信息安全管理（第八章 网络及系统安全保障机制）.pptVIP

虚拟化安全防护技术 虚拟化安全威胁： 虚拟化模块自身的安全威胁 虚拟化模式引入的安全威胁 多业务环境引入的安全威胁 虚拟化安全防护技术 虚拟化安全增强的难题： 传统的企业网络划分不同的安全域，并且在不同的安全域之间部署防火墙等网络安全设备 大多数虚拟化安全技术多采用传统的主机防护方式来增强虚拟机的安全 采用虚拟化层安全增强的方式是研究的热点 虚拟化安全防护技术 虚拟机自省技术： 虚拟化环境的安全防护同样要依赖于访问控制、入侵检测等安全机制，但在具体实施方式上要能够应对虚拟化环境的新特性。 在虚拟化环境下，虚拟机监视器具有较高的权限，较小的可信基以及良好的隔离性，如果能将安全工具部署在虚拟机监视器中来对虚拟机进行监控，将会很大程度地提高安全工具本身的安全性，虚拟机自省使这个设想成为了可能 虚拟化安全防护技术 虚拟化安全防护措施： 防恶意软件 防火墙 入侵侦测和防御 (IDS/IPS) 应用程序控制 Web应用程序防护 虚拟补丁 思考题 谢谢！ * * LOGO LOGO 第八章 网络及系统安全保障机制 信息安全管理 本讲内容 概述 1 2 3 5 身份认证技术 网络边界及通信安全技术 3 本讲内容 1 3 5 网络入侵检测技术 4 计算环境安全技术 5 虚拟化安全防护技术 6 概述 安全保障机制是信息安全的基本要素之一，在信息安全管理中需要采用有效的安全机制。围绕信息系统的不同安全威胁和安全需求，需要采用对应的安全技术。本章从身份管理、网络通信安全、身份管理与认证、虚拟化安全、软件安全等几个方面对主要的网络及系统安全保障机制进行阐述。通过章的学习，网络安全管理者可以对于网络安全保障机制中的主要技术有个全面了解。 身份认证技术 解决网络与信息安全的实用技术： 加解密算法 数字签名技术 认证技术 不同应用环境下的身份认证技术： 口令认证 密码认证 生物认证 身份认证技术 概念： 身份认证依据： 你知道什么（What you know） 你拥有什么（What you have） 你是谁（Who you are） 你在哪里（Where you are） 身份认证技术 身份认证对安全服务的作用： 作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份 作为提供数据源认证的一种可能方法（当它与数据完整性机制结合起来使用时） 作为对责任原则的一种直接支持，例如，在审计追踪过程中做记录时，提供与某一活动相联系的确知身份 身份认证技术 口令机制： 静态口令：静态口令实际就是一个口令字；是日常使用最为普遍的一种认证方式，但是安全性也是最脆弱的一种认证方式 动态口令：动态口令也叫做一次性口令字，它比静态口令更安全。一般分为两种：同步和异步。 身份认证技术 对称密码认证： Kerberos是一种典型的对称密码认证协议，由美国麻省理工学院为Athena工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法，用来实现网络环境下鉴别与密钥分配协议。 身份认证技术 证书认证： 数字证书作用： 信息除发送方和接收方外不被其它人窃取 信息在传输过程中不被篡改 发送方能够通过数字证书来确认接收方的身份 发送方对于自己的信息不能抵赖 身份认证技术 证书认证技术： 数字证书为核心 对称密码体制 数字签名 数字信封等 身份认证技术 生物认证技术： 生物认证技术，又叫生物识别技术，是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性或行为特征来进行个人身份的鉴定。其运用who you are方法，技术本质上是模式识别问题。 身份认证技术 图8-1 生物认证系统原理 网络边界及通信安全技术 物理隔离技术： 可以从以下几个方面理解物理隔离： 它可以阻断网络的直接连接，即没有两个网络同时连在隔离设备上 隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性 任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的 网络边界及通信安全技术 隔离设备具有审查的功能 隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性 物理隔离系统具有强大的管理和控制功能 物理隔离分为网络隔离和数据隔离。 网络边界及通信安全技术 物理隔离的安全要求： 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网：同时防止内部网信息通过网络连接泄漏到外部网 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或祸合方式泄漏到外部网 在物理存储上隔断两个网络环境 网络边界及通信安全技术 防火墙技术： 概念： 防火墙是控制介于网络不同安全区域间流量的一台设备