《信息安全技术.ppt》由会员分享,可在线阅读,更多相关《信息安全技术.ppt(46页珍藏版)》请在第壹文秘上搜索。
1、现代电信系统安全技术的目的是保护现代电信系统安全技术的目的是保护存储在系统中和在网络中传输的信息。这存储在系统中和在网络中传输的信息。这些信息有如下特性:些信息有如下特性:信息必须按信息拥有者的要求保持个信息必须按信息拥有者的要求保持个人的、专有的或高度敏感数据的机密,防人的、专有的或高度敏感数据的机密,防止信息的非授权泄漏。止信息的非授权泄漏。保证信息可由授权访问者访问。保证信息可由授权访问者访问。信息必须按它的原形保存。必须保持信息必须按它的原形保存。必须保持信息的完整性、真实性、正确性、相容性。信息的完整性、真实性、正确性、相容性。信息的上述特性是现代电信系统安全信息的上述特性是现代电信
2、系统安全保护的目标。它受到的威胁和破坏包括以保护的目标。它受到的威胁和破坏包括以下几种:下几种:如自然灾害、战争、人为破坏、设备如自然灾害、战争、人为破坏、设备故障、电磁干扰和电磁泄漏等对现代电信故障、电磁干扰和电磁泄漏等对现代电信系统实体造成的破坏。系统实体造成的破坏。自然灾害(如地震、水、火、风灾等)自然灾害(如地震、水、火、风灾等)及环境因素(如温度、湿度、污染等);及环境因素(如温度、湿度、污染等);偶然事故(系统软硬件故障、工作失误偶然事故(系统软硬件故障、工作失误等);人为破坏(如利用系统软硬件的脆等);人为破坏(如利用系统软硬件的脆弱性,非法访问、非法窃取、修改、复制弱性,非法访
3、问、非法窃取、修改、复制和破坏系统信息)造成信息泄漏或使信息和破坏系统信息)造成信息泄漏或使信息的完整性受到破坏,使系统信息被修改、的完整性受到破坏,使系统信息被修改、删除、添加、伪造、非法复制或非法占用。删除、添加、伪造、非法复制或非法占用。计算机病毒是利用程序干扰或破计算机病毒是利用程序干扰或破坏系统正常工作的一种手段。坏系统正常工作的一种手段。实体安全技术是为了保证现代电信系实体安全技术是为了保证现代电信系统安全可靠运行,对应用信息系统、通信统安全可靠运行,对应用信息系统、通信平台等设施采取的安全措施。实体安全技平台等设施采取的安全措施。实体安全技术包括以下内容。术包括以下内容。可靠性保
4、证是通过可靠性设计、容错可靠性保证是通过可靠性设计、容错设计、元器件筛选、工艺流程管理、故障设计、元器件筛选、工艺流程管理、故障诊断与维护等技术实现的。所谓容错是指诊断与维护等技术实现的。所谓容错是指当系统在任一可操作的子系统遭到破坏后,当系统在任一可操作的子系统遭到破坏后,应当具备继续正常运行的能力。应当具备继续正常运行的能力。采用奇偶校验、循环冗余校验、多重采用奇偶校验、循环冗余校验、多重存储、多重传输等措施进行差错控制,保存储、多重传输等措施进行差错控制,保证信息的正确性和完整性。证信息的正确性和完整性。要采取一系列措施防潮、防尘、防腐、要采取一系列措施防潮、防尘、防腐、防振、防水、防火
5、、防风、防震、防污染,防振、防水、防火、防风、防震、防污染,确保系统安全正常工作。确保系统安全正常工作。数据安全技术包括用户识别与验证技数据安全技术包括用户识别与验证技术,数据加密、解密技术和数据库加密技术,数据加密、解密技术和数据库加密技术。术。按密码算法所用的加、解密密钥是否按密码算法所用的加、解密密钥是否相同,可分为对称密码体制(加、解密密相同,可分为对称密码体制(加、解密密钥相同)和公开密码体制(加、解密密钥钥相同)和公开密码体制(加、解密密钥不同)。不同)。根据数据库的特点,对数据库加密有根据数据库的特点,对数据库加密有如下要求:如下要求: 数据库信息保存时间长,因而,数数据库信息保
