电子信息导论-第十三章-信息安全VIP

1、第十三章 信息安全,电子信息技术导论,编制 刘新华/张小梅,第十三章 信息安全,2,本章内容提纲,1,2,3,4,信息安全概述,信息隐藏与数字水印,防火墙,其他安全技术,5,6,计算机病毒,信息安全技术的发展趋势,第十三章 信息安全,3,一、 信息安全概述,（一） 经典信息安全,不安全信道,1，信息安全定义：是指信息在存储、处理和传输状态下能够保证其完整、保密和可用，即保持完整性、机密性和可用性。,经典加密通信模型,2，经典加密通信模型,第十三章 信息安全,4,3，几个基本概念 明文：发送方将要发送的消息； 密文：明文被变换成看似无意义的随机消息； 加密：将明文变换为密文的过程； 解密：由密文

2、恢复出原明文的过程，即加密的逆过程； 加密员：对明文进行加密操作的人员，或称为密码员； 加密算法：密码员对明文进行加密时所采用的一组规则 接收者：传送消息的预定对象； 解密算法：接收者对密文进行解密时所采用的一组规则； 密钥：用来对数据进行编码和解码的一种算法 ； 单钥或对称密码体制：加密密钥和解密密钥相同的加密体制； 双钥或非对称密码体制：加密密钥和解密密钥不相同，从一个难于推出另一个。,一、 信息安全概述,现代信息安全理论技术,一、 信息安全概述,（二） 现代信息安全概述,1，理论技术组成,一、 信息安全概述,2， 信息安全的目标要求,目标要求示意,第十三章 信息安全,7,信息安全的基本模

3、型,一、 信息安全概述,3，信息安全的基本模型,第十三章 信息安全,8,4，信息安全研究内容,一、 信息安全概述,第十三章 信息安全,9,一、 信息安全概述,（三）信息安全的综合措施,本章讨论重点,第十三章 信息安全,10,二、 信息隐藏与数字水印,（一） 信息隐藏技术的应用与分类,1.信息隐藏（Information Hiding) 顾名思义就是将秘密信息秘密地隐藏于另一非机密的文件内容之中，使加入隐藏信息后的媒体目标的降质尽可能小，使人无法看到和听到隐藏的数据，达到令人难以察觉的目的。,第十三章 信息安全,11,信息隐藏技术的主要分支关系图,二、 信息隐藏与数字水印,2. 信息隐藏技术分类

4、与应用,第十三章 信息安全,12,3. 信息隐藏与加密的比较,二、 信息隐藏与数字水印,第十三章 信息安全,13,4.对信息隐藏系统的要求 鲁棒性（Robustness） 不可检测性（Undetectability） 透明性（Invisibility） 安全性（Security） 自恢复性,二、 信息隐藏与数字水印,第十三章 信息安全,14,（二） 数字水印技术概述 数字水印 (Digital Watermark)技术是信息隐藏技术的一个重要分支，是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测器或阅读器才能提取。,二、 信息隐藏与数字水印,

5、数字水印的特性： 隐蔽性 隐藏位置的安全性 鲁棒性 水印容量,第十三章 信息安全,15,数字图像水印系统的通用模型,一般数字图像水印嵌入方法,一般数字图像水印检测方法,二、 信息隐藏与数字水印,第十三章 信息安全,16,原始Lena图像,检测结果,原始水印图像,嵌入水印后的Lena图像,数字图像水印实例 ：,二、 信息隐藏与数字水印,第十三章 信息安全,17,空域算法：此算法首先把一个密钥输入一个m序列发生器来产生水印信号，然后排列成2维水印信号，按象素点逐一插入到原始图像象素值的最低位。由于水印信号被安排在了最低位上，它是不可见的，基于同样的原因，它可以轻易地被移去，因此不够强壮。,典型的图

6、像数字水印算法,二、 信息隐藏与数字水印,第十三章 信息安全,18,空域水印实例:图像的位平面表示,二、 信息隐藏与数字水印,第十三章 信息安全,19,Lena原图：8-bit灰度BMP图像,二、 信息隐藏与数字水印,第十三章 信息安全,20,第一个位平面与去掉第1个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,21,第二个位平面与去掉第12个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,22,第三个位平面与去掉第13个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,23,第四个位平面与去掉第14个位平面的Lena:,二、 信息隐藏与数

