信息安全与技术课件10陈思颢.ppt

* * 电信137班: 陈思颢 信息安全技术--第10章应用层安全技术 立德 致用 兼容 创新 物理与信息工程学院 第10章应用层安全技术 应用系统的安全技术是指在应用层面上解决信息交换的机密性和完整性，防止在信息交换过程中数据被非法窃听和篡改的技术。 立德 致用 兼容 创新 物理与信息工程学院 第一节 Web安全技术 Web页面为用户提供了网络应用系统的接口以及海量的多媒体信息（包括文字、音频、视频信息），透过Web页，人们可以从事海量知识和信息的检索、网络办公以及网络交易等日常的工作、学习、娱乐活动。然而， 有些人受利益驱动，利用了人们上网的心理和Web本身存在的漏洞，进行违法犯罪活动。 立德 致用 兼容 创新 物理与信息工程学院 一、Web概述 1. Web组成部分 Web最初是以开发一个人类知识库为目标，并为某一项目的协作者提供相关信息及交流思想的途径。Web的基本结构是采用开放式的客户端/服务器结构（Client/Server），它们之间利用通信协议进行信息交互。 立德 致用 兼容 创新 物理与信息工程学院 2. Web安全问题 Web的初始目的是提供快捷服务和直接访问，所以早期的Web没有考虑安全性问题。随着Web的广泛应用，Internet 中与Web相关的安全事故正成为目前所有事故的主要组成部分。为了深入了解国内用户应对Web安全威胁的现状，帮助他们找出隐患、提高防范能力，国内领先的中文IT技术网站51CTO.com于2008年12月特别推出了“Web安全威胁在线调查”活动，邀请广大用户参与线上调查，为当前Web安全及威胁现状提供更为有力的数据依据。本次调查按照问卷形式进行，分三个主题，共有14道调查选项，由51CTO.com安全频道和业内相关专家共同拟定。分别调查用户在“网站安全”、“IM即时通讯安全”、“邮件安全”三个方面的安全现状。 立德 致用 兼容 创新 物理与信息工程学院 二、Web安全目标 Web安全目标主要分为以下3个方面： （1）保护Web服务器及其数据的安全 （2）保护Web服务器和用户之间传递信息的安全 （3）保护终端用户计算机及其他连入Internet的设备的安全 立德 致用 兼容 创新 物理与信息工程学院 三、Web安全技术的分类 Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术三类。 第二节电子邮件安全技术 随着Internet的发展，电子邮件（E-mail）已经成为一项重要的商用和家用资源，越来越多的商家和个人使用电子邮件作为通信的手段。但随着互联网的普及，人们对邮件的滥用也日渐增多，一方面，试图利用常规电子邮件系统销售商品的人开始利用互联网发送E-mail，经常导致邮件系统的超负荷运行；另一方面，黑客利用电子邮件发送病毒程序进行攻击。随着E-mail的广泛应用，其安全性备受人们关注。 立德 致用 兼容 创新 物理与信息工程学院 立德 致用 兼容 创新 物理与信息工程学院 一、电子邮件系统的组成 E-mail系统主要由邮件分发代理、邮件传输代理、邮件用户代理及邮件工作站组成。 三、电子邮件安全技术分类 针对前述的安全目标，常用的安全技术如下： 1.身份认证技术 2.加密、签名技术 3.协议过滤技术 4.防火墙技术 5.邮件病毒过滤技术 立德 致用 兼容 创新 物理与信息工程学院 二、电子邮件安全目标 根据邮件系统的组成，可以将邮件安全目标总结如下： 1.邮件分发安全 2.邮件传输安全 3.邮件用户安全 四、电子邮件安全标准——PGP PGP（Pretty Good Privacy）是一种对电子邮件提供加密、签名和认证的安全服务的协议，已成为电子邮件事实上的安全标准。PGP将基于公钥密码体制的RSA算法和基于单密钥体制的IDEA算法巧妙地结合起来，同时兼顾了公钥密码体系的便利性和传统密码体系的高速度，形成了一种高效的混合密码系统。 立德 致用 兼容 创新 物理与信息工程学院 PGP支持对邮件的数字签名和签名验