野王,日本xxxx片免费观看,丁香五月婷婷亚洲,六月丁香婷婷大团结
安全管理網
會員中心
加入VIP
微信
客服微信 網站公眾號
用戶名:
密 碼:
Cookie:
不保存
保存一天
保存一月
保存一年
忘記密碼
安全新聞
安全法規(guī)
安全管理
安全技術
事故案例
操作規(guī)程
安全標準
安全教育
環(huán)境保護
應急預案
安全評價
工傷保險
職業(yè)衛(wèi)生
文化
|
健康
管理體系
文檔
|
論文
安全常識
工 程 師
安全文藝
培訓課件
管理資料
煤礦
化工
建筑
機械
電力
冶金
消防
交通
特種
論壇
活動
視頻
問答
投稿
MSDS
簽到
超市
招聘
動態(tài)
法規(guī)
管理
技術
案例
超市
標準
預案
課件
更多
教育
規(guī)程
評價
工傷
職業(yè)衛(wèi)生
環(huán)保
健康
體系
文檔
論文
常識
工程師
文藝
視頻
導航:
安全管理網
>>
培訓課件
>>
其他
>>正文
網絡安全技術
點 擊 數:
更新時間:
2020年11月01日
下載地址:
點擊這里
文件大?。?
1.82 MB 共340頁
文檔格式:
PPT
下載點數:
15 點(VIP免費)
全屏查看
部分內容預覽 [文件共340頁]
本文件共340頁, 只能預覽部分內容,查看全部內容需要
下載
。
注:預覽效果可能會出現部分文字亂碼(如口口口)、內容顯示不全等問題,下載是正常的。
文件大?。?.82 MB 共340頁 文件格式:PPT
下載點數:15 點(VIP會員免費)
下一篇:
冬季防滑安全分享
上一篇:
用藥安全管理
文本預覽
僅提取頁面文字內容,供快速閱讀使用。
第1章 計算機網絡安全概述及環(huán)境搭建 備注:1 1.1 計算機網絡安全概述 備注:2 一、網絡安全的發(fā)展史 20世紀80年代開始,互聯網技術飛速發(fā)展。自從1987年發(fā)現了全世界首例計算機病毒以來,病毒的數量早已超過1萬種以上,并且還在以每年兩千種新病毒的速度遞增,不斷困擾著涉及計算機領域的各個行業(yè)。 1997年,隨著萬維網(WoldWideWeb)上Java語言的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。 備注:3 一、網絡安全的發(fā)展史 1989年,俄羅斯的EugeneKaspersky開始研究計算機病毒現象。從1991年到1997年,俄羅斯大型計算機公司KAMI的信息技術中心研發(fā)出了AVP反病毒程序。這在國際互聯網反病毒領域具有里程碑的意義。 防火墻是網絡安全政策的有機組成部分。1983年,第一代防火墻誕生。到今天,已經推出了第五代防火墻。 備注:4 一、網絡安全的發(fā)展史 進入21世紀,政府部門、金融機構、軍事軍工、企事業(yè)單位和商業(yè)組織對IT系統(tǒng)的依賴也日益加重,IT系統(tǒng)所承載的信息和服務的安全性就越發(fā)顯得重要。 2007年初,一個名叫“熊貓燒香”的病毒在極短時間內通過網絡在中國互聯網用戶中迅速傳播,曾使數百萬臺電腦中毒,造成重大損失。 備注:5 一、網絡安全的發(fā)展史 1、網絡安全問題的產生 (1)信息泄露、信息污染及信息不可控等 (2)某些個人或組織出于某種特殊目的進行信息泄露、信息破壞、信息假冒侵權和意識形態(tài)的信息滲透,甚至進行一些破壞國家、社會以及各類主體合法權益的活動。 備注:6 一、網絡安全的發(fā)展史 (3)隨著社會的高度信息化、社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意的攻擊而導致損壞和癱瘓 (4)網絡應用越來越廣泛,但是控制權分散的管理問題也日益顯現 備注:7 一、網絡安全的發(fā)展史 2、網絡安全的現狀(見P2 圖1-1) (1)拒絕服務攻擊:拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由于網絡協議本身的安全缺陷造成的。攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器的緩沖區(qū)滿,不接收新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。 備注:8 一、網絡安全的發(fā)展史 (2)網絡仿冒 (3)網頁惡意代碼 (4)病毒、蠕蟲或木馬 (5)漏洞 (6)垃圾郵件報告 備注:9 一、網絡安全的發(fā)展史 3、網絡安全的發(fā)展趨勢 (1)實施網絡攻擊的主體的變化:由興趣性向盈利性發(fā)展 (2)網絡攻擊的主要手段的變化:由單一手段向結合多種攻擊手段的綜合性攻擊發(fā)展 (3)企業(yè)內部對安全威脅的認識的變化:外部管理轉向內部安全管理 備注:10 二、網絡安全的定義 1、網絡上的信息安全,這其中涉及到了物理器件計算機和基于這之上的網絡通信,對于數據的加密等一系列的知識,因此集計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論等多種學科于一體。 備注:11 二、網絡安全的定義 2、計算機系統(tǒng)安全定義:為數據處理系統(tǒng)建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄漏。 3、保證網絡安全的目的:確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等情況。 備注:12 二、網絡安全的定義 4、網絡安全包含: (1)運行系統(tǒng)的安全,即保證信息處理和傳輸系統(tǒng)的安全 (2)網絡上系統(tǒng)信息的安全 (3)網絡上信息傳輸的安全,保證信息不被竊取修改或泄漏 (4)網絡上信息內容的安全 備注:13 1.2 網絡安全威脅 備注:14 一、網絡安全威脅的來源 1、內部威脅 (1)內部人員因自身原因故意破壞、泄露或無意錯誤操作破壞數據而引起的威脅 (2)因不當使用Internet接入而降低生產率 (3)內部工作人員發(fā)送、接收和查看攻擊性材料,可能會使內部感染計算機病毒。 2、外部威脅 備注:15 二、網絡安全威脅的種類 1、非授權訪問:一般是沒有事先經過同意,通過假冒、身份攻擊及系統(tǒng)漏洞等手段來獲取系統(tǒng)的訪問權限,從而非法進入網絡系統(tǒng)來使用網絡資源,造成資源的消耗或損壞。 2、拒絕服務 3、數據欺騙:主要包括捕獲、修改和破壞可信主機上的數據,攻擊者還可能對通信線路上的網絡通信進行重定向。 備注:16 1.3 網絡安全防御體系 備注:17 一、安全防御體系的層次結構 1、物理安全:包括通信線路的安全、物理設備的安全及機房的安全等。涉及到防火、防靜電、防雷擊、防電磁輻射和防盜等。 2、操作系統(tǒng)安全性:包括操作系統(tǒng)的安全配置、操作系統(tǒng)的漏洞檢測、操作系統(tǒng)的漏洞修補等 備注:18 一、安全防御體系的層次結構 3、網絡的安全性:包括網絡身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、防火墻應用、病毒防范和入侵檢測等 4、應用安全性:指網絡對用戶提供服務所采用的應用軟件和數據的安全性 5、管理安全性:包括安全技術和設備的管理、安全管理制度及部門與人員的組織規(guī)則等。 備注:19 二、安全防御體系工作流程 1、攻擊前的防范 2、攻擊過程中的防范 3、攻擊過程后的恢復處理 備注:20 第2章 網絡協議基礎 備注:21 2.1 TCP/IP協議概述 備注:22 一、TCP/IP協議模型 1、協議的基礎概念:網絡協議是網絡通信中控制數據傳輸的規(guī)則。包括三要素 (1)語義(做什么):包括用于協調和差錯處理、流量控制的控制信息。 (2)語法(怎么做):數據編碼格式與信號的電平 (3)時序(何時做):速度的匹配和排序 備注:23 一、TCP/IP協議模型 2、開放系統(tǒng)互連參考模型(OSI參考模型) 設計者按照信息的流動過程將網絡的整體功能分解為一個個的功能層,不同主機的同等功能層之間采用相同的協議,同一主機上的相鄰功能層之間通過接口進行信息傳遞,形成了OSI參考模型,這樣不同體系結構的計算機網絡都能互連,進行信息互通。 備注:24 一、TCP/IP協議模型 OSI參考模型將網絡的通信功能劃分成7個層次,由高到低分別是: (1)物理層:向下直接與物理傳輸介質相連接,是各種網絡設備進行互聯時必須遵守的底層協議,與其他協議無關。物理層定義了數據通信網絡之間物理鏈路的電氣或機械特性,以及激活、維護和關閉這條鏈路的各項操作。物理層的特征參數包括電壓、數據傳輸率、最大傳輸距離和物理連接介質等。 備注:25 一、TCP/IP協議模型 (2)數據鏈路層:它把從物理層來的原始數據組成幀 即用于傳送數據的結構化的包。數據鏈路層負責幀在計算機之間的無差錯傳遞。其特征參數包括物理地址、網絡拓撲結構、錯誤警告機制、所傳數據幀的排序和流量控制等。 備注:26 一、TCP/IP協議模型 (3)網絡層:定義網絡操作系統(tǒng)通信用的協議,為傳送的信息確定地址,將邏輯地址和名字翻譯成物理地址。同時負責確定從源計算機沿著網絡到目的計算機的路由選擇,處理交通問題,路由器的功能在這一層實現。網絡層的主要功能是將報文分組以最佳路徑通過通信子網送達目的主機。 備注:27 一、TCP/IP協議模型 (4)傳輸層:負責端到端的信息傳輸錯誤處理,包括錯誤的確認和恢復,確保信息的可靠傳遞。在必要時,也對信息重新打包,把過長信息分成小包發(fā)送。在接收端,再將這些小包重構成初始的信息。 備注:28 一、TCP/IP協議模型 (5)會話層:允許在不同計算機上的兩個應用間建立、使用和結束會話,實現對話控制,管理何端發(fā)送、何時發(fā)送和占用多長時間等。會話層利用傳輸層提供的可靠信息傳遞服務,使得兩個會話實體之間不用考慮相互間的距離、使用何種網絡通信等細節(jié),進行數據的透明傳輸。 備注:29 一、TCP/IP協議模型 (6)表示層:表示層則要保證所傳輸的數據經傳送后意義不改變,它要解決的問題是如何描述數據結構并使之與機器無關。 (7)應用層:主要功能是直接為用戶服務,通過應用軟件實現網絡與用戶的直接對話。這一層是最終用戶應用程序訪問網絡服務的地方,負責整個網絡應用程序協同工作。 備注:30 一、TCP/IP協議模型 3、OSI參考模型的特點 (1)各層之間是獨立的。每層只實現一種相對獨立的功能,可以使網絡傳輸的復雜程度下降。 (2)靈活性好。任何一層發(fā)生變化都不影響別的層,只要層間接口保持不變。 (3)結構上可分割,用不同技術來實現。 (4)易于實現和維護。 (5)能促進標準化工作。 備注:31 一、TCP/IP協議模型 4、TCP/IP協議模型 (1)網絡接口層:網絡接口層與OSI/RM的物理層、數據鏈路層相對應。該層中所使用的協議大多是各通信子網固有的協議。作用是傳輸經IP層處理過的IP信息,并提供一個主機與實際網絡的接口,而具體的接口關系則可以由實際網絡的類型所決定。 備注:32 一、TCP/IP協議模型 (2)互聯網層:也被稱為IP(Internet Protocol)層、網絡層。是TCP/IP模型的關鍵部分。它的功能是使主機可以把IP數據包發(fā)往任何網絡,并使數據報獨立地傳向目標(中途可能經由不同的網絡)。這些數據包到達的順序和發(fā)送的順序可能不同,因此當需要按順序發(fā)送和接收時,高層必須對分組排序。 備注:33 一、TCP/IP協議模型 (3)傳輸層:在源節(jié)點和目的節(jié)點兩個進程實體之間提供可靠的、端到端的數據傳輸。為保證數據傳輸的可靠性,傳輸層協議規(guī)定接收端必須發(fā)回確認,若丟失必須重新發(fā)送。若同時有多個應用程序訪問互聯網,則傳輸層在每個數據包中增加識別信源和信宿應用程序的標記。 備注:34 一、TCP/IP協議模型 (4)應用層:位于傳輸層之上的應用層包含所有的高層協議,為用戶提供所需要的各種服務。主要的服務有:遠程登錄(Telnet)、文件傳輸(FTP)、電子郵件(SMTP)、Web服務(HTTP)、域名系統(tǒng)(DNS)等。 備注:35 一、TCP/IP協議模型 4、TCP/IP協議的特點 (1)應用廣泛 (2)能夠向用戶和應用程序提供通用的、統(tǒng)一的網絡服務。 (3)網絡對等性:簡化了對異構網的處理 備注:36 二、TCP/IP核心協議 1、網際協議(IP協議):屬于TCP/IP模型和互聯網層,提供關于數據應如何傳輸以及傳輸到何處的信息。是使TCP/IP協議可用于網絡連接的子協議。是不可靠的、無連接的協議,不保證數據的可靠,若接收時發(fā)現信息不正確,則將認為數據包被破壞,則重新發(fā)送數據包。IP的數據報包含報頭和數據兩部分,報頭包含(見P24)。 備注:37 二、TCP/IP核心協議 2、傳輸控制協議(TCP協議):屬于傳輸層,提供可靠的數據傳輸服務。位于IP協議的上層,通過提供校驗、流控制及序列信息彌補IP協議可靠性的缺陷。是面向連接的服務。TCP協議包含了保證數據可靠性的幾個組件(見P26) 備注:38 二、TCP/IP核心協議 3、用戶數據報協議(UDP):UDP協議是一種無連接的傳輸服務,不保證數據包以正確的序列被接收,并且不提供錯誤校驗或序列編號。適合用于實況錄音或電視轉播。 備注:39 二、TCP/IP核心協議 4、網際控制報文協議(ICMP):位于互聯網層的IP協議和傳輸層的TCP協議之間,不提供錯誤控制服務,僅報告哪個網絡是不可達的,哪個數據包因分配的生存時間過期而被拋棄。 備注:40 二、TCP/IP核心協議 5、地址解析協議(ARP):是互聯網層協議,它獲取主機或節(jié)點的物理地址并創(chuàng)建一個本地數據庫以將物理地址映射到主機的邏輯地址上。和IP地址配合使用。就是將網卡地址和IP地址一一對應起來,網卡地址解析成IP地址。 備注:41 2.2 常用的網絡服務原理 備注:42 一、WWW服務 1、WWW是已聯網服務器的集合,這些服務器按指定的協議和格式共享資源和交換信息。 2、采用的CS架構(服務器—客戶端的架構),在服務器端需要安裝外部服務器,客戶機端要具備瀏覽器。 3、在客戶機端訪問服務器端需要TCP/IP協議、IP地址與Internet連接和瀏覽器。 備注:43 一、WWW服務 4、服務器端和客戶機端通過HTTP或HTML服務傳輸內容,每個Web頁都被統(tǒng)一資源定位器(URL)標識。每一個Web頁的網址都是獨一無二的,對應第一無二的IP地址。 5、http://jssvc.edu.cn/index.asp https是使用的服務類型,jssvc.edu.cn是主機名,index.asp是該頁下的文件。 6、常見的Web服務器軟件包括(見P27) 備注:44 二、FTP服務 1、文件傳輸協議:用于管理TCP/IP主機之間文件的傳輸 2、FTP服務是FTP服務器提供的,相當于是服務器開辟了FTP服務,提供文件夾供客戶端上傳或下載文件。 3、在瀏覽器的地址欄中輸入 FTP://主機名 或 FTP://服務器IP地址,即可訪問FTP服務器,相當于是向服務器發(fā)出請求,服務器始終偵聽請求,當接收到這個請求的時候,立刻給予客戶端響應。 備注:45 二、FTP服務 4、常見的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。 5、使用FTP必須首先登陸,輸入ID和口令,在服務器上獲得相應的權限后才能下載或上傳文件。服務器有可能限定在同一時刻最高可供多少人同時使用。有的服務器上提供匿名FTP服務,任何人都可以使用一個公用的ID進入使用該服務器上公開的資源。 備注:46 三、DNS服務 1、域名系統(tǒng):是將主機名和域名解析為與此名稱相關的IP地址的系統(tǒng)。 2、因為IP地址由一串數字組成,難于記憶,因此引申出了域名,用一串便于記憶的字符組成,而域名和IP地址成為一種一一對應的關系。由域名轉換成IP地址稱為正向解析,由IP地址轉換成域名為逆向解析。 3、DNS分為3個組成部分:解析器、名稱服務器、名稱空間 備注:47 三、DNS服務 4、當進行一個域名訪問的時候,在瀏覽器中輸入網址,解析器服務會查詢本地的名稱服務器,查找相對應的IP地址,若沒有則向高一級服務器查詢。要知道本地、地區(qū)、國家都有名稱服務器。 5、假若你以前訪問過這個域名地址,則可以從以前查詢獲得的緩存信息中就地應答查詢,這樣速度比較快。 備注:48 四、DHCP服務 1、動態(tài)主機配置協議:是往網絡中的每臺設備分配獨一無二IP地址的動態(tài)方式。 2、采用DHCP服務的優(yōu)點: (1)降低花費在IP地址管理方面的時間和規(guī)劃 (2)降低分配IP地址的錯誤率 (3)在移動電腦的情況下無需更改TCP/IP配置。 (4)為使IP地址對移動用戶透明。 3、DHCP出租過程和終止DHCP租借 備注:49 五、終端服務 1、終端服務:集成在Windows.NET Server終端服務中,作為系統(tǒng)服務器服務組件存在,“開始”—“程序”—“附件”—“通訊”—“超級終端” 2、客戶機和服務器通過TCP/IP協議和標準的局域網構架聯系,在客戶端上進行操作傳遞到終端服務器上,再將服務器上的顯示結果傳遞回客戶端。類似于“遠程控制”。 備注:50 五、終端服務 3、允許多個客戶端同時登陸到服務器,他們之間是相互獨立的。 4、終端服務由5個組件組成: (1)多用戶內核 (2)遠程桌面協議 (3)終端服務客戶端 (4)終端服務許可服務 (5)終端服務管理工具 備注:51 2.3 常用網絡命令 備注:52 一、ipconfig 1、ipconfig/all 查看配置 才啟動的時候執(zhí)行這個命令,大多信息不能獲取,例如IP地址,DNS等。使用刷新命令后,可以查看到計算機的主機名、網卡名、網卡地址、動態(tài)分配的IP地址、子網掩碼和默認網關等。 2、ipconfig/renew 刷新配置 (“運行”—輸入“cmd” ) 備注:53 二、ping 作用:用于網絡的連通性測試,測試網線是否連通、網卡配置是否正確及IP地址是否可用等。 例: ping –a 192.168.1.103 常見參數說明:見35頁 備注:54 三、arp 原理:arp即地址解析協議,在常用以太網或令牌LAN上,用于實現第三層到第二層地址的轉換 IP —> MAC 功能:顯示和修改IP地址與MAC地址之間的映射 誰知道 10.1.46.1 的MAC地址 我知道10.1.46.1 的MAC地址是: xxxxxx 備注:55 三、arp 常用參數: arp —a:顯示所有的arp表項 arp –s:在arp緩存中添加一條記錄 (例:Arp -s 126.13.156.2 02-e0-fc-fe-01-b9) arp —d:在arp緩存中刪除一條記錄 (例:Arp -d 126.13.156.2) arp —g:顯示所有的表項 備注:56 四、nbtstat 作用:是解決NetBIOS名稱解析問題的工具,可使用nbtstat命令刪除或更正預加載的項目 常用參數:見37頁 備注:57 五、netstat 作用:用來顯示協議統(tǒng)計信息和當前TCP/IP連接,該命令只能在安裝了TCP/IP協議后才能使用。 常用參數:見P37—38頁 備注:58 六、tracert 原理:tracert 是為了探測源節(jié)點到目的節(jié)點之間數據報文經過的路徑,利用IP報文的TTL域在每個經過一個路由器的轉發(fā)后減一,如果此時TTL=0則向源節(jié)點報告TTL超時這個特性,從一開始逐一增加TTL,直到到達目的站點或TTL達到最大值255. 功能:探索兩個節(jié)點的路由。 備注:59 六、tracert 1.1.1.1 1.1.1.2 2.2.2.1 2.2.2.2 TTL=1 TTL=2 TTL=3 備注:60 六、tracert 常用參數: 1、tracert ip_adress 備注:61 六、tracert 2、tracert —h N (設置TTL最大為N) 備注:62 第3章 網絡攻防技術應用 備注:63 3.1 網絡攻擊概述 備注:64 一、網絡黑客 概念:懷有不良企圖,強行闖入遠程計算機系統(tǒng)或惡意干擾遠程系統(tǒng)完整性,通過非授權的訪問權限,盜取數據甚至破壞計算機系統(tǒng)的“入侵者”稱為黑客。 攻擊目的:竊取信息;獲取口令;控制中間站點;獲得超級用戶權限等 備注:65 一、網絡黑客 實例: (1)1983年,“414黑客”,6名少年黑客被控侵入60多臺電腦 (2)1987年,赫爾伯特·齊恩(“影子鷹”),闖入沒過電話電報公司 (3)1988年,羅伯特·莫里斯“蠕蟲程序”,造成1500萬到1億美元的經濟損失。 (4)1990年,“末日軍團”,4名黑客中有3人被判有罪。 (5)1995年,米特尼克偷竊了2萬個信用卡號,8000萬美元的巨額損失。 (6)1998年2月,德國計算機黑客米克斯特,使用美國七大網站陷于癱瘓狀態(tài) 備注:66 一、網絡黑客 (7)1998年,兩名加州少年黑客,以色列少年黑客分析家,查詢五角大樓網站并修改了工資報表和人員數據。 (8)1999年4月,“CIH”病毒,保守估計全球有6千萬部電腦感染。 (9)1999年,北京江民KV300殺毒軟件,損失260萬元。 (10)2000年2月,“雅虎”、“電子港灣”、亞馬孫、微軟網絡等美國大型國際互聯網網站,損失超過了10億美元。 (11)2000年4月,闖入電子商務網站的威爾斯葛雷,估計導致的損失可能超過300萬美元。 備注:67 二、網絡攻擊的目標 目標:系統(tǒng)、數據(數據占70%) 系統(tǒng)型攻擊特點:攻擊發(fā)生在網絡層,破壞系統(tǒng)的可用性,使系統(tǒng)不能正常工作,可能留下明顯的攻擊痕跡。 數據型攻擊特點:發(fā)生在網絡的應用層,面向信息,主要目的是為了篡改和偷取信息,不會留下明顯的痕跡。 (注:著重加強數據安全,重點解決來自內部的非授權訪問和數據的保密工作。) 備注:68 二、網絡攻擊的目標 1、阻塞類攻擊:通過強制占有信道資源、網絡連接資源及存儲空間資源,使服務器崩潰或資源耗盡而無法對外繼續(xù)提供服務(例如拒絕服務攻擊)。 常見方法:TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊及電子郵件炸彈等 攻擊后果:使目標系統(tǒng)死機;使端口處于停頓狀態(tài);在計算機屏幕上發(fā)現雜亂信息、改變文件名稱、刪除關鍵的程序文件;扭曲系統(tǒng)的資源狀態(tài),使系統(tǒng)的處理速度降低。 備注:69 二、網絡攻擊的目標 2、探測類攻擊:收集目標系統(tǒng)的各種與網絡安全有關的信息,為下一步入侵提供幫助。 包括:掃描技術(采用模擬攻擊形式對可能存在的安全漏洞進行逐項檢查)、體系結構刺探及系統(tǒng)信息服務收集等 備注:70 二、網絡攻擊的目標 3、控制類攻擊:試圖獲得對目標主機控制權的。 常見方法:口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊 4、欺騙類攻擊:通過冒充合法網絡主機或通過配置、設置一些假信息來騙取敏感信息。 常見方法:ARP緩存虛構、DNS告訴緩沖污染及偽造電子郵件等 備注:71 二、網絡攻擊的目標 5、漏洞類攻擊:非法用戶未經授權通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權或提高其訪問權限。 6、破壞類攻擊:指對目標主機的各種數據與軟件實施破壞的一類攻擊。 常見方法:計算機病毒、邏輯炸彈 備注:72 3.2 網絡攻擊技術 備注:73 一、網絡攻擊的一般模型概述 網絡攻擊一般模型:經歷四個階段 搜索信息 獲取權限 消除痕跡 深入攻擊 備注:74 一、網絡攻擊的一般模型概述 1、搜集信息(攻擊的偵查階段) 隱藏地址:尋找“傀儡機”,隱藏真實IP地址。 鎖定目標:尋找、確定攻擊目標。 了解目標的網絡結構、網絡容量、目錄及安全狀態(tài) 搜索系統(tǒng)信息:分析信息,找到弱點攻擊。 備注:75 一、網絡攻擊的一般模型概述 2、獲取權限 利用探測到的信息分析目標系統(tǒng)存在的弱點和漏洞,選擇合適的攻擊方式,最終獲取訪問權限或提升現有訪問權限。 3、消除痕跡 清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設置 4、深入攻擊 進行信息的竊取或系統(tǒng)的破壞等操作。 備注:76 二、常用網絡攻擊的關鍵技術 1、端口掃描技術 通過端口掃描可以搜集目標主機的系統(tǒng)服務端口的開放情況,進行判斷目標的功能使用情況,一旦入侵成功后將后門設置在高端口或不常用的端口,入侵者通過這些端口可以任意使用系統(tǒng)的資源。 