信息安全技术的计算环境概述

1、信息安全技术第1章熟熟悉信息息安全技技术1.1信息安全全技术的的计算环环境1.2信息安全全技术的的标准化化1.3信息系统统的物理理安全1.4Windows系统管理理与安全全设置第2章数数据备份份技术2.1优化Windows XP磁盘子系系统2.2数据存储储解决方方案信息安全全技术教学内容容第3章加加密与认认证技术术3.1个人数字字证书与与CA认证3.2加密技术术与DES加解密算算法3.3认证技术术与MD5算法第4章防防火墙与与网络隔隔离技术术4.1防火墙技技术及Windows防火墙配配置4.2网络隔离离技术与与网闸应应用信息安全全技术教学内容容第5章安安全检测测技术5.1入侵检测测技术与与网络

2、入入侵检测测系统产产品5.2漏洞检测测技术和和微软系系统漏洞洞检测工工具MBSA第6章访访问控制制与审计计技术6.1访问控制制技术与与Windows访问控制制6.2审计追踪踪技术与与Windows安全审计计功能信息安全全技术教学内容容第7章病病毒防范范技术7.1病毒防范范技术与与杀病毒毒软件7.2解析计算算机蠕虫虫病毒第8章虚虚拟专用用网络技技术第9章信信息安全全管理与与灾难恢恢复9.1信息安全全管理与与工程9.2信息灾难难恢复规规划信息安全全技术教学内容容第10章信信息安全全技术的的应用10.1电子邮件件加密软软件PGP10.2Kerberos认证服务务10.3公钥基础础设施PKI10.4安

3、全通信信协议与与安全电电子交易易协议10.5反垃圾邮邮件技术术实验11信息安全全技术实实验总结结实验12信息安全全技术课课程设计计信息安全全技术教学内容容第1章熟悉信息息安全技技术1.1信息安全全技术的的计算环环境1.2信息安全全技术的的标准化化1.3信息系统统的物理理安全1.4Windows系统管理理与安全全设置第1章熟悉信息息安全技技术1.1信息安全全技术的的计算环环境1.2信息安全全技术的的标准化化1.3信息系统统的物理理安全1.4Windows系统管理理与安全全设置1.1信息安全全技术的的计算环环境信息安全全是指信信息网络络的硬件件、软件件及系统统中的数数据受到到保护，不因偶偶然或恶恶

4、意的原原因而遭遭到破坏坏、更改改或泄露露，系统统连续可可靠正常常地运行行。信息安全全是一门门涉及计计算机科科学、网网络技术术、通信信技术、密码技技术、信信息安全全技术、应用数数学、数数论、信信息论等等多种学学科的综综合性学学科。从从广义来来说，凡凡是涉及及到网络络上信息息的保密密性、完完整性、可用性性、真实实性和可可控性的的相关技技术和理理论都属属于信息息安全的的研究领领域。1.1信息安全全技术的的计算环环境如今，基基于网络络的信息息安全技技术也是是未来信信息安全全技术发发展的重重要方向向。由于于因特网网是一个个全开放放的信息息系统，窃密和和反窃密密、破坏坏与反破破坏广泛泛存在于于个人、集团甚

5、甚至国家家之间，资源共共享和信信息安全全一直作作为一对对矛盾体体而存在在着，网网络资源源共享的的进一步步加强以以及随之之而来的的信息安安全问题题也日益益突出。1.1.1信息安全全的目标标无论是在在计算机机上存储储、处理理和应用用，还是是在通信信网络上上传输，信息都都可能被被非授权权访问而而导致泄泄密，被被篡改破破坏而导导致不完完整，被被冒充替替换而导导致否认认，也有有可能被被阻塞拦拦截而导导致无法法存取这些破坏坏可能是是有意的的，如黑黑客攻击击、病毒毒感染等等;也可能是是无意的的，如误误操作、程序错错误等。普遍认为为，信息息安全的的目标应应该是保保护信息息的机密密性、完完整性、可用性性、可控控

