信息安全培训方案.docx
《信息安全培训方案.docx》由会员分享,可在线阅读,更多相关《信息安全培训方案.docx(62页珍藏版)》请在冰豆网上搜索。
信息安全培训方案
信息安全培训方案
息安全培训方案
二OO六年二月十四日
第一部分信息安全的基础知识
一、什么是信息安全
网络安全背景
与Internet有关的安全事件频繁显现
Internet差不多成为商务活动、通讯及协作的重要平台
Internet最初被设计为开放式网络
什么是安全?
安全的定义:
信息安全的定义:
为了防止XX就对知识、事实、数据或能力进行有用、滥用、修改或拒绝使用而采取的措施。
信息安全的组成:
信息安全是一个综合的解决方案,包括物理安全、通信安全、辐射安全、运算机安全、网络安全等。
信息安全专家的工作:
安全专家的工作确实是在开放式的网络环境中,确保识不并排除信息安全的威逼和缺陷。
安全是一个过程而不是指产品不能只依靠于一种类型的安全为组织的信息提供爱护,也不能只依靠于一种产品提供我们的运算机和网络系统所需要的所有安全性。
因为安全性所涵盖的范畴专门宽敞,包括:
防病毒软件;生物统计学;加密;
访咨询操纵;入侵检测;物理安全机制
防火墙;策略治理;
智能卡;脆弱点扫描;
百分百的安全神话
绝对的安全:
只要有连通性,就存在安全风险,没有绝对的安全。
相对的安全:
能够达到的某种安全水平是:
使得几乎所有最熟练的和最坚决的黑客不能登录你的系统,使黑客对你的公司的损害最小化。
安全的平稳:
一个关键的安全原则是使用有效的然而并可不能给那些想要真正猎取信息的合法用户增加负担的方案。
二、常见的攻击类型为了进一步讨论安全,你必须明白得你有可能遭遇到的攻击的类型,为了进一步防备黑客,你还要了解黑客所采纳的技术、工具及程序。
我们能够将常见的攻击类型分为四大类:
针对用户的攻击、针对应用程序的攻击、针对运算机的攻击和针对网络的攻击。
第一类:
针对用户的攻击
前门攻击
密码推测在那个类型的攻击中,一个黑客通过推测正确的密码,假装成一个合法的用户进入系统,因为一个黑客拥有一个合法用户的所有信息,他(她)就能够专门简单地从系统的“前门”正当地进入。
暴力和字典攻击
暴力攻击暴力攻击类似于前门攻击,因为一个黑客试图通过作为一个合法用户获得通过。
字典攻击一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范畴,强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。
Lab2-1:
使用LC4破解Windows系统口令,密码破解工具
Lab2-2:
OfficePasswordRecovery&WinZipPasswordRecovery病毒运算机病毒是一个被设计用来破坏网络设备的恶意程序。
社会工程和非直截了当攻击社交工程是使用计策和假情报去获得密码和其他敏锐信息,研究一个站点的策略其中之一确实是尽可能多的了解属于那个组织的个体,因此黑客持续试图查找更加精妙的方法从他们期望渗透的组织那儿获得信息。
打电话要求密码:
一个黑客冒充一个系统经理去打电话给一个公司,在讲明了他的帐号被意外锁定了后,他讲服公司的某位职员按照他的指示修改了治理员权限,然后黑客所需要做的确实是登录那台主机,这时他就拥有了所有治理员权限。
第二类:
针对应用程序的攻击
缓冲区溢出
目前最流行的一种应用程序类攻击确实是缓冲区溢出。
当目标操作系统收到了超过它设计时在某一时刻所能接收到的信息量时发生缓冲区溢出。
这种余外的数据将使程序的缓存溢出,然后覆盖了实际的程序数据,缓冲区溢出使得目标系统的程序自发的和远程的被修改,经常这种修改的结果是在系统上产生了一个后门。
邮件中继
目前互连网上的邮件服务器所受攻击有两类:
一类确实是中继利用(Relay),即远程机器通过你的服务器来发信,如此任何人都能够利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的专门多邮件服务器所
拒绝。
另一类攻击称为垃圾邮件(Spam),即人们常讲的邮件炸弹,是指在专门短时刻内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而显现瘫痪。
网页涂改
是一种针对Web服务器的网页内容进行非法篡改,以表达不同的观点或社会现象。
这种攻击通常损害的是网站的声誉。
(中国红客联盟)ngqin为ei
第三类:
针对运算机的攻击物理攻击许多公司和组织应用了复杂的安全软件,却因为主机没有加大物理安全而破坏了整体的系统安全。
