信息安全理论和技术基础.docxVIP

信息安全理论与技术基础 钟英南 为你IT从业路上增值 568573649@ 什么是信息安全？安全基本原则？ 信息安全保护五重安全机制？ OSI和TCP/IP模型结构？ 了解主要的信息安全产品分类（包括功能及作用、部署结构），如：IDS/IPS、防火墙、上网行为管理、VPN设备等？ 信息安全体系框架？ 什么是信息安全？安全基本原则？ 掌握信息安全基本概念 掌握信息安全基本原则 信息安全概念 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 信息安全基本原则 安全对象 可用性 完整性 机密性 availability integrity confidentiality C 机密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体 完整性（Integrity） —— 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性 可用性（Availability） —— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源 I A 信息安全保护五重安全机制 掌握信息安全五重安全机制 信息安全五重保护机制（模型） 加 密 数字签名 访问控制 鉴别交换 通信业务填充 路由选择控制 数据完整性 公 证 OSI安全体系结构认为一个安全的信息系统结构应该包括： 五种安全服务 八类安全技术和支持上述的安全服务的普遍安全技术 三种安全管理方法 系统安全管理 安全服务管理 安全机制管理 信息安全5重保护机制（五种安全服务） 鉴别：提供对通信中的对等实体和数据来源的鉴别。 访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问 数据机密性：对数据提供保护使之不被非授权地泄露 数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。 抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。 信息安全5重保护机制（八种安全机制） 加密：加密既能为数据提供机密性，也能为通信业务流信息提供机密性。 数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。 访问控制：为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。 数据完整性：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。 鉴别交换机制：可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。 通信业务填充机制：能用来提供各种不同级别的保护，对抗通信业务分析。 路由选择控制机制：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接。 公证机制：有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。 OSI和TCP/IP模型结构 掌握OSI每一层的内容 掌握TCP/IP每一层的内容 掌握每一层的控制措施和对策 OSI与TCP/IP模型的关系 OSI模型 作用 TCP/IP模型 协议或标准 控制措施和对策 7 应用层 提供服务，如邮件、文件传输和文件服务 应用层 FTP，TFTP，DNS，SMTP，SFTP，SNMP， Rlogin，BootP，MIME Virus ScannersPGP S/MIME Secure Coding SSH SETKerberos TACACS 6 表示层 提供加密，代码转换，和数据格式 MPEG,JPEG,HTTP,TIFF 5 会话层 与其它的计算机层协商和建立连接 主机到主机层 SQL,X-Window，ASP,DNA SCP,NFS,RPC SSLTSL SOCKS S/RPC IPS