網(wǎng)絡(luò)和通信安全

第2章網(wǎng)絡(luò)及通信安全本節(jié)教學(xué)目標(biāo)教學(xué)時(shí)數(shù)：90分鐘教學(xué)目的：理解并掌握Internet安全問(wèn)題。掌握網(wǎng)絡(luò)通信中的安全協(xié)議和IP安全機(jī)制。教學(xué)重點(diǎn)：Internet安全問(wèn)題教學(xué)難點(diǎn)：IP安全機(jī)制第二講教學(xué)內(nèi)容物理層安全

數(shù)據(jù)鏈路層安全

網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全2.1網(wǎng)絡(luò)通信中的安全協(xié)議TCP/IP體系結(jié)構(gòu)模型P6

集線器HUB網(wǎng)橋、Modem、交換機(jī)路由器Router網(wǎng)關(guān)Gateway地震、火災(zāi)、盜竊、故障、損壞在傳輸線路上竊取數(shù)據(jù)應(yīng)用軟件、數(shù)據(jù)庫(kù)、病毒等安全I(xiàn)P欺騙和ICMP攻擊2.2網(wǎng)絡(luò)通信安全2.2.1、物理層線路安全數(shù)據(jù)的存取和傳輸，整個(gè)網(wǎng)絡(luò)的連接是基于物理層的。物理層負(fù)責(zé)傳輸比特流。定義了電壓大小、電壓的變動(dòng)和代表“1”和“0”的電平定義。

物理層安全的重要性不言而喻。物理層是網(wǎng)絡(luò)構(gòu)建的基礎(chǔ)。但不幸的是，物理層也是所有組成網(wǎng)絡(luò)設(shè)施的元素中最容易被忽視的。普遍觀點(diǎn)：物理層只是一條傳輸?shù)摹巴贰?，考慮其管理問(wèn)題完全是多余和奢侈。迄止今天，整個(gè)銅纜和光纖基礎(chǔ)網(wǎng)絡(luò)設(shè)施中不足1%得到了實(shí)時(shí)管理。

線路安全措施與方法網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施。許多都有一定的訪問(wèn)控制能力，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。專用的銀行網(wǎng)絡(luò)系統(tǒng)便屬于此類。對(duì)于重要的機(jī)房設(shè)備，必須采用防電磁泄露措施。為此，我們建議采用電磁干擾儀。物理層上的安全措施不多，一是在線路上連接報(bào)警裝置。二是每天下班后斷開(kāi)終端連接。交換機(jī)

2.2網(wǎng)絡(luò)通信安全2.2.2數(shù)據(jù)鏈路層安全保證網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全性，措施之一就是加密。軟件加密

硬件加密

密鑰的管理復(fù)雜容易被襲擊加密速度較慢

密鑰管理方便對(duì)加密設(shè)備進(jìn)行物理加固，攻擊者無(wú)法進(jìn)行直接攻擊速度快

2.2.2網(wǎng)絡(luò)通信加密方式

1）鏈路加密鏈路加密就是對(duì)物理層的每一個(gè)比特進(jìn)行加密。目前，一般的網(wǎng)絡(luò)安全系統(tǒng)都主要采用這種方式。優(yōu)點(diǎn)：對(duì)用戶透明：不受網(wǎng)絡(luò)其他部分的影響密鑰管理簡(jiǎn)單：僅鏈路的兩點(diǎn)間需要一對(duì)密鑰流量保密：攻擊者得不到任何關(guān)于消息結(jié)構(gòu)的信息。缺點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)中的數(shù)據(jù)是明文網(wǎng)絡(luò)中每個(gè)物理鏈路都必須加密

Ek1Ek2Ek3Dk3Dk2Dk1Node1Node2Node3Node4Link1Link2Link3PP鏈路加密機(jī)

2.2.2網(wǎng)絡(luò)通信加密方式

2）節(jié)點(diǎn)加密

在協(xié)議傳輸層進(jìn)行加密，在中間節(jié)點(diǎn)里加裝用于加密、解密的保護(hù)裝置，由這個(gè)裝置完成一個(gè)密鑰向另一個(gè)密鑰的轉(zhuǎn)變。優(yōu)點(diǎn)：除了在保護(hù)裝置里，即使在節(jié)點(diǎn)內(nèi)也不出現(xiàn)明文缺點(diǎn)需要目前的公共網(wǎng)絡(luò)提供者的配合，修改他們的交換節(jié)點(diǎn)，增加保護(hù)裝置

Ek1Ek2Ek3Dk3Dk2Dk1Node1Node2Node3Node4Link1Link2Link3PP保護(hù)裝置保護(hù)裝置保護(hù)裝置保護(hù)裝置

