信息與網(wǎng)絡(luò)安全技術(shù)導(dǎo)引 MSE安全攻防培訓(xùn)資料

wangdayong 信息與網(wǎng)絡(luò)安全技術(shù)導(dǎo)引 2 主要內(nèi)容 安全概念安全技術(shù)安全產(chǎn)品安全服務(wù) 安全概念 4 機(jī)密數(shù)據(jù)包括什么內(nèi)容 數(shù)據(jù)是怎樣產(chǎn)生 存儲和傳輸?shù)?網(wǎng)絡(luò)各部分是怎樣協(xié)同工作的 關(guān)聯(lián)性 依賴性 它是怎樣滿足每一項(xiàng)工作需要的 應(yīng)用 數(shù)據(jù) 網(wǎng)絡(luò)是怎樣增長的 建設(shè) 擴(kuò)展 網(wǎng)絡(luò)怎樣 平滑 地完成工作 什么樣的資源需要保護(hù) 什么是威脅 怎樣盡量減少風(fēng)險對于系統(tǒng)內(nèi)脆弱的威脅 什么是脆弱性 考察網(wǎng)絡(luò)安全的每一個細(xì)節(jié) 5 理解安全概念 安全 security 的定義是 防范潛在的危機(jī) 保險 safety 則稍有不同 它更側(cè)重于可得性和連續(xù)的操作 而真正的安全是關(guān)于網(wǎng)絡(luò)的每一個部分的 6 理解安全概念 AuthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity 安全策略管理 ConnectivityPerformanceEaseofUseManageabilityAvailability Access Security 7 Max Min Max 理解安全概念 8 Min Max 安全曲線 投資額 安全性 最優(yōu)平衡點(diǎn) 9 安全要素 完整性 Integrality 是指信息在存儲或傳輸時不被修改 破壞 或信息包的丟失 亂序等 信息的完整性是信息安全的基本要求 破壞信息的完整性是影響信息安全的常用手段 可靠性 Availability 是指信息的可信度 接收者能接收到完整正確的信息 以及發(fā)送者能正確地發(fā)送信息 可靠性也是信息安全性的基本要素 機(jī)密性 Confidentiality 它主要利用現(xiàn)代密碼技術(shù)對信息進(jìn)行加密處理 防止靜態(tài)信息的非授權(quán)訪問和動態(tài)信息的非法泄漏或被截取 從某種意義上說 加密是實(shí)現(xiàn)信息安全的有效而且必不可少的技術(shù)手段 可控性可審查性不可否認(rèn)性 10 安全實(shí)務(wù) 目標(biāo)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行保證網(wǎng)絡(luò)資源受控合法地使用方法安全法規(guī) 法律 政策技術(shù)方法 手段步驟信息安全工程的方法 11 通俗的安全 進(jìn)不來 使用訪問控制機(jī)制 阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò) 進(jìn)不來 拿不走 使用授權(quán)機(jī)制 實(shí)現(xiàn)對用戶的權(quán)限控制 即不該拿走的 拿不走 看不懂 使用加密機(jī)制 確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程 即 看不懂 改不了 使用數(shù)據(jù)完整性鑒別機(jī)制 保證只有得到允許的人才能修改數(shù)據(jù) 而其它人 改不了 走不脫 使用審計(jì) 監(jiān)控 防抵賴等安全機(jī)制 使得攻擊者 破壞者 抵賴者 走不脫 12 應(yīng)用層 應(yīng)用層 內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò) 內(nèi)部接口 外部接口 應(yīng)用層 應(yīng)用層 OSI七層參考模型 