《信息安全技術(shù)》全冊(cè)配套完整教學(xué)課件2

第1章概述《信息安全技術(shù)》全冊(cè)配套完整教學(xué)課件2主要內(nèi)容基本概念信息安全發(fā)展歷程CISAW信息安全保障模型信息安全保障對(duì)象資源管理信息對(duì)社會(huì)的影響相關(guān)標(biāo)準(zhǔn)及法律法規(guī)1.1基本概念基本概念信息安全信息安全信息定義信息的定義信息是用以消除隨機(jī)不確定性的東西我們認(rèn)為信息是一種對(duì)象，能夠通過(guò)信息系統(tǒng)進(jìn)行處理。信息通過(guò)載體在一定環(huán)境中表現(xiàn)、存儲(chǔ)和傳輸。信息的表現(xiàn)形式KB 210MB 220GB 230TB 240PB 250EB 260ZB 270YB 280信息系統(tǒng)從信息的角度來(lái)說(shuō)，我們認(rèn)為信息系統(tǒng)是為信息生命周期提供服務(wù)的各類(lèi)軟硬件資源的總稱信息技術(shù)信息傳遞（通信）信息認(rèn)知－>信息再生（計(jì)算機(jī)）信息傳遞（通信）信息實(shí)效（控制）信息獲?。ǜ袦y(cè)）外部世界信息技術(shù)（IT：InformationTechnology）的內(nèi)涵IT＝Computer＋Communication＋Control安全定義“不出事或感覺(jué)不到要出事的威脅”安全關(guān)乎兩件事一件是已經(jīng)發(fā)生的事，即安全事件；另一件是未發(fā)生但可能引發(fā)安全事件的事，即安全威脅與脆弱性基本概念安全脆弱性威脅安全風(fēng)險(xiǎn)安全事件對(duì)象預(yù)防防護(hù)信息安全的目標(biāo)信息安全的目標(biāo)將服務(wù)與資源的脆弱性降到最低限度，將損失降到最低。具有動(dòng)態(tài)性和整體性。動(dòng)態(tài)性：安全是相對(duì)的，沒(méi)有絕對(duì)的安全，安全程度隨著時(shí)間的變化而改變整體性：涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層信息安全定義GB/T22080-2008/ISO/IEC27001:2005《信息安全管理體系要求》保持信息的機(jī)密性、完整性、可用性；另外也包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等信息安全的特征信息安全的基本屬性有：1.可用性(availability)2.機(jī)密性(confidentiality)3.完整性(integrity)4.真實(shí)性(validity)5.不可否認(rèn)性(non-repudiation)“信息安全”是指采用一切可能的辦法和手段，來(lái)保證信息的上述“五性”。CIA1.1.3可用性可用性要求包括信息、信息系統(tǒng)和系統(tǒng)服務(wù)都可以被授權(quán)實(shí)體在適合的時(shí)間，要求的方式，及時(shí)、可靠的訪問(wèn)，甚至是在信息系統(tǒng)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)。1.1.4完整性完整性

指信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性1.1.5機(jī)密性機(jī)密性

是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體1.1.6真實(shí)性真實(shí)性能夠核實(shí)和信賴在一個(gè)合法的傳輸、消息或消息源的真實(shí)性的性質(zhì)，以建立對(duì)其的信心真實(shí)性要求對(duì)用戶身份進(jìn)行鑒別，對(duì)信息的來(lái)源進(jìn)行驗(yàn)證。而這些功能都離不開(kāi)密碼學(xué)的支持。在非對(duì)稱密碼機(jī)制出現(xiàn)以前，這是一個(gè)很大的難題。非對(duì)稱密碼機(jī)制的出現(xiàn)，使該項(xiàng)難題得到了解決1.1.7不可否認(rèn)性不可否認(rèn)性是保證信息的發(fā)送者提供的交付證據(jù)和接受者提供的發(fā)送者證據(jù)一致，使其以后不能否認(rèn)信息過(guò)程也稱為不可抵賴性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方也不能否認(rèn)已收到的信息1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性?？煽匦允侵笇?duì)信息的傳播及內(nèi)容具有控制能力的特性，授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性，能夠?qū)π畔?shí)施安全監(jiān)控可追溯性通過(guò)記錄標(biāo)識(shí)的方法回溯某個(gè)實(shí)體的歷史、用途和位置的能力”。我們認(rèn)為這里的實(shí)體可理解為安全事件和威脅行為的相關(guān)實(shí)體1.2信息安全的發(fā)展歷程信息安全發(fā)展過(guò)程數(shù)據(jù)通訊安全1976Diffie&Hellman“密碼學(xué)的新方向”1977DES計(jì)算機(jī)安全TCSEC（橘皮書(shū)）網(wǎng)絡(luò)安全CC（GB/T18336）、IPV6安全信息安全保障1995IATF從PDR到WPDRRC未來(lái)安全云計(jì)算安全大數(shù)據(jù)安全1.3CISAW信息安全保障模型信息安全保障模型通常描述信息安全保障的模型PDRPPDRPDRRMPDRRWPDRRCCISAW模型CISAW模型業(yè)務(wù)CISAW模型CISAW模型CISAW模型CISAW模型CISAW模型技術(shù)人力財(cái)務(wù)信息CISAW模型1.4保障對(duì)象保障對(duì)象本質(zhì)對(duì)象業(yè)務(wù)實(shí)體對(duì)象數(shù)據(jù)、載體、環(huán)境與邊界生命周期數(shù)據(jù)對(duì)象載體對(duì)象環(huán)境與邊界對(duì)象1.5保障要素資源人力財(cái)務(wù)技術(shù)信息1.6信息安全管理信息安全管理管理對(duì)象措施資源管理1.7對(duì)社會(huì)的影響對(duì)社會(huì)的影響數(shù)據(jù)通信安全階段保密技術(shù)的應(yīng)用計(jì)算機(jī)系統(tǒng)安全階段系統(tǒng)安全的關(guān)注網(wǎng)絡(luò)安全階段計(jì)算機(jī)病毒傳播1.8標(biāo)準(zhǔn)及法律法規(guī)標(biāo)準(zhǔn)及法律法規(guī)標(biāo)準(zhǔn)國(guó)際TCSECCCISO/IEC27001國(guó)內(nèi)GB17859-1999GB/T22080-2008法律法規(guī)中華人民共和國(guó)國(guó)家安全法商用密碼管理?xiàng)l例Q&A謝謝！第2章數(shù)據(jù)安全主要內(nèi)容密碼技術(shù)身份認(rèn)證訪問(wèn)控制數(shù)據(jù)隱藏容錯(cuò)容災(zāi)反垃圾郵件2.1概述概述數(shù)據(jù)安全包括數(shù)據(jù)的產(chǎn)生、處理、加工、存儲(chǔ)、使用、傳輸、銷(xiāo)毀等環(huán)節(jié)的安全數(shù)據(jù)的分類(lèi)圖形、聲音、文字等數(shù)據(jù)安全的概念定義數(shù)據(jù)安全是指數(shù)據(jù)在其生命周期受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露。分類(lèi)數(shù)據(jù)物理安全主要是指存儲(chǔ)于機(jī)器、磁盤(pán)等物理設(shè)備中數(shù)據(jù)的安全，也可稱為數(shù)據(jù)存儲(chǔ)安全。數(shù)據(jù)邏輯安全在數(shù)據(jù)處理，加工，使用、傳輸?shù)拳h(huán)節(jié)的安全。根據(jù)其保護(hù)的形態(tài)又可分為靜態(tài)安全和動(dòng)態(tài)安全。范疇數(shù)據(jù)安全保護(hù)的實(shí)體對(duì)象是數(shù)據(jù)數(shù)據(jù)的可用性數(shù)據(jù)的完整性數(shù)據(jù)的真實(shí)性數(shù)據(jù)的機(jī)密性數(shù)據(jù)的不可否認(rèn)性常見(jiàn)的安全問(wèn)題

