【正文】 長的數(shù)據(jù)? 流程：– 構(gòu)造一段消息的消息摘要– 對該段消息摘要進行數(shù)字簽名數(shù)字簽名與消息摘要 ? 公鑰密碼體制的缺點 :– 加、解密的速度太慢– 密鑰長度太長 ? RSA算法：– 是一個可逆的公鑰密碼體制，在 PGP中被用來加密通信密鑰和數(shù)字簽名 。? 加密流程 但是必須向 CA請求才能得到一份 ? 字? 個數(shù)字簽名PGP– 密鑰首選的對稱加密算法 – 證書持有者的公鑰 PGP公鑰與證書 –口令? PGP加解密算法? PGP的密鑰管理機制 GoodZimmermann于 1991年發(fā)布? 采用了 RSA和對稱加密算法相結(jié)合的機制? 1993年，美國政府以違反出口法規(guī)提起了對 Phil Zimmermann的訴訟。–PGP功能? PGP加密流程 PGPGoodPGP? 隱患掃描? PKI(CA)? VPN? Express? MicrosoftInformation支持 WIN2023 PKI的 應(yīng) 用程序 ? MicrosoftPKI? 活動目錄 4. CA將證書發(fā)給用戶 證書頒發(fā)過程 這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方 CA產(chǎn)品提供良好的支持。PKI? Windows–WIN2023? WIN2023證書 (2)? 證書版本號（ Version）? 證書序列號（ SerialNumber）? 簽名算法標識符 (Signatue Alg ID)? 頒發(fā)者（ Issuer） ? 有效期（ Validity）RFC(CA)? PKI基礎(chǔ)知識? PKI技術(shù) 實驗室 ? 因特網(wǎng)特別工程任務(wù)組 基于以下原理：尋找大素數(shù)是相對容易的，而分解兩個大素數(shù)的積在計算上是不可行的 。PKIPKI防病毒PKI日志審計? ? 主機弱點掃描? 特定應(yīng)用弱點掃描– 數(shù)據(jù)庫弱點掃描 – 對未知漏洞的檢測 數(shù)據(jù)庫弱點掃描? 以 ISS的 Database Scanner 為代表? 自動解析數(shù)據(jù)庫系統(tǒng)的重要配置管理參數(shù)? 分析數(shù)據(jù)庫系統(tǒng)的授權(quán)、認證、完整性? 檢測一些流行數(shù)據(jù)庫的安全漏洞? 生成詳細用戶報告? 提供兩種評估方式– 內(nèi)部掃描– 外部穿透性測試 對未知漏洞的檢測? 目前主要有三種方法：– 靜態(tài)源代碼掃描– 環(huán)境錯誤注入– 匯編代碼掃描 ? 已有一些成果發(fā)布，尚待進一步研究課程內(nèi)容? SystemScannerscanning） Scanner(1)? 針對網(wǎng)絡(luò)上主機網(wǎng)絡(luò)連接相關(guān)信息，分析主機系統(tǒng)平臺，提供的服務(wù)，并分析是否存弱點 ? 其可以診斷出的弱點包括：– 對 PC、 服務(wù)器、 Web服務(wù)器、防火墻、路由器等網(wǎng)絡(luò)設(shè)備的錯誤配置– 設(shè)備所啟動的服務(wù)– 弱的或者無密碼防護– 沒有打補丁或者過時的系統(tǒng)平臺。(2)? 具有良好的可擴展性? 最核心部分對操作系統(tǒng)類型、網(wǎng)絡(luò)服務(wù)名稱、漏洞信息和其他細節(jié)信息依賴性很小 ? 提供了較為靈活的方式供用戶添加自己的探測模塊 ,用戶可以自己編寫一個可執(zhí)行文件，以 .satan結(jié)尾 NESSUSNetworksAnalysisInter? 簡單漏洞識別與分析 ? 全面漏洞識別與分析 簡單漏洞識別與分析? 許多工具能實現(xiàn)相對有限的安全檢測。? 網(wǎng)絡(luò)弱點掃描 ? 網(wǎng)絡(luò)弱點掃描 PGP? 隱患掃描? PKI(CA)? VPN? Detection） msg PHF probe!) – alert tcp ! 6000:6010 ( msg: X traffic。? 技術(shù)較為成熟，為絕大多數(shù)市場產(chǎn)品采用? 典型應(yīng)用：– 網(wǎng)絡(luò)數(shù)據(jù)包– 用戶指令序列– 應(yīng)用程序編碼特征，等等 ? TripWare主要利用關(guān)鍵性文件的摘要作為自己知識庫，合法用戶修改文件后要更新該文件摘要，由于非法用戶無權(quán)更改其摘要，所以當發(fā)現(xiàn)文件摘要和保存的記錄不符時，判定系統(tǒng)受到攻擊。異常入侵檢測技術(shù) (2)– 誤用入侵檢測技術(shù) Detection） ? 入侵檢測定義– 入侵檢測與入侵檢測系統(tǒng)（ IDS)– 入侵檢測系統(tǒng)基本框架 ? 入侵檢測方法 Detection） 安全加固? 