网络信息安全认证

网络信息平安认证嘉为教育第一局部信息平安的根底知识网络信息平安讲座一、什么是信息平安网络平安背景与Internet相关的平安事件频繁出现平安问题普及流行的软件如Navigator和IE，以及复杂的电子商务效劳器；黑客攻击及计算机病毒愈来愈多Internet已经成为商务活动、通讯及协作的重要平台Internet最初被设计为开放式网络开放式网络〔OpenNetwork〕：允许自由访问的一组效劳器和计算机；从一个平安的角度看，Internet是天生不平安的，TCP/IP协议没有内置保护信息的能力；然而现在，商业团体和个人开始需要Internet应用平安的原那么，以保护敏感的数据。什么是平安？平安的定义：信息平安的定义：为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。信息平安的组成：信息平安是一个综合的解决方案，包括物理平安、通信平安、辐射平安、计算机平安、网络平安等。信息平安专家的工作：平安专家的工作就是在开放式的网络环境中，确保识别并消除信息平安的威胁和缺陷。平安是一个过程而不是指产品不能只依赖于一种类型的平安为组织的信息提供保护，也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有平安性。因为平安性所涵盖的范围非常广阔，包括：防病毒软件；访问控制；防火墙；智能卡；生物统计学；入侵检测；策略管理；脆弱点扫描；加密；物理平安机制。百分百的平安神话绝对的平安：只有与网络无连接并且被关闭的锁在一个平安的地方〔钥匙被扔掉〕的计算机，才是真正唯一平安的计算机。只要有连通性，就存在平安风险。相对的平安：可以到达的某种平安水平是：使得几乎所有最熟练的和最坚决的黑客不能登录你的系统，使黑客对你的公司的损害最小化。平安的平衡：一个关键的平安原那么是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。第一局部信息平安的根底知识网络信息平安讲座二、常见的攻击类型我们可以将常见的攻击类型分为四大类：针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。

第一类：针对用户的攻击1、前门攻击密码猜测在这个类型的攻击中，一个黑客通过猜测正确的密码，伪装成一个合法的用户进入系统，因为一个黑客拥有一个合法用户的所有信息，他〔她〕就能够很简单地从系统的“前门〞正当地进入。2、暴力和字典攻击暴力攻击暴力攻击类似于前门攻击，一个黑客试图使用计算机和信息的结合去破解一个密码它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，花掉八天的时间去破解加密算法。字典攻击字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。Lab2-1：使用LC4破解Windows系统口令Lab2-2：OfficePasswordRecovery&WinZipPasswordRecovery第一类：针对用户的攻击3、病毒计算机病毒是一个被设计用来破坏网络设备的恶意程序，病毒分为以下几类：引导扇区/主引导记录〔MBR〕：感染软盘或硬盘的特定局部；文件感染：病毒附着在合法程序上，运行程序将激活病毒；宏/脚本：通常在E-Mail附件中，利用Office应用程序与操作系统之间的信任关系。4、社会工程和非直接攻击社交工程是使用计策和假情报去获得密码和其他敏感信息打请求密码一个黑客冒充一个系统经理去打给一个公司，在解释了他的帐号被意外锁定了后，他说服公司的某位职员根据他的指示修改了管理员权限，然后黑客所需要做的就是登录那台主机伪造E-mail黑客利用假的E-mail来进行社交工程。为了获得密码了其它敏感信息黑客发送那些看上去来自合法用户的E-mail，因为用户经常认为任何一个E-mail必须来自一个合法的用户。Lab2-3：发送伪造的E-Mail消息第二类：针对应用程序的攻击5、缓冲区溢出目前最流行的一种应用程序类攻击就是缓冲区溢出。当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。这种多余数据将使程序的缓存溢出，然后覆盖了实际程序数据，这种修改的结果是在系统上产生了一个后门。6、邮件中继目前互连网上的邮件效劳器所受攻击有两类：一类就是中继利用(Relay)，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件效劳器所拒绝。另一类攻击称为垃圾邮件(Spam)，即人们常说的邮件炸弹，是指在很短时间内效劳器可能接收大量无用的邮件，从而使邮件效劳器不堪负载而出现瘫痪。Lab2-4：通过邮件中继发送E-Mail消息7、网页涂改是一种针对Web效劳器的网页内容进行非法篡改，以表达不同的观点或社会现象。这种攻击通常损害的是网站的声誉。第三类：针对计算机的攻击8、物理攻击许多公司和组织应用了复杂的平安软件，却因为主机没有加强物理平安而破坏了整体的系统平安。通常，攻击者会通过物理进入你的系统等非Internet手段来开启Internet的平安漏洞。Lab2-5：操作一个对Windows2000Server的物理攻击9、特洛伊木马和RootKits任何已经被修改成包含非法文件的文件叫做“特洛伊程序〞。特洛伊程序通常包含能翻开端口进入RootShell或具有管理权限的命令行文件，他们可以隐藏自己的表现〔无窗口〕，而将敏感信息发回黑客并上载程序以进一步攻击系统及其平安。Lab2-6：遭受NetBus特洛伊木马感染第三类：针对计算机的攻击10、系统Bug和后门一个Bug是一个程序中的错误，它产生一个不注意的通道，黑客经常了解这些问题并充分利用它们。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。11、Internet蠕虫Internet蠕虫是一种拒绝效劳病毒，最近流行的红色代码也是类似的一种蠕虫病毒，其版本2发作会自动开启600个线程来对外扫描并传播，并会安装木马，它是利用微软WindowsIIS效劳器的一个平安漏洞进行攻击和传播，已危害全世界数十万台主机。蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃，而没有其他的破坏。第四类：针对网络的攻击12、拒绝效劳攻击在一个拒绝效劳攻击中，一个黑客阻止合法用户获得效劳。这些效劳可以是网络连接，或者任何一个系统提供的效劳。分布式拒绝效劳攻击DDOS是指几个远程系统一起工作攻击一个远程主机，通常通过大量流量导致主机超过负载而崩溃。DDOS通过将远程主机的网络管道〔T1或T3〕使用欺骗性的流量充满，而使得没有其他人可以访问该效劳。13、哄骗哄骗和伪装都是偷窃身份的形式，它是一台计算机模仿另一台机器的能力。特定的例子包括IP哄骗，ARP哄骗，路由器哄骗和DNS哄骗等。在IPv4中，所有效劳器都假定发送信息的计算机具有合法的IP地址，由于TCP/IP没有内置的验证功能，如果你的平安完全依赖于TCP/IP标识，那么有可能造成IP哄骗。第四类：针对网络的攻击14、信息泄漏几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息，在连接过程中，每台计算机为了在效劳器和Internet之间建立一个连接，必须提供具有潜在敏感性的信息。组织结构必须决定如何最少化提供给公众的信息，哪些信息是必要的，哪些信息是不必要的。Lab2-7：通过Telnet连接Exchange效劳器的SMTP、POP3等效劳15、劫持和中间人攻击中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。黑客在物理位置上位于两个被攻击的合法主机之间。最常见的包括：嗅探包：以获得用户名和密码信息，任何以明文方式传送的信息都有可能被嗅探；包捕获和修改：捕获包修改后重新再发送；包植入：插入包到数据流；连接劫持：黑客接管两台通信主机中的一台，通常针对TCP会话。但非常难于实现。Lab2-8：网络包嗅探outlookExpress邮件账号口令第二局部信息平安的实际解决方案网络信息平安讲座三、加密技术加密系统加密把容易读取的源文件变成加密文本，能够读取这种加密文本的方法是获得密钥〔即把原来的源文件加密成加密文本的一串字符〕加密技术通常分为三类：对称加密：使用一个字符串〔密钥〕去加密数据，同样的密钥用于加密和解密。非对称加密：使用一对密钥来加密数据。这对密钥相关有关联，尽管分析公钥和获得私钥是很困难的〔几乎是不可能的〕，这对密钥一个用于加密，一个用于解密，反之亦然。非对称加密的另外一个名字是公钥加密。HASH加密：更严格的说它是一种算法，使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂，使得它不可能恢复原状。这种形式的加密将产生一个HASH值，这个值带有某种信息，并且具有一个长度固定的表示形式。加密能做什么？数据保密性：是使用加密最常见的原因；数据完整性：数据保密对数据安全是不足够的，数据仍有可能在传输时被修改，依赖于Hash函数可以验证数据是否被修改；验证：数字证书提供了一种验证服务，帮助证明信息的发送者就是宣称的其本人；不可否定性：数字证书允许用户证明信息交换的实际发生，特别适用于财务组织的电子交易。对称密钥加密系统在对称加密或叫单密钥加密中，只有一个密钥用来加密和解密信息。对称加密的好处就是快速并且强壮。对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥，因此所有的用户必须寻求一种平安的方法来发送和接收密钥。非对称密钥加密系统非对称加密在加密的过程中使用一对密钥，一对密钥中一个用于加密，另一个用来解密。这对密钥中一个密钥用来公用，另一个作为私有的密钥：用来向外公布的叫做公钥，另一半需要平安保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢，因为需要强烈的数学运算程序。非对称加密的另一个名字叫公钥加密。非对称密钥加密系统尽管私钥和公钥都有与数学相关的，但从公钥中确定私钥的值是非常困难的并且也是非常耗时的。在互联网上通信，非对称加密的密钥管理是容易的因为公钥可以任意的传播，私钥必须在用户手中小心保护。非对称密钥对的用法用于加密的密钥对用公钥加密用私钥解密用私钥签名用公钥验证用于签名的密钥对Hash加密和数字签名HASH加密把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的，是通过比较两上实体的值是否一样而不用告之其它信息。加密系统算法的强度加密技术的强度受三个主要因素影响：算法强度、密钥的保密性、密钥的长度。算法强度：是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。密钥的保密性：算法不需要保密，但密钥必须进行保密。密钥的长度：密钥越长，数据的平安性越高。美国政府把使用超过40位的密钥的加密规定为强加密，这种加密出口相关的法律已经获得通过。美国国内公司想要出口使用强加密的产品，首先要获得美国国务院的许可。常用对称加密算法常用对称加密算法常用不对称加密算法和Hash算法第二局部信息平安的实际解决方案网络信息平安讲座三、加密技术数字证书与CA认证及其应用

