網(wǎng)絡(luò)信息安全認(rèn)證_第1頁
網(wǎng)絡(luò)信息安全認(rèn)證_第2頁
網(wǎng)絡(luò)信息安全認(rèn)證_第3頁
網(wǎng)絡(luò)信息安全認(rèn)證_第4頁
網(wǎng)絡(luò)信息安全認(rèn)證_第5頁
已閱讀5頁,還剩238頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)信息平安認(rèn)證嘉為教育第一局部信息平安的根底知識網(wǎng)絡(luò)信息平安講座一、什么是信息平安網(wǎng)絡(luò)平安背景與Internet相關(guān)的平安事件頻繁出現(xiàn)平安問題普及流行的軟件如Navigator和IE,以及復(fù)雜的電子商務(wù)效勞器;黑客攻擊及計算機病毒愈來愈多Internet已經(jīng)成為商務(wù)活動、通訊及協(xié)作的重要平臺Internet最初被設(shè)計為開放式網(wǎng)絡(luò)開放式網(wǎng)絡(luò)〔OpenNetwork〕:允許自由訪問的一組效勞器和計算機;從一個平安的角度看,Internet是天生不平安的,TCP/IP協(xié)議沒有內(nèi)置保護信息的能力;然而現(xiàn)在,商業(yè)團體和個人開始需要Internet應(yīng)用平安的原那么,以保護敏感的數(shù)據(jù)。什么是平安?平安的定義:信息平安的定義:為了防止未經(jīng)授權(quán)就對知識、事實、數(shù)據(jù)或能力進行實用、濫用、修改或拒絕使用而采取的措施。信息平安的組成:信息平安是一個綜合的解決方案,包括物理平安、通信平安、輻射平安、計算機平安、網(wǎng)絡(luò)平安等。信息平安專家的工作:平安專家的工作就是在開放式的網(wǎng)絡(luò)環(huán)境中,確保識別并消除信息平安的威脅和缺陷。平安是一個過程而不是指產(chǎn)品不能只依賴于一種類型的平安為組織的信息提供保護,也不能只依賴于一種產(chǎn)品提供我們的計算機和網(wǎng)絡(luò)系統(tǒng)所需要的所有平安性。因為平安性所涵蓋的范圍非常廣闊,包括:防病毒軟件;訪問控制;防火墻;智能卡;生物統(tǒng)計學(xué);入侵檢測;策略管理;脆弱點掃描;加密;物理平安機制。百分百的平安神話絕對的平安:只有與網(wǎng)絡(luò)無連接并且被關(guān)閉的鎖在一個平安的地方〔鑰匙被扔掉〕的計算機,才是真正唯一平安的計算機。只要有連通性,就存在平安風(fēng)險。相對的平安:可以到達的某種平安水平是:使得幾乎所有最熟練的和最堅決的黑客不能登錄你的系統(tǒng),使黑客對你的公司的損害最小化。平安的平衡:一個關(guān)鍵的平安原那么是使用有效的但是并不會給那些想要真正獲取信息的合法用戶增加負(fù)擔(dān)的方案。第一局部信息平安的根底知識網(wǎng)絡(luò)信息平安講座二、常見的攻擊類型我們可以將常見的攻擊類型分為四大類:針對用戶的攻擊、針對應(yīng)用程序的攻擊、針對計算機的攻擊和針對網(wǎng)絡(luò)的攻擊。

