《北京信息安全服務(wù)人員資質(zhì)培訓(xùn)材料》之二：安全產(chǎn)品和工具

平安主流產(chǎn)品與常見工具蘇璞睿信息平安國(guó)家重點(diǎn)實(shí)驗(yàn)室Email:supurui@is.iscas.ac課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒Internet雙重宿主主機(jī)體系結(jié)構(gòu)〔圖〕雙重宿主主機(jī)體系結(jié)構(gòu)

屏蔽主機(jī)體系結(jié)構(gòu)〔圖〕屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)將提供平安保護(hù)的堡壘主機(jī)置于內(nèi)部網(wǎng)上，使用一個(gè)單獨(dú)的路由器對(duì)該主機(jī)進(jìn)行屏蔽優(yōu)點(diǎn)：能夠提供更高層次的平安保護(hù)缺點(diǎn)：堡壘主機(jī)一旦被攻破，整個(gè)網(wǎng)絡(luò)就會(huì)被攻破屏蔽子網(wǎng)體系結(jié)構(gòu)〔圖〕屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽主機(jī)結(jié)構(gòu)根底上，增加了一層周邊網(wǎng)絡(luò)的平安機(jī)制，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間有兩層隔離。優(yōu)點(diǎn)：即使堡壘主機(jī)被攻破，也不能直接侵入內(nèi)部網(wǎng)絡(luò)。體系結(jié)構(gòu)的其他形式

使用多堡壘主機(jī)

合并內(nèi)部與外部路由器

合并堡壘主機(jī)與外部路由器

使用多臺(tái)外部路由器、多個(gè)周邊網(wǎng)絡(luò)

組合使用雙重宿主主機(jī)和屏蔽子網(wǎng)

不宜采用的體系結(jié)構(gòu)合并堡壘主機(jī)與內(nèi)部路由器

使用多臺(tái)內(nèi)部路由器

數(shù)據(jù)包過(guò)濾(1)數(shù)據(jù)包過(guò)濾(2)〔圖〕數(shù)據(jù)包過(guò)濾(3)判斷依據(jù)有：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP選項(xiàng)：源路由、記錄路由等TCP選項(xiàng)：SYN、ACK、FIN、RST等其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1數(shù)據(jù)包過(guò)濾設(shè)置實(shí)例規(guī)則方向源地址源端口目標(biāo)地址目標(biāo)端口動(dòng)作1出內(nèi)部*61.X.*拒絕2入211.X.*內(nèi)部*拒絕3雙向***25拒絕數(shù)據(jù)包過(guò)濾(4)數(shù)據(jù)包過(guò)濾的優(yōu)點(diǎn)：一個(gè)配置適當(dāng)?shù)臄?shù)據(jù)包過(guò)濾器可以保護(hù)整個(gè)網(wǎng)絡(luò)對(duì)用戶透明度高易實(shí)現(xiàn)：大多數(shù)路由器都具有數(shù)據(jù)包過(guò)濾功能數(shù)據(jù)包過(guò)濾的缺點(diǎn)：配置和檢驗(yàn)較為困難一些協(xié)議不適合數(shù)據(jù)包過(guò)濾

