信息安全培训方案.doc

信息安全培训方案.doc

《信息安全培训方案.doc》由会员分享，可在线阅读，更多相关《信息安全培训方案.doc（81页珍藏版）》请在冰点文库上搜索。

信

息

安

全

培

训

方

案

二○○六年二月十四日

第一部分信息安全的基础知识

一、什么是信息安全

1.网络安全背景

ü与Internet相关的安全事件频繁出现

üInternet已经成为商务活动、通讯及协作的重要平台

üInternet最初被设计为开放式网络

2.什么是安全？

ü安全的定义：

信息安全的定义：

为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。

ü信息安全的组成：

信息安全是一个综合的解决方案，包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。

ü信息安全专家的工作：

安全专家的工作就是在开放式的网络环境中，确保识别并消除信息安全的威胁和缺陷。

3.安全是一个过程而不是指产品

不能只依赖于一种类型的安全为组织的信息提供保护，也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。

因为安全性所涵盖的范围非常广阔，包括：

l防病毒软件；

l访问控制；

l防火墙；

l智能卡；

l生物统计学；

l入侵检测；

l策略管理；

l脆弱点扫描；

l加密；

l物理安全机制。

4.百分百的安全神话

ü绝对的安全：

只要有连通性，就存在安全风险，没有绝对的安全。

ü相对的安全：

可以达到的某种安全水平是：

使得几乎所有最熟练的和最坚定的黑客不能登录你的系统，使黑客对你的公司的损害最小化。

ü安全的平衡：

一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。

二、常见的攻击类型

为了进一步讨论安全，你必须理解你有可能遭遇到的攻击的类型，为了进一步防御黑客，你还要了解黑客所采用的技术、工具及程序。

我们可以将常见的攻击类型分为四大类：

针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。

第一类：

针对用户的攻击

5.前门攻击

ü密码猜测

在这个类型的攻击中，一个黑客通过猜测正确的密码，伪装成一个合法的用户进入系统，因为一个黑客拥有一个合法用户的所有信息，他（她）就能够很简单地从系统的“前门”正当地进入。

6.暴力和字典攻击

ü暴力攻击

暴力攻击类似于前门攻击，因为一个黑客试图通过作为一个合法用户获得通过。

ü字典攻击

一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。

uLab2-1：

使用LC4破解Windows系统口令，密码破解工具

uLab2-2：

OfficePasswordRecovery&WinZipPasswordRecovery

7.病毒

计算机病毒是一个被设计用来破坏网络设备的恶意程序。

8.社会工程和非直接攻击

社交工程是使用计谋和假情报去获得密码和其他敏感信息，研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

ü打电话请求密码：

一个黑客冒充一个系统经理去打电话给一个公司，在解释了他的帐号被意外锁定了后，他说服公司的某位职员根据他的指示修改了管理员权限，然后黑客所需要做的就是登录那台主机，这时他就拥有了所有管理员权限。

ü伪造E-mail：

使用Telnet一个黑客可以截取任何一个身份证，发送E-mail给一个用户，这样的E-mail消息是真的，因为它发自于一个合法的用户。

在这种情形下这些信息显得是绝对的真实，然而它们是假的，因为黑客通过欺骗E-mail服务器来发送它们。

uLab2-3：

发送伪造的E-Mail消息。

第二类：

针对应用程序的攻击

9.缓冲区溢出

目前最流行的一种应用程序类攻击就是缓冲区溢出。

当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。

这种多余的数据将使程序的缓存溢出，然后覆盖了实际的程序数据，缓冲区溢出使得目标系统的程序自发的和远程的被修改，经常这种修改的结果是在系统上产生了一个后门。

10.邮件中继

目前互连网上的邮件服务器所受攻击有两类：

一类就是中继利用（Relay），即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。

另一类攻击称为垃圾邮件（Spam），即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。

uLab2-4：

通过邮件中继发送E-Mail消息。

11.网页涂改

是一种针对Web服务器的网页内容进行非法篡改，以表达不同的观点或社会现象。

这种攻击通常损害的是网站的声誉。

（中国红客联盟）ngqin为ei

第三类：

针对计算机的攻击

12.物理攻击

许多公司和组织应用了复杂的安全软件，却因为主机没有加强物理安全而破坏了整体的系统安全。

通常，攻击者会通过物理进入你的系统等非Internet手段来开启Internet的安全漏洞。

增强物理安全的方法包括：

用密码锁取代普通锁；将服务器放到上锁的房间中；安装视频监视设备。

uLab2-5：

操作一个对Windows2000Server的物理攻击

13.特洛伊木马和RootKits

任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。

特洛伊程序通常包含能打开端口进入RootShell或具有管理权限的命令行文件，他们可以隐藏自己的表现（无窗口），而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。

