信息安全技術(shù)

信息安全需求

＞PMP職業(yè)道德需求

＞IS09001:2008要求

＞實際風險帶來的需求

PMP職業(yè)道德需求

PMI項目管理行業(yè)職業(yè)道德規(guī)范

?條款一：項目管理專業(yè)人員應保持較高的個人和職業(yè)行為標準并且:

-G:遵守工作所在國家的法律（注：很多法律涉及信息安全）。

?條款三：在與雇主和客戶的關系中,項目管理專業(yè)人員應：

-B:無論是在在聘期間或離職之后，對雇主和客戶沒有被正式公開的業(yè)務和

技術(shù)工藝信息應予以保密。

IS09001:2008要求

1509001:2008第7.5.4條款“顧客信息”中“若顧客財產(chǎn)發(fā)生丟失、損壞

或發(fā)現(xiàn)不適用的情況時，應報告顧客，并保持記錄?！?/p>

注解：顧客財產(chǎn)包括知識產(chǎn)權(quán)和個人信息

實際風險帶來的需求

某著名公司為某運營商提供系統(tǒng)集成某項服務，由于管理不善，該公司某員

工離職后將客戶信息出賣給敵對國家和組織，給國家?guī)砹撕艽笪：Γ瑢е略摴?/p>

司幾乎退出通信行業(yè)，出賣信息者也受到了嚴厲懲罰。

信息安全技術(shù)體系的各種技術(shù)

物理安全環(huán)境安全、設備安全、媒體安全

＞系統(tǒng)安全操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全

＞網(wǎng)絡安全入侵檢測、VPN、網(wǎng)絡隔離、訪問控制、掃描評估

＞應用安全Email安全、Web訪問安全、內(nèi)容過濾、應用系統(tǒng)安全

＞數(shù)據(jù)加密硬件加密、軟件加密

＞認證授權(quán)口令認證、證書認證

＞訪問控制防火墻、訪問控制列表

A審計跟蹤入侵檢測、日志審計、辨析取證

＞網(wǎng)絡防病毒：單機防病毒監(jiān)測、網(wǎng)絡整體防病毒體系

＞災難恢復與備份：數(shù)據(jù)存儲和備份技術(shù)、數(shù)據(jù)備份計劃、災難恢復計劃

項目中涉及的信息、系統(tǒng)及設備

＞項目計劃、技術(shù)資料、客戶系統(tǒng)及配置

＞項目管理系統(tǒng)、電子郵件系統(tǒng)、OA系統(tǒng)、及時消息系統(tǒng)、視頻會議系統(tǒng)