備注:77 二、常用網絡攻擊的關鍵技術 (1)常用的端口掃描技術 A、TCP connect()掃描:使用connect(),建立與目標主機端口的連接。若端口正在監(jiān)聽,connect()成功返回;否則說明端口不可訪問。任何用戶都可以使用connect()。 B、TCP SYN掃描:即半連接掃描。掃描程序發(fā)送SYN數據包,若發(fā)回的響應是SYN/ACK表明該端口正在被監(jiān)聽,RST響應表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK,則發(fā)送RST斷開連接。(主機不會記錄這樣的連接請求,但只有超級用戶才能建立這樣的SYN數據包)。 備注:78 二、常用網絡攻擊的關鍵技術 C、TCP FIN掃描:關閉的端口用正確的RST應答發(fā)送的對方發(fā)送的FIN探測數據包,相反,打開的端口往往忽略這些請求。 D、Fragmentation掃描:將發(fā)送的探測數據包分成一組很小的IP包,接收方的包過濾程序難以過濾。 E、UDP recfrom()和write()掃描 F、ICMP echo掃描:使用ping命令,得到目標主機是否正在運行的信息。 G、TCP反向Ident掃描: H、FTP返回攻擊 I、UDP ICMP端口不能到達掃描 備注:79 二、常用網絡攻擊的關鍵技術 (2)掃描器 定義:一種自動檢測遠程或本地主機安全弱點的程序,可以不留痕跡地發(fā)現遠程服務器的各種TCP端口的發(fā)配及提供的服務。 工作原理:通過選用遠程TCP/IP不同的端口服務,記錄目標給予的回答。 三項功能:發(fā)現一個主機或網絡的功能;一旦發(fā)現主機,發(fā)現什么服務正在運行在主機上的功能;測試這些服務發(fā)現漏洞的功能。 備注:80 二、常用網絡攻擊的關鍵技術 2、網絡監(jiān)聽技術 網絡監(jiān)聽技術是指截獲和復制系統(tǒng)、服務器、路由器或防火墻等網絡設備中所有網絡通信信息。 網卡接收數據方式:廣播方式、組播方式、直接方式、混雜模式 基本原理:數據包發(fā)送給源主機連接在一起的所有主機,但是只有與數據包中包含的目的地址一致的主機才能接收數據包。若主機工作在監(jiān)聽模式下,則可監(jiān)聽或記錄下同一網段上的所有數據包。 備注:81 二、常用網絡攻擊的關鍵技術 3、網絡欺騙技術 定義:是利用TCP/IP協議本身的缺陷對TCP/IP網絡進行攻擊的技術。 (1)IP欺騙:選定目標,發(fā)現主機間的信任模式,使目標信任的主機喪失工作能力,TCP序列號的取樣和預測,冒充被信任主機進入目標系統(tǒng),實施破壞并留下后門。 備注:82 二、常用網絡攻擊的關鍵技術 (2)ARP欺騙 A、對路由器ARP表的欺騙:原理是截獲網關數據。 B、對局域網內個人計算機的網絡欺騙:原理是偽造網關。 后果:影響局域網正常運行;泄露用戶敏感信息 備注:83 二、常用網絡攻擊的關鍵技術 4、密碼破解技術 指通過猜測或其他手段獲取合法用戶的賬號和密碼,獲得主機或網絡的訪問權,并能訪問到用戶能訪問的任何資源的技術。 備注:84 二、常用網絡攻擊的關鍵技術 密碼攻擊的方法: (1)通過網絡監(jiān)聽非法得到用戶密碼:采用中途截獲的方法獲取用戶賬戶和密碼。 (2)密碼窮舉破解:在獲取用戶的賬號后使用專門軟件強行破解用戶密碼。(口令猜解、字典攻擊、暴力猜解) 備注:85 二、常用網絡攻擊的關鍵技術 5、拒絕服務技術 定義:簡稱DoS技術,是針對TCP/IP協議的缺陷來進行網絡攻擊的手段。通過向服務器傳送大量服務要求,使服務器充斥著這種要求恢復的信息,耗盡網絡帶寬或系統(tǒng)資源,最終導致網絡或系統(tǒng)癱瘓、停止正常工作。 常見攻擊模式:資源消耗型、配置修改型、服務利用型 新型拒絕服務攻擊技術:分布式拒絕服務攻擊、分布式反射拒絕服務攻擊 備注:86 三、常用網絡攻擊工具 1、端口掃描工具:網絡安全掃描器NSS、安全管理員的網絡分析工具SATAN、SuperScan 2、網絡監(jiān)聽工具:X-Scan、Sniffer、NetXray、tcpdump、winpcap等 3、密碼破解工具:是能將口令解譯出來,或者讓口令保護失效的程序。 4、拒絕服務攻擊工具 (1)DoS工具:死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf (2)DDoS工具:TFN、TFN2k、Trinoo、mstream、shaft等 備注:87 3.3 網絡攻擊防御技術 備注:88 一、網絡攻擊的防范策略 1、提高安全意識:從使用者自身出發(fā),加強使用者的自身素質和網絡安全意識。 2、訪問控制策略:保證網絡安全的最核心策略之一,主要任務是保證網絡資源不被非法使用和非法訪問。 3、數據加密策略:最有效的技術之一,通過對網內數據、文件、口令和控制信息進行加密從而達到保護網上傳輸的數據的目的。 4、網絡安全管理策略:確定安全管理登記和安全管理范圍;指定有關網絡操作實驗規(guī)程和人員管理制度;指定網絡系統(tǒng)的維護制度和應急措施。 備注:89 二、常見的網絡攻擊防御方法 1、端口掃描的防范方法 (1)關閉閑置和有潛在危險的端口 (2)發(fā)現有端口掃描的癥狀時,立即屏蔽該端口:可使用防火墻實現 備注:90 二、常見的網絡攻擊防御方法 2、網絡監(jiān)聽的防范方法 (1)對網絡監(jiān)聽攻擊采取的防范措施: 網絡分段:將IP地址按節(jié)點計算機所在網絡的規(guī)模的大小分段,可以對數據流進行限制。 加密:可對數據的重要部分進行加密,也可對應用層加密 一次性密碼技術 劃分VLAN:使用虛擬局域網技術,將以太網通信變成點到點的通信。 備注:91 二、常見的網絡攻擊防御方法 (2)對可能存在的網絡監(jiān)聽的檢測方法: 用正確的IP地址和錯誤的物理地址ping可能正在運行監(jiān)聽程序的主機。 向網上發(fā)送大量不存在的物理地址的包,用于降低主機性能。 使用反監(jiān)聽工具進行檢測。 備注:92 二、常見的網絡攻擊防御方法 3、IP欺騙的防范方法 (1)進行包過濾:只在內網之間使用信任關系,對于外網主機的連接請求可疑的直接過濾掉。 (2)使用加密技術:對信息進行加密傳輸和驗證 (3)拋棄IP信任驗證:放棄以IP地址為基礎的驗證。 備注:93 二、常見的網絡攻擊防御方法 4、密碼破解的防范方法 密碼不要寫下來 不要將密碼保存在計算機文件中 不要選取顯而易見的信息做密碼 不要再不同系統(tǒng)中使用同一密碼 定期改變密碼 設定密碼不宜過短,最好使用字母、數字、標點符號、字符混合 備注:94 二、常見的網絡攻擊防御方法 5、拒絕服務的防范方法 (1)拒絕服務的防御策略: 建立邊界安全界限,確保輸出的數據包收到正確限制。經常檢測系統(tǒng)配置信息,并建立完整的安全日志。 利用網絡安全設備加固網絡的安全性,配置好設備的安全規(guī)則,過濾所有可能的偽造數據包。 備注:95 二、常見的網絡攻擊防御方法 (2)具體DOS防范方法: 死亡之ping的防范方法:設置防火墻,阻斷ICMP以及任何未知協議。、 Teardrop的防范方法:在服務器上應用最新的服務包,設置防火墻對分段進行重組,不轉發(fā)它們。 TCP SYN洪水的防范方法:關掉不必要的TCP/IP服務,或配置防火墻過濾來自同一主機的后續(xù)連接。 Land的防范方法:配置防火墻,過濾掉外部結構上入棧的含有內部源地址的數據包。 Smurf的防范方法:關閉外部路由器或防火墻的廣播地址特征,或通過在防火墻上設置規(guī)則,丟棄ICMP包。 備注:96 三、入侵檢測技術 1、概述 通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析,以發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。 備注:97 三、入侵檢測技術 2、功能 (1)監(jiān)控、分析用戶和系統(tǒng)的活動 (2)對系統(tǒng)配置和漏洞的審計 (3)估計關鍵系統(tǒng)和數據文件的完整性 (4)識別和反應入侵活動的模式并向網絡管理員報警 (5)對異常行為模式的統(tǒng)計分析 (6)操作系統(tǒng)審計跟蹤管理,識別違反策略的用戶活動 備注:98 三、入侵檢測技術 3、入侵檢測技術 入侵行為與用戶的正常行為存在可量化的差別,通過檢測當前用戶行為的相關記錄,從而判斷攻擊行為是否發(fā)生。 (1)統(tǒng)計異常檢測技術 對合法用戶在一段時間內的用戶數據收集,然后利用統(tǒng)計學測試方法分析用戶行為,以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。 (2)規(guī)則的檢測技術 通過觀察系統(tǒng)里發(fā)生的事件并將該時間與系統(tǒng)的規(guī)則進行匹配,來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測。 備注:99 三、入侵檢測技術 4、入侵檢測過程 (1)信息收集: 在網絡系統(tǒng)中的不同網段、不同主機收集系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為等相關數據。 (2)信息分析 匹配模式:將收集到的信息與已知的網絡入侵和系統(tǒng)已有的模式數據庫進行匹配,進而發(fā)現違反安全策略的行為。 備注:100 三、入侵檢測技術 統(tǒng)計分析:首先給系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。這個測量屬性的平均值將與網絡、系統(tǒng)的行為進行比較,是否處于正常范圍之內。 完整性分析:關注某個固定的對象是否被更改。 備注:101 三、入侵檢測技術 5、入侵檢測系統(tǒng)的基本類型 (1)基于主機的入侵檢測系統(tǒng) 使用操作系統(tǒng)的審計日志作為數據源輸入,根據主機的審計數據和系統(tǒng)日志發(fā)現可疑事件。依賴于審計數據和系統(tǒng)日志的準確性、完整性以及安全事件的定義。 備注:102 三、入侵檢測技術 (2)基于網絡的入侵檢測系統(tǒng) 使用整個網絡上傳輸的信息流作為輸入,通過被動地監(jiān)聽捕獲網絡數據包,并分析、檢測網絡上發(fā)生的網絡入侵行為。但只能檢測直接連接網絡的通信,不能檢測不同網段的網絡包。 (3)分布式入侵檢測系統(tǒng)(混合型) 備注:103 三、入侵檢測技術 6、入侵檢測系統(tǒng)應對攻擊的技術 (1)入侵響應 當檢測到入侵或攻擊時,采取適當的措施阻止入侵和攻擊的進行。 (2)入侵跟蹤技術 知道對方的物理地址、IP地址、域名、應用程序地址等就可以跟蹤對方。 備注:104 四、蜜罐技術 1、蜜罐技術 蜜罐系統(tǒng)是互聯網上運行的計算機系統(tǒng),可以被攻擊,對于攻擊方入侵的過程和行為進行監(jiān)視、檢測和分析,進而追蹤入侵者。 蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng),是一種被監(jiān)聽、被攻擊或已被入侵的資源,通過模擬一個或多個易被攻擊的主機,給攻擊者提供一個容易攻擊的目標,而拖延攻擊者對真正目標的攻擊,讓其在蜜罐上浪費時間。 備注:105 四、蜜罐技術 蜜罐系統(tǒng)關鍵技術:服務偽裝、漏洞提供 蜜罐技術缺陷:只能對針對蜜罐的攻擊行為進行監(jiān)視和分析,不能像入侵檢測系統(tǒng)一樣能夠通過旁路偵聽等技術隊整個網絡進行監(jiān)控。 備注:106 四、蜜罐技術 2、蜜網技術 蜜網技術又稱為誘捕網絡,它構成一個黑客誘捕網絡體系架構,其上包含一個或多個蜜罐,同時保證了網絡的高度可控性,以及提供多種工具一方便對攻擊信息采集和分析。 蜜網核心需求:數據控制、數據捕獲、數據分析 備注:107 第4章 操作系統(tǒng)安全配置方案 備注:108 4.1 安全操作系統(tǒng)概述 備注:109 一、安全操作系統(tǒng)的定義 1、操作系統(tǒng)的安全現狀 2、安全操作系統(tǒng)的定義 系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問,即只有經過授權的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。 