计算机安全员培训CD2PPT转Word.docx
《计算机安全员培训CD2PPT转Word.docx》由会员分享,可在线阅读,更多相关《计算机安全员培训CD2PPT转Word.docx(37页珍藏版)》请在冰豆网上搜索。
计算机安全员培训CD2PPT转Word
操作系统的安全隐患
操作系统的“后门”
用户账号问题
黑客的攻击
用户缺乏安全意识
Windows操作系统的安全机制
系统用户管理
应用安全的方式来使用Windows系统
Windows的安全中心
注册表安全
Windows系统用户管理
用户账号
通过用户名(账号)和密码来标志
不同的用户有不同的使用权限
用户组
用于对用户权限的分配管理
简化对用户的管理
用户组的管理
系统内置组
Administrators组
Backup0perators组
Users组
PowerUsers组
Guest组
NetworkConfigurationOperators组
RemoteDesktopusers组
Replicator组
HelpServiceGroup组
系统内置组介绍
Administrators组:
管理员组。
该组成员可以完全控制计算机,默认情况下,管理员组成员拥有所有的权限。
BackupOperators组:
备份操作员组。
该组成员的主要职责为备份和还原计算机上的文件,他们不关心计算机系统的文件的权限设置。
他们可以远程登录计算机和关闭计算机,但不能更改安全性设置。
系统内置组介绍
Guest组
来宾组。
默认情况下,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多。
NetworkConfigurationOperators组
此组中的成员主要的管理权限用来管理和维护网络功能的配置。
系统内置组介绍
RemoteDesktopusers组
此组中的成员被授予远程登录的权限。
Replicator组
完成域中的文件复制工作。
HelpServiceGroup组
为帮助和支持中心组成员。
用户组的管理特点
可以建立新的用户组
可以删除用户组
只是删除这个组本身,不会删除组中的帐户,但被删除的组是无法恢复的。
自主创建的组是可以删除的,但系统的内置组不能删除。
用户组可以改名或是禁用。
系统内置组介绍
Users组
具有基本的使用计算机的权限,默认权限不允许成员修改系统注册表设置、操作系统文件或程序文件。
该用户组成员通常不被允许运行旧版的应用程序,仅能运行已由Windows认证的程序。
可以创建本地组,但只能修改和设置自己创建的本地组。
Powerusers组
高级用户组,该组成员除了具有users组的权限,还可以运行Windows未经认证的应用程序,这样提供了向后的兼容性。
该组成员默认权限允许修改计算机的大部分设置。
用户账号
用户帐号:
在系统中用来表示使用者的一个标识。
用户账号被授予一定的权限。
帐号分为三类:
管理员(内置)、来宾帐号(内置)和授权用户帐号。
用户账号介绍
Administrator:
为系统管理员帐号,拥有最高的权限。
具有管理系统安全策略,创建、修改、删除用户和组,修改系统软件等高级权限。
可以改名,但永远不能被删除、禁用或从本地组中删除。
用户账号介绍
Guest账号:
来宾帐号,这是为那些临时访问系统而又没有用户帐号的使用者准备的。
缺省的来宾帐号不需要密码,默认情况下是禁止的,但也可以启用,出于安全原因,推荐用户禁用此帐号。
该帐号可以被改名,但不能被删除。
管理“组和账号”
用户组:
用户组的建立、修改、删除
用户组成员的管理
用户
用户的建立、修改、删除
用户的权限分配
用户账号介绍
授权用户帐号:
在系统中新建的用户帐号。
可以设置成为一个或多个组的成员,这样它门就继承了该组的权限。
可以删除、改名和禁用。
管理组
创建组、修改组、删除组
操作:
(1)单击“开始”一“控制面板”一“管理工具”一“计算机管理”,打开计算机管理窗口。
(2)鼠标右键单击目录树中的“组”,在弹出的菜单中选择“新建组…”。
(3)填写组名、组的描述,添加组的成员。
(4)单击[添加]按钮一[高级]按钮一[立即查找]按钮,之后在列表中选择加入组的对象,单击[确定]按钮。
管理账户
创建用户、修改用户、删除用户
创建用户:
(1)右键单击“用户”,在弹出的菜单中选择“新用户…”。
(2)填写用户名,设置密码等操作之后,单击[创建]按钮,新用户就创建成功。
为用户帐户指定用户组
(1)右键单击刚建立的用户名,选择属性。
(2)单击[添加]按钮——[高级]按钮——[立即查找]按钮,之后在列表中选择隶属的组,单击[确定]按钮。
操作系统的安全隐患
操作系统的“后门”
用户账号问题
黑客的攻击
用户缺乏安全意识
Windows系统用户管理
用户账号
通过用户名(账号)和密码来标志
不同的用户有不同的使用权限
用户组
用于对用户权限的分配管理
简化对用户的管理
Windows系统用户管理
用户账号
通过用户名(账号)和密码来标志
不同的用户有不同的使用权限
用户组
用于对用户权限的分配管理
简化对用户的管理
Windows操作系统的安全机制
系统用户管理