數(shù)據(jù)無(wú)法獲取、使用和傳輸數(shù)據(jù)被刪除數(shù)據(jù)被篡改數(shù)據(jù)被泄漏數(shù)據(jù)被竊取數(shù)據(jù)被非法獲取安全問(wèn)題的原因數(shù)據(jù)自身的脆弱性外界對(duì)數(shù)據(jù)的威脅載體、環(huán)境和邊界的安全問(wèn)題2.2密碼技術(shù)對(duì)稱密碼體制非對(duì)稱密碼體制壓縮密鑰管理密碼學(xué)發(fā)展史密碼學(xué)的發(fā)展階段古代加密方法（手工加密）隱寫(xiě)術(shù)信息隱藏古典密碼（機(jī)械階段）轉(zhuǎn)輪機(jī)近代密碼（計(jì)算階段）基本知識(shí)明文(Plaintext)密文(Ciphertext)加密(Encryption)解密(Decryption)密鑰(Key)中國(guó)信息安全認(rèn)證中心培訓(xùn)合作方徽標(biāo)與名稱藏頭詩(shī)中國(guó)信息安全認(rèn)證中心培訓(xùn)合作方徽標(biāo)與名稱凱撒密碼密碼學(xué)發(fā)展史中國(guó)信息安全認(rèn)證中心培訓(xùn)合作方徽標(biāo)與名稱密碼學(xué)及編碼學(xué)密碼學(xué)以研究秘密通信為目的，研究對(duì)傳輸信息采取何種秘密的變換，以防止第三者對(duì)信息的截取。密碼編碼學(xué)——研究把信息（明文）變換成沒(méi)有密鑰不能解密或很難解密的密文的方法密碼分析學(xué)——研究分析破譯密碼的方法密碼算法分類(lèi)-1按照保密的內(nèi)容分:受限制的（restricted)算法:算法的機(jī)密性基于保持算法的秘密。基于密鑰（key-based)的算法:算法的機(jī)密性基于對(duì)密鑰的保密。密碼算法分類(lèi)-2基于密鑰的算法，按照密鑰的特點(diǎn)分類(lèi)：對(duì)稱密碼算法（symmetriccipher)：又稱傳統(tǒng)密碼算法（conventionalcipher)，就是加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個(gè)易于推出另一個(gè)。又稱秘密密鑰算法或單密鑰算法。非對(duì)稱密鑰算法（asymmetriccipher):加密密鑰和解密密鑰不相同，從一個(gè)很難推出另一個(gè)。又稱公開(kāi)密鑰算法（public-keycipher)。密碼算法分類(lèi)-3按照明文的處理方法：分組密碼（blockcipher):將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。流密碼（streamcipher):又稱序列密碼.序列密碼每次加密一位或一字節(jié)的明文，也可以稱為流密碼。典型技術(shù)現(xiàn)代密碼：對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制非對(duì)稱密碼體制保密通信系統(tǒng)模型信源M加密器C＝EK1（M）信道解密器M=Dk2(C)接收者m密鑰源k1密鑰源k2密鑰信道非法接入者密碼分析員（竊聽(tīng)者）搭線信道（主動(dòng)攻擊）搭線信道（被動(dòng)攻擊）ccmk1k2m`對(duì)稱密碼體制加密和解密采用相同的密鑰對(duì)稱密碼體制中典型的算法DES(DataEncryptionStandard)算法、3DES(三重DES)、GDES(廣義DES)、AES、歐洲的IDEA、日本的FEAL、RC5等。分組密碼流密碼RC4A5分組密碼分組塊操作基本技術(shù)擴(kuò)散混亂常見(jiàn)算法AES、SMS4、IDEABlowfish、RC5、……序列密碼也稱為：流密碼特點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單便于硬件實(shí)施加解密處理速度快沒(méi)有或只有有限的錯(cuò)誤傳播常見(jiàn)算法RC4A5DES算法總體框架對(duì)稱密碼體制特點(diǎn)效率高，算法簡(jiǎn)單，系統(tǒng)開(kāi)銷(xiāo)小，適合加密大量數(shù)據(jù)計(jì)算；通信雙方需確保密鑰安全交換；不能用于數(shù)字簽名；對(duì)于具有n個(gè)用戶系統(tǒng)，如果每2個(gè)用戶采用1個(gè)密鑰，則需要n(n-1)/2個(gè)密鑰。在用戶數(shù)量相對(duì)較小的情況下，對(duì)稱加密系統(tǒng)是有效的。但是當(dāng)用戶數(shù)量超過(guò)一定規(guī)模時(shí)，密鑰的分配和保存就成了問(wèn)題。非對(duì)稱密碼體制公鑰密碼學(xué)是密碼學(xué)一次偉大的革命1976年，Diffie和Hellman在“密碼學(xué)新方向”一文中提出使用兩個(gè)密鑰：公開(kāi)（公有）密鑰、秘密（私有）密鑰加解密的非對(duì)稱性利用數(shù)論的方法是對(duì)對(duì)稱密碼的重要補(bǔ)充非對(duì)稱密碼體制加密和解密是相對(duì)獨(dú)立的，加密和解密使用兩個(gè)不同的密鑰，公開(kāi)密鑰向公眾公開(kāi)，任何實(shí)體都可以使用；秘密密鑰由所有者獨(dú)自擁有，并秘密保存。非法使用者根據(jù)公開(kāi)的加密密鑰無(wú)法推算出解密密鑰。常見(jiàn)的非對(duì)稱密碼體制有RSA、橢圓曲線算法、Diffe-Hellman、背包算法、McEliece、Rabin、零知識(shí)證明、EIGamal，以及我國(guó)的組合公鑰CPK算法。非對(duì)稱密碼體制特點(diǎn)密鑰管理比較簡(jiǎn)單，并且可以方便地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證算法復(fù)雜，加密數(shù)據(jù)的速率較低HASH函數(shù)雜湊函數(shù)或散列函數(shù)從消息空間到像（Image）空間的不可逆映射。消息通過(guò)散列算法，變換成固定長(zhǎng)度的輸出，該輸出就是散列值或稱為數(shù)字指紋、消息摘要、雜湊值。HASH函數(shù)特點(diǎn)可用于任意長(zhǎng)度的消息輸出長(zhǎng)度固定從消息計(jì)算散列值很容易對(duì)任意的散列值，反過(guò)來(lái)計(jì)算消息是不可行的很難找到兩個(gè)不同的輸入得到相同的散列值HASH函數(shù)簡(jiǎn)介常用的算法主要有MD5、SHA-1、SHA-256、SHA-512壓縮HASH函數(shù)應(yīng)用數(shù)據(jù)完整性數(shù)字簽名消息鑒別身份認(rèn)證密鑰管理密鑰生成密鑰注入密鑰分配密鑰驗(yàn)證密鑰更新密鑰存儲(chǔ)密鑰備份密鑰銷(xiāo)毀密鑰管理公鑰基礎(chǔ)設(shè)施采用證書(shū)管理公鑰，通過(guò)CA把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份包括證書(shū)管理機(jī)構(gòu)、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、API等基本構(gòu)成部分密碼技術(shù)應(yīng)用維持機(jī)密性保證真實(shí)性保證完整性用于不可否認(rèn)性密碼體制優(yōu)缺點(diǎn)對(duì)稱密碼體制優(yōu)缺點(diǎn)非對(duì)稱密碼體制優(yōu)缺點(diǎn)典型應(yīng)用在電子商務(wù)上的應(yīng)用在VPN上的應(yīng)用2.3身份認(rèn)證基本概念身份認(rèn)證通常信息系統(tǒng)中的身份認(rèn)證是指對(duì)實(shí)體（主體，客體）進(jìn)行身份鑒別的過(guò)程標(biāo)識(shí)身份標(biāo)識(shí)口令授權(quán)生物特征唯一的可以自動(dòng)識(shí)別和驗(yàn)證的生理特征和行為方式典型認(rèn)證技術(shù)基于信息秘密的身份認(rèn)證技術(shù)根據(jù)主體雙方共同知曉的秘密信息：口令、密鑰、IP地址、MAC地址基于信任物體的身份認(rèn)證技術(shù)基于生物特征的身份認(rèn)證技術(shù)指紋、虹膜、語(yǔ)音多種認(rèn)證方式疊加基于口令的認(rèn)證定義口令（Password）是用戶與系統(tǒng)之間交換的共享信息和信物，用于對(duì)知曉口令用戶的身份認(rèn)證口令依據(jù)認(rèn)證方式可分為靜態(tài)口令和動(dòng)態(tài)口令（一次性口令）。靜態(tài)口令可以理解為能夠多次使用的口令，而動(dòng)態(tài)口令每次使用不同的口令。具體的認(rèn)證方式由口令安全協(xié)議來(lái)實(shí)現(xiàn)基于口令的認(rèn)證面臨的威脅外部泄露口令猜解線路竊聽(tīng)重放攻擊基于密碼學(xué)的認(rèn)證基本原理基本原理是由可信第三方頒發(fā)數(shù)字標(biāo)識(shí)信息及私鑰給系統(tǒng)用戶，數(shù)字標(biāo)識(shí)信息包括了用戶的基本信息、公鑰及第三方的簽名（在公鑰基礎(chǔ)設(shè)施PKI中稱為數(shù)字證書(shū)），這樣用戶的數(shù)字標(biāo)識(shí)信息的真實(shí)性、完整性得到了保障。在身份驗(yàn)證時(shí)，系統(tǒng)通過(guò)可信第三方獲取用戶信息并驗(yàn)證，再結(jié)合非對(duì)稱密碼算法及具體的身份認(rèn)證協(xié)議來(lái)完成身份驗(yàn)證基于生物特征識(shí)別定義用戶的生物特征也可以用來(lái)進(jìn)行身份認(rèn)證。在進(jìn)行身份認(rèn)證之前，首先需要進(jìn)行的是生物特征的采集、數(shù)字化處理、分析和存儲(chǔ)常見(jiàn)用于認(rèn)證的識(shí)別技術(shù)有臉形、指紋、手形、手部血管分布、虹膜、視網(wǎng)膜、聲音、臉部能量圖等識(shí)別方法，及手寫(xiě)簽名、步態(tài)、開(kāi)鎖動(dòng)力學(xué)等行為識(shí)別方法，也研究者針對(duì)DNA等遺傳型生物特征的認(rèn)證技術(shù)進(jìn)行研究基于生物特征識(shí)別生物特征需要具備的性質(zhì)普遍性每個(gè)人都要擁有的特征，只有一部分人所擁有的胎記、疤痕等是不能使用的；唯一性每個(gè)人所具有的特征都應(yīng)與其他人不一樣；穩(wěn)定性特征或行為應(yīng)在一個(gè)相當(dāng)長(zhǎng)的時(shí)間內(nèi)保持不變；可采集性即是否可以方便地獲取并量化這些特征或行為技術(shù)應(yīng)用案例中某運(yùn)營(yíng)商為了解決數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)的存在的賬號(hào)多不便記憶、管理權(quán)限混亂、安全隱患層出不窮等問(wèn)題，提出了單點(diǎn)登錄系統(tǒng)的建設(shè)需求。單點(diǎn)登錄系統(tǒng)支持技術(shù)人員、業(yè)務(wù)人員、維護(hù)人員、管理人員等不同職務(wù)人員根據(jù)其權(quán)限訪問(wèn)數(shù)據(jù)中心相應(yīng)的主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)信息系統(tǒng)等。解決方案該系統(tǒng)建設(shè)方案中采用多因子認(rèn)證方式，利用口令、圖形驗(yàn)證碼和短信驗(yàn)證碼相結(jié)合的形式實(shí)現(xiàn)身份認(rèn)證2.4訪問(wèn)控制自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制基本知識(shí)訪問(wèn)控制：主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問(wèn)訪問(wèn)控制三要素主體客體訪問(wèn)控制策略訪問(wèn)控制機(jī)制訪問(wèn)控制矩陣訪問(wèn)控制表訪問(wèn)控制訪問(wèn)控制矩陣（AccessControlMatrix，ACM）：其基本思想是將所有的訪問(wèn)控制信息存儲(chǔ)在一個(gè)矩陣中集中管理。當(dāng)前的訪問(wèn)控制模型一般都是在它的基礎(chǔ)上建立起來(lái)的。矩陣的每一行代表一個(gè)主體，每一列代表一個(gè)客體，行列交叉處的矩陣元素中存放著該主體訪問(wèn)該客體的權(quán)限。用戶1用戶2用戶3…文件1讀，寫(xiě)讀執(zhí)行…文件2讀，寫(xiě)讀，寫(xiě)讀，寫(xiě)…文件3執(zhí)行讀，寫(xiě)寫(xiě)…….…………訪問(wèn)控制訪問(wèn)控制表（AccessControlList，ACL）：是按控制矩陣的列來(lái)實(shí)施對(duì)系統(tǒng)中客體的訪問(wèn)控制。file1用戶1,rw用戶2,orw…….file2用戶2,rw用戶4,x…….訪問(wèn)控制模型自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色的訪問(wèn)控制自主訪問(wèn)控制DiscretionaryAccessControl，DAC客體的宿主對(duì)客體進(jìn)行管理，由客體的宿主自己決定是否將自己客體的訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授予其他主體。訪問(wèn)控制表實(shí)施采用自主訪問(wèn)控制的系統(tǒng)WindowsNTServer,UNIX系統(tǒng)，防火墻等強(qiáng)制訪問(wèn)控制系統(tǒng)對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問(wèn)控制，主體不能改變自身和客體的安全級(jí)別。系統(tǒng)為這些主體及客體指定敏感標(biāo)記強(qiáng)制訪問(wèn)控制依據(jù)主體和客體的安全級(jí)別，MAC中主體對(duì)客體的訪問(wèn)有以下四種方式：向下讀（ReadDown），主體安全級(jí)別高于客體的安全級(jí)別時(shí)允許讀操作。向上讀（ReadUp），主體安全級(jí)別低于客體的安全級(jí)別時(shí)允許讀操作。向下寫(xiě)（WriteDown），主體安全級(jí)別高于客體的安全級(jí)別時(shí)允許寫(xiě)操作。向上寫(xiě)（WriteUp），主體安全級(jí)別低于客體的安全級(jí)別時(shí)允許寫(xiě)操作?；诮巧脑L問(wèn)控制(Role-BasedAccessControl，RBAC)授權(quán)給用戶的訪問(wèn)權(quán)限由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。通過(guò)角色溝通主體與客體。將訪問(wèn)權(quán)限分配給角色，系統(tǒng)的用戶擔(dān)任一定的角色，與用戶相比角色是相對(duì)穩(wěn)定的。RBAC主要包括5個(gè)基本元素：用戶(USERS)、角色（ROLES）、客體（OBS）、操作(OPS)、許可權(quán)(PERMISSIONS)三種訪問(wèn)控制策略的特點(diǎn)策略/特點(diǎn)優(yōu)點(diǎn)缺點(diǎn)DAC比較靈活、易用，已被廣泛應(yīng)用于商業(yè)、工業(yè)環(huán)境。（1）不能提供確實(shí)可靠的數(shù)據(jù)安全保證；（2）訪問(wèn)控制權(quán)限是可以傳遞的，一旦訪問(wèn)控制權(quán)限被傳遞出去將無(wú)法控制；（3）在大型系統(tǒng)中開(kāi)銷(xiāo)巨大，效率低下。（4）不保護(hù)客體產(chǎn)生的副本，增加管理難度。MAC機(jī)密性強(qiáng)，適用于安全強(qiáng)度要求較高的數(shù)據(jù)系統(tǒng)。（1）系統(tǒng)靈活性差，不利于商業(yè)系統(tǒng)應(yīng)用；（2）機(jī)密性強(qiáng)，適用于安全強(qiáng)度要求較高的數(shù)據(jù)系統(tǒng)。（3）必須保證系統(tǒng)中不存在逆向潛信道。RBAC（1）以角色作為訪問(wèn)控制的主體（2）獨(dú)立性（3）最小特權(quán)（leastprivilege）原則。（4）職責(zé)分離(separationofduties)原則系統(tǒng)實(shí)現(xiàn)難度大。定義眾多的角色和訪問(wèn)權(quán)限及它們之間的關(guān)系非常復(fù)雜。典型應(yīng)用操作系統(tǒng)提供的訪問(wèn)控制機(jī)制使用密碼或Kerberos對(duì)主體進(jìn)行身份驗(yàn)證，然后對(duì)其訪問(wèn)文件、通信端口和其他系統(tǒng)資源等行為進(jìn)行調(diào)度用戶操作系統(tǒng)賬號(hào)程序?qū)徲?jì)數(shù)據(jù)審核記錄SamRWXRWXRWRAliceXXRW-BobRXRRR2.5信息隱藏隱寫(xiě)術(shù)數(shù)字水印信息隱藏隱寫(xiě)術(shù)不讓計(jì)劃的接收者之外的任何人知道信息的傳遞事件（而不只是信息的內(nèi)容）的一門(mén)技巧與科學(xué)。數(shù)字水印在數(shù)字化的數(shù)據(jù)中嵌入不明顯的記號(hào)。通常被嵌入的記號(hào)是不可見(jiàn)或不可覺(jué)察的，但通過(guò)計(jì)算操作可以被檢查或被提取的。數(shù)字隱藏模型實(shí)例隱寫(xiě)術(shù)實(shí)例一個(gè)24位的位圖中的每個(gè)像素的三個(gè)顏色分量（紅，綠和藍(lán)）各使用8個(gè)比特來(lái)表示，如果我們只考慮藍(lán)色的話，就像11111111和11111110這兩個(gè)值所表示的藍(lán)色，人眼幾乎無(wú)法區(qū)分這個(gè)最低有效位就可以用來(lái)存儲(chǔ)顏色之外的信息數(shù)字水印數(shù)字水印技術(shù)是將一些標(biāo)識(shí)信息，即數(shù)字水印，直接嵌入到多媒體、文檔、軟件等數(shù)字載體中，但不影響原載體的使用價(jià)值。被嵌入的水印通常是不可見(jiàn)或不可覺(jué)察的，通過(guò)一些算法能夠被檢測(cè)或被提取。水印嵌入和檢查模型隱寫(xiě)術(shù)和數(shù)字水印的應(yīng)用特點(diǎn)

