当前位置:文档之家› 第10章 计算机信息安全技术

第10章 计算机信息安全技术

密文传输 报文 信源 加密 加密单元 解密 解密单元 原报文 信宿
图 1 加密、解密模型
密码算法
目前加密算法主要有秘密钥匙(secret key)和公用钥 匙(public key)加密算法。
1.秘密钥匙加密
秘密钥匙加密法又称为对称式加密法或传统加密法。其 特点是加密明文和解读密文时使用的是同一把钥匙,如 下图所示。
(1)单级数据信息加密 (2)多级数据信息加密
信息的完整性
消息认证:消息接收者能确定


消息来源于被指定的发送者 消息是发送给预期的接收者 消息内容是完整可信的,即在传输过程中没有被 修改或替换 消息的序号和时间性
数字签名:网络服务中的身份验证,消息接
收者能确定


接收方能确认信息确实来自指定的发送者 发送者不能否认所发信息的内容 接收者不能伪造信息内容
This is a book
加密
!@#$~%^~&~*()秘密钥匙
!@#$~%^~&~*()-
解密
This is a book
2.公用钥匙加密
公用钥匙加密法又称非对称式加密,其特色是完成一次加、解 密操作时,需要使用一对钥匙。假定这两个钥匙分别为A和B,则 用A加密明文后形成的密文,必须用B方可解回明文,反之,用B 加密后形成的密文必须用A解密。
第4节
虚拟专用网
虚拟专用网



适合拥有众多地理分散分支机构的大型企业和公司,它 们选择基于电信服务商提供的公众网建立虚拟的专用网 VPN。 VPN专指基于公众网络,构建一个安全的、可靠的和可 管理的商业间通信的通道。 采用IP通道技术的VPN服务是一种新的VPN服务概念,即 Extranet 。在基于 IP 通道技术的 VPN 服务中,安全加密 是VPN主要需要解决的问题 PPTP协议即点对点的通道协议:建立数据包的传送隧道。 L2F协议:是Cisco公司提出,它发展为L2TP协议。 IPSec:是IETF支持的标准之一。它和前两种不同之处在于IP
公用钥匙
This is a book
加密 私有钥匙
!@#$~%^~&~*()-
!@#$~%^~&~*()-
解密
This is a book
对称和非对称密码体制比较
非对称密码体制与对称密码体制相比,主要有下面3个 方面的优点: 密码分发简单 秘密保存的密钥减少 公钥密码体制可以容易地实现对称密码体制难以实现 的签名验证机制



一个完整的安全体系结构主要由4个层次组成: 实体安全指的是保证网络中单个结点设备的安全 性 网络安全指的是保证整个网络的数据传输和网络 进出的安全性 应用安全主要保证各种应用系统内部的安全性 管理安全主要保证整个系统包括设备、网络系统 以及各种应用系统的运营维护时的安全性
TCP/IP协议中的安全解决方案
计算机导论
——第10章 计算机信息安全技术
主要内容

Байду номын сангаас


计算机信息安全概述 保密技术 防御技术 虚拟专用网 审计和监控技术 计算机病毒
第 1 节
计算机信息安全概述
信息安全的概念与现状
随着信息存储方式的变化,信息安全的概念也出现新的情况
传统信息安全:通过物理手段和管理制度来保证信息的 安全 计算机安全:保护所有信息储存设备所采取的手段 网络安全:用于保护传输的信息和防御各种攻击的措施 随着Internet在更大范围的普及,它所产生的负面影响也越 来越大,主要体现: 黑客阵营的悄然崛起 网上黄毒泛滥 网上病毒的传播 网上偷盗之风的盛行
审计系统包含的主要技术
信息捕捉与还原: 有效信息识别规则的制定和实现以及智能匹配 实时、非抵赖的审计 智能分析技术
IDS系统
IDS( 入侵检测系统)与防火墙不同,它并不介于网络
段之间,而是设计用于在单个域中隐式地运行。它能 够及时捕获所有网上的传输,把这些信息读入内存, 由系统与已知的一些典型攻击性分组比较。 IDS一般由驱动引擎和控制台两大部分组成: 驱动引擎用于捕获和分析网络传输 控制台用于管理各驱动引擎并发出有关报告。 根据系统所采用的检测模型,可以将IDS分为3类: 异常检测 滥用检测 混合检测

加密方式
1.通信加密
(1)节点加密:是在通信链路的任意两个相邻节点间对传输数 据进行加密。 (2)链路加密:是在通信链路上对传输的数据进行加密,它主 要靠硬件实现。 (3)端对端加密:是在报文传输初始节点上实现的。在整个数 据传输过程中,报文都是以密文方式传输,直到到达目的节点时才 进行解密。
2.文件加密
第3节
防御技术
防火墙概念

防火墙是位于两个 ( 或多个) 网络间,实施网间访问控制的一组 组件的集 合,它满足以下条件:
内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应对渗透免疫

