安全現(xiàn)狀及關鍵技術簡介計算機網絡安全培訓人:XXXX時間:二二X.X一網絡安全事件二網絡攻擊類型與解決三保障網絡安全關鍵技術CONTENT目錄網絡安全事件wangluoanquanshijian一網絡安全事件有關報道

據聯(lián)邦調查局統(tǒng)計,美國每年因網絡安全造成損失高達七五億美元.

據美國金融時報報道,世界上平均每二秒就發(fā)生一次入侵國際互聯(lián)網絡計算機安全事件,三分之一防火墻被突破.

美國聯(lián)邦調查局計算機犯罪組負責人吉姆?塞特爾稱:給我精選一名“黑客”,組成個小組,九天內,我將使美國趴下.

超過五%攻擊來自內部,其次是黑客.案例一:某電子商務網站被攻擊主服務器遭到黑客攻擊后癱瘓在啟用備份服務器后,數據大部分被刪除有CheckPoint防火墻,但防火墻行同虛設主機上沒有作過多配置,存在大量服務安裝了pcAnywhere遠程控制軟件

現(xiàn)象案例一教訓在遭到黑客攻擊后應采取措施關鍵數據備份主機日志檢查與備份主機服務端口關閉主機可疑進程檢查主機帳號修改防火墻策略修改啟用防火墻日志詳細記錄避免使用危險進程利用DiskRecovery技術對硬盤數據進行恢復案例二:中國電信信息港被攻擊遭到黑客DDOS攻擊服務器被癱瘓,無法提供正常服務來源地址有三多個,多數來自與國內有一部分攻擊主機是電信內部IP地址

案例加強對骨干網設備監(jiān)控減少骨干網上主機存在漏洞在受到攻擊時,迅速確定來源地址,在路由器和防火墻上作一些屏蔽實現(xiàn)IDS和防火墻聯(lián)動

教訓二網絡攻擊類型與解決wangluogongjileixingyujiejue案例一:某電子商務網站被攻擊一、信息收集

入侵者攻擊第一步就是盡一切可能對攻擊目標進行信息收集以獲取充足資料.采取方法包括:使用whois工具獲取網絡注冊信息；使用nslookup或dig工具搜索DNS表以確定機器名稱；確定了攻擊目標基本屬性（站點地址、主機名稱）,入侵者將對它們進行深入剖析.使用ping工具探尋“活”著機器；對目標機器執(zhí)行TCP掃描以發(fā)現(xiàn)是否有可用服務.黑客入侵步驟二、實施攻擊

列舉兩種攻擊方法:（一）通過發(fā)送大量數據以確定是否存在緩沖區(qū)溢出漏洞.所謂緩沖區(qū)溢出:指入侵者在程序有關輸入項目中了輸入了超過規(guī)定長度字符串,超過部分通常就是入侵者想要執(zhí)行攻擊代碼,而程序編寫者又沒有進行輸入長度檢查,最終導致多出攻擊代碼占據了輸入緩沖區(qū)后內存而執(zhí)行.（二）嘗試使用簡單口令破解登錄障礙.三、安裝后門,清除日志對于入侵者而言,一旦成功地入侵了網絡中一臺機器,入侵者現(xiàn)在要做就是隱藏入侵痕跡并制造日后再攻后門,這就需要對日志文件或其他系統(tǒng)文件進行改造,或者安裝上木馬程序、或者替換系統(tǒng)文件為后門程序.SQLInjection攻擊原理漏洞分析─Script描述語言ASP程序語言為一種Script描述語言.Script描述語言特點:

在程序執(zhí)行以前,所有原先是變數地方,都會被替換成當時輸入值.select*fromAccountswhereId=‘輸入密碼’

andPassword=‘輸入密碼’因此若輸入帳號為「a’or‘’=‘’」,輸入密碼為「a’or‘’=‘’」,則原先SQL指令就被改成了select*fromAccountswhereId=‘a’or‘’=‘’andPassword=‘a’or‘’=‘’SQLInjection攻擊原理SQLInjection攻擊原理服務器端程序select*fromAccountswhereId=‘Id’andPassword=‘Password’惡意使用者輸入范例一:Login:'or''=‘Password:'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''andPassword=''or''=''Internet攻擊類型一一、拒絕服務攻擊PING風暴（PINGFlooding）PING命令是用來在網絡中確認特定主機是否可達,但它也被用作攻擊主機手段.二同步包風暴（SYNFlooding）,同步風暴是應用最為廣泛一種DOS攻擊方式.三電子郵件炸彈（E-mailBomb）.電子郵件炸彈目是通過不斷地向目標E-MAIL地址發(fā)送垃圾郵件,占滿收信者郵箱,使其無法正常使用.

