第四部分-网络应用与信息安全.ppt

第四部分网络应用与信息安全 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 1 网络应用 配置IP地址文件共享打印机共享网络打印机 配置IP地址 配置IP地址 依次单击 开始 设置 控制面板 网络连接 打开TCP IP属性 右击 本地连接 选择 属性 打开所示 本地连接属性 对话框 在 本地连接属性 对话框中选择 Internet协议 TCP IP 点击 属性 按钮 打开 Internet协议 TCP IP 属性 对话框 文件共享 网络中的每个用户都可以设置自己的共享资源 并可以访问网络中其他用户的共享资源 每个用户都可以设置并管理自己计算机上的共享资源 并可根据需要增加或删除共享 打印机共享 添加网络打印机 添加网络打印机 添加网络打印机 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 2 Windows中的组策略 什么是组策略组策略的用途组策略的配置 什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库 而随着Windows功能越来越丰富 注册表里的配置项目也越来越多 很多配置都可以自定义设置 但这些配置分布在注册表的各个角落 如果是手工配置 可以想像是多么困难和烦杂而组策略则将系统重要的配置功能汇集成各种配置模块 供用户直接使用 从而达到方便管理计算机的目的其实简单地说 组策略设置就是在修改注册表中的配置 当然 组策略使用了更完善的管理组织方法 可以对各种对象中的设置进行管理和配置 远比手工修改注册表方便 灵活 功能也更加强大 组策略的版本 一种为Windows2000 XP 2003系统默认安装的 组策略管理控制台 只要点击 开始 运行 命令 输入 gpedit msc 并回车即可打开组策略 注意 Home版无组策略 一种就是Windows98的 系统策略编辑器 默认没有安装 只有在Win98安装盘上的 tools reskit netadmin poledit目录下 双击poledit exe文件才可以直接运行 系统策略编辑器 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 3 信息保密与安全 传统密码学 如凯撒密码现代密码学 加密方式1 私钥密码 DES IDEA2 公钥密码 RSA DSA信息完整性保护 MD5 SHA 1数字签名网络安全 密码学基本知识 明文 加密前的原始信息密文 加密后的信息加密 将明文进行数据变换形成密文的过程解密 将密文进行数据变换恢复成明文的过程密钥 控制加密和解密运算的符号序列密码系统要求 使用方便 而且系统的保密不依赖于对加密算法和脱密算法的保密 而只依赖于密钥的保密 因此 当密文和对应的明文被非法截取后 仍不容易确定解密变换 其次 从截取的密文中极难确定其对应的明文 凯撒密码 凯撒密码是每一字母向前推移K位例如 K 5便有如下的明文与密文的对应关系 明文 abcde密文 FGHIJ若令26个字母分别对应于0 25 如下 abc xyz012 232425则凯撒密码加密交换为C m kmod26其中m是明文 C为对应的密文序列 k为加密用的移位数 也称为密钥 mod为模 现代密码学 类似于凯撒密码这样的早期密码学术还有很多 我们称为传统密码学 其最大的特点就是加密体制非常简单 没有将数学真正应用到密码学中到了近现代 对密码的使用和破解已经非常频繁 甚至出现了专门的密码机1942年 美国从破译日本海军密报中 获悉日军对中途岛地区的作战意图和兵力部署 从而能以劣势兵力击破日本海军的主力 扭转了太平洋地区的战局 最终赢得了二次世界大战的胜利 这也从反面说明了密码学在社会发展中正扮演着越来越重要的角色 网络领域的密码学 密码技术在计算机网络领域的应用已经相当广泛了 主要体现在以下四个方面 数据保密身份认证信息完整性保护数字签名和抗抵赖 数据保密 在数据的传输过程中 为了保证数据的隐秘性 加密是非常必要的 目前的加密技术按使用的密钥体制不同可以分为 私钥密码体制 对称加密公钥密码体制 非对称加密混合密码体制 私钥密码体制 私钥密码体制又可以称为对称加密体制 是一种使用比较广泛的普通加密体制该体制最大的特点就是加密和解密使用相同的密钥 密钥在加密过程中起到非常重要的作用 它就好比保险柜的密码 只要拥有密码的人都可以打开保险柜 由于使用的是相同的密钥 所以加密的速度非常快 实现比较容易现在以私钥密码体制为原理的加密算法有很多 比较著名的有 DES 数据加密标准 IDEA 国际数据加密算法 DES加密算法 DataEncryptionStandard 数据加密标准 美国商务部标准局为了能在政府部门进行信息处理的同时保护电子计算机信息的安全 