我的笔记信息安全技术PPT课件

信息安全技术FEI LINGFEI LINGFEI LINGFEI LING我的笔记信息安全技术信息信息“信息信息信息信息”一词有着很悠久的历史，早在两千多年前的西汉，即有一词有着很悠久的历史，早在两千多年前的西汉，即有一词有着很悠久的历史，早在两千多年前的西汉，即有一词有着很悠久的历史，早在两千多年前的西汉，即有“信信信信”字的出现。字的出现。字的出现。字的出现。“信信信信”常可作消息来理解。作为日常用语，常可作消息来理解。作为日常用语，常可作消息来理解。作为日常用语，常可作消息来理解。作为日常用语，“信息信息信息信息”经经经经常是指常是指常是指常是指“音讯、消息音讯、消息音讯、消息音讯、消息”的意思，但至今信息还没有一个公认的定义。的意思，但至今信息还没有一个公认的定义。的意思，但至今信息还没有一个公认的定义。的意思，但至今信息还没有一个公认的定义。信息特性信息特性信息特性信息特性 ：一是信息具有主观和客观的两重性。二是信息的无限延续：一是信息具有主观和客观的两重性。二是信息的无限延续：一是信息具有主观和客观的两重性。二是信息的无限延续：一是信息具有主观和客观的两重性。二是信息的无限延续性。三是信息不守恒性。三是信息不守恒性。三是信息不守恒性。三是信息不守恒 。信息的形态信息的形态信息的形态信息的形态 ：信息一般有信息一般有信息一般有信息一般有4 4种形态：数据、文本、声音、图像。这种形态：数据、文本、声音、图像。这种形态：数据、文本、声音、图像。这种形态：数据、文本、声音、图像。这4 4种种种种形态可以相互转化，例如，照片被传送到计算机，就把图像转化成了形态可以相互转化，例如，照片被传送到计算机，就把图像转化成了形态可以相互转化，例如，照片被传送到计算机，就把图像转化成了形态可以相互转化，例如，照片被传送到计算机，就把图像转化成了数字。数字。数字。数字。信息构成是由信息源信息构成是由信息源信息构成是由信息源信息构成是由信息源 、内容内容内容内容 、载体载体载体载体 、传输传输传输传输 、接受者接受者接受者接受者 信息特征信息特征信息特征信息特征 ：(1)(1)可可可可识别识别性性性性 ：信息是可以识别的信息是可以识别的信息是可以识别的信息是可以识别的 (2)(2)可存可存可存可存储储性性性性 ：信息是信息是信息是信息是可以通过各种方法存储的可以通过各种方法存储的可以通过各种方法存储的可以通过各种方法存储的 (3)(3)可可可可扩扩充性充性充性充性 ：信息随着时间的变化，将不信息随着时间的变化，将不信息随着时间的变化，将不信息随着时间的变化，将不断扩充断扩充断扩充断扩充 (4)(4)可可可可压缩压缩性性性性 ：人们对信息进行加工、整理、概括、归纳就可人们对信息进行加工、整理、概括、归纳就可人们对信息进行加工、整理、概括、归纳就可人们对信息进行加工、整理、概括、归纳就可使之精练，从而浓缩使之精练，从而浓缩使之精练，从而浓缩使之精练，从而浓缩 (5)(5)可可可可传递传递性性性性 ：信息的可传递性是信息的本质等信息的可传递性是信息的本质等信息的可传递性是信息的本质等信息的可传递性是信息的本质等征征征征 (6)(6)可可可可转换转换性性性性 ：信息是可以由一种形态转换成另一种形态信息是可以由一种形态转换成另一种形态信息是可以由一种形态转换成另一种形态信息是可以由一种形态转换成另一种形态 (7)(7)特定特定特定特定范范范范围围有效性有效性有效性有效性 ：信息在特定的范围内是有效的，否则是无效的信息在特定的范围内是有效的，否则是无效的信息在特定的范围内是有效的，否则是无效的信息在特定的范围内是有效的，否则是无效的 我的笔记信息安全技术信息安全信息安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。常地运行，信息服务不中断。常地运行，信息服务不中断。常地运行，信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性种类型的威胁、干扰和破坏，即保证信息的安全性种类型的威胁、干扰和破坏，即保证信息的安全性种类型的威胁、干扰和破坏，即保证信息的安全性 根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。性、可用性、保密性和可靠性。性、可用性、保密性和可靠性。性、可用性、保密性和可靠性。