网络信息安全管理员1.ppt
《网络信息安全管理员1.ppt》由会员分享,可在线阅读,更多相关《网络信息安全管理员1.ppt(186页珍藏版)》请在三一办公上搜索。
1、第一讲 网络安全概论,第一讲 计算机网络安全概论,一、计算机网络安全认识,二、计算机网络面临的威胁,三、计算机网络安全的目标,四、计算机网络安全相关内容,一、计算机网络安全的认识,计算机网络安全是指“人机网”复杂系统中:硬件、软件的稳定性;数据不被破坏、篡改、泄露;网络服务的可靠性等。计算机网络安全=硬件安全+软件安全+数据安全 网络安全涉及计算机科学、计算机网络技术、密码技术、信息论、数学以及法律、管理等学科的综合科学技术。,二、计算机网络面临的威胁,安全威胁=恶意攻击+使用失误+设计缺陷+代码错误恶意攻击:主动攻击,被动攻击使用失误:安全意识,技术水平,简短密码设计缺陷:匿名帐户,恶意后门
2、等代码错误:缓冲区溢出等动态错误破坏计算机系统:计算机病毒;窃取信息、控制计算机系统:木马;堵塞消耗网络资源:蠕虫,三、计算机网络安全的目标,信息的保密性,完整性,服务可用性,系统可控性,身份的真实性,行为不可否认性,可审计性。,四、计算机网络安全的相关内容,网络安全法律、教育;网络安全标准、测评;网络安全体系结构、设计;网络安全检测,审计;网络安全设备;网络攻击手段与防护措施;网络犯罪、侦察与取证。,第二讲 密码技术,第二讲 加密技术,一、简史二、基本概念三、对称密码体制四、公钥密码体制五、数字签名与Hash函数六、密码新技术,一、简史,古典密码:第一次世界大战结束(1918),手工、机械,
3、简单算法;近代密码:19181949,香农“保密系统中的 数学理论发表”;现代密码:1949,密码成为一门学科理论,公钥密码技术的诞生。未来密码:量子密码实用化及量子、生物计算机诞生,二、基本概念(1),1、基本术语:信源消息的发送处 信宿消息的目的地 明文没有加密的消息 密文加密后的消息 密钥加密时用的(关键的)参数 信道传递信息的通道,二、基本概念(2),2、经典通信模型:,二、基本概念(3),3、信息攻击:主动攻击恶意删除、篡改、重播、堵塞、干扰等 被动攻击从信道上偷窃信息。无意攻击错误操作、机器故障等。,二、基本概念(4),4、密码体制:可能的明文集合P称为明文空间 可能的密文集合C称
4、为密文空间 可能的密钥集合K称为密钥空间 一组加密变换:Dk:PC,kK 一组解密变换:Ek:CP,kK满足:对任意的密钥k,Ek(Dk(m)=m。则五元组(P,C,K,Ek,Dk)称为 一个密码体制。,二、基本概念(5),5、密码体制分类:按密钥个数:对称(私钥,单钥)体制,公钥(非对称,双钥)体制;对称密码体制:加密密钥与解密密钥相同或可以在有效时间内相互推导。公钥密码体制:加密密钥与解密密钥不同或不可以在有效时间内相互推导。按分组长度:分组密码体制,序列密码体制。分组密码体制:明、密文分组长度及密钥长度有限且固定 序列密码体制:明、密文不分组,密钥长度无限按安全原理:数学密码,其他密码
5、数学密码:基于数学上NP问题 其他密码:基于物理定理测不准原理,等按安全程度:计算安全,绝对安全,二、基本概念(6),6、密码学科分类,密码学,二、基本概念(7),7、密码应用技术分类,密码技术,二、基本概念(8),8、密码分析:穷举法、统计法、系统分析法 唯密文攻击、已知明文攻击、选择明文攻击 算法分析、旁路攻击技术9、计算安全性:称一个密码体制是安全的是指计算上安全的,即:密码分析者为了破译密码,穷尽其时间、存储资源仍不可得,或破译所耗资材已超出因破译而得到的利益。,三、对称密码体制(1),1、美国数据加密标准DES概述:1977年2月15日,DES被宣布采用作为美国非国家机关使用的数据加
6、密标准;NSA大约每五年对DES审查一次,1992年是最后一次审查,1998年后不再审查了;DES差分分析、短密钥与Internet分布式攻击 DES是一种分组密码,分组长度为64比特,实际密钥长度为56比特。,三、对称密码体制(2),2、DES算法:DES由一个初始置换,16轮变换,初始置换的逆置换构成。初始置换记为IP,16轮变换记为T1,.,T16。加密算法:DES=IP-1 T16.T1 IP 解密算法:DES-1=IP-1 T1.T16 IP Ti(Li-1,Ri-1)=(Ri-1,Li-1 f(Ri-1,ki),i=1,2,.,16(L,R)=(R,L),三、对称密码体制(3),3