防火墙通常被比喻为网络安全的大门,用来鉴别什么样的数据 包可以进出企业内部网。在应对黑客入侵方面,可以阻止基于 IP 包头的攻击和非信任地址的访问。但防火墙无法阻止和检测 基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网 络之间的违规行为
认证和授权机制的使用:对保护的对象或实体的合法或企图非法访问进
行记录 增加、删除和修改对象:记录对已利用安全服务对象的改变或删除操作 计算机操作员、系统管理员、系统安全人员采取的与安全相关的行动: 保持一个特权人员完成动作的记录 识别访问事件和它的行动者:识别每次访问事件的起始和结束时间及其 行动者 识别例外条件:在事务的两次处理其间,识别探测到的安全相关的例外 条件 利用密码变量:记录密钥的使用、生成和消除 改变分布环境中单元的配置:保持相关服务器的轨迹 任何企图陷害、攻击或闯入(不管成功与否)安全机制的事件
层的加密,提供了对私用地址、身份认证、密码管理等功能, 得到众多厂家的支持。
虚拟专用网示意图
公众网 密文 明文 明文
明文
总 部
分 部
第5节
审计与监控技术
审计和监控的准则
审计是对系统内部进行监视、审查,识别系统是否正在受
到攻击或机密信息是否受到非法访问,如发现问题后则采取 相应措施,其主要依据十是“信息技术安全性评估通用准则 2.0版”

信息安全
研究安全漏洞以防之
控制
广播 工业
研究攻防技术以阻之通讯
因特网
金融 交通
电力 信息对抗的威胁在增加
医疗
网络对国民经济的影响在加强
信息安全的定义
信息安全的定义:它包括很多方面,是一个十分复杂的问
题,可以说信息系统有多复杂,信息系统安全问题就有多 复杂;信息系统有什么样的特性,信息系统安全就同样具 有类似的特性。同时要实现这样的“安全”,也不是某个 技术能够解决的,它实际上是一个过程。
数据链路层可以采用加密来保证数据链路层中传输

数据的安全性 网络层可以采用IP层加密来保证IP层数据传输的安 全性,也可以采用防火墙、 VPN 技术在 IP 层次上保 证用户对网络的访问控制 应用层可以采用加密来保证应用数据的保密性,也 可以采用数字签名、身份认证等技术增加应用的安 全性。
第2节

信息安全犯罪的形式
破坏数据和设备 : 工作人员有时候会试图破坏计算机
设备、程序或者文件,而黑客和解密者则可能通过传 播病毒来进行对设备和数据的破坏。 偷窃 : 偷窃的对象可以是计算机硬件、软件、数据甚 至是计算机时间。 操纵: 找到进入他人计算机网络的途径并进行未经授 权的操作。
网络安全体系结构
保密技术
密码技术
密码技术主要是为维护用户自身利益,对资源采取防护措施, 防止非法用户侵用和盗取,或即使非法用户侵用和盗取了资源,也 由于无法识别而不能使用。 密码技术分加密和解密两部分。加密指改变数据的表现形式, 是把需要加密的报文按照以密钥为参数的函数进行转换,产生密码 文件。解密是按照密钥参数将密码文件还原成原文件。 数据加密与解密的模型如下图所示。
可信任计算机标准评估准则-橙皮书(TCSEC,美国):该
标准将计算机安全分为8个等级,由低到高为D1、C1、C2、 B1、B2、B3、A1和A2,各等级主要考虑系统的硬件、软件
和存储的信息免受攻击
信息安全基本要素
确保信息不暴露给未授权的实体或进程 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改 得到授权的实体在需要时可访问数据, 即攻击者不能占用所有的资源而阻碍 授权者的工作
防火墙 Intranet Internet
防火墙技术

设计策略: 服务访问策略:特定于一个出口,定义受保护网络中哪些服务
是允许的,哪些服务是明确禁止的,服务是怎样被使用的等 实施策略:描述防火墙实施中是怎样体服务访问策略,即怎样 去限制访问和过滤服务


包过滤技术:用于控制哪些数据报可以进出网络而那些 数据报应被网络拒绝 应用网关:运行代理服务的主机称为应用网关,这些程 序根据预先制定的安全规则将用户对外部网的服务请求 向外提交、转发外部网对内部网用户的访问。代理服务 替代了用户和外部网的联接
防火墙结构




包过滤防火墙:在Internet连接处安装包过滤路由器,在 路由器中配置包过滤规则来阻塞或过滤报文的协议和地 址 双宿主网关防火墙:由一个带有两个网络接口的主机系 统组成 过滤主机防火墙:由一个包过滤路由器和一个位于路由 器旁边保护子网的应用网关组成 过滤子网防火墙:在一个分割的系统上放置防火墙的每 一个组件,每一个组件仅需实现一个特定任务,该结构 中两个路由器用来创建一个内部的、过滤子网,这个子 网(有时称为非军事区DMZ)包含应用网关、信息服务器、 Modem池等 MODEM池:对通过MODEM拨号访问进行集中保护
相关主题