常用信息安全技术介绍课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《常用信息安全技术介绍课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 常用 信息 安全技术 介绍 课件
- 资源描述:
-
1、广东石化公司信息中心2013年9月常用信息安全技术介绍常用信息安全技术介绍1什么是信息安全什么是信息安全 信息信息本身的机密性(本身的机密性(Confidentiality)、完整性()、完整性(Integrity)和)和可用性(可用性(Availability)的保持,即防止防止未经授权使用信息、防)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用止对信息的非法修改和破坏、确保及时可靠地使用信息。信息。保密性:保密性:确保信息没有非授权的泄漏,不确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用被非授权的个人、组织和计算机程序使用完整性:完整性
2、:确保信息没有遭到篡改和破坏确保信息没有遭到篡改和破坏可用性:可用性:确保拥有授权的用户或程序可以确保拥有授权的用户或程序可以及时、正常使用信息及时、正常使用信息2信息安全问题产生的根源信息安全问题产生的根源内因:内因:信息系统复杂性:过程复杂,结构复杂,应用复杂外因:外因:人为和环境:威胁与破坏3网络不安全的根本原因网络不安全的根本原因系统漏洞系统漏洞 信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从而影响
3、构建于信息系统之上正常服务的运行,危害信息系统及信息的安全属性。4网络不安全的根本原因网络不安全的根本原因协议的协议的开放性开放性 网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。网络的国际性网络的国际性 意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以网络的安全面临着国际化的挑战。网络的自由性网络的自由性 大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。5计算机病毒的威胁计算机病毒的威胁 由于由于企业介入企业介入用户
4、用户数量较多,并且分布广泛数量较多,并且分布广泛,网络,网络环境较为复杂环境较为复杂,信息系统分布众多,信息系统分布众多,使得使得病毒的传播较病毒的传播较为容易。病毒感染、传播的能力和途径也由原来的单一、为容易。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽。简单变得复杂、隐蔽。6黑客攻击黑客攻击的风险的风险 由于由于海外网络分布较广,和国内的环境相比不太相同,海外网络分布较广,和国内的环境相比不太相同,黑客利用计算机系统、网络协议及数据库等方面的黑客利用计算机系统、网络协议及数据库等方面的漏洞和漏洞和缺缺陷,采用后门程序、信息炸弹、拒绝服务、网络陷,采用后门程序、信息炸弹、拒绝
5、服务、网络监听等监听等手段,手段,对网络进行攻击,对数据进行窃取。对网络进行攻击,对数据进行窃取。7黑客攻击黑客攻击的风险的风险 企业企业的各项数据,包括生产数据、财务数据、人的各项数据,包括生产数据、财务数据、人员数据等,在网络中传输数据面临着各种安全风险:员数据等,在网络中传输数据面临着各种安全风险:被非法用户截取从而泄露企业机密;被非法篡改,造被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱、信息错误从而造成工作失误;非法用户成数据混乱、信息错误从而造成工作失误;非法用户假冒合法身份,发送虚假信息,给正常的经营秩序造假冒合法身份,发送虚假信息,给正常的经营秩序造成混乱、破坏和损失
6、。因此,信息传递的安全性日益成混乱、破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。成为企业信息安全中重要的一环。8身份认证和访问控制存在的风险身份认证和访问控制存在的风险 企业企业信息系统一般供特定范围的用户使用,包含的信息系统一般供特定范围的用户使用,包含的信息和数据也只对一定范围的用户开放,没有得到授权信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。由于网络的不可控性,安全的身份认的用户不能访问。由于网络的不可控性,安全的身份认证和访问控制就显得尤为重要。证和访问控制就显得尤为重要。9常见信息安全技术常见信息安全技术密码学系统安全网络安全协议网络攻击技
7、术攻击实施技术入侵检测技术网络防御技术计算机病毒访问控制技术10密码学基本术语密码学基本术语 研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学(Cryptography)和密码分析学(Cryptanalysis)。密码学(密码学(Cryptology)111.古典密码体制的安全性在于保持算法本身的保密性,受到算法限制。古典密码体制的安全性在于保持算法本身的保密性,受到算法限制。不适合大规模生产不适合较大的或者人员变动较大的组织用户无法了解算法的安全性2.古典密码主要有以下几种:古典密码主要有以下几种:代替密码(Substitu
8、tion Cipher)换位密码(Transposition Cipher)代替密码与换位密码的组合古典密码古典密码12对称密码算法和非对称密码算法对称密码算法和非对称密码算法 对称密码算法对称密码算法(Symmetric cipher):加密密钥和解密密钥相同,或实):加密密钥和解密密钥相同,或实质上等同,即从一个易于推出另一个。又称传统密码算法(质上等同,即从一个易于推出另一个。又称传统密码算法(Conventional cipher)、秘密密钥算法或单密钥算法。、秘密密钥算法或单密钥算法。DES、3DES、IDEA、AES 非对称密码算法非对称密码算法(Asymmetric cipher
