《信息安全技术》PPT课件

,信息处理技术基础教程,第11章信息安全技术,主要介绍计算机信息安全技术的基础知识。通过本章学习，读者应该掌握安全管理和日常维护原理。主要内容有：,学习目标,信息安全的概念计算机病毒防火墙技术知识产权与相关法规,实体安全加密和解密数据备份和恢复技术,信息安全的概念定义,国际标准化组织（ISO）定义信息安全（informationsecurity）为“数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。,信息安全包含3层含义。一是系统安全，即系统运行安全；二是系统中的信息安全，即通过对用户权限的控制、数据加密等手段确保信息不被非授权者获取和篡改；三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。,信息安全的概念属性,（1）保密性（Confidentiality）（2）完整性（Integrity）（3）可用性（Availability）（4）可控性（Controllability）（5）不可否认性（Incontestability）,信息安全技术研究内容,实体安全软件系统安全加密技术网络安全防护数据信息安全认证技术计算机病毒防治技术防火墙与隔离技术入侵检测技术,实体安全,温度对机房的设置要求为：（1）机房设置在楼房内，应尽量避免将机房放在顶层，最好放在13层，其中以23层最为理想，如此可将太阳辐射热的影响减至最小程度。（2）在设计机房照明时应采用高效冷光灯具。以达到节能与降低热量的目的。（3）在放置机房设备时，应尽量将稳压电源等运行时产生较高热量的外围设备与计算机分室放置。,实体安全,防止机房空气过湿过干的措施较为简单，因影响机房相对湿度的主要因素是机房室内温度，所以机房的控湿主要是通过控温来实现的，另外对于环境空气相对湿度较高、较低地区的机房还可使用空气除湿器等设备作为控湿设备。,8,实体安全,对机房灰尘的防护主要从以下几个方面考虑：（1）室净化对于空气洁净度要求较高的机房一般采用全室净化方式（2）严格把握建筑设计关在建筑（3）人身净化在机房入口处安装风浴通道（4）采取其他有效措施将设备操作、运行过程中的发尘量减至最少,9,计算机病毒,定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。,特性：传染性隐蔽性破坏性潜伏性,10,计算机病毒的分类,引导型病毒：寄生在磁盘的引导区或硬盘的主引导扇区。文件型病毒：寄生在文件内的计算机病毒，主要感染.exe和.com文件。混合型病毒：同时具有引导型和文件型病毒的寄生方式。宏病毒：一般指寄生在文档上的宏代码。,11,计算机病毒的入侵方式,利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染,12,计算机病毒的预防,“三打”：就是安装新的计算机系统时，要注意打系统补丁；用户上网的时候要打开杀毒软件实时监控；玩网络游戏时要打开个人防火墙。,“三防”：就是防邮件病毒，不要随意打开电子邮件里携带的附件；防木马病毒，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过MSN、QQ等即时通信软件或电子邮件传播，一旦用户的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。,密码技术,加密的概念私钥与公钥报文摘要数字签名数字证书加密技术分类,密码技术,组成算法，algorithm(公用)密钥，keys(私有)加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。密钥：具有确定bit长度的数字单元。,密码技术,私钥或对称密钥：加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。,私钥与公钥,公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）。,私钥与公钥(cont.),相同密钥,方案,&#,&#,方案,发方,收方,明文,密文,明文,密文,单钥加密体制,算法DESIDEAAES,防护技术加密：密码体制,加密密钥,方案,&#,&#,方案,发方,收方,明文,密文,明文,密文,双钥加密体制,解密密钥,认证中心,公钥（证书）,私钥（智能卡）,代表算法RSA椭圆曲线,防护技术加密：密码体制,链路层,链路/物理层（12）,网络层加密,传输/网络层（34）,应用层加密,应用层（57）,链路层,防护技术加密：加密机制的配置,报文摘要（MessageDigest）,也叫散列函数（hashfunction）或单向转换（one-waytransform）。用于数据认证与数据完整性。加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print)。