第一類:針對用戶的攻擊1、前門攻擊密碼猜測在這個類型的攻擊中,一個黑客通過猜測正確的密碼,偽裝成一個合法的用戶進入系統(tǒng),因為一個黑客擁有一個合法用戶的所有信息,他〔她〕就能夠很簡單地從系統(tǒng)的“前門〞正當(dāng)?shù)剡M入。2、暴力和字典攻擊暴力攻擊暴力攻擊類似于前門攻擊,一個黑客試圖使用計算機和信息的結(jié)合去破解一個密碼它使用120個工作站,兩個超級計算機利用從三個主要的研究中心獲得的信息,花掉八天的時間去破解加密算法。字典攻擊字典攻擊通過僅僅使用某種具體的密碼來縮小嘗試的范圍,強壯的密碼通過結(jié)合大小寫字母、數(shù)字、通配符來擊敗字典攻擊。Lab2-1:使用LC4破解Windows系統(tǒng)口令Lab2-2:OfficePasswordRecovery&WinZipPasswordRecovery第一類:針對用戶的攻擊3、病毒計算機病毒是一個被設(shè)計用來破壞網(wǎng)絡(luò)設(shè)備的惡意程序,病毒分為以下幾類:引導(dǎo)扇區(qū)/主引導(dǎo)記錄〔MBR〕:感染軟盤或硬盤的特定局部;文件感染:病毒附著在合法程序上,運行程序?qū)⒓せ畈《荆缓?腳本:通常在E-Mail附件中,利用Office應(yīng)用程序與操作系統(tǒng)之間的信任關(guān)系。4、社會工程和非直接攻擊社交工程是使用計策和假情報去獲得密碼和其他敏感信息打請求密碼一個黑客冒充一個系統(tǒng)經(jīng)理去打給一個公司,在解釋了他的帳號被意外鎖定了后,他說服公司的某位職員根據(jù)他的指示修改了管理員權(quán)限,然后黑客所需要做的就是登錄那臺主機偽造E-mail黑客利用假的E-mail來進行社交工程。為了獲得密碼了其它敏感信息黑客發(fā)送那些看上去來自合法用戶的E-mail,因為用戶經(jīng)常認(rèn)為任何一個E-mail必須來自一個合法的用戶。Lab2-3:發(fā)送偽造的E-Mail消息第二類:針對應(yīng)用程序的攻擊5、緩沖區(qū)溢出目前最流行的一種應(yīng)用程序類攻擊就是緩沖區(qū)溢出。當(dāng)目標(biāo)操作系統(tǒng)收到了超過它設(shè)計時在某一時間所能接收到的信息量時發(fā)生緩沖區(qū)溢出。這種多余數(shù)據(jù)將使程序的緩存溢出,然后覆蓋了實際程序數(shù)據(jù),這種修改的結(jié)果是在系統(tǒng)上產(chǎn)生了一個后門。6、郵件中繼目前互連網(wǎng)上的郵件效勞器所受攻擊有兩類:一類就是中繼利用(Relay),你的機器不僅成為發(fā)送垃圾郵件的幫兇,也會使你的網(wǎng)絡(luò)國際流量激增,同時將可能被網(wǎng)上的很多郵件效勞器所拒絕。另一類攻擊稱為垃圾郵件(Spam),即人們常說的郵件炸彈,是指在很短時間內(nèi)效勞器可能接收大量無用的郵件,從而使郵件效勞器不堪負(fù)載而出現(xiàn)癱瘓。Lab2-4:通過郵件中繼發(fā)送E-Mail消息7、網(wǎng)頁涂改是一種針對Web效勞器的網(wǎng)頁內(nèi)容進行非法篡改,以表達不同的觀點或社會現(xiàn)象。這種攻擊通常損害的是網(wǎng)站的聲譽。第三類:針對計算機的攻擊8、物理攻擊許多公司和組織應(yīng)用了復(fù)雜的平安軟件,卻因為主機沒有加強物理平安而破壞了整體的系統(tǒng)平安。通常,攻擊者會通過物理進入你的系統(tǒng)等非Internet手段來開啟Internet的平安漏洞。Lab2-5:操作一個對Windows2000Server的物理攻擊9、特洛伊木馬和RootKits任何已經(jīng)被修改成包含非法文件的文件叫做“特洛伊程序〞。特洛伊程序通常包含能翻開端口進入RootShell或具有管理權(quán)限的命令行文件,他們可以隱藏自己的表現(xiàn)〔無窗口〕,而將敏感信息發(fā)回黑客并上載程序以進一步攻擊系統(tǒng)及其平安。Lab2-6:遭受NetBus特洛伊木馬感染第三類:針對計算機的攻擊10、系統(tǒng)Bug和后門一個Bug是一個程序中的錯誤,它產(chǎn)生一個不注意的通道,黑客經(jīng)常了解這些問題并充分利用它們。一個后門是一個在操作系統(tǒng)上或程序上未被記錄的通道。程序設(shè)計員有時有意識地在操作系統(tǒng)或程序上設(shè)置后門以便他們迅速地對產(chǎn)品進行支持。11、Internet蠕蟲Internet蠕蟲是一種拒絕效勞病毒,最近流行的紅色代碼也是類似的一種蠕蟲病毒,其版本2發(fā)作會自動開啟600個線程來對外掃描并傳播,并會安裝木馬,它是利用微軟WindowsIIS效勞器的一個平安漏洞進行攻擊和傳播,已危害全世界數(shù)十萬臺主機。蠕蟲病毒消耗完系統(tǒng)的物理CPU和內(nèi)存資源而導(dǎo)致系統(tǒng)緩慢甚至崩潰,而沒有其他的破壞。第四類:針對網(wǎng)絡(luò)的攻擊12、拒絕效勞攻擊在一個拒絕效勞攻擊中,一個黑客阻止合法用戶獲得效勞。這些效勞可以是網(wǎng)絡(luò)連接,或者任何一個系統(tǒng)提供的效勞。分布式拒絕效勞攻擊DDOS是指幾個遠(yuǎn)程系統(tǒng)一起工作攻擊一個遠(yuǎn)程主機,通常通過大量流量導(dǎo)致主機超過負(fù)載而崩潰。DDOS通過將遠(yuǎn)程主機的網(wǎng)絡(luò)管道〔T1或T3〕使用欺騙性的流量充滿,而使得沒有其他人可以訪問該效勞。13、哄騙哄騙和偽裝都是偷竊身份的形式,它是一臺計算機模仿另一臺機器的能力。特定的例子包括IP哄騙,ARP哄騙,路由器哄騙和DNS哄騙等。在IPv4中,所有效勞器都假定發(fā)送信息的計算機具有合法的IP地址,由于TCP/IP沒有內(nèi)置的驗證功能,如果你的平安完全依賴于TCP/IP標(biāo)識,那么有可能造成IP哄騙。第四類:針對網(wǎng)絡(luò)的攻擊14、信息泄漏幾乎所有的網(wǎng)絡(luò)后臺運行程序在默認(rèn)設(shè)置的情況下都泄漏了很多的信息,在連接過程中,每臺計算機為了在效勞器和Internet之間建立一個連接,必須提供具有潛在敏感性的信息。組織結(jié)構(gòu)必須決定如何最少化提供給公眾的信息,哪些信息是必要的,哪些信息是不必要的。Lab2-7:通過Telnet連接Exchange效勞器的SMTP、POP3等效勞15、劫持和中間人攻擊中間人攻擊是黑客企圖對一個網(wǎng)絡(luò)的主機發(fā)送到另一臺主機的包進行操作的攻擊。黑客在物理位置上位于兩個被攻擊的合法主機之間。最常見的包括:嗅探包:以獲得用戶名和密碼信息,任何以明文方式傳送的信息都有可能被嗅探;包捕獲和修改:捕獲包修改后重新再發(fā)送;包植入:插入包到數(shù)據(jù)流;連接劫持:黑客接管兩臺通信主機中的一臺,通常針對TCP會話。但非常難于實現(xiàn)。Lab2-8:網(wǎng)絡(luò)包嗅探outlookExpress郵件賬號口令第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座三、加密技術(shù)加密系統(tǒng)加密把容易讀取的源文件變成加密文本,能夠讀取這種加密文本的方法是獲得密鑰〔即把原來的源文件加密成加密文本的一串字符〕加密技術(shù)通常分為三類:對稱加密:使用一個字符串〔密鑰〕去加密數(shù)據(jù),同樣的密鑰用于加密和解密。非對稱加密:使用一對密鑰來加密數(shù)據(jù)。這對密鑰相關(guān)有關(guān)聯(lián),盡管分析公鑰和獲得私鑰是很困難的〔幾乎是不可能的〕,這對密鑰一個用于加密,一個用于解密,反之亦然。非對稱加密的另外一個名字是公鑰加密。HASH加密:更嚴(yán)格的說它是一種算法,使用一個叫HASH函數(shù)的數(shù)學(xué)方程式去加密數(shù)據(jù)。理論上HASH函數(shù)把信息進行混雜,使得它不可能恢復(fù)原狀。這種形式的加密將產(chǎn)生一個HASH值,這個值帶有某種信息,并且具有一個長度固定的表示形式。加密能做什么?數(shù)據(jù)保密性:是使用加密最常見的原因;數(shù)據(jù)完整性:數(shù)據(jù)保密對數(shù)據(jù)安全是不足夠的,數(shù)據(jù)仍有可能在傳輸時被修改,依賴于Hash函數(shù)可以驗證數(shù)據(jù)是否被修改;驗證:數(shù)字證書提供了一種驗證服務(wù),幫助證明信息的發(fā)送者就是宣稱的其本人;不可否定性:數(shù)字證書允許用戶證明信息交換的實際發(fā)生,特別適用于財務(wù)組織的電子交易。對稱密鑰加密系統(tǒng)在對稱加密或叫單密鑰加密中,只有一個密鑰用來加密和解密信息。對稱加密的好處就是快速并且強壯。對稱加密的缺點是有關(guān)密鑰的傳播,所有的接收者和查看者都必須持有相同的密鑰,因此所有的用戶必須尋求一種平安的方法來發(fā)送和接收密鑰。非對稱密鑰加密系統(tǒng)非對稱加密在加密的過程中使用一對密鑰,一對密鑰中一個用于加密,另一個用來解密。這對密鑰中一個密鑰用來公用,另一個作為私有的密鑰:用來向外公布的叫做公鑰,另一半需要平安保護的是私鑰。非對稱加密的一個缺點就是加密的速度非常慢,因為需要強烈的數(shù)學(xué)運算程序。非對稱加密的另一個名字叫公鑰加密。非對稱密鑰加密系統(tǒng)盡管私鑰和公鑰都有與數(shù)學(xué)相關(guān)的,但從公鑰中確定私鑰的值是非常困難的并且也是非常耗時的。在互聯(lián)網(wǎng)上通信,非對稱加密的密鑰管理是容易的因為公鑰可以任意的傳播,私鑰必須在用戶手中小心保護。非對稱密鑰對的用法用于加密的密鑰對用公鑰加密用私鑰解密用私鑰簽名用公鑰驗證用于簽名的密鑰對Hash加密和數(shù)字簽名HASH加密把一些不同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里,叫做HASH值。HASH加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能的,是通過比較兩上實體的值是否一樣而不用告之其它信息。加密系統(tǒng)算法的強度加密技術(shù)的強度受三個主要因素影響:算法強度、密鑰的保密性、密鑰的長度。算法強度:是指如果不嘗試所有可能的密鑰的組合將不能算術(shù)地反轉(zhuǎn)信息的能力。密鑰的保密性:算法不需要保密,但密鑰必須進行保密。密鑰的長度:密鑰越長,數(shù)據(jù)的平安性越高。美國政府把使用超過40位的密鑰的加密規(guī)定為強加密,這種加密出口相關(guān)的法律已經(jīng)獲得通過。美國國內(nèi)公司想要出口使用強加密的產(chǎn)品,首先要獲得美國國務(wù)院的許可。常用對稱加密算法常用對稱加密算法常用不對稱加密算法和Hash算法第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座三、加密技術(shù)數(shù)字證書與CA認(rèn)證及其應(yīng)用

何為數(shù)字證書?數(shù)字證書又稱為數(shù)字標(biāo)識〔DigitalCertificate,DigitalID〕。它提供了一種在Internet上身份驗證的方式,是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件,與司機駕照或日常生活中的身份證相似。在網(wǎng)上進行電子商務(wù)活動時,交易雙方需要使用數(shù)字證書來說明自己的身份,并使用數(shù)字證書來進行有關(guān)的交易操作。通俗地講,數(shù)字證書就是個人或單位在Internet的身份證。數(shù)字證書主要包括三方面的內(nèi)容:證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機構(gòu)的簽名。一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容:證書的版本信息;證書的序列號,每個證書都有一個唯一的證書序列號;證書所使用的簽名算法;證書的發(fā)行機構(gòu)名稱〔命名規(guī)那么一般采用X.500格式〕及其用私鑰的簽名;證書的有效期;證書使用者的名稱及其公鑰的信息。數(shù)字證書的用途在使用數(shù)字證書的過程中應(yīng)用公開密鑰加密技術(shù),建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng),它能夠保證:信息除發(fā)送方和接受方外不被其他人竊?。恍畔⒃趥鬏斶^程中不被篡改;接收方能夠通過數(shù)字證書來確認(rèn)發(fā)送方的身份;發(fā)送方對于自己發(fā)送的信息不能抵賴。隨著Internet的普及、各種電子商務(wù)活動和電子政務(wù)活動的飛速開展,數(shù)字證書開始廣泛地應(yīng)用到各個領(lǐng)域之中,目前主要包括:發(fā)送平安電子郵件、訪問平安站點、網(wǎng)上招標(biāo)投標(biāo)網(wǎng)上簽約、網(wǎng)上訂購、平安網(wǎng)上公文傳送網(wǎng)上繳費、網(wǎng)上繳稅、網(wǎng)上炒股、網(wǎng)上購物和網(wǎng)上報關(guān)等。數(shù)字證書的頒發(fā)數(shù)字證書是由認(rèn)證中心頒發(fā)的。認(rèn)證中心是一家能向用戶簽發(fā)數(shù)字證書以確認(rèn)用戶身份的管理機構(gòu)。為了防止數(shù)字憑證的偽造,認(rèn)證中心的公共密鑰必須是可靠的,認(rèn)證中心必須公布其公共密鑰或由更高級別的認(rèn)證中心提供一個電子憑證來證明其公共密鑰的有效性,后一種方法導(dǎo)致了多級別認(rèn)證中心的出現(xiàn)。數(shù)字證書頒發(fā)過程如下:用戶首先產(chǎn)生自己的密鑰對,并將公共密鑰及局部個人身份信息傳送給認(rèn)證中心;認(rèn)證中心在核實身份后,將執(zhí)行一些必要的步驟,以確信請求確實由用戶發(fā)送而來;然后,認(rèn)證中心將發(fā)給用戶一個數(shù)字證書,該證書內(nèi)包含用戶的個人信息和他的公鑰信息,同時還附有認(rèn)證中心的簽名信息;用戶就可以使用自己的數(shù)字證書進行相關(guān)的各種活動。CA認(rèn)證中心(CertificateAuthority)職責(zé)接受用戶的請求(由RA負(fù)責(zé)對用戶的身份信息進行驗證)用自己的私鑰簽發(fā)證書提供證書查詢接受證書注銷請求提供證書注銷表各個組件和功能示意圖健壯的數(shù)據(jù)