備注:110 一、安全操作系統(tǒng)的定義 包含有: (1)操作系統(tǒng)在設計時通過權限訪問控制、信息加密性保護和完整性鑒定等一些機制實現的安全防護。 (2)操作系統(tǒng)在使用時,通過配置保證系統(tǒng)避免由于實現時的缺陷或是應用環(huán)境因素產生的不安全。 備注:111 二、安全操作系統(tǒng)的特征 1、最小特權原則 2、有ACL的自主訪問控制 3、強制訪問控制:制定一個固定的安全屬性,來決定一個用戶是否可以訪問資源。安全屬性可由系統(tǒng)自動分配也可由系統(tǒng)管理員手動分配。 4、安全審計和審計管理: 5、安全域隔離 6、可信路徑: 備注:112 4.2 Windows操作系統(tǒng)安全性 備注:113 一、操作系統(tǒng)的安全性概述 1、Windows XP安全性 (1)完善的用戶管理功能 可在登錄界面查看當前系統(tǒng)中的所有用戶名,可控制用戶對文件的訪問,并且開啟文件的審核功能后,可將用戶對文件的訪問情況記錄到安全日志文件中。 (2)軟件限制策略的透明性 以透明的方式隔離和使用不可靠的、潛在對用戶數據有害的代碼。 備注:114 一、操作系統(tǒng)的安全性概述 (3)支持NTFS和EFS文件系統(tǒng) EFS是加密文件系統(tǒng),可通過在要加密的文件“屬性”對話框“常規(guī)”選項卡的“高級”按鈕中設置,自動產生加密密鑰文件。 (4)安全的網絡訪問特性 自動更新功能:只要聯網,自動查看是否有新的補丁或其他內容可更新。 系統(tǒng)自帶Internet鏈接防火墻功能 關閉后門:關閉了前Windows版本中存在的后門。 備注:115 一、操作系統(tǒng)的安全性概述 2、Windows Server 2003安全性 (1)IIS 6.0的改進 在Windows Server 2003中需手動安裝,可自動探測到內存泄露、非法訪問及其他錯誤。 (2)活動目錄的安全性改進 (3)數據存儲和保護 可授權額外用戶訪問加密文件或訪問加密脫機文件。自動恢復系統(tǒng)ASR可輕松恢復系統(tǒng),避免系統(tǒng)因發(fā)生錯誤或攻擊而不能正常運行。 備注:116 一、操作系統(tǒng)的安全性概述 (4)安全方面新增功能 高可信度計算:在所有產品中采用了高可信度計算作為關鍵技術,提高軟件環(huán)境的安全性。 CRL:CRL通過檢查軟件代碼下載和安裝的位置、是否擁有可信的開發(fā)商的數字簽名、是否層被改動等來檢驗應用程序是否安全和能否正常運行。 關機的“理由”:安裝了關機跟蹤器,需要在關機或重啟時提供理由,這樣可在用戶重啟系統(tǒng)之前檢測到將要接近或超過的服務器系統(tǒng)資源限制。這樣可以了解導致服務器性能降低的原因。 命令行工具:提供了命令行的管理工具,便于完成在GUI(圖形用戶界面)方式下較難完成的操作。 備注:117 二、Windows操作系統(tǒng)的漏洞 1、Windows XP系統(tǒng)的漏洞 (1)UPnP(通用即插即用技術)服務導致的漏洞 A、NPTIFY緩沖區(qū)溢出漏洞 B、產生DoS和DDoS攻擊的漏洞 C、漏洞的解決方法: 下載程序補??;設置防火墻、禁止網絡外部數據包對1900號端口的連接;關閉UPnP服務等 備注:118 (2)遠程桌面明文帳戶名傳送漏洞 當建立遠程桌面連接的時候,將用戶的帳戶名以明文方式發(fā)給連接的客戶端,這樣容易被網絡上的嗅探程序捕獲。 解決方法:“開始”菜單—“設置”—“控制面板”—“管理工具”—“服務”—禁用“Universal Plug and Play Device Host”服務 備注:119 二、Windows操作系統(tǒng)的漏洞 (3)快速帳號切換功能造成帳號鎖定漏洞 用這一功能快速重復登錄一個用戶,則系統(tǒng)會錯認為有暴力猜測攻擊,造成全部非管理員帳號被鎖定。 解決方法:禁用快速用戶切換功能。 (4)升級程序漏洞 系統(tǒng)版本升級造成原系統(tǒng)中IE的補丁文件被刪除,出現漏洞。 解決方法:從網站下載最新補丁 備注:120 二、Windows操作系統(tǒng)的漏洞 (5)Windows Media Player漏洞 會產生信息泄露漏洞和腳本執(zhí)行漏洞。 解決方法:信息泄露漏洞可以將要播放的文件先下載到本地再播放可避免。腳本執(zhí)行漏洞,只有用戶先播放一個特殊的媒體文件后又瀏覽一個經過特殊處理的網頁,攻擊者才能利用該漏洞進行成功攻擊。 備注:121 二、Windows操作系統(tǒng)的漏洞 (6)熱鍵漏洞 當系統(tǒng)長時間未用而進入“自動注銷”后,雖然他人沒有密碼就無法進入桌面,但可以通過熱鍵啟動應用程序。 解決方法:檢查可能帶來危害的熱鍵;啟動屏幕保護程序,并設置密碼;在離開計算機時鎖定計算機。 備注:122 二、Windows操作系統(tǒng)的漏洞 2、Windows Server 2003系統(tǒng)的安全問題 (1)系統(tǒng)存在不需要身份驗證的服務,若開放這些服務,遠程用戶可不需要驗證直接登錄系統(tǒng)。 (2)應用在系統(tǒng)中的Kerberos V5(安全身份驗證協議)有安全漏洞,從而造成Windows Server 2003系統(tǒng)的不安全性。 (3)Windows Server 2003系統(tǒng)的日志機制存在缺陷,無法追蹤攻擊者的IP地址。 備注:123 二、Windows操作系統(tǒng)的漏洞 (4)Windows Server 2003系統(tǒng)的身份驗證規(guī)程可以被竊聽破解。 (5)在系統(tǒng)漏洞被修補前的安全隱患期容易被攻擊。 (6)口令字可被破解:通過加密口令字典中已知短語,然后和口令密文進行匹配。 (7)基于TCP/IP協議的安全弱點 備注:124 二、Windows操作系統(tǒng)的漏洞 3、Windows系統(tǒng)服務的安全隱患 Messenger服務:主要用來發(fā)送和接收系統(tǒng)管理員的Alerter服務消息,別人容易利用該功能向計算機用戶發(fā)送垃圾郵件。 Application Layer Gateway Service服務:主要提供互聯網聯機防火墻的第三方通信協議插件的支持,較容易遭到惡意攻擊。 備注:125 二、Windows操作系統(tǒng)的漏洞 ClipBook服務:允許任何已連接的網絡中的其他用戶查看本機的剪貼板。 Indexing Service服務 Computer Browser服務:可將當前主機所使用網絡上的計算機列表提供給那些請求得到該列表的程序。 備注:126 二、Windows操作系統(tǒng)的漏洞 Terminal Services服務:主要提供多會話環(huán)境,允許客戶端設備訪問虛擬的桌面會話及運行在服務器上的基于Windows程序并打開默端口號為3389的對外端口。 Remote Registry Service服務:允許遠程用戶通過簡單的連接就可修改本地計算機的注冊表設置。 備注:127 三、操作系統(tǒng)的安全配置方案 最小的服務+最小的權限=最大的安全 1、精簡系統(tǒng)的服務組件和程序 只安裝滿足當前系統(tǒng)需要的服務,遵循最小化安裝的原則。后期需要其他服務再即時安裝即可。 2、系統(tǒng)漏洞修補 在系統(tǒng)安裝完,并且所有服務組件都安裝好后,應及時安裝系統(tǒng)補丁程序。 3、關閉不用的或未知的端口 當禁用一項服務時,可關閉其對應的端口,防止黑客通過此端口攻擊系統(tǒng)。 備注:128 三、操作系統(tǒng)的安全配置方案 4、禁用危險服務 禁用危險的服務,將入侵者可能的入侵通道關閉。 5、強化權限設置 根據實際的應用需求來設置權限,且權限的設置應遵循最小特權原則。可以保護用戶能夠完成所操作的任務,又能降低誤操作或攻擊對系統(tǒng)及數據造成的損失。 備注:129 三、操作系統(tǒng)的安全配置方案 6、規(guī)范身份驗證機制 該機制用戶確認嘗試登錄域或訪問網絡資源的任何用戶的身份,對系統(tǒng)帳戶進行規(guī)范化管理,盡量減少使用的帳戶,因為系統(tǒng)的帳戶越多,攻擊者獲得合法用戶權限的概率越大。 備注:130 三、操作系統(tǒng)的安全配置方案 7、建立審核策略機制 可跟蹤系統(tǒng)中的各類事件并將其寫入日志文件,供管理員分析、查找系統(tǒng)和應用程序故障和分析各類安全事件。 8、加強日志管理和保護 針對不同服務設置的日志文件要加強管理,設置嚴格的訪問權限。 備注:131 4.3 Linux操作系統(tǒng)安全性 備注:132 一、Linux操作系統(tǒng)安全性概述 1、Linux安全性概述 2、Linux安全問題 (1)文件系統(tǒng)未受到保護 很多系統(tǒng)重要文件沒有受到保護,可以被修改和覆蓋,經過篡改后的文件可能造成系統(tǒng)的漏洞。 (2)進程未受到保護 若黑客侵入擁有超級用戶的管理權限,完全有權終止系統(tǒng)上運行的為系統(tǒng)功能所服務的進程。 備注:133 一、Linux操作系統(tǒng)安全性概述 (3)超級用戶對系統(tǒng)操作的權限不受限制,甚至可以對現有的權限進行修改 超級用戶權限過大,對于很多特權進程和系統(tǒng)服務需要超級用戶權限的,開放后會造成安全漏洞,攻擊者容易由此獲得超級用戶口令;而超級用戶若將某文件的使用權利賦予普通用戶,則也就同時將該權利賦予該普通用戶所在的同工作組用戶,使得文件的使用不安全。 備注:134 二、Linux操作系統(tǒng)的安全機制 通過在使用中對于Linux系統(tǒng)的不斷完善,增加各種安全機制來提高系統(tǒng)的安全性。 1、身份認證機制 (1)基于主體的口令或密鑰的驗證 加密時間戳:時間戳就是文件的創(chuàng)建、修改、訪問時間。用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。 盤問響應:口令的響應時間,限定一段時間,超過該時間口令將失去效用。 備注:135 二、Linux操作系統(tǒng)的安全機制 (2)基于智能卡的驗證 通過預存信息到設備當中,當使用智能卡時,只需要核對卡中和系統(tǒng)中的預存信息即可。 (3)生物識別技術 基于指紋、聲音、視網膜等獨一無二特征的驗證。需要事先將這些特征的相關信息存儲入電腦,設定好權限。 備注:136 二、Linux操作系統(tǒng)的安全機制 2、加密文件系統(tǒng) 通過加密文件系統(tǒng)對文件進行加密處理,使文件即使失竊也不會泄露信息。只給予權限的合法用戶正常使用該文件的權利,訪問該文件與訪問普通文件沒有區(qū)別,而其他用戶則不可讀。 3、強制訪問控制機制 強制性的限制信息的共享和資源的流動,使不同的用戶只能訪問到與其相關的、制定范文的信息。 備注:137 二、Linux操作系統(tǒng)的安全機制 4、防火墻技術 防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯設備。即對網絡間傳輸的數據包進行安全檢查。 備注:138 二、Linux操作系統(tǒng)的安全機制 (1)訪問控制:可拒絕非授權訪問,保護內部用戶的合法訪問。 (2)審計:對通過防火墻的網絡訪問進行記錄,建立完整的日志、審計和跟蹤網絡訪問記錄。 (3)防御攻擊:給與安裝防火墻的內部網絡予以保護,防御外界的各種攻擊行為。 (4)其他附屬功能 備注:139 二、Linux操作系統(tǒng)的安全機制 5、入侵檢測系統(tǒng) (1)記錄入侵企圖 (2)在規(guī)定情況的攻擊行為發(fā)生時,采取預先設定的措施 (3)發(fā)送一些錯誤信息給攻擊方,使攻擊方做出錯誤判斷 備注:140 二、Linux操作系統(tǒng)的安全機制 6、安全審計機制 安全審計機制可以記錄攻擊者的行蹤,幫助系統(tǒng)管理員掌握系統(tǒng)受到的攻擊行為,并針對這些攻擊行為采取相應的安全措施。 7、內核封裝技術 保護系統(tǒng)內核,限制了系統(tǒng)管理員的該權限,使用戶不能對內核進行模塊插入。 備注:141 三、Linux操作系統(tǒng)安全配置方案 1、Linux系統(tǒng)安裝的安全性考慮 在初始安裝的時候,對系統(tǒng)的磁盤分區(qū)做好安全設置方案。 