设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

信息化安全

文档类型：

Microsoft PowerPoint PPT 演示文稿文档大小：227KB

信息化安全
一、信息化安全的内容
二、信息化安全技术
三、安全技术应用
四、安全技术的新发展
1.网络的几种形式p
◆截获:者从网络上他人的通信内容被动
◆中断:者有意中断他人在网络上的通信
◆篡改:者故意篡改网络上传输的报文主动
◆伪造:者伪造信息在网上传输
一、信息化安全内容}截获被动AB中断篡改伪造主动
被动:者只观察和分析信息(单元)、不干扰通信
主动:者对通信者的信息进行各种处理,如有选择地更改、删除延迟等、还可在稍后的时间重放以前录下的信息(重放)
主动的方法:主动都是上述各种方法的组合,一般可划为三种
①更改报文流:对信息的真实性,完整性和有序性的更改
②拒绝报文服务:删除信息,延迟信息
③伪造连接初始化:重放合法初始化序列和伪造身份建立连接
2.计算机病毒属主动的范畴,计算机病毒完全是恶意的
①计算机病毒:是一种会传染其它程序的程序,传染是通过修改其它程序来把自身及其变种复制进去完成的
②计算机蠕虫:是一种通过网络的通信功能将自身从一个节点发送到另一个节点并启动运行的程序真正意义上的网络病毒,依附于网络,具有繁殖性.常驻于一台或多台计算机中、自动寻找没有感染的计算机在因特网中常以电子邮件的形式进行传播、在局域网中常以共享目录作为其传播途径有人利用蠕虫病毒的机理设计网络诊断工具软件
蠕虫病毒传播分五个步骤:扫描,,复制,隐藏,控制扫描漏洞;获取最高控制权;复制引导程序并运行;隐藏正常的统启动程序,将自己设为启动;控制整个系统蠕虫病毒的可怕处不在它的破坏性,而在它的传播性,时可在短时间内造成全球网络阻塞
蠕虫病毒的历史:
◎莫里斯病毒,1988年10月,贝尔实验室一名研究员的儿子,造成这个互联网瘫痪,直接解决损失9600万美元(第一代)
◎尼姆达病毒,2001年12月,代码精良,构思奇特、不是将自己加在系统文件的尾部,而是将系统文件放入病毒体内、这种病毒设计机理后来成为蠕虫的标准(第二代).这一代蠕虫设计者还利用蠕虫病毒运送其它病毒
③特洛伊木马:一种程序,它隐藏了一些恶意代码在软件源代码中加入恶意代码、一般是软件设计人员所为编译木马,在程序设计语言的编译器中加入木马,编译出来的程序均带木马和浏览器结合,以Setiri木马为例,可以进行文件上传和下载,还可执行系统程序,可以绕过防火墙等安全检测工具通过软件分发站点传播木马,附在软件后,如1999年1月的TCP
打包恶意代码:使用打包程序将木马和无毒的程序一起打包、用户安装时,连同木马程序一起安装
④逻辑:当运行环境满足特定条件时执行其它特殊功能的程序,
如:13日,星期五.90年代后期的CIH破坏EPROM_ 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.(根据1994年2月18日国务院正式颁布的《中华人民共和国计算机信息系统安全保护条例》)____ 较为普遍的定义认为、计算机病毒是一种人为制造的,隐藏在计算机系统的数据资源中的,能够自我复制进行传播的程序.__计算机病毒是一种特殊的程序.由病毒程序引起的问题,属于软件故障,而不是硬件故障,诸如系统不能正常引导,程序不能正确执行、文件莫明其妙地丢失等等现象,也包括打印机不能打印,磁盘不能使用等现象.报刊上不时有人宣称发现破坏硬件的新病毒,是一种错误的判断、往往发生在CMOS所存储的系统参数设置被病毒破坏的情形,这时只要恢复系统参数设置,就可以正常运行、并没有哪个硬件被损坏.
计算机病毒危害_ 1,病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘,改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改写文件,破坏CMO5设置等.
____ 2,占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间.
____ 引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区、而把原来的引导区转移到其他扇区、也就是引导型病毒要覆盖一个磁盘扇区.被覆盖的扇区数据永久性丢失,无法恢复.
_______ 文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去.就造成磁盘空间的严重浪费.
____ 3,抢占系统资源____ 除VIENNA,CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源. 4,影响计算机运行速度____病毒进驻内存后不但干扰系统运行、还影响计算机速度,主要表现在:____(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视.
