安全主流產(chǎn)品與常見工具-課件

安全主流產(chǎn)品與常見工具16、云無心以出岫，鳥倦飛而知還。17、童孺縱行歌，斑白歡游詣。18、福不虛至，禍不易來。19、久在樊籠里，復(fù)得返自然。20、羈鳥戀舊林，池魚思故淵。安全主流產(chǎn)品與常見工具安全主流產(chǎn)品與常見工具16、云無心以出岫，鳥倦飛而知還。17、童孺縱行歌，斑白歡游詣。18、福不虛至，禍不易來。19、久在樊籠里，復(fù)得返自然。20、羈鳥戀舊林，池魚思故淵。安全主流產(chǎn)品與常見工具信息安全國家重點(diǎn)實(shí)驗(yàn)室課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒語文屬于小學(xué)階段的基礎(chǔ)性學(xué)科，語文學(xué)習(xí)質(zhì)量的優(yōu)劣直接影響著小學(xué)生的語言表達(dá)能力。聾生在受到先天或者后天不利因素的影響下出現(xiàn)了聽力受損以及口語障礙的問題，最終喪失了感受聽覺語言的能力，即聾生難以通過聽覺感知外界的語言，因此，在學(xué)習(xí)語言時(shí)存在很大的障礙。由于語言的貧乏，使其對很多原本常見的事物也很難用言語進(jìn)行表達(dá)，最終在語文教學(xué)中出現(xiàn)了詞不達(dá)意、語序顛倒或者是語義表達(dá)缺失等現(xiàn)象。因此，語文教師使用寫作教學(xué)策略幫助小學(xué)階段聾生提高寫句與閱讀能力十分重要。一、我國當(dāng)前聾校在小學(xué)語文教學(xué)中存在的問題在聾校的小學(xué)語文教學(xué)中，安排的課時(shí)與其他學(xué)科相比占有更多的比例。教師所花費(fèi)的教學(xué)精力很多，但是聾生的讀寫能力仍然較低。很多小學(xué)階段的聾生寫作和閱讀能力只能剛剛及格或者略高于及格分?jǐn)?shù)線。同時(shí)，自擬題目作文不及格的現(xiàn)象普遍存在。分析原因，主要包括以下兩方面的問題。1.教學(xué)方法重教輕學(xué)，教學(xué)效果不明顯在聾校的小學(xué)語文教學(xué)中，小學(xué)語文教師雖然加強(qiáng)了對聾生的語言練習(xí)，但是卻忽視了培養(yǎng)聾生的思維發(fā)展能力；強(qiáng)調(diào)練習(xí)口語，卻忽視了練習(xí)書面語言等。比如，在小學(xué)語文的課堂教學(xué)過程中，小學(xué)語文教師更多時(shí)候注重的是對教材中字、詞以及句的講解，而缺少對培養(yǎng)整體性語文學(xué)習(xí)能力的訓(xùn)練，難以實(shí)現(xiàn)對聽、說（口型）、讀、寫的全面發(fā)揮，致使聾校學(xué)生學(xué)習(xí)語文的綜合能力普遍不高。2.教學(xué)條件有限，聾生缺少課外閱讀資料目前，由于聾校的小學(xué)教學(xué)條件有限，很多學(xué)校存在教學(xué)設(shè)備陳舊和配套的教學(xué)資料不充分的情況，致使教學(xué)的模式比較單一，加之聾校學(xué)生自身的特殊性導(dǎo)致學(xué)生很難有更多的機(jī)會(huì)認(rèn)識新鮮事物，進(jìn)而限制了聾校學(xué)生的想象思維能力。在聾校的小學(xué)語文教學(xué)中，很多時(shí)候均是教師講一本教材，學(xué)生也只閱讀一本教學(xué)的內(nèi)容，基本上很難參與到其他閱讀材料中。由此，聾校小學(xué)階段的語文教學(xué)也呈現(xiàn)出越來越窄的發(fā)展趨勢。3.忽視聾校自身的語言教學(xué)特點(diǎn)，教學(xué)重心不明確聾生主要是由于聽覺產(chǎn)生障礙最終導(dǎo)致的語言缺陷，因此，聾校在進(jìn)行小學(xué)語文教學(xué)中應(yīng)該注重對聾生語言能力的補(bǔ)償式教學(xué)，進(jìn)而使聾生形成一定的語言文字能力，即聽（看）、閱讀、說（口型）以及寫作的能力。但是，在聾校的教學(xué)過程中，存在句子和句群教學(xué)不扎實(shí)的問題，進(jìn)而致使整個(gè)聾校的教學(xué)質(zhì)量上不去。二、提高小學(xué)階段聾生寫句能力的有效策略1.通過看圖寫句的方式，提高小學(xué)階段聾生的寫句能力由于聾生的生活閱歷相對來說比較少，因此，在寫句時(shí)，便會(huì)存在沒有素材或者素材單一的情況，因此，通過看圖寫句的方式，可以提高小學(xué)階段聾生的寫句能力。比如，小學(xué)語文教師可以選擇一些色彩鮮艷、內(nèi)容有趣的圖片，分發(fā)給學(xué)生。比如，語文教師可選擇春意盎然的風(fēng)景圖片，然后讓學(xué)生根據(jù)自己所看到的圖片進(jìn)行寫句，并要求學(xué)生根據(jù)圖片信息進(jìn)行聯(lián)想，想象自己在春天發(fā)生的趣事，然后寫一段話。這樣一來，不僅能豐富學(xué)生的寫作素材，同時(shí)也能鍛煉聾生的想象力，為寫好文章奠定基礎(chǔ)。2.通過優(yōu)句摘抄的方式，提高小學(xué)階段聾生的寫句能力注重對優(yōu)秀語句的積累和運(yùn)用，無論是對聾生還是普通學(xué)生來說都是提高寫句能力的有效方法。小學(xué)語文教師可以讓聾生自制一個(gè)“摘抄本”，先讓聾生認(rèn)真的閱讀，然后再將自己喜歡或者認(rèn)為比較好的語句摘抄下來，通過長時(shí)間的堅(jiān)持和積累，就會(huì)取得較好的效果。小學(xué)生由于受到年齡限制，存儲(chǔ)的知識尚不夠豐富。因此，語文教師應(yīng)鼓勵(lì)學(xué)生選擇閱讀一些自己喜歡的課外讀物來開闊眼界，進(jìn)而豐富寫作的內(nèi)容。比如，可選擇兒童故事類的《探險(xiǎn)家故事精選》《成語故事精選》《神話故事精選》等作為教學(xué)素材。3.將生活與教材內(nèi)容有效結(jié)合，提高小學(xué)階段聾生的寫句能力寫作素材均源于生活，為提高聾生的寫句能力，小學(xué)語文教師應(yīng)該注重將教材與日常生活信息緊密結(jié)合。一方面，小學(xué)語文教師可以利用寫句環(huán)境開展“每日寫句”的練習(xí)。比如，今天是星期幾，是不是什么節(jié)日；今天輪到誰值日，誰值日最認(rèn)真等。另一方面，還可以讓學(xué)生注意觀察生活中的特殊事件，并記錄下來。比如，今天突然下雨了，我?guī)蛬寢屖找路?；某個(gè)同學(xué)今天生病了，沒有來上學(xué)；今天是媽媽的生日，我想給她準(zhǔn)備一份禮物等。通過讓學(xué)生堅(jiān)持與生活緊密相關(guān)的寫句練習(xí)可以激發(fā)學(xué)生的寫句興趣，進(jìn)而提高寫作水平。此外，小學(xué)語文教師還應(yīng)該多組織學(xué)生參加郊游活動(dòng)，帶聾生走進(jìn)大自然親身感受四季變化，為寫句積累生活素材。三、提高小學(xué)年級聾生閱讀能力的有效策略1.教授適用的閱讀方法由于聾生在閱讀中會(huì)受到自身?xiàng)l件的限制，在掌握學(xué)習(xí)技巧方面則需要語文教師投入更多的精力。語文教師應(yīng)該在每周為聾生安排一節(jié)學(xué)習(xí)適用閱讀方法的課程。上課的具體內(nèi)容可以由語文教師根據(jù)學(xué)生的實(shí)際情況確定，可通過結(jié)合閱讀材料，采用師生共同閱讀的方式進(jìn)行，讓聾生在閱讀的過程中領(lǐng)悟并熟練掌握適宜的閱讀方法。例如，快速閱讀、默讀或者是抓關(guān)鍵句進(jìn)行整體性理解等。教授適用的閱讀方法，不僅可以發(fā)展聾生的語言能力，而且也可以有效地提高聾生的心理素質(zhì)。2.為聾生提供更多的課余閱讀空間根據(jù)聾生缺少課外閱讀資料的現(xiàn)狀，聾校應(yīng)該盡量為學(xué)生設(shè)置更為科學(xué)的班級圖書角，以便于聾生充分利用課余時(shí)間進(jìn)行閱讀。同時(shí)，班主任及語文教師也應(yīng)該定期開展閱讀活動(dòng)，使聾生養(yǎng)成閱讀的好習(xí)慣。同時(shí)，班主任及語文教師應(yīng)該注意對圖書角圖書的選擇，圖書的內(nèi)容不僅要符合小學(xué)階段學(xué)生的年齡特點(diǎn)，也要容易引發(fā)聾生的閱讀興趣，以滿足聾生的閱讀需求。比如，選擇圖文并茂的書籍、有趣味性的書籍、通俗易懂的書籍等。綜上所述，在對小學(xué)階段聾生進(jìn)行小學(xué)語文的寫句和閱讀能力教學(xué)時(shí)，小學(xué)語文教師應(yīng)注意采取適宜的寫作教學(xué)模式，為學(xué)生打造輕松快樂的學(xué)習(xí)氛圍。