【正文】 統(tǒng)比例的 20%。 策略和技術之間的關系 人驅動策略 策略指導技術 技術服務于人 定義可接受行為和不可接受行為 ? 管理員必須區(qū)分可接受行為和不可接受行為，并根據(jù)每個資源來定義這種行為。最好的解決方案是定期定義和列舉出不可接受行為。所有的加密技術都要使用算法，它是一種復雜的數(shù)學規(guī)則，被設計用來攪亂信息。 數(shù)據(jù)完整性 僅實現(xiàn)數(shù)據(jù)保密是不夠安全的，數(shù)據(jù)仍然能夠 被非法破解并修改。 認證 數(shù)字簽名提供認證服務，以確保數(shù)據(jù)來源安全 可靠。金融 系統(tǒng)尤其依賴于這種加密方式，用于電子貨幣 交易。 – 密鑰的保密性能 :數(shù)據(jù)的保密程度與密鑰的隱秘性是聯(lián)系在一起的。 身份驗證 ? 身份驗證是驗證用戶、系統(tǒng)或系統(tǒng)組件身份的一種能力。 特殊的身份驗證技術 ? Kerberos系統(tǒng) – 美國麻省理工大學，為分布式計算機環(huán)境提供的一種對用戶雙方進行驗證的認證方法，增強了客戶機對服務器的認證，防止來自于服務器的欺騙。 ? 實現(xiàn)這種控制的兩種普遍方法是：訪問控制列表（ ACL）和執(zhí)行控制列表（ ECL）。 實驗 31 ? 查看并修改 Windows 2022文件夾的 NTFS權限 ? 查看并修改 Windows 2022文件夾的共享權限 實驗 32 ? 對 Red Hat Linux系統(tǒng)的 Apache Web服務器的目錄執(zhí)行訪問控制。 ? ECL的例子有 : – Windows 2022本地和域安全策略設置。通過編輯 /etc/ /etc/security/cons，可以控制應用程序的執(zhí)行。 實驗 33 ? 使用 Netscape Navigator來設置執(zhí)行控制列表以防范惡意代碼 . ? 惡意代碼如下 : HTML HEAD TITLEBrowser Locker/TITLE SCRIPT ! for (i=0。i++) { alert(Stop me if you can!)。 實驗 35 ? 在 Linux下，為 su命令建立執(zhí)行控制列表 審核 ? 被動審核 : 是指計算機簡單地記錄活動，但不做任 何事情。 ? 主動審核 : 主要是對非法訪問和侵入做出反應。 – 拒絕一些主機的訪問（包括 WEB站點， FTP服務器和 Email服務器。 安全的權衡考慮和缺點 ? 可能帶來的缺點包括 : – 增加了復雜性 – 降低了系統(tǒng)響應速度 2022 VCampus Corporation All Rights Reserved. 第四單元 應用加密 學習目標 ? 使用 加密的意義和作用 ? 使用公共密鑰創(chuàng)建信任關系 ? 了解對稱加密、非對稱加密和 hash加密 ? 了解與加密相關的術語 ? 在 Windows 2022和 Linux系統(tǒng)中應用和部署公共密鑰加密 ? 企業(yè)中 PKI技術的應用 ? 數(shù)字簽名的作用 加密的主要功能 ? 數(shù)據(jù)的保密性：加密能防止數(shù)據(jù)不被未授權的用戶知道。 ? 保證數(shù)據(jù)的完整性：加密能保證和檢查數(shù)據(jù)有沒有被更改。 ? 公鑰的發(fā)布方法有兩種： – 手動發(fā)布 : 這種方法通常用在郵件信息的加 密里面。 Round ? 加密術語 Round是在加密過程中一個離散過程。大多數(shù)的對稱加密算法都使用很多次的輪數(shù)進行加密。 Strong Encryption ? 強加密是使用一些超過 128位長度的密鑰來實施的。 對稱加密算法 ? 對稱加密算法有 : – DES (Data Encryption Standard) 數(shù)據(jù)加密標準 – Triple DES 三重 DES – RSA算法 ? RC2 and RC4 ? RC5 ? RC6 – Blowfish (up to 448bit) and Two fish（ up to 256） – Skipjack 美國國家安全局設計的加密程序 – MARS 由 IBM設計，速度比 DES要快 數(shù)據(jù)加密標準 DES ? DES是一種 block（塊）密文的加密算法，是把數(shù)據(jù)加密成 64位長度的 block（塊）。