信息安全基础全书课件整本书电子教案.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四

2、级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全基础,第一章 信息安全概述,【,学习目标,】,了解信息安全学习领域的内容、要求；,掌握信息与信息安全的概念；,了解信息安全面临的威胁类型；,了解信息安全的现状和目标；,熟悉重要的信息安全模型的主要内容，了解信息系统安全体系结构；,了解重要的信息安全评价标准。,1.1,信息与信息安全,1.1.1,什么是信息,1,

3、信息的定义,信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。信息本身是无形的，借助于信息媒体以多种形式存在或传播，可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式传播。通常情况下，可以把信息理解为消息、信号、数据、情报、知识等。,1.1,信息与信息安全,1.1,信息与信息安全,2,信息的安全属性,（,1,）保密性,（,2,）完整性,（,3,）可用性,（,4,）可控性,（,5,）不可否认性,1.1,信息与信息安全,1.1.2,什么是信息安全,1,信息安全的定义,信息安全从广义上讲，是指对信息的保密性、可用性和完整性的保持。由于当今人类社

4、会活动更多的依赖于网络，因此狭义的讲，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。,2,信息安全研究的基本内容,（,1,）研究领域,（,2,）工程技术领域,（,3,）评估与测评领域,（,4,）网络或信息安全管理领域,（,5,）公共安全领域,（,6,）军事领域,1.2,信息安全面临威胁类型,1.2.1,计算机网络所面临的主要威胁,计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多，其所面临的威胁也就来自多个方面，主要威胁包括人为的失误、信息截取、内

5、部窃密和破坏、黑客攻击、技术缺陷、病毒、自然灾害等。,1.2,信息安全面临威胁类型,人为的失误,信息截取,内部窃密和破坏,黑客攻击,技术缺陷,病毒,自然灾害等不可抗力因素,1.2,信息安全面临威胁类型,窃听：攻击者通过监视网络数据获得敏感信息；,重传：攻击者先获得部分或全部信息，而以后将此信息发送给接收者；,伪造：攻击者将伪造的信息发送给接收者；,篡改：攻击者对合法用户之间的通信信息进行修改、删除、插入，再发送给接收者；,1.2,信息安全面临威胁类型,拒绝服务攻击：供给者通过某种方法使系统响应减慢甚至瘫痪，阻碍合法用户获得服务；,行为否认：通信实体否认已经发生的行为；,非授权访问：没有预先经过

6、同意，就使用网络或计算机资源；,传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。,1.2,信息安全面临威胁类型,1.2.2,从五个层次看信息安全威胁,信息系统的安全威胁是永远存在的，下面从信息安全的五个层次，来介绍信息安全中的信息的安全威胁。,物理层安全风险分析,网络层安全风险分析,操作系统层安全风险分析,应用层安全风险分析,管理层安全风险分析,1.3,信息安全的现状与目标,1.3.1,信息安全的现状,1,近年我国信息安全现状,2,网络信息安全的发展趋势,1.3,信息安全的现状与目标,1.3.2,信息安全的目标,总而言之，所有的信息安全技术都是为了达到一定的安全目标，即通过

7、各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。,1.4,信息安全模型与信息系统安全体系结构,1.4.1,信息安全模型概述,本节介绍比较流行的信息安全模型，它们是：,OSI,安全体系结构、基于时间的,PDR,模型、,IATF,信息保障技术框架、,WPDRRC,信息安全模型。,1 OSI,安全体系结构,国际标准化组织（,ISO,）在对开放系统互联环境的安全性进行了深入研究后，提出了,OSI,安全体系结构（,Open System Interconnection Reference Model,），即,信息处理系统,开放系统互连,基本参考模型,第二部分：安全