IPHDR DATA 13 ISO7498 2 信息安全體系結(jié)構(gòu) 訪問控制服務(wù) 鑒別服務(wù) 數(shù)據(jù)完整性服務(wù) 數(shù)據(jù)保密服務(wù) 信息流安全 數(shù)據(jù)源點(diǎn)鑒別 數(shù)字簽名機(jī)制 加密機(jī)制 數(shù)據(jù)完整性機(jī)制 訪問控制機(jī)制 交換鑒別機(jī)制 路由控制機(jī)制 流量填充機(jī)制 公證機(jī)制 OSI安全管理 14 ISO7498 2到TCP IP的映射 15 小結(jié) 保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行保證網(wǎng)絡(luò)資源受控合法地使用 PublicWWWServer CampusBackbone Hua TechFirewall IntranetServers Gateway SalesOffice Headquarters Internet Mainframe CSSSecure 安全技術(shù) 17 網(wǎng)絡(luò)安全的主要技術(shù) 密碼技術(shù)計(jì)算機(jī)病毒防治技術(shù)信息泄露防護(hù)技術(shù)鑒別 授權(quán)和身份認(rèn)證技術(shù)防火墻技術(shù)VPN安全網(wǎng)關(guān) 信息網(wǎng)關(guān)技術(shù)弱點(diǎn)漏洞分析 滲透式分析技術(shù)監(jiān)測 預(yù)警與響應(yīng)技術(shù)內(nèi)容安全技術(shù)應(yīng)用安全技術(shù)安全路由器系統(tǒng)安全技術(shù)數(shù)據(jù)庫安全技術(shù)物理隔離技術(shù)災(zāi)難恢復(fù)與備份技術(shù) 18 密碼技術(shù) 密碼技術(shù)信息安全的基礎(chǔ)信源 信道 信宿攻擊的種類 被動攻擊截取 Interception 偵聽 獲取消息內(nèi)容 流量分析被動攻擊中斷 Interruption 干擾 破壞可用性修改 Modification 破壞完整性偽造 Fabrication 破壞真實(shí)性角色 通信雙方 可信第三方 不可信第三方介質(zhì) 軟件 硬件 數(shù)據(jù) 19 病毒防治技術(shù) 病毒 是指能夠破壞計(jì)算機(jī)系統(tǒng) 影響計(jì)算機(jī)工作并能實(shí)現(xiàn)自我復(fù)制的一段程序或指令代碼 計(jì)算機(jī)病毒 網(wǎng)絡(luò)病毒病原體 病毒庫 是病毒防止技術(shù)的關(guān)鍵VirusVsTrojanHorse C S程序 傳播方式 介質(zhì) 下載 郵件 軟件 20 信息泄露防治技術(shù) 輻射線路竊聽帶寬的增加 威脅逐漸減少 21 鑒別 授權(quán)和身份認(rèn)證技術(shù) 鑒別用來驗(yàn)證系統(tǒng)實(shí)體和系統(tǒng)資源 如用戶 進(jìn)程 應(yīng)用 的身份 例如鑒別想訪問數(shù)據(jù)庫的人的身份 確定是誰發(fā)送了報(bào)文 防止有人假冒 授權(quán)是為完成某項(xiàng)任務(wù)而使用資源的權(quán)利 特權(quán) 許可證的證據(jù) 這種授權(quán)必須在系統(tǒng)資源的整個操作過程中始終如一地可靠地使用 還可對使用網(wǎng)絡(luò)服務(wù) 訪問一些數(shù)據(jù)的敏感部分 規(guī)定特殊的授權(quán)要求 身份認(rèn)證系統(tǒng)加強(qiáng)了原有的基于賬戶和口令的訪問控制 提供了授權(quán) 訪問控制 用戶身份識別 對等實(shí)體鑒別 抗抵賴等功能 OTP 一次一密的認(rèn)證機(jī)制動態(tài)口令 有基于時鐘的動態(tài)口令機(jī)制生物技術(shù) 生理特征的認(rèn)證機(jī)制 眼睛或手指IC卡 