【正文】 性可以防止來(lái)自 源端的欺騙。 ? 訪問(wèn)控制： 訪問(wèn)控制確定用戶能做些什么。 ? 可審查性： 對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手 段。 ? 服務(wù)可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正 當(dāng)?shù)鼐芙^。 安全就是在動(dòng)態(tài)環(huán)境中尋求平衡的過(guò)程 ? 在安全實(shí)施的過(guò)程中，安全人員所要做的工作就是在易用性和安全性之間尋求平衡，賦予用戶能完成所有工作的最小權(quán)限，以使安全最大化。 信息存儲(chǔ)資源 ? 發(fā)現(xiàn)信息并獲得信息可以認(rèn)為是黑客行為的最終目的，黑客通過(guò)各種手段侵入網(wǎng)絡(luò)，也是為了通過(guò)網(wǎng)絡(luò)來(lái)得到他們所要的信息。 有效的安全矩陣 ? 一個(gè)合理有效的安全矩陣應(yīng)該具有如下特點(diǎn)： – 允許訪問(wèn)控制 – 容易使用 – 合理的花費(fèi) – 靈活性和伸縮性 – 優(yōu)秀的警報(bào)和報(bào)告 安全投資回報(bào) ? 安全投資作為一種特殊投資形式，其目的是降低信息安全風(fēng)險(xiǎn)，投資回報(bào)主要來(lái)自于風(fēng)險(xiǎn)損失的降低。 2022 網(wǎng)絡(luò)安全基礎(chǔ)與防火墻 主講教師 :Mo Ning CIW CI 202960 Email: 2022 2022 第一單元 什么是安全 學(xué)習(xí)目標(biāo) ? 理解有關(guān)安全的定義 ? 理解網(wǎng)絡(luò)安全的必要性 ? 識(shí)別需要保護(hù)的資源 ? 識(shí)別常見(jiàn)的安全威脅類型 ? 了解如何建立有效的安全矩陣 安全的定義 ? 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，保護(hù)網(wǎng)絡(luò)安全也變得更加復(fù)雜，對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)，可以定義安全為一個(gè)持續(xù)的過(guò)程，目的是提高識(shí)別和消除不安全因素的能力。 劃分需要保護(hù)的資源 ? 可以將資產(chǎn)劃分為 4個(gè)資源組： – 終端用戶資源 – 網(wǎng)絡(luò)資源 – 服務(wù)器資源 – 信息存儲(chǔ)資源 終端用戶資源 ? 許多損害是來(lái)自于公司內(nèi)部，用戶操作失誤或是缺乏安全意識(shí)往往會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。 各種資源易受的攻擊 重要資源 潛在的威脅 終端用戶資源 病毒，木馬， Java小程序可以對(duì)本地系統(tǒng) 造成危險(xiǎn) 網(wǎng)絡(luò)資源 IP欺騙，系統(tǒng)探測(cè)，及獲得相關(guān)信息 服務(wù)器資源 非授權(quán)侵入，截取服務(wù)，木馬。 網(wǎng)絡(luò)安全的目標(biāo) ? 身份真實(shí)性：能對(duì)通訊實(shí)體身份的真實(shí)性進(jìn)行鑒別。 ? 不可否認(rèn)性：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為。 2022 第二單元 安全標(biāo)準(zhǔn)及組織概況 學(xué)習(xí)目標(biāo) ? 了解安全標(biāo)準(zhǔn)的意義 ? ISO 17799/ISO 27001的主要內(nèi)容 ? 了解公共準(zhǔn)則 ? 熟悉主要的網(wǎng)絡(luò)安全組織 國(guó)際標(biāo)準(zhǔn)化組織 ? 國(guó)際標(biāo)準(zhǔn)化組織，簡(jiǎn)稱 ISO，是一個(gè)全球性的非政府組織，是國(guó)際標(biāo)準(zhǔn)化領(lǐng)域中一個(gè)十分重要的組織。 ? 數(shù)據(jù)保密性： 保護(hù)數(shù)據(jù)不被未授權(quán)的暴露。 