《网络工程师培训主题12:网络安全》由会员分享,可在线阅读,更多相关《网络工程师培训主题12:网络安全(131页珍藏版)》请在金锄头文库上搜索。
1、主题十二,国家信息化工程师认证考试管理中心,网络安全,12.1 主要知识点,12.2 安全计算 12.3 VPN 12.4 风险管理 12.5 典型试题分析,12.2 安全计算,信息安全的基本概念 保密性和完整性 非法入侵和病毒的防护,12.2.1 信息安全的基本概念,信 息 安 全,机密性:确保信息不暴露给未授权的实体或进程。 完整性:只有得到允许的人才能够修改数据,并且能 够判别出数据是否已被篡改。 可用性:得到授权的实体再需要时可访问数据,即攻 击着不能占用所有的资源而阻碍授权者的工 作。 可控性:可以控制授权范围内的信息流向以及行为方 式。 可审查性:对出现的网络安全问题提供调查的依据
2、和 手段。,信息和网络安全现状,现在全球普遍存在信息安全意识欠缺的状况,着导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁。 国际上也存在着信息安全管理不规范和标准不统一的问题。 在信息安全的发展过程中,企业和政府的要求有一致性的地方,也有不一致的地方。 信息和网络安全的技术仍然在发展过程中,“绝对的安全是不可能的”和“木桶原理”也让一些使用者踌躇不前,市场上“叫好不叫卖”的现象仍然存在。 同样在国内,信息安全产品的“假、大、空”现象在一定程度的存在,防火墙变成了“铜墙铁壁”,产生这种情况的原因在于包括监督不力和信息安知识的普及程度不够。,网络中存在的威胁,非授权访问 信息泄漏或丢失
3、 破坏数据完整性 拒绝服务攻击 利用网络传播病毒,12.2.2 保密性和完整性,私钥和公钥加密标准(DES、IDEA、RSA) 认证(数字签名、身份认证) 完整性(SHA、MDs) 访问控制(存取权限、口令),加密方法的分类与识别,按应用技术或历史上发展阶段划分,手工密码 机械密码 电子机内乱密码 计算机密码,按保密程度划分,理论上保密的密码 实际上保密的密码 不保密的密码,按密钥方式划分,对称式密码 非对称式密码 模拟型密码 数字型密码,私钥和公钥加密标准,(DES、IDEA、RSA),私钥加密标准是一种对称加密算法,用户使用同一个密钥加密和解密,包括DES、3DES和IDEA等。公钥加密标
4、准是一种非对称加密算法,加密和解密使用不同的密钥,RSA是其中的代表,已经成为公钥加密标准的代名词。 DES(数据加密标准),输入、输出均为64位,密钥为56位(虽然总共是64位,但是其中8位是奇偶校验位,实际上密钥只有56位是有效的)。3DES是对DES算法的三次运行,将替代DES。 3DES需要高级别安全性时使用。3DES 将每个数据块处理三次。采用112b的密钥。使用密钥 1 加密数据块,使用密钥 2 解密数据块,使用密钥1 加密数据块,私钥和公钥加密标准,(DES、IDEA、RSA),IDEA(国际数据加密算法),明文块和密文块都是64位,但密钥长128位,是目前数据加密中应用得较为广
5、泛的一种密码体制。 RSA(根据三位创立者的名字命名),发送者用接受者公钥对消息加密,接受者用自己的密钥解密。,DES算法的应用误区,DES算法具有较高的安全性,到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。而56位长的密钥的穷举空间为256,这意味着如果一台计算机的速度是每一秒一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间,可见,这是难以实现的,当然,随着科学技术的发展,当出现超高速计算机后,可考虑把DES密钥的长度再增长一些,以此来达到更高的保密程度。 由上述DES算法介绍可以看到:DES算法中只用到64位密钥中的其中56位,而第8、16、2464
6、位以外的其余56位的组合变化256才得以使用其他的56位作为有效数据位,才能保证DES算法安全可靠地发挥作用。如果不了解这一点,把密钥K的8、16、2464位作为有效数据使用,将不能保证DES加密数据的安全性,对运用DES来达到保密作用的系统产生数据被破译的危险,这正是DES算法在应用上的误区,留下了被人攻击、被人破译的极大隐患。,认证(数字签名、身份认证),在信息技术中,所谓“认证”,是指通过一定的验证技术,确认系统使用者身份,以及系统硬件(如电脑)的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为“身份认证”。 身份认证一般会涉及到两方面的内容,一个是识别,一个是验证。所谓识
7、别,就是要明确访问者是谁?即必须对系统中的每个合法(注册)的用户具有识别能力。要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的识别符。所谓验证是指访问者声称自己的身份后(比如,向系统输入特定的标识符),系统还必须对它声称的身份进行验证,以防止冒名顶替者。识别符可以是非秘密的,而验证信息必须是秘密的。 身份认证的本质是被认证方有一些信息(无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息),除被认证方自己外,任何第三方(在有些需要认证权威的方案中,认证权威除外)不能伪造,被认证方能够使认证方相信他确实拥有那些秘密(无论是将那些信息出示给认证方或者采用零知识证明的方
8、法),则他的身份就得到了认证。,身份认证的理论分类,单因素静态口令认证 双因素认证 挑战/应答机制认证 时间同步机制身份认证,分 类,实际的认证手段,What you know? Whats you have? Who are you? Where are you?,认证技术的完整性(SHA、MDS),报文摘要MD4: 创建 128 位散列值并由 RSA Data Security, Inc 开发的散列算法。 报文摘要MD5: 消息摘要 5 (MD5) 基于 RFC 1321,它是针对 MD4 中发现的薄弱环节而开发的。MD5 通过数据块(MD4 完成三项传递)完成四项传递,对每一项传递的消息