何为数字证书？数字证书又称为数字标识〔DigitalCertificate，DigitalID〕。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来说明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet的身份证。数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。一个标准的X.509数字证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称〔命名规那么一般采用X.500格式〕及其用私钥的签名；证书的有效期；证书使用者的名称及其公钥的信息。数字证书的用途在使用数字证书的过程中应用公开密钥加密技术，建立起一套严密的身份认证系统，它能够保证：信息除发送方和接受方外不被其他人窃取；信息在传输过程中不被篡改；接收方能够通过数字证书来确认发送方的身份；发送方对于自己发送的信息不能抵赖。随着Internet的普及、各种电子商务活动和电子政务活动的飞速开展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送平安电子邮件、访问平安站点、网上招标投标网上签约、网上订购、平安网上公文传送网上缴费、网上缴税、网上炒股、网上购物和网上报关等。数字证书的颁发数字证书是由认证中心颁发的。认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及局部个人身份信息传送给认证中心；认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来；然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息；用户就可以使用自己的数字证书进行相关的各种活动。CA认证中心(CertificateAuthority)职责接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图健壮的数据

库系统无缝的目录接口CA硬件管理和运

行平台安全的审计密钥PKICA信任关系当一个平安个体看到另一个平安个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性〞之间的绑定，那么他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型以用户为中心的信任模型CA层次结构对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构根CA中间CA根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对平安个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的以用户为中心的信任模型对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展例子：用户的浏览器配置PKI中密钥和证书的管理密钥/证书生命周期管理的各个阶段：初始化阶段颁发阶段取消阶段证书过期证书撤销

