這是一個關于信息系統(tǒng)安全技術介紹ppt課件，主要介紹系統(tǒng)漏洞與黑客攻擊的發(fā)展趨勢、信息安全的影響、信息安全戰(zhàn)略、我國網(wǎng)絡信息安全現(xiàn)狀。信息系統(tǒng)安全技術第一章 網(wǎng)絡信息安全概論系統(tǒng)漏洞與黑客攻擊的發(fā)展趨勢信息安全的影響信息安全戰(zhàn)略我國網(wǎng)絡信息安全現(xiàn)狀 Internet 技術的飛速增長 我們身邊的信息化相關信息 EarthLink和Webroot Software公司掃描100多臺萬聯(lián)網(wǎng)電腦之后得到研究結(jié)果：平均每臺聯(lián)網(wǎng)PC機上運行著28個間諜軟件，超過30%的PC機上發(fā)現(xiàn)了特洛伊木馬。在發(fā)現(xiàn)的2900萬個間諜程序中，除大部分的無害 “廣告軟件”外，還有300，000個間諜軟件能夠盜竊個人資料，或者獲得無授權的電腦訪問。 相關信息向?qū)Ψ桨l(fā)送100萬封垃圾郵件：50英鎊; 在上網(wǎng)用戶的瀏覽器上彈出廣告：200英鎊; 攻擊網(wǎng)站：8000至1.2萬英鎊…。這是某個網(wǎng)絡犯罪集團在網(wǎng)上放出的一份黑客服務報單，他們通過互聯(lián)網(wǎng)從事勒索、詐騙和恐嚇等各種破壞活動，歡迎點擊下載信息系統(tǒng)安全技術介紹ppt課件哦。

信息系統(tǒng)安全技術介紹ppt課件是由紅軟PPT免費下載網(wǎng)推薦的一款學校PPT類型的PowerPoint.

信息系統(tǒng)安全技術第一章 網(wǎng)絡信息安全概論系統(tǒng)漏洞與黑客攻擊的發(fā)展趨勢信息安全的影響信息安全戰(zhàn)略我國網(wǎng)絡信息安全現(xiàn)狀 Internet 技術的飛速增長 我們身邊的信息化相關信息 EarthLink和Webroot Software公司掃描100多臺萬聯(lián)網(wǎng)電腦之后得到研究結(jié)果：平均每臺聯(lián)網(wǎng)PC機上運行著28個間諜軟件，超過30%的PC機上發(fā)現(xiàn)了特洛伊木馬。在發(fā)現(xiàn)的2900萬個間諜程序中，除大部分的無害 “廣告軟件”外，還有300，000個間諜軟件能夠盜竊個人資料，或者獲得無授權的電腦訪問。 相關信息向?qū)Ψ桨l(fā)送100萬封垃圾郵件：50英鎊; 在上網(wǎng)用戶的瀏覽器上彈出廣告：200英鎊; 攻擊網(wǎng)站：8000至1.2萬英鎊…… 。 這是某個網(wǎng)絡犯罪集團在網(wǎng)上放出的一份黑客服務報價單，他們通過互聯(lián)網(wǎng)從事勒索、詐騙和恐嚇等各種破壞活動。有關專家認為，這個利潤豐厚的非法產(chǎn)業(yè)正在飛速擴張。 安全問題日益增加系統(tǒng)漏洞的發(fā)展趨勢黑客攻擊的發(fā)展趨勢黑客攻擊的發(fā)展趨勢黑客與病毒的融合趨勢信息安全——政治 信息化和互聯(lián)網(wǎng)的發(fā)展，使得計算機網(wǎng)絡已經(jīng)形成了一個新的思想文化陣地和思想政治斗爭的戰(zhàn)場。信息安全——政治 非法組織在網(wǎng)上組黨結(jié)社，進行秘密聯(lián)絡�；ミB網(wǎng)成為他們互相秘密聯(lián)絡的很重要的途徑。法輪功在互連網(wǎng)上建立的網(wǎng)站有200個左右。電子郵件也是法輪功骨干成員聯(lián)絡的主要的渠道。新疆的民族分裂分子在網(wǎng)上進行組織策動，境外人員通過網(wǎng)絡來指揮爆炸活動。關于宣傳西藏獨立的網(wǎng)站有300多個。 　信息安全——經(jīng)濟國家信息化程度越高，國民經(jīng)濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。我國計算機犯罪的增長速度遠遠超過了傳統(tǒng)的犯罪，近幾年涉及的金額達十幾億：信息安全——社會互連網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害，要比現(xiàn)實社會中謠言要大的多。 99年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長攜巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，擠提現(xiàn)金十個億�；ミB網(wǎng)上色情、賭博等不健康信息和行為給社會帶來了極大的負面影響。信息安全——信息戰(zhàn) “誰掌握了信息，控制了網(wǎng)絡，誰將擁有整個世界。” ——美國“著名未來學家”阿爾溫 托爾勒 “今后的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家。” ——美國總統(tǒng)克林頓 “沒有信息安全，就沒有完全意義上的國家安全，也沒有真正的政治安全、軍事安全和經(jīng)濟安全。因此，要把我國的信息安全問題放在全球戰(zhàn)略考慮”　 ——中國工程院院士 何德全 信息系統(tǒng) C4I:（命令，控制，通信，計算機與智能） Command， Control， Communications， Computers and Intelligence 美國安全戰(zhàn)略 1998年5月22日，克林頓政府頒布《對關鍵基礎設施保護的政策：第63號總統(tǒng)令 》，2000年頒布《信息系統(tǒng)保護國家計劃v1.0》 。 2002年9月18日和20日，布什政府頒布《保護網(wǎng)絡空間的國家戰(zhàn)略（草案）》和《美國國家安全戰(zhàn)略》。 2003年2月14日布什政府頒布《保護網(wǎng)絡空間的國家戰(zhàn)略 》和《反恐國家戰(zhàn)略 》。我國安全戰(zhàn)略 2002年7月19日，“國家信息安全保障體系戰(zhàn)略研討會”在北京科技會堂召開。 2003年7月，國家第三次信息化工作會議首次提出《關于加強信息安全保障工作的意見》（著名的27號文件）。 2004年3月8日～3月19日，國務院信息化工作辦公室召開了兩期“全國信息安全保障工作專題研討會”，會議首次采取了專家宣講、集中討論的方式，深入討論了建立信息安全保障體系的基本任務。信息安全的根源 內(nèi)因：網(wǎng)絡和系統(tǒng)的自身缺陷與脆弱性。 外因：國家、政治、商業(yè)和個人利益沖突。 安全人才需求國家重點科研項目的需求專業(yè)安全產(chǎn)品公司的需求應用行業(yè)的管理、應用和維護的需求對網(wǎng)絡信息安全人才的需求在今后幾年內(nèi)將超過100萬，但專業(yè)的網(wǎng)絡與信息安全機構(gòu)在國內(nèi)卻屈指可數(shù)；網(wǎng)絡信息安全已經(jīng)初步形成一個產(chǎn)業(yè)，根據(jù)權威職業(yè)調(diào)查機構(gòu)的預測表明，網(wǎng)絡信息安全人才必將成為信息時代最熱門的搶手人才。補充內(nèi)容： 網(wǎng)絡基礎計算機網(wǎng)絡的概念、分類和特點計算機網(wǎng)絡的結(jié)構(gòu)計算機網(wǎng)絡的資源共享計算機網(wǎng)絡的體系和參考模型計算機網(wǎng)絡的發(fā)展第一代計算機網(wǎng)絡是以單個計算機為中心的遠程聯(lián)機系統(tǒng)；第二代計算機網(wǎng)絡是把多個主機通過通信線路互連起來，為用戶提供服務的系統(tǒng)；第三代計算機網(wǎng)絡是具備統(tǒng)一的網(wǎng)絡體系結(jié)構(gòu)并遵循國際標準的開放式和標準化的網(wǎng)絡；第四代計算機網(wǎng)絡是一種網(wǎng)絡與網(wǎng)絡連接而形成的網(wǎng)絡集合，即互聯(lián)網(wǎng)。計算機網(wǎng)絡的定義定義：將若干具有獨立工作能力的計算機系統(tǒng)通過通信設備和線路，由功能完善的網(wǎng)絡軟件實現(xiàn)資源共享和數(shù)據(jù)通信的系統(tǒng)。