一.网络不安全的主要因素:1.互联网具有的不安全性 2.操作系统存在的安全问题3.数据的安全问题:数据的安全性、完整性、并发控制 4.传输线路的安全问题 5.网络安全管理问题:缺少安全管理人员,缺少安全管理的技术规范,缺少定期的安全测试与检查,缺少安全监控二.计算机网络安全:是通过采用各种技术和管理措施,保证在一个网络环境里,信息数据的机密性、完整性及可用性受到保护。
二.网络安全五大特征:完整性、保密性、可用性、可控性、可审查性三.网络安全的主要威胁: 1.木马2.黑客攻击3.后门,隐蔽通道4.计算机病毒5.信息丢失,篡改,销毁 6.逻辑炸弹7.蠕虫8.内部,外部泄密9.拒绝服务攻击(人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄漏或丢、破坏数据完整性)四.网络安全威胁类型:1.物理威胁:窃取、废物搜寻、间谍行为、假冒2.系统漏洞威胁:不安全服务、配置和初始化错误3.身份鉴别威胁:口令圈套、口令破解、算法考虑不周、编辑口令4线缆连接威胁:窃听、拨号进入、冒名顶替 5.有害程序威胁:病毒、逻辑炸弹、特洛伊木马、间谍软件五.安全策略:1.物理安全策略2.访问控制策略:目的:对要访问系统的用户进行识别,对访问权限进行必要的控制。
3.加密策略4.防火墙控制策略六.常用的网络安全管理技术及新技术: 1物理安全技术2 安全隔离 3 访问控制4 加密通道 5 入侵检测6 入侵保护7 安全扫描8 蜜罐技术9 物理隔离技术10 灾难恢复和备份技术11 上网行为管理12 统一威胁管理七.蜜罐技术: 1.定义:蜜罐是一种被侦听、被攻击或已经被入侵的资源目的:是使系统处于被侦听、被攻击状态 2.作用:蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动攻击技术。
3.分类:牺牲型蜜罐、外观型蜜罐、测量型蜜罐八.上网行为管理(EIM)和统一威胁管理(UTM)1.员工上网行为管理(Employee Internet Management,EIM)可以为政府监管部门、各行业信息主管部门及企业管理用户提供帮助,能有效平衡员工上网所带来的影响,在开放网络资源的同时,最大限度地保障网络资源不被滥用。
第一个阶段是IAC(访问控制);第二个阶段是IAM(访问管理)。
第三个阶段即EIM。
属于真正的上网行为管理阶段EIM功能:控制功能、监控与审计功能、报表分析功能、流量控制与带宽管理2. UTM包括了防火墙、入侵检测与防护(IDS/IPS)、网关防病毒等功能。
UTM功能:整合网络安全、降低技术复杂度、简化网络管理数据传输加密技术1)链路加密:不但要加密报文,还要加密报头。
要传输到下一个节点必须解密再加密,直到到达目的节点。
2)节点对节点加密:在传输中的节点设置一个加、解密保护装置完成密钥转换。
除保护装置外不出现明文。
3)端到端加密:在发送、接收端才加、解密,中间节点不解密数据加密算法经历了以下三个阶段:1)古典密码:2)对称密钥3)非对称秘钥算法1.替换加密:明文中每个字符被替换成密文中的另一个字符2.置换加密:按照某一规则重新排列字母的顺序,而不是隐藏它们。
3.一次一密:每个密钥仅对一个消息使用一次DES算法:明文输入(64位码)--->初始变换--->乘积变换--->逆初始变换--->输出密文(64位码)总结:是使用16轮操作的Feistel结构密码;分组长度为64位;使用56位的密钥;每一轮使用48位的子密钥,每一个子密钥都是由56位的密钥的子集组成的。
S盒为DES提供了最好的安全性。
1、加密:用公开密钥加密的数据(消息)只有使用相应的私有密钥才能解密的过程。
2、解密:使用私有密钥加密的数据(消息)也只有使用相应的公开密钥才能解密的过程。
4、RSA密钥算法的描述1)生成两个大素数p和q,计算n=p*q;2)计算z=(p-1)*(q-1),并找出一个与z互质的数e;3)利用欧拉函数计算出e的逆d,使其满足e*d mod(p-1)(q-1)=1,mod为模运算;4)公开密钥为:PK=(n, e),用于加密,可以公开出去。
5)秘密密钥为:SK=(n, d),用于解密,必须保密。
R S A加解密过程:1)加密过程:设m为要传送的明文,利用公开密钥(n, e)加密,c为加密后的密文。
则加密公式为:c= m^e mod n,(0≤c<n);2)解密过程:利用秘密密钥(n, d)解密。
则解密公式为:m= c^d mod n,(0≤m<n)。
RSA的缺点:1)密钥生成难2)安全性有欠缺3)速度太慢RSA签名和RSA加密的异同点相同点:都使用一对密钥:公钥和私钥不同点:RSA加密:用对方公钥加密,用自己私钥解密RSA签名:用自己私钥签名,用对方公钥验证报文鉴别:它使得通信的接收方能够验证所收到的报文真伪。
报文摘要(Message Digests)是单向的散列函数,它以变长的信息为输入,把其压缩成一个定长的值输出。
这种将任意长的报文映射为定长的消息摘要的函数叫Hash函数。
MD5算法简要的叙述为:md5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