＞服務器、數(shù)據(jù)庫、桌面機及筆記本、網(wǎng)絡設備、移動通信設備如手機等

什么是信息

＞對現(xiàn)代各種組織來說，信息是一種資產(chǎn)，除了傳統(tǒng)上的專利、標準、商業(yè)機

密、文件、圖紙、管理規(guī)章、關鍵人員等，還包括計算機和網(wǎng)絡中的數(shù)據(jù)。

＞信息本身是無形的，但借助于各種信息媒體，可以以多種形式存在或傳播，

如存儲在紙張、磁帶、磁盤、光盤和計算機中，也可以記憶在人的大腦里，

還可以通過網(wǎng)絡、打印機、傳真機等方式進行傳播。

＞信息資產(chǎn)一旦受到破壞，如非法曝光、篡改或者無法使用則會給組織帶來一

系列的損失。如“冰山原理”，能直接感知到的損失，只是全部損失的冰山

一角，潛藏在水面下的部分，可能會是直接損失的6~53倍，這包括：損失

了時間、替代的成本、可能的法律風險、聲譽下降、丟失潛在的業(yè)務、競爭

力和生產(chǎn)力降低等。這些損失是我們不愿意面對的，因此信息安全越來越成

為我們關注的熱點問題。

信息安全事件案例

＞美國媒體報道，名列《財富》全球1000強的大公司，平均每年發(fā)生2.45次

的商業(yè)間諜事件，損失總數(shù)高達450億美元。商業(yè)機密關系到企業(yè)的生死存

亡。在競爭激烈的商場上，將自己生產(chǎn)、管理、銷售的信息拱手讓人，無異

于置己于絕境。商業(yè)間諜案件的頻發(fā)警示中國企業(yè)與國際接軌時一定要提高

保密意識，為自己構(gòu)筑起防護墻。

＞力拓“間諜門”事件近期引發(fā)廣泛關注，力拓有關人員通過不正當手段竊取

中國的國家秘密，直接經(jīng)濟損失4000億~7000憶！嚴重危害中國的經(jīng)濟安全

和利益，目前此案正在審理中。在經(jīng)濟全球化的今天，無孔不入的商業(yè)間諜

讓一些跨國企業(yè)又愛又恨，也讓各國政府頭疼不已。

＞澳大利亞力拓公司駐上海辦事處四人被上海市國家安全局以涉嫌竊取中國

國家秘密拘捕。至少已有22人在這次風暴中受到處理。

＞據(jù)保密系統(tǒng)內(nèi)部人士透露，以往處理泄密人員只是輕描淡寫，“一個人有的

就泄密兒百份上千份，只給了行政處分甚至處分不了"，這次，不排除追究

刑責的可能。

＞國家保密局局長夏勇此次向人大常委會所作報告中，稱保密法是因應''新情

況和新問題”而改，其中最主要的挑戰(zhàn)來自互聯(lián)網(wǎng)：內(nèi)司委的調(diào)研報告稱，

計算機泄密案發(fā)數(shù)已占70%。

什么是信息安全

＞按照27001術(shù)語定義

?信息安全是指保持信息的保密性、完整性、可用性，另外也可包括例如

真實性、可核查性、不可否認性和可靠性等。

＞在商業(yè)領域，信息安全是

?保護信息免受各種威脅的損害，以確保業(yè)務連續(xù)性，使業(yè)務風險最小化,

使投資回報和商業(yè)機遇最大化。

?現(xiàn)代社會，信息的產(chǎn)生、使用等已經(jīng)離不開信息系統(tǒng)，因此信息安全也

需要更加關注信息系統(tǒng)的安全。

?保護信息系統(tǒng)的硬件、軟件及相關數(shù)據(jù)，使之不因為偶然或者惡意侵犯

而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。

什么是信息安全管理體系

＞要做好信息安全工作，除了采用技術(shù)措施如部署各種信息安全產(chǎn)品而直接、

高效地解決問題外，還需要采用技術(shù)之外的管理措施來彌補技術(shù)的不足并提

升技術(shù)和產(chǎn)品的價值。

＞信息安全管理體系(InformationSecurityManagementSystem,ISMS)是

一個組織的整體管理體系的有機部分，是組織在整體或特定范圍內(nèi)建立信息

安全方針和目標，以及完成這些目標所用方法的系統(tǒng)。

建立信息安全體系的益處

＞增加競爭力

一降低信息安全風險，進一步提高風險管理能力

—實現(xiàn)私有信息的最佳化管理

一維護良好的公眾形象、有利爭取訂單

＞實現(xiàn)合規(guī)性

一滿足政府、行業(yè)主管機構(gòu)的監(jiān)管、審計要求

一完善內(nèi)部信息保障架構(gòu)

一加固商業(yè)機密保護與隱私保護

＞達到客戶要求

—服務質(zhì)量達標：不中斷客戶服務

一滿足來自業(yè)務伙伴及客戶的安全審計要求

建立信息安全管理體系的過程：

＞制定政策-信息安全方針文檔

＞確定范圍91sMs范圍文檔

＞資產(chǎn)識別分資產(chǎn)清單

＞風險評估分風險評估文檔

＞選擇控制-選擇控制目標和控制措施

＞體系運行分運行計劃和運行記錄

＞體系審核-審核計劃與審核記錄

＞管理評審-評審計劃與評審記錄

＞體系認證-認證申請及認證證書

控制目標和控制措施

11個域，39個控制目標，133個控制措施

----、安全方針(SecurityPolicy)

一二、信息安全組織(SecurityOrganization)

一三、資產(chǎn)管理(AssetManagement)

一四、人員安全(PersonnelSecurity)

一五、物理與環(huán)境安全(PhysicalandEnvironmentalSecurity)

一六、通信與運營管理(CommunicationsandOperationsManagement)

—匕、訪問控制(AccessControl)

一八、系統(tǒng)開發(fā)與維護(SystemsDevelopmentandMaintenance)

一九、信息安全事故管理(InformationIncidentManagement)

一十、業(yè)務持續(xù)性管理(BusinessContinuityManagement)

—I—、法律符合性(Compliance)

