络安全主题班会课件 一六

安全现状及关键技术简介计算机网络安全培训人:XXXX时间:二二X.X一网络安全事件二网络攻击类型与解决三保障网络安全关键技术CONTENT目录网络安全事件wangluoanquanshijian一网络安全事件有关报道

据联邦调查局统计,美国每年因网络安全造成损失高达七五亿美元.

据美国金融时报报道,世界上平均每二秒就发生一次入侵国际互联网络计算机安全事件,三分之一防火墙被突破.

美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称:给我精选一名“黑客”,组成个小组,九天内,我将使美国趴下.

超过五%攻击来自内部,其次是黑客.案例一:某电子商务网站被攻击主服务器遭到黑客攻击后瘫痪在启用备份服务器后,数据大部分被删除有CheckPoint防火墙,但防火墙行同虚设主机上没有作过多配置,存在大量服务安装了pcAnywhere远程控制软件

现象案例一教训在遭到黑客攻击后应采取措施关键数据备份主机日志检查与备份主机服务端口关闭主机可疑进程检查主机帐号修改防火墙策略修改启用防火墙日志详细记录避免使用危险进程利用DiskRecovery技术对硬盘数据进行恢复案例二:中国电信信息港被攻击遭到黑客DDOS攻击服务器被瘫痪,无法提供正常服务来源地址有三多个,多数来自与国内有一部分攻击主机是电信内部IP地址

案例加强对骨干网设备监控减少骨干网上主机存在漏洞在受到攻击时,迅速确定来源地址,在路由器和防火墙上作一些屏蔽实现IDS和防火墙联动

教训二网络攻击类型与解决wangluogongjileixingyujiejue案例一:某电子商务网站被攻击一、信息收集

入侵者攻击第一步就是尽一切可能对攻击目标进行信息收集以获取充足资料.采取方法包括:使用whois工具获取网络注册信息；使用nslookup或dig工具搜索DNS表以确定机器名称；确定了攻击目标基本属性（站点地址、主机名称）,入侵者将对它们进行深入剖析.使用ping工具探寻“活”着机器；对目标机器执行TCP扫描以发现是否有可用服务.黑客入侵步骤二、实施攻击

列举两种攻击方法:（一）通过发送大量数据以确定是否存在缓冲区溢出漏洞.所谓缓冲区溢出:指入侵者在程序有关输入项目中了输入了超过规定长度字符串,超过部分通常就是入侵者想要执行攻击代码,而程序编写者又没有进行输入长度检查,最终导致多出攻击代码占据了输入缓冲区后内存而执行.（二）尝试使用简单口令破解登录障碍.三、安装后门,清除日志对于入侵者而言,一旦成功地入侵了网络中一台机器,入侵者现在要做就是隐藏入侵痕迹并制造日后再攻后门,这就需要对日志文件或其他系统文件进行改造,或者安装上木马程序、或者替换系统文件为后门程序.SQLInjection攻击原理漏洞分析─Script描述語言ASP程序语言为一种Script描述语言.Script描述语言特点:

在程序执行以前,所有原先是变数地方,都会被替换成当时输入值.select*fromAccountswhereId=‘输入密码’

andPassword=‘输入密码’因此若输入帐号为「a’or‘’=‘’」,输入密码为「a’or‘’=‘’」,則原先SQL指令就被改成了select*fromAccountswhereId=‘a’or‘’=‘’andPassword=‘a’or‘’=‘’SQLInjection攻击原理SQLInjection攻击原理服务器端程序select*fromAccountswhereId=‘Id’andPassword=‘Password’恶意使用者输入范例一:Login:'or''=‘Password:'or''=‘原SQL指令变成

select*fromAccountswhereId=''or''=''andPassword=''or''=''Internet攻击类型一一、拒绝服务攻击PING风暴（PINGFlooding）PING命令是用来在网络中确认特定主机是否可达,但它也被用作攻击主机手段.二同步包风暴（SYNFlooding）,同步风暴是应用最为广泛一种DOS攻击方式.三电子邮件炸弹（E-mailBomb）.电子邮件炸弹目是通过不断地向目标E-MAIL地址发送垃圾邮件,占满收信者邮箱,使其无法正常使用.

