《信息安全技术》PPT课件

第11章 信息安全技术,信息处理技术基础教程,主要介绍计算机信息安全技术的基础知识。通过本章学习，读者应该掌握安全管理和日常维护原理。 主要内容有：,学习目标,信息安全的概念 计算机病毒 防火墙技术 知识产权与相关法规,实体安全 加密和解密 数据备份和恢复技术,信息安全的概念 定义,国际标准化组织（ISO）定义信息安全 （information security）为“数据处理系统建立 和采取的技术和管理的安全保护，保护计算机硬件、 软件和数据不因偶然和恶意的原因而遭到破坏、 更改和显露”。,信息安全包含3层含义。 一是系统安全，即系统运行安全； 二是系统中的信息安全，即通过对用户权限的控制、数据加密等手段确保信息不被非授权者获取和篡改； 三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。,信息安全的概念 属性,（1）保密性（Confidentiality） （2）完整性（Integrity） （3）可用性（Availability） （4）可控性（Controllability） （5）不可否认性（Incontestability）,信息安全技术研究内容,实体安全 软件系统安全 加密技术 网络安全防护 数据信息安全 认证技术 计算机病毒防治技术 防火墙与隔离技术 入侵检测技术,实体安全,温度对机房的设置要求为： （1）机房设置在楼房内，应尽量避免将机房放在顶层，最好放在13层，其中以23层最为理想，如此可将太阳辐射热的影响减至最小程度。 （2）在设计机房照明时应采用高效冷光灯具。以达到节能与降低热量的目的。 （3）在放置机房设备时，应尽 量将稳压电源等运行时产生较高热量的外围设备与计算机分室放置。,实体安全,防止机房空气过湿过干的措施较为简单，因影响机房相对湿度的主要因素是机房室内温度，所以机房的控湿主要是通过控温来实现的，另外对于环境空气相对湿度较高、较低地区的机房还可使用空气除湿器等设备作为控湿设备。,8,实体安全,对机房灰尘的防护主要从以下几个方面考虑： （1）室净化对于空气洁净度要求较高的机房一般采用全室净化方式 （2）严格把握建筑设计关在建筑 （3）人身净化在机房入口处安装风浴通道 （4） 采取其他有效措施将设备操作、运行过程中的发尘量减至最少,9,计算机病毒,定义 ：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 。,特性： 传染性 隐蔽性 破坏性 潜伏性,10,计算机病毒的分类,引导型病毒：寄生在磁盘的引导区或硬盘的主引导扇区。 文件型病毒：寄生在文件内的计算机病毒，主要感染.exe和.com文件。 混合型病毒：同时具有引导型和文件型病毒的寄生方式。 宏病毒：一般指寄生在文档上的宏代码。,11,计算机病毒的入侵方式,利用操作系统漏洞传播病毒 通过电子邮件传播病毒 通过网站下载传播病毒 通过即时通讯工具传播病毒 通过感染文件传播 通过其他方式进行感染,12,计算机病毒的入侵方式,利用操作系统漏洞传播病毒 通过电子邮件传播病毒 通过网站下载传播病毒 通过即时通讯工具传播病毒 通过感染文件传播 通过其他方式进行感染,13,计算机病毒的预防,“三打” ： 就是安装新的计算机系统时，要注意打系统补丁； 用户上网的时候要打开杀毒软件实时监控； 玩网络游戏时要打开个人防火墙。,“三防” ： 防邮件病毒，不要随意打开电子邮件里携带的附件； 防木马病毒，用户从网上下载任何文件后，一定要先进行病毒扫描再运行； 防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦用户的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。,密码技术,加密的概念 私钥与公钥 报文摘要 数字签名 数字证书 加密技术分类,密码技术,组成 算法，algorithm (公用) 密钥，keys (私有) 加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。 密钥：具有确定bit长度的数字单元。,密码技术,私钥或对称密钥：加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。 公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。,私钥与公钥,公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）。,私钥与公钥(cont.),相同密钥,方案,&#,&#,方案,发方,收方,明文,密文,明文,密文,单钥加密体制,算法 DES IDEA AES,防护技术加密：密码体制,加密密钥,方案,&#,&#,方案,发方,收方,明文,密文,明文,密文,双钥加密体制,解密密钥,认证中心,公钥（证书）,私钥（智能卡）,代表算法 RSA 椭圆曲线,防护技术加密：密码体制,链路层,链路/物理层 （1 2）,网络层加密,传输/网络层 （3 4）,应用层加密,应用层 （5 7）,链路层,防护技术加密：加密机制的配置,报文摘要（ Message Digest）,也叫散列函数（ hash function）或单向 转换 （one-way transform）。用于数据认证与数据完整性。 加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print)。 对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。