PPT内容
这是一个关于信息安全与黑客技术ppt,主要介绍软件破解、网络赚钱、网络安全。欢迎点击下载哦。
信息安全与黑客技术
张 锦 奕
13959119539
fjagri@pub1.fz.fj.cn
MSN:china_jinyi@hotmail.com
自 我 介 绍
90年毕业于福建农学院农学系,毕业后在农业厅粮油处从事水稻种植技术推广及计算机农业应用工作。94年开始专门从事计算机和信息技术工作。曾兼职于福建科华信息技术公司、省有线电视台、省电子音像出版社,从事计算机硬件网络技术及多媒体程序设计等工作。高级工程师,清华大学计算机工程硕士,数字福建专家组成员,福建省电子商务协会专家组成员,全国计算机农业应用学会理事,国家科技部国家前瞻技术研究组专家,福州软件协会理事。
个 人 经 历
软件破解
网络赚钱
网络安全
如何学好信息安全与黑客技术
计算机和网络是基础
实践是关键,反复练习体会
还要有很好的耐心,要学会战胜自己
同时最好也要学好英语
一定要学会自学,学会利用网络和图书馆查找有关资料,找一个志同道合的朋友共同研究探讨效果更好。
不要去攻击他人网站,因为那是违法行为。
推荐一篇小说
“我是一名黑客”
这是一篇关于黑客技术小说,也是一篇很好的黑客入门教材。不管是从文笔还是黑客技术都写得很好,建议同学们阅读。
推荐一本书
《黑客攻防实战入门》
本书从“攻”、“防”两个不同的角度,通过现实中的入侵实例,并结合作者的心得体会,图文并茂地再现了网络入侵与防御的全过程。本书共分6章,系统地介绍了入侵的全部过程,以及相应的防御措施和方法。其中包括信息的搜集、基于认证的入侵及防御、基于漏洞的入侵及防御、基于木马的入侵及防御、入侵中的隐藏技术、入侵后的留后门以及清脚印技术。本书用图解的方式对每一个入侵步骤都进行了详细的分析,以推测入侵者的入侵目的;对入侵过程中常见的问题进行了必要的说明与解答;并对一些常见的入侵手段进行了比较与分析,以方便读者了解入侵者常用的方式、方法,保卫网络安全。 本书适合于网络技术爱好者、网络系统管理员阅读,及可作为相关专业学生的学习资料和参考资料。
又推荐一本书
《黑客攻防实战详解》
本书是《黑客攻防实战入门》的姊妹篇,从“攻”、“防”两个不同的角度,通过现实中的入侵实例,并结合作者的心得体会,图文并茂地再现了网络入侵与防御的全过程。本书共分3篇共11章,系统地介绍了入侵的全部过程,以及相应的防御措施和方法。其中包括信息的搜集、基于认证的入侵及防御、基于漏洞的入侵及防御、基于木马的入侵及防御、入侵中的隐藏技术、入侵后的留后门以及清脚印技术。本书用图解的方式对每一个入侵步骤都进行了详细的分析,以推测入侵者的入侵目的;对入侵过程中常见的问题进行了必要的说明与解答;并对一些常见的入侵手段进行了比较与分析,以方便读者了解入侵者常用的方式、方法,保卫网络安全。 本书适合于网络技术爱好者、网络系统管理员阅读,及可作为相关专业学生的学习资料和参考资料。
推荐一个黑客网站
有没有好的黑客教程网站
有关黑客的网站很多,现在推荐
推荐大家 黑白网络
推荐一个软件
VMWare 虚拟机软件
使用虚拟机的好处
使用虚拟机的好处很多,但对我们来说,使用虚拟机有:
如果要在一台电脑上装多个操作系统,不用虚拟机的话,有两个办法:一是装多个硬盘,每个硬盘装一个操作系统。这个方法比较昂贵。二是在一个硬盘上装多个操作系统。这个方法不够安全,因为硬盘MBR是操作系统的必争之地,搞不好会几个操作系统同归于尽。而使用虚拟机软件既省钱又安全,对想学linux和unix的朋友来说很方便。 虚拟机可以在一台机器上同时运行几个操作系统,是黑客学习的的必备工具。有了虚拟机,我们就可以在家里只需要一台电脑就可以模拟出一个多操作系统的网络,进行各种黑客技术学习。利用虚拟机还可以进行各种软件测试。
Vmware workstation 简介
Vmware 公司出品的虚拟机主要有:Vmware Workstation ,Vmware Server,Vmware Esx Server和Vmware Gsx Server,不同的应用环境可选用不同的软件。
VMware workstation是VMware公司设计的专业虚拟机,可以虚拟现有任何操作系统,而且使用简单,容易上手。要知道所有微软员工的机器上都装有一套正版的VMware,足见它在这方面的权威。
Vmware workstation 5.5 支持的主机操作系统
Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Service Pack 1 (Listed versions are also supported with no service pack.)
