【正文】 的標(biāo)準(zhǔn)來(lái)定義一般安全的級(jí)別。它規(guī)定了一些級(jí)別用于 :保護(hù)硬件、軟件和存儲(chǔ)的信息免受攻擊。 ? C2級(jí)： UNIX和 windows屬于這個(gè)級(jí)別。 ? A1級(jí)：包括嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。 ? FISMA確定了安全計(jì)劃必需的元素，但是沒(méi)有提供有關(guān)如何達(dá)到這些要求的安全基準(zhǔn)或指導(dǎo)。 ISSA ? 信息系統(tǒng)安全協(xié)會(huì) (ISSA)是一個(gè)由信息安全專(zhuān)家以及相關(guān)從業(yè)人員組成的一個(gè) 非營(yíng)利性質(zhì) 的國(guó)際組織。 安全策略 ? 安全策略必須為整個(gè)組織機(jī)構(gòu)提供指導(dǎo)方針，它是建立安全系統(tǒng)的第一道防線。 重要的 – 級(jí)別 III 只要不對(duì)級(jí)別 I和級(jí)別 II中的系統(tǒng)產(chǎn)生影 響，本地桌面計(jì)算機(jī)就應(yīng)該屬于該級(jí) 別。 策略和技術(shù)之間的關(guān)系 人驅(qū)動(dòng)策略 策略指導(dǎo)技術(shù) 技術(shù)服務(wù)于人 定義可接受行為和不可接受行為 ? 管理員必須區(qū)分可接受行為和不可接受行為，并根據(jù)每個(gè)資源來(lái)定義這種行為。 員工教育 級(jí)別 需要掌握的知識(shí) 用戶 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識(shí)別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計(jì)劃策略時(shí)所需的組織安全知 識(shí)的級(jí)別 管理人員 培養(yǎng)識(shí)別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。使用 HASH算法能確定數(shù)據(jù) 是否被修改過(guò)。 加密技術(shù)的強(qiáng)度 ? 加密技術(shù)的強(qiáng)度基于三個(gè)主要因素： – 算法強(qiáng)度 :我們應(yīng)該運(yùn)用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒(méi)有經(jīng)過(guò)商業(yè)驗(yàn)證之前是不能被信任的。 身份驗(yàn)證 ? 身份驗(yàn)證是驗(yàn)證用戶、系統(tǒng)或系統(tǒng)組件身份的一種能力。 ? 實(shí)現(xiàn)這種控制的 兩種 普遍方法是： 訪問(wèn)控制 列表（ ACL）和 執(zhí)行控制 列表（ ECL）。 ? ECL的例子有 : – Windows 2022本地和域安全策略設(shè)置。 實(shí)驗(yàn) 33 ? 使用 Netscape Navigator來(lái)設(shè)置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0。 實(shí)驗(yàn) 35 ? 在 Linux下，為 su命令建立執(zhí)行控制列表 審核 ? 被動(dòng)審核 : 是指計(jì)算機(jī)簡(jiǎn)單地 記錄 活動(dòng)，但不做任 何事情。 – 拒絕一些主機(jī)的訪問(wèn)（包括 WEB站點(diǎn)， FTP服務(wù)器和 Email服務(wù)器。 ? 保證數(shù)據(jù)的完整性 ：加密能保證和檢查數(shù)據(jù)有沒(méi)有被更改。 – 自動(dòng)發(fā)布 ： 主要使用到的是公共密鑰結(jié)構(gòu)體 系，如 Windows 2022的域里面 就是采用了自動(dòng)發(fā)布公鑰。 – 具體過(guò)程如下：首先對(duì)未加密數(shù)據(jù)的一半進(jìn)行運(yùn)算，再對(duì)另一半進(jìn)行處理，然后每一半加密后的數(shù)據(jù)在重新運(yùn)算以得到更復(fù)雜的結(jié)果，這個(gè)過(guò)程，稱(chēng)為一個(gè) Round。 對(duì)稱(chēng)密鑰加密 ? 對(duì)稱(chēng)密鑰加密也稱(chēng)為單密鑰加密 ? 加密和解密使用同一個(gè)密鑰。 ? 對(duì)付字典破解就是改變密鑰的規(guī)律性，然而定期改變密鑰是很困難的。 