《《信息安全技術(shù)》PPT課件》由會員分享，可在線閱讀，更多相關(guān)《《信息安全技術(shù)》PPT課件（45頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第11章 信息安全技術(shù),信息處理技術(shù)基礎(chǔ)教程,主要介紹計算機信息安全技術(shù)的基礎(chǔ)知識。通過本章學習，讀者應該掌握安全管理和日常維護原理。 主要內(nèi)容有：,學習目標,信息安全的概念 計算機病毒 防火墻技術(shù) 知識產(chǎn)權(quán)與相關(guān)法規(guī),實體安全 加密和解密 數(shù)據(jù)備份和恢復技術(shù),信息安全的概念 定義,國際標準化組織（ISO）定義信息安全 （information security）為“數(shù)據(jù)處理系統(tǒng)建立 和采取的技術(shù)和管理的安全保護，保護計算機硬件、 軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、 更改和顯露”。,信息安全包含3層含義。 一是系統(tǒng)安全，即系統(tǒng)運行安全； 二是系統(tǒng)中的信息安全，即通過對用戶權(quán)限的控制、數(shù)

2、據(jù)加密等手段確保信息不被非授權(quán)者獲取和篡改； 三是管理安全，即用綜合手段對信息資源和系統(tǒng)安全運行進行有效管理。,信息安全的概念 屬性,（1）保密性（Confidentiality） （2）完整性（Integrity） （3）可用性（Availability） （4）可控性（Controllability） （5）不可否認性（Incontestability）,信息安全技術(shù)研究內(nèi)容,實體安全 軟件系統(tǒng)安全 加密技術(shù) 網(wǎng)絡(luò)安全防護 數(shù)據(jù)信息安全 認證技術(shù) 計算機病毒防治技術(shù) 防火墻與隔離技術(shù) 入侵檢測技術(shù),實體安全,溫度對機房的設(shè)置要求為： （1）機房設(shè)置在樓房內(nèi)，應盡量避免將機房放在頂層，最好放

3、在13層，其中以23層最為理想，如此可將太陽輻射熱的影響減至最小程度。 （2）在設(shè)計機房照明時應采用高效冷光燈具。以達到節(jié)能與降低熱量的目的。 （3）在放置機房設(shè)備時，應盡 量將穩(wěn)壓電源等運行時產(chǎn)生較高熱量的外圍設(shè)備與計算機分室放置。,實體安全,防止機房空氣過濕過干的措施較為簡單，因影響機房相對濕度的主要因素是機房室內(nèi)溫度，所以機房的控濕主要是通過控溫來實現(xiàn)的，另外對于環(huán)境空氣相對濕度較高、較低地區(qū)的機房還可使用空氣除濕器等設(shè)備作為控濕設(shè)備。,8,實體安全,對機房灰塵的防護主要從以下幾個方面考慮： （1）室凈化對于空氣潔凈度要求較高的機房一般采用全室凈化方式 （2）嚴格把握建筑設(shè)計關(guān)在建筑 （

4、3）人身凈化在機房入口處安裝風浴通道 （4） 采取其他有效措施將設(shè)備操作、運行過程中的發(fā)塵量減至最少,9,計算機病毒,定義 ：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼 。,特性： 傳染性 隱蔽性 破壞性 潛伏性,10,計算機病毒的分類,引導型病毒：寄生在磁盤的引導區(qū)或硬盤的主引導扇區(qū)。 文件型病毒：寄生在文件內(nèi)的計算機病毒，主要感染.exe和.com文件。 混合型病毒：同時具有引導型和文件型病毒的寄生方式。 宏病毒：一般指寄生在文檔上的宏代碼。,11,計算機病毒的入侵方式,利用操作系統(tǒng)漏洞傳播病毒 通過電子郵件

5、傳播病毒 通過網(wǎng)站下載傳播病毒 通過即時通訊工具傳播病毒 通過感染文件傳播 通過其他方式進行感染,12,計算機病毒的入侵方式,利用操作系統(tǒng)漏洞傳播病毒 通過電子郵件傳播病毒 通過網(wǎng)站下載傳播病毒 通過即時通訊工具傳播病毒 通過感染文件傳播 通過其他方式進行感染,13,計算機病毒的預防,“三打” ： 就是安裝新的計算機系統(tǒng)時，要注意打系統(tǒng)補??； 用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控； 玩網(wǎng)絡(luò)游戲時要打開個人防火墻。,“三防” ： 防郵件病毒，不要隨意打開電子郵件里攜帶的附件； 防木馬病毒，用戶從網(wǎng)上下載任何文件后，一定要先進行病毒掃描再運行； 防惡意“好友”，現(xiàn)在很多木馬病毒可以通過 MSN、