庫系統(tǒng)無縫的目錄接口CA硬件管理和運

行平臺安全的審計密鑰PKICA信任關(guān)系當(dāng)一個平安個體看到另一個平安個體出示的證書時,他是否信任此證書?信任難以度量,總是與風(fēng)險聯(lián)系在一起可信CA如果一個個體假設(shè)CA能夠建立并維持一個準(zhǔn)確的“個體-公鑰屬性〞之間的綁定,那么他可以信任該CA,該CA為可信CA信任模型基于層次結(jié)構(gòu)的信任模型以用戶為中心的信任模型CA層次結(jié)構(gòu)對于一個運行CA的大型權(quán)威機構(gòu)而言,簽發(fā)證書的工作不能僅僅由一個CA來完成它可以建立一個CA層次結(jié)構(gòu)根CA中間CA根CA具有一個自簽名的證書根CA依次對它下面的CA進行簽名層次結(jié)構(gòu)中葉子節(jié)點上的CA用于對平安個體進行簽名對于個體而言,它需要信任根CA,中間的CA可以不必關(guān)心(透明的);同時它的證書是由底層的CA簽發(fā)的以用戶為中心的信任模型對于每一個用戶而言,應(yīng)該建立各種信任關(guān)系,這種信任關(guān)系可以被擴展例子:用戶的瀏覽器配置PKI中密鑰和證書的管理密鑰/證書生命周期管理的各個階段:初始化階段頒發(fā)階段取消階段證書過期證書撤銷

