【正文】 壇 – 亞太地區(qū)計(jì)算機(jī)應(yīng)急響應(yīng)組 – 歐洲計(jì)算機(jī)網(wǎng)絡(luò)研究教育協(xié)會(huì) 其它有用的網(wǎng)絡(luò)安全援助機(jī)構(gòu) ? 網(wǎng)絡(luò) 110 – SANS ? SANS(系統(tǒng)管理、審核、網(wǎng)絡(luò)、安全 )是信息安全 培訓(xùn)和認(rèn)證 最可靠的來源和最大的機(jī)構(gòu)，它也在不斷發(fā)展壯大，并且是最大的免費(fèi)提供信息安全各方面研究文獻(xiàn)資料的組織，它具有互聯(lián)網(wǎng)業(yè)務(wù)的預(yù)警系統(tǒng)以及互聯(lián)網(wǎng)威脅監(jiān)測中心。 ISSA ? 信息系統(tǒng)安全協(xié)會(huì) (ISSA)是一個(gè)由信息安全專家以及相關(guān)從業(yè)人員組成的一個(gè) 非營利性質(zhì) 的國際組織。它也創(chuàng)建了良好的教育環(huán)境，為全球信息系統(tǒng)安全培養(yǎng)專業(yè)人員。 安全策略 ? 安全策略必須為整個(gè)組織機(jī)構(gòu)提供指導(dǎo)方針，它是建立安全系統(tǒng)的第一道防線。 如員工數(shù)據(jù)庫、用戶帳戶數(shù)據(jù)庫和電子 郵件服務(wù)器 。 重要的 – 級別 III 只要不對級別 I和級別 II中的系統(tǒng)產(chǎn)生影 響，本地桌面計(jì)算機(jī)就應(yīng)該屬于該級 別。 ? 級別 II的資源通常占到系統(tǒng)比例的 20%。 策略和技術(shù)之間的關(guān)系 人驅(qū)動(dòng)策略 策略指導(dǎo)技術(shù) 技術(shù)服務(wù)于人 定義可接受行為和不可接受行為 ? 管理員必須區(qū)分可接受行為和不可接受行為，并根據(jù)每個(gè)資源來定義這種行為。最好的解決方案是定期定義和列舉出不可接受行為。 員工教育 級別 需要掌握的知識 用戶 能有安全威脅和漏洞的敏感性 能產(chǎn)生需要識別的保護(hù)組織的信息和資源 執(zhí)行人員 提供決定信息安全計(jì)劃策略時(shí)所需的組織安全知 識的級別 管理人員 培養(yǎng)識別和確定威脅與漏洞的能力，為系統(tǒng)和資 源設(shè)置安全需要 加密技術(shù) ? 加密技術(shù)是使某些內(nèi)容只有目標(biāo)接收人才能讀懂其含義的一種方法。 ? 加密技術(shù)分類 – 對稱加密 – 非對稱加密 – HASH加密 加密技術(shù)的應(yīng)用 服務(wù) 描述 數(shù)據(jù)保密性 這是加密技術(shù)的常用用途，通過使用算法，可 以確保只有目標(biāo)接受者才能查看數(shù)據(jù)。使用 HASH算法能確定數(shù)據(jù) 是否被修改過。 不可否定性 數(shù)字簽名用于證明一項(xiàng)事務(wù)確實(shí)發(fā)生過。 加密技術(shù)的強(qiáng)度 ? 加密技術(shù)的強(qiáng)度基于三個(gè)主要因素： – 算法強(qiáng)度 :我們應(yīng)該運(yùn)用工業(yè)標(biāo)準(zhǔn)算法，任何新算法在沒有經(jīng)過商業(yè)驗(yàn)證之前是不能被信任的。 – 密鑰的長度 :密鑰的長度增加一位將使可能的密鑰組合的數(shù)量增加一倍。 身份驗(yàn)證 ? 身份驗(yàn)證是驗(yàn)證用戶、系統(tǒng)或系統(tǒng)組件身份的一種能力。 ? 智能卡的用途 – 進(jìn)入大樓 – 使用移動(dòng)電話 – 登陸特定主機(jī) – 加入網(wǎng)絡(luò) – 執(zhí)行銀行和電子商務(wù)交易 特殊的身份驗(yàn)證技術(shù) ? Kerberos系統(tǒng) – 美國麻省理工大學(xué)，為分布式計(jì)算機(jī)環(huán)境提供的一種對用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法，增強(qiáng)了客戶機(jī)對服務(wù)器的認(rèn)證，防止來自于服務(wù)器的欺騙。 ? 實(shí)現(xiàn)這種控制的 兩種 普遍方法是： 訪問控制 列表（ ACL）和 執(zhí)行控制 列表（ ECL）。 實(shí)驗(yàn) 31 ? 查看并修改 Windows 2022文件夾的 NTFS權(quán)限 ? 查看并修改 Windows 2022文件夾的共享權(quán)限 實(shí)驗(yàn) 32 ? 對 Red Hat Linux系統(tǒng)的 Apache Web服務(wù)器的目錄執(zhí)行訪問控制。 ? ECL的例子有 : – Windows 2022本地和域安全策略設(shè)置。通過編輯 /etc/ /etc/security/cons，可以控制應(yīng)用程序的執(zhí)行。 實(shí)驗(yàn) 33 ? 使用 Netscape Navigator來設(shè)置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0。i++) { alert(Stop me if you can!)。 實(shí)驗(yàn) 35 ? 在 Linux下，為 su命令建立執(zhí)行控制列表 審核 ? 被動(dòng)審核 : 是指計(jì)算機(jī)簡單地 記錄 活動(dòng)，但不做任 何事情。 ? 主動(dòng)審核 : 主要是對非法訪問和侵入做出反應(yīng)。 – 拒絕一些主機(jī)的訪問（包括 WEB站點(diǎn)， FTP服務(wù)器和 Email服務(wù)器。 安全的權(quán)衡考慮和缺點(diǎn) ? 可能帶來的缺點(diǎn)包括 : – 增加了復(fù)雜性 – 降低了系統(tǒng)響應(yīng)速度 2022 VCampus Corporation All Rights Reserved. 第四單元 應(yīng)用加密 學(xué)習(xí)目標(biāo) ? 使用 加密的意義和作用 ? 使用公共密鑰創(chuàng)建信任關(guān)系 ? 了解對稱加密、非對稱加密和 hash加密 ? 了解與加密相關(guān)的術(shù)語 ? 在 Windows 2022和 Linux系統(tǒng)中應(yīng)用和部署公共密鑰加密 ? 企業(yè)中 PKI技術(shù)的應(yīng)用 ? 數(shù)字簽名的作用 加密的主要功能 ? 數(shù)據(jù)的保密性 ：加密能防止數(shù)據(jù)不被未授權(quán)的用戶知道。 ? 保證數(shù)據(jù)的完整性 ：加密能保證和檢查數(shù)據(jù)有沒有被更改。 ? 也就是說我們可以創(chuàng)建兩個(gè)密鑰，一個(gè)是私鑰，一個(gè)是公鑰。 – 自動(dòng)發(fā)布 ： 主要使用到的是公共密鑰結(jié)構(gòu)體 系，如 Windows 2022的域里面 就是采用了自動(dòng)發(fā)布公鑰。通常一種算法要經(jīng)過很多“輪”的運(yùn)算。 – 具體過程如下：首先對未加密數(shù)據(jù)的一半進(jìn)行運(yùn)算，再對另一半進(jìn)行處理，然后每一半加密后的數(shù)據(jù)在重新運(yùn)算以得到更復(fù)雜的結(jié)果，這個(gè)過程，稱為一個(gè) Round。 ? Strong Encryption強(qiáng)加密是使用一些超過 128位長度的密鑰來實(shí)施的。 對稱密鑰加密 ? 對稱密鑰加密也稱為單密鑰加密 ? 加密和解密使用同一個(gè)密鑰。 加密面臨的問題 ? 加密面臨的問題主要是破 解 。 ? 對付字典破解就是改變密鑰的規(guī)律性，然而定期改變密鑰是很困難的。 對稱加密算法 ? 對稱加密算法有 : – DES (Data Encryption Standard) 數(shù)據(jù)加密標(biāo)準(zhǔn) – Triple DES 三重 DES – RSA算法 ? RC2 and RC4 ? RC5 ? RC6 – Blowfish (up to 448bit) and Two fish（ up to 256） – Skipjack 美國國家安全局設(shè)計(jì)的加密程序 – MARS 由 IBM設(shè)計(jì)，速度比 DES要快 數(shù)據(jù)加密標(biāo)準(zhǔn) DES ? DES是一種 block（塊）密文的加密算法，是把數(shù)據(jù)加密成 64位長度 的 block（塊）。 