第11章信安全技术ppt课件

1、 信息处理技术信息处理技术第第1111章章 信息安全技术信息安全技术信息处理技术基础教程信息处理技术基础教程 信息处理技术信息处理技术 主要介绍计算机信息安全技术的基础知识主要介绍计算机信息安全技术的基础知识。通过本章学习，读者应该掌握安全管理和日常维。通过本章学习，读者应该掌握安全管理和日常维护原理。护原理。 主要内容有：主要内容有： 信息处理技术信息处理技术 定义 国际标准化组织（国际标准化组织（isoiso）定义信息安全）定义信息安全（information securityinformation security）为）为“数据处理系统建立数据处理系统建立和采取的技术和管理的安全保护，保

2、护计算机硬件、和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露更改和显露”。信息安全包含3层含义。一是系统安全，即系统运行安全；二是系统中的信息安全，即通过对用户权限的控制、数据加密等手段确保信息不被非授权者获取和篡改；三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。 信息处理技术信息处理技术 属性 （1 1）保密性（）保密性（confidentialityconfidentiality）（2 2）完整性（）完整性（integrityintegrity）（3 3）可用性（）可用性（ava

3、ilabilityavailability）（4 4）可控性（）可控性（controllabilitycontrollability）（5 5）不可否认性（）不可否认性（incontestabilityincontestability） 信息处理技术信息处理技术实体安全软件系统安全加密技术网络安全防护数据信息安全认证技术计算机病毒防治技术防火墙与隔离技术入侵检测技术 信息处理技术信息处理技术 温度对机房的设置要求为：（1）机房设置在楼房内，应尽量避免将机房放在顶层，最好放在13层，其中以23层最为理想，如此可将太阳辐射热的影响减至最小程度。（2）在设计机房照明时应采用高效冷光灯具。以达到节能与

4、降低热量的目的。（3）在放置机房设备时，应尽量将稳压电源等运行时产生较高热量的外围设备与计算机分室放置。 信息处理技术信息处理技术 防止机房空气过湿过干的措施较为简单，因影响机房相对湿度的主要因素是机房室内温度，所以机房的控湿主要是通过控温来实现的，另外对于环境空气相对湿度较高、较低地区的机房还可使用空气除湿器等设备作为控湿设备。 信息处理技术信息处理技术8对机房灰尘的防护主要从以下几个方面考虑：（1）室净化对于空气洁净度要求较高的机房一般采用全室净化方式（2）严格把握建筑设计关在建筑（3）人身净化在机房入口处安装风浴通道（4） 采取其他有效措施将设备操作、运行过程中的发尘量减至最少 信息处理

5、技术信息处理技术9定义定义 ：计算机病毒是指编制或者在计算机程序中插计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码且能够自我复制的一组计算机指令或者程序代码 。特性特性： 传染性 隐蔽性 破坏性 潜伏性 信息处理技术信息处理技术10引导型病毒：寄生在磁盘的引导区或硬盘的主引导：寄生在磁盘的引导区或硬盘的主引导扇区。扇区。文件型病毒：寄生在文件内的计算机病毒，主要感：寄生在文件内的计算机病毒，主要感染染.exe和和.com文件。文件。混合型病毒：同时具有引导型和文件型病毒的寄

6、生：同时具有引导型和文件型病毒的寄生方式。方式。宏病毒：一般指寄生在文档上的宏代码。：一般指寄生在文档上的宏代码。 信息处理技术信息处理技术11利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术12利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术13 “三打三打” ：就是安装新的计算机系统时，要注意打系统补丁；就是安装新的计算机系统时，要注意打系统补丁；用户上网的时候要打开杀毒软件实时监控；用户

7、上网的时候要打开杀毒软件实时监控；玩网络游戏时要打开个人防火墙。玩网络游戏时要打开个人防火墙。 “三防三防” ：防邮件病毒，不要随意打开电子邮件里携带的附件；防邮件病毒，不要随意打开电子邮件里携带的附件；防木马病毒，用户从网上下载任何文件后，一定要先进行病防木马病毒，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；毒扫描再运行；防恶意防恶意“好友好友”，现在很多木马病毒可以通过，现在很多木马病毒可以通过 msnmsn、 qqqq等即时通信软件或电子邮件传播，一旦用户的在线好友感染等即时通信软件或电子邮件传播，一旦用户的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。病毒，那么所有好友将

