第06章 信息资源的安全管理(陈庄)课件.ppt

上传人:春哥&#****71; 文档编号:14873352 上传时间:2022-05-08 格式:PPT 页数:79 大小:388.50KB
返回 下载 相关 举报
第06章 信息资源的安全管理(陈庄)课件.ppt_第1页
第1页 / 共79页
第06章 信息资源的安全管理(陈庄)课件.ppt_第2页
第2页 / 共79页
点击查看更多>>
资源描述

《第06章 信息资源的安全管理(陈庄)课件.ppt》由会员分享,可在线阅读,更多相关《第06章 信息资源的安全管理(陈庄)课件.ppt(79页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)1信息资源的安全管理陈庄陈庄 博士博士 教授教授2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)2内容提要(1/3)v6.1 信息资源安全管理概述(掌握)6.1.1 信息资源安全的概念 威胁信息资源安全的主要因素 6.1.3 信息资源的安全管理模型 v6.2 安全管理制度 (了解)6.2.1 法律法规 行政管理v6.2.2.1 安全管理原则v6.2.2.2 安全管理的措施v6.3 环境安全 (掌握) 场地安全 中心机房安全2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)3内容提要(2/3

2、)v6.4 物理实体安全(了解) 6.4.1 设备布置安全 6.4.2 设备供电安全 6.4.3 电缆安全 6.4.4 设备维护安全6.4.5 场所外设备安全 6.4.6 设备的处置及再利用安全 v6.5 网络安全 (难点,了解)6.5.1 网络安全的含义 网络安全的技术措施v6.5.2.1 数据加密技术v 密钥管理技术 v6.5.2.3 访问控制技术v6.5.2.4 反病毒技术v6.5.2.5 防火墙技术2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)4内容提要(3/3)v6.6 软件安全(掌握) 软件安全的含义6.6.2 系统软件安全 应用软件安全 v6.7 数据信息安

3、全(难点,了解) 数据库系统安全技术 数据备份技术 终端安全技术 数据完整性鉴别技术 数据签名技术 信息审计跟踪技术 PKI技术 v作业 (.)2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)56.1.1 信息资源安全的概念(1/2) 1、什么是信息资源安全?是指信息资源所涉及的硬件、软件及应用系统受到保护,以防范和抵御对信息资源不合法的使用和访问以及有意无意的泄漏和破坏。 2、信息资源管理涉及的内容有哪些?的范畴 :/。包括了从、和的全过程。v从信息处理的角度,包括:(1)(1)内容的真实无误,以保证信息的内容的真实无误,以保证信息的完整性完整性;(2)(2)信息不会被非

4、法泄漏和扩散,以保证信息的信息不会被非法泄漏和扩散,以保证信息的保密性保密性;(3)(3)信息的发送和接收者无法否认自己所做过的操作行为,以确保信息的发送和接收者无法否认自己所做过的操作行为,以确保信息的信息的不可否认性不可否认性。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)66.1.1 信息资源安全的概念(2/2) 2、信息资源管理涉及的内容有哪些?(续)v从信息组织层次的角度,包括:系统的管理者对网络和信息系统有足够的控制和管理能力,以保证系统的管理者对网络和信息系统有足够的控制和管理能力,以保证信息的信息的可控制性可控制性;准确跟踪实体运行达到审计和识别的目的,以

5、保证信息的准确跟踪实体运行达到审计和识别的目的,以保证信息的可计算性可计算性;网络协议、操作系统和应用系统能够相互连接、协调运行,以保证网络协议、操作系统和应用系统能够相互连接、协调运行,以保证信息的信息的互操作性互操作性。v 从信息运行环境角度,包括:各种各样硬件设施的各种各样硬件设施的物理安全物理安全。v 从信息管理规范的角度,包括:各种各样的各种各样的规章制度规章制度、法律法规法律法规、人员安全性人员安全性等。等。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)76.1.2 威胁信息资源安全的主要因素 三个方面:天灾、人祸和信息系统自身的脆弱性。 1、天灾指不可控制