特點(diǎn)隱藏技術(shù)保護(hù)對(duì)象應(yīng)用目的載體要求是否可視隱寫(xiě)術(shù)嵌入的對(duì)象秘密傳輸可破壞否數(shù)字水?。敯粜裕┹d體版權(quán)保護(hù)可破壞可數(shù)字水?。ù嗳跣裕┹d體防偽不可破壞否應(yīng)用實(shí)例數(shù)字作品的版權(quán)保護(hù)IBM公司

數(shù)字圖書(shū)館”Adobe公司Photoshop商務(wù)交易中的票據(jù)防偽采用數(shù)字水印技術(shù)為各種票據(jù)提供不可見(jiàn)的認(rèn)證標(biāo)志證件真?zhèn)舞b別信息隱藏的應(yīng)用方案版權(quán)保護(hù)數(shù)字簽名數(shù)字指紋廣播監(jiān)視內(nèi)容認(rèn)證拷貝控制秘密通信2.6容錯(cuò)容災(zāi)容錯(cuò)容災(zāi)基本知識(shí)數(shù)據(jù)備份為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將整個(gè)系統(tǒng)數(shù)據(jù)或部分重要數(shù)據(jù)集合打包，從應(yīng)用主機(jī)的硬盤(pán)或陣列中復(fù)制到其他的存儲(chǔ)介質(zhì)的過(guò)程相關(guān)概念容錯(cuò)技術(shù)當(dāng)由于種種原因在系統(tǒng)中出現(xiàn)了數(shù)據(jù)、文件損壞或丟失時(shí)，系統(tǒng)能夠自動(dòng)將這些損壞或丟失的文件和數(shù)據(jù)恢復(fù)到發(fā)生事故以前的狀態(tài)，使系統(tǒng)能夠連續(xù)正常運(yùn)行的一種技術(shù)。容災(zāi)技術(shù)為了應(yīng)付突發(fā)性災(zāi)難如火災(zāi)、洪水、地震或者恐怖事件等對(duì)整個(gè)組織機(jī)構(gòu)的數(shù)據(jù)和業(yè)務(wù)生產(chǎn)會(huì)造成重大影響的技術(shù)。

