【正文】 anagement ） IKE,SKIP ? 身份認(rèn)證技術(shù)（ Authentication ） CHAP,MSCHAP 隧道技術(shù)（ Tunneling） ? 隧道技術(shù)是一種類似于點(diǎn)到點(diǎn)的技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)通過(guò)此通道傳輸。 ? 企業(yè)在構(gòu)架 VPN時(shí)都會(huì)利用防火墻和訪問(wèn)控制技術(shù)來(lái)提高 VPN的安全性，但這還不夠。 ? PKI技術(shù)的意義 : – 通過(guò) PKI可以構(gòu)建一個(gè) 可管、可控、安全 的互聯(lián)網(wǎng)絡(luò)。 ? PGP和 GPG也采用了對(duì)稱加密技術(shù)，在生成公鑰和私鑰的時(shí)候會(huì)要求輸入一個(gè)簡(jiǎn)單好記的密鑰，這個(gè)密鑰用于保護(hù)剛才生成的密鑰對(duì)。 – 安全 HASH算法 (SHA) :由 NIST和 NSA開(kāi)發(fā)并應(yīng)用于美國(guó)政府， 160位 hash值，結(jié)構(gòu)與 MD5類似，速度比 MD5慢25%，比 MD5更安全，產(chǎn)生的 Hash值比 MD5長(zhǎng) 25%。 HASH加密 ? HASH加密是把一些 不同長(zhǎng)度的信息 轉(zhuǎn)化成雜亂的128位 編碼，叫做 hash值。 ? HNC： 用于一系列的私有加密或非正式加密的應(yīng)用，它由 HNC（ ）公司所開(kāi)發(fā)，主要用于創(chuàng)建分發(fā)軟件包的訪問(wèn)代碼。 其它的對(duì)稱加密算法 ? Misty1和 Misty2:是由日本三菱電子開(kāi)發(fā)的一種算法，采用一種 128位的塊密鑰加密，每塊 64位。 Lotus Notes， Oracle SQL都使用 RC4的算法。 RSA安全公司的對(duì)稱算法 ? RC2和 RC5 :RC2是一種 block（塊）模式的密文，就是把信息加密成 64位的數(shù)據(jù)塊。 ? DES 主要用于 POS、 ATM、 IC卡、加油站、高速公路收費(fèi)站，金融交易數(shù)據(jù)包的 MAC效驗(yàn)。 ? 對(duì)付暴力破解就需對(duì)稱加密的長(zhǎng)度設(shè)置的更長(zhǎng)，更復(fù)雜，或者采用一次性口令。 特點(diǎn)：快速并易于實(shí)施，適合大量信息的加密， 管理不便 ，容易被破解。 加密相關(guān)術(shù)語(yǔ) ? Parallelization是指使用多進(jìn)程、多處理器或多臺(tái)機(jī)器來(lái)破解一種加密算法。 加密相關(guān)術(shù)語(yǔ) ? 加密術(shù)語(yǔ) Round是在加密過(guò)程中一個(gè)離散過(guò)程。 創(chuàng)建信任關(guān)系 ? 應(yīng)用加密意味著在 兩個(gè)主機(jī)之間建立信任關(guān)系 ，主機(jī)利用密鑰加密信息，從而保證只有相對(duì)應(yīng)的某個(gè)遠(yuǎn)程主機(jī)才能解密信息， 加密過(guò)程一般用公共密鑰完成。 – 跟蹤非法活動(dòng)找到源位置。它不是一種實(shí)時(shí)的監(jiān)測(cè)機(jī)制。i=0。 – Linux系統(tǒng)的可插入身份驗(yàn)證模塊（ PAM）。 訪問(wèn)控制列表（ ACL） ? ACL決定用戶是否可以訪問(wèn)特殊的對(duì)象，如果用戶具有訪問(wèn)一個(gè)對(duì)象的權(quán)力，則 ACL明確定義了用戶可以對(duì)此對(duì)象做哪些事情。 ? 