN网络和集群
  • ·ups连接输入输出电缆注意事项
  • ·CISCO Switch port-channel追加vlan设
  • ·文件服务器安装与配置Windows Server

  • 发表点评 共有条点评
    会员 内容 时间
    用户名: 密码:
    验证码: 匿名发表