信息安全技术过程稿.pptVIP

信息安全的概念 计算机病毒 防火墙技术 知识产权与 相关法规 实体安全 加密和解密 数据备份 和恢复技术 密码技术 加密的概念 私钥与公钥 报文摘要 数字签名 数字证书 加密技术分类 组成 算法，algorithm (公用) 密钥，keys (私有) 加密算法是将明文转换成密文的 数学方法。强的加密算法很 难破解。 密钥：具有确定bit长度的 数字单元。 私钥与公钥 私钥或对称密钥：加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。 公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。 私钥与公钥(cont.) 公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）。 报文摘要（ Message Digest） 也叫散列函数（ hash function）或单向 转换 （one-way transform）。用于数据认证与数据完整性。 加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print)。 对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。 数字签名 数字签名(cont.) 使用公钥系统 等效于纸上物理签名 如报文被改变，则与签名不匹配 只有有私钥的人才可生成签名， 并用于证明报文来源于发送方 A使用其私钥对报文签名， B用公钥查验（解密）报文 数字信封 报文摘要与数字签名(cont.) 数字签名较报文摘要昂贵，因其处理强度大 为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。 使用这种方法，我们不但可以证明报文来源于A (A对报文签名，不可否认)，而且确定报文在传输过程中未被修改 (报文摘要，机密性)。 由于只有 A知道其私有密钥，一旦他加密 (签名)了报文摘要 (加密的报文)，他对报文负责 (不可否认)。 数字证书格式（X.509） 证书的版本号 数字证书的序列号 证书拥有者的姓名 证书拥有者的公开密钥 公开密钥的有效期 签名算法 颁发数字证书的验证 防火墙的基本知识 防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。 防火墙能够做什么 保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护 内网系统不可见 审计和统计网络使用和错误 强制执行统一的安全策略 防火墙的缺陷? 外网获得内网的服务不如原来方便 后门并没有完全堵住 通过MODEM的外拨 通过MODEM的内拨 内部攻击者无法防止 逃避防火墙的监管 其他问题 新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（all eggs in single basket） 防火墙运行的网络层次 简单防火墙运行的层次少，而复杂防火墙运行的层次就多 防火墙的功能分类 包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙／个人防火墙设备 包过滤防火墙 最基本的防火墙功能 包含有许多过滤规则 最基本的工作模式是工作在第二，第三层 存取控制一般基于以下参数 原地址：数据包从哪里来 目标地址：数据包要进入哪个系统 通信类型：通信协议，IP、IPX或其他协议 其他信息，IP数据包头的其他信息 第二层工作可以增加冗余和完成负载均衡 边界路由器包过滤Boundary Router Packet Filter 包过滤防火墙特点 非常快，可以安装在最外的边界上 根据策略，如阻止SNMP,允许HTTP 可能的弱点 应用相关的漏洞没有办法保护 审计不够详细 无法支持高级的用户认证 无法防止高级攻击，如IP地址假冒 目前，很难找到只有包过滤功能的防火墙 路由器，SOHO防火墙，操作系统自带的防火墙 状态检查防火墙Stateful Inspection Firewalls 工作在2，3，4层 不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态 应用代理网关防火墙Application-Proxy Gateway Firewalls 代理网关防火墙主要工作在应用层(2,3,4,7) 部分语义的检查 可以进行用户认证 身份认证,基于生物特征的认证 可以进行原地址检查 不足 慢,不适合快速网络 针对新的应用,升级麻烦 专用代理防火墙