信息安全技术基础1.ppt

第八章信息安全技术基础 8 1信息安全概述 8 1信息安全问题概述8 2信息安全技术8 2 1加密与认证技术8 2 2防火墙技术8 2 3网络防攻击与入侵检测技术8 2 4文件备份与恢复技术8 2 5计算机病毒防范技术8 3网络道德及信息安全法规8 3 1网络道德8 3 2信息安全法规 2020 2 14 计算机基础知识 2 8 1 1面临的安全威胁8 1 2信息安全的特征8 1 3信息安全的内容8 1 4信息安全的机制 网络安全的背景 3 在我们的生活中 经常可以听到下面的报道 XX网站受到黑客攻击XX计算机系统受到攻击 造成客户数据丢失目前又出现XX计算机病毒 已扩散到各大洲 计算机网络在带给我们便利的同时已经体现出了它的脆弱性 8 1信息安全概述 8 1 1面临的安全威胁现代信息系统及网络通信系统面临的安全威胁截获中断篡改伪造 2020 2 14 计算机基础知识 4 截获 5 总部 下属机构 黑客 信息泄密信息被篡改 Internet 截获是指一个非授权方介入系统 使得信息在传输过程中泄露或被窃听 它破坏了信息的保密性 非授权方可以是一个人 也可以是一个程序 截获攻击主要包括 利用电磁泄露或搭线窃听等方式可截获机密信息 通过对信息流向 流量 通信频度和长度等参数的分析 推测出有用信息 如用户口令 账号等 文件或程序的不正当复制 中断 中断是使正在使用的信息系统毁坏或不能使用 即破坏了信息的可用性 中断攻击主要包括 使合法用户不能访问网络的资源 使有严格时间要求的服务不能及时得到响应 物理破坏网络系统和设备组件使网络不可用 或者破坏网络结构使之瘫痪等 例如 硬盘等硬件的破坏 通信线路的切断 文件管理系统的瘫痪等 篡改 篡改是以非法手段窃得对信息的管理权 通过未授权的创建 修改 删除和重放等操作 使信息的完整性受到破坏 篡改攻击主要包括 改变数据文件 如修改信件内容等 改变程序 使之不能正确运行 伪造 非授权方将伪造的信息插入到信息中 破坏信息的真实性 例如 在网络中插入假信件 或者在文件中追加记录等 网络安全面临的威胁 9 物理风险 系统风险 信息风险 应用风险 其它风险 网络的风险 管理风险 设备防盗 防毁链路老化人为破坏网络设备自身故障停电导致无法工作机房电磁辐射其他 信息存储安全信息传输安全信息访问安全其他 身份鉴别访问授权机密性完整性不可否认性可用性 计算机病毒外部攻击内部破坏其他风险软件弱点 是否存在管理方面的风险需有无制定相应的安全制度 安全拓扑安全路由 Internet 8 1信息安全概述 8 1 2信息安全的特征可用性机密性真实性完整性可控性抗可否认性可存活性 2020 2 14 计算机基础知识 10 8 1信息安全概述 8 1 3信息安全的内容实体安全运行安全数据安全管理安全一 实体安全问题 环境安全 信息设备大多属易碎品 不能受重压或强烈的震动 更不能受强力冲击 各种自然灾害 如地震 风暴等 对设备安全构成了严重的威胁 设备安全 主要包括 设备的机能失常 电源故障和电磁泄漏 媒体安全 主要是搭线窃听和电磁泄漏 实体安全策略 2020 2 14 计算机基础知识 11 8 1信息安全概述 实体安全策略实体安全策略的目的是保护计算机系统 网络服务器等硬件实体和通信线路免受自然灾害 人为破坏和搭线攻击 抑制和防止电磁泄漏 建立完备的安全管理制度 二 系统运行安全问题 操作系统安全 问题主要有 未进行系统相关安全配置 软件的漏洞和 后门 协议的安全漏洞 应用系统安全 涉及资源共享 电子邮件系统 病毒侵害等很多方面 2020 2 14 计算机基础知识 12 8 1信息安全概述 系统运行安全策略运行安全策略主要涉及 访问控制策略 防黑客的恶意攻击 隔离控制策略 入侵检测和病毒防护 三 数据安全 数据安全需求 就是保证数据的真实性 机密性 完整性和抗否认性 数据安全策略 最主要的数据安全策略就是采用数据加密技术 数字签名技术和身份认证技术 2020 2 14 计算机基础知识 13 8 1信息安全概述 四 管理安全 安全管理问题 安全和管理是分不开的 即便有好的安全设备和系统 也应该有好的安全管理方法并贯彻实施 管理的缺陷可能造成系统内部人员泄露机密 也可能造成外部人员通过非法手段截获而导致机密信息的泄漏 安全管理策略 确定安全管理等级和安全管理范围 制定有关操作使用规程和人员出入机房管理制度 制定网络系统的维护制度和应急措施等 2020 2 14 计算机基础知识 14 8 1信息安全概述 8 1 4信息安全的机制身份确认机制 