安全機(jī)制 ? 安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或多個(gè)安全服務(wù)的過(guò)程 。 ISO 27001 ? BS 77992:2022，經(jīng)修訂后，于 2022年 10月 15日作為國(guó)際標(biāo)準(zhǔn) ISO/IEC 27001:2022發(fā)布。 CC的兩個(gè)基本功能 ? 標(biāo)準(zhǔn)化的方法描述安全必要條件，如安全需要、實(shí)現(xiàn)這些需要的產(chǎn)品和系統(tǒng)以及分析和測(cè)試這些產(chǎn)品和系統(tǒng)。 ? 安全目標(biāo)（ ST） 來(lái)自于廠商的一段綜述，描述了IT產(chǎn)品或系統(tǒng)可以提供的安全。 桔皮書 ? 可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則（桔皮書）是根據(jù)美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn) 。 聯(lián)邦信息安全管理法案 ? 聯(lián)邦信息安全管理法案 (FISMA)取代了政府信息安全改革法案 (GISRA)，并且包含更強(qiáng)的永久性條款，其中包括對(duì)信息安全最低強(qiáng)制標(biāo)準(zhǔn)的要求。 ? SANS提供各類資源，如每周風(fēng)險(xiǎn)類別及危害等級(jí)，每周新聞?wù)ヂ?lián)網(wǎng)預(yù)警系統(tǒng)以及網(wǎng)絡(luò)風(fēng)暴中心等 。 2022 第三單元 網(wǎng)絡(luò)安全的要素 學(xué)習(xí)目標(biāo) ? 闡述一個(gè)有效的安全策略所包含的基本元素 ? 根據(jù)需求合理選擇安全設(shè)備和軟件 ? 掌握用戶身份驗(yàn)證的主要方法 ? 理解訪問(wèn)控制方法 ? 解釋并實(shí)施訪問(wèn)控制列表 ? 列舉出三種在互聯(lián)網(wǎng)上主要的加密方法 ? 理解審核需求 安全的基本元素 每一個(gè)元素都與其他元素共同作用以確保一個(gè)機(jī)構(gòu)能夠盡可能安全有效的通信。 – 級(jí)別 II 此類系統(tǒng)是需要的，但對(duì)于日常動(dòng)作不 是至關(guān)重要的。 ? 級(jí)別 III的資源占到 75%的比例。 員工教育 級(jí)別 需要掌握的知識(shí) 用戶 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識(shí)別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計(jì)劃策略時(shí)所需的組織安全知 識(shí)的級(jí)別 管理人員 培養(yǎng)識(shí)別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。使用 HASH算法能確定數(shù)據(jù) 是否被修改過(guò)。 加密技術(shù)的強(qiáng)度 ? 加密技術(shù)的強(qiáng)度基于三個(gè)主要因素： – 算法強(qiáng)度 :我們應(yīng)該運(yùn)用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒(méi)有經(jīng)過(guò)商業(yè)驗(yàn)證之前是不能被信任的。 ? 身份驗(yàn)證方法包括 : – 證實(shí)你所知道的 (What you know?) – 出示你所擁用的 (What you have?) – 證明你是誰(shuí) (Who are you?) – 識(shí)別你在哪兒 (Where are you?) 智能卡 ? 智能卡都有微芯片 ,芯片中可以包含所有者的個(gè)人信息、駕照信息及醫(yī)療信息等 ,這些信息可用于證明持卡人的身份。 訪問(wèn)控制列表（ ACL） ? ACL決定用戶是否可以訪問(wèn)特殊的對(duì)象，如果用戶具有訪問(wèn)一個(gè)對(duì)象的權(quán)力，則 ACL明確定義了用戶可以對(duì)此對(duì)象做哪些事情。 – Linux系統(tǒng)的可插入身份驗(yàn)證模塊（ PAM）。i=0。它不是一種實(shí)時(shí)的監(jiān)測(cè)機(jī)制。 – 跟蹤非法活動(dòng)找到源位置。 創(chuàng)建信任關(guān)系 ? 應(yīng)用加密意味著在兩個(gè)主機(jī)之間建立信任關(guān)系，主機(jī)利用密鑰加密信息，從而保證只有相對(duì)應(yīng)的某個(gè)遠(yuǎn)程主機(jī)才能解密信息，加密過(guò)程一般用公共密鑰完成。通常一種算法要經(jīng)過(guò)很多“輪”的運(yùn)算。 對(duì)稱密鑰加密 ? 對(duì)稱密鑰加密也稱為單密鑰加密 特點(diǎn)：快速并易于實(shí)施，適合大量信息的加密， 管理不便 ，容易被破解。 TripleDES (三重 DES ) ? 信息首先被使用 56位的密鑰加密，然后用另一個(gè) 56位的密鑰譯碼，最后再用原始的 56位密鑰加密，實(shí)際上運(yùn)行了三次，也就是原有 DES密鑰長(zhǎng)度的 3倍。密鑰的長(zhǎng)度也是可變的，在美國(guó)一般密鑰長(zhǎng)度是 128位，向外出口時(shí)限制到 40位，因?yàn)槭艿矫绹?guó)出口法的限制。 ? MARS是由 IBM提出的 — 種算法，并且速度要比 DES還要快，和 Two fish一樣，它主要也是面向工作在智能卡上而設(shè)計(jì)的。 ? Cast 256:一種采用 64位為一塊，而密鑰長(zhǎng)度為 256的塊密文加密方式。 非對(duì)稱密鑰加密元素 ? 非對(duì)稱密鑰加密元素包括 : – RSA美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman 密鑰交換協(xié)議，開(kāi)放式標(biāo)準(zhǔn) HASH加密 ? HASH加密是把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的128位編碼，叫做 hash值。 擴(kuò)展實(shí)驗(yàn) 41 ? 在 LINUX中用 MD5驗(yàn)證 HASH算法 應(yīng)用加密的過(guò)程 應(yīng)用加密的過(guò)程 PGP和 GPG ? 針對(duì)電子郵件和文本文件最流行的高技術(shù)加密程序就是 PGP和 GPG，兩者是最成功的采用對(duì)稱加密和非對(duì)稱加密技術(shù)以及 HASH加密的優(yōu)點(diǎn)的加密程序。簡(jiǎn)單地說(shuō)， PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 PKI的標(biāo)準(zhǔn) ? （ 1988） ? （ 1993）信息技術(shù)之開(kāi)放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡(jiǎn)述 ? （ 1993）信息技術(shù)之開(kāi)放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標(biāo)準(zhǔn) ? OCSP在線證書狀態(tài)協(xié)議 ? LDAP 輕量級(jí)目錄訪問(wèn)協(xié)議 虛擬專用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專用網(wǎng)絡(luò)，但可以實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過(guò) VPN設(shè)備或軟件技術(shù)在任意兩個(gè)節(jié)點(diǎn)之間形成一個(gè)虛擬的點(diǎn)到點(diǎn)專線技術(shù)。 ? 第二層隧道協(xié)議： ： 主要由微軟公司在 PPP的基礎(chǔ)上開(kāi)發(fā)的一種協(xié)議，沒(méi)有對(duì) PPP進(jìn)行修改，將標(biāo)準(zhǔn) PPP加上封裝，支持 ClientLAN的 VPN連接，需要先建立PPP的連接。 SSL是工作在傳輸層協(xié)議上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時(shí)不需要特殊的代碼。