密鑰產(chǎn)生證書簽發(fā)Bob密鑰使用Bob證書檢驗密鑰過期密鑰更新PKI:初始化階段在終端實體能夠使用PKI支持的效勞之前,它們必須初始化以進入PKI。初始化由以下幾步組成:終端實體注冊;密鑰對產(chǎn)生;證書創(chuàng)立和密鑰/證書分發(fā);證書分發(fā);密鑰備份。8.證書響應(yīng)7.證書請求4.注冊建立請求5.注冊建立結(jié)果6.注冊結(jié)果3.注冊表格提交2.注冊表格應(yīng)答終端實體RACA1.注冊表格請求PKI:頒發(fā)階段一旦私鑰和公鑰證書已經(jīng)產(chǎn)生并適當(dāng)?shù)胤职l(fā),密鑰/證書生命周期管理的頒發(fā)階段即開始。這個階段包括:證書檢索——遠(yuǎn)程資料庫的證書檢索。證書驗證——確定一個證書的有效性〔包括證書路徑的驗證〕。密鑰恢復(fù)——當(dāng)不能正常訪問密鑰資料時,從CA或信任第三方處恢復(fù)。密鑰更新——當(dāng)一個合法的密鑰對將過期時,進行新的公/私鑰的自動產(chǎn)生和相應(yīng)證書的頒發(fā)。PKI:撤消階段密鑰/證書生命周期管理以取消階段來結(jié)束。此階段包括如下內(nèi)容:證書過期——證書生命周期的自然結(jié)束。證書撤銷——宣布一個合法證書〔及其相關(guān)私有密鑰〕不再有效。密鑰歷史——維持一個有關(guān)密鑰資料的記錄〔一般是關(guān)于終端實體的〕,以便被過期的密鑰資料所加密的數(shù)據(jù)能夠被解密。密鑰檔案——出于對密鑰歷史恢復(fù)、審計和解決爭議的考慮所進行的密鑰資料的平安第三方儲存。S/MIME電子郵件加密發(fā)送方和接收方在發(fā)送E-mail信息之前要得到對方的公鑰。發(fā)送方產(chǎn)生一個隨機的會話密鑰,用于加密E-mail信息和附件。這個密鑰是根據(jù)時間的不同以及文件的大小和日期而隨機產(chǎn)生的。算法通過使用DES,TripleDES,AES,RC5等等。發(fā)送者然后把這個會話密鑰和信息進行一次單向加密得到一個HASH值。這個值用來保證數(shù)據(jù)的完整性因為它在傳輸?shù)倪^程中不會被改變。在這步通常使用MD2,MD4,MD5或SHA。MD5用于SSL,而S/MIME默認(rèn)使用SHA。發(fā)送者用自己的私鑰對這個HASH值加密。通過使用發(fā)送者自己的私鑰加密,接收者可以確定信息確實是從這個發(fā)送者發(fā)過來的。加密后的HASH值我們稱作信息摘要。發(fā)送者然后用在第二步產(chǎn)生的會話密鑰對E-mail信息和所有的附件加密。這種加密提供了數(shù)據(jù)的保密性。發(fā)送者用接收者的公鑰對這個會話密鑰加密,來確保信息只能被接收者用其自己的私鑰解密。這步提供了認(rèn)證。然后把加密后的信息和數(shù)字摘要發(fā)送給接收方。解密的過程正好以相反的順序執(zhí)行?;赟SL的Web效勞器加密SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù),因此防止了竊聽,破壞和信息偽造。SSL允許兩個應(yīng)用程序通過使用數(shù)字證書認(rèn)證后在網(wǎng)絡(luò)中進行通信,它還使用加密及信息摘要來保證數(shù)據(jù)的可靠性。SSL是整附在傳輸層協(xié)議之上的。所有的瀏覽器都支持SSL,所以應(yīng)用程序在使用它時不需要特殊的代碼。BrowsereWebServer1240bitor128bit?3456第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座四、身份認(rèn)證技術(shù)平安系統(tǒng)的認(rèn)證邏輯結(jié)構(gòu)認(rèn)證技術(shù)是信息平安理論與技術(shù)的一個重要方面。身份認(rèn)證是平安系統(tǒng)中的第一道關(guān)卡,如下圖,用戶在訪問平安系統(tǒng)之前,首先經(jīng)過身份認(rèn)證系統(tǒng)識別身份,然后訪問監(jiān)控器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定用戶是否能夠訪問某個資源。授權(quán)數(shù)據(jù)庫由平安管理員按照需要進行配置。訪問控制和審計系統(tǒng)都要依賴于身份認(rèn)證系統(tǒng)的提供的“信息〞――用戶的身份。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。身份認(rèn)證的方法用戶或系統(tǒng)能夠通過四種方法來證明他們的身份:Whatyouknow?基于口令的認(rèn)證方式是最常用的一種技術(shù),但它存在嚴(yán)重的平安問題。它是一種單因素的認(rèn)證,平安性僅依賴于口令,口令一旦泄露,用戶即可被冒充。Whatyouhave?更加精密的認(rèn)證系統(tǒng),要求不僅要有通行卡而且要有密碼認(rèn)證。如:智能卡和數(shù)字證書的使用。智能卡具有硬件加密功能,有較高的平安性。每個用戶持有一張智能卡,智能卡存儲用戶個性化的秘密信息,同時在驗證效勞器中也存放該秘密信息。進行認(rèn)證時,用戶輸入PIN〔個人身份識別碼〕,智能卡認(rèn)證PIN,成功后,即可讀出智能卡中的秘密信息,進而利用該秘密信息與主機之間進行認(rèn)證。身份認(rèn)證的方法用戶或系統(tǒng)能夠通過四種方法來證明他們的身份:Whoyouare?這種認(rèn)證方式以人體惟一的、可靠的、穩(wěn)定的生物特征〔如指紋、虹膜、臉部、掌紋等〕為依據(jù),采用計算機的強大功能和網(wǎng)絡(luò)技術(shù)進行圖像處理和模式識別。該技術(shù)具有很好的平安性、可靠性和有效性,與傳統(tǒng)的身份確認(rèn)手段相比,無疑產(chǎn)生了質(zhì)的飛躍。近幾年來,全球的生物識別技術(shù)已從研究階段轉(zhuǎn)向應(yīng)用階段,對該技術(shù)的研究和應(yīng)用如火如荼,前景十分廣闊。Whereyouare?最弱的身份驗證形式,根據(jù)你的位置來決定你的身份。如Unix中的rlogin和rsh程序通過源IP地址來驗證一個用戶,主機或執(zhí)行過程;反向DNS查詢防止域名哄騙等。常見的身份認(rèn)證技術(shù)口令鑒別協(xié)議〔PAP〕簡單“用戶ID-口令〞,認(rèn)證信息以明文方式傳輸口令是靜態(tài)的,也就是說在一定時間內(nèi)是不變的,而且可重復(fù)使用,口令極易被網(wǎng)上嗅探劫持一次性口令鑒別技術(shù)〔OTP〕用戶和機器之間必須共知一條通行短語,而這通行短語對外界是完全保密的。和靜態(tài)口令不同的是,這個通行短語并不在網(wǎng)絡(luò)上進行傳輸,所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。每次的口令是三個按一定算法計算〔Hash計算〕得到的結(jié)果,這三個因子分別是種子〔seed〕、迭代值〔iteration〕和通行短語。種子:決定于用戶,一般在一臺機器上,一個種子對應(yīng)于一個用戶,也就是說,種子在一個系統(tǒng)中應(yīng)具有唯一性,這不是秘密的而是公開的。迭代值:迭代值是不斷變化的,而種子和通行短語是相對不變的,所以迭代值的作用就是使口令發(fā)生變化。通行短語:通行短語是保密的,而種子和迭代值是公開的,這樣就決定了口令的機密性。當(dāng)用戶登錄時,系統(tǒng)會向用戶提出挑戰(zhàn),包括種子和迭代值,然后用戶用得到的種子和迭代值再加上自己知道的通行短語計算出一個答復(fù),并傳送給系統(tǒng),因為系統(tǒng)也知道這個通行短語,所以系統(tǒng)可以驗證答復(fù)是否正確。常見的身份認(rèn)證技術(shù)Kerberos認(rèn)證技術(shù)Kerberos是由美國麻省理工學(xué)院提出的基于可信賴的第三方的認(rèn)證系統(tǒng)。Kerberos提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進行身份認(rèn)證的方法,它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份。Kerberos是一種被證明為非常平安的雙向身份認(rèn)證技術(shù),其身份認(rèn)證強調(diào)了客戶機對效勞器的認(rèn)證,而別的身份認(rèn)證技術(shù)往往只解決了效勞器對客戶機的認(rèn)證。Kerberos有效地防止了來自效勞器端身份冒領(lǐng)的欺騙。Kerberos密鑰分配中心KDC〔即Kerberos效勞器〕由認(rèn)證效勞器AS和許可證頒發(fā)效勞器TGS構(gòu)成Kerberos的認(rèn)證過程如下圖常見的身份認(rèn)證技術(shù)公鑰認(rèn)證體系〔PKI〕在認(rèn)證機制中通信雙方出于平安方面的考慮,可能均需要對方對某種信息的數(shù)字簽名,而驗證簽名那么需要相應(yīng)的公鑰。另外,公鑰雖然不適宜于對大量信息進行加密,但使用公鑰對會話密鑰或主密鑰進行加密卻是常用的。因此,用戶公鑰是否正確在信息認(rèn)證中也是一個重要問題。一種方法是將所有用戶公鑰存儲于一個公鑰效勞器中,每個用戶均可通過公鑰效勞器查詢到其他用戶的公鑰X.509是定義目錄效勞建議X.500系列的一局部,其核心是建立存放每個用戶的公鑰證書的目錄庫。用戶公鑰證書由可信賴的CA創(chuàng)立,并由CA或用戶存放于目錄中假設(shè)A想獲得B的公鑰,A先在目錄中查找IDB,利用CA的公鑰和hash算法驗證B的公鑰證書的完整性,從而判斷公鑰的是否正確顯然X.509是一種基于證書的公鑰認(rèn)證機制,這種機制的實現(xiàn)必須要有可信賴的CA的參與第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座五、防火墻技術(shù)防火墻簡介防火墻的定義防火墻指的是位于可信網(wǎng)絡(luò)〔如內(nèi)部網(wǎng)絡(luò)〕和不可信網(wǎng)絡(luò)〔如Internet〕之間并對經(jīng)過其間的網(wǎng)絡(luò)流量進行檢查的一臺或多臺計算機。防火墻具有如下特性:所有的通信都經(jīng)過防火墻;防火墻只放行經(jīng)過授權(quán)的流量;防火墻能經(jīng)受得起對其本身的攻擊。防火墻的優(yōu)勢和弱點防火墻的優(yōu)勢:實施一個公司的整體平安策略創(chuàng)立一個阻塞點〔網(wǎng)絡(luò)邊界〕記錄Internet活動限制網(wǎng)絡(luò)暴露防火墻的弱點:防火墻不能防范經(jīng)過授權(quán)的東西。防火墻只能按對其配置的規(guī)那么進行有效的工作;防火墻對社交工程類型的攻擊或一個授權(quán)的用戶利用合法訪問進行的惡意攻擊不起作用;防火墻不能修復(fù)脆弱的管理措施或設(shè)計有問題的平安策略;防火墻不能阻止那些不經(jīng)過它的攻擊。防火墻的硬件與操作系統(tǒng)運行于通用操作系統(tǒng)上的防火墻一些防火墻運行于通用操作系統(tǒng)如WindowsNT/2000、Linux/Unix上,它們通過修改系統(tǒng)的內(nèi)核和TCP/IP協(xié)議棧來檢測流量。要想獲得較高的平安性,就必須對操作系統(tǒng)進行加固、修補和維護。此類防火墻如:運行于Linux/Unix、WindowsNT/2000平臺上的CheckPointFirewall-1,Symantec企業(yè)防火墻,MicrosoftISA2004等。硬件防火墻硬件防火墻集成了操作系統(tǒng)和防火墻的功能,形成了一個整體牢固、功能專一的設(shè)備。這種防火墻也提供了功能完善的管理接口。硬件防火墻在使用時不需要做很多主機加固的工作,不用再費心于重新配置和修補通用操作系統(tǒng),而可以集中注意力構(gòu)思防火墻規(guī)那么,減少了操作和維護的本錢。此類防火墻如:CiscoPIX、Netscreen、SonicWall,以及運行于NokiaIPSO平臺上的CheckPointFirewall-1。第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座五、防火墻技術(shù)防火墻管理的TCP/IP根底TCP/IP平安簡介如果你是一個網(wǎng)絡(luò)管理員或平安管理員,你需要對OSI(OpenSystemInterconnectReferenceModel,開放式系統(tǒng)互聯(lián)參考模型)參考模型非常熟悉。TCP/IP堆棧包括四層。為了更好的理解TCP/IP,請與OSI模型進行比較。TCP/IP物理層及其平安物理層由傳輸在纜線上的電子信號組成。物理層上的平安保護措施不多。