【正文】 基于以下原理：尋找大素?cái)?shù)是相對容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的 。最后以Phil Zimmermann獲勝告終。這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方 CA產(chǎn)品提供良好的支持。 ? 公鑰密碼體制的缺點(diǎn) : – 加、解密的速度太慢 – 密鑰長度太長 ? RSA算法： – 是一個(gè)可逆的公鑰密碼體制，在 PGP中被用來加密通信密鑰和數(shù)字簽名 。) 誤用檢測典型系統(tǒng)－ Snort (3) ? 優(yōu)點(diǎn) : – 檢測的準(zhǔn)確度比較高 ? 缺點(diǎn) : – 檢測的效率低 – 對復(fù)雜攻擊檢測能力差 – 容易被欺騙 入侵檢測（ Intrusion Detection） ? 入侵檢測定義 ? 入侵檢測方法 ? 入侵檢測系統(tǒng)結(jié)構(gòu) – 基于主機(jī)系統(tǒng)的結(jié)構(gòu) – 基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu) 基于主機(jī)系統(tǒng)的結(jié)構(gòu) ? 其檢測目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶 ? 根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件 ? 依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整性 基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu) ? 根據(jù)網(wǎng)絡(luò)流量和單臺或多臺主機(jī)的審計(jì)數(shù)據(jù)對入侵行為進(jìn)行檢測 。 誤用檢測典型系統(tǒng)－ Snort (2) ? Snort規(guī)則語言 （ 示例 ） – log tcp any any – alert tcp any any (content: /cgibin/phf。但是，手工分析往往是日志分析不可缺少的部分 自動(dòng)響應(yīng) ? 對日志的自動(dòng)分析和自動(dòng)響應(yīng)通常由入侵檢測系統(tǒng)實(shí)現(xiàn) ? 自動(dòng)相應(yīng)可以是報(bào)警、自動(dòng)采取某些安全措施，等等 Solaris BSM（ Basic Security Model） BSM用戶級審計(jì)記錄包括： ? 進(jìn)程名 ? 手冊頁參考 ? 審計(jì)事件號 ? 審計(jì)事件名 ? 審計(jì)記錄結(jié)構(gòu) BSM核心級審計(jì)記錄包括： ? 系統(tǒng)調(diào)用名 ? 手冊頁參考 ? 審計(jì)事件號 ? 審計(jì)事件名 ? 審計(jì)事件類 ? 事件屏蔽 ? 審計(jì)記錄結(jié)構(gòu) WIN 2022日志結(jié)構(gòu) 數(shù)據(jù) 時(shí)間 用戶名 計(jì)算機(jī)名 事件 ID 源 類型 種類 可變內(nèi)容，依賴于事件，可以時(shí)問題的文本解釋和糾正措施的建議 附加域。通過使用驗(yàn)證包頭（ AH， 在 RFC 2402中定義），也可以提供 IP數(shù)據(jù)報(bào)的驗(yàn)證 IPSec VPN(2) ? AH包頭的結(jié)構(gòu)： ? IPSEC AH/ESP數(shù)據(jù)包結(jié)構(gòu) IPSec VPN(3) ? IPSEC VPN是基于 IPSec協(xié)議的 VPN產(chǎn)品，由 IPSec協(xié)議提供隧道安全保障 ? 特點(diǎn)：只能支持 IP數(shù)據(jù)流 ? 目前防火墻產(chǎn)品中集成的 VPN多為使用IPSec 協(xié)議 MPLS VPN ? 是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用 MPLS (Multiprotocol Label Switching ) 技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的 IP虛擬專用網(wǎng)絡(luò)（ IP VPN） ? 運(yùn)行在 IP+ATM或者 IP環(huán)境下，對應(yīng)用完全透明 ? 