信息安全技术综述知识讲稿_第1页
信息安全技术综述知识讲稿_第2页
信息安全技术综述知识讲稿_第3页
信息安全技术综述知识讲稿_第4页
信息安全技术综述知识讲稿_第5页
已阅读5页,还剩76页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息平安技术综述2003.4精选ppt信息平安的开展阶段信息平安的根本内容入侵与漏洞检测技术PKI技术精选ppt信息平安的三个开展阶段计算机出现之前,主要是解决通信的安全保密问题。此后发展出了各种加密技术〔密码学〕,同时也出现了相应的解密技术〔密码分析学〕。计算机出现后,计算机系统的安全成为突出问题。与通信安全保密相比,它的内容更广泛了,包括硬件、软件和处理的数据安全。Internet开展以后,必须把整个信息网络作为一个整体加以研究和解决。在系统内部,涉及的内容有通信安全、计算机安全、操作安全、数据安全、实体安全等;在系统的外部,涉及使用管理和法律两方面,所以保障信息安全是一个复杂的系统工程。精选ppt信息平安的开展阶段信息平安的根本内容入侵与漏洞检测技术PKI技术精选ppt信息平安的目标信息的保密性信息的完整性信息完整一致的,没有被非授权用户篡改。身份的真实性用户身份不能被假冒或伪装,可以有效鉴别用户的身份精选ppt信息平安的目标〔续〕授权合法性平安管理人员能够控制用户的权限,分配或终止用户的访问、操作、接入等权利,被授权用户的访问不能被拒绝。不可抵赖性信息的发送方不能抵赖曾经发送信息,不能否认自己的行为。精选ppt计算机平安的目标保密性〔Confidentiality〕-防止信息泄露给未授权用户〔或攻击者〕完整性〔Integrity〕-防止信息被未授权用户修改可用性〔Availability〕-不拒绝授权用户的访问。拒绝效劳主要包括三个方面的含义:临时降低系统的性能,系统崩溃而需要人工重新启动,或因数据永久丧失而导致的较大范围的系统崩溃。精选ppt精选ppt精选ppt计算机与网络系统的平安威胁技术本身存在着平安弱点-以Unix和TCP/IP为例。Unix用户具有通用编程能力,能够向系统生成、安装、控制和操作自己的程序;用户可以通过远程邮件和文件的传送访问其他用户;用户可通过uucp程序从一个系统拷贝文件到另一个系统等。TCP/IP协议集大多数低层协议为播送方式,网上的任何机器均有可能窃听到情报;在协议规程中缺乏可靠的对通信双方身份的认证手段,无法确定信息包地址的真伪,有“假冒〞的可能;较易推测出系统中所使用的序号,从而较容易从系统的“后门〞进入系统;精选ppt系统的平安性差-主要是由于系统的软硬件设计和配置及使用不当造成的。例如,使用过于复杂而不太平安的操作系统、应用软件设计不高明、系统缺乏平安配置、使用能引起故障增生的杂乱的计算机联网、系统构件〔包括用户〕缺少健全的识别过程等因素。精选ppt缺乏平安性实践-主要表现在平安协议标准不统一,平安产品处在初期开展阶段,缺少网络环境下用于产品评价的平安性准那么和评价工具,系统管理人员缺少平安意识和平安管理培训等。在系统平安受到威胁时,缺少应有的完整的平安管理方法、步骤和平安对策,如事故通报、风险评估、改正平安缺陷、评估损失、相应的补救恢复措施等。精选ppt信息平安技术密码技术〔加解密算法、认证〕访问控制〔平安操作系统、防火墙〕入侵检测和响应技术系统拯救、恢复技术平安评估、安全分析与模拟技术精选ppt信息平安的开展阶段信息平安的根本内容入侵与漏洞检测技术PKI技术精选ppt 入侵检测和漏洞检测系统是网络平安系统的一个重要组成局部,它不但可以实现复杂烦琐的信息系统平安管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击作出反响。精选ppt入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反平安法规的行为、使用诱骗效劳器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。精选ppt漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不适宜的设置、脆弱的口令以及其他同平安规那么相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反响,从而发现其中的漏洞。漏洞检测的结果实际上就是系统平安性能的一个评估,它指出了哪些攻击是可能的,因此成为平安方案的一个重要组成局部。精选ppt平安预警的复杂性来源的识别企图的判定危害程度和潜在能力的判断网络技术的跟踪软件设计硬件的适应性精选ppt面对问题入侵技术在不断开展入侵活动可以具有很大的时间跨度和空间跨度非线性的特征还没有有效的识别模型