8、体系结构,（,ISO7498-2:1989,），该标准被我国等同采用，即,GB/T9387.2-1995,。该标准是基于,OSI,参考模型针对通信网络提出的安全体系架构模型。,1 OSI,安全体系结构,对付典型威胁所采用的安全服,OSI,协议层与相关的安全服务,OSI,安全服务与安全机制之间的关系,2,基于时间的,PDR,模型,随着信息安全技术的发展，又提出了新的安全防护思想，具有代表性的是,ISS,公司提出的,PDR,安全模型，该模型认为安全应从防护（,protection,）、检测（,detection,）、响应（,reaction,）三个方面考虑形成安全防护体系。,图,1-3 PDR,模

9、型,3 IATF,信息保障技术框架,当信息安全发展到信息保障阶段之后，人们越发认为，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术框架（,Information Assurance Technical Framework,，,IATF,）就是在这种背景下诞生的,3 IATF,信息保障技术框架,（,1,）,IATF,深度防御战略的三个层面,IATF,创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能,/,业务运作的思想，对技术,/,信息基础设施的

10、管理也离不开这三个要素。,I,图,1-4 IATF,的框架模型,3 IATF,信息保障技术框架,（,2,）,IATF,深度防御技术方案,了明确需求，,IATF,定义了四个主要的技术焦点领域：保卫网络和基础设施，保卫边界，保卫计算环境和为基础设施提供支持，这四个领域构成了完整的信息保障体系所涉及的范围。,3 IATF,信息保障技术框架,图,1-5 IATF-,分层多点深度防御,3 IATF,信息保障技术框架,在深度防御技术方案中推荐下列原则：,（,1,）多点防御,（,2,）分层防御,4 WPDRRC,信息安全模型,WPDRRC,信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系

11、统安全保障体系建设模型。,WPDRRC,模型有,6,个环节和,3,个要素。,6,个环节包括预警（,W,）、保护（,P,）、检测（,D,）、响应（,R,）、恢复（,R,）和反击（,C,）,3,大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，落实在,WPDRRC,的,6,个环节的各个方面，将安全策略变为安全现实。,4 WPDRRC,信息安全模型,图,1-6 WPDRRC,信息安全模型,1.4,信息安全模型与信息系统安全体系结构,1.4.2,信息系统安全体系结构,1,信息系统安全体系框架,信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全

12、的总和。,1,信息系统安全体系框架,图,1-7,信息系统安全体系结构示意图,2,技术体系,（,1,）技术体系的内容和作用,技术体系是全面提供信息系统安全保护的技术保障系统。,（,2,）技术体系由两大类构成,技术体系由物理安全技术和系统安全技术两大类构成。,（,3,）技术体系框架,信息系统安全体系中技术体系框架的设计，可将协议层次、信息系统构成单元和安全服务（安全机制）作为三维坐标体系的三个维来表示。如图,1-8,所示。,技术体系框架,图,1-8,安全技术体系三维结构,3,组织机构体系,组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事机构,3,个模块构成。机构的设置分为,3,个层次：

13、决策层、管理层和执行层。,4,管理体系,管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理,3,个部分组成。,4,管理体系,法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。,制度管理是信息系统内部依据系统必要的国家或组织的安全需求制定的一系列内部规章制度，主要内容包括安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及行为规范、内部关系与外部关系的行为规范等。,培训管理是确保信息系统安全的前提。,1.4.3,某高校的信息安全体系建设举例,以某高校的信息安全体系建设为例，介绍信息安全体系建设思路。,1,建设原则和工作

14、路线,学校信息安全建设的总体原则是：总体规划、适度防护，分级分域、强化控制，保障核心、提升管理，支撑应用、规范运维。,图,1-9,信息安全体系建设流程图,1.4.3,某高校的信息安全体系建设举例,2,体系框架,信息安全体系框架依据,信息安全技术 信息系统安全等级保护基本要求,GBT 22239-2008,、,信息系统等级保护安全建设技术方案设计要求,(,征求意见稿,),，并吸纳了,IATF,模型中“深度防护战略”理论，强调安全策略、安全技术、安全组织和安全运行,4,个核心原则，重点关注计算环境、区域边界、通信网络等多个层次的安全防护，构建信息系统的安全技术体系和安全管理体系，并通过安全运维服务