8、会遭到病毒的入侵。 信息处理技术信息处理技术密码技术加密的概念私钥与公钥报文摘要数字签名数字证书加密技术分类密码技术 信息处理技术信息处理技术组成n算法，算法，algorithm (公用公用)n密钥，密钥，keys (私有私有)加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。密钥：具有确定bit长度的数字单元。密码技术 信息处理技术信息处理技术私钥或对称密钥：加密、解密用同一种密钥。des标准算法就是常用的私钥算法。公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。私钥与公钥私钥与公钥 信息处理技术

9、信息处理技术 公钥：任何人都可以用公钥加密信息，但公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有。但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私发送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）。钥加密共享密钥）。私钥与公钥私钥与公钥(cont.) 信息处理技术信息处理技术相同密钥相同密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文单钥加密体制单钥加密体制算法 des idea aes 信息处理技术信息处理技

10、术加密密钥加密密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文双钥加密体制双钥加密体制解密密钥解密密钥认证中心公钥（证书）私钥（智能卡） 代表算法 rsa 椭圆曲线 信息处理技术信息处理技术链路层链路层链路链路/物理层物理层 （1 2）网络层加密网络层加密传输传输/网络层网络层 （3 4）应用层加密应用层加密 应用层应用层（5 7）链路层链路层加密机制的配置加密机制的配置 信息处理技术信息处理技术报文摘要（报文摘要（ message digest）也叫散列函数（ hash function）或单向 转换 （one-way transform）。用于数据认证与数据完整

11、性。加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print)。对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。 信息处理技术信息处理技术数字签名数字签名a的签名私钥用户a 明文用户bhash加密签名签名a的签名公钥解密摘要摘要摘要摘要 信息处理技术信息处理技术数字签名数字签名(cont.)使用公钥系统等效于纸上物理签名如报文被改变，则与签名不匹配只有有私钥的人才可生成签名，并用于证明报文来源于发送方a使用其私钥对报文签名，b用公钥查验（解密）报文 信息处理技术信息处理技术数字信封数字信封加密对称密钥用户a 明文明文 密文密文用户b的公钥数字信封解密用

12、户b 密文密文 明文明文用户b的私钥对称密钥 信息处理技术信息处理技术数字签名较报文摘要昂贵，因其处理强度大为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。使用这种方法，我们不但可以证明报文来源于a (a对报文签名，不可否认)，而且确定报文在传输过程中未被修改 (报文摘要，机密性)。由于只有 a知道其私有密钥，一旦他加密 (签名)了报文摘要 (加密的报文)，他对报文负责 (不可否认)。报文摘要与数字签名报文摘要与数字签名(cont.) 信息处理技术信息处理技术证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数

13、字证书的验证数字证书格式（数字证书格式（x.509） 信息处理技术信息处理技术防火墙的基本知识防火墙的基本知识防火墙的主要目标是控制对一个受保护网络的访问防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。，强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络，而不需要对每防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。用相互信任的模式提供了一定的安全基础。

14、信息处理技术信息处理技术防火墙能够做什么？保护内网有漏洞的服务保护内网有漏洞的服务控制对内网系统的访问控制对内网系统的访问将安全问题集中解决将安全问题集中解决增加隐私保护增加隐私保护n内网系统不可见审计和统计网络使用和错误审计和统计网络使用和错误强制执行统一的安全策略强制执行统一的安全策略 信息处理技术信息处理技术防火墙的缺陷?外网获得内网的服务不如原来方便后门并没有完全堵住n通过通过modem的外拨的外拨n通过通过modem的内拨的内拨内部攻击者无法防止n逃避防火墙的监管逃避防火墙的监管其他问题n新的攻击，数据驱动的攻击，新的病毒，通信瓶颈新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（