对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。,数字签名,A的签名私钥,用户A,明文,用户B,hash,加密,签名,A的签名公钥,解密,摘要,摘要,数字签名(cont.),使用公钥系统等效于纸上物理签名如报文被改变，则与签名不匹配只有有私钥的人才可生成签名，并用于证明报文来源于发送方A使用其私钥对报文签名，B用公钥查验（解密）报文,数字信封,加密,对称密钥,用户A,明文,密文,用户B的公钥,数字信封,解密,用户B,密文,明文,用户B的私钥,对称密钥,数字签名较报文摘要昂贵，因其处理强度大为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。使用这种方法，我们不但可以证明报文来源于A(A对报文签名，不可否认)，而且确定报文在传输过程中未被修改(报文摘要，机密性)。由于只有A知道其私有密钥，一旦他加密(签名)了报文摘要(加密的报文)，他对报文负责(不可否认)。,报文摘要与数字签名(cont.),证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证,数字证书格式（X.509）,防火墙的基本知识,防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。,防火墙能够做什么,保护内网有漏洞的服务控制对内网系统的访问将安全问题集中解决增加隐私保护内网系统不可见审计和统计网络使用和错误强制执行统一的安全策略,防火墙的缺陷?,外网获得内网的服务不如原来方便后门并没有完全堵住通过MODEM的外拨通过MODEM的内拨内部攻击者无法防止逃避防火墙的监管其他问题新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（alleggsinsinglebasket）,防火墙运行的网络层次,数据链路层(Ethernet),网络层Network(IP,ICMP),传输层Transport(TCP,UDP),应用层Application(FTP,Telnet,DNS,NFS,PING),简单防火墙运行的层次少，而复杂防火墙运行的层次就多,防火墙的功能分类,包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙个人防火墙设备,包过滤防火墙,最基本的防火墙功能包含有许多过滤规则最基本的工作模式是工作在第二，第三层存取控制一般基于以下参数原地址：数据包从哪里来目标地址：数据包要进入哪个系统通信类型：通信协议，IP、IPX或其他协议其他信息，IP数据包头的其他信息第二层工作可以增加冗余和完成负载均衡,边界路由器包过滤BoundaryRouterPacketFilter,ISP,边界路由器包过滤,外部DMZ,受保护的内网,主防火墙,demilitarizedzone,包过滤防火墙特点,非常快，可以安装在最外的边界上根据策略，如阻止SNMP,允许HTTP可能的弱点应用相关的漏洞没有办法保护审计不够详细无法支持高级的用户认证无法防止高级攻击，如IP地址假冒目前，很难找到只有包过滤功能的防火墙路由器，SOHO防火墙，操作系统自带的防火墙,状态检查防火墙StatefulInspectionFirewalls,工作在2，3，4层不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态,应用代理网关防火墙Application-ProxyGatewayFirewalls,代理网关防火墙主要工作在应用层(2,3,4,7)部分语义的检查可以进行用户认证身份认证,基于生物特征的认证可以进行原地址检查不足慢,不适合快速网络针对新的应用,升级麻烦,专用代理防火墙DedicatedProxyServers,混合的防火墙HybridFirewall,现有的防火墙基本都是混合功能的配置，安装更加复杂考察功能参数就很重要后面介绍防火墙的一些其他基本功能,备份的基本知识,备份的内容重要数据的备份系统文件的备份应用程序的备份整个分区或整个硬盘的备份日志文件的备份,应该设置在非工作时间进行，以免影响机器的运行。依计划定期执行每日、每周甚至每月的备份工作。备份文件存放的地方，相对大型网络而言，备份的数据应该放在专用的备份机器上；而对于单机用户而言，备份的数据主要放在相对安全的分区。,备份的时间和目的地,备份的层次硬件级、软件级和人工级。备份的方式常用的是完全备份、增量备份、差分备份备份的类型常见的有集中备份、本地备份和远程备份,1）恢复硬件。2）重新装入操作系统。3）设置操作系统（驱动程序设置、系统、用户设置等）。4）重新装入应用程序，进行系统设置。5）用最新的备份恢复系统数据。,返回本节,备份与灾难恢复,网络备份,理想的网络备份系统应该具有4个不可或缺的功能：（1）文