如果一個潛在的黑客可以訪問物理介質(zhì),如搭線竊聽和sniffer,他將可以復(fù)制所有傳送的信息。唯一有效的保護是使用加密,流量添充等。TCP/IP網(wǎng)絡(luò)層及其平安Internet協(xié)議(IP):IP報頭中包含一些信息和控制字段,以及32位的源IP地址和32位的目的IP地址。這個字段包括一些信息,如IP的版本號,長度,效勞類型和其它配置等。黑客經(jīng)常利用一種叫做IP欺騙的技術(shù),把源IP地址替換成一個錯誤的IP地址。接收主機不能判斷源IP地址是不正確的,并且上層協(xié)議必須執(zhí)行一些檢查來防止這種欺騙Lab6-1:安裝網(wǎng)絡(luò)包捕獲軟件,捕獲包信息,分析IP報頭TCP/IP網(wǎng)絡(luò)層及其平安Internet控制信息協(xié)議〔ICMP〕:Internet控制信息協(xié)議〔ICMP〕報文由接收端或者中間網(wǎng)絡(luò)設(shè)備發(fā)回給發(fā)送端,用來在TCP/IP包發(fā)送出錯時給出回應(yīng)。ICMP消息類型ICMP消息包含三個字段:Type、Code和Checksum,Type和Code字段決定了ICMP消息的類型。0——響應(yīng)回復(fù):Ping命令發(fā)回的包;3——目標(biāo)不可達:由Router發(fā)回。Code0:網(wǎng)絡(luò)不可達;Code1:主機不可達;Code2:協(xié)議不可達;Code3:端口不可達。8——響應(yīng)請求:由Ping命令發(fā)出;阻止ICMP消息近來的攻擊方法包括TribalfloodNetwork〔TFN〕系列的程序利用ICMP消耗帶寬來有效地摧毀站點。到今天,微軟的站點對于ping并不做出響應(yīng),因為微軟已經(jīng)過濾了所有的ICMP請求。一些公司現(xiàn)在也在他們的防火墻上過濾了ICMP流量。Lab6-2:通過網(wǎng)絡(luò)包捕獲軟件,捕獲ICMP包,分析ICMP報頭TCP/IP傳輸層及其平安傳輸控制協(xié)議〔TCP〕TCP是一個面向連接的協(xié)議:對于兩臺計算機的通信,它們必須通過握手過程來進行信息交換。TCP包頭TCP包頭的標(biāo)記區(qū)建立和中斷一個根本的TCP連接。有三個標(biāo)記來完成這些過程:SYN:同步序列號;FIN:發(fā)送端沒有更多的數(shù)據(jù)要傳輸?shù)男盘?;ACK:識別數(shù)據(jù)包中確實認(rèn)信息。建立一個TCP連接:SYN和ACK經(jīng)過三次握手。中止一個TCP連接:FIN和ACK結(jié)束一個TCP連接的四個根本步驟。攻擊TCPSYN溢出是TCP的最常見威脅,黑客能夠建立多個TCP半連接,當(dāng)效勞器忙于創(chuàng)立一個端口時,黑客留給效勞器一個連接,然后又去建立另一個連接并也留給效勞器。這樣建立了幾千個連接,直到目標(biāo)效勞器翻開了幾百個或上千個半連接。因此,效勞器的性能受到嚴(yán)重限制,或效勞器實際已經(jīng)崩潰。防火墻必須配置為能夠偵測這種攻擊。Lab6-3:通過網(wǎng)絡(luò)包捕獲軟件,捕獲TCP包,分析TCP報頭TCP/IP傳輸層及其平安用戶數(shù)據(jù)報協(xié)議〔UDP〕UDP是一個非面向連接的協(xié)議。它經(jīng)常用做播送類型的協(xié)議,如音頻和視頻數(shù)據(jù)流。UDP很少有平安上的隱患。因為主機發(fā)出一個UDP信息并不期望收到一個回復(fù),在這種數(shù)據(jù)報文里面嵌入一個惡意的活動是很困難的。Lab6-4:通過網(wǎng)絡(luò)包捕獲軟件,捕獲UDP包,分析UDP報頭TCP/IP應(yīng)用層及其平安文件傳輸協(xié)議〔FTP〕FTP用兩個端口通信:利用TCP21端口來控制連接的建立,控制連接端口在整個FTP會話中保持開放。FTP效勞器可能不需要對客戶端進行認(rèn)證:當(dāng)需要認(rèn)證時,所有的用戶名和密碼都是以明文傳輸?shù)?。同樣使用的技術(shù)包括FTP效勞器上的日志文件,黑客添滿硬盤,使日志文件沒有空間再記錄其它事件,這樣黑客企圖進入操作系統(tǒng)或其它效勞而不被日志文件所檢查到。因此,推薦將FTP根目錄與操作系統(tǒng)和日志文件分別放在不同的分區(qū)上。超文本傳輸協(xié)議〔HTTP〕HTTP有兩種明顯的平安問題:客戶端瀏覽應(yīng)用程序和HTTP效勞器外部應(yīng)用程序。對用Web用戶的一個平安問題是下載有破壞性的ActiveX控件或JAVAapplets。這些程序在用戶的計算機上執(zhí)行并含有某種類別的代碼,包括病毒或特洛伊木馬。為了擴大和擴展Web效勞器的功能,一些擴展的應(yīng)用程序可以參加到HTTP效勞器中。這些擴展的應(yīng)用程序包括JAVA,CGI,AST等等。這些程序都有一些平安漏洞,一旦Web效勞器開始執(zhí)行代碼,那么它有可能遭到破壞。對于這種破壞的保護方法是留意最新的平安補丁,下載并安裝這些補丁。TCP/IP應(yīng)用層及其平安TelnetTelnet是以明文的方式發(fā)送所有的用戶名和密碼的。有經(jīng)驗的黑客可以劫持一個Telnet會話。因此,它不應(yīng)該應(yīng)用到互聯(lián)網(wǎng)上。你還應(yīng)該在防火墻上過濾掉所有的Telnet流量。簡單網(wǎng)絡(luò)管理協(xié)議〔SNMP〕SNMP允許管理員檢查狀態(tài)并且有時修改SNMP節(jié)點的配置。它使用兩個組件,即SNMP管理者和SNMP節(jié)點。SNMP通過UDP的161和162端口傳遞所有的信息。SNMP所提供的唯一認(rèn)證就是communityname。如果一個黑客危及到communityname,他將能夠查詢和修改網(wǎng)絡(luò)上所有使用SNMP的節(jié)點。另一個平安問題是所有的信息都是以明文傳輸?shù)摹NMP是在你公司私有的網(wǎng)絡(luò)中可用的網(wǎng)絡(luò)管理解決方案,但是所有的SNMP流量要在防火墻上過濾掉。TCP/IP應(yīng)用層及其平安域名系統(tǒng)〔DNS〕DNS使用UDP53端口解析DNS請求,但是在執(zhí)行區(qū)域傳輸時使用TCP53端口。區(qū)域傳輸是以下面兩種情況完成的:一個客戶端利用nslookup命令向DNS效勞器請求進行區(qū)域傳輸;當(dāng)一個附屬域名效勞器向主效勞器請求得到一個區(qū)域文件;針對DNS常見的兩種攻擊是:DNS中毒:黑客注入錯誤的數(shù)據(jù)到區(qū)域傳輸中,其結(jié)果使得其產(chǎn)生錯誤的映射。獲得非法的區(qū)域傳輸:黑客可以攻擊一個DNS效勞器并得到它的區(qū)域文件。這種攻擊的結(jié)果是黑客可以知道這個區(qū)域中所有系統(tǒng)的IP地址和計算機名字。Lab6-5:通過Whois、Nslookup查詢ciwcertified域名DNS中的記錄使用地址轉(zhuǎn)換隱藏私有地址網(wǎng)絡(luò)地址轉(zhuǎn)換使用地址轉(zhuǎn)換隱藏私有地址端口地址轉(zhuǎn)換使用過濾路由器的訪問控制列表保護網(wǎng)絡(luò)第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座五、防火墻技術(shù)防火墻的體系結(jié)構(gòu)包過濾防火墻包過濾防火墻檢查每一個通過的網(wǎng)絡(luò)包,或者丟棄,或者放行,取決于所建立的一套規(guī)那么。包過濾規(guī)那么路的樣本:包過濾的優(yōu)點是:不用改動客戶機和主機上的應(yīng)用程序,因為它工作在網(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。包過濾最大的缺點就是:不能分辨哪些是“好〞包哪些是“壞〞包,對包哄騙沒有防范能力;不支持更多的其他驗證,如用戶認(rèn)證;創(chuàng)立這些規(guī)那么非常消耗時間。Lab6-6:安裝MicrosoftISAServer2004規(guī)則協(xié)議類型源地址目的地址源端口目的端口措施1TCP/2455>102322允許2TCP任意54>102380允許3TCP任意50>102325允許4UDP任意52>102353允許5UDP任意53>102353允許6任意任意任意任意任意禁止應(yīng)用級網(wǎng)關(guān)應(yīng)用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反,它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信,然后建立于公共網(wǎng)絡(luò)效勞器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的效勞器通信,所以效勞器不能直接訪問內(nèi)部網(wǎng)的任何一局部。應(yīng)用級網(wǎng)關(guān)可以作為一些應(yīng)用程序如電子郵件、FTP、Telnet、WWW等的中介。使用應(yīng)用級網(wǎng)關(guān)的優(yōu)點有:指定對連接的控制。通過限制某些協(xié)議的傳出請求,來減少網(wǎng)絡(luò)中不必要的效勞。大多數(shù)代理防火墻能夠記錄所有的連接,包括地址和持續(xù)時間。使用應(yīng)用級網(wǎng)關(guān)的缺點有:必須在一定范圍內(nèi)定制用戶的系統(tǒng),這取決于所用的應(yīng)用程序。一些應(yīng)用程序可能根本不支持代理連接。Lab6-7:安裝MicrosoftISAServer2004,配置應(yīng)用效勞發(fā)布規(guī)那么包過濾防火墻與應(yīng)用級網(wǎng)關(guān)圖示電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)型防火墻的運行方式與應(yīng)用級網(wǎng)關(guān)型防火墻很相似,但是它有一個典型的特征,它更多的是面向非交互式的應(yīng)用程序。在用戶通過了最初的身份驗證之后,電路級網(wǎng)關(guān)型防火墻就允許用戶穿過網(wǎng)關(guān)來訪問效勞器了,在此過程中,電路級網(wǎng)關(guān)型防火墻只是簡單的中轉(zhuǎn)用戶和效勞器之間的連接而已。電路級網(wǎng)關(guān)型防火墻的典型應(yīng)用例子就是代理效勞器和SOCKS效勞器。電路級網(wǎng)關(guān)通常提供一個重要的平安功能:網(wǎng)絡(luò)地址轉(zhuǎn)移〔NAT〕,將所有公司內(nèi)部的IP地址映射到一個“平安〞的IP地址。電路級網(wǎng)關(guān)的優(yōu)缺點:電路級網(wǎng)關(guān)的主要優(yōu)點就是提供NAT,在使用內(nèi)部網(wǎng)絡(luò)地址機制時為網(wǎng)絡(luò)管理員實現(xiàn)平安提供了很大的靈活性。電路級網(wǎng)關(guān)一個主要的缺點是需要修改應(yīng)用程序和執(zhí)行程序,并不是所有的應(yīng)用程序都被編寫成可與電路級代理一起工作的。狀態(tài)包檢測型防火墻狀態(tài)包檢測型防火墻是使用了一種SPI引擎的方式來工作的。它是前三種防火墻的一個折中。狀態(tài)包檢測型防火墻的運行方式是:1.檢查數(shù)據(jù)包SYN位并作出判斷是否是正在進行連接的,如果是,對數(shù)據(jù)包內(nèi)容進行檢查,否那么檢查數(shù)據(jù)包是否符合連接規(guī)那么,如果符合規(guī)那么,那么對數(shù)據(jù)包內(nèi)容進行檢查,如果不符合就進行阻隔。2.數(shù)據(jù)包通過內(nèi)容檢查,如果不符合就阻隔,符合那么進行策略集對數(shù)據(jù)包內(nèi)容檢查,如果策略集檢查通過,那么數(shù)據(jù)送往目的地址并更新對話列表,進行日值記錄,如果不通過,那么進行阻隔。防火墻的配置方案雙宿主機網(wǎng)關(guān)〔DualHomedGateway〕防火墻的配置方案屏蔽主機網(wǎng)關(guān)〔ScreenedHostGateway〕防火墻的配置方案屏蔽子網(wǎng)〔ScreenedSubnet〕第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座六、VPN技術(shù)為什么需要VPN?企業(yè)聯(lián)網(wǎng)的需求為什么不選擇加密的鏈路VPN能帶來奇跡嗎?第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座六、VPN技術(shù)VPN技術(shù)詳解提綱VPN簡介VPN的典型應(yīng)用VPN的平安性已有的VPN解決方案