某些策略難以執(zhí)行應(yīng)用代理(1)應(yīng)用代理(2)〔圖〕客戶應(yīng)用代理效勞器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)響應(yīng)轉(zhuǎn)發(fā)請(qǐng)求發(fā)送響應(yīng)應(yīng)用代理(3)〔圖〕應(yīng)用代理(4)它的優(yōu)點(diǎn)是：對(duì)用戶透明支持用戶認(rèn)證可以產(chǎn)生小并且更有效的日志。它的缺點(diǎn)是：速度比較慢對(duì)一些新的或不常用的效勞不支持NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議〕可以使多個(gè)用戶分享單一的IP地址為Internet連接提供一些平安機(jī)制可以向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)轉(zhuǎn)換機(jī)制：當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請(qǐng)求，修改傳出的包，這樣包就像是來(lái)自單一的公共IP地址是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)平安的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行可以對(duì)用戶計(jì)算機(jī)的網(wǎng)絡(luò)通信進(jìn)行過(guò)濾通常具有學(xué)習(xí)模式，可以在使用中不斷增加新的規(guī)那么NetScreenVs.CheckPoint供應(yīng)商N(yùn)etScreenCheckPoint架構(gòu)硬件軟件性能在操作系統(tǒng)screenos版本為3.0時(shí)防火墻的通透性可以達(dá)到12Gbps之高依賴于使用平臺(tái)的CPU、內(nèi)存等配置，使用新技術(shù)ApplicationInteglligence后，性能在原來(lái)的基礎(chǔ)上進(jìn)一步提升了31%。穩(wěn)定性和兼容性采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應(yīng)該領(lǐng)先；操作系統(tǒng)是專用的screenos，不存在防火墻和硬件的兼容性問(wèn)題。操作系統(tǒng)和硬件不是特定為防火墻各項(xiàng)功能設(shè)計(jì)的，因此可能會(huì)存在穩(wěn)定性和兼容方面的隱患功能和靈活性采用的專門設(shè)計(jì)的操作系統(tǒng)和硬件架構(gòu)，靈活性上要相對(duì)差一些，而且可能提供的功能相對(duì)較少架構(gòu)不依賴硬件，理論上功能是可以無(wú)限擴(kuò)充的，它能給客戶更多的控制和定制功能引自YimingGong://security.zz.ha課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒VPN(VirtualPrivateNetwork)什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

什么是VPN(1)什么是VPN(2)什么是VPN(3)VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN的分類根據(jù)VPN所起的作用，可以將VPN分為：AccessVPNIntranetVPNExtranetVPNAccessVPN處理可移動(dòng)用戶、遠(yuǎn)程交換和小部門的遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)的VPNIntranetVPN

〔企業(yè)內(nèi)部虛擬網(wǎng)〕是在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間，通過(guò)Internet建立的VPNExtranetVPN

〔企業(yè)外部虛擬網(wǎng)〕在供給商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN由于不同公司網(wǎng)絡(luò)環(huán)境的差異性，必須能兼容不同的操作平臺(tái)和協(xié)議設(shè)置特定的訪問(wèn)控制表ACL〔AccessControlList〕，根據(jù)用戶相應(yīng)的訪問(wèn)權(quán)限開放相應(yīng)資源ExtranetVPN〔圖〕VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN的隧道協(xié)議

PPTP/L2TP(1)1996年，Microsoft和Ascend等在PPP協(xié)議的根底上開發(fā)了PPTP，并將它集成于WindowsNTServer4.0中，同時(shí)也提供了相應(yīng)的客戶端軟件PPTP可把數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸PPTP提供流量控制,采用MPPE加密算法PPTP/L2TP(2)1996年，Cisco提出L2F〔Layer2Forwarding〕隧道協(xié)議1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議L2TP可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容,支持MP〔MultilinkProtocol〕，可以把多個(gè)物理通道捆綁為單一邏輯信道PPTP/L2TP(3)優(yōu)點(diǎn)：支持其他網(wǎng)絡(luò)協(xié)議支持流量控制對(duì)用微軟操作系統(tǒng)的用戶來(lái)說(shuō)很方便缺點(diǎn)：通道翻開后，源和目的用戶身份不再就行認(rèn)證，存在平安隱患限制同時(shí)最多只能連接255個(gè)用戶端點(diǎn)用戶需要在連接前手工建立加密信道IPSecVPN(1)IPSecVPN(2)

AH包頭的結(jié)構(gòu)：IPSECAH/ESP數(shù)據(jù)包結(jié)構(gòu)IPSecVPN(3)

MPLSVPNMPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouter課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒內(nèi)外網(wǎng)隔離物理隔離