四Land攻击,Land攻击原理是:向目标主机某个开放端口发送一个TCP包,并伪造TCP/IP地址,使得源IP地址等于目标IP地址,源端口等于目标端口,这样,就可以造成包括WINDOWS二在内很多操作平台上主机死机.Internet攻击类型二、后门

“后门”一般隐藏在操作系统或软件中,不为使用者知晓为漏洞,而它可使某些人绕过系统安全机制获取访问权限.黑客可利用一些“扫描机（scanners）”小程序,专门寻找上网用户系统漏洞,例如NetBIOS及Windows“文件及打印共享”功能所打开系统后门.一旦扫描程序在网上发现了系统存在着漏洞,那些恶意攻击者就会设法通过找到“后门”进入你计算机,并获取你信息.所有这些非法入侵行为,你可能毫无查觉.Internet攻击类型三、远程缓冲溢出攻击缓冲区溢出漏洞是一种利用了C程序中数组边界条件、函数指针等设计不当而造成地址空间错误来实现.大多数Windows、Linux、Unix、数据库系统开发都依赖于C语言,而C缺点是缺乏类型安全,所以缓冲区溢出成为操作系统、数据库等大型应用程序最普遍漏洞.四、网络攻击网络攻击主要手段表现为端口扫描,端口扫描目是找出目标系统中所提供服务,它逐个尝试与TCP/UDP端口建立连接,然后根据端口与服务对应关系,综合服务器端反应来判断目标系统运行了哪些服务.利用端口扫描,黑客可以判断目标主机操作系统类型及端口开放情况,然后实施攻击.Internet攻击类型五、特洛伊木马攻击

“特洛伊木马程序”是黑客常用攻击手段.它通过在你电脑系统隐藏一个在Windows启动时悄悄运行程序,采用服务器/客户机运行方式,从而达到在你上网时控制你电脑目.黑客可以利用它窃取你口令、浏览你驱动器、修改你文件、注册表等.特洛伊木马不仅可收集信息,它还可能破坏系统,特洛伊木马不能自身复制,因此,它不属于计算机病毒.Internet攻击类型六.网络病毒

Internet开放性,为病毒滋生、变种和传播提供了一个无限广阔空间.病毒是将自身依附于其他软件一段程序,目是破坏计算机系统数据或硬件,有许多专业反病毒软件公司开发出了很多优秀杀毒软件,反病毒关键是找出病毒特征码,并且定期更新病毒数据库.网络病毒传播主要途径是电子邮件附件,此外,下载文件、浏览网页等也都有可能让病毒有入侵机会.网络安全目标篡

改冒名传送窃听否认传送网际网络机密性完整性身份认证不可否认性使用者甲使用者乙访问攻击访问攻击是攻击者企图获得非授权信息,这种攻击可能发生在信息驻留在计算机系统中或在网络上传输情况下,这类攻击是针对信息机密性攻击.常见访问攻击窥探（snooping）是查信息文件,发现某些对攻击者感兴趣信息.攻击者试图打开计算机系统文件,直到找到所需信息.-一--二--三-

窥探窃听（eavesdropping）是偷听他人对话,为了得到非授权信息访问,攻击者必须将自己放在一个信息通过地方,一般采用电子窃听方式.截获（interception）不同于窃听,它是一种主动攻击方式.攻击者截获信息是通过将自己插入信息通过通路,且在信息到达目地前能事先捕获这些信息.攻击者检查截获信息,并决定是否将信息送往目站,如图所示.

窃听

截获常见访问攻击对传输中信息可通过窃听获得.在局域网中,攻击者在联到网上计算机系统中安装一个信息包探测程序（sniffer）,来捕获在网上所有通信.通常配置成能捕获ID和口令.窃听也可能发生在广域网（如租用线和电话线）中,然而这类窃听需要更多技术和设备.通常在设施接线架上采用T形分接头来窃听信息.它不仅用于电缆线,也可用于光纤传输线,但需要专门设备.三保障网络安全关键技术baozhangwnagluoanquandeguanjianjishu保障网络安全关键技术一身份认证技术二访问控制技术三密码技术四防火墙技术五身份认证技术六安全审计技术防火墙技术(Firewall)

在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开方法,它实际上是一种隔离技术.防火墙是在两个网络通讯时执行一种访问控制尺度,它能允许你“同意”人和数据进入你网络,同时将你“不同意”人和数据拒之门外,最大限度地阻止网络中黑客来访问你网络.换句话说,如果不能通过防火墙,公司内部人就无法访问Internet,Internet上人也无法和公司内部人进行通信.在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间任何活动,保证了内部网络安全.防火墙防火墙（FireWall）是一种位于两个或多个网络间,实施网络之间访问控制组件集合.它实际上是一种隔离技术.它能允许你“同意”数据进入你网络,同时将你“不同意”数据拒之门外,最大限度地阻止网络中黑客访问你网络.