通常,攻击者会通过物理进入你的系统等非Internet手段来开启Intern
et的安全漏洞。
增强物理安全的方法包括:
用密码锁取代一般锁;将服务器放到上锁的房间中;安装视频监视设备。
Lab2-5:
操作一个对Windows2000Server的物理攻击
特洛伊木马和RootKits任何差不多被修改成包含非法文件的文件叫做“特洛伊程序”。
特洛伊程序通常包含能打开端口进入RootShell或具有治理权限的命令行文件,他们能够隐藏自己的表现(无窗口),而将敏锐信息发回黑客并上载程序以进一步攻击系统及其安全。
Lab2-6:
遭受NetBus特洛伊木马感染
RootKits(附文档)
RootKits是多种UNIX系统的一个后门,它在操纵时期被引入,同时产生一个严峻的咨询题。
RootKits由一系列的程序构成,当这些程序被特洛伊木马取代了合法的程序时,这种取代提供给黑客再次进入的后门和专门的分析网络工具。
系统Bug和后门
Bug和后门
一个Bug是一个程序中的错误,它产生一个不注意的通道。
一个后门是一个在操作系统上或程序上未被记录的通道。
程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。
Internet蠕虫
Internet蠕虫是一种拒绝服务病毒,最近流行的红色代码也是类似的一种蠕虫病毒。
蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃,而没有其他的破坏。
第四类:
针对网络的攻击
拒绝服务攻击:
在一个拒绝服务攻击中,一个黑客阻止合法用户获得服务。
这些服务能够是网络连接,或者任何一个系统提供的服务。
分布式拒绝服务攻击DDOS:
(附文档)是指几个远程系统一起工作攻击一个远程主机,通常通过大量流量导致主机超过负载而崩溃。
哄骗:
(附文档)
哄骗和假装差不多上偷窃身份的形式,它是一台运算机仿照另一台机
器的能力。
特定的例子包括IP哄骗,ARP哄骗,路由器哄骗和DNS哄骗
信息泄漏:
几乎所有的网络后台运行程序在默认设置的情形下都泄漏了专门多的信息,组织结构必须决定如何最少化提供给公众的信息,哪些信息是必要的,哪些信息是不必要的。
需要米取措施爱护,不必要泄漏的信息:
DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息(如操作系统平台、版本等)。
劫持和中间人攻击:
中间人攻击是黑客妄图对一个网络的主机发送到另一台主机的包进行操作的攻击。
黑客在物理位置上位于两个被攻击的合法主机之间。
最常见的包括:
嗅探包:
以获得用户名和密码信息,任何以明文方式传送的信息都有可能被嗅探;
包捕捉和修改:
捕捉包修改后重新再发送;
包植入:
插入包到数据流;
连接劫持:
黑客接管两台通信主机中的一台,通常针对TCP会话。
但
专门难于实现。
Lab2-8:
网络包嗅探outlookExpress邮件账号口令
三、信息安全服务
安全服务
国际标准化组织(ISO)7498-2定义了几种安全服务:
服务
目标
验证
提供身份的过程
访咨询操纵
确定一个用户或服务可能用到什么样的系统资源,查看依旧改变
数据保密性
爱护数据不被未授权地暴露。
数据完整性
那个服务通过检查或爱护信息的一致性来防止主动的威逼
不可否定性
防止参与交易的全部或部分的抵赖。
安全机制
按照ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。
ISO把机制分成专门的和普遍的。
一个专门的安全机制是在同一时刻只对一种安全服务上实施一种技术或软件。
女口:
加密、数字签名等。
普遍的安全机制不局限于某些特定的层或级不,如:
信任功能、事件检测、审核跟踪、安全复原等。
四、网络安全体系结构
第二部分信息安全的实际解决方案
一、加密技术
加密系统
加密把容易读取的源文件变成加密文本,能够读取这种加密文本的方法是获得密钥(即把原先的源文件加密成加密文本的一串字符)。
加密技术通常分为三类:
对称加密:
使用一个字符串(密钥)去加密数据,同样的密钥用于加密和解密。
非对称加密:
使用一对密钥来加密数据。
这对密钥有关有关联,这对密钥一个用于加密,一个用于解密,反之亦然。
非对称加密的另外一个名字是公钥加密。
HASH加密:
更严格的讲它是一种算法,使用一个叫HASH函数的数
学方程式去加密数据。
理论上HASH函数把信息进行混杂,使得它不可能复原原状。
这种形式的加密将产生一个HASH值,那个值带有某种信息,同时具有一个长度固定的表示形式。
加密能做什么?