15、，依赖（all eggs in single basket） 信息处理技术信息处理技术防火墙运行的网络层次数据链路层 (ethernet)网络层 network (ip, icmp)传输层 transport (tcp, udp)应用层 application (ftp, telnet, dns, nfs, ping)简单防火墙运行的层次少，而复杂防火墙运行的层简单防火墙运行的层次少，而复杂防火墙运行的层次就多次就多 信息处理技术信息处理技术防火墙的功能分类包过滤防火墙包过滤防火墙状态检查机制防火墙状态检查机制防火墙应用代理网关防火墙应用代理网关防火墙专用代理防火墙专用代理防火墙混合型防火墙混

16、合型防火墙网络地址转换网络地址转换基于主机的防火墙基于主机的防火墙个人防火墙个人防火墙设备个人防火墙个人防火墙设备 信息处理技术信息处理技术包过滤防火墙最基本的防火墙功能最基本的防火墙功能包含有许多过滤规则包含有许多过滤规则最基本的工作模式是工作在第二，第三层最基本的工作模式是工作在第二，第三层存取控制一般基于以下参数存取控制一般基于以下参数n原地址：数据包从哪里来n目标地址：数据包要进入哪个系统n通信类型：通信协议，ip、ipx或其他协议n其他信息，ip数据包头的其他信息第二层工作可以增加冗余和完成负载均衡第二层工作可以增加冗余和完成负载均衡 信息处理技术信息处理技术边界路由器包过滤boun

17、dary router packet filterisp边界路由器包过滤外部dmz受保护的内网主防火墙demilitarized zone 信息处理技术信息处理技术包过滤防火墙特点非常快，可以安装在最外的边界上非常快，可以安装在最外的边界上根据策略，如阻止根据策略，如阻止snmp,允许允许http可能的弱点可能的弱点n应用相关的漏洞没有办法保护n审计不够详细n无法支持高级的用户认证n无法防止高级攻击，如ip地址假冒目前，很难找到只有包过滤功能的防火墙目前，很难找到只有包过滤功能的防火墙n路由器，soho防火墙，操作系统自带的防火墙 信息处理技术信息处理技术状态检查防火墙tateful insp

18、ection firewalls工作在工作在2，3，4层层不是简单开放大于不是简单开放大于1023的端口而是记住每个的端口而是记住每个tcp连接或连接或udp通信的状态通信的状态109880established61046 25established813565 80established 信息处理技术信息处理技术应用代理网关防火墙application-proxy gateway firewalls代理网关防火墙主要工作在应用层代理网关防火墙主要工作在应用层(2,3,4,7)部分语义

19、的检查部分语义的检查可以进行用户认证可以进行用户认证n身份认证,基于生物特征的认证可以进行原地址检查可以进行原地址检查不足不足n慢,不适合快速网络n针对新的应用,升级麻烦 信息处理技术信息处理技术专用代理防火墙dedicated proxy servers 信息处理技术信息处理技术混合的防火墙hybrid firewall现有的防火墙基本都是混合功能的现有的防火墙基本都是混合功能的配置，安装更加复杂配置，安装更加复杂考察功能参数就很重要考察功能参数就很重要后面介绍防火墙的一些其他基本功能后面介绍防火墙的一些其他基本功能 信息处理技术信息处理技术备份的基本知识备份的内容备份的内容 重要数据的备份

20、 系统文件的备份 应用程序的备份 整个分区或整个硬盘的备份日志文件的备份 信息处理技术信息处理技术应该设置在非工作时间进行，以免影响机器的应该设置在非工作时间进行，以免影响机器的运行。依计划定期执行每日、每周甚至每月的运行。依计划定期执行每日、每周甚至每月的备份工作。备份工作。备份文件存放的地方，相对大型网络而言，备备份文件存放的地方，相对大型网络而言，备份的数据应该放在专用的备份机器上；而对于份的数据应该放在专用的备份机器上；而对于单机用户而言，备份的数据主要放在相对安全单机用户而言，备份的数据主要放在相对安全的分区。的分区。 备份的时间和目的地 信息处理技术信息处理技术备份的层次：备份的层次： 硬件级、软件级和人工级。硬件级、软件级和人工级。 备份的方式备份的方式 常用的是：完全备份、增量备份、差分备份常用的是：完全备份、增量备份、差分备份备份的类