四Land攻擊,Land攻擊原理是:向目標主機某個開放端口發(fā)送一個TCP包,并偽造TCP/IP地址,使得源IP地址等于目標IP地址,源端口等于目標端口,這樣,就可以造成包括WINDOWS二在內很多操作平臺上主機死機.Internet攻擊類型二、后門

“后門”一般隱藏在操作系統(tǒng)或軟件中,不為使用者知曉為漏洞,而它可使某些人繞過系統(tǒng)安全機制獲取訪問權限.黑客可利用一些“掃描機（scanners）”小程序,專門尋找上網用戶系統(tǒng)漏洞,例如NetBIOS及Windows“文件及打印共享”功能所打開系統(tǒng)后門.一旦掃描程序在網上發(fā)現(xiàn)了系統(tǒng)存在著漏洞,那些惡意攻擊者就會設法通過找到“后門”進入你計算機,并獲取你信息.所有這些非法入侵行為,你可能毫無查覺.Internet攻擊類型三、遠程緩沖溢出攻擊緩沖區(qū)溢出漏洞是一種利用了C程序中數組邊界條件、函數指針等設計不當而造成地址空間錯誤來實現(xiàn).大多數Windows、Linux、Unix、數據庫系統(tǒng)開發(fā)都依賴于C語言,而C缺點是缺乏類型安全,所以緩沖區(qū)溢出成為操作系統(tǒng)、數據庫等大型應用程序最普遍漏洞.四、網絡攻擊網絡攻擊主要手段表現(xiàn)為端口掃描,端口掃描目是找出目標系統(tǒng)中所提供服務,它逐個嘗試與TCP/UDP端口建立連接,然后根據端口與服務對應關系,綜合服務器端反應來判斷目標系統(tǒng)運行了哪些服務.利用端口掃描,黑客可以判斷目標主機操作系統(tǒng)類型及端口開放情況,然后實施攻擊.Internet攻擊類型五、特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用攻擊手段.它通過在你電腦系統(tǒng)隱藏一個在Windows啟動時悄悄運行程序,采用服務器/客戶機運行方式,從而達到在你上網時控制你電腦目.黑客可以利用它竊取你口令、瀏覽你驅動器、修改你文件、注冊表等.特洛伊木馬不僅可收集信息,它還可能破壞系統(tǒng),特洛伊木馬不能自身復制,因此,它不屬于計算機病毒.Internet攻擊類型六.網絡病毒

Internet開放性,為病毒滋生、變種和傳播提供了一個無限廣闊空間.病毒是將自身依附于其他軟件一段程序,目是破壞計算機系統(tǒng)數據或硬件,有許多專業(yè)反病毒軟件公司開發(fā)出了很多優(yōu)秀殺毒軟件,反病毒關鍵是找出病毒特征碼,并且定期更新病毒數據庫.網絡病毒傳播主要途徑是電子郵件附件,此外,下載文件、瀏覽網頁等也都有可能讓病毒有入侵機會.網絡安全目標篡

改冒名傳送竊聽否認傳送網際網絡機密性完整性身份認證不可否認性使用者甲使用者乙訪問攻擊訪問攻擊是攻擊者企圖獲得非授權信息,這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網絡上傳輸情況下,這類攻擊是針對信息機密性攻擊.常見訪問攻擊窺探（snooping）是查信息文件,發(fā)現(xiàn)某些對攻擊者感興趣信息.攻擊者試圖打開計算機系統(tǒng)文件,直到找到所需信息.-一--二--三-

窺探竊聽（eavesdropping）是偷聽他人對話,為了得到非授權信息訪問,攻擊者必須將自己放在一個信息通過地方,一般采用電子竊聽方式.截獲（interception）不同于竊聽,它是一種主動攻擊方式.攻擊者截獲信息是通過將自己插入信息通過通路,且在信息到達目地前能事先捕獲這些信息.攻擊者檢查截獲信息,并決定是否將信息送往目站,如圖所示.