6、性和不不可抵赖赖性(即信息安安全的五五大特性性)：机密性。指保证信信息不被被非授权权访问，即使非非授权用用户得到到信息也也无法知知晓信息息的内容容，因而而不能使使用。完整性。指维护信信息的一一致性，即在信信息生成成、传输输、存储储和使用用过程中中不发生生人为或或非人为为的非授授权篡改改。1.1.1信息安全全的目标标可用性。指授权用用户在需需要时能能不受其其他因素素的影响响，方便便地使用用所需信信息。这这一目标标是对信信息系统统的总体体可靠性性要求。可控性。指信息在在整个生生命周期期内部可可由合法法拥有者者加以安安全的控控制。不可抵赖赖性。指保障用用户无法法在事后后否认曾曾经对信信息进行行的生成

7、成、签发发、接收收等行为为。1.1.1信息安全全的目标标事实上，安全是是种意识，一个过过程，而而不仅仅仅是某种种技术。进入21世纪后，信息安安全的理理念发生生了巨大大的变化化，从不不惜一切切代价把把入侵者者阻挡在在系统之之外的防防御思想想，开始始转变为为预防-检测-攻击响应应-恢复相结结合的思思想，出出现了PDRR (Protect/Detect/React/Restore)等网络动动态防御御体系模模型。1.1.1信息安全全的目标标图1-1信息安全全的PDRR模型PDRR倡导一种种综合的的安全解解决方法法，即：针对信信息的生生存周期期，以“信息保保障”模模型作为为信息安安全的目目标，以以信息的

8、的保护技技术、信信息使用用中的检检测技术术、信息息受影响响或攻击击时的响响应技术术和受损损后的恢恢复技术术作为系系统模型型的主要要组成元元素，在在设计信信息系统统的安全全方案时时，综合合使用多多种技术术和方法法，以取取得系统统整体的的安全性性。1.1.1信息安全全的目标标PDRR模型强调调的是自自动故障障恢复能能力，把把信息的的安全保保护作为为基础，将保护护视为活活动过程程，用检检测手段段来发现现安全漏漏洞，及及时更正正；同时时采用应应急响应应措施对对付各种种入侵；在系统统被入侵侵后，采采取相应应的措施施将系统统恢复到到正常状状态，使使信息的的安全得得到全方方位的保保障。1.1.1信息安全全的

9、目标标信息安全全技术的的发展，主要呈呈现四大大趋势，即：1)可信化。是指从从传统计计算机安安全理念念过渡到到以可信信计算理理念为核核心的计计算机安安全。面面对愈演演愈烈的的计算机机安全问问题，传传统安全全理念很很难有所所突破，而可信信计算的的主要思思想是在在硬件平平台上引引入安全全芯片，从而将将部分或或整个计计算平台台变为“可信”的计算算平台。目前主主要研究究和探索索的问题题包括：基于TCP的访问控控制、基基于TCP的安全操操作系统统、基于于TCP的安全中中间件、基于TCP的安全应应用等。1.1.2信息安全全技术发发展的四四大趋势势2)网络化。由网络络应用和和普及引引发的技技术和应应用模式式的

10、变革革，正在在进一步步推动信信息安全全关键技技术的创创新发展展，并引引发新技技术和应应用模式式的出现现。如安安全中间间件，安安全管理理与安全全监控等等都是网网络化发发展所带带来的必必然的发发展方向向。网络络病毒、垃圾信信息防范范、网络络可生存存性、网网络信任任等都是是要继续续研究的的领域。1.1.2信息安全全技术发发展的四四大趋势势3)标准化。安全技技术要走走向国际际，也要要走向应应用，政政府、产产业界和和学术界界等必将将更加高高度重视视信息安安全标准准的研究究与制定定，如密密码算法法类标准准(例如加密密算法、签名算算法、密密码算法法接口)、安全认认证与授授权类标标准(例如PKI、PMI、生物

11、认认证)、安全评评估类标标准(例如安全全评估准准则、方方法、规规范)、系统与与网络类类安全标标准(例如安全全体系结结构、安安全操作作系统、安全数数据库、安全路路由器、可信计计算平台台)、安全管管理类标标准(例如防信信息遗漏漏、质量量保证、机房设设计)等。1.1.2信息安全全技术发发展的四四大趋势势4)集成化：即从单单一功能能的信息息安全技技术与产产品，向向多种功功能融于于某一个个产品，或者是是几个功功能相结结合的集集成化产产品发展展。安全全产品呈呈硬件化化/芯片化发发展趋势势，这将将带来更更高的安安全度与与更高的的运算速速率，也也需要发发展更灵灵活的安安全芯片片的实现现技术，特别是是密码芯芯片

