【正文】 這種行為。 ? 可接受行為和不可接受行為的定義不是絕對的。最好的解決方案是定期定義和列舉出不可接受行為。 員工教育 級別 需要掌握的知識 用戶 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計(jì)劃策略時所需的組織安全知 識的級別 管理人員 培養(yǎng)識別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。所有的加密技術(shù)都要使用算法，它是一種復(fù)雜的數(shù)學(xué)規(guī)則，被設(shè)計(jì)用來攪亂信息。 ? 加密技術(shù)分類 – 對稱加密 – 非對稱加密 – HASH加密 加密技術(shù)的應(yīng)用 服務(wù) 描述 數(shù)據(jù)保密性 這是加密技術(shù)的常用用途，通過使用算法，可 以確保只有目標(biāo)接受者才能查看數(shù)據(jù)。 數(shù)據(jù)完整性 僅實(shí)現(xiàn)數(shù)據(jù)保密是不夠安全的，數(shù)據(jù)仍然能夠 被非法破解并修改。使用 HASH算法能確定數(shù)據(jù) 是否被修改過。 認(rèn)證 數(shù)字簽名提供認(rèn)證服務(wù)，以確保數(shù)據(jù)來源安全 可靠。 不可否定性 數(shù)字簽名用于證明一項(xiàng)事務(wù)確實(shí)發(fā)生過。金融 系統(tǒng)尤其依賴于這種加密方式，用于電子貨幣 交易。 加密技術(shù)的強(qiáng)度 ? 加密技術(shù)的強(qiáng)度基于三個主要因素： – 算法強(qiáng)度 :我們應(yīng)該運(yùn)用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒有經(jīng)過商業(yè)驗(yàn)證之前是不能被信任的。 – 密鑰的保密性能 :數(shù)據(jù)的保密程度與密鑰的隱秘性是聯(lián)系在一起的。 – 密鑰的長度 :密鑰的長度增加一位將使可能的密鑰組合的數(shù)量增加一倍。 身份驗(yàn)證 ? 身份驗(yàn)證是驗(yàn)證用戶、系統(tǒng)或系統(tǒng)組件身份的一種能力。 ? 身份驗(yàn)證方法包括 : – 證實(shí)你所知道的 (What you know?) – 出示你所擁用的 (What you have?) – 證明你是誰 (Who are you?) – 識別你在哪兒 (Where are you?) 智能卡 ? 智能卡都有微芯片 ,芯片中可以包含所有者的個人信息、駕照信息及醫(yī)療信息等 ,這些信息可用于證明持卡人的身份。 特殊的身份驗(yàn)證技術(shù) ? Kerberos系統(tǒng) – 美國麻省理工大學(xué)，為分布式計(jì)算機(jī)環(huán)境提供的一種對用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法，增強(qiáng)了客戶機(jī)對服務(wù)器的認(rèn)證，防止來自于服務(wù)器的欺騙。 ? 一次性口令（ OTP） 訪問控制 ? 一個系統(tǒng)要保證個人、系統(tǒng)或進(jìn)程只訪問它們所需要的資源，就會涉及訪問控制。 ? 實(shí)現(xiàn)這種控制的兩種普遍方法是：訪問控制列表（ ACL）和執(zhí)行控制列表（ ECL）。 訪問控制列表（ ACL） ? ACL決定用戶是否可以訪問特殊的對象，如果用戶具有訪問一個對象的權(quán)力，則 ACL明確定義了用戶可以對此對象做哪些事情。 實(shí)驗(yàn) 31 ? 查看并修改 Windows 2022文件夾的 NTFS權(quán)限 ? 查看并修改 Windows 2022文件夾的共享權(quán)限 實(shí)驗(yàn) 32 ? 對 Red Hat Linux系統(tǒng)的 Apache Web服務(wù)器的目錄執(zhí)行訪問控制。 執(zhí)行控制列表（ ECL） ? 執(zhí)行控制列表（ ECL）列出了應(yīng)用程序運(yùn)行時可以操作資源的行為，應(yīng)用程序和操作系統(tǒng)都使用 ECL。 ? ECL的例子有 : – Windows 2022本地和域安全策略設(shè)置。 – Linux系統(tǒng)的可插入身份驗(yàn)證模塊（ PAM）。通過編輯 /etc/ /etc/security/cons，可以控制應(yīng)用程序的執(zhí)行。 – 瀏覽器可以保證限制 Java和 JavaScript應(yīng)用程序 。 