《網(wǎng)絡(luò)安全基礎(chǔ)》

國(guó)內(nèi)信息平安的熱點(diǎn)問(wèn)題TCP/IP的網(wǎng)絡(luò)根本組成情況平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問(wèn)題講義內(nèi)容整體介紹.年信息平安熱點(diǎn)問(wèn)題軍事商業(yè)間諜事件開(kāi)始浮出水面誤殺事件頻發(fā)平安管理能力提升成為最為需要的思考方向防火墻繼續(xù)硬件化道路的開(kāi)展平安廠(chǎng)商的危機(jī)再次來(lái)臨做黑客站點(diǎn)被抓幾個(gè)G的攻擊流量不再陌生平安等級(jí)保護(hù)在我國(guó)全面推廣開(kāi)始P2P等新應(yīng)用也帶來(lái)了新的平安隱患.網(wǎng)絡(luò)攻擊變成了以經(jīng)濟(jì)利益為目的犯罪最吸引國(guó)人眼球的應(yīng)該是騰訊，2004年兩次QQ大規(guī)模無(wú)法使用，尤其是此后的勒索傳言，有人驚呼：中國(guó)網(wǎng)絡(luò)恐怖主義誕生了。入侵網(wǎng)站后販賣(mài)游戲帳號(hào)事件層出不窮。技術(shù)進(jìn)步加上道德感的缺失，黑客們開(kāi)始看清自己要的東西。