從定義中看出涉及到三個方面的問題：至少兩臺計算機互聯(lián)。通信設備與傳輸介質(zhì)。網(wǎng)絡軟件：通信協(xié)議和網(wǎng)絡操作系統(tǒng)計算機網(wǎng)絡的分類按傳輸技術劃分按網(wǎng)絡規(guī)模劃分按傳輸介質(zhì)劃分按通信速率劃分按數(shù)據(jù)交換方式劃分按通信性能劃分按使用范圍劃分按配置劃分按對數(shù)據(jù)的組織方式劃分按拓撲結(jié)構(gòu)劃分計算機網(wǎng)絡的分類按傳輸技術劃分廣播方式網(wǎng)絡點對點方式網(wǎng)絡按網(wǎng)絡規(guī)模劃分數(shù)據(jù)流機器多計算機局域網(wǎng)成域網(wǎng)廣域網(wǎng)互聯(lián)網(wǎng)局域網(wǎng)概述定義： 局域網(wǎng)（Local Area Network），簡稱LAN，是處于同一建筑、同一大學或方圓幾公里遠地域內(nèi)的專用網(wǎng)絡。局域網(wǎng)常被用于連接公司辦公室或工廠里的個人計算機和工作站，以便共享資源（如打印機）和交換信息。局域網(wǎng)概述局域網(wǎng)具有如下特征：傳輸速率高；支持傳輸介質(zhì)種類多；通信處理一般由網(wǎng)卡完成；傳輸質(zhì)量好，誤碼率低；有規(guī)則的拓撲結(jié)構(gòu)。局域網(wǎng)概述局域網(wǎng)的基本類型令牌環(huán)網(wǎng)以太網(wǎng) 10Base-T 100Base-T 1000Base-T ATM 互聯(lián)網(wǎng)概述互聯(lián)網(wǎng)的概念 互聯(lián)網(wǎng)是指通過網(wǎng)絡互聯(lián)設備把不同的多個網(wǎng)絡或網(wǎng)絡群體互聯(lián)起來形成的大網(wǎng)絡，也稱網(wǎng)際網(wǎng)、全球網(wǎng)、萬維網(wǎng)。中文名為因特網(wǎng)等。 Internet一開始首先是由美國人建立起來的，目前，已連接世界各國，是一個特定的、被國際社會認可和廣泛使用的網(wǎng)絡�；ヂ�(lián)網(wǎng)概述互聯(lián)網(wǎng)的優(yōu)點靈活多樣的入網(wǎng)方式互聯(lián)網(wǎng)工作方式互聯(lián)網(wǎng)所采用的技術收費低廉豐富的信息資源服務互聯(lián)網(wǎng)的主要缺點：安全問題互聯(lián)網(wǎng)概述互聯(lián)網(wǎng)的主要接入方式仿真終端方式撥號IP方式局域網(wǎng)方式廣域網(wǎng)方式 ISDN連接方式 ADSL連接方式 計算機網(wǎng)絡的特點數(shù)據(jù)交換相對獨立性建網(wǎng)周期短、見效快成本低、效益高使用簡單易于分布式處理系統(tǒng)靈活性強、適應性強計算機網(wǎng)絡結(jié)構(gòu)計算機網(wǎng)絡的基本結(jié)構(gòu)主機（資源子網(wǎng)）通信子網(wǎng)計算機網(wǎng)絡的硬件系統(tǒng)結(jié)構(gòu)計算機主機網(wǎng)絡接口傳輸介質(zhì)網(wǎng)絡連接設備計算機網(wǎng)絡的軟件系統(tǒng)結(jié)構(gòu)計算機網(wǎng)絡的拓樸結(jié)構(gòu)局域網(wǎng)拓樸結(jié)構(gòu)總線型拓樸結(jié)構(gòu)環(huán)型拓樸結(jié)構(gòu)星型拓樸結(jié)構(gòu)樹型拓樸結(jié)構(gòu)總線型拓樸結(jié)構(gòu)總線型拓樸結(jié)構(gòu)特點 廣播型多路訪問單點失效就會引起網(wǎng)絡癱瘓結(jié)構(gòu)簡單不易擴展需要終結(jié)器 星型拓樸結(jié)構(gòu)星型拓樸結(jié)構(gòu)特點所有節(jié)點都連接在一個中心設備上廣播型多路訪問易于擴展過分依賴中心設備邏輯上是總線 環(huán)型拓樸結(jié)構(gòu)環(huán)型拓樸結(jié)構(gòu)特點 數(shù)據(jù)沿著環(huán)流動單點失效引起網(wǎng)絡癱瘓雙環(huán)提供冗余 計算機網(wǎng)絡的拓樸結(jié)構(gòu)廣域網(wǎng)拓樸結(jié)構(gòu)集中式拓樸結(jié)構(gòu)分散式拓樸結(jié)構(gòu)分布式拓樸結(jié)構(gòu)全互聯(lián)拓樸結(jié)構(gòu)不規(guī)則拓樸結(jié)構(gòu)計算機網(wǎng)絡的資源共享硬件資源共享軟件和數(shù)據(jù)資源共享通信信道資源共享固定分配信道隨機分配信道排隊分配信道計算機網(wǎng)絡體系結(jié)構(gòu)網(wǎng)絡體系結(jié)構(gòu)概述計算機網(wǎng)絡的結(jié)構(gòu)可以從網(wǎng)絡體系結(jié)構(gòu)、網(wǎng)絡組織和網(wǎng)絡配置等三個方面來描述。 網(wǎng)絡體系結(jié)構(gòu)是分層結(jié)構(gòu)，它是網(wǎng)絡各層及其協(xié)議的集合。其實質(zhì)是將大量的、各類型的協(xié)議合理地組織起來，并按功能的先后順序進行的邏輯分割。 網(wǎng)絡體系結(jié)構(gòu)的模型 OSI參考模型 TCP/IP參考模型 OSI參考模型 TCP/IP參考模型 TCP/IP參考模型中的各層含義網(wǎng)絡接口層：對應于OSI參考模型的下兩層，要求可以支持IP協(xié)議即可，沒有詳細的定義。網(wǎng)絡層：對應于OSI的網(wǎng)絡層，有效地解決異種網(wǎng)絡的互連問題。網(wǎng)絡層的設計思想是高效簡潔，提供不可靠的無連接服務，盡力傳遞。典型協(xié)議是IP。傳輸層：對應OSI的傳輸層，在源和目的主機之間提供端到端的連接，典型協(xié)議是TCP。應用層：對應于OSI的高三層，包含面向網(wǎng)絡用戶的大量協(xié)議實現(xiàn)。例如：Telnet， FTP， SMTP， HTTP， SNMP， DNS等。 TCP/IP提供的三種服務應用服務：FTP、TELNET 可靠傳輸服務：TCP 無連接包服務：UDP、IP 第二章 信息安全的基本要素網(wǎng)絡與信息安全的概念安全策略網(wǎng)絡與信息安全的概念網(wǎng)絡信息安全的定義 國際標準化組織（ISO）定義： 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改核泄漏。 2、計算機信息系統(tǒng)安全包括物理安全：指系統(tǒng)設備及相關設備的物理保護以免于被破壞和丟失。 邏輯安全：指信息的可用性、信息的完整性和信息的機密性。網(wǎng)絡信息安全問題的研究我們力圖保護的是什么資源？計算機系統(tǒng)必須防范誰？你能在安全方面付出多大代價？（金錢、方便性、生產(chǎn)性、道德等）網(wǎng)絡安全設計的因素物理安全作用點：對計算機網(wǎng)絡與計算機系統(tǒng)的物理裝備的威脅。外顯行為：通信干擾，危害信息注入，信號輻射、惡劣操作環(huán)境等。防范措施：抗干擾系統(tǒng)，防輻射系統(tǒng)，加固系統(tǒng)，數(shù)據(jù)備份等。 2.系統(tǒng)安全作用點：對計算機網(wǎng)絡與計算機系統(tǒng)可用性和可控性進行攻擊。外顯行為：網(wǎng)絡被阻塞，黑客行為，非法使用資源，計算機病毒等。防范措施：防止入侵，檢測入侵，共計反應，系統(tǒng)恢復等。 3.信息安全作用點：對所處理的信息機密性和完整性的威脅，主要表現(xiàn)在加密方面。外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴等。防范措施：加密，完整性技術，認證，數(shù)字簽名等。 4.政治文化安全作用點：有害信息的傳播，對政治制度和傳統(tǒng)文化的威脅。