相關(guān)概念數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective，RPO）：在災(zāi)難發(fā)生時(shí)，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到哪個(gè)時(shí)間點(diǎn)的要求。數(shù)據(jù)恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective，RTO）：在災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停止到恢復(fù)的時(shí)間要求。數(shù)據(jù)級(jí)容災(zāi)：只保證數(shù)據(jù)的完整性、可靠性和安全性，但提供實(shí)時(shí)服務(wù)的請(qǐng)求在災(zāi)難中會(huì)中斷。應(yīng)用級(jí)容災(zāi)：能夠提供不間斷的應(yīng)用服務(wù)，讓服務(wù)請(qǐng)求能夠透明(在災(zāi)難發(fā)生時(shí)毫無(wú)覺(jué)察)地繼續(xù)運(yùn)行，保證數(shù)據(jù)中心提供的服務(wù)完整、可靠、安全。相關(guān)技術(shù)存儲(chǔ)技術(shù)DAS存儲(chǔ)、NAS存儲(chǔ)、SAN存儲(chǔ)、OBS存儲(chǔ)備份技術(shù)磁帶備份、基于數(shù)據(jù)庫(kù)的遠(yuǎn)程數(shù)據(jù)復(fù)制、服務(wù)器邏輯卷的遠(yuǎn)程數(shù)據(jù)復(fù)制、基于存儲(chǔ)備份軟件實(shí)現(xiàn)的遠(yuǎn)程數(shù)據(jù)復(fù)制、基于智能存儲(chǔ)設(shè)備的遠(yuǎn)程數(shù)據(jù)復(fù)制冗余磁盤(pán)陣列技術(shù)鏡像、數(shù)據(jù)條帶、數(shù)據(jù)校驗(yàn)復(fù)制技術(shù)同步復(fù)制、異步復(fù)制高可用技術(shù)雙機(jī)熱備份、集群相關(guān)技術(shù)開(kāi)放系統(tǒng)直連式存儲(chǔ)（Direct-AttachedStorage，DAS）是指將儲(chǔ)存設(shè)備通過(guò)SCSI接口或光纖通道直接連接到一臺(tái)計(jì)算機(jī)上網(wǎng)絡(luò)附屬存儲(chǔ)（NetworkAttachedStorage，NAS）是一種將分布、獨(dú)立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對(duì)不同主機(jī)和應(yīng)用服務(wù)器進(jìn)行訪問(wèn)的技術(shù)SAN存儲(chǔ)技術(shù)存儲(chǔ)區(qū)域網(wǎng)絡(luò)（StorageAreaNetwork，SAN）是一種高速網(wǎng)絡(luò)或子網(wǎng)絡(luò)，提供在計(jì)算機(jī)與存儲(chǔ)系統(tǒng)之間的數(shù)據(jù)傳輸磁帶備份通過(guò)應(yīng)用程序或者中間件產(chǎn)品，將數(shù)據(jù)中心的數(shù)據(jù)復(fù)制到災(zāi)難備份中心這種備份方式往往需要應(yīng)用程序的修改，工作量比較大。另外，由應(yīng)用程序本身來(lái)處理數(shù)據(jù)的復(fù)制任務(wù)，對(duì)應(yīng)用系統(tǒng)的性能影響較大冗余磁盤(pán)陣列RedundantArrayofInexpensiveDisk，RAID由多個(gè)獨(dú)立的磁盤(pán)與磁盤(pán)驅(qū)動(dòng)器組成的磁盤(pán)存儲(chǔ)系統(tǒng)，具有比單個(gè)磁盤(pán)更大的存儲(chǔ)容量、更快的存儲(chǔ)速度，并能為數(shù)據(jù)提供冗余技術(shù)。提供了數(shù)據(jù)安全性高、大容量、高存儲(chǔ)性能、高數(shù)據(jù)可靠性、易管理性等顯著優(yōu)勢(shì)的存儲(chǔ)設(shè)備。RAID的關(guān)鍵技術(shù)鏡像數(shù)據(jù)條帶數(shù)據(jù)校驗(yàn)備份策略完全備份用存儲(chǔ)介質(zhì)對(duì)全部數(shù)據(jù)進(jìn)行備份。累計(jì)備份或差分備份每次備份的數(shù)據(jù)是相對(duì)于上一次全備份之后新增加的和修改過(guò)的數(shù)據(jù)。增量備份增量備份是對(duì)上一次備份后所有發(fā)生變化的文件進(jìn)行備份。按需備份按需備份是根據(jù)需要對(duì)資料進(jìn)行備份。高可用技術(shù)雙機(jī)熱備份技術(shù)集群技術(shù)雙機(jī)熱備份技術(shù)兩臺(tái)服務(wù)器系統(tǒng)和一個(gè)外接共享磁盤(pán)陣列柜及相應(yīng)的雙機(jī)熱備份軟件組成在一臺(tái)服務(wù)器出現(xiàn)故障時(shí)，備機(jī)主動(dòng)替代主機(jī)工作，保證網(wǎng)絡(luò)服務(wù)不間斷。集群技術(shù)一組相互獨(dú)立的計(jì)算機(jī)，利用高速通信網(wǎng)絡(luò)組成一個(gè)計(jì)算機(jī)系統(tǒng)，每個(gè)群集節(jié)點(diǎn)（即集群中的每臺(tái)計(jì)算機(jī)）都是運(yùn)行其自己進(jìn)程的一個(gè)獨(dú)立服務(wù)器2.7反垃圾郵件技術(shù)基本概念垃圾郵件SPAM垃圾郵件現(xiàn)在還沒(méi)有一個(gè)非常嚴(yán)格的定義。一般來(lái)說(shuō)，垃圾郵件是指未經(jīng)用戶許可而強(qiáng)行發(fā)送到用戶郵箱中的任何電子郵件。郵件病毒是指通過(guò)電子郵件傳播的病毒。一般是夾在郵件的附件中，在用戶運(yùn)行了附件中的病毒程序后，就會(huì)使電腦染毒。電子郵件本身不會(huì)產(chǎn)生病毒，只是病毒的寄生場(chǎng)所基本概念電子郵件炸彈最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的寬帶。網(wǎng)絡(luò)釣魚(yú)（Phishing攻擊）一種企圖從電子通訊中，透過(guò)偽裝成信譽(yù)卓著的法人媒體以獲得如用戶名、密碼和信用卡明細(xì)等個(gè)人敏感資訊的犯罪詐騙過(guò)程。郵件傳送流程MUA：郵件用戶代理MTA：郵件轉(zhuǎn)發(fā)代理DNS：域名服務(wù)器MDA：郵件分發(fā)代理反垃圾郵件相關(guān)技術(shù)關(guān)鍵詞過(guò)濾實(shí)時(shí)黑名單技術(shù)HASH技術(shù)基于規(guī)則的過(guò)濾智能和概率系統(tǒng)反向查詢技術(shù)DKIM（DomainKeysIdentifiedMail）技術(shù)SenderID技術(shù)FairUCE技術(shù)挑戰(zhàn)Q&A謝謝！第3章載體安全主要內(nèi)容概述存儲(chǔ)介質(zhì)安全惡意代碼及防范技術(shù)傳輸載體安全3.1概述概念載體是承載數(shù)據(jù)的實(shí)體物理載體是指承載數(shù)據(jù)的物理實(shí)體，例如計(jì)算機(jī)磁盤(pán)、磁帶、光盤(pán)、移動(dòng)硬盤(pán)、存儲(chǔ)系統(tǒng)、主機(jī)、網(wǎng)線、光纖等邏輯載體是指承載數(shù)據(jù)的邏輯實(shí)體也稱為邏輯介質(zhì)，例如，操作系統(tǒng)、支撐平臺(tái)系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用程序等范疇載體安全的內(nèi)容包括：載體可用性

載體完整性載體機(jī)密性常見(jiàn)的安全問(wèn)題常見(jiàn)問(wèn)題\安全屬性可用性完整性機(jī)密性載體丟失√

載體損壞√√

載體被盜

√載體邏輯被破壞√√

無(wú)法訪問(wèn)√

引發(fā)原因載體脆弱性對(duì)載體的威脅環(huán)境安全問(wèn)題邊界安全問(wèn)題3.2介質(zhì)安全存儲(chǔ)介質(zhì)安全相關(guān)概念磁盤(pán)低級(jí)格式化就是把一張空白的磁盤(pán)劃分成一個(gè)個(gè)小區(qū)域并編號(hào)，供計(jì)算機(jī)儲(chǔ)存，讀取數(shù)據(jù)。分區(qū)為了便于管理和使用，將大容量的硬盤(pán)分成一個(gè)一個(gè)的邏輯分區(qū)，表現(xiàn)為一個(gè)個(gè)邏輯盤(pán)符。磁盤(pán)高級(jí)格式化在磁盤(pán)分區(qū)上建立文件系統(tǒng)的過(guò)程。相關(guān)概念文件系統(tǒng)文件系統(tǒng)是操作系統(tǒng)用于明確磁盤(pán)或分區(qū)上的文件的方法和數(shù)據(jù)結(jié)構(gòu),即在磁盤(pán)上組織文件的方法數(shù)據(jù)恢復(fù)把遭受破壞，或由介質(zhì)缺陷導(dǎo)致不可訪問(wèn)或不可獲得，或由于誤操作等各種原因?qū)е聛G失數(shù)據(jù)還原成正常數(shù)據(jù)存儲(chǔ)介質(zhì)種類(lèi)計(jì)算機(jī)存儲(chǔ)介質(zhì)按存儲(chǔ)速度從高到低的排列包括內(nèi)存儲(chǔ)器（半導(dǎo)體芯片組成）、磁盤(pán)、后援存儲(chǔ)器（光盤(pán)機(jī)、光盤(pán)庫(kù)、磁帶庫(kù)）和脫機(jī)存儲(chǔ)器（磁帶機(jī)，磁帶庫(kù)）。按存儲(chǔ)技術(shù)原理分為以下3類(lèi)：電存儲(chǔ)、如內(nèi)存、閃存等；磁存儲(chǔ)，如磁盤(pán)、磁帶等；光存儲(chǔ)，如光盤(pán)、DVD等。數(shù)碼存儲(chǔ)介質(zhì)存儲(chǔ)卡：包括小型閃存卡（CF卡）、智慧卡（SM卡）、記憶棒（MS卡）、多媒體卡（MMC卡）和安全數(shù)字卡（SD卡）。微型硬盤(pán)計(jì)算機(jī)存儲(chǔ)介質(zhì)特點(diǎn)磁存儲(chǔ)器：包括硬盤(pán)，軟磁盤(pán)和磁帶存儲(chǔ)器1.永久性磁化磁存儲(chǔ)器屬于磁介質(zhì)，磁介質(zhì)存在剩磁效應(yīng)的問(wèn)題，保存在磁介質(zhì)中的數(shù)據(jù)會(huì)使磁介質(zhì)不同程度地永久性磁化，所以磁介質(zhì)上記載的信息在一定程度上是抹除不干凈的，使用高靈敏度的磁頭和放大器可以將已抹除的信息的磁盤(pán)上的原有信息提取出來(lái)。因此涉密和重要磁介質(zhì)的管理、廢棄是很重要的問(wèn)題。計(jì)算機(jī)存儲(chǔ)介質(zhì)特點(diǎn)2.被刪除文件可恢復(fù)在許多計(jì)算機(jī)操作系統(tǒng)中，刪除一個(gè)文件，僅僅刪除了該文件的文件指針，也就是刪除了該文件的標(biāo)記，釋放了該文件的存儲(chǔ)空間，而并非真正將該文件刪除或覆蓋計(jì)算機(jī)刪除磁盤(pán)文件的這種方式，可以提高文件處理的速度和效率，但也方便了被刪除文件的恢復(fù)。光存儲(chǔ)介質(zhì)特點(diǎn)光存儲(chǔ)介質(zhì)記錄密度高存儲(chǔ)量大存儲(chǔ)速度慢介質(zhì)數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)介質(zhì)數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)都是由介質(zhì)所使用的文件系統(tǒng)的格式所決定的硬盤(pán)的文件格式windows文件系統(tǒng)：FAT16、FAT32、NTFSlinux文件系統(tǒng)：EXT系列、Reiser4、ReiserFS、xfs、JFS等unix文件系統(tǒng)：GPFS、UFS等光盤(pán)文件系統(tǒng)格式ISO-9660、Joliet、Romeo等軟盤(pán)的文件格式僅限于FAT16數(shù)碼介質(zhì)的文件格式UFS、exFAT等FAT32文件系統(tǒng)NTFS文件系統(tǒng)UNIX文件系統(tǒng)典型技術(shù)介質(zhì)防震技術(shù)介質(zhì)故障檢測(cè)技術(shù)介質(zhì)數(shù)據(jù)安全刪除銷(xiāo)毀技術(shù)介質(zhì)數(shù)據(jù)防盜技術(shù)介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)介質(zhì)防震技術(shù)介質(zhì)防震是防止介質(zhì)由于震動(dòng)造成不能正常讀取介質(zhì)數(shù)據(jù)。是在硬盤(pán)受到?jīng)_擊時(shí)保持磁頭不受震動(dòng)。主要方法是使沖擊能量被硬盤(pán)的其它部分吸收或者使用減震保護(hù)膜。介質(zhì)故障檢測(cè)技術(shù)對(duì)于機(jī)械性質(zhì)產(chǎn)生的硬盤(pán)故障通過(guò)檢測(cè)、分析，發(fā)出報(bào)警的技術(shù)。主要有SMART技術(shù)、DPS技術(shù)、DFT技術(shù)等。介質(zhì)數(shù)據(jù)安全刪除銷(xiāo)毀技術(shù)磁介質(zhì)存在著永久性磁化問(wèn)題。安全刪除銷(xiāo)毀技術(shù)就是防止介質(zhì)數(shù)據(jù)刪除或銷(xiāo)毀后被他人恢復(fù)而泄露數(shù)據(jù)磁介質(zhì)主要?jiǎng)h除銷(xiāo)毀技術(shù)可分為直流消磁法和交流消磁法兩種介質(zhì)防盜技術(shù)主要通過(guò)密碼技術(shù)的應(yīng)用來(lái)實(shí)現(xiàn)的。介質(zhì)數(shù)據(jù)一旦使用密碼技術(shù)進(jìn)行加密，即具有很高的保密程度，介質(zhì)即使被盜竊或被復(fù)制，其記錄的數(shù)據(jù)也難以被讀懂泄露。具體的介質(zhì)數(shù)據(jù)加密技術(shù)又細(xì)分為文件加密、目錄加密、程序加密、數(shù)據(jù)庫(kù)加密、整盤(pán)數(shù)據(jù)加密等。介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)在許多文件系統(tǒng)中，刪除一個(gè)文件，僅僅刪除了該文件的文件指針，也就是刪除了該文件的標(biāo)記，釋放了該文件的存儲(chǔ)空間，而并非真正將該文件刪除或覆蓋磁盤(pán)恢復(fù)技術(shù)就是基于文件系統(tǒng)的這種刪除特征對(duì)被刪除文件進(jìn)行恢復(fù)3.3惡意代碼及防護(hù)基本知識(shí)技術(shù)應(yīng)用3.3.1基本知識(shí)惡意代碼的概念?lèi)阂獯a是一種程序，它通過(guò)把代碼在不被察覺(jué)的情況下嵌入到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意代碼的種類(lèi)惡意代碼主要包括：病毒木馬蠕蟲(chóng)邏輯炸彈后門(mén)僵尸網(wǎng)絡(luò)流氓軟件移動(dòng)代碼惡意代碼的發(fā)展歷史年份攻擊行為發(fā)起者受害PC數(shù)目（萬(wàn)臺(tái)）損失金額