Windows XP Professional and Windows XP Home Edition Service Pack 1 or 2
Windows 2000 Professional Service Pack 3 or 4, Windows 2000 Server Service Pack 3 or 4, Windows 2000 Advanced Server Service Pack 3 or 4
Vmware 的硬件要求
主要是内存,越大越好,最好是512M或1G以上。
下面看具体操作
如何构建自己的网络实验环境
使用虚拟机技术使一台电脑变成一个网络,这样就可以自己扫描自己,自己攻击自己了。
虚拟机软件可以在一台电脑上模拟出来若干台PC,每台PC可以运行单独的操作系统而互不干扰,可以实现一台电脑“同时”运行几个操作系统,还可以将这几个操作系统连成一个网络。 如在一台电脑上安装了Win2000 server,再在Win2000 server上安装虚拟机软件VMWare,利用VMWare模拟出来3台PC,在这3台PC上分别运行RedHat7.2、Win98和Solaris 8 for x86操作系统。包括Win2000在内,这4个操作系统同时在一台电脑上运行,互不干扰,并且同在一个局域网内。
第一章 信息安全现状
系统漏洞与黑客攻击的发展趋势
信息安全的影响
信息安全战略
Internet 技术的飞速增长
我们身边的信息化
相关信息
EarthLink和Webroot Software公司扫描100多台万联网电脑之后得到研究结果:平均每台联网PC机上运行着28个间谍软件,超过30%的PC机上发现了特洛伊木马。在发现的2900万个间谍程序中,除大部分的无害 “广告软件”外,还有300,000个间谍软件能够盗窃个人资料,或者获得无授权的电脑访问。
相关信息
向对方发送100万封垃圾邮件:50英镑;
在上网用户的浏览器上弹出广告:200英镑;
攻击网站:8000至1.2万英镑…… 。
这是某个网络犯罪集团在网上放出的一份黑客服务报价单,他们通过互联网从事勒索、诈骗和恐吓等各种破坏活动。有关专家认为,这个利润丰厚的非法产业正在飞速扩张。
安全问题日益增加
系统漏洞的发展趋势
黑客攻击的发展趋势
黑客攻击的发展趋势
黑客与病毒的融合趋势
信息安全——政治
信息化和互联网的发展,使得计算机网络已经形成了一个新的思想文化阵地和思想政治斗争的战场。
非法组织在网上组党结社,进行秘密联络。互连网成为他们互相秘密联络的很重要的途径。
信息安全——经济
国家信息化程度越高,国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。
我国计算机犯罪的增长速度远远超过了传统的犯罪,近几年涉及的金额达十几亿:
信息安全——社会
互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中谣言要大的多。
99年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,挤提现金十个亿。
互连网上色情、赌博等不健康信息和行为给社会带来了极大的负面影响。
信息安全——信息战
“谁掌握了信息,控制了网络,谁将拥有整个世界。” ——美国“著名未来学家”阿尔温 托尔勒
“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。” ——美国总统克林顿
“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。因此,要把我国的信息安全问题放在全球战略考虑” ——中国工程院院士 何德全
安全人才需求
国家重点科研项目的需求
专业安全产品公司的需求
应用行业的管理、应用和维护的需求
对网络信息安全人才的需求在今后几年内将超过100万,但专业的网络与信息安全机构在国内却屈指可数;
网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明,网络信息安全人才必将成为信息时代最热门的抢手人才。