9、中的每个字采用一种不同的数字常量。MD5 计算中使用的 32 位常量的个数等于 64,最终会产生一个用于完整性校验的 128 位的哈希。但是 MD5 比较消耗资源,它可比 MD4 提供更强的完整性。 安全散列算法SHA: 以任意长度报文作为输入,按512b的分组进行处理。产生160b的报文摘要输出。,数字签名与身份认证,数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。 数字证书采用公钥体制,利用一对互相匹配的密钥进行加密解密。在公钥密码体制中,常用的一种是RSA体制。证书格式遵循ITU X.509国际标准。证书由某个可信的证书发放机
10、构CA建立。,访问控制(存取权限、口令),访问控制管理指的是安全性处理过程,即妨碍或促进用户或系统间的通信,支持各种网络资源如计算机、Web服务器、路由器或任何其它系统或设备间的相互作用。 认证过程主要包含两个步骤: 认证:登录过程; 自主访问控制(Discretionary Access Control):校验用户决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别。,12.2.3 非法入侵和病毒的防护,防火墙 入侵检测 安全协议(IPSec、SSL、ETS、PGP、S-HTTP、TLS、Kerberos) 可信任系统 硬件安全性 计算机病毒保护 文件的备份和恢复 个人信息控制
11、 匿名 不可跟踪性 网络设备可靠性 应付自然灾害 环境安全性 UPS,防火墙,简介: 防火墙作为一种放置于Internet和企业内部网Intranet之间,进行数据包的访问控制的工具,是我们进行网络安全化建设中必须考虑的要素。如果把Internet比喻成为现实生活中的大街,Intranet比喻成一所房子,数据比喻成为来往于大街和房子之间形形色色的人们,那么防火墙则为守护这所房子忠实的保安。他会从进出房子的人们中识别出哪些是房子的主人(正常进出网络的数据);哪些是企图进入房子的不法分子(恶意的数据包),允许房子的主人进入房子,拒绝不法分子进入房子,从而保证了房子中的物品安全。,防火墙,防火墙的定
12、义: 防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。 防火墙可以是硬件系统、路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝,实施访问控制功能。 防火墙必须部署到不同安全域之间的唯一通道。如果不同安全域之间(例如财务子网和工程子网)有多条通道,而只是再其中一条通道之间部署防火墙,那么此时的防火墙就没有任何意义。 安全规则,防火墙上的安全策略定义哪些数据包可以通过防火墙,哪些数据包不可以通过防火墙,
13、安全策略是防火墙能够实施访问控制的关键因素。如果仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。,防火墙,第一阶段:基于路由器的防火墙 第二阶段:用户化的防火墙工具集 第三阶段:建立在通用操作系统上的防火墙 第四阶段:具有安全操作系统的防火墙,防火墙的发展,防火墙,防火墙的位置 包过滤技术 状态检测技术 应用代理技术,防火墙技术,Firewall,Mail Server,Web Server,Internet,防火墙,数据包状态检测过滤 防御功能 应用代理 URL过滤 IP地址和MAC地址绑定 NAT地址转换 反向地址映射 日志审核,DoS/Ddos攻击 防止入侵者扫描 防止源路
14、由攻击 防止IP碎片攻击 防止ICMP/IMP攻击 抗IP假冒攻击,防火墙的功能,防火墙,吞吐量 延迟 并发连接数 平均无故障时间,防火墙的性能指标,防火墙,“访问控制”的应用 防火墙在VLAN网络中的应用 “内网安全分段”的应用 “动态IP分配”的应用 “多出口”的应用 “端口映射”的应用,应用案例,防火墙,无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭 无法防护非法通道出现,不足之处,防火墙,企业部署防火墙的误区: 1. 最全的就是最好的,最贵的就是最好的。 2. 软件防火墙部署后不对操作系统加固。 3
15、. 一次配置,永远运行。 4. 测试不够完全。 5. 审计是可有可无的。,入侵检测,入侵检测系统IDS(Intrusion Detection System)处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。 例如:IDS可以重新配置来禁止从防火墙外部进入的恶意流量。安全管理员应当理解入侵检测系统是独立域防火墙工作的。,入侵检测,IDS的起源,1. 安全审计 2. IDS的诞生,IDS包括,1. IDS信息的收集和预处理 2. 入侵分析引擎 3. 响应和恢复系统,入侵检测的功能,1. 网络流量管理 2
16、. 系统扫描,Jails和IDS 3. 追踪 4. 入侵检测系统的必要性,入侵检测,网络级IDS 主机级IDS 另一种分类方法,管理者 特殊的考虑 管理者和代理的比例 代理 理想的代理布局 管理和代理的通信 混合入侵检测,误用检测型 异常检测,入侵检测系统的类型,入侵检测,IDS存在的问题: 1. 如何提高入侵检测系统的检测速度,以适应网络通信的要求。 2. 如何减少入侵检测系统的漏报和误报。 3. 提高入侵检测系统的互动性能。 IDS躲避技术: 1. 字符串匹配的弱点。 2. 会话拼接。 3. 碎片攻击。 4. 拒绝服务。 入侵检测技术发展方向: 1. 分布式入侵检测。 2. 智能化入侵检测。 3. 全面的安全防御方案。 4. 入侵检测应该与操作系统绑定。,安全协议,密码身份验证协议 (PAP) Shiva 密码身份验证协议 (SPAP) 质询握手身份验证协议 (CHAP) Microsoft 质询握手身份验证协议 (MS-CHAP) Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) M