____(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密这样CPU额外执行数千条以至上万条指令.
____ (3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且软盘正常的读写顺序被打乱,发出刺耳的噪声.
____ 5,计算机病毒错误与不可预见的危害____ 计算机病毒与其他计算机软件的一大差别是病毒的无责任性.计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存在9处错误, 乒乓病毒有5处错误等.大量含有未知错误的病毒扩散传播、其后果是难以预料的.
_ ___ 6,计算机病毒的兼容性对系统运行的影响____ 兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行、反之兼容性差的软件则对运行条件挑肥拣瘦,要求机型和操作系统版本等.病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机.
____ 7,计算机病毒给用户造成严重的心理压力___ 计算机病毒像幽灵一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力、极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的病毒的防治措施
①必备杀毒软件,经常升级
②下载的文件先杀毒,再使用
③禁止使用脚本程序(在Internet属性的安全卡中)
④不打开来历不明的邮件
⑤不访问不熟悉的网站(尤其是)
⑥不使用未经检测的免费软件_ 在与病毒的对抗中、及早发现病毒很重要.早发现,早处置,可以减少损失.
_1,建立良好的安全习惯.
___ 例如:对一些来历不明的邮件及附件不要打开、不要上一些不太了解的网站,不要执行从Internet 下载后未经杀毒处理的软件等、这些必要的习惯会使您的计算机更安全.
____2,关闭或删除系统中不需要的服务.____默认情况下,许多操作系统会安装一些辅助服务,如FTP 客户端,Telnet 和Web 服务器.这些服务为者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被的可能性.
_3,经常升级安全补丁.____据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁、以防范未然.
____4,使用复杂的密码.____有许多网络病毒就是通过猜测简单密码的方式系统的,因此使用复杂的密码、将会大大提高计算机的安全系数.
____5,迅速隔离受感染的计算机.当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机.
_ 6,了解一些病毒知识.这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序.
____7,不要随便登录不明网站.____8,在网关,服务器和客户端安装杀毒软件,并启动病毒实时监控系统,最好是安装专业的防毒软件进行全面监控.在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级,将一些主要监控经常打开(如邮件监控),遇到问题要上报, 这样才能真正保障计算机的安全.注意防毒软件实时升级.
杀毒软件有:金山毒霸熊猫卫士诺顿杀毒安全之星
抗病毒最有效的方法:备份重要数据!病毒库升级要快!
3.信息安全内容P200
◆保密性:在传输及存取过程中不被他人窃取
◆完整性:不可修改性,接收的信息要与发送的信息一致
◆有效性:信息所涉及的内容是真实有效的,在法律上可界定
◆不可抵赖性:发送者不能抵赖曾经发送过的内容
◆身份的真实性:信息传送双方是真实存在的,可鉴别的
◆系统的可靠性:计算机软件及硬件系统的可靠性技术措施
被动:对付被动方法:加密
主动:保证完整性的方法:报文鉴别
保证有效性,不可抵赖性,识别身份的方法:数字签名所以概况起来,安全技术有三类加密报文鉴别数字签名(一)加密
1.有关加密的概念
●明文:要加密的信息,用符号X表示.
●密文:加密后的信息,即加密过程的输出、用符号Y表示.
●加密:将明文信息变换成密文信息的过程.用函数形式表示为Y=Ek(X) E表示加密函数或加密算法.
●解密:将密文信息还原成明文信息的过程.用函数形式表示为X=Dk(Y) D表示解密函数或解密算法.