信息安全的主要问题信息安全的主要问题信息安全的主要问题信息安全的主要问题 ：网络攻击与攻击检测、防范问题网络攻击与攻击检测、防范问题网络攻击与攻击检测、防范问题网络攻击与攻击检测、防范问题 安全漏安全漏安全漏安全漏洞与安全对策问题洞与安全对策问题洞与安全对策问题洞与安全对策问题 信息安全保密问题信息安全保密问题信息安全保密问题信息安全保密问题 系统内部安全防范问题系统内部安全防范问题系统内部安全防范问题系统内部安全防范问题 防病毒问题防病毒问题防病毒问题防病毒问题 数据备份与恢复问题、灾难恢复问题数据备份与恢复问题、灾难恢复问题数据备份与恢复问题、灾难恢复问题数据备份与恢复问题、灾难恢复问题 我的笔记信息安全技术信息安全技术信息安全技术 信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为整性、可用性、可控性和不可否认性，进而又发展为整性、可用性、可控性和不可否认性，进而又发展为整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、攻（攻击）、攻（攻击）、攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）防（防范）、测（检测）、控（控制）、管（管理）、评（评估）防（防范）、测（检测）、控（控制）、管（管理）、评（评估）防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技术包括以下几方面的内容。术包括以下几方面的内容。术包括以下几方面的内容。术包括以下几方面的内容。我的笔记信息安全技术目前信息安全技目前信息安全技术术包含包含哪哪些技些技术术？身身身身 份份份份 认认认认 证证证证 技技技技 术术术术 1 1边边边边 界界界界 防防防防 护护护护 技技技技 术术术术 3 3安安安安 全全全全 审审审审 计计计计 技技技技 术术术术 6 6加加加加 解解解解 密密密密 技技技技 术术术术 2 2访访访访 问问问问 控控控控 制制制制 技技技技 术术术术 4 4检检检检 测测测测 监监监监 控控控控 技技技技 术术术术 7 7主主主主 机机机机 加加加加 固固固固 技技技技 术术术术 5 5我的笔记信息安全技术身份认证技术身份认证技术 在计算机网络中确认操作者身份的过程在计算机网络中确认操作者身份的过程在计算机网络中确认操作者身份的过程在计算机网络中确认操作者身份的过程 who you arewho you are whatwhat you know you know what you havewhat you have 根据你所知道的信息来证明你的身份根据你所知道的信息来证明你的身份根据你所知道的信息来证明你的身份根据你所知道的信息来证明你的身份 直接根据独一无二的身体特征来证明你的身份直接根据独一无二的身体特征来证明你的身份直接根据独一无二的身体特征来证明你的身份直接根据独一无二的身体特征来证明你的身份 根据你所拥有的东西来证明你的身份根据你所拥有的东西来证明你的身份根据你所拥有的东西来证明你的身份根据你所拥有的东西来证明你的身份 我的笔记信息安全技术加解密技术加解密技术 出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保密的信息进行处理，使得处理后的信息不能被非受权者密的信息进行处理，使得处理后的信息不能被非受权者密的信息进行处理，使得处理后的信息不能被非受权者密的信息进行处理，使得处理后的信息不能被非受权者(含非法者含非法者含非法者含非法者)读读读读懂或解读，这一过程称为加密懂或解读，这一过程称为加密懂或解读，这一过程称为加密懂或解读，这一过程称为加密 在加密处理过程中，需要保密的信息称为在加密处理过程中，需要保密的信息称为在加密处理过程中，需要保密的信息称为在加密处理过程中，需要保密的信息称为“明文明文明文明文”，经加密处理后的，经加密处理后的，经加密处理后的，经加密处理后的信息称为信息称为信息称为信息称为“密文密文密文密文”。加密即是将。加密即是将。加密即是将。加密即是将“明文明文明文明文”变为变为变为变为“密文密文密文密文”的过程；与此的过程；与此的过程；与此的过程；与此类似，将类似，将类似，将类似，将“密文密文密文密文”变为变为变为变为“明文明文明文明文”的过程被称为解密。的过程被称为解密。的过程被称为解密。的过程被称为解密。