【正文】 戶(hù)密碼之類(lèi)的機(jī)密數(shù)據(jù)。 基于瀏覽器的攻擊 ? 釣魚(yú)式攻擊：攻擊者利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)。 ? 防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。 ? 以下地址作為保留地址： – – – IP偽裝 ? IP偽裝是指包過(guò)濾防火墻改變 IP地址的報(bào)頭內(nèi)容。安全管理員能夠通過(guò)這個(gè)阻塞點(diǎn)來(lái)限制外部網(wǎng)絡(luò)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò) ,也可以通過(guò)使用防火墻策略來(lái)創(chuàng)建這個(gè)阻塞點(diǎn) ,因?yàn)樗械臄?shù)據(jù)流量都要經(jīng)過(guò)這個(gè)防火墻。 ? IP output鏈： 當(dāng)一個(gè)包出去時(shí) , 核心使用 output鏈在出口對(duì)數(shù)據(jù)包進(jìn)行檢查和控制。 VPN客戶(hù)端與服務(wù)器的關(guān)系 撥號(hào)遠(yuǎn)程訪(fǎng)問(wèn)的組成 VPN遠(yuǎn)程訪(fǎng)問(wèn)連接組成元素 VPN協(xié)議 ? 端對(duì)端隧道協(xié)議 ： PPTP采用了 PPP所提供的身份驗(yàn)證、壓縮與加密機(jī)制。 ? 用 win route控制 HTTP流量。他們還必須確認(rèn)了解這些變化的本質(zhì)，并且同意遵守它們。 過(guò)程校驗(yàn) 如果數(shù)據(jù)需要從一個(gè)地點(diǎn)物理傳輸?shù)搅硪粋€(gè)地點(diǎn)，那么要采取 措施保證數(shù)據(jù)確實(shí)被送到了新的地點(diǎn)。 – 對(duì)系統(tǒng)使用漏洞掃描作為測(cè)試的一部分。 – 不方便之處 新的程序的措施可能會(huì)使用戶(hù)覺(jué)得不方便，特別是那些經(jīng)常出差和遠(yuǎn)程工作的用戶(hù)。 – 或者偷竊，或者造一把新的，從而獲取房間的鑰匙。 線(xiàn)纜的選擇 ? 需要考慮的因素包括： – 確定使用線(xiàn)纜的類(lèi)別和布線(xiàn)的結(jié)構(gòu)。 – 中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪(fǎng)問(wèn)網(wǎng)絡(luò)，他可接入惡意計(jì)算機(jī)來(lái)中途截獲、修改或延遲兩個(gè)合法方的通信。通過(guò)信標(biāo)幀，用戶(hù)能夠知道這里存在一個(gè)可用的接入點(diǎn)。 應(yīng)用實(shí)例 ? 網(wǎng)絡(luò)系統(tǒng)及安全性分析 ? 網(wǎng)絡(luò)系統(tǒng)的安全性需求 ? 網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D 。 ? IEEE ，在數(shù)據(jù)加密方面，定義了 TKIP（ Temporal Key Integrity Protocol）、 CCMP（ CounterMode/CBCMAC Protocol）和 WRAP（ Wireless Robust Authenticated Protocol）三種加密機(jī)制。 – 其它特性，如防火、防腐蝕等。 POE ? POE即 Power Over Ether，以太網(wǎng)饋電適配器，適配器上提供 3個(gè)接口，一個(gè)直流電源接口，另外兩個(gè)是 RJ45接口。使用超級(jí)更改程序可以修改用戶(hù)帳號(hào)信息、讀文件或創(chuàng)建文件和目錄。一個(gè)站點(diǎn)的防火墻許可證的費(fèi)用在 5000美元到20220美元之間，或更高。 正確安置產(chǎn)品 ? 安放設(shè)備的時(shí)候，必須采取下列步驟： – 在獨(dú)立的子網(wǎng)內(nèi)測(cè)試系統(tǒng)。 介質(zhì)校驗(yàn) 保證用來(lái)備份數(shù)據(jù)的介質(zhì)是可靠的。為了反映技術(shù)的變化和改進(jìn)，策略也會(huì)被更新。 理解 DMZ DMZ的作用 防火墻的設(shè)計(jì)原則 ? 保持設(shè)計(jì)的簡(jiǎn)單性 ? 