{安全生产管理}网络安全和防火墙.docxVIP

{安全生产管理}网络安全和防火墙 2、根据资源的重要性和可靠性进行优先级的划分 3、标示入侵的可能性 4、定义可接受和不可接受的活动： 可接受：安全性高，避免出现安全漏洞 限制用户的活动 不可接受：管理的工作量小，灵活 容易出现安全漏洞 5、对不同的资源定义安全性标准： 6、对不同的用户定义不同的教育内容 加密： 功能：数据的机密性、数据的一致性，验证和抗抵赖性 类型：对称加密，公钥加密，散列 加密的强度： 影响因素：算法的强度 密钥的安全性 密钥的长度 身份验证： 作用：提供用户级的访问控制 方法：whatyouknow：mostmonmethods,passwordbased whatyouhave:smartcard whoyouare:biometrics whereyouare:locationbased,r*serialprogramsandreversednslookup 实现： KerberosV5 演示分别从98和2000的计算机上登录域，进行密码的捕获 过程 优点：可以提供验证、加密和一致性 不需要在网络上传输密码 加密信息 抗重演攻击 能够控制对资源的访问 缺点：仅提供了工作站级的安全性 OTP：防止snooping和passwordhijacking 三、访问控制：控制对于对象的访问 1、ACL： 2、ECL：调节进程的运行方式 审核：对所发生的事件进行记录并采取相应的措施。 消极的审核：仅记录 积极的审核：记录事件并采取相应的措施 第三章加密技术 基本概念： rounds：数目愈大，加密越强 parallelization：多进程处理 strongencryption：密钥长度超过128位 类型： 对称加密 特点： 优点：速度快，适合加密大量数据 缺点：密钥的分发 产品：DES,3DES,RSA 公钥加密： 特点： 优点：密钥分发能过确保安全，抗蛮力攻击 缺点：比对称加密慢100倍，不适合加密大量数据 应用：数据加密，数字签名 产品：DSA,Diffie-Hellman 散列加密： 特点：单向 优点：密钥的安全性 应用：身份验证 产品：MD5,SHA1 加密的实际应用： 对电子邮件的防护： 原理： 类型： 客户端加密：优点，不依赖于服务器产品，能够在不同厂商的服务器间发送加密的邮件 缺点，需要较多的配置 类型：PGP,开放的协议 S/MIME,工业标准 服务器加密：优点，客户端不需要任何配置 缺点，依赖于服务器产品 应用：PGP 加密文件： EFS:加密数据 MD5sum:签名文件，防止修改 加密Web交通： 类型：SecureHTTP,SSL/TLS,SET SecureHTTP:工作在应用层，仅能加密HTTP的交通 SSL/TLS：工作于传输层，能够加密HTTP,FTP,EMAIL的交通： 通过SSL提供WEB服务器的安全性： 原理： 实现考虑： 如果需要验证服务器，则应该在服务器上安装服务器证书；如果要验证客户机，则要安装客户机证书（需要应用程序支持） 可以实现不同级别的加密：40，56，128 采用HTTPS访问 对于内部站点，可以使用内部的CA；对于外部站点，可以使用共有CA 可以选择保护站点中的某一部分区域 实现： 设计VPN连接的安全性： 1、VPN的优点： 外包的拨号支持 减少话费指出 增高的连接速度 2、选择VPN协议：通过封装和加密两种方式进行数据的安全传颂，包括PPTPL2TP/IPSec PPTP：采用MPPE加密数据，具有40，56，128的加密强度，应用于基于IP的网络上，支持多种协议，不进行计算机身份验证，可以通过NAT，微软的所有客户机均支持，适中等安全性网络，不需要PKI和IPSec L2TP：结合IPSec形成隧道，可以在任何基于点对点的网络介质形成隧道，基于IPSec进行计算机验证，支持多种协议，不能通过NAT，仅2000支持，能够提供强力安全性 实现：（可选） 实现IPSec提供数据安全性： 原理：位于网络层，通过加密和签名提供IP层端到端数据安全性，不需要应用程序支持，对上层应用是透明的。但仅有2000支持。 AH Figure8.1AuthenticationHeader NextHeaderIdentifiesthenextheaderthatusestheIPprotocolID.Forexample,thevaluemightbe“6”toindicateTCP. LengthIndicatesthelengthoftheAHheader. SecurityParametersIndex(SPI)Usedinbinationwiththedestinationaddressandthesecurityprotocol(AHorESP)toid