作為身份的秘密信息存儲在IC卡 22 AAA KerberosRADIUSTACACSMSLoginOTPPKI CertificatesCOPS DIAMETERDHCP DNSmappingLDAP 23 IdentifyServer 統(tǒng)一口令 規(guī)則 配置 內(nèi)部訪問 撥號訪問 Internet訪問 RADIUS TACACSMSLoginOTPPKI CertificatesCOPS DIAMETERDHCP DNSmappingLDAP 24 防火墻技術(shù) 防火墻是作為網(wǎng)絡(luò)安全的第一道防線 是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備 可以用于網(wǎng)絡(luò)用戶訪問控制 認(rèn)證服務(wù) 數(shù)據(jù)過濾等 安全區(qū)劃 安全級別 25 防火墻技術(shù)要點(diǎn) 包過濾 PacketFilter 地址轉(zhuǎn)換NAT 端口轉(zhuǎn)換PAT地址綁定 Mac 端口映射PMap 地址映射NMap地址過濾 內(nèi)容過濾 時間段控制應(yīng)用代理 傳輸代理日志 審計(jì) 響應(yīng) 日志處理VPN 入侵檢測 地址欺騙身份認(rèn)證 OTP流量管理 計(jì)費(fèi)管理 動態(tài)路由TCP IP IPX透明接入 非透明接入雙機(jī)冷備 雙機(jī)熱備 負(fù)載均衡本地管理 遠(yuǎn)程管理 集中管理 用戶分權(quán)界面 CLI GUI WEB 26 防火墻職責(zé) 防火墻應(yīng)該作什么 安全邊界訪問控制保護(hù)敏感的數(shù)據(jù)服務(wù)器機(jī)群 關(guān)鍵的應(yīng)用防火墻不用該作什么 深層次入侵檢測病毒過濾其他 27 防火墻技術(shù)發(fā)展趨勢 與IDS的連動 互動連動的風(fēng)險 利弊得失 28 弱點(diǎn)漏洞分析 滲透式分析技術(shù) 基于弱點(diǎn)漏洞的安全管理 風(fēng)險管理 入侵成功三要素機(jī)會 動機(jī) 機(jī)會黑客的機(jī)會 企業(yè)的風(fēng)險風(fēng)險 弱點(diǎn)漏洞 錯誤 不恰當(dāng) 配置 誤操作風(fēng)險識別風(fēng)險度量風(fēng)險控制風(fēng)險管理 29 BUGTRAQ CVE ISS BUGTRAQCVEISS 30 滲透式分析技術(shù) 零知識測試 黑盒測試 對目標(biāo)環(huán)境的信息毫無了解的前提下進(jìn)行測試 是提供盡可能現(xiàn)實(shí)的模擬測試 ProbingExploitingVulerabilityMappingIntruding 31 入侵檢測技術(shù) 基于網(wǎng)絡(luò)行為的安全管理 行為管理 防火墻技術(shù)的補(bǔ)充模式發(fā)現(xiàn)技術(shù)前提 所有入侵行為和手段 及其變種 都能夠表達(dá)為一種模式或特征關(guān)鍵 如何表達(dá)入侵的模式 把真正的入侵與正常行為區(qū)分開來局限 它只能發(fā)現(xiàn)已知的攻擊 對未知的攻擊無能為力異常發(fā)現(xiàn)技術(shù)前提 所有入侵行為都是與正常行為不同的關(guān)鍵 異常閥值與特征的選擇局限 并非所有的入侵都表現(xiàn)為異常 而且系統(tǒng)的軌跡難于計(jì)算和更新 32 入侵檢測技術(shù) 信息采集技術(shù)分片重組 Fragment 技術(shù)會話跟蹤技術(shù)解碼技術(shù)自定義規(guī)則 33 入侵檢測技術(shù) Honeypot Honeynet主動防御的主機(jī) 僚機(jī)網(wǎng)絡(luò)模型網(wǎng)絡(luò)攻擊的誘騙方法實(shí)時追蹤攻擊行為 快速查找定位攻擊源主機(jī)與僚機(jī)的動態(tài)自動切換僚機(jī)對攻擊來源的吸收與反擊模型自動癱瘓攻擊路徑 