同時(shí)，由于聾生受到自身?xiàng)l件的限制，對于教學(xué)中出現(xiàn)的“教師難教和學(xué)生難學(xué)”的問題，語文教師也應(yīng)積極地應(yīng)對并及時(shí)解決，以調(diào)動(dòng)聾生的學(xué)習(xí)積極性，培養(yǎng)聾生的閱讀能力。只有將課堂教學(xué)和課外閱讀有效結(jié)合，才能取得更好的教學(xué)效果，進(jìn)而讓聾生在寫句和閱讀中體驗(yàn)到學(xué)習(xí)的樂趣，最終提高寫句和閱讀水平。物理在高中教學(xué)中是極為重要的一門自然學(xué)科，抽象性和邏輯性比較高。因此，在物理教學(xué)的過程中要注重實(shí)驗(yàn)觀察，嚴(yán)謹(jǐn)而縝密的思考也是不可或缺的。然而，創(chuàng)設(shè)有效的問題情境能夠提高學(xué)生的積極性和主動(dòng)性，鍛煉學(xué)生的思考和思維能力，養(yǎng)成主動(dòng)學(xué)習(xí)的好習(xí)慣。一、高中物理教學(xué)中創(chuàng)設(shè)情境的意義在高中物理教學(xué)中創(chuàng)設(shè)問題情境能夠鼓勵(lì)學(xué)生主動(dòng)去學(xué)習(xí)，在觀察和思考之后真正地掌握所學(xué)的知識。在思考的過程中能夠加深學(xué)生對知識點(diǎn)深層次的理解，開放學(xué)生的思維，使學(xué)生的創(chuàng)新思維和思辨能力得到提高，同時(shí)也培養(yǎng)了學(xué)生的問題意識，激發(fā)了學(xué)生對于知識的渴望。另外，在物理教學(xué)中創(chuàng)設(shè)問題情境將物理知識與生活緊密結(jié)合，不僅推廣了物理理論知識，也在實(shí)踐中加強(qiáng)了學(xué)生的動(dòng)手能力，將物理帶進(jìn)生活。二、高中物理教學(xué)中創(chuàng)設(shè)情境的具體措施（一）將情境引入實(shí)驗(yàn)當(dāng)中物理是一門以實(shí)驗(yàn)為基礎(chǔ)的學(xué)科，物理實(shí)驗(yàn)在物理教學(xué)中占據(jù)著很重要的部分，可以說物理教學(xué)就是靠物理實(shí)驗(yàn)來支撐的，物理實(shí)驗(yàn)利用自身的直觀性為學(xué)生提供了豐富的學(xué)習(xí)資料，使物理學(xué)科充滿了趣味性、挑戰(zhàn)性，因此我們可以利用物理實(shí)驗(yàn)來創(chuàng)設(shè)問題情境，可以有效的發(fā)揮學(xué)生的主體作用，幫助教師引導(dǎo)學(xué)生觀察實(shí)驗(yàn)、發(fā)現(xiàn)問題、分析和解決問題，進(jìn)而發(fā)現(xiàn)物理現(xiàn)象的本質(zhì)和內(nèi)在規(guī)律。如人教版高中物理選修3-5第十六章是《動(dòng)量守恒定律》，在學(xué)習(xí)這部分內(nèi)容的時(shí)候，我們肯定會(huì)設(shè)計(jì)一個(gè)實(shí)驗(yàn)，研究動(dòng)量是怎樣守恒的。我們可以設(shè)置一個(gè)碰撞實(shí)驗(yàn)，在細(xì)繩的一端系一只氣球，氣球內(nèi)放置一枚雞蛋或者其他易碎的物品，注意要排除氣球內(nèi)的空氣，然后支一個(gè)一米左右的支架，將細(xì)繩的另一端系在支架上，然后將氣球緩慢拉到一定高度后放手，使其直接墜落，結(jié)果一定是雞蛋碎掉了；然后教師可以在重復(fù)這次的實(shí)驗(yàn)，只是需要偷偷地在氣球墜落的下方做一些防護(hù)措施，這樣同樣的實(shí)驗(yàn)卻有兩次不同的結(jié)果，一定能激發(fā)學(xué)生的興趣，那么教師就可以趁機(jī)提問問題如“第二次雞蛋沒有碎掉的原因是什么？從物理本質(zhì)上又該如何解釋實(shí)驗(yàn)的結(jié)果呢？”這樣學(xué)生就會(huì)帶著一種好奇心去尋找問題的答案，教師就可以順勢組織學(xué)生進(jìn)行討論，讓學(xué)生自己發(fā)現(xiàn)動(dòng)量守恒定律，以加深學(xué)生對知識的理解。（二）根據(jù)學(xué)生的實(shí)際生活進(jìn)行情境創(chuàng)設(shè)聯(lián)系學(xué)生的實(shí)際生活創(chuàng)設(shè)問題情境能給學(xué)生一種熟悉的感覺，讓學(xué)生切實(shí)認(rèn)識到物理學(xué)在生活中的運(yùn)用，當(dāng)學(xué)生回答出問題以后會(huì)給學(xué)生一種前所未有的成就感，這樣就能引起學(xué)生學(xué)習(xí)物理知識的欲望，提高學(xué)生學(xué)習(xí)物理知識的興趣。如高中物理中會(huì)學(xué)到《運(yùn)動(dòng)》，在這里面會(huì)學(xué)到質(zhì)點(diǎn)、參考系和坐標(biāo)系、時(shí)間和位移等知識，這時(shí)候教師就可以結(jié)合學(xué)生的實(shí)際生活進(jìn)行提問，如“為什么你在行駛的汽車上發(fā)現(xiàn)近處的樹木后退而遠(yuǎn)處的樹木前進(jìn)呢？”等等，這樣聯(lián)系學(xué)生的實(shí)際創(chuàng)設(shè)問題情境，可以給學(xué)生探索的空間，發(fā)揮學(xué)生自己的想象力，從自身生活的實(shí)際出發(fā)來提高學(xué)生探究問題的興趣。（三）運(yùn)用故事的形式創(chuàng)設(shè)問題情境物理學(xué)在發(fā)展的過程中包含著許多智慧的小故事，教師在講課的過程中可以適當(dāng)?shù)牟迦胍恍┪锢韺W(xué)家的故事，讓學(xué)生走入教師創(chuàng)設(shè)的情境當(dāng)中，等學(xué)生對故事的主人公產(chǎn)生興趣時(shí)教師再間接地引出需要學(xué)習(xí)的內(nèi)容。如人教版高中物理必修二第六章是《萬有引力與航天》，第三節(jié)會(huì)學(xué)到有關(guān)萬有引力的內(nèi)容，教師在正式講課之前可以先適當(dāng)?shù)囊雠ｎD的故事，如“同學(xué)們都知道萬有引力是牛頓在蘋果樹下打瞌睡時(shí)，被樹上成熟的蘋果掉下來打到以后發(fā)現(xiàn)的，那么年紀(jì)輕輕的牛頓是如何從蘋果掉落的現(xiàn)象中發(fā)現(xiàn)萬有引力定律的呢？”利用這種小故事的方式對即將學(xué)到的知識進(jìn)行生動(dòng)詳細(xì)的描述，以吸引學(xué)生的注意力，還能寓教于樂，激發(fā)學(xué)生學(xué)習(xí)物理學(xué)的興趣，讓學(xué)生重新認(rèn)識到物理學(xué)的妙用。（四）利用新舊知識的關(guān)聯(lián)性創(chuàng)設(shè)問題情境教師在講課的過程中不能總是追求新的知識，也應(yīng)該經(jīng)常帶領(lǐng)學(xué)生回顧舊的知識，以加深學(xué)生對以往所學(xué)知識的記憶和理解，而回顧舊知識最好的途徑就是通過問題情境。如學(xué)生在初中物理中已經(jīng)學(xué)習(xí)了《作用力與反作用力》，而在人教版高中必修一第四章第五節(jié)是《牛頓第三定律》，教師在講這一部分內(nèi)容的時(shí)候可以結(jié)合初中學(xué)到的《力與反作用力》的相關(guān)知識創(chuàng)設(shè)一個(gè)問題情境，可以這樣來設(shè)定，“同學(xué)們應(yīng)該已經(jīng)學(xué)習(xí)過《力與反作用力》的知識，也都參加過拔河比賽，在拔河比賽中，既然雙方的作用力與反作用力大小是相等的，那么應(yīng)該不會(huì)分出勝負(fù)，但是為什么總是有一方獲勝呢？影響勝負(fù)的因素是什么？這種結(jié)果有沒有違背牛頓第三定律呢？如果我讓一位腳下穿溜冰鞋的男生與一位瘦小的女生進(jìn)行拔河比賽，那么這位女生會(huì)贏嗎？如果女生贏了原因又是什么呢？”并進(jìn)行現(xiàn)場演示，以這種方式來誘發(fā)學(xué)生的好奇心，從而提高物理課堂教學(xué)的效率?？傊?，情境的創(chuàng)設(shè)不但可以激發(fā)學(xué)生學(xué)習(xí)的興趣，提高課堂教學(xué)的效率，還能鍛煉學(xué)生的邏輯思維和實(shí)踐能力，因此教師在教學(xué)的過程中應(yīng)該認(rèn)識到問題情境創(chuàng)設(shè)的重要性，并根據(jù)學(xué)習(xí)的內(nèi)容和學(xué)生的實(shí)際情況適當(dāng)?shù)膭?chuàng)設(shè)問題情境，這樣才能激發(fā)學(xué)生探究知識的興趣。安全主流產(chǎn)品與常見工具16、云無心以出岫，鳥倦飛而知還。安1安全主流產(chǎn)品與常見工具