15、和,IT SM,集中运维管理,(IT Service Management EB/OL,，基于,IT,服务管理标准的最佳实践,),，形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构,大学信息安全体系框架,图,1-10,大学信息安全体系框架,1.5,信息安全评价标准,信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范和技术依据。,1.5.1,信息安全相关国际标准,1,信息安全评估标准,信息技术安全评估标准的历史和发展概况,1999,年,GB178

16、59,计算机信息系统安全保护等级划分准则,1993,年 美国 联邦准则（,FC1.0,）,1993,年 加拿大 可信计算机产品评估准则（,CTCEC,）,1991,年 欧洲,信息技术安全性评估准则（,ITSEC,）,国际通用评估准则,1996,年，,CC1.0,1998,年，,CC2.0,1999,年，,CC2.1,1999,年 国际标准,ISO/IEC15408,2001,年,GB/T18336,信息技术安全性评估准则,1985,年,美国国防部,可信计算机评估准则（,TCSEC,）,1989,年 英国,可信级别标准（,MEMO3 DTI,）,德国 评估标准（,ZSEIC,）,法国 评估标准（

17、,B-W-R BOOK,）,1993,年,NIST,的,MSFR,图,1-11,信息技术安全评估标准的历史和发展概况,1.5,信息安全评价标准,2,信息安全管理标准,（,1,）,ISO/IEC,信息安全管理标准,（,2,）英国的信息安全管理标准（,BS 7799,和,BS 15000,）,（,3,）美国的信息安全管理标准,NIST SP,系列特别出版物,（,4,）信息技术服务和信息系统审计治理领域,COBIT,和,ITIL,1,）信息系统审计领域,COBIT,COBIT,（信息和相关技术的控制目标）模型是美国,ISACA,协会所提供的一个,IT,审计和治理的框架。它为信息系统审计和治理提供了一

18、整套的控制目标、管理措施、审计指南。,图,1-12 COBIT,模型,2,）,IT,服务管理领域,ITIL,ITIL,由英国政府部门,CCTA,在,20,世纪,80,年代末制定，现由英国商务部,OGC,负责管理，主要适用于,IT,服务管理（,ITSM,）。,图,1-13ITIL,框架结构,信息安全管理标准历史和发展概况脉络图,图,1-14,信息安全管理标准历史和发展概况脉络图,(5),目前应用最广泛的国际信息安全管理标准,ISO/IEC 27000,标准族,ISO 13335,标准族,1.5,信息安全评价标准,3.,信息安全工程标准,SSE-CMM,（,1,）,SSE-CMM,简介,SSE-C

19、MM,是系统安全工程能力成熟模型（,Systems Security Engineering Capability Maturity Model,）的缩写，是一种衡量系统安全工程实施能力的方法。它描述了一个组织安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。,（,2,）,SSE-CMM,应用,SSE-CMM,可应用于所有从事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。,1.5,信息安全评价标准,1.5.2,信息安全相关国内标准,1,我国信息技术安全评估标准,我国公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准,G817895-1999,计算机信息

20、系统安全保护等级划分准则,已正式颁布并实施。该准则将信息系统安全分为,5,个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。,1.5,信息安全评价标准,1.5.2,信息安全相关国内标准,2,我国信息安全管理标准,（,1,）,GB/T 20984,信息安全风险评估规范,（,2,）其他重要信息安全管理标准,3,等级保护标准,1.6,项目小实践,【,实验名称,】,网络安全整体规划与实现,【,实验内容,】,利用如图,1-17,所示的网络环境，首先学习利用工具对本地主机运行状态进行安全评估，分析本地主机安全隐患，并生成相应的报告文件。对系统进行综合评估，发现主机应用服务状

