信息安全培训方案.doc
《信息安全培训方案.doc》由会员分享,可在线阅读,更多相关《信息安全培训方案.doc(80页珍藏版)》请在沃文网上搜索。
1、 目录第一部分 信息安全的基础知识1第二部分 信息安全的实际解决方案734第三部分 操作系统平台的信息安全42第四部分 信息安全审计66第五部分 信息安全过程与最佳实践74第六部分 信息安全专题介绍74物业安保培训方案792、培训要求79第一部分 信息安全的基础知识一、什么是信息安全1. 网络安全背景 与Internet相关的安全事件频繁出现 Internet已经成为商务活动、通讯及协作的重要平台 Internet最初被设计为开放式网络2. 什么是安全? 安全的定义:信息安全的定义:为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。 信息安全的组成:信息安全
2、是一个综合的解决方案,包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。 信息安全专家的工作:安全专家的工作就是在开放式的网络环境中,确保识别并消除信息安全的威胁和缺陷。3. 安全是一个过程而不是指产品不能只依赖于一种类型的安全为组织的信息提供保护,也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。因为安全性所涵盖的范围非常广阔,包括:l 防病毒软件;l 访问控制;l 防火墙;l 智能卡;l 生物统计学;l 入侵检测;l 策略管理;l 脆弱点扫描;l 加密;l 物理安全机制。 4. 百分百的安全神话 绝对的安全:只要有连通性,就存在安全风险,没有绝对的安全。 相对的安
3、全:可以达到的某种安全水平是:使得几乎所有最熟练的和最坚定的黑客不能登录你的系统,使黑客对你的公司的损害最小化。 安全的平衡:一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。二、常见的攻击类型为了进一步讨论安全,你必须理解你有可能遭遇到的攻击的类型,为了进一步防御黑客,你还要了解黑客所采用的技术、工具及程序。我们可以将常见的攻击类型分为四大类:针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。第一类:针对用户的攻击5. 前门攻击 密码猜测在这个类型的攻击中,一个黑客通过猜测正确的密码,伪装成一个合法的用户进入系统,因为一个黑客拥有一个
4、合法用户的所有信息,他(她)就能够很简单地从系统的“前门”正当地进入。6. 暴力和字典攻击 暴力攻击暴力攻击类似于前门攻击,因为一个黑客试图通过作为一个合法用户获得通过。 字典攻击一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围,强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。u Lab2-1:使用LC4破解Windows系统口令,密码破解工具u Lab2-2:Office Password Recovery & WinZip Password Recovery7. 病毒计算机病毒是一个被设计用来破坏网络设备的恶意程序。8. 社会工程和非直接攻击社交工程是使用计谋和假情报去获得
5、密码和其他敏感信息,研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 打电话请求密码:一个黑客冒充一个系统经理去打电话给一个公司,在解释了他的帐号被意外锁定了后,他说服公司的某位职员根据他的指示修改了管理员权限,然后黑客所需要做的就是登录那台主机,这时他就拥有了所有管理员权限。 伪造E-mail:使用Telnet一个黑客可以截取任何一个身份证,发送E-mail给一个用户,这样的E-mail消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实,然而它们是假的,因为黑客通过欺骗E-mail服
6、务器来发送它们。u Lab 2-3:发送伪造的E-Mail消息。第二类:针对应用程序的攻击9. 缓冲区溢出目前最流行的一种应用程序类攻击就是缓冲区溢出。当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。这种多余的数据将使程序的缓存溢出,然后覆盖了实际的程序数据,缓冲区溢出使得目标系统的程序自发的和远程的被修改,经常这种修改的结果是在系统上产生了一个后门。10. 邮件中继目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也
7、会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。u Lab 2-4:通过邮件中继发送E-Mail消息。11. 网页涂改是一种针对Web服务器的网页内容进行非法篡改,以表达不同的观点或社会现象。这种攻击通常损害的是网站的声誉。(中国红客联盟)ngqin为ei第三类:针对计算机的攻击12. 物理攻击许多公司和组织应用了复杂的安全软件,却因为主机没有加强物理安全而破坏了整体的系统安全。通常,攻击者会通过物理进入你的系统等非Internet手段来