加密技术包括两个元素：算法和密钥加密技术包括两个元素：算法和密钥加密技术包括两个元素：算法和密钥加密技术包括两个元素：算法和密钥 【算法是将普通的文本（或者可算法是将普通的文本（或者可算法是将普通的文本（或者可算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。步骤，密钥是用来对数据进行编码和解码的一种算法。步骤，密钥是用来对数据进行编码和解码的一种算法。步骤，密钥是用来对数据进行编码和解码的一种算法。】对数据加密的技术分为两类，即对数据加密的技术分为两类，即对数据加密的技术分为两类，即对数据加密的技术分为两类，即对称加密对称加密对称加密对称加密（私人密钥加密）和（私人密钥加密）和（私人密钥加密）和（私人密钥加密）和非对称非对称非对称非对称加密加密加密加密（公开密钥加密）。（公开密钥加密）。（公开密钥加密）。（公开密钥加密）。我的笔记信息安全技术边界防护技术边界防护技术 防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的特殊网络互连设备部网络操作环境的特殊网络互连设备部网络操作环境的特殊网络互连设备部网络操作环境的特殊网络互连设备 防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成入侵检测入侵检测入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。我的笔记信息安全技术访问控制技术访问控制技术 保证网络资源不被非法使用和访问保证网络资源不被非法使用和访问保证网络资源不被非法使用和访问保证网络资源不被非法使用和访问 自主访问控制自主访问控制（DAC）自主访问控制，又称为随意访问控制，根据用户的身份及允许访问权限决定其访问操作，只要用户身份被确认后，即可根据访问控制表上赋予该用户的权限进行限制性用户访问。在强制访问控制中，每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定用户和组的访问权限。.角色访问策略是根据用户在系统里表现的活动性质而定的，活动性质表明用户充当一定的角色，用户访问系统时，系统必须先检查用户的角色。一个用户可以充当多个角色、一个角色也可以由多个用户担任。强制访问控制强制访问控制（MAC）角色访问控制角色访问控制（RBAC）我的笔记信息安全技术主机加固技术主机加固技术 操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁网络系统遭受严重的威胁网络系统遭受严重的威胁网络系统遭受严重的威胁 我的笔记信息安全技术安全审计技术安全审计技术 包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。网络行为审计，确认行为的合规性，确保管理的安全。网络行为审计，确认行为的合规性，确保管理的安全。网络行为审计，确认行为的合规性，确保管理的安全。网络层审计网络层审计系统层审计系统层审计应用层审计应用层审计我的笔记信息安全技术安全审计技术安全审计技术 在安全在安全在安全在安全审计报审计报告中告中告中告中应该应该包括：包括：包括：包括：总总体体体体评评价价价价现现在的安全在的安全在的安全在的安全级别级别：你：你：你：你应该给应该给出低、中、高的出低、中、高的出低、中、高的出低、中、高的结论结论，包括你，包括你，包括你，包括你监视监视的网的网的网的网络络设备设备的的的的简简要要要要评评价（例如：大型机、路由器、价（例如：大型机、路由器、价（例如：大型机、路由器、价（例如：大型机、路由器、NTNT系系系系统统、UNIXUNIX系系系系统统等等）；等等）；等等）；等等）；对对偶然的、有偶然的、有偶然的、有偶然的、有经验经验的和的和的和的和专专家家家家级级的黑客入侵系的黑客入侵系的黑客入侵系的黑客入侵系统统作出作出作出作出时间时间上的估上的估上的估上的估计计；简简要要要要总结总结出你的最重要的建出你的最重要的建出你的最重要的建出你的最重要的建议议；详细详细列列列列举举你在你在你在你在审计过审计过程中的步程中的步程中的步程中的步骤骤：此：此：此：此时时可以提及一些在可以提及一些在可以提及一些在可以提及一些在侦查侦查、渗透和控制、渗透和控制、渗透和控制、渗透和控制阶阶段段段段你你你你发现发现的有趣的有趣的有趣的有趣问题问题；对对各种网各种网各种网各种网络络元素提出建元素提出建元素提出建元素提出建议议，包括路由器、端口、服，包括路由器、端口、服，包括路由器、端口、服，包括路由器、端口、服务务、登、登、登、登陆账户陆账户、物理安全等、物理安全等、物理安全等、物理安全等等；等；等；等；讨论讨论物理安全：物理安全：物理安全：物理安全：许许多网多网多网多网络对络对重要重要重要重要设备设备的的的的摆摆放都不注意。