信息安全國家重點(diǎn)實(shí)驗(yàn)室安全主流產(chǎn)品與常見工具課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描防火墻（Firewall）防火墻基礎(chǔ)知識防火墻體系結(jié)構(gòu)防火墻技術(shù)防火墻評測指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識防火墻（Firewall）防火墻基礎(chǔ)知識什么是防火墻防火墻可以做什么防火墻的局限性防火墻體系結(jié)構(gòu)防火墻技術(shù)防火墻評測指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識什么是防火墻（圖）Internet什么是防火墻（圖）Internet什么是防火墻防火墻是在被保護(hù)網(wǎng)絡(luò)與因特網(wǎng)之間，或者在不同的網(wǎng)絡(luò)之間，實(shí)施訪問控制的一種或一系列部件。

什么是防火墻防火墻可以做什么防火墻是安全決策的焦點(diǎn)（阻塞點(diǎn)）防火墻能強(qiáng)制安全策略防火墻能有效地記錄網(wǎng)絡(luò)活動(dòng)防火墻可以做什么防火墻的局限性限制了可用性對網(wǎng)絡(luò)內(nèi)部的攻擊無能為力不能防范不經(jīng)過防火墻的攻擊不能防范因特網(wǎng)上不斷產(chǎn)生的新的威脅和攻擊不能完全防范惡意代碼的通過防火墻的局限性限制了可用性防火墻（Firewall）防火墻基礎(chǔ)知識防火墻體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其他體系結(jié)構(gòu)防火墻技術(shù)防火墻評測指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識雙重宿主主機(jī)體系結(jié)構(gòu)（圖）雙重宿主主機(jī)體系結(jié)構(gòu)（圖）雙重宿主主機(jī)體系結(jié)構(gòu)

是最基本的防火墻系統(tǒng)結(jié)構(gòu)雙重宿主主機(jī)位于外部網(wǎng)絡(luò)和受保護(hù)網(wǎng)絡(luò)之間，至少有兩個(gè)網(wǎng)絡(luò)接口。所有在這兩個(gè)網(wǎng)絡(luò)間發(fā)送的IP數(shù)據(jù)包都會(huì)經(jīng)過該主機(jī)，該主機(jī)可以對轉(zhuǎn)發(fā)的IP包進(jìn)行安全檢查優(yōu)點(diǎn)：構(gòu)造簡單缺點(diǎn)：易受攻擊雙重宿主主機(jī)體系結(jié)構(gòu)是最基本的防火墻系統(tǒng)結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)（圖）屏蔽主機(jī)體系結(jié)構(gòu)（圖）屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)將提供安全保護(hù)的堡壘主機(jī)置于內(nèi)部網(wǎng)上，使用一個(gè)單獨(dú)的路由器對該主機(jī)進(jìn)行屏蔽優(yōu)點(diǎn)：能夠提供更高層次的安全保護(hù)缺點(diǎn)：堡壘主機(jī)一旦被攻破，整個(gè)網(wǎng)絡(luò)就會(huì)被攻破屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)將提供安全保護(hù)的堡壘主機(jī)置于內(nèi)部屏蔽子網(wǎng)體系結(jié)構(gòu)（圖）屏蔽子網(wǎng)體系結(jié)構(gòu)（圖）屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽主機(jī)結(jié)構(gòu)基礎(chǔ)上，增加了一層周邊網(wǎng)絡(luò)的安全機(jī)制，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間有兩層隔離。優(yōu)點(diǎn)：即使堡壘主機(jī)被攻破，也不能直接侵入內(nèi)部網(wǎng)絡(luò)。屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽主機(jī)結(jié)構(gòu)基礎(chǔ)上，增加了一層體系結(jié)構(gòu)的其他形式

使用多堡壘主機(jī)

合并內(nèi)部與外部路由器

合并堡壘主機(jī)與外部路由器

使用多臺(tái)外部路由器、多個(gè)周邊網(wǎng)絡(luò)

組合使用雙重宿主主機(jī)和屏蔽子網(wǎng)

體系結(jié)構(gòu)的其他形式使用多堡壘主機(jī)不宜采用的體系結(jié)構(gòu)合并堡壘主機(jī)與內(nèi)部路由器

使用多臺(tái)內(nèi)部路由器

不宜采用的體系結(jié)構(gòu)合并堡壘主機(jī)與內(nèi)部路由器防火墻（Firewall）防火墻基礎(chǔ)知識防火墻體系結(jié)構(gòu)防火墻技術(shù)數(shù)據(jù)包過濾應(yīng)用代理NAT個(gè)人防火墻

防火墻評測指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識數(shù)據(jù)包過濾(1)數(shù)據(jù)包過濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)在TCP/IP網(wǎng)絡(luò)中，數(shù)據(jù)都是以IP包的形式傳輸?shù)?，?shù)據(jù)包過濾機(jī)制就是對通過防火墻的IP包進(jìn)行安全檢查，將通過安去檢查的IP包進(jìn)行轉(zhuǎn)發(fā)，否則就阻止通過數(shù)據(jù)包過濾(1)數(shù)據(jù)包過濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它用來控制數(shù)據(jù)包過濾(2)（圖）數(shù)據(jù)包過濾(2)（圖）數(shù)據(jù)包過濾(3)判斷依據(jù)有：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP選項(xiàng)：源路由、記錄路由等TCP選項(xiàng)：SYN、ACK、FIN、RST等其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1數(shù)據(jù)包過濾(3)判斷依據(jù)有：數(shù)據(jù)包過濾設(shè)置實(shí)例規(guī)則方向源地址源端口目標(biāo)地址目標(biāo)端口動(dòng)作1出內(nèi)部*61.X.*拒絕2入211.X.*內(nèi)部*拒絕3雙向***25拒絕數(shù)據(jù)包過濾設(shè)置實(shí)例規(guī)則方向源地址源端口目標(biāo)地址目標(biāo)端口動(dòng)作1數(shù)據(jù)包過濾(4)數(shù)據(jù)包過濾的優(yōu)點(diǎn)：一個(gè)配置適當(dāng)?shù)臄?shù)據(jù)包過濾器可以保護(hù)整個(gè)網(wǎng)絡(luò)對用戶透明度高易實(shí)現(xiàn)：大多數(shù)路由器都具有數(shù)據(jù)包過濾功能數(shù)據(jù)包過濾的缺點(diǎn)：配置和檢驗(yàn)較為困難一些協(xié)議不適合數(shù)據(jù)包過濾

某些策略難以執(zhí)行數(shù)據(jù)包過濾(4)數(shù)據(jù)包過濾的優(yōu)點(diǎn)：應(yīng)用代理(1)是各種應(yīng)用服務(wù)的轉(zhuǎn)發(fā)器它接收來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立與公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接代理防火墻通常支持的一些常見的應(yīng)用程序有：HTTP、HTTPS/SSL、SMTP、POP3等等應(yīng)用代理(1)是各種應(yīng)用服務(wù)的轉(zhuǎn)發(fā)器應(yīng)用代理(2)（圖）客戶應(yīng)用代理服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)響應(yīng)轉(zhuǎn)發(fā)請求發(fā)送響應(yīng)應(yīng)用代理(2)（圖）客戶應(yīng)用代理服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)響應(yīng)轉(zhuǎn)發(fā)請應(yīng)用代理(3)（圖）應(yīng)用代理(3)（圖）應(yīng)用代理(4)它的優(yōu)點(diǎn)是：對用戶透明支持用戶認(rèn)證可以產(chǎn)生小并且更有效的日志。它的缺點(diǎn)是：速度比較慢對一些新的或不常用的服務(wù)不支持

應(yīng)用代理(4)它的優(yōu)點(diǎn)是：NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議）可以使多個(gè)用戶分享單一的IP地址為Internet連接提供一些安全機(jī)制可以向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)轉(zhuǎn)換機(jī)制：當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議）可以使多個(gè)用戶分享單一的IP地址個(gè)人防火墻(1)是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行可以對用戶計(jì)算機(jī)的網(wǎng)絡(luò)通信進(jìn)行過濾通常具有學(xué)習(xí)模式，可以在使用中不斷增加新的規(guī)則個(gè)人防火墻(1)是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可個(gè)人防火墻(2)(圖）個(gè)人防火墻(2)(圖）防火墻（Firewall）防火墻基礎(chǔ)知識防火墻體系結(jié)構(gòu)防火墻技術(shù)防火墻評測指標(biāo)防火墻（Firewall）防火墻基礎(chǔ)知識防火墻評測指標(biāo)(1)對防火墻的評估通常包括對其功能、性能和可用性進(jìn)行測試評估。對防火墻性能的測試指標(biāo)主要有

吞吐量

延遲

幀丟失率

防火墻評測指標(biāo)(1)對防火墻的評估通常包括對其功能、性能和防火墻評測指標(biāo)(2)對防火墻的功能測試通常包含身份鑒別訪問控制策略及功能密碼支持審計(jì)管理對安全功能自身的保護(hù)防火墻評測指標(biāo)(2)對防火墻的功能測試通常包含防火墻測評方法防火墻測評方法NetScreenVs.CheckPoint供應(yīng)商N(yùn)etScreenCheckPoint架構(gòu)硬件軟件性能在操作系統(tǒng)screenos版本為3.0時(shí)防火墻的通透性可以達(dá)到12Gbps之高依賴于使用平臺(tái)的CPU、內(nèi)存等配置，使用新技術(shù)ApplicationInteglligence后，性能在原來的基礎(chǔ)上進(jìn)一步提升了31%。穩(wěn)定性和兼容性采用的專門的軟硬件，系統(tǒng)的穩(wěn)定性上理論上應(yīng)該領(lǐng)先；操作系統(tǒng)是專用的screenos，不存在防火墻和硬件的兼容性問題。操作系統(tǒng)和硬件不是特定為防火墻各項(xiàng)功能設(shè)計(jì)的，因此可能會(huì)存在穩(wěn)定性和兼容方面的隱患功能和靈活性采用的專門設(shè)計(jì)的操作系統(tǒng)和硬件架構(gòu)，靈活性上要相對差一些，而且可能提供的功能相對較少架構(gòu)不依賴硬件，理論上功能是可以無限擴(kuò)充的，它能給客戶更多的控制和定制功能引自YimingGonghttp://