8、开启Internet的安全漏洞。增强物理安全的方法包括:用密码锁取代普通锁;将服务器放到上锁的房间中;安装视频监视设备。u Lab 2-5:操作一个对Windows 2000 Server的物理攻击13. 特洛伊木马和Root Kits任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打开端口进入Root Shell或具有管理权限的命令行文件,他们可以隐藏自己的表现(无窗口),而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。u Lab 2-6:遭受NetBus特洛伊木马感染 Root Kits(附文档)Root Kits是多种UNIX系统的一个后门,它在控制阶段
9、被引入,并且产生一个严重的问题。Root Kits由一系列的程序构成,当这些程序被特洛伊木马取代了合法的程序时,这种取代提供给黑客再次进入的后门和特别的分析网络工具。 14. 系统Bug和后门 Bug和后门一个Bug是一个程序中的错误,它产生一个不注意的通道。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。15. Internet蠕虫Internet蠕虫是一种拒绝服务病毒,最近流行的红色代码也是类似的一种蠕虫病毒。蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃,而没有其他的破坏。第四类:针对网络的攻
10、击16. 拒绝服务攻击:在一个拒绝服务攻击中,一个黑客阻止合法用户获得服务。这些服务可以是网络连接,或者任何一个系统提供的服务。 分布式拒绝服务攻击DDOS:(附文档)是指几个远程系统一起工作攻击一个远程主机,通常通过大量流量导致主机超过负载而崩溃。17. 哄骗:(附文档)哄骗和伪装都是偷窃身份的形式,它是一台计算机模仿另一台机器的能力。特定的例子包括IP哄骗,ARP哄骗,路由器哄骗和DNS哄骗等。18. 信息泄漏:几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息,组织结构必须决定如何最少化提供给公众的信息,哪些信息是必要的,哪些信息是不必要的。需要采取措施保护,不必要泄漏的信息
11、:DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息(如操作系统平台、版本等)。u Lab 2-7:通过Telnet连接Exchange服务器的SMTP、POP3等服务19. 劫持和中间人攻击:中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。黑客在物理位置上位于两个被攻击的合法主机之间。最常见的包括:u 嗅探包:以获得用户名和密码信息,任何以明文方式传送的信息都有可能被嗅探;u 包捕获和修改:捕获包修改后重新再发送;u 包植入:插入包到数据流;u 连接劫持:黑客接管两台通信主机中的一台,通常针对TCP会话。但非常难于实现。u Lab 2-8:网络包嗅
12、探outlook Express邮件账号口令三、信息安全服务20. 安全服务国际标准化组织(ISO)7498-2定义了几种安全服务:服务目标验证提供身份的过程访问控制确定一个用户或服务可能用到什么样的系统资源,查看还是改变数据保密性保护数据不被未授权地暴露。数据完整性这个服务通过检查或维护信息的一致性来防止主动的威胁不可否定性防止参与交易的全部或部分的抵赖。21. 安全机制根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程 。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。 如:加密、数字签名等。普遍的安全机制不局限
13、于某些特定的层或级别,如:信任功能、事件检测、审核跟踪、安全恢复等。四、网络安全体系结构第二部分 信息安全的实际解决方案一、加密技术22. 加密系统加密把容易读取的源文件变成加密文本,能够读取这种加密文本的方法是获得密钥(即把原来的源文件加密成加密文本的一串字符)。1) 加密技术通常分为三类:u 对称加密:使用一个字符串(密钥)去加密数据,同样的密钥用于加密和解密。u 非对称加密:使用一对密钥来加密数据。这对密钥相关有关联,这对密钥一个用于加密,一个用于解密,反之亦然。非对称加密的另外一个名字是公钥加密。u HASH加密:更严格的说它是一种算法,使用一个叫HASH函数的数学方程式去加密数据。理
14、论上HASH函数把信息进行混杂,使得它不可能恢复原状。这种形式的加密将产生一个HASH值,这个值带有某种信息,并且具有一个长度固定的表示形式。2) 加密能做什么?加密能实现四种服务:数据保密性:是使用加密最常见的原因;数据完整性:数据保密对数据安全是不足够的,数据仍有可能在传输时被修改,依赖于Hash函数可以验证数据是否被修改;验证:数字证书提供了一种验证服务,帮助证明信息的发送者就是宣称的其本人;不可否定性:数字证书允许用户证明信息交换的实际发生,特别适用于财务组织的电子交易。23. 对称密钥加密系统在对称加密或叫单密钥加密中,只有一个密钥用来加密和解密信息。u 对称加密的好处就是快速并且强
15、壮。u 对称加密的缺点是有关密钥的传播,所有的接收者和查看者都必须持有相同的密钥。但是,如果用户要在公共介质上如互联网来传递信息,他需要通过一种方法来传递密钥。一个解决方案就是用非对称加密,我们将在本课的后面提到。24. 非对称密钥加密系统非对称加密在加密的过程中使用一对密钥,一对密钥中一个用于加密,另一个用来解密。这对密钥中一个密钥用来公用,另一个作为私有的密钥:用来向外公布的叫做公钥,另一半需要安全保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的数学运算程序。25. Hash加密和数字签名HASH加密把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。H