21、态，对外安全隐患。利用,X-Scan,扫描系统漏洞并分析，对漏洞进行防御。,最后，形成一个完整的评估报告，并对被分析的网络系统进行改进，提升其整体安全性。,1.6,项目小实践,【,实验原理,】,风险评估,/,安全评估是在防火墙、入侵检测、,VPN,等专项安全技术之上必须考虑的一个问题，因为安全并不是点的概念，而是整体的立体概念。在各种专项技术的基础上，有必要对整个网络信息系统的安全性进行分析评估，以改进系统整体的安全。,（,1,）,SecAnalyst,运行状态评估,（,2,）,MBSA,综合评估,（,3,）,X-scan,攻击扫描评估,（,4,）,MSAT,安全评估,1.6,项目小实践,【,

22、实验环境,】,学生可以,2,人为一组，网络拓扑如图,1-17,所示；分别对不同网段进行扫描评估等操作，评估整个网络架构的安全性。,1.6,项目小实践,【,实验步骤,】,略,.,【,实验思考,】,安全漏洞还存在于,MSAT,扫描之外的哪些方面？,提交针对实验中的网络架构的安全评估报告，并进行实际的安全改进。,利用相关的安全评估工具,(,如报表软件,),，通过问卷调查等打分手段来进一步分析网络架构的安全性。,1.7,习题,信息的安全属性是什么？,信息安全的定义是什么？信息安全面临威胁有哪些？,信息安全的目标是什么？,PDR,模型的重要内容是什么？,OSI,安全体系结构定义了五大类安全服务，同时提供

23、这些服务的八类安全机制，它们的内容是什么？,国际上，重要的信息安全评估标准和信息安全管理标准有哪些？我国的情况是怎样的？,信息安全基础,第,2,章：信息安全基本保障技术,【,学习目标,】,1.,掌握密码学的基本发展历史,2.,掌握主要加密算法的实现原理,3.,掌握信息隐藏技术的实现原理及一般方法,2.1,密码学技术概述,2.1.1,密码学历史分析,1.,古典,密码学,移位,式,替代式,KGDEINPKLRIJLFGOKLMNISOJNTVWG,指挥官,拿到后，把它缠在一条木棍上，得到明文“,Kill King,”。即每,4,位取一个字母。其他字母是干扰的。,2,现代密码学,加密,解密,密码协议

24、,2.1.2,对称密码算法,常见的对称加密算法有,DES,、,3DES,、,AES,、,Blowfish,、,IDEA,、,RC4,、,RC5,、,RC6,。,DES,DES,最初出现在,1970,年代早期。,NBS,（国家标准局，现在的,NIST,）先后,2,次征集用于加密政府内非机密敏感信息的加密标准。,DES,在,1976,年被美国联邦政府的国家标准局确定为联邦资料处理标准（,FIPS,），随后在国际上广泛流传开来。它基于使用,56,位密钥的对称算法。,DES,算法的整体结构如图,2-1,所示：有,16,个相同的处理过程，称为“回次”,(round),，并在首尾各有一次置换，称为,IP,

25、与,FP,（或称,IP-1,，,FP,为,IP,的反函数（即,IP,“撤销”,FP,的操作，反之亦然）。,2.1.3,非对称密码学,非对称密钥，是指一对加密密钥与解密密钥，这两个密钥是数学相关，用某用户密钥加密后所得的信息，只能用该用户的解密密钥才能解密。,常见的公钥加密算法有,:RSA,、,ElGamal,、背包算法、,Rabin,（,RSA,的特例）、迪菲赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法（英语：,Elliptic Curve Cryptography,ECC,）。,2.1.4,哈希函数,MD5,即,Message-Digest Algorithm 5,（消息摘要算法第五

26、版）的简称，是当前计算机领域用于确保信息传输完整一致而广泛使用的散列算法之一,MD5,破解方法,黑客破获这种密码的方法是一种被称为,跑字典,的方法。有两种方法得到字典，一种是日常搜集的用做密码的字符串表，另一种是用排列组合方法生成的，先用,MD5,程序计算出这些字典项的,MD5,值，然后再用目标的,MD5,值在这个字典中检索,。,2.1.5,数字签名技术,数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。,普通数字签名算法有,RSA,、,ElGamal,、,Fiat-Shamir,、,Guillou-Quisquar