每 64位的數(shù)據(jù)被分成兩半 ，并利用密鑰對每一半進(jìn)行運(yùn)算(稱做 — 次 round或是輪 )， DES運(yùn)行 16個(gè) rounds，并且對于每個(gè) round運(yùn)算所使用密鑰的位數(shù)是不同的。 TripleDES (三重 DES ) ? 3DES是系統(tǒng)加密算法，其符合 OpenPGP標(biāo)準(zhǔn)。 ? 主要 防止中間人 攻擊。 RC5使用 128位密鑰的算法并有 12到 16個(gè) rounds。 密鑰的長度也是可變的 ，在美國一般密鑰長度是 128位，向外出口時(shí)限制到 40位，因?yàn)槭艿矫绹隹诜ǖ南拗啤? Two fish和 MARS ? Two fish這種算法使用 128位的 block并且速度很快。 ? MARS是由 IBM提出的 — 種算法，并且速度要 比 DES還要快 ，和 Two fish一樣，它主要也是 面向工作在智能卡上而設(shè)計(jì)的。Misty2經(jīng)過改進(jìn)比 Misty更快。 ? Cast 256:一種采用 64位為一塊，而密鑰長度為 256的塊密文加密方式。 實(shí)驗(yàn) 41 ? 使用 Apocalypso程序加密和解密文件 非對稱加密 ? 也稱為公鑰加密，成對使用，公鑰對外公開，私鑰需要安全保護(hù)。 非對稱密鑰加密元素 ? 非對稱密鑰加密元素包括 : – RSA美國國家技術(shù)標(biāo)準(zhǔn)局的標(biāo)準(zhǔn)，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman屬于一種安全交換密鑰的協(xié)議，可以看作是密鑰交換協(xié)議，開放式標(biāo)準(zhǔn)，但是很容易受中間人攻擊。 解密是不可能的，也叫一次性加密， 廣泛用于身份識別，安全加密，數(shù)字簽名等。 HASH算法 ? HASH算法包括 : – MD2, MD4 and MD5 :使用不同長度的數(shù)據(jù)流，產(chǎn)生一個(gè)唯一的指紋，用于對 Email,證書，保證內(nèi)容完整性的相關(guān)應(yīng)用。 擴(kuò)展實(shí)驗(yàn) 41 ? 在 LINUX中用 MD5驗(yàn)證 HASH算法 應(yīng)用加密的過程 應(yīng)用加密的過程 PGP和 GPG ? 針對電子郵件和文本文件最流行的高技術(shù)加密程序就是 PGP (Pretty Good Privacy)和 GPG(GNU Privacy Guard ,它是加密工具 PGP（ Pretty Good Privacy ）的非商業(yè)化版本，用于對 Email、文件及其他數(shù)據(jù)的收發(fā)進(jìn)行加密與驗(yàn)證，確保通信 數(shù)據(jù)的可靠性和真實(shí)性。 ? 安裝了 PGP或 GPG以后，需要生成一對密鑰對，這一對密鑰是非對稱的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 實(shí)驗(yàn) 42至 46 ? 學(xué)習(xí)使用 PGP發(fā)送加密電子郵件 – 安裝 – 生成密鑰對 – 對公共密鑰導(dǎo)出、交換、簽名 – 交換加密信息 – 使用 PGP對文件進(jìn)行加密 公共密鑰體系結(jié)構(gòu) PKI ? PKI是“ Public Key Infrastructure” 的縮寫，意為“ 公鑰基礎(chǔ)設(shè)施 ”。 ? PKI體制在密鑰管理上比對稱密鑰密碼更安全。 – 通過 PKI可以在互聯(lián)網(wǎng)中構(gòu)建一個(gè) 完整的授權(quán) 服務(wù)體系。 