计算机信息系统安全解读.ppt

4.1 防火墙 1. 防火墙的概念 防火墙（Firewall）既可以指运行在路由器或服务器上的程序，也可以指特定的、独立的网络硬件。 防火墙的名字形象地体现了它的功能，防火墙则被安装在受保护的内部网络与外部网络的连接点上，负责监测过往的数据，将不利网络安全的数据阻拦下来，允许合法的数据通过。其结构如下图所示。 4. 防火墙与入侵检测 　防火墙连接内部与外部网络 4. 防火墙与入侵检测 2.工作原理 （1）包过滤型 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。 4. 防火墙与入侵检测 （2）应用网关型 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。 4. 防火墙与入侵检测 （3）代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。 （4）状态检测型 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。 4. 防火墙与入侵检测 4.2 入侵检测 1.入侵检测定义 入侵检测是对网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。 4. 防火墙与入侵检测 2. 入侵检测系统的工作原理 入侵检测是指从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统的基本结构如下图 所示： 4. 防火墙与入侵检测 3. 通用入侵检测模型 行为特征模块 规则 模块 检查引擎 事件 发生器 修改记 录状态 创建异 常记录 审记应用日志 网络包 更新 行为特征 更新 规则 时钟 4. 防火墙与入侵检测 4.入侵监测系统分类 按照数据来源的不同，可以将入侵检测系统分： 基于主机 基于网络 混合型 根据数据分析方法（也就是检测方法）的不同，可以将入侵检测系统分： 异常检测模型 误用检测模型 4. 防火墙与入侵检测 5.入侵监测系统的结构 基于主机 4. 防火墙与入侵检测 基于网络 4. 防火墙与入侵检测 基于分布式系统的入侵检测系统 传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。在这种背景下，产生了基于分布式的入侵检测系统。 4. 防火墙与入侵检测 6.入侵监测系统的发展趋势 （1）分布式、协作式入侵检测技术和通用入侵检测体系结构的研究 （2）入侵检测新技术、新方法的研究 （3）高速网络环境下的入侵检测 （4）入侵检测的评测分析方法 （5）应用层入侵检测的研究 4. 防火墙与入侵检测 本 章 小 结 计算机信息系统安全 安全威胁 计算机网络信息系统的安全目标 密钥、算法、密钥空间 编码、密码体系=加密∕解密算法+密钥、对称密钥密码术、非对称密钥密码术 计算机病毒破坏机理、分类、特点、监测、恢复 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务 入侵检测是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性；主要包括信息收集、信息分析和结果处理三个部分 两类基本编码技术 (1) 代替密码 利用预先设计的代替规则,对明文逐字符或逐字符组进行代替的密码. 分为单表代替和多表代替两种 (2) 移位密码 对各字符或字符组进行位置移动的密码. 2. 数据加密 1、单表代替密码： 利用预先设计的固定代替规则,对明文逐字符或逐字符组进行代替的密码. 字符组称为一个代替单位. 这里代替规则又称为代替函数、代替表或S盒。它的固定性是指这个代替规则与密钥因素和被加密的明文字符的序号无关。 即相同的明文字符组产生相同的密文字符组. 2. 数据加密 例1: 汉字和符号的区位码(单表代替) 2211 2277 2.