广东石化公司信息中心2013年9月常用信息安全技术介绍1什么是信息安全信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用完整性:确保信息没有遭到篡改和破坏可用性:确保拥有授权的用户或程序可以及时、正常使用信息2信息安全问题产生的根源内因:信息系统复杂性:过程复杂,结构复杂,应用复杂外因:人为和环境:威胁与破坏3网络不安全的根本原因系统漏洞信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全属性。4网络不安全的根本原因协议的开放性网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。网络的国际性意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以网络的安全面临着国际化的挑战。网络的自由性大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。5计算机病毒的威胁由于企业介入用户数量较多,并且分布广泛,网络环境较为复杂,信息系统分布众多,使得病毒的传播较为容易。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽。6黑客攻击的风险由于海外网络分布较广,和国内的环境相比不太相同,黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听等手段,对网络进行攻击,对数据进行窃取。7黑客攻击的风险企业的各项数据,包括生产数据、财务数据、人员数据等,在网络中传输数据面临着各种安全风险:被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱、信息错误从而造成工作失误;非法用户假冒合法身份,发送虚假信息,给正常的经营秩序造成混乱、破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。8身份认证和访问控制存在的风险企业信息系统一般供特定范围的用户使用,包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。由于网络的不可控性,安全的身份认证和访问控制就显得尤为重要。9常见信息安全技术密码学系统安全网络安全协议网络攻击技术攻击实施技术入侵检测技术网络防御技术计算机病毒访问控制技术10密码学基本术语•研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学(Cryptography)和密码分析学(Cryptanalysis)。密码学(Cryptology)111.古典密码体制的安全性在于保持算法本身的保密性,受到算法限制。–不适合大规模生产–不适合较大的或者人员变动较大的组织–用户无法了解算法的安全性2.古典密码主要有以下几种:–代替密码(SubstitutionCipher)–换位密码(TranspositionCipher)–代替密码与换位密码的组合古典密码12对称密码算法和非对称密码算法对称密码算法(Symmetriccipher):加密密钥和解密密钥相同,或实质上等同,即从一个易于推出另一个。又称传统密码算法(Conventionalcipher)、秘密密钥算法或单密钥算法。–DES、3DES、IDEA、AES非对称密码算法(Asymmetriccipher):加密密钥和解密密钥不同,从一个很难推出另一个。又叫公钥密码算法(Public-keycipher)。其中的加密密钥可以公开,称为公开密钥(publickey),简称公钥;解密密钥必须保密,称为私人密钥(privatekey),简称私钥。–RSA、ECC、ElGamal13加密(Encryption):将明文变换为密文的过程。把可懂的语言变换成不可懂的语言,这里的语言指人类能懂的语言和机器能懂的语言。解密(Decryption):加密的逆过程,即由密文恢复出原明文的过程。把不可懂的语言变换成可懂的语言。加密算法密钥密文明文解密算法密钥密文明文加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称为加密密钥(EncryptionKey)和解密密钥(DecryptionKey)。加密和解密14PGP加密PGP是目前最优秀,最安全的加密方式。这方面的代表软件是美国的PGP加密软件。这种软件的核心思想是利用逻辑分区保护文件,比如,逻辑分区E:是受PGP保护的硬盘分区,那么,每次打开这个分区的时候,需要输入密码才能打开这个分区,在这个分区内的文件是绝对安全的。不再需要这个分区时,可以把这个分区关闭并使其从桌面上消失,当再次打开时,需要输入密码。没有密码,软件开发者本人也无法解密!PGP是全世界最流行的文件夹加密软件。它的源代码是公开的,经受住了成千上万顶尖黑客的破解挑战,事实证明PGP是目前世界上最安全的加密软件。它的唯一缺点是PGP目前还没有中文版,而且正版价格极其昂贵。PGP技术是美国国家安全部门禁止出口的技术。15密码学的应用---VPNVPN161、未使用VPN时,分布在各地的组织机构需要用专用网络来保证数据传输安全。其特点1)安全性好2)价格昂贵3)难扩展、不灵活2、TCP/IP采用分组交换方式传递数据,其特点1)安全性差2)价格便宜3)易扩展,普遍使用密码学的应用---VPN17–加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露–信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。