信息安全基礎(chǔ)與ISEC項(xiàng)目-信息安全基礎(chǔ)

1、信息安全基礎(chǔ)與ISEC國(guó)家信息化安全教育認(rèn)證管理中心ISEC1授課內(nèi)容 一 信息安全概況 二 入侵手段 三 安全概念與安全體系 四 安全技術(shù) 五 ISEC認(rèn)證介紹2一 信息安全概況安全威脅威脅來源產(chǎn)品和市場(chǎng)研究與開發(fā)安全人才3安全威脅政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，依然抵擋不住這些黑客對(duì)網(wǎng)絡(luò)和系統(tǒng)的破壞。據(jù)統(tǒng)計(jì)，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國(guó)每年所造成的經(jīng)濟(jì)損失就超過100億美元。美國(guó)每年網(wǎng)絡(luò)安全因素造成的損失達(dá)170億美元。4安全威脅2003年2月17日發(fā)現(xiàn)一名電腦“黑客”最近“攻入”美國(guó)一個(gè)專門為商店和銀行處理信用卡交易的服

2、務(wù)器系統(tǒng)，竊取了萬事達(dá)、維薩、美國(guó)運(yùn)通、發(fā)現(xiàn)4家大型信用卡組織的約800萬張信用卡資料。中美黑客網(wǎng)上大戰(zhàn)時(shí)，國(guó)內(nèi)外的上千個(gè)門戶網(wǎng)站遭到破壞。5安全威脅2003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒“2003蠕蟲王” 。全球25萬臺(tái)計(jì)算機(jī)遭襲擊，全世界范圍內(nèi)損失額最高可達(dá)12億美元。美欲用電腦贏戰(zhàn)爭(zhēng)， 網(wǎng)絡(luò)特種兵走入無硝煙戰(zhàn)場(chǎng)。過去幾天來，數(shù)千名伊拉克人在他們的電子信箱里發(fā)現(xiàn)了這封發(fā)件人被掩蓋的郵件。正當(dāng)美國(guó)士兵被大量派往海灣之時(shí)，美軍對(duì)伊拉克的第一輪網(wǎng)絡(luò)攻擊也隨之悄然拉開了帷幕。6安全威脅中國(guó)國(guó)內(nèi)80%網(wǎng)站有安全隱患，20網(wǎng)站有嚴(yán)重安全問題中國(guó)的銀行過去兩年損失1.6億人民幣利用計(jì)算機(jī)

3、網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國(guó)以每年30%的速度遞增，而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%7威脅來源互聯(lián)網(wǎng)存在的六大問題無主管的自由王國(guó)不設(shè)防的網(wǎng)絡(luò)空間法律約束脆弱跨國(guó)協(xié)調(diào)困難民族化和國(guó)際化的沖突網(wǎng)絡(luò)資源緊缺網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性國(guó)家、政治、商業(yè)和個(gè)人利益沖突8020406080100120140160200020012002200320042005年份市場(chǎng)規(guī)模（億美元）00.00.250.3增長(zhǎng)率世界網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)936.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%0.00%5.00%10.00%15.00%20.

4、00%25.00%30.00%35.00%40.00%用戶需求無防火墻防病毒入侵檢測(cè)露洞掃描加密與數(shù)字簽名VPN授權(quán)與認(rèn)證企業(yè)級(jí)系統(tǒng)掃描和專家管理系統(tǒng)國(guó)內(nèi)安全產(chǎn)品需求1095.50%45.00%5.00%4.50%4.00%3.50%1.50%1.00%0.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%1防病毒防火墻授權(quán)和認(rèn)證VPN入侵檢測(cè)漏洞掃描加密與數(shù)字簽名企業(yè)級(jí)系統(tǒng)掃描和專家管理系統(tǒng)其它國(guó)內(nèi)安全產(chǎn)品使用11年份05000100001500020000250003000035000400002000

5、2001200220032004市場(chǎng)規(guī)模（萬美元）47.00%48.00%49.00%50.00%51.00%52.00%53.00%54.00%55.00%56.00%57.00%58.00%增長(zhǎng)率中國(guó)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)12產(chǎn)品和市場(chǎng)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心每年認(rèn)證的安全產(chǎn)品達(dá)十幾類，上百種。19982000 安全產(chǎn)品300多個(gè)20012002 安全產(chǎn)品600多個(gè)幾百家國(guó)內(nèi)外廠商，投資金額巨大。13國(guó)家安全戰(zhàn)略1998年5月22日，克林頓政府頒布對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策：第63號(hào)總統(tǒng)令 ，2000年頒布信息系統(tǒng)保護(hù)國(guó)家計(jì)劃v1.0 。2002年9月18日和20日，布什政府頒布保護(hù)網(wǎng)絡(luò)空間的