精选ppt入侵方法涉及到操作系统方方面面的漏洞,如系统设计缺陷、编码缺陷、系统配置缺陷、运行管理缺陷,甚至系统中预留的后门等。在Internet上有大量的黑客站点,发布大量系统漏洞资料和探讨攻击方法。全世界的黑客都可以利用这些共享资源来进行攻击方法的研究与传播,使得新的攻击方法能够以最快的速度成为现实的入侵武器。更为令人担忧的是有组织的活动,国外已将信息战手段同核武器、生化武器并列在一起,作为战略威慑加以讨论,破坏者所具备的能力,对我们而言仍是一个很大的未知数。精选ppt有预谋的入侵活动往往有较周密的筹划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成,给预警带来困难。一个检测模型总会有一个有限的时间窗口,从而忽略滑出时间窗口的某些事实。同时,检测模型对于在较大空间范围内发生的异常现象的综合、联想能力也是有限的。精选ppt入侵检测技术的难度不仅仅在于入侵模式的提取,更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物,而现实的入侵活动那么是灵活多变的。有效的入侵检测模型应能够接受足够大的时间跨度和空间跨度。从技术上说,入侵技术已经开展到一定阶段,而入侵检测技术在理论上、模型上和实践上还都没有真正开展起来。在市场上能够看得到的入侵检测系统也都处在同一水平上。西方国家重要网络上配置的入侵检测系统应不是这一水平的技术,或者他们也在寻求其他更为有效的检测手段。精选ppt入侵检测技术类型一基于应用的监控技术,使用监控传感器在应用层收集信息。由于这种技术可以更准确地监控用户某一应用的行为,所以这种技术在日益流行的电子商务中也越来越受到注意,其缺点在于有可能降低技术本身的平安。精选ppt入侵检测技术类型二基于主机的监控技术,主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交换的环境中监控,把特定的问题同特定的用户联系起来;其缺点在于主机传感器要和特定的平台相关联,对网络行为不够清楚,同时加大了系统的负担。精选ppt入侵检测技术类型三基于目标的监控技术,主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据,系统开销小,可以准确地确定受攻击的部位,受到攻击的系统容易恢复;其缺点在于实时性较差,对目标的检验数依赖较大。精选ppt入侵检测技术类型四基于网络的监控技术,主要特征是网络监控传感器监控包监听器收集的信息。该技术不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其他数据源;其缺点在于如果数据流进行了加密,就不能审查其内容,对主机上执行的命令也感觉不到。此外,该技术对高速网络不是特别有效。精选ppt入侵检测技术类型五综合以上四种方法进行监控其特点是可提高侦测性能,但会产生非常复杂的网络平安方案,严重影响网络的效率,而且目前还没有一个统一的业界标准。精选ppt入侵检测技术的选用信息收集分析时间:可分为固定时间间隔和实时收集分析两种。精选ppt采用固定时间间隔方法,通过操作系统审计机制和其他基于主机的登录信息,入侵检测系统在固定间隔的时间段内收集和分析这些信息,这种技术适用于对平安性能要求较低的系统,对系统的开销影响较小;但这种技术的缺点是显而易见的,即在时间间隔内将失去对网络的保护。精选ppt采用实时收集和分析技术可以实时地抑制攻击,使系统管理员及时了解并阻止攻击,系统平安管理员也可以记录黑客的信息;缺点是加大了系统开销。精选ppt入侵检测技术的选用〔续〕采用的分析类型:可分为签名分析、统计分析和完整性分析。