NetScreenVs.CheckPoint供應(yīng)商N(yùn)et課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描VPN(VirtualPrivateNetwork)什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN(VirtualPrivateNetwork)什VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN什么是VPN什么是VPN(1)什么是VPN(1)什么是VPN(2)VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，它們之間的通信的機(jī)密性和完整性可以通過某些安全機(jī)制的實(shí)施得到保證特征虛擬(V)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(P)：每個(gè)VPN用戶都可以從公用網(wǎng)絡(luò)中獲得一部分資源供自己使用網(wǎng)絡(luò)(N)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本什么是VPN(2)VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過一個(gè)什么是VPN(3)安全功能信息機(jī)密性，確保通過公網(wǎng)傳輸?shù)男畔⒁约用艿姆绞絺魉?，即使被他人截獲也不會(huì)泄露信息完整性，保證信息的完整性用戶身份認(rèn)證，能對用戶身份進(jìn)行認(rèn)證，確定該用戶的訪問權(quán)限訪問控制，用戶只能讀寫被授予了訪問權(quán)限的信息什么是VPN(3)安全功能VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN什么是VPNVPN的分類根據(jù)VPN所起的作用，可以將VPN分為：AccessVPNIntranetVPNExtranetVPNVPN的分類根據(jù)VPN所起的作用，可以將VPN分為：AccessVPN處理可移動(dòng)用戶、遠(yuǎn)程交換和小部門的遠(yuǎn)程訪問公司內(nèi)部網(wǎng)的VPNAccessVPN處理可移動(dòng)用戶、遠(yuǎn)程交換和小部門的遠(yuǎn)程訪IntranetVPN

（企業(yè)內(nèi)部虛擬網(wǎng)）是在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間，通過Internet建立的VPNIntranetVPN

（企業(yè)內(nèi)部虛擬網(wǎng)）是在公司遠(yuǎn)程分ExtranetVPN

（企業(yè)外部虛擬網(wǎng)）

在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN由于不同公司網(wǎng)絡(luò)環(huán)境的差異性，必須能兼容不同的操作平臺(tái)和協(xié)議設(shè)置特定的訪問控制表ACL（AccessControlList），根據(jù)用戶相應(yīng)的訪問權(quán)限開放相應(yīng)資源ExtranetVPN

（企業(yè)外部虛擬網(wǎng)）在供應(yīng)商、商業(yè)ExtranetVPN（圖）ExtranetVPN（圖）VPN什么是VPNVPN的分類

VPN的隧道協(xié)議

VPN什么是VPNVPN的隧道協(xié)議

VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進(jìn)行封裝后的傳送以確保其機(jī)密性和完整性通常使用的方法有：使用點(diǎn)到點(diǎn)隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)議L2F等在數(shù)據(jù)鏈路層對數(shù)據(jù)實(shí)行封裝使用IP安全協(xié)議IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如MPLS隧道協(xié)議

VPN的隧道協(xié)議VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包PPTP/L2TP(1)1996年，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開發(fā)了PPTP，并將它集成于WindowsNTServer4.0中，同時(shí)也提供了相應(yīng)的客戶端軟件PPTP可把數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸PPTP提供流量控制,采用MPPE加密算法

PPTP/L2TP(1)1996年，Microsoft和PPTP/L2TP(2)1996年，Cisco提出L2F（Layer2Forwarding）隧道協(xié)議1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議L2TP可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容,支持MP（MultilinkProtocol），可以把多個(gè)物理通道捆綁為單一邏輯信道PPTP/L2TP(2)1996年，Cisco提出L2FPPTP/L2TP(3)優(yōu)點(diǎn)：支持其他網(wǎng)絡(luò)協(xié)議支持流量控制對用微軟操作系統(tǒng)的用戶來說很方便缺點(diǎn)：通道打開后，源和目的用戶身份不再就行認(rèn)證，存在安全隱患限制同時(shí)最多只能連接255個(gè)用戶端點(diǎn)用戶需要在連接前手工建立加密信道PPTP/L2TP(3)優(yōu)點(diǎn)：IPSecVPN(1)IPSEC的隧道協(xié)議開始于RFC1827即IP封裝安全有效負(fù)載(ESP)，它定義了一個(gè)通用的數(shù)據(jù)報(bào)封裝方法ESP通過對要保護(hù)的數(shù)據(jù)進(jìn)行加密，以及將它放置在IP封裝安全有效負(fù)載的有效負(fù)載部分，來提供機(jī)密性和完整性。通過使用驗(yàn)證包頭（AH，在RFC2402中定義），也可以提供IP數(shù)據(jù)報(bào)的驗(yàn)證IPSecVPN(1)IPSEC的隧道協(xié)議開始于RFCIPSecVPN(2)

AH包頭的結(jié)構(gòu)：IPSECAH/ESP數(shù)據(jù)包結(jié)構(gòu)IPSecVPN(2)AH包頭的結(jié)構(gòu)：IPSECAH/IPSecVPN(3)

IPSECVPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障特點(diǎn)：只能支持IP數(shù)據(jù)流目前防火墻產(chǎn)品中集成的VPN多為使用IPSec協(xié)議IPSecVPN(3)IPSECVPN是基于IPSecMPLSVPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(MultiprotocolLabelSwitching)

技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）運(yùn)行在IP+ATM或者IP環(huán)境下，對應(yīng)用完全透明

相關(guān)標(biāo)準(zhǔn)：RFC3270RFC2764MPLSVPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(MMPLSVPNPE=ProviderEdgeRouterLSR=LabelSwitchRouterMPLSVPNPE=ProviderEdgeRou課程內(nèi)容

防火墻

VPN

內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描內(nèi)外網(wǎng)隔離物理隔離

邏輯隔離內(nèi)外網(wǎng)隔離物理隔離內(nèi)外網(wǎng)隔離物理隔離安全需求物理隔離技術(shù)邏輯隔離內(nèi)外網(wǎng)隔離物理隔離安全需求(1)《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第六條規(guī)定："涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離。"安全需求(1)《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第六條規(guī)安全需求(2)實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡(luò)隔離的要求：用戶訪問內(nèi)網(wǎng)時(shí)，斷開外網(wǎng)網(wǎng)絡(luò)連接訪問外網(wǎng)時(shí)，斷開內(nèi)網(wǎng)網(wǎng)絡(luò)連接用戶不能同時(shí)連入內(nèi)、外網(wǎng)，始終保持內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)隔離的狀態(tài)安全需求(2)實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡(luò)隔離的要求：安全需求(3)對物理隔離技術(shù)的要求：高度安全較低的成本容易部置、結(jié)構(gòu)簡單易于操作具有靈活性與擴(kuò)展性

安全需求(3)對物理隔離技術(shù)的要求：物理隔離技術(shù)雙網(wǎng)機(jī)技術(shù)

物理隔離卡雙網(wǎng)線的物理隔離卡單網(wǎng)線的物理隔離卡網(wǎng)絡(luò)安全隔離集線器

物理隔離網(wǎng)閘（GAP）物理隔離技術(shù)雙網(wǎng)機(jī)技術(shù)雙網(wǎng)機(jī)技術(shù)在一個(gè)機(jī)箱內(nèi)設(shè)有兩塊主機(jī)板、兩套內(nèi)存、兩塊硬盤和兩CPU相當(dāng)于兩臺(tái)計(jì)算機(jī)共用一個(gè)顯示器用戶通過客戶端開關(guān)，分別選擇兩套計(jì)算機(jī)系統(tǒng)特點(diǎn)是：客戶端成本很高網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)技術(shù)水平簡單雙網(wǎng)機(jī)技術(shù)在一個(gè)機(jī)箱內(nèi)設(shè)有兩塊主機(jī)板、兩套內(nèi)存、兩塊硬盤和兩物理隔離卡－雙網(wǎng)線隔離卡客戶端需要增加一塊PCI卡，客戶端硬盤或其它存儲(chǔ)設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲(chǔ)設(shè)備。用戶在選擇硬盤的時(shí)候，同時(shí)也選擇了該卡上所對應(yīng)的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)

物理隔離卡－雙網(wǎng)線隔離卡客戶端需要增加一塊PCI卡，客戶端硬物理隔離卡－雙網(wǎng)線隔離卡(con’t)技術(shù)水平有所提高成本有所降低要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)，存在安全隱患物理隔離卡－雙網(wǎng)線隔離卡(con’t)物理隔離卡－單網(wǎng)線隔離卡

只有一個(gè)網(wǎng)絡(luò)接口通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號，選擇不同的網(wǎng)絡(luò)連接特點(diǎn)：實(shí)現(xiàn)成本較低，能夠有效利用現(xiàn)有單網(wǎng)線網(wǎng)絡(luò)環(huán)境系統(tǒng)的安全性有所提高物理隔離卡－單網(wǎng)線隔離卡只有一個(gè)網(wǎng)絡(luò)接口物理隔離卡（圖）物理隔離卡（圖）網(wǎng)絡(luò)安全隔離集線器作為A/B轉(zhuǎn)換器被設(shè)置在機(jī)柜中根據(jù)網(wǎng)絡(luò)安全隔離卡的狀態(tài)自動(dòng)地將網(wǎng)絡(luò)連接到安全網(wǎng)絡(luò)或公共網(wǎng)絡(luò)中特點(diǎn)：能使用原有的單一的布線系統(tǒng)網(wǎng)絡(luò)安全隔離集線器作為A/B轉(zhuǎn)換器被設(shè)置在機(jī)柜中物理隔離網(wǎng)閘（GAP）(1)由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換物理隔離網(wǎng)閘（GAP）(1)由帶有多種控制功能專用硬件在電物理隔離網(wǎng)閘（GAP）(2)性能指標(biāo)：系統(tǒng)數(shù)據(jù)交換速率硬件切換時(shí)間通常包含的安全功能模塊：安全隔離內(nèi)核防護(hù)協(xié)議轉(zhuǎn)換病毒查殺訪問控制安全審計(jì)身份認(rèn)證物理隔離網(wǎng)閘（GAP）(2)性能指標(biāo)：內(nèi)外網(wǎng)隔離物理隔離