PKI的標(biāo)準(zhǔn) ? （ 1988） ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡述 ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標(biāo)準(zhǔn) ? OCSP在線證書狀態(tài)協(xié)議 ? LDAP 輕量級目錄訪問協(xié)議 虛擬專用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專用網(wǎng)絡(luò)，但可以實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過 VPN設(shè)備或軟件技術(shù)在任意兩個(gè)節(jié)點(diǎn)之間形成一個(gè)虛擬的點(diǎn)到點(diǎn)專線技術(shù)。就技術(shù)而言，除了基于防火墻的 VPN之外，還包括基于黒盒的 VPN、基于路由器的 VPN、基于遠(yuǎn)程訪問的 VPN或者基于軟件的 VPN。 ? 特點(diǎn)： – 安全保障 – 服務(wù)質(zhì)量保證 – 可擴(kuò)充性和靈活性 – 可管理性 VPN安全技術(shù) ? 隧道技術(shù)（ Tunneling） PPTP， L2TP,L2F ? 加解密技術(shù)（ Encryption amp。 隧道由隧道協(xié)議組成 。 2. L2F是由思科公司開發(fā)的一種提供虛擬拔號的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結(jié)合兩者的優(yōu)點(diǎn) VPN與 IPsec ? Ipsec處于各個(gè)協(xié)議層的中間位置，既能 捕獲高層的報(bào)文，也能 捕獲低層 的報(bào)文，附加的安全措施與低層無關(guān)對高層透明。 數(shù)字簽名 ? 數(shù)字簽名的功能 ： – 接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名 – 發(fā)送者事后不能抵賴對報(bào)文的簽名 – 任何人不能偽造對報(bào)文的簽名 – 保證數(shù)據(jù)的完整性，防止截獲者在文件中加入其他信息 – 對數(shù)據(jù)和信息的來源進(jìn)行保證，以保證發(fā)件人的身份 – 數(shù)字簽名有一定的處理速度，能夠滿足所有的應(yīng)用需求 Web安全 ? 對于 加密 web服務(wù)器 有兩種可接收的模式，一種是安全超文本傳輸協(xié)議 （ Secure HTTP），一種是安全套接字層 （ SSL） 。 安全套接字層 (SSL) ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此 防止了竊聽、破壞和信息偽造 。 ? 如 中的網(wǎng)上個(gè)人銀行。 ? SSL是工作在 傳輸層協(xié)議 上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時(shí)不需要特殊的代碼。 ? SSL加密的過程是發(fā)生在網(wǎng)絡(luò)的較低層 ，可以加密更多的內(nèi)容。 安全套接字層 (SSL) ? SSL加密過程的具備步驟 ： – 客戶端和服務(wù)器端協(xié)商建立加密通道的特定算法。 – 通過驗(yàn)證后，所有的數(shù)據(jù)通過密鑰進(jìn)行加密，使用 DEC和 RC4加密進(jìn)行加密。 ? SSL數(shù)據(jù)結(jié)構(gòu) 包括以下部分： – 客戶端和服務(wù)器端握手協(xié)議 – 認(rèn)證和密鑰交換程序 – 信息和常數(shù) 2022 VCampus Corporation All Rights Reserved. 第五單元 基本攻擊 學(xué)習(xí)目標(biāo) ? 描述典型的安全攻擊類型 ? 識別常見的攻擊事件 什么是黑客？ ? 他們電腦技術(shù)高超，善于利用創(chuàng)新的方法剖析系統(tǒng)。 ? 黑客起源于 50年代麻省理工學(xué)院的實(shí)驗(yàn)室中，他們精力充沛，熱衷于解決難題。 ? 今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。 ? 黑客和駭客根本的區(qū)別是：黑