密钥产生证书签发Bob密钥使用Bob证书检验密钥过期密钥更新PKI:初始化阶段在终端实体能够使用PKI支持的效劳之前，它们必须初始化以进入PKI。初始化由以下几步组成：终端实体注册；密钥对产生；证书创立和密钥/证书分发；证书分发；密钥备份。8.证书响应7.证书请求4.注册建立请求5.注册建立结果6.注册结果3.注册表格提交2.注册表格应答终端实体RACA1.注册表格请求PKI:颁发阶段一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括：证书检索——远程资料库的证书检索。证书验证——确定一个证书的有效性〔包括证书路径的验证〕。密钥恢复——当不能正常访问密钥资料时，从CA或信任第三方处恢复。密钥更新——当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。PKI:撤消阶段密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容：证书过期——证书生命周期的自然结束。证书撤销——宣布一个合法证书〔及其相关私有密钥〕不再有效。密钥历史——维持一个有关密钥资料的记录〔一般是关于终端实体的〕，以便被过期的密钥资料所加密的数据能够被解密。密钥档案——出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的平安第三方储存。S/MIME电子邮件加密发送方和接收方在发送E-mail信息之前要得到对方的公钥。发送方产生一个随机的会话密钥，用于加密E-mail信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES，TripleDES，AES，RC5等等。发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这步通常使用MD2，MD4，MD5或SHA。MD5用于SSL，而S/MIME默认使用SHA。发送者用自己的私钥对这个HASH值加密。通过使用发送者自己的私钥加密，接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值我们称作信息摘要。发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。发送者用接收者的公钥对这个会话密钥加密，来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。然后把加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。基于SSL的Web效劳器加密SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信，它还使用加密及信息摘要来保证数据的可靠性。SSL是整附在传输层协议之上的。所有的浏览器都支持SSL，所以应用程序在使用它时不需要特殊的代码。BrowsereWebServer1240bitor128bit?3456第二局部信息平安的实际解决方案网络信息平安讲座四、身份认证技术平安系统的认证逻辑结构认证技术是信息平安理论与技术的一个重要方面。身份认证是平安系统中的第一道关卡，如下图，用户在访问平安系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由平安管理员按照需要进行配置。访问控制和审计系统都要依赖于身份认证系统的提供的“信息〞――用户的身份。黑客攻击的目标往往就是身份认证系统。身份认证的方法用户或系统能够通过四种方法来证明他们的身份：Whatyouknow？基于口令的认证方式是最常用的一种技术，但它存在严重的平安问题。它是一种单因素的认证，平安性仅依赖于口令，口令一旦泄露，用户即可被冒充。Whatyouhave？更加精密的认证系统，要求不仅要有通行卡而且要有密码认证。如：智能卡和数字证书的使用。智能卡具有硬件加密功能，有较高的平安性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证效劳器中也存放该秘密信息。进行认证时，用户输入PIN〔个人身份识别码〕，智能卡认证PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。身份认证的方法用户或系统能够通过四种方法来证明他们的身份：Whoyouare？这种认证方式以人体惟一的、可靠的、稳定的生物特征〔如指纹、虹膜、脸部、掌纹等〕为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的平安性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如荼，前景十分广阔。Whereyouare？最弱的身份验证形式，根据你的位置来决定你的身份。如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户，主机或执行过程；反向DNS查询防止域名哄骗等。常见的身份认证技术口令鉴别协议〔PAP〕简单“用户ID-口令〞，认证信息以明文方式传输口令是静态的，也就是说在一定时间内是不变的，而且可重复使用，口令极易被网上嗅探劫持一次性口令鉴别技术〔OTP〕用户和机器之间必须共知一条通行短语，而这通行短语对外界是完全保密的。和静态口令不同的是，这个通行短语并不在网络上进行传输，所以黑客通过网络窃听是不可能的。每次的口令是三个按一定算法计算〔Hash计算〕得到的结果，这三个因子分别是种子〔seed〕、迭代值〔iteration〕和通行短语。种子：决定于用户，一般在一台机器上，一个种子对应于一个用户，也就是说，种子在一个系统中应具有唯一性，这不是秘密的而是公开的。迭代值：迭代值是不断变化的，而种子和通行短语是相对不变的，所以迭代值的作用就是使口令发生变化。通行短语：通行短语是保密的，而种子和迭代值是公开的，这样就决定了口令的机密性。当用户登录时，系统会向用户提出挑战，包括种子和迭代值，然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复，并传送给系统，因为系统也知道这个通行短语，所以系统可以验证答复是否正确。常见的身份认证技术Kerberos认证技术Kerberos是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。