7、字水印,第十三章 信息安全,24,第五个位平面与去掉第15个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,25,第六个位平面与去掉第16个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,26,第七个位平面与去掉第17个位平面的Lena:,二、 信息隐藏与数字水印,第十三章 信息安全,27,第八个位平面Lena:,总结：根据图象位平面和能量分布情况，第1,第2,甚至第3个位平面完全可以用其它的比特矩阵去替换，而不影响图象的视觉效果。而高位平面不可隐藏信息。 优点：操作简单,隐藏信息量大。 缺点：隐藏的信息易被破坏。 改进：选择位置，加密,二、 信息隐藏与数字

8、水印,第十三章 信息安全,28,（三） 数字水印的攻击 攻击的目的在于使相应的数字水印系统的检测工无法正确地恢复水印信号，或不能检测到水印信号的存在。,IBM攻击 StirMark攻击 马赛克攻击 共谋攻击 跳跃攻击,二、 信息隐藏与数字水印,第十三章 信息安全,29,（四） 数字水印的应用,数字作品的知识产权保护 商务交易中的票据防伪 证件真伪鉴别 标志信息保密 隐蔽通信及其对抗,二、 信息隐藏与数字水印,第十三章 信息安全,30,（五） 数字水印研究状况与展望,数字水印的鲁棒性 数字水印应用中的安全性 实际网络环境下的数字水印应用,从理论和实际成果两方面来看，国内在数字水印方面的研究工作还

9、处于刚起步阶段。,二、 信息隐藏与数字水印,第十三章 信息安全,31,三、 计算机病毒,（一） 什么是计算机病毒,1. 计算机病毒的定义 计算机病毒（Computer Virus）（中华人民共和国计算机信息系统安全保护条例中定义）：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 计算机病毒是一段程序，而且不是一段普通的程序，它是隐藏在计算机系统内的一段破坏性程序。,第十三章 信息安全,32,寄生性 传染性 潜伏性 隐蔽性 破坏性,计算机病毒的特性：,三、 计算机病毒,第十三章 信息安全,33,2. 计算机病毒的命名,采用病

10、毒体字节数 病毒体内或传染过程中的特征字符 发作的现象 发作的时间以及相关的事件 病毒的发源地 特定的传染目标 通常还会加上某些指明病毒属性的前后缀,此外，对病毒的命名除了标准名称外，还可以有“别名”，也就是说可以通过上述的几种命名方式来对一个病毒进行命名，以便记忆。,三、 计算机病毒,第十三章 信息安全,34,3. 计算机病毒的分类,按破坏性：恶性病毒、良性病毒 按所攻击的操作系统 ：DOS病毒、Windows病毒、 Linux病毒、UNIX病毒等 按病毒的表观 ：简单病毒、变形病毒等 按病毒的感染途径以及所采用的技术 ：引导型病 毒、文件型病毒和混合型病毒等；,随着科学技术的不断进步，还有

11、手机病毒、PDA病毒、PALM病毒等新的分类。,三、 计算机病毒,第十三章 信息安全,35,20世纪60年代初，美国贝尔实验室三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中的一方通过复制自身来摆脱对方的控制，这就是所谓“计算机病毒第一个雏形。 20世纪70年代，美国作家雷恩在其出版的P1的青春一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。,（二） 计算机病毒的发展历史,三、 计算机病毒,到了20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟（也就是现在的程序员），他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引

12、导区。这就是最早在世界上流行的第一个真正的病毒。 1988年至1989年，我国也相继出现了能感染硬盘和软盘引导区的Stoned（石头）病毒，该病毒替代码中有明显的标志“Your Pc is now Stoned！”。,第十三章 信息安全,36,被感染的文件大小明显增加 病毒代码主体没有加密 访问文件的日期得到更新 很容易被debug工具跟踪,20世纪90年代以前病毒的弱点：,三、 计算机病毒,第十三章 信息安全,37,20世纪内，绝大多数病毒是基于DOS系统的，有80%的病毒能在Windows中传染。 宏病毒的出现，代表有美丽莎,台湾一号等 病毒生产机现身，1996年下半年在国内终于发现了“G

13、2、IVP、VCL”三种“病毒生产机软件”,三、 计算机病毒,出现了一些能对自身进行简单加密的病毒，譬如当内存有1741病毒，用DIR列目录表的时候，这个病毒就会掩盖被感染文件后增加的字节数，使人看起来文件的大小没有什么变化。 1992年以后，出现了是一种叫做DIR2的病毒，这种病毒非常典型，并且其整个程序大小只有263个字节。,20世纪90年代以后病毒的特点：,第十三章 信息安全,38,Internet的广泛应用，激发了病毒的活力。病毒通过网络的快速传播和破坏，为世界带来了一次一次的巨大灾难。 1998年2月，台湾省的陈盈豪，编写出了破坏性极大的恶性病毒CIH-1.2版，并定于每年的4月26

