安全主流產(chǎn)品與常見(jiàn)工具

安全主流產(chǎn)品與常見(jiàn)工具

信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測(cè)

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測(cè)

隱患掃描PKI(CA)

PGP

安全加固

防病毒防火墻（Firewall）防火墻基礎(chǔ)知識(shí)防火墻體系結(jié)構(gòu)防火墻技術(shù)防火墻評(píng)測(cè)指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識(shí)什么是防火墻防火墻可以做什么防火墻的局限性防火墻體系結(jié)構(gòu)防火墻技術(shù)防火墻評(píng)測(cè)指標(biāo)什么是防火墻（圖）Internet什么是防火墻防火墻是在被保護(hù)網(wǎng)絡(luò)與因特網(wǎng)之間，或者在不同的網(wǎng)絡(luò)之間，實(shí)施訪問(wèn)控制的一種或一系列部件。

防火墻可以做什么防火墻是安全決策的焦點(diǎn)（阻塞點(diǎn)）防火墻能強(qiáng)制安全策略防火墻能有效地記錄網(wǎng)絡(luò)活動(dòng)防火墻的局限性限制了可用性對(duì)網(wǎng)絡(luò)內(nèi)部的攻擊無(wú)能為力不能防范不經(jīng)過(guò)防火墻的攻擊不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊不能完全防范惡意代碼的通過(guò)防火墻（Firewall）防火墻基礎(chǔ)知識(shí)防火墻體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其他體系結(jié)構(gòu)防火墻技術(shù)防火墻評(píng)測(cè)指標(biāo)雙重宿主主主機(jī)體系結(jié)結(jié)構(gòu)（圖）雙重宿主主主機(jī)體系結(jié)結(jié)構(gòu)是最基本的的防火墻系系統(tǒng)結(jié)構(gòu)雙重宿主主主機(jī)位于外外部網(wǎng)絡(luò)和和受保護(hù)網(wǎng)網(wǎng)絡(luò)之間，，至少有兩兩個(gè)網(wǎng)絡(luò)接接口。所有有在這兩個(gè)個(gè)網(wǎng)絡(luò)間發(fā)發(fā)送的IP數(shù)據(jù)包都會(huì)會(huì)經(jīng)過(guò)該主主機(jī)，該主機(jī)可可以對(duì)轉(zhuǎn)發(fā)發(fā)的IP包進(jìn)行安全全檢查優(yōu)點(diǎn)：構(gòu)造造簡(jiǎn)單缺點(diǎn)：易受受攻擊屏蔽主機(jī)體體系結(jié)構(gòu)（圖）屏蔽主機(jī)體體系結(jié)構(gòu)屏蔽主機(jī)結(jié)結(jié)構(gòu)將提供供安全保護(hù)護(hù)的堡壘主主機(jī)置于內(nèi)內(nèi)部網(wǎng)上，，使用一個(gè)個(gè)單獨(dú)的路路由器對(duì)該該主機(jī)進(jìn)行行屏蔽優(yōu)點(diǎn)：能夠夠提供更高高層次的安安全保護(hù)缺點(diǎn)點(diǎn)：：堡堡壘壘主主機(jī)機(jī)一一旦旦被被攻攻破破，，整整個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)就就會(huì)會(huì)被被攻攻破破屏蔽蔽子子網(wǎng)網(wǎng)體體系系結(jié)結(jié)構(gòu)構(gòu)（（圖圖））屏蔽蔽子子網(wǎng)網(wǎng)體體系系結(jié)結(jié)構(gòu)構(gòu)屏蔽蔽子子網(wǎng)網(wǎng)結(jié)結(jié)構(gòu)構(gòu)在在屏屏蔽蔽主主機(jī)機(jī)結(jié)結(jié)構(gòu)構(gòu)基基礎(chǔ)礎(chǔ)上上，，增增加加了了一一層層周周邊邊網(wǎng)網(wǎng)絡(luò)絡(luò)的的安安全全機(jī)機(jī)制制，，使使內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)與與外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)之之間間有有兩兩層層隔隔離離。。優(yōu)點(diǎn)點(diǎn)：：即即使使堡堡壘壘主主機(jī)機(jī)被被攻攻破破，，也也不不能能直直接接侵侵入入內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)。。體系系結(jié)結(jié)構(gòu)構(gòu)的的其其他他形形式式使用用多多堡堡壘壘主主機(jī)機(jī)合并并內(nèi)內(nèi)部部與與外外部部路路由由器器合并并堡堡壘壘主主機(jī)機(jī)與與外外部部路路由由器器使用用多多臺(tái)臺(tái)外外部部路路由由器器、、多多個(gè)個(gè)周周邊邊網(wǎng)網(wǎng)絡(luò)絡(luò)組合合使使用用雙雙重重宿宿主主主主機(jī)機(jī)和和屏屏蔽蔽子子網(wǎng)網(wǎng)不宜宜采采用用的的體體系系結(jié)結(jié)構(gòu)構(gòu)合并并堡堡壘壘主主機(jī)機(jī)與與內(nèi)內(nèi)部部路路由由器器使用用多多臺(tái)臺(tái)內(nèi)內(nèi)部部路路由由器器防火火墻墻（（Firewall））防火火墻墻基基礎(chǔ)礎(chǔ)知知識(shí)識(shí)防火火墻墻體體系系結(jié)結(jié)構(gòu)構(gòu)防火火墻墻技技術(shù)術(shù)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾應(yīng)用用代代理理NAT個(gè)人人防防火火墻墻防火火墻墻評(píng)評(píng)測(cè)測(cè)指指標(biāo)標(biāo)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾(1)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾是是一一個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全保保護(hù)護(hù)機(jī)機(jī)制制，，它它用用來(lái)來(lái)控控制制流流出出和和流流入入網(wǎng)網(wǎng)絡(luò)絡(luò)的的數(shù)數(shù)據(jù)據(jù)在TCP/IP網(wǎng)絡(luò)絡(luò)中中，，數(shù)數(shù)據(jù)據(jù)都都是是以以IP包的的形形式式傳傳輸輸?shù)牡模?，?shù)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾機(jī)機(jī)制制就就是是對(duì)對(duì)通通過(guò)過(guò)防防火火墻墻的的IP包進(jìn)進(jìn)行行安安全全檢檢查查，，將將通通過(guò)過(guò)安安去去檢檢查查的的IP包進(jìn)進(jìn)行行轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)，，否否則則就就阻阻止止通通過(guò)過(guò)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾(2)（（圖圖））數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾(3)判斷斷依依據(jù)據(jù)有有：：數(shù)據(jù)據(jù)包包協(xié)協(xié)議議類類型型：：TCP、、UDP、、ICMP、、IGMP等源、、目目的的IP地址址源、、目目的的端端口口：：FTP、、HTTP、、DNS等IP選項(xiàng)項(xiàng)：：源源路路由由、、記記錄錄路路由由等等TCP選項(xiàng)項(xiàng)：：SYN、、ACK、、FIN、、RST等其它它協(xié)協(xié)議議選選項(xiàng)項(xiàng)：：ICMPECHO、、ICMPECHOREPLY等數(shù)據(jù)據(jù)包包流流向向：：in或out數(shù)據(jù)據(jù)包包流流經(jīng)經(jīng)網(wǎng)網(wǎng)絡(luò)絡(luò)接接口口：：eth0、、eth1數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾設(shè)設(shè)置置實(shí)實(shí)例例規(guī)則方向源地址源端口目標(biāo)地址目標(biāo)端口動(dòng)作1出內(nèi)部*61.X.