精选ppt签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。在许多入侵检测系统中,都建有这种攻击的数据库。这种数据库可以经常更新,以对付新的威胁。签名分析的优点在于能够有针对性地收集系统数据,减少了系统的开销,如果数据库不是特别大,那么签名分析比统计分析更为有效,因为它不需要浮点运算。精选ppt统计分析用来发现偏离正常模式的行为,通过分析正常应用的属性得到系统的统计特征,对每种正常模式计算出均值和偏差,当侦测到有的数值偏离正常值时,就发出报警信号。这种技术可以发现未知的攻击,使用灵活的统计方法还可以侦测到复杂的攻击。当然,如果高明的黑客逐渐改变入侵模式,那么还是可以逃避侦测的,而且统计传感器发出虚警的概率就会变大。精选ppt完整性分析主要关注某些文件和对象的属性是否发生了变化。完整性分析通过被称为消息摘录算法的超强加密机制,可以感受到微小的变化。这种分析可以侦测到任何使文件发生变化的攻击,弥补了签名分析和统计分析的缺陷,但是这种分析的实时性较差。精选ppt入侵检测技术的选用〔续〕检测系统对攻击和误用的反响:有些基于网络的侦测系统可以针对检测到的问题作出反响,这一特点使得网络管理员对付诸如拒绝效劳一类的攻击变得非常容易。这些反响主要有改变环境、效用检验、实时通知等。当系统检测到攻击时,一个典型的反响就是改变系统的环境通常包括关闭联接,重新设置系统。由于改变了系统的环境,因此可以通过设置代理和审计机制获得更多的信息,从而能跟踪黑客。精选ppt入侵检测技术的选用〔续〕检测系统的完整性:所谓完整性就是系统自身的平安性,鉴于检测系统的巨大作用,系统设人员要对系统本身的自保性能有足够的重视,黑客在发动攻击之前首先要对平安机制有足够的了解后才会攻击,所以检测系统完整性就成为必须解决的问题,经常采用的手段有认证、超强加密、数字签名等,确保合法使用,保证通信不受任何干扰。精选ppt入侵检测技术的选用〔续〕设置诱骗效劳器:有的侦测系统还在平安构架中提供了诱骗效劳器,以便更准确地确定攻击的威胁程度。诱骗效劳器的目的就是吸引黑客的注意力,把攻击导向它,从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把这些信息送到一个平安的地方,供以后查用。这种技术是否采用可根据网络的自身情况而定。精选ppt漏洞检测技术类型一基于应用的检测技术,它采用被动的、非破坏性的方法检查应用软件包的设置,发现平安漏洞。精选ppt漏洞检测技术类型二基于主机的检测技术,它采用被动的、非破坏性的方法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统存在的问题,发现系统漏洞。它的缺点是与平台相关,升级复杂。精选ppt漏洞检测技术类型三基于目标的检测技术,它采用被动的、非破坏性的方法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验精选ppt漏洞检测技术类型四基于网络的检测技术,它采用积极的、非破坏性的方法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和平安审计。这种技术可以发现平台的一系列漏洞,也容易安装。但是,它容易影响网络的性能,不会检验不到系统内部的漏洞。精选ppt漏洞检测技术类型五综合的技术,集中了以上四种技术的优点,极大地增强了漏洞识别的精度。精选ppt实现模型入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵检测和漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个局部:平安效劳器〔Securityserver〕和检测代理〔Agent〕。