6、的自然灾害,如地震、雷击、火灾、风暴、战争、社会暴力等。天灾轻则造成业务工作混乱,重则造成系统中断甚至造成无法估量的损失。 2、人祸人祸包括 “无意”人祸和“有意”人祸。(1) “无意”人祸:是指人为的无意失误和各种各样的误操作。典型“无意”人祸有:v操作人员误删除文件;v操作人员误输入数据;v系统管理人员为操作员的安全配置不当;v用户口令选择不慎;v操作人员将自己的帐号随意转借他人或与别人共享。(1/3)2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)86.1.2 威胁信息资源安全的主要因素 2、人祸(续)(2) “有意”人祸:指人为的对信息资源进行恶意破坏的行为。“有意

7、”人祸是目前信息资源安全所面临的最大威胁。“有意”人祸主要包括下述三种类型:主要有主动攻击和被动攻击两种形式。其中,主动攻击是指以某种手段主动破坏信息的有效性和完整性;被动攻击则是在不影响信息(或网络)系统正常工作的情况下,截获、窃取、破译重要机密信息。这两种恶意攻击方式均可对信息资源造成极大的危害,并导致机密数据的泄漏。 :是指内部工作人员违反工作规程和制度的行为。例如:银行系统的网络系统管理员与操作员的口令一致、职责不分等。 :包括制造和传播病毒/ 非法复制。例如,侵犯著作权、版权等/ 窃取机密/ 金融犯罪/ 色情犯罪,例如:利用网络传播色情图文、贩卖色情物品、进行色情交易等/ 宣传邪教、

8、恐怖主义、种族歧视等/ 制造谣言。例如,在有关主页上发布虚假信息、假新闻等/ 诬蔑诽谤。例如,利用计算机进行非法的图像合成、搞张冠李戴等。 (2/3)2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)96.1.2 威胁信息资源安全的主要因素 3、信息系统自身的脆弱性计算机硬件系统的故障。v因生产工艺或制造商的原因,计算机硬件系统本身有故障,如电路短路、断路、接触不良等引起系统的不稳定、电压波动的干扰等。软件的“后门”。v软件的“后门”是指软件公司的程序设计人员为了自便而在开发时预留设置的,旨在为软件调试、进一步开发或远程维护提供了方便。然而,这些软件“后门”也为非法入侵提供了

9、通道,一旦“后门”洞开,其造成的后果将不堪设想。软件的漏洞。软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷往往是黑客攻击的首选目标,软件的BUGS便是典型的缺陷和漏洞。 (3/3)2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)106.1.3 信息资源的安全管理模型(1/2) 1、信息安全资源的安全管理的6层次模型2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)116.1.3 信息资源的安全管理模型(2/2) 2、每一层次主要包括的安全管理或安全技术内容安全管理制度。包括:法律法规、行政管理措施。环境安全。包括:场地安全、中心机房安全。 物理实体

10、安全。包括:设备布置安全、设备供电安全、电缆安全、设备维护安全、场所外设备安全、设备的处置及再利用安全。网络安全。包括:数据加密技术、密钥管理技术、访问控制技术、反病毒技术、防火墙技术。软件安全。包括:应用软件安全、系统软件安全。数据信息安全。包括:数据库系统安全技术、数据备份技术、终端安全技术、数据完整性鉴别技术、数据签名技术、信息审计跟踪技术。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)126.2.1 法律法规(1/2) 1、制定法律法规的目的通过法律来规范和制约信息活动中人们的思想与行为,将信息资源安全纳入规范化、法制化和科学化的轨道。 2、我国信息资源安全法规法

11、律现状我国已颁布了有关信息资源安全法规50余种,如保密法、数据保护法、计算机安全法、计算机犯罪法等。这些法规的颁布,从一定意义上规范了人们在信息活动的行为,并且也使合法的信息活动受到了保护。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)136.2.1 法律法规(2/2) 3、信息资源安全法规法律的基本准则一般地,合法的信息活动一般应满足下述原则v信息系统合法原则。按一定的法律程序注册、登记信息系统,不符合法律的信息系统不予注册,按一定的法律程序注册、登记信息系统,不符合法律的信息系统不予注册,未注册信息系统的安全不受法律保护。未注册信息系统的安全不受法律保护。v用户合法原