相關(guān)標(biāo)準(zhǔn)： – RFC 3270 – RFC 2764 MPLS VPN PE = Provider Edge Router LSR = Label Switch Router 課程內(nèi)容 ? 防火墻 ? VPN ? 內(nèi)外網(wǎng)隔離 ? 日志審計(jì) ? 入侵檢測 ? 隱患掃描 ? PKI(CA) ? PGP ? 安全加固 ? 防病毒 內(nèi)外網(wǎng)隔離 ? 物理隔離 ? 邏輯隔離 內(nèi)外網(wǎng)隔離 ? 物理隔離 – 安全需求 – 物理隔離技術(shù) ? 邏輯隔離 安全需求 (1) ? 《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第六條規(guī)定： 涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離。 ? 它的缺點(diǎn)是： – 速度比較慢 – 對一些新的或不常用的服務(wù)不支持 NAT（ 網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議） ? 可以使多個(gè)用戶分享單一的 IP地址 ? 為 Inter連接提供一些安全機(jī)制 ? 可以向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu) ? 轉(zhuǎn)換機(jī)制： – 當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí) ， NAT追蹤是哪一個(gè)用戶作的請求 ， 修改傳出的包 ，這樣包就像是來自單一的公共 IP地址 個(gè)人防火墻 (1) ? 是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件 ， 它可以直接在用戶的計(jì)算機(jī)上運(yùn)行 ? 可以對用戶計(jì)算機(jī)的網(wǎng)絡(luò)通信進(jìn)行過濾 ? 通常具有學(xué)習(xí)模式 ， 可以在使用中不斷增加新的規(guī)則 個(gè)人防火墻 (2)(圖） 防火墻（ Firewall） ? 防火墻基礎(chǔ)知識 ? 防火墻體系結(jié)構(gòu) ? 防火墻技術(shù) ? 防火墻評測指標(biāo) 防火墻評測指標(biāo) (1) ? 對防火墻的評估通常包括對其功能、性能和可用性進(jìn)行測試評估。 防火墻可以做什么 ? 防火墻是安全決策的焦點(diǎn)（阻塞點(diǎn)） ? 防火墻能強(qiáng)制安全策略 ? 防火墻能有效地記錄網(wǎng)絡(luò)活動(dòng) 防火墻的局限性 ? 限制了可用性 ? 對網(wǎng)絡(luò)內(nèi)部的攻擊無能為力 ? 不能防范不經(jīng)過防火墻的攻擊 ? 不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊 ? 不能完全防范惡意代碼的通過 防火墻（ Firewall） ? 防火墻基礎(chǔ)知識 ? 防火墻體系結(jié)構(gòu) – 雙重宿主主機(jī)體系結(jié)構(gòu) – 屏蔽主機(jī)體系結(jié)構(gòu) – 屏蔽子網(wǎng)體系結(jié)構(gòu) – 其他體系結(jié)構(gòu) ? 防火墻技術(shù) ? 防火墻評測指標(biāo) 雙重宿主主機(jī)體系結(jié)構(gòu) （圖） 雙重宿主主機(jī)體系結(jié)構(gòu) ? 是最基本的防火墻系統(tǒng)結(jié)構(gòu) ? 雙重宿主主機(jī)位于外部網(wǎng)絡(luò)和受保護(hù)網(wǎng)絡(luò)之間，至少有兩個(gè)網(wǎng)絡(luò)接口。所有在這兩個(gè)網(wǎng)絡(luò)間發(fā)送的 IP數(shù)據(jù)包都會(huì)經(jīng)過該主機(jī) ，該主機(jī)可以對轉(zhuǎn)發(fā)的 IP包進(jìn)行安全檢查 ? 優(yōu)點(diǎn)：構(gòu)造簡單 ? 缺點(diǎn)：易受攻擊 屏蔽主機(jī)體系結(jié)構(gòu) （圖） 屏蔽主機(jī)體系結(jié)構(gòu) ? 屏蔽主機(jī)結(jié)構(gòu)將提供安全保護(hù)的堡壘主機(jī)置于內(nèi)部網(wǎng)上，使用一個(gè)單獨(dú)的路由器對該主機(jī)進(jìn)行屏蔽 ? 優(yōu)點(diǎn)：能夠提供更高層次的安全保護(hù) ? 