竊聽

截獲常見訪問攻擊對傳輸中信息可通過竊聽獲得.在局域網中,攻擊者在聯(lián)到網上計算機系統(tǒng)中安裝一個信息包探測程序（sniffer）,來捕獲在網上所有通信.通常配置成能捕獲ID和口令.竊聽也可能發(fā)生在廣域網（如租用線和電話線）中,然而這類竊聽需要更多技術和設備.通常在設施接線架上采用T形分接頭來竊聽信息.它不僅用于電纜線,也可用于光纖傳輸線,但需要專門設備.三保障網絡安全關鍵技術baozhangwnagluoanquandeguanjianjishu保障網絡安全關鍵技術一身份認證技術二訪問控制技術三密碼技術四防火墻技術五身份認證技術六安全審計技術防火墻技術(Firewall)

在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開方法,它實際上是一種隔離技術.防火墻是在兩個網絡通訊時執(zhí)行一種訪問控制尺度,它能允許你“同意”人和數據進入你網絡,同時將你“不同意”人和數據拒之門外,最大限度地阻止網絡中黑客來訪問你網絡.換句話說,如果不能通過防火墻,公司內部人就無法訪問Internet,Internet上人也無法和公司內部人進行通信.在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內部網和Internet之間任何活動,保證了內部網絡安全.防火墻防火墻（FireWall）是一種位于兩個或多個網絡間,實施網絡之間訪問控制組件集合.它實際上是一種隔離技術.它能允許你“同意”數據進入你網絡,同時將你“不同意”數據拒之門外,最大限度地阻止網絡中黑客訪問你網絡.

防火墻（一）過濾一些不安全服務和非法用戶,防止未授權用戶訪問安全網絡（二）控制對特殊站點或端口訪問,防火墻可以根據安全策略允許受保護網絡一部分主機被外部網絡訪問,而另一部分主機則被很好地保護起來.（三）作為網絡安全集中監(jiān)測點,防火墻可以記錄所有通過它訪問,并提供統(tǒng)計數據、預警和審計功能.防火墻功能防火墻局限（一）不能防范惡意知情者從內部攻擊（二）不能防范不通過防火墻聯(lián)接（三）防火墻不能防范病毒入侵檢測技術(IDS)入侵檢測概念（IntrusionDetectionSystem）通過從計算機網絡或計算機系統(tǒng)中若干關鍵點收集信息并進行分析,以發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略行為和遭受襲擊跡象.入侵檢測是對防火墻合理補充,被認為是防火墻之后第二道安全閘門.知識庫待檢測數據包入侵檢測:入侵否?響應繼續(xù)監(jiān)聽,檢測下一個數據包數據加密與數字認證數據加密和數字認證是網絡信息安全核心技術.其中,數據加密是保護數據免遭攻擊一種主要方法；數字認證是解決網絡通信過程中雙方身份認可,以防止各種敵手對信息進行篡改一種重要技術.數據加密和數字認證聯(lián)合使用,是確保信息安全有效措施.一、密碼學與密碼技術計算機密碼學是研究計算機信息加密、解密及其變換新興科學,密碼技術是密碼學具體實現(xiàn),它包括四個方面:保密(機密)、消息驗證、消息完整和不可否認性.