.已經(jīng)有了眾多公開(kāi)售賣(mài)SHELL的站點(diǎn).“掛馬式〞攻擊的案例分析中國(guó)招商引資網(wǎng)://china228/站點(diǎn)最下方被填加惡意連接，是一次典型的掛馬式攻擊。://gowuyi/about_us/image/icyfox.htm.“當(dāng)當(dāng)網(wǎng)〞也沒(méi)有幸免.蠕蟲(chóng)、病毒、網(wǎng)絡(luò)釣魚(yú)事件頻發(fā)MYDOOM/Netsky/Bagle/震蕩波/SCO炸彈/QQ尾巴/MSN射手等一系列新病毒和蠕蟲(chóng)的出現(xiàn)，造成了巨大的經(jīng)濟(jì)損失。而且病毒和蠕蟲(chóng)的多樣化明顯，甚至蠕蟲(chóng)編寫(xiě)組織開(kāi)始相互對(duì)抗，頻繁推出新版本。越來(lái)越多的間諜軟件，它們已經(jīng)被更多的公司及個(gè)人利用，其目的也從初期簡(jiǎn)單收戶(hù)信息演化為可能收集密碼、帳號(hào)等資料，大家還記得網(wǎng)銀大盜嗎？網(wǎng)絡(luò)釣魚(yú)，只看網(wǎng)絡(luò)釣客以“假網(wǎng)站〞試釣中國(guó)銀行、工商銀行等國(guó)內(nèi)各大銀行用戶(hù)，就可以想見(jiàn)其猖獗程度了。.什么是網(wǎng)絡(luò)釣魚(yú)？.工行后續(xù)事件的追蹤涉案金額驚人.P2P下載謹(jǐn)防Real蛀蟲(chóng)隨著B(niǎo)T下載以及播客的應(yīng)用與繁榮，眾多網(wǎng)民熱衷于網(wǎng)上下載電影、電視等視頻文件，病毒開(kāi)始瞄準(zhǔn)這一傳播途徑大肆傳播。黑客最常用的視頻漏洞無(wú)疑應(yīng)該是Real腳本漏洞。由于Real格式的視頻文件可以?xún)?nèi)嵌一個(gè)網(wǎng)址，并在翻開(kāi)視頻文件時(shí)自動(dòng)翻開(kāi)內(nèi)嵌的網(wǎng)址，因此許多黑客在一些熱門(mén)的視頻文件內(nèi)嵌入一個(gè)帶有大量病毒的惡意網(wǎng)址。一旦網(wǎng)友下載并翻開(kāi)了該視頻文件，即可從嵌入的惡意網(wǎng)址中下載大量的病毒，輕者電腦運(yùn)行緩慢直至死機(jī)，嚴(yán)重的中毒電腦將會(huì)成為黑客手中肉雞，電腦內(nèi)所有的數(shù)據(jù)和資料都可以被黑客輕易竊取。.警惕木馬“戀〞上賀歲大片.大學(xué)生自編黑客軟件盜款50余萬(wàn)長(zhǎng)沙某銀行多個(gè)用戶(hù)賬號(hào)被盜,近10萬(wàn)元錢(qián)失蹤.民警經(jīng)過(guò)4個(gè)月的調(diào)查得知,作案人竟是3個(gè)名牌大學(xué)的畢業(yè)生,他們通過(guò)“個(gè)人網(wǎng)上銀行〞平安漏洞,自編黑客軟件盜取用戶(hù)存款,長(zhǎng)沙、上海等地20多名用戶(hù)受害,涉案金額高達(dá)50多萬(wàn)元.5月2日,長(zhǎng)沙某銀行儲(chǔ)戶(hù)李芳(化名)發(fā)現(xiàn)自己銀行賬號(hào)里的10050元存款離奇“蒸發(fā)〞,經(jīng)查,該行共有10多名儲(chǔ)戶(hù)遭竊,近10萬(wàn)元存款不翼而飛.經(jīng)查,犯罪嫌疑人譚繼善、譚長(zhǎng)庚、王裕新是高中同學(xué),3人分別畢業(yè)于不同的名牌大學(xué),畢業(yè)后長(zhǎng)期糾合在一起.今年5月初,由于對(duì)工作不滿(mǎn)足,3人商量“搞錢(qián)〞.一次偶然時(shí)機(jī),學(xué)計(jì)算機(jī)專(zhuān)業(yè)的譚繼善登錄某銀行網(wǎng)頁(yè),發(fā)現(xiàn)網(wǎng)上銀行存在漏洞,于是編寫(xiě)出一套黑客程序,套取局部?jī)?chǔ)戶(hù)的資料,在銀行專(zhuān)用機(jī)將錢(qián)取走.目前3人已被依法刑拘..股票“黑客〞獲刑一年.垃圾郵件與反垃圾郵件之間的斗爭(zhēng)愈演愈烈.“流氓軟件〞無(wú)空不入.誤殺事件頻頻發(fā)生.熊貓燒香所帶來(lái)的病毒產(chǎn)業(yè)化開(kāi)展.主動(dòng)防御成為了平安新名詞“主動(dòng)防御〞主要包括兩個(gè)方面。一是在未知病毒和未知程序方面，通過(guò)“行為判斷〞技術(shù)，開(kāi)發(fā)出了“危險(xiǎn)行為監(jiān)控〞、“行為自動(dòng)分析和診斷〞等技術(shù)。這些技術(shù)從動(dòng)態(tài)和靜態(tài)兩個(gè)角度來(lái)判定程序的行為特征，可以識(shí)別大局部未被截獲的未知病毒和變種。除了識(shí)別未知病毒和變種之外，還將大力強(qiáng)化了系統(tǒng)漏洞管理模塊。一方面，該模塊強(qiáng)制掃描、主動(dòng)修補(bǔ)系統(tǒng)漏洞，這樣的話(huà)，在相應(yīng)的病毒乃至攻擊代碼出現(xiàn)之前，我們就堵死了它的傳播和攻擊渠道。另一方面，我們將對(duì)漏洞攻擊行為進(jìn)行監(jiān)測(cè)，這樣可以防止病毒利用系統(tǒng)漏洞對(duì)其它計(jì)算機(jī)進(jìn)行攻擊，從而阻止病毒的爆發(fā)?！爸鲃?dòng)防御〞其實(shí)是針對(duì)傳統(tǒng)的“特征碼技術(shù)〞而言的。在傳統(tǒng)的反病毒方式中，平安軟件總是處于弱勢(shì)，只有病毒出現(xiàn)了，才能有病毒庫(kù)的更新，即便這之間的時(shí)間差很小，但仍然讓很多用戶(hù)遭受損失。主動(dòng)防御根據(jù)病毒的行為模式，給用戶(hù)更多的信息，幫助完成對(duì)未知病毒的識(shí)別。.國(guó)家加強(qiáng)信息平安保障，公布系列文件信息平安等級(jí)保護(hù)逐漸成為當(dāng)前國(guó)家重點(diǎn)開(kāi)展的信息平安戰(zhàn)略。27號(hào)文件和66號(hào)文件等文件促進(jìn)信息平安開(kāi)展。1994年國(guó)務(wù)院公布了?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?，條例中規(guī)定：我國(guó)的“計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)保護(hù)。平安等級(jí)的劃分標(biāo)準(zhǔn)和平安等級(jí)保護(hù)的具體方法，由公安部會(huì)同有關(guān)部門(mén)制定。〞?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859-1999的制定。這是一部強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，是技術(shù)法規(guī)。2003年的?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?(27號(hào)文件)中指出：“要重點(diǎn)保護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國(guó)家平安、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級(jí)保護(hù)制度，制定信息平安等級(jí)保護(hù)的管理方法和技術(shù)指南〞。根據(jù)國(guó)家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和安排，我國(guó)將在全國(guó)范圍內(nèi)全面開(kāi)展信息平安等級(jí)保護(hù)工作。.國(guó)家全力參與網(wǎng)絡(luò)打黃專(zhuān)項(xiàng)行動(dòng).國(guó)家出口路由封鎖.信息平安開(kāi)展趨勢(shì)同時(shí)擁有高超的技術(shù)和偽裝手段的職業(yè)化攻擊者越來(lái)越多的出現(xiàn)在網(wǎng)絡(luò)世界中，他們目的性非常強(qiáng)。信息平安即國(guó)家平安，我國(guó)政府已經(jīng)清楚的認(rèn)識(shí)到信息平安的重要性，大力整改網(wǎng)絡(luò)空間中的問(wèn)題。.國(guó)內(nèi)信息平安的熱點(diǎn)問(wèn)題TCP/IP的網(wǎng)絡(luò)根本組成情況平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問(wèn)題網(wǎng)絡(luò)平安技術(shù)防護(hù)體系介紹講義內(nèi)容整體介紹.協(xié)議－－ISO/OSI協(xié)議分層應(yīng)用層表示層會(huì)話(huà)層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層.協(xié)議－－ISO/OSI協(xié)議分層(cont.)物理層：涉及在物理信道上傳輸原始比特，處理與物理傳輸介質(zhì)有關(guān)的機(jī)械的、電氣的和過(guò)程的接口。數(shù)據(jù)鏈路層：分為介質(zhì)訪(fǎng)問(wèn)控制〔MAC〕和邏輯鏈路控制〔LLC〕兩個(gè)子層。MAC子層解決播送型網(wǎng)絡(luò)中多用戶(hù)競(jìng)爭(zhēng)信道使用權(quán)問(wèn)題。LLC的主要任務(wù)是將有噪聲的物理信道變成無(wú)傳輸過(guò)失的通信信道，提供數(shù)據(jù)成幀、過(guò)失控制、流量控制和鏈路控制等功能。網(wǎng)絡(luò)層：負(fù)責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端，即所謂點(diǎn)到點(diǎn)，通信主要功能是尋徑，以及與之相關(guān)的流量控制和擁塞控制等。.協(xié)議－－ISO/OSI協(xié)議分層(cont.)傳輸層：主要目的在于彌補(bǔ)網(wǎng)絡(luò)層效勞與用戶(hù)需求之間的差距。傳輸層通過(guò)向上提供一個(gè)標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)〔下三層〕的細(xì)節(jié)相隔離。傳輸層的主要任務(wù)是提供進(jìn)程間通信機(jī)制和保證數(shù)據(jù)傳輸?shù)目煽啃浴?huì)話(huà)層：主要針對(duì)遠(yuǎn)程終端訪(fǎng)問(wèn)。主要任務(wù)包括會(huì)話(huà)管理、傳輸同步以及活動(dòng)管理等。表示層：主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換〔以及上述各操作的逆操作〕等等。