6、國(guó)家戰(zhàn)略（草案）和美國(guó)國(guó)家安全戰(zhàn)略。 2003年2月14日布什政府頒布保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略 和反恐國(guó)家戰(zhàn)略 。14國(guó)家安全戰(zhàn)略2002年7月19日“國(guó)家信息安全保障體系戰(zhàn)略研討會(huì)”在北京科技會(huì)堂召開，由中國(guó)工程院和國(guó)家信息化工作辦公室主辦，由交大信息安全體系結(jié)構(gòu)研究中心承辦。2003年4月6日“信息安全保障發(fā)展戰(zhàn)略研討會(huì)”在北京燕京飯店舉辦，由信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室主辦。15學(xué)術(shù)研究和技術(shù)開發(fā)國(guó)家863信息安全技術(shù)主題課題研究所和重點(diǎn)實(shí)驗(yàn)室高校的專業(yè)方向16安全人才需求國(guó)家重點(diǎn)科研項(xiàng)目的需求專業(yè)安全產(chǎn)品公司的需求應(yīng)用行業(yè)的管理、應(yīng)用和維護(hù)的需求對(duì)網(wǎng)絡(luò)信息安全人才的需求在今后幾年內(nèi)將超過100

7、萬，但專業(yè)的網(wǎng)絡(luò)與信息安全機(jī)構(gòu)在國(guó)內(nèi)卻屈指可數(shù)。網(wǎng)絡(luò)信息安全已經(jīng)初步形成一個(gè)產(chǎn)業(yè),根據(jù)權(quán)威職業(yè)調(diào)查機(jī)構(gòu)的預(yù)測(cè)表明，網(wǎng)絡(luò)信息安全人才必將成為信息時(shí)代最熱門的搶手人才。17授課內(nèi)容 一 信息安全概況 二 入侵手段 三 安全概念與安全體系 四 安全技術(shù) 五 ISEC認(rèn)證介紹18網(wǎng)絡(luò)安全目前存在的威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲19網(wǎng)絡(luò)入侵技術(shù)分類系統(tǒng)弱密碼入侵利用CGI/IIS漏洞入侵Buffer Overflow入侵DOS/DDOS攻擊IP Spoof入侵網(wǎng)絡(luò)監(jiān)聽(sniffer)數(shù)據(jù)庫弱密碼入侵利用PHP程序漏洞入侵其它

8、20系統(tǒng)弱密碼入侵21系統(tǒng)弱密碼入侵(續(xù))口令安全可逆與不可逆通?？诹畹募用芊椒ㄊ遣豢赡娴牟聹y(cè)與窮舉口令破解Unix口令通常限制在8位以內(nèi)，56位密鑰加密john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/shNT口令通常限制在14位以內(nèi)22系統(tǒng)弱密碼入侵(續(xù))口令破解的時(shí)間Unix口令6位小寫字母窮舉:36小時(shí)8位小寫字母窮舉:3年NT口令8位小寫字母及數(shù)字窮舉，時(shí)間通常不超過30小時(shí)23系統(tǒng)弱密碼入侵(續(xù))常用工具介紹Jackal 的CrackerJack（用于dos平臺(tái)）John the Ripper（可用于dos/win95平臺(tái)）

9、L0pht （用于破解NT密碼)24利用CGI/IIS漏洞入侵微軟的IIS系統(tǒng)存在大量的安全隱患目前大量服務(wù)器采用IIS發(fā)布網(wǎng)站25堆棧溢出技術(shù)堆棧溢出原理什么是堆棧堆棧溢出在長(zhǎng)字符串中嵌入一段代碼，并將過程的返回地址覆蓋為這段代碼的地址，這樣當(dāng)過程返回時(shí)，程序就轉(zhuǎn)而開始執(zhí)行這段自編的代碼了. 26堆棧實(shí)例void function(int a, int b, int c) char buffer15; char buffer210;void main() function(1,2,3);27調(diào)用時(shí)堆棧情況Buffer2Buffer1SfpRetABC內(nèi)存低地址內(nèi)存高地址堆棧頂部堆棧底部28堆