12、则。进入信息系统的用户及其进入系统的目的必须经过严格审查,并登记注册的。进入信息系统的用户及其进入系统的目的必须经过严格审查,并登记注册的。v信息公开原则。信息系统中允许收集、扩散、维护必要的相关信息,系统对这些信息的常规信息系统中允许收集、扩散、维护必要的相关信息,系统对这些信息的常规使用方式对法律公开。使用方式对法律公开。v信息利用原则。用户的有关信息可按用户确认和系统允许的形式保存在系统中,用户有权查用户的有关信息可按用户确认和系统允许的形式保存在系统中,用户有权查询和复制这些信息,有权修改其相关内容。询和复制这些信息,有权修改其相关内容。v 资源限制原则。信息系统中保持的信息的类型、时

13、限和精确性应给予适当限制。信息系统中保持的信息的类型、时限和精确性应给予适当限制。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)146.2.2.1 安全管理原则(1/2) 1、多人负责原则每一项与信息安全有关的活动,都必须有两人或多人在场并签署安全记录。这些信息安全活动包括:v访问控制使用证件的发放与回收。v信息处理系统使用的媒介发放与回收。v处理保密信息。v硬件和软件的维护。v系统软件的设计、实现和修改。v重要程序和数据的删除和销毁。 2、任期有限原则一般而言,任何人都不能长期担任与安全有关的职务,即信息安全工作不是专有的或永久性的。为遵循任期有限原则,工作人员应不定

14、期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,从而使任期有限制度切实执行。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)156.2.2.1 安全管理原则(2/2) 3、职责分离原则在信息处理系统工作的人员,不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:v计算机操作与计算机编程。v 机密资料的接收和传送。v 安全管理和系统管理。v 应用程序和系统程序的编制。v 访问证件的管理与其它工作。v 计算机操作与信息处理系统使用媒介的保管等。2022-5-8第06章 信息资源的安全管

15、理(陈庄)ppt课件(全)166.2.2.2 安全管理的措施(1/2)v根据工作的重要程度,确定相关系统的安全等级。v依据系统的安全等级,确定安全管理的范围。v建立组织及人员制度。加强信息机构、人员的安全意识和技术培训及人员选择,严格执行上述的多人负责原则、任期有限原则和职责分离原则。v制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。v制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。2022-5-8

16、第06章 信息资源的安全管理(陈庄)ppt课件(全)176.2.2.2 安全管理的措施(2/2)v制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。v制订应急措施。要制订系统在紧急情况下如何尽快恢复的应急措施,使损失减至最小。v建立人员雇用和解聘制度。对工作调动和离职人员要及时调整。v其他措施。包括:做信息处理用的机器要专机专用,不允许兼作其他用机;终端操作员因事离开终端,必须将终端退回到登录画面,避免其他人员使用该终端进行非法操作;各种凭证、账表、资料要妥善保管,严格控

17、制;各种工作安全记录要交叉复核。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)186.3.1 场地安全 1、场地安全的相关条件信息中心机房场地的选择应符合国家标准GB/T 2887-2000规定的相关条件,包括:v选址条件;v温度、湿度条件;v照明、电磁场干扰的技术条件;v接地、供电、建筑结构条件;v媒体的使用和存放条件;v腐蚀性气体的条件等。 2、场地安全的基本要求v应建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方;v应尽量远离有害气源及存放腐蚀、易燃、易爆炸物的地方;v应尽量避免在低洼、潮湿、匿雷区和地震活动频繁的地方;v应尽量避开强电磁场的干扰;v应尽量

18、远离强振动源和强噪声源;v应尽量避免建在建筑物的高层及地下室以及用水设备的下层。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)196.3.2 中心机房安全(1/2) 1、中心机房安全的总体要求中心机房的建设应满足国家标准GB 936l1988对计算机机房建设的相关规定,如内部装修、防火、供配电系统、空调系统、火灾报警及消防设施、防水、防静电、防雷击、防鼠害等规定。 2、中心机房的安全应重点考五个系统 (1)供配电系统。v供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应,且在任何情况下都不会间断。v因此,供电系统应包括两路以上的市电供应系统、自备

19、发电机系统、保证足够时间供电的UPS系统等。(2) 防雷接地系统。v为了保证信息系统机房的各种设备安全,要求机房内设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)206.3.2 中心机房安全(2/2) 2、中心机房的安全应重点考虑五个系统(续) (3)消防报警及自动灭火系统。v为实现火灾自动灭火功能,在机房内还应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。(4)门禁系统。v在机房应安装安全易用的门禁系统以保证信息系统的物理安全,同时也可提高管理的