信息安全管理體系的實施過程

準備階段分實現(xiàn)階段分運行階段少認證階段分項目結(jié)束

準備階段：

＞項目啟動

＞前期培訓

＞預先審核

＞業(yè)務分析：通過采用訪談、調(diào)查方式了解核心與支持性業(yè)務，了解業(yè)務對資

源的需求，開展業(yè)務影響分析

＞風險評估

實現(xiàn)階段：

＞風險處理：針對風險問題做文件編寫規(guī)劃，做BCP規(guī)劃，做技術(shù)方案規(guī)劃

＞文件編寫：編寫ISMS各級文件，多次Review及修訂，管理層討論確認

＞發(fā)布實施：ISMS實施計劃，體系文件發(fā)布，控制措施實施

＞中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核

運行階段：

＞認證申請：與認證機構(gòu)磋商、準備材料申請認證、制定認證計劃、預審核

＞后期培訓

＞內(nèi)部審核：制定審核計劃、制定Checklist、執(zhí)行內(nèi)部審核、不符合項整改

＞管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防

認證階段：

＞認證準備：準備送審文件，安排部署審核事項

＞協(xié)助認證：內(nèi)部審核小組陪同協(xié)助，應對審核問題

文件體系列表

＞一?級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等,

至少包括：信息安全方針、風險評估報告、適用性聲明(SsA)0

＞二級文件：各類程序文件，至少包括：

一風險評估流程

一風險管理流程

一風險處理計劃

一管理評審程序

一信息設備管理程序

一信息安全組織建設規(guī)定

一新設施管理程序

一內(nèi)部審核程序

一第三方和外包管理規(guī)定

一信息資產(chǎn)管理規(guī)定

一工作環(huán)境安全管理規(guī)定

一介質(zhì)處理與安全規(guī)定

一系統(tǒng)開發(fā)與維護程序

一業(yè)務連續(xù)性管理程序

—法律符合性管理規(guī)定

一信息系統(tǒng)安全審計規(guī)定

一文件及材料控制程序

＞三級文件：具體的作業(yè)指導書，描述了某項任務具體的操作步驟和方法，是

對各個程序文件所規(guī)定的領域內(nèi)工作的細化。

＞四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表

現(xiàn)為記錄表格，應該成為ISMS得以持續(xù)運行的有力證據(jù)，由各個相關部門

自行維護。

典型技術(shù)篇一信息安全技術(shù)

第三講數(shù)據(jù)加密

數(shù)據(jù)加密需求

現(xiàn)有解決方案的缺陷

統(tǒng)一數(shù)據(jù)加密解決方案的優(yōu)勢

企業(yè)數(shù)據(jù)保護

用戶需求：眾多保護不能解決的問題

很多情況下，現(xiàn)有的防護網(wǎng)式的安個措施是不夠的

移動用戶經(jīng)常到外部網(wǎng)絡

電腦丟失或被惡意竊取

服務器托管在外部

安全性

全盤加密一“關機安全”

“加密計算機所有數(shù)據(jù)”

“操作系統(tǒng)啟動前認證”

加密/解密“后臺運行”

文件加密-“開機安全”

加密本地/遠程文件/目錄

使用時認證

加密文件內(nèi)容

密文傳輸

數(shù)據(jù)庫安全的驅(qū)動力

90%以上的企業(yè)數(shù)據(jù)郡保存在數(shù)據(jù)庫里，這些數(shù)據(jù)可能是遺留下來沒用的，可

能是新的，也很有可能足完個不同類別的數(shù)據(jù)。

每天都會發(fā)生敏感信息被破壞泄露的事件。

數(shù)據(jù)庫成為一些有組織的犯罪團伙的犯罪目標，以此獲取個人身份信息。

避免負債：

1.三年多的時間里，有2.17億美國人個人信息被盜或泄露。

2.每次數(shù)據(jù)被盜造成的平均損失630萬美元

具體來說，企業(yè)（數(shù)據(jù)庫和應用程序）用戶需要透明的處理各種數(shù)據(jù)來源和在操

作、管理和報告方面的簡化。

混合數(shù)據(jù)庫環(huán)境■傳統(tǒng)

WEB服

-多個數(shù)據(jù)庫單機的本地安全性

-單獨的管理控制臺，往往是單獨的命令行驅(qū)動

-多管理員驅(qū)動操作使成本上升

-數(shù)據(jù)庫服務器處理過程加密降低性能

-遵守法規(guī)的夢魘

當前數(shù)據(jù)庫環(huán)境的安全挑戰(zhàn)

安全性

?密鑰存放在本地數(shù)據(jù)庫服務器中，安全性很差

?多種模式需要不同廠家的補丁

?不提供職責分工

性能

?數(shù)據(jù)庫服務器執(zhí)行加解密操作會嚴重影響服務器性能

?大批量處理文件更難

適應性

?每個數(shù)據(jù)庫需要它自己的安全管理

?不綁在特定的廠商上一Oracle,IBMDB2,SOL靜態(tài)部署

可管理性

?每個應用均會配備一個數(shù)據(jù)庫，帶有不同的管理控制臺

?需要多個管理員來管理不同數(shù)據(jù)庫

?安全策略管理分散在不同的數(shù)據(jù)庫里

可用性

?安全功能的分散導致更多系統(tǒng)漏洞

?安全功能缺少冗余

保護數(shù)據(jù)資產(chǎn)

