【正文】 網(wǎng)絡(luò)癱瘓 –發(fā)送少量蓄意構(gòu)造的數(shù)據(jù)包，使系統(tǒng)死機(jī)或重新啟動。如表現(xiàn)在試圖讓一個(gè)系統(tǒng)工作超負(fù)荷。 系統(tǒng)默認(rèn)設(shè)置 ? 幾乎所有的網(wǎng)絡(luò)后臺運(yùn)行程序在默認(rèn)設(shè)置的情況下都泄漏很多的信息。 – 后門是一個(gè)允許攻擊者 繞過系統(tǒng)中常規(guī)安全控制機(jī)制 的程序，他按照攻擊者自己的意圖提供通道。 擴(kuò)展實(shí)驗(yàn) 51 使用字典破解工具進(jìn)行 Windows口令破解 ? L0PHTCracker ? SamInside ? NAT 系統(tǒng)漏洞和后門 ? 系統(tǒng)漏洞 是程序中 無意造成的缺陷，它形成了一個(gè)不被注意的通道。容易破譯用戶使用標(biāo)準(zhǔn)的單詞設(shè)置的口令。暴力攻擊程序通過簡單地猜測用戶名和反復(fù)訪問服務(wù)器來破解一臺服務(wù)器或數(shù)據(jù)文件。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。 攻擊行為的動機(jī) ? 黑客攻擊的動機(jī)各不相同，有的為了達(dá)到目的，有的是為了獲取金錢，有的是為了個(gè)人興趣，有的是因?yàn)闊o知和好奇。對這些人的正確英文叫法是 Cracker，有人翻譯成“駭客”。 ? 黑客一詞，源于英文 Hacker，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。 他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段。 – 信息通過 HASH加密，或者一次性加密（ MD5/SHA）進(jìn)行完整性確認(rèn)。 – 隨后客戶端隨機(jī)生成一個(gè)對稱密鑰。 Secure HTTP只能夠加密 HTTP流量，而 SSL可加密所有的數(shù)據(jù)包 。 Netscape公司發(fā)明的并在 1995年成為一項(xiàng)標(biāo)準(zhǔn)， 1996年，是當(dāng)前的標(biāo)準(zhǔn)并且所有瀏覽器都支持它。 安全套接字層 (SSL) ? SSL允許 兩個(gè)應(yīng)用程序通過使用數(shù)字證書認(rèn)證后在網(wǎng)絡(luò)中進(jìn)行通信 ，它還使用 加密及信息摘要 來保證數(shù)據(jù)的可靠性。 ? 網(wǎng)站是否使用了 SSL技術(shù)最直觀的方法有兩種：一，網(wǎng)址必須以“ Https”開頭（ 443端口）；二，在 IE瀏覽器的狀態(tài)欄上必須出現(xiàn)一把黃色的小鎖。 ? 兩種方式 都使用 對稱加密、非對稱加密和單向加密，并使用單向加密的方式對所有的數(shù)據(jù)包簽名。 ? 安全性： Ipsec更安全， PPTP采用 RC4的算法，支持40或 128位的加密算法， IPsec采用 168位的三重 DES算法。 ? 第二層隧道協(xié)議： ： 主要由微軟公司在 PPP的基礎(chǔ)上開發(fā)的一種協(xié)議，沒有對 PPP進(jìn)行修改，將標(biāo)準(zhǔn) PPP加上封裝，支持 ClientLAN的 VPN連接，需要先建立PPP的連接。 Decryption） ? 密鑰管理技術(shù)（ Key Management ） IKE,SKIP ? 身份認(rèn)證技術(shù)（ Authentication ） CHAP,MSCHAP 隧道技術(shù)（ Tunneling） ? 隧道技術(shù)是一種類似于點(diǎn)到點(diǎn)的技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)通過此通道傳輸。 ? 基本思想就是建立秘密通信通道，用加密的方法來實(shí)現(xiàn)。 ? 企業(yè)在構(gòu)架 VPN時(shí)都會利用防火墻和訪問控制技術(shù)來提高 VPN的安全性，但這還不夠。 – 通過 PKI可以建設(shè)一個(gè) 普適性好、安全性高 的統(tǒng)一平臺 。 ? PKI技術(shù)的意義 : – 通過 PKI可以構(gòu)建一個(gè) 可管、可控、安全 的互聯(lián)網(wǎng)絡(luò)。簡單地說， PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 ? PGP和 GPG也采用了對稱加密技術(shù)，在生成公鑰和私鑰的時(shí)候會要求輸入一個(gè)簡單好記的密鑰，這個(gè)密鑰用于保護(hù)剛才生成的密鑰對。 )，兩者是最成功的采用 對稱加密和 非對稱 加密技術(shù)以及 HASH加密的優(yōu)點(diǎn)的加密程序。 – 安全 HASH算法 (SHA) :由 NIST和 NSA開發(fā)并應(yīng)用于美國政府， 160位 hash值，結(jié)構(gòu)與 MD5類似，速度比 MD5慢25%，比 MD5更安全，產(chǎn)生的 Hash值比 MD5長 25%。 ? 采用的是“ 大素?cái)?shù)不能分解 ”的原理。 HASH加密 ? HASH加密是把一些 不同長度的信息 轉(zhuǎn)化成雜亂的128位 編碼，叫做 hash值。 特點(diǎn)：算法精密，保密性好，密鑰便于管理，加 密速度慢。 ? HNC： 用于一系列的私有加密或非正式加密的應(yīng)用，它由 HNC（ ）公司所開發(fā)，主要用于創(chuàng)建分發(fā)軟件包的訪問代碼。 ? Gost: 最初是由蘇聯(lián)用于研究用途，也是一種塊密文的加密方式，密鑰長度為 256位，每塊的長度為 4位。 其它的對稱加密算法 ? Misty1和 Misty2:是由日本三菱電子開發(fā)的一種算法，采用一種 128位的塊密鑰加密，每塊 64位。Two fish支持 28位， 192，和 256位的 密鑰，是一種可用于 智能卡 上的加密算法。 Lotus Notes， Oracle SQL都使用 RC4的算法。 ? RC4 :RC4是 — 種 流式的密文 而不是塊式密文件， 加密是動態(tài)的 ，不像 RC2有個(gè)固定的塊大小，就是實(shí)時(shí)的把信息加密成一個(gè)整體。 RSA安全公司的對稱算法 ? RC2和 RC5 :RC2是一種 block（塊）模式的密文，就是把信息加密成 64位的數(shù)據(jù)塊。它基于 DES， 使用 3個(gè)獨(dú)立的 56bit密鑰對 交換 的信息進(jìn)行 3次加密，使其有效長度達(dá)到 168bit。 ? DES 主要用于 POS、 ATM、 IC卡、加油站、高速公路收費(fèi)站，金融交易數(shù)據(jù)包的 MAC效驗(yàn)。使用相同的密鑰（ 56位 ）來加密和解密，這種標(biāo)準(zhǔn)使用一種叫做“ diffusion and confusion” 的技術(shù)。 ? 對付暴力破解就需對稱加密的長度設(shè)置的更長，更復(fù)雜，或者采用一次性口令。 ? 破解主要有 字典 破解和 暴力 破解。 特點(diǎn)：快速并易于實(shí)施，適合大量信息的加密， 管理不便 ，容易被破解。強(qiáng)加密是應(yīng)用加密最基本的要求。 加密相關(guān)術(shù)語 ? Parallelization是指使用多進(jìn)程、多處理器或多臺機(jī)器來破解一種加密算法。大多數(shù)的對稱加密算法都使用很多次的輪數(shù)進(jìn)行加密。 加密相關(guān)術(shù)語 ? 加密術(shù)語 Round是在加密過程中一個(gè)離散過程。 公鑰的發(fā)布 ? 公鑰的發(fā)布方法有兩種： – 手動發(fā)布 : 這種方法通常用在郵件信息的加 密里面。 創(chuàng)建信任關(guān)系 ? 應(yīng)用加密意味著在 兩個(gè)主機(jī)之間建立信任關(guān)系 ，主機(jī)利用密鑰加密信息，從而保證只有相對應(yīng)的某個(gè)遠(yuǎn)程主機(jī)才能解密信息， 加密過程一般用公共密鑰完成。 ? 身份驗(yàn)證 ：通過驗(yàn)證用戶的加密要素，從而識別用戶的身份。 – 跟蹤非法活動找到源位置。反 應(yīng)包括： – 結(jié)束會話。它不是一種實(shí)時(shí)的監(jiān)測機(jī)制。 } // /SCRIPT /HEAD BODY Are you frustrated yet? /BODY /HTML 實(shí)驗(yàn) 34 ? 為 Windows 2022 MMC管理單元配置通用的執(zhí)行控制列表。i=0。 – 瀏覽器可以保證限制 Java和 JavaScript應(yīng)用程序 。 – Linux系統(tǒng)的可插入身份驗(yàn)證模塊（ PAM）。 執(zhí)行控制列表（ ECL） ? 執(zhí)行控制列表（ ECL）列出了應(yīng)用程序運(yùn)行時(shí)可以操作資源的行為，應(yīng)用程序和操作系統(tǒng)都使用 ECL。 訪問控制列表（ ACL） ? ACL決定用戶是否可以訪問特殊的對象，如果用戶具有訪問一個(gè)對象的權(quán)力，則 ACL明確定義了用戶可以對此對象做哪些事情。 ? 一次性口令（ OTP） 訪問控制 ? 一個(gè)系統(tǒng)要保證個(gè)人、系統(tǒng)或進(jìn)程只訪問它們所需要的資源，就會涉及訪問控制。 ? 身份驗(yàn)證方法包括 : – 證實(shí)你所知道的 (What you know?) – 出示你所擁用的 (What you have?) – 證明你是誰 (Who are you?) – 識別你在哪兒 (Where are you?) 智能卡 ? 智能卡 都有微芯片 ,芯片中可以包含所有者的個(gè)人信息、駕照信息及醫(yī)療信息等 ,這些信息可用于證明持卡人的身份。 ? 美國政府把使用 超過 40位的密鑰 的加密歸為 強(qiáng)加密。 – 密鑰的保密性能 :數(shù)據(jù)的保密程度與密鑰的隱秘性是聯(lián)系在一起的。金融 系統(tǒng)尤其依賴于這種加密方式，用于電子貨幣 交易。 認(rèn)證 數(shù)字簽名提供認(rèn)證服務(wù)，以確保數(shù)據(jù)來源安全 可靠。 數(shù)據(jù)完整性 僅實(shí)現(xiàn)數(shù)據(jù)保密是不夠安全的，數(shù)據(jù)仍然能夠 被非法破解并修改。所有的加密技術(shù)都要使用算法，它是一種復(fù)雜的數(shù)學(xué)規(guī)則，被設(shè)計(jì)用來攪亂信息。 ? 最好 定期采用排除法 來決定，但要隨資源的不同而不同。 ? 可接受行為和不可接受行為的定義不是絕對的。 ? 級別 III的資源占到 75%的比例。 日常活動 合理地為系統(tǒng)分類 ? 不要把太多的資源劃分到級別 I，級別 I僅僅是那些一旦出現(xiàn)問題會對系統(tǒng)造成巨大損失的資源 ,通常占到系統(tǒng)比例的 5%。 – 級別 II 此類系統(tǒng)是需要的，但對于日常動作不 是至關(guān)重要的。通常應(yīng)包括以下內(nèi)容 : – 確定要保護(hù)的資源 – 規(guī)范員工的行為 – 安全措施的量化 建立安全策略的步驟 ? 劃分系統(tǒng)級別 ? 確定風(fēng)險(xiǎn)和劃分資源優(yōu)先級 ? 指定風(fēng)險(xiǎn)要素 ? 定義可接受行為和不可接受行為 ? 根據(jù)員工在公司中的角色進(jìn)行教育 ? 確定誰將執(zhí)行安全策略 劃分系統(tǒng)級別 ? 一般系統(tǒng)資源可分為三類 : – 級別 I 關(guān)鍵的： 此類系統(tǒng)是商業(yè)動作的中心。 2022 VCampus Corporation All Rights Reserved. 第三單元 網(wǎng)絡(luò)安全的要素 學(xué)習(xí)目標(biāo) ? 闡述一個(gè)有效的安全策略所包含的基本元素 ? 根據(jù)需求合理選擇安全設(shè)備和軟件 ? 掌握用戶身份驗(yàn)證的主要方法 ? 理解訪問控制方法 ? 解釋并實(shí)施訪問控制列表 ? 列舉出三種在互聯(lián)網(wǎng)上主要的加密方法 ? 理解審核需求 安全的基本元素 每一個(gè)元素都與其他元素共同作用以確保一個(gè)機(jī)構(gòu)能夠盡可能安全有效的通信。 ISSA的目標(biāo)是促進(jìn)安全管理措施，以確保信息的機(jī)密性、完整性以及安全傳播。 ? SANS提供各類資源，如每周風(fēng)險(xiǎn)類別及危害等級，每周新聞?wù)?