【正文】 VPN謝謝！演講完畢，謝謝觀看！。防病毒? 隱患掃描? 日志審計(jì)? 防火墻? 計(jì)算機(jī)病毒、蠕蟲與木馬? 蠕蟲： 一段可以通過網(wǎng)絡(luò)或電子郵件傳播的惡意代碼，通常會造成資源耗盡或?qū)?shù)據(jù)破壞? 木馬： 一段偽裝成正常應(yīng)用程序的惡意代碼，通常不自我復(fù)制，但是某些木馬可以通過蠕蟲傳播? 目前計(jì)算機(jī)病毒一般指各種具有自我傳播功能的惡意代碼，包括狹義的病毒以及蠕蟲和木馬程序。安全加固? 入侵檢測? 內(nèi)外網(wǎng)隔離? 防火墻? 安全增強(qiáng)插件? 安全增強(qiáng)插件通過將安全增強(qiáng)模塊插入到用戶界面與軟件之間，從而可以添加一些安全控制，提高系統(tǒng)的安全性? 特點(diǎn)：可以透明地工作于原有的系統(tǒng)或應(yīng)用軟件中安全增強(qiáng)插件? 電子郵件安全增強(qiáng)插件，可以提供 安全加密、數(shù)字簽名、訪問控制等安全服務(wù)? SSL安全連接增強(qiáng)插件，可以提供在透明連接下的機(jī)密性和完整性及身份認(rèn)證 防病毒安全加固 (1)? 安全加固通常是指通過一定的技術(shù)手段，在不增加新產(chǎn)品的基礎(chǔ)上，提高系統(tǒng)的安全性和抗攻擊能力 PGP? 隱患掃描? PKI(CA)? 日志審計(jì)? VPN? ? 一個(gè)成熟的加密體系必然要有一個(gè)成熟的密鑰管理機(jī)制配套 ? PGP密鑰管理的問題：– 容易被他人篡改、偽造? 解決方法：– 公鑰介紹機(jī)制– 通過其他人對公鑰的簽名保證公鑰的可信度? 存在的問題：– 密鑰撤銷課程內(nèi)容? ? PGP加解密算法? PGP的密鑰管理機(jī)制 Privacy)? PGP發(fā)展歷史與現(xiàn)狀 (Pretty(2)? 解決方法：– 引入消息摘要? 什么是消息摘要：– 通過對一段任意長的消息使用單向函數(shù)，獲得的一段定長的數(shù)據(jù)? 流程：– 構(gòu)造一段消息的消息摘要– 對該段消息摘要進(jìn)行數(shù)字簽名數(shù)字簽名與消息摘要 目前建議使用模長為 1024比特以上的模作為密鑰 數(shù)字簽名與消息摘要 ? 公鑰密碼體制的缺點(diǎn) :– 加、解密的速度太慢– 密鑰長度太長 ? RSA算法：– 是一個(gè)可逆的公鑰密碼體制，在 PGP中被用來加密通信密鑰和數(shù)字簽名 。? PGP的密鑰管理機(jī)制 ? 加密流程 Good但是必須向 CA請求才能得到一份 ? 字? 個(gè)數(shù)字簽名PGP– 密鑰首選的對稱加密算法 – 證書擁有者的數(shù)字簽名 – 證書持有者的公鑰 PGP證書– PGP公鑰與證書 ? 對稱密鑰加密技術(shù)部分所使用的密鑰稱為 “會話密鑰 ”–口令? PGP加解密算法? PGP的密鑰管理機(jī)制 ? PGP加密流程– 安全機(jī)制–Good PGP功能? 電子郵件機(jī)密性? 身份認(rèn)證? 文件加密PGPZimmermann于 1991年發(fā)布? 采用了 RSA和對稱加密算法相結(jié)合的機(jī)制? 1993年，美國政府以違反出口法規(guī)提起了對 Phil Zimmermann的訴訟。PGP發(fā)展歷史與現(xiàn)狀? 是一個(gè)基于 RSA公鑰加密體系的郵件加密軟件? 由美國的 –PGP功能? PGP加密流程 GoodPGP? PGP加密流程 Good防病毒PGPPGP? 隱患掃描? PKI(CA)? 日志審計(jì)? VPN? WIN2023 PKI使用的安全 協(xié)議? 安全套接字 協(xié)議 SSL ? 網(wǎng) 際 安全 協(xié)議 IPSec 課程內(nèi)容? Express? MicrosoftOutlook? MicrosoftInformationExplorer? Microsoft支持 WIN2023 PKI的 應(yīng) 用程序 ? Microsoft認(rèn)證服務(wù)(Certificate Services)? 是 WIN2023 PKI中的一個(gè)關(guān)鍵部分? 通過它可以部署一個(gè)或多個(gè)企業(yè)性的 CA。PKI? 使用的安全協(xié)議 ? 活動目錄 PKI4. CA將證書發(fā)給用戶 2. CA對用戶提供的信息進(jìn)行核實(shí) 證書頒發(fā)過程 但是就一般情況而言，這個(gè)體系是由相互信任的多重 CA構(gòu)成的 這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方 CA產(chǎn)品提供良好的支持。為電子商務(wù)提供了一個(gè)平臺，其中包括證書管理、 CA服務(wù)與 PKI應(yīng)用程序等WIN2023中 CA的層次結(jié)構(gòu) PKI? Windows的組成 –WIN2023–WIN2023中 CA的層次結(jié)構(gòu) ? WIN2023s Signature）? 擴(kuò)展項(xiàng) V3版本的 14項(xiàng)標(biāo)準(zhǔn)擴(kuò)展信任模型? 層次信任模型? 網(wǎng)狀信任模型? 