应用安全方式来使用Windows系统
Windows的安全中心
注册表安全
注册表的使用
注册表的概念和结构
注册表的操作
注册表的备份和恢复
注册表的概念和结构
概念:
注册表是windows的一个巨大的树状分层内部数据库,它记录了用户安装在计算机上的软件和每个程序相互关联的关系,记录了计算机的硬件配置,包括自动配置的即插即用设备和已有的各种设备。
特点:
注册表中存放着各种参数,直接控制windows的启动、硬件驱动程序的装载,以及一些windows应用程序的运行,从而在整个系统中起着核心作用。
注册表的概念和结构
主要包含内容:
软、硬件的有关配置和状态信息。
注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据。
联网计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述、状态和属性。
性能记录和其他底层的系统状态信息,以及其他相关的一些数据。
注册表的结构
注册表采用了“键”和“键值”来管理登录的数据
WindowsXP注册表由5个根键组成
HKEY_CLASSES_ROOT根键
HKEY_CURRENT_USER根键
HKEY_LOCAL_MACHINE根键
HKEY_USERS根键
HKEY_CURRENT_CONFIG根键
注册表根键的作用
1.HKEY_CLASSES_ROOT
说明:
该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等。
2.HKEY_CURRENT_USER
说明:
该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等。
注册表根键的作用
3.HKEY_LOCAL_MACHINE
说明:
该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息。
4.HKEY_USERS
说明:
该根键包括计算机的所有用户使用的配置数据,这些数据只有在用户登录系统时才能访问。
这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体。
5.HKEY_CURRENT_CONFIG
说明:
该根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的。
注册表的操作
打开注册表
编辑主键和键值
查找注册表的键
修改注册表
注册表的操作
修改注册表
以修改键盘的重复延迟为例来演示注册表的修改
打开注册表
找到”HKEY_CURRENT_USER\CONTROLPANEL\KEYBORD”
点击右侧窗口中“KEYBORDDELAY”的键,双击,即弹出窗口可以修改其键值。
注册表的操作
打开注册表
启动regedit。
注册表的操作
在注册表中查找某键
注册表的备份和恢复
Windows提供的备份程序备份、恢复
使用regedit进行备份、恢复
注册表的备份与恢复
使用regedit的导入、导出功能
启动regedit
选择“导出”进行备份
选择“导入”进行恢复
注册表的备份与恢复
注册表是系统的核心和灵魂,对注册表的一个不经意的错误修改都可能造成系统的破坏,因此对注册表做好备份工作十分重要。
当系统出现小的问题时,把备份的注册表文件重新导入注册表,就可恢复系统的正常运行。
加密技术
PKI技术
数据备份与恢复
防火墙
入侵检测系统
VPN网络安全技术基础
加密技术
密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。
用户在计算机网络信道上相互通信,其主要危险是被非法窃听。
对网络传输的报文进行数据加密,是一种很有效的反窃听手段。
密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。
信息机密性:
只有有权限的用户才可以对信息进行加密和解密。
信息完整性:
信息在存储或传输过程中保持不被修改数据是否被修改过。
身份认证:
鉴别通信双方的身份。
不可否认性:
保证用户不能否认发送或接收过一个特定的信息或做个某个操作。
加密技术
基本概念
明文:
信息的原始形式(Plaintext,记为P)。
密文:
明文经过加密后的形式(Ciphenext,记为C)。
加密:
由明文变成密文的过程称为加密(Enciphering,记为E),加密通常是由加密算法来实现。
解密:
由密文还原成明文的过程称为解密(Deciphering,记为D),解密通常是由解密算法来实现。
加密算法:
实现加密所遵循的规则。
解密算法:
实现解密所遵循的规则。
各种算法特点及简单应用
对称式加密技术和非对称式加密技术在使用过程中各有其优缺点,并且其优缺点是互补的,利用这点,通常两种加密技术台结合应用,实现信息通信过程的保密性。
“数字信封”技术。
数字信封的功能类似于普通信封。
普通信封在法律的约束下保证只有收信人才能阅读信的内容,数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
.