12、的物物理防护护机制。1.1.2信息安全全技术发发展的四四大趋势势目前，在在因特网网应用中中采取的的防卫安安全模式式归纳起起来主要要有以下下几种：1)无安全防防卫：在在因特网网应用初初期多数数采取此此方式，安全防防卫上不不采取任任何措施施，只使使用随机机提供的的简单安安全防卫卫措施。这种方方法是不不可取的的。1.1.3因特网选选择的几几种安全全模式2)模糊安全全防卫：采用这这种方式式的网站站总认为为自己的的站点规规模小，对外无无足轻重重，没人人知道；即使知知道，黑黑客也不不会对其其实行攻攻击。事事实上，许多入入侵者并并不是瞄瞄准特定定目标，只是想想闯入尽尽可能多多的机器器，虽然然它们不不会永远远

13、驻留在在你的站站点上，但它们们为了掩掩盖闯入入你网站站的证据据，常常常会对你你网站的的有关内内容进行行破坏，从而给给网站带带来重大大损失。1.1.3因特网选选择的几几种安全全模式为此，各各个站点点一般要要进行必必要的登登记注册册。这样样，一旦旦有人使使用服务务时，提提供服务务的人知知道它从从哪来，但是这这种站点点防卫信信息很容容易被发发现，例例如登记记时会有有站点的的软、硬硬件以及及所用操操作系统统的信息息，黑客客就能从从这发现现安全漏漏洞，同同样在站站点与其其他站点点连机或或向别人人发送信信息时，也很容容易被入入侵者获获得有关关信息，因此这这种模糊糊安全防防卫方式式也是不不可取的的。1.1.

14、3因特网选选择的几几种安全全模式3)主机安全全防卫：这可能能是最常常用的一一种防卫卫方式，即每个个用户对对自己的的机器加加强安全全防卫，尽可能能地避免免那些已已知的可可能影响响特定主主机安全全的问题题，这是是主机安安全防卫卫的本质质。主机机安全防防卫对小小型网站站是很合合适的，但是，由于环环境的复复杂性和和多样性性，例如如操作系系统的版版本不同同、配置置不同以以及不同同的服务务和不同同的子系系统等都都会带来来各种安安全问题题。即使使这些安安全问题题都解决决了，主主机防卫卫还要受受到软件件本身缺缺陷的影影响，有有时也缺缺少有合合适功能能和安全全的软件件。1.1.3因特网选选择的几几种安全全模式4

15、)网络安全全防卫：这是目目前因特特网中各各网站所所采取的的安全防防卫方式式，包括括建立防防火墙来来保护内内部系统统和网络络、运用用各种可可靠的认认证手段段(如：一次次性密码码等)，对敏感感数据在在网络上上传输时时，采用用密码保保护的方方式进行行。1.1.3因特网选选择的几几种安全全模式在因特网网中，信信息安全全主要是是通过计计算机安安全和信信息传输输安全这这两个技技术环节节，来保保证网络络中各种种信息的的安全。1.1.4安全防卫卫的技术术手段(1)计算机安安全技术术1)健壮的操操作系统统。操作作系统是是计算机机和网络络中的工工作平台台，在选选用操作作系统时时，应注注意软件件工具齐齐全和丰丰富、

16、缩缩放性强强等因素素，如果果有很多多版本可可供选择择，应选选用户群群最少的的那个版版本，这这样使入入侵者用用各种方方法攻击击计算机机的可能能性减少少，另外外还要有有较高访访问控制制和系统统设计等等安全功功能。1.1.4安全防卫卫的技术术手段2)容错技术术。尽量量使计算算机具有有较强的的容错能能力，如如组件全全冗余、没有单单点硬件件失效、动态系系统域、动态重重组、错错误校正正互连；通过错错误校正正码和奇奇偶校验验的结合合保护数数据和地地址总线线；在线线增减域域或更换换系统组组件，创创建或删删除系统统域而不不干扰系系统应用用的进行行，也可可以采取取双机备备份同步步校验方方式，保保证网络络系统在在一