6、QQ等即時通信軟件或電子郵件傳播，一旦用戶的在線好友感染病毒，那么所有好友將會遭到病毒的入侵。,密碼技術(shù),加密的概念 私鑰與公鑰 報文摘要 數(shù)字簽名 數(shù)字證書 加密技術(shù)分類,密碼技術(shù),組成 算法，algorithm (公用) 密鑰，keys (私有) 加密算法是將明文轉(zhuǎn)換成密文的數(shù)學方法。強的加密算法很難破解。 密鑰：具有確定bit長度的數(shù)字單元。,密碼技術(shù),私鑰或?qū)ΨQ密鑰：加密、解密用同一種密鑰。DES標準算法就是常用的私鑰算法。 公鑰或非對稱密鑰：在加密和解密中使用兩個不同的密鑰，私鑰用來保護數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗信息及其發(fā)送者的真實性和身份。,私鑰與公鑰,公鑰：任何人都

7、可以用公鑰加密信息，但有私鑰的人才可解密信息。很少用公鑰加密長文。但常用于認證（較短文本）、不可否認（只有發(fā)送方知道私鑰）及建立在線共享密鑰（使用私鑰加密共享密鑰）。,私鑰與公鑰(cont.),相同密鑰,方案,&#,&#,方案,發(fā)方,收方,明文,密文,明文,密文,單鑰加密體制,算法 DES IDEA AES,防護技術(shù)加密：密碼體制,加密密鑰,方案,&#,&#,方案,發(fā)方,收方,明文,密文,明文,密文,雙鑰加密體制,解密密鑰,認證中心,公鑰（證書）,私鑰（智能卡）,代表算法 RSA 橢圓曲線,防護技術(shù)加密：密碼體制,鏈路層,鏈路/物理層 （1 2）,網(wǎng)絡(luò)層加密,傳輸/網(wǎng)絡(luò)層 （3 4）,應用層加

8、密,應用層 （5 7）,鏈路層,防護技術(shù)加密：加密機制的配置,報文摘要（ Message Digest）,也叫散列函數(shù)（ hash function）或單向 轉(zhuǎn)換 （one-way transform）。用于數(shù)據(jù)認證與數(shù)據(jù)完整性。 加算法于任一報文且轉(zhuǎn)換為一個固定長度的數(shù)據(jù)即為報文摘要(finger-print)。 對不同報文，很難有同樣的報文摘要。這與不同的人有不同的指紋很類似。,數(shù)字簽名,A的簽名私鑰,用戶A,明文,用戶B,hash,加密,簽名,A的簽名公鑰,解密,摘要,摘要,數(shù)字簽名(cont.),使用公鑰系統(tǒng) 等效于紙上物理簽名 如報文被改變，則與簽名不匹配 只有有私鑰的人才可生成簽名

9、， 并用于證明報文來源于發(fā)送方 A使用其私鑰對報文簽名， B用公鑰查驗（解密）報文,數(shù)字信封,加密,對稱密鑰,用戶A,明文,密文,用戶B的公鑰,數(shù)字信封,解密,用戶B,密文,明文,用戶B的私鑰,對稱密鑰,數(shù)字簽名較報文摘要昂貴，因其處理強度大 為提高其效率，對一個長文進行簽名的常用方法是先生成一個報文摘要，然后再對報文摘要進行簽名。 使用這種方法，我們不但可以證明報文來源于A (A對報文簽名，不可否認)，而且確定報文在傳輸過程中未被修改 (報文摘要，機密性)。 由于只有 A知道其私有密鑰，一旦他加密 (簽名)了報文摘要 (加密的報文)，他對報文負責 (不可否認)。,報文摘要與數(shù)字簽名(cont

10、.),證書的版本號 數(shù)字證書的序列號 證書擁有者的姓名 證書擁有者的公開密鑰 公開密鑰的有效期 簽名算法 頒發(fā)數(shù)字證書的驗證,數(shù)字證書格式（X.509）,防火墻的基本知識,防火墻的主要目標是控制對一個受保護網(wǎng)絡(luò)的訪問，強迫所有連接都接受防火墻的檢查和評估。 可以是路由器、計算機或一群計算機。 防火墻通過邊界控制保護整個網(wǎng)絡(luò)，而不需要對每個網(wǎng)內(nèi)的主機進行單獨的保護，為內(nèi)網(wǎng)仍舊可以采用相互信任的模式提供了一定的安全基礎(chǔ)。,防火墻能夠做什么？,保護內(nèi)網(wǎng)有漏洞的服務 控制對內(nèi)網(wǎng)系統(tǒng)的訪問 將安全問題集中解決 增加隱私保護 內(nèi)網(wǎng)系統(tǒng)不可見 審計和統(tǒng)計網(wǎng)絡(luò)使用和錯誤 強制執(zhí)行統(tǒng)一的安全策略,防火墻的缺陷?

