【正文】 檢測(cè)目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶? 根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件? 依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整性基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)? 根據(jù)網(wǎng)絡(luò)流量和單臺(tái)或多臺(tái)主機(jī)的審計(jì)數(shù)據(jù)對(duì)入侵行為進(jìn)行檢測(cè)。入侵檢測(cè)? ? 主機(jī)弱點(diǎn)掃描 這些工具可以自動(dòng)進(jìn)行目標(biāo)主機(jī)的TCP/IP端口掃描，嘗試連接存在已知漏洞的服務(wù)端口，并且記錄下目標(biāo)主機(jī)的反應(yīng)? 它們可以為特定的系統(tǒng)特性實(shí)現(xiàn)安全配置檢查 全面漏洞識(shí)別與分析 ? 掃描漏洞范圍更廣? 對(duì)漏洞進(jìn)行分析? 提出的建議，減輕潛在的安全風(fēng)險(xiǎn) 常用掃描工具? SATANTool? 一個(gè)公開代碼的安全評(píng)估工具 ? 有靈活 Plugin結(jié)構(gòu)，強(qiáng)大的掃描功能，并且具有很好的擴(kuò)展性 ? 自己提供了一個(gè)語言 NASL用于用戶自己開發(fā)測(cè)試模塊 ISS(2)內(nèi)外網(wǎng)隔離? 安全加固? (CA)? PKI基礎(chǔ)知識(shí)– 什么是 PKI– PKI的組成 目前建議使用模長(zhǎng)為 1024比特以上的模作為密鑰 PKI的組成1． CA（ 認(rèn)證機(jī)構(gòu)）2． 證書庫3． 證書撤銷4． 密鑰備份和恢復(fù)5． 自動(dòng)密鑰更新6． 密鑰歷史檔案7． 交叉認(rèn)證8． 支持非否認(rèn)9． 時(shí)間戳10. 客戶端軟件 PKI標(biāo)準(zhǔn)的制定組織? 國際標(biāo)準(zhǔn)化組織 /國際電信聯(lián)盟 PKCS系列 2459RFCPKI20231. CA收到證書請(qǐng)求信息，包括個(gè)人資料和公鑰等 ? 支持 PKI的應(yīng)用程序 InterMoney? 其他第三方程序 入侵檢測(cè)? Privacy)? PGP發(fā)展歷史與現(xiàn)狀 ? PGP加解密算法? PGP的密鑰管理機(jī)制 Privacy)? PGP發(fā)展歷史與現(xiàn)狀 ? 每個(gè) PGP公鑰都伴隨著一個(gè)證書? PGP承認(rèn)兩種不同的證書格式– – 中介人簽名 ? PGP加解密算法– PGP中的公鑰密碼體制– PGP中的身份認(rèn)證– PGP中的對(duì)稱密碼體制 (3)? 對(duì)消息摘要算法的要求：– 函數(shù)必須是單向的，即對(duì)任意消息摘要來構(gòu)筑能產(chǎn)生該消息摘要的輸入消息是計(jì)算上不可行的– 構(gòu)造兩個(gè)能產(chǎn)生相同消息摘要的不同的消息是計(jì)算上不可行的PGP中的對(duì)稱密碼體制? 什么是對(duì)稱密碼體制– 一種使用相同密鑰（或相互容易推出的）進(jìn)行加密和解密的密碼體制– 分為序列密碼和分組密碼， PGP中使用分組密碼中的 IDEA算法來加密數(shù)據(jù)? 優(yōu)點(diǎn)：– 加解密速度快? 缺點(diǎn)：– 必須有一個(gè)安全的傳遞通道用來傳遞密鑰PGP內(nèi)外網(wǎng)隔離? 安全加固? 隱患掃描? PKI(CA)? PKI(CA)? 安全加固? 防病毒 (Antivirus)? 計(jì)算機(jī)病毒定義? 計(jì)算機(jī)病毒的特性? 計(jì)算機(jī)病毒的檢測(cè)方法計(jì)算機(jī)病毒的特性? 傳染性? 