–提供访问控制,不同的用户有不同的访问权限。密码学的应用---VPNVPN基本功能18PKI指的是公钥基础设施,CA指的是认证中心.公钥基础设施(PublicKeyInfrastructure)–利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。–如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障PKI/CA是一组建立在公开密钥技术基础上的硬件、软件、人员和应用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。密码学的应用---PKI/CA19信息安全要素所应付的典型威胁可用的PKI技术机密性(Confidentiality)窃听非法窃取资料敏感信息泄露加密数字信封完整性(Integrity)篡改重放攻击破坏数字签名时戳服务(TimeStamp)可用性(Availability)堵塞网络消耗计算资源N/A认证(Authentication)冒名传送假资料数字签名抗抵赖(Non-repudiation)否认已收到资料否认已送资料数字签名授权与访问控制(Authorization&AccessControl)非法存取资料N/APKI/CA技术在信息安全中的作用20安全漏洞信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全属性。21安全模型22注册表(Registry)整合、集成了全部系统和应用程序的初始化信息。其中包含硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。病毒、木马、黑客程序等攻击用户电脑时,都会对注册表进行一定的修改,因此注册表的安全设置非常重要。注册表安全23抵御后门程序破环禁用控制面板锁定桌面禁止远程修改注册表禁止病毒启动服务禁止病毒自行启动注册表安全241、比较原始的窃密技术是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破释出密码来。2、在大部分用户意识到简单的密码在黑客面前形同虚设后,人们开始把密码设置的尽可能复杂一些,这就使得破解工具开始无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木马程序里设计了钩子程序,一旦用户的电脑感染了这种特制的病毒,系统就被种下了“钩子”,黑客通过“钩子”程序监听和记录用户的击键动作,然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。3、软键盘输入使得使用击键记录技术的木马失去了作用。这时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解软键盘输入。病毒作者已考虑到软键盘输入这种密码保护技术,病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上交易安全。账号和密码安全25账号和密码安全事项安全密码的设置(1)密码中的字符应该来自下面“字符类别”中五组中的至少三组。1、小写字母a、b、c…2、大写字母A、B、C…3、数字0、1、2、3、4、5、6、7、8、94、非字母数字字符(符号)~`!@#$%^&*()?/_-|\5、Unicode字符??、Γ、?和λ(2)密码设置的注意事项:1.请尽量设置长密码。请您设法设置便于记忆的长密码,您可以使用完整的短语,而非单个的单词或数字作为您的密码,因为密码越长,则被破解的可能性就越小;2.尽量在单词中插入符号。尽管攻击者善于搜查密码中的单词,但请您在设置密码时不要放弃使用单词。但您需要在您的单词中插入符号或者变为谐音符号。如:”justforyou”可以改善为“just4y_o_u”;3.请不要在您的密码中出现您的帐号;4.请不要使用您的个人信息作为密码的内容。如生日、身份证号码、亲人或者伴侣的姓名等。26OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机制提供,某种安全机制可用于提供一种或多种安全服务。五类安全服务:1.认证(鉴别)服务:提供对通信中对等实体和数据来源的认证(鉴别)。2.访问控制服务:用于防治未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。3.数据保密性服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时,对有可能通过观察信息流就能推导出信息的情况进行防范。4.数据完整性服务:用于组织非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。5.抗抵赖服务:用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。27OSI安全体系结构1.加密机制:是确保数据安全性的基本方法,在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。2.数字签名机制:是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。3.访问控制机制:从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法,当以主题试图非法使用一个未经给出的报警并记录日志档案。4.数据完整性机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。5.认证机制:在计算机网络中认证主要有用户认证