外顯行為：淫穢暴力信息泛濫，敵對意識形態(tài)信息涌入等。防范措施：設置因特網(wǎng)關，監(jiān)測、控管等。信息安全要素安全策略用戶驗證訪問控制加密安全審計管理 2.2 安全策略 2.2.1 什么是安全策略安全策略是思想安全策略是責任（相關法律）安全策略是權限（最小特權原則）安全策略是行動安全策略是選擇 2.2.2 安全策略方案直接風險控制策略（靜態(tài)防御） 安全=風險分析+安全規(guī)則+直接的技術防御體系+安全監(jiān)控 由于攻擊手段是不斷進步的，安全漏洞也是動態(tài)出現(xiàn)，靜態(tài)防御模型存在本質(zhì)的缺陷。 自適應網(wǎng)絡安全策略（動態(tài)防御） 安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞分析+實施響應 該策略強調(diào)系統(tǒng)安全管理的動態(tài)性，自適應地填充“安全間隙”，從而提高網(wǎng)絡系統(tǒng)的安全性。 局限性在于：只考慮系統(tǒng)的免疫力，僅綜合了技術和管理因素，僅采用技術防護。 智能網(wǎng)絡系統(tǒng)安全策略（動態(tài)免疫力） 安全=風險分析+安全策略+技術防御體系+攻擊實時檢測+安全跟蹤+系統(tǒng)數(shù)據(jù)恢復+系統(tǒng)學習進化 先進的技術是信息安全的根本保證嚴格的管理是確保策略落實的基礎完善的法律法規(guī)是信息安全的堅強后盾 入侵方法分析安全風險常用攻擊技術分析攻擊模型安全風險風險來源安全需求和實際操作脫離 內(nèi)部的安全隱患動態(tài)的網(wǎng)絡環(huán)境有限的防御策略安全策略和實際執(zhí)行之間的巨大差異針對網(wǎng)絡層攻擊方式網(wǎng)絡層的弱點超過1000個TCP/IP服務安全漏洞: Sendmail， FTP， NFS， File Sharing， Netbios， NIS， Telnet， Rlogin等. 錯誤的路由配置 TCP/IP中不健全的安全連接檢查機制 缺省路由帳戶 反向服務攻擊 隱蔽 Modem 針對操作系統(tǒng)的攻擊操作系統(tǒng)的安全隱患 1000個以上的商用操作系統(tǒng)安全漏洞 沒有及時添加安全補丁 病毒程序的傳播 文件/用戶權限設置錯誤 默認安裝的不安全設置 缺省用戶的權限和密碼口令 用戶設置過于簡單密碼 特洛依木馬針對應用服務的攻擊應用程序服務的攻擊弱點 Web 服務器: 錯誤的Web目錄結(jié)構(gòu) CGI腳本缺陷 Web服務器應用程序缺陷 未索引的Web頁 數(shù)據(jù)庫: 危險的數(shù)據(jù)庫讀取刪除操作路由器: 源端口/源路由 其他應用程序: Oracle、 SAP缺省帳戶 有缺陷的瀏覽器 不安全因素的來源定位網(wǎng)絡安全威脅的來源 外部滲入 未被授權使用計算機的人； 內(nèi)部滲入被授權使用計算機，但不能訪問某些數(shù)據(jù)、程序或資源，它包括：冒名頂替：使用別人的用戶名和口令進行操作；隱蔽用戶：逃避審計和訪問控制的用戶；濫用職權者 被授權使用計算機和訪問系統(tǒng)資源，但濫用職權者。常用攻擊技術分析網(wǎng)絡攻擊技術分類利用弱口令入侵利用弱口令入侵操作系統(tǒng)操作系統(tǒng)口令破解 Unix口令 通常限制在8位以內(nèi)，56位密鑰加密 john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh NT口令 通常限制在14位以內(nèi)口令安全使用原則數(shù)據(jù)庫弱密碼入侵 默認安裝的SQL Server的管理員Sa的密碼為空，如果管理員沒有修改過Sa密碼，黑客可以遠程連接上數(shù)據(jù)庫。如果黑客連接到了SQL Server，那么可以使用XP_cmdshell過程執(zhí)行本地命令。如果連接的帳號不是數(shù)據(jù)庫管理員身份，那么可以通過SQL Server漏洞進行越權處理。 利用漏洞入侵操作系統(tǒng)漏洞設備漏洞應用軟件漏洞數(shù)據(jù)庫漏洞 IIS、CGI等漏洞網(wǎng)絡協(xié)議自身漏洞 …… 網(wǎng)絡監(jiān)聽技術竊聽器原理局域網(wǎng)中的廣播式通信竊聽器作用監(jiān)視網(wǎng)絡狀態(tài)、數(shù)據(jù)流動；監(jiān)聽傳輸信息；截獲用戶的口令。常用端口 ftp 21 http 80 pop3 110 telnet 23 DoS/DDoS攻擊 DoS(Denial of Service) 拒絕服務攻擊 2. DDoS(Distributed Denial of Service) 分布式拒絕服務攻擊實例：SynFlood攻擊攻擊者偽造源地址，發(fā)出Syn請求；服務器端性能變慢，甚至死機。 SynFlood原理反射式DoS攻擊原理 DDoS攻擊體系結(jié)構(gòu) DDoS攻擊示意圖 DDoS攻擊示意步驟1 DDoS攻擊示意步驟2 DDoS攻擊示意步驟3 DDoS攻擊示意步驟4 DDoS攻擊示意步驟5 DDoS攻擊示意步驟6 DDoS攻擊效果 由于整個過程是自動化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當于1.04億人同時撥打某公司的一部電話號碼。 2000年2月，美國幾個著名的商業(yè)網(wǎng)站（例如Yahoo、eBay、CNN、Amazon、buy.com等）遭受黑客大規(guī)模的攻擊，造成這些高性能的商業(yè)網(wǎng)站長達數(shù)小時的癱瘓。而據(jù)統(tǒng)計在這整個行動中美國經(jīng)濟共損失了十多億美元。這種大規(guī)模的、有組織、有系統(tǒng)的攻擊方式受到各國政府和學術界的高度重視。 DDoS攻擊的預防確保主機不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡結(jié)構(gòu)；優(yōu)化對外開放訪問的主機；在網(wǎng)絡上建立一個過濾器或偵測器在攻擊信息到達網(wǎng)站服務器之前阻擋攻擊信息。其它入侵技術利用Email Email炸彈傳播木馬、病毒利用聊天室、聊天程序利用瀏覽器利用社會工程攻擊模型攻擊身份和位置隱藏目標系統(tǒng)信息收集弱點信息挖掘分析攻擊行為隱蔽攻擊實施開辟后門刪除攻擊痕跡攻擊身份和位置隱藏 IP地址欺騙自由代理服務器 MAC地址盜用 Telnet 跳轉(zhuǎn)盜用他人網(wǎng)絡用戶目標系統(tǒng)信息收集確定攻擊目標利用WWW站點列表搜索引擎網(wǎng)段掃描利用工具收集信息 Ping、Finger、Whois、Nslookup 利用軟件收集信息端口掃描漏洞掃描 弱點信息挖掘分析應用服務軟件漏洞通信協(xié)議漏洞網(wǎng)絡業(yè)務系統(tǒng)漏洞程序安全缺陷操作系統(tǒng)漏洞網(wǎng)絡安全產(chǎn)品的漏洞客戶軟件的漏洞攻擊行為隱蔽進程隱藏文件隱藏網(wǎng)絡隱蔽通道 攻擊實施拒絕服務攻擊修改或刪除重要數(shù)據(jù)下載敏感數(shù)據(jù)刪除或增加用戶賬號修改數(shù)據(jù)記錄開辟后門文件系統(tǒng)后門密碼破解后門服務后門通信后門刪除攻擊痕跡 UNIX的LOG文件 WINDOWS的日志 WWW服務的日志 FW和IDS的審計安全涉及的因素網(wǎng)絡安全信息安全信息安全的定義 ISO信息安全的定義 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。信息安全的含義信息安全的三個基本方面保密性 Confidentiality 防止靜態(tài)信息被非授權訪問和防止動態(tài)信息被截取解密的特性。完整性 Integrity 信息未經(jīng)授權不能進行改變的特性�？捎眯� Availability 信息可被授權實體訪問并按需求使用的特性。信息安全的含義信息安全的其他方面真實性 Authenticity 確保對實體真實身份進行認證的特性。