2.2.2網(wǎng)絡(luò)通信加密方式

3）端到端加密在協(xié)議表示層上對(duì)傳輸?shù)膮f(xié)議進(jìn)行加密，加密設(shè)備放在網(wǎng)絡(luò)層和傳輸層之間，加、解密只在源、目的節(jié)點(diǎn)進(jìn)行。一般由軟件實(shí)現(xiàn)。優(yōu)點(diǎn)：對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取保護(hù)措施，具有更高的加密級(jí)別成本低加密方式靈活缺點(diǎn)密鑰管理困難

EkDkNode1Node2Node3Node4Link1Link2Link3PP軟件加密

補(bǔ)充：調(diào)制解調(diào)器的安全

通過(guò)Modem和電話線上網(wǎng)是目前普通網(wǎng)民的主要選擇。個(gè)人：ADSL（非對(duì)稱數(shù)字接入），家庭用戶常用的寬帶連接。通過(guò)電話線轉(zhuǎn)接到internet上，必須配備Modem。公司：許多企業(yè)都設(shè)置了自己的撥號(hào)服務(wù)器，為移動(dòng)用戶和遠(yuǎn)程用戶提供接入服務(wù)。事實(shí)上絕大多數(shù)的入侵也是通過(guò)撥號(hào)網(wǎng)絡(luò)漏洞實(shí)現(xiàn)的。

－

補(bǔ)充：調(diào)制解調(diào)器的安全

如果一個(gè)黑客通過(guò)撥號(hào)服務(wù)器繞過(guò)外網(wǎng)段防火墻，那么他就會(huì)象內(nèi)部網(wǎng)段一樣竊聽(tīng)到用戶的內(nèi)部網(wǎng)絡(luò)通信。方法不要把公司內(nèi)部撥號(hào)號(hào)碼廣泛流傳。使用用戶名和口令來(lái)保護(hù)撥號(hào)服務(wù)器?？诹羁梢允庆o態(tài)，但最好是一次性口令。如雀巢公司就要求所要用戶密碼至少一個(gè)月改一次，公司的進(jìn)、銷、存管理軟件用戶密碼至少要求一個(gè)星期改一次。使用安全性好的調(diào)制調(diào)解器。如回?fù)苷{(diào)制解調(diào)器、安靜調(diào)制解調(diào)器。在網(wǎng)絡(luò)上加一個(gè)用于核實(shí)用戶身份的服務(wù)器，對(duì)登錄情況進(jìn)行審計(jì)。

－2.2.3網(wǎng)絡(luò)層安全主要進(jìn)行分組的路由選擇。定義了一種高效的、不可靠的、無(wú)連接的傳輸方式。IP是因特網(wǎng)的協(xié)議標(biāo)準(zhǔn)，屏蔽了不同子網(wǎng)技術(shù)的差異，向上層提供一致的服務(wù)。IPSec（Internet協(xié)議安全協(xié)議）：在路由器或者防火墻上執(zhí)行該標(biāo)準(zhǔn)。2.2.3網(wǎng)絡(luò)層安全I(xiàn)P地址：路由器通過(guò)IP來(lái)定位計(jì)算機(jī)的位置，選擇一個(gè)IP的路由。數(shù)據(jù)包就像公路上的車，路由器就像路口的標(biāo)志，指引車的去向。路由器2.2.4傳輸層安全主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。TCP：為兩臺(tái)主機(jī)提供高可靠性的面向連接的數(shù)據(jù)通信，就像電話服務(wù)一樣。UDP（用戶數(shù)據(jù)報(bào)協(xié)議）：無(wú)需連接將數(shù)據(jù)報(bào)分組進(jìn)行發(fā)送，每個(gè)數(shù)據(jù)包都必須為其指定目的地。SSL：安全套接層協(xié)議2.2.5應(yīng)用層安全專門(mén)為用戶提供應(yīng)用服務(wù)的。P126比如：仿真終端協(xié)議Telnet、文件傳輸協(xié)議FTP、簡(jiǎn)單郵件傳輸協(xié)議SMTP等總結(jié)：網(wǎng)絡(luò)協(xié)議中的安全體系TCP/IP體系結(jié)構(gòu)模型

