信息平安技術

第1章熟習信息平安技術1.1信息平安技術的計算環(huán)境1.2信息平安技術的規(guī)范化1.3信息系統(tǒng)的物理平安1.4Windows系統(tǒng)管理與平安設置第2章數據備份技術2.1優(yōu)化WindowsXP磁盤子系統(tǒng)2.2數據存儲處理方案<信息平安技術>教學內容第3章加密與認證技術3.1個人數字證書與CA認證3.2加密技術與DES加解密算法3.3認證技術與MD5算法第4章防火墻與網絡隔離技術4.1防火墻技術及Windows防火墻配置4.2網絡隔離技術與網閘運用<信息平安技術>教學內容第5章平安檢測技術5.1入侵檢測技術與網絡入侵檢測系統(tǒng)產品5.2破綻檢測技術和微軟系統(tǒng)破綻檢測工具MBSA第6章訪問控制與審計技術6.1訪問控制技術與Windows訪問控制6.2審計追蹤技術與Windows平安審計功能<信息平安技術>教學內容第7章病毒防備技術7.1病毒防備技術與殺病毒軟件7.2解析計算機蠕蟲病毒第8章虛擬公用網絡技術第9章信息平安管理與災難恢復9.1信息平安管理與工程9.2信息災難恢復規(guī)劃<信息平安技術>教學內容第10章信息平安技術的運用10.1電子郵件加密軟件PGP10.2Kerberos認證效力10.3公鑰根底設備PKI10.4平安通訊協(xié)議與平安電子買賣協(xié)議10.5反渣滓郵件技術實驗11信息平安技術實驗總結實驗12信息平安技術課程設計<信息平安技術>教學內容第1章熟習信息平安技術1.1信息平安技術的計算環(huán)境1.2信息平安技術的規(guī)范化1.3信息系統(tǒng)的物理平安1.4Windows系統(tǒng)管理與平安設置第1章熟習信息平安技術1.1信息平安技術的計算環(huán)境1.2信息平安技術的規(guī)范化1.3信息系統(tǒng)的物理平安1.4Windows系統(tǒng)管理與平安設置1.1信息平安技術的計算環(huán)境信息平安是指信息網絡的硬件、軟件及系統(tǒng)中的數據遭到維護，不因偶爾或惡意的緣由而遭到破壞、更改或泄露，系統(tǒng)延續(xù)可靠正常地運轉。信息平安是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息平安技術、運用數學、數論、信息論等多種學科的綜合性學科。從廣義來說，凡是涉及到網絡上信息的嚴密性、完好性、可用性、真實性和可控性的相關技術和實際都屬于信息平安的研討領域。1.1信息平安技術的計算環(huán)境如今，基于網絡的信息平安技術也是未來信息平安技術開展的重要方向。由于因特網是一個全開放的信息系統(tǒng)，保密和反保密、破壞與反破壞廣泛存在于個人、集團甚至國家之間，資源共享和信息平安不斷作為一對矛盾體而存在著，網絡資源共享的進一步加強以及隨之而來的信息平安問題也日益突出。1.1.1信息平安的目的無論是在計算機上存儲、處置和運用，還是在通訊網絡上傳輸，信息都能夠被非授權訪問而導致泄密，被篡改破壞而導致不完好，被冒充交換而導致否認，也有能夠被阻塞攔截而導致無法存取這些破壞能夠是有意的，如黑客攻擊、病毒感染等;也能夠是無意的，如誤操作、程序錯誤等。普遍以為，信息平安的目的應該是維護信息的性、完好性、可用性、可控性和不可抵賴性(即信息平安的五大特性)：性。指保證信息不被非授權訪問，即使非授權用戶得到信息也無法知曉信息的內容，因此不能運用。完好性。指維護信息的一致性，即在信息生成、傳輸、存儲和運用過程中不發(fā)生人為或非人為的非授權篡改。