uLab2-6：

遭受NetBus特洛伊木马感染

üRootKits（附文档）

RootKits是多种UNIX系统的一个后门，它在控制阶段被引入，并且产生一个严重的问题。

RootKits由一系列的程序构成，当这些程序被特洛伊木马取代了合法的程序时，这种取代提供给黑客再次进入的后门和特别的分析网络工具。

14.系统Bug和后门

üBug和后门

一个Bug是一个程序中的错误，它产生一个不注意的通道。

一个后门是一个在操作系统上或程序上未被记录的通道。

程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。

15.Internet蠕虫

Internet蠕虫是一种拒绝服务病毒，最近流行的红色代码也是类似的一种蠕虫病毒。

蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃，而没有其他的破坏。

第四类：

针对网络的攻击

16.拒绝服务攻击：

在一个拒绝服务攻击中，一个黑客阻止合法用户获得服务。

这些服务可以是网络连接，或者任何一个系统提供的服务。

ü分布式拒绝服务攻击DDOS：

（附文档）

是指几个远程系统一起工作攻击一个远程主机，通常通过大量流量导致主机超过负载而崩溃。

17.哄骗：

（附文档）

哄骗和伪装都是偷窃身份的形式，它是一台计算机模仿另一台机器的能力。

特定的例子包括IP哄骗，ARP哄骗，路由器哄骗和DNS哄骗等。

18.信息泄漏：

几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息，组织结构必须决定如何最少化提供给公众的信息，哪些信息是必要的，哪些信息是不必要的。