*拒絕2入211.X.*內(nèi)部*拒絕3雙向***25拒絕數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾(4)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾的的優(yōu)優(yōu)點(diǎn)點(diǎn)：：一個(gè)個(gè)配配置置適適當(dāng)當(dāng)?shù)牡臄?shù)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾器器可可以以保保護(hù)護(hù)整整個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)對(duì)用用戶戶透透明明度度高高易實(shí)實(shí)現(xiàn)現(xiàn)：：大大多多數(shù)數(shù)路路由由器器都都具具有有數(shù)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾功功能能數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾的的缺缺點(diǎn)點(diǎn)：：配置置和和檢檢驗(yàn)驗(yàn)較較為為困困難難一些些協(xié)協(xié)議議不不適適合合數(shù)數(shù)據(jù)據(jù)包包過(guò)過(guò)濾濾某些些策策略略難難以以執(zhí)執(zhí)行行應(yīng)用用代代理理(1)是各各種種應(yīng)應(yīng)用用服服務(wù)務(wù)的的轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)器器它接接收收來(lái)來(lái)自自內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)特特定定用用戶戶應(yīng)應(yīng)用用程程序序的的通通信信，，然然后后建建立立與與公公共共網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)器器單單獨(dú)獨(dú)的的連連接接代理理防防火火墻墻通通常常支支持持的的一一些些常常見(jiàn)見(jiàn)的的應(yīng)應(yīng)用用程程序序有有：：HTTP、、HTTPS/SSL、、SMTP、、POP3等等等應(yīng)用用代代理理(2)（（圖圖））客戶戶應(yīng)用用代代理理服務(wù)務(wù)器器發(fā)送送請(qǐng)請(qǐng)求求轉(zhuǎn)發(fā)發(fā)響響應(yīng)應(yīng)轉(zhuǎn)發(fā)發(fā)請(qǐng)請(qǐng)求求發(fā)送送響響應(yīng)應(yīng)應(yīng)用用代代理理(3)（（圖圖））應(yīng)用用代代理理(4)它的的優(yōu)優(yōu)點(diǎn)點(diǎn)是是：：對(duì)用用戶戶透透明明支持持用用戶戶認(rèn)認(rèn)證證可以以產(chǎn)產(chǎn)生生小小并并且且更更有有效效的的日日志志。。它的的缺缺點(diǎn)點(diǎn)是是：：速度度比比較較慢慢對(duì)一一些些新新的的或或不不常常用用的的服服務(wù)務(wù)不不支支持持NAT（（網(wǎng)絡(luò)絡(luò)地地址址轉(zhuǎn)轉(zhuǎn)換換協(xié)協(xié)議議））可以以使使多多個(gè)個(gè)用用戶戶分分享享單單一一的的IP地址址為Internet連接接提提供供一一些些安安全全機(jī)機(jī)制制可以以向向外外界界隱隱藏藏內(nèi)內(nèi)部部網(wǎng)網(wǎng)結(jié)結(jié)構(gòu)構(gòu)轉(zhuǎn)換換機(jī)機(jī)制制：：當(dāng)內(nèi)內(nèi)部部用用戶戶與與一一個(gè)個(gè)公公共共主主機(jī)機(jī)通通信信時(shí)時(shí)，，NAT追蹤蹤是是哪哪一一個(gè)個(gè)用用戶戶作作的的請(qǐng)請(qǐng)求求，，修修改改傳傳出出的的包包，，這這樣樣包包就就像像是是來(lái)來(lái)自自單單一一的的公公共共IP地址址個(gè)人人防防火火墻墻(1)是一一種種能能夠夠保保護(hù)護(hù)個(gè)個(gè)人人計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)安安全全的的軟軟件件，，它它可可以以直直接接在在用用戶戶的的計(jì)計(jì)算算機(jī)機(jī)上上運(yùn)運(yùn)行行可以以對(duì)對(duì)用用戶戶計(jì)計(jì)算算機(jī)機(jī)的的網(wǎng)網(wǎng)絡(luò)絡(luò)通通信信進(jìn)進(jìn)行行過(guò)過(guò)濾濾通常常具具有有學(xué)學(xué)習(xí)習(xí)模模式式，，可可以以在在使使用用中中不不斷斷增增加加新新的的規(guī)規(guī)則則個(gè)人人防防火火墻墻(2)(圖圖））防火火墻墻（（Firewall））防火火墻墻基基礎(chǔ)礎(chǔ)知知識(shí)識(shí)防火火墻墻體體系系結(jié)結(jié)構(gòu)構(gòu)防火火墻墻技技術(shù)術(shù)防火火墻墻評(píng)評(píng)測(cè)測(cè)指指標(biāo)標(biāo)防火火墻墻評(píng)評(píng)測(cè)測(cè)指指標(biāo)標(biāo)(1)對(duì)防防火火墻墻的的評(píng)評(píng)估估通通常常包包括括對(duì)對(duì)其其功功能能、、性性能能和和可可用用性性進(jìn)進(jìn)行行測(cè)測(cè)試試評(píng)評(píng)估估。。對(duì)防防火火墻墻性性能能的的測(cè)測(cè)試試指指標(biāo)標(biāo)主主要要有有吞吐吐量量延遲遲幀丟丟失失率率防火火墻墻評(píng)評(píng)測(cè)測(cè)指指標(biāo)標(biāo)(2)對(duì)防防火火墻墻的的功功能能測(cè)測(cè)試試通通常常包包含含身份份鑒鑒別別訪問(wèn)問(wèn)控控制制策策略略及及功功能能密碼碼支支持持審計(jì)計(jì)管理理對(duì)安安全全功功能能自自身身的的保保護(hù)護(hù)防火墻測(cè)評(píng)方方法NetScreenVs.CheckPoint供應(yīng)商N(yùn)etScreenCheckPoint架構(gòu)硬件軟件性能在操作系統(tǒng)screenos版本為3.0時(shí)防火墻的通透性可以達(dá)到12Gbps之高依賴于使用平臺(tái)的CPU、內(nèi)存等配置，使用新技術(shù)ApplicationInteglligence后，性能在原來(lái)的基礎(chǔ)上進(jìn)一步提升了31%。穩(wěn)定性和兼容性采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應(yīng)該領(lǐng)先；操作系統(tǒng)是專用的screenos，不存在防火墻和硬件的兼容性問(wèn)題。