chapter9 信息安全管理概述.pptVIP

第 * /70页 我国立法 81年起开展计算机安全监察 88年中华人民共和国计算机信息系统安全保护条例 中华人民共和国保守国家秘密法 计算机软件保护条例 中华人民共和国计算机网络国际互联网管理暂行规定及实施办法 中国公众媒体通信管理办法 计算机病毒控制条例 中华人民共和国计算机信息系统安全检查办法 中华人民共和国计算机信息系统安全申报注册管理办法 * 由于信息具有抽象性、可塑性、可变性以及多效性等特征，使得它在处理、存储、传输和使用中存在严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏。 * 第 * /70页 数据加密技术 数字签名技术 数字证明书技术 防火墙技术 数字签名技术 第 * /70页 （1）什么是数字签名 Digital Signature 数字签名是通过一个单向函数对要传送的报文进行 处理得到的用以认证报文来源并核实报文是否发生变化 的一个字母数字串。 （2）数字签名的作用 －－保证信息完整 －－信息发送者身份的验证 数字签名技术 第 * /70页 发送端 接收端 原 信 息 摘要 Hash 函数 加密 数 字 签 名 发送者私钥加密 internet internet 原 信 息 数 字 签 名 摘要 摘要 Hash函数加密 发送者公钥解密 对比 第 * /70页 数字签名技术 数字签名是模拟现实生活中的笔迹签名，它要解决如何有效的防止通信双方的欺骗和抵赖行为。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。 为使数字签名能代替传统的签名，必须保证能够实现以下功能： ⑴ 接受者能够核实发送者对消息的签名。 ⑵ 签名具有无可否认性。 ⑶ 接受者无法伪造对消息的签名。 数字签名功能 第 * /70页 数字签名功能的说明 假设A和B分别代表一个股民和他的股票经纪人。A委托B代为炒股，并指令当他所持的股票达到某个价位时，立即全部抛出。 B首先必须认证该指令确实是由A发出的，而不是其他人在伪造指令。这需要第一个功能。 假设股票刚一卖出，股价立即猛升，A后悔不己。如果A不诚实，他要控告B，宣称他从未发出过任何卖出股票的指令。这时B可以拿出有A自己签名的委托书作为证据。这又需要第二个功能。 另一种可能是B玩忽职守，当股票价位合适时没有立即抛出，不料此后股价一路下跌，客户损失惨重。为了推卸责任，B可能试图修改委托书中关于股票临界价位为某一个实际上不可能达到的值。为了保障客户的权益，需要第三个功能。 数字证明书技术 第 * /70页 数字证明书技术 谁来证明公开密钥的持有者是合法的？目前通行的做法是采用数字证明书来证实。 数字证明书的作用如同司机的驾驶执照、出国人员的护照、专业人员的专业资格证明书。 通过一个可信的第三方机构，审核用户的身份信息和公开钥信息，然后进行数字签名。其他用户可以利用该可信的第三方机构的公开钥进行签名验证。从而确保用户的身份信息和公钥信息的一一对应。 由用户身份信息、用户公钥信息以及可信第三方机构所作的签名构成用户的身份数字证书。 可信的第三方机构，一般称为数字证书认证中心CA（Certificate Authority）。 身份认证技术 第 * /70页 防火墙技术 防火墙是专门用于保护网络内部安全的系统。 其作用：在某个指定网络（Intranet）和网络外部（Internet）之间构建网络通信的监控系统，用于监控所有进、出网络的数据流和来访者，以达到保障网络安全的目的。根据预设的安全策略，防火墙对所有流通的数据流和来访者进行检查，符合安全标准的予以放行，不符合安全标准的一律拒之门外。 放火墙功能 第 * /70页 防火墙的功能 对于防火墙有两个基本要求：保证内部网络的安全性和保证内部网和外部网间的连通性。 基于这两个基本要求，一个性能良好的防火墙系统应具有以下功能： ⑴实现网间的安全控制，保障网间通信安全。 ⑵能有效记录网络活动情况。 ⑶隔离网段，限制安全问题扩散。 ⑷自身具有一定的抗攻击能力。 ⑸综合运用各种安全措施，使用先进健壮的信息安全技术。 ⑹人机界面良好，用户配置方便，容易管理。 放火墙分类 第 * /70页 防火墙技术的分类 防火墙技术从原理上可以分为： 包过滤 代理服务器 包过滤技术 第 * /70页 ⑴包过滤技术 指对于所有进入网络内部的数据包按指定的过滤规则进行检查，凡是符合指定规则的数据包才允许通行，否则将被丢弃。 例如，为便于收费管理，在校园网内阻塞去往国外站点的链接（国内免费，国外按