第二章网络安全知识之.ppt

1、 第二章第二章 网络安全技术网络安全技术教学目标教学目标:通过本章的学习,能使大家详细了解对网络各种安全问题的认识和解决办法,为电子商务网络方面提供安全保障。重难点知识重难点知识:1:网络安全的概念，主要目的（了解）2:主机安全技术的实现（熟悉）3:计算机病毒特征和防范（掌握）4:VPN的工作原理，功能，主要技术及组建（熟悉）5:防火墙技术的基本知识及配置（掌握）6:网络常见的攻击方式（熟悉）从广义上说指网络系统的硬件,软件及其数据受到保护,不因偶然的或恶意的意愿而遭到破坏,更改,泄露,使系统连续可靠的运行,网络不中断服务。本质上讲就是网上信息安全,包括静态存储安全和动态传输安全.凡是涉及到网

2、上信息保密性,完整性,可用性,可控性技术都是网络安全.保密性：保密性：就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性：完整性：就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性：可用性：就是保证信息及信息系统确实为授权使用者所用。可控性：可控性：就是对信息及信息系统实施安全监控。任务一：网络安全的概念任务一：网络安全的概念网络安全的主要目的：网络安全的主要目的：网络安全工作的目的就是为了在安全网络安全工作的目的就是为了在安全法律法律，法规法规的的支持和指导下支持和指导下采用合适的采用合适的安全技术安全技术和和管理措施管理措施来完成以下任务：来完成以下任务：1)进不来：可以使

3、用访问控制机制，阻止非授权用户进入网络可以使用访问控制机制，阻止非授权用户进入网络2)拿不走：使用授权机制，实现对用户的权限控制，即不该拿走的拿不走使用授权机制，实现对用户的权限控制，即不该拿走的拿不走3)看不懂：使用加密机制，确保信息不暴露给未授权的实体，从而实现信息使用加密机制，确保信息不暴露给未授权的实体，从而实现信息的保密性。的保密性。4)改不了：使用数据完整性鉴别机制，保证只有得到允许的人才能修改据。使用数据完整性鉴别机制，保证只有得到允许的人才能修改据。5)走不脱：使用审记、监控等安全机制，对行为进行实时跟踪和记录，一旦使用审记、监控等安全机制，对行为进行实时跟踪和记录，一旦发现攻

4、击，提供调查依据和手段。发现攻击，提供调查依据和手段。网络安全的主要技术网络安全的主要技术2、病毒防范技术1、主机安全防范技术3、防火墙技术：5、VPN技术4、加密，身份认证技术任务二：主机安全的实现任务二：主机安全的实现1、物理安全：1）环境安全2）设备安全3）媒体安全2、操作系统安全操作系统安全配置方案内容提要操作系统概述安全配置初级篇安全配置中级篇安全配置高级篇安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS

5、分区运行防毒软件和确保备份盘安全。物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。停止Guest帐号在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图7-1所示。限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设

6、置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT/2003主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。多个管理员帐号虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Admini

7、strator登录的次数和时间。案例1得到管理员密码用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来。使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名。权限提升有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。案例2普通用户建立管理员帐号利用Hacker帐户登

8、录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口。3.暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂

9、的时间了。字典文件一次字典攻击能否成功，很大因素上决定与字典文件。一个一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。高破解效率。暴力破解操作系统密码字典文件为暴力破解

10、提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示暴力破解软件密码目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。修改权限密码在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“999”。输入密码保存并关闭该文档，然后再打开，就需要输入密码了，如图所示。破解Word文档密码该密码是三位的，使用工具软件，AdvancedOfficeXPPasswordRecovery

11、可以快速破解Word文档密码。破解Word文档密码点击工具栏按钮“OpenFile”，打开刚才建立的Word文档，程序打开成功后会在LogWindow中显示成功打开的消息。破解Word文档密码设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了，如图5-16所示。管理员帐号改名Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具

12、体操作的时候只要选中帐户名改名就可以了，如图所示。陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图所示。更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Ever

13、yone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。屏幕保护密码设

14、置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图所示。如何破解屏幕密码NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。在XP的开始-程序-命令提示符输入convertc:/fs:ntfs中的C:是转换C:盘，要转换其他的盘把C:换了就行了，转换后，就转不会来了，除非PQ防毒软件Windows2000/NT服务器一般都没

15、有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上，这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁操作系统安全策略利用Wi

16、ndows2003的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。关闭不必要的服务Windows2003的TerminalServices（终端服务）和IIS（Internet信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows2003作为服务器可禁用的服务及其相关说明如表所示。服服务名名说明明Computer Browser维护网网络上上计算机的最新列表以算机的最新列表以及提供及提供这个列表个列表Task scheduler允允许程序在指定程序在指定时间运行运行Routing and Remote Access在局域网以及广域网在局域网以及广域网环境中境中为企企业提供路