企業(yè)信息化培訓三

企業(yè)信息化傅建明武漢大學計算機學院謝謝羅敏博士第七章網絡信息安全網絡信息安全的概念網絡信息安全的常用技術網絡信息安全的概念網絡信息安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地運行，網絡服務不中斷。網絡安全性指計算機機密性、完整性和可用性的實現。網絡安全性可用性授權實體有權訪問數據。機密性信息不暴露給未授權實體或進程。完整性保證數據不被未授權修改。網絡信息安全的常用技術防火墻技術入侵檢測技術反病毒技術內外網隔離技術VPN技術電子郵件的安全7.1防火墻技術有關知識和概念體系結構防火墻的設計

7.1.1有關知識和概念防火墻的概念

Internet防火墻指能增強網絡安全性的（一組）系統(tǒng)或一種裝置。它是由軟件或硬件設計組合而成，通常位于局域網/內部網與Internet/外部網之間，用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡不被破壞，防止內部網的敏感數據被竊取。所以防火墻實際上可以作為內部網和外部網之間的一種訪問控制設備。它可以是路由器，也可以是個人主機、主系統(tǒng)或一批主系統(tǒng)，用于把網絡或子網同子網外的可能是不安全的系統(tǒng)隔離。7.1.1有關關知識和概概念防火墻的訪訪問控制：：1.服務控制，，決定哪些些服務可以以被訪問2.方向控制，，決定哪些些方向的服服務請求被被發(fā)起3.用戶控制，，哪些用戶戶可以訪問問服務（本本地用戶，，遠程用戶戶）4.行為控制，，控制具體體的服務過過程7.1.1有關關知識和概概念防火墻的應應用：1.設立單一阻阻塞點2.提供NAT，對外可以隱隱藏內部IP，可計費3.作為IPSec的平臺（性能管理理、安全管管理、故障障管理、計計費管理、、配置管理理）7.1.1有關關知識和概概念防火墻的優(yōu)優(yōu)點防止易受攻攻擊的服務務控制訪問網網點集中安全性性增強保密，，強化私有有權有關網絡使使用、濫用用的紀錄和和統(tǒng)計政策執(zhí)行7.1.1有關關知識和概概念防火墻的主主要組成部部分：網絡政策（（高級的、、低級的））先進的驗證證工具包過濾應用網關防火墻設計計的基本方方針只允許訪問問特定的服服務只拒絕訪問問特定的服服7.1.1有關關知識和概概念防火墻的缺缺點不能防范惡惡意的知情情者不能防范不不通過它的的連接幾乎不能防防范病毒只能用來防防備已知的的威脅，不不能防備新新的未知的的威脅7.1.1有關關知識和概概念按位置分：：l個人防火墻墻（主機））l企業(yè)防火墻墻（網絡））按實現方式式分：l軟件防火墻墻l硬件防火墻墻l軟硬一體化化防火墻按技術分：：l包過濾器l應用層網關關電路層網關關防防火墻體系系結構雙宿主主機機防火墻被屏蔽主機機被屏蔽子網網其它防防火墻體系系結構堡壘主機bastionhost是網絡安全全的一個邊邊界點，可可以作為應應用層網關關和電路層層網關的服服務平臺。雙宿主主機機防火墻雙宿主主機機防火墻被屏蔽主機機被屏蔽主機機被屏蔽子網網被屏蔽子網網7.1.3防火火墻的設計計包過濾防火火墻網絡層(IP層)應用層防火火墻應用層NAT代理服務包過濾防火火墻包過濾防火火墻l

源IP地址/目的IP地址l

源端口/目的端口l

IP協議域-TCP,UDP,ICMP.RIP,OSPF…l

TCP標志位ACKl

ICMPtype包過濾防火火墻設計要求：：1.外網的主機機可以訪問問內網的SMTP服務器（25）2.內網的主機機可以訪問問外網的SMTP服務器（25）3.