非授權(quán)性? 隱蔽性? 潛伏性? 破壞性? 不可預(yù)見性防病毒 (Antivirus)? 計(jì)算機(jī)病毒定義? 計(jì)算機(jī)病毒的特性? 計(jì)算機(jī)病毒的檢測(cè)方法計(jì)算機(jī)病毒的檢測(cè)方法? 特征代碼法? 校驗(yàn)和法? 行為檢測(cè)法? 軟件模擬法 特征代碼法 (1)? 步驟：– 采集已知病毒樣本– 抽取特征代碼– 納入病毒數(shù)據(jù)庫– 對(duì)被檢測(cè)文件進(jìn)行特征匹配特征代碼法 (2)? 優(yōu)點(diǎn)：– 準(zhǔn)確、快速– 誤警率低? 缺點(diǎn)：– 不能檢測(cè)未知病毒– 搜集特征代碼開銷大– 不能檢查多態(tài)性病毒校驗(yàn)和法 (1)? 步驟– 根據(jù)正常文件的內(nèi)容，計(jì)算其校驗(yàn)和并進(jìn)行保存– 定期或使用前對(duì)文件進(jìn)行檢查– 如果發(fā)現(xiàn)文件校驗(yàn)和與原來的不同，則認(rèn)為文件感染了病毒校驗(yàn)和法 (2)? 優(yōu)點(diǎn)– 方法簡(jiǎn)單– 能夠發(fā)現(xiàn)未知病毒? 缺點(diǎn)– 誤警率高– 不能識(shí)別病毒名稱行為監(jiān)測(cè)法? 是利用病毒的特有行為作為特征來檢測(cè)病毒的方法? 優(yōu)點(diǎn)：– 可發(fā)現(xiàn)未知病毒? 缺點(diǎn)：– 可能誤報(bào)警– 實(shí)現(xiàn)難度高軟件模擬法? 是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行? 特點(diǎn)：– 與特征代碼法聯(lián)合使用，用于檢測(cè)多態(tài)性病毒課程內(nèi)容? PGP? VPN? ? 安全加固的優(yōu)點(diǎn)– 相對(duì)于重新開發(fā)系統(tǒng)，成本較低– 可以滿足大多數(shù)用戶對(duì)安全系統(tǒng)的要求安全加固 (2)? 常見手段有：– 提供密碼系統(tǒng)安全增強(qiáng)– 提供訪問控制策略和工具– 增強(qiáng)遠(yuǎn)程維護(hù)的安全性– 文件系統(tǒng)完整性審計(jì)– 增強(qiáng)的系統(tǒng)日志分析– 等等技術(shù)實(shí)現(xiàn)? 安全加固的技術(shù)實(shí)現(xiàn)– 在操作系統(tǒng)加固中，一般是通過截取系統(tǒng)調(diào)用，從根本上為操作系統(tǒng)提供較高的安全性– 在某些加固中，使用了密碼硬件設(shè)備來確保保證系統(tǒng)安全 ? 加密流程 基于以下原理：尋找大素?cái)?shù)是相對(duì)容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的 。(Pretty– 證書持有者的信息 PGP安全機(jī)制? 采用公開密鑰加密與對(duì)稱密鑰加密相結(jié)合的加密體系 最后以Phil Zimmermann獲勝告終。(Pretty防火墻? Service? Microsoft的組成（圖） WIN2023在最簡(jiǎn)單的情況下，認(rèn)證體系可以只包含一個(gè) CA。PKI證書 (3)? 主體名（ Subject）? 主體公鑰信息（ Subject Public Key Info）? 簽發(fā)者唯一標(biāo)識(shí)符 (Issuer ID)? 主體唯一標(biāo)識(shí)符 (Subject ID)? 簽名值（ Issuer39。– RFC(IETF).什么是 PKI? PKI是一個(gè)用 公鑰概念和技術(shù) 實(shí)施 和提供安全服務(wù)的具有普適性的 安全基礎(chǔ)設(shè)施? 提供機(jī)密性（包括公鑰加密和對(duì)稱加密）、數(shù)據(jù)完整性、非否認(rèn)服務(wù)，比如加密、數(shù)字簽名、數(shù)字信封、時(shí)間戳等等 ? 