7、、DES算法框图,三、对称密码体制(4),4、f 函数:f(Ri-1,ki)=P(E(Ri-1)ki,三、对称密码体制(5),5、S盒:Si(h1h2h3h4h5h6)=Tablei(h1h6,h2h3h4h5),三、对称密码体制(6),6、美国高级数据加密标准AES:2001年2月29日,Rijndael算法被正式确定为美国非国家机关数据加密标准AES。明、密文分组为128比特,按密钥长度可分为:AES-128,AES-192,AES-256 解密算法与加密算法相同,子密钥作简单变换后顺序颠倒,三、对称密码体制(7),7、AES算法:,三、对称密码体制(8),8、AES的S-盒,三、对称密码
8、体制(9),9、IDEA,IDEA(International Data Encryption Algorithm国际数据加密算法)1990年由我国密码学者来学嘉博士和瑞士著名密码学家马赛(James Massey)提出,1992年正式确立,企图取代DES成为真正的国际数据加密标准。它克服了DES短密钥,具有差分缺陷。明密文分组64比特,密钥128比特。加解密算法相同,加解密子密钥按照一定的规则倒序并做简单的变换,共52个子密钥,8轮。,(1)基本概念,三、对称密码体制(10),(2)核心算法,按位 mod 2 加,记为mod 216(65536)整数加,记为mod(216+1)整数乘,记为,
9、(3)基本构件:乘加非线性S盒,三、对称密码体制(11),(4)IDEA加密过程,2)用128Bit密钥生成52个子密钥:Z1,Z2,.,Z52。,3)用4个明文子块和前6个子密钥作首轮变换;,4)用前一轮4个输出作为输入,和剩下的子密钥中的前 6个做下一轮变换;,5)如此下去,共进行8轮;,6)最后,用前一轮的4个输出及最后4个子密钥作一轮输 出处理。,1)将64Bit明文分解16Bit的子块4个:X1,X2,X3,X4;,三、对称密码体制(12),(5)IDEA框图,三、对称密码体制(13),(6)IDEA单轮变换框图,三、对称密码体制(14),(7)IDEA密钥生成,B1.B16 B17
10、.B25.B32 B33.B40.B48 B49.B64 B65.B80 B81.B96 B97.B112 B113.B128,子密钥:Z1,Z2,Z3,Z4,Z5,Z6,Z7,Z8;,三、对称密码体制(15),子密钥:Z9,Z10,Z11,Z12,Z13,Z14,Z15,Z16;,同理,可得子密钥:Z17,.Z52,三、对称密码体制(16),8、IDEA解密子密钥,四、公钥密码体制(1),1、公钥密码体制:1976年:Diffie,Hellman 在“密码学新方向”一文中首次提出公开密钥密码体制的思想。提出了 Diffie-Hellman 公钥密码协议。1977年:Rivest,Shamir
11、,Adleman第一次有效地实现了公开密钥密码体制,现称为RSA公钥密码体制。,四、公钥密码体制(1),1、(公钥)保密通信模型,公钥,四、公钥密码体制(2),2、邮箱科学:,公钥,加密,100081北京大学物理系 X X X 收 南京大学计算机系,100081北京大学物理系 X X X 收 南京大学计算机系,私钥,解密,四、公钥密码体制(4)4、Diffie-Hellman协议:,秘密书信,四、公钥密码体制(5),5、RSA公钥密码体制,体制的发布:加密密钥:b 公开,模数 n 公开;解密密钥:a 保密,加密算法:Ek(x)xb mod n,解密算法:Dk(x)ya mod n。,体制的构造
12、:选取合数 n=pq,p,q 是素数;选取 ab1 mod(n),,五、数字签名(1),1、数字签名概念,(二)传统签名形式(1)手工签名(2)纸质文件的不可拷贝与唯一性(3)文件内容与签名分割(4)比对识别与不精确性,(三)电子信息的认证(1)电磁形式(2)电子文件的可拷贝特性与重复使用(3)消息与内容一体(4)签名认证与精确性(5)特别应用,(1)证明文件的合法性(2)约束签名人遵守文件内容,(一)签名的目的,五、数字签名(2),2、数字签名方案,设P是消息集合,K是密钥集合,S是签名的集合,签名算法是一个映射:sig:PKS,sig:(x,k)y=sigk(x)验证算法是一个映射:ver
