网络基础-信息安全基础.ppt

1、信息安全基础知识,2020/7/6,信息安全基础 信息安全与企业或组织机构的关系 常见的网络安全产品 网络安全的未来,Part1: 信息安全基础,2020/7/6,2020/7/6,信息安全问题基本要素,2020/7/6,信息安全问题基本要素加密技术,对称加密 采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。 非对称加密 与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能

2、解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。,2020/7/6,信息安全问题基本要素对称加密,对称加密 特点： 数据的发送方和接受方使用的是同一把密钥 加密过程: 发送方对信息加密 发送方将加密后的信息传送给接收方 接收方对收到信息解密，得到信息明文,2020/7/6,信息安全问题基本要素对称加密,对称加密 优点：加密和解密的速度快，效率也很高，广泛用于大量数据文件的加密过程中。 缺点：密钥管理比较困难。 常见算法：数据加密标准（DES）、高级加密标准（AES）、三重DES,2020/7/6,信息安全问题基本要素非对称加密,非对称加密 特点 发送方使用公钥加密，

3、接收方使用私钥解密 加密过程： 发送方用接收方的公开密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方 接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文,信息安全问题基本要素非对称加密,非对称加密 优点：只传公钥，私钥只有本地知道，安全性高。 缺点：加密效率较低，比对称加密慢近千倍，耗资源。 常见算法：RSA、Elgamal、背包算法、Rabin、D-H,加密技术的常见应用-VPN,内部工作子网,下属机构,Internet,密文传输,明文传输,明文传输,VPN隧道,2020/7/6,信息安全问题基本要素完整性,MD5算法：为计算机安全领域广泛使用的一种散列函数，

4、用以提供消息的完整性保护。 SHA（Secure Hash Algorithm）算法：安全散列算法由美国NIST开发，作为联邦信息处理标准于1993年发表，1995年修订，成为SHA-1版本。 MD5与SHA对比分析： 对密码分析的安全性：由于MD5的设计，易受密码分析的攻击，SHA-1显得不易受这样的攻击。 速度：在相同的硬件上，SHA-1的运行速度比MD5慢。,数据完整性校验实际案例,用户下载软件后用MD5校验工具检查MD5值是否与一致，不一致说明数据不完整或者被篡改。,信息安全问题基本要素身份验证、抗否认性,数字签名 作用：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

5、过程：将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。,2020/7/6,信息安全问题基本要素身份验证、抗否认性,数字签名流程基本非对称加密理论,2020/7/6,信息安全问题基本要素访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对内访问,发起访问请求,防火墙在此处的功能： 1.工作子网与外部子网的物

6、理 隔离 2.访问控制 3.对工作子网做NAT地址转换 4.日志记录,防火墙-访问限制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,root,123,Yes,admin,883,No,用户身份认证 根据用户控制访问,信息安全问题基本要素访问控制,防火墙-口令验证,Part2: 信息安全与企业关系及问题,2020/7/6,企业信息安全框架,安全治理、风险管理和合规,安全运维,物理安全,基础架构安全,应用安全,数据安全,身份/访问安全,基础安全服务和架构,机房安全,网络安全,应用开发生

7、命周期安全,数据生命 周期管理,战略和治理框架,安全事件监控,安全事件响应,安全事件审计,安全策略管理,安全绩效管理,安全外包服务,业务流程 安全,Web 应用安全,应用开发环境安全,主机安全,终端安全,视频监控 安全,数据泄露 保护,数据加密,数据归档,灾难备份,身份验证,访问管理,身份生命周期管理,合规和策略遵从,风险管理框架,2020/7/6,企业面临哪些安全问题,CSDN密码事件 天涯密码事件 SINA微博事件 漏洞公布网站每天在报 ,2020/7/6,企业面临哪些安全问题没有绝对的安全,网络的开放性 越来越多的基于网络应用 企业的业务要求网络连接的不间断性 每年毕业数以万计的“无证程