27、ter,、,Schnorr,、,Ong-Schnorr-Shamir,数字签名算法、,Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。,主要功能,保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。,签名过程,2.2,信息隐藏技术,信息,隐藏的方法主要有隐写术、数字水印技术,、可视,密码、潜信道、隐匿,协议,隐写术,隐写术就是将秘密信息隐藏到看上去普通的信息,(,如数字图像,),中进行,传送,数字水印技术,(Digital Watermark,):,技术,是将一些标识信息,(,即数字水印,),直接嵌入数字载体,(,包括多媒体、文档、软件等,),当中，但不影响原载体的使

28、用价值，也不容易被人的知觉系统,(,如视觉或听觉系统,),觉察或注意到。,2.2.1,图像信息隐藏技术,用于进行隐蔽通信的图像信息隐藏算法可以分为两大类：,基于空域的信息隐藏算法,基于变换域的信息隐藏算法,2.2.2,音频信息隐藏技术,AAC,音频信息隐藏的方法及特点,基于非压缩域的隐藏方法,基于时频域的隐藏方法,基于量化过程的隐藏方法,基于比特流的隐藏方法。,音频信息隐藏技术指标评价,鲁棒性（,robustness,）,隐藏容量（,capacity,）,不可感知性（,imperceptibility,）,不可检测性（,undetectability,）,2.2.3,文本信息隐藏技术,文本信息

29、隐藏一般方法,行间距编码,字间距编码,特征编码,新的隐藏方法,基于字符颜色的信息隐藏,基于字符缩放的信息隐藏,基于字符下划线标记的信息隐藏,项目小实践,密码学,对称密码基本加密,实验,2.LSB,图像信息隐藏实验,小结,密码学的基本定义,密码学算法,加解密实现过程,信息安全基础,第,3,章：病毒认识与防御,【,学习目标,】,1.,了解什么是计算机病毒，以及其特点,2.,掌握典型病毒的传播特点及危害,3.,了解和掌握常见病毒的防御技术,4.,掌握病毒防治工具的使用,3.1,病毒基础知识,3.1.1,病毒,概述,1.,病毒定义,计算机病毒（,Computer Virus,）在中华人民共和国计算机信

30、息系统安全保护条例中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,2.,感染策略,非常驻型病毒,常驻型病毒,3.,传播途径和宿主,病毒主要通过网络浏览以及下载，电子邮件以及可移动磁盘等途径迅速传播,4.,躲避侦测的方法,隐蔽,自修改,随机加密,多态,变形,3.1.2,病毒实现的关键技术,1.,自启动技术,2.,自我保护技术,3.1.3,典型病毒特点,主要特征详解,传播性,隐蔽性,感染性,潜伏性,可激发性,表现性,破坏性,病毒分类,木马,/,僵尸网络,蠕虫病毒,脚本病毒,文件型病毒,3.2,病毒的防御技术

31、,3.2.1,基于主机的病毒防御技术,基于主机的病毒防治策略主要有：,特征码匹配技术,权限控制技术,完整性验证技术,3.2.2,基于网络的病毒防御技术,基于网络的病毒检测技术主要有,异常检测,误用检测,3.3,病毒防治工具简介,1.,计算机网络病毒的防治,方法,基于,工作站的防治技术,软件,防治,防病毒,卡,在网络接口卡上安装防病病毒,芯片,基于服务器的防治,技术,加强计算机网络的,管理,建立,防杀结合、以防为主、以杀为辅、软硬互补、标本兼治,的最佳网络病毒安全模式,2.,常见病毒防治工具,360,安全卫士,360,杀毒,项目小实践,移动存储型病毒实验,流氓软件实验,木马攻击实验,习题,病毒基