10、棧溢出程序?qū)嵗齰oid function(char *str) char buffer16; strcpy(buffer,str);void main() char large_string256; int i; for( i = 0; i 255; i+) large_stringi = A; function(large_string);29調(diào)用函數(shù)時(shí)堆棧情況內(nèi)存低地址內(nèi)存高地址堆棧頂部堆棧底部30存在堆棧溢出的服務(wù)UnixWu-FTPDSendmailApache httpdNTIIS第三方服務(wù)程序31IP Spoof入侵技術(shù)電子欺騙技術(shù)冒充信任主機(jī)IP地址32標(biāo)準(zhǔn)TCP建立過程SYN

11、1415531521YN 1823083521: 1823083521Ackck 1823083522客戶機(jī)服務(wù)器33IP Spoof狀態(tài)下TCP建立過程SYN 1415531521改源地址為信任主機(jī)IPSYN 1823083521: 1823083521Ackck 通過算法算出SEQ值+1信任主機(jī)服務(wù)器34DOS/DDOSDOS拒絕服務(wù)攻擊DDOS分布式拒絕服務(wù)攻擊利用TCP/IP缺陷35常見DOS工具Bonk通過發(fā)送大量偽造的UDP數(shù)據(jù)包導(dǎo)致系統(tǒng)重啟動(dòng) TearDrop通過發(fā)送重疊的IP

12、碎片導(dǎo)致系統(tǒng)的TCP/IP棧崩潰 SynFlood通過發(fā)送大量偽造源IP的基于SYN的TCP請(qǐng)求導(dǎo)致系統(tǒng)重啟動(dòng) Bloop 通過發(fā)送大量的ICMP數(shù)據(jù)包導(dǎo)致系統(tǒng)變慢甚至凝固 Jolt 通過大量偽造的ICMP和UDP導(dǎo)致系統(tǒng)變的非常慢甚至重新啟動(dòng) 36實(shí)例：SynFlood現(xiàn)象攻擊者偽造源地址，發(fā)出Syn請(qǐng)求服務(wù)器端性能變慢，以及死機(jī)服務(wù)器上所以服務(wù)都不能正常使用37SynFlood原理Syn 偽造源地址()IP:(TCP連接無法建立，造成TCP等待超時(shí)）Ack 大量的偽造數(shù)據(jù)包發(fā)向服務(wù)器端38DDOS攻擊黑客控制了多臺(tái)服務(wù)器，然后每一臺(tái)服務(wù)器都集中向一臺(tái)服務(wù)器進(jìn)行DOS攻擊39分布式拒絕服務(wù)攻

13、擊美國(guó)幾個(gè)著名的商業(yè)網(wǎng)站（例如Yahoo、eBay、CNN、Amazon、等）遭受黑客大規(guī)模的攻擊，造成這些高性能的商業(yè)網(wǎng)站長(zhǎng)達(dá)數(shù)小時(shí)的癱瘓。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國(guó)經(jīng)濟(jì)共損失了十多億美元。這種大規(guī)模的、有組織、有系統(tǒng)的攻擊方式受到各國(guó)政府和學(xué)術(shù)界的高度重視。40DDOS攻擊示意圖41分布式拒絕服務(wù)攻擊42分布式拒絕服務(wù)攻擊步驟1ScanningProgram不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet43分布式拒絕服務(wù)攻擊步驟2Hacker被控制的計(jì)算機(jī)(代理端)黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sni

14、ffer或守護(hù)程序甚至是客戶程序。2Internet44分布式拒絕服務(wù)攻擊步驟3Hacker 黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。 3被控制計(jì)算機(jī)（代理端）MasterServerInternet45Hacker Using Client program, 黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServerInternet分布式拒絕服務(wù)攻擊步驟446Targeted SystemHacker 主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊

15、。5MasterServerInternet被控制計(jì)算機(jī)（代理端）分布式拒絕服務(wù)攻擊步驟547分布式拒絕服務(wù)攻擊步驟6TargetedSystemHacker 目標(biāo)系統(tǒng)被無數(shù)的偽造的請(qǐng)求所淹沒，從而無法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。6MasterServerUserRequest DeniedInternet被控制計(jì)算機(jī)（代理端）48分布式拒絕服務(wù)攻擊的效果由于整個(gè)過程是自動(dòng)化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺(tái)主機(jī)并安裝攻擊工具。也就是說，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。并使某一臺(tái)主機(jī)可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時(shí)撥打某公司的一部電話號(hào)碼