法規(guī)規(guī)范

確保強有力的控制&安/

全審核跟蹤/

1/集中的密鑰&策略管理

降低成本&化域從窄

確?？晒芾硇院妥畲笙掊猷?/p>

備」」/確1

低運行成*1

DataSecure企業(yè)級加密和密鑰管理平臺

DataSecure企業(yè)級加密

DataCen

系統(tǒng)優(yōu)勢

安全性

?基干硬件，中心密鑰和策略管理

?FIPS/CC認證

?認證和授權(quán)

高性能

?高性能加密處理，超過10000TPS

?批量處理海量數(shù)據(jù)

?有效的備份/恢復功能，可選本地加密

靈活性

?支持多種不同的環(huán)境（應用系統(tǒng)，數(shù)據(jù)庫，文件系統(tǒng)和大型機）

?支持公開標準和API

?廣泛的企業(yè)部署模型

可管理性

?直觀，易用的管理

?職責分離

?中心策略管理

可用性

?高可用性和集群

?負載均衡，運行狀況檢查和容錯機制

?地理位置分布式冗余備份

安全性

集中安全管控

?安全管理員控制數(shù)據(jù)保護策略

?在單一設備上集中創(chuàng)建并存儲密鑰，減少薄弱點

?多重管理控制

?職責分離，數(shù)據(jù)庫管理員僅僅管理數(shù)據(jù)，安全管理員僅僅管理密鑰

?日志、審計和報警。對所有的數(shù)據(jù)庫和應用程序進行全面、安全、集中記錄

和審計。

FlpS140-2Level2&CommonCriteria認證的解決方案

?密鑰與機密數(shù)據(jù)分開保存，數(shù)據(jù)庫任何的泄露也只能拿到加密的數(shù)據(jù)

身份認證和授權(quán)

?多因素系統(tǒng)與系統(tǒng)間身份認證和訪問控制

?細粒度、基于密鑰的加密策略

高性能

分擔加密負載

?優(yōu)化的高性能硬件

?減輕數(shù)據(jù)庫和應用服務器負載，無需執(zhí)行耗費大量CPU計算能力的加密運算,

使整體性能更高

?每個請求不到300微妙的延遲

批處理

?執(zhí)行批量加解密以獲得高性能

?超過lOOkTPS

?易與現(xiàn)有應用系統(tǒng)集成

靈活性

適合異構(gòu)環(huán)境

?綜合的企業(yè)級解決方案

?Web,應用系統(tǒng)，數(shù)據(jù)庫，大型機或者文件系統(tǒng)

?數(shù)據(jù)中心或者分布式環(huán)境

?開放的基于標準的APIs和加密協(xié)議

擴展性

?多種型號提供從2,500TPS到100,000TPS處理能力

?集群模式進一步提升處理能力和冗余能力

?模塊式許可架構(gòu)提供高性價比擴展

可管理性

直觀的管理

?圖形和命令行界面

?鼠標點按式策略管理

加解密權(quán)限管理

密鑰管理

網(wǎng)絡和系統(tǒng)管理

?類似于交換機或者路由器那樣的簡單配置

職責分離

?安全管理員管理安全

?最大化生產(chǎn)效率，最小化責任風險

可擴展的管理平臺

?與企業(yè)中其他組成部分協(xié)調(diào)一致

?通用的管理協(xié)議和過程

?標難化實現(xiàn)和集成方式

可用性

集群

?密鑰和策略在集群中所有

?Datasecure設備之間共享和復制

負載均衡

?連接器軟件能夠在一組設備之間實現(xiàn)負載均衡

?多層次負載均衡能夠在多個可選設備之間實現(xiàn)透明容錯

集成DataSecure到應用系統(tǒng)

應用系統(tǒng)連接器

?Microsott.NET,CAPI

?JCE(JaVa)

?PKCS#11(C/C++)

?SafeNetlCAPI(CIC++)

?Z/OS(Cobol,ASSembler,etC.)