一保密（privacy）:在通信中消息發(fā)送方與接收方都希望保密,只有消息發(fā)送者和接收者才能理解消息內容.二驗證（authentication）:安全通信僅僅靠消息機密性是不夠,必須加以驗證,即接收者需要確定消息發(fā)送者身份.三完整（integrity）:保密與認證只是安全通信中兩個基本要素,還必須保持消息完整,即消息在傳送過程中不發(fā)生改變.四不可否認（nonrepudiation）:安全通信一個基本要素就是不可否認性,防止發(fā)送者抵賴（否定）.二、加密和解密密碼技術包括數據加密和解密兩部分.加密是把需要加密報文按照以密碼鑰匙（簡稱密鑰）為參數函數進行轉換,產生密碼文件；解密是按照密鑰參數進行解密,還原成原文件.數據加密和解密過程是在信源發(fā)出與進入通信之間進行加密,經過信道傳輸,到信宿接收時進行解密,以實現(xiàn)數據通信保密.數據加密和解密過程如圖所示.加密密鑰報文解密原報文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿三、密鑰體系加密和解密是通過密鑰來實現(xiàn).如果把密鑰作為加密體系標準,則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系.在單鑰密碼體制下,加密密鑰和解密密鑰是一樣.在這種情況下,由于加密和解密使用同一密鑰（密鑰經密鑰信道傳給對方）,所以密碼體制安全完全取決于密鑰安全.雙鑰密碼體制是一九七六年W.Diffie和M.E.Heilinan提出一種新型密碼體制.一九七七年Rivest,Shamir和Adleman提出RSA密碼體制.在雙鑰密碼體制下,加密密鑰與解密密鑰是不同,它不需要安全信道來傳送密鑰,可以公開加密密鑰,僅需保密解密密鑰.四、傳統(tǒng)加密方法保持明文次序,而把明文字符隱藏起來.

轉換密碼法不是隱藏它們,而是靠重新安排字母次序.二、轉換密碼法⑴單字母加密方法:是用一個字母代替另一個字母,它把A變成E,B變成F,C變?yōu)镚,D變?yōu)镠.⑵多字母加密方法:密鑰是簡短且便于記憶詞組.

一、代換密碼法就是用一頁上代碼來加密一些詞,再用另一頁上代碼加密另一些詞,直到全部明文都被加密.四、一次性密碼簿加密法把明文中字母重新排列,字母本身不變,但位置變了.常見有簡單變位法、列變位法和矩陣變位法.三、變位加密法現(xiàn)代加密方法

一、DES加密算法

DES加密算法是一種通用現(xiàn)代加密方法,該標準是在五六位密鑰控制下,將每六四位為一個單元明文變成六四位密碼.采用多層次復雜數據函數替換算法,使密碼被破譯可能性幾乎沒有.

二、IDEA加密算法

相對于DES五六位密鑰,它使用一二八位密鑰,每次加密一個六四位塊.這個算法被加強以防止一種特殊類型攻擊,稱為微分密碼密鑰.

IDEA特點是用了混亂和擴散等操作,主要有三種運算:異或、模加、模乘,并且容易用軟件和硬件來實現(xiàn).IDEA算法被認為是現(xiàn)今最好、最安全分組密碼算法,該算法可用于加密和解密.現(xiàn)代加密方法郵件內容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機加密密鑰E一=ENIDEA(M)E二=ENRSA(K)KRP將E一+E二寄出發(fā)送郵件收到E一+E二K=DERSA(E二)KRSM=DEIDEA(E一)K將M分離成C和SH一=MD五(C)取得收信人分開密鑰KPS一=DERSA(H一)KPS一=S?NoYes接收此郵件拒絕此郵件接收郵件取得收信人分開密鑰KRP三、RSA公開密鑰算法RSA是屹今為止最著名、最完善、使用最廣泛一種公匙密碼體制.RSA算法要點在于它可以產生一對密鑰,一個人可以用密鑰對中一個加密消息,另一個人則可以用密鑰對中另一個解密消息.任何人都無法通過公匙確定私匙,只有密鑰對中另一把可以解密消息.現(xiàn)代加密方法

四、Hash－MD五加密算法

Hash函數又名信息摘要（MessageDigest）函數,是基于因子分解或離散對數問題函數,可將任意長度信息濃縮為較短固定長度數據.這組數據能夠反映源信息特征,因此又可稱為信息指紋（MessageFingerprint).Hash函數具有很好密碼學性質,且滿足Hash函數單向、無碰撞基本要求.

