计算机安全技术-信息系统实体安全及运行安全ppt课件.ppt

PowerPoint幻灯片 计算机信息系统安全技术之一 目录 1 第一章计算机信息系统实体安全第一节实体安全的基本概念第二节环境安全第三节设备安全第四节媒体安全2 第二章计算机信息系统运行安全第一节风险分析第二节计算机系统的审计跟踪第三节应急计划和应急措施第四节容错存储技术介绍 目录 3 第三章信息安全第一节操作系统安全第二节数据库安全第三节访问控制第四节密码技术 第一章计算机信息系统实体安全 保证计算机信息系统各种设备的实体安全 是整个计算机信息系统安全的前提 如果实体安全得不到保证 则计算机信息系统的安全也就得不到保证 因此 保证计算机系统的实体安全是十分重要的 影响计算机实体不安全因素有三个方面 一 自身存在的脆弱性的因素 二 各种自然灾害因素 三 人为操作失误或错误及各种计算机犯罪行为导致的不安全因素 第一节计算机信息系统实体安全的基本概念 何谓计算机实体安全 Computerphysicalsecurity 它是指 为了保证计算机信息系统安全可靠地运行 确保计算机信息系统在对信息进行采集 处理 传输 存储过程中 不致受到人为 包括未授权使用计算机资源的人 或自然因素的危害 而使信息丢失 泄漏或破坏 对计算机设备 设施采取的安全措施 计算机信息系统的实体安全主要有三个方面内容 一 环境安全 二 设备安全 三 媒体安全 第二节环境安全 在国家标准GB50173 93 电子计算机机房设计规范 国标GB2887 89 计算站场地技术条 国标GB9361 88 计算站场地安全要求 中对有关的环境条件均有规定 一 计算机场地的安全保护计算机机房安全等级划分 根据GB9361 88 分为A B C 三类 二 计算站场地选址原则 1 应避开易发生火灾 危险区域如油库2 应避开尘埃 有毒腐蚀性气体 3 应避开低洼潮湿及落雷区域 4 应避开强振动 强噪声源 5 应避开用水设备及不宜设在高层 6 应避开强电场 强磁场 7 应避开有地震危害的区域 8 应避开有腐蚀性的重盐害区域 三 计算机站区位布局要求 1 应使数据处理流程化尽量布置在一个房间或几个房间内完成 2 应使文件 材料 人员流动路线最短 3 应使无关人员勿入 确保计算机系统的安全运行 4 应使接待外来人员在一个集中的房间内进行 以避免干扰 第三节设备安全 1 计算机信息系统设备防盗保护 2 电源保护 3 静电保护 4 防电磁干扰 5 防线路截获 6 电磁信息泄漏 第四节媒体安全 一 数据的保护 1 数据的分类 有一 二 三类 2 数据的复制要求 双备份 3 数据的防护要求 4 备份磁介质和磁介质库的管理 对在计算机信息系统存储信息的媒体是指 纸介质 磁介质 半导体介质 光盘等 二 文件和数据的处理 1 计算中心的文件库 文件库是存储系统文件 编程和操作文件及源程序文件等 故对文件库的访问仅限于数据管理部门的人员 2 文件和数据的存储处理手续机密信息 数据 无用时才能销毁 第二章计算机信息系统运行安全 保证计算机信息系统的运行安全 是计算机安全领域中最为重要的环节之一 首先应了解影响安全运行各种因素和风险 从而对计算机信息系统进行风险分析 在分析的基础上找出克服这些风险的办法 另外 审计跟踪技术也是保证计算机信息系统运行安全的有效的技术手段 CIS运行安全图示 风险分析 审计跟踪 应急计划和应急措施 信息资源备份 容错技术 第一节风险分析 风险分析是指威胁发生的可能性及系统易受到攻击的脆弱性 选择适当的安全保护和控制方法 这里所说的风险是指损失的程度 