16、。49DDOS攻擊的預(yù)防確保主機(jī)不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對(duì)外開放訪問的主機(jī)；在網(wǎng)絡(luò)上建立一個(gè)過濾器或偵測(cè)器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。50網(wǎng)絡(luò)監(jiān)聽技術(shù)Sniffer監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流動(dòng)、傳輸信息截獲用戶的口令黑客擴(kuò)大戰(zhàn)果的有效手段51竊聽器竊聽原理局域網(wǎng)中的廣播式通信常用端口http80pop3110telnet23常用竊聽器SnifferNetXRay52Database弱密碼入侵默認(rèn)安裝的SQL Server的管理員Sa的密碼為空如果管理員沒有修改過Sa密碼黑客遠(yuǎn)程連接上數(shù)據(jù)庫53數(shù)據(jù)庫被遠(yuǎn)程連接的危害性如果黑客連接到了S

17、QL Server，那么可以使用XP_cmdshell過程執(zhí)行本地命令。如果連接的帳號(hào)不是數(shù)據(jù)庫管理員身份，那么可以通過SQL Server漏洞進(jìn)行越權(quán)處理。54Sql Injection入侵技術(shù)Structured Query Language影響平臺(tái)使用網(wǎng)站系統(tǒng)：Apache、IIS、Domino、Netscape使用程序：ASP、PHP、JSP可被破壞數(shù)據(jù)庫:MS-SQL、MySQL、Oracle、Sybase、DB255Sql Injection實(shí)例網(wǎng)站登陸界面56Sql Injection實(shí)例(cont.)User: admin(任意名字)Pass: aor1=157利用PHP程序漏

18、洞入侵PHP Hypertext Preprocessor全局變量附值安全隱患包含文件安全隱患文件上傳安全隱患Session安全隱患58其它入侵技術(shù)利用EmailEmail炸彈傳播木馬、病毒聊天室、聊天程序利用瀏覽器社會(huì)工程59攻擊的一般步驟沒有100%的安全收集信息確定目標(biāo)（硬件、軟件、操作系統(tǒng)、應(yīng)用程序）；使用掃描工具；考慮攻擊方法猜口令；利用漏洞（緩沖區(qū)溢出、unicode漏洞等等）；入侵系統(tǒng)安放后門刪除記錄60授課內(nèi)容 一 信息安全概況 二 入侵手段 三 安全概念與安全體系 四 安全技術(shù) 五 ISEC認(rèn)證介紹61安全涉及的因素網(wǎng)絡(luò)安全信息安全文化安全物理安全62網(wǎng)絡(luò)安全因特網(wǎng)網(wǎng)絡(luò)對(duì)國(guó)民

19、經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之63信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名64ISO信息安全定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。65信息安全屬性保密性完整性真實(shí)性可用性可控性66文化安全因特網(wǎng)用戶信息傳送自由有害信息泛濫信息來源不確定.打擊目標(biāo)機(jī)動(dòng)性強(qiáng).主動(dòng)發(fā)現(xiàn)有害信息源并給予封堵監(jiān)測(cè)網(wǎng)上有害信息的傳播并給予截獲隱患措施67物理安全容災(zāi)集群備份環(huán)境溫度電磁濕度68安全是過程

20、安全存在于過程安全不僅僅是一個(gè)產(chǎn)品，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人以及他們之間相互關(guān)系和接口的系統(tǒng)。安全最主要的問題不是安全技術(shù)、安全工具或者是安全產(chǎn)品上的缺乏，而是網(wǎng)絡(luò)管理人員、企業(yè)經(jīng)理人和用戶對(duì)安全知識(shí)的忽視。69分析階段：管理階段：檢測(cè)階段：恢復(fù)階段：保護(hù)階段：需求分析、漏洞掃描防火墻、VPN 、防病毒入侵檢測(cè)、授權(quán)、認(rèn)證、簽名審計(jì)系統(tǒng)、訪問控制數(shù)據(jù)備份、系統(tǒng)恢復(fù)安全是個(gè)連續(xù)的過程70安全層次體系結(jié)構(gòu)防火墻安全網(wǎng)關(guān)VPN網(wǎng)絡(luò)安全層反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析系統(tǒng)安全層用戶/組管理單機(jī)登錄身份認(rèn)證用戶安全層訪問控制授權(quán)應(yīng)用安全層加密數(shù)據(jù)安全層存儲(chǔ)備份物理安全層71安全防護(hù)體系結(jié)構(gòu)邊界