基于IPSec的VPN解決方案

基于第二層的VPN解決方案基于IPSec的VPN解決方案基于第二層的VPN解決方案Point-to-PointTunnelingProtocol第二層隧道協(xié)議提供PPTP客戶機和PPTP效勞器之間的加密通信Point-to-PointProtocol(PPP)協(xié)議的擴展允許封裝多種協(xié)議:TCP/IP、IPX等使用RSA公司的RC4加密方法,但不進行隧道驗證用戶需要在客戶端配置PPTPInternetRemotePPTPClientISPRemoteAccessSwitchPPTPRASServerCorporateNetworkLayer2TunnelingProtocol(L2TP)第二層隧道協(xié)議結(jié)合并擴展了PPTP和L2F(Ciscosupportedprotocol)對隧道進行驗證,但對傳輸中的數(shù)據(jù)不加密沒有包括數(shù)據(jù)包的驗證、數(shù)據(jù)完整性和密鑰管理InternetRemoteL2TPClientISPL2TPConcentratorL2TPServerCorporateNetworkVPN的工作原理

IPSecInternet密鑰交換解析建立VPN通道的四種方式一個完整的VPN工作原理圖IPSec的根本概念平安關(guān)聯(lián)IPSec框架的組成認(rèn)證頭部AH傳輸模式下的AH認(rèn)證工作原理通道模式下的AH認(rèn)證工作原理負(fù)載平安封裝〔ESP〕傳輸模式下的ESP工作原理通道模式下的ESP工作原理組合IPSec協(xié)議為什么還要AH協(xié)議?Internet密鑰交換協(xié)議概要ISAKMP/Oakley階段一工作原理ISAKMP/Oakley階段二工作原理VPN通道的建立方式

Host對HostHost對VPN網(wǎng)關(guān)

VPN網(wǎng)關(guān)對VPN網(wǎng)關(guān)

RemoteUser對VPN網(wǎng)關(guān)Host對HostHost對VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)對VPN網(wǎng)關(guān)RemoteUser對VPN網(wǎng)關(guān)VPN工作原理圖VPN的具體應(yīng)用

用VPN連接分支機構(gòu)用VPN連接業(yè)務(wù)伙伴用VPN連接遠(yuǎn)程用戶用VPN連接分支機構(gòu)用VPN連接業(yè)務(wù)伙伴用VPN連接遠(yuǎn)程用戶Client/ServerVPNsInternetLANclientsDatabaseServerLANclientswithsensitivedataClient/ServerVPN保護較為敏感的內(nèi)部通信防止內(nèi)部的攻擊一個企業(yè)級VPN的組成CorporateNetworkPKIorRADIUSBusinessPartnerBranchOfficeRemoteWorkerVPNGatewayVPNGatewayVPNApplianceVPNClientVPNApplianceDatabaseServerVPNClientVPN設(shè)備容易被攻擊例如:denialofservice〔DOS〕需要在防火墻上開通VPN流量的通道VPN流量的平安性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)VPNdeviceisvulnerabletoattackeg.denialofserviceTwoconnectionstothefirewallforeverycommunicationrequestBypassessecuritypolicyDenialofserviceVPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet只有VPN/firewall集成的解決方案才能實現(xiàn)完全的訪問控制和全局一致的安全策略不同種類的VPN/Firewall結(jié)構(gòu)第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座七、入侵檢測系統(tǒng)為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護很弱不是所有的威脅來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得網(wǎng)絡(luò)平安工具的特點優(yōu)點局限性防火墻可簡化網(wǎng)絡(luò)管理,產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實時監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤報警,緩慢攻擊,新的攻擊模式Scanner簡單可操作,幫助系統(tǒng)管理員和安全服務(wù)人員解決實際問題并不能真正掃描漏洞VPN保護公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件,產(chǎn)品成熟功能單一入侵檢測的定義對系統(tǒng)的運行狀態(tài)進行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機密性、完整性和可用性進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)IDS:IntrusionDetectionSystemIDS根本結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件〔1〕信息收集〔2〕信息分析〔3〕結(jié)果處理信息收集入侵檢測的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干不同關(guān)鍵點〔不同網(wǎng)段和不同主機〕收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡,因此,充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動〞類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容顯然,對用戶活動來講,不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)目錄和文件中的不期望的改變〔包括修改、創(chuàng)立和刪除〕,特別是那些正常情況下限制訪問的,很可能就是一種入侵產(chǎn)生的指示和信號入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件,同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡,都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件信息分析模式匹配統(tǒng)計分析完整性分析,往往用于事后分析模式匹配模式匹配就是將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背平安策略的行為一般來講,一種攻擊模式可以用一個過程〔如執(zhí)行一條指令〕或一個輸出〔如獲得權(quán)限〕來表示。該過程可以很簡單〔如通過字符串匹配以尋找一個簡單的條目或指令〕,也可以很復(fù)雜〔如利用正規(guī)的數(shù)學(xué)表達式來表示平安狀態(tài)的變化〕統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象〔如用戶、文件、目錄和設(shè)備等〕創(chuàng)立一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性〔如訪問次數(shù)、操作失敗次數(shù)和延時等〕測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較,任何觀察值在正常值范圍之外時,就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓倪@經(jīng)常包括文件和目錄的內(nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效入侵檢測性能關(guān)鍵參數(shù)誤報(falsepositive):如果系統(tǒng)錯誤地將異?;顒佣x為入侵漏報(falsenegative):如果系統(tǒng)未能檢測出真正的入侵行為入侵檢測的分類〔1〕按照分析方法〔檢測方法〕異常檢測模型〔AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征〔用戶輪廓〕,當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵誤用檢測模型〔MisuseDetection):收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵異常檢測特點異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率因為不需要對每種入侵行為進行定義,因此能有效檢測未知的入侵系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化,但隨著檢測模型的逐步精確,異常檢測會消耗更多的系統(tǒng)資源誤用檢測模型如果入侵特征與正常的用戶行能匹配,那么系統(tǒng)會發(fā)生誤報;如果沒有特征能與某種新的攻擊行為匹配,那么系統(tǒng)會發(fā)生漏報特點:采用特征匹配,濫用模式能明顯降低錯報率,但漏報率隨之增加。攻擊特征的細(xì)微變化,會使得濫用檢測無能為力入侵檢測的分類〔2〕按照數(shù)據(jù)來源:基于主機:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機,保護的目標(biāo)也是系統(tǒng)運行所在的主機基于網(wǎng)絡(luò):系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護的是網(wǎng)絡(luò)的運行混合型黑客入侵的過程和階段Phase3:Attack/ControlResources·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternetNetworkIDSHostIDSPhase2:PenetratePerimeter·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·Phase1:Discover&Map·