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。容易破譯用戶使用標(biāo)準(zhǔn)的單詞設(shè)置的口令。 擴(kuò)展實(shí)驗(yàn) 52 嘗試?yán)?Windows 2022漏洞進(jìn)行攻擊 ? 經(jīng)典的輸入法漏洞回顧 ? IIS UNICODE 漏洞 – 利用 IIS編碼時(shí)的漏洞，在一個(gè)可執(zhí)行的目錄中執(zhí)行命令 ? %c1%1c 〉 (0xc1 0xc0) * 0x40 + 0x1c = 0x5c = 39。 – 下面的 URL可能列出當(dāng)前目錄的內(nèi)容： 機(jī) ./scripts/..%c1%1c../winnt/system32/?/c+dir ? RPC2 系統(tǒng)默認(rèn)設(shè)置 ? 幾乎所有的網(wǎng)絡(luò)后臺(tái)運(yùn)行程序在默認(rèn)設(shè)置的情況下都泄漏很多的信息。 防止 DoS和 DDoS攻擊 ? 升級(jí)操作系統(tǒng) ? 密切觀測(cè)正在使用的代碼 ? 只購(gòu)買服務(wù)器、服務(wù)和應(yīng)用軟件的穩(wěn)定版本 Ping溢出 ? 屬于拒絕服務(wù)攻擊的一種類型，其原理是使用簡(jiǎn)單的 Ping命令在短時(shí)間內(nèi)發(fā)送大量的 ping數(shù)據(jù)包到服務(wù)器，那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包，從而導(dǎo)致無(wú)法正常工作。攻擊將阻塞網(wǎng)絡(luò)連接或使系統(tǒng)對(duì)網(wǎng)絡(luò)請(qǐng)求做出的反應(yīng)變慢。 ? 竊聽(tīng)?wèi)?yīng)用程序間的消息、損害現(xiàn)有控制機(jī)制以及物理攻擊是內(nèi)部攻擊的常見(jiàn)方式。 ARP欺騙 ? 利用 ARP列表生成機(jī)制的漏洞來(lái)進(jìn)行全網(wǎng)絡(luò)嗅探和攻擊的技術(shù) ? 利用 ARP欺騙的木馬或病毒 ? 怎樣防范 : ? （ 1）在客戶端使用 arp命令綁定網(wǎng)關(guān)的真實(shí) MAC地址命令如下： ? arp (先清除錯(cuò)誤的 ARP表 ) ? arp 030303030303 （靜態(tài)指定網(wǎng)關(guān)的 MAC地址） ? （ 2）在交換機(jī)上做端口與 MAC地址的靜態(tài)綁定。 中間人攻擊示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 認(rèn) 為 他 在 與服 務(wù) 器 直 接 對(duì) 話攻 擊 者 將 信 息 傳送 到 服 務(wù) 器信 息 流 實(shí) 際上 經(jīng) 過(guò) 了 攻擊 者嗅探攻擊 ? 嗅探器 (sniffer) 是利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲本不應(yīng)該接收數(shù)據(jù)報(bào)文的一種技術(shù)，也可以將網(wǎng)絡(luò)中所有經(jīng)過(guò)本物理網(wǎng)卡的所有流量全都截取下來(lái)。 ? 主要有兩種類型： – 中間人攻擊 – 注射式攻擊 ? 經(jīng)典的會(huì)話劫持工具 – TTYwatch – HUNT 會(huì)話劫持示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 遠(yuǎn) 程 登 錄 服 務(wù) 器合 法 用 戶 驗(yàn) 證 服 務(wù) 器你 好 , 我 是 合 法 用 戶D i e !會(huì)話劫持的危害及防范 ? 會(huì)話劫持攻擊使攻擊者避開(kāi)了被攻擊主機(jī)對(duì)訪問(wèn)者的身份驗(yàn)證和安全認(rèn)證，從而使攻擊者直接進(jìn)入對(duì)被攻擊主機(jī)的訪問(wèn)狀態(tài)，因此對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點(diǎn)擊、下載和運(yùn)行各種來(lái)歷不明的程序和腳本。