除1，2外不允許其他流量通過該防火墻包過濾防火火墻包過濾防火火墻規(guī)則號源源地址目目的地址協協議類類型源源端口目目的的端口動動作ACK位A1外部地址內內部地地址TCP>102425passanyB2內部地址外外部地地址TCP25>1024passACKC3內部地址外外部地地址TCP>102425passanyD4外部地址內內部地地址TCP25>1024passACKE5anyanyanyanyanydropany包過濾防火火墻-狀態(tài)檢查應用層網關關增加驗證功功能/實現應用服服務。應用用層網關，，也稱為代代理服務器器，proxy，broker，Agent，傳遞消息。。電路層網關關應用：Web，BBS，FTP，EMAIL，QQSocks4TCP協議；Socks5TCP/UDP，IPv6，身份驗證，，DNS，RFC1928，1929；；HTTPAgent：：80防火墻的發(fā)發(fā)展1.功能：l包過濾：基基于狀態(tài)檢檢查的包過過濾l基于內容的的信息過濾濾非法信息/垃圾郵件/端口掃描/拒絕服務/病毒/木馬/蠕蟲…lVPN，VirtualPrivateNetworklIDS防火墻的發(fā)發(fā)展2.性能：千兆防火墻墻，專用芯芯片（ASIC快速算法stress-test-強力測試規(guī)則數

性能

防火墻的發(fā)發(fā)展3.管理：lWeblGUIlConsole/CLI安全，認證證4.抗攻擊：scanning，firewalk，SNMPwalk7.2入入侵檢測測技術入侵檢測的的任務入侵檢測的的原理入侵檢測的的方法7.2入入侵檢測測技術入侵：指任任何試圖危危及計算機機資源的完完整性、機機密性或可可用性的行行為。入侵的分類類：1.入侵者只獲獲得系統(tǒng)訪訪問權限，，即獲得了了普通級別別的系統(tǒng)帳帳號和口令令并登錄主主機，不做做破壞性的的工作2.入侵者進入入系統(tǒng)后，，毀壞改變變數據3.入侵得到部部分或整個個系統(tǒng)的控控制權修改系統(tǒng)帳帳戶、口令令、修改日日志、安裝裝后門、木木馬等4.拒絕服務的的攻擊，入入侵者并沒沒有獲得系系統(tǒng)的訪問問權，而是是利用一些些拒絕服務務的攻擊程程序，引起起網絡掛起起或重新啟啟動.7.2入入侵檢測測技術入侵的來源源：1.外部入侵者者：未授權權的用戶2.內部入侵者者：逾越了了合法訪問問權限的系系統(tǒng)授權用用戶,如：：偽裝者：盜盜用秘密用戶：：躲過審計計7.2入入侵檢測測技術網絡中的安安全威脅主主要有：1.身份竊取，，用戶身份份在通信時時被非法竊竊取3.

數據竊取，指非法用戶截獲通信網絡的數據4.

否認，知通信方事后否認曾經參與某次活動的行為5.

非授權訪問6.

拒絕服務，指合法用戶的正常申請被拒絕、延遲、更改等7.