身份驗(yàn)證方法包括 : – 證實(shí)你所知道的 (What you know?) – 出示你所擁用的 (What you have?) – 證明你是誰(shuí) (Who are you?) – 識(shí)別你在哪兒 (Where are you?) 智能卡 ? 智能卡 都有微芯片 ,芯片中可以包含所有者的個(gè)人信息、駕照信息及醫(yī)療信息等 ,這些信息可用于證明持卡人的身份。 – 密鑰的保密性能 :數(shù)據(jù)的保密程度與密鑰的隱秘性是聯(lián)系在一起的。 認(rèn)證 數(shù)字簽名提供認(rèn)證服務(wù)，以確保數(shù)據(jù)來(lái)源安全 可靠。所有的加密技術(shù)都要使用算法，它是一種復(fù)雜的數(shù)學(xué)規(guī)則，被設(shè)計(jì)用來(lái)攪亂信息。 ? 可接受行為和不可接受行為的定義不是絕對(duì)的。 日?；顒?dòng) 合理地為系統(tǒng)分類 ? 不要把太多的資源劃分到級(jí)別 I，級(jí)別 I僅僅是那些一旦出現(xiàn)問(wèn)題會(huì)對(duì)系統(tǒng)造成巨大損失的資源 ,通常占到系統(tǒng)比例的 5%。通常應(yīng)包括以下內(nèi)容 : – 確定要保護(hù)的資源 – 規(guī)范員工的行為 – 安全措施的量化 建立安全策略的步驟 ? 劃分系統(tǒng)級(jí)別 ? 確定風(fēng)險(xiǎn)和劃分資源優(yōu)先級(jí) ? 指定風(fēng)險(xiǎn)要素 ? 定義可接受行為和不可接受行為 ? 根據(jù)員工在公司中的角色進(jìn)行教育 ? 確定誰(shuí)將執(zhí)行安全策略 劃分系統(tǒng)級(jí)別 ? 一般系統(tǒng)資源可分為三類 : – 級(jí)別 I 關(guān)鍵的： 此類系統(tǒng)是商業(yè)動(dòng)作的中心。 ISSA的目標(biāo)是促進(jìn)安全管理措施，以確保信息的機(jī)密性、完整性以及安全傳播。 安全組織 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組（ CERT） – 計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急小組（ CSIRT或 CERT）是專門(mén)從事計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)安全技術(shù)研究，并接收、檢查、處理相關(guān)安全事件的服務(wù)性組織的通稱，是 國(guó)際上公認(rèn)的最專業(yè)的 網(wǎng)絡(luò)安全保障機(jī)構(gòu)。必須滿足下列要求：系統(tǒng)管理員必須從開(kāi)發(fā)者那里接收到一個(gè)安全策略的正式模型 。 ? B1級(jí)：系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 ? 它的范圍從級(jí)別 A到級(jí)別 D，其中 A是最高級(jí)別。這些標(biāo)準(zhǔn)發(fā)表在一系列的書(shū)上通常叫做“ 彩虹系列 ”，因?yàn)槊勘緯?shū)的封面的顏色都是不同的。包括特定產(chǎn)品的信息，解釋了特殊產(chǎn)品或系統(tǒng) 如何滿足 PP的需求 。 – 可靠的技術(shù)作為評(píng)估產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)。每一級(jí)均需評(píng)估 7個(gè)功能類 ，分別是 配置管理 、 分發(fā)和操作 、 開(kāi)發(fā)過(guò)程 、指導(dǎo)文獻(xiàn) 、 生命期的技術(shù)支持、測(cè)試和脆弱性評(píng)估。 ? 