信息安全基礎全書課件整本書電子教案

《信息安全基礎》第一章信息安全概述【學習目標】

了解信息安全學習領域的內(nèi)容、要求；掌握信息與信息安全的概念；了解信息安全面臨的威脅類型；了解信息安全的現(xiàn)狀和目標；熟悉重要的信息安全模型的主要內(nèi)容，了解信息系統(tǒng)安全體系結構；了解重要的信息安全評價標準。1.1信息與信息安全

1.1.1什么是信息1信息的定義信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義。信息本身是無形的，借助于信息媒體以多種形式存在或傳播，可以存儲在計算機、磁帶、紙張等介質(zhì)中，也可以記憶在人的大腦里，還可以通過網(wǎng)絡、打印機、傳真機等方式傳播。通常情況下，可以把信息理解為消息、信號、數(shù)據(jù)、情報、知識等。1.1信息與信息安全1.1信息與信息安全2信息的安全屬性（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否認性1.1信息與信息安全1.1.2什么是信息安全1信息安全的定義信息安全從廣義上講，是指對信息的保密性、可用性和完整性的保持。由于當今人類社會活動更多的依賴于網(wǎng)絡，因此狹義的講，信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。2信息安全研究的基本內(nèi)容（1）研究領域（2）工程技術領域（3）評估與測評領域（4）網(wǎng)絡或信息安全管理領域（5）公共安全領域（6）軍事領域1.2信息安全面臨威脅類型1.2.1計算機網(wǎng)絡所面臨的主要威脅計算機網(wǎng)絡所面臨的威脅主要有對網(wǎng)絡中信息的威脅和對網(wǎng)絡中設備的威脅兩種。影響計算機網(wǎng)絡的因素有很多，其所面臨的威脅也就來自多個方面，主要威脅包括人為的失誤、信息截取、內(nèi)部竊密和破壞、黑客攻擊、技術缺陷、病毒、自然災害等。1.2信息安全面臨威脅類型人為的失誤信息截取內(nèi)部竊密和破壞黑客攻擊技術缺陷病毒自然災害等不可抗力因素1.2信息安全面臨威脅類型竊聽：攻擊者通過監(jiān)視網(wǎng)絡數(shù)據(jù)獲得敏感信息；重傳：攻擊者先獲得部分或全部信息，而以后將此信息發(fā)送給接收者；偽造：攻擊者將偽造的信息發(fā)送給接收者；篡改：攻擊者對合法用戶之間的通信信息進行修改、刪除、插入，再發(fā)送給接收者；1.2信息安全面臨威脅類型拒絕服務攻擊：供給者通過某種方法使系統(tǒng)響應減慢甚至癱瘓，阻礙合法用戶獲得服務；行為否認：通信實體否認已經(jīng)發(fā)生的行為；非授權訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源；傳播病毒：通過網(wǎng)絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。1.2信息安全面臨威脅類型1.2.2從五個層次看信息安全威脅信息系統(tǒng)的安全威脅是永遠存在的，下面從信息安全的五個層次，來介紹信息安全中的信息的安全威脅。物理層安全風險分析網(wǎng)絡層安全風險分析操作系統(tǒng)層安全風險分析應用層安全風險分析管理層安全風險分析1.3信息安全的現(xiàn)狀與目標

1.3.1信息安全的現(xiàn)狀1近年我國信息安全現(xiàn)狀2網(wǎng)絡信息安全的發(fā)展趨勢1.3信息安全的現(xiàn)狀與目標1.3.2信息安全的目標總而言之，所有的信息安全技術都是為了達到一定的安全目標，即通過各種技術與管理手段實現(xiàn)網(wǎng)絡信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認性。1.4信息安全模型與信息系統(tǒng)安全體系結構1.4.1信息安全模型概述本節(jié)介紹比較流行的信息安全模型，它們是：OSI安全體系結構、基于時間的PDR模型、IATF信息保障技術框架、WPDRRC信息安全模型。1OSI安全體系結構國際標準化組織（ISO）在對開放系統(tǒng)互聯(lián)環(huán)境的安全性進行了深入研究后，提出了OSI安全體系結構（OpenSystemInterconnectionReferenceModel），即《信息處理系統(tǒng)——開放系統(tǒng)互連——基本參考模型——第二部分：安全體系結構》（ISO7498-2:1989），該標準被我國等同采用，即GB/T9387.2-1995。該標準是基于OSI參考模型針對通信網(wǎng)絡提出的安全體系架構模型。1OSI安全體系結構

對付典型威脅所采用的安全服OSI協(xié)議層與相關的安全服務OSI安全服務與安全機制之間的關系2基于時間的PDR模型隨著信息安全技術的發(fā)展，又提出了新的安全防護思想，具有代表性的是ISS公司提出的PDR安全模型，該模型認為安全應從防護（protection）、檢測（detection）、響應（reaction）三個方面考慮形成安全防護體系。圖1-3PDR模型3IATF信息保障技術框架

當信息安全發(fā)展到信息保障階段之后，人們越發(fā)認為，構建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術、管理、策略、工程過程等方面緊密結合，安全保障體系才能真正成為指導安全方案設計和建設的有力依據(jù)。信息保障技術框架（InformationAssuranceTechnicalFramework，IATF）就是在這種背景下誕生的3IATF信息保障技術框架（1）IATF深度防御戰(zhàn)略的三個層面IATF創(chuàng)造性的地方在于，它首次提出了信息保障依賴于人、技術和操作來共同實現(xiàn)組織職能/業(yè)務運作的思想，對技術/信息基礎設施的管理也離不開這三個要素。I圖1-4IATF的框架模型3IATF信息保障技術框架（2）IATF深度防御技術方案了明確需求，IATF定義了四個主要的技術焦點領域：保衛(wèi)網(wǎng)絡和基礎設施，保衛(wèi)邊界，保衛(wèi)計算環(huán)境和為基礎設施提供支持，這四個領域構成了完整的信息保障體系所涉及的范圍。3IATF信息保障技術框架圖1-5IATF-分層多點深度防御3IATF信息保障技術框架在深度防御技術方案中推薦下列原則：（1）多點防御（2）分層防御4WPDRRC信息安全模型

WPDRRC信息安全模型是我國“八六三”信息安全專家組提出的適合中國國情的信息系統(tǒng)安全保障體系建設模型。WPDRRC模型有6個環(huán)節(jié)和3個要素。6個環(huán)節(jié)包括預警（W）、保護（P）、檢測（D）、響應（R）、恢復（R）和反擊（C）3大要素包括人員、策略和技術，人員是核心，策略是橋梁，技術是保證，落實在WPDRRC的6個環(huán)節(jié)的各個方面，將安全策略變?yōu)榘踩F(xiàn)實。4WPDRRC信息安全模型圖1-6WPDRRC信息安全模型1.4信息安全模型與信息系統(tǒng)安全體系結構1.4.2信息系統(tǒng)安全體系結構1信息系統(tǒng)安全體系框架信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎設備安全與公共信息安全的總和。1信息系統(tǒng)安全體系框架

圖1-7信息系統(tǒng)安全體系結構示意圖2技術體系

（1）技術體系的內(nèi)容和作用技術體系是全面提供信息系統(tǒng)安全保護的技術保障系統(tǒng)。（2）技術體系由兩大類構成技術體系由物理安全技術和系統(tǒng)安全技術兩大類構成。（3）技術體系框架信息系統(tǒng)安全體系中技術體系框架的設計，可將協(xié)議層次、信息系統(tǒng)構成單元和安全服務（安全機制）作為三維坐標體系的三個維來表示。如圖1-8所示。技術體系框架圖1-8安全技術體系三維結構3組織機構體系

組織機構體系是信息系統(tǒng)安全的組織保障系統(tǒng)，由機構、崗位和人事機構3個模塊構成。機構的設置分為3個層次：決策層、管理層和執(zhí)行層。4管理體系