安排事故計(jì)劃 創(chuàng)建篩選路由器 創(chuàng)建單宿主堡壘主機(jī) 創(chuàng)建雙宿主堡壘主機(jī)和多宿主堡壘主機(jī) 創(chuàng)建屏蔽子網(wǎng)防火墻 實(shí)驗(yàn) 81~84 ? 用 win route創(chuàng)建一個(gè)內(nèi)部網(wǎng)絡(luò)。還有 WINS Registration也 用它 443 Https 網(wǎng)頁(yè)瀏覽端口，能提供加密和通過(guò)安全端口傳輸?shù)牧? 一種 HTTP 3389 超級(jí)終端 WINDOWS 2022/2022終端開(kāi)放此端口 遠(yuǎn)程訪(fǎng)問(wèn)與 VPN ? 遠(yuǎn)程訪(fǎng)問(wèn)是指能夠通過(guò)透明方式將位于工作場(chǎng)所以外或遠(yuǎn)程位置上的特定計(jì)算機(jī)連接到網(wǎng)絡(luò)中的一系列相關(guān)技術(shù)。在 Linux內(nèi)核使用Ipchains命令來(lái)配置內(nèi)置防火墻，在 內(nèi)核中，使用 Iptables來(lái)配置內(nèi)置防火墻。 阻塞路由器 ? 阻塞路由器定義了一個(gè)允許從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)點(diǎn)。 網(wǎng)絡(luò)地址轉(zhuǎn)發(fā) (NAT) ? 網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)可以對(duì) Inter隱藏內(nèi)部的真實(shí)地址，防止內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)暴露。 ? 主管人員：需要知道用來(lái)保證系統(tǒng)安全的最新工具。 ? 當(dāng) SQL運(yùn)行出錯(cuò)時(shí)，不要顯示出錯(cuò)信息。 木馬的特點(diǎn) ? 隱蔽性 ? 自動(dòng)運(yùn)行性 ? 包含具有未公開(kāi)并且可能產(chǎn)生危險(xiǎn)后果的功能的程序 ? 具備自動(dòng)恢復(fù)功能 ? 能自動(dòng)打開(kāi)特別的端口 木馬的類(lèi)型 ? 破壞型 ? 密碼發(fā)送型 ? 遠(yuǎn)程訪(fǎng)問(wèn)型 ? 鍵盤(pán)記錄木馬 ? DoS攻擊木馬 ? 代理木馬 ? FTP木馬 ? 程序殺手木馬 ? 反彈端口型木馬 非法服務(wù) ? 非法服務(wù)會(huì)在系統(tǒng)上開(kāi)啟一個(gè)秘密的端口，提供未經(jīng)許可的服務(wù)，這和很多木馬的工作原理是一樣的。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點(diǎn)擊、下載和運(yùn)行各種來(lái)歷不明的程序和腳本。 中間人攻擊示意圖 合 法 用 戶(hù)服 務(wù) 器攻 擊 者合 法 用 戶(hù) 認(rèn) 為 他 在 與服 務(wù) 器 直 接 對(duì) 話(huà)攻 擊 者 將 信 息 傳送 到 服 務(wù) 器信 息 流 實(shí) 際上 經(jīng) 過(guò) 了 攻擊 者嗅探攻擊 ? 嗅探器 (sniffer) 是利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲本不應(yīng)該接收數(shù)據(jù)報(bào)文的一種技術(shù)，也可以將網(wǎng)絡(luò)中所有經(jīng)過(guò)本物理網(wǎng)卡的所有流量全都截取下來(lái)。 ? 竊聽(tīng)?wèi)?yīng)用程序間的消息、損害現(xiàn)有控制機(jī)制以及物理攻擊是內(nèi)部攻擊的常見(jiàn)方式。 防止 DoS和 DDoS攻擊 ? 升級(jí)操作系統(tǒng) ? 密切觀(guān)測(cè)正在使用的代碼 ? 只購(gòu)買(mǎi)服務(wù)器、服務(wù)和應(yīng)用軟件的穩(wěn)定版本 Ping溢出 ? 屬于拒絕服務(wù)攻擊的一種類(lèi)型，其原理是使用簡(jiǎn)單的 Ping命令在短時(shí)間內(nèi)發(fā)送大量的 ping數(shù)據(jù)包到服務(wù)器，那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包，從而導(dǎo)致無(wú)法正常工作。 