實(shí)驗(yàn) 33 ? 使用 Netscape Navigator來設(shè)置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0。i=0。i++) { alert(Stop me if you can!)。 } // /SCRIPT /HEAD BODY Are you frustrated yet? /BODY /HTML 實(shí)驗(yàn) 34 ? 為 Windows 2022 MMC管理單元配置通用的執(zhí)行控制列表。 實(shí)驗(yàn) 35 ? 在 Linux下，為 su命令建立執(zhí)行控制列表 審核 ? 被動審核 : 是指計(jì)算機(jī)簡單地記錄活動，但不做任 何事情。它不是一種實(shí)時的監(jiān)測機(jī)制。 ? 主動審核 : 主要是對非法訪問和侵入做出反應(yīng)。反 應(yīng)包括： – 結(jié)束會話。 – 拒絕一些主機(jī)的訪問（包括 WEB站點(diǎn)， FTP服務(wù)器和 Email服務(wù)器。 – 跟蹤非法活動找到源位置。 安全的權(quán)衡考慮和缺點(diǎn) ? 可能帶來的缺點(diǎn)包括 : – 增加了復(fù)雜性 – 降低了系統(tǒng)響應(yīng)速度 @2022 第四單元 應(yīng)用加密 學(xué)習(xí)目標(biāo) ? 使用 加密的意義和作用 ? 使用公共密鑰創(chuàng)建信任關(guān)系 ? 了解對稱加密、非對稱加密和 hash加密 ? 了解與加密相關(guān)的術(shù)語 ? 在 Windows 2022和 Linux系統(tǒng)中應(yīng)用和部署公共密鑰加密 ? 企業(yè)中 PKI技術(shù)的應(yīng)用 ? 數(shù)字簽名的作用 加密的主要功能 ? 數(shù)據(jù)的保密性：加密能防止數(shù)據(jù)不被未授權(quán)的用戶知道。 ? 身份驗(yàn)證：通過驗(yàn)證用戶的加密要素，從而識別用戶的身份。 ? 保證數(shù)據(jù)的完整性：加密能保證和檢查數(shù)據(jù)有沒有被更改。 創(chuàng)建信任關(guān)系 ? 應(yīng)用加密意味著在兩個主機(jī)之間建立信任關(guān)系，主機(jī)利用密鑰加密信息，從而保證只有相對應(yīng)的某個遠(yuǎn)程主機(jī)才能解密信息，加密過程一般用公共密鑰完成。 ? 公鑰的發(fā)布方法有兩種： – 手動發(fā)布 : 這種方法通常用在郵件信息的加 密里面。 – 自動發(fā)布： 主要使用到的是公共密鑰結(jié)構(gòu)體 系，如 Windows 2022的域里面 就是采用了自動發(fā)布公鑰。 Round ? 加密術(shù)語 Round是在加密過程中一個離散過程。通常一種算法要經(jīng)過很多“輪”的運(yùn)算。大多數(shù)的對稱加密算法都使用很多次的輪數(shù)進(jìn)行加密。 Parallelization ? Parallelization是指使用多進(jìn)程、多處理器或多臺機(jī)器來破解一種加密算法。 Strong Encryption ? 強(qiáng)加密是使用一些超過 128位長度的密鑰來實(shí)施的。 對稱密鑰加密 ? 對稱密鑰加密也稱為單密鑰加密 特點(diǎn)：快速并易于實(shí)施，適合大量信息的加密， 管理不便 ，容易被破解。 對稱加密算法 ? 對稱加密算法有 : – DES (Data Encryption Standard) 數(shù)據(jù)加密標(biāo)準(zhǔn) – Triple DES 三重 DES – RSA算法 ? RC2 and RC4 ? RC5 ? RC6 – Blowfish (up to 448bit) and Two fish（ up to 256） – Skipjack 美國國家安全局設(shè)計(jì)的加密程序 – MARS 由 IBM設(shè)計(jì)，速度比 DES要快 數(shù)據(jù)加密標(biāo)準(zhǔn) DES ? DES是一種 block（塊）密文的加密算法，是把數(shù)據(jù)加密成 64位長度的 block（塊）。使用相同的密鑰來加密和解密，這種標(biāo)準(zhǔn)使用一種叫做“ diffusion and confusion” 的技術(shù)。每 64位的數(shù)據(jù)被分成兩半，并利用密鑰對每一半進(jìn)行運(yùn)算(稱做 — 次 round或是輪 )， DES運(yùn)行 16個 rounds，并且對于每個 round運(yùn)算所使用密鑰的位數(shù)是不同的。 