20、效率。其中,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。(5)保安监控系统。v信息系统的保安监控包括闭路监视系统、通道报警系统和人工监控系统等。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)216.4.1 设备布置安全 v设备的布置应考虑下述因素:设备的布置应有利于减少对工作区的不必要的访问。敏感数据的信息处理与存储设施的布置应降低其使用期间被忽视的风险,即设施应处在有效的监视范围之内。要求特别保护的设备应与其他设备进行隔离,以降低所需保护的总级别。其他。如:v机房内设备的总体布置应力求美观、大方、整洁、清爽,具有一定的参观价值;

21、v为键盘配备隔膜,以防止灰尘积累,等等。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)226.4.2 设备供电安全 v设备的供电可靠性对保证信息系统的正常运行至关重要。因此,应采取有效措施,确保设备的供电安全。v设备供电安全的主要措施包括:为设备配备电源必须符合设备制造商的技术规范。通过建立多路供电、配备UPS、配备备用发电机等措施,确保关键设备获得持续的电力供应。对供电设备的定期维护。包括:v对UPS设备应定期检查,以确保其电量充足;v发电机安装以后,应按制造商的要求进行定期测试,且应配备充足的燃料,以保障发电机能长时间工作;v应急电源开关应位于设备室的紧急出口附近,以

22、便在紧急事故情况下迅速断电;v主电源故障情况下应配备应急照明。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)236.4.3 电缆安全(1/2) 1、电缆安全的重要性用于传送数据或支持信息服务的电力电缆和通信电缆被截断后,将会造成信息丢失,甚至造成整个系统的运行中断;用于传送敏感信息的通信电缆被截获,会造成秘密泄露。因此,应采取适当的措施对电缆进行安全保护,防止裁断或损坏。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)246.4.3 电缆安全(2/2) 2、电缆安全的主要措施无论电力电缆还是通信电缆应尽可能埋在地下,或必须得到适当的其他保护(如外套P

23、VC管等)。网络电缆线路应提防未经授权的截取或损坏。v电缆线路应通过电缆管道进行敷设,尽量避免电缆线路通过公共区域。电源电缆应与通信电缆分离,以防干扰。对于具有敏感信息或重要系统的设备,应采用相关控制措施保证线路安全。v电缆检查点和端点(或电缆接头)放在带锁的房间或盒里;v采用数据加密技术对传输的数据进行加密。定期对线路进行维护,包括线路巡视检查和必要的线路技术指标的测试,及时发现线路故障隐患。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)256.4.4 设备维护安全 1、设备维护安全的重要性设备维护不当会引起设备设障,从而造成信息的不可用,甚至信息的不完整。因此,应按照

24、设备维护手册的要求或有关维护规程、程序对设备进行适当的维护,确保设备处于良好的工作状态,从而保证设备的持续可用性和完整性。 2、设备维护安全的主要措施按照供应商推荐的保养时间间隔和规范进行设备保养。只有经授权的维护人员才能维修和保养设备。维修人员应具备一定的维修技能。储备一定数量的备品与配件。应保存有关设备维修、维护的记录。当设备送外进行保养时,应采取适当措施,以防止敏感信息的泄露。关键设备或有关重要部件应保存一定数量的冗余。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)266.4.5 场所外设备安全 (1/2) 1、场所外设备的定义场所外设备(Equipment Of

25、f-premises)是指离开组织(或企业、单位)工作场所的设备,主要分为两类:v一类是因工作需要,将设备带离组织外的工作场所,如因公外出所携带的笔记本电脑;v另一类是固定在组织场所之外的设备,如移动通信公司的无人职守机房内的通信设备。 2、场所外设备安全的重要性场所外设备可能遭受盗窃、未经授权的访问或环境因素的威胁,因此应考虑场所外设备进行安全保护,且所提供的保护至少应等同于单位内相同用途的设备。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)276.4.5 场所外设备安全 (2/2) 3、场所外设备安全的主要措施任何在单位外的设备使用,不管所有权、使用权如何,均应经管

26、理层授权许可。从场所带走的设备应严加保护。例如:v可采用上锁的文件柜、清除桌面系统及对计算机的访问控制等措施。 应始终遵守制造商有关保护设备的指南要求,如:v防止受到强电磁场的干扰。 采用合适的物理防护装置(如保险罩),以保护场所外的设备安全。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)286.4.6 设备的处置及再利用安全 1、设备的处置及再利用安全 的重要性设备到期报废或改变其使用用途时,由于粗心会造成敏感信息的泄露。 2、设备的处置及再利用安全的主要措施格式化计算机硬盘。 删除文件记录。 物理销毁。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(