课程内容
信息安全现状
网络基础
入侵方法分析
安全概念和体系
安全技术简介
第二章 网络基础
计算机网络的体系和参考模型
TCP/IP
计算机网络体系结构
网络体系结构概述
计算机网络的结构可以从网络体系结构、网络组织和网络配置等三个方面来描述。
网络体系结构是分层结构,它是网络各层及其协议的集合。其实质是将大量的、各类型的协议合理地组织起来,并按功能的先后顺序进行的逻辑分割。
网络体系结构的模型
OSI参考模型
TCP/IP参考模型
TCP/IP参考模型
TCP/IP参考模型中的各层含义
网络接口层:对应于OSI参考模型的下两层,要求可以支持IP协议即可,没有详细的定义。
网络层:对应于OSI的网络层,有效地解决异种网络的互连问题。网络层的设计思想是高效简洁,提供不可靠的无连接服务,尽力传递。典型协议是IP。
传输层:对应OSI的传输层,在源和目的主机之间提供端到端的连接,典型协议是TCP。
应用层:对应于OSI的高三层,包含面向网络用户的大量协议实现。例如:Telnet, FTP, SMTP, HTTP, SNMP, DNS等。
TCP/IP提供的三种服务
应用服务:FTP、TELNET
可靠传输服务:TCP
无连接包服务:UDP、IP
IP协议
将数据包由源端发送到目的端的无连接服务
数据包在传输中有可能丢失
数据包的差错检测和恢复都由传输层协议TCP来完成
数据是以报文(DATAGRAM)为单位传送的
IP网络中的地址
选择了适合于机器表示的数值来标识I P网络和主机。因此I n t e r n e t中的每一个网络具有自己独一无二的数值地址—它的网络地址。网络管理人员要确信网络中的每一台主机有与之对应的惟一的主机编号。
I P的现有版本I P v 4,使用3 2位的二进制地址,每个地址组织成由点分隔的8位数,每个8位数称为8位位组,二进制数表示对机器很友好,但却不易被用户所理解。因此要提供更直观的使用十进制表示的地址。如福建电信的DNS的地址为:202.101.98.55。
子网掩码是可用点-十进制数格式表示的3 2位二进制数,掩码告诉网络中的端系统(包括路由器和其他主机) I P地址的多少位用于识别网络和子网。这些位被称为扩展的网络前缀。剩下的位标识子网内的主机,掩码中用于标识网络号的位置为1,主机位置为0。如255.255.255.0是C类子网掩码,该网段最多可有255台主机。
保留IP
只有三个网络地址范围保留为内部网络使用。企业多采用NAT技术访问互联网。网这三个范围分别包括在I P v 4的A、B、C类地址内,它们是:
1 0 . 0 . 0 . 0 - 1 0 . 2 5 5 . 2 5 5 . 2 5 5
1 7 2 . 1 6 . 0 . 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5
1 9 2 . 1 6 8 . 0 . 0 - 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5
DNS:名字服务器
使用名字的原因是名字比数字更容易记忆。负责把域名翻译成IP的服务器即是DNS名字服务器。
常用的根域名有:
.cn 代表中国
.com代表公司
.gov代表政府
.edu 代表 教育部门
.org 代表非赢利机构
.net 代表网络公司
.hk 代表香港
地址发现协议DHCP
D H C P是为大量客户机提供快速、方便、有效地分配I P的方法,网络管理人员定义一个I P范围,以使D H C P把它们自动分配给网络客户机。无需访问每台工作站手工输入所有细节的情况下完成动态配置。
在一些情况下,手工配置地址更可靠。一些管理员仍然创建一些详细的桌面清单,并把它们放在机器上或机器附近以便于手工分配I P地址,配置网关、子网掩码及D N S的I P地址但这种方法相当费时且容易出错或丢失信息。
DHCP如何工作
1) 客户机通过D h c p D i s c o v e r广播提出请求。如果客户机有一个永久性的租用地址,它可以直接请求那个地址。