管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓管理3個部分組成。4管理體系法律管理是根據(jù)相關的國家法律、法規(guī)對信息系統(tǒng)主體及其與外界關聯(lián)行為的規(guī)范和約束。制度管理是信息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國家或組織的安全需求制定的一系列內(nèi)部規(guī)章制度，主要內(nèi)容包括安全管理和執(zhí)行機構的行為規(guī)范、崗位設定及其操作規(guī)范、崗位人員的素質(zhì)要求及行為規(guī)范、內(nèi)部關系與外部關系的行為規(guī)范等。培訓管理是確保信息系統(tǒng)安全的前提。1.4.3某高校的信息安全體系建設舉例以某高校的信息安全體系建設為例，介紹信息安全體系建設思路。1建設原則和工作路線學校信息安全建設的總體原則是：總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應用、規(guī)范運維。圖1-9信息安全體系建設流程圖1.4.3某高校的信息安全體系建設舉例2體系框架信息安全體系框架依據(jù)《信息安全技術信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設技術方案設計要求》(征求意見稿)，并吸納了IATF模型中“深度防護戰(zhàn)略”理論，強調(diào)安全策略、安全技術、安全組織和安全運行4個核心原則，重點關注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡等多個層次的安全防護，構建信息系統(tǒng)的安全技術體系和安全管理體系，并通過安全運維服務和ITSM集中運維管理(ITServiceManagement[EB/OL]，基于IT服務管理標準的最佳實踐)，形成了集風險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預警、應急響應、系統(tǒng)恢復、安全審計和違規(guī)取證于一體的安全運維體系架構大學信息安全體系框架圖1-10大學信息安全體系框架1.5信息安全評價標準

信息安全標準是確保信息安全的產(chǎn)品和系統(tǒng)在設計、研發(fā)、生產(chǎn)、建設、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術規(guī)范和技術依據(jù)。1.5.1信息安全相關國際標準1信息安全評估標準信息技術安全評估標準的歷史和發(fā)展概況1999年GB17859計算機信息系統(tǒng)安全保護等級劃分準則1993年美國聯(lián)邦準則（FC1.0）1993年加拿大可信計算機產(chǎn)品評估準則（CTCEC）1991年歐洲信息技術安全性評估準則（ITSEC）國際通用評估準則1996年，CC1.01998年，CC2.01999年，CC2.11999年國際標準ISO/IEC154082001年GB/T18336信息技術安全性評估準則1985年美國國防部可信計算機評估準則（TCSEC）1989年英國可信級別標準（MEMO3DTI）德國評估標準（ZSEIC）法國評估標準（B-W-RBOOK）1993年NIST的MSFR圖1-11信息技術安全評估標準的歷史和發(fā)展概況1.5信息安全評價標準2信息安全管理標準（1）ISO/IEC信息安全管理標準（2）英國的信息安全管理標準（BS7799和BS15000）（3）美國的信息安全管理標準——NISTSP系列特別出版物（4）信息技術服務和信息系統(tǒng)審計治理領域——COBIT和ITIL1）信息系統(tǒng)審計領域——COBITCOBIT（信息和相關技術的控制目標）模型是美國ISACA協(xié)會所提供的一個IT審計和治理的框架。它為信息系統(tǒng)審計和治理提供了一整套的控制目標、管理措施、審計指南。圖1-12COBIT模型2）IT服務管理領域——ITILITIL由英國政府部門CCTA在20世紀80年代末制定，現(xiàn)由英國商務部OGC負責管理，主要適用于IT服務管理（ITSM）。圖1-13ITIL框架結構信息安全管理標準歷史和發(fā)展概況脈絡圖圖1-14信息安全管理標準歷史和發(fā)展概況脈絡圖(5)目前應用最廣泛的國際信息安全管理標準ISO/IEC27000標準族ISO13335標準族1.5信息安全評價標準3.信息安全工程標準——SSE-CMM（1）SSE-CMM簡介

SSE-CMM是系統(tǒng)安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的縮寫，是一種衡量系統(tǒng)安全工程實施能力的方法。它描述了一個組織安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證。（2）SSE-CMM應用SSE-CMM可應用于所有從事某種形式的安全工程組織，這種應用與生命期、范圍、環(huán)境或?qū)I(yè)無關。1.5信息安全評價標準1.5.2信息安全相關國內(nèi)標準1我國信息技術安全評估標準我國公安部主持制定、國家質(zhì)量技術監(jiān)督局發(fā)布的中華人民共和國國家標準G817895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》已正式頒布并實施。該準則將信息系統(tǒng)安全分為5個等級：自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。1.5信息安全評價標準1.5.2信息安全相關國內(nèi)標準2我國信息安全管理標準（1）GB/T20984《信息安全風險評估規(guī)范》（2）其他重要信息安全管理標準3等級保護標準1.6項目小實踐【實驗名稱】網(wǎng)絡安全整體規(guī)劃與實現(xiàn)【實驗內(nèi)容】利用如圖1-17所示的網(wǎng)絡環(huán)境，首先學習利用工具對本地主機運行狀態(tài)進行安全評估，分析本地主機安全隱患，并生成相應的報告文件。對系統(tǒng)進行綜合評估，發(fā)現(xiàn)主機應用服務狀態(tài)，對外安全隱患。利用X-Scan掃描系統(tǒng)漏洞并分析，對漏洞進行防御。最后，形成一個完整的評估報告，并對被分析的網(wǎng)絡系統(tǒng)進行改進，提升其整體安全性。1.6項目小實踐【實驗原理】風險評估/安全評估是在防火墻、入侵檢測、VPN等專項安全技術之上必須考慮的一個問題，因為安全并不是點的概念，而是整體的立體概念。在各種專項技術的基礎上，有必要對整個網(wǎng)絡信息系統(tǒng)的安全性進行分析評估，以改進系統(tǒng)整體的安全。（1）SecAnalyst運行狀態(tài)評估（2）MBSA綜合評估（3）X-scan攻擊掃描評估（4）MSAT安全評估1.6項目小實踐【實驗環(huán)境】學生可以2人為一組，網(wǎng)絡拓撲如圖1-17所示；分別對不同網(wǎng)段進行掃描評估等操作，評估整個網(wǎng)絡架構的安全性。1.6項目小實踐【實驗步驟】略.【實驗思考】安全漏洞還存在于MSAT掃描之外的哪些方面？提交針對實驗中的網(wǎng)絡架構的安全評估報告，并進行實際的安全改進。利用相關的安全評估工具(如報表軟件)，通過問卷調(diào)查等打分手段來進一步分析網(wǎng)絡架構的安全性。1.7習題

信息的安全屬性是什么？信息安全的定義是什么？信息安全面臨威脅有哪些？信息安全的目標是什么？PDR模型的重要內(nèi)容是什么？OSI安全體系結構定義了五大類安全服務，同時提供這些服務的八類安全機制，它們的內(nèi)容是什么？國際上，重要的信息安全評估標準和信息安全管理標準有哪些？我國的情況是怎樣的？《信息安全基礎》第2章：信息安全基本保障技術【學習目標】1.掌握密碼學的基本發(fā)展歷史2.掌握主要加密算法的實現(xiàn)原理3.掌握信息隱藏技術的實現(xiàn)原理及一般方法2.1密碼學技術概述2.1.1密碼學歷史分析1.古典密碼學移位式替代式KGDEINPKLRIJLFGOKLMNISOJNTVWG

