【正文】 的標(biāo)準(zhǔn)來定義一般安全的級別。它規(guī)定了一些級別用于 :保護(hù)硬件、軟件和存儲的信息免受攻擊。 ? C2級： UNIX和 windows屬于這個級別。 ? A1級：包括嚴(yán)格的設(shè)計、控制和驗證過程。 ? FISMA確定了安全計劃必需的元素，但是沒有提供有關(guān)如何達(dá)到這些要求的安全基準(zhǔn)或指導(dǎo)。 ISSA ? 信息系統(tǒng)安全協(xié)會 (ISSA)是一個由信息安全專家以及相關(guān)從業(yè)人員組成的一個 非營利性質(zhì) 的國際組織。 安全策略 ? 安全策略必須為整個組織機構(gòu)提供指導(dǎo)方針，它是建立安全系統(tǒng)的第一道防線。 重要的 – 級別 III 只要不對級別 I和級別 II中的系統(tǒng)產(chǎn)生影 響，本地桌面計算機就應(yīng)該屬于該級 別。 策略和技術(shù)之間的關(guān)系 人驅(qū)動策略 策略指導(dǎo)技術(shù) 技術(shù)服務(wù)于人 定義可接受行為和不可接受行為 ? 管理員必須區(qū)分可接受行為和不可接受行為，并根據(jù)每個資源來定義這種行為。 員工教育 級別 需要掌握的知識 用戶 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計劃策略時所需的組織安全知 識的級別 管理人員 培養(yǎng)識別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。使用 HASH算法能確定數(shù)據(jù) 是否被修改過。 加密技術(shù)的強度 ? 加密技術(shù)的強度基于三個主要因素： – 算法強度 :我們應(yīng)該運用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒有經(jīng)過商業(yè)驗證之前是不能被信任的。 身份驗證 ? 身份驗證是驗證用戶、系統(tǒng)或系統(tǒng)組件身份的一種能力。 ? 實現(xiàn)這種控制的 兩種 普遍方法是： 訪問控制 列表（ ACL）和 執(zhí)行控制 列表（ ECL）。 ? ECL的例子有 : – Windows 2022本地和域安全策略設(shè)置。 實驗 33 ? 使用 Netscape Navigator來設(shè)置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0。 實驗 35 ? 在 Linux下，為 su命令建立執(zhí)行控制列表 審核 ? 被動審核 : 是指計算機簡單地 記錄 活動，但不做任 何事情。 – 拒絕一些主機的訪問（包括 WEB站點， FTP服務(wù)器和 Email服務(wù)器。 ? 保證數(shù)據(jù)的完整性 ：加密能保證和檢查數(shù)據(jù)有沒有被更改。 – 自動發(fā)布 ： 主要使用到的是公共密鑰結(jié)構(gòu)體 系，如 Windows 2022的域里面 就是采用了自動發(fā)布公鑰。 – 具體過程如下：首先對未加密數(shù)據(jù)的一半進(jìn)行運算，再對另一半進(jìn)行處理，然后每一半加密后的數(shù)據(jù)在重新運算以得到更復(fù)雜的結(jié)果，這個過程，稱為一個 Round。 對稱密鑰加密 ? 對稱密鑰加密也稱為單密鑰加密 ? 加密和解密使用同一個密鑰。 ? 對付字典破解就是改變密鑰的規(guī)律性，然而定期改變密鑰是很困難的。 每 64位的數(shù)據(jù)被分成兩半 ，并利用密鑰對每一半進(jìn)行運算(稱做 — 次 round或是輪 )， DES運行 16個 rounds，并且對于每個 round運算所使用密鑰的位數(shù)是不同的。 ? 主要 防止中間人 攻擊。 密鑰的長度也是可變的 ，在美國一般密鑰長度是 128位，向外出口時限制到 40位，因為受到美國出口法的限制。 ? MARS是由 IBM提出的 — 種算法，并且速度要 比 DES還要快 ，和 Two fish一樣，它主要也是 面向工作在智能卡上而設(shè)計的。 ? Cast 256:一種采用 64位為一塊，而密鑰長度為 256的塊密文加密方式。 非對稱密鑰加密元素 ? 非對稱密鑰加密元素包括 : – RSA美國國家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman屬于一種安全交換密鑰的協(xié)議，可以看作是密鑰交換協(xié)議，開放式標(biāo)準(zhǔn)，但是很容易受中間人攻擊。 HASH算法 ? HASH算法包括 : – MD2, MD4 and MD5 :使用不同長度的數(shù)據(jù)流，產(chǎn)生一個唯一的指紋，用于對 Email,證書，保證內(nèi)容完整性的相關(guān)應(yīng)用。 ? 安裝了 PGP或 GPG以后，需要生成一對密鑰對，這一對密鑰是非對稱的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 ? PKI體制在密鑰管理上比對稱密鑰密碼更安全。 