電磁干擾儀/報(bào)警裝置鏈路加密機(jī)/保護(hù)裝置封裝了防火墻的路由器SSL協(xié)議數(shù)據(jù)加密和簽名本節(jié)教學(xué)目標(biāo)教學(xué)時(shí)數(shù)：90分鐘教學(xué)目的：了解web安全問(wèn)題。掌握Web服務(wù)器、瀏覽器的安全配置。掌握Email與OE的安全。教學(xué)重點(diǎn)：Web服務(wù)器、瀏覽器的安全配置教學(xué)難點(diǎn)：Web服務(wù)器、瀏覽器的安全配置第三講教學(xué)內(nèi)容web安全

web服務(wù)器安全

web瀏覽器安全Email安全2.3web服務(wù)器安全P1302.3.1、Web服務(wù)器安全的重要性Web服務(wù)器是一種專用服務(wù)器，是專門(mén)針對(duì)企業(yè)用戶的Web商務(wù)應(yīng)用而優(yōu)化的簡(jiǎn)易型服務(wù)器。服務(wù)器是存儲(chǔ)電子商務(wù)數(shù)據(jù)的地方，一旦服務(wù)器被入侵，受到的損失就無(wú)法估計(jì)了。3月份以來(lái)，RSA被攻擊導(dǎo)致SecurID令牌身份信息被盜、索尼公司7700萬(wàn)信息泄露、美國(guó)花旗銀行被入侵、微軟MSN遭大規(guī)模盜號(hào)等重大安全事件接連發(fā)生。在國(guó)內(nèi)，CSDN等多家網(wǎng)站數(shù)千萬(wàn)賬號(hào)密碼被黑客公開(kāi)。此次造成的經(jīng)濟(jì)損失可能在10億美元以上。更是讓網(wǎng)站服務(wù)器安全問(wèn)題暴露在大眾視野中。

目前國(guó)內(nèi)出現(xiàn)了一群以黑客攻擊為手段、敲詐勒索商業(yè)網(wǎng)站的不法分子在互聯(lián)網(wǎng)上頻頻作案，其手段就是通過(guò)攻擊用戶的服務(wù)器達(dá)到控制并敲詐的目的。企業(yè)網(wǎng)站和內(nèi)網(wǎng)安全狀況不容樂(lè)觀2.3web服務(wù)器安全Web安全威脅及對(duì)策

附：Web服務(wù)器記錄原則

大多數(shù)Web服務(wù)器記錄它們收到的每一次聯(lián)接和訪問(wèn)。這個(gè)記錄通常包括IP地址和主機(jī)名。如果站點(diǎn)采取任何形式的驗(yàn)證系統(tǒng)，服務(wù)器也會(huì)記錄用戶名。如果用戶在逗留期間填寫(xiě)任何表格，該表格下所有變量的值都會(huì)被記錄在案。請(qǐng)求的狀態(tài)、傳遞數(shù)據(jù)的大小、用戶E-mail地址等都會(huì)被記錄下來(lái)。

Web服務(wù)器記錄的如下信息，會(huì)對(duì)用戶構(gòu)成威脅。（1）IP地址。（2）服務(wù)器/宿主名字。（3）用戶名。（4）URL要求。（5）以用戶在會(huì)話期間常用的形式及出現(xiàn)的可變數(shù)據(jù)。2.3.2Web服務(wù)器的安全配置1、選好web服務(wù)器設(shè)備和相關(guān)軟件Web服務(wù)器的主要性能要求是相應(yīng)時(shí)間和吞吐率。針對(duì)不同層次的用戶，構(gòu)架企業(yè)網(wǎng)站可以通過(guò)不同的方式：虛擬主機(jī)：主機(jī)租用：主機(jī)托管：自建機(jī)房：服務(wù)器硬件的選擇靜態(tài)Web站點(diǎn)，從高到低是：網(wǎng)絡(luò)系統(tǒng)、內(nèi)存、磁盤(pán)系統(tǒng)、CPU。動(dòng)態(tài)Web站點(diǎn)，從高到低：內(nèi)存、CPU、磁盤(pán)子系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)。

IBMSystemx3550(7978B1C)提供了強(qiáng)大的性能，從設(shè)計(jì)上和價(jià)格上都能夠完全滿足中等規(guī)模企業(yè)的需要，穩(wěn)定可靠且易于管理。一些剛起步的小型企業(yè)。用于商情發(fā)布企業(yè)規(guī)模的擴(kuò)大，訪問(wèn)量增加目前中小企業(yè)應(yīng)用最為廣泛的一種方案企業(yè)發(fā)展到較大規(guī)模虛擬機(jī)就是一臺(tái)服務(wù)器n個(gè)網(wǎng)站共用獨(dú)享主機(jī)是萬(wàn)網(wǎng)的獨(dú)立服務(wù)器給你用主機(jī)托管是你的服務(wù)器放到萬(wàn)網(wǎng)機(jī)房局域網(wǎng)的建設(shè)2.3.2Web服務(wù)器的安全配置路由器、交換機(jī)、集線器的區(qū)別

