第9章网络应用安全.pptVIP

TechNet TNT1-16 第 9 章 网 络 应 用 安 全 第9章 网络应用安全 网络应用安全概述 应用安全的体系结构 因特网的安全 Web站点安全 网络监听 E-mail的安全 IP电子欺骗 口令安全 电子商务安全 电子政务安全 WebST网络应用安全平台 第9章 网络应用安全 网络应用安全是指在特定应用中建立的安全防护装置（措施），独立于任何网络的案例安全措施，对网络应用的安全保障 网络应用安全是定位于应用层的信息安全 应用安全是指信息在应用过程中的安全，也是信息的使用安全 应用安全的目的是保证信息用户的真实性、信息数据的机密性、完整性、可用性，已经信息用户和信息数据的可审性，以对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等针对信息应用的安全威胁 9.1 网络应用安全概述 9.1.1 应用安全服务 鉴别服务 机密性服务 完整性服务 访问性服务 抗否认服务 审计跟踪服务 安全管理服务 安全服务由安全机制提供，一种安全服务可以通过某种安全机制单独提供，也可通过多种安全机制联合提供；一种安全机制可提供一种或多种安全服务 9.1 网络应用安全概述 9.1.2 应用安全的风险 身份假冒 信息窃取 数据篡改 越权访问 事后否认 9.1 网络应用安全概述 9.1.3 应用安全需求 应用层的安全是建立在网络层安全基础之上 应用安全需求包括： 1. 应用安全服务和机制，即面向应用的安全系统自身 2. 安全系统与应用系统的结合 9.2 应用安全的体系结构 应用安全服务建立在能提供信任服务的基础设施之上 重要的支撑性基础设施： 1. 密钥管理基础设施KMI（公钥基础设施PKI），用于产 生、公布和管理密钥与证书等安全凭证 2. 检测与响应，用于预警、检测、识别可能的网络攻击，作出有效响应以及对攻击行为进行调查分析 9.3 因特网的安全 9.3.1 因特网服务的安全隐患 电子邮件 文件传输ftp 远程登录 用户新闻 万维网 9.3 因特网的安全 9.3.2 因特网的脆弱性（P348） 认证环节薄弱性：薄弱的、静态的口令 系统易被监视性：监视携带用户名和口令的IP包 易被欺骗性：电子邮件易被骗取 有缺陷的局域网服务 复杂的设备和服务：错误的配置致使闯入者获得访问权 主机的安全性无法估计 9.5 网络监听 网络监听工具是提供给管理员的一类管理工具，使用它可以监听网络的状态、数据流动情况以及网络上传输的信息 当信息以明文形式在网络上传输，便可使用网络监听方式进行攻击 将网络接口设置在监听模式便可源源不断地截获网上的信息 网络监听可在网络任何一位置实施，主机、网关或调制解调器 同时成为了黑客常用的工具，截获用户的口令 9.5 网络监听 网络监听功能 自动从网络中过滤及转换有用的信息 将截取的数据包转换成易于识别的格式 对网络环境中失败的通信进行分析 探测网络环境下通信瓶颈 检测是否有黑客正在攻击网络系统，以阻止其入侵 记录网络通信过程 9.5 网络监听的工作原理 共享Ethernet 实现原理：以广播的方式实现了单播 交换式Ethernet 真正的单播 监听方法： 对交换机实行端口映射，将该端口的数据包全部映射到某个监控机器上 将数据包捕获程序放在网关或者代理服务器上，抓取整个局域网的数据包 在交换机和路由器之间连接一个HUB，使数据以广播的方式发送 实行ARP欺骗，在用户机器上实现整个包的转换 网络监听检测 用正确的IP地址和错误的MAC地址ping 往网上发大量不存在的物理地址的包 搜索主机上运行的所有进程 搜索监听程序 使用安全壳SSH通信和交换数据 9.6 Email安全 明文传输：PGP（更好的保护隐私），防止非授权者对邮件阅读与修改，并提供数字签名保证邮件真实性 匿名转发 Email欺骗 Email轰炸和炸弹 9.7 IP电子欺骗 盗用IP地址 IP电子欺骗：伪造某台主机IP地址的技术 IP欺骗攻击的防备 出口路由ACL设置 过滤路由，防止带有内部网资源地址包通过 9.8 口令安全 口令位数、内容 口令输入 口令存放 口令传输 口令测试 END * 广东技术师范学院 - 计科院 - 计算机应用系 * 广东技术师范学院 - 计科院 - 计算机应用系 详细参见P355 9.6《Email的安全》 详细参见P357 9.7《IP电子欺骗》 /technet TNTx-xx