信息安全ppt课件

计算机科学导论,12-信息安全,信息安全,2,信息安全,信息安全基础,在信息时代，信息安全可理解为保障信息的机密性、完整性、可用性、真实性、可控性，防御和对抗在信息领域威胁国家政治、经济、文化等安全，而采取有效策略的过程。信息安全不仅关系信息自身的安全，更对国家安全具有重大战略价值。,3,信息安全基础,信息攻击形式复杂化主动攻击：对信息的修改、删除、伪造、添加、重放、冒充和病毒入侵等；被动攻击：对信息的侦听、截获、窃取、破译和业务流量分析、电磁信息提取等。新信息技术应用引发新信息安全风险信息安全管理问题信息安全人才的培养,信息安全面临的挑战,4,信息安全基础,技术层面的策略防火墙技术、审计技术、访问控制等管理层面的策略法律法规、准则、标准、组织结构、管理等资源层面的策略设备和技术资源理念层面的策略安全教育、安全意识,保障信息安全的策略,5,信息安全基础,机密性：保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。完整性：维护信息的一致性，即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。可用性：授权用户在需要时能不受其他因素的影响，方便地使用所需信息。可控性：信息在整个生命周期内都可由合法拥有者加以安全的控制。不可抵赖性：用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。,信息安全的目标,6,信息安全问题分析,物理安全风险设备因自然灾害、人为破坏、操作失误、干扰、破坏等所致的财产损失和数据损失。系统风险硬件、软件、网络和通信协议风险网络与应用风险内部操作不当、内部管理不严造成系统安全管理失控、来自外部的威胁和犯罪管理风险,信息安全基础,7,信息安全,密码技术,密码技术是信息安全技术中的核心技术，密码技术涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。,8,密码技术,密码技术的基本思想,密码技术的基本思想就是伪装信息，即对信息做一定的数学变换，使不知道密钥的用户不能解读其真实的含义。变换之前的原始数据称为明文（plaintext），变换之后的数据称为密文（ciphertext），变换的过程就叫做加密（encryption），而通过逆变换得到原始数据的过程就称为解密（decryption），解密需要的条件或者信息称为密钥（Key），通常情况下密钥就是一系列字符串。,9,一个密码系统由五部分组成：明文空间M：所有明文的集合；密文空间C：全体密文的集合；密钥空间K：全体密钥的集合，其中每一个密钥k均由加密密钥Ke和解密密钥Kd组成；加密算法E：一组以Ke为参数的由M到C的变换；解密算法D：一组以Kd为参数的由C到M的变换。,密码学基本概念,密码技术,10,密码技术,11,密码编制学是对消息进行编码以隐藏明文消息的一门学问。替代和置换是古典密码中常用的变换形式。替代密码构造密文字母表，然后用密文字母表中的字母或字母组来替代明文字母或字母组，各个字母或字母组的相对位置不变，但其本身改变了。包括：单表替代密码、多表替代密码和多字母替代密码。置换密码将明文中的字母重新排列，字母表示不变，但其位置改变了。,密码编制,密码技术,12,密码分析学就是研究密码破译的科学。如果能够根据密文系统确定出明文或密钥，或者能够根据明文密文对系统确定出密钥，则称这个密码系统是可破译的。穷举攻击统计分析攻击数学分析攻击,密码分析,密码技术,13,密码技术,对称密码体制：加密与解密使用相同密钥。优点：简单，加密效率高；缺点：管理的密钥多（n(n-1)个）；密钥的传递存在风险。,密码体制,14,密码技术,公钥（非对称）密码体制：公开的加密密钥和保密的解秘密钥。优点：密码分发简单；秘密保存的密钥减少（n对）；缺点：加密速度低。,密码体制,15,密码技术,签名表示签名者将对文件内容负责。数字签名是基于公钥密码体制的。消息发送者用自己的私钥对信息进行“解密”，并随消息一起发送。其他人不能伪造签名；发送者不能否认所发送的信息。,数字签名,16,密码技术,根据你所知道的信息来证明你的身份(whatyouknow，你知道什么)；根据你所拥有的东西来证明你的身份(whatyouhave，你有什么)；直接根据独一无二的身体特征来证明你的身份(whoyouare，你是谁)为了达到更高的身份认证安全性，会将上面3种挑选2种混合使用，即所谓的双因素认证。,身份认证,17,信息安全,网络安全,网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。,18,网络安全,防火墙（FireWall）是一种最重要的网络防护设备。