操作系統(tǒng)和硬件不是特定為防火墻各項(xiàng)功能設(shè)計(jì)的，因此可能會(huì)存在穩(wěn)定性和兼容方面的隱患功能和靈活性采用的專門設(shè)計(jì)的操作系統(tǒng)和硬件架構(gòu)，靈活性上要相對(duì)差一些，而且可能提供的功能相對(duì)較少架構(gòu)不依賴硬件，理論上功能是可以無(wú)限擴(kuò)充的，它能給客戶更多的控制和定制功能引自課程內(nèi)容防火墻VPN內(nèi)外網(wǎng)隔離日志審計(jì)入侵檢測(cè)隱患掃描PKI(CA)PGP安全加固防病毒VPN(VirtualPrivateNetwork)什么是VPNVPN的分類VPN的隧道協(xié)議VPN什么是VPNVPN的分類VPN的隧道協(xié)議什么是VPN(1)什么是VPN(2)VPN即虛擬專用網(wǎng)網(wǎng)，是指一些些節(jié)點(diǎn)通過(guò)一一個(gè)公用網(wǎng)絡(luò)絡(luò)（通常是因因特網(wǎng)）建立立的一個(gè)臨時(shí)時(shí)的、安全的的連接，它們們之間的通信信的機(jī)密性和和完整性可以以通過(guò)某些安安全機(jī)制的實(shí)實(shí)施得到保證證特征虛擬(V)：并不實(shí)際存在在，而是利用用現(xiàn)有網(wǎng)絡(luò)，，通過(guò)資源配配置以及虛電電路的建立而而構(gòu)成的虛擬擬網(wǎng)絡(luò)專用(P)：每個(gè)VPN用戶都可以從從公用網(wǎng)絡(luò)中中獲得一部分分資源供自己己使用網(wǎng)絡(luò)(N)：既可以讓客戶戶連接到公網(wǎng)網(wǎng)所能夠到達(dá)達(dá)的任何地方方，也可以方方便地解決保保密性、安全全性、可管理理性等問(wèn)題，，降低網(wǎng)絡(luò)的的使用成本什么是VPN(3)安全功能信息機(jī)密性，，確保通過(guò)公公網(wǎng)傳輸?shù)男判畔⒁约用艿牡姆绞絺魉?，，即使被他人人截獲也不會(huì)會(huì)泄露信息完整性，，保證信息的的完整性用戶身份認(rèn)證證，能對(duì)用戶戶身份進(jìn)行認(rèn)認(rèn)證，確定該該用戶的訪問(wèn)問(wèn)權(quán)限訪問(wèn)控制，用用戶只能讀寫寫被授予了訪訪問(wèn)權(quán)限的信信息VPN什么是VPNVPN的分類VPN的隧道協(xié)議VPN的分類根據(jù)VPN所起的作用，，可以將VPN分為：AccessVPNIntranetVPNExtranetVPNAccessVPN處理可移動(dòng)用用戶、遠(yuǎn)程交交換和小部門門的遠(yuǎn)程訪問(wèn)問(wèn)公司內(nèi)部網(wǎng)網(wǎng)的VPNIntranetVPN（企業(yè)內(nèi)部虛擬擬網(wǎng)）是在公司遠(yuǎn)程程分支機(jī)構(gòu)的的LAN和公司總部LAN之間，通過(guò)Internet建立的VPNExtranetVPN

（企業(yè)外部虛擬擬網(wǎng)）在供應(yīng)商、商商業(yè)合作伙伴伴的LAN和公司的LAN之間的VPN由于不同公司司網(wǎng)絡(luò)環(huán)境的的差異性，必必須能兼容不不同的操作平平臺(tái)和協(xié)議設(shè)置特定的訪訪問(wèn)控制表ACL（AccessControlList），根據(jù)用戶相應(yīng)應(yīng)的訪問(wèn)權(quán)限限開(kāi)放相應(yīng)資資源ExtranetVPN（圖）VPN什么是VPNVPN的分類VPN的隧道協(xié)議VPN的隧道協(xié)議VPN的關(guān)鍵技術(shù)在在于通信隧道道的建立，數(shù)數(shù)據(jù)包通過(guò)通通信隧道進(jìn)行行封裝后的傳傳送以確保其其機(jī)密性和完完整性通常使用的方方法有：使用點(diǎn)到點(diǎn)隧隧道協(xié)議PPTP、第二層隧道協(xié)協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)協(xié)議L2F等在數(shù)據(jù)鏈路路層對(duì)數(shù)據(jù)實(shí)實(shí)行封裝使用IP安全協(xié)議IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)現(xiàn)數(shù)據(jù)封裝使用介于第二二層和第三層層之間的隧道道協(xié)議，如MPLS隧道協(xié)議PPTP/L2TP(1)1996年，，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上上開(kāi)發(fā)了PPTP，并將它集成于于WindowsNTServer4.0中，同時(shí)也提提供了相應(yīng)的的客戶端軟件件PPTP可把數(shù)據(jù)包封封裝在PPP包中，再將整整個(gè)報(bào)文封裝裝在PPTP隧道協(xié)議包中中，最后，再再嵌入IP報(bào)文或幀中繼繼或ATM中進(jìn)行傳輸PPTP提供流量控制制,采用MPPE加密算法PPTP/L2TP(2)1996年，，Cisco提出L2F（Layer2Forwarding）隧道協(xié)議1997年底底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)結(jié)合在一起，，形成了L2TP協(xié)議L2TP可以實(shí)現(xiàn)和企企業(yè)原有非IP網(wǎng)的兼容,支支持MP（MultilinkProtocol），可以把多個(gè)物物理通道捆綁綁為單一邏輯輯信道PPTP/L2TP(3)優(yōu)點(diǎn)：支持其他網(wǎng)絡(luò)絡(luò)協(xié)議支持流量控制制對(duì)用微軟操作作系統(tǒng)的用戶戶來(lái)說(shuō)很方便便缺點(diǎn)：通道打開(kāi)后，，源和目的用用戶身份不再再就行認(rèn)證，，存在安全隱隱患限制同時(shí)最多多只能連接255個(gè)用戶戶端點(diǎn)用戶需要要在連接前手手工建立加密密信道IPSecVPN(1)IPSEC的隧道協(xié)議開(kāi)開(kāi)始于RFC1827即IP封裝安全有效效負(fù)載(ESP)，，它定義了一個(gè)個(gè)通用的數(shù)據(jù)據(jù)報(bào)封裝方法法ESP通過(guò)對(duì)要保護(hù)護(hù)的數(shù)據(jù)進(jìn)行行加密，以及及將它放置在在IP封裝安全有效效負(fù)載的有效效負(fù)載部分，，來(lái)提供機(jī)密密性和完整性性。通過(guò)使用用驗(yàn)證包頭（（AH，在RFC2402中定義），也也可以提供IP數(shù)據(jù)報(bào)的驗(yàn)證證IPSecVPN(2)AH包頭的結(jié)構(gòu)：：IPSECAH/ESP數(shù)據(jù)包結(jié)構(gòu)IPSecVPN(3)IPSECVPN是基于于IPSec協(xié)議的的VPN產(chǎn)品，，由IPSec協(xié)議提提供隧隧道安安全保保障特點(diǎn)：：只能能支持持IP數(shù)據(jù)流流目前防防火墻墻產(chǎn)品品中集集成的的VPN多為使使用IPSec協(xié)議MPLSVPN是在網(wǎng)網(wǎng)絡(luò)路路由和和交換換設(shè)備備上應(yīng)應(yīng)用MPLS(MultiprotocolLabelSwitching)技術(shù)，，簡(jiǎn)化化核心心路由由器的的路由由選擇擇方式式，利利用結(jié)結(jié)合傳傳統(tǒng)路路由技技術(shù)的的標(biāo)記記交換換實(shí)現(xiàn)現(xiàn)的IP虛擬專專用網(wǎng)網(wǎng)絡(luò)（（IPVPN））運(yùn)行在在IP+ATM或者IP環(huán)境下下，對(duì)對(duì)應(yīng)用用完全全透明明相關(guān)標(biāo)標(biāo)準(zhǔn)：：RFC3270RFC2764MPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouter課程內(nèi)內(nèi)容防火墻墻VPN內(nèi)外網(wǎng)網(wǎng)隔離離日志審審計(jì)入侵檢檢測(cè)隱患掃掃描PKI(CA)PGP安全加加固防病毒毒內(nèi)外網(wǎng)網(wǎng)隔離離物理隔隔離邏輯隔隔離內(nèi)外網(wǎng)網(wǎng)隔離離物理隔隔離安全需需求物理隔隔離技技術(shù)邏輯隔隔離安全需需求(1)《計(jì)算算機(jī)信信息系系統(tǒng)國(guó)國(guó)際聯(lián)聯(lián)網(wǎng)保保密管管理規(guī)規(guī)定》》第六六條規(guī)規(guī)定：："涉及國(guó)國(guó)家秘秘密的的計(jì)算算機(jī)信信息系系統(tǒng)，，不得得直接接或間間接地地與國(guó)國(guó)際互互聯(lián)網(wǎng)網(wǎng)或其其它公公共信信息網(wǎng)網(wǎng)絡(luò)相相聯(lián)接接，必必須實(shí)實(shí)行物物理隔隔離。。"