2) 服务器一旦收到I P请求,会从地址池中取出一个地址并返回一个附有可用I P地址的D h c p O ff e r报文。
3) 如果客户机收到多个I P,它会选择第一个或其所请求的那一个。
4) 客户机广播标识服务器的D h c p R e q u e s t报文并等待。
5) 每一个服务器检查报文,若发现不是它的标识,它会丢弃报文。当被标识的服务器接收了报文后,它会发回一个D h c p A c k报文,如果所请求的I P被分配也就是说租用已中止,会发回D h c p N a k报文。
6) 如果客户机收到D h c p A c k报文,它可以开始使用I P地址。如果它收到D h c p N a k,它会重新开始整个过程。假如I P有问题,客户机会发送一个D h c p D e c l i n e报文给服务器并重新开始。
IP协议家族
• IP—网际层协议。
• TCP—可靠的主机到主机层协议。
• UDP—尽力转发的主机到主机层协议。
• ICMP—在I P网络内为控制、测试、管理功能而设计的多层协议(ping)。
文件传输协议FTP
大多数站点都使用We b在服务器间传送文件,文件传输协议F T P和T F T P已不如过去那么流行。尽管如此,FTP的网站还是非常多。
文件传输对于在T C P / I P网络不同系统间传输文件至关重要。T C P / I P使用文件传输协议( F T P )和普通文件传输协议( T F T P )作为T C P / I P网络发送文件的重要方式。
使用T C P传输文件的F T P需要打开两个端口:端口2 0为数据端口,端口2 1为控制端口。数据端口传输文件,控制端口用于传输命令和消息。
T F T P使用U D P传输文件,它仅需要端口6 9。T F T P远比F T P简单,其功能也较F T P少。
T F T P通常用于路由器管理访问列表和配置信息。它也用于无盘工作站的启动。
FTP的用户名和密码是通过明文传输的。
Internet Email协议
互联网最初用于方便科学家与政府技术人员间的通信。是通信的终极目标。自从互联之日起,它就孕育了电子邮件传输机制。目前,电子邮件完成大部分数据传输工作。
简单邮件传输协议(S M T P )是电子邮件的互联网标准。S M T P是应用层协议,通过T C P / I P网络处理消息服务。S M T P使用T C P端口2 5。标准S M T P的主要缺陷是不支持非文本消息。
邮局协议(POP3)P O P允许本地邮件U A连接M TA并将邮件取回到用户本地系统,用户也在本地机上阅读和响应消息。POP3通过T C P / I P与服务器连接(使用端口11 0 )。经过认证后, U A可通过P O P 3命令
取回或删除邮件。P O P 3仅仅是接收协议。POP3 使用S M T P向服务器发送邮件。
POP3和SMTP也是通过明文传输用户名和密码。
HTTP: World Wide Web 服务
We b无疑是INTERNET上最成功的应用,几乎现在的所有INTERNET应用都与WEB有关。
h t t p协议使We b服务器和浏览器可以通过We b交换数据。它是一种请求/响应协议,即服务器等待并响应客户方请求。H T T P不维护与客户方的连接,它使用可靠的T C P连接,通常采用TCP 80端口。客户/服务器传输过程可分为四个基一步骤: 1) 浏览器与服务器建立连接; 2) 浏览器向服务器请求文档; 3) 服务器响应浏览器请求; 4) 断开连接。
超文本标记语言HTML是所有浏览器都可以理解的标准语言。它是一组标明We b页面内容的标记组成。H T M L与平台无关,因此,可以高效地从一个计算机环境传输到另一个计算机环境。这些特性使H T M L成为We b中最通用的语言。
课程内容
信息安全现状
网络基础
入侵方法分析
安全概念和体系
安全技术简介
第三章 入侵方法分析
常用攻击技术分析
攻击模型
网络层的弱点
超过1000个TCP/IP服务安全漏洞:
Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet, Rlogin等.