內(nèi)外網(wǎng)隔離? [包長度 ]IDS日志舉例 [源地址 ]? [方向 17:31:59Check日志舉例 (1)? 事件類型 : 成功審核? 事件來源 : Security? 事件種類 : 登錄 /注銷 ? 事件 ID: 538? 日期 : 202399? 時間 : 20:47:04WINModel）BSM用戶級審計記錄包括：? 進程名? 手冊頁參考? 審計事件號? 審計事件名? 審計記錄結(jié)構(gòu)BSM核心級審計記錄包括：? 系統(tǒng)調(diào)用名? 手冊頁參考? 審計事件號? 審計事件名? 審計事件類? 事件屏蔽? 審計記錄結(jié)構(gòu)WIN? 保護審計記錄不受未授權(quán)的刪除 ? 防止或檢測對審計記錄的修改 ? 當存儲耗盡、失敗或受到攻擊時，能夠確保審計記錄不受破壞 ? 存儲失敗時，應(yīng)采取一定行動確保新的審計記錄不受破壞 審計事件查閱 ? 訪問控制權(quán)限? 易于理解日志審計分析 ? 日志的分析可以分為手工和自動的方式，通常，對日志的自動分析任務(wù)可以由入侵檢測系統(tǒng)完成。日志審計的重要性? 管理員? 入侵者 安全加固? 內(nèi)外網(wǎng)隔離? ? 物理隔離網(wǎng)閘（ GAP）雙網(wǎng)機技術(shù)? 在一個機箱內(nèi)設(shè)有兩塊主機板、兩套內(nèi)存、兩塊硬盤和兩 CPU? 相當于兩臺計算機共用一個顯示器? 用戶通過客戶端開關(guān)，分別選擇兩套計算機系統(tǒng)? 特點是：– 客戶端成本很高– 網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)– 技術(shù)水平簡單物理隔離卡－ 雙網(wǎng)線隔離卡? 客戶端需要增加一塊 PCI卡，客戶端硬盤或其它存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲設(shè)備。–易于操作–具有靈活性與擴展性 PGP? 隱患掃描? PKI(CA)? VPN? 通過使用驗證包頭（ AH， 在 RFC 2402中定義），也可以提供 IP數(shù)據(jù)報的驗證IPSec VPN(2)(2)? 1996年， Cisco提出 L2F（ Layer 2 Forwarding） 隧道協(xié)議 ? 1997年底， Micorosoft和 Cisco公司把PPTP協(xié)議和 L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2TP協(xié)議 ? L2TP可以實現(xiàn)和企業(yè)原有非 IP網(wǎng)的兼容 ,支持 MP（ Multilink Protocol）， 可以把多個物理通道捆綁為單一邏輯信道 PPTP/PPTP/? VPN的分類 Access–Intra? VPN的分類 ? VPN的隧道協(xié)議 ? VPN的分類 防病毒VPN日志審計? 課程內(nèi)容? 穩(wěn)定性和兼容性 采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應(yīng)該領(lǐng)先；操作系統(tǒng)是專用的screenos， 不存在防火墻和硬件的兼容性問題。– 延遲 ? 防火墻基礎(chǔ)知識? 防火墻體系結(jié)構(gòu)? 防火墻技術(shù) ? 防火墻評測指標防火墻評測指標 ? 使用多臺內(nèi)部路由器 ? 合并堡壘主機與外部路由器 ? 優(yōu)點：即使堡壘主機被攻破，也不能直接侵入內(nèi)部網(wǎng)絡(luò)。防火墻可以做什么? 防火墻是安全決策的焦點（阻塞點） ? 防火墻能強制安全策略 ? 防火墻能有效地記錄網(wǎng)絡(luò)活動 防火墻的局限性 ? 限制了可用性 ? 對網(wǎng)絡(luò)內(nèi)部的攻擊無能為力 ? 不能防范不經(jīng)過防火墻的攻擊 ? 不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊? 不能完全防范惡意代碼的通過防火墻（ Firewall） 防病毒防火墻（ Firewall） 入侵檢測? 防火墻? 入侵檢測? 防火墻? 安全主流產(chǎn)品與常見工具 VPN? 隱患掃描? PKI(CA)? PGP? VPN? 隱患掃描? PKI(CA)? 所有在這兩個網(wǎng)絡(luò)間發(fā)送的 IP數(shù)據(jù)包都會經(jīng)過該主機 ，該主機可以對轉(zhuǎn)發(fā)的 IP包進行安全檢查? 優(yōu)點：構(gòu)造簡單? 缺點：易受攻擊屏蔽主機體系結(jié)構(gòu) （圖）屏蔽主機體系結(jié)構(gòu)? 屏蔽主機結(jié)構(gòu)將提供安全保護的堡壘主機置于內(nèi)部網(wǎng)上，使用一個單獨的路由器對該主機進行屏蔽? 優(yōu)點：能夠提供更高層次的安全保護