教学课件第11章信息安全技术

《教学课件第11章信息安全技术》由会员分享，可在线阅读，更多相关《教学课件第11章信息安全技术（45页珍藏版）》请在装配图网上搜索。

1、 信息处理技术信息处理技术第第1111章章 信息安全技术信息安全技术信息处理技术基础教程信息处理技术基础教程 信息处理技术信息处理技术 主要介绍计算机信息安全技术的基础知识。主要介绍计算机信息安全技术的基础知识。通过本章学习，读者应该掌握安全管理和日常维护通过本章学习，读者应该掌握安全管理和日常维护原理。原理。主要内容有：主要内容有：学习目标信息安全的概念信息安全的概念 计算机病毒计算机病毒 防火墙技术防火墙技术 知识产权知识产权与相关与相关法规法规 实体安全实体安全 加密和解密加密和解密 数据数据备份和备份和恢复技术恢复技术 信息处理技术信息处理技术信息安全的概念信息安全的概念 定义 国际标

2、准化组织（国际标准化组织（ISOISO）定义信息安全）定义信息安全（information securityinformation security）为）为“数据处理系统建立数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露更改和显露”。信息安全包含3层含义。一是系统安全，即系统运行安全；二是系统中的信息安全，即通过对用户权限的控制、数据加密等手段确保信息不被非授权者获取和篡改；三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。信

3、息处理技术信息处理技术信息安全的概念信息安全的概念 属性（1 1）保密性（）保密性（ConfidentialityConfidentiality）（2 2）完整性（）完整性（IntegrityIntegrity）（3 3）可用性（）可用性（AvailabilityAvailability）（4 4）可控性（）可控性（ControllabilityControllability）（5 5）不可否认性（）不可否认性（IncontestabilityIncontestability）信息处理技术信息处理技术信息安全技术研究内容信息安全技术研究内容 实体安全软件系统安全加密技术网络安全防护数据信息安全

4、认证技术计算机病毒防治技术防火墙与隔离技术入侵检测技术 信息处理技术信息处理技术实体安全实体安全 温度对机房的设置要求为：（1）机房设置在楼房内，应尽量避免将机房放在顶层，最好放在13层，其中以23层最为理想，如此可将太阳辐射热的影响减至最小程度。（2）在设计机房照明时应采用高效冷光灯具。以达到节能与降低热量的目的。（3）在放置机房设备时，应尽量将稳压电源等运行时产生较高热量的外围设备与计算机分室放置。信息处理技术信息处理技术实体安全实体安全 防止机房空气过湿过干的措施较为简单，因影响机房相对湿度的主要因素是机房室内温度，所以机房的控湿主要是通过控温来实现的，另外对于环境空气相对湿度较高、较低

5、地区的机房还可使用空气除湿器等设备作为控湿设备。信息处理技术信息处理技术8实体安全实体安全对机房灰尘的防护主要从以下几个方面考虑：（1）室净化对于空气洁净度要求较高的机房一般采用全室净化方式（2）严格把握建筑设计关在建筑（3）人身净化在机房入口处安装风浴通道（4）采取其他有效措施将设备操作、运行过程中的发尘量减至最少 信息处理技术信息处理技术9计算机病毒计算机病毒定义定义：计算机病毒是指编制或者在计算机程序中插计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码且能够自我复制的一

6、组计算机指令或者程序代码 。特性特性：传染性 隐蔽性 破坏性 潜伏性 信息处理技术信息处理技术10计算机病毒的分类计算机病毒的分类引导型病毒：寄生在磁盘的引导区或硬盘的主引导：寄生在磁盘的引导区或硬盘的主引导扇区。扇区。文件型病毒：寄生在文件内的计算机病毒，主要感：寄生在文件内的计算机病毒，主要感染染.exe和和.com文件。文件。混合型病毒：同时具有引导型和文件型病毒的寄生：同时具有引导型和文件型病毒的寄生方式。方式。宏病毒：一般指寄生在文档上的宏代码。：一般指寄生在文档上的宏代码。信息处理技术信息处理技术11计算机病毒的入侵方式计算机病毒的入侵方式利用操作系统漏洞传播病毒通过电子邮件传播病

7、毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术12计算机病毒的入侵方式计算机病毒的入侵方式利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术13计算机病毒的预防计算机病毒的预防“三打三打”：就是安装新的计算机系统时，要注意打系统补丁；就是安装新的计算机系统时，要注意打系统补丁；用户上网的时候要打开杀毒软件实时监控；用户上网的时候要打开杀毒软件实时监控；玩网络游戏时要打开个人防火墙。玩网络游戏时要打开个人防火墙。“三防三防”：防邮件病毒

8、，不要随意打开电子邮件里携带的附件；防邮件病毒，不要随意打开电子邮件里携带的附件；防防木木马马病病毒毒，用用户户从从网网上上下下载载任任何何文文件件后后，一一定定要要先先进进行行病病毒扫描再运行；毒扫描再运行；防防恶恶意意“好好友友”，现现在在很很多多木木马马病病毒毒可可以以通通过过 MSNMSN、QQQQ等等即即时时通通信信软软件件或或电电子子邮邮件件传传播播，一一旦旦用用户户的的在在线线好好友友感感染染病病毒，那么所有好友将会遭到病毒的入侵。毒，那么所有好友将会遭到病毒的入侵。信息处理技术信息处理技术密码技术加密的概念私钥与公钥报文摘要数字签名数字证书加密技术分类密码技术 信息处理技术信息