防火墙（一）过滤一些不安全服务和非法用户,防止未授权用户访问安全网络（二）控制对特殊站点或端口访问,防火墙可以根据安全策略允许受保护网络一部分主机被外部网络访问,而另一部分主机则被很好地保护起来.（三）作为网络安全集中监测点,防火墙可以记录所有通过它访问,并提供统计数据、预警和审计功能.防火墙功能防火墙局限（一）不能防范恶意知情者从内部攻击（二）不能防范不通过防火墙联接（三）防火墙不能防范病毒入侵检测技术(IDS)入侵检测概念（IntrusionDetectionSystem）通过从计算机网络或计算机系统中若干关键点收集信息并进行分析,以发现网络或系统中是否有违反安全策略行为和遭受袭击迹象.入侵检测是对防火墙合理补充,被认为是防火墙之后第二道安全闸门.知识库待检测数据包入侵检测:入侵否?响应继续监听,检测下一个数据包数据加密与数字认证数据加密和数字认证是网络信息安全核心技术.其中,数据加密是保护数据免遭攻击一种主要方法；数字认证是解决网络通信过程中双方身份认可,以防止各种敌手对信息进行篡改一种重要技术.数据加密和数字认证联合使用,是确保信息安全有效措施.一、密码学与密码技术计算机密码学是研究计算机信息加密、解密及其变换新兴科学,密码技术是密码学具体实现,它包括四个方面:保密(机密)、消息验证、消息完整和不可否认性.

一保密（privacy）:在通信中消息发送方与接收方都希望保密,只有消息发送者和接收者才能理解消息内容.二验证（authentication）:安全通信仅仅靠消息机密性是不够,必须加以验证,即接收者需要确定消息发送者身份.三完整（integrity）:保密与认证只是安全通信中两个基本要素,还必须保持消息完整,即消息在传送过程中不发生改变.四不可否认（nonrepudiation）:安全通信一个基本要素就是不可否认性,防止发送者抵赖（否定）.二、加密和解密密码技术包括数据加密和解密两部分.加密是把需要加密报文按照以密码钥匙（简称密钥）为参数函数进行转换,产生密码文件；解密是按照密钥参数进行解密,还原成原文件.数据加密和解密过程是在信源发出与进入通信之间进行加密,经过信道传输,到信宿接收时进行解密,以实现数据通信保密.数据加密和解密过程如图所示.加密密钥报文解密原报文加密解密模型明文密文传输明文信源加密单元解密单元信宿三、密钥体系加密和解密是通过密钥来实现.如果把密钥作为加密体系标准,则可将密码系统分为单钥密码（又称对称密码或私钥密码）体系和双钥密码（又称非对称密码或公钥密码）体系.在单钥密码体制下,加密密钥和解密密钥是一样.在这种情况下,由于加密和解密使用同一密钥（密钥经密钥信道传给对方）,所以密码体制安全完全取决于密钥安全.双钥密码体制是一九七六年W.Diffie和M.E.Heilinan提出一种新型密码体制.一九七七年Rivest,Shamir和Adleman提出RSA密码体制.在双钥密码体制下,加密密钥与解密密钥是不同,它不需要安全信道来传送密钥,可以公开加密密钥,仅需保密解密密钥.四、传统加密方法保持明文次序,而把明文字符隐藏起来.

转换密码法不是隐藏它们,而是靠重新安排字母次序.二、转换密码法⑴单字母加密方法:是用一个字母代替另一个字母,它把A变成E,B变成F,C变为G,D变为H.⑵多字母加密方法:密钥是简短且便于记忆词组.

一、代换密码法就是用一页上代码来加密一些词,再用另一页上代码加密另一些词,直到全部明文都被加密.四、一次性密码簿加密法把明文中字母重新排列,字母本身不变,但位置变了.常见有简单变位法、列变位法和矩阵变位法.三、变位加密法现代加密方法

一、DES加密算法

DES加密算法是一种通用现代加密方法,该标准是在五六位密钥控制下,将每六四位为一个单元明文变成六四位密码.采用多层次复杂数据函数替换算法,使密码被破译可能性几乎没有.

二、IDEA加密算法

相对于DES五六位密钥,它使用一二八位密钥,每次加密一个六四位块.这个算法被加强以防止一种特殊类型攻击,称为微分密码密钥.