1.1.1信息平安的目的可用性。指授權用戶在需求時能不受其他要素的影響，方便地運用所需信息。這一目的是對信息系統(tǒng)的總體可靠性要求。可控性。指信息在整個生命周期內部可由合法擁有者加以平安的控制。不可抵賴性。指保證用戶無法在事后否認曾經對信息進展的生成、簽發(fā)、接納等行為。1.1.1信息平安的目的現(xiàn)實上，平安是—種認識，一個過程，而不僅僅是某種技術。進入21世紀后，信息平安的理念發(fā)生了宏大的變化，從不惜一切代價把入侵者阻撓在系統(tǒng)之外的防御思想，開場轉變?yōu)轭A防-檢測-攻擊呼應-恢復相結合的思想，出現(xiàn)了PDRR(Protect/Detect/React/Restore)等網絡動態(tài)防御體系模型。1.1.1信息平安的目的圖1-1信息平安的PDRR模型PDRR倡導一種綜合的平安處理方法，即：針對信息的生存周期，以“信息保證〞模型作為信息平安的目的，以信息的維護技術、信息運用中的檢測技術、信息受影響或攻擊時的呼應技術和受損后的恢復技術作為系統(tǒng)模型的主要組成元素，在設計信息系統(tǒng)的平安方案時，綜合運用多種技術和方法，以獲得系統(tǒng)整體的平安性。1.1.1信息平安的目的PDRR模型強調的是自動缺點恢復才干，把信息的平安維護作為根底，將維護視為活動過程，用檢測手段來發(fā)現(xiàn)平安破綻，及時更正；同時采用應急呼應措施對付各種入侵；在系統(tǒng)被入侵后，采取相應的措施將系統(tǒng)恢復到正常形狀，使信息的平安得到全方位的保證。1.1.1信息平安的目的信息平安技術的開展，主要呈現(xiàn)四大趨勢，即：1)可信化。是指從傳統(tǒng)計算機平安理念過渡到以可信計算理念為中心的計算機平安。面對愈演愈烈的計算機平安問題，傳統(tǒng)平安理念很難有所突破，而可信計算的主要思想是在硬件平臺上引入平安芯片，從而將部分或整個計算平臺變?yōu)椤翱尚浓暤挠嬎闫脚_。目前主要研討和探求的問題包括：基于TCP的訪問控制、基于TCP的平安操作系統(tǒng)、基于TCP的平安中間件、基于TCP的平安運用等。1.1.2信息平安技術開展的四大趨勢2)網絡化。由網絡運用和普及引發(fā)的技術和運用方式的變革，正在進一步推進信息平安關鍵技術的創(chuàng)新開展，并引發(fā)新技術和運用方式的出現(xiàn)。如平安中間件，平安管理與平安監(jiān)控等都是網絡化開展所帶來的必然的開展方向。網絡病毒、渣滓信息防備、網絡可生存性、網絡信任等都是要繼續(xù)研討的領域。1.1.2信息平安技術開展的四大趨勢3)規(guī)范化。平安技術要走向國際，也要走向運用，政府、產業(yè)界和學術界等必將更加高度注重信息平安規(guī)范的研討與制定，如密碼算法類規(guī)范(例如加密算法、簽名算法、密碼算法接口)、平安認證與授權類規(guī)范(例如PKI、PMI、生物認證)、平安評價類規(guī)范(例如平安評價準那么、方法、規(guī)范)、系統(tǒng)與網絡類平安規(guī)范(例如平安體系構造、平安操作系統(tǒng)、平安數據庫、平安路由器、可信計算平臺)、平安管理類規(guī)范(例如防信息脫漏、質量保證、機房設計)等。1.1.2信息平安技術開展的四大趨勢4)集成化：即從單一功能的信息平安技術與產品，向多種功能融于某一個產品，或者是幾個功能相結合的集成化產品開展。