可靠性 Reliability 信息系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定的功能的特性。責任性Accountability 確保實體的活動可被記錄，并可追查責任者的性質(zhì)和狀態(tài)的特性。文化安全物理安全安全是個連續(xù)的過程安全層次體系結(jié)構(gòu)安全防護體系結(jié)構(gòu)安全技術加密技術認證技術防火墻入侵檢測 VPN 物理隔離安全評估其他安全技術 信息安全的關鍵技術安全產(chǎn)品類型 加密技術 密碼學基礎包括密碼編碼學和密碼分析學基本概念明文：具有明確含義且不用解密便可理解的文本或信號。加密：將明文經(jīng)過加密密鑰和加密函數(shù)轉(zhuǎn)換，變成無意義的密文。密文：經(jīng)過密碼系統(tǒng)把明文變換后得到的不可懂的形式。密鑰：密碼學中，一系列控制加密、解密操作的符號。解密：用適當密鑰，將密文轉(zhuǎn)換為明文。密碼學概述密碼學是一門古老而深奧的學科，對一般人來說是非常陌生的。長期以來，只在很小的范圍內(nèi)使用，如軍事、外交、情報等部門。計算機密碼學是研究計算機信息加密、解密及其變換的科學，是數(shù)學和計算機的交叉學科，也是一門新興的學科。隨著計算機網(wǎng)絡和計算機通訊技術的發(fā)展，計算機密碼學得到前所未有的重視并迅速普及和發(fā)展起來。在國外，它已成為計算機安全主要的研究方向。 密碼技術簡介 密碼學的歷史比較悠久，在四千年前，古埃及人就開始使用密碼來保密傳遞消息。 兩千多年前，羅馬國王Julius Caesare（愷撒）就開始使用目前稱為“愷撒密碼”的密碼系統(tǒng)。但是密碼技術直到本20世紀40年代以后才有重大突破和發(fā)展。 特別是20世紀70年代后期，由于計算機、電子通信的廣泛使用，現(xiàn)代密碼學得到了空前的發(fā)展。密碼學發(fā)展簡史 人類自開始書寫以來即伴隨著密碼術的產(chǎn)生，我們可以從若干歷史事件當中看出密碼術的演化過程，以及密碼本身又是如何扮演著改變歷史的關鍵性角色。一場持續(xù)了三千多年的攻防戰(zhàn)至今仍方興未艾，編碼者不斷努力建造更強的密碼系統(tǒng)來防衛(wèi)通訊，解(破)碼者則不斷發(fā)明更有威力的方法來破解密碼。楔子 –– 審判蘇格蘭瑪麗女王 時間: 一五八六年十月十五日地點: Fotheringhay Castle 審判室起訴人：英格蘭伊麗莎白女王（缺席）被告: 蘇格蘭瑪麗女王罪名: 密謀行刺英格蘭伊麗莎白女王 以奪取英格蘭王位 楔子 –– 審判蘇格蘭瑪麗女王主審人: 英格蘭國務大臣 Sir Francis Walsingham華翰興 (身兼英格蘭間諜首腦) 編碼人: Anthony Babington貝平頓 (謀反計劃核心人物) 送信人: Gilbert Gifford基佛(雙面間諜) 破碼人: Thomas Phelippe中方菲利普 (英格蘭破碼第一高手) 楔子 –– 審判蘇格蘭瑪麗女王楔子 –– 審判蘇格蘭瑪麗女王楔子 –– 審判蘇格蘭瑪麗女王 十天后，法庭判決有罪，建議處以死刑。一五八七年二月八日，瑪麗女王在Fotheringhay Castle的大廳被斬首太平洋戰(zhàn)役「風語者」以二次大戰(zhàn)的太平洋戰(zhàn)役為背景，敘述美軍的密碼被日軍破解，導致美軍在太平洋諸島的戰(zhàn)役中傷亡慘重，為此美國政府征調(diào)印第安人中的納瓦荷一族，以他們的語言為密碼。太平洋戰(zhàn)役 為擔心納瓦荷密碼兵被日軍俘虜，美國軍方在每個密碼兵身旁都派了專人保護，一方面是保護他們的安全，另外更重要的是萬一局勢險惡，密碼兵可能被俘虜，則這名負責保護的美軍則先行開槍「滅口」。太平洋戰(zhàn)役在槍林彈雨中，面對戰(zhàn)局愈來愈險惡的(男主角)尼可拉斯凱吉，內(nèi)心深處也展開天人交戰(zhàn)，他真的會服從上級指示，在緊要關頭槍殺一塊出生入死的伙伴嗎? 太平洋戰(zhàn)役此片特在夏威夷拍攝，不但美國國防部派出顧問，當年實際參戰(zhàn)的納瓦荷密碼兵也到了拍片現(xiàn)場提供寶貴經(jīng)驗，讓全片更為真實，再加上(導演)吳宇森對戰(zhàn)士間情誼、以及人性有深刻描述，使得整部電影更有血有肉(淚)，難怪不少美國老兵在看了此片后都掉下激動的眼淚。 福爾摩斯探案故事：《跳舞的人》諾�？思澥肯�爾頓·丘比特先生一次邂逅相遇與來自美國的埃爾茜小姐喜結(jié)良緣。一年后，愛妻收到了來自美國的一封信，之后又在窗臺上發(fā)現(xiàn)了用粉筆畫的 一些跳舞的滑稽小人，之后，一樁可怕的命案發(fā)生了… 福爾摩斯是如何破譯“跳舞的小人” … 聰明的福爾摩斯是這樣分析的：“在英文字母中E最常見，它出現(xiàn)的次數(shù)多到即使在一個短的句子中也是最常見的。這一張紙條上的十五個符號，其中有四個完全一樣，因此把它估計為E是合乎道理的。這些圖形中，有的還帶一面小旗，有的沒有小旗。從小旗的分布來看，帶旗的圖形可能是用來把句子分成一個一個的單詞…” Phaistos圓盤，一種直徑約為160mm的Cretan-Mnoan粘土圓盤，始于公元前17世紀。表面有明顯字間空格的字母，至今還沒有破解。 二戰(zhàn)中美國陸軍和海軍使用的條形密碼設備M-138-T4。根據(jù)1914年Parker Hitt的提議而設計。25個可選取的紙條按照預先編排的順序編號和使用，主要用于低級的軍事通信。 Kryha密碼機大約在1926年由Alexander vo Kryha發(fā)明。這是一個多表加密設備，密鑰長度為442，周期固定。一個由數(shù)量不等的齒的輪子引導密文輪不規(guī)則運動。 哈格林（Hagelin）密碼機C-36，由Aktiebolaget Cryptoeknid Stockholm于1936年制造密鑰周期長度為3，900，255。 M-209是哈格林對C-36改進后的產(chǎn)品，由Smith-Corna負責為美國陸軍生產(chǎn)。它的密碼周期達到了101，105，950。 轉(zhuǎn)輪密碼機ENIGMA，由Arthur Scherbius于1919年發(fā)明，面板前有燈泡和插接板；4輪ENIGMA在1944年裝備德國海軍，據(jù)說英國從1942年2月到12月都沒能解讀德國潛艇的信號。 英國的TYPEX打字密碼機，是德國3輪ENIGMA的改進型密碼機。它在英國通信中使用廣泛，且在破譯密鑰后幫助破解德國信號。 在線密碼電傳機Lorenz SZ 42，大約在1943年由Lorenz A.G制造。英國人稱其為“tunny”，用于德國戰(zhàn)略級陸軍司令部。SZ 40/SZ 42加密因為德國人的加密錯誤而被英國人破解，此后英國人一直使用電子COLOSSUS機器解讀德國信號。 加密技術明文用M（消息）或P（明文）表示，密文用C表示。加密函數(shù)E（M）=C； 解密函數(shù)D（C）=M； D（E（M））=M 加密技術經(jīng)典密碼算法替換技術（代換密碼法）置換技術（轉(zhuǎn)換密碼法）現(xiàn)代密碼算法對稱密碼算法非對稱密碼算法對稱加密算法對稱加密算法的特點性能： 速度快密鑰管理：共享密鑰不適用于大用戶量的應用常用于： 快速的加密 / 解密加密算法： DES、3-DES、 SSF33、 IDEA、AES、RC2、RC4 對稱加密算法的弱點密鑰無法管理安全共享密鑰每對通信者都需要一對不同的密鑰，N個人通信就需要N！的密鑰不可能和與你不曾謀面的人通信 傳統(tǒng)密鑰技術：DES DES（Data Encryption Standard，數(shù)據(jù)加密標準)，美國政府1977年發(fā)布，并采納為非軍用和非機密信息的加密標準。其原始形式已經(jīng)在1997年被攻破※，但其修改后的形式仍然是有效的。 DES采用56位密鑰，輸入為64位明文，經(jīng)過19輪的處理，其中16輪為十分復雜的變換處理（每輪處理使用的48位子密鑰由原始的56位密鑰產(chǎn)生），以徹底打亂明文的信息，使得密文的每一位都依賴于明文的每一位和密鑰的每一位，最后產(chǎn)生64位密文。 