34 信息監(jiān)控與過濾技術(shù) 網(wǎng)絡(luò)作為媒體的網(wǎng)絡(luò) 它在輿論 道德和文化等層面威脅和損害國家利益 網(wǎng)絡(luò)作為一種信息通道和國家運(yùn)行管理環(huán)境 它為境外敵對勢力和間諜情報(bào)組織提供手段 從而威脅和損害國家利益 基于信息流的安全管理 內(nèi)容管理 信息挖掘技術(shù)信息過濾技術(shù)反路由技術(shù) 35 VPN技術(shù) 虛擬專用網(wǎng) VirutalPrivateNetwork VPN 技術(shù)指一種特殊的私有數(shù)據(jù)通信網(wǎng)絡(luò) 特殊之處在于VPN是建立在Internet等公共網(wǎng)絡(luò)上而非通過物理的專線連接而成 它通過一個安全私用的通道來將遠(yuǎn)程用戶 公司分支機(jī)構(gòu) 公司的業(yè)務(wù)伙伴等和公司的企業(yè)網(wǎng)連接起來 構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng) VPN采用了密碼學(xué)領(lǐng)域的成熟技術(shù)數(shù)據(jù)機(jī)密性 用加密來隱藏明文信息 防范竊聽者 數(shù)據(jù)完整性 證實(shí)數(shù)據(jù)報(bào)文在傳輸過程中未被修改過 數(shù)據(jù)源認(rèn)證 證實(shí)數(shù)據(jù)報(bào)文是所聲稱的發(fā)送者發(fā)出的 36 IPSec IPSec提供 數(shù)據(jù)驗(yàn)證數(shù)據(jù)機(jī)密性防止重播安全通道建立基于標(biāo)準(zhǔn)的Internet訪問 37 Encrypted IPHDR IPHDR DATA IPSecHDR DATA TransportMode IPHDR DATA IPSecHDR IPHDR NewIPHDR DATA TunnelMode Encrypted IPSecModes 38 安全路由器 提供了某些基于地址或服務(wù)的過濾機(jī)制 可以在一定程度上限制網(wǎng)絡(luò)訪問 具有防火墻的功能 帶信息加密的路由器 成對使用 39 安全操作系統(tǒng) 操作系統(tǒng)的安全是網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)級別定義 DOD橘皮書 A級 確定性保護(hù)B級 強(qiáng)制性保護(hù)C級 自主性保護(hù)D級 未經(jīng)安全評估 40 操作系統(tǒng)安全 操作系統(tǒng)安全是對安全級別較低的操作系統(tǒng)的一個安全增強(qiáng)或加固接管系統(tǒng)命令 系統(tǒng)調(diào)用Sec Shell接管ShellSSH 41 安全網(wǎng)關(guān) 面向信息的安全網(wǎng)關(guān)面向用戶的安全網(wǎng)關(guān)VPN 42 應(yīng)用安全技術(shù) 基于安全協(xié)議的應(yīng)用安全技術(shù)開發(fā)SSL SecuritySocketLayer SSL記錄協(xié)議 它涉及應(yīng)用程序提供的信息和分段 壓縮 數(shù)據(jù)認(rèn)證和加密 SSL握手協(xié)議 用來交換版本號 加密算法 相互 身份認(rèn)證并交換密鑰 SET SecurityElectricTralsate Visa Mastercard和微軟等聯(lián)手開發(fā) 規(guī)定了信用卡持卡人用其信用卡通過Internet進(jìn)行付費(fèi)的方法 后臺有一個證書頒發(fā)的基礎(chǔ)結(jié)構(gòu) 支持X 509證書 SHTTP SecurityHTTP 企業(yè)集成技術(shù)公司開發(fā) 文件級的安全機(jī)制 對多種單向散列 Hash 函數(shù)的支持 如