2、安裝系統(tǒng)補丁 安裝完系統(tǒng)后及時查看系統(tǒng)漏洞,尋找相應的解決方案彌補系統(tǒng)安全缺陷。 3、關閉不需要的服務端口 4、為LILO增加開機口令 備注:142 三、Linux操作系統(tǒng)安全配置方案 5、用戶帳戶及口令的管理 可以通過設置口令的最小長度(修改/etc/login.defs中PASS_MIN_LEN參數)、口令的使用時間(修改/etc/login.defs中PASS_MIN_DAYS參數),增加用戶帳戶口令的安全性。 6、禁止和允許遠程訪問 通過修改hosts.deny和dosts.allow兩個文件來禁止和允許遠程主機對本地主機的訪問。 7、磁盤空間維護 定期檢查系統(tǒng)的磁盤空間的使用情況。 備注:143 第5章 計算機病毒及防治技術 備注:144 5.1 計算機病毒概述 備注:145 一、計算機病毒的發(fā)展 1、計算機病毒的發(fā)展史 第一階段:原始病毒階段(1986—1989年) 特點:傳染目標單一,主要通過截獲系統(tǒng)中斷向量的方式檢視系統(tǒng)的運行狀態(tài)。感染后磁盤上出現壞扇區(qū)、文件長度增加、文件建立時間發(fā)生改變等。沒有自我保護措施,容易被發(fā)現與刪除。 備注:146 一、計算機病毒的發(fā)展 第二階段:混合型病毒階段(1989—1991年) 特點:病毒程序駐留內存和傳染目標更為隱蔽,傳染后沒有明顯特征,病毒本身有自我保護措施,而且容易產生變種病毒,具有更大的破壞性。 第三階段:多態(tài)性病毒階段(1992—1995年) 特點:病毒開始向多維化、多態(tài)化或自我變形化發(fā)展。即病毒程序大多都是可變的,同一個病毒的多個樣本的程序代碼大多是不同的。 備注:147 一、計算機病毒的發(fā)展 第四階段:網絡病毒階段(20世紀90年代中后期開始) 特點:利用網絡作為主要的傳播途徑,傳播速度快、隱蔽性強、破壞性大。 第五階段:主動攻擊型病毒(2000年至今) 特點:病毒利用操作系統(tǒng)的漏洞進行攻擊型的擴散,不需要任何媒介或操作。 備注:148 一、計算機病毒的發(fā)展 2、計算機病毒的定義 計算機病毒是編寫的或在計算機程序中插入的破壞計算機功能或者破壞數據、影響計算機使用并能自我復制的一組計算機指令或程序代碼。 備注:149 一、計算機病毒的發(fā)展 3、計算機病毒發(fā)展的趨勢 (1)網絡化:病毒的傳播與網絡緊密結合 (2)功能的綜合化:集合文件傳染、蠕蟲、木馬和黑客程序特點 (3)傳播渠道多樣化:通過網絡共享、網絡漏洞、網絡瀏覽、電子郵件等傳播 (4)病毒的多平臺化:出現跨操作系統(tǒng)平臺的病毒 備注:150 二、計算機病毒的特點 1、傳染性 2、潛伏性 3、觸發(fā)性 4、破壞性 5、非授權性 6、隱蔽性 7、衍生性 備注:151 三、計算機病毒的類型 1、按計算機病毒攻擊的操作系統(tǒng)不同分類 (1)攻擊DOS系統(tǒng)的病毒 (2)攻擊Windows系統(tǒng)的病毒 (3)攻擊Unix系統(tǒng)的病毒 (4)攻擊OS/2系統(tǒng)的病毒 (5)攻擊NetWare系統(tǒng)的病毒 (6)攻擊Linux系統(tǒng)的病毒 備注:152 三、計算機病毒的類型 2、按病毒的攻擊機型不同分類 (1)攻擊微型計算機的病毒 (2)攻擊小型機的病毒 (3)攻擊工作站的病毒 備注:153 三、計算機病毒的類型 3、按計算機病毒的鏈接方式不同分類 (1)源碼型病毒:通過攻擊高級語言編寫的程序,在程序編譯前插入源程序中,經編譯成為合法程序的一部分。 (2)嵌入型病毒:是將病毒嵌入現有程序,把病毒主體程序與攻擊對象以插入的方式鏈接。 備注:154 三、計算機病毒的類型 (3)外殼型病毒:病毒將自身包圍在合法程序的周圍,對程序不做修改,只是會增加文件的大小 (4)操作系統(tǒng)型病毒:將病毒的程序代碼加入或替換部分操作系統(tǒng)文件。 備注:155 三、計算機病毒的類型 4、按計算機病毒的破壞情況不同分類 (1)良性計算機病毒:指對計算機系統(tǒng)不產生直接破壞作用的代碼,只占用內存資源或CPU的控制權等。 (2)惡性計算機病毒:指代碼中包含有損傷或破壞計算機系統(tǒng)的操作,在感染或發(fā)作時會對系統(tǒng)產生直接的破壞作用。 備注:156 三、計算機病毒的類型 5、按傳播媒介不同分類 (1)單機病毒:通過可移動存儲設備在系統(tǒng)間傳染病毒 (2)網絡病毒:通過網絡進行傳播 備注:157 三、計算機病毒的類型 6、按傳染方式不同分類 (1)引導型病毒:主要感染磁盤的引導區(qū) (2)文件型病毒:主要感染磁盤上的可執(zhí)行文件com、exe等,附著于可執(zhí)行文件,成為文件的外殼或部件。當運行受感染的文件時,才會將病毒引導入內存。 (3)混合型病毒:兼有引導型和文件型的特點,擴大感染途徑。 備注:158 三、計算機病毒的類型 7、按病毒特有的算法不同分類 (1)伴隨型病毒:根據算法產生和原執(zhí)行文件名字相同、擴展名不同的執(zhí)行文件,病毒將自身寫入伴隨文件中,而不改變原執(zhí)行文件,當執(zhí)行時優(yōu)先執(zhí)行伴隨文件,后再由伴隨體加載執(zhí)行原文件。 備注:159 三、計算機病毒的類型 (2)蠕蟲型病毒:通過網絡傳播,一般除了占用內存,不改變文件。 (3)寄生型病毒:除了伴隨型病毒和蠕蟲病毒,剩余的全部可稱為寄生型病毒。 備注:160 四、計算機病毒的工作方式 1、計算機病毒的傳播途徑 (1)通過不可移動的計算機硬件設備進行傳播 (2)通過磁盤、U盤和移動硬盤等可移動的存儲介質傳播 (3)通過計算機網絡進行傳播 (4)通過無線電等無線通信介質進行傳播 備注:161 四、計算機病毒的工作方式 2、計算機病毒的觸發(fā)條件 (1)時間觸發(fā):包括特定的時間觸發(fā)、感染后累計工作時間觸發(fā)及文件最后寫入時間觸發(fā)等。 (2)鍵盤觸發(fā):包括擊鍵次數觸發(fā)、組合鍵觸發(fā)和熱啟動觸發(fā)等。 備注:162 四、計算機病毒的工作方式 (3)感染觸發(fā):病毒的感染需要某些條件觸發(fā),而病毒又以感染有關的信息作為破壞行為的觸發(fā)條件。包括運行感染文件個數觸發(fā)、感染序數觸發(fā)、感染磁盤數觸發(fā)和感染失敗觸發(fā)等。 (4)啟動觸發(fā):對主機的啟動次數計數,將此作為觸發(fā)條件。 備注:163 四、計算機病毒的工作方式 (5)訪問磁盤次數觸發(fā):對磁盤I/O訪問的次數進行計數,以預定次數作為觸發(fā)條件。 (6)調用中斷功能觸發(fā):以中斷調用次數達到預定次數作為觸發(fā)條件。 (7)CPU型號/主板型號觸發(fā):以預定的CPU型號/主板型號為觸發(fā)條件。 備注:164 四、計算機病毒的工作方式 3、計算機病毒感染的表現 計算機運行遲鈍、程序載入時間長、存儲空間不足、CUP占用率高等 備注:165 5.2 計算機病毒的防治技術 備注:166 一、計算機病毒的防治技術 計算機病毒防治:通過建立合理的計算機病毒防范體系和制度,及時發(fā)現計算機病毒的侵入,并采取有效的手段阻止計算機病毒的傳播和破壞,恢復受影響的計算機系統(tǒng)和數據。主要分為: 備注:167 一、計算機病毒的防治技術 1、病毒防范技術:防止病毒對系統(tǒng)進行傳染和破壞的技術手段。 措施:識別文件類型和后綴,不打開不明文件;安裝防毒軟件并保持更新;對移動存儲介質打開前先殺毒;不從不可靠的渠道下載軟件;盡量使用防火墻。 備注:168 一、計算機病毒的防治技術 2、病毒檢測技術:通過一定的技術手段判斷出計算機病毒的技術。 (1)特征代碼法 (2)校驗和法 (3)行為檢測法 (4)軟件模擬法 (5)實時I/O掃描 (6)網絡檢測法 備注:169 一、計算機病毒的防治技術 3、病毒清除技術:在檢測發(fā)現特定的計算機病毒的基礎上,根據具體病毒的消除方法,從傳染的程序中除去計算機病毒代碼并恢復文件的原有結構信息的技術。 方法:手工清除、利用殺毒軟件自動清除、低級格式化 4、病毒免疫技術:免疫技術基于對新病毒的檢測能力,需要不斷的更新進而阻止新病毒的傳播。 備注:170 二、主機病毒的防治方法 1、安裝防殺病毒軟件 2、應用安全更新 3、系統(tǒng)漏洞測試 4、啟用基于主機的防火墻 5、合理設置權限 6、限制可疑的應用程序 7、重要數據定期備份 備注:171 三、網絡病毒的防治 1、網絡病毒 特點:傳播方式復雜、傳播速度快、傳播范圍廣、清除難度大、破壞危害大、病毒變種多及病毒功能多樣化等。 (1)蠕蟲病毒:通過分布式網絡來擴散傳播特定的信息或錯誤,進而造成網絡服務遭到拒絕并發(fā)生死鎖或系統(tǒng)崩潰。蠕蟲病毒不需要“宿主”,只在內存中維持一個活動副本,不需要在硬盤中寫入病毒程序。 備注:172 三、網絡病毒的防治 (2)木馬病毒:在正常程序中存放秘密指令,在執(zhí)行程序時,尋找發(fā)現系統(tǒng)漏洞,竊取重要信息。木馬病毒對計算機進行跟蹤監(jiān)視、控制、查看及修改等操作,具有很強的隱蔽性、突發(fā)性和攻擊性。 傳播方式:通過E-mail傳播;通過軟件下載;通過通信軟件發(fā)送文件傳播等。 備注:173 三、網絡病毒的防治 2、防治方法 (1)建立嚴格的規(guī)章制度和操作規(guī)范 (2)防火墻與防毒軟件結合 (3)正確選擇網絡防殺病毒軟件產品 (4)建立多層次防御:病毒檢測、數據保護和實時監(jiān)控 備注:174 5.3 常見殺毒軟件簡介 備注:175 一、國內典型殺毒軟件 1、瑞星殺毒軟件 瑞星殺毒軟件2010是一款基于瑞星“云安全”系統(tǒng)設計的新一代殺毒軟件。其“整體防御系統(tǒng)”可將所有互聯網威脅攔截在用戶電腦以外。深度應用“云安全”的全新木馬引擎、“木馬行為分析”和“啟發(fā)式掃描”等技術保證將病毒徹底攔截和查殺。再結合“云安全”系統(tǒng)的自動分析處理病毒流程,能第一時間極速將未知病毒的解決方案實時提供給用戶。 備注:176 一、國內典型殺毒軟件 A、查殺病毒 后臺查殺、斷點續(xù)殺、異步殺毒處理、空閑時段查殺、嵌入式查殺、開機查殺。 B、智能啟發(fā)式檢測技術+云安全 根據文件特性進行病毒的掃描,最大范圍發(fā)現可能存在的未知病毒并極大程度避免誤報給用戶帶來的煩惱。 C、瑞星的智能主動防御技術 系統(tǒng)加固、木馬入侵攔截、木馬行為防御 備注:177 一、國內典型殺毒軟件 D、瑞星實時監(jiān)控 文件監(jiān)控:提供高效的實時文件監(jiān)控系統(tǒng)。 郵件監(jiān)控:提供支持多種郵件客戶端的郵件病毒防護體系。 E、安全檢測 電腦體檢:針對用戶系統(tǒng)進行有效評估,幫助用戶發(fā)現安全隱患。 備注:178 一、國內典型殺毒軟件 F、軟件安全 密碼保護:防止用戶的安全配置被惡意修改。 自我保護:防止病毒對瑞星殺毒軟件進行破壞。 G、工作模式 家庭模式:適用于用戶在游戲、視頻播放、上網等情況,為用戶自動處理安全問題。 專業(yè)模式:用戶擁有對安全事件的處理權。 H、“云安全”(Cloud Security)計劃 與全球瑞星用戶組成立體監(jiān)測防御體系,最快速度發(fā)現安全威脅,解決安全問題,共享安全成果。 備注:179 一、國內典型殺毒軟件 2、江民殺毒軟件 3、金山毒霸 備注:180 二、國外典型殺毒軟件 1、卡巴斯基 三項技術共同協作提供全天候保護:1)平均每小時自動更新反病毒數據庫,2)在獨立的、安全的區(qū)域啟動程序,3)監(jiān)控并分析系統(tǒng)進程以防止惡意行為。 個人防火墻:含有默認設置的新一代防火墻能夠自動監(jiān)控常用程序的行為,防止任何未經授權將私密數據傳送給第三方的企圖。使用隱身模式,您可以進行網上沖浪卻不被潛在的攻擊者發(fā)現井作為攻擊目標。 備注:181 二、國外典型殺毒軟件 隱私控制:許多惡意程序的目的是從Windows的保護存儲區(qū)獲取用戶賬戶和密碼,包括在線銀行、網上拍賣、支付系統(tǒng)、在線游戲等。卡巴斯基互聯網安全套裝監(jiān)控并阻止所有試圖從該存儲區(qū)收集或轉發(fā)用戶個人資料的行為。 應急磁盤:使用卡巴斯基互聯網安全套裝自帶的向導可快速簡單的創(chuàng)建應急磁盤。如果計算機受到病毒攻擊,可以使用它來修復已受損的操作系統(tǒng)。 