1、第2章 软件安全技术教学目标密码学的概念加密方法与技术;身份验证技术;访问控制技术;安全保障;防火墙技术;入侵检测与安全扫描;安全配置管理。重点加密方法与技术访问控制入侵检测与安全扫描本节安排2.5.1 计算机网络安全概述2.5.2 OSI安全体系结构2.5.3 入侵检测和安全扫描2.5.4 防火墙技术2.5.5 安全配置管理42.5 计算机网络安全定义1计算机网络计算机网络,是指将,是指将地理地理位置不同的具有独立功能的多台位置不同的具有独立功能的多台计算机计算机及其外部设备,及其外部设备,通过通信线路连接起来,在网络操作系通过通信线路连接起来,在网络操作系统,网统,网络管理软件及络管理软件
2、及网络通信协议网络通信协议的管理的管理和协调下,实现资源共享和信息传递的计算机系统。和协调下,实现资源共享和信息传递的计算机系统。2.5.1 计算机网络安全概述定义2计算机网络安全是指:为数据处理系统建立和采取的技术和管理的安全保护,保计算机网络安全是指:为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因遭受到破护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因遭受到破坏、更改、泄露系统连续可靠、正常地运行,网络服务不中断坏、更改、泄露系统连续可靠、正常地运行,网络服务不中断。2.5.1 计算机网络安全概述网络安全技术和
3、理论的五个特征保密性信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性数据未经授权不能进行改变的特性可用性可被授权实体访问并按需求使用的特性可控性对信息的传播及内容具有控制能力可审查性出现的安全问题时提供依据与手段2.5.1 计算机网络安全概述计算机网络安全威胁信息被泄露给非授权的实体信息泄露使这个连上网络的主机暂时中断或停止服务,使它无法对正常用户提供服务拒绝服务式攻击包括非法外联、非法内联、移动风险、设备滥用、服务滥用。网络滥用2.5.1 计算机网络安全概述计算机网络威胁的具体表现形式计算机网络威胁的具体表现形式窃听重传篡改行为否认非授权访问病毒传播2.5.1 计算机网络安全概述
4、实现威胁的具体攻击方式主动攻击被动攻击2.5.1 计算机网络安全概述计算机网络安全威胁的防范防病毒技术防火墙技术入侵检测技术安全扫描技术网络安全紧急响应体系采用认证和数字签名技术采用VPN技术2.5.1 计算机网络安全概述OSIISO/OSI模型是国际标准化组织(ISO)为网络通信制定的开放系统互连参考模型(Open System Interconnect OSI)。2.5.2 OSI安全体系结构OSI模型与TCP/IP模型2.5.2 OSI安全体系结构OSI模型分层的优点可以很容易的讨论和学习协议的规范细节。层间的标准接口方便了工程模块化。创建了一个更好的互连环境。降低了复杂度,使程序更容易
5、修改,产品开发的速度更快。每层利用紧邻的下层服务,更容易记住各层的功能。2.5.2 OSI安全体系结构OSI模型中的数据传递在分层模型中,n层实体在实现自身定义的功能时,直接使用n-1层提供的服务,并通过n-1层间接使用n-2层以及以下所有各层的服务;n层向第n+1层提供服务,此服务包含第n层本身和下层服务提供的功能;相邻层间有接口,所提供服务的具体实现细节对上一层完全屏蔽。数据传递由上层到下层,接收由下层到上层,除物理媒体上(最底层)进行的是实通信外,其余各对等实体间(层间)都是虚通信;虚通信必须遵循该层的协议;n层的虚通信是通过n/n-1层间接口处n-1层提供的服务以及n-1层的通信(通常
6、也是虚通信)来实现的。2.5.2 OSI安全体系结构OSI模型中各层的安全实现数据链路层:点到点通道协议(PPTP)。点到点通道协议PPTP,英文全称是Point to point Tunneling Protocol。PPTP 是用于在中间网络上传输点对点协议(PPP)帧的一种隧道机制。通过利用PPP 的身份验证、加密和协议配置机制,PPTP 连接同时为远程访问和路由器到路由器的虚拟专用网(VPN)连接提供了一条在公共网络(比如:Internet)上创建安全连接的途径。2.5.2 OSI安全体系结构OSI模型中各层的安全实现网络层:IP安全协议(IPSEC)。IPSEC在网络层提供了IP报文
7、的机密性、完整性、IP报文源地址认证以及抗伪地址的攻击能力。2.5.2 OSI安全体系结构OSI模型中各层的安全实现 传输层:安全套接字层(SSL)和传输层安全协议TLS。安全套接层(Secure Sockets Layer,SSL)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。2.5.2 OSI安全体系结构OSI模型中各层的安全实现会话层:SOCKS代理技术。2.5.2 OSI安全体系结构OSI模型中各层的安全实现应用层:应用程序代理。应用程序代理工作在应用层之上,位于客户机与服务器之间,完全阻挡了二者间的数据交流。2.5.2 OSI安全体系结构总结OSI安全体系结
8、构为各层的服务提供相应的安全机制,有效地提高了应用安全性。随着技术的不断发展,各项安全机制相关的技术不断提高,尤其是结合加密理论之后,应用安全性得到了显著提高。2.5.2 OSI安全体系结构入侵检测入侵检测是一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。2.5.2 入侵检测及安全扫描入侵检测功能监测和分析用户和系统的活动;审计系统配置和漏洞;评估系统资源和数据的完整性;识别攻击行为并报警;统计分析异常行为;对系统安全的审计管理,识别违反安全策略的用户活动。2.5.2 入侵检测及安全扫描IDS系统一个成功的一个成功的入侵检测系统入