DES的算法本身則稱為“數(shù)據(jù)加密算法”（DEA）。 DES在國內(nèi)的應用目前在國內(nèi)，隨著三金工程尤其是金卡工程的啟動，DES算法在POS、ATM、磁卡及智能卡（IC卡）、加油站、高速公路收費站等領域被廣泛應用，以此來實現(xiàn)關鍵數(shù)據(jù)的保密，如信用卡持卡人的PIN的加密傳輸，IC卡與POS間的雙向認證、金融交易數(shù)據(jù)包的MAC校驗等，均用到DES算法。 DES加密算法 DES算法:第i輪的加密變換(迭代) DES的安全性理論上，DES算法具有極高安全性。到目前為止，除了用窮舉搜索法對DES算法進行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。而56位長的密鑰的窮舉空間為256，這意味著如果一臺計算機的速度是每一秒種檢測一百萬個密鑰，則它搜索完全部密鑰就需要將近2280年的時間。※ DES的改進而事實上，早在70年代后期，專家們就指出DES作為一種安全算法的時代已經(jīng)屈指可數(shù)了，隨著處理器速度的提高和硬件成本的下降，快速破解DES不再是難事的一天很快會到來。這個病人終于在1998年6月宣布死亡，當時一個叫做EFF的組織使用了一臺造價低于25萬美元的專用的“DES破解機”宣布它已經(jīng)攻破了新的DES邀請比賽。攻擊所費時間不到三天。EFF還發(fā)布了機器的細節(jié)，使其他人可以建造自己的破解機。改進之途：三重DES(TDEA) 該算法要執(zhí)行三次常規(guī)的DES加密步驟，但最常用的僅用兩個56位DES密鑰K1和K2，算法是由”加密-解密-加密”三個步驟組成：※ 用密鑰K1進行DES加密使用密鑰K2對步驟1結(jié)果進行DES解密使用密鑰K1對步驟2結(jié)果進行DES加密 取K1=K2時實際上就是常規(guī)的DES算法了。 缺點是要花費執(zhí)行DES算法三倍的時間。 非對稱加密算法_公開密鑰算法用戶甲擁有兩個對應的密鑰用其中一個加密，只有另一個能夠解密，兩者一一對應用戶甲將其中一個私下保存（私鑰），另一個公開發(fā)布（公鑰）如果乙想送秘密信息給甲乙獲得甲的公鑰乙使用該公鑰加密信息發(fā)送給甲甲使用自己的私鑰解密信息非對稱加密算法非對稱加密算法的特點性能：效率較慢 – 不適用于 大量的數(shù)據(jù)加密密鑰管理：公鑰可以公開、分布式存放常用于：加密數(shù)字簽名密鑰交換加密算法： RSA、ECC、 Diffie-Hellman、 DSA 非對稱加密算法的弱點速度慢、資源占用明顯 不適合做大數(shù)據(jù)量數(shù)據(jù)加密處理常用公開密鑰技術：RSA算法由美國麻省理工學院的Rivest，Shamir和Adleman于1978年提出，基于數(shù)論。一個簡化的示例：用RSA算法將明文中的字母F加密為數(shù)41 在接收端用另一種算法和密鑰將密文41解密為字母F 最佳的解決方案__組合密碼技術使用對稱加密算法進行大批量的數(shù)據(jù)加密，每次產(chǎn)生一個新的隨機密鑰 使用非對稱加密算法傳遞隨機產(chǎn)生的密鑰 組合密碼技術身份認證身份認證的過程身份證實（Identity Verification） “你是否是你所聲稱的你？” 身份識別（Identity Recognition） “我是否知道你是誰？” 身份認證的方式固定口令動態(tài)口令生物特征識別數(shù)字證書 動態(tài)口令舉例數(shù)字證書數(shù)字證書（Digital ID），又叫“數(shù)字身份證”、“網(wǎng)絡身份證”，是由認證中心（ Certification Authority， CA）發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。數(shù)字證書的格式一般采用X.509國際標準。 CA 是一個可信的第三方，來確認公鑰擁有者的真正身份，簽發(fā)并管理用戶的數(shù)字證書。 什么是數(shù)字證書? 數(shù)字證書使用公開密鑰的簽名基于公開密鑰的數(shù)字簽名防火墻防火墻是用于將信任網(wǎng)絡與非信任網(wǎng)絡隔離的一種技術，它通過單一集中的安全檢查點，強制實施相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問，以達到保護系統(tǒng)安全的目的。防火墻的基本功能數(shù)據(jù)包過濾（Packet Filtering） 網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation） 應用級代理（Proxy Service） 身份認證（Authentication） 虛擬專用網(wǎng)（Virtual Private Network 防火墻與OSI模型防火墻部署入侵檢測系統(tǒng)入侵檢測即通過從網(wǎng)絡系統(tǒng)中的若干關鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網(wǎng)絡安全技術中起到了重要的作用。 入侵檢測系統(tǒng)工作原理：實時監(jiān)控網(wǎng)絡數(shù)據(jù)，與已知的攻擊手段進行匹配，從而發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。使用方式：作為防火墻后的第二道防線。 入侵檢測的信息收集 系統(tǒng)和網(wǎng)絡日志文件 目錄和文件中的不期望的改變 程序執(zhí)行中的不期望行為入侵檢測的分類檢測方法的分類基于用戶行為概率統(tǒng)計模型基于專家系統(tǒng)基于神經(jīng)網(wǎng)絡基于模型推理實現(xiàn)方式的分類基于主機的IDS 基于網(wǎng)絡的IDS 入侵檢測工具舉例入侵檢測工具舉例 IDS的發(fā)展方向—IPS IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)，其設計旨在預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個簡單的例子，IDS就如同火災預警裝置，火災發(fā)生時，它會自動報警，但無法阻止火災的蔓延，必須要有人來操作進行滅火。 IPS就像智能滅火裝置，當它發(fā)現(xiàn)有火災發(fā)生后，會主動采取措施滅火，中間不需要人的干預。 IPS面臨的挑戰(zhàn)單點故障。設計要求IPS必須以嵌入模式工作在網(wǎng)絡中，而這就可能造成瓶頸問題或單點故障。如果IPS出現(xiàn)故障而關閉，所有客戶都將無法訪問企業(yè)網(wǎng)絡提供的應用。性能瓶頸。 IPS 是一個潛在的網(wǎng)絡瓶頸，不僅會增加滯后時間，而且會降低網(wǎng)絡的效率，IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡流量保持同步，尤其是當加載了數(shù)量龐大的檢測特征庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。 IPS面臨的挑戰(zhàn) 3. 誤報和漏報。在繁忙的網(wǎng)絡當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36000 條警報，一天就是 864000 條。如果入侵特征編寫得不是十分完善，那么“誤報”就有了可乘之機，導致合法流量也有可能被意外攔截。對于實時在線的IPS來說，一旦攔截了“攻擊性”數(shù)據(jù)包，就會對來自可疑攻擊者的所有數(shù)據(jù)流進行攔截。