備注:182 二、國外典型殺毒軟件 家長控制:家長可以通過創(chuàng)建黑名單來防止其子女誤入不良網站。創(chuàng)建黑名單可依據具體網址,或者指明禁止內容的類別,名單可根據用戶類型而定義。另外,家長還能通過限制兒童在線時間來防止兒童過度上網。 反垃圾郵件:使用多種過濾模式使郵箱免受垃圾郵件的煩惱。 備注:183 二、國外典型殺毒軟件 2、諾頓 3、NOD32 4、McAfee 備注:184 第6章 密碼技術應用 備注:185 6.1 密碼學概述 備注:186 一、密碼學中基本概念 1、明文:未被加密的原始信息。 2、密文:加密后的信息。 3、加密:用某種方法偽裝信息以隱藏它的內容的過程。 4、解密:把密文轉變?yōu)槊魑牡倪^程。 5、密鑰:參與加密和解密的關鍵數據。 備注:187 一、密碼學中基本概念 6、密碼員:對明文進行加密操作的人員。 7、密碼算法:用于加密和解密的數學函數。 8、加密算法:密碼員對明文進行加密操作時所采用的一組規(guī)則。 9、接收者:傳送消息的預定對象。 10、解密算法:接收者對密文解密所采用的一組規(guī)則。 備注:188 二、密碼技術理論基礎 明文經過加密密鑰生成的加密算法的加工生成密文,密文經過解密密鑰生成的解密算法的加工還原成明文。 備注:189 6.2 數據加密技術 備注:190 一、古典密碼體制 1、代替密碼:就是明文中的每個字符用另一個字符替換而形成密文。接收者對密文做反向替換就可以恢復明文。 E(m)=(m+k)mod n 2、置換密碼:又稱換位密碼,就是明文字母保持相同,但字符在明文中的順序打亂,實現明文信息的加密。 備注:191 二、對稱密碼體制 1、概念:也稱共享密鑰,對稱密碼算法是指加密密鑰為同一密鑰或雖然不相同,但是由其中任意一個可以很容易推導出另一個的密碼算法。 2、對稱密碼技術原理 通過同一密鑰,得出對稱的加密和解密算法,進行加密和解密操作。 備注:192 二、對稱密碼體制 3、DES加密算法 (1)入口參數: Key占8個字節(jié),有效密鑰長度為56位,8位用于奇偶校驗; Data占8個字節(jié),內容為要被加密或解密的數據; Mode為DES的工作方式,加密或解密。 備注:193 二、對稱密碼體制 (2)工作原理: 將明文的64位數據塊按位重新組合,進行前后置換操作,后經過迭代運算生成新的64位數據塊,進行與初始置換相反的逆置換,最終得到密文輸出。 備注:194 二、對稱密碼體制 4、對稱密碼的優(yōu)缺點 優(yōu)點:安全性較高,加密解密速度快 缺點: (1)密鑰必須秘密的分配 (2)缺乏自動檢測密鑰泄露的能力 (3)隨著用戶數的增加,密鑰總數不斷增加 (4)無法解決消息確認問題 備注:195 三、非對稱密碼體制 1、基本概念 非對稱密鑰加密,也稱為公開密鑰加密,使用兩個不同的密鑰,一個用來加密信息,稱為加密密鑰;另一個用來解密信息,稱為解密密鑰。其中一個密鑰可以是公開的,即公開密鑰;另一個密鑰要絕對保密,即私有密鑰。 備注:196 三、非對稱密碼體制 2、非對稱密碼技術原理 非對稱密碼技術的原理基于陷門單向函數的概念,即加上了一些額外信息后易于計算并易于求逆的數學函數。 目前三類安全有效的系統(tǒng): (1)大整數因子分解系統(tǒng) (2)離散對數系統(tǒng) (3)橢圓曲線離散對數系統(tǒng) 備注:197 三、非對稱密碼體制 3、發(fā)方公鑰加密和發(fā)方私鑰加密 發(fā)方公鑰加密、收方私鑰解密可實現多個用戶加密信息,由一個用戶解讀。 發(fā)方私鑰加密、收方公鑰解密可實現一個用戶加密信息,由多個用戶解讀。 4、非對稱密碼算法的特點 (1)用不同的密鑰對信息進行加密和解密 (2)加密密鑰不能用來解密 (3)在計算機上可以容易地產生成對的加密密鑰和解密密鑰 (4)從已知的加密密鑰上不能推導出解密密鑰 (5)加密和解密的運算可以對調 備注:198 三、非對稱密碼體制 5、RSA算法 選取兩個長度相同的大素數p、q,兩數乘積為n,n的歐拉函數為(p-1)(q-1),取e滿足max(p,q)利用私鑰加密信息摘要得到數字簽名—>將原文和數字簽名一起發(fā)送給接收方 2、接收方驗證過程 將消息中的原文和數字簽名分離—>使用公鑰解密數字簽名得到摘要—>使用相同的哈希函數計算原文的信息摘要—>比較解密后獲得的摘要和重新計算生成的摘要是否相等。 備注:221 三、數字簽名算法 1、DSA簽名算法 一)代碼: p:一個素模數,其值滿足: 2^(L-1) < p < 2^L,其中L是64的倍數,且滿足 512 ≤ L ≤ 1024 。 q:(p-1) 的素因子,其值滿足 2^159 < q < 2^160 。 g:g = powm(h, (p-1)/q, p) 。h為滿足1< h < p - 1 的任意整數,從而有 powm(h, (p-1)/q, p) > 1 。 x:私鑰。 x為一個隨機或偽隨機生成的整數,其值滿足 0 < x < q 。 y:公鑰。 y = powm(g, x, p) 。 備注:222 三、數字簽名算法 注:1、整數 p, q, g 可以公開,也可僅由一組特定用戶共享。2、私鑰 x 和 公鑰 y 稱為一個密鑰對 (x,y) , 私鑰只能由簽名者本人獨自持有,公鑰則可以公開發(fā)布。密鑰對可以在一段時間內持續(xù)使用。3、符號約定: powm(x,y,z)表示 (x^y) mod z, 即 (x的y次方) 模 z 。"mod"為求模運算符; "^" 為冪運算符; 下文的"*"為乘法運算符。 備注:223 三、數字簽名算法 二)、簽名產生過程如下:代碼: 1、產生一個隨機數k,其值滿足0< k < q 。2、計算 r := powm(g, k, p) mod q ,其值滿足 r >0 。3、計算 s := ( k^(-1) ( SHA(M) + x*r) ) mod q ,其值滿足 s >0 。 備注:224 注:1、k^(-1) 表示整數k關于某個模數的逆元,并非指 k 的倒數。k在每次簽名時都要重新生成。逆元:滿足 (a*b) mod m =1 的a和b互為關于模數 m 的逆元,表示為 a=b^(-1) 或 b=a^(-1) , 如 (2*5) mod 3 = 1 , 則 2 和 5 互為 模數3 的逆元。 2、SHA(M ):M的Hash值,M為待簽署的明文或明文的Hash值。SHA是Oneway-Hash函數,DSS中選用SHA1( FIPS180: Secure Hash Algorithm ),此時SHA(M) 為160bits長的數字串(16進制),可以參與數學計算(事實上SHA1函數生成的是字符串,因此必須把它轉化為數字串)。3、最終的簽名就是整數對( r , s ), 它們和 M 一起發(fā)送到驗證方。4、盡管 r 和 s 為 0 的概率相當小,但只要有任何一個為0, 必須重新生成 k ,并重新計算 r 和 s 。 備注:225 三、數字簽名算法 三)、驗證簽名過程用 ( r', s', M' ) 來表示驗證方通過某種途徑獲得的簽名結果,之所以這樣表示是因為你不能保證你這個簽名結果一定是發(fā)送方生成的真簽名,相反有可能被人竄改過,甚至掉了包。為了描述簡便,下面仍用 (r ,s ,M) 代替 (r', s', M') 。為了驗證( r, s, M )的簽名是否確由發(fā)送方所簽,驗證方需要有 (g, p, q, y) ,驗證過程如下: 代碼: 1、計算 w := s^(-1) mod q2、計算 u1 := ( SHA( M ) * w ) mod q3、計算 u2 := ( r * w ) mod q4、計算 v := (( (g^u1) * (y^u2) ) mod p ) mod q=( (g^u1 mod p)*(y^u2 mod p) mod p ) mod q=( powm(g, u1, p) * powm(y, u2, p) mod p ) mod q5、若 v 等于 r,則通過驗證,否則驗證失敗。 備注:226 注:1、驗證通過說明: 簽名( r, s )有效,即(r , s , M )確為發(fā)送方的真實簽名結果,真實性可以高度信任, M 未被竄改,為有效信息。 2、驗證失敗說明:簽名( r , s )無效,即(r, s , M) 不可靠,或者M被竄改過,或者簽名是偽造的,或者M的簽名有誤,M 為無效信息。 備注:227 三、數字簽名算法 2、RSA算法 簽名過程: Sig(m)=(h(m))e mod n 驗證過程: Ver(m,y)=1即 h(m)=yd mod n (e,n)公鑰,(d,n)私鑰 要求:p,q足夠大,n至少為1024,2048 備注:228 7.3 數字證書 備注:229 一、數字證書的定義 1、證書的概念 證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件,是持有者在網絡上證明自己省份的憑證。 2、證書的作用 可向接收者證實持有證書者對公開密鑰的擁有權限,也起到公鑰分發(fā)的作用。 3、證書存放方式 1)使用IC卡存放 2)直接存放在磁盤或自己的終端上 備注:230 二、數字證書的類型 1、按用途分類 (1)簽名證書:對用戶信息進行簽名,保證信息的不可否認性。 (2)加密證書:對用戶傳送信息進行加密,保證其完整性和真實性。 2、按使用對象分類 個人數字證書、單位數字證書、單位員工數字證書、服務器證書、VPN證書、WAP證書、代碼簽名證書、表單簽名證書等 備注:231 二、數字證書的類型 3、按數字證書遵循的標準和格式分類 X.509公鑰證書、簡單PKI證書、PGP證書和屬性證書等 常用數字證書: (1)SPKI:授權證書,主要用于傳遞許可權 (2)PGP:對電子郵件和文件進行加密和數字簽名,規(guī)范了傳遞信息、文件和PGP密鑰時的報文格式。 (3)SET:規(guī)定了在分布式網絡上進行信用卡支付交易所需的標準。 (4)屬性證書:用來傳遞一個給定主題的屬性,以便于靈活、可擴展的特權管理。 備注:232 二、數字證書的類型 4、按證書的安全級別將證書分類 (1)一級證書:級別最高,由認證機構受理審核和發(fā)放,應用于系統(tǒng)內部的服務器和操作員證書 (2)二級證書:由業(yè)務受理點受理并審核,認證機構二次審核后發(fā)放。 (3)三級證書:通過業(yè)務受理點或網絡進行證書申請,由業(yè)務受理點審核后發(fā)放。 (4)四級證書:可直接通過網絡向認證機構的證書簽發(fā)服務器申請。 備注:233 三、數字證書的結構 1、申請者信息 證書擁有者的可識別名、證書擁有者的公開密鑰和算法識別符、證書擁有者的唯一識別符。 2、證書信息 證書的版本號、序列號、有效期限、擴展信息 3、證書頒發(fā)者的信息 頒發(fā)者的表示信息、頒發(fā)者的唯一標識符、簽名算法及相關參數 備注:234 7.4 認證中心CA 備注:235 一、認證中心的作用 為客戶提供簽發(fā)公鑰證書、認證證書、發(fā)配證書和管理證書的服務,為生命周期內的密鑰提供管理服務。將客戶的公鑰與客戶的名稱及其他屬性關聯起來,并制定政策和具體步驟驗證、識別用戶身份,對用戶證書進行簽名,對客戶之間的電子身份進行認證。 解決了公鑰系統(tǒng)中的合法性問題,為網上交易各方的信息安全提供有效、可靠的保護機制。 備注:236 二、認證中心的結構 1、RA系統(tǒng):證書發(fā)放的審核部門,負責對證書申請者進行資格審查。 2、RS:接收用戶的證書申請請求,將之轉發(fā)給CP和RA。 3、CP:負責為已授權的申請者制作、發(fā)放和管理證書,并承擔因操作運營錯誤造成的一切后果。 4、CRL:證書作廢表,記錄尚未過期但已聲明作廢的用戶證書序列號。 備注:237 三、認證中心的功能 1、能夠驗證并標識證書申請者的身份 2、能接受并處理終端用戶數字證書的更新請求 3、能使用戶方便地查找各種證書及已撤銷的證書 4、能根據用戶請求或其他相關信息撤銷用戶證書 5、能根據證書的有效期自動地撤銷證書 6、能對證書序列號、CA標識等證書信息進行管理 7、能完成證書數據庫的備份工作 備注:238 第8章 VPN技術應用 備注:239 8.1 VPN的基本原理 備注:240 一、VPN簡介 VPN為虛擬專用網,即臨時占用公用網的一部分供使用者專用,是利用公網或專網來構建的虛擬專用網。通過特殊設計的硬件和軟件直接通過共享的IP網建立的隧道來完成。 