Kerberos提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份。Kerberos是一种被证明为非常平安的双向身份认证技术，其身份认证强调了客户机对效劳器的认证，而别的身份认证技术往往只解决了效劳器对客户机的认证。Kerberos有效地防止了来自效劳器端身份冒领的欺骗。Kerberos密钥分配中心KDC〔即Kerberos效劳器〕由认证效劳器AS和许可证颁发效劳器TGS构成Kerberos的认证过程如下图常见的身份认证技术公钥认证体系〔PKI〕在认证机制中通信双方出于平安方面的考虑，可能均需要对方对某种信息的数字签名，而验证签名那么需要相应的公钥。另外，公钥虽然不适宜于对大量信息进行加密，但使用公钥对会话密钥或主密钥进行加密却是常用的。因此，用户公钥是否正确在信息认证中也是一个重要问题。一种方法是将所有用户公钥存储于一个公钥效劳器中，每个用户均可通过公钥效劳器查询到其他用户的公钥X.509是定义目录效劳建议X.500系列的一局部，其核心是建立存放每个用户的公钥证书的目录库。用户公钥证书由可信赖的CA创立，并由CA或用户存放于目录中假设A想获得B的公钥，A先在目录中查找IDB，利用CA的公钥和hash算法验证B的公钥证书的完整性，从而判断公钥的是否正确显然X.509是一种基于证书的公钥认证机制，这种机制的实现必须要有可信赖的CA的参与第二局部信息平安的实际解决方案网络信息平安讲座五、防火墙技术防火墙简介防火墙的定义防火墙指的是位于可信网络〔如内部网络〕和不可信网络〔如Internet〕之间并对经过其间的网络流量进行检查的一台或多台计算机。防火墙具有如下特性：所有的通信都经过防火墙；防火墙只放行经过授权的流量；防火墙能经受得起对其本身的攻击。防火墙的优势和弱点防火墙的优势：实施一个公司的整体平安策略创立一个阻塞点〔网络边界〕记录Internet活动限制网络暴露防火墙的弱点：防火墙不能防范经过授权的东西。防火墙只能按对其配置的规那么进行有效的工作；防火墙对社交工程类型的攻击或一个授权的用户利用合法访问进行的恶意攻击不起作用；防火墙不能修复脆弱的管理措施或设计有问题的平安策略；防火墙不能阻止那些不经过它的攻击。防火墙的硬件与操作系统运行于通用操作系统上的防火墙一些防火墙运行于通用操作系统如WindowsNT/2000、Linux/Unix上，它们通过修改系统的内核和TCP/IP协议栈来检测流量。要想获得较高的平安性，就必须对操作系统进行加固、修补和维护。此类防火墙如：运行于Linux/Unix、WindowsNT/2000平台上的CheckPointFirewall-1，Symantec企业防火墙，MicrosoftISA2004等。硬件防火墙硬件防火墙集成了操作系统和防火墙的功能，形成了一个整体牢固、功能专一的设备。这种防火墙也提供了功能完善的管理接口。硬件防火墙在使用时不需要做很多主机加固的工作，不用再费心于重新配置和修补通用操作系统，而可以集中注意力构思防火墙规那么，减少了操作和维护的本钱。此类防火墙如：CiscoPIX、Netscreen、SonicWall，以及运行于NokiaIPSO平台上的CheckPointFirewall-1。第二局部信息平安的实际解决方案网络信息平安讲座五、防火墙技术防火墙管理的TCP/IP根底TCP/IP平安简介如果你是一个网络管理员或平安管理员，你需要对OSI(OpenSystemInterconnectReferenceModel,开放式系统互联参考模型)参考模型非常熟悉。TCP/IP堆栈包括四层。为了更好的理解TCP/IP，请与OSI模型进行比较。TCP/IP物理层及其平安物理层由传输在缆线上的电子信号组成。物理层上的平安保护措施不多。如果一个潜在的黑客可以访问物理介质，如搭线窃听和sniffer，他将可以复制所有传送的信息。唯一有效的保护是使用加密，流量添充等。TCP/IP网络层及其平安Internet协议(IP)：IP报头中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。这个字段包括一些信息，如IP的版本号，长度，效劳类型和其它配置等。黑客经常利用一种叫做IP欺骗的技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗Lab6-1：安装网络包捕获软件，捕获包信息，分析IP报头TCP/IP网络层及其平安Internet控制信息协议〔ICMP〕：Internet控制信息协议〔ICMP〕报文由接收端或者中间网络设备发回给发送端，用来在TCP/IP包发送出错时给出回应。ICMP消息类型ICMP消息包含三个字段：Type、Code和Checksum，Type和Code字段决定了ICMP消息的类型。0——响应回复：Ping命令发回的包；3——目标不可达：由Router发回。Code0：网络不可达；Code1：主机不可达；Code2：协议不可达；Code3：端口不可达。8——响应请求：由Ping命令发出；阻止ICMP消息近来的攻击方法包括TribalfloodNetwork〔TFN〕系列的程序利用ICMP消耗带宽来有效地摧毁站点。到今天，微软的站点对于ping并不做出响应，因为微软已经过滤了所有的ICMP请求。一些公司现在也在他们的防火墙上过滤了ICMP流量。Lab6-2：通过网络包捕获软件，捕获ICMP包，分析ICMP报头TCP/IP传输层及其平安传输控制协议〔TCP〕TCP是一个面向连接的协议：对于两台计算机的通信，它们必须通过握手过程来进行信息交换。TCP包头TCP包头的标记区建立和中断一个根本的TCP连接。有三个标记来完成这些过程：SYN：同步序列号；FIN：发送端没有更多的数据要传输的信号；ACK：识别数据包中确实认信息。建立一个TCP连接：SYN和ACK经过三次握手。中止一个TCP连接：FIN和ACK结束一个TCP连接的四个根本步骤。攻击TCPSYN溢出是TCP的最常见威胁，黑客能够建立多个TCP半连接，当效劳器忙于创立一个端口时，黑客留给效劳器一个连接，然后又去建立另一个连接并也留给效劳器。这样建立了几千个连接，直到目标效劳器翻开了几百个或上千个半连接。因此，效劳器的性能受到严重限制，或效劳器实际已经崩溃。防火墙必须配置为能够侦测这种攻击。Lab6-3：通过网络包捕获软件，捕获TCP包，分析TCP报头TCP/IP传输层及其平安用户数据报协议〔UDP〕UDP是一个非面向连接的协议。它经常用做播送类型的协议，如音频和视频数据流。UDP很少有平安上的隐患。因为主机发出一个UDP信息并不期望收到一个回复，在这种数据报文里面嵌入一个恶意的活动是很困难的。