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分，則這個客戶整個會話就會被關閉，而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡的合法訪問都會被“盡職盡責”的IPS攔截。 VPN VPN聯(lián)網(wǎng)方式虛擬的網(wǎng)：即沒有固定的物理連接，網(wǎng)絡只有用戶需要時才建立；利用公眾網(wǎng)絡設施構(gòu)成。 VPN基本原理協(xié)商VPN隧道對需要傳輸?shù)臄?shù)據(jù)包進行加密以確保安全封裝成IP包形式，通過隧道在網(wǎng)上傳輸 VPN的功能加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰�人截獲也不會泄露  信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份 提供訪問控制，不同的用戶有不同的訪問權限 VPN的特點 VPN的適用范圍遠程位置眾多用戶/站點分布廣、距離遠帶寬和時延要求相對適中對線路保密性和可用性有一定要求 VPN不適用范圍非常重視傳輸數(shù)據(jù)的安全性（專線＋網(wǎng)絡加密機）性能第一位，價格第二位采用不常見協(xié)議，不能在IP隧道中傳輸大多數(shù)通信是實時通信的應用（語音/視頻） VPN企業(yè)應用模型隧道協(xié)議——IPSec 通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃�、私有性和保密性由IP認證頭AH、IP安全載荷封載ESP和密鑰管理協(xié)議組成  IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議，提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信兩種模式：隧道模式＋傳輸模式隧道協(xié)議——SSL VPN SSL是一種在Web（HTTP）和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議 所謂的安全連接（握手＋傳輸）有兩個作用 SSL通過數(shù)字證書的技術認證對方的身份標識由加密技術實現(xiàn)安全傳輸在互聯(lián)網(wǎng)上訪問某些網(wǎng)站時也許你會注意到在瀏覽器窗口的下方會顯示一個鎖的小圖標。這個小鎖表示什么意思呢？它表示該網(wǎng)頁被SSL保護。 SSL VPN實例 SSL VPN的特點優(yōu)點 無需安裝客戶端軟件，管理簡單方便適用于大多數(shù)設備和操作系統(tǒng)（Web，標準瀏覽器）良好的安全性細粒度的的安全控制可以繞過防火墻和代理服務器進行訪問不足依賴因特網(wǎng)只能為訪問資源提供有限的安全保障物理(網(wǎng)絡)隔離網(wǎng)絡隔離技術是在需要交換信息的情況下，實現(xiàn)網(wǎng)絡的隔離。其的思路是在必須保證安全的前提下，盡可能互聯(lián)互通。網(wǎng)絡隔離的技術原理，就是斷開TCP/IP的OSI數(shù)據(jù)模型的所有七層，從而消除目前TCP/IP網(wǎng)絡存在的攻擊。網(wǎng)絡隔離的技術路線有三種：網(wǎng)絡開關、實時交換和單向連接。安全隔離技術的發(fā)展 1988年，最早的物理隔離事件：1988年Morrion蠕蟲事件，10%主機遭入侵，MILNET實施與互聯(lián)網(wǎng)斷開。 1995年，作為技術手段的AirGAP 1998年，隔離卡：以色列 Voltaire 公司，2-in-1 PC技術 2000年，注重信息交換的物理隔離技術－安全隔離技術的出現(xiàn)。物理隔離實現(xiàn)技術網(wǎng)絡開關：在一個系統(tǒng)里安裝兩套虛擬系統(tǒng)和一個數(shù)據(jù)系統(tǒng)，數(shù)據(jù)被寫入到一個虛擬系統(tǒng)，然后交換到數(shù)據(jù)系統(tǒng)，再交換到另一個虛擬系統(tǒng)。這種系統(tǒng)只適合于簡單的文件交換，沒有復雜的應用。  實時交換：在兩個系統(tǒng)之間，共用一個交換設備，交換設備連接到網(wǎng)絡A，得到數(shù)據(jù)，然后交換到網(wǎng)絡B。這種系統(tǒng)適合于實時應用系統(tǒng)。  單向連接：早期指數(shù)據(jù)向一個方向移動，一般指從安全性高的網(wǎng)絡向安全性低的網(wǎng)絡移動。這種系統(tǒng)只適合于數(shù)據(jù)單向遷移。 網(wǎng)閘技術網(wǎng)閘的主要原理是由各自獨立的系統(tǒng)分別連接安全和非安全的網(wǎng)絡，兩套系統(tǒng)之間是一個網(wǎng)閘裝置，分時連接兩套系統(tǒng)中的數(shù)據(jù)通路進行數(shù)據(jù)交換。采用多主機結(jié)構(gòu)設計和專用硬件切斷TCP/IP協(xié)議通訊，形成網(wǎng)絡間的隔離。不接受任何未知來源的主動請求，通過主動請求和專用API接口的方式讀取和發(fā)送應用數(shù)據(jù)。隔斷了從物理層到應用層所有網(wǎng)絡層次的協(xié)議通信，為特定應用建立和維護一個專用數(shù)據(jù)交換機制，無需針對新出現(xiàn)的安全威脅進行監(jiān)控和更新。 安全隔離技術體系結(jié)構(gòu)網(wǎng)閘模型安全隔離與防火墻的對比 防火墻單主機無專用數(shù)據(jù)交換硬件允許TCP會話允許外到內(nèi)不能防止未知攻擊高性能對應用透明 網(wǎng)閘多主機(縱深防御) 專用隔離硬件不允許TCP會話不允許外到內(nèi)最大程度防止未知攻擊性能適中需要與應用系統(tǒng)結(jié)合安全評估系統(tǒng)安全評估系統(tǒng)工作原理安全評估系統(tǒng)分類基于網(wǎng)絡的安全評估產(chǎn)品對關鍵網(wǎng)絡及設備進行安全評估 基于主機的安全評估產(chǎn)品對關鍵主機進行安全評估 專用安全評估產(chǎn)品如數(shù)據(jù)庫安全評估產(chǎn)品 安全評估主要功能 網(wǎng)絡安全評估功能 評估分析結(jié)果與報表 服務檢查功能 隔離檢查功能 實用工具 其他安全技術備份技術歸檔與存儲技術容錯技術訪問控制技術 VLAN技術 備份技術現(xiàn)有的備份手段磁盤鏡像磁盤陣列雙機容錯數(shù)據(jù)復制備份的劃分數(shù)據(jù)備份系統(tǒng)備份歸檔技術歸檔的概念 就是將數(shù)據(jù)復制或打包以便進行長時間保存，并為以后的數(shù)據(jù)分析利用提供檢索。歸檔的方法文件管理軟件壓縮歸檔備份系統(tǒng)歸檔大容量存儲設備 存儲技術分級存儲管理（HSM） 是一個系統(tǒng)在線備份解決方案，利用硬盤、光盤和磁帶進行三層存儲管理。存儲區(qū)域網(wǎng)絡（SAN） 采用分布式結(jié)構(gòu)，實現(xiàn)集中存儲。構(gòu)建虛擬存儲池，實現(xiàn)資源共享。容錯技術容錯的思想 利用外加資源的冗余技術來掩蔽故障的影響，使系統(tǒng)自動地恢復或者安全停機。容錯系統(tǒng)的實現(xiàn)辦法空閑備件負載平衡鏡像復現(xiàn)冗余系統(tǒng)配件存儲系統(tǒng)的冗余 VLAN技術 VLAN在邏輯上等于廣播域，使一組最終用戶的集合。 