27、全)296.5.1 网络安全的涵义(1/3) 1、网络安全的定义是指网络系统中的硬件(主机、服务器及其它网络设备)和软件系统受到保护而不被偶然的或者恶意的原因遭到破坏,从而保证系统能连续可靠地运行。 2、网络安全的基本安全功能 (1)鉴别(Authentication)v提供对网络系统中的对等实体和数据来源的鉴别,包括对等实体鉴别和数据原发鉴别。对等实体鉴别对等实体鉴别是在连接对方时或在数据传送阶段的某些时刻提供使是在连接对方时或在数据传送阶段的某些时刻提供使用,用以证实一个或多个连接实体的身份;用,用以证实一个或多个连接实体的身份;数据原发鉴别数据原发鉴别则对数据单元的来源提供识别。则对数据

28、单元的来源提供识别。 (2)访问控制(Access Control)v提供保护以对抗开放系统互连可访问资源的非授权使用,包括自主型访问控制和指定型访问控制。自主型访问控制的授权由网络资源的所有者或者创建者自主决定;自主型访问控制的授权由网络资源的所有者或者创建者自主决定;指定型访问控制的授权则由网络管理者根据先前制定的安全方针与指定型访问控制的授权则由网络管理者根据先前制定的安全方针与访问规则统一规定。访问规则统一规定。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)306.5.1 网络安全的涵义(2/3) 2、网络安全的基本安全功能(续) (3)数据保密性(Data c

29、onfidentiality)v对数据提供保护,防止因数据被截获而造成信息泄密,包括信息保密性、选择段保密性、业务流保密性。信息保密性信息保密性是指保护数据库中的信息或者通信系统中的信息;是指保护数据库中的信息或者通信系统中的信息;选择段保密性选择段保密性是指在信息中保护被选择的数据段;是指在信息中保护被选择的数据段;业务流保密性业务流保密性是指防止攻击者通过观察业务流来得到敏感信息。是指防止攻击者通过观察业务流来得到敏感信息。 (4)数据完整性(Data integrity)v防止非法用户对正常进行数据交换的数据进行修改、插入,以及在数据交换过程中可能存在的数据丢失等。 (5)抗抵赖性(No

30、n Repudiation) v提供相关数据,以证实已经发生的操作,包括数据来源证明、数据递交证明和公证。数据来源证明是指由接收者提供证据,防止信息发送者否认发送过数据来源证明是指由接收者提供证据,防止信息发送者否认发送过信息;信息;数据递交证明是指由发送者提供证据,防止信息接收的对象否认接数据递交证明是指由发送者提供证据,防止信息接收的对象否认接收过信息;收过信息;公证是指通信双方基于第三方的绝对信任,且第三方不能篡改信息。公证是指通信双方基于第三方的绝对信任,且第三方不能篡改信息。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)316.5.1 网络安全的涵义(3/3)

31、 3、网络安全的目标防止未经授权的数据访问。防止未经授权的数据访问。防止数据的意外遗漏或重复数据。防止数据的意外遗漏或重复数据。防止利用隐含通道窃取机密信息,甚至设置防止利用隐含通道窃取机密信息,甚至设置“病毒病毒”,使系统陷于,使系统陷于瘫痪。瘫痪。确保数据的发送正确无误。确保数据的发送正确无误。确保数据的接收正确无误。确保数据的接收正确无误。根据保密要求与数据来源对数据作标记。根据保密要求与数据来源对数据作标记。提供可供安全审计的网络通信记录,防止对用户进行欺骗。提供可供安全审计的网络通信记录,防止对用户进行欺骗。可对独立的第三方证明通信过程已经实现,并且通信内容已被正确可对独立的第三方证

32、明通信过程已经实现,并且通信内容已被正确接受。接受。在取得明确的可访问系统的授权许可后,才能与系统通信。在取得明确的可访问系统的授权许可后,才能与系统通信。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)326.5.2.1 数据加密技术(1/3) 网络数据加密是网络安全中最有效的信息保护措施。网络数据加密的方式主要有链路加密、端对端加密以及混合加密等三种方式。 1、链路加密1)链路加密的概念v链路层处在ISO参考模型的第二层,是用于传输数据的通信信道。链路加密是对网络中两个相邻节点之间传输的数据进行加密保护。 2)链路加密的的基本原理v在受保护数据所选定的路径上,任意一对

