網(wǎng)絡基礎-信息安全基礎

11三月2024網(wǎng)絡基礎-信息安全基礎*信息安全基礎信息安全與企業(yè)或組織機構的關系常見的網(wǎng)絡安全產(chǎn)品網(wǎng)絡安全的未來Part1:信息安全基礎**信息安全問題基本要素安全問題安全目標安全技術機密性信息的保密加密完整性探測信息是否被篡改數(shù)字摘要驗證驗證身份數(shù)字簽名，提問－應答，口令，生物測定法不可否認性不能否認信息的發(fā)送、接收及信息內容數(shù)字簽名，數(shù)字證書，時間戳訪問控制只有授權用戶才能訪問防火墻，口令，生物測定法*信息安全問題基本要素—加密技術對稱加密采用單鑰密碼系統(tǒng)的加密方法，同一個密鑰可以同時用作信息的加密和解密，這種加密方法稱為對稱加密，也稱為單密鑰加密。非對稱加密與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。*信息安全問題基本要素—對稱加密對稱加密特點：數(shù)據(jù)的發(fā)送方和接受方使用的是同一把密鑰加密過程:發(fā)送方對信息加密發(fā)送方將加密后的信息傳送給接收方接收方對收到信息解密，得到信息明文*信息安全問題基本要素—對稱加密對稱加密優(yōu)點：加密和解密的速度快，效率也很高，廣泛用于大量數(shù)據(jù)文件的加密過程中。缺點：密鑰管理比較困難。常見算法：數(shù)據(jù)加密標準（DES）、高級加密標準（AES）、三重DES*信息安全問題基本要素—非對稱加密非對稱加密特點發(fā)送方使用公鑰加密，接收方使用私鑰解密加密過程：發(fā)送方用接收方的公開密鑰對要發(fā)送的信息進行加密發(fā)送方將加密后的信息通過網(wǎng)絡傳送給接收方接收方用自己的私有密鑰對接收到的加密信息進行解密，得到信息明文信息安全問題基本要素—非對稱加密非對稱加密優(yōu)點：只傳公鑰，私鑰只有本地知道，安全性高。缺點：加密效率較低，比對稱加密慢近 千倍，耗資源。常見算法：RSA、Elgamal、背包算法、Rabin、D-H加密技術的常見應用-VPN內部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內部WWW重點子網(wǎng)下屬機構InternetDMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸VPN隧道*信息安全問題基本要素—完整性MD5算法：為計算機安全領域廣泛使用的一種散列函數(shù)，用以提供消息的完整性保護。SHA（SecureHashAlgorithm）算法：安全散列算法由美國NIST開發(fā)，作為聯(lián)邦信息處理標準于1993年發(fā)表，1995年修訂，成為SHA-1版本。MD5與SHA對比分析：對密碼分析的安全性：由于MD5的設計，易受密碼分析的攻擊，SHA-1顯得不易受這樣的攻擊。速度：在相同的硬件上，SHA-1的運行速度比MD5慢。數(shù)據(jù)完整性校驗實際案例軟件發(fā)布者預先公布軟件的MD5值用戶下載軟件后用MD5校驗工具檢查MD5值是否與一致，不一致說明數(shù)據(jù)不完整或者被篡改。信息安全問題基本要素—身份驗證、抗否認性數(shù)字簽名作用：保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證、防止交易中的抵賴發(fā)生。過程：將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。*信息安全問題基本要素—身份驗證、抗否認性數(shù)字簽名流程－基本非對稱加密理論*信息安全問題基本要素—訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件合法請求則允許對內訪問發(fā)起訪問請求防火墻在此處的功能：1.工作子網(wǎng)與外部子網(wǎng)的物理隔離2.訪問控制3.對工作子網(wǎng)做NAT地址轉換4.日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內部WWW重點子網(wǎng)防火墻-訪問限制HostCHostDHostBHostA受保護網(wǎng)絡Internet···············

······PermitPasswordUsername預先可在防火墻上設定用戶rootasdasdf驗證通過則允許訪問root123Yesadmin883No用戶身份認證根據(jù)用戶控制訪問信息安全問題基本要素—訪問控制防火墻-口令驗證Part2:信息安全與企業(yè)關系及問題*企業(yè)信息安全框架安全治理、風險管理和合規(guī)安全運維物理安全基礎架構安全應用安全數(shù)據(jù)安全身份/訪問安全基礎安全服務和架構機房安全網(wǎng)絡安全應用開發(fā)生命周期安全數(shù)據(jù)生命周期管理戰(zhàn)略和治理框架安全事件監(jiān)控安全事件響應安全事件審計安全策略管理安全績效管理安全外包服務業(yè)務流程安全Web應用安全應用開發(fā)環(huán)境安全主機安全終端安全視頻監(jiān)控安全數(shù)據(jù)泄露保護數(shù)據(jù)加密數(shù)據(jù)歸檔災難備份身份驗證訪問管理身份生命周期管理合規(guī)和策略遵從風險管理框架*企業(yè)面臨哪些安全問題CSDN密碼事件天涯密碼事件SINA微博事件漏洞公布網(wǎng)站每天在報……*企業(yè)面臨哪些安全問題—沒有絕對的安全網(wǎng)絡的開放性越來越多的基于網(wǎng)絡應用企業(yè)的業(yè)務要求網(wǎng)絡連接的不間斷性