?XML

事實上支持所有的應用服務器和web服務器環(huán)境

Customer

Database

E-CommerceReporting

ApplicationApplication

SafeNet

DataSecure

使用DataSecure加密數(shù)據(jù)庫1

數(shù)據(jù)庫連接器

?oracle8i,9i,10g,llg

?IBMDB2versions8,9

?MicrosoftSQLSerVer2000,20052008

?Teradata

無需改動應用

數(shù)據(jù)批量處理以適應大量數(shù)據(jù)集

使用DataSecure加密數(shù)據(jù)庫2

文件系統(tǒng)連接器

?WindowsServer2003

?Linux

?WindowsXP,VISta

文件加密密鑰（FEKs）在文件服務器進行加密

FEKs保護密鑰（KEK）保存在Datasecure設備中

策略在Datasecure管理，推送到文件服務器

使用ProtectDrive-啟動

?后臺自動加密/解密，無需用戶操作

?開啟電腦，待BloS檢測通過之后，出現(xiàn)用戶認證畫面，這時候操作系統(tǒng)還

沒有啟動

?使用和windows登陸相同的用戶名/密碼

?這個畫而登陸后Windows不用再輸入登陸密碼

SafeNet

ProtectDrive

UwlO

全盤加密好處

?關機安全的靜態(tài)數(shù)據(jù)解決方案，主要用于移動筆記木電腦和有重要數(shù)據(jù)的服

務器的加密

?方便的安裝部署，支持A0集中管理

?啟動前身份認證，用戶與Windows用戶集成

?支持靜態(tài)密碼和USB令牌認證

?極其容易使用，用戶透明，移動媒體設備（U盤/移動硬盤）管理

?高效的加密引擎，用戶感覺不到的性能損失

企業(yè)數(shù)據(jù)保護

客戶數(shù)據(jù)

個人數(shù)據(jù)

災備設備

財務數(shù)據(jù)

應用服務器

Web服務器

文件服務整

移動和建的設

合作伙伴

CZ4^IFH什二--

在所有的系統(tǒng)關鍵八占八JzL

需要完整硼解施

單一解決方案=更安全

?單一FIPS認證的硬件設備減少薄弱點。

?數(shù)據(jù)和密鑰的單獨加密一文件和密鑰單獨存放，因此數(shù)據(jù)庫任何的泄露也只

能拿到加密的數(shù)據(jù)。

?中央身份驗證和授權(quán)可以使組織建立安全訪問策略，以管理用戶和應用程序

的訪問。

?職責分離一數(shù)據(jù)庫管理僅管理數(shù)據(jù)，當然他們需要密鑰登錄。安全管理員僅

僅管理密鑰，而不管理數(shù)據(jù)。

第四講身份認證

內(nèi)容

?強身份認誡需求

?動態(tài)令牌原理

?動態(tài)令牌身份認證的應用

?USB令牌和PKI原理

?USB令牌身份認證的應用

信息安全技術(shù)：電子商務的發(fā)射器

?電子商務和企業(yè)安全需要實現(xiàn)信息安全的每個階段

?信息安全的最基本需求是身份認證和PKI

第四階段

7±\

數(shù)據(jù)的完整性和私密性

密碼可靠嗎

?密碼容易被竊取

■從您的身后窺視您正在鍵入的口令

■發(fā)現(xiàn)保留在紙上的口令

■猜測口令："password”、用戶名、生日

■口令破解："Crack"、"LOphtCrack"、CrackerJack”

?太多的密碼讓用戶難以管礎

?密碼維護成本很高

?最弱的驗證機制

跨越密碼的原因

?開通新商業(yè)途徑：讓客戶、伙伴及員工訪問增強的商務應用

?遵從法規(guī)：遵從相關行業(yè)法規(guī)(sox,HIPAA,FDApart11,BaselII,and

others)

?提高生產(chǎn)力：讓用戶利用更多時間在增值的活動上

?節(jié)減開支：減輕密碼和身份管理成本

?吸引客戶：解決需要安全客戶的需求

身份認證的選擇

PINPIN

++

動態(tài)令牌原理

OTP組件

令牌動態(tài)的只能成功使用次

時間同步令牌

認證服務器

令牌擁有自己的內(nèi)服務器時鐘獨立-、

令牌種子

「■部時鐘’時鐘運行

使用.

組合當前的時間和種子,在服

經(jīng)過散列運算以后運算

散列

恪輸出結(jié)果截取到

’所希望的長度

事件同步令牌

事件同步令牌認證服務器

@令牌擁有自己的按服務器計數(shù)獨立;

令牌種子

XTX鍵計數(shù)彳工按鍵計數(shù)

使用

組合當前的按鍵計數(shù)和.在服

子,經(jīng)過散列運算以后運算

散列

恪輸出結(jié)果截取到

,所希望的長度

?.?。?；：；「，力？

挑戰(zhàn)響應令牌

I從令牌上讀取響應碼

II并在登錄界面中輸入

硬件令牌

?eTokenPASS

■OATHCompliant

■事件和時間同步

?GOLD

■PIN保護，挑戰(zhàn)相應模式

?提供現(xiàn)有客戶Alpine和Platimulltokens令牌

軟件令牌

?讓您的移動設備實現(xiàn)雙因素身份認證

?工作在主流平臺上

■BlackBerry

■Palm

■WindowsMobile

■支持J2ME的移動設備

■Windows桌面

?SMS/SMIP文木方式發(fā)送0IP

?MobilePass工作間

■軟令牌管理，用戶自助部署，請求一個0Tp

?不需要部署、維護并且攜帶一個額外設備

?易于音部署、維護成木低并且快速部署

動態(tài)令牌身份認證的應用

應用：保護信息資產(chǎn)

?保護您最重要的信息資產(chǎn)和應用

■CitrixApplications

■MicrosoftOutlookWebAccess

■VPN:Cisco,CheckPoint,Juniper,Aventail,Nortel等

■網(wǎng)絡基礎架構(gòu)設備:路由器、交換機、防火墻等

■MicrosoftIAS/ISA/IIS

■終端服務/遠程桌面

■Windows域登錄

Domain登陸

?使用動態(tài)令牌登陸微軟域環(huán)境

LogOntoWindows

F

StCU?ECOMPUIING,

Saf^Mord.?