指揮官拿到后，把它纏在一條木棍上，得到明文“KillKing”。即每4位取一個字母。其他字母是干擾的。2現(xiàn)代密碼學加密解密密碼協(xié)議2.1.2對稱密碼算法常見的對稱加密算法有DES、3DES、AES、Blowfish、IDEA、RC4、RC5、RC6。DESDES最初出現(xiàn)在1970年代早期。NBS（國家標準局，現(xiàn)在的NIST）先后2次征集用于加密政府內(nèi)非機密敏感信息的加密標準。DES在1976年被美國聯(lián)邦政府的國家標準局確定為聯(lián)邦資料處理標準（FIPS），隨后在國際上廣泛流傳開來。它基于使用56位密鑰的對稱算法。DES算法的整體結構如圖2-1所示：有16個相同的處理過程，稱為“回次”(round)，并在首尾各有一次置換，稱為IP與FP（或稱IP-1，F(xiàn)P為IP的反函數(shù)（即IP“撤銷”FP的操作，反之亦然）。2.1.3非對稱密碼學非對稱密鑰，是指一對加密密鑰與解密密鑰，這兩個密鑰是數(shù)學相關，用某用戶密鑰加密后所得的信息，只能用該用戶的解密密鑰才能解密。常見的公鑰加密算法有:RSA、ElGamal、背包算法、Rabin（RSA的特例）、迪菲－赫爾曼密鑰交換協(xié)議中的公鑰加密算法、橢圓曲線加密算法（英語：EllipticCurveCryptography,ECC）。2.1.4哈希函數(shù)MD5即Message-DigestAlgorithm5（消息摘要算法第五版）的簡稱，是當前計算機領域用于確保信息傳輸完整一致而廣泛使用的散列算法之一MD5破解方法黑客破獲這種密碼的方法是一種被稱為"跑字典"的方法。有兩種方法得到字典，一種是日常搜集的用做密碼的字符串表，另一種是用排列組合方法生成的，先用MD5程序計算出這些字典項的MD5值，然后再用目標的MD5值在這個字典中檢索。2.1.5數(shù)字簽名技術數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。普通數(shù)字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數(shù)字簽名算法、Des/DSA,橢圓曲線數(shù)字簽名算法和有限自動機數(shù)字簽名算法等。主要功能保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證、防止交易中的抵賴發(fā)生。簽名過程2.2信息隱藏技術信息隱藏的方法主要有隱寫術、數(shù)字水印技術、可視密碼、潛信道、隱匿協(xié)議隱寫術隱寫術就是將秘密信息隱藏到看上去普通的信息(如數(shù)字圖像)中進行傳送數(shù)字水印技術(DigitalWatermark):技術是將一些標識信息(即數(shù)字水印)直接嵌入數(shù)字載體(包括多媒體、文檔、軟件等)當中，但不影響原載體的使用價值，也不容易被人的知覺系統(tǒng)(如視覺或聽覺系統(tǒng))覺察或注意到。2.2.1圖像信息隱藏技術用于進行隱蔽通信的圖像信息隱藏算法可以分為兩大類：基于空域的信息隱藏算法基于變換域的信息隱藏算法2.2.2音頻信息隱藏技術AAC音頻信息隱藏的方法及特點基于非壓縮域的隱藏方法基于時頻域的隱藏方法基于量化過程的隱藏方法基于比特流的隱藏方法。音頻信息隱藏技術指標評價魯棒性（robustness）隱藏容量（capacity）不可感知性（imperceptibility）不可檢測性（undetectability）2.2.3文本信息隱藏技術文本信息隱藏一般方法行間距編碼字間距編碼特征編碼新的隱藏方法基于字符顏色的信息隱藏基于字符縮放的信息隱藏基于字符下劃線標記的信息隱藏項目小實踐密碼學——對稱密碼基本加密實驗2.LSB圖像信息隱藏實驗小結密碼學的基本定義密碼學算法加解密實現(xiàn)過程《信息安全基礎》第3章：病毒認識與防御【學習目標】1.了解什么是計算機病毒，以及其特點2.掌握典型病毒的傳播特點及危害3.了解和掌握常見病毒的防御技術4.掌握病毒防治工具的使用3.1病毒基礎知識3.1.1病毒概述1.病毒定義計算機病毒（ComputerVirus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。2.感染策略非常駐型病毒常駐型病毒3.傳播途徑和宿主病毒主要通過網(wǎng)絡瀏覽以及下載，電子郵件以及可移動磁盤等途徑迅速傳播4.躲避偵測的方法隱蔽自修改隨機加密多態(tài)變形3.1.2病毒實現(xiàn)的關鍵技術1.自啟動技術2.自我保護技術3.1.3典型病毒特點主要特征詳解傳播性隱蔽性感染性潛伏性可激發(fā)性表現(xiàn)性破壞性病毒分類木馬/僵尸網(wǎng)絡蠕蟲病毒腳本病毒文件型病毒3.2病毒的防御技術3.2.1基于主機的病毒防御技術基于主機的病毒防治策略主要有：特征碼匹配技術權限控制技術完整性驗證技術3.2.2基于網(wǎng)絡的病毒防御技術基于網(wǎng)絡的病毒檢測技術主要有異常檢測誤用檢測3.3病毒防治工具簡介1.計算機網(wǎng)絡病毒的防治方法基于工作站的防治技術軟件防治防病毒卡在網(wǎng)絡接口卡上安裝防病病毒芯片基于服務器的防治技術加強計算機網(wǎng)絡的管理

建立"防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治"的最佳網(wǎng)絡病毒安全模式2.常見病毒防治工具360安全衛(wèi)士360殺毒項目小實踐移動存儲型病毒實驗流氓軟件實驗木馬攻擊實驗習題病毒基本概念病毒的特點病毒的防治《信息安全基礎》第4章：網(wǎng)絡攻擊與防御【學習目標】1.了解網(wǎng)絡威脅一般形式2.了解網(wǎng)絡攻擊的一般方法3.掌握常見網(wǎng)絡攻擊方式的防御4.掌握網(wǎng)絡加固的一般方法4.1網(wǎng)絡攻擊概述4.1.1網(wǎng)絡攻擊概述黑客（Hacker）（1）“白帽子”是創(chuàng)新者

他們設計新系統(tǒng)、打破常規(guī)、精研技術、勇于創(chuàng)新。他們的口號是：“沒有最好，只有更好”！他們的成就創(chuàng)作：MS-BillGates，GNU-R.Stallman和Linux-Linus。

（2）“灰帽子”是破解者

破解已有系統(tǒng)、發(fā)現(xiàn)問題/漏洞、突破極限/禁制、展現(xiàn)自我。他們的口號是“計算機為人民服務”。他們的成就創(chuàng)作：漏洞發(fā)現(xiàn)-Flashsky，軟件破解-0Day，工具提供–Glacier。