每 64位的數(shù)據(jù)被分成兩半，并利用密鑰對每一半進行運算(稱做 — 次 round或是輪 )， DES運行 16個 rounds，并且對于每個 round運算所使用密鑰的位數(shù)是不同的。 RSA安全公司的對稱算法 ? RC2和 RC5 :RC2是一種 block（塊）模式的密文，就是把信息加密成 64位的數(shù)據(jù)塊。 ? RC4 :RC4是 — 種流式的密文而不是塊式密文件，加密是動態(tài)的，不像 RC2有個固定的塊大小，就是實時的把信息加密成一個整體。 Lotus Notes， Oracle SQL都使用 RC4的算法。Two fish支持 28位， 192，和 256位的密鑰，是一種可用于智能卡上的加密算法。 其它的對稱加密算法 ? Misty1和 Misty2:是由日本三菱電子開發(fā)的一種算法，采用一種 128位的塊密鑰加密，每塊 64位。 ? Gost: 最初是由蘇聯(lián)用于研究用途，也是一種塊密文的加密方式，密鑰長度為 256位，每塊的長度為 4位。 ? HNC： 用于一系列的私有加密或非正式加密的應用，它由 HNC（ ）公司所開發(fā)，主要用于創(chuàng)建分發(fā)軟件包的訪問代碼。 特點：算法精密，保密性好，密鑰便于管理，加 密速度慢。解密是不可能的，也叫一次性加密，廣泛用于身份識別，安全加密，數(shù)字簽名等。 – 安全 HASH算法 (SHA) :由 NIST和 NSA開發(fā)并應用于美國政府， 160位 hash值，結構與 MD5類似，速度比 MD5慢25%，比 MD5更安全，產(chǎn)生的 Hash值比 MD5長 25%。 ? 安裝了 PGP或 GPG以后，需要生成一對密鑰對，這一對密鑰是非對稱的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 實驗 42至 46 ? 學習使用 PGP發(fā)送加密電子郵件 – 安裝 – 生成密鑰對 – 對公共密鑰導出、交換、簽名 – 交換加密信息 – 使用 PGP對文件進行加密 公共密鑰體系結構 PKI ? PKI是“ Public Key Infrastructure” 的縮寫，意為“公鑰基礎設施”。 ? PKI技術的意義 : – 通過 PKI可以構建一個可管、可控、安全的互聯(lián)網(wǎng)絡。 – 通過 PKI可以建設一個普適性好、安全性高的統(tǒng)一平臺 。 ? 特點： – 安全保障 – 服務質量保證 – 可擴充性和靈活性 – 可管理性 VPN安全技術 ? 隧道技術（ Tunneling） PPTP， L2TP,L2F ? 加解密技術（ Encryption amp。隧道由隧道協(xié)議組成。 2. L2F是由思科公司開發(fā)的一種提供虛擬拔號的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結合兩者的優(yōu)點 VPN與 IPsec ? Ipsec處于各個協(xié)議層的中間位置，既能捕獲高層的報文，也能捕獲低層的報文，附加的安全措施與低層無關對高層透明。 安全套接字層 (SSL) ? SSL允許兩個應用程序通過使用數(shù)字證書認證后在網(wǎng)絡中進行通信，它還使用加密及信息摘要來保證數(shù)據(jù)的可靠性。 Netscape公司發(fā)明的并在 1995年成為一項標準， 1996年，是當前的標準并且所有瀏覽器都支持它。要進一步解決安全問題，我們需要了解可能遇到的攻擊類型。 暴力破解和字典攻擊 ? 暴力攻擊使用字母、數(shù)字和字符的隨機組合反復進行試探性訪問。 ? 字典窮舉法攻擊通過查詢一個“字典文件”來嘗試破譯口令，此文件包括一個很長的單詞列表。 ? 使用強密碼可有效地防止暴力破解和字典攻擊。 ? 后門是一個在操作系統(tǒng)或程序中無證明文件的通道，通常是由軟件開發(fā)人員故意放置在那里的。