邏輯隔離內(nèi)外網(wǎng)隔離平安需求(1)?計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定?第六條規(guī)定："涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離。"平安需求(2)平安需求(3)物理隔離卡－雙網(wǎng)線隔離卡客戶端需要增加一塊PCI卡，客戶端硬盤或其它存儲(chǔ)設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過(guò)該卡用戶就能控制客戶端的硬盤或其它存儲(chǔ)設(shè)備。用戶在選擇硬盤的時(shí)候，同時(shí)也選擇了該卡上所對(duì)應(yīng)的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)

物理隔離卡－雙網(wǎng)線隔離卡(con’t)物理隔離卡－單網(wǎng)線隔離卡

只有一個(gè)網(wǎng)絡(luò)接口通過(guò)網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號(hào)，選擇不同的網(wǎng)絡(luò)連接特點(diǎn)：實(shí)現(xiàn)本錢較低，能夠有效利用現(xiàn)有單網(wǎng)線網(wǎng)絡(luò)環(huán)境系統(tǒng)的平安性有所提高物理隔離卡〔圖〕網(wǎng)絡(luò)平安隔離集線器作為A/B轉(zhuǎn)換器被設(shè)置在機(jī)柜中根據(jù)網(wǎng)絡(luò)平安隔離卡的狀態(tài)自動(dòng)地將網(wǎng)絡(luò)連接到平安網(wǎng)絡(luò)或公共網(wǎng)絡(luò)中特點(diǎn)：能使用原有的單一的布線系統(tǒng)物理隔離網(wǎng)閘〔GAP〕(1)由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接能夠在網(wǎng)絡(luò)間進(jìn)行平安閑度的應(yīng)用數(shù)據(jù)交換物理隔離網(wǎng)閘〔GAP〕(2)性能指標(biāo)：系統(tǒng)數(shù)據(jù)交換速率硬件切換時(shí)間通常包含的平安功能模塊：平安隔離內(nèi)核防護(hù)協(xié)議轉(zhuǎn)換病毒查殺訪問(wèn)控制平安審計(jì)身份認(rèn)證內(nèi)外網(wǎng)隔離物理隔離

邏輯隔離邏輯隔離課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒日志審計(jì)日志審計(jì)根底知識(shí)日志審計(jì)過(guò)程日志審計(jì)日志審計(jì)根底知識(shí)什么是日志審計(jì)日志實(shí)例日志審計(jì)的重要性日志的來(lái)源日志審計(jì)過(guò)程什么是日志審計(jì)識(shí)別、記錄、存儲(chǔ)和分析那些與平安相關(guān)活動(dòng)有關(guān)的信息的行為被稱為平安審計(jì)這些信息以日志的方式進(jìn)行存儲(chǔ)，對(duì)這些日志的檢查審計(jì)可以用來(lái)判斷發(fā)生了哪些平安相關(guān)活動(dòng)以及哪個(gè)用戶要對(duì)這些活動(dòng)負(fù)責(zé)日志審計(jì)的重要性管理員入侵者網(wǎng)絡(luò)異常發(fā)現(xiàn)黑客追蹤證據(jù)日志的來(lái)源(1)日志的來(lái)源(2)通?？梢赃M(jìn)行審計(jì)的事件包括：文件審計(jì)應(yīng)用程序與效勞安裝與卸載的審計(jì)平安配置更改的審計(jì)Internet審計(jì)用戶登錄審計(jì)用戶打印審計(jì)進(jìn)程狀況審計(jì)與移動(dòng)存儲(chǔ)有關(guān)的審計(jì)，等等日志審計(jì)日志審計(jì)根底知識(shí)日志審計(jì)過(guò)程審計(jì)事件生成審計(jì)事件選擇審計(jì)事件存儲(chǔ)審計(jì)事件查閱日志審計(jì)分析自動(dòng)響應(yīng)審計(jì)事件生成事件的日期和時(shí)間事件類型主體身份事件的結(jié)果針對(duì)不同類型的事件的其他相關(guān)信息在某些情況下，應(yīng)當(dāng)標(biāo)識(shí)引起該事件的用戶身份審計(jì)事件選擇