11、,外網(wǎng)獲得內(nèi)網(wǎng)的服務不如原來方便 后門并沒有完全堵住 通過MODEM的外撥 通過MODEM的內(nèi)撥 內(nèi)部攻擊者無法防止 逃避防火墻的監(jiān)管 其他問題 新的攻擊，數(shù)據(jù)驅(qū)動的攻擊，新的病毒，通信瓶頸，依賴（all eggs in single basket）,防火墻運行的網(wǎng)絡(luò)層次,數(shù)據(jù)鏈路層 (Ethernet),網(wǎng)絡(luò)層 Network (IP, ICMP),傳輸層 Transport (TCP, UDP),應用層 Application (FTP, Telnet, DNS, NFS, PING),簡單防火墻運行的層次少，而復雜防火墻運行的層次就多,防火墻的功能分類,包過濾防火墻 狀態(tài)檢查機制防火墻

12、應用代理網(wǎng)關(guān)防火墻 專用代理防火墻 混合型防火墻 網(wǎng)絡(luò)地址轉(zhuǎn)換 基于主機的防火墻 個人防火墻個人防火墻設(shè)備,包過濾防火墻,最基本的防火墻功能 包含有許多過濾規(guī)則 最基本的工作模式是工作在第二，第三層 存取控制一般基于以下參數(shù) 原地址：數(shù)據(jù)包從哪里來 目標地址：數(shù)據(jù)包要進入哪個系統(tǒng) 通信類型：通信協(xié)議，IP、IPX或其他協(xié)議 其他信息，IP數(shù)據(jù)包頭的其他信息 第二層工作可以增加冗余和完成負載均衡,邊界路由器包過濾Boundary Router Packet Filter,ISP,邊界路由器包過濾,外部DMZ,受保護的內(nèi)網(wǎng),主防火墻,demilitarized zone,包過濾防火墻特點,非?？?，

13、可以安裝在最外的邊界上 根據(jù)策略，如阻止SNMP,允許HTTP 可能的弱點 應用相關(guān)的漏洞沒有辦法保護 審計不夠詳細 無法支持高級的用戶認證 無法防止高級攻擊，如IP地址假冒 目前，很難找到只有包過濾功能的防火墻 路由器，SOHO防火墻，操作系統(tǒng)自帶的防火墻,狀態(tài)檢查防火墻tateful Inspection Firewalls,工作在2，3，4層 不是簡單開放大于1023的端口而是記住每個TCP連接或UDP通信的狀態(tài),應用代理網(wǎng)關(guān)防火墻Application-Proxy Gateway Firewalls,代理網(wǎng)關(guān)防火墻主要工作在應用層(2,3,4,7) 部分語義的檢查 可以進行用戶認證 身

14、份認證,基于生物特征的認證 可以進行原地址檢查 不足 慢,不適合快速網(wǎng)絡(luò) 針對新的應用,升級麻煩,專用代理防火墻Dedicated Proxy Servers,混合的防火墻Hybrid Firewall,現(xiàn)有的防火墻基本都是混合功能的 配置，安裝更加復雜 考察功能參數(shù)就很重要 后面介紹防火墻的一些其他基本功能,備份的基本知識,備份的內(nèi)容 重要數(shù)據(jù)的備份 系統(tǒng)文件的備份 應用程序的備份 整個分區(qū)或整個硬盤的備份日志文件的備份,應該設(shè)置在非工作時間進行，以免影響機器的運行。依計劃定期執(zhí)行每日、每周甚至每月的備份工作。 備份文件存放的地方，相對大型網(wǎng)絡(luò)而言，備份的數(shù)據(jù)應該放在專用的備份機器上；而對于

15、單機用戶而言，備份的數(shù)據(jù)主要放在相對安全的分區(qū)。,備份的時間和目的地,備份的層次： 硬件級、軟件級和人工級。 備份的方式 常用的是：完全備份、增量備份、差分備份 備份的類型 常見的有：集中備份、本地備份和遠程備份,1）恢復硬件。 2）重新裝入操作系統(tǒng)。 3）設(shè)置操作系統(tǒng)（驅(qū)動程序設(shè)置、系統(tǒng)、用戶設(shè)置等）。 4）重新裝入應用程序，進行系統(tǒng)設(shè)置。 5）用最新的備份恢復系統(tǒng)數(shù)據(jù)。,返回本節(jié),備份與災難恢復,網(wǎng)絡(luò)備份,理想的網(wǎng)絡(luò)備份系統(tǒng)應該具有4個不可或缺的功能： （1）文件備份和恢復 （2）數(shù)據(jù)庫備份和恢復 （3）系統(tǒng)災難恢復 （4）備份任務管理,返回本節(jié),數(shù)據(jù)失效與備份的意義,數(shù)據(jù)失效 造成數(shù)據(jù)失效的原因大致可以分為4類：自然災害、硬件故障、軟件故障、人為原因。其中軟件故障和人為原因是數(shù)據(jù)失效的主要原因。 備份的意義 在發(fā)生數(shù)據(jù)失效時，系統(tǒng)無法使用，但由于保存了一套備份數(shù)據(jù)，利用恢復措施就能夠很快將損壞的數(shù)據(jù)重新建立起來。,返回本節(jié),課后作業(yè),熟悉信息安全的基本概念 了解安全使用計算機的常識 完成習題并熟記掌握,