新標(biāo)準(zhǔn)的正式標(biāo)題是 :《 BS 77992:2022 (ISO/IEC 27001:2022)信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 》 ? 標(biāo)準(zhǔn)的主要改變?cè)谟谒F(xiàn)在是 國(guó)際公認(rèn) 的，它是組織能夠?qū)π畔踩芾硐到y(tǒng)進(jìn)行客觀對(duì)了評(píng)估的 唯一國(guó)際標(biāo)準(zhǔn) 。 ISO 17799標(biāo)準(zhǔn)的內(nèi)容 ? 信息安全方針 ? 組織安全 ? 資產(chǎn)的分類與控制 ? 人員安全 ? 物理與環(huán)境安全 ? 通信和運(yùn)作方式管理 ? 訪問(wèn)控制 ? 系統(tǒng)開(kāi)發(fā)與維護(hù) ? 信息安全事件管理 ? 業(yè)務(wù)持續(xù)性管理 ? 符合法律 ISO 17799標(biāo)準(zhǔn)的作用 ? ISO 17799可以作為認(rèn)證嗎？ – ISO/IEC 17799不是技術(shù)性的信息安全操作手冊(cè)，它討論的主題很廣泛，但對(duì)每一項(xiàng)內(nèi)容的討論都沒(méi)有深入下去，也 沒(méi)有提供足夠的信息 以幫助組織建立信息安全管理體系， 還不能滿足認(rèn)證的要求 。 ? 事件檢測(cè) – 檢測(cè)與安全相關(guān)的事件 ISO 17799 ? BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) (British Standards Institute BSI)最早發(fā)布的一個(gè)關(guān)于信息安全管理的標(biāo)準(zhǔn) ,最早始于 1995年。 普通的安全機(jī)制 ? 審核跟蹤 – 收集的及潛在用于安全審計(jì)的數(shù)據(jù)，它是對(duì)系統(tǒng)記錄和行為的獨(dú)立回顧和檢查。 ? 公證 – 利用可信的第三方來(lái)保證數(shù)據(jù)交換的某些性質(zhì)。 特殊安全機(jī)制 ? 身份驗(yàn)證 – 可以包括用于簡(jiǎn)單或復(fù)雜的操作系統(tǒng)和網(wǎng)絡(luò)的口令方案。 執(zhí)行列表 則是進(jìn)入大門(mén)后，里面的程序使用。 – 附加于數(shù)據(jù)元之后的數(shù)據(jù)，是對(duì)數(shù)據(jù)元的密碼交換，以使得 (如接收方 )可證明數(shù)據(jù)源和完整性，并防止偽造。 – 運(yùn)行數(shù)學(xué)算法將數(shù)據(jù)轉(zhuǎn)換成不可知的形式。 – 如加密就是特殊安全機(jī)制的一個(gè)例子。 安全機(jī)制 ? 安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或多個(gè)安全服務(wù)的過(guò)程 。 ? 數(shù)據(jù)完整性 – 保證收到的數(shù)據(jù)確實(shí)是授權(quán)實(shí)體所發(fā)出的數(shù)據(jù)，也就是沒(méi)有修改、插入、刪除或重放。 – 威脅是指潛在的安全破壞活動(dòng)，是客觀存在。其任務(wù)是促進(jìn)全球范圍內(nèi)的標(biāo)準(zhǔn)化及其有關(guān)活動(dòng)。服務(wù)器資 源經(jīng)常成為最主要的目標(biāo) 數(shù)據(jù)庫(kù)和信息資源 得到商業(yè)機(jī)密，交易行為，消費(fèi)者的數(shù)據(jù) 等等 潛在的威脅 ? 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅大體分成兩種： – 信息 – 設(shè)備 ? 