例如，有的公司把文件放都不注意。例如，有的公司把文件放都不注意。例如，有的公司把文件放都不注意。例如，有的公司把文件服服服服务务器置于接待台的桌子后，一旦接待人器置于接待台的桌子后，一旦接待人器置于接待台的桌子后，一旦接待人器置于接待台的桌子后，一旦接待人员员离开，离开，离开，离开，则则服服服服务务器便暴露在网器便暴露在网器便暴露在网器便暴露在网络络攻攻攻攻击击下。有一次，安全下。有一次，安全下。有一次，安全下。有一次，安全设计设计人人人人员员抱着机器离开，安全守抱着机器离开，安全守抱着机器离开，安全守抱着机器离开，安全守卫还卫还帮了忙；帮了忙；帮了忙；帮了忙；安全安全安全安全审计领审计领域内使用的域内使用的域内使用的域内使用的术语术语。最后，最后，最后，最后，记记着着着着递递交你的交你的交你的交你的审计报审计报告。因告。因告。因告。因为为安全安全安全安全审计审计涉及了商涉及了商涉及了商涉及了商业业和技和技和技和技术术行行行行为为，所以，所以，所以，所以应应该该把你的把你的把你的把你的报报告告告告递递交交交交给给两方面的两方面的两方面的两方面的负责负责人。如果你采用人。如果你采用人。如果你采用人。如果你采用电电子子子子邮邮件的方式件的方式件的方式件的方式递递交交交交报报告，告，告，告，最好最好最好最好对报对报告告告告进进行数字行数字行数字行数字签签名和加密。名和加密。名和加密。名和加密。我的笔记信息安全技术检测监控技术检测监控技术 对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制，避免网络流量对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制，避免网络流量对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制，避免网络流量对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。的滥用、垃圾信息和有害信息的传播。的滥用、垃圾信息和有害信息的传播。的滥用、垃圾信息和有害信息的传播。流量控制用于防止在端口阻塞的情况下丢帧，这种方法是当发送或接收缓冲区开始溢出流量控制用于防止在端口阻塞的情况下丢帧，这种方法是当发送或接收缓冲区开始溢出流量控制用于防止在端口阻塞的情况下丢帧，这种方法是当发送或接收缓冲区开始溢出流量控制用于防止在端口阻塞的情况下丢帧，这种方法是当发送或接收缓冲区开始溢出时通过将阻塞信号发送回源地址实现的。流量控制可以有效的防止由于网络中瞬间的大时通过将阻塞信号发送回源地址实现的。流量控制可以有效的防止由于网络中瞬间的大时通过将阻塞信号发送回源地址实现的。流量控制可以有效的防止由于网络中瞬间的大时通过将阻塞信号发送回源地址实现的。流量控制可以有效的防止由于网络中瞬间的大量数据对网络带来的冲击，保证用户网络高效而稳定的运行。量数据对网络带来的冲击，保证用户网络高效而稳定的运行。量数据对网络带来的冲击，保证用户网络高效而稳定的运行。量数据对网络带来的冲击，保证用户网络高效而稳定的运行。在在半双工半双工方式下，流量方式下，流量控制是通过反向压力控制是通过反向压力（backpressure）即我们通常）即我们通常说的背压计数实现的，说的背压计数实现的，这种计数是通过向发送这种计数是通过向发送源发送源发送jamming信号信号使得信息源降低发送速度。使得信息源降低发送速度。在在全双工全双工方式下，方式下，流量控制一般遵循流量控制一般遵循IEEE 802.3X标准，是由交换机标准，是由交换机向信息源发送向信息源发送“pause”帧帧令其暂停发送。令其暂停发送。我的笔记信息安全技术HTP模型模型 Human and management Technology and products Process and Framework 信息安全的建设是一个系统工程信息安全的建设是一个系统工程信息安全的建设是一个系统工程信息安全的建设是一个系统工程人员与管理人员与管理人员与管理人员与管理 技术与产品技术与产品技术与产品技术与产品 流程与体系流程与体系流程与体系流程与体系 3 32 21 1我的笔记信息安全技术我的笔记信息安全技术