21、防護(hù)區(qū)域防護(hù)核心防護(hù)節(jié)點(diǎn)防護(hù)安全策略遠(yuǎn)程支持咨詢服務(wù)顧問服務(wù)緊急響應(yīng)723分邊界防護(hù)2.5分核心防護(hù)2分區(qū)域防護(hù)2.5分節(jié)點(diǎn)防護(hù)安全防護(hù)比例整體防護(hù)10分73安全實(shí)施體系明確系統(tǒng)中的安全漏洞，了解可能的相應(yīng)攻擊方式。進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)分析。制定系統(tǒng)安全策略。系統(tǒng)安全策略的實(shí)施。74授課內(nèi)容 一 信息安全概況 二 入侵手段 三 安全概念與安全體系 四 安全技術(shù) 五 ISEC認(rèn)證介紹75安全管理技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)安全集成技術(shù)防病毒技術(shù)防火墻技術(shù)VPN技術(shù)入侵檢測(cè)技術(shù)安全評(píng)估技術(shù)審計(jì)分析技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)密碼技術(shù)備份與恢復(fù)技術(shù)76安全產(chǎn)品類型密鑰管理產(chǎn)品高性能加密芯片產(chǎn)品

22、密碼加密產(chǎn)品數(shù)字 簽名產(chǎn)品安全授權(quán)認(rèn)證產(chǎn)品信息保密產(chǎn)品數(shù)字證書管理系統(tǒng)用戶安全認(rèn)證卡智能IC卡鑒別與授權(quán)服務(wù)器安全平臺(tái)/系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)Web安全平臺(tái)安全路由器與虛擬專用網(wǎng)絡(luò)產(chǎn)品網(wǎng)絡(luò)病毒檢查預(yù)防和清除產(chǎn)品安全檢測(cè)與監(jiān)控產(chǎn)品網(wǎng)絡(luò)安全隱患掃描檢測(cè)工具網(wǎng)絡(luò)安全監(jiān)控及預(yù)警設(shè)備網(wǎng)絡(luò)信息遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)情分析系統(tǒng)77常用的安全技術(shù)手段加密技術(shù)身份認(rèn)證技術(shù)防火墻技術(shù)病毒防治技術(shù)入侵檢測(cè)技術(shù)VPN技術(shù)78加密技術(shù)消息被稱為明文。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密，加了密的消息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。明文用M（消息）或P（明文）表示，密文用C表示。加密函數(shù)E（M）=C

23、；解密函數(shù)D（C）=M；D（E（M）=M79對(duì)稱密碼非對(duì)稱密碼加密技術(shù)80原理：加密和解密使用相同密鑰加密強(qiáng)度基本由其密鑰長(zhǎng)度決定目前一般至少為128位主要優(yōu)缺點(diǎn)：加密速度快管理復(fù)雜，風(fēng)險(xiǎn)大對(duì)稱加密81加密技術(shù)出現(xiàn)以來最重大的突破原理有兩把成對(duì)的密鑰，稱為公鑰和私鑰，其中公鑰可以對(duì)外公布用一把密鑰加密的數(shù)據(jù)只有用配對(duì)的另一把密鑰才能正確解密特點(diǎn)：密鑰易于管理，公鑰不怕被竊取但速度一般比對(duì)稱加密算法慢很多非對(duì)稱加密82身份鑒別身份鑒別的過程身份證實(shí)（Identity Verification）“你是否是你所聲稱的你？”身份識(shí)別（Identity Recognition）“我是否知道你是誰？”身份

24、認(rèn)證的方式動(dòng)態(tài)口令83EP動(dòng)態(tài)口令舉例login: Smithchallenge: 6729330response:開啟認(rèn)證卡電源6040輸入 PIN 來啟動(dòng)認(rèn)證卡EP你現(xiàn)在已認(rèn)證成功 !輸入 Challenge輸入 response 84防火墻的概念信任網(wǎng)絡(luò)防火墻非信任網(wǎng)絡(luò) 防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它通過單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)施相應(yīng)的安全策略進(jìn)行檢查，防止對(duì)重要信息資源進(jìn)行非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。 85互聯(lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)防火墻的作用示意圖86防火墻的基本功能數(shù)據(jù)包過濾（Packet Filtering） 網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Ad