33、节点之间的加密是独立实现的,即每条链路所使用的加密密钥是不同的,如图6.2所示。图中,Ei(x)(i=1,2,n)代表第i条链路的加密密钥。 E1XE2D2XE1(X)链路1E3D3XE2(X)链路2DnXEn(X)链路nE3(X)节点1节点2节点3节点n2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)336.5.2.1 数据加密技术(2/3) 1、链路加密(续)3)链路加密的过程v网络中,传送的信息由报头和报文两部分组成。报头是为了保证通情所必用的控制信息,如信息传送的源节点地址、目的节点的地址、路径选择信息、传送信息的长度等;报文则是真正要传送的用户数据信息。链路加密的

34、加密算法常同时对报文和报头进行加密,这不仅保护传送的信息,而且还掩盖了源节点和目的节点的地址。v链路加密一般采用硬件实现。 2、端对端加密1)原理v端对端加密是在一对用户之间的数据连续地提供保护,所以它要求各对用户采用相同的密钥,其原理如图6.3所示。 E1XE1(X)链路1E2(X)链路2DnXEn(X)链路nE3(X)节点1节点2节点3节点n2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)346.5.2.1 数据加密技术(3/3) 2、端对端加密(续)2)过程v端一端加密方式仅对报文信息进行加密,而报头中的控制信息部分则是以明文形式传送。v端对端加密一般采用软件实现,当

35、然也可以用硬件实现。 3、混合加密为了保护报头中的敏感信息,获得更好的安全性,可以采用链路加密和端对端加密结合的混合加密方式。在该方式下,报文将被两次加密,而报头则由链路加密方式进行加密。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)356.5.2.2 密钥管理技术(1/4) 1、什么是密钥密钥(Key)是一系列控制加密、解密操作的符号。加密技术一般都采用加密算法来实现,而加密算法必须由密钥来控制。由于算法是公开的,因此明文的保密主要依赖于密钥的保密。在网络环境下,因用户和节点很多,需要大量的密钥。因此,如果没有一套妥善的管理方法,密钥旦丢失或出错,其危险性是可想而知的

36、。 2、密钥管理的基本任务密钥管理是一项复杂的工作,既包括一系列的技术问题,也包括管理人员的素质问题。密钥管理的基本任务是:v在密钥的整个生命周期中,为密钥提供生成、注册、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等管理服务。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)366.5.2.2 密钥管理技术(2/4) 3、各项任务的内涵密钥生成v是指是为特定密码算法以安全的方式产生密钥。v该项服务要求:密钥产生过程不会被篡改,产生方式不可预测,分发符合指定规程;某些密钥(如主密钥)生成要求特别的安全措施,因为知道这些密钥就能访问所有相关密钥或衍生密钥。密钥注册v所谓

37、密钥注册,是指将密钥与实体联系起来。v密钥注册一般由专门的机构提供,而且是在使用对称密码技术时应用。密钥证书生成v密钥证书生成是指生成密钥证书以确保公开密钥与实体的联系。v该项工作也是由专门机构提供。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)376.5.2.2 密钥管理技术(3/4) 3、各项任务的内涵(续)密钥分发v密钥分发是指为己授权实体安全地提供密钥管理信息的过程。密钥安装v是指在保证密钥不被泄露的方式下将密钥安装在密钥管理设备内。v密钥只有安装后才能使用。密明存储v密钥存储是为当前或近期使用的密钥或备份密钥提供安全存储。v密钥存储的主要方式有:物理存储,如存放

38、在一个防拆设备内,或存放在磁盘或存储卡等外部设备;将密钥加密后再用物理设备存储;用口令或PIN保护对密钥进行保护,等等。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)386.5.2.2 密钥管理技术(4/4) 3、各项任务的内涵(续)密钥归档v密钥归档是指在密钥正常使用之后所提供安全、长期的存储。密钥撤销v如果怀疑某个密钥被泄漏或某些情况发生变更,便需要将密钥撤消。密钥被撤销后,可能仅用于解密和验证。密钥注销v密钥注销就是解除密钥与实体间的关系。密钥注销是密钥撤消过程的一部分。密钥销毁v密钥销毁是指将不再需要的密钥及其文档安全地销毁。v密钥销毁将删除该密钥管理信息的所有记