每年畢業(yè)數(shù)以萬計的“無證程序員”O(jiān)S存在的安全漏洞應用存在的安全漏洞協(xié)議（Protocol）在設計時存在的安全漏洞錯誤的實現(xiàn)、錯誤的安全配置利益驅動黑客的攻擊*企業(yè)面臨哪些安全問題－傳統(tǒng)攻擊報文竊聽（PacketSniffers）IP欺騙（IPSpoofing）服務拒絕（DenialofService）密碼攻擊（PasswordAttacks）中間人攻擊(Man-in-the-MiddleAttacks)網(wǎng)絡偵察（NetworkReconnaissance）信任關系利用（TrustExploitation）端口重定向（PortRedirection）未授權訪問（UnauthorizedAccess）病毒與特洛伊木馬應用（VirusandTrojanHorseApplications）*企業(yè)面臨哪些安全問題－現(xiàn)在安全集中在應用OWASP項目的目標是通過找出企業(yè)組織所面臨的最嚴重的風險來提高人們對應用程序安全的關注度。Top10項目被眾多標準、書籍、工具和相關組織引用，包括MITRE、PCIDSS、DISA、FTC等等。OWASPTop10最初于2003年發(fā)布，并于2004年和2007年相繼做了少許的修改更新?，F(xiàn)在發(fā)布的是2010年版本。*企業(yè)面臨哪些安全問題－現(xiàn)在安全集中在應用*OWAPTOP9-傳輸層保護不足企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP9-傳輸層保護不足企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP8-沒有限制URL訪問企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP8-沒有限制URL訪問企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP7-不安全的加密存儲企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP7-不安全的加密存儲企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP6-安全配置錯誤企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP6-安全配置錯誤企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP5-跨站請求偽造(CSRF)企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP5-跨站請求偽造(CSRF)企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP4-不安全的直接對象引用企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP4-不安全的直接對象引用企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP3-失效的身份認證和會話管理企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP3-失效的身份認證和會話管理企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP2-跨站腳本(XSS)企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP2-跨站腳本(XSS)企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP1-注入企業(yè)面臨哪些安全問題－應用層常見攻擊*OWAPTOP1-注入企業(yè)面臨哪些安全問題－應用層常見攻擊Part3:常見的網(wǎng)絡安全產(chǎn)品*常見的網(wǎng)絡安全產(chǎn)品防火墻包過濾（基于源IP、目的IP、基于源端口、目的端口、基于時間）防攻擊特性（L2-L4層攻擊，如DOS/DDOS攻擊、ARP欺騙、ARP洪水攻擊等）基本路由功能NAT、端口映射、VPN等IDS入侵檢測系統(tǒng)常見的網(wǎng)絡安全產(chǎn)品監(jiān)視、分析用戶及系統(tǒng)活動識別反應已經(jīng)攻擊的活動模式并報警異常行為統(tǒng)計分析IPS入侵防御系統(tǒng)同時具備檢測和防御功能可檢測到IDS檢測不到的攻擊行為，如SQL注入等。防毒墻常見的網(wǎng)絡安全產(chǎn)品UTM統(tǒng)一威脅管理網(wǎng)絡邊界攔截病毒保護內網(wǎng)服務器防火墻病毒防護入侵檢測入侵防護惡意攻擊防護Part4:網(wǎng)絡安全的未來**安全發(fā)展趨勢及未來防火墻的發(fā)展影響2011年中國互聯(lián)網(wǎng)發(fā)展的十件大事利益驅動攻擊由釣魚、木馬轉向海量信息竊取攻擊成本下降安全事件頻繁*安全發(fā)展趨勢及未來－防火墻防火墻的發(fā)展應用安全正形成一種趨勢*安全發(fā)展趨勢及未來－重要事件影響2011年中國互聯(lián)網(wǎng)發(fā)展的十件大事*安全發(fā)展趨勢及未來－攻擊目標轉變利益驅動攻擊由釣魚、木馬轉向海量信息竊取黑客攻擊的目標發(fā)生了轉變，從以前面向個人的掛馬、釣魚散列式攻擊，轉而攻擊擁有大量用戶信息資源的網(wǎng)站，從而獲得更大的利益。這表明未來的安全形勢更加嚴峻，安全企業(yè)有著更大的責任。安全產(chǎn)品未來－攻擊成本&技術多樣性攻擊成本下降入侵者高Low19