Lab6-4：通过网络包捕获软件，捕获UDP包，分析UDP报头TCP/IP应用层及其平安文件传输协议〔FTP〕FTP用两个端口通信：利用TCP21端口来控制连接的建立，控制连接端口在整个FTP会话中保持开放。FTP效劳器可能不需要对客户端进行认证：当需要认证时，所有的用户名和密码都是以明文传输的。同样使用的技术包括FTP效劳器上的日志文件，黑客添满硬盘，使日志文件没有空间再记录其它事件，这样黑客企图进入操作系统或其它效劳而不被日志文件所检查到。因此，推荐将FTP根目录与操作系统和日志文件分别放在不同的分区上。超文本传输协议〔HTTP〕HTTP有两种明显的平安问题：客户端浏览应用程序和HTTP效劳器外部应用程序。对用Web用户的一个平安问题是下载有破坏性的ActiveX控件或JAVAapplets。这些程序在用户的计算机上执行并含有某种类别的代码，包括病毒或特洛伊木马。为了扩大和扩展Web效劳器的功能，一些扩展的应用程序可以参加到HTTP效劳器中。这些扩展的应用程序包括JAVA，CGI，AST等等。这些程序都有一些平安漏洞，一旦Web效劳器开始执行代码，那么它有可能遭到破坏。对于这种破坏的保护方法是留意最新的平安补丁，下载并安装这些补丁。TCP/IP应用层及其平安TelnetTelnet是以明文的方式发送所有的用户名和密码的。有经验的黑客可以劫持一个Telnet会话。因此，它不应该应用到互联网上。你还应该在防火墙上过滤掉所有的Telnet流量。简单网络管理协议〔SNMP〕SNMP允许管理员检查状态并且有时修改SNMP节点的配置。它使用两个组件，即SNMP管理者和SNMP节点。SNMP通过UDP的161和162端口传递所有的信息。SNMP所提供的唯一认证就是communityname。如果一个黑客危及到communityname，他将能够查询和修改网络上所有使用SNMP的节点。另一个平安问题是所有的信息都是以明文传输的。SNMP是在你公司私有的网络中可用的网络管理解决方案，但是所有的SNMP流量要在防火墙上过滤掉。TCP/IP应用层及其平安域名系统〔DNS〕DNS使用UDP53端口解析DNS请求，但是在执行区域传输时使用TCP53端口。区域传输是以下面两种情况完成的：一个客户端利用nslookup命令向DNS效劳器请求进行区域传输；当一个附属域名效劳器向主效劳器请求得到一个区域文件；针对DNS常见的两种攻击是：DNS中毒：黑客注入错误的数据到区域传输中，其结果使得其产生错误的映射。获得非法的区域传输：黑客可以攻击一个DNS效劳器并得到它的区域文件。这种攻击的结果是黑客可以知道这个区域中所有系统的IP地址和计算机名字。Lab6-5：通过Whois、Nslookup查询ciwcertified域名DNS中的记录使用地址转换隐藏私有地址网络地址转换使用地址转换隐藏私有地址端口地址转换使用过滤路由器的访问控制列表保护网络第二局部信息平安的实际解决方案网络信息平安讲座五、防火墙技术防火墙的体系结构包过滤防火墙包过滤防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规那么。包过滤规那么路的样本：包过滤的优点是：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。包过滤最大的缺点就是：不能分辨哪些是“好〞包哪些是“坏〞包，对包哄骗没有防范能力；不支持更多的其他验证，如用户认证；创立这些规那么非常消耗时间。Lab6-6：安装MicrosoftISAServer2004规则协议类型源地址目的地址源端口目的端口措施1TCP/2455>102322允许2TCP任意54>102380允许3TCP任意50>102325允许4UDP任意52>102353允许5UDP任意53>102353允许6任意任意任意任意任意禁止应用级网关应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络效劳器单独的连接。网络内部的用户不直接与外部的效劳器通信，所以效劳器不能直接访问内部网的任何一局部。应用级网关可以作为一些应用程序如电子邮件、FTP、Telnet、WWW等的中介。使用应用级网关的优点有：指定对连接的控制。通过限制某些协议的传出请求，来减少网络中不必要的效劳。大多数代理防火墙能够记录所有的连接，包括地址和持续时间。使用应用级网关的缺点有：必须在一定范围内定制用户的系统，这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。Lab6-7：安装MicrosoftISAServer2004，配置应用效劳发布规那么包过滤防火墙与应用级网关图示电路级网关电路级网关型防火墙的运行方式与应用级网关型防火墙很相似，但是它有一个典型的特征，它更多的是面向非交互式的应用程序。在用户通过了最初的身份验证之后，电路级网关型防火墙就允许用户穿过网关来访问效劳器了，在此过程中，电路级网关型防火墙只是简单的中转用户和效劳器之间的连接而已。电路级网关型防火墙的典型应用例子就是代理效劳器和SOCKS效劳器。电路级网关通常提供一个重要的平安功能：网络地址转移〔NAT〕，将所有公司内部的IP地址映射到一个“平安〞的IP地址。电路级网关的优缺点：电路级网关的主要优点就是提供NAT，在使用内部网络地址机制时为网络管理员实现平安提供了很大的灵活性。电路级网关一个主要的缺点是需要修改应用程序和执行程序，并不是所有的应用程序都被编写成可与电路级代理一起工作的。状态包检测型防火墙状态包检测型防火墙是使用了一种SPI引擎的方式来工作的。它是前三种防火墙的一个折中。状态包检测型防火墙的运行方式是：1.检查数据包SYN位并作出判断是否是正在进行连接的，如果是，对数据包内容进行检查，否那么检查数据包是否符合连接规那么，如果符合规那么，那么对数据包内容进行检查，如果不符合就进行阻隔。2.数据包通过内容检查，如果不符合就阻隔，符合那么进行策略集对数据包内容检查，如果策略集检查通过，那么数据送往目的地址并更新对话列表，进行日值记录，如果不通过，那么进行阻隔。防火墙的配置方案双宿主机网关〔DualHomedGateway〕防火墙的配置方案屏蔽主机网关〔ScreenedHostGateway〕防火墙的配置方案屏蔽子网〔ScreenedSubnet〕第二局部信息平安的实际解决方案网络信息平安讲座六、VPN技术为什么需要VPN？企业联网的需求为什么不选择加密的链路VPN能带来奇迹吗？第二局部信息平安的实际解决方案网络信息平安讲座六、VPN技术VPN技术详解提纲VPN简介VPN的典型应用VPN的平安性已有的VPN解决方案

