信息安全技術(shù)的計算環(huán)境概述課件

1、信息安全技術(shù)第1章 熟悉信息安全技術(shù)1.1 信息安全技術(shù)的計算環(huán)境1.2 信息安全技術(shù)的標(biāo)準(zhǔn)化1.3 信息系統(tǒng)的物理安全1.4 Windows系統(tǒng)管理與安全設(shè)置第2章 數(shù)據(jù)備份技術(shù)2.1 優(yōu)化Windows XP磁盤子系統(tǒng)2.2 數(shù)據(jù)存儲解決方案信息安全技術(shù)教學(xué)內(nèi)容第3章 加密與認(rèn)證技術(shù)3.1 個人數(shù)字證書與CA認(rèn)證3.2 加密技術(shù)與DES加解密算法3.3 認(rèn)證技術(shù)與MD5算法第4章 防火墻與網(wǎng)絡(luò)隔離技術(shù)4.1 防火墻技術(shù)及Windows防火墻配置4.2 網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用信息安全技術(shù)教學(xué)內(nèi)容第5章 安全檢測技術(shù)5.1 入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品5.2 漏洞檢測技術(shù)和微軟系統(tǒng)漏洞檢

2、測工具MBSA第6章 訪問控制與審計技術(shù)6.1 訪問控制技術(shù)與Windows訪問控制6.2 審計追蹤技術(shù)與Windows安全審計功能信息安全技術(shù)教學(xué)內(nèi)容第7章 病毒防范技術(shù)7.1 病毒防范技術(shù)與殺病毒軟件7.2 解析計算機蠕蟲病毒第8章 虛擬專用網(wǎng)絡(luò)技術(shù)第9章 信息安全管理與災(zāi)難恢復(fù)9.1 信息安全管理與工程9.2 信息災(zāi)難恢復(fù)規(guī)劃信息安全技術(shù)教學(xué)內(nèi)容第10章 信息安全技術(shù)的應(yīng)用10.1 電子郵件加密軟件PGP10.2 Kerberos認(rèn)證服務(wù)10.3 公鑰基礎(chǔ)設(shè)施PKI10.4 安全通信協(xié)議與安全電子交易協(xié)議10.5 反垃圾郵件技術(shù)實驗11 信息安全技術(shù)實驗總結(jié)實驗12 信息安全技術(shù)課程設(shè)計

3、信息安全技術(shù)教學(xué)內(nèi)容第 1 章 熟悉信息安全技術(shù)1.1 信息安全技術(shù)的計算環(huán)境1.2 信息安全技術(shù)的標(biāo)準(zhǔn)化1.3 信息系統(tǒng)的物理安全1.4 Windows系統(tǒng)管理與安全設(shè)置第 1 章 熟悉信息安全技術(shù)1.1 信息安全技術(shù)的計算環(huán)境1.2 信息安全技術(shù)的標(biāo)準(zhǔn)化1.3 信息系統(tǒng)的物理安全1.4 Windows系統(tǒng)管理與安全設(shè)置1.1 信息安全技術(shù)的計算環(huán)境信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然或惡意的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)可靠正常地運行。信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從

4、廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。1.1 信息安全技術(shù)的計算環(huán)境如今，基于網(wǎng)絡(luò)的信息安全技術(shù)也是未來信息安全技術(shù)發(fā)展的重要方向。由于因特網(wǎng)是一個全開放的信息系統(tǒng)，竊密和反竊密、破壞與反破壞廣泛存在于個人、集團甚至國家之間，資源共享和信息安全一直作為一對矛盾體而存在著，網(wǎng)絡(luò)資源共享的進一步加強以及隨之而來的信息安全問題也日益突出。1.1.1 信息安全的目標(biāo)無論是在計算機上存儲、處理和應(yīng)用，還是在通信網(wǎng)絡(luò)上傳輸，信息都可能被非授權(quán)訪問而導(dǎo)致泄密，被篡改破壞而導(dǎo)致不完整，被冒充替換而導(dǎo)致否認(rèn)，也有可能被阻塞攔截而導(dǎo)致無法存