9、处理技术组成n算法，算法，algorithm(公用公用)n密钥，密钥，keys(私有私有)加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。密钥：具有确定bit长度的数字单元。密码技术 信息处理技术信息处理技术私钥或对称密钥：加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。私钥与公钥私钥与公钥 信息处理技术信息处理技术公钥：任何人都可以用公钥加密信息，但公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文。有私钥的人

10、才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有发但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私钥送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）加密共享密钥）。私钥与公钥私钥与公钥(cont.)信息处理技术信息处理技术相同密钥相同密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文单钥加密体制单钥加密体制算法 DES IDEA AES 防护技术防护技术加密：密码体制加密：密码体制 信息处理技术信息处理技术加密密钥加密密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文双钥加密体制双钥加密体制解密密钥解密密钥

11、认证中心公钥（证书）私钥（智能卡）代表算法 RSA 椭圆曲线防护技术防护技术加密：密码体制加密：密码体制 信息处理技术信息处理技术链路层链路层链路链路/物理层物理层（1 2）网络层加密网络层加密传输传输/网络层网络层（3 4）应用层加密应用层加密 应用层应用层（5 7）链路层链路层防护技术防护技术防护技术防护技术加密：加密：加密：加密：加密机制的配置加密机制的配置 信息处理技术信息处理技术报文摘要（报文摘要（MessageDigest）也叫散列函数（hashfunction）或单向转换（one-waytransform）。用于数据认证与数据完整性。加算法于任一报文且转换为一个固定长度的数据即为

12、报文摘要(finger-print)。对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。信息处理技术信息处理技术数字签名数字签名A的签名私钥用户A 明文用户Bhash加密签名签名A的签名公钥解密摘要摘要摘要摘要 信息处理技术信息处理技术数字签名数字签名(cont.)使用公钥系统等效于纸上物理签名如报文被改变，则与签名不匹配只有有私钥的人才可生成签名，并用于证明报文来源于发送方A使用其私钥对报文签名，B用公钥查验（解密）报文 信息处理技术信息处理技术数字信封数字信封加密对称密钥用户A 明文明文 密文密文用户B的公钥数字信封解密用户B 密文密文 明文明文用户B的私钥对称密钥 信息处

13、理技术信息处理技术数字签名较报文摘要昂贵，因其处理强度大为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。使用这种方法，我们不但可以证明报文来源于A(A对报文签名，不可否认)，而且确定报文在传输过程中未被修改(报文摘要，机密性)。由于只有A知道其私有密钥，一旦他加密(签名)了报文摘要(加密的报文)，他对报文负责(不可否认)。报文摘要与数字签名报文摘要与数字签名(cont.)信息处理技术信息处理技术证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证数字证书格式（数字证书格式（X.509）信息处理技术信

14、息处理技术防火墙的基本知识防火墙的基本知识防火墙的主要目标是控制对一个受保护网络的访问，防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络，而不需要对每防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。用相互信任的模式提供了一定的安全基础。信息处理技术信息处理技术防火墙能够做什么？保护内网有漏洞的服务保护内网

15、有漏洞的服务控制对内网系统的访问控制对内网系统的访问将安全问题集中解决将安全问题集中解决增加隐私保护增加隐私保护n内网系统不可见审计和统计网络使用和错误审计和统计网络使用和错误强制执行统一的安全策略强制执行统一的安全策略 信息处理技术信息处理技术防火墙的缺陷?外网获得内网的服务不如原来方便后门并没有完全堵住n通过通过MODEM的外拨的外拨n通过通过MODEM的内拨的内拨内部攻击者无法防止n逃避防火墙的监管逃避防火墙的监管其他问题n新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（依赖（alleggsinsinglebasket）信息处理技术信息处

16、理技术防火墙运行的网络层次数据链路层(Ethernet)网络层 Network(IP,ICMP)传输层 Transport(TCP,UDP)应用层 Application(FTP,Telnet,DNS,NFS,PING)简单防火墙运行的层次少，而复杂防火墙运行的层简单防火墙运行的层次少，而复杂防火墙运行的层次就多次就多 信息处理技术信息处理技术防火墙的功能分类包过滤防火墙包过滤防火墙状态检查机制防火墙状态检查机制防火墙应用代理网关防火墙应用代理网关防火墙专用代理防火墙专用代理防火墙混合型防火墙混合型防火墙网络地址转换网络地址转换基于主机的防火墙基于主机的防火墙个人防火墙个人防火墙设备个人防火墙