13、:P S true,false,ver(x,y)=true y=sigk(x).(P,A,K,sig,ver)称为一个签名方案,五、数字签名(3),3、(公钥)数字签名模型,公钥,五、数字签名(4),4、RSA数字签名方案,方案的发布:签名密钥:a 保密,签名算法:Ea(y)ya mod n。认证密钥:b 公开,模数n公开;认证算法:Db(m)mb mod n,,方案的构造:选取合数 n=pq,p,q 是素数;选取 ab1 mod(p-1)(q-1),,五、数字签名(5),5、其他数字签名方案,1991年,美国NIST公布了数字签名标准DSS。盲签名:Chaum盲签名方案不可否认签名方案:Ch
14、aum-Antwerpen不可否认签名方案群组签名方案环签名方案,五、数字签名(6),6、散列(杂碎,Hash)函数,MD4,MD5SHA-0,SHA-1,SHA-256,SHA-384,SHA-512碰撞的概念。王小云的工作。,六、身份认证,1、基于秘密信息的身份认证 a、基于口令,b、基于数字签名,c、CA技术,d、零知识证明2、基于物理、生物特征的身份认证 a、智能卡,b、指纹,虹膜3、身份认证应用实例 Kerberos,七、密码新技术,1、混沌密码学2、椭圆曲线密码学3、量子密码学,END,3、量子公钥分配方案,Heisenberg测不准原理:,不可能同时准确地测量量子的两个特征值(态
15、),量子状态(值)可展开成量子算子(观测量)A的本征态的正交级数,即:以概率出现在本征态 j,以概率 测得为 j,同时以概率 转移到j。,如果=j,则概率=1,则系统值以概率 1 测得为 j,同时概率1转移到j。这就是量子密钥分配协议的原理。,70年代初,Wiesner,Bennett,Brassard等提出了一种基于量子传递的公钥的思想和方案。此后,美、英等国相继进行了基于光量子的有关试验。,#,量子方案不但可以解决一次一密的密钥分配瓶颈,而且可以发现窃听行为,人们认为它可以抗无限计算能力密码分析,从而,可能成为未来唯一密码技术。,二元量子信道及BB2协议,将观测量(量子算符)可能状态分成两
16、类,用二进制进行编码。,如果A,B双方要传递密钥,双方首先商定(公开)编码方案,A生成一个随机比特流,按照比特流设置本征状态设备(接收设备)序列,发射量子脉冲,#,无窃听量子信道,#,有窃听量子信道,#,第 1章 网络安全概论,Communication to Win,1.1 网络安全认识,涉及的学科概念涉及的因素,涉及的学科,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,概念,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服
17、务不中断。,涉及的因素,网络安全涉及法律、管理和技术等诸多因素,是-人-机-网复杂的系统问题。构筑网络安全防护体系固然离不开技术基础,但是,仅仅凭借技术解决网络安全问题是不现实的,人员的网络安全意识与安全素质是网络安全的核心,比网络安全技术更重要。,1、人为的无意失误:安全配置不当造成的安全漏洞、用户安全意识不强、口令选择不慎、帐号随意转借他人或与别人共享。2、人为的恶意攻击:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。3
18、、网络软件的漏洞和“后门”:软件的“后门”都是软件公司的设计编程人员为了方便自己而设置的。,1.2 计算机网络面临的威胁,1.3 网络安全所涉及的内容,网络安全体系结构;网络的攻击手段与防范措施;网络安全设计;网络安全标准制定,安全评测及认证;网络安全检测技术;网络安全设备;安全管理,安全审计;网络犯罪侦查;网络安全理论与政策;网络安全教育;网络安全法律等。,1.4 网络安全策略,安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策略的要求:,1、先进的网络安全技术是网络安全的根本保证。2、严格的安全管理。3、制订严格的法律、法规。,1.5 网络安全的目标,身份
19、真实性信息保密性信息完整性服务可用性,不可否认性系统可控性系统易用性可审查性,Windows操作系统基础及其安全配置,第2章,Windows操作系统是一个为个人电脑和服务器用户设计的操作系统。它的第一版本由Microsoft公司发行于1985年,经过近二十年发展,其系统所具有的界面图形化、多用户多任务、网络支持良好、出色的多媒体功能、硬件支持良好、众多的应用程序等特点,最终获得了世界个人电脑操作系统软件的垄断地位,成为了完全独立操作系统。本章将介绍目前最为流行的Windows操作系统及其安全配置。,2.2 Windows 2000操作系统安全配置,内置组帐户策略本地策略访问事件日志的设置及本地