精选ppt平安效劳器平安效劳器中包含网络平安数据库、通信管理器、联机信息处理器等部件,它的主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,作出响应的反映,同时对本网的各平安参数进行审计和记录日志,为完善网络的平安性能提供参数。精选ppt检测代理主机检测代理网络设备检测代理,主要完本钱网段的入侵检测公用效劳器检测代理精选ppt典型的入侵检测系统ISS公司的RealSecure,包括基于主机的SystemAgent以及基于网络的NetworkEngine两个套件。支持与CheckPoint防火墙的交互式控制,支持由Cisco等主流交换机组成的交换环境监听,可以在需要时自动切断入侵连接。精选pptAxent公司的ITA、ESM,ITA(IntrusionAlert)是标准的基于网络的入侵检测系统。全部支持分布式的监视和集中管理模式。NAI的CyberCopMonitor,可以同时在基于主机和基于网络两种模式下工作。精选ppt信息平安的开展阶段信息平安的根本内容入侵与漏洞检测技术PKI技术精选pptPKI〔PublicKeyInfrastructure,公钥根底设施〕就是利用公钥理论和技术建立的提供平安效劳的根底设施。PKI技术是信息平安技术的核心,也是电子商务的关键和根底技术。精选ppt信息保密信息的保密性是信息平安的一个重要方面。保密的目的是防止第三方通过监听、非法截取等手段非法获取机密信息,而加密是保护机要信息的一个重要手段。所谓加密,就是用数学方法重新组织数据,使得除了合法的接受者外,任何其他人要想恢复原先的“消息〞〔将原先的消息称作“明文〞〕或读懂变化后的“消息〞〔将变化后的消息称为“密文〞〕都是非常困难的。通常,我们把将密文恢复成明文的过程称作解密。加密和解密操作分别是在一组密钥控制下进行的,它们被分别称为加密密钥和解密密钥。精选ppt密码体制根据加密密钥和解密密钥在性质上的差异,可以将密码体制分为两类:单密钥体制和公钥体制。精选ppt加密密钥和解密密钥相同或本质相同的体制被称为单〔对称〕密钥加密体制。这种加密算法运算速度快,适合于加解密传输中的信息。其中最为著名的单密钥算法是美国的数据加密标准〔DES算法〕。该标准由IBM公司研制,美国商业部所属的国家标准局于1977年正式批准并作为美国联邦信息处理的标准。虽然美国已经宣布这种算法不再作为美国加密的标准,但这种算法已经广泛应用于世界各地〔包括中国〕的商业中。单密钥密码体制的缺陷是通信双方在进行通信前必须通过一个平安信道事先交换密钥,这在网络应用中是不现实的,而且单密钥体制无法保证信息的不可抵赖性。精选ppt公钥体制就是加密密钥和解密密钥不相同,并且从其中一个很难推断出另一个。这样,我们可以将其中一个密钥公开〔称为公钥〕,另一个密钥由用户自己保存〔称为私钥〕。公钥密码体制可以使通信双方无须事先交换密钥就可以建立平安通信。公钥密码体制可用于身份认证、数字签名和密钥交换。公钥体制一般是建立在某些的数学难题之上,是计算机复杂性理论开展的必然结果。最为典型的代表是RSA公钥密码体制。精选pptRSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其平安性是基于分解大整数的困难性。在RSA体制中使用了这样一个根本领实:到目前为止,无法找到一个有效的算法来分解两个大素数之积。利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和可预见的将来,它是足够平安的。精选ppt公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)

