【正文】 性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方 CA產(chǎn)品提供良好的支持。但是，手工分析往往是日志分析不可缺少的部分 自動響應(yīng) ? 對日志的自動分析和自動響應(yīng)通常由入侵檢測系統(tǒng)實現(xiàn) ? 自動相應(yīng)可以是報警、自動采取某些安全措施，等等 Solaris BSM（ Basic Security Model） BSM用戶級審計記錄包括： ? 進程名 ? 手冊頁參考 ? 審計事件號 ? 審計事件名 ? 審計記錄結(jié)構(gòu) BSM核心級審計記錄包括： ? 系統(tǒng)調(diào)用名 ? 手冊頁參考 ? 審計事件號 ? 審計事件名 ? 審計事件類 ? 事件屏蔽 ? 審計記錄結(jié)構(gòu) WIN 2022日志結(jié)構(gòu) 數(shù)據(jù) 時間 用戶名 計算機名 事件 ID 源 類型 種類 可變內(nèi)容，依賴于事件，可以時問題的文本解釋和糾正措施的建議 附加域。所有在這兩個網(wǎng)絡(luò)間發(fā)送的 IP數(shù)據(jù)包都會經(jīng)過該主機 ，該主機可以對轉(zhuǎn)發(fā)的 IP包進行安全檢查 ? 優(yōu)點：構(gòu)造簡單 ? 缺點：易受攻擊 屏蔽主機體系結(jié)構(gòu) （圖） 屏蔽主機體系結(jié)構(gòu) ? 屏蔽主機結(jié)構(gòu)將提供安全保護的堡壘主機置于內(nèi)部網(wǎng)上，使用一個單獨的路由器對該主機進行屏蔽 ? 優(yōu)點：能夠提供更高層次的安全保護 ? 缺點：堡壘主機一旦被攻破，整個網(wǎng)絡(luò)就會被攻破 屏蔽子網(wǎng)體系結(jié)構(gòu)（圖） 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽主機結(jié)構(gòu)基礎(chǔ)上 ，增加了一層周邊網(wǎng)絡(luò)的安全機制 ， 使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間有兩層隔離 。msg PHF probe!) – alert tcp ! 6000:6010 ( msg: X traffic。 PGP功能 ? 電子郵件機密性 ? 身份認(rèn)證 ? 文件加密 PGP (Pretty Good Privacy) ? PGP發(fā)展歷史與現(xiàn)狀 ? PGP加密流程 – 安全機制 – PGP公鑰與證書 – 口令 ? PGP加解密算法 ? PGP的密鑰管理機制 PGP安全機制 ? 采用公開密鑰加密與對稱密鑰加密相結(jié)合的加密體系 ? 對稱密鑰加密技術(shù)部分所使用的密鑰稱為 “ 會話密鑰 ” ? 會話密鑰在每次會話中隨機產(chǎn)生 ? 會話密鑰用來保護報文內(nèi)容 ? 公開密鑰加密技術(shù)中的公鑰和私鑰則用來加密和解密會話密鑰 PGP公鑰與證書 ? 每個 PGP公鑰都伴隨著一個證書 ? PGP承認(rèn)兩種不同的證書格式 – PGP證書 – PGP證書 (1)（圖） PGP證書 (2)（圖） PGP證書 (3)（圖） PGP證書 (3) ? PGP證書通常包括以下信息 – PGP版本號 – 證書持有者的公鑰 – 證書持有者的信息 – 證書擁有者的數(shù)字簽名 – 證書的有效期 – 密鑰首選的對稱加密算法 – 中介人簽名 PGP證書的不同 ? 用戶可以創(chuàng)建自己的 PGP證書 。s Signature） ? 擴展項 V3版本的 14項標(biāo)準(zhǔn)擴展 信任模型 ? 層次信任模型 ? 網(wǎng)狀信任模型 ? 混和信任模型 ? 橋信任模型 層次信任模型 R o o t C AS u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )網(wǎng)狀信任模型 L o c a l C A EL o c a l C A BL o c a l C A A L o c a l C A DL o c a l C A C混和信任模型 S u b o rd i n a t e C A(l e v e l 2 )L o c a l C A B(l e v e l 1 )L o c a l C A A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )橋信任模型 B ri d g e C A(c r o s s c e rt i f i c a t i o na u t h o ri t y )S u b o rd i n a t e C A(l e v e l 2 )C A B(l e v e l 1 )C A A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )C A C(l e v e l 1 )PKI技術(shù)應(yīng)用現(xiàn)狀 ? VeriSign,IBM ,Balitimore,Entrust等為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品 ? 