審計(jì)事件選擇是指在所有可以審計(jì)的事件中，根據(jù)主體身份、事件類型等屬性，選擇對(duì)哪些事件進(jìn)行審計(jì)，這種選擇可以用包含或排除的方法。審計(jì)事件存儲(chǔ)

保護(hù)審計(jì)記錄不受未授權(quán)的刪除防止或檢測(cè)對(duì)審計(jì)記錄的修改當(dāng)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，能夠確保審計(jì)記錄不受破壞存儲(chǔ)失敗時(shí)，應(yīng)采取一定行動(dòng)確保新的審計(jì)記錄不受破壞審計(jì)事件查閱訪問(wèn)控制權(quán)限易于理解日志審計(jì)分析日志的分析可以分為手工和自動(dòng)的方式，通常，對(duì)日志的自動(dòng)分析任務(wù)可以由入侵檢測(cè)系統(tǒng)完成。但是，手工分析往往是日志分析不可缺少的局部自動(dòng)響應(yīng)對(duì)日志的自動(dòng)分析和自動(dòng)響應(yīng)通常由入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)自動(dòng)相應(yīng)可以是報(bào)警、自動(dòng)采取某些平安措施，等等SolarisBSM〔BasicSecurityModel〕BSM用戶級(jí)審計(jì)記錄包括：進(jìn)程名手冊(cè)頁(yè)參考審計(jì)事件號(hào)審計(jì)事件名審計(jì)記錄結(jié)構(gòu)BSM核心級(jí)審計(jì)記錄包括：系統(tǒng)調(diào)用名手冊(cè)頁(yè)參考審計(jì)事件號(hào)審計(jì)事件名審計(jì)事件類事件屏蔽審計(jì)記錄結(jié)構(gòu)WIN2000日志結(jié)構(gòu)數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型種類可變內(nèi)容，依賴于事件，可以時(shí)問(wèn)題的文本解釋和糾正措施的建議附加域。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)WIN2000日志舉例(1)事件類型: 成功審核事件來(lái)源: Security事件種類: 登錄/注銷

事件

ID: 538日期: 2003-9-9時(shí)間: 20:47:04WIN2000日志舉例(2)用戶: QU\hiiri計(jì)算機(jī): QU描述:用戶注銷:用戶名: hiiri域: QU登錄

ID: (0x0,0x504001)登錄類型: 719-May-0017:31:59[時(shí)間戳]drop[動(dòng)作]

inbound[方向]udp[傳輸層協(xié)議]

scan.wins.bad.guy[源地址]MY.NET.29.8[目標(biāo)地址]netbios-ns[目標(biāo)端口]netbios-ns[源端口]78[包長(zhǎng)度]IDS日志舉例(Snort)[**]rwwwshellCGIaccessattempt[**]06/10-07:55:01.284025[時(shí)間戳]3:1526[源地址及端口]->2:80[目標(biāo)地址及端口]TCP[傳輸層協(xié)議]TTL:52[生存期]TOS:0x0[效勞種類]ID:4816[會(huì)話ID]DF[不可分段]Len:358[包長(zhǎng)度]課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒入侵檢測(cè)〔IntrusionDetection〕入侵檢測(cè)定義入侵檢測(cè)方法

入侵檢測(cè)系統(tǒng)結(jié)構(gòu)入侵檢測(cè)〔IntrusionDetection〕入侵檢測(cè)定義入侵檢測(cè)與入侵檢測(cè)系統(tǒng)〔IDS)入侵檢測(cè)系統(tǒng)根本框架入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)結(jié)構(gòu)什么是入侵檢測(cè)入侵檢測(cè)〔IntrusionDetection〕是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反平安策略事件的過(guò)程IDS入侵檢測(cè)系統(tǒng)包括三個(gè)功能組件提供事件記錄流的信息源發(fā)現(xiàn)入侵跡象的分析引擎基于分析引擎的結(jié)果產(chǎn)生反響的響應(yīng)部件入侵檢測(cè)系統(tǒng)根本框架入侵檢測(cè)〔IntrusionDetection〕優(yōu)點(diǎn)：可以檢測(cè)到未知攻擊知識(shí)庫(kù)相對(duì)穩(wěn)定