(美元)2009U盤(pán)寄生蟲(chóng)30002008Backdoor/Huigezi近2000—2007熊貓燒香超過(guò)200—2006木馬和惡意軟件——2005木馬——2004Worm_Sasser——2003Worm_MSBLAST超過(guò)140—2003SQLSlammer超過(guò)209.5億--12億2002Klez超過(guò)60090億2001RedCode超過(guò)10026億2001Nimda超過(guò)80060億2000LoveLetter—88億1999CIH超過(guò)6000近100億惡意代碼的傳播途徑熟悉惡意代碼的傳播途徑將有助于防范惡意代碼的傳播惡意代碼的傳播途徑軟盤(pán)光盤(pán)硬盤(pán)，含移動(dòng)硬盤(pán)、USB硬盤(pán)等Internet無(wú)線通信系統(tǒng)惡意代碼防護(hù)技術(shù)基于主機(jī)的惡意代碼防御技術(shù)針對(duì)主機(jī)上運(yùn)行的計(jì)算機(jī)程序或存放的數(shù)據(jù)，進(jìn)行惡意代碼的檢測(cè)基于網(wǎng)絡(luò)的惡意代碼防御技術(shù)基于網(wǎng)絡(luò)的惡意代碼防范首先是惡意代碼的檢測(cè)，通過(guò)分析網(wǎng)絡(luò)主機(jī)行為和主機(jī)之間相互連接的數(shù)據(jù)，采用數(shù)據(jù)挖掘和異常檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行求精和關(guān)聯(lián)分析以檢測(cè)是否具有惡意代碼行為，然后根據(jù)檢測(cè)結(jié)果采取措施保護(hù)主機(jī)和網(wǎng)絡(luò)基于主機(jī)的惡意代碼防御技術(shù)基于特征的掃描技術(shù)權(quán)限控制技術(shù)完整性技術(shù)基于網(wǎng)絡(luò)的惡意代碼防御技術(shù)異常檢測(cè)誤用檢測(cè)網(wǎng)絡(luò)隔離技術(shù)防火墻3.4傳輸載體安全·基本知識(shí)技術(shù)應(yīng)用傳輸安全數(shù)據(jù)傳輸涉及傳輸介質(zhì)、傳輸設(shè)備和要完成傳輸功能的通信協(xié)議。安全傳輸數(shù)據(jù)的前提是確保傳輸介質(zhì)的安全、傳輸設(shè)備的安全以及起著通信核心作用的傳輸協(xié)議的安全傳輸介質(zhì)傳輸介質(zhì)指的是在傳輸數(shù)據(jù)的物理實(shí)體。有線傳輸介質(zhì)雙絞線、同軸電纜以及傳輸光信號(hào)的光纖。無(wú)線傳輸介質(zhì)無(wú)線電波、微波、紅外線、激光等傳輸設(shè)備傳輸設(shè)備就是指由傳輸介質(zhì)連接起來(lái)，能夠?qū)?shù)據(jù)從一個(gè)地方送到另一個(gè)地方的設(shè)備傳輸協(xié)議常用協(xié)議包括TCP/IP協(xié)議、局域網(wǎng)的NETBEUI和IPX/SPX協(xié)議以及無(wú)線通信協(xié)議IEEE802.11系列協(xié)議等典型技術(shù)傳輸介質(zhì)安全技術(shù)傳輸設(shè)備安全技術(shù)傳輸協(xié)議相關(guān)安全技術(shù)傳輸介質(zhì)安全技術(shù)物理層的角度看，傳輸介質(zhì)最大的安全問(wèn)題就是電磁信號(hào)的屏蔽問(wèn)題，以及傳輸介質(zhì)本身的防盜問(wèn)題邏輯安全相關(guān)技術(shù)信道加密技術(shù)指在信號(hào)的物理層對(duì)信號(hào)進(jìn)行加密信道編碼技術(shù)在信號(hào)傳輸過(guò)程中，針對(duì)所處的不同信道特點(diǎn)，采取不同信道編碼技術(shù)，以便提高信道傳輸信號(hào)的可靠性傳輸協(xié)議安全技術(shù)傳輸協(xié)議安全是傳輸載體邏輯層面的安全。協(xié)議的安全問(wèn)題主要源于協(xié)議自身的脆弱性，即協(xié)議在設(shè)計(jì)之初帶來(lái)的天生的缺陷，從而使得協(xié)議面臨著假冒、重演（重放）、中間人攻擊、抵賴等威脅。安全協(xié)議安全協(xié)議的功能將安全協(xié)議分為以下四類(lèi)：密鑰交換協(xié)議：密鑰交換協(xié)議能夠使得參與協(xié)議的兩個(gè)或者多個(gè)實(shí)體建立共享的秘密信息，常用于建立在本次通信中所使用的會(huì)話密鑰；認(rèn)證協(xié)議：認(rèn)證協(xié)議一般用來(lái)向一個(gè)實(shí)體進(jìn)行對(duì)另一個(gè)實(shí)體身份的某種程度的確認(rèn)，包括身份認(rèn)證協(xié)議、消息認(rèn)證協(xié)議、數(shù)據(jù)源認(rèn)證協(xié)議和數(shù)據(jù)目的認(rèn)證協(xié)議等；應(yīng)用安全協(xié)議：針對(duì)某個(gè)領(lǐng)域而設(shè)計(jì)的安全協(xié)議，如電子交易協(xié)議SET；安全傳輸協(xié)議：如IPSec系列協(xié)議、SSL、HTTPS等。虛擬專(zhuān)用網(wǎng)虛擬專(zhuān)用網(wǎng)（VirtualPrivateNetwork，VPN）實(shí)現(xiàn)的最關(guān)鍵部分是在公網(wǎng)上建立虛信道，而建立虛信道是利用隧道技術(shù)實(shí)現(xiàn)的典型安全傳輸協(xié)議IPSec（IPSecurity）是一組安全協(xié)議的總稱，即IP安全協(xié)議SSLSSL(SeeureSocketLayer)是netscape公司設(shè)計(jì)的主要用于Web的安全傳輸協(xié)議HTTPS針對(duì)HTTP協(xié)議的安全缺陷，HTTPS通過(guò)上述的SSL來(lái)加強(qiáng)安全性。HTTPS增強(qiáng)的安全性雙向的身份認(rèn)證數(shù)據(jù)傳輸?shù)臋C(jī)密性數(shù)據(jù)的完整性檢驗(yàn)防止數(shù)據(jù)包重放攻擊技術(shù)應(yīng)用VPN技術(shù)對(duì)比協(xié)議工作層優(yōu)點(diǎn)缺點(diǎn)L2TP數(shù)據(jù)鏈路層支持其他網(wǎng)絡(luò)協(xié)議安全性差，連接數(shù)有限MPLS數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間保證服務(wù)器質(zhì)量核心網(wǎng)絡(luò)設(shè)備上使用IPSec網(wǎng)絡(luò)層安全性高，對(duì)上層透明支持IP協(xié)議；受防火墻影響SSL應(yīng)用層簡(jiǎn)單便捷、不受NAT影響

Q&A謝謝！第4章環(huán)境安全主要內(nèi)容概述機(jī)房環(huán)境主機(jī)安全漏洞管理安全審計(jì)取證技術(shù)安全測(cè)試安全編碼4.1概述概念、范疇、常見(jiàn)安全問(wèn)題概念環(huán)境是承載數(shù)據(jù)的載體所處的物理的、邏輯的資源。物理環(huán)境包括計(jì)算資源、計(jì)算所在的物理平臺(tái)、物理網(wǎng)絡(luò)、基礎(chǔ)性支持設(shè)施，以及監(jiān)督和監(jiān)控系統(tǒng)等；邏輯環(huán)境包括處理信息的系統(tǒng)、支撐性系統(tǒng)和平臺(tái)（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)）、運(yùn)行于物理平臺(tái)上的網(wǎng)絡(luò)系統(tǒng)等。環(huán)境安全是指環(huán)境對(duì)象的安全，包括物理環(huán)境安全和邏輯環(huán)境安全。12345678范疇12345678環(huán)境安全環(huán)境的可用性環(huán)境的完整性環(huán)境的機(jī)密性環(huán)境的真實(shí)性環(huán)境的不可否認(rèn)性環(huán)境的可控性……常見(jiàn)安全問(wèn)題常見(jiàn)的環(huán)境安全問(wèn)題和安全屬性的關(guān)系表常見(jiàn)問(wèn)題\安全屬性可用性完整性機(jī)密性真實(shí)性不可否認(rèn)性可控性非法闖入機(jī)房√