（3）“黑帽子”是破壞者隨意使用資源、惡意破壞、散播蠕蟲病毒、商業(yè)間諜。他們的口號是：“人不為己，天誅地滅”。他們的成就創(chuàng)作：熊貓燒香，ARP病毒、入侵程序。網(wǎng)絡攻擊概述（1）網(wǎng)絡攻擊分類：1）主動攻擊：包含攻擊者訪問所需要信息的故意行為。2）被動攻擊。主要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括：竊聽。包括鍵擊記錄、網(wǎng)絡監(jiān)聽、非法訪問數(shù)據(jù)、獲取密碼文件。欺騙。包括獲取口令、惡意代碼、網(wǎng)絡欺騙。拒絕服務。包括導致異常型、資源耗盡型、欺騙型。數(shù)據(jù)驅(qū)動攻擊：包括緩沖區(qū)溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。網(wǎng)絡攻擊一般方法口令入侵特洛伊木馬WWW欺騙網(wǎng)絡監(jiān)聽黑客軟件安全漏洞（Bugs）端口掃描4.1.2網(wǎng)絡攻擊基本流程針對系統(tǒng)或者網(wǎng)絡進行的攻擊過程通常包括信息收集、目標分析及定位實施入侵部署后門清除痕跡4.2欺騙攻擊原理4.2.1IP地址欺騙4.2.2ARP欺騙4.2.3DNS欺騙4.3拒絕服務攻擊4.3.1拒絕服務攻擊原理最常見的DoS攻擊形式有4種：1）帶寬耗用（bandwidth-consumption）攻擊，2）資源衰竭（resource-starvation）攻擊，3）編程缺陷（programmingflaw）是應用程序、操作系統(tǒng)在處理異常條件上的失敗。4）DNS攻擊是基于域名系統(tǒng)的攻擊，4.3.2Flood攻擊4.3.3DDoS攻擊4.4密碼破解4.4.1密碼破解原理攻擊或破譯的方法主要有三種：窮舉法統(tǒng)計分析攻擊數(shù)學分析攻擊。密碼破解的常見形式破解網(wǎng)絡密碼—暴力窮舉破解網(wǎng)絡密碼—擊鍵記錄破解網(wǎng)絡密碼—屏幕記錄破解網(wǎng)絡密碼—網(wǎng)絡釣魚破解網(wǎng)絡密碼—Sniffer（嗅探器）破解網(wǎng)絡密碼—PasswordReminder破解網(wǎng)絡密碼—遠程控制破解網(wǎng)絡密碼—不良習慣破解網(wǎng)絡密碼—分析推理破解網(wǎng)絡密碼—密碼心理學4.4.2密碼破解常用工具4.5Web常見攻擊介紹4.5.1SQL注入攻擊SQL注入攻擊的總體思路是：發(fā)現(xiàn)SQL注入位置判斷后臺數(shù)據(jù)庫類型確定XP_CMDSHELL可執(zhí)行情況發(fā)現(xiàn)WEB虛擬目錄上傳ASP木馬得到管理員權限；4.5.2Xss跨站腳本攻擊項目小實踐ARP地址欺騙攻擊本地系統(tǒng)密碼破解SQL注入小結網(wǎng)絡攻擊危害網(wǎng)絡攻擊常見形式網(wǎng)絡攻擊實施一般步驟信息安全基礎第5章網(wǎng)絡設備安全技術【學習目標】了解防火墻、入侵檢測、虛擬專用網(wǎng)、網(wǎng)絡隔離和統(tǒng)一威脅管理系統(tǒng)的概念，知道相關產(chǎn)品的作用；掌握防火墻、入侵檢測、虛擬專用網(wǎng)等的關鍵技術；了解相關網(wǎng)絡安全的常見產(chǎn)品。5.1防火墻技術5.1.1防火墻概述1防火墻的基本概念在現(xiàn)代計算機網(wǎng)絡中，防火墻則是指一種協(xié)助確保信息安全的設施，其會依照特定的規(guī)則，允許或是禁止傳輸?shù)臄?shù)據(jù)通過。防火墻通常位于一個可信任的內(nèi)部網(wǎng)絡與一個不可信任的外界網(wǎng)絡之間，用于保護內(nèi)部網(wǎng)絡免受非法用戶的入侵。防火墻的邏輯部署圖5-1防火墻的邏輯部署5.1防火墻技術2防火墻的功能防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。具體包括以下四個方面。（1）防火墻是網(wǎng)絡安全的屏障（2）防火墻可以強化網(wǎng)絡安全策略（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄5.1防火墻技術3防火墻的局限性雖然防火墻在網(wǎng)絡安全部署中起到非常重要的作用，但它并不是萬能的。下面總結了它的十個方面的缺陷。（1）防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。（2）防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題。防火墻可以設計為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。（3）防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。（4）防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設備，但防火墻本身必須存在于一個安全的地方。（5）防火墻不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊。一旦防火墻準許某些標準網(wǎng)絡協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進行的攻擊。5.1防火墻技術（5）防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務器的漏洞進行攻擊，防火墻不能防止。（7）防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。（8）防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。（9）防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。（10）防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護。5.1防火墻技術5.1.2防火墻技術概述1包過濾技術包過濾技術是防火墻最基本的實現(xiàn)技術，具有包過濾技術的裝置是用來控制內(nèi)、外網(wǎng)絡數(shù)據(jù)流入和流出，包過濾技術的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的，對數(shù)據(jù)流的每個包進行檢查，根據(jù)數(shù)據(jù)報的源地址、目的地址、TCP和IP的端口號，以及TCP的其他狀態(tài)來確定是否允許數(shù)據(jù)包通過。包過濾技術及其工作原理表示層會話層網(wǎng)絡層數(shù)據(jù)鏈路層物理層傳輸層應用層表示層會話層網(wǎng)絡層數(shù)據(jù)鏈路層物理層傳輸層應用層表示層會話層網(wǎng)絡層數(shù)據(jù)鏈路層物理層傳輸層非信任域防火墻信任域應用層網(wǎng)絡層網(wǎng)絡層網(wǎng)絡層包過濾技術及其工作原理包過濾技術包過濾技術的基礎是ACL（AccessListControl，訪問控制列表），其作用是定義報文匹配規(guī)則。ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。在實施ACL的過程中，應遵循兩個基本原則：最小特權原則：只給受控對象完成任務所必須的最小的權限；最靠近受控對象原則：所有的網(wǎng)絡層訪問權限控制。5.1防火墻技術5.1.2防火墻技術概述2應用網(wǎng)關技術應用網(wǎng)關（ApplicationGateway）技術又被稱為代理技術。它的邏輯位置在OSI七層協(xié)議的應用層上，所以主要采用協(xié)議代理服務（ProxyServices）。應用網(wǎng)關（ApplicationGateway）技術代理服務器可以解決諸如IP地址耗盡、網(wǎng)絡資源爭用和網(wǎng)絡安全等問題。下面從代理服務器的功能和代理服務器的原理兩個方面介紹代理技術。（1）代理服務器的功能（2）代理服務器的原理代理服務器的原理

訪問控制列表（ACL）緩存CacheInternet代理服務器圖5-4Web代理的原理代理服務器代理服務器是接收和解釋客戶端連接并發(fā)起到服務器的新連接的網(wǎng)絡節(jié)點，這意味著代理服務器必須滿足以下條件：第一：能夠接收和解釋客戶端的請求；第二：能夠創(chuàng)建到服務器的新連接；第三：能夠接收服務器發(fā)來的響應；第四：能夠發(fā)出或解釋服務器的響應并將該響應傳回給客戶端。因此實現(xiàn)代理服務器必須同時要實現(xiàn)服務器和客戶端兩端的功能。5.1防火墻技術5.1.2防火墻技術概述3狀態(tài)檢測技術狀態(tài)檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術，但兩種技術正在形成一種融合的趨勢，演變的結果也許會導致一種新的結構名稱的出現(xiàn)。狀態(tài)檢查技術原理如圖5-5所示。狀態(tài)檢查技術原理圖5-5狀態(tài)檢查技術原理5.1防火墻技術5.1.2防火墻技術概述3狀態(tài)檢測技術傳統(tǒng)的包過濾防火墻只是通過檢測IP包頭的相關信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。NAT地址轉(zhuǎn)換圖5-5NAT地址轉(zhuǎn)換狀態(tài)檢查技術原理圖5-5狀態(tài)檢查技術原理5.1防火墻技術4.網(wǎng)絡地址轉(zhuǎn)換（NAT）技術（1）NAT（網(wǎng)絡地址轉(zhuǎn)換）的定義NAT英文全稱是NetworkAddressTranslation，稱是網(wǎng)絡地址轉(zhuǎn)換，它是一個IETF標準，允許一個機構以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址，反之亦然。5.1防火墻技術4.網(wǎng)絡地址轉(zhuǎn)換（NAT）技術（2）NAT技術的基本原理和類型1）NAT技術基本原理NAT技術能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡隔離，提供一定的網(wǎng)絡安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。5.1防火墻技術2）NAT技術的類型（2）NAT技術的基本原理和類型NAT有三種類型：靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、網(wǎng)絡地址端口轉(zhuǎn)換NAPT（Port－LevelNAT）。5.1防火墻技術4.網(wǎng)絡地址轉(zhuǎn)換（NAT）技術（3）NAT的優(yōu)點和缺點NAT的優(yōu)點：1）寬帶共享：2）安全防護NAT的缺點：NAT的局限性：5.1防火墻技術5.1.3防火墻的體系結構1.包過濾型防火墻包過濾型防火墻也稱包（分組）過濾型路由器，是最基本、最簡單的一種防火墻，位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間。內(nèi)部網(wǎng)絡的所有出入都必須通過包過濾型路由器，包過濾型路由器審查每個數(shù)據(jù)包，根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。5.1防火墻技術5.1.3防火墻的體系結構包過濾型防火墻可以在一般的路由器上實現(xiàn)，也可以在基于主機的路由器上實現(xiàn)，其配置如圖5-7所示。圖5-7包過濾型防火墻的配置包過濾型路由器的優(yōu)點（1）一個過濾路由器能協(xié)助保護整個網(wǎng)絡。絕大多數(shù)Internet防火墻系統(tǒng)只用一個包過濾路由器；（2）過濾路由器速度快、效率高。執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間，由于過濾路由器只檢查報頭相應的字段，一般不查看數(shù)據(jù)報的內(nèi)容，而且某些核心部分是由專用硬件實現(xiàn)的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；（3）包過濾路由器對終端用戶和應用程序是透明的。包過濾型路由器的缺點