Scanning&probingAutomatedInternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHost-based入侵檢測HackerHost-basedIDSHost-basedIDSInternet基于主機入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)效勞器1客戶端網(wǎng)絡(luò)效勞器2X檢測內(nèi)容:系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、平安審記、應(yīng)用日志HIDSXHIDS在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù)主機資源消耗少提供對網(wǎng)絡(luò)通用的保護如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)基于網(wǎng)絡(luò)InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-based入侵檢測Network-basedIDSNetwork-basedIDSNetwork-basedIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)效勞器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)局部客戶端網(wǎng)絡(luò)效勞器2X檢測內(nèi)容:包頭信息+有效數(shù)據(jù)局部兩類IDS監(jiān)測軟件網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少主機IDS視野集中易于用戶自定義保護更加周密對網(wǎng)絡(luò)流量不敏感制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶:入侵檢測系統(tǒng)用戶可以分為網(wǎng)絡(luò)平安專家或管理員、系統(tǒng)管理員、平安調(diào)查員。這三類人員對系統(tǒng)的使用目的、方式和熟悉程度不同,必須區(qū)別對待操作運行環(huán)境:入侵檢測系統(tǒng)提供的信息形式依賴其運行環(huán)境系統(tǒng)目標(biāo):為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng),需要局部地提供主動響應(yīng)機制規(guī)那么或法令的需求:在某些軍事環(huán)境里,允許采取主動防御甚至攻擊技術(shù)來對付入侵行為響應(yīng)策略彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他平安產(chǎn)品交互FirewallSNMPTrapIDS現(xiàn)狀基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)采集、分析的數(shù)據(jù)不全面入侵檢測由各個檢測引擎獨立完成,中心管理控制平臺并不具備檢測入侵的功能,缺乏綜合分析在響應(yīng)上,除了日志和告警,檢測引擎只能通過發(fā)送RST包切斷網(wǎng)絡(luò)連接,或向攻擊源發(fā)送目標(biāo)不可達信息來實現(xiàn)平安控制NIDS的部署:共享媒介HUBIDSSensorMonitoredServersConsoleNIDS的部署:交換環(huán)境SwitchIDSSensorMonitoredServersConsole通過端口鏡像實現(xiàn)〔SPAN/PortMonitor〕IDS的產(chǎn)品免費SnortSHADOWIDS的產(chǎn)品商業(yè)軟件CyberCopMonitor,NAIDragonSensor,EnterasyseTrustIDS,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,Intrusion第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座八、無線局域網(wǎng)絡(luò)的應(yīng)用與平安無線局域網(wǎng)簡介無線局域網(wǎng)(WLAN)什么是無線局域網(wǎng)?無線局域網(wǎng)是固定局域網(wǎng)的一種延伸。沒有線纜限制的網(wǎng)絡(luò)連接。對用戶來說是完全透明的,與有線局域網(wǎng)一樣。AccessPointAirinterfaceWLANCard無線局域網(wǎng)的傳輸媒體紅外線系統(tǒng)紅外線局域網(wǎng)采用小于1微米波長的紅外線作為傳輸媒體,有較強的方向性,使用不受無線電管理部門的限制。紅外信號要求視距傳輸,并且竊聽困難,對鄰近區(qū)域的類似系統(tǒng)也不會產(chǎn)生干擾。在實際應(yīng)用中,由于紅外線具有很高的背景噪聲,受日光、環(huán)境照明等影響較大。無線電波采用無線電波作為無線局域網(wǎng)的傳輸介質(zhì)是目前應(yīng)用最多的,這主要是因為無線電波的覆蓋范圍較廣,應(yīng)用較廣泛,具有很強的抗干擾抗噪聲能力、抗衰落能力。另一方面無線局域使用的頻段主要是S頻段〔2.4GHz~2.4835GHz〕,這個頻段也叫ISM〔IndustryScienceMedical〕即工業(yè)科學(xué)醫(yī)療頻段,該頻段在美國不受美國聯(lián)邦通信委員會的限制。WLAN標(biāo)準(zhǔn)協(xié)議目前國際上有三大標(biāo)準(zhǔn)家族美國IEEE802.11家族歐洲ETSI高性能局域網(wǎng)HIPERLAN系列日本ARIB移動多媒體接入通信MMAC其它類似標(biāo)準(zhǔn):美國HomeRF共享無線接入?yún)f(xié)議SWAP2003年1月,由于Intel等公司的退出,該組織已經(jīng)解散IEEE802.11系列標(biāo)準(zhǔn)是WLAN的主流標(biāo)準(zhǔn)!IrDA協(xié)議最常見的無線網(wǎng)絡(luò)應(yīng)用就是紅外線傳輸,目前幾乎所有筆記型計算機都已經(jīng)將紅外線網(wǎng)絡(luò)(IrDA,InfraredDataAssociation)作為標(biāo)準(zhǔn)配備。目前紅外線傳輸大致有三種模式:直接式紅外線連接(DB/IR)直接式紅外線連接模式下利用紅外線傳輸資料時,二個互通的點(可以是二部計算機)必須是在相互可看見的同一在線(LineofSight),而且不能有任何阻隔散射式紅外線連接(DF/IR)散射式紅外線連接模式下那么不需是LineofSight,但必須是在同一個封閉的空間內(nèi)全向性紅外線(Omini/IR)全向性紅外線那么是利用一個紅外線的基地臺,這個基地臺(BaseStation,BS)是全向性的,而工作站上的紅外線那么是定向性的發(fā)射器指向此基地臺IEEE802.11WLAN系列物理層標(biāo)準(zhǔn)標(biāo)準(zhǔn)

內(nèi)

狀態(tài)

802.11IR

紅外線傳輸

1997年標(biāo)準(zhǔn)化

802.11FHSS2.4GHz頻段跳頻擴頻

1997年標(biāo)準(zhǔn)化

802.11DSSS2.4GHz頻段直接序列擴頻(Barker碼)

1997年標(biāo)準(zhǔn)化

802.11b高速率擴展

2.4GHz頻段直接序列擴頻(Barker碼,CCK),PBCC(可選)1999年標(biāo)準(zhǔn)化802.11a高速率擴展

5GHz頻段OFDM1999年標(biāo)準(zhǔn)化

802.11g進一步高速率擴展2.4GHz頻段OFDM,PBCC(可選)2003年標(biāo)準(zhǔn)化

802.11d管制域更新。定義物理層需求(信道化、跳頻模式等)和其它需求,以便802.11WLAN能在當(dāng)前標(biāo)準(zhǔn)不支持的新管理區(qū)域(國家)工作

2001年標(biāo)準(zhǔn)化

802.11h802.11a頻譜和發(fā)射功率管理(主要用于歐洲)正在標(biāo)準(zhǔn)化

IEEE802.11WLAN系列(續(xù))主要的物理層技術(shù)標(biāo)準(zhǔn)比較802.11802.11b802.11g802.11a可用頻譜帶寬83.5MHz83.5MHz83.5MHz125MHz在中國的工作頻率2.400-2.4835GHz2.400-2.4835GHz2.400-2.4835GHz5.725-5.85GHz互不重疊的信道數(shù)3335,13-24(US)調(diào)制方法FHSS,DSSSCCKCCK,OFDMOFDM每個信道的最大數(shù)據(jù)速率(Mbps)1,21,2,5.5,111,2,5.5,6,9,11,12,18,

24,36,48,546,9,12,18,

24,36,48,54最大UDP吞吐量

(1500byte)1.7Mbps7.1Mbps19.5Mbps30.7Mbps最大TCP/IP吞吐量(1500byte)1.6Mbps5.9Mbps14.4Mbps24.0Mbps藍(lán)牙(Bluetooth)標(biāo)準(zhǔn)Bluetooth的開展方案中,是將其定位為低本錢、低功率、涵蓋范圍小的跳頻(FrequencyHopping)RF系統(tǒng),其設(shè)計適用于連結(jié)計算機與計算機、計算機與周邊以及計算機與其它行動數(shù)據(jù)裝置(如行動、呼叫器、PDA等)。由于BluetoothModule可以輕易植入任何電子產(chǎn)品,因此使用者通過任何Bluetooth裝置與這些產(chǎn)品溝通,例如:BluetoothtoCableModem、BluetoothtoxDSL、BluetoothtoCellPhone等等。Bluetooth的頻寬目前可達1Mbps。家庭網(wǎng)絡(luò)的HomeRF標(biāo)準(zhǔn)HomeRF是建構(gòu)在ShareWirelessAccessprotocol(SWAP)的技術(shù)上,它的想法是將其應(yīng)用于家庭網(wǎng)絡(luò)上。它不只是數(shù)據(jù)的傳送,更整合了語音傳輸?shù)哪芰?。所以它可以將計算機網(wǎng)絡(luò)與網(wǎng)絡(luò)結(jié)合,提供一個更完整的解決方案。HomeRF目前的頻寬大約是1~10Mbps。無線局域網(wǎng)組網(wǎng)模式〔1〕Infrastructure模式這種模式通過數(shù)張無線網(wǎng)絡(luò)卡〔USB,PCI或PCMCIA接口〕及一臺無線網(wǎng)橋(AP),通過AP實現(xiàn)無線網(wǎng)絡(luò)內(nèi)部及無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間的互通無線局域網(wǎng)組網(wǎng)模式〔2〕Ad-Hoc模式數(shù)張無線網(wǎng)卡〔USB,PCI或PCMCIA接口〕可以自成網(wǎng)絡(luò),無需AP,組成一種臨時性的松散的網(wǎng)絡(luò)組織方式,實現(xiàn)點對點與點對多點連接。不過這種方式就不能連接外部網(wǎng)絡(luò)。無線局域網(wǎng)組網(wǎng)模式〔3〕室外無線網(wǎng)橋第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座八、無線局域網(wǎng)絡(luò)的應(yīng)用與平安無線局域網(wǎng)的平安無線局域網(wǎng)平安狀況由于無線局域網(wǎng)通過無線電波在空中傳輸數(shù)據(jù),所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)。而防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。無線局域網(wǎng)必須考慮的平安威脅有以下幾種:所有常規(guī)有線網(wǎng)絡(luò)存在的平安威脅和隱患都存在;外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻,對公司網(wǎng)絡(luò)進行非授權(quán)存?。粺o線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱,易被竊取、竄改和插入;無線網(wǎng)絡(luò)易被拒絕效勞攻擊〔DOS〕和干擾;內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接;無線網(wǎng)絡(luò)的平安產(chǎn)品相對較少,技術(shù)相比照較新。無線局域網(wǎng)平安的主要技術(shù)〔1〕效勞集標(biāo)識符〔SSID,ServiceSetID〕通過對多個無線接入點AP設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,但是這只是一個簡單的口令,所有使用該網(wǎng)絡(luò)的人都知道該SSID,很容易泄漏,只能提供較低級別的平安。物理地址〔MAC,MediaAccessController〕過濾由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這也是較低級別的授權(quán)認(rèn)證。無線局域網(wǎng)平安的主要技術(shù)〔2〕連線對等保密〔WEP,WiredEquivalentProtection〕在鏈路層采用RC4對稱加密技術(shù),用戶的加密金鑰必須與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。但是它仍然存在許多缺陷,例如一個效勞區(qū)內(nèi)的所有用戶都共享同一個密鑰,一個用戶喪失或者泄漏密鑰將使整個網(wǎng)絡(luò)不平安。端口訪問控制技術(shù)〔802.1x〕IEEE802.11的i工作組致力于制訂被稱為IEEE802.11i的新一代平安標(biāo)準(zhǔn),這種平安標(biāo)準(zhǔn)為了增強WLAN的數(shù)據(jù)加密和認(rèn)證性能,定義了RSN〔RobustSecurityNetwork〕的概念,并且針對WEP加密機制的各種缺陷做了多方面的改進。WAPI協(xié)議我國早在2003年5月份就提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11,這是目前我國在這一領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPI〔WLANAuthenticationandPrivacyInfrastructure〕平安機制,這種平安機制由WAI〔WLANAuthenticationInfrastructure〕和WPI〔WLANPrivacyInfrastruc-ture〕兩局部組成,WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的平安保護。WEP、IEEE802.11i、WAPI三者之間的比較