√

√供電系統(tǒng)故障√√

√√溫濕度超標(biāo)√√

√√電磁輻射嚴(yán)重√√

√√機(jī)房網(wǎng)絡(luò)設(shè)備癱瘓√√

核心服務(wù)器宕機(jī)√√

計(jì)算環(huán)境被假冒

√

計(jì)算環(huán)境非法訪問(wèn)

√√

√計(jì)算環(huán)境遭受攻擊√√

√123456784.2機(jī)房環(huán)境基本知識(shí)機(jī)房是一種物理環(huán)境，是計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、存儲(chǔ)等載體和環(huán)境所處的外部條件，為這些載體提供安全的保障。這里，機(jī)房環(huán)境不僅包含機(jī)房的場(chǎng)所，還包含確保機(jī)房安全及維護(hù)機(jī)房正常運(yùn)轉(zhuǎn)的配電、照明、供水等各類(lèi)系統(tǒng)、設(shè)備及措施等支撐設(shè)施。12345678基本知識(shí)機(jī)房建設(shè)的主要內(nèi)容環(huán)境安全供配電系統(tǒng)安全保安系統(tǒng)安全消防安全12345678基本知識(shí)機(jī)房的設(shè)計(jì)選址空間與面積配電與照明系統(tǒng)空調(diào)系統(tǒng)12345678基本知識(shí)機(jī)房的驗(yàn)收機(jī)房的安全管理出入管理機(jī)房登記審查制度12345678基本知識(shí)相關(guān)規(guī)范1) GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》；2) GB50462-2008《電子信息系統(tǒng)機(jī)房施工及驗(yàn)收規(guī)范》；3) CECS72-97《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》；4) GBJ16-87《建筑設(shè)計(jì)防火規(guī)范》；5) GB50116-98《火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范》；6) GB2887-89《計(jì)算機(jī)場(chǎng)地安全要求》；7) GB50057-94《建筑物防雷設(shè)計(jì)規(guī)范》；8) GB50054-95《低壓配電設(shè)計(jì)規(guī)范》；……12345678應(yīng)用實(shí)例12345678應(yīng)用實(shí)例12345678應(yīng)用實(shí)例12345678應(yīng)用實(shí)例12345678應(yīng)用實(shí)例123456784.3主機(jī)安全基本概念主機(jī)，在這里，是一個(gè)相對(duì)網(wǎng)絡(luò)的概念，是指連接到互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)，包括了服務(wù)器計(jì)算機(jī)系統(tǒng)和桌面計(jì)算機(jī)系統(tǒng)。主機(jī)是一種計(jì)算環(huán)境。主機(jī)安全是指主機(jī)系統(tǒng)作為計(jì)算環(huán)境的安全，涉及相關(guān)軟硬件的安全問(wèn)題，即確保主機(jī)系統(tǒng)的可用性、真實(shí)性、完整性等安全屬性。主機(jī)加固是指針對(duì)不同目標(biāo)主機(jī)系統(tǒng)，通過(guò)打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。其主要目的是消除與降低主機(jī)系統(tǒng)的安全隱患。12345678典型技術(shù)主機(jī)防護(hù)技術(shù)主機(jī)防火墻技術(shù)、主機(jī)入侵檢測(cè)技術(shù)、主機(jī)監(jiān)控技術(shù)主機(jī)加固技術(shù)操作系統(tǒng)加固技術(shù)、數(shù)據(jù)庫(kù)加固技術(shù)內(nèi)部存儲(chǔ)器的保護(hù)技術(shù)沙箱技術(shù)12345678應(yīng)用實(shí)例最牛密碼？不少于8位？字母+數(shù)字+其他字符？密文含義Tree_0f0=sprintf("2_Bird_ff0/a")兩個(gè)黃鸝鳴翠柳for_$n(@RenSheng)_$n+="die"人生自古誰(shuí)無(wú)死while(1)Ape1Cry&&Ape2Cry兩岸猿聲啼不住hold?fish:palm魚(yú)和熊掌不可兼得FLZX3000cY4yhx9day飛流直下三千尺，疑似銀河下九天12345678應(yīng)用實(shí)例Windows2003服務(wù)器安全加固系統(tǒng)的安全加固：我們通過(guò)配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問(wèn)控制加固系統(tǒng)，整體提高服務(wù)器的安全性。IIS手工加固：手工加固iis可以有效的提高web站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。123456784.4漏洞管理基本知識(shí)漏洞是環(huán)境在其生命周期的各個(gè)階段（從設(shè)計(jì)、到實(shí)現(xiàn)、運(yùn)維等過(guò)程），由于與環(huán)境相關(guān)的硬件、軟件的結(jié)構(gòu)、配置和協(xié)議存在缺陷，以及環(huán)境的管理、信任過(guò)程中存在某些問(wèn)題，從而使得攻擊者能夠在未授權(quán)的情況下實(shí)現(xiàn)對(duì)系統(tǒng)的訪問(wèn)或破壞。具體指如在硬件芯片中的邏輯錯(cuò)誤，程序員在編程中的錯(cuò)誤，以及管理員在配置匿名FTP服務(wù)時(shí)由于配置不當(dāng)?shù)榷伎赡鼙还粽呃谩?2345678基本知識(shí)常見(jiàn)的漏洞產(chǎn)生的原因和導(dǎo)致漏洞產(chǎn)生的因素主要包括：系統(tǒng)復(fù)雜性設(shè)備熟知度基礎(chǔ)操作系統(tǒng)的設(shè)計(jì)缺陷用戶的使用與配置錯(cuò)誤常見(jiàn)的代碼bug針對(duì)用戶輸入的非有效驗(yàn)證漏洞分類(lèi)：硬件漏洞、操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)系統(tǒng)漏洞、開(kāi)發(fā)平臺(tái)和工具的漏洞、應(yīng)用程序漏洞和網(wǎng)絡(luò)漏洞。12345678基本知識(shí)漏洞管理漏洞預(yù)警、漏洞發(fā)現(xiàn)、漏洞風(fēng)險(xiǎn)、修復(fù)確認(rèn)零日攻擊漏洞管理技術(shù)CVE標(biāo)準(zhǔn)、OVAL評(píng)估語(yǔ)言漏洞發(fā)現(xiàn)技術(shù)漏洞掃描技術(shù)滲透測(cè)試技術(shù)12345678很多Web應(yīng)用程序都使用數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)信息。SQL命令就是前端Web和后端數(shù)據(jù)庫(kù)之間的接口，使得數(shù)據(jù)可以傳遞至Web應(yīng)用程序。http://www.*./show.jsp?newsId=(selectlen(passwd)fromuserwhereusername=‘a(chǎn)dmin’)4.5安全審計(jì)基本知識(shí)安全審計(jì)就是對(duì)有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動(dòng)所產(chǎn)生的一系列有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。管理員采用審計(jì)系統(tǒng)來(lái)監(jiān)控系統(tǒng)的狀態(tài)和活動(dòng)，并對(duì)日志文件進(jìn)行分析、及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全問(wèn)題。12345678基本知識(shí)安全審計(jì)中檢查的內(nèi)容包括審計(jì)事件類(lèi)型；事件安全級(jí)；引用事件的用戶；報(bào)警；指定時(shí)間內(nèi)的事件以及惡意用戶表等。12345678基本知識(shí)安全審計(jì)的形式人工審計(jì)計(jì)算機(jī)手動(dòng)分析處理審計(jì)記錄并與審計(jì)人員最后決策相結(jié)合的半自動(dòng)審計(jì)依靠專(zhuān)家系統(tǒng)作出判斷結(jié)果的自動(dòng)化的智能審計(jì)等12345678基本知識(shí)審計(jì)日志分析技術(shù)統(tǒng)計(jì)分析Syslog標(biāo)準(zhǔn)與Syslog系統(tǒng)12345678基本知識(shí)安全審計(jì)系統(tǒng)是安全審計(jì)的工具，其通過(guò)對(duì)安全審計(jì)日志的分析和處理來(lái)對(duì)系統(tǒng)的活動(dòng)進(jìn)行檢查和審核，即進(jìn)行安全審計(jì)。操作系統(tǒng)安全審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)12345678基本知識(shí)安全審計(jì)的作用對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追蹤證據(jù)；為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，便于及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)的問(wèn)題區(qū)；發(fā)現(xiàn)和阻止系統(tǒng)的不正當(dāng)使用。12345678Q&A謝謝！第5章邊界安全主要內(nèi)容概述物理邊界控制防火墻技術(shù)入侵檢測(cè)隔離攻擊及其防范5.1概述基本概念、范疇、常見(jiàn)的安全問(wèn)題基本概念物理的邊界物理安全區(qū)域的邊界建筑物的進(jìn)入通道、停車(chē)場(chǎng)的入口、實(shí)驗(yàn)室的大門(mén)邏輯的邊界網(wǎng)絡(luò)邊界處內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全123456范疇真實(shí)性完整性機(jī)密性可用性123456常見(jiàn)的安全問(wèn)題常見(jiàn)問(wèn)題\安全屬性真實(shí)性完整性機(jī)密性可用性物理邊界非法闖入√