擴(kuò)展實(shí)驗(yàn) 52 嘗試?yán)?Windows 2022漏洞進(jìn)行攻擊 ? 經(jīng)典的輸入法漏洞回顧 ? IIS UNICODE 漏洞 – 利用 IIS編碼時(shí)的漏洞，在一個(gè)可執(zhí)行的目錄中執(zhí)行命令 ? %c1%1c 〉 (0xc1 0xc0) * 0x40 + 0x1c = 0x5c = 39。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。 ? 第二層隧道協(xié)議： ： 主要由微軟公司在 PPP的基礎(chǔ)上開(kāi)發(fā)的一種協(xié)議，沒(méi)有對(duì) PPP進(jìn)行修改，將標(biāo)準(zhǔn) PPP加上封裝，支持 ClientLAN的 VPN連接，需要先建立PPP的連接。簡(jiǎn)單地說(shuō)， PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 非對(duì)稱(chēng)密鑰加密元素 ? 非對(duì)稱(chēng)密鑰加密元素包括 : – RSA美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman 密鑰交換協(xié)議，開(kāi)放式標(biāo)準(zhǔn) HASH加密 ? HASH加密是把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的128位編碼，叫做 hash值。 ? MARS是由 IBM提出的 — 種算法，并且速度要比 DES還要快，和 Two fish一樣，它主要也是面向工作在智能卡上而設(shè)計(jì)的。 TripleDES (三重 DES ) ? 信息首先被使用 56位的密鑰加密，然后用另一個(gè) 56位的密鑰譯碼，最后再用原始的 56位密鑰加密，實(shí)際上運(yùn)行了三次，也就是原有 DES密鑰長(zhǎng)度的 3倍。通常一種算法要經(jīng)過(guò)很多“輪”的運(yùn)算。 – 跟蹤非法活動(dòng)找到源位置。i=0。 訪(fǎng)問(wèn)控制列表（ ACL） ? ACL決定用戶(hù)是否可以訪(fǎng)問(wèn)特殊的對(duì)象，如果用戶(hù)具有訪(fǎng)問(wèn)一個(gè)對(duì)象的權(quán)力，則 ACL明確定義了用戶(hù)可以對(duì)此對(duì)象做哪些事情。 加密技術(shù)的強(qiáng)度 ? 加密技術(shù)的強(qiáng)度基于三個(gè)主要因素： – 算法強(qiáng)度 :我們應(yīng)該運(yùn)用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒(méi)有經(jīng)過(guò)商業(yè)驗(yàn)證之前是不能被信任的。 員工教育 級(jí)別 需要掌握的知識(shí) 用戶(hù) 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識(shí)別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計(jì)劃策略時(shí)所需的組織安全知 識(shí)的級(jí)別 管理人員 培養(yǎng)識(shí)別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。 – 級(jí)別 II 此類(lèi)系統(tǒng)是需要的，但對(duì)于日常動(dòng)作不 是至關(guān)重要的。 ? SANS提供各類(lèi)資源，如每周風(fēng)險(xiǎn)類(lèi)別及危害等級(jí)，每周新聞?wù)ヂ?lián)網(wǎng)預(yù)警系統(tǒng)以及網(wǎng)絡(luò)風(fēng)暴中心等 。 桔皮書(shū) ? 可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則（桔皮書(shū)）是根據(jù)美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn) 。 CC的兩個(gè)基本功能 ? 標(biāo)準(zhǔn)化的方法描述安全必要條件，如安全需要、實(shí)現(xiàn)這些需要的產(chǎn)品和系統(tǒng)以及分析和測(cè)試這些產(chǎn)品和系統(tǒng)。 