5、取這些破壞可能是有意的，如黑客攻擊、病毒感染等;也可能是無意的，如誤操作、程序錯誤等。普遍認(rèn)為，信息安全的目標(biāo)應(yīng)該是保護信息的機密性、完整性、可用性、可控性和不可抵賴性 (即信息安全的五大特性) ：機密性。指保證信息不被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無法知曉信息的內(nèi)容，因而不能使用。完整性。指維護信息的一致性，即在信息生成、傳輸、存儲和使用過程中不發(fā)生人為或非人為的非授權(quán)篡改。1.1.1 信息安全的目標(biāo)可用性。指授權(quán)用戶在需要時能不受其他因素的影響，方便地使用所需信息。這一目標(biāo)是對信息系統(tǒng)的總體可靠性要求。可控性。指信息在整個生命周期內(nèi)部可由合法擁有者加以安全的控制。不可抵賴性。指保障用

6、戶無法在事后否認(rèn)曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為。1.1.1 信息安全的目標(biāo)事實上，安全是種意識，一個過程，而不僅僅是某種技術(shù)。進入21世紀(jì)后，信息安全的理念發(fā)生了巨大的變化，從不惜一切代價把入侵者阻擋在系統(tǒng)之外的防御思想，開始轉(zhuǎn)變?yōu)轭A(yù)防-檢測-攻擊響應(yīng)-恢復(fù)相結(jié)合的思想，出現(xiàn)了PDRR (Protect/ Detect/React/Restore) 等網(wǎng)絡(luò)動態(tài)防御體系模型 。1.1.1 信息安全的目標(biāo)圖1-1 信息安全的PDRR模型PDRR倡導(dǎo)一種綜合的安全解決方法，即：針對信息的生存周期，以“信息保障”模型作為信息安全的目標(biāo)，以信息的保護技術(shù)、信息使用中的檢測技術(shù)、信息受影響或攻擊時

7、的響應(yīng)技術(shù)和受損后的恢復(fù)技術(shù)作為系統(tǒng)模型的主要組成元素，在設(shè)計信息系統(tǒng)的安全方案時，綜合使用多種技術(shù)和方法，以取得系統(tǒng)整體的安全性。1.1.1 信息安全的目標(biāo)PDRR模型強調(diào)的是自動故障恢復(fù)能力，把信息的安全保護作為基礎(chǔ)，將保護視為活動過程，用檢測手段來發(fā)現(xiàn)安全漏洞，及時更正；同時采用應(yīng)急響應(yīng)措施對付各種入侵；在系統(tǒng)被入侵后，采取相應(yīng)的措施將系統(tǒng)恢復(fù)到正常狀態(tài)，使信息的安全得到全方位的保障。1.1.1 信息安全的目標(biāo)信息安全技術(shù)的發(fā)展，主要呈現(xiàn)四大趨勢，即：1) 可信化。是指從傳統(tǒng)計算機安全理念過渡到以可信計算理念為核心的計算機安全。面對愈演愈烈的計算機安全問題，傳統(tǒng)安全理念很難有所突破，而可

8、信計算的主要思想是在硬件平臺上引入安全芯片，從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_。目前主要研究和探索的問題包括：基于TCP的訪問控制、基于TCP的安全操作系統(tǒng)、基于TCP的安全中間件、基于TCP的安全應(yīng)用等。1.1.2 信息安全技術(shù)發(fā)展的四大趨勢2) 網(wǎng)絡(luò)化。由網(wǎng)絡(luò)應(yīng)用和普及引發(fā)的技術(shù)和應(yīng)用模式的變革，正在進一步推動信息安全關(guān)鍵技術(shù)的創(chuàng)新發(fā)展，并引發(fā)新技術(shù)和應(yīng)用模式的出現(xiàn)。如安全中間件，安全管理與安全監(jiān)控等都是網(wǎng)絡(luò)化發(fā)展所帶來的必然的發(fā)展方向。網(wǎng)絡(luò)病毒、垃圾信息防范、網(wǎng)絡(luò)可生存性、網(wǎng)絡(luò)信任等都是要繼續(xù)研究的領(lǐng)域。1.1.2 信息安全技術(shù)發(fā)展的四大趨勢3) 標(biāo)準(zhǔn)化。安全技術(shù)要走向國際，