邏輯隔離內(nèi)外網(wǎng)隔離物理隔離邏輯隔離在技術(shù)上，實(shí)現(xiàn)邏輯隔離的方式有很多，但主要是防火墻

邏輯隔離在技術(shù)上，實(shí)現(xiàn)邏輯隔離的方式有很多，但主要是防火墻課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描日志審計(jì)日志審計(jì)基礎(chǔ)知識日志審計(jì)過程日志審計(jì)日志審計(jì)基礎(chǔ)知識日志審計(jì)日志審計(jì)基礎(chǔ)知識什么是日志審計(jì)日志實(shí)例日志審計(jì)的重要性日志的來源日志審計(jì)過程日志審計(jì)日志審計(jì)基礎(chǔ)知識什么是日志審計(jì)識別、記錄、存儲(chǔ)和分析那些與安全相關(guān)活動(dòng)有關(guān)的信息的行為被稱為安全審計(jì)這些信息以日志的方式進(jìn)行存儲(chǔ)，對這些日志的檢查審計(jì)可以用來判斷發(fā)生了哪些安全相關(guān)活動(dòng)以及哪個(gè)用戶要對這些活動(dòng)負(fù)責(zé)什么是日志審計(jì)識別、記錄、存儲(chǔ)和分析那些與安全相關(guān)活動(dòng)有關(guān)的日志審計(jì)的重要性管理員入侵者網(wǎng)絡(luò)異常發(fā)現(xiàn)黑客追蹤證據(jù)日志審計(jì)的重要性管理員日志的來源(1)操作系統(tǒng)日志路由器日志IDS日志防火墻日志應(yīng)用軟件日志，等等日志的來源(1)操作系統(tǒng)日志日志的來源(2)通?？梢赃M(jìn)行審計(jì)的事件包括：文件審計(jì)應(yīng)用程序與服務(wù)安裝與卸載的審計(jì)安全配置更改的審計(jì)Internet審計(jì)用戶登錄審計(jì)用戶打印審計(jì)進(jìn)程狀況審計(jì)與移動(dòng)存儲(chǔ)有關(guān)的審計(jì)，等等日志的來源(2)通?？梢赃M(jìn)行審計(jì)的事件包括：日志審計(jì)日志審計(jì)基礎(chǔ)知識日志審計(jì)過程審計(jì)事件生成審計(jì)事件選擇審計(jì)事件存儲(chǔ)審計(jì)事件查閱日志審計(jì)分析自動(dòng)響應(yīng)日志審計(jì)日志審計(jì)基礎(chǔ)知識審計(jì)事件生成事件的日期和時(shí)間事件類型主體身份事件的結(jié)果針對不同類型的事件的其他相關(guān)信息在某些情況下，應(yīng)當(dāng)標(biāo)識引起該事件的用戶身份審計(jì)事件生成事件的日期和時(shí)間審計(jì)事件選擇

審計(jì)事件選擇是指在所有可以審計(jì)的事件中，根據(jù)主體身份、事件類型等屬性，選擇對哪些事件進(jìn)行審計(jì)，這種選擇可以用包含或排除的方法。審計(jì)事件選擇審計(jì)事件選擇是指在所有可以審計(jì)的事件中，根據(jù)主審計(jì)事件存儲(chǔ)

保護(hù)審計(jì)記錄不受未授權(quán)的刪除防止或檢測對審計(jì)記錄的修改當(dāng)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，能夠確保審計(jì)記錄不受破壞存儲(chǔ)失敗時(shí)，應(yīng)采取一定行動(dòng)確保新的審計(jì)記錄不受破壞審計(jì)事件存儲(chǔ)保護(hù)審計(jì)記錄不受未授權(quán)的刪除審計(jì)事件查閱訪問控制權(quán)限易于理解審計(jì)事件查閱訪問控制權(quán)限日志審計(jì)分析日志的分析可以分為手工和自動(dòng)的方式，通常，對日志的自動(dòng)分析任務(wù)可以由入侵檢測系統(tǒng)完成。但是，手工分析往往是日志分析不可缺少的部分日志審計(jì)分析日志的分析可以分為手工和自動(dòng)的方式，通常，對自動(dòng)響應(yīng)對日志的自動(dòng)分析和自動(dòng)響應(yīng)通常由入侵檢測系統(tǒng)實(shí)現(xiàn)自動(dòng)相應(yīng)可以是報(bào)警、自動(dòng)采取某些安全措施，等等自動(dòng)響應(yīng)對日志的自動(dòng)分析和自動(dòng)響應(yīng)通常由入侵檢測系統(tǒng)實(shí)現(xiàn)SolarisBSM（BasicSecurityModel）BSM用戶級審計(jì)記錄包括：進(jìn)程名手冊頁參考審計(jì)事件號審計(jì)事件名審計(jì)記錄結(jié)構(gòu)BSM核心級審計(jì)記錄包括：系統(tǒng)調(diào)用名手冊頁參考審計(jì)事件號審計(jì)事件名審計(jì)事件類事件屏蔽審計(jì)記錄結(jié)構(gòu)SolarisBSM（BasicSecurityModWIN2000日志結(jié)構(gòu)數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型種類可變內(nèi)容，依賴于事件，可以時(shí)問題的文本解釋和糾正措施的建議附加域。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)WIN2000日志結(jié)構(gòu)數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型WIN2000日志舉例(1)事件類型: 成功審核事件來源: Security事件種類: 登錄/注銷

事件

ID: 538日期: 2003-9-9時(shí)間: 20:47:04WIN2000日志舉例(1)事件類型: 成功審核WIN2000日志舉例(2)用戶: QU\hiiri計(jì)算機(jī): QU描述:用戶注銷:用戶名: hiiri域: QU登錄

ID: (0x0,0x504001)登錄類型: 7WIN2000日志舉例(2)用戶: QU\hiiri防火墻日志舉例

(CheckPointFirewall-1)19-May-0017:31:59[時(shí)間戳]drop[動(dòng)作]

inbound[方向]udp[傳輸層協(xié)議]

scan.wins.bad.guy[源地址]MY.NET.29.8[目標(biāo)地址]netbios-ns[目標(biāo)端口]netbios-ns[源端口]78[包長度]防火墻日志舉例

(CheckPointFirewalIDS日志舉例(Snort)[**]rwwwshellCGIaccessattempt[**]06/10-07:55:01.284025[時(shí)間戳]3:1526[源地址及端口]->2:80[目標(biāo)地址及端口]TCP[傳輸層協(xié)議]

TTL:52[生存期]

TOS:0x0[服務(wù)種類]

ID:4816[會(huì)話ID]DF[不可分段]Len:358[包長度]IDS日志舉例(Snort)[**]rwwwshel課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描入侵檢測（IntrusionDetection）

入侵檢測定義入侵檢測方法

入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測（IntrusionDetection）入侵檢測入侵檢測（IntrusionDetection）

入侵檢測定義入侵檢測與入侵檢測系統(tǒng)（IDS)入侵檢測系統(tǒng)基本框架入侵檢測方法

入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測（IntrusionDetection）入侵檢測什么是入侵檢測入侵檢測（IntrusionDetection）是檢測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程IDS入侵檢測系統(tǒng)包括三個(gè)功能組件提供事件記錄流的信息源發(fā)現(xiàn)入侵跡象的分析引擎基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件什么是入侵檢測入侵檢測（IntrusionDetectio入侵檢測系統(tǒng)基本框架

入侵檢測系統(tǒng)基本框架入侵檢測（IntrusionDetection）

入侵檢測定義入侵檢測方法

異常入侵檢測技術(shù)

異常檢測典型系統(tǒng)－TripWare誤用入侵檢測技術(shù)

誤用檢測典型系統(tǒng)－Snort入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測（IntrusionDetection）入侵檢測異常入侵檢測技術(shù)(1)異常檢測主要根據(jù)合法行為（狀態(tài)）定義來分析系統(tǒng)是否受到攻擊或者運(yùn)行異常是目前入侵檢測技術(shù)的主要研究發(fā)展方向典型應(yīng)用：CPU使用率，內(nèi)存使用率，網(wǎng)絡(luò)流量，用戶行為，系統(tǒng)調(diào)用等等

異常入侵檢測技術(shù)(1)異常檢測主要根據(jù)合法行為（狀態(tài)）定義異常入侵檢測技術(shù)(2)

優(yōu)點(diǎn)：可以檢測到未知攻擊知識庫相對穩(wěn)定

缺點(diǎn)：準(zhǔn)確性差誤報(bào)率高

異常入侵檢測技術(shù)(2)優(yōu)點(diǎn)：異常檢測典型系統(tǒng)－TripWare(1)TripWare主要利用關(guān)鍵性文件的摘要作為自己知識庫，合法用戶修改文件后要更新該文件摘要，由于非法用戶無權(quán)更改其摘要，所以當(dāng)發(fā)現(xiàn)文件摘要和保存的記錄不符時(shí)，判定系統(tǒng)受到攻擊。

異常檢測典型系統(tǒng)－TripWare(1)TripWare主異常檢測典型系統(tǒng)－TripWare(2)優(yōu)點(diǎn)：實(shí)現(xiàn)簡單管理方便缺點(diǎn)：檢測能力差

異常檢測典型系統(tǒng)－TripWare(2)優(yōu)點(diǎn)：誤用入侵檢測技術(shù)(1)誤用檢測根據(jù)非法行為（狀態(tài)）定義，分析目標(biāo)系統(tǒng)狀態(tài)，以確定是否受到攻擊