應(yīng)用層：提供最常用且通用的應(yīng)用程序，包括電子郵件〔E-mail〕和文電傳輸?shù)取?應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI參考模型Internet協(xié)議簇OSI參考模型與Internet協(xié)議簇注解：通過(guò)對(duì)每一個(gè)協(xié)議簇中各種協(xié)議結(jié)構(gòu)的詳細(xì)了解，就可以非常輕松的針對(duì)包過(guò)濾型、應(yīng)用代理型等防火墻的ACL〔訪(fǎng)問(wèn)控制列表〕進(jìn)行制定和理解，并有助于了解防火墻的架構(gòu)體系。.協(xié)議－－TCP/IP協(xié)議分層應(yīng)用層傳輸層網(wǎng)間網(wǎng)層網(wǎng)絡(luò)接口層.協(xié)議－－TCP/IP協(xié)議分層應(yīng)用層：向用戶(hù)提供一組常用的應(yīng)用程序，比方文件傳輸訪(fǎng)問(wèn)、電子郵件、遠(yuǎn)程登錄等。用戶(hù)完全可以在“網(wǎng)間網(wǎng)〞之上〔即傳輸層之上〕，建立自己的專(zhuān)用應(yīng)用程序，這些專(zhuān)用應(yīng)用程序要用到TCP/IP，但不屬于TCP/IP。傳輸層〔TCP/UDP〕：提供給用程序間〔即端到端〕的可靠〔TCP〕或高效〔UDP〕的通信。其功能包括：格式化信息流及提供可靠傳輸。傳輸層還要解決不同應(yīng)用程序的識(shí)別問(wèn)題。網(wǎng)間網(wǎng)層〔IP〕：負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。其功能包括：處理來(lái)自傳輸層的分組發(fā)送請(qǐng)求；處理輸入數(shù)據(jù)包；處理ICMP報(bào)文。網(wǎng)絡(luò)接口層：TCP/IP協(xié)議的最低層，負(fù)責(zé)接收IP數(shù)據(jù)報(bào)并通過(guò)網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出IP數(shù)據(jù)包，交給IP層。.TCP/IP效勞注解：通過(guò)該效勞體系的理解，大家一定要了解清楚IP包過(guò)濾型防火墻中的TCP協(xié)議簇包括那些具體協(xié)議、UDP協(xié)議簇包括那些具體協(xié)議，并要特別注意怎樣通過(guò)防火墻的ICMP協(xié)議去平安有效的控制PING命令的執(zhí)行。.SMTP-SimpleMailTransferProtocol,用于發(fā)送、接收電子郵件。TELNET-可以遠(yuǎn)程登陸到網(wǎng)絡(luò)的每個(gè)主機(jī)上，直接使用他的資源。FTP-FileTransferProtocol,用于文件傳輸。DNS-DomainNameService,被TELNET、FTP、WWW及其它效勞所用，可以把主機(jī)名字轉(zhuǎn)換為IP地址。WWW-WorldWideWeb,是FTP、gopher、WAIS及其它信息效勞的結(jié)合體,使用超文本傳輸協(xié)議()。TCP/IP效勞(cont.).RPC-遠(yuǎn)程過(guò)程調(diào)用效勞。如NFS-NetworkFileSystem,可允許系統(tǒng)共享目錄與磁盤(pán)。NIS-NetworkInformationServices,網(wǎng)絡(luò)信息效勞容許多個(gè)系統(tǒng)共享數(shù)據(jù)庫(kù),如passwordfile容許集中管理。XWindowSystem：一個(gè)圖形化的窗口系統(tǒng)。Rlogin、rsh、及其它“r〞效勞。運(yùn)用相互信任的主機(jī)的概念，在其它系統(tǒng)上可以執(zhí)行命令且不要求password。TCP/IP效勞(cont.).IPIP協(xié)議的主要內(nèi)容包括無(wú)連接數(shù)據(jù)報(bào)傳送、數(shù)據(jù)報(bào)尋徑及過(guò)失處理三局部。IP層作為通信子網(wǎng)的最高層，屏蔽底層各種物理網(wǎng)絡(luò)的技術(shù)環(huán)節(jié)，向上〔TCP層〕提供一致的、通用性的接口，使得各種物理網(wǎng)絡(luò)的差異性對(duì)上層協(xié)議不復(fù)存在。IP數(shù)據(jù)報(bào)分為報(bào)頭和數(shù)據(jù)區(qū)兩局部，IP報(bào)頭由IP協(xié)議處理，是IP協(xié)議的表達(dá)；數(shù)據(jù)體那么用于封裝傳輸層數(shù)據(jù)或過(guò)失和控制報(bào)文〔ICMP〕數(shù)據(jù)，由TCP協(xié)議或ICMP協(xié)議處理。.TCPTCP是傳輸層的重要協(xié)議之一，提供面向連接的可靠字節(jié)流傳輸。面向連接的TCP要求在進(jìn)行實(shí)際數(shù)據(jù)傳輸前，必須在信源端與信宿端建立一條連接。且面向連接的每一個(gè)報(bào)文都需接收端確認(rèn)，未確認(rèn)報(bào)文被認(rèn)為是出錯(cuò)報(bào)文，出錯(cuò)的報(bào)文協(xié)議要求出錯(cuò)重傳。TCP采用可變窗口進(jìn)行流量控制和擁塞控制以保證可靠性。分組是TCP傳輸數(shù)據(jù)的根本單元，分TCP頭和TCP數(shù)據(jù)體兩大局部。.UDPUDP是傳輸層的重要協(xié)議之一；基于UDP的效勞包括NIS、NFS、NTP及DNS等。UDP不是面向連接的效勞，幾乎不提供可靠性措施；因此，基于UDP的效勞具有較高的風(fēng)險(xiǎn)。.TCP與UDP端口一個(gè)TCP或UDP連接由下述要素唯一確定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用協(xié)議端口標(biāo)識(shí)通信進(jìn)程，端口是一種抽象的軟件結(jié)構(gòu)〔包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)〕。應(yīng)用程序〔即進(jìn)程〕通過(guò)系統(tǒng)調(diào)用與某些端口建立連接后，傳輸層傳給該端口的數(shù)據(jù)被相應(yīng)進(jìn)程所接收。接口又是進(jìn)程訪(fǎng)問(wèn)傳輸效勞的人口點(diǎn)。每個(gè)端口擁有一個(gè)叫端口號(hào)的16位整數(shù)標(biāo)識(shí)符，用于區(qū)分不同端口。TCP和UDP軟件分別可以提供65536個(gè)不同的端口。端口有兩局部，一局部是保存端口〔端口號(hào)小于1024，對(duì)應(yīng)于效勞器進(jìn)程〕，一局部是自由端口〔以本地方式分配〕。.某些效勞進(jìn)程通常對(duì)應(yīng)于特定的端口。如SMTP為25，XWINDOWS為6000?？蛻?hù)使用端口號(hào)及目的地IP地址初始化與一個(gè)特定主機(jī)或效勞的連接。TCP與UDP端口(cont.).國(guó)內(nèi)信息平安的熱點(diǎn)問(wèn)題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問(wèn)題講義內(nèi)容整體介紹.平安是什么？網(wǎng)絡(luò)平安〔通俗的解釋〕一種能夠識(shí)別和消除不平安因素的能力平安是一個(gè)持續(xù)的過(guò)程.平安是一種特殊商品我的PC中的軟件：MSWord2000，微軟公司2000年出品，安裝后從未升過(guò)級(jí)Norton防病毒系統(tǒng)，Symantec公司2002年出品，最近一次升級(jí)時(shí)間是2天以前對(duì)于我們正在使用的軟件價(jià)值來(lái)說(shuō)，我們關(guān)心Symantec的健康要比對(duì)微軟的關(guān)心強(qiáng)很多倍.平安系統(tǒng)的時(shí)間特性平安產(chǎn)品的平安能力隨時(shí)間遞減；根底設(shè)施隨時(shí)間增加積累越來(lái)越多的全缺陷；平安產(chǎn)品升級(jí)可以提高系統(tǒng)的平安保護(hù)能力；根底設(shè)施修補(bǔ)漏洞；根底設(shè)施發(fā)生結(jié)構(gòu)性變化〔原有的平安系統(tǒng)全面失效〕；應(yīng)用系統(tǒng)發(fā)生變化；平安維護(hù)人員知識(shí)技能提高〔平安性提高〕；人員變動(dòng)〔保護(hù)能力突變，平安風(fēng)險(xiǎn)增加〕；.為什么我們不能杜絕攻擊事件的發(fā)生日趨精密的攻擊以及以INTERNET為根底的技術(shù)快速開(kāi)展由于IT技術(shù)人員和資金的缺乏無(wú)法獲得更多的資源沒(méi)有被充分保護(hù)的系統(tǒng)大量的快速的部署.復(fù)雜程度Internet技術(shù)的飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間.百分之百的平安？開(kāi)放最少效勞提供最小權(quán)限原那么平安既需求平衡過(guò)分繁雜的平安政策將導(dǎo)致比沒(méi)有平安政策還要低效的平安。需要考慮一下平安政策給合法用戶(hù)帶來(lái)的影響在很多情況下如果你的用戶(hù)所感受到的不方便大于所產(chǎn)生的平安上的提高，那么執(zhí)行的平安策略是實(shí)際降低了你公司的平安有效性。.百分之百的平安？“真空中〞的硬盤(pán)才是絕對(duì)平安平安平衡和平安策略.全面的看待平安的平衡問(wèn)題Confidentiality保密性Availability可用性Integrity完整性.安全需求平衡平安需求平衡為平安設(shè)計(jì)考慮的根本.建立有效的平安矩陣允許訪(fǎng)問(wèn)控制容易使用合理的花費(fèi)靈活性和伸縮性?xún)?yōu)秀的警報(bào)和報(bào)告.黑客的分類(lèi)偶然的破壞者——大多數(shù)堅(jiān)決的破壞者——特殊動(dòng)機(jī)商業(yè)和軍事間諜.平安的根本元素審計(jì)管理加密訪(fǎng)問(wèn)控制用戶(hù)驗(yàn)證平安策略.平安元素1：平安策略為你的系統(tǒng)分類(lèi)指定危險(xiǎn)因數(shù)確定每個(gè)系統(tǒng)的平安優(yōu)先級(jí)定義可接受和不可接受的活動(dòng)決定在平安問(wèn)題上如何教育所有員工確定誰(shuí)管理你的政策.系統(tǒng)分類(lèi)——平安分類(lèi)級(jí)別級(jí)別數(shù)據(jù)系統(tǒng)安全級(jí)別3：

