web安全技术

Web安全技术主要内容IP安全技术E-mail安全技术安全扫描技术网络安全管理技术身份认证技术VPN技术1.IP安全技术目前常见的安全威胁数据泄漏在网络上传输的明文信息被未授权的组织或个人所截获，造成信息泄漏。数据完整性的破坏确保信息的内容不会以任何方式被修改，保证信息到达目的地址时内容与源发地址时内容一致。身份伪装入侵者伪造合法用户的身份来登录系统，存取只有合法用户本人可存取的保密信息。拒绝服务由于攻击者攻击造成系统不能正常的提供应有的服务或系统崩溃。解决的方案：加密：防止Sniffer的侦听和篡改。验证：防止简单的身份伪装和拒绝服务攻击。为了实现IP网络的安全，IETF提出了一系列的协议，构成典型的安全体系——IPSec（IPSecurityProtocol）。在RFC中，RFC1825（Internet协议安全体系结构）、RFC1826（IP鉴别头：AH）、RFC1827（IP封装安全载荷：ESP）。IPSec安全体系结构安全体系结构封装安全载荷（ESP）验证头（AH）加密算法验证算法解释域（DOI）密钥管理策略安全体系结构包含了一般的概念、安全需求、定义和定义IPSec的技术机制。AH将每个数据包中的数据和一个变化的数字签名结合起来，共同验证发送方身份是的通信一方能确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。ESP提供了一种对IP负载进行加密的机制，对数据包上的数据另外进行加密。IKE一种协商协议，提供安全可靠的算法和密钥协商，帮助不同结点之间达成安全通信的协定，包括认证方法、加密方法、所有的密钥、密钥的使用期限等。IPSec的好处当在防火墙或路由器中实现IPSec时，IPSec提供了强大的安全性，能够应用到所有穿越边界的数据通信量上。防火墙内部的IPSec可以抵制旁路。IPSec在传输层一下，对于应用程序是透明的。IPSec可以对终端用户是透明的，操作简单。IPSec可以为单个用户提供安全性。AHESP（只加密）ESP（加密并鉴别）访问控制√√√无连接完整性√√数据源的鉴别√√拒绝重放的分组√√√机密性√√有限的通信量的机密性√√IPSec的服务2.E-mail安全技术垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。安全电子邮件技术利用SSLSMTP和SSLPOP利用VPN或其他的IP通道技术，将所有的TCP/IP传输封装起E-mail的安全隐患密码被窃取邮件内容被截获附件中带有大量病毒邮箱炸弹的攻击本身设计上的缺陷PGP（PrettyGoodPrivacy）使用单向散列算法对邮件内容进行签名，以此保证信件内容无法被篡改，使用公钥和私钥技术保证邮件内容保密已不可否认。特征：把RSA公钥体系的方便和传统加密体制高度结合，在数字签名和密钥认证管理机制上更巧妙地设计。密钥管理，采用公钥介绍机制来公布公钥信息，防止攻击者伪造公钥发布。功能使用的算法描述数字签名DSS/SHA或RSA/SHA使用SHA-1创建的报文的散列编码。采用DSS或RSA算法使用发送者的私有密钥对这个报文摘要进行加密，并且包含在报文中报文加密CAST或IDEA或3DES，带有Diffie-Hellman算法或RSA采用CAST-128或IDEA或3DES，使用发送者生成的一次性会话密钥对报文进行加密，采用Diffie-Hellman或RSA，使用接收方的公开密钥对会话密钥进行加密并包含在报文中压缩ZIP报文可以使用ZIP进行压缩，用于存储或传输电子邮件兼容性64基转换为了提供电子邮件应用的透明性，加密的报文可以使用64基转换算法转换成ASCII字符串分段－为了满足最大报文长度的限制，PGP完成报文的分段和重新装配PGP服务PGP的安全针对私钥的攻击对私钥数据的访问；对用于加密每个私钥的秘密通行短语（passphrase）的了解。针对公钥的攻击修改公钥中的签名，并且标记它为公钥中已经检查过的签名，使得系统不会再去检查它。针对PGP的使用过程，修改公钥中的有效位标志，使一个无效的密钥被误认为有效。PGP加密软件PGP加密软件最新版本是8.0.2，使用PGP8.0.2i可以简洁而高效地实现邮件或者文件的加密、数字签名。PGP8.0.2的安装界面如下图所示。下面的几步全面采用默认的安装设置，因为是第一次安装，所以在用户类型对话框中选择“No,IamaNewUser”。根据需要选择安装的组件，一般根据默认选项就可以了：“PGPdiskVolumeSecurity”的功能是提供磁盘文件系统的安全性；“PGPmailforMicrosoftOutlook/OutlookExpress”提供邮件的加密功能。如图所示。示例使用PGP产生密钥因为在用户类型对话框中选择了“新用户”，在计算机启动以后，自动提示建立PGP密钥，如图所示。点击按钮“下一步”，在用户信息对话框中输入相应的姓名和电子邮件地址，如图所示。在PGP密码输入框中输入8位以上的密码并确认，如图所示。然后PGP会自动产生PGP密钥，生成的密钥如图所示。使用PGP加密文件使用PGP可以加密本地文件，右击要加密的文件，选择PGP菜单项的菜单“Encrypt”，如图所示。系统自动出现对话框，让用户选择要使用的加密密钥，选中一个密钥，点击按钮“OK”，如图所示。目标文件被加密了，在当前目录下自动产生一个新的文件，如图所示。打开加密后的文件时，程序自动要求输入密码，输入建立该密钥时的密码。如图所示。使用PGP加密邮件PGP的主要功能是加密邮件，安装完毕后，PGP自动和Outlook或者OutlookExpress关联。和OutlookExpress关联如图所示。利用Outlook建立邮件，可以选择利用PGP进行加密和签名，如图所示。3.安全扫描技术基本原理采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为网络安全的整体水平产生重要的依据。