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的入侵者访问你的网络。,防火墙,19,防火墙的设置,网络安全,20,是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄,防火墙的作用,缺点防火墙不能防病毒数据更新延迟防火墙滤波降低网络性能,网络安全,21,网络级防火墙（包过滤防火墙）应用级网关电路级网关规则检查防火墙,防火墙的基本类型,网络安全,22,入侵检测系统（IntrusionDetectionSystem，IDS）是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理，它的主要工作内容包括：监视并分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为、对异常行为进行统计，自动收集与系统相关的补丁，审计、识别、跟踪违反安全法规的行为，使用诱骗服务器记录黑客行为。主机型入侵检测系统网络型入侵检测系统,入侵检测系统,网络安全,23,从技术上，入侵检测分为两类，一种基于标志，另一种基于异常情况。从时间上，入侵检测可分为实时入侵检测和事后入侵检测两种。,入侵检测的类型,入侵检测过程信息收集信息分析结果处理,网络安全,24,入侵检测系统的功能,网络安全,25,改进分析技术增进对大流量网络的处理能力向高度可集成性发展,入侵检测技术的发展趋势,网络安全,26,访问控制（accesscontrol）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。主要功能：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。,访问控制,网络安全,27,访问控制策略主要有：自主访问控制（DiscretionaryAccessControl，DAC）强制访问控制（MandatoryAccessControl，MAC）基于角色访问控制（Role-BasedAccessControl，RBAC）。,访问控制策略,网络安全,28,任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。,容灾系统,网络安全,29,数据容灾异地建立一个本地关键应用数据的一个可用复制。数据备份数据复制应用容灾异地建立一套完整的与本地生产系统相当的备份应用系统（可以是互为备份）。,容灾系统的类别,网络安全,30,远程镜像技术快照技术互连技术,容灾备份系统相关技术,网络安全,31,虚拟专用网（VirtualPrivateNetwork,VPN）也称虚拟网，是指依靠服务提供商，在公用网络中建立专用的数据通信网络的技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众网络的长途数据线路；所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。,虚拟专用网,网络安全,32,实现网络安全简化网络设计降低成本容易扩展完全控制主动权支持新兴应用,虚拟网的作用,网络安全,33,隧道技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过隧道传输。隧道由隧道协议形成，分为第二、三层隧道协议。加解密技术密钥管理技术身份认证技术,虚拟网安全技术,网络安全,34,信息安全,计算机病毒与计算机犯罪,随着计算机应用的普及，日益严重的计算机病毒和计算机犯罪速度猛增，对计算机系统与应用的安全构成了严重的威胁。研究计算机病毒防治，防范计算机犯罪，对维护计算机的安全有着重要意义。,35,计算机病毒与计算机犯罪,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒具有传染性、潜伏性、寄生性、破坏性、隐蔽性等特性。,计算机病毒,36,不使用来历不明的程序或软件；在使用移动存储设备之前应先杀毒安装防火墙，防止网络上的病毒入侵安装最新的杀毒软件，并定期升级，实时监控；养成良好的电脑使用习惯，定期优化、整理磁盘，养成定期全面杀毒的习惯；对于重要的数据信息要经常备份，以便在机器遭到破坏后能及时得到恢复；在使用系统盘时，应对软盘进行写保护操作。,计算机病毒的预防,计算机病毒与计算机犯罪,37,所谓计算机犯罪，就是在信息活动领域中，利用计算机信息系统或计算机信息知识作为手段，或者针对计算机信息系统，对国家、团体或个人造成危害，依据法律规定，应当追究刑事责任的行为。,计算机犯罪,计算机病毒与计算机犯罪,（1）以计算机为犯罪对象的犯罪。（2）以计算机作为攻击主体的犯罪。（3）以计算机作为犯罪工具的传统犯罪。,