遵循標(biāo)準(zhǔn)： 、 RFC2459(CA)? PKI基礎(chǔ)知識(shí)? PKI技術(shù) Scanner? 是 ISS公司開發(fā)的針對(duì)主機(jī)的弱點(diǎn)掃描工具? 只涉及到單一主機(jī)，功能較為單一，報(bào)告比較簡(jiǎn)略? 對(duì)目標(biāo)系統(tǒng)平臺(tái)具有很強(qiáng)的依賴性，不同的平臺(tái)涉及到不同的評(píng)測(cè)內(nèi)容，不同的評(píng)測(cè)方法，目前主要分為 Windows和 Unix兩大系列? 結(jié)合了傳統(tǒng)安全評(píng)估和完整性檢測(cè)兩種方法的特點(diǎn)，提出 Security Baseline技術(shù)，即在進(jìn)行完一次完整的安全評(píng)估后，對(duì)所有漏洞修補(bǔ)，保證系統(tǒng)達(dá)到自己的安全需求 隱患掃描（ vulnerabilities? 網(wǎng)絡(luò)弱點(diǎn)掃描 ? 其基本功能是通過 finger， NFS， ftp，NIS， Web等服務(wù)盡可能的搜集目標(biāo)主機(jī)和網(wǎng)絡(luò)的相關(guān)信息 Scanner– 功能分類– 常用掃描工具? 主機(jī)弱點(diǎn)掃描 防火墻? ) – alert tcp any any (content:|E8C0 FFF FF|/bin/sh。 – 誤用檢測(cè)典型系統(tǒng)－ Snort? 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)什么是入侵檢測(cè)? 入侵檢測(cè)（ Intrusion隱患掃描? PKI(CA)? [目標(biāo)地址 ]? biosns[時(shí)間戳 ]? drop2023但是，手工分析往往是日志分析不可缺少的部分自動(dòng)響應(yīng) ? 對(duì)日志的自動(dòng)分析和自動(dòng)響應(yīng)通常由入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)? 自動(dòng)相應(yīng)可以是報(bào)警、自動(dòng)采取某些安全措施，等等Solaris隱患掃描? PKI(CA)? 物理隔離技術(shù)? 雙網(wǎng)機(jī)技術(shù) 防火墻? L2TP? VPN的隧道協(xié)議 VPN什么是 VPN(1)什么是 VPN(Virtual操作系統(tǒng)和硬件不是特定為防火墻各項(xiàng)功能設(shè)計(jì)的，因此可能會(huì)存在穩(wěn)定性和兼容方面的隱患功能和靈活性 采用的專門設(shè)計(jì)的操作系統(tǒng)和硬件架構(gòu)，靈活性上要相對(duì)差一些，而且可能提供的功能相對(duì)較少架構(gòu)不依賴硬件，理論上功能是可以無限擴(kuò)充的，它能給客戶更多的控制和定制功能引自 Yiming(1)? 對(duì)防火墻的評(píng)估通常包括對(duì)其功能、性能和可用性進(jìn)行測(cè)試評(píng)估。? 使用多臺(tái)外部路由器、多個(gè)周邊網(wǎng)絡(luò) ? 防火墻基礎(chǔ)知識(shí)? 防火墻體系結(jié)構(gòu)– 雙重宿主主機(jī)體系結(jié)構(gòu) – 屏蔽主機(jī)體系結(jié)構(gòu) – 屏蔽子網(wǎng)體系結(jié)構(gòu) – 其他體系結(jié)構(gòu)? 防火墻技術(shù) ? 防火墻評(píng)測(cè)指標(biāo)雙重宿主主機(jī)體系結(jié)構(gòu) （圖）雙重宿主主機(jī)體系結(jié)構(gòu) 安全加固? 防病毒課程內(nèi)容? 日志審計(jì)? 內(nèi)外網(wǎng)隔離? 安全加固? PGP? ? 防火墻基礎(chǔ)知識(shí)– 什么是防火墻 – 防火墻可以做什么– 防火墻的局限性? 防