（1）定義包過濾器可能是一項復雜的工作。（2）路由器信息包的吞吐量隨過濾器數(shù)量的增加而減少。（3）不能徹底防止地址欺騙。（4）一些應用協(xié)議不適合于數(shù)據(jù)包過濾。（5）正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。（5）一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測出來。它可以阻止非法用戶進入內(nèi)部網(wǎng)絡，但也不會告訴我們究竟都有誰來過，或者誰從內(nèi)部進入了外部網(wǎng)絡。5.1防火墻技術5.1.3防火墻的體系結構2.雙宿主主機防火墻這種防火墻系統(tǒng)由一種特殊的主機來實現(xiàn)，這臺主機擁有兩個不同的網(wǎng)絡接口，一端接外部網(wǎng)絡，另一端需要保護的內(nèi)部網(wǎng)絡，并運行代理服務器軟件，故被稱為雙宿主主機防火墻，如圖5-8所示。雙宿主主機防火墻圖5-8雙宿主主機防火墻雙宿主主機防火墻雙宿主主機防火墻的優(yōu)點雙宿主主機防火墻的缺點5.1防火墻技術5.1.3防火墻的體系結構3.屏蔽主機防火墻屏蔽主機防火墻由一臺包過濾型路由器和一臺堡壘主機組成，如圖5-9所示。圖5-9屏蔽主機防火墻5.1防火墻技術5.1.3防火墻的體系結構3.屏蔽主機防火墻（1）屏蔽主機網(wǎng)關防火墻的優(yōu)點（2）屏蔽主機網(wǎng)關防火墻的缺點5.1防火墻技術5.1.3防火墻的體系結構4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻是在屏蔽主機網(wǎng)關防火墻的配置上加上另一個包過濾型路由器，如圖5-10所示圖5-10屏蔽子網(wǎng)防火墻（DMZ）5.1防火墻技術5.1.3防火墻的體系結構4.屏蔽子網(wǎng)防火墻(1)屏蔽子網(wǎng)防火墻的優(yōu)點(2)屏蔽子網(wǎng)防火墻的缺點5.1防火墻技術5.1.4防火墻的常見產(chǎn)品1.NetScreen108防火墻2.CiscoSecurePIX515-E防火墻3.天融信網(wǎng)絡衛(wèi)士NGFW4000-S防火墻4.東軟NetEye4032防火墻5.2入侵檢測技術

5.2.1入侵檢測概述入侵檢測是監(jiān)控計算機系統(tǒng)或網(wǎng)絡中所發(fā)生的事件并分析這些事件以查找可能的事故的過程，這些事故違反或者即將違反計算機安全策略、可接受使用策略或標準安全實踐。入侵檢測系統(tǒng)（InstrusionDetectionSystem,IDS）是自動化入侵檢測過程的軟件和硬件的組合。入侵檢測應用入侵檢測應用示意圖如圖5-11所示。圖5-11入侵檢測應用示意圖5.2入侵檢測技術5.2.3入侵檢測系統(tǒng)的技術實現(xiàn)1.入侵檢測系統(tǒng)的組成入侵檢測系統(tǒng)的組成如圖5-12所示。圖5-12入侵檢測系統(tǒng)的組成5.2入侵檢測技術5.2.3入侵檢測系統(tǒng)的技術實現(xiàn)2.入侵檢測系統(tǒng)的功能一個入侵檢測系統(tǒng)，至少應該能夠完成如下功能（1）監(jiān)控、分析用戶和系統(tǒng)的活動（2）發(fā)現(xiàn)入侵企圖或異常現(xiàn)象（3）記錄、報警和響應5.2入侵檢測技術5.2.3入侵檢測系統(tǒng)的技術實現(xiàn)3.入侵檢測系統(tǒng)的工作原理在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)。如圖5-13所示，入侵檢測系統(tǒng)在網(wǎng)絡連接過程中通過實時監(jiān)測網(wǎng)絡中的各種數(shù)據(jù)，并與自己的入侵規(guī)則庫進行匹配判斷，一旦發(fā)生入侵跡象立即響應/報警，從而完成整個實時監(jiān)測。入侵檢測系統(tǒng)通過安全審計將歷史事件一一記錄下來，作為證據(jù)和為實施數(shù)據(jù)恢復做準備。實時監(jiān)控系統(tǒng)圖5-13實時監(jiān)控系統(tǒng)通用入侵監(jiān)測系統(tǒng)模型（NIDS）圖5-14通用入侵監(jiān)測系統(tǒng)模型（NIDS）通用入侵監(jiān)測系統(tǒng)模型（NIDS）數(shù)據(jù)收集器：主要負責收集數(shù)據(jù)。探測器：收集捕獲所有可能的和入侵行為有關的信息，包括網(wǎng)絡數(shù)據(jù)包、系統(tǒng)或應用程序的日志和系統(tǒng)調(diào)用記錄等探測器將數(shù)據(jù)收集后，送到檢測器進行處理。檢測器：負責分析和監(jiān)測入侵行為，并發(fā)出警報信號。知識庫：提供必要的數(shù)據(jù)信息支持，如用戶的歷史活動檔案、監(jiān)測規(guī)則集等?？刂破鳎焊鶕?jù)報警信號，人工或自動做出反應動作。入侵檢測的工作流程第一步，網(wǎng)絡數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡數(shù)據(jù)包的檢查（特征即規(guī)則匹配/誤用檢測）；第四步，網(wǎng)絡數(shù)據(jù)包的統(tǒng)計（異常檢測）；第五步，網(wǎng)絡數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡數(shù)據(jù)包的處理（報警和響應）。5.2入侵檢測技術5.2.3入侵檢測系統(tǒng)的技術實現(xiàn)4.入侵檢測系統(tǒng)的分類對于入侵檢測系統(tǒng)，要考慮的因素（分類依據(jù)）主要由：信息源、入侵、事件生成、事件處理、檢測方法等。下面就不同的分類依據(jù)及分類結果分別加以介紹。（1）按體系結構進行分類（2）按檢測原理進行分類（3）按所能監(jiān)控的事件以及部署方法進行分類誤用檢測模型用戶行為模式匹配入侵特征知識庫發(fā)現(xiàn)入侵！圖5-15誤用檢測模型異常檢測（AnomalyDetection）異常檢測是首先總結正常操作應該具有的特征，在得出正常操作的模型之后，對后續(xù)的操作進行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學意義上的操作模式，即進行報警。因為它的特征庫匹配的是正常操作行為，所以又存在以下幾個特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。5.2入侵檢測技術5.2.4入侵檢測的局限性與發(fā)展方向1入侵檢測系統(tǒng)的局限性2入侵檢測系統(tǒng)的發(fā)展方向（1）與防火墻聯(lián)動IDS與防火墻的聯(lián)動系統(tǒng)示意圖如圖5-15所示。（2）IPS（入侵防御系統(tǒng)）IPS是一種基于應用層、主動防御的產(chǎn)品，它以在線方式部署于網(wǎng)絡關鍵路徑，通過對數(shù)據(jù)報文的深度檢測，實時發(fā)現(xiàn)威脅并主動進行處理IPS在網(wǎng)絡中的部署如圖5-17所示。聯(lián)動系統(tǒng)日志，告警日志，告警告警，聯(lián)動日志，告警告警，聯(lián)動IDS防火墻審計中心受保護主機圖5-15聯(lián)動系統(tǒng)示意圖

IPS在網(wǎng)絡中的部署圖5-17IPS在網(wǎng)絡中的部署IPS的基本原理IPS的基本原理就是通過對數(shù)據(jù)流進行重組后進行協(xié)議識別分析和特征模式匹配，將符合特定條件的數(shù)據(jù)進行限流、整形，或進行阻斷、重定向或隔離，而對正常流量進行轉(zhuǎn)發(fā)。IPS的基本原理如圖5-18所示。

IPS的基本原理圖5-18IPS的基本原理

IPS的基本原理數(shù)據(jù)流重組協(xié)議分析特征/模式匹配特征/模式更新主動處理IPS的功能

針對漏洞的主動防御針對攻擊的主動防御基于應用的帶寬管理報警及報表5.2入侵檢測技術5.2.5入侵檢測的常見產(chǎn)品目前流行的IDS產(chǎn)品主要有Cisco公司NetRanger，ISS公司的RealSesure，Axent的ITA、ESM，以及NAI的CyberCop等。5.3虛擬專用網(wǎng)技術