6、存时间长,因而,数据库数据加密密钥的生存周期也长。据库数据加密密钥的生存周期也长。 数据库加密的粒度可以不同,如可数据库加密的粒度可以不同,如可以对文件、记录、字段加密,却允许访问以对文件、记录、字段加密,却允许访问某一记录或字段。某一记录或字段。 数据库加密后,存储空间不应明显数据库加密后,存储空间不应明显增大,以免破坏数据库结构。增大,以免破坏数据库结构。 加密、解密速度要足够快,尤其是加密、解密速度要足够快,尤其是解密速度要快,使用户感觉不到系统性能解密速度要快,使用户感觉不到系统性能的变化。的变化。 加密系统应有很强的访问控制机制加密系统应有很强的访问控制机制和灵活的授权机制。和灵活的
7、授权机制。 数据库加密后,应保持对数据库查数据库加密后,应保持对数据库查询、检索、修改和更新的灵活性。询、检索、修改和更新的灵活性。库外加密的密钥管理较为简单,但将库外加密的密钥管理较为简单,但将加密后的数据纳入数据库时,要对数据进加密后的数据纳入数据库时,要对数据进行完整性约束,因此,要对加密算法或数行完整性约束,因此,要对加密算法或数据库系统做必要的改动。据库系统做必要的改动。库内加密的加密粒度可以是数据元素、库内加密的加密粒度可以是数据元素、字段或记录。字段或记录。软件保护的基本任务是防止软件的非软件保护的基本任务是防止软件的非法复制、非授权侵入及对软件的分析、修法复制、非授权侵入及对软
8、件的分析、修改。改。防复制方法通过采用专门措施,使利防复制方法通过采用专门措施,使利用正常拷贝命令和各种拷贝工具无法将软用正常拷贝命令和各种拷贝工具无法将软件完整复制,或复制的软件不能正常运行。件完整复制,或复制的软件不能正常运行。软件防复制方法是对加密盘建立非正软件防复制方法是对加密盘建立非正常格式,将某些重要信息如密钥、解密算常格式,将某些重要信息如密钥、解密算法、解密程序、待检查的标志、代码等存法、解密程序、待检查的标志、代码等存放在非正常格式区内,由于非正常格式不放在非正常格式区内,由于非正常格式不能用一般拷贝软件拷贝,且加密程序的解能用一般拷贝软件拷贝,且加密程序的解密要使用非正常格
9、式区内的信息,对加密密要使用非正常格式区内的信息,对加密盘进行非授权复制所得到的副本是无法正盘进行非授权复制所得到的副本是无法正常运行的。常运行的。硬盘加密有两种含义,一是对硬盘上硬盘加密有两种含义,一是对硬盘上的软件加密,可以采用软件安装加密法,的软件加密,可以采用软件安装加密法,防止硬盘上的软件被非法拷贝;另一种是防止硬盘上的软件被非法拷贝;另一种是对硬盘的使用权加以限制,禁止非授权用对硬盘的使用权加以限制,禁止非授权用户使用硬盘。户使用硬盘。软件加密除了对明文软件加密外,软件加密除了对明文软件加密外,还必须采取反跟踪技术抵制、干扰破还必须采取反跟踪技术抵制、干扰破译工作的进行。译工作的进
10、行。反跟踪既要防止破译者的静态分反跟踪既要防止破译者的静态分析,又要防止其动态跟踪。析,又要防止其动态跟踪。计算机病毒是人设计的一种功能程序。计算机病毒是人设计的一种功能程序。计算机病毒的主要危害如下:计算机病毒的主要危害如下:(1)格式化整个磁盘、或磁盘的特)格式化整个磁盘、或磁盘的特定磁道、或特定扇区,使信息丢失;定磁道、或特定扇区,使信息丢失;(2)删除软盘或硬盘上的可执行文)删除软盘或硬盘上的可执行文件或数据文件;件或数据文件;(3)破坏文件分配表,使得无法读)破坏文件分配表,使得无法读用磁盘上的信息;用磁盘上的信息;(4)修改或破坏文件中的数据;)修改或破坏文件中的数据;(5)改变磁
11、盘分配,造成数据写入)改变磁盘分配,造成数据写入错误;错误;(6)磁盘出现)磁盘出现“坏坏”扇区,减少磁扇区,减少磁盘可用空间;盘可用空间;(7)病毒反复)病毒反复“拷贝拷贝”,减少磁盘,减少磁盘可用空间;可用空间;(8)影响内存常驻程序的运行;)影响内存常驻程序的运行;(9)在系统中产生新的文件。)在系统中产生新的文件。首先从一些异常现象推测系统中可能首先从一些异常现象推测系统中可能存在病毒,这些异常现象包括:存在病毒,这些异常现象包括:(1)系统启动时,加载时间过长或)系统启动时,加载时间过长或喇叭发出不正常蜂鸣音;机器运行速度明喇叭发出不正常蜂鸣音;机器运行速度明显减慢;磁盘访问时间变长