PKI的组件及功能
PKI作为一种密钥管理平台,能够为各种网络应用透明地提供密钥和数字证书管理。
PKI体系由认证中心(CA)、注册中心(RA)、存储库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口六大部分组成。
(1)认证机构(CertificationAuthority,CA):
证书的签发机构,它是PKI的核心,是PKI应用中权威的、可信任的公正的第三方机构。
认证中心作为一个可信任的机构,管理各个主体的公钥并对其进行公证,目的是证明主体的身份与其公钥的匹配关系。
认证中心的功能包括证书的分发、更新、查询、作废和归档等。
数字证书的使用
数字证书和其他加密算法结合使用可以实现的安全性能指标为:
(1)保密性:
双方的通信内容高度保密,第三方无从知晓。
(2)完整性:
通信的内容无法被篡改。
(3)身份认证:
收方通过发方的电子签名确认发方的确切身份,但无法伪造。
(4)不可否认性:
发方一旦将数字签名的信息发出,就不能再否认。
(5)甲用乙的公钥(PK)对K进行加密,将加密后的K连同密文一起传送给乙。
(6)乙收到甲传送来的密文和加过密的公共密钥K,先用自己的私钥(SK)对加密公共密钥K进行解密,得到K。
(7)乙然后用K对收到的密文进行解密,得到明文的数字信息。
(8)乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。
(9)乙用相同的HASH算法对收到的明文再进行一次HASH运算,得到一个新的信息摘要。
(10)乙将收到的信息摘要和新产生的信息摘要进行比较.如果一致,说明收到的信息没有被修改过。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:
发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
数据故障的形式
(1)由于系统或电器物理损坏导致文件、数据的丢失;
(2)人为的错误删除一个文件或格式化一个磁盘等;
(3)黑客侵入计算机系统,破坏计算机系统;
(4)病毒感染计算机,甚至损坏计算机数据;
(5)火灾、洪水或地震等自然灾难毁坏计算机系统;
(6)由于瞬间过载电功率或磁场等外界因素造成计算机系统中数据损坏。
常用的备份方法
硬件级备份
硬件级备份一般采用的技术分为磁盘镜像、磁盘双工、磁盘阵列和双机热备份。
软件级备份
软件级备份可分为对整个系统进行备份、对定制文件和文件夹备份和只对系统状态数据备份。
加密技术
密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。
用户在计算机网络信道上相互通信,其主要危险是被非法窃听。
对网络传输的报文进行数据加密,是一种很有效的反窃听手段。
密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。
数字签名技术
数字签名可以做到以下3点:
1、接受者能够核实发送者对信息的签名;
2、发送者不能抵赖对信息的签名;
3、接受者不能伪造对信息的签名。
现已有多种实现各种数字签名的方法,可以使用对称式加密算法或哈西算法,也可以使用非对称式加密算法,采用非对称式加密算法要比采用其他加密算法更容易实现。
基本概念
密钥:
为了有效地控制加密和解密算法的实现,在其处理过程中要有通信双方单程的专门信息参与加密和解密操作,这种专门信息称为密钥(Key,记为K)。
对称式加密算法:
加密密钥和解密密钥相同或者可以由其中一个推知另一个,通常把参与加密、解密过程的相同的密钥叫做公共密钥,用K来表示。
代表性的对称式加密算法有DES(数学加密标准),IDEA(国际数据加密算法),Rijndael,AES,RC4算法等。
非对称式加密算法:
加密和解密使用不同的密钥,每个用户拥有一对密钥,其中的一个作为公开密钥,用PK来表示,公钥是公开的,任何人都可以获得,另一个就用来作为私钥,用SK来表示,私钥是保密的,只有密钥对的拥有者独自知道。
在使用过程中一个用来加密,另一个一定能够进行解密。
典型的非对称式加密算法有RSA、DSA(数字签名算法)、Diffie一Hellman、ECC(椭圆曲线加密算法)等。