錯誤路由入侵檢測的的任務識別入侵者者和入侵行行為檢測和監(jiān)視視已成功的的安全突破破為對抗措施施及時提供供重要信息息入侵檢測，，IntrusionDetection，對入侵行為為的發(fā)覺。。它通過在在系統(tǒng)（計計算機）網網絡中的若若干關鍵點點收集信息息并對其進進行分析，，從中發(fā)現現網絡或系系統(tǒng)中是否否有違反安安全策略的的行為和被被攻擊的跡跡象。進行行入侵檢測測的軟件與與硬件的組組合便是入入侵檢測系系統(tǒng)（IntrusionDetectionSystem，IDS）。安全模型PDR模型：P（t）>D（t）+R（t）PreventionDetectionResponse黑客：1.scriptkiddy2.利用已有的的漏洞和弱弱點，編制制新的工具具3.發(fā)現已有的的系統(tǒng)的漏漏洞和弱點點入侵檢測的的功能IDS的功能：1.檢測并分析析用戶和系系統(tǒng)的活動動2.檢查系統(tǒng)的的配置和漏漏洞-scanning3.評估系統(tǒng)關關鍵資源和和數據文件件的完整性性4.識別已知的的攻擊行為為5.統(tǒng)計分析異異常行為6.管理操作系系統(tǒng)日志，，并識別違違反安全策策略的用戶戶活動入侵檢測的的原理入侵檢測系系統(tǒng)的分類類根據審計數數據的來源源可l基于主機的的IDS保護關鍵位位置的服務務器，實時時監(jiān)視可疑疑的連接、、系統(tǒng)日志志、非法訪訪問的入侵侵等。一般般通過分析析審計記錄錄確認是否否有入侵發(fā)發(fā)生.Filemonitor(R,W,E,B);registertablemonitor;memorymonitor;portmonitor.l基于網絡絡的IDS通過連接接在網絡絡的站點點捕獲網網上的數數據包，，并分析析其是否否具有已已知的攻攻擊模式式，以此此來判別別是否為為入侵者者。基于agent的IDS入侵檢測測的方法法異常檢測測誤用檢測測異常入侵侵檢測分析用戶戶正常的的行為活活動，并并建立統(tǒng)統(tǒng)計概率率模型，，然后觀觀察系統(tǒng)統(tǒng)的行為為，決定定在何種種程序上上將一個個行為標標識為““異?！薄?。該方法只只能識別別出那些些與正常常過程有有較大偏偏差的行行為，而而無法知知道具體體的入侵侵情況，，誤警較較高。異常入侵侵檢測例：用戶名時間戳主機用戶主機機命令參數行為……常用算法法：Bayes，HMM，神經網絡絡，………優(yōu)點：可可以檢測測未知的的攻擊誤用入侵侵檢測是基于已已知的系系統(tǒng)缺陷陷和入侵侵模式；；假設能精精確的編編碼攻擊擊特征。。檢測：按按先定義義好的入入侵模式式匹配當當前用戶戶的活動動，若匹匹配則有有入侵。。常用算法法：規(guī)則則，專家家系統(tǒng)，，Petrinet……誤用入侵侵檢測例：1.%cp/bin/sh/usr/spool/mail/root2.%chmod4755/usr/spool/mail/root3.%touchx4.%mailroot<x5.%/usr/spool/mail/root6.root%檢測結果果當前用戶戶的活動動有4種可能：：1.入侵但非非異常，，……漏漏檢2.非入侵且且異常，，……誤誤檢3.非入侵且且非異常常4.入侵且異異常入侵檢測測系統(tǒng)指標1可靠靠性，容容錯能力力，可連連續(xù)運行行TolearanceIntrusionSystem2.可用性3.可測性4.適應性，，適應環(huán)環(huán)境的變變化（未未知攻擊擊）1.實時性--PDR2.準確性，，——falsepositive誤檢MDADfalsenegative漏檢MD5.