，互?lián)網(wǎng)預(yù)警系統(tǒng)以及網(wǎng)絡(luò)風(fēng)暴中心等 。 安全組織 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組（ CERT） – 計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急小組（ CSIRT或 CERT）是專門從事計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)安全技術(shù)研究，并接收、檢查、處理相關(guān)安全事件的服務(wù)性組織的通稱，是 國際上公認(rèn)的最專業(yè)的 網(wǎng)絡(luò)安全保障機(jī)構(gòu)。 聯(lián)邦信息安全管理法案 ? 聯(lián)邦信息安全管理法案 (FISMA)取代了政府信息安全改革法案 (GISRA)，并且包含 更強(qiáng)的永久性條款 ，其中包括對信息安全最低強(qiáng)制標(biāo)準(zhǔn)的要求。必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型 。 ? B3級：劃分安全域，提供隱蔽和分層。 ? B1級：系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 桔皮書 ? MSDOS屬于 D級 ? C1級：系統(tǒng)不區(qū)分用戶群，不足之處是用戶直接訪問操作系統(tǒng)的根用戶。 ? 它的范圍從級別 A到級別 D，其中 A是最高級別。 ? 可信任計(jì)算機(jī)標(biāo)準(zhǔn)評估準(zhǔn)則（桔皮書）是根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn) 。這些標(biāo)準(zhǔn)發(fā)表在一系列的書上通常叫做“ 彩虹系列 ”，因?yàn)槊勘緯姆饷娴念伾际遣煌?。產(chǎn)品還必須按照 CC的要求，由一個(gè)公認(rèn)的第三方進(jìn)行分析和測試。包括特定產(chǎn)品的信息，解釋了特殊產(chǎn)品或系統(tǒng) 如何滿足 PP的需求 。 PP文檔用于廠商之間 進(jìn)行需求交流 。 – 可靠的技術(shù)作為評估產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)。 CC的兩個(gè)基本功能 ? CC的組成 – 信息技術(shù)產(chǎn)品的 安全功能需求 定義，面向用戶； – 安全保證需求 定義，面向廠商。每一級均需評估 7個(gè)功能類 ，分別是 配置管理 、 分發(fā)和操作 、 開發(fā)過程 、指導(dǎo)文獻(xiàn) 、 生命期的技術(shù)支持、測試和脆弱性評估。 CC目前是ISO國際標(biāo)準(zhǔn)（ IS） 15408，它是 ISO的 。 ? 新標(biāo)準(zhǔn)的正式標(biāo)題是 :《 BS 77992:2022 (ISO/IEC 27001:2022)信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 》 ? 標(biāo)準(zhǔn)的主要改變在于它現(xiàn)在是 國際公認(rèn) 的，它是組織能夠?qū)π畔踩芾硐到y(tǒng)進(jìn)行客觀對了評估的 唯一國際標(biāo)準(zhǔn) 。 ISO 27001 ? BS 77992:2022，經(jīng)修訂后，于 2022年 10月 15日作為國際標(biāo)準(zhǔn) ISO/IEC 27001:2022發(fā)布。 ISO 17799標(biāo)準(zhǔn)的內(nèi)容 ? 信息安全方針 ? 組織安全 ? 資產(chǎn)的分類與控制 ? 人員安全 ? 物理與環(huán)境安全 ? 通信和運(yùn)作方式管理 ? 訪問控制 ? 系統(tǒng)開發(fā)與維護(hù) ? 信息安全事件管理 ? 業(yè)務(wù)持續(xù)性管理 ? 符合法律 ISO 17799標(biāo)準(zhǔn)的作用 ? ISO 17799可以作為認(rèn)證嗎？ – ISO/IEC 17799不是技術(shù)性的信息安全