错误的路由配置
TCP/IP中不健全的安全连接检查机制
缺省路由帐户
反向服务攻击
针对网络层攻击方式
操作系统的安全隐患
1000个以上的商用操作系统安全漏洞
没有及时添加安全补丁
病毒程序的传播
文件/用户权限设置错误
默认安装的不安全设置
缺省用户的权限和密码口令
用户设置过于简单密码
特洛依木马
针对操作系统的攻击
应用程序服务的攻击弱点
Web 服务器:
错误的Web目录结构
CGI脚本缺陷
Web服务器应用程序缺陷
未索引的Web页
数据库:
危险的数据库读取删除操作
路由器:
源端口/源路由
其他应用程序:
Oracle、 SAP缺省帐户
有缺陷的浏览器
针对应用服务的攻击
网络安全威胁的来源
外部渗入
未被授权使用计算机的人;
内部渗入
被授权使用计算机,但不能访问某些数据、程序或资源,它包括:
冒名顶替:使用别人的用户名和口令进行操作;
隐蔽用户:逃避审计和访问控制的用户;
滥用职权者
被授权使用计算机和访问系统资源,但滥用职权者。
不安全因素的来源定位
常用攻击技术分析
网络入侵技术分类
利用弱口令入侵
利用弱口令入侵操作系统
操作系统口令破解
Unix口令 通常限制在8位以内,56位密钥加密
john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh
NT口令 通常限制在14位以内
口令安全使用原则
数据库弱密码入侵
默认安装的SQL Server的管理员Sa的密码为空,如果管理员没有修改过Sa密码,黑客可以远程连接上数据库。
如果黑客连接到了SQL Server,那么可以使用XP_cmdshell过程执行本地命令。
如果连接的帐号不是数据库管理员身份,那么可以通过SQL Server漏洞进行越权处理。
数据库弱密码入侵实例
利用漏洞入侵
操作系统漏洞
设备漏洞
应用软件漏洞
数据库漏洞
IIS、CGI等漏洞
网络协议自身漏洞
……
利用IIS漏洞入侵实例
SQL Injection入侵
Structured Query Language
影响平台
使用网站系统:Apache、IIS、Domino、Netscape
使用程序:ASP、PHP、JSP
可被破坏数据库:MS-SQL、MySQL、Oracle、Sybase、DB2
利用SQL Injection入侵实例
用户名:任意
密码: a’or’1’=’1
缓冲区/堆栈溢出技术
缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里,一旦该容器放满了,余下的部分就溢出在柜台和地板上,弄得一团糟,必须有人去清理。
。
缓冲区/堆栈溢出技术
如果计算机程序的编码没有对缓冲区做适当的检查,看它们是否能完全装入新的数据内容,结果就可能造成缓冲区溢出的产生。
入侵者用精心编写的入侵代码使缓冲区溢出,并将被调用的过程的返回地址覆盖为入侵者所希望运行的那段代码的地址,这样当该过程返回时,程序就开始执行入侵者设定的代码了。
存在缓冲区溢出的服务
Unix操作系统环境下典型案例
Wu-FTPD
Sendmail
Apache httpd
MS Windows环境下典型案例
IIS
第三方服务程序
网络监听技术
窃听器原理
局域网中的广播式通信
窃听器作用
监视网络状态、数据流动;
监听传输信息;
截获用户的口令。
常用端口
ftp 21
http 80
pop3 110
telnet 23
IP 地址欺骗入侵
IP 地址欺骗入侵
IP 地址欺骗入侵
DoS/DDoS攻击
DoS(Denial of Service)
拒绝服务攻击
2. DDoS(Distributed Denial of Service)
分布式拒绝服务攻击
常见DoS工具
DDoS攻击体系结构
DDoS攻击示意图
DDoS攻击示意步骤1
DDoS攻击示意步骤2
DDoS攻击示意步骤3
DDoS攻击示意步骤4
DDoS攻击示意步骤5
DDoS攻击示意步骤6
DDoS攻击效果
由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。
2000年2月,美国几个著名的商业网站(例如Yahoo、eBay、CNN、Amazon、buy.com等)遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。