技術(shù)較為成熟，為絕大多數(shù)市場產(chǎn)品采用典型應(yīng)用：網(wǎng)絡(luò)數(shù)據(jù)包用戶指令序列應(yīng)用程序編碼特征，等等

誤用入侵檢測技術(shù)(1)誤用檢測根據(jù)非法行為（狀態(tài)）定義，分誤用入侵檢測技術(shù)(2)優(yōu)點(diǎn)準(zhǔn)確高效（相對）易實(shí)現(xiàn)缺點(diǎn)不能檢測未知攻擊知識庫會(huì)無限增長描述所有攻擊行為困難誤用入侵檢測技術(shù)(2)優(yōu)點(diǎn)誤用檢測典型系統(tǒng)－Snort(1)Snort是一個(gè)典型的輕量級誤用網(wǎng)絡(luò)入侵檢測系統(tǒng)。該系統(tǒng)自己定義了一套規(guī)則語言來定義入侵行為，規(guī)則語言所描述的主要是網(wǎng)絡(luò)數(shù)據(jù)包的特性，比如地址、端口、包頭屬性、包含的特殊數(shù)據(jù)等等。誤用檢測典型系統(tǒng)－Snort(1)Snort是一個(gè)典型的輕誤用檢測典型系統(tǒng)－Snort(2)Snort規(guī)則語言（示例）logtcpanyany->/2479alerttcpanyany->/2480(content:

"/cgi-bin/phf";msg"PHFprobe!")alerttcp!/24any->/246000:6010(msg:"Xtraffic";)alerttcpanyany->/24143(content:"|E8C0FFFFF|/bin/sh";msg:"NewIMAPBufferOverflowdetected!";)誤用檢測典型系統(tǒng)－Snort(2)Snort規(guī)則語言（示例誤用檢測典型系統(tǒng)－Snort(3)優(yōu)點(diǎn):檢測的準(zhǔn)確度比較高缺點(diǎn):檢測的效率低對復(fù)雜攻擊檢測能力差容易被欺騙誤用檢測典型系統(tǒng)－Snort(3)優(yōu)點(diǎn):入侵檢測（IntrusionDetection）

入侵檢測定義入侵檢測方法入侵檢測系統(tǒng)結(jié)構(gòu)基于主機(jī)系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)入侵檢測（IntrusionDetection）入侵檢測基于主機(jī)系統(tǒng)的結(jié)構(gòu)其檢測目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整性基于主機(jī)系統(tǒng)的結(jié)構(gòu)其檢測目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)流量和單臺(tái)或多臺(tái)主機(jī)的審計(jì)數(shù)據(jù)對入侵行為進(jìn)行檢測。由探測器和分析器以及網(wǎng)絡(luò)安全知識庫組成具有配置簡單，服務(wù)器平臺(tái)獨(dú)立性等優(yōu)點(diǎn)基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)流量和單臺(tái)或多臺(tái)主機(jī)的審計(jì)數(shù)據(jù)對入課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描隱患掃描

（vulnerabilitiesscanning）

網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描

特定應(yīng)用弱點(diǎn)掃描隱患掃描

（vulnerabilitiesscanning隱患掃描

（vulnerabilitiesscanning）

網(wǎng)絡(luò)弱點(diǎn)掃描

功能分類常用掃描工具主機(jī)弱點(diǎn)掃描

特定應(yīng)用弱點(diǎn)掃描隱患掃描

（vulnerabilitiesscanning什么是網(wǎng)絡(luò)弱點(diǎn)掃描

定期或按需尋找網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主機(jī)上的漏洞，從而可以對這些漏洞進(jìn)行及時(shí)彌補(bǔ)，以改善網(wǎng)絡(luò)的安全性什么是網(wǎng)絡(luò)弱點(diǎn)掃描網(wǎng)絡(luò)掃描器功能分類

簡單漏洞識別與分析全面漏洞識別與分析網(wǎng)絡(luò)掃描器功能分類簡單漏洞識別與分析許多工具能實(shí)現(xiàn)相對有限的安全檢測。這些工具可以自動(dòng)進(jìn)行目標(biāo)主機(jī)的TCP/IP端口掃描，嘗試連接存在已知漏洞的服務(wù)端口，并且記錄下目標(biāo)主機(jī)的反應(yīng)它們可以為特定的系統(tǒng)特性實(shí)現(xiàn)安全配置檢查簡單漏洞識別與分析許多工具能實(shí)現(xiàn)相對有限的安全檢測。這些工具全面漏洞識別與分析掃描漏洞范圍更廣對漏洞進(jìn)行分析提出的建議，減輕潛在的安全風(fēng)險(xiǎn)全面漏洞識別與分析掃描漏洞范圍更廣常用掃描工具SATANNessusISSInternetScanner常用掃描工具SATANSATAN(1)SATAN：SecurityAnalysisToolforAuditingNetworks其基本功能是通過finger，NFS，ftp，NIS，Web等服務(wù)盡可能的搜集目標(biāo)主機(jī)和網(wǎng)絡(luò)的相關(guān)信息

并具有簡單的推理功能

SATAN(1)SATAN：SecurityAnalysSATAN(2)具有良好的可擴(kuò)展性最核心部分對操作系統(tǒng)類型、網(wǎng)絡(luò)服務(wù)名稱、漏洞信息和其他細(xì)節(jié)信息依賴性很小提供了較為靈活的方式供用戶添加自己的探測模塊,用戶可以自己編寫一個(gè)可執(zhí)行文件，以.satan結(jié)尾SATAN(2)具有良好的可擴(kuò)展性NESSUS一個(gè)公開代碼的安全評估工具有靈活Plugin結(jié)構(gòu)，強(qiáng)大的掃描功能，并且具有很好的擴(kuò)展性自己提供了一個(gè)語言NASL用于用戶自己開發(fā)測試模塊NESSUS一個(gè)公開代碼的安全評估工具ISSInternetScanner(1)針對網(wǎng)絡(luò)上主機(jī)網(wǎng)絡(luò)連接相關(guān)信息，分析主機(jī)系統(tǒng)平臺(tái)，提供的服務(wù)，并分析是否存弱點(diǎn)其可以診斷出的弱點(diǎn)包括：對PC、服務(wù)器、Web服務(wù)器、防火墻、路由器等網(wǎng)絡(luò)設(shè)備的錯(cuò)誤配置設(shè)備所啟動(dòng)的服務(wù)弱的或者無密碼防護(hù)沒有打補(bǔ)丁或者過時(shí)的系統(tǒng)平臺(tái)。

ISSInternetScanner(1)針對網(wǎng)絡(luò)上主ISSInternetScanner(2)特點(diǎn)：掃描模塊與管理控制模塊分開，管理方便采用XML方式定義掃描任務(wù)，策略配置靈活多樣支持對各種網(wǎng)絡(luò)設(shè)備、平臺(tái)、應(yīng)用的評估界面友好，報(bào)告齊全

ISSInternetScanner(2)特點(diǎn)：隱患掃描

（vulnerabilitiesscanning）

網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描主機(jī)弱點(diǎn)掃描功能與特點(diǎn)ISSSystemScanner

特定應(yīng)用弱點(diǎn)掃描隱患掃描

（vulnerabilitiesscanning主機(jī)弱點(diǎn)掃描功能與特點(diǎn)是針對單一主機(jī)系統(tǒng)的掃描，它在目標(biāo)系統(tǒng)上運(yùn)行，可以搜集到比較全面的系統(tǒng)信息，對系統(tǒng)安全性作比較深入地分析

只能分析單個(gè)主機(jī)，不能分析整個(gè)網(wǎng)絡(luò)狀況，也不能遠(yuǎn)程執(zhí)行對于單一主機(jī)來說，主機(jī)弱點(diǎn)評估比網(wǎng)絡(luò)弱點(diǎn)評估的評估能力強(qiáng)，準(zhǔn)確性高它對弱點(diǎn)的修復(fù)能力比網(wǎng)絡(luò)評估系統(tǒng)強(qiáng)主機(jī)弱點(diǎn)掃描功能與特點(diǎn)是針對單一主機(jī)系統(tǒng)的掃描，它在目標(biāo)系統(tǒng)ISSSystemScanner是ISS公司開發(fā)的針對主機(jī)的弱點(diǎn)掃描工具只涉及到單一主機(jī)，功能較為單一，報(bào)告比較簡略對目標(biāo)系統(tǒng)平臺(tái)具有很強(qiáng)的依賴性，不同的平臺(tái)涉及到不同的評測內(nèi)容，不同的評測方法，目前主要分為Windows和Unix兩大系列結(jié)合了傳統(tǒng)安全評估和完整性檢測兩種方法的特點(diǎn)，提出SecurityBaseline技術(shù)，即在進(jìn)行完一次完整的安全評估后，對所有漏洞修補(bǔ)，保證系統(tǒng)達(dá)到自己的安全需求ISSSystemScanner是ISS公司開發(fā)的針對主隱患掃描

（vulnerabilitiesscanning）

網(wǎng)絡(luò)弱點(diǎn)掃描

主機(jī)弱點(diǎn)掃描特定應(yīng)用弱點(diǎn)掃描數(shù)據(jù)庫弱點(diǎn)掃描對未知漏洞的檢測隱患掃描

（vulnerabilitiesscanning數(shù)據(jù)庫弱點(diǎn)掃描以ISS的DatabaseScanner為代表自動(dòng)解析數(shù)據(jù)庫系統(tǒng)的重要配置管理參數(shù)分析數(shù)據(jù)庫系統(tǒng)的授權(quán)、認(rèn)證、完整性檢測一些流行數(shù)據(jù)庫的安全漏洞生成詳細(xì)用戶報(bào)告提供兩種評估方式內(nèi)部掃描外部穿透性測試數(shù)據(jù)庫弱點(diǎn)掃描以ISS的DatabaseScanner對未知漏洞的檢測目前主要有三種方法：靜態(tài)源代碼掃描環(huán)境錯(cuò)誤注入?yún)R編代碼掃描已有一些成果發(fā)布，尚待進(jìn)一步研究對未知漏洞的檢測目前主要有三種方法：課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描

PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描PKI(CA)PKI基礎(chǔ)知識PKI技術(shù)WIN2000PKI

PKI(CA)PKI基礎(chǔ)知識PKI(CA)PKI基礎(chǔ)知識什么是PKIPKI的組成PKI標(biāo)準(zhǔn)的制定組織PKI技術(shù)WIN2000PKI

PKI(CA)PKI基礎(chǔ)知識什么是PKIPKI是一個(gè)用公鑰概念和技術(shù)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施提供機(jī)密性（包括公鑰加密和對稱加密）、數(shù)據(jù)完整性、非否認(rèn)服務(wù)，比如加密、數(shù)字簽名、數(shù)字信封、時(shí)間戳等等遵循標(biāo)準(zhǔn)：X.509、RFC2459等什么是PKIPKI是一個(gè)用公鑰概念和技術(shù)實(shí)施和提供安全服務(wù)的公鑰密碼體制(1)公鑰密碼技術(shù)由Diffe和Hellman于1976年首次提出有兩個(gè)不同的密鑰（公鑰－私鑰對），可將加密功能和解密功能分開是目前若干關(guān)鍵技術(shù)如PKI、VPN等的基礎(chǔ)公鑰密碼體制(1)公鑰密碼技術(shù)由Diffe和Hellman于公鑰加密模型公鑰加密模型公鑰認(rèn)證模型公鑰認(rèn)證模型公鑰密碼體制(2)公鑰密碼體制的優(yōu)點(diǎn):可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務(wù)來分配密鑰。公鑰密碼體制的缺點(diǎn):加、解密的速度太慢密鑰長度太長RSA算法：是一個(gè)可逆的公鑰密碼體制，在PGP中被用來加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素?cái)?shù)是相對容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的;目前建議使用模長為1024比特以上的模作為密鑰

公鑰密碼體制(2)公鑰密碼體制的優(yōu)點(diǎn):PKI的組成1．

CA（認(rèn)證機(jī)構(gòu)）2．

證書庫3．

證書撤銷4．

密鑰備份和恢復(fù)5．

自動(dòng)密鑰更新6．

密鑰歷史檔案7．

交叉認(rèn)證8．

支持非否認(rèn)9．

時(shí)間戳10.客戶端軟件PKI的組成1．

CA（認(rèn)證機(jī)構(gòu)）PKI標(biāo)準(zhǔn)的制定組織國際標(biāo)準(zhǔn)化組織/國際電信聯(lián)盟

(ISO)/(ITU)-X.509

因特網(wǎng)特別工程任務(wù)組

(IETF).RFC2459RSA實(shí)驗(yàn)室

PKCS系列

美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)MISPC最小互操作規(guī)范

PKI標(biāo)準(zhǔn)的制定組織國際標(biāo)準(zhǔn)化組織/國際電信聯(lián)盟(ISO)PKI(CA)PKI基礎(chǔ)知識PKI技術(shù)

RFC2459X.509信任模型PKI技術(shù)應(yīng)用現(xiàn)狀WIN2000PKI

PKI(CA)PKI基礎(chǔ)知識RFC2459RFC2459RFC2459RFC2459X.509證書(1)（圖）X.509證書(1)（圖）X.509證書(2)證書版本號（Version）證書序列號（SerialNumber）簽名算法標(biāo)識符(SignatueAlgID)頒發(fā)者（Issuer）

有效期（Validity）X.509證書(2)證書版本號（Version）X.509證書(3)主體名（Subject）主體公鑰信息（SubjectPublicKeyInfo）簽發(fā)者唯一標(biāo)識符(IssuerID)主體唯一標(biāo)識符(SubjectID)簽名值（Issuer'sSignature）擴(kuò)展項(xiàng)X.509V3版本的14項(xiàng)標(biāo)準(zhǔn)擴(kuò)展X.509證書(3)主體名（Subject）信任模型層次信任模型網(wǎng)狀信任模型混和信任模型橋信任模型信任模型層次信任模型層次信任模型層次信任模型網(wǎng)狀信任模型網(wǎng)狀信任模型混和信任模型混和信任模型橋信任模型橋信任模型PKI技術(shù)應(yīng)用現(xiàn)狀VeriSign,IBM,Balitimore,Entrust等為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品各國政府也相繼推出和建立了國家和政府級的PKI體系，如美國聯(lián)邦PKI體系（FPKI）、加拿大政府PKI體系（GOCPKI）等PKI技術(shù)應(yīng)用現(xiàn)狀VeriSign,IBM,BalitimPKI(CA)PKI基礎(chǔ)知識PKI技術(shù)WIN2000PKIWIN2000中CA的層次結(jié)構(gòu)

證書頒發(fā)過程

WIN2000PKI的組成

PKI(CA)PKI基礎(chǔ)知識WIN2000PKIWindows2000為電子商務(wù)提供了一個(gè)平臺(tái)，其中包括證書管理、CA服務(wù)與PKI應(yīng)用程序等WIN2000PKIWIN2000中CA的層次結(jié)構(gòu)

Windows2000PKI采用了分層CA模型。這種模型具備可伸縮性，易于管理，并且能夠?qū)Σ粩嘣鲩L的商業(yè)性第三方CA產(chǎn)品提供良好的支持。在最簡單的情況下，認(rèn)證體系可以只包含一個(gè)CA。但是就一般情況而言，這個(gè)體系是由相互信任的多重CA構(gòu)成的

WIN2000中CA的層次結(jié)構(gòu)Windows2000PKWIN2000中CA的層次結(jié)構(gòu)(圖)

WIN2000中CA的層次結(jié)構(gòu)(圖)證書頒發(fā)過程CA收到證書請求信息，包括個(gè)人資料和公鑰等

CA對用戶提供的信息進(jìn)行核實(shí)

CA用自己的私鑰對證書進(jìn)行數(shù)字簽名

CA將證書發(fā)給用戶

證書頒發(fā)過程CA收到證書請求信息，包括個(gè)人資料和公鑰等WIN2000PKI的組成認(rèn)證服務(wù)

活動(dòng)目錄

支持PKI的應(yīng)用程序

使用的安全協(xié)議

WIN2000PKI的組成認(rèn)證服務(wù)WIN2000PKI的組成（圖）

WIN2000PKI的組成（圖）認(rèn)證服務(wù)

(CertificateServices)是WIN2000PKI中的一個(gè)關(guān)鍵部分通過它可以部署一個(gè)或多個(gè)企業(yè)性的CA。這些CA都可以進(jìn)行認(rèn)證發(fā)布和撤銷服務(wù)，它們與活動(dòng)目錄集成在一起認(rèn)證服務(wù)

(CertificateServices)活動(dòng)目錄提供了CA的定位信息和CA策略，并可以公布有關(guān)認(rèn)證發(fā)布和撤銷的信息

活動(dòng)目錄提供了CA的定位信息和CA策略，并可以公布有關(guān)認(rèn)證發(fā)支持WIN2000PKI的應(yīng)用程序

MicrosoftInternetExplorerMicrosoftInternetInformationServiceMicrosoftOutlookMicrosoftOutlookExpressMicrosoftMoney其他第三方程序

支持WIN2000PKI的應(yīng)用程序MicrosoftIWIN2000PKI使用的安全協(xié)議安全套接字協(xié)議SSL

網(wǎng)際安全協(xié)議IPSecWIN2000PKI使用的安全協(xié)議安全套接字協(xié)議SSL課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描PGP(PrettyGoodPrivacy)PGP發(fā)展歷史與現(xiàn)狀

PGP加密流程

PGP加解密算法PGP的密鑰管理機(jī)制

PGP(PrettyGoodPrivacy)PGP發(fā)展PGP(PrettyGoodPrivacy)PGP概述PGP發(fā)展歷史與現(xiàn)狀

PGP功能PGP加密流程

PGP加解密算法PGP的密鑰管理機(jī)制

PGP(PrettyGoodPrivacy)PGP概述PGP發(fā)展歷史與現(xiàn)狀是一個(gè)基于RSA公鑰加密體系的郵件加密軟件由美國的

PhilZimmermann于1991年發(fā)布采用了RSA和對稱加密算法相結(jié)合的機(jī)制1993年，美國政府以違反出口法規(guī)提起了對PhilZimmermann的訴訟。最后以PhilZimmermann獲勝告終。PGP發(fā)展歷史與現(xiàn)狀是一個(gè)基于RSA公鑰加密體系的郵件加密軟PGP功能電子郵件機(jī)密性身份認(rèn)證文件加密PGP功能電子郵件機(jī)密性PGP(PrettyGoodPrivacy)PGP發(fā)展歷史與現(xiàn)狀

PGP加密流程安全機(jī)制

PGP公鑰與證書

口令PGP加解密算法PGP的密鑰管理機(jī)制

PGP(PrettyGoodPrivacy)PGP發(fā)展PGP安全機(jī)制采用公開密鑰加密與對稱密鑰加密相結(jié)合的加密體系

對稱密鑰加密技術(shù)部分所使用的密鑰稱為“會(huì)話密鑰”會(huì)話密鑰在每次會(huì)話中隨機(jī)產(chǎn)生會(huì)話密鑰用來保護(hù)報(bào)文內(nèi)容公開密鑰加密技術(shù)中的公鑰和私鑰則用來加密和解密會(huì)話密鑰

PGP安全機(jī)制采用公開密鑰加密與對稱密鑰加密相結(jié)合的加密體系PGP公鑰與證書

每個(gè)PGP公鑰都伴隨著一個(gè)證書PGP承認(rèn)兩種不同的證書格式

PGP證書X.509證書

PGP公鑰與證書每個(gè)PGP公鑰都伴隨著一個(gè)證書PGP證書(1)（圖）PGP證書(1)（圖）PGP證書(2)（圖）PGP證書(2)（圖）PGP證書(3)（圖）PGP證書(3)（圖）PGP證書(3)PGP證書通常包括以下信息PGP版本號