9、也要走向應(yīng)用，政府、產(chǎn)業(yè)界和學(xué)術(shù)界等必將更加高度重視信息安全標(biāo)準(zhǔn)的研究與制定，如密碼算法類標(biāo)準(zhǔn) (例如加密算法、簽名算法、密碼算法接口) 、安全認(rèn)證與授權(quán)類標(biāo)準(zhǔn) (例如PKI、PMI、生物認(rèn)證) 、安全評估類標(biāo)準(zhǔn) (例如安全評估準(zhǔn)則、方法、規(guī)范) 、系統(tǒng)與網(wǎng)絡(luò)類安全標(biāo)準(zhǔn) (例如安全體系結(jié)構(gòu)、安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全路由器、可信計算平臺) 、安全管理類標(biāo)準(zhǔn) (例如防信息遺漏、質(zhì)量保證、機房設(shè)計) 等。1.1.2 信息安全技術(shù)發(fā)展的四大趨勢4) 集成化：即從單一功能的信息安全技術(shù)與產(chǎn)品，向多種功能融于某一個產(chǎn)品，或者是幾個功能相結(jié)合的集成化產(chǎn)品發(fā)展。安全產(chǎn)品呈硬件化/芯片化發(fā)展趨勢，這將帶來

10、更高的安全度與更高的運算速率，也需要發(fā)展更靈活的安全芯片的實現(xiàn)技術(shù)，特別是密碼芯片的物理防護機制。1.1.2 信息安全技術(shù)發(fā)展的四大趨勢目前，在因特網(wǎng)應(yīng)用中采取的防衛(wèi)安全模式歸納起來主要有以下幾種：1) 無安全防衛(wèi)：在因特網(wǎng)應(yīng)用初期多數(shù)采取此方式，安全防衛(wèi)上不采取任何措施，只使用隨機提供的簡單安全防衛(wèi)措施。這種方法是不可取的。1.1.3 因特網(wǎng)選擇的幾種安全模式2) 模糊安全防衛(wèi)：采用這種方式的網(wǎng)站總認(rèn)為自己的站點規(guī)模小，對外無足輕重，沒人知道；即使知道，黑客也不會對其實行攻擊。事實上，許多入侵者并不是瞄準(zhǔn)特定目標(biāo)，只是想闖入盡可能多的機器，雖然它們不會永遠駐留在你的站點上，但它們?yōu)榱搜谏w闖入

11、你網(wǎng)站的證據(jù)，常常會對你網(wǎng)站的有關(guān)內(nèi)容進行破壞，從而給網(wǎng)站帶來重大損失。1.1.3 因特網(wǎng)選擇的幾種安全模式為此，各個站點一般要進行必要的登記注冊。這樣，一旦有人使用服務(wù)時，提供服務(wù)的人知道它從哪來，但是這種站點防衛(wèi)信息很容易被發(fā)現(xiàn)，例如登記時會有站點的軟、硬件以及所用操作系統(tǒng)的信息，黑客就能從這發(fā)現(xiàn)安全漏洞，同樣在站點與其他站點連機或向別人發(fā)送信息時，也很容易被入侵者獲得有關(guān)信息，因此這種模糊安全防衛(wèi)方式也是不可取的。1.1.3 因特網(wǎng)選擇的幾種安全模式3) 主機安全防衛(wèi)：這可能是最常用的一種防衛(wèi)方式，即每個用戶對自己的機器加強安全防衛(wèi)，盡可能地避免那些已知的可能影響特定主機安全的問題，這是