需要采取措施保护，不必要泄漏的信息：

DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息（如操作系统平台、版本等）。

uLab2-7：

通过Telnet连接Exchange服务器的SMTP、POP3等服务

19.劫持和中间人攻击：

中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。

黑客在物理位置上位于两个被攻击的合法主机之间。

最常见的包括：

u嗅探包：

以获得用户名和密码信息，任何以明文方式传送的信息都有可能被嗅探；

u包捕获和修改：

捕获包修改后重新再发送；

u包植入：

插入包到数据流；

u连接劫持：

黑客接管两台通信主机中的一台，通常针对TCP会话。

但非常难于实现。

uLab2-8：

网络包嗅探outlookExpress邮件账号口令

三、信息安全服务

20.安全服务

国际标准化组织（ISO）7498-2定义了几种安全服务：

服务

目标

验证

提供身份的过程

访问控制

确定一个用户或服务可能用到什么样的系统资源，查看还是改变

数据保密性

保护数据不被未授权地暴露。

数据完整性

这个服务通过检查或维护信息的一致性来防止主动的威胁

不可否定性

防止参与交易的全部或部分的抵赖。

21.安全机制

根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。

ISO把机制分成特殊的和普遍的。

一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。

如：

加密、数字签名等。

普遍的安全机制不局限于某些特定的层或级别，如：

信任功能、事件检测、审核跟踪、安全恢复等。

四、网络安全体系结构

第二部分信息安全的实际解决方案

一、加密技术

22.加密系统

加密把容易读取的源文件变成加密文本，能够读取这种加密文本的方法是获得密钥（即把原来的源文件加密成加密文本的一串字符）。

1）加密技术通常分为三类：

u对称加密：

使用一个字符串（密钥）去加密数据，同样的密钥用于加密和解密。

u非对称加密：

使用一对密钥来加密数据。

这对密钥相关有关联，这对密钥一个用于加密，一个用于解密，反之亦然。

非对称加密的另外一个名字是公钥加密。

uHASH加密：

更严格的说它是一种算法，使用一个叫HASH函数的数学方程式去加密数据。

理论上HASH函数把信息进行混杂，使得它不可能恢复原状。

这种形式的加密将产生一个HASH值，这个值带有某种信息，并且具有一个长度固定的表示形式。

2）加密能做什么？

加密能实现四种服务：

数据保密性：

是使用加密最常见的原因；

数据完整性：

数据保密对数据安全是不足够的，数据仍有可能在传输时被修改，依赖于Hash函数可以验证数据是否被修改；

验证：

数字证书提供了一种验证服务，帮助证明信息的发送者就是宣称的其本人；

不可否定性：

数字证书允许用户证明信息交换的实际发生，特别适用于财务组织的电子交易。

23.对称密钥加密系统

在对称加密或叫单密钥加密中，只有一个密钥用来加密和解密信息。

u对称加密的好处就是快速并且强壮。

u对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥。

但是，如果用户要在公共介质上如互联网来传递信息，他需要通过一种方法来传递密钥。

一个解决方案就是用非对称加密，我们将在本课的后面提到。

24.非对称密钥加密系统

非对称加密在加密的过程中使用一对密钥，一对密钥中一个用于加密，另一个用来解密。

这对密钥中一个密钥用来公用，另一个作为私有的密钥：

用来向外公布的叫做公钥，另一半需要安全保护的是私钥。

非对称加密的一个缺点就是加密的速度非常慢，因为需要强烈的数学运算程序。

25.Hash加密和数字签名

HASH加密把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。

HASH加密用于不想对信息解密或读取。

使用这种方法解密在理论上是不可能的，是通过比较两上实体的值是否一样而不用告之其它信息。

1）数字签名

HASH加密另一种用途是签名文件。

签名过程中，在发送方用私钥加密哈希值从而提供签名验证，接受方在获得通过发送方的公钥解密得到的哈希值后，通过相同的单向加密算法处理数据用来获得自己的哈希值，然后比较这两个哈希值，如果相同，则说明数据在传输过程中没有被改变。