32、本概念,病毒的特点,病毒的防治,信息安全基础,第,4,章：网络攻击与防御,【,学习目标,】,1.,了解网络威胁一般形式,2.,了解网络攻击的一般方法,3.,掌握常见网络攻击方式的防御,4.,掌握网络加固的一般方法,4.1,网络攻击概述,4.1.1,网络攻击概述,黑客（,Hacker,）,（,1,）“白帽子”是创新者,他们设计新系统、打破常规、精研技术、勇于创新。他们的口号是：“没有最好，只有更好”！他们的成就创作：,MS -Bill Gates,，,GNU -R.Stallman,和,Linux -Linus,。,（,2,）“灰帽子”是破解者,破解已有系统、发现问题,/,漏洞、突破极限,/,禁

33、制、展现自我。他们的口号是“计算机为人民服务”。他们的成就创作：漏洞发现,-Flashsky,，软件破解,-0 Day,，工具提供,Glacier,。,（,3,）“黑帽子”是破坏者,随意使用资源、恶意破坏、散播蠕虫病毒、商业间谍。他们的口号是：“人不为己，天诛地灭”。他们的成就创作：熊猫烧香，,ARP,病毒、入侵程序。,网络攻击概述,（,1,）网络攻击分类：,1,）主动攻击：包含攻击者访问所需要信息的故意行为。,2,）被动攻击。主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。,被动攻击包括：,窃听。包括键击记录、网络监听、非法访问数据、获取密码文件。,欺骗。包括获取口令

34、、恶意代码、网络欺骗。,拒绝服务。包括导致异常型、资源耗尽型、欺骗型。,数据驱动攻击：包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。,网络攻击一般方法,口令入侵,特洛伊木马,WWW,欺骗,网络监听,黑客软件,安全漏洞（,Bugs,）,端口扫描,4.1.2,网络攻击基本流程,针对系统或者网络进行的攻击过程通常包括,信息收集、,目标分析及定位,实施入侵,部署后门,清除痕迹,4.2,欺骗攻击原理,4.2.1 IP,地址欺骗,4.2.2 ARP,欺骗,4.2.3 DNS,欺骗,4.3,拒绝服务攻击,4.3.1,拒绝服务攻击原理,最常见的,DoS,攻击形式有,4,种：,1,

35、）带宽耗用（,bandwidth-consumption,）攻击，,2,）资源衰竭（,resource-starvation,）攻击，,3,）编程缺陷（,programming flaw,）是应用程序、操作系统在处理异常条件上的失败。,4,）,DNS,攻击是基于域名系统的攻击，,4.3.2 Flood,攻击,4.3.3 DDoS,攻击,4.4,密码破解,4.4.1,密码破解原理,攻击或破译的方法主要有三种：,穷举法,统计分析攻击,数学分析攻击。,密码破解的常见形式,破解网络密码暴力穷举,破解网络密码击键记录,破解网络密码屏幕记录,破解网络密码网络钓鱼,破解网络密码,Sniffer,（嗅探器）,

36、破解网络密码,Password Reminder,破解网络密码远程控制,破解网络密码不良习惯,破解网络密码分析推理,破解网络密码密码心理学,4.4.2,密码破解常用工具,4.5 Web,常见攻击介绍,4.5.1 SQL,注入攻击,SQL,注入攻击的总体思路是：,发现,SQL,注入位置,判断后台数据库类型,确定,XP_CMDSHELL,可执行情况,发现,WEB,虚拟目录,上传,ASP,木马,得到管理员权限；,4.5.2 Xss,跨站脚本攻击,项目小实践,ARP,地址欺骗攻击,本地系统密码破解,SQL,注入,小结,网络攻击危害,网络攻击常见形式,网络攻击实施一般步骤,信息安全基础,第,5,章,网络