各國政府也相繼推出和建立了國家和政府級的 PKI體系，如美國聯(lián)邦 PKI體系（ FPKI）、 加拿大政府 PKI體系（ GOC PKI） 等 PKI (CA) ? PKI基礎(chǔ)知識 ? PKI技術(shù) ? WIN2022 PKI – WIN2022中 CA的層次結(jié)構(gòu) – 證書頒發(fā)過程 – WIN2022 PKI 的組成 WIN2022 PKI ? Windows 2022 為電子商務(wù)提供了一個平臺，其中包括證書管理、 CA服務(wù)與 PKI應(yīng)用程序等 WIN2022中 CA的層次結(jié)構(gòu) ? Windows2022 PKI采用了分層 CA模型。 審計事件存儲 ? 保護審計記錄不受未授權(quán)的刪除 ? 防止或檢測對審計記錄的修改 ? 當(dāng)存儲耗盡、失敗或受到攻擊時，能夠確保審計記錄不受破壞 ? 存儲失敗時，應(yīng)采取一定行動確保新的審計記錄不受破壞 審計事件查閱 ? 訪問控制權(quán)限 ? 易于理解 日志審計分析 ? 日志的分析可以分為手工和自動的方式，通常，對日志的自動分析任務(wù)可以由入侵檢測系統(tǒng)完成。 ? 優(yōu)點：即使堡壘主機被攻破 ， 也不能直接侵入內(nèi)部網(wǎng)絡(luò) 。) – alert tcp any any (content:|E8C0 FFF FF|/bin/sh。但是必須向 CA請求才能得到一份 ? 字 ? 個數(shù)字簽名 PGP (Pretty Good Privacy) ? PGP發(fā)展歷史與現(xiàn)狀 ? 加密流程 ? PGP加解密算法 – PGP中的公鑰密碼體制 – PGP中的身份認(rèn)證 – PGP中的對稱密碼體制 ? PGP的密鑰管理機制 PGP公鑰密碼體制 ? 公鑰密碼體制的優(yōu)點 : – 可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務(wù)來分配密鑰。目前建議使用模長為 1024比特以上的模作為密鑰 PKI的組成 1． CA（ 認(rèn)證機構(gòu) ） 2． 證書庫 3． 證書撤銷 4． 密鑰備份和恢復(fù) 5． 自動密鑰更新 6． 密鑰歷史檔案 7． 交叉認(rèn)證 8． 支持非否認(rèn) 9． 時間戳 10. 客戶端軟件 PKI標(biāo)準(zhǔn)的制定組織 ? 國際標(biāo)準(zhǔn)化組織 /國際電信聯(lián)盟 (ISO)/(ITU) ? 因特網(wǎng)特別工程任務(wù)組 (IETF). RFC2459 ? RSA 實驗室 PKCS系列 ? 美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會 (NIST) MISPC最小互操作規(guī)范 PKI (CA) ? PKI基礎(chǔ)知識 ? PKI技術(shù) – RFC 2459 – – 信任模型 – PKI技術(shù)應(yīng)用現(xiàn)狀 ? WIN2022 PKI RFC 2459 RFC 2459 證書 (1)（圖） 證書 (2) ? 證書版本號 （ Version） ? 證書序列號 （ SerialNumber） ? 簽名算法標(biāo)識符 (Signatue Alg ID) ? 頒發(fā)者 （ Issuer） ? 有效期 （ Validity） 證書 (3) ? 主體名 （ Subject） ? 主體公鑰信息 （ Subject Public Key Info） ? 簽發(fā)者唯一標(biāo)識符 (Issuer ID) ? 主體唯一標(biāo)識符 (Subject ID) ? 簽名值 （ Issuer39。用戶在選擇硬盤的時候，同時也選擇了該卡上所對應(yīng)的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò) 物理隔離卡－ 雙網(wǎng)線隔離卡(con’t) ? 技術(shù)水平有所提高 ? 成本有所降低 ? 要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)，存在安全隱患 物理隔離卡－ 單網(wǎng)線隔離卡 ? 只有一個網(wǎng)絡(luò)接口 ? 通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號，選擇不同的網(wǎng)絡(luò)連接 ? 特點： – 實現(xiàn)成本較低，能夠有效利用現(xiàn)有單網(wǎng)線網(wǎng)絡(luò)環(huán)境 – 系統(tǒng)的安全性有所提高 物理隔離卡（圖） 網(wǎng)絡(luò)安全隔離集線器 ? 作為 A/B轉(zhuǎn)換器被設(shè)置在機柜中 ? 根據(jù)網(wǎng)絡(luò)安全隔離卡的狀態(tài)自動地將網(wǎng)絡(luò)連接到安全網(wǎng)絡(luò)或公共網(wǎng)絡(luò)中 ? 特點： – 能使用原有的單一的布線系統(tǒng) 物理隔離網(wǎng)閘（ GAP） (1) ? 由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接 ? 能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換 物理隔離網(wǎng)閘（ GAP）