17、个人防火墙设备 信息处理技术信息处理技术包过滤防火墙最基本的防火墙功能最基本的防火墙功能包含有许多过滤规则包含有许多过滤规则最基本的工作模式是工作在第二，第三层最基本的工作模式是工作在第二，第三层存取控制一般基于以下参数存取控制一般基于以下参数n原地址：数据包从哪里来n目标地址：数据包要进入哪个系统n通信类型：通信协议，IP、IPX或其他协议n其他信息，IP数据包头的其他信息第二层工作可以增加冗余和完成负载均衡第二层工作可以增加冗余和完成负载均衡 信息处理技术信息处理技术边界路由器包过滤BoundaryRouterPacketFilterISP边界路由器包过滤外部DMZ受保护的内网主防火墙de

18、militarized zone 信息处理技术信息处理技术包过滤防火墙特点非常快，可以安装在最外的边界上非常快，可以安装在最外的边界上根据策略，如阻止根据策略，如阻止SNMP,允许允许HTTP可能的弱点可能的弱点n应用相关的漏洞没有办法保护n审计不够详细n无法支持高级的用户认证n无法防止高级攻击，如IP地址假冒目前，很难找到只有包过滤功能的防火墙目前，很难找到只有包过滤功能的防火墙n路由器，SOHO防火墙，操作系统自带的防火墙 信息处理技术信息处理技术状态检查防火墙tatefulInspectionFirewalls工作在工作在2，3，4层层不是简单开放大于不是简单开放大于1023的端口而是记

19、住每个的端口而是记住每个TCP连接或连接或UDP通信的状态通信的状态192.1.1.61098210.9.8.380Established192.1.1.161046173.32.5.1 25Established192.1.1.981356216.1.1.55 80Established 信息处理技术信息处理技术应用代理网关防火墙Application-ProxyGatewayFirewalls代理网关防火墙主要工作在应用层代理网关防火墙主要工作在应用层(2,3,4,7)部分语义的检查部分语义的检查可以进行用户认证可以进行用户认证n身份认证,基于生物特征的认证可以进行原地址检查可以进行原地址

20、检查不足不足n慢,不适合快速网络n针对新的应用,升级麻烦 信息处理技术信息处理技术专用代理防火墙DedicatedProxyServers 信息处理技术信息处理技术混合的防火墙HybridFirewall现有的防火墙基本都是混合功能的现有的防火墙基本都是混合功能的配置，安装更加复杂配置，安装更加复杂考察功能参数就很重要考察功能参数就很重要后面介绍防火墙的一些其他基本功能后面介绍防火墙的一些其他基本功能 信息处理技术信息处理技术备份的基本知识备份的内容备份的内容重要数据的备份系统文件的备份应用程序的备份整个分区或整个硬盘的备份日志文件的备份 信息处理技术信息处理技术应该设置在非工作时间进行，以免

21、影响机器的应该设置在非工作时间进行，以免影响机器的运行。依计划定期执行每日、每周甚至每月的运行。依计划定期执行每日、每周甚至每月的备份工作。备份工作。备份文件存放的地方，相对大型网络而言，备备份文件存放的地方，相对大型网络而言，备份的数据应该放在专用的备份机器上；而对于份的数据应该放在专用的备份机器上；而对于单机用户而言，备份的数据主要放在相对安全单机用户而言，备份的数据主要放在相对安全的分区。的分区。备份的时间和目的地 信息处理技术信息处理技术备份的层次：备份的层次：硬件级、软件级和人工级。硬件级、软件级和人工级。备份的方式备份的方式常用的是：完全备份、增量备份、差分备份常用的是：完全备份、

22、增量备份、差分备份备份的类型备份的类型常见的有：集中备份、本地备份和远程备份常见的有：集中备份、本地备份和远程备份 信息处理技术信息处理技术1）恢复硬件。）恢复硬件。2）重新装入操作系统。）重新装入操作系统。3）设置操作系统（驱动程序设置、系统、用户）设置操作系统（驱动程序设置、系统、用户设置等）。设置等）。4）重新装入应用程序，进行系统设置。）重新装入应用程序，进行系统设置。5）用最新的备份恢复系统数据。）用最新的备份恢复系统数据。返回本节备份与灾难恢复 信息处理技术信息处理技术网络备份理想的网络备份系统应该具有理想的网络备份系统应该具有4个不可或缺的功能：个不可或缺的功能：（1）文件备份和

23、恢复）文件备份和恢复（2）数据库备份和恢复）数据库备份和恢复（3）系统灾难恢复）系统灾难恢复（4）备份任务管理）备份任务管理返回本节 信息处理技术信息处理技术数据失效与备份的意义数据失效数据失效造成数据失效的原因大致可以分为造成数据失效的原因大致可以分为4类：自然类：自然灾害、硬件故障、软件故障、人为原因。其中软件灾害、硬件故障、软件故障、人为原因。其中软件故障和人为原因是数据失效的主要原因。故障和人为原因是数据失效的主要原因。备份的意义备份的意义在发生数据失效时，系统无法使用，但由于保在发生数据失效时，系统无法使用，但由于保存了一套备份数据，利用恢复措施就能够很快将损存了一套备份数据，利用恢复措施就能够很快将损坏的数据重新建立起来。坏的数据重新建立起来。返回本节 信息处理技术信息处理技术课后作业熟悉信息安全的基本概念了解安全使用计算机的常识完成习题并熟记掌握