安全全性，IDS本身安全全入侵檢測測系統(tǒng)發(fā)展和困困難系統(tǒng)的漏漏洞百出出，入侵侵行為表表現為不不確定性性、復雜雜性、多多樣性等等。關鍵的問問題：1.高效的檢檢測算法法2.入侵模式式的自動動生成及及確認3.實時監(jiān)測測、響應應4.入侵描述述語言XML、數據標準化5.數據捕獲，20M，30M，50M6.IDS間的協同7.IDS評估8.容容侵研究7.3反反病毒技術基本知識病毒的特征病毒的分類反病毒技術病毒的預防措措施7.3反反病毒技術《中華人民共共和國計算機機信息系統(tǒng)安安全保護條例例》，在《條條例》第二十十八條中明確確指出：“計算機病毒毒，是指編制制或者在計算算機程序中插插入的破壞計計算機功能或或者毀壞數據據，影響計算算機使用，并并能自我復制制的一組計算算機指令或者者程序代碼””7.3反反病毒技術其產生的原因因有：（1）、一些計算算機愛好者出出于好奇或興興趣；（2）、產生于個個別人的報復復心理。（3）、來源于軟軟件加密。（4）、產生于游游戲。（5）、用于研究究或實驗而設設計的“有用用”程序，由由于某種原因因失去控制而而擴散出來。。（6）、由于政治治、經濟和軍軍事等特殊目目的，一些組組織或個人也也會編制一些些程序用于進進攻對方電腦腦。7.3反反病毒技術其特征可以歸歸納為傳染性性，非授權性性，隱蔽性，，潛伏性，破破壞性，不可可預見性和可觸發(fā)性。計算機病毒的的傳染性是指指病毒具有把把自身復制到到其它程序的的能力，是病病毒的基本特特征。非授權權性強調病毒毒程序的執(zhí)行行對用戶是未未知的，即病病毒的執(zhí)行具具有某種主動動性。隱蔽性性是指病毒生生存的必要條條件。病毒的的非授權性，，隱蔽性，潛潛伏性使得病病毒的行為是是不可預見的的，病毒的觸發(fā)條條件越多，則則傳染性越強強，但同時其其隱蔽性和潛伏伏性降低。病毒的分類按傳染方式分分：引導型病毒文件型病毒混合型病毒按連接方式分分：源碼型病毒入侵型病毒操作系統(tǒng)型病病毒外殼型病毒按破壞性分：：良性病毒惡性病毒計算機病毒的狀態(tài)靜態(tài)病毒，指指存在于輔助助存儲介質(如軟盤、硬盤盤、磁帶、CD-ROM)上的計算機病病毒。靜態(tài)病病毒不能產生生傳染和破壞壞作用。動態(tài)病毒，指指進入了計算算機內存的計計算機病毒，，它必定是隨隨病毒宿主的的運行而運行行，如使用寄寄生了病毒的的軟、硬盤啟啟動機器，或或執(zhí)行染有病病毒的程序文文件時進入內內存的。計算機病毒的組成病毒程序是一一種特殊程序序，其最大特特點是具有感感染能力。病病毒的感染動動作受到觸發(fā)發(fā)機制的控制制，病毒觸發(fā)發(fā)機制還控制制了病毒的破破壞動作。病病毒程序一般般由感染模塊塊、觸發(fā)模塊塊、破壞模塊塊、主控模塊塊組成，相應應為感染機制制、觸發(fā)機制制和破壞機制制三種。有的的病毒不具備備所有的模塊塊，如巴基斯斯坦智囊病毒毒沒有破壞模模塊。常見計算機病病毒種類DOS病毒,PE病毒,宏病毒,腳本病毒,蠕蟲--蠕蟲王/沖擊擊波/MyDoom//Netsky/震蕩波反病毒技術第一代靜態(tài)特征代碼碼掃描第二代靜態(tài)廣譜特征征掃描第三代靜態(tài)掃描和動動態(tài)仿真相結結合第四代多種技術相結結合反病毒技術特征值檢測技技術；校驗和檢測技技術；行為監(jiān)測技術術；啟發(fā)式掃描技技術；虛擬機技術。。病毒預防（1）檢查外來來文件（2）局域網預預防（3）購買正版版軟件（4）小心運行行可執(zhí)行文文件（5）使用確認認和數據完完整性工具具（6）周期性備備份工作文文件病毒預防（7）留心計算算機出現的的異常，如如操作突然然中止、系系統(tǒng)無法啟啟動、文件件消失、文文件屬性自自動變更、、程序大小小和時間出出現異常、、非使用者者意圖的電電腦自行操操作、電腦腦有不明音音樂傳出或或死機、硬硬盤的指示示燈持續(xù)閃閃爍、系統(tǒng)統(tǒng)的運行速速度明顯變變慢、上網網速度緩慢慢。