39、录,且销毁后的密钥将不能再恢复使用。某些密钥可能存储在电子设备或系统之外,销毁这些密钥还需要相关的管理措施。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)396.5.2.3 访问控制技术(1/2) 1、什么是访问控制?访问控制就是对访问的申请、批准和撤销的全过程进行有效的控制,以确保只有合法用户的合法访问才能予以批准,而且被批难的访问只能执行授权的操作。 2、为什么需要访问控制?为了保证网络系统的安全,拒绝非法用户使用系统资源和防止非法用户的盗窃或破坏。2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)406.5.2.3 访问控制技术(2/2) 3、有

40、哪些访问控制技术?身份识别v访问控制的第一道防线就是对用户身份的识别,通过身份识别来鉴定系统的访问者究竟是合法的还是非法的,从而阻止非法用户访问系统资源。v身份识别常用的方法有指纹、掌纹、视网膜纹以及IC智能卡。其中,IC智能卡识别方式是目前较为流行且性价比较高的方式。 访问操作控制v当用用户被批准访问系统后,就要对访问操作进行控制,包括授权、确定访问权限、实施访问权限、信息流动等控制。 审计跟踪v审计跟踪是对用户访问操作过程进行完整的记录,包括用户使用的系统资源情况、使用的时间、执行的操作等。审计跟踪是访问控制的另一个重要方面,其目的在于:当非法事件发生后能进行有效的、有原始证据的追查。 2

41、022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)416.5.2.4 反病毒技术(1/7) 1、什么是计算机病毒?是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒是一种特殊形式的计算机犯罪,它的产生和蔓延已经给网络安全造成巨大的损害和威胁。因此,必须在充分分析计算机病毒的危害、种类、特点的基础上,研究反病毒技术,以预防并消除计算机病毒。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)426.5.2.4 反病毒技术(2/7) 2、计算机病毒的危害有哪些?通过“自我复制”传染正在运

42、行的其他程序,与其他运行程序争夺系统资源。冲毁存储中的大量数据,致使系统其他用户的数据蒙受损失。分割所使用的计算机系统,同时还会殃及与其联网的其他计算机系统。导致信息系统功能失灵、系统瘫痪等。反复传染拷贝,造成存储空间减少,并影响系统运行效率。空挂系统,造成显示屏幕或键盘的封锁状态。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)436.5.2.4 反病毒技术(3/7) 3、计算机病毒的种类?按传染方式分为引导型、文件型和混合型病毒。v引导型病毒是利用优盘(或软盘)的启动原理工作,修改系统启动扇区。v文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)等。v混合型病毒

43、兼有以上两种病毒的特点,既感染引导区又感染文件,因此这种病毒具有更强的传染性。 按连接方式分为源码型、入侵型、操作系统型和外壳型病毒。v源码型 (源程序)病毒较为少见,亦难以编写、传播;v入侵型病毒可用自身代替正常程序中的部分模块或堆栈区,只攻击某些特定程序;v操作系统病毒可用其自身部分加入或替代操作系统的部分功能;v外壳病毒将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳,大部分的文件型病毒都属于这一类,如“黑色星期五”、“哥伦布日”病毒等。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)446.5.2.4 反病毒技术(4/7) 3、计算机病毒的种类?(续)按

44、破坏性可分为恶性病毒和良性病毒。v恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作;v良性病毒是指不包含直接破坏的代码,只是为了表现其存在或为说明某些事件而存在,如只显示某些信息,或播放一段音乐。其他病毒v如宏病毒、网络病毒等。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)456.5.2.4 反病毒技术(5/7) 4、计算机病毒的特点?人为破坏性(占用资源占用资源、删除文件或数据删除文件或数据,降低运行效率降低运行效率、中断、中断系统运行。)系统运行。)传染性(再生机制:自动复制扩散到磁盘存储器和整个计算机系(再生机制:自动复制扩散到磁盘存储器和整个计算机系统统 。