自1971年开始研究密码的标准化 并于1973年开始征集密码方案IBM公司研制并提出的方案 1977年作为DES公开发表 成为美国的标准加密方式 DES加密算法 随后既在国际上广泛流传开来 这个算法因为包含一些机密设计元素 相关的短密钥长度以及被怀疑内含国家安全局 NSA 的后门而在开始是有争议的DES现在已经不视为一种安全的加密算法 因为它使用的56位秘钥过短穷举法几天就可以解密以现代计算能力 24小时内即可能被破解 也有一些分析报告提出了该算法的理论上的弱点 虽然实际情况未必出现 该标准在最近已经被高级加密标准 AES 所取代 国际数据加密算法 IDEA 国际数据加密算法 IDEA 是瑞士的著名学者在1990年正式公布并在以后 这种算法是在DES算法的基础上发展出来的 类似于三重DES 发展IDEA也是因为感到DES具有密钥太短等缺点 已经过时 IDEA的密钥为128位 这么长的密钥在今后若干年内应该是安全的类似于DES IDEA算法也是一种数据块加密算法 它设计了一系列加密轮次 每轮加密都使用从完整的加密密钥中生成的一个子密钥由于IDEA是在美国之外提出并发展起来的 避开了美国法律上对加密技术的诸多限制 因此 有关IDEA算法和实现技术的书籍都可以自由出版和交流 可极大地促进IDEA的发展和完善 公钥密码体制 公钥密码体制的基本原理是在加密和解密的过程中使用不同的密钥 加密密钥 公钥 可以由解密密钥 私钥 根据算法得出 算法是公开的 但由加密密钥根据算法推知解密密钥的计算是不可行的公钥密码体制可看成银行的储蓄账号 任何人都可以很公开地往账号里存钱 但不可以随意从账号里取钱与私钥密码体制相比 公钥密码体制具有以下一些优点 密钥分配安全 可以公开分配 例如 某人可以将自己的公钥公布在网上 方便其他人使用进行加密 密钥数量明显要少于私钥密码体制 大家可以共享同一个公钥可以用来签名和抗抵赖 采用公钥密码体制的算法有 RSA DSA等 RSA加密算法 RSA加密算法是一种非对称加密演算法 第一个能同时用于加密和数字签名的算法 也易于理解和操作在公钥加密标准和电子商业中RSA被广泛使用 RSA是1977年由 罗纳德 李维斯特 RonRivest 阿迪 萨莫尔 AdiShamir 伦纳德 阿德曼 LeonardAdleman 一起提出的 当时他们三人都在麻省理工学院工作 RSA就是他们三人姓氏开头字母拼在一起组成的 信息完整性保护 在数据传输过程当中 怎样保证不被篡改 是至关重要的典型的散列函数有 MD5 SHA 1等 MD5 MD5 Message DigestAlgorithm5信息 摘要算法5 用于确保信息传输完整一致 是计算机广泛使用的哈希算法之一将数据 如汉字 运算为另一固定长度值是杂凑算法的基础原理 MD5的前身有MD2 MD3和MD4 MD5的破解 2004年8月17日的美国加州国际密码学会议上 来自中国山东大学的王小云教授做了破译MD5 HAVAL 128 MD4和RIPEMD算法的报告 公布了MD系列算法的破解结果 宣告了固若金汤的世界通行密码标准MD5的堡垒轰然倒塌 引发了密码学界的轩然大波 令世界顶尖密码学家想象不到的是 破解MD5之后 2005年2月 王小云教授又破解了另一国际密码SHA 1 因为SHA 1在美国等国际社会有更加广泛的应用 密码被破的消息一出 在国际社会的反响可谓石破天惊 换句话说 王小云的研究成果表明了从理论上讲电子签名可以伪造 必须及时添加限制条件 或者重新选用更为安全的密码标准 以保证电子商务的安全 身份认证Kerberos Kerberos是一种计算机网络认证协议 它允许某实体在非安全网络环境下通信 向另一个实体以一种安全的方式证明自己的身份 它也指由麻省理工实现此协议 并发布的一套免费软件它的设计主要针对客户 服务器模型 并提供了一系列交互认证 用户和服务器都能验证对方的身份 Kerberos协议可以保护网络实体免受窃听和重复攻击Kerberos协议基于对称密码学 并需要一个值得信赖的第三方 Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持 数字签名DigitalSignature 数字签名是一种类似写在纸上的普通的物理签名 但是使用了公钥加密领域的技术实现 用于鉴别数字信息的方法 一套数字签名通常定义两种互补的运算 一个用于签名 另一个用于验证 数字签名DigitalSignature 数字签名DigitalSignature IE中的数字签名 数字签名DigitalSignature 数字签名技术是不对称加密算法的典型应用 其应用过程是 数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理 完成对数据的合法 签名 数据接收方则利用对方的公钥来解读收到的 数字签名 并将解读结果用于对数据完整性的检验 