VLAN技術 VLAN的劃分根據(jù)端口定義根據(jù)MAC地址定義根據(jù)網(wǎng)絡協(xié)議或者網(wǎng)絡層地址定義根據(jù)IP廣播組定義 VLAN的標準 802.10 VLAN 802.1Q VLAN技術 VLAN的優(yōu)勢減少因網(wǎng)絡成員變化所帶來的開銷可組建虛擬工作組減少了路由器的使用增強網(wǎng)絡安全性 網(wǎng)絡管理技術網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡管理協(xié)議網(wǎng)絡管理的安全性網(wǎng)絡管理包括的內(nèi)容廣義上講，網(wǎng)絡管理包括以下內(nèi)容：資產(chǎn)管理; 應用管理; 服務管理; 遠程管理病毒防治數(shù)據(jù)備份和災難恢復其它資源的管理 網(wǎng)絡管理包括的內(nèi)容經(jīng)典的網(wǎng)絡管理的內(nèi)容包括故障管理配置管理性能管理帳務管理安全管理 網(wǎng)絡管理的基本模型網(wǎng)絡管理的基本模型網(wǎng)絡管理的基本模型網(wǎng)絡管理的基本模型 6.2 網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡性能管理 網(wǎng)絡性能包括帶寬利用率、吞吐率降低的程度、通信繁忙的程度、網(wǎng)絡瓶頸及響應時間等。性能管理主要應包括以下功能：數(shù)據(jù)收集功能工作負載監(jiān)視功能 摘要功能網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡的合理配置 現(xiàn)代網(wǎng)絡設備是由硬件和設備驅(qū)動程序組成的。具體地說，配置管理系統(tǒng)應包括以下功能：視圖管理 拓樸管理軟件管理網(wǎng)絡規(guī)劃和資源管理網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡故障的預警與診斷 所謂故障就是出現(xiàn)大量或者嚴重錯誤需要修復的異常情況。OSI定義的有關故障管理的功能：故障警告功能（Alarm Report Function）事件報告管理功能(Event Report Function) 運行日志控制功能（Log Control Function） 測試管理功能（Test Management Function） 確認和診斷測試的分類（Confidence and Daignostic Testing Categories）網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡安全管理 安全管理功能包括發(fā)現(xiàn)安全漏洞；設計和改進安全策略；根據(jù)管理記錄產(chǎn)生安全事件報告；以及維護安全業(yè)務與管理信息有關的3種安全機制：訪問控制安全警告安全審計試驗網(wǎng)絡管理的基本內(nèi)容網(wǎng)絡計費管理網(wǎng)絡計費管理可以劃分成3個子過程：使用率度量過程計費處理過程帳單管理過程網(wǎng)絡計費管理的3個管理對象：使用率度量控制對象（usage Metering Control Object）使用率度量數(shù)據(jù)對象（usage Metering Data object）使用率記錄（usage Record） 6.3 網(wǎng)絡管理協(xié)議 ISO制定的標準；針對TCP/IP的SNMP v1/v2/v3； RMON協(xié)議； IEEE制定的IEEE802.1bLAN／MAN標準。網(wǎng)絡管理協(xié)議網(wǎng)絡管理技術的發(fā)展互連網(wǎng)工程工作組制定的SNMP成為網(wǎng)絡管理方面事實上的標準。目前SNMP最新版本為V3，SNMPv3 的重點是安全、可管理的體系結(jié)構(gòu)和遠程配置。網(wǎng)絡管理技術的一個新的趨勢是使用RMON(遠程網(wǎng)絡監(jiān)控)。網(wǎng)絡管理協(xié)議簡單網(wǎng)絡管理協(xié)議的構(gòu)成管理信息結(jié)構(gòu)（SMI）定義MIB模塊的方法管理對象的核心集合（MIB—2） SNMPv1協(xié)議的規(guī)范文件網(wǎng)絡管理協(xié)議遠程網(wǎng)絡監(jiān)視遠程網(wǎng)絡監(jiān)視（Remote network MONitoring）是對 SNMP標準的重要補充，是簡單網(wǎng)絡管理向互聯(lián)網(wǎng)管理過渡的重要步驟。RMON擴充了SNMP的管理信息庫MIB-2，可以提供有關互聯(lián)網(wǎng)管理的主要信息，在不改變SNMP協(xié)議的條件下增強了網(wǎng)絡管理的功能。 6.4 網(wǎng)絡管理的安全性 Snmp查詢工具 SolarWinds 通過其中的IP Network Browser工具 http://solarwinds.net LANguard Network Scanner www.gfi.com/lannetscan SolarWinds 的IP Network Browser Languard Network Scanner 課程內(nèi)容信息安全現(xiàn)狀網(wǎng)絡基礎入侵方法分析安全需求和體系安全技術簡介網(wǎng)絡管理技術信息安全法規(guī)與標準第七章 信息安全法規(guī)與標準信息安全法規(guī)安全管理標準 7.1 信息安全法規(guī)數(shù)字化生存需要什么法規(guī)？信息內(nèi)容安全網(wǎng)上交易安全電子信息權利如何規(guī)范信息內(nèi)容？如何規(guī)范網(wǎng)上行為？美國的信息安全立法信息自由法個人隱私法反腐敗行徑法偽造訪問設備電子通信隱私法計算機欺騙濫用法計算機安全法正當通信法電訊法美國關于密碼的法規(guī)加密本土可以使用強密碼（密鑰托管、密鑰恢復、TTP）視密碼為武器而禁止出口可以出口密鑰長度不超過40位的產(chǎn)品后來放寬到128位認證 出口限制比加密要寬松 2000年通過了數(shù)字簽名法歐洲共同體的立法歐洲共同體是一個在歐洲范圍內(nèi)具有較強影響力的政府間組織。為在共同體內(nèi)正常地進行信息市場運做，該組織在諸多問題上建立了一系列法律，具體包括：競爭（反托拉斯）法；產(chǎn)品責任、商標和廣告規(guī)定；知識產(chǎn)權保護；保護軟件、數(shù)據(jù)和多媒體產(chǎn)品及在線版權；數(shù)據(jù)保護；跨境電子貿(mào)易；稅收；司法問題等。這些法律若與其成員國原有國家法律相矛盾，則必須以共同體的法律為準（1996年公布的國際市場商業(yè)綠皮書， 對上述問題有詳細表述。）。 英國的立法 1996年以前，英國主要依據(jù)《黃色出版物法》、《青少年保護法 》、《錄像制品法 》、《禁止濫用電腦法》和《刑事司法與公共秩序修正條例》懲處利用電腦和互聯(lián)網(wǎng)絡進行犯罪的行為。 1996年9月23日，英國政府頒布了第一個網(wǎng)絡監(jiān)管行業(yè)性法規(guī)《三R安全規(guī)則》。“三R”分別代表分級認定、舉報告發(fā)、承擔責任。法規(guī)旨在從網(wǎng)絡上消除兒童色情內(nèi)容和其他有害信息，對提供網(wǎng)絡服務的機構(gòu)、終端用戶和編發(fā)信息的網(wǎng)絡新聞組，尤其對網(wǎng)絡提供者作了明確的職責分工。 俄羅斯的立法 1995年頒布了《聯(lián)邦信息、信息化和信息保護法》。法規(guī)強調(diào)了國家在建立信息資源和信息化中的責任是“旨在為完成俄聯(lián)邦社會和經(jīng)濟發(fā)展的戰(zhàn)略、戰(zhàn)役任務，提供高效率、高質(zhì)量的信息保障創(chuàng)造條件”。法規(guī)中明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任。