,数字签名,A的签名私钥,用户A,明文,用户B,hash,加密,签名,A的签名公钥,解密,摘要,摘要,数字签名(cont.),使用公钥系统 等效于纸上物理签名 如报文被改变，则与签名不匹配 只有有私钥的人才可生成签名， 并用于证明报文来源于发送方 A使用其私钥对报文签名， B用公钥查验（解密）报文,数字信封,加密,对称密钥,用户A,明文,密文,用户B的公钥,数字信封,解密,用户B,密文,明文,用户B的私钥,对称密钥,数字签名较报文摘要昂贵，因其处理强度大 为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。 使用这种方法，我们不但可以证明报文来源于A (A对报文签名，不可否认)，而且确定报文在传输过程中未被修改 (报文摘要，机密性)。 由于只有 A知道其私有密钥，一旦他加密 (签名)了报文摘要 (加密的报文)，他对报文负责 (不可否认)。,报文摘要与数字签名(cont.),证书的版本号 数字证书的序列号 证书拥有者的姓名 证书拥有者的公开密钥 公开密钥的有效期 签名算法 颁发数字证书的验证,数字证书格式（X.509）,防火墙的基本知识,防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。,防火墙能够做什么？,保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护 内网系统不可见 审计和统计网络使用和错误 强制执行统一的安全策略,防火墙的缺陷?,外网获得内网的服务不如原来方便 后门并没有完全堵住 通过MODEM的外拨 通过MODEM的内拨 内部攻击者无法防止 逃避防火墙的监管 其他问题 新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（all eggs in single basket）,防火墙运行的网络层次,数据链路层 (Ethernet),网络层 Network (IP, ICMP),传输层 Transport (TCP, UDP),应用层 Application (FTP, Telnet, DNS, NFS, PING),简单防火墙运行的层次少，而复杂防火墙运行的层次就多,防火墙的功能分类,包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙个人防火墙设备,包过滤防火墙,最基本的防火墙功能 包含有许多过滤规则 最基本的工作模式是工作在第二，第三层 存取控制一般基于以下参数 原地址：数据包从哪里来 目标地址：数据包要进入哪个系统 通信类型：通信协议，IP、IPX或其他协议 其他信息，IP数据包头的其他信息 第二层工作可以增加冗余和完成负载均衡,边界路由器包过滤Boundary Router Packet Filter,ISP,边界路由器包过滤,外部DMZ,受保护的内网,主防火墙,demilitarized zone,包过滤防火墙特点,非常快，可以安装在最外的边界上 根据策略，如阻止SNMP,允许HTTP 可能的弱点 应用相关的漏洞没有办法保护 审计不够详细 无法支持高级的用户认证 无法防止高级攻击，如IP地址假冒 目前，很难找到只有包过滤功能的防火墙 路由器，SOHO防火墙，操作系统自带的防火墙,状态检查防火墙tateful Inspection Firewalls,工作在2，3，4层 不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态,应用代理网关防火墙Application-Proxy Gateway Firewalls,代理网关防火墙主要工作在应用层(2,3,4,7) 部分语义的检查 可以进行用户认证 身份认证,基于生物特征的认证 可以进行原地址检查 不足 慢,不适合快速网络 针对新的应用,升级麻烦,专用代理防火墙Dedicated Proxy Servers,混合的防火墙Hybrid Firewall,现有的防火墙基本都是混合功能的 配置，安装更加复杂 考察功能参数就很重要 后面介绍防火墙的一些其他基本功能,备份的基本知识,备份的内容 重要数据的备份 系统文件的备份 应用程序的备份 整个分区或整个硬盘的备份日志文件的备份,应该设置在非工作时间进行，以免影响机器的运行。依计划定期执行每日、每周甚至每月的备份工作。 备份文件存放的地方，相对大型网络而言，备份的数据应该放在专用的备份机器上；而对于单机用户而言，备份的数据主要放在相对安全的分区。,备份的时间和目的地,备份的层次： 硬件级、软件级和人工级。 备份的方式 常用的是：完全备份、增量备份、差分备份 备份的类型 常见的有：集中备份、本地备份和远程备份,1）恢复硬件。 2）重新装入操作系统。 3）设置操作系统（驱动程序设置、系统、用户设置等）。 4）重新装入应用程序，进行系统设置。 5）用最新的备份恢复系统数据。,返回本节,备份与灾难恢复,网络备份,理想的网络备份系统应该具有4个不可或缺的功能： （1）文件备份和恢复 （2）数据库备份和恢复 （3）系统灾难恢复 （4）备份任务管理,返回本节,数据失效与备份的意义,数据失效 造成数据失效的原因大致可以分为4类：自然灾害、硬件故障、软件故障、人为原因。其中软件故障和人为原因是数据失效的主要原因。 备份的意义 在发生数据失效时，系统无法使用，但由于保存了一套备份数据，利用恢复措施就能够很快将损坏的数据重新建立起来。,返回本节,课后作业,熟悉信息安全的基本概念 了解安全使用计算机的常识 完成习题并熟记掌握,