缺點(diǎn)：準(zhǔn)確性差誤報(bào)率高

異常檢測(cè)典型系統(tǒng)－TripWare(1)TripWare主要利用關(guān)鍵性文件的摘要作為自己知識(shí)庫(kù)，合法用戶修改文件后要更新該文件摘要，由于非法用戶無(wú)權(quán)更改其摘要，所以當(dāng)發(fā)現(xiàn)文件摘要和保存的記錄不符時(shí)，判定系統(tǒng)受到攻擊。

異常檢測(cè)典型系統(tǒng)－TripWare(2)優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單管理方便缺點(diǎn)：檢測(cè)能力差

優(yōu)點(diǎn)準(zhǔn)確高效〔相對(duì)〕易實(shí)現(xiàn)缺點(diǎn)不能檢測(cè)未知攻擊知識(shí)庫(kù)會(huì)無(wú)限增長(zhǎng)描述所有攻擊行為困難誤用檢測(cè)典型系統(tǒng)－Snort(1)Snort是一個(gè)典型的輕量級(jí)誤用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。該系統(tǒng)自己定義了一套規(guī)那么語(yǔ)言來(lái)定義入侵行為，規(guī)那么語(yǔ)言所描述的主要是網(wǎng)絡(luò)數(shù)據(jù)包的特性，比方地址、端口、包頭屬性、包含的特殊數(shù)據(jù)等等。誤用檢測(cè)典型系統(tǒng)－Snort(2)Snort規(guī)那么語(yǔ)言〔例如〕logtcpalerttcpanyany->/2480(content:

"/cgi-bin/phf";msg"PHFprobe!")alerttcp!/24any->/246000:6010(msg:"Xtraffic";)alerttcpanyany->/24143(content:"|E8C0FFFFF|/bin/sh";msg:"NewIMAPBufferOverflowdetected!";)誤用檢測(cè)典型系統(tǒng)－Snort(3)優(yōu)點(diǎn):檢測(cè)的準(zhǔn)確度比較高缺點(diǎn):檢測(cè)的效率低對(duì)復(fù)雜攻擊檢測(cè)能力差容易被欺騙入侵檢測(cè)〔IntrusionDetection〕入侵檢測(cè)定義入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)結(jié)構(gòu)基于主機(jī)系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)基于主機(jī)系統(tǒng)的結(jié)構(gòu)其檢測(cè)目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整性基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒隱患掃描

〔vulnerabilitiesscanning〕網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描

特定應(yīng)用弱點(diǎn)掃描隱患掃描

〔vulnerabilitiesscanning〕網(wǎng)絡(luò)弱點(diǎn)掃描

功能分類常用掃描工具主機(jī)弱點(diǎn)掃描

特定應(yīng)用弱點(diǎn)掃描什么是網(wǎng)絡(luò)弱點(diǎn)掃描

定期或按需尋找網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主機(jī)上的漏洞，從而可以對(duì)這些漏洞進(jìn)行及時(shí)彌補(bǔ)，以改善網(wǎng)絡(luò)的平安性網(wǎng)絡(luò)掃描器功能分類

