防火墙及病毒 电子科技大学 第1章 概述.ppt

* * * * 一、计算机系统安全 服务可用性 定义 指对符合权限的实体能够提供优质服务，是适用性、可靠性、及时性和安全保密性的综合表现。 可靠性 无故障、无差错 可用性 能够正确使用、不拒绝执行或访问 （拒绝服务攻击DoS） 一、计算机系统安全 有效性和合法性 信息接收方应能够证实它所收到的信息真实性。 存在问题： 发送方 否认发送，称对方伪造 （鉴别：公开密钥鉴别） 接收方 否认接收即抵赖（抗抵赖：数字签名） 修改信息（完整性：数字签名） 伪造信息（鉴别）(例:假发票) 引入第三方：公证机制（X.509证书系统，网络银行，淘宝网） 对每项操作都应进行记录和审计。 Kerberos可信第三方鉴别协议。 一、计算机系统安全 信息流保护 信息在传输过程中的保护。防止有害信息的插入，避免出现非授权的活动和破坏。 信息流填充机制（使用校验、验证数据等）可以有效防止有害信息的插入。 一、计算机系统安全 5、计算机安全技术及相关标准 计算机安全技术 a、实体硬件安全技术 指为保证计算机设备及其他设施免受危害所采取的措施。 （水、火、雷击、电磁辐射、泄露等） b、软件系统安全技术 保证计算机程序和文档资料的安全。 包括： 口令控制、鉴别技术、软件加密、 压缩技术、防复制、防跟踪技术等。 一、计算机系统安全 5、计算机安全技术及相关标准 计算机安全技术 c、数据信息安全技术 指为保证计算机系统的数据库、数据文件和所有数据信息免遭破坏、修改、泄露和窃取；为防止这些威胁和攻击所采取的一切技术、方法和措施。 包括： 身份识别，口令、指纹技术，存取控制技术和数据加密技术，以及建立备份、紧急处理和系统恢复技术，异地存放、保管技术等 一、计算机系统安全 5、计算机安全技术及相关标准 1）计算机安全技术 d、网络站点安全技术 指为保证计算机系统中网络通信和所有站点的安全而采取的各种技术措施。 防火墙技术、报文鉴别技术、数字签名技术、访问控制技术、压缩加密技术、密钥管理技术 安全传输介质技术，网络跟踪、检测技术，路由控制隔离技术、流量控制分析技术等 一、计算机系统安全 5、计算机安全技术及相关标准 1）计算机安全技术 e、运行服务安全技术 主要指安全运行的管理技术。 包括： 系统的使用和维护技术，随机故障维护技术，软件可靠性、可维护性保证技术，操作系统故障分析处理技术，机房环境检测维护技术，系统设备运行状态实测、分析记录等技术。 一、计算机系统安全 5、计算机安全技术及相关标准 1）计算机安全技术 f、病毒防治技术 涉及计算机硬件、计算机软件、数据信息 的压缩解压技术。 G、防火墙技术 防火墙是介于受保护网络或主机与外部网络之间的系统。 目的是提供安全保护。 技术：PAT、NAT、SNAT、包过滤、VPN技术 h、计算机应用系统的安全评价 安全是相对，非绝对的 一、计算机系统安全 5、计算机安全技术及相关标准 2）计算机系统安全技术标准 ISO7498-2 （见参考资料） OSI安全体系结构的安全服务： a、鉴别（authentication） 对等实体（用户、进程）鉴别服务和数据源认证服务 确定合法性和真实性，防止假冒 b、访问控制（access control） 防止未授权的用户非法使用系统资源，包括身份认证、权限确认等 c、数据保密（data confidentiality） d、数据完整性（data integrity） 防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 e、抗否认（non-reputation） 一、计算机系统安全 5、计算机安全技术及相关标准 2）计算机系统安全技术标准 为实现以上服务，制订了八种安全机制： a、加密机制 ( Encipherment Mechanisms) b、数字签名机制(Digital Signature) c、访问控制机制(Access Control) d、数据完整性机制(Data Integrity) e、鉴别机制(Authentication) f、通信填充机制(Traffic Padding) g、路由控制机制(Routing Control) h、公证机制(Notarization) 一、计算机系统安全 5、计算机安全技术及相关标准 2）计算机系统安全技术标准 我国： GB/T 15843.1~4 信息技术 安全技术 实体鉴别 GB/T 17903.1~3 信息技术 安全技术 抗抵赖 GB/T 17900 网络代理服务器的安全技术要求 。。。。 参考：《信息系统安全技术国家标准汇编》 二、安全级别 美国国防部的计算机安全标准——可信任计算机系统评价准则（TCSEC），即橙皮书。1985修改版。 1、美国（七级） 1）D级：完全不可信任， DOS WIN98 Maci