加密能实现四种服务:
数据保密性:
是使用加密最常见的缘故;
数据完整性:
数据保密对数据安全是不足够的,数据仍有可能在传输时被修改,依靠于
Hash函数能够验证数据是否被修改;
验证:
数字证书提供了一种验证服务,关心证明信息的发送者确实是宣称的其本人;
不可否定性:
数字证书承诺用户证明信息交换的实际发生,专门适用于财务组织的电子交易。
对称密钥加密系统
在对称加密或叫单密钥加密中,只有一个密钥用来加密和解密信息。
对称加密的好处确实是快速同时强壮。
对称加密的缺点是有关密钥的传播,所有的接收者和查看者都必须持有相同的密钥。
然而,如果用户要在公共介质上如互联网来传递信息,他需要通过一种方法来传递密钥。
一个解决方案确实是用非对称加密,我们将在本课的后面提到。
非对称密钥加密系统
非对称加密在加密的过程中使用一对密钥,一对密钥中一个用于加密,另一个用来解密。
这对密钥中一个密钥用来公用,另一个作为私有的密钥:
用来向外公布的叫做公钥,另一半需要安全爱护的是私钥。
非对称加密的一个缺点确实是加密的速度专门慢,因为需要强烈的数学运算程序
Hash加密和数字签名
HASH加密把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。
HASH加密用于不想对信息解密或读取。
使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。
数字签名
HASH加密另一种用途是签名文件。
签名过程中,在发送方用私钥加密哈希值从而提供签名验证,同意方在获得通过发送方的公钥解密得到的哈希值后,通过相同的单向加密算法处理数据用来获得自己的哈希值,然后比较这两个哈希值,如果相同,则讲明数据在传输过程中没有被改变。
加密系统算法的强度加密技术的强度受三个要紧因素阻碍:
算法强度、密钥的保密性、密钥的长度。
算法强度:
是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。
密钥的保密性:
算法不需要保密,但密钥必须进行保密。
密钥的长度:
密钥越长,数据的安全性越高。
应用加密的执行过程电子邮件加密发送者然后把那个会话密钥和信息进行一次单向加密得到一个HASH值。
那个值用来保证数据的完整性因为它在传输的过程中可不能被改变。
在这步通常使用MD2,MD4,MD5或SHA。
MD5用于SSL,而S/MIME默认使用SHA。
发送者用自己的私钥对那个HASH值加密。
通过使用发送者自己的私钥加密,接收者能够确定信息确实是从那个发送者发过来的。
加密后的HASH值我们称作信息摘要。
发送者用接收者的公钥对那个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。
这步提供了认证。
然后把加密后的信息和数字摘要发送给接收方。
解密的过程正好以相反的顺序执行。
Lab4-1:
利用Windows2000Server建立CA服务器
Lab4-2:
为电子邮件帐户申请证书
Lab4-3:
将用户证书导出到文件储存,并传播给需要的用户
Lab4-5:
实现安全的电子邮件通讯(邮件加密和签名)
Web服务器加密
SecureHTTP
SecureHTTP使用非对称加密爱护在线传输,但同时那个传输是使用对称密钥加密的。
大多的扫瞄器都支持那个协议,包括NetscapeNavigator和微软的InternetExplorer。
安全套接字层(SSL)
SSL协议承诺应用程序在公网上隐秘的交换数据,因此防止了窃听,破坏和信息伪造。
所有的扫瞄器都支持SSL,因此应用程序在使用它时不需要专门的代码。
Lab4-6:
为IISServer申请证书
在IIS中完成证书申请向导,生成证书申请文件;
利用证书申请文件在Web中申请IISServer证书,并下载证书到文件;在IIS中完成挂起证书申请
Lab4-7:
启用HTTP站点的SSL通道
^uriAur
谊问监椁器。
-
Lab4鬼:
实现ExchangeServer中POp3
二^
图示安全系统的逻辑结构
认证技术是信息安全理论与技术的一个重要方面。
身份认证是安全系统中的第一道关卡,如图1所示,用户在访咨询安全系统之前,第一通过身份认证系统识不身份,然后访咨询监控器按照用户的身份和授权数据库决定用户是否能够访咨询某个资源。
认证的方法
用户或系统能够通过四种方法来证明他们的身份:
Whatyouknow?