安全需需求(2)實(shí)現(xiàn)內(nèi)內(nèi)網(wǎng)和和外網(wǎng)網(wǎng)的網(wǎng)網(wǎng)絡(luò)隔隔離的的要求求：用戶訪訪問(wèn)內(nèi)內(nèi)網(wǎng)時(shí)時(shí)，斷斷開(kāi)外外網(wǎng)網(wǎng)網(wǎng)絡(luò)連連接訪問(wèn)外外網(wǎng)時(shí)時(shí)，斷斷開(kāi)內(nèi)內(nèi)網(wǎng)網(wǎng)網(wǎng)絡(luò)連連接用戶不不能同同時(shí)連連入內(nèi)內(nèi)、外外網(wǎng)，，始終終保持持內(nèi)網(wǎng)網(wǎng)、外外網(wǎng)網(wǎng)網(wǎng)絡(luò)隔隔離的的狀態(tài)態(tài)安全需需求(3)對(duì)物理理隔離離技術(shù)術(shù)的要要求：：高度安安全較低的的成本本容易部部置、、結(jié)構(gòu)構(gòu)簡(jiǎn)單單易于操操作具有靈靈活性性與擴(kuò)擴(kuò)展性性物理隔隔離技技術(shù)雙網(wǎng)機(jī)機(jī)技術(shù)術(shù)物理隔隔離卡卡雙網(wǎng)線線的物物理隔隔離卡卡單網(wǎng)線線的物物理隔隔離卡卡網(wǎng)絡(luò)安安全隔隔離集集線器器物理隔隔離網(wǎng)網(wǎng)閘（（GAP）雙網(wǎng)機(jī)機(jī)技術(shù)術(shù)在一個(gè)個(gè)機(jī)箱箱內(nèi)設(shè)設(shè)有兩兩塊主主機(jī)板板、兩兩套內(nèi)內(nèi)存、、兩塊塊硬盤盤和兩兩CPU相當(dāng)于于兩臺(tái)臺(tái)計(jì)算算機(jī)共共用一一個(gè)顯顯示器器用戶通通過(guò)客客戶端端開(kāi)關(guān)關(guān)，分分別選選擇兩兩套計(jì)計(jì)算機(jī)機(jī)系統(tǒng)統(tǒng)特點(diǎn)是是：客戶端端成本本很高高網(wǎng)絡(luò)布布線為為雙網(wǎng)網(wǎng)線結(jié)結(jié)構(gòu)技術(shù)水水平簡(jiǎn)簡(jiǎn)單物理隔隔離卡卡－雙網(wǎng)線線隔離離卡客戶端端需要要增加加一塊塊PCI卡，客客戶端端硬盤盤或其其它存存儲(chǔ)設(shè)設(shè)備首首先連連接到到該卡卡，然然后再再轉(zhuǎn)接接到主主板，，這樣樣通過(guò)過(guò)該卡卡用戶戶就能能控制制客戶戶端的的硬盤盤或其其它存存儲(chǔ)設(shè)設(shè)備。。用戶戶在選選擇硬硬盤的的時(shí)候候，同同時(shí)也也選擇擇了該該卡上上所對(duì)對(duì)應(yīng)的的網(wǎng)絡(luò)絡(luò)接口口，連連接到到不同同的網(wǎng)網(wǎng)絡(luò)物理隔隔離卡卡－雙網(wǎng)線線隔離離卡(con’t)技術(shù)水水平有有所提提高成本有有所降降低要求網(wǎng)網(wǎng)絡(luò)布布線采采用雙雙網(wǎng)線線結(jié)構(gòu)構(gòu)，存存在安安全隱隱患物理隔隔離卡卡－單網(wǎng)線線隔離離卡只有一一個(gè)網(wǎng)網(wǎng)絡(luò)接接口通過(guò)網(wǎng)網(wǎng)線將將不同同的電電平信信息傳傳遞到到網(wǎng)絡(luò)絡(luò)選擇擇端，，在網(wǎng)網(wǎng)絡(luò)選選擇端端安裝裝網(wǎng)絡(luò)絡(luò)選擇擇器，，并根根據(jù)不不同的的電平平信號(hào)號(hào)，選選擇不不同的的網(wǎng)絡(luò)絡(luò)連接接特點(diǎn)：：實(shí)現(xiàn)成成本較較低，，能夠夠有效效利用用現(xiàn)有有單網(wǎng)網(wǎng)線網(wǎng)網(wǎng)絡(luò)環(huán)環(huán)境系統(tǒng)的的安全全性有有所提提高物理隔隔離卡卡（圖圖）網(wǎng)絡(luò)安安全隔隔離集集線器器作為A/B轉(zhuǎn)換器器被設(shè)設(shè)置在在機(jī)柜柜中根據(jù)網(wǎng)網(wǎng)絡(luò)安安全隔隔離卡卡的狀狀態(tài)自自動(dòng)地地將網(wǎng)網(wǎng)絡(luò)連連接到到安全全網(wǎng)絡(luò)絡(luò)或公公共網(wǎng)網(wǎng)絡(luò)中中特點(diǎn)：：能使用用原有有的單單一的的布線線系統(tǒng)統(tǒng)物理隔隔離網(wǎng)網(wǎng)閘（（GAP）(1)由帶有有多種種控制制功能能專用用硬件件在電電路上上切斷斷網(wǎng)絡(luò)絡(luò)之間間的鏈鏈路層層連接接能夠在在網(wǎng)絡(luò)絡(luò)間進(jìn)進(jìn)行安安全適適度的的應(yīng)用用數(shù)據(jù)據(jù)交換換物理隔隔離網(wǎng)網(wǎng)閘（（GAP）(2)性能指指標(biāo)：：系統(tǒng)數(shù)數(shù)據(jù)交交換速速率硬件切切換時(shí)時(shí)間通常包包含的的安全全功能能模塊塊：安全隔隔離內(nèi)核防防護(hù)協(xié)議轉(zhuǎn)轉(zhuǎn)換病毒查查殺訪問(wèn)控控制安全審審計(jì)身份認(rèn)認(rèn)證內(nèi)外網(wǎng)網(wǎng)隔離離物理隔隔離邏輯隔隔離邏輯隔隔離在技術(shù)術(shù)上，，實(shí)現(xiàn)現(xiàn)邏輯輯隔離離的方方式有有很多多，但但主要要是防防火墻墻課程內(nèi)內(nèi)容防火墻墻VPN內(nèi)外網(wǎng)網(wǎng)隔離離日志審審計(jì)入侵檢檢測(cè)隱患掃掃描PKI(CA)PGP安全加加固防病毒毒日志審審計(jì)日志審審計(jì)基基礎(chǔ)知知識(shí)日志審審計(jì)過(guò)過(guò)程日志審審計(jì)日志審審計(jì)基基礎(chǔ)知知識(shí)什么是是日志志審計(jì)計(jì)日志實(shí)實(shí)例日志審審計(jì)的的重要要性日志的的來(lái)源源日志審審計(jì)過(guò)過(guò)程什么是是日志志審計(jì)計(jì)識(shí)別、、記錄錄、存存儲(chǔ)和和分析析那些些與安安全相相關(guān)活活動(dòng)有有關(guān)的的信息息的行行為被被稱為為安全全審計(jì)計(jì)這些信信息以以日志志的方方式進(jìn)進(jìn)行存存儲(chǔ)，，對(duì)這這些日日志的的檢查查審計(jì)計(jì)可以以用來(lái)來(lái)判斷斷發(fā)生生了哪哪些安安全相相關(guān)活活動(dòng)以以及哪哪個(gè)用用戶要要對(duì)這這些活活動(dòng)負(fù)負(fù)責(zé)日志審審計(jì)的的重要要性管理員員入侵者者網(wǎng)絡(luò)異異常發(fā)發(fā)現(xiàn)黑客追追蹤證據(jù)日志的的來(lái)源源(1)操作系系統(tǒng)日日志路由器器日志志IDS日志防火墻墻日志志應(yīng)用軟軟件日日志，，等等等日志的的來(lái)源源(2)通?？煽梢赃M(jìn)進(jìn)行審審計(jì)的的事件件包括括：文件審審計(jì)應(yīng)用程程序與與服務(wù)務(wù)安裝裝與卸卸載的的審計(jì)計(jì)安全配配置更更改的的審計(jì)計(jì)Internet審計(jì)用戶登登錄審審計(jì)用戶打打印審審計(jì)進(jìn)程狀狀況審審計(jì)與移動(dòng)存儲(chǔ)儲(chǔ)有關(guān)的審審計(jì)，等等等日志審計(jì)日志審計(jì)基基礎(chǔ)知識(shí)日志審計(jì)過(guò)過(guò)程審計(jì)事件生生成審計(jì)事件選選擇審計(jì)事件存存儲(chǔ)審計(jì)事件查查閱日志審計(jì)分分析自動(dòng)響應(yīng)審計(jì)事件生生成事件的日期期和時(shí)間事件類型主體身份事件的結(jié)果果針對(duì)不同類類型的事件件的其他相相關(guān)信息在某些情況況下，應(yīng)當(dāng)當(dāng)標(biāo)識(shí)引起起該事件的的用戶身份份審計(jì)事件選選擇審計(jì)事件選選擇是指在在所有可以以審計(jì)的事事件中，根根據(jù)主體身身份、事件件類型等屬屬性，選擇擇對(duì)哪些事事件進(jìn)行審審計(jì)，這種種選擇可以以用包含或或排除的方方法。