第四部分-网络应用与信息安全

网络应用•配置IP地址•文件共享•打印机共享•网络打印机配置IP地址配置IP地址•依次单击“开始”→“设置”→“控制面板”→“网络连接”•打开TCP/IP属性：右击“本地连接”，选择“属性”，打开所示“本地连接属性”对话框。在“本地连接属性”对话框中选择“Internet协议（TCP/IP）”，点击“属性”按钮，打开“Internet协议（TCP/IP）属性”对话框文件共享•网络中的每个用户都可以设置自己的共享资源，并可以访问网络中其他用户的共享资源。•每个用户都可以设置并管理自己计算机上的共享资源，并可根据需要增加或删除共享打印机共享添加网络打印机添加网络打印机添加网络打印机第四部分网络应用与信息安全1.网络应用2.Windows中的组策略3.信息保密与安全4.虚拟专网VPN5.网络攻击与防范6.网关级防病毒7.企业级防火墙8.ISA9.漏洞扫描2.Windows中的组策略•什么是组策略•组策略的用途•组策略的配置什么是组策略•注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂•而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的•其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大组策略的版本•一种为Windows2000/XP/2003系统默认安装的“组策略管理控制台”，只要点击“开始→运行”命令，输入“gpedit.msc”并回车即可打开组策略（注意：Home版无组策略）•一种就是Windows98的“系统策略编辑器”，默认没有安装，只有在Win98安装盘上的\tools\reskit\netadmin\poledit目录下，双击poledit.exe文件才可以直接运行“系统策略编辑器”第四部分网络应用与信息安全1.网络应用2.Windows中的组策略3.信息保密与安全4.虚拟专网VPN5.网络攻击与防范6.网关级防病毒7.企业级防火墙8.ISA9.漏洞扫描3.信息保密与安全•传统密码学：如凯撒密码•现代密码学：•加密方式1）私钥密码：DES、IDEA2）公钥密码：RSA、DSA•信息完整性保护：MD5、SHA-1•数字签名•网络安全密码学基本知识•明文：加密前的原始信息•密文：加密后的信息•加密：将明文进行数据变换形成密文的过程•解密：将密文进行数据变换恢复成明文的过程•密钥：控制加密和解密运算的符号序列•密码系统要求：使用方便，而且系统的保密不依赖于对加密算法和脱密算法的保密，而只依赖于密钥的保密。因此，当密文和对应的明文被非法截取后，仍不容易确定解密变换。其次，从截取的密文中极难确定其对应的明文凯撒密码•凯撒密码是每一字母向前推移K位•例如，K=5便有如下的明文与密文的对应关系。明文：abcde密文：FGHIJ•若令26个字母分别对应于0～25，如下：abc……xyz012……232425则凯撒密码加密交换为C=m+kmod26其中m是明文，C为对应的密文序列。k为加密用的移位数，也称为密钥。mod为模。现代密码学•类似于凯撒密码这样的早期密码学术还有很多，我们称为传统密码学，其最大的特点就是加密体制非常简单，没有将数学真正应用到密码学中•到了近现代，对密码的使用和破解已经非常频繁，甚至出现了专门的密码机•1942年，美国从破译日本海军密报中，获悉日军对中途岛地区的作战意图和兵力部署，从而能以劣势兵力击破日本海军的主力，扭转了太平洋地区的战局，最终赢得了二次世界大战的胜利，这也从反面说明了密码学在社会发展中正扮演着越来越重要的角色网络领域的密码学•密码技术在计算机网络领域的应用已经相当广泛了，主要体现在以下四个方面：–数据保密–身份认证–信息完整性保护–数字签名和抗抵赖数据保密•在数据的传输过程中，为了保证数据的隐秘性，加密是非常必要的，目前的加密技术按使用的密钥体制不同可以分为：–私钥密码体制：对称加密–公钥密码体制：非对称加密–混合密码体制私钥密码体制•私钥密码体制又可以称为对称加密体制，是一种使用比较广泛的普通加密体制•该体制最大的特点就是加密和解密使用相同的密钥。密钥在加密过程中起到非常重要的作用，它就好比保险柜的密码，只要拥有密码的人都可以打开保险柜。由于使用的是相同的密钥，所以加密的速度非常快，实现比较容易•现在以私钥密码体制为原理的加密算法有很多，比较著名的有：DES（数据加密标准）、IDEA（国际数据加密算法）DES加密算法•DataEncryptionStandard(数据加密标准)•美国商务部标准局为了能在政府部门进行信息处理的同时保护电子计算机信息的安全，自1971年开始研究密码的标准化，并于1973年开始征集密码方案•IBM公司研制并提出的方案，1977年作为DES公开发表，成为美国的标准加密方式DES加密算法•随后既在国际上广泛流传开来，这个算法因为包含一些机密设计元素，相关的短密钥长度以及被怀疑内含国家安全局（NSA）的后门而在开始是有争议的•DES现在已经不视为一种安全的加密算法，因为它使用的56位秘钥过短•穷举法几天就可以解密•以现代计算能力，24小时内即可能被破解。也有一些分析报告提出了该算法的理论上的弱点，虽然实际情况未必出现。该标准在最近已经被高级加密标准（AES）所取代国际数据加密算法(IDEA)•国际数据加密算法(IDEA)是瑞士的著名学者在1990年正式公布并在以后，这种算法是在DES算法的基础上发展出来的，类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点，已经过时。