9、):加密密钥和解密密钥不同,:加密密钥和解密密钥不同,从一个很难推出另一个。又叫公钥密码算法(从一个很难推出另一个。又叫公钥密码算法(Public-key cipher)。其中的加。其中的加密密钥可以公开,称为公开密钥(密密钥可以公开,称为公开密钥(public key),简称公钥;解密密钥必须保,简称公钥;解密密钥必须保密,称为私人密钥(密,称为私人密钥(private key),简称私钥。,简称私钥。RSA、ECC、ElGamal13加密(加密(Encryption):将明文变换为密文的过程。把可懂的语言变换成:将明文变换为密文的过程。把可懂的语言变换成不可懂的语言,这里的语言指人类能懂的
10、语言和机器能懂的语言。不可懂的语言,这里的语言指人类能懂的语言和机器能懂的语言。解密(解密(Decryption):加密的逆过程,即由密文恢复出原明文的过程。:加密的逆过程,即由密文恢复出原明文的过程。把不可懂的语言变换成可懂的语言。把不可懂的语言变换成可懂的语言。加密算法密钥密文明文解密算法密钥密文明文加密和解密算法的操作通常都是在一组密钥的控制下进加密和解密算法的操作通常都是在一组密钥的控制下进行的行的,分别称为加密密钥分别称为加密密钥(Encryption Key)和解密密钥和解密密钥(Decryption Key)。加密和解密加密和解密14PGP加密加密PGP是目前最优秀,最安全的加密
11、方式。这方面的代表软件是美国的PGP加密软件。这种软件的核心思想是利用逻辑分区保护文件,比如,逻辑分区E:是受PGP保护的硬盘分区,那么,每次打开这个分区的时候,需要输入密码才能打开这个分区,在这个分区内的文件是绝对安全的。不再需要这个分区时,可以把这个分区关闭并使其从桌面上消失,当再次打开时,需要输入密码。没有密码,软件开发者本人也无法解密!PGP是全世界最流行的文件夹加密软件。它的源代码是公开的,经受住了成千上万顶尖黑客的破解挑战,事实证明PGP是目前世界上最安全的加密软件。它的唯一缺点是PGP目前还没有中文版,而且正版价格极其昂贵。PGP技术是美国国家安全部门禁止出口的技术。15密码学的
12、应用密码学的应用-VPNVPN161 1、未使用、未使用VPNVPN时,分布在各地的组织机构需要用时,分布在各地的组织机构需要用专用网络专用网络来保证数据传来保证数据传输安全。其特点输安全。其特点1 1)安全性好)安全性好2 2)价格昂贵)价格昂贵3 3)难扩展、不灵活)难扩展、不灵活2 2、TCP/IPTCP/IP采用采用分组交换分组交换方式传递数据,其特点方式传递数据,其特点1 1)安全性差)安全性差2 2)价格便宜)价格便宜3 3)易扩展,普遍使用)易扩展,普遍使用密码学的应用密码学的应用-VPN17加密数据加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露信息认证和身份认证信息
13、认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。提供访问控制提供访问控制,不同的用户有不同的访问权限。密码学的应用密码学的应用-VPNVPN基本功基本功能能18 PKI PKI 指的是公钥基础设施指的是公钥基础设施,CACA指的是认证中心指的是认证中心.公钥基础设施(公钥基础设施(Public Key InfrastructurePublic Key Infrastructure)利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障 PKI/CA
14、PKI/CA 是一组建立在公开密钥技术基础上的硬件、软件、人员和应是一组建立在公开密钥技术基础上的硬件、软件、人员和应用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,从用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。运营、管理、规范、法律、人员等多个角度来解决网络信任问题。密码学的应用密码学的应用-PKI/CA19PKI/CA技术在信息安全中的作用技术在信息安全中的作用20安全漏洞安全漏洞信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等
15、过程中,有意或无意产生的缺陷,这些缺陷以不同形式配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全属性。安全属性。21安全模型安全模型22 注册表(Registry)整合、集成了全部系统和应用程序的初始化信息。其中包含硬件设备
16、的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。病毒、木马、黑客程序等攻击用户电脑时,都会对注册表进行一定的修改,因此注册表的安全设置非常重要。注册表安全注册表安全23抵御后门程序破环抵御后门程序破环禁用控制面板禁用控制面板锁定锁定桌面桌面禁止远程修改禁止远程修改注册表注册表禁止病毒启动禁止病毒启动服务服务禁止病毒自行启动禁止病毒自行启动注册表安全注册表安全241、比较原始的窃密技术比较原始的窃密技术是是暴力暴力破解破解,也叫密码穷举。如果黑客事,也叫密码穷举。如果黑客事先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简先知道了账户号码,如