这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。
DDoS攻击的预防
确保主机不被入侵且是安全的;
周期性审核系统;
检查文件完整性;
优化路由和网络结构;
优化对外开放访问的主机;
在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。
其它入侵技术
利用Email
Email炸弹
传播木马、病毒
利用聊天室、聊天程序
利用浏览器
利用社会工程
3.3攻击模型
攻击身份和位置隐藏
目标系统信息收集
弱点信息挖掘分析
攻击行为隐蔽
攻击实施
开辟后门
删除攻击痕迹
攻击身份和位置隐藏
IP地址欺骗
自由代理服务器
MAC地址盗用
Telnet 跳转
盗用他人网络用户
目标系统信息收集
确定攻击目标
利用WWW站点列表
搜索引擎
网段扫描
利用工具收集信息
Ping、Finger、Whois、Nslookup
利用软件收集信息
端口扫描
漏洞扫描
弱点信息挖掘分析
应用服务软件漏洞
通信协议漏洞
网络业务系统漏洞
程序安全缺陷
操作系统漏洞
网络安全产品的漏洞
客户软件的漏洞
攻击行为隐蔽
进程隐藏
文件隐藏
网络隐蔽通道
攻击实施
拒绝服务攻击
修改或删除重要数据
敏感数据
删除或增加用户账号
修改数据记录
开辟后门
文件系统后门
密码破解后门
服务后门
通信后门
删除攻击痕迹
UNIX的LOG文件
WINDOWS的日志
WWW服务的日志
FW和IDS的审计
第四章安全概念和体系
安全的概念
信息安全的定义
安全的层次结构
4.1 安全涉及的因素
网络安全
信息安全
信息安全的定义
ISO信息安全的定义
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
信息安全的含义
信息安全的三个基本方面
保密性 Confidentiality
防止静态信息被非授权访问和防止动态信息被截取解密的特性。
完整性 Integrity
信息未经授权不能进行改变的特性。
可用性 Availability
信息可被授权实体访问并按需求使用的特性。
文化安全
物理安全
4.2 安全是个连续的过程
课程内容
信息安全现状
网络基础
入侵方法分析
安全概念和体系
安全技术简介
第五章 安全技术简介
加密技术
认证技术
防火墙
入侵检测
VPN
物理隔离
安全评估
其他安全技术
5.1 加密技术
密码学基础
包括密码编码学和密码分析学
基本概念
明文:具有明确含义且不用解密便可理解的文本或信号。
加密:将明文经过加密密钥和加密函数转换,变成无意义的密文。
密文:经过密码系统把明文变换后得到的不可懂的形式。
密钥:密码学中,一系列控制加密、解密操作的符号。
解密:用适当密钥,将密文转换为明文。
加密技术
明文用M(消息)或P(明文)表示,密文用C表示。加密函数E(M)=C;
解密函数D(C)=M;
D(E(M))=M
加密技术
经典密码算法
替换技术(代换密码法)
置换技术(转换密码法)
现代密码算法
对称密码算法
非对称密码算法
对称加密算法
对称加密算法的特点
性能:
速度快
密钥管理:
共享密钥
不适用于大用户量的应用
常用于:
快速的加密 / 解密
加密算法:
DES、3-DES、 SSF33、 IDEA、AES、RC2、RC4
对称加密算法的弱点
密钥无法管理
安全共享密钥
每对通信者都需要一对不同的密钥,N个人通信就需要N!的密钥
不可能和与你不曾谋面的人通信
非对称加密算法_公开密钥算法
用户甲拥有两个对应的密钥
用其中一个加密,只有另一个能够解密,两者一一对应
用户甲将其中一个私下保存(私钥),另一个公开发布(公钥)
如果乙想送秘密信息给甲
乙获得甲的公钥
乙使用该公钥加密信息发送给甲
甲使用自己的私钥解密信息
非对称加密算法
非对称加密算法的特点
性能:
效率较慢 – 不适用于 大量的数据加密
密钥管理:
公钥可以公开、分布式存放
常用于:
加密
数字签名
密钥交换
加密算法:
RSA、ECC、 Diffie-Hellman、 DSA
非对称加密算法的弱点
速度慢、资源占用明显
不适合做大数据量数据加密处理
最佳的解决方案__组合密码技术
使用对称加密算法进行大批量的数据加密,每次产生一个新的随机密钥
使用非对称加密算法传递随机产生的密钥
组合密码技术
5.2 身份认证
身份认证的过程
身份证实(Identity Verification)
“你是否是你所声称的你?”