8、序员” OS存在的安全漏洞 应用存在的安全漏洞 协议（Protocol）在设计时存在的安全漏洞 错误的实现、错误的安全配置 利益驱动黑客的攻击,2020/7/6,企业面临哪些安全问题传统攻击,报文窃听（Packet Sniffers） IP欺骗（IP Spoofing） 服务拒绝（Denial of Service） 密码攻击（Password Attacks） 中间人攻击(Man-in-the-Middle Attacks) 网络侦察（Network Reconnaissance） 信任关系利用（Trust Exploitation） 端口重定向（Port Redirection） 未授权访

9、问（Unauthorized Access） 病毒与特洛伊木马应用（Virus and Trojan Horse Applications）,2020/7/6,企业面临哪些安全问题现在安全集中在应用,OWASP 项目的目标是通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。 Top 10项目被众多标准、书籍、工具和相关组织引用，包括MITRE、PCI DSS、DISA、 FTC等等。 OWASP Top 10最初于2003年发布，并于2004年和2007年相继做了少许的修改更新。现在发布的是2010年版本。,2020/7/6,企业面临哪些安全问题现在安全集中在应用,2020

10、/7/6,OWAP TOP 9-传输层保护不足,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 9-传输层保护不足,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 8-没有限制URL访问,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 8-没有限制URL访问,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 7-不安全的加密存储,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 7-不安全的加密存储,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 6-安全

11、配置错误,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 6-安全配置错误,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 5-跨站请求伪造(CSRF),企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 5-跨站请求伪造(CSRF),企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 4-不安全的直接对象引用,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 4-不安全的直接对象引用,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 3-失效的身份认证和会话管理

12、,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 3-失效的身份认证和会话管理,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 2-跨站脚本(XSS),企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 2-跨站脚本(XSS),企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 1-注入,企业面临哪些安全问题应用层常见攻击,2020/7/6,OWAP TOP 1-注入,企业面临哪些安全问题应用层常见攻击,Part3: 常见的网络安全产品,2020/7/6,常见的网络安全产品,防火墙,包过滤（基于源IP、目的

13、IP、基于源端口、目的端口、基于时间） 防攻击特性（L2-L4层攻击，如DOS/DDOS攻击、ARP欺骗、ARP洪水攻击等） 基本路由功能 NAT、端口映射、VPN等,IDS 入侵检测系统,常见的网络安全产品,监视、分析用户及系统活动 识别反应已经攻击的活动模式并报警 异常行为统计分析,IPS 入侵防御系统,同时具备检测和防御功能 可检测到IDS检测不到的攻击行为，如SQL注入等。,防毒墙,常见的网络安全产品,UTM 统一威胁管理,网络边界拦截病毒 保护内网服务器,防火墙 病毒防护 入侵检测 入侵防护 恶意攻击防护,Part4: 网络安全的未来,2020/7/6,2020/7/6,安全发展趋势

14、及未来,防火墙的发展 影响2011年中国互联网发展的十件大事 利益驱动攻击由钓鱼、木马转向海量信息窃取 攻击成本下降 安全事件频繁,2020/7/6,安全发展趋势及未来防火墙,防火墙的发展 应用安全正形成一种趋势,2020/7/6,安全发展趋势及未来重要事件,影响2011年中国互联网发展的十件大事,2020/7/6,安全发展趋势及未来攻击目标转变,利益驱动攻击由钓鱼、木马转向海量信息窃取 黑客攻击的目标发生了转变，从以前面向个人的挂马、钓鱼散列式攻击，转而攻击拥有大量用户信息资源的网站，从而获得更大的利益。这表明未来的安全形势更加严峻，安全企业有着更大的责任。,安全产品未来攻击成本&技术多样性,攻击成本下降,高,Low,1985,1990,1998,2002,2008,入侵者的技术,攻击的复杂