公钥管理的方法:公开发布,公用目录表,公钥管理机构PKI (公钥基础设施)是硬件、软件、策略和人组成的系统,当完全并且正确的实施后,能够提供一整套的信息安全保障,这些保障对保护敏感的通信和交易是非常重要的。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下应用PKI提供的服务,从而实现网上传输数据的机密性、完整性、真实性和有效性。
普适性:只要遵循必要的原则,就能使用提供的服务。
安全服务:公钥密码的功能、密码的功能等。
PKI是一个完整系统:维持一个可靠的网络环境提供:非对称式加密算法、数字签名;可向许多不同类型的应用提供服务PKI意味着:密钥管理证书管理PKI作用:认证:采用数字签名技术,签名作用于相应的数据之上保密性:用公钥分发随机密钥,然后用随机密钥对数据加密不可否认:发送方的不可否认----- 数字签名其他:性能问题、使用方式问题等PKI系组成:认证中心CA(Certificate Authority)、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等1.CA是PKI的核心,它是数字证书的签发机构。
CA的功能有:证书发放、证书更新、证书撤销和证书验证。
CA的核心功能就是发放和管理数字证书。
CA主要由安全服务器、CA服务器、注册机构RA (负责证书申请受理审核)、数据库服务器、LDAP目录服务器等部分组成。
5.应用接口PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此,一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。
PKI关键技术:数字证书证书认证中心(CA)证书废除机制CA信任模式数字证书:一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据;一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件作用:网络通信的身份证明,解决相互间信任问题;用户公钥信息用于数据加密,保证数据保密性、用户身份的不可抵赖性证书的申请:在线申请,离线申请。
CA的功能:证书的申请证书的审批和颁发证书的更新证书的查询证书的注销证书的归档CA自身的管理CA信任模式:级联模式(层次信任模型)、网状模型(分布式信任模型)、桥接模式、Web信任模型授权管理基础设施(PMI)提供用户身份到应用授权的映射功能,PKI以公钥证书为基础,实现用户身份的统一管理;PMI以属性证书为基础,实现用户权限的统一管理。
PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理。
同PKI相比,两者主要区别在于PKI证明用户是谁,而PMI证明这个用户有什么权限、能干什么。
PMI需要PKI为其提供身份认证。
PMI组成:属性权威(AA)、属性证书(AC)、属性证书库.属性权威(AA)也称为“授权管理中心”或“属性权威机构”,是整个PMI系统的核心,它为不同的用户和机构进行属性证书(AC)创建、存储、签发和撤销,负责管理AC的整个生命周期。
传统的访问控制机制:自主访问控制(DAC)和强制访问控(MAC)。
1)自主访问控制(基于身份的访问控制)主要思想:系统的主体可以自主地将其拥有的对客体的访问权限授予其他主体,且这种授予具有可传递性。
特点:灵活性高,但授权管理复杂,安全性低。
2)强制访问控制(基于规则的访问控制)主要思想:将主体和客体分级,根据主体和客体的级别标识来决定访问控制。
特点:便于管理,但灵活性差,完整性方面控制不够。
3)基于角色的访问控制主要思想:根据用户在组织内的职称、职务及所属的业务部门等信息来定义用户拥有的角色。
特点:减少授权管理的复杂度,降低管理开销,提高访问控制的安全性,而且能够实现基于策略的授权管理和访问控制。
PMI系统中的基于角色的授权管理模式优势:(1)授权管理的灵活性。
(2)授权操作与业务操作相分离。
(3)多授权模型的灵活支持。
PKI与PMI关系:PKI负责公钥信息的管理,PKI负责权限的管理身份认证:身份的识别和验证,身份识别就是确定某一实体的身份,知道这个实体是谁;身份验证就是对声称是谁的声称者的身份进行或检验的过程。
身份认证的基本途径:基于所知道的(知识、口令、密码);基于所拥有的(身份证、信用卡、钥匙、智能卡、令牌等);基于个人特征(指纹,笔迹,声音,手型,脸型,视网膜,虹膜);双因素、多因素认证SSL安全套接层协议是一种在客户端和服务器端之间建立安全通道的协议,主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。
SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:(1) 秘密性(2) 完整性(3) 认证性SSL安全协议组成:SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。
SSL协议分为:(1)SSL握手协议:主要用来建立客户机与服务器之间的连接,并协商会话密钥。
(2)SSL记录协议:定义了数据的传输格式。
计算机病毒(Computer Virus),是一种具有自我复制能力的计算机程序,它不仅能破坏计算机系统,而且还能传播、感染到其他的系统,能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。