WEPIEEE802.11iWAPI認(rèn)

特征

對硬件認(rèn)證,單向認(rèn)證。

無線用戶和RADIUS服務(wù)器認(rèn)證,雙向認(rèn)證,無線用戶身份通常為用戶名和口令。

無線用戶和無線接入點的認(rèn)證,雙向認(rèn)證,身份憑證為

公鑰數(shù)字證書。

性能

認(rèn)證過程簡單

認(rèn)證過程復(fù)雜,RADIUS服務(wù)器不易擴充。

認(rèn)證過程簡單,客戶端可支持多證書,方便用戶多處使用,充分保證其漫游功能,認(rèn)證單元易于擴充,支持用戶的異地接入。

安全漏洞

認(rèn)證易于偽造,降低了總安全性。

用戶身份憑證簡單,易于盜取,共享密

鑰管理存在安全隱患。

算法

開放式系統(tǒng)認(rèn)證,共享密

鑰認(rèn)證。

未確定

192/224/256位的橢圓曲線簽名算法。

安全強度

較高

最高

擴展性

加密

算法

64位的WEP流加密。

128位的WEP流加密,128位的AES加密算法。

認(rèn)證的分組加密。

靜態(tài)

動態(tài)(基于用戶、基于認(rèn)證、通信過程中動態(tài)更新)

動態(tài)(基于用戶、基于認(rèn)證、通信過程中動態(tài)更新)

安全強度

最高

中國法規(guī)

不符合

不符合

符合

第二局部信息平安的實際解決方案網(wǎng)絡(luò)信息平安講座九、電子商務(wù)平安電子商務(wù)效勞效勞供給商通過電子商務(wù)在Internet上以更低的本錢向客戶提供信息來增加收入,電子商務(wù)的另一項效勞是為敏感而機密信息提供電子庫功能。電子商務(wù)效勞與常規(guī)DMZ效勞的區(qū)別可以通過與Internet連接所需要的類似架構(gòu)提供電子商務(wù)效勞,Web效勞器、郵件效勞器和通信線路都是需要的。但是,電子商務(wù)的設(shè)計與常規(guī)Internet效勞在設(shè)計上還是存在區(qū)別的。DMZ服務(wù)電子商務(wù)服務(wù)組織希望向公眾提供信息(Web)或者在組織員工與公眾之間傳送信息(郵件);Web服務(wù)和郵件服務(wù)一般是開放的,一般不需要對來源進行驗證。組織仍然希望聯(lián)系公眾,但必須知道哪些人預(yù)訂了貨物,哪些人為貨物付款。也就是需要驗證訂購貨物人的身份。信息的機密性要求不高需要維護信息的機密性,如訂購貨物的信息,信用卡信息,客戶信息等服務(wù)的可用性要求不高需要考慮服務(wù)的可用性問題電子商務(wù)效勞的可用性問題全球時間Internet電子商務(wù)站點需要以每天24小時的運作方式接受來自全球的商務(wù)定單。除非一些組織可能將其產(chǎn)品定位于本地公眾。客戶的滿意程度可用性帶來客戶的滿意程度,并將這一滿意度通過Internet迅速進行擴散。解決可用性的問題在實施電子商務(wù)效勞之前,必須決定站點需要什么樣的可用性。常見提高可用性的方案包括:故障轉(zhuǎn)移系統(tǒng)復(fù)原方案冗余措施,防止系統(tǒng)的單點失敗客戶端平安性通信平安電子商務(wù)應(yīng)用程序的通信平安包括了在客戶系統(tǒng)和電子商務(wù)效勞器之間發(fā)送的信息的平安。這可能包括信用卡信息,站點的密碼,客戶文件等這樣的敏感信息針對這一問題的可行方案:基于SSL的HTTP效勞:SSL的密鑰長度可以是40位或128位,密鑰長度直接影響了加密通信數(shù)據(jù)的平安性。在客戶系統(tǒng)上保存信息HTTP和HTTPS是不保存狀態(tài)的協(xié)議,意味著效勞器不會記得它剛剛向這個瀏覽器加載了這個頁面。為使Web瀏覽器和Web效勞器從事跨Internet的商務(wù),效勞器必須記住客戶做過什么,一種Web效勞器可以采用的方法是使用Cookie。使用Cookie的風(fēng)險是客戶或訪問客戶計算機的其他人可以看到Cookie中的內(nèi)容,包括密碼或其他認(rèn)證信息。另一種風(fēng)險是如果Cookie包括有關(guān)客戶訂單的信息,那么客戶或許可以改變貨物的價格??梢酝ㄟ^使用非永久性加密Cookie來管理這些風(fēng)險。非永久性確保其不會寫入客戶系統(tǒng)磁盤,加密那么確保捕獲的Cookie的低風(fēng)險。否認(rèn)與電子商務(wù)客戶端相關(guān)的另一種風(fēng)險是客戶端或消費者對交易否認(rèn)的可能性。管理這種風(fēng)險的方法是通過認(rèn)證來判斷:使用信用卡采購;通過驗證身份后才能訪問某些信息的效勞。效勞器端平安性存儲在效勞器上的信息如果電子商務(wù)效勞器用于接受信用卡交易,那么應(yīng)該立刻將卡號轉(zhuǎn)換到實際交易處理的系統(tǒng)上,不應(yīng)該在效勞器上保存任何卡號。如果信息必須保存在電子商務(wù)效勞器上,那么應(yīng)該保護它不受未經(jīng)授權(quán)的訪問。可以使用文件訪問控制來實現(xiàn)這一點。保護效勞器不受攻擊效勞器的位置效勞器的物理位置必須確保平安;效勞器的網(wǎng)絡(luò)位置也很重要,電子商務(wù)效勞器應(yīng)當(dāng)處于DMZ中,并且應(yīng)該將防火墻配置為只允許對電子商務(wù)效勞器的80端口和443端口進行訪問。操作系統(tǒng)配置最好選擇管理人員熟悉的操作系統(tǒng),而不是選擇不熟悉的操作系統(tǒng)。平安配置效勞器的第一個步驟是刪除或關(guān)閉所有不需要的效勞,下一步是對系統(tǒng)進行修補,檢查最新的補丁程序是否安裝,最后還要檢查和設(shè)置系統(tǒng)的平安策略,設(shè)置較為嚴(yán)格的平安策略。在系統(tǒng)投入實際運行之前,還應(yīng)該對其脆弱點進行掃描,發(fā)現(xiàn)新的脆弱點并立即修補。Web效勞器配置永遠(yuǎn)不要以根用戶或管理員的身份運行Web效勞器每一個Web效勞器都需要由管理員定義效勞器根目錄,他不應(yīng)該與系統(tǒng)的根目錄相同,也不應(yīng)該包括對組織很重要的配置文件和平安文件。大多數(shù)Web效勞器都帶有CGI腳本,一些默認(rèn)的腳本存在非常嚴(yán)重的脆弱點,應(yīng)該刪除Web站點不使用的、Web效勞器自帶的所有腳本,以防止攻擊者使用他們獲得對系統(tǒng)的訪問。與操作系統(tǒng)一樣,在系統(tǒng)實際投入使用前,應(yīng)對其進行脆弱點掃描,發(fā)現(xiàn)新脆弱點并立即修補。應(yīng)用程序的平安性正確的應(yīng)用程序設(shè)計正確的編程設(shè)計程序是系統(tǒng)脆弱點的主要根源,最大的錯誤是潛在的緩沖溢出,可以通過修正兩個錯誤來減少緩沖溢出的問題:不要假設(shè)用戶輸入的大小;不要向命令解釋程序傳遞未經(jīng)檢查的用戶輸入。向外界展示代碼在站點投入實際使用之前,應(yīng)該使用脆弱點掃描程序?qū)槿耸熘某绦蚝湍_本的緩沖溢出問題進行檢查,這一步驟是非常關(guān)鍵的。還應(yīng)該通

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論