每 64位的數(shù)據(jù)被分成兩半 ，并利用密鑰對(duì)每一半進(jìn)行運(yùn)算(稱(chēng)做 — 次 round或是輪 )， DES運(yùn)行 16個(gè) rounds，并且對(duì)于每個(gè) round運(yùn)算所使用密鑰的位數(shù)是不同的。 ? 主要 防止中間人 攻擊。 密鑰的長(zhǎng)度也是可變的 ，在美國(guó)一般密鑰長(zhǎng)度是 128位，向外出口時(shí)限制到 40位，因?yàn)槭艿矫绹?guó)出口法的限制。 ? MARS是由 IBM提出的 — 種算法，并且速度要 比 DES還要快 ，和 Two fish一樣，它主要也是 面向工作在智能卡上而設(shè)計(jì)的。 ? Cast 256:一種采用 64位為一塊，而密鑰長(zhǎng)度為 256的塊密文加密方式。 非對(duì)稱(chēng)密鑰加密元素 ? 非對(duì)稱(chēng)密鑰加密元素包括 : – RSA美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman屬于一種安全交換密鑰的協(xié)議，可以看作是密鑰交換協(xié)議，開(kāi)放式標(biāo)準(zhǔn)，但是很容易受中間人攻擊。 HASH算法 ? HASH算法包括 : – MD2, MD4 and MD5 :使用不同長(zhǎng)度的數(shù)據(jù)流，產(chǎn)生一個(gè)唯一的指紋，用于對(duì) Email,證書(shū)，保證內(nèi)容完整性的相關(guān)應(yīng)用。 ? 安裝了 PGP或 GPG以后，需要生成一對(duì)密鑰對(duì)，這一對(duì)密鑰是非對(duì)稱(chēng)的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 ? PKI體制在密鑰管理上比對(duì)稱(chēng)密鑰密碼更安全。 PKI的標(biāo)準(zhǔn) ? （ 1988） ? （ 1993）信息技術(shù)之開(kāi)放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡(jiǎn)述 ? （ 1993）信息技術(shù)之開(kāi)放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標(biāo)準(zhǔn) ? OCSP在線證書(shū)狀態(tài)協(xié)議 ? LDAP 輕量級(jí)目錄訪問(wèn)協(xié)議 虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專(zhuān)用網(wǎng)絡(luò)，但可以實(shí)現(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過(guò) VPN設(shè)備或軟件技術(shù)在任意兩個(gè)節(jié)點(diǎn)之間形成一個(gè)虛擬的點(diǎn)到點(diǎn)專(zhuān)線技術(shù)。 ? 特點(diǎn)： – 安全保障 – 服務(wù)質(zhì)量保證 – 可擴(kuò)充性和靈活性 – 可管理性 VPN安全技術(shù) ? 隧道技術(shù)（ Tunneling） PPTP， L2TP,L2F ? 加解密技術(shù)（ Encryption amp。 2. L2F是由思科公司開(kāi)發(fā)的一種提供虛擬拔號(hào)的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結(jié)合兩者的優(yōu)點(diǎn) VPN與 IPsec ? Ipsec處于各個(gè)協(xié)議層的中間位置，既能 捕獲高層的報(bào)文，也能 捕獲低層 的報(bào)文，附加的安全措施與低層無(wú)關(guān)對(duì)高層透明。 安全套接字層 (SSL) ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此 防止了竊聽(tīng)、破壞和信息偽造 。 ? SSL是工作在 傳輸層協(xié)議 上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時(shí)不需要特殊的代碼。 安全套接字層 (SSL) ? SSL加密過(guò)程的具備步驟 ： – 客戶端和服務(wù)器端協(xié)商建立加密通道的特定算法。 ? SSL數(shù)據(jù)結(jié)構(gòu) 包括以下部分： – 客戶端和服務(wù)器端握手協(xié)議 – 認(rèn)證和密鑰交換程序 – 信息和常數(shù) 2022 VCampus Corporation All Rights Reserved. 第五單元 基本攻擊 學(xué)習(xí)目標(biāo) ? 