TripleDES (三重 DES ) ? 信息首先被使用 56位的密鑰加密，然后用另一個 56位的密鑰譯碼，最后再用原始的 56位密鑰加密，實(shí)際上運(yùn)行了三次，也就是原有 DES密鑰長度的 3倍。 RSA安全公司的對稱算法 ? RC2和 RC5 :RC2是一種 block（塊）模式的密文，就是把信息加密成 64位的數(shù)據(jù)塊。 RC5使用 128位密鑰的算法并有 12到 16個 rounds。 ? RC4 :RC4是 — 種流式的密文而不是塊式密文件，加密是動態(tài)的，不像 RC2有個固定的塊大小，就是實(shí)時的把信息加密成一個整體。密鑰的長度也是可變的，在美國一般密鑰長度是 128位，向外出口時限制到 40位，因?yàn)槭艿矫绹隹诜ǖ南拗啤?Lotus Notes， Oracle SQL都使用 RC4的算法。 Two fish和 MARS ? Two fish這種算法使用 128位的 block并且速度很快。Two fish支持 28位， 192，和 256位的密鑰，是一種可用于智能卡上的加密算法。 ? MARS是由 IBM提出的 — 種算法，并且速度要比 DES還要快，和 Two fish一樣，它主要也是面向工作在智能卡上而設(shè)計(jì)的。 其它的對稱加密算法 ? Misty1和 Misty2:是由日本三菱電子開發(fā)的一種算法，采用一種 128位的塊密鑰加密，每塊 64位。Misty2經(jīng)過改進(jìn)比 Misty更快。 ? Gost: 最初是由蘇聯(lián)用于研究用途，也是一種塊密文的加密方式，密鑰長度為 256位，每塊的長度為 4位。 ? Cast 256:一種采用 64位為一塊，而密鑰長度為 256的塊密文加密方式。 ? HNC： 用于一系列的私有加密或非正式加密的應(yīng)用，它由 HNC（ ）公司所開發(fā)，主要用于創(chuàng)建分發(fā)軟件包的訪問代碼。 實(shí)驗(yàn) 41 ? 使用 Apocalypso程序加密和解密文件 非對稱加密 ? 也稱為公鑰加密，成對使用，公鑰對外公開，私鑰需要安全保護(hù)。 特點(diǎn)：算法精密，保密性好，密鑰便于管理，加 密速度慢。 非對稱密鑰加密元素 ? 非對稱密鑰加密元素包括 : – RSA美國國家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman 密鑰交換協(xié)議，開放式標(biāo)準(zhǔn) HASH加密 ? HASH加密是把一些不同長度的信息轉(zhuǎn)化成雜亂的128位編碼，叫做 hash值。解密是不可能的，也叫一次性加密，廣泛用于身份識別，安全加密，數(shù)字簽名等。 HASH算法 ? HASH算法包括 : – MD2, MD4 and MD5 :使用不同長度的數(shù)據(jù)流，產(chǎn)生一個唯一的指紋，用于對 Email,證書，保證內(nèi)容完整性的相關(guān)應(yīng)用。 – 安全 HASH算法 (SHA) :由 NIST和 NSA開發(fā)并應(yīng)用于美國政府， 160位 hash值，結(jié)構(gòu)與 MD5類似，速度比 MD5慢25%，比 MD5更安全，產(chǎn)生的 Hash值比 MD5長 25%。 擴(kuò)展實(shí)驗(yàn) 41 ? 在 LINUX中用 MD5驗(yàn)證 HASH算法 應(yīng)用加密的過程 應(yīng)用加密的過程 PGP和 GPG ? 針對電子郵件和文本文件最流行的高技術(shù)加密程序就是 PGP和 GPG，兩者是最成功的采用對稱加密和非對稱加密技術(shù)以及 HASH加密的優(yōu)點(diǎn)的加密程序。 ? 安裝了 PGP或 GPG以后，需要生成一對密鑰對，這一對密鑰是非對稱的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 ? PGP和 GPG也采用了對稱加密技術(shù)，在生成公鑰和私鑰的時候會要求輸入一個簡單好記的密鑰，這個密鑰用于保護(hù)剛才生成的密鑰對。 實(shí)驗(yàn) 42至 46 ? 學(xué)習(xí)使用 PGP發(fā)送加密電子郵件 – 安裝 – 生成密鑰對 – 對公共密鑰導(dǎo)出、交換、簽名 – 交換加密信息 – 使用 PGP對文件進(jìn)行加密 公共密鑰體系結(jié)構(gòu) PKI ? PKI是“ Public Key Infrastruc