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的•类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥•由于IDEA是在美国之外提出并发展起来的，避开了美国法律上对加密技术的诸多限制，因此，有关IDEA算法和实现技术的书籍都可以自由出版和交流，可极大地促进IDEA的发展和完善公钥密码体制•公钥密码体制的基本原理是在加密和解密的过程中使用不同的密钥，加密密钥（公钥）可以由解密密钥（私钥）根据算法得出，算法是公开的，但由加密密钥根据算法推知解密密钥的计算是不可行的•公钥密码体制可看成银行的储蓄账号，任何人都可以很公开地往账号里存钱，但不可以随意从账号里取钱•与私钥密码体制相比，公钥密码体制具有以下一些优点：–密钥分配安全，可以公开分配。例如：某人可以将自己的公钥公布在网上，方便其他人使用进行加密。–密钥数量明显要少于私钥密码体制，大家可以共享同一个公钥–可以用来签名和抗抵赖。•采用公钥密码体制的算法有：RSA、DSA等RSA加密算法•RSA加密算法是一种非对称加密演算法，第一个能同时用于加密和数字签名的算法，也易于理解和操作•在公钥加密标准和电子商业中RSA被广泛使用。RSA是1977年由：–罗纳德·李维斯特（RonRivest）–阿迪·萨莫尔（AdiShamir）–伦纳德·阿德曼（LeonardAdleman）一起提出的，当时他们三人都在麻省理工学院工作，RSA就是他们三人姓氏开头字母拼在一起组成的信息完整性保护•在数据传输过程当中，怎样保证不被篡改，是至关重要的•典型的散列函数有：MD5、SHA-1等MD5•MD5(Message-DigestAlgorithm5信息-摘要算法5)，用于确保信息传输完整一致，是计算机广泛使用的哈希算法之一•将数据（如汉字）运算为另一固定长度值是杂凑算法的基础原理，MD5的前身有MD2、MD3和MD4。MD5的破解•2004年8月17日的美国加州国际密码学会议上，来自中国山东大学的王小云教授做了破译MD5、HAVAL-128、MD4和RIPEMD算法的报告，公布了MD系列算法的破解结果，宣告了固若金汤的世界通行密码标准MD5的堡垒轰然倒塌，引发了密码学界的轩然大波。•令世界顶尖密码学家想象不到的是，破解MD5之后，2005年2月，王小云教授又破解了另一国际密码SHA-1，因为SHA－1在美国等国际社会有更加广泛的应用，密码被破的消息一出，在国际社会的反响可谓石破天惊。换句话说，王小云的研究成果表明了从理论上讲电子签名可以伪造，必须及时添加限制条件，或者重新选用更为安全的密码标准，以保证电子商务的安全。身份认证Kerberos•Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议，并发布的一套免费软件•它的设计主要针对客户-服务器模型，并提供了一系列交互认证-用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击•Kerberos协议基于对称密码学，并需要一个值得信赖的第三方。Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持数字签名DigitalSignature•数字签名是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证数字签名DigitalSignature数字签名DigitalSignatureIE中的数字签名数字签名DigitalSignature•数字签名技术是不对称加密算法的典型应用，其应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性•数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证第四部分网络应用与信息安全1.网络应用2.Windows中的组策略3.信息保密与安全4.虚拟专网VPN5.网络攻击与防范6.网关级防病毒7.企业级防火墙8.ISA9.漏洞扫描4.虚拟专网VPN•VPN(VirtualPrivateNetwork)即：虚拟专用网络，顾名思义，虚拟专网可以把它理解成是虚拟出来的企业内部专线•它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路•这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专网VPN•虚拟专网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道虚拟专网VPN协议•IPSec:IPsec(缩写IPSecurity)是保护IP协议安全通信的标准，它主要对IP协议分组进行加•PPTP:PointtoPointTunnelingProtocol--点到点隧道协议•L2F:Layer2Forwarding第二层转发协议•L2TP:Layer2TunnelingProtocol第二层隧道协议•GRE：VPN的第三层隧道协议第四部分网络应用与信息安全1.网络应用2.Windows中的组策略3.信息保密与安全4.虚拟专网VPN5.网络攻击与防范6.网关级防病毒7.企业级防火墙