描述典型的安全攻擊類(lèi)型 ? 識(shí)別常見(jiàn)的攻擊事件 什么是黑客？ ? 他們電腦技術(shù)高超，善于利用創(chuàng)新的方法剖析系統(tǒng)。 ? 今天，黑客一詞已被用于泛指那些專(zhuān)門(mén)利用電腦搞破壞或惡作劇的家伙。要進(jìn)一步解決安全問(wèn)題，我們需要了解可能遇到的攻擊類(lèi)型。 ? 字典窮舉法攻擊通過(guò)查詢一個(gè)“字典文件”來(lái)嘗試破譯口令，此文件包括一個(gè)很長(zhǎng)的單詞列表。 ? 后門(mén) 是一個(gè)在操作系統(tǒng)或程序中無(wú)證明文件的通道，通常是由軟件開(kāi)發(fā)人員 故意放置 在那里的。 ? 采取措施保護(hù)下列信息： – DNS服務(wù)器的內(nèi)容 – 路由表 – 用戶和帳戶名 – 運(yùn)行在任何服務(wù)器上的標(biāo)題信息 拒絕服務(wù)和分布式拒絕服務(wù) ? 拒絕服務(wù)攻擊（ DoS）中，黑客阻止合法的用戶訪問(wèn)某一種服務(wù)。 –主要利用系統(tǒng)軟件的 Bug， 一旦 Bug被修正，攻擊就不起作用 ? 使系統(tǒng)或網(wǎng)絡(luò)無(wú)法響應(yīng)正常的請(qǐng)求 –發(fā)送大量的垃圾數(shù)據(jù)，使得系統(tǒng)無(wú)法處理正常的請(qǐng)求 分布式拒絕服務(wù)攻擊 ? 常用拒絕服務(wù)工具 B類(lèi)網(wǎng)絡(luò) 發(fā)送源地址為被攻擊主機(jī)的 地址，目的地址為廣播地址的數(shù)據(jù)包。 – 以太網(wǎng)的 MTU是 1500，如果 IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了 MTU，那么 IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片（ fragmentation）操作，使每一片的長(zhǎng)度都小于或等于 MTU。如果有意發(fā)送總長(zhǎng)度超過(guò) 65535的 IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。當(dāng)一個(gè)應(yīng)用程序產(chǎn)生上千個(gè)ICMP包的時(shí)候，就會(huì)發(fā)生 Ping溢出。 ? 如果防火墻有重組碎片的功能，請(qǐng)確保自身的算法沒(méi)有問(wèn)題，否則被 DoS就會(huì)影響整個(gè)網(wǎng)絡(luò)。 ? SYN溢出是黑客與服務(wù)器建立了成百上千個(gè)半連接，致使服務(wù)器的性能受到嚴(yán)重的限制，甚至崩潰。 原因：程序中缺少錯(cuò)誤檢測(cè) : void func(char *str) { char buf[16]。 – 對(duì)于使用 C語(yǔ)言開(kāi)發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針?lè)欠ㄒ迷斐傻摹? 社會(huì)工程和非直接攻擊 ? 社會(huì)工程攻擊 – 社會(huì)工程并不是一個(gè)新的術(shù)語(yǔ) ,它來(lái)源于社會(huì)學(xué)領(lǐng)域 .它指的是為了使人們遵從某個(gè)新的系統(tǒng) ,所采用的以一種可預(yù)測(cè)的方式來(lái)試圖改變?nèi)藗兊男袨榈倪^(guò)程 .在我們信息安全領(lǐng)域 ,社會(huì)工程 指的是 :導(dǎo)致人們泄漏信息或誘導(dǎo)人們的行為方式并造成信息系統(tǒng) ,網(wǎng)絡(luò)或數(shù)據(jù)的非授權(quán)訪問(wèn) ,非授權(quán)使用 ,或非授權(quán)暴露的一切成功或不成功的嘗試 . – 三個(gè)階段：情報(bào)收集、目標(biāo)選擇、攻擊 ? 常見(jiàn)方式： – 打電話詢問(wèn)密碼 – 偽造 Email – 病毒， BUG和服務(wù)缺陷 實(shí)驗(yàn) 51 ? 發(fā)送偽造的電子郵件 釣魚(yú)攻擊 ? 常見(jiàn)的攻擊技術(shù) – 發(fā)送電子郵件，以虛假信息引誘用戶中圈套 – 建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號(hào)密碼實(shí)施盜竊 – 利用虛假的電子商務(wù)進(jìn)行詐騙 – 利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng) – 利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼 – 復(fù)制圖片和網(wǎng)頁(yè)設(shè)計(jì)、相似的域名 – URL地址隱藏黑客工具 – 通過(guò)彈出窗口和隱藏提示 – 利用社會(huì)工程學(xué) – 利用 IP地址的形式顯示欺騙用戶點(diǎn)擊 間諜軟件 ? 