證書持有者的公鑰

證書持有者的信息

證書擁有者的數(shù)字簽名

證書的有效期

密鑰首選的對稱加密算法

中介人簽名

PGP證書(3)PGP證書通常包括以下信息X.509證書與PGP證書的不同用戶可以創(chuàng)建自己的PGP證書;但是必須向CA請求才能得到一份X.509證書X.509證書只支持密鑰擁有者的一個(gè)名字X.509證書只支持證明密鑰合法性的一個(gè)數(shù)字簽名X.509證書與PGP證書的不同用戶可以創(chuàng)建自己的PGP證PGP(PrettyGoodPrivacy)PGP發(fā)展歷史與現(xiàn)狀

加密流程

PGP加解密算法PGP中的公鑰密碼體制PGP中的身份認(rèn)證PGP中的對稱密碼體制

PGP的密鑰管理機(jī)制

PGP(PrettyGoodPrivacy)PGP發(fā)展PGP公鑰密碼體制公鑰密碼體制的優(yōu)點(diǎn):可以簡化密鑰的管理，并且可以通過公開系統(tǒng)如公開目錄服務(wù)來分配密鑰。公鑰密碼體制的缺點(diǎn):加、解密的速度太慢密鑰長度太長RSA算法：是一個(gè)可逆的公鑰密碼體制，在PGP中被用來加密通信密鑰和數(shù)字簽名;基于以下原理：尋找大素?cái)?shù)是相對容易的，而分解兩個(gè)大素?cái)?shù)的積在計(jì)算上是不可行的;目前建議使用模長為1024比特以上的模作為密鑰

PGP公鑰密碼體制公鑰密碼體制的優(yōu)點(diǎn):數(shù)字簽名與消息摘要(1)什么是數(shù)字簽名：是一種確保數(shù)據(jù)完整性和非否認(rèn)性的手段，通過給消息附加一段數(shù)據(jù)來實(shí)現(xiàn)使用對稱密碼體制或公鑰密碼體制，目前一般使用公鑰密碼體制實(shí)現(xiàn)問題：速度慢產(chǎn)生大量數(shù)據(jù)，大約是原始數(shù)據(jù)的兩倍數(shù)字簽名與消息摘要(1)什么是數(shù)字簽名：數(shù)字簽名與消息摘要(2)解決方法：引入消息摘要什么是消息摘要：通過對一段任意長的消息使用單向函數(shù)，獲得的一段定長的數(shù)據(jù)流程：構(gòu)造一段消息的消息摘要對該段消息摘要進(jìn)行數(shù)字簽名數(shù)字簽名與消息摘要(2)解決方法：數(shù)字簽名與消息摘要(3)對消息摘要算法的要求：函數(shù)必須是單向的，即對任意消息摘要來構(gòu)筑能產(chǎn)生該消息摘要的輸入消息是計(jì)算上不可行的構(gòu)造兩個(gè)能產(chǎn)生相同消息摘要的不同的消息是計(jì)算上不可行的數(shù)字簽名與消息摘要(3)對消息摘要算法的要求：PGP中的對稱密碼體制什么是對稱密碼體制一種使用相同密鑰（或相互容易推出的）進(jìn)行加密和解密的密碼體制分為序列密碼和分組密碼，PGP中使用分組密碼中的IDEA算法來加密數(shù)據(jù)優(yōu)點(diǎn)：加解密速度快缺點(diǎn)：必須有一個(gè)安全的傳遞通道用來傳遞密鑰PGP中的對稱密碼體制什么是對稱密碼體制PGP(PrettyGoodPrivacy)PGP發(fā)展歷史與現(xiàn)狀

加密流程

PGP加解密算法PGP的密鑰管理機(jī)制

PGP(PrettyGoodPrivacy)PGP發(fā)展PGP的密鑰管理機(jī)制

一個(gè)成熟的加密體系必然要有一個(gè)成熟的密鑰管理機(jī)制配套PGP密鑰管理的問題：容易被他人篡改、偽造解決方法：公鑰介紹機(jī)制通過其他人對公鑰的簽名保證公鑰的可信度存在的問題：密鑰撤銷PGP的密鑰管理機(jī)制一個(gè)成熟的加密體系必然要有一個(gè)成熟的密課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描安全加固(1)安全加固通常是指通過一定的技術(shù)手段，在不增加新產(chǎn)品的基礎(chǔ)上，提高系統(tǒng)的安全性和抗攻擊能力

安全加固的優(yōu)點(diǎn)相對于重新開發(fā)系統(tǒng)，成本較低可以滿足大多數(shù)用戶對安全系統(tǒng)的要求安全加固(1)安全加固通常是指通過一定的技術(shù)手段，在不增加新安全加固(2)常見手段有：提供密碼系統(tǒng)安全增強(qiáng)提供訪問控制策略和工具增強(qiáng)遠(yuǎn)程維護(hù)的安全性文件系統(tǒng)完整性審計(jì)增強(qiáng)的系統(tǒng)日志分析等等安全加固(2)常見手段有：技術(shù)實(shí)現(xiàn)安全加固的技術(shù)實(shí)現(xiàn)在操作系統(tǒng)加固中，一般是通過截取系統(tǒng)調(diào)用，從根本上為操作系統(tǒng)提供較高的安全性在某些加固中，使用了密碼硬件設(shè)備來確保保證系統(tǒng)安全

技術(shù)實(shí)現(xiàn)安全加固的技術(shù)實(shí)現(xiàn)安全增強(qiáng)插件安全增強(qiáng)插件通過將安全增強(qiáng)模塊插入到用戶界面與軟件之間，從而可以添加一些安全控制，提高系統(tǒng)的安全性特點(diǎn)：可以透明地工作于原有的系統(tǒng)或應(yīng)用軟件中安全增強(qiáng)插件安全增強(qiáng)插件通過將安全增強(qiáng)模塊插入到用戶界面與軟安全增強(qiáng)插件電子郵件安全增強(qiáng)插件，可以提供安全加密、數(shù)字簽名、訪問控制等安全服務(wù)SSL安全連接增強(qiáng)插件，可以提供在透明連接下的機(jī)密性和完整性及身份認(rèn)證

系統(tǒng)登錄安全增強(qiáng)插件，可以通過替換登錄界面，加強(qiáng)用戶身份認(rèn)證，通常通過密碼硬件支持加強(qiáng)安全性安全增強(qiáng)插件電子郵件安全增強(qiáng)插件，可以提供安全加密、數(shù)字簽名課程內(nèi)容

防火墻

VPN內(nèi)外網(wǎng)隔離

日志審計(jì)

入侵檢測

隱患掃描PKI(CA)

PGP

安全加固

防病毒課程內(nèi)容

防火墻

隱患掃描防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的檢測方法防病毒(Anti-virus)計(jì)算機(jī)病毒定義防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的檢測方法防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼

－《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第28條

計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破計(jì)算機(jī)病毒、蠕蟲與木馬蠕蟲：一段可以通過網(wǎng)絡(luò)或電子郵件傳播的惡意代碼，通常會(huì)造成資源耗盡或?qū)?shù)據(jù)破壞木馬：一段偽裝成正常應(yīng)用程序的惡意代碼，通常不自我復(fù)制，但是某些木馬可以通過蠕蟲傳播目前計(jì)算機(jī)病毒一般指各種具有自我傳播功能的惡意代碼，包括狹義的病毒以及蠕蟲和木馬程序。計(jì)算機(jī)病毒、蠕蟲與木馬蠕蟲：一段可以通過網(wǎng)絡(luò)或電子郵件傳播的防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的檢測方法防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的特性傳染性非授權(quán)性隱蔽性潛伏性破壞性不可預(yù)見性計(jì)算機(jī)病毒的特性傳染性防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的檢測方法防病毒(Anti-virus)計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒的檢測方法特征代碼法校驗(yàn)和法行為檢測法軟件模擬法計(jì)算機(jī)病毒的檢測方法特征代碼法特征代碼法(1)步驟：采集已知病毒樣本抽取特征代碼納入病毒數(shù)據(jù)庫對被檢測文件進(jìn)行特征匹配特征代碼法(1)步驟：特征代碼法(2)優(yōu)點(diǎn)：準(zhǔn)確、快速誤警率低缺點(diǎn)：不能檢測未知病毒搜集特征代碼開銷大不能檢查多態(tài)性病毒特征代碼法(2)優(yōu)點(diǎn)：校驗(yàn)和法(1)步驟根據(jù)正常文件的內(nèi)容，計(jì)算其校驗(yàn)和并進(jìn)行保存定期或使用前對文件進(jìn)行檢查如果發(fā)現(xiàn)文件校驗(yàn)和與原來的不同，則認(rèn)為文件感染了病毒校驗(yàn)和法(1)步驟校驗(yàn)和法(2)優(yōu)點(diǎn)方法簡單能夠發(fā)現(xiàn)未知病毒缺點(diǎn)誤警率高不能識別病毒名稱校驗(yàn)和法(2)優(yōu)點(diǎn)行為監(jiān)測法是利用病毒的特有行為作為特征來檢測病毒的方法優(yōu)點(diǎn)：可發(fā)現(xiàn)未知病毒缺點(diǎn)：可能誤報(bào)警實(shí)現(xiàn)難度高行為監(jiān)測法是利用病毒的特有行為作為特征來檢測病毒的方法軟件模擬法是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行特點(diǎn)：與特征代碼法聯(lián)合使用，用于檢測多態(tài)性病毒軟件模擬法是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行課程內(nèi)容

防火墻

入侵檢測

日志審計(jì)

PKI(CA)內(nèi)外網(wǎng)隔離

隱患掃描

安全加固

防病毒