/39。\39。 ? 采取措施保護下列信息： – DNS服務器的內(nèi)容 – 路由表 – 用戶和帳戶名 – 運行在任何服務器上的標題信息 拒絕服務和分布式拒絕服務 ? 拒絕服務攻擊（ DoS）中，黑客阻止合法的用戶訪問某一種服務。 ? 分布式拒絕服務（ DDoS）攻擊是指幾個遠程系統(tǒng)在一起工作并產(chǎn)生網(wǎng)絡傳輸，目的在于崩潰一個遠程主機 。 ? Eg:2022年 ,“10 萬紅客攻打白宮 ?” SYN溢出 ? SYN溢出是黑客與服務器建立了成百上千個半連接，致使服務器的性能受到嚴重的限制，甚至崩潰。 ? 當一個應用程序產(chǎn)生上千個 ICMP包的時候，就會發(fā)生 Ping溢出。 緩存溢出 ? 緩沖區(qū)中被放入了太多的信息，就會發(fā)生緩存溢出，這可能會引起“ shell” （也就是一段內(nèi)存空間）被留下。 內(nèi)部攻擊 ? 為獲得未授權的訪問權，與外部邊緣攻擊相同的方法也可以在內(nèi)部攻擊中使用，有些時候更容易 。 社會工程和非直接攻擊 ? 打電話詢問密碼 ? 偽造 Email ? 病毒， BUG和服務缺陷 實驗 51 ? 發(fā)送偽造的電子郵件 釣魚攻擊 ? 常見的攻擊技術 – 發(fā)送電子郵件，以虛假信息引誘用戶中圈套 – 建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號密碼實施盜竊 – 利用虛假的電子商務進行詐騙 – 利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動 – 利用用戶弱口令等漏洞破解、猜測用戶帳號和密碼 – 復制圖片和網(wǎng)頁設計、相似的域名 – URL地址隱藏黑客工具 – 通過彈出窗口和隱藏提示 – 利用社會工程學 – 利用 IP地址的形式顯示欺騙用戶點擊 間諜軟件 ? 間諜軟件（英文名稱為“ spyware” ）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。 ? 中間人攻擊是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，實質上兩臺主機是通過中間這臺主機來交換信息的，這臺計算機就稱為“中間人”，而兩端主機卻毫無察覺。 ? （ 3）在路由器上做 IP地址與 MAC地址的靜態(tài)綁定。 ? （ 5）提高用戶的安全意識，養(yǎng)成良好的安全習慣，包括：及時安裝系統(tǒng)補丁程序；為系統(tǒng)設置強壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時升級病毒庫；不主動進行網(wǎng)絡攻擊，不隨便運行不受信任的軟件。 ? 嗅探攻擊的威脅在于攻擊者能夠分析出所有以明文傳輸?shù)男畔?，包括? – 明文傳送的用戶口令 – 明文傳送的專用或機密的信息 – 可以用來危害網(wǎng)絡鄰居的安全，或者用來獲取更高級別的訪問權限 – 可以用來分析網(wǎng)絡結構，進行網(wǎng)絡滲透。 – POP和 SMTP – FTP – TELNET ? 試驗 62:使用 iris進行網(wǎng)絡嗅探和協(xié)議分析 – 比較兩款工具的不同 鏈路攻擊和 TCP會話劫持 ? 會話劫持（ Session Hijack）是一種結合了嗅探以及欺騙技術在內(nèi)的攻擊手段。 ? 防范這類攻擊的最佳辦法是使用加密協(xié)議傳輸數(shù)據(jù) 。 計算機病毒的特點 ? 計算機病毒首先是一段可執(zhí)行的程序 ? 計算機病毒的傳染性 ? 計算機病毒的潛伏性 ? 計算機病毒的可觸發(fā)性 ? 計算機病毒的破壞性 ? 計算機病毒的針對性 ? 計算機病毒的衍生性 計算機病毒的類型 ? 磁盤引導區(qū)傳染的計算機病毒 ? 操作系統(tǒng)傳染的計算機病毒 ? 應用程序傳染的計算機病毒 預防計算機病毒 ? 安裝防病毒軟件，并且及時升級。 ? 要重視文件的備份，經(jīng)常做文件備份，重要的文件要多做幾份。 ? 保證主機的物理安全，防止他人運行未授權的程序。 ? 克服網(wǎng)絡殺毒產(chǎn)品不