14、日发作破坏 。,陈盈豪：当时台湾的一个大学生 1998年2月，1.2版 1998年4月26日，台湾少量发作 1999年4月26日，全球发作 破坏主板BIOS,三、 计算机病毒,第十三章 信息安全,39,CIH特点,通过网络（软件下载）传播 全球有超过6000万台的机器被感染 第一个能够破坏计算机硬件的病毒 全球直接经济损失超过10亿美元,三、 计算机病毒,第十三章 信息安全,40,1999年2月，“美丽莎”病毒席卷了整个欧美大陆，这是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。,“美丽莎” 病毒,大卫.史密斯，美国新泽西州工程师 在16小时内席卷全球互联网 至少造成10亿美元的损失

15、！ 通过俄Email传播 传播规模（50的n次方，n为传播的次数）,三、 计算机病毒,第十三章 信息安全,41,2000年5月，在欧美又爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒属于vbs脚本病毒，可以通过html，Email进行大量的传播。,菲律宾“AMA”电脑大学计算机系的学生 一个星期内就传遍5大洲 微软、Intel等在内的大型企业网络系统瘫痪 全球经济损失达几十亿美元,三、 计算机病毒,第十三章 信息安全,42,爱虫病毒特点：,通过电子邮件传播，向地址本中所有用户发带毒邮件 通过聊天通道IRC、VBS、网页传播 能删除计算机内的部分文件 制造大量新

16、的电子邮件，使用户文件泄密、网络负荷剧增 一年后出现的爱虫变种VBSLoveLetterCM它还会在Windows目录下驻留一个染有CIH病毒的文件，并将其激活。,三、 计算机病毒,第十三章 信息安全,43,再后来就出现有更多的网络蠕虫。譬如，红色代码，蓝色代码、求职者病毒、尼姆达（Nimda）、FUN_LOVE，新欢乐时光等等。,2001年7月18日午夜，红色代码病毒大面积暴发，被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国，11%在韩国，5%在中国，其余分散在世界各地。 2001年7月19日， “红色代码”病毒开始疯狂攻击美国白宫网站，白宫网站管理员将白宫网站从原来的IP地

17、址转移到另外一个地址，才幸免于难。,三、 计算机病毒,第十三章 信息安全,44,红色代码的特点：,该病毒通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。 它只存在于内存，传染时借助这个服务器的网络连接攻击其它的服务器，直接从一台电脑内存传到另一台电脑内存。 它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。 在每月的2027日，向美国白宫网站发动攻击。 将WWW英文站点改写为“Hello! Welcome to www.W! Hacked by

18、Chinese!”。,三、 计算机病毒,第十三章 信息安全,45,2001年9月18日出现的尼姆达病毒,2001年最为凶猛的恶意蠕虫病毒，岂今为止已给 全球带来不可估量的经济损失。 该病毒不仅传播速度快、危害性强，而且自我繁殖能力更是位居各大病毒之首。 已有五种新变种相继粉墨登场，作恶不可谓不大。 利用unicode漏洞，与黑客技术相结合。,三、 计算机病毒,第十三章 信息安全,46,2001年9月18日，首先在美国出现，当天下午，有超过130，000台服务器和个人电脑受到感染。（北美洲） 2001年9月18日晚上，在日本、香港、南韩、新加坡和中国都收到了受到感染的报告。（亚洲） 2001年9

19、月19日，有超过150000个公司被感染，西门子在他的网络受到渗透之后，被迫关掉服务器。（欧洲）,尼姆达的四种传播方式： 文件感染 Email WWW 局域网,三、 计算机病毒,第十三章 信息安全,47,求职信病毒特征：,“求职信”系列变种病毒利用微软系统的漏洞，可以自动感染，无须打开附件，因此危害性很大。 其变种具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性。 在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源。,三、 计算机病毒,第十三章 信息安全,48,能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击。

20、 利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒。 在网络上出现的一些“求职信”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒把电脑一起“杀死”的情况。,三、 计算机病毒,第十三章 信息安全,49,计算机病毒的结构 一般由引导模块、传染模块、表现模块三部分组成。,（三） 计算机病毒的原理与防范,三、 计算机病毒,第十三章 信息安全,50,引导过程 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。 传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，