混和信任模型? 橋信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型PKI技術(shù)應(yīng)用現(xiàn)狀? VeriSign,IBM ,Balitimore,Entrust等為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品? 各國政府也相繼推出和建立了國家和政府級的 PKI體系，如美國聯(lián)邦 PKI體系（FPKI）、 加拿大政府 PKI體系（ GOC PKI） 等PKI證書 (2)? 證書版本號（ Version）? 證書序列號（ SerialNumber）? 簽名算法標(biāo)識符 (Signatue Alg ID)? 頒發(fā)者（ Issuer） ? 有效期（ Validity）2459RFC2459––信任模型–PKI技術(shù)應(yīng)用現(xiàn)狀? WIN2023(CA)? PKI基礎(chǔ)知識? PKI技術(shù) ? 美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會 (NIST) MISPC最小互操作規(guī)范 實(shí)驗(yàn)室 RFC2459? 因特網(wǎng)特別工程任務(wù)組 (ISO)/(ITU)基于以下原理：尋找大素?cái)?shù)是相對容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的 。等公鑰密碼體制 (1)? 公鑰密碼技術(shù)由 Diffe和 Hellman于 1976年首次提出? 有兩個(gè)不同的密鑰（公鑰－私鑰對），可將加密功能和解密功能分開? 是目前若干關(guān)鍵技術(shù)如 PKI、 VPN等的基礎(chǔ)公鑰加密模型公鑰認(rèn)證模型公鑰密碼體制 (2)? 公鑰密碼體制的優(yōu)點(diǎn) :– 可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務(wù)來分配密鑰。PKI–PKI標(biāo)準(zhǔn)的制定組織? PKI技術(shù) PKI? WIN2023防病毒PKIPGP? 隱患掃描? PKI(CA)? 日志審計(jì)? VPN? ? 主機(jī)弱點(diǎn)掃描? 特定應(yīng)用弱點(diǎn)掃描– 數(shù)據(jù)庫弱點(diǎn)掃描 – 對未知漏洞的檢測 數(shù)據(jù)庫弱點(diǎn)掃描? 以 ISS的 Database Scanner 為代表? 自動解析數(shù)據(jù)庫系統(tǒng)的重要配置管理參數(shù)? 分析數(shù)據(jù)庫系統(tǒng)的授權(quán)、認(rèn)證、完整性? 檢測一些流行數(shù)據(jù)庫的安全漏洞? 生成詳細(xì)用戶報(bào)告? 提供兩種評估方式– 內(nèi)部掃描– 外部穿透性測試 對未知漏洞的檢測? 目前主要有三種方法：– 靜態(tài)源代碼掃描– 環(huán)境錯(cuò)誤注入– 匯編代碼掃描 ? 已有一些成果發(fā)布，尚待進(jìn)一步研究課程內(nèi)容? scanning） System? 特定應(yīng)用弱點(diǎn)掃描主機(jī)弱點(diǎn)掃描功能與特點(diǎn)? 是針對單一主機(jī)系統(tǒng)的掃描，它在目標(biāo)系統(tǒng)上運(yùn)行，可以搜集到比較全面的系統(tǒng)信息，對系統(tǒng)安全性作比較深入地分析 Scanner? 主機(jī)弱點(diǎn)掃描–主機(jī)弱點(diǎn)掃描功能與特點(diǎn)–ISSscanning） ? 特點(diǎn)：– 掃描模塊與管理控制模塊分開，管理方便– 采用 XML方式定義掃描任務(wù)，策略配置靈活多樣 – 支持對各種網(wǎng)絡(luò)設(shè)備、平臺、應(yīng)用的評估 – 界面友好，報(bào)告齊全 ScannerISS(1)? 針對網(wǎng)絡(luò)上主機(jī)網(wǎng)絡(luò)連接相關(guān)信息，分析主機(jī)系統(tǒng)平臺，提供的服務(wù)，并分析是否存弱點(diǎn) ? 其可以診斷出的弱點(diǎn)包括：– 對 PC、 服務(wù)器、 Web服務(wù)器、防火墻、路由器等網(wǎng)絡(luò)設(shè)備的錯(cuò)誤配置– 設(shè)備所啟動的服務(wù)– 弱的或者無密碼防護(hù)– 沒有打補(bǔ)丁或者過時(shí)的系統(tǒng)平臺。Inter(2)? 具有良好的可擴(kuò)展性? 最核心部分對操作系統(tǒng)類型、網(wǎng)絡(luò)服務(wù)名稱、漏洞信息和其他細(xì)節(jié)信息依賴性很小 ? 提供了較為靈活的方式供用戶添加自己的探測模塊 ,用戶可以自己編寫一個(gè)可執(zhí)行文件，以 .satan結(jié)尾 NESSUS? 并具有簡單的推理功能 NetworksforAnalysisSATANInter? Nessus? 簡單漏洞識別與分析 ? 全面漏洞識別與分析 簡單漏洞識別與分析? 許多工具能實(shí)現(xiàn)相對有限的安全檢測。? 特定應(yīng)用弱點(diǎn)掃描