收发信息者身份确认 访问控制机制 合法用户进行访问控制管理 数据加密机制 数据加密处理 病毒防范机制 增加防范病毒软件 信息监控机制 防止泄密 安全网关机制 防火墙 安全审计机制 定期检查 2020 2 14 计算机基础知识 15 8 2信息安全技术 8 2 1加密与认证技术对称密钥密码体系非对称密钥密码体系身份认证数字签名技术 2020 2 14 计算机基础知识 16 17 数据加密的概念 数据加密模型 密文 加密密钥 信息窃取者 解密密钥 加密算法 解密算法 18 数据加密的概念 数据加密技术的概念 数据加密 Encryption 是指将明文信息 Plaintext 采取数学方法进行函数转换成密文 Ciphertext 只有特定接受方才能将其解密 Decryption 还原成明文的过程 明文 Plaintext 加密前的原始信息 密文 Ciphertext 明文被加密后的信息 密钥 Key 控制加密算法和解密算法得以实现的关键信息 分为加密密钥和解密密钥 加密 Encryption 将明文通过数学算法转换成密文的过程 解密 Decryption 将密文还原成明文的过程 19 数据加密技术原理 对称密钥加密 保密密钥法 加密算法 解密算法 密钥 网络信道 明文 明文 密文 两者相等 20 数据加密技术原理 非对称密钥加密 公开密钥加密 加密算法 解密算法 公开密钥 网络信道 明文 明文 密文 私有密钥 公钥 私钥 公钥 私钥 不可相互推导 不相等 21 数据加密技术原理 混合加密系统 对称密钥加密算法 对称密钥解密算法 对称密钥 网络信道 明文 明文 密文 混合加密系统既能够安全地交换对称密钥 又能够克服非对称加密算法效率低的缺陷 非对称密钥加密算法 非对称密钥解密算法 对称密钥 公开密钥 私有密钥 混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合 22 身份鉴别技术 IsthatAlice Hi thisisAlice Pleasesendmedata Internet 身份鉴别技术的提出 在开放的网络环境中 服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份 23 身份鉴别技术 常用的身份鉴别技术 基于用户名和密码的身份鉴别基于对称密钥密码体制的身份鉴别技术基于KDC 密钥分配中心 的身份鉴别技术基于非对称密钥密码体制的身份鉴别技术基于证书的身份鉴别技术 24 身份鉴别技术 Yes Ihaveausernamed Alice whosepasswordis byebye Icansendhimdata Hi thisisAlice MyUserIdis Alice mypasswordis byebye Pleasesendmedata Internet 基于用户名和密码的身份鉴别 25 身份鉴别技术 ThisisBob AreyouAlice Hi thisisAlice AreyouBob Internet 基于对称密钥体制的身份鉴别 A 在这种技术中 鉴别双方共享一个对称密钥KAB 该对称密钥在鉴别之前已经协商好 不通过网络 RB KAB RB RA KAB RA Alice Bob 26 身份鉴别技术 ThisisBob AreyouAlice Hi thisisAlice AreyouBob Internet 基于KDC的身份鉴别技术 A KA B KS 基于KDC KeyDistributionCenter 密钥分配中心 的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难 在这种技术中 参与鉴别的实体只与KDC共享一个对称密钥 鉴别通过KDC来完成 KB A KS Alice Bob KDC 27 身份鉴别技术 基于非对称密钥体制的身份鉴别 在这种技术中 双方均用对方的公开密钥进行加密和传输 ThisisBob AreyouAlice Hi thisisAlice AreyouBob Internet EPKB A RA EPKA RA RB KS KS RB Alice Bob 28 身份鉴别技术 基于证书的身份鉴别技术 为解决非对称密钥身份鉴别技术中存在的 公开密钥真实性 的问题 可采用证书对实体的公开密钥的真实性进行保证 ThisisBob AreyouAlice Hi thisisAlice AreyouBob Internet PKB A KS CA PKA B