基于口令的认证方式是最常用的一种技术,但它存在严峻的安全咨询题。
它是一种单因素的认证,安全性仅依靠于口令,口令一旦泄露,用户即可被冒充。
Whatyouhave?
更加周密的认证系统,要求不仅要有通行卡而且要有密码认证。
如:
智能卡和数字证书的使用。
Whoyouare?
这种认证方式以人体惟一的、可靠的、稳固的生物特点(如指纹、虹膜、脸部、掌纹等)为依据,采纳运算机的强大功能和网络技术进行图像处理和模式识不。
Whereyouare?
最弱的身份验证形式,按照你的位置来决定你的身份。
如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户,主机或执行过程;反向DNS查询防止域名哄骗等。
特定的认证技术
几种常用于加大认证系统的技术,它们结合使用加密技术和额外策略来检查身份。
一次性口令认证:
(CHAP)
人们差不多发明了一种产生一次性口令的技术,称之为挑战/回答(ch
allenge/response。
种子:
决定于用户,一样在一台机器上,一个种子对应于一个用户,也确实是讲,种子在一个系统中应具有唯独性,这不是隐秘的而是公布的。
迭代值:
迭代值是持续变化的,而种子和通行短语是相对不变的,因此迭代值的作用确实是使口令发生变化。
当用户登录时,系统会向用户提出挑战,包括种子和迭代值,然后用户用得到的种子和迭代值再加上自己明白的通行短语运算出一个答复,并传送给系统,因为系统也明白那个通行短语,因此系统能够验证答复是否正确。
Kerberos认证技术
Kerberos提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户能够相互证明自己的身份。
Kerberos是一种被证明为专门安
全的双向身份认证技术,其身份认证强调了客户机对服务器的认证,Kerberos有效地防止了来自服务器端身份冒领的欺诈。
Kerberos采纳对称密钥体制对信息进行加密。
其差不多思想是:
能正确对信息进行解密的用户确实是合法用户。
用户在对应用服务器进行访咨询之前,必须先从第三方(Kerberos服务器)猎取该应用服务器的访咨询许可证(ticket)。
Kerberos密钥分配中心KDC(即Kerberos服务器)由认证服务器AS和许可证颁发服务器TGS构成。
Kerberos的认证过程如图所示
公钥认证体系(PKI)
X.509是定义名目服务建议X.500系列的一部分,其核心是建立存放每个用户的公钥证书的名目库。
用户公钥证书由可信任的CA创建,并由CA或用户存放于名目中。
若A想获得B的公钥,A先在名目中查找IDB,利用CA的公钥和hash算法验证B的公钥证书的完整性,从而判定公钥的是否正确。
明显X.509是一种基于证书的公钥认证机制,这种机制的实现必须要有可信任的CA的参与。
三、防火墙技术
防火墙的体系架构:
防火墙的进展从第一代的PC机软件,到工控机、PC-Box,再到MIPS架构。
第二代的NP、ASIC架构。
进展到第三代的专用安全处理芯片背板交换架构,以及“AllInOne”集成安全体系架构。
为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的进展。
目前,防火墙产品的三代体系架构要紧为:
第一代架构:
要紧是以单一CPU作为整个系统业务和治理的核心,CPU有x86、PowerPCMIPS等多类型,产品要紧表现形式是PC机、工控机、PC-Box或RISC-Box等;
第二代架构:
以NP或ASIC作为业务处理的要紧核心,对一样安全业务进行加速,嵌入式CPU为治理核心,产品要紧表现形式为Box等;
第三代架构:
ISS(IntegratedSecuritySystem)集成安全体系架构,
防火墙三代体系架构业务特性、性能对比分布图
HU
安全芯片防火墙体系架构框图
基于FDT指标的体系变革
衡量防火墙的性能指标要紧包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。
吞吐量和报文转发率是关系防火墙应用的要紧指标,一样采纳FDT(F
ullDuplexThroughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
FDT与端口容量的区不:
端口容量指物理端口的容量总和。
如果防火墙接了2个千兆端口,端口容量为2GB,但FDT可能只是200MB。
FDT与HDT的区不:
HDT指半双工吞吐量(HalfDuplexThroughput)o一个千兆口能够同时以1GB的速度收和发。
按FDT来讲,确实是1GB;按HDT来讲,确实是2GB。
有些防火墙的厂商所讲的吞吐量,往往是HDT。
一样来讲,即使有多个网络接口,防火墙的核心处理往往也只有一个
处理器完成,要么是CPU,要么是安全处理芯片或NP、ASIC等。
关于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标要紧由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。