风险分析的最终目的是帮助选择安全防护并将风险降低到可接受的程度 一 进行风险分析的益处 风险分析是建立节约费用的风险管理程序的基础 风险分析有益于工作人员建立风险意识 使系统管理员明确系统存在的弱点 可以确认潜在的损失并从一开始就明确安全需求 建立合理的安全防护 二 计算机信息系统四个阶段的风险分析 1 系统设计前的风险分析 2 系统试运行前的风险分析 3 系统运行期的风险分析 4 系统运行后的风险分析 上述四种风险分析旨在发现系统的安全漏洞 并提供该系统脆弱性分析报告 三 进行风险分析的方法 1 危险严重程度定性度量 2 危险可能性的定性度量这里所说的危险严重性和危险可能性均采用划分危险等级 从而进行风险分析评价 决定安全措施的方法 四 风险分析的成员组成 1 风险分析员 专业人员 2 用户 3 安全管理人员 网络支持人员 4 管理人员 五 常见的风险 1 后门 陷阱门 2 犯大错误 3 拒绝使用 4 火灾和自然灾害 5 硬件故障 6 逻辑炸弹 7 搭线窃听 计算机病毒等等 六 风险分析的工具 介绍几种风险分析工具软件 1 ALRAM 自动Livermore风险分析法 2 ARES1 1 自动风险分析系统 3 BDSS Bayesian判决辅助系统 4 CONTMAT 控制矩阵 5 CRAMM CCTA风险分析管理方法学 等等 第二节计算机系统的审计跟踪 除了采用安全措施以外 针对计算机信息系统的工作过程进行详细的审计跟踪 同时保存审计记录和审计日志 从中可以发现问题特别是在金融上和商业系统中防止和发现计算机犯罪除了其它安全措施外 要靠审计跟踪 一 审计的主要功能 1 记录跟踪各种系统状态的变化 2 实现对各种安全事故的定位 3 保存 维护和管理审计日志 第三节应急计划和应急措施 一 制定应急计划的基本方法 1 紧急反应 2 备份操作 3 恢复措施 出现故障时的应急措施 二 应急措施 1 紧急行动方案 2 资源的备份 3 设备的备份 4 快速恢复 第四节容错存储技术 容错技术对数据保护很重要 例如 上面提到的一些保护数据的方法 皆属于此 为了使大家能更进一步对这些技术有所了解 在此略作介绍 容错存储技术分类 1 自制冗余度 2 磁盘的容余阵列 RAID 3 磁盘镜像 4 NOVELL的系统容错 SFT NetWare 5 UnitolDataProtectionSystems的ImmunityPlus 6 作磁盘双工 第三章信息安全 信息安全是指防止信息财产的泄漏 更改 破坏的过程 信息安全保护的目的是 保护信息系统中存储 处理信息的安全 信息安全概括为确保信息的完整性 保密性和可用性 本章只介绍操作系统安全 数据库安全 访问控制和密码技术 CIS信息安全图示 操作系统安全数据库安全 访问控制 加密 网络安全 病毒防治 消息鉴别 CIS 第一节操作系统安全 一 操作系统的特点与安全性 操作系统 OperatingSystem 是系统软件中最重要的内容 是用户程序和计算机硬件之间的软接口 它对系统的所有资源进行管理 故操作系统的安全是指它对计算机信息系统的硬件和软件资源进行有效的控制 操作系统完成与安全性有关的主要功能有以下几个方面 1 用户的认证 操作系统必须识别请求访问的每个用户 常用的验证方法是 口令字的比较 2 存储器保护3 文件和输入 输出设备的访问控制 4 一般目标的定位和访问控制 5 共享的实现 6 公平服务与内部过程同步等等 二 基本概念 操作系统的信息管理 即存取控制 即对程序执行期间使用资源的合法性进行检查 利用对程序和数据读 写管理 防止蓄意破坏或意外事故对信息造成的威胁 从而达到保护信息的完整性 