審計(jì)事件存存儲(chǔ)保護(hù)審計(jì)記記錄不受未未授權(quán)的刪刪除防止或檢測(cè)測(cè)對(duì)審計(jì)記記錄的修改改當(dāng)存儲(chǔ)耗盡盡、失敗或或受到攻擊擊時(shí)，能夠夠確保審計(jì)計(jì)記錄不受受破壞存儲(chǔ)失敗時(shí)時(shí)，應(yīng)采取取一定行動(dòng)動(dòng)確保新的的審計(jì)記錄錄不受破壞壞審計(jì)事件查查閱訪問(wèn)控制權(quán)權(quán)限易于理解日志審計(jì)分分析日志的分析析可以分為為手工和自自動(dòng)的方式式，通常，，對(duì)日志的的自動(dòng)分析析任務(wù)可以以由入侵檢檢測(cè)系統(tǒng)完完成。但是是，手工分分析往往是是日志分析析不可缺少少的部分自動(dòng)響應(yīng)對(duì)日志的自自動(dòng)分析和和自動(dòng)響應(yīng)應(yīng)通常由入入侵檢測(cè)系系統(tǒng)實(shí)現(xiàn)自動(dòng)相應(yīng)可可以是報(bào)警警、自動(dòng)采采取某些安安全措施，，等等SolarisBSM（BasicSecurityModel））BSM用戶級(jí)審計(jì)計(jì)記錄包括括：進(jìn)程名手冊(cè)頁(yè)參考考審計(jì)事件號(hào)號(hào)審計(jì)事件名名審計(jì)記錄結(jié)結(jié)構(gòu)BSM核心級(jí)審計(jì)計(jì)記錄包括括：系統(tǒng)調(diào)用名名手冊(cè)頁(yè)參考考審計(jì)事件號(hào)號(hào)審計(jì)事件名名審計(jì)事件類類事件屏蔽審計(jì)記錄結(jié)結(jié)構(gòu)WIN2000日日志結(jié)構(gòu)數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型種類可變內(nèi)容，依賴于事件，可以時(shí)問(wèn)題的文本解釋和糾正措施的建議附加域。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)WIN2000日志舉例(1)事件類型:成功審核事件來(lái)源:Security事件種類:登錄/注銷事件ID:538日期: 2003-9-9時(shí)間: 20:47:04WIN2000日志舉例(2)用戶:QU\hiiri計(jì)算機(jī):QU描述:用戶注銷:用戶名:hiiri域:QU登錄ID:(0x0,0x504001)登錄類型: 7防火墻日志志舉例(CheckPointFirewall-1)19-May-0017:31:59[時(shí)間戳]drop[動(dòng)作]inbound[方向]udp[傳輸層協(xié)議議]scan.wins.bad.guy[源地址]MY.NET.29.8[目標(biāo)地址]netbios-ns[目標(biāo)端口]netbios-ns[源端口]78[包長(zhǎng)度]IDS日志舉例(Snort)課程內(nèi)容防火墻VPN內(nèi)外網(wǎng)隔離離日志審計(jì)入侵檢測(cè)隱患掃描PKI(CA)PGP安全加固防病毒入侵檢測(cè)（（IntrusionDetection）入侵檢測(cè)定定義入侵檢測(cè)方方法入侵檢測(cè)系系統(tǒng)結(jié)構(gòu)入侵檢測(cè)（（IntrusionDetection）入侵檢測(cè)定定義入侵檢測(cè)與與入侵檢測(cè)測(cè)系統(tǒng)（IDS)入侵檢測(cè)系系統(tǒng)基本框框架入侵檢測(cè)方方法入侵檢測(cè)系系統(tǒng)結(jié)構(gòu)什么是入侵侵檢測(cè)入侵檢測(cè)（（IntrusionDetection）是檢測(cè)計(jì)算算機(jī)網(wǎng)絡(luò)和和系統(tǒng)以發(fā)發(fā)現(xiàn)違反安安全策略事事件的過(guò)程程IDS入侵檢測(cè)系系統(tǒng)包括三三個(gè)功能組組件提供事件記記錄流的信信息源發(fā)現(xiàn)入侵跡跡象的分析析引擎基于分析引引擎的結(jié)果果產(chǎn)生反應(yīng)應(yīng)的響應(yīng)部部件入侵檢測(cè)系系統(tǒng)基本框框架入侵檢測(cè)（（IntrusionDetection）入侵檢測(cè)定定義入侵檢測(cè)方方法異常入侵檢檢測(cè)技術(shù)異常檢測(cè)典典型系統(tǒng)－－TripWare誤用入侵檢檢測(cè)技術(shù)誤用檢測(cè)典典型系統(tǒng)－－Snort入侵檢測(cè)系系統(tǒng)結(jié)構(gòu)異常入侵檢檢測(cè)技術(shù)(1)異常檢測(cè)主主要根據(jù)合合法行為（（狀態(tài)）定定義來(lái)分析析系統(tǒng)是否否受到攻擊擊或者運(yùn)行行異常是目前入侵侵檢測(cè)技術(shù)術(shù)的主要研研究發(fā)展方方向典型應(yīng)用：：CPU使用率，內(nèi)內(nèi)存使用率率，網(wǎng)絡(luò)流流量，用戶戶行為，系系統(tǒng)調(diào)用等等等異常入侵檢檢測(cè)技術(shù)(2)優(yōu)點(diǎn)：可以檢測(cè)到到未知攻擊擊知識(shí)庫(kù)相對(duì)對(duì)穩(wěn)定缺點(diǎn)：準(zhǔn)確性差誤報(bào)率高異常檢測(cè)典典型系統(tǒng)－－TripWare(1)TripWare主要利用關(guān)關(guān)鍵性文件件的摘要作作為自己知知識(shí)庫(kù)，合合法用戶修修改文件后后要更新該該文件摘要要，由于非非法用戶無(wú)無(wú)權(quán)更改其其摘要，所所以當(dāng)發(fā)現(xiàn)現(xiàn)文件摘要要和保存的的記錄不符符時(shí)，判定定系統(tǒng)受到到攻擊。異常檢測(cè)典典型系統(tǒng)－－TripWare(2)優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單管理方便缺點(diǎn)：檢測(cè)能力差差誤用入侵檢檢測(cè)技術(shù)(1)誤用檢測(cè)根根據(jù)非法行行為（狀態(tài)態(tài)）定義，，分析目標(biāo)標(biāo)系統(tǒng)狀態(tài)態(tài)，以確定定是否受到到攻擊技術(shù)較為成成熟，為絕絕大多數(shù)市市場(chǎng)產(chǎn)品采采用典型應(yīng)用：：網(wǎng)絡(luò)數(shù)據(jù)包包用戶指令序序列應(yīng)用程序編編碼特征，，等等誤用入侵檢檢測(cè)技術(shù)(2)優(yōu)點(diǎn)準(zhǔn)確高效（相對(duì)對(duì)）易實(shí)現(xiàn)缺點(diǎn)不能檢測(cè)未未知攻擊知識(shí)庫(kù)會(huì)無(wú)無(wú)限增長(zhǎng)描述所有攻攻擊行為困困難誤用檢測(cè)典典型系統(tǒng)－－Snort(1)Snort是一個(gè)典型型的輕量級(jí)級(jí)誤用網(wǎng)絡(luò)絡(luò)入侵檢測(cè)測(cè)系統(tǒng)。該該系統(tǒng)自己己定義了一一套規(guī)則語(yǔ)語(yǔ)言來(lái)定義義入侵行為為，規(guī)則語(yǔ)語(yǔ)言所描述述的主要是是網(wǎng)絡(luò)數(shù)據(jù)據(jù)包的特性性，比如地地址、端口口、包頭屬屬性、包含含的特殊數(shù)數(shù)據(jù)等等。。誤用檢測(cè)典典型系統(tǒng)－－Snort(2)Snort規(guī)則語(yǔ)言（（示例）alerttcpanyany->/2480(content:

"/cgi-bin/phf";msg"PHFprobe!")alerttcp!/24any->/246000:6010(msg:"Xtraffic";)alerttcpanyany->/24143(content:"|E8C0FFFFF|/bin/sh";msg:"NewIMAPBufferOverflowdetected!";)誤用檢測(cè)典典型系統(tǒng)－－Snort(3)優(yōu)點(diǎn):檢測(cè)的準(zhǔn)準(zhǔn)確度比比較高缺點(diǎn):檢測(cè)的效效率低對(duì)復(fù)雜攻攻擊檢測(cè)測(cè)能力差差容易被欺欺騙入侵檢測(cè)測(cè)（IntrusionDetection）入侵檢測(cè)測(cè)定義入侵檢測(cè)測(cè)方法入侵檢測(cè)測(cè)系統(tǒng)結(jié)結(jié)構(gòu)基于主機(jī)機(jī)系統(tǒng)的的結(jié)構(gòu)基于網(wǎng)絡(luò)絡(luò)系統(tǒng)的的結(jié)構(gòu)基于主機(jī)機(jī)系統(tǒng)的的結(jié)構(gòu)其檢測(cè)目目標(biāo)主要要是主機(jī)機(jī)系統(tǒng)和和系統(tǒng)本本地用戶戶根據(jù)主機(jī)機(jī)的審計(jì)計(jì)數(shù)據(jù)和和系統(tǒng)的的日志發(fā)發(fā)現(xiàn)可疑疑事件依賴于審審計(jì)數(shù)據(jù)據(jù)和系統(tǒng)統(tǒng)日志的的準(zhǔn)確性性和完整整性基于網(wǎng)絡(luò)絡(luò)系統(tǒng)的的結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)絡(luò)流量和和單臺(tái)或或多臺(tái)主主機(jī)的審審計(jì)數(shù)據(jù)據(jù)對(duì)入侵侵行為進(jìn)進(jìn)行檢測(cè)測(cè)。由探測(cè)器器和分析析器以及及網(wǎng)絡(luò)安安全知識(shí)識(shí)庫(kù)組成成具有配置置簡(jiǎn)單，，服務(wù)器器平臺(tái)獨(dú)獨(dú)立性等等優(yōu)點(diǎn)課程內(nèi)容容防火墻VPN內(nèi)外網(wǎng)隔隔離日志審計(jì)計(jì)入侵檢測(cè)測(cè)隱患掃描描PKI(CA)PGP安全加固固防病毒隱患掃描描

（vulnerabilitiesscanning）網(wǎng)絡(luò)弱點(diǎn)點(diǎn)掃描主機(jī)弱點(diǎn)點(diǎn)掃描特定應(yīng)用用弱點(diǎn)掃掃描隱患掃描描

（vulnerabilitiesscanning）網(wǎng)絡(luò)弱點(diǎn)點(diǎn)掃描功能分類類常用掃描描工具主機(jī)弱點(diǎn)點(diǎn)掃描特定應(yīng)用用弱點(diǎn)掃掃描什么是網(wǎng)網(wǎng)絡(luò)弱點(diǎn)點(diǎn)掃描定期或按按需尋找找網(wǎng)絡(luò)設(shè)設(shè)備或網(wǎng)網(wǎng)絡(luò)主機(jī)機(jī)上的漏漏洞，從從而可以以對(duì)這些些漏洞進(jìn)進(jìn)行及時(shí)時(shí)彌補(bǔ)，，以改善善網(wǎng)絡(luò)的的安全性性網(wǎng)絡(luò)掃描描器功能能分類簡(jiǎn)單漏洞洞識(shí)別與與分析全面漏洞洞識(shí)別與與分析簡(jiǎn)單漏洞識(shí)別別與分析許多工具能實(shí)實(shí)現(xiàn)相對(duì)有限限的安全檢測(cè)測(cè)。這些工具具可以自動(dòng)進(jìn)進(jìn)行目標(biāo)主機(jī)機(jī)的TCP/IP端口掃描，嘗嘗試連接存在在已知漏洞的的服務(wù)端口，，并且記錄下下目標(biāo)主機(jī)的的反應(yīng)它們可以為特特定的系統(tǒng)特特性實(shí)現(xiàn)安全全配置檢查全面漏洞識(shí)別別與分析掃描漏洞范圍圍更廣對(duì)漏洞進(jìn)行分分析提出的建議，，減輕潛在的的安全風(fēng)險(xiǎn)常用掃描工具具SATANNessusISSInternetScannerSATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其基本功能是是通過(guò)finger，NFS，ftp，NIS，Web等服務(wù)盡可能能的搜集目標(biāo)標(biāo)主機(jī)和網(wǎng)絡(luò)絡(luò)的相關(guān)信息息并具有簡(jiǎn)單的的推理功能SATAN(2)具有良好的可可擴(kuò)展性最核心部分對(duì)對(duì)操作系統(tǒng)類類型、網(wǎng)絡(luò)服服務(wù)名稱、漏漏洞信息和其其他細(xì)節(jié)信息息依賴性很小小提供了較為靈靈活的方式供供用戶添加自自己的探測(cè)模模塊,用戶可可以自己編寫寫一個(gè)可執(zhí)行行文件，以.satan結(jié)尾NESSUS一個(gè)公開(kāi)代碼碼的安全評(píng)估估工具有靈活Plugin結(jié)構(gòu)，強(qiáng)大的的掃描功能，，并且具有很很好的擴(kuò)展性性自己提供了一一個(gè)語(yǔ)言NASL用于用戶自己己開(kāi)發(fā)測(cè)試模模塊ISSInternetScanner(1)針對(duì)網(wǎng)絡(luò)上主主機(jī)網(wǎng)絡(luò)連接接相關(guān)信息，，分析主機(jī)系系統(tǒng)平臺(tái)，提提供的服務(wù)，，并分析是否否存弱點(diǎn)其可以診斷出出的弱點(diǎn)包括括：對(duì)PC、服務(wù)器、Web服務(wù)器、防火火墻、路由器器等網(wǎng)絡(luò)設(shè)備備的錯(cuò)誤配置置設(shè)備所啟動(dòng)的的服務(wù)弱的或者無(wú)密密碼防護(hù)沒(méi)有打補(bǔ)丁或或者過(guò)時(shí)的系系統(tǒng)平臺(tái)。ISSInternetScanner(2)特點(diǎn)：掃描模塊與管管理控制模塊塊分開(kāi)，管理理方便采用XML方式定義掃描描任務(wù)，策略略配置靈活多多樣支持對(duì)各種網(wǎng)網(wǎng)絡(luò)設(shè)備、平平臺(tái)、應(yīng)用的的評(píng)估界面友好，報(bào)報(bào)告齊全隱患掃描（（vulnerabilitiesscanning）網(wǎng)絡(luò)弱點(diǎn)掃描描主機(jī)弱點(diǎn)掃描描主機(jī)弱點(diǎn)掃描描功能與特點(diǎn)點(diǎn)ISSSystemScanner特定應(yīng)用弱點(diǎn)點(diǎn)掃描主機(jī)弱點(diǎn)掃描描功能與特點(diǎn)點(diǎn)是針對(duì)單一主主機(jī)系統(tǒng)的掃掃描，它在目目標(biāo)系統(tǒng)上運(yùn)運(yùn)行，可以搜搜集到比較全全面的系統(tǒng)信信息，對(duì)系統(tǒng)統(tǒng)安全性作比比較深入地分分析只能分析單個(gè)個(gè)主機(jī)，不能能分析整個(gè)網(wǎng)網(wǎng)絡(luò)狀況，也也不能遠(yuǎn)程執(zhí)執(zhí)行對(duì)于單一主機(jī)機(jī)來(lái)說(shuō)，主機(jī)機(jī)弱點(diǎn)評(píng)估比比網(wǎng)絡(luò)弱點(diǎn)評(píng)評(píng)估的評(píng)估能能力強(qiáng)，準(zhǔn)確確性高它對(duì)弱點(diǎn)的修修復(fù)能力比網(wǎng)網(wǎng)絡(luò)評(píng)估系統(tǒng)統(tǒng)強(qiáng)ISSSystemScanner是ISS公司開(kāi)發(fā)的針針對(duì)主機(jī)的弱弱點(diǎn)掃描工具具只涉及到單一一主機(jī)，功能能較為單一，，報(bào)告比較簡(jiǎn)簡(jiǎn)略對(duì)目標(biāo)系統(tǒng)平平臺(tái)具有很強(qiáng)強(qiáng)的依賴性，，不同的平臺(tái)臺(tái)涉及到不同同的評(píng)測(cè)內(nèi)容容，不同的評(píng)評(píng)測(cè)方法，目目前主要分為為Windows和Unix兩大系列結(jié)合了傳統(tǒng)安安全評(píng)估和完完整性檢測(cè)兩兩種方法的特特點(diǎn)，提出SecurityBaseline技術(shù)，即在進(jìn)進(jìn)行完一次完完整的安全評(píng)評(píng)估后，對(duì)所所有漏洞修補(bǔ)補(bǔ)，保證系統(tǒng)統(tǒng)達(dá)到自己的的安全需求隱患掃描（（vulnerabilitiesscanning）網(wǎng)絡(luò)弱點(diǎn)掃描描主機(