PKI的標(biāo)準(zhǔn) ? （ 1988） ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡述 ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標(biāo)準(zhǔn) ? OCSP在線證書狀態(tài)協(xié)議 ? LDAP 輕量級目錄訪問協(xié)議 虛擬專用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專用網(wǎng)絡(luò)，但可以實現(xiàn)專用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過 VPN設(shè)備或軟件技術(shù)在任意兩個節(jié)點之間形成一個虛擬的點到點專線技術(shù)。 ? 特點： – 安全保障 – 服務(wù)質(zhì)量保證 – 可擴(kuò)充性和靈活性 – 可管理性 VPN安全技術(shù) ? 隧道技術(shù)（ Tunneling） PPTP， L2TP,L2F ? 加解密技術(shù)（ Encryption amp。 2. L2F是由思科公司開發(fā)的一種提供虛擬拔號的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結(jié)合兩者的優(yōu)點 VPN與 IPsec ? Ipsec處于各個協(xié)議層的中間位置，既能 捕獲高層的報文，也能 捕獲低層 的報文，附加的安全措施與低層無關(guān)對高層透明。 安全套接字層 (SSL) ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此 防止了竊聽、破壞和信息偽造 。 ? SSL是工作在 傳輸層協(xié)議 上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時不需要特殊的代碼。 安全套接字層 (SSL) ? SSL加密過程的具備步驟 ： – 客戶端和服務(wù)器端協(xié)商建立加密通道的特定算法。 ? SSL數(shù)據(jù)結(jié)構(gòu) 包括以下部分： – 客戶端和服務(wù)器端握手協(xié)議 – 認(rèn)證和密鑰交換程序 – 信息和常數(shù) 2022 VCampus Corporation All Rights Reserved. 第五單元 基本攻擊 學(xué)習(xí)目標(biāo) ? 描述典型的安全攻擊類型 ? 識別常見的攻擊事件 什么是黑客？ ? 他們電腦技術(shù)高超，善于利用創(chuàng)新的方法剖析系統(tǒng)。 ? 今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。要進(jìn)一步解決安全問題，我們需要了解可能遇到的攻擊類型。 ? 字典窮舉法攻擊通過查詢一個“字典文件”來嘗試破譯口令，此文件包括一個很長的單詞列表。 ? 后門 是一個在操作系統(tǒng)或程序中無證明文件的通道，通常是由軟件開發(fā)人員 故意放置 在那里的。 ? 采取措施保護(hù)下列信息： – DNS服務(wù)器的內(nèi)容 – 路由表 – 用戶和帳戶名 – 運行在任何服務(wù)器上的標(biāo)題信息 拒絕服務(wù)和分布式拒絕服務(wù) ? 拒絕服務(wù)攻擊（ DoS）中，黑客阻止合法的用戶訪問某一種服務(wù)。 –主要利用系統(tǒng)軟件的 Bug， 一旦 Bug被修正，攻擊就不起作用 ? 使系統(tǒng)或網(wǎng)絡(luò)無法響應(yīng)正常的請求 –發(fā)送大量的垃圾數(shù)據(jù)，使得系統(tǒng)無法處理正常的請求 分布式拒絕服務(wù)攻擊 ? 常用拒絕服務(wù)工具 B類網(wǎng)絡(luò) 發(fā)送源地址為被攻擊主機的 地址，目的地址為廣播地址的數(shù)據(jù)包。 – 以太網(wǎng)的 MTU是 1500，如果 IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了 MTU，那么 IP層就要對數(shù)據(jù)包進(jìn)行分片（ fragmentation）操作，使每一片的長度都小于或等于 MTU。如果有意發(fā)送總長度超過 65535的 IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。當(dāng)一個應(yīng)用程序產(chǎn)生上千個ICMP包的時候，就會發(fā)生 Ping溢出。 ? 如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否則被 DoS就會影響整個網(wǎng)絡(luò)。 ? SYN溢出是黑客與服務(wù)器建立了成百上千個半連接，致使服務(wù)器的性能受到嚴(yán)重的限制，甚至崩潰。 原因：程序中缺少錯誤檢測 : void func(char *str) { char buf[16]。 – 對于使用 C語言開發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針非法引用造成的。 