基于IPSec的VPN解决方案

基于第二层的VPN解决方案基于IPSec的VPN解决方案基于第二层的VPN解决方案Point-to-PointTunnelingProtocol第二层隧道协议提供PPTP客户机和PPTP效劳器之间的加密通信Point-to-PointProtocol(PPP)协议的扩展允许封装多种协议：TCP/IP、IPX等使用RSA公司的RC4加密方法，但不进行隧道验证用户需要在客户端配置PPTPInternetRemotePPTPClientISPRemoteAccessSwitchPPTPRASServerCorporateNetworkLayer2TunnelingProtocol(L2TP)第二层隧道协议结合并扩展了PPTP和L2F(Ciscosupportedprotocol)对隧道进行验证，但对传输中的数据不加密没有包括数据包的验证、数据完整性和密钥管理InternetRemoteL2TPClientISPL2TPConcentratorL2TPServerCorporateNetworkVPN的工作原理

IPSecInternet密钥交换解析建立VPN通道的四种方式一个完整的VPN工作原理图IPSec的根本概念平安关联IPSec框架的组成认证头部AH传输模式下的AH认证工作原理通道模式下的AH认证工作原理负载平安封装〔ESP〕传输模式下的ESP工作原理通道模式下的ESP工作原理组合IPSec协议为什么还要AH协议？Internet密钥交换协议概要ISAKMP/Oakley阶段一工作原理ISAKMP/Oakley阶段二工作原理VPN通道的建立方式

Host对HostHost对VPN网关

VPN网关对VPN网关

RemoteUser对VPN网关Host对HostHost对VPN网关VPN网关对VPN网关RemoteUser对VPN网关VPN工作原理图VPN的具体应用

用VPN连接分支机构用VPN连接业务伙伴用VPN连接远程用户用VPN连接分支机构用VPN连接业务伙伴用VPN连接远程用户Client/ServerVPNsInternetLANclientsDatabaseServerLANclientswithsensitivedataClient/ServerVPN保护较为敏感的内部通信防止内部的攻击一个企业级VPN的组成CorporateNetworkPKIorRADIUSBusinessPartnerBranchOfficeRemoteWorkerVPNGatewayVPNGatewayVPNApplianceVPNClientVPNApplianceDatabaseServerVPNClientVPN设备容易被攻击例如：denialofservice〔DOS〕需要在防火墙上开通VPN流量的通道VPN流量的平安性得不到保证VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同种类的VPN/Firewall结构VPNdeviceisvulnerabletoattackeg.denialofserviceTwoconnectionstothefirewallforeverycommunicationrequestBypassessecuritypolicyDenialofserviceVPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet只有VPN/firewall集成的解决方案才能实现完全的访问控制和全局一致的安全策略不同种类的VPN/Firewall结构第二局部信息平安的实际解决方案网络信息平安讲座七、入侵检测系统为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得网络平安工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystemIDS根本结构入侵检测系统包括三个功能部件〔1〕信息收集〔2〕信息分析〔3〕结果处理信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的假设干不同关键点〔不同网段和不同主机〕收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动〞类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变〔包括修改、创立和删除〕，特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件信息分析模式匹配统计分析完整性分析，往往用于事后分析模式匹配模式匹配就是将收集到的信息与的网络入侵和系统误用模式数据库进行比较，从而发现违背平安策略的行为一般来讲，一种攻击模式可以用一个过程〔如执行一条指令〕或一个输出〔如获得权限〕来表示。该过程可以很简单〔如通过字符串匹配以寻找一个简单的条目或指令〕，也可以很复杂〔如利用正规的数学表达式来表示平安状态的变化〕统计分析统计分析方法首先给系统对象〔如用户、文件、目录和设备等〕创立一个统计描述，统计正常使用时的一些测量属性〔如访问次数、操作失败次数和延时等〕测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效入侵检测性能关键参数误报(falsepositive)：如果系统错误地将异常活动定义为入侵漏报(falsenegative)：如果系统未能检测出真正的入侵行为入侵检测的分类〔1〕按照分析方法〔检测方法〕异常检测模型〔AnomalyDetection):首先总结正常操作应该具有的特征〔用户轮廓〕，当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型〔MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源误用检测模型如果入侵特征与正常的用户行能匹配，那么系统会发生误报；如果没有特征能与某种新的攻击行为匹配，那么系统会发生漏报特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力入侵检测的分类〔2〕按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型黑客入侵的过程和阶段Phase3:Attack/ControlResources·

Passwordattacks·

Privilegegrabbing·

TrojanHorse·

Vandalism·

AuditTrailTampering·

AdminChanges·

TheftInternetNetworkIDSHostIDSPhase2:PenetratePerimeter·

App.Attack·

Spoofing·

Protocolexploits

DenialofService·Phase1:Discover&Map·

Scanning&probingAutomatedInternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHost-based入侵检测HackerHost-basedIDSHost-basedIDSInternet基于主机入侵检测系统工作原理网络效劳器1客户端网络效劳器2X检测内容：系统调用、端口调用、系统日志、平安审记、应用日志HIDSXHIDS在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据基于网络InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-based入侵检测Network-basedIDSNetwork-basedIDSNetwork-basedIDSInternetNIDS基于网络入侵检测系统工作原理网络效劳器1数据包=包头信息+有效数据局部客户端网络效劳器2X检测内容：包头信息+有效数据局部两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感制订响应策略应考虑的要素系统用户：入侵检测系统用户可以分为网络平安专家或管理员、系统管理员、平安调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待操作运行环境：入侵检测系统提供的信息形式依赖其运行环境系统目标：为用户提供关键数据和业务的系统，需要局部地提供主动响应机制规那么或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他平安产品交互FirewallSNMPTrapIDS现状基于主机和基于网络的入侵检测系统采集、分析的数据不全面入侵检测由各个检测引擎独立完成，中心管理控制平台并不具备检测入侵的功能，缺乏综合分析在响应上，除了日志和告警，检测引擎只能通过发送RST包切断网络连接，或向攻击源发送目标不可达信息来实现平安控制NIDS的部署：共享媒介HUBIDSSensorMonitoredServersConsoleNIDS的部署：交换环境SwitchIDSSensorMonitoredServersConsole通过端口镜像实现〔SPAN/PortMonitor〕IDS的产品免费SnortSHADOWIDS的产品商业软件CyberCopMonitor,NAIDragonSensor,EnterasyseTrustIDS,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,Intrusion第二局部信息平安的实际解决方案网络信息平安讲座八、无线局域网络的应用与平安无线局域网简介无线局域网(WLAN)什么是无线局域网？无线局域网是固定局域网的一种延伸。没有线缆限制的网络连接。对用户来说是完全透明的，与有线局域网一样。AccessPointAirinterfaceWLANCard无线局域网的传输媒体红外线系统红外线局域网采用小于1微米波长的红外线作为传输媒体，有较强的方向性，使用不受无线电管理部门的限制。红外信号要求视距传输，并且窃听困难，对邻近区域的类似系统也不会产生干扰。在实际应用中，由于红外线具有很高的背景噪声，受日光、环境照明等影响较大。无线电波采用无线电波作为无线局域网的传输介质是目前应用最多的，这主要是因为无线电波的覆盖范围较广，应用较广泛，具有很强的抗干扰抗噪声能力、抗衰落能力。另一方面无线局域使用的频段主要是S频段〔2.4GHz～2.4835GHz〕，这个频段也叫ISM〔IndustryScienceMedical〕即工业科学医疗频段，该频段在美国不受美国联邦通信委员会的限制。WLAN标准协议目前国际上有三大标准家族美国IEEE802.11家族欧洲ETSI高性能局域网HIPERLAN系列日本ARIB移动多媒体接入通信MMAC其它类似标准：美国HomeRF共享无线接入协议SWAP2003年1月，由于Intel等公司的退出，该组织已经解散IEEE802.11系列标准是WLAN的主流标准！IrDA协议最常见的无线网络应用就是红外线传输，目前几乎所有笔记型计算机都已经将红外线网络(IrDA，InfraredDataAssociation)作为标准配备。目前红外线传输大致有三种模式：直接式红外线连接(DB/IR)直接式红外线连接模式下利用红外线传输资料时，二个互通的点(可以是二部计算机)必须是在相互可看见的同一在线(LineofSight)，而且不能有任何阻隔散射式红外线连接(DF/IR)散射式红外线连接模式下那么不需是LineofSight，但必须是在同一个封闭的空间内全向性红外线(Omini/IR)全向性红外线那么是利用一个红外线的基地台，这个基地台(BaseStation，BS)是全向性的，而工作站上的红外线那么是定向性的发射器指向此基地台IEEE802.11WLAN系列物理层标准标准