12、主機安全防衛(wèi)的本質(zhì)。主機安全防衛(wèi)對小型網(wǎng)站是很合適的，但是，由于環(huán)境的復(fù)雜性和多樣性，例如操作系統(tǒng)的版本不同、配置不同以及不同的服務(wù)和不同的子系統(tǒng)等都會帶來各種安全問題。即使這些安全問題都解決了，主機防衛(wèi)還要受到軟件本身缺陷的影響，有時也缺少有合適功能和安全的軟件。1.1.3 因特網(wǎng)選擇的幾種安全模式4) 網(wǎng)絡(luò)安全防衛(wèi)：這是目前因特網(wǎng)中各網(wǎng)站所采取的安全防衛(wèi)方式，包括建立防火墻來保護內(nèi)部系統(tǒng)和網(wǎng)絡(luò)、運用各種可靠的認(rèn)證手段 (如：一次性密碼等) ，對敏感數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時，采用密碼保護的方式進行。1.1.3 因特網(wǎng)選擇的幾種安全模式在因特網(wǎng)中，信息安全主要是通過計算機安全和信息傳輸安全這兩個技術(shù)

13、環(huán)節(jié)，來保證網(wǎng)絡(luò)中各種信息的安全。1.1.4 安全防衛(wèi)的技術(shù)手段(1) 計算機安全技術(shù)1) 健壯的操作系統(tǒng)。操作系統(tǒng)是計算機和網(wǎng)絡(luò)中的工作平臺，在選用操作系統(tǒng)時，應(yīng)注意軟件工具齊全和豐富、縮放性強等因素，如果有很多版本可供選擇，應(yīng)選用戶群最少的那個版本，這樣使入侵者用各種方法攻擊計算機的可能性減少，另外還要有較高訪問控制和系統(tǒng)設(shè)計等安全功能。1.1.4 安全防衛(wèi)的技術(shù)手段2) 容錯技術(shù)。盡量使計算機具有較強的容錯能力，如組件全冗余、沒有單點硬件失效、動態(tài)系統(tǒng)域、動態(tài)重組、錯誤校正互連；通過錯誤校正碼和奇偶校驗的結(jié)合保護數(shù)據(jù)和地址總線；在線增減域或更換系統(tǒng)組件，創(chuàng)建或刪除系統(tǒng)域而不干擾系統(tǒng)應(yīng)用的

14、進行，也可以采取雙機備份同步校驗方式，保證網(wǎng)絡(luò)系統(tǒng)在一個系統(tǒng)由于意外而崩潰時，計算機進行自動切換以確保正常運轉(zhuǎn)，保證各項數(shù)據(jù)信息的完整性和一致性。1.1.4 安全防衛(wèi)的技術(shù)手段(2) 防火墻技術(shù)這是一種有效的網(wǎng)絡(luò)安全機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)，其準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。1.1.4 安全防衛(wèi)的技術(shù)手段防火墻有下列幾種類型：1) 包過濾技術(shù)。通常安裝在路由器上，對數(shù)據(jù)進行選擇，它以IP包信息為基礎(chǔ)，對IP源地址，IP目標(biāo)地址、封裝協(xié)議 (如TCP/UDP/ICMP/IPtunnel) 、端口號等進行篩選，在OSI協(xié)

15、議的網(wǎng)絡(luò)層進行。2) 代理服務(wù)技術(shù)。通常由二部分構(gòu)成，服務(wù)端程序和客戶端程序、客戶端程序與中間節(jié)點 (Proxy Server) 連接，中間節(jié)點與要訪問的外部服務(wù)器實際連接，與包過濾防火墻的不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)。1.1.4 安全防衛(wèi)的技術(shù)手段3) 復(fù)合型技術(shù)。把包過濾和代理服務(wù)兩種方法結(jié)合起來，可形成新的防火墻，所用主機稱為堡壘主機，負(fù)責(zé)提供代理服務(wù)。4) 審計技術(shù)。通過對網(wǎng)絡(luò)上發(fā)生的各種訪問過程進行記錄和產(chǎn)生日志，并對日志進行統(tǒng)計分析，從而對資源使用情況進行分析，對異?，F(xiàn)象進行追蹤監(jiān)視。5) 路由器加密技術(shù)：加密路由器對通過路由器的信息流進行加