—Zo^d7Z<?*，_M__a_y_k_*_?_-_____3

Username:[Administrator

Eassword:11

Logonto:|sWEDEMO

「Logonusing刎-upconnection

EhleryouPremierAccesspassworc

OK|Caned

YourPremierAccesspasswordisonlyrequret

PremierAccess-protecteddomains.

USB令牌技術(shù)和PKI介紹

對稱密鑰加密

?使用相同密鑰加密和解密信息

?雙方需要共享密鑰

?只用使用正確的密鑰才能解開密文

?關鍵點是如何分發(fā)或者發(fā)送共享密鑰給對方

?已知的同步加密算法：DES,3DES,DESX,AES,RC2,RC4,RC5,BLOWFISH,

AES,ETC..

?128位屬于強對稱密鑰

非對稱密鑰加密

?非對稱算法使用不同的密鑰進行加密和解密

?無法從加密密鑰推算出解密密鑰

?加密密鑰可以公開一一我們成為公鑰，允許任何人使用此密鑰加密

?只有合法的擁有解密密鑰的接收者一一文明稱為私鑰，可以解密消息

?安全性依賴于私鑰保存的安全性

基于證書的挑戰(zhàn)響應身份認證

h

GenerateServer

random

challenge

Sifted〃狂。

RcmdoinC為

RetrieveUser2Public

Kev

SenerDatabase

Certificate

Certificate

Certificate

eToken設備

?eTokenPRO

■USB接口，不需要讀卡器的智能卡令牌

■給強身份驗證和憑證存儲提供高度安全性

?eTokenPROSmartcard

■eTokenPRO是傳統(tǒng)智能卡款式的令牌

?eTokenNG-OTP

■提供OTP（一次性密碼）功能的USB接口智能卡令牌

?eTokenNG-FLASH

■含閃存提供便攜式大量數(shù)據(jù)存儲功能的USB接口智能卡令牌

后臺服務器必須提供的功能

?備份和恢復令牌中的證書、密鑰和登陸憑證

?安全地處理令牌丟失和損壞問題

?基于角色方式來訪問

?基于web方式的用戶自助服務，幫助臺和管理員管理工具

?通過電話遠程重置被鎖定的用戶PIN碼

?雇員在出差的時候丟失令牌的緊急處理

?完全的審計和報表功能

?使用密鑰來加密數(shù)據(jù)庫

USB令牌用于windows域登陸

?需要WindowsCA支持

?USB存儲智能卡用戶證書

?拔掉USB自動鎖定Windows

?提高系統(tǒng)安全性，用戶使用更加方便

USB令牌用于終端服務

?本地的智能卡/usb令牌就可以被映射到遠程服務器

?使用本地的智能卡/令牌登陸遠程服務器應用

USB令牌用于安全電子郵件

?Usb存儲電子郵件證書

?郵件客戶端支持S/MIME

USB令牌用于VPN訪問（IPSECVPN）

?需要CA支付

?USB存儲VPN登錄證書

?VPNI配置證書認證

?連接時候輸入USB密碼

?運用于大多數(shù)的IPSECVPN網(wǎng)關

USB令牌用于VPN訪問（SSLVPN）

?選擇使用USB中的證書登陸

?輸入USB密碼口令

?適用于大多數(shù)的SSLVPN網(wǎng)關

USB令牌用于網(wǎng)上銀行

?證書下載

?插入USB

?登陸到網(wǎng)上銀行安全站點

?選擇USB中存儲的證書

?輸入USB的保護口令，就可以開始交易了

數(shù)據(jù)安全

?eToken的數(shù)據(jù)安全解決方案包括：

?計算機啟動保護，文件和數(shù)據(jù)加密

?可以與全盤加密軟件相配合

?加強電子郵件的安全

?數(shù)字簽名實現(xiàn)不可否認性

單點登陸解決方案

?eTokenSimpleSign-On

■安全存儲并且自動地填寫CIS應用程序的登陸憑證

?eTokenWebSign-On

■安全存儲并且自動地填寫web應用程序的憑證和表單數(shù)據(jù)