37、设备安全技术,【,学习目标,】,了解防火墙、入侵检测、虚拟专用网、网络隔离和统一威胁管理系统的概念，知道相关产品的作用；,掌握防火墙、入侵检测、虚拟专用网等的关键技术；,了解相关网络安全的常见产品。,5.1,防火墙技术,5.1.1,防火墙概述,1,防火墙的基本概念,在现代计算机网络中，防火墙则是指一种协助确保信息安全的设施，其会依照特定的规则，允许或是禁止传输的数据通过。防火墙通常位于一个可信任的内部网络与一个不可信任的外界网络之间，用于保护内部网络免受非法用户的入侵。,防火墙的逻辑部署,图,5-1,防火墙的逻辑部署,5.1,防火墙技术,2,防火墙的功能,防火墙最基本的功能就是控制在计算机网络

38、中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。具体包括以下四个方面。,（,1,）防火墙是网络安全的屏障,（,2,）防火墙可以强化网络安全策略,（,3,）对网络存取和访问进行监控审计,（,4,）防止内部信息的外泄,5.1,防火墙技术,3,防火墙的局限性,虽然防火墙在网络安全部署中起到非常重要的作用，但它并不是万能的。下面总结了它的十个方面的缺陷。,（,1,）防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。,（,2,）防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，

39、不要求防火墙防内。,（,3,）防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。,（,4,）防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。,（,5,）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。,5.1,防火墙技术,（,5,）防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。,（,7,）防火墙不能防止受

40、病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。,（,8,）防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。,（,9,）防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。,（,10,）防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。,5.1,防火墙技术,5.1.2,防火墙技术概述,1,包过滤技术,包过滤技术是防火

41、墙最基本的实现技术，具有包过滤技术的装置是用来控制内、外网络数据流入和流出，包过滤技术的数据包大部分是基于,TCP/IP,协议平台的，对数据流的每个包进行检查，根据数据报的源地址、目的地址、,TCP,和,IP,的端口号，以及,TCP,的其他状态来确定是否允许数据包通过。,包过滤技术及其工作原理,表示层,会话层,网络层,数据链路层,物理层,传输层,应用层,表示层,会话层,网络层,数据链路层,物理层,传输层,应用层,表示层,会话层,网络层,数据链路层,物理层,传输层,非信任域 防火墙 信任域,应用层,网络层 网络层 网络层,包过滤技术及其工作原理,包过滤技术,包过滤技术的基础是,ACL,（,Acc

42、ess List Control,，访问控制列表），其作用是定义报文匹配规则。,ACL,可以限制网络流量、提高网络性能。在实施,ACL,的过程中，应遵循两个基本原则：最小特权原则：只给受控对象完成任务所必须的最小的权限；最靠近受控对象原则：所有的网络层访问权限控制。,5.1,防火墙技术,5.1.2,防火墙技术概述,2,应用网关技术,应用网关（,Application Gateway,）技术又被称为代理技术。它的逻辑位置在,OSI,七层协议的应用层上，所以主要采用协议代理服务（,Proxy Services,）。,应用网关（,Application Gateway,）技术,代理服务器可以解决诸如

43、,IP,地址耗尽、网络资源争用和网络安全等问题。下面从代理服务器的功能和代理服务器的原理两个方面介绍代理技术。,（,1,）代理服务器的功能,（,2,）代理服务器的原理,代理服务器的原理,访问控制列表,（,ACL,）,缓存,Cache,Internet,代理服务器,图,5-4 Web,代理的原理,代理服务器,代理服务器是接收和解释客户端连接并发起到服务器的新连接的网络节点，这意味着代理服务器必须满足以下条件：,第一：能够接收和解释客户端的请求；,第二：能够创建到服务器的新连接；,第三：能够接收服务器发来的响应；,第四：能够发出或解释服务器的响应并将该响应传回给客户端。,因此实现代理服务器必须同时

44、要实现服务器和客户端两端的功能。,5.1,防火墙技术,5.1.2,防火墙技术概述,3,状态检测技术,状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构名称的出现。状态检查技术原理如图,5-5,所示。,状态检查技术原理,图,5-5,状态检查技术原理,5.1,防火墙技术,5.1.2,防火墙技术概述,3,状态检测技术,传统的包过滤防火墙只是通过检测,IP,包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，