基于主机的安全扫描基于网络的安全扫描系统安全扫描的工作原理安全隐患知识库检测方法库结果分析风险评估策略执行部件(FireWall)数据处理加工安全体系中其他功能系统安全决策中心系统安全风险评估报告安全隐患报告结果新知识安全策略调整扫描控制安全管理员基于主机的安全扫描针对操作系统的扫描检测，采用被动的，非破坏性的办法对系统进行检测。扫描工具安装在需扫描的主机上。基于网络的安全扫描采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃，利用一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。通过网络远程探测其他主机的安全风险漏洞，安装在整个网络环境中的某一台机器上。常见扫描工具Nessus扫描器Nmap工具X-ScanMicrosoft基准安全分析器(MBSA)4.网络安全管理技术基本概念是指对所有计算既往拉应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力的体系。技术安全管理方针管理制度和安全人员现代网络安全管理技术需要达到的目标：实现各类计算机安全技术、产品之间的协调和联动，实现有机化；充分发挥各类安全技术和产品的功能；真体安全能力大幅度提高；实现计算机安全手段与现有计算机网络应用系统的一体化。安全知识培训网络设备组件的加固与维护日常检测——漏洞/异常攻击事故报告应急事故恢复安全中心——风险分析制定/实施/维护安全策略基于角色的培训安全动态知识长期培训主机保护产品组件加固服务网络入侵检测产品漏洞扫描产品应急服务小组攻防实验室安全分析工程师安全知识数据库维护整体安全解决方案安全管理技术基于Web的管理基于CORBA的管理基于Java技术的管理面向智能Agent的开放式管理5.网络信息过虑技术信息阻塞IP地址阻塞URL阻塞信息定级6.身份认证技术原理身份认证是安全系统中的第一道关卡，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器，根据用户的身份和授权数据库决定是否能够访问某个资源。单机状态下的身份认证用户所知道的；用户所拥有的；用户所具有的；基于口令方式直接明文存储Hash散列存储口令基于智能卡的认证方式基于生物特征指纹识别技术虹膜识别技术网络环境下的身份认证一次性口令技术如：S/KEY。PPP中的认证协议密码验证协议PAP（PasswordAuthenticationProtocol）挑战－握手认证协议CHAP（Challenge－HandshakeAuthenticationProtocol）PPP扩展认证协议EAP（ExtensibleAuthenticationProtocol）S/KEY口令序列认证方案S/KEY口令序列认证方案的注册过程S/KEY口令序列认证方案S/KEY口令序列认证方案的安全性分析S/KEY口令序列认证方案的安全性有效抵御口令窃听、截取/重放等形式的攻击S/KEY口令序列认证方案的安全缺陷单向认证认证数据的明文形式传输S/KEY口令序列认证方案面临的攻击形式小数攻击协议破坏攻击7VPN技术含义VPN(VirtualPrivateNetwork)，虚拟专用网在公共网络中，通过隧道和/或加密技术进行PN(PrivateNetwork)业务的仿真VPN业务在公共网络中保证私有数据的安全性、专有性同时提供可管理性、扩展性和灵活性VPN的目的对于运营商利用现有网络设施，充分共享资源在现有网络上提供增值服务扩大其业务量对于客户将繁重的网络维护工作交由运营商管理比自建独立的小型网络更为便宜VPN客户端软件移动用户InternetVPN网关VPN网关终端终端局域网局域网VPN原理VPN的功能可以替换现有的专用网网段或子网。通过把特定应用分离出来满足相应需求，为专用网络提供有益的补充。不影响现有专用网的情况下，处理新应用。增加新位置，特别是国际性网站。VPN的分类按企业的组网方式可分为三大类：AccessVPN(远程访问VPN)IntranetVPN(企业内部VPN)ExtranetVPN(扩展的企业内部VPN)AccessVPNAccessVPN的优点减少费用，优化网络实现本地拨号介入的功能来取代远距离接入或800电话接入，能降低远距离通信费用极大的可扩展性，方便对加入网络的新用户进行调度节省劳动力IntranetVPNIntranetVPN的优点减少WAN带宽的费用能使用灵活的拓扑结构，包括全网孔连接新的站点能更快、更容易地被连接通过设备供应商WAN的连接冗余，可以延长网络的可用时间ExtranetVPNExtranetVPN的优点能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。VPN实现技术VPN实现技术隧道技术(Tunneling)加解密技术(Encryption&Decryption)QoS技术(QualityofService)隧道技术(Tunneling)IP包头负载新的IP包头新的负载终端发出的数据包：经过VPN网关处理后的数据包：在终端上显示的IP包传递通道：实际的IP包传递通道：终端网络一VPN网关InternetVPN网关终端网络二加解密技术(Encryption&Decryption)目前业界和市场上针对网络传输的加密技术产品分为两大类：逐链加密方式：针对链路层加密，市场上相关产品有X.25专线加密机、DDN数据加密机等。IPSec加密机制：运行在网络层，以传输方式和隧道方式进行配置，前者适用于两端点之间的IP层加密，后者适用于两个网关之间构成一条加密隧道，可以是非IP协议。QoS技术(QualityofService)带宽：网络提供给用户的传输率。反应时间：用户所能容忍的数