√√非授權(quán)地拷貝設(shè)備數(shù)據(jù)√

√

未授權(quán)的用戶遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)√

√

未授權(quán)的用戶篡改內(nèi)部設(shè)備數(shù)據(jù)√√

利用內(nèi)部服務(wù)器漏洞進(jìn)行遠(yuǎn)程攻擊

√

√對(duì)設(shè)備進(jìn)行拒絕服務(wù)攻擊

√123456威脅與脆弱性管理上的欠缺身份假冒軟件的缺陷協(xié)議棧的缺陷組織網(wǎng)絡(luò)內(nèi)部攻擊1234565.2物理邊界控制物理邊界控制的概念對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)，物理邊界控制的作用就是保護(hù)位于邊界內(nèi)部區(qū)域的進(jìn)行信息處理和信息存儲(chǔ)的物理基礎(chǔ)設(shè)施的安全。物理邊界控制必須防止對(duì)物理基礎(chǔ)設(shè)施的損害。123456門(mén)禁技術(shù)門(mén)禁是對(duì)進(jìn)出物理邊界的人員進(jìn)行控制的技術(shù)設(shè)備。感應(yīng)卡式門(mén)禁系統(tǒng)指紋門(mén)禁系統(tǒng)虹膜門(mén)禁系統(tǒng)面部識(shí)別門(mén)禁系統(tǒng)123456現(xiàn)代門(mén)禁系統(tǒng)傳感與告警身份識(shí)別處理與控制開(kāi)關(guān)控制線路與通信管理設(shè)置123456門(mén)禁系統(tǒng)123456巡更系統(tǒng)123456紅外防護(hù)系統(tǒng)123456對(duì)射式主動(dòng)紅外入侵探測(cè)器反射式主動(dòng)紅外入侵探測(cè)器視頻監(jiān)控系統(tǒng)123456應(yīng)用實(shí)例某事業(yè)單位屬于涉密性質(zhì)，在內(nèi)部網(wǎng)絡(luò)中部署了大量的設(shè)備，如：數(shù)據(jù)存儲(chǔ)服務(wù)器、路由器、交換機(jī)、防火墻、入侵檢測(cè)等，在存儲(chǔ)載體上存儲(chǔ)了大量涉密數(shù)據(jù)及單位核心資料，如：技術(shù)開(kāi)發(fā)文檔、檔案資料、財(cái)務(wù)資料等。這些設(shè)備和數(shù)據(jù)存放在單位的機(jī)房、資料室和檔案室中，在單位及關(guān)鍵房間的出入口處，有必要部署門(mén)禁系統(tǒng)進(jìn)行物理邊界控制。123456技術(shù)部署門(mén)禁系統(tǒng)的部署與運(yùn)行采用分布式網(wǎng)絡(luò)結(jié)構(gòu)，在各個(gè)關(guān)鍵位置（機(jī)房、資料室和檔案室）出入口安裝部署門(mén)禁設(shè)備，由系統(tǒng)控制服務(wù)器進(jìn)行遠(yuǎn)程管理和控制監(jiān)視系統(tǒng)采用了入侵檢測(cè)系統(tǒng)、傳感和報(bào)警系統(tǒng)和閉路電視監(jiān)視系統(tǒng)，對(duì)重點(diǎn)區(qū)域進(jìn)行攝像、安防等操作123456技術(shù)部署紅外防護(hù)系統(tǒng)部署在安全區(qū)域內(nèi)，采用紅外線來(lái)檢測(cè)入侵者視頻監(jiān)控系統(tǒng)通過(guò)閉路電視進(jìn)行監(jiān)控123456人員管理制度外來(lái)人員管理工作人員管理保衛(wèi)人員管理1234565.3防火墻技術(shù)防火墻的定義在網(wǎng)絡(luò)中，防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。123456防火墻的發(fā)展史第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)。第二代防火墻

1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即應(yīng)用層防火墻（代理防火墻）。第三代防火墻

1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第三代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品

123456防火墻適用的環(huán)境由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類(lèi)相對(duì)集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過(guò)三分之一的站點(diǎn)都是有某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后123456防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大的差異，但是一般都包含以下基本功能：對(duì)外可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶；防止入侵者接近網(wǎng)絡(luò)防御設(shè)施；對(duì)內(nèi)限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)123456防火墻應(yīng)該滿足的條件所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻。所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)123456防火墻的局限性防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無(wú)法禁止內(nèi)部人員將敏感數(shù)據(jù)拷貝到軟盤(pán)上防火墻也不能防范沒(méi)有防范心理的管理員授予其些入侵者臨時(shí)的網(wǎng)絡(luò)訪問(wèn)權(quán)限防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對(duì)每一個(gè)文件進(jìn)行掃描，查出潛在的病毒123456防火墻的分類(lèi)從采用的技術(shù)上分，常見(jiàn)的防火墻有三種類(lèi)型：包過(guò)濾防火墻；應(yīng)用代理防火墻；狀態(tài)檢測(cè)防火墻。123456包過(guò)濾路由器包過(guò)濾器在包對(duì)包的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)流量的處理。它們只在OSI參考模型的網(wǎng)絡(luò)層工作,因此,它們能夠準(zhǔn)許或阻止IP地址和端口，并且能夠在標(biāo)準(zhǔn)的路由器上以及專(zhuān)門(mén)的防火墻設(shè)備上執(zhí)行。一個(gè)純包過(guò)濾器只關(guān)注下列信息:源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口、包類(lèi)型包過(guò)濾器的一個(gè)基本例子就是位于Internet和內(nèi)部網(wǎng)絡(luò)之間的路由器，它根據(jù)數(shù)據(jù)包的來(lái)源、目的地址和端口來(lái)過(guò)濾。這樣的路由器被稱為篩分路由器(ScreeningRouter)123456常見(jiàn)的包過(guò)濾規(guī)則包過(guò)濾系統(tǒng)只能讓我們進(jìn)行類(lèi)似以下情況的操作：（1）允許或不允許用戶從外部網(wǎng)用Telnet登錄；（2）允許或不允許用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；包過(guò)濾不能允許我們進(jìn)行如下的操作：（1）允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進(jìn)行這種操作（2）允許用戶傳送一些文件而不允許用戶傳送其它文件123456包過(guò)濾操作流程圖123456包過(guò)濾防火墻的配置與實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來(lái)確定是否轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。123456ftp協(xié)議ftp協(xié)議使用兩個(gè)端口，一個(gè)是控制端口21（服務(wù)器端），另一個(gè)是數(shù)據(jù)端口20（客戶端）123456規(guī)則設(shè)置舉例怎樣設(shè)置防火墻從而開(kāi)放的對(duì)外的ftp訪問(wèn)？組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類(lèi)型1允許**21TCP2允許*21*TCP3禁止*20<1024TCP4允許*20*TCP5允許**20TCP123456規(guī)則設(shè)置舉例(續(xù))規(guī)則1和2允許主機(jī)向外發(fā)起FTP連接；規(guī)則3禁止外部的ftp服務(wù)器的20端口向主機(jī)小于1024的端口發(fā)起連接。規(guī)則4允許外部的ftp服務(wù)器的20端口向主機(jī)大于1024的端口發(fā)起數(shù)據(jù)連接。規(guī)則5允許主機(jī)與外網(wǎng)FTP服務(wù)器在建立起的數(shù)據(jù)連接上傳輸數(shù)據(jù)123456問(wèn)題包過(guò)濾規(guī)則的匹配是按順序進(jìn)行的，如果匹配過(guò)程中出現(xiàn)了一條匹配規(guī)則，則包過(guò)濾結(jié)果就按照該規(guī)則的目標(biāo)動(dòng)作執(zhí)行，位于該規(guī)則后的其它規(guī)則則不會(huì)再進(jìn)行匹配服務(wù)器的發(fā)起數(shù)據(jù)連接的不一定是20端口，這和FTP的應(yīng)用模式有關(guān)，如果是主動(dòng)模式，應(yīng)該為20，如果為被動(dòng)模式，由服務(wù)器端和客戶端協(xié)商而定123456包過(guò)濾配置原理包過(guò)濾防火墻的配置

在配置包過(guò)濾防火墻時(shí)，我們首先要確定哪些服務(wù)允許通過(guò)而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過(guò)濾規(guī)則。 下面給出將有關(guān)服務(wù)翻譯成包過(guò)濾規(guī)則時(shí)非常重要的幾個(gè)概念。（1）協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個(gè)請(qǐng)求而另一方返回一個(gè)應(yīng)答。在制定包過(guò)濾規(guī)則時(shí)，要注意包是從兩個(gè)方向來(lái)到防火墻的。（2）“往內(nèi)”與“往外”的含義。在我們制定包過(guò)濾規(guī)則時(shí)，必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個(gè)詞的語(yǔ)義。123456包過(guò)濾配置原理(續(xù)) （3）“默認(rèn)允許”與“默認(rèn)拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認(rèn)拒絕（沒(méi)有明確地被允許就應(yīng)被拒絕）與默認(rèn)允許（沒(méi)有明確地被拒絕就應(yīng)被允許）。從安全角度來(lái)看，用默認(rèn)拒絕應(yīng)該更合適。123456NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)包頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程N(yùn)AT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用123456包過(guò)濾的優(yōu)點(diǎn)容易實(shí)現(xiàn)，費(fèi)用少，如果被保護(hù)網(wǎng)絡(luò)與外界之間已經(jīng)有一個(gè)獨(dú)立的路由器，那么只需簡(jiǎn)單地加一個(gè)包過(guò)濾軟件便可保護(hù)整個(gè)網(wǎng)絡(luò)包過(guò)濾在網(wǎng)絡(luò)層實(shí)現(xiàn)，不要求改動(dòng)應(yīng)用程序，對(duì)用戶透明，用戶感覺(jué)不到過(guò)濾服務(wù)器的存在，因而使用方便123456包過(guò)濾的缺點(diǎn)規(guī)則表隨著應(yīng)用的深化會(huì)很快變得很大而且復(fù)雜，這樣不僅規(guī)則難以測(cè)試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加另一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過(guò)濾只能工作在有黑白分明安全策略的網(wǎng)絡(luò)環(huán)境中123456應(yīng)用代理型防火墻應(yīng)用代理型防火墻(applicationgateway，又稱雙宿主網(wǎng)關(guān))的物理位置與包過(guò)濾路由器一樣，但它的邏輯位置在OSI7層協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)(proxyservices)123456代理服務(wù)器何為ProxyServer？