缺點(diǎn)：堡壘主機(jī)一旦被攻破，整個(gè)網(wǎng)絡(luò)就會(huì)被攻破 屏蔽子網(wǎng)體系結(jié)構(gòu)（圖） 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽主機(jī)結(jié)構(gòu)基礎(chǔ)上 ，增加了一層周邊網(wǎng)絡(luò)的安全機(jī)制 ， 使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間有兩層隔離 。 ? 對防火墻性能的測試指標(biāo)主要有 – 吞吐量 – 延遲 – 幀丟失率 防火墻評測指標(biāo) (2) ? 對防火墻的功能測試通常包含 – 身份鑒別 – 訪問控制策略及功能 – 密碼支持 – 審計(jì) – 管理 – 對安全功能自身的保護(hù) 防火墻測評方法 NetScreen Vs. CheckPoint 供應(yīng)商 NetScreen CheckPoint 架構(gòu) 硬件 軟件 性能 在操作系統(tǒng) screenos版本為 可以達(dá)到 12Gbps之高 依賴于使用平臺的 CPU、內(nèi)存等配置，使用新技術(shù)Application Integlligence后，性能在原來的基礎(chǔ)上進(jìn)一步提升了 31%。 安全需求 (2) ? 實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡(luò)隔離的要求： – 用戶訪問內(nèi)網(wǎng)時(shí)，斷開外網(wǎng)網(wǎng)絡(luò)連接 – 訪問外網(wǎng)時(shí)，斷開內(nèi)網(wǎng)網(wǎng)絡(luò)連接 – 用戶不能同時(shí)連入內(nèi)、外網(wǎng)，始終保持內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)隔離的狀態(tài) 安全需求 (3) ? 對物理隔離技術(shù)的要求 ： – 高度安全 – 較低的成本 – 容易部置、結(jié)構(gòu)簡單 – 易于操作 – 具有靈活性與擴(kuò)展性 物理隔離技術(shù) ? 雙網(wǎng)機(jī)技術(shù) ? 物理隔離卡 – 雙網(wǎng)線的物理隔離卡 – 單網(wǎng)線的物理隔離卡 ? 網(wǎng)絡(luò)安全隔離集線器 ? 物理隔離網(wǎng)閘（ GAP） 雙網(wǎng)機(jī)技術(shù) ? 在一個(gè)機(jī)箱內(nèi)設(shè)有兩塊主機(jī)板、兩套內(nèi)存、兩塊硬盤和兩 CPU ? 相當(dāng)于兩臺計(jì)算機(jī)共用一個(gè)顯示器 ? 用戶通過客戶端開關(guān)，分別選擇兩套計(jì)算機(jī)系統(tǒng) ? 特點(diǎn)是： – 客戶端成本很高 – 網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu) – 技術(shù)水平簡單 物理隔離卡－ 雙網(wǎng)線隔離卡 ? 客戶端需要增加一塊 PCI卡，客戶端硬盤或其它存儲(chǔ)設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲(chǔ)設(shè)備。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息 記錄頭 事件描述 附加數(shù)據(jù) WIN 2022 日志舉例 (1) ? 事件類型 : 成功審核 ? 事件來源 : Security ? 事件種類 : 登錄 /注銷 ? 事件 ID: 538 ? 日期 : 202299 ? 時(shí)間 : 20:47:04 WIN 2022 日志舉例 (2) ? 用戶 : QU\hiiri ? 計(jì)算機(jī) : QU ? 描述 : ? 用戶注銷 : – 用戶名 : hiiri – 域 : QU – 登錄 ID: (0x0,0x504001) – 登錄類型 : 7 防火墻日志舉例 ( Check Point Firewall1 ) ? 19May00 17:31:59 [時(shí)間戳 ] ? drop [動(dòng)作 ] ? inbound [方向 ] ? udp [傳輸層協(xié)議 ] ? [源地址 ] ? [目標(biāo)地址 ] ? biosns [目標(biāo)端口 ] ? biosns [源端口 ] ? 78 [包長度 ] IDS日志舉例 ( Snort ) ? [**] rshell CGI access attempt [**] ? 0