社會工程和非直接攻擊 ? 社會工程攻擊 – 社會工程并不是一個新的術(shù)語 ,它來源于社會學(xué)領(lǐng)域 .它指的是為了使人們遵從某個新的系統(tǒng) ,所采用的以一種可預(yù)測的方式來試圖改變?nèi)藗兊男袨榈倪^程 .在我們信息安全領(lǐng)域 ,社會工程 指的是 :導(dǎo)致人們泄漏信息或誘導(dǎo)人們的行為方式并造成信息系統(tǒng) ,網(wǎng)絡(luò)或數(shù)據(jù)的非授權(quán)訪問 ,非授權(quán)使用 ,或非授權(quán)暴露的一切成功或不成功的嘗試 . – 三個階段：情報收集、目標(biāo)選擇、攻擊 ? 常見方式： – 打電話詢問密碼 – 偽造 Email – 病毒， BUG和服務(wù)缺陷 實驗 51 ? 發(fā)送偽造的電子郵件 釣魚攻擊 ? 常見的攻擊技術(shù) – 發(fā)送電子郵件，以虛假信息引誘用戶中圈套 – 建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號密碼實施盜竊 – 利用虛假的電子商務(wù)進(jìn)行詐騙 – 利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動 – 利用用戶弱口令等漏洞破解、猜測用戶帳號和密碼 – 復(fù)制圖片和網(wǎng)頁設(shè)計、相似的域名 – URL地址隱藏黑客工具 – 通過彈出窗口和隱藏提示 – 利用社會工程學(xué) – 利用 IP地址的形式顯示欺騙用戶點擊 間諜軟件 ? 間諜軟件（英文名稱為“ spyware” ）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。 ? DNS欺騙 ? DNS欺騙 – DNS是全稱是 Domain Name Server，既域名服務(wù)器。 ? 是一種 IP欺騙 攻擊。它通知路由器一系列錯誤的內(nèi)網(wǎng) MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的 MAC地址，造成正常 PC無法收到信息。使用防 arp軟件。 ? （ 5）提高用戶的安全意識 ，養(yǎng)成良好的安全習(xí)慣，包括：及時安裝系統(tǒng)補丁程序；為系統(tǒng)設(shè)置強壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時升級病毒庫；不主動進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運行不受信任的軟件。 – POP和 SMTP – FTP – TELNET ? 試驗 62:使用 iris進(jìn)行網(wǎng)絡(luò)嗅探和協(xié)議分析 – 比較兩款工具的不同 鏈路攻擊和 TCP會話劫持 ? 會話劫持（ Session Hijack）是一種 結(jié)合了嗅探以及欺騙技術(shù) 在內(nèi)的攻擊手段。 會話劫持實例 ? 試驗 63:在 Linux下使用 劫持攻擊 計算機病毒的定義 ? 計算機病毒是指 編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù) ，影響計算機使用，并能自我復(fù)制的 一組計算機指令或者程序代碼。 ? 要重視文件的備份，經(jīng)常做文件備份，重要的文件要多做幾份。 ? 克服網(wǎng)絡(luò)殺毒產(chǎn)品不能全網(wǎng)統(tǒng)一殺毒的缺陷，杜絕了因部分計算機未能及時殺毒而留下的隱患。 ? 客戶端用于攻擊者控制植入的木馬的機器。 – 蠕蟲 是 不需要用戶干預(yù) 即可執(zhí)行的獨立程序或代碼，其通過不斷搜索和侵入具有漏洞的主機來自動傳播。 ? 蠕蟲具有如下幾個特點： – 可以自我傳播 – 具有破壞性 – 不需要宿主激活。 SQL注入攻擊 ? 對 SQL注入攻擊來說，其服務(wù)器本身來說沒有什么漏洞，主要是一些惡意的用戶 利用 SQL語法的特點 ，針對的是應(yīng)用程序開發(fā)者 編程過程中的漏洞 而進(jìn)行的一種攻擊。 ? 使用存儲過程。 ? 瀏覽器劫持：通過 BHO（ browser helper object）、DLL插件、 Hook技術(shù)、 Winsock LSP等載體達(dá)到對用戶的瀏覽器進(jìn)行篡改的目的。 ? 管理員：安全管理員必須跟蹤最新的威脅和對策。 防火墻 防火墻的功能 ? 防火墻具有如下四種功能 : – 實施一個公司的安全策略 ? 如對 HTTP流量做一些限制和過濾 – 創(chuàng)建一個阻塞點 ? 防火墻可以在公司私有網(wǎng)絡(luò)和外網(wǎng)直接建立一個檢查點。如撥號訪問、內(nèi)部攻擊等。 包過濾 ? 包過濾設(shè)備工作在 OSI參考模型的 網(wǎng)絡(luò)層 , 能夠允許或阻止包含特定 IP地址和端口的數(shù)據(jù)包。一旦有一個包通過了防火墻，黑客便可以用這個 IP地十來偽裝他們發(fā)出的信息。 ? 它可以阻止外部對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部的訪問。