以确认签名的合法性数字签名技术是在网络系统虚拟环境中确认身份的重要技术 完全可以代替现实过程中的 亲笔签字 在技术和法律上有保证 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 4 虚拟专网VPN VPN VirtualPrivateNetwork 即 虚拟专用网络 顾名思义 虚拟专网可以把它理解成是虚拟出来的企业内部专线它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路 就好比是架设了一条专线一样 但是它并不需要真正的去铺设光缆之类的物理线路这就好比去电信局申请专线 但是不用给铺设线路的费用 也不用购买路由器等硬件设备 VPN技术原是路由器具有的重要技术之一 目前在交换机 防火墙设备或Windows2000等软件里也都支持VPN功能 一句话 VPN的核心就是在利用公共网络建立虚拟私有网 虚拟专网VPN 虚拟专网 VPN 被定义为通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全 稳定的隧道 虚拟专网VPN协议 IPSec IPsec 缩写IPSecurity 是保护IP协议安全通信的标准 它主要对IP协议分组进行加PPTP PointtoPointTunnelingProtocol 点到点隧道协议L2F Layer2Forwarding第二层转发协议L2TP Layer2TunnelingProtocol第二层隧道协议GRE VPN的第三层隧道协议 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 5 网络攻击和防范 网络攻击步骤网络攻击种类常见黑客工具基本防范方法 网络攻击步骤 隐藏自身 攻击者会利用别人机器来隐藏自己的IP地址 甚至会借用800免费电话 并盗用别人的帐号连接网络去发动攻击 踩点 在网络中寻找攻击对象 并确定对象所在的位置 只要利用域名和IP地址就可以顺利地找到目标主机 漏洞扫描 在正式攻击之前 还需要知道对方主机的信息 攻击者会利用漏洞扫描工具进行远程扫描 轻松获取目标主机运行的是哪种操作系统的哪个版本 系统有哪些帐户 WWW FTP Telnet SMTP等服务器程序是何种版本等资料 实施攻击 当对方主机的漏洞完全暴露后 攻击就成了非常容易的事情 而且形式多种多样 网络攻击种类 口令攻击特洛伊木马 网络钓鱼 攻击电子邮件攻击中间人攻击网络监听利用黑客工具攻击利用安全漏洞攻击端口扫描攻击 常见黑客工具 嗅探监听 如SnifferPro Ethereal漏洞扫描 如X scan 流光密码破解 如LC4和PasswareKit拒绝服务 Xdos是最强的DDos攻击工具远程控制 如灰鸽子 基本防范方法 提高安全意识 关闭不必要的服务 端口使用防毒 防黑等防火墙软件设置代理服务器 隐藏自己的IP地址其它防范方法 及时打补丁 升级杀毒软件 做好备份 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 6 网关级防病毒 早期的防病毒工作很多分摊到了网络中的每台主机 每台主机都装上了防病毒软件和个人软件防火墙 表面上看来防护很好 但实际上这样会带来一个很严重的问题如果网络中的某台主机因为病毒库未及时更新或者其它误操作而感染了病毒 可能会在瞬间导致网络出现不正常的状况 甚至会严重影响到网络的正常使用 这样的后果对于现在的企业来讲是非常可怕的 网关级防病毒 网关级防病毒软件正是为解决这样的问题而产生的考虑到企业网络环境的复杂性 一个网关级防病毒软件不仅要能保护文件服务 同时也要对邮件服务器 员工用PC等所有计算机设备进行保护能从邮件 FTP文件 网页 软盘 光盘等所有可能带来病毒的信息源进行监控和病毒拦截 企业版杀毒软件 企业版杀毒软件是各杀毒软件厂商针对大型局域网推出的反病毒解决方案 它分为服务器端和客户端两个部分 服务器 端安装在局域网服务器上 负责到外网服务器下载最新病毒库和程序版本 并分发到网内各客户端 客户端 是一个具有完整功能的可供免费安装的杀毒软件 和普通单机版杀毒软件不同之处在于它不是到外网服务器下载更新病毒库 而是到局域网内服务器端下载更新 所以不用连接外网就可升级病毒库 并且下载速度更快 企业版杀毒软件 瑞星企业版杀毒软件诺顿企业版防病毒软件江民杀毒软件KV网络版卡巴斯基开放空间安全解决方案趋势企业版杀毒软件 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 7 企业级防火墙 防火墙 防火墙 第四部分网络应用与信息安全 网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描 8 ISA 对企业来讲 我们需要拥有多层体系结构