Web安全技术

√
机密性
√
√
有限的通信量的
√
√
机密性
2. E-mail安全技术
垃圾邮件 包括广告邮件、骚扰邮件、连锁邮件、反动 邮件等。
安全电子邮件技术
❖利用SSL SMTP和SSL POP ❖利用VPN或其他的IP通道技术，将所有的TCP/IP
传输封装起
E-mail的安全隐患
❖密码被窃取 ❖邮件内容被截获 ❖附件中带有大量病毒 ❖邮箱炸弹的攻击 ❖本身设计上的缺陷
扫描工具安装在需扫描的主机上。
基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可 能被攻击崩溃，利用一系列的脚本模拟对系统进行 攻击的行为，然后对结果进行分析。
通过网络远程探测其他主机的安全风险漏洞，安装 在整个网络环境中的某一台机器上。
4.网络安全管理技术
基本概念 是指对所有计算既往拉应用体系中各个方面 的安全技术和产品进行统一的管理和协调， 进而从整体上提高整个计算机网络的防御入 侵、抵抗攻击的能力的体系。
在RFC中，RFC1825（Internet协议安全体系 结构）、RFC1826（IP鉴别头：AH）、 RFC1827（IP封装安全载荷：ESP）。
IPSec安全体系结构 安全体系结构
封装安全载荷（ESP）
验证头（AH）
加密算法
验证算法
解释域（DOI）
密钥管理
策略
❖ 安全体系结构 包含了一般的概念、安全需求、定义和定义IPSec的技术机 制。
PGP（Pretty Good Privacy）
使用单向单列算法对邮件内容进行签名，以 此保证信件内容无法被篡改，使用公钥和私 钥技术保证邮件内容保密已不可否认。
特征：
❖把RSA公钥体系的方便和传统加密体制高度结合， 在数字签名和密钥认证管理机制上更巧妙地设计。
❖密钥管理，采用公钥介绍机制来公布公钥信息， 防止攻击者伪造公钥发布。
❖ AH 将每个数据包中的数据和一个变化的数字签名 结合起来，共 同验证发送方身份是的通信一方能确认发送数据的另一方的 身份，并能够确认数据在传输过程中没有被篡改，防止受到 第三方的攻击。
❖ ESP 提供了一种对IP负载进行加密的机制，对数据包上的数据另 外进行加密。
❖ IKE 一种协商协议，提供安全可靠的算法和密钥协商，帮助不同 结点之间达成安全通信的协定，包括认证方法、加密方法、 所有的密钥、密钥的使用期限等。
一个IP安全性的方案
IP首部
IPSec首 部
安全IP有效 载荷
实现IPSec的用户系统
公开或专用网络
安效全载IP荷有
效载 I荷P有
首IP部Sec 安全
I首PS部ec
IP首
部
IP首 部
IP首部 IP有效载荷
实现IPSec 的联网设备
实现IPSec的 联网设备
IP首部 IP有效载荷
IPSec的好处
❖当在防火墙或路由器中实现IPSec时，IPSec提供 了强大的安全性，能够应用到所有穿越边界的数 据通信量上。
PGP服务
功能
数字签名 报文加密
压缩
使用的算法
DSS/SHA或 RSA/SHA
CAST或IDEA 或3DES，带有 Diffie-Hellman 算法或RSA ZIP
描述
使用SHA-1创建的报文的散列编码。采用 DSS或RSA算法使用发送者的私有密钥对这 个报文摘要进行加密，并且包含在报文中
采用CAST-128或IDEA或3DES，使用发送 者生成的一次性会话密钥对报文进行加密， 采用Diffie-Hellman或RSA，使用接收方的公 开密钥对会话密钥进行加密并包含在报文中
❖防火墙内部的IPSec可以抵制旁路。 ❖IPSec在传输层一下，对于应用程序是透明的。 ❖IPSec可以对终端用户是透明的，操作简单。 ❖IPSec可以为单个用户提供安全性。
IPSec的服务
AH ESP（只加密） ESP（加密并鉴别）
访问控制
√√
√
无连接完整性 √
√
数据源的鉴别 √
√
拒绝重放的分组 √ √
❖针对公钥的攻击
修改公钥中的签名，并且标记它为公钥中已经检查过 的签名，使得系统不会再去检查它。
针对PGP的使用过程，修改公钥中的有效位标志，使 一个无效的密钥被误认为有效。
3.安全扫描技术
基本原理 采用模拟黑客攻击的形式对目标可能存在的 已知的安全漏洞进行逐项检查，然后根据扫 描结果向系统管理员提供周密可靠的安全性 分析报告，为网络安全的整体水平产生重要 的依据。
报文可以使用ZIP进行压缩，用于存储或传 输
电子邮件兼 64基转换 容性
分段
－
为了提供电子邮件应用的透明性，加密的报 文可以使用64基转换算法转换成ASCII字符 串
为了满足最大报文长度的限制，PGP完成报 文的分段和重新装配
PGP的安全
❖针对私钥的攻击
对私钥数据的访问；
对用于加密每个私钥的秘密通行短语（passphrase） 的了解。
主要内容
IP安全技术 E-mail安全技术 安全扫描技术 网络安全管理技术 身份认证技术 VPN技术
1. IP安全技术
目前常见的安全威胁
❖数据泄漏 在网络上传输的明文信息被未授权的组织或个人所截获， 造成信息泄漏。
❖数据完整性的破坏 确保信息的内容不会以任何方式被修改，保证信息到达
目的地址时内容与源发地址时内容一致。 ❖身份伪装
❖基于主机的安全扫描 ❖基于网络的安全扫描
系统安全扫描的工作原理
策略执行 部件
(FireWall)
数据处理 加工
安全策 略调整
系统安全 决策中心
安全体系中 其他功能
安全隐患报告
扫描控制
Байду номын сангаас
结果
结果分析 风险评估
新知识
检测 方法库
安全 隐患 知识库
安全 管理员
系统安全风险 评估报告
基于主机的安全扫描 针对操作系统的扫描检测，采用被动的，非破坏性 的办法对系统进行检测。
入侵者伪造合法用户的身份来登录系统，存取只有合法 用户本人可存取的保密信息。 ❖拒绝服务
由于攻击者攻击造成系统不能正常的提供应有的服务或 系统崩溃。
解决的方案：
加密：防止Sniffer的侦听和篡改。
验证：防止简单的身份伪装和拒绝服务攻击。
为了实现IP网络的安全，IETF提出了一系列的 协议，构成典型的安全体系——IPSec （IPSecurity Protocol）。
❖技术 ❖安全管理方针 ❖管理制度和安全人员
现代网络安全管理技术
需要达到的目标：
❖实现各类计算机安全技术、产品之间的协调和联 动，实现有机化；