（8）及時升級級抗病毒工工具的病毒毒特征庫和和有關的殺殺毒引擎。。（9）建立健全全的網絡系系統(tǒng)安全管管理制度“預防為主，，消滅結合合”7.4內內外網隔隔離技術（（物理隔離離）什么是物理理隔離物理隔離技技術雙機物理隔隔離雙硬盤物理理隔離單硬盤物理理隔離系統(tǒng)統(tǒng)網絡級物理理隔離隔離網閘7.4內內外網隔隔離技術2000年年1月，國國家保密局局發(fā)文：涉涉密網絡不不能直接或或間接與互互聯網或公公眾網互聯聯。物理隔離：：指內部網網絡與外部部網絡之間間物理上沒沒有相互連連接的通道道。邏輯隔離：：指內部網網絡與外部部網絡之間間物理上有有相互連接接的設備，，但只是邏邏輯上的通通道。7.4內內外網隔隔離技術第一代隔離離技術———完全的隔隔離。此方方法使得網網絡處于信信息孤島狀狀態(tài)，做到到了完全的的物理隔離離，需要至至少兩套網網絡和系統(tǒng)統(tǒng)。第二代隔離離技術———硬件卡隔隔離。在客客戶端增加加一塊硬件件卡，客戶戶端硬盤或或其他存儲儲設備首先先連接到該該卡，然后后再轉接到到主板上，，通過該卡卡能控制客客戶端硬盤盤或其他存存儲設備。。而在選擇擇不同的硬硬盤時，同同時選擇了了該卡上不不同的網絡絡接口，連連接到不同同的網絡。。共享鍵盤盤/cpu/顯示器P2047.4內內外網隔隔離技術第三代隔離離技術—數數據轉播隔隔離。利用用轉播系統(tǒng)統(tǒng)分時復制制文件的途途徑來實現現隔離，切切換時間非非常之久，，甚至需要要手工完成成，不僅明明顯地減緩緩了訪問速速度，更不不支持常見見的網絡應應用，失去去了網絡存存在的意義義.第四代隔離離技術—空空氣開關隔隔離。它是是通過使用用單刀雙擲擲開關，使使得內外部部網絡分時時訪問臨時時緩存器來來完成數據據交換的，，但在安全全和性能上上存在有許許多問題。。-隔離集集線器第五代隔離離技術—安安全通道隔隔離。此技技術通過專專用通信硬硬件和專有有安全協議議等安全機機制，來實實現內外部部網絡的隔隔離和數據據交換，透透明支持多多種網絡應應用。網閘閘/渡船7.5企企業(yè)的虛虛擬專用網網（VPN技術）VPN的定義和分分類VPN的作用和特特點VPN技術什么是VPN?VPN(VirtualPrivateNetwork)是通過internet公共網絡在在局域網絡絡之間或單單點之間安安全地傳遞遞數據的技技術ISPModemsVPNGatewayVPNGateway總部網絡遠程局域網絡總部分支機構單個用戶InternetVPN可以省去專專線租用費費用或者長長距離電話話費用，大大大降低成成本VPN可以充分利利用internet公網資源，，快速地建建立起公司司的廣域連連接VPN的作用數據加密信息認證和和身份認證證訪問權限控控制VPN技術術隧道協議（（TunnelProtocols））PPTP(PointtoPointTunnelingProtocol)L2TP(Layer2TunnelingProtocol)Ipsec(SecureIP)隧道服務器器(TunnelServers)認證(Authentication)加密(Encryption)PPTP(PointtoPointTunnelingProtocol)由3Com公司和Microsoft公司合作開開發(fā)的PPTP是第一個廣廣泛使用建建立VPN的協議。