45、通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。,NAT,地址转换,图,5-5 NAT,地址转换,状态检查技术原理,图,5-5,状态检查技术原理,5.1,防火墙技术,4.,网络地址转换（,NAT,）技术,（,1,）,NAT,（网络地址转换）的定义,NAT,英文全称是,Network Address Translation,，称是网络地址转换，它是一个,IETF,标准，允许一个机构以一个地址出现在,Internet,上。,NAT,将每个局域网节点的地址转换成一个,IP,地址，反之亦然。,5.1,防火墙技术,4.,网络地址转换（,NAT,）技术,（,2,）,NAT,技术的基本原理和

46、类型,1,）,NAT,技术基本原理,NAT,技术能帮助解决令人头痛的,IP,地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过,NAT,把内部地址翻译成合法的,IP,地址在,Internet,上使用，其具体的做法是把,IP,包内的地址域用合法的,IP,地址来替换。,5.1,防火墙技术,2,）,NAT,技术的类型,（,2,）,NAT,技术的基本原理和类型,NAT,有三种类型：静态,NAT(Static NAT),、动态地址,NAT(Pooled NAT),、网络地址端口转换,NAPT,（,Port,Level NAT,）。,5.1,

47、防火墙技术,4.,网络地址转换（,NAT,）技术,（,3,）,NAT,的优点和缺点,NAT,的优点：,1,）宽带共享：,2,）安全防护,NAT,的缺点：,NAT,的局限性：,5.1,防火墙技术,5.1.3,防火墙的体系结构,1.,包过滤型防火墙,包过滤型防火墙也称包（分组）过滤型路由器，是最基本、最简单的一种防火墙，位于内部网络与外部网络之间。内部网络的所有出入都必须通过包过滤型路由器，包过滤型路由器审查每个数据包，根据过滤规则决定允许或拒绝数据包。,5.1,防火墙技术,5.1.3,防火墙的体系结构,包过滤型防火墙可以在一般的路由器上实现，也可以在基于主机的路由器上实现，其配置如图,5-7,所

48、示。,图,5-7,包过滤型防火墙的配置,包过滤型路由器的优点,（,1,）一个过滤路由器能协助保护整个网络。绝大多数,Internet,防火墙系统只用一个包过滤路由器；,（,2,）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；,（,3,）包过滤路由器对终端用户和应用程序是透明的。,包过滤型路由器的缺点,（,1,）定义包过滤器可能是一项复杂的工作。,（,2,）路由器信息包的吞吐量随过滤器数量的增加而减少。,（,3

49、,）不能彻底防止地址欺骗。,（,4,）一些应用协议不适合于数据包过滤。,（,5,）正常的数据包过滤路由器无法执行某些安全策略。,（,5,）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。,5.1,防火墙技术,5.1.3,防火墙的体系结构,2.,双宿主主机防火墙,这种防火墙系统由一种特殊的主机来实现，这台主机拥有两个不同的网络接口，一端接外部网络，另一端需要保护的内部网络，并运行代理服务器软件，故被称为双宿主主机防火墙，如图,5-8,所示。,双宿主主机防火墙,图,5-8,双宿

50、主主机防火墙,双宿主主机防火墙,双宿主主机防火墙的优点,双宿主主机防火墙的缺点,5.1,防火墙技术,5.1.3,防火墙的体系结构,3.,屏蔽主机防火墙,屏蔽主机防火墙由一台包过滤型路由器和一台堡垒主机组成，如图,5-9,所示。,图,5-9,屏蔽主机防火墙,5.1,防火墙技术,5.1.3,防火墙的体系结构,3.,屏蔽主机防火墙,（,1,）屏蔽主机网关防火墙的优点,（,2,）屏蔽主机网关防火墙的缺点,5.1,防火墙技术,5.1.3,防火墙的体系结构,4.,屏蔽子网防火墙,屏蔽子网防火墙是在屏蔽主机网关防火墙的配置上加上另一个包过滤型路由器，如图,5-10,所示,图,5-10,屏蔽子网防火墙（,DM