安全機(jī)制 ? 安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或多個(gè)安全服務(wù)的過(guò)程 。 2022 第二單元 安全標(biāo)準(zhǔn)及組織概況 學(xué)習(xí)目標(biāo) ? 了解安全標(biāo)準(zhǔn)的意義 ? ISO 17799/ISO 27001的主要內(nèi)容 ? 了解公共準(zhǔn)則 ? 熟悉主要的網(wǎng)絡(luò)安全組織 國(guó)際標(biāo)準(zhǔn)化組織 ? 國(guó)際標(biāo)準(zhǔn)化組織，簡(jiǎn)稱(chēng) ISO，是一個(gè)全球性的非政府組織，是國(guó)際標(biāo)準(zhǔn)化領(lǐng)域中一個(gè)十分重要的組織。 網(wǎng)絡(luò)安全的目標(biāo) ? 身份真實(shí)性：能對(duì)通訊實(shí)體身份的真實(shí)性進(jìn)行鑒別。 劃分需要保護(hù)的資源 ? 可以將資產(chǎn)劃分為 4個(gè)資源組： – 終端用戶(hù)資源 – 網(wǎng)絡(luò)資源 – 服務(wù)器資源 – 信息存儲(chǔ)資源 終端用戶(hù)資源 ? 許多損害是來(lái)自于公司內(nèi)部，用戶(hù)操作失誤或是缺乏安全意識(shí)往往會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。 有效的安全矩陣 ? 一個(gè)合理有效的安全矩陣應(yīng)該具有如下特點(diǎn)： – 允許訪(fǎng)問(wèn)控制 – 容易使用 – 合理的花費(fèi) – 靈活性和伸縮性 – 優(yōu)秀的警報(bào)和報(bào)告 安全投資回報(bào) ? 安全投資作為一種特殊投資形式，其目的是降低信息安全風(fēng)險(xiǎn)，投資回報(bào)主要來(lái)自于風(fēng)險(xiǎn)損失的降低。 安全就是在動(dòng)態(tài)環(huán)境中尋求平衡的過(guò)程 ? 在安全實(shí)施的過(guò)程中，安全人員所要做的工作就是在易用性和安全性之間尋求平衡，賦予用戶(hù)能完成所有工作的最小權(quán)限，以使安全最大化。 ? 可審查性： 對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手 段。不可否定性可以防止來(lái)自 源端的欺騙。 CC目前是ISO國(guó)際標(biāo)準(zhǔn)（ IS） 15408，它是 ISO的 。產(chǎn)品還必須按照 CC的要求，由一個(gè)公認(rèn)的第三方進(jìn)行分析和測(cè)試。 國(guó)際上著名的應(yīng)急響應(yīng)組織 ? 美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心 ? 事件響應(yīng)與安全組織論壇 ? 亞太地區(qū)計(jì)算機(jī)應(yīng)急響應(yīng)組 ? 歐洲計(jì)算機(jī)網(wǎng)絡(luò)研究教育協(xié)會(huì) 其它有用的網(wǎng)絡(luò)安全援助機(jī)構(gòu) ? 網(wǎng)絡(luò) 110 SANS ? SANS(系統(tǒng)管理、審核、網(wǎng)絡(luò)、安全 )是信息安全培訓(xùn)和認(rèn)證最可靠的來(lái)源和最大的機(jī)構(gòu)，它也在不斷發(fā)展壯大，并且是最大的免費(fèi)提供信息安全各方面研究文獻(xiàn)資料的組織，它具有互聯(lián)網(wǎng)業(yè)務(wù)的預(yù)警系統(tǒng)以及互聯(lián)網(wǎng)威脅監(jiān)測(cè)中心。如員工數(shù) 據(jù)庫(kù)、用戶(hù)帳戶(hù)數(shù)據(jù)庫(kù)和電子郵件服務(wù) 器 。最好的解決方案是定期定義和列舉出不可接受行為。金融 系統(tǒng)尤其依賴(lài)于這種加密方式，用于電子貨幣 交易。 ? 實(shí)現(xiàn)這種控制的兩種普遍方法是：訪(fǎng)問(wèn)控制列表（ ACL）和執(zhí)行控制列表（ ECL）。 實(shí)驗(yàn) 33 ? 使用 Netscape Navigator來(lái)設(shè)置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0