关于不同的体系架构,其FDT适应的范畴是不一样的,如关于第一代单CPU体系架构其理论FDT为百兆级不,关于中高端的防火墙应用,必须采纳第二代或第三代ISS集成安全体系架构。
基于ISS机构的第三代安全体系架构,充分继承了大容量GSR路由器、交换机的架构特点,能够在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。
防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐步向不但能够满足高性能也需要支持更多业务能力的方向进展。
ISS集成安全体系
作为防火墙第三代体系架构,ISS按照企业以后关于高性能多业务安全的需求,集成安全体系架构,吸取了不同硬件架构的优势。
恒扬科技推出了自主研发的SempSecSempCrypt安全芯片和P4-MCPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS它能够提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特
性等各方面性能的同时,并可实现安全业务的全方面拓展。
国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙。
ISS架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功
能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户治理
认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。
ISS体系架构的要紧特点:
1.采纳结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,能够大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;
2.采纳高性能通用CPU作为设备的治理中心和上层业务拓展平台,能够平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;
3.采纳大容量交换背板承载大量的业务总线和治理通道,其中千兆Se
rdes业务总线和PCI治理通道物理分离,不仅业务层次划分清晰,便于治理,而且性能互不受限;
4.采纳电信级机架式设计,不管是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;
5•不仅达到了安全业务的高性能而且实现了“AllinOne”,站在客户角度解决了多业务、多设备的整合,幸免了单点设备故障和安全故障,大大降低了治理复杂度;
6.通过背板及线路接口单元LIU扩展可提供高密度的业务接口。
3.1防火墙简介
防火墙的定义
防火墙指的是位于可信网络(如内部网络)和不可信网络(如Internet)之间并对通过其间的网络流量进行检查的一台或多台运算机。
防火墙具有如下特性:
所有的通信都通过防火墙;防火墙只放行通过授权的流量;防火墙能经受得起对其本身的攻击。
防火墙的优势和弱点
防火墙的优势:
实施一个公司的整体安全策略
创建一个堵塞点(网络边界)记录Internet活动限制网络暴露
防火墙的弱点:
防火墙不能防范通过授权的东西。
防火墙只能按对其配置的规则进行有效的工作;防火墙对社交工程类型的攻击或一个授权的用户利用合法访咨询进行的恶意攻击不起作用;
防火墙不能修复脆弱的治理措施或设计有咨询题的安全策略;防火墙不能阻止那些不通过它的攻击。
3.2防火墙的分类:
软件类:
防火墙运行于通用操作系统如WindowsNT/2000、Linux/Unix上,它们通过修改系统的内核和TCP/IP协议栈来检测流量。
要想获得较高的安全性,就必须对操作系统进行加固、修补和爱护。
此类防火墙如:
运行于Linux/Unix、WindowsNT/2000平台上的CheckPointFirewall-1,Symantec企业防火墙,MicrosoftISA2000等。
硬件类防火墙:
硬件防火墙集成了操作系统和防火墙的功能,形成了一个整体牢固、功能专一的设备。
这种防火墙也提供了功能完善的治理接口。
硬件防火墙在使用时不需要做专门多主机加固的工作,不用再费心于重新配置和修补通用操作系统,而能够集中注意力构思防火墙规则,减少了操作和爱护的成本。
此类防火墙如:
国外的CiscoPIX、NetscreenSonicWall等,国内的:
清华同方,天融信,联想等
芯片级类防火墙:
芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC
芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
升级会员 