我國的立法情況基本精神適用于數(shù)字空間的國家大法國家條例和管理辦法信息系統(tǒng)安全保護條例互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例部門規(guī)定和管理辦法信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法地方政策性文件 7.2 安全管理標準信息安全標準分類與介紹 ISO 17799 《信息安全管理體系標準》 GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》信息安全標準分類 目前國際上通行的與網(wǎng)絡和信息安全有關的標準，可分成三類 互操作標準 技術與工程標準 網(wǎng)絡與信息安全管理標準 信息安全標準介紹互操作標準 對稱加密標準DES、3DES、 IDEA、AES 非對稱加密標準RSA 傳輸層加密標準SSL 安全電子交易標準SET 信息安全標準介紹技術與工程標準 信息產(chǎn)品通用測評準則（ISO 15408）安全系統(tǒng)工程能力成熟度模型（SSE-CMM）信息和相關技術控制目標（COBIT）美國TCSEC（橘皮書）信息安全標準介紹網(wǎng)絡與信息安全管理標準 BS 7799信息安全管理體系標準 ISO/IEC 17799 ISO/IEC 13335信息技術安全管理標準 ISO/IEC 15408信息技術安全的評估準則》 ISO 17799(BS7799) ISO 17799為信息安全管理提供了推薦措施，那些負責起動、實現(xiàn)或維護機構(gòu)安全的人員可以使用這些建議。目的是為開發(fā)安全標準和有效的安全管理慣例提供一個公共基礎，并提供在機構(gòu)之間進行交易的依據(jù)。 GB17859 公安部主持制定、國家質(zhì)量技術監(jiān)督局發(fā)布的中華人民共和國國家標準GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》已1999.9.13正式頒布并于2001年1月1日起實施。計算機信息系統(tǒng)安全保護等級劃分準則 GB-17859:1999是建立安全等級保護制度，實施安全等級管理的重要基礎性標準。為計算機信息系統(tǒng)安全等級保護管理法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)；為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術支持；為安全系統(tǒng)的建設和管理提供技術指導。計算機信息系統(tǒng)安全保護等級劃分準則 GB-17859:1999規(guī)定了計算機系統(tǒng)安全保護能力的五個等級：第一級 用戶自主保護級第二級 系統(tǒng)審計保護級第三級 安全標記保護級第四級 結(jié)構(gòu)化保護級第五級 訪問驗證保護級 計算機信息系統(tǒng)安全保護等級劃分準則定義了計算機信息系統(tǒng)、計算機信息系統(tǒng)可信計算基、客體、主體、敏感標記、安全策略、信道、隱蔽信道、訪問監(jiān)控器；從通用技術要求、管理要求、操作系統(tǒng)技術要求 、網(wǎng)絡技術要求和數(shù)據(jù)庫技術要求五個方面詳細地描述每個安全等級的要求。計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》相關標準計算機信息系統(tǒng)安全等級保護技術要求系列標準計算機信息系統(tǒng)安全等級保護管理要求計算機信息系統(tǒng)安全等級保護工程實施要求計算機信息系統(tǒng)安全等級保護實施管理辦法計算機信息系統(tǒng)安全保護等級評測系列標準計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999技術要求系列標準 GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》 GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999技術要求系列標準 GA/T388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》 GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》 GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》 密碼破解實驗演示－L0phtCrack 端口掃描實驗演示－Nmap NMAP-Stealth Scanning NMAP-掃描操作系統(tǒng)類型 端口掃描實驗演示－SuperScan SuperScan-掃描結(jié)果 漏洞掃描實驗演示－SSS SSS-掃描結(jié)果緩沖區(qū)溢出攻擊實驗演示－WebDAV IIS WEBDAV遠程緩沖區(qū)溢出 WEBDAV攻擊成功網(wǎng)絡監(jiān)聽實驗演示－lrix Irix－協(xié)議分析 Irix－敏感信息分析 DOS攻擊實驗演示－ Xdos Xdos攻擊實施 Xdos攻擊成功審計清除實驗演示－Elsave Elsave實施 Elsave－攻擊結(jié)果 謝謝！v9o紅軟基地

信息系統(tǒng)安全ppt：這是信息系統(tǒng)安全ppt，包括了學習本章，你將了解到，系統(tǒng)脆弱性與濫用，信息系統(tǒng)安全與控制的商業(yè)價值，建立安全與控制的管理框架，保護信息資源的技術與工具，MIS實踐等內(nèi)容，歡迎點擊下載。

信息系統(tǒng)安全策略PPT：這是一個關于信息系統(tǒng)安全策略PPT，主要介紹了信息安全策略概述、信息安全策略的制定、主要的安全策略、信息安全策略的執(zhí)行與維護等內(nèi)容。信息安全策略目錄一、信息安全策略概述 1.信息安全策略的定義計算機安全研究組織SANS：“為了保護存儲在計算機中的信息，安全策略要確定必須做什么，一個好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進行度量和評估”。一組規(guī)則，這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標和實現(xiàn)這些信息安全目標的途徑。信息安全策略是一個組織關于信息安全的基本指導規(guī)則。信息安全策略提供：信息保護的內(nèi)容和目標，信息保護的職責落實，實施信息保護的方法，事故的處理 信息安全方針信息安全方針就是組織的信息安全委員會或管理機構(gòu)制定的一個高層文件，是用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全的定義，總體目標和范圍，安全對信息共享的重要性；管理層意圖、支持目標和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；信息安全管理的一般和具體責任定義，包括報告安全事故等。安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)，歡迎點擊下載信息系統(tǒng)安全策略PPT哦。

信息系統(tǒng)安全等級保護PPT：這是一個關于信息系統(tǒng)安全等級保護PPT，主要介紹了信息安全現(xiàn)狀與問題、信息安全等級保護簡介、信息安全技術、信息安全管理、信息安全方案等內(nèi)容。信息安全等級保護與解決方案山東省信息中心山東信息協(xié)會信息安全專業(yè)委員會二00七年十二月信息安全等級保護與解決方案信息安全等級保護 信息安全現(xiàn)狀與問題 信息安全等級保護簡介信息安全解決方案 信息安全技術 信息安全管理 信息安全方案信息安全現(xiàn)狀日益增長的安全威脅攻擊技術越來越復雜入侵條件越來越簡單信息安全問題安全事件每年都有上千家政府網(wǎng)站被攻擊安全影響任何網(wǎng)絡都可能遭受入侵信息系統(tǒng)安全等級保護信息系統(tǒng)安全等級保護簡介信息系統(tǒng)安全保護等級劃分信息系統(tǒng)安全保護定級指南等級保護出臺是信息安全發(fā)展的需要信息安全等級保護相關文件 1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定計算機信息系統(tǒng)實行信息系統(tǒng)安全等級保護，歡迎點擊下載信息系統(tǒng)安全等級保護PPT哦。