17、网上银行账号,而恰巧你的密码又十分简单,比如用简单的数字组合,黑客单,比如用简单的数字组合,黑客使用使用暴力暴力破解破解工具很快就可以工具很快就可以破释出密码来。破释出密码来。2、在大部分用户意识到简单的密码在黑客面前形同虚设后,、在大部分用户意识到简单的密码在黑客面前形同虚设后,人们开始把密码设置的尽可能复杂一些,这就人们开始把密码设置的尽可能复杂一些,这就使得破解使得破解工具开始工具开始无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木马程序里设计了钩子程序,一旦用户的电脑感染了这种特制的病马程序里设计了钩子程序,一旦用户的电脑
18、感染了这种特制的病毒,系统就被种下了毒,系统就被种下了“钩子钩子”,黑客通过,黑客通过“钩子钩子”程序监听和记程序监听和记录用户的击键动作,然后通过自身的邮件发送模块把记录下的密录用户的击键动作,然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。码发送到黑客的指定邮箱。3、软键盘输入使得使用击键记录技术的木马失去了作用。这、软键盘输入使得使用击键记录技术的木马失去了作用。这时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解软键盘输入。病毒作者已考虑到软键盘输入这种密码保护技术,软键盘输入。病毒作者已考虑到软键盘输入这种密
19、码保护技术,病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上交易安全。网上交易安全。账号和密码安全账号和密码安全25账号和密码安全事项账号和密码安全事项 安全安全密码的密码的设置设置(1)密码中的
20、字符应该来自下面“字符类别”中五组中的至少三组。1、小写字母 a、b、c 2、大写字母 A、B、C 3、数字 0、1、2、3、4、5、6、7、8、9 4、非字母数字字符(符号)!#$%&*()?/_-|5、Unicode字符?、?和(2)密码设置的注意事项:1.请尽量设置长密码。请您设法设置便于记忆的长密码,您可以使用完整的短语,而非单个的 单词或数字作为您的密码,因为密码越长,则被破解的可能性就越小;2.尽量在单词中插入符号。尽管攻击者善于搜查密码中的单词,但请您在设置密码时不要放弃 使用单词。但您需要在您的单词中插入符号或者变为谐音符号。如:”just for you”可以改善 为“jus
21、t4y_o_u”;3.请不要在您的密码中出现您的帐号;4.请不要使用您的个人信息作为密码的内容。如生日、身份证号码、亲人或者伴侣的姓名等。26OSI安全体系结构安全体系结构 OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务。五类安全服务:五类安全服务:1.认证(鉴别)服务:提供对通信中对等实体和数据来源的认证(鉴别)。2.访问控制服务:用于防治未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。3.数据保密性服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密
22、,提供机密保护。同时,对有可能通过观察信息流就能推导出信息的情况进行防范。4.数据完整性服务:用于组织非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。5.抗抵赖服务:用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。27OSI安全体系结构安全体系结构1.加密加密机制机制:是确保数据安全性的基本方法,在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。2.数字签名数字签名机制机制:是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。3.访问访问控制机制控制机制:
23、从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法,当以主题试图非法使用一个未经给出的报警并记录日志档案。4.数据完整性数据完整性机制机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。5.认证认证机制机制:在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数
24、字签名、生物特征(如指纹)等。6.业务业务流填充机制流填充机制:攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间再无正常信息传送时,持续传递一些随机数据,使攻击者不知道哪些数据是有用的,那些数据是无用的,从而挫败攻击者的信息流分析。7.路由路由控制机制控制机制:在大型计算机网络中,从源点到目的地往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。8.公正公正机制机制:在大型计算机网络中,并不是所有的用户都是诚实可信的,同时也可能由于设备故障等技术原因造成信息丢失、延迟等,
25、用户之间很可能引起责任纠纷,为了解决这个问题,就需要有一个各方都行人的第三方以提供公证仲裁,仲裁数字签名经济术士这种公正机制的一种技术支持。28网络安全协议网络安全协议29 网络层网络层IP 安全性(IPSec)传输层传输层 SSL/TLS 应用层应用层S/MIME,PGP,PEM,SET,Kerberos,HTTPS,SSH网络安全协议网络安全协议30IPSec IPSec为在为在LAN、WAN和和Internet上的通讯提供上的通讯提供安全性安全性 分支办公机构通过Internet互连。(Secure VPN)通过Internet的远程访问。与合作伙伴建立extranet与intranet
展开阅读全文