KS Alice Bob 29 数据加密技术原理 数字签名 数字签名 digitalsignature 技术通过某种加密算法 在一条地址消息的尾部添加一个字符串 而收信人可以根据这个字符串验明发信人的身份 并可进行数据完整性检查 30 数据加密技术原理 数字签名的工作原理 非对称加密算法 非对称解密算法 Alice的私有密钥 网络信道 合同 Alice的公开密钥 哈希算法 标记 标记 2 合同 哈希算法 比较 标记 1 如果两标记相同 则符合上述确认要求 Alice Bob 31 数据加密技术原理 数字签名的作用 唯一地确定签名人的身份 对签名后信件的内容是否又发生变化进行验证 发信人无法对信件的内容进行抵赖 当我们对签名人同公开密钥的对应关系产生疑问时 我们需要第三方颁证机构 CA CertificateAuthorities 的帮助 8 2信息安全技术 8 2 2防火墙技术一 防火墙的主要功能 检查所有从外部网络进入内部网络的数据包 检查所有从内部网络流出到外部网络的数据包 执行安全策略 限制所有不符合安全策略要求的数据包通过 具有防攻击能力 保证自身的安全性 二 防火墙的基本准则一切未被允许的就是禁止的一切未被禁止的就是允许的 2020 2 14 计算机基础知识 32 网络防火墙的基本概念 33 防火墙是一种高级访问控制设备 是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合 是不同网络安全域间通信流的通道 能根据企业有关安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 它是网络的第一道防线 也是当前防止网络系统被人恶意破坏的一个主要网络安全设备 它本质上是一种保护装置 在两个网之间构筑了一个保护层 所有进出此保护网的传播信息都必须经过此保护层 并在此接受检查和连接 只有授权的通信才允许通过 从而使被保护网和外部网在一定意义下隔离 防止非法入侵和破坏行为 图1网络拓扑图 8 2信息安全技术 三 防火墙的位置 2020 2 14 计算机基础知识 34 防火墙的主要技术 应用层代理技术 ApplicationProxy 包过滤技术 PacketFiltering 状态包过滤技术 StatefulPacketFiltering 35 防火墙的主要技术种类 包过滤技术 36 包过滤技术的基本概念包过滤技术指在网络中适当的位置对数据包有选择的通过 选择的依据是系统内设置的过滤规则 只有满足过滤规则的数据包才被转发到相应的网络接口 其余数据包则从数据流中删除 包过滤一般由屏蔽路由器来完成 屏蔽路由器也称过滤路由器 是一种可以根据过滤规则对数据包进行阻塞和转发的路由器 包过滤技术 包过滤技术是防火墙最常用的技术 对一个充满危险的网络 这种方法可以阻塞某些主机或网络连入内部网络 也可以限制内部人员对一些危险和色情站点的访问 37 图4包过滤技术概念 状态包检测技术 38 状态包检测技术是包过滤技术的延伸 常被称为 动态包过滤 是一种与包过滤相类似但更为有效的安全控制方法 对新建的应用连接 状态检测检查预先设置的安全规则 允许符合规则的连接通过 并在内存中记录下该连接的相关信息 生成状态表 对该连接的后续数据包 只要符合状态表 就可以通过 适合网络流量大的环境 8 2信息安全技术 四 应用级网关应用级网关也叫代理服务器 隔离风险网络与内部网络之间的直接联系 内外不能直接交换数据 数据交换由代理服务器 代理 完成 代理服务器像一堵真正的墙一样阻挡在内部用户和外界之间 从外面只能看到代理服务器而看不到内部资源 从而有效地保护内部网不受侵害 2020 2 14 计算机基础知识 39 防火墙的功能 40 利用防火墙保护内部网主要有以下几个主要功能 控制对网点的访问和封锁网点信息的泄露防火墙可看作检查点 所有进出的信息都必须穿过它 为网络安全起把关作用 有效地阻挡外来的攻击 对进出的数据进行监视 只允许授权的通信通过 保护网络中脆弱的服务 能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播 防火墙可隔离网络的一个网段和另一个网段 从而限制了局部网络安全问题对整个网络的影响 具有审计作用防火墙能有效地记录Internet网的活动 因为所有传输的信息都必须穿过防火墙 防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图 能强制安全策略Internt网上的许多服务是不安全的 