【正文】 ? 很多協(xié)議存在安全漏洞，被攻擊者所利用。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 學(xué)院圖書(shū)館的數(shù)字圖書(shū)等資源，以及學(xué)院辦公系統(tǒng)等系統(tǒng)只對(duì)校內(nèi)用戶(hù)開(kāi)放，要做到這一點(diǎn)，這些系統(tǒng)可以驗(yàn)證 IP數(shù)據(jù)報(bào)的源 IP地址，只有校內(nèi)IP地址才能訪(fǎng)問(wèn)，校外 IP地址不能訪(fǎng)問(wèn)。這是訪(fǎng)問(wèn)控制方面的要求，顯然要選擇基于角色的訪(fǎng)問(wèn)控制。 ? （ 3）程序和數(shù)據(jù)神秘地丟失了，文件名不能辨認(rèn)。 ? （ 2）隱蔽性。 序號(hào) 源 IP地址 目的 IP地址 動(dòng)作 1 2 全部 全部 允許 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 2．狀態(tài)過(guò)濾防火墻 ? 上面的分組過(guò)濾防火墻獨(dú)立地過(guò)濾每一個(gè)分組，并不考慮分組之間的聯(lián)系，而狀態(tài)過(guò)濾防火墻則記住前面的分組，并與后面的分組建立聯(lián)系 ，來(lái)確定對(duì)后面分組采取的動(dòng)作。 ? 1．分組過(guò)濾防火墻 ? 分組過(guò)濾防火墻是最早、最簡(jiǎn)單的防火墻，分組過(guò)濾防火墻檢查每一個(gè)分組的首部，并與事先制定的規(guī)則比較，來(lái)確定是否允許該分組通過(guò)。 ? 國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度；對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。 ? （ 4）使用不間斷電源 UPS，做好防火、防水、防雷擊保護(hù)。（ 8）均衡防護(hù)原則。 ? （ 5）反向社會(huì)工程攻擊是一種較為高級(jí)的方法。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 5．拒絕服務(wù)攻擊 ? 黑客可以利用 拒絕服務(wù)攻擊 （ Denial of Service，DoS），使合法用戶(hù)無(wú)法得到正常的服務(wù)。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 4．密碼分析與口令猜測(cè) ? 即使密碼算法本身沒(méi)有什么漏洞，可是如果在使用密碼算法的過(guò)程中有漏洞，如不恰當(dāng)?shù)厥褂昧舜嗳醯拿荑€，則仍有被破解的可能。 ? 使用較多的一類(lèi)針對(duì)協(xié)議漏洞的攻擊技術(shù)是 欺騙技術(shù) 。 ? （ 3）應(yīng)妥善選擇和保管好 登錄口令與 U盾口令 。 ? 網(wǎng)絡(luò)協(xié)議的安全問(wèn)題 ? 因特網(wǎng)上的所有協(xié)議都存在這樣或那樣的安全漏洞。這樣一來(lái)，內(nèi)部網(wǎng)絡(luò)中的所有計(jì)算機(jī)發(fā)出的 IP數(shù)據(jù)報(bào)經(jīng) VPN網(wǎng)關(guān)處理后，源 IP地址都成為 VPN網(wǎng)關(guān)的 IP地址，既避免了流量分析攻擊，又隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)信息。 ? （ 2）通信雙方自動(dòng)協(xié)商生成密鑰，無(wú)需用戶(hù)參與，并且密鑰可以定時(shí)自動(dòng)更新。 ? 客戶(hù)與服務(wù)器使用 SSL傳輸數(shù)據(jù)前 ， 首先運(yùn)行 SSL握手協(xié)議 。 ? 安全套接字層 ? 1．安全套接字層概述 ? 電子商務(wù)對(duì)安全性 的要求很高，這就要求有一個(gè)專(zhuān)門(mén)的安全協(xié)議來(lái)保證網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 3．基于角色的訪(fǎng)問(wèn)控制 ? 基于角色的訪(fǎng)問(wèn)控制 （ RoleBased Access Control， RBAC） 是一種比較新的訪(fǎng)問(wèn)控制方法。 ? 基本過(guò)程是驗(yàn)證服務(wù)器向用戶(hù)發(fā)送 一個(gè)隨機(jī)數(shù) ，用戶(hù)用自己的 私鑰對(duì)其進(jìn)行數(shù)字簽名 ，如果驗(yàn)證服務(wù)器能用用戶(hù)的公鑰成功驗(yàn)證簽名，那么用戶(hù)就被認(rèn)證了。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 在有安全需求的應(yīng)用系統(tǒng)中，識(shí)別用戶(hù)的身份是系統(tǒng)的基本要求。 ? Windows里就預(yù)裝了很多著名根 CA的證書(shū)。 ? 這個(gè)第三方稱(chēng)為 證書(shū)權(quán)威 （ Certificate Authority， CA） 或認(rèn)證中心， CA首先認(rèn)真檢查所有人的身份，然后給他們 數(shù)字證書(shū) （ digital certificate） 。 ? 不存儲(chǔ)口令原文，而是 只存儲(chǔ)口令的散列值 。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 2．