[其它考试]信息安全基础总结.ppt
《[其它考试]信息安全基础总结.ppt》由会员分享,可在线阅读,更多相关《[其它考试]信息安全基础总结.ppt(46页珍藏版)》请在三一文库上搜索。
1、山东电力集团公司信息安全培训总结 2019/1/30,1、信息安全模型,安全模型的定义和作用 多级安全模型 Bell-Lapadula模型 Clark-Wilson模型 Biba模型 多边安全模型 Chinese wall模型 BMA模型,可信计算基,可信计算基(TCB), Trust Compute Base 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。 它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务 通常称为安全子系统,以防止不可信主体的干扰和篡改。,安全核,安全核,security kernel 安全核是可信计算基的核心,是对参考监
2、视器概念的实现,是构建可信计算系统的通常方法 对安全核有以下三点基本要求: 使实现参考监视器的进程同其它进程隔离 所有访问活动都必须调用安全核,而不能绕过它 一定要足够小,以便于对其进行全面充分的测试和验证,经典模型,模型,访问控制模型,信息流模型,强制访问控制模型 (MAC),自主访问控制模型 (DAC),访问矩阵模型,访问控制列表 (ACL),权能列表 (Capacity List),实现,多级环境,多边环境,静态,动态,Bell-Lapudula 模型,Biba 模型,Clark-Wilson 模型,Chinese Wall 模型,BMA 模型,保密性,完整性,基于角色访问控制模型 (R
3、BAC),P2DR安全攻防模型,P2DR模型是一个从安全攻防角度来考虑的动态的安全模型 该模型提出的一项安全目标是 “安全防护时间安全检测时间+安全响应时间”,2、密码技术,古典密码学( 1949年之前) 古典密码学:1949年之前,密码学是一门艺术 主要特点:数据的安全基于算法的保密,近代密码学(19491975年) 近代密码学:19491975年,密码学成为科学 主要特点:数据的安全基于密钥而不是算法的保密,现代密码学( 1976年以后) 1976年以后,密码学的新方向公钥密码学 主要特点:公钥密码使得发送端和接收端无密钥传输的保密通信成为可能,密码学基础密码系统及相关概念,对称加密算法,
4、非对称加密(公钥)算法,数字签名Digital Signature,VPN系统概述,VPN主要采用3类技术来保证安全 隧道技术 密码技术 鉴别技术 从不同角度来看,VPN有不同的分类方式: VPN的分类,作为组网技术 VPN的分类,根据系统体系结构 VPN的分类,根据VPN隧道协议所处的协议层次,VPN的组网技术,从组网技术来划分,VPN分为以下三类: 接入虚拟专网(Access VPN) 内联网虚拟专网(Intranet VPN) 外联网虚拟专网(Extranet VPN) 每种VPN技术都对应解决了一个基本的需求,VPN系统体系结构,VPN系统体系结构 网关到网关体系结构 主机到网关体系结
5、构 主机到主机体系结构,IPsec概述,IETF为IP网络层制定的安全标准 强制包含在IPv6中,IPv4中可选 IPSec目的 IPsec用于为IPv4和IPv6提供互操作的、高质量的、基于密码技术的安全 所提供的安全服务包括 访问控制、无连接完整性、数据源鉴别、重放保护(一种部分序列完整性的形式)、保密性(加密)和有限的流量流保密性 安全服务提供于IP层,为IP层和/或上层协议提供保护,IPsec,IPsec包含三个主要协议: 鉴别头(AH) 是一个提供数据源发鉴别、数据完整性和重放保护的协议。 封装安全载荷(ESP) 是一种提供同AH相同的服务,但同时也通过使用密码技术提供数据隐私的协议
6、。 互联网密钥交换(IKE) 一种提供所有重要的密钥管理功能的协议。IKE的替代是IPsec也支持的手工密钥。 IPsec运行于两种模式 传输模式:一种为IP数据包的上层协议提供安全的方法。 隧道模式:一种为整个IP包提供安全的方法。,SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。 包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。 SSL通过在浏览器软件和web服务器之间建
7、立一条安全通道,实现信息在Internet中传送的保密性。,SSL协议,SSL协议(续),在TCP/IP协议族中,SSL位于TCP层之上、应用层之下。 可以独立于应用层,从而使应用层协议可以直接建立在SSL之上。 包含:SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。,PKI是什么?,PKI:Public Key Infrastructure PKI公钥基础设施是以公开密钥技术为基础,以数据保密性、完整性和抗抵赖性为安全目的的而构建的认证、授权、加密等硬件、软件的综合设施。 PKI提供的安全服务主要包括: 身份认证 支持密钥管理 完整性和抗抵赖性,PKI的作用,PKI体
8、系结构信任服务体系,证书管理层 根CA和子CA:数字证书认证中心 证书服务层 RA中心:数字证书审核注册中心 CA业务受理核发点 证书应用层,PKI密钥管理,密钥管理体系包括以下要素 密钥的生成 密钥的备份和恢复 密钥的更新 密钥历史档案,PKI数字证书采用标准的X.509 格式 证书服务主要包括证书申请、证书签发、证书更新和证书注销等。 证书的申请和签发 证书的发布 证书的更新 证书的撤销,防火墙平台分类,防火墙平台的分类 网络协议划分: 包过滤防火墙 代理防火墙 混合防火墙 其他划分方式 网络/主机防火墙 硬件/软件防火墙,入侵检测系统定义,入侵 绕过系统安全机制的非授权行为。 NSTIS
9、SI No.4009 National Information System Security (INFOSEC) Glossary, September 2000,入侵 危害计算机或网络机密性、完整性和可用性或绕过计算机或者网络安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、试图获得额外更高非法权限的系统授权用户等引起的。 入侵检测 是一种对计算机系统或网络事件进行监测并分析这些事件入侵 特征的过程, 入侵检测系统(IDS) 就是自动进行这种监测和分析过程的软件或硬件产品。 NIST SP 800-31 Intrusion Detection System,November 2001,
10、恶意软件的分类和定义,病毒 Virus,蠕虫 Worm,特洛伊木马 Trojan horse,恶意移动代码 Malicious Mobile Code,混合攻击,恶意内容的非恶意软件形式,黑客攻击流程,侦查,定位/绘制目标,系统/网络渗透,拒绝服务,扩大战果,打扫战场,社会工程 物理侦查 WWW侦查 IP/网络侦查 DNS侦查,战争拨号 网络绘制 端口扫描 脆弱性扫描 研究和探查脆弱性,基于系统 基于网络,帐号/口令破解 应用攻击 缓存侵犯 文件系统攻击 编程战术 进程操作 Shell攻击 会话劫持 伪装 基于状态攻击 流量捕获 信任关系侵犯,扩展访问(操作系统和网络) 扩展访问:特洛伊木马、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 其它考试 其它 考试 信息 安全 基础 总结
链接地址:https://www.31doc.com/p-2002477.html