路由器：連通內(nèi)外網(wǎng)，交警+公路，可以安排你走的路線。兼有交換機(jī)、防火墻的功能。交換機(jī)：只能在同一網(wǎng)段下工作，是公路只提供道路。它沒(méi)有路由功能。集線器：組建一個(gè)局域網(wǎng)，共享帶寬，網(wǎng)速平分交換機(jī)：各自獨(dú)占帶寬。

路由器端口太少，網(wǎng)吧一般用集線器。

交換機(jī)主要用來(lái)接網(wǎng)線的。無(wú)線路由器+無(wú)線網(wǎng)卡：筆記本和臺(tái)式電腦一塊上網(wǎng)。路由器=一個(gè)交換機(jī)+一個(gè)上網(wǎng)服務(wù)器無(wú)線路由器的設(shè)置

2.3.2企業(yè)Web服務(wù)器的公共安全設(shè)置解決SQL注入和XSS漏洞:

在程序中添加安全代碼，禁止輸入一些危險(xiǎn)字符。XSS漏洞同樣需要對(duì)輸入進(jìn)行過(guò)濾。構(gòu)建一套整體安全運(yùn)營(yíng)監(jiān)控體系，監(jiān)視控制Web站點(diǎn)出入情況。殺毒軟件、防范ARP攻擊的軟件與防火墻定時(shí)更新,定時(shí)查看系統(tǒng)日志，遇到可疑日志應(yīng)該及時(shí)處理對(duì)應(yīng)的程序或策略。

內(nèi)網(wǎng)所有機(jī)器定期更新系統(tǒng)補(bǔ)丁，排除站點(diǎn)中的安全漏洞不定時(shí)更改管理員密碼,八位以上字母、數(shù)字、特征字符混合的高強(qiáng)度密碼。進(jìn)行必要的數(shù)據(jù)備份一套整體安全運(yùn)營(yíng)監(jiān)控體系P131設(shè)置訪問(wèn)控制規(guī)則，控制哪些用戶能夠登陸到服務(wù)器。通過(guò)IP地址、子網(wǎng)域名來(lái)控制通過(guò)用戶名/口令限制控制訪問(wèn)通過(guò)公用密鑰加密的方法控制網(wǎng)絡(luò)權(quán)限控制，針對(duì)非法操作所提出的一種安全保護(hù)措施。系統(tǒng)管理員一般用戶審計(jì)用戶目錄級(jí)安全控制系統(tǒng)管理員權(quán)限、讀權(quán)限、寫(xiě)權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問(wèn)控制權(quán)限2.3.3IIS服務(wù)器的安全I(xiàn)IS服務(wù)器不僅僅能夠提供常見(jiàn)的WEB應(yīng)用而且和很多服務(wù)器集合使用在企業(yè)中已經(jīng)非常廣泛。

視頻：IIS服務(wù)器的的設(shè)置1、安裝IIS：控制面板——添加/刪除程序——添加/刪除Windows組件——IIS2、啟動(dòng)IIS：Windows開(kāi)始菜單---所有程序---管理工具---IIS管理器3、配置IIS：用鼠標(biāo)右鍵單擊“默認(rèn)Web站點(diǎn)”，在彈出的快捷菜單中選擇“屬性”

4、主目錄與啟用父路徑

5、日志記錄屬性6、IIS身份認(rèn)證2.4Web瀏覽器的安全2.4.1瀏覽器中的Cookie的安全Cookie是一個(gè)儲(chǔ)存于瀏覽器目錄中的文本文件，包含了各種信息：如網(wǎng)站名、用戶名和口令、訪問(wèn)過(guò)的頁(yè)碼、信用卡號(hào)等。問(wèn)題在于：以不為人覺(jué)查的偷偷摸摸方式收集或存儲(chǔ)信息，且以明文的形式存在客戶機(jī)上。因此，它的存在更多的是對(duì)個(gè)人隱私的一種潛在的威脅。第一次登錄后，用戶名/口令就存在Cookie中，以后就不需要重復(fù)輸入。鏈接：易趣的cookie2.4.2ActiveX的安全ActiveX控件封裝了由頁(yè)面設(shè)計(jì)者放在頁(yè)面執(zhí)行特定任務(wù)的程序。當(dāng)瀏覽器下載了嵌有ActiveX控件的頁(yè)面時(shí)，它就能在客戶機(jī)上運(yùn)行了。如Flash就是是用于動(dòng)畫(huà)和娛樂(lè)控制的ActiveX控件。與Java代碼不同，它只在windows操作系統(tǒng)和支持ActiveX的瀏覽器上運(yùn)行。缺點(diǎn)：一個(gè)有惡意的ActiveX控件可格式化硬盤(pán)、發(fā)送垃圾郵件、關(guān)閉計(jì)算機(jī)。因此ActiveX不能控制，但可被管理。InternetExplorer是否運(yùn)行軟件，如ActiveX控件和插件？否（N）是（Y）運(yùn)行ActiveX控件時(shí)IE的提示信息最新Flash0day漏洞“通殺”六大平臺(tái)