身份识别(Identity Recognition)
“我是否知道你是谁?”
身份认证的方式
固定口令
动态口令
生物特征识别
数字证书
数字证书
数字证书(Digital ID),又叫“数字身份证”、“网络身份证”,是由认证中心( Certification Authority, CA)发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
数字证书的格式一般采用X.509国际标准。
CA 是一个可信的第三方,来确认公钥拥有者的真正身份,签发并管理用户的数字证书。
什么是数字证书?
5.3 防火墙
防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。
防火墙的基本功能
数据包过滤(Packet Filtering)
网络地址转换(Network Address Translation)
应用级代理(Proxy Service)
身份认证(Authentication)
虚拟专用网(Virtual Private Network
防火墙与OSI模型
防火墙部署
5.4 入侵检测系统
入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了重要的作用。
入侵检测系统
工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
使用方式:作为防火墙后的第二道防线。
入侵检测的信息收集
系统和网络日志文件
目录和文件中的不期望的改变
程序执行中的不期望行为
入侵检测的分类
检测方法的分类
基于用户行为概率统计模型
基于专家系统
基于神经网络
基于模型推理
实现方式的分类
基于主机的IDS
基于网络的IDS
入侵检测工具举例
入侵检测工具举例
IDS的发展方向—IPS
IPS是一种主动的、积极的入侵防范、阻止系统,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。
它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
举一个简单的例子,IDS就如同火灾预警装置,火灾发生时,它会自动报警,但无法阻止火灾的蔓延,必须要有人来操作进行灭火。
IPS就像智能灭火装置,当它发现有火灾发生后,会主动采取措施灭火,中间不需要人的干预。
5.5 VPN
VPN联网方式
虚拟的网:即没有固定的物理连接,网络只有用户需要时才建立;
利用公众网络设施构成。
VPN基本原理
协商VPN隧道
对需要传输的数据包进行加密以确保安全
封装成IP包形式,通过隧道在网上传输
VPN的功能
加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露
信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份
提供访问控制,不同的用户有不同的访问权限
VPN的特点
VPN的适用范围
远程位置众多
用户/站点分布广、距离远
带宽和时延要求相对适中
对线路保密性和可用性有一定要求
VPN不适用范围
非常重视传输数据的安全性(专线+网络加密机)
性能第一位,价格第二位
采用不常见协议,不能在IP隧道中传输
大多数通信是实时通信的应用(语音/视频)
VPN企业应用模型
隧道协议——IPSec
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性
由IP认证头AH、IP安全载荷封载ESP和密钥管理协议组成
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,提供所有在网络层上的数据保护,提供透明的安全通信