ü加密系统算法的强度

加密技术的强度受三个主要因素影响：

算法强度、密钥的保密性、密钥的长度。

u算法强度：

是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。

u密钥的保密性：

算法不需要保密，但密钥必须进行保密。

u密钥的长度：

密钥越长，数据的安全性越高。

26.应用加密的执行过程

1）电子邮件加密

用于加密e-mail的流行方法就是使用PGP或S-MIME，虽然加密的标准不同，但它们的原则都是一样的。

下面是发送和接收E-mail中加密的全部过程：

①发送方和接收方在发送E-mail信息之前要得到对方的公钥。

②发送方产生一个随机的会话密钥，用于加密E-mail信息和附件。

这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。

算法通过使用DES，TripleDES，Blowfish，RC5等等。

③发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。

这个值用来保证数据的完整性因为它在传输的过程中不会被改变。

在这步通常使用MD2，MD4，MD5或SHA。

MD5用于SSL，而S/MIME默认使用SHA。

④发送者用自己的私钥对这个HASH值加密。

通过使用发送者自己的私钥加密，接收者可以确定信息确实是从这个发送者发过来的。

加密后的HASH值我们称作信息摘要。

⑤发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。

这种加密提供了数据的保密性。

⑥发送者用接收者的公钥对这个会话密钥加密，来确保信息只能被接收者用其自己的私钥解密。

这步提供了认证。

⑦然后把加密后的信息和数字摘要发送给接收方。

解密的过程正好以相反的顺序执行。

uLab4-1：

利用Windows2000Server建立CA服务器

uLab4-2：

为电子邮件帐户申请证书

uLab4-3：

将用户证书导出到文件保存，并传播给需要的用户

uLab4-4：

在OutlookExpress中建立通讯簿，建立证书与联系人的链接

uLab4-5：

实现安全的电子邮件通讯（邮件加密和签名）

2）Web服务器加密

üSecureHTTP

SecureHTTP使用非对称加密保护在线传输，但同时这个传输是使用对称密钥加密的。

大多的浏览器都支持这个协议，包括NetscapeNavigator和微软的InternetExplorer。

ü安全套接字层（SSL）

SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。

所有的浏览器都支持SSL，所以应用程序在使用它时不需要特殊的代码。

uLab4-6：

为IISServer申请证书

a）在IIS中完成证书申请向导，生成证书申请文件；

b）利用证书申请文件在Web中申请IISServer证书，并下载证书到文件；

c）在IIS中完成挂起证书申请

uLab4-7：

启用HTTP站点的SSL通道

uLab4-8：

实现ExchangeServer中POP3、SMTP的SSL通讯

二、认证技术

图示安全系统的逻辑结构

认证技术是信息安全理论与技术的一个重要方面。

身份认证是安全系统中的第一道关卡，如图1所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。

1）认证的方法

用户或系统能够通过四种方法来证明他们的身份：

üWhatyouknow？

基于口令的认证方式是最常用的一种技术，但它存在严重的安全问题。

它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。

üWhatyouhave？

更加精密的认证系统，要求不仅要有通行卡而且要有密码认证。

如：

智能卡和数字证书的使用。

üWhoyouare？

这种认证方式以人体惟一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。

üWhereyouare？

最弱的身份验证形式，根据你的位置来决定你的身份。

如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户，主机或执行过程；反向DNS查询防止域名哄骗等。

2）特定的认证技术

几种常用于加强认证系统的技术，它们结合使用加密技术和额外策略来检查身份。

ü一次性口令认证：

（CHAP）

人们已经发明了一种产生一次性口令的技术，称之为挑战/回答（challenge/response）。

u种子：

决定于用户，一般在一台机器上，一个种子对应于一个用户，也就是说，种子在一个系统中应具有唯一性，这不是秘密的而是公开的。

u迭代值：

迭代值是不断变化的，而种子和通行短语是相对不变的，所以迭代值的作用就是使口令发生变化。

u通行短语：

通行短语是保密的，而种子和迭代值是公开的，这样就决定了口令的机密性。

当用户登录时，系统会向用户提出挑战，包括种子和迭代值，然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复，并传送给系统，因为系统也知道这个通行短语，所以系统可以验证答复是否正确。

üKerberos认证技术

Kerberos提供了一种在开放式网络环境下进行身份认证的方法，它使网络上的用户可以相互证明自己的身份。

Kerberos是一种被证明为非常安全的双向身份认证技术，其身份认证强调了客户机对服务器的认证，Kerberos有效地防止了来自服务器端身份冒领的欺骗。

Kerberos采用对称密钥体制对信息进行加密。

其基本思想是：

能正确对信息进行解密的用户就是合法用户。

用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket）。

Kerberos密钥分配中心KDC（即Kerberos服务器）由认证服务器AS和许可证颁发服务器TGS构成。

Kerberos的认证过程如图所示。

ü公钥认证体系（PKI）

X.509是定义目录服务建议X.500系列的一部分，其核心是建立存放每个用户的公钥证书的目录库。

用户公钥证书由可信赖的CA创建，并由CA或用户存放于目录中。

若A想获得B的公钥，A先在目录中查找IDB，利用CA的公钥和hash算法验证B的公钥证书的完整性，从而判断公钥的是否正确。

显然X.509是一种基于证书的公钥认证机制，这种机制的实现必须要有可信赖的CA的参与。

三、防火墙技术

防火墙的体系架构：

防火墙的发展从第一代的PC机软件，到工控机、PC-Box，再到MIPS架构。

第二代的NP、ASIC架构。

发展到第三代的专用安全处理芯片背板交换架构，以及“AllInOne”集成安全体系架构。

　　为了支持更广泛及更高性能的业务需求，各个厂家全力发挥各自优势，推动着整个技术以及市场的发展。

　　目前，防火墙产品的三代体系架构主要为：

　　第一代架构：

主要是以单一CPU作为整个系统业务和管理的核心，CPU有x86、PowerPC、MIPS等多类型，产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等；

　　第二代架构：

以NP或ASIC作为业务处理的主要核心，对一般安全业务进行加速，嵌入式CPU为管理核心，产品主要表现形式为Box等；

　　第三代架构：

ISS（IntegratedSecuritySystem）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能CPU发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

防火墙三代体系架构业务特性、性能对比分布图 

安全芯片防火墙体系架构框图

基于FDT指标的体系变革

　　衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。

　　吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（FullDuplexThroughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。

　　FDT与端口容量的区别：

端口容量指物理端口的容量总和。

如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。

　　FDT与HDT的区别：

HDT指半双工吞吐量（HalfDuplexThroughput）。

一个千兆口可以同时以1GB的速度收和发。

按FDT来说，就是1GB；按HDT来说，就是2GB。

有些防火墙的厂商所说的吞吐量，往往是HDT。

　　一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。

　　对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。

　　对于不同的体系架构，其FDT适应的范围是不一样的，如对于第一代单CPU体系架构其理论FDT为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代ISS集成安全体系架构。

　　基于ISS机构的第三代安全体系架构，充分继承了大容量GSR路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。

　　防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。

　　ISS集成安全体系

　　作为防火墙第三代体系架构，ISS根据企业未来对于高性能多业务安全的需求，集成安全体系架构，吸收了不同硬件架构的优势。

恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-MCPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS。

它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时，并可实现安全业务的全方面拓展。

国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙。

　　ISS架构灵活的模块化结构，综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级。

　　ISS体系架构的主要特点：

　　1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心，可以大幅提升吞吐量、转发率、加解密等处理能力；结构化芯片技术可编程定制线速处理模块，以快速满足客户需求；

　　2.采用高性能通用CPU作为设备的管理中心和上层业务拓展平台，可以平滑移植并支持上层安全应用业务，提升系统的应用业务处理能力；

　　3.采用大容量交换背板承载大量的业务总线和管理通道，其中千兆Serdes业务总线和PCI管理通道物理分离，不仅业务层次划分清晰