日常工作

桌面電腦一些用于操作的數(shù)據(jù)一般的系統(tǒng)，數(shù)據(jù)丟失不會(huì)導(dǎo)致公司商業(yè)行為癱瘓一般的安全策略和防范級(jí)別2：

較重要

非關(guān)鍵業(yè)務(wù)系統(tǒng)如果數(shù)據(jù)保護(hù)不好的話(huà)會(huì)使公司產(chǎn)生極大的風(fēng)險(xiǎn)操作系統(tǒng)或電子商務(wù)在線(xiàn)系統(tǒng)，宕機(jī)時(shí)間不能超過(guò)48小時(shí)一般的安全策略+特殊的監(jiān)視、審計(jì)和恢復(fù)策略級(jí)別1：

最重要

商務(wù)運(yùn)行至關(guān)重要的系統(tǒng)高度保護(hù)的重要數(shù)據(jù)，如商業(yè)機(jī)密和客戶(hù)資料等重要任務(wù)級(jí)的系統(tǒng)，系統(tǒng)停止運(yùn)行不能超過(guò)幾個(gè)小時(shí)，如證書(shū)服務(wù)器，Web服務(wù)器安全分析及擴(kuò)展的安全機(jī)制，系統(tǒng)級(jí)別的審計(jì)、監(jiān)視和安全功能.平安策略細(xì)分明智的為系統(tǒng)分類(lèi)E-mail效勞器CEO的筆記本W(wǎng)eb效勞器(機(jī)器流量/信息敏感度/系統(tǒng)性質(zhì))資源優(yōu)先級(jí)劃分一個(gè)危險(xiǎn)優(yōu)先級(jí)列表和—個(gè)行動(dòng)列表哪種級(jí)別需最大平安/時(shí)間和金錢(qián)的花費(fèi)指定危險(xiǎn)因數(shù)危險(xiǎn)因數(shù)指的是一個(gè)黑客攻擊某種資源的可能性.平安策略細(xì)分定義可接受和不可接受的活動(dòng)將策略應(yīng)用到資源上最正確性能價(jià)格比.平安策略細(xì)分定義教育標(biāo)準(zhǔn)指派策略管理級(jí)別需要的知識(shí)用戶(hù)對(duì)一些安全威脅和漏洞敏感,要對(duì)保護(hù)公司的信息和資源引起重視執(zhí)行者需要達(dá)到熟悉公司安全知識(shí)的級(jí)別并做出使用信息安全程序的決策 管理者尋找、開(kāi)發(fā)防止威脅和漏洞的技能，并把它們整合到安全策略中，來(lái)滿(mǎn)足系統(tǒng)和資源安全的需要.平安元素2：加密加密類(lèi)型Symmetric〔對(duì)稱(chēng)加密〕Asymmetric〔非對(duì)稱(chēng)加密〕Hash〔哈希算法多用在一些簽名算法的應(yīng)用中例如MD5SHA等〕.加密的優(yōu)勢(shì)數(shù)據(jù)保密性這是使用加密的通常的原因。通過(guò)小心使用數(shù)學(xué)方程式，你可以保證只有特定的接受者才能查看內(nèi)容。數(shù)據(jù)完整性對(duì)需要更安全來(lái)說(shuō)數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解并修改。一種叫HASH的運(yùn)算方法能確定數(shù)據(jù)是否被修改過(guò)。更安全。認(rèn)證數(shù)字簽名提供認(rèn)證服務(wù)不可否定性數(shù)字簽名允許用戶(hù)證明信息交換確實(shí)發(fā)生過(guò)，金融組織尤其依賴(lài)于這種方式的加密，用于電子貨幣交易.平安元素3：認(rèn)證認(rèn)證方法whatyouknow？常用密碼認(rèn)證方式whatyouhave？智能卡，磁卡，雙因素?cái)?shù)字卡等whoyouare？物理，生理上的特征認(rèn)證，比方指紋，聲音識(shí)別whereyouare？原始IP地址驗(yàn)證.特殊的認(rèn)證技術(shù)一次性密碼〔OTP〕Kerberos到效勞器的身份認(rèn)證更高效相互身份認(rèn)證.平安元素4：訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制列表〔ACL〕Objects執(zhí)行控制列表〔ECL〕.平安元素5：審計(jì)被動(dòng)式審計(jì)簡(jiǎn)單地記錄一些活動(dòng)，并不做什么處理主動(dòng)式審計(jì)結(jié)束一個(gè)登陸會(huì)話(huà)拒絕一些主機(jī)的訪(fǎng)問(wèn)(包括WEB站點(diǎn)，F(xiàn)TP效勞器和e-mail效勞器)跟蹤非法活動(dòng)的源位置.平安元素6：管理“三分技術(shù)、七分管理〞管理要表達(dá)在細(xì)節(jié)的執(zhí)行力管理也需要技巧與“中國(guó)特色〞.國(guó)內(nèi)信息平安的熱點(diǎn)問(wèn)題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問(wèn)題講義內(nèi)容整體介紹.典型的攻擊方式及平安規(guī)那么前門(mén)攻擊和暴力破解法BUG和后門(mén)社會(huì)工程和非直接攻擊.攻擊的分類(lèi)社交工程學(xué)和非直接攻擊前門(mén)攻擊后門(mén)攻擊.非直接攻擊的介紹目標(biāo)的信息收集踩點(diǎn)社交工程學(xué)的欺騙網(wǎng)絡(luò)釣魚(yú)的技術(shù)分析拒絕效勞攻擊可怕的搜索引擎自己也可以搜索的方法.目標(biāo)主機(jī)的信息收集踩點(diǎn)NSLOOKUPTRACERTSNMP信息收集效勞器實(shí)地勘察WHOIS查詢(xún)與旁注攻擊.社交工程學(xué)的攻擊案例.郵件病毒是最常采用社交工程學(xué)攻擊方式.欺騙用戶(hù)執(zhí)行或者訪(fǎng)問(wèn)惡意程序和站點(diǎn).什么是DoS/DDoS攻擊？.拒絕效勞攻擊的可怕針對(duì)TCP/IP協(xié)議網(wǎng)絡(luò)層的攻擊行為針對(duì)應(yīng)用層程序的壓力拒絕效勞攻擊例如QQ軟件.針對(duì)網(wǎng)絡(luò)層的協(xié)議拒絕效勞攻擊.針對(duì)應(yīng)用軟件的拒絕效勞攻擊.搜索引擎也可以成為攻擊者的輔助工具.擴(kuò)大攻擊范圍尋找可利用突破目標(biāo).前門(mén)攻擊特殊字符繞過(guò)口令驗(yàn)證通過(guò)網(wǎng)絡(luò)進(jìn)行暴力口令猜解本地文件密碼破解從網(wǎng)絡(luò)中直接嗅嘆收集密碼無(wú)需口令也可以進(jìn)入效勞器的另類(lèi)方法.腳本驗(yàn)證過(guò)程的可繞過(guò)漏洞.容易獲取的ADSL上網(wǎng)帳號(hào).后門(mén)攻擊SQL的注射攻擊ARP欺騙的“中間人攻擊〞.SQL注射式攻擊介紹數(shù)據(jù)型字符型搜索型.利用簡(jiǎn)單的出錯(cuò)信息來(lái)判斷是否存在.搜索型.數(shù)據(jù)型注射式攻擊.年國(guó)內(nèi)信息平安的熱點(diǎn)問(wèn)題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問(wèn)題講義內(nèi)容整體介紹.網(wǎng)絡(luò)設(shè)備的多樣形路由器交換機(jī)根本的網(wǎng)絡(luò)連接設(shè)備網(wǎng)絡(luò)打印機(jī)等辦公設(shè)備開(kāi)展趨勢(shì)越來(lái)越多的應(yīng)用集成在一個(gè)硬件中來(lái)實(shí)現(xiàn)，比方家用電器的上網(wǎng)等等。.目前網(wǎng)絡(luò)設(shè)備面臨的平安威脅攻擊者利用Tracert/SNMP命令很容易確定網(wǎng)絡(luò)路由設(shè)備位置和根本結(jié)構(gòu)成為新一代DDOS攻擊的首選目標(biāo)泄露網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)成為攻擊者的攻擊跳板(telnetping命令的使用)交換機(jī)楨聽(tīng)口的平安問(wèn)題.路由器缺省帳號(hào)設(shè)備用戶(hù)名密碼級(jí)別Bay路由器UsernulluserManagernullmanagerCisco路由器〔telnet〕cuser〔telnet〕ciscouser〔enable〕ciscomanagerShiva root nullmanagerGuestnulluserWebrampwradmintracellmanagerMotorolacablecomroutermanager3comsecuritysecuritymanager.Cisco路由器密碼非加密和弱加密enablepassword7011B03085704linevty04password7130B12061B03132F39loginMD5加密enablesecret5$1$uh9n$2yBbtgtNsSdz46yodGnOE0.對(duì)其中的簡(jiǎn)單加密的密碼進(jìn)行直接解密.CISCOMD5加密HASH的本地暴力破解.SNMP協(xié)議版本SNMPv1，SNMPv2，SNMPv3SnmpAgentMIB輪循〔polling-only〕和中斷〔interupt-based〕CommunityStringSNMP網(wǎng)管軟件Solarwinds,HPOpenview,IBMNetview.十種最易受攻擊端口某組織I-Trap曾經(jīng)收集了來(lái)自24個(gè)防火墻12小時(shí)工作的數(shù)據(jù)，這些防火墻分別位于美國(guó)俄亥俄州24個(gè)企業(yè)內(nèi)網(wǎng)和本地ISP所提供的Internet主干網(wǎng)之間。其間，黑客攻擊端口的事件有12000次之多，下表是攻擊的詳細(xì)情況。

..SNMP泄露網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).利用SNMP的團(tuán)體字下載CISCO的配置文件.專(zhuān)門(mén)針對(duì)SNMP的暴力破解程序.CISCOSNMP的越權(quán)訪(fǎng)問(wèn)查詢(xún)可寫(xiě)團(tuán)體字.SNMP解決方法修改默認(rèn)的communitystringsnmp-servercommunitymy_readonlyROsnmp-servercommunitymy_readwriteRW添加訪(fǎng)問(wèn)控制規(guī)那么〔ACL〕access-list110permitudp02anyeq161logaccess-list110denyudpanyanyeq161loginterfacef0/0ipaccess-group110關(guān)閉SNMP支持nosnmp-server.Cisco路由器80端口漏洞〔二〕越權(quán)訪(fǎng)問(wèn)如果開(kāi)放了80端口，將允許任意遠(yuǎn)程攻擊者獲取該設(shè)備的完全管理權(quán)限。構(gòu)造一個(gè)如下的URL:://ip/level/xx/exec/其中xx是一個(gè)16-99之間的整數(shù)，不同設(shè)備可能不同。例如://20/level/19/exec/show%20config.CISCOWEB接口的越權(quán)訪(fǎng)問(wèn)管理.路由器平安配置物理訪(fǎng)問(wèn)控制密碼恢復(fù)機(jī)制密碼策略enablesecretvsenablepaswordservicepassword-encryption交互訪(fǎng)問(wèn)控制〔console,aux,vty〕lineconsole|aux|vtyloginpasswordnetpoweripaccess-class88exec-timeout300.路由器平安配置SNMP配置snmp-servercommunitymycommrwsnmp-serverpartyauthenticationmd5snmp-servertrap-sourceEthernet0snmp-serverhost91sercetpasswdnosnmp-serverHTTP配置ipauthenticationipaccess-classnoip.路由器平安配置審計(jì)aaaloggingaaaaccountingsnmp-traploggingsnmp-servertrapsystemloggingloggingconsoleloggingtraploggingmonitor防止欺騙

anti-spoofingwithaccesslistsaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyiphostany

.路由器平安配置控制播送noip-directedbroadcast禁止源路由noipsource-route禁止路由重定向access-list110denyicmpanyany5路由協(xié)議過(guò)濾和驗(yàn)證.路由器平安配置關(guān)閉不需要的效勞noservicefingernontpenablenocdpenablenoservicetcp-small-serversnoserviceudp-small-servers更多請(qǐng)參考：://cisco/warp/public/707/21.html://cisco/warp/public/707/advisory.html.全球超過(guò)30萬(wàn)個(gè)黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識(shí)，國(guó)內(nèi)有將近1000個(gè)。越來(lái)越多的容易使用的攻擊軟件的出現(xiàn)過(guò)去國(guó)內(nèi)法律制裁打擊力度不夠近期國(guó)家已經(jīng)逐漸加大了法律和制裁力度網(wǎng)絡(luò)普及使學(xué)習(xí)攻擊變得容易..DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部個(gè)體外部/組織內(nèi)部個(gè)體內(nèi)部/組織不平安因素的來(lái)源定位..不安全的安全的安全策略實(shí)際安全到達(dá)標(biāo)準(zhǔn)安全間隙未知平安間隙不容無(wú)視.課程小結(jié)