16、ASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。1) 数字签名HASH加密另一种用途是签名文件。签名过程中,在发送方用私钥加密哈希值从而提供签名验证,接受方在获得通过发送方的公钥解密得到的哈希值后,通过相同的单向加密算法处理数据用来获得自己的哈希值,然后比较这两个哈希值,如果相同,则说明数据在传输过程中没有被改变。 加密系统算法的强度加密技术的强度受三个主要因素影响:算法强度、密钥的保密性、密钥的长度。u 算法强度:是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。u 密钥的保密性:算法不需要保密,但密钥必须
17、进行保密。u 密钥的长度:密钥越长,数据的安全性越高。26. 应用加密的执行过程 1) 电子邮件加密用于加密e-mail的流行方法就是使用PGP或S-MIME,虽然加密的标准不同,但它们的原则都是一样的。下面是发送和接收E-mail中加密的全部过程: 发送方和接收方在发送E-mail信息之前要得到对方的公钥。 发送方产生一个随机的会话密钥,用于加密E-mail信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES,Triple DES,Blowfish,RC5等等。 发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因
18、为它在传输的过程中不会被改变。在这步通常使用MD2,MD4,MD5或SHA。MD5用于SSL,而S/MIME默认使用SHA。 发送者用自己的私钥对这个HASH值加密。通过使用发送者自己的私钥加密,接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值我们称作信息摘要。 发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。 发送者用接收者的公钥对这个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。 然后把加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。u Lab 4-1:利用Windows 200
19、0 Server建立CA服务器u Lab 4-2:为电子邮件帐户申请证书u Lab 4-3:将用户证书导出到文件保存,并传播给需要的用户u Lab 4-4:在Outlook Express中建立通讯簿,建立证书与联系人的链接u Lab 4-5:实现安全的电子邮件通讯(邮件加密和签名)2) Web服务器加密 Secure HTTPSecure HTTP使用非对称加密保护在线传输,但同时这个传输是使用对称密钥加密的。大多的浏览器都支持这个协议,包括Netscape Navigator和微软的Internet Explorer。 安全套接字层(SSL)SSL协议允许应用程序在公网上秘密的交换数据,因
20、此防止了窃听,破坏和信息伪造。所有的浏览器都支持SSL,所以应用程序在使用它时不需要特殊的代码。u Lab 4-6:为IIS Server申请证书a) 在IIS中完成证书申请向导,生成证书申请文件;b) 利用证书申请文件在Web中申请IIS Server证书,并下载证书到文件;c) 在IIS中完成挂起证书申请u Lab 4-7:启用HTTP站点的SSL通道u Lab 4-8:实现Exchange Server中POP3、SMTP的SSL通讯二、认证技术图示 安全系统的逻辑结构认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡,如图1所示,用户在访问安全系统之前,首先经
21、过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。1) 认证的方法用户或系统能够通过四种方法来证明他们的身份: What you know?基于口令的认证方式是最常用的一种技术,但它存在严重的安全问题。它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。 What you have?更加精密的认证系统,要求不仅要有通行卡而且要有密码认证。 如:智能卡和数字证书的使用。 Who you are?这种认证方式以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。
22、 Where you are?最弱的身份验证形式,根据你的位置来决定你的身份。如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户,主机或执行过程;反向DNS查询防止域名哄骗等。2) 特定的认证技术 几种常用于加强认证系统的技术,它们结合使用加密技术和额外策略来检查身份。 一次性口令认证:(CHAP)人们已经发明了一种产生一次性口令的技术,称之为挑战/回答(challenge/response)。u 种子:决定于用户,一般在一台机器上,一个种子对应于一个用户,也就是说,种子在一个系统中应具有唯一性,这不是秘密的而是公开的。u 迭代值:迭代值是不断变化的,而种子和通行短语是相对不变
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 培训 方案