信息科学与信息技术的发展.ppt

* * * * * 防火墙技术 防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙在网络中的位置如图所示 1.5.6 防火墙与虚拟专用网（VPN） 防火墙技术 1.5.6 防火墙与虚拟专用网（VPN） 双重宿主主机体系结构 1.5.6 防火墙与虚拟专用网（VPN） 防火墙技术 被屏蔽主机体系结构 1.5.6 防火墙与虚拟专用网（VPN） 防火墙技术 被屏蔽子网体系结构 1.5.6 防火墙与虚拟专用网（VPN） 防火墙技术 1.5.6 防火墙与虚拟专用网（VPN） 虚拟专用网 对于拥有地理上分散的众多分支机构的大型企业和公司，建立物理上独立的专用网络非常困难，也是不切实际的。这就要求企业必须选择基于电信服务商提供的公众网进行相互间的联系，建立虚拟的专用网（Virtual Private Network,VPN），而虚拟专用网的安全问题也就随着公众网的安全问题变得越来越突出，成为各大公司、企事业单位要解决的首要问题。 VPN的分类及其用途 通常，VPN提供三项功能：认证、加密和访问控制。这三项功能必须相互配合，才能保证真正的安全性。根据不同需要，可以构造不同类型的VPN。目前主要有三种结构的VPN：内部网VPN、远程访问VPN和外部网VPN。 一个组织的内部网络在安全保密上的一个有效方法是采取“外防”与“内审”相结合的办法。“外防”是防止外部不该进入的内容进入，不该出去的内容出去，用它屏蔽保护与外界的联系；而“内审”是对系统内部进行监视和审查，识别系统是否正在受到攻击或机密信息是否受到非法访问，如发现问题后则采取相应措施。 1．审计与监控的准则 国际标准化组织ISO和国际电工委员会IEC在 1988年5月出版了《信息技术安全性评估通用准则 2.O版》(ISO/IEC15408)。根据该标准，一个安全 的网络必须具备安全审计系统，并在CC标准2.O第 二部分中详细定义了安全审计的功能。要实现比 较完善的审计系统,审计事件的确定是非常重要的。 1.5.7 审计与监控技术 一般选择可审计事件的准则如下： ①认证和授权机制的使用：对要求利用认证和授权服务的对象进 行记录。 ②记录安全服务对象的改变或删除操作。 ③识别访问事件和它的行动者：识别每次访问事件的起始和结束 时间及其行动者。 ④识别例外条件：在事务的两次处理其间，识别探测到的与安全 相关的例外条件。 ⑤密码的使用：记录密钥管理的整个过程，如密钥的使用、生成 或消除。 ⑥任何企图陷害、攻击或闯入(不管成功与否)安全机制的事件。 ⑦特权人员的行为：记录计算机操作员、系统管理员、系统安全 人员完成工作的全过程，以确定他们所采取的安全策略和行为 与实际履行的是否一致。 1.5.7 审计与监控技术 入侵检测 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（Intrusion Detection System），它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。 1.5.8 入侵检测与漏洞扫描 入侵检测 1.5.8 入侵检测与漏洞扫描 入侵检测 1.5.8 入侵检测与漏洞扫描 入侵检测 1.5.8 入侵检测与漏洞扫描 漏洞扫描 漏洞扫描系统可以对网络中所有部件（Web站点、防火墙、路由器、TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。漏洞扫描系统可以对网络系统中的所有操作系统进行安全性扫描，检测操作系统存在的安全漏洞，并产生报表，以供分析；还会针对具体安全漏洞提出补救措施。 1.5.8 入侵检测与漏洞扫描 从9.11事件看容灾系统的重要性 什么是远程容灾系统 远程容灾系统的数据保护 1.5.9 远程容灾系统 数字签名，就是只有信息发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对发送者发送信息真实性的一个证明。 1.5.10 数字签