IDEA特点是用了混乱和扩散等操作,主要有三种运算:异或、模加、模乘,并且容易用软件和硬件来实现.IDEA算法被认为是现今最好、最安全分组密码算法,该算法可用于加密和解密.现代加密方法邮件内容CH=MDS(C)S=ENRSA(H)KSM=C+S随机加密密钥E一=ENIDEA(M)E二=ENRSA(K)KRP将E一+E二寄出发送邮件收到E一+E二K=DERSA(E二)KRSM=DEIDEA(E一)K将M分离成C和SH一=MD五(C)取得收信人分开密钥KPS一=DERSA(H一)KPS一=S?NoYes接收此邮件拒绝此邮件接收邮件取得收信人分开密钥KRP三、RSA公开密钥算法RSA是屹今为止最著名、最完善、使用最广泛一种公匙密码体制.RSA算法要点在于它可以产生一对密钥,一个人可以用密钥对中一个加密消息,另一个人则可以用密钥对中另一个解密消息.任何人都无法通过公匙确定私匙,只有密钥对中另一把可以解密消息.现代加密方法

四、Hash－MD五加密算法

Hash函数又名信息摘要（MessageDigest）函数,是基于因子分解或离散对数问题函数,可将任意长度信息浓缩为较短固定长度数据.这组数据能够反映源信息特征,因此又可称为信息指纹（MessageFingerprint).Hash函数具有很好密码学性质,且满足Hash函数单向、无碰撞基本要求.

五、量子加密系统

量子加密系统是加密技术新突破.量子加密法先进之处在于这种方法依赖是量子力学定律.传输光量子只允许有一个接收者,如果有人窃听,窃听动作将会对通信系统造成干扰.通信系统一旦发现有人窃听,随即结束通信,生成新密钥.

破密方法

一.密钥穷尽搜索

就是尝试所有可能密钥组合,虽然这种密钥尝试通常是失败,但最终总会有一个密钥让破译者得到原文.

二.密码分析

密码分析是在不知密钥情况下利用数学方法破译密文或找到秘密密钥.常见密码分析有如下两种:

⑴已知明文破译方法:是当密码分析员掌握了一段明文和对应密文,目是发现加密密钥.在实际应用中,获得某些密文所对应明文是可能.

⑵选定明文破译方法:密码分析员设法让对手加密一段分析员选定明文,并获得加密后结果,以获得确定加密密钥.

破密方法

三、防止密码破译措施

为了防止密码破译,可以采取一些相应技术措施.目前通常采用技术措施以下三种.

⑴好加密算法:一个好加密算法往往只有用穷举法才能得到密钥,所以只要密钥足够长就会比较安全.二世纪七～八年代密钥长通常为四八～六四位,九年代,由于发达国家不准许出口六四位加密产品,所以国内大力研制一二八位产品.

⑵保护关键密钥（KCK:KEYCNCRYPTIONKEY）.

⑶动态会话密钥:每次会话密钥不同.

动态或定期变换会话密钥是有好处,因为这些密钥是用来加密会话密钥,一旦泄漏,被他人窃取重要信息,将引起灾难性后果.数字认证技术一、数字签名

“数字签名”是数字认证技术中其中最常用认证技术.在日常工作和生活中,人们对书信或文件验收是根据亲笔签名或盖章来证实接收者真实身份.在书面文件上签名有两个作用:一是因为自己签名难以否认,从而确定了文件已签署这一事实；二是因为签名不易伪冒,从而确定了文件是真实这一事实.但是,在计算机网络中传送报文又如何签名盖章呢,这就是数字签名所要解决问题.

数字认证是一种安全防护技术,它既可用于对用户身份进行确认和鉴别,也可对信息真实可靠性进行确认和鉴别,以防止冒充、抵赖、伪造、篡改等问题.数字认证技术包括数字签名、数字时间戳、数字证书和认证中心等.数字认证技术Key数字签名初始文件签名文件加密签名文件数字签名初始文件数字摘要数字摘要正确初始文件HASH编码一致KeyKeyKey数字摘要初始文件数字签名验证及文件窜送过程在网络传输中如果发送方和接收方加密、解密处理两者信息一致,则说明发送信息原文在传送过程中没有被破坏或篡改,从而得到准确原文.传送过程如下图所示.数字签名技术随着信息时代来临,人们希望通过数字通信网络迅速传递贸易合同,数字签名应运而生了.

数字签名必须保证以下三点:a、接收者能够核实发送者对报文签名；b、发送者事后不能抵赖对报文签名；c、接收者不能伪造对报文签名.

二、数字时间戳（DTS）

在电子交易中,同样需要对交易文件日期和时间信息采取安全措施,数字时间戳就是为电子文件发表时间提供安全保护和证明.DTS是网上安全服务项目,由专门机构提供.数字时间戳是一个加密后形成凭证文档,它包括三个部分:

◆需要加时间戳文件摘要

◆DTS机构收到文件日期和时间

◆DTA机构数字签名

数字时间戳产生过程:用户首先将需要加时间戳文件用HASH编码加密形成摘要,然后将这个摘要发送到DTS机构,DTS机构在加入了收到文件摘要日期和时间信息后,再对这个文件加密（数字签名）,然后发送给用户.数字认证技术

一