内

容

状态

802.11IR

红外线传输

1997年标准化

802.11FHSS2.4GHz频段跳频扩频

1997年标准化

802.11DSSS2.4GHz频段直接序列扩频（Barker码）

1997年标准化

802.11b高速率扩展

2.4GHz频段直接序列扩频(Barker码,CCK)，PBCC(可选)1999年标准化802.11a高速率扩展

5GHz频段OFDM1999年标准化

802.11g进一步高速率扩展2.4GHz频段OFDM,PBCC(可选)2003年标准化

802.11d管制域更新。定义物理层需求(信道化、跳频模式等)和其它需求，以便802.11WLAN能在当前标准不支持的新管理区域(国家)工作

2001年标准化

802.11h802.11a频谱和发射功率管理(主要用于欧洲)正在标准化

IEEE802.11WLAN系列(续)主要的物理层技术标准比较802.11802.11b802.11g802.11a可用频谱带宽83.5MHz83.5MHz83.5MHz125MHz在中国的工作频率2.400-2.4835GHz2.400-2.4835GHz2.400-2.4835GHz5.725-5.85GHz互不重叠的信道数3335,13-24(US)调制方法FHSS,DSSSCCKCCK,OFDMOFDM每个信道的最大数据速率(Mbps)1,21,2,5.5,111,2,5.5,6,9,11,12,18,

24,36,48,546,9,12,18,

24,36,48,54最大UDP吞吐量

(1500byte)1.7Mbps7.1Mbps19.5Mbps30.7Mbps最大TCP/IP吞吐量(1500byte)1.6Mbps5.9Mbps14.4Mbps24.0Mbps蓝牙(Bluetooth)标准Bluetooth的开展方案中，是将其定位为低本钱、低功率、涵盖范围小的跳频(FrequencyHopping)RF系统，其设计适用于连结计算机与计算机、计算机与周边以及计算机与其它行动数据装置(如行动、呼叫器、PDA等)。由于BluetoothModule可以轻易植入任何电子产品，因此使用者通过任何Bluetooth装置与这些产品沟通，例如：BluetoothtoCableModem、BluetoothtoxDSL、BluetoothtoCellPhone等等。Bluetooth的频宽目前可达1Mbps。家庭网络的HomeRF标准HomeRF是建构在ShareWirelessAccessprotocol(SWAP)的技术上，它的想法是将其应用于家庭网络上。它不只是数据的传送，更整合了语音传输的能力。所以它可以将计算机网络与网络结合，提供一个更完整的解决方案。HomeRF目前的频宽大约是1~10Mbps。无线局域网组网模式〔1〕Infrastructure模式这种模式通过数张无线网络卡〔USB，PCI或PCMCIA接口〕及一台无线网桥(AP)，通过AP实现无线网络内部及无线网络与有线网络之间的互通无线局域网组网模式〔2〕Ad-Hoc模式数张无线网卡〔USB,PCI或PCMCIA接口〕可以自成网络，无需AP，组成一种临时性的松散的网络组织方式，实现点对点与点对多点连接。不过这种方式就不能连接外部网络。无线局域网组网模式〔3〕室外无线网桥第二局部信息平安的实际解决方案网络信息平安讲座八、无线局域网络的应用与平安无线局域网的平安无线局域网平安状况由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。无线局域网必须考虑的平安威胁有以下几种：所有常规有线网络存在的平安威胁和隐患都存在；外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；无线网络易被拒绝效劳攻击〔DOS〕和干扰；内部员工可以设置无线网卡为P2P模式与外部员工连接；无线网络的平安产品相对较少，技术相比照较新。无线局域网平安的主要技术〔1〕效劳集标识符〔SSID，ServiceSetID〕通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的平安。物理地址〔MAC，MediaAccessController〕过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这也是较低级别的授权认证。无线局域网平安的主要技术〔2〕连线对等保密〔WEP，WiredEquivalentProtection〕在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。但是它仍然存在许多缺陷，例如一个效劳区内的所有用户都共享同一个密钥，一个用户丧失或者泄漏密钥将使整个网络不平安。端口访问控制技术〔802.1x〕IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代平安标准，这种平安标准为了增强WLAN的数据加密和认证性能，定义了RSN〔RobustSecurityNetwork〕的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。WAPI协议我国早在2003年5月份就提出了无线局域网国家标准GB15629.11，这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI〔WLANAuthenticationandPrivacyInfrastructure〕平安机制，这种平安机制由WAI〔WLANAuthenticationInfrastructure〕和WPI〔WLANPrivacyInfrastruc－ture〕两局部组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的平安保护。WEP、IEEE802.11i、WAPI三者之间的比较

