安全主流产品与常见工具教材.ppt

ISS Internet Scanner (2) 特点： 扫描模块与管理控制模块分开，管理方便 采用XML方式定义扫描任务，策略配置灵活多样 支持对各种网络设备、平台、应用的评估 界面友好，报告齐全 第一百二十六页，共二百一十页。 隐患扫描（vulnerabilities scanning） 网络弱点扫描 主机弱点扫描 主机弱点扫描功能与特点 ISS System Scanner 特定应用弱点扫描 第一百二十七页，共二百一十页。 主机弱点扫描功能与特点 是针对单一主机系统的扫描，它在目标系统上运行，可以搜集到比较全面的系统信息，对系统安全性作比较深入地分析 只能分析单个主机，不能分析整个网络状况，也不能远程执行 对于单一主机来说，主机弱点评估比网络弱点评估的评估能力强，准确性高 它对弱点的修复能力比网络评估系统强 第一百二十八页，共二百一十页。 ISS System Scanner 是ISS公司开发的针对主机的弱点扫描工具 只涉及到单一主机，功能较为单一，报告比较简略 对目标系统平台具有很强的依赖性，不同的平台涉及到不同的评测内容，不同的评测方法，目前主要分为Windows和Unix两大系列 结合了传统安全评估和完整性检测两种方法的特点，提出Security Baseline技术，即在进行完一次完整的安全评估后，对所有漏洞修补，保证系统达到自己的安全需求 第一百二十九页，共二百一十页。 隐患扫描（vulnerabilities scanning） 网络弱点扫描 主机弱点扫描 特定应用弱点扫描 数据库弱点扫描 对未知漏洞的检测 第一百三十页，共二百一十页。 数据库弱点扫描 以ISS的 Database Scanner 为代表 自动解析数据库系统的重要配置管理参数 分析数据库系统的授权、认证、完整性 检测一些流行数据库的安全漏洞 生成详细用户报告 提供两种评估方式 内部扫描 外部穿透性测试 第一百三十一页，共二百一十页。 对未知漏洞的检测 目前主要有三种方法： 静态源代码扫描 环境错误注入 汇编代码扫描 已有一些成果发布，尚待进一步研究 第一百三十二页，共二百一十页。 课程内容 ? 防火墙 ?? VPN 内外网隔离 ?? 日志审计 ?? 入侵检测 ?? 隐患扫描 PKI(CA) ?? PGP ?? 安全加固 ?? 防病毒 第一百三十三页，共二百一十页。 PKI (CA) PKI基础知识 PKI技术 WIN2000 PKI 第一百三十四页，共二百一十页。 PKI (CA) PKI基础知识 什么是PKI PKI的组成 PKI标准的制定组织 PKI技术 WIN2000 PKI 第一百三十五页，共二百一十页。 什么是PKI PKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施 提供机密性（包括公钥加密和对称加密）、数据完整性、非否认服务，比如加密、数字签名、数字信封、时间戳等等 遵循标准： X.509、RFC2459 等 第一百三十六页，共二百一十页。 公钥密码体制(1) 公钥密码技术由Diffe和Hellman于1976年首次提出 有两个不同的密钥（公钥－私钥对），可将加密功能和解密功能分开 是目前若干关键技术如PKI、VPN等的基础 第一百三十七页，共二百一十页。 公钥加密模型 第一百三十八页，共二百一十页。 公钥认证模型 第一百三十九页，共二百一十页。 公钥密码体制(2) 公钥密码体制的优点: 可以简化密钥的管理，并且可以通过公开系统如公开目录服务来分配密钥。 公钥密码体制的缺点: 加、解密的速度太慢 密钥长度太长 RSA算法： 是一个可逆的公钥密码体制，在PGP中被用来加密通信密钥和数字签名;基于以下原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的;目前建议使用模长为1024比特以上的模作为密钥 第一百四十页，共二百一十页。 PKI的组成 1．??????? CA（认证机构） 2．??????? 证书库 3．??????? 证书撤销 4．??????? 密钥备份和恢复 5．??????? 自动密钥更新 6．??????? 密钥历史档案 7．??????? 交叉认证 8．??????? 支持非否认 9．??????? 时间戳 10. 客户端软件 第一百四十一页，共二百一十页。 PKI标准的制定组织 国际标准化组织/国际电信联盟 (ISO)/(ITU)- X.509 因特网特别工程任务组 (IETF). RFC2459 RSA 实验室 PKCS系列 美国国家标准和技术协会 (NIST) MISPC最小互操作规范 第一百四十二页，共二百一十页。 PKI (CA) PKI基础知识 PKI技术