防火墙是这些服务的 交通警察 它执行站点的安全策略 仅仅允许 认可 和符合规则的服务通过 此外 防火墙还具有其他一些优点 如 监视网络的安全并产生报警 保密性好 强化私有权 提供加密和解密及便于网络实施密钥管理的能力 41 防火墙的不足 42 虽然网络防火墙在网络安全中起着不可替代的作用 但它不是万能的 有其自身的弱点 主要表现在 防火墙不能防备病毒虽然防火墙扫描所有通过的信息 但扫描多半是针对源与目标地址以及端口号 而并非数据细节 有太多类型的病毒和太多种方法可使病毒在数据中隐藏 防火墙在病毒的防范上是不适用的 防火墙对不通过它的连接无能为力虽然防火墙能有效的控制所有通过它的信息 但对从网络后门及调制解调器拨人的访问则无能为力 防火墙不能防备内部人员的攻击目前防火墙只提供对外部网络用户攻击的防护 对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性 所以 如果入侵者来自防火墙的内部 防火墙则无能为力 限制有用的网络服务防火墙为了提高被保护网络的安全性 限制或关闭了很多有用但存在安全缺陷的网络服务 由于多数网络服务在设计之初根本没有考虑安全性 所以都存在安全问题 防火墙限制这些网络服务等于从一个极端走向了另一个极端 43 防火墙不能防备新的网络安全问题防火墙是一种被动式的防护手段 只能对现在已知的网络威胁起作用 随着网络攻击手段的不断更新和新的网络应用的出现 不可能靠一次性的防火墙设置来解决永远的网络安全问题 44 8 2信息安全技术 8 2 3网络防攻击与入侵检测技术入侵检测的功能 监控 分析用户和系统的行为 检查系统的配置和漏洞 评估重要的系统和数据文件的完整性 对异常行为的统计分析 识别攻击类型 并向网络管理人员报警 对操作系统进行审计 跟踪管理 识别违反授权的用户活动 入侵检测的基本方法 异常检测误用检测系统 2020 2 14 计算机基础知识 45 8 2信息安全技术 8 2 4文件备份与恢复技术文件备份与恢复的重要性数据可以进行归档与备份归档是指在一种特殊介质上进行永久性存储 归档的数据可能包括文件服务器不再需要的数据 但是由于某种原因需要保存若干年 一般是将这些数据存放在一个非常安全的地方 数据备份是一项基本的系统维护工作 数据备份简介 2020 2 14 计算机基础知识 46 8 2信息安全技术 8 2 5计算机病毒防范技术1 计算机病毒的定义计算机病毒是一些人蓄意编制的一种具有寄生性的计算机程序 能在计算机系统中生存 通过自我复制来传播 在一定条件下被激活从而给计算机系统造成一定损害甚至严重破坏 这种有破坏性的程序被人们形象地称为 计算机病毒 2020 2 14 计算机基础知识 47 8 2信息安全技术 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机作用 并能自我复制的一组计算机指令或者程序代码 中华人民共和国计算机信息系统安全保护条例 2 计算机病毒的特性破坏性潜伏性传染性 2020 2 14 计算机基础知识 48 8 2信息安全技术 3 计算机病毒的新特点种类 数量激增传播途径更多 传播速度更快电子邮件成为主要传播媒介造成的破坏日益严重附 当前计算机病毒传播途径浏览小网站邮件下载游戏U盘盗版光盘 2020 2 14 计算机基础知识 49 8 2信息安全技术 4 计算机病毒防范措施计算机病毒检查文件大小和日期突然变化文件莫名其妙丢失系统运行速度异常慢有特殊文件自动生成用软件检查内存时 发现有不该驻留的程序磁盘空间自动产生坏区或磁盘空间减少系统启动速度突然变得很慢或系统异常死机次数增多计算机屏幕出现异常提示信息 异常滚动 异常图形显示打印机等外部设备不能正常工作 2020 2 14 计算机基础知识 50 8 2信息安全技术 4 计算机病毒防范措施计算机病毒防范计算机病毒尽管危害很大 但用户若能采取良好的防范措施 完全可以使系统避免遭受严重的破坏 安装防病毒软件 并及时升级 如果移动存储设备 例如 优盘 在其他计算机上使用过 在自己的计算机上使用前先查毒 不使用盗版光盘 从局域网上其他计算机复制到本地计算机的文件 从互联网下载的文件 先查毒再使用 2020 2 14 计算机基础知识 51 8 2信息安全技术 接收到不明来历的电子邮件 具有诱惑性标题时 不要打开 并删除邮件 接收到电子邮件的附件 查毒后再使用 经常备份重要的文件和数据 制作干净的系统盘 急救盘 如果发现计算机感染了病毒 杀毒后应立即重新启动计算机 并再