本課程先從近年來(lái)網(wǎng)絡(luò)平安的熱點(diǎn)問(wèn)題介紹開(kāi)始，然后體系化的介紹了TCP/IP網(wǎng)絡(luò)的組成與分層情況。然后以介紹網(wǎng)絡(luò)平安中重要元素和常見(jiàn)的網(wǎng)絡(luò)平安黑客攻擊方式與防護(hù)方式，同時(shí)還側(cè)重的介紹了網(wǎng)絡(luò)根底設(shè)備的常見(jiàn)平安問(wèn)題與漏洞。.WINDOWS系統(tǒng)平安提綱引導(dǎo)平安安裝過(guò)程系統(tǒng)加固入侵監(jiān)控平安管理.禁止從軟盤(pán)和CD－ROM啟動(dòng)系統(tǒng),并給BIOS設(shè)置密碼。不要與其他操作系統(tǒng)共存安裝。引導(dǎo)平安.引導(dǎo)平安安裝過(guò)程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.改變默認(rèn)的系統(tǒng)安裝目錄〔c:\winnt〕使用NTFS格式化磁盤(pán)盡可能地少安裝windows組件盡可能地少安裝第三方應(yīng)用軟件工作組成員而不是域控制器安裝最新servicepack及其他最新補(bǔ)丁.刪除多余的系統(tǒng)帳號(hào)合理分配帳號(hào)的組權(quán)限更名默認(rèn)的系統(tǒng)帳號(hào)Administrator、Guest等帳號(hào)管理.如何更名默認(rèn)的系統(tǒng)帳號(hào).所有平安強(qiáng)壯的密碼至少要有以下四方面內(nèi)容的三種：大寫(xiě)字母、小寫(xiě)字母、數(shù)字、非字母數(shù)字的字符，如標(biāo)點(diǎn)符號(hào)等。平安的密碼還要符合以下的規(guī)那么：不使用普通的名字或昵稱(chēng)；不使用普通的個(gè)人信息，如生日日期；密碼里不含有重復(fù)的字母或數(shù)字；至少使用八個(gè)字符另外，應(yīng)該還要求用戶(hù)60天必須修改一次密碼。以下舉例說(shuō)明強(qiáng)壯密碼的重要性：假設(shè)密碼設(shè)置為6位〔包括任意五個(gè)字母和一位數(shù)字或符號(hào)〕，那么其可能性將近有163億種。不過(guò)這只是是理論估算，實(shí)際上密碼比這有規(guī)律得多。例如，英文常用詞條約5000條，從5000個(gè)詞中任取一個(gè)字母與一個(gè)字符合成口令，僅有688萬(wàn)種可能性，在一臺(tái)賽揚(yáng)600〔CPU主頻〕的計(jì)算機(jī)上每秒可運(yùn)算10萬(wàn)次，那么破解時(shí)間僅需1分鐘！即使采用窮舉方法，也只需9個(gè)小時(shí)；因此6位密碼十分不可靠。而對(duì)于8位密碼〔包括七個(gè)字母和一位數(shù)字或符號(hào)〕來(lái)說(shuō)，假設(shè)完全破解，那么需要將近三年的時(shí)間。因此，密碼不要用全部數(shù)字，不要用自己的中英文名，不要用字典上的詞，一定要數(shù)字和字母交替夾雜，并最好參加@#$%!&*?之類(lèi)的字符。.如何強(qiáng)制使用平安強(qiáng)壯的密碼.設(shè)置帳號(hào)鎖定策略防止暴力猜解口令。建議：嘗試5次失敗鎖定；鎖定30分鐘.如何設(shè)置帳戶(hù)鎖定策略.設(shè)置平安選項(xiàng)登陸屏幕上不要顯示上次登陸的用戶(hù)名對(duì)匿名連接的限制用戶(hù)試圖登陸時(shí)的消息標(biāo)題用戶(hù)試圖登陸時(shí)的消息內(nèi)容在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件.如何設(shè)置平安選項(xiàng).合理設(shè)置目錄及文件權(quán)限windows默認(rèn)情況下Everyone對(duì)所有盤(pán)符都具有完全控制的權(quán)限，這是很危險(xiǎn)的，尤其是對(duì)于有些重要的系統(tǒng)及效勞目錄例如IIS的根目錄等。另外當(dāng)我們新建一個(gè)共享目錄時(shí)，默認(rèn)情況下也是Everyone具有完全控制的權(quán)限。我們需要改變這種不平安的權(quán)限設(shè)置。.如何設(shè)置目錄及文件權(quán)限.如何設(shè)置目錄及文件權(quán)限.刪除默認(rèn)共享