5.3.1虛擬專用網(wǎng)概述1VPN的定義VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)，被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過非安全網(wǎng)絡的安全、穩(wěn)定的隧道?！疤摂M”的意思是沒有固定的物理連接，網(wǎng)絡只有需要時才建立；“專用”是指它利用公共網(wǎng)絡設施構成的專用網(wǎng)。如圖5-19所示的虛擬專用網(wǎng)。虛擬專用網(wǎng)圖5-19虛擬專用網(wǎng)5.3虛擬專用網(wǎng)技術5.3.1虛擬專用網(wǎng)概述2分類根據(jù)VPN的服務類型，VPN業(yè)務大致分為三類：接入VPN（AccessVPN）、內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）和外聯(lián)網(wǎng)VPN（ExtranetVPN）。通常情況下內(nèi)聯(lián)網(wǎng)VPN是專線VPN.（1）接入VPN

圖5-20AccessVPN（2）內(nèi)聯(lián)網(wǎng)VPN

內(nèi)聯(lián)網(wǎng)VPN是企業(yè)的總部與分支機構之間通過公網(wǎng)構筑的虛擬網(wǎng)，這是一種網(wǎng)絡到網(wǎng)絡以對等的方式連接起來所組成的VPN。內(nèi)聯(lián)網(wǎng)VPN如圖5-21所示。圖5-21內(nèi)聯(lián)網(wǎng)VPN（3）外聯(lián)網(wǎng)VPN

外聯(lián)網(wǎng)VPN是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過公網(wǎng)來構筑的虛擬網(wǎng)。圖5-22外聯(lián)網(wǎng)VPN5.3虛擬專用網(wǎng)技術

5.3.2虛擬專用網(wǎng)的關鍵技術1隧道技術2加密技術3密鑰管理技術4用戶認證技術（1）用戶名/密碼方式（2）智能卡認證（3）動態(tài)口令（4）USBKey認證幾種認證方式的比較5.3虛擬專用網(wǎng)技術5.3.3虛擬專用網(wǎng)常用隧道協(xié)議VPN具體實現(xiàn)是采用隧道技術，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹?建立隧道主要方式建立隧道主要有兩種方式：客戶啟動（Client-Initiated）和客戶透明（Client-Transparent）。（1）.客戶啟動（Client-Initiated）客戶啟動方式要求客戶和隧道服務器（或網(wǎng)關）都安裝隧道軟件。（2）.客戶透明（Client-Transparent）2幾種主流VPN協(xié)議（1）.點到點隧道協(xié)議（PPTP）（2）.第二層轉(zhuǎn)發(fā)協(xié)議（L2F）（3）.第二層隧道協(xié)議（L2TP）（4）.第三層隧道協(xié)議-通用路由封裝協(xié)議（GRE）（5）.IP安全協(xié)議（IPSec）（5）高層隧道協(xié)議-SSL協(xié)議（7）多協(xié)議標記交換（MPLS）（8）各種VPN的應用統(tǒng)撥號接入圖5-23傳統(tǒng)撥號接入L2TP典型組網(wǎng)應用圖5-24L2TP典型組網(wǎng)應用GRE封裝包格式圖5-25GRE封裝包格式IP安全協(xié)議（IPSec）IPSec（IPSecurity）是一種開放標準的框架結構，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要（Hash）等手段來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性（Confidentiality）、完整性（Dataintegrity）和真實性（Originauthentication）。IPSec協(xié)議如圖5-25所示。IPSec協(xié)議圖5-25IPSec協(xié)議IPSec的框架結構圖5-27IPSec的框架結構IPSec傳輸模式結構圖圖5-28IPSec傳輸模式結構圖IPSec隧道模式結構圖圖5-29IPSec隧道模式結構圖AH模式無法與NAT一起進行圖5-30AH模式無法與NAT一起進行ESP模式圖5-31ESP模式示意圖IPSec轉(zhuǎn)換圖5-32IPSec轉(zhuǎn)換示意圖高層隧道協(xié)議-SSL協(xié)議

SSL的英文全稱是“SecureSocketsLayer”，中文名為“安全套接層協(xié)議層”，是網(wǎng)景（Netscape）公司提出的基于Web應用的安全協(xié)議。SSL協(xié)議位于TCP/IP與各種應用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。目前已被廣泛地應用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSLVPN實現(xiàn)原理圖5-33SSLVPN實現(xiàn)原理SSLVPN實現(xiàn)原理遠程主機向VPN網(wǎng)關發(fā)出http請求。SSLVPN網(wǎng)關改寫http請求中的目的URL，并將報文轉(zhuǎn)發(fā)給真實的服務器。內(nèi)網(wǎng)的服務器返回響應報文SSLVPN網(wǎng)關改寫Web頁面中的URL鏈接，并將其返回給遠程主機。多協(xié)議標記交換（MPLS）MPLS屬于第三代網(wǎng)絡架構，是新一代的IP高速骨干網(wǎng)絡交換標準，由IETF（InternetEngineeringTaskForce，因特網(wǎng)工程任務組）所提出，由Cisco、ASCEND、3Com等網(wǎng)絡設備大廠所主導。MPLS的核心概念是交換，也就是這里最后一個字母S(Switching)的含義；其次的重要概念是標記，即這里L(Label)字母的含義；最后一層概念是多協(xié)議，即這里的MP(Multi-Protocol)的含義。MPLS的概念圖圖5-34MPLS的概念圖MPLS解決方案圖5-35MPLS解決方案各種VPN的應用

5.3虛擬專用網(wǎng)技術

5.3.4虛擬專用網(wǎng)網(wǎng)絡安全解決方案圖5-35Internet安全解決方案5.3虛擬專用網(wǎng)技術5.3.5虛擬專用網(wǎng)的發(fā)展方向虛擬專用網(wǎng)的發(fā)展方向包括以下3個方面：SSLVPN發(fā)展加速服務質(zhì)量有待加強基礎設施化趨勢顯現(xiàn)5.4網(wǎng)絡隔離技術