?eTokenNetworkLogon(GINA)

■安全存儲并且自動地填寫windows網(wǎng)絡登陸憑證

■可以強制使用usb中的憑證登陸

?基于eToken的單點登陸解決方案，可以實現(xiàn)使用簡單但是更加安全地訪問

企業(yè)IT資源

第五講防火墻技術(shù)原理

主要內(nèi)容

?防火墻技術(shù)原理

?訪問控制及訪問控制列表

防火墻技術(shù)原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應用

?防火墻存在的問題

防火墻的定義

一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間，它通過相關的安全策略來控制(允許、

拒絕、監(jiān)視、記錄)進出網(wǎng)絡的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據(jù)訪問控制規(guī)則決

定進出網(wǎng)絡的行為

防火墻核心技術(shù)

傳輸層Segment

吟Packet

網(wǎng)絡接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網(wǎng)絡層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)

議等確定是否允許數(shù)據(jù)包通過。

?2、應用代理(ApplicationProxy):工作在應用層，通過編寫應用代理程序，實

現(xiàn)對應用層數(shù)據(jù)的檢測和分析。

?3、狀態(tài)檢測(StatefulInspection):工作在2-4層，控制方式與1同，處理的對

象不是單個數(shù)據(jù)包，而是整個連接，通過規(guī)則表和連接狀態(tài)表，綜合判斷是

否允許數(shù)據(jù)包通過。

4、完全內(nèi)容檢測(CompeleteContentInspection):工作在2-7層，不僅分析數(shù)

據(jù)包頭信息、狀態(tài)信息，而且對應用層協(xié)議進行還原和內(nèi)容分析，有效防范

混合型安全威脅。

包過濾防火墻技術(shù)原理

包過濾防火力

am鏟網(wǎng)

應用代理防火墻技術(shù)原理

應用代理防火孑

狀態(tài)檢測防火墻技術(shù)原理

完全內(nèi)容檢測防火墻技術(shù)原理

IP層開始攻擊主服務器硬盤數(shù)據(jù)

網(wǎng)絡層保護強▲

應用層保護強III

會話保護很強III還原會送

網(wǎng)絡接口層上下文相關

前后報文有聯(lián)系報文3X?TCP硬盤數(shù)據(jù)

I

報文2T?TCP主眼務海

報文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結(jié)構(gòu)

?過濾路由器

?多宿主主機

?被屏蔽主機

?被屏蔽子網(wǎng)

過濾路由器

?過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報文都

必須在此通過檢查，實現(xiàn)報文過濾功能。

?它的缺點是一旦被攻陷后很難發(fā)現(xiàn)且不能識別不同的用戶（沒有日志記錄〉。

進行包過濾

雙宿主主機

?雙宿主主機優(yōu)于過濾路由器的地方是:堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)

日志。

?它的致命弱點是:一旦入侵者侵入堡壘主機，則無法保證內(nèi)部網(wǎng)絡的安全。

進行過濾

被屏蔽主機

?通常在路由器上設立ACL過濾規(guī)則，并通過堡壘主機進行了數(shù)據(jù)轉(zhuǎn)發(fā)，來

確保內(nèi)部網(wǎng)絡的安全。

?弱點:如果攻擊者進入屏敝主機內(nèi)，內(nèi)網(wǎng)中的就會受到很大威脅;這與雙宿主

主機受攻擊時的情形差不多。

雙宿主主機

被屏蔽子網(wǎng)

?這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的了網(wǎng)，用兩臺過濾

路由器分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡邊接，中間通過堡壘主機進行數(shù)據(jù)轉(zhuǎn)發(fā)。

?特點:如果攻擊者試圖進入內(nèi)網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主

機，然后才可以進入子網(wǎng)主機，整個過程中將引發(fā)警報機制。

DMZ區(qū)

內(nèi)外部網(wǎng)絡之間的通信

都經(jīng)過堡至主機

包過城總包過就資

于網(wǎng)主機

防火墻基本功能

?訪問控制

?地址轉(zhuǎn)換

?網(wǎng)絡環(huán)境支持

?帶寬管理

?入侵檢測和攻擊防御

?用戶認證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規(guī)則匹配成4

時間控制策略

時間控制策m

liiteniet

地址轉(zhuǎn)換策略1

地址轉(zhuǎn)考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護網(wǎng)絡

Eth2：

3

?隱藏了內(nèi)部網(wǎng)絡的結(jié)構(gòu)

?內(nèi)部網(wǎng)絡可以使用私有IP地址

?：?公開地址不足的網(wǎng)絡可以使用這種方式提供IP復;

地址轉(zhuǎn)換策略2

地址轉(zhuǎn)換

DNS

MAIL

?:?公開服務器可以使用私有:

?:?隱藏內(nèi)部網(wǎng)絡的結(jié)構(gòu)

文件

MAP：80TO：80

MAP：21TO：21於接

MAP：25TO：25地址（

MAP：53TO：53

太平遂0

中

?訪

Internet

MAP（地址/端口映射）

第五講防火墻技術(shù)原理

主要內(nèi)容

?防火墻技術(shù)原理

?訪問控制及訪問控制列表

防火墻技術(shù)原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應用

?防火墻存在的問題

防火墻的定義

一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間，它通過相關的安全策略來控制（允許、

拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據(jù)訪問控制規(guī)則決

定進出網(wǎng)絡的行為

防火墻核心技術(shù)

傳輸層Segment

吟Packet

網(wǎng)絡接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網(wǎng)絡層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)

議等確定是否允許數(shù)據(jù)包通過。

?2、應用代理(ApplicationProxy):工作在應用層，通過編寫應用代理程序，實

現(xiàn)對應用層數(shù)據(jù)的檢測和分析。

?3、狀態(tài)檢測(StatefulInspection):工作在2-4層，控制方式與1同，處理的對

象不是單個數(shù)據(jù)包，而是整個連接，通過規(guī)則表和連接狀態(tài)表，綜合判斷是

否允許數(shù)據(jù)包通過。

4、完全內(nèi)容檢測(CompeleteContentInspection):工作在2-7層，不僅分析數(shù)

據(jù)包頭信息、狀態(tài)信息，而且對應用層協(xié)議進行還原和內(nèi)容分析，有效防范

混合型安全威脅。

包過濾防火墻技術(shù)原理

包過濾防火力

am鏟網(wǎng)

應用代理防火墻技術(shù)原理

應用代理防火孑

狀態(tài)檢測防火墻技術(shù)原理

完全內(nèi)容檢測防火墻技術(shù)原理

IP層開始攻擊主服務器硬盤數(shù)據(jù)

網(wǎng)絡層保護強▲

應用層保護強III

會話保護很強III還原會送

網(wǎng)絡接口層上下文相關

前后報文有聯(lián)系報文3X?TCP硬盤數(shù)據(jù)

I

報文2T?TCP主眼務海

報文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結(jié)構(gòu)

?過濾路由器

?多宿主主機

?被屏蔽主機

?被屏蔽子網(wǎng)

過濾路由器

?過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報文都

必須在此通過檢查，實現(xiàn)報文過濾功能。

?它的缺點是一旦被攻陷后很難發(fā)現(xiàn)且不能識別不同的用戶（沒有日志記錄〉。

進行包過濾

雙宿主主機

?雙宿主主機優(yōu)于過濾路由器的地方是:堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)

日志。

?它的致命弱點是:一旦入侵者侵入堡壘主機，則無法保證內(nèi)部網(wǎng)絡的安全。

進行過濾

被屏蔽主機

?通常在路由器上設立ACL過濾規(guī)則，并通過堡壘主機進行了數(shù)據(jù)轉(zhuǎn)發(fā)，來

確保內(nèi)部網(wǎng)絡的安全。

?弱點:如果攻擊者進入屏敝主機內(nèi)，內(nèi)網(wǎng)中的就會受到很大威脅;這與雙宿主

主機受攻擊時的情形差不多。

雙宿主主機

被屏蔽子網(wǎng)

?這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的了網(wǎng)，用兩臺過濾

路由器分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡邊接，中間通過堡壘主機進行數(shù)據(jù)轉(zhuǎn)發(fā)。

?特點:如果攻擊者試圖進入內(nèi)網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主

機，然后才可以進入子網(wǎng)主機，整個過程中將引發(fā)警報機制。

DMZ區(qū)

內(nèi)外部網(wǎng)絡之間的通信

都經(jīng)過堡至主機

包過城總包過就資

于網(wǎng)主機

防火墻基本功能

?訪問控制

?地址轉(zhuǎn)換

?網(wǎng)絡環(huán)境支持

?帶寬管理

?入侵檢測和攻擊防御

?用戶認證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規(guī)則匹配成4

時間控制策略

時間控制策m

liiteniet

地址轉(zhuǎn)換策略1

地址轉(zhuǎn)考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護網(wǎng)絡

Eth2：

3

?隱藏了內(nèi)部網(wǎng)絡的結(jié)構(gòu)

?內(nèi)部網(wǎng)絡可以使用私有IP地址

?：?公開地址不足的網(wǎng)絡可以使用這種方式提供IP復;

地址轉(zhuǎn)換策略2

地址轉(zhuǎn)換

InoiegI5

DNS

MAIL

?:?公開服務器可以使用私有:

?:?隱藏內(nèi)部網(wǎng)絡的