備注:241 二、VPN安全技術 1、基于公鑰基礎設施PKI的用戶授權體系:PKI和數字證書技術 2、身份驗證和數據加密:身份驗證通過后分發(fā)對稱會話密鑰 3、數據完整性保護:數字簽名技術 4、訪問權限控制:采用細粒度訪問權限列表 備注:242 三、VPN的優(yōu)勢 1、節(jié)約成本 2、增強安全性 3、支持眾多網絡協議 4、易擴展性 5、企業(yè)網絡信息的隱藏:通過VPN隧道和加密技術可隱藏IP地址等信息。 備注:243 四、VPN的應用領域 1、Access VPN:又稱撥號VPN,指企業(yè)員工或企業(yè)的小分支機構通過公共網絡撥號構筑的虛擬網絡。 2、Intranet VPN:總部與分支機構通過VPN機進行網絡連接,因為通過公用因特網或第三方專用網絡進行連接,連接簡單,速度快,能夠為分支機構提供整個網絡的訪問權。 備注:244 四、VPN的應用領域 3、Extranet VPN:使不同企業(yè)網通過公網來構筑的虛擬網,對網外用戶只被許可一次機會連接進入網絡,并且只有部分網絡資源的訪問權。 備注:245 8.2 實現VPN的隧道協議 備注:246 一、隧道技術 隧道技術是VPN技術的核心,利用隧道協議對隧道兩端的數據進行封裝的技術。類型有兩種: 1、自愿隧道(主動隧道):由客戶端計算機通過發(fā)送VPN請求來創(chuàng)建,通信雙方的計算機作為隧道的端點。 2、強制隧道:由支持VPN的撥號接入服務器來創(chuàng)建和配置,并將該服務器作為隧道的客戶端。 備注:247 二、隧道協議分類 1、二層隧道協議:將各種網絡協議封裝到點對點協議中,再將數據包裝入隧道協議中,這樣雙層封裝形成的數據包靠第二層協議進行傳輸,主要協議有PPTP、L2F、L2TP等 2、三層隧道協議:將各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。 備注:248 三、PPTP協議 1、PPP協議概述 PPP是點對點通信協議,在撥號網絡中廣泛應用,支持遠程訪問。 通過以下步驟完成工作: (1)在遠程計算機和服務器之間建立幀傳輸規(guī)則,允許進行連續(xù)的通信。 備注:249 三、PPTP協議 (2)遠程訪問服務器通過PPP協議中的身份驗證協議驗證遠程用戶的身份。 (3)第二步完成后,若用戶啟用了回撥,則遠程訪問服務器將掛斷并呼叫遠程訪問客戶機。 (4)網絡控制協議啟用并配置遠程客戶機,客戶機所用的LAN協議與服務器端進行PPP通信連接。 備注:250 三、PPTP協議 2、PPTP協議概述 PPTP協議是點對點隧道協議,是第一個廣泛使用建立VPN的協議,在PPP協議基礎上加強了認證、壓縮和加密功能。 備注:251 三、PPTP協議 3、PPTP VPN提供的主要服務 封裝:使用一般路由封裝頭文件和IP報頭數據包裝PPP幀。IP包頭文件用來標識與VPN客戶機和VPN服務器對應的源和目標IP地址等路由信息頭。 加密:通過使用從PPP協議的身份驗證過程中生成的密鑰,PPP幀以MPPE方式進行加密。PPTP協議本身不提供加密服務,只是對加密了的PPP幀進行封裝。 備注:252 三、PPTP協議 4、PPTP VPN建立過程 PPTP作為“主動”隧道模型允許中斷系統(tǒng)進行配置,與任意位置的PPTP服務器建立一條不連續(xù)的、點到點的隧道。其過程為: (1)用戶通過串口以撥號IP訪問的方式與網絡附加存儲NAS建立連接,取得網絡服務; 備注:253 三、PPTP協議 (2)用戶通過路由信息定位PPTP接入服務器 (3)用戶形成一個PPTP虛擬接口 (4)用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道 (5)用戶通過該隧道獲得VPN服務。 備注:254 四、L2TP協議 1、L2TP協議概述 L2TP為連接性隧道封裝協議,是PPTP和L2F的優(yōu)秀部分組成的工業(yè)標準,主要應用于Internet接納遠程用戶遠程訪問型VPN。 L2TP可以接納移動用戶,但是每次連接都要進行用戶認證;因為L2TP協議對PPP協議封裝,所以也支持多種協議。 備注:255 四、L2TP協議 2、L2TP VPN提供的主要服務 先使用L2TP封裝第二層數據,然后使用IPSec的ESP協議進行最后加密和提供完整性保護。 3、L2TP VPN建立過程 (1)用戶通過Modem與NAS建立連接 (2)用戶通過NAS的L2TP接入服務器身份認證 備注:256 四、L2TP協議 (3)在政策配置文件或NAS與政策服務器進行協商的基礎上,NAS和L2TP接入服務器動態(tài)建立起一條L2TP隧道 (4)用戶與L2TP接入服務器之間建立一條顛倒點的協議訪問服務隧道 (5)用戶通過隧道獲得VPN服務 備注:257 五、GRE協議 GRE主要用于源路由和終路由之間形成的隧道。即將通過隧道的報文用GRE報文頭進行封裝,然后帶著隧道終點地址放入隧道中,當報文到達隧道終點時,GRE報文頭剝除,繼續(xù)原始報文的目標地址進行尋址。 備注:258 六、IPSec協議 1、IPSec協議概述 IPSec能在IP層上對所有的流量進行加密、認證處理,提供了在局域網或廣域網中安全通信的性能,在此安全通道的建立、密鑰算法及密鑰等的協商和處理都是IPSec自動完成的。 備注:259 六、IPSec協議 2、IPSec協議體系 由認證頭AH、封裝安全載荷ESP、密鑰管理認證IKE、加密算法等協議構成。 3、安全關聯和安全策略 安全關聯:它是IPSec的基礎,決定通信中采用IPSec安全協議、散列函數、加密算法和密鑰等安全參數。通常以(安全參數索引,目的IP地址,安全協議)這樣的三元組來表示。 安全策略:指對數據包的具體處理——丟棄、旁路或應用安全保護。 備注:260 六、IPSec協議 4、認證頭AH協議 AH協議用以提供IP信報的完整性和認證,協議格式包括下一報文頭、凈荷長度、保留字段、安全參數索引、序列號、認證數據。 模式: 傳輸模式下,AH頭被插入到IP頭部的后面 隧道模式下,要保護的IP報文被封裝在新的IP報文中,作為新報文的負載。 備注:261 六、IPSec協議 5、安全封裝載荷ESP協議 ESP報文包含ESP尾部和認證數據,負載被封裝在頭尾之間,包含安全參數索引、序列號、凈荷數據、填充字段、填充長度、下一報文頭、認證數據。 6、密鑰交換IKE IKE是混合協議,功能有自身的驗證加密材料生成技術和協商共享策略。建立動態(tài)安全關聯機制SA。 備注:262 8.3 MLPS VPN技術 備注:263 一、MPLS技術原理 1、原理 給每個IP數據包增加一個標記,以此決定數據包的路徑及優(yōu)先級。發(fā)送路由器轉發(fā)數據包時僅讀取標記,通過虛擬電路將數據包傳送給終點路由器。MPLS可減少對數據包傳送的延遲。 備注:264 一、MPLS技術原理 2、MPLS頭格式與協議結構 (1)MPLS頭部:標記、擴展、棧底標識、生存期TTL (2)MPLS協議結構:相關信令協議、標簽分發(fā)協議LDP、基于路由受限標簽分發(fā)協議CR-LDP、基于流量工程擴展的資源預留協議RSVP-TE 3、MPLS網絡組成 標記邊緣路由器LER、標記交換路由器LSR 備注:265 二、MPLS VPN 1、MPLS VPN依靠轉發(fā)表和數據包的標記來創(chuàng)建VPN。 2、工作原理 備注:266 第9章 Web安全和電子商務 備注:267 9.1 Web安全概述 備注:268 一、Web面臨的安全威脅 1、Web存在的不安全因素 (1)由于在各方面的廣泛應用,一旦遭到破壞則會造成重大損失。 (2)雖然操作界面簡單,但由于底層軟件的復雜造成潛在的安全缺陷。 (3)Web服務器作為外界和機構內部通信的跳板,一旦服務器受到破壞,則攻擊者能夠獲得非法權限。 (4)大多使用者對Web安全方面缺乏概念以及有效防范的工具。 備注:269 一、Web面臨的安全威脅 2、Web面臨的主要安全威脅 (1)破壞信息的完整性:篡改用戶數據、特洛伊木馬攻擊、修改內存信息等 (2)破壞隱私和保密:竊取服務器信息、客戶機信息、網絡配置信息、網絡竊聽等 (3)拒絕服務攻擊:耗盡服務器資源 (4)偽裝:身份偽裝、數據偽裝 備注:270 二、Web安全體系結構 客戶端軟件的安全、運行瀏覽器的計算機設備及其操作系統(tǒng)的安全、客戶端的局域網安全、網絡傳輸的安全、服務器端的局域網安全、服務器端的計算機設備及操作系統(tǒng)的安全、服務器上的Web服務器的安全 備注:271 9.2安全電子交易SET協議 備注:272 一、SET概述 1、概念 SET是用來保護在Internet上付款交易的開放性規(guī)范,包含雙方身份確認、個人和金融信息隱秘性以及傳輸數據完整性的保護。 備注:273 一、SET概述 2、特點 (1)信息的機密性:對賬戶和支付信息進行加密,保證該信息只提供給發(fā)卡銀行。 (2)數據的完整性:保證個人與商家之間的信息在傳輸過程中不會被篡改。 備注:274 一、SET概述 (3)持卡者賬戶認證:通過驗證數字證書讓商家檢驗持卡者是否為有效卡賬號的合法用戶。 (4)商家認證:能夠使持卡者驗證商家與金融機構之間是否存在允許商家接受支付卡的業(yè)務聯系。 3、SET參與者 持卡人、商家、發(fā)卡銀行、代理商、支付網關、認證機構 備注:275 一、SET概述 4、SET交易類型 (1)SET支持的交易類型的種類 持卡者注冊、商家注冊、購買請求、支付授權、支付入賬、支付入賬、證書查詢、購買查詢、授權撤銷、入賬撤銷、支付網關證書請求 (2)安全電子交易過程 持卡者列出訂單——持卡者對貿易商的認證——發(fā)送訂單和支付信息——商家請求支付授權——商家確認訂單——商家提供商品和服務——商家請求支付 備注:276 二、雙重簽名DS 1、持卡者處雙重簽名的生成 將兩個信息分別計算散列值,然后將兩個散列值進行串接后再進行一次計算散列值操作,最后用簽名私鑰對最后生成的散列值進行加密 2、驗證簽名的過程 將已有的信息進行散列值運算,并使用公鑰對持卡者發(fā)送過來的信息中的雙重簽名進行解密操作,然后核對兩者是否相等,完成簽名的驗證。 備注:277 三、交易過程 1、購買請求 由4部分構成: (1)初始請求:持卡者向商家和支付網關提供的證書,用以證明自己的真實身份和使用的信用卡信息等。 (2)初始響應:商家向持卡者發(fā)送證書和一些交易信息。 備注:278 三、交易過程 (3)購買請求:持卡者對商家和支付網關的證書驗證通過之后,發(fā)送給商家的請求,由持卡者生成一個一次性對稱加密密鑰保護。該請求信息包括: 支付相關信息:支付信息PI、雙重簽名DS、訂單信息的消息摘要OIMD、數字信封 訂單相關信息:訂單信息OI、雙重簽名DS、支付信息的消息摘要PIMD 持卡者證書:持卡者的相關信息和簽名公鑰 備注:279 三、交易過程 (4)購買響應:商家驗證持卡者證書、雙重簽名、處理訂單及向支付網關請求授權之后,返回給持卡人的消息。 備注:280 三、交易過程 2、支付授權 支付授權是商家在處理持卡者的訂單過程中對支付網關進行授權。保證了交易被發(fā)卡銀行所許可、商家可以得到支付的貨款。包括: (1)商家發(fā)送授權請求消息給支付網關:購買和授權相關信息 備注:281 三、交易過程 (2)支付網關完成的操作:驗證證書、解密授權塊中的數字證書、驗證商家簽名、解密支付塊中的數字簽名、驗證雙重簽名、驗證交易ID和支付信息PI是否匹配、請求并從發(fā)卡機構獲得授權 (3)獲得授權后,支付網關返回授權響應消息給商家:授權相關信息、入賬通知信息、支付網關的簽名密鑰證書。 備注:282 三、交易過程 3、支付入賬 入賬請求:商家向支付網關請求獲得交易貨款。 入賬響應:支付網關通過對請求消息的解密和驗證,對入賬請求和入賬通知一致性檢查,通過后將貨款轉入商家賬戶。 備注:283 9.3 安全套接字層協議SSL 備注:284 一、SSL概述 1、SSL概念 SSL協議是用以確認瀏覽器和Web服務器之間能夠安全溝通的協議,該協議在應用層前已完成加密算法、通信密鑰的協商、服務器認證工作,確保通信的安全性。 