WEPIEEE802.11iWAPI认

证

特征

对硬件认证，单向认证。

无线用户和RADIUS服务器认证，双向认证，无线用户身份通常为用户名和口令。

无线用户和无线接入点的认证，双向认证，身份凭证为

公钥数字证书。

性能

认证过程简单

认证过程复杂，RADIUS服务器不易扩充。

认证过程简单，客户端可支持多证书，方便用户多处使用，充分保证其漫游功能，认证单元易于扩充，支持用户的异地接入。

安全漏洞

认证易于伪造，降低了总安全性。

用户身份凭证简单，易于盗取，共享密

钥管理存在安全隐患。

无

算法

开放式系统认证，共享密

钥认证。

未确定

192/224/256位的椭圆曲线签名算法。

安全强度

低

较高

最高

扩展性

低

低

高

加密

算法

64位的WEP流加密。

128位的WEP流加密，128位的AES加密算法。

认证的分组加密。

密

钥

静态

动态（基于用户、基于认证、通信过程中动态更新）

动态（基于用户、基于认证、通信过程中动态更新）

安全强度

低

高

最高

中国法规

不符合

不符合

符合

第二局部信息平安的实际解决方案网络信息平安讲座九、电子商务平安电子商务效劳效劳供给商通过电子商务在Internet上以更低的本钱向客户提供信息来增加收入，电子商务的另一项效劳是为敏感而机密信息提供电子库功能。电子商务效劳与常规DMZ效劳的区别可以通过与Internet连接所需要的类似架构提供电子商务效劳，Web效劳器、邮件效劳器和通信线路都是需要的。但是，电子商务的设计与常规Internet效劳在设计上还是存在区别的。DMZ服务电子商务服务组织希望向公众提供信息（Web）或者在组织员工与公众之间传送信息（邮件）；Web服务和邮件服务一般是开放的，一般不需要对来源进行验证。组织仍然希望联系公众，但必须知道哪些人预订了货物，哪些人为货物付款。也就是需要验证订购货物人的身份。信息的机密性要求不高需要维护信息的机密性，如订购货物的信息，信用卡信息，客户信息等服务的可用性要求不高需要考虑服务的可用性问题电子商务效劳的可用性问题全球时间Internet电子商务站点需要以每天24小时的运作方式接受来自全球的商务定单。除非一些组织可能将其产品定位于本地公众。客户的满意程度可用性带来客户的满意程度，并将这一满意度通过Internet迅速进行扩散。解决可用性的问题在实施电子商务效劳之前，必须决定站点需要什么样的可用性。常见提高可用性的方案包括：故障转移系统复原方案冗余措施，防止系统的单点失败客户端平安性通信平安电子商务应用程序的通信平安包括了在客户系统和电子商务效劳器之间发送的信息的平安。这可能包括信用卡信息，站点的密码，客户文件等这样的敏感信息针对这一问题的可行方案：基于SSL的HTTP效劳：SSL的密钥长度可以是40位或128位，密钥长度直接影响了加密通信数据的平安性。在客户系统上保存信息HTTP和HTTPS是不保存状态的协议，意味着效劳器不会记得它刚刚向这个浏览器加载了这个页面。为使Web浏览器和Web效劳器从事跨Internet的商务，效劳器必须记住客户做过什么，一种Web效劳器可以采用的方法是使用Cookie。使用Cookie的风险是客户或访问客户计算机的其他人可以看到Cookie中的内容，包括密码或其他认证信息。另一种风险是如果Cookie包括有关客户订单的信息，那么客户或许可以改变货物的价格。可以通过使用非永久性加密Cookie来管理这些风险。非永久性确保其不会写入客户系统磁盘，加密那么确保捕获的Cookie的低风险。否认与电子商务客户端相关的另一种风险是客户端或消费者对交易否认的可能性。管理这种风险的方法是通过认证来判断：使用信用卡采购；通过验证身份后才能访问某些信息的效劳。效劳器端平安性存储在效劳器上的信息如果电子商务效劳器用于接受信用卡交易，那么应该立刻将卡号转换到实际交易处理的系统上，不应该在效劳器上保存任何卡号。如果信息必须保存在电子商务效劳器上，那么应该保护它不受未经授权的访问。可以使用文件访问控制来实现这一点。保护效劳器不受攻击效劳器的位置效劳器的物理位置必须确保平安；效劳器的网络位置也很重要，电子商务效劳器应当处于DMZ中，并且应该将防火墙配置为只允许对电子商务效劳器的80端口和443端口进行访问。操作系统配置最好选择管理人员熟悉的操作系统，而不是选择不熟悉的操作系统。平安配置效劳器的第一个步骤是删除或关闭所有不需要的效劳，下一步是对系统进行修补，检查最新的补丁程序是否安装，最后还要检查和设置系统的平安策略，设置较为严格的平安策略。在系统投入实际运行之前，还应该对其脆弱点进行扫描，发现新的脆弱点并立即修补。Web效劳器配置永远不要以根用户或管理员的身份运行Web效劳器每一个Web效劳器都需要由管理员定义效劳器根目录，他不应该与系统的根目录相同，也不应该包括对组织很重要的配置文件和平安文件。大多数Web效劳器都带有CGI脚本，一些默认的脚本存在非常严重的脆弱点，应该删除Web站点不使用的、Web效劳器自带的所有脚本，以防止攻击者使用他们获得对系统的访问。与操作系统一样，在系统实际投入使用前，应对其进行脆弱点扫描，发现新脆弱点并立即修补。应用程序的平安性正确的应用程序设计正确的编程设计程序是系统脆弱点的主要根源，最大的错误是潜在的缓冲溢出，可以通过修正两个错误来减少缓冲溢出的问题：不要假设用户输入的大小；不要向命令解释程序传递未经检查的用户输入。向外界展示代码在站点投入实际使用之前，应该使用脆弱点扫描程序对为人熟知的程序和脚本的缓冲溢出问题进行检查，这一步骤是非常关键的。还应该通