jī)弱點(diǎn)掃描描特定應(yīng)用弱點(diǎn)點(diǎn)掃描數(shù)據(jù)庫(kù)弱點(diǎn)掃掃描對(duì)未知漏洞的的檢測(cè)數(shù)據(jù)庫(kù)弱點(diǎn)掃掃描以ISS的DatabaseScanner為代表自動(dòng)解析數(shù)據(jù)據(jù)庫(kù)系統(tǒng)的重重要配置管理理參數(shù)分析數(shù)據(jù)庫(kù)系系統(tǒng)的授權(quán)、、認(rèn)證、完整整性檢測(cè)一些流行行數(shù)據(jù)庫(kù)的安安全漏洞生成詳細(xì)用戶戶報(bào)告提供兩種評(píng)估估方式內(nèi)部掃描外部穿透性測(cè)測(cè)試對(duì)未知漏洞的的檢測(cè)目前主要有三三種方法：靜態(tài)源代碼掃掃描環(huán)境錯(cuò)誤注入入?yún)R編代碼掃描描已有一些成果果發(fā)布，尚待待進(jìn)一步研究究課程內(nèi)容防火墻VPN內(nèi)外網(wǎng)隔離日志審計(jì)入侵檢測(cè)隱患掃描PKI(CA)PGP安全加固防病毒PKI(CA)PKI基礎(chǔ)知識(shí)PKI技術(shù)WIN2000PKIPKI(CA)PKI基礎(chǔ)知識(shí)什么是PKIPKI的組成PKI標(biāo)準(zhǔn)的制定組組織PKI技術(shù)WIN2000PKI什么是PKIPKI是一個(gè)用公鑰概念和技技術(shù)實(shí)施和提供安全服服務(wù)的具有普普適性的安全基礎(chǔ)設(shè)施施提供機(jī)密性（（包括公鑰加加密和對(duì)稱加加密）、數(shù)據(jù)據(jù)完整性、非非否認(rèn)服務(wù)，，比如加密、、數(shù)字簽名、、數(shù)字信封、、時(shí)間戳等等等遵循標(biāo)準(zhǔn)：X.509、RFC2459等公鑰密碼體制制(1)公鑰密碼技術(shù)術(shù)由Diffe和Hellman于1976年首次提出有兩個(gè)不同的的密鑰（公鑰鑰－私鑰對(duì)）），可將加密密功能和解密密功能分開(kāi)是目前若干關(guān)關(guān)鍵技術(shù)如PKI、VPN等的基礎(chǔ)公鑰加密模型型公鑰認(rèn)證模型型公鑰密碼體制制(2)公鑰密碼體制制的優(yōu)點(diǎn):可以簡(jiǎn)化密鑰鑰的管理，并并且可以通過(guò)過(guò)公開(kāi)系統(tǒng)如如公開(kāi)目錄服服務(wù)來(lái)分配密密鑰。公鑰密碼體制制的缺點(diǎn):加、解密的速速度太慢密鑰長(zhǎng)度太長(zhǎng)長(zhǎng)RSA算法：是一個(gè)可逆的的公鑰密碼體體制，在PGP中被用來(lái)加密密通信密鑰和和數(shù)字簽名;基于以下原原理：尋找大大素?cái)?shù)是相對(duì)對(duì)容易的，而而分解兩個(gè)大大素?cái)?shù)的積在在計(jì)算上是不不可行的;目目前建議使用用模長(zhǎng)為1024比特以以上的模作為為密鑰PKI的組成1．CA（認(rèn)證機(jī)構(gòu)）2．證書庫(kù)3．證書撤銷4．密鑰備份和恢恢復(fù)5．自動(dòng)密鑰更新新6．密鑰歷史檔案案7．交叉認(rèn)證8．支持非否認(rèn)9．時(shí)間戳10.客客戶端軟軟件PKI標(biāo)準(zhǔn)的制定組組織國(guó)際標(biāo)準(zhǔn)化組組織/國(guó)際電信聯(lián)盟盟(ISO)/(ITU)-X.509因特網(wǎng)特別工工程任務(wù)組(IETF).RFC2459RSA實(shí)驗(yàn)室PKCS系列美國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)和技術(shù)協(xié)會(huì)會(huì)(NIST)MISPC最小互操作規(guī)規(guī)范PKI(CA)PKI基礎(chǔ)知識(shí)PKI技術(shù)RFC2459X.509信任模型PKI技術(shù)應(yīng)用現(xiàn)狀狀WIN2000PKIRFC2459RFC2459X.509證書(1)（（圖）X.509證書(2)證書版本號(hào)（（Version）證書序列號(hào)（（SerialNumber）簽名算法標(biāo)識(shí)識(shí)符(SignatueAlgID)頒發(fā)者（Issuer）有效期（Validity）X.509證書(3)主體名（Subject）主體公鑰信息息（SubjectPublicKeyInfo）簽發(fā)者唯一標(biāo)標(biāo)識(shí)符(IssuerID)主體唯一標(biāo)識(shí)識(shí)符(SubjectID)簽名值（Issuer'sSignature）擴(kuò)展項(xiàng)X.509V3版本的14項(xiàng)項(xiàng)標(biāo)準(zhǔn)擴(kuò)展信任模型層次信任模型型網(wǎng)狀信任模型型混和信任模型型橋信任模型層次信任模型型網(wǎng)狀信任模型型混和信任模型型橋信任模型PKI技術(shù)應(yīng)用現(xiàn)狀狀VeriSign,IBM,Balitimore,Entrust等為用戶提供供了一系列的的客戶端和服服務(wù)器端的安安全產(chǎn)品各國(guó)政府也相相繼推出和建建立了國(guó)家和和政府級(jí)的PKI體系，如美國(guó)國(guó)聯(lián)邦PKI體系（FPKI）、、加拿大政府PKI體系（GOCPKI）等PKI(CA)PKI基礎(chǔ)知識(shí)PKI技術(shù)WIN2000PKIWIN2000中CA的層次結(jié)構(gòu)證書頒發(fā)過(guò)程程WIN2000PKI的組成WIN2000PKIWindows2000為電子商務(wù)提提供了一個(gè)平平臺(tái)，其中包包括證書管理理、CA服務(wù)與PKI應(yīng)用程序等WIN2000中CA的層次結(jié)構(gòu)Windows2000PKI采用了分層CA模型。這種模模型具備可伸伸縮性，易于于管理，并且且能夠?qū)Σ粩鄶嘣鲩L(zhǎng)的商業(yè)業(yè)性第三方CA產(chǎn)品提供良好好的支持。在在最簡(jiǎn)單的情情況下，認(rèn)證證體系可以只只包含一個(gè)CA。但是就一般情情況而言，這這個(gè)體系是由由相互信任的的多重CA構(gòu)成的WIN2000中CA的層次結(jié)構(gòu)(圖)證書頒發(fā)過(guò)程程CA收到證書請(qǐng)求求信息，包括括個(gè)人資料和和公鑰等CA對(duì)用戶提供的的信息進(jìn)行核核實(shí)CA用自己的私鑰鑰對(duì)證書進(jìn)行行數(shù)字簽名CA將證書發(fā)給用用戶WIN2000PKI的組成認(rèn)證服務(wù)活動(dòng)目錄支持PKI的應(yīng)用程序使用的安全協(xié)協(xié)議WIN2000PKI的組成（圖））認(rèn)證服務(wù)(CertificateServices)是WIN2000PKI中的一個(gè)關(guān)鍵鍵部分通過(guò)它可以部部署一個(gè)或多多個(gè)企業(yè)性的的CA。。這些些CA都可可以以進(jìn)進(jìn)行行認(rèn)認(rèn)證證發(fā)發(fā)布布和和撤撤銷銷服服務(wù)務(wù)，，它它們們與與活活動(dòng)動(dòng)目目錄錄集集成成在在一一起起活動(dòng)動(dòng)目目錄錄提供供了了CA的定定位位信信息息和和CA策略略，，并并可可以以公公布布有有關(guān)關(guān)認(rèn)認(rèn)證證發(fā)發(fā)布布和和撤撤銷銷的的信信息息支持持WIN2000PKI的應(yīng)應(yīng)用用程程序序MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他他第第三三方方程程序序WIN2000PKI使用用的的安安全全協(xié)協(xié)議議安全全套套接接字字協(xié)協(xié)議議SSL網(wǎng)際際安安全全協(xié)協(xié)議議IPSec課程程內(nèi)內(nèi)容容防火火墻墻VPN內(nèi)外外網(wǎng)網(wǎng)隔隔離離日志志審審計(jì)計(jì)入侵侵檢檢測(cè)測(cè)隱患患掃掃描描PKI(CA)PGP安全全加加固固防病病毒毒PGP(PrettyGoodPrivacy)PGP發(fā)展展歷歷史史與與現(xiàn)現(xiàn)狀狀PGP加密密流流程程PGP加解解密密算算法法PGP的密密鑰鑰管管理理機(jī)機(jī)制制PGP(PrettyGoodPrivacy)PGP概述述PGP發(fā)展展歷歷史史與與現(xiàn)現(xiàn)狀狀PGP功能能PGP加密密流流程程PGP加解解密密算算法法PGP的密密鑰鑰管管理理機(jī)機(jī)制制PGP發(fā)展展歷歷史史與與現(xiàn)現(xiàn)狀狀是一一個(gè)個(gè)基基于于RSA公鑰鑰加加密密體體系系的的郵郵件件加加密密軟軟件件由美美國(guó)國(guó)的的PhilZimmermann于1991年發(fā)發(fā)布布采用用了了RSA和對(duì)對(duì)稱稱加加密密算算法法相相結(jié)結(jié)合合的的機(jī)機(jī)制制1993年年，，美美國(guó)國(guó)政政府府以以違違反反出出口口法法規(guī)規(guī)提提起起了了對(duì)對(duì)PhilZimmermann的訴訴訟訟。。