21、判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统 表现过程 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,三、 计算机病毒,第十三章 信息安全,51,引导型病毒 传染机理 利用系统启动的缺陷 传染目标 硬盘的主引导区和引导区 软盘的引导区 传染途径 通过软盘启动计算机 防治办法 从C盘启动 打开主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,三、 计算机病毒,第十三章 信息安全,52,引导型病毒 引导扇区是大部分系

22、统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。,三、 计算机病毒,第十三章 信息安全,53,引导型病毒(主引导记录（MBR）),三、 计算机病毒,第十三章 信息安全,54,引导型病毒感染与执行过程,系统引导区,引导 正常执行,病毒,引导系统,病毒体,三、 计算机病毒,第十三章 信息安全,55,文件型病毒 传染机理 利用系统加载执行文件的缺陷 传染目标 各种能够获得系统控制权执行的文件 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要

23、轻易打开邮件附件 典型病毒 1575病毒、CIH病毒,三、 计算机病毒,第十三章 信息安全,56,文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常,三、 计算机病毒,第十三章 信息安全,57,文件型病毒传染机理,正常 程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒

24、程序,病毒程序,病毒程序,程序头,三、 计算机病毒,第十三章 信息安全,58,宏病毒 宏病毒一般是指利用软件所支持的宏命令或语言（如 Word Basic）书写的一段寄生在支持宏的文档（如 Microsoft Office文档）上的、具有复制、传染能力的宏代码。 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。 虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时

25、，宏病毒才开始传染、表现和破坏。 宏病毒对病毒而言是一次革命。现在通过Email、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。,三、 计算机病毒,第十三章 信息安全,59,宏病毒 传染机理 利用处理的文件可以内嵌宏的功能 传染目标 doc、dot、xls、ppt、mdb等文件（Windows） 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 打开系统提供的宏保护功能 典型病毒 “七月杀手”病毒、“美丽莎”病毒,三、 计算机病毒,第十三章 信息安全,60,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.d

26、ot,三、 计算机病毒,第十三章 信息安全,61,通过移动存储设备来传播（包括优盘、磁带等） 防治方法：尽量避免通过这种方式传送资料，选择已有的确保安全的方式拷贝 通过电子邮件 防治方法：对邮箱进行相关设置，抵制垃圾邮件和一些来路不明的邮件 通过网站 防治方法：安装杀毒软件，不要浏览不健康的网站；下载资料最好选择那些熟悉的或者比较出名口碑较好的网站，万一没有资源而从不熟悉的网站下载了东西，一定要先杀毒；最后可以安装一些相关的监测浏览网页的软件来进行实时保护，比如超级兔子、360安全卫士等,计算机病毒常见的传染途径以及对应防治方法,三、 计算机病毒,第十三章 信息安全,62,四、 防火墙,（一）

27、 防火墙的概念,在计算机网络中，防火墙是指一种将内部网和外部网（如Internet）分开的方法，它实际上是一种隔离技术。它是由软件或硬件设备组合而成，通常处于企业的内部局域网与 Internet之间，限制 Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。,第十三章 信息安全,63,防火墙的发展历史,第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的,四、 防火墙,第十三章 信息安全,64,（二） 防火墙的体系结构,双宿主主机模式,双宿/多宿主机防火墙,四、 防火墙,第十三章 信息安全

28、,65,屏蔽主机模式,屏蔽主机防火墙,四、 防火墙,第十三章 信息安全,66,屏蔽子网模式,屏蔽子网防火墙,四、 防火墙,第十三章 信息安全,67,（三） 防火墙技术,防火墙的主要技术 包过滤技术 应用层网关技术 动态包过滤技术 自适应技术 防火墙技术的几个新方向 透明接入技术 分布式防火墙技术,四、 防火墙,第十三章 信息安全,68,简单包过滤的实现原理,四、 防火墙,第十三章 信息安全,69,应用网关技术的实现原理,四、 防火墙,第十三章 信息安全,70,复合型实现原理,四、 防火墙,第十三章 信息安全,71,五、 其他安全技术,（一） 数字签名与认证技术,数字签名技术 也叫电子签名，是指

29、数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。,第十三章 信息安全,72,数字签名的要求 收方能够确认或证实发方的签名，但不能伪造 发方发出签名的消息送收方后，就不能再否认他所签发的消息 收方对已收到的签名消息不能否认，即有收到认证 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程,五、 其他安全技术,第十三章 信息安全,73,数字签名的使用,五、 其他安全技术,第十三章 信息安全,74,数字证书简介,数字证书是由认证机构颁发的、包含了公开密钥持有者信息以及公开密钥的文件，证书上还有认证机构的数字签名 数字证书系统通过认证机构为公-私密钥对的持有者发放