平安產品呈硬件化/芯片化開展趨勢，這將帶來更高的平安度與更高的運算速率，也需求開展更靈敏的平安芯片的實現(xiàn)技術，特別是密碼芯片的物理防護機制。1.1.2信息平安技術開展的四大趨勢目前，在因特網運用中采取的防衛(wèi)平安方式歸納起來主要有以下幾種：1)無平安防衛(wèi)：在因特網運用初期多數采取此方式，平安防衛(wèi)上不采取任何措施，只運用隨機提供的簡單平安防衛(wèi)措施。這種方法是不可取的。1.1.3因特網選擇的幾種平安方式2)模糊平安防衛(wèi)：采用這種方式的網站總以為本人的站點規(guī)模小，對外無足輕重，沒人知道；即使知道，黑客也不會對其實行攻擊。現(xiàn)實上，許多入侵者并不是瞄準特定目的，只是想闖入盡能夠多的機器，雖然它們不會永遠駐留在他的站點上，但它們?yōu)榱搜谏w闖入他網站的證據，經常會對他網站的有關內容進展破壞，從而給網站帶來艱苦損失。1.1.3因特網選擇的幾種平安方式為此，各個站點普通要進展必要的登記注冊。這樣，一旦有人運用效力時，提供效力的人知道它從哪來，但是這種站點防衛(wèi)信息很容易被發(fā)現(xiàn)，例如登記時會有站點的軟、硬件以及所用操作系統(tǒng)的信息，黑客就能從這發(fā)現(xiàn)平安破綻，同樣在站點與其他站點連機或向他人發(fā)送信息時，也很容易被入侵者獲得有關信息，因此這種模糊平安防衛(wèi)方式也是不可取的。1.1.3因特網選擇的幾種平安方式3)主機平安防衛(wèi)：這能夠是最常用的一種防衛(wèi)方式，即每個用戶對本人的機器加強平安防衛(wèi)，盡能夠地防止那些知的能夠影響特定主機平安的問題，這是主機平安防衛(wèi)的本質。主機平安防衛(wèi)對小型網站是很適宜的，但是，由于環(huán)境的復雜性和多樣性，例如操作系統(tǒng)的版本不同、配置不同以及不同的效力和不同的子系統(tǒng)等都會帶來各種平安問題。即使這些平安問題都處理了，主機防衛(wèi)還要遭到軟件本身缺陷的影響，有時也短少有適宜功能和平安的軟件。1.1.3因特網選擇的幾種平安方式4)網絡平安防衛(wèi)：這是目前因特網中各網站所采取的平安防衛(wèi)方式，包括建立防火墻來維護內部系統(tǒng)和網絡、運用各種可靠的認證手段(如：一次性密碼等)，對敏感數據在網絡上傳輸時，采用密碼維護的方式進展。1.1.3因特網選擇的幾種平安方式在因特網中，信息平安主要是經過計算機平安和信息傳輸平安這兩個技術環(huán)節(jié)，來保證網絡中各種信息的平安。1.1.4平安防衛(wèi)的技術手段(1)計算機平安技術1)強壯的操作系統(tǒng)。操作系統(tǒng)是計算機和網絡中的任務平臺，在選用操作系統(tǒng)時，應留意軟件工具齊全和豐富、縮放性強等要素，假設有很多版本可供選擇，應選用戶群最少的那個版本，這樣使入侵者用各種方法攻擊計算機的能夠性減少，另外還要有較高訪問控制和系統(tǒng)設計等平安功能。1.1.4平安防衛(wèi)的技術手段2)容錯技術。盡量使計算機具有較強的容錯才干，如組件全冗余、沒有單點硬件失效、動態(tài)系統(tǒng)域、動態(tài)重組、錯誤校正互連；經過錯誤校正碼和奇偶校驗的結合維護數據和地址總線；在線增減域或改換系統(tǒng)組件，創(chuàng)建或刪除系統(tǒng)域而不干擾系統(tǒng)運用的進展，也可以采取雙機備份同步校驗方式，保證網絡系統(tǒng)在一個系統(tǒng)由于不測而解體時，計算機進展自動切換以確保正常運轉，保證各項數據信息的完好性和一致性。