●密钥(key):加密过程所需要的重要参数,用符号k表示.加密示例(密钥是什么)
★明文X=3 加密函数:Y=3X22 则密文Y=29 ( X= )
★明文X=3 加密函数:Y=aX22 ,当a取3时,则密文Y=29
★明文X=China 加密方法:字母后移4个则密文Y=Glmre
★明文X=中加密方法:对应的电则密文Y=1023
★明文X=我爱你密文Y= 或
2.一般的信息加密模型InternetE加密算法D解密算法发送方明文X密钥K走安全通道接收方密文Y 明文X密钥源加密密钥K解密密钥K篡改或伪造
★安全通道大多数情况下是一个逻辑的概念
★密钥的产生,保管,分发是加密中的一个很重要的问题
★加密密钥和解密密钥可以不一样(五)数字签名(电子签名)p213
1.三个目的
●接收者能够核实发送者所宣称的身份(鉴别身份)
●发送者事后不能否认(防抵赖)
●接收者不能伪造(防伪造)
2.用RSA算法签名的两种方法(1)不带加密的签名任何一种能实现这三个目的的技术都可以称作数字签名技术SKA私有密钥发送者APKAA的公开密钥DPKA[ESKA(X)=X接收者B密文Y=ESKA(X)这样能达到上述三个目的吗为什么
接收者B得到了两个东西:Y=ESKA(X)和DPKA[ESKA(X)=X(2)带加密的签名《中华人民共和国电子签名法》的有关条文(2004年4月1日实施)
◎第二条本法所称电子签名、是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
◎第四条能够有形表现所载内容、并可随时调取查用的数据电文,视为符合法律,法规要求的书面形式A的私有密钥ESKA(X)PKBB的公开密钥SKBB的私有密钥EPKB[ESKA(X)]
X 用A(发送者)的私有密钥加密,实现签名;用B的公开密钥加密,实现对签名的加密
◎第五条符合下列条件的数据电文,视为满足法律,法规规定的原件形式要求能够有效地表现所载内容并可随时调取查用;能够可靠地保证自最终形成时起,内容保持完整,未被更改.但是在数据电文上增加背书以及数据交换,储存和显示过程中所发生的形式变化不影响数据电文的完整性(六)报文鉴别
1.目的
●接收者用来核实报文真伪的技术
2.单向散列函数
●一种不可逆的函数,或说,已知函数值,不能推导出自变量的函数
例:大数平方取中间3位数
3.报文摘要(MD)
●由原始报文(明文)通过某种单向散列函数运算生成的很短的,固定长度的信息.作为鉴别码、在这里称为摘要
4.报文摘要算法MD5
●广泛使用的一种生成报文摘要的算法,由RSA的第一个科学家研制,生成的摘要长度为128bit,它的每一位都与原始报文相关
5.利用MD5进行报文鉴别的原理图明文{MDMD5算法运算用PKB对MD加密发送方A用SKB对MD解密比较两者、
相同:报文完整
否则:不是原文接收方B!发送方如果先用A(自己)的私有密钥加密(签名)MD,再用对方B的公开密钥加密MD,则可实现报文鉴别和签名双重目的.实际上现在的电子商务安全就是这么做的
三、信息化安全技术应用(一)防火墙p222
1.概念
●在企业内部网(一般为Intranet)和Internet之间建立一种阻止或放行信息的机制.这种机制由自己定义的规则组成
●防火墙的策略有两种:所有未被允许的就是禁止的所有未被禁止的就是允许的
防火墙策略举例:禁止不可信任的外部网络进入内部网络服务区禁止外部网络通过任何协议访问内部网络允许外部网络用户通过VPN访问内部网络允许外部网络通过任何协议访问VPN允许内部网络用户通过邮件服务器收发邮件允许E-mail通过端口25,80访问外部网络允许内部网络用户通过代理服务器通过所有协议访问外部网络允许PROXY通过所有协议访问外部网络策略说明策略项目
2.构成
●可由纯软件构成,如家用电脑的防火墙;但企业中用的防火墙一般由软硬件系统构成
3.几种类型(1)包(packet或group分组)过滤路由器
●由具有过滤功能的路由器(或充当路由器的计算机构成),工作在网络层,有静态和动态两种方式
●动态:预先确定过滤规则,接收数据包时与过滤规则比较、符合,转发,否则丢弃.
●动态:需要时可通过询问,打开某些服务端口,通信完毕,关闭
●一般的防火墙都支持包过滤企业内部网(2)电路网关
●只依赖TCP连接,没有任何附加的过滤功能
●不允许内部主机与外部主机之间的直接的TCP连接,由其代为连接(3)应用网关
●通常就是代理服务器(PROXY SERVER)防火墙规则(通过软件来实现)在代理服务器上执行
4.组网时的两种常见的防火墙硬件配置方式(1)双宿主机网关
●用一台装有两个网卡的主机(双宿主机)做防火墙
常用熟知端口:交换机双宿主机路由器(2)屏蔽主机网关
●单宿堡垒主机:包过滤路由器单宿主机(因特网唯一可见主机)内部计算机受控制地通过主机和路由器访问Internet
●双宿堡垒主机:在应用层提供代理,综合了包过滤路由器和和应用网关两者单宿堡垒主机配置双宿堡垒主机配置(二)认证技术
◆采用了数字签名的信息,接收者必须用发送者的公钥解密,公钥从哪里来
◆A(张三)在网上说他是A(张三)、有人信吗
◆要建立这种信任机制,必须引入第三方、大家都信赖的一方
1.数字证书
●是一个数字文件,网上参与主体的身份证.