45、)。)隐蔽性(病毒代码本身设计短小,仅几(病毒代码本身设计短小,仅几K K字节,隐藏在程序或磁字节,隐藏在程序或磁盘中内。)盘中内。) 潜伏性(计算机病毒具有依附于其他媒体寄生的能力。)(计算机病毒具有依附于其他媒体寄生的能力。) 衍生性(计算机病毒变种。)(计算机病毒变种。)可触发性( (特定的时间、日期、用户、文件出现或使用、文件使特定的时间、日期、用户、文件出现或使用、文件使用次数等。)用次数等。)不可预见性 ( (病毒比反病毒技术永远是超前的。病毒比反病毒技术永远是超前的。 )2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)466.5.2.4 反病毒技术(6/7)

46、5、计算机病毒的防范措施?技术措施v技术措施主要是研制各种功能的防范计算机病毒的产品,包括软件、硬件和软硬结合的产品,为用户提供必要的预防和消除病毒的工具,抑制计算机病毒的蔓延,达到控制和消灭计算机病毒的目的。软件产品是通过软件的方法来防止病毒侵入计算机系统,如病毒预防软件;软件产品是通过软件的方法来防止病毒侵入计算机系统,如病毒预防软件;硬件产品是通过硬件的方法来防止病毒,如设计病毒过滤器、改变现有系统硬件产品是通过硬件的方法来防止病毒,如设计病毒过滤器、改变现有系统结构等。结构等。管理措施v是以预防为主的方式,加强对防范计算机病毒研究和使用的控制,保护用户的合法权益,防止计算机病毒的传染。

47、v(1)从整个社会的角度的管理措施 建立健全的计算机法律制度,使得对病毒制造者的处理有法可依有章可循。建立健全的计算机法律制度,使得对病毒制造者的处理有法可依有章可循。加强软件产品市场的统一管理,尊重知识产权。加强软件产品市场的统一管理,尊重知识产权。加强计算机病毒研究的管理和有关防治病毒产品的检查、控制。加强计算机病毒研究的管理和有关防治病毒产品的检查、控制。加强信息系统安全研究队伍的建设,注重人员素质、职业道德和工作能力的加强信息系统安全研究队伍的建设,注重人员素质、职业道德和工作能力的培养。培养。抓好机密信息系统、重要信息系统(如与金融相关的系统)的计算机病毒防抓好机密信息系统、重要信息

48、系统(如与金融相关的系统)的计算机病毒防治工作。治工作。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)476.5.2.4 反病毒技术(7/7) 5、计算机病毒的防范措施?管理措施(续)v(2)从计算机用户(个人)角度的管理措施 规定用户的使用权限和使用环境;规定用户的使用权限和使用环境;对外来的系统或软件作使用规定;对外来的系统或软件作使用规定;对系统和信息的存储外设作使用说明和保护措施,堵住外界病毒的对系统和信息的存储外设作使用说明和保护措施,堵住外界病毒的传染渠道;传染渠道;不能随意将本系统计算机与外界系统联通,防止病毒侵入;不能随意将本系统计算机与外界系统联通,防

49、止病毒侵入;建立系统应急计划;建立系统应急计划;对系统中予以保护的程序或数据文件进行经常性检查;对系统中予以保护的程序或数据文件进行经常性检查;对系统文件和重要的数据文件进行写保护或数据加密;对系统文件和重要的数据文件进行写保护或数据加密;严格控制卸载文件的执行;严格控制卸载文件的执行;建立适当的用户口令,规定合理的管理权限;建立适当的用户口令,规定合理的管理权限;对用户数据和程序要安善保管,最好不要存于系统盘上;对用户数据和程序要安善保管,最好不要存于系统盘上;对系统中的重要数据,要定期拷贝;对系统中的重要数据,要定期拷贝;尽量不采用优盘或软盘引导;尽量不采用优盘或软盘引导;要定期对优盘、软

50、盘、硬盘等进行检测和消毒;要定期对优盘、软盘、硬盘等进行检测和消毒;建立系统使用的登记表制度,完整记录使用者姓名、时间、操作过建立系统使用的登记表制度,完整记录使用者姓名、时间、操作过程、机器状态等,以及使用期间发现病毒的时间、危害情况、检测程、机器状态等,以及使用期间发现病毒的时间、危害情况、检测和消毒情况。和消毒情况。 2022-5-8第06章 信息资源的安全管理(陈庄)ppt课件(全)486.5.2.5 防火墙技术(1/3) 1、什么是防火墙?防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 小学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