1.1.4平安防衛(wèi)的技術手段(2)防火墻技術這是一種有效的網絡平安機制，用于確定哪些內部效力允許外部訪問，以及允許哪些外部效力訪問內部效力，其準那么就是：一切未被允許的就是制止的；一切未被制止的就是允許的。1.1.4平安防衛(wèi)的技術手段防火墻有以下幾種類型：1)包過濾技術。通常安裝在路由器上，對數據進展選擇，它以IP包信息為根底，對IP源地址，IP目的地址、封裝協(xié)議(如TCP/UDP/ICMP/IPtunnel)、端口號等進展挑選，在OSI協(xié)議的網絡層進展。2)代理效力技術。通常由二部分構成，效力端程序和客戶端程序、客戶端程序與中間節(jié)點(ProxyServer)銜接，中間節(jié)點與要訪問的外部效力器實踐銜接，與包過濾防火墻的不同之處在于內部網和外部網之間不存在直接銜接，同時提供審計和日志效力。1.1.4平安防衛(wèi)的技術手段3)復合型技術。把包過濾和代理效力兩種方法結合起來，可構成新的防火墻，所用主機稱為堡壘主機，擔任提供代理效力。4)審計技術。經過對網絡上發(fā)生的各種訪問過程進展記錄和產生日志，并對日志進展統(tǒng)計分析，從而對資源運用情況進展分析，對異常景象進展追蹤監(jiān)視。5)路由器加密技術：加密路由器對經過路由器的信息流進展加密和緊縮，然后經過外部網絡傳輸到目的端進展解緊縮和解密。1.1.4平安防衛(wèi)的技術手段(3)信息確認技術平安系統(tǒng)的建立依賴于系統(tǒng)用戶之間存在的各種信任關系，目前在平安處理方案中，多采用兩種確認方式，一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造。可靠的信息確認技術應具有：身份合法的用戶可以校驗所接納的信息能否真實可靠，并且非常清楚發(fā)送方是誰；發(fā)送信息者必需是合法身份用戶，任何人不能夠冒名頂替?zhèn)卧煨畔ⅲ怀霈F(xiàn)異常時，可由認證系統(tǒng)進展處置。目前，信息確認技術已較成熟，如信息認證，用戶認證和密鑰認證，數字簽名等，為信息平安提供了可靠保證。1.1.4平安防衛(wèi)的技術手段(4)密鑰平安技術網絡平安中的加密技術種類繁多，它是保證信息平安最關鍵和最根本的技術手段和實際根底，常用的加密技術分為軟件加密和硬件加密。信息加密的方法有對稱密鑰加密和非對稱加密，兩種方法各有所長。1.1.4平安防衛(wèi)的技術手段1)對稱密鑰加密：在此方法中，加密和解密運用同樣的密鑰，目前廣泛采用的密鑰加密規(guī)范是DES算法，其優(yōu)勢在于加密解密速度快、算法易實現(xiàn)、平安性好，缺陷是密鑰長度短、密碼空間小，“窮舉〞方式進攻的代價小，它的機制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個環(huán)節(jié)。1.1.4平安防衛(wèi)的技術手段2)非對稱密鑰加密：在此方法中加密和解密運用不同密鑰，即公開密鑰和密鑰，公開密鑰用于性信息的加密；密鑰用于對加密信息的解密。普通采用RSA算法，優(yōu)點在于易實現(xiàn)密鑰管理，便于數字簽名。缺乏是算法較復雜，加密解密破費時間長。1.1.4平安防衛(wèi)的技術手段在平安防備的實踐運用中，尤其是信息量較大，網絡構造復雜時，采取對稱密鑰加密技術，為了防備密鑰遭到各種方式的黑客攻擊，如基于因特網的“聯(lián)機運算〞，即利用許多臺計算機采用“窮舉〞方式進展計算來破譯密碼，密鑰的長度