哈希算法,也称为单向散列函数、杂凑函数、HASH算法。
它通过一个单向数学函数,将任意长度的一块数据转换为一个定长的、不可逆转的数据。
这段数据通常叫做信息摘要,其实现过程通常称为压缩。
典型的哈希算法有MD5、SHA、HMAC和GOST等。
例如:
任何信息经过MD5压缩之后都生成128位的信息摘要,经过SHA压缩之后都生成160位信息摘要。
各种算法特点及简单应用
对称式加密算法算法简单,加密速度很快,但在信息通信之前需要通过一个安全的通道交换密钥,对公共密钥进行协商,才能实现信息加密传输,具有安全的协商密钥较困难的问题。
非对称式加密算法多是基于数学难题问题,算法复杂,加密速度较慢,与同等安全强度的对称算法相比,一般慢三个数量级,但是它的优点是通信双方不必事先约定密钥就可以进行安全通信。
数字签名技术
书信或文件是通过亲笔签名或印章来达到法律上的真实、有效,并且可以核实。
但随着网络的发展,人们可以在网上进行交易,在交易中怎么确保可信,这就需要在网络中实现传统的文件签名和盖章所能达到的效果,这就是数字签名所要解决的问题。
PKI技术(PublicKeyInfrastructure,PKI)•公开密钥体系,是提供公钥加密和数字签名服务的系统或平台,目的是通过自动管理密钥和证书,为用户建立一个安全的网络运行环境,通过发放和维护数字证书来建立一套信用网络,在同一网络中的用户通过申请到的数字证书来完成身份认证和安全处理。
PKI是由数字证书、证书颁发机构(CA)以及对电子交易所涉及的各方的合法性进行检验的注册机构组成,从广义上讲,所有提供公钥加密和数字签名服务的系统,都叫做PKI系统。
数字证书
数字证书:
即互联网通讯中标志通讯各方身份信息的一系列数据,它提供了一种在Internet上验证用户身份的方式。
数字证书由一个权威机构—CA机构,又称为证书授权(CertificateAuthority)中心发行。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从原理上来讲,就是一个可信的第三方实体对另一个实体的一系列信息进行签名得到一个数字文档,证书用户可以通过这个可信第三方签发的证书来证明另一实体的身份。
证书中信息由三部分组成:
实体的一系列信息,签名加密算法和一个数字签名。
其中实体的信息主要包括三方面的内容:
证书所有者的信息、证书所有者的公开密钥和证书颁发机构的信息。
PKI的组件及功能
加密技术
PKI技术
数据备份与恢复
防火墙
入侵检测系统
VPN网络安全技术基础
加密技术
密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。
用户在计算机网络信道上相互通信,其主要危险是被非法窃听。
对网络传输的报文进行数据加密,是一种很有效的反窃听手段。
密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。
信息机密性:
只有有权限的用户才可以对信息进行加密和解密。
信息完整性:
信息在存储或传输过程中保持不被修改数据是否被修改过。
身份认证:
鉴别通信双方的身份。
不可否认性:
保证用户不能否认发送或接收过一个特定的信息或做个某个操作。
加密技术
基本概念
明文:
信息的原始形式(Plaintext,记为P)。
密文:
明文经过加密后的形式(Ciphenext,记为C)。
加密:
由明文变成密文的过程称为加密(Enciphering,记为E),加密通常是由加密算法来实现。
解密:
由密文还原成明文的过程称为解密(Deciphering,记为D),解密通常是由解密算法来实现。
加密算法:
实现加密所遵循的规则。
解密算法:
实现解密所遵循的规则。
各种算法特点及简单应用
对称式加密技术和非对称式加密技术在使用过程中各有其优缺点,并且其优缺点是互补的,利用这点,通常两种加密技术台结合应用,实现信息通信过程的保密性。
“数字信封”技术。
数字信封的功能类似于普通信封。
普通信封在法律的约束下保证只有收信人才能阅读信的内容,数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
.