最最后后以以PhilZimmermann獲勝勝告告終終。。PGP功能能電子子郵郵件件機(jī)機(jī)密密性性身份份認(rèn)認(rèn)證證文件件加加密密PGP(PrettyGoodPrivacy)PGP發(fā)展展歷歷史史與與現(xiàn)現(xiàn)狀狀PGP加密密流流程程安全全機(jī)機(jī)制制PGP公鑰鑰與與證證書書口令令PGP加解解密密算算法法PGP的密密鑰鑰管管理理機(jī)機(jī)制制PGP安全全機(jī)機(jī)制制采用用公公開(kāi)開(kāi)密密鑰鑰加加密密與與對(duì)對(duì)稱稱密密鑰鑰加加密密相相結(jié)結(jié)合合的的加加密密體體系系對(duì)稱稱密密鑰鑰加加密密技技術(shù)術(shù)部部分分所所使使用用的的密密鑰鑰稱稱為為“會(huì)話話密密鑰鑰”會(huì)話話密密鑰鑰在在每每次次會(huì)會(huì)話話中中隨隨機(jī)機(jī)產(chǎn)產(chǎn)生生會(huì)話話密密鑰鑰用用來(lái)來(lái)保保護(hù)護(hù)報(bào)報(bào)文文內(nèi)內(nèi)容容公開(kāi)開(kāi)密密鑰鑰加加密密技技術(shù)術(shù)中中的的公公鑰鑰和和私私鑰鑰則則用用來(lái)來(lái)加加密密和和解解密密會(huì)會(huì)話話密密鑰鑰PGP公鑰鑰與與證證書書每個(gè)個(gè)PGP公鑰鑰都都伴伴隨隨著著一一個(gè)個(gè)證證書書PGP承認(rèn)認(rèn)兩兩種種不不同同的的證證書書格格式式PGP證書書X.509證書書PGP證書書(1)（（圖圖））PGP證書書(2)（（圖圖））PGP證書書(3)（（圖圖））PGP證書書(3)PGP證書書通通常常包包括括以以下下信信息息PGP版本本號(hào)號(hào)證書書持持有有者者的的公公鑰鑰證書書持持有有者者的的信信息息證書書擁?yè)碛杏姓哒叩牡臄?shù)數(shù)字字簽簽名名證書書的的有有效效期期密鑰鑰首首選選的的對(duì)對(duì)稱稱加加密密算算法法中介介人人簽簽名名X.509證書書與與PGP證書書的的不不同同用戶戶可可以以創(chuàng)創(chuàng)建建自自己己的的PGP證書書;但是是必必須須向向CA請(qǐng)求求才才能能得得到到一一份份X.509證書書X.509證書書只只支支持持密密鑰鑰擁?yè)碛杏姓哒叩牡囊灰粋€(gè)個(gè)名名字字X.509證書書只只支支持持證證明明密密鑰鑰合合法法性性的的一一個(gè)個(gè)數(shù)數(shù)字字簽簽名名PGP(PrettyGoodPrivacy)PGP發(fā)展展歷歷史史與與現(xiàn)現(xiàn)狀狀加密密流流程程PGP加解解密密算算法法PGP中的公公鑰密密碼體體制PGP中的身身份認(rèn)認(rèn)證PGP中的對(duì)對(duì)稱密密碼體體制PGP的密鑰鑰管理理機(jī)制制PGP公鑰密密碼體體制公鑰密密碼體體制的的優(yōu)點(diǎn)點(diǎn):可以簡(jiǎn)簡(jiǎn)化密密鑰的的管理理，并并且可可以通通過(guò)公公開(kāi)系系統(tǒng)如如公開(kāi)開(kāi)目錄錄服務(wù)務(wù)來(lái)分分配密密鑰。。公鑰密密碼體體制的的缺點(diǎn)點(diǎn):加、解解密的的速度度太慢慢密鑰長(zhǎng)長(zhǎng)度太太長(zhǎng)RSA算法：：是一個(gè)個(gè)可逆逆的公公鑰密密碼體體制，，在PGP中被用用來(lái)加加密通通信密密鑰和和數(shù)字字簽名名;基基于以以下原原理：：尋找找大素素?cái)?shù)是是相對(duì)對(duì)容易易的，，而分分解兩兩個(gè)大大素?cái)?shù)數(shù)的積積在計(jì)計(jì)算上上是不不可行行的;目前前建議議使用用模長(zhǎng)長(zhǎng)為1024比比特以以上的的模作作為密密鑰數(shù)字簽簽名與與消息息摘要要(1)什么是是數(shù)字字簽名名：是一種種確保保數(shù)據(jù)據(jù)完整整性和和非否否認(rèn)性性的手手段，，通過(guò)過(guò)給消消息附附加一一段數(shù)數(shù)據(jù)來(lái)來(lái)實(shí)現(xiàn)現(xiàn)使用對(duì)對(duì)稱密密碼體體制或或公鑰鑰密碼碼體制制，目目前一一般使使用公公鑰密密碼體體制實(shí)實(shí)現(xiàn)問(wèn)題：：速度慢慢產(chǎn)生大大量數(shù)數(shù)據(jù)，，大約約是原原始數(shù)數(shù)據(jù)的的兩倍倍數(shù)字簽簽名與與消息息摘要要(2)解決方方法：：引入消消息摘摘要什么是是消息息摘要要：通過(guò)對(duì)對(duì)一段段任意意長(zhǎng)的的消息息使用用單向向函數(shù)數(shù)，獲獲得的的一段段定長(zhǎng)長(zhǎng)的數(shù)數(shù)據(jù)流程：：構(gòu)造一一段消消息的的消息息摘要要對(duì)該段段消息息摘要要進(jìn)行行數(shù)字字簽名名數(shù)字簽簽名與與消息息摘要要(3)對(duì)消息息摘要要算法法的要要求：：函數(shù)必必須是是單向向的，，即對(duì)對(duì)任意意消息息摘要要來(lái)構(gòu)構(gòu)筑能能產(chǎn)生生該消消息摘摘要的的輸入入消息息是計(jì)計(jì)算上上不可可行的的構(gòu)造兩兩個(gè)能能產(chǎn)生生相同同消息息摘要要的不不同的的消息息是計(jì)計(jì)算上上不可可行的的PGP中的對(duì)對(duì)稱密密碼體體制什么是是對(duì)稱稱密碼碼體制制一種使使用相相同密密鑰（（或相相互容容易推推出的的）進(jìn)進(jìn)行加加密和和解密密的密密碼體體制分為序序列密密碼和和分組組密碼碼，PGP中使用用分組組密碼碼中的的IDEA算法來(lái)來(lái)加密密數(shù)據(jù)據(jù)優(yōu)點(diǎn)：：加解密密速度度快缺點(diǎn)：：必須有有一個(gè)個(gè)安全全的傳傳遞通通道用用來(lái)傳傳遞密密鑰PGP(PrettyGoodPrivacy)PGP發(fā)展歷歷史與與現(xiàn)狀狀加密流流程PGP加解密密算法法PGP的密鑰鑰管理理機(jī)制制PGP的密鑰鑰管理理機(jī)制制一個(gè)成成熟的的加密密體系系必然然要有有一個(gè)個(gè)成熟熟的密密鑰管管理機(jī)機(jī)制配配套PGP密鑰管管理的的問(wèn)題題：容易被被他人人篡改改、偽偽造解決方方法：：公鑰介介紹機(jī)機(jī)制通過(guò)其其他人人對(duì)公公鑰的的簽名名保證證公鑰鑰的可可信度度存在的的問(wèn)題題：密鑰撤撤銷課程內(nèi)內(nèi)容防火墻墻VPN內(nèi)外網(wǎng)網(wǎng)隔離離日志審審計(jì)入侵檢檢測(cè)隱患掃掃描PKI(CA)PGP安全加加固防病毒毒安全加加固(1)安全加加固通通常是是指通通過(guò)一一定的的技術(shù)術(shù)手段段，在在不增增加新新產(chǎn)品品的基基礎(chǔ)上上，提提高系系統(tǒng)的的安全全性和和抗攻攻擊能能力安全加加固的的優(yōu)點(diǎn)點(diǎn)相對(duì)于于重新新開(kāi)發(fā)發(fā)系統(tǒng)統(tǒng)，成成本較較低可以滿滿足大大多數(shù)數(shù)用戶戶對(duì)安安全系系統(tǒng)