12、;显减慢;磁盘访问时间变长;(2)系统运行时,屏幕上出现特殊)系统运行时,屏幕上出现特殊画面;画面;(3)可执行文件长度变长;)可执行文件长度变长;(4)文件建立日期和时间变化;)文件建立日期和时间变化;(5)系统试图向贴有写保护的磁盘)系统试图向贴有写保护的磁盘写数据;写数据;(6)磁盘出现固定的)磁盘出现固定的“坏扇区坏扇区”;(7)磁盘上出现异常文件;原有正)磁盘上出现异常文件;原有正常文件不能运行;文件或数据无故丢失;常文件不能运行;文件或数据无故丢失;(8)系统经常出现死机或重新启动;)系统经常出现死机或重新启动;(9)系统设备无故不能使用,如不)系统设备无故不能使用,如不能进入能进
13、入C盘、不能使用汉字库等;盘、不能使用汉字库等;(10)异常蜂鸣音;)异常蜂鸣音;(11)磁盘的主引导区、引导扇区、)磁盘的主引导区、引导扇区、文件分配表或根目录被修改。文件分配表或根目录被修改。出现上述现象后,可用现有的查病毒出现上述现象后,可用现有的查病毒软件检查,如异常现象不再出现,则是病软件检查,如异常现象不再出现,则是病毒所致;如未发现病毒,则需做深入分析,毒所致;如未发现病毒,则需做深入分析,如分析中断向量表、分析软盘的引导扇区如分析中断向量表、分析软盘的引导扇区或硬盘的主引导扇区、分析内存的分布等,或硬盘的主引导扇区、分析内存的分布等,现于篇幅,这里不做深入讨论。现于篇幅,这里不
14、做深入讨论。网络的主要作用是实现信息的传送、网络的主要作用是实现信息的传送、交换以及各节点间软、硬件资源的共享。交换以及各节点间软、硬件资源的共享。ISO7498-2标准建议采用以下标准建议采用以下8种安全种安全机制。机制。包括对报文中的数据和报文的信息进包括对报文中的数据和报文的信息进行加密。行加密。用于保证信息的合法性。用于保证信息的合法性。 否认发送者事后不承认已发送过某否认发送者事后不承认已发送过某份文件。份文件。 伪造接收者伪造一份文件,声称它伪造接收者伪造一份文件,声称它发自发送者。发自发送者。 冒充某用户冒充另一用户接收或发冒充某用户冒充另一用户接收或发送信息。送信息。 篡改接收
15、者对收到的信息进行篡改。篡改接收者对收到的信息进行篡改。数字签名利用密码技术进行,其安全数字签名利用密码技术进行,其安全性取决于密码体制的安全程度,因而可以性取决于密码体制的安全程度,因而可以获得比书面签名更高的安全性。获得比书面签名更高的安全性。访问控制的作用是防止非法用户进入访问控制的作用是防止非法用户进入系统和合法用户对系统资源的非法使用。系统和合法用户对系统资源的非法使用。在现代电信系统的环境中,由于用户在现代电信系统的环境中,由于用户和节点甚多,密钥的数量极大,密钥的产和节点甚多,密钥的数量极大,密钥的产生、存储、分配、组织、使用和销毁等管生、存储、分配、组织、使用和销毁等管理是十分
16、复杂的问题。理是十分复杂的问题。一级密钥用于加一级密钥用于加/解密数据。解密数据。二级密钥用于加密保护一级密钥。二级密钥用于加密保护一级密钥。三级密钥(又称主机主密钥)是最高三级密钥(又称主机主密钥)是最高级密钥,用于对存储于主机系统的一、二级密钥,用于对存储于主机系统的一、二级密钥提供保护。级密钥提供保护。标准的防火墙系统应遵循以下原则:标准的防火墙系统应遵循以下原则:(1)控制对系统的访问)控制对系统的访问(2)集中的安全管理)集中的安全管理(3)记录和统计网络利用数据的情)记录和统计网络利用数据的情况况(4)防火墙可以对故障进行跟踪和)防火墙可以对故障进行跟踪和预防预防(5)透明提供业务)透明提供业务(6)对)对HTTP、FTP、TELNET、SMTP等服务要有相应的代理等服务要有相应的代理下面介绍几种主要防火墙类型:下面介绍几种主要防火墙类型:包过滤防火墙,又称筛选路由器。它包过滤防火墙,又称筛选路由器。它工作在网络层上,在网络的适当位置有选工作在网络层上,在网络的适当位置有选择的让数据包在内部网络与外部网络之间择的让数据包在内部网络与外部网络之间进行交换。进行交换。(1)对需