歸納起來(lái)，面臨的主要潛在威脅： – 信息泄密－數(shù)據(jù)的保密性 – 信息被篡改 －數(shù)據(jù)的完整性 – 傳輸非法信息流 －允許和不允許 – 網(wǎng)絡(luò)資源的錯(cuò)誤使用－訪問(wèn)控制 – 非法使用網(wǎng)絡(luò)資源－非法用戶 – 計(jì)算機(jī)病毒－已經(jīng)成為網(wǎng)絡(luò)安全的最大威脅 網(wǎng)絡(luò)中存在的不安全因素 ? 自然災(zāi)害：水災(zāi)、火災(zāi)、地震等 ? 人為災(zāi)害：戰(zhàn)爭(zhēng)、縱火、盜竊設(shè)備等 ? 系統(tǒng)物理故障 ：硬件故障、軟件故障、網(wǎng)絡(luò)故障等 ? 人為的無(wú)意失誤：程序設(shè)計(jì)錯(cuò)誤、誤操作、無(wú)意中損壞和無(wú)意中泄密等 ? 人為的惡意攻擊 ：主動(dòng)攻擊、被動(dòng)攻擊 存在百分之百的安全嗎 ? 盡管不可能實(shí)現(xiàn)絕對(duì)安全，但是仍可以達(dá)到某種水平，使得幾乎所有最熟練的和最堅(jiān)定的黑客也不能登錄到系統(tǒng)。 ? 用于存儲(chǔ)重要資料或是負(fù)責(zé)安全管理的服務(wù)器是最吸引黑客攻擊的，而服務(wù)器遭受攻擊造成的損失往往也是最大的。 ? 潛在的威脅： – 病毒，木馬， Java小程序可以對(duì)本地系統(tǒng)造成危險(xiǎn)。 ? 一個(gè)合理有效的安全矩陣應(yīng)該具有如下特點(diǎn)： – 允許訪問(wèn)控制：合法性 – 容易使用 ：方便性 – 合理的花費(fèi) – 靈活性和伸縮性 – 優(yōu)秀的警報(bào)和報(bào)告 安全投資回報(bào) ? 單獨(dú)使用防火墻進(jìn)行保護(hù)并不能作為一個(gè)完整的解決方案。 ? 系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。 ? 信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。 ? 攻擊：一種有意的、具有智能的威脅。2022 VCampus Corporation All Rights Reserved. 網(wǎng)絡(luò)安全基礎(chǔ)與防火墻 主講教師 :董智勇 2022 VCampus Corporation All Rights Reserved. 第一單元 什么是安全 學(xué)習(xí)目標(biāo) ? 安全的基本概念 ? 網(wǎng)絡(luò)安全的必要性 ? 網(wǎng)絡(luò)安全的目標(biāo) ? 需要保護(hù)的資源 ? 常見(jiàn)的安全威脅類型 ? 了解如何建立有效的安全矩陣 一個(gè)攻擊的實(shí)驗(yàn) ? 安裝 Netbus服務(wù)器并將木馬植入到計(jì)算機(jī)。 ? 威脅：是利用脆弱性的潛在危險(xiǎn)，是可能性。 ? 人為的失誤、經(jīng)驗(yàn)的缺乏 網(wǎng)絡(luò)安全的目標(biāo) ? 身份真實(shí)性：能對(duì)通訊實(shí)體身份的真實(shí)性進(jìn)行鑒別。 ? 不可否認(rèn)性：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為。 有效的安全矩陣 ? 安全矩陣 – 由各種組件組成的安全策略，包括硬件、軟件、員工培訓(xùn)、安全策略等。 ? 許多損害是來(lái)自于公司內(nèi)部，用戶操作失誤或是缺乏安全意識(shí)往往會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。 服務(wù)器資源 ? 文件、 dns、 web、 ftp、 Email服務(wù)器等。 ? 潛在的威脅 ? 