簡(jiǎn)單漏洞識(shí)別與分析全面漏洞識(shí)別與分析簡(jiǎn)單漏洞識(shí)別與分析許多工具能實(shí)現(xiàn)相對(duì)有限的平安檢測(cè)。這些工具可以自動(dòng)進(jìn)行目標(biāo)主機(jī)的TCP/IP端口掃描，嘗試連接存在漏洞的效勞端口，并且記錄下目標(biāo)主機(jī)的反響它們可以為特定的系統(tǒng)特性實(shí)現(xiàn)平安配置檢查全面漏洞識(shí)別與分析掃描漏洞范圍更廣對(duì)漏洞進(jìn)行分析提出的建議，減輕潛在的平安風(fēng)險(xiǎn)常用掃描工具SATANNessusISSInternetScannerSATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其根本功能是通過(guò)finger，NFS，ftp，NIS，Web等效勞盡可能的搜集目標(biāo)主機(jī)和網(wǎng)絡(luò)的相關(guān)信息并具有簡(jiǎn)單的推理功能SATAN(2)具有良好的可擴(kuò)展性最核心局部對(duì)操作系統(tǒng)類型、網(wǎng)絡(luò)效勞名稱、漏洞信息和其他細(xì)節(jié)信息依賴性很小提供了較為靈活的方式供用戶添加自己的探測(cè)模塊,用戶可以自己編寫一個(gè)可執(zhí)行文件，以.satan結(jié)尾NESSUS一個(gè)公開代碼的平安評(píng)估工具有靈活Plugin結(jié)構(gòu)，強(qiáng)大的掃描功能，并且具有很好的擴(kuò)展性自己提供了一個(gè)語(yǔ)言NASL用于用戶自己開發(fā)測(cè)試模塊ISSInternetScanner(1)ISSInternetScanner(2)特點(diǎn)：掃描模塊與管理控制模塊分開，管理方便采用XML方式定義掃描任務(wù)，策略配置靈活多樣支持對(duì)各種網(wǎng)絡(luò)設(shè)備、平臺(tái)、應(yīng)用的評(píng)估界面友好，報(bào)告齊全

隱患掃描

〔vulnerabilitiesscanning〕網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描主機(jī)弱點(diǎn)掃描功能與特點(diǎn)ISSSystemScanner

特定應(yīng)用弱點(diǎn)掃描主機(jī)弱點(diǎn)掃描功能與特點(diǎn)是針對(duì)單一主機(jī)系統(tǒng)的掃描，它在目標(biāo)系統(tǒng)上運(yùn)行，可以搜集到比較全面的系統(tǒng)信息，對(duì)系統(tǒng)平安性作比較深入地分析只能分析單個(gè)主機(jī)，不能分析整個(gè)網(wǎng)絡(luò)狀況，也不能遠(yuǎn)程執(zhí)行對(duì)于單一主機(jī)來(lái)說(shuō)，主機(jī)弱點(diǎn)評(píng)估比網(wǎng)絡(luò)弱點(diǎn)評(píng)估的評(píng)估能力強(qiáng)，準(zhǔn)確性高它對(duì)弱點(diǎn)的修復(fù)能力比網(wǎng)絡(luò)評(píng)估系統(tǒng)強(qiáng)ISSSystemScanner隱患掃描

〔vulnerabilitiesscanning〕網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描特定應(yīng)用弱點(diǎn)掃描數(shù)據(jù)庫(kù)弱點(diǎn)掃描對(duì)未知漏洞的檢測(cè)數(shù)據(jù)庫(kù)弱點(diǎn)掃描以ISS的DatabaseScanner為代表自動(dòng)解析數(shù)據(jù)庫(kù)系統(tǒng)的重要配置管理參數(shù)分析數(shù)據(jù)庫(kù)系統(tǒng)的授權(quán)、認(rèn)證、完整性檢測(cè)一些流行數(shù)據(jù)庫(kù)的平安漏洞生成詳細(xì)用戶報(bào)告提供兩種評(píng)估方式內(nèi)部掃描外部穿透性測(cè)試對(duì)未知漏洞的檢測(cè)目前主要有三種方法：靜態(tài)源代碼掃描環(huán)境錯(cuò)誤注入?yún)R編代碼掃描已有一些成果發(fā)布，尚待進(jìn)一步研究課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒PKI(CA)PKI(CA)什么是PKI公鑰密碼體制(1)公鑰加密模型公鑰認(rèn)證模型公鑰密碼體制(2)公鑰密碼體制的優(yōu)點(diǎn):可以簡(jiǎn)化密鑰的管理，并且可以通過(guò)公開系統(tǒng)如公開目錄效勞來(lái)分配密鑰。公鑰密碼體制的缺點(diǎn):加、解密的速度太慢密鑰長(zhǎng)度太長(zhǎng)RSA算法：是一個(gè)可逆的公鑰密碼體制，在PGP中被用來(lái)加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素?cái)?shù)是相對(duì)容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的;目前建議使用模長(zhǎng)為1024比特以上的模作為密鑰PKI的組成1．