25、dress Translation） 應(yīng)用級(jí)代理（Proxy Service） 身份認(rèn)證（Authentication） 虛擬專用網(wǎng)（Virtual Private Network87防火墻的不足防火墻并非萬能，防火墻不能完成的工作：源于內(nèi)部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒88入侵檢測(cè)的概念和作用 入侵檢測(cè)即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能，對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。89入侵檢測(cè)的主要功能 實(shí)時(shí)入侵檢測(cè)

26、與響應(yīng) 警報(bào)信息分類、查詢功能 引擎集中管理功能 策略管理功能 警報(bào)信息的統(tǒng)計(jì)和報(bào)表功能 分級(jí)用戶管理功能90入侵檢測(cè)系統(tǒng)工作原理：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，與已知的攻擊手段進(jìn)行匹配，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。 使用方式：作為防火墻后的第二道防線。 91利用RealSecure進(jìn)行可適應(yīng)性攻擊檢測(cè)和響應(yīng)DMZ? E-Mail? ? HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接入侵檢測(cè)工具舉例92DMZ? E-Mail? ? HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Inter

27、net中繼內(nèi)部攻擊警告!啟動(dòng)事件日志,發(fā)送消息利用RealSecure進(jìn)行可適應(yīng)性攻擊檢測(cè)和響應(yīng)入侵檢測(cè)工具舉例93利用RealSecure進(jìn)行可適應(yīng)性攻擊檢測(cè)和響應(yīng)DMZ? E-Mail? ? HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部攻擊商務(wù)伙伴警告!記錄進(jìn)攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址入侵檢測(cè)工具舉例94安全評(píng)估系統(tǒng)的發(fā)展歷程簡(jiǎn)單的掃描程序功能較為強(qiáng)大的商業(yè)化掃描程序安全評(píng)估專家系統(tǒng) 最早出現(xiàn)的是專門為UNIX系統(tǒng)編寫的一些只具有簡(jiǎn)單功能的小程序，多數(shù)由黑客在業(yè)余時(shí)間編寫。特點(diǎn)是功能單一，通常只能進(jìn)行端

28、口或CGI掃描等等；使用復(fù)雜，通常只有黑客才能夠熟練使用；源代碼開放。Nmap即是其代表作品。 99年以前，出現(xiàn)的功能較為強(qiáng)大的商業(yè)化產(chǎn)品，特點(diǎn)是測(cè)試項(xiàng)數(shù)目較多，使用簡(jiǎn)單。但是通常只是簡(jiǎn)單的把各個(gè)掃描測(cè)試項(xiàng)的執(zhí)行結(jié)果羅列出來，直接提供給測(cè)試者而不對(duì)信息進(jìn)行任何分析處理。對(duì)結(jié)果的評(píng)估分析、報(bào)告功能很弱。這時(shí)期的產(chǎn)品，主要功能還是掃描。CyberCop和ISS Scanner是其中的代表。 近兩年，主要商業(yè)化產(chǎn)品均運(yùn)行Windows操作系統(tǒng)平臺(tái)上，充分利用了WINDOWS平臺(tái)上界面的友好性和開發(fā)的簡(jiǎn)單行。正在進(jìn)行由安全掃描程序到安全評(píng)估專家系統(tǒng)的過渡。不但使用簡(jiǎn)單方便，能夠?qū)?duì)單個(gè)主機(jī)的掃描結(jié)果整

29、理，形成報(bào)表，能夠并對(duì)具體漏洞提出一些解決方法。 但目前產(chǎn)品對(duì)網(wǎng)絡(luò)的狀況缺乏一個(gè)整體的評(píng)估，對(duì)網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。95安全評(píng)估系統(tǒng)分類基于網(wǎng)絡(luò)的安全評(píng)估產(chǎn)品對(duì)關(guān)鍵網(wǎng)絡(luò)及設(shè)備進(jìn)行安全評(píng)估 基于主機(jī)的安全評(píng)估產(chǎn)品對(duì)關(guān)鍵主機(jī)進(jìn)行安全評(píng)估 專用安全評(píng)估產(chǎn)品如數(shù)據(jù)庫安全評(píng)估產(chǎn)品96安全評(píng)估系統(tǒng)工作原理遠(yuǎn)程掃描分析目標(biāo)設(shè)備1、發(fā)送帶有明顯攻擊特征的數(shù)據(jù)包2、等待目的主機(jī)或設(shè)備的響應(yīng)3、分析回來的數(shù)據(jù)包的特征4、判斷是否具有該脆弱性或漏洞97安全評(píng)估主要功能網(wǎng)絡(luò)安全評(píng)估功能 評(píng)估分析結(jié)果報(bào)表 服務(wù)檢查功能 隔離檢查的功能 實(shí)用工具 98傳統(tǒng)聯(lián)網(wǎng)方式合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)DDN