功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。代理服務(wù)器位于網(wǎng)絡(luò)和Internet之間，接收、分析服務(wù)請(qǐng)求，并在允許的情況下對(duì)其進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)提供服務(wù)的替代連接，比如，網(wǎng)絡(luò)內(nèi)部的一個(gè)用戶想要遠(yuǎn)程登錄到Internet上的一臺(tái)主機(jī)，代理服務(wù)器會(huì)接收用戶請(qǐng)求，決定是否準(zhǔn)許其到遠(yuǎn)程的連接，之后建立自身與遠(yuǎn)程目標(biāo)主機(jī)之間及自身與用戶之間的Telnet會(huì)話123456代理的實(shí)現(xiàn)過(guò)程123456應(yīng)用代理防火墻的分類(lèi)應(yīng)用代理防火墻可以分為以下兩類(lèi)：應(yīng)用級(jí)網(wǎng)關(guān)防火墻應(yīng)用級(jí)網(wǎng)關(guān)防火墻工作于OSI模型或者TCP/IP模型的應(yīng)用層，用來(lái)控制應(yīng)用層服務(wù)，起到外網(wǎng)向內(nèi)網(wǎng)或內(nèi)網(wǎng)向外網(wǎng)的應(yīng)用層通信的轉(zhuǎn)接作用鏈路中繼網(wǎng)關(guān)防火墻適用于多個(gè)應(yīng)用協(xié)議，主要用于提供網(wǎng)絡(luò)地址翻譯123456運(yùn)行示意圖外部的ftp服務(wù)器123456代理服務(wù)器的適用環(huán)境代理服務(wù)器適用于特定的Internet服務(wù)，如HTTP、FTP等。比如http代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺(tái)服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁(yè)而是向代理服務(wù)器發(fā)出請(qǐng)求，Request信號(hào)會(huì)先送到代理服務(wù)器，由代理服務(wù)器來(lái)取回瀏覽器所需要的信息并傳送給你的瀏覽器123456應(yīng)用型防火墻的配置與實(shí)現(xiàn)123456代理服務(wù)器的優(yōu)點(diǎn)網(wǎng)關(guān)將受保護(hù)網(wǎng)絡(luò)與外界完全隔離代理服務(wù)器提供日志，有助于發(fā)現(xiàn)入侵由于它本身是一臺(tái)主機(jī)，可以用于諸如身份驗(yàn)證服務(wù)器及代理服務(wù)器，使其具有多種功能123456使用代理的不足每項(xiàng)服務(wù)必須使用專(zhuān)門(mén)設(shè)計(jì)的代理服務(wù)器，即使較新的代理服務(wù)器(如AltaVistaFirewall)雖然能處理幾種服務(wù)，也不能同時(shí)服務(wù)應(yīng)用代理防火墻工作在OSI模型的最高層，因此開(kāi)銷(xiāo)較大；配置的方便性－需要用戶配置自己的IE，從而指向代理服務(wù)器123456透明代理普通代理需要用戶配置IE，從而指向代理服務(wù)器。用戶的訪問(wèn)數(shù)據(jù)包的目的地址變?yōu)榱舜矸?wù)器的地址透明代理，不需要用戶進(jìn)行手工設(shè)置，用戶的訪問(wèn)數(shù)據(jù)包的目的地址仍是提供服務(wù)的主機(jī)IP地址。代理服務(wù)器負(fù)責(zé)自動(dòng)的轉(zhuǎn)換。當(dāng)然，這需要代理服務(wù)器在用戶數(shù)據(jù)包的必經(jīng)之路上123456狀態(tài)檢測(cè)狀態(tài)檢測(cè)技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別123456狀態(tài)檢測(cè)這里動(dòng)態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，狀態(tài)檢測(cè)技術(shù)具有更好的靈活性和安全性123456狀態(tài)檢測(cè)TCP數(shù)據(jù)包的狀態(tài)SYN：初始化ACK：確認(rèn)RST連接復(fù)位FIN：關(guān)閉連接123456狀態(tài)檢測(cè)狀態(tài)數(shù)據(jù)包過(guò)濾規(guī)則在TCP連接建立之前，仍然使用普通的包過(guò)濾但是在使用普通包過(guò)濾的同時(shí)，建立起連接狀態(tài)表對(duì)一個(gè)已建立的連接使用連接狀態(tài)表去匹配123456狀態(tài)檢測(cè)狀態(tài)表示例：

源地址目的地址協(xié)議源端口目的端口超時(shí)（秒）1TCP234180605TCP32141211.55TCP202333320123456構(gòu)造連接狀態(tài)表狀態(tài)檢測(cè)能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測(cè)策略。例如，被動(dòng)模式的ftp數(shù)據(jù)連接由服務(wù)器端和客戶端協(xié)商而定在ftp連接之前，根本不可能知道將要打開(kāi)的端口號(hào)，則無(wú)法為之制定規(guī)則ftp數(shù)據(jù)連接的端口是在ftp控制連接中協(xié)商的，因此狀態(tài)檢測(cè)可以分析應(yīng)用層數(shù)據(jù)，從而獲得響應(yīng)的端口號(hào)，并更新連接狀態(tài)表123456狀態(tài)檢測(cè)對(duì)于無(wú)連接的UDP協(xié)議同樣可以使用狀態(tài)檢測(cè)。超時(shí)檢測(cè)是否有以前的UDP數(shù)據(jù)包123456狀態(tài)監(jiān)測(cè)優(yōu)點(diǎn)配置靈活：無(wú)需為雙向數(shù)據(jù)分別配置規(guī)則；安全強(qiáng)度高：與傳統(tǒng)包過(guò)濾防火墻比較，狀態(tài)檢測(cè)防火墻能根據(jù)協(xié)議狀態(tài)對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾，提升了安全強(qiáng)度缺點(diǎn)仍只是檢測(cè)數(shù)據(jù)包的第三層信息，對(duì)于應(yīng)用層數(shù)據(jù)無(wú)法進(jìn)行深度過(guò)濾123456單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，它實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）體系結(jié)構(gòu)中提供安全保護(hù)的壁壘主機(jī)僅僅與內(nèi)部網(wǎng)相連。另外，主機(jī)過(guò)濾結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過(guò)濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供堡壘主機(jī)可以用來(lái)隱藏內(nèi)部網(wǎng)絡(luò)的配置123456單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)的模型如圖所示123456雙宿主堡壘主機(jī)模型雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過(guò)堡壘主機(jī)。123456雙宿主堡壘主機(jī)模型雙宿主堡壘主機(jī)模型如圖所示123456子網(wǎng)屏蔽防火墻屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備123456子網(wǎng)屏蔽防火墻的配置與實(shí)現(xiàn)屏蔽子網(wǎng)模型圖所示123456防火墻拓?fù)浣Y(jié)構(gòu)多層模型TheInternetDNSWWWMailDemilitarizedZone(DMZ)TransactionPrivateNetworkPublicNetwork123456防火墻的安全標(biāo)準(zhǔn)RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP／IP協(xié)議開(kāi)發(fā)商(如FTP公司等)提出了Secure／WAN(S／WAN)標(biāo)準(zhǔn)。美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)NCSA(nationalcomputersecurityassociation)成立的防火墻開(kāi)發(fā)商(FWPD,firewallproductdeveloper)聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心報(bào)請(qǐng)公安部批準(zhǔn)，于2000年9月1日起，包括三個(gè)新標(biāo)準(zhǔn)，即GB/T17900-1999（網(wǎng)絡(luò)代理服務(wù)器安全技術(shù)要求）、GB/T18019-1999（包過(guò)濾防火墻安全技術(shù)要求）、GB/T18020-1999（應(yīng)用級(jí)防火墻安全技術(shù)要求）。123456選擇防火墻的原則

1．防火墻自身的安全性 大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)設(shè)備，也可能存在安全問(wèn)題。防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)

2．考慮特殊的需求 （1）IP地址轉(zhuǎn)換（IPAddressTranslation） 進(jìn)行IP地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，也是要強(qiáng)調(diào)防火墻自身安全性問(wèn)題的主要原因；另一個(gè)好處是可以讓內(nèi)部用戶使用保留的IP，這對(duì)許多IP不足的企業(yè)是有益的123456選擇防火墻的原則（2）雙重DNS

當(dāng)內(nèi)部網(wǎng)絡(luò)使用沒(méi)有注冊(cè)的IP地址，或是防火墻進(jìn)行IP轉(zhuǎn)換時(shí)，DNS也必須經(jīng)過(guò)轉(zhuǎn)換。因?yàn)?，同樣的一個(gè)主機(jī)在內(nèi)部的IP與給予外界的IP將會(huì)不同，有的防火墻會(huì)提供雙重DNS有的則必須在不同主機(jī)上各安裝一個(gè)DNS。（3）虛擬企業(yè)網(wǎng)絡(luò)（VPN）

VPN可以在防火墻與防火墻或移動(dòng)的Client間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者間感覺(jué)是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。123456選擇防火墻的原則（4）病毒掃描功能

大部分防火墻都可以與防病毒防火墻搭配實(shí)現(xiàn)病毒掃描功能。有的防火墻則可以直接集成病毒掃描功能，差別只是病毒掃描工作是由防火墻完成，或是由另一臺(tái)專(zhuān)用的計(jì)算機(jī)完成。（5）特殊控制需求

有時(shí)候企業(yè)會(huì)有特別的控制需求，如限制特定使用者才能發(fā)送E-mail，F(xiàn)TP只能得到檔案不能上傳檔案，限制同時(shí)上網(wǎng)人數(shù)、使用時(shí)間等，依需求不同而定。123456防火墻需求的變化易于管理性；應(yīng)用透明性；鑒別功能；操作環(huán)境和硬件要求；VPN的功能；接口的數(shù)量；成本。123456防火墻的發(fā)展趨勢(shì)過(guò)濾深度不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL(頁(yè)面)過(guò)濾，關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸有病毒掃除功能。利用防火墻建立專(zhuān)用網(wǎng)(VPN將在較長(zhǎng)一段時(shí)間內(nèi)，仍然是用戶使用的主流)。IP加密需求越來(lái)越強(qiáng)，安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各地告警將成為防火墻的重要功能。安全管理工具不斷完善，特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。123456應(yīng)用實(shí)例某企業(yè)有計(jì)算機(jī)100余臺(tái)，其中，財(cái)務(wù)部、員工辦公區(qū)域的計(jì)算機(jī)需要嚴(yán)格禁止外部主動(dòng)訪問(wèn)，在安全策略允許的情況下，允許財(cái)務(wù)部和員工辦公區(qū)域的計(jì)算機(jī)，正常訪問(wèn)外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略許可的情況下，允許外網(wǎng)主動(dòng)訪問(wèn)。企業(yè)通過(guò)光纖接入外部網(wǎng)絡(luò)，內(nèi)部為雙絞線連接。123456應(yīng)用實(shí)例某企業(yè)有計(jì)算機(jī)100余臺(tái)，其中，財(cái)務(wù)部、員工辦公區(qū)域的計(jì)算機(jī)需要嚴(yán)格禁止外部主動(dòng)訪問(wèn)，在安全策略允許的情況下，允許財(cái)務(wù)部和員工辦公區(qū)域的計(jì)算機(jī)，正常訪問(wèn)外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略許可的情況下，允許外網(wǎng)主動(dòng)訪問(wèn)。企業(yè)通過(guò)光纖接入外部網(wǎng)絡(luò)，內(nèi)部為雙絞線連接。123456應(yīng)用實(shí)例防火墻產(chǎn)品的選擇網(wǎng)絡(luò)接口的種類(lèi)、接入速率和數(shù)量防火墻自身的安全性考慮特殊的需求IP地址轉(zhuǎn)換雙重DNSVPN病毒掃描功能特殊控制需求某企業(yè)有計(jì)算機(jī)100余臺(tái)，其中，財(cái)務(wù)部、員工辦公區(qū)域的計(jì)算機(jī)需要嚴(yán)格禁止外部主動(dòng)訪問(wèn)，在安全策略允許的情況下，允許財(cái)務(wù)部和員工辦公區(qū)域的計(jì)算機(jī)，正常訪問(wèn)外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略