CA〔認(rèn)證機(jī)構(gòu)〕2．

證書庫(kù)3．

證書撤銷4．

密鑰備份和恢復(fù)5．

自動(dòng)密鑰更新6．

密鑰歷史檔案7．

交叉認(rèn)證8．

支持非否認(rèn)9．

時(shí)間戳10.客戶端軟件PKI標(biāo)準(zhǔn)的制定組織PKI(CA)RFC2459RFC2459X.509證書(1)〔圖〕X.509證書(2)證書版本號(hào)〔Version〕證書序列號(hào)〔SerialNumber〕簽名算法標(biāo)識(shí)符(SignatueAlgID)頒發(fā)者〔Issuer〕有效期〔Validity〕X.509證書(3)主體名〔Subject〕主體公鑰信息〔SubjectPublicKeyInfo〕簽發(fā)者唯一標(biāo)識(shí)符(IssuerID)主體唯一標(biāo)識(shí)符(SubjectID)簽名值〔Issuer'sSignature〕擴(kuò)展項(xiàng)X.509V3版本的14項(xiàng)標(biāo)準(zhǔn)擴(kuò)展信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型VeriSign,IBM,Balitimore,Entrust等為用戶提供了一系列的客戶端和效勞器端的平安產(chǎn)品各國(guó)政府也相繼推出和建立了國(guó)家和政府級(jí)的PKI體系，如美國(guó)聯(lián)邦PKI體系〔FPKI〕、加拿大政府PKI體系〔GOCPKI〕等PKI(CA)WIN2000PKIWindows2000為電子商務(wù)提供了一個(gè)平臺(tái)，其中包括證書管理、CA效勞與PKI應(yīng)用程序等WIN2000中CA的層次結(jié)構(gòu)

Windows2000PKI采用了分層CA模型。這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L(zhǎng)的商業(yè)性第三方CA產(chǎn)品提供良好的支持。在最簡(jiǎn)單的情況下，認(rèn)證體系可以只包含一個(gè)CA。但是就一般情況而言，這個(gè)體系是由相互信任的多重CA構(gòu)成的

WIN2000中CA的層次結(jié)構(gòu)(圖)

證書頒發(fā)過(guò)程CA收到證書請(qǐng)求信息，包括個(gè)人資料和公鑰等

CA對(duì)用戶提供的信息進(jìn)行核實(shí)

CA用自己的私鑰對(duì)證書進(jìn)行數(shù)字簽名

CA將證書發(fā)給用戶

WIN2000PKI的組成認(rèn)證效勞活動(dòng)目錄支持PKI的應(yīng)用程序使用的平安協(xié)議WIN2000PKI的組成〔圖〕認(rèn)證效勞

(CertificateServices)是WIN2000PKI中的一個(gè)關(guān)鍵局部通過(guò)它可以部署一個(gè)或多個(gè)企業(yè)性的CA。這些CA都可以進(jìn)行認(rèn)證發(fā)布和撤銷效勞，它們與活動(dòng)目錄集成在一起活動(dòng)目錄提供了CA的定位信息和CA策略，并可以公布有關(guān)認(rèn)證發(fā)布和撤銷的信息

支持WIN2000PKI的應(yīng)用程序

MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他第三方程序

WIN2000PKI使用的平安協(xié)議平安套接字協(xié)議SSL網(wǎng)際平安協(xié)議IPSec課程內(nèi)容

隱患掃描PKI(CA)

PGP

平安加固

防病毒PGP(PrettyGoodPrivacy)PGP開展歷史與現(xiàn)狀PGP加密流程PGP加解密算法PGP的密鑰管理機(jī)制PGP(PrettyGoodPrivacy)PGP概述PGP開展歷史與現(xiàn)狀PGP功能PGP加密流程PGP加解密算法PGP的密鑰管理機(jī)制PGP開展歷史與現(xiàn)狀是一個(gè)基于RSA公鑰加密體系的郵件加密軟件由美國(guó)的