30、和管理数字证书,五、 其他安全技术,数字证书类型,个人数字证书 服务器证书 开发者证书,第十三章 信息安全,75,利用数字证书实现信息安全,发送方的工作,五、 其他安全技术,第十三章 信息安全,76,接收方的工作,利用数字证书实现信息安全,五、 其他安全技术,第十三章 信息安全,77,数字证书的格式,基本数字证书格式,五、 其他安全技术,第十三章 信息安全,78,X.509版本3数字证书格式,数字证书的格式,五、 其他安全技术,第十三章 信息安全,79,数字证书的申请和发放,数字证书管理机构 认证机构CA又称认证中心、证书授予机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任

31、的第三方机构。 注册机构RA完成认证机构与其用户或数字证书申请人间的交互工作 数字证书的申请注册 数字证书的生成 数字证书的更新,五、 其他安全技术,第十三章 信息安全,80,认证技术,信息认证 信息认证的目的：确认信息发送者的身份；验证信息的完整性。 身份认证 身份认证是判明和确认网上交易双方真实身份的重要环节。用户网上身份认证的基本方式：口令方式 ；标记方式；人体生物特征方式；PKI认证方式。,五、 其他安全技术,第十三章 信息安全,81,数字摘要工作原理,常用的信息认证技术,1）数字摘要,五、 其他安全技术,第十三章 信息安全,82,2)数字信封 数字信封用加密技术来保证只有特定的收信人

32、才能阅读信的内容。 做法：信息发送方用对称密钥加密信息，然后再用接收方的公钥加密此对称密钥(这部分称为数字信封)，再将它和信息一起发送给接收方；接收方先用相应的私钥打开数字信封，得到对称密钥，然后使用对称密钥再解开信息。 作用：信息保密,五、 其他安全技术,3)数字签名 数字签名是指发送方以电子形式签名一个文件，表示签名人对该文件的内容负有责任。 数字签名综合使用了数字摘要和非对称加密技术，可以在保证信息完整性的同时保证信息的真实性。,第十三章 信息安全,83,数字签名工作原理,五、 其他安全技术,第十三章 信息安全,84,4) 数字时间戳 数字时间戳服务(DTS)是提供电子文件发表时间认证的

33、网络安全服务。它由专门的机构(DTS)提供。,数字时间戳的产生过程,五、 其他安全技术,第十三章 信息安全,85,（二） 入侵检测,入侵检测的基本概念 所谓入侵检测，顾名思义便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。,主要功能 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 管理操作系统日志和识别违反安全策略的用户活动,五、 其他安全技术,第十三章 信息安全,86,入侵检测过程,信息收集 信息分析 结果处

34、理,五、 其他安全技术,第十三章 信息安全,87,1）信息收集： 内容包括系统、网络、数据及用户活动的状态和行为 2）信息来源： 系统和网络日志文件； 目录和文件中的不期望的改变； 程序执行中的不期望行为； 物理形式的入侵信息 3）信息分析的技术手段 : 模式匹配 统计分析 完整性分析,五、 其他安全技术,第十三章 信息安全,88,入侵检测的实现方式,入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。,基于网络的入侵检测系统（NIDS） 基于主机的入侵检测系统（HIDS） 混合型入侵检测系统（Hybrid IDS）,五、 其他安全技术

35、,第十三章 信息安全,89,Internet,网络服务器1,客户端,网络服务器2,检测内容：系统调用、端口调用、系统日志、安全审记、应用日志。,HIDS,HIDS,基于主机入侵检测系统工作原理,五、 其他安全技术,第十三章 信息安全,90,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,五、 其他安全技术,第十三章 信息安全,91,入侵检测技术的发展方向,分布式入侵检测 智能化入侵检测 全面的安全防御方案,五、 其他安全技术,第十三章 信息安全,92,（三） 虚拟专用网,虚拟专用网

36、(Virtual Private Network，简称VPN) 指的是在公用网络上建立专用网络的技术。它是一种通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑企业专网的组网技术 。,VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,五、 其他安全技术,第十三章 信息安全,93,VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Inter

37、net服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。,五、 其他安全技术,第十三章 信息安全,94,虚拟专网的基本功能,VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。 VPN的基本功能至少应包括：,加密数据：以保证通过公网传输的信息即使被他人截获也不会泄露。 信息验证和身份识别：保证信息的完整性、合理性，并能鉴别用户的身份。 提供访问控制：不同的用户有不同的访问权限。 地址管理：VPN方案必须能够为用户分配专用网络上的地