《大学计算机基础教程第8章 信息安全基础课件》由会员分享,可在线阅读,更多相关《大学计算机基础教程第8章 信息安全基础课件(20页珍藏版)》请在金锄头文库上搜索。
1、大学计算机基础,湖北民族学院计算机系基础教研室,2,本章内容,8-1信息与信息安全的基本概念 8-2信息安全技术 8-3信息安全管理,3,本章课时安排、重点、难点,总学时:2学时,理论2学时,1.目的 (1)信息与信息安全的基本概念。 (2)数据加密技术:对称密钥密码体系 、非对称密钥密码体系。 (3)信息安全认证、访问控制。 (4)网络安全技术:计算机病毒及防范技术 、防火墙技术、虚拟专用网络技术、入侵检测技术 。 (5)信息安全管理。 2. 重点、难点 数据加密技术、网络安全技术。 3. 教学方法:讲授、多媒体教学。,4,8.1信息与信息安全的基本概念,信息时代的来临,给人们的生活带来了前
2、所未有的变革。在现代社会中,信息是一种与物质和能源同样重要的资源,也是衡量国家综合国力的一个重要因素。随着计算机科学的发展,政治、军事、经济、科学等各个领域的信息存储越来越依赖计算机,信息传输越来越依赖计算机网络,信息的地位与作用因信息技术的快速发展而日渐重要,信息安全问题同样因此而日渐突出。,5,8.1.1 信息,从不同的角度和不同的层次出发,对信息的概念有许多不同的理解。正是由于信息概念十分广泛,所以不同学科对其有不同的解释。而且,信息是一个动态的概念,现代“信息”的概念已经与微电子技术、计算机技术、通信技术、网络技术、多媒体技术、信息服务业、信息产业、信息经济、信息化社会、信息管理及信息
3、论等含义紧密地联系在一起。信息作为物质世界的三大组成要素之一,其定义的适用范围是非常广泛的。作为与物质、能量同一层次的信息,它的定义可表示为“信息是事物运动的状态与状态改变的方式”。这个定义具有普遍性,不仅能涵盖各种其他的信息定义,而且通过引入约束条件可以转换为几乎所有其他的信息定义。在本章中,我们可以这样来理解信息:信息是经过加工以后,对客观世界产生影响的数据。,6,8.1.2 信息安全,1. 计算机信息系统安全定义,概括地说,计算机信息安全的核心是通过计算机、网络、密码安全技术,保证其在信息系统及公用网络中传输、交换和存储信息过程的完整性、保密性、可用性、不可否认性和可控性。,2.计算机信
4、息安全的特征,(1)完整性(Integrity)。 (2)保密性(Confidentiality)。 (3)可用性(Availability)。 (4)不可否认性(Non-repudiation)。 (5)可控性(Controllability)。,7,8.1.3 信息安全的主要威胁源,1.计算机系统缺陷,计算机系统缺陷是指在硬件、软件、协议的具体实现或系统安全策略上存在的漏洞,从而可以使攻击者能够在未授权的情况下访问或破坏系统。,2.非法攻击,非法攻击是指某人非法使用或破坏某一信息系统中的资源,以及非授权使系统丧失部分或全部服务功能的行为。通常可以把攻击活动大致分为远程攻击和内部攻击两种。现
5、在随着互联网络的进步,远程攻击技术得到很大发展,威胁也越来越大。,3.信息窃取,未经允许的用户非法获得了对系统资源的访问权,从中窃取了对其有用的数据,或者骗取计算机为其提供某种服务。 例如,非法用户窃取合法用户的口令就可以达到这种攻击的目的。另外在网络的传输链路上搭线窃听或利用通信设备产生的电磁波进行电磁窃听,也能对传送的信息进行非法截获和监听。,8,8.1.3 信息安全的主要威胁源,4.计算机病毒,随着计算机技术的不断发展和人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁,是影响信息安全的重要因素之一。,5黑客入侵,黑客也称为骇客,它是英文Hacker的
6、音译。从信息安全这个角度来说,黑客一般指计算机系统的非法侵入者。由于黑客攻击是人为的,因此具有不可预测性和灵活性。黑客攻击不像病毒,它能够随机地侦测网络漏洞,毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站,以窃取重要的信息资源,篡改网站信息或者删除该网站的全部内容等。于是黑客成了入侵者、破坏者的代名词。随着计算机技术和网络技术的不断发展,黑客给信息安全带来了极大的隐患。,9,8.2 信息安全技术,目前在信息安全技术处于领先的国家主要是美国、法国、以色列、英国、丹麦、瑞士等,一方面这些国家在技术上特别是在芯片技术上有着一定的历史沉积,另一方面这些国家在信息安全技术的应用上(如电子政务、企业信息
7、化等)起步较早,应用比较广泛。他们的领先优势主要集中在防火墙、入侵监测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。而在注重防内兼顾防外的信息安全综合审计上,国内的意识理念早于国外,产品开发早于国外,目前在技术上有一定的领先优势。,10,8.2.1 数据加密技术,1对称密钥密码体系,在对称密钥密码体系中,通信双方必须事先共享密钥。当给对方发送信息时,先用共享密钥将信息加密,然后发送,接收方收到加密数据后,用共享的密钥解密信息,获得明文,如图所示。,实现对称密钥的算法主要有数据加密标准(Data Encryption Standard,DEC),DEC是IBM公司研制的,1977年被美国定为联
8、邦信息标准。 对称密钥具有加密速度快、保密度高等优点。但是,密钥是保密通信安全的关键,发信方必须安全、妥善地把密钥分发给接收方,不能泄露其内容,如何才能把密钥安全地送到接收方,是对称密钥加密技术的突出问题。通信双方必须统一密钥,才能发送保密信息。如果发信者与收信者素不相识,也就无法向对方发送秘密信息了。,11,8.2.1 数据加密技术,2非对称密钥密码体系,非对称密钥密码体系又叫公钥密码体系。它要求密钥成对使用,即加密和解密分别由两个密钥来实现。每个用户都有一对选定的密钥,一个可以公开,即公开密钥,用于加密;另一个需要保密,即秘密密钥,用于解密。公开密钥和秘密密钥之间有密切的关系。当给对方发送