数字证书的使用
数字证书和其他加密算法结合使用可以实现的安全性能指标为:
(1)保密性:
双方的通信内容高度保密,第三方无从知晓。
(2)完整性:
通信的内容无法被篡改。
(3)身份认证:
收方通过发方的电子签名确认发方的确切身份,但无法伪造。
(4)不可否认性:
发方一旦将数字签名的信息发出,就不能再否认。
(5)甲用乙的公钥(PK)对K进行加密,将加密后的K连同密文一起传送给乙。
(6)乙收到甲传送来的密文和加过密的公共密钥K,先用自己的私钥(SK)对加密公共密钥K进行解密,得到K。
(7)乙然后用K对收到的密文进行解密,得到明文的数字信息。
(8)乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。
(9)乙用相同的HASH算法对收到的明文再进行一次HASH运算,得到一个新的信息摘要。
(10)乙将收到的信息摘要和新产生的信息摘要进行比较.如果一致,说明收到的信息没有被修改过。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:
发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
数据故障的形式
(1)由于系统或电器物理损坏导致文件、数据的丢失;
(2)人为的错误删除一个文件或格式化一个磁盘等;
(3)黑客侵入计算机系统,破坏计算机系统;
(4)病毒感染计算机,甚至损坏计算机数据;
(5)火灾、洪水或地震等自然灾难毁坏计算机系统;
(6)由于瞬间过载电功率或磁场等外界因素造成计算机系统中数据损坏。
常用的备份方法
硬件级备份
硬件级备份一般采用的技术分为磁盘镜像、磁盘双工、磁盘阵列和双机热备份。
软件级备份
软件级备份可分为对整个系统进行备份、对定制文件和文件夹备份和只对系统状态数据备份。
加密技术
密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,是保护信息安全的主要技术手段之一。
用户在计算机网络信道上相互通信,其主要危险是被非法窃听。
对网络传输的报文进行数据加密,是一种很有效的反窃听手段。
密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。
数字签名技术
数字签名可以做到以下3点:
1、接受者能够核实发送者对信息的签名;
2、发送者不能抵赖对信息的签名;
3、接受者不能伪造对信息的签名。
现已有多种实现各种数字签名的方法,可以使用对称式加密算法或哈西算法,也可以使用非对称式加密算法,采用非对称式加密算法要比采用其他加密算法更容易实现。
基本概念
密钥:
为了有效地控制加密和解密算法的实现,在其处理过程中要有通信双方单程的专门信息参与加密和解密操作,这种专门信息称为密钥(Key,记为K)。
对称式加密算法:
加密密钥和解密密钥相同或者可以由其中一个推知另一个,通常把参与加密、解密过程的相同的密钥叫做公共密钥,用K来表示。
代表性的对称式加密算法有DES(数学加密标准),IDEA(国际数据加密算法),Rijndael,AES,RC4算法等。
非对称式加密算法:
加密和解密使用不同的密钥,每个用户拥有一对密钥,其中的一个作为公开密钥,用PK来表示,公钥是公开的,任何人都可以获得,另一个就用来作为私钥,用SK来表示,私钥是保密的,只有密钥对的拥有者独自知道。
在使用过程中一个用来加密,另一个一定能够进行解密。
典型的非对称式加密算法有RSA、DSA(数字签名算法)、Diffie一Hellman、ECC(椭圆曲线加密算法)等。
哈希算法,也称为单向散列函数、杂凑函数、HASH算法。
它通过一个单向数学函数,将任意长度的一块数据转换为一个定长的、不可逆转的数据。
这段数据通常叫做信息摘要,其实现过程通常称为压缩。
典型的哈希算法有MD5、SHA、HMAC和GOST等。
例如:
任何信息经过MD5压缩之后都生成128位的信息摘要,经过SH
升级会员 