30、99傳統(tǒng)VPN聯(lián)網(wǎng)方式公司總部辦事處/SOHO公共網(wǎng)絡(luò)VPN通道VPN設(shè)備VPN設(shè)備VPN設(shè)備VPN client100VPN虛擬的網(wǎng)：即沒有固定的物理連接，網(wǎng)絡(luò)只有用戶需要時(shí)才建立；利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成。101Internet臺(tái)式機(jī)Web 服務(wù)器Internet連接撥號(hào)用戶筆記本電腦服務(wù)器Modem池網(wǎng)絡(luò)客戶工作站企業(yè)的完整安全防護(hù)G. Mark Hardy102授課內(nèi)容 一 信息安全概況 二 入侵手段 三 安全概念與安全體系 四 安全技術(shù) 五 ISEC認(rèn)證介紹103國(guó)家信息化安全教育認(rèn)證 ISEC項(xiàng)目介紹和定位 ISEC項(xiàng)目運(yùn)行模式及機(jī)構(gòu)設(shè)置 ISEC項(xiàng)目課程及類別 ISEC項(xiàng)目目標(biāo)及特色

31、104ISEC項(xiàng)目介紹 國(guó)家信息化安全教育認(rèn)證項(xiàng)目（ISEC）為信息產(chǎn)業(yè)部批準(zhǔn)設(shè)立，中國(guó)電子商務(wù)協(xié)會(huì)監(jiān)督和管理的信息安全領(lǐng)域國(guó)家級(jí)的認(rèn)證體系。由ISEC國(guó)家信息化安全教育認(rèn)證管理中心統(tǒng)一管理、實(shí)施。105ISEC項(xiàng)目定位國(guó)家信息化安全教育認(rèn)證作為“政府推出，市場(chǎng)運(yùn)作，行業(yè)協(xié)會(huì)監(jiān)督指導(dǎo)”的重點(diǎn)項(xiàng)目，主要突出以下兩大特點(diǎn)：以行業(yè)為基礎(chǔ)，在國(guó)家信息技術(shù)應(yīng)用單位普及信息安全意識(shí)與知識(shí)，使各行業(yè)、機(jī)關(guān)有能力評(píng)估、設(shè)計(jì)、建設(shè)、維護(hù)自己的信息安全系統(tǒng)。以應(yīng)用為核心，向全社會(huì)普及信息安全意識(shí)與知識(shí)，使全民從技術(shù)、法規(guī)等多層面了解信息安全，從而配合我國(guó)的信息安全建設(shè)。106ISEC項(xiàng)目運(yùn)行模式及機(jī)構(gòu)設(shè)置107ISEC專家顧問委員會(huì)曲成義 國(guó)家信息化專家咨詢委員會(huì)委員曹元大 北京理工大學(xué)軟件學(xué)院院長(zhǎng)劉正風(fēng) 公安部金盾工程辦公室副主任、 安全組組長(zhǎng)譚曉準(zhǔn) 公安部科技局副局長(zhǎng)祁 金 公安部公共網(wǎng)絡(luò)信息安全監(jiān)察局108ISEC主要課程信息安全基礎(chǔ) 防火墻技術(shù)入侵檢測(cè)技術(shù)操作系統(tǒng)安全網(wǎng)絡(luò)病毒防治PKI技術(shù) 標(biāo)準(zhǔn)規(guī)范與政策法規(guī)安全策略制定 安全響應(yīng)團(tuán)隊(duì)的構(gòu)建與管理109國(guó)家信息化安全教育認(rèn)證領(lǐng)導(dǎo)關(guān)心的問題國(guó)家對(duì)網(wǎng)絡(luò)信息安全提出了哪些要求網(wǎng)絡(luò)與信息安全涉及哪些內(nèi)容如何指導(dǎo)、評(píng)估信息安全保障體系的建設(shè)110國(guó)家信息化安全教育認(rèn)證技術(shù)