IT法规与信息化安全.ppt

第一章 信息化安全及其威胁 本章要求掌握的要点 信息化安全的含义 信息化安全涉及的内容 信息化安全中的“5710”失误 威胁和攻击的含义 攻击的种类 “后门”的含义 第二章 信息化安全的实施及风险评估 本章要求掌握的要点 信息化安全实施的含义 信息化安全实施的原则 风险和风险评估的含义 风险评估的基本步骤 第三章 信息化安全技术 网络安全技术 网络加密三种技术 防火墙技术 应用代理（应用网关） 网络地址转换技术(NAT) 身份验证技术 操作系统安全内核技术 网络防病毒技术 入侵检测(监控) 审计技术 备份技术 信息安全技术 安全审计与监控技术 数据信息加密技术 数据完整性鉴别技术 防抵赖技术 信息内容审计技术 信息化安全管理的原则 链路加密 PSTN密码机是为采用公用电话网或专用电话网进行数据传输的计算机终端设计的物理层数据密码机。密码机接入在终端设备（如计算机、服务器、 DTE)和线路设备（如调制解调器、 DCE)之间。 链路层加密 (p.14) 网络层加密 IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持， 将确定为IETF标准，是VPN实现的Internet标准。 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式， Authentication Header(AH)及encapsulating security payload(ESP)。 IPsec使用 ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。 网络层加密 Ipsec提供了两种加密通讯手段： Ipsec Tunnel：整个IP包封装为Ipsec报文。提供Ipsec-gateway之间的通讯。 Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。 网络层加密 网络层加密 Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客不能看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多 数均使用该模式。 SAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级，(易于管 理)。 在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络 通讯。 网络层加密 网络层加密 扩展性好：加密实现是在IP层上，与具体的广域网（WAN）协议无关，也就是说可以适应各种不同的广域网信道（DDN、帧中继、X.25、PSTN等），有利于广域网的升级（协议和网络速率），而无需更换传输加密设备。 消息源鉴别和数据完整性鉴别：能实现对每一个IP报的来源地址以及是否被更改的强鉴别，有效杜绝IP地址假冒和对IP报的非法修改。 基于网络的安全管理：利用传输网络可实现工作密钥的安全分发和定期更换，大大方便安全管理。 配置灵活：可通过配置实现与加密节点和非加密节点的同时通信，也就是说可实现对指定目的地址的加密传输处理。 应用层加密 网络安全检测技术 (p.27) 入侵检测系统基本概念 入侵检测系统（IDS，Intrusion Detection System）是一类专门面向网络入侵检测的网络安全监测系统，它是网络信息系统安全的第二道防线，是安全基础设施的补充，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统的基本原理 (p.28) 入侵检测框架 CIDF（通用入侵检测框架）——美国加州大学Davis分校的安全实验室提出的框架 IDEF（入侵检测交换格式）——IUTE的入侵检测工作组（IDWG）开发的安全事件报警的标准格式 (P.28) 入侵检测的基本技术 (p.30) (1) 审计跟踪分析 (2) 网络包分析 (3) 实时活动监控 入侵检测系统提供的基本服务功能 (P.30_-4) 异常检测 入侵检测 攻击告警 入侵检测的基本方法 (p.31) (1) 基于用户行为概率统计模型的入侵检测方法 (2) 基于神经网络的入侵检测方法 (3) 基于专家系统的入侵检测技术 (4) 基于模型推理的入侵检测技术 入侵检测系统的结构 (p.31_-3) 基于主机的监测系统 基于网络的监测系统 分布式监测系统 基于主机的实时入侵检测系统 为关键服务器提供保护 监视来自网络的攻击、非法闯入、异常进程 检测出攻击，并切断服务、重起服务器进程、发出警报、记录入侵过程 可以为分布式方式：由安装在每台服务器上的agent进行攻击识别与动作执行，事件管理器完成管理、记录和报警工作 性能价格比高：