----e与(p-1)(q-1)互素

----私有密钥:d=e-1(mod(p-1)(q-1))

----加密:c=me(modn),其中m为明文,c为密文。

----解密:m=cd(modn)精选ppt信息可认证性信息的可认证性是信息平安的另一个重要方面。认证的目的有两个:一个是验证信息发送者的真实性,确认他没有被冒充;另一个是验证信息的完整性,确认被验证的信息在传递或存储过程中没有被篡改、重组或延迟。认证是防止敌手对系统进行主动攻击〔如伪造、篡改信息等〕的一种重要技术。认证技术主要包括数字签名、身份识别和信息的完整性校验等技术。精选ppt数字签名数字签名是防止网上交易时进行伪造和欺骗的一种有效手段。发送者在自己要公布或发送的电子文档上“签名〞,接收者通过验证签名的真实性确认文档是否被篡改正。目前数字签名技术的研究主要是基于公钥密码体制。比较著名的数字签名算法包括RSA数字签名算法和DSA。精选ppt数字签名的签名算法至少要满足以下条件:--签名者事后不能否认;--接受者只能验证;--任何人不能伪造〔包括接受者〕;--双方对签名的真伪发生争执时,有第三方进行仲裁。

精选ppt信息的完整性和认证是指信息的接受者能够检验收到的消息是否真实。检验的内容包括:消息的来源、消息的内容是否被篡改、消息是否被重放。消息的完整性经常通过杂凑技术来实现。杂凑〔Hash〕函数可以把任意长度的输入串变化成固定长度的输出串,它是一种单向函数,根据输出结果很难求出输入值,并且可以破坏原有数据的数据结构。因此,杂凑函数不仅应用于信息的完整性,而且经常应用于数字签名。精选ppt在公布一份电子文档时,发送者首先对要公布的文档进行杂凑运算,然后发送者就可以用自己的签名私钥对杂凑运算得出的简洁数据进行加密签名;接收者收到签名文档后,用发送者的公钥进行解密,得到解密后的杂凑运算结果和文档。此时,接收者只需要计算出该文档的杂凑运算结果并与解密得到的杂凑运算结果进行比较,即可知道该文档的真伪。在数字签名应用中,发送者的公钥可以很方便地得到,而他的私钥那么需要严格的保密。精选ppt PKI的核心是信任关系的管理。第三方信任和直接信任是所有网络平安产品实现的根底。所谓第三方信任是指两个人可以通过第三方间接地到达彼此信任。精选pptPKI的功能模块

CA〔CertificationAuthority〕是确保信任度的权威实体,它的主要职责是颁发数字证书、验证用户身份的真实性。数字包含用户身份的局部信息及用户所持有的公共密钥,然后CA利用本身的密钥为数字证书加上数字签名。CA目前采用的标准是X.509V3。精选pptX.509证书格式证书格式的版本证书序列号主体的X.500名字〔由名字机关赋予〕主体的公钥和相应的算法信息有效期〔起止日期〕证书颁发者的X.500名字〔CA〕确保主体和颁发者名字唯一的可操作域扩展域〔版本3〕CA的数字签名精选pptRA〔RegistrationAuthority〕是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的根底。RA不仅要支持面对面的登记,也必须支持远程登记,如通过电子邮件、浏览器等方式登记。要确保整个PKI系统的平安、灵活,就必须设计和实现网络化、平安的且易于操作的RA系统。精选ppt撤销机制,数字证书绑定证书持有者身份和其相应公钥的,通常,这种绑定在已颁发证书的整个生命周期里都是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,如果这个证书还没有到期,就需要进行证书撤销。证书撤销的理由是各种各样的,可能包括从工作变动到对密钥的疑心等一系列原因。因此,需要采取一种有效和可信的方法,能在证书自然过期之前撤销它。证书撤销的实现方法一种是利用周期性的发布机制撤销证书;另一种方法采用在线查询机制,随时查询被撤销的证书。精选pptPKI系统的信任模型

选择信任模型〔TrustModel〕是构筑和运作PKI所必需的一个环节。选择正确的信任模型以及与它相应的平安级别是非常重要的,同时也是部署PKI所要做的较早和根本的决策之一。精选ppt信任模型主要阐述的问题一个PKI用户能够信任的证书是怎样被确定的这种信任是怎样被建立的在一定的环境下,这种信任如何被控制精选pptX.509标准中的信任定义 Entity“A"trustsentity“B"when“A"assumesthat“B"willbehaveexactlyas“A"expects。〔当实体A假定实体B严格地按A所期望的那样行动,那么A信任B。〕精选ppt常见的信任模型分类认证机构的严格层次结构模型分布式信任结构模型Web模型用户为中心的信任模型精选ppt认证机构的严格层次结构模型CA0CA1CA2CAiCAk+nCAkCAk+1…………U1UjU1Um……精选ppt在这个模型中,层次结构中的所有实体都信任唯一的根CA。这个层次结构按如下规那么建立:根CA认证直接连接在它下面的CA。每个CA都认证零个或多个直接连接在它下面的CA,一个给定的CA要么认证终端实体要么认证其他CA,但不能两者都认证。倒数第二层的CA认证终端实体。精选ppt一个持有根CA公钥的终端实体A可以通过下述方法检验另一个终端实体B的证书。假设B的证书是由CA2签发的,而CA2的证书是由CA1签发的,CA1的证书又是由根CA签发的。A〔拥有根CA的公钥KR〕能够验证CA1的公钥K1,因此它可以提取出可信的CA1的公钥。然后,这个公钥可以被用作验证CA2的公钥,类似地就可以得到CA2的可信公钥K2。公钥K2能够被用来验证B的证书,从而得到B的可信公钥KB。A现在就可以根据密钥的类型来使用密钥KB,如对发给B的消息加密或者用来验证据称是B的数字签名,从而实现A和B之间的平安通信。精选ppt分布式信任结构模型与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反,分布式信任结构把信任分散在两个或多个CA上。所有的CA实际上都是相互独立的同位体精选pptWeb模型We

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论