備注:285 一、SSL概述 2、SSL功能 (1)客戶對服務器的身份認證 (2)服務器對客戶的身份認證 (3)建立服務器與客戶之間的安全數據通道 備注:286 一、SSL概述 3、SSL結構 SSL分為兩層協議 (1)遵循TCP/IP協議 (2)SSL記錄協議:對高層協議(握手協議、報警協議、密鑰更新規(guī)格協議)提供安全服務 備注:287 二、SSL記錄協議 1、SSL記錄協議提供的服務 (1)機密性:握手協議定義一個可以用于SSL負載的傳統(tǒng)加密共享密鑰 (2)消息完整性:握手協議定義一個用戶產生消息認證碼的共享密鑰 備注:288 二、SSL記錄協議 2、SSL記錄協議操作流程 發(fā)送數據前:對數據段進行分塊—>進行壓縮—>添加認證碼—>加密—>添加SSL記錄頭-—>送出數據 接收到數據后:解密—>驗證數據完整性—>解壓縮—>數據重組 3、SSL記錄頭組成 內容類型、主版本、副版本、壓縮后長度 備注:289 三、SSL密鑰變更規(guī)格協議 用值為1的字節(jié)組成的消息表示相關的密鑰是否變更 備注:290 四、SSL報警協議 SSL報警的消息由1個字節(jié)的“嚴重程度”信息(分為警告和致命兩種程度)和1個字節(jié)的“警報編號”信息組成。 1、致命警告消息 非預期消息、不良記錄校驗、解壓縮失敗、握手失敗 2、其他警告消息 關閉通告、沒有證書、證書不可用、不支持的證書、證書作廢、證書過期、未知證書 備注:291 五、SSL握手協議 1、握手協議用來服務器和客戶端之間的相互認證,并在數據傳輸前兩者間確定好認證碼、加密密鑰等。 2、握手協議的每條消息包括三個域:消息類型、長度、內容 備注:292 五、SSL握手協議 3、建立連接的四個階段 (1)客戶端發(fā)起建立連接請求 客戶端發(fā)送啟動連接請求給服務器,包括:版本、隨機數、會話ID、密碼構件、壓縮算法 服務器發(fā)送請求響應信息給客戶端,包括:版本、隨機數、會話ID、密碼構件、壓縮算法 備注:293 五、SSL握手協議 (2)服務器認證和密鑰交換 服務器發(fā)送證書、密鑰交換數據和證書請求給客戶端,最后發(fā)送服務器結束消息表示信息發(fā)送完畢,等待客戶端的響應。 (3)客戶端認證和密鑰交換 驗證服務器證書,并根據服務器發(fā)送過來的數據進行判定是否可接收,并給出回應信息,并分發(fā)密鑰。 備注:294 五、SSL握手協議 (4)完成 連接建立,客戶端發(fā)送密碼變更規(guī)格消息更新當前密碼規(guī)則,并發(fā)送結束消息用以驗證密鑰交換和認證過程是否成功,而服務器也發(fā)送自己的密碼變更規(guī)格消息和結束消息,握手結束。 備注:295 第10章 防火墻技術應用 備注:296 10.1 防火墻簡介 備注:297 一、防火墻概念 防火墻是設立在不同網絡或網絡安全與之間、根據安全策略控制進出網絡的信息流的設備,是提供信息安全服務,實現網絡和信息安全的基礎設施。 備注:298 二、防火墻的功能及特點 1、功能 (1)所有進出網絡的通信數據必須通過防火墻 (2)所有想通過防火墻的數據都必須經過安全策略及計劃的確認和授權才允許通過 (3)可以方便地監(jiān)視網絡的安全性并報警 (4)將有限的IP地址動態(tài)或靜態(tài)的與內部的IP地址對應,緩解IP地址空間不足的問題 備注:299 二、防火墻的功能及特點 2、防火墻的優(yōu)點 (1)可以強化網絡安全策略 (2)對網絡存取和訪問進行監(jiān)控審計 (3)防止內部信息外泄 (4)是安全策略的檢查站 備注:300 二、防火墻的功能及特點 3、防火墻的不足 (1)不能防范惡意的知情者 (2)不能防范不通過防火墻的連接 (3)不能防范全部的威脅 (4)不能防范病毒 備注:301 三、防火墻的發(fā)展歷史 1、基于功能劃分: 第一代防火墻:基于包過濾技術 第二代防火墻:電路層防火墻 第三代防火墻:應用層防火墻 第四代防火墻:基于動態(tài)包過濾技術 第五代防火墻:基于自適應代理技術 備注:302 三、防火墻的發(fā)展歷史 2、基于實現方法劃分: 第一代防火墻:建立在路由器上 第二代防火墻:具有過濾、審計、報警功能的模塊化軟件包 第三代防火墻:建立在通用操作系統(tǒng)上 第四代防火墻:具有安全操作系統(tǒng)的防火墻 備注:303 10.2 防火墻的工作原理 備注:304 一、雙宿主主機防火墻 堡壘主機:是一種被強化的可以防御進攻的計算機,被暴露于因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。 備注:305 一、雙宿主主機防火墻 在堡壘機上裝兩塊網卡,分別與內網和外網相連,這樣的雙宿主主機成為內網和外網信息交流的一個阻塞點,在此機上不能轉發(fā)任何網絡數據流,通過運行代理程序控制數據包。用主機來取代路由器,起到過濾數據包的作用。 備注:306 二、屏蔽主機防火墻 屏蔽主機防火墻由屏蔽路由器和堡壘主機防火墻組成。屏蔽路由器通過配置ACL(訪問控制列表,是路由器和交換機接口的指令列表,用來控制端口進出的數據包)實現一部分防火墻功能。 備注:307 三、屏蔽子網防火墻 屏蔽子網防火墻由兩個屏蔽路由器和一個堡壘主機防火墻組成。 備注:308 四、防火墻體系結構組成形式 1、使用多堡壘主機 2、合并內部路由器與外部路由器 3、合并堡壘主機與外部路由器 4、合并堡壘主機與內部路由器 5、使用多臺內部路由器 6、使用多臺外部路由器 7、使用多個周邊網絡 8、使用雙重宿主主機與屏蔽子網 備注:309 10.4 防火墻部署的基本方法和步驟 備注:310 一、防火墻的基本配置原則 1、防火墻的默認配置策略 拒絕所有流量或允許所有流量、 2、防火墻配置的基本原則 (1)簡單實用:設計簡單的防火墻環(huán)境,并針對實際使用的環(huán)境進行最實用的配置 備注:311 一、防火墻的基本配置原則 (2)全面深入:采用多種防火墻相結合、多種安全措施相結合的方式建立多層安全體系。 (3)內外兼顧:通過多種手段加強內部威脅的檢測和彌補。 備注:312 第11章 計算機網絡攻擊應急響應 備注:313 11.1 計算機網絡應急響應概述 備注:314 一、應急響應的定義 應急響應:通常指一個組織為了應對各種意外事件的發(fā)生所做的準備工作以及在突發(fā)事件發(fā)生事或者發(fā)生后所采取的措施。 計算機網絡應急響應:對象是計算機或網絡所存儲、傳輸和處理的信息的安全事件,意外事件的起因可能來自自然界、系統(tǒng)自身故障、組織內部或外部人員、計算機病毒或蠕蟲等因素。 備注:315 二、應急響應機構的主要服務 1、提供應急響應服務 2、提供安全咨詢服務 3、提供系統(tǒng)評估或風險評估服務 4、提供入侵檢測服務 5、發(fā)布安全公告 備注:316 二、應急響應機構的主要服務 6、發(fā)布漏洞信息 7、提供補丁下載 8、教育與培訓 9、追蹤與恢復 10、組織各種形式的學術交流活動 備注:317 11.2 網絡安全應急響應模型 備注:318 一、PDRR網絡安全應急響應模型 PDRR網絡安全模型由防護(P)—檢測(D)—響應(R)—恢復(R)這四個環(huán)節(jié)組成一個信息安全周期。系統(tǒng)通過訪問控制、數據加密等手段加強防護環(huán)節(jié),一旦攻擊者通過了防御系統(tǒng),檢測環(huán)節(jié)就是要檢測入侵者的身份等信息,檢測出入侵后,響應系統(tǒng)進行響應處理入侵事件和其他業(yè)務。最后恢復系統(tǒng)是保證入侵事件發(fā)生后把系統(tǒng)恢復到原來狀態(tài)。 備注:319 二、MPDRR網絡安全應急響應模型 MPDRR網絡安全模型由管理(M)、防護(P)、檢測(D)、響應(R)、恢復(R)組成。 備注:320 三、微軟縱深防御安全模型 策略、過程和意識、物理安全、周邊網絡、內部網絡、主機、應用程序、數據 備注:321 11.3 應急響應操作流程 備注:322 一、準備階段 以預防為主,在事件發(fā)生前做好相應的準備工作。 1、制定用于應急響應工作流程的計劃以及合理的措施 2、指定預警與報警的方法 3、建立備份的體系和流程 4、建立安全的系統(tǒng),按照安全政策配置安全設備和軟件 5、建立支持事件響應活動的基礎設施 6、建立數據匯總分析體系 備注:323 二、事件檢測階段 識別和發(fā)現各種安全的緊急事件。在事件發(fā)生前,產生安全預警報告,在緊急情況發(fā)生時,產生安全警報,并報告給應急響應中心,中心根據警報級別采取相應措施。 備注:324 三、抑制階段 在經過第二階段,確認了緊急事件發(fā)生的級別后,根據預先制定的規(guī)則采取相應的措施,限制攻擊的范圍,并且限制潛在的損失和破壞。措施有: (1)初步分析,重點確定適當的遏制方法 (2)修改所有防火墻和路由器的過濾規(guī)則,拒絕來自可能是發(fā)起攻擊的主機的數據流量 (3)提高系統(tǒng)或網絡行為的監(jiān)控級別 (4)設置蜜罐并關閉被利用的服務 (5)匯總數據,估計損失和隔離效果 備注:325 四、根除階段 在緊急事件被抑制后,找出事件根源并徹底根除。 (1)對于病毒,要采用最新的殺毒軟件清除所有病毒 (2)對于系統(tǒng)的入侵、非法授權訪問等,應查找系統(tǒng)存在的漏洞。 (3)改進安全策略 (4)啟動網絡與應用層的審計功能 (5)分析事件發(fā)生的原因 (6)加強宣傳,公布事件的危害性和解決辦法 備注:326 五、恢復階段 把所有受到侵害或破壞的系統(tǒng)、應用、數據庫和網絡設備等徹底還原到正常狀態(tài)。 備注:327 六、跟蹤階段 對整個緊急事件以及應急響應過程中的情況進行總結分析。 備注:328 11.5 計算機取證 備注:329 計算機取證工作過程: 1、保護要取證的計算機系統(tǒng),避免發(fā)生任何的改變、傷害、數據破壞或病毒感染 2、搜索目標系統(tǒng)中的所有文件 3、盡可能恢復發(fā)現的已刪除文件 4、訪問被保護或加密文件 5、分析在磁盤的特殊區(qū)域發(fā)現的相關數據 6、打印對目標計算機系統(tǒng)的全面分析結構,給出分析結論 7、給出必須的專家證明 備注:330 第12章 網絡安全方案設計 備注:331 12.1 網絡安全方案概述 備注:332 一、網絡安全方案設計的目標 通過實地考察網絡系統(tǒng)的環(huán)境,對可能遇到的安全風險和威脅做合理的量化和評估,從而實現系統(tǒng)的動態(tài)安全,不會因時間的推移和環(huán)境的變化而變得不安全。 備注:333 二、網絡安全方案設計的原則 1、系統(tǒng)性原則 2、技術先進性原則 3、管理可控性原則 4、適度安全性原則 5、技術和管理相結合原則 6、測評認證原則 7、系統(tǒng)可伸縮性原則 備注:334 12.2 網絡安全方案的框架 備注:335 一、技術解決方案 1、防火墻 2、入侵檢測和入侵防御 3、網絡防病毒軟件控制中心及客戶端軟件 4、郵件防病毒服務器 5、反垃圾郵件系統(tǒng) 6、動態(tài)口令認證系統(tǒng) 7、網絡管理軟件 8、QoS流量管理 9、頁面防篡改系統(tǒng) 備注:336 二、網絡安全服務解決方案 1、網絡拓撲分析 2、中心機房管理制度制定及修改 3、操作系統(tǒng)補丁升級 4、服務器定期掃描、加固 5、防病毒軟件病毒庫定期升級 6、防火墻日志備份、分析 備注:337 二、網絡安全服務解決方案 7、入侵檢測、入侵防御等安全設備日志備份 8、服務器日志備份 9、白客滲透 10、網絡硬件設備冗余系統(tǒng) 11、數據備份系統(tǒng) 12、定期總體安全分析報告 備注:338 三、技術支持解決方案 1、故障排除 2、災難恢復 3、查找攻擊源 4、實時檢索日志文件 5、即時查殺病毒 6、即時網絡監(jiān)控 備注:339 備注:340
網友評論
more
其他最新內容
04-18
全面落實地方領導干部…
04-18
地震防護知識培訓PPT
04-18
地方黨政領導干部安全…
04-18
低溫凍傷相關知識及預防
03-31
愛眼日:放下手機保護…
03-31
TPM設備管理
03-31
TPM實務指南手冊
03-31
癌癥預防宣傳知識講座
其他熱點內容
344
安全生產主題PPT模板
235
危險源辨識培訓課件
218
地震災害安全體驗館…
168
安全漫畫-作業(yè)現場…
156
時間位點在手術室安…
146
安全生產月活動PPT
124
各工種安全作業(yè)操作…
117
辦公區(qū)安全規(guī)范
相關內容
電氣安全技術常識
伴侶動物(寵物)用品安全…
物聯網感知層協議安全技術…
海外網絡建設與運行維護管…
工業(yè)控制系統(tǒng)網絡安全技術…
創(chuàng)想安科
網站簡介
會員服務
廣告服務
業(yè)務合作
提交需求
會員中心
在線投稿
版權聲明
友情鏈接
聯系我們