WindowsNT/2000出于管理的目的自動(dòng)地建立了一些默認(rèn)共享，包括C$，D$磁盤(pán)共享以及ADMIN$目錄共享等。盡管它們僅僅是針對(duì)管理而配置的，但卻隱藏了一定的風(fēng)險(xiǎn)，成為方便攻擊者入侵的途徑。.如何刪除默認(rèn)共享.如何刪除默認(rèn)共享我們翻開(kāi)注冊(cè)表，找到主鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters針對(duì)server：創(chuàng)立一個(gè)叫AutoShareServer的雙字節(jié)〔DWORD〕鍵名，鍵值為0。針對(duì)workstation：創(chuàng)立一個(gè)叫AutoShareWks的雙字節(jié)〔DWORD〕鍵名，鍵值為0。.加強(qiáng)對(duì)平安帳號(hào)管理器(SAM)數(shù)據(jù)庫(kù)的管理在WindowsNT/2000中，關(guān)于本機(jī)或者域的所用平安機(jī)制信息以及用戶(hù)帳號(hào)信息都存放在平安帳號(hào)管理器(SAM)數(shù)據(jù)庫(kù)中。平安帳號(hào)管理器〔SAM〕數(shù)據(jù)庫(kù)在磁盤(pán)上的具體位置就是保存在系統(tǒng)安裝目錄下的system32\config\中的SAM文件，在這個(gè)目錄下還包括一個(gè)Security文件，也是平安數(shù)據(jù)庫(kù)的內(nèi)容。平安帳號(hào)管理器〔SAM〕數(shù)據(jù)庫(kù)中包含所有組、帳戶(hù)的信息，包括密碼HASH結(jié)果、帳戶(hù)的SID等。另外在系統(tǒng)安裝目錄下的repair目錄下也有SAM文件，這是每次生成系統(tǒng)修復(fù)盤(pán)時(shí)創(chuàng)立的備份。所以應(yīng)該特別小心這個(gè)repair目錄下的SAM文件，嚴(yán)格限制訪(fǎng)問(wèn)權(quán)限，并加強(qiáng)對(duì)這個(gè)SAM文件的審核。.禁止不必要的效勞WindowsNT/2000系統(tǒng)中有許多用不著的效勞自動(dòng)處于激活狀態(tài)，它們中可能存在的平安漏洞使攻擊者甚至不需要賬戶(hù)就能控制機(jī)器.為了系統(tǒng)的平安，應(yīng)把不必要的功能效勞及時(shí)關(guān)閉，從而大大減少平安風(fēng)險(xiǎn)。.如何停止不必要的系統(tǒng)效勞.防范NetBIOS漏洞攻擊NetBIOS〔NetworkBasicInputOutputSystem，網(wǎng)絡(luò)根本輸入輸出系統(tǒng)〕，是一種應(yīng)用程序接口〔API〕，系統(tǒng)可以利用WINS〔管理計(jì)算機(jī)netbios名和IP影射關(guān)系〕效勞、播送及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在局域網(wǎng)內(nèi)部使用NetBIOS可以非常方便地實(shí)現(xiàn)消息通信，但是如果在互聯(lián)網(wǎng)上，NetBIOS就相當(dāng)于一個(gè)后門(mén)程序，很多攻擊者都是通過(guò)NetBIOS漏洞發(fā)起攻擊。.如何防范NetBIOS漏洞攻擊.啟用TCP/IP篩選TCP/IP篩選就像一個(gè)簡(jiǎn)單的包過(guò)濾防火墻，用來(lái)控制連接本機(jī)的網(wǎng)絡(luò)協(xié)議和端口。.如何設(shè)置TCP/IP篩選.限制危險(xiǎn)命令的使用把一些工具從你的NT目錄中轉(zhuǎn)移到一個(gè)只有系統(tǒng)管理員能夠訪(fǎng)問(wèn)的隱藏目錄。例如：arp.exe，asdial.exe，at.exe，atsvc.exe，cacls.exe，cmd.exe，cscript.exe，debug.exe，edit，edlin.exe，finger.exe，ftp.exe，ipconfig.exe，nbtstat.exe，net.exe，netstat.exe，nslookup.exe，ping.exe，posix.exe，qbasic.exe，rcp.exe，rdisk.exe，regedit.exe，regedt32.exe，rexec.exe，route.exe，rsh.exe，runonce.exe，secfixup.exe，syskey.exe，telnet.exe，tracert.exe，wscript.exe，xcopy.exe，或者干脆刪除掉其中不經(jīng)常使用的系統(tǒng)程序。.加固IIS效勞器的平安Windows系統(tǒng)近幾年的攻擊都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通過(guò)利用IIS的一些漏洞入侵并且開(kāi)始傳播的。由于NT/2000系統(tǒng)上使用IIS作為WWW效勞程序居多，再加上IIS的脆弱性以及與操作系統(tǒng)相關(guān)性，整個(gè)NT/2000系統(tǒng)的平安性也受到了很大的影響。通過(guò)IIS的漏洞入侵來(lái)獲得整個(gè)操作系統(tǒng)的管理員權(quán)限對(duì)于一臺(tái)未經(jīng)平安配置的機(jī)器來(lái)說(shuō)是輕而易舉的事情，所以，配置和管理好你的IIS在整個(gè)系統(tǒng)配置里面顯得舉足輕重了。.如何加固IIS效勞器的平安改變IIS默認(rèn)安裝的根目錄。 例如將默認(rèn)的C:\inetpub移到D:\web、E:\FTP；將web和FTP根目錄分別放在不同的分區(qū)，防止利用Unicode等漏洞遍歷目錄以及利用文件上傳導(dǎo)致塞滿(mǎn)此盤(pán)空間。刪除所有默認(rèn)的映射目錄和所對(duì)應(yīng)的真實(shí)目錄。刪除不需要的應(yīng)用程序映射。禁止Frontpage擴(kuò)展效勞。限制連接數(shù)和性能。使用SSL〔SecureSocketsLayer〕每次更改IIS配置后都需要重新安裝IIS的補(bǔ)丁，并在安裝后重新檢查IIS配置。..Windows系統(tǒng)平安提綱引導(dǎo)平安安裝過(guò)程系統(tǒng)加固入侵監(jiān)控平安管理.設(shè)置審核策略Windows日志IIS日志TaskScheduler日志系統(tǒng)帳號(hào)帳號(hào)配置文件及目錄系統(tǒng)效勞后臺(tái)進(jìn)程自啟動(dòng)程序.設(shè)置審核策略審核是開(kāi)啟日志記錄功能的必需條件。有些審核日志記錄在windows日志中；另有些審核日志記錄在其自己特有的日志中。.如何設(shè)置審核策略.如何設(shè)置審核策略.如何設(shè)置終端效勞審核策略.Windows日志.Windows日志.IIS日志.IIS日志.TaskScheduler日志.TaskScheduler日志.系統(tǒng)帳號(hào).系統(tǒng)帳號(hào).系統(tǒng)帳號(hào).帳號(hào)配置文件.帳號(hào)配置目錄.系統(tǒng)效勞.后臺(tái)進(jìn)程.后臺(tái)進(jìn)程.后臺(tái)進(jìn)程－連接狀態(tài).自啟動(dòng)程序啟動(dòng)文件〔開(kāi)始－程序－啟動(dòng)〕系統(tǒng)注冊(cè)表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers.引導(dǎo)平安安裝過(guò)程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.平時(shí)對(duì)效勞器的操作用普通用戶(hù)登陸；需要特權(quán)管理時(shí)再改為管理員身份登陸。在效勞器上絕對(duì)不能上網(wǎng)，例如瀏覽Web頁(yè)面、OQ聊天等。不要把密碼放在容易被別人看到的地方。加強(qiáng)數(shù)據(jù)備份。管理平安.Windows系統(tǒng)平安小結(jié)操作系統(tǒng)平安的防護(hù)工作永無(wú)止境，按照以上推薦的方法進(jìn)行安裝和配置只是防護(hù)系統(tǒng)平安的開(kāi)始。為Windows2000/XP/2003系統(tǒng)提供平安的運(yùn)行環(huán)境需要不斷地努力，因此我們建議你至少應(yīng)該做到以下幾條：?jiǎn)?dòng)系統(tǒng)自動(dòng)平安更新，安裝最新的SP〔servicepack〕及HotFix。定期運(yùn)行平安掃描工具分析系統(tǒng)，確保沒(méi)有遺漏任何補(bǔ)丁程序；微軟提供了一個(gè)叫MicrosoftBaselineSecurityAnalyzer的工具，可以定期檢測(cè)系統(tǒng)漏洞，IIS漏洞，弱帳號(hào)等等。.UNIX系統(tǒng)根本平安知識(shí)和平安配置.UNIX系統(tǒng)概況什么是UNIX?UNIX是:1.Novell公司的注冊(cè)商標(biāo)2.多任務(wù)、多用戶(hù)的操作系統(tǒng)3.相關(guān)操作系統(tǒng)應(yīng)用工具、編譯程序的總稱(chēng)4.功能豐富的可擴(kuò)展、開(kāi)放的計(jì)算環(huán)境.UNIX簡(jiǎn)介在互聯(lián)網(wǎng)上應(yīng)用最廣種類(lèi)最多有多家廠(chǎng)商提供不同的版本.UNIX變種關(guān)系圖.系統(tǒng)平安根底平安來(lái)自于平安配置的操作系統(tǒng)許多平安問(wèn)題源于系統(tǒng)的部署和薄弱的配置… 1.默認(rèn)配置 2.改變的二進(jìn)制代碼 3.未授權(quán)訪(fǎng)問(wèn).默認(rèn)配置與默認(rèn)配置有關(guān)的系統(tǒng)風(fēng)險(xiǎn): 1.許多特征與效勞是可用的； 2.默認(rèn)的用戶(hù)賬戶(hù)被翻開(kāi):3.Guest賬戶(hù)4.空口令賬戶(hù) 5.寬松的訪(fǎng)問(wèn)控制.改變的二進(jìn)制代碼攻擊者可能會(huì)利用弱配置的系統(tǒng)，改變的系統(tǒng)文件或植入木馬程序.損害的操作系統(tǒng)呈現(xiàn)以下的危險(xiǎn)：有可進(jìn)入系統(tǒng)的后門(mén)2.密碼泄露3.系統(tǒng)平安措施失效4.不可靠的系統(tǒng)或?qū)徲?jì)日志.未授權(quán)訪(fǎng)問(wèn)默認(rèn)賬戶(hù)或合法用戶(hù)賬戶(hù)僅通過(guò)簡(jiǎn)單的口令進(jìn)行防護(hù)，這為攻擊者提供一個(gè)進(jìn)入系統(tǒng)的簡(jiǎn)單的攻擊點(diǎn)。具有合法用戶(hù)權(quán)限的攻擊者利用權(quán)限提升的漏洞來(lái)獲得管理員權(quán)限一些提供遠(yuǎn)程效勞的進(jìn)程沒(méi)有限制訪(fǎng)問(wèn),被遠(yuǎn)程溢出.UNIX的平安威脅管理類(lèi)的威脅1.缺乏本地平安策略2.沒(méi)有重視多余效勞進(jìn)程的危害性3.錯(cuò)誤的配置4.弱口令技術(shù)類(lèi)的威脅1.軟件本身的缺陷(緩沖區(qū)溢出)2.會(huì)話(huà)劫持,竊聽(tīng)等……UNIX平安威脅的種類(lèi)?.UNIX系統(tǒng)平安根底本地(物理)平安系統(tǒng)補(bǔ)丁平安配置網(wǎng)絡(luò)平安平安管理策略.物理平安保護(hù)硬件環(huán)境；保護(hù)硬件；關(guān)閉不用的接口：并行口、串行、紅外或USB；設(shè)置開(kāi)機(jī)口令；嚴(yán)格限制對(duì)系統(tǒng)的物理存儲(chǔ)；安裝操作系統(tǒng)時(shí)應(yīng)該在非生產(chǎn)的網(wǎng)絡(luò)中，或放置在斷開(kāi)的網(wǎng)絡(luò)中；使用第二系統(tǒng)來(lái)接收廠(chǎng)商提供的升級(jí)報(bào)或補(bǔ)丁程序.系統(tǒng)安裝使用常規(guī)介質(zhì)；備份可能包括改變的代碼對(duì)于具有網(wǎng)絡(luò)功能的設(shè)備只安裝必要的選項(xiàng)系統(tǒng)安裝結(jié)束后，將最新的補(bǔ)丁程序打上去掉不用的用戶(hù)名或者修改其密碼使用第二系統(tǒng)來(lái)獲得補(bǔ)丁程序在正式裝補(bǔ)丁程序前需要校驗(yàn)(md5sum)

隨時(shí)注意并更新系統(tǒng)和軟件補(bǔ)丁.日志審計(jì)審計(jì)特性: 1.操作系統(tǒng)都具有一些審計(jì)與日志的功能 2.平安配置的操作系統(tǒng)應(yīng)使用這些特性 3.審計(jì)與日志會(huì)紀(jì)錄各種應(yīng)用軟件的事件，系統(tǒng)消息及用戶(hù)活動(dòng)，例如用戶(hù)登陸等。4.應(yīng)用效勞進(jìn)程自身也有日志功能.日志審計(jì)1.提供一種追蹤用戶(hù)活動(dòng)的方法2.系統(tǒng)管理員可以知道系統(tǒng)的日?；顒?dòng)3.及時(shí)了解和處理平安事件4.它是一種在平安事件發(fā)生后，可以提供法律證據(jù)的機(jī)制

為什么要啟用審計(jì)?.日志審計(jì)1.在UNIX中,主要的審計(jì)工具是syslogd,2.可以通過(guò)配置這個(gè)后臺(tái)進(jìn)程程序，可以提供各種水平的系統(tǒng)審計(jì)和指定輸出目錄如何啟用審計(jì)?.帳號(hào)平安根底選擇復(fù)雜口令的意義:防止兩層攻擊基于用戶(hù)信息簡(jiǎn)單密碼猜測(cè)基于口令強(qiáng)制猜測(cè)程序的攻擊人類(lèi)傾向于使用易于猜測(cè)到的口令,這在使用字典猜測(cè)攻擊面前變得非常脆弱口令選擇的弱點(diǎn):.選擇口令的原那么如何選擇口令?嚴(yán)禁使用空口令和與用戶(hù)名相同的口令不要選擇可以在任何字典或語(yǔ)言中找到的口令

不要選擇簡(jiǎn)單字母組成的口令不要選擇任何和個(gè)人信息有關(guān)的口令不要選擇短于6個(gè)字符或僅包含字母或數(shù)字不要選擇作為口令范例公布的口令