Windows95/98/NT4.0／2000,Linux、SolarisPPTP可以將其他他類型協議議的數據包包提取出來來，然后封封裝在一個個PPTP包中，這樣樣就可以支支持從客戶戶機到VPN網絡(LAN)服務器(例如移動用用戶到公司司總部LAN)和LAN-to-LAN(例如分支機機構、合作作伙伴到總總部VPN網絡服務器器)兩種隧道。。PPTP是是PPP協協議的擴展展當與遠程計計算機連接接時，PPP需要與遠程程計算機一一起按以下下步驟協商商完成工作作：(1)在遠程計算算機和服務務器之間建建立幀傳輸輸規(guī)則，通通過該規(guī)則則的建立，，才允許進進行連續(xù)的的通信(通常稱為“幀傳輸”)。(2)遠程訪問服服務器通過過使用PPP協議中的身身份驗證協協議(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，來驗證遠遠程用戶的的身份。(3)身份驗證完完畢后，如如果用戶啟啟用了回撥撥，則遠程程訪問服務務器將掛斷斷并呼叫遠遠程訪問客客戶機，實實現服務器器回撥。(4)“網絡控制協協議”(NCP)啟用并配置置遠程客戶戶機，使得得所用的LAN協議與服務務器端進行行PPP通信連接。。PPTP第2層隧道協議議（L2TP）L2TP也是PPP協議的擴展展，它綜合合了PPTP和L2F兩個隧道協協議的優(yōu)點點。它是由由Cisco、Microsoft、Ascend、3Com和其他網絡絡設備供應應商開發(fā)-RFC2661。L2TP主要由LAC(L2TPAccessConcentrator，第2層隧道協議議接入集線線器)和LNS(L2TPNetworkServer，第2層隧道協議議網絡服務務器)構成L2TPPPTP與L2TP比較1.PPTP要求互聯網網絡為IP網絡。L2TP只要求隧道道媒介提供供面向數據據包的點對對點的連接接。L2TP可以在IP（使用UDP），，幀中繼永久久虛擬電路路（PVCs））,X.25虛擬電路（（VC）或ATMVC網絡上使用用。2.PPTP只能在兩端端點間建立立單一隧道道。L2TP支持在兩端端點間使用用多隧道。。3.L2TP可以提供包包頭壓縮。。當壓縮包包頭時，系系統(tǒng)開銷（（overhead））占用4個字字節(jié)，而PPTP協議下要占占用6個字字節(jié)。4.L2TP可以提供隧隧道驗證，，而PPTP則不支持隧隧道驗證。。但是當L2TP或PPTP與IPSEC共同使用時時，可以由由IPSEC提供隧道驗驗證，不需需要在第2層協議上上驗證隧道道VPN技術-傳輸模式傳輸模式主主要是為上上層協議提提供保護，，同時增加加了IP包載荷荷的保保護。。例如如，TCP段或UDP段、ICMP包均是是在主主機協協議棧棧的IP層進行行操作作。典典型地地，傳傳輸模模式用用于在在兩臺臺主機機（如如服務務器與與工作作站之之間、、兩個個工作作站之之間））進行行的端端到端端通信信。當當一個個主機機在IPv4上運行行AH或ESP時，其其載荷荷是跟跟在IP報頭后后面的的數據據，對對IPv6而言，，其載載荷是是跟在在IP報頭后后面的的數據據和IPv6的任何何擴展展頭。。傳輸模模式的的ESP加密和和認證證（可可選））IP載荷，，但不不包括括IP頭。傳傳輸模模式的的AH認證IP載荷和和IP頭的選選中部部分。。VPN技術-隧道模模式隧道模模式對對整個個IP包提供供保護護。為為了達達到這這個目目的，，當IP包加AH或ESP域之后后，整整個數數據包包加安安全域域被當當作一一個新新IP包的載載荷，，并擁擁有一一個新新的外外部IP包頭。。原來來或內內部的的整個個包利利用隧隧道在在網絡絡之間間傳輸輸，沿沿途路路由器器不能能檢查查內部部IP包頭。。由于于原來來的包包被封封裝起起來，，新的的、更更大的的包可可以擁擁有完完全不不同的的源地地址與與目的的地址址，以以增強強安全全性。。當SA的一端端或兩兩端為為安全全網關關時使使用隧隧道模模式，，如使使用IPS