两种模式:隧道模式+传输模式
隧道协议——SSL VPN
SSL是一种在Web(HTTP)和TCP/IP之间提供数据连接安全性的协议
所谓的安全连接(握手+传输)有两个作用
SSL通过数字证书的技术认证对方的身份标识
由加密技术实现安全传输
在互联网上访问某些网站时也许你会注意到在浏览器窗口的下方会显示一个锁的小图标。这个小锁表示什么意思呢?它表示该网页被SSL保护。
SSL VPN的特点
优点
无需安装客户端软件,管理简单方便
适用于大多数设备和操作系统(Web,标准浏览器)
良好的安全性
细粒度的的安全控制
可以绕过防火墙和代理服务器进行访问
不足
依赖因特网
只能为访问资源提供有限的安全保障
5.6 物理(网络)隔离
网络隔离技术是在需要交换信息的情况下,实现网络的隔离。其的思路是在必须保证安全的前提下,尽可能互联互通。
网络隔离的技术原理,就是断开TCP/IP的OSI数据模型的所有七层,从而消除目前TCP/IP网络存在的攻击。
网络隔离的技术路线有三种:网络开关、实时交换和单向连接。
物理隔离实现技术
网络开关:在一个系统里安装两套虚拟系统和一个数据系统,数据被写入到一个虚拟系统,然后交换到数据系统,再交换到另一个虚拟系统。这种系统只适合于简单的文件交换,没有复杂的应用。
实时交换:在两个系统之间,共用一个交换设备,交换设备连接到网络A,得到数据,然后交换到网络B。这种系统适合于实时应用系统。
单向连接:早期指数据向一个方向移动,一般指从安全性高的网络向安全性低的网络移动。这种系统只适合于数据单向迁移。
网闸技术
网闸的主要原理是由各自独立的系统分别连接安全和非安全的网络,两套系统之间是一个网闸装置,分时连接两套系统中的数据通路进行数据交换。
采用多主机结构设计和专用硬件切断TCP/IP协议通讯,形成网络间的隔离。
不接受任何未知来源的主动请求,通过主动请求和专用API接口的方式读取和发送应用数据。
隔断了从物理层到应用层所有网络层次的协议通信,为特定应用建立和维护一个专用数据交换机制,无需针对新出现的安全威胁进行监控和更新。
安全隔离与防火墙的对比
防火墙
单主机
无专用数据交换硬件
允许TCP会话
允许外到内
不能防止未知攻击
高性能
对应用透明
5.7 安全评估系统
安全评估系统工作原理
安全评估系统分类
基于网络的安全评估产品
对关键网络及设备进行安全评估
基于主机的安全评估产品
对关键主机进行安全评估
专用安全评估产品
如数据库安全评估产品
5.8 其他安全技术
备份技术
归档与存储技术
容错技术
访问控制技术
VLAN技术
备份技术
现有的备份手段
磁盘镜像
磁盘阵列
双机容错
数据复制
备份的划分
数据备份
系统备份
归档技术
归档的概念
就是将数据复制或打包以便进行长时间保存,并为以后的数据分析利用提供检索。
归档的方法
文件管理软件
压缩归档
备份系统归档
大容量存储设备
存储技术
分级存储管理(HSM)
是一个系统在线备份解决方案,利用硬盘、光盘和磁带进行三层存储管理。
存储区域网络(SAN)
采用分布式结构,实现集中存储。构建虚拟存储池,实现资源共享。
容错技术
容错的思想
利用外加资源的冗余技术来掩蔽故障的影响,使系统自动地恢复或者安全停机。
容错系统的实现办法
空闲备件
负载平衡
镜像
复现
冗余系统配件
存储系统的冗余
VLAN技术
VLAN在逻辑上等于广播域,使一组最终用户的集合。
VLAN技术
VLAN的划分
根据端口定义
根据MAC地址定义
根据网络协议或者网络层地址定义
根据IP广播组定义
VLAN的标准
802.10 VLAN
802.1Q
VLAN技术
VLAN的优势
减少因网络成员变化所带来的开销
可组建虚拟工作组
减少了路由器的使用
增强网络安全性
谢 谢! (责任编辑:admin) |