五、量子加密系統(tǒng)

量子加密系統(tǒng)是加密技術新突破.量子加密法先進之處在于這種方法依賴是量子力學定律.傳輸光量子只允許有一個接收者,如果有人竊聽,竊聽動作將會對通信系統(tǒng)造成干擾.通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽,隨即結束通信,生成新密鑰.

破密方法

一.密鑰窮盡搜索

就是嘗試所有可能密鑰組合,雖然這種密鑰嘗試通常是失敗,但最終總會有一個密鑰讓破譯者得到原文.

二.密碼分析

密碼分析是在不知密鑰情況下利用數學方法破譯密文或找到秘密密鑰.常見密碼分析有如下兩種:

⑴已知明文破譯方法:是當密碼分析員掌握了一段明文和對應密文,目是發(fā)現(xiàn)加密密鑰.在實際應用中,獲得某些密文所對應明文是可能.

⑵選定明文破譯方法:密碼分析員設法讓對手加密一段分析員選定明文,并獲得加密后結果,以獲得確定加密密鑰.

破密方法

三、防止密碼破譯措施

為了防止密碼破譯,可以采取一些相應技術措施.目前通常采用技術措施以下三種.

⑴好加密算法:一個好加密算法往往只有用窮舉法才能得到密鑰,所以只要密鑰足夠長就會比較安全.二世紀七～八年代密鑰長通常為四八～六四位,九年代,由于發(fā)達國家不準許出口六四位加密產品,所以國內大力研制一二八位產品.

⑵保護關鍵密鑰（KCK:KEYCNCRYPTIONKEY）.

⑶動態(tài)會話密鑰:每次會話密鑰不同.

動態(tài)或定期變換會話密鑰是有好處,因為這些密鑰是用來加密會話密鑰,一旦泄漏,被他人竊取重要信息,將引起災難性后果.數字認證技術一、數字簽名

“數字簽名”是數字認證技術中其中最常用認證技術.在日常工作和生活中,人們對書信或文件驗收是根據親筆簽名或蓋章來證實接收者真實身份.在書面文件上簽名有兩個作用:一是因為自己簽名難以否認,從而確定了文件已簽署這一事實；二是因為簽名不易偽冒,從而確定了文件是真實這一事實.但是,在計算機網絡中傳送報文又如何簽名蓋章呢,這就是數字簽名所要解決問題.

數字認證是一種安全防護技術,它既可用于對用戶身份進行確認和鑒別,也可對信息真實可靠性進行確認和鑒別,以防止冒充、抵賴、偽造、篡改等問題.數字認證技術包括數字簽名、數字時間戳、數字證書和認證中心等.數字認證技術Key數字簽名初始文件簽名文件加密簽名文件數字簽名初始文件數字摘要數字摘要正確初始文件HASH編碼一致KeyKeyKey數字摘要初始文件數字簽名驗證及文件竄送過程在網絡傳輸中如果發(fā)送方和接收方加密、解密處理兩者信息一致,則說明發(fā)送信息原文在傳送過程中沒有被破壞或篡改,從而得到準確原文.傳送過程如下圖所示.數字簽名技術隨著信息時代來臨,人們希望通過數字通信網絡迅速傳遞貿易合同,數字簽名應運而生了.

數字簽名必須保證以下三點:a、接收者能夠核實發(fā)送者對報文簽名；b、發(fā)送者事后不能抵賴對報文簽名；c、接收者不能偽造對報文簽名.

二、數字時間戳（DTS）

在電子交易中,同樣需要對交易文件日期和時間信息采取安全措施,數字時間戳就是為電子文件發(fā)表時間提供安全保護和證明.DTS是網上安全服務項目,由專門機構提供.數字時間戳是一個加密后形成憑證文檔,它包括三個部分:

◆需要加時間戳文件摘要

◆DTS機構收到文件日期和時間

◆DTA機構數字簽名

數字時間戳產生過程:用戶首先將需要加時間戳文件用HASH編碼加密形成摘要,然后將這個摘要發(fā)送到DTS機構,DTS機構在加入了收到文件摘要日期和時間信息后,再對這個文件加密（數字簽名）,然后發(fā)送給用戶.數字認證技術

一