5.4.1網(wǎng)絡隔離技術概述網(wǎng)絡隔離，英文名為NetworkIsolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的，保護內(nèi)部網(wǎng)絡的安全和信息不致外泄。網(wǎng)絡隔離結構如圖5-37所示。網(wǎng)絡隔離結構圖圖5-37網(wǎng)絡隔離結構圖5.4網(wǎng)絡隔離技術5.4.2網(wǎng)絡隔離技術工作原理及關鍵技術1網(wǎng)絡隔離技術的特點網(wǎng)絡隔離技術的特點包括以下5個方面：要具有高度的自身安全性要確保網(wǎng)絡之間是隔離的要保證網(wǎng)間交換的只是應用數(shù)據(jù)要對網(wǎng)間的訪問進行嚴格的控制和檢查要在堅持隔離的前提下保證網(wǎng)絡暢通和應用透明5.4網(wǎng)絡隔離技術5.4.2網(wǎng)絡隔離技術工作原理及關鍵技術2網(wǎng)絡隔離技術工作原理網(wǎng)絡隔離技術的核心是物理隔離，并通過專用硬件和安全協(xié)議來確保兩個鏈路層斷開的網(wǎng)絡能夠?qū)崿F(xiàn)數(shù)據(jù)信息在可信網(wǎng)絡環(huán)境中進行交互、共享。網(wǎng)絡隔離系統(tǒng)的組成部分圖5-38網(wǎng)絡隔離系統(tǒng)的組成部分5.4網(wǎng)絡隔離技術5.4.2網(wǎng)絡隔離技術工作原理及關鍵技術3物理隔離技術類型主要的隔離技術有如下幾種類型：（1）雙機雙網(wǎng)。（2）雙硬盤隔離。（3）單硬盤隔離。（4）集線器級隔離。（5）服務器端隔離。5.4網(wǎng)絡隔離技術5.4.2網(wǎng)絡隔離技術工作原理及關鍵技術4網(wǎng)絡隔離環(huán)境下的數(shù)據(jù)交換過程無數(shù)據(jù)交換的網(wǎng)絡斷開外部主機與固態(tài)存儲介質(zhì)交換數(shù)據(jù)固態(tài)存儲介質(zhì)與內(nèi)部主機數(shù)據(jù)交換文件被傳送到內(nèi)網(wǎng)恢復斷開狀態(tài)無數(shù)據(jù)交換的網(wǎng)絡斷開圖5-39無數(shù)據(jù)交換的網(wǎng)絡斷開圖外部主機與固態(tài)存儲介質(zhì)交換數(shù)據(jù)圖5-40外部主機與固態(tài)存儲介質(zhì)交換數(shù)據(jù)示意圖固態(tài)存儲介質(zhì)與內(nèi)部主機數(shù)據(jù)交換圖5-41固態(tài)存儲介質(zhì)與內(nèi)部主機數(shù)據(jù)交換示意圖文件被傳送到內(nèi)網(wǎng)恢復斷開狀態(tài)圖5-42文件被傳送到內(nèi)網(wǎng)恢復斷開狀態(tài)5.4網(wǎng)絡隔離技術5.4.2網(wǎng)絡隔離技術工作原理及關鍵技術5.GAP技術(1)定義：gap源于英文的"airgap"，gap技術是一種通過專用硬件使兩個或者兩個以上的網(wǎng)絡在不連通的情況下，實現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術。gap中文名字叫做安全隔離網(wǎng)閘，它采用獨特的硬件設計，能夠顯著地提高內(nèi)部用戶網(wǎng)絡的安全強度。（2）GAP技術的基本原理目前主要有3類GAP技術。實時開關(RealTimeSwitch)、單向連接(OneWayLink)和網(wǎng)絡交換器(NetworkSwitcher)。實時開關(RealTimeSwitch)實時開關(RealTimeSwitch)指同一時刻內(nèi)外網(wǎng)絡沒有物理上的數(shù)據(jù)連通．但又快速分時地處理并傳遞數(shù)據(jù)。通常實時開關連接一個網(wǎng)絡去獲得數(shù)據(jù)，然后開關轉(zhuǎn)向另一個網(wǎng)絡并把數(shù)據(jù)放在上面兩個網(wǎng)絡間的數(shù)據(jù)移動以很快的速度進行，就象實時處理一樣。通常采取的方式是：終止網(wǎng)絡連接并剝?nèi)CP報頭，然后把“原始”數(shù)據(jù)傳人實時開關，這樣就可除去網(wǎng)絡協(xié)議漏洞帶來的風險。同時，實時開關也可執(zhí)行內(nèi)容檢測以防止病毒所造成的損害。單向連接(OneWayLink)單向連接(OneWayLink)指數(shù)據(jù)只能單向地從源網(wǎng)(sourcenetwork)傳輸?shù)侥康木W(wǎng)(destinationnetwork)。單向連接實際上建立了一個“只讀”網(wǎng)絡，即不允許數(shù)據(jù)反向傳回到源網(wǎng)。同實時開關一樣，單向連接必須用硬件來實現(xiàn)．以防止數(shù)據(jù)傳錯方向。網(wǎng)絡交換器(NetworkSwitcher)網(wǎng)絡交換器(NetworkSwitcher)指一臺計算機上有兩個虛擬機，先把數(shù)據(jù)寫入一個虛擬機，然后通過開關把傳輸數(shù)據(jù)到另一個虛擬機，數(shù)據(jù)傳輸速度比實時開關和單向連接都慢，不是實時工作的。網(wǎng)絡轉(zhuǎn)換器通?？捎脦в须p接口的硬件卡來實現(xiàn)，每個接口連接一個隔離的網(wǎng)絡，但同一時刻只有一個是激活的。（3）網(wǎng)閘的應用定位安全隔離網(wǎng)閘的優(yōu)勢在于它通過在不可信網(wǎng)絡犧牲自己來積極有效地應對攻擊，以充分保護可信網(wǎng)絡避免受到基于操作系統(tǒng)和網(wǎng)絡的各種攻擊。它的應用包括以下幾個方面。1)涉密網(wǎng)與非涉密網(wǎng)之間；2)局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間），有些局域網(wǎng)絡，特別是政府辦公網(wǎng)絡，涉及政府敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個常用的辦法。（3）網(wǎng)閘的應用定位3)辦公網(wǎng)與業(yè)務網(wǎng)之間，由于辦公網(wǎng)絡與業(yè)務網(wǎng)絡的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡和銀行業(yè)務網(wǎng)絡就是很典型的信息敏感程度不同的兩類網(wǎng)絡。4)電子政務的內(nèi)網(wǎng)與專網(wǎng)之間，在電子政務系統(tǒng)建設中要求政府內(nèi)網(wǎng)與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實現(xiàn)。（3）網(wǎng)閘的應用定位5)業(yè)務網(wǎng)與互聯(lián)網(wǎng)之間，電子商務網(wǎng)絡一邊連接著業(yè)務網(wǎng)絡服務器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務網(wǎng)絡服務器的安全，在業(yè)務網(wǎng)絡與互聯(lián)網(wǎng)之間應實現(xiàn)物理隔離。5.4.3網(wǎng)絡隔離常見產(chǎn)品1國外網(wǎng)閘產(chǎn)品介紹美國鯨魚公司的網(wǎng)閘（e-Gap）美國矛頭公司的網(wǎng)閘（NETGAP）2國內(nèi)網(wǎng)閘產(chǎn)品介紹天融信公司網(wǎng)閘（TopRules）中網(wǎng)公司的網(wǎng)閘（X-GAP）國保金泰公司網(wǎng)閘（IGAP）聯(lián)網(wǎng)公司的網(wǎng)閘（SIS）等5.5統(tǒng)一威脅管理系統(tǒng)1UTM的定義UTM（UnifiedThreatManagement），即統(tǒng)一威脅管理，2004年9月，IDC首都提出統(tǒng)一威脅管理的概念，即將防病毒，入侵檢測和防火墻安全設備劃歸統(tǒng)一威脅管理的新類別，目前UTM常定義為由硬件軟件和網(wǎng)絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，同時將多種安全特性集成于一個硬件設備里，形成標準的統(tǒng)一威脅管理平臺。UTM設備應該具備的基本功能包括網(wǎng)絡防火墻，網(wǎng)絡入侵檢測，防御和網(wǎng)管防病毒功能。5.5統(tǒng)一威脅管理系統(tǒng)2統(tǒng)一威脅管理系統(tǒng)特點3UTM優(yōu)點（1）將多種安全功能整合在同一產(chǎn)品當中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮作用（2）減低信息安全工作強度。（3）降低技術復雜度4UTM的缺點（1）過度集成帶來的風險（2）性能和穩(wěn)定性5.5項目小實驗【實驗名稱】站點到站點的IPSECVPN實現(xiàn)【實驗內(nèi)容】配置VPN系統(tǒng)，實現(xiàn)站點到站點的可靠信息傳輸。【實驗原理】IPSEC三層隧道實現(xiàn)安全的數(shù)據(jù)傳輸，詳細的原理請參考5.3.3小節(jié)。5.5項目小實驗【實驗環(huán)境】Juniper防火墻2臺、PC機3臺、網(wǎng)線若干。典型的實驗環(huán)境如圖5-43所示。圖5-43典型的實驗環(huán)境5.5項目小實驗【實驗步驟】配置各PC的IP地址、網(wǎng)關（步驟略）。配置防火墻。以總部防火墻的VPN配置為例：配置網(wǎng)關名稱、遠端VPN設備IP地址設置共享密鑰配置VPNIKE參數(shù)配置策略配置完成后，再配置分部的VPN系統(tǒng)。最后測試。5.5項目小實驗【實驗思考】添加多個連接，同時開啟，看vpn網(wǎng)關能否正常工作。5.7習題