得到商業(yè)機(jī)密，交易行為，消費(fèi)者的數(shù)據(jù)等等 各種資源易受的攻擊 重要資源 潛在的威脅 終端用戶資源 病毒，木馬， Java小程序可以對(duì)本地系統(tǒng) 造成危險(xiǎn) 網(wǎng)絡(luò)資源 IP欺騙，系統(tǒng)探測(cè)，及獲得相關(guān)信息 服務(wù)器資源 非授權(quán)侵入，截取服務(wù)，木馬。 2022 VCampus Corporation All Rights Reserved. 第二單元 安全標(biāo)準(zhǔn)及組織概況 學(xué)習(xí)目標(biāo) ? 了解安全標(biāo)準(zhǔn)的意義 ? ISO 17799/ISO 27001的主要內(nèi)容 ? 了解公共準(zhǔn)則 ? 熟悉主要的網(wǎng)絡(luò)安全組織 國(guó)際標(biāo)準(zhǔn)化組織 ? 國(guó)際標(biāo)準(zhǔn)化組織，簡(jiǎn)稱 ISO，是一個(gè)全球性的非政府組織，是國(guó)際標(biāo)準(zhǔn)化領(lǐng)域中一個(gè)十分重要的組織。 – 漏洞是指任何可以造成破壞系統(tǒng)或者信息的弱項(xiàng)。 ? 數(shù)據(jù)保密性 – 保護(hù)數(shù)據(jù)不被未授權(quán)的暴露。不可否定性可以防止來(lái)自源端和目的端的欺騙。 – 是在同一時(shí)間只在 一種 安全服務(wù)上實(shí)施一種技術(shù)或軟件。 特殊安全機(jī)制 ? 加密 – 對(duì)網(wǎng)絡(luò)中（或同一本地主機(jī)的兩個(gè)進(jìn)程之間） 在系統(tǒng)之間移動(dòng)的數(shù)據(jù)進(jìn)行加密。即 第三方需要驗(yàn)證傳輸數(shù)據(jù) 。 – 訪問(wèn)控制列表跟執(zhí)行控制列表的區(qū)別 ： 訪問(wèn)控制 是在大門(mén)外，能否進(jìn)入，就是進(jìn)入后，也不是什么事都可以做，有權(quán)限設(shè)置。 – 例如 linux上的 md5sum操作，用于判斷文件是否經(jīng)過(guò)更改。 ? 路由控制 – 能夠?yàn)槟承?shù)據(jù)選擇特殊的物理上安全的線路并允許路由變化。 – 標(biāo)示數(shù)據(jù)的敏感級(jí)別。 ? 安全恢復(fù) – 處理來(lái)自安全機(jī)制的請(qǐng)求，如事件處理、管理功能和采取恢復(fù)行為。 ? BS 77991:1999被 ISO委員會(huì)評(píng)審、討論通過(guò)，成為信息安全領(lǐng)域的國(guó)際標(biāo)準(zhǔn) ISO/IEC 17799:2022，于 2022年 6月 15日發(fā)布了 ISO/IEC 17799:2022版（全稱為信息技術(shù) — 安全技術(shù) — 信息安全管理實(shí)踐規(guī)范）。它規(guī)定了建立、實(shí)施、文件化信息安全管理體系 (ISMS)的要求，規(guī)定了根據(jù)單獨(dú)組織需要定制安全控制的要求。 ? CC將評(píng)估過(guò)程劃分為 功能和保證 兩部分，評(píng)估等級(jí)分為 EAL EAL EAL EAL EALEAL6和 EAL7共 七個(gè) 等級(jí)。 ? CC提供兩個(gè)基本功能 – 標(biāo)準(zhǔn)化的方法描述安全必要條件，如安全需要、實(shí)現(xiàn)這些需要的產(chǎn)品和系統(tǒng)以及分析和測(cè)試這些產(chǎn)品和系統(tǒng)。 ? 安全目標(biāo)（ ST） 【 怎么做 】 來(lái)自于廠商的一段綜述，描述了 IT產(chǎn)品或系統(tǒng)可以提供的安全。 桔皮書(shū) ? 為了標(biāo)準(zhǔn)化安全的級(jí)別，美國(guó)政府發(fā)表了一系列