單向散列函數(shù)的應(yīng)用 ? 單向散列函數(shù)有很多應(yīng)用，第一是用于 數(shù)字簽名 。 ?l 給定 h，難以反推 M。 ? 例如張三要與李四通信， 通過(guò)網(wǎng)絡(luò)直接傳輸密鑰顯然是不安全的。 ? 1．分組密碼 ? 分組密碼將 明文劃分成固定長(zhǎng)度的分組 ，各分組分別在密鑰的控制下 變換成等長(zhǎng)度的密文分組 ；解密時(shí)，各密文分組在密鑰控制下再變換成明文分組。 ? 抵抗蠻力攻擊很簡(jiǎn)單，使密鑰較長(zhǎng)即可，這時(shí)，蠻力攻擊將需要天文數(shù)字般的計(jì)算量。 Computer works 第 7章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的威脅 主要的威脅種類(lèi)有： 1．假冒 2．竊聽(tīng) 3．破壞完整性 4．抵賴(lài) 5．資源的非授權(quán)使用 6．重放 7．流量分析 8．拒絕服務(wù) 9．木馬與病毒 10．誹謗 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)安全的意義 ? 網(wǎng)絡(luò)安全與 個(gè)人 密切相關(guān) 。 Computer works 第 7章 網(wǎng)絡(luò)安全 案例需求 魯中學(xué)院的師生要為校園網(wǎng)開(kāi)發(fā)一個(gè) Web信息系統(tǒng) ， 對(duì)系統(tǒng)的安全性要求較高： l只有注冊(cè)用戶(hù)利用 用戶(hù)名和口令 才能訪(fǎng)問(wèn)系統(tǒng)； l規(guī)定系統(tǒng)資源的 訪(fǎng)問(wèn)權(quán)限 按用戶(hù)在學(xué)校里扮演的角色分配； l即使系統(tǒng)管理員打開(kāi)系統(tǒng)數(shù)據(jù)庫(kù)也不能看懂一些 關(guān)鍵數(shù)據(jù) ，比如密碼 、 敏感信息等； l對(duì)一些重要的 數(shù)據(jù)和文件要保證其不被篡改 ， 若發(fā)生改動(dòng)能檢驗(yàn)出來(lái)； l用戶(hù) 訪(fǎng)問(wèn)系統(tǒng)后要留下證據(jù) ， 以備過(guò)后審核 。 ? 數(shù)據(jù)完整性 (Integrity)確保接收到的信息同發(fā)送的一致 。 ? 有報(bào)告稱(chēng) ， 現(xiàn)在的恐怖分子都 使用加密的電子郵件 互相聯(lián)絡(luò) ， 從而難以發(fā)現(xiàn)他們的行蹤 。 ? 對(duì)稱(chēng)密鑰密碼的關(guān)鍵是密鑰，密鑰的長(zhǎng)度可以是 64位、 128位、256位等。 ? 加密密鑰叫做公開(kāi)密鑰（ public key），簡(jiǎn)稱(chēng) 公鑰 ；解密密鑰叫做私人密鑰（ private key），簡(jiǎn)稱(chēng) 私鑰 ，公鑰與私鑰統(tǒng)稱(chēng)為 密鑰對(duì) 。 ? 數(shù)字簽名與加密相反， 簽名者用私鑰加密數(shù)據(jù) ， 驗(yàn)證者則用其公鑰去解密。使 H(M) = H(M39。 ? 當(dāng)數(shù)據(jù)與散列值同時(shí)傳輸時(shí)，攻擊者可以同時(shí)修改二者。 ? 很多 網(wǎng)上銀行都使用 USB key來(lái)保存用戶(hù)的私鑰，安全性比在硬盤(pán)上保存私鑰高得多。 ? 根 CA有很多可靠的途徑來(lái)分發(fā)它的根證書(shū)，而且根證書(shū)的有效期長(zhǎng)達(dá)幾十年。 ? 可是如果 黑客 用自己的軟件冒充大公司的軟件，或者篡改大公司的軟件，企圖危害用戶(hù)時(shí)怎么辦？ PKI應(yīng)用舉例 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 另一個(gè)例子是網(wǎng)上銀行。 ? 服務(wù)器對(duì)存儲(chǔ)的口令散列值同樣處理 ，然后與用戶(hù)傳過(guò)來(lái)的散列值比較，若 相同就認(rèn)為有效 ，若 不同就認(rèn)為無(wú)效 。 ? 在強(qiáng)制訪(fǎng)問(wèn)控制中，訪(fǎng)問(wèn)資源的權(quán)限不再由用戶(hù)自由決定，而是整個(gè)系統(tǒng)設(shè)置一個(gè)管理員， 管理員集中設(shè)置所有資源的權(quán)限 。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 系統(tǒng)審計(jì)是記錄系統(tǒng)中發(fā)生的各種事件 ，這些記錄有助于發(fā)現(xiàn)入侵的行為和企圖 。 ? （ 4）加密客戶(hù)與服務(wù)器間的數(shù)據(jù)，并可抵御重放攻擊。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? （ 2）連接多個(gè)內(nèi)部網(wǎng)，對(duì)于在多個(gè)地點(diǎn)有分公司的公司，利用 VPN可以安全地連接各個(gè)內(nèi)部網(wǎng)。 Computer works 第 7章 網(wǎng)絡(luò)安全 ? 傳輸模式只處理 IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分，并不改動(dòng)原來(lái)的IP數(shù)據(jù)報(bào)首部，原來(lái)的 IP數(shù)據(jù)報(bào)首部以明文形式傳輸，因此很容易遭到某些流量分析攻擊。 ? （ 5）可轉(zhuǎn)移性。