采取數(shù)字混合并且易于記憶.口令的管理如何保管好自己的口令?不要把口令寫(xiě)在紙上不要把口令貼到任何計(jì)算機(jī)的硬件上面不要把口令以文件的形式放在計(jì)算機(jī)里不要把口令與人共享5.防止信任欺騙(,E-mail等).Passwd文件剖析條目的格式:name:coded-passwd:UID:GID:user-info:homedirectory:shell2.條目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh

3.密文的組成

Salt+ 口令的密文

Np ge08fdehjkl.帳號(hào)管理1.偽用戶(hù)帳號(hào) 通常不被登錄，而是進(jìn)程和文件所有權(quán)保存位置，如bin、daemon、mail和uucp等。2.單獨(dú)命令帳號(hào) 如date、finger、halt等帳號(hào)。3.相應(yīng)策略 檢查/etc/passwd文件，確?？诹钣蛑惺恰?〞，而非空白。4.公共帳號(hào) 原那么上每個(gè)用戶(hù)必須有自己的帳號(hào)，假設(shè)一個(gè)系統(tǒng)必須提供guest帳號(hào)，那么設(shè)置一個(gè)每天改變的口令。最好是設(shè)置受限shell,并且做chroot限制..禁用或刪除帳號(hào)1.禁用帳號(hào) 在/etc/passwd文件中用戶(hù)名前加一個(gè)“#〞，把“#〞去掉即可取消限制。2.刪除帳號(hào)a)殺死任何屬于該用戶(hù)的進(jìn)程或打印任務(wù)。b)檢查用戶(hù)的起始目錄并為任何需要保存的東西制作備份。c)刪除用戶(hù)的起始目錄及其內(nèi)容。d)刪除用戶(hù)的郵件文件(/var/spool/mail)。e)把用戶(hù)從郵件別名文件中刪除(/etc/sendmail/aliases)。.保護(hù)root除非必要，防止以超級(jí)用戶(hù)登錄。嚴(yán)格限制root只能在某一個(gè)終端登陸，遠(yuǎn)程用戶(hù)可以使用/bin/su-l來(lái)成為root。不要隨意把rootshell留在終端上。假設(shè)某人確實(shí)需要以root來(lái)運(yùn)行命令，那么考慮安裝sudo這樣的工具，它能使普通用戶(hù)以root來(lái)運(yùn)行個(gè)人命令并維護(hù)日志。不要把當(dāng)前目錄(“./〞)和普通用戶(hù)的bin目錄放在root帳號(hào)的環(huán)境變量PATH中。永遠(yuǎn)不以root運(yùn)行其他用戶(hù)的或不熟悉的程序.受限環(huán)境應(yīng)用受限制shell(restrictedshell) 1.不能用cd命令切換到其它工作目錄 2.不能改變PATH環(huán)境變量 3.不能執(zhí)行包含“/〞的命令名 4.不能用“>〞和“>>〞重定向輸出創(chuàng)立chrootjail chroot()系統(tǒng)調(diào)用改變一個(gè)進(jìn)程對(duì)root目錄所在位置的,如調(diào)用chroot(“/usr/restricted〞)后，訪(fǎng)問(wèn)的根目錄/其實(shí)是/usr/restricted。.穩(wěn)固帳號(hào)平安加強(qiáng)口令平安1.策略傳播(對(duì)用戶(hù)培訓(xùn)和宣傳)2.進(jìn)行口令檢查3.產(chǎn)生隨機(jī)口令4.口令更新5.設(shè)置口令失效時(shí)間.穩(wěn)固帳號(hào)平安使用影子口令(shadow)文件組成 /etc/passwd：口令域置為“X〞或其它替代符號(hào)。 /etc/shadow：只被root或passwd等有SUID位的程序可讀。設(shè)置影子口令 在可選影子口令系統(tǒng)中，執(zhí)行pwconv命令。.除了包含用戶(hù)名和加密口令還包含以下域： 1.上次口令修改日期。 2.口令在兩次修改間的最小天數(shù)。 3.口令建立后必須修改的天數(shù)。 4.口令更改前向用戶(hù)發(fā)出警告的天數(shù)。5.口令終止后被禁用的天數(shù)。 6.自從1970/1/1起帳號(hào)被禁用的天數(shù)。 7.保存域。例如： root:*:10612:0:99999:7:::/etc/shadow文件剖析.文件系統(tǒng)的平安文件類(lèi)型

1.普通文件——文本文件，二進(jìn)制文件。

2.目錄——包括一組其它文件的二進(jìn)制文件。

3.特殊文件——/dev目錄下的設(shè)備文件等。

4.鏈接文件——硬鏈接和符號(hào)鏈接。

5.Sockets——進(jìn)程間通信時(shí)使用的特殊文件。.i-node包含的信息

1.UID——文件擁有者。

2.GID——文件的權(quán)限設(shè)置。

3.模式節(jié)點(diǎn)上次修改時(shí)間。

4.文件大小——文件所在的分組。

5.文件類(lèi)型——文件、目錄、鏈接等。

6.ctime——i-訪(fǎng)問(wèn)時(shí)間。

7.mtime——文件上次修改時(shí)間。

8.atime——文件上次——以字節(jié)為單位。

9.nlink——硬鏈接的數(shù)目。文件系統(tǒng)的平安.文件系統(tǒng)權(quán)限各種許可權(quán)限的含義是什么?.計(jì)算8進(jìn)制權(quán)限位如何計(jì)算各種權(quán)限位?4000SUID0040同組用戶(hù)可寫(xiě)2000SGID0020同組用戶(hù)可讀1000“粘著位”0010同組用戶(hù)可執(zhí)行0400屬主可寫(xiě)0004其他用戶(hù)可寫(xiě)0200屬主可讀0002其他用戶(hù)可讀0100屬主可執(zhí)行0001其他用戶(hù)可執(zhí)行.計(jì)算文件權(quán)限的例子某文件的權(quán)限位為:〞-rwxr-x〞轉(zhuǎn)換成8進(jìn)制為:0750即: 0400 0200 0100 0040 0000 0010+0000 0750.ls-l命令可以來(lái)顯示文件名與特性。下面信息的第一欄可以說(shuō)明文件類(lèi)型和該文件賦予不同組用戶(hù)的權(quán)限查看文件權(quán)限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--.文件修改命令1.chmod—改變文件權(quán)限設(shè)置。2.chgrp—改變文件的分組。3.chown—改變文件的擁有權(quán)。4.Chattr—設(shè)置文件屬性.操作實(shí)例1.取消groups與others組用戶(hù)的讀權(quán)限2.目錄的r與x的設(shè)置3.目錄〞粘著位〞的設(shè)置-rw-r--r--1rootroot1Mar211999at.deny#chmod600at.deny-rw1rootroot1Mar211999at.deny.umask值什么是umask值?用來(lái)指明要禁止的訪(fǎng)問(wèn)權(quán)限，通常在登錄文件.login或.profile中建立。三位8進(jìn)制值用來(lái)指定新創(chuàng)立文件和目錄權(quán)限的缺省許可權(quán)限通過(guò)umask值來(lái)計(jì)算文件目錄的許可權(quán)限(mod&~umask常用的值有022,027,077.SUID和SGID什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)設(shè)置了用戶(hù)id和分組id屬性，允許用戶(hù)以特殊權(quán)利來(lái)運(yùn)行程序,

這種程序執(zhí)行時(shí)具有宿主的權(quán)限.

如passwd程序,它就設(shè)置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序執(zhí)行時(shí)就具有root的權(quán)限.SUID和SGID為什么要有SUID和SGID程序?SUID程序是為了使普通用戶(hù)完成一些普通用戶(hù)權(quán)限不能完成的事而設(shè)置的.比方每個(gè)用戶(hù)都允許修改自己的密碼,但是修改密碼時(shí)又需要root權(quán)限,所以修改密碼的程序需要以管理員權(quán)限來(lái)運(yùn)行..非法命令執(zhí)行和權(quán)限提升為了保證SUID程序的平安性，在SUID程序中要嚴(yán)格限制功能范圍，不能有違反平安性規(guī)那么的SUID程序存在。并且要保證SUID程序自身不能被任意修改。SUID和SGIDSUID程序?qū)ο到y(tǒng)平安的威脅..用戶(hù)可以通過(guò)檢查權(quán)限模式來(lái)識(shí)別一個(gè)SUID程序。如果“x〞被改為“s〞，那么程序是SUID。如： ls-l/bin/su -rwsr-xr-x 1rootroot12672oct271997/bin/su查找系統(tǒng)中所有的SUID/SGID程序find find/-typef\(-perm+4000-or-perm+2000\)-execls-alF{}\;用命令chmodu-sfile可去掉file的SUID位.堆棧溢出攻擊有漏洞的SUID程序在SUID程序堆棧中填入過(guò)長(zhǎng)的數(shù)據(jù),使數(shù)據(jù)覆蓋返回地址.