●有三种:个人证书,服务器证书,软件证书
●按X.509国际标准,包含下列内容(我国电子签名法也将此写入):版本号,序列号,签名算法持有者名称,颁发机构名称,有效期持有者公开密钥,颁发机构的数字签名
2.认证(CA)中心
●颁发证书,管理证书(更新,查询,作废,归档)的机构
●负责验证证书的真伪
3.身份认证、报文鉴别原理图
●发送方A要做的事:
(1) 取得B的数字证书,验证、并获得B的密钥(2)生成摘要、并对摘要签名(3)用对称密钥K(一次一密)加密明文和签名后的摘要以及A的证书(4)用B的公开密钥加密K (数字信封)
(5)把上述四者(浅绿色)发给B
●接收者B要做的事(1) 用自己的私钥解开K,得到(2)用K解开明文,摘要和A的证书,获得A的公钥(3)从A证书中的公钥,解密摘要的数字签名、得到摘要这一步同时也识别了A的身份明文摘要hash用对称密钥K加密用A的私钥加密实现签名K用B的公开密钥加密A证书(4)B用与A生成摘要的同样算法对明文运算,也生成摘要(2)B用刚生成的摘要与A的摘要相比、进行报文鉴别
相同:报文是完整的
不相同:报文不是真实的比较(三)安全协议
1.SSL (安全插口层)协议
●目的:在浏览器和服务器之间实现安全(加密)的信息传输
●基本过程:
(1) 协商(握手协议)SSL版本号,交换证书,互相认证发送方产生会话密钥K,并用数字信封传给接收方双方用K加密一信息,发送、验证连接成功(2)通信(记录协议):用协商好的会话密钥K传输信息
2.SET(安全电子交易)协议
●目的:在Internet上实现安全的信用卡在线交易
●主要特点:
(1) SET是专为与支付有关的报文进行加密的,不像SSL那样对任意的数据(如正文或图像)进行加密(2)SET涉及三方:即顾客,商家和商业银行(包括顾客发卡行和商家开户行)
(3)SET要求三方都有证书
SET的一个最关键的特性是:在交易中、商家看不见顾客传给商业银行的信用卡信息
●SET 交易中使用的三个软件(1) 浏览器钱包这个软件集成在浏览器中、管理顾客的信用卡和证书,响应从商家发来的交易报文,提示客户选择信用卡支付(2)商家服务器WWW上提供交易的平台,它处理持卡人的交易,与商业银行通信(3)支付网关是商业银行使用的软件,处理信用卡的交易,包括授权和支付,也是银行网与Internet的防火墙
●SET 交易的基本过程假设A是商家服务器,B是顾客(1)B通过浏览器浏览A的商品、形成订单,并准备用信用卡支付(2)A将订单和一个唯一标识符发给B顾客B商家AB的发卡行A的开户行支付网关(3)A将证书(包含公钥), A的开户行的证书发给B,这两个证书由同一个CA认证机构颁发,签名(4)B使用CA的公钥解开证书(判断证书真伪),同时识别了A的身份.B还获得了A的公钥和A的开户行的公钥(5)B生成两个数据包、给A的订单信息OI(Order Information)和给A的开户行的购买支付指令PI(Purchase 包括交易标识符,B的信用卡号和密码、B同意支付给A的款数,OI用A的公开密钥加密,PI用A的开户行的公钥加密,都送给A(6)A生成:支付授权请求PIA的证书,用A的开户行的公钥加密,送给支付网关SET协议涉及的各方(7)支付网关对数据解密,检查未被篡改后发给A开户行、开户行检查A的授权请求标识与B的标识是否一致,是,按传统信用卡渠道发请求支付授权报文给A的开户行(8)B收到授权批准后,就向A发成交信息
四、安全技术新发展
一、基于IPsec 的VPN技术
1.VPN(虚拟专用网)技术
●目的:在传输及存取过程中不被他人窃取

ppt文档的标签：信息化安全

更多推荐标签：初中个人自转询证申请书家电进场协议校园风光图财政补贴国泰安数据商场论文导游创业规划大学生的信仰精神分析普通高邮政服务岗位考核细则体育健康教案高考体检岗位操作规程定点宾馆合同论嵇康的清俊颜海龙医药保健城市轻轨发展翻译软件原理中国黑客全市人民挡安话题＜行动＞政协章程领导的评语危机攻关处理密码产品采油地质工