16、密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M行解壓縮和解密。1.1.4 安全防衛(wèi)的技術(shù)手段(3) 信息確認(rèn)技術(shù)安全系統(tǒng)的建立依賴于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用兩種確認(rèn)方式，一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造?？煽康男畔⒋_認(rèn)技術(shù)應(yīng)具有：身份合法的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時，可由認(rèn)證系統(tǒng)進行處理。目前，信息確認(rèn)技術(shù)已較成熟，如信息認(rèn)證，用戶認(rèn)證和密鑰認(rèn)證，數(shù)字簽名等，為信息安全提供了可靠保障。1.1.4 安全防衛(wèi)的技術(shù)手段(4) 密鑰安全

17、技術(shù)網(wǎng)絡(luò)安全中的加密技術(shù)種類繁多，它是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，常用的加密技術(shù)分為軟件加密和硬件加密。信息加密的方法有對稱密鑰加密和非對稱加密，兩種方法各有所長。1.1.4 安全防衛(wèi)的技術(shù)手段1) 對稱密鑰加密：在此方法中，加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標(biāo)準(zhǔn)是DES算法，其優(yōu)勢在于加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、密碼空間小，“窮舉”方式進攻的代價小，它的機制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個環(huán)節(jié)。1.1.4 安全防衛(wèi)的技術(shù)手段2) 非對稱密鑰加密：在此方法中加密和解密使用不同密鑰，即公開密鑰和秘密密鑰，公開密鑰

18、用于機密性信息的加密；秘密密鑰用于對加密信息的解密。一般采用RSA算法，優(yōu)點在于易實現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復(fù)雜，加密解密花費時間長。1.1.4 安全防衛(wèi)的技術(shù)手段在安全防范的實際應(yīng)用中，尤其是信息量較大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜時，采取對稱密鑰加密技術(shù)，為了防范密鑰受到各種形式的黑客攻擊，如基于因特網(wǎng)的“聯(lián)機運算”，即利用許多臺計算機采用“窮舉”方式進行計算來破譯密碼，密鑰的長度越長越好。目前一般密鑰的長度為64位、1024位，實踐證明它是安全的，同時也滿足計算機的速度。2048位的密鑰長度，也已開始在某些軟件中應(yīng)用。1.1.4 安全防衛(wèi)的技術(shù)手段(5) 病毒防范技術(shù)計算機病毒實際上就是一

19、種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)的功能程序。在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便。如向系統(tǒng)中滲入病毒、蛀蟲、特洛依木馬、邏輯炸彈；或通過竊聽、冒充等方式來破壞系統(tǒng)正常工作。從因特網(wǎng)上下載軟件和使用盜版軟件是病毒的主要來源。1.1.4 安全防衛(wèi)的技術(shù)手段針對病毒的嚴(yán)重性，我們應(yīng)提高防范意識，做到：所有軟件必須經(jīng)過嚴(yán)格審查，經(jīng)過相應(yīng)的控制程序后才能使用；采用防病毒軟件，定時對系統(tǒng)中的所有工具軟件、應(yīng)用軟件進行檢測，防止各種病毒的入侵。1.1.4 安全防衛(wèi)的技術(shù)手段1.1.1 信息安全的目標(biāo)1.1.2 信息安全技術(shù)發(fā)展的四大趨勢1.1.3 因特網(wǎng)選擇的幾種安全模式1.1.4 安全防衛(wèi)的技術(shù)手段1.1.5 小結(jié)本節(jié)實驗與思考的目的是：1) 熟悉信息安全技術(shù)的基本概念，了解信息安全技術(shù)的基本內(nèi)容。2) 通過因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的信息安全技術(shù)網(wǎng)站，掌握通過專業(yè)網(wǎng)站不斷豐富信息安全技術(shù)最新知識的學(xué)習(xí)方法，嘗試通過專業(yè)網(wǎng)站的輔助與支持來開展信息安全技術(shù)應(yīng)用實踐。實驗與思考抓安全寧流千滴汗，保生產(chǎn)不灑一滴血。7月-227月-22Wednesday