執(zhí)行攻擊者指定的代碼..SUID程序效勞進(jìn)程攻擊目標(biāo)來(lái)自bufferoverflow的威脅越來(lái)越多的bufferoverflow被發(fā)現(xiàn)

Internet上可以獲得大量利用bufferoverflow漏洞攻擊的程序一旦被成功攻擊，系統(tǒng)將暴露無(wú)遺

更多的攻擊形式(heap,format…)堆棧溢出的危害.防止堆棧溢出攻擊及時(shí)發(fā)現(xiàn)系統(tǒng)和應(yīng)用程序存在的問(wèn)題及時(shí)下載并修補(bǔ)最新的程序和補(bǔ)丁去掉不必要或者發(fā)生問(wèn)題的SUID程序s位養(yǎng)成良好的編程習(xí)慣如何更好的防止堆棧溢出攻擊?.1.Libsafe: ://research.avayalabs/project/libsafe/2.PAX:non-execstackmodule:///3.RSX:non-execstack/heapmodule ://ihaquer/software/rsx/4.kNoX:non-execstack/heapmodule://isec.pl/projects/knox/knox.html設(shè)置non-execstack.文件的特殊屬性針對(duì)特定系統(tǒng)的特殊文件屬性/標(biāo)志

Linux下的chattr命令

Freebsd下的chflags命令

sappnd設(shè)置只追加標(biāo)志

schg設(shè)置不可改變標(biāo)志

sunlnk設(shè)置不可刪除標(biāo)志.文件系統(tǒng)的結(jié)構(gòu)常見(jiàn)目錄的用途/bin—用戶(hù)命令可執(zhí)行文件。/dev—特殊設(shè)備文件。/etc—系統(tǒng)執(zhí)行文件、配置文件、管理文件。/home—用戶(hù)的起始目錄。/lib—引導(dǎo)系統(tǒng)及在root文件系統(tǒng)中運(yùn)行命令所需共享。/lost+found—與特定文件系統(tǒng)斷開(kāi)連接的喪失文件。/mnt—臨時(shí)安裝的文件系統(tǒng)。/proc—偽文件系統(tǒng)，是到內(nèi)核數(shù)據(jù)結(jié)構(gòu)或運(yùn)行進(jìn)程的接口。/sbin—為只被root使用的可執(zhí)行文件及引導(dǎo)系統(tǒng)啟動(dòng)的文件。/usr—分成許多目錄，包含可執(zhí)行文件、頭文件、幫助文件。/var—用于電子郵件、打印、cron等的文件，統(tǒng)計(jì)、日志文件。.文件系統(tǒng)權(quán)限限制與平安有關(guān)的mount選項(xiàng)noodevnoexecnosuidrdonly.網(wǎng)絡(luò)效勞平安效勞:效勞就是運(yùn)行在網(wǎng)絡(luò)效勞器上監(jiān)聽(tīng)用戶(hù)請(qǐng)求的進(jìn)程,效勞是通過(guò)端口號(hào)來(lái)區(qū)分的.常見(jiàn)的效勞及其對(duì)應(yīng)的端口 ftp:21 telnet:23 (www):80 pop3:110.網(wǎng)絡(luò)效勞平安1.inetd超級(jí)效勞器 inetd的功能 inetd的配置和管理2.效勞的關(guān)閉 關(guān)閉通過(guò)inetd啟動(dòng)的效勞 關(guān)閉獨(dú)立啟動(dòng)的效勞.網(wǎng)絡(luò)效勞平安建議禁止使用的網(wǎng)絡(luò)效勞fingertftpr系列效勞telnet大多數(shù)rpc效勞其他不必要的效勞.網(wǎng)絡(luò)效勞平安系統(tǒng)啟動(dòng)腳本sysV風(fēng)格的啟動(dòng)腳本 rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smb2.BSD風(fēng)格的啟動(dòng)腳本/etc/rc.confsshd_enable=“YES〞.網(wǎng)絡(luò)效勞平安使用命令工具來(lái)監(jiān)視網(wǎng)絡(luò)狀況

netstat

ifconfigLinux下的socklist

Freebsd下的sockstat

lsof–I

tcpdump.系統(tǒng)記帳1.普通的系統(tǒng)記賬連接/登錄記賬 ac命令(記錄登錄時(shí)長(zhǎng)) last命令 who命令 w命令 lastlog/lastlogin命令2.進(jìn)程記賬翻開(kāi)進(jìn)程記賬(FreeBSD為例)cd/var/accounttouchacctsavacctusracct accton/var/account/acct sa–a lastcomm.系統(tǒng)記帳系統(tǒng)計(jì)帳的相關(guān)記錄文件

/var/run/utmp/var/log/wtmp/var/account/acct.系統(tǒng)日志syslog的功能syslog的配置把syslog的信息輸出到其它效勞器或打印機(jī)把syslog的信息輸出到打印機(jī):authpriv.*;mail.*;local7.*;auth.*;/dev/lp04.系統(tǒng)日志/記賬信息可以做什么和不可以做什么5.syslog的替代品syslog工具.主流UNIX廠(chǎng)商的平安信息Sun(Solaris)://sunsolve.sun/pub-cgi/show.pl?target=patches/patch-access=patches/patch-accessIBM(AIX)://www-1.ibm/services/continuity/recovery1.nsf/advisoriesHP(HP-UX)://us-support.external.hpSGI(IRIX)://sgi/support/security/index.htmlCompaq(Tru64UNIX,OpenVMS,Ultrix)ftp://ftp.service.digital/publicLinux(RedHatLinux)://redhat/apps/support/errata/Freebsd://FreeBSD.org/security/美國(guó)國(guó)家平安局發(fā)布的SE-Linux補(bǔ)丁:///selinux.應(yīng)用平安身份認(rèn)證技術(shù)：公開(kāi)密鑰根底設(shè)施〔PKI〕是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書(shū)管理。應(yīng)用效勞平安性：Web效勞器、郵件效勞器等的平安增強(qiáng)，使用S-HTTP、SSH、PGP等技術(shù)提高Web數(shù)據(jù)、遠(yuǎn)程登錄、電子郵件的平安性。網(wǎng)絡(luò)防病毒技術(shù)：病毒是系統(tǒng)中最常見(jiàn)的威脅來(lái)源。建立全方位的病毒防范系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要任務(wù)。.身份認(rèn)證分類(lèi)單因素認(rèn)證雙因素認(rèn)證挑戰(zhàn)/應(yīng)答機(jī)制認(rèn)證時(shí)間同步機(jī)制認(rèn)證.認(rèn)證手段知道某事或某物擁有某事或某物擁有某些不變特性在某一特定場(chǎng)所〔或特定時(shí)間〕提供證據(jù)通過(guò)可信的第三方進(jìn)行認(rèn)證.非密碼認(rèn)證機(jī)制口令機(jī)制一次性口令機(jī)制挑戰(zhàn)/應(yīng)答機(jī)制基于地址的機(jī)制基于個(gè)人特征的機(jī)制個(gè)人認(rèn)證令牌.基于密碼的認(rèn)證機(jī)制根本原理是使驗(yàn)證者信服聲稱(chēng)者所聲稱(chēng)的，因?yàn)槁暦Q(chēng)者知道某一秘密密鑰?；趯?duì)稱(chēng)密碼技術(shù)基于公鑰密碼技術(shù).零知識(shí)認(rèn)證零知識(shí)認(rèn)證技術(shù)可使信息的擁有者無(wú)需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。在網(wǎng)絡(luò)認(rèn)證中，已經(jīng)提出了零知識(shí)技術(shù)的一些變形，例如，F(xiàn)FS方案、FS方案和GQ方案。一般情況下，驗(yàn)證者公布大量的詢(xún)問(wèn)給聲稱(chēng)者，聲稱(chēng)者對(duì)每個(gè)詢(xún)問(wèn)計(jì)算一個(gè)答復(fù)，而在計(jì)算中使用了秘密信息。.典型的認(rèn)證協(xié)議Kerberos系統(tǒng)Kerberos系統(tǒng)為工作站用戶(hù)〔客戶(hù)〕到效勞器以及效勞器到工作站用戶(hù)提供了認(rèn)證方法，Kerberos系統(tǒng)使用了對(duì)稱(chēng)密碼技術(shù)和在線(xiàn)認(rèn)證效勞器。缺陷：需要具有很高利用率的可信〔物理上平安的〕在線(xiàn)效勞器；重放檢測(cè)依賴(lài)于時(shí)戳，意味著需要同步和平安的時(shí)鐘；如果認(rèn)證過(guò)程中的密鑰受到威脅，那么傳遞在使用該密鑰進(jìn)行認(rèn)證的任何會(huì)話(huà)過(guò)程中的所有被保護(hù)的數(shù)據(jù)將受到威脅。.典型的認(rèn)證協(xié)議X.509認(rèn)證交換協(xié)議與Kerberos協(xié)議相比，X.509認(rèn)證交換協(xié)議有一個(gè)很大的優(yōu)點(diǎn)：不需要物理上平安的在線(xiàn)效勞器，因?yàn)橐粋€(gè)證書(shū)包含了一個(gè)認(rèn)證授權(quán)機(jī)構(gòu)的簽名。公鑰證書(shū)可通過(guò)使用一個(gè)不可信的目錄效勞被離線(xiàn)地分配。X.509雙向交換同樣依賴(lài)于時(shí)戳，而X.509三向交換那么克服了這一缺陷。但X.509認(rèn)證交換協(xié)議仍存在K