PhilZimmermann于1991年發(fā)布采用了RSA和對(duì)稱加密算法相結(jié)合的機(jī)制1993年，美國(guó)政府以違反出口法規(guī)提起了對(duì)PhilZimmermann的訴訟。最后以PhilZimmermann獲勝告終。PGP功能PGP(PrettyGoodPrivacy)PGP開展歷史與現(xiàn)狀PGP加密流程平安機(jī)制PGP公鑰與證書口令PGP加解密算法PGP的密鑰管理機(jī)制PGP平安機(jī)制PGP公鑰與證書

每個(gè)PGP公鑰都伴隨著一個(gè)證書PGP成認(rèn)兩種不同的證書格式PGP證書X.509證書PGP證書(1)〔圖〕PGP證書(2)〔圖〕PGP證書(3)〔圖〕PGP證書(3)PGP證書通常包括以下信息PGP版本號(hào)

證書持有者的公鑰

證書持有者的信息

證書擁有者的數(shù)字簽名

證書的有效期

密鑰首選的對(duì)稱加密算法

中介人簽名

X.509證書與PGP證書的不同用戶可以創(chuàng)立自己的PGP證書;但是必須向CA請(qǐng)求才能得到一份X.509證書X.509證書只支持密鑰擁有者的一個(gè)名字X.509證書只支持證明密鑰合法性的一個(gè)數(shù)字簽名PGP(PrettyGoodPrivacy)PGP開展歷史與現(xiàn)狀加密流程PGP加解密算法PGP中的公鑰密碼體制PGP中的身份認(rèn)證PGP中的對(duì)稱密碼體制PGP的密鑰管理機(jī)制PGP公鑰密碼體制公鑰密碼體制的優(yōu)點(diǎn):可以簡(jiǎn)化密鑰的管理，并且可以通過(guò)公開系統(tǒng)如公開目錄效勞來(lái)分配密鑰。公鑰密碼體制的缺點(diǎn):加、解密的速度太慢密鑰長(zhǎng)度太長(zhǎng)RSA算法：是一個(gè)可逆的公鑰密碼體制，在PGP中被用來(lái)加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素?cái)?shù)是相對(duì)容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的;目前建議使用模長(zhǎng)為1024比特以上的模作為密鑰數(shù)字簽名與消息摘要(1)什么是數(shù)字簽名：是一種確保數(shù)據(jù)完整性和非否認(rèn)性的手段，通過(guò)給消息附加一段數(shù)據(jù)來(lái)實(shí)現(xiàn)使用對(duì)稱密碼體制或公鑰密碼體制，目前一般使用公鑰密碼體制實(shí)現(xiàn)問(wèn)題：速度慢產(chǎn)生大量數(shù)據(jù)，大約是原始數(shù)據(jù)的兩倍數(shù)字簽名與消息摘要(2)解決方法：引入消息摘要什么是消息摘要：通過(guò)對(duì)一段任意長(zhǎng)的消息使用單向函數(shù)，獲得的一段定長(zhǎng)的數(shù)據(jù)流程：構(gòu)造一段消息的消息摘要對(duì)該段消息摘要進(jìn)行數(shù)字簽名數(shù)字簽名與消息摘要(3)對(duì)消息摘要算法的要求：函數(shù)必須是單向的，即對(duì)任意消息摘要來(lái)構(gòu)筑能產(chǎn)生該消息摘要的輸入消息是計(jì)算上不可行的構(gòu)造兩個(gè)能產(chǎn)生相同消息摘要的不同的消息是計(jì)算上不可行的PGP中的對(duì)稱密碼體制什么是對(duì)稱密碼體制一種使用相同密鑰〔或相互容易推出的〕進(jìn)行加密和解密的密碼體制分為序列密碼和分組密碼，PGP中使用分組密碼中的IDEA算法來(lái)加密數(shù)據(jù)優(yōu)點(diǎn)：加解密速度快缺點(diǎn)：必須有一