AdobeFlash播放器插件漏洞，涉及Windows、Linux、Android、Chrome、Macintosh以及Solaris等六大平臺(tái)，影響PC、平板電腦、智能手機(jī)、服務(wù)器/工作站等幾乎所有終端用戶，是安全行業(yè)歷史上極為罕見(jiàn)的“通殺”漏洞。Flash是絕大多數(shù)網(wǎng)民都會(huì)接觸到的互聯(lián)網(wǎng)應(yīng)用，比如在線視頻、網(wǎng)頁(yè)游戲等。除了各種內(nèi)嵌Flash的“危險(xiǎn)”文檔外，該漏洞還可被用于網(wǎng)頁(yè)掛馬，比如大批中小型游戲網(wǎng)站、電影網(wǎng)站、小說(shuō)站、音樂(lè)站自動(dòng)感染木馬。

2.4.3Java的安全

Java是一種真正的面向?qū)ο蟮恼Z(yǔ)言，它與平臺(tái)無(wú)關(guān)，可在任何計(jì)算機(jī)上運(yùn)行，一次開(kāi)發(fā)多次使用。Java可實(shí)現(xiàn)各種各樣的客戶端應(yīng)用，如圖形文件、瀏覽器插件和電子郵件附件，這就解放了非常繁忙的服務(wù)器。缺點(diǎn)：Java代碼一旦下載就可在客戶機(jī)上運(yùn)行，就很可能發(fā)生破壞。Java漏洞主要影響企業(yè)辦公電腦，包括財(cái)務(wù)軟件、辦公自動(dòng)化軟件等。據(jù)估計(jì)，Java安裝量在國(guó)內(nèi)至少為千萬(wàn)數(shù)量級(jí)。JAVA漏洞是2011年黑客主要的攻擊對(duì)象，平均每季度偵測(cè)到JAVA漏洞攻擊達(dá)690萬(wàn)次。2.4.3Java的安全2.4Web瀏覽器的安全2.4.4瀏覽器本身的漏洞微軟的IE是漏洞最多的一種瀏覽器，電腦黑客經(jīng)常利用ie瀏覽器漏洞進(jìn)行病毒攻擊，使不少用戶遭受損失。最好的辦法是下載補(bǔ)丁。說(shuō)微軟的ie瀏覽器處于十面埋伏不為過(guò),有人認(rèn)為:正是由于IE是與windows捆綁在一起而不是到市場(chǎng)上經(jīng)受競(jìng)爭(zhēng)的沖擊而日漸失去活力。面對(duì)如此多的IE安全隱患，專家建議廣大網(wǎng)絡(luò)愛(ài)好者使用Opera，F(xiàn)irefox，Safari等瀏覽器代替IE。Opera瀏覽器很可能成為瀏覽器市場(chǎng)的新寵！。解決辦法不能從根本上消除這些漏洞，但它們有助于阻塞已知的攻擊媒介。將Internet安全區(qū)域和本地Intranet安全區(qū)域設(shè)置設(shè)為“高”。將Web站點(diǎn)限于只是您信任的Web站點(diǎn)安裝Outlook電子郵件安全更新

下載補(bǔ)丁傲游瀏覽器360極速瀏覽器打造國(guó)內(nèi)最安全的雙核瀏覽器

截至2011年六月底，360瀏覽器的用戶滲透率達(dá)到52.21%。僅次于微軟的IE瀏覽器，這意味著全國(guó)有半數(shù)以上網(wǎng)民使用360瀏覽器來(lái)上網(wǎng)。閃電般的瀏覽速度、完備的安全特性及海量豐富的實(shí)用工具擴(kuò)展。其無(wú)縫切換、內(nèi)核持續(xù)領(lǐng)先、瀏覽器開(kāi)放平臺(tái)、四層防御體系等四大創(chuàng)新，引領(lǐng)了潮流。為360用戶攔截了30億7988萬(wàn)次木馬與惡意網(wǎng)頁(yè)攻擊，崩潰率只有萬(wàn)分之八，比IE的穩(wěn)定性提升12.5倍。

2.5E-mail與OutlookExpress安全1、