17、个系系统由于于意外而而崩溃时时，计算算机进行行自动切切换以确确保正常常运转，保证各各项数据据信息的的完整性性和一致致性。1.1.4安全防卫卫的技术术手段(2)防火墙技技术这是一种种有效的的网络安安全机制制，用于于确定哪哪些内部部服务允允许外部部访问，以及允允许哪些些外部服服务访问问内部服服务，其其准则就就是：一一切未被被允许的的就是禁禁止的；一切未未被禁止止的就是是允许的的。1.1.4安全防卫卫的技术术手段防火墙有有下列几几种类型型：1)包过滤技技术。通通常安装装在路由由器上，对数据据进行选选择，它它以IP包信息为为基础，对IP源地址，IP目标地址址、封装装协议(如TCP/UDP/ICMP/I

18、Ptunnel)、端口号号等进行行筛选，在OSI协议的网网络层进进行。2)代理服务务技术。通常由由二部分分构成，服务端端程序和和客户端端程序、客户端端程序与与中间节节点(ProxyServer)连接，中中间节点点与要访访问的外外部服务务器实际际连接，与包过过滤防火火墙的不不同之处处在于内内部网和和外部网网之间不不存在直直接连接接，同时时提供审审计和日日志服务务。1.1.4安全防卫卫的技术术手段3)复合型技技术。把把包过滤滤和代理理服务两两种方法法结合起起来，可可形成新新的防火火墙，所所用主机机称为堡堡垒主机机，负责责提供代代理服务务。4)审计技术术。通过过对网络络上发生生的各种种访问过过程进行

19、行记录和和产生日日志，并并对日志志进行统统计分析析，从而而对资源源使用情情况进行行分析，对异常常现象进进行追踪踪监视。5)路由器加加密技术术：加密密路由器器对通过过路由器器的信息息流进行行加密和和压缩，然后通通过外部部网络传传输到目目的端进进行解压压缩和解解密。1.1.4安全防卫卫的技术术手段(3)信息确认认技术安全系统统的建立立依赖于于系统用用户之间间存在的的各种信信任关系系，目前前在安全全解决方方案中，多采用用两种确确认方式式，一种种是第三三方信任任，另一一种是直直接信任任，以防防止信息息被非法法窃取或或伪造。可靠的的信息确确认技术术应具有有：身份份合法的的用户可可以校验验所接收收的信息息

20、是否真真实可靠靠，并且且十分清清楚发送送方是谁谁；发送送信息者者必须是是合法身身份用户户，任何何人不可可能冒名名顶替伪伪造信息息；出现现异常时时，可由由认证系系统进行行处理。目前，信息确确认技术术已较成成熟，如如信息认认证，用用户认证证和密钥钥认证，数字签签名等，为信息息安全提提供了可可靠保障障。1.1.4安全防卫卫的技术术手段(4)密钥安全全技术网络安全全中的加加密技术术种类繁繁多，它它是保障障信息安安全最关关键和最最基本的的技术手手段和理理论基础础，常用用的加密密技术分分为软件件加密和和硬件加加密。信信息加密密的方法法有对称称密钥加加密和非非对称加加密，两两种方法法各有所所长。1.1.4安

21、全防卫卫的技术术手段1)对称密钥钥加密：在此方方法中，加密和和解密使使用同样样的密钥钥，目前前广泛采采用的密密钥加密密标准是是DES算法，其其优势在在于加密密解密速速度快、算法易易实现、安全性性好，缺缺点是密密钥长度度短、密密码空间间小，“穷举”方式进进攻的代代价小，它的机机制就是是采取初初始置换换、密钥钥生成、乘积变变换、逆逆初始置置换等几几个环节节。1.1.4安全防卫卫的技术术手段2)非对称密密钥加密密：在此此方法中中加密和和解密使使用不同同密钥，即公开开密钥和和秘密密密钥，公公开密钥钥用于机机密性信信息的加加密；秘秘密密钥钥用于对对加密信信息的解解密。一一般采用用RSA算法，优优点在于于易实现现密钥管管理，便便于数字字签名。不足是是算法较较复杂，加密解解密花费费时间长长。1.1.4安全防卫卫的技术术手段在安全防防范的实实际应用用中，尤尤其是信信息量较较大，网网络结构构复杂时时，采取取对称密密钥加密密技术，为了防防范密钥钥受到各各种形式式的黑客客攻击，如基于于因特网网的“联联机运算算”，即即利用许许多台计计算机采采用“穷穷举”方方式进行行计算来来破译密密码，密密钥的长长度越长