9、信息时,用对方的公开密钥进行加密,而在接收方收到数据后用自己的秘密密钥进行解密,如图所示。,非对称密钥密码体系的优点是密钥少,便于管理,网络中的每一用户只需保存自己的解密密钥,不需要秘密的通道和复杂的协议来传送密钥。非对称密钥密码体系的缺点是加、解密速度慢。,12,8.2.2 信息安全认证,1数字签名,所谓“数字签名”(Digital Signature)就是通过某种密码运算生成一系列符号及代码组成电子密码对电子文档进行签名。数字签名功能类似现实生活中的手写签名,但数字签名并不就是手写签名的数字图像化,而是加密后得到的一种数据。数字签名是目前电子商务、电子政务中应用普遍、技术成熟的、可操作性强
10、的一种电子签名方法。,2数字证书,为了保证Internet上电子信息的安全性、保密性等,必须在网上建立一种信任机制。这种信任机制的核心是参加信息交换的双方都必须拥有合法的身份,并且在网上能够有效无误地被验证。数字证书是一种权威性的电子文档,它提供了一种在Internet上进行身份验证的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。数字证书是由证书授权中心(Certificate Authority,CA)发行的,人们可以在互联网交往中用它来识别对方的身份。,13,8.2.3 访问控制,访问控制即防止合法用户对系统资源的非法访问(或非授权访问)。 一个经过计算机系统识别和验证后的用户(合
11、法用户)进入系统后,并非意味着他具有对系统所有资源的访问权限。访问控制的任务就是要根据一定的原则对合法用户的访问权限进行控制,以决定他可以访问哪些资源以及以什么样的方式访问这些资源。例如,在一个关系数据库系统中,可能已建立了若干张表,每一张表中都存放许多的数据,用户对表中的数据一般来说可以进行如下几种操作:查询、插入(添加)、修改、删除,但在一个实际的应用系统中,并不是每一个用户对每一张表中的每一个数据都有以上这些操作的权限。用户对数据访问的权限必须受到一定的控制,通常采用“自主访问控制”、“强制访问控制”和“基于角色的访问控制”3种控制机制。 访问控制是系统安全控制的第二道防线,它阻止合法用
12、户对其权限范围外的信息的非法访问。,14,8.2.4 网络安全技术,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能连续、可靠和正常地运行,网络服务不中断。常用的网络安全技术有病毒和木马的防范技术、防火墙、虚拟专用网络技术、网络隔离技术和入侵检测技术。,15,8.2.4 网络安全技术,1计算机病毒及防范技术,(1)计算机病毒的定义 (2)计算机病毒的分类 (3)计算机病毒的特点 (4)计算机病毒的防治,2防火墙技术,(1)防火墙的定义 (2)防火墙的功能 (3)防火墙的优点和缺点,16,8.2.4 网络安全技
13、术,3虚拟专用网络技术,虚拟专用网络技术即常说的VPN(Virtual Private Network)技术。它为两个或多个用户在公网上进行数据传输提供了安全保障。现在越来越多的政府部门和企业在办公网络中使用了VPN技术。 通俗地讲,VPN就是两个或多个用户,利用公用的网络环境进行数据传输,并在发送和接收数据时,利用隧道技术和安全技术,使得在公网中传输的数据即使被第三方截获也很难进行解密的技术。,4入侵检测技术,入侵检测系统(Intrusion Detection System,IDS)在计算机网络系统中的若干关点收集信息,并通过分析网络数据流、主机日志、系统调用,及时显示相关的攻击行为,从而
14、提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,它可以在不影响网络性能的情况下对网络进行监测。,17,8.3 信息安全管理,计算机技术的高度发展标志着信息时代的到来,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息安全的防护屏障。事实上,要保证信息安全需要有3个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息安全的做法是不会达到应有效果的,“三分技
15、术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息安全的重要性日益突出、信息安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。,18,8.3.1 信息安全管理体系模型,信息安全管理体系(Information Security Management Systems,ISMS)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合,是涉及
16、人、程序和信息技术的系统。 信息安全管理体系模型一般被认为是安全策略的正式陈述,并由系统组织强制实施,用以检验安全策略的完整性和一致性,它描述的是为贯彻实施安全策略而必须采取的所有安全机制的组合。信息安全管理是一个持续发展的过程,像其他管理过程那样,它也遵循着一般性的循环模式,信息安全管理体系模型就是我们常说的PDCA模型,如图所示。,19,8.3.2 信息安全管理体系建设,信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。,20,本 章 小 结,本章介绍了信息安全、信息安全技术、信息安全管理的基本概念、基本理论及基本技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、生物、通信和计算机诸多学科的长期知识积累和最新发展成果。具体来