間諜軟件（英文名稱(chēng)為“ spyware” ）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。 ? DNS欺騙 ? DNS欺騙 – DNS是全稱(chēng)是 Domain Name Server，既域名服務(wù)器。 ? 是一種 IP欺騙 攻擊。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng) MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC地址，造成正常 PC無(wú)法收到信息。使用防 arp軟件。 ? （ 5）提高用戶的安全意識(shí) ，養(yǎng)成良好的安全習(xí)慣，包括：及時(shí)安裝系統(tǒng)補(bǔ)丁程序；為系統(tǒng)設(shè)置強(qiáng)壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時(shí)升級(jí)病毒庫(kù)；不主動(dòng)進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運(yùn)行不受信任的軟件。 – POP和 SMTP – FTP – TELNET ? 試驗(yàn) 62:使用 iris進(jìn)行網(wǎng)絡(luò)嗅探和協(xié)議分析 – 比較兩款工具的不同 鏈路攻擊和 TCP會(huì)話劫持 ? 會(huì)話劫持（ Session Hijack）是一種 結(jié)合了嗅探以及欺騙技術(shù) 在內(nèi)的攻擊手段。 會(huì)話劫持實(shí)例 ? 試驗(yàn) 63:在 Linux下使用 劫持攻擊 計(jì)算機(jī)病毒的定義 ? 計(jì)算機(jī)病毒是指 編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù) ，影響計(jì)算機(jī)使用，并能自我復(fù)制的 一組計(jì)算機(jī)指令或者程序代碼。 ? 要重視文件的備份，經(jīng)常做文件備份，重要的文件要多做幾份。 ? 克服網(wǎng)絡(luò)殺毒產(chǎn)品不能全網(wǎng)統(tǒng)一殺毒的缺陷，杜絕了因部分計(jì)算機(jī)未能及時(shí)殺毒而留下的隱患。 ? 客戶端用于攻擊者控制植入的木馬的機(jī)器。 – 蠕蟲(chóng) 是 不需要用戶干預(yù) 即可執(zhí)行的獨(dú)立程序或代碼，其通過(guò)不斷搜索和侵入具有漏洞的主機(jī)來(lái)自動(dòng)傳播。 ? 蠕蟲(chóng)具有如下幾個(gè)特點(diǎn)： – 可以自我傳播 – 具有破壞性 – 不需要宿主激活。 SQL注入攻擊 ? 對(duì) SQL注入攻擊來(lái)說(shuō)，其服務(wù)器本身來(lái)說(shuō)沒(méi)有什么漏洞，主要是一些惡意的用戶 利用 SQL語(yǔ)法的特點(diǎn) ，針對(duì)的是應(yīng)用程序開(kāi)發(fā)者 編程過(guò)程中的漏洞 而進(jìn)行的一種攻擊。 ? 使用存儲(chǔ)過(guò)程。 ? 瀏覽器劫持：通過(guò) BHO（ browser helper object）、DLL插件、 Hook技術(shù)、 Winsock LSP等載體達(dá)到對(duì)用戶的瀏覽器進(jìn)行篡改的目的。 ? 管理員：安全管理員必須跟蹤最新的威脅和對(duì)策。 防火墻 防火墻的功能 ? 防火墻具有如下四種功能 : – 實(shí)施一個(gè)公司的安全策略 ? 如對(duì) HTTP流量做一些限制和過(guò)濾 – 創(chuàng)建一個(gè)阻塞點(diǎn) ? 防火墻可以在公司私有網(wǎng)絡(luò)和外網(wǎng)直接建立一個(gè)檢查點(diǎn)。如撥號(hào)訪問(wèn)、內(nèi)部攻擊等。 包過(guò)濾 ? 包過(guò)濾設(shè)備工作在 OSI參考模型的 網(wǎng)絡(luò)層 , 能夠允許或阻止包含特定 IP地址和端口的數(shù)據(jù)包。一旦有一個(gè)包通過(guò)了防火墻，黑客便可以用這個(gè) IP地十來(lái)偽裝他們發(fā)出的信息。 ? 它可以阻止外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn)，卻不能記錄內(nèi)部的訪問(wèn)。