什么是防火墻？簡述防火墻的功能、特點。比較包過濾技術和應用網(wǎng)關技術的區(qū)別。簡述防火墻常見的體系結構，比較其各自的優(yōu)缺點。什么是入侵檢測系統(tǒng)？簡述入侵檢測系統(tǒng)的功能和工作原理。簡述入侵檢測系統(tǒng)的分類。簡述入侵檢測的發(fā)展方向。5.7習題什么是VPN？它包含哪兩層含義？根據(jù)VPN的服務類型，VPN業(yè)務可分為哪幾類？虛擬專用網(wǎng)的關鍵技術有哪些？各種VPN的應用場合是什么？簡述網(wǎng)絡隔離技術及其原理。簡述什么是統(tǒng)一威脅管理？《信息安全基礎》第6章：無線網(wǎng)絡安全【學習目標】【學習目標】1.了解無線傳輸協(xié)議2.掌握WEP和WPA加密方式3.了解3G移動通信安全問題4.掌握無線網(wǎng)絡的安全隱患及對策6.1無線網(wǎng)絡安全概述6.1.1WLAN無線局域網(wǎng)802.11協(xié)議集協(xié)議名稱主要特征802.111997年，原始標準（2Mbit/s工作在2.4GHz）802.11a1999年，物理層補充（54Mbit/s工作在5GHz）802.11b1999年，物理層補充（11Mbit/s工作在2.4GHz）802.11c符合802.1D的媒體接入控制層（MAC）橋接（MACLayerBridging）802.11d根據(jù)各國無線電規(guī)定做的調(diào)整802.11e對服務等級（QualityofService,QoS）的支持802.11f基站的互連性（Interoperability）802.11g物理層補充（54Mbit/s工作在2.4GHz）802.11h無線覆蓋半徑的調(diào)整，室內(nèi)（indoor）和室外（outdoor）信道（5GHz頻段）802.11i安全和鑒權（Authentification）方面的補充802.11n導入多重輸入輸出（MIMO）和40Mbit通道寬度（HT40）技術，基本上是802.11a/g的延伸版6.1.2典型無線網(wǎng)絡應用6.1.3無線局域網(wǎng)存在的安全問題無線局域網(wǎng)的安全隱患信號傳輸SSID加密方式無線局域網(wǎng)的安全威脅無線網(wǎng)絡被盜用網(wǎng)絡通信被竊聽遭遇無線釣魚攻擊無線AP遭遇控制6.2802.11安全簡介6.2.1802.11發(fā)展歷程協(xié)議頻率速率802.112.4GHz2Mbps802.11a5GHz54Mbps802.11b2.4GHz11Mbps802.11g2.4GHz54Mbps802.11n2.4或5GHz540Mbps802.11ac5GHz1Gbps6.2.2802.11安全技術體系WEP機制6.2.3802.11i標準IEEE802.11i框架結構6.3WEP與WPA簡介6.3.1WEP加密WEP發(fā)展歷史WEP加密特點WEP加密安全隱患6.3.2WPA加密WPA加密目前最佳的無線加密技術WPA2加密目前最強的無線加密技術6.4移動通信安全6.4.13G移動通信技術簡介3G移動通信技術簡介G移動通信技術分類對比WCDMA(歐洲版)、CDMA2000(美國版)TD-SCDMA(中國版6.4.23G移動通信安全問題移動終端的安全問題病毒泛濫電信垃圾和騷擾詐騙和扣費無線接入網(wǎng)絡的安全問題網(wǎng)絡層的安全，3G的加密體制仍受制于人協(xié)議層的安全，無線Ad-Hoc（點對點）應用的威脅應用層的安全，大量3G時代惡意程序來襲6.4.34G技術展望第四代移動電話行動通信標準（英語：fourthgenerationofmobilephonemobilecommunicationsstandards，縮寫為4G），指的是第四代移動通信技術，也是3G之后的延伸。4G的特點4G的特點主要表現(xiàn)在以下方面：①通信速率更高；②網(wǎng)絡頻譜更寬；③靈活性強；④兼容性好；⑥業(yè)務多樣性；⑦技術基礎較好；⑧隨時隨地的移動接入；⑨自治的網(wǎng)絡結構。4G的關鍵技術OFDM技術智能天線技術軟件無線電技術多用戶檢測技術基于IPv6的核心網(wǎng)項目小實踐1.WEP密碼破解小結無線協(xié)議特點無線網(wǎng)絡威脅無線通信特點《信息安全基礎》第7章：網(wǎng)絡操作系統(tǒng)安全【學習目標】1.了解windows操作系統(tǒng)安全基礎2.了解Linux操作系統(tǒng)安全基礎3.掌握windows操作系統(tǒng)的安全技術特點4.掌握Linux操作系統(tǒng)安全特性5.掌握利用日志及審計維護操作系統(tǒng)安全的能力7.1Windows操作系統(tǒng)安全概述7.1.1Windows安全概述windows典型操作系統(tǒng)7.1.2身份認證技術Windows服務器系統(tǒng)身份認證針對所有網(wǎng)絡資源啟用“單點登錄”（Single

Sign-on，SSO）單點登錄在安全性方面提供了兩個主要優(yōu)點。

對用戶而言，單個密碼或智能卡的使用減少了混亂，提高了工作效率。

對管理員而言，由于管理員只需要為每個用戶管理一個賬戶，因此域用戶所要求的管理支持減少了。單點登錄身份認證執(zhí)行方式

交互式登錄網(wǎng)絡身份認證主要的身份認證類型身份認證協(xié)議類型描述KerberosV5身份認證與密碼或智能卡一起使用的用于交互式登錄的協(xié)議。它也適用于服務的默認網(wǎng)絡身份認證方法TLS/SSL身份認證用戶嘗試訪問安全的Web服務器時使用的協(xié)議NTLM身份認證客戶端或服務器使用早期版本的

Windows時使用的協(xié)議摘要式身份認證摘要式身份認證將憑據(jù)作為MD5哈?；蛳⒄诰W(wǎng)絡上傳遞Passport身份認證Passport身份認證是提供單一登錄服務的用戶身份認證服務7.1.3文件系統(tǒng)安全Windows文件系統(tǒng)簡介簇FAT32NTFS

RefsNTFS文件系統(tǒng)特點文件許可（Permission）許可的繼承

NTFS文件系統(tǒng)許可的種類

ACL和ACE

NTFS文件加密（EFS）彈性文件系統(tǒng)（ReFS）7.1.4組策略組策略基礎架構

本地組策略和域組策略

7.1.5安全審核windows安全審核新特性創(chuàng)建審核策略應用審核策略設置開發(fā)審核策略模型分發(fā)審核策略

windows安全審核新功能在WindowsServer2008R2和Windows

7提供了以下新功能：全局對象訪問審核、“訪問原因”設置高級審核策略設置安全審核事件介紹帳戶登錄事件帳戶管理事件詳細跟蹤的事件DS訪問事件登錄/注銷事件對象訪問事件策略更改事件權限使用事件系統(tǒng)事件7.2Linux操作系統(tǒng)安全Linux系統(tǒng)架構Linux內(nèi)核LinuxShellLinux文件結構

Linux的特點（1）公開源代碼（2）系統(tǒng)穩(wěn)定（3）性能突出（4）安全性強（5）跨平臺（6）完全兼容UNIX（7）強大的網(wǎng)絡服務7.2.1用戶和組安全用戶和用戶組的對應關系是：一對一、多對一、一對多或多對多。一對一：某個用戶可以是某個組的唯一成員；

多對一：多個用戶可以是某個唯一的組的成員，不歸屬其它用戶組；比如beinan和linuxsir兩個用戶只歸屬于beinan用戶組；

一對多：某個用戶可以是多個用戶組的成員；比如beinan可以是root組成員，也可以是linuxsir用戶組成員，還可以是adm用戶組成員；

多對多：多個用戶對應多個用戶組，并且?guī)讉€用戶可以是歸屬相同的組；7.2.2認證與授權PAM（PluggableAuthenticationModules）是由Sun提出的一種認證機制。PAM支持的四種管理界面：認證管理（authenticationmanagement），主要是接受用戶名和密碼，進而對該用戶的密碼進行認證，并負責設置用戶的一些秘密信息。帳號管理（accountmanagement），主要是檢查帳戶是否被允許登錄系統(tǒng)，帳號是否已經(jīng)過期，帳號的登錄是否有時間段的限制等等。會話管理（sessionmanagement），主要是提供對會話的管理和記賬（accounting）?？诹罟芾恚╬asswordmanagement），主要是用來修改用戶的密碼。Kerberos認證系統(tǒng)Kerberos認證協(xié)議是一種應用于開放式網(wǎng)絡環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡認證協(xié)議，可以在不安全的網(wǎng)絡環(huán)境中為用戶對遠程服務器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務、以及密鑰管理服務。7.2.3文件系統(tǒng)安全文件類型Linux有四種基本文件類型：普通文件、目錄文件、鏈接文件和特殊文件，可用file命令來識別。

普通文件：如文本文件、C語言元代碼、SHELL腳本、二進制的可執(zhí)行文件等，可用cat、less、more、vi、emacs來察看內(nèi)容，用mv來改名。

目錄文件：包括文件名、子目錄名及其指針。它是LINUX儲存文件名的