20、用户与组系统服务确保文件系统的安全,内置组,Windows2000附带了许多内置组。“控制面板”管理工具”计算机管理”Administrators:所有权力Power User:不能更改注册表,升级系统组件,不能修改 Administrators和Backup Operators Backup Operators不能修改安全设置Users:可以创建/修改本地组,不能Shut Down Server;不能创建共享文件夹,不能创建本地打印机 特殊身份组:(组成员由系统自动维护,不能更改)Everyone 包括Guests Authenticated User 被身份验证成功的用户 不包括Guest
21、s 后者在Professional中缺省属于Power Users组;在Server中缺省属于User组。Backup Operators、Power Users、Replicator这三个组也是为维护系统而设置的。他们的权限要比Administrator低。,帐户策略,帐户策略是控制以下三个重要帐户身份验证功能的规则:密码策略:该策略决定了密码的设置,如强制和生存期。帐户锁定策略:该策略决定了何时将帐户锁定在系统之外,以及锁定多久。Kerberos策略,本地策略,本地策略管理应用于各台计算机或各个用户的安全设置。本地策略部分可用于配置:审核策略 审核策略用于确定计算机的安全性事件日志中记录了
22、哪些安全事件(如成功的尝试、失败的尝试或两者都记录)。安全性日志是通过事件查看器MMC管理单元进行管理的。登录权限和特权 用户权限管理各个用户或组可以执行的操作的类型。在较早版本的Microsoft Windows NT中,它们被称为“特权”。登录权限和特权负责管理用户在目标系统上的权限。它们用于授权执行某些操作进行,如通过网络或本地登录,还用于执行管理性工作,如生成新的登录令牌。修改安全选项 这些选项用于管理计算机的各种基于注册表的安全设置,如数据的数字签名、管理员和来宾帐户名称、软盘驱动器和光盘访问、驱动程序安装以及登录尝试。默认情况下,本节所讨论的几种设置在文中描述的工具中不可见。要在用
23、户界面中查看并管理这些设置,管理员必须首先应用一个自定义模板,以修改界面中所显示的设置。,访问事件日志的设置及本地用户与组,访问事件日志的设置查看事件日志的当前设置以及允许编辑域和域控制器策略查看事件日志的当前设置以及允许独立工作站和服务器的编辑,访问事件日志的设置及本地用户与组,默认组帐户 默认Windows2000操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型如下:全局组、域本地组、通用组、本地组、系统组 更改帐户的主要组成员身份 为了进行一些必需的组成员身份更改,必须从特定组删除帐户。为了与其他网络协议(例如App
24、leTalk)兼容,帐户必须在域中有主要组分配。因此,当计算机加入域时,可能必须更改默认设置的帐户的主要组成员身份。如果尝试从“ActiveDirectory计算机和用户”GUI中的帐户主要组删除帐户,则操作将被拒绝。,访问事件日志的设置及本地用户与组,默认用户帐户 默认Windows2000操作系统安装中内置帐户包括Administrator、Guest和TsInternetUser。对这些内置用户帐户的必需更改,更改建议如下:检查/修改域的默认用户帐户本地检查/修改默认用户帐户,系统服务,要在域中所有或一组Windows2000平台上启用或禁用服务,需要设置域安全策略。对于域控制器上的设置
25、,使用域控制器安全策略界面。可以通过计算机管理界面、本地安全策略界面或应用使用secedit.exe的安全模板,设置单独Windows2000平台上的本地设置。1、在域计算机上禁用不需要的系统服务 2、本地禁用不需要的系统服务 3、最低系统服务 4、启用自动屏幕锁定保护 对于已评估的配置,应该启用密码保护的屏幕保护程序。这样可以使用户桌面因安全原因而锁定,方法是设置在已设置的非活动时间段后通过屏幕保护程序启动来自动屏幕锁定。一旦调用计算机屏幕锁定,只允许当前登录计算机的用户或经过授权的管理员来访问计算机。,确保文件系统的安全,Windows 2000包括使用随机访问控制列表(DACL)(有时都
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全 管理员
链接地址:https://www.31ppt.com/p-3999671.html