可用性和保密性 由于操作系统本身复杂而庞大 它为整个计算机信息系统提供安全保护措施 故操作系统本身的安全性十分重要 二 操作系统安全的实现方法 1 用户认证 2 隔离技术 物理 时间 逻辑 密码上的隔离 3 存取控制 4 侦察和监示 5 系统的完整性 6 记录的保存和安全 7 系统的可靠性和安全性 第二节数据库安全 数据库是在计算机存储设备上合理存放的相互关联的数据的集合 操纵和管理数据库的软件是名之为 数据库管理系统 它管理数据资源的使用和控制 简称DBMS 最常用的数据库数据模型有三种 即层次式 网式和关系式 一 数据库系统的主要安全特点 1 数据信息多 需保护的客体多 2 数据库中的数据信息生命周期长 安全保护时间长 3 集中的数据信息被众多用户共享访问 用户中敌友混杂 安全问题尤为突出 4 数据库系统复杂的逻辑结构有可能因映射到同一数据客体之上 5 可能有数据库安全漏洞 6 防止数据被推断 及隐蔽信道的存在 二 强化数据库系统安全功能 数据库系统信息安全基于完整性 可用性和保密性三项要求 故须强化数据库管理系统 DBMS 的安全功能 其主要方法有 1 构架安全的数据库系统结构 2 强化密码机制 3 友好用户界面 方便使用 4 严格身份监别和访问控制 5 加强物理安全保护 6 加强用机管理和运行维护 三 数据库系统安全结构 1 层次安全结构 2 多级安全模型 3 宏观安全结构 四 数据库系统安全技术 1 数据库系统完整性的维护 2 数据库系统保密性的维护 3 数据库系统的加密 五 数据库加密方法 1 常用加密方法 DES数据加密标准是数据库中加密数据的常用方法 2 子密钥数据库加密 同余定理 即孙子定理 是子密钥数据库加密技术的数学基础 3 秘密同态技术 第三节访问控制 对于一个计算机系统有两种自我保护方法 其一是限制访问系统的人员 其二是限制进入系统的人员所做的工作 这第二种方法就是访问控制 访问控制采用存取控制来实现 系统安全中主要是区分读和写的概念 区分删除文件的能力 一 访问控制的基本概念 1 访问控制的内容 确定访问授权的规则是决定访问控制的基础 2 机构和策略 将策略和机构分开 3 保护域 保护域是存取权的集合 二 访问控制机制的种类 1 任意访问控制 又称自主访问控制 2 强制访问控制 即强制存取控制 三 实施访问控制的安全原则 1 最小特权原则 2 对存取访问的监督检查 3 实体权限的时效性 4 访问控制的可靠性 5 存取权分离 6 最少共享存取 7 设计的安全性 8 用户的趁承受能力和经济性 第四节密码技术 保护信息的安全是当前迫切的需要 而密码技术作为通信保密的首选方法 一 密码技术有关的基本概念 本世纪七十年代开始至今 现代密码学得到了飞速发展 从DES RSA DSS直到Clipper集成片和Capstone集成块标准已成了数据加密标准 二 密码技术是维护信息安全的有力手段 1 验证 身份设别 消息鉴别 2 加密保护 存储信息的加密保护 传输信息的加密保护 三 密码技术的基本内容 1 密码系统 EncryptionSystem 的组成 明文 密文 加密 解密 密钥 2 密码的功能 通信中的数据保护 对存储信息的保护 通信双方的身份验证 非否认性 四 数据加密体制 密码体制 1 换位密码 栅栏移位法 矩阵移位法 定长置换法 2 替代密码 单表替代 勘赦密码 Caesarcipher 多表替代密码 沸讷莫密码 Vernamcipher 乘积密码 五 数据加密标准 DES 1 DES加密标准的提出 2 DES算法原理 3 加密过程 4 解密处理 5 子密钥