9、侵检测系统,它不但可使系统管理员时刻了解,它不但可使系统管理员时刻了解网络网络系统(包括系统(包括程序程序、文件文件和和硬件硬件设备等)的任何变更,还能给设备等)的任何变更,还能给网络安全策略网络安全策略的制订提供指南;更为重要的一点是,它的制订提供指南;更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得应该管理、配置简单,从而使非专业人员非常容易地获得网络安全网络安全。2.5.2 入侵检测及安全扫描入侵检测系统的组件组成事件产生器(Eventgenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdata
10、bases2.5.2 入侵检测及安全扫描IDS数据分析步骤信息收集信息分析结果处理2.5.2 入侵检测及安全扫描入侵检测系统所采用的技术异常检测异常检测模型模型误用检测误用检测模型模型2.5.2 入侵检测及安全扫描入侵检测系统所采用的其他技术基于主机的IDS基于网络的IDS分布式2.5.2 入侵检测及安全扫描蜜罐技术蜜罐(honeypot)是用于跟踪攻击者和研究、收集黑客活动证据的一种资源。它们模仿真实的系统,其实不包含真正的产品信息。每个被监视到的在蜜罐上的活动都是一次攻击。2.5.2 入侵检测及安全扫描安全扫描安全扫描技术的基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐
11、项检测,以便对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。2.5.2 入侵检测及安全扫描安全扫描分类主机安全扫描网络安全扫描2.5.2 入侵检测及安全扫描安全扫描过程确定目标主机或网络搜集信息对信息进行判断或对安全漏洞进行测试2.5.2 入侵检测及安全扫描安全扫描技术分类ping扫描技术端口扫描技术操作系统探测技术如何探测访问控制规则以及已知漏洞的扫描技术2.5.2 入侵检测及安全扫描PING扫描识别系统是否处于活动状态探测访问控制规则端口扫描是通过与目标系统的TCP/IP端口连接,查看该系统处于监听或运行状态的服务漏洞扫端口扫描的基础上,对得到的信息进行相关处理,进而检测出目标
12、系统存在的安全漏洞。2.5.2 入侵检测及安全扫描端口扫描TCP全连接扫描TCP SYN 扫描秘密扫描2.5.2 入侵检测及安全扫描其他扫描技术UDP扫扫描描IP分段分段扫扫代代理扫描理扫描2.5.2 入侵检测及安全扫描 操作系统扫描技术主动探测被动探测2.5.2 入侵检测及安全扫描探测手段主动探测主动探测 查询标识信息、二进制文件分析、ICMP信息探测被动探测被动探测 生存期(TTL)探测、滑动窗口大小探、分片允许位、服务类型、初始化序列号2.5.2 入侵检测及安全扫描漏洞扫描技术系统安全漏洞也称为系统脆弱性(vulnerability),一般简称漏洞。2.5.2 入侵检测及安全扫描漏洞扫描
13、的主要方法得知目标主机开启的端口及端口上的网络服务,与已知漏洞进行匹配端口扫描模拟攻击成功,则表明目标主机系统存在安全漏洞模拟攻击确定开放端口,与已知漏洞匹配基于网络系统漏洞库的漏洞扫描扫描程序可以通过调用插件来执行漏洞扫描,检测出系统中存在的一个或多个漏洞基于功能模块技术的漏洞扫描2.5.2 入侵检测及安全扫描防火墙技术它通常被部署在本地局域网和因特网之间,依据已经配置好的安全规则,过滤掉那些可能有害于系统安全的数据流。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。2.5.2 入侵检测及安全扫描防火墙分类网络层防火墙网络层防火墙可视为一种 IP 封包过滤,运作在底层的TC
14、P/IP协议堆栈上。应用层防火墙它是在 TCP/IP 堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。2.5.2 入侵检测及安全扫描防火墙的功能 一种将信息从防火墙的一侧传送到另一侧的软件模块代理系统 防火墙一般采用三级过滤措施,并辅以鉴别手段多级过滤 防火墙利用NAT技术能透明地对所有内部地址作转换网络地址转换技术(NAT)对所有的文件和命令均要利用改变根系统调用(chroot)作物理上的隔离因特网网关技术 计功能是通过日志来体现的审计和告警 为了解决安装防火墙后外部网络的访问用
15、户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区DMZ2.5.2 入侵检测及安全扫描安全配置管理,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。2.5.2 入侵检测及安全扫描安全配置管理分类硬件配置管理软件配置管理核心安全配置2.5.2 入侵检测及安全扫描硬件配置管理的对象硬件设备网络端口管理ICMP协议管理MAC与IP绑定管理网络接入认证2.5.2 入侵检测及安全扫描软件配置管理的对象软件安装监控软件安装行为限制2.5.2 入侵检测及安全扫描核心安全配置的对象操作系统安全配置操作系统安全配置办办公软件安全配置公软件安全配置浏览浏览器安全配置器安全配置邮件系统安全配置邮件系统安全配置其他常用软件安全配置其他常用软件安全配置